Допустим, есть сервак, в который 50 других серваков заливают логи по средствам rsync через ssh, ну то есть раз в 5 минут одновременно или почти одновременно по крону по ssh стучится 50 одинаковых юзеров. И иногда, редко, но всё же, соединение произвольного сервака отваливается по таймауту. Будем считать, что с сеткой всё в порядке. Есть ли какой-нибудь параметр sshd, который бы регулировал этот момент, чтобы вот гарантировать что 100500 юзеров могут логиниться без всяких таймаутов, аналогично, например, мускульёвого max_user_connections. Есть ли в ssh аналог max_user_connections? Параметр MaxStartups, насколько я понял, немного не по этой части.

Как сделать, чтобы внутренний днс консула отдавал только живой ip, на котором работает сервис, ну постгрес например. Сделал так

consul.d# cat postgres.json {«services»: [ { «id»: «pg_dbmaster», «name»: «postgres», «address»: «8.8.8.8», «tags»: [«master»], «port»: 5432 }, { «id»: «pg_dbread», «name»: «postgres», «address»: «127.0.0.1», «tags»: [«slave»], «port»: 5432, «check»: { «name»: «pg_dbread_check», «tcp»: «localhost:5432», «interval»: «10s», «timeout»: «1s» }

} ] }

на 127.0.0.1 ПГ специально дохлый, по идее на запрос должен отдавать только 8.8.8.8

dig @127.0.0.1 -p 8600 postgres.service.consul A +short

8.8.8.8

а он, редиска, отдаёт оба

8.8.8.8

127.0.0.1

Ребята, в PG10 есть способ из коробки делать ALTER? pglogic настраивал, вопрос - умеет ли без него? в гугле не нашёл ответа.

в строго определённое время резко умирают потоковые реплики (10 штук) постгреса и никакие перезапуски не помогают. Началось это внезапно 2 дня назад, вроде ничего не делали с того времени. До этого всё было прекрасно. Запись напрямую в реплику не работает, проверяли (на тот случай, если вдруг какой-то процесс это делает)

ОС ubuntu 16.04, версия PG 9.5

2019-04-11 00:00:02.461 UTC [20140] LOG: invalid record length at 1B62/F21E54D8 2019-04-11 00:00:02.461 UTC [7142] FATAL: terminating walreceiver process due to administrator command 2019-04-11 00:00:02.463 UTC [20140] LOG: invalid record length at 1B62/F21E54D8 2019-04-11 00:00:02.463 UTC [20140] LOG: invalid record length at 1B62/F21E54D8

бах и всё. Пока не прибьёшь весь main и не накатишь в мастера - тогда работает дальше строго до 0 часов по UTC

Кто виноват и что делать?

ansible playbook не фурычит почему-то, тогда как через шелл всё норма

вот работает, это просто установка mc

ansible -m shell -a 'apt-get install mc' test vpn.test2 | SUCCESS | rc=0 >> Reading package lists... Building dependency tree... Reading state information... mc is already the newest version (3:4.8.19-1). 0 upgraded, 0 newly installed, 0 to remove and 12 not upgraded.

а ansible-playbook mc.yml говорит

ansible-playbook mc.yml

PLAY [test] ********************************************************************************************************************************************************************************************************************************

TASK [Gathering Facts] ********************************************************************************************************************************************************************************************************************* An exception occurred during task execution. To see the full traceback, use -vvv. The error was: TimeoutError: Timer expired after 10 seconds fatal: [vpn.test2]: FAILED! => {«changed»: false, «cmd»: «/bin/findmnt --list --noheadings --notruncate», «msg»: «Timer expired after 10 seconds», «rc»: 257} to retry, use: --limit @/root/ansible/mc.retry

PLAY RECAP ********************************************************************************************************************************************************************************************************************************* vpn.test2 : ok=0 changed=0 unreachable=0 failed=1

какой ему таймаут не нравится - непонятно.

cat mc.yml --- - hosts: test tasks: - name: Install package mc apt: pkg=mc

cat /etc/ansible/hosts [test] vpn.test2 ansible_port=222 ansible_ssh_host=127.0.0.1

хост - он сам, ssh на 222 порт, разумеется, ходит, ибо тест выше работает.

