Подскажи, ЛОР, а есть ли у dhcpcd или dhclient (isc dhcp) такой параметр, при котором он бы скачивал / показывал настройки сети, ну т.е. IP-адрес, шлюх, маску, DNS, но не применял бы их в систему сразу?

Я бы куда-нибудь складывал настройки со всех интерфейсов (несколько провайдеров + локальные сервера), а потом уже сам бы ручками проходился по ним, по мере отсутствия интернетов.

Вот кстати pppd так умел частично, он resolv.conf сохранял к себе в /etc/ppp/resolv.conf, а уже костыль (скрипт) его перемещал в /etc.

Прорвало что-то, но в общем, вытекая из предыдущего вопроса про удалённое конфигурирование, возник вопрос, почему бы тогда и вовсе не создавать бездисковые ноды.

Архитектура такая. Пусть вся сеть состоит из одного единственного ПК. На ПК установлена система с bind + dhcp, вторая сетевая карточка с выходом на свитч, таким образом подключаясь к свичу ноды становятся частью сети. Это понятно.

Дальше мы хотим расширить сеть, создать кластер, подключить ноды. Собираем новый ПК, подключаем по Ethernet к свичу и всё. Больше его не трогаем, ибо:

* Пакетом Wake-On-Lan включаем ПК удалённо.

* При включении, когда нету дисков, на материнских платах задействуется загрузка по сети, таким образом с настроенным DHCP + TFTP + NFS мы загружаем систему по сети со всей необходимой конфигурацией и софтом.

* Обновляем конфигурацию софта по мере надобности, на выходе имеем неограниченное количество нод под любые задачи, упираясь только в бюджет мамкиного админа локалхоста, уж простите.

Так что, если нужно создать кластер с кучей нод, реально нет никакой необходимости на каждую ноду в отдельности устанавливать ещё один дистрибутив, всё это и так делается по сети удалённо. Верно? Такое практикуется же? Я не открыл Америку?

По мотивам моего скриншота, мне посоветовали перейти на автоматизацию, в чём я согласен, ибо 95% тачек однотипные, заменяют друг друга создавая собой по-сути кластер. Надавали советов перейти на Puppet, но одного я не пойму — зачем делают такой софт, который заменяется однострочником на bash?

https://ru.wikipedia.org/wiki/Puppet

Узлы сети, управляемые с помощью Puppet, периодически опрашивают сервер, получают и применяют внесённые администратором изменения в конфигурацию.

Всё! Этого достаточно! Вся программа в одном русским языком предложении.

Теперь мы просто на каждую машину в crontab -e подсунем * * * * * cd / && $(which git) clone ssh://server/config_$(hostname).git && ./reconfigure.sh и всё!

Чего же ради создавать все эти > Конфигурация описывается на специальном декларативном предметно-ориентированном языке.

плодить сущности и т.д., если такие вещи безотказно костылятся уже имеющимися инструментами.

Может я что-то недоПОНИмаю...

В /etc/ssh/sshd_config есть опция Banner, которая позволяет задать файл с текстом приветствия пользователя, причём этот баннер выводится для всех пользователей, в т.ч. неавторизованных, и для всех ботов которые просто брутфорсят наш ssh.

Так вот, появилась прикольная идея что этот файл можно сделать динамическим, например по крону раз в минуту записывать при помощи Bash-скриптинга всякую системную информацию типа date, uptime, free -m, tail -f /var/log/auth, >> /tmp/sshd_banner и задать файл приветствия Banner /tmp/sshd_banner, таким образом всем будет видно то, что вам не жалко показать, но прежде всего это полезно будет лично вам, выводить информацию о своём сервере для себя, без необходимости лишний раз заходить в систему, а просто чекать состояние системы и её сервисов при помощи ssh fail@server, грепать там всякие sql'ы не упали ли, как живёт почтовый сервер и тыды.

А если хотите ещё более по-хэккерски чтоб было, то можно выводить вообще любую информацию, но тогда её шифровать каким-нибудь методом, хоть тем же ключом openssl enc -aes-256-cbc, а сами вы ключ знаете и сможете её для себя расшифровать, а для всех прочих непрошенных гостей, что брутфорсят ваш ssh, эта информация так и останется набором букв. Пропустить её через какой-нибудь hexdump чтобы оно выглядило более канонично и вообще будет Ъ!

Вот. Клёво ж? Клёво. Почему ещё не в тренде?

