Управление логическими томами (Logical Volume Management — LVM) существует в Linux, начиная с версий ядра 2.4v1 и 2.6.9v2.
Что же такое LVM, Logical volume manager, Управление логическими томами или менеджер логических томов?
LVM – это дополнительный уровень абстракции между привычными логическими/физическими дисками и файловой системой. Эта система позволяет нам объединять несколько физических дисков, разделов на физическом диске, рейд массивов в логический том на котором мы создаем файловую систему. Также у нас появляются возможности быстрых бекапов, перемещения файловой системы с, например, двух HDD по 40гб на один 80гб без выключения компьютера/сервера, увеличения/уменьшения размеров логического тома на ходу (тут надо оговориться про то что файловая система должна поддерживать данные функции).
В общем это удивительная система которая добавляет гибкости и удобства в работу с накопителями данных.

Итак, имеем сервер IBM x3560, два диска уже установлены и работают в зеркале, операционная система CentOS 5.5. Выключаем сервер, устанавливаем еще два диска, объединяем их в рейд 1. Загружаем операционную систему и видим что появился новый неразмеченный раздел /dev/sdb.

До добавления второго рейд массива картина была следующая:
Зеркало видно как /dev/sda, /dev/mapper/VolGroup01-LogVol00 это /
/dev/sda1 это /boot

Небольшая ремарка, необходимо чтобы boot раздел был вне логического тома, иначе загрузиться не получится. Смотрим что нам покажет pvdisplay:

[root@vh ~]# pvdisplay
  --- Physical volume ---
  PV Name               /dev/sda2
  VG Name               VolGroup01
  PV Size               136.51 GB / not usable 8.33 MB
  Allocatable           yes (but full)
  PE Size (KByte)       32768
  Total PE              4368
  Free PE               0
  Allocated PE          4368
  PV UUID               4tSPMO-UJzY-d21j-Mlvi-FfoK-1puC-bERapz

Тут надо сказать что у LVM есть три уровня:

• PV это physical volume, так сказать физический уровень (целые диски или разделы)
• VG это volume group, на этом уровне объединяем PV в группу
• LV это logical volume, логический уровень, объединение VG в единый раздел на котором можно создавать файловую систему.

Видим у нас есть VG по имени VolGroup01 которая находится на PV /dev/sda2

lvdisplay нам говорит следующее:

[root@vh ~]# lvdisplay
  --- Logical volume ---
  LV Name                /dev/VolGroup01/LogVol00
  VG Name                VolGroup01

LV который нам необходимо будет расширить называется /dev/VolGroup01/LogVol00

Далее наши действия:

• Инициализируем новый физический диск командой: pvcreate /dev/sdb
• Добавляем новый физический диск к нашей существующей VG VolGroup1: vgextend VolGroup01 /dev/sdb
• Расширяем наш LV по имени /dev/VolGroup01/LogVol00 на количество общего пространства содержащегося в /dev/sbd: lvextend /dev/VolGroup01/LogVol00 /dev/sdb

Теперь осталось изменить размер файловой системы: resize2fs -p /dev/VolGroup01/LogVol00 Всё, в моем случае я увеличил объем доступного дискового пространства в два раза.

[root@vh ~]# df -h
Filesystem            Size  Used Avail Use% Mounted on
/dev/mapper/VolGroup01-LogVol00
                      259G   85G  161G  35% /
/dev/sda1              99M   19M   75M  21% /boot
tmpfs                 2.0G     0  2.0G   0% /dev/shm

[root@vh ~]# pvdisplay
  --- Physical volume ---
  PV Name               /dev/sda2
  VG Name               VolGroup01
  PV Size               136.51 GB / not usable 8.33 MB
  Allocatable           yes (but full)
  PE Size (KByte)       32768
  Total PE              4368
  Free PE               0
  Allocated PE          4368
  PV UUID               4tSPMO-UJzY-d21j-Mlvi-FfoK-1puC-bERapz

  --- Physical volume ---
  PV Name               /dev/sdb
  VG Name               VolGroup01
  PV Size               136.61 GB / not usable 17.00 MB
  Allocatable           yes (but full)
  PE Size (KByte)       32768
  Total PE              4371
  Free PE               0
  Allocated PE          4371
  PV UUID               YMX3a0-deJr-VrCL-5zrO-z65K-RJ62-vSrCHJ

