Tips sobre la administración de Linux Tips recogidos a lo largo de mi vida, que al no ser mucho uso, se van olvidando. Administración de usuarios Administrar usuarios y grupos Cambiar el username en linux Cambiar el username o nombre de usuario Muchas veces nos encontramos con situaciones en las que heredamos un sistema con usuarios, cuyo nombre queremos normalizar con nuestra infraestructura. En un sistema Linux, sin panel de control, es una operación sencilla siempre que no exista ningún proceso del usuario ejecutandose. sudo usermod -l nuevoNombreDeUsuario antiguoNombreDeUsuario Pero este comando solo cambiara el nombre del usuario, sin cambiar el nombre de su home. Para cambiar el nombre del home del usuario ejecutaremos el código de abajo, después de haber ejecutado el anterior: sudo usermod -d /home/nuevoHomeDir -m nuevoNombreDeUsuario Explicación Los sistemas Unix desacoplan el nombre de usuario de la identidad del usuario, por lo que es seguro cambiar el nombre del usuario sin afectar al ID. Todos los permisos, archivos, están vinculados a su identidad (uid), no a su nombre de usuario. Para administrar todos los aspectos de la base de datos de usuarios, se utiliza la herramienta, usermod . Tips Algunos ficheros o programas pueden tener referencias absolutas a su antiguo directorio, por lo que se aconseja crear un enlace simbólico como forma de compatibilidad hacia atrás. ln -s /home/nuevoNombre /home/viejoNombre Advertencias No usar con paneles de  hosting, como cPanel, Directadmin, Plesk, porque el desastre puede ser mayúsculo. En su lugar tratar de localizar la documentación de ellos, y leer en sus foros, pues algunas veces sus propias herramientas pueden darte un buen disgusto. Atención especial si el sistema esta encriptado. No he probado jamas este tip en esa situación.  Enlaces usermod(8) How do I change my username? Aviso Esta documentación y su contenido, no implica que funcione en tu caso o determinados casos. También implica que tienes conocimientos sobre lo que trata, y que en cualquier caso tienes copias de seguridad. El contenido el contenido se entrega, tal y como esta, sin que ello implique ningún obligación ni responsabilidad por parte de Castris Si necesitas soporte profesional puedes contratar con Castris soporte profesional . Como eliminar kernels antiguos Introducción Algunas distribuciones suelen hacer una instalación por defecto con la particion /boot o incluso a nosotros nos guste hacerlo asi. Pero se el tamaño suele ser exiguo y con el paso del tiempo los kernels han ido cogiendo tamaño y nos podemos quedar con el espacio justo o incluso hacer un update que del kernel que falle por no poder grabarse el archivo de arranque. Mejor dejarlo en lo justo. Centos Centos 7.X Listado de kernels instalados [root@fail401 ~]# rpm -q kernel kernel-3.10.0-1160.11.1.el7.x86_64 kernel-3.10.0-1160.15.2.el7.x86_64 kernel-3.10.0-1160.21.1.el7.x86_64 kernel-3.10.0-1160.24.1.el7.x86_64 kernel-3.10.0-1160.25.1.el7.x86_64 Kernel en ejecución [root@fail401 ~]# uname -a Linux fail401.xxxxx.com 3.10.0-1160.15.2.el7.x86_64 #1 SMP Wed Feb 3 15:06:38 UTC 2021 x86_64 x86_64 x86_64 GNU/Linux Método con el comando package-cleanup Este comnado esta dentro dle paquete yum-utils [root@fail401 ~]# package-cleanup --oldkernels --count=2 Complementos cargados:fastestmirror --> Ejecutando prueba de transacción ---> Paquete kernel.x86_64 0:3.10.0-1160.11.1.el7 debe ser eliminado ---> Paquete kernel.x86_64 0:3.10.0-1160.15.2.el7 debe ser eliminado ---> Paquete kernel.x86_64 0:3.10.0-1160.21.1.el7 debe ser eliminado --> Resolución de dependencias finalizada Dependencias resueltas ============================================================================================= Package Arquitectura Versión Repositorio Tamaño ============================================================================================= Eliminando: kernel x86_64 3.10.0-1160.11.1.el7 @updates 64 M kernel x86_64 3.10.0-1160.15.2.el7 @updates 64 M kernel x86_64 3.10.0-1160.21.1.el7 @updates 64 M Resumen de la transacción ============================================================================================= Eliminar 3 Paquetes Tamaño instalado: 193 M Está de acuerdo [s/N]:s Downloading packages: Running transaction check Running transaction test Transaction test succeeded Running transaction Eliminando : kernel.x86_64 1/3 Eliminando : kernel.x86_64 2/3 Eliminando : kernel.x86_64 3/3 Comprobando : kernel-3.10.0-1160.15.2.el7.x86_64 1/3 Comprobando : kernel-3.10.0-1160.11.1.el7.x86_64 2/3 Comprobando : kernel-3.10.0-1160.21.1.el7.x86_64 3/3 Eliminado(s): kernel.x86_64 0:3.10.0-1160.11.1.el7 kernel.x86_64 0:3.10.0-1160.15.2.el7 kernel.x86_64 0:3.10.0-1160.21.1.el7 ¡Listo! Versión manual Tendremos que usar el comando rpm -e [root@fail401 ~]# rpm -e kernel-3.10.0-1160.11.1.el7.x86_64 kernel-3.1X.X0-XXXXX.XX.X.el7.x86_64 ... Ubuntu ¿Cómo concoer la lista de kernels de linux instalados? sudo dpkg --list | egrep -i --color 'linux-image|linux-headers' Ubuntu Focal 20.04 sudo apt --purge autoremove sudo apt-get --purge autoremove Agrdecimientos y enlaces Ubuntu 18.04 remove all unused old kernels Aviso Esta documentación y su contenido, no implica que funcione en tu caso o determinados casos. También implica que tienes conocimientos sobre lo que trata, y que en cualquier caso tienes copias de seguridad. El contenido el contenido se entrega, tal y como está, sin que ello implique ningún obligación ni responsabilidad por parte de Castris Si necesitas soporte profesional puedes contratar con Castris soporte profesional . Seguridad, SSl, etc. Todos sobre seguridad, certificados, comprobación de ciphers Verificar versiones y ciphers soportados de TLS, SSL Introducción Una de los mayores problemas al que se enfrenta el soporte es lidiar con los clientes y los problemas derivados del uso de sistemas (windows, MacOSX, Ios, Android, ...) obsoletos. Verificar TLS soportado por un protocolo h=nombre_del_host p=port ## Tls 1.2 openssl s_client -connect $h:$p -tls1_2 ### Tls 1.1 openssl s_client -connect $h:$p -tls1_1 ### Tls 1 openssl s_client -connect $h:$p -tls1 El retorno debe tener una linea como esta Verification: OK Enumerar los ciphers ssl h=nombre_del_host p=port nmap --script ssl-enum-ciphers -p $p $h Starting Nmap 7.80 ( https://nmap.org ) at 2021-05-15 17:43 CEST Nmap scan report for kvm468.ceinor.com (5.135.93.99) Host is up (0.056s latency). PORT STATE SERVICE 465/tcp open smtps | ssl-enum-ciphers: | TLSv1.2: | ciphers: | TLS_DHE_RSA_WITH_AES_128_GCM_SHA256 (dh 2048) - A | TLS_DHE_RSA_WITH_AES_256_GCM_SHA384 (dh 2048) - A | TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 (secp256r1) - A | TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (secp256r1) - A | compressors: | NULL | cipher preference: client |_ least strength: A Nmap done: 1 IP address (1 host up) scanned in 2.81 seconds Links y agradecimientos Command prompt to check TLS version requiere by a host Checking ssl tls Version Support of a Remnote Host from Command line CSF error: *WARING* URLGET set to use LWP but perl module is not installed, fallback to using CURL/WGET Introducción Casi siempre que se instala CSF Firewall en una distribución linux tenemos el mismo problema relativo a la ausencia de las librerías de perl LWP requeridas por CSF o mejor dicho preferidas ya que el propio CSF nos ofrece 3 posibilidades de configuración para la descarga de listas u otros elementos desde sitios remotos vía HTTPS. HTTP::Tiny LWP::UserAgent CURL/WGET (set location at the bottom of csf.conf) LWP::UserAgent Es la opción deseada y configurada por CSF, y esta configuración al no encontrar disponible el binario correspondiente, te lanza la advertencia cada vez que ejecutes un comando de csf. *WARNING* URLGET set to use LWP but perl module is not installed, fallback to using CURL/WGET Realmente en su propio fichero de configuración se encuentra el cómo, pero si has llegado hasta aquí, es que no lo leiste. (Es lo normal. No solemos leer los LEAME.txt vamos a leer los cientos de comentarios de algunos ficheros de configuración) Distribuciones basada en RPM (Centos, AlmaLinux, CloudLinux,..) yum install perl-libwww-perl.noarch perl-LWP-Protocol-https.noarch Distribuciones basadas en APT (Debian, Ubuntu,...) apt-get install libwww-perl liblwp-protocol-https-perl libgd-graph-perl Via cpan # perl -MCPAN -eshell cpan> install LWP LWP::Protocol::https Documentación original CSF (ConfigServer Firewall) # The following option can be used to select the method csf will use to # retrieve URL data and files # # This can be set to use: # # 1. Perl module HTTP::Tiny # 2. Perl module LWP::UserAgent # 3. CURL/WGET (set location at the bottom of csf.conf if installed) # # HTTP::Tiny is much faster than LWP::UserAgent and is included in the csf # distribution. LWP::UserAgent may have to be installed manually, but it can # better support https:// URL's which also needs the LWP::Protocol::https perl # module # # CURL/WGET uses the system binaries if installed but does not always provide # good feedback when it fails. The script will first look for CURL, if that # does not exist at the configured location it will then look for WGET # # Additionally, 1 or 2 are used and the retrieval fails, then if either CURL or # WGET are available, an additional attempt will be using CURL/WGET. This is # useful if the perl distribution has outdated modules that do not support # modern SSL/TLS implementations # # To install the LWP perl modules required: # # On rpm based systems: # # yum install perl-libwww-perl.noarch perl-LWP-Protocol-https.noarch # # On APT based systems: # # apt-get install libwww-perl liblwp-protocol-https-perl # # Via cpan: # # perl -MCPAN -eshell # cpan> install LWP LWP::Protocol::https # # We recommend setting this set to "2" or "3" as upgrades to csf will be # performed over SSL as well as other URLs used when retrieving external data # # "1" = HTTP::Tiny # "2" = LWP::UserAgent # "3" = CURL/WGET (set location at the bottom of csf.conf) URLGET = "2" # If you need csf/lfd to use a proxy, then you can set this option to the URL # of the proxy. The proxy provided will be used for both HTTP and HTTPS # connections URLPROXY = "" Aviso Esta documentación y su contenido, no implica que funcione en tu caso o determinados casos. También implica que tienes conocimientos sobre lo que trata, y que en cualquier caso tienes copias de seguridad. El contenido el contenido se entrega, tal y como está, sin que ello implique ningún obligación ni responsabilidad por parte de Castris Si necesitas soporte profesional puedes contratar con Castris soporte profesional . Limitar en el tiempo (expirar en una fecha) una llave openSSH en el authorized_keys Introducción Un serio handicap en los modelos de administración de sistemas basados en el ser humano, es que un despiste puede ser fatal para nuestra seguridad. Cuando necesitamos añadir una llave SSH a un servidor para el acceso del propietario de dicha llave, y necesitamos que sea temporal, suele ocurrir, que al final, la llave termina por olvidarse. Por mi trabajo, muchas veces accedo a servidor en los que tengo que realizar trabajos de auditoría o de tunning, y me encuentro llaves autorizadas desde el principio de los tiempos. Añadir un limite de tiempo a una llave OpenSSH autorizada Al igual que podemos limitar los comandos que el propietario de dicha llave SSH pueda hacer en nuestro sistema, también podemos limitar la validez de la llave en el tiempo. Si nuestro servidor esta ejecutando una version OpenSSH 7.7 o superior, podremos hacerlo añadiendo expiry-time a la entrada de la llave a la que queremos limitar en el tiempo el acceso con el formato expiry-time="YYYYMMDD" ssh-rsa AAAAB3Nz...w== Algun comentario expiry-time="20210621" ssh-rsa AAAAB3NzaC1yc2.. ...MXhBut9HKkWI9/ root@prox03 También puedes especificar un tiempo más concreto, usando YYYYMMDDhhmm (la versión YYYYMMDD entiende como si fuera la media noche, 2020-06-21 00:00:00 Enlaces Adding expiration date to SSH key Aviso Esta documentación y su contenido, no implica que funcione en tu caso o determinados casos. También implica que tienes conocimientos sobre lo que trata, y que en cualquier caso tienes copias de seguridad. El contenido el contenido se entrega, tal y como está, sin que ello implique ningún obligación ni responsabilidad por parte de Castris Si necesitas soporte profesional puedes contratar con Castris soporte profesional . Comprobar una conexión SMTP autentificada en el shell con SSL o TLS Introducción Muchas veces el soporte técnico o nosotros, tenemos que comprobar si los datos que tenemos y si el servidor SMTP remoto , están operando correctamente. No es necesario hacer como hacen algunos un cambalache creando una cuenta en el programa de correo electrónico, sino que como casi siempre podemos acudir a nuestra shell para realizar las pruebas pertinentes. Comprobar la autenticación SMTP y la conexión SSL usando la línea de comandos o shell. Autenticación SMTP La autentificación (autenticación) es el mecanismo por el cual un usuario se identifica a sí mismo en un servicio de un servidor. En este caso el servicio es el correo electrónico saliente o SMTP y es necesario para que podamos enviar correo electrónico. Preparación, prueba y verificación Para hacer la prueba es necesario tener instalado el paquete openssl de nuestro ordenador. Crear la cadena de autenticación para una login basado en PLAIN Generalmente los servidores de correo electrónico, usan como medio de autenticación uno denominado **PLAIN**, que consiste en pasar un texto plano (ASCII) que contiene el par **usuario + contraseña** Antes de realizar la prueba debemos obtener la cadena de caracteres ASCII que contiene el par usuario_smtp + contraseña. Usando Bash En el momento de escribir esto, el tip que tenía en mi entrada original Cómo comprobar la autenticación SMTP SMTP Auth y la conexión con StartTLS en el shell me da error. La verdad es que he comprobado si había un error en mi escritura, y revisado con otros colegas. Así que he optado por no hacer el comando en una línea sino dividirlo en dos que si me funciona $ echo -ne usuario@servidor.smtp.com | base64 emFiYml4QQDlbnRyYWwuY2FzdHJpcy5jb20= $ echo -ne 4Mmr8Hop3FsmQvKtb8Ei | base64 NE1tcjVUb3BhRnNtUXZLdGI4RWk= Ahora conectamos vía openssl h y p son variables de entorno para poder trabajar más fácilmente El puerto deberá ser el apropiado a la conexión, en este caso startssl $ h=servidor.smtp.com $ p=455 $ openssl s_client -connect $h:$p -starttls smtp CONNECTED(00000003) depth=2 C = US, O = Internet Security Research Group, CN = ISRG Root X1 verify return:1 depth=1 C = US, O = Let's Encrypt, CN = R3 verify return:1 depth=0 CN = servidor.smtp.com verify return:1 --- Certificate chain 0 s:CN = servidor.smtp.com … Extended master secret: no Max Early Data: 0 --- read R BLOCK Esto ya nos indica que el servidor está activo, escuchando en el puerto solicitado, y admitiendo la conexión vía startssl Ahora podemos usar EHLO there para obtener los comandos disponibles EHLO there 250-servidor.smtp.com 250-PIPELINING 250-SIZE 10240000 250-VRFY 250-ETRN 250-AUTH PLAIN LOGIN 250-ENHANCEDSTATUSCODES 250-8BITMIME 250-DSN 250-SMTPUTF8 250 CHUNKING O pasar directamente a la autenticación AUTH LOGIN 334 VXNlcm5hbWU6 emFiYml4QQDlbnRyYWwuY2FzdHJpcy5jb20= 334 UGFzc3dvcmQ6 NE1tcjVUb3BhRnNtUXZLdGI4RWk= 235 2.7.0 Authentication successful Usando Perl Si el usuario contiene la @ esta deberá escaparse con la barra invertida (\) de otra manera perl interpretará un arreglo (array) en lugar de una cadena (string) Con Perl no tengo problemas para hacer lo mismo pero en lugar de usar AUTH LOGIN usar AUTH PLAIN usando la única cadena codifica del par usuario y contraseña $ perl -MMIME::Base64 -e 'print encode_base64("\000usuario\@servidor.remoto.tld\000PaSsW0rD")' AHphYmJpeEBjZW50cmFsLkTgqW3RyaXMuY29tADRNbXI1VG9wM0ZzbVF2S3RiOEVp $ h=servidor.smtp.com $ p=455 $ openssl s_client -connect $h:$p -starttls smtp … --- read R BLOCK AUTH PLAIN AHphYmJpeEBjZW50cmFsLkTgqW3RyaXMuY29tADRNbXI1VG9wM0ZzbVF2S3RiOEVp 235 2.7.0 Authentication successful Enlaces relacionados Verificar versiones y ciphers soportados de TLS, SSL Test SMTP with telnet or openssl Aviso Esta documentación y su contenido, no implica que funcione en tu caso o determinados casos. También implica que tienes conocimientos sobre lo que trata, y que en cualquier caso tienes copias de seguridad. El contenido el contenido se entrega, tal y como está, sin que ello implique ningún obligación ni responsabilidad por parte de Castris Si necesitas soporte profesional puedes contratar con Castris soporte profesional . CSF Firewall: añadir IPs al deny de forma definitiva. Firewall y bloqueo definitivo para indeseables A veces, trabajando ves que hay algunas IP que pertenecen a alguien, o incluso a un grupo de IP del mismo proveedor, que no para de aparecer en tus logs. Además, si manda un correo al abuse@ de l proveedor de servicios, se hace el loco y no te contesta. Pues que mejor que banear la IP de forma definitiva. CSF Firewall bloqueo permanente Esta ahí, en los comentarios del /etc/csf/csf.deny , pero es una de los mas desconocidos del CSF. # Note: If you add the text "do not delete" to the comments of an entry then # DENY_IP_LIMIT will ignore those entries and not remove them Maravilloso verdad? Ya sólo queda banearle desde el shell. ❯ csf -d 179.43.128.0/18 "do not delete - Panama datacenter sin respuesta" Adding 179.43.128.0/18 to csf.deny and iptables DROP... csf: IPSET adding [179.43.128.0/18] to set [chain_DENY] ❯ cat /etc/csf/csf.deny | grep 179.43.128 179.43.128.0/18 # do not delete - Panama datacenter sin respuesta - Sat Aug 17 17:47:12 2024 Aviso Esta documentación y su contenido, no implica que funcione en tu caso o determinados casos. También implica que tienes conocimientos sobre lo que trata, y que en cualquier caso tienes copias de seguridad. El contenido el contenido se entrega, tal y como está, sin que ello implique ningún obligación ni responsabilidad por parte de Castris Si necesitas soporte profesional puedes contratar con Castris soporte profesional . Certificados Letsencrypt sin servidor web o sin resolver en el servidor web Como obtener el certificado Letsencrypt para un dominio que no resuelve aun en una migración o nuevo servidor Algunas veces es necesario hacer pruebas antes de levantar una migración en un nuevo servidor en producción. Para ello, deberemos de forma manual, obtener un nuevo certificado basándonos en el desafio llamado challenge en el que solicitaremos el certificado porque tenemos capacidad de administración de la zona DNS. También se conoce como acme-dns-certbot Requisitos En este doc presuponemos que: Tienes cierto nivel de usuario Linux. Que tienes instalado certbot con snap . Si no, acude a las Instrucciones de Cerbot Que tienes instalado Python 3 , lo cual es ya lo mas común en una instalación de Linux. Instalar acme-cerbot Una vez instalado necesitamos descargar el script de phyton que nos permitirá trabajar con este tipo de desafío, o validación mediante DNS. Antes descargar nada, es buena práctica revisar el repositorio desde el que vamos a descargar el script. Antiguamente, no había forma salvo que conocieras un poco el programa y los sistemas implicados. Hoy día puedes usar si no alcanzas a esto, una chat de IA para que te verifique el scripts y te lo explique, como si fueras un novato en sistemas Linux y Python. wget https://github.com/joohoi/acme-dns-certbot-joohoi/raw/master/acme-dns-auth.py Lo hacemos ejecutable chmod +x acme-dns-auth.py Lo editamos para decirle que use Python 3 nano acme-dns-auth.py #!/usr/bin/env python3 ... Una vez que hallamos realizado el cambio, movemos el fichero sudo mv acme-dns-auth.py /etc/letsencrypt/ Configurar y usar acem-dns-cerbot La cuestión es hora simple sudo certbot certonly --manual --manual-auth-hook /etc/letsencrypt/acme-dns-auth.py --preferred-challenges dns --debug-challenges -d \*.tu-dominio -d tu-dominio Eso es una idea, basándonos en que tienes un * en tu zona dns. Pero puedes dejarlo en la simpleza del dominio normal, el que contiene www y otros como mail , etc. Pero el consejo es que todos resuelvan a la ip Ejemplo ficticio que surge de tener todo lo que te pida respecto de la zona DNS del dominio solicitado. Antes de darle a continuar Press Enter to Continue es evidente que ya has creado el registro en la zona del dominio, tal y como te solicitan, o de lo contrario fallará la generación del certificado Let's Encrypt. certbot certonly --manual --manual-auth-hook /etc/letsencrypt/acme-dns-auth.py --preferred-challenges dns --debug-challenges -d nodo1.midominio.tld Saving debug log to /var/log/letsencrypt/letsencrypt.log Requesting a certificate for nodo1.midominio.tld Hook '--manual-auth-hook' for nodo1.midominio.tld ran with output: Please add the following CNAME record to your main DNS zone: _acme-challenge.nodo1.midominio.tld CNAME cc94069f-6419-4c31-b079-d4408ec2bac6.auth.acme-dns.io. - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - Challenges loaded. Press continue to submit to CA. Pass "-v" for more info about challenges. - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - Press Enter to Continue Successfully received certificate. Certificate is saved at: /etc/letsencrypt/live/nodo1.midominio.tld/fullchain.pem Key is saved at: /etc/letsencrypt/live/nodo1.midominio.tld/privkey.pem This certificate expires on 2025-08-11. These files will be updated when the certificate renews. Certbot has set up a scheduled task to automatically renew this certificate in the background. - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - If you like Certbot, please consider supporting our work by: * Donating to ISRG / Let's Encrypt: https://letsencrypt.org/donate * Donating to EFF: https://eff.org/donate-le - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - Con esto ya puedes configurar el sitio de manera temporal, hasta que resuelva en la maquina. Después lo suyo seria revocarlo y comenzar un proceso normal, basado en web. Aviso Esta documentación y su contenido, no implica que funcione en tu caso o determinados casos. También implica que tienes conocimientos sobre lo que trata, y que en cualquier caso tienes copias de seguridad. El contenido el contenido se entrega, tal y como está, sin que ello implique ningún obligación ni responsabilidad por parte de Castris Si necesitas soporte profesional puedes contratar con Castris soporte profesional . Cambio de hostname permanentemente Introducción Algunas veces nos equivocamos, no teníamos el hostname definitivo o bien hemos instalado un VPS desde una plantilla, y necesitamos cambiar de forma permanente el hostname. El fichero habitual que controla el hostname habitualmente es /etc/hostname pero puedo y suele, haber más ficheros implicados Conocer el hostname en el shell Aquí tenemos el comando hostnamectl para ver los datos # hostnamectl Static hostname: template2004 Icon name: computer-vm Chassis: vm Machine ID: 1169e389ab834b238027f744b7cf1ae6 Boot ID: e47b8b52d7fe46bf9659f9758d475a73 Virtualization: kvm Operating System: Ubuntu 20.04.2 LTS Kernel: Linux 5.4.0-73-generic Architecture: x86-64 Y también podemos ver el propio fichero # cat /etc/hostname template2004 Cambiar el hostname permanentemente en Ubuntu 20.04 LTS Ejecutar hostname con opciones sudo hostnamectl set-hostname newNameHere Editar el fichero /etc/hosts reemplazando cualquier concurrencia del viejo nombre. También podemos utilizar sed pero quizás sea mejor hacerlo manualmente con nuestro editor favorito. sed -i -e ‘s/viejo_nombre/nuevo_nombre/g’ /etc/hosts Cambiar el hostname sin reiniciar en Ubuntu 20.04 LTS El procedimiento anterior es válido. Lo unico es que en el terminal seguiremos viendo el nombre antiguo en lugar del actual que podemos verificar con # hostnamectl Static hostname: kvm300 Icon name: computer-vm Chassis: vm Machine ID: 1169e389ab834b238027f744b7cf1ae6 Boot ID: e47b8b52d7fe46bf9659f9758d475a73 Virtualization: kvm Operating System: Ubuntu 20.04.2 LTS Kernel: Linux 5.4.0-73-generic Architecture: x86-64 Para ver el cambio en el indicador del terminal, debemos salir de nuestra shell o hacer un reload de nuestro intérprete de comandos. Otros ficheros Si tenemos instalado Postfix u otros demonios que requieren el uso de su propia variable o línea con el nombre del host, puede ser interesante ejecutar el comando de abajo para ver si existe algún otro fichero que debemos corregir. # find /etc/ -type f -exec grep -il 'template2004' {} \; /etc/ssh/ssh_host_rsa_key.pub /etc/ssh/ssh_host_dsa_key.pub /etc/ssh/ssh_host_ecdsa_key.pub /etc/ssh/ssh_host_ed25519_key.pub /etc/postfix/main.cf /etc/aliases.db Algunos de ellos, requerirán un reinicio o la aplicación de algún comando para actualizarse. Aviso Esta documentación y su contenido, no implica que funcione en tu caso o determinados casos. También implica que tienes conocimientos sobre lo que trata, y que en cualquier caso tienes copias de seguridad. El contenido el contenido se entrega, tal y como está, sin que ello implique ningún obligación ni responsabilidad por parte de Castris Si necesitas soporte profesional puedes contratar con Castris soporte profesional . Hardware El trabajo con el hardware también es necesario y configurable. Conocer el hardware en linea de comandos (shell) Comandos para identificar hardware y configuraciones especificas Hardware Información procesador # grep 'vendor_id' /proc/cpuinfo ; grep 'model name' /proc/cpuinfo ; grep 'cpu MHz' /proc/cpuinfo vendor_id : GenuineIntel vendor_id : GenuineIntel vendor_id : GenuineIntel vendor_id : GenuineIntel vendor_id : GenuineIntel vendor_id : GenuineIntel vendor_id : GenuineIntel vendor_id : GenuineIntel vendor_id : GenuineIntel vendor_id : GenuineIntel vendor_id : GenuineIntel vendor_id : GenuineIntel model name : Intel(R) Xeon(R) E-2136 CPU @ 3.30GHz model name : Intel(R) Xeon(R) E-2136 CPU @ 3.30GHz model name : Intel(R) Xeon(R) E-2136 CPU @ 3.30GHz model name : Intel(R) Xeon(R) E-2136 CPU @ 3.30GHz model name : Intel(R) Xeon(R) E-2136 CPU @ 3.30GHz model name : Intel(R) Xeon(R) E-2136 CPU @ 3.30GHz model name : Intel(R) Xeon(R) E-2136 CPU @ 3.30GHz model name : Intel(R) Xeon(R) E-2136 CPU @ 3.30GHz model name : Intel(R) Xeon(R) E-2136 CPU @ 3.30GHz model name : Intel(R) Xeon(R) E-2136 CPU @ 3.30GHz model name : Intel(R) Xeon(R) E-2136 CPU @ 3.30GHz model name : Intel(R) Xeon(R) E-2136 CPU @ 3.30GHz cpu MHz : 848.767 cpu MHz : 950.482 cpu MHz : 800.024 cpu MHz : 869.512 cpu MHz : 823.590 cpu MHz : 800.024 cpu MHz : 799.822 cpu MHz : 851.184 cpu MHz : 802.642 cpu MHz : 1182.916 cpu MHz : 1121.081 cpu MHz : 802.441 Marca procesador Si el procesdor es intel el comando de abajo devolvera algo # grep -i vmx /proc/cpuinfo Si el procesador es AMD el comnado de abjo devolverá algo # grep -i svm /proc/cpuinfo Discos duros lsblk (info particiones) lsblk NAME MAJ:MIN RM SIZE RO TYPE MOUNTPOINT sda 8:0 0 3,7T 0 disk ├─sda1 8:1 0 511M 0 part /boot/efi ├─sda2 8:2 0 50G 0 part │ └─md2 9:2 0 50G 0 raid1 / ├─sda3 8:3 0 511M 0 part [SWAP] ├─sda4 8:4 0 1000G 0 part │ └─md4 9:4 0 1000G 0 raid1 /var └─sda5 8:5 0 2,6T 0 part └─md5 9:5 0 2,6T 0 raid1 /home sdb 8:16 0 3,7T 0 disk ├─sdb1 8:17 0 511M 0 part ├─sdb2 8:18 0 50G 0 part │ └─md2 9:2 0 50G 0 raid1 / ├─sdb3 8:19 0 511M 0 part [SWAP] ├─sdb4 8:20 0 1000G 0 part │ └─md4 9:4 0 1000G 0 raid1 /var └─sdb5 8:21 0 2,6T 0 part └─md5 9:5 0 2,6T 0 raid1 /home loop0 7:0 0 2,2G 0 loop /var/tmp Discos duros (Atributos) # blkid /dev/md4: LABEL="/var" UUID="bfa920a1-48e4-4d4e-ad9a-1f5289ec630e" TYPE="ext4" /dev/sdb4: UUID="0ceedb71-9478-ba95-a4d2-adc226fd5302" TYPE="linux_raid_member" PARTLABEL="logical" PARTUUID="9ba975e1-1b14-49d3-8971-b936e8d5e4e4" /dev/sda4: UUID="0ceedb71-9478-ba95-a4d2-adc226fd5302" TYPE="linux_raid_member" PARTLABEL="logical" PARTUUID="66b5b2c5-7be1-49e5-a792-9f87e2f7b4f5" /dev/sda1: LABEL="EFI_SYSPART" UUID="42B6-5CF2" TYPE="vfat" PARTLABEL="primary" PARTUUID="da4d4fc9-d837-41d9-a107-e742798f9335" /dev/sda2: UUID="facf2df2-7b51-d62e-a4d2-adc226fd5302" TYPE="linux_raid_member" PARTLABEL="primary" PARTUUID="d9d59890-5495-4d5c-b1a1-9c7cb06ea760" /dev/sda3: LABEL="swap-sda3" UUID="b3455011-b526-4882-9103-53aea1ba8861" TYPE="swap" PARTLABEL="primary" PARTUUID="b5bd8cbf-6bd4-484d-a66f-95e026322fe3" /dev/sda5: UUID="8841cb2a-ce20-324b-a4d2-adc226fd5302" TYPE="linux_raid_member" PARTLABEL="logical" PARTUUID="0a0c4007-1aa6-4bbd-8c94-b059e5e47a0e" /dev/sdb1: LABEL="EFI_SYSPART" UUID="42EC-11F4" TYPE="vfat" PARTLABEL="primary" PARTUUID="96828372-cc5c-4f44-bfc4-0758c394b1bb" /dev/sdb2: UUID="facf2df2-7b51-d62e-a4d2-adc226fd5302" TYPE="linux_raid_member" PARTLABEL="primary" PARTUUID="ea54dfc3-e5c8-4436-be12-9515d1f1f0f1" /dev/sdb3: LABEL="swap-sdb3" UUID="7bf2c3e0-e995-4dbf-9edf-de91db5cc4e0" TYPE="swap" PARTLABEL="primary" PARTUUID="0581737a-20c0-44b7-957c-6190b583f1af" /dev/sdb5: UUID="8841cb2a-ce20-324b-a4d2-adc226fd5302" TYPE="linux_raid_member" PARTLABEL="logical" PARTUUID="c02afe0d-c242-4dd9-8ec7-77ecd90e510b" /dev/md2: LABEL="/" UUID="424a9e66-51b2-4947-97b2-0d632d79a97f" TYPE="ext4" /dev/md5: LABEL="/home" UUID="0de14a77-8d9e-4f25-9c1b-bec542d45f22" TYPE="ext4" /dev/loop0: UUID="8fa0ffb8-aaa1-4321-9d4f-d55a9b021bcc" TYPE="ext3" Estado solido o mecánico Devuelve 0 por SSD y 1 por discos mencánicos cat /sys/block/sda/queue/rotational Discos NVMe Necesitamos ewl paquete (Ubuntu) nmve-cli para comprobar discos de tipo NVMe # nvme list Node SN Model Namespace Usage Format FW Rev ---------------- -------------------- ---------------------------------------- --------- -------------------------- ---------------- -------- /dev/nvme0n1 S439NE0N101969 SAMSUNG MZQLB1T9HAJR-00007 1 958.95 GB / 1.92 TB 512 B + 0 B EDA5202Q /dev/nvme1n1 S439NE0N101968 SAMSUNG MZQLB1T9HAJR-00007 1 1.69 TB / 1.92 TB 512 B + 0 B EDA5202Q Discos duros (hdparam) El comando hdparm puede que no este instalado en tu distribución. yum install hdparm -y # hdparm -I /dev/sda /dev/sda: ATA device, with non-removable media Model Number: HGST HUS726040ALA610 Serial Number: N8GNY2YY Firmware Revision: A5GNT920 Transport: Serial, ATA8-AST, SATA 1.0a, SATA II Extensions, SATA Rev 2.5, SATA Rev 2.6, SATA Rev 3.0; Revision: ATA8-AST T13 Project D1697 Revision 0b Standards: Used: unknown (minor revision code 0x0029) Supported: 9 8 7 6 5 Likely used: 9 Configuration: Logical max current cylinders 16383 16383 heads 16 16 sectors/track 63 63 -- CHS current addressable sectors: 16514064 LBA user addressable sectors: 268435455 LBA48 user addressable sectors: 7814037168 Logical Sector size: 512 bytes Physical Sector size: 512 bytes device size with M = 1024*1024: 3815447 MBytes device size with M = 1000*1000: 4000787 MBytes (4000 GB) cache/buffer size = unknown Form Factor: 3.5 inch Nominal Media Rotation Rate: 7200 Capabilities: LBA, IORDY(can be disabled) Queue depth: 32 Standby timer values: spec'd by Standard, no device specific minimum R/W multiple sector transfer: Max = 16 Current = 16 Advanced power management level: 254 DMA: mdma0 mdma1 mdma2 udma0 udma1 udma2 udma3 udma4 udma5 *udma6 Cycle time: min=120ns recommended=120ns PIO: pio0 pio1 pio2 pio3 pio4 Cycle time: no flow control=120ns IORDY flow control=120ns Commands/features: Enabled Supported: * SMART feature set Security Mode feature set * Power Management feature set * Write cache * Look-ahead * Host Protected Area feature set * WRITE_BUFFER command * READ_BUFFER command * NOP cmd * DOWNLOAD_MICROCODE * Advanced Power Management feature set Power-Up In Standby feature set * SET_FEATURES required to spinup after power up SET_MAX security extension * 48-bit Address feature set * Device Configuration Overlay feature set * Mandatory FLUSH_CACHE * FLUSH_CACHE_EXT * SMART error logging * SMART self-test * Media Card Pass-Through * General Purpose Logging feature set * WRITE_{DMA|MULTIPLE}_FUA_EXT * 64-bit World wide name * URG for READ_STREAM[_DMA]_EXT * URG for WRITE_STREAM[_DMA]_EXT * WRITE_UNCORRECTABLE_EXT command * {READ,WRITE}_DMA_EXT_GPL commands * Segmented DOWNLOAD_MICROCODE * unknown 119[6] unknown 119[7] * Gen1 signaling speed (1.5Gb/s) * Gen2 signaling speed (3.0Gb/s) * Gen3 signaling speed (6.0Gb/s) * Native Command Queueing (NCQ) * Host-initiated interface power management * Phy event counters * NCQ priority information * unknown 76[15] Non-Zero buffer offsets in DMA Setup FIS * DMA Setup Auto-Activate optimization Device-initiated interface power management In-order data delivery * Software settings preservation unknown 78[7] unknown 78[10] unknown 78[11] * SMART Command Transport (SCT) feature set * SCT Write Same (AC2) * SCT Error Recovery Control (AC3) * SCT Features Control (AC4) * SCT Data Tables (AC5) * reserved 69[3] * reserved 69[4] * WRITE BUFFER DMA command * READ BUFFER DMA command Security: Master password revision code = 65534 supported not enabled not locked not frozen not expired: security count not supported: enhanced erase Logical Unit WWN Device Identifier: 5000cca244c984a4 NAA : 5 IEEE OUI : 000cca Unique ID : 244c984a4 Checksum: correct lshw lshw -class disk -class storage *-sata description: SATA controller product: Cannon Lake PCH SATA AHCI Controller vendor: Intel Corporation physical id: 17 bus info: pci@0000:00:17.0 logical name: scsi0 logical name: scsi1 version: 10 width: 32 bits clock: 66MHz capabilities: sata msi pm ahci_1.0 bus_master cap_list emulated configuration: driver=ahci latency=0 resources: irq:125 memory:91200000-91201fff memory:91203000-912030ff ioport:4050(size=8) ioport:4040(size=4) ioport:4020(size=32) memory:91202000-912027ff *-disk:0 description: ATA Disk product: HGST HUS726040AL physical id: 0 bus info: scsi@0:0.0.0 logical name: /dev/sda version: T920 serial: N8GNY2YY size: 3726GiB (4TB) capabilities: gpt-1.00 partitioned partitioned:gpt configuration: ansiversion=5 guid=9aa4231a-644b-40c9-9105-0e980dbeeeaa logicalsectorsize=512 sectorsize=512 *-disk:1 description: ATA Disk product: HGST HUS726040AL physical id: 1 bus info: scsi@1:0.0.0 logical name: /dev/sdb version: T920 serial: K4KRJ0KB size: 3726GiB (4TB) capabilities: gpt-1.00 partitioned partitioned:gpt configuration: ansiversion=5 guid=2c1a29d1-8bb6-4d02-9990-b9f2fb7b3414 logicalsectorsize=512 sectorsize=512 # lshw -short -C disk H/W path Device Class Description ==================================================== /0/100/17/0 /dev/sda disk 4TB HGST HUS726040AL /0/100/17/1 /dev/sdb disk 4TB HGST HUS726040AL smartctl Importante para ver el estado de tus discos. Sobre todo cuando compras o alquilas hardware smartctl -d ata -a -i /dev/sda smartctl 7.0 2018-12-30 r4883 [x86_64-linux-3.10.0-962.3.2.lve1.5.49.el7.x86_64] (local build) Copyright (C) 2002-18, Bruce Allen, Christian Franke, www.smartmontools.org === START OF INFORMATION SECTION === Model Family: HGST Ultrastar 7K6000 Device Model: HGST HUS726040ALA610 Serial Number: N8GNY2YY LU WWN Device Id: 5 000cca 244c984a4 Firmware Version: A5GNT920 User Capacity: 4.000.787.030.016 bytes [4,00 TB] Sector Size: 512 bytes logical/physical Rotation Rate: 7200 rpm Form Factor: 3.5 inches Device is: In smartctl database [for details use: -P show] ATA Version is: ACS-2, ATA8-ACS