Я тут штуку сделал поиграться

https://github.com/ValdikSS/billgates-botnet-tracker

Можно смотреть, кого DDoSят.

Привет . Навернулись оба диска в raid1 . Не полностью , но раз в месяц вся система подвисает и вырубается . Хостер заявил что проблема в обоих жестких дисках которые в raid 1. Хостер предложил заменить оба диска . Нужно сохранить данные в raid 1. На хост машине уставновлена kvm+libvirt .
Разделы виртуалок созданы с помощью LVM . Каким образом выполнить перенос?
1)Всей системы (хост машина + все виртуалки )
2)или может скопировать каким то образом lvm разделы на новый raid 1. Подскажите как лучше поступить ?

Сейчас имею такой черновой вариант скрипта:

#!/bin/bash
#Settings
BACKUP_PATH="/home/alex/backups/db/"
MYSQL_USER="root"
MYSQL_PASS="password"
#DB_NAME="jiradb slave_db"

## MySQL backup and copy to another server 
mysqldump -u $MYSQL_USER -p$MYSQL_PASS jiradb | gzip > $BACKUP_PATH-`date +%d.%m.%y.%H:%M:%S.sql_dump.gz`
mysqldump -u $MYSQL_USER -p$MYSQL_PASS slave_db | gzip > $BACKUP_PATH-`date +%d.%m.%y.%H:%M:%S.sql_dump.gz`
rsync -avz /home/alex/backups/ alex@192.168.0.102:/home/alex/backups/

Перемещено beastie из general

Здравствуйте. В virt-manager, запущенном из-под Debian Stable, установил Windows XP. Hypervisor: kvm. Sound device: es1370. Винда нашла звуковое устройство и установила драйвера, но звука не слышно. Подскажите, пожалуйста, как починить.

Обнаружил интересную вещь, с которой получается пробрасывать видюху через pci-assign без перезагрузки хоста, даже запуская гостевую систему, которая НЕ умеет выключать устройство (видюху) без перезагрузки.
Как это получилось. Сначала возился с vfio, и естесно, ничего не получилось, точнее, получилось, но всё кроме, собственно, работы драйвера с видеокартой. Имеем и факт проброса и драйвер устанавливается и на седьмой оффтопик и на 8.1, но работать с ним отказывается, вываливается в BSOD, однако со стандартным vga драйвером оффтопика изображение выводится. Первый раз плюнул на это дело и решил через pci-assign. В принципе ничего плохого в выключении устройстава перед завершением работы гостя, но всё же 8.1 хоть ты тресни не нравится. Решил ещё раз опробовать vfio, опять та же история, но перейдя после этой попытки обратно к pci-assign решил ещё раз ради прикола посмотреть как моя система повиснет (первый раз повисла так, что и хард резет не срабатывал, пришлось шнур питания вытащить на несколько минут), но она к моему изумлению не повисла, мало того, BSOD не вылез и я увидел наполнившийся красками стандарной обоины 8.1 второй монитор, не поверил, ещё раз перезапустил - работает, с полным ускорением и без просадки производительности.
Получается тем, у кого не срослось с vfio вполне можно как-то обойтись и с pci-assign без всяких перезагрузок и отключений видюх. Вопрос ко всем - встречал ли кто подобное у себя? Цель - найти способ сбрасывать видюху с помощью vfio без обязательного предварительного фейлового запуска виртуалки с vfio.

Набор железа (vt-d/iommu совместимое):

CPU: Intel Core i7-4765T
MB: Gigabyte GA-Z87X-UD3H (bios F8)
RAM: 32 ГБ
Видео для проброса: Radeon HD 4850
Видео на хосте: встроенка в процессор (Intel HD Graphics 4600) с опенсорсным драйвером от intel

Обращаю внимание на материнскую плату, в сети её упоминания с виртуалками не видел, поэтому констатирую факт, что vt-d/iommu РАБОТАЕТ ПОЛНОСТЬЮ. Уверен, аналогично работает и в других материнках Gigabyte на Z87 (упоминание в официальных pdf манах о наличии опции vt-d у них тоже есть). Перепрошивал в своей биос с F3 на F8, впрочем и на старом vt-d работает.

Насчёт видюхи - официально самими AMD тестировалась в xen и заявлена там как пробрасываемая (пробовал сам в xen - работает), но по части vfio+HD4ххх никаких историй в сети не обнаружил, вот только с pci-assign завелась.

