блокировка GRE между Россией и Штатами ?

[Владимир Скубриев]

Есть удаленный сервер на нем настроен PPTP VPN Server, он находится в 
Америке.


Проблема в том, что периодически клиенты моей сети (из России) не могут 
подключится к нему, клиент pptp рапортует об ошибке:


LCP: timeout sending Config-Requests

В процессе исследования проблемы я выяснил, что

Когда клиент не может соединится:
в дампе присутствуют только TCP и соответствующее общение между клиентом 
сервером.


Но как только доходит до конфигурации и протокола 47 то клиент попросту 
разъединяется, т.к. не получает ни какой информации, т.е. происходит 
согласование и разъединением. А служебной информации и самого трафика 
соответственно нет.


Start-Control-Connection-Request

Start-Control-Connection-Reply


Outgoing-Call-Request

Outgoing-Call-Reply


Call-Clear-Request

Call-Disconnect-Notify


То есть клиент соединяется с сервером, и сразу разъединяется.

Пакеты протокола 47(GRE) отсутствует в дампе tcpdump

Причем это происходит не периодически. То есть коннект, то его нет.

А ведь 47 протокол это GRE и без него PPTP работать не будет. Так как не 
сможет.


Он будет обмениваться служебной информацией по TCP и на этом все 
остановиться.


В связи с этим вопрос: Может ли что то между Россией и Америкой мешать 
прохождению пакетов GRE время от времени?


То есть периодически и не постоянно.


--
С Уважением,
специалист по техническому и программному обеспечению,
системный администратор

Скубриев Владимир
~~~
Россия, Ростовская область, г. Таганрог

тел. моб: +7 (918) 504 38 20
skype: v.skubriev
icq: 214-800-502
www: skubriev.ru

Re: блокировка GRE между Россией и Штатами ?

[Владимир Скубриев]

On 13.09.2013 15:09, Владимир Скубриев wrote:
Есть удаленный сервер на нем настроен PPTP VPN Server, он находится в 
Америке.




Пакеты собирал так

tcpdump -lnni ppp50 -w dump -s 65535 host remote.vpn.server.com

У нас хорошая выделенная линия, там не знаю - но скорее всего не GPRS, 3G )

--
С Уважением,
специалист по техническому и программному обеспечению,
системный администратор

Скубриев Владимир
~~~
Россия, Ростовская область, г. Таганрог

тел. моб: +7 (918) 504 38 20
skype: v.skubriev
icq: 214-800-502
www: skubriev.ru

Re: блокировка GRE между Россией и Штатами ?

[Владимир Скубриев]

n 13.09.2013 15:50, Eugene Berdnikov wrote:

On Fri, Sep 13, 2013 at 03:09:36PM +0400, Владимир Скубриев wrote:

В связи с этим вопрос: Может ли что то между Россией и Америкой
мешать прохождению пакетов GRE время от времени?

  Может. Переменный роутинг и мусорные провайдеры, блокирующие GRE.

А можно ли как нибудь это выяснить?
Или переходить на openvpn/udp

Я вообще правильно ситуацию обрисовал ?

Т.е. если эта проблема периодическая а не постоянная значит со шлюзами 
все в порядке ?


--
С Уважением,
специалист по техническому и программному обеспечению,
системный администратор

Скубриев Владимир
~~~
Россия, Ростовская область, г. Таганрог

тел. моб: +7 (918) 504 38 20
skype: v.skubriev
icq: 214-800-502
www: skubriev.ru

Re: блокировка GRE между Россией и Штатами ?

[Владимир Скубриев]

On 13.09.2013 16:30, Eugene Berdnikov wrote:

On Fri, Sep 13, 2013 at 04:07:43PM +0400, Владимир Скубриев wrote:

n 13.09.2013 15:50, Eugene Berdnikov wrote:

On Fri, Sep 13, 2013 at 03:09:36PM +0400, Владимир Скубриев wrote:

В связи с этим вопрос: Может ли что то между Россией и Америкой
мешать прохождению пакетов GRE время от времени?

  Может. Переменный роутинг и мусорные провайдеры, блокирующие GRE.

А можно ли как нибудь это выяснить?

  Ну да, берите traceroute/etc и выясняйте на здоровье.


Понял спасибо.

Или переходить на openvpn/udp

Я вообще правильно ситуацию обрисовал ?

  На мой взгляд изложение невнятно, нам предлагается обсуждать выводы
  без аргументов. Если сняли дамп, лучше пришлите его сюда,
  а не перечисляйте, с какими опциями запускали tcpdump.
  На кой хрен эти опции, если самого дампа нет? Видно лишь то, что
  полезных для диагностики опций не хватает, поэтому выводы скорее всего
  необоснованные. Вы смешиваете конфигурёжку и транспорт в одну кучу.
  Зачем в текст вставлен список контрольных пакетов pptp -- непонятно.
  В общем, каша.
Чтобы приложить дампы нужно разрешение начальства. Пока в дампах не 
будет острой необходимости - получить это одобрение на выкладку дампом я 
не смогу.


Мне в целом хотелось услышать мнение участников - правильно ли я рассуждал.

Т.е. если эта проблема периодическая а не постоянная значит со
шлюзами все в порядке ?

  Нет, это просто гадание на кофейной гуще. Шлюзы могут глючить
  по тому же в точности расписанию, как меняется роутинг. :)
Верю. Приношу свои извинения за не полноту информации. В общем плане я 
получил ответ на вопрос, который был мной задан. Суть ясна.


Спасибо!

--
С Уважением,
специалист по техническому и программному обеспечению,
системный администратор

Скубриев Владимир
~~~
Россия, Ростовская область, г. Таганрог

тел. моб: +7 (918) 504 38 20
skype: v.skubriev
icq: 214-800-502
www: skubriev.ru


--
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/523308f8.3020...@skubriev.ru

Re: помогите настроить X на домашнем сервере

[Владимир Скубриев]

On 10.09.2013 12:39, Иван Лох wrote:

On Tue, Sep 10, 2013 at 08:16:50AM +0400, Владимир Скубриев wrote:

On 09.09.2013 23:48, Иван Лох wrote:

On Mon, Sep 09, 2013 at 10:42:32PM +0400, Скубриев Владимир wrote:

Вообщем с fglrx грузится но разрешение экрана в консоли минимальное.

С Radeon разрешение в порядке.

Ни как не получается завести X через kdm или lightdm

Получаю черный экран с курсором в высоком разрешении при запуске lightdm в 7-ой 
консоли. Кстати в ps видно что X стартовал, но по факту толку от этого никакого.

При запуске kdm нуглухо виснет север.

firmware-linux-nonfree



root@mars:~# aptitude show firmware-linux-nonfree
Пакет: firmware-linux-nonfree
Новый: да
Состояние: установлен


Дрова стоят, я же написал.

Можно заблэклистить radeon, грузиться fglrx и наоборот.

Единственное странно, что fglrx не определяет нормально разрешение
монитора и выдает по моему 800 на 600

xrandr что пишет?



root@mars:~# xrandr --verbose
Can't open display

Похоже ему что то мешает

--
С Уважением,
специалист по техническому и программному обеспечению,
системный администратор

Скубриев Владимир
~~~
Россия, Ростовская область, г. Таганрог

тел. моб: +7 (918) 504 38 20
skype: v.skubriev
icq: 214-800-502
www: skubriev.ru


--
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/522edc94.4040...@skubriev.ru

Re: помогите настроить X на домашнем сервере

[Владимир Скубриев]

On 09.09.2013 23:48, Иван Лох wrote:

On Mon, Sep 09, 2013 at 10:42:32PM +0400, Скубриев Владимир wrote:

Вообщем с fglrx грузится но разрешение экрана в консоли минимальное.

С Radeon разрешение в порядке.

Ни как не получается завести X через kdm или lightdm

Получаю черный экран с курсором в высоком разрешении при запуске lightdm в 7-ой 
консоли. Кстати в ps видно что X стартовал, но по факту толку от этого никакого.

При запуске kdm нуглухо виснет север.

firmware-linux-nonfree



root@mars:~# aptitude show firmware-linux-nonfree
Пакет: firmware-linux-nonfree
Новый: да
Состояние: установлен


Дрова стоят, я же написал.

Можно заблэклистить radeon, грузиться fglrx и наоборот.

Единственное странно, что fglrx не определяет нормально разрешение 
монитора и выдает по моему 800 на 600


Дело скорее не в дровах в в Х сервере.

--
С Уважением,
специалист по техническому и программному обеспечению,
системный администратор

Скубриев Владимир
~~~
Россия, Ростовская область, г. Таганрог

тел. моб: +7 (918) 504 38 20
skype: v.skubriev
icq: 214-800-502
www: skubriev.ru


--
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/522e9d32.4030...@skubriev.ru

Re: проброс порта и доступ к проброшенному порту по внешнему адресу шлюза из локальной сети

[Владимир Скубриев]

On 06.09.2013 13:59, Artem Chuprina wrote:


Для начала - и не должно.  Когда dst 1.68, src port должен уже быть 6480.

Этого мало для выяснения картины.  Надо

(dst port 6480 and src 1.68) or (dst port 80 and dst $EARTHVM) - каждому
пакету с клиента на внешний адрес должен соответствовать
оттранслированный пакет на $EARTHVM

и аналогично с перестановкой dst и src, для возвращающихся пакетов.

Так, стоп.  VM, говоришь?  Не на самом шлюзе, часом?  Если на самом, то
ты не тот адрес прописываешь в SNAT...

Нет виртуалка не на шлюзе.

  ВС без -p все работает и tcpdump видит пакеты от приходящие к серверу.

  ВС по ходу надо сетевуху сменить и проверить, хотя там встроенная realtek 
1Gbps



Спасибо за помощь.

Вопрос закрываю на время. Т.к. сейчас сказали настроить nginx proxy, 
потратил полчаса времени и получил даже больше того что было, т.е. 
нормальный лог для разработчиков, нормальную работу как из ЛВС так и 
снаружи.


Пока они свой сервер выключили не могу тестить. Во общем надеюсь не 
забуду и вернусь к начатому.


--
С Уважением,
специалист по техническому и программному обеспечению,
системный администратор

Скубриев Владимир
~~~
Россия, Ростовская область, г. Таганрог

тел. моб: +7 (918) 504 38 20
skype: v.skubriev
icq: 214-800-502
www: skubriev.ru


--
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/522eb4a3.6040...@skubriev.ru

Re: проброс порта и доступ к проброшенному порту по внешнему адресу шлюза из локальной сети

[Владимир Скубриев]

On 05.09.2013 16:49, Artem Chuprina wrote:

Владимир Скубриев - Debian-russian@lists.debian.org  @ Thu, 05 Sep 2013 
15:41:31 +0400:

  ВС Как правильно пробросить порт для доступа к проброшенному порту по 
внешнему
  ВС адресу шлюза из локальной сети.

  ВС есть такое правило в фаерволе у меня

  ВС iptables -A INPUT -d $INETIP -p TCP --dport 6480 -j ACCEPT
  ВС iptables -t nat -A PREROUTING -d $INETIP -p TCP --dport 6480 -j
  ВС DNAT --to-destination $EARTHVM:80
  ВС iptables -t nat -A POSTROUTING -d $EARTHVM -p TCP --dport 80 -j
  ВС SNAT --to-source $LANIP

  ВС из вне, т.е. например с других мест работает проброс всегда работает

  ВС но если из локальной сети(где стоит этот шлюз) пытаться зайти на внешний 
адрес
  ВС INETIP и порт 6480, то я не могу достучаться до веб сервера.

  ВС причем что интересно, если на шлюзе запустить tpdump то в локальной сети с
  ВС клиентов все начинает работать.

  ВС в чем подвох ?

С виду все правильно.  Ну, по классике, не хватает, конечно, правила для
nat в цепочку OUTPUT, но оно влияет только на попытки зайти туда с
самого шлюза, на клиентов из локальной сети не влияет.

А что это за правило ? Можно пример


Вообще диагностика если запустить tcpdump заставляет заподозрить
глючный драйвер сетевки, шибко умный свитч, либо их взаимодействие.  В
смысле, если результат в этой ситуации зависит от того, в promiscuous
mode стоит сетевка или нет, то вопрос в том, что обратные, вероятно,
пакеты то ли не доходят до сетевки шлюза, то ли не воспринимаются ею как
адресованные ей.

При одном если.  Если последнее правило не содержит ошибок и успешно
срабатывает для клиентов из локальной сети (в смысле, ничем не
перебивается, поскольку само оно никаких отсылок к локалке не содержит).
С виду не содержит, а вот как на самом деле, во взаимодействии с
остальными правилами...  Впрочем, во взаимодействии актуально для всех
трех правил и для маршрутизации вообще.

Попробуй еще запустить tcpdump с -p и посмотреть, что будет.




1.68 - это клиент ЛВС, который обращается к внешнему IP сервера

запустил с -p (т.е. без не разборчевого режима сетевой) ни чего не 
ходит, т.е. правило


tcpdump -p -i br-eth0 'src port 80 and dst 192.168.1.68'

ни чего не показывает

без -p все работает и tcpdump видит пакеты от приходящие к серверу.

по ходу надо сетевуху сменить и проверить, хотя там встроенная realtek 1Gbps

--
С Уважением,
специалист по техническому и программному обеспечению,
системный администратор

Скубриев Владимир
~~~
Россия, Ростовская область, г. Таганрог

тел. моб: +7 (918) 504 38 20
skype: v.skubriev
icq: 214-800-502
www: skubriev.ru


--
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/52297b9c.3090...@skubriev.ru

Re: можно ли в режиме readonly узнать используется ли ФС в виртуальной машине ?

[Владимир Скубриев]

On 05.09.2013 09:58, Sergey Korobitsin wrote:

Sergey Korobitsin ☫ → To debian-russian@lists.debian.org @ Thu, Sep 05, 2013 
11:47 +0600


Если копать именно в эту сторону, то на FS при монтировании
устанавливается т.н. dirty bit, который потом снимается при
отмонтировании. Его проверяет, например, fsck (когда говорит FS not
cleanly unmounted, check forced или что-то вроде того).

#ifdef __linux__ /* This only works on Linux 2.6+ systems */
if ((stat(device, st_buf) != 0) ||
!S_ISBLK(st_buf.st_mode))
return 0;
fd = open(device, O_RDONLY|O_EXCL|O_CLOEXEC);
if (fd  0) {
if (errno == EBUSY)
*mount_flags |= MF_BUSY;
} else
close(fd);
#endif

return 0;
}

http://code.ohloh.net/file?fid=SbxDnrwRiSbGmeY9xllF8GNxnhocid=pJri86gRltofp=301763mpundefined=projSelected=truemp=1ml=1me=1md=1#L338

Но это, опять же, не факт, что сработает в случае примонтированности из VM, 
надо проверять.

не могу найти чем это dirty bit прочитать из linux - не писать же свой 
собственный сишник и потом его компилить

ну да ладно с этой проверкой.

у меня и так уже их достаточно много получилось.

--
С Уважением,
специалист по техническому и программному обеспечению,
системный администратор

Скубриев Владимир
~~~
Россия, Ростовская область, г. Таганрог

тел. моб: +7 (918) 504 38 20
skype: v.skubriev
icq: 214-800-502
www: skubriev.ru

Re: можно ли в режиме readonly узнать используется ли ФС в виртуальной машине ?

[Владимир Скубриев]

On 05.09.2013 09:47, Sergey Korobitsin wrote:

А зачем? Чтобы слить данные оттуда?

Да. Хотя я и монтирую теперь уже только на чтение.

без того, чтобы заходить на саму виртуальную машину.

я понимаю что вопрос не рядовой.

но может быть кто то сталкивался с такой задачей и знает куда копать
  
Если копать именно в эту сторону, то на FS при монтировании

устанавливается т.н. dirty bit, который потом снимается при
отмонтировании. Его проверяет, например, fsck (когда говорит FS not
cleanly unmounted, check forced или что-то вроде того).


Это не на всех как я понял ФС устанавливается.
man tune2fs:

If you are using journaling on your filesystem, your filesystem will
  never be marked dirty, so it will not normally be 
checked.  A filesystem error detected by the ker‐
  nel  will  still  force  an fsck on the next reboot, but 
it may already be too late to prevent data

  loss at that point.

Т.е. журнальные ФС проверяются если на них есть ошибка при их 
подключении. А бит этот не устанавливается на них. Как я понял.


Вообще нюансов я фигею.

--
С Уважением,
специалист по техническому и программному обеспечению,
системный администратор

Скубриев Владимир
~~~
Россия, Ростовская область, г. Таганрог

тел. моб: +7 (918) 504 38 20
skype: v.skubriev
icq: 214-800-502
www: skubriev.ru


--
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/52282596.6090...@skubriev.ru

Re: можно ли в режиме readonly узнать используется ли ФС в виртуальной машине ?

[Владимир Скубриев]

On 05.09.2013 09:47, Sergey Korobitsin wrote:

Владимир Скубриев ☫ → To debian-russian@lists.debian.org @ Thu, Sep 05, 2013 
08:34 +0400


On 04.09.2013 17:00, Sergey Korobitsin wrote:
задача:

есть файловая система на блочном устройстве например lvm томе

она может быть смонтирована в виртуальной машине

на сервере (хосте) нужно узнать о том смонтирована ли она в
виртуальной машине или нет

А зачем? Чтобы слить данные оттуда?

да, чтобы проверить все ли хорошо ни где ли не примонтировна ФС


--
С Уважением,
специалист по техническому и программному обеспечению,
системный администратор

Скубриев Владимир
~~~
Россия, Ростовская область, г. Таганрог

тел. моб: +7 (918) 504 38 20
skype: v.skubriev
icq: 214-800-502
www: skubriev.ru


--
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/52284529.4020...@skubriev.ru

проброс порта и доступ к проброшенному порту по внешнему адресу шлюза из локальной сети

[Владимир Скубриев]

Как правильно пробросить порт для доступа к проброшенному порту по 
внешнему адресу шлюза из локальной сети.


есть такое правило в фаерволе у меня

iptables -A INPUT -d $INETIP -p TCP --dport 6480 -j ACCEPT
iptables -t nat -A PREROUTING -d $INETIP -p TCP --dport 6480 -j 
DNAT --to-destination $EARTHVM:80
iptables -t nat -A POSTROUTING -d $EARTHVM -p TCP --dport 80 -j 
SNAT --to-source $LANIP


из вне, т.е. например с других мест работает проброс всегда работает

но если из локальной сети(где стоит этот шлюз) пытаться зайти на внешний 
адрес INETIP и порт 6480, то я не могу достучаться до веб сервера.


причем что интересно, если на шлюзе запустить tpdump то в локальной сети 
с клиентов все начинает работать.


в чем подвох ?

При чем аналогичное правило используется для проброса с 80 на 80 порт 
другого веб сервера и с ним все работает из локальной сети.


# WWW
iptables -A INPUT -d $INETIP -p TCP --dport 80 -j ACCEPT
iptables -t nat -A PREROUTING -d $INETIP -p TCP --dport 80 -j 
DNAT --to-destination $WWW:80
iptables -t nat -A POSTROUTING -d $WWW -p TCP --dport 80 -j 
SNAT --to-source $LANIP



Спасибо!

--
С Уважением,
специалист по техническому и программному обеспечению,
системный администратор

Скубриев Владимир
~~~
Россия, Ростовская область, г. Таганрог

тел. моб: +7 (918) 504 38 20
skype: v.skubriev
icq: 214-800-502
www: skubriev.ru


--
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/52286deb.5030...@skubriev.ru

Re: mdadm raid 1 с тремя дисками

[Владимир Скубриев]

On 05.09.2013 22:41, A Bol wrote:


Был только один такой случай, основной том работал нормально.

