Исходя из чтения мануалов по самбе, всё сводится к созданию UNIX пользователей и мапу на них виртуальных пользователей самбы. А не может ли самба (как FTP) работать из-под одного пользователя используя какую-нибудь БД или файл, в котором будут указаны права доступа пользователей?

На данный момент я пришел только к возможности создать нескольких smb-пользователей, которые мапятся на одного UNIX-пользователя, при этом разделя доступ к ресурсам через конфиг самбы (user1 может использовать share1, user2 и user3 могут использовать share2). Однако, куда больше бы хотелось устанавливать права на конкретные директории и файлы в пределах одного ресурса.

Т.е. иметь внешнюю ACL, вместо ACL через UNIX-права+UNIX-пользователь. Есть ли в самбе что-нибудь подобное?

ВНИМАНИЕ !!! :
1. У меня везде есть ИБП, проблема в необходимости жестких перезагрузок.
2.Пожалуйста (очень Вас прошу) НЕ пишите в тему, если Вы не использовали файловую систему именно при ЧАСТЫХ (не реже 5 раз в месяц) жестких перезагрузках или подвисаниях ОС. Мне НЕ нужны Ваши истории успеха стабильной работы ФС где-нибудь в облаке или на серверах с аптаймом в 5 лет.

Для меня очень критична возможность ФС нормально переживать потери питания. Точнее подвисание/экстренную перезагрузку перезагрузку системы, а не отсутствие ИБПшника :).

Из своей практики никогда не дохла только reiserfs. Мало того, ей даже не нужно никаких fsck - все проверки транзакций происходят прямо при подмонтировании. Однако, она весьма и весьма тормоз на больших файлах, а также её периодически нужно создавать заново из-за фрагментации.

Отрицательный опыт был с ext2,3,4, с xfs. Они падали, в среднем, через 30 сбоев. Может, я что-то не так делаю? Я использовал их со стандартными настройками. Может, можно использовать иное журналирование (только не данных, иначе производительности пипец придёт) или вынести журнал на другой диск?

Кто-нибудь работал с другими ФС (например nilfs2, btrfs, jfs2, zfs) в подобных ситуациях? Какие выводы?

В сети (192.168.1.0/24) около 140 компьютеров и другого оборудование. Нужна тузла, которая бы пинговала эти компьютеры во всём диапазоне не менее двух раз в минуту каждый.

Нужно, чтобы в лог писалось что-то типа «6:06:06 06.06.2012 Computer 1 is online/n 6:07:06 06.06.2012 Computer 1 is offline/n». Т.е. нужно писать только моменты перехода из одного состояние в другое, а не весь выхлоп пингов.

Если возможно, также делать пару дополнительных пингов при первой потере, чтобы избежать ситуации, когда пакет может быть потерян, и сразу появятся записи, что комп был отключен и через секунду включен. А при периодических таких потеря оно вообще засрёт весь лог.

Возможно ли какое-либо ведение статистики?

Задача: Есть ли нестабильный линк, при этом весьма шикорий. Он весьма часто теряет пакеты (при это происходит именно потеря, скажем 2-60% за секунду, однако сам канал активен (на это время не линк полностью не пропадает). Иногда канал может упасть на пару минут. Необходимо, что TCP делал много попыток перепослать недошедшие пакеты с МАЛЫМ интервалом (около 0.2 секунды, т.к. у линка очень малая латентность) перепосылки пакетов, либо вообще слал дубликаты постоянно (канал куда шире, чем необходимый траффик).



Контролировать количество попыток отправки можно через tcp_retries1, tcp_retries2, tcp_syn_retries, tcp_synack_retries, tcp_fin_timeout, tcp_keepalive_intvl, tcp_keepalive_probes

Однако, это нужно будет только для того, чтобы избежать разрыва соединения (по достижению определенного количества попыток) при перепосылке пакетов с небольшим интервалом времени (из-за малого интервала перепосылки попытки исчерпаются очень быстро, что этими переменными и можно поправить).

Однако, нужно также изменить время таймаута подтверждения. Согласно RFC 2988bis он составляет 1 секунду (раньше был RFC 1122 на 3 секунды).
Согласно посту http://serverfault.com/questions/295390/how-can-i-tune-the-initial-tcp-retran... в ядре ( ./include/net/tcp.h ) TCP_TIMEOUT_INIT следует поменять его значение на меньшее (можно ли указать дробное значение? 0.1, например?).

Однако, моё внимание привлекают также близлежащие параметры TCP_RTO_MAX и TCP_RTO_MIN, и, в особенности, параметр TCP_TIMEOUT_FALLBACK. Также непонятно, зачем нужен TCP_RESOURCE_PROBE_INTERVAL.

