Аппаратное декодирование видео на процессорах Intel 8-го поколения.
Добрый день! Может быть кто-то уже имеет работающий VA-API в unstable с ядром 4.14 или новее? Официальный "рецепт" Intel Q42017 вообще не завяляет поддержку этого поколения процессоров. -- WBR, Bogdan B. Rudas
Re: Хочу купить Ноутбук HP Pavilion 15-cc518ur. Будет ли на нём полноценно работать Debian?
Максим, http://www.dell.com/learn/us/en/555/campaigns/xps-linux-laptop_us Если это дорого - посмотрите Dell 5580. Про HP ничего хорошего сказать не могу, избегаю этого производителя. 2018-01-10 15:24 GMT+03:00 Максим Межов <msmez...@yandex.ru>: > Добры день! > Прошу подсказать - будет ли железо выбранного ноутбука полноценно работать > под Debian? > > Хочу купить ноутбук HP Pavilion 15-cc518ur. Но сомневаюсь будет ли его > железо работать под Debian 9.3? > Вот его основные параметры: > - wi-fi: IEEE 802.11 b/g/n, > - жёсткий диск SSD 256 Гб, > - особенность звуковой системы: B PLAY, > - дисплей: 15.6"/1366x768 пикс., SVA; > - процессор: intel Core i5-7200U 2.5ГГц, > - оперативная память: DDR4 8 Гб, > - видеокарта: GeForce 940MX 4 ГБ. > > Планирую его использовать для разработки мобильных приложений для Андроид. > Планирую использовать Android Studio. > Будет ли Debian 9.3 с использованием KDE полноценным инструментом для этих > целей? > Заранее благодарю за ответ! > > -- WBR, Bogdan B. Rudas
Re: NetFlow sensor
Всё верно, надо делат самому. Конфиг для dkms в комплекте, пакет для Debian можно собрать средствами dkms, далее будет пересобираться само при установке обновлений ядра. 2017-12-25 15:23 GMT+03:00 Илья Сапыцкий <2...@sova.net.ru>: > правильно я понимаю, что этого нет в debian и надо собирать отдельно? для > 9 вообще никаких данных нет, информации по этой теме мало. > > 24 декабря 2017 г., 16:37 пользователь Bogdan <bog...@gmail.com> написал: > >> Привет! >> >> Наиболее правильный вариантом я считаю https://github.com/aabc/ipt-ne >> tflow >> >>- Можно слать в коллектор только интересный трафик >>- Есть информация об том, какой IP-адрес имеел пакет до прохождения >>NAT >> >> Испытываем его с ELK и пока все существенные для нас проблем (в частности >> с учётом NAT event в ELK) удалось преодолеть. Писать HOWTO пока не готов, >> но если пойдёте этим путем и возникнут сложности - пишите, возможно мы это >> уже решили. >> >> 2017-12-22 17:11 GMT+03:00 Илья Сапыцкий <2...@sova.net.ru>: >> >>> Добрый день! >>> Раньше, начиная с debian 4 использовал связку fprobe-ulog + flow-tools и >>> этого было достаточно. >>> Впервые на stretch делаю маленький роутер с подсчетом траффика и >>> оказалось, что в 9 выкинули fprobe-ulog. >>> Ищу и никак не могу найти netflow sensor для целей подсчета трафика в >>> nat режиме. >>> Подскажите рабочий конфиг для роутера со считалкой на основе netflow или >>> если есть другие варианты - буду рад услышать. >>> >>> -- >>> Don't worry, be happy! >>> >> >> >> >> -- >> WBR, Bogdan B. Rudas >> > > > > -- > Don't worry, be happy! > -- WBR, Bogdan B. Rudas
GeForce GT1030 VDPAU
Привет! Если в рассылке есть владельцы GeForce GT *1030* со "свежими" проприетарныеми драйверами - пожалуйста, опубликуйте вывод vdpauinfo, glxinfo и версию драйверов. Внятной информации о поддержке аппаратного VP9 и HEVC 10bit для Linux нет. Для 1050 всё что надо поддерживается в Windows-дрвайерах. Спасибо. -- WBR, Bogdan B. Rudas
Re: NetFlow sensor
Привет! Наиболее правильный вариантом я считаю https://github.com/aabc/ipt-netflow - Можно слать в коллектор только интересный трафик - Есть информация об том, какой IP-адрес имеел пакет до прохождения NAT Испытываем его с ELK и пока все существенные для нас проблем (в частности с учётом NAT event в ELK) удалось преодолеть. Писать HOWTO пока не готов, но если пойдёте этим путем и возникнут сложности - пишите, возможно мы это уже решили. 2017-12-22 17:11 GMT+03:00 Илья Сапыцкий <2...@sova.net.ru>: > Добрый день! > Раньше, начиная с debian 4 использовал связку fprobe-ulog + flow-tools и > этого было достаточно. > Впервые на stretch делаю маленький роутер с подсчетом траффика и > оказалось, что в 9 выкинули fprobe-ulog. > Ищу и никак не могу найти netflow sensor для целей подсчета трафика в nat > режиме. > Подскажите рабочий конфиг для роутера со считалкой на основе netflow или > если есть другие варианты - буду рад услышать. > > -- > Don't worry, be happy! > -- WBR, Bogdan B. Rudas
SR-IOV Virtual Functions в драйвере NVMe
Привет! Подскажите пожалуйста, каким образом настраиваются VF в линуксовом NVMe драйвере. По аналогии с Intel IGB, решил посмотреть в modinfo что-то типа max_vfs или типа того, но ничего подобного не обнаружил: # modinfo nvme |grep ^parm parm: use_threaded_interrupts:int parm: use_cmb_sqes:use controller's memory buffer for I/O SQes (bool) parm: max_host_mem_size_mb:Maximum Host Memory Buffer (HMB) size per controller (in MiB) (uint) parm: io_queue_depth:set io queue depth, should >= 2 Версия ядра 4.13.2 Спасибо. -- WBR, Bogdan B. Rudas
Сохранение скриншотов на гугл-драйв
Привет! Хочется инструмент для сохранения скриншотов на гугул-драйв. Т.е. выделенная область загружается в гугл, каталогизируется и шарится согласно неким дефолтным настройкам, а в буфер копируется ссылка на файл. Если кто-то видел такое - как называется? Спасибо. -- WBR, Bogdan B. Rudas
Quagga vs. BIRD
Привет! Что из сабжа более стабильно и безглючно? Из всего фунационала нужно OSPF. Спасибо. -- WBR, Bogdan B. Rudas
Как найти PCI ID для USB контроллера, к которому подключено устройство?
Добрый день! Хочу пробросить в виртуальную машину USB-контроллер целиком как PCI-устройство. Контроллера у меня в системе 4, если верить lspci. Устройств (в т.ч. хабов) штук 8. Если способы помимо перебора? Спасибо. -- WBR, Bogdan B. Rudas
Re: PKI self-service
2016-09-15 18:08 GMT+03:00 Tim Sattarov <sti...@gmail.com>: > On 15/09/16 01:27 AM, Bogdan wrote: > > Добрый день! > > > > Спасибо за ответы, судя по всему готового решения нет (что крайне > > странно). Писать самостоятельно продукт такого рода - опасно и дорого. > > FreeIPA смотрю, но так и не понял пока, где там могла бы быть подобная > > функциональность. > > > FreeIPA это обертка вокруг BIND, ds389, dogtag и так далее. Как раз таки > dogtag и выполняет функции CA. > Вот к сожалению отдельно в dogtag нужного функционала нет, это просто CA, всё остальное - внутри "комбайна". > > я не так давно был на конференции Hashconf, где обсуждался их новый > продукт: Vault. в числе других задач он тоже может быть CA для организации. > open source :) > https://www.vaultproject.io/ Спасибо, посмотрю. -- WBR, Bogdan B. Rudas
Re: PKI self-service
2016-09-15 13:37 GMT+03:00 Victor Wagner <vi...@wagner.pp.ru>: > On Thu, 15 Sep 2016 12:53:06 +0300 > Bogdan <bog...@gmail.com> wrote: > > > > > Если я правильно интерпретировал документацию. то готовое решение - > > это Auto Enrollment в Microsoft Active Directory Certification > > Services - > > https://technet.microsoft.com/en-us/library/cc771107(v=ws.11).aspx > > т.е., но к сожалению работает только с AD :/ > > Кстати, возможно что да. Те, кому нужен security theater будут > использовать винду. > > > > > > > Доступные мне протоколы авторизации позволяют передавать только > > плейнтекст, либо заведомо уязвимые хэши паролей (md5 или ntlm) поверх > > TLS-сессии. Защищенность такой сессии зависит исключительно от > > корректности настройки (принудительная проверка "моего" CA) на > > Да, ну и что? Уязвимым местом является все равно не TLS-сессия, а > хранение пароля или закрытго ключа на устройстве пользователя и > возможность внедрения к нему на устройство кейлоггера. Этот риск в целом принят. Утечка сертификат менее болезненна, т.к. страдает только один сервис. Если утечет пароль - появляется доступ в ряд других, заметно более важных сервисов. > > Использование авторизации по сертификатам как правило, снижает > usability сильнее чем повышает security. > > Если сервис использует публичное доменное имя и публичный CA (хотя бы и > startssl.com или letsencrypt), то mitm-атака, позволяющая получить хеш > от пароля требует серьезной организационной поддержки - компрометация > публичного CA под силу, пожалуй, только спецслужбе государства. > > Понятие доменного имени в принципе не применимо к данном сервису. Теперь по сути вопроса: для автоматизации процессов вокруг CA и сертификатов есть несколько протоколов (СMC, CMP, SCEP) из который SCEP выглядит наиболее "живым". Ряд CA имеют automated SCEP workflow позволяющий в т.ч. и обрабатывать CSR без подтверждения человеком, следовательно нужен SCEP-клиент с веб-интерефейсом, способный авторизовать конечного пользователя LDAP, сформировать SCEP-запрос и передать результат пользователю. Судя по комментариям в #dogtag, требуемый интерфейс есть во FreeIPA, но это очередной комбайн который будет не может пока интегрироваться со внешним LDAP. -- WBR, Bogdan B. Rudas
Re: PKI self-service
2016-09-15 9:04 GMT+03:00 Victor Wagner <vi...@wagner.pp.ru>: > On Thu, 15 Sep 2016 08:27:40 +0300 > Bogdan <bog...@gmail.com> wrote: > > > Добрый день! > > > > Спасибо за ответы, судя по всему готового решения нет (что крайне > > странно). Писать самостоятельно продукт такого рода - опасно и дорого. > > Не то чтобы опасно и дорого. При предполагамемом (да и более высоком) > уровне безопасности это пишется за полдя. Скорее как раз именно потому > что трудно придумать решение, отвязанное от регламентов конкретной > организации, тиражируемых продуктов и нет. Проще сделать свой, > заточенный под свою схему безопасности, чем адаптировать процессы > управления персоналом к готовому. > > > FreeIPA смотрю, но так и не понял пока, где там могла бы быть подобная > > функциональность. > > > Готового решения нет потому, что заявленный регламент работы > противоречит базовым представлениям о безопасности тех, кто работает с > криптографией. > Если я правильно интерпретировал документацию. то готовое решение - это Auto Enrollment в Microsoft Active Directory Certification Services - https://technet.microsoft.com/en-us/library/cc771107(v=ws.11).aspx т.е., но к сожалению работает только с AD :/ > > И в тех случаях, когда такой уровень безопасности считается достаточным, > предпочитают обходиться вообще без сертификатов и PKI. > > А когда PKI все же нужна, предпочитают решения, в которых есть некий > ответственный сотрудник, который знает пассфразу от ключа УЦ и > проверяет что тот, кто пришел за сертификатом, именно он и есть. > (в этом случае в маленькой фирме хватит чего-то типа tinyca, gnomint, > pyca или даже easyrsa (входит в комплект openvpn). > > Ведь если у нас единственный proof of authencity который > предоставляется при получении сертификата - это пароль хранящийся LDAP, > то зачем нужна аутентификация по сертификату, когда проще везде > аутентифицироваться оп тому же самому паролю? > Доступные мне протоколы авторизации позволяют передавать только плейнтекст, либо заведомо уязвимые хэши паролей (md5 или ntlm) поверх TLS-сессии. Защищенность такой сессии зависит исключительно от корректности настройки (принудительная проверка "моего" CA) на стороне клиента, который будет выполнять настройки подключения сам. Honeypot и/или MitM технически просты и достаточно вероятны в силу передачи данных по незащищенной и неконтролируемой среде. Я хочу полностью отказаться от такого типа авторизации в сервисе и перейти на авторизацию с использованием PKI. Вероятность успешного MitM/honeypot для веб-сайта раздающего сертификаты существенно меньше, чем для целевого сервиса. > Другие модели безопасности сравнимого уровня которые широко > распространены, это пожалуй только domain-validadated only сертификаты > для веб-серверов. Где проверяется что подавший заявку сертификат может > по крайней мере выложить файлик на web-сервер с именем, на которое > выписывается сертификат. > > По-моему в случае описанной задачи было бы логично генерировать для > пользователя сертификат и ключевую пару в момент заведения его в LDAP и > выдавать ему в виде PKCS12-файла и использовать автоматизированный > rollover. Т.е. чтобы заявку на новый сертификат пользователь подписывал > на старом. > > -- > > > -- WBR, Bogdan B. Rudas
Re: PKI self-service
Добрый день! Спасибо за ответы, судя по всему готового решения нет (что крайне странно). Писать самостоятельно продукт такого рода - опасно и дорого. FreeIPA смотрю, но так и не понял пока, где там могла бы быть подобная функциональность. 2016-09-14 19:15 GMT+03:00 Tim Sattarov <sti...@gmail.com>: > On 14/09/16 04:55 AM, Bogdan wrote: > > Добрый день! > > > > Ищу решение для самообслуживания: нужно дать возможность > > авторизованным пользователям выпускать клиентские сертификаты и > > автоматически подписывать их специальным отдельным CA-ключем. > > > > Авторизация пользователей - во LDAP. Очень желательно иметь > > автоматическое управление CRL/OCSP (пользователь пропал из LDAP - все > > его сертификаты автоматически отзываются) > Как вариант можно посмотреть на FreeIPA, но под Дебьян он ущербный и не > самой последней версии. > > -- WBR, Bogdan B. Rudas
PKI self-service
Добрый день! Ищу решение для самообслуживания: нужно дать возможность авторизованным пользователям выпускать клиентские сертификаты и автоматически подписывать их специальным отдельным CA-ключем. Авторизация пользователей - во LDAP. Очень желательно иметь автоматическое управление CRL/OCSP (пользователь пропал из LDAP - все его сертификаты автоматически отзываются) Как такой тип ПО вообще правильно называется, задача очевидная и должна иметь ряд решений, но не могу задать правильный вопрос гуглу. Спасибо. -- WBR, Bogdan B. Rudas
Re: Отладка WPA2-Enterprise со стороны клиента.