Я не могу спокойно смотреть как одного из моих единомышленников лишили доступа к единственному месту, где его принимали, где он мог спокойно высказаться и все всё понимали. Куда ему теперь идти, не на 2ч же, б-же упаси!?

За сим начинаю петицию за разбан te111011010 ( Ttt).

да тут читаю прост

# cat /usr/ports/contrib/bind/README 
# $Id:

REQUIREMENTS:

PRECAUTION:

1. DON'T RUN BIND AS UID ROOT OR NOBODY !

ну это дураку понятно что пускать под рутом смотрящий наружу сервис не нужно™. а nobody то чем неугодил? он же никакими особыми правами не обладает?

понятно, запуск под nobody автоматически даёт доступ ко всем процессам запущенным с правами nobody. нооо, других-то процессов если нет, то почему нет? или nobody это просто такой пользователь который зарезервирован под системные нужды и его лучше просто не трогать.

https://www.reddit.com/r/hardware/comments/9rmj8t/amd_quietly_launches_new_ca...

ящитаю это вин!

Новый процессор имеет в своём распоряжении 4 ядра и потока с базовой частотой 3,5 ГГц и повышением до 3,8 ГГц в бусте, кэш объёмом 2 Мбайт, а также встроенный GPU Radeon R7. Помимо этого, AMD A8-7680 поддерживает память DDR3-2133, а его TDP составляет 45 Вт. Процессор будет производиться по 28-нм технологии. Что касается сокета, то это всё тот же старый добрый FM2+ с чипсетом A68.

(c)

И всё правильно делают. Сейчас такой зоопарк железа, что сборка ПК зачастую начинается не с выбора процессора, а с выбора материнской платы под него, где впервую очередь мы смотрим какие вообще процессоры «из коробки» поддерживает выбранная нами материнская плата, дабы была хоть какая-то возможность обновить BIOS/UEFI и проапгрейдиться в будущем. Вариант обращаться обращаться в СЦ чтобы плёву с коробки снял кто-то другой я как вариант не рассматриваю, конечно же. По понятным причинам.

А цены на AM4 материнки до того конские, что недалеко ушли от Intel с их LGA1151-v2 сокетами. Плюс оперативная память, грубо говоря мы отдадим 1 килорубль за 1гб DDR4 памяти.

Зачем? Когда за 2500-3000р можно взять FM2+ мать и всего в «полцены» 500р за 1гб DDR3 памяти. Осталось только процессор чтобы в 4K@60FPS тянул ютуб, и вот он, долгожданчик!

Если до Крыма мы могли себе позволить «на сдачу» купить материнскую плату на любом чипсете и знать что компьютер просто включиться, то теперь приходится учитывать куда больше факторов при сборке ПК. Поэтому «устаревшим» платформам на FM2+, AM3+ ещё жить и жить, и жила бы припеваюче LGA1150, если бы маркетолухи из Штеуда не форсировали «прогресс».

Нет, я не говорю что Haswell уже мёртв или устарел, наоборот, актуален как никогда, ибо покупался многими ещё до Крыма и никто не спешит его продавать. Но это маркетолухи Intel похоронили его, продвигая год за годом всё новые и новые сокеты и/или чипсеты. 1150 мёртв для новых пользователей ПК т.к. в продаже всего 2-3 процессора, это Celeron 1840 за ~5000р и Core i7-4770K за ~30.000р, ну куда такое годится.

А вот FM2+ в продаже и совсем недорого. И фанатизм относительно амудэ и интел тут не при чём. Были бы дешёвые и доступные хасвеллы — да не вопрос.

У меня у самого «про запас» лежит h81m-p33 в коробочке, всё надеялся дойдут руки взять _новый_ проц на Haswell, а брать нечего, в магазинах либо нет в продаже, либо оверпрайс.

А для FM2 вот новый проц выкатили, и материнки в продаже недорогие есть. Очевидно, что я сделаю новую сборку на амд и это отнюдь не вопрос религии. Дайте дешёвый хасвелл — соберу на хасвелл, но нету. Понимаете? Нету их в продаже.

Я как линуксоид люблю всякое железо, и чем дешевле тем лучше. На княуты, и уж тем более штеуды с их дефицитом, денег нет. Обхожусь бомжесборками. Чем богаты — тем и рады.

Так что AMD молодцы, занимают весь рынок от лоу до хай-сегмента.

Предлагаю накатить за FM2+ ! Ура ! Ура ! Ура !

