PuTTY 0.64

Лол, ты начал про Путина говорить.

Тебя беспокоит упоминание Путина?

Меня беспокоит деятельность, а не упоминание.

Не вижу связи между упоминанием и деятельности. Вижу только неадекватную реакцию. Вообще, полагаю, и оценка деятельности будет такой же неадекватной :), но это меня не интересует и не касается.

Купи глазные капли. Упоминание != восхваление. Если тебя это не интересует, что ты тут в теме уже несколько сообщений отписал?

Меня не интересует, какая ахинея у тебя в голове. Я только спросил, стоит ли искать в ней логику или нет. Уже вижу, что не стоит.

Твой ник соответствует твоей личности.

ну, да, я неправильно выразился.

Мысль была в том, что нельзя указать что «слушать любые IP, висящие на указаном интерфейсе», как это много где можно (в том же dnsmasq хотя бы).
Потому что, вот, указываешь ты ему IPv4 и IPv6-адрес, которые вешаются на tun/tap-интерфейс своей шифро-mesh-vpn-локалочки. Но, то ли за время между стартом интерфейса и стартом sshd адреса не успевают навеситься, то ли ещё чего, но фактом остаётся то, что IPv4-адрес он слушает, а IPv6 — нет. Если убрать IPv4 и оставить только IPv6 — не слушает вообще никакой.

Мысль была в том, что нельзя указать что «слушать любые IP, висящие на указаном интерфейсе», как это много где можно (в том же dnsmasq хотя бы).

Не логично собирать ip с интерфейса для серверных приложений, особенно таких как sshd. Если много интерфейсов так слушаем на 0/0 а уж ограничить дело fw.
А dnsmasq это и dhcpd, так что там все правильно.

Это хорошо, это ты молодец и я это говорю без сарказма. Когда подконтрольных машин будет больше двух десятков — пиши, расскажу какие слова гуглить и какие книжки читать. Если не сольёшься на старте от сложностей концепций и языка

Спасибо, что в меня веришь(без сарказма). В моей зоне ответственности сейчас несколько сотен машин, а всего в нашей инфраструктуре их много тысяч. Расскажи какие слова гуглить, вдруг я правда что не так делаю.

Спасибо, что в меня веришь(без сарказма). В моей зоне ответственности сейчас несколько сотен машин, а всего в нашей инфраструктуре их много тысяч. Расскажи какие слова гуглить, вдруг я правда что не так делаю.

Несколько сотен — это ты уже как-то пересидел сильно :) Гугли «CFEngine», «Promise theory» и читай вот это:

http://www.amazon.com/Learning-CFEngine-Automated-system-administration-ebook... http://habrahabr.ru/post/164445/ http://habrahabr.ru/post/164923/ http://habrahabr.ru/post/249249/

Можно прямо в этом порядке. Где-то между предпоследней и последней статьёй у тебя будет достаточно знаний, чтобы что-то где-то начать пробовать практически полезное на своём рабочем и домашнем компьютере — ~/.ssh/authorized_keys2 раскладывать, настройки шелла, какой-то софт ставить, который ты везде используешь, пароли жёстко энфорсить. Заодно потопчешься по граблям там, где это можно делать без травм. После последней статьи смело начинай присматриваться к проду. Для «мягкого» входа в продакшен можно начать с замены всех кронджобов на промисы CFEngine, начинать следить за процессами (скажем, чтобы не падал Apache), за паролями пользователей, ну и так вот постепенно перевести управление инфраструктурой на CFE.

Правда, по началу будет очень сложно. Особенно когда надо будет донести до фанатов Chef (Puppet, Ansible, Cobbler, Saltstack, решений написанных под влиянием острого NIH-синдрома, «ручного админства» и так далее), почему и когда им стоит перестать хотеть то, чем они сейчас пользуются и начинать хотеть CFE.

CFEngine, Promise theory

Обязательно почитаю, но сильно сомневаюсь, что декларативное программирование - это тот самый silver bullet.

~/.ssh/authorized_keys2 раскладывать, настройки шелла, какой-то софт ставить, который ты везде используешь, пароли жёстко энфорсить

ansible-pull это прекрасно делает. Кроме паролей, для этого есть централизованная аутентификация.

постепенно перевести управление инфраструктурой на CFE

Чуваки, айда выбросим годы человеко-часов и переведём всю инфраструктуру на CFE? Это даст нам профит в виде... ммм... ну, оно очень крутое и мне нравится

Всё так, но: у cfe из зависимостей только libc. И этому сложно что-то противопоставить, особенно когда надо автоматизировать ввод в строй железа. Ansible-pull не спасает, он не дописан до рабочего вида, Майкл пока рулил, он сам писал, мол, пулл — для идиотов. Ну может быть с его уходом что-то сдвинется. Но с другой стороны, однопоточный Питон и SSH — это не выход вообще. Как поднять SSH, если системе конфигурирования нужен SSH? На счёт выбрасывания старого кода, ну да, это приходится иногда делать. Какие-то решения устаревают и их надо менять. Эволюция, все дела. О правильности применения декларативного подхода можно спорить, но в данном случае альтернатив для сравнения нет.

