LINUX.ORG.RU

Сообщения prizident

 

Переопределить $HOME для ssh

Форум — General

Есть необходимость переопределить домашнюю директорию для пользователя, делаю все по докам, но не работает. В документации и манах у них везде написано или ~/.ssh или $HOME/.ssh, он оно все равно долбится в ту директорию что указана в /etc/passwd. ssh-keygen (не) работает аналогично. bash, git, mc, vim, less отрабатывают правильно.
Может кто знает как побороть?

~$ HOME=/home/username ssh localhost
Could not create directory '/var/www/.ssh'.

OpenSSH_6.7p1 Debian-5+deb8u3

 , , ,

prizident
()

SSD низкая производительность

Форум — Admin

Есть просто сервер, в нем два Crucial_CT960M500SSD1, один из них сильно тормозит. Диски в md raid1, NCQ включен, ~200Гб свободно. centos 6. Выравнивание правильное. Много мелких файлов (11кк). Выглядит это примерно так

Device:         rrqm/s   wrqm/s     r/s     w/s    rMB/s    wMB/s avgrq-sz avgqu-sz   await r_await w_await  svctm  %util
sdb              15.20   114.20    8.80   92.20     0.11     8.93   183.31    42.44  141.59  113.64  144.25   9.90  99.96
sda             370.60   102.40  386.20  116.80     6.48     9.04    63.18     0.71    1.42    0.31    5.09   0.20  10.30

Отключить этот диск из md, сделать blkdiscard, выключить обратно, синхронизация идет 300-400МБ/с, но через несколько часов начинает тормозить.

Всякое пробовал, но изменений добиться не смог. ТП морозится, говорит что не видит проблему, а с убедительными аргументами я что-то не могу придумать.

Посоветуйте что еще можно попробовать. Мигрировать куда-то очень не хочется.

 

prizident
()

Ubuntu где взять пакеты для старой версии?

Форум — Admin

Случилась необходимость установить php5-curl на «Ubuntu 8.04 (hardy) i686». Там оказалась установленная версия php5-common=5.2.6-2ubuntu4.1, ну пытаюсь установить php5-curl такой же версии. Однако нигде не могу найти этот пакет. Все обыскал, но он исчез. Зачем они так поступают - удаляют нужные пакеты из интернета?
Нашел упоминание только тут: https://lists.ubuntu.com/archives/ubuntu-security-announce/2009-February/0008...
По ссылке получаю «security Not found» http://security.ubuntu.com/ubuntu/pool/main/p/php5/php5-curl_5.2.6-2ubuntu4.1...
Т.е. я так понимаю, можно официально считать что убунту не поддерживает безопасность?

 , , , ,

prizident
()

Почему systemd выключает ssh первым

Форум — Admin

Допустим перезагружаю сервер, запускаю reboot и через долю секунды отрубается ssh сессия. Потом примерно через минуту пропадает сеть и сервер таки перезагружается.
Зачем так делать? Почему sshd сессии не отключаются последними?

 

prizident
()

Функционал crontab в systemd

Форум — Admin

Стало вот интересно как в systemd делать то что раньше делалось через crontab -e со всяким разным содержимым вроде '@reboot /home/user/start_service.sh', ну то есть как запускать задачи по расписанию обычным пользователям?

 , ,

prizident
()

Как проприетарщики-кривокодеры изысканно троллят разработчиков СПО

Форум — Talks

Прочитано тут: https://geektimes.ru/post/282810/

Схема простая и одновременно изощренная. Проприетарщики выпускают софт для автомобильных медиа-систем(навигаторы, плеер и прочая, в самолетах тоже такие бывают), который естественно огорожен по самые помидоры всякими копирайтами, NDA, DMCA и уголовными кодексами. Понятное дело что софт этот кривой во все стороны. Так же понятно что нередко в них используются компоненты СПО (libcurl как в примере), которые требуют указания авторства. Дальше все просто: делаем большую кнопку ABOUT в этой их проприетарной системе и указываем там имейл автора СПО-компонента. После этого тихо радуемся тому сколько же мучений и страданий выпадет на долю этого поганого разработчика, посмевшего выбрать такую неудобную лицензию, которому теперь будут сыпаться тонны спама от недовольных потребителей.

