Re[2]: Только статическая арп таблица.
Good Day, Evgeny! Tuesday, January 20, 2004, 8:27:55 AM, you wrote: А как заставить линух не использовать динамический arp. А отвечать только тем, кто прописан статически? EY man ethers EY а можно и через iptables EY --mac-source А можно man ifconfig Будьте проще. :) -- Igor
Re[4]: Только статическая арп таблица.
A А вместо man ifconfig, чтобы понять, что ключ -arp отключает нафиг полность A арп, сказать ifconfig -arp :) -arp не выключает нафиг полностью arp -arp выключает самостоятельное обновление arp таблицы на интерфейсе. Этого достаточно, чтобы машина стала общаться через этот интерфейс только с теми, кого ты ей указал. A Повторю задачу, необходимо отвечать только тем, кто СТАТИЧЕСКИ прописан в A таблице, также ОТВЕЧАТЬ на arp запросы. А чем мешает отвечать на arp запросы и всем остальным? Какая конечная цель? -- Igor
libpam-ldap openldap
А есть ли живые люди, у которых radius (или кто нибудь подобный) ходит через libpam-ldap на openldap сервер за авторизацией? По идее pam-ldap должен анонимно (или нет - как настроить) запрашивать на ldap сервере введенную пользователем запись, а затем пытаться подключиться к нему с помощью полученного ответа и введенного пользователем пароля. libapache-auth-ldap именно так и делает. А pam-ldap присылает запрос, получает ответ (т.е. нужный пользователь находится) и замолкает. При этом /etc/pam.d/radius имеет вид: authrequiredpam_ldap.so account requiredpam_ldap.so Средств отладки у pam_ldap никаких, ключа debug он не знает. Поиск на bugs.debian.org натолкнул вот на такое упоминание: http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=202466 Может кто уже наступал на это? -- Igor
Re[2]: dselect загружал данные от debian.org но через другую щарманку
IS Только нафига он тебе нужен, этот dselect? DEO в точку DEO за два года юзанья Дебиана - ни разу так и не поглядел шо це таке DEO когда-то когда первый раз устанавливал Деб егойный инсталлер спросил DEO запустить dselect ? и я доолго думал как из него выйти... IS (задумчиво) Солженицына не читал, но осуждаю ... AC Ну вот я за дебианом существенно больше двух лет, и застал времена, когда AC кроме dselect ничего не было. apt был воспринят как манна небесная, настолько AC dselect ублюдочен. Он всего лишь идет вразрез с твоими привычками. Не более. Я уже года три пользуюсь и тем, и другим. И рвотных порывов не наблюдаю. Был бы ублюдочен, не входил бы в дистрибутив. -- Igor
Re[2]: ядра
kernel-source - это исходный код ядра. конфиг идет вместе с бинарным кодом ядра и несет в себе информацию о том, что именно собрали из этих исходников. т.к. из исходников собрать можно все что угодно, конфигу там делать нечего. DEO я полагал, что если пакет называется DEO kernel-source-2.4.20-3-686-smp DEO то он должен содержать конфиг ядра kernel-image-2.4.20-3-686-smp DEO а вот пакет DEO kernel-source-2.4.20 - нет DEO но что-то не пойму почему не так. DEO в первом случае тип процессора _входит_ в название пакета, а где может DEO хранится тип процессора в исходниках ядра, кроме как в конфиге? DEO если бы типа процессора в названии пакета не было DEO а были бы просто разные source-bla-bla-[1-N] то тут можно было бы понять DEO что это ядра отличаются лишь патчами да багфиксами Название пакета возникает в момент его сборки с помощью make-kpkg. В этом случае создаются четыре пакета - headers, image, doc, source. Сборщик ядра может решить отразить имя платформы в названии пакета явно, но make-kpkg не станет из-за этого раскладывать файлы по пакетам иначе. -- Igor
Re[2]: ядра
я полагал, что если пакет называется kernel-source-2.4.20-3-686-smp то он должен содержать конфиг ядра kernel-image-2.4.20-3-686-smp WK если тебе конфиг нужен, ставь kernel-headers а не kernel-source WK а лучше вообше самому конфиг сделать, даже если методом научного тыка: WK # make menuconfig если не секрет, то зачем? конфиг кладут вместе с ядром, чтобы можно было посмотреть как собрано ядро, либо пересобрать ядро с нужными опциями, но при этом и с минимальными отличиями от дистрибутивного. -- Igor
ядра