версии ансибла разные, 2.5.5 и 2.7.8, так что пофиг на версию, ведёт себя одинаково.

Есть логическая реплика в PG 9.5 pglogical, но не очень понятно как делать там alter, все остальные изменения работают, примерно так

SELECT pglogical.replicate_ddl_command('update public.stats SET value=94 where id=6247'); replicate_ddl_command ----------------------- t (1 row)

но

SELECT pglogical.replicate_ddl_command('ALTER TABLE public.stats ADD Phone CHARACTER VARYING(20)'); replicate_ddl_command ----------------------- t (1 row)

на slave не меняется, столбика не добавляется, а после этого update сразу вгоняет реплику в down

Как быть? Есть варианты делать alter?

решено

Есть ли что-то такое, чем можно управлять настройками iptables группами, например, на кучке разных серверов? Ну кроме банального копирования файлов по ssh

Нечто, хотя бы отдалённо напоминающее то, что использует, например, Amazon

Кто-нибудь сталкивался ли такой штукой как переодическая недоступность tcp-портов на удалённых серверах из своей локальной сети? пример

telnet 31.22.24.7 222

Trying 31.22.24.7...

telnet: Unable to connect to remote host: Connection timed out

и через 5 секунд

telnet 31.22.24.7 222 Trying 31.22.24.7... Connected to 31.22.24.7. Escape character is '^]'. SSH-2.0-OpenSSH_7.2p2 Ubuntu-4ubuntu2.4 quit Protocol mismatch. Connection closed by foreign host.

а потом опять через полминуты telnet: Unable to connect to remote host: Connection timed out

причём хост удалённый может быть любой вообще.

на роутере обычная фря с натом

ipfw sh

64000 347932722 248770941846 divert 8668 ip from any to any

65000 347883858 248708130940 allow ip from any to any

cat /usr/local/etc/rc.d/natd.sh

/sbin/ipfw add 64000 divert natd all from any to any;/sbin/natd -a 85.11.10.116

разумеется из других мест никаких подобных катаклизмов и близко не наблюдается.

Кто-нибудь сталкивался с апгрейдом графаны с 4 на 5 ветку? Все метрики при этом перестают быть видны и дают 404. url в новой графане явно строится иначе, какие есть способы нормального апдейта, исключая переделку всех графков?

Есть задача вычислять pid процесса, например apache, который работает дольше 10 часов и килять его.

Как бы это по-умному осуществить?

Так, чтобы остальные жили, разумеется. Скрипт для крона будет раз в минуту просто смотреть и килять

Сабж. Хочу через сквид пускать авторизованных товарищей на сайты с https, FreeBSD 9.2, сквид 3.4

http через 3128 работает, а вот https-сайты через 3129 нет браузер пишет «не удаётся подключиться с сайту»

auth_param basic program /usr/local/libexec/squid/basic_ncsa_auth /usr/local/etc/squid/passwd

auth_param basic children 5

auth_param basic realm Squid proxy-caching web server

auth_param basic credentialsttl 2 hours

auth_param basic casesensitive off

acl passwd proxy_auth REQUIRED

http_access allow passwd

http_access allow all

#acl localnet src 10.0.0.0/8 # RFC1918 possible internal network

#acl localnet src 172.16.0.0/12 # RFC1918 possible internal network

#acl localnet src 0.0.0.0/8 # RFC1918 possible internal network

#acl localnet src fc00::/7 # RFC 4193 local private network range

#acl localnet src fe80::/10 # RFC 4291 link-local (directly plugged) machines

acl SSL_ports port 443

acl Safe_ports port 80 # http

acl Safe_ports port 21 # ftp

acl Safe_ports port 443 # https

acl Safe_ports port 70 # gopher

acl Safe_ports port 210 # wais

acl Safe_ports port 1025-65535 # unregistered ports

acl Safe_ports port 280 # http-mgmt

acl Safe_ports port 488 # gss-http

acl Safe_ports port 591 # filemaker

acl Safe_ports port 777 # multiling http

acl CONNECT method CONNECT

http_access deny !Safe_ports

http_access deny CONNECT !SSL_ports

http_access allow localhost manager

http_access deny manager

dns_nameservers 8.8.8.8

#http_access allow localnet

#http_access allow localhost

#http_access deny all

http_port 3128

https_port 3129 ssl-bump transparent generate-host-certificates=on dynamic_cert_mem_cache_size=4MB cert=/usr/local/etc/squid/ssl_cert/myCA.pem