  
--

http://linuxsnippets.net


Вот у меня на днях такой случай тоже был. Причем есть подозрение, на две 
вещи


1. Снапошот, хотя опять же, поидее он до фени

2. ФС была смонтирована и в виртуалке и на сервере хосте, на котором 
выполнялся бэкап поэтому я сейчас так серьезно дорабатываю скрипты. Хотя 
по факту конечно что-то когда нибудь не провериться и ну сами знаете.




--
С Уважением,
специалист по техническому и программному обеспечению,
системный администратор

Скубриев Владимир
~~~
Россия, Ростовская область, г. Таганрог

тел. моб: +7 (918) 504 38 20
skype: v.skubriev
icq: 214-800-502
www: skubriev.ru


--
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/522956c7.7080...@skubriev.ru

как узнать смонтирована ли файловая система по UUID ?

[Владимир Скубриев]

как узнать смонтирована ли файловая система по UUID ?

есть UUID нужно узнать смонтирована ли она.

интересует где получить список смонтированных ФС с столбцом UUID

спасибо

ни как не могу найти

--
С Уважением,
специалист по техническому и программному обеспечению,
системный администратор

Скубриев Владимир
~~~
Россия, Ростовская область, г. Таганрог

тел. моб: +7 (918) 504 38 20
skype: v.skubriev
icq: 214-800-502
www: skubriev.ru


--
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/522705dd.5000...@skubriev.ru

можно ли в режиме readonly узнать используется ли ФС в виртуальной машине ?

[Владимир Скубриев]

есть сервер с лвм томами
есть на нем тома, которые полностью отдаются виртуальным машинам

можно ли как то находясь на сервере (хосте) узнать смонтированы ли ФС 
отданные виртуальным машинам ?


virt-server-host#

на данный момент использую libvirt, kvm, qemu.

нужно для точной уверенности в действиях скрипта.

спасибо.

--
С Уважением,
специалист по техническому и программному обеспечению,
системный администратор

Скубриев Владимир
~~~
Россия, Ростовская область, г. Таганрог

тел. моб: +7 (918) 504 38 20
skype: v.skubriev
icq: 214-800-502
www: skubriev.ru


--
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/52270bda.3010...@skubriev.ru

Re: mdadm raid 1 с тремя дисками

[Владимир Скубриев]

On 03.09.2013 21:47, A Bol wrote:

3 диска в зеркале, для снятия копии это нормальная практика, которая 
применялась широко пока не появились snapshot'ы.


Вот с этого места - можно поподробнее ?

Чуть подробнее про нормальную практику - жутко интересно

Чуть подробнее про снапшоты.

В моей ситуации сервер содержит виртуальные машины на linux+windows немного

И мне надо как то это чудо с mdadm+lvm+виртуальными машинами бэкапить.

Вопрос 1: Вы в своей(чужой) практике делали остановку служб, виртуальных 
машин и т.д перед бэкапом для консистетности ?
Просто мне тут шеф предлагает вообще обычный dd делать. В чем я 
откровенно говоря сильно сомневаюсь.


Вопрос 2: Расскажите плиз в кратце в чем их суть ? Может быть я чего то 
не уловил в плане как их правильно готовить для бэкапов ?


Вопрос 3: На всякий случай спрошу. А то вроде как уже сомнения начинают 
мучать. Если заканчивается место на снапшоте он просто перестает 
существовать - никакого влияния на работу основного тома он не оказывает ?


p.s. прикольное имя для сайта md0 ))

--
С Уважением,
специалист по техническому и программному обеспечению,
системный администратор

Скубриев Владимир
~~~
Россия, Ростовская область, г. Таганрог

тел. моб: +7 (918) 504 38 20
skype: v.skubriev
icq: 214-800-502
www: skubriev.ru


--
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/52270d7c.8060...@skubriev.ru

Re: как узнать смонтирована ли файловая система по UUID ?

[Владимир Скубриев]

On 04.09.2013 14:41, Artem Chuprina wrote:

Владимир Скубриев - Debian-russian@lists.debian.org  @ Wed, 04 Sep 2013 
14:05:17 +0400:

  ВС как узнать смонтирована ли файловая система по UUID ?

  ВС есть UUID нужно узнать смонтирована ли она.

  ВС интересует где получить список смонтированных ФС с столбцом UUID

  ВС спасибо

  ВС ни как не могу найти

Так тебе узнать, смонтирована ли она, или получить список со столбцом?

Первое существенно проще:

fsdev=$(readlink -f /dev/disk/by-uuid/$UUID)
mount|sed -e 's!^\(/[^ ]*\) \(on [^ ]*\).*!echo $(readlink -f \1) \2!e'|grep 
$fsdev



спасибо очень красиво и не понятно ))
увы я до такого sed не до рос

я догадываюсь о том, как это работает:
в fsdev записываем путь devicemapper, например /dev/dm-1

сед оставляет только названия устройств в после для каждого вызывает 
readlink, который в свою очередь преобразует название устройства из 
человеческого пути (/dev/sysraid/logicalvolume) в /dev/dm-1, по которому 
уже работает последний grep


и если grep возвращает 0, т.е. нашел вхождение значит ФС смонтирована

способ рабочий, только вот сед очень сложный

мне подходит только не могли бы вы объяснить сед по буквам, если конечно 
есть время


s!^\(/[^ ]*\) \(on [^ ]*\).*!echo $(readlink -f \1) \2!e

для полного осознания.

и до кучи вопрос вы его сразу вот так написали или был в загашнике ?

--
С Уважением,
специалист по техническому и программному обеспечению,
системный администратор

Скубриев Владимир
~~~
Россия, Ростовская область, г. Таганрог

тел. моб: +7 (918) 504 38 20
skype: v.skubriev
icq: 214-800-502
www: skubriev.ru


--
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/52271f48.9030...@skubriev.ru

Re: можно ли в режиме readonly узнать используется ли ФС в виртуальной машине ?

[Владимир Скубриев]

On 04.09.2013 15:17, Sergey Korobitsin wrote:

Владимир Скубриев ☫ → To Debian-russian@lists.debian.org @ Wed, Sep 04, 2013 
14:30 +0400


есть сервер с лвм томами
есть на нем тома, которые полностью отдаются виртуальным машинам

можно ли как то находясь на сервере (хосте) узнать смонтированы ли
ФС отданные виртуальным машинам ?

virt-server-host#

на данный момент использую libvirt, kvm, qemu.

нужно для точной уверенности в действиях скрипта.

Чтобы проверить, используется ли какой-нибудь lvm-том виртуалкой, можно
проделать что-то такое:

root@undertaker:~# fuser /dev/mapper/lvm--storage-translation
/dev/mapper/lvm--storage-translation:  
root@undertaker:~# cat /proc//comm
kvm

у меня fuser ни чего не выводит ((

Не уверен, говорит ли это о том, что там что-то смонтировано (вряд ли)
если нужно именно это, то только ходить к каждой виртуалке и спрашивать
это нужно целый огород городить в скрипте, в том то все и дело, что 
хотелось бы без него

(кстати, в общем случае этот том может быть порезан ещё на разделы
внутри виртуалки).


у меня как раз и такое встречается
хотя возможно как только перейду на lxc все эти велосипеды сами собой 
станут не нужными


--
С Уважением,
специалист по техническому и программному обеспечению,
системный администратор

Скубриев Владимир
~~~
Россия, Ростовская область, г. Таганрог

тел. моб: +7 (918) 504 38 20
skype: v.skubriev
icq: 214-800-502
www: skubriev.ru


--
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/52272afc.80...@skubriev.ru

Re: можно ли в режиме readonly узнать используется ли ФС в виртуальной машине ?

[Владимир Скубриев]

On 04.09.2013 17:00, Sergey Korobitsin wrote:

Владимир Скубриев ☫ → To Debian-russian@lists.debian.org @ Wed, Sep 04, 2013 
16:43 +0400


On 04.09.2013 15:17, Sergey Korobitsin wrote:
у меня fuser ни чего не выводит ((

Если fuser ничего не выводит, бывает, можно воспользоваться lsof, может
есть более прямые способы определить, кем открыт файл.


Не уверен, говорит ли это о том, что там что-то смонтировано (вряд ли)
если нужно именно это, то только ходить к каждой виртуалке и спрашивать

это нужно целый огород городить в скрипте, в том то все и дело, что
хотелось бы без него

(кстати, в общем случае этот том может быть порезан ещё на разделы
внутри виртуалки).


у меня как раз и такое встречается

Тогда утверждение ФС на LVM-томе смонтирована не имеет смысла.

почему же
есть lvm том, там своя разбивка
делаем kpartx -a /dev/sysraid/volumename

потом у нас появляются нужные нам ФС

проверяем - вопрос как ?

хотя возможно как только перейду на lxc все эти велосипеды сами
собой станут не нужными

В общем, стоит сформулировать задачу, зачем всё это нужно, чтобы не
получилось как здесь:

http://www.linux.org.ru/forum/development/3504791#comment-3505510


задача:

есть файловая система на блочном устройстве например lvm томе

она может быть смонтирована в виртуальной машине

на сервере (хосте) нужно узнать о том смонтирована ли она в виртуальной 
машине или нет


без того, чтобы заходить на саму виртуальную машину.

я понимаю что вопрос не рядовой.

но может быть кто то сталкивался с такой задачей и знает куда копать

--
С Уважением,
специалист по техническому и программному обеспечению,
системный администратор

Скубриев Владимир
~~~
Россия, Ростовская область, г. Таганрог

тел. моб: +7 (918) 504 38 20
skype: v.skubriev
icq: 214-800-502
www: skubriev.ru

Re: Автомонтирование флешки

[Владимир Скубриев]

On 03.09.2013 01:08, Mikhail Ramendik wrote:

Всем привет!

Сейчас у меня флешка монтируется ручным скриптом. Как-то очень 
стародавняя система получается.


Хотелось бы сделать как у людей, с монтированием по вставке и 
иконкой для размонтирования.


Но, насколько я понимаю, у людей при этом каждая флешка монтируется 
в свой путь, как-то связанный то ли с серийным номером, то ли с меткой 
тома. А мне критично, чтобы она монтировалась всегда в /media/flash - 
я хочу сделать скрипты для выемки фотографий с фотоаппарата и записей 
с звукозаписывалки.


Как бы это сделать?

--
Yours, Mikhail Ramendik

Unless explicitly stated, all opinions in my mail are my own and do 
not reflect the views of any organization

https://www.google.ru/search?q=udev+usb+flash

если в общем, то вам надо разобраться с udev rules
и прописать то что вы хотите в fstab

монтировать можно куда угодно и например по UUID

правда как с иконкой быть - не знаю )

--
С Уважением,
специалист по техническому и программному обеспечению,
системный администратор

Скубриев Владимир
~~~
Россия, Ростовская область, г. Таганрог

тел. моб: +7 (918) 504 38 20
skype: v.skubriev
icq: 214-800-502
www: skubriev.ru

Re: mdadm raid 1 с тремя дисками

[Владимир Скубриев]

On 29.08.2013 21:27, Alexander wrote:
 не совсем понятна цель всех этих остановок и подключений/отключений 
диска. зачем?
чисто теоретически я еще могу понять, если третьим будет внешний винт, 
подключенный по e-sata или usb3. в случае чего его можно отключить от 
массива и использовать в другой машине, и это все без остановок 
сервера вообще. а если винт обычный внутренний - ну вставьте его 
третьим и пусть себе работает. скорость чтения в теории повысится от 
этого. когда нужно будет - тормознете сервак и вытащите, а вот так вот 
дергать каждую неделю - имхо бессмыслица



Цель хранения еще одного бэкапа сервера в другом месте.
Т.е. настроена система резервного копирования bacula + раз в неделю я 
буду ставить винт в USB 3.0 док станцию на которую будет автоматически 
ребилдиться рейд.


После перезапуск, некоторое шаманство (отсоединение винта из массива), 
далее вынимается винт и уноситься в другое здание.


Вообщем то так руководство пожелало.

Я бы настроил резервное копирование в облако с шифрованием + резервное 
копирование нужных данных на другой сервер.


Думаю этого было бы достаточно.

Но руководство пожелало бэкапы на другой сервер + бэкап всей системы в 
целом со всеми виртуалками, lvm-ми и т.д.


Чтобы в случае чего взять этот винт из загашника, поставить в сервер и 
вуаля получить рабочую систему.


--
С Уважением,
специалист по техническому и программному обеспечению,
системный администратор

Скубриев Владимир
~~~
Россия, Ростовская область, г. Таганрог

тел. моб: +7 (918) 504 38 20
skype: v.skubriev
icq: 214-800-502
www: skubriev.ru

Re: mdadm raid 1 с тремя дисками

[Владимир Скубриев]

On 30.08.2013 12:38, Hleb Valoshka wrote:

On 8/30/13, Владимир Скубриев vladi...@skubriev.ru wrote:


Чтобы в случае чего взять этот винт из загашника, поставить в сервер и
вуаля получить рабочую систему.

А этот винт не будет ли помечен как failed, со всеми вытекающими?
тонкостей я еще не знаю, так как такую задачу еще не приходилось 
реализовывать


но вполне возможно что он будет помечаться как fail или же как то по 
другому реализовать его отсоединение от массива


вообщем надо экспериментировать на другом железе, с целью определить 
возможные варианты реализации


я по сути и задал вопрос в надежде услышать мнение тех, кто на ты с 
mdadm уже давно


--
С Уважением,
специалист по техническому и программному обеспечению,
системный администратор

Скубриев Владимир
~~~
Россия, Ростовская область, г. Таганрог

тел. моб: +7 (918) 504 38 20
skype: v.skubriev
icq: 214-800-502
www: skubriev.ru


--
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/52205f64.7030...@skubriev.ru

Re: mdadm raid 1 с тремя дисками

[Владимир Скубриев]

On 30.08.2013 13:24, yuri.nefe...@gmail.com wrote:


 Неприменно надо экспериментировать!
 Кстати, как вы загрузчик (grub/lilo) планируете настраивать?
 Так что воткнул и заработало вряд ли выйдет...
Ю.

без танцев с бубном - не выйдет согласен

а так вообще планировал

chroot, grub-install

ну конечно не только их, т.к. скорее всего их будет не достаточно

я очень надеялся что кто то так делал

--
С Уважением,
специалист по техническому и программному обеспечению,
системный администратор

Скубриев Владимир
~~~
Россия, Ростовская область, г. Таганрог

тел. моб: +7 (918) 504 38 20
skype: v.skubriev
icq: 214-800-502
www: skubriev.ru


--
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/522065b4.4010...@skubriev.ru

Re: внутренний dns сервер и настройка клиентов

[Владимир Скубриев]

On 29.08.2013 12:22, Andrey Melnikoff wrote:

Да шито ви горворите? Специально проверил - за 8.8.8.8 стоит ферма кэшей,
запрос к DNS серверу вошел на 8.8.8.8 вышел из 173.194.98.151, второй
такой-же запрос этого-же имени отрезолвился сразу, запрос другого имени -
пришел с 173.194.98.145. Проверялось с 2х разных мест, с удалением в ~2500
км, с разными магистралами.

Даже если гугловая ASка доступна через один хоп, то это знание только для
BGP роутера, а всякие CDN'ы опираются на geoip базы. А по ним запрос с
173.194.0.0/16 - Калифорнщина со всеми отсюда вытекающими последствиями. Ы?



А я использовал namebench

Он сказал, что лучше использовать DNS провайдера.

Они быстрее как по сравнению с google public dns так и другими public dns.

Я остановился на следующем параметре bind:

forwarders {
80.68.0.12;
80.68.0.9;
8.8.8.8;
8.8.4.4;
};

Причем secondary DNS провайдера быстрее немного primary. Поэтому 12-ый в 
начале списка.


Вот так.

Всем спасибо.

И еще ping до провайдерского DNS 0.35ms
PIng до google dns 35ms

--
С Уважением,
специалист по техническому и программному обеспечению,
системный администратор

Скубриев Владимир
~~~
Россия, Ростовская область, г. Таганрог

тел. моб: +7 (918) 504 38 20
skype: v.skubriev
icq: 214-800-502
www: skubriev.ru

mdadm raid 1 с тремя дисками

[Владимир Скубриев]

Вопрос в теме письма.

Возможно ли создать зеркало с тремя дисками ?

Или может быть нужно смотреть в сторону другого RAID LEVEL, MIRROR 
TECHNOLOGY, etc ?


Надо это для того, чтобы легко создавать целостную копию всего сервера 
при этом не останавливая его, а только например перезапуская. Что не 
критично для работающих с ним пользователей.


Есть работающий сервер с массивом из двух дисков.

Раз в неделю добавляем к массиву третий диск.

Происходит rebuild. Устанавливаем загрузчик на третий диск с не полным 
массивом.


Выключаем сервер, отключаем третий диск.

Включаем сервер.

На 3-ем винте у нас получается точная копия сервера.

Как то так.

Кто что думает о таком способе архивирования?

Спасибо.

--
С Уважением,
специалист по техническому и программному обеспечению,
системный администратор

Скубриев Владимир
~~~
Россия, Ростовская область, г. Таганрог

тел. моб: +7 (918) 504 38 20
skype: v.skubriev
icq: 214-800-502
www: skubriev.ru

Re: mdadm raid 1 с тремя дисками

[Владимир Скубриев]

On 29.08.2013 17:01, Dmitry Fedorov wrote:

Владимир Скубриев  написал:

Возможно ли создать зеркало с тремя дисками ?

У меня есть две машины с тремя и с четырьмя дисками в зеркале, соответственно.
В обоих вылетало по одному диску.
Soft raid, md, разумеется.
Не вижу в этом никакой проблемы.

А вот всё остальное ...

Мне почему то казалось это странным и не реализованным )

Остальное дело техники )

Просто нужно добавить диск/раздел в массив зеркальный и все ? В смысле 
начнется ребилд и будут использоваться 3 диска вместо двух для чтения 
записи на блочное устройство через mdadm ?


--
С Уважением,
специалист по техническому и программному обеспечению,
системный администратор

Скубриев Владимир
~~~
Россия, Ростовская область, г. Таганрог

тел. моб: +7 (918) 504 38 20
skype: v.skubriev
icq: 214-800-502
www: skubriev.ru


--
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/521f47c1.5090...@skubriev.ru

Re: помогите с bash и условием

[Владимир Скубриев]

On 22.08.2013 18:33, Andrey Melnikoff wrote:

Любите вы всё усложнять на пустом месте. пайпов вагон, зачем?

спору нет

#/bin/sh

TO=/dev/sdb
SERIAL=RTF57NGH

if [ $(udevadm info --query=all -n ${TO} | grep -c SERIAL_SHORT=${SERIAL}) != 
1 ]; then
echo blah-blah
fi

ы?