Пока совсем со всеми этими алгоритмами и протоколами. Нужно обеспечить максимально прозрачное подключние для windows/osx/linux/android/ios девайсов, а тут таакое количество всяких опций ) 2016-02-20 14:04 GMT+03:00 Andrey Tataranovich <tataranov...@gmail.com>: > On Fri, 19 Feb 2016 19:53:08 +0300 > Bogdan <bog...@gmail.com> wrote: > > > Добрый вечер! > > > > Есть достаточно банальный набор OpenLDAP/FreeRADIUS/Cisco посредством > > которого хочется получить безпроводную сеть с персональной > > авторизацией. Есть ли что-то более удобное, чем тыкать мышкой в > > NetworkManager при отладке авторизации в безпроводной сети? Хочется > > детального логирования, возможно перехвата собственных пакетов и т.п. > > Речь - сугубо о сотроне клиентского компьютера. > > > > На клиенте такое не удобно отлаживать. Как вариант - запустить > wpa_supplicant в консоли с максимальным уровнем отладки. > > Я запускал freeradius в debug режиме и смотрел что ему не нравилось. > > Какой тип авторизации вы делаете? Я могу помочь с настройкой PEAP и > EAP-TLS для OpenLDAP и FreeRADIUS. > > -- > WBR, Andrey Tataranovich > > -- WBR, Bogdan B. Rudas
Отладка WPA2-Enterprise со стороны клиента.
Добрый вечер! Есть достаточно банальный набор OpenLDAP/FreeRADIUS/Cisco посредством которого хочется получить безпроводную сеть с персональной авторизацией. Есть ли что-то более удобное, чем тыкать мышкой в NetworkManager при отладке авторизации в безпроводной сети? Хочется детального логирования, возможно перехвата собственных пакетов и т.п. Речь - сугубо о сотроне клиентского компьютера. -- WBR, Bogdan B. Rudas
Linux, QHD (3200x1800), Intel HD5500
Привет! Подскажите пожалуйста, как в современном линуксе с поддержкой высоких разрешений на интеловском видео? Выбираю вариант ноутбука с FullHD либо QHD, вобщем-то заманчиво попробовать новую модную технологию, но всё-таки на ноутбуке надо работать, а не тестировать драйвера и ядра Спасибо. -- WBR, Bogdan B. Rudas
Network-manager / nmcli и переопределение опций DHCP
Привет. Подскажите пожалуйста, как с помощью nmcli выставить принудительно domain name взамен того, что приезжает из DHCP? Спасибо. -- WBR, Bogdan B. Rudas
Postgix - принмать почту только с gmail
Привет. Возникла странная необходимость принимать только почту, которая прошла через сервера гугла (в т.ч. пересылка почты от другого домена через список раасылки) Предположу, что надо проверять для каждого письма SPF-записи, но не для домена вот from, а ориентируясь строго на гугл. Подскажите пожалуйста, в какую сторону смотреть? Спасибо. -- WBR, Bogdan B. Rudas
Re: Postgix - принмать почту только с gmail
Всё достаточно просто: есть публичный общедоступный адрес в гмлей с которого письма перенаправляются на технологический почтовый сервер, этот сервер на основе факта письма что-то делает (предположим, распечатывает картинку с котёнком). Для уменьшениня энтропии хочется огородить этот технологический почтовый сервер от сторонней почты. Риск просачивания нежелательно почты через форвард гмейла принимается. 2015-08-20 20:49 GMT+03:00 Eugene Berdnikov b...@protva.ru: On Thu, Aug 20, 2015 at 08:24:39PM +0300, Bogdan wrote: Возникла странная необходимость принимать только почту, которая прошла через сервера гугла (в т.ч. пересылка почты от другого домена через список раасылки) Формулировка задачи более чем странная. Чем письма, прошедшие через гугл, лучше остальных? :) Может быть, нужны лишь форварды с гугловских ящиков? Предположу, что надо проверять для каждого письма SPF-записи, но не для домена вот from, а ориентируясь строго на гугл. Подскажите пожалуйста, в какую сторону смотреть? Очевидно, надёжно опознать гугловский рилей можно лишь по spf. Но для форвардов проще завести уникальный почтовый адрес получателя, который можно менять раз в год для профилактики. Это решение одинаково хорошо работает для любого MTA. -- Eugene Berdnikov -- WBR, Bogdan B. Rudas
Re: setcap на всего юзера
1. Бизнес-требования - нужна поддержка 80 порта. 2. Пользователь может сам аплоадить бинарные файлы, давать ему право на запуск чего угодно с правами рута не хочу. Пока что делаю setcap на конкретный бинарный файл, но не совсем понятно, что будет при его обновлении, не слетят ли настройки. 2015-06-03 11:13 GMT+03:00 Eugene Berdnikov b...@protva.ru: On Wed, Jun 03, 2015 at 10:39:07AM +0300, Bogdan wrote: Привет. Хочу дать возможность пользователю запускать приложение с биндингом на 80 порт без использования conntrack (ибо само по себе узкое место нуждающееся в тюнинге). При этом запускаемый бинарный файл приложения будет меняться. Посоветуйте, что тут можно сделать. 1. Задать себе зачем? и ответить на него. 2. Настроить sudo. А потом уже рассматривать другие решения. -- Eugene Berdnikov -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/20150603081325.gc13...@protva.ru -- WBR, Bogdan B. Rudas
setcap на всего юзера
Привет. Хочу дать возможность пользователю запускать приложение с биндингом на 80 порт без использования conntrack (ибо само по себе узкое место нуждающееся в тюнинге). При этом запускаемый бинарный файл приложения будет меняться. Посоветуйте, что тут можно сделать. -- WBR, Bogdan B. Rudas
Re: Отзывы о практическом опыте использования ZFS на Linux
Привет. Спасибо всем за отзывы. Пожалуйста, без нужды не поминайте btrfs и zfs на других системах. Мне интересен вопрос именно стабильности и совместимость ZFS на Linux. Пока что пошарил ZFS с компрессией по СIFS - суточные бэкапы пережило. 2015-05-12 13:16 GMT+03:00 Vasiliy P. Melnik ba...@vpm.net.ua: у меня один раз развалился пул из-за умершей планки памяти. В машине было две планки, машина видела их обе и память считалась общая, но одна из планок самостоятельно напрочь отказывалась работать.Я создаю два пула - один для системы, другой для данных. Развалился системный пул - при монтировании кернел паник и ребут. Спасло то, что пул с данными примонтировался. Единственный раз была проблема, и она возникла из-за железа. Один сервер даже залило водой, материнка умерла - а винты живые и пулы живые. Питание выбило - но сервер был на упсе. А сколько сервера пережили отключений питания - я даже затрудняюсь сказать. Так что с надежностью у зфс-а все ок. -- WBR, Bogdan B. Rudas
Отзывы о практическом опыте использования ZFS на Linux
Привет. Поставил ZFS с http://zfsonlinux.org, на первый взгляд - работает. Если кто-то использовал линуксовый порт в продакшене, под нагрузкой либо просто продолжительное время - расскажите плс., какие проблемы возникали, насколько надёжным получилось решение. Спасибо. -- WBR, Bogdan B. Rudas
Re: poll() timeout в PHP-FPM при получении запросов от Nginx
17616 2 INET 17627 17621 6 FRAG 0 0 0 2013/11/26 Andrey Melnikoff temnota+n...@kmv.ru Bogdan bog...@gmail.com wrote: [-- text/plain, кодировка base64, кодировка: KOI8-R, 34 строк --] Добрый вечер. Бэклог в php-fpm я отключил в силу того, что не был полностью уверен, идёт ли речь о tcp-бэклоге, либо просто о некой внутренней очереди. Параметры sysctl (сверх стандартных) следующие: net.core.rmem_default=16777216 net.core.netdev_max_backlog=262144 net.core.somaxconn=262144 net.ipv4.tcp_syncookies=1 ^^^ Это то зачем ??? net.ipv4.tcp_max_orphans=262144 net.ipv4.tcp_max_syn_backlog=262144^M net.ipv4.ip_local_port_range=1024 65535 net.ipv4.tcp_tw_reuse=1 netstat -s покажи -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/6e5ema-48h@woofie.cef.spbstu.ru -- WBR, Bogdan B. Rudas
Re: poll() timeout в PHP-FPM при получении запросов от Nginx
Добрый вечер. Бэклог в php-fpm я отключил в силу того, что не был полностью уверен, идёт ли речь о tcp-бэклоге, либо просто о некой внутренней очереди. Параметры sysctl (сверх стандартных) следующие: net.core.rmem_default=16777216 net.core.netdev_max_backlog=262144 net.core.somaxconn=262144 net.ipv4.tcp_syncookies=1 net.ipv4.tcp_max_orphans=262144 net.ipv4.tcp_max_syn_backlog=262144 net.ipv4.ip_local_port_range=1024 65535 net.ipv4.tcp_tw_reuse=1 Фаервол выключен, всё что имело отношение к contrack вообще выгружено из ядра, т.к. contrack без напильника на таких нагрузках не живёт, да и с напильником живёт не очень хорошо. PHP выглядит как живой, регулярно перезапускает воркеры отработавшие свой лимит запросов, rlimit_nofile увеличен до 128000 как для основного процесса, так и для воркеров, эффективность лимита проверялась по /proc/pid/limit - всё действует. 2013/11/25 Andrey Melnikoff temnota+n...@kmv.ru Bogdan bog...@gmail.com wrote: [-- text/plain, кодировка base64, кодировка: KOI8-R, 63 строк --] [skipp] В пятницу уменьшил бэклог (в php-fpm, а не в sysctl) с 512 до 0 и возможно проблема перешла в новую фазу - nginx теперь периодически не может установить соединение с бэкендом, есть проблемные периоды когда соединения к php-fpm отваливаются по 20-50 штук в секунду, что плохо, но на фоне 1000-1500rps не так уж смертельно. а смысл на такой нагрузке отключать баклог ? somaxconn крутилось? что пишет php в еррор-лог в эти моменты? ему хватает дескрипторов чтоб принять соединение? фаирвол есть ? -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/aficma-17q@woofie.cef.spbstu.ru -- WBR, Bogdan B. Rudas
Re: poll() timeout в PHP-FPM при получении запросов от Nginx
