TODO
Coming soon
check_all_bridge_have_one_slave.sh
"Необходимо добавить все интерфейсы принимающие зеркало трафика в отдельные бриджи"
"В противном случае получится петля на локалхосте -> дополнительная нагрузка"
check_all_slave_have_ip.sh
"Некоторые интерфейсы внутри бриджей не имеют IP адресов."
"Это приводит к тому, что IP-трафик с них не анализируется."
check_block_fact.sh
"Эта ошибка означает, что не происходило ни одного факта блокировки."
"Вполне вероятно, что модуль был запущен относительно недавно и это просто не успело произойти."
"Однако, уже проверено более 15000000 HTTP-пакетов. Возможно не настроено зеркало трафика"
"А также возможно что ваши абоненты - замечательные добропорядочные люди и не ходят на запрещённые сайты."
"Примечание: ошибка произошла в ночное/утреннее время, раньше в такие моменты она игнорировалась,"
"так как абоненты мало сидят в интернете, но сейчас есть постоянно проверяющий АС Ревизор."
"Поэтому отсутствие срабатываний в течение часа - это очень странно."
check_blockpage.sh
"Используется страница-заглушка CarbonSoft, нужно настроить собственную страницу заглушку."
"Текущие настройки:"
"- URL для HTTP редиректа: ${filter['forbidden_url']"
"- IP для DNS спуфинга: ${filter['dns_ip']"
"Как это сделать:"
"1. На отдельном сервере. Чтобы АС ревизор её успешно распознавал, следуйте инструкции:"
"https://github.com/carbonsoft/reductor_blockpages"
"2. На этом сервере. Не рекомендуется при большой нагрузке. (1000+ абонентов/несколько ревизоров)."
"Включить можно в menu -> Настройка алгоритма фильтрации -> Заглушка на этом сервере."
"После настройки страницы надо указать в двух местах адрес, доступный всем абонентам и АС Ревизор:"
"1. menu -> Настройка алгоритма фильтрации -> URL страницы-заглушки."
"2. menu -> Настройка алгоритма фильтрации -> IP для DNS-ответов."
"Почему нельзя просто так взять и использовать нашу страницу заглушку в продакшне:"
"1. Мы не можем гарантировать её 100% доступность. 99.9% - в принципе да, но не 100."
"2. К тому же для того чтобы до неё достучаться - абонентам нужно пройти довольно далеко через интернет."
"3. Также мы не можем гарантировать то, что ревизор не опознает недоступность нашей страницы-заглушки как доступность блокируемого сайта."
"4. Она изначально предназначена исключительно для целей тестирования работоспособности продукта во время демо-периода."
check_bridge.sh
"Для работы в режиме съема зеркала трафика с коммутатора необходимо иметь как минимум 1 bridge-интерфейс."
"Его можно создать автоматически в menu -> Настройка сканирования трафика."
check_cert_date.sh
"Нужно приобрести новый сертификат"
check_cert.sh
"На сервере отсутствует файл $USERDIR/provider.pem, либо он пустой."
"Нужно положить туда закрытый ключ экспортированный с USB-токена."
"Если у вас уже есть *.pfx-контейнер, положите его в папку $USERDIR"
"и запустите menu -> Настройки обновления списков с zapret-info... -> Установка сертификата с USB-Token"
check_default_options.sh
declare -a default_options
default_options=( "sni" "cardsharing" "workaround" "https_by_nslookup" "dns" "https_by_ip" "dualrst" "forbidden" )
"Для увеличения надежности фильтрации рекомендуем включить стандартные опции в /cfg/config"
"Отключены следующие стандартные опции:"
for option in "${default_options[@]"; do
[ "${filter[$option]" == "1" ] || echo -e "\tfilter['$option']"
done
check_dns.sh
"Не настроены DNS"
check_dropped_packets.sh
"На одной из сетевых карт имеются ошибки обработки пакетов."
"Воспользуйтесь статьёй http://docs.carbonsoft.ru/69926921 для решения проблемы."
check_hyperthreading.sh
"Для достижения оптимальной производительности рекомендуется отключить гипертрединг в настройках BIOS/UEFI"
check_kernel_version.sh
"Ядра кроме 'ванильного' CentOS 6, x86_64 и ядра старее 2.6.32-573 не поддерживаются."
check_key_in_cert.sh
"В используемом сертификате отсутствует закрытый ключ, необходимый для подписи."
check_network_errors.sh
"На одной из сетевых карт возникают ошибки приёма/отправки пакетов (см. rx missed)"
check_network_manager.sh
"Вместо NetworkManager рекомендуется использовать /etc/init.d/network."
"Сеть нужно вручную или с помощью мастера настройки сети настроить в /etc/sysconfig/network-scripts"
check_own_list_data.sh
"Один из собственных списков содержит некорректные данные."
check_own_server.sh
"Загрузка с собственного сервера не выполняется."
"Не указан URL с dump.xml на своем сервере."