T13/1699-D revision 4 SATA Version is: SATA 3.1, 6.0 Gb/s (current: 6.0 Gb/s) Local Time is: Sun May 16 17:57:14 2021 CEST SMART support is: Available - device has SMART capability. SMART support is: Enabled === START OF READ SMART DATA SECTION === SMART overall-health self-assessment test result: PASSED General SMART Values: Offline data collection status: (0x84) Offline data collection activity was suspended by an interrupting command from host. Auto Offline Data Collection: Enabled. Self-test execution status: ( 0) The previous self-test routine completed without error or no self-test has ever been run. Total time to complete Offline data collection: ( 113) seconds. Offline data collection capabilities: (0x5b) SMART execute Offline immediate. Auto Offline data collection on/off support. Suspend Offline collection upon new command. Offline surface scan supported. Self-test supported. No Conveyance Self-test supported. Selective Self-test supported. SMART capabilities: (0x0003) Saves SMART data before entering power-saving mode. Supports SMART auto save timer. Error logging capability: (0x01) Error logging supported. General Purpose Logging supported. Short self-test routine recommended polling time: ( 2) minutes. Extended self-test routine recommended polling time: ( 571) minutes. SCT capabilities: (0x003d) SCT Status supported. SCT Error Recovery Control supported. SCT Feature Control supported. SCT Data Table supported. SMART Attributes Data Structure revision number: 16 Vendor Specific SMART Attributes with Thresholds: ID# ATTRIBUTE_NAME FLAG VALUE WORST THRESH TYPE UPDATED WHEN_FAILED RAW_VALUE 1 Raw_Read_Error_Rate 0x000b 100 100 016 Pre-fail Always - 0 2 Throughput_Performance 0x0005 135 135 054 Pre-fail Offline - 112 3 Spin_Up_Time 0x0007 184 184 024 Pre-fail Always - 265 (Average 315) 4 Start_Stop_Count 0x0012 100 100 000 Old_age Always - 80 5 Reallocated_Sector_Ct 0x0033 100 100 005 Pre-fail Always - 0 7 Seek_Error_Rate 0x000b 100 100 067 Pre-fail Always - 0 8 Seek_Time_Performance 0x0005 128 128 020 Pre-fail Offline - 18 9 Power_On_Hours 0x0012 097 097 000 Old_age Always - 27686 10 Spin_Retry_Count 0x0013 100 100 060 Pre-fail Always - 0 12 Power_Cycle_Count 0x0032 100 100 000 Old_age Always - 75 192 Power-Off_Retract_Count 0x0032 080 080 000 Old_age Always - 24197 193 Load_Cycle_Count 0x0012 080 080 000 Old_age Always - 24197 194 Temperature_Celsius 0x0002 162 162 000 Old_age Always - 37 (Min/Max 19/52) 196 Reallocated_Event_Count 0x0032 100 100 000 Old_age Always - 0 197 Current_Pending_Sector 0x0022 100 100 000 Old_age Always - 0 198 Offline_Uncorrectable 0x0008 100 100 000 Old_age Offline - 0 199 UDMA_CRC_Error_Count 0x000a 200 200 000 Old_age Always - 0 SMART Error Log Version: 1 No Errors Logged SMART Self-test log structure revision number 1 Num Test_Description Status Remaining LifeTime(hours) LBA_of_first_error # 1 Short offline Completed without error 00% 26073 - # 2 Short offline Completed without error 00% 26058 - # 3 Short offline Completed without error 00% 26058 - # 4 Short offline Completed without error 00% 16865 - # 5 Short offline Completed without error 00% 16850 - # 6 Short offline Completed without error 00% 16850 - # 7 Short offline Completed without error 00% 15329 - # 8 Short offline Completed without error 00% 15314 - # 9 Short offline Completed without error 00% 15314 - #10 Short offline Completed without error 00% 15288 - #11 Short offline Completed without error 00% 15278 - #12 Short offline Completed without error 00% 15264 - #13 Short offline Completed without error 00% 15264 - #14 Short offline Completed without error 00% 15249 - #15 Short offline Completed without error 00% 15249 - #16 Short offline Completed without error 00% 15099 - #17 Short offline Completed without error 00% 29 - #18 Short offline Completed without error 00% 23 - #19 Short offline Completed without error 00% 23 - #20 Short offline Completed without error 00% 2 - SMART Selective self-test log data structure revision number 1 SPAN MIN_LBA MAX_LBA CURRENT_TEST_STATUS 1 0 0 Not_testing 2 0 0 Not_testing 3 0 0 Not_testing 4 0 0 Not_testing 5 0 0 Not_testing Selective self-test flags (0x0): After scanning selected spans, do NOT read-scan remainder of disk. If Selective self-test is pending on power-up, resume after 0 minute delay. Estado del RAID pro software cat /proc/mdstat Personalities : [raid1] md5 : active raid1 sda5[0] sdb5[1] 2804960192 blocks [2/2] [UU] bitmap: 12/21 pages [48KB], 65536KB chunk md4 : active raid1 sdb4[1] sda4[0] 1048573888 blocks [2/2] [UU] bitmap: 4/8 pages [16KB], 65536KB chunk md2 : active raid1 sdb2[1] sda2[0] 52427712 blocks [2/2] [UU] Hardware información general Hardware información general resumida # lshw -short H/W path Device Class Description ==================================================== system To Be Filled By O.E.M. (To Be Filled By O.E.M.) /0 bus E3C242D4U2-2T /0/0 memory 64KiB BIOS /0/9 memory 32GiB System Memory /0/9/0 memory 16GiB DIMM DDR4 Synchronous 2666 MHz (0,4 ns) /0/9/1 memory DIMM [empty] /0/9/2 memory 16GiB DIMM DDR4 Synchronous 2666 MHz (0,4 ns) /0/9/3 memory DIMM [empty] /0/14 memory 384KiB L1 cache /0/15 memory 1536KiB L2 cache /0/16 memory 12MiB L3 cache /0/17 processor Intel(R) Xeon(R) E-2136 CPU @ 3.30GHz /0/100 bridge 8th Gen Core Processor Host Bridge/DRAM Registers /0/100/8 generic Xeon E3-1200 v5/v6 / E3-1500 v5 / 6th/7th/8th Gen Core Processor Gaussian Mixture Model /0/100/12 generic Cannon Lake PCH Thermal Controller /0/100/14 bus Cannon Lake PCH USB 3.1 xHCI Host Controller /0/100/14/0 usb1 bus xHCI Host Controller /0/100/14/1 usb2 bus xHCI Host Controller /0/100/14.2 memory RAM memory /0/100/15 bus Cannon Lake PCH Serial IO I2C Controller #0 /0/100/15.1 bus Cannon Lake PCH Serial IO I2C Controller #1 /0/100/16 communication Cannon Lake PCH HECI Controller /0/100/16.4 communication Cannon Lake PCH HECI Controller #2 /0/100/17 scsi0 storage Cannon Lake PCH SATA AHCI Controller /0/100/17/0 /dev/sda disk 4TB HGST HUS726040AL /0/100/17/0/1 /dev/sda1 volume 510MiB Windows FAT volume /0/100/17/0/2 /dev/sda2 volume 49GiB EXT4 volume /0/100/17/0/3 /dev/sda3 volume 510MiB Linux swap volume /0/100/17/0/4 /dev/sda4 volume 999GiB EXT4 volume /0/100/17/0/5 /dev/sda5 volume 2675GiB EXT4 volume /0/100/17/1 /dev/sdb disk 4TB HGST HUS726040AL /0/100/17/1/1 /dev/sdb1 volume 510MiB Windows FAT volume /0/100/17/1/2 /dev/sdb2 volume 49GiB EXT4 volume /0/100/17/1/3 /dev/sdb3 volume 510MiB Linux swap volume /0/100/17/1/4 /dev/sdb4 volume 999GiB EXT4 volume /0/100/17/1/5 /dev/sdb5 volume 2675GiB EXT4 volume /0/100/1b bridge Cannon Lake PCH PCI Express Root Port #21 /0/100/1b/0 eth0 network Ethernet Controller 10G X550T /0/100/1b/0.1 eth1 network Ethernet Controller 10G X550T /0/100/1c bridge Cannon Lake PCH PCI Express Root Port #1 /0/100/1c/0 bridge AST1150 PCI-to-PCI Bridge /0/100/1c/0/0 display ASPEED Graphics Family /0/100/1d bridge Cannon Lake PCH PCI Express Root Port #9 /0/100/1e communication Cannon Lake PCH Serial IO UART Host Controller /0/100/1f bridge Intel Corporation /0/100/1f.4 bus Cannon Lake PCH SMBus Controller /0/100/1f.5 bus Cannon Lake PCH SPI Controller /0/1 system PnP device PNP0c02 /0/2 system PnP device PNP0c02 /0/3 communication PnP device PNP0501 /0/4 communication PnP device PNP0501 /0/5 system PnP device PNP0c02 /0/6 generic PnP device INT3f0d /0/7 system PnP device PNP0c02 /0/8 system PnP device PNP0c02 /0/a system PnP device PNP0c02 /0/b system PnP device PNP0c02 Hardware información general detallada # lshw | less MegaCli MegaCli es una herramienta especifica de la familia de controladoras LSI MegaRaid Auqne muchos manuales idtentifican los caomando unas veces en minusculas, otros con alternacia de mayúsculas y minúsculas, lo qmejor es crear un alias, apuntado al que corresponda. Si te falla alguna información en al gun tip, que ves por internet esa es la razón. En mi caso uso MegaCli ya que hice en su día ln -s /usr/sbin/megacli MegaCli Conocer el estado de la controladora root@pro02:~# MegaCli -EncInfo -aALL Number of enclosures on adapter 0 -- 1 Enclosure 0: Device ID : 252 Number of Slots : 8 Number of Power Supplies : 0 Number of Fans : 0 Number of Temperature Sensors : 0 Number of Alarms : 0 Number of SIM Modules : 1 Number of Physical Drives : 8 Status : Normal Position : 1 Connector Name : Unavailable Enclosure type : SGPIO FRU Part Number : N/A Enclosure Serial Number : N/A ESM Serial Number : N/A Enclosure Zoning Mode : N/A Partner Device Id : Unavailable Inquiry data : Vendor Identification : AVAGO Product Identification : SGPIO Product Revision Level : N/A Vendor Specific : Exit Code: 0x00 Sistema Arquitectura lshw no tiene porque estar disponible en tu distribucion. Si es asi instalalo o busca alternativa. # sudo lshw -C CPU | grep width width: 64 bits Enlaces y agradecimientos How to find out Hard Disk Specks /Deatis on Linux Using NVMe Command Line Tools to Check NVMe Flash Health Aviso Esta documentación y su contenido, no implica que funcione en tu caso o determinados casos. También implica que tienes conocimientos sobre lo que trata, y que en cualquier caso tienes copias de seguridad. El contenido el contenido se entrega, tal y como está, sin que ello implique ningún obligación ni responsabilidad por parte de Castris Si necesitas soporte profesional puedes contratar con Castris soporte profesional . Uso de UUID para montar particiones linux Introducción El UUID ( Identificador único universal ) es un identificador estandarizado usado en el desarrollo del software por la OSF (Open Software Foundation) y es parte del Entorno de Distribución de Software (DCE). El objetivo del uso del UUID es permitir que los sistemas distribuidos identifiquen de manera única y sin una coordinación central los elementos de hardware y software. Cualquier administrador puede crear un UUID y usarlo para identificar algo con confianza razonable que nadie involuntariamente usará el mismo identificador en otros elemento o dispositivo. Beneficios del uso de UUID Su uso es especialmente útil, en un entorno personal, para asignar por ejemplo, el montaje de discos externos o internos, sin temor a que por razones del hardware, la asignación numérica habitual, haga fracasar el montaje de discos, cuando añadimos o eliminamos algún dispositivo nuevo. Dispositivos, SAN, iSCSI, DAS, volúmenes externos, son los mejores candidatos para el uso de UUID en el fichero fstab . Comando blkid el sustituto de vol_id Muchos de los tutoriales se han quedado obsoletos, ya que hacen uso del comando vol_id sustituido por blkid sudo vol_id --uuid /dev/sdb2 sudo: vol_id: orden no encontrada En su lugar podemos usar blkid ❯ sudo blkid /dev/nvme0n1p1: UUID="9047-9E81" TYPE="vfat" PARTUUID="cb856993-8dff-48f8-8646-0a4f333d2e7a" /dev/nvme0n1p2: UUID="dcV8h8-Ie6y-9yey-5RUE-YfPP-E0ra-fZAXSy" TYPE="LVM2_member" PARTUUID="d7a787ab-2143-46c5-b2aa-e46941a9210d" /dev/sda1: UUID="8aa6c0d2-c18e-4606-b1da-f5f1f7617f00" TYPE="xfs" PARTLABEL="backup3t" PARTUUID="f6b13129-366f-4d3c-8b79-05514ebcaff5" /dev/sdb1: LABEL="ssd" UUID="297ddd6c-f224-4385-8f89-e44f4a6912f3" TYPE="ext4" PARTUUID="57b4c3da-5bde-4a2f-83d5-fa43c13b63cb" /dev/mapper/kubuntu--vg-root: UUID="3c55b16d-1ad7-4ced-a552-874cc97ba0d3" TYPE="ext4" /dev/mapper/kubuntu--vg-swap_1: UUID="f6655751-5635-4acb-9ba6-5d3530aace9d" TYPE="swap ❯ sudo blkid /dev/nvme0n1p1 /dev/nvme0n1p1: UUID="9047-9E81" TYPE="vfat" PARTUUID="cb856993-8dff-48f8-8646-0a4f333d2e7a" ❯ sudo blkid /dev/sda1 /dev/sda1: UUID="8aa6c0d2-c18e-4606-b1da-f5f1f7617f00" TYPE="xfs" PARTLABEL="backup3t" PARTUUID="f6b13129-366f-4d3c-8b79-05514ebcaff5" Uso de UUID en el fichero /etc/fstab Sintaxis UUID={YOUR-UID} {/path/to/mount/point} {file-system-type} defaults,errors=remount-ro 0 1 Ejemplo para discos XFS Editamos el fichero /etc/fstab para que contenga el punto de montaje ❯ sudo cat /etc/fstab | grep 8aa6 UUID=8aa6c0d2-c18e-4606-b1da-f5f1f7617f00 /backups xfs rw,noquota,nofail 0 1 Comprobar ❯ sudo mount -a ❯ df -h |grep backups /dev/sda1 2,8T 1,2T 1,6T 43% /backups Yo uso habitualmente XFS ya que estoy más especializado en sistemas de backup y correo, donde el número de ficheros es mucho más elevado que otros, por lo que el uso de inodos es importante. XFS me permite un mayor control y calidad que ext4 para este tipo de sistemas. Por eso necesito usar noquota,nofail en lugar de la sintaxis común de ext4 Enlaces What is the difference between 'nobootwait' and 'nofail' in fstab? Debian fstab Arch Linux Fstab Aviso Esta documentación y su contenido, no implica que funcione en tu caso o determinados casos. También implica que tienes conocimientos sobre lo que trata, y que en cualquier caso tienes copias de seguridad. El contenido el contenido se entrega, tal y como está, sin que ello implique ningún obligación ni responsabilidad por parte de Castris Si necesitas soporte profesional puedes contratar con Castris soporte profesional . Instalación GPT con el instalador Centos 7 en discos < 2 TiB Introducción Uno de los problemas comunes en la generación de templates e incluso en algunas instalaciones, es el uso del obsoleto MBR. MBR es anticuado, y además presenta problemas en el caso de que en entornos virtuales, tengamos que hacer una ampliación de disco mayor de 2TiB. La eficiacia de GPT es muy superior y recomendable. Además si algun día nuestro disco quiere crecer por encima de los 2 TiB, ya no lo podrá hacer con MBR. Anaconda que es el sistema de Centos 7 para particionar el disco, hará lo siguiente: Si el disco ya está formateado, respetará el esquema de partición. Si el disco tiene más de 2 32 sectores (2 Tib) usará GPT Si el disco es de menor tamaño usará MBR. Instalar Centos 7 con tabla de particiones GPT Aviso Si bien existen algunos artículos sobre cómo convertir una partición con esquema MBR a GPT, esto no es recomendable, ya que GPT sólo es válido en sistemas compatibles con UEFI , y por tanto requiere una partición EFI /boot/efi de al menos 50 MiB (recomendado 200 MiB) y aunque podemos hacerlo mejor comenzar bien desde el principio. Discos menores de 2TiB Al mostrarse el instalador, debemos pulsar Tab para poder añadir a la linea de arranque inst.gpt lo cual de forma silenciosa, hará que anaconda realice la instalación usando el esquema de particiones GPT. Una vez finalizada la instalación tu disco tendrá un esquema de particiones GPT, que podrás ampliar sin problema mas allá de los 2 TiB Enlaces CentOs - Installation Destination [Anaconda](https://es.wikipedia.org/wiki/Anaconda_(instalador) Aviso Esta documentación y su contenido, no implica que funcione en tu caso o determinados casos. También implica que tienes conocimientos sobre lo que trata, y que en cualquier caso tienes copias de seguridad. El contenido el contenido se entrega, tal y como está, sin que ello implique ningún obligación ni responsabilidad por parte de Castris Si necesitas soporte profesional puedes contratar con Castris soporte profesional . Parted mejor que fdisk Introducción Además de que fdisk no puede particionar creando particiones mayores de 2TB, es mucho mejor amigo del sysadmin parted . En este artículo dejo escrito el cómo hacerlo en el caso de discos que uso en montajes de Proxmox con OVH. Parted : Creando particiones Label si esta no existe Si no existe etiqueta del formato de disco es necesaria así que la creamos # parted -s /dev/nvme1n1 mklabel gpt Hacer la partición disponible al 100% Cómo uso los discos para LVM es necesario crear una partición al 100% Recomendación LVM Howto # parted -s /dev/nvme1n1 mkpart primary 0% 100% # parted /dev/nvme1n1 GNU Parted 3.4 Using /dev/nvme1n1 Welcome to GNU Parted! Type 'help' to view a list of commands. (parted) print Model: SAMSUNG MZVL2512HCJQ-00B07 (nvme) Disk /dev/nvme1n1: 512GB Sector size (logical/physical): 512B/512B Partition Table: gpt Disk Flags: Number Start End Size File system Name Flags 1 1049kB 512GB 512GB primary Aviso Esta documentación y su contenido, no implica que funcione en tu caso o determinados casos. También implica que tienes conocimientos sobre lo que trata, y que en cualquier caso tienes copias de seguridad. El contenido el contenido se entrega, tal y como está, sin que ello implique ningún obligación ni responsabilidad por parte de Castris Si necesitas soporte profesional puedes contratar con Castris soporte profesional . Directadmin Un panel como otro cualquiera. Actualizar la licencia DirectAdmin en el shell Introducción Tratamos de entrar en nuestro servidor con DirectAdmin como administradores y nos encontramos con el problema de que no funciona y la licencia esta expirada, o la habiamos renovado o comprado, pero no esta actualizada. No hay problema, acudamos al shell. Actualziación de la licencia DirectAdmin en shell Automático Accedemos a nuestro servidor via ssh y ejecutamos los dos comandos: Uno para descargar la licencia Otro para reiniciar DirectAdmin ~# /usr/local/directadmin/scripts/getLicense.sh auto --2021-06-15 09:39:45-- https://www.directadmin.com/cgi-bin/licenseupdate?lid=240714&uid=92645 Resolving www.directadmin.com (www.directadmin.com)... 167.172.23.237 Connecting to www.directadmin.com (www.directadmin.com)|167.172.23.237|:443... connected. HTTP request sent, awaiting response... 200 OK Length: unspecified [application/octet-stream] Saving to: ‘/usr/local/directadmin/conf/license.key.temp’ /usr/local/directadmin/conf/license.key.temp [ <=> ] 1.78K --.-KB/s in 0s 2021-06-15 09:39:46 (241 MB/s) - ‘/usr/local/directadmin/conf/license.key.temp’ saved [1820] root@tiendas:~# service directadmin restart Enlace esxterno oficial con otras alternativas Updating your DirectAdmin License manually Aviso Esta documentación y su contenido, no implica que funcione en tu caso o determinados casos. También implica que tienes conocimientos sobre lo que trata, y que en cualquier caso tienes copias de seguridad. El contenido el contenido se entrega, tal y como está, sin que ello implique ningún obligación ni responsabilidad por parte de Castris Si necesitas soporte profesional puedes contratar con Castris soporte profesional . MySQL - MariaDb Un mundo difícil, en el que las diferencias entre los motores SQL del tipo MySQL, comienzan a ser muy problemáticas. Incluso entre las versiones del mismo motor. ERROR 1118 (42000) at line XXXXX: Row size too large (> 8126) Introducción Los upgrades de versión han sido un problema desde MySQL 5 y en MariaDB desde la 10. Muchas veces se quedan flecos que producen errores, que en caso de recuperación de desastres pueden ser un serio handicap. Error [root@servidor02b mysql]# bunzip2 < dbdump.db.bz2 | mysql ERROR 1118 (42000) at line 13300: Row size too large (> 8126). Changing some columns to TEXT or BLOB may help. In current row format, BLOB prefix of 0 bytes is stored inline. [root@servidor02b mysql]# bunzip2 < dbdump.db.bz2 | mysql Solución Editamos el fichero de configuración de mysql (generalmente /etc/my.cnf o dentro de /etc/mysql/) para añadir en la sección [mysqld] el siguiente contenido (puedes adaptarlo a tu sistema, necesidades o posibilidades) [mysqld] innodb_log_file_size=512M innodb_strict_mode=0 Después realizamos un restart del servidor e intentamos de nuevo el restore. Enlaces Troubleshooting Row Size Too Large Errors with InnoDB Row size too large (> 8126). Changing some columns to TEXT or BLOB may help. In current row format, BLOB prefix of 0 bytes is stored inline Aviso Esta documentación y su contenido, no implica que funcione en tu caso o determinados casos. También implica que tienes conocimientos sobre lo que trata, y que en cualquier caso tienes copias de seguridad. El contenido el contenido se entrega, tal y como está, sin que ello implique ningún obligación ni responsabilidad por parte de Castris Si necesitas soporte profesional puedes contratar con Castris soporte profesional . Errores con MariaDB 10.3 al restaurar o hacer backups arrastrando versiones antiguas Introducción Los síntomas son variados, pero afectan todos a la base de datos sys la cual existía con anterioridad a la versión 10.3 de MariaDB y que ya está en desuso. mysqldump: Got error: 1356: "View 'sys.host_summary' references invalid table(s) or column(s) or function(s) or definer/invoker of view lack rights to use them" when using LOCK TABLES Base de datos sys Esta base de datos, no se incluye desde la 10.3, pero ha sido incorporada en la versión 10.6.0 (Alpha) y 10.6.1 (Beta), bundle sys schema - MDEV-9077 , y si no la usas (probablemente) es seguro eliminarla. $ mysql mysql > DROP DATABASE sys; Si la necesitas, deberás intentar resolver los problemas descritos en los mensajes de error. Aviso Esta documentación y su contenido, no implica que funcione en tu caso o determinados casos. También implica que tienes conocimientos sobre lo que trata, y que en cualquier caso tienes copias de seguridad. El contenido el contenido se entrega, tal y como está, sin que ello implique ningún obligación ni responsabilidad por parte de Castris Si necesitas soporte profesional puedes contratar con Castris soporte profesional . Como extraer de un backup de MySQL completo una base de datos y/o una tabla Introducción Lo habitual en sistemas es tener un backup de bases de datos, por database o esquema. Pero a veces, sólo tenemos un backup completo. Mucho menos habitual es tener backups por tablas, así que en esta entrada, te explicamos cómo obtener el backup de una base de datos obtenida de un backup completo de mysqldump, y/o como extraer una tabla de un backup completo o de un esquema de la base de datos. Mysql --one-database Una opción muy potente, que puede ser muy útil en ciertos escenarios (trabajo con logs binarios) pero que requiere un conocimiento profundo de MySQL. Así que mejor ir a lo práctico. Filtrar el fichero mysqldump con sed Para mi es la mejor opción para extraer una base de datos o una tabla de un fichero SQL de mysqldump. $ sed -n '/^-- Current Database: `nombre_de_la_base_de_datos`/,/^-- Current Database: `/p' nombre_del_backup.sql > nombre_de_la_base_de_datos.sql Tip sed. Pasar una variable a un comando sed El mismo comando se puede pasar de forma más fácil, usando variables. En mi caso uso este tip, aunque existen otras fórmulas para pasar variables, en este caso muchas de ellas fallaran por las comillas simples invertidas. $ bd=nombre_de_la_bd $ mydump=nombre_del_fichero_dump_sql $ sed -n '/^-- Current Database: `'"${bd}"'`/,/^-- Current Database: `/p' $mydump > ${bd}.sql Extraer una tabla de un fichero mysqldump ¿Necesitas restaurar una sóla tabla? Sencillo. Cambiamos un poco la estructura de la consulta (trabajando sobre el fichero de una sola base de datos $ tabla=nombre_de_la_tabla $ sed -n '/^-- Table structure for table `'"${tabla}"'`/,/^-- Table structure for table /p' ${bd}.sql > ${tabla}.sql Nota de actualización para MacOs 2024/11/23 Algunas veces a sed en macos le da por mostrar problemas derivados la codificación. (Eso de no ser POSIX al MacosX le mata a veces) La solución (no lo intentes con las IA que a todas se les va la pinza...) sed -i -n '/^-- Current Database: `'"${bd}"'`/,/^-- Current Database: `/p' $mydump > ${bd}.sql sed: RE error: illegal byte sequence Solución LC_ALL=C sed -i -n '/^-- Current Database: `'"${bd}"'`/,/^-- Current Database: `/p' $mydump > ${bd}.sql Renombrar el backup de la tabla extraída para usarlo en la misma base de datos Atención porque si queremos usar ese backup para crear una copia clonada de la tabla con otro nombre hay que modificar el fichero, ya que de lo contrario volcaremos el contenido en la misma tabla, y si es un backup antiguo, el lío esta servido. -- Table structure for table `nombre_de_la_tabla` DROP TABLE IF EXISTS `nombre_de_la_tabla`; CREATE TABLE `nombre_de_la_tabla` ( -- Dumping data for table `nombre_de_la_tabla` LOCK TABLES `nombre_de_la_tabla` WRITE; /*!40000 ALTER TABLE `nombre_de_la_tabla` DISABLE KEYS */; Asi que debemos cambiarlo. Y una manía muy preocupante es la de usar editores de texto, sobre todo en windows, lo cual puede ser terrorífico, aparte de poco efectivo. Usaremos sed otra vez. # newtabla=nueva_tabla # sed -i -e 's/'"${tabla}"'/'"${newtabla}"'/g' ${tabla}.sql Enlaces Passing a variable to sed How can I use variables in the LHS and RHS of a sed substitution? Aviso Esta documentación y su contenido, no implica que funcione en tu caso o determinados casos. También implica que tienes conocimientos sobre lo que trata, y que en cualquier caso tienes copias de seguridad. El contenido el contenido se entrega, tal y como está, sin que ello implique ningún obligación ni responsabilidad por parte de Castris Si necesitas soporte profesional puedes contratar con Castris soporte profesional . Como crear un usuario Mysql/MariaDB con Grant Privileges Introducción La organización es muy adecuada en nuestro trabajo. Crear usuarios y bases de datos sin control alguno, y sin una nomenclatura es signo de desorganización, y el camino previo para las dificultades cuando necesitemos escalar nuestro proyecto. Además, a veces, no podemos dar permiso para todo (root) a todos. Eso sería un grave error en nuestra política de seguridad. El siguiente artículo, ha sido creado con MariaDb 10.6 pero con algunas diferencias sutiles que podréis encontrar en la documentación de los respectivos motores y versiones. Permite crear un usuario con privilegios suficientes para crear una base de datos y tener privilegios globales para es base de datos, siempre que cumpla, la nomenclatura de nombres basado en prefijo_ Crear una Database Si no tienes una base de datos creada, tendrás que crearla. Los comandos de este documento presuponen que tienes conocimientos básicos de MySQL. # mysql Welcome to the MariaDB monitor. Commands end with ; or \g. Your MariaDB connection id is 49 Server version: 10.6.3-MariaDB-1:10.6.3+maria~focal-log mariadb.org binary distribution Copyright (c) 2000, 2018, Oracle, MariaDB Corporation Ab and others. Type 'help;' or '\h' for help. Type '\c' to clear the current input statement. MariaDB [(none)]> CREATE DATABASE mibasedatos_pre; Query OK, 1 row affected (0.000 sec) MariaDB [(none)]> SHOW DATABASES; +--------------------+ | Database | +--------------------+ | information_schema | | mysql | | performance_schema | | sys | | mibasedatos_pre | +--------------------+ 6 rows in set (0.000 sec) El comando accede como root porque lo tengo configurado a tal fin siendo root. Pude ser que en tu sistema tengas que usar `mysql -u root -p` Crear un usuario nuevo de MariaDB MariaDB [(none)]> CREATE USER 'mibasedatos_usr'@'localhost' IDENTIFIED BY 'UnACoNtRaSeñaAdECuADa'; Query OK, 0 rows affected (0.001 sec) Comprobamos MariaDB [(none)]> SELECT User FROM mysql.user; +--------------+ | User | +--------------+ | mariadb.sys | | mysql | | root | | mibasedatos_pre | +--------------+ 4 rows in set (0.001 sec) Otorgamos privilegios al user de MariaDB GRANT CREATE USER, CREATE ON *.* TO 'mibasedatos_usr'@'localhost' IDENTIFIED BY 'CKWor4Jh9CC4UskUg'; MariaDB [(none)]> GRANT ALL PRIVILEGES ON `mibasedatos\_%`.* TO 'mibasedatos_usr'@'localhost' WITH GRANT OPTION; Query OK, 0 rows affected (0.001 sec) Otorgamos privilegios al user en MySQL 8 + CREATE USER, CREATE ON *.* TO 'mibasedatos_usr'@'localhost' IDENTIFIED BY 'CKWor4Jh9CC4UskUg'; GRANT ALL PRIVILEGES ON *.* TO 'myroot'@'localhost'; Comprobación MariaDB [(none)]> USE mibasedatos_pre; Database changed MariaDB [mibasedatos_pre]> CREATE TABLE test (id INT); Query OK, 0 rows affected (0.003 sec) Esto permite al usuario **crear cualquier base de datos** pero solo **usar aquellas que comienzan por el prefijo** Si deseas algo más especifico en mi opinión, necesitas hacer un script que genere el usuario y los permisos sucesivos cuando cree una tabla, forzando al uso dle prefijo (estilo cpanel) Enlaces How to Create MariaDB User and Grant Privileges MySQL granting privileges on wildcard database name to new user Aviso Esta documentación y su contenido, no implica que funcione en tu caso o determinados casos. También implica que tienes conocimientos sobre lo que trata, y que en cualquier caso tienes copias de seguridad. El contenido el contenido se entrega, tal y como está, sin que ello implique ningún obligación ni responsabilidad por parte de Castris Si necesitas soporte profesional puedes contratar con Castris soporte profesional . Restaurar mysqldump completo con problemas relacionados con VIEW y sus permisos Mysqldump, restore, vistas y seguridad Algunas veces, sobre todo cuando estamos trabajando con backups de otros servidores mysql, con problemas para restaurar un backup de una base de datos individual, que se hizo de forma completa. Esta incluye las vistas, y por ende, los usuarios con permisos para las vistas, conocido en MySQL como SQL SECURITY DEFINER . Si en nuestro sistema no existen esos usuarios, a los que hace referencia el fichero sql, obtendremos un fallo, en el volcado o restauración de la copia de seguridad, incluso si lo ejecutamos como root Por ejemplo ERROR 1356 (HY000) at line 1693: View 'database.view_condition_xx_table' references invalid table(s) or column(s) or function(s) or definer/invoker of view lack rights to use them Podemos intentar algunos tips, que hay por ahí, incluso hacer un restore forzado pero nos quedaríamos con la duda de si está todo bien. Solución propuesta: desactivar al usuario afectado en su SQL SECURITY DEFINER Primero para ver el tema y si este es el problema realmente (copiar y pegar artículos de internet no es buena idea si no se sabe lo que se hace) vamos a ver si los tiros van por ahí. ❯ cat my-database-dump.sql | grep -i DEFINER /*!50013 DEFINER=`root`@`127.0.0.1` SQL SECURITY DEFINER */ /*!50013 DEFINER=`root`@`127.0.0.1` SQL SECURITY DEFINER */ /*!50013 DEFINER=`otrouser`@`%` SQL SECURITY DEFINER */ Vemos que existe un usuario que no existe en nuestro servidor, y ese el portanto el que produce el problema en el volcado. La mejor opción en mi opinión, no es tratar de saltarse o modificar nada en el servidor, sino de obviar ese usuario, salvo que sea de interés crearlo en nuestro sistema, por otras causas. Desactivación del SQL SECURITY DEFINER problemático Usando sed podremos cambiar el definer que nos falla a root y volver a intentar la restauración de la copia de seguridad de mysql que nos falló a causa definer/invoker of view lack rights to use them sed -i.bak 's/DEFINER\=\`otrouser/DEFINER\=\`root/g' my-database-dump.sql Aviso Esta documentación y su contenido, no implica que funcione en tu caso o determinados casos. También implica que tienes conocimientos sobre lo que trata, y que en cualquier caso tienes copias de seguridad. El contenido el contenido se entrega, tal y como está, sin que ello implique ningún obligación ni responsabilidad por parte de Castris Si necesitas soporte profesional puedes contratar con Castris soporte profesional . Desactivación de las reglas de modos SQL de un sevidor MySQL/MariaDB/Percona Introducción Hay una gran diferencia entre usar la desactivación de los modos SQL de un servidor SQL, por necesidad imperiosa, y otra muy distnta de persistir en la creencia de que es lo correcto. Muchos de los modos SQL, cambia a lo largo de las vidas útiles de una versión de un sistemas de bases de datos, tipo SQL, y esto hace que en el momento más crucial ese cambio: Haga inservible, al menos rápidamente, un backup en un escenario de recuperación de desastres. No sepueda realziar una migración a un nuevo sistema por incompatibilidad de los datos contenidos. Por el fin de soporte de ese workaround que ha sido elminado de la ecuación en la versión nueva. Consideraciones al Usar sql_mode="": Desactivación de Validaciones: Al establecer sql_mode="", se desactivan validaciones como: STRICT_TRANS_TABLES : Permite que las inserciones y actualizaciones que no cumplen con los requisitos de tipo y tamaño se realicen, lo que potencialmente puede llevar a la corrupción de datos. NO_ZERO_DATE: Previene la inserción de fechas nulas o cero que suelen considerarse inválidas. ONLY_FULL_GROUP_BY: Asegura que las consultas que usan GROUP BY cumplan con las reglas estándar SQL. Compatibilidad con PHP : Si estás trabajando con PHP y experimentas problemas con la inserción de datos, a veces desactivar modos restrictivos puede solucionar problemas. Sin embargo, esto puede llevar a que se introduzcan datos erróneos o inconsistencia. Es importante identificar por qué los datos no se estaban insertando correctamente en primer lugar. Prácticas Recomendadas : En lugar de desactivar todos los modos, es una buena práctica intentar configurar el sql_mode de manera más específica. Por ejemplo, podrías excluir ciertos modos según sea necesario, en lugar de dejarlo vacío completamente: sql_mode="STRICT_TRANS_TABLES,NO_ZERO_DATE" ## Configuración en my.cnf Para configurar esto en el archivo my.cnf , puedes agregar o modificar la línea en la sección [mysqld]: [mysqld] sql_mode="" Reiniciar el Servidor Después de realizar cambios en my.cnf, asegúrate de reiniciar el servidor de MySQL o MariaDB para que los cambios surtan efecto. systemctl restart mariadb Comprobación Acceso a MySQL shell. MariaDB [(none)]> SHOW VARIABLES LIKE 'sql_mode'; +---------------+-------+ | Variable_name | Value | +---------------+-------+ | sql_mode | | +---------------+-------+ 1 row in set (0.001 sec) Conclusión Si decides establecer sql_mode="" , hazlo con precaución y asegúrate de revisar tu aplicación PHP para asegurarte de que todos los datos que se insertan sean válidos. También sería bueno investigar por qué ocurrían problemas sin establecer esto, ya que podrían haber soluciones más específicas y seguras sin necesidad de desactivar todas las validaciones. Links interesantes Como ejecutar tu acceso a mysql en un Directadmin sin usar root Mysql conexión vía socket. Como saber donde está Aviso Esta documentación y su contenido, no implica que funcione en tu caso o determinados casos. También implica que tienes conocimientos sobre lo que trata, y que en cualquier caso tienes copias de seguridad. El contenido el contenido se entrega, tal y como está, sin que ello implique ningún obligación ni responsabilidad por parte de Castris Si necesitas soporte profesional puedes contratar con Castris soporte profesional . ISPConfig Un panel algo espartano, que tiene algunos tips que son importantes de conocer. Desactivar el sistema de antispam y el antivirus en ISPConfig Introducción ISPConfig usa amavis junto a clamav comi sistema antivirus y antispam. En algunos escenarios esto puede ser innecesario o costos en términos de potencia, lo cual nos lleva al deseo de desactivar estos elementos de nuestro servidor Desactivar amavis en postfix (DirectAdmin) Editamos el fichero /etc/postfix/main.cf buscando y editando las líneas siguientes (añadir comentario # ): # content_filter = amavis:[127.0.0.1]:10024 # receive_override_options = no_address_mappings Después debemos reiniciar postfix systemctl restart postfix Parar y desactivar el arranque automático de clamav y amavis Tenemos que deshabilitar el arranque automático de estos servicios, según nuestro tipo de distribución. Versiones ISPConfig 3.1 y superiores Tenemos un trabajo adicional, en la edición de otros dos ficheros, que debemos comentar la línea que