Technical

November 15, 2023
in Technical
12 min read

Hướng dẫn cài đặt PowerDNS

Overall architecture

Kiến trúc trên bao gồm 3 server Authoriative chỉ phục vụ resolve private DNS, 2 server Recusor để resolve public DNS.
Client nếu muốn chỉ resolve private DNS thì chỉ cần trỏ về Authoritative, muốn resolve cả hai thì trỏ DNS server về Recursor.
Để resolve được public DNS, các server Recursor cần có public IP
Cài đặt VIP trên các server, tham khảo thêm tại Create VIPs by Keepalived.

Cài đặt PDNS Authoritative

Quy hoạch domain

Để PDNS hoạt động được trên nhiều server, ta tiến hành quy hoạch domain cho chúng như sau:

server	domain
10.10.40.100	ns1.dns.stg
10.10.40.101	ns2.dns.stg
10.10.40.102	ns3.dns.stg

Thêm các records vào /etc/hosts của cả 3 server

/etc/hosts
1 2 3	`10.10.40.100 ns1.dns.stg 10.10.40.101 ns2.dns.stg 10.10.40.102 ns3.dns.stg`

Cài đặt MySQL sử dụng làm backend cho PDNS

Có nhiều database có thể sử dụng làm backend cho PDNS, trong phạm vi bài viết này, mình sử dụng MySQL do có nhiều sự quen thuộc.
Tùy thuộc vào hệ điều hành, cách thức cài đặt mysql sẽ khác nhau. Tiếp cận từng bước theo MySQL Installation Guide để cài đặt.

Trước khi cài đặt, cần chuẩn bị script các bảng trong database.

pdns.sql
CREATE TABLE domains (
  id                    INT AUTO_INCREMENT,
  name                  VARCHAR(255) NOT NULL,
  master                VARCHAR(128) DEFAULT NULL,
  last_check            INT DEFAULT NULL,
  type                  VARCHAR(8) NOT NULL,
  notified_serial       INT UNSIGNED DEFAULT NULL,
  account               VARCHAR(40) CHARACTER SET 'utf8' DEFAULT NULL,
  options               VARCHAR(64000) DEFAULT NULL,
  catalog               VARCHAR(255) DEFAULT NULL,
  PRIMARY KEY (id)
) Engine=InnoDB CHARACTER SET 'latin1';

CREATE UNIQUE INDEX name_index ON domains(name);
CREATE INDEX catalog_idx ON domains(catalog);


CREATE TABLE records (
  id                    BIGINT AUTO_INCREMENT,
  domain_id             INT DEFAULT NULL,
  name                  VARCHAR(255) DEFAULT NULL,
  type                  VARCHAR(10) DEFAULT NULL,
  content               VARCHAR(64000) DEFAULT NULL,
  ttl                   INT DEFAULT NULL,
  prio                  INT DEFAULT NULL,
  disabled              TINYINT(1) DEFAULT 0,
  ordername             VARCHAR(255) BINARY DEFAULT NULL,
  auth                  TINYINT(1) DEFAULT 1,
  PRIMARY KEY (id)
) Engine=InnoDB CHARACTER SET 'latin1';

CREATE INDEX nametype_index ON records(name,type);
CREATE INDEX domain_id ON records(domain_id);
CREATE INDEX ordername ON records (ordername);


CREATE TABLE supermasters (
  ip                    VARCHAR(64) NOT NULL,
  nameserver            VARCHAR(255) NOT NULL,
  account               VARCHAR(40) CHARACTER SET 'utf8' NOT NULL,
  PRIMARY KEY (ip, nameserver)
) Engine=InnoDB CHARACTER SET 'latin1';


CREATE TABLE comments (
  id                    INT AUTO_INCREMENT,
  domain_id             INT NOT NULL,
  name                  VARCHAR(255) NOT NULL,
  type                  VARCHAR(10) NOT NULL,
  modified_at           INT NOT NULL,
  account               VARCHAR(40) CHARACTER SET 'utf8' DEFAULT NULL,
  comment               TEXT CHARACTER SET 'utf8' NOT NULL,
  PRIMARY KEY (id)
) Engine=InnoDB CHARACTER SET 'latin1';

CREATE INDEX comments_name_type_idx ON comments (name, type);
CREATE INDEX comments_order_idx ON comments (domain_id, modified_at);


CREATE TABLE domainmetadata (
  id                    INT AUTO_INCREMENT,
  domain_id             INT NOT NULL,
  kind                  VARCHAR(32),
  content               TEXT,
  PRIMARY KEY (id)
) Engine=InnoDB CHARACTER SET 'latin1';

CREATE INDEX domainmetadata_idx ON domainmetadata (domain_id, kind);


