shaman007: (Default)
В рамках оптимизации бюджета на всякую нежизненноважную IT-хрень и под воздействием лени, я признал, что у меня нет сил и жалко денег не содержание двух виртуалок и дедика и домашнего сервера. Из двух виртуалок оставил одну, от дедика отказался, а сервер в кладовке не просит каши и живет бесплатно. Почта переехала в Google Apps, оказалось удобно и существенно дешевле: даже жаль, что я прошляпил момент, когда она этот сервис был бесплатен до 50 пользователей. Виртуалочка же останется для жизненно необходимого в наши дни exit-point'a и хостинга доков/статей, которые тут всегда валялись, перепосчу их. Блог все равно хоть кто-то читает/комментирвует только в ЖЖ/Facebook, пусть уж так и живет. Купленные в "тучные годы" смешные домены тоже не буду продлять.
shaman007: (Default)
Вчера запищал сервер в кладовой, противно так, механически, с дребезжанием. Это сильно меня расстроило: благодаря укрепившейся национальной валюте один диск из него теперь стоит около 10 000р, а там их 4, сдох один - сдохнет еще. Правда, дебаг проблемы сходу не удался: в логах ошибок нет, контроллер не сообщает о мертвых частях RAID'а, после перезагрузки все прошло без следов.

Сегодня писк повторился, когда меня не было дома. Удаленно все открывается, ошибок нет. Жена сказала, что по экрану ползут ]]^C}SF и прочий мусор, что заставило меня вспомнить перетершийся шнур клавиатуры :-) После отключения клавы все прошло, гора с плеч.
shaman007: (Default)
Вообще-то я против всяких ограничений и фильтраций, особенно, я против ограничений, которые на меня спускают всякие левые личности без совести, ума и чувства меры. Но дома есть проблема: умения и интерес детей значительно опережает их чувство меры. Опытным путем было выяснено, что включившаяся по расписанию политика вызывает меньше протеста у Димы, чем отбирание/выключение физического устройства (Света уже достаточно взрослая, что бы ей можно было просто сказать).

С технической стороны, сделал все при помощи Squid proxy и Diladele, который был выбрана за простоту работы/настройки, довольно качественный анализатор и низкую цену, 12 евро в год. Что он умеет полезного:

  • классифицировать URL как приналдежащий к какому-то классу;
  • разбивать пользователей по именам/IP/сеткам и засовывать их в политики;
  • включать политики по расписанию;
  • настройка адблока, фильтров трекеров и прочего ненужного - отдельно в каждой политике, удобно, что она не смешана с классификатором. Лист отдельно на Рунет - есть;
  • так как он глобальный, то не зависит от устройства, а трекеры и рекламу я хочу резать везде;
  • отчеты, но не очень информативные;
  • выключить сайт из ICAP'а можно через интерфейс, чтобы, например, банк-клиент вообще не попадал в проверки никогда.


Что он умеет бесполезного:

  • MitM так как везде (кроме банк-клиента Ситибанка, лол) HSTS
  • классификацию по содержимому URL, по содержимому страницы, JS и картинок (определяет наличие текстуры кожи на картинке). По мне - это все источник ложных срабатываний.
shaman007: (Default)
Поставил дома прокси, чтобы наводить политику на детский iPad: хочется иметь возможность блокирования конкретного доставшего видео в Youtube без блокировки всего Youtube и глобально навести баннерорезалку на все, даже туда, где она не предусмотрена производителем. Дело в том, что Youtube постоянно предлагает одни и те же песенки и одни и те же мультики, наизусть можно выучить. Попутно выяснилось (не то чтобы это все для меня было новостями), что:

- есть открытые решения, но заброшенные: Rejik, SquidGuard и т.п.

- бесплатный классификатор ровно один, называется Adblock+, все советуют импортирвать баннеры из него. Не удобно!

- есть платные классификаторы, за вменяемые деньги, Diladele, например. 12 евро/год на 10 компов.

- HSTS работает, блин, со своим MitM'ом на сквиде я обломался. Собственно, трекать собственный HTTPS мне ни за чем не надо, решил посмотреть работает ли оно.
shaman007: (Default)
Дошли руки обновить сервер с CentOS 6.5 до 7. systemd, конечно, но с древнего SSD Intel 520 (SandForce) на 160GB (раньше он стоял в iMac'е) система грузится практически моментально. Самое длительное в процессе - загрузка bios'а RAID-контроллера. Выяснил, что теперь дистрибутив в виде образа ISO просто можно закатать на флешку через dd, а Unebootlil'ом наоборот, пользоваться нельзя. Узнал, что BSD'шный dd не умеет мегабайты в виде "M", а букву "m" тихо игнорирует, странно. Зато новая samba без проблем съела конфиг старой и все сразу и без вопросов поднялось. К стыду, опять отключил SELinux.