sslproxy_flags DONT_VERIFY_PEER

sslproxy_cert_error allow all

always_direct allow all

ssl_bump server-first all

sslproxy_options NO_SSLv2,NO_SSLv3,SINGLE_DH_USE

sslcrtd_program /usr/local/libexec/squid/ssl_crtd -s /usr/local/ssl_db -M 4MB

cache_dir ufs /var/squid/cache 100 16 256

coredump_dir /var/squid/cache

refresh_pattern ^ftp: 1440 20% 10080

refresh_pattern ^gopher: 1440 0% 1440

refresh_pattern -i (/cgi-bin/|\?) 0 0% 0

refresh_pattern . 0 20% 4320

visible_hostname mail.ru

2017/04/25 00:59:44 kid1| clientNegotiateSSL: Error negotiating SSL connection on FD 129045: error:1407609B:SSL routines:SSL23_GET_CLIENT_HELLO:https proxy request (1/-1)

2017/04/25 00:59:45 kid1| clientNegotiateSSL: Error negotiating SSL connection on FD 129045: error:1407609B:SSL routines:SSL23_GET_CLIENT_HELLO:https proxy request (1/-1)

2017/04/25 00:59:50 kid1| clientNegotiateSSL: Error negotiating SSL connection on FD 129045: error:1407609B:SSL routines:SSL23_GET_CLIENT_HELLO:https proxy request (1/-1)

2017/04/25 01:00:24 kid1| clientNegotiateSSL: Error negotiating SSL connection on FD 129045: error:1407609B:SSL routines:SSL23_GET_CLIENT_HELLO:https proxy request (1/-1)

2017/04/25 01:01:25 kid1| clientNegotiateSSL: Error negotiating SSL connection on FD 38782: error:1407609B:SSL routines:SSL23_GET_CLIENT_HELLO:https proxy request (1/-1)

2017/04/25 01:02:17 kid1| clientNegotiateSSL: Error negotiating SSL connection on FD 69136: error:1407609B:SSL routines:SSL23_GET_CLIENT_HELLO:https proxy request (1/-1)

2017/04/25 01:03:20 kid1| clientNegotiateSSL: Error negotiating SSL connection on FD 44127: error:1407609B:SSL routines:SSL23_GET_CLIENT_HELLO:https proxy request (1/-1)

база создана ls /usr/local/ssl_db certs index.txt size

сертификат сгнерён /usr/local/etc/squid]# ls -la /usr/local/etc/squid/ssl_cert/myCA.pem -r-------- 1 squid squid 3176 Apr 24 23:51 /usr/local/etc/squid/ssl_cert/myCA.pem

Пытаюсь настроить эту радость, но столкнулся со странностью

http://myip:8086/query?q=SELECT mean("value") FROM "measurement" WHERE time >...

отвечает {«results»:[{«statement_id»:0}]}

и не хочет ни под каким видом рисовать графики. Может кто-то сталкивался? Морда сама по себе, конечно, работает.

/etc/influxdb/influxdb.conf

[[collectd]]

enabled = true

bind-address = ":25826"

database = «collectd»

retention-policy = «»

batch-size = 5000

batch-pending = 10

batch-timeout = «10s»

read-buffer = 0

security-level = «none»

auth-file = «/etc/collectd/auth_file»

typesdb = «/usr/share/collectd/types.db»

/etc/collectd/collectd.conf

<Plugin network>

Server «127.0.0.1» «25826»

</Plugin>

что-то ещё показать, части конфигов - покажу

Камрады, есть ли вменяемый способ отрубить transparent в поставленном из репы tinyproxy? убунта 14.04 Ибо по дефолту он ставится с ним

/usr/sbin/tinyproxy -h

Features compiled in: XTinyproxy header Filtering Transparent proxy support Reverse proxy support Upstream proxy support

а, соответвенно, не даёт биндить доп. ip, а основной мне нафиг не нужен.

