Чтобы добавлять сообщения и комментарии, .

@datacompboy:
datacompboy

Блин, пришла пора даже self-signed сертификаты все обновить...

@rufuse:
rufuse

Разыскивается человек, желающий поадминить на парт-тайме и обучиться nixos.org Баззворды: centOS, nix, zabbix, ansible, haskell, ruby. Писать на d.redozubov эт antorica.com

@Zert:
Zert

Есть ли способ поднять VPN-сервер без создания tun-девайсов? Чисто userspace приложение/библиотека, которое по tcp принимает трафик от пользователя VPN.

@Graf:
Graf

А чо, кто посоветует роутер подешевле, который умеет OpenVPN и при этом его может?
Например, тот же 841-й туполинк прошитый OpenWRT в него умеет, но скорость показывает смещную.

@Zert:
Zert

Как из pcap можно извлечь количество переданных/полученных байтов?

@Zert:
Zert

Похоже, надо на что-то другое переходить. Как-то у него параллелизация странно работает, чем больше серверов, тем больше задачи выполняются. Поставил параметр форка в 40, ничего не изменилось.

@Zert:
Zert

Кто-нибудь встречался с таким, что виртуалки на DigitalOcean внезапно затыкаются? Зайти на них нельзя даже с консоли их админки, на графиках показывает 100% использование CPU и при этом 0 трафика. У меня в день 1-2 стабильно так пропадают. Грешу на свой софт (ну в смысле тот, который устанавливал на них, в том числе и тот, который сам писал), но мало ли.

@Zert:
Zert

Имеется ли способ сделать так, чтобы девайс брал вайфай (подключался к роутеру через него) и раздавал его через свой вайфай (сам как роутер, со своим dhcp-сервером)? Или нужна железка с двумя вайфаями?

@alar:
alar

*Ansible А давайте меряться, кто какими модулями ансибля пользовался?

@Zert:
Zert

Анзибл — тоже нормальная вещь. Притормаживает, правда, немного, но зато делает то, что надо.

@Shura:
Shura

В датацентре не стоит кричать: youtube.com

@Zert:
Zert

2015 год на дворе, а в линуксе до сих пор нельзя получить ip-адрес без awk/sed/cut

@Zert:
Zert

Как анзиблом создать, допустим, 10 виртуалок на Digital Ocean (есть модуль digital_ocean), и потом работать с ними? Что-то не пойму, как массово создавать.

@Zert:
Zert

Можно ли как-то заставить нгинкс смотреть внутрь архивов? Достаточно какого-нибудь одного формата, tar.gz например. Хочется просто складывать файл на фс, а при доступе к нему отдавать не его, а лезть внутрь и показывать содержимое, ну как с обычной директорией происходит.

@easyjohn:
easyjohn

Ненависть. Я часа три убил, что бы сделать transparent proxy. Хуй. На iptables получаю полную херню и ничего не работает. Сил больше нет. Голова болит. Всех убить, одному остаться.

@Zert:
Zert

А есть ли способ сделать так, чтобы к nginx мог подцепиться только тот клиент, который имеет один конкретный сертификат для SSL? Ну чтобы никто больше даже в принципе не мог установить соединение. Сертификат желательно сапоподписанный, и чтобы его потом можно было в любое время поменять.

@Zert:
Zert

Перемог определение связи между именем контейнера и виртуальным сетевым интерфейсом. Сейчас никак не могу сделать, чтобы iptables считал трафик на нужных виртуальных интерфейсах с помощью вот этого способа: catonmat.net
Может что не так делаю?

@Zert:
Zert

Как из сокета узнать, через какой сетевой интерфейс установлено соединение?

@Zert:
Zert

Как получить имя сетевого интерфейса, на котором висит контейнер с определённым именем?

@Zert:
Zert

Нашёл ловкий способ считать переданные/принятые байты для определённого хоста/порта, через iptables. Добавляешь правило ACCEPT на INPUT и OUTPUT, потом смотришь статистику, очень просто получается. Однако хотелось бы доступаться к этой инфе через код, а не парсить выхлоп iptables. Можно так вообще? Язык Go, если что, так что сишные либы в принципе тоже принимаются. А так же принимается более простой способ делать то же самое, без iptables (ну например подключился к ядру через нетлинк, или ещё что, и берёшь статистику, примерно как-то так).

@Zert:
Zert

Как ограничить на линуксе количество входящих HTTP-запросов в секунду?