 , , ,

prizident
()

Mенеджеры заданий / batch / job pool

Форум — Admin

Господа, какие есть варианты замены крона для запуска бэкапов? Хочется какую-то простую систему с гуем чтобы там было видно задания, результат выполнения и логи.
Сейчас используется два подхода - на каждом сервере в кроне добавлены задания; второй вариант - центральный сервер на котором в кроне 3000 строчек вида 'ssh server01 /bin/backup.sh'.
В обоих случаях следить как-то за всем этим невозможно.

Пока нашел два готовых варианта: task spooler и nq. Еще пару заготовок https://github.com/vincetse/shellutils/blob/master/job_pool.sh и https://github.com/spektom/shell-utils/blob/master/jp.sh. Но функционала у них недостаточно. Еще есть celery, гуй у него хороший, но к нему надо писать обертку на пейтоне для добавления скриптов как заданий и все остальное.
Среди платных вариантов больше, но они платные.

 

prizident
()

Прогресс и systemd

Форум — Talks

Сотрудник RedHat с удивлением обнаружил что древняя Fedora 10 загружается быстрее чем новая Fedora 20 с распараллеленным во все стороны systemd.


Those old Fedoras were so nice, BTW. Funnily enough, that VM with 1 CPU and 1.5 GB starts quicker than the host laptop with the benefit of SystemD and its ability to run tasks in parallel. Of course, the handing of WiFi in Fedora 20+ is light years ahead of nm-applet in Fedora 10. There was some less noticeable progress elsewhere as well. But in the same time, the bloat was phenomenal.



Все Сюда!

 , ,

prizident
()

openssl checkend

Форум — Admin

Получается что сертификат истечет через 6 лет, но не истечет через 800. Я туплю или это арифметика Лобачевского?

$ openssl x509 -enddate -noout -in /tmp/check_ssl_cert.shW15798
notAfter=May  5 01:56:21 2018 GMT
$ openssl x509 -in /tmp/check_ssl_cert.shW15798  -checkend 194608000
Certificate will expire
$ openssl x509 -in /tmp/check_ssl_cert.shW15798  -checkend 25920000000
Certificate will not expire

$ openssl x509 --help 2>&1 | grep check
 -checkend arg   - check whether the cert expires in the next arg seconds

 

prizident
()

nginx изоляция виртуальных хостов

Форум — Admin

У апача есть mpm-itk, который позволяет запускать воркеры для каждого вхоста от отдельного пользователя. А в nginx все бежит от одного пользователя и этот пользователь должен иметь доступ ко всем виртуал хостам. Т.е. если в nginx будет уязвимость, то атакующий в теории сможет считать файлы всех вхостов.

В интернетах я нашел одно упоминание этой проблемы, но решение там предложено довольно мудреное, хотя и безопасное, - запускать отдельный экземпляр nginx для каждого вхоста и перед ними ставить общий реверс-прокси.

Вот и стало интересно кто как обходит данную проблему, а если не обходят, то почему.

 

prizident
()

shutdown: shutting down for system halt

Форум — Admin

Вот есть сообщение из сабжа в логе, как понять откуда растут его ноги, т.е. кто выключил сервер? Сервис какой-то или пользователь?