Такое вот неприятное открытие, когда dhcpcd зачем-то решил выдать «WAN-интерфейсу» локальный IP одного из «LAN-портов», маршрут default изменился на локальный соответственно и интернеты на всех прочих интерфейсах отвалились.

Вот есть в правилах iptables сущности INPUT/OUTPUT которые реагирует только для нашего с вами трафика, есть сущность FORWARD которая рулит трафиком который мы распеделяем между интерфейсами, раздавая интернеты.

Более конкретный пример. Можно со спокойной совестью делать полный DROP трафика на INPUT/OUTPUT кольцах, при этом FORWARD продолжает работать и мы выступаем как маршрутизатор. А можно сделать DROP трафика на FORWARD, при этом мы продолжаем выходить в интернеты через INPUT/OUTPUT как ни в чём нибывало.

НО вот маршруты у нас для всех одинаковые, то есть если мы изменим ip route add default на другой, то все клиентские соединения проходящие через FORWARD так же будут ходить через default (ну или через другие маршруты которые есть в таблице, не суть).

Можно ли как-то такую ситуацию исправить? Чтобы даже если мы сломали наш default-маршрут, все FORWARD'ы как ходили через какой-то там интернет канал, так и ходют, чтобы default-маршрут влиял только на наши INPUT/OUTPUT. м?

Сап ЛОР, суть такова. Есть один ПК-сервер на Линуксе. Есть второй точно такой же по железным характеристикам ПК, который планируется использовать как резервный, на случай отказазаза первого, но вот беда, совсем не пойму как лучше в таком случае организовать этот failover из двух «железных» линукс-серверов.

Даже если теоретически возможно организовать полное дублирование данных (rsync какой-нибудь) на второй сервер по крону, то даже в случае выхода железа из строя мне попросту придётся перетыкать сетевой кабель из одного ПК в другой, ведь так же.

Я даже не заикаюсь про резервное копирование всей BIGDATA, я говорю о простом дублировании /etc настроек сервера, ну и установленного софта в придачу, тобишь это в пределах 1гб весь / (rootfs).

Сервер выступает в роли шлюза на котором ничего не должно храниться, который тупо смотрит в интернет, раздаёт траффик и рулит локалками. Хранить на нём что-то конечно же моветон, но это тоже железка и она тоже может выйти из строя — факт, а поэтому даже резервную копию самого этого шлюза таки надо иметь впервую очередь!

Хорошо когда это готовое решение навроде MikroTik, побежал в магазин, купил другую, перенёс настройки и всё, простой в пределах пары минут. Но когда всё на костылях и подпорках, одним словом на обычном ПК, все эти манипуляции с настройкой оборудования приходится «скриптовать» ручками.

Всё что находится за шлюзом, за NAT, такой роли не играет и может параллелиться как душе угодно. Но вот _САМ_ шлюз, его же тоже надо бэкапить. Делали ли вы такой failover и как решали проблему с перетыканием интернет-кабеля из одного ПК в другой? :|

http://www.opennet.ru/opennews/art.shtml?num=49408

Ъ:

В операционной системе RouterOS, применяемой в маршрутизаторах MikroTik, выявлено несколько уязвимостей. Самая опасная из проблем потенциально позволяет получить полный доступ к системе, при наличии аутентифицированного доступа.

Также сообщается о выявлении двух уязвимостей в маршрутизаторах TP-Link TL-WR841N (v13) и TL-WR840N (v5), которые позволяют неаутентифицированному атакующему получить полный контроль за устройством.

Да, ребята, давайте ещё раз высмеем всех доморощенных админов локалхоста, которые держат x86-сервак на Linux / FreeBSD под кроватью. Посмеёмся над их непрофессионализмом, о том, что в их системах можно найти куда больше уязвимостей, ведь кто они такие? Васяны! По сравнению с гигантами MikroTik и TP-Link. И побежим покупать очередной новый Asus Gamers Edishon 5GHz Wi-Fi, втыкать в него кабель с инторнетом с белым IP и хвастаться в галерее ЛОРа о «крутизне» оборудования. Да!

Извините, бомбануло. Теперь всех кто скажет что-то против «админов локалхоста» буду как котят тыкать в этот тред.

В догонку. Сам покупал MikroTik, это действительно очень хорошие маршрутизаторы, но я сразу оговорился что покупались они только ради раздачи Wi-Fi, тобишь хостятся они за NAT'ом. Кстати давайте умники пользуясь случаем, напомните, что NAT != Firewall. Уже обсудили.

