Привет,

Такой вопрос странный: дома у меня стоит Ubuntu 18.10, на работе много RedHat7\RedHat 6 (там серверы, без GUI). Почему на Ubuntu security-обновления прилетают так часто (бывает даже несколько раз в день), а патчи на RedHat 7\6 выходят достаточно редко (пару раз в месяц).

Ну не может же быть такого, что Ubuntu гораздо 'дырявее' RedHat? В чём соль? Может в Ubuntu гораздо больше предустановленных пакетов из-за GUI и т.д., поэтому и обнов больше?

Привет,

Я думаю, что тут найдутся пользователи salt (аналог Ansble). В декабре прошлого года пользователи обнаружили, что официальный репозиторий salt ломает python-библиотеки:

До патчинга:
[root@host: ~]# python
Python 2.6.6 (r266:84292, Aug 18 2016, 15:13:37)
>>> import requests
>>> exit()

Патчинг:
[root@host: ~]# yum update
==============================================================================================================================================================================================
 Package                                                        Arch                            Version                                        Repository                                Size
==============================================================================================================================================================================================
Installing:
 kernel                                                         x86_64                          2.6.32-754.9.1.el6                             CentOS_updates                            32 M
 python27-requests                                              noarch                          2.20.1-2.el6                                   saltstack-repo                           120 k
     replacing  python-requests.noarch 2.6.0-4.el6
 python27-urllib3                                               noarch                          1.23-5.el6                                     saltstack-repo                           180 k
     replacing  python-urllib3.noarch 1.10.2-3.el6
Updating:
 python27-chardet                                               noarch                          3.0.4-8.el6                                    saltstack-repo                           188 k
Removing:
 kernel                                                         x86_64                          2.6.32-754.3.5.el6                             @CentOS_updates                          133 M
Installing for dependencies:
 python27-backports                                             x86_64                          1.0-7.el6                                      saltstack-repo                           5.1 k
 python27-backports-ssl_match_hostname                          noarch                          3.4.0.2-4.el6                                  saltstack-repo                            11 k
 python27-idna                                                  noarch                          2.7-4.el6                                      saltstack-repo                           102 k
 python27-ipaddress                                             noarch                          1.0.18-6.el6                                   saltstack-repo                            36 k
 python27-pysocks     
 
После патчинга библиотеки исчезают:
[root@host: ~]# python
Python 2.6.6 (r266:84292, Aug 18 2016, 15:13:37)
>>> import requests
Traceback (most recent call last):
  File "<stdin>", line 1, in <module>
ImportError: No module named requests
>>> exit()

Пользователи подняли тему ещё в декабре 2018 года: https://github.com/saltstack/salt/issues/50965

Но проблема всё ещё не исправлена и исправляться в ближайшее время не будет (цитата разработчика):

@msciciel Thanks for the information, and it has been fixed for python27-requests and python27-urllib3. They will be available with the next point releases.

Мне этот ответ показался странным и я всё же решил узнать, почему они не фиксят такие критические баги. На что мне второй разработчик порекомендовал поднять свой приватные репозиторий и самому фильтровать пакеты:

I suspect the solution is to copy the salt rpm only and create your own repo. You should always mirror/copy upstream repo, so you can control the content

Several reason to have your own repo. Salt one is down, or gets hacked, speed of a local download is faster, there is no SLA for salt repo.

Мне кажется, что ответ разработчика неприемлем.

А как считаете вы, должны ли разработчики фиксить такие баги оперативно? Или может пора менять salt на Ansible? Или я может просто зажрался и требую от open source слишком многого?

1 вариант:

#!/usr/bin/python3
aa=True
for i in range(100000):
    a=i
    if aa:
        zz=i

2 вариант:

#!/usr/bin/python3
aa=True
for i in range(100000):
    a=i

if aa:
    for i in range(100000):
        zz=i

Что лучше? При условии, что в реальном скрипте не range, а список из 1-300 элементов.

По тестам time быстрее первый вариант, но хотелось бы получить комментарии от знающих ребят и в целом советы, если можно, как оценивать перфоманс тех или иных решений на языке python3.

Привет,

У меня в базе данных хранятся часовые пояса в формате Europe/Paris;Asia/Hong_Kong;Europe/Moscow

Мне надо из этого получить 'human readable', т.е. CET, HKT, MSK и т.д.

есть идеи у кого-нибудь?

Привет. Извините за тупой вопрос, у меня проблемы с сетями.

Имеется сервер server с Linux. Он имеет доступ в интернет через прокси.

Имеется домашний PC с Linux. Мне нужно как-то залогиниться с него на server по ssh. Прямого доступа нет, 22 порт закрыт правилами firewall и открывать его нельзя по политикам безопасности.