CREATE TABLE cryptokeys (
  id                    INT AUTO_INCREMENT,
  domain_id             INT NOT NULL,
  flags                 INT NOT NULL,
  active                BOOL,
  published             BOOL DEFAULT 1,
  content               TEXT,
  PRIMARY KEY(id)
) Engine=InnoDB CHARACTER SET 'latin1';

CREATE INDEX domainidindex ON cryptokeys(domain_id);


CREATE TABLE tsigkeys (
  id                    INT AUTO_INCREMENT,
  name                  VARCHAR(255),
  algorithm             VARCHAR(50),
  secret                VARCHAR(255),
  PRIMARY KEY (id)
) Engine=InnoDB CHARACTER SET 'latin1';

CREATE UNIQUE INDEX namealgoindex ON tsigkeys(name, algorithm);

Sau khi cài đặt thành công, tạo database và user như sau:

Trên 10.10.40.100

Tạo database và user

create database dns1;
CREATE USER 'pdns'@'10.10.40.101' IDENTIFIED WITH mysql_native_password BY 'Nm2zdZy46X2i44RN';
GRANT USAGE ON *.* TO `pdns`@`10.10.40.101`;
grant all privileges on dns1.* to 'pdns'@'10.10.40.101';
flush privileges;

Import file database đã chuẩn bị ở trên vào database
```
mysql -u root -p dns1 < pdns.sql
```

Trên 10.10.40.101

Tạo database và user

create database dns2;
CREATE USER 'pdns'@'10.10.40.101' IDENTIFIED WITH mysql_native_password BY 'Nm2zdZy46X2i44RN';
GRANT USAGE ON *.* TO `pdns`@`10.10.40.101`;
grant all privileges on dns2.* to 'pdns'@'10.10.40.101';
flush privileges;

Import file database đã chuẩn bị ở trên vào database
```
mysql -u root -p dns2 < pdns.sql
```

Login vào database và thêm vào dòng sau:

insert into supermasters values ('10.10.40.100','ns2.dns.stg','');

Trên 10.10.40.102

Tạo database và user

create database dns3;
CREATE USER 'pdns'@'10.10.40.102' IDENTIFIED WITH mysql_native_password BY 'Nm2zdZy46X2i44RN';
GRANT USAGE ON *.* TO `pdns`@`10.10.40.102`;
grant all privileges on dns3.* to 'pdns'@'10.10.40.102';
flush privileges;

Import file database đã chuẩn bị ở trên vào database
```
mysql -u root -p dns3 < pdns.sql
```

Login vào database và thêm vào dòng sau:

insert into supermasters values ('10.10.40.100','ns3.dns.stg','');

Cài đặt PDNS

Tiếp cận từng bước theo powerdns repo để cài đặt phiên bản phù hợp. CentOS7 và 4.7.4 được sử dụng trong bài này. Cài đặt nó và các thư viện cần sử dụng trên cả ba server:

yum -y update
yum install -y epel-release yum-plugin-priorities
curl -o /etc/yum.repos.d/powerdns-auth-47.repo https://repo.powerdns.com/repo-files/el-auth-47.repo
yum install -y pdns pdns-backend-mysql mysql-devel

Kiểm tra kết quả cài đặt

1	`pdns_server --version`

Kết quả phải tương tự như:

Nov 15 11:34:18 PowerDNS Authoritative Server 4.7.4 (C) 2001-2022 PowerDNS.COM BV
Nov 15 11:34:18 Using 64-bits mode. Built using gcc 8.3.1 20190311 (Red Hat 8.3.1-3) on Apr 17 2023 07:39:17 by root@89eec22969dd.
Nov 15 11:34:18 PowerDNS comes with ABSOLUTELY NO WARRANTY. This is free software, and you are welcome to redistribute it according to the terms of the GPL version 2.
Nov 15 11:34:18 Features: libcrypto-ecdsa libgeoip libmaxminddb lua lua-records PKCS#11 protobuf sodium curl DoT 
Nov 15 11:34:18 Built-in modules: 
Nov 15 11:34:18 Configured with: " '--build=x86_64-redhat-linux-gnu' '--host=x86_64-redhat-linux-gnu'