@easyjohn:
easyjohn

Утром, вместо душа, я рекомендую вам принимать
kernel: blk_update_request: critical medium error, dev sdb, sector 360745792
kernel: Buffer I/O error on dev sdb, logical block 45093224, async page read
kernel: md/raid:md0: Disk failure on sdb1, disabling device md/raid:md0: Operation continuing on 2 devices.
kernel: md: md0: recovery interrupted.

ЗЫ Шучу. Обычное дело, сдох диск, во время ребилда вылетел еще один. Натравливаем dd_rescue, перепихиваем другие диски в md0 принудительно, ребилдим.
Рутина, но перенос данных чувствую затянется на всю неделю.

@easyjohn:
easyjohn

Создал пул из 3 дисков, поставил копироваться с lvm на zfs.
Вижу четко, как zfs упирается в скорость одного диска. Один постоянно висит с io 200-500, трансфер 40-100mb/s, остальные два раз в 4 секунды пишут 700 io 60-100mb/s и тишина.
Диски хорошие, новые. Контроллер sas один, отдельный канал до каждого диска.
Может еще как подтюнить стоит?

@easyjohn:
easyjohn

А напомните мне что у нас с ECC памятью теперь?
Раньше, когда процы были одинаковые (п2, п3) поддержка ecc была в чипсете, так что в любой десктоп можно было ecc поставть, она работала как обычная.
В какой момент поддержку ecc решили впихнуть прямо в проц?
На сколько жесткое разделение? Какой-нить ddr3 ecc теперь в десктоп никак не поставить или есть исключения?

@easyjohn:
easyjohn

А кто-нибудь знает хороший ftp-сервер, который умеет 3 ключевые фичи:
— анонимусов пускать на чтение (это вроде все умеют)
— шейпить канал (отдавать не более X мбит)
— лимитировать кол-во сессий с 1 ip.
Вот, например pureftp отлично лимитирует кол-во сессий, но вроде нет шейпинга. Шейпинг есть в proftpd, но, как оказалось, один неадекват запросто открывает полсотни сессий, полностью выжирая все ресурсы и игнорируя кол-во сессий в конфиге.

@easyjohn:
easyjohn

Как же меня прет платная поддержка.
Купили на nexenta, теперь любой чих пишу им в тикетницу.
Пользы, правда, пока не много, но чувство удовлетворения уже появилось.

@easyjohn:
easyjohn

HR рассказывает как выбирать сисадмина. youtube.com
Если начало покажется скучным, перемотайте на 5:40, там ржака.

@easyjohn:
easyjohn

С незабвенных времен в постфиксе у меня стоял "reject_rbl_client dul.ru".
Он оказывается помер давно и начиная с середины сегодняшнего дня начал отвечать блоком на все входящее.
Be aware.

@easyjohn:
easyjohn

Чем больше я работаю с zfs. тем больше она мне нравится.
Даже по сравнению с lvm.
Даже думаю не поставить ли через ZoL его на свои машины (на root для виртуалок, на рейд-диски на файлопомоке).
Единственное, что меня не устраивает с т.з. домашней файлопомойки — отсутствует механизм удаления винта из пула.

@fillest:
fillest

А есть какие best practices процессов обновления пакетов на серваках?

Например, об обновлениях надо узнавать. Это уведомления на мыло. Неужели велосипедить скрипт в крон, парсящий apt-get upgrade -s?
Обновление некоторых пакетов может потребовать рестарт чего-угодно, от всякой мелочи до всей системы. Например, какой-нибудь софт юзает либу libsdelatzaebis, а она юзает libkorovniki, для последней выходит секьюрити апдейт, закрывающий возможность выполнить удалённо rm -rf, послав пакет с цитатой из библии, соотв после апдейта софт надо рестартнуть. Как это определять автоматически?
Ах да, некоторый софт ставится не из пакетов.

Бонус-челленж-уровень. Т.к. между публичным обнаружением уязвимости и выкладыванием пакета с поправленным софтом в стабильный репозиторий дистрибутива проходит понятная неминуемая задержка, иногда может хотеться не ждать. Достаточно ли распространена практика, допустим, сразу постить в CVE (или куда?), откуда это потом можно как-то автоматически выдернуть на мыло? Или, как обычно, бардак, и надо выгребать руками из разных зассанных мейлистов и тикет-трекеров?

@Graf:
Graf

Имею-таки официально заявить — Windows 7 не прегоден для декстопа!
Ну, по крайней мере, с 2мя Гб оперативы.
Эта хрень не в состоянии была установить все свои обновы, после чистой установки.
Такие дела.