Я слышал от коллег, что можно как-то настроить ssh без изменения правил firewall, там туннелирование или что-то типа этого. Это правда? Что гуглить? Может мануалы есть какие-то?

Спасибо заранее. Хороших выходных!

Привет.

Есть 500+ Linux-серверов (в основном RHEL + Centos). Сетка у нас отделена от интернета (DMZ и всё такое), ни один сервак не торчит во внешку напрямую. Везде есть аппаратные firewall.

Вируталки на наших гипервизорах в DC (доступ в DC строго по пропускам), физические серверы тоже находятся в этом же DC.

Как вы считаете, есть ли необходимость в патчинге в этом случае? И как часто надо патчить? (раз в месяц, неделю, квартал, год?)

Если есть вопрсоы — спрашвиайте. К сожалению, я не сетевик и не силён в сетях, но могу поговорить с сетевиками.

Привет.

Есть физический сервер с Oracle Linux 7.5, с ядром uek-5 и с последними обновами.

Набрал простую команду по ssh:

grep -r -i RETP /sys/*

и после этого сервер завис полностью. Сказать, что я был в шоке — ничего не сказать.

Последнее в консоли:

grep: /sys/kernel/slab/:a-0000056/free_calls: Function not implemented
grep: /sys/kernel/slab/skbuff_head_cache/alloc_calls: Function not implemented
grep: /sys/kernel/slab/skbuff_head_cache/free_calls: Function not implemented
grep: /sys/kernel/slab/task_struct/alloc_calls: Function not implemented
grep: /sys/kernel/slab/task_struct/free_calls: Function not implemented
grep: /sys/kernel/slab/:d-0000016/alloc_calls: Function not implemented
grep: /sys/kernel/slab/:d-0000016/free_calls: Function not implemented
grep: /sys/kernel/slab/:0000232/alloc_calls: Function not implemented
grep: /sys/kernel/slab/:0000232/free_calls: Function not implemented
grep: /sys/kernel/slab/:0000128/alloc_calls: Function not implemented
grep: /sys/kernel/slab/:0000128/free_calls: Function not implemented
grep: /sys/kernel/slab/kmem_cache_node/alloc_calls: Function not implemented
grep: /sys/kernel/slab/kmem_cache_node/free_calls: Function not implemented
grep: /sys/kernel/slab/:a-0000064/alloc_calls: Function not implemented
grep: /sys/kernel/slab/:a-0000064/free_calls: Function not implemented
grep: /sys/kernel/slab/:0005888/alloc_calls: Function not implemented
grep: /sys/kernel/slab/:0005888/free_calls: Function not implemented

ssh завис, консоль через ILO была просто чёрной.

Что я сделал не так? Как через grep я мог положить систему? На вируталке с такой же ОС не смог воспроизвести проблему. А это был почти prod, к счастью, сервер пока новый и только билдится.

P.S> grep запускать через sudo.

Привет.

Я хочу освоить docker. Сам docker и docker swarm. Есть у кого-нибудь опыт по изучению этой технологии на youtube? Можете поделиться ссылками?

Спасибо заранее.

Привет.

Имеетеся CentOS 7. Поставил systemd-resolved с целью кеширвоания dns-запросов и уменьшения реального dns-трафика.

Прописал свои dns-серверы в /etc/systemd/resolved.conf

Всё вроде бы ок. Но вышла новая версия systemd-resolved и почему после обновления она перезаписала конфиг /etc/systemd/resolved.conf и вернула его в дефолтное состояние. Почему такое произошло и как этого избежать?

Если сделать chattr +i /etc/systemd/resolved.conf, то systemd-resolved тупо не может обновиться и всё.

Привет.

Через команду free -m мы получаем мегабайты. Необходимо округлить их до гигабайтов. Примеры:

1876 -> 2 GB	
7984 -> 8 GB
3952 -> 4 GB	
3951 -> 4 GB
8001 -> 8 GB
16047 -> 16 GB
32175 -> 32 GB
257825 -> 256 GB

Как это сделать корректно на python?

Если что, просто разделить и округлить нельзя:

>>> 1876/1024
1.8320312 -- OK, округляем до двух

>>> 257825/1024
251.7822265625 -- надо округлить до 256, а не до 252.

upd: P.S. dmidecode и другие варианты использовать нельзя. Заменять вывод free -m на что-то другое тоже.

Почему? Потому что я использую grains в salt-stack. И вводить свои грейнсы нежелательно.

Создал файл репозитория:

/etc/zypp/repos.d # cat susemanager\:bootstrap.repo
[susemanager:bootstrap]
name=susemanager:bootstrap
enabled=1
autorefresh=1
baseurl=https://hostname1.resource.local/pub/repositories/sle/12/3/bootstrap
type=NONE
gpgcheck=0
keeppackages=0

zypper его видит:

:/etc/zypp/repos.d # zypper lr
Repository priorities are without effect. All enabled repositories share the same priority.