DEO ап том и речь идет, что название пакета выбирается неверно DEO когда я смотрю в репозитарий и вижу там пакеты DEO kernel-source-2.x.x DEO и DEO kernel-source-2.x.x-[3456]86-* DEO то это ставит в тупик, когда оказывается что последний пакет DEO не то, что на нем написано... DEO может make-kpkg надо подправить на тему, чтобы оно к пакету source, DEO который создает суффикс не добавляло? Не надо. Если заглянуть в самое начало Makefile для ядра, можно увидеть к примеру вот такие строчки: VERSION = 2 PATCHLEVEL = 4 SUBLEVEL = 18 EXTRAVERSION = -igor-custom KERNELRELEASE=$(VERSION).$(PATCHLEVEL).$(SUBLEVEL)$(EXTRAVERSION) Смутивший тебя суффикс - поле EXTRAVERSION. Почему из названия пакета последнее поле должно выкидываться? -- Igor
Re[2]: ядра
Если заглянуть в самое начало Makefile для ядра, можно увидеть к примеру вот такие строчки: VERSION = 2 PATCHLEVEL = 4 SUBLEVEL = 18 EXTRAVERSION = -igor-custom KERNELRELEASE=$(VERSION).$(PATCHLEVEL).$(SUBLEVEL)$(EXTRAVERSION) Смутивший тебя суффикс - поле EXTRAVERSION. Почему из названия пакета последнее поле должно выкидываться? DEO потому что по названию легко ошибиться Во первых, это вопрос к тем, кто собирает ядра для дистрибутива. А не к make-kpkg. Во вторых - я не вижу особенных противоречий. Берем с kernel.org ядро, берем набор патчей, в том числе и специфичных для i386 и не идущих на других платформах. Собираем комплект ядро/заголовки/исходники/документация. Почему пакет с исходниками не должен иметь индекса -386? DEO хорошо будет, если в пакете скажем с названием icewm будет windowmaker? DEO нет, я понимаю - весело а что, в kernel-source лежит ядро от другой операционной системы? ;) DEO соответсвенно, если DEO source-2.4.18-686 == source-2.4.18-386 == ... DEO то должен быть один пакет а не 10 DEO а сейчас они отличаются лишь суффиксами хм. а кто именно отличается суфиксами, кстати? [shaper, igor][~]# apt-cache search kernel-source kernel-source-2.2.22 - Linux kernel source for version 2.2.22 kernel-source-2.4.10 - Linux kernel source for version 2.4.10 kernel-source-2.4.14 - Linux kernel source for version 2.4.14 kernel-source-2.4.16 - Linux kernel source for version 2.4.16 kernel-source-2.4.17-hppa - Linux kernel source for version 2.4.17 on HPPA kernel-source-2.4.17-ia64 - Linux kernel source for version 2.4.17 on IA-64 kernel-source-2.4.18-hppa - Linux kernel source for version 2.4.18 on HPPA freeswan - IPSEC utilities for FreeSWan kernel-source-2.2.20 - Linux kernel source for version 2.2.20 kernel-source-2.4.17 - Linux kernel source for version 2.4.17 kernel-source-2.4.18 - Linux kernel source for version 2.4.18 -- Igor
Re[2]: dselect загружал данные от debian.org но через другую щарманку
Только нафига он тебе нужен, этот dselect? DEO в точку DEO за два года юзанья Дебиана - ни разу так и не поглядел шо це таке DEO когда-то когда первый раз устанавливал Деб егойный инсталлер спросил DEO запустить dselect ? и я доолго думал как из него выйти... (задумчиво) Солженицына не читал, но осуждаю ... -- Igor
Re[2]: сдетела геометрия диска :-(
DAE да, все правильно, так всегда было. На ура проходит переразбивка диска DAE который не используется. DAE Что бы ядро перечитало таблицу разделов нужно освободить /, по горячему DAE можно только если использовать pivot_root(8), но это сильно геморно, DAE лучше перезагрузиться, хотя это не сильно радостно... DAE Вот такие вот они IDE... А что, scsi лучше? [ns, root][/etc/mail]# fdisk /dev/sdc Command (m for help): p Disk /dev/sdc: 133 heads, 62 sectors, 1016 cylinders Units = cylinders of 8246 * 512 bytes Device BootStart EndBlocks Id System /dev/sdc1 1 125515344 83 Linux /dev/sdc2 126 1016 3673593 83 Linux Command (m for help): d Partition number (1-4): 2 Command (m for help): w The partition table has been altered! Calling ioctl() to re-read partition table. WARNING: Re-reading the partition table failed with error 16: Device or resource busy. The kernel still uses the old table. The new table will be used at the next reboot. Syncing disks. [ns, root][/etc/mail]# -- Igor
Re: ядра