Tiếp theo, config pdns trên các server

Master

Chỉnh sửa config của pdns tại /etc/pdns/pdns.conf

/etc/pdns/pdns.conf

# Allow zone transfers from specified IP addresses
allow-axfr-ips=127.0.0.0/8,::1, 10.10.40.101/32, 10.10.40.102/32
# Notify these IP addresses when the zone is updated
also-notify=10.10.40.101,10.10.40.102
# Set the local port for incoming DNS queries
local-port=53
# Enable PowerDNS API
api=yes
# API key for authentication
api-key=citadel-ambiguous-reapply-applause-monsoon
# Specify the directory where PowerDNS looks for its configuration files
config-dir=/etc/pdns
# Run PowerDNS as a daemon in the background
daemon=yes
# Enable or disable zone transfers
disable-axfr=no
# Enable or disable syslog logging
disable-syslog=no
# Enable the guardian process
guardian=yes
# Launch with the gmysql backend
launch=gmysql
# MySQL database settings for gmysql backend
gmysql-host=10.10.40.100
gmysql-port=3306
gmysql-user=pdns
gmysql-password=Nm2zdZy46X2i44RN
gmysql-dbname=dns1
gmysql-dnssec=yes
# Specify local IP addresses to bind to
local-address=10.10.40.100,10.10.40.111
# Log DNS details and queries
log-dns-details=yes
log-dns-queries=yes
# Log timestamps with log entries
log-timestamp=yes
# Set the logging facility and log level
logging-facility=6
loglevel=9
# Configure PowerDNS as a master server
master=yes
# Time-to-live for negative DNS query cache
negquery-cache-ttl=60
# Allow binding to non-local addresses
non-local-bind=yes
# Specify local IP addresses for queries
query-local-address=10.10.40.100,10.10.40.111
# Enable or disable query logging
query-logging=no
# Set the server ID
server-id=ns1
# Set the group and user ID for the PowerDNS process
setgid=pdns
setuid=pdns
# Enable the webserver
webserver=yes
# Webserver address and allowed IP addresses
webserver-address=127.0.0.1
webserver-allow-from=127.0.0.1,::1,10.10.40.100

Slave

Tương tự như master, thay đỏi địa chỉ trên mỗi slave cho phù hợp

/etc/pdns/pdns.conf

# Specify IP addresses allowed to notify this server
allow-notify-from=10.10.40.100/32
# Enable automatic provisioning of secondary zones
autosecondary=yes
# Specify the directory where PowerDNS looks for its configuration files
config-dir=/etc/pdns
# Run PowerDNS as a daemon in the background
daemon=yes
# Enable or disable syslog logging
disable-syslog=no
# Enable the guardian process
guardian=yes
# Set the local port for incoming DNS queries
local-port=53
# Launch with the gmysql backend
launch=gmysql
# MySQL database settings for gmysql backend
gmysql-host=10.10.40.101
gmysql-port=3306
gmysql-user=pdns
gmysql-password=Nm2zdZy46X2i44RN
gmysql-dbname=dns2
gmysql-dnssec=yes
# Specify local IP addresses to bind to
local-address=10.10.40.101,10.10.40.112
# Log DNS details and queries
log-dns-details=yes
log-dns-queries=yes
# Log timestamps with log entries
log-timestamp=yes
# Set the logging facility and log level
logging-facility=6
loglevel=9
# Time-to-live for negative DNS query cache
negquery-cache-ttl=60
# Allow binding to non-local addresses
non-local-bind=yes
# Specify local IP addresses for queries
query-local-address=10.10.40.101,10.10.40.112
# Enable or disable query logging
query-logging=yes
# Specify that this server is a secondary server
secondary=yes
# Set the server ID
server-id=ns2
# Set the group and user ID for the PowerDNS process
setgid=pdns
setuid=pdns
# Specify that this is a slave server
slave=yes
# Time interval for checking for zone updates (in seconds)
slave-cycle-interval=60
# Enable the webserver
webserver=yes
# Webserver address
webserver-address=127.0.0.1

Start pdns trên cả 3 server

systemctl enable pdns
systemctl start pdns

Kiểm tra trạng thái service, kết quả nên là

● pdns.service - PowerDNS Authoritative Server
   Loaded: loaded (/usr/lib/systemd/system/pdns.service; disabled; vendor preset: disabled)
   Active: active (running) since T3 2023-11-14 15:35:35 +07; 23h ago
     Docs: man:pdns_server(1)
           man:pdns_control(1)
           https://doc.powerdns.com
 Main PID: 29723 (pdns_server)
   CGroup: /system.slice/pdns.service
           └─29723 /usr/sbin/pdns_server --socket-dir=/run/pdns --guardian=no --daemon=no --disable-syslog --log-timestamp=no --write-pid=no

Cài đặt PowerDNS-Admin

Đây là một web UI sử dụng pdns API để quản lý cluster. tiếp cận từng bước theo PowerDNS-Admin wiki để cài đặt.
Sử dụng Supervisord để setup web server

Thay đổi file config của PowerDNS-Admin

/etc/pdns/powerdns-admin.py
import os
import urllib.parse
basedir = os.path.abspath(os.path.dirname(__file__))