contienen. /etc/postfix/tag_as_foreign.re #/^/ FILTER amavis:[127.0.0.1]:10024 /etc/postfix/tag_as_originating.re #/^/ FILTER amavis:[127.0.0.1]:10026 Otras posibilidades Puede ser necesario revisar nuestro fichero master de postfix por si hubiera configuración antigua desde versiones anteriores. /etc/postfix/master.cf #amavis unix – – – – 2 smtp # -o smtp_data_done_timeout=1200 # -o smtp_send_xforward_command=yes # -o smtp_bind_address= Enlaces How to disable spamfilter- and antivirus functions in ISPConfig 3 Clamav-daemon and freshclam keep starting at bootime Aviso Esta documentación y su contenido, no implica que funcione en tu caso o determinados casos. También implica que tienes conocimientos sobre lo que trata, y que en cualquier caso tienes copias de seguridad. El contenido el contenido se entrega, tal y como está, sin que ello implique ningún obligación ni responsabilidad por parte de Castris Si necesitas soporte profesional puedes contratar con Castris soporte profesional . Backups Cuestiones sobre backups, tips con rsync, etc. Rsync sobre sistemas remotos Introducción rsync es una aplicación que ofrece un sistema de transmisión de ficheros, de forma incremental que permite la generación de sistemas de backups muy efectivos. Uno de los mejores ejemplos es Time Machine de Apple, que no es sino una interface visual de rsync Sin embargo muchos sitios expresan o ponen a disposición de los usuarios ejemplos que usados en un escenario diferente del usado en un entorno personal o corporativo, son fuente de problemas. Como norma general se usa el parámetro -a o --archive el cual es el equivalente a -rlptgoD lo cual supone que los parámetros de usuario y grupo, y los permisos de lectura, escritura y ejecución intentarán ser clonados, cosa que no funcionará e incluso creará problemas silenciosos en un entorno en el que los usuarios y grupos no son los mismos en origen que en destino. Parámetros de rsync para usar en sistemas remotos no coincidentes El escenario es el de realizar un backup de un sistema completo (disco principal) en un usuario remoto (no root) # rsync --devices --specials --hard-links --one-file-system --recursive --links --times --no-perms --no-group --no-owner --itemize-changes / remote_user@remote.host:/remote/path Parámetros con rsync-time-backup Dado que es un programa basado en rsync con sus propias normas para anular su configuración debemos usar otro camino con --rsync-set-flags --rsync-set-flags "-D --numeric-ids --links --hard-links -rlt --no-perms --no-group --no-owner --itemize-changes" Parámetros Deberás ajustar los parámetros a tu escenario, pero te explico los que he usado aquí. Corto Normal Descripción -D El mismo que --devices -aspecials -l --links copia los enlaces simbólicos como enlaces simbólicos -H --hard-links preserva los enlaces duros -x --one-file-system No copiará los dispositivos montados. Si tu sistemas tiene particiones como /var /usr y quieres copiar algo de aqui, esta opción NO debería estar aquí -r --recursive Copiara recursivamente -t --times Necesario sobre todo si no usamos -a, ya que será parte de la marca para saber si el fichero debe o no ser transferido o actualizado --no-perms No copiara los permisos originales. De esta forma no nos encontraremos con problemas de eliminación, uso, debidos a cuestiones de propietario /permisos. Como contrapartida, nos obliga a a tener un sistema de metadatos, que sí guarde esta información. --no-group Para evitar el uso del grupo del propietario del fichero --no-owner Para evitar actualizar el propietario del fichero Aviso Esta documentación y su contenido, no implica que funcione en tu caso o determinados casos. También implica que tienes conocimientos sobre lo que trata, y que en cualquier caso tienes copias de seguridad. El contenido el contenido se entrega, tal y como está, sin que ello implique ningún obligación ni responsabilidad por parte de Castris Si necesitas soporte profesional puedes contratar con Castris soporte profesional . rsync-time-backup: include y exclude Introducción rsync-time-backup es una buena herramienta con la salvedad de que no tiene limite por fechas de los backlups continuos basados en rsync. Es un clon de Time Machine de Mac. Es un fork mantenido por Castrsi, con algunas mejoras. Si trabajamos con sistemas completos hay muchos directorios y ficheros que debemos excluir e incluir. Actualziacion 17/09/2025 Include and Exclude Si trabajamos con sistemas remotos, deberías leer Rsync sobre sistemas remotos o tendrás problemas con los permisos y el pruning en las rotaciones de backups expirados. Ejemplo que a mi me funciona, y que deja el orden correcto para evitar problemas. Cualquier cambio, deberías probar si funciona. # Primero incluir lo que quieres mantener + /home/*** + /usr/local/directadmin/*** + /var/www/*** # Luego excluir directorios del sistema - /bin/*** - /boot/*** - /cdrom/*** - /dev/*** - /lib/*** - /lib32/*** - /lib64/*** - /libx32/*** - /media/*** - /mnt/*** - /opt/*** - /proc/*** - /run/*** - /sbin/*** - /sbin.usr-is-merged/*** - /snap/*** - /srv/*** - /swap.img - /sys/*** - /tmp/*** - /usr/*** - /var/*** # Excluir patrones específicos - *.git* - */cache/* - */usr/* Una respuesta que ta ayudará a entender el RsyncTutorial que propone el desarrollador, algo lioso. Aviso Esta documentación y su contenido, no implica que funcione en tu caso o determinados casos. También implica que tienes conocimientos sobre lo que trata, y que en cualquier caso tienes copias de seguridad. El contenido el contenido se entrega, tal y como está, sin que ello implique ningún obligación ni responsabilidad por parte de Castris Si necesitas soporte profesional puedes contratar con Castris soporte profesional . Diagnóstico y resolución de fallos en snapshots LVM durante backups en Proxmox Contexto del problema Síntomas iniciales Durante la ejecución de backups automatizados en Proxmox 7.2.14, se producían fallos intermitentes al procesar el disco secundario (disco-1) de la VM 473, lo que causaba error en el tamaño de la copia. Processing backup of disk 473-0 Transferring: kvm-473-0.2025-10-27-05-41-56.gz 25442648064 bytes (25 GB, 24 GiB) copied, 129 s, 197 MB/s dd: error reading '/dev/lvm/snap-473-0': Input/output error 3051+1 records in 3051+1 records out 25594953728 bytes (26 GB, 24 GiB) copied, 130.739 s, 196 MB/s Características del sistema Proxmox VE : 7.2.14 Kernel : 5.15.74-1-pve Storage : LVM sobre NVMe Método backup : Scripts personalizados (no vzdump estándar) Patrón : Primera copia OK, segunda copia FAIL Proceso de análisis Fase 1: Verificación de espacio en VG Descartado rápidamente. El Volume Group tenía espacio abundante: pvs -o +pv_name,vg_name,pv_size,pv_free PV VG Fmt Attr PSize PFree /dev/nvme1n1p1 lvm lvm2 a-- <1.75t 757.49g Conclusión : 757GB libres, suficiente para snapshots. Fase 2: Revisión de logs del sistema dmesg -T | grep -i "error\|fail\|i/o" | tail -50 Hallazgos : [Mon Oct 27 05:38:02 2025] Buffer I/O error on dev dm-54, logical block 5923136, async page read [Mon Oct 27 05:38:02 2025] Buffer I/O error on dev dm-54, logical block 5923136, async page read [Mon Oct 27 05:38:02 2025] Buffer I/O error on dev dm-54, logical block 5923136, async page read [Mon Oct 27 05:44:05 2025] Buffer I/O error on dev dm-51, logical block 6248768, async page read Errores en dispositivos dm-XX (device mapper → snapshots LVM) Tres reintentos por operación (patrón típico del kernel) Tipo: async page read (lectura desde snapshot) Sospecha inicial : Problema de hardware en disco NVMe. Fase 3: Verificación de salud del disco NVMe smartctl -a /dev/nvme1n1p1 Resultado crítico : SMART overall-health self-assessment test result: PASSED Media and Data Integrity Errors: 0 Error Information Log Entries: 0 Available Spare: 100% Percentage Used: 8% Conclusión : El disco NVMe está perfectamente sano . No es problema de hardware. Fase 4: Análisis de device mapper Intentamos localizar los dispositivos dm-54 y dm-51 reportados en dmesg: dmsetup ls --tree | grep -E "dm-5[14]" ls -la /dev/dm-54 /dev/dm-51 # cannot access '/dev/dm-54': No such file or directory # cannot access '/dev/dm-51': No such file or directory Interpretación : Los snapshots temporales ya fueron destruidos tras el backup (comportamiento normal). Los errores ocurrieron durante la existencia efímera del snapshot. Hipótesis evaluadas Hipótesis 1: Sectores defectuosos en disco físico Estado : ❌ DESCARTADA Motivo : SMART sin errores, 0 sectores realojados Hipótesis 2: Bug del kernel 5.15 con snapshots bajo carga Estado : ⚠️ POSIBLE (no confirmada) Motivo : Kernel antiguo con bugs conocidos en snapshot mechanism Hipótesis 3: Snapshot COW lleno durante backup Estado : ✅ CONFIRMADA Método de validación : Monitorización en tiempo real Diagnóstico definitivo Herramienta de diagnóstico utilizada Durante la ejecución del backup, se monitorizó en tiempo real el estado de los snapshots: watch -n1 'lvs -a | grep snap' Output revelador : Every 1.0s: lvs -a | grep snap snap-473-0 lvm swi-aos--- 1.00g vm-473-disk-0 7.61 snap-473-1 lvm swi-I-s--- 1.00g vm-473-disk-1 100.00 snap-999-0 vg swi-a-s--- 3.00g vm-999-disk-0 9.09 Interpretación de los flags LVM Campo Valor Significado snap-473-0 swi-aos--- Snapshot activo, OK (7.61% uso) snap-473-1 swi- I -s--- Snapshot INVÁLIDO (letra I mayúscula) snap-473-1 100.00 COW al 100% - completamente lleno Conclusión definitiva : El snapshot del disco-1 alcanzó el 100% de su espacio Copy-On-Write (1GB), provocando: Marcado del snapshot como inválido por LVM Cualquier lectura posterior genera "Buffer I/O error" Fallo del proceso de backup Causa raíz ¿Por qué el disco-1 y no el disco-0? snap-473-0: 7.61% usado → VM escribe poco en este disco durante backup snap-473-1: 100% usado → VM escribe intensivamente en este disco El disco-1 contiene elementos con alta tasa de escritura: Bases de datos con logs activos Swap en uso Directorios /tmp o /var con actividad constante Logs del sistema operativo El problema del tamaño de snapshot Configuración problemática : # Snapshot de 1GB para disco de 35GB = ~3% del tamaño del disco lvcreate -L1G -s -n snap-473-1 /dev/lvm/vm-473-disk-1 Durante el backup (que puede tardar 2-3 minutos con 35GB): VM continúa funcionando Disco-1 recibe escrituras constantes Cada bloque modificado consume espacio COW 1GB se llena antes de completar el backup → snapshot inválido Solución implementada Ajuste del tamaño de snapshot en scripts de backup Al ser un proceso solapado de hosts snapshots con creación aleatoria de marca de tiempo, y de mysqldump en el KVM, el cual por tamaños era causa del rpoblema (> 6G) no procede el aumento tan significativo de porcentaje de snapshot Dado que hay incidentes similares, y ya habia alguna modifciaciones al script de backups de mysql, mysqldump_remote_utility.sh se procede a realizar una mejora en el script, para poder realizar los backup al vuelo, (directamente mysqldump + compresión sobre la conexión). Consultar README_mysqldump_remote.md Datos relevantes para otros cálculos Cálculo del tamaño óptimo de snapshot Tamaño disco Actividad VM Snapshot recomendado 35GB Baja (logs, configs) 10% = 3.5GB 35GB Media (servicios web) 20% = 7GB 35GB Alta (BD, swap activo) 30% = 10GB 100GB+ Alta 20-30GB (límite práctico) Verificación del tamaño durante backup Añadir monitorización al script de backup: #!/bin/bash # En paralelo durante el backup watch -n5 "lvs -a | grep snap-473 | awk '{print \$1, \$6}'" # O con alertas: while true; do USAGE=$(lvs --noheadings -o snap_percent snap-473-1 2>/dev/null | xargs) if (( $(echo "$USAGE > 80" | bc -l) )); then echo "WARNING: Snapshot at ${USAGE}%" fi sleep 5 done Comandos útiles para diagnóstico Monitorización en tiempo real # Ver estado de snapshots activos watch -n1 'lvs -a | grep snap' # Ver uso específico con más detalle lvs -a -o +chunksize,snap_percent | grep snap # Logs en tiempo real dmesg -wT | grep -i "error\|snapshot" Post-mortem tras fallo # Revisar logs del kernel dmesg -T | grep -i "error\|fail\|i/o" | tail -50 # Estado de los VG vgs -o +lv_metadata_size,metadata_percent # Snapshots huérfanos o colgados lvs -a | grep snap # Salud del storage smartctl -a /dev/nvmeXnY Lecciones aprendidas Los errores de I/O en dm-XX no siempre son hardware : Primero verificar el estado de snapshots LVM. El tamaño de snapshot no es porcentaje fijo : Depende de la tasa de escritura durante el backup, no del tamaño del disco. Herramienta clave : watch -n1 'lvs -a | grep snap' permite ver en tiempo real el llenado del COW. Pattern recognition : "Primera copia OK, segunda FAIL" → indica recurso que se agota (no hardware defectuoso). Flag 'I' en lvs : Snapshot inválido por COW lleno. Crítico para diagnóstico rápido. Prevención futura Script de validación pre-backup #!/bin/bash # validate_snapshot_size.sh VM_ID=$1 DISK_NUM=$2 DISK_LV="/dev/lvm/vm-${VM_ID}-disk-${DISK_NUM}" # Obtener tamaño del disco DISK_SIZE_G=$(lvs --noheadings -o lv_size --units g "$DISK_LV" | tr -d 'g' | xargs) # Calcular snapshot recomendado (30%) RECOMMENDED_G=$(echo "$DISK_SIZE_G * 0.3 / 1" | bc) # Obtener espacio libre en VG VG_NAME=$(lvs --noheadings -o vg_name "$DISK_LV" | xargs) FREE_G=$(vgs --noheadings -o vg_free --units g "$VG_NAME" | tr -d 'g' | xargs) echo "Disco: $DISK_LV" echo "Tamaño: ${DISK_SIZE_G}G" echo "Snapshot recomendado: ${RECOMMENDED_G}G" echo "Espacio libre en VG: ${FREE_G}G" if (( $(echo "$FREE_G < $RECOMMENDED_G" | bc -l) )); then echo "ERROR: Espacio insuficiente en VG" exit 1 fi echo "OK: Suficiente espacio disponible" Monitorización automatizada #!/bin/bash # monitor_snapshots.sh # Ejecutar en paralelo durante backups THRESHOLD=85 # Alertar al 85% de uso while true; do lvs -a --noheadings -o lv_name,snap_percent 2>/dev/null | grep snap | while read name percent; do if [ -n "$percent" ]; then percent_int=$(echo "$percent" | cut -d'.' -f1) if [ "$percent_int" -ge "$THRESHOLD" ]; then logger -t backup-monitor "WARNING: Snapshot $name at ${percent}%" # Opcional: enviar alerta email/telegram fi fi done sleep 10 done Referencias LVM Snapshot documentation: /usr/share/doc/lvm2/ Device mapper errors: man dmsetup Fecha de resolución : 27 de octubre de 2025 Sistema : Proxmox VE 7.2.14 Causa raíz : Snapshot COW undersized para tasa de escritura de la VM Solución : Mejora script cliente KVM para mysqldump en solución on-fly Aviso Esta documentación y su contenido, no implica que funcione en tu caso o determinados casos. También implica que tienes conocimientos sobre lo que trata, y que en cualquier caso tienes copias de seguridad. El contenido el contenido se entrega, tal y como está, sin que ello implique ningún obligación ni responsabilidad por parte de Castris Si necesitas soporte profesional puedes contratar con Castris soporte profesional . Tips and Tricks Trucos para usuarios linux Como convertir ficheros .flac a .mp3 en el shell de linux con ffmpeg Introducción Algunas veces me descargo o me pasan algun disco de música clasica en forma .flac y la verdad, ni tengo el equipo para tal audición, ni tanto espacio en mis saturados discos. Asi que lo mejor es convertirlos a .mp3 (también puedes hacerlo a .ogg si eres muy OpenSource (aunque mp3 ya es formato abierto) Convertir todos los ficheros .flac de un directorio a .mp3 con ffmpeg en linux con el shell Bueno, ni que decir tiene que debes tener instalado fmpeg y los codecs, pero eso lo dejo para otro momento. Recursivo find -name "*.flac" -exec ffmpeg -i {} -acodec libmp3lame -ab 128k {}.mp3 \; Un solo nivel find -maxdepth 1 -name "*.flac" -exec ffmpeg -i {} -acodec libmp3lame -ab 128k {}.mp3 \; Enlaces man ffmpeg find Los 28 comandos más útiles de FFmpeg Aviso Esta documentación y su contenido, no implica que funcione en tu caso o determinados casos. También implica que tienes conocimientos sobre lo que trata, y que en cualquier caso tienes copias de seguridad. El contenido el contenido se entrega, tal y como está, sin que ello implique ningún obligación ni responsabilidad por parte de Castris Si necesitas soporte profesional puedes contratar con Castris soporte profesional . Teclas Inicio (Home) y Final (End) en ZSH y oh-my-zsh con Powershell Introducción La verdad es que me encanta usar ZHS en combinación de Oh-My-Zsh y el tema PowerLevel10k pero tenía un problema con las teclas Inicio (Home) y Fin (End) que no funcionan. Al final lo solucioné y te cuento como lo hice. Solución al problema Para probar si te va a funcionar antes de editar el fichero de configuración de zsh, te aconsejo que ejecutes en el terminal y después pruebes las teclas: ❯ bindkey "\033[1~" beginning-of-line ❯ bindkey "\033[4~" end-of-line Si te funciona (debería), es necesario editar el fichero ~/.zshrc y añadirlo. Después ejecuta: ❯ source ~/.zshrc Enlaces Candrew34 en github -> Cannot using home/end key after install oh-my-zsh List of zsh bindkey commands Binding Keys in Zsh – jdhaos’s blog Aviso Esta documentación y su contenido, no implica que funcione en tu caso o determinados casos. También implica que tienes conocimientos sobre lo que trata, y que en cualquier caso tienes copias de seguridad. El contenido el contenido se entrega, tal y como está, sin que ello implique ningún obligación ni responsabilidad por parte de Castris Si necesitas soporte profesional puedes contratar con Castris soporte profesional . Linux, paquetes instalados desde el shell Introducción A veces necesitamos conocer que paquetes tenemos instalados en nuestra distribución linux. Y no usamos un entorno gráfico. Distribuciones basadas en .deb Para conocer qué paquetes están instalados en nuestra distribución linux, desde el shell ejecutaremos # apt list --installed | grep nginx WARNING: apt does not have a stable CLI interface. Use with caution in scripts. nginx/stable,now 1.18.0-2~focal amd64 [installed,upgradable to: 1.20.1-1~focal] Distribuciones basadas en .rpm rpm -qa | grep apache ea-apache24-mod_bwlimited-1.4-47.52.2.cpanel.x86_64 ... ea-apache24-2.4.48-3.12.1.cpanel.x86_64 ... Aviso Esta documentación y su contenido, no implica que funcione en tu caso o determinados casos. También implica que tienes conocimientos sobre lo que trata, y que en cualquier caso tienes copias de seguridad. El contenido el contenido se entrega, tal y como está, sin que ello implique ningún obligación ni responsabilidad por parte de Castris Si necesitas soporte profesional puedes contratar con Castris soporte profesional . Cómo instalar y activar el repositorio EPEL en Centos 7/8 Introducción El repositorio EPEL (Extra Packages for Enterprise Linux) es un repositorio de un grupo de Fedora que crea, mantiene y administra una serie de paquetes .rpm ausentes o presentes en versiones anticuadas, para mejorar las capacidades de las distros basadas en Redhat (RHEL, CentOs, Scientific Linux, Fedora) Sus instalación en un servidor con cPanel requiere ciertas normas para evitar problemas posteriores, que algunas veces pueden ser bastante graves para nuestro sistema. Instalación EPEL (CentOs 7/8) [root@centos7 ~]# yum -y install epel-release Complementos cargados:fastestmirror Loading mirror speeds from cached hostfile * base: mirror.tedra.es * extras: mirror.tedra.es * updates: mirror.tedra.es Resolviendo dependencias --> Ejecutando prueba de transacción ---> Paquete epel-release.noarch 0:7-11 debe ser instalado --> Resolución de dependencias finalizada Dependencias resueltas ============================================================================================================================================================================================= Package Arquitectura Versión Repositorio Tamaño ============================================================================================================================================================================================= Instalando: epel-release noarch 7-11 extras 15 k Resumen de la transacción ============================================================================================================================================================================================= Instalar 1 Paquete Tamaño total de la descarga: 15 k Tamaño instalado: 24 k Downloading packages: epel-release-7-11.noarch.rpm | 15 kB 00:00:00 Running transaction check Running transaction test Transaction test succeeded Running transaction Instalando : epel-release-7-11.noarch 1/1 Comprobando : epel-release-7-11.noarch 1/1 Instalado: epel-release.noarch 0:7-11 ¡Listo! Desactivación (cpanel consejo) Por defecto un repositorio se instalan activados, lo cual es bastante peligroso en un servidor con cPanel o con otro panel intrusivo (el 99,9% lo son) Deberemos editar el fichero de configuración del repositorio /etc/yum.repos.d/epel.repo editando la línea enable=1 a enable=0 [epel] name=Extra Packages for Enterprise Linux 7 - $basearch #baseurl=http://download.fedoraproject.org/pub/epel/7/$basearch metalink=https://mirrors.fedoraproject.org/metalink?repo=epel-7&arch=$basearch failovermethod=priority enabled=0 gpgcheck=1 gpgkey=file:///etc/pki/rpm-gpg/RPM-GPG-KEY-EPEL-7 Cuando queramos instalar o actualizar algún paquete del repositorio epel deberemos usar la opción --enablerepo=epel en nuestro comando yum Ejemplo [root@centos7 ~]# yum --enablerepo=epel -y install snapd Verificacion doble de desactivación Como es importante, deberíamos hacer una doble verificación de que el repositorio no está activo, con el comando yum repolist que en caso de no estar activo, no lo mostrará. [root@centos7 ~]# yum repolist Complementos cargados:fastestmirror Loading mirror speeds from cached hostfile * base: mirror.tedra.es * extras: mirror.tedra.es * updates: mirror.tedra.es id del repositorio nombre del repositorio estado base/7/x86_64 CentOS-7 - Base 10.072 extras/7/x86_64 CentOS-7 - Extras 498 updates/7/x86_64 CentOS-7 - Updates 2.579 repolist: 13.149 Conocer los paquetes disponibles en EPEL Es un comando sencillo que mostrará la lista de paquetes del repositorio. [root@centos7 ~]# yum --disablerepo="*" --enablerepo="epel" list available Complementos cargados:fastestmirror Loading mirror speeds from cached hostfile * epel: mirror.eixamcoop.cat Paquetes disponibles 0ad.x86_64 0.0.22-1.el7 epel 0ad-data.noarch 0.0.22-1.el7 epel 0install.x86_64 2.11-1.el7 epel 2048-cli.x86_64 0.9.1-1.el7 epel 2048-cli-nocurses.x86_64 0.9.1-1.el7 epel . . . Aviso Esta documentación y su contenido, no implica que funcione en tu caso o determinados casos. También implica que tienes conocimientos sobre lo que trata, y que en cualquier caso tienes copias de seguridad. El contenido el contenido se entrega, tal y como está, sin que ello implique ningún obligación ni responsabilidad por parte de Castris Si necesitas soporte profesional puedes contratar con Castris soporte profesional . Conocer el tamaño de unas carpetas ignorando los enlaces duros (rsync) Rsync, enlaces duros y du En mi trabajo uso rsync con un sistema de enlaces duros, como el Time Machine de Apple. Y a veces es bueno saber o conocer, el tamaño de las carpetas ignorando los enlaces duros, en los que esta basado este sistema de backup continuo. du $ du -hc --max-depth=1 path/ 24G rsync/2022-03-17-065908 1.6M rsync/2022-03-17-072202 1.2G rsync/2022-03-17-105858 1.1G rsync/2022-03-17-074333 79.9G rsync/ 79.9G total Man page command du How to get folder size ignoring hard links? Aviso Esta documentación y su contenido, no implica que funcione en tu caso o determinados casos. También implica que tienes conocimientos sobre lo que trata, y que en cualquier caso tienes copias de seguridad. El contenido el contenido se entrega, tal y como esta, sin que ello implique ningún obligación ni responsabilidad por parte de Castris Si necesitas soporte profesional puedes contratar con Castris soporte profesional . Ssh se sale (break) de un ciclo (loop) en un script bash Introducción Uso Rsync time backup para algunos proyectos, pero el caso de uno en particular con más de 8TB de ficheros a mantener en backup, y con múltiples usuarios, prefiero usar una estrategia de copia de seguridad por usuario. Cuando programé el script bash rápido para hacer este trabajo, me encontré que la finalización del script se alcanzaba tras leer el completar la primera copia de seguridad. Tras finalizar correctamente el proceso de sincronización. El problema es que ssh lee desde la entrada estándar, por lo tanto, se come todas las líneas restantes. Solución al problema en ssh ssh $USER@$SERVER "COMMAND_IN_REMOTE" < /dev/null También podemos usar ssh -n en lugar de la redirección a ninguna parte. -n' Redirects stdin from /dev/null (actually, prevents reading from stdin). This must be used when ssh is run in the background. A common trick is to use this to run X11 programs on a remote machine. For example, ssh -n shadows.cs.hut.fi emacs & will start an emacs on shadows.cs.hut.fi, and the X11 connection will be automatically forwarded over an encrypted channel. The ssh program will be put in the background. (This does not work if ssh needs to ask for a password or passphrase; see also the -f option.) Solución en Rsync time backup En este software no hay posibilidad de modificar o usar el parámetro -n asi que solo se puede hacer via redirección a ninguna parte < /dev/null while IFS= read -r line do case $line in appdata_ociz9efdik2y|transmission-daemon|updater-ociz9efdik2y) continue ;; *) echo "$line" /srv/mypath/diwan/rsync-time-backup/rsync_tmbackup.sh --rsync-set-flags "-D -zz --numeric-ids --links --hard-links -rlt --no-perms --no-group --no-owner --itemize-changes" --strate gy "1:1 7:7 30:30" -p 9999 root@mypath.domain.net:/data/"$line" /srv/storage/mypath/rsync/"$line" < /dev/null ;; esac done < "$input" Agradecimientos ssh breaks out of while-loop in bash - duplicate While loop stops reading after the first line in Bash ssh(1) - Linux man page Aviso Esta documentación y su contenido, no implica que funcione en tu caso o determinados casos. También implica que tienes conocimientos sobre lo que trata, y que en cualquier caso tienes copias de seguridad. El contenido el contenido se entrega, tal y como está, sin que ello implique ningún obligación ni responsabilidad por parte de Castris Si necesitas soporte profesional puedes contratar con Castris soporte profesional . Redis Failed to start Advanced key-value store. Introducción En algún momento nuestro servidor Redis falla, y deja de estar operativo. Reiniciamos pero no arranca y en su lugar muestra un error cuando hacemos un sudo systemctl status redis-server jun 02 17:43:33 abkrim-nox systemd[1]: Failed to start Advanced key-value store. Por más que lo intentamos no lo consigue. Veamos que podemos hacer. Analizando el problema Systemctl logs journalctl -xeu redis-server.service ░░ The job identifier is 3699 and the job result is done. jun 02 17:45:14 abkrim-nox systemd[1]: redis-server.service: Start request repeated too quickly. jun 02 17:45:14 abkrim-nox systemd[1]: redis-server.service: Failed with result 'exit-code'. ░░ Subject: Unit failed ░░ Defined-By: systemd ░░ Support: http://www.ubuntu.com/support ░░ ░░ The unit redis-server.service has entered the 'failed' state with result 'exit-code'. jun 02 17:45:14 abkrim-nox systemd[1]: Failed to start Advanced key-value store. Bueno ya tenemos una pista pero viendo los logs (bendita bitácora) podemos obtener más información. sudo tail -n100 /var/log/redis/redis-server.log … 7471:M 02 Jun 2022 17:48:00.413 * DB loaded from base file appendonly.aof.66.base.rdb: 0.000 seconds 7471:M 02 Jun 2022 17:48:00.893 # Bad file format reading the append only file appendonly.aof.66.incr.aof: make a backup of your AOF file, then use ./redis-check-aof --fix Con esto vemos que nuestra configuración de redis esta configurado para usar una estrategia AOF (append-only file) para evitar perdidas de datos en caso de una terminación brusca (energía, kill -9,..) que no permita la escritura de los datos activos a disco. appendonly yes Y además de esto, nuestro fichero AOF esta corrupto. Así pues hay que recuperarlo. Reparando el fichero AOF El comando general es `redis-check-aof –fix ahora falta encontrar tanto el binario de la utilidad como el fichero. En mi caso un Ubuntu 22.04 con redis instalado vía repositorio, siendo la versión 6.7 ❯ sudo ls -lisah /var/lib/redis total 16K 17170880 4,0K drwxr-x---  3 redis redis 4,0K jun  2 20:19 . 16777254 4,0K drwxr-xr-x 94 root  root  4,0K may 31 10:43 .. 17170910 4,0K drwxr-x---  2 redis redis 4,0K jun  2 18:34 appendonlydir 17170564 4,0K -rw-rw----  1 redis redis 1,6K jun  2 20:19 dump.rdb ❯ sudo ls -lisah /var/lib/redis/appendonlydir total 836K 17170910 4,0K drwxr-x--- 2 redis redis 4,0K jun  2 18:34 . 17170880 4,0K drwxr-x--- 3 redis redis 4,0K jun  2 20:19 .. 17171350 4,0K -rw-rw---- 1 redis redis 1,6K jun  2 18:34 appendonly.aof.67.base.rdb 17171130 820K -rw-r----- 1 redis redis 815K jun  2 20:21 appendonly.aof.67.incr.aof 17171294 4,0K -rw-r----- 1 redis redis 92 jun  2 18:34 appendonly.aof.manifest Así pues el comando sería sudo /usr/bin/redis-check-aof --fix /var/lib/redis/appendonlydir/appendonly.aof.manifest Start checking Multi Part AOF Start to check BASE AOF (RDB format). [offset 0] Checking RDB file appendonly.aof.66.base.rdb [offset 26] AUX FIELD redis-ver = '7.0.0' [offset 40] AUX FIELD redis-bits = '64' [offset 52] AUX FIELD ctime = '1653893946' [offset 67] AUX FIELD used-mem = '5178616' [offset 79] AUX FIELD aof-base = '1' [offset 81] Selecting DB ID 0 [offset 3048] Checksum OK [offset 3048] \o/ RDB looks OK! \o/ [info] 19 keys read [info] 9 expires [info] 9 already expired RDB preamble is OK, proceeding with AOF tail... AOF analyzed: filename=appendonly.aof.66.base.rdb, size=3048, ok_up_to=3048, ok_up_to_line=1, diff=0 BASE AOF appendonly.aof.66.base.rdb is valid Start to check INCR files. AOF appendonly.aof.66.incr.aof format error AOF analyzed: filename=appendonly.aof.66.incr.aof, size=64241117, ok_up_to=64238121, ok_up_to_line=4261202, diff=2996 This will shrink the AOF appendonly.aof.66.incr.aof from 64241117 bytes, with 2996 bytes, to 64238121 bytes Continue? [y/N]: y Successfully truncated AOF appendonly.aof.66.incr.aof All AOF files and manifest are valid Después de esto ya podremos iniciar redis ❯ sudo systemctl restart redis-server ❯ sudo systemctl status redis-server ● redis-server.service - Advanced key-value store Loaded: loaded (/lib/systemd/system/redis-server.service; enabled; vendor preset: enabled) Active: active (running) since Thu 2022-06-02 17:56:19 CEST; 7min ago Docs: http://redis.io/documentation, man:redis-server(1) Main PID: 12969 (redis-server) Status: "Ready to accept connections" Tasks: 6 (limit: 38330) Memory: 3.9M CPU: 1.538s CGroup: /system.slice/redis-server.service └─12969 "/usr/bin/redis-server 127.0.0.1:6379" "" "" "" "" "" "" "" jun 02 17:56:18 abkrim-nox systemd[1]: Starting Advanced key-value store... jun 02 17:56:19 abkrim-nox systemd[1]: Started Advanced key-value store. Enlaces Redis persistence Aviso Esta documentación y su contenido, no implica que funcione en tu caso o determinados casos. También implica que tienes conocimientos sobre lo que trata, y que en cualquier caso tienes copias de seguridad. El contenido el contenido se entrega, tal y como está, sin que ello implique ningún obligación ni responsabilidad por parte de Castris Si necesitas soporte profesional puedes contratar con Castris soporte profesional . Comando find con -maxdepth excluyendo el propio directorio Comando find con -maxdepth excluyendo el propio directorio A veces es necesario ejecutar este comando de manera recursiva pero queremos obviar el propio directorio desde el que se ejecuta como por ejemplo para eliminar todos directorios de una carpeta de rsync con enlaces duros de forma ordenada. find . -maxdepth 1 -type d | sed -r '/^\.$/d' Aviso Esta documentación y su contenido, no implica que funcione en tu caso o determinados casos. También implica que tienes conocimientos sobre lo que trata, y que en cualquier caso tienes copias de seguridad. El contenido el contenido se entrega, tal y como está, sin que ello implique ningún obligación ni responsabilidad por parte de Castris Si necesitas soporte profesional puedes contratar con Castris soporte profesional . Du y los ficheros o directorios ocultos El comando du y los ficheros ocultos Muchas veces al usar el comando du para localiza directorios con elevado o anormal consumo de espacio en disco nos topamos, con un directorio en el que la información que du nos ofrece no se ajusta a nivel directorio con el nivel subdirectorios. ❯ du -sh * 1,3G api 7,1G investigo 5,2G sitelight 1,4G sitelight2 ❯ cd investigo ❯ du -sh * 179M investigo/backup 20K investigo/conf 408K investigo/logs 275M investigo/sitelight 3,2G investigo/web Nos faltan casi 4 Gb. Comando du incluyendo los directorios ocultos du -hs investigo/.[^.]* 4,0K investigo/.bash_history 4,0K investigo/.bash_logout 4,0K investigo/.bashrc 3,4G investigo/.cache 604K investigo/.config 8,0K investigo/.emacs.d 4,0K investigo/.gitconfig 32K investigo/.java 96K investigo/.local 4,0K investigo/.mysql_history 32M investigo/.npm 18M investigo/.oh-my-zsh 92K investigo/.p10k.zsh 4,0K investigo/.profile 4,0K investigo/.shell.pre-oh-my-zsh 20K investigo/.ssh 4,0K investigo/.Xauthority 8,0K investigo/.yarn 4,0K investigo/.yarnrc 48K investigo/.zcompdump 52K investigo/.zcompdump-coresitelight-5.8 116K investigo/.zcompdump-coresitelight-5.8.zwc 28K investigo/.zsh_history 12K investigo/.zshrc Alternativas du -sh .[!.]