В первом описываемом случае был поставлен как раз тот самый Nginx из бэкпортов, на неделе поставлю оригинальную сборку последней версии предоставленную производителем. Вообще, мне кажется, дело там всё-таки в ядре либо в PHP - попытки установить соединения nginx делает, соединения в состоянии SYN_SENT и SYN_RECV в проблемные периоды существуют в количестве до двух тысяч штук каждого типа, но вот PHP что-то не получает их не смотря на валидные accept() и poll(). В пятницу уменьшил бэклог (в php-fpm, а не в sysctl) с 512 до 0 и возможно проблема перешла в новую фазу - nginx теперь периодически не может установить соединение с бэкендом, есть проблемные периоды когда соединения к php-fpm отваливаются по 20-50 штук в секунду, что плохо, но на фоне 1000-1500rps не так уж смертельно. Ну и для сравнения устанавливаю сервер на CentOS 6, поставлю там свежий PHP и Nginx, включу бэклог и посмотрю, что получится из этого. По вопросу сокета - я когда-то давно пробовал это сделать - захлёбывалось оно на каких-то совершенно незначительных величинах, причём отдебажить процесс весьма сложно - netstat информации по подключению к сокету практически не даёт, CLI-утилиты которая бы посылала FastCGI-запрос в сокет (вытащить внутренний статус из php-fpm) тоже не нашлось, короче сокеты локальные - тёмное дело. Ну и помимо прочего интересует единообразие конфигураций - у меня далеко не везде по одному сервере, обычно как минимум их два, на каждом nginx и php и запросы обрабатываются обоим перекрёстно - т.е. локальный PHP прописан первым апстримом, а php на втором-третьем-четвёртом-etc сервере - следующими, возможно с меньшим весом. 2013/11/23 Andrey Melnikoff temnota+n...@kmv.ru Bogdan bog...@gmail.com wrote: [-- text/plain, encoding base64, charset: KOI8-R, 77 lines --] 2013/11/20 Eugene Berdnikov b...@protva.ru On Wed, Nov 20, 2013 at 12:03:50PM +0300, Bogdan wrote: On Tue, Nov 19, 2013 at 11:58:33PM +0300, Bogdan wrote: Т.е. непонятно по какой причине poll() зависает на 5 секунд блокируя работу интерпретатора.^M Скорее всего, по той причине, что никаких данных по сети не приходит. Не совсем тут понятно, что значит никаких данных по сети не приходит - т.е. удалённая сторона, в данном случае nginx, установила tcp-соединение, но данных в него не послала? Может быть и так, но возможно данные посылались и потерялись где-то по пути... Нужно не фантазировать а опираться на факт, что poll() вышел на таймаут, значит, скорее всего на хосте-приёмнике данных не было. И самый быстрый способ проверить это -- посмотреть дамп трафика. После чего уже понятно, ядро виновато или локальная сеть. Сегодня проблема воспроизвела на другом сервере, где nginx (1.2.1-2.2wheezy1) и php 5.4 на Debian 7, расположены вместе и коннект проходит сугубо через локалхост. Если через localhost - то зачем оно в tcp ходит, а не через сокет ? Выглядело это следующим образом: И кого тут подозревать? PHP или ядро, куда двигаться дальше? Для начала поставить nginx 1.4.1-3~bpo70+1 из бакпортов. -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/l0h6ma-spi@woofie.cef.spbstu.ru -- WBR, Bogdan B. Rudas
Re: poll() timeout в PHP-FPM при получении запросов от Nginx
Добрый день, спасибо за ответ. 2013/11/20 Eugene Berdnikov b...@protva.ru On Tue, Nov 19, 2013 at 11:58:33PM +0300, Bogdan wrote: Т.е. непонятно по какой причине poll() зависает на 5 секунд блокируя работу интерпретатора. Скорее всего, по той причине, что никаких данных по сети не приходит. Не совсем тут понятно, что значит никаких данных по сети не приходит - т.е. удалённая сторона, в данном случае nginx, установила tcp-соединение, но данных в него не послала? Сравнивал с нормальным режимом функционирования системы - там таких пауз и близко не наблюдается. Вероятность отсуствия запроса в течении 5 секунд при интенсивности порядка 1000-1500 запросов в секунуд мне кажется очень маленькой. Рабочих процессов 64, ну максимум 128. Я тоже рассматриваю проблему межсерверной сетью, но варианты какая-то проблема в ядре с одной из сторон и nginx перестал посылать запросы пока не могу исключить. Вероятность проблемы может быть весьма высокой, например 1/60, что при условии получения 1000-1500 запросов в секунду очень болезненно. Подскажите, куда дальше копать? Убедиться, что данных действительно нет, если в этом сомневаетесь. Т.е. tcpdump в руки и искать эту коннекцию. Ну поискать-то в этом потоке будет весьма сложно, потому я и интересовался про ретрансмиты - этот параметр можно посмотреть на сервере где запущен nginx. Но и в самом деле - снифер вполне подойдёт, там тоже будет видно. Коммутатор мне недоступен (внутреннюю сеть предоставляет дата-центр), а потерь на интерфейсах судя по ifconfig нет. Может быть где-то в /proc или /sys есть общесистемный счётчик tcp retransmit для каждого интерфейса либо IP, чтобы проверить версию с потерями пакетов во внутренней сети? Есть общий счётчик: netstat -s (ака /proc/net/netstat). При чём тут счётчик ретрасмиссий -- непонятно: речь же о входящих пакетах, а не исходящих. Все счётчики интерфейса показывает ip -s link dev... Я планировал посмотреть ретрансмиты на сервере который выполняет nginx и шлёт запросы к PHP-FPM, но т.к. tcp-счётчиков для интерфейсов видимо нет, буду использовать снифер. Для проверки версии о потерях пакетов достаточно сравнить счётчики интерфейсов клиента и сервера. Вообще, нормальные свитчи тоже умеют вести статистику по интерфейсам, а также считать дропнутые пакетики. На сервере со счётчиками уровня ethernet всё хорошо, а коммутатор мне к сожалению недоступен. -- Eugene Berdnikov -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/20131120065121.gr4...@protva.ru -- WBR, Bogdan B. Rudas
Re: poll() timeout в PHP-FPM при получении запросов от Nginx
2013/11/20 Eugene Berdnikov b...@protva.ru
On Wed, Nov 20, 2013 at 12:03:50PM +0300, Bogdan wrote:
On Tue, Nov 19, 2013 at 11:58:33PM +0300, Bogdan wrote:
Т.е. непонятно по какой причине poll() зависает на 5 секунд блокируя
работу
интерпретатора.
Скорее всего, по той причине, что никаких данных по сети не приходит.
Не совсем тут понятно, что значит никаких данных по сети не приходит -
т.е. удалённая сторона, в данном случае nginx, установила tcp-соединение,
но данных в него не послала?
Может быть и так, но возможно данные посылались и потерялись где-то
по пути... Нужно не фантазировать а опираться на факт, что poll() вышел
на таймаут, значит, скорее всего на хосте-приёмнике данных не было.
И самый быстрый способ проверить это -- посмотреть дамп трафика.
После чего уже понятно, ядро виновато или локальная сеть.
Сегодня проблема воспроизвела на другом сервере, где nginx
(1.2.1-2.2wheezy1) и php 5.4 на Debian 7, расположены вместе и коннект
проходит сугубо через локалхост.
Выглядело это следующим образом:
20:43:09.699398 write(19, \1\6\0\1\3\324\4\0X-Powered-By:
PHP/5.4.4-14+deb7u5\r\nLast-Modified: Wed, 20 Nov 2013 16:43:09 +
GMT\r\nPragma: no-cache\r\nCon
tent-type: text/javascript\r\nExpires: Wed, 20 Nov 2013 16:43:09
+\r\nCache-Control: must-revalidate\r\nP3P: policyref=\/w3c/p3p.xml\,
CP=\UN..., 1008)
= 1008
20:43:09.699470 shutdown(19, 1 /* send */) = -1 ENOTCONN (Transport
endpoint is not connected)
20:43:09.699504 recvfrom(19, \1\5\0\1\0\0\0\0, 8, 0, NULL, NULL) = 8
20:43:09.699536 recvfrom(19, , 8, 0, NULL, NULL) = 0
20:43:09.699561 close(19) = 0
20:43:09.699682 setitimer(ITIMER_PROF, {it_interval={0, 0}, it_value={0,
0}}, NULL) = 0
20:43:09.699714 accept(0, {sa_family=AF_INET, sin_port=htons(7837),
sin_addr=inet_addr(192.168.1.2)}, [16]) = 19
20:43:09.699750 time(NULL) = 1384965789
20:43:09.699775 times({tms_utime=1902, tms_stime=373, tms_cutime=0,
tms_cstime=0}) = 2323052248
20:43:09.699802 poll([{fd=19, events=POLLIN}], 1, 5000) = 0 (Timeout)
20:43:14.705014 close(19) = 0
20:43:14.705281 accept(0, {sa_family=AF_INET, sin_port=htons(3676),
sin_addr=inet_addr(192.168.1.2)}, [16]) = 19
20:43:14.705435 time(NULL) = 1384965794
20:43:14.705583 times({tms_utime=1902, tms_stime=373, tms_cutime=0,
tms_cstime=0}) = 2323052748
20:43:14.705706 poll([{fd=19, events=POLLIN}], 1, 5000) = 0 (Timeout)
20:43:19.707391 close(19) = 0
20:43:19.707519 accept(0, {sa_family=AF_INET, sin_port=htons(56862),
sin_addr=inet_addr(192.168.1.2)}, [16]) = 19
20:43:19.707558 time(NULL) = 1384965799
20:43:19.707582 times({tms_utime=1902, tms_stime=373, tms_cutime=0,
tms_cstime=0}) = 2323053249
20:43:19.707607 poll([{fd=19, events=POLLIN}], 1, 5000) = 0 (Timeout)
20:43:24.711363 close(19) = 0
20:43:24.711482 accept(0, {sa_family=AF_INET, sin_port=htons(40505),
sin_addr=inet_addr(192.168.1.2)}, [16]) = 19
20:43:24.711524 time(NULL) = 1384965804
20:43:24.711548 times({tms_utime=1902, tms_stime=373, tms_cutime=0,
tms_cstime=0}) = 2323053749
20:43:24.711575 poll([{fd=19, events=POLLIN}], 1, 5000) = 1 ([{fd=19,
revents=POLLIN}])
20:43:24.711608 read(19, \1\1\0\1\0\10\0\0, 8) = 8
20:43:24.711638 read(19, \0\1\0\0\0\0\0\0, 8) = 8
20:43:24.711670 read(19, \1\4\0\1\5\36\2\0, 8) = 8
20:43:24.711698 read(19, \f\200\0\0\352QUERY_STRING..
Т.е. после успешного запроса - несколько подряд попыток почитать
что-нибудь из соединения, последняя оказывается успешной.
Из не нормального: количество соединений в состоянии SYN_SENT на порт
PHP-FPM было более 1000 постоянно, SYN_RECV - чуть меньше.
После растарта php-fpm на этот раз всё самой собой прошло, в netstat
соединений на порт PHP нет. К сожалению ребут от этой беды спасает далеко
не всегда.
Но по крайней мере, раз всё воспроизводится в пределах одного сервера -
проблему интерконнекта наверное пока можно перестать рассматривать.
Дамп трафика в этот момент у меня получился без таймингов,
tcp.analysis.retransmission показал два десятка пакетов - повторная
передача [PSH, ACK] от nginx к PHP, всего в дампе ~50k пакетов.
И кого тут подозревать? PHP или ядро, куда двигаться дальше?
poll() timeout в PHP-FPM при получении запросов от Nginx
Добрый день.
Debian 7 amd64, PHP-FPM 5.4.4 изх комплекта дистрибутива.
Регулярно (несколько раз в неделю, иногда - несколько раз в день)
сталкиваюсь с ситуацией непонятного торможения php-fpm, выглядит этот как
резкое уменьшение количества коннектов к БД и полностью забитом бэклоге
FPM. Варианты типа подключение ко внешним сайтам и т.п. исключили из кода.
Потыкал strace в воркеры (их у меня 64 обычно на один веб-сервер).
В проблемные периоды есть анамалия выглядящая следющим образом:
00:16:17.507658 accept(0, {sa_family=AF_INET, sin_port=htons(19554),
sin_addr=inet_addr(1.2.3.4)}, [16]) = 67
00:16:17.508000 time(NULL) = 1384892177
00:16:17.508190 times({tms_utime=84, tms_stime=22, tms_cutime=0,
tms_cstime=0}) = 1780948166
00:16:17.508505 poll([{fd=67, events=POLLIN}], 1, 5000) = 0 (Timeout)
00:16:22.513709 close(67) = 0
00:16:22.513922 accept(0, {sa_family=AF_INET, sin_port=htons(29537),
sin_addr=inet_addr(1.2.3.4)}, [16]) = 67
00:16:22.514073 time(NULL) = 1384892182
00:16:22.514190 times({tms_utime=84, tms_stime=22, tms_cutime=0,
tms_cstime=0}) = 1780948667
Ну и далее следует успешный poll() и чтение запроса от веб-сервера.
fd=67 - это подключение от nginx на соседнем сервере.
Т.е. непонятно по какой причине poll() зависает на 5 секунд блокируя работу
интерпретатора. Вероятность проблемы может быть весьма высокой, например
1/60, что при условии получения 1000-1500 запросов в секунду очень
болезненно.
Подскажите, куда дальше копать?
