Добрый день, уважаемые.

Реквестирую историю успеха продакшен-применения Windows Server 2008 в QEMU/KVM под Centos/RHEL 6/7 (или под другим Linux). WinServer планируется использовать в качестве терминального/файлового сервера без AD, на 10-15 человек. Планируется использовать VirtIO. Хостовая машина, — стандартная серверная платформа Supermicro, планируется к размещению в ДЦ. Интересует стабильность поведения WinServer в KVM, какие есть подводные камни etc.

Спасибо.

Как известно в емаксе уже давно есть server-mode, который позволяет запускать емакс в режиме демона. После запуска можно подключаться к запущенному демону с нескольких емакс-клиентов. Проблема с этим режимом в том, что взаимодействие емакс-сервер — емакс-клиент возможно только локально, через сеть не работает. В связи с этим возник вопрос, существуют ли редакторы позволяющие запускать одну часть на машине где необходимо отредактировать файлы, и вторую часть с интерфейсом пользователя на удаленном хосте?

UPD. Подразумевается, что данный функционал обеспечивается самим редактором а не сторонним ПО: screen, tmux, X11, etc.

Хочу развернуть Clonezilla Live с загрузкой по PXE. Пробовал версии 20150805-vivid и 2.4.2-32, обе на сайте помечены как stable. И в обоих наблюдается одна и таже проблема — при загрузке Clonezilla не может получить параметры от DHCP, при том что сам DHCP работает штатно и на других машинах проблем не возникает. После того как CZ не смогла получить адрес она вываливается в busybox-initramfs, если из него руками запусить udhcpc — параметры прилетают мгновенно.

Конфигурация загрузки:

label clonezilla
  menu label Clonezilla (i586)
  kernel pxe/clonezilla/vmlinuz
  append initrd=pxe/clonezilla/initrd.img boot=live username=user union=overlay config components ip=dhcp noswap edd=on nomodeset nodmraid locales="en_US.UTF-8" keyboard-layouts="en" ocs_live_run="ocs-live-general" ocs_live_batch=no net.ifnames=0 nosplash noprompt fetch=http://p/pxe/clonezilla/filesystem.squashfs

Проблема воспроизводится как в ВМ так и на реальной машине.

Сейчас использую bacula 5.0.0 из репозиториев centos 6. Возникла мысль обновиться до 5.2.x, т.к. некоторые Windows-клиенты и так уже используют 5.2. Сначала хотел посмотреть на возможность обновления до Bacula 7.x, но сходу не нашел готовых пакетов под centos. Вспомнил, что есть форк Bareos, — посмотрел на сайте, актуальные версии есть аж под centos 5.

В связи с этим вопрос, имеет ли смысл заморачиваться с миграцией Bacula -> Bareos? Истории успеха приветствуются. Сейчас бекапистся меньше 20 машин, но в будущем клиентов 100% будет больше.

Суть такова.

Есть сервер контейнеров OpenVZ (Centos 6), все они имеют белые адреса и интерфейсы veth, выходят в интернет через bridge на хостовой машине. Есть желание поднять host-to-host IPSec туннель до сервера, таким образом, чтобы:

• Туннель был только один до хостовой машины
• Через него можно было связываться со всеми контенерами на хосте
• Как следствие из предыдущего пункта, отсутствие необходимости в строить отдельный туннель до каждого контейнера

Возможно ли такое?

Пока что есть просто туннель между хостовой машиной и удаленным хостом, но как при этом объяснить что трафик нужно гнать через туннель? Манипуляции с leftsubnets пока ни к чему не привели, до указанного контейнера трафик идет мимо туннеля.

Пример конфига:

version 2.0

config setup
  protostack = netkey
  nat_traversal = off
  oe = off
  syslog = local5.info

conn hn3-office
  type = tunnel
  authby = secret
  ike = "aes-sha1;modp2048"
  phase2 = esp
  phase2alg = "aes-sha1;modp2048"
  auto = start
  left = x.x.x.x
  right = y.y.y.y
  leftsubnets = { z.z.z.z/32 }

Здесь много power users, которые используют эти редакторы много лет. Вот ответьте мне господа:

1. Зачем в emacs/vim нужен собственный механизм переключения раскладок?