[code] Oct 30 17:43:26 server1 shutdown: shutting down for system halt
Oct 30 17:43:26 server1 init: Switching to runlevel: 0
Oct 30 17:43:26 server1 udevd[1818]: udev done!
Oct 30 17:43:26 server1 udevd[1818]: udev done!
Oct 30 17:43:27 server1 cups-config-daemon: cups-config-daemon -TERM succeeded
Oct 30 17:43:27 server1 haldaemon: haldaemon -TERM succeeded
Oct 30 17:43:27 server1 messagebus: messagebus -TERM succeeded
Oct 30 17:43:27 server1 gpm[29416]: *** info [mice.c(1766)]: [/code]

prizident
()

Обнаружена серьезная уязвимость в LibreSSL

Новости — Безопасность
Группа Безопасность

В выпущенной четыре дня назад библиотеке LibreSSL, которая создавалась как более простой и надежный форк OpenSSL, была выявлена серьезная уязвимость в генераторе псевдослучайных числе. Уязвимость была обнаружена Эндрю Айером (Andrew Ayer) и состоит в том что вызовы функции RAND_bytes в сочетании с использованием системного вызова fork могли генерировать одинаковые последовательности псевдослучайных данных.

Это происходит из-за недостаточной проверки факта использования вызова fork, который основывался на различии идентификатора процесса у родительского и дочернего процесса, но не учитывает что у второго поколения дочерних процессов идентификатор может совпадать с таковым у первоначально родителя. Для того чтобы избежать такого поведения в OpenSSL существует специальная функция RAND_poll, однако в LibreSSL эта функция была отключена с целью упрощения кода. Таким образом, прямая замена OpenSSL на LibreSSL может привести к изменению поведения программ, которые используют RAND_poll.
В дополнение автор сообщает о существовании схожей проблемы при использовании вызова chroot.

Разработчики LibreSSL в свою очередь признали существование проблемы, но заявили, что код, приведенный Эндрю Айером, не является показательным и не используется в реальных приложениях. К сожалению данная новость при всей ее значимости отсутствует на официальном сайте проекта LibreSSL, т.к. его разработчики в настоящее время «слишком заняты удалением лишнего кода».

Первоисточник

Сайт проекта LibreSSL

>>> Подробности

 ,

prizident
()

iptables ftp, входящие соединения на клиенте

Форум — Admin

Заметил вот такое странное поведение: во время трансфера файлов на клиенте в логе iptables проскакивают дропнутые входящие пакеты, при этом трансфер вроде как нормально идет. На клиенте запускал в lftp mirror -R

в фаерволе на клиенте стандартные правила:
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -j LOG --log-prefix «iptables: in_drop: » --log-level 7
-A INPUT -j DROP

И проскакивает вот такое.
in_drop: IN=venet0 OUT= MAC= SRC=xx.xx.xx.xx DST=yy.yy.yy.yy LEN=52 TOS=0x00 PREC=0x00 TTL=49 ID=53417 DF PROTO=TCP SPT=45345 DPT=58700 WINDOW=126 RES=0x00 ACK URGP=0

x - сервер, y - клиент.
Если посмотреть в netstat то на этом порту есть соединение в статусе ESTABLISHED.

Куда копать?

 

prizident
()

OpenVZ и память

Форум — Admin

Помогите разобраться с вот такой ситуацией.
Есть OpenVZ контейнер с Centos 6.5 64 бит(на HN то же), 700M Ram, 512M vSwap. В один прекрасный момент память вдруг закончилась и заработал oom-killer. Вдруг, потому что при этом в контейнере было использовано 250M Ram, 250M swap и около 500M было в кэшах. Но кэши же они должны вытесняться, но почему-то вместо этого заработал oom-killer. Или может это баг?
На контейнере бежит apache/mysql.

картинка: http://postimg.org/image/4ruai3yov/
лог с HN http://pastebin.com/HAcNwnsS

 , ,

prizident
()

Доступ в виртуалку через нат

Форум — Admin

Есть стандартная схема, 1 внешний адрес, пара контейнеров; в контейнеры проброшены порты через DNAT, наружу доступ сделан через SNAT. Все настройки делал по вики. Проблема в том что не получается зайти изнутри контейнера через внешний адрес на порт, который проброшен внутрь этого контейнера. Если порт проброшен на другой контейнер, то заходит без проблем.