Обновил и XBMCBuntu до Kodibuntu. Резервную копию настроек от XBMC (Frodo) Kodi не сожрал, статистика просмотренных потерялась.

В результате новая самба на сервере и новая самба на клиенте -> ушло раздражающее залипание при включении.
shaman007: (Default)

CentOS обновился, Oracle нет, лол.

shaman007: (Default)

Прикрутил к луна-парку widlcard-сертификат, круто, теперь нет трудностей с поддоменами. Брал на GoGetSSL, сертификат - Comodo.

shaman007: (Default)

Посетил сегодня Red Hat Enterprise Virtualization Seminar. Что имею сказать:

-1 - про CentOS ничего не сказали, RHEL Entry Level только упомянули.
0 - RedHat и Аксофт молодцы, организация очень ОК, все круто, ништяки вкусные и "Золотое Кольцо" - отличное место.
1 - Я почти готов проникнуться systemd. То есть после выступления Бокового я (почти) осознал, зачем Поттерингоподелия нужны. Надеюсь, что Леннарт со своей стороны будет использовать меньше four letter words при общении с пользователями его софта.
2 - RedHat проделал огромную работу по доведению виртуализации SAAS/IAAS до ума, при чем с разных сторон: мандатные политики на запуск виртуалок по результатам проверки ключей реестра windows/наличию (отсутсвию) файлов/версии софта/своим критериям - круто.
3 - SPICE: я реально впечатлен интерактивностью на медленном канале.

shaman007: (Default)

Вчера по какой-то причине, которая так и не попала в логи, контроллер не смог разбудить диски. При чем горячая перезагрузка не помогла, на старте биос контроллера просто не нашел сконфигурированных массивов. После холодной перезагрузки все поднялось штатно. Что это было? Аптайм на момент сбоя был около полугода.

shaman007: (Default)

Внимание, только что вышедший 6й owncloud не может нормально смигрироваться с 5го: портятся все символы, отличные от английских. Бекапы - это хорошо, а обновлять ouwncloud yum'ом - плохо.

Nginx

Nov. 26th, 2013 09:09 pm
shaman007: (Default)

Окончательно осознав, что мой профиль работы не позволяет держать Apache голым портом в интернет, прикрутил к луна-парку nginx фронт-эндом.

shaman007: (Default)

Не отключай SELinux, говорили они. Ты же в 21 веке, говорили они. Его сделали в NSA, говорили они.

В общем, если у вас после обновления selinux-policies ВНЕЗАПНО перестали работать веб-приложения, которые до этого вроде как работали и каши не просили, то "setsebool -P httpd_can_network_connect 1". Это хуже Поттеринга, ей богу, запретить Апачу работать с сетью!

Кстати, в процессе дебага первое, что я сделал, это открутил ipv6.

shaman007: (Default)

К сожалению, автор Fever по всей видимости забросил его разработку из-за личных проблем и других проектов. А не решенными для меня остались несколько довольно противных багов, главный из них, что Fever больше не подписывается на новые рассылки. Зато TTRSS за то время, что я его не видел, решил основную для меня свою проблему: из ЖЖ картинки "под катом" нормально подгружаются в просмотр, то есть Вротмненоги для него более не проблема.

OpenVPN

Sep. 12th, 2013 09:09 pm
shaman007: (Default)

Оказывается, я был не прав, заморачиваясь с ipsec, l2tp, pppd и т.п. OpenVPN просто няшечка: 1 порт, TCP, ключи, 1 конфиг и клиенты, настраиваемые в 2 приема.

shaman007: (Default)

Перенос сервера из хостинга в хостинг очень похож на перенос Эйфелевой башни из Лего, которую собрал год назад и выкинул инструкцию: достаточно один раз споткнуться и все, развлечение на вечер готово!

shaman007: (Default)

Чтобы не забыть: по непонятным причинам у racoon не работает nat traversal, хотя и заявляет, что умеет. Это выражается в том, что 2 клиента в одном NAT'е не могут сосуществовать: пакеты получает последний подключившийся. По результатам танцев вокруг настройки xl2tpd и pppd был выкинут racoon и настроен openswan.

shaman007: (Default)

Решил я запилить (хороший) антиспам и антивирус заодно на свой Луна-парк. Выбор пал на KLMS 8.0, так как предыдущие версии мне очень и очень хорошо знакомы. Однако же, первый подход к снаряду вышел неудачным.