/etc/init.d/tinyproxy restart Restarting tinyproxy: «Bind» cannot be used with transparent support enabled. Syntax error on line 37 Unable to parse config file. Not starting.

ubuntu 14.04

nginx.conf

proxy_cache_path /run/shm levels=1:2 keys_zone=STATIC:50m inactive=12m max_size=15000m;

создаём на левом порту сервер

server {
listen 127.0.0.1:8081;
root /home/ger/www/static/$tag/;
}

server {
                listen *:80;
                server_name  ~^static\.(?<tag>.+)\.med.com

location ~* \.(svg|flv|webm|vob|ogv|wmv|m4v|srt|ssa|ass|mp4|mp3|ogg|avi|mkv|jpg|jpeg|gif|png|ico|css|zip|tgz|gz|rar|bz2|doc|xls|exe|pdf|ppt|txt|tar|mid|midi|wav|bmp|rtf|js|swf)$ {

####root /home/ger/www/static/$tag/;

proxy_pass http://127.0.0.1:8081;

proxy_cache STATIC;

proxy_cache_key $uri$is_args$args;

}

в логе

/home/ger/www/static//logo_dateodernicht.png" failed (2: No such file or directory), client: 127.0.0.1, server: , request: "GET /logo_dateodernicht.png HTTP/1.0", host: "127.0.0.1:8081"

root /home/ger/www/static/$tag/; — если раскоментить — конечно всё работает, но в мемдиск ничего не пишется, а значит всё это бестолку

как быть?

Имею две виртуалочки на славном Амазоне. Крутится-вертится на них доблестная убунта за номером 14.04, стоит там апач 2.4, пых 5.6.6 и всё бы ничего, но происходит следующая ботва: каждый божий день приблизительно (но не точно) в одно и тоже время апач передёргивается. Разумеется никто его не трогает руками, никому это не надо, но это передёргивания вызывает нехорошую штуку, коей быть не должно. логи

первый сервак

zgrep operations error.log.14.gz [Sat Jun 27 09:44:23.461011 2015] [mpm_prefork:notice] [pid 27281] AH00163: Apache/2.4.12 (Ubuntu) configured — resuming normal operations root@amazon-1:/var/log/apache2# zgrep operations error.log.13.gz [Sun Jun 28 09:49:54.272983 2015] [mpm_prefork:notice] [pid 27281] AH00163: Apache/2.4.12 (Ubuntu) configured — resuming normal operations root@amazon-1:/var/log/apache2# zgrep operations error.log.12.gz [Mon Jun 29 09:28:20.749849 2015] [mpm_prefork:notice] [pid 27281] AH00163: Apache/2.4.12 (Ubuntu) configured — resuming normal operations root@amazon-1:/var/log/apache2# zgrep operations error.log.11.gz [Tue Jun 30 09:34:40.225009 2015] [mpm_prefork:notice] [pid 27281] AH00163: Apache/2.4.12 (Ubuntu) configured — resuming normal operations

и так далее каждый день

второй root@service-1:/var/log/apache2# zgrep operations error.log.14.gz [Sat Jun 27 06:29:54.778167 2015] [mpm_prefork:notice] [pid 1371] AH00163: Apache/2.4.12 (Ubuntu) configured — resuming normal operations root@service-1:/var/log/apache2# zgrep operations error.log.13.gz [Sun Jun 28 06:29:54.882603 2015] [mpm_prefork:notice] [pid 1371] AH00163: Apache/2.4.12 (Ubuntu) configured — resuming normal operations root@service-1:/var/log/apache2# zgrep operations error.log.12.gz [Mon Jun 29 06:29:19.852183 2015] [mpm_prefork:notice] [pid 1371] AH00163: Apache/2.4.12 (Ubuntu) configured — resuming normal operations root@service-1:/var/log/apache2# zgrep operations error.log.11.gz [Tue Jun 30 06:39:10.657679 2015] [mpm_prefork:notice] [pid 1371] AH00163: Apache/2.4.12 (Ubuntu) configured — resuming normal operations

zgrep operations error.log.10.gz [Wed Jul 01 06:29:24.222812 2015] [mpm_prefork:notice] [pid 1371] AH00163: Apache/2.4.12 (Ubuntu) configured — resuming normal operations

и так далее каждый день. Вопрос - что это за фигня и как избавиться?