Odroid root auf RAID

Ich habe einen Odroid HC1 als Homeserver im Einsatz. Das Gerät hat einen SATA Port, an dem ich eine 2 TB Festplatte betreibe. Gebootet wird die Kiste aber zwangsweise von einer SD-Karte mit u-boot (universal bootloader).

Ich wollte aber das Root-Filesystem auf der Festplatte haben und es außerdem noch als RAID1, wobei die SD-Karte die zweite „Platte“ darstellt. Und so geht es:

Ubuntu herunterladen und installieren:

http://com.odroid.com/sigong/blog/blog_list.php?tag=ODROID-HC1

Achtung: Das Image auf der SD macht einen Resize der boot-Partition und schaltet den Odroid danach ab. Das ist kein Fehler! Einfach danach neu starten.

Wenn das System läuft, den folgenden Befehl ausführen:

cfdisk /dev/mmcblk1

droid_cfdisk_mmcblk1

Die Anzahl der Sektoren für /dev/mmcblk1p2 merken (hier: 14860289) und cfdisk beenden.

Jetzt die eingebaute Festplatte /dev/sda partitionieren, gerne wieder mit cfdisk (andere bevorzugen fdisk oder andere Partitionierer). Auf der Platte eine neue Partition sda1 anlegen, mit einer Größe, die auf keinen Fall größer ist (mehr Sektoren hat) als obige Partition /dev/mmcblk1p2! Ein paar Sektoren weniger ist kein Problem. Als Type Linux RAID auswählen.

Die Tools für Software RAID-verwaltung und rsync installieren:

apt-get install mdadm rsync

Jetzt ein RAID anlegen mit folgendem Befehl:

mdadm --create -l 1 -n2 /dev/md0 /dev/sda1 missing

Dieser Befehl erstellt ein RAID mit einer fehlenden Partition (degraded). Auf diesem erstellt man jetzt ein Filesystem:

mkfs.ext4 /dev/md0

Auf dieses Filesystem muss man nun das root-Filesystem kopieren. Das geht am besten mit rsync, das wir weiter oben installiert haben. Es empfiehlt sich, alle Dienste abzuschalten, die man nicht dringend braucht (wie etwa sshd). Allerdings ist das bei einer frischen Installation nicht wirklich relevant.

mount /dev/md0 /mnt
rsync -axv / /mnt/

Jetzt muss man das RAID als root filesystem in den bootloader eintragen und die fstab anpassen. Für beides brauchen wir die UUID des neuen RAIDs, das man mit folgendem Befehl erfährt.

root@odroid:/# lsblk -f
NAME        FSTYPE            LABEL    UUID                                 MOUNTPOINT
mmcblk1                                                                     
|-mmcblk1p1 vfat              boot     52AA-6867                            /media/boot
`-mmcblk1p2 ext4              odroid:1 44e7f5bc-1e93-0cab-a411-921f4d4edac0 /
sda                                                                         
|-sda1      linux_raid_member odroid:0 0e545e67-a0d3-f036-eb64-f787a908633d 
| `-md0     ext4                       de443d6e-0a07-418e-8e6e-dea29f77063f /mnt

In diesem Fall ist die UUID de443d6e-0a07-418e-8e6e-dea29f77063f. Diese muss in der Datei /mnt/etc/fstab angepasst werden (etwa mit vi oder nano). Die Datei sieht in unserem Fall so aus:

UUID=de443d6e-0a07-418e-8e6e-dea29f77063f / ext4 errors=remount-ro,noatime 0 1
LABEL=boot /media/boot vfat defaults 0 1

Jetzt muss U-Boot angepasst werden.

cd /media/boot/
cp boot.ini boot.ini.orig

Mit einem Editor die Datei boot.ini öffnen. Dort findet sich die Zeile

setenv bootrootfs "console=tty1 console=ttySAC2,115200n8 root=UUID=44e7f5bc-1e93-0cab-a411-921f4d4edac0 rootwait ro fsck.repair=yes net.ifnames=0"

Diese muss angepasst werden, damit sie so aussieht:

setenv bootrootfs "console=tty1 console=ttySAC2,115200n8 root=UUID=de443d6e-0a07-418e-8e6e-dea29f77063f rootwait rootdelay=10 ro fsck.repair=yes net.ifnames=0"

Man achte auch hier darauf, dass die UUIDs passen. Auf keinen Fall darf der Eintrag rootdelay=10 vergessen werden, da die SATA-Platte einen Moment zum Hochdrehen braucht!