Good Day, Dmitry! Friday, September 26, 2003, 9:10:52 AM, you wrote: DEO решил немного поиграться с ядрами DEO вроде-бы с помощью make-kpkg процесс сборки и установки DEO ядра вв Дебиане получается достаточно тривиальным. DEO но есть несколько вопросов. DEO 1. можно ли как-нибудь получить конфиг дебиановского ядра DEO не устанавливая его? можно. чтобы добраться до содержимого любого пакета, вовсе не обязательно его ставить. достаточно просто распаковать пакет. DEO то есть когда мы ставим например kernel-image-бла-бла DEO то с этим пакетом идет конфиг, с которым ядро собиралось DEO а вот поставив пакет kernel-source-бла-бла я такого конфига DEO не нашел :( kernel-source - это исходный код ядра. конфиг идет вместе с бинарным кодом ядра и несет в себе информацию о том, что именно собрали из этих исходников. т.к. из исходников собрать можно все что угодно, конфигу там делать нечего. DEO 2. как зависит ядро от окружения. DEO ситуация такая: дома у меня машинка не быстрая и одна сборка DEO ядра занимает несколько часов, поэтому ядро собираю законнектившись DEO на машинку на работе. но дома стоит woody, а на работе - sid. DEO то есть что надо учесть при сборке ядра, чтобы его можно было DEO поставить в woody, если оно собирается в sid? less /usr/src/linux/Documentation/Changes DEO 3. патчи DEO как отличаются kernel-source.бла-бла.tar.bz2 от аналогичного DEO архива взятого с kernel.org? где можно почитать на эту тему чего DEO нибудь? less /usr/src/linux/README.Debian DEO можно ли использовать make-kpkg на ядрах с kernel.org? можно. только зачем? -- Igor
subscribe
V Sorry за спам. Я просто пытался разобратся, почему не V получается подписатся ни на web-форме ни послав письмо V subscribe. Проблемма оказалась в том, что debian V почему-то на mail.ru считается спамом. На просьбу убрать V его от туда mail.ru попросил официального письма с V debian.org, чего естественно не будет. Так что придется V мне искать другой ящик mail.ru вообще последнее время на голову стукнутые. Гонят тонны спама через себя наружу и при этом фильтруют все, что только попадается под руку. yandex.ru, как тут уже говорили, этим не страдает и имеет вполне вменяемых и доступных администраторов. VDM yandex страдает примерно так же. VDM кроме того, здесь присутствует человек, VDM имеющий возможность править блэклисты mail.ru так пусть поправит их, не дожидаясь официального письма с debian.org. и проблема снимится сама собой. -- Igor
subscribe
V Sorry за спам. Я просто пытался разобратся, почему не V получается подписатся ни на web-форме ни послав письмо V subscribe. Проблемма оказалась в том, что debian V почему-то на mail.ru считается спамом. На просьбу убрать V его от туда mail.ru попросил официального письма с V debian.org, чего естественно не будет. Так что придется V мне искать другой ящик mail.ru вообще последнее время на голову стукнутые. Гонят тонны спама через себя наружу и при этом фильтруют все, что только попадается под руку. yandex.ru, как тут уже говорили, этим не страдает и имеет вполне вменяемых и доступных администраторов. -- Igor
Вопрос про переход на LDAP
А можно ли перенести пароли? Конкретнее: можно ли, зная захэшированные через crypt() пароли в /etc/shadow, занести в LDAP нечто, чтобы pam_ldap позволял пользователям входить (как на сервере, так и на других машинах, берущих через pam_ldap информацию с сервера)? VV Ну ессно! Ты что думаешь правильно пароли в LDAP в Plain Text'е VV держать? Кстати, в текущем стабильном Debian openldap собран с ключем --without-tls, т.е. без поддержки ssl. Любопытно, в testing позиция разработчика не поменялась? -- Igor
Re[2]: Вопрос про переход на LDAP
AN Кстати, в текущем стабильном Debian openldap собран с ключем --without-tls, т.е. без поддержки ssl. Любопытно, в testing позиция разработчика не поменялась? AN libldap2-tls - OpenLDAP libraries (with TLS support). - вот его нужно AN ставить. в stable нет такого (а судя по debian.org и в остальных тоже), да и slapd тоже должен быть собран с TLS. кстати, а libapache-auth-ldap никто с поддержкой ssl не собирал? использовать для авторизации в апаче plain text не здорово, а все поиски в интернете отправляют на developers.netscape.org за соответствующим SDK. Вдруг кто-то все же это проделал ... -- Igor
После загрузки init...