Может быть где-то в /proc или /sys есть общесистемный счётчик tcp
retransmit для каждого интерфейса либо IP, чтобы проверить версию с
потерями пакетов во внутренней сети?
Отдельно беспокоит тот факт, что проблемы начались после переезда с 6 на 7
версию ОС.
Заранее благодарен за советы.
--
WBR, Bogdan B. Rudas
Re: deploy приложений написанных (например ruby) best practic
Одна из основных бесящих меня в руби вещей - тяжело автоматически установить секьюрити-фиксы так, чтобы ничего нигде не отгнило. А по сабжу - у меня на LAMP-продакшене программисты могут почитать логи приложений и выполнить svn info (да, я устанаваливаю приложения посредством переключения тэгов и прячу .svn) Обновления из debian-security приезжают каждую ночь и за 5 лет такой практики заметных факапов не было. Исключение из правил - БД, которым греться надо. 2013/9/20 Artem Chuprina r...@ran.pp.ru Vladimir Skubriev - debian-russian@lists.debian.org @ Fri, 20 Sep 2013 14:46:40 +0400: VS Вопрос в связи с этим: VS Это относиться только к приложениям которые рассчитаны на работу из VS userspace или это в принципе best practic у опытных админов ? Не давать приложению рута - это best practice. Не давать его разработчику - зависит от разработчика. Если у разработчика нет скиллов хорошего админа, то лучше не давать, а то такого наворотит, потом не разворотишь. VS Это хороше подмечено. Вообще лучше не кому ни каких прав не давать. VS Один сервер - один админ ) Как страшно жить... У меня все же есть пара-тройка знакомых, с которыми мы друг другу спокойно даем рута на своих серверах. VS apt-get только для установки сервера, остальное ручками - т.е. не из VS стандартных репозиториев принято собирать в серьезных проектах ? А это зависит от того, что именно нужно. Как показывает практика, с ruby лучше иметь конструкцию, в которой у каждого сайта свой набор гемов, конкретных версий (и иногда свой бинарник ruby). Если на одной физической машине хостится несколько сайтов, это критично. VS Судя по количеству всяких rake, bundler, gem и версий ruby я это уже начинаю VS впитывать. Потому как сайт на ruby, даже если сейчас все необходимые пакеты вдруг в стандартном репозитории есть, может не пережить апгрейда системы, если он пользуется системными пакетами. VS Да пожалуй ruby он такой. Но ведь это же большой плюс. Тем более что есть VS rvm. И даже chef-rvm ) То, что он может не пережить апгрейда системы, это скорее минус. Особенно - если он не переживет апгрейда не своих модулей, а, допустим, СУБД. Которую rvm уже не умеет складывать в тихий уголок. -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/87ioxvad3d@wizzle.ran.pp.ru -- WBR, Bogdan B. Rudas
Re: [Dig] Обратный поиск.
Ага-ага, вы ещё скажите, что по IP-адресу нельзя получить список доменов, которые на него указывают :P См. в сторону passive dns replication - возможно и для MX уже предоставляют нужную информацию публично. 2013/9/8 Eugene Berdnikov b...@protva.ru On Sun, Sep 08, 2013 at 02:15:56PM +0400, Dmitrii Kashin wrote: У yandex.ru и ya.ru - одна и та же mx-запись: mx.yandex.ru. Дотстоверно также известно, что есть и другие домены, которые имеют ту же mx-запись. Есть ли какие-нибудь способы их найти? Очевидно, нет. Я могу написать такой MX для своего локального домена, и никто об этом никогда не догадается. Но это неправильный ответ. :) Правильным был бы ответ вопросом на вопрос: а зачем, собственно, искать такие домены? -- Eugene Berdnikov -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/20130908110719.gr5...@sie.protva.ru -- WBR, Bogdan B. Rudas
А использует ли кто-то Microsoft Natural Ergonomic Keyboard 4000 в Debian?
Добрый день. Хочу купить такую вот клавиатуру за отсутсвием каких-либо других годных вариантов. Насколько из коробки работют в 7.0 фичи этой клавиатуры? -- WBR, Bogdan B. Rudas
Загрузка Debian 7.1 при недоступном сервер NFS
Добрый день. Монтирую шату с опциями: defaults,vers=3,bg При недоступности сервера процесс загрузки клиентского компьютера занимает очень много времени. Я ожидал, что bg решит эту проблему, видимо эта магия работает как-то иначе. Расскажите пожалуйста, как прописать шару в fstab, чтобы её недоступность не сказывалась на скорости загрузки. Спасибо! -- WBR, Bogdan B. Rudas
Правильная и удобная авторизация в svn@https
Добрый день. Есть сервера для разработки некого ПО, где кодеры пользуются svn cli. Очевидно вводить пароль каждый раз не удобно. Хранить пароль пелйнтекстом не удобно тоже. Хочется что-то типа ssh-agent для svn, т.е. я вижу это так: 1) человек вводит пароль один раз за сессию 2) при обращении к https svn-клиент получает кэшированный пароль 3) при завершении сессии кэш сбрасывается Понятно, что это можно накостылять, но хотелось бы готового промышленного решения, если таковое есть. -- WBR, Bogdan B. Rudas
Re: Правильная и удобная авторизация в svn@https
Боюсь, подопечный контингент не осилит ключи и агента в разумные сроки. Да и так уже всё работает на основе apache + ldap. 2013/8/12 a...@barak.in a...@barak.in 12.08.2013, 22:03, Bogdan bog...@gmail.com: Добрый день. Есть сервера для разработки некого ПО, где кодеры пользуются svn cli. Очевидно вводить пароль каждый раз не удобно. Хранить пароль пелйнтекстом не удобно тоже. Хочется что-то типа ssh-agent для svn, т.е. я вижу это так: 1) человек вводит пароль один раз за сессию 2) при обращении к https svn-клиент получает кэшированный пароль 3) при завершении сессии кэш сбрасывается Понятно, что это можно накостылять, но хотелось бы готового промышленного решения, если таковое есть. svn+ssh не подойдёт? -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/1622291376330...@web8h.yandex.ru -- WBR, Bogdan B. Rudas
Re: Посоветуйте качественный лёгкий веб-сервер для замены nginx.
Спасибо. Этот костыль (и pam ещё) рассматривал. Не пригоден к промышленной эксплуатации, т.к. в случае проблем с откликом ldap _весь_ nginx превращается в тыкву. Сответсвующий вопрос задавал в профильной рассылке - подтвердили наличие проблемы у обоих сторонних модулей. 2013/8/6 Alexander Konotop alexander.kono...@gmail.com В Tue, 6 Aug 2013 16:04:01 +0300 Bogdan bog...@gmail.com пишет: Доборый день. Хочу избавится от nginx в продакшене. Посоветуйте пожалуйста качественный лёгковесный веб-сервер с поддержкой авторизации во ldap. В nginx сейчас не устаривает отсутсвие нормальной поддержки внешней авторизации. Спасибо! https://github.com/kvspb/nginx-auth-ldap -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/20130806231232.3f8aa00b@jager -- WBR, Bogdan B. Rudas
Посоветуйте качественный лёгкий веб-сервер для замены nginx.
Доборый день. Хочу избавится от nginx в продакшене. Посоветуйте пожалуйста качественный лёгковесный веб-сервер с поддержкой авторизации во ldap. В nginx сейчас не устаривает отсутсвие нормальной поддержки внешней авторизации. Спасибо! -- WBR, Bogdan B. Rudas
Посоветуйте генератор галерей изображений.
Много лет использую jigl, не хватает кнопки для размещения фото в фейсбуке. Нужно: 1) Пакетный режим работы в консоли 2) Статический HTML как результат 3) 3 уровня ссылок: гелерея превьюшек, просмотр уменшенного одиночного изображения, непосредственный просмотр оригинала 4) Опционально - ведение списка галерей 5) Ссылка для быстрого размещения изображения в фейсбуке Спасибо! -- WBR, Bogdan B. Rudas
SSD TRIM на RAID PERC H700
Добрый день. Есть желание водрузить сервер БД на SSD RAID Dell PERC H700 aka LSI MegaSAS 9260 Вопрос: в stable либо backport ядрах обстоят дела с передачей TRIM на уровень SSD через драйвер и фирмварь контрллера? Работает ли опция монтирования discard вообще для файлов открытых с O_DIRECT ? Спасибо! -- WBR, Bogdan B. Rudas
Выбор MTA
Добрый день. Ищется сабж со следующей функциональностью: 1) рейтлимит на исходящую почту по по некоторым удалённым доменам 2) умение работать с длинной (до нескольких миллионов писем) очередью Порекомендуйте пожалуйста. -- WBR, Bogdan B. Rudas
Мониторинг производительности nginx
Добрый день: хочется получать из nginx тем или иным способом среднее время обработки запроса. А в идеальном случае - усредненное время ответа бэкенда агрегированное, например, за секунду. И всё это в приближенном к реальному времени. Про stub_status знаю и использую. Про кастомный формат лога тоже знаю, но каждый раз парсить файл и высчитывать среднее при 1krps может оказаться тяжелой задачей. Спасибо! -- WBR, Bogdan B. Rudas
Re: Мониторинг производительности nginx
On Wed, Mar 28, 2012 at 4:41 PM, Eugene Berdnikov b...@protva.ru wrote: On Wed, Mar 28, 2012 at 04:25:51PM +0300, Bogdan wrote: Добрый день: хочется получать из nginx тем или иным способом среднее время обработки запроса. А в идеальном случае - усредненное время ответа бэкенда агрегированное, например, за секунду. И всё это в приближенном к реальному времени. Про stub_status знаю и использую. Про кастомный формат лога тоже знаю, но каждый раз парсить файл и высчитывать среднее при 1krps может оказаться тяжелой задачей. Исходники nginx есть, допишите, это ж десяток строчек на Си. -- Eugene Berdnikov К сожалению, в моём распоряжении пока нет программиста соответствующего профиля. -- WBR, Bogdan B. Rudas
Универсальный DNS
Здравствуйте!
Хочется содомировать bind либо другой DNS-сервер следующим образом:
1) Пользователь вписывает мои NS своим произвольным доменам.
2) Я со своей стороны ничего не делаю (я даже не знаю, что
пользователь вписал мои NS)
3) Домен пользователя начинает резолвится в фиксированный IP.
Я сделал вот такую вот зону:
$TTL 10
@ IN SOA ns3.domain.ru. root.domain.ru. (
2012030901 ; serial
2H ; refresh
1H ; retry
2W ; expire
6H ; minimum
)
IN NS ns3.domain.ru.
IN NS ns4.domain.ru.
IN MX 10 mxa
mxa IN A 1.2.3.4
* A 1.2.3.4
И прописал её как:
zone . {
type master;
file /var/cache/bind/default.db;
};
Сама зона domain.ru живет на отдельном сервер и с ней всё хорошо.
Мой грязный хак вобщем-то то тоже работает в первом приближении, но не
возвращает при этом SOA-запись.
Выглядит это следующим образом:
:~/$ dig -t soa @j2.ru any.ru
; DiG 9.7.0-P1 -t soa @ns3.domain.ru any.ru
; (1 server found)
;; global options: +cmd
;; Got answer:
;; -HEADER- opcode: QUERY, status: NOERROR, id: 61191
;; flags: qr aa rd; QUERY: 1, ANSWER: 0, AUTHORITY: 1, ADDITIONAL: 0
;; WARNING: recursion requested but not available
;; QUESTION SECTION:
;any.ru.IN SOA
;; AUTHORITY SECTION:
. 10 IN SOA ns3.domain.ru. root.domain.ru.
2012030901 7200 3600 1209600 21600
;; Query time: 46 msec
;; SERVER: 1.2.3.4#53(1.2.3.4)
;; WHEN: Wed Mar 7 12:32:44 2012
;; MSG SIZE rcvd: 71
Итого резолвинг работает (по крайней мере через рекурсивный bind), но
вот хочется всё-таки сделать хорошо.
Подскажите плс., как реализовать более корректно.
--
WBR, Bogdan B. Rudas
IOMMU, PCI Passthrough, windows и игрушки
Добрый день. Уже достаточно давно появились в природе процессоры и платы позволяющие пробрасывать внутрь виртуальной машины PCI-устройства. Вопрос такой: кто-нибудь доводил оную виртуализацию до состоянию не тормозят игрушки в windows ? -- WBR, Bogdan B. Rudas
MySQL-репликация и размеры БД.
Добрый день.
Есть две репликационных пары MySQL-серверов (master-slave)
На обоих парах смотрю размер БД с помощью:
SELECT table_schema 'database', concat( round( sum( data_length +
index_length ) / ( 1024 *1024 ) , 2 ) , 'M' ) size FROM
information_schema.TABLES WHERE ENGINE=('MyISAM' || 'InnoDB' ) GROUP
BY table_schema;
Разница в показаниях достигает гигабайта, причем как в большую, так и
в меньшую сторону.
Проверял размер с помощью du - различается примерно на столько же
(innodb-таблицы в отдельных файлах)
Локальных модификаций на slave нет.
Задержек репликации нет.
Это вообще нормально, или у меня на слейве данные уже превратились в тыкву?
В обоих случаях mysql на мастер-серверах минимум один раз завершался
некорректно (например, ребут железа по питанию или OOM прибил)
Аппаратный RAID, батарейки в порядке.
Спасибо!
--
WBR, Bogdan B. Rudas
Re: Пустые tcp-сессии и nginx
2012/1/11 Boris Bobrov breton.li...@gmail.com: В сообщении от Среда 11 января 2012 00:09:51 Bogdan написал: Добрый день. Внезапно в логе nginx обнаружилась масса HTTP-запросов с кодом 400 Wireshark показал, что с сервером постоянно устанавливаются пустые tcp-соединения (корректные на первый взгляд), которые сразу же и закрываются без передачи данных. Количество таких соединений - порядка 2M в сутки, что составляет несколько процентов от общего количество логируемых запросов (статика в основном не логируется), количество уникальных IP порождающих такие запросы - порядка 0.5K за сутки. Вопрос - это какой-то такой наивный DDoS или в сети появилась какая-то новая, печальная технология? По моим наблюдениями, с этих IP заходят клиенты идентифицирующие себя как AppleWebKit, но это очень предварительно, логи еще перевариваются скриптом. Включение либо выключение синкук ни на что не влияет. Спасибо. Не совпадает ли случайно географическое расположение IP-адресов, с которых приходят эти запросы, с географическим расположением основной массы посетителей сайта? Вижу то же самое у себя, но в меньших количествах. И у меня они себя не идентифицируют, а отображаются просто как ip - - [11/Jan/2012:17:24:56 +0400] - 400 0 - - Я обычно еще вижу потом несколько валидных запросов с этого адреса. -- WBR, Boris. -- WBR, Bogdan B. Rudas
Re: rsync over ssh
2011/12/5 Victor Wagner vi...@wagner.pp.ru: Народ, а посоветуйте как попараноидальнее организовать unattended backup по rsync over ssh (на самом деле, rsnapshot, конечно). Что бы такое написать в /root/.ssh/authorized_keys, чтобы минимизировать последствия в случае утечки секретного ключа с той машины, которая инициирует бэкап? Пока что мне пришло в голову только command=/usr/local/sbin/rsynconly ssh-dsa где /usr/local/sbin/rsynconly имеет вид #!/bin/sh PATH= export $PATH case $SSH_ORIGINAL_COMMAND in *;*) echo Go away, you yellow earthworm! exit 1; ;; rsync\ *) /usr/bin/$SSH_ORIGINAL_COMMAND ;; *) echo Go away, you yellow earthworm! exit 1; ;; esac Но что-то мою паранойю это не удовлетворяет. Ну во-первых, input sanitizing явно недостаточный. Во-вторых, хотелось бы предотвратить не только запуск команд, отличных от rsync, но и закачку файлов туда посредством rsync. Поставить rssh на целевой машине shell'ом для юзера бэкапного, вкурить мануал и сделать настройки соответсвующие. В итоге можно запретить юзеру запускать что-то кроме rsync и в случае крайней паранои - сделать chroot. -- WBR, Bogdan B. Rudas
Re: Совместимость Debian и сервера Dell PE R210
2011/10/28 Иван Лох l...@1917.com: On Fri, Oct 28, 2011 at 11:25:57AM +0600, Konstantin Fadeyev wrote: Прошу ответить тех, кто практически работал с таким сервером - насколько он совместим с Debian 6? В документации написано про совместимость с Novell SUSE Linux Enterprise Server и Red Hat Enterprise Linux. Думаю здесь ключевое слово Linux, а не SUSE или Red Hat. Драйвера к LSI, который скорее всего прячется под словом PERC, в ядре, конечно, есть. Но вот утилиты для работы с RAID запросто могут быть закрытые и собранные под RHEL. Дальше нужен alien, терпение и везение. 1) Утилиты не нужны, mpt-status из дистрибутива достаточно 2) У меня штукапять-шесть R210 - всё ок, никаких докостылей. Контроллер у меня такой 01:00.0 SCSI storage controller: LSI Logic / Symbios Logic SAS1068E PCI-Express Fusion-MPT SAS (rev 08) -- WBR, Bogdan B. Rudas
Re: Как обустроить веб?
Спасибо! Вы проверяли работу (эффективность) акселераторов - статистику кэширования и т.п.? Как оно ведет себя под нагрузкой? 2011/9/23 Serge s...@debian.org.ua: On Friday 23 September 2011 20:18:51 Bogdan wrote: Добрый день. Долгое время я использовал связку nginx + apache2-mpm-itk + ldap + libapache2-mod-php. nginx раздает статику и собирает сайт из набора веб-приложений apache2 занимается интерпретацией .htaccess и запуском всякого рода скриптов на интерпретируемых языках. mpm-itk обеспечивал запуск каждого виртуального хоста под отдельным пользователем ldap служил источником авторизации для апача На днях запускал сайн написаный на PHP/Zend - JSON API с бэкендом в виде маленькой mongodb-базы. К сайту были написаны нагрузочные тесты. Наилучшая производительность достигается с mpm-prefork и php5-xcache с минимальным количеством апачевых воркеров. Производительность mpm-prefork без xcache и mpm-itk с xcache примерно одинакова и отличается от связки prefork+xcache в разы. Тест получился почти синтетическим, т.к. производительность БД была высока (чтение-запись по ключу), меряли по сути PHP. Проблема неработоспособности PHP-акселераторов с mpm-itk и suphp подтвеждается гуглом. Теперь я ищу альтернативу mpm-itk, которая бы позволила мне использовать xcache ибо другой улучшатель PHP. Дабы не плодить лишний флейм, очерчу круг плохих для меня решений: 1) Полный отказ от apache2 в пользу php-fpm. Его фичи используются почти везде, ресурсов на миграцию мне не дадут. Ну и кроме того - есть масса не-php сайтов, а апач позволяет запускать весь мой зоопарк примерно одинаковым образом, что хорошо стыкуется с системой управления конфигурациями и здравым смыслом. 2) Запуск всего хозяйства под mpm-prefork (т.е. с правами пользователя www-data) - это потребует пересмотра системы безопасности, фаерволов, прав на файловой системе - см. выше про ресурсы. Хорошее решение: запуск разных вирутальных хостов apache2 под разными пользователями, но с поддержкой php-акселераторов Промежуточное решение - оставить старые приложения работать как есть, проведя миграцию на php-fpm только там, где производительность PHP имеет какой-то коммерческий смысл. Такое решение очевидно. С радостью приму разумные советы по сабжу. Спасибо! Уже давно использую mpm-prefork + mod_ruid2 [1] + акселераторы. Вполне нормально работает. Скрипты выполняются от имени владельца в.хоста Права на каталоги и файлы - 710 / 640 [1] - http://sourceforge.net/projects/mod-ruid/ -- With best regards, Serge -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/201109232035.07707@debian.org.ua -- WBR, Bogdan B. Rudas
Где искать логи ядра в Debian oldstable?
Добрый день. А куда пишетя нынче содержимое dmesg ? /var/log/demsg содержит только первые 12 секунд загрузки. в /var/log/kern.log какая-то ерунда: # tail /var/log/kern.log Sep 4 06:26:30 v-2-dl13-d1594-135 kernel: imklog 3.18.6, log source = /proc/kmsg started. Sep 5 06:26:34 v-2-dl13-d1594-135 kernel: Kernel logging (proc) stopped. Sep 5 06:26:34 v-2-dl13-d1594-135 kernel: imklog 3.18.6, log source = /proc/kmsg started. Sep 5 20:17:14 v-2-dl13-d1594-135 kernel: [9415722.548237] TCP: Treason uncloaked! Peer 93.180.193.23:50318/80 shrinks window 2109677117:2109684189. Repaired. Sep 5 20:17:27 v-2-dl13-d1594-135 kernel: [9415740.041877] TCP: Treason uncloaked! Peer 93.180.193.23:50318/80 shrinks window 2109677117:2109684189. Repaired. Sep 5 20:17:53 v-2-dl13-d1594-135 kernel: [9415774.115165] TCP: Treason uncloaked! Peer 93.180.193.23:50318/80 shrinks window 2109677117:2109684189. Repaired. Sep 6 06:26:24 v-2-dl13-d1594-135 kernel: Kernel logging (proc) stopped. Sep 6 06:26:24 v-2-dl13-d1594-135 kernel: imklog 3.18.6, log source = /proc/kmsg started. т.е. сообщений сильно меньше, чем в dmesg Установлен rsyslog, модификации его конфига за собой не помню. -- WBR, Bogdan B. Rudas -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/CACz2Q8F=ovb8rt1cjhs21zs5dgwuox_5ucez8owoaeqfh8w...@mail.gmail.com
Re: Забанили в гугле - не могу найти RFC на SMTP-авторизацию.
2011/8/17 Sergei Golovan sgolo...@nes.ru:
2011/8/17 Bogdan bog...@gmail.com:
Request for Comments: 2554 читал.
Ищу RFC на AUTH LOGIN / AUTH PLAIN / AUTH CRAM-MD5
http://www.ietf.org/rfc/rfc4616.txt (это про PLAIN).
Эти ворпосы вообще RFC регулирует или какой-то другой тип документов?
Вопрос возник после тыкания в Exim (stable) из Zend'а :
Может (согласно RFC) работать конструкция вида:
C: AUTH PLAIN
S: 334
C: ODczZjM5MDBhNGNmYzhjMmE5ZjMxY2JlZjRkMjc3YTMgIG5vZGVfY2xhc3NpZmllci5wbAo=
S: Authentication succeeded
Но не работает - Incorrect authentication data при верном логине и пароле.
В том RFC 4616 ясно сказано, что имя с паролем надо сразу же передавать.
Цитата: The mechanism consists of a single message, a string of
[UTF-8] encoded [Unicode] characters, from the client to the server.
Cheers!
--
Sergei Golovan
Имя с паролем - да, они и передаются одной base64 строкой в
неработающем примере выше.
А вот о том, что эта строка должна передаваться в качестве параметра
для команды авторизации там не сказано, более того, показано обратное
поведение в примере ACAP-сессии:
The first example shows how the PLAIN mechanism might be used for
user authentication.
S: * ACAP (SASL CRAM-MD5) (STARTTLS)
C: a001 STARTTLS
S: a001 OK Begin TLS negotiation now
TLS negotiation, further commands are under TLS layer
S: * ACAP (SASL CRAM-MD5 PLAIN)
C: a002 AUTHENTICATE PLAIN
S: +
C: {21}
C: NULtimNULtanstaaftanstaaf
S: a002 OK Authenticated
Всё-таки выглядит как баг в exim.
--
WBR, Bogdan B. Rudas
Re: А как нынче в Debian с Radeon'ами?
2011/8/14 Alexey Pechnikov pechni...@mobigroup.ru: Да просто работает, а вам что надо? :) Видео 1080i смотреть можно, даже на интегрированных AMD Fusion. Например, на thinkpad X120e с ядром 3.0 без особых проблем все завелось. Неприятность только в том, что в дебиан аппаратное ускорение умеет лишь vlc, а mplayer во всех ветках (включая дебиан-мультимедиа) про аппаратное ускорение не в курсе (патчи года два как существуют, вроде как можно из убунты утащить сорс пакеты mplayer/xine с ними). Рабочий конфиг для иксов генерится sudo aticonfig --initial, контраст выставляется aticonfig --set-dispattrib=lvds,contrast:80, гамма xgamma -rgamma 0.9 - значения по вкусу :) Если аппаратное ускорение для видео не требуется, нет никакой разницы с интегрированным видео от интел - все работает из коробки, если требуется - ставить fglrx (в testing мне настраивать ничего не потребовалось). -- Best regards, Alexey Pechnikov. http://pechnikov.tel/ Меня как раз интересуют последние поколения Radeon'ов , старье заведомое я брать не буду, хочется еще и поиграться немножко. -- WBR, Bogdan B. Rudas
Забанили в гугле - не могу найти RFC на SMTP-авторизацию.
Request for Comments: 2554 читал. Ищу RFC на AUTH LOGIN / AUTH PLAIN / AUTH CRAM-MD5 Эти ворпосы вообще RFC регулирует или какой-то другой тип документов? Вопрос возник после тыкания в Exim (stable) из Zend'а : Может (согласно RFC) работать конструкция вида: C: AUTH PLAIN S: 334 C: ODczZjM5MDBhNGNmYzhjMmE5ZjMxY2JlZjRkMjc3YTMgIG5vZGVfY2xhc3NpZmllci5wbAo= S: Authentication succeeded Но не работает - Incorrect authentication data при верном логине и пароле. В виде: C: AUTH PLAIN ODczZjM5MDBhNGNmYzhjMmE5ZjMxY2JlZjRkMjc3YTMgIG5vZGVfY2xhc3NpZmllci5wbAo= S: Authentication succeeded Аутентификация проходит. Так вот вопрос: а есть дока, где написано, что работать должен только второй вариант? -- WBR, Bogdan B. Rudas
Как создать список из более чем 64k IP-адресов в ipset ?
Добрый день. Пробовал iphash и iptree - после 64k правил появляется ошибка IP/port/element is outside of the set or set is full Debian 6, ipset 4.5, ядро дистрибутивное с xtables 1.36 -- WBR, Bogdan B. Rudas
Таймауты резольвера.
Добрый день. Подскажите, где конфигурируются таймауты DNS-серверов из resolv.conf Дефолтное значние - 5 секунд выбирали видимо во времена V.22bis, но для реальной жизни это катастрофически долго :( Сегодня в советском ДЦ отгнил первичный DNS и сайтик встал колом, т.к. время выполнения скриптов увеличилось ровно на время таймаута, пока ОС пытается дождаться ответа от дохлого DNS-сервера :( -- WBR, Bogdan B. Rudas
Phpmyadmin в Debian 6
Ставлю из комплекта ОС, подключаю относительно традиционным способом - делаю инклюд /etc/phpmyadmin/apache.conf Пытаюсь войти - http 500, причем, в лог ошибко апача ничего не записывается! Пример сессии с помощью telnet: GET /phpmyadmin/ HTTP/1.1 Host: host.ru HTTP/1.0 500 Internal Server Error Date: Fri, 06 May 2011 10:40:03 GMT Server: Apache/2.2.16 (Debian) X-Powered-By: PHP/5.3.3-7+squeeze1 Set-Cookie: phpMyAdmin=ui1fl8505abek0a37aflgsocv9328nkh; path=/phpmyadmin/; HttpOnly Expires: Thu, 19 Nov 1981 08:52:00 GMT Cache-Control: private, max-age=10800, pre-check=10800 Last-Modified: Fri, 06 May 2011 10:39:48 GMT Vary: Accept-Encoding Content-Length: 0 Connection: close Content-Type: text/html Connection closed by foreign host. Если руками внести синтаксическую ошибку - то сообщение о ней таки пишется в лог. Т.е. выглядит так, будто phpmyadmin сам генерирует 500 ошибку (ибо куку кто-то должен бы устанавливать) -- WBR, Bogdan B. Rudas
Помогите интерпретировать показания last в Debian 5
Сегодня обнаружил сервер перезагруженым, в last - такие вот строки runlevel (to lvl 2) 2.6.26-2-amd64 Tue May 3 09:21 - 11:41 (02:19) reboot system boot 2.6.26-2-amd64 Tue May 3 09:21 - 11:41 (02:19) Никаких предварительных рутовых логинов там не видно. Означают ли эти строки, что сервер перезагрузили с физической консоли с помощью ctrl+alt+del ? -- WBR, Bogdan B. Rudas
Поменял shell root'у - как залогинится?
Добрый день! Сделал глупость: chsh -s /usr/bin/rsh Теперь ни ssh root@host /bin/sh ни su --shell /bin/sh не работают - Unknown cipher type 'ls' Т.е. запускается-таки shell. При этом, в man su сказано: -s, --shell SHELL The shell that will be invoked. The invoked shell is chosen from (highest priority first): The shell specified with --shell. If --preserve-environment is used, the shell specified by the $SHELL environment variable. The shell indicated in the /etc/passwd entry for the target user. /bin/sh if a shell could not be found by any above method. Юзерский shell на хосте есть, sudo нет. Debian 5 со всеми апдейтами. -- WBR, Bogdan B. Rudas -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/BANLkTincz=zx17b_hqjshbyqucx4pys...@mail.gmail.com
Автоматическая смена рутово го пароля на множестве серверов D ebian 5.0
Добрый день. Раньше для этой работы использовал скрипт, который ходил по коробкам и с помощью usermod изменял пароли. Сегодня вдруг обнаружил что метод crypt() ограничивает длинну пароля 8 символами (вернее, только первые 8 значимы), а пароль у меня был заметно длиннее. Отсюда вопрос: как можно автоматически из скрипта изменять проль пользователя в Debian (если можно - то без установки *tcl*) Спасибо. -- WBR, Bogdan B. Rudas
Сохранение пароля в lftp
Добрый день. Не могу разобраться с сохранением пароля в lftp. пробовал прописывать в ~/.lftprc два варианта: user username password и user usern...@host password пробовал запускать lftp как lftp hostname и lftp usern...@hostname В обоих случаях просило пароль, после нажатия Enter - на ftp-сервер не пускает В ручном режиме всё работает нормально, логин и пароль верны -- WBR, Bogdan B. Rudas
Re: Сборка максимально коррек тного i386 пакета для and64 lenny.
Сам же себе и отвечу. Для сборки надо добавить в опции компиляции -m32 и установить пакеты libc6-dev-i386 ia32-libs которые вытянут gcc-multilib и lib32gcc1. Собрался amd64-пакетик с 32bit-бинарями, пока работает в QA-системе, но скоро поедет на production. Памяти стало жрать ощутимо меньше. 2010/9/21 Bogdan bog...@gmail.com Добрый день. Есть такое NoSQL-поделие Redis, которое потребляет в 64bit сборке безобразное количество памяти. Разразрбочики рекомендуют собирать его под i386. Есть самобэкпорченый из sid'а пакетик. Как корректно собрать 32bit-пакет так, чтобы он потом лёг в кастомный репозитарий и без вопросов оттуда ставился? -- WBR, Bogdan B. Rudas -- WBR, Bogdan B. Rudas
Сборка максимально корректн ого i386 пакета для and64 lenny.
Добрый день. Есть такое NoSQL-поделие Redis, которое потребляет в 64bit сборке безобразное количество памяти. Разразрбочики рекомендуют собирать его под i386. Есть самобэкпорченый из sid'а пакетик. Как корректно собрать 32bit-пакет так, чтобы он потом лёг в кастомный репозитарий и без вопросов оттуда ставился? -- WBR, Bogdan B. Rudas
Посоветуйте рекурсивный бин арный diff.
Добрый день. Ищется сабж, который умеет понимать каталоги и файлы 2Gb на 32bit системах. Наличие версии под оффтоик также зело приветсвуется. -- WBR, Bogdan B. Rudas
Re: Мониторинг сервера
2010/8/13 Alexander Zaycev mailof...@gmail.com Хотелось бы узнать мнение сообщество по поводу программ для мониторинга сервера. Конкрено интересуют такие параметры как, загрузка процессора, свободное место на диске, нагрузка на веб-сервер и сервер баз данных и т.д. Сам раньше пользовался cacti, но хотелось бы чего то более функционального. Поясните, что вы вкладываете в понятия нагрузка на веб-сервер и сервер баз данных.
Re: Как подгрузить свой модул ь пхп для каждого сайта.
2010/8/11 Kirill Pekarov ori...@mail.ru Добрый день. Подскажите плиз как разрулить ситуацию. Есть сервер под дебиан ленни с апачем и mod_php, под апачем крутится несколько сайтов. Но нескольким из них необходим zend_optimizer который не совместим с APC. А под остальные сайты APC совсем не помешал бы. Вопрос вот в чем, как для одного сайта подгрузить zend_optimizer, к примеру, а для другого APC? Сори если глупый вопрос, но сходу в гугле не нашел. Спасибо! Попробуйтн для начала задать в конфиге виртуального хоста явный запрет одного из конфликтующих модулей путем выставления соответсвующего php_admin_value. Почитайте внимательно документацию по APC. Скорее всего есть опция с помощью которой можно запре -- WBR, Bogdan B. Rudas
Re: про субпиксельное сглажив ание.
2010/8/4 Sergei Stolyarov sergei.stolya...@regolit.com On 25.07.2010 07:30, Stanislav Maslovski wrote: Это проблема cairo (впрочем, уже тоже отходящая в историю), а не сборки freetype. В Дебиан freetype сто лет в обед собирается с FT_CONFIG_OPTION_SUBPIXEL_RENDERING. А можно поподробнее, каким образом эта проблема отходит в историю? Протухло некоторое количество патентов мешавших включению этой опции в проприетарно-озабоченых дистрибутивах. -- WBR, Bogdan B. Rudas
Re: виртуальныйе http-серверы: р азграничение прав на скрипты
2010/7/11 Denis Feklushkin denis.feklush...@gmail.com Как добиться того чтобы скрипты, принадлежащие разным uid и gid, не мешали друг другу при запуске через fast cgi? Под мешанием понимаются вредоносные действия: запись/чтение чужих файлов, гроханье чужих скриптов и т.п. Языки: перл, пхп, ещё какие-нибудь... lisp, во! (городим виртуальный http-сервер) Не то, чтобы совсем в тему, но опишу, как это сделано у меня: 1) Используется mpm itk, который позволяет каждый виртхост пускать под отдельным юзером и группой. 2) Впереди стоит nginx. 3) Для того, чтобы nginx отдавал статику www-data включается в первичную группу каждому юзеру Профиты: 1) Апач не тратит жадные до памяти процессы для отдачи статики 2) Все апачевые модули отлично работаю без изменений - mod_php, mod_perl/mod_python/passenger. Юзеру вообще не надо думать, о том, что он работает в обстановке отличной от плохо настроеной cPanel на говнохостинге за 3 бакса. 3) Можно каждому виртхосту ограничть количество паралельных запросов. 4) Nginx отдает статику + служит реверсным прокси позволяя собирать в одной точке несколько бэкендов. Минусы: 1) Корневой апач запущен под рутом. Если через реверсный nginx пролезет некий эксплоит - получат рута сразу. -- WBR, Bogdan B. Rudas
Re: виртуальныйе http-серверы: р азграничение прав на скрипты
2010/7/12 Denis Feklushkin denis.feklush...@gmail.com On Mon, 12 Jul 2010 14:26:14 +0300 Bogdan bog...@gmail.com wrote: 2010/7/11 Denis Feklushkin denis.feklush...@gmail.com Как добиться того чтобы скрипты, принадлежащие разным uid и gid, не мешали друг другу при запуске через fast cgi? Под мешанием понимаются вредоносные действия: запись/чтение чужих файлов, гроханье чужих скриптов и т.п. Языки: перл, пхп, ещё какие-нибудь... lisp, во! (городим виртуальный http-сервер) Не то, чтобы совсем в тему, но опишу, как это сделано у меня: 1) Используется mpm itk, который позволяет каждый виртхост пускать под отдельным юзером и группой. 2) Впереди стоит nginx. 3) Для того, чтобы nginx отдавал статику www-data включается в первичную группу каждому юзеру Профиты: 1) Апач не тратит жадные до памяти процессы для отдачи статики 2) Все апачевые модули отлично работаю без изменений - mod_php, mod_perl/mod_python/passenger. mod_perl это чтобы ?perl код_перла; ? работало? такое вообще кто-то использует? Нет. Не это. RT например использует. -- WBR, Bogdan B. Rudas
Re: Внутренний сертификат пре дприятия
2010/7/6 Stanislav Vlasov stanislav@gmail.com 6 июля 2010 г. 18:11 пользователь Denis Feklushkin denis.feklush...@gmail.com написал: Как принято добавлять свой корневой сертификат в систему, чтобы броузеры не ругались на сертификат, выпущенный на основе добавленного? Положить корневой в /usr/share/ca-certificates, прописать в /etc/ca-certificates, запустить update-ca-certificates - не помогает. Помогает добавить в браузер руками, но это не дело, ибо пользователей порядка пары сотен и ходить ко всем на рабочий стол - замаешься. К тому же, пользователи будут добавляться и неохота еще и у них делать это отдельно. начнём с того что браузеры разные - некоторые пользуются /etc/ssl/cert (google chrome) а некоторые - нет Хм... iceweasel не пользуется? Тогда - как сделать централизованно для iceweasel. Ну или как добавить в профиль без участия пользователя. -- Stanislav Третья ссылка в моем гугле (рецеп для 3.5) Import the root certificate into Firefox and after that grab the file cert8.db under %userprofile%\Application Data\Mozilla\Firefox\Profiles\.default Then deploy cert8.db some way to users. We've put the file into Firefox default profile %programfiles%\*firefox-installation-folder*\defaults\profile -- WBR, Bogdan B. Rudas
Убийство процесса по прошес твии определенного времени.
Добрый день. Есть поделие на ruby, которое иногда виснет. в shell-оберку для него я вписал ulimit -t 1800 Теперь, при зависании поделия в strace видно такое: select(7, [6], NULL, NULL, NULL)= ? ERESTARTNOHAND (To be restarted) --- SIGVTALRM (Virtual timer expired) @ 0 (0) --- rt_sigreturn(0x1a) = -1 EINTR (Interrupted system call) select(7, [6], NULL, NULL, NULL)= ? ERESTARTNOHAND (To be restarted) --- SIGVTALRM (Virtual timer expired) @ 0 (0) --- rt_sigreturn(0x1a) = -1 EINTR (Interrupted system call) Как бы сделать так, чтобы это поделие всё-таки получало хотя бы какой SIGKILL либо умирало каким-то другим способом от SIGVTALRM ? -- WBR, Bogdan B. Rudas
Jabber-сервер для интеграции со внешними сервисами.