у cfe из зависимостей только libc. И этому сложно что-то противопоставить, особенно когда надо автоматизировать ввод в строй железа. ... Как поднять SSH, если системе конфигурирования нужен SSH?

Первоначальную наливку серверов с помощью ansible не сделаешь, но это не такая большая проблема - налить начальный образ по сети несложно. У нас для этого есть внутренняя самописная тулза, на прошлой работе я делал такое с помощью TFTP + Clonezilla. А уж pyshon2 и ssh есть в любом дистрибутиве уже много лет как.

Со всякими сетевыми железками ещё проще - можно заливать начальный конфиг по TFTP.

Возможно, это может быть проблемой для всяких мелких embedded-железок, где каждый байт считать надо, но у нас такого не водится.

Как поднять SSH, если системе конфигурирования нужен SSH?

Как поднять cfe если ему надо cfe-agent? И ещё боооольший вопрос от чего лучше зависеть - от наличия в системе питона и настроенного sshd или наличия на нём настроенного же fe-agent? Остальное - лирика.

CFE — это 1 пакет, 2 файла (ключи) и один одноразовый инит-скрипт (запуск самоконфигурации при первом запуске после поднятия сетевых интерфейсов, по которым доступен policy hub), всё это ставится при установке системы с генерируемого скриптом образа + preseed (когда его не ломают) или просто образа диска (когда ломают preseed). Откуда взялся в системе питон я не понимаю, но возможно в NetBSD это как-то не так, но мы таким не пользуемся:

$ sudo debootstrap --arch=amd64 testing $(pwd)/vm-tst1 http://ftp.jp.debian.org/debian/

$ sudo find vm-tst1 | grep python
vm-tst1/usr/share/gcc-4.9/python
vm-tst1/usr/share/gcc-4.9/python/libstdcxx
vm-tst1/usr/share/gcc-4.9/python/libstdcxx/v6
vm-tst1/usr/share/gcc-4.9/python/libstdcxx/v6/__init__.py
vm-tst1/usr/share/gcc-4.9/python/libstdcxx/v6/printers.py
vm-tst1/usr/share/gcc-4.9/python/libstdcxx/__init__.py
vm-tst1/usr/share/nano/python.nanorc
vm-tst1/usr/lib/python2.7
vm-tst1/usr/lib/python2.7/dist-packages
vm-tst1/usr/lib/python2.7/dist-packages/debconf.py
vm-tst1/usr/lib/python3
vm-tst1/usr/lib/python3/dist-packages
vm-tst1/usr/lib/python3/dist-packages/debconf.py

Как можно поднимать сетевые сервисы до того, как сконфигурирован фаерволл и, собственно, они сами я тоже не вполне понимаю, но судя по всему у вас такое позволяется. У нас — нет.

Первоначальную наливку серверов с помощью ansible не сделаешь, но это не такая большая проблема - налить начальный образ по сети несложно. У нас для этого есть внутренняя самописная тулза, на прошлой работе я делал такое с помощью TFTP + Clonezilla. А уж pyshon2 и ssh есть в любом дистрибутиве уже много лет как.

Есть, но не везде SSH можно, и речь не про embedded и не про всякое специфическое железо типа роутеров (хотя вот туда бы я в первую очередь ставил, rancid ужасен и от expect'а у меня оба глаза дёргаются уже), а про, например, лаптопы сотрудников. Политика компании, конечно же, каждый сам себе Linux-админ, а кто не может — тому Windows без локального админа. Но поскольку каждому админить на самом деле лень, то они приходят к нам и мы им ставим клизму^Wcfe. Как ты понимаешь, входящий SSH там невозможен в принципе. А на некоторых системах нам удалённый доступ запрещают пиджаки из трёхбуквенных организаций, и таких вот чемоданов без ручек у нас по инвентаризации больше 50 хостов и ещё две сотни юзеров. И весь этот зоопарк админится из одной консоли.

find vm-tst1 | grep python

сразу виден прыщавый джуниор. https://twitter.com/nixcraft/status/573846703477891073 - я жал до коликов в животе

чтобы cli на циске, удобно же

Для доступа к Линуксу из оффтопика использую не PuTTY, а его форк - KiTTY, в нём есть возможность запоминать пароли. Правда обе программы не умеют копировать текст из консоли в буфер обмена, зато они свободны.

Копирование автоматическое при выделении, а вставка ПКМ (по умолчанию).

В меню есть пункт копировать, но он копирует всю историю консоли от начала. Подождите, а что значит «автоматическое при выделении»? Просто выделить мышкой что-ли? Это что, я зря так мучался всё это время.

Просто выделить мышкой что-ли?

Офигеть_вы_простофиля.jpg

Вообще выделение и middle mouse click - это стандартный копипаст в буфере иксов. В Windows и Putty это соответственно Right mouse click и стандартный виндовый буфер обмена(можно перенастроить).

Это что, я зря так мучался всё это время.

Да, зря :)

Просто выделить мышкой что-ли? Это что, я зря так мучался всё это время.

Да.
Открою еще один «большой секрет», в консоле (не иксовой) линукса тоже самое. :) У putty что касается работы с мышью все сделано по «образу и подобию» включая те же манипуляции только с шифтом под mc.