### BASIC APP CONFIG
SALT = '$2b$12$yLUMTIfl21FKJQpTkRQXCu'
SECRET_KEY = 'AWrjcUZbeofCcTUju4nzW62rprFDcCKn'
BIND_ADDRESS = '10.10.40.100'
PORT = 9191
HSTS_ENABLED = False
OFFLINE_MODE = False
FILESYSTEM_SESSIONS_ENABLED = False
SESSION_COOKIE_SAMESITE = 'Lax'
CSRF_COOKIE_HTTPONLY = True

### DATABASE CONFIG
SQLA_DB_USER = 'pdnsadminuser'
SQLA_DB_PASSWORD = 'jGabSjQUdMjHQ8RD6b'
SQLA_DB_HOST = '10.10.40.100'
SQLA_DB_NAME = 'powerdnsadmin'
SQLALCHEMY_TRACK_MODIFICATIONS = True

### DATABASE - MySQL
SQLALCHEMY_DATABASE_URI = 'mysql://{}:{}@{}/{}'.format(
    urllib.parse.quote_plus(SQLA_DB_USER),
    urllib.parse.quote_plus(SQLA_DB_PASSWORD),
    SQLA_DB_HOST,
    SQLA_DB_NAME
)

### DATABASE - SQLite
# SQLALCHEMY_DATABASE_URI = 'sqlite:///' + os.path.join(basedir, 'pdns.db')

# SAML Authnetication
SAML_ENABLED = False
SAML_ASSERTION_ENCRYPTED = True

Start dịch vụ PowerDNS-Admin

supervisorctl reread
supervisorctl update
supervisorctl start powerdnsadmin

Kiểm tra trạng thái của dịch vụ
```
supervisorctl status powerdnsadmin
```

Kết quả nên là

powerdnsadmin                    RUNNING   pid 45197, uptime 5 days, 3:44:25

Tới đây, cài đặt xem như đã hoàn tất. Nếu không có nhu cầu sử dụng recursor, client có thể phân giải DNS bằng cách thay đổi DNS server về các VIP/IP của pdns server. Người dùng có thể vào giao diện web tại http://10.10.40.100:9191 để sử dụng PowerDNS-Admin
Sau khi vào giao diện, tạo tài khoản mới, tài khoản đầu tiên đươc tạo sẽ là tài khoản admin.
Sau khi có tài khoản, tiến hành đăng nhập. Và cấu hình API để có PowerAdmin có thể sử dụng pdns API
- Tại thanh công cụ bên trái, chọn Settings → PDNS
- Nhập vào thông tin URL và API key được cài đặt ở master
Tạo domain dns.stg với các records như sau:

Cài đặt PDNS Recursor

Tiếp cận từng bước theo Recursor Installation để cài đặt pdns-recursor theo hệ điều hành của mình.

Config recursor, thay đổi địa chỉ IP và các config khác cho phù hợp

recursor.conf: file config chính của recursor

/etc/pdns-recursor/recursor.conf

# Read allowed IP addresses from a file
allow-from-file=/etc/pdns-recursor/allow
# Enable or disable syslog logging
disable-syslog=no
# Log DNSSEC validation failures as warnings
dnssec-log-bogus=yes
# Specify a file with forward zones
forward-zones-file=/etc/pdns-recursor/forward-zones
# Specify local IP addresses to bind to
local-address=127.0.0.1,10.10.40.103,10.10.40.116,10.10.40.117
# Set the local port for incoming DNS queries
local-port=53
# Set the logging facility and log level
logging-facility=6
loglevel=6
# Maximum number of cache entries
max-cache-entries=1000000
# Maximum Time-to-Live (TTL) for cached items
max-cache-ttl=3600
# Time-to-Live (TTL) for negative cache entries
max-negative-ttl=0
# Allow binding to non-local addresses
non-local-bind=yes
# Enable or disable quiet mode
quiet=no
# Suffix for security poll queries
security-poll-suffix=
# Set the group and user ID for the PowerDNS recursor process
setgid=pdns-recursor
setuid=pdns-recursor
# Number of worker threads
threads=8

forward-zones: recursor sẽ đi hỏi DNS của các domain được tương ứng với các địa chỉ được cấu hình trong file. Config dưới đây nghĩa là, nếu client yêu cầu resolve domain dns.stg thì sẽ hỏi các server pdns Authoritative, còn không thì sẽ trả DNS public (của google và cloudflare)
/etc/pdns-recursor/forward-zones
1 2
dns.stg =10.10.40.111, 10.10.40.112, 10.10.40.102 +.=8.8.8.8, 1.1.1.1
allow: recursor sẽ chỉ cho các server có IP được quy dịnh đươc resolve domain
/etc/pdns-recursor/allow
1 2 3
127.0.0.0/8 10.0.0.0/8 192.168.0.0/16

September 24, 2023
in Technical
1 min read

Hướng dẫn đổi tên NIC bền vững trên hệ điều hành linux

Trong quá trình vận hành hệ thống, nhiều lúc chúng ta phải thay đổi hạ tầng. Trong nhiều tình huống như vậy, một số hệ thống được cài đặt và cấu hình dựa trên MAC/NIC. Trong bài viết này, hướng dẫn cách đổi tên card mạng để bền vững trên hệ thống mới.