VBW Одно большое но - откуда мы знаем, что второй компьютер в этот момент VBW тоже не перегружается. Перезагрузка компьютера обычно происходит по двум VBW причинам VBW 1) смена ядра или каких-нибудь железок. В этом случае как правило, VBW оператор присутсвует, и нет необходимости писать лог загрузки. VBW 2) сбои в электропитании. А вот в этой ситуации все компьютеры в VBW серверной перезагрузятся одновременно. не перезагрузятся, если в серверной будет больше одного UPS. -- Igor
Re: Идеология, млин :)
AK В идеологии debian всё, конечно, хорошо - в стабильности естественно AK ничего плохого нет, но возникает вопрос, как быть, если в дистре AK софтина ну совсем уже старинная, а на сайте этой софтины нету AK deb'а с новой версией. Что в таких случаях лучше делать? AK - пока что я ставлю новое в /usr/local и удаляю старый пакет - AK но тогда все зависимости ломаются и как-то некузяво получается. AK Как народ с этим справляется? 1. Смотрит на наличие более новой версии в testing/unstable. Если она есть там, то либо .deb берется прямо оттуда, либо оттуда вынимаются исходники и ко. и собирается .deb под свою систему. 2. Собирает полностью свой собственный .deb, которым и пользуются до тех пор, пока дистрибутивная версия не дорастет до необходимой. Либо дольше, если дистрибутивная версия по прежнему не устраивает. -- Igor
BIND 8 or 9 ?
Good Day, Ilya! Friday, July 18, 2003, 7:54:40 AM, you wrote: посоветуйте - какой BIND ставить - 8.3 или 9.2.1 ? есть ли _важные_ плюсы у 9-й версии, и стоит ли апгрейдить? (сейчас стоит 8.3) debian 3.0_r1 IP Если в текущей версии 8.3 есть незаткнутые уязвимости, то стоит. В текущей версии, идущей в составе debian 3.0_r1 - нет. Прописная истина гласит: работает -- не трожь! :) IP Вообще-то авторы этой истины - администраторы M$ Вымени, для которых IP каждое обновление - смертельный риск, грозящий обвалами и прочими IP непредсказуемыми глюками. Бред сивой кобылы. Или попытка раздуть флейм. -- Igor
BIND 8 or 9 ?
Good Day, Alexandr! Friday, July 18, 2003, 10:18:35 AM, you wrote: посоветуйте - какой BIND ставить - 8.3 или 9.2.1 ? есть ли _важные_ плюсы у 9-й версии, и стоит ли апгрейдить? (сейчас стоит 8.3) debian 3.0_r1 KAS Прописная истина гласит: работает -- не трожь! :) AD Каменные топоры тоже работали Каменные топоры работали менее эффективно, чем железные. Что станет работать лучше, либо какие функции станут выполняться проще в случае предложенной замены? -- Igor
поддержка raid
Хм. А правильно ли я понимаю, что как rescue диски от Debian 3.0 на серверах с software raid не годятся? Ядро 2.4 присутствует на дисках 1 и 5. Поддержка software raid там отсутствует. На первом и втором диске в ядре 2.2 поддержка raid также отсутствует. Но может я все же просмотрел такой диск? Грустно это, в Debian 2.2 с этим было все нормально. -- Igor
Re[2]: Открытые исходники (Было: Использовани е обфускаторов)
Ты действительно веришь в то, что пришедший человек будет способен взять исходный код продукта масштаба MS Office, найти там ошибку, исправить ее и все это за несколько минут? Это где же программисты такого уровня работают мальчиками по вызову? VVЗачем утрировать? Я всего лишь приложил предложенный вариант к окружающему миру. VV Пусть мальчик по вызову установит причину - баг в программе, VV а правки могут внести и программисты в конторе. Целью мальчика по вызову является не установление причин, а решение проблