Posts with tag Fedora

Legrace s Beefy Miracle aneb upgrade z Fedory 16 na Fedoru 17

Jun|13 2012

Fedora 17 - Beefy MiracleNová Fedora 17 přináší kromě mnoha jiných novinek i jednu, na kterou je dobré myslet i při samotném upgradu. Možná se bude někomu hodit stručný popis, jak upgrade z Fedory 16 probíhal u mě.

Výchozí návod, ze kterého jsem vycházel, najdete na: https://fedoraproject.org/wiki/Upgrading_Fedora_using_yum

Nová featura, zmíněná v prvním odstavci, je označena UsrMove a v podsstatě jde o sjednocení adresářů /lib do /usr/lib, /bin do /usr/bin a /lib64 do /usr/lib64. Původní jména budou samozřejmě kvůli zpětné kompatibilitě nahrazeny symbolickými odkazy.

Před samotným upgradem nezapomeňte zálohovat vše důležité a není špatné updatovat na poslední verzi balíky v současné distribuci. Package maintainaři totiž vždy počítají zejména s možností, kdy se ugraduje z poslední dostupné verze balíku. Jiné updaty, přeskakující několik buildů, nemusí být vždy stoprocentní.

Oficiální dokumentace sice doporučuje pomocí telinit 3 přepnout do rozhraní bez grafického prostředí, nicméně u mě upgrade (kromě malého zaváhání v závěru) proběhl v pořádku přímo z Gnome terminálu. Pojďme se tedy pustit do prvního kroku, kterým je update balíků současné distribuce:

# yum update all

Ugrade začneme importováním klíče:

# rpm --import https://fedoraproject.org/static/1ACA3465.txt

Nyní provedeme konverzi filesystému, související právě s UsrMove:

dracut --force --add convertfs

Nicméně, toto nestačí, protože UsrMove je z hlediska upgradu existujícího systému celkem náročná operace. Nyní je čas upravit dočasně konfiguraci grubu, v našem případě budeme editovat soubor /etc/grub2/grub.cfg. Konkrétně můžeme zduplikovat pod jiným označením nejnovější položku a provést následující změny:

Odebereme "ro" a "rhgb" voby a přidáme místo nich "rw", "rd.info", "rd.convertfs" a "enforcing=0". Poté můžeme restartovat systém a doufat, že naběhne v pořádku, již s uzly /bin, /lib a /lib64 ve formě symbolických odkazů. V tuto chvíli můžeme vymazat dočasnou položku v /etc/grub2/grub.cfg a neměli bychom příliš otálet se samotným upgradem, který je doporučen provádět pomocí těchto kroků:

# rm -f /var/lib/rpm/__*
# rpm --rebuilddb
# yum --releasever=17 update rpm
# rm -f /var/lib/rpm/__*
# rpm --rebuilddb
# yum --releasever=17 --disableplugin=presto distro-sync
# fixfiles onboot

Po rebootování jsem čekal hladký náběh do F17, jenže ejhle, nový kernel dostal záchvat paniky a odmítl se spustit. Později jsem zjistil, že důvodem paniky byl chybějící soubor initramfs-3.4.0-1... a tím pádem i chybějící řádek initrd v grub menu. Kromě toho se také nějakým nedopatřením neodinstaloval balík fedora-release-16-1, zatímco fedora-release-17-1 již byl nainstalován a měl tedy starší verzi automaticky nahradit. Tento fakt měl za následek to, že jako výchozí repositář se stále bral ten z Fedory 16.

Jak tedy z toho ven? Nezbývalo než nabootovat do staršího kernelu 3.3, odinstalovat přebývající fedora-release-16-1 a nainstalovat novější kernel (případně reinstalovat původní 3.4.0). Zvolil jsem novější, nicméně nestačilo pouze zadat příkaz yum update kernel, dokonce ani yum update kernel --enablerepo=updates-testing, protože z nějakého důvodu není novější kernel dosud zařazen mezi updaty. Sáhl jsem tedy k manuálnímu stažení, přímo z buildovacího systému Koji a stáhl nové jádro kernel-3.4.2-1.fc17. Oba kroky tedy vypadaly takto:

# yum remove fedora-release-16-1
# yum install ./kernel-3.4.2-1.fc17.x86_64.rpm

Při následném restartu jsem ještě jednou uviděl panikující kernel, nicméně při bootování do nového 3.4.2 už běželo vše bez problému.

Přeji mnoho úspěchů s novou Fedorou 17 alias Beefy Miracle!

Tags: Počítače | Linux | Fedora | Operační systém | Open-sourceJak přidat vlastní položku do menu v grub 2?