Роутер в любом случае нужен, потому как нормально заставить работать Wi-Fi адаптер на линуксе это целый крестовый поход, при том что выжать его честные 802.11n так и не получится в итоге. Роутер «must have», но только для Wi-Fi, и только за NAT.

Алсо беспроводные технологии априори говно. Запомните это, ребята.

Exim не запускается с ошибкой

# /etc/rc.d/exim start
2018-09-26 17:29:17 failed to write to main log: length=95 result=-1 errno=28 (No space left on device)

но я это и так знаю, я экономлю ресурс SSD и поэтому /var/log у меня в tmpfs, размером 32мб, хотя для /var/log и 1мб будет много ящитаю.

Камень в огород Exim, какого чёрта такой супер-пупер важный демон отказывается работать из-за каких-то там логов? А если у меня пожарная сигнализация по e-mail? Даже письма не приходят уже который день.

Вопрос знатокам exim, как починить и чтобы впредь демон выполнял свою работу: принимал и отправлял почту не взирая на такие мелочи, как закончившееся место в /var/log.

https://youtu.be/6AoqSB4dPx8?t=551 — там даже есть упоминание линукс.орг.ру.

WD закрывает завод в Малазии. Один завод в одной стране. Пока что. Но тенденция ясна. Запасаться HDD не вариант, ибо во-первых это расходник, во-вторых рано или поздно все будут сидеть на SSD без исключения. Это как с Windows 10, которая последняя ОС линейки Windows и глупцы до упора сидят на Windows 7, отдаляя неизбежное.

Давеча перенёс систему на SSD и всю ночь не спал, боялся что SSD если навернётся, то с концами, по утру быстренько вернул свой уютненький Линукс обратно на HDD и вздохнул с облегчением. Теперь использую Kingston A400 120GB как файлопомойку под систему, которая установлена на 5-летнем 2.5" WD Blue 320GB. О как!

Проблема SSD ясна, не сказать что они дохнут как мухи, если в первые месяцы не сломался, то вполне продюжит и пару-тройку лет, но когда жизненный цикл SSD подходит к концу, он умирает внезапно и сразу. С концами.

Так что же делать? Понятно, что производители и товарищ майор хотят чтобы мы бэкапили всё в облака. Своё «облако под кроватью» станет в таком случае необходимостью, а не роскошью.

Может изменить подход к системе? Я про Линукс. На одном SSD стоит у меня Windows 10, и мне абсолютно пофиг если в один прекрасный день оно не взлетит т.к. Windows 10 запросто накатывается заново на новый SSD. А вот Линукс у меня настроенный, и это не просто хомяк, который ты хоть dd'шни при remount,ro в другое место, а система целиком, включая сервисы, которые крутят БД в памяти.

Перед тем как пересесть на SSD надо в корне изменить свой 3,14йский подход, система должна быть во-первых легко переустанавливаема, а это значит пора сесть писать BUILD-скрипты под свой софт, а во вторых: бэкап, бэкап и ещё раз бэкап, но вот куда? На тот-же кластер из нескольких SSD по соседству? (ведь не забываем, что HDD уже «всё»).

Как вы собираетесь бороться с ненадёжностью SSD на жизненно-важных системах в обозримом будущем?

Поскольку мне ох как не хочется выламывать одноразовые заглушки из корпуса, то с целью экономии его, корпуса, ресурса, ищу максимально дешёвый корпус с съёмными PCI-заглушками.

Претенденты:

• Cooler Master CM 590 III
• Corsair Carbide SPEC-01
• Fractal Design Focus G
• Aerocool AERO 800
• Cooler Master MasterBox 5

Кто-нибудь? Что-нибудь? Ещё посоветуете?

https://youtu.be/Hxf--mUIaxE?t=160

так-так-так, что тут у нас, ахаха!

здесь с этого коммутатора получается приходит витая пара, а уходит уже в квартиру оптика

ну что, дорогой ЛОРовец, уже подключился по оптике к интернетам? стильно, модно, молодёжно? но русская смекалочка наших провайдеров даёт о себе знать, провайдеры продолжают доставлять интернеты проверенным дедовским способом, а всем любителям прогресса для душевного удовлетворения в квартиру заводят оптику в три дорого, когда с тем же успехом там могла бы быть и витая пара! ха! любой каприз за ваши деньги.