* * 2>/dev/null | sort -rh # con shopt: shopt -s dotglob && du -sh */ | sort -rh Man page command du du command does not parse hidden directories Aviso Esta documentación y su contenido, no implica que funcione en tu caso o determinados casos. También implica que tienes conocimientos sobre lo que trata, y que en cualquier caso tienes copias de seguridad. El contenido el contenido se entrega, tal y como esta, sin que ello implique ningún obligación ni responsabilidad por parte de Castris Si necesitas soporte profesional puedes contratar con Castris soporte profesional . Como vaciar o eliminar emails antiguos en dovecot sin usar find Dovecot y los comandos olvidados (Re-editado 2025/07/31) Muchas veces, y me incluyó yo, por vaguería y algo de desconocimiento, pues una se acostumbra a los fácil, usamos una combinación de find para hacer un vaciado de alguna cuenta o carpeta de correo que se llenó. Pues bien, eso es mejor hacerlo con las herramientas del propio Dovecot (si es este el sistema de servidor IMAP que usamos) Eliminación de correos IMAP por antigüedad Ejemplo doveadm expunge -u jane.doe@example.org mailbox Spam before 2w Redicción 2025/07/31 Diferencia entre savedbefore y before en Dovecot: savedbefore : Fecha cuando Dovecot guardó físicamente el email en el servidor Se actualiza con migraciones, restores, reorganizaciones del maildir Problemático después de mantenimientos del servidor before : Fecha real de recepción/entrega del email Corresponde a cuando el email llegó originalmente al buzón Más confiable para limpiezas por antigüedad Resumen práctico: before → Usa la fecha real/original del email ✅ savedbefore → Usa fecha técnica de almacenamiento (evitar tras restores) En tu caso: después del restore complicado que mencionaste, todos los emails tienen saved_date reciente, por eso savedbefore 7d no encontraba nada, pero before 7d sí encuentra los 86K emails realmente antiguos. Usa siempre before para limpiezas normales. Obtener la lista de buzones Dado que los buzones se escriben en el shell de distinta manera, para usarse en el comando es bueno obtener la liista doveadm mailbox list -u jane.doe@example.org Archive Mantenimientos Mantenimientos/mysql ASSP Seguridad Seguridad/inmunifyAV Seguridad/Wordfence Services Services/Failed LFD [Gmail] [Gmail]/Importantes Junk Trash Sent Drafts INBOX Conteo de mensajes doveadm mailbox status -u jane.doe@example.orgm messages Sistemas.correo Sistemas.correo messages=5267 Purgado por asunto doveadm expunge -u jane.doe@example.org mailbox 'Mantenimientos/mysql' HEADER Subject "Palabra Clave" Purgado mas complejo HEADER y BODY doveadm expunge -u jane.doe@example.org mailbox 'Mantenimientos/mysql' HEADER Subject "Palabra Clave" BODY "Otro texto" Consulta la documentación de Dovecot - Expunge doveadm: Delete messages older than date Eliminación por linea de asunto Ejemplo doveadm expunge -u jane.doe@example.org mailbox INBOX subject Cron Aviso Esta documentación y su contenido, no implica que funcione en tu caso o determinados casos. También implica que tienes conocimientos sobre lo que trata, y que en cualquier caso tienes copias de seguridad. El contenido el contenido se entrega, tal y como está, sin que ello implique ningún obligación ni responsabilidad por parte de Castris Si necesitas soporte profesional puedes contratar con Castris soporte profesional . rc.local en systemas Debian usando systemd. Ejemplo redis Introducción Algunos servicios como redis pueden requerir de ciertas configuraciones del sistema para su mejor fucnionamiento, como puede ser Transparent Huge Pages (THP) desactivado. Si puedes desactivarlo porque no afecta a otros servicios de tu servidor (atento a esto, que no es salir por la calle del medio sin pensar en las implicaciones) es bueno hacerlo. 3336867:M 04 Dec 2023 18:05:32.941 # WARNING you have Transparent Huge Pages (THP) support enabled in your kernel. This will create latency and memory usage issues with Redis. To fix this issue run the command 'echo never > /sys/kernel/mm/transparent_hugepage/enabled' as root, and add it to your /etc/rc.local in order to retain the setting after a reboot. Redis must be restarted after THP is disabled. Solución La solución pasa por desactivarlo en el sistema echo never > /sys/kernel/mm/transparent_hugepage/enabled Pero necesitamos ejecutar esto al reinicio, o perdermos la configuración deseada. La opcion normal sería añadirl al scripot de arranque, como muchos dicen, en /etc/rc.local pero distors basadas en Debia, o otras basadas en RedHat, no tiene ese fiochero porque usan ya de hace tiempo systemd para la gestión de estas cuestiones. Crear un Servicio systemd para Desactivar THP Crear un Archivo de Servicio systemd: Abre un nuevo archivo en el directorio de servicios de systemd con un editor de texto como nano o vim. Por ejemplo: sudo nano /etc/systemd/system/disable-thp.service Donde añadimos [Unit] Description=Disable Transparent Huge Pages (THP) [Service] Type=oneshot ExecStart=/bin/sh -c 'echo never > /sys/kernel/mm/transparent_hugepage/enabled' [Install] WantedBy=multi-user.target Lo habilitamos sudo systemctl daemon-reload sudo systemctl enable disable-thp.service sudo systemctl start disable-thp.service Verificamos cat /sys/kernel/mm/transparent_hugepage/enabled always madvise [never] Aviso Esta documentación y su contenido, no implica que funcione en tu caso o determinados casos. También implica que tienes conocimientos sobre lo que trata, y que en cualquier caso tienes copias de seguridad. El contenido el contenido se entrega, tal y como está, sin que ello implique ningún obligación ni responsabilidad por parte de Castris Si necesitas soporte profesional puedes contratar con Castris soporte profesional . Bad Bots y la pesadilla del tráfico. Htaccess en Apache 2.4 Cada vez esta pero el tema. Un ejercito de web scrappers, de personas dedicadas a vivir de crear contenido falso, indexable, o de robar imáganes, pulula por la red. Una de las mejores formas de acabar con ellos es denegarles el acceso, en nuestro fichero .htaccess .htaccess anti bad bots La cuesgtión es añadir la lista de robots no deseados en nuestro fichero .htaccces usando para ello las directivas setenvif # Start Bad Bot Prevention # SetEnvIfNoCase User-Agent ^$ bad_bot SetEnvIfNoCase User-Agent "^12soso.*" bad_bot SetEnvIfNoCase User-Agent "^192.comAgent.*" bad_bot SetEnvIfNoCase User-Agent "^1Noonbot.*" bad_bot ... Order Allow,Deny Allow from all Deny from env=bad_bot # End Bad Bot Prevention Esta directiva comprueba si el módulo mod_setenvif está habilitado. Si lo está, se ejecuta el código dentro de este bloque. SetEnvIfNoCase User-Agent "^12soso.*" bad_bot : Esta directiva establece una variable de entorno llamada bad_bot si el User-Agent comienza con "12soso". : Esta directiva limita las reglas dentro de este bloque a los métodos HTTP especificados (GET, POST y PUT). Order Allow,Deny : Define el orden en el que se aplican las reglas de acceso. Primero se aplican las reglas Allow y luego las reglas Deny Allow from all : Permite el acceso a todos por defecto. Deny from env=bad_bot : Deniega el acceso a cualquier solicitud que tenga la variable de entorno bad_bot establecida. los ~/.zsh_history_clean mv ~/.zsh_history_clean ~/.zsh_history El comando strings extrae solo las cadenas de texto legibles, lo que puede ayudar a limpiar el archivo. Recargar el Historial : Después de limpiar el archivo, recarga el historial en la sesión actual de Zsh: source ~/.zshrc Verificar el Historial : Asegúrate de que el historial se carga correctamente y que no hay mensajes de error al iniciar una nueva sesión de terminal. Notas Adicionales Permisos : Asegúrate de tener los permisos adecuados para editar el archivo .zsh_history . Consistencia : Si experimentas problemas frecuentes con el historial, verifica que no haya múltiples instancias de Zsh escribiendo en el archivo al mismo tiempo. Siguiendo estos pasos, deberías poder corregir el archivo de historial corrupto de Zsh y evitar problemas futuros. Aviso Esta documentación y su contenido, no implica que funcione en tu caso o determinados casos. También implica que tienes conocimientos sobre lo que trata, y que en cualquier caso tienes copias de seguridad. El contenido el contenido se entrega, tal y como está, sin que ello implique ningún obligación ni responsabilidad por parte de Castris Si necesitas soporte profesional puedes contratar con Castris soporte profesional . El archivo hosts para trabajar en un servidor o ip distinto del de la resolución DNS Introudccion fichero de sistema: hosts El archivo hosts es un archivo de texto simple que se utiliza para mapear nombres de host a direcciones IP. Esto es útil para redirigir nombres de dominio a direcciones IP específicas, lo que puede ser especialmente útil durante las migraciones de sistemas para probar configuraciones antes de pasar a producción. Ubicaciones del Archivo hosts Windows : C:\Windows\System32\drivers\etc\hosts Linux : /etc/hosts MacOS : /private//etc/hosts Uso del Archivo hosts El archivo hosts permite redirigir un nombre de dominio a una dirección IP específica. Esto es útil para pruebas locales o para verificar un sitio web en un servidor diferente antes de cambiar los registros DNS. Formato del Archivo hosts El archivo hosts tiene un formato simple, donde cada línea contiene una dirección IP seguida de uno o más nombres de host. Los comentarios se pueden agregar usando el símbolo # . # Example of a hosts file entry 127.0.0.1 localhost 192.168.1.100 example.com www.example.com Ejemplo de Uso para Migraciones Supongamos que estás migrando un sitio web a un nuevo servidor con la dirección IP 192.168.1.100 y quieres probar el sitio antes de actualizar los registros DNS. Puedes editar el archivo hosts para redirigir el dominio a la nueva IP: Abrir el Archivo hosts : Usa un editor de texto con privilegios de administrador para abrir el archivo hosts en tu sistema operativo. Agregar una Entrada para el Dominio : Añade una línea en el archivo hosts con la nueva dirección IP y el dominio que deseas redirigir. 192.168.1.100 example.com www.example.com Guardar los Cambios : Guarda el archivo y cierra el editor. Verificar la Redirección : Abre un navegador web e ingresa el dominio example.com . Deberías ser redirigido a la dirección IP especificada en el archivo hosts . Consideraciones Privilegios de Administrador : Necesitarás privilegios de administrador para editar el archivo hosts .(uso de sudo, su...) Cache de DNS : Puede ser necesario limpiar la caché de DNS después de editar el archivo hosts para que los cambios surtan efecto. En Windows, puedes usar el comando ipconfig /flushdns . En MacOS y Linux, puedes usar dscacheutil -flushcache o sudo systemd-resolve --flush-caches . Temporalidad : Recuerda que los cambios en el archivo hosts son locales a tu máquina y no afectan a otros usuarios o dispositivos. Este método es muy útil para pruebas y verificaciones antes de realizar cambios en los registros DNS públicos. Aviso Esta documentación y su contenido, no implica que funcione en tu caso o determinados casos. También implica que tienes conocimientos sobre lo que trata, y que en cualquier caso tienes copias de seguridad. El contenido el contenido se entrega, tal y como está, sin que ello implique ningún obligación ni responsabilidad por parte de Castris Si necesitas soporte profesional puedes contratar con Castris soporte profesional . Cambiar repositorios de Ubuntu al mirror de OVH Objetivo Actualizar los repositorios APT de Ubuntu para que utilicen el mirror de OVH: Mejora la velocidad y disponibilidad si el servidor está en OVH o cerca geográficamente Evita usar mirrors como es.archive.ubuntu.com o archive.ubuntu.com , que pueden tener latencias o caídas Mirror recomendado para OVH el suyo propio http://ubuntu.mirrors.ovh.net/ftp.ubuntu.com/ubuntu/ Sistemas con /etc/apt/sources.list (formato clásico) Copia de seguridad cp /etc/apt/sources.list /etc/apt/sources.list.bak Sustitución automática del mirror sed -i 's|http://.*\.archive\.ubuntu\.com/ubuntu|http://ubuntu.mirrors.ovh.net/ftp.ubuntu.com/ubuntu|g' /etc/apt/sources.list sed -i 's|http://\([a-z]*\.\)\?archive\.ubuntu\.com/ubuntu|http://ubuntu.mirrors.ovh.net/ftp.ubuntu.com/ubuntu|g' /etc/apt/sources.list Cambia cualquier mirror genérico o regional por el de OVH Aplica a todas las entradas (main, security, updates, etc.) Sistemas con /etc/apt/sources.list.d/ubuntu.sources (formato deb822) Copia de seguridad cp /etc/apt/sources.list.d/ubuntu.sources /etc/apt/sources.list.d/ubuntu.sources.bak Sustitución automática del mirror sed -i 's|URIs: http://.*\.archive\.ubuntu\.com/ubuntu|URIs: http://ubuntu.mirrors.ovh.net/ftp.ubuntu.com/ubuntu|g' /etc/apt/sources.list.d/ubuntu.sources sed -i 's|URIs: http://security\.ubuntu\.com/ubuntu/|URIs: http://ubuntu.mirrors.ovh.net/ftp.ubuntu.com/ubuntu/|g' /etc/apt/sources.list.d/ubuntu.sources Cambia cualquier URI de mirror genérico o regional por el de OVH Aplica a todas las entradas del archivo formato deb822 Verificación apt update Asegúrate de que todos los paquetes se descargan desde el mirror de OVH No deberían aparecer errores ni advertencias de conexión Recomendaciones Este cambio puede repetirse en otros ficheros dentro de /etc/apt/sources.list.d/ En entornos con múltiples servidores, se recomienda automatizar la sustitución con: Scripts en bash Ansible Herramientas de orquestación o ejecución remota (como pssh) Aviso Esta documentación y su contenido, no implica que funcione en tu caso o determinados casos. También implica que tienes conocimientos sobre lo que trata, y que en cualquier caso tienes copias de seguridad. El contenido el contenido se entrega, tal y como está, sin que ello implique ningún obligación ni responsabilidad por parte de Castris Si necesitas soporte profesional puedes contratar con Castris soporte profesional . ## Guía Rápida de find - Búsquedas Avanzadas 🗂️ Buscar por Antigüedad Archivos más antiguos que: # Más de 1 año find /directorio -type f -mtime +365 # Más de 1 mes (30 días) find /directorio -type f -mtime +30 # Más de 1 semana find /directorio -type f -mtime +7 # Más de 1 día find /directorio -type f -mtime +1 Archivos modificados en los últimos: # Últimas 24 horas find /directorio -type f -mtime -1 # Últimos 7 días find /directorio -type f -mtime -7 # Últimos 30 días find /directorio -type f -mtime -30 Rango de fechas: # Entre 7 y 30 días find /directorio -type f -mtime +7 -mtime -30 # Entre 1 y 6 meses find /directorio -type f -mtime +30 -mtime -180 📏 Buscar por Tamaño Mayor que: # Mayor que 100MB find /directorio -type f -size +100M # Mayor que 1GB find /directorio -type f -size +1G # Mayor que 10KB find /directorio -type f -size +10k Menor que: # Menor que 1MB find /directorio -type f -size -1M # Menor que 100KB find /directorio -type f -size -100k Tamaño exacto: # Exactamente 1MB find /directorio -type f -size 1M Rangos de tamaño: # Entre 1MB y 10MB find /directorio -type f -size +1M -size -10M # Entre 100KB y 1MB find /directorio -type f -size +100k -size -1M 🔄 Combinaciones Útiles Archivos grandes y antiguos: # Archivos > 100MB y > 1 año find /directorio -type f -size +100M -mtime +365 # Archivos > 1GB y > 30 días find /directorio -type f -size +1G -mtime +30 Con acciones: # Listar con detalles find /directorio -type f -size +100M -mtime +30 -ls # Eliminar archivos (¡CUIDADO!) find /directorio -type f -size +1G -mtime +365 -delete # Listar tamaños legibles find /directorio -type f -size +100M -exec ls -lh {} \; 📊 Unidades de Medida Unidad Significado c bytes k KB (1024 bytes) M MB (1024 KB) G GB (1024 MB) ⏰ Tipos de Tiempo Opción Significado -mtime Modificación -atime Acceso -ctime Cambio de atributos 💡 Ejemplos Prácticos # Logs antiguos y grandes find /var/log -name "*.log" -size +10M -mtime +7 # Archivos temporales antiguos find /tmp -type f -mtime +1 -delete # Archivos grandes en home find /home -type f -size +500M -mtime +30 -ls Aviso Esta documentación y su contenido, no implica que funcione en tu caso o determinados casos. También implica que tienes conocimientos sobre lo que trata, y que en cualquier caso tienes copias de seguridad. El contenido el contenido se entrega, tal y como está, sin que ello implique ningún obligación ni responsabilidad por parte de Castris Si necesitas soporte profesional puedes contratar con Castris soporte profesional . APT Upgrade - Modos Desatendido vs Manual Problema común Por defecto, apt upgrade -y se queda colgado esperando input cuando hay conflictos en archivos de configuración modificados, rompiendo la automatización en servidores. En situaciones de mantenimiento desatendido, es necesario obviarlo. Tipos de preguntas en apt upgrade 1. Confirmación inicial (lista de paquetes) The following packages will be upgraded: zabbix-agent2 nginx mysql-server (y otros 25 paquetes) Do you want to continue? [Y/n] 2. Conflictos de configuración (el problema real) Configuration file '/etc/zabbix/zabbix_agent2.conf' ==> Modified (by you or by a script) since installation. ==> Package distributor has shipped an updated version. What would you like to do about it ? Your options are: Y or I : install the package maintainer's version N or O : keep your currently-installed version D : show the differences between the versions Z : start a shell to examine the situation Soluciones para upgrades desatendidos Método 1: Opciones en línea de comandos (puntual) # Mantener siempre la configuración actual (recomendado) sudo apt -o Dpkg::Options::="--force-confold" upgrade -y # Usar siempre la nueva configuración del paquete sudo apt -o Dpkg::Options::="--force-confnew" upgrade -y # Comando más completo (recomendado para scripts) sudo DEBIAN_FRONTEND=noninteractive apt \ -o Dpkg::Options::="--force-confold" \ -o Dpkg::Options::="--force-confdef" \ upgrade -y Cada uno de los métodos tiene su necesidad de entenderlo. La opcion usar la nueva configuración , puede ser muy problemática, pues por norma general, muchos o simplemenet algunos ficheros de configuración pueden estar modificados y su reseteo a la versión nueva, puede dejar el servicio inconsistente e incluso en algunos casos, perder la accesibilidad al servidor (sshd). El desatendido, en el que queremos conservar el fichero atcual, es lo más común, pero puede hacernos olvidar que a veces hay cambios que hay que aplicarlos. Vivimos tiempos de inmediatez, y de pocos recursos para administración de sistemas, y esto puede ser un problema. Método 2: Configuración global permanente (recomendado) # Crear archivo de configuración global sudo tee /etc/apt/apt.conf.d/50unattended-upgrades << 'EOF' Dpkg::Options { "--force-confold"; "--force-confdef"; } EOF Resultado después de crear el archivo: sudo apt upgrade -y → Totalmente desatendido sudo apt upgrade → Solo pregunta confirmación inicial, conflictos automáticos Método 3: Variable de entorno (temporal) # Para la sesión actual export DEBIAN_FRONTEND=noninteractive sudo -E apt upgrade -y # Para un comando específico sudo DEBIAN_FRONTEND=noninteractive apt upgrade -y Opciones de dpkg explicadas Opción Descripción Equivale a presionar --force-confold Mantener configuración actual N (No) --force-confnew Usar nueva configuración del paquete Y (Yes) --force-confdef Usar respuesta por defecto si existe Automático --force-confask Preguntar siempre (modo interactivo) Pregunta manual --force-confmiss Instalar archivos de configuración faltantes Automático Sobreescribir configuración global (uso manual) Cuando tienes configuración global pero quieres control manual # Desactivar todas las opciones automáticas (preguntará todo) sudo apt -o Dpkg::Options::="" upgrade # Forzar modo interactivo completo sudo apt -o Dpkg::Options::="--force-confask" upgrade # Usar nuevas configuraciones temporalmente sudo apt -o Dpkg::Options::="--force-confnew" upgrade # Modo interactivo con interfaz gráfica sudo DEBIAN_FRONTEND=dialog apt upgrade Para casos específicos # Solo preguntar en conflictos (recomendado para revisión) sudo apt -o Dpkg::Options::="--force-confask" -o Dpkg::Options::="--force-confdef" upgrade # Mostrar diferencias antes de decidir sudo apt -o Dpkg::Options::="--force-confask" upgrade # (Luego presionar 'D' para ver diferencias) Verificar configuración actual # Ver toda la configuración de apt apt-config dump # Ver solo opciones de dpkg apt-config dump | grep -i dpkg # Ver archivos de configuración de apt ls -la /etc/apt/apt.conf.d/ # Verificar contenido del archivo personalizado cat /etc/apt/apt.conf.d/50unattended-upgrades Casos de uso recomendados Para servidores de producción Conservará el fichero original # Configuración global permanente (Método 2) sudo tee /etc/apt/apt.conf.d/50unattended-upgrades << 'EOF' Dpkg::Options { "--force-confold"; "--force-confdef"; } EOF # Uso diario sudo apt update && sudo apt upgrade -y Para actualizaciones críticas o manuales # Revisar manualmente cada conflicto sudo apt -o Dpkg::Options::="--force-confask" upgrade # Ver diferencias antes de decidir # Presionar 'D' cuando aparezca el conflicto Para scripts automatizados #!/bin/bash # Script de actualización desatendida sudo DEBIAN_FRONTEND=noninteractive apt update sudo DEBIAN_FRONTEND=noninteractive apt \ -o Dpkg::Options::="--force-confold" \ -o Dpkg::Options::="--force-confdef" \ upgrade -y # Log de cambios echo "Upgrade completed at $(date)" >> /var/log/auto-upgrade.log Para desarrollo/testing # Aplicar siempre nuevas configuraciones sudo apt -o Dpkg::Options::="--force-confnew" upgrade -y # O mantener configuraciones personalizadas sudo apt -o Dpkg::Options::="--force-confold" upgrade -y Comandos de emergencia Si apt se cuelga durante upgrade # En otra terminal/SSH sudo killall apt apt-get dpkg # Reparar estado de paquetes sudo dpkg --configure -a sudo apt --fix-broken install Limpiar locks si es necesario sudo rm /var/lib/dpkg/lock-frontend sudo rm /var/cache/apt/archives/lock sudo dpkg --configure -a Configuración recomendada paso a paso Instalación inicial (una sola vez) # 1. Crear configuración global sudo tee /etc/apt/apt.conf.d/50unattended-upgrades << 'EOF' Dpkg::Options { "--force-confold"; "--force-confdef"; } EOF # 2. Verificar que funciona sudo apt update apt-config dump | grep -i dpkg Uso diario # Actualización desatendida completa sudo apt update && sudo apt upgrade -y # Actualización con revisión manual ocasional sudo apt update sudo apt -o Dpkg::Options::="--force-confask" upgrade Notas importantes --force-confold es la opción más segura para producción (mantiene tus configuraciones) --force-confnew puede sobreescribir configuraciones importantes Siempre hacer backup de configuraciones críticas antes de upgrades mayores La configuración global se aplica a todos los usuarios del sistema Puedes combinar opciones para casos específicos Las opciones de línea de comandos siempre sobreescriben la configuración global Hacer backups regulares de /etc son altamente reomendables (como todos los backups o copias de respaldo) Troubleshooting común Problema: "dpkg was interrupted" sudo dpkg --configure -a sudo apt --fix-broken install Problema: "Could not get lock" sudo lsof /var/lib/dpkg/lock-frontend sudo killall apt apt-get sudo rm /var/lib/dpkg/lock-frontend Problema: Paquetes retenidos (held back) # Ver paquetes retenidos apt list --upgradable # Forzar actualización sudo apt full-upgrade Esta configuración te permitirá tener upgrades completamente automatizados por defecto, pero con la flexibilidad de tomar control manual cuando sea necesario. Aviso Esta documentación y su contenido, no implica que funcione en tu caso o determinados casos. También implica que tienes conocimientos sobre lo que trata, y que en cualquier caso tienes copias de seguridad. El contenido el contenido se entrega, tal y como está, sin que ello implique ningún obligación ni responsabilidad por parte de Castris Si necesitas soporte profesional puedes contratar con Castris soporte profesional . Crear una unidad lógica con el 100% A veces, voy con prisa. Se me olvida siempre. lvcreate -n [NOMBRE] -l 100%FREE [NOMBRE_VOLUMEN_A_USAR] mkfs.xfs /dev/[NOMBRE_VOLUMEN_A_USAR]/[NOMBRE] blkid -s UUID -o value /dev/[NOMBRE_VOLUMEN_A_USAR]/[NOMBRE] # editar fstab # UUID=[UUID] /[PUNTO_DE_MONTAJE] xfs defaults,nofail 0 2 Búsqueda y reemplazo recursivo con sed en directorios Contexto Estrategias para localizar y modificar cadenas de texto en múltiples archivos de forma recursiva, con capacidad de filtrar por tipo de archivo y excluir líneas comentadas. Escenario típico Necesidad de cambiar nombres de variables, funciones o constantes en toda una base de código Refactorización de nombres de configuración Migración de valores legacy a nuevas nomenclaturas Requiere precisión para no modificar comentarios ni código inactivo Estrategias de búsqueda 1. Localización básica (análisis previo) # Buscar en todos los archivos find . -type f -exec grep -l "PATRON_BUSQUEDA" {} \; # Con contexto (3 líneas antes y después) find . -type f -exec grep -n -B3 -A3 "PATRON_BUSQUEDA" {} + | less # Múltiples patrones (OR lógico) find . -type f -exec grep -l "PATRON_1\|PATRON_2\|PATRON_3" {} \; 2. Filtrado por tipo de archivo # Solo archivos con extensión específica find . -type f -name "*.php" -exec grep -l "PATRON" {} \; find . -type f -name "*.js" -exec grep -l "PATRON" {} \; find . -type f -name "*.py" -exec grep -l "PATRON" {} \; # Múltiples extensiones find . -type f \( -name "*.php" -o -name "*.inc" \) -exec grep -l "PATRON" {} \; # Excluir directorios específicos find . -type f -name "*.php" -not -path "*/vendor/*" -not -path "*/node_modules/*" \ -exec grep -l "PATRON" {} \; 3. Análisis con numeración de líneas # Ver archivo:línea:contenido find . -type f -name "*.php" -exec grep -Hn "PATRON" {} \; # Con AWK para formato personalizado find . -type f -name "*.php" -exec awk '/PATRON/ {print FILENAME ":" NR ":" $0}' {} + Estrategias de reemplazo 1. Reemplazo básico (SIN backup automático) # Reemplazar en todos los archivos de un tipo find . -type f -name "*.php" -exec sed -i 's/PATRON_VIEJO/PATRON_NUEVO/g' {} \; # Múltiples reemplazos en una pasada find . -type f -name "*.php" -exec sed -i ' s/PATRON_1/NUEVO_1/g s/PATRON_2/NUEVO_2/g s/PATRON_3/NUEVO_3/g ' {} \; Nota : -i modifica archivos en sitio. En BSD/macOS usar sed -i '' 2. Reemplazo CON backup automático # Crea archivo.php.bak antes de modificar find . -type f -name "*.php" -exec sed -i.bak 's/PATRON_VIEJO/PATRON_NUEVO/g' {} \; # Limpiar backups después de verificar find . -type f -name "*.php.bak" -delete 3. Excluir líneas comentadas PHP/JavaScript/C-style # Excluir líneas que empiezan por #, //, /* o * find . -type f -name "*.php" -exec sed -i.bak '/^\s*[#*\/]/! s/PATRON/NUEVO/g' {} \; Desglose del patrón : /^\s*[#*\/]/! → Negación: aplica solo si NO cumple ^\s* → Inicio de línea con posibles espacios/tabs [#*\/] → Caracteres de comentario: # , * , / ! → Negación lógica Versión robusta (múltiples tipos de comentario) find . -type f -name "*.php" -exec sed -i.bak ' /^\s*#/! { /^\s*\/\//! { /^\s*\/\*/! { /^\s*\*/! { s/PATRON_1/NUEVO_1/g s/PATRON_2/NUEVO_2/g } } } } ' {} \; Esto excluye: # comentario estilo shell/Python // comentario estilo C++/JavaScript /* inicio de bloque comentario */ * líneas dentro de bloque comentario Python # Excluir líneas que empiezan por # find . -type f -name "*.py" -exec sed -i.bak '/^\s*#/! s/PATRON/NUEVO/g' {} \; Shell scripts # Excluir líneas que empiezan por # find . -type f -name "*.sh" -exec sed -i.bak '/^\s*#/! s/PATRON/NUEVO/g' {} \; 4. Alternativa con Perl (más flexible) # Perl permite regex más complejas find . -type f -name "*.php" -exec perl -i.bak -pe ' s/PATRON_VIEJO/PATRON_NUEVO/g unless /^\s*[#*\/]/ ' {} \; # Múltiples patrones con hash de sustituciones find . -type f -name "*.php" -exec perl -i.bak -pe ' BEGIN { %replace = ( "PATRON_1" => "NUEVO_1", "PATRON_2" => "NUEVO_2", "PATRON_3" => "NUEVO_3" ); } unless (/^\s*[#*\/]/) { s/$_/$replace{$_}/g for keys %replace; } ' {} \; Flujo de trabajo recomendado # PASO 1: Análisis inicial (¿qué se va a cambiar?) find . -type f -name "*.php" -exec grep -Hn "PATRON_VIEJO" {} \; | less # PASO 2: Análisis excluyendo comentarios find . -type f -name "*.php" -exec awk ' !/^\s*[#*\/]/ && /PATRON_VIEJO/ { print FILENAME ":" NR ":" $0 } ' {} + | less # PASO 3: Prueba en un solo archivo sed -i.test '/^\s*[#*\/]/! s/PATRON_VIEJO/PATRON_NUEVO/g' ruta/archivo_prueba.php diff ruta/archivo_prueba.php ruta/archivo_prueba.php.test # PASO 4: Aplicar con backup (EJECUTAR) find . -type f -name "*.php" -exec sed -i.bak '/^\s*[#*\/]/! s/PATRON_VIEJO/PATRON_NUEVO/g' {} \; # PASO 5: Revisar cambios (si hay control de versiones) git diff git status # PASO 6: Validar funcionamiento # [Ejecutar tests, verificar aplicación] # PASO 7: Limpiar backups si todo OK find . -name "*.php.bak" -delete Casos de uso comunes Cambio de prefijo de base de datos # MySQL/MariaDB: cambiar prefijo de tablas en dumps find . -type f -name "*.sql" -exec sed -i.bak 's/prefijo_viejo_/prefijo_nuevo_/g' {} \; Refactorización de nombres de clase # PHP: cambiar nombre de clase find . -type f -name "*.php" -exec sed -i.bak '/^\s*[#*\/]/! { s/class OldClassName/class NewClassName/g s/OldClassName::/NewClassName::/g s/new OldClassName/new NewClassName/g }' {} \; Migración de configuración # Cambiar nombres de constantes de configuración find . -type f \( -name "*.php" -o -name "*.inc" \) -exec sed -i.bak '/^\s*[#*\/]/! { s/OLD_CONFIG_NAME/NEW_CONFIG_NAME/g s/OLD_DB_HOST/NEW_DB_HOST/g s/OLD_API_KEY/NEW_API_KEY/g }' {} \; Actualización de rutas # Cambiar rutas legacy find . -type f -name "*.php" -exec sed -i.bak '/^\s*[#*\/]/! { s|/var/www/old_path/|/var/www/new_path/|g s|old-domain\.com|new-domain.com|g }' {} \; Limitaciones conocidas 1. Comentarios multilínea El método basado en ^\s* solo detecta comentarios al inicio de línea . No detecta: $var = "value"; /* comentario inline */ $otra = "PATRON"; // no se excluirá Para estos casos, considerar un parser específico del lenguaje. 2. Cadenas literales Si PATRON aparece dentro de strings, será reemplazado: $sql = "SELECT * FROM old_table"; // se cambiará "old_table" Para evitarlo se requiere análisis sintáctico completo. 3. Bloques multilínea Comentarios que abarcan múltiples líneas: /* * Este es un comentario * con PATRON_VIEJO que * no será detectado en líneas 2-3 */ Solo la primera línea ( /* ) se excluirá. Alternativas avanzadas Ripgrep (rg) + sd # Búsqueda ultrarrápida rg "PATRON" --type php # Reemplazo con sd (más intuitivo que sed) find . -name "*.php" -exec sd "PATRON_VIEJO" "PATRON_NUEVO" {} \; Usando AG (The Silver Searcher) # Listar archivos ag -l "PATRON" --php # Con contexto ag "PATRON" --php -C 3 Scripts dedicados por lenguaje Para refactorizaciones complejas, usar herramientas especializadas: PHP : PHP-CS-Fixer, Rector JavaScript : jscodeshift, lebab Python : rope, bowler Verificación post-cambio # Contar ocurrencias antes y después echo "Antes:" find . -name "*.php" -exec grep -o "PATRON_VIEJO" {} \; | wc -l echo "Después:" find . -name "*.php" -exec grep -o "PATRON_NUEVO" {} \; | wc -l # Verificar que no quedan ocurrencias del patrón viejo find . -name "*.php" -exec grep -H "PATRON_VIEJO" {} \; # Si hay control de versiones git diff --stat git diff | grep -E "^\+.*PATRON_NUEVO" | wc -l Consejos de seguridad Siempre hacer backup antes de modificaciones masivas Usar control de versiones (git commit antes de ejecutar) Probar en un archivo antes de aplicar a todo el proyecto Revisar diff completo antes de commit final Ejecutar suite de tests después de cambios Considerar crear rama temporal para refactorizaciones grandes Troubleshooting "Device or resource busy" # Puede ocurrir con archivos abiertos. Solución: cerrar editores lsof | grep nombre_archivo "Permission denied" # Verificar permisos find . -type f -name "*.php" ! -writable # Corregir si es necesario find . -type f -name "*.php" -exec chmod u+w {} \; Sed no modifica archivos # Verificar sintaxis específica del sistema sed --version # GNU sed sed -i.bak ... # funciona en GNU # En macOS/BSD sed -i '' ... # requiere argumento vacío Última actualización : Octubre 2025 Compatibilidad : Linux (GNU sed), *BSD/macOS (requiere ajustes en -i ) Herramientas : find, sed, grep, awk, perl Instalación de Node.js LTS 22 y npm en Ubuntu con CloudLinux CageFS Contexto Guía para instalar Node.js 22 LTS en Ubuntu cuando el servidor utiliza CloudLinux con CageFS. La documentación oficial de CloudLinux está orientada a RPM, pero este proceso está validado para sistemas Debian/Ubuntu. Prerequisitos Ubuntu (validado en versiones 20.04+) CloudLinux con CageFS activo Acceso root Usuario con configuración mysql/mariadb ya tuneada (socket o .my.cnf) Parte 1: Instalación base de Node.js 1. Verificar estado actual (opcional) # Ver si ya tienes Node instalado node --version npm --version # Ver repositorios de Node configurados grep -r "nodesource" /etc/apt/sources.list.d/ 2. Limpiar instalaciones previas (si existen) # Eliminar repositorios antiguos de NodeSource sudo rm -f /etc/apt/sources.list.d/nodesource.list sudo rm -f /etc/apt/keyrings/nodesource.gpg # Eliminar versiones antiguas sudo apt remove nodejs npm -y sudo apt autoremove -y 3. Instalar Node.js 22 LTS desde NodeSource # Descargar e instalar el script de setup oficial curl -fsSL https://deb.nodesource.com/setup_22.x | sudo -E bash - # Instalar Node.js (incluye npm automáticamente) sudo apt install -y nodejs # Verificar instalación en sistema base node --version # Debería mostrar v22.x.x npm --version # Debería mostrar 10.x.x 4. Instalar herramientas de compilación # Necesarias para compilar módulos nativos de npm sudo apt install -y build-essential Parte 2: Integración con CloudLinux CageFS Contexto de CageFS CageFS crea un sistema de archivos virtualizado para cada usuario, aislándolos del sistema real. Los binarios instalados en el sistema base no son visibles automáticamente dentro de las jaulas de los usuarios. 5. Registrar Node.js en CageFS # Añadir nodejs como paquete conocido por CageFS # Esto le indica a CageFS que debe copiar estos binarios al skeleton cagefsctl --addrpm nodejs Nota : El parámetro --addrpm funciona correctamente en Ubuntu aunque el nombre sugiera RPM. CageFS detecta automáticamente el gestor de paquetes del sistema. 