Тут ( http://stackoverflow.com/questions/1232249/setting-tcp-retransmission-timeout... ) вообще предлагают играть с параметром TCP_WINDOW_CLAMP

Тут ( http://stackoverflow.com/questions/5907527/application-control-of-tcp-retrans... ) вообще пишут про какой-то непонятный TCP_USER_TIMEOUT.

Также существует патч, но полный смысл его мне не ясен: http://www.spinics.net/lists/netdev/msg164645.html

Подскажите, что же нужно править для решения моей задачи?




Обсуждения:
http://fixunix.com/tcp-ip/555894-question-about-tcp-retransmission-timeout.html
http://www.linuxquestions.org/questions/linux-networking-3/tcp\ip-ack-timeout...

Статья IBM: http://www.ibm.com/developerworks/aix/library/au-lowertime/index.html

Типичная ситуация: какое-то приложение начинает бурно работать с большим количеством файлов, другие приложения начинают чуть-чуть притормаживать.

Если это приложение не прекратит работу в ближайшее время, то оно выяснит кэш файлов других приложений, после чего они будут уже весьма сильно тормозить. Особенно меня беспокоят иксы и компиз.

Каким образом это можно предотвратить? Как ограничить размер кэша для каждого приложения от одного пользователя, плюс ставить им самый низкий приоритет IO по-дефолту, а иксам, компизу, пульсу, плееру ставить самый высокий?

Как известно, можно посмотреть SSH fingerprint при подключении к серверу. Но часто мы используем ssh клиент на разных устройствах, не имеем списка отпечатков и админим много серверов. В результате часто подтверждаем отпечаток точно не зная, тот ли это отпечаток, а не ssh MIMT.

Очень хорошо было бы поднять свой CA, его сертификат корневой положить на все устройства свои. Далее выписывать с компа, где поднят CA (и есть пароль для него и закрытый ключ) сертификаты на каждый отпечаток SSH. Этот сертификат кладётся на сервер SSH, клиент при коннекте получает сертификат (можно даже тупо в виде текста), сравнивает отпечаток SSH в сертификате с реальным SSH отпечатком, далее подтверждает валидность сертификата на основании корневого сертификата.

Это позволит единожды занести на все устройства корневой сертификат, после чего при коннекте к подписанному SSH-серверу, куда с конкретно этого устройства ещё не подключались, точно знать, что это «свой» сервер.

В случае чего можно иметь ещё использовать список отозванных сертификатов (например, точно известно, что сервер хакнули).

Есть ли какая-нибудь реализация этого? Ведь ничего особо сложно тут нет.

[клиент, 10.10.10.25]<------LAN------>[10.10.10.1, LAN шлюз, 10.10.10.25] <------------> [10.10.10.100, WAN шлюз]

Под 10.10.10.25 подразумевается реальный внешний (глобальный) IPv4, выдаваемый провайдером.

Интересует как можно реализовать такой шлюз в пределах одного ядра линукса. Если есть два ядра (например, две виртуалки или два компа), то можно так:

[клиент, 10.10.10.25]<-----LAN1----->[10.10.10.1, LAN1 шлюз, 192.168.1.2]<------LAN2------>[192.168.1.1, LAN2 шлюз, 10.10.10.25]<-----WAN------>[10.10.10.100, WAN шлюз]

Подразумевается, что при прохождении любого шлюза, кроме WAN-шлюза, осуществляется маскарадинг.

Данный хак может использоваться для:
1. Предоставление (псевдо)внешнего IP с пробросом диапазона портов на клиента (DMZ).
2. При этом Интернетом могут пользоваться и другие клиенты.
3. При этом можно на шлюзе или другом клиенте крутить сервер (HTTP, SSH, Jabber).

Всё это остаётся прозрачно для клиента, клиент считает, что его IP внешний.

Для тех, кому много букв, повторю вопрос: как это можно реализовать в пределах одного линукс-ядра?

http://mate-desktop.org/

Если ли уже для генты рабочие его ебилды или оверлей с ними? Совершенно не хочется писать собственные, а поставить любимые приложения, вместо текущего вырвиглазия очень хотелось бы.

Не могу найти бенчмарков на эту тематику.
Интересует:
1. Скорость (в отношении к dedicated HDD) при линейном чтении данных
2. Скорость (в отношении к dedicated HDD) при случайном чтении данных
3. Скорость (в отношении к dedicated HDD) при линейной записи данных
4. Скорость (в отношении к dedicated HDD) при случайной записи данных

P.S. Подобная информация про другие уровни RAID будет тоже кстати.