2. Почему в 2015 г. эти редакторы не умеют из коробки работать с общесистемной переключалкой (хотя бы в виде опции)?

3. Доколе? Неужели среди разработчиков нет людей которые осознают эту проблему?

Не нашел при установке RFR 21 с netinstall способа установить только minimal. В диалоге выбора ПО есть только возможность (не) устанавливать LibreOffice.

Я прав, что без KickStart этого не сделать, или просто не туда смотрел?

Перемещено Pinkbyte из talks

Поставив 2 месяца назад в Centos 7 пакеты fontconfig-infinality и freetype-infinality, я подумал что наконец-то в Линуксе у меня не будут вытекать глаза от шрифтов. Но, сделав сегодня обычный yum update, я узрел, что прилетело обновление до MATE 1.10. Ок, и что же я вижу после обновления и reboot'a? А вижу то, что в новом MATE в одной части (!) поехали шрифты и вернулись к традиционному линупсовому ШГ, в другой же части шрифты остались прежними. В частности пострадал mate-control-center, но не пострадал например mate-terminal, хотя оба они обновились до 1.10. Попытки переустановить infinality, настроить сглаживание через control-center ни к чему не привели. WTF? и как это лечить? Подобное поведение вы считаете нормальным для системы претендующей на звание «десктопной»?

Скриншот прилагается: http://i.imgur.com/1V8TpXt.png

На примере файла

http://www.inp.nsk.su/~baldin/LaTeX/ctex.pdf

в Linux (CentOS 7) шрифты выглядят ужасно, проверялось в Atril, Evince, Mupdf, Xpdf. При этом в системе установлен infinality и в остальных программах все ок со шрифтами - Firefox, LibreOffice, ПО на GTK2, GTK3, QT4.

На Win 10 шрифты в PDF выглядят гораздо лучше. Как это можно поправить?

Спасибо.

Как известно у Adobe есть yum-репа с flash:

http://linuxdownload.adobe.com/linux/x86_64/

Вопрос, могу ли я с лицензионной и пр. юридической т.з. создать локальное зеркало этого репозитория для использования у себя в конторе?

Вопрос возник в связи с тем что некоторые дистрибутивы, например Debian/Ubuntu в бинарных пакетах не держат сам flash а держат инсталятор который каждый раз вытягивает его с сайта Adobe и сделано это вроде как по каким-то лицензионным ограничениям, насколько мне известно.

Hi, folks!

Поясните такой момент, правильно ли я понимаю что для монтирования CIFS-шар с использованием autofs, в случае если требуется аутентификация, единственный правильный способ это сделать - настроить Kerberos-аутентификаию. В противном случае нужно как-то извращаться на предмет указания login/pass на клиенте в параметрах монтирования или как-то иначе?

Hi, folks.

Ставлю Centos 7.1 с помощью Kickstart. В файле прописаны следующие пакеты:

@core
@mate-desktop

nmap
tcpdump
salt-minion
htop
iotop
iftop
mc
lightdm
gajim
lsof
mg
wget
bash-completion
bind-utils
sssd
rsync

thunderbird
mozilla-adblockplus

xorg-x11-drv-evdev
xorg-x11-drv-ati
xorg-x11-drv-vesa
xorg-x11-drv-nouveau
xorg-x11-drv-intel
xorg-x11-drv-mouse
xorg-x11-drv-keyboard

gstreamer
gstreamer-plugins-base
gstreamer-plugins-good
gstreamer-plugins-bad-nonfree
gstreamer-plugins-bad-free
gstreamer-plugins-ugly