6. Actualizar el skeleton de CageFS # Forzar actualización del skeleton (estructura base de las jaulas) cagefsctl --force-update Salida esperada : Copying /usr/bin/node to /usr/share/cagefs-skeleton/usr/bin/node Creating symlink /usr/share/cagefs-skeleton/usr/bin/corepack to ../lib/node_modules/corepack/dist/corepack.js Creating symlink /usr/share/cagefs-skeleton/usr/bin/npm to ../lib/node_modules/npm/bin/npm-cli.js Creating symlink /usr/share/cagefs-skeleton/usr/bin/npx to ../lib/node_modules/npm/bin/npx-cli.js Updating users ... Updating user user1 ... Updating user user2 ... Updating user user3 ... Qué hace este comando Copia binarios : /usr/bin/node → /usr/share/cagefs-skeleton/usr/bin/node Crea symlinks : npm, npx, corepack dentro del skeleton Actualiza jaulas : Propaga los cambios a todos los usuarios enjaulados Preserva aislamiento : Cada usuario ve su propia copia independiente Verificación 7. Probar en usuario enjaulado # Cambiar a un usuario con CageFS activo su - user1 # Verificar disponibilidad de Node.js node -v # Output esperado: v22.11.0 (o versión actual de la rama 22.x) npm -v # Output esperado: 10.9.0 (o superior) # Verificar ubicación (dentro de la jaula) which node # Output esperado: /usr/bin/node 8. Verificación adicional desde root # Ver qué binarios están en el skeleton ls -la /usr/share/cagefs-skeleton/usr/bin/ | grep node # Verificar symlinks ls -la /usr/share/cagefs-skeleton/usr/bin/{npm,npx,corepack} # Ver usuarios con CageFS activo cagefsctl --list-enabled Troubleshooting Node no visible dentro de CageFS # Verificar que el usuario tiene CageFS activo cagefsctl --user user1 # Forzar actualización de un usuario específico cagefsctl --force-update-user user1 # Reinicializar completamente CageFS (último recurso) cagefsctl --reinit Permisos incorrectos # Verificar permisos del binario en skeleton ls -la /usr/share/cagefs-skeleton/usr/bin/node # Debería ser ejecutable (755 o similar) # Si no lo es: chmod 755 /usr/share/cagefs-skeleton/usr/bin/node cagefsctl --force-update Actualización de Node.js # Cuando NodeSource publique una nueva versión 22.x sudo apt update sudo apt upgrade nodejs # IMPORTANTE: Después de actualizar, regenerar skeleton cagefsctl --force-update Diferencias Ubuntu vs CentOS/RPM Aspecto Ubuntu (DEB) CentOS (RPM) Instalación apt + NodeSource yum/dnf + NodeSource Comando CageFS Mismo ( --addrpm funciona) Mismo Ubicación binarios /usr/bin/node /usr/bin/node Documentación oficial Escasa para DEB Abundante para RPM Funcionamiento Idéntico una vez instalado Idéntico Notas importantes Node 22 LTS tiene soporte hasta abril 2027 npm viene incluido con Node.js CageFS es transparente para el usuario final Actualizaciones automáticas : NodeSource mantiene la rama 22.x Sin sudo para usuarios : Los usuarios no necesitan permisos especiales Aislamiento preservado : Cada usuario ve su propia instancia Resultado esperado ✅ Node.js disponible en sistema base ✅ Node.js disponible dentro de todas las jaulas CageFS ✅ npm y npx funcionales para todos los usuarios ✅ Actualizaciones automáticas del sistema afectan a todas las jaulas Comandos de verificación rápida # Desde root node --version && npm --version # Desde usuario enjaulado su - user1 -c "node --version && npm --version" # Listar paquetes registrados en CageFS cagefsctl --list-packages | grep node Validado en : Ubuntu 22.04 LTS con CloudLinux + CageFS Fecha : Octubre 2025 Node.js : v22.11.0 LTS (Iron) Aviso Esta documentación y su contenido, no implica que funcione en tu caso o determinados casos. También implica que tienes conocimientos sobre lo que trata, y que en cualquier caso tienes copias de seguridad. El contenido el contenido se entrega, tal y como está, sin que ello implique ningún obligación ni responsabilidad por parte de Castris Si necesitas soporte profesional puedes contratar con Castris soporte profesional . PHP PHP es indispensable para un servidor con capacidades Web. Pero existen muchas variantes de como configurar PHP para ser usado en con un servidor web. PHP log cuando usamos PHP-FPM con host virtuales Introducción Uno de esos tips que está infravalorado. Podremos ver, decenas de páginas, y cientos de respuestas, en las que todos hablan de cómo configurar el log, de si el path es incorrecto, o de si estas en linux o en windows. Al final el tema está en otro lugar, pues muchos de ellos, contestan si ni siquiera saber qué es PHP-FPM o cuando menos, sin verificar los que dicen que hace lo que escriben. Problema En una instalación estándar de PHP-FPM en sistemas Linux, es posible que los errores de PHP no se registren correctamente en los logs de los dominios virtuales. Esto dificulta enormemente la depuración de problemas, ya que los mensajes de error críticos pueden perderse o no quedar registrados en los archivos de log esperados. Causa Por defecto, PHP-FPM captura la salida estándar y de error de los workers (procesos de trabajo), pero no la redirige automáticamente a los logs. La directiva catch_workers_output está configurada como no en la configuración predeterminada, no existir o están simplemente comentada, lo que impide que los errores generados por los scripts PHP se registren adecuadamente. Solución Para resolver este problema, es necesario modificar el archivo de configuración del pool de PHP-FPM: Abrir el archivo de configuración del pool (normalmente ubicado en /etc/php/X.X/fpm/pool.d/www.conf , donde X.X es la versión de PHP, por ejemplo 7.4, 8.0, 8.1, etc.) Buscar la directiva catch_workers_output Cambiar su valor de no a yes : catch_workers_output = yes Guardar el archivo y reiniciar el servicio PHP-FPM: sudo systemctl restart php7.4-fpm.service # Ajustar según la versión de PHP Explicación técnica Cuando catch_workers_output = yes está activado, PHP-FPM captura la salida de los procesos worker y la redirige adecuadamente al sistema de logs. Esto asegura que: Los errores de PHP aparezcan en los logs específicos del dominio virtual Los mensajes críticos no se pierdan Sea más fácil identificar y solucionar problemas en aplicaciones PHP Consideraciones adicionales En versiones más recientes de PHP-FPM (7.3+), se recomienda usar las siguientes directivas en lugar de catch_workers_output : php_admin_flag[log_errors] = on php_admin_value[error_log] = /ruta/a/error.log Estas opciones ofrecen un mejor rendimiento y mayor control sobre el destino de los logs. Importancia Configurar correctamente los logs de error es un paso crucial para: Facilitar la depuración de aplicaciones Detectar problemas de seguridad Monitorizar el rendimiento del servidor Cumplir con buenas prácticas de administración de sistemas Sin esta configuración, podrías estar operando tus aplicaciones PHP "a ciegas", sin visibilidad sobre los errores que ocurren. Otros enlaces directive 'catch_workers_output = yes' don't work as I want PHP-FPM doesn't write to error log Aviso Esta documentación y su contenido, no implica que funcione en tu caso o determinados casos. También implica que tienes conocimientos sobre lo que trata, y que en cualquier caso tienes copias de seguridad. El contenido el contenido se entrega, tal y como está, sin que ello implique ningún obligación ni responsabilidad por parte de Castris Si necesitas soporte profesional puedes contratar con Castris soporte profesional . PHP. Como instalar una nueva versión de PHP en un sistema basado DEB PHP. Como instalar una nueva versión de PHP en un sistema DEB basado Lo habitual en mis máquinas es tener varias versiones de PHP usando el paquete de XXXXXX. Cuando sale una nueva versión suelo clonar la configuración de módulos, ya que a fin de cuentas luego será la nueva versión en los sitios cuando los actualice y verifique que pueden usar la nuevas version de PHP: Proceso de clonado de PHP a otra versión ### Obtener la lista de paquetes de la versión actual Para obtener la lista de todos los paquetes de PHP 8.2 instalados en tu sistema Debian (Raspberry Pi), puedes usar dpkg con grep: dpkg -l | grep php8.2 | awk '{print $2}' > php8.2-packages.txt Esto creará un archivo php8.2-packages.txt que contiene todos los paquetes instalados relacionados con PHP 8.2. Crear un fichero con los nombres de paquete actualizados a la nueva versión Ahora, necesitas cambiar 'php8.2' por 'php8.3' en todos los nombres de los paquetes para preparar la instalación de la nueva versión. Puedes hacerlo con sed: sed 's/php8.2/php8.3/g' php8.2-packages.txt > php8.3-packages.txt Esto generará un nuevo archivo php8.3-packages.txt con los nombres de los paquetes modificados para PHP 8.3. Script para instalar los paquetes de PHP 8.3 Ahora puedes crear un script que lea el archivo php8.3-packages.txt y use apt para instalar cada paquete. Aquí tienes un ejemplo de cómo podría ser este script: #!/bin/bash # Asegúrate de que el script se ejecute con privilegios de superusuario if [ "$(id -u)" != "0" ]; then echo "Este script debe ser ejecutado como root" 1>&2 exit 1 fi # Actualiza los repositorios e instala los paquetes apt update while read package; do apt install -y $package done < php8.3-packages.txt Guarda este script como upgrade_to_php8.3.sh , por ejemplo. Ejecutar el script Antes de ejecutar el script, asegúrate de que es ejecutable: chmod +x upgrade_to_php8.3.sh Luego, ejecútalo como root o utilizando sudo: sudo ./upgrade_to_php8.3.sh Este script actualizará tus paquetes a la versión 8.3 de PHP, asegurándose de mantener las mismas extensiones y configuraciones que tenías para la versión 8.2. Aviso Esta documentación y su contenido, no implica que funcione en tu caso o determinados casos. También implica que tienes conocimientos sobre lo que trata, y que en cualquier caso tienes copias de seguridad. El contenido el contenido se entrega, tal y como está, sin que ello implique ningún obligación ni responsabilidad por parte de Castris Si necesitas soporte profesional puedes contratar con Castris soporte profesional . Activar PHP8.2 JIT Compiler - Just-In-Time compilation (JIT) PHP8.2 JIT Compiler Los lenguajes de programación puramente interpretados no tienen una fase de compilación y ejecutan directamente el código en una máquina virtual. La mayoría de los lenguajes interpretados, incluyendo PHP, de hecho, tienen una ligera fase de compilación para mejorar su rendimiento. Por otro lado, los lenguajes de programación con compilación anticipada (AOT) requieren que el código sea compilado antes de su ejecución. La compilación Just-In-Time (JIT) es un modelo híbrido entre el intérprete y la compilación anticipada, donde parte o todo el código se compila, a menudo en tiempo de ejecución, sin que el desarrollador tenga que compilarlo manualmente. Históricamente, PHP fue un lenguaje interpretado, donde todo el código era interpretado por una máquina virtual (Zend VM) . Esto cambió con la introducción de Opcache y los Opcodes , que se generaban a partir del código PHP y podían ser almacenados en memoria caché. PHP 7.0 introdujo el concepto de AST (Árbol de Sintaxis Abstracta ), que separó aún más el analizador sintáctico del compilador. El JIT de PHP utiliza internamente DynASM de LuaJIT y está implementado como parte del Opcache . El uso de JIT en PHP es altamente recomendable, no solo para propósito general, sino más aun, es aconsejable producir código de acuerdo a los cambios implementado desde PHP 8.0 que van mucho más allá de la activación de una forma de procesar en el servidor. En particular lo uso en mis servidores en los que hago despliegues con Laravel y francamente, es impresionante. Activarlo en el servidor En un servidor con PHP, en múltiples versiones, y con el modo FPM entre otros como uso con el servidor Web, y como ejemplo una Ubuntu, debemos activar JIT que por defecto no esta activado. Encontraremos sus variables disponibles en el fichero php.ini de la versión en la que queremos activar JIT, pero como consejo, es mejor no hacerlo ahí. En su lugar debemos hacerlo en /etc/php/8.2/mods-available/ ya que es ahí donde están los ficheros parciales de cada modulo, y su configuración, tanto para PHP-FPM, como para PHP en modo cli . Esta es una buena práctica que existe en Ubuntu y otras distribuciones de Linux. El fichero en cuestión es /etc/php/8.2/mods-available/opcache.ini y contiene por defecto. Esto no activará JIT sino que lo cargará pero lo mostrará apagado , por ejemplo usando phpinfo() ; configuration for php opcache module ; priority=10 zend_extension=opcache.so Si cambias los valores en el php.ini general es probable que todo este activado menos el par JIT On Configuración ejemplo Bien, os dejo una configuración bastante funcional en un sistema con uso muy intensivo tanto de php vía colas de Laravel usando php-cli y vía API externa en producción. Las mejoras son de 8,2 segundos en operaciones intensas a solo 1,2s. zend_extension=opcache.so opcache.jit=on opcache.interned_strings_buffer=8 opcache.max_accelerated_files=10000 opcache.max_wasted_percentage=5 opcache.validate_timestamps=1 opcache.revalidate_freq=2 opcache.jit_buffer_size=100M opcache.jit=tracing opcache.jit=1255 opcache.save_comments=0 opcache.file_cache=/var/cache/php/opcache Tras el reinicio de PHP-FPM verás algo parecido a esto: Esta configuración opcache.file_cache requiere que exista /var/cache/php/opcache para servir de segundo nivel de cache (o el que tu definas), y que tenga los permisos para el ejecutor. En algunos sitios veo de usar www-data que es el que usa en una Ubuntu con Nginx. Puedes dejarlo vacío, si eres generoso con la memoriza asignada. En realidad, es algo así como el swap en linux. Te aconsejo una vuelta por el fichero php.ini principal, para que veas todos los comentarios de cada uno delos valores. Ya sabes, el copia y pega, puede ser fatal, pues lo que a mi me funciona puede que a ti no. Enlaces Make your app faster with PHP 8.3 Aviso Esta documentación y su contenido, no implica que funcione en tu caso o determinados casos. También implica que tienes conocimientos sobre lo que trata, y que en cualquier caso tienes copias de seguridad. El contenido el contenido se entrega, tal y como está, sin que ello implique ningún obligación ni responsabilidad por parte de Castris Si necesitas soporte profesional puedes contratar con Castris soporte profesional . Instalar una versión de PHP con módulos en Ubuntu con Ondrej copiando de otra versión ya instalada Introducción Un sistema rápido para clonar, por asi decirlo, la instalación actual de PHP en modo PHP-FPM con el repositorio Ondřej Surý En este caso vamos a describir el instala la 8.0 teniendo una 8.2 instalada Paso 1: Obtener la Lista de Paquetes de PHP 8.2 Listar los Paquetes de PHP 8.2 Instalados : Usa el siguiente comando para listar los paquetes de PHP 8.2 y guardarlos en un archivo de texto: dpkg -l | grep php8.2 | awk '{print $2}' > php8.2-packages.txt Esto creará un archivo php8.2-packages.txt con los nombres de los paquetes instalados. Paso 2: Modificar la Lista para PHP 8.0 Modificar el Archivo para Usar PHP 8.0 : Usa sed para reemplazar php8.2 por php8.0 en el archivo: sed 's/php8.2/php8.0/g' php8.2-packages.txt > php8.0-packages.txt Ahora tendrás un archivo php8.0-packages.txt con los nombres de los paquetes que necesitas instalar para PHP 8.0. Paso 3: Instalar los Paquetes de PHP 8.0 Instalar los Paquetes Usando el Archivo : Usa el siguiente comando para instalar todos los paquetes listados en php8.0-packages.txt : sudo xargs -a php8.0-packages.txt apt-get install -y Este comando usará xargs para pasar cada paquete listado en el archivo al comando apt-get install . Consideraciones Adicionales Verificar la Instalación : Después de la instalación, verifica que PHP 8.0 y sus módulos estén correctamente instalados y configurados. Dependencias Adicionales : Algunos módulos pueden requerir dependencias adicionales que no estén cubiertas por los paquetes listados. Asegúrate de revisar cualquier mensaje de error durante la instalación. Siguiendo estos pasos, podrás automatizar el proceso de instalación de PHP 8.0 y sus módulos basándote en los paquetes de PHP 8.2 que ya tienes instalados. Aviso Esta documentación y su contenido, no implica que funcione en tu caso o determinados casos. También implica que tienes conocimientos sobre lo que trata, y que en cualquier caso tienes copias de seguridad. El contenido el contenido se entrega, tal y como está, sin que ello implique ningún obligación ni responsabilidad por parte de Castris Si necesitas soporte profesional puedes contratar con Castris soporte profesional . Proxmox Cosas sobre Proxmox Git pull, error: server certificate verification failed. CAfile: none CRLfile: none Introducción El problema me apareció en un proxmox desactualizado, cuando quise hacer un pull de mis utilidades. git pull fatal: unable to access 'https://*****.castris.com/root/utilidades.git/': server certificate verification failed. CAfile: none CRLfile: none Tras verificar que el problema no estaba del lado de mi gitlab, sospeche de la desactualización de Proxmox. Como nunca actualizo un Proxmox, ya la solución de actualizar sólo los ca-certificates y paquetes relacionados, no funcionó opte por una tip rápido. No actualizo los proxmox, porque desde la versión 3, que ya son años, he tenido 4 incidentes de actualización, con sus correspondientes problemas derivados. Así que prefiero hacer un un turn-over en mi proveedor, coger una máquina nueva cada dos o tres años, y dejarme de tonterías. Atención, a mis máquinas proxmox no se acceden sino es desde mis ips, otra imposición que me puse dado que he visto muchos proxmox hackeados vía web. Así que al estar capado, no tengo miedo a no "actualizar" Modificación de Git para no verificar ssl root@pro12:~/utilidades# git config --global http.sslverify false root@pro12:~/utilidades# git pull remote: Enumerating objects: 23, done. remote: Counting objects: 100% (23/23), done. remote: Compressing objects: 100% (14/14), done. remote: Total 18 (delta 9), reused 12 (delta 4), pack-reused 0 Unpacking objects: 100% (18/18), done. From https://gitlab.castris.com/root/utilidades 10bda88..c93d331 master -> origin/master Updating 10bda88..c93d331 Fast-forward .gitignore | 2 + actualiza.sh | 2 +- basura.sh | 4 + compress-dovecot.sh | 164 ++++++++++ csf/proxmox.csf.conf | 2678 +++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++ fixpermisions.sh | 164 ++++++++++ 6 files changed, 3013 insertions(+), 1 deletion(-) create mode 100644 compress-dovecot.sh create mode 100644 csf/proxmox.csf.conf create mode 100644 fixpermisions.sh Aviso Esta documentación y su contenido, no implica que funcione en tu caso o determinados casos. También implica que tienes conocimientos sobre lo que trata, y que en cualquier caso tienes copias de seguridad. El contenido el contenido se entrega, tal y como está, sin que ello implique ningún obligación ni responsabilidad por parte de Castris Si necesitas soporte profesional puedes contratar con Castris soporte profesional . [PRIV] Instalar Proxmox desde 0 OVH Seguridad mkdir /root/soft;cd /root/soft/; wget https://download.configserver.com/csf.tgz; tar xvfz csf.tgz; cd csf; sh install.sh; cd ..; rm -Rf csf/ csf.tgz; \ echo '.cpanel.net .googlebot.com .crawl.yahoo.net .search.msn.com .paypal.com .paypal.es' > /etc/csf/csf.rignore;\ wget -O /etc/csf/csf.conf https://gitlab.castris.com/root/utilidades/-/raw/main/csf/proxmox.csf.conf; \ wget -O /etc/csf/csf.blocklists https://gitlab.castris.com/root/utilidades/-/raw/main/csf/csf.blocklists; \ wget -O /etc/csf/csf.allow ttps://gitlab.castris.com/root/utilidades/-/raw/main/csf/csf.allow; \ wget -O /etc/csf/csf.dyndns https://gitlab.castris.com/root/utilidades/-/raw/main/csf/csf.dyndns Discos Discos proxmox Utilidades cd ~ && git clone https://gitlab.castris.com/root/utilidades.git Red Red OVH vrack para Proxmox 7 zabbix Discos remotos LVM Práctico para Proxmox y OVH Introducción Es un tip que uso para mis necesidades . Entre otras, no uso ZSF por la carga que supone para el sistema, y porque suplo sus bondades por decisión propia con otros mecanismo de salvaguarda. Cada modelo de máquina de OVH y cada instalación deja diferencias sutiles que pueden hacer que uno tenga que modificar los datos de particiones, discos, interfaces de red. LVM En una instalación sin uso de RAID por software del instalador tenemos en la versión del instalador de OVH que instala 7.2-14 de Proxmox un volumen llamado vg en el disco primario pvs PV VG Fmt Attr PSize PFree /dev/nvme0n1p5 vg lvm2 a-- 1.72t 0 lvscan ACTIVE '/dev/vg/data' [1.72 TiB] inherit Sobre el cual ha creado un volume llamado vg y un volumen lógico llamado data con el tamaño máximo Mal por todo, porque asigna todo el espacio y no permite hacer snapshots. Este modelo no me sirve pues yo nunca uso virtualización por OpenVZ así que hay que eliminar y reconstruir Copia de la partición Parada de proxmox Versiones anteriores a la 7/8 systemctl stop pve-cluster pvedaemon pveproxy pvestatsd Versiones 7/8 systemctl stop pve-cluster pvedaemon pveproxy Copia de /var/lib/vz mkdir /old_vz rsync -avv --progress /var/lib/vz/ /old_vz/ umount /var/lib/vz Debemos por seguridad editar /etc/fstab para eliminar o comentar el punto de montaje de /var/lib/vz/ por si ocurriera algún reinicio por despiste Eliminación del volumen lvchange -an /dev/vg/data lvremove /dev/vg/data Logical volume "data" successfully removed Creación de un volumen menor Por si acaso, un dia queremos una instancia tipo OpenVZ crearemos un volumen lógico pequeño pero suficiente para que esté ahí, por si un día lo queremos usar. lvcreate -n data --size 20GB vg WARNING: ext4 signature detected on /dev/vg/data at offset 1080. Wipe it? [y/n]: y Wiping ext4 signature on /dev/vg/data. Logical volume "data" created. pvscan PV /dev/nvme0n1p5 VG vg lvm2 [1.72 TiB / <1.71 TiB free] Total: 1 [1.72 TiB] / in use: 1 [1.72 TiB] / in no VG: 0 [0 ] mkfs.xfs /dev/vg/data meta-data=/dev/vg/data isize=512 agcount=16, agsize=327680 blks = sectsz=4096 attr=2, projid32bit=1 = crc=1 finobt=1, sparse=1, rmapbt=0 = reflink=1 bigtime=0 data = bsize=4096 blocks=5242880, imaxpct=25 = sunit=32 swidth=32 blks naming =version 2 bsize=4096 ascii-ci=0, ftype=1 log =internal log bsize=4096 blocks=2560, version=2 = sectsz=4096 sunit=1 blks, lazy-count=1 realtime =none extsz=4096 blocks=0, rtextents=0 Discarding blocks...Done. Obtención del UUID blkid … /dev/mapper/vg-data: UUID="c0ede30d-f8a6-4897-a392-39c9dfc542a6" BLOCK_SIZE="4096" TYPE="xfs" Edición de fstab UUID=c0ede30d-f8a6-4897-a392-39c9dfc542a6 /var/lib/vz xfs defaults 0 0 Restauración de ficheros del directorio rsync -avv --progress /old_vz/ /var/lib/vz/ systemctl restart pve-cluster pvedaemon pveproxy pvestatsd Creación de volúmenes LVM En mi caso, y en este en particular, no deseo ampliar el volumen, sino que prefiero tener 3 volúmenes independientes, por el tipo de máquina que uso y el uso que se va a dar, ya que la velocidad y cargas en el proceso, me son más interesante con 3 volúmenes, que con uno, a la par que la posibilidad de una rotura de LVM es mayor y un riesgo que llevo años sin querer sufrirlo (que alguna vez lo he sufrido) y en los últimos 8 años, no he tenido ningún percance con varias máquinas con este aprovechamiento. Reconocimiento de discos fdisk -l Disk /dev/nvme1n1: 1.75 TiB, 1920383410176 bytes, 3750748848 sectors Disk model: SAMSUNG MZQL21T9HCJR-00A07 Units: sectors of 1 * 512 = 512 bytes Sector size (logical/physical): 512 bytes / 4096 bytes I/O size (minimum/optimal): 131072 bytes / 131072 bytes Disk /dev/nvme2n1: 1.75 TiB, 1920383410176 bytes, 3750748848 sectors Disk model: SAMSUNG MZQL21T9HCJR-00A07 Units: sectors of 1 * 512 = 512 bytes Sector size (logical/physical): 512 bytes / 4096 bytes I/O size (minimum/optimal): 131072 bytes / 131072 bytes Disk /dev/nvme0n1: 1.75 TiB, 1920383410176 bytes, 3750748848 sectors Disk model: SAMSUNG MZQL21T9HCJR-00A07 Units: sectors of 1 * 512 = 512 bytes Sector size (logical/physical): 512 bytes / 4096 bytes I/O size (minimum/optimal): 131072 bytes / 131072 bytes Disklabel type: gpt Disk identifier: 991EADF9-826A-4A35-B37C-5A1C3D255A5D Device Start End Sectors Size Type /dev/nvme0n1p1 2048 1048575 1046528 511M EFI System /dev/nvme0n1p2 1048576 3145727 2097152 1G Linux filesystem /dev/nvme0n1p3 3145728 45088767 41943040 20G Linux filesystem /dev/nvme0n1p4 45088768 47185919 2097152 1G Linux filesystem /dev/nvme0n1p5 47185920 3750739967 3703554048 1.7T Linux LVM /dev/nvme0n1p6 3750744752 3750748814 4063 2M Linux filesystem Partition 6 does not start on physical sector boundary. // No importante Disk /dev/mapper/vg-data: 20 GiB, 21474836480 bytes, 41943040 sectors Units: sectors of 1 * 512 = 512 bytes Sector size (logical/physical): 512 bytes / 4096 bytes I/O size (minimum/optimal): 131072 bytes / 131072 bytes Tenemos pues los discos nvme1n1 y nvme2n1 disponibles Creación de los grupos de volúmenes Como uso una dinámica de nombres para así hacer más fácil las migraciones entre máquinas Proxmox, haré lo mismo. Es importante crear los volúmenes de almacenamiento en particiones y no sobre el disco completo. Partición Usare mi Parted mejor que fdisk Creamos las etiquetas parted -s /dev/nvme1n1 mklabel gpt parted -s /dev/nvme2n1 mklabel gpt Creamos las particiones parted -s /dev/nvme1n1 mkpart primary 0% 100% parted -s /dev/nvme2n1 mkpart primary 0% 100% Creación de los volúmenes vgcreate lvm /dev/nvme1n1p1 Physical volume "/dev/nvme1n1p1" successfully created. Volume group "lvm" successfully created vgcreate lvm2 /dev/nvme2n1p1 Physical volume "/dev/nvme2n1p1" successfully created. Volume group "lvm2" successfully created pvscan PV /dev/nvme1n1p1 VG lvm lvm2 [<1.75 TiB / <1.75 TiB free] PV /dev/nvme2n1p1 VG lvm2 lvm2 [<1.75 TiB / <1.75 TiB free] PV /dev/nvme0n1p5 VG vg lvm2 [1.72 TiB / <1.71 TiB free] Total: 3 [<5.22 TiB] / in use: 3 [<5.22 TiB] / in no VG: 0 [0 ] Final A partir de aquí, ya tenemos nuestra estructura deseada en LVM para Proxmox. Aviso Esta documentación y su contenido, no implica que funcione en tu caso o determinados casos. También implica que tienes conocimientos sobre lo que trata, y que en cualquier caso tienes copias de seguridad. El contenido el contenido se entrega, tal y como está, sin que ello implique ningún obligación ni responsabilidad por parte de Castris Si necesitas soporte profesional puedes contratar con Castris soporte profesional . Red OVH vrack para Proxmox 7 Introducción El artículo es para un escenario de uso del vrack de OVH en un escenario específico. El alcance es dejar un tip, que uso muy a menudo, y en el que pongo énfasis en poder utilizar asegurándome de que si algo falla, puedo volver atrás con facilidad. Configurar la red para OVH Rack con Proxmox 7 Copiar configuracion original rsync -avv /etc/network/interfaces /root/interfaces.bak Editar la configuración Editamos la interface que puede ser diferente en cada caso pues con el tiempo cambian, y con los modelos de OVH cambian su forma de conexión a OVH Es importante entender que hay dos interfaces de red y que esas son las que debemos configurar para usar vrack. El modelo que uso, es particular, para mis necesidades. Hay muchas formas de configurar la red con vrack dependiendo de que estemos desplegando en nuestra máquina Proxmox y la red que queremos. auto lo iface lo inet loopback iface eno1 inet manual #auto vmbr0 #iface vmbr0 inet static # address IP.IP.IP.2/24 # gateway IP.IP.IP.254 # bridge-ports eno1 # bridge-stp off # bridge-fd 0 # hwaddress XX:XX:XX:XX:XX:XX # nuevo modelo OVH DHCP auto vmbr0 iface vmbr0 inet dhcp address IP.IP.IP.IP/24 gateway IP.IP.IP.254 bridge-ports eno1 bridge-stp off bridge-fd 0 # for routing auto vmbr1 iface vmbr1 inet manual bridge_ports dummy0 bridge_stp off bridge_fd 0 # Bridge vrack 1.5 auto vmbr2 iface vmbr2 inet manual bridge_ports eno2 bridge_stp off bridge_fd 0 Un consejo por si hay que reiniciar y usar el IPMI para arreglarlo si la cosa no ha funcionado. Cambiar la contraseña por una sin signos ya que el IPMI no es precisamente amigable con los teclados nacionales. Reinicio Hacemos un shutdown de la máquina, y ya tendríamos nuestra red con vrack instalada. Aviso Esta documentación y su contenido, no implica que funcione en tu caso o determinados casos. También implica que tienes conocimientos sobre lo que trata, y que en cualquier caso tienes copias de seguridad. El contenido el contenido se entrega, tal y como está, sin que ello implique ningún obligación ni responsabilidad por parte de Castris Si necesitas soporte profesional puedes contratar con Castris soporte profesional . Como arreglar el error Sender address rejected: need fully-qualified address (in reply to RCPT TO command) Introducción Algunas veces tenemos hosts (máquinas) de servicio, como Proxmox, en las que las peculiaridades y operativas, nos dejan con ciertos problemas de envío de correo, como los enviados por root (alertas, etc) que son enviados con el nombre corto de host en lugar del FQDN. Están configurados con Postfix , y el servidor remoto, no permite este tipo de envío de correos (normal) por lo que debemos hacer un mapping en el servidor que está enviando los correos con el hostname corto. Jan 29 00:00:19 smtp postfix/smtpd[389410]: NOQUEUE: reject: RCPT from pro18.XXX.XXX[Z.Z.Z.Z]: 504 5.5.2 : Sender address rejected: need fully-qualified address; from= to= proto=ESMTP helo= Solución Crear el fichero /etc/postfix/canonical @local @pro18.mydomain.tld @pro18 @pro18.mydomain.tld Añadir la referencia a este fichero de hash canonical_maps = hash:/etc/postfix/canonical Activar el fichero de hash postmap /etc/postfix/canonical service postfix restart Documentación Postfix :: Canonical address mapping Aviso Esta documentación y su contenido, no implica que funcione en tu caso o determinados casos. También implica que tienes conocimientos sobre lo que trata, y que en cualquier caso tienes copias de seguridad. El contenido el contenido se entrega, tal y como está, sin que ello implique ningún obligación ni responsabilidad por parte de Castris Si necesitas soporte profesional puedes contratar con Castris soporte profesional . Proxmox, Hetzner, y bloques de Ips adicionales en modo Routed Introducción Tra una experiencia desastrosa con el proveedor Scaleway y su sistema Elastic Metal decidí que lo mejor era marcharme. Dado que lo único que me queda allí, era una máquina de Proxmox con failover de máquinas en #OVH, revise los requerimientos de tráfico (Hetzner te da solo 20 TB de tráfico de salida) y me sobraba, ya que la mayoría casi 24TB es tráfico de entrada. Aunque ya había estado allí hace muchos años, nunca lo hice con Proxmox. Os dejo aquí mi experiencia, ya que sus manuales son un poco cuadriculados y ausente para ciertas cosas, y su soporte es nulo, más allá de enviarte a sus manuales. Casi todos los soportes de grandes proveedores de Hosting y Colo, son parecidos. En cierta manera les entiendo, pero si dan 0 soporte sus manuales tienen que ser impecables. Proxmox Modo Routed en lugar de bridge El porqué es claro. Hetzner solo te permite 7 ips por servidor o pasas por caja para coger un bloque, y sus bloques no funcionan en modo bridge. El modo bridge es como el OVH para IP Failover. Tienes que asignar un MAC vía ticket, robot, api.. El método routed no. El Manual Hetztner es necesario leerlo, o puedes llevarte una sorpresa. En mi caso, la instalación estaba clara: Sin raid (por software es una patata, y además, el alcance de este servidor no requiere de raid), modelo de Routed forzado por el sistema de Hetzner para bloques de IPS adicionales. Bien lo primero que observe y que produjo un choque,m fue que las imágenes de las acciones en el frontend de Proxmox para crear y modificar la red, no concuerdan con lo que luego graba en el fichero /etc/network/interfaces Además hay algunos puntos sutiles respecto a la notación de algunas IP. IPV4/CIDR El ejemplo te puede llevar a error porque te pone un CIDR /26 tanto en el texto como el gráfico, si mayor explicación. Resulta que Hetzner no te entrega toda la información en su Robot, y por tanto te aconsejo que calcules tu red. Por si te olvidaste cómo hacerlo mejor te dejo esta calculadora de redes aunque es posible que sea mejor que Hetzner te lo diga en un ticket. Fichero /etc/network/interfaces En vez del frontend pasamos a modo shell Notas sobe algunos elementos usados CIDR Classless Inter-Domain Routing enp41s0 es la interfaz de red que puede ser distinta según modelo. source /etc/network/interfaces.d/* auto lo iface lo inet loopback iface lo inet6 loopback auto enp41s0 iface enp41s0 inet static address IP_SERVIDOR/CIDR gateway GATEWAY_IP_SERVIDOR up route add -net IP_BLOQUE_IPS netmask 255.255.NETMASK_BLOQUE gw IP_SERVIDOR/ dev enp41s0 #Routed mode iface enp41s0 inet6 static address SUBNET_IPV6::2/64 # Atención al 2 gateway fe80::1 # Revisar al gateway que te da Hetzner para el bloque IPv6 auto vmbr0 iface vmbr0 inet static address IP_SERVIDOR/32 bridge-ports none bridge-stp off bridge-fd 0 iface vmbr0 inet6 static address SUBNET_IPV6::2/64 /etc/network/interfaces.d/vm-routes iface vmbr0 inet static #up ip route add IP_BLOQUE_IPS/28 dev vmbr0 # no me funciono up ip route add IP_BLOQUE_IPS.193/32 dev vmbr0 up ip route add BLOQUE_IPS.194/32 dev vmbr0 up ip route add BLOQUE_IPS.195/32 dev vmbr0 up ip route add BLOQUE_IPS.196/32 dev vmbr0 up ip route add BLOQUE_IPS.197/32 dev vmbr0 up ip route add BLOQUE_IPS.198/32 dev vmbr0 up ip route add BLOQUE_IPS.199/32 dev vmbr0 up ip route add BLOQUE_IPS.200/32 dev vmbr0 up ip route add BLOQUE_IPS.201/32 dev vmbr0 up ip route add BLOQUE_IPS.202/32 dev vmbr0 up ip route add BLOQUE_IPS.203/32 dev vmbr0 up ip route add BLOQUE_IPS.204/32 dev vmbr0 up ip route add BLOQUE_IPS.205/32 dev vmbr0 up ip route add BLOQUE_IPS.206/32 dev vmbr0 iface vmbr0 inet6 static up ip -6 route add SUBNET_IPV6::/64 dev vmbr0 Configserver Firewall A mi no me gusta nada el firewall que usa Proxmox, así que sigo usando Configserver CSF, pero esto requiere ciertos añadidos Necesitamos pasarle a CSF la interfaz que hace de Bridge o enrutador. Para ello añadimos el fichero /etc/csf/csfpre.sh con los siguientes datos. #!/bin/sh iptables -A INPUT -i vmbr0 -j ACCEPT iptables -A OUTPUT -o vmbr0 -j ACCEPT iptables -A FORWARD -j ACCEPT -p all -s 0/0 -i vmbr0 iptables -A FORWARD -j ACCEPT -p all -s 0/0 -o vmbr0 Y reiniciamos CSF con csf -ra Ahora el tráfico funcionará hacia los hosts. VPS KVM Centos 7 De momento solo he migrado dos máquinas con Centos 7, más adelante pondré los datos de máquinas con modelo Ubuntu y Debian. cat /etc/sysconfig/network-scripts/ifcfg-eth0 DEVICE=eth0 ONBOOT=yes BOOTPROTO=none IPADDR=BLOQUE_IPS.XXX NETMASK=255.255.255.255 SCOPE="peer IP_SERVIDOR_PROXMOX" IPV6INIT=no GATEWAY=peer IP_SERVIDOR_PROXMOX Nota importante Tras dos problemas con sod VPS, he encontrado que esta configuración sólo funciona usando NetworkManager. (fecha: 26/02/2023). Espero el lunes o martes tener una respuesta distinta, ya que el NetworkManager nio debe estar axctivo con el pesado de cPanel. El problema reside en que no levanta la tabla de rutas de forma correcta, por lo que no hay enrutamiento correcto hacia internet Importante revisar por si venimos de algún proveedor con otro sistema, que no tengan algún fichero de rutas especificado de su despliegue. Lecturas por si acaso Por ejemplo si usas un Centos 6 que teneia el sistema udev antiguo, y cargaba las tarejtas de red con su mac Change Network Interface Name: eth0,eth1,eth2+ Aviso Esta documentación y su contenido, no implica que funcione en tu caso o determinados casos. También implica que tienes conocimientos sobre lo que trata, y que en cualquier caso tienes copias de seguridad. El contenido el contenido se entrega, tal y como está, sin que ello implique ningún obligación ni responsabilidad por parte de Castris Si necesitas soporte profesional puedes contratar con Castris soporte profesional . Desactivar los mensajes de log en la consola (Proxmox) Introducción Una de las cosas que hago al comenzar con una nueva máquina de Proxmox, es desactivar la redirección de los mensajes de kernel log hacia la consola virtual. Es una pesadilla si te olvidas de de hacerlo, pues el próximo día que necesites acceder a tu servidor Proxmox, vía KVM a distancia (no la con sola de Proxmox si no la de OVH por ejemplo, la de Hetzner) sufrirás la continua emisión de logs a la consola virtual, lo cual hace muchas veces imnposible el trabajo en la consola. Solución para desactivar los mensajes del log en la consola virtual /etc/sysctl.conf Bien como Proxmox se ejecuta sobre una Debian, edita el fichero /etc/sysctl.conf y dejalo como esta aquí debajo: # Uncomment the following to stop low-level messages on console kernel.printk = 3 3 3 3 No necesitas hacer un restart si no quieres. Puedes activar la configuración como siempre que modificas ese fichero con: sudo sysctl -p Aviso Esta documentación y su contenido, no implica que funcione en tu caso o determinados casos. También implica que tienes conocimientos sobre lo que trata, y que en cualquier caso tienes copias de seguridad. El contenido el contenido se entrega, tal y como está, sin que ello implique ningún obligación ni responsabilidad por parte de Castris Si necesitas soporte profesional puedes contratar con Castris soporte profesional . Proxmox: Servicios Colgados - Diagnóstico y Soluciones Descripción del Problema Proxmox ocasionalmente experimenta un estado donde los servicios del sistema de gestión se "cuelgan", resultando en: Frontend web inaccesible o extremadamente lento Comandos de Proxmox no responden (pvesh, pvecm, qm, pct) VMs/Containers siguen funcionando pero sin gestión SSH funciona pero utilidades de Proxmox fallan Contenedores fucionales pero lenbtos y pesados sin presentar cargar que lo explique. Diagnóstico Verificación del Estado de Servicios # Comprobar posibles problemas con NFS df -h # Comprobar estado de servicios críticos systemctl status pve-cluster systemctl status pvedaemon systemctl status pvestatd systemctl status pveproxy # Verificar logs para identificar errores journalctl -u pve-cluster -f journalctl -u pvedaemon -f tail -f /var/log/pve/tasks/active Indicadores Comunes pve-cluster : Estado "failed" o "timeout" pvedaemon : No responde a peticiones API pveproxy : Error 502/503 en interfaz web Alta carga del sistema sin razón aparente Verificación de Recursos # Comprobar memoria y CPU free -h top -n 1 # Estado del almacenamiento df -h iostat -x 1 3 # Conectividad de cluster (si aplica) pvecm status Soluciones Solución Rápida (Restart de Servicios) # Secuencia de reinicio recomendada service pve-cluster restart && \ service pvedaemon restart && \ service pvestatd restart && \ service pveproxy restart # Verificar que los servicios han iniciado correctamente systemctl status pve-cluster pvedaemon pvestatd pveproxy Solución Alternativa por Pasos # Si el comando conjunto falla, reiniciar individualmente systemctl stop pveproxy systemctl stop pvestatd systemctl stop pvedaemon systemctl stop pve-cluster # Esperar unos segundos y reiniciar en orden systemctl start pve-cluster sleep 5 systemctl start pvedaemon sleep 3 systemctl start pvestatd systemctl start pveproxy Troubleshooting Avanzado Si pve-cluster no inicia: # Verificar quorum (en clusters) pvecm expected 1 # Limpiar archivos de lock problemáticos rm -f /var/lib/pve-cluster/.pmxcfs.lockfile systemctl start pve-cluster Si persisten problemas: # Reinicio completo del stack de Proxmox systemctl restart pve-cluster pvedaemon pvestatd pveproxy # Reinicio completo del stack de Proxmox completo. Opción más dura. systemctl restart pve-cluster pvedaemon pvestatd pveproxy corosync # Como último recurso (CUIDADO: puede afectar VMs) # Si tienes un KVM remoto para la máquina baremetal es el momento de activarl y tenerla abierta reboot Prevención Monitoreo Proactivo # Script de verificación periódica #!