[root@vh ~]# vgdisplay
  --- Volume group ---
  VG Name               VolGroup01
  System ID
  Format                lvm2
  Metadata Areas        2
  Metadata Sequence No  5
  VG Access             read/write
  VG Status             resizable
  MAX LV                0
  Cur LV                2
  Open LV               2
  Max PV                0
  Cur PV                2
  Act PV                2
  VG Size               273.09 GB
  PE Size               32.00 MB
  Total PE              8739
  Alloc PE / Size       8739 / 273.09 GB
  Free  PE / Size       0 / 0
  VG UUID               CGsscq-7UDT-3qUB-82DW-IzeK-3Ab9-iTG6Pq

[root@vh ~]# lvdisplay
  --- Logical volume ---
  LV Name                /dev/VolGroup01/LogVol00
  VG Name                VolGroup01
  LV UUID                P6aTcD-KMw6-jFUF-Cpio-C3CW-tMh2-DwLmD4
  LV Write Access        read/write
  LV Status              available
  # open                 1
  LV Size                267.28 GB
  Current LE             8553
  Segments               2
  Allocation             inherit
  Read ahead sectors     auto
  - currently set to     256
  Block device           253:0

  --- Logical volume ---
  LV Name                /dev/VolGroup01/LogVol01
  VG Name                VolGroup01
  LV UUID                vd0uP2-DkST-L4ob-EAZT-N4jP-Jw1h-EUBh0l
  LV Write Access        read/write
  LV Status              available
  # open                 1
  LV Size                5.81 GB
  Current LE             186
  Segments               1
  Allocation             inherit
  Read ahead sectors     auto
  - currently set to     256
  Block device           253:1

/dev/VolGroup01/LogVol01 в нашем случае это swap.

Также рекомендую к прочтению следующие статьи:

• http://xgu.ru/wiki/LVM
• http://www.ibm.com/developerworks/ru/library/l-lvm2/
• http://habrahabr.ru/blogs/linux/67283/

Лично я не особо боюсь того, что к моей системе подберут пароль одного из клиентов. Вероятность данного события мала, поскольку все пароли в системе стойкие. И даже если пароль подберут, у большинства клиентов установлено ограничение на 1-2 одновременных вызова. Для меня неприятность SIP брутфорса заключается в другом. Дело в том, что в Asterisk вся SIP UDP сигнализация обрабатывается одним единственным тредом. Обработка SIP трафика – ресурсоёмкий процесс, 7-8 мегабит мусорных запросов заставляют Asterisk полностью скушать ядро процессора (например Intel E5335, E5405). Когда ядро полностью съедено, происходит вытеснение полезного SIP трафика – мусорным. Перестают работать DTMF у клиентов использующих SIP INFO. Начинаются проблемы с установкой новых и завершением существующих соединений. И вот это – основная угроза которую несут роботы-брутфорсеры.

Так как же бороться с проблемами о которых нет сообщений в логах? Очень просто – необходимо сгенерировать сообщение о проблеме самому, тогда всю остальную часть нашей системы противодействия (например программу fail2ban) можно будет оставить без изменений. Характерным признаком брутфорса является большое количество SIP пакетов в единицу времени. Посчитать количество пакетов в единицу времени можно с помощью модуля iptables под названием recent. В интернете есть много примеров как с помощью модуля recent отбрасывают пакеты приходящие с частотой выше определённой. Мы, вместо отбрасывания, будем генерировать сообщения для нашей системы обнаружения атак (например fail2ban). Такой подход имеет свои недостатки и преимущества. Основным недостатком является, то что на обработку сообщений будут тратиться ресурсы системы, тогда как отбрасывание пакета условно бесплатное. Преимуществ чуть больше: мы сможем воспользоваться всеми возможностями нашей системы обнаружения атак, такими как белые списки IP адресов, единообразный учёт всех обнаруженных атак и так далее.