Jetzt Daumen drücken und reboot tippen. Falls es nicht geklappt hat, kann man die SD-Karte in ein SD-Leser schieben und die boot.ini weiter oben wieder herstellen. Dann startet der Odroid wieder komplett von der SD-Karte.

Nach dem Reboot kommt die Kiste mit dem RAID als root filesystem wieder hoch. Mit einem df Befehl lässt sich das prüfen:

# df -h
Filesystem Size Used Avail Use% Mounted on
udev 930M 0 930M 0% /dev
tmpfs 200M 19M 181M 10% /run
/dev/md127 6.8G 1.9G 4.6G 29% /
tmpfs 998M 0 998M 0% /dev/shm
tmpfs 5.0M 0 5.0M 0% /run/lock
tmpfs 998M 0 998M 0% /sys/fs/cgroup
/dev/mmcblk1p1 128M 13M 116M 10% /media/boot
tmpfs 200M 0 200M 0% /run/user/0

Man beachte, dass sich das md Device geändert hat auf md127. Das ist nicht weiter schlimm, da wir mit UUIDs arbeiten. Ein Blick in /proc/mdstat zeigt, dass wir ein RAID haben, dem eine Partition fehlt:

# cat /proc/mdstat
Personalities : [raid1] [linear] [multipath] [raid0] [raid6] [raid5] [raid4] [raid10]
md127 : active raid1 sda1[0]
        7312880 blocks super 1.2 [2/1] [U_]
        bitmap: 5/8 pages [20KB], 65536KB chunk

Das ändern wir, in dem wir die SD-Partition dem RAID hinzufügen. Achtung! Ab hier gibt es kein Zurück mehr! Die SD wird überschrieben!

mdadm --manage --add /dev/md127 /dev/mmcblk1p2

Der Fortschritt des Syncs lässt sich mit watch verfolgen:

# watch cat /proc/mdstat

Personalities : [raid1] [linear] [multipath] [raid0] [raid6] [raid5] [raid4] [raid10]
md127 : active raid1 sda1[3] mmcblk1p2[2]
      7312880 blocks super 1.2 [2/1] [U_]
      [=============>.......]  recovery = 66.3% (4854592/7312880) finish=9.0min speed=4550K/sec

unused devices: 

Sobald der Sync abgeschlossen ist, ist das Setup fertig. Yay! Aber da wir hier ein RAID aus zwei von der Charakteristik her sehr unterschiedlichen Platten gebaut haben, ist es sinnvoll, die SD-Karte beim Lesen zu bevorzugen:

echo writemostly > /sys/block/md127/md/dev-sda1/state

Wenn es geklappt hat, sieht man das in /proc/mdstat:

md127 : active raid1 sda1[3](W) mmcblk1p2[2]
      7312880 blocks super 1.2 [2/2] [UU]

Über einen Kommentar von Leuten, die das auch probiert haben, würde ich mich freuen!

Advertisements
Odroid root auf RAID

„Let’s Encrypt“ mit vsftpd und anderen

Ich habe einen vsftpd laufen und der sollte auch ein Let’s Encrypt Zertifikat für sicheres FTP bekommen.

Ich habe einen vhost im Apache für die Domain angelegt, unter der ich den vsftpd erreichbar mache und dann über den certbot das Zertifikat erstellen lassen. Das klappt auch alles gut, aber der Cronjob für das Renewal der Certifikate startet bei einer Aktualisierung nur den Apache neu und nicht den vsftpd. Und jedes Mal den vsftpd mitneustarten ist ja auch unschön. Daher habe ich einen eigenen Cronjob dafür gebaut.