/bin/bash services=("pve-cluster" "pvedaemon" "pvestatd" "pveproxy") for service in "${services[@]}"; do if ! systemctl is-active --quiet $service; then echo "$(date): $service is down" >> /var/log/pve-health.log systemctl restart $service fi done Configuración de Cron # Añadir al crontab (cada 5 minutos) */5 * * * * /path/to/pve-health-check.sh Causas Comunes Sobrecarga de memoria en el host Proxmox Problemas de red en configuraciones de cluster Almacenamiento lento o con alta latencia Actualizaciones parciales o interrumpidas Configuraciones de firewall bloqueando puertos internos Problemas con monatajes NFS bloquenado el subsistema de ficheros PVE Puertos Críticos de Proxmox 8006 : Interfaz web HTTPS 5404/5405 : Corosync (cluster) 111/2049 : NFS (si se usa) 3128 : Proxy de descarga Logs Importantes /var/log/pve/tasks/active - Tareas en ejecución /var/log/daemon.log - Servicios del sistema /var/log/pve/cluster.log - Información del cluster journalctl -u pve-* - Logs específicos de servicios Notas Adicionales ⚠️ Importante : Los VMs y containers continúan ejecutándose durante estos problemas, solo se ve afectada la gestión. ✅ Tip : Mantener siempre acceso SSH alternativo para poder ejecutar estos comandos de recuperación. Aviso Esta documentación y su contenido, no implica que funcione en tu caso o determinados casos. También implica que tienes conocimientos sobre lo que trata, y que en cualquier caso tienes copias de seguridad. El contenido el contenido se entrega, tal y como está, sin que ello implique ningún obligación ni responsabilidad por parte de Castris Si necesitas soporte profesional puedes contratar con Castris soporte profesional . Ampliación de disco (basado en qcow2) en sistema virtualizado KVM (proxmox) Contexto Proceso para ampliar un disco virtual qcow2 en Proxmox cuando el sistema operativo invitado usa LVM y la tabla de particiones GPT no reconoce el nuevo tamaño tras la ampliación. Escenario inicial Disco qcow2 ampliado desde ~36GB a 46GB en Proxmox Sistema operativo no reconoce el espacio adicional Estructura: sda1 (BIOS boot), sda2 (boot), sda3 (LVM PV) Síntomas fdisk /dev/sda Welcome to fdisk (util-linux 2.39.3). Changes will remain in memory only, until you decide to write them. Be careful before using the write command. GPT PMBR size mismatch (75497471 != 96468991) will be corrected by write. The backup GPT table is not on the end of the device. This problem will be corrected by write. This disk is currently in use - repartitioning is probably a bad idea. It's recommended to umount all file systems, and swapoff all swap partitions on this disk. Command (m for help): p Disk /dev/sda: 46 GiB, 49392123904 bytes, 96468992 sectors Disk model: QEMU HARDDISK Units: sectors of 1 * 512 = 512 bytes Sector size (logical/physical): 512 bytes / 512 bytes I/O size (minimum/optimal): 512 bytes / 512 bytes Disklabel type: gpt Disk identifier: EBD99DE4-BA1E-4F14-9EFF-FE7FE140CF1A Device Start End Sectors Size Type /dev/sda1 2048 4095 2048 1M BIOS boot /dev/sda2 4096 3674111 3670016 1.8G Linux filesystem /dev/sda3 3674112 75497438 71823327 34.2G Linux filesystem Command (m for help): q Observamos el mensaje de problemas y el de la capacidad de discos, que no es renocido pese a que su tamaño si lo es, 46Gib vs 36Gib Prerequisitos Backup : Crear snapshot en Proxmox antes de proceder Acceso : Conexión SSH o consola al sistema invitado Herramientas : gdisk, parted, lvm2 (generalmente preinstalados) Proceso paso a paso 1. Verificar estado inicial ❯ pvscan PV /dev/sda3 VG ubuntu-vg lvm2 [<34.25 GiB / 0 free] Total: 1 [<34.25 GiB] / in use: 1 [<34.25 GiB] / in no VG: 0 [0 ] 2. Corregir estructura GPT gdisk /dev/sda GPT fdisk (gdisk) version 1.0.10 Partition table scan: MBR: protective BSD: not present APM: not present GPT: present Found valid GPT with protective MBR; using GPT. Command (? for help): v Problem: The secondary header's self-pointer indicates that it doesn't reside at the end of the disk. If you've added a disk to a RAID array, use the 'e' option on the experts' menu to adjust the secondary header's and partition table's locations. Warning: There is a gap between the secondary partition table (ending at sector 75497470) and the secondary metadata (sector 75497471). This is helpful in some exotic configurations, but is generally ill-advised. Using 'k' on the experts' menu can adjust this gap. Caution: Partition 3 doesn't end on a 2048-sector boundary. This may result in problems with some disk encryption tools. Identified 1 problems! Command (? for help): x Expert command (? for help): e Relocating backup data structures to the end of the disk Expert command (? for help): w Final checks complete. About to write GPT data. THIS WILL OVERWRITE EXISTING PARTITIONS!! Do you want to proceed? (Y/N): y OK; writing new GUID partition table (GPT) to /dev/sda. Warning: The kernel is still using the old partition table. The new table will be used at the next reboot or after you run partprobe(8) or kpartx(8) The operation has completed successfully. 3. Redimensionar partición # Expandir la partición al 100% del disco disponible parted /dev/sda resizepart 3 100% 4. Expandir Physical Volume # Redimensionar el PV para usar todo el espacio de la partición ❯ pvresize /dev/sda3 Physical volume "/dev/sda3" changed 1 physical volume(s) resized or updated / 0 physical volume(s) not resized # Verificar el resultado > pvdisplay /dev/sda3 --- Physical volume --- PV Name /dev/sda3 VG Name ubuntu-vg PV Size <44.25 GiB / not usable 16.50 KiB Allocatable yes (but full) PE Size 4.00 MiB Total PE 11327 Free PE 0 Allocated PE 11327 PV UUID NzNz30-KIRH-bWmQ-aSFy-N0mU-x1lt-hQ62uH 5. Expandir Logical Volume y filesystem # Conocer el VL de aplicación (Pueden ser varios, y cada uno una cnatidad) ❯ lvscan ACTIVE '/dev/ubuntu-vg/ubuntu-lv' [<34.25 GiB] inherit # Expandir el LV usando todo el espacio libre disponible (ejemplo) ❯ lvresize --extents +100%FREE --resizefs /dev/ubuntu-vg/ubuntu-lv Size of logical volume ubuntu-vg/ubuntu-lv changed from <34.25 GiB (8767 extents) to <44.25 GiB (11327 extents). Logical volume ubuntu-vg/ubuntu-lv successfully resized. resize2fs 1.47.0 (5-Feb-2023) Filesystem at /dev/mapper/ubuntu--vg-ubuntu--lv is mounted on /; on-line resizing required old_desc_blocks = 5, new_desc_blocks = 6 The filesystem on /dev/mapper/ubuntu--vg-ubuntu--lv is now 11598848 (4k) blocks long. # El flag --resizefs ejecuta automáticamente resize2fs 6. Verificación final # Verificar espacio disponible df -h / Filesystem Size Used Avail Use% Mounted on /dev/mapper/ubuntu--vg-ubuntu--lv 44G 32G 10G 77% / # Vista general de la estructura lsblk ... sda 8:0 0 46G 0 disk ├─sda1 8:1 0 1M 0 part ├─sda2 8:2 0 1.8G 0 part /boot └─sda3 8:3 0 44.2G 0 part └─ubuntu--vg-ubuntu--lv 252:0 0 44.2G 0 lvm / sr0 11:0 1 1024M 0 rom ... # Verificar estado LVM vgdisplay lvdisplay Mensajes esperados Durante gdisk verify (v) Problem: The secondary header's self-pointer indicates that it doesn't reside at the end of the disk Warning: There is a gap between the secondary partition table and secondary metadata Caution: Partition 3 doesn't end on a 2048-sector boundary Nota : Estos son problemas esperados tras ampliar el disco y se corrigen con el comando e en expert mode. Durante lvresize Physical volume "/dev/sda3" changed Size of logical volume changed from <34.25 GiB to <44.25 GiB resize2fs: on-line resizing required The filesystem is now XXXXXX (4k) blocks long. Consideraciones importantes Seguridad Sin downtime : Todo el proceso se ejecuta en caliente Solo crecimiento : No se mueven ni reducen datos existentes LVM como protección : Añade capa adicional de seguridad Orden crítico Corregir GPT antes que redimensionar particiones Redimensionar partición antes que PV Expandir PV antes que LV Troubleshooting común "Disk in use" warning : Normal, se puede ignorar en operaciones de crecimiento GPT mismatch : Esperado tras resize de qcow2, se corrige con gdisk Alignment warnings : Generalmente no críticos en discos virtuales Comandos de verificación post-proceso # Verificar que no quedan problemas GPT gdisk /dev/sda v q # Estado final del disco fdisk -l /dev/sda # Estado LVM completo pvs && vgs && lvs # Espacio en filesystem df -h / Resultado esperado Disco reconocido con nuevo tamaño completo Sin mensajes de error en GPT Espacio adicional disponible en el filesystem raíz Sistema operativo funcionando normalmente Proceso validado en Ubuntu 22.04 sobre Proxmox VE con discos qcow2 Generado el 26/09/2025 por Abdelkarim Mateos Sánchez - Administrador de Sistemas Aviso Esta documentación y su contenido, no implica que funcione en tu caso o determinados casos. También implica que tienes conocimientos sobre lo que trata, y que en cualquier caso tienes copias de seguridad. El contenido el contenido se entrega, tal y como está, sin que ello implique ningún obligación ni responsabilidad por parte de Castris Si necesitas soporte profesional puedes contratar con Castris soporte profesional . Ampliación de disco en sistema virtualizado KVM (proxmox) Introduccion En un escenario de uso de discos virtuales, como KVM, Proxmox y otros, a veces es necesario una ampliacion del disco. Si usamos LVM esto es posible y sencillo. Convenciones Ciertas cosas que hay en esta entrada, asi como en otras, requieren un conocimiento previo. No es un sitio para copiar y pegar sino para entender y hacer No siempre es el disco vda , no siempre es la particion 1 , y asi sucesivamente. Ampliacion de una disco virtual KVM La ampliacion de un disco LVM es posible una vez que hemos realizado el cambio virtual del tamano de la unidad LVM. En el caso de Proxmox acudimos a la administracion de nuestro proxmox: Seleccionamos el VPS Click en **Resize Disk" Incrementamos el tamano. Si el aumento de tamano implica un tamano final mayor de 2 TiB deberas tener el esquema de particiones GPT de lo contrario, tendras que modificar bajo tu responsabilidad el esquema MBR a GPT. Esta entrada no trata de eso, y para ello es aconsejable el uso de Gparted Live , lo cual no siempre es posible. El articulo interpreta que conoces el uso de ciertos comando, que sustituiran el dispositivo (disco) por el tuyo, y que sabes como obtener el esquema de tu disco (particiones) Consejo sobre particionamiento durante la instalacion Es aconsejable el uso de GPT y de ello hablamos en nuestra wiki, Instalacion GPT con el instalador Centos 7 en discos menores de 2 TiB Verificacion en un KVM basado en LVM Una vez que hemos ampliado el disco, podemos verificar el cambio de tamano en nuestro VPS. Esto funcionara hasta que reiniciemos la maquina. Despues ya no nos informara. vda, vdb, sda, ... son nombres de dispositivos. Debes consultar cuales son tus dispositivos de disco usando fdisk -l y usar el apropiado en el comando dmesg | grep vda ... [ 222.436098] vda: detected capacity change from 32212254720 to 37580963840 Imprimir la tabla actual del disco fdisk -l /dev/vda | grep ^/dev /dev/vda1 * 2048 1026047 512000 83 Linux /dev/vda2 1026048 62914559 30944256 8e Linux LVM Conocer el uso de las particiones en el sistema LVM pvscan PV /dev/vda2 VG centos lvm2 [<29,51 GiB / 40,00 MiB free] Total: 1 [<29,51 GiB] / in use: 1 [<29,51 GiB] / in no VG: 0 [0 ] lvscan ACTIVE '/dev/centos/swap' [3,00 GiB] inherit ACTIVE '/dev/centos/root' [<26,47 GiB] inherit Caso 1: Particion primaria con LVM (GPT o MBR simple) Este es el caso mas comun en instalaciones modernas con GPT. Ampliar la particion fisica parted /dev/vda GNU Parted 3.1 Usando /dev/vda Welcome to GNU Parted! Type 'help' to view a list of commands. (parted) print Model: Virtio Block Device (virtblk) Disk /dev/vda: 37,6GB Sector size (logical/physical): 512B/512B Partition Table: msdos Disk Flags: Numero Inicio Fin Tamano Typo Sistema de ficheros Banderas 1 1049kB 525MB 524MB primary xfs arranque 2 525MB 32,2GB 31,7GB primary lvm (parted) resizepart 2 100% (parted) quit Asignar el nuevo tamano al volumen fisico de LVM pvresize /dev/vda2 Physical volume "/dev/vda2" changed 1 physical volume(s) resized or updated / 0 physical volume(s) not resized Caso 2: Particion extended con logical (MBR clasico) IMPORTANTE: Algunas instalaciones antiguas (especialmente Debian/Ubuntu) usan esquema MBR con particiones extended y logical. En este caso hay que ampliar DOS particiones en orden. Ejemplo de estructura: Number Start End Size Type File system Flags 1 1049kB 512MB 511MB primary ext2 boot 2 513MB 698GB 697GB extended 5 513MB 698GB 697GB logical lvm Aqui vda2 es un contenedor (extended) y vda5 es la particion real con LVM (logical). Paso 1: Ampliar la particion extended parted /dev/vda (parted) resizepart 2 100% (parted) quit Paso 2: Ampliar la particion logical parted /dev/vda (parted) resizepart 5 100% (parted) quit Verificar que ambas particiones ahora ocupan todo el espacio: parted /dev/vda print Model: Virtio Block Device (virtblk) Disk /dev/vda: 752GB Number Start End Size Type File system Flags 1 1049kB 512MB 511MB primary ext2 boot 2 513MB 752GB 751GB extended 5 513MB 752GB 751GB logical lvm Paso 3: Redimensionar el Physical Volume CRITICO: El PV esta en la particion logical (vda5), NO en la extended (vda2): pvresize /dev/vda5 Physical volume "/dev/vda5" changed 1 physical volume(s) resized or updated / 0 physical volume(s) not resized Error comun: ejecutar pvresize /dev/vda2 da error "device is too small" porque vda2 es la extended, no contiene el PV. Paso 4: Verificar el nuevo espacio disponible vgs VG #PV #LV #SN Attr VSize VFree kvm330-vg 1 2 0 wz--n- <699.52g 50g El VFree muestra el espacio nuevo disponible. Redimensionar el volumen logico de LVM Todo para una particion lvresize --extents +100%FREE --resizefs /dev/centos/root Size of logical volume centos/root changed from <26,47 GiB (6776 extents) to <31,51 GiB (8066 extents). Logical volume centos/root successfully resized. Resize Volumen Logico por tamano exacto a anadir En un sistema con distintas particiones es diferente: df -h Filesystem Size Used Avail Use% Mounted on /dev/mapper/ubuntu--vg-ubuntu--lv 10G 2.7G 7.4G 27% / /dev/mapper/ubuntu--vg-lv--usr 6.0G 5.6G 450M 93% /usr /dev/mapper/ubuntu--vg-lv--home 5.0G 88M 5.0G 2% /home /dev/mapper/ubuntu--vg-lv--var 6.0G 1.3G 4.8G 21% /var Ampliar solo la particion /usr en 2GB: lvextend -L+2G /dev/ubuntu-vg/lv-usr Size of logical volume ubuntu-vg/lv-usr changed from 6.00 GiB to 8.00 GiB. Logical volume ubuntu-vg/lv-usr successfully resized. Expandir el sistema de archivos (para XFS): xfs_growfs /dev/ubuntu-vg/lv-usr data blocks changed from 1572864 to 2097152 Para EXT4 usar resize2fs o la opcion --resizefs en lvresize. Mensajes de error comunes Error en parted: tabla GPT al final del disco A veces, es posible que tras un acceso con parted a nuestro dispositivo, podemos encontrar mensajes relativos a problemas derivados de los instaladores de Centos, de Ubuntu, segun cuando y como se hizo la particion. Error: La copia de la tabla GPT no esta al final del disco, como deberia ser. Arreglar/Fix/Descartar/Ignore/Cancelar/Cancel? Fix Aviso: Not all of the space available to /dev/vda appears to be used Arreglar/Fix/Descartar/Ignore? F Responder Fix a estos mensajes para corregir la tabla GPT. Error pvresize: device is too small pvresize /dev/vda2 Cannot use /dev/vda2: device is too small (pv_min_size) 0 physical volume(s) resized or updated / 0 physical volume(s) not resized Este error ocurre cuando se intenta hacer pvresize sobre la particion extended en lugar de la logical. Verificar con pvscan cual es la particion correcta que contiene el Physical Volume. Actualizacion 2024-03-21 En nuevas versiones de parted, por ejemplo en AlmaLinux 8, no es posible usar el comando interactivo como anteriormente. Debes hacerlo directamente en el shell: parted /dev/sdx --script resizepart NumeroParticion 100% Aviso Esta documentacion y su contenido, no implica que funcione en tu caso o determinados casos. Tambien implica que tienes conocimientos sobre lo que trata, y que en cualquier caso tienes copias de seguridad. El contenido se entrega, tal y como esta, sin que ello implique ninguna obligacion ni responsabilidad por parte de Castris Si necesitas soporte profesional puedes contratar con Castris soporte profesional . NFS cliente en un sistema linux (rpm o debian) Descripción Para montar un cliente NFS, es decir, para que en un sistema podamos montar un path remoto de un servidor NFS necesitamos instalar el cliente NFS. Atención este artículo es un tip rápido sin entrar en cómo se debe configurar el servidor, ni que puertos abrir en el firewall. Instalación cliente Centos 7 yum install nfs-utils; systemctl enable rpcbind; systemctl start rpcbind Debian apt-get install portmap nfs-common Aviso Esta documentación y su contenido, no implica que funcione en tu caso o determinados casos. También implica que tienes conocimientos sobre lo que trata, y que en cualquier caso tienes copias de seguridad. El contenido el contenido se entrega, tal y como está, sin que ello implique ningún obligación ni responsabilidad por parte de Castris Si necesitas soporte profesional puedes contratar con Castris soporte profesional . SSH SSH es el protocolo que nospermite conectar de forma remota ay segura a nuestra máquinas. Unable to negotiate with X.X.X.X.X port YY: no matching host key type found. Their offer: ssh-rsa,ssh-dss Introduccón Es un extraño error que veces puede acontecer caubndo conectamos a determinados sistemas que han sido actualizados o no, que difieren de la norma general, o entran en conflicto con nuestro cliente SSH por ausencia o defecto de configuración. Edición y lectura necesaria hasta el final 21/07/2022 ssh root@remotehost -p2244 Unable to negotiate with 99.99.99.99 port 2244: no matching host key type found. Their offer: ssh-rsa,ssh-dss Con debug OpenSSH_8.9p1 Ubuntu-3, OpenSSL 3.0.2 15 Mar 2022 debug1: Reading configuration data /home/abkrim/.ssh/config debug1: Reading configuration data /etc/ssh/ssh_config debug1: /etc/ssh/ssh_config line 19: include /etc/ssh/ssh_config.d/*.conf matched no files debug1: /etc/ssh/ssh_config line 21: Applying options for * debug3: expanded UserKnownHostsFile '~/.ssh/known_hosts' -> '/home/abkrim/.ssh/known_hosts' debug3: expanded UserKnownHostsFile '~/.ssh/known_hosts2' -> '/home/abkrim/.ssh/known_hosts2' debug2: resolving "remotehost" port 2244 debug3: resolve_host: lookup remotehost:2244 debug3: ssh_connect_direct: entering debug1: Connecting to remotehost [99.99.99.99] port 2244. debug3: set_sock_tos: set socket 3 IP_TOS 0x10 debug1: Connection established. debug1: identity file /home/abkrim/.ssh/id_rsa type 0 debug1: identity file /home/abkrim/.ssh/id_rsa-cert type -1 debug1: identity file /home/abkrim/.ssh/id_ecdsa type -1 debug1: identity file /home/abkrim/.ssh/id_ecdsa-cert type -1 debug1: identity file /home/abkrim/.ssh/id_ecdsa_sk type -1 debug1: identity file /home/abkrim/.ssh/id_ecdsa_sk-cert type -1 debug1: identity file /home/abkrim/.ssh/id_ed25519 type -1 debug1: identity file /home/abkrim/.ssh/id_ed25519-cert type -1 debug1: identity file /home/abkrim/.ssh/id_ed25519_sk type -1 debug1: identity file /home/abkrim/.ssh/id_ed25519_sk-cert type -1 debug1: identity file /home/abkrim/.ssh/id_xmss type -1 debug1: identity file /home/abkrim/.ssh/id_xmss-cert type -1 debug1: identity file /home/abkrim/.ssh/id_dsa type -1 debug1: identity file /home/abkrim/.ssh/id_dsa-cert type -1 debug1: Local version string SSH-2.0-OpenSSH_8.9p1 Ubuntu-3 debug1: Remote protocol version 2.0, remote software version OpenSSH_5.3 debug1: compat_banner: match: OpenSSH_5.3 pat OpenSSH_5* compat 0x0c000002 debug2: fd 3 setting O_NONBLOCK debug1: Authenticating to remotehost:2244 as 'root' debug3: put_host_port: [remotehost]:2244 debug3: record_hostkey: found key type RSA in file /home/abkrim/.ssh/known_hosts:57 debug3: load_hostkeys_file: loaded 1 keys from [remotehost]:2244 debug1: load_hostkeys: fopen /home/abkrim/.ssh/known_hosts2: No such file or directory debug1: load_hostkeys: fopen /etc/ssh/ssh_known_hosts: No such file or directory debug1: load_hostkeys: fopen /etc/ssh/ssh_known_hosts2: No such file or directory debug3: order_hostkeyalgs: prefer hostkeyalgs: rsa-sha2-512-cert-v01@openssh.com,rsa-sha2-256-cert-v01@openssh.com,rsa-sha2-512,rsa-sha2-256 debug3: send packet: type 20 debug1: SSH2_MSG_KEXINIT sent debug3: receive packet: type 20 debug1: SSH2_MSG_KEXINIT received debug2: local client KEXINIT proposal debug2: KEX algorithms: curve25519-sha256,curve25519-sha256@libssh.org,ecdh-sha2-nistp256,ecdh-sha2-nistp384,ecdh-sha2-nistp521,sntrup761x25519-sha512@openssh.com,diffie-hellman-group-exchange-sha256,diffie-hellman-group16-sha512,diffie-hellman-group18-sha512,diffie-hellman-group14-sha256,ext-info-c debug2: host key algorithms: rsa-sha2-512-cert-v01@openssh.com,rsa-sha2-256-cert-v01@openssh.com,rsa-sha2-512,rsa-sha2-256,ssh-ed25519-cert-v01@openssh.com,ecdsa-sha2-nistp256-cert-v01@openssh.com,ecdsa-sha2-nistp384-cert-v01@openssh.com,ecdsa-sha2-nistp521-cert-v01@openssh.com,sk-ssh-ed25519-cert-v01@openssh.com,sk-ecdsa-sha2-nistp256-cert-v01@openssh.com,ssh-ed25519,ecdsa-sha2-nistp256,ecdsa-sha2-nistp384,ecdsa-sha2-nistp521,sk-ssh-ed25519@openssh.com,sk-ecdsa-sha2-nistp256@openssh.com debug2: ciphers ctos: chacha20-poly1305@openssh.com,aes128-ctr,aes192-ctr,aes256-ctr,aes128-gcm@openssh.com,aes256-gcm@openssh.com debug2: ciphers stoc: chacha20-poly1305@openssh.com,aes128-ctr,aes192-ctr,aes256-ctr,aes128-gcm@openssh.com,aes256-gcm@openssh.com debug2: MACs ctos: umac-64-etm@openssh.com,umac-128-etm@openssh.com,hmac-sha2-256-etm@openssh.com,hmac-sha2-512-etm@openssh.com,hmac-sha1-etm@openssh.com,umac-64@openssh.com,umac-128@openssh.com,hmac-sha2-256,hmac-sha2-512,hmac-sha1 debug2: MACs stoc: umac-64-etm@openssh.com,umac-128-etm@openssh.com,hmac-sha2-256-etm@openssh.com,hmac-sha2-512-etm@openssh.com,hmac-sha1-etm@openssh.com,umac-64@openssh.com,umac-128@openssh.com,hmac-sha2-256,hmac-sha2-512,hmac-sha1 debug2: compression ctos: none,zlib@openssh.com,zlib debug2: compression stoc: none,zlib@openssh.com,zlib debug2: languages ctos: debug2: languages stoc: debug2: first_kex_follows 0 debug2: reserved 0 debug2: peer server KEXINIT proposal debug2: KEX algorithms: diffie-hellman-group-exchange-sha256,diffie-hellman-group-exchange-sha1,diffie-hellman-group14-sha1,diffie-hellman-group1-sha1 debug2: host key algorithms: ssh-rsa,ssh-dss debug2: ciphers ctos: aes128-ctr,aes192-ctr,aes256-ctr,arcfour256,arcfour128,aes128-cbc,3des-cbc,blowfish-cbc,cast128-cbc,aes192-cbc,aes256-cbc,arcfour,rijndael-cbc@lysator.liu.se debug2: ciphers stoc: aes128-ctr,aes192-ctr,aes256-ctr,arcfour256,arcfour128,aes128-cbc,3des-cbc,blowfish-cbc,cast128-cbc,aes192-cbc,aes256-cbc,arcfour,rijndael-cbc@lysator.liu.se debug2: MACs ctos: hmac-md5,hmac-sha1,umac-64@openssh.com,hmac-sha2-256,hmac-sha2-512,hmac-ripemd160,hmac-ripemd160@openssh.com,hmac-sha1-96,hmac-md5-96 debug2: MACs stoc: hmac-md5,hmac-sha1,umac-64@openssh.com,hmac-sha2-256,hmac-sha2-512,hmac-ripemd160,hmac-ripemd160@openssh.com,hmac-sha1-96,hmac-md5-96 debug2: compression ctos: none,zlib@openssh.com debug2: compression stoc: none,zlib@openssh.com debug2: languages ctos: debug2: languages stoc: debug2: first_kex_follows 0 debug2: reserved 0 debug1: kex: algorithm: diffie-hellman-group-exchange-sha256 debug1: kex: host key algorithm: (no match) Unable to negotiate with 99.99.99.99 port 24: no matching host key type found. Their offer: ssh-rsa,ssh-dss Solución en nuestra fichero ~/.ssh/config (si no existe podemo crearlo) añadimos. HostKeyAlgorithms ssh-rsa PubkeyAcceptedKeyTypes ssh-rsa Problemas Tras el uso de este tip, al día siguiente aparecio una serie de problemas en el que me fallaban las conexiones a todas mis maquinas via ssh, no pudiendo logearme. No Kerberos credentials available (default cache: FILE:/tmp/krb5cc_1000) Tras una busqueda en internet niguna de las opciones me parecia correcta y algo me indicaba que la salida por la tangente de la edición del config de mi cliente ssh era la raíz del problema, desactive las valores indicados. Y todo volvio a funcionar de nuevo. Asi que dejo el tip, porque es posible que ayude a alguien, en ambos sentidos, y proque espero tener un hueco (que dificil) para ponerme con este problema y verlo en amplitud. Agradecimientos Iba con prisa y no pude pararme mucho, hasta que un dia el problema ya empezo a ser pesado. Gracias How To Configure Custom Connection Options for your SSH Client donde se explica superbien como configurar el fichero ~/.ssh/config por hosts, y cadauno con sus cosas. En mi caso tenia un fichero para conectarme rápidamente a los mas de 200 servidores que manejo, pero ahora los que me dan problema puedo llamarlos con ssh directemente. Aviso Esta documentación y su contenido, no implica que funcione en tu caso o determinados casos. También implica que tienes conocimientos sobre lo que trata, y que en cualquier caso tienes copias de seguridad. El contenido el contenido se entrega, tal y como está, sin que ello implique ningún obligación ni responsabilidad por parte de Castris Si necesitas soporte profesional puedes contratar con Castris soporte profesional . PasswordAuthentication yes pero no funciona PasswordAuthentication yes pero no funciona Uno de los problemas de los avances rápidos es que muchas veces pasamos de lego por la lectura de los changelogs. Y este es uno de ellos. Se instaló el servidor Ubuntu 22.04 sin acceso ssh por contraseña, y una vez instalado se decidió habilitarlo. Nada más fácil que como siempre que añadir o editar la línea PasswordAuthentication yes en el fichero de configuración y reiniciar el servicio SSH. Pero no, no funciona. Dos opciones a elegir Opción 1 Deshabilitar el include a los ficheros en el directorio /etc/ssh/sshd_config.d/ editando el fichero /etc/ssh/sshd_config en la línea que lo incluye # Include /etc/ssh/sshd_config.d/*.conf Opción 2 Editar el fichero que contiene la línea PasswordAuthentication no ya que como norma general el include está al final, por lo que los valores existentes son sustituidos por los que existan en estos ficheros, cambiandolo por PasswordAuthentication yes Esta es mala praxis pues el objeto de este método es sencillo, evitar que en las actualizaciones dejemos de lado la actualización de los ficheros de configuración, para no destruir nuestros cambios. Mucho mejor, usar este aprovechamiento, para poner nuestros valores en aquellas configuraciones existentes, que como norma general, no recibirán cambios. Aviso Esta documentación y su contenido, no implica que funcione en tu caso o determinados casos. También implica que tienes conocimientos sobre lo que trata, y que en cualquier caso tienes copias de seguridad. El contenido el contenido se entrega, tal y como está, sin que ello implique ningún obligación ni responsabilidad por parte de Castris Si necesitas soporte profesional puedes contratar con Castris soporte profesional . Cambiar el puerto SSH en Ubuntu 24.04 y Debian Bookworm Introducción Cada un tiempo salen cambios, y en la época que vivimos son muy a menudo, y alguno, incluso olvidamos los tiempos de Slackware o mas duro aun, una Gentoo o un Linux From Scratch . Uno de esos cambios que viene en las ultimas estables de Debian y derivados es uno que puede despistarte con el cambio de puerto para SSH. En el caso de Redhat/CentOs y derivadas el lío sería otro pero también existe. Cambiar el puerto SSH en Ubuntu 24.04 /Debian Bookworn Debian puede variar algo, pero la idea es la misma. La cuestión esta en que al margen de el cambio de la clave Port al puerto deseado en el fichero /etc/ssh/sshd_config necesitamos unos pasos adicionales. Si echamos una vista al systemd de nuestra distro Ubuntu vemos dos entradas para ssh siendo la interesante /etc/systemd/system/ssh.service.requires Editemos /etc/systemd/system/ssh.service.requires/ssh.socket Y despues editemos /etc/ssh/sshd_config Port 0000 # 0000 es el número del puerto deseado y libre Así que se trata de editar la clave ListenStream con el mismo puerto que hemos puesto en la configuración de SSHD. No olvides que esto es después de que al cambiar el valor de Port no te funcione 😊 Después es lo habitual en systemd por que hay que hacer un reload tras los cambios en systemd systemctl daemon-reload systemctl restart ssh No olvides el firewall 😊😊😊 Cambiar también en SSHD (Editado: 6/3/25) Algunos me han preguntado, y si es cierto que también hay que cambiar el puerto en el fichero /etc/ssh/sshd_conf Port XXXXX Compatibilidad con Ubuntu 22.04 (Editado: 18/07/25) Ubuntu 22.04 incluye soporte completo para ambos métodos pero usa el servicio tradicional por defecto. Verificar tu configuración actual systemctl status ssh.socket Si muestra "inactive (dead)": Usas el método tradicional En este caso solo necesitas: # Editar configuración SSH sudo nano /etc/ssh/sshd_config # Cambiar: Port 2222 # Reiniciar servicio sudo systemctl restart ssh.service # Verificar sudo ss -tlnp | grep :2222 Para migrar a formato socket (recomendado para consistencia) # Verificar archivos disponibles ls -la /lib/systemd/system/ssh* # Migrar a socket systemd sudo systemctl stop ssh.service sudo systemctl disable ssh.service # Configurar socket con puerto personalizado sudo systemctl edit ssh.socket Añadir en el editor: [Socket] ListenStream= ListenStream=2222 # Editar configuración SSH sudo nano /etc/ssh/sshd_config # Port 2222 # Activar socket sudo systemctl daemon-reload sudo systemctl enable ssh.socket sudo systemctl start ssh.socket # Verificar migración exitosa sudo systemctl status ssh.socket sudo ss -tlnp | grep :2222 Ventaja de la migración: Consistencia con Ubuntu 24.04+ y mejor gestión de recursos. Agradecimientos A samon en Forum ARMBian A Ephraim Gariguez por su ampliación para la raspi Aviso Esta documentación y su contenido, no implica que funcione en tu caso o determinados casos. También implica que tienes conocimientos sobre lo que trata, y que en cualquier caso tienes copias de seguridad. El contenido el contenido se entrega, tal y como está, sin que ello implique ningún obligación ni responsabilidad por parte de Castris Si necesitas soporte profesional puedes contratar con Castris soporte profesional . Apagando fuegos A veces hay cosas que son propias de un bombero de sistemas Kernel panic: /init: conf/conf.d/zz-resume-auto: line 1: syntax error: unexpected "(" Introducción Nada peor que un kernel panic en un sistema linux y más si este esta en producción. Que malo es tener servidores baremetal en lugar de virtualizar con KVM. Sonbre todo para el corazón. Me llamo un cliente, para apagar el fuego. Centralita de rendimiento espectacular (Dos a tres mil euros la hora de facturación por lineas). Como parta estar offline. E infraestructura sin HA o cuando menos espejos de backup. Ya me han pedido presupuesto. Lo primero que se observa en Google o DuckDuckGo es que es un problema recurrente con distintos sabores o variantes. Pero lo que nos queda claro es que no se trata de encontrar ese fichero sino de otra cosa. Estamos en OVH así que vamos a abrir un IPMI para tratar de entrar en modo rescate. Al rescate Consola remota IPMI de OVH Bueno la ilusión se nos fue, cuando vimos que el administrador del equipo, tenia configurado de tal forma no visualizar el screen de arranque, sino entrar directamente al trapo con la carga del kernel (Muy mal compañero). Tampoco el IPMI nos permitía una comunicación correcta del teclado, para forzar la pantalla de inicio, asi que opte por un arranque en modo rescue de OVH basado en una Debian 11. Modo rescue Lo primero es ver que tenemos con un fdisk root@rescue-customer-eu ~# fdisk -l /dev/nvme0n1p1 2048 1048575 1046528 511M EFI System /dev/nvme0n1p2 1048576 999161855 998113280 476G Linux RAID /dev/nvme0n1p3 999161856 1000210431 1048576 512M Linux filesystem /dev/nvme0n1p4 1000211120 1000215182 4063 2M Linux filesystem Que bonito, un RAID por software en un sistema en producción de ese nivel. Vemos que nos cuenta root@rescue-customer-eu ~ # mdadm --examine --scan ARRAY /dev/md/md2 metadata=1.2 UUID=f3f612c5:98f99127:fd587ee0:8dc97d19 name=md2 root@rescue-customer-eu ~ # mount /dev/md/md2 /mnt mount: /mnt: special device /dev/md/md2 does not exist. Limpieza con update-initramfs Bien, vamos a montarlo en modo chroot para poder limpiar el problema root@rescue-customer-eu ~ # cat /proc/mdstat Personalities : [linear] [raid0] [raid1] [raid10] [raid6] [raid5] [raid4] [multipath] [faulty] md127 : active (auto-read-only) raid1 nvme0n1p2[1] 498924544 blocks super 1.2 [2/1] [_U] bitmap: 4/4 pages [16KB], 65536KB chunk unused devices: ¿Porqué? Basado en la salida de cat /proc/mdstat , parece que el dispositivo RAID que se ha ensamblado automáticamente al intentar arrancar el sistema en modo rescate es /dev/md127 y no /dev/md/md2 como se esperaba inicialmente. Esto puede suceder a veces, donde el número de dispositivo RAID puede cambiar dependiendo de cómo y cuándo se ensambla el RAID durante el arranque del sistema. La salida muestra que el dispositivo /dev/md127 es un RAID 1 (espejo) y actualmente está en modo "auto-read-only" con uno de los dos discos funcionando (indicado por [2/1] [_U], donde _U significa que un disco está faltante o no está funcionando). Problemas a la vista con el raid. Continuar con algunas propuestas no tiene sentido, cuando el raid esta mal, pues se trata de trabajar con el grub y sin el