"Необходимо указать его через меню Reductor -> Настройки выгрузок единого реестра."
check_proxy_loop.sh
"Страницы заглушки для blockpage и squid находятся на одном сервере"
"Происходит зацикливание squid при обращении к DNS"
"Для нормальной работы необходимо разместить их на отдельных серверах"
check_static_request.sh
"Обновление с помощью статичного запроса/подписи не выполняется"
"Отсутствуют файлы запроса и подписи."
"Необходимо подложить их в /app/reductor/var/lib/reductor/rkn/."
check_tcpdump_dns_mirror.sh
"В зеркале трафика в течение нескольких часов отсутствовали $proto-запросы"
check_tcpdump_http_mirror.sh
"В зеркале трафика в течение нескольких часов отсутствовали $proto-запросы"
check_tcpdump_https_mirror.sh
"В зеркале трафика в течение нескольких часов отсутствовали $proto-запросы"
check_total_packets.sh
"Эта ошибка означает, что в модуль Carbon Reductor ни разу не попадал пакет на проверку."
"Есть две основные причины которые приводят к этому. Первая - не настроено зеркало трафика (90% вероятности)."
"Вторая - отсутствие фильтрующего правила в iptables (10% вероятности)"
check_url_modify.sh
"Возможно у вас указан устаревший URL сервера обновления сигнатур."
"Вероятно у вас из-за этого не активируется Carbon Reductor."
"В последних версиях URL сервера активации обновляется при старте."
"Данная опция в большей степени является опцией для разработчиков."
check_centos_iptables_rules.sh
"ALARM Внимание!!! Файл /etc/iptables не пуст, это может нарушить работоспособность системы"
"Удалите файл, если в нем нет необходимости, или добавьте в config-файл base строку app['cusom_iptables_rules']='1'"
check_coredump.sh
"Сбились настройки coredump (возможно сломался carbon_sysctl.d или carbon_limits.d, либо не выполнена перезагрузка после обновления)."
check_cpu_load.sh
"ALARM Высокая нагрузка на CPU"
check_disk_free_space.sh
"FATAL На одном из разделов мало свободного места"
check_duplicate_ip.sh
"FATAL Два интерфейса этого сервера подключены к одному маршрутизатору. $RES_MSG"
"FATAL В сети имеется компьютер с IP адресом повторяющим адрес этого сервера $RES_MSG"
check_free_inodes.sh
"ALARM На одном из устройств осталось мало свободных inode. Возможно какая-то папка забита большим количеством файлов"
check_free_memory.sh
"ALARM Мало свободной памяти"
check_iptables_rules_count.sh
"WARNING Слишком большое количество правил iptables"
check_johnik_xge_kernel.sh
"ALARM Используется устаревшее ядро $(uname -r), требуется перезагрузка на devel или master ядро"
check_kdump.sh
"WARNING Не запущен kdump. Возможно, нужна перезагрузка сервера."
check_kernel_errors.sh
"ALARM Версия ядра несовместима с версией модулей"
check_kernel_watchdog.sh
"ALARM Неверно сконфигурирована подсистема watchdog. Возможно нужно перезагрузить сервер."
check_loadaverage.sh
"ALARM Высокая нагрузка на CPU. $(cat /proc/loadavg) Смотрите файл /app/base/var/log/check_loadaverage.log"
check_mdstat.sh
"WARNING Выпал раздел из raid-массива! cat /proc/mdstat"
check_on_boot_int.sh
"ALARM Ни один сетевой интерфейс не загрузится после перезагрузки (ONBOOT=no на всех интерфейсах)"
check_passwd_root.sh
"Используется пароль по-умолчанию, необходимо срочно изменить root-пароль для сервера.
При составлении паролей рекомендуется придерживаться следующих правил:
- Пароль должен содержать не менее шести символов.
- В состав пароля могут входить цифры, латинские буквы, пробелы и специальные символы ('.', ',', '?', '!', '<', '>' и др. ).
- Рекомендуется составлять пароль из смешанного набора цифровых и буквенных (прописных и строчных) символов.
Команда для создания случайного пароля:
#openssl rand -base64 12
Для смены пароля воспользуйтесь инструкцией:
http://docs.carbonsoft.ru/73728010
"
check_swap.sh
"WARNING Не настроен swap"
"В идеале добавить бы в /etc/fstab строчку:"
UUID=$(ls la /dev/disk/by-uuid/ | grep 7$ | egrep -o "[a-z0-9-]+[a-z0-9]*") none swap sw 0 0
"Но не факт что это именно тот раздел который должен быть swap"
check_sysconfig_iptables.sh
"ALARM Внимание!!! Файл /etc/sysconfig/iptables не пуст, это может нарушить работоспособность системы"
"Переименовываем его в deleted_iptables, ручные правила для iptables лучше добавлять в hooks"
mv /etc/sysconfig/iptables /etc/sysconfig/deleted_iptables
/sbin/iptables -D INPUT -j REJECT --reject-with icmp-host-prohibited &>/dev/null || true