Disable the predictable naming rule by system.
- Mở file kernel booting của hệ thống tại /etc/default/grub
```
vim /etc/default/grub
```
- Thêm net.ifnames=0 vào dòng GRUB_CMDLINE_LINUX
  /etc/default/grub
```
...
GRUB_CMDLINE_LINUX="crashkernel=auto net.ifnames=0 rd.lvm.lv=centos/root rd.lvm.lv=centos/swap rhgb quiet"
...
```
- Thực hiện chạy câu lệnh để tạo lại cấu hình GRUB với các tham số kernel đã update.
```
sudo grub2-mkconfig -o /boot/grub2/grub.cfg
```
Tạo naming rule để ghi đè default network
- Mở file tạo rule ghi đè
```
vim /etc/udev/rules.d/70-persistent-net.rules
```
- Thêm vào dòng sau, thay đổi MAC với địa chỉ MAC của bạn. Rule này sẽ đổi tên card mạng hiện có eth0 thành sushi. Nếu có nhiều card mạng cần đổi tên/cấu hình. Lần lượt thay số prefix 70 thêm các số khác.
  /etc/udev/rules.d/70-persistent-net.rules
```
SUBSYSTEM=="net", ACTION=="add", DRIVERS=="?*", ATTR{address}=="08:00:27:a9:7a:e1", ATTR{type}=="1", KERNEL=="eth0", NAME="sushi"
```
- Reboot và cấu hình sẽ được apply

July 25, 2023
in Technical
3 min read

Grafana, Prometheus và Alertmanager

Chạy bằng docker

Tạo các file config sau

docker-compose.yml
version: '3.8'

networks:
  monitoring:
    driver: bridge

volumes:
  prometheus_data: {}

services:
  prometheus:
    image: prom/prometheus:latest
    container_name: prometheus
    restart: unless-stopped
    volumes:
      - ./prometheus.yml:/etc/prometheus/prometheus.yml
      - ./nginx.yml:/etc/prometheus/rules/nginx.yml
      - ./prometheus_data:/prometheus
    command:
      - '--config.file=/etc/prometheus/prometheus.yml'
      - '--storage.tsdb.path=/prometheus'
      - '--storage.tsdb.retention.time=2400h'
      - '--query.max-concurrency=200'
      - '--web.console.libraries=/etc/prometheus/console_libraries'
      - '--web.console.templates=/etc/prometheus/consoles'
      - '--web.enable-lifecycle'
      - '--web.enable-admin-api'
    ports:
      - '9090:9090'
    networks:
      - monitoring
    extra_hosts:
      - "host.docker.internal:host-gateway"
  grafana:
    image: grafana/grafana-oss
    container_name: grafana
    restart: unless-stopped
    volumes:
      - ./grafana_data:/var/lib/grafana
    ports:
     - '3000:3000'
    networks:
     - monitoring
  alertmanager:
    image: prom/alertmanager:v0.27.0
    restart: unless-stopped
    volumes:
      - ./alertmanager.yml:/etc/alertmanager/alertmanager.yml
      - ./alertmanager_data:/alertmanager
    ports:
      - 9093:9093
    command:
    - '--config.file=/etc/alertmanager/alertmanager.yml'
    - '--log.level=info'
    - '--storage.path=/alertmanager'
    - '--data.retention=240h'
    networks:
     - monitoring

prometheus.yml
global:
  scrape_interval: 15s # Set the scrape interval to every 15 seconds. Default is every 1 minute.
  evaluation_interval: 15s # Evaluate rules every 15 seconds. The default is every 1 minute.
alerting:
  alertmanagers:
    - static_configs:
        - targets:
          - http://alertmanager:9095
rule_files:
  - /etc/prometheus/rules/*.yml

scrape_configs:
  - job_name: "prometheus"
    static_configs:
      - targets: ["localhost:9090"]
        labels: {"cluster" : "dev"}
  - job_name: 'nginx_stast'
    static_configs:
      - targets:
        - '10.0.0.10:8088'
        - '10.1.0.11:8088'
    metrics_path: "/stats/format/prometheus"

alertmanager.yml
global:
  resolve_timeout: 5m
# https://github.com/prometheus/alertmanager/blob/main/doc/examples/simple.yml

route:
  group_by: ['alertname', 'cluster', 'service']
  group_wait: 30s
  group_interval: 5m
  repeat_interval: 3h
  receiver: team-X-mails

routes:
  - matchers:
      - service=~"foo1|foo2|baz"
    receiver: team-X-mails

    routes:
      - matchers:
          - severity="critical"
        receiver: team-X-pager
  - matchers:
      - service="files"
    receiver: team-Y-mails

    routes:
      - matchers:
          - severity="critical"
        receiver: team-Y-pager

