Счастье нерда
Mar. 23rd, 2015 03:27 pmСегодня писк повторился, когда меня не было дома. Удаленно все открывается, ошибок нет. Жена сказала, что по экрану ползут ]]^C}SF и прочий мусор, что заставило меня вспомнить перетершийся шнур клавиатуры :-) После отключения клавы все прошло, гора с плеч.
Домашний Роскомнадзор
Jan. 13th, 2015 10:18 pmС технической стороны, сделал все при помощи Squid proxy и Diladele, который был выбрана за простоту работы/настройки, довольно качественный анализатор и низкую цену, 12 евро в год. Что он умеет полезного:
- классифицировать URL как приналдежащий к какому-то классу;
- разбивать пользователей по именам/IP/сеткам и засовывать их в политики;
- включать политики по расписанию;
- настройка адблока, фильтров трекеров и прочего ненужного - отдельно в каждой политике, удобно, что она не смешана с классификатором. Лист отдельно на Рунет - есть;
- так как он глобальный, то не зависит от устройства, а трекеры и рекламу я хочу резать везде;
- отчеты, но не очень информативные;
- выключить сайт из ICAP'а можно через интерфейс, чтобы, например, банк-клиент вообще не попадал в проверки никогда.
Что он умеет бесполезного:
- MitM так как везде (кроме банк-клиента Ситибанка, лол) HSTS
- классификацию по содержимому URL, по содержимому страницы, JS и картинок (определяет наличие текстуры кожи на картинке). По мне - это все источник ложных срабатываний.
Squid дома
Jan. 11th, 2015 05:06 pm- есть открытые решения, но заброшенные: Rejik, SquidGuard и т.п.
- бесплатный классификатор ровно один, называется Adblock+, все советуют импортирвать баннеры из него. Не удобно!
- есть платные классификаторы, за вменяемые деньги, Diladele, например. 12 евро/год на 10 компов.
- HSTS работает, блин, со своим MitM'ом на сквиде я обломался. Собственно, трекать собственный HTTPS мне ни за чем не надо, решил посмотреть работает ли оно.
Обновил домашние системы
Jan. 1st, 2015 09:53 pmОбновил и XBMCBuntu до Kodibuntu. Резервную копию настроек от XBMC (Frodo) Kodi не сожрал, статистика просмотренных потерялась.
В результате новая самба на сервере и новая самба на клиенте -> ушло раздражающее залипание при включении.
Red Hat Enterprise Virtualization Seminar
Jan. 29th, 2014 08:08 pmПосетил сегодня Red Hat Enterprise Virtualization Seminar. Что имею сказать:
-1 - про CentOS ничего не сказали, RHEL Entry Level только упомянули.
0 - RedHat и Аксофт молодцы, организация очень ОК, все круто, ништяки вкусные и "Золотое Кольцо" - отличное место.
1 - Я почти готов проникнуться systemd. То есть после выступления Бокового я (почти) осознал, зачем Поттерингоподелия нужны. Надеюсь, что Леннарт со своей стороны будет использовать меньше four letter words при общении с пользователями его софта.
2 - RedHat проделал огромную работу по доведению виртуализации SAAS/IAAS до ума, при чем с разных сторон: мандатные политики на запуск виртуалок по результатам проверки ключей реестра windows/наличию (отсутсвию) файлов/версии софта/своим критериям - круто.
3 - SPICE: я реально впечатлен интерактивностью на медленном канале.
Что это было?
Dec. 16th, 2013 10:59 pmВчера по какой-то причине, которая так и не попала в логи, контроллер не смог разбудить диски. При чем горячая перезагрузка не помогла, на старте биос контроллера просто не нашел сконфигурированных массивов. После холодной перезагрузки все поднялось штатно. Что это было? Аптайм на момент сбоя был около полугода.
Do not turn off SELinux initiative
Nov. 5th, 2013 11:11 pmНе отключай SELinux, говорили они. Ты же в 21 веке, говорили они. Его сделали в NSA, говорили они.
В общем, если у вас после обновления selinux-policies ВНЕЗАПНО перестали работать веб-приложения, которые до этого вроде как работали и каши не просили, то "setsebool -P httpd_can_network_connect 1". Это хуже Поттеринга, ей богу, запретить Апачу работать с сетью!
Кстати, в процессе дебага первое, что я сделал, это открутил ipv6.
15 лет ЛОРу
Oct. 28th, 2013 10:56 pmВсе равно все уже видели: https://picasaweb.google.com/101877453967288267402/15LinuxOrgRu?authuser...