От теории – к практике! Подготовим скелет из правил iptables:

-A INPUT -p udp --dport 5060 -j SCAMBLOCK
-A INPUT -p udp --dport 5060 -m recent --set --name SIP
-A INPUT -p udp --dport 5060 -m recent --update --seconds 2 --hitcount 60 --name SIP \
-j LOG --log-prefix "SIP flood detected: "

Первое правило проверяет наш пакет по цепочке SCAMBLOCK. В данной цепочке хранятся заблокированные IP адреса, если пакет совпадает с одним из адресов этой цепочки – он отбрасывается. Если пакет не отброшен, то во втором правиле он помечается для учёта под именем SIP. Третье правило считает не превысил ли данный пакет указанное количество (60) за указанное время (2 секунды). Если количество не превышено – правило игнорируется, если превышено – выполняется действие. В нашем случае в системный лог пишется детальная информация о пакете начинающаяся со строки «SIP flood detected: «. Количество пакетов и время считаются отдельно для каждого источника. Таким образом получается, что мы ограничили скорость приёма SIP пакетов от каждого незаблокированного IP адреса на уровне 30 пакетов в секунду. Для меня данное ограничение является комфортным, с одной стороны все клиенты, даже самые крупнные, шлют пакеты с одного IP адреса со скоростями ниже 30 пакетов/с, с другой стороны, 30 пакетов в секунду практически не отражаютя на работе системы. Возможно, что эту величину следует подправлять в ту или иную сторону в зависимости от производительности сервера, количества и типа абонентов.

В некоторых системах встроенное ограничение модуля recent на параметр hitcount весьма небольшое, например в CentOS это ограничение составляет 20 пакетов. Если вы попробуете выполнить приведенную выше команду, то получите следующую ошибку:

iptables -A INPUT -p udp --dport 5060 -m recent --update --seconds 2 --hitcount 60 --name SIP \
-j LOG --log-prefix "SIP flood detected: "
iptables: Unknown error 4294967295

Или вот так, для 64 битных систем:

iptables -A INPUT -p udp --dport 5060 -m recent --update --seconds 2 --hitcount 60 --name SIP \
-j LOG --log-prefix "SIP flood detected: "
iptables: Unknown error 18446744073709551615

Изменить максимальное ограничение можно передав модулю recent специальный параметр при загрузке. Для этого создадим файл /etc/modprobe.d/ipt.conf и пропишем в нём интересующий нас параметр:

options ipt_recent ip_pkt_list_tot=60

Будьте осторожны увеличивая данное ограничение, помните что вместе с ним увеличивается память, требуемая для хранения последних пакетов, а также количество циклов процессора требуемые на их обработку.

Ну вот и всё, теперь любой флуд на порт 5060 будет обнаружен с помощью модуля recent пакета iptables. Сообщение об обнаруженном флуде будет направлено в системный лог где его сможет увидеть наша любимая система обнаружения атак (например fail2ban). iptables не ограничивает нас одним лишь системным логом, действию LOG можно указать уровень (level) и facility сообщения, а в настройках Syslog перенаправить данные сообщения в отдельный файл. Сами же сообщения о SIP флуде будут выглядеть вот так:

Jun 17 23:54:44 sip2 kernel: SIP flood detected: IN=eth0 OUT= MAC=00:21:5e:db:15:b8:00:0f:34:f8:28:7f:08:00 SRC=184.172.62.3 DST=192.168.224.217 LEN=370 TOS=0x00 PREC=0x00 TTL=47 ID=0 DF PROTO=UDP SPT=5495 DPT=5060 LEN=350
Jun 17 23:54:44 sip2 kernel: SIP flood detected: IN=eth0 OUT= MAC=00:21:5e:db:15:b8:00:0f:34:f8:28:7f:08:00 SRC=184.172.62.3 DST=192.168.224.217 LEN=369 TOS=0x00 PREC=0x00 TTL=47 ID=0 DF PROTO=UDP SPT=5495 DPT=5060 LEN=349
Jun 17 23:54:44 sip2 kernel: SIP flood detected: IN=eth0 OUT= MAC=00:21:5e:db:15:b8:00:0f:34:f8:28:7f:08:00 SRC=184.172.62.3 DST=192.168.224.217 LEN=370 TOS=0x00 PREC=0x00 TTL=47 ID=0 DF PROTO=UDP SPT=5495 DPT=5060 LEN=350