Mar|30 2012

Grub 2 změnil logiku, jakým způsobem jsou do menu přidávány položky. Místo editace jednoho souboru menu.lst se nyní používají skripty, jejichž výstupem je soubor podobný dřívějšímu, nicméně tento už není určen pro další editaci. Jak tedy přidat položku do menu, která není automaticky rozpoznána již existujícími skritpy?

Odpověď je jednoduchá, vytvoříme si vlastní skript. Ty jsou uloženy ve složce /etc/grub.d a jsou spouštěny podle jména, proto obsahují na začátku číslo. Změnou pořadí můžeme ovlivnit pořadí položek v menu zavaděče.

Řekněme, že chceme přidat starší systém nainstalovaný na jiném LVM oddílu, např. /dev/mapper/vg_main-lv_fc15. Jádro tohoto systému potom bude na fyzickém oddílu s uuid a1e9953e-4c4c-43ff-bdd7-faf6ca6df777. Systém chceme mít až jako poslední, vytvoříme tedy soubor s právy 755 /etc/grub.d/50_myothers s tímto obsahem:

#! /bin/sh

# Tento text bude zobrazen pri generovani konfiguracniho souboru
echo "Adding FC15 by manual configuration" >&2

cat <<EOF
menuentry "Red Hat Enterprise Linux Server release 6 (Santiago) (2.6.32-220.el6.x86_64) 
(on /dev/mapper/vg_main-lv_rhel6)" --class gnu-linux --class gnu --class os {
    insmod part_msdos
    insmod ext2
    set root='(hd0,msdos1)'
    search --no-floppy --fs-uuid --set=root a1e9953e-4c4c-43ff-bdd7-faf6ca6df776
    linux /vmlinuz-2.6.32-220.el6.x86_64 ro root=/dev/mapper/vg_main-lv_rhel6 
rd_LVM_LV=vg_main/lv_rhel6 rd_LVM_LV=vg_main/main_swap rd_NO_LUKS rd_NO_MD rd_NO_DM 
LANG=en_US.UTF-8 SYSFONT=latarcyrheb-sun16 KEYTABLE=cz-us-qwertz rhgb quiet
    initrd /initramfs-2.6.32-220.el6.x86_64.img
}
EOF

Potom vygenerujeme samotný soubor s konfiguraci:

# /sbin/grub2-mkconfig -o /boot/grub2/grub.cfg

Nakonec můžeme restartovat a modlit se, že v menu bude funkční položka "Fedora 15 (2.6.35-10.fc15.x86_64) (on /dev/mapper/vg_main-lv_fc15)" a po jejím zvolení naběhne požadovaný systém.

Tags: Počítače | Linux | Fedora | Operační systémŠifrované připojení k MySQL serveru s vlastnoručně podepsaným certifikátem

Feb|24 2012

On-line manuál MySQL nám celkem dobře vysvětlí, jaké argumenty použít pro šifrované připojení klienta k serveru. Pojďme se ale podívat na veškeré kroky, které musím jako "správce" serveru provést, tedy včetně generování klíčů a certifikátu, včetně elektronického podpisu.

V první řadě bych chtěl zdůraznit, že následující řádky by neměl brát do úvahy administrátor produkčního serveru. Ten by měl používat výhradně certifikáty podepsané důvěryhodnou certifikační autoritou. Následující způsob lze využít pro testování nebo v případě vzdálené komunikace se serverem, která z nějakého důvodu musí být šifrována.

Generování veřejného a soukromého klíče pro server

V prvním kroku vygenerujeme soukromý klíč pro server:

openssl genrsa -out server.key 1024

V případě potřeby veřejný klíč vygenerujeme ze soukromého následujícím příkazem, nicméně pro účely zabezpečení spojení ho nebudeme potřebovat.

rsa -in server.key -pubout > server.pub

Jak vytvořit a na co slouží Certificate Signing Request

Jedná se o zprávu, která obsahuje informace o majiteli budoucího certifikátu. Ten se odesílá certifikační autoritě, my ho ale použijeme pro vytvoření vlastnoručně podepsaného certifikátu.

openssl req -new -key server.key -out server.csr

Generování certifikátu

Certifikát by měl mít rozumnou délku platnosti, v produkci běžně rok, pro testování můžete zvolit jinou rozumnou dobu. Pro vygenerování samotné použijeme soubor vygenerovaný v minulém kroku a openssl utilita se nás zeptá na několik informací o majiteli certifikátu:

openssl x509 -req -days 365 -in server.csr -signkey server.key -out server.crt

Certifikát můžeme vytvořit i přímo z privátního klíče, bez generování souboru server.csr:

openssl req -new -x509 -key example.com.key -out example.com.cert -days 3650 -subj /CN=example.com