# | Alias                 | Name                  | Enabled | GPG Check | Refresh
--+-----------------------+-----------------------+---------+-----------+--------
1 | susemanager:bootstrap | susemanager:bootstrap | Yes     | (  ) No   | Yes

обновляется вроде:

/etc/zypp/repos.d # zypper refresh
Repository 'susemanager:bootstrap' is up to date.
All repositories have been refreshed

Если перейти по ссылке и посмотреть содержимое каталога x86_64: https://imgur.com/a/mIMeznO то можно видеть пакет salt-minion

Но почему он не находит пакет salt-minion?

/etc/zypp/repos.d # zypper search salt
Refreshing service 'SUSE_Linux_Enterprise_Server_for_SAP_Applications_12_SP3_ppc64le'.
Loading repository data...
Reading installed packages...
No matching items found

Привет.

Есть вопросы по SLES (платный OpenSuse).

Прокси прописан в файле /etc/sysconfig/proxy:

HTTPS_PROXY="http://proxy.site.com:80"
HTTPS_PROXY="http://proxy.site.com:80"
NO_PROXY="localhost, 127.0.0.1"

Хочу скачать файлы с сервера 172.25.159.147

Таблица маршрутизации:

HOSTNAME:~ # netstat -rn
Kernel IP routing table
Destination     Gateway         Genmask         Flags   MSS Window  irtt Iface
0.0.0.0         172.26.206.1    0.0.0.0         UG        0 0          0 eth3
172.25.159.128  0.0.0.0         255.255.255.128 U         0 0          0 eth0
172.25.206.160  0.0.0.0         255.255.255.224 U         0 0          0 eth1
172.26.206.0    0.0.0.0         255.255.255.192 U         0 0          0 eth3
192.168.224.0   0.0.0.0         255.255.248.0   U         0 0          0 eth2

Вопросы:

1) Почему, когда я делаю wget https://172.25.159.147/pub/repositories/sle/12/3/bootstrap/repodata/repomd.xml , то коннекты идут к прокси? Это же локалка и они в одной сети... Или это нормальное поведение? Я просто с сетями не дружу.

2) Как убрать прокси один раз для zypper? unset http_proxy\https_proxy, export no_proxy для сессии не работают...

Спасибо.

Привет. Хочу поделиться своим горьким опытом установки патчей от Spectre\Meltdown на Oracle Linux. Возможно, у кого-то есть такой же негативный опыт и советы. Просто поплакаться, короче.

Для начала, железо:

Blade: HP-Blade ProLiant BL660c Gen9
CPU: 2x Intel(R) Xeon(R) CPU E5-4667 v3 @ 2.00GHz (2 сокета, в сумме 32 ядра и 64 потока)
RAM: 256 GB (16 планок по 16 GB)
Дисковая подсистема не имеет значения, думаю.  Ну там SSD (RAID 1) и овермного дисков приходят со стораджа по multipath.

ОС: Oracle Linux 7.3,  4.1.12-124.17.2.el7uek.x86_64.

На сервере, как не сложно догадаться, крутится много баз данных Oracle. Я не dba-специалист и не могу предоставить больше данных, но база 12 версии вроде.

Решил я обновить систему, значит. Для начала, поставил Service Pack for ProLiant (SPP) 2018.3.0 (это pack, включающий firmware upgrade для всего оборудования). Потом сверху накатил свежий ROM 2.60 (чтобы закрыть установить все доступные патчи от Spectre). Ядро обновляется автоматом (Oracle Uptrack).

Идея такая, что на сервере каждый день проходит рефреш базы данных (т.е. копируется дамп базы данных с другого сервера и заливается этот дамп с помощью impdp).

Ранее импорт базы данных занимал примерно 6 часов и 30 минут. После установки апдейтов рефреш стал длиться 12 часов. impdp работает в 8 потоков. Увеличение кол-ва потоков до 16-ти никак не помогли ускорить процесс рефреша.

Недолго думая (я немножко слежу за новостями и сразу понял, что проблема может быть в заплатках от MelDown) я отключил ibpb\ibrs патчи:

echo '0'>/sys/kernel/debug/x86/ibpb_enabled
echo '0'>/sys/kernel/debug/x86/ibrs_enabled

и длительность рефреша вернулась на прежний уровень, т.е. дело точно в ibpb_enabled и ibrs_enabled.

CPU Utilization\CPU Load на севрере низкое, т.е. свободных ресурсов полно на сервере.

Oracle Support не даёт никаких нормальных комментариев (у нас платный support на ОС и на базы данных), от HP-Support тоже внятных комментариев нет.

В общем, вот моя история. Хотелось бы услышать комментариев или советов. И ваш горький опыт.

Привет.

Я работаю в IT-компании и мы поддерживаем Linux-серверы по модели 'оутсорсинг'.