Пересобирается freetype очень просто, для начала необходимо скачать и установить пакет src.rpm соответствующий вашей версии библиотеки freetype – проще всего сделать это с помощью утилиты yumdownloader. Затем необходимо запустить утилиту rpmbuild с параметрами указывающими на активацию subpixel rendering и bytecode interpreter. И, наконец, устанавливаем готовые пакеты RPM в нашу систему. Выглядит это вот так:

cd ~
yumdownloader --source freetype
rpm -i freetype*.rpm
rpmbuild -bb --with bytecode_interpreter --with subpixel_rendering rpmbuild/SPECS/freetype.spec
rpm -Uvh --force rpmbuild/RPMS/i686/freetype-*
rm rpmbuild/RPMS/i686/freetype-*

На мой взгляд, самое интересное в этом анонсе – технология с непонятным названием NFC (Near Field Communication) представленная под занавес. NFC это технология связи способная, помимо прочего, работать с RFID метками. Если внимательно присмотреться к ролику, то можно заметить, что с помощью мобильного телефона считывается метка mifare ultralight. Внедрение технологии NFC делает работу с метками mifare доступной любому обладателю телефона с Android. Если кто не в курсе, mifare очень любят в России транспортные компании. Различные версии mifare используются в бесконтактных проездных на метро, электрички, автобусы, троллейбусы и т.д. С появлением в широком доступе телефонов способных читать/писать метки mifare – можно ожидать всплеска интереса к генерации/клонированию транспортных карт.

— Как обстоят дела с продвижением reiser4 в ядро?

Технических препятствий для этого я уже не вижу: все проблемы из знаменитого «списка для включения» решены. Осталось только прояснить отношения с VFS, а соответствующая статья для публикации пока ещё не готова.

Вообще, продвижение reiser4 в ядро Линукс имеет сейчас низкий приоритет. Просто, потом нужно будет мгновенно реагировать на все изменения в VFS/block layer. А у меня не всегда есть такая возможность. В -mm ветке же никто от меня этого не требует. Если что-то ломается, Эндрю Мортон просто шлёт уведомление. А я, когда нахожу время, исправляю.

По поводу популярных прогнозов, что «reiser4 в ядро не включат и она умрёт», хочу сказать, что не понимаю навязчивую идею «путёвки в жизнь», якобы даваемой включением проекта в основную ветку ядра Линукс. Reiser4 — это результат 18-летних исследований в области хранения данных, не привязанный к конкретной операционной системе. Результат, над которым работало много ученых. Не включат в Линуксе — включат в другой ОС, где наши идеи покажутся интересными. На Линуксе свет клином не сошёлся…

— Есть ли смысл провести что-то вроде рекламной кампании о reiser4 для улучшения её имиджа?

Лучшая рекламная кампания — это объяснить людям, как она работает. Ибо все смотрят на её код, и никто ничего не понимает. Вот вам и Open Source. Каким образом это объяснять? Только статьями, публикуемыми в авторитетных изданиях. И уж, конечно, ни о какой Википедии не может быть и речи. Википедия хороша для освещения творчества художников эпохи Ренессанса. А страница вашего проекта здесь рискует превратиться в отхожее место для компетиторов.

Интервью

В обычной ситуации достаточно указать в /etc/sysctl.conf параметры
kernel.core_uses_pid = 1
kernel.core_pattern = /var/tmp/core.%p.%e.%s
fs.suid_dumpable = 1
Выполнить
sysctl -p;
ulimit -c unlimited
…

find /var/spool/asterisk/monitor -mtime +90 -exec rm {} \;

find выполнит команду указанную в параметре exec, для каждого файла чье содержимое не менялось последние mtime суток. Т.е. в данном примере файлы записанные более 90 суток назад – будут удалены. Добавляем эту строку в crontab:

12 2 * * * root find /var/spool/asterisk/monitor -mtime +90 -exec rm {} \;

И теперь старые файлы будут удаляться каждую ночь автоматически – cron-ом.

К сожалению у меня, так и не дошли руки написать заметку об установке Linux на PS3, 3 месяца я носил образ Fedora 12 PPC на ноутбуке, а вот 2 недели назад, даже записал его на болванку :)

Добавлено 04.04.2010

К сожалению это была не шутка. Прошивка 3.21 вышла – OtherOS убрали.