fontconfig-infinality
freetype-infinality

chrony
kexec-tools

-xchat
-totem
-brasero
-transmission-gtk
-rhythmbox
-filezilla
-postfix

При этом если в ks прописать автоматическое добавление репозитория ELRepo (packages - это локальное зеркало):

repo --name=packages-elrepo --baseurl=http://packages/centos/elrepo/7/x86_64 --install --cost=2

kmod-nvidia-352.21-3.el7.elrepo.x86_64
nvidia-x11-drv-352.21-3.el7.elrepo.x86_64

[root@apmX ~]# rpm -q --whatrequires nvidia-x11-drv
kmod-nvidia-352.21-3.el7.elrepo.x86_64
[root@apmX ~]# rpm -q --whatrequires kmod-nvidia
no package requires kmod-nvidia

Можно ли каким-нибудь образом узнать по какой причине эти пакеты оказываются установленными?

Спасибо.

Вопрос возник в связи с последними блокировками flibusta.net. Учитывая, что заранее неизвестно что заблокируют завтра, возникла простая идея принятия превентивных мер, а именно на VDS находящимся за пределами этой страны поднять IPSec туннель и гнать через него весь трафик из домашней сети.

Найти VDS под KVM/Xen проблем не составляет, но практически всегда не ясно какой ToS по трафику у того или иного провайдера. Учитывая это, нужен провайдер которому будет абсолютно все равно какой трафик гонится через VDS. Объем в месяц врядли превысит 500 Гб. Скорость до родных пенатов хотелось бы > 30 Mbit, но другие варианты рассматриваются. Вопрос цены не принципиален, готов рассматривать любые предложения.

Hi, folks.

Суть такова. Есть ejabberd 2.1.13 на centos 6.6. Пытаюсь установить для него сертификат от GlobalSign. Сертификат валидный, не просроченный успешно работает в nginx, dovecot, postfix. Ситуация в следующем, есть домен example.com, поднят ejabberd работающий. При попытке добавления сертифката при подключении с Gajim получаем следующие спецэффекты:

Если certfile.pem создан как host.key + host.crt - получаем сообщение что невозможно проверить сертификат т.к. отсутствует сертификат промежуточного УЦ (что справедливо и понятно).

Если certfile.pem создан как host.key + host.crt + middle_ca.crt - получаю на Gajim ошибку

SSL Error: Certificate has expired

Важное замечание, сертификат выдан на хост server.example.com, я же хочу чтобы домен был example.com с JID вида user@example.com. В hosts в ejabberd.conf выглядит так:

{ hosts, [ "example.com", "server.example.com" ] }.

В чем может быть проблема? Дополнительный вопрос, по стандартам(?) требуется ли чтобы CN указанный в сертфикате совпадал с доменной частью JID?

Спасибо.

Как изветно, многие xmpp серверы поддерживают в том или ином виде т.н. shared roster - т.е. возможсть передавать клиенту при подключении список контактов, - при этом клиенту не требуется вручную заниматься добавлением контактов. Вопрос в следующем, существует ли возможность в xmpp одному серверу «забирать» ростер с другого сервера и добавлять пользователей к своему ростеру. Т.е. допустим есть 2 сервера A и B у каждого свой собственный список пользователей, можно ли сделать так что сервер A забирает ростер сервера B и добавляет полученных пользователей к своим, сервер B забирает ростер сервера A и добавляет в своему. Т.е. в итоге получается картина что пользователи на обоих серверах видят как «своих» так и «соседей» с другого сервера и при этом могут отправлять сообщения без необходимости ручного добавления контактов.

Надеюсь понятно выразил мысль.

Вместо каталога почтовых фильтров для Sendmail/Postfix на http://milter.org

теперь

The milter.org web site catalog of mail filters & developer documentation and associated milter-announce mailing list was permanently shut down on May 15, 2015. Thank you for your patronage over the last eight years.

Кто знает, что случилось то?

Hi. folks!