Добрый день. Есть сайтик которому захотелось чятик. В наличии несколько сотен тысяч зарегистрированых юзеров и планы роста на порядок. Хочется следующего: 1) Внешней авторизации 2) Подтягивания списка контактов из внешних источников. Т.е. друзья на сайте должны попадать в список контактов при логине. 3) HTTP-интеграции для AJAX-клиентов 4) Поддержка голоса - если не прямо сейчас, то в обозримом будущем. -- WBR, Bogdan B. Rudas
Re: Jabber-сервер для интеграции со внешними сервисами.
2010/6/18 Dmitri Samsonov samson.samson.sam...@gmail.com Bogdan пишет: несколько сотен тысяч зарегистрированых юзеров Хочется следующего: А вопрос-то в чём? Ах да, порекомендуйте хороший! В первую очереь наверное - выбрать между ejabberd и openfire в контексте допиливаемости.
Принудительное кэширование записи на уровне linux/xen
Добрый день. Есть технологическая виртулка с большим количеством рабочих копий svn (сотни тысяч файлов) над которыми периодически выполняются разные операции (в частности, sefacl -R, svn up и т.п.) Насколько я понимаю, setfacl вызывает неминуемый сброс данных на диск, что порождает довольно высокий iowait. Вопрос: можно ли заставить систему либо на уровне ядра domU либо на уровне Xen/dom0 заставить кэшировать запись на диск более агрессивным способом. О возможной потере данных осведомлен. -- WBR, Bogdan B. Rudas
Re: Сколь долго проживет MySQL н а SSD Intel X25-M ?
2010/6/10 Denis Feklushkin denis.feklush...@gmail.com: On Thu, 10 Jun 2010 18:35:50 +0300 Bogdan bog...@gmail.com wrote: Добрый день. Есть идея поставить БД на пару сабжевых дисков, чем мотивирована идея? алтернатива - пара простых десктопных SATA-дисков. Характерн нагрузки - веб, на формирование одной страницы порядка 100 легких SELECT'ов + 2-3 операции модификации данных (INSERT либо UPDATE) по индексированой таблице. С селектами проблем нет, БД полностью помещается в ОЗУ, индексы особо не мешают. Есть вопросы по INSERT'ам, боюсь, что при росте нагрузки БД начнет нагибаться именно в этом месте. Про существование innodb_flush_log_at_trx_commit знаю. Нагрузку на приложеньице хотелось увеличить на порядок как минимум, так что боюсь уперется именно в случайную запись на диск. В связи с этим - вопрос: насколько надежно будет хранить БД на софтовом RAID1 из пары сабжевых SSD, и не протрется ли SSH до дыр от такого использования? Размер SSD будет на порядок больше размера БД. на порядок? такую БД можно держать в RAM :) БД и так меньше InnoDB pool size, и при её увеличении памяти просто добавят - это решает в определенном смысле проблему ввода-вывода на выборках. Но вот вставку в БД хотелось бы всё-таки производить на некое энергонезависимое устройство, по возможности - с элементами ACID и с минимальными блокировками выборок. -- WBR, Bogdan B. Rudas
debian way для смены плнировщика i/o
Есть ли какая альтернатива у echo deadline /sys/block/sda/queue/scheduler в виде конфига где-нибудь в etc, по подобию sysctl.conf -- WBR, Bogdan B. Rudas
Re: вебадмин для xen
Добрый день! Не нашлось ли за прошедшее время какого-нибудь способа делегировать юзеру возможность перезагрузки xen domU ? 2009/9/1 Stanislav Vlasov stanislav@gmail.com Господа! Что вы можете посоветовать в качестве вебадмина для xen? Из требований - посмотреть кто чего сколько сожрал, запустить/остановить/перезагрузить domU, смигрировать на соседний сервер, запустить явовскую vnc-консоль. Создавать domU буду другими средствами. Навороченная авторизация не требуется, тут не хостинг. -- Stanislav -- WBR, Bogdan B. Rudas
hostname, domain, fqdn в Debian
Где необходимо прописывать короткое имя хоста (например mybox) Где необходимо прописывать имя DNS-домена при его смене (например, mydomain) ? Надо ли где-то прописывать fqdn (mybox.mydomain) ? -- WBR, Bogdan B. Rudas
Пределы масштабирования OpenVP N.
Добрый день. А сколько параллельных сессий может поддерживать сабж, и какое железо необходимо для 1000 и 5000 юзеров? Если такое количество сессий вообще возможно... -- WBR, Bogdan B. Rudas
Re: Как избавиться от поддерж ки ipv6, не перекомпиллируя ядро?
прописать alias net-pf-10 off в /etc/modprobe.d/aliases 2009/10/20 James Brown jbrownfi...@gmail.com Система - Lenny AMD64. Пытаюсь отключить ipv6, результат: ~$ sudo rmmod ipv6 ERROR: Module ipv6 is in use Пробую то же самое в однопользовательском режиме, однако в нем модуль ipv6 вообще не обнаруживается и система посылает меня подальше, типа нет его. Как отключить пресловутый ipv6 на ядреном уровне, не перекомпиллируя ядро? -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org -- WBR, Bogdan B. Rudas
Re: Google Chrome доступен для Debian Len ny
On Fri, Oct 16, 2009 at 11:38 AM, DamirX damir.haki...@gmail.com wrote: Hi, All! см Subject Если это вопрос - то ДА! Если утверждение - то ГДЕ? -- DamirX -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org -- WBR, Bogdan B. Rudas
Интерпертация показаний IPMI e vent log
Сервер в ДЦ самопроизвольно выключился: Показания ipmitool sel elist 1a | 09/27/2009 | 10:30:40 | Power Unit Sys pwr monitor | Power off/down | Asserted 1b | 09/27/2009 | 10:30:45 | Voltage PwrPlanar Fault | State Asserted С первой строчкой - понятно, а вот что означает вторая? Гугл пока не помог её интерпретировать никак. -- WBR, Bogdan B. Rudas
Псевдосправедливая раздача траффика с интерфейса.
Добрый день. Есть маршрутизатор и офис за ним. Хочется решить вечную проблему разделения полосы пропускания. Траффик приходит от провайдера и помечается: iptables -t mangle -A PREROUTING -i eth0 -j MARK --set-mark 30 Затем для локальных ресурсов провайдера, скорость к которым не ограничена метка изменяется: for subnet in `/etc/peering-networks` do iptables -t mangle -A PREROUTING -s $subnet -j MARK --set-mark 15 iptables -t mangle -A PREROUTING -d $subnet -j MARK --set-mark 15 done Помогите пожалуйста составить правила для шейпера, которые бы разделяли траффик псевдосправедливым образом между пользователями локаной сети на основе их IP-адреса (без учета портов, соединений и т.п.) Интерфейсы на маршрутизаторе: eth0 - провайдер eth1 - сеть с серверами eth2 - сеть с юзерами Пока нарисовалось нечто для HTB + SFQ tc qdisc del dev eth2 root tc qdisc add dev eth2 root handle 1 htb default 50 r2q 10 tc class add dev eth2 parent 1: classid 1:2 htb rate 100Mbit tc class add dev eth2 parent 1:2 classid 1:20 htb rate 200Kbit ceil 4Mbit prio 10 #Гарантированя полоса для ssh tc qdisc add dev eth2 parent 1:20 handle 20 sfq perturb 10 tc filter add dev eth2 parent 1:0 protocol ip prio 100 u32 match ip sport 22 0x classid 1:20 tc class add dev eth2 parent 1:2 classid 1:30 htb rate 3800Kbit ceil 4Mbit prio 30 #Канал во внешний мир tc qdisc add dev eth2 parent 1:30 handle 30 sfq perturb 10 tc filter add dev eth2 parent 1:0 protocol ip prio 200 handle 30 fw classid 1:30 tc class add dev eth2 parent 1:2 classid 1:40 htb rate 80Mbit ceil 100Mbit prio 40 # Доступ к провайдерским сайтам tc qdisc add dev eth2 parent 1:40 handle 40 sfq perturb 10 tc filter add dev eth2 parent 1:0 protocol ip prio 200 handle 15 fw classid 1:40 tc class add dev eth2 parent 1:2 classid 1:50 htb rate 85Mbit ceil 100Mbit prio 50 # Все остальное tc qdisc add dev eth2 parent 1:50 handle 50 sfq perturb 10 SFQ к сожалению работает не так как надо - хэш вычисляется по адресам источника и отправителя + портам, что позволяет получить преимущество пользователям многопоточных качалок. Esfq - внея дистрибутивного ядра, да видимо для новых ядер патча и не будет. -- WBR, Bogdan B. Rudas
Перегрузка сервера на ровно м месте.
Debuan lenny, Xen dom0
top - 11:30:50 up 4 days, 1:20, 1 user, load average: 17.46, 17.87, 17.78
Tasks: 219 total, 8 running, 211 sleeping, 0 stopped, 0 zombie
Cpu(s): 0.0%us, 33.7%sy, 0.0%ni, 63.1%id, 0.2%wa, 0.0%hi, 0.0%si,
2.9%st
Mem: 8651776k total, 3770216k used, 4881560k free,98680k buffers
Swap:0k total,0k used,0k free, 2927264k cached
PID USER PR NI VIRT RES SHR S %CPU %MEMTIME+
COMMAND
13087 root 20 0 19884 1152 976 R 104 0.0 374:35.60
hald-addon-stor
13089 root 20 0 19884 1140 968 R 96 0.0 315:18.37
hald-addon-stor
13093 root 20 0 19884 1144 968 R 92 0.0 313:04.19
hald-addon-stor
18300 root 20 0 3840 688 572 R 85 0.0 1:50.15
ifconfig
В dmesg:
[348954.928225] hdb: drive not ready for command
[348959.992790] hdb: status timeout: status=0xd0 { Busy }
Весь кольцевой буффер забит таким.
Что это и откуда ?
И почему (визуально) при отсуствующем iowait, user,sys и т.п. нагрузках -
такой LA ?
vmatst :
# vmstat 5
procs ---memory-- ---swap-- -io -system--
cpu
r b swpd free buff cache si sobibo in cs us sy id
wa
16 1 0 4868324 103408 292702400 124 14224 1 2
96 0
27 0 0 4868300 103448 292702000 438 522 7190 1136 0 35
61 2
24 0 0 4868432 103464 29270280030 193 2497 1159 0 15
84 0
10 1 0 4868208 103488 29270280054 530 2185 742 0 19
78 0
6 0 0 4867812 103508 29270400055 338 4023 162 0 21
79 0
13 2 0 4867176 103576 29270560080 353 4311 2163 0 16
82 0
36 0 0 4858528 103872 292949200 726 913 4967 1164 0 27
69 1
28 0 0 4858652 103900 29294920057 113 2269 1162 0 28
70 0
18 0 0 4858248 103912 292938800 254 4304 2637 1270 0 30
66 0
10 1 0 4865108 103944 29293880082 7827 7403 1950 0 33
64 0
8 0 0 4865108 103964 292938800 170 2927 2518 1147 0 14
85 0
7 1 0 4865240 103980 29293840074 513 2446 965 0 17
81 0
Вывод xm dmesg выглядит примерно так:
(XEN) mm.c:645:d14 Non-privileged (14) attempt to map I/O space 00f0
(XEN) mm.c:645:d2 Non-privileged (2) attempt to map I/O space 00f0
(XEN) mm.c:645:d11 Non-privileged (11) attempt to map I/O space 00f0
(XEN) mm.c:645:d3 Non-privileged (3) attempt to map I/O space 00f0
(XEN) mm.c:645:d4 Non-privileged (4) attempt to map I/O space 00f0
(XEN) mm.c:645:d13 Non-privileged (13) attempt to map I/O space 00f0
(XEN) mm.c:645:d5 Non-privileged (5) attempt to map I/O space 00f0
(XEN) mm.c:645:d9 Non-privileged (9) attempt to map I/O space 00f0
(XEN) mm.c:645:d12 Non-privileged (12) attempt to map I/O space 00f0
(XEN) mm.c:645:d16 Non-privileged (16) attempt to map I/O space 00f0
--
WBR, Bogdan B. Rudas
Re: i386 и 4Гб памяти
2009/9/14 Иван Лох l...@1917.com On Mon, Sep 14, 2009 at 02:06:36PM +0400, Dmitri Samsonov wrote: Если планируется использовать 4Гб памяти, то достаточно ли будет просто ядро -bigmem для i386 поставить (в нём CONFIG_HIGHMEM64G=y)? Есть ли тут какие косяки? Просто 64-битная архитектура не нужна, а 4Гб может понадобиться. Да, но каждый процесс не сможет использовать больше ~3Гб памяти. Можно поставить 64-разрядное ядро и 32-разрядную систему Более того, в x86-порту есть собранное amd64 ядро.