  - matchers:
      - service="database"
    receiver: team-DB-pager
    # Also group alerts by affected database.
    group_by: [alertname, cluster, database]
    routes:
      - matchers:
          - owner="team-X"
        receiver: team-X-pager
        continue: true
      - matchers:
          - owner="team-Y"
        receiver: team-Y-pager



inhibit_rules:
  - source_matchers: [severity="critical"]
    target_matchers: [severity="warning"]
    # Apply inhibition if the alertname is the same.
    # CAUTION:
    #   If all label names listed in `equal` are missing
    #   from both the source and target alerts,
    #   the inhibition rule will apply!
    equal: [alertname, cluster, service]


receivers:
- name: 'webhook'
  webhook_configs:
  - url: 'http://alert.example.com/api/'
    http_config:
      basic_auth:
        username: 'user'
        password: 'pass'
    send_resolved: true
- name: 'team-X-mails'
  email_configs:
    - to: '[email protected]'
- name: 'team-DB-pager'
  pagerduty_configs:
    - service_key: <team-DB-key>

nginx.yml
# https://github.com/prometheus/prometheus/blob/release-3.2/config/testdata/first.rules
groups:
- name: nginx
  rules:
  - alert: NginxHigh4xxRate
    expr: rate(nginx_vts_server_requests_total{code="4xx"}[5m]) > 100
    for: 5m
    labels:
      severity: warning
      group: nginx
    annotations:
      summary: "High rate of 4xx errors on {{ $labels.host }}"
      description: "The Nginx server at {{ $labels.host }} is experiencing a high rate ({{ $value }} requests per second) of 4xx errors in the last 5 minutes."

- Chạy bằng cách run command sau

docker compose up -d

- Stop bằng command

docker-compose down

March 1, 2023
in Technical
4 min read

Tạo user và grant root permission trên linux

ShellScript này tạo một người dùng mới và thêm vào nhóm 'wheel'. Với khả năng nhập thông tin từ bàn phím như tên người dùng, mật khẩu và publickey, đơn giản hóa quá trình quản lý người dùng trên hệ thống Linux.

Full code

adduser.sh
# =========================================
# Date      : 2023-09-29 17:13:59
# Author    : Son Nguyen-Hong ([email protected])
# Link      : sonnh.net
# File      : adduser.sh
# =========================================

#!/bin/bash

USER='sonnh11' # Input your username here
PASSWD=''      # Input your password. If not, use random password
PUBLIC_KEY=$(<public_key)

# Colors
RED='\033[0;31m'
GREEN='\033[0;32m'
YELLOW='\033[0;33m'
PLAIN='\033[0m'
PACKAGE_COMMAND=''
SECRET_FILE='secret.txt'

# check root
if [ $(/usr/bin/id -u) -ne 0 ]; then
    printf "${RED}Error: This script must be running as root${PLAIN}\n"
    exit 1
fi

OS_check() {
    if [ -f /etc/os-release ]; then
        . /etc/os-release
        case $NAME in
        "Ubuntu")
            OS_FAMILY=1 #define a variable for OS family
            PACKAGE_COMMAND="apt-get"
            ;;
        "CentOS Linux" | "Red Hat Enterprise Linux" | "Amazon Linux")
            OS_FAMILY=2
            PACKAGE_COMMAND="yum"
            ;;
        *)
            printf "${YELLOW}Error: OS not supported${PLAIN} \n"
            exit 1
            ;;
        esac
    else
        printf "${RED}Error:  Cannot check OS information${PLAIN}\n"
        exit 1
    fi

    if [ ! -e '/usr/bin/openssl' ]; then
        $PACKAGE_COMMAND -y install openssl
    fi