Fever vs Tiny Tiny RSS
Sep. 18th, 2013 10:58 pmК сожалению, автор Fever по всей видимости забросил его разработку из-за личных проблем и других проектов. А не решенными для меня остались несколько довольно противных багов, главный из них, что Fever больше не подписывается на новые рассылки. Зато TTRSS за то время, что я его не видел, решил основную для меня свою проблему: из ЖЖ картинки "под катом" нормально подгружаются в просмотр, то есть Вротмненоги для него более не проблема.
Хозяйке на заметку: L2TP + NAT traversal
Aug. 8th, 2013 01:25 pmЧтобы не забыть: по непонятным причинам у racoon не работает nat traversal, хотя и заявляет, что умеет. Это выражается в том, что 2 клиента в одном NAT'е не могут сосуществовать: пакеты получает последний подключившийся. По результатам танцев вокруг настройки xl2tpd и pppd был выкинут racoon и настроен openswan.
Решил я запилить (хороший) антиспам и антивирус заодно на свой Луна-парк. Выбор пал на KLMS 8.0, так как предыдущие версии мне очень и очень хорошо знакомы. Однако же, первый подход к снаряду вышел неудачным.
При изучении работы продукта, я узнал что:
1 - нет поддержки 64х битных платформ. Ладно, я поставил библиотеки совместимости.
2 - настройки хранятся в PostgreSQL вместе с логами . Этот пункт очень важен для фундаментального осознания, что придумавший сей функционал человек не понимает нужд заказчика. Настройки обычно хранятся в текстовых файлах потому, что их можно легко поменять из консоли хоть сотового, а не потому что разрабы недостаточно круты, чтобы вкрутить Постгрес.
3 - настройки можно экспортировать в XML. Удобненько.
4 - по умолчанию для интеркоммуникации процессов используется порт 5555, который зарезервирован за Jabber'ом. При этом в логах нет внятных ошибок.
5 - не поддерживается IPv6. У меня локалхост резолвится в ::1, что создает проблемы: процессы пытаются биндиться к ::1, стучаться на 127.0.0.1 без понятных ошибок. Unexpected Error - наше все!
Совокупность 1-5 дает нам следующую ситуацию: так как падала компиляция баз, я подумал, что это связано с IPv6. Чтобы обойти ограничения с IPv6, я выгрузил настройки в XML, поменял там localhost на 127.0.0.1 в разделе SNMP (так как предположил, что это может влиять), загрузил обратно в базу, после чего модуль "Фасад" стал падать:
facade[25449] trap int3 ip:8dfa158 sp:ffe94490 error:0
facade[25524] trap int3 ip:8dfa158 sp:ffd37ec0 error:0
facade[25566]: segfault at 38 ip 0000000008b73cc8 sp 00000000ffc6f430 error 4 in facade[8048000+1a46000]
facade[25605] trap int3 ip:8dfa158 sp:ffcbd6f0 error:0
facade[25661] trap int3 ip:8dfa158 sp:fff04ba0 error:0
facade[25689] trap int3 ip:8dfa158 sp:ffc44200 error:0
А обратно загрузить я уже не могу, так как этот модуль уже мертвый.
[root@andreybondarenko ~]# /opt/kaspersky/klms/bin/klms-control --import-settings -f ./settings.xml
ERROR: Cannot connect to Facade, probably klms and/or klmsdb services are not running
Ну и по мелочи:
1 - как может антивирусу (точнее, веб-морде) мешать SELinux, что его рекомендуют выключить? Очень просто: разрабы его не освоили.
2 - на директорию с файлами веб-морды владелец root.
3 - конфигурация Апача неверна вообще: подменяется сертификат всего сервера и садится оно не на поддомен, а на _default_, то есть на все.
4 - ошибки крайне неинформативны.
5 - в скрипте выключения-включения стоит таймаут на 5(!!!!!) минут. Видимо, кому-то было лень разбираться как правильно стартовать и останавливать сервисы в линуксе.
Очень странно выглядит архитектура приложения, я бы не рекомендовал его использовать на серьезных почтовых серверах, потому что архитектор приложения не понимает нужд владельца почтовика: сначала доставка почты, потом рюшечки-фигашечки, а распределенное приложение для высокой нагрузки не обязано держать настройки в Постгресе.
Хозяйке на заметку
Jun. 29th, 2013 01:18 pmЧтобы не забыть пару очевидных вещей:
- при переезде на новые носители по новой точке монтирования CrashPlan'у надо сказать Full Deduping и попросить его пересканировть архив. Тогда он не будет пересылать файлы еще раз.
- selinux может мешать sshd читать authorized_keys, при этом в messages будет тихо.