)
спасибо


--
С Уважением,
специалист по техническому и программному обеспечению,
системный администратор

Скубриев Владимир
~~~
Россия, Ростовская область, г. Таганрог

тел. моб: +7 (918) 504 38 20
skype: v.skubriev
icq: 214-800-502
www: skubriev.ru


--
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/52172d8e.8050...@skubriev.ru

внутренний dns сервер и настройка клиентов

[Владимир Скубриев]

Есть у меня в сети настроенный bind+dhcpd

Вот часть конфига bind

options {
directory /var/cache/bind;

// If there is a firewall between you and nameservers you want
// to talk to, you may need to fix the firewall to allow multiple
// ports to talk.  See http://www.kb.cert.org/vuls/id/800113

// If your ISP provided one or more IP addresses for stable
// nameservers, you probably want to use them as forwarders.
// Uncomment the following block, and insert the addresses 
replacing

// the all-0's placeholder.

// forwarders {
//  0.0.0.0;
// };
forwarders {
8.8.8.8;
8.8.4.4;
};

allow-recursion { 127.0.0.0/8; 192.168.1.0/24; };

//
// If BIND logs error messages about the root key being expired,
// you will need to update your keys.  See 
https://www.isc.org/bind-keys

//
dnssec-validation auto;

auth-nxdomain no;# conform to RFC1035
listen-on-v6 { any; };
};

Который держит внутреннюю зону example.lab которая обновляется dhcpd

В настройках dhcpd.conf я выдаю не только внутренний DNS сервер 
192.168.0.1, но и 8.8.8.8, 8.8.4.4


# If this DHCP server is the official DHCP server for the local
# network, the authoritative directive should be uncommented.
authoritative;

ddns-update-styleinterim;
ddns-updates on;
update-static-leases on;

include /etc/bind/rndc.key;

shared-network eth0
{

subnet 192.168.1.0 netmask 255.255.255.0
{

option routers 192.168.1.1;
option domain-name example.lab;
option domain-name-servers 192.168.1.3, 8.8.8.8, 8.8.4.4;
option ntp-servers 192.168.1.1;

# 900 - 15 minutes
# 300 - 5 minutes
# 86400 - 24 hours
default-lease-time 900;
max-lease-time 900;

option host-name = config-option server.ddns-hostname;

ddns-hostname = pick-first-value( host-decl-name,
  option fqdn.hostname,
  concat(dhcp-, 
binary-to-ascii(10, 8, -, leased-address)));


ddns-domainname  example.lab.;

zone example.lab. {
primary 127.0.0.1;
key rndc-key;
}

zone 1.168.192.in-addr.arpa. {
primary 127.0.0.1;
key rndc-key;
}

pool { range 192.168.1.100 192.168.1.200; }

}

include /etc/dhcp/dhcpd.conf.hosts;

}


В связи с чем клиенты сети иногда не могут резол вить внутренние имена 
из локальной зоны потому, что resolver обращается сразу к 3 серверам и 
выбирает по неизвестному мне алгоритму - но не всегда выбирает ответ 
моего сервера.


В ответ от гугл приходит NXDOMAIN

В связи с чем возникает вопрос а можно ли сделать так, чтобы клиентам 
выдавались те же адреса DNS что и сейчас, только резолвинг внутренних 
адресов всегда работал а не как сейчас с перебоями.


Или только оставлять свой dns в параметре

option domain-name-servers 192.168.1.3;


Спасибо.

--
С Уважением,
специалист по техническому и программному обеспечению,
системный администратор

Скубриев Владимир
~~~
Россия, Ростовская область, г. Таганрог

тел. моб: +7 (918) 504 38 20
skype: v.skubriev
icq: 214-800-502
www: skubriev.ru

Re: внутренний dns сервер и настройка клиентов

[Владимир Скубриев]

On 23.08.2013 14:49, Artem Chuprina wrote:

Владимир Скубриев - Debian-russian@lists.debian.org  @ Fri, 23 Aug 2013 
14:29:36 +0400:

  ВС В связи с чем клиенты сети иногда не могут резол вить внутренние имена из
  ВС локальной зоны потому, что resolver обращается сразу к 3 серверам и 
выбирает
  ВС по неизвестному мне алгоритму - но не всегда выбирает ответ моего сервера.

  ВС В ответ от гугл приходит NXDOMAIN

  ВС В связи с чем возникает вопрос а можно ли сделать так, чтобы клиентам
  ВС выдавались те же адреса DNS что и сейчас, только резолвинг внутренних 
адресов
  ВС всегда работал а не как сейчас с перебоями.

  ВС Или только оставлять свой dns в параметре

  ВС option domain-name-servers 192.168.1.3;

Только свой.  Резолвер - штука тупая.



Спасибо за ответ, в том числе быстрый.

Но я подожду еще ответов. Для подтверждения все таки как то странно 
получается. Резолвер тупой. Сломается свой DNS и вся сеть станет.


Не помню на прошлой работе у меня был Active Directory и клиенты 
Windows. С такой проблемой не сталкивался по моему.


Хотя там это не было так критично, т.к. внутренние адреса нужны были 
только мне и службам.


Пользователи работали только с Интернет.

--
С Уважением,
специалист по техническому и программному обеспечению,
системный администратор

Скубриев Владимир
~~~
Россия, Ростовская область, г. Таганрог

тел. моб: +7 (918) 504 38 20
skype: v.skubriev
icq: 214-800-502
www: skubriev.ru


--
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/5217407d.4020...@skubriev.ru

Re: внутренний dns сервер и настройка клиентов

[Владимир Скубриев]

On 23.08.2013 16:01, Andrey Tataranovich wrote:

14:59 Fri 23 Aug, Владимир Скубриев wrote:

Но я подожду еще ответов. Для подтверждения все таки как то странно
получается. Резолвер тупой. Сломается свой DNS и вся сеть станет.

Чтобы не было такой ситуации у вас должно быть минимум 2 своих DNS сервера (на 
разных
серверах). Тогда поломка одного из них не страшна и становится проще проводить
обслуживание.


в версии 2.0 будет предусмотрено. пока только 1 осилил.

Не помню на прошлой работе у меня был Active Directory и клиенты
Windows. С такой проблемой не сталкивался по моему.

У Windows вообще интересная логика работы с несколькими DNS серверами.

Я до сих пор воюю с OpenVPN под Windows7. Запросы клиента шлются, то
на DNS провайдера, то на DNS который выдает VPN. Причем логика выбора мне
пока не понятна. Про register-dns у OpenVPN я в курсе, но оно не помогает.


я с openvpn поступил проще
добавил в мануал


 В случае если вы не используете наш DNS сервер вы можете узнать IP
 адреса нужных вам устройств при помощи команды nslookup.

Для этого запустите терминал и введите команду nslookup.

|user@computer$ nslookup|

далее укажите адрес нашего сервера в качестве сервера для преобразования 
имен, командой


| server 192.168.128.3|

далее можете спрашивать

| saturn|

|Name: saturn.cvision.lab|
|Address: 192.168.128.69|

Далее вы можете обращаться к узлу по найденному IP. Например так

|ssh your_username@192.168.128.69|


ну или пропишите у себя вручную нужный вам DNS корпоративный или нет
а про register-dns я думал, что он работает, но видимо только в 
нормальных системах.


--
С Уважением,
специалист по техническому и программному обеспечению,
системный администратор

Скубриев Владимир
~~~
Россия, Ростовская область, г. Таганрог

тел. моб: +7 (918) 504 38 20
skype: v.skubriev
icq: 214-800-502
www: skubriev.ru

Re: внутренний dns сервер и настройка клиентов

[Владимир Скубриев]

On 23.08.2013 16:12, Artem Chuprina wrote:

Артем Васильев - Debian рассылка  @ Fri, 23 Aug 2013 15:17:32 +0400:

  АВ Не вводите людей в заблуждение, в man 5 resolver  абсолютно ясно сказано:
  АВ *
  АВ *nameserver Name server IP address... *If there are multiple servers, 
the
  АВ resolver library queries them in the order listed*. If
  АВ no nameserver entries are present, the default is to use the name server 
on
  АВ the local machine.

Там у него резолверы-то на виндах, на них man 5 resolver не действует.
Впрочем, и у нас он вполне может не соответствовать действительности.
Проверить стоит.



винда у меня была на другой (старой) работе

сейчас only linux )

если вы про меня

--
С Уважением,
специалист по техническому и программному обеспечению,
системный администратор

Скубриев Владимир
~~~
Россия, Ростовская область, г. Таганрог

тел. моб: +7 (918) 504 38 20
skype: v.skubriev
icq: 214-800-502
www: skubriev.ru


--
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/5217543c.2060...@skubriev.ru

Re: внутренний dns сервер и настройка клиентов

[Владимир Скубриев]

On 23.08.2013 15:17, Артем Васильев wrote:

Не вводите людей в заблуждение, в man 5 resolver  абсолютно ясно сказано:
*
*
nameserver Name server IP address
... *If there are multiple servers, the resolver library queries
them in the order listed*. If no nameserver entries are present,
the default is to use the name server on the local machine.


Только свой.  Резолвер - штука тупая.

у меня клиенты в большинстве своем ubuntu 12.04 в нем по умолчанию 
resolvconf

с серверами на Debian проблем нет

--
С Уважением,
специалист по техническому и программному обеспечению,
системный администратор

Скубриев Владимир
~~~
Россия, Ростовская область, г. Таганрог

тел. моб: +7 (918) 504 38 20
skype: v.skubriev
icq: 214-800-502
www: skubriev.ru

Re: внутренний dns сервер и настройка клиентов

[Владимир Скубриев]

On 23.08.2013 14:49, Artem Chuprina wrote:


Только свой.  Резолвер - штука тупая.



щас оставил только свой резолвер

но есть подозрения, что запросы интернет имен стали медленнее.

bind у меня стоит в виртуальной машине под libvirt, на lvm томе
машина не слабая для сети из 30 компов

6 ядерный атлон там на 3.6 помоему.

виртуалке выделно с лихвой памяти и ядер.

в сеть выходит она через bridge br-eth0

возникает вопрос почему притормаживают браузеры на виртуальном DNS ?

--
С Уважением,
специалист по техническому и программному обеспечению,
системный администратор

Скубриев Владимир
~~~
Россия, Ростовская область, г. Таганрог

тел. моб: +7 (918) 504 38 20
skype: v.skubriev
icq: 214-800-502
www: skubriev.ru


--
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/52175633.30...@skubriev.ru

Re: внутренний dns сервер и настройка клиентов

[Владимир Скубриев]

On 23.08.2013 16:31, Владимир Скубриев wrote:

On 23.08.2013 14:49, Artem Chuprina wrote:


Только свой.  Резолвер - штука тупая.



щас оставил только свой резолвер

но есть подозрения, что запросы интернет имен стали медленнее.

bind у меня стоит в виртуальной машине под libvirt, на lvm томе
машина не слабая для сети из 30 компов

6 ядерный атлон там на 3.6 помоему.

виртуалке выделно с лихвой памяти и ядер.

в сеть выходит она через bridge br-eth0

возникает вопрос почему притормаживают браузеры на виртуальном DNS ?

может в forwarders прописать у bind DNS сервера провайдера а не гугла - 
они ведь территориально ближе.


--
С Уважением,
специалист по техническому и программному обеспечению,
системный администратор

Скубриев Владимир
~~~
Россия, Ростовская область, г. Таганрог

тел. моб: +7 (918) 504 38 20
skype: v.skubriev
icq: 214-800-502
www: skubriev.ru


--
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/521759be.5000...@skubriev.ru

помогите с bash и условием

[Владимир Скубриев]

есть команда, точнее набор команд
echo $TO_DISK_INFO | grep SERIAL_SHORT | grep -q $SERIALTO

if [ ОТРИЦАНИЕ + УСЛОВИЕ ];
then
  echo  ERROR
  exit 3
fi

Мне необходимо условие с отрицанием и желательно чтобы все было помещено 
в блок if [ ... ], т.е. в одну строку - желательно но не обязательно.


Т.е. когда мой набор команд выполнен не успешно, то срабатывало то, что 
в блоке then иначе скрипт продолжал работать дальше


Ни как не могу так сделать.

Я не знаю как правильно написать выражение и добавить к нему отрицание.

Спасибо.

--
С Уважением,
специалист по техническому и программному обеспечению,
системный администратор

Скубриев Владимир
~~~
Россия, Ростовская область, г. Таганрог

тел. моб: +7 (918) 504 38 20
skype: v.skubriev
icq: 214-800-502
www: skubriev.ru

Re: помогите с bash и условием

[Владимир Скубриев]

On 22.08.2013 14:28, Sergey Korobitsin wrote:

Владимир Скубриев ☫ → To Debian-russian@lists.debian.org @ Thu, Aug 22, 2013 
14:23 +0400


есть команда, точнее набор команд
echo $TO_DISK_INFO | grep SERIAL_SHORT | grep -q $SERIALTO

if [ ОТРИЦАНИЕ + УСЛОВИЕ ];
then
   echo  ERROR
   exit 3
fi

Мне необходимо условие с отрицанием и желательно чтобы все было
помещено в блок if [ ... ], т.е. в одну строку - желательно но не
обязательно.

Т.е. когда мой набор команд выполнен не успешно, то срабатывало то,
что в блоке then иначе скрипт продолжал работать дальше

echo $TO_DISK_INFO | grep SERIAL_SHORT | grep -q $SERIALTO
if [ $? -ne 0 ]; then
echo  ERROR
exit 3
fi

А что в $TO_DISK_INFO? Можно оптимизировать.


TO=/dev/sdb
SERIAL=RTF57NGH
TO_DISK_INFO=`udevadm info --query=all -n $TO`

echo $TO_DISK_INFO | grep SERIAL_SHORT | grep -q $SERIALTO
# проверяем результат последней команды
if [ $? -ne 0 ];
then
  echo  Parametr SERIALTO do not correspond hard drive TO - 
Exiting, beacuse we cannot delete ALL DATA ...

  echo  ... !!! BE Careful !!! ...
  exit 3
fi


Проверил не работает я так уже пробывал.

Результат команды проверял = 0 , через echo $?
P.S. $? - результат последней команды
Пробывал также

if [ $? -ne 1 ];
if [ ! $? -ne 1 ];

не работает.

--
С Уважением,
специалист по техническому и программному обеспечению,
системный администратор

Скубриев Владимир
~~~
Россия, Ростовская область, г. Таганрог

тел. моб: +7 (918) 504 38 20
skype: v.skubriev
icq: 214-800-502
www: skubriev.ru


--
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/5215e96c.1010...@skubriev.ru

Re: помогите с bash и условием

[Владимир Скубриев]

On 22.08.2013 14:33, Sergey Korobitsin wrote:

Sergey Korobitsin ☫ → To debian-russian@lists.debian.org @ Thu, Aug 22, 2013 
16:28 +0600


помещено в блок if [ ... ], т.е. в одну строку - желательно но не
обязательно.

Вариантов масса, на самом деле, например, вот:

die () {
echo  ERROR
exit 3
}

echo $TO_DISK_INFO | grep SERIAL_SHORT | grep -q $SERIALTO || die


Ну как вариант, только мне кажется нагроможденней получается

--
С Уважением,
специалист по техническому и программному обеспечению,
системный администратор

Скубриев Владимир
~~~
Россия, Ростовская область, г. Таганрог

тел. моб: +7 (918) 504 38 20
skype: v.skubriev
icq: 214-800-502
www: skubriev.ru


--
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/5215ea8b.9030...@skubriev.ru

Re: помогите с bash и условием

[Владимир Скубриев]

On 22.08.2013 14:28, Sergey Korobitsin wrote:

Владимир Скубриев ☫ → To Debian-russian@lists.debian.org @ Thu, Aug 22, 2013 
14:23 +0400


есть команда, точнее набор команд
echo $TO_DISK_INFO | grep SERIAL_SHORT | grep -q $SERIALTO

if [ ОТРИЦАНИЕ + УСЛОВИЕ ];
then
   echo  ERROR
   exit 3
fi

Мне необходимо условие с отрицанием и желательно чтобы все было
помещено в блок if [ ... ], т.е. в одну строку - желательно но не
обязательно.

Т.е. когда мой набор команд выполнен не успешно, то срабатывало то,
что в блоке then иначе скрипт продолжал работать дальше

echo $TO_DISK_INFO | grep SERIAL_SHORT | grep -q $SERIALTO
if [ $? -ne 0 ]; then
echo  ERROR
exit 3
fi

А что в $TO_DISK_INFO? Можно оптимизировать.


Извиняюсь. работает! Это я уже просто запутался не тот серийник подсовывал.

Большое спасибо.

--
С Уважением,
специалист по техническому и программному обеспечению,
системный администратор

Скубриев Владимир
~~~
Россия, Ростовская область, г. Таганрог

тел. моб: +7 (918) 504 38 20
skype: v.skubriev
icq: 214-800-502
www: skubriev.ru


--
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/5215ee13.3010...@skubriev.ru

Re: помогите с bash и условием

[Владимир Скубриев]

On 22.08.2013 14:57, Sergey Korobitsin wrote:

Владимир Скубриев ☫ → To Debian-russian@lists.debian.org @ Thu, Aug 22, 2013 
14:35 +0400


On 22.08.2013 14:28, Sergey Korobitsin wrote:
TO=/dev/sdb
SERIAL=RTF57NGH
TO_DISK_INFO=`udevadm info --query=all -n $TO`

echo $TO_DISK_INFO | grep SERIAL_SHORT | grep -q $SERIALTO

А кто такой $SERIALTO? Что-то не вижу его объявления. А если его нет, то
в grep -q подставится пустая строка, и он всегда будет выдавать 0.


он просто раньше задается )
серийник винта на который бэкапить
это скрипт автоматического бэкапа на usb винт

--
С Уважением,
специалист по техническому и программному обеспечению,
системный администратор

Скубриев Владимир
~~~
Россия, Ростовская область, г. Таганрог

тел. моб: +7 (918) 504 38 20
skype: v.skubriev
icq: 214-800-502
www: skubriev.ru


--
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/5215f100.9090...@skubriev.ru

как искать то что тебе нужно про bash в процессе изучения

[Владимир Скубриев]

документации по bash полно, но найти в гугл или в самой документации на 
http://www.gnu.org/software/bash/manual/bash.html


что то конкретное сложно

например я пытался найти описание параметров -ne, -z, и т.д.

и понял что как то не так ищу

есть конечно еще man

но вопрос в том как искать более правильно ?

чем обычным поиском

я знаю не много regexp, можно его юзать в man, но тоже не супер учитывая 
объем.


может где то есть хороший справочник онлайн?

--
С Уважением,
специалист по техническому и программному обеспечению,
системный администратор

Скубриев Владимир
~~~
Россия, Ростовская область, г. Таганрог

тел. моб: +7 (918) 504 38 20
skype: v.skubriev
icq: 214-800-502
www: skubriev.ru

full backup of server with LVM and mdadm to usb hard drive

[Владимир Скубриев]

План А - все архивируется файлами на другой сервер. Восстанавливаю все 
ручками в случае если зеркало на рабочем сервере полетит. Загружась с 
флэшки. Настраиваю сеть. Копирую все с архивного сервера.


План Б ниже

full backup of server with LVM and mdadm to usb hard drive

Планирую реализовать скрипт автоматического архивирования. И делать это 
архивирование положем раз неделю/месяц.


Вечером:
подключил диск, сработал скрипт автоматического архивирования

Утром на следующий день:
Проверил в почте успешность задания архивирования
отключил диск

Разбивка сервера:
Два винта по 500 Гб
разбиты на два раздела
первый 500 Мб - раздел для зеркала, md0, mountpoint /boot
второй все остальное - раздел для зеркала, md1, pv0 (lvm)

логических томов примерно 16 штук, это ФС сервера (root, var/log, home), 
ФС контейнеров LXC, другие файловые системы с другими данными


План примерно такой скрипта:

1. Проверили что мы будем делать бэкап рабочих винтов на внешний диск
2. Сделали разметку usb винта
3. Скопировали настройку lvm на usb винт
4. Скопировали по очереди через dd все группы томов (предварительно 
делая снапшоты)
5. Сделали chroot в архивный диск и поправили там все, чтобы с него 
можно было загрузить сервер.

6. Положили архивный диск в сейф.

Сильно замароченно ?

Простым dd тут как бы не совсем правильно.

Что скажите ?