При изучении работы продукта, я узнал что:

1 - нет поддержки 64х битных платформ. Ладно, я поставил библиотеки совместимости.
2 - настройки хранятся в PostgreSQL вместе с логами . Этот пункт очень важен для фундаментального осознания, что придумавший сей функционал человек не понимает нужд заказчика. Настройки обычно хранятся в текстовых файлах потому, что их можно легко поменять из консоли хоть сотового, а не потому что разрабы недостаточно круты, чтобы вкрутить Постгрес.
3 - настройки можно экспортировать в XML. Удобненько.
4 - по умолчанию для интеркоммуникации процессов используется порт 5555, который зарезервирован за Jabber'ом. При этом в логах нет внятных ошибок.
5 - не поддерживается IPv6. У меня локалхост резолвится в ::1, что создает проблемы: процессы пытаются биндиться к ::1, стучаться на 127.0.0.1 без понятных ошибок. Unexpected Error - наше все!

Совокупность 1-5 дает нам следующую ситуацию: так как падала компиляция баз, я подумал, что это связано с IPv6. Чтобы обойти ограничения с IPv6, я выгрузил настройки в XML, поменял там localhost на 127.0.0.1 в разделе SNMP (так как предположил, что это может влиять), загрузил обратно в базу, после чего модуль "Фасад" стал падать:

facade[25449] trap int3 ip:8dfa158 sp:ffe94490 error:0
facade[25524] trap int3 ip:8dfa158 sp:ffd37ec0 error:0
facade[25566]: segfault at 38 ip 0000000008b73cc8 sp 00000000ffc6f430 error 4 in facade[8048000+1a46000]
facade[25605] trap int3 ip:8dfa158 sp:ffcbd6f0 error:0
facade[25661] trap int3 ip:8dfa158 sp:fff04ba0 error:0
facade[25689] trap int3 ip:8dfa158 sp:ffc44200 error:0

А обратно загрузить я уже не могу, так как этот модуль уже мертвый.

[root@andreybondarenko ~]# /opt/kaspersky/klms/bin/klms-control --import-settings -f ./settings.xml
ERROR: Cannot connect to Facade, probably klms and/or klmsdb services are not running

Ну и по мелочи:

1 - как может антивирусу (точнее, веб-морде) мешать SELinux, что его рекомендуют выключить? Очень просто: разрабы его не освоили.
2 - на директорию с файлами веб-морды владелец root.
3 - конфигурация Апача неверна вообще: подменяется сертификат всего сервера и садится оно не на поддомен, а на _default_, то есть на все.
4 - ошибки крайне неинформативны.
5 - в скрипте выключения-включения стоит таймаут на 5(!!!!!) минут. Видимо, кому-то было лень разбираться как правильно стартовать и останавливать сервисы в линуксе.

Очень странно выглядит архитектура приложения, я бы не рекомендовал его использовать на серьезных почтовых серверах, потому что архитектор приложения не понимает нужд владельца почтовика: сначала доставка почты, потом рюшечки-фигашечки, а распределенное приложение для высокой нагрузки не обязано держать настройки в Постгресе.

shaman007: (Default)

Коллеги, а какой сейчас антиспам хороший есть? Когда я работал в ЛК, у меня были ключики для Касперского Антиспама и он работал хорошо: спам ловил и каши не просил. А сейчас как быть? Спамассасин есть, но он очень плохо работает.

shaman007: (Default)

Чтобы не забыть пару очевидных вещей:

- при переезде на новые носители по новой точке монтирования CrashPlan'у надо сказать Full Deduping и попросить его пересканировть архив. Тогда он не будет пересылать файлы еще раз.

- selinux может мешать sshd читать authorized_keys, при этом в messages будет тихо.

August 2015

S M T W T F S
      1
2345678
91011 12131415
161718192021 22
23 2425262728 29
3031     

Syndicate

RSS Atom

Most Popular Tags

Style Credit

Expand Cut Tags

No cut tags
Page generated Jul. 26th, 2017 04:40 am
Powered by Dreamwidth Studios