Заранее извиняюсь за глупый вопрос, но не смог нагуглить.

В каком поле указывается адрес маршрутизатора локальной в IP-пакете перед отправкой пакета ему для переотправки далее (удалённому хосту за пределами сети)? Получается, что в IP+Ethernet пакете должны быть данные:
1. MAC адрес клиента.
2. MAC адрес маршрутизатора.
3. IP адрес маршрутизатора.
4. IP адрес клиента.
5. IP адрес удаленного хоста.

Но про существование третьего пункта я ничего не нашел. Сдаётся, что клиент просто срёт на MAC-адрес маршрутизатора IP пакетов с IP удаленного хоста, а маршрутизатор должен сам понять, что это не ему лично отправили (не соответствует его IP на его интерфейсе) и перенаправить далее.

Но такой метод получается весьма костыльным. Мало того, невозможно дать маршрутизатору, скажем, IP 192.168.1.2 и 192.168.1.1, и, в зависимости от того, на какой IP пошлёт клиент, маршрутизировать пакет через разные сети (или по разным цепочкам iptables). Для этого нужно иметь два разных (возможно симулированных) mac (или две разные ip подсети, чтобы по IP клиенту делать вывод, к какому из виртуальных маршрутизаторов он обращается).

Прокомментируйте пожалуйста.

P.S. Спасибо за ответы. Не пинайте сильно.

В связи с выходом новомодных UEFI, которые (в купе с любовью интела к закладкам) не внушают доверия, посмотрел в сторону OpenBIOS и CoreBoot.

Но там всё на уровне 2005 года. Там даже i5 то не поддерживается вообще, не говоря уже про современные говнобульдозеры и нормальные i7. Я не совсем понимаю, зачем вообще эти проекты нужны, когда они поддерживают только железо 4-7 летней давности.

У них какие-то трудности с покупкой программаторов, современный процов и матерей? Или что? Может, и как-нибудь помочь можно? Или у них просто сайт не обновлялся 3 года, а в SVN лежат новенькие прошивки для асусовских материнок с поддержкой 6-ядерных i7 ?

Хочется псевдографический консольный клиент для чтения локальной почты.
Использовать cat при куче сообщений от демонов - не вариант.

Хочется иметь возможность делать бекапы без необходимости длительного ожидания (несколько минут) в случае монтирования, как это бывает с tar.*-архивами.

Очень желательно (один из главных пунктов), чтобы архив можно было подключить через FUSE с VFS. А не отдельными приложением, типа файл-роллера.

Иначе говоря, хотелось бы делать бекап, а затем моментально подключать подмонтировать его.

Часто юзаю псевдографику, где, естественно, есть поддержка мыши. И мне не совсем понятно, почему в screen (который я тоже часть использую) её не добавили.

Поэтому прошу помощи в поиске патча или альтернативы.

P.S. screen обычно использую для того, чтобы можно быть закрыть сессию (или ssh отвалится) без вреда для приложений (причём, мне нужно иметь возможность не просто запускать их в фоне, а ещё возвращаться к работе с ними).
Также (не обязательно) хотелось бы иметь возможность использовать вложенные сессии (когда внутри screen несколько сессий bash можно сделать).

Скажем, у меня есть wlan0, который опускается/поднимается при переподключении к AP.
Необходимо выполнять два разных скрипта выполнении up/down. Google молчит (точнее советует, это во всяких убунтах и дебианах делается).

Нашел только http://www.gentoo.org/doc/en/handbook/handbook-x86.xml?part=4&chap=5 , но что-то мне подсказывает, что это выполняется только в случае, если используется обычный рестарт сети через /etc/init.d/...

В любом случае, хотелось бы знать, что (udev?) является бекендом для определения изменений состояний интерфейса с последующей реакцией.

Существует проблема изоляции клиентов друг от друга:
1. Необходимо иметь возможность с КОНКРЕТНОГО VLAN для КОНКРЕТНОГО IP разрешать (по умолчанию всё запрещено) роутинг в КОНКРЕТНЫЙ VLAN на КОНКРЕТНЫЙ IP на КОНКРЕТНЫЙ порт (использоваться, в основном только TCP будет).
2. При этом все клиенты (машины в сети) должны иметь ОДИНАКОВЫЙ IP дефолт гетевея прописанным. (!!!!!!!!!!!!!!!)

Извиняюсь за капс, но на лоре весьма много людей с позицией «бред писал, топик не читал».

A - клиенты, P - их сервера, S - сервер-шлюз (фильтрующий трафик).

Технически это должно выглядеть так:
Например, нужно иметь возможность с A1 (192.168.1.1) получить доступ к P6 (192.168.1.6) на TCP 22. Тогда:
1. А1 отсылает arp-запрос IP-адреса 192.168.1.1 в VLAN1, который приходит на виртуальный интерфейс vlan0.1 у S8.
2. S8 отвечает на запрос любого IP, ставя свой MAC (или, таки удалённого компа!?).
3. S8 проверяет правило в стиле: от 192.168.1.1 с vlan0.1 к 192.168.1.6 на vlan0.6 протокол TCP порт 22.
4. Правило верно, тогда пакет уходит с vlan0.6 на P6, а в ipbtales делается запись established для данной сессии, чтобы пакеты обратно пропускались.

Проблема именно в том, что из-за необходимости иметь одинаковый IP на всех компах (т.е. для клиентов взаимодействие с другими клиентами должно быть настолько же (кроме широковещалки) прозрачно, как и в обычной сети, но с чёткими ограничениями через фильтрующий сервер S8). Из-за этого условия нельзя воспользоваться тупой нарезкой сети по 4 IP (два отнимаются, т.к. нижний - номером сети будет, верхний - броадкасn-адресом, согласно спецификации IP). В случае с нарезкой на такие сегменты всё просто: поскольку это тупо куча разных сетей (по одной на клиента, фактически), то можно использовать тупой роутинг + iptables форвардинг с проверкой условий. Но по моим условиям (у всех должен быть один IP gefault gw) так сделать нельзя.

Я пришел к выводу, что мою задачу можно реализовать двумя путями:
1. Для того, чтобы сервер выдавал свой MAC при ARM-запросе IP от клиента присваиваем ему все IP всех клиентов.
Далее в iptables пишем, что netfilter заменяет (в стадии PREROUTING) адрес клиента 192.168.1.X на 192.168.2.X (чтобы сервер сам не стал обрабатывать пакеты, т.к. ему все адреса присвоены).
После чего уже делаем проверку прав и определение исходящего интерфейса в FORWARD.
Далее в POSTROUTING уже обратно заменяем 192.168.2.X на 192.168.1.X

Проблемы:
Всё на костылях.
Один IP можно назначить только одному интерфейсу. А тут нужно назначить на каждый VLAN кучу IP, за исключением IP клиента. Хотя это делается, однако никакой реакции от всех интерфейсов, кроме одного на конкретный IP не будет. Даже если мы разрешим (есть такая опция) принимать данные с любых IP, то исходящие пакеты будут только с одного (причём не ясно какого) интерфейса.


2. Использовать ARP PROXY, чтобы отвечать своим MAC на любой ARP-запрос.
Но это лишь преодолевает костыль с подменой IP на 192.168.2.X, но никак не проблема дубликатов IP на интерфейсов.
Ведь (!!! Поправьте, если я не прав) iptables и route не будет работать (и нет настроек ядра, чтобы это изменить), если IP шлюза, указанный в пакете, не будет совпадать с тем, который реально есть у интерфейса, даже если ethernet-кадр пришел.


3. Использовать ebtables. ebtable позволяет работать с L2, там есть поддержка протокола. Но для нормальной (насколько я знаю) работы с tcp (особенно в плане established для разрешения ответов с принимающего конца).
Но разве iptables может работать, когда на интерфейсах нет ip (вопрос скорее риторический)? Или ebtables научился нормально с tcp работать (особенно меня запоминание открытых соединений для разрешения ответов с другой стороны интересует)?

На ум приходят только такие настройки для ebtables (подразумевается, что все vlan'ы объединены в бридж, который рубит весь неразрешенный трафик (последняя строка)):
-p IPv4 -i vlan0.1 -o vlan0.6 --ip-src 192.168.1.1 --ip-dst 192.168.1.6 --ip-proto tcp --ip-dport 22 -j ACCEPT
-p IPv4 -i vlan0.6 -o vlan0.1 --ip-src 192.168.1.6 --ip-dst 192.168.1.1 --ip-proto tcp --ip-sport 22 -j ACCEPT
-p IPv4 -j DROP
#Всё, что дошло до сюда уже переходит в следующую часть, где должна происходить L2-маршрутизация. Хотя, думаю, что она произойдёт автоматически, т.к. VLAN'ы объединены в свитч виртуальный должны быть.

В этом случае для того, чтобы пускать машины в инетик, нужно в --ip-dst использовать адрес GW (192.168.1.7) или уже внешние адреса, например:
-p IPv4 -i vlan0.1 -o vlan0.7 --ip-dst 192.168.1.7 -j ACCEPT
или
-p IPv4 -i vlan0.7 -o vlan0.1 ! --ip-dst 192.168.1.0/24 -j ACCEPT
?