--
С Уважением,
специалист по техническому и программному обеспечению,
системный администратор

Скубриев Владимир
~~~
Россия, Ростовская область, г. Таганрог

тел. моб: +7 (918) 504 38 20
skype: v.skubriev
icq: 214-800-502
www: skubriev.ru


--
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/5215f76c.9050...@skubriev.ru

Re: помогите с bash и условием

[Владимир Скубриев]

On 22.08.2013 16:43, Andrey Tataranovich wrote:

14:35 Thu 22 Aug, Владимир Скубриев wrote:

TO=/dev/sdb
SERIAL=RTF57NGH
TO_DISK_INFO=`udevadm info --query=all -n $TO`

echo $TO_DISK_INFO | grep SERIAL_SHORT | grep -q $SERIALTO
# проверяем результат последней команды
if [ $? -ne 0 ];
then
   echo  Parametr SERIALTO do not correspond hard drive TO -
Exiting, beacuse we cannot delete ALL DATA ...
   echo  ... !!! BE Careful !!! ...
   exit 3
fi

Проверить наличие нужного диска можно проще:

BACKUP_DISK=/dev/disk/by-id/usb-Easy_Disk_AA040127_007375-0:0
if [ ! -b $BACKUP_DISK ]; then
echo Correct backup disk not found: $BACKUP_DISK 2
exit 1
fi


Я стремился к универсальности, вот:

#!/bin/bash

FROM=$1
TO=$2
SERIALTO=$3

TO_DISK_INFO=`udevadm info --query=all -n $TO`

if [ ! $# == 3 ]; then
  echo Usage: FROM TO SERIALNUMBER_OF_DISK_TO
  exit 1
fi

if [[ ! -b $2 ]] || [[ ! -b $1 ]]; then
  echo First | Second parametr is not a valid Block device
  exit 2
fi

echo $TO_DISK_INFO | grep SERIAL_SHORT | grep -q $SERIALTO
if [ $? -ne 0 ]; then
  echo  Parametr SERIALTO do not correspond hard drive TO - 
Exiting, beacuse we cannot delete ALL DATA ...

  exit 3
fi

echo $TO_DISK_INFO | grep ID_BUS | grep -qi usb
if [ $? -ne 0 ]; then
  echo  This disk is not USB Backup Disk - Exiting, beacuse we cannot 
delete ALL DATA ...

  exit 4
fi




--
С Уважением,
специалист по техническому и программному обеспечению,
системный администратор

Скубриев Владимир
~~~
Россия, Ростовская область, г. Таганрог

тел. моб: +7 (918) 504 38 20
skype: v.skubriev
icq: 214-800-502
www: skubriev.ru


--
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/521609d8.2020...@skubriev.ru

Re: full backup of server with LVM and mdadm to usb hard drive

[Владимир Скубриев]

On 22.08.2013 16:36, Andrey Tataranovich wrote:

4. Скопировали по очереди через dd все группы томов (предварительно
делая снапшоты)

Снапшоты лучше делать не последовательно, а атомарно иначе на можно получить
неконсистентный бэкап. Это однозначно ударит по производительности диска, но
целостность данных зачастую дороже.

а как их можно делать атомарно ?
сразу друг за другом или есть волшебная команда ?

5. Сделали chroot в архивный диск и поправили там все, чтобы с него
можно было загрузить сервер.

Не вижу в этом большого смысла, если загрузить сервер с USB-диска, он будет
работать ощутимо медленнее. Тут скорее будет иметь смысл автоматизация 
bare-metal
recovery. Посмотрите mondorescue [1].


будет использоваться sata to usb контроллер для архивирования

для работы на запасном диске будет использоваться чистый без переходника

6. Положили архивный диск в сейф.

Если сейф стоит рядом с сервером, то такой бэкап не защищен от пожара, 
затопления
или кражи сейфа.

[1] http://www.mondorescue.org/



сейф будет у меня дома )

--
С Уважением,
специалист по техническому и программному обеспечению,
системный администратор

Скубриев Владимир
~~~
Россия, Ростовская область, г. Таганрог

тел. моб: +7 (918) 504 38 20
skype: v.skubriev
icq: 214-800-502
www: skubriev.ru


--
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/52160b37@skubriev.ru

Re: помогите с bash и условием

[Владимир Скубриев]

On 22.08.2013 17:43, Sergey Korobitsin wrote:

Peter Pentchev ☫ → To Debian-russian@lists.debian.org @ Thu, Aug 22, 2013 14:12 
+0300


[ ... ]

Так что:

if echo $TO_DISK_INFO | fgrep -e $SERIAL_SHORT | fgrep -qe $SERIALTO; then
...
fi

этот способ не подходит - верно.

Это всё, конечно, хорошо, но человек хотел, чтобы блок внутри if ... fi
выполнился, если grep выполнится _неуспешно_. Простого способа, как это
сделать, я сходу не нашел, если только не городить что-то типа:

if echo $TO_DISK_INFO | fgrep -e $SERIAL_SHORT | fgrep -qe $SERIALTO || 
true; then
...
fi

что, согласитесь, не очень читабельно.


а что значит || true ?

--
С Уважением,
специалист по техническому и программному обеспечению,
системный администратор

Скубриев Владимир
~~~
Россия, Ростовская область, г. Таганрог

тел. моб: +7 (918) 504 38 20
skype: v.skubriev
icq: 214-800-502
www: skubriev.ru

Re: Маскарадинг и некоторые сервера в интернет

[Владимир Скубриев]

On 10.08.2013 12:25, Dmitry E. Oboukhov wrote:

у меня домашний сервак много лет работает в примерно такой
конфигурации:

локалкочный IP eth0: 10.0.0.1/24

iptables -s 10.0.0.1/24 -t nat -A POSTROUTING -j MASQUERADE
iptables -A INPUT -p ALL -m state --state  ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -p ALL -i eth0 -j ACCEPT

полный доступ из локалки в интернет в итоге есть, кроме одного сайта:
github.com.

на него любое обращение зависает.
с сервера работает curl https://github.com, а вот из локалки нет.
netstat'ом вижу что curl открыл соединение на github.com:443 и все.
на этом висит.

в чем может быть проблема? чего-то я забыл промаскарадить?
проблема началась с того, что на сервере вышла из строя материнская
плата и вследствие этого сервер переехал на новое железо, куда
поставили wheezy/linux 3.2 (до этого 2.6.сколько-то там) + взяли
старые конфиги.

на новом ядре такого маскарадинга/форвардина недостаточно?
чего не хватает? пинговать пингует, только https не открывает.
все прочие сайты работают.


у меня последний раз была похожая проблема.
у меня не открывались mirror.yandex.ru и speedtest.net

кстати у вас эти сайты открываются ?

помогло правило вычисления и установки mtu на сервере

iptables -I FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS 
--clamp-mss-to-pmtu


http://habrahabr.ru/post/136871/
http://www.opennet.ru/base/net/pppoe_mtu.txt.html

еще мне помогло правило

Запись пакетов для последующего анализа wireshark
tcpdump -lnni eth0 -w dump -s 65535 port 80

там где запустите появится файлик когда будете делать запросы к гитхабу 
и после уже проанализируете этот дамп на другой машине с установленным 
ваершарком



--
С Уважением,
специалист по техническому и программному обеспечению,
системный администратор

Скубриев Владимир
~~~
Россия, Ростовская область, г. Таганрог

тел. моб: +7 (918) 504 38 20
skype: v.skubriev
icq: 214-800-502
www: skubriev.ru

mysql, static files, repos на отдельных разделах для Redmine

[Владимир Скубриев]

mysql, static files, repos на отдельных разделах для Redmine.

Корень уже на отдельном разделе.

Возник у меня спор с начальством по поводу Redmine.

Я за то, чтобы mysql (50Мб), static files(1Гб), repos(5Гб) были на 
отдельных разделах для Redmine. ФС на отдельных ЛВМ разделах - в любой 
момент могу увеличить.


Начальство уверяет что это излишне. Мол кончиться место может - пока 
выясним что и как времени много пройдет. Да и вообще зачем все разделять 
- спрашивают.


Я хочу отделить все чтобы можно было по отдельности делать снапшоты и 
сохранять. Хотя мне ни чего не мешает сделать один снапшот всех данных и 
потом по отдельности все сохранить.


Так даже как то лучше будет - все данные в один определенный момент 
времени сохраняться. Чем если бы я по отдельности делал снапшоты для 
базы, реп, и статик файлов.


Кто что скажет на этот счет ?


Спасибо.

--
С Уважением,
специалист по техническому и программному обеспечению,
системный администратор

Скубриев Владимир
~~~
Россия, Ростовская область, г. Таганрог

тел. моб: +7 (918) 504 38 20
skype: v.skubriev
icq: 214-800-502
www: skubriev.ru

как разрешить отдельный lvm том для lxc контейнера через conf file lxc?

[Владимир Скубриев]

Есть конф файл lxc /var/lib/lxc/vm/config

что нужно прописать в нем чтобы разрешить устройство - логический том 
LVM, например /dev/sysraid/lv_data


чтобы можно было его монтировать внтури lxc контейнера ?

вот часть конфига про cgroup

lxc.cgroup.devices.deny = a
# Allow any mknod (but not using the node)
lxc.cgroup.devices.allow = c *:* m
lxc.cgroup.devices.allow = b *:* m
# /dev/null and zero
lxc.cgroup.devices.allow = c 1:3 rwm
lxc.cgroup.devices.allow = c 1:5 rwm
# consoles
lxc.cgroup.devices.allow = c 5:1 rwm
lxc.cgroup.devices.allow = c 5:0 rwm
#lxc.cgroup.devices.allow = c 4:0 rwm
#lxc.cgroup.devices.allow = c 4:1 rwm
# /dev/{,u}random
lxc.cgroup.devices.allow = c 1:9 rwm
lxc.cgroup.devices.allow = c 1:8 rwm
lxc.cgroup.devices.allow = c 136:* rwm
lxc.cgroup.devices.allow = c 5:2 rwm
# rtc
lxc.cgroup.devices.allow = c 254:0 rwm
#fuse
lxc.cgroup.devices.allow = c 10:229 rwm
#tun
lxc.cgroup.devices.allow = c 10:200 rwm
#full
lxc.cgroup.devices.allow = c 1:7 rwm
#hpet
lxc.cgroup.devices.allow = c 10:228 rwm
#kvm
lxc.cgroup.devices.allow = c 10:232 rwm


я так понимаю нужно где то возле

lxc.cgroup.devices.allow = c *:* m
lxc.cgroup.devices.allow = b *:* m

прописать правило ? но какое ?
спасибо

--
С Уважением,
специалист по техническому и программному обеспечению,
системный администратор

Скубриев Владимир
~~~
Россия, Ростовская область, г. Таганрог

тел. моб: +7 (918) 504 38 20
skype: v.skubriev
icq: 214-800-502
www: skubriev.ru

vfs lock VS service stop VS full virtual machine stop при архивировании данных

[Владимир Скубриев]

Существует три метода создания консистентных архивов как я понимаю.

1. Создание снапшота после остановки сервиса, который работает с 
архивируемой ФС. Например mysql, webserver, etc


2. Создание снапшота после остановки виртуальной машины, которая 
работает с архивируемой ФС.


2. Создание снапшота без дополнительных действий. Т.е. снапшот будет 
создан для консистетной ФС.


в моем случае используется ext4.

И необходимо архивировать redmine, точнее его базу mysql и репозиториями 
git, hg.


Все это находится на разных lvm томах с ФС-ми ext4.

Вопрос как лучше архивировать все это хозяйство ?

Я пока вижу это так:

1. Остановили mysql, сделали снапшот, запустили mysql: (сохранили файлы 
баз данных / или mysql dump ?)
2. Остановили webserver, чтобы ни кто не стучался к репозиториям git, 
hg. сделали снапшот, запустили веб сервер, сохранили 1 раз в неделю фул, 
и каждый день дифф
3. Остановили виртуальную машину сделали снапшот фс корня, Запустили 
виртуальную машину. Сохранили раз в месяц Фул, и каждый день дифф.


Может репы с которыми часто очень работают сохранять чаще ?

Какие есть недочеты, пожелания, рекомендации ?

Подскажите что в этом алгоритме не верно ?

Когда еще используют метод 1 ?

Существуют ли еще какие-то методы ?

Спасибо.

--
С Уважением,
специалист по техническому и программному обеспечению,
системный администратор

Скубриев Владимир
~~~
Россия, Ростовская область, г. Таганрог

тел. моб: +7 (918) 504 38 20
skype: v.skubriev
icq: 214-800-502
www: skubriev.ru

Создан новый список рассылки о chef для русскоговорящих пользователей. Присоединяйтесь.

[Владимир Скубриев]

Прошу желающих присоединяться.

https://groups.google.com/forum/#!forum/chef-russian

--
С Уважением,
специалист по техническому и программному обеспечению,
системный администратор

Скубриев Владимир
~~~
Россия, Ростовская область, г. Таганрог

тел. моб: +7 (918) 504 38 20
skype: v.skubriev
icq: 214-800-502
www: skubriev.ru


--
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/51ff5cd8.5000...@skubriev.ru

Какое приложение генерит такие странные запросы и главное зачем?

[Владимир Скубриев]

Какое приложение генерит такие странные запросы и главное зачем?

Проверено на нескольких рабочих станциях (машинах). Причем на рабочих 
станциях стоят разные версии ubuntu 12.04 и 13.04 все ведут себя так 
странно.


При отключении network-manager и последующем его включении совершается 
серия запросов на не существующие имена, типа llamxxifdr, uygfdmzcbr


15:02:50.239673 IP ws1.example.intra.64796  pdc.example.intra.domain: 
13239+ A? llamxxifdr.example.intra. (40)
15:02:50.239957 IP ws1.example.intra.33849  pdc.example.intra.domain: 
14684+ A? uygfdmzcbr.example.intra. (40)
15:02:50.240151 IP ws1.example.intra.19349  pdc.example.intra.domain: 
45020+ A? daisy.ubuntu.com. (34)
15:02:50.240195 IP ws1.example.intra.64051  pdc.example.intra.domain: 
56017+ ? daisy.ubuntu.com. (34)
15:02:50.242212 IP ws1.example.intra.13791  pdc.example.intra.domain: 
4437+ A? llamxxifdr.example.intra. (40)
15:02:50.242430 IP ws1.example.intra.14172  pdc.example.intra.domain: 
20865+ A? uygfdmzcbr.example.intra. (40)
15:02:50.242441 IP ws1.example.intra.7051  pdc.example.intra.domain: 
35612+ A? idkzrbxhtg.example.intra. (40)
15:02:50.243438 IP ws1.example.intra.11645  pdc.example.intra.domain: 
42332+ A? uygfdmzcbr. (28)
15:02:50.243656 IP ws1.example.intra.35467  pdc.example.intra.domain: 
39589+ A? idkzrbxhtg. (28)
15:02:50.243667 IP ws1.example.intra.62687  pdc.example.intra.domain: 
3865+ A? llamxxifdr. (28)
15:02:51.606533 IP ws1.example.intra.53665  pdc.example.intra.domain: 
58657+ A? stun.telepathy.im. (35)
15:02:51.606612 IP ws1.example.intra.9018  pdc.example.intra.domain: 
16986+ ? stun.telepathy.im. (35)
15:02:51.768959 IP ws1.example.intra.29747  pdc.example.intra.domain: 
20054+ A? stun.l.google.com. (35)
15:02:51.769963 IP ws1.example.intra.26632  pdc.example.intra.domain: 
19087+ ? stun.l.google.com. (35)
15:02:52.239709 IP ws1.example.intra.5564  pdc.example.intra.domain: 
37802+ A? talk.google.com. (33)
15:02:53.939159 IP ws1.example.intra.49958  pdc.example.intra.domain: 
15397+ A? 0.drive.google.com. (36)
15:02:55.208208 IP ws1.example.intra.56663  pdc.example.intra.domain: 
63210+ A? ya.ru. (23)
15:02:55.229248 IP ws1.example.intra.21617  pdc.example.intra.domain: 
59085+ PTR? 3.134.158.93.in-addr.arpa. (43)
15:02:56.230279 IP ws1.example.intra.ninstall  
pdc.example.intra.domain: 42216+ PTR? 3.134.158.93.in-addr.



Причем 5 первых делается с доменом, после три в обратном порядке без домена.

Это что такой тест работоспособности DNS у network-manager'а ?

Спасибо!


--
С Уважением,
специалист по техническому и программному обеспечению,
системный администратор

Скубриев Владимир
~~~
Россия, Ростовская область, г. Таганрог

тел. моб: +7 (918) 504 38 20
skype: v.skubriev
icq: 214-800-502
www: skubriev.ru

Re: YXDOMAIN - предупреждение или ошибка ? и как узнать какая TXT соответствует какому хосту (А записи)

[Владимир Скубриев]

On 16.07.2013 16:38, Владимир Скубриев wrote:
Удаляю A запись в DNS через утилиту nsupdate. Смотрю журнал все 
прошло. Проверяю хост перестал резолвится.


Интересно этой командой TXT запись удалилась ?

сейчас проверил по собственному алгоритму - надо делать через nsupdate 
чистку. Она удаляет и A запись и соответствующую ей TXT



#rndc freeze
#rndc thaw

#cp /var/lib/bind/db.lab /tmp/db.lab

#nsupdate
 key lab. BIGGKEYY
 server localhost
 update delete pandora.lab
 send


#rndc freeze
#rndc thaw

#cp /var/lib/bind/db.lab /tmp/db.lab.pandora.deleted

# diff /tmp/db.lab /tmp/db.lab.pandora.deleted
4c4
 2012052812 ; serial
---
 2012052813 ; serial
139,140d138
 pandoraA192.168.0.73
 TXT00024518ec2591279b6d606fb3d5426a49

Т.е удалились и A и TXT записи.

Странно одно - что я ни где где описывают настройку DDNS не нашел того 
как блин с ним потом дальше работать.
Надеюсь найду время и выложу статью в открытый доступ со всеми 
подробностями.