Aber erst mal die vsftpd config:

rsa_cert_file=/etc/letsencrypt/live/[MYDOMAIN]/fullchain.pem
rsa_private_key_file=/etc/letsencrypt/live/[MYDOMAIN]/privkey.pem
ssl_enable=YES
allow_anon_ssl=NO
force_local_data_ssl=YES
force_local_logins_ssl=YES
ssl_tlsv1=YES
ssl_sslv2=NO
ssl_sslv3=NO
require_ssl_reuse=NO
ssl_ciphers=HIGH

Diese Zeilen einfach am Ende hinzufügen und den vsftpd neu starten.

Und das ist der dazugehörige Cronjob.

1 6,18 * * * /usr/local/sbin/certbot-auto certonly --webroot -n -d [MYDOMAIN] --post-hook "/etc/init.d/vsftpd restart" >/dev/null 2>/dev/null

Ich habe dafür gesorgt, dass er 5 Minuten vor dem regulären Cronjob läuft, damit dieses Zertifikat für [MYDOMAIN] auch tatsächlich von diesem Cron erneuert wird. Die Option -d kann auch mehrfach angegeben werden, falls das Zertifikat auf mehrere Domains lauten soll.
Das Plugin --webroot ist in meinem Fall ausreichend. Wenn man aber keinen eigenen Webserver betreibt, kann man auch mit --standalone einen temporären starten, der dann die Authentifizierungen gegenüber Let’s Encrypt übernimmt.

Ähnlich kann man das natürlich auch mit Zertifikaten für Mailserver und andere machen.

„Let’s Encrypt“ mit vsftpd und anderen

Let’s encrypt!

Ich habe meine Seiten auf meinem Debian/Apache Webserver mit SSL verschlüsselt und dabei auf die kostenlose CA Let’s Encrypt! zurückgegriffen.

Es gibt viele Wege, wie man diese CA benutzen kann, aber der certbot ist echt der Hammer. So einfach geht es:

cd /usr/local/sbin
wget https://dl.eff.org/certbot-auto
chmod 750 certbot-auto
certbot-auto --apache

Danach wird man durch alle Schritte geführt und kann inerhalb kürzester Zeit funktionierende SSL Zertifikate nutzen, die sich vollautomatisch installieren.

Die Zertifikate sind zwar nur drei Monate gültig, aber mit certbot installierte Zertifikate lassen sich über diesen automatisch aktualisieren, so dass man sich nie wieder drum kümmern muss. Ein Eintrag wie dieser im Crontab von root reicht:

1 6,18 * * * /usr/local/sbin/certbot-auto renew --post-hook "apache2ctl restart" &>/dev/null

Lasst uns gemeinsam das Internet sicherer machen und „Let’s encrypt!

letsencrypt
https://eliyah.co.il/ ist SSL gesichert!
Let’s encrypt!

Bandbreite anzeigen

Die aktuell genutzte Bandbreite eines Linux Systems wird ermittelt als übertragene Bytes pro Zeitabstand. Einen „aktuellen“ Wert zum Auslesen gibt es nicht, man muss also die Bandbreite aus zwei Deltawerten übertragener Bytes berechnen. Ich habe ein Script gefunden und etwas erweitert. Es zeigt die Bandbreite für alle Interfaces in Kbits und Mbits an. Das Script ist simpel gehalten und ohne Parameter, die irgend etwas steuern. Aber das kann man ja nachträglich einbauen. Wenn man will.

#!/bin/bash                                                                          

intervalo=2
info="/sys/class/net/"
cd $info
while true; do
for interface in eth*
do
  eval rx1$interface=`cat $info$interface/statistics/rx_bytes`
  eval tx1$interface=`cat $info$interface/statistics/tx_bytes`
done
  sleep $intervalo
for interface in eth*
do
  eval rx2$interface=`cat $info$interface/statistics/rx_bytes`
  eval tx2$interface=`cat $info$interface/statistics/tx_bytes`
done
clear
date
for interface in eth*             
do
  echo $interface
  echo ---- 
  rx1=$(eval echo \${rx1$interface})
  rx2=$(eval echo \${rx2$interface})
  tx1=$(eval echo \${tx1$interface})
  tx2=$(eval echo \${tx2$interface})
  echo RX: $((($rx2-$rx1)/($intervalo*1024))) Kbps
  echo RX: $((($rx2-$rx1)/($intervalo*1048576))) Mbps
  echo TX: $((($tx2-$tx1)/($intervalo*1024))) Kbps
  echo TX: $((($tx2-$tx1)/($intervalo*1048576))) Mbps
done
done
Bandbreite anzeigen

copy-paste mit base64

Ich arbeite oft auf Systemen, die ich nur über einen virtuellen Screen erreiche (Remote Desktop etwa) und zu dem ich zwar eine gemeinsame Zwischenablage habe (copy-paste), aber keine einfache Möglichkeit, Dateien zu kopieren.

Wenn ich etwa eine Logdatei kopieren will, die in den Scrollback-Buffer des Terminalfensters auf der remote Maschine nicht komplett reinpasst, dann muss ich stückeln und bereichsweise kopieren. Das nervt tierisch.

Oder ich nutze gzip und base64:

% cp grosselogdatei.log /tmp
% cd /tmp
% gzip grosselogdatei.log
% base64 grosselogdatei.log.gz
H4sICLiyGlkAA29wZW5maWxlcy5jc3YAbZ3dlsSoCkbvz7PUmVWg+DPv/2BTnZgIuG/3oo35AoiS
VMv3n6/9o1/p/5f+77d+mv5PApPvp1li+v30llj52fXE6o99E7Mfk8DGv98fG4md1x1/1z3+toDd
33VLYn/XjXOef9eVKgkKGO [...]
B5SBkg6GOjwNjG+maEv+4PabgVJ+aBgX7iekIn32poGSDg3zQ8O4aKhDR39wL8wFSutmRx06+oP7
CalAKT/0/YJUoKRDx7jo+8XBSEGzgevFQH8YmCfH/mnWQMkfBsbFQH8YGBf3frOle7v3m9drf4FS
XAz0h4k6TMwPE/3BNTACVbg39xNSgb7nUZGiLfnDxLi495tZHbff3FS+tF7I/sni/wA6SY/SD4IA
AA==

Diesen ASCII Output kann ich locker per copy-paste in einem Rutsch kopieren und in eine Datei lokal kopieren, etwa grosselogdatei.log.gz.b64, und wieder auspacken:

% base64 -d grosselogdatei.log.gz.b64 > grosselogdatei.log.gz
% gunzip grosselogdatei.log.gz
copy-paste mit base64

Filtern in Bash

Manchmal will man aus einer Variable oder einem Text alle Zahlen herausziehen oder verstecken. Das geht natürlich mit sed ganz gut, aber noch einfacher in der Bash selbst.

% VAR=1a2b3c4d
% echo "${VAR//[!0-9]/}"
1234
% echo "${VAR//[0-9]/}"
abcd

Man kann auch nur Buchstaben filtern, damit man Sonderzeichen mit herausfiltert. Oder oder…

% VAR="1a,2b.3c;4d"
% echo "${VAR//[!0-9]/}"
1234
% echo "${VAR//[!a-z]/}"
abcd
% echo "${VAR//[!a-z 0-9]/}"
1a2b3c4d
% echo "${VAR//[a-z 0-9]/}"
,.;
Filtern in Bash

Mehrere Variablen in bash gleichzeitig setzen

Wenn ich mit den Output von einem Befehl mehrere Variablen setzen will, kann ich dafür read und die <<< Dreieckklammern nutzen. So gehts:

% EINS=2
% ZWEI=1
% read EINS ZWEI <<< $({ echo 1; echo 2 ; })
% echo $EINS $ZWEI
1 2

Wenn man auf Google oder Bing nach <<< sucht, findet man nichts. Also, entweder bin ich der erste (!!!11!1!!elf!!11), der darüber schreibt, oder wahrscheinlicher, nach diesem String darf man aus technischen Gründen einfach nicht suchen.

Mehrere Variablen in bash gleichzeitig setzen