Суть такова. Есть маршрутизатор с OpenBSD 5.1 на борту. На нем работает IPSec и соединяет его с другим маршрутизатором на CentOS 6. Как правильно объяснить OpenBSD что для некоторых destination необходимо заворачивать трафик в IPSec и передавать его на CentOS? Т.е. например я хочу выходить на ya.ru через удаленный шлюз на CentOS - прописываю в pf.conf:

pass in quick on $Lan from $Lan:network to 213.180.204.3 route-to enc0

В результате обычный коннект до ya.ru пропадает, но и tcpdump'ом на enc0 никакой активности не наблюдается. Для enc0 выставляю

pass in on enc0 from any to any                    
pass out on enc0 from any to any

Правильно ли я понимаю что подобное нужно делать именно через route-to а не как-нибудь иначе?

Спасибо.

Есть сервер ejabberd версии 2.1.13 работающий под управлением Centos 6. Сервер авторизует аккаунты через LDAP-каталог и из него же забирает ростер. Необходимо сюда прикрутить хранение истории на сервере в MySQL. Поставил MySQL, настроил mod_archive_sql, - вроде все нормально, по крайней мере по логам. Для тестирования использую Vacuum-IM т.к. в нем явно заявлена поддержка XEP-0136, который реализуется в mod_archive_sql. В клиенте доступны для аккаунта настройки в т.ч. для хранения истории на сервере, т.е. Vacuum-IM по крайней мере «видит» что на сервере XEP-0136 доступен. Но при пересылке сообщений в БД собственно ничего не появляется. Таблицы выглядят следующим образом:

+-------------------------+
| Tables_in_ejabber       |
+-------------------------+
| archive_collections     |
| archive_global_prefs    |
| archive_jid_prefs       |
| archive_messages        |
| last                    |
| privacy_default_list    |
| privacy_list            |
| privacy_list_data       |
| private_storage         |
| pubsub_item             |
| pubsub_node             |
| pubsub_node_option      |
| pubsub_node_owner       |
| pubsub_state            |
| pubsub_subscription_opt |
| roster_version          |
| rostergroups            |
| rosterusers             |
| spool                   |
| users                   |
| vcard                   |
| vcard_search            |
+-------------------------+

Здесь меня интресует вот какой вопрос, до прикручивания mod_archive_sql сервер использовал дефолтные настройки, т.е. в качестве БД для хранения данных пользователей (например аватаров и всего что можно записать через клиент в свой профиль) использовалась (и используется впредь) БД mnesia. С этой точки зрения требуется ли для работы mod_archive_sql, чтобы вместо mnesia использовалась тоже MySQL?

Есть необходимость поднять туннель между OpenBSD/isakmpd и CentOS/OpenSWAN с использованием RSA ключей.

В OpenBSD используется openssl и ключи формата PEM, а в OpenSWAN - NSS и ключи в собственой БД.

Допустим сгенерировал на стороне OpenSWAN стандартно пару ключей через ipsec newhostkey, в NSS db появилась запись:

certutil -K -d dbm:/etc/ipsec.d

certutil: Checking token "NSS Certificate DB" in slot "NSS User Private Key and Certificate Services"
< 0> rsa      a23cc83abb43b202262bb708381ccd8188173fd9   (orphan)

Как теперь выгрузить его открытую часть в PEM? Согласно http://www.linuxsysadmintutorials.com/extract-pem-certificates-and-keys-from-a-shared-nss-db/

надо выгружать через pk12tool, НО в статье речь идет о выгрузке сертификатов а не голого RSA ключа. Для pk12tool нужно указывать флаг -n и передавать имя сертификата, но что делать если сертификата нет?

certutil -L -d dbm:/etc/ipsec.d 

Certificate Nickname                                         Trust Attributes
                                                             SSL,S/MIME,JAR/XPI

Спасибо.

В OpenBSD для сетевого интерфеса можно добавить произвольное описание, которое будет видно в поле description вывода ifconfig:

vr0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500
        lladdr 00:02:b3:8c:51:31
        description: WAN interface