--
С Уважением,
специалист по техническому и программному обеспечению,
системный администратор

Скубриев Владимир
~~~
Россия, Ростовская область, г. Таганрог

тел. моб: +7 (918) 504 38 20
skype: v.skubriev
icq: 214-800-502
www: skubriev.ru

YXDOMAIN - предупреждение или ошибка ? и как узнать какая TXT соответствует какому хосту (А записи)

[Владимир Скубриев]

Удаляю A запись в DNS через утилиту nsupdate. Смотрю журнал все прошло. 
Проверяю хост перестал резолвится.


Интересно этой командой TXT запись удалилась ?

Jul 16 16:20:04 zent dhcpd: DHCPDISCOVER from 00:21:91:ef:8b:35 via eth0
Jul 16 16:20:04 zent dhcpd: DHCPOFFER on 192.168.0.73 to 
00:21:91:ef:8b:35 via eth0
Jul 16 16:20:04 zent named[2834]: client 127.0.0.1#59996: updating zone 
'lab/IN': adding an RR at 'pandora.lab' A
Jul 16 16:20:04 zent named[2834]: client 127.0.0.1#59996: updating zone 
'lab/IN': adding an RR at 'pandora.lab' TXT
Jul 16 16:20:04 zent dhcpd: Added new forward map from pandora.lab. to 
192.168.0.73
Jul 16 16:20:04 zent named[2834]: client 127.0.0.1#39418: updating zone 
'0.168.192.in-addr.arpa/IN': deleting rrset at 
'73.0.168.192.in-addr.arpa' PTR
Jul 16 16:20:04 zent named[2834]: client 127.0.0.1#39418: updating zone 
'0.168.192.in-addr.arpa/IN': adding an RR at '73.0.168.192.in-addr.arpa' PTR
Jul 16 16:20:04 zent dhcpd: added reverse map from 
73.0.168.192.in-addr.arpa. to pandora.lab.
Jul 16 16:20:04 zent dhcpd: DHCPREQUEST for 192.168.0.73 (192.168.0.5) 
from 00:21:91:ef:8b:35 via eth0
Jul 16 16:20:04 zent dhcpd: DHCPACK on 192.168.0.73 to 00:21:91:ef:8b:35 
via eth0


Далее перезапускам сеть на клиенте и видим --- update unsuccessful: 
pandora.lab: 'name not in use' prerequisite not satisfied (YXDOMAIN)


Jul 16 16:20:23 zent dhcpd: DHCPDISCOVER from 00:21:91:ef:8b:35 via eth0
Jul 16 16:20:23 zent dhcpd: DHCPOFFER on 192.168.0.73 to 
00:21:91:ef:8b:35 via eth0
Jul 16 16:20:23 zent named[2834]: client 127.0.0.1#37580: updating zone 
'lab/IN': update unsuccessful: pandora.lab: 'name not in use' 
prerequisite not satisfied (YXDOMAIN)
Jul 16 16:20:23 zent named[2834]: client 127.0.0.1#52470: updating zone 
'lab/IN': deleting rrset at 'pandora.lab' A
Jul 16 16:20:23 zent named[2834]: client 127.0.0.1#52470: updating zone 
'lab/IN': adding an RR at 'pandora.lab' A
Jul 16 16:20:23 zent dhcpd: Added new forward map from pandora.lab. to 
192.168.0.73
Jul 16 16:20:23 zent named[2834]: client 127.0.0.1#48043: updating zone 
'0.168.192.in-addr.arpa/IN': deleting rrset at 
'73.0.168.192.in-addr.arpa' PTR
Jul 16 16:20:23 zent named[2834]: client 127.0.0.1#48043: updating zone 
'0.168.192.in-addr.arpa/IN': adding an RR at '73.0.168.192.in-addr.arpa' PTR
Jul 16 16:20:23 zent dhcpd: added reverse map from 
73.0.168.192.in-addr.arpa. to pandora.lab.
Jul 16 16:20:23 zent dhcpd: DHCPREQUEST for 192.168.0.73 (192.168.0.5) 
from 00:21:91:ef:8b:35 via eth0
Jul 16 16:20:23 zent dhcpd: DHCPACK on 192.168.0.73 to 00:21:91:ef:8b:35 
via eth0


Как же так получается и что бы это могла значить?

И еще вопрос как мне вычислить какая TXT запись в DNS соответствует 
какому хосту ?


Раз TXT это md5 hash от идентификационных данных клиента, то получается 
что ни как ?


Вот кусок моей зоны с TXT записями созданными dhcpd

$ORIGIN .
$TTL 259200 ; 3 days
lab IN SOA  ns.lab. hostmaster.lab. (
2012052779 ; serial
28800  ; refresh (8 hours)
7200   ; retry (2 hours)
2419200; expire (4 weeks)
86400  ; minimum (1 day)
)
NS  ns.lab.
$ORIGIN lab.
$TTL 850; 14 minutes 10 seconds
host1  A   192.168.0.203
$TTL 900; 15 minutes
TXT 00dbf3c54dee15f3125f755b0ae995897a
$TTL 850; 14 minutes 10 seconds
host2A   192.168.0.204
$TTL 900; 15 minutes
TXT 002e0c6e4fb5eb2b64598d4d55ed495526
$TTL 3600   ; 1 hour
host3  A   192.168.0.100
TXT 31a64c88c7747a51b39fece8551503f4a2



Спасибо!

--
С Уважением,
специалист по техническому и программному обеспечению,
системный администратор

Скубриев Владимир
~~~
Россия, Ростовская область, г. Таганрог

тел. моб: +7 (918) 504 38 20
skype: v.skubriev
icq: 214-800-502
www: skubriev.ru

pppoe mtu

[Владимир Скубриев]

Столкнулся с проблемой на новом сервере шлюзе на выходных.

Почему то не открывались не которые сайты.

Например mirror.yandex.ru и speedetest.net

При чем на самом шлюзе wget mirror.yandex.ru | wget speedetest.net работали

А на клиентах в лучшем случае 30% yandex'а загружались.

Нашел описание этой проблемы на 
http://www.opennet.ru/base/net/pppoe_mtu.txt.html


Сделал

iptables -I FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu


Помогло.

Но также там сказано, что можно данную проблему обойти и через опцию pppd

Как и какую опцию лучше прописать, если я использую для соединения 
/etc/ppp/peers/provider


И как вообще лучше обходить данную проблему через iptables | ppp option ?

--
С Уважением,
специалист по техническому и программному обеспечению,
системный администратор

Скубриев Владимир
~~~
Россия, Ростовская область, г. Таганрог

тел. моб: +7 (918) 504 38 20
skype: v.skubriev
icq: 214-800-502
www: skubriev.ru

Re: как должен работать ddns + dhcpd + bind?

[Владимир Скубриев]

On 15.07.2013 12:36, Hleb Valoshka wrote:

On 7/15/13, Владимир Скубриев vladi...@skubriev.ru wrote:

Давно не настраивал подобную связку, поэтому особенно не помогу.


  zone example.lab. {

Тут разве не должно быть в верхнем регистре имя зоны?

Посмотрел на старом сервере в нижнем регистре. По идее не влияет.



  host pandora {
  hardware ethernet 00:21:91:ef:8b:35;
  fixed-address 192.168.128.73;
  }

Знаете, мне кажется, что будет проще прописать статические адреса в
DNS, и в fixed-address вместо ip указывать доменное имя.

Спасибо за хороший совет. Я подумаю на счет такого варианта.

Т.е. получается:
1. Мы будем привязывать к mac адресу имя хоста а НЕ IP адрес к MAC
Очень интересно получается. Правда пока что то такая схема 
полностью не умещается в голове. А какие минусы это нам дает?
Помню даже в win ad там привязка идет от DHCP, который в свою 
очередь обновляет записи в DNS ( там кстати периодически приходилось 
чистить обратную зону от старых PTR записей, если у компьютера менялся IP)

2. IP адрес будет фигурировать только в DNS - это большой плюс.
3. Как же тогда обновление ?
4. Может есть статья где именно так делают ?



У пары записей я вручную удалил TXT запись, с надеждой что зона
обновиться. Но увы это ни к чему не привело.

Конечно, теперь dhcpd не считает их своими, поэтому не будет их трогать.
dhpcd считает запись своей только если есть TXT запись - а какая ему по 
фиг или нет ? У себя то он где её хранит ? Или он вычисляет из неё какие 
то нужные параметры и на основе этих параметров определяет можно ли её 
обновить ?


Есть подозрение (пока только начинаю понимать технику), что dhcpd 
обновляет только то, что он сам добавил ?
Какие условия для этого ему необходимы - только наличине TXT записи или 
же наличие+соответствие TXT записи каким то параметрам ?


При обновлении зоны прямой и обратной что ищет в ней dhcpd ? Т.е. по 
чему конкретно он находит запись, которую надо обновить ?



Зачем нужна TXT запись вообще и на что её наличие может повлиять?

Это маркер, что эти записи добавлены dhcpd.


но это не всегда помогает например для другого хоста это не помогает.
хост pandora ниже по логу (FAILED: Has an address record but no DHCID,
not mine.)

Нет TXT
Эта ошибка говорит о том, что запись существует, но он не определил 
DHCID (нет записи TXT), соответственно он не будет обновлять запись. Да?



Но вот чуть выше самая интересная запись этот загадочный
localhost.localdomain.example.lab откуда named его берет ?

В мане для dhcpd есть пример как добавить отладочный лог для named,
где-то в самом конце.


Bind создает файлы jnl - зачем ?

Фактически, там и находится актуальное состояние зоны.
А когда изменения вносятся в сам файл /etc/bind/db.example.lab ? После 
перезапуска ? Или как вообще.



Какой у dhcpd должен быть доступ к ним ?

Никакого.

Понятно т.е. это чисто bind-а файлы, в которых последние изменения зоны.



Можно ли удалять jnl файлы и на что они влияют в моем случае?

Лучше этого не делать. Можно много чего поломать.


Т.е. они по сути начали создаваться (файлы jnl) после того, как 
заработало обновление dns. До этого их поидее не было



DHCPD хранит выданные аренды

/var/lib/dhcp# ls -l
total 12
...
-rw-r--r-- 1 dhcpd dhcpd 2484 Jul 14 17:05 dhcpd.leases
-rw-r--r-- 1 dhcpd dhcpd 2484 Jul 14 17:05 dhcpd.leases~

на что выданные аренды будут влиять ?

На работу самого DHCPD, очевидно же.


нужно ли их чистить если не работает dns update?

Нет.

Спасибо огромное! Тут без товарищей не разобраться.

--
С Уважением,
специалист по техническому и программному обеспечению,
системный администратор

Скубриев Владимир
~~~
Россия, Ростовская область, г. Таганрог

тел. моб: +7 (918) 504 38 20
skype: v.skubriev
icq: 214-800-502
www: skubriev.ru

Re: pppoe mtu

[Владимир Скубриев]

On 15.07.2013 12:16, alexander barakin wrote:

On Mon, Jul 15, 2013 at 10:52:47AM +0400, Владимир Скубриев wrote:

Столкнулся с проблемой на новом сервере шлюзе на выходных.

Почему то не открывались не которые сайты.

Например mirror.yandex.ru и speedetest.net

При чем на самом шлюзе wget mirror.yandex.ru | wget speedetest.net работали

А на клиентах в лучшем случае 30% yandex'а загружались.

Нашел описание этой проблемы на [1]http://www.opennet.ru/base/net/
pppoe_mtu.txt.html

Сделал

iptables -I FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu



Помогло.

Но также там сказано, что можно данную проблему обойти и через опцию pppd

нет у pppd ничего подобного.
зато есть у pppoe:
$ grep 'pty.*-m' /etc/ppp/peers/dsl-provider
pty /usr/sbin/pppoe -I eth0 -T 80 -m 1452
#pty /usr/sbin/pppoe -I eth0 -T 80 -m 1412
http://habrahabr.ru/post/136871/сейчас начинаю понимать, что поидее 
был не прав по поводу pppd, т.к. мне надо передавать каким то образом 
параметр плагину rp-pppoe.so


очень хорошую статью нашел http://habrahabr.ru/post/136871/

вот конфиг моего пира:
user username
noipdefault
defaultroute
# Номер ppp-интерфейса (в данном случае будет ppp100)
unit 50
replacedefaultroute
hide-password
lcp-echo-interval 20
lcp-echo-failure 3
noauth
persist
mtu 1492
maxfail 0
plugin rp-pppoe.so ethtop

mtu выставлен как и на старом сервере  шлюзе, но при этом на старом 
сервере шлюзе все работало.

я также пробывал ставить 1412, как сказано в статье, но и это не помогало.

При этом mtu менялся у интерфейса ppp50 - это было видно из команды ip link

Сейчас посмотрел iptables-save и увидел там правило

iptables-save | grep clamp
-A POSTROUTING -o ppp0 -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS 
--clamp-mss-to-pmtu


Вот где она истина. Я так понимаю, раз автоматически размер данных 
режется до необходимого, то


1. Нужно чтобы был открыт icmp на шлюзе, т.к. скорее всего алгоритм 
определения размера максимального mtu/mss работает не без него
2. Размер mtu в /etc/ppp/peers/provider вообще побарабану если включено 
волшебное iptables правило ?




И как вообще лучше обходить данную проблему через iptables | ppp option ?

как удобнее.




--
С Уважением,
специалист по техническому и программному обеспечению,
системный администратор

Скубриев Владимир
~~~
Россия, Ростовская область, г. Таганрог

тел. моб: +7 (918) 504 38 20
skype: v.skubriev
icq: 214-800-502
www: skubriev.ru

Re: как должен работать ddns + dhcpd + bind?

[Владимир Скубриев]

 3. Как же тогда обновление ?


А никак или вручную. Оно вам кровь из носу?

Я вот тут подумал и вот какой вывод сделал о минусах использования 
данной схемы:


1. Если админ поменяет ip адрес хоста в DNS, то данные о хосте будут 
некоторое время (до обновления аренды клиентской машиной) не верны.


Предположим в сети появился хост с mac адресом 00:00:00:00:00:aa
В конфигурации dhcpd прописано этому mac ( 00:00:00:00:00:aa ) выдать ip 
(который резолвится из имени данного хоста ) 192.168.128.8


Хосту выданы настройки и все бы ни чего, но админ решил поменять имя хосту.

Залез на сервер и поменял его в DNS (при нашей схеме) на IP 192.168.128.9

Теперь при запросе имени этого хоста dns будет возвращать новый IP 
клиента 192.168.128.9. Но ведь клиент еще работает со старым IP (8-ым).


Вот тут и получается неувязочка.

Хотя с другой стороны до идеально верной конфигурации сети остается 
ровно столько, сколько осталось носить старый IP этому клиенту + время 
жизни DNS записи.


При ближайшей пере конфигурации клиента ему будет выдан новый IP, 
который будет соответствовать настроенному DNS.


2. В случае смены хостом IP адреса его придется менять не только в 
прямой зоне просмотра но и в обратной.


Это можно не много упростить, генерируя файлы зон через специальный 
скрипт. В моем у случае на ruby так как мы используем chef.


Что тоже вполне логично и оправданно.

Единственное что в данной конфигурации заставляет задуматься, так это 
то, что не получится сделать идеально правильную систему.
Логически (с точки зрения работы службы разрешения имен) правильней 
использовать динамическое обновление.
Оно не приводит систему в нерабочее состояние (не соответствие записи 
dns текущему ip клиента хоста, выданному до смены ip в dns ) пусть даже 
и в короткие промежутки времени.
Я имею в виду что можно задать срок аренды и время жизни dns 
относительно небольшим, например 15 минут и всегда помнить о том, что 
при смене ip в DNS конфигурация может быть неправильна на не которое время.


Что скажите ?

--
С Уважением,
специалист по техническому и программному обеспечению,
системный администратор

Скубриев Владимир
~~~
Россия, Ростовская область, г. Таганрог

тел. моб: +7 (918) 504 38 20
skype: v.skubriev
icq: 214-800-502
www: skubriev.ru

 * Russian - detected
 * English

 * English

javascript:void(0);

Re: как должен работать ddns + dhcpd + bind?

[Владимир Скубриев]

On 15.07.2013 16:32, Hleb Valoshka wrote:

On 7/15/13, Владимир Скубриев vladi...@skubriev.ru wrote:

Логически (с точки зрения работы службы разрешения имен) правильней
использовать динамическое обновление.
Оно не приводит систему в нерабочее состояние (не соответствие записи
dns текущему ip клиента хоста, выданному до смены ip в dns ) пусть даже
и в короткие промежутки времени.
Я имею в виду что можно задать срок аренды и время жизни dns
относительно небольшим, например 15 минут и всегда помнить о том, что
при смене ip в DNS конфигурация может быть неправильна на не которое время.

Что скажите ?

Вы меняете адреса по 7 раз на день? За день (или какой там у вас TTL),
уменьшили его до 5-10-15 минут, когда все машины уже обновляют адреса
с новым TTL, поменяли адрес и вернули старый TTL. Делов-то.
Ну спору нет данная схема вполне рабочая. Просто я хотел убедиться, что 
правильно понимаю все


--
С Уважением,
специалист по техническому и программному обеспечению,
системный администратор

Скубриев Владимир
~~~
Россия, Ростовская область, г. Таганрог

тел. моб: +7 (918) 504 38 20
skype: v.skubriev
icq: 214-800-502
www: skubriev.ru


--
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/51e40096.50...@skubriev.ru

Re: Непонятные RST

[Владимир Скубриев]

On 09.07.2013 12:13, Hleb Valoshka wrote:

Добрый день!

Есть у меня одна машина, с которой стали твориться непонятки с сетью. 
Сама машина - Squeeze в виртуалке esx5, виртуальная сетевуха - e1000. 
Всё работало до вчерашнего дня без проблем, а вчера стали обновлять 
явовские либы с http://repo.maven.apache.org/, и больше чем 7 кБ за 
раз не удаётся скачать:


2013-07-09 10:49:32 (24.9 MB/s) - Read error at byte 7008/146211 
(Connection reset by peer). Retrying.


При этом значения обычно одни и те же. С других узлов инета всё 
грузится без проблем. И с других машин в сети, в т.ч. и соседних 
виртуалок, с repo.maven.apache.org http://repo.maven.apache.org всё 
грузится нормально.


В проблемной виртуалке iptables не настраивали, на шлюзе NAT, но в 
iptables тоже ничего нет.


На дампы tcpdump смотрел,

по больше подробностей хотелось бы

--
С Уважением,
специалист по техническому и программному обеспечению,
системный администратор

Скубриев Владимир
~~~
Россия, Ростовская область, г. Таганрог

тел. моб: +7 (918) 504 38 20
skype: v.skubriev
icq: 214-800-502
www: skubriev.ru

J. Bond Systems - это кто ?

[Владимир Скубриев]

Так как потребовалось использовать еще одну сетевую на сервере всплыла 
забытая мной проблема новых сетевых карт для сервера.


Обе они DFE-528T Rev. C1

Но по факту они не много отличаются.

Чипы у них RTL8169SC, надписи под RTL8169SC чипах немного отличаются.

Так вот если использовать их по отдельности - то они работают и 
определяются системой как Dlink-ки


Если их вставить в один компьютер обе сразу, то одна из них определяется 
как J. Bond Systems.


Причем для той, что определяется как J. Bond Systems не загружаеться 
драйвер  r8169. Видно через lspci -k


Прошлый раз я уже потратил много времени на выявление причины - но так и 
не выяснил в чем дело.


Как быть дорогие участники рассылки ?

Может кто с таким сталкивался?

--
С Уважением,
специалист по техническому и программному обеспечению,
системный администратор

Скубриев Владимир
~~~
Россия, Ростовская область, г. Таганрог

тел. моб: +7 (918) 504 38 20
skype: v.skubriev
icq: 214-800-502
www: skubriev.ru


--
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/51d5816b.7080...@skubriev.ru

Re: J. Bond Systems - это кто ?

[Владимир Скубриев]

On 04.07.2013 18:13, Alex Kuklin wrote:

On 04.07.2013 17:06, Владимир Скубриев wrote:
Так как потребовалось использовать еще одну сетевую на сервере 
всплыла забытая мной проблема новых сетевых карт для сервера.


Обе они DFE-528T Rev. C1


для сервера. RTL
oh shi



Но по факту они не много отличаются.

Чипы у них RTL8169SC, надписи под RTL8169SC чипах немного отличаются.

Так вот если использовать их по отдельности - то они работают и 
определяются системой как Dlink-ки


Если их вставить в один компьютер обе сразу, то одна из них 
определяется как J. Bond Systems.



http://www.pcidatabase.com/vendor_details.php?id=519
Причем для той, что определяется как J. Bond Systems не 
загружаеться драйвер  r8169. Видно через lspci -k


очевидно, что они настолько кривые, что при определении в шине 
начинают конфликтовать.

подробного механизма подсказать не могу.
Прошлый раз я уже потратил много времени на выявление причины - но 
так и не выяснил в чем дело.


Как быть дорогие участники рассылки ?

поставить сетевую плату, которая хотя бы на workstation тянет, младший 
intel какой-нибудь

Может кто с таким сталкивался?





понял. спасибо.

--
С Уважением,
специалист по техническому и программному обеспечению,
системный администратор

Скубриев Владимир
~~~
Россия, Ростовская область, г. Таганрог

тел. моб: +7 (918) 504 38 20
skype: v.skubriev
icq: 214-800-502
www: skubriev.ru


--
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/51d64c80.9030...@skubriev.ru

Re: аутентификация пользователей обращающихся к samba серверу через аккаунты из ldap

[Владимир Скубриев]

отпишусь по результатам.