Nyní potřebujeme umístit certifikát do adresáře a to tak, aby byl čitelný uživatelem, pod kterým běží náš MySQL server, typicky uživatel mysql. Pozor si musíme dát i na SELinux kontext (pokud je aktivní), který může zabránit přečtení souborů démonem. Následující sekvenci příkazů můžete brát jako inspiraci:

# mkdir /usr/share/mysql/testcerts
# cp server.{crt,key} /usr/share/mysql/testcerts
# chown -R mysql:mysql /usr/share/mysql/testcerts
# restorecon -r /usr/share/mysql/testcerts

Vygenerovaný certifikát spolu se soukromým klíčem použijeme v konfiguračním souboru démona MySQL:

[mysqld]
ssl-ca=/usr/share/mysql/testcerts/server.crt
ssl-cert=/usr/share/mysql/testcerts/server.crt
ssl-key=/usr/share/mysql/testcerts/server.key

Rychlá a snadná cesta, jak vytvořit certifikát pro testování:

Jednoduchá stránka, jednoduché ovládání. Pouze uvedete doménu (můžete bez problému použít example.com) a aplikace vám vygeneruje dvojici soukromého klíče s vlastnoručně podepsaným certifikátem.

http://www.selfsignedcertificate.com

Zdroje:

http://dev.mysql.com/doc/refman/5.0/en/secure-using-ssl.html
http://www.akadia.com/services/ssh_test_certificate.html
http://www.chriscalender.com/?p=448

Tags: Internet | Programování | Databáze | Bezpečnost | Linux | FedoraUpgrade Fedora 15 na Fedora 16

Nov|10 2011

Krátká zpráva o právě provedeném upgradu operačního systému Fedora 15 na několik hodin nový systém Fedora 16. Pokud se chcete pustit do upgradu, není špatné pamatovat na několik věcí. Berte, prosím, tento text jako popis mých kroků, ne jako návod - nechci nést zodpovědnost za případné problémy s tím vzniklé.

Nebudu zdůrazňovat nutnost zálohovat data, protože upgrade je vždy riskantní operace, přestože je ze strany distribuce podporována. Je na uvážení každého, jaká data může případně postrádat, ať již je ztratí při upgradu nebo jiným způsobem. Podpora ze strany distribuce se navíc týká pouze upgrade z N na N+1, neboť přechod přímo z N na N+2 již podporován není, alespoň co se týká Fedory. Nicméně neznamená to, že je to nemožné, jen to nemusí jít tak hladce.

Na stránkách Fedora projektu je uveden postup, jak upgrade provést, šel jsem podle něho a doplnil pár kroků:

Krok 1: nabootovat do runlevelu 3 a přihlásit se jako root

Místo přechodu do konzole pomocí ctrl + alt + F2 jsem přímo nabootoval do runlevelu 3 - tedy můžeme buďto provést ln -s /lib/systemd/system/runlevel3.target /etc/systemd/system/default.target nebo přidat znak "3" nakonec příkazu v grubu.

Krok 2: importovat klíč F16 a updatovat yum

rpm --import https://fedoraproject.org/static/A82BA4B7.txt yum update yum yum clean all

Krok 3: provést samotný update

yum --releasever=16 --disableplugin=presto distro-sync

Tato operace trvá dlouho. Záleží na počtu nainstalovaných balíčků a rychlosti stahování. Upgrade cca 1600 balíčků mi například zabral hodinu a půl času.

Krok 4: instalace nového grub2

/sbin/grub2-mkconfig -o /boot/grub2/grub.cfg /sbin/grub2-install /dev/sda

Fedora 16 má konečně grub2, nicméně ten není po upgradu nainstalován na MBR. Pro instalaci na /dev/sda jsem to napravil výše uvedeným způsobem.

Krok 5: relabel a reboot

touch /.autorelabel reboot

Po upgradu bylo potřeba re-labelovat SELinux kontext celého systému, protože se může stát, že některé soubory mohli (a také měly) kontext špatný. V mém případě například nebylo možné přihlásit se do gnome a najít důvod tohoto problému mi zabralo zhruba půl hodiny. Relabel celého systému trvá samozřejmě dlouho, můj 300 GB filesystem (kde ale mnoho souborů má několik GB) byl přelabelován za zhruba 10 minut.