    # install ssh
    if [ ! -e '/usr/bin/ssh' ]; then
        $PACKAGE_COMMAND -y install openssh-server openssh-clients >/dev/null 2>&1 
        systemctl start sshd >/dev/null 2>&1 
        systemctl enable sshd >/dev/null 2>&1
    fi
}

generate_secret() {
    echo "adduser.sh help?
    ${GREEN}sudo ./adduser.sh username public_key password
    ${PLAIN}or if you fill username in scirpt and provide public key in file template
    ${GREEN} sudo ./adduser.sh ${PLAIN}
    "
    if [ -z "$1" ] && [ -z "$2" ] && [ -z "$3" ]; then
        USER=$1
        PUBLIC_KEY=$2
        PASSWD=$3
    elif [ -z "$USER" ]; then
        echo "${RED}Error: You not yet provide username${PLAIN}"
        shift 63
    fi

    if [ -z "$PASSWD" ]; then
        echo "${YELLOW}Warning: You use auto generate password${PLAIN}"
        PASSWD="$(
            echo $RANDOM | md5sum | head -c 20
            echo
        )"
        echo "Your password is:" "$PASSWD" >> $SECRET_FILE
    fi

    if [ -z "$PUBLIC_KEY" ]; then
        echo "${YELLOW}Warning: You use auto generate public key${PLAIN}"
        ssh-keygen -q -t rsa -N '' -f ~/secret <<<y >/dev/null 2>&1
        PUBLIC_KEY=$(cat ~/secret.pub)
        echo "Your secret key is below.\n" "$($cat ~/secret)" >> $SECRET_FILE
    fi
    rm -rf ~/secret secret.txt

}

addnewUser() {
    if [ ! -d "/home/$USER" ]; then
        if [[ $OS_FAMILY -eq 1 ]]; then #ubuntu
            adduser --disabled-password --gecos "" $USER
            echo $USER:$PASSWD | chpasswd
        else #centos and ret hat
            adduser -p $(openssl passwd -1 $PASSWD) $USER
        fi
    else
        printf "${RED}Error: ${PLAIN} Add user fail!\n"
    fi

    echo "$USER  ALL=(ALL) NOPASSWD:ALL" | sudo tee "/etc/sudoers.d/$USER"
    usermod -aG wheel "$USER"

    mkdir /home/$USER/.ssh
    chmod 700 /home/$USER/.ssh
    chown $USER:$USER /home/$USER/.ssh
    echo "$PUBLIC_KEY" >/home/$USER/.ssh/authorized_keys
    chmod 700 /home/$USER/.ssh/authorized_keys
    chown $USER:$USER /home/$USER/.ssh/authorized_keys

}

main() {
    OS_check
    generate_secret
    addnewUser

}

main

Explanation

Variable

USER: Biến chứa tên người dùng, mặc định là 'sonnh11'.
PASSWD: Biến chứa mật khẩu, cho phép nhập từ bàn phím hoặc nhúng vào code. Nếu không, tự tạo một chuỗi mật khẩu ngẫy nhiên
PUBLIC_KEY: Biến chứa public key, được đọc từ tệp public_key. Có thể nhập từ bàn phím để ghi đè nội dung trong file. Nếu cả nội dung trong file và nhập từ bàn phím đều trống, tự generate một public key

Màu Sắc:

RED, GREEN, YELLOW, PLAIN: Biến chứa mã màu để làm cho in ra màn hình dễ đọc.

Các Bước Kiểm Tra:

Kiểm tra xem script được chạy với quyền root không.
Kiểm tra hệ điều hành để xác định gia đình hệ điều hành (Ubuntu hoặc CentOS/RHEL) và thiết lập các biến liên quan.
Kiểm Tra và Cài Đặt Gói:
- Kiểm tra xem openssl đã được cài đặt hay chưa. Nếu không, cài đặt nó.
- Kiểm tra xem ssh đã được cài đặt hay chưa. Nếu không, cài đặt và khởi động dịch vụ SSH.

Các hàm sử dụng

Hàm generate_secret:

Hướng dẫn sử dụng script và các tham số cần truyền.
Nếu các tham số không được cung cấp, sử dụng giá trị mặc định và tạo ra mật khẩu và public key nếu chúng không được cung cấp.

Hàm addnewUser:

Tạo người dùng mới nếu thư mục người dùng không tồn tại.
Thêm người dùng vào nhóm wheel và cấp quyền sudo.
Tạo thư mục .ssh và đặt quyền truy cập public key.

Hàm main:

Gọi các hàm theo thứ tự để thực hiện các bước chính của chương trình.

Lưu ý:

Script kiểm tra quyền root để đảm bảo an toàn khi thực hiện các thay đổi hệ thống quan trọng.
Tương tác với người dùng để nhập thông tin cần thiết, như mật khẩu và khóa công khai.
Sử dụng biến màu sắc để cải thiện trải nghiệm người dùng khi hiển thị thông điệp.