в конфиге указываем
passdb backend = tdbsam

и ставим пакет с модулем PAM libpam-smbpass

он сам прописывается в подсистему pam из конфига 
(/usr/share/pam-configs/smbpasswd-migrate) = pam_auth_update


и вуаля стандартная база паролей tdb пополняется новым пользователем 
выполнившим успешный вход через другие службы


т.е. сначала нужно будет зайти пользователем через другую службу, а уже 
после использовать samba


единственное не удобство - это то, что при смене пароля пользователя в 
ldap ему снова нужно будет заходить на сервер под какой нибудь другой 
службой чтобы обновить базу tdb самбы.


например ftp, ssh или что либо еще

этот модуль конечно не только для данной задачи предназначен, но 
подозрительно, что именно такую задачу (migrate) он выполняет по умолчанию )


получается все классно, красиво и без дополнительных заморочек.

--
С Уважением,
специалист по техническому и программному обеспечению,
системный администратор

Скубриев Владимир
~~~
Россия, Ростовская область, г. Таганрог

тел. моб: +7 (918) 504 38 20
skype: v.skubriev
icq: 214-800-502
www: skubriev.ru

Re: test

[Владимир Скубриев]

On 02.07.2013 15:37, Alexander Wiedergold WIEDERGOLD.NET wrote:

Am 30.06.2013 12:40, schrieb Ivan Zavarzin:

test



# Необходимо указать для ldapsam uri к серверу LDAP
passdb backend = ldapsam:ldap://192.168.1.138/
# Пользователь на сервере LDAP, которому разрешено выполнять
# чтение и запись новых атрибутов
# Пароль будет указан позже
ldap admin dn = cn=root,dc=ertw,dc=com
# То же, что и база поиска
ldap suffix = dc=ertw,dc=com
# Контейнеры OU для пользователей/компьютеров/групп
ldap user suffix = ou=People
ldap machine suffix = ou=Computers
ldap group suffix = ou=Group



такой конфиг не будет работать без схемы самбы в ldap

я уже разобрался нужен только пакет libpam-smbpass он сохраняет хэши 
вводимых пользователями паролей в tdb local db постепенно по мере 
авторизации юзеров на других службах этого сервера и все работает


--
С Уважением,
специалист по техническому и программному обеспечению,
системный администратор

Скубриев Владимир
~~~
Россия, Ростовская область, г. Таганрог

тел. моб: +7 (918) 504 38 20
skype: v.skubriev
icq: 214-800-502
www: skubriev.ru


--
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/51d2bda5.4050...@skubriev.ru

аутентификация пользователей обращающихся к samba серверу через аккаунты из ldap

[Владимир Скубриев]

Ни как не могу найти информацию по именно этому случаю использования samba:

Опишу словами что я хочу:

Самба сервер для расшаривания папок с авторизацией в уже имеющимся ldap 
каталоге


В ldap заведены ou=users и ou=groups

В том числе созданы пользователи и группы, вот такие примерно:

# Entry 1: cn=skubriev,ou=users,dc=example,dc=com
dn: cn=skubriev,ou=users,dc=example,dc=com
cn: Skubriev Vladimir
cn: skubriev
gidnumber: 2007
homedirectory: /home/skubriev
loginshell: /bin/bash
mail:: 2t38t86fg8w86gf86g34786fg863g4f6g
objectclass: simpleSecurityObject
objectclass: inetOrgPerson
objectclass: posixAccount
objectclass: shadowAccount
sn: Vladimir
uid: skubriev
uidnumber: 2044
userpassword: {SSHA}2t38t86fg8w86gf86g34786fg863g4f6g


# Entry 1: cn=group1,ou=groups,dc=example,dc=com
dn: cn=group1,ou=groups,dc=example,dc=com
cn: group1
description: All in office users
gidnumber: 2007
...
memberuid: skubriev
memberuid: user1
memberuid: user2
...
objectclass: posixGroup


Я не хочу принципиально использовать схему samba в каталоге, т.к. он у 
меня нет клиентов windows. Но некоторые папки на сервере должны быть 
доступны по протоколу SMB.

То есть другими словами все должно быть как можно более простым.

В поиске мне попадаются истинные нагромождения типа Samba + ldap = PDC 
= samba4 )))


Мне нужно, чтобы когда smbclient подключался к серверу у него 
спрашивался пароль и логин, который сверялся в моем каталоге и на 
основании того, в какой он группе и кто он выдавался доступ к SMB 
ресурсу(ам).


Возможно ли такое сделать и как ?

Спасибо.


--
С Уважением,
специалист по техническому и программному обеспечению,
системный администратор

Скубриев Владимир
~~~
Россия, Ростовская область, г. Таганрог

тел. моб: +7 (918) 504 38 20
skype: v.skubriev
icq: 214-800-502
www: skubriev.ru

Re: аутентификация пользователей обращающихся к samba серверу через аккаунты из ldap

[Владимир Скубриев]

On 01.07.2013 14:25, Mike Mironov wrote:

01.07.2013 14:16, Владимир Скубриев пишет:
Ни как не могу найти информацию по именно этому случаю использования 
samba:


Опишу словами что я хочу:

Самба сервер для расшаривания папок с авторизацией в уже имеющимся ldap
каталоге

В ldap заведены ou=users и ou=groups


...


Я не хочу принципиально использовать схему samba в каталоге, т.к. он у
меня нет клиентов windows. Но некоторые папки на сервере должны быть
доступны по протоколу SMB.
То есть другими словами все должно быть как можно более простым.

В поиске мне попадаются истинные нагромождения типа Samba + ldap = PDC
= samba4 )))

Мне нужно, чтобы когда smbclient подключался к серверу у него
спрашивался пароль и логин, который сверялся в моем каталоге и на
основании того, в какой он группе и кто он выдавался доступ к SMB
ресурсу(ам).

Возможно ли такое сделать и как ?



Как вариант: настраиваем авторизацию pam-ldap на этом сервере, 
проверяем, что подтягиваются пользователи и группы и потом прописываем 
доступ этим группам в Samba.




уже сделал авторизацию и вход через pam, nssswitch и sssd

как самой самбе сказать, чтобы она аутентифицировала пользователей через 
pam и nss ?


при установке она завела всех пользователей в tdbsam по умолчанию

вот что она писала
...
Importing account for skubriev...ok
Importing account for user1...ok
Importing account for user2...ok
...

Т.е. в свою локальную базу она заносит пользователей, возможно и группы 
системные.


Вопрос в том, что при такой настройке прийдеться поддерживать её 
базу(/var/lib/samba/passdb.tdb) в актуальном состоянии вручную.


И нужно всем пользователям делать smbpasswd. И это не самая главная 
беда. Самая главная беда в том, что у меня нет паролей в plaintext, они 
есть у меня только в хэшах из каталога ldap.


Я ведь храню хэши в ldap, почему бы samba не делать авторизацию через него ?

Да у меня не простая задача, точнее она не из распространенных.


--
С Уважением,
специалист по техническому и программному обеспечению,
системный администратор

Скубриев Владимир
~~~
Россия, Ростовская область, г. Таганрог

тел. моб: +7 (918) 504 38 20
skype: v.skubriev
icq: 214-800-502
www: skubriev.ru

Re: аутентификация пользователей обращающихся к samba серверу через аккаунты из ldap

[Владимир Скубриев]

Да у меня не простая задача, точнее она не из распространенных.




Есть такое подозрение, что использование клиентов smb накладывает 
ограничения на реализацию компонента LDAP таким образом, что заставляет 
использовать схему samba в каталоге, если необходимы аутентификация, что 
в свою очередь подтягивает синхронизацию паролей (см. примечание 1) и 
вообще полную виндузятину туда, где казалось бы она вовсе не нужна.



примечание 1. статья
http://www.ibm.com/developerworks/ru/edu/l-lpic3305/section5.html

в которой говориться, что:

Пароли NT отличаются от паролей UNIX и не могут храниться в атрибуте 
userPassword. По этой причине схему LDAP нужно расширить для обеспечения 
поддержки хранения хэшей паролей и другой информации, необходимой 
клиентам Microsoft.


Надеюсь, что не прав (.

--
С Уважением,
специалист по техническому и программному обеспечению,
системный администратор

Скубриев Владимир
~~~
Россия, Ростовская область, г. Таганрог

тел. моб: +7 (918) 504 38 20
skype: v.skubriev
icq: 214-800-502
www: skubriev.ru

Re: аутентификация пользователей обращающихся к samba серверу через аккаунты из ldap

[Владимир Скубриев]

On 02.07.2013 00:23, Hleb Valoshka wrote:

On 7/1/13, Владимир Скубриев vladi...@skubriev.ru wrote:


при установке она завела всех пользователей в tdbsam по умолчанию

...

Вопрос в том, что при такой настройке прийдеться поддерживать её
базу(/var/lib/samba/passdb.tdb) в актуальном состоянии вручную.

И нужно всем пользователям делать smbpasswd. И это не самая главная
беда. Самая главная беда в том, что у меня нет паролей в plaintext, они
есть у меня только в хэшах из каталога ldap.

Не уверен, т.к. не использовал, но сегодня случайно узнал про такую
вещь как libpam-smbpass:

Description-en: pluggable authentication module for Samba
  This is a module for PAM that enables a system administrator to migrate
  user passwords from the Unix password database to the SMB password
  database as used by Samba, and to subsequently keep the two databases in
  sync.  Unlike other solutions, it does this without needing users to log
  in to Samba using cleartext passwords, or requiring them to change their
  existing passwords.


вчера читал про него на develeper works ( 
http://www.ibm.com/developerworks/ru/edu/l-lpic3305/section5.html) как 
раз в тему, но я пока плаваю в том, что за чем идет )


вообще говоря очень толковый мануал - как раз в том стиле, который не 
просто говорит что делать а почему надо так делать и что от чего зависит.


надо только уточнить будет ли он работать без дополнительной схемы в 
каталоге - буду надеется что будет.


сейчас займусь его изучением.

спасибо за ценное указание.

отпишусь по результатам.

--
С Уважением,
специалист по техническому и программному обеспечению,
системный администратор

Скубриев Владимир
~~~
Россия, Ростовская область, г. Таганрог

тел. моб: +7 (918) 504 38 20
skype: v.skubriev
icq: 214-800-502
www: skubriev.ru

Re: cd permission denided ldap group

[Владимир Скубриев]

On 28.06.2013 11:19, Eugene Berdnikov wrote:


  Остальные -- это не те, кому не удалось получить доступ по групповому
  признаку, это те, кто НЕ ВХОДИТ в группу. Почувствуйте разницу.


Этот момент я пропустил. Странно, что только сейчас до меня дошло (.

--
С Уважением,
специалист по техническому и программному обеспечению,
системный администратор

Скубриев Владимир
~~~
Россия, Ростовская область, г. Таганрог

тел. моб: +7 (918) 504 38 20
skype: v.skubriev
icq: 214-800-502
www: skubriev.ru

Re: cd permission denided ldap group

[Владимир Скубриев]

On 28.06.2013 11:27, Hleb Valoshka wrote:

On 6/28/13, Владимир Скубриев vladi...@skubriev.ru wrote:

ли если ты входишь например в группу Пупкиных и группе Пупкиных не
заданы права (т.е. их нет rwx---rwx), то будет тебе болт ?
Не смотря на то, что всем остальным разрешен доступ к папке (r-x) ?

Да именно так и будет, что вас удивляет?

Уже понял, что был не прав. Полный просак. (

--
С Уважением,
специалист по техническому и программному обеспечению,
системный администратор

Скубриев Владимир
~~~
Россия, Ростовская область, г. Таганрог

тел. моб: +7 (918) 504 38 20
skype: v.skubriev
icq: 214-800-502
www: skubriev.ru

cd permission denided ldap group

[Владимир Скубриев]

загадочная ситуация у меня вышла

был старый сервер, сейчас вот настраиваю новый

для аутентификации и перечисления пользователей и групп в качестве 
дополнительного бэкэнда используется openLDAP


вход в системы под ldap пользователем работает.

есть у меня на сервере общая папка common которую я хочу расшарить по 
nfs в дальнейшем


точнее я это уже сделал, но столкнулся с проблемой прав доступа к ней и 
другим папкам.


далее я отключил nfs и решил проверить все на самом сервере локально.

залогинился под обычным пользователем и ...

если у папки группой является ldap группа, то пользователь обычный 
(non-root) входящий в данную группу не может в нее войти, хотя даже при 
чем тут группа, если у  всех остальных есть права r-x на эту папку


если изменить группу папки на локальную, то пользователь может войти в 
эту папку.


пользователь root может делать что хочет естественно.

вот эта папка:
drwx--Sr-x 3 skubriev inoffice  4096 апр.   1 11:43 common


в эту может как ни странно )
drwxr-xr-x 2 root __USERS__ 4096 апр.   1 11:33 distrs


вот еще одна, в которую  тоже не может войти
drwx---r-x 2 root __USERS__ 4096 апр.   1 11:33 info


вот ls -ln
drwx--Sr-x 3 2044 2003 4096 апр.   1 11:43 common
drwxr-xr-x 20 1901 4096 апр.   1 11:33 distrs
drwx---r-x 20 1901 4096 апр.   1 11:33 info

вот id пользователя
uid=2044(skubriev) gid=1901(__USERS__) groups=1901(__USERS__),2003(inoffice)

Видно, что пользователь входит в группы __USERS__ и inoffice.

Но почему то на отрез ни право группы (членом которой является юзер) и 
ни право для всех остальных не позволяет ему войти в папку.


Далее я удалил эти папки и создал заново на том же месте

drwxrwsr-x 2 srvadm __USERS__ 4096 июня  27 10:13 common
drwxr-xr-x 2 srvadm __USERS__ 4096 апр.   1 11:33 distrs
drwxr-xr-x 2 srvadm __USERS__ 4096 июня  27 10:07 info


доустановил вручную sticky bit для каталога common и право на запись для 
группы


и проверил все работает.

Далее я решил проверить как теперь с правами для остальных

убираем права для остальных
sudo chmod o-rwx common/ distrs/ info/

и пробуем войти - вуаля работает, пробуем писать в данный каталог - все 
окей.


все заработало правильно - как и должно было быть.

возникает вопрос почему все так странно ?

скоро вводить этот сервер в продакшен хотелось бы, чтобы при подключении 
настоящего хранилища (несколько терабайт важных данных) все работало как 
и задумывалось.


пока вместо реального массива используется небольшой lvm том.

эти папки перед удалением я скопировал на другую ФС.

На ней обычный пользователь может нормально войти в папку common и другие

Вот как они выглядят на другой ФС:

ls -l /home/skubriev/backup/
total 12
drwx--Sr-x 3 skubriev __USERS__ 4096 апр.   1 11:43 common
drwxr-xr-x 2 skubriev __USERS__ 4096 апр.   1 11:33 distrs
drwx---r-x 2 skubriev __USERS__ 4096 июня  27 10:05 info

Прошу прощения за столько большой пост, но короче его не описать. 
Надеюсь поможете разгадать загадку.


--
С Уважением,
специалист по техническому и программному обеспечению,
системный администратор

Скубриев Владимир
~~~
Россия, Ростовская область, г. Таганрог

тел. моб: +7 (918) 504 38 20
skype: v.skubriev
icq: 214-800-502
www: skubriev.ru

 * Russian - detected
 * English

 * English

javascript:void(0);

Re: Squid transparent ntlm?

[Владимир Скубриев]

On 26.06.2013 14:11, Victor Wagner wrote:



Нет я имел в виду или прозрачный прокси или прозрачная
аутентификация (kerberos | ntlm)

А с какой угодно непрозрачной аутентификацией прозрачное проксирование
совместимо? Потому что мне представлялось так, что прозрачное
проксирование, оно потому и прозрачное, что прикидывается прямым
соединением с целевым хостом. Поэтому добавлять в цепочку запрос-ответ
что либо - не должно, и соответственно несовместимо ни с какой
аутентификацией.

Очевидно, что прокси может использовать только те виды аутентификации,
которые поддерживаются браузером.

Представим себе что целевой сайт, на который хочет попасть
пользователь, использует тот же вид аутентификации, что и прокси.

Какой из доступных нам видов аутентификации позволит одновременно
аутентифицироваться на прокси и на сайте, если браузер и не подозревает
что есть какая-то прокси, и думает что все добавленные ей заголовки
http-ответа идут непосредственно с сайта?

А как мы будем https аутентифицировать?

Все правильно вы описали - или прозрачный прокси или аутентификация в 
принципе (в том числе и прозрачная).


третьего не дано.

Можно по ip авторизовать проксиком, но опять же не факт что проксик так 
умеет в режими transparent


--
С Уважением,
специалист по техническому и программному обеспечению,
системный администратор

Скубриев Владимир
~~~
Россия, Ростовская область, г. Таганрог

тел. моб: +7 (918) 504 38 20
skype: v.skubriev
icq: 214-800-502
www: skubriev.ru

Re: cd permission denided ldap group

[Владимир Скубриев]

On 27.06.2013 12:03, Hleb Valoshka wrote:

On 6/27/13, Владимир Скубриев vladi...@skubriev.ru wrote:

загадочная ситуация у меня вышла

нет ничего загадочного, всё у вас работает как положено


drwx--Sr-x 3 skubriev inoffice  4096 апр.   1 11:43 common

где права rx для группы?
да и хрен с ними с правами для группы. у остальных то должен быть поидее 
доступ ?


ли если ты входишь например в группу Пупкиных и группе Пупкиных не 
заданы права (т.е. их нет rwx---rwx), то будет тебе болт ?

Не смотря на то, что всем остальным разрешен доступ к папке (r-x) ?



в эту может как ни странно )
drwxr-xr-x 2 root __USERS__ 4096 апр.   1 11:33 distrs

потому что есть  rx

эта папка была изначально рабочая



вот еще одна, в которую  тоже не может войти
drwx---r-x 2 root __USERS__ 4096 апр.   1 11:33 info

опять нет
ну и что что нет. ведь у всех остальных есть ! т.е. o+rx видно же, 
почему тогда не входит




Видно, что пользователь входит в группы __USERS__ и inoffice.
drwxrwsr-x 2 srvadm __USERS__ 4096 июня  27 10:13 common
drwxr-xr-x 2 srvadm __USERS__ 4096 апр.   1 11:33 distrs
drwxr-xr-x 2 srvadm __USERS__ 4096 июня  27 10:07 info


везде есть

правильно, потому, что я создал новые папки в том же месте.




На ней обычный пользователь может нормально войти в папку common и другие
Вот как они выглядят на другой ФС:
ls -l /home/skubriev/backup/
total 12
drwx--Sr-x 3 skubriev __USERS__ 4096 апр.   1 11:43 common
drwxr-xr-x 2 skubriev __USERS__ 4096 апр.   1 11:33 distrs
drwx---r-x 2 skubriev __USERS__ 4096 июня  27 10:05 info

а пользователь, наверное, skubriev?

