LINUX.ORG.RU

Сообщения prizident

 

Переопределить $HOME для ssh

Есть необходимость переопределить домашнюю директорию для пользователя, делаю все по докам, но не работает. В документации и манах у них везде написано или ~/.ssh или $HOME/.ssh, он оно все равно долбится в ту директорию что указана в /etc/passwd. ssh-keygen (не) работает аналогично. bash, git, mc, vim, less отрабатывают правильно.
Может кто знает как побороть?

~$ HOME=/home/username ssh localhost
Could not create directory '/var/www/.ssh'.

OpenSSH_6.7p1 Debian-5+deb8u3

 , , ,

prizident ()

SSD низкая производительность

Есть просто сервер, в нем два Crucial_CT960M500SSD1, один из них сильно тормозит. Диски в md raid1, NCQ включен, ~200Гб свободно. centos 6. Выравнивание правильное. Много мелких файлов (11кк). Выглядит это примерно так

Device:         rrqm/s   wrqm/s     r/s     w/s    rMB/s    wMB/s avgrq-sz avgqu-sz   await r_await w_await  svctm  %util
sdb              15.20   114.20    8.80   92.20     0.11     8.93   183.31    42.44  141.59  113.64  144.25   9.90  99.96
sda             370.60   102.40  386.20  116.80     6.48     9.04    63.18     0.71    1.42    0.31    5.09   0.20  10.30

Отключить этот диск из md, сделать blkdiscard, выключить обратно, синхронизация идет 300-400МБ/с, но через несколько часов начинает тормозить.

Всякое пробовал, но изменений добиться не смог. ТП морозится, говорит что не видит проблему, а с убедительными аргументами я что-то не могу придумать.

Посоветуйте что еще можно попробовать. Мигрировать куда-то очень не хочется.

 

prizident ()

Ubuntu где взять пакеты для старой версии?

Случилась необходимость установить php5-curl на «Ubuntu 8.04 (hardy) i686». Там оказалась установленная версия php5-common=5.2.6-2ubuntu4.1, ну пытаюсь установить php5-curl такой же версии. Однако нигде не могу найти этот пакет. Все обыскал, но он исчез. Зачем они так поступают - удаляют нужные пакеты из интернета?
Нашел упоминание только тут: https://lists.ubuntu.com/archives/ubuntu-security-announce/2009-February/0008...
По ссылке получаю «security Not found» http://security.ubuntu.com/ubuntu/pool/main/p/php5/php5-curl_5.2.6-2ubuntu4.1...
Т.е. я так понимаю, можно официально считать что убунту не поддерживает безопасность?

 , , , ,

prizident ()

Почему systemd выключает ssh первым

Допустим перезагружаю сервер, запускаю reboot и через долю секунды отрубается ssh сессия. Потом примерно через минуту пропадает сеть и сервер таки перезагружается.
Зачем так делать? Почему sshd сессии не отключаются последними?

 

prizident ()

Функционал crontab в systemd

Стало вот интересно как в systemd делать то что раньше делалось через crontab -e со всяким разным содержимым вроде '@reboot /home/user/start_service.sh', ну то есть как запускать задачи по расписанию обычным пользователям?

 , ,

prizident ()

Как проприетарщики-кривокодеры изысканно троллят разработчиков СПО

Прочитано тут: https://geektimes.ru/post/282810/

Схема простая и одновременно изощренная. Проприетарщики выпускают софт для автомобильных медиа-систем(навигаторы, плеер и прочая, в самолетах тоже такие бывают), который естественно огорожен по самые помидоры всякими копирайтами, NDA, DMCA и уголовными кодексами. Понятное дело что софт этот кривой во все стороны. Так же понятно что нередко в них используются компоненты СПО (libcurl как в примере), которые требуют указания авторства. Дальше все просто: делаем большую кнопку ABOUT в этой их проприетарной системе и указываем там имейл автора СПО-компонента. После этого тихо радуемся тому сколько же мучений и страданий выпадет на долю этого поганого разработчика, посмевшего выбрать такую неудобную лицензию, которому теперь будут сыпаться тонны спама от недовольных потребителей.

 , , ,

prizident ()

Mенеджеры заданий / batch / job pool

Господа, какие есть варианты замены крона для запуска бэкапов? Хочется какую-то простую систему с гуем чтобы там было видно задания, результат выполнения и логи.
Сейчас используется два подхода - на каждом сервере в кроне добавлены задания; второй вариант - центральный сервер на котором в кроне 3000 строчек вида 'ssh server01 /bin/backup.sh'.
В обоих случаях следить как-то за всем этим невозможно.

Пока нашел два готовых варианта: task spooler и nq. Еще пару заготовок https://github.com/vincetse/shellutils/blob/master/job_pool.sh и https://github.com/spektom/shell-utils/blob/master/jp.sh. Но функционала у них недостаточно. Еще есть celery, гуй у него хороший, но к нему надо писать обертку на пейтоне для добавления скриптов как заданий и все остальное.
Среди платных вариантов больше, но они платные.