Часть правил:
VE0
-t nat -A PREROUTING -d 88.88.88.88/32 -p tcp -m multiport --dports 80,20,21,53,45510,8080 -j DNAT --to-destination 192.168.10.1
-t nat -A POSTROUTING -o eth0 -j SNAT --to-source 88.88.88.88

VE101 это 192.168.10.1

Вот если из VE101 сделать такую команду, то получу таймаут
$ telnet 88.88.88.88 80
А с другого контейнера будет работать.

Пробовал делать трейс пакетов, на разобраться с ним не смог. Заметил только что пакет при выходе из VE0 после mangle:POSTROUTING не попадает в net:POSTROUTING и SNAT на него не срабатывает. Потом этот пакет попадает в VE101, но стопорится на nat:PREROUTING, хотя на нем полиси стоит ALLOW.
http://pastebin.com/bcnzSX9h

 , ,

prizident
()

не работает alias для рута

Форум — Admin

Вроде бы все сделал как надо, а почта все равно уходит руту. В интернетах почитал и вроде как этого конфига должно быть достаточно, а не пашет. Раньше стоял sendmail и в нем все работало как-то незаметно.

# postconf -n|grep ^alias
alias_database = hash:/etc/mail/aliases
alias_maps = hash:/etc/mail/aliases
# postmap -q root hash:/etc/mail/aliases
user+root.server@gmail.com
# /usr/sbin/sendmail -bv root
Mail Delivery Status Report will be mailed to <root>.

 ,

prizident
()

Gmail: есть ли альтерантивы?

Форум — Talks

После сегодняшней смены дизайна в вэб-интерфейса gmail вопрос альтернатив стал как никогда серьезен. Испорченые календарь, ридер, поисковик я еще хоть как-то мог терпеть, но без gmail мне как-то уж очень не комфортно.

В свое время хотел слезть на yandex, но он какой-то убогонький, интерфейс не многим лучше чем у gmail

 

prizident
()

Аналог patchcluster для RHEL

Форум — Admin

В энтерпрайзных юниксах есть такая удобная штука как набор рекомендуемых патчей (вроде patchcluster для соляры). Т.е. залил на сервак архивичик метров в 500, распаковал и простой командой установил с него все применимые патчи. Интересует вопрос о том как провернуть такое для RHEL. Для пятого, думаю, можно закопировать исошку со свежей версией, добавить ее как репо в yum и сделать yum upgrade. Вот только не уверен прокатит ли такое для четвертого, ибо там и yum"а то нету по дефолту. Да и исошка неразумно великовата и содержит много лишнего.

prizident
()

дистрибутив с кде3

Форум — Desktop

Господа, подскажите в каком дистрибутиве можно полноценно установить и пользоваться кде3. Сам-то я пользуюсь Gentoo, но оно как-то печалит в последнее время.

prizident
()

Французское правительство выбирает свободное ПО

Новости — Open Source
Группа Open Source

Департамент общественных финансов правительства Франции переведет 130 000 рабочих станций на использование свободного ПО от Mozilla взамен коммерческих аналогов от IBM и Miscrosoft. В частности будут заменены IBM Lotus Notes и Microsoft Outlook на Mozilla Thunderbird для почты и Lightning для организации совместной работы.
Серверная часть будет основана на свободном продукте OBM (Open Business Management) французской компании Linagora. Данный продукт используют более чем 600 000 офисных работников во Франции.

Данное решение было принято после слияния трех различных финансовых ведомств в одно. У каждого из ведомств имелись собственные почтовые службы и лицензии на Lotus Notes/Outlook. Это объединение будет способствовать значительной экономии государственных средств и упростит управление лицензиями.

>>> Подробности

 , , ,

prizident
()

RSS подписка на новые темы