да на новой ФС вопросов нет

--
С Уважением,
специалист по техническому и программному обеспечению,
системный администратор

Скубриев Владимир
~~~
Россия, Ростовская область, г. Таганрог

тел. моб: +7 (918) 504 38 20
skype: v.skubriev
icq: 214-800-502
www: skubriev.ru

Re: Squid transparent ntlm?

[Владимир Скубриев]

On 26.06.2013 09:13, Petr Bondarenko wrote:

Здравствуйте!

А подскажите мне люди добрые,
не научился ли Squid последних версий работать в режиме
transparent и юзать при этом NTLM-авторизацию?

такое ни когда не будет работать по определенным техническим причинам
Последний раз давно работал с сквидом, и тогда он умел либо NTLM либо 
прозрачность.




забудьте про ntlm, на дворе 21-й век.
нужно юзать kerberos





--
С Уважением,
специалист по техническому и программному обеспечению,
системный администратор

Скубриев Владимир
~~~
Россия, Ростовская область, г. Таганрог

тел. моб: +7 (918) 504 38 20
skype: v.skubriev
icq: 214-800-502
www: skubriev.ru

Re: Squid transparent ntlm?

[Владимир Скубриев]

On 26.06.2013 13:59, Victor Wagner wrote:

On 2013.06.26 at 12:06:49 +0400, Владимир Скубриев wrote:


не научился ли Squid последних версий работать в режиме
transparent и юзать при этом NTLM-авторизацию?

такое ни когда не будет работать по определенным техническим причинам
забудьте про ntlm, на дворе 21-й век.
нужно юзать kerberos

А kerberos совместим с прозранчым проксированием?
И если да, то как?


Нет я имел в виду или прозрачный прокси или прозрачная аутентификация 
(kerberos | ntlm)


--
С Уважением,
специалист по техническому и программному обеспечению,
системный администратор

Скубриев Владимир
~~~
Россия, Ростовская область, г. Таганрог

тел. моб: +7 (918) 504 38 20
skype: v.skubriev
icq: 214-800-502
www: skubriev.ru

Re: помогите с sed и подпрограммой

[Владимир Скубриев]

On 24.06.2013 21:27, Артём Н. wrote:

если вдруг кому понадобиться в будущем:

sed -i -r '/^.*::.*/s/(^.*)(::) (.*)/echo -n \\1;echo -n : ; echo \\3 |
base64 -d/e' /path/to/file
Угу. *) Спасибо. :: ) Пожелаю вам, чтобы ваш код поддерживал хороший саппорт:
http://tinyurl.com/mmmdg2v
И скорейшего перехода на Ruby или Perl. /(



Все познается в процессе сравнения )

Не ошибается тот, кто ни чего не делает.

Да на перле проще в каком то смысле - но ведь до этого нужно было дойти.


--
С Уважением,
специалист по техническому и программному обеспечению,
системный администратор

Скубриев Владимир
~~~
Россия, Ростовская область, г. Таганрог

тел. моб: +7 (918) 504 38 20
skype: v.skubriev
icq: 214-800-502
www: skubriev.ru

vsftpd mkhomedir пользователям без валидного шела, например /bin/nologin

[Владимир Скубриев]

есть сервер с vsftpd

есть пользователи из ldap, homedir'ы которых не созданы - новый сервер 
предположим.


у большинства пользователей шелл /bin/nologin

соответственно pam session не работает, а в нем как раз прописан 
pam_mkhomedir


вопрос как лучше и проще сделать создание homedir для пользователей без 
/bin/validshell ?


спасибо.

--
С Уважением,
специалист по техническому и программному обеспечению,
системный администратор

Скубриев Владимир
~~~
Россия, Ростовская область, г. Таганрог

тел. моб: +7 (918) 504 38 20
skype: v.skubriev
icq: 214-800-502
www: skubriev.ru

Re: vsftpd mkhomedir пользователям без валидного шела, например /bin/nologin

[Владимир Скубриев]

On 25.06.2013 11:43, Владимир Скубриев wrote:

есть сервер с vsftpd

есть пользователи из ldap, homedir'ы которых не созданы - новый сервер 
предположим.


у большинства пользователей шелл /bin/nologin

соответственно pam session не работает, а в нем как раз прописан 
pam_mkhomedir


вопрос как лучше и проще сделать создание homedir для пользователей 
без /bin/validshell ?


спасибо.

--
С Уважением,
специалист по техническому и программному обеспечению,
системный администратор

Скубриев Владимир
~~~
Россия, Ростовская область, г. Таганрог

тел. моб: +7 (918) 504 38 20
skype: v.skubriev
icq: 214-800-502
www: skubriev.ru

отвечаю сам себе - дело было в одной строчке.
нужно было её комментировать
pam_mkhomedir из session работает нормально

/etc/pam.d/vsftpd:
#rem because our guests users don't have a valid shells
#auth   requiredpam_shells.so



--
С Уважением,
специалист по техническому и программному обеспечению,
системный администратор

Скубриев Владимир
~~~
Россия, Ростовская область, г. Таганрог

тел. моб: +7 (918) 504 38 20
skype: v.skubriev
icq: 214-800-502
www: skubriev.ru

по какому алгоритму ntpdate-debian выбирает сервер с которым синхронизироваться ?

[Владимир Скубриев]

Вот конфиг:

# The settings in this file are used by the program ntpdate-debian, but not
# by the upstream program ntpdate.

# Set to yes to take the server list from /etc/ntp.conf, from package ntp,
# so you only have to keep it in one place.

# Commented by netc, because for using ntp servers from an ntpdate file

#NTPDATE_USE_NTP_CONF=yes
NTPDATE_USE_NTP_CONF=no

# List of NTP servers to use  (Separate multiple servers with spaces.)
# Not used if NTPDATE_USE_NTP_CONF is yes.

NTPSERVERS=192.168.0.3 192.168.0.5 0.pool.ntp.org 1.pool.ntp.org 
2.pool.ntp.org 3.pool.ntp.org 


запускаем ntpdate-debian

time ntpdate-debian
24 Jun 10:45:03 ntpdate[19388]: adjust time server 195.91.239.8 offset 
-0.004851 sec


real0m11.523s
user0m0.004s
sys0m0.016s

Такая задержка нормальна ?

Я конечно могу оставить в /etc/default/ntpdate только локальные сервера, 
но хотелось бы понять почему он не с первым в списке синхронизирует ?


Спасибо.

--
С Уважением,
специалист по техническому и программному обеспечению,
системный администратор

Скубриев Владимир
~~~
Россия, Ростовская область, г. Таганрог

тел. моб: +7 (918) 504 38 20
skype: v.skubriev
icq: 214-800-502
www: skubriev.ru

Re: по какому алгоритму ntpdate-debian выбирает сервер с которым синхронизироваться ?

[Владимир Скубриев]

On 24.06.2013 10:57, Иван Лох wrote:

On Mon, Jun 24, 2013 at 10:49:06AM +0400, Владимир Скубриев wrote:

sudo ntpdate-debian -d

И вы все увидите ;)

Он обращается ко всем, а выбирает, главным образом  по stratum, то
есть уровню в иерархии доступа к корневым серверам времени.



понял спасибо

--
С Уважением,
специалист по техническому и программному обеспечению,
системный администратор

Скубриев Владимир
~~~
Россия, Ростовская область, г. Таганрог

тел. моб: +7 (918) 504 38 20
skype: v.skubriev
icq: 214-800-502
www: skubriev.ru


--
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/51c7f239.9080...@skubriev.ru

Re: помогите с sed и подпрограммой

[Владимир Скубриев]

On 19.06.2013 22:13, Alexander Galanin wrote:

On Wed, 19 Jun 2013 15:29:16 +0400
dimas dimas...@ya.ru wrote:


если в качестве разделителя вместо / выбрать что-то, чего заведомо не будет в
замеяемой строке, то может и прокатить))) но это костыль.
а как нормально заэкранировать ввод? гугль подсказал про printf %q, но он
съедает не все - например, / . остаются как есть, хотя во второй части команды
это не страшно. да в принципе, можно много фигни там написать, и она пойдет как
есть, это в строке поиска надо мудрить.

Пропустить через что-нибудь типа sed 's/[\/abc]/\\/g', чтобы
заэкранировать спецсимволы (набор которых в каждом случае свой, в моём
примере это /, a, b и c). А лучше использовать язык более широкого
применения, в котором такие пляски не понядобятся, потому что через год
понять эту белиберду на регекспах будет сложно.


По поводу плясок согласен. Уж очень много нюансов.

Сейчас вот из шефа не работает - скотина. Уже просто слов нет. 2-ой день 
пошел.


--
С Уважением,
специалист по техническому и программному обеспечению,
системный администратор

Скубриев Владимир
~~~
Россия, Ростовская область, г. Таганрог

тел. моб: +7 (918) 504 38 20
skype: v.skubriev
icq: 214-800-502
www: skubriev.ru


--
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/51c2a10d.5080...@skubriev.ru

Re: помогите с sed и подпрограммой

[Владимир Скубриев]

On 20.06.2013 10:28, Владимир Скубриев wrote:

По поводу плясок согласен. Уж очень много нюансов.

Сейчас вот из шефа не работает - скотина. Уже просто слов нет. 2-ой 
день пошел.




не рабочий вариант:
sed -i -r '/^.*::.*/s/(^.*:: )(.*)/echo -n \1; echo \2 | base64 -d/e' 
$dbdir/$stamp/$ou


рабочий вариант:
sed -i -r '/^.*::.*/s/(^.*:: )(.*)/echo -n \\1; echo \\2 | base64 
-d/e' $dbdir/$stamp/$ou


пришлось за бэкслэшить \\1 и \\2 иначе bash переводил echo -n \\1; 
echo \\2 в echo -n ^A; echo ^2


)

даже и не знаю что сказать - сложная это штука linux )

--
С Уважением,
специалист по техническому и программному обеспечению,
системный администратор

Скубриев Владимир
~~~
Россия, Ростовская область, г. Таганрог

тел. моб: +7 (918) 504 38 20
skype: v.skubriev
icq: 214-800-502
www: skubriev.ru

Re: помогите с sed и подпрограммой

[Владимир Скубриев]

On 20.06.2013 13:36, Artem Chuprina wrote:

Но если вся команда целиком подсовывалась башу какой-то еще программой,
там могла произойти подстановка.



как раз так и работает chef

--
С Уважением,
специалист по техническому и программному обеспечению,
системный администратор

Скубриев Владимир
~~~
Россия, Ростовская область, г. Таганрог

тел. моб: +7 (918) 504 38 20
skype: v.skubriev
icq: 214-800-502
www: skubriev.ru


--
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/51c2cf99.5010...@skubriev.ru

Re: помогите с sed и подпрограммой

[Владимир Скубриев]

On 20.06.2013 13:36, Artem Chuprina wrote:


Но если вся команда целиком подсовывалась башу какой-то еще программой,
там могла произойти подстановка.


в просто созданном скрипте с #!/bin/bash все работает без экранирования 
дополнительным слэшем )


--
С Уважением,
специалист по техническому и программному обеспечению,
системный администратор

Скубриев Владимир
~~~
Россия, Ростовская область, г. Таганрог

тел. моб: +7 (918) 504 38 20
skype: v.skubriev
icq: 214-800-502
www: skubriev.ru

Re: можно ли поменять такую зону

[Владимир Скубриев]

On 18.06.2013 16:44, Hleb Valoshka wrote:


В первых же строках описан формат SOA:
namettl class rrname-server email-addr  (sn ref ret ex min)

У вас:
@   IN  SOA localhost. root.localhost. (...)

поле ttl не обязательно, class == IN (internet), rr == SOA,

@ -- псевдоним для имени текущей зоны (redmine.example.com), берётся
из директивы zone ... {};

localhost. -- Any name server that will respond authoritatively for the domain

root.localhost. == root@localhost

Т.о., вместо localhost. и root.localhost. у _вас_ может быть
практически всё что угодно (если мы продолжаем говорить о вашем
специфическом случае). Хотя, конечно, лучше, если будут правильные
адреса DNS и админской почты.

BIND вполне закономерно ожидает, что redmine.example.com нужно искать
в зоне redmine.example.com. либо example.com., но никак не localhost.
Вас, вероятно, смутило, что первые строки SOA выглядит одинаково, но,
на самом деле, они разные из-за различного раскрытия макроса @, т.е.

localhost.  IN  SOA localhost. root.localhost. (...)

и

redmine.example.com. IN  SOA localhost. root.localhost. (...)

Надеюсь, мне удалось объяснить :)

Извиняюсь за задержку.

Я понял так, что то что написано а самом фйле зоны в первой строке не 
столь важно в принципе


Макрос раскрывается из ходя из названия зоны

zone ... {};

В другом конфиге(верхнего уровня).
Собачка раскрывается в redmine.example.com и используеться, чтобы не 
дублировать инфу в конфигу - анти хардкодинг

Соответсвенно запись вида
@   IN  NS  redmine.example.com.

Равнозначна записи вида

redmine.example.com   IN  NS  redmine.example.com.

Что в свою очередь используется для указания name server для зоны.

Но это не столько важно для меня, как то, что зона то не localhost, 
соответственно нужен другой файл зоны и другая зона в конфиги уровнем 
выше, т.е. в /etc/bind/named.conf.local


zone redmine.example.com {
type master;
file /etc/bind/db.redmine.example.com;
};

Спасибо!

--
С Уважением,
специалист по техническому и программному обеспечению,
системный администратор

Скубриев Владимир
~~~
Россия, Ростовская область, г. Таганрог

тел. моб: +7 (918) 504 38 20
skype: v.skubriev
icq: 214-800-502
www: skubriev.ru

Re: можно ли поменять такую зону

[Владимир Скубриев]

On 18.06.2013 17:04, Artem Chuprina wrote:


DNS - довольно простая штука (ну, пока речь не заходит о цифровых
подписях в ней, там действительно сложно).  Сложная штука - это
логическое мышление, если ему не научили.


Иногда мне кажется, что работа сисадмина гораздо сложнее работы 
программиста в том смысле, что слишком много всего надо знать, логически 
связывать и помнить (


--
С Уважением,
специалист по техническому и программному обеспечению,
системный администратор

Скубриев Владимир
~~~
Россия, Ростовская область, г. Таганрог

тел. моб: +7 (918) 504 38 20
skype: v.skubriev
icq: 214-800-502
www: skubriev.ru

Re: можно ли поменять такую зону

[Владимир Скубриев]

On 18.06.2013 17:45, Artem Chuprina wrote:

В db.localhost SOA и NS - localhost, на это может больно налететь первый
же нижестоящий DNS cache.  Поэтому объединять с db.localhost стремно.



Мне не сложно сделать для каждого fake домена отдельный файл )

--
С Уважением,
специалист по техническому и программному обеспечению,
системный администратор

Скубриев Владимир
~~~
Россия, Ростовская область, г. Таганрог

тел. моб: +7 (918) 504 38 20
skype: v.skubriev
icq: 214-800-502
www: skubriev.ru

Re: помогите с sed и подпрограммой

[Владимир Скубриев]

On 20.06.2013 10:50, Владимир Скубриев wrote:


не рабочий вариант:
sed -i -r '/^.*::.*/s/(^.*:: )(.*)/echo -n \1; echo \2 | base64 
-d/e' $dbdir/$stamp/$ou


рабочий вариант:
sed -i -r '/^.*::.*/s/(^.*:: )(.*)/echo -n \\1; echo \\2 | base64 
-d/e' $dbdir/$stamp/$ou


пришлось за бэкслэшить \\1 и \\2 иначе bash переводил echo -n \\1; 
echo \\2 в echo -n ^A; echo ^2


пришлось не много переделать из-за того, что в ldap нельзя загрузить 
ldif с разделителем  ::


поэтому окончательный вариант для chef'a

если вдруг кому понадобиться в будущем:

sed -i -r '/^.*::.*/s/(^.*)(::) (.*)/echo -n \\1;echo -n : ; echo 
\\3 | base64 -d/e' /path/to/file


--
С Уважением,
специалист по техническому и программному обеспечению,
системный администратор

Скубриев Владимир
~~~
Россия, Ростовская область, г. Таганрог

тел. моб: +7 (918) 504 38 20
skype: v.skubriev
icq: 214-800-502
www: skubriev.ru

Re: помогите с sed и подпрограммой

[Владимир Скубриев]

On 19.06.2013 11:04, Artem Chuprina wrote:

Владимир Скубриев - debian-russian@lists.debian.org  @ Tue, 18 Jun 2013 
22:29:47 +0400:

   sed, помнится, делать так не умеет.  Стоит взять perl.
  ВС да как бы перла еще не хватало )

  ВС видел я примеры на нем, но хотелось бы все таки без всяких там perl, ruby,
  ВС python, etc

Мы по debian или про LFS?  У нас перл в базовую систему входит.  В
отличие от ruby, python, etc.  И придуман ровно для решения задач,
которые на sed/awk решать уже неудобно.



уже читаю ruby
потому, что он мне важнее чем perl
так как используется chef.

а так по сути я уже понял что или perl | ruby

но так ведь до этого надо было дойти )

--
С Уважением,
специалист по техническому и программному обеспечению,
системный администратор

Скубриев Владимир
~~~
Россия, Ростовская область, г. Таганрог

тел. моб: +7 (918) 504 38 20
skype: v.skubriev
icq: 214-800-502
www: skubriev.ru


--
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/51c15ad7.9070...@skubriev.ru

Re: помогите с sed и подпрограммой

[Владимир Скубриев]

On 19.06.2013 12:56, alexander barakin wrote:

$ sed -r 's/(userPassword:: )(.*)/echo -n \1; echo \2 | base64 -d/e' file

Спасибо большое за такую подсказку. Это как раз то что я искал.

Ваша команда работает, правда мне почему то захотелось её переписать вот так

sed -i '/^userPassword/s/\(^userPassword:: \)\(.*\)/echo -n \1; echo 
\2 | base64 -d/e' /tmp/passwd


Спору нет у вас красивей, но пока я не запомнил -r флаг, хотя он мне и 
встречался. Может скажите доброе слово в защиту -r ?


Еще более чем странно, что я потратил уже целый рабочий день на то, 
чтобы заменить подстроку в файле. Прямо как то стрёмно становиться с 
прогнозами.



Есть несколько вопросов:

1. если вызывать sed без -r, то нужно только экранировать
Символы ‘?’, ‘+’, круглые скобки, {}
символом \ если вы хотите использовать их как специальные 
символы
и все ? в этом и есть его специальное предназначение - улучшать вид 
рэгэкспа ?


2. Не могу найти ссылку на документацию по использованию /e
Для чего конкретно он используется почти в самом конце - не execute ли 
случайно ?


3. Где можно почитать по ; как разделителе команд оболочки в sed не 
подскажите ?

Или это относиться к shell ) ?

Остальное все понятно вроде.
А я уже почте сделал на ruby ). Но пока не сделал еще где то ошибка есть.

--
С Уважением,
специалист по техническому и программному обеспечению,
системный администратор

Скубриев Владимир
~~~
Россия, Ростовская область, г. Таганрог

тел. моб: +7 (918) 504 38 20
skype: v.skubriev
icq: 214-800-502
www: skubriev.ru

 * English - detected
 * English

 * English

javascript:void(0);

Re: помогите с sed и подпрограммой

[Владимир Скубриев]

On 19.06.2013 15:37, alexander barakin wrote:

Можно еще маленький вопросик. Решил переписать для большей 
универсальности - работает:


sed -i '/^.*::.*/s/\(^.*:: \)\(.*\)/echo -n \1; echo \2 | base64 
-d/e' /tmp/passwd


Далее решил потренироваться и переписать с  -r

Но вот не задача - ругается не могу понять в чем причина

Вариант 1. Практически копия верхней команды только без символов 
экранирования с -r уже не пашет
sed -ir '/^.*::.*/s/(^.*:: )(.*)/echo -n \1; echo \2 | base64 -d/e' 
/tmp/passwd


Ругаеться на
sed: -e expression #1, char 59: invalid reference \2 on `s' command's RHS

Вариант 2. Версия вашего предложения без хардкодинга userPassword
sed -ir 's/(.*:: )(.*)/echo -n \1; echo \2 | base64 -d/e' /tmp/passwd

Ругаеться на
sed: -e expression #1, char 49: invalid reference \2 on `s' command's RHS

Что тут не так не знаете ?



--
С Уважением,
специалист по техническому и программному обеспечению,
системный администратор

Скубриев Владимир
~~~
Россия, Ростовская область, г. Таганрог

тел. моб: +7 (918) 504 38 20
skype: v.skubriev
icq: 214-800-502
www: skubriev.ru

можно ли поменять такую зону

[Владимир Скубриев]

Я почти решил свою проблему  с помощью вот такой зоны. Нашел её описание 
на странице:

http://unix.stackexchange.com/questions/64906/fake-dns-for-a-single-host


$TTL604800
@   IN  SOA localhost. root.localhost. (
  2 ; Serial
 604800 ; Refresh
  86400 ; Retry
2419200 ; Expire
 604800 )   ; Negative Cache TTL
;
@   IN  NS  localhost.
redmine.example.com. IN A   192.168.0.11

Осталось несколько вопросов.