 

prizident ()

Прогресс и systemd

Сотрудник RedHat с удивлением обнаружил что древняя Fedora 10 загружается быстрее чем новая Fedora 20 с распараллеленным во все стороны systemd.


Those old Fedoras were so nice, BTW. Funnily enough, that VM with 1 CPU and 1.5 GB starts quicker than the host laptop with the benefit of SystemD and its ability to run tasks in parallel. Of course, the handing of WiFi in Fedora 20+ is light years ahead of nm-applet in Fedora 10. There was some less noticeable progress elsewhere as well. But in the same time, the bloat was phenomenal.



Все Сюда!

 , ,

prizident ()

openssl checkend

Получается что сертификат истечет через 6 лет, но не истечет через 800. Я туплю или это арифметика Лобачевского?

$ openssl x509 -enddate -noout -in /tmp/check_ssl_cert.shW15798
notAfter=May  5 01:56:21 2018 GMT
$ openssl x509 -in /tmp/check_ssl_cert.shW15798  -checkend 194608000
Certificate will expire
$ openssl x509 -in /tmp/check_ssl_cert.shW15798  -checkend 25920000000
Certificate will not expire

$ openssl x509 --help 2>&1 | grep check
 -checkend arg   - check whether the cert expires in the next arg seconds

 

prizident ()

nginx изоляция виртуальных хостов

У апача есть mpm-itk, который позволяет запускать воркеры для каждого вхоста от отдельного пользователя. А в nginx все бежит от одного пользователя и этот пользователь должен иметь доступ ко всем виртуал хостам. Т.е. если в nginx будет уязвимость, то атакующий в теории сможет считать файлы всех вхостов.

В интернетах я нашел одно упоминание этой проблемы, но решение там предложено довольно мудреное, хотя и безопасное, - запускать отдельный экземпляр nginx для каждого вхоста и перед ними ставить общий реверс-прокси.

Вот и стало интересно кто как обходит данную проблему, а если не обходят, то почему.

 

prizident ()

shutdown: shutting down for system halt

Вот есть сообщение из сабжа в логе, как понять откуда растут его ноги, т.е. кто выключил сервер? Сервис какой-то или пользователь?


[code] Oct 30 17:43:26 server1 shutdown: shutting down for system halt
Oct 30 17:43:26 server1 init: Switching to runlevel: 0
Oct 30 17:43:26 server1 udevd[1818]: udev done!
Oct 30 17:43:26 server1 udevd[1818]: udev done!
Oct 30 17:43:27 server1 cups-config-daemon: cups-config-daemon -TERM succeeded
Oct 30 17:43:27 server1 haldaemon: haldaemon -TERM succeeded
Oct 30 17:43:27 server1 messagebus: messagebus -TERM succeeded
Oct 30 17:43:27 server1 gpm[29416]: *** info [mice.c(1766)]: [/code]

prizident ()

iptables ftp, входящие соединения на клиенте

Заметил вот такое странное поведение: во время трансфера файлов на клиенте в логе iptables проскакивают дропнутые входящие пакеты, при этом трансфер вроде как нормально идет. На клиенте запускал в lftp mirror -R

в фаерволе на клиенте стандартные правила:
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -j LOG --log-prefix «iptables: in_drop: » --log-level 7
-A INPUT -j DROP

И проскакивает вот такое.
in_drop: IN=venet0 OUT= MAC= SRC=xx.xx.xx.xx DST=yy.yy.yy.yy LEN=52 TOS=0x00 PREC=0x00 TTL=49 ID=53417 DF PROTO=TCP SPT=45345 DPT=58700 WINDOW=126 RES=0x00 ACK URGP=0

x - сервер, y - клиент.
Если посмотреть в netstat то на этом порту есть соединение в статусе ESTABLISHED.

Куда копать?

 

prizident ()

OpenVZ и память

Помогите разобраться с вот такой ситуацией.
Есть OpenVZ контейнер с Centos 6.5 64 бит(на HN то же), 700M Ram, 512M vSwap. В один прекрасный момент память вдруг закончилась и заработал oom-killer. Вдруг, потому что при этом в контейнере было использовано 250M Ram, 250M swap и около 500M было в кэшах. Но кэши же они должны вытесняться, но почему-то вместо этого заработал oom-killer. Или может это баг?
На контейнере бежит apache/mysql.

картинка: http://postimg.org/image/4ruai3yov/
лог с HN http://pastebin.com/HAcNwnsS

 , ,

prizident ()

Доступ в виртуалку через нат

Есть стандартная схема, 1 внешний адрес, пара контейнеров; в контейнеры проброшены порты через DNAT, наружу доступ сделан через SNAT. Все настройки делал по вики. Проблема в том что не получается зайти изнутри контейнера через внешний адрес на порт, который проброшен внутрь этого контейнера. Если порт проброшен на другой контейнер, то заходит без проблем.