Кирилица в svnnotify
Добрый день. Как заставить svnnotify рассылать нотификации о коммитах таким образом, чтобы кирилица в заголовке приходила в читаемом виде? пока приходит примерно вот так: Subject: [PUPPET] [1936] ITSM-756 ?\208?\162?\208?\181?\209?\129?\209?\130 ?\208? \186?\208?\184?\209?\128?\208?\184?\208?\187?\208?\187?\208?\184?\209?\135? \208?\181?\209?\129?\208?\186?\208?\190?\208?\179?\208?\190 ?\208?\186?\208 ?\190?\208?\188?\208?\188?\208?\181?\208?\189?\209?\130?\208?\176?\209?\128 ?\208?\184?\209?\143 Content-Type: text/plain; charset=UTF-8 Content-Transfer-Encoding: 8bit В Jira комментарии видны нормально, т.е. кодировка доезжает до репозитария корректно. -- WBR, Bogdan B. Rudas
Re: Принудительаня перезагру зка etch
Мне кажется, что init, reboot и shutdown используют один и тот же механизм, в конце которого ядро должно добровольно выполнить синк дисков и перезагрузку. Синк со сломаной файловой системой и паникующим драйвером скорее всего будте работать долго, если не вечно. Хочется принципиально более другой способо жесткого рестарта. 2009/9/1 Andrey N. Prokofiev a...@eth0.spb.ru Bogdan пишет: Добрый день. На днях случилась небольшая паника драйвера reiserfs по поводу (вероятно) аппаратной проблемы. После этого, сервер продолжал нормально работать, все файловые системы кроме поврежденной были доступны (в т.ц. иные reiserfs), но вот ни shutdown -rf ни -rn не отработали, пришлось серверу делать ресет. Вопрос: чем можно инициировать перезагрузку ОС в таком случае? -- WBR, Bogdan B. Rudas эм...init 0 :) -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org -- WBR, Bogdan B. Rudas
IBM Blade Center HS22 + System Storage DS3200 Dual Controller vs. Debian Lenny
Hello! Насколько прозрачно будет работать такая связка с lenny ? Работает ли из коробки multipath ? Требуется ли какая-то конфигурация со стороны ОС, либо там будет просто /dev/sdc очередной? -- WBR, Bogdan B. Rudas
Re: Nginx создает гигабайт време нных файлов.
2009/7/31 Alexey Pechnikov pechni...@mobigroup.ru: Hello! А при чем тут nginx?.. Клиент отправляет http форму, nginx ее сохраняет во временный файл и передает на обработку бэкенду. Бэкенд должен с этим что-то делать, спрашивайте со своего apache+php. nginx удаляет временные файлы не закрывая их и занимаемое место не освобождается. -- WBR, Bogdan B. Rudas
Nginx создает гигабайт временн ых файлов.
Добрый день! Есть сервер на lenny - nginx + apache + mysql + php. Nginx создает несколько гигабайт временных файлов и удаляет их не закрывая, выглядит это вот так: nginx 9577www-data 13u REG8,2 385671168 106521 /var/lib/nginx/proxy/0/00/00 (deleted) nginx 9577www-data 14u REG8,2 487882752 106528 /var/lib/nginx/proxy/7/00/07 (deleted) nginx 9577www-data 26u REG8,2 501620736 106522 /var/lib/nginx/proxy/1/00/01 (deleted) nginx 9577www-data 27u REG8,2 521641984 106523 /var/lib/nginx/proxy/2/00/02 (deleted) nginx 9577www-data 42u REG8,2 494551040 106524 /var/lib/nginx/proxy/3/00/03 (deleted) nginx 9577www-data 43u REG8,2 468021248 106525 /var/lib/nginx/proxy/4/00/04 (deleted) nginx 9577www-data 44u REG8,2 155770880 106526 /var/lib/nginx/proxy/5/00/05 (deleted) nginx 9577www-data 55u REG8,2 473858048 106527 /var/lib/nginx/proxy/6/00/06 (deleted) nginx 9577www-data 64u REG8,2 499318784 106570 /var/lib/nginx/proxy/9/00/09 (deleted) nginx 9577www-data 77u REG8,2 474382336 106573 /var/lib/nginx/proxy/0/01/10 (deleted) Продолжается это до окончания места на файловой системе. Конфиг вот тут: http://pastebin.ca/1513811 Система полностью обновлена. -- WBR, Bogdan B. Rudas -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Выбор RAID-контроллера LSI/Adaptec
На выбор есть: Adaptec 3805 или 5805 Неизвестные LSI SROMBSAS18E и SROMBSASMP2 Интересует номрально работа Etch и Lenny. У кого есть практический опыт работы вышеприведеным железками - как оно вам понравилось? -- WBR, Bogdan B. Rudas
Проблема производительност и аппаратного RAID-контрллера Adaptec (IBM ServeRAID 8k)
: ST9146802SS Firmware : B529 Serial number : 3NM83TTT World-wide name: 5000C5000F153A44 Size : 140013 MB Write Cache: Disabled (write-through) FRU: 42D0422 PFA: No -- WBR, Bogdan B. Rudas -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Re: Повышение интерактивност и. что почитать на тему.
1) Отказ от DE превратит вашу секретаршу в тыкву. 2) Ставите драйвера Nvidia (legacy этот чип кажется еще поддерживают) 3) Ставится KDE, после чего проводится тотальная зачистка - отключение перделок, выбор темы полегче (определяется визуально), отключаются особои рабочего стола, анимация, всякие намеки на прорачность, не нужные компоненты типа kdewallet и т.п. В Konqueror можно включить preload - будет заметно шустрее запускаться. 4) Поищите на помойке еще памяти. 5) У меня была пишмашинка с 2xPIII-800 и 256Mb, упиралось все в недостаток памяти понятно дело. 6) KDE был выбран сугубо ради простоты декомпозиции - удобнее отрывать перделки было - ну и preload браузера системы эксплорер был тоже плюсом. Сам на нормальной системе использую гном. 7) В качестве барузера по умолчанию Konqueror подходит. Косяки могут быть, но без косяков будет в лучшем случае в FF, а в худшем случае - в IE. Ждем-с хром. 2009/4/28 Murat D. Kadirov bander...@gmail.com: 15:49 Tue 28 Apr, Artem Chuprina wrote: Boris Popov - debian-russian@lists.debian.org @ Tue, 28 Apr 2009 15:42:43 +0400: BP Как это может быть лучше ТЕХ, если по сути им является? BP визуальный текстовый редактор BP LyX - это визуальный редактор, позволяющий создавать файлы LaTeX. В том-то и дело, что по сути он им не является. Кстати, поэтому я полагаю, что он хуже, чем TeX. Я что-то не правильно понимаю, разве это не просто морда к TeX+LaTeX? Вы выше отрицательно высказались относительно этого Lyx'a, работали? Ему действительно присуще генерировать неадекватный код? -- Murat D. Kadirov -- WBR, Bogdan B. Rudas
Миграция шейпера с ESFQ на SFQ flo w has keys dst
Добрый день. В более-менее последних ядрах появилась альтернатива ESFQ в виде внешнего классификатора для SFQ, что позволяет организовать псевдосправедливую (per-host) раздачу трафика на основе стандартного ядра без сторонних патчей и т.п. Вот кусочек шейпера с ESFQ: /opt/sbin/tc qdisc del dev eth2 root /opt/sbin/tc qdisc add dev eth2 root handle 1 htb default 50 r2q 10 /opt/sbin/tc class add dev eth2 parent 1: classid 1:2 htb rate 100Mbit # Это кусочек полосы для ssh /opt/sbin/tc class add dev eth2 parent 1:2 classid 1:20 htb rate 200Kbit ceil 100Mbit prio 10 /opt/sbin/tc qdisc add dev eth2 parent 1:20 handle 20 esfq perturb 10 hash dst /opt/sbin/tc filter add dev eth2 parent 1:0 protocol ip prio 100 u32 match ip sport 22 0x classid 1:20 ~skip~ #А это дефолтный класс /opt/sbin/tc class add dev eth2 parent 1:2 classid 1:50 htb rate 85Mbit ceil 100Mbit prio 50 /opt/sbin/tc qdisc add dev eth2 parent 1:50 handle 50 esfq perturb 10 hash dst Вот аналог придуманный мною для SFQ/flow: [code] /sbin/tc qdisc del dev eth2 root /sbin/tc qdisc add dev eth2 root handle 1 htb default 50 r2q 10 /sbin/tc class add dev eth2 parent 1: classid 1:2 htb rate 100Mbit /sbin/tc class add dev eth2 parent 1:2 classid 1:20 htb rate 200Kbit ceil 100Mbit prio 10 /sbin/tc qdisc add dev eth2 parent 1:20 handle 20 sfq /sbin/tc filter add dev eth2 parent 1:0 protocol ip prio 100 u32 match ip sport 22 0x classid 1:20 /sbin/tc filter add dev eth2 parent 20: protocol ip handle 20 flow hash keys nfct-dst divisor 1024 ~skip~ /sbin/tc class add dev eth2 parent 1:2 classid 1:50 htb rate 85Mbit ceil 100Mbit prio 50 /sbin/tc qdisc add dev eth2 parent 1:50 handle 50: sfq /sbin/tc filter add dev eth2 parent 50: protocol ip handle 50 flow hash keys nfct-dst divisor 1024 [/code] Синтаксис верный, но - не работает. Через какое-то время пакеты теряются до полной непроходимости. Документации по flow я не обнаружил и слабо понимаю как действует фильтр на дисциплину... -- WBR, Bogdan B. Rudas
Re: русская локаль в Гном е
Lazarev A.A. пишет: Здравствуйте, debian-russian. Проблема - сижу на старом (начало года), Sarge. Соответственно Гном - 2.2. Так вот, при автостарте Х-ов, локаль у него -С, хотя система локализована и руссифицирована. А при старте Х-ов из консоли (startx) - русская появляется. Все конфиги перекопал, ничего не понял. Что еще надо сконфигурировать? Ну так в GDM можно выбрать язык
Подтвердите баг
Имеем: SUN Ultra V, ставлю на него сегодняшими инсталлером sarge (други не хотят нормально работать вообще). Выбираю язык - русский - установка проходи отлично. После перезагрузки система ругается на отсутсвие keymaps, после чего клавиатура ессно работает чере одно место. Игрища с кнопкой рус/лат ни к чему ни превели. Если кто-то еще с этим столкнулся - скажите мне, я намерен комитить баг.
Re: как поймать окончание копирование файла
Чцв, 2004-09-30 у 11:32, Михалюк Вадим В. піша: Здравствуйте, всемогущий Олл. как в линуксе узнать закончился заливаться файл уже или нет файл заливается через самбу или фтп (или еще через чтонить) скрипт проверяет каталог через 5 минут находит файл и надо проверить закончилась заливка файла или нет lsof / fuser на этот файл - есть ли заливающий процес... signature.asc Description: Гэтая частка паведамлень паведамленьня падпісана электроным подпісам
Re: Как заставить прогу выполняться в определённо определённой локали?
Суб, 2004-09-25 у 15:34, Petrov Dmithriy піша: Конкретно - мне позарез надо запустить XMMS в 1251. Ну не менять же из-за этого рабочую локаль? LANG=be_BY.CP1251 xmms signature.asc Description: Гэтая частка паведамлень паведамленьня падпісана электроным подпісам
Re: ide_scsi
Суб, 2004-09-25 у 17:47, Grigory Fateyev піша: Здравствуйте! Есть привод TOSHIBA ODD-DVD SD-R1512 и запись в modules.conf probeall scsi_hostadapter ide-scsi options ide-scsi units=/dev/hdc в grub прописано: kernel /vmlinuz-2.4.25-1-386 root=/dev/hda5 ro hdc=ide-scsi Привод должен читаться как /dev/scd0, но этого нет. Что попроавить? И второй вопрос, как в grub обновить изменения в menu.list? Я точно не помню, но либо sr0 это симлинк на scd0 либо наоборот. signature.asc Description: Гэтая частка паведамлень паведамленьня падпісана электроным подпісам
premptible kernel vs. SMP
Hi all. Имею десктопную машинку на PIII-600. Использую на ней vanilla 2.4.27 + основную часть lck. Из юзерспейсного - KDE 3.2 + OO (с машиной работает девушка) В ядре включен premptible kernel + variable hz (500). На днях поставил туда второй процессор и добавил памяти до 512, в связи с чем возникли вопросы: 1) Premptible как я понимаю больше уже не нужен? 2) Xfree наверное тоже стоит снять с nice -10 ? Где это делается? signature.asc Description: Гэтая частка паведамлень паведамленьня падпісана электроным подпісам