@easyjohn:
easyjohn

Виндузятникам: репозиторий с кучей пакетов для виндов chocolatey.org . 2519 пакетов с установкой софта в одну команду, типа "C:\> choco install firefox"

@Zert:
Zert

Ну и хипстерская движуха по замене админов на девопсов тоже правильная, ящитаю. Админ — это жырный уёбок в свитере из собственной бороды, который постоянно ноет, что ему сложно конфигурять, дрочит на аптайм системы (и на фрипзд частенько), тусуется на форумах с такими же уёбками, которые обсирают программистов, маркетологов и начальство (ведь всем понятно, что админ — главный человек в конторе, он приносит бабло, программисты с маркетологами его тратят, а начальство заставляет ставить гадкий линупс вместо Святого ФриПЗД).
Девопс же наоборот, добрый адекватный чувак, который стремится минимизировать трудозатраты и идёт на контакт (иначе это не девопс, а сраный быдлоадмин из 90-х). Т.е. по сути человек делает одно и то же, но подход различается, админом быть не модно, а девопсом модно. Уёбищным мудаком с перлом и фрипзд быть не модно, а чотким хипстером с докером быть модно. Одобрено.

@Zert:
Zert

Вот именно подход к конфигурянию системы с помощью написания Dockerfile (или nix-конфига) я считаю самым правильным и естественным, а всякие puppet и chef (и даже ansible, чо уж там) — говно и пидерсия.

@Zert:
Zert

А есть какой-нибудь простой темплейтный движок, чтобы можно было конфиги править при старте контейнера? Например, стартую контейнер, передаю в него файл с key-value параметрами, в контейнере запускается скрипт, правит все нужные конфиги в соответствие с этими параметрами и стартует supervisord. Вопрос конкретно в том, как сделать из файла с kv-параметрами и заданными файлами с темплейтами конфигов, сами конфиги. Написать с помощью sed это конечно можно, но может есть какие-то стандартные готовые решения?

@Zert:
Zert

Вот одного не могу понять: каким образом осуществлять деплой софта в контейнере, чтобы не было разрывов в обслуживании? Как туда внутрь накатывать новый софт, и чтобы данные (на диске и в памяти) не пропадали?

@Zert:
Zert

Сначала кложура, теперь вот и докер. Поднял в контейнере grafana для мониторинга серверов, так как не хотелось опять это всё руками накатывать. Понравилось, что быстро заводится и не требует долгого колупания. Но такими темпами скоро нормально софт компоновать разучатся, будут клепать контейнеры, в которых руками раскладывать файлы по нужным директориям. Хотя, какая разница, если туда не надо будет лазить.

@Turbid:
Turbid

особое удовольствие — создать виртуальную wi-fi ap с открытым доступом и унизительным шейпером на 64k, включить packet sniffer и наблюдать попытки соседей посмотреть "фильмы онлайн бесплатно".

@Zert:
Zert

Почему практически все админы скатываются в какое-то ужасное состояние, типа свитеров из бороды, догматизм, веру в существование единственно правильной OS/DB/etc. Это профессия накладывает такой отпечаток или как? Среди программистов такие встречаются крайне редко, в основном в госструктурах, а админы сплошь и рядом такие.

@Zert:
Zert

Запосчу, чтобы не потерять.
Закончилось место в виртуалке с линуксом, надо было добавить место. Делается это так:
Из хостовой операционки (макось в моём случае): VBoxManage modifyhd ~/VirtualBox\ VMs/Ubuntu/Ubuntu.vdi --resize SIZE
Затем всё на гостевой виртуалке:

Сначала увеличиваем размер extended раздела с помощью parted (-1s — значит до последнего сектора):
resizepart 2 -1s

После чего в нём же увеличиваем раздел, находящийся в extended:
resizepart 6 -1s

Выходим из parted. Через pvresize увеличиваем размер физического раздела, который уже увеличивали, чтобы увеличение увидел LVM:
pvresize /dev/sda6

Должно появиться что-то типа:

Physical volume "/dev/sda6" changed
1 physical volume(s) resized / 0 physical volume(s) not resized

Ну и увеличиваем соответствующий lvm-девайс на нужное количество гигабайт:
lvextend -L +2G /dev/mapper/ubuntu—vg-root

Теперь ресайзим ФС и всё готово:
resize2fs /dev/mapper/ubuntu—vg-root