raid consistente, ni lo intentes. update-grub Generating grub configuration file ... Found linux image: /boot/vmlinuz-5.10.0-28-amd64 Found initrd image: /boot/initrd.img-5.10.0-28-amd64 /usr/sbin/grub-probe: error: disk `mduuid/f3f612c598f99127fd587ee08dc97d19' not found. /usr/sbin/grub-probe: error: disk `mduuid/f3f612c598f99127fd587ee08dc97d19' not found. /usr/sbin/grub-probe: error: disk `mduuid/f3f612c598f99127fd587ee08dc97d19' not found. Found linux image: /boot/vmlinuz-5.10.0-27-amd64 Found initrd image: /boot/initrd.img-5.10.0-27-amd64 /usr/sbin/grub-probe: error: disk `mduuid/f3f612c598f99127fd587ee08dc97d19' not found. /usr/sbin/grub-probe: error: disk `mduuid/f3f612c598f99127fd587ee08dc97d19' not found. Found linux image: /boot/vmlinuz-5.10.0-19-amd64 Found initrd image: /boot/initrd.img-5.10.0-19-amd64 /usr/sbin/grub-probe: error: disk `mduuid/f3f612c598f99127fd587ee08dc97d19' not found. /usr/sbin/grub-probe: error: disk `mduuid/f3f612c598f99127fd587ee08dc97d19' not found. done En este punto decir que algunos de los tips de google, sobre este tema, podrán ser validos en determinadas circunstancias pero aquí, con un raid por software la cosa estaba más clara. Vamos a ensamblar manualmente el array. ATENCION ⚠️ Lo que se hace, se hace en una máquina con backups, y consciente de lo que haces y de que puede pasar de todo. No soy responsable delos copy & paste sin tener ni idea de sistemas. mdadm --assemble /dev/md/md2 --uuid f3f612c5:98f99127:fd587ee0:8dc97d19 Después vamos a ver el estado. Es necesario porque lo que haremos después no funcionaria, por los errores que ya tuvimos. root@rescue-customer-eu:/# cat /proc/mdstat Personalities : [linear] [raid0] [raid1] [raid10] [raid6] [raid5] [raid4] [multipath] [faulty] md127 : active raid1 nvme1n1p2[0] nvme0n1p2[1] 498924544 blocks super 1.2 [2/1] [_U] [===>.................] recovery = 19.6% (98150912/498924544) finish=32.4min speed=205769K/sec bitmap: 4/4 pages [16KB], 65536KB chunk Bien esperaremos hasta que acabe Si tienes un gran tamaño de discos, tardará. Si tienes discos mecanicos, y raid soft, mejor date una vuelta. Montemos en chroot cuando termine. mount /dev/md127 /mnt mount -t proc /proc /mnt/proc mount -t sysfs /sys /mnt/sys mount --rbind /dev /mnt/dev mount --make-rslave /mnt/dev chroot /mnt /bin/bash Ahora ya puedes hacer un update-grub o editar el fichero por ejemplo para tener la venta splash del arranque para poder elegir un kernel o el modo rescue, etc. En mi caso sirvió el update-grub update-grub Generating grub configuration file ... Found linux image: /boot/vmlinuz-5.10.0-28-amd64 Found initrd image: /boot/initrd.img-5.10.0-28-amd64 Found linux image: /boot/vmlinuz-5.10.0-27-amd64 Found initrd image: /boot/initrd.img-5.10.0-27-amd64 Found linux image: /boot/vmlinuz-5.10.0-19-amd64 Found initrd image: /boot/initrd.img-5.10.0-19-amd64 done Si estas en un entorno UEFI de arranque, tendrás que asegurarte. de que estas apuntando correctamente Desmontado exit umount /mnt/sys umount /mnt/proc umount /mnt/dev umount /mnt/boot Y finalmente desactivar el kernel rescue de OVH y hacer un shutdown. In Sha Allah... y a disfrutar de tu máquina. Aviso Esta documentación y su contenido, no implica que funcione en tu caso o determinados casos. También implica que tienes conocimientos sobre lo que trata, y que en cualquier caso tienes copias de seguridad. El contenido el contenido se entrega, tal y como está, sin que ello implique ningún obligación ni responsabilidad por parte de Castris Si necesitas soporte profesional puedes contratar con Castris soporte profesional . your CPU is missing AVX instruction set flag para instalar mongoDb Jetbackup entre otros Introducción A veces, como administrador de sistemas, me sorprende la dirección que está tomando el software de uso común, comenzando a enfrentar los mismos problemas que JavaScript y otros lenguajes para cumplir con expectativas inusuales. Lo menciono porque tener que depender de ciertos conjuntos de instrucciones del procesador y habilidades de hardware específicas del modelo de procesador empieza a complicar las cosas. En el caso presentado, se trata de un problema para la instalación de Jetbackup (ver comentario) que requiere MongoDB , el cual necesita las banderas AVX . Con Jetbackup ya me he llevado unas cuantas sorpresas, como por ejemplo que se "olvida" indicar claramente en la zona de venta qué sistemas operativos están soportados como destino. Entre otras cosas, BusyBox no es compatible con rsync, aunque decían que lo era con SFTP y tampoco lo es. Proxmox y su virtualización En mi caso, era un servidor VPS sobre un Proxmox con 48 x AMD EPYC 7413 24-Core Processor , relativamente moderno, que sí tiene dichas instrucciones: grep -o 'avx' /proc/cpuinfo avx avx ... ## Una linea más por cada core Asi que teniendo una versión de Proxmox 7.2.14 me limite a usar cpu: host en el modelo de procesador del KVM. root@ cat /etc/pve/qemu-server/.conf | grep host cpu: host En versiones más modernas de Proxmox, puedes usar en este caso EPYC-v3 (disponible en el desplegable de Procesadores de una KVM), que se ajustaría mejor. Desde hace 15 años que uso Proxmox dejé de actualizarlo. Lo tengo cerrado por firewall completamente (denegar todo y autorizar lo necesario por IP) y cada dos años cambio la máquina y con el cambio la versión. Ya me llevé muchos disgustos con las actualizaciones . Aviso Esta documentación y su contenido no implican que funcione en tu caso o determinados casos. También implica que tienes conocimientos sobre lo que trata, y que en cualquier caso tienes copias de seguridad. El contenido se entrega tal y como está, sin ninguna obligación ni responsabilidad por parte de Castris . Si necesitas soporte profesional puedes contratar con Castris soporte profesional . Nginx Nginx, para servidores con multiples vhosts a pelo (sin panel) + PHP-FPM Nginx Instalado de forma oficial siguiendo la ruta de instalación estándar de Ubuntu. Mejoras sobre la configuración original A continuación se describen las mejoras implementadas sobre la configuración estándar. Estas optimizaciones se centran en: Reducción del TTFB (Time To First Byte) Refuerzo de seguridad (especialmente en ciphers) Optimización de rendimiento general Las directivas que comienzan con # comentario son personalizaciones, ya sea por adición o modificación. user www-data; worker_processes auto; worker_rlimit_nofile 65535; # Incrementa el límite de archivos abiertos # load_module modules/ngx_http_modsecurity_module.so; error_log /var/log/nginx/error.log notice; pid /var/run/nginx.pid; include /etc/nginx/modules-enabled/*.conf; # Configuración optimizada de eventos events { worker_connections 1024; use epoll; # Método eficiente para Linux multi_accept on; # Acepta múltiples conexiones por proceso } http { include /etc/nginx/mime.types; default_type application/octet-stream; log_format main '$remote_addr - $remote_user [$time_local] "$request" ' '$status $body_bytes_sent "$http_referer" ' '"$http_user_agent" "$http_x_forwarded_for"'; access_log /var/log/nginx/access.log main; ## Mejoras de rendimiento y seguridad probadas durante años sendfile on; # Optimiza el envío de archivos tcp_nopush on; # Optimiza paquetes TCP tcp_nodelay on; # Reduce latencia client_header_timeout 60s; # Tiempo máximo para recibir cabeceras client_body_timeout 60s; # Tiempo máximo para recibir cuerpo client_header_buffer_size 2k; # Tamaño del buffer para cabeceras client_body_buffer_size 256k; # Tamaño del buffer para el cuerpo client_max_body_size 256m; # Tamaño máximo de petición large_client_header_buffers 4 8k; # Buffers para cabeceras grandes send_timeout 60s; # Tiempo máximo de envío keepalive_timeout 30s; # Tiempo máximo de conexión persistente reset_timedout_connection on; # Libera conexiones que expiran server_tokens off; # Oculta la versión de Nginx server_name_in_redirect off; # No incluye nombre del servidor en redirecciones server_names_hash_max_size 512; # Tamaño máximo de la tabla hash server_names_hash_bucket_size 512; # Tamaño del bucket hash # Compresión para optimizar el tráfico gzip on; # Activa la compresión gzip_static on; # Busca versiones pre-comprimidas gzip_vary on; # Añade cabecera Vary gzip_comp_level 6; # Nivel de compresión (equilibrio rendimiento/tamaño) gzip_min_length 1024; # Tamaño mínimo para comprimir gzip_buffers 16 8k; # Buffers para compresión gzip_types text/plain text/css text/javascript text/js text/xml application/json application/javascript application/x-javascript application/xml application/xml+rss application/x-font-ttf image/svg+xml font/opentype; gzip_proxied any; # Comprime respuestas proxy gzip_disable "MSIE [1-6]\."; # Desactiva para IEs antiguos # Configuración de proxy proxy_redirect off; proxy_set_header Host $host; proxy_set_header X-Real-IP $remote_addr; proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; proxy_pass_header Set-Cookie; proxy_buffers 32 4k; proxy_connect_timeout 30s; proxy_send_timeout 90s; proxy_read_timeout 90s; # Configuración para Cloudflare (actualizada: 28/09/2023) # Permite identificar la IP real del visitante detrás de Cloudflare set_real_ip_from 103.21.244.0/22; set_real_ip_from 103.22.200.0/22; set_real_ip_from 103.31.4.0/22; set_real_ip_from 104.16.0.0/13; set_real_ip_from 104.24.0.0/14; set_real_ip_from 108.162.192.0/18; set_real_ip_from 131.0.72.0/22; set_real_ip_from 141.101.64.0/18; set_real_ip_from 162.158.0.0/15; set_real_ip_from 172.64.0.0/13; set_real_ip_from 173.245.48.0/20; set_real_ip_from 188.114.96.0/20; set_real_ip_from 190.93.240.0/20; set_real_ip_from 197.234.240.0/22; set_real_ip_from 198.41.128.0/17; #set_real_ip_from 2400:cb00::/32; # IPv6 (comentados por compatibilidad) #set_real_ip_from 2606:4700::/32; #set_real_ip_from 2803:f800::/32; #set_real_ip_from 2405:b500::/32; #set_real_ip_from 2405:8100::/32; #set_real_ip_from 2c0f:f248::/32; #set_real_ip_from 2a06:98c0::/29; real_ip_header CF-Connecting-IP; # Configuración SSL que cumple con PCI Compliance # Basado en https://blog.ss88.us/secure-ssl-https-nginx-vestacp ssl_protocols TLSv1.2 TLSv1.3; # Elimina protocolos obsoletos (SSLv3) ssl_prefer_server_ciphers on; ssl_session_cache shared:SSL:10m; ssl_ciphers "EECDH+ECDSA+AESGCM EECDH+aRSA+AESGCM EECDH+ECDSA+SHA384 EECDH+ECDSA+SHA256 EECDH+aRSA+SHA384 EECDH+aRSA+SHA256 EECDH+aRSA+RC4 EECDH EDH+aRSA RC4 !aNULL !eNULL !LOW !3DES !MD5 !EXP !PSK !SRP !DSS !MEDIUM"; #ssl_ciphers ECDHE-RSA-AES256-GCM-SHA512:DHE-RSA-AES256-GCM-SHA512:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384; ssl_dhparam dh4096.pem; ssl_ecdh_curve secp384r1; ssl_session_tickets off; ssl_stapling on; ssl_stapling_verify on; resolver 1.1.1.1 8.8.8.8 valid=300s; resolver_timeout 5s; add_header Strict-Transport-Security "max-age=63072000; includeSubdomains; preload"; add_header X-Frame-Options SAMEORIGIN; add_header X-Content-Type-Options nosniff; # Configuración de caché # IMPORTANTE: Verificar permisos y propiedad de los directorios # Especialmente útil en entornos con alta carga de solicitudes proxy_cache_path /var/cache/nginx levels=2 keys_zone=cache:10m inactive=60m max_size=1024m; proxy_cache_key "$host$request_uri $cookie_user"; proxy_temp_path /var/cache/nginx/temp; proxy_ignore_headers Expires Cache-Control; proxy_cache_use_stale error timeout invalid_header http_502; proxy_cache_valid any 1d; # Bypass de caché para sesiones activas map $http_cookie $no_cache { default 0; ~SESS 1; ~wordpress_logged_in 1; } # Configuración de caché de archivos open_file_cache max=10000 inactive=30s; open_file_cache_valid 60s; open_file_cache_min_uses 2; open_file_cache_errors off; # Configuración de cabeceras y expiración # Mapa de tiempos de expiración según tipo de contenido map $sent_http_content_type $expires { default off; text/html epoch; # No cachear HTML (dinámico) text/css max; # Cachear CSS al máximo application/javascript max; # Cachear JS al máximo ~image/ max; # Cachear imágenes al máximo } ## # Configuración de Hosts Virtuales ## include /etc/nginx/conf.d/*.conf; include /etc/nginx/sites-enabled/*; } Permisos y propiedad del caché de Nginx Para que Nginx funcione correctamente con la configuración de caché definida, los directorios implicados deben tener los permisos y propiedad adecuados: Propiedad (Owner y Grupo) Propietario : El usuario con el que se ejecuta Nginx (típicamente www-data en Ubuntu) Grupo : El grupo correspondiente (típicamente www-data en Ubuntu) Permisos recomendados /var/cache/nginx : 750 (drwxr-x---) /var/cache/nginx/temp : 750 (drwxr-x---) Comandos para establecer estos permisos # Crear los directorios si no existen mkdir -p /var/cache/nginx/temp # Establecer la propiedad correcta chown -R www-data:www-data /var/cache/nginx # Establecer los permisos adecuados chmod 750 /var/cache/nginx chmod 750 /var/cache/nginx/temp Estos permisos garantizan que los directorios sean accesibles únicamente por el usuario que ejecuta Nginx, mejorando la seguridad del sistema al evitar accesos no autorizados a posible información sensible almacenada en caché. Configuración de los Virtual Hosts Existen dos enfoques para gestionar los archivos de configuración de hosts virtuales: 1. Enfoque centralizado (recomendado para entornos de producción) Los archivos de configuración se colocan en /etc/nginx/sites-available/ y se enlazan simbólicamente a /etc/nginx/sites-enabled/ : ln -s /etc/nginx/sites-available/domain.tld.conf /etc/nginx/sites-enabled/ Ventajas: Mayor control y seguridad Centralización de configuraciones Facilita auditorías de seguridad Previene cambios accidentales por usuarios sin privilegios 2. Enfoque por usuario (útil en entornos único administrador) Los archivos se colocan en directorios de usuario y se enlazan a la configuración principal. Limitaciones: Los usuarios sin acceso sudo no podrán: Validar configuraciones con nginx -t Recargar el servicio con systemctl reload nginx Reiniciar el servicio con systemctl restart nginx Configuración inicial (pre-certificado) Antes de obtener el certificado SSL, se debe crear un archivo de configuración sin asignación específica de puertos. Certbot (Let's Encrypt) se encargará de esto durante el proceso de certificación. Ejemplo: server { server_name domain.tld www.domain.tld; root /home/user/web/domain.tld/domain/dist; # Ruta para despliegues JS/VUE/React index index.html; # Es ALTAMENTE RECOMENDABLE activar estas cabeceras de seguridad add_header X-Frame-Options "SAMEORIGIN"; add_header X-Content-Type-Options "nosniff"; charset utf-8; ## Logs ubicados en la carpeta del usuario para facilitar su acceso access_log /home/user/logs/web/domain.tld.log combined; error_log /home/user/logs/web/domain.tld.error.log error; expires $expires; # Utiliza la variable map definida en nginx.conf # Si has compilado y tienes operativo mod_security, descomenta la línea siguiente # include /etc/nginx/modsec/active.conf; location = /favicon.ico { log_not_found off; access_log off; } location = /robots.txt { allow all; log_not_found off; access_log off; } #error_page 404 /index.php; location / { root /home/user/web/domain.tld/domain/dist/; index index.html; try_files $uri $uri/ /index.html; # Configuración para SPAs (React, Vue, etc.) #try_files $uri $uri/ =404; # Alternativa para sitios estáticos location ~* ^.+\.(jpeg|jpg|png|gif|bmp|ico|svg|css|js)$ { access_log off; log_not_found off; expires max; } } # Bloqueo de archivos de configuración sensibles location ~* "/\.(htaccess|htpasswd|env)$" { deny all; return 404; } # Bloqueo de archivos y directorios ocultos location ~ /\.(?!well-known).* { deny all; } } Configuración de la variable $expires Esta variable se declara mediante la directiva map en el archivo nginx.conf . Si no está declarada, su uso generará un error. map $sent_http_content_type $expires { default off; text/html epoch; # No cachear HTML (fecha 1/1/1970) text/css max; # Cachear CSS al máximo application/javascript max; # Cachear JS al máximo ~image/ max; # Cachear imágenes al máximo } Buena práctica : Después de cada modificación, ejecutar nginx -t para verificar la sintaxis de la configuración antes de recargar el servicio. Certificados con Certbot Certbot ya viene instalado en la mayoría de distribuciones modernas. Para nuevas instalaciones, su manual oficial proporciona instrucciones detalladas. Se recomienda crear certificados específicos por dominio en lugar de certificados wildcard: certbot --nginx -d domain.tld -d www.domain.tld Nota : En sistemas con restricciones de red, es necesario abrir temporalmente los puertos 80 y 443 durante el proceso de renovación. PHP Instalado desde el repositorio de Ondrej Surý , específicamente la versión PHP-FPM. Ubicaciones importantes: Configuración de pools: /etc/php/X.X/fpm/pool.d/www.conf (donde X.X es la versión de PHP) Configuración general: /etc/php/X.X/fpm/php.ini Configuración crítica para logging Es esencial modificar la configuración del pool para activar el registro de errores: Editar /etc/php/X.X/fpm/pool.d/www.conf y cambiar: catch_workers_output = yes Sin esta modificación, PHP-FPM no registrará correctamente los errores en los logs de los dominios virtuales, lo que puede dificultar enormemente la depuración. Para más información, consulte PHP log cuando usamos PHP-FPM con host virtuales . JIT Compiler PHP 8.x introduce el compilador JIT (Just-In-Time), que puede mejorar significativamente el rendimiento en determinados escenarios. Sin embargo, puede presentar desafíos durante el desarrollo activo con cambios frecuentes. Para más información sobre la activación y configuración del JIT, consulte Activar PHP8.2 JIT Compiler . Aviso Esta documentación y su contenido, no implica que funcione en tu caso o determinados casos. También implica que tienes conocimientos sobre lo que trata, y que en cualquier caso tienes copias de seguridad. El contenido el contenido se entrega, tal y como está, sin que ello implique ningún obligación ni responsabilidad por parte de Castris Si necesitas soporte profesional puedes contratar con Castris soporte profesional . Gestión de Versiones de PHP en Raspberry Pi Contexto Cuando tienes múltiples versiones de PHP instaladas en tu Raspberry Pi (especialmente usando el repositorio de Ondrej ), necesitas poder cambiar entre ellas según los requisitos de cada proyecto. Verificación inicial Antes de configurar cualquier opción, verifica el estado actual: # Ver versiones de PHP instaladas ls /usr/bin/php* # Ver paquetes PHP instalados apt list --installed | grep php # Verificar versión actual php -v Ejemplo: Instalación de PHP 8.3 (si no está presente) Es un ejemplo, no es para un copy & paste # Actualizar repositorios sudo apt update # Instalar PHP 8.3 y módulos esenciales sudo apt install php8.3 php8.3-cli php8.3-common php8.3-curl php8.3-mbstring php8.3-mysql php8.3-xml # Extensiones adicionales comunes sudo apt install php8.3-gd php8.3-zip php8.3-intl php8.3-bcmath php8.3-sqlite3 Opción 1: Cambio Global con update-alternatives Descripción Cambia la versión predeterminada de PHP para todo el sistema usando el sistema de alternativas de Debian. Configuración # Registrar las versiones disponibles sudo update-alternatives --install /usr/bin/php php /usr/bin/php8.3 83 sudo update-alternatives --install /usr/bin/php php /usr/bin/php8.4 84 # Seleccionar la versión deseada sudo update-alternatives --config php Uso # Cambiar versión interactivamente sudo update-alternatives --config php # Verificar cambio php -v Ventajas Cambio persistente entre sesiones Fácil de cambiar cuando necesites Afecta a todos los scripts y herramientas que usan php Desventajas Cambio global afecta todo el sistema Puede romper scripts que dependen de una versión específica Requiere privilegios administrativos Opción 2: Configuración por Sesión/Proyecto Descripción Configura temporalmente una versión específica de PHP solo para la sesión actual o proyecto específico. Método A: Alias temporal # Crear alias para la sesión actual alias php='/usr/bin/php8.3' # Verificar php -v # El alias se pierde al cerrar la terminal Método B: Script de configuración de proyecto Crea un archivo setup-php.sh en tu directorio de proyecto: #!/bin/bash # setup-php.sh echo "Configurando entorno PHP 8.3 para el proyecto" # Crear aliases temporales alias php='php8.3' alias composer='php8.3 /usr/local/bin/composer' # Verificar configuración echo "Versión PHP activa:" php8.3 -v # Opcional: exportar variables de entorno export PHP_VERSION=8.3 export PHP_BINARY=/usr/bin/php8.3 # Iniciar shell con configuración bash Uso: # Ejecutar el script de configuración source ./setup-php.sh # O hacer ejecutable y ejecutar chmod +x setup-php.sh ./setup-php.sh Método C: Configuración en .bashrc del proyecto # En el directorio del proyecto, crear .bashrc local echo 'alias php="php8.3"' > .bashrc echo 'alias composer="php8.3 /usr/local/bin/composer"' >> .bashrc # Cargar configuración source .bashrc Ventajas No afecta el sistema globalmente Configuración específica por proyecto Fácil de revertir Desventajas Configuración temporal (se pierde al cerrar terminal) Requiere configuración manual para cada proyecto Puede ser inconsistente entre sesiones Opción 3: Uso Directo de Versión Específica Descripción Usa directamente los ejecutables específicos de cada versión sin cambiar configuraciones globales. Uso en scripts # En lugar de usar 'php', usar directamente la versión php8.3 script.php # Para servidor de desarrollo php8.3 -S localhost:8000 # Para composer php8.3 /usr/local/bin/composer install Configuración de shebang en scripts PHP #!/usr/bin/php8.3 ~/bin/php83 << 'EOF' #!/bin/bash exec /usr/bin/php8.3 "$@" EOF # Hacer ejecutable chmod +x ~/bin/php83 # Añadir al PATH (en ~/.bashrc) echo 'export PATH="$HOME/bin:$PATH"' >> ~/.bashrc source ~/.bashrc Uso: # Usar wrapper php83 script.php php83 -S localhost:8000 Ventajas Control total sobre qué versión usar No requiere configuración global Explícito y claro en scripts Desventajas Más verboso Necesitas recordar usar la versión correcta Herramientas como Composer pueden requerir configuración adicional Recomendaciones por Caso de Uso Para desarrollo personal con un proyecto principal Usar Opción 1 (update-alternatives) Cambio fácil y persistente Bueno cuando trabajas principalmente con una versión Para múltiples proyectos con diferentes versiones Usar Opción 2 (configuración por proyecto) Flexibilidad máxima Cada proyecto mantiene su configuración Para scripts de producción o automatización Usar Opción 3 (uso directo) Máxima claridad y control Sin dependencias de configuración del sistema Verificación y Troubleshooting # Verificar versión activa php -v # Verificar módulos instalados php -m # Verificar configuración de PHP php --ini # Ver todas las versiones disponibles ls -la /usr/bin/php* # Verificar composer con versión específica php8.3 /usr/local/bin/composer --version Notas Importantes Módulos y extensiones : Cada versión de PHP tiene sus propios módulos. Asegúrate de instalar las extensiones necesarias para cada versión. Composer : Si usas Composer, puede necesitar configuración específica: # Reinstalar composer para PHP 8.3 php8.3 -r "copy('https://getcomposer.org/installer', 'composer-setup.php');" php8.3 composer-setup.php Servidor web : Si usas Apache o Nginx, la configuración del servidor web es independiente de la versión de CLI. Herramientas de desarrollo : IDEs y editores pueden necesitar configuración específica para reconocer la versión correcta. Esta documentación te permitirá elegir la estrategia más adecuada según tus necesidades específicas de desarrollo. Aviso Esta documentación y su contenido, no implica que funcione en tu caso o determinados casos. También implica que tienes conocimientos sobre lo que trata, y que en cualquier caso tienes copias de seguridad. El contenido el contenido se entrega, tal y como está, sin que ello implique ningún obligación ni responsabilidad por parte de Castris Si necesitas soporte profesional puedes contratar con Castris soporte profesional . Configuración correcta de Let's Encrypt en Webmin con Problema común tras instalación de Webmin Webmin puede venir con certificados SSL preconfigurados (autofirmados) que interfieren con la configuración correcta de Let's Encrypt, causando errores como: Unable to change the --key-type of this certificate because --reuse-key is set Diagnóstico inicial 1. Verificar certificados existentes certbot certificates 2. Identificar conflictos en Webmin Ir a Webmin Configuration → SSL Encryption Verificar si hay certificados autofirmados que no se pueden eliminar desde la interfaz Solución paso a paso Paso 1: Limpieza desde línea de comandos Si existe un certificado conflictivo, eliminarlo completamente: # Listar certificados actuales certbot certificates # Eliminar certificado problemático (reemplazar con tu dominio) certbot delete --cert-name tu-dominio.com Importante : Certbot preguntará confirmación. Responder Y para continuar. Paso 2: Configuración en Webmin Ir a Webmin Configuration → SSL Encryption Seleccionar "Let's Encrypt certificate" Método de validación crítico : Seleccionar "Certbot built-in webserver" Esta opción es más robusta Evita conflictos de directorio Maneja automáticamente puertos 80/443 Introducir tu dominio Hacer click en "Request Certificate" Paso 3: Verificación # Verificar que el certificado se creó correctamente certbot certificates # Verificar que Webmin está usando el certificado correcto systemctl status webmin ¿Por qué "Certbot built-in webserver"? Ventajas sobre "Other webserver document directory": Sin conflictos de directorio : No depende de configuraciones de Apache/Nginx Control total : Certbot maneja temporalmente los puertos necesarios Más limpio : Evita interferencias con otros servicios web Mayor éxito : Funciona incluso cuando hay configuraciones SSL complejas Desventajas: Downtime mínimo : Detiene temporalmente el servicio web (segundos) Puertos requeridos : Necesita acceso libre a puertos 80 y 443 Configuración de renovación automática Months between automatic renewal 2 Renovación manual # Forzar renovación (si faltan menos de 30 días) certbot renew --force-renewal # Renovación específica de un dominio certbot certonly --standalone -d tu-dominio.com --force-renewal Mejores prácticas Antes de solicitar certificado: DNS configurado : Asegurar que el dominio apunta al servidor Firewall : Puertos 80 y 443 abiertos Limpieza : Eliminar certificados conflictivos Configuración recomendada: Método : Certbot built-in webserver Renovación : Automática (certbot.timer) Monitoreo : Verificar expiración mensualmente Comandos de verificación regular: # Estado general certbot certificates # Próximas renovaciones certbot renew --dry-run # Logs de renovación tail -f /var/log/letsencrypt/letsencrypt.log Última actualización: Septiembre 2025 Testeado en: Webmin 2.x, Ubuntu/Debian Aviso Esta documentación y su contenido, no implica que funcione en tu caso o determinados casos. También implica que tienes conocimientos sobre lo que trata, y que en cualquier caso tienes copias de seguridad. El contenido el contenido se entrega, tal y como está, sin que ello implique ningún obligación ni responsabilidad por parte de Castris Si necesitas soporte profesional puedes contratar con Castris soporte profesional . Cosas de relays y postfix Usado en muchos de mis sistemas, aqui algunos tips para smart y postfix Postfix Smart Relay en casos de bloqueo puerto 25 - Configuración Completa Escenario Servidor sin panel de control que necesita enviar correos electrónicos (alertas, notificaciones) pero tiene el puerto 25 bloqueado por el ISP (Hetzner). Solución mediante smart relay a otro servidor Postfix actuando como gateway de salida. Configuración Postfix Smart Relay - Puerto 25 Bloqueado Escenario Servidor sin panel de control que necesita enviar correos electrónicos (alertas, notificaciones) pero tiene el puerto 25 bloqueado por el ISP (Hetzner). Solución mediante smart relay a otro servidor Postfix actuando como gateway de salida. Arquitectura [Servidor Origen] --puerto 587--> [Smart Relay] --puerto 25--> [Internet] (puerto 25 capado) (múltiples ubicaciones) Configuración del Servidor Origen (Cliente) 1. Instalación básica apt-get install postfix mailutils 2. Configuración main.cf # /etc/postfix/main.cf # ⚠️ CRÍTICO: Verificar sintaxis exacta - errores tipográficos causan bucles myhostname = alerts.tudominio.com mydomain = tudominio.com myorigin = alerts.tudominio.com # Debe coincidir exactamente con DKIM # Smart relay relayhost = [ip-smart-relay]:587 # Configuración local mínima inet_interfaces = loopback-only mydestination = localhost, localhost.localdomain local_recipient_maps = local_transport = error:local mail delivery is disabled # ⚠️ IMPORTANTE: Incluir TODAS las IPs que pueden enviar bounces mynetworks = 127.0.0.0/8 [::1]/128 [IP-smart-relay] # TLS para conexión al smart relay smtp_use_tls = yes smtp_tls_security_level = encrypt # ⚠️ NUEVO: Transport maps para evitar bucles de bounces transport_maps = hash:/etc/postfix/transport 3. Transport maps (CRÍTICO para evitar bucles) # /etc/postfix/transport # Mantener correos hacia el propio dominio locales para evitar bucles alerts.tudominio.com local: # Compilar postmap /etc/postfix/transport 4. Aliases básicos # /etc/aliases root: sysadmin@tudominio.com postmaster: sysadmin@tudominio.com # Usuario para descartar bounces automáticos devnull: /dev/null # Aplicar cambios newaliases postfix reload Configuración del Smart Relay 1. Configuración main.cf del smart relay # /etc/postfix/main.cf # Configuración básica myhostname = smart-relay.tudominio.com mydomain = tudominio.com # ⚠️ CRÍTICO: Permitir relay desde IPs específicas mynetworks = 127.0.0.0/8 [::1]/128 [IP-cliente-1] [IP-cliente-2] # Configuración de relay smtpd_relay_restrictions = permit_mynetworks permit_sasl_authenticated defer_unauth_destination # TLS smtpd_use_tls = yes smtpd_tls_cert_file = /etc/ssl/certs/ssl-cert-snakeoil.pem smtpd_tls_key_file = /etc/ssl/private/ssl-cert-snakeoil.key 2. Puerto alternativo en master.cf # /etc/postfix/master.cf # Puerto estándar smtp inet n - y - - smtpd # Puerto alternativo para clientes con puerto 25 capado 587 inet n - y - - smtpd -o smtpd_client_restrictions=permit_mynetworks,reject -o smtpd_tls_security_level=encrypt 3. Gestión de bounces (Prevención de bucles) # /etc/aliases en smart relay devnull: /dev/null bounces: /dev/null # Aplicar newaliases Configuración DNS y Autenticación 1. SPF Record ; Para el dominio principal tudominio.com. IN TXT "v=spf1 ip4:ip-smart-relay-1 ip4:ip-smart-relay-2 -all" ; Para subdominios específicos (IMPORTANTE) alerts.tudominio.com. IN TXT "v=spf1 ip4:ip-smart-relay-1 ip4:ip-smart-relay-2 -all" 2. DKIM Configuration # Instalar herramientas DKIM apt-get install opendkim opendkim-tools # Generar claves opendkim-genkey -t -s mail -d alerts.tudominio.com # ⚠️ IMPORTANTE: El selector debe coincidir con el dominio usado en myorigin 3. DMARC Policy _dmarc.tudominio.com. IN TXT "v=DMARC1; p=quarantine; rua=mailto:dmarc-reports@tudominio.com" Resolución de Problemas Críticos 1. Bucles de correo ("too many hops") Síntoma : Error 5.4.0 "too many hops" Causa : Correos hacia el propio dominio van al smart relay y vuelven Solución : # /etc/postfix/transport en servidor origen alerts.tudominio.com local: # Recompilar postmap /etc/postfix/transport systemctl reload postfix 2. "Relay access denied" Síntoma : 454 4.7.1 Relay access denied Causa : IP del cliente no está en mynetworks del smart relay Diagnóstico : # En smart relay, verificar qué IP se conecta grep "connect from" /var/log/mail.log | grep [IP-problema] # Verificar configuración actual postconf mynetworks Solución : Añadir IP faltante a mynetworks 3. Alias no funciona Síntoma : Los alias no se aplican correctamente Causa común : Errores tipográficos en myorigin Diagnóstico : # Verificar que el alias funciona postalias -q root /etc/aliases # ⚠️ VERIFICAR EXACTITUD de myorigin postconf myorigin # Común: "alertas" vs "alerts", ".co" vs ".com" 4. DKIM/DMARC failures Síntoma : Correos marcados como spam Causa : Desalineación entre From domain y SPF/DKIM Solución : Asegurar que myorigin coincide exactamente con dominio DKIM Testing y Verificación 1. Test de funcionamiento básico # Test desde línea de comandos echo "Test desde $(hostname)" | mail -s "Test Relay" destino@gmail.com # Verificar logs inmediatamente tail -f /var/log/mail.log 2. Test de alias # Envío a root debe ir al alias configurado echo "Test alias" | mail -s "Test root alias" root # Verificar en logs que va al destino correcto 3. Verificación DNS # SPF dig TXT alerts.tudominio.com # DKIM dig TXT mail._domainkey.alerts.tudominio.com # DMARC dig TXT _dmarc.tudominio.com Errores Comunes y Soluciones ❌ Error: myorigin con tipografías # MAL myorigin = alertas.avanzait.co # ← error tipográfico # BIEN myorigin = alerts.avanzait.com ❌ Error: mynetworks incompleto # MAL - falta IP del smart relay mynetworks = 127.0.0.0/8 # BIEN - incluye smart relay para bounces mynetworks = 127.0.0.0/8 [IP-smart-relay] ❌ Error: Sin transport maps Sin transport maps, los correos al propio dominio crean bucles. ✅ Configuración correcta # main.cf transport_maps = hash:/etc/postfix/transport # /etc/postfix/transport alerts.tudominio.com local: Configuración para Aplicaciones Específicas Zabbix # Media Type configuración SMTP server: localhost Port: 25 Email: root@alerts.tudominio.com Authentication: None Security: None CSF (ConfigServer Firewall) Los correos de sistema funcionarán automáticamente una vez configurados los alias correctamente. Eso incluye pruebas de concepto, avisos de CSF, etc. Aplicaciones web (PHP/Python) // PHP ini_set('SMTP', 'localhost'); ini_set('smtp_port', 25); Monitoreo y Mantenimiento 1. Script de monitoreo de colas #!/bin/bash # /usr/local/bin/check-mail-queue.sh QUEUE_SIZE=$(mailq | tail -1 | awk '{print $5}' | tr -d ')') if [ "$QUEUE_SIZE" -gt 50 ]; then echo "ALERT: Mail queue size: $QUEUE_SIZE" | \ mail -s "Mail Queue Alert" admin@tudominio.com fi 2. Verificación periódica de configuración #!