checking for ffmpeg headers… configure: error: ffmpeg headers not found. Make sure you’ve built ffmpeg as shared libs using the —enable-shared option 
Если ffmpeg не компилится с ошибкой checking for ffmpeg headers… configure: error: ffmpeg headers not found. Make sure you’ve built ffmpeg as shared libs using the —enable-shared option на centOS, нужно поправить пути

Как то так:
ln -s /usr/include/ffmpeg/libavformat /usr/local/include/libavformat
ln -s /usr/include/ffmpeg/libavfilter /usr/local/include/libavfilter
ln -s /usr/include/ffmpeg/libavdevice /usr/local/include/libavdevice
ln -s /usr/include/ffmpeg/libavcodec /usr/local/include/libavcodec
ln -s /usr/include/ffmpeg/libswscale /usr/local/include/libswscale


Найти где лежат файлы можно командой find / -name "avcodec.h" -print, что бы узнать где они ищутся можно с пом помощью strace ./configure


[ view entry ] ( 1470 views )   |  permalink  |  $star_image$star_image$star_image$star_image$star_image ( 3.1 / 1119 )
Примерный список действий чтобы победить руткиты 
Повышаем безопасность сервера:

1.Устанавливаем rkhunter + clamscan + fail2ban

выполняем проверку:

> rkhunter -c --rwo --sk > /root/rkhunter.log
> rkhunter --propupdate


> clamscan -ri / > /root/clamscan.log


Правим если есть проблемы.

Пишем скрипт для периодической проверки с отсылкой отчета на email и добавляем его в крон:

#!/bin/bash
clamscan -ri /var/www > /tmp/clamscan.log
cat /tmp/clamscan.log | mail -s "Clamscan Report IP" CLIENT_MAIL -- -f sys@localhost
rm -f /tmp/clamscan.log
rkhunter -c --rwo --sk > /tmp/rkhunter.log
cat /tmp/rkhunter.log | mail -s "Rkhunter Report IP" CLIENT_MAIL -- -f sys@localhost
rm -f /tmp/rkhunter.log


2.
Удаляем ненужную фигню : inetd xinetd ypserv tftp-server telnet-server rsh-serve т.д.

Удаляем компиляторы если они не нужны
gcc — компилятор GNU С.
g+ — компилятор GNU C++.
g77 — компилятор GNU Fortran.
as/gas/nasm — три наиболее популярных ассемблера для Linux.
gdb — отладчик C/C++.
Perl — интерпретатор языка Perl. Многие приложения требуют Perl для своей работы, поэтому перед его удалением нужно убедиться, что не нарушена работа этих приложений.
Tcl/Tk — удалив компилятор Tcl/Tk из системы, нужно учесть, что перестанут работать все Тсl/Тк-приложения.

3.
Обновляем все что можно.
особенно openssl

4.
Ставим нормальный пароль на root

Проверяем что нет пустых паролей

> awk -F: '($2 == "" {print}' /etc/shadow


если есть то блокируем

> passwd -l accountName


Проверяем что нет учеток с правами root

> awk -F: '($3 == "0" {print}' /etc/passwd



5.Настраиваем ssh
Меняем порт с 22 на нестандартный

Закрываем доступ под root PermitRootLogin no

Настраиваем fail2ban

[ssh-iptables]

enabled = true
filter = sshd
action = iptables[name=SSH, port=ssh, protocol=tcp]
logpath = /var/log/secure
maxretry = 3


Создаем пользователя для входа по ssh

Использовать только 2й протокол.

Protocol 2


Установить таймауты

ClientAliveInterval 300
ClientAliveCountMax 0


6. Закрываем доступ к открытым наружу портам, например БД, если это не нужно.


8. Перемонтируем домашние диры и tmp с опциями nosuid и noexec. Если в них не требуется возможность запуска бинарников.

/var/tmp   /tmp    ext3 bind,nosuid,noexec 0 0


Если не создан отдельный раздел.
Можно создать в файле

> dd if=/dev/zero of=/tmp.fs bs=1M count=4096
> mkfs.ext3 /tmp.fs
> mount -o loop /tmp.fs /tmp
> mount -o bind /var/tmp /tmp


9. Отключить ipv6 если он не нужен.

10. Прогоняем финд ищем некорректные файлы:

Без владельца

> find /dir -xdev \( -nouser -o -nogroup \) -print


Поиск файлов, доступных всем на запись:

> find / -type f \( -perm -2 -o -perm -20 \) -exec ls -lg {} \; 2>/dev/null > /root/file_writable.list


Поиск директорий, доступных всем на запись:

> find / -type d \( -perm -2 -o -perm -20 \) -exec ls -ldg {} \; 2>/dev/null > /root/dir_writable.list


Список всех файлов, запускающихся с правами собственника или группы:

> find / -type f \( -perm -004000 -o -perm -002000 \) -exec ls -lg {} \; 2>/dev/null > suidfiles.list


Если nosuid или noexec не используются, то пользователь может создать жесткие ссылки на файлы, которые можно запустить с правами пользователя-владельца или группы-владельца. Для их поиска выполняем:

> find / -type f \( -perm -004000 -o -perm -002000 \) -links +1 -ls 2>>hardlink.list 1>>hardlink.list


11.
chattr +i /etc/services для предотвращения не авторизованного удаления или добавления.