В распоряжении 400+ Linux-серверов. И почти все из них патчатся. Также мы поддерживаем Windows-серверы (но другая команда). Microsoft выкатывает свои патчи раз в месяц, каждый второй вторник, насколько мне известно. Поэтому патчинг-процесс начинается в третий понедельник месяца и заканчивается в след. месяце во второй понедельник. Т.е. патчинг выглядет логичным с точки зрения Windows.

Но у патчей на ОС Linux нет каких-либо привязок к какой-kибо дате, патчи выходят в любое время. Но сейчас мы патчим Linux-серверы по такому же принципу, что и Windows-серверы, т.е. раз в месяц. У каждого сервера есть своё расписание (типа сервер A патчится в третью среду месяца, сервер B — четвёртое воскресенье и т.д.). Владельцы серверов привыкли к такому рапсианию (они ожидают, что сервер A будет перезагружен в третью среду и т.д.)..

Очевидно, что в этом нет никакого смысла и с технической точки зрения такое расписание ничем не обосновано, процесс выглядит странным...

Но как улучшить этот процесс мы не знем, идей нет... Можете ли вы поделиться своим опытом или своими идеями? Серверы крайне критичные, у каждого сервера свой владелец, «ребутать когда захочу» нельзя.

Спасибо!

По дефолту значит идёт (я выбирал минимальную установку):

vodka@vodka-PC:~$ snap list
Name                  Version    Rev   Tracking  Developer     Notes
core                  16-2.32.6  4571  stable    canonical     core
gnome-3-26-1604       3.26.0     64    stable/…  canonical     -
gnome-calculator      3.28.1     167   stable/…  canonical     -
gnome-characters      3.28.0     86    stable/…  canonical     -
gnome-logs            3.28.0     31    stable/…  canonical     -
gnome-system-monitor  3.26.0     39    stable    canonical     -
gtk-common-themes     0.1        3     stable    canonical     -

В чём смысл стандартные утилиты запихивать в snap? Или это сделано в качестве «рекламы и демострации snap»?

Просто время запуска snap чуть медленее, чем запуск обычных приложений. И на ssd это ощущается.

Привет.

Вот тут написано, что в Firefox 60 появилась новая фича (два года ждал):

http://www.opennet.ru/opennews/art.shtml?num=48565

Для пользователей Linux добавлена опция для отображения и скрытия заголовков окна. При отключении показа заголовков применяется декорирование элементов окна на стороне клиента (CSD, Client Side Decoration), заголовок окна полностью скрывается, а кнопки управления окном размещаются в одной строке со вкладками. Для перемещения необходимо подвести курсор к самому краю и удерживать Alt. Опция активируется через раздел кастомизации в основном меню (флажок в левом нижнем углу)

У меня не получается на Ubuntu 18.04. У кого-нибудь работает? Или может есть более подробная инструкция? Я не понимаю, что делать. Навожу в край и жму alt, но чуда не происходит.

Привет. Сегодня ночью вышел Centos 7.5:

Available Packages
Name        : centos-release
Arch        : x86_64
Version     : 7
Release     : 5.1804.el7.centos
Size        : 24 k
Repo        : base/7/x86_64
Summary     : CentOS Linux release file
License     : GPLv2
Description : CentOS Linux release files

Вопрос: почему ни в СМИ, ни на самом сайте CentOS нет об этом упоминаний? Или это в порядке вещей?

Спасибо.

Привет. У меня соременное железо, но обновление до 18.04 прошло неудачно: после ввода пароля я получал просто чёрный экран. Консоль работала хорошо. Логи показали, что один pam-модуль отвалился, из-за этого авторизация не происходила. Кое-как решил проблему, но работало всё равно нестабильно. В общем, установил с нуля.

У коллеги Ubuntu тоже поломался после апдейта...

Так вот: а как у вас прошло обнволение? Какие проблемы возникли, как решали?

Спасибо.

P.S. сейчас придут люди и начнут писать плохое про Ubuntu — пожалуйста, не делайте этого.

Привет.

Какие Enterprise решения для патчинга Linux вы знаете? ОС: RedHat, Oracle, CentOS, OpenSUse.

нужно по максимуму автоматизировать патчинг (установка патчей в определённое время и т.д.). Можно как платные решения, так и бесплатные.

Зоопарки более чем из 500 серверов (но RHEL-based пока доминирует), свой костыль писать не хочется.

И как вообще вы патчите серваки, если их много? Спасибо.

Привет.

Почти 22:00 CET, день подходит к концу. Сегодня обещли выпустить Ubuntu 18.04. Но ни тут, ни на opennet новостей нет. На оф. сайте дистрибутива нет.

Что же случилось с 18:04? Ни слуху, ни духу... Нашли какой-то критичный баг что ли? Или ...?