Я не совсем понял, как именно клиент работает с default gw. Он тупо на его MAC высылает готовые IP-пакеты, что ли? Т.е. в самих пакетах к шлюзу его IP вообще не фиругирует?

Огромное спасибо всем, кто будет помогать мне в решении такой задачки ^____^ .

Схема следующая:
.............Свитч
.......... -------------
A1 ------|VLAN1....|
..........|...........|
A2 ------|VLAN2....|
..........|...........|
A3 ------|VLAN3....|
A4 ------|VLAN4....|
A5 ------|VLAN5....|
..........|....VLAN8|--------- S8 (сервер-фильтр)
P6 ------|VLAN6....|
P7 ------|VLAN7....|
--------------
Порошу простить за точки, считайте, что это пробелы. Движок все пробелы больше одного делает одним пробелом. Вероятно, ширина тема действительно куда важнее, чем такая мелочь. Скажем спасибо maxcom и прочим любителям микроэкранов.

Используйте схему netfilter и ebtables для понимания их работы: http://4.bp.blogspot.com/_N3xuQCvc1v4/TQlz5a1YXSI/AAAAAAAAASc/f0aNn5Z1q3I/s16...

Возникла необходимость дома крутить куда больше двух виртуалок. Поэтому хочется поставить WEB-интерфейс для управления ими.
Требования следующие:
1. Создание полных клонов (просто дубликация файла жесткого диска)
2. Создание «связанных» клонов (в новый файл образа жесткого диска пишется только изменения относительно старого). Очень удобно, если необходимо быстро развернуть виртуальную машину, которая будет использоваться всего 1-4 раза.
3. Работа именно с файлами образов, а не с разделами
4. Онлайн-мониторинг использования CPU, RAM
5. Ограничение виртуалок на RAM, HDD, CPU (ВНИМАНИЕ!!! Мне необходимо ограничивать как количество ядре, так и ПРОЦЕНТ от ядра указывать)
6. Полностью OpenSource, включая все зависимости (например, некоторые подобные системы могут запускаться на проприетарной JAVA-машине только).
7. Можно поставить на Gentoo (Ебилд не обязателен. Подразумевается возможность поставки в виде достаточно легко (а не ногой через голову) устанавливающихся исходных кодов. А не как в случае с ProxmoxVE (когда от платформы фиг отдерешь) )

Желательные (необязательные) плюшки:
8. Управление сетью (создание внутренней (только для виртуалок) псевдосети (типа linux bridge) и подключение к реальному eth).
9. Подключение внешних хранилищ (NFS, например) через веб-интерфейс.
10. Открытие фреймбуфера и предоставление удаленной клавиатуры прямо через веб-интерфейс.
11. Открытие SSH через веб-интерфейс.

----> ВНИМАТЕЛЬНО ПРОЧТИТЕ!!!!: Когда будете советовать, не забудьте в скобках указать номера поддерживаемых фитч, иначе это делает бессмысленным Ваш совет.

Заранее благодарен.

В условиях стабильной (и известной заранее) пропускной способности приоритезация очевидна и ней много написано?

Но как быть в случае, если скорость канала меняется со временем (предположим, плавно и без скачков)?

И зачем нам вообще знать скорость канала, если мы можем из буферов (корзин) фильтров в выходной буфер класть на основании их весов методом карусели (round-robin)? Т.е. если приоритет 1, при этом остальные больше 1, то кладём из буфера 1 в основной, пока не заполнится основной буфер. Чтобы не было ситуации, когда буфер с бОльшим приоритетом захватывает канал, то прирываем его передачу в основной через 10милисекунд, а чтобы нижестоящие фильтры долго не занимали канал, то делаем им, скажем, 3милисекунды (каждому последующему меньше, чем вышестоящему надо уделять времени,получается).

Подобные операции (как я понял) даёт делать htb.

Есть у меня несколько устройств (и виртуалок). Хочу разграничить между ними доступ (для части устройств нужен доступ по IP или MAC).

Необходимо, чтобы клиент 192.168.1.2 попадал в каталог /mnt/ftp/192.168.1.2, а клиент 192.168.1.3 в /mnt/ftp/192.168.1.3 и т.д.

Как и чем можно реализовать подобное?

Можно и через MAC, если через IP не реально.
P.S. Вариант с сотней демонов на разных портах и перенаправлением через iptables на внутренний порт с 21, в зависимости от IP клиента не предлагать.

Собственно, иногда на работе нечего делать, а хочется поразвлечься. Посему мой вопрос.

Возможно, как и в Клубе, можно дополнить URL (offset=...) и читать. Но я не знаю, что именно дописать.