12. Права на демоны только для рут

> chmod -R 700 /etc/rc.d/ init.d/*


13. Отключаем ненужные в /etc/inetd.conf

# Чтобы изменения вошли в силу дайте команду 'killall -HUP inetd'
#
#echo stream tcp nowait root internal
#echo dgram udp wait root internal
#discard stream tcp nowait root internal
#discard dgram udp wait root internal
#daytime stream tcp nowait root internal
#daytime dgram udp wait root internal
#chargen stream tcp nowait root internal
#chargen dgram udp wait root internal
#time stream tcp nowait root internal
#time dgram udp wait root internal
#
# Это стандартные сервисы
#
#ftp stream tcp nowait root /usr/sbin/tcpd in.ftpd -l -a
#telnet stream tcp nowait root /usr/sbin/tcpd in.telnetd
#
# Shell, login, exec, comsat и talk являются протоколами BSD.
#
#shell stream tcp nowait root /usr/sbin/tcpd in.rshd
#login stream tcp nowait root /usr/sbin/tcpd in.rlogind
#exec stream tcp nowait root /usr/sbin/tcpd in.rexecd
#comsat dgram udp wait root /usr/sbin/tcpd in.comsat
#talk dgram udp wait root /usr/sbin/tcpd in.talkd
#ntalk dgram udp wait root /usr/sbin/tcpd in.ntalkd
#dtalk stream tcp wait nobody /usr/sbin/tcpd in.dtalkd
#
# Почтовые Pop и imap сервисы
#
#pop-2 stream tcp nowait root /usr/sbin/tcpd ipop2d
#pop-3 stream tcp nowait root /usr/sbin/tcpd ipop3d
#imap stream tcp nowait root /usr/sbin/tcpd imapd
#
# Internet UUCP сервис.
#
#uucp stream tcp nowait uucp /usr/sbin/tcpd /usr/lib/uucp/uucico -l
#
# Сервис Tftp предоставляется в первую очередь для удаленной загрузки.
# В большинстве случаев, он используется только на "серверах загрузки"
# Не удаляйте символы комментариев, если вы не уверены, что это вам нужно.
#
#tftp dgram udp wait root /usr/sbin/tcpd in.tftpd
#bootps dgram udp wait root /usr/sbin/tcpd bootpd
#
# Finger, systat и netstat дают информацию внешним пользователям, которая
# может быть использована для взлома системы. На многих серверах
# некоторые или все из них отключены с целью улучшения безопасности.
#
#finger stream tcp nowait root /usr/sbin/tcpd in.fingerd
#cfinger stream tcp nowait root /usr/sbin/tcpd in.cfingerd
#systat stream tcp nowait guest /usr/sbin/tcpd /bin/ps -auwwx
#netstat stream tcp nowait guest /usr/sbin/tcpd /bin/netstat -f inet
#
# Аутентификация
#
#auth stream tcp nowait nobody /usr/sbin/in.identd in.identd -l -e -o
#
# Конец inetd.conf

Фиксируем изменения

> chattr +i /etc/inetd.conf


[ view entry ] ( 1317 views )   |  permalink  |  $star_image$star_image$star_image$star_image$star_image ( 3 / 1322 )
LSI рейд через MegaCli 
MegaCli -EncInfo -a0 - список корзин
MegaCli -PDGetNum -a0 - количество физических дисков
MegaCli -PDList -a0 - список физических дисков

MegaCli -CfgLdDel -Lall -aAll - удалить все логические устройства
MegaCli -LDInfo -Lall -aALL - инфа о логических устройствах

MegaCli -CfgSpanAdd -r60 -Array0[13:0,13:1,13:2,13:3,13:4,13:5,13:6,13:7,13:8,13:9] -Array1[13:10,13:11,13:12,13:13,13:14,13:15,13:16,13:17,13:22,13:23] собрать 60 рейд

MegaCli -LDSetProp -DisDskCache выключить кеш
MegaCli -LDSetProp -EnDskCache включить кеш

MegaCli -LDSetProp WT|WB|NORA|RA|ADRA -L0 -a0 настроить кеш

WT (Write through)
WB (Write back)
NORA (No read ahead)
RA (Read ahead)
ADRA (Adaptive read ahead)

[ view entry ] ( 510 views )   |  permalink  |  $star_image$star_image$star_image$star_image$star_image ( 3 / 1345 )
rsyslogd отжирает cpu на 100% на openVZ VPS 
Бага rsyslogd хавает 100% на openVZ VPS

А в логах rsyslogd: imklog: error reading kernel log - shutting down: Bad file descriptor

Про нее и фиксы
https://bugs.launchpad.net/ubuntu/+source/rsyslog/+bug/1366829

Или можно закоментить в файле /etc/rsyslog.conf
$ModLoad imklog # provides kernel logging support

[ view entry ] ( 562 views )   |  permalink  |  $star_image$star_image$star_image$star_image$star_image ( 3 / 1430 )
kipmi0 100% CPU  
Можно ограничить до 10% примерно так:

echo 100 > /sys/module/ipmi_si/parameters/kipmid_max_busy_us

[ view entry ] ( 937 views )   |  permalink  |  $star_image$star_image$star_image$star_image$star_image ( 2.9 / 1329 )

| 1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 | 9 | 10 | Next> Last>>