Пробовал резет видюхи без перезагрузки вот таким способом:

$ echo "1" > /sys/bus/pci/devices/0000:01:00.0/reset

но дохлый номер, не срабатывает.

Конфиг qemu q35+vfio:

QEMU_AUDIO_DRV=alsa \
qemu-system-x86_64 \
-boot menu=on \
-enable-kvm \
-M q35 \
-m 8192 \
-cpu host \
-rtc base=localtime \
-smp 4,sockets=1,cores=4,threads=1 \
-bios /usr/share/qemu/bios.bin \
-drive file="image",id=disk,format=raw -device ide-hd,bus=ide.0,drive=disk \
-drive file="win-8.1-amd64-ru.iso",id=isocd0 -device ide-cd,bus=ide.1,drive=isocd0 \
-drive file="virtio-win-0.1-74.iso",id=isocd1 -device ide-cd,bus=ide.2,drive=isocd1 \
-drive file="13-1-legacy_vista_win7_win8_64_dd_ccc.iso",id=isocd2 -device ide-cd,bus=ide.3,drive=isocd2 \
-device ioh3420,bus=pcie.0,addr=1c.0,multifunction=on,port=1,chassis=1,id=root.1 \
-device vfio-pci,host=01:00.0,bus=root.1,addr=00.0,multifunction=on,x-vga=on \
-device vfio-pci,host=01:00.1,bus=root.1,addr=00.1 \
-usb -usbdevice host:09da:9090 -usbdevice host:1c4f:0002 \
-device ich9-intel-hda,bus=pcie.0,addr=1b.0,id=sound0 \
-device hda-duplex,id=sound0-codec0,bus=sound0.0,cad=0 

QEMU_AUDIO_DRV=alsa \
qemu-system-x86_64 \
-boot menu=on \
-enable-kvm \
-M pc-1.3 \
-m 8192 \
-cpu host \
-rtc base=localtime \
-smp 4,sockets=1,cores=4,threads=1 \
-bios /usr/share/qemu/bios.bin \
-drive file="windows7-amd64-0",if=ide,media=disk \
-drive file='virtio-win-0.1-74.iso',if=ide,media=cdrom \
-drive file='win-8.1-amd64-ru.iso',if=ide,media=cdrom \
-drive file='13-1-legacy_vista_win7_win8_64_dd_ccc.iso',if=ide,media=cdrom \
-device pci-assign,host=01:00.0,id=hostpci0 \
-device pci-assign,host=01:00.1 \
-usb -usbdevice host:09da:9090 -usbdevice host:1c4f:0002 \
-fsdev local,id=host0,path=/data/0,security_model=passthrough -device virtio-9p-pci,fsdev=host0,mount_tag=v_tmp \
-soundhw hda \
-net nic,model=virtio

Софт (всё из реп):

Дистр Arch Linux x86_64
ведро 3.13.7-1 (base) qemu 1.7.0-2
seabios 1.7.3.1-2
intel-dri 10.1.0-4
xf86-video-intel 2.99.911-1

параметры бутлоадера (syslinux + UEFI):

LABEL arch
    MENU LABEL Arch Linux
    LINUX ../vmlinuz-linux
    APPEND root=/dev/sda4 rw intel_iommu=on pci-stub.ids=1002:9442,1002:aa30
    INITRD ../initramfs-linux.img

dmesg | grep -e DMAR -e IOMMU:

[    0.000000] ACPI: DMAR 00000000921d38c8 0000B8 (v01 INTEL      HSW  00000001 INTL 00000001)
[    0.000000] Intel-IOMMU: enabled
[    0.166101] dmar: IOMMU 0: reg_base_addr fed90000 ver 1:0 cap c0000020660462 ecap f0101a
[    0.166107] dmar: IOMMU 1: reg_base_addr fed91000 ver 1:0 cap d2008020660462 ecap f010da
[    0.166173] IOAPIC id 2 under DRHD base  0xfed91000 IOMMU 1
[    0.575987] DMAR: No ATSR found
[    0.576012] IOMMU 0 0xfed90000: using Queued invalidation
[    0.576013] IOMMU 1 0xfed91000: using Queued invalidation
[    0.576015] IOMMU: Setting RMRR:
[    0.576025] IOMMU: Setting identity map for device 0000:00:02.0 [0x93800000 - 0xaf9fffff]
[    0.578857] IOMMU: Setting identity map for device 0000:00:1d.0 [0x9207b000 - 0x92087fff]
[    0.578883] IOMMU: Setting identity map for device 0000:00:1a.0 [0x9207b000 - 0x92087fff]
[    0.578904] IOMMU: Setting identity map for device 0000:00:14.0 [0x9207b000 - 0x92087fff]
[    0.578920] IOMMU: Prepare 0-16MiB unity mapping for LPC
[    0.578927] IOMMU: Setting identity map for device 0000:00:1f.0 [0x0 - 0xffffff]

lspci -nn | grep AMD

01:00.0 VGA compatible controller [0300]: Advanced Micro Devices, Inc. [AMD/ATI] RV770 [Radeon HD 4850] [1002:9442]
01:00.1 Audio device [0403]: Advanced Micro Devices, Inc. [AMD/ATI] RV770 HDMI Audio [Radeon HD 4850/4870] [1002:aa30]

dmesg | grep pci-stub

[    0.000000] Command line: BOOT_IMAGE=../vmlinuz-linux root=/dev/sda4 rw intel_iommu=on pci-stub.ids=1002:9442,1002:aa30 initrd=../initramfs-linux.img
[    0.000000] Kernel command line: BOOT_IMAGE=../vmlinuz-linux root=/dev/sda4 rw intel_iommu=on pci-stub.ids=1002:9442,1002:aa30 initrd=../initramfs-linux.img
[    0.913037] pci-stub: add 1002:9442 sub=FFFFFFFF:FFFFFFFF cls=00000000/00000000
[    0.913045] pci-stub 0000:01:00.0: claimed by stub
[    0.913051] pci-stub: add 1002:AA30 sub=FFFFFFFF:FFFFFFFF cls=00000000/00000000
[    0.913057] pci-stub 0000:01:00.1: claimed by stub

options kvm ignore_msrs=1

options vfio_iommu_type1 allow_unsafe_interrupts=1

...
MODULES="i915 pci_stub vfio vfio_pci vfio_iommu_type1 kvm kvm_intel"
...

Делаю пост сюда, чтобы линковать его людям. Ибо на лоре есть разметка

Ситуация: Живём много лет на sysvinit, появляются всякие openrc и upstart, на которых работают две системы их большого количества. Появляется systemd и сразу большое количество систем переходят на него. Почему? Обьясню на примере debian, тестовой ветки и systemd из этой же ветки.

Почему появилось желание поменять sysvinit на чтото другое?

1) Структура скриптов для sysvinit подразумевает только возможность запуска скриптов с флагами start и stop. Внутреннее устройство скрипта ЦЕЛИКОМ на совести разработчика. Конечно это не повод считать что все скрипты для sysv говно, но всётаки встречаются такие экземпляры, что хочется просто плакать, когда их читаешь. Особенно изза того, что большую часть логики слежением за стотоянем службы пишется на баше. Хотя нынче половина инит скриптов завязанны на start-stop-service. В итоге - каша.

2)Никаких средств для учёта очерёдности запуска сервисов и паралельной их загрузки. Да, есть insserv, только оно ещё больше каши добавляет в скрипты инициализации.

Почему не upstart?

Уже несколько лет в дебиане висит, и ещё не пыталось стать стандартной системой инициализации. В нынешней ситуации, когда говорят о фичах, которые уже есть в других системах инициализации - говорят - «пфф, мы можем тоже такое написать» (тот же cgroup). В итоге функционал апстарта в текущем его состоянии ушёл не дальше sysvinit+insserv+start-stop-daemon. Зато хипстер-аура вокруг него просто знатная.

Почему не openrc?

Оно ещё старше, чем upstart, но разговоры о нём толком начались только при выборе между upstart и systemd. В итоге оно на бумаге конечно лучше чем systemd, но практически это даже проверить не возможно. Некая мифическая сущность, сферическая и в вакууме.

Почему systemd?

1) Он уже работает в тестинге, и не полагется на fallback на sysvinit. Когда я последний раз пробовал upstart без sysvinit скриптов он не работал, и все его преимущества скатывались в ничто. Просто не использовались. В итоге ситуация выглядит так:

systemd - сначала сделали поддержу, потом ещё предложили как стандарт.

openrc и upstart - сначала предложили, а поддержки нету, никакой. Вот если выберут - то поддержка будет. По мне - нарушение причинно-следственной связи.

2) Использование cgroup невероятно упрощает внутреннюю логику юнитов для запуска сервисов. СИИИИИИИИИИИИИИИИИИИИИИИИИИИИИИИИИЛЬНО.

Вот например юнит для bluetooth демона

[Unit]
Description=Bluetooth service
[Service]
Type=dbus
BusName=org.bluez
ExecStart=/usr/sbin/bluetoothd -n

[Install]
WantedBy=bluetooth.target

Alias=dbus-org.bluez.service

а теперь выполним одну весёлую комманду

khades@debian:/etc/init.d$ cat /etc/init.d/bluetooth |wc
201     584    4474

А теперь о мифах про systemd.

JOURNALD БИНАРНЫЕ ЛОГИ ХУЖЕ ЧЕМ В RSYSLOG

syslog - это стандарт отправки и регистрации сообщений о происходящих в системе событиях

rsyslog - программа для организации хранения этих сообщений, полученных по системной шине, реализованной в ядре linux (/dev/log)

journald - легковесный сервис для хранения и чтения логов с хранением их в памяти для ускорения процессов ввода\вывода во время загрузки с ОПЦИОНАЛЬНЫМ хранением бинарей на диске. НЕ ЛОМАЕТ rsyslog.

PID 1: ВСЁ УПАДЁТ ЕСЛИ УПАДЁТ SYSTEMD

1) Почему systemd должен упасть?

2) Ядро тоже падает, давайте все ненавидеть ядро

PID 1: СИСТЕМД МНОГО ВСЕГО В ОДНОМ ПРОЦЕССЕ ДЕРЖИТ И МНОГО НА СЕБЯ БЕРЁТ!!!!

1) Для изоляции запускаемых процессов и придуман CGROUP.

2) khades@debian:~$ ps aux |grep systemd root 284 0.0 0.1 297788 11032 ? Ss фев13 0:01 /lib/systemd/systemd-journald root 295 0.0 0.0 42944 1924 ? Ss фев13 0:00 /lib/systemd/systemd-udevd root 2448 0.0 0.0 36928 1636 ? Ss фев13 0:00 /lib/systemd/systemd-logind

ПОТЦЕРИНГ ЧТОТО ПОМЕНЯЕТ И ВСЁ СЛОМАЕТСЯ

Даа, и это сразу попадёт в стейбл дебиана. инфа 100%.

И последнее, касаемо непортируемости на другие ядра. В нашем случае глупо не использовать передовую технологию (CGROUP) ради совместимости с принципиально другой системой, учитывая то количество ништяков, которое оно нам даёт реализовать. Я вообще в далёком будущем представляю как на помойку выкидывают selinux, потому что домены безопасности реализуют на основе namespaces и cgroup. Ах мечты, мечты.

Требования

- C/C++ (но больше все таки C++), компилятор gcc

- Опыт программирования под Linux для встраиваемых систем.

- Опыт настройки и программирования беспороводных устройств (Bluetooth, GSM, WiFi) под Linux. (либо очень большое желание получить такой опыт)

- Умение писать сетевые приложения промышленного качества

- Умения вносит правки в ядро и стэки протоколов в Linux.

- Оптимизация быстродействия сетевых приложений

О нас:

- Не samsung

- Полное соблюдение ТК РФ. Белая ЗП. Вилка 70.000 - 90.000 (чистыми)

- Гибкий график, но он не исключает необходимости отработать 40 часов в неделю.

- Компенсация проезда на общественном транспорте, обеды в офисе, медстраховка, льготный фитнесс.

- Коммандировки в США и Европу (для тех, кому это интересно)

Связь: rlwinm80@gmail.com

Дурацкое название, но сама идея мне кажется дурацкой, хоть и является желанной

Идея: сверх-лёгкое и простое нечто, но с возможностью подключения SATA-накопителя, будет подключено к роутеру с помощью Ethernet. Включаться будет при надобности доступа к сетевому ресурсу (т.е. клиент коннектится по IP-адресу в локальной сети). Видимо, нужен PoE. ОСь будет грузиться за секунду-две, рамдиска с нужными модулями достаточно для задач файлопомойки (спорный момент). Через 5 минут отсутствия запросов halt-ится

Вот, очень хочется такую вещь. Это возможно, или я упрлс чаем?

UPD

centos 6.5. как прописать статически DNS? забиваю DNS сервера в файл /etc/resolv.conf, после перезапуска (service network restart) файл перезаписывается по дефолту..(( в настройках /etc/sysconfig/network-scripts/ifcfg-eth0 вроде все верно: DEVICE=«eth0»

BOOTPROTO=static

IPADDR=192.168.*.*

NETMASK= *.*.*.*

NETWORK=*.*.*.*

GATEWAY=*.*.*.*

NAME=«System eth0:0»

ONBOOT=yes

PEERDNS=no

Помогите разобраться, как ведут себя однопоточные приложения на современных процессорах. Для этой цели составил тест на основе bzip2. Прошу Вас прогнать его у себя и написать результат.

#!/bin/bash
# Тест gzip с максимальным сжатием под фоновой нагрузкой $1 потоков
echo "Без нагрузки"
time dd if=/dev/zero bs=1M count=4000 | bzip2 -c9 > /dev/null

i1='0'
while [ $i1 -lt $1 ]; do
	nice -n 20 yes > /dev/null &
	let i1++
done

echo "Под нагрузкой $1 потоков"
time dd if=/dev/zero bs=1M count=4000 | bzip2 -c9 > /dev/null

killall yes

В качестве параметра необходимо указать количество потоков фоновой нагрузки. Дайте фоновую нагрузку 1-2 потока на каждое виртуальное ядро.

Напишите результат, модель процессора, количество реальных и виртуальных ядер и ядро системы (harded ядро сильно искажает результаты).

P.S. Если будете проводить тест, не забудьте остановить все другие процессы, нагружающие процессор.

вот уже несколько версий подряд, включая svn-снепшоты, раз в сутки стабильно падает вайфай с таким сообщением в dmesg:

[390834.260000] ath: phy0: Failed to stop TX DMA, queues=0x004!
[390835.210000] ath: phy0: Failed to stop TX DMA, queues=0x004!
[390843.790000] ath: phy0: Failed to stop TX DMA, queues=0x004!
[390844.730000] ath: phy0: Failed to stop TX DMA, queues=0x004!
[390845.660000] ath: phy0: Failed to stop TX DMA, queues=0x004!
[390846.140000] ath: phy0: Failed to stop TX DMA, queues=0x004!
[390847.310000] ath: phy0: Failed to stop TX DMA, queues=0x004!
[390848.250000] ath: phy0: Failed to stop TX DMA, queues=0x004!
[390849.180000] ath: phy0: Failed to stop TX DMA, queues=0x001!
[390857.650000] ath: phy0: Failed to stop TX DMA, queues=0x001!

pekmop1024

4 января в списке свободного програмного обеспечения появился еще один инструмент для создания виртуальных частных сетей (Virtual private network, VPN) — SoftEther VPN. Данный продукт позиционируется как легковесный, универсальный и дружелюбный к пользователю.

К преимуществам SoftEther VPN относятся:

• SSL-VPN туннелирование с использованием протокола HTTPS для обхода фаерволлов и NAT.
• Поддержка VPN over ICMP и VPN over DNS.
• Поддержка 256-битного AES и 4096-битного RSA шифрования.
• Высокая скорость и эффективность при малом потреблении ресурсов.
• Поддержка большинства протоколов VPN (OpenVPN, IPsec, L2TP, MS-SSTP, L2TPv3, EtherIP).
• Функция OpenVPN clone для поддержки устаревших openVPN клиентов.
• Возможность настройки через GUI.

Со всеми особенностями можно ознакомиться на официальном сайте.

SoftEther VPN был создан Daiyuu Nobori в университете округа Тсукуба, Япония в рамках магистерской диссертации и увидел свет в марте 2013 года. По данным с официального сайта, SoftEther VPN был установлен на 80000+ машин в течение 2013 года.

Исходный код можно скачать с github, sourceforge и google code.

>>> Подробности

существует ли еще такое? Хотя бы в КВ-диапазоне?

Всем привет!

Нужна помощь в одном вопросе.. Есть сервер с debian squeeze,на нем хостится несколько php-сайтов, в качестве почтовика стоит exim4. Также среди юзеров одного из сайтов есть один надоедливый школоло, постоянно спамящий, регулярно ддосит сервер и т.д., как его уже только ни банили, всё никак не успокоится. Приноровились уже фильтровать его выходки, проблем не доставляет, однако, последние пару дней он начал периодически каким-то образом слать на админский ящик письма со всякими угрозами и т.д. от имени сервера. Не могу разобраться как он это делает. В логах особой информации об этих письмах не нашел, только что письмо было принято и доставлено.

Собственно говоря, куда копать? Можно ли включить какое-нибудь более детальное логирование, понять откуда он шлет и т.д.?

Затягиваю покрепче гайки после DDoS. Не нравится то, что в логах. Помогите разобраться. Конфигурация iptables:

iptables -F

rmmod xt_recent
modprobe ipt_recent ip_list_tot=50000 ip_pkt_list_tot=3 

iptables -N fw-input
iptables -N http
iptables -N nntp
iptables -N icmp
iptables -N existing
iptables -N white


iptables -A INPUT -i vmbr0 -j fw-input
iptables -A FORWARD -i vmbr0  -j fw-input

# enable local connects
iptables -A fw-input -i lo -j ACCEPT

# bad packets
iptables -A fw-input -p tcp --tcp-flags SYN,ACK SYN,ACK -m state --state NEW -j REJECT --reject-with tcp-reset 
iptables -A fw-input -p tcp ! --syn -m state --state NEW -m limit --limit 3/minute -j LOG --log-level debug --log-prefix NEW-NOT-SYN:
iptables -A fw-input -p tcp ! --syn -m state --state NEW -j DROP

# whitelist
iptables -A fw-input -p tcp -j white
### opera
iptables -A white -s 80.239.224.0/19 -j ACCEPT
iptables -A white -s 82.145.208.0/21 -j ACCEPT
### google
iptables -A white -s 66.249.64.0/19 -j ACCEPT
### end
iptables -A white -j RETURN

# lock catched
iptables -A fw-input -m recent --rcheck --name BLOCK --seconds 250 --rttl -j REJECT --reject-with icmp-host-prohibited
iptables -A fw-input -m recent --update --name BLOCK --seconds 300 --rttl -j REJECT --reject-with icmp-host-prohibited

# pass established
iptables -A fw-input -m state --state RELATED,ESTABLISHED -j existing
iptables -A existing -p tcp -m connlimit --connlimit-above 90 -m recent --set --name BLOCK_PARALLELS -j REJECT --reject-with icmp-host-prohibited
iptables -A existing -j ACCEPT

# http
iptables -A fw-input -p tcp -m multiport --dports 80,443 -m state --state NEW -j http
iptables -A http -p tcp -m hashlimit --hashlimit-name http --hashlimit-mode srcip --hashlimit-above 20/sec --hashlimit-burst 90 \
 --hashlimit-htable-size 32768 --hashlimit-htable-max 32768 --hashlimit-htable-expire 3000000 \
 -m recent --set --name BLOCK -j DROP
iptables -A http -j ACCEPT

# icmp
iptables -A fw-input -p icmp -j icmp
iptables -A icmp -p icmp --icmp-type 0 -j ACCEPT 
iptables -A icmp -p icmp --icmp-type 3 -j ACCEPT
iptables -A icmp -p icmp --icmp-type 8 -m limit --limit 10/second -j ACCEPT 
iptables -A icmp -p icmp --icmp-type 11 -j ACCEPT 
iptables -A icmp -j DROP


# nntp
iptables -A fw-input -p tcp -m multiport --dports 119,563,1119 -m state --state NEW -j nntp
iptables -A nntp -p tcp -m hashlimit --hashlimit-name nntp --hashlimit-mode srcip --hashlimit-above 10/sec \
 --hashlimit-htable-size 32768 --hashlimit-htable-max 32768 --hashlimit-htable-expire 3000000 \
 -m recent --set --name BLOCK_NNTP -j DROP
iptables -A nntp -j ACCEPT

# ssh
iptables -A fw-input -p tcp -m tcp --dport 2222 -j ACCEPT

# finish
iptables -A fw-input -p tcp -m limit --limit 3/minute -j LOG --log-level debug 
iptables -A fw-input -p tcp -j DROP
iptables -A fw-input -m limit --limit 3/minute -j LOG --log-level debug --log-prefix NONTCP-DROP:
iptables -A fw-input -j DROP

Не нравится, что на предпоследнем дропе очень много пакетов с ACK+FIN, не знаю почему. Пример из лога:

Feb  8 05:56:02 hz kernel: IN=vmbr0 OUT=venet0 PHYSIN=eth0 SRC=155.140.133.56 DST=188.40.118.48 LEN=40 TOS=0x00 PREC=0x00 TTL=52 ID=24115 PROTO=TCP SPT=55864 DPT=80 WINDOW=65535 RES=0x00 ACK FIN URGP=0 
Feb  8 05:56:19 hz kernel: IN=vmbr0 OUT=venet0 PHYSIN=eth0 SRC=109.64.209.32 DST=188.40.118.48 LEN=40 TOS=0x00 PREC=0x00 TTL=114 ID=17864 DF PROTO=TCP SPT=54845 DPT=80 WINDOW=16894 RES=0x00 ACK FIN URGP=0 
Feb  8 05:56:31 hz kernel: IN=vmbr0 OUT=venet0 PHYSIN=eth0 SRC=95.172.129.231 DST=188.40.118.48 LEN=40 TOS=0x00 PREC=0x00 TTL=53 ID=2658 DF PROTO=TCP SPT=19876 DPT=80 WINDOW=0 RES=0x00 RST URGP=0 
Feb  8 05:56:50 hz kernel: IN=vmbr0 OUT=venet0 PHYSIN=eth0 SRC=89.106.197.1 DST=188.40.118.48 LEN=40 TOS=0x00 PREC=0x00 TTL=120 ID=10539 DF PROTO=TCP SPT=1362 DPT=80 WINDOW=65288 RES=0x00 ACK FIN URGP=0 
Feb  8 05:57:12 hz kernel: IN=vmbr0 OUT=venet0 PHYSIN=eth0 SRC=89.106.197.1 DST=188.40.118.48 LEN=40 TOS=0x00 PREC=0x00 TTL=120 ID=12007 DF PROTO=TCP SPT=1362 DPT=80 WINDOW=65288 RES=0x00 ACK FIN URGP=0 
Feb  8 05:57:30 hz kernel: IN=vmbr0 OUT=venet0 PHYSIN=eth0 SRC=89.106.197.1 DST=188.40.118.48 LEN=40 TOS=0x00 PREC=0x00 TTL=120 ID=13485 DF PROTO=TCP SPT=1356 DPT=80 WINDOW=65535 RES=0x00 ACK FIN URGP=0

Это вроде бы ни на что не влияет (то ли еще пожаловаться не успели), но напрягает, что таких пакетов - 5% от NEW. Что я сделал не так?

Второй странный момент - с некоторых адресов идет до 70 _постоянных_ соединений. Там есть вполне валидные юзеры, проверял. Прокси оперы-мини и турбо - в отдельном белом списке.

Даже если по 4 коннекта на браузер - не верю что столько юзеров за натом с единственным ip накопилось. В nginx гайки закручены сильнее, но постоянных ошибок там в логах не сыпется.

Правки sysctl такие:

sysctl -w kernel.msgmnb=65536
sysctl -w kernel.msgmax=65536
sysctl -w kernel.shmmax=494967295
sysctl -w kernel.shmall=268435456

sysctl -w net.core.rmem_max=33554432
sysctl -w net.core.wmem_max=33554432
sysctl -w net.core.rmem_default=8388608
sysctl -w net.core.wmem_default=4194394
sysctl -w net.core.netdev_max_backlog=10000
sysctl -w net.core.somaxconn=262144

sysctl -w "net.ipv4.ip_local_port_range=1025 65535"
sysctl -w net.ipv4.netfilter.ip_conntrack_max=1048576

sysctl -w "net.ipv4.tcp_rmem=4096 8388608 16777216"
sysctl -w "net.ipv4.tcp_wmem=4096 4194394 16777216"
sysctl -w "net.ipv4.tcp_mem=50576 64768 98152"
sysctl -w net.ipv4.tcp_syncookies=1
sysctl -w net.ipv4.tcp_sack=0
sysctl -w net.ipv4.tcp_ecn=0
sysctl -w net.ipv4.tcp_window_scaling=0
sysctl -w net.ipv4.tcp_timestamps=0
sysctl -w net.ipv4.tcp_fin_timeout=7
sysctl -w net.ipv4.tcp_max_tw_buckets=720000
sysctl -w net.ipv4.tcp_tw_recycle=1
sysctl -w net.ipv4.tcp_tw_reuse=1
sysctl -w net.ipv4.tcp_max_syn_backlog=4096
sysctl -w net.ipv4.tcp_max_orphans=2255360
sysctl -w net.ipv4.tcp_synack_retries=2
sysctl -w net.ipv4.tcp_syn_retries=2
sysctl -w net.ipv4.tcp_orphan_retries=1
sysctl -w net.ipv4.tcp_keepalive_intvl=10
sysctl -w net.ipv4.tcp_keepalive_probes=5
sysctl -w net.ipv4.tcp_keepalive_time=60

Причин для пачек потерянных коннектов я не вижу. Но netstat показывает странное. Помогите выяснить, что за фигня происходит.

Там 3 списка блокировки, используется только один. Это не ошибка. Остальные для статистики, пока не разберусь, что как.

qemu (1.3.0+dfsg-5expubuntu3) raring; urgency=low

  * Now that qemu provides spice support, and qemu-kvm-spice is removed from
    the archive, have qemu-kvm (which qemu-kvm-spice always depended on)
    P/C/R qemu-kvm-spice.

 -- Serge Hallyn <serge.hallyn@ubuntu.com> Thu, 14 Feb 2013 13:43:27 -0600

Осталось в зависимости добавить python-spice-client-gtk и будет хорошо.
На данный момент, чтобы использовать kvm со spice-протоколом в ubuntu 13.04:

# apt-get install qemu-kvm python-spice-client-gtk
# apt-get install virt-manager // Для гуёвого управлятора
# gpasswd -a user libvirtd

Перемещено tazhate из talks

Приветствую!

Есть два сервера HP ProLiant DL380 G7, настроены на Failover. Непонятно как, но в одном из серверов вышел из строя RAID контроллер, диски полностью пропали (RAID1). Контроллер встроенный в мазаборд, поэтому меняем материнку целиком.
Вся сложность в том, что софт на серверах залит и настроен сторонней компанией, как и что там работает никто не знает. Моя задача съездить за 1000 км поменять материнскую плату и реанимировать софт.

Какие идеи есть на данный момент:

• 1) Беру один из дисков сбойного сервера и вставляю его в живой сервер, гружусь с Live-CD, снимаю образ живого диска и тут же пишу его на вставленный диск через dd. Далее Вставляю HDD в сбойный сервер. Уверенности нет, что сработает т.к вероятнее всего на диске с которого клонировали есть raid метки или что-то еще Также не ясно как собрать RAID1 на потяряв данные.
  
• 2) Гружу клонируемый сервер с LiveCD . Собираю на сбойном сервера RAID1, гружу его с live-CD, далее нужно как-то клонировать по сети.. как пока не ясно, опять же вопрос о raid метках…
  

Диски 300Gb , на северах стоит Slackware ставить с нуля ее вариант почти пропащий т.к вендор хорошенько ее кастомизировал + софт поверх..

Какие варианты еще можно рассмотреть…

Сегодня взял новое видео взамен безвременно усопшей GF9800GT. В виду бесперспективности nVidia для майнинга, решился на ATI :) Как я заводил это видео — это целая история на отдельный постинг. Проблемы были и в Windows, и в Linux. ATI в своём репертуаре :) Несколько часов угрохал. Но сейчас всё ок.

Кроме одного — ради чего брал. cgminer 3.3.1 (из ppa) выдаёт только ~16 kH/s. Более свежие из git смысла брать нет, так как из него выкинули поддержку scrypt.

Куда копать?

собственно ищется диск «Software Supplement for the Solaris Operating Environment». если конкретно то нужен пакет для LOM под последний Solaris 10. либо хинты по обновлению firmware LOM и OBP через serial и последние версии firmware.

Здравствуйте. Есть шлюз с Yota'вским USB-модемом. Модем в системе определяется как интерфейс eth2 с адресом 10.0.0.1. Реальный же IP, допустим 1.2.3.4. По этому IP можно подключиться к серверу извне. Из локальной же сети соединения на этот адрес, соответственно, перенаправляются на eth2, и модем их не возвращает обратно, а отклоняет. Какие есть способы завернуть трафик для 1.2.3.4 на локальную машину?