March 1, 2023
in Technical
3 min read

Hướng dẫn cài đặt địa chỉ ảo bằng Keepalived trên linux

Khởi tạo máy ảo

Giống như các bài lab khác, ta sử dụng Vagrant để tạo các máy ảo phục vụ cho bài lab. Dưới đây là Vagrantfile cho bài lab này

Vagrant.configure("2") do |config|
    config.ssh.insert_key = false
    config.vm.define "keepalived-1" do |cf1|
      cf1.vm.box = "centos/7"
      cf1.vm.hostname ="keepalived-1"
      cf1.vm.network :private_network, ip: "10.0.0.10"
      cf1.vm.provider "virtualbox" do |vb|
          vb.memory = "2000"
      end
    end

    config.ssh.insert_key = false
    config.vm.define "keepalived-2" do |cf1|
      cf1.vm.box = "centos/7"
      cf1.vm.hostname ="keepalived-2"
      cf1.vm.network :private_network, ip: "10.0.0.15"
      cf1.vm.provider "virtualbox" do |vb|
          vb.memory = "2000"
      end
    end

end

Run vagrant và ssh vào máy ảo
```
vagrant up
```

Cài đặt các package cần thiết để build

Cài đặt kernel

yum -y install kernel-headers kernel-devel curl gcc openssl-devel libnl3-devel net-snmp-devel wget

Cài đặt keepalive

Download keepalive

cd /opt
wget https://www.keepalived.org/software/keepalived-2.2.8.tar.gz --no-check-certificate
tar -xvzf keepalived-2.2.8.tar.gz
ln -s keepalived-2.2.8 keepalived
cd keepalived
./configure --prefix=/usr/local/keepalived
make && make install

Bạn có thể build đồng thời trên 2 VM hoặc build trên 1 VM rồi sync sang VM còn lại. Nếu sử dụng phương án 2, chú ý rằng các package vẫn phải được cài đặt đầy đủ.

Cấu hình keepalive

Tạo file cấu hình

Trên MASTER: 10.0.0.10

/usr/local/keepalived/etc/keepalived.conf
vrrp_instance KEEPALIVED_VIP {
    state MASTER # or "BACKUP" on backup
    mcast_src_ip 10.0.0.10
    interface eth1
    priority 101 # 101 on master, 100 on backup
    virtual_router_id 101
    advert_int 1
    use_vmac
    #smtp_alert # Activate SMTP notifications

    authentication {
        auth_type PASS
        auth_pass keepalivedlab_pass
    }

    virtual_ipaddress {
        10.0.0.100/24 dev eth0
    }
}

Trên SLAVE 10.0.0.15

/usr/local/keepalived/etc/keepalived.conf
vrrp_instance KEEPALIVED_VIP {
    state BACKUP # or "BACKUP" on backup
    mcast_src_ip 10.0.0.15
    interface eth1
    priority 100 # 101 on master, 100 on backup
    virtual_router_id 102
    advert_int 1
    use_vmac
    #smtp_alert # Activate SMTP notifications

    authentication {
        auth_type PASS
        auth_pass keepalivedlab_pass
    }

    virtual_ipaddress {
        10.0.0.100/24 dev eth0
    }
}

Tạo file binary để quản lý keepalive

/opt/init.d/keepalived

#!/bin/sh
#
# Startup script for the Keepalived daemon
#
# processname: keepalived
# pidfile: /var/run/keepalived.pid
# config: /usr/local/keepalived/etc/keepalived.conf
# description: Start and stop Keepalived

# Global definitions
PID_FILE="/var/run/keepalived.pid"
BIN_DIR="/usr/local/keepalived/sbin"
CONFIG_DIR="/usr/local/keepalived/etc"
RETVAL=0
# source function library
. /etc/init.d/functions

start() {
    echo -n "Starting Keepalived for LVS: "
    daemon $BIN_DIR/keepalived -f $CONFIG_DIR/keepalived.conf -D --log-facility 5
    RETVAL=$?
        echo
        [ $RETVAL -eq 0 ] && touch /var/lock/subsys/keepalived
        return $RETVAL
}

stop() {
    echo -n "Shutting down Keepalived for LVS: "
    killproc keepalived
    RETVAL=0
        echo
        [ $RETVAL -eq 0 ] && rm -f /var/lock/subsys/keepalived
        return $RETVAL
}

reload() {
    echo -n "Reloading Keepalived config: "
    killproc keepalived -1
    RETVAL=$?
        echo
        return $RETVAL
}

# See how we were called.
case "$1" in
  start)
        start
        ;;
  stop)
        stop
        ;;
  restart)
        stop
        start
        ;;
  reload)
        reload
        ;;
  status)
        status keepalived
        ;;
  condrestart)
        [ -f /var/lock/subsys/keepalived ] && $0 restart || :
        ;;
  *)
    echo "Usage: $0 {start|stop|restart|reload|condrestart|status}"
    exit 1
esac

exit 0
~

Start keepalive

chmod +x /opt/init.d/keepalived
/opt/init.d/keepalived start