Часть правил:
VE0
-t nat -A PREROUTING -d 88.88.88.88/32 -p tcp -m multiport --dports 80,20,21,53,45510,8080 -j DNAT --to-destination 192.168.10.1
-t nat -A POSTROUTING -o eth0 -j SNAT --to-source 88.88.88.88

VE101 это 192.168.10.1

Вот если из VE101 сделать такую команду, то получу таймаут
$ telnet 88.88.88.88 80
А с другого контейнера будет работать.

Пробовал делать трейс пакетов, на разобраться с ним не смог. Заметил только что пакет при выходе из VE0 после mangle:POSTROUTING не попадает в net:POSTROUTING и SNAT на него не срабатывает. Потом этот пакет попадает в VE101, но стопорится на nat:PREROUTING, хотя на нем полиси стоит ALLOW.
http://pastebin.com/bcnzSX9h

 , ,

prizident ()

не работает alias для рута

Вроде бы все сделал как надо, а почта все равно уходит руту. В интернетах почитал и вроде как этого конфига должно быть достаточно, а не пашет. Раньше стоял sendmail и в нем все работало как-то незаметно.

# postconf -n|grep ^alias
alias_database = hash:/etc/mail/aliases
alias_maps = hash:/etc/mail/aliases
# postmap -q root hash:/etc/mail/aliases
user+root.server@gmail.com
# /usr/sbin/sendmail -bv root
Mail Delivery Status Report will be mailed to <root>.

 ,

prizident ()

Gmail: есть ли альтерантивы?

После сегодняшней смены дизайна в вэб-интерфейса gmail вопрос альтернатив стал как никогда серьезен. Испорченые календарь, ридер, поисковик я еще хоть как-то мог терпеть, но без gmail мне как-то уж очень не комфортно.

В свое время хотел слезть на yandex, но он какой-то убогонький, интерфейс не многим лучше чем у gmail

 

prizident ()

Аналог patchcluster для RHEL

В энтерпрайзных юниксах есть такая удобная штука как набор рекомендуемых патчей (вроде patchcluster для соляры). Т.е. залил на сервак архивичик метров в 500, распаковал и простой командой установил с него все применимые патчи. Интересует вопрос о том как провернуть такое для RHEL. Для пятого, думаю, можно закопировать исошку со свежей версией, добавить ее как репо в yum и сделать yum upgrade. Вот только не уверен прокатит ли такое для четвертого, ибо там и yum"а то нету по дефолту. Да и исошка неразумно великовата и содержит много лишнего.

prizident ()

дистрибутив с кде3

Господа, подскажите в каком дистрибутиве можно полноценно установить и пользоваться кде3. Сам-то я пользуюсь Gentoo, но оно как-то печалит в последнее время.

prizident ()

Сертификация (ALT Linux Certified Specialist)

Встала необходимость сдать сабжевую сертификацию, причем сразу экзамен, без курсов, а сам я про Альт только слышал. Может кто проходил уже этот экзамен, подскажите примеры заданий и вопросов, или может есть где почитать об этом? Спасибо

>>>

prizident ()

Требуется администратор Unix, Ростов-на-Дону

Требования:

Знание английcкого языка (письменный/разговорный) - обязательно
Опыт администрирования Unix/Linux систем 2 года.
Знание HP-UX, Solaris, RHEL, AIX.
Знание основных сетевых протоколов.
Опыт shell программирования.
Знание стороннего программного обеспечения (Veritas , HP Open View) - большой плюс.
Знание Perl - плюс.
Знание аппаратных технологий избыточного хранения данных - плюс.

Обязанности:

Конфигурирование и поддержка Unix/Linux систем.
Работа с сетевыми программами, планировщиками и системами резервного копирования / восстановления.
Поддержка и обслуживание внешних дисковых массивов (SAN).
Работа с инфраструктурой безопасности Unix.
Конфигурирование сетевой инфраструктуры.
Координация и тестирование планов по восстановлению от сбоев.
Координация действий, связанных с установкой \ заменой аппаратной части.
Написание скриптов и утилит для автоматизации процессов администрирования.
Постоянное самообучение для повышения качества и скорости работы.
Коммуникация с Заказчиками по телефону и эл. почте (на английском языке)

Заработная плата в зависимости от профессиональных навыков и уровня английского. Работа в дружном профессиональном коллективе. Соцпакет согласно ТК РФ. Подробное резюме высылайте по адресу staff@dbi.ru с пометкой «UNIX»" Контактное лицо: Юлия.

>>>

prizident ()

RSS подписка на новые темы