Монитор LG 24MP59G-P в комплекте идёт с HDMI кабелем, материнская плата MSI A68HM-E33 оснащена HDMI портом, и по-началу всё работало, а потом вдруг перестало. Я немного погуглил и русскоязычные форумы выдали, что на самом деле HDMI не предназначен для горячего подключения и вылетевшие/сгоревшие HDMI порты, при чём на обоих устройствах сразу — обычное явление. Окей, я думал мамка пострадала, раз уж монитор продолжал работать через видеокарту.

Сегодня купил вторую точно такую же материнскую плату и решил докопаться до сути дела, теперь грамотно, оба устройства отключены от сети, подключаю монитор к новой мамке и... ничего. Монитор не работает через HDMI выход на материнской плате. Кроме варианта, что на этой мамке HDMI порт изначально бракованный варианта не осталось.

Хорошо. Нет, то есть плохо! Беру другой монитор, LG 29UM69G-B, тоже в поставке HDMI кабель. Подключаю всё к новой мамке, к слову, уже загружена Windows 10 и я забил на меры предосторожности. Ничего. Жму кнопочку «Обнаружить мониторы» — ничего. Это же Windows, всё должно работать из коробки, ну!

Тупо перезагружаю материнскую плату и боже что я вижу, мне на мониторе показывается BIOS/UEFI! Так пажжите, то есть вы хотите сказать, что я на горячую подключаю HDMI монитор и он не определяется, а когда материнская плата стартует с ним вместе, то тогда уже она его видит? Так что-ли?

Возвращаюсь к старой мамке на которой HDMI-порт якобы вылетел, подключаю второй монитор LG 29UM69G-B, ребутаю и да! HDMI всё ещё работает и никуда он не вылетал!

Так кто мне расскажет что это за паршивый такой монитор LG 24MP59G-P, на котором HDMI ни в какую не работает с портом на мамке, но работает только(!) через видеокарту? В чём секрет?

Опустили интерфейс, подняли интерфейс, добавили подсеть, удалили подсеть... И вот пока dhcpd не перезапустишь, оно отказывается признавать новую подсеть и начинать раздавать IP. При том, что в файле конфигурации эта подсеть отродясь уже записана и обслуживаема.

Тобишь проблема в самом dhcpd который без перезапуска не хочет ничего делать.

Можно ли это исправить какой-нибудь опцией в конфиге чтобы он сам проводил опросы интерфейсов на предмет новых подсетей, например когда эту самую новую подсеть добавляют/удаляют?

Я понимаю что эта операция с добавлением новых подсетей не так часта, в обычных случаях оно годами просто работает, но вот для поиграться приходится каждый раз перезапускать.

Материнская плата MSI H81M-P33 с разогнанным G3258, около-сокетное пространство комнатной температуры, а вот радиатор на чипсете горячий, конкретной температуры не замерял, но если так примерно почувствовать, палец на радиаторе можно держать уже на пределе.

Материнская плата MSI A68HM-E33 с AMD A4-6300, чипсет ну очень горячий, обжигающе.

Сетевая карта TP-Link TG-3269, при режиме работе 1000mbit пальцем нельзя дотронуться чипа, подумываю приклеить радиатор на него, ибо почему об этом не подумал производитель — хз. Сетевая карточка при таких температурах должна быстро выйти из строя. И наоборот, при работе 100mbit температуры в пределах нормы!

Вот, а вы говорите зачем я 100mbit делаю дома. Да потому что 1000mbit это те же 100mbit в разгоне, от того и температуры такие невыносимые у железа. Не надо так. Надо беречь железо, экономить ресурс.

Теперь вопрос к вам, дорогие ЛОРовцы. Следите ли вы за температурой вашего железа? Какая температура чипсета у вас? Какие ресурсы (сеть, встроенное видео, рейд массив и т.д.) задействованы у вас на ПК? И как вы боритесь с высокими температурами?

Оказывается, что для работы микрофона в играх от Blizzard, помимо всего прочего, когда он у вас уже настроен и просто работает, если вы находитесь за NAT, за ПеКа-роутером, то для его, микрофона, работы требуется пробросить UDP-порты 1119 и 1120 на вашу игровую машину: https://us.battle.net/support/en/article/7842

# Blizzard port forwarding

INTERNET=enp1s0
GAME_PC=192.168.0.180

for port in 1119 1120; do
  iptables -t nat -A PREROUTING -i ${INTERNET} -p udp --dport ${port} -j DNAT --to ${GAME_PC}
  iptables -A FORWARD -d ${GAME_PC} -p udp --dport ${port} -j ACCEPT
done

Так-то! Надеюсь кому-то это окажется полезным. А линукс тут при том, что он правит NAT'ом.