Suma sumárum dvě hodinky práce. Oproti čisté instalaci, která zabere zhruba třetinu času, mám ale všechny potřebné balíky již na svém místě a konfigurace zůstala zachována.

Tags: Linux | Fedora | Operační systémAktivace "on demand" v systemd

Nov| 2 2011

Výraz bootovací sekvence vychází z dřívější implementace spouštění služeb (doby SysV a prakticky i Upstart), kdy se jednotlivé služby staticky seřadily podle priorit spouštění a init systém je při bootu spouštěl v daném pořadí, pěkně jednu po druhé. Důsledkem toho nebyla výjimkou situace, že zpoždění jedné služby mělo za následek zpoždění celého bootu, nehledě na to, že díky mnoha systémových volání se procesor během bootu často nudil a pouze čekal na nějakou I/O operaci.

Upstart sice dokázal přidat částečnou paralelizaci, nicméně závislosti mezi službami zůstaly lineární. Revoluci v tomto přináší až systemd. Jeho autoři si položili otázku, proč vlastně na sebe služby závisí a zda je skutečně potřeba mít spuštěnu celou službu, předtím, než začneme spouštět službu druhou, která na ni závisí. Zjistili, že v podstatě vše závisí na komunikačních kanálech, konkrétně socketech, dbus sběrnici, apod. Pokud dokážeme mít daný komunikační kanál k dispozici již dříve, není nutné čekat na spuštění celé služby a můžeme vesele spouštět další.

Vezměme si například službu komunikující s NetworkManagerem pomocí dbus. systemd ví, jakým komunikačním kanálem (v případě dbus object path, nicméně můžeme si místo toho představit např. unix socket) tyto dvě služby komunikují a tento kanál dopředu vytvoří. Daná služba se startuje paralelně s NetworkManagerem a může vesele zapisovat do kanálu, aniž by se jakákoliv zpráva ztratila. Až ve chvíli, kdy potřebuje z tohoto kanálu číst, dochází k případnému zastavení, což nicméně odpovídá běžnému čekání na I/O operaci.

Startování služeb pomocí systemd navíc navíc nabízí tzv. start na požádání, kdy služby nejsou spouštěny v případě, že zatím nejsou potřeba. Můžeme danou službu nadefinovat tak, že bude spouštěna až v případě, že s daným kanálem (např. socketem) začne někdo komunikovat. V tomto případě je ovšem nutné si uvědomit, že start a inicializace některých služeb trvá déle a je tedy nutné počítat s určitým zpožděním. Na druhou stranu služby jako cups, kde zpomalení v řádu sekund nehraje roli, je ideálním kandidátem na spouštění pomocí socket aktivace. Démon cups tak neběží ihned po startu systému, ale spouští se až v době, kdy chce uživatel tisknout.

Následuje ukázka jednoduché služby předpovědi počasí. Služba bude naslouchat na portu 8289 a přijímat requesty ve formátu YYYY-MM-DD. Odpovědí bude předpověď počasí na tento den. Pokud chceme takovou službu vytvořit a používat se systémem Upstart nebo obdobným init systémem, musíme do serveru implementovat minimálně:

 • funkci pro zpracování dotazů a vrácení výsledku
 • démonizaci (obdobný proces v mnoha aplikacích = duplicita kódu)
 • inicializaci socketu pro komunikaci
 • navázání tohoto socketu na port 8289
 • vytváření procesů pro jednotlivé requesty pro zajištění paralelního zpracování dotazů
 • vytvoříme init script například zkopírováním základu z jiné služby (duplicita kódu)

Často si chceme být navíc jisti, že pokud náš démon spadne, bude vždy znova spuštěn, takže vytvoříme chůvičku -- jednoduchý program, který obalí našeho démona, hlídající jeho případný kolaps.

Pomocí systemd je situace značně jednodušší. Pokud nám stačí podpora systemd, necháme si socket vytvořit jím a přesměrujeme stdin/stdout na tento socket.

Seznam kroků, které budeme muset implementovat, se tedy změní na:

 • funkci pro zpracování dotazů a vrácení výsledku
 • dotaz přečteme z stdin a odpověď zapíšeme do stdout
 • vytvoříme unit soubory pro službu (12 řádků) a unit soubor pro socket (8 řádků)

systemd se umí postarat o znovu-spuštění démona v případě pádu (pokud si to přejeme), vytvořený socket správně naváže na port a v našem případě (služba se spouští rychle) spustí novou instanci procesu pro každé příchozí spojení na daném socketu. systemd si démonizační proces obstará sám a program je navíc implementován pro běh na popředí, což umožňuje snadnější ladění.

Pokud vynecháme funkci, která zpracovává dotazy a vrací do odpovědi, celý program je velmi jednoduchý:

char req[BUFFSIZE], resp[BUFFSIZE];
/* get requests and leave when request = q|quit */
while (fgets(req, sizeof(req) - 1, stdin) != NULL)
{
 if (strncmp(req, "q", 1) == 0 || strncmp(req, "quit", 4) == 0)
  return;
 process_request(req, resp);
 printf(resp);
 fflush(stdout);
}

Unit soubory jsou při instalaci ukládány v /lib/systemd/systme. Adresář /etc/systemd/system slouží pro unit soubory, které jsou lokálně upraveny, stačí jen zkopírovat unit soubor z /lib do /etc a nový soubor bude po reloadu systemd démona upřednostněn. Konfigurace služby pro démona uvedeného výše může být následující:

[Unit]
Description=Forecast daemon
After=syslog.target network.target
Requires=forecastd.socket

[Service]
ExecStart=/home/hhorak/Dropbox/forecastd
StandardInput=socket
StandardOutput=socket
StandardError=syslog

[Install]
WantedBy=multi-user.target
Also=forecastd.socket

Konfigurace socketu pro výše uvedenou službu potom bude následující:

[Unit]
Description=Forecast Daemon Socket

[Socket]
ListenStream=8289
Accept=yes

[Install]
WantedBy=sockets.target

Po provedení systemctl daemon-reload a spuštění socketu pomocí systemctl start forecastd.socket, můžeme pomocí netstat -a | grep 8289 vidět, že systém naslouchá na portu 8289. Pokud se například programem telnet připojíme k danému portu, systemd spustí program forecastd, se kterým můžeme komunikovat jako s démonem.

Tags: Internet | Programování | Vývoj | Linux | Fedora | Operační systémBěžná práce se systemd

Oct|26 2011

Stejně jako v předchozích variantách service managerů existuje i v systemd program, pomocí kterého se služby spouští, zastavují, restartují nebo se načítá jejich konfigurace za běhu. Pro tyto a další úkony slouží aplikace systemctl:

Spuštění služby, pokud již běží, nic se neděje:

systemctl start mysqld.service

Zastavení služby, pokud je již zastavena, nic se neděje:

systemctl stop mysqld.service

Restart a podmíněný restart služby; drůhý z uvedených bude proveden pouze pokud služba běží, tedy nespustí zastavenou službu, jako by to udělal první z nich:

systemctl restart mysqld.service
systemctl try-restart mysqld.service

Znovu-načtení konfigurace:

systemctl reload mysqld.service

Spouštět službu na defaultních runlevelech po startu:

systemctl enable mysqld.service

Nespouštět službu automaticky po startu:

systemctl disable mysqld.service

Zjištění, zda je služba automaticky spouštěna po startu:

systemctl is-enabled mysqld.service

Přepnutí do runlevelu 3:

systemctl isolate multi-user.target
systemctl isolate runlevel3.target

Přepnutí do runlevelu 5:

systemctl isolate graphical.target
systemctl isolate runlevel5.target

Výpis všech služeb a jejich stavů:

systemctl list-units

Znovu-načtení konfigurace démona, důležitý krok po úpravě unit souborů:

systemctl daemon-reload

Pro zpětnou kompatibilitu systemd podporuje i dřívější způsob provádění těchto operací - tedy pomocí programů service, chkconfig apod., nicméně preferovaná je novější varianta.

Pokud jste si vyzkoušeli například příkaz systemctl enable, všimli jste si, že systemd hojně pracuje se symbolickými odkazy. Například instalace služby po startu znamená přidání symbolického odkazu na příslušný service file do adresáře cíleného runlevelu, který končí příponou "target". Pokud pochopíte tento celkem jednoduchý princip, nic vám nebrání vytváření vlastních symbolických odkazů manuálně, tedy bez programu systemctl.

Jak ze systemd dostat více informací

Pokud se dostanete tak daleko, že bude te upravovat nějakou službu, například její unit soubor, případně vytvářet službu novou, bude se vám hodit trochu ukecanější systemd. To v GRUBu zařídíme přidáním následujících parametrů do příkazu načtení jádra:

systemd.log_level=debu systemd.log_target=kmsg

v případě GRUB 2 můžeme nastavit proměnnou v souboru /etc/default/grub:

GRUB_CMDLINE_LINUX="systemd.log_target=kmsg systemd.log_level=debug"
Tags: Programování | Počítače | Vývoj | Linux | Fedora | Operační systém