1. Зона localhost уже была описана в db.local, вот её содержимое

;
; BIND data file for local loopback interface
;
$TTL604800
@   IN  SOA localhost. root.localhost. (
  2 ; Serial
 604800 ; Refresh
  86400 ; Retry
2419200 ; Expire
 604800 )   ; Negative Cache TTL
;
@   IN  NS  localhost.
@   IN  A   127.0.0.1
@   IN  ::1

Несмотря на это bind не ругается.

Может быть правильнее было только добавить запись redmine.example.com. 
IN A   192.168.0.11

В db.local ?

Хотя мне было бы удобнее хранить данный хук в отдельном файле. Только я 
не знаю на сколько это вообще правильно - одна зона в двух файлах.


Если все таки можно вынести данный хук(зону) в отдельный файл можно ли 
поменять 2-ю и предпоследнюю строку, я имею в виду вот эти:


@   IN  SOA localhost. root.localhost. (

и

@   IN  NS  localhost.

на например:


@   IN  SOA redmine.example.com. root.redmine.example.com. (

и

@   IN  NS  redmine.example.com.

Я конечно так сделал и в принципе bind не ругается и работает как 
предполагалось.


Какие будут комментарии ?

Спасибо всем за помощь, в том числе тем, кто помогал в прошлом посте по 
данной теме.


Сложна это штука DNS )

--
С Уважением,
специалист по техническому и программному обеспечению,
системный администратор

Скубриев Владимир
~~~
Россия, Ростовская область, г. Таганрог

тел. моб: +7 (918) 504 38 20
skype: v.skubriev
icq: 214-800-502
www: skubriev.ru

 * English - detected
 * English

 * English

javascript:void(0);

Re: можно ли поменять такую зону

[Владимир Скубриев]

On 18.06.2013 14:48, Hleb Valoshka wrote:

Несмотря на это bind не ругается.

Может быть правильнее было только добавить запись redmine.example.com.
IN A   192.168.0.11
В db.local ?

Нет. Посмотрите http://www.zytrax.com/books/dns/ch8/soa.html, и сразу
поймёте, почему.


Много раз попадалась эта ссылку в первых ссылках гугл.
Я посмотрел - но как говориться смотрю в книгу - вижу фигу )

Ткните носом пожалуйста куда именно смотреть там ведь много очень текста ?

--
С Уважением,
специалист по техническому и программному обеспечению,
системный администратор

Скубриев Владимир
~~~
Россия, Ростовская область, г. Таганрог

тел. моб: +7 (918) 504 38 20
skype: v.skubriev
icq: 214-800-502
www: skubriev.ru


--
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/51c0429c.9070...@skubriev.ru

помогите с sed и подпрограммой

[Владимир Скубриев]

Есть файл в котором есть строки на подобии этой:

userPassword:: e1NIQX1WN3k5OFpIMU9FMEQ2TFVFb0loSHRGaHkycVk9

Это значение справа - в кодировке base64.

Его нужно раскодировать.

Начал писать sed скрипт и застопорился на том, как мне найденную 
подстроку теперь преобразовать и именно на результат преобразования 
заменить


sed -i '/^userPassword::/s/\(^userPassword:: \)\(.*\)$/\2/' /tmp/passwd

\2 - уже возвращает чисто само значение.

то есть скрипт меняет всю строку на само значение закодированное.

теперь я хотел бы его передать чему то, что вернуло бы раскодированное 
значение.


идея была использовать openssl, правда он у меня кое что лишнее 
возвращает пока - но не беда разберусь. (ругается при запуске на 
WARNING: can't open config file: /usr/lib/ssl/openssl.cnf )


echo e1NIQX1WN3k5OFpIMU9FMEQ2TFVFb0loSHRGaHkycVk9 | openssl enc -base64 -d

Возвращает нужный мне хэш пользователя ldap ).

Но хотелось бы как то его выполнить прямо в контексте седа.

subscript=`четотам`

Я читал что про $subscript

Но как это называется в sed  и как его правильно вставить в подстроку 
для замены не могу найти.


Есть подозрение, что это не будет работать, тогда подскажите пожалуйста 
как правильней?


Спасибо.

--
С Уважением,
специалист по техническому и программному обеспечению,
системный администратор

Скубриев Владимир
~~~
Россия, Ростовская область, г. Таганрог

тел. моб: +7 (918) 504 38 20
skype: v.skubriev
icq: 214-800-502
www: skubriev.ru

Re: помогите с sed и подпрограммой

[Владимир Скубриев]

18.06.2013 18:48, Artem Chuprina пишет:

Владимир Скубриев - debian-russian@lists.debian.org  @ Tue, 18 Jun 2013 
17:49:32 +0400:

  ВС Есть файл в котором есть строки на подобии этой:

  ВС userPassword:: e1NIQX1WN3k5OFpIMU9FMEQ2TFVFb0loSHRGaHkycVk9

  ВС Это значение справа - в кодировке base64.

  ВС Его нужно раскодировать.

  ВС Начал писать sed скрипт и застопорился на том, как мне найденную подстроку
  ВС теперь преобразовать и именно на результат преобразования заменить

  ВС sed -i '/^userPassword::/s/\(^userPassword:: \)\(.*\)$/\2/' /tmp/passwd

  ВС \2 - уже возвращает чисто само значение.

  ВС то есть скрипт меняет всю строку на само значение закодированное.

  ВС теперь я хотел бы его передать чему то, что вернуло бы раскодированное
  ВС значение.

  ВС идея была использовать openssl, правда он у меня кое что лишнее возвращает
  ВС пока - но не беда разберусь. (ругается при запуске на WARNING: can't open
  ВС config file: /usr/lib/ssl/openssl.cnf )

  ВС echo e1NIQX1WN3k5OFpIMU9FMEQ2TFVFb0loSHRGaHkycVk9 | openssl enc -base64 
-d

  ВС Возвращает нужный мне хэш пользователя ldap ).

  ВС Но хотелось бы как то его выполнить прямо в контексте седа.

  ВС subscript=`четотам`

  ВС Я читал что про $subscript

  ВС Но как это называется в sed  и как его правильно вставить в подстроку для
  ВС замены не могу найти.

  ВС Есть подозрение, что это не будет работать, тогда подскажите пожалуйста 
как
  ВС правильней?

sed, помнится, делать так не умеет.  Стоит взять perl.

да как бы перла еще не хватало )

видел я примеры на нем, но хотелось бы все таки без всяких там perl, 
ruby, python, etc


--

С Уважением,
специалист по техническому и программному обеспечению,
системный администратор

Скубриев Владимир
~~~
Россия, Ростовская область, г. Таганрог

тел. моб: +7 (918) 504 38 20
skype: v.skubriev
icq: 214-800-502
www: skubriev.ru


--
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/51c0a71b.10...@skubriev.ru

Re: помогите с sed и подпрограммой

[Владимир Скубриев]

On 19.06.2013 01:30, dimas wrote:

sed -i '/^userPassword::/s/\(^userPassword:: \)\(.*\)$/\2/' /tmp/passwd
\2 - уже возвращает чисто само значение.
то есть скрипт меняет всю строку на само значение закодированное.

для начала, зачем эти сложности?
s/^userPassword:\ //
все! банальная же операция, отрезаем ненужное))

что означает обратный слэш после

s/^userPassword:

?




echo e1NIQX1WN3k5OFpIMU9FMEQ2TFVFb0loSHRGaHkycVk9 | openssl enc -base64 -d
Возвращает нужный мне хэш пользователя ldap ).

в coreutils есть утилита base64, не надо никаких openssl (который еще не везде
есть) и тем более скриптов на баше, как ниже приводили.

вот это хорошо. спасибо. сам не догадался посмотреть




Но хотелось бы как то его выполнить прямо в контексте седа.
subscript=`четотам`
Я читал что про $subscript
Но как это называется в sed  и как его правильно вставить в подстроку
для замены не могу найти.

а зачем? когда мне нужно строку заменить на результат выполнения какой-то
команды, я обычно юзаю что-то типа
echo s/bla-bla-bla/$(echo sdg54SGDgsgGGXC4555 | base64 -d)/ | sed -f - -i 
input_file
в общем, сочиняем sed-скрипт на ходу и скармливаем его на stdin.

таких строк много это раз
значение на которое нужно поменять не определено заранее и зависит от 
того, что идет после


userPassword::

Вот кусок исходного файла:

# anthropics, users, example.lab
dn: cn=anthropics,ou=users,dc=example,dc=lab
cn: Anthropics Client
cn: anthropics
description: Anthropics Client
gidNumber: 1901
homeDirectory: /home/anthropics
loginShell: /bin/bash
mail: anthrop...@example.com
objectClass: simpleSecurityObject
objectClass: inetOrgPerson
objectClass: posixAccount
objectClass: shadowAccount
sn: Anthropics
uid: anthropics
uidNumber: 2019
userPassword:: e1NIQX1vTzU2WHBYMlU3cmZFWkJpL3I4UGUvYjNyb0k9

# apotash01, users, example.lab
dn: cn=apotash01,ou=users,dc=example,dc=lab
cn: Adam Potash
cn: apotash01
description: Passenger monitoring project
gidNumber: 1901
homeDirectory: /home/apotash01
loginShell: /bin/bash
mail: apotas...@example.com
objectClass: simpleSecurityObject
objectClass: inetOrgPerson
objectClass: posixAccount
objectClass: shadowAccount
sn: Potash
uid: apotash01
uidNumber: 2032
userPassword:: e1NIQX1rVGkyNVBYd3FOZlNURXZkT1d3Q1FPZGZ5OVk9



--
С Уважением,
специалист по техническому и программному обеспечению,
системный администратор

Скубриев Владимир
~~~
Россия, Ростовская область, г. Таганрог

тел. моб: +7 (918) 504 38 20
skype: v.skubriev
icq: 214-800-502
www: skubriev.ru

Re: помогите с sed и подпрограммой

[Владимир Скубриев]

On 18.06.2013 22:41, l...@1917.com wrote:

On Tue, Jun 18, 2013 at 10:29:47PM +0400, Владимир Скубриев wrote:

да как бы перла еще не хватало )

видел я примеры на нем, но хотелось бы все таки без всяких там perl,
ruby, python, etc

В sed такие вещи писать сложно

bash

http://vladz.devzero.fr/svn/codes/bash/base64.sh

или perl

perl -MMIME::Base64 -F: -a -ne '@a=@F; $a[1]=decode_base64($a[1]); print join 
(:,@a)' file



спасибо. если с awk command не получится будут юзать именно его

--
С Уважением,
специалист по техническому и программному обеспечению,
системный администратор

Скубриев Владимир
~~~
Россия, Ростовская область, г. Таганрог

тел. моб: +7 (918) 504 38 20
skype: v.skubriev
icq: 214-800-502
www: skubriev.ru


--
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/51c140a5.4090...@skubriev.ru

Re: помогите с sed и подпрограммой

[Владимир Скубриев]

On 19.06.2013 09:30, Dmitry A. Zhiglov wrote:

18 июня 2013 г., 17:49 пользователь Владимир Скубриев
vladi...@skubriev.ru написал:

Есть файл в котором есть строки на подобии этой:

userPassword:: e1NIQX1WN3k5OFpIMU9FMEQ2TFVFb0loSHRGaHkycVk9

Это значение справа - в кодировке base64.

Его нужно раскодировать.

Можно поинтересоваться?
Что с чем женим?

бэкап отдельных OU из openldap

ни slapcat ни ldapsearch не возвращают нормальные пароли и не которые 
другие поля


у меня например еще email поле нужно раскодировать

--
С Уважением,
специалист по техническому и программному обеспечению,
системный администратор

Скубриев Владимир
~~~
Россия, Ростовская область, г. Таганрог

тел. моб: +7 (918) 504 38 20
skype: v.skubriev
icq: 214-800-502
www: skubriev.ru


--
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/51c143af.2050...@skubriev.ru

Re: bind возвращает NXDOMAIN для тех адресов которых нет в файле зоны.

[Владимир Скубриев]

On 13.06.2013 22:14, Mikhail A Antonov wrote:

13.06.2013 15:54, Владимир Скубриев пишет:

bind возвращает NXDOMAIN  для тех адресов которых нет в файле зоны.

А что ещё он должен возвращать?


ни кто случайно не знает как заставить его обращаться на
реальные(настоящие) dns сервераи возвращать их ответы.

Для начала подумай, откуда ему, бинду, знать что у зоны есть ещё и
какие-то другие настоящие сервера?

Ну согласен - это не ординарный случай.



в bind заведена зона db.example.com

Ты определеись. *db*.example.com или *example.com*. А то у тебя зона
именно exaple.com и про зону db.example.com ничего не сказано.


db.example.com - это опечатка. Извиняюсь.
Но смысл от этого не меняется. Нужно как то обхитрить bind.


Если для узла нет записи А, то он возвращает NXDOMAIN.

Что логично и правильно.


Может быть есть способ обойти такое поведение.

Ты хочешь разбить зону по view и отдавать в локалку одно, во внешку
другое и при этом чтобы зоны были синхронизированы?
нет view не хочу использовать. Точнее он мне не нужен. У меня DNS будет 
чисто для нужд локальной сети и все. 1-роль кэш, 2-роль локальная зона, 
3-я роль подмена адресов одного домена на локальные


Хочу чтобы на bind была настроена локальная зона для внутренних нужд. и 
Через него же можно было делать запросы и все остальные. Т.е. узнавать 
Интернет адреса. И чтобы он был кэширующим dns сервером. И чтобы мог 
некоторые запросы как бы подменять. Точнее надо только запросы вида 
example.com некоторые подменять на локальные адреса. Потому, что сервера 
стоят в локальной сети где большинство клиентов работают с ними и лучше, 
чтобы клиенты использовали локальную адресацию и не зависели от шлюза.


Может как то совместить использование bind и например dnsmasq.


Напиши парсер, который будет пережёвывать внешнюю и менять нужное на
локальные адреса.
Можно ещё делать зоны вида mail.example.com с одной A записью и отдавать
их только в локалку.

пробывал в четверг. Пока не получилось заставить такую зону работать.

Этот способ подходит даже если это вообще не твоя зона, но ты хочешь
чтобы определённый хост резолвился в определённый (другой) IP.

Может у вас есть рабочий пример ?

А то что то пока не получилось такое работать заставить.

--
С Уважением,
специалист по техническому и программному обеспечению,
системный администратор

Скубриев Владимир
~~~
Россия, Ростовская область, г. Таганрог

тел. моб: +7 (918) 504 38 20
skype: v.skubriev
icq: 214-800-502
www: skubriev.ru

 * Russian - detected
 * English

 * English

javascript:void(0);

bind возвращает NXDOMAIN для тех адресов которых нет в файле зоны.

[Владимир Скубриев]

bind возвращает NXDOMAIN  для тех адресов которых нет в файле зоны.

ни кто случайно не знает как заставить его обращаться на 
реальные(настоящие) dns сервераи возвращать их ответы.


в bind заведена зона db.example.com

вида:

$ORIGIN .
$TTL 900; 15 minutes
example.com  IN SOA  ns.example.com. 
hostmaster.example.com. (

2012051592 ; serial
28800  ; refresh (8 hours)
7200   ; retry (2 hours)
2419200; expire (4 weeks)
86400  ; minimum (1 day)
)
NS  example.com.
$ORIGIN example.com.

$TTL 259200 ; 3 days
redmine A   192.168.0.124


Если для узла нет записи А, то он возвращает NXDOMAIN.

Может быть есть способ обойти такое поведение.

Спасибо.


--
С Уважением,
специалист по техническому и программному обеспечению,
системный администратор

Скубриев Владимир
~~~
Россия, Ростовская область, г. Таганрог

тел. моб: +7 (918) 504 38 20
skype: v.skubriev
icq: 214-800-502
www: skubriev.ru

как или чем хранить зоны bind в ldap. не могу ни чего толкового найти!

[Владимир Скубриев]

хочу хранить зоны в ldap

и в том числе и isc-dhcp-server тоже будет хранить записи в ldap

не могу найти где взять схемы в дистрибутиве debian для bind

не знаю как настроить bind zone, чтобы она хранилась в openldap.

очень буду рад ссылке на статью.

спасибо

--
С Уважением,
специалист по техническому и программному обеспечению,
системный администратор

Скубриев Владимир
~~~
Россия, Ростовская область, г. Таганрог

тел. моб: +7 (918) 504 38 20
skype: v.skubriev
icq: 214-800-502
www: skubriev.ru


--
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/51b58f85.90...@skubriev.ru

Re: как или чем хранить зоны bind в ldap. не могу ни чего толкового найти!

[Владимир Скубриев]

On 10.06.2013 13:11, Покотиленко Костик wrote:

В Пнд, 10/06/2013 в 12:34 +0400, Владимир Скубриев пишет:

хочу хранить зоны в ldap

и в том числе и isc-dhcp-server тоже будет хранить записи в ldap

не могу найти где взять схемы в дистрибутиве debian для bind

не знаю как настроить bind zone, чтобы она хранилась в openldap.

очень буду рад ссылке на статью.

1. Bind: тут 2 варианта, либо патчить bind

патчить не хочу. пусть будет универсально.

  либо использовать ldap2zone
вот не повезло. я так надеялся что он умеет хранить зоны из коробки в 
ldap (((


(рекомендую).

спасибо.

  Далее, управляем зонами с помощью Gosa, у неё в комплекте
нужная схема.
почему именно gosa ? я все стараюсь ручками настраивать в том числе и 
схемы подключаю новые в ldap вручную. а для админки использую 
phpldapadmin удобно и просто.

Тут есть нюансы c TLS и прочим, всё решается. Если что
пиши.

2. isc-dhcp-server: ставим isc-dhcp-server-ldap.

к этому уже приступил.

  Далее, управляем зонами

я предпочитаю phpldapadmin, или есть какой то ньюанс а госа ?

с помощью Gosa, у неё в помплекте нужная схема. Надо отметить что Gosa
не умеет управлять параметрами отказоустойчивости, но это настраивается
один раз напрямую в LDAP минуя Gosa, и дальше они друг другу не мешают.
отказоустойчивость мне не особо нужна, больше волнует нормальное 
обновление dns демоном dhcpd


вот с этим думаю еще обращусь в рассылку, т.к. до конца еще не ясно как 
оно должно работать.


--
С Уважением,
специалист по техническому и программному обеспечению,
системный администратор

Скубриев Владимир
~~~
Россия, Ростовская область, г. Таганрог

тел. моб: +7 (918) 504 38 20
skype: v.skubriev
icq: 214-800-502
www: skubriev.ru