/bin/bash # Verificar configuraciones críticas echo "=== Verificación Postfix ===" echo "myorigin: $(postconf myorigin)" echo "relayhost: $(postconf relayhost)" echo "mynetworks: $(postconf mynetworks)" echo "transport_maps: $(postconf transport_maps)" 3. Backup de configuración # Script de backup tar -czf /backup/postfix-config-$(date +%Y%m%d).tar.gz \ /etc/postfix/ \ /etc/aliases \ /etc/opendkim/ 2>/dev/null Lista de Verificación Pre-Producción myorigin sin errores tipográficos mynetworks incluye todas las IPs necesarias transport_maps configurado para evitar bucles Aliases funcionando ( postalias -q root /etc/aliases ) SPF record publicado DKIM keys generados y DNS configurado DMARC policy establecida Test de envío exitoso Logs sin errores de relay Smart relay acepta conexiones del cliente Troubleshooting Rápido Bucle detectado Verificar myorigin (sin typos) Configurar transport_maps Verificar mynetworks en ambos servidores Alias no funciona Verificar /etc/aliases Ejecutar newaliases Verificar con postalias -q Relay denied Verificar IP real de conexión en logs Añadir IP a mynetworks del smart relay Reload postfix Aviso Legal Esta documentación se proporciona "tal como está" sin garantías. Se recomienda realizar pruebas exhaustivas y mantener copias de seguridad. Para soporte profesional: Castris Soporte Zabbix Cosas de zabbix Mysql-MariaDB Recuperación de MariaDB - Tablas del Sistema Corruptas Incidente Crítico Fecha: 17 de octubre de 2025 Sistema: MariaDB 11.8.3-MariaDB-ubu2404 Severidad: ⚠️ Crítica – Servicio no inicia Nivel técnico: Administrador de Sistemas Avanzado (leer notas finales) 1. Resumen del Problema El servidor MariaDB no inicia debido a corrupción de tablas del sistema. Error principal: Tablas de sistema implicadas en el fallo múltiple 2025-10-17 6:27:08 3 [ERROR] mariadbd: Got error '144 "Table is crashed and last repair failed"' for './mysql/table_stats' 2025-10-17 6:27:08 3 [ERROR] mariadbd: Table 'table_stats' is marked as crashed and last (automatic?) repair failed 2025-10-17 6:27:08 3 [ERROR] mariadbd: Got error '144 "Table is crashed and last repair failed"' for './mysql/table_stats' 2025-10-17 6:27:08 3 [ERROR] mariadbd: Table 'table_stats' is marked as crashed and last (automatic?) repair failed 2025-10-17 6:27:08 3 [ERROR] mariadbd: Table './sitelight2_ma3/ma_api_token_table' is marked as crashed and last (automatic?) repair failed 2025-10-17 6:27:12 4 [ERROR] mariadbd: Got error '144 "Table is crashed and last repair failed"' for './mysql/column_stats' 2025-10-17 6:27:12 4 [ERROR] mariadbd: Got error '144 "Table is crashed and last repair failed"' for './mysql/columns_priv' 2025-10-17 6:27:12 4 [ERROR] mariadbd: Got error '144 "Table is crashed and last repair failed"' for './mysql/event' 2025-10-17 6:27:12 4 [ERROR] mariadbd: Got error '144 "Table is crashed and last repair failed"' for './mysql/func' 2025-10-17 6:27:12 4 [ERROR] mariadbd: Got error '144 "Table is crashed and last repair failed"' for './mysql/global_priv' 2025-10-17 6:27:12 4 [ERROR] mariadbd: Got error '144 "Table is crashed and last repair failed"' for './mysql/help_category' 2025-10-17 6:27:12 4 [ERROR] mariadbd: Got error '144 "Table is crashed and last repair failed"' for './mysql/help_keyword' 2025-10-17 6:27:12 4 [ERROR] mariadbd: Got error '144 "Table is crashed and last repair failed"' for './mysql/help_relation' 2025-10-17 6:27:12 4 [ERROR] mariadbd: Got error '144 "Table is crashed and last repair failed"' for './mysql/help_topic' 2025-10-17 6:27:12 4 [ERROR] mariadbd: Got error '144 "Table is crashed and last repair failed"' for './mysql/index_stats' 2025-10-17 6:27:12 4 [ERROR] mariadbd: Got error '144 "Table is crashed and last repair failed"' for './mysql/proc' 2025-10-17 6:27:12 4 [ERROR] mariadbd: Got error '144 "Table is crashed and last repair failed"' for './mysql/procs_priv' 2025-10-17 6:27:12 4 [ERROR] mariadbd: Got error '144 "Table is crashed and last repair failed"' for './mysql/proxies_priv' 2025-10-17 6:27:12 4 [ERROR] mariadbd: Got error '144 "Table is crashed and last repair failed"' for './mysql/roles_mapping' 2025-10-17 6:27:12 4 [ERROR] mariadbd: Got error '144 "Table is crashed and last repair failed"' for './mysql/table_stats' 2025-10-17 6:27:12 4 [ERROR] mariadbd: Got error '144 "Table is crashed and last repair failed"' for './mysql/tables_priv' 2025-10-17 6:27:12 4 [ERROR] mariadbd: Got error '144 "Table is crashed and last repair failed"' for './mysql/time_zone' 2025-10-17 6:27:12 4 [ERROR] mariadbd: Got error '144 "Table is crashed and last repair failed"' for './mysql/time_zone_leap_second' 2025-10-17 6:27:12 4 [ERROR] mariadbd: Got error '144 "Table is crashed and last repair failed"' for './mysql/time_zone_name' 2025-10-17 6:27:12 4 [ERROR] mariadbd: Got error '144 "Table is crashed and last repair failed"' for './mysql/time_zone_transition' 2025-10-17 6:27:12 4 [ERROR] mariadbd: Got error '144 "Table is crashed and last repair failed"' for './mysql/time_zone_transition_type' 2025-10-17 6:27:12 4 [ERROR] mariadbd: Got error '144 "Table is crashed and last repair failed"' for './mysql/global_priv' 2025-10-17 6:28:01 5 [ERROR] mariadbd: Got error '144 "Table is crashed and last repair failed"' for './mysql/table_stats' 2025-10-17 6:28:01 5 [ERROR] mariadbd: Table 'table_stats' is marked as crashed and last (automatic?) repair failed 2025-10-17 6:28:01 5 [ERROR] mariadbd: Got error '144 "Table is crashed and last repair failed"' for './mysql/table_stats' 2025-10-17 6:28:01 5 [ERROR] mariadbd: Table 'table_stats' is marked as crashed and last (automatic?) repair failed 2025-10-17 6:28:01 5 [ERROR] mariadbd: Got error '144 "Table is crashed and last repair failed"' for './mysql/table_stats' 2025-10-17 6:28:01 5 [ERROR] mariadbd: Table 'table_stats' is marked as crashed and last (automatic?) repair failed 2025-10-17 6:28:01 5 [ERROR] mariadbd: Got error '144 "Table is crashed and last repair failed"' for './mysql/table_stats' 2025-10-17 6:28:01 5 [ERROR] mariadbd: Table 'table_stats' is marked as crashed and last (automatic?) repair failed 2025-10-17 6:29:01 6 [ERROR] mariadbd: Got error '144 "Table is crashed and last repair failed"' for './mysql/table_stats' 2025-10-17 6:29:01 6 [ERROR] mariadbd: Table 'table_stats' is marked as crashed and last (automatic?) repair failed 2025-10-17 6:29:01 6 [ERROR] mariadbd: Got error '144 "Table is crashed and last repair failed"' for './mysql/table_stats' 2025-10-17 6:29:01 6 [ERROR] mariadbd: Table 'table_stats' is marked as crashed and last (automatic?) repair failed 2025-10-17 6:29:01 6 [ERROR] mariadbd: Got error '144 "Table is crashed and last repair failed"' for './mysql/table_stats' 2025-10-17 6:29:01 6 [ERROR] mariadbd: Table 'table_stats' is marked as crashed and last (automatic?) repair failed 2025-10-17 6:29:01 6 [ERROR] mariadbd: Got error '144 "Table is crashed and last repair failed"' for './mysql/table_stats' 2025-10-17 6:29:01 6 [ERROR] mariadbd: Table 'table_stats' is marked as crashed and last (automatic?) repair failed 2025-10-17 6:29:24 43 [Note] Found 15228 of 2114 rows when repairing './sitelight2_ma3/ma_api_token_table' 2025-10-17 6:29:29 150 [Note] Found 3138 of 2928 rows when repairing './sitelight2_matest/ma_bug_file_table' Tablas afectadas: mysql.plugin mysql.servers mysql.db mysql.proxies_priv ... 2. Estado del Servicio Active: failed (Result: exit-code) Main PID: 1101684 (code=exited, status=1/FAILURE) Status: "MariaDB server is down" 3. Análisis Preliminar 3.1. Secuencia del log: Inicio normal de InnoDB: buffer pool y undo tablespaces OK Resize de redo log: 96MB → 16MB (LSN=1718365178) Socket creado en 0.0.0.0:3306 Falla : Error 144 al abrir tablas de privilegios MariaDB aborta 3.2. Características del entorno: Motor tablas sistema: InnoDB (no MyISAM) Buffer pool: 64MB Instrucciones CPU: AVX512 I/O: io_uring Rollback segments: 128 (en 3 undo tablespaces) 3.3. Causas probables: Apagado inesperado del sistema Fallos de disco (errores I/O) Falta de espacio en disco (Confirmado) Corrupción de memoria Bug en proceso de resize de redo log 4. Plan de Corrección FASE 1: Diagnóstico Inicial # 1. Chequear integridad del sistema df -h /var/lib/mysql dmesg | grep -i "error\|i/o" smartctl -H /dev/sda # 2. Revisar logs tail -200 /var/log/mysql/error.log # 3. Confirmar tipo de archivos cd /var/lib/mysql/mysql/ ls -lh *.ibd | head -20 FASE 2: Backup Preventivo Importante: Realizar backup completo antes de realizar cambios. Opción A local si hay espacio en disco Crea archivo de recuperación: # 1. Verificar espacio disponible df -h /var/lib/ du -sh /var/lib/mysql/ # 2. Realizar backup cd /var/lib/ tar -czf mysql-backup-$(date +%Y%m%d-%H%M%S).tar.gz mysql/ # 3. Verificar integridad del backup tar -tzf mysql-backup-*.tar.gz | head -20 Se entiende que el motor de bases de datos MySQL|MariaDB no esta activo Opción B: Backup Remoto on-the-fly (Espacio local insuficiente) **Escenario: **Incidente causado por falta de espacio en disco, ahora solventado pero insuficiente para crear backup local. Requisito: SSH configurado con autenticación por llave pública. Comando único (one-liner): systemctl stop mariadb && cd /var/lib/ && tar -czf - mysql/ | ssh usuario@servidor-remoto "cat > /backups/mysql-$(hostname)-$(date +%Y%m%d-%H%M%S).tar.gz" Variantes # Con progreso visual (requiere pv) systemctl stop mariadb && cd /var/lib/ && tar -czf - mysql/ | pv | ssh usuario@servidor-remoto "cat > /backups/mysql-$(hostname)-$(date +%Y%m%d-%H%M%S).tar.gz" # Con compresión paralela (requiere pigz, más rápido) systemctl stop mariadb && cd /var/lib/ && tar -cf - mysql/ | pigz | ssh usuario@servidor-remoto "cat > /backups/mysql-$(hostname)-$(date +%Y%m%d-%H%M%S).tar.gz" # Con SSH optimizado para transferencia rápida systemctl stop mariadb && cd /var/lib/ && tar -czf - mysql/ | ssh -c aes128-gcm@openssh.com -o Compression=no usuario@servidor-remoto "cat > /backups/mysql-$(hostname)-$(date +%Y%m%d-%H%M%S).tar.gz" Verificación del remoto # Listar archivo creado ssh usuario@servidor-remoto "ls -lh /backups/mysql-*" # Verificar integridad ssh usuario@servidor-remoto "tar -tzf /backups/mysql-*.tar.gz | head -20" FASE 3: Arranque en Modo Recovery (innodb_force_recovery) c# Crear archivo de configuración de recuperación cat > /etc/my.cnf.d/recovery.cnf << 'EOF' [mysqld] innodb_force_recovery = 1 EOF # Intentar inicio systemctl start mariadb systemctl status mariadb Aumenta el valor de innodb_force_recovery (1→6) si sigue fallando. Referencia rápida: Valor Función 1 Ignora páginas corruptas 2 Deshabilita hilos en background 3 No ejecuta rollback de transacciones 4 No merge de insert buffer 5 No escaneo undo log 6 No aplica redo log (Modo Solo Lectura Crítico) FASE 4: Reparación de Tablas Con servidor en recovery se aconseja el script si hay muchas tablas Se puede modificar para añadir las tablas que pudieran faltar en el ejemplo #!/bin/bash # Script de reparación masiva de tablas MariaDB # Usar con MariaDB ya iniciado en modo recovery # reparir_mariadb.sh set -e RED='\033[0;31m' GREEN='\033[0;32m' YELLOW='\033[1;33m' NC='\033[0m' # No Color echo -e "${GREEN}=== Script de reparación masiva MariaDB ===${NC}\n" # Verificar que MySQL esté corriendo if ! mysqladmin ping &>/dev/null; then echo -e "${RED}ERROR: MariaDB no está corriendo${NC}" echo "Asegúrate de que esté iniciado en modo recovery" exit 1 fi # Conectar a MySQL y obtener lista de todas las tablas corruptas echo -e "${YELLOW}Identificando tablas corruptas...${NC}" # Crear script SQL temporal cat > /tmp/repair_all.sql << 'SQLEOF' -- Seleccionar base de datos mysql USE mysql; -- Intentar reparar todas las tablas del sistema REPAIR TABLE column_stats; REPAIR TABLE columns_priv; REPAIR TABLE db; REPAIR TABLE event; REPAIR TABLE func; REPAIR TABLE general_log; REPAIR TABLE global_priv; REPAIR TABLE gtid_slave_pos; REPAIR TABLE help_category; REPAIR TABLE help_keyword; REPAIR TABLE help_relation; REPAIR TABLE help_topic; REPAIR TABLE host; REPAIR TABLE index_stats; REPAIR TABLE innodb_index_stats; REPAIR TABLE innodb_table_stats; REPAIR TABLE plugin; REPAIR TABLE proc; REPAIR TABLE procs_priv; REPAIR TABLE proxies_priv; REPAIR TABLE roles_mapping; REPAIR TABLE servers; REPAIR TABLE slow_log; REPAIR TABLE table_stats; REPAIR TABLE tables_priv; REPAIR TABLE time_zone; REPAIR TABLE time_zone_leap_second; REPAIR TABLE time_zone_name; REPAIR TABLE time_zone_transition; REPAIR TABLE time_zone_transition_type; REPAIR TABLE transaction_registry; REPAIR TABLE user; -- Mostrar estado SELECT 'Reparación de tablas del sistema completada' AS Status; SQLEOF # Ejecutar reparación echo -e "${YELLOW}Ejecutando reparación de tablas del sistema...${NC}" mysql -u root < /tmp/repair_all.sql 2>&1 | tee /tmp/repair_output.log # Reparar tablas de todas las bases de datos echo -e "\n${YELLOW}Obteniendo lista de todas las bases de datos...${NC}" DBS=$(mysql -u root -Bse "SHOW DATABASES;" 2>/dev/null | grep -v -E "^(information_schema|performance_schema|sys)$") for db in $DBS; do echo -e "\n${GREEN}=== Procesando base de datos: $db ===${NC}" # Obtener tablas de esta BD TABLES=$(mysql -u root -D "$db" -Bse "SHOW TABLES;" 2>/dev/null) if [ -z "$TABLES" ]; then echo -e "${YELLOW} No hay tablas en $db${NC}" continue fi for table in $TABLES; do echo -n " Reparando $db.$table ... " # Intentar reparar RESULT=$(mysql -u root -D "$db" -e "REPAIR TABLE \`$table\`;" 2>&1) if echo "$RESULT" | grep -q "OK\|Already up to date"; then echo -e "${GREEN}OK${NC}" else echo -e "${RED}FAILED${NC}" echo "$RESULT" >> /tmp/repair_failed.log fi done done # Resumen echo -e "\n${GREEN}=== Resumen de reparación ===${NC}" echo -e "Log completo: /tmp/repair_output.log" if [ -f /tmp/repair_failed.log ]; then echo -e "${RED}Tablas que fallaron: /tmp/repair_failed.log${NC}" echo -e "\n${YELLOW}Tablas con errores:${NC}" cat /tmp/repair_failed.log else echo -e "${GREEN}Todas las tablas reparadas exitosamente${NC}" fi # Optimizar tablas después de reparar echo -e "\n${YELLOW}¿Deseas optimizar todas las tablas? (s/n)${NC}" read -r optimize if [ "$optimize" = "s" ]; then echo -e "${YELLOW}Optimizando tablas...${NC}" for db in $DBS; do echo -e "${GREEN}Optimizando base de datos: $db${NC}" TABLES=$(mysql -u root -D "$db" -Bse "SHOW TABLES;" 2>/dev/null) for table in $TABLES; do echo -n " Optimizando $db.$table ... " mysql -u root -D "$db" -e "OPTIMIZE TABLE \`$table\`;" &>/dev/null && echo -e "${GREEN}OK${NC}" || echo -e "${YELLOW}SKIP${NC}" done done fi echo -e "\n${GREEN}=== Proceso completado ===${NC}" echo -e "${YELLOW}Siguiente paso: Detener modo recovery y reiniciar MariaDB normalmente${NC}" # Limpiar rm -f /tmp/repair_all.sql FASE 5: Salida del Modo Recovery y Upgrade de Sistema rm -f /etc/my.cnf.d/recovery.cnf systemctl restart mariadb mysql_upgrade --force -u root -p # Importante tras desastre con tablas de sistemas systemctl restart mariadb systemctl status mariadb mysql -u root -e "SELECT VERSION(); SHOW DATABASES;" 5. Contingencias En caso de no finalizar la solución propuesta es hora de tirar de backups. A) Instancia nueva y recuperación manual tar -czf mysql-critical-backup-$(date +%Y%m%d-%H%M%S).tar.gz /var/lib/mysql/ mv /var/lib/mysql /var/lib/mysql.corrupted mysql_install_db --user=mysql --datadir=/var/lib/mysql systemctl start mariadb # Restaurar datos desde backup/ibd/dump si es posible B) Recuperar desde backup externo systemctl stop mariadb rm -rf /var/lib/mysql tar -xzf /ruta/al/backup.tar.gz -C /var/lib/ chown -R mysql:mysql /var/lib/mysql systemctl start mariadb 6. Verificación Post-Recuperación mysqlcheck --all-databases --check -u root -p mysql -u root -e "USE mysql; SHOW TABLES;" mysql -u root -e "SELECT user,host FROM mysql.user;" tail -100 /var/log/mysql/error.log | grep -i error Realizar prueba de conexión desde aplicaciones (paneles de control, etc) 7. Notas y Referencias Técnicas Desde MariaDB 10.4 las tablas del sistema usan InnoDB, myisamchk ya no es válido innodb_force_recovery es crítico en estos casos [Referencia][1] Logs principales: /var/log/mysql/error.log , journalctl -u mariadb.service , /var/log/syslog Herramientas avanzadas: innochecksum /var/lib/mysql/mysql/db.ibd innochecksum /var/lib/mysql/ib_logfile0 mysql -u root -e "SELECT * FROM information_schema.innodb_sys_tables WHERE name LIKE 'mysql/%';" Notas finales Este documento, requiere cierto grado de madurez en la administración de sistemas. No es apto para un copy & paste Referencias MariaDB InnoDB Recovery innodb_force_recovery Documentation Repair Table Documento actualizado: 17 de octubre de 2025 Autoría: Administración de Sistemas – Abdelkarim Mateos Aviso Esta documentación y su contenido, no implica que funcione en tu caso o determinados casos. También implica que tienes conocimientos sobre lo que trata, y que en cualquier caso tienes copias de seguridad. El contenido el contenido se entrega, tal y como está, sin que ello implique ningún obligación ni responsabilidad por parte de Castris Si necesitas soporte profesional puedes contratar con Castris soporte profesional . Utilidades Un paquete de utulidades para la administracion de sistemas, con foco en backups de diversos tipos y sitauaciones. Sistema de backup pull para Proxmox VE Sistema de backup basado en snapshots LVM para maquinas virtuales en Proxmox VE. Utiliza una arquitectura pull donde el servidor de storage inicia las conexiones SSH hacia Proxmox y tira de los datos. El servidor Proxmox nunca tiene acceso de escritura al storage. Motivacion El modelo tradicional push (Proxmox envia al storage) tiene un problema de seguridad critico: si el servidor Proxmox es comprometido, el atacante tiene credenciales SSH con acceso de escritura al storage y puede destruir todos los backups. Con el modelo pull : Proxmox no conoce las credenciales del storage Proxmox no puede escribir ni borrar en el storage Solo el storage decide cuando y que se respalda Un Proxmox comprometido no puede destruir los backups existentes Arquitectura A partir de v2.0.0 el flujo es por VM en vez de por disco individual. Para VMs con multiples discos, todos los snapshots se crean atomicamente antes de transferir cualquier dato, garantizando consistencia temporal. Desde v2.1.0, un lock distribuido permite que multiples storages respalden el mismo Proxmox sin colisiones. Storage Server Proxmox Server | | |-- ssh "list" ------------------------>| (inventario de VMs) |<-- CSV: vmid,status,vg,lv,size -------| | | | Para cada VM: | |-- ssh "snapshot-vm | | " ------>| (lock distribuido + snapshots atomicos) |<-- manifest: snap_name,vg,lv,size ----| | | | Para cada disco en manifest: | |-- ssh "stream-disk " ----->| (stream comprimido dd|pigz) |<------------ compressed stream -------| |-- verifica PIPESTATUS + tamano | | | | Si TODOS los discos OK: | |-- mv atomico incoming/ -> snapshots/ | |-- prune copias antiguas | | | | Si ALGUN disco falla: | |-- elimina TODO incoming/ de esta VM | |-- backup previo en snapshots/ intacto | | | | SIEMPRE: | |-- ssh "cleanup-vm | | " ----------------->| (elimina snapshots + libera lock) Consistencia multi-disco (v2.0.0) El problema que resuelve v2.0.0: en versiones anteriores, los snapshots se creaban uno a uno (snapshot disk0 → transfer disk0 → cleanup disk0 → snapshot disk1 → transfer disk1). Para VMs con multiples discos, los snapshots capturaban diferentes instantes, produciendo backups inconsistentes. La solucion: snapshot-vm crea TODOS los snapshots en sucesion rapida (milisegundos entre ellos) Si algun snapshot falla, rollback automatico de los ya creados Los streams se transfieren secuencialmente pero desde snapshots del mismo instante cleanup-vm elimina todos los snapshots al final Semantica all-or-nothing Un backup parcial de VM es inutil (disk0 de hoy y disk1 de ayer) snapshots/ siempre contiene conjuntos completos Si ANY disco falla: se borra todo el incoming de esa VM, el backup anterior queda intacto Prune solo ejecuta tras exito total Validacion de integridad (v2.1.2) La compresion se realiza on-the-fly en el pipeline SSH: dd if=/dev/vg/snap bs=16M | pigz -c -p4 -3 . Los errores del pipeline se detectan via PIPESTATUS inmediatamente. No se ejecuta verificacion post-transferencia ( pigz -t ) porque: Re-leer ficheros de 93GB+ desde disco mecanico (30-40 MB/s) tarda 40-50 minutos Es redundante: si el pipeline falla, PIPESTATUS lo captura La verificacion de integridad de backups pertenece a auditorias periodicas, no al flujo diario Lock distribuido (v2.1.0) Cuando multiples storages respaldan el mismo Proxmox, un lock distribuido previene colisiones: Ficheros lock en /run/pull-backup/vm-{vmid}.lock en Proxmox Adquisicion atomica via ln (hard link, falla con EEXIST si ya existe) Contenido: caller_id , timestamp, TTL VM bloqueada por otro storage: skip limpio (exit 80, VM_LOCKED ) Locks expirados (mas antiguos que lock_ttl ) se limpian automaticamente Solo el caller que creo el lock puede liberarlo Configuracion : caller_id (unico por storage) y lock_ttl (segundos) en pull-backup.cfg . Sin caller_id , el lock se desactiva (modo single-storage). Componentes Componente Version Ubicacion Funcion proxmox-backup-helper.sh 2.1.1 Proxmox: ~/utilidades/proxmox-backup/pull/ (repo clonado) Manejador SSH restringido con 13 comandos, lock distribuido proxmox-pull-backup.sh 2.1.2 Storage: ~/utilidades/proxmox-backup/pull/ (repo clonado) Orquestador de backups (flujo por VM, lock distribuido) proxmox-pull-restore.py 1.0.0 Storage: mismo directorio Herramienta de restauracion (Python 3.6+) backup-access-shell.sh 1.0.0 Storage: mismo directorio Shell de solo lectura para restore install-pull-backup.sh 1.0.0 Storage: mismo directorio Instalador automatizado IMPORTANTE : Todos los scripts se ejecutan desde el repo clonado ( ~/utilidades/proxmox-backup/pull/ ). Nunca copiar a /usr/local/bin/ ni a otra ruta del sistema. Un git pull actualiza todo. Requisitos previos Proxmox : Version 7.x, 8.x o 9.x con almacenamiento LVM Storage : Servidor Linux con espacio suficiente Ambos servidores : pigz instalado ( apt-get install pigz ) Storage : Python 3.6+ (solo stdlib, sin dependencias externas) Red : Acceso SSH desde storage hacia Proxmox Instalacion Paso 1: Clonar el repositorio en ambos servidores En Proxmox (como root): cd ~ git clone utilidades En storage (como usuario de backup, NO root): cd ~ git clone utilidades Paso 2: Instalar pigz en ambos servidores apt-get install -y pigz Paso 3: Generar clave SSH y configurar acceso En el storage: cd ~/utilidades/proxmox-backup/pull mkdir -p keys ssh-keygen -t ed25519 -f keys/id_pull_backup -N "" -C "pull-backup@$(hostname)" Copiar la clave publica al Proxmox con restriccion command= : # En /root/.ssh/authorized_keys del Proxmox: command="/root/utilidades/proxmox-backup/pull/proxmox-backup-helper.sh",no-port-forwarding,no-X11-forwarding,no-agent-forwarding,no-pty ssh-ed25519 AAAA... pull-backup@mystor01 Paso 4: Crear la configuracion cd ~/utilidades/proxmox-backup/pull cp config/pull-backup.cfg.example config/pull-backup.cfg cp config/proxmox_hosts.cfg.example hosts/proxmox_hosts.cfg Editar config/pull-backup.cfg : # Directorios incoming_dir="/srv/storage/backups_kvm/incoming" final_dir="/srv/storage/backups_kvm/snapshots" # Retencion numcopias=3 # Snapshots snapshot_pct=15 # Porcentaje del LV para snapshot default_vm_scope="all" # "all" = descubre todas las VMs; "none" = requiere filtro # Rendimiento min_speed_mbs=150 # MB/s minimos esperados (para timeout dinamico) min_free_gb=500 # GB libres requeridos (ademas del tamano estimado) ssh_timeout=30 # Timeout SSH en segundos # Lock distribuido (v2.1.0+, obligatorio si hay multiples storages) caller_id="mystor01" # Identificador unico de este storage lock_ttl=7200 # TTL del lock en segundos (2h) # Permisos de ficheros file_owner="backupuser:backupuser" # chown tras escribir # Notificaciones (solo en errores) correo="admin@example.com" Editar hosts/proxmox_hosts.cfg : # name,host,port,key_file,disks_file myprox01,10.0.0.1,22,keys/id_pull_backup, El campo disks_file es opcional desde v2.0.0. Con default_vm_scope="all" , el orquestador descubre automaticamente todas las VMs activas. Paso 5: Crear directorios de datos mkdir -p /srv/storage/backups_kvm/incoming mkdir -p /srv/storage/backups_kvm/snapshots mkdir -p ~/utilidades/proxmox-backup/pull/logs Paso 6: Verificar conectividad cd ~/utilidades/proxmox-backup/pull ./proxmox-pull-backup.sh --host myprox01 --verbose --dry-run Paso 7: Configurar cron # Backup diario a las 02:00 UTC crontab -e 0 2 * * * ~/utilidades/proxmox-backup/pull/proxmox-pull-backup.sh >> ~/utilidades/proxmox-backup/pull/logs/cron.log 2>&1 IMPORTANTE con multiples storages : escalonar los crons con al menos 15 minutos de diferencia. Aunque el lock distribuido previene colisiones, la separacion temporal reduce contention. Actualizacion cd ~/utilidades git pull No requiere reinicio. Los scripts se invocan frescos en cada ejecucion. Uso diario Ejecutar backup manual cd ~/utilidades/proxmox-backup/pull # Dry-run (no ejecuta nada, muestra lo que haria) ./proxmox-pull-backup.sh --host myprox01 --verbose --dry-run # Backup real de todas las VMs de un host ./proxmox-pull-backup.sh --host myprox01 --verbose # Backup de una VM especifica ./proxmox-pull-backup.sh --host myprox01 --vm 104 --verbose # Backup de varias VMs (separadas por coma o repetido) ./proxmox-pull-backup.sh --host myprox01 --vm 104,203 --verbose # Backup de todos los hosts configurados ./proxmox-pull-backup.sh --verbose Listar backups disponibles python3 proxmox-pull-restore.py --config config/pull-backup.cfg list # Filtrar por host python3 proxmox-pull-restore.py --config config/pull-backup.cfg list --host myprox01 # Filtrar por VM python3 proxmox-pull-restore.py --config config/pull-backup.cfg list --vm 316 Restaurar una VM Escenario A: la VM existe y esta parada (sobreescribe los discos): python3 proxmox-pull-restore.py --config config/pull-backup.cfg \ restore --host myprox01 --vm 316 --data-only Escenario B: la VM no existe (crea LV, config y restaura datos): python3 proxmox-pull-restore.py --config config/pull-backup.cfg \ restore --host myprox01 --vm 316 --from-scratch Restaurar desde una fecha concreta : python3 proxmox-pull-restore.py --config config/pull-backup.cfg \ restore --host myprox01 --vm 316 --date 2026-02-08 Restaurar varias VMs en paralelo : python3 proxmox-pull-restore.py --config config/pull-backup.cfg \ restore --host myprox01 --vm 316 900 --workers 2 IMPORTANTE : el argumento --config va ANTES del subcomando ( list , restore ). Modelo de seguridad Lado Proxmox El helper ( proxmox-backup-helper.sh ) se ejecuta exclusivamente via la restriccion command= en authorized_keys . Esto significa que cualquier conexion SSH con esa clave ejecuta el helper, ignorando el comando solicitado por el cliente. El helper valida cada argumento con expresiones regulares estrictas: Volume groups : solo alfanumericos, guiones y guiones bajos Logical volumes : solo patron vm-\d+-disk-\d+ Snapshot names : solo patron snap-\d+-disk\d+ VMIDs : solo numeros entre 100 y 999999 Snapshot porcentaje : solo numeros entre 1 y 100 caller_id : solo alfanumericos, guiones y guiones bajos (v2.1.0) Comandos no reconocidos se rechazan con error. Todas las operaciones se registran en syslog. Lado Storage El storage inicia todas las conexiones. Proxmox nunca se conecta al storage para los backups. El unico acceso inverso (Proxmox hacia storage) es para restore, y se canaliza a traves de backup-access-shell.sh que solo permite operaciones de lectura (pigz -dc, ls, test, cat, du) y valida rutas con readlink -f contra symlinks maliciosos. Estructura de ficheros En el servidor de storage ~/utilidades/proxmox-backup/pull/ proxmox-pull-backup.sh # Orquestador v2.1.2 proxmox-pull-restore.py # Herramienta de restore backup-access-shell.sh # Shell read-only install-pull-backup.sh # Instalador config/ pull-backup.cfg # Configuracion principal (gitignored) pull-backup.cfg.example # Template (versionado) hosts/ proxmox_hosts.cfg # Inventario de hosts (gitignored) disks_myprox01.txt # (Opcional) filtro de discos (gitignored) keys/ id_pull_backup # Clave privada SSH (gitignored) id_pull_backup.pub # Clave publica SSH (gitignored) logs/ pull-backup-YYYY-MM-DD.log # Log diario (gitignored) cron.log # Log de cron (gitignored) En el servidor Proxmox ~/utilidades/proxmox-backup/pull/ proxmox-backup-helper.sh # Helper restringido v2.1.1 /root/.ssh/authorized_keys # Clave con command= /run/pull-backup/ # Lock files distribuidos (runtime) Directorio de backups /srv/storage/backups_kvm/ incoming/ # Transferencias en curso snapshots/ kvm-104-disk0.2026-02-26-10-00-12.gz # Disco 0 comprimido kvm-104-disk1.2026-02-26-10-00-12.gz # Disco 1 (mismo timestamp) kvm-104.conf.2026-02-26-10-00-12 # Config de la VM Nomenclatura de ficheros kvm-{vmid}-disk{N}.{YYYY-MM-DD-HH-MM-SS}.gz # Discos kvm-{vmid}.conf.{YYYY-MM-DD-HH-MM-SS} # Configuraciones Comandos del helper El helper v2.1.1 acepta 13 comandos, todos validados con regex: Comando Argumentos Funcion list (ninguno) Lista VMs activas con discos LVM list-all (ninguno) Lista TODAS las VMs (incluidas paradas) list-snapshots (ninguno) Lista snapshots activos (deteccion de huerfanos) snapshot-vm vmid porcentaje [force] [caller_id] [lock_ttl] Adquiere lock distribuido (si caller_id), crea snapshots atomicos de TODOS los discos. Devuelve manifest stream-disk vg snap_name Envia stream comprimido ( dd | pigz ) de un snapshot cleanup-vm vmid [caller_id] Elimina TODOS los snapshots de una VM y libera lock check-lock vmid Verifica estado del lock distribuido de una VM (v2.1.0) snapshot vg lv porcentaje [force] (Deprecated) Crea snapshot individual y envia stream cleanup vg snap_name Elimina un snapshot LVM individual config vmid Devuelve el fichero de configuracion de la VM restore vg lv Recibe stream comprimido y lo escribe al disco create-disk vg nombre size_gb Crea un nuevo volumen logico restore-config vmid Recibe y escribe la config de la VM Formato del manifest (snapshot-vm) # snap_name,vg,lv,size_gb snap-104-disk0,pve,vm-104-disk-0,150 snap-104-disk1,pve,vm-104-disk-1,125 Opciones del orquestador proxmox-pull-backup.sh [--config ] [--host ] [--vm [,...]] [--dry-run] [--force] [--verbose] --config Fichero de configuracion (default: ./config/pull-backup.cfg) --host Backup solo este host (default: todos los hosts) --vm [,...] Backup solo estas VMs (separadas por coma, repetible) --dry-run Muestra lo que haria sin ejecutar --force Auto-limpieza de snapshots huerfanos en Proxmox --verbose Salida detallada Parametros de configuracion Parametro Default Descripcion incoming_dir (obligatorio) Directorio temporal para transferencias en curso final_dir (obligatorio) Directorio final de backups numcopias 3 Copias a retener por disco snapshot_pct 15 Porcentaje del LV para snapshot default_vm_scope "all" "all" = descubre todas las VMs; "none" = requiere filtro min_speed_mbs 150 MB/s minimos esperados (para timeout dinamico) min_free_gb 1024 GB libres minimos en storage (ademas del tamano estimado) force_orphan_cleanup 0 Auto-limpiar snapshots huerfanos (1 = activado) caller_id "" Identificador de este storage (obligatorio para multi-storage) lock_ttl 7200 TTL del lock distribuido en segundos file_owner "" user:group para chown tras escritura (ej: backupuser:backupuser ) correo "" Email para notificaciones de error (nunca en exito) ssh_timeout 30 Timeout de conexion SSH en segundos Funcionalidades avanzadas Descubrimiento dinamico (v2.0.0) Con default_vm_scope="all" en la config, el orquestador descubre automaticamente todas las VMs activas usando el comando list del helper. Los ficheros disks_*.txt pasan a ser opcionales (filtro de exclusion, no inventario obligatorio). Timeout dinamico El timeout de cada transferencia se calcula automaticamente segun el tamano del disco: timeout = (tamano_disco_gb * 1024) / min_speed_mbs Con un minimo de 300 segundos. Para un disco de 150GB a 150 MB/s el timeout es ~17 minutos. Deteccion de snapshots huerfanos Antes de procesar cada host, el orquestador ejecuta list-snapshots y compara con los snapshots esperados. Los huerfanos (de ejecuciones previas fallidas) se limpian automaticamente si force_orphan_cleanup=1 . Estimacion de tamano Si existe un backup previo del mismo disco, se usa su tamano como estimacion. Si no, se estima el 50% del tamano raw del disco. Esto se usa para la verificacion de espacio libre. Reintentos Si un backup falla, se reintenta una vez tras 10 minutos de espera. Solo se reporta error si el segundo intento tambien falla. Si falla el reintento, la VM completa se marca como fallida (all-or-nothing). Pruning automatico Tras completar los backups, se mantienen solo las ultimas numcopias copias de cada disco. Las configs asociadas a backups eliminados tambien se limpian. Rendimiento validado Produccion (marzo 2026, v2.1.2) VM Discos Comprimido Tiempo total Velocidad Ruta KVM 104 2 (150+125 GB) 93 GB 14.5 min 106-111 MB/s avanza01 → stor01avanzait KVM 203 2 (85+50 GB) 39 GB ~12 min 56-76 MB/s avanza01 → stor01avanzait KVM 100 1 (620 GB) 415 GB 30 min 233 MB/s indivaprox0 → localstor (local) KVM 101 1 (260 GB) 114 GB 10 min 187 MB/s indivaprox0 → localstor (local) Mejora v2.1.2 : La eliminacion de la verificacion pigz -t post-transferencia redujo el tiempo total de KVM 104 de ~61 min (v2.0.0) a ~14.5 min — aceleracion de 4x. La integridad de la compresion se valida on-the-fly via PIPESTATUS del pipeline dd | pigz . Staging (febrero 2026) Operacion Disco Tiempo Velocidad Resultado Backup 5GB 11s 6 MB/s 73MB comprimido Restore data-only 5GB 10s 7 MB/s OK Restore from-scratch 5GB 9s 7 MB/s LV + config + datos Deteccion huerfanos -- instantaneo -- Auto-limpieza Pruning 4 a 3 copias -- <1s -- Retencion exacta Despliegues actuales Storage Host Proxmox VMs Cron (UTC) Version localstor (stor00) indivaprox0 KVM 100 (1d, 620GB), KVM 101 (1d, 260GB) 22:00 VM100, 23:15 VM101 v2.1.2 stor01 indivaprox0 todas (dynamic discovery) 02:00 v2.1.2 stor01avanzait avanza01 KVM 104 (2d), KVM 203 (2d) 10:00 v2.1.2 Troubleshooting El backup genera un fichero .gz invalido Causa : Los comandos lvcreate / lvremove escriben mensajes a stdout que contaminan el stream gzip. Solucion : Verificar que el helper redirige stdout de lvm a stderr ( >&2 ). Actualizar el helper a v2.1.1+. VM bloqueada por otro storage (exit 80) Causa : Otro storage esta respaldando esa VM. El lock distribuido (v2.1.0) previene la colision. Solucion : Es un comportamiento correcto. La VM se salta limpiamente y se respalda en la siguiente ejecucion. Si el lock es huerfano (proceso anterior murio), esperar a que expire el TTL (default 2h) o limpiar manualmente: ssh -i keys/id_pull_backup proxmox "cleanup-vm " Snapshot/lock huerfano tras matar un proceso Causa : Si se mata el proceso del orquestador (kill -9), pueden quedar snapshots y locks huerfanos en Proxmox. Solucion : Limpiar manualmente: ssh -i keys/id_pull_backup proxmox "cleanup-vm " Timeout en backups de discos grandes Causa : El timeout dinamico depende de min_speed_mbs en la config. Solucion : Reducir min_speed_mbs si la red es lenta. Por ejemplo, para 50 MB/s reales: min_speed_mbs=40 # Dejar margen del 20% Snapshot overflow (snap_percent=100) Causa : El disco recibe mas escrituras de las esperadas durante la transferencia, llenando el snapshot COW. Solucion : Aumentar snapshot_pct en la config (default: 15). Para VMs con alta actividad de I/O, usar 20-25. El restore dice "pigz: unrecognized format" Causa : El fichero .gz esta corrupto. Solucion : Rehacer el backup con el helper v2.1.1+. Repositorio El codigo fuente esta en el repositorio utilidades bajo proxmox-backup/pull/ . Documentacion completa: proxmox-backup/README.md y proxmox-backup/docs/SPEC-pull-backup-architecture.md . Historial de versiones Version Fecha Cambio principal 2.1.2 2026-03-02 Eliminada verificacion pigz -t post-transferencia (aceleracion 4x en disco mecanico) 2.1.1 2026-03-01 9 bugs corregidos: race condition TOCTOU en lock, set +e en pipelines, globals stale, etc. 2.1.0 2026-03-01 Lock distribuido para prevencion de colisiones multi-storage 2.0.0 2026-02-26 Snapshots atomicos multi-disco, flujo per-VM, all-or-nothing, snapshot-vm/stream-disk/cleanup-vm 1.4.0 2026-02-09 Multi-VM filter, dynamic discovery 1.1.0 2026-02-08 Fix stdout pollution en helper, validacion staging 1.0.0 2026-02-08 Primera version funcional Ultima actualizacion Fecha : 2026-03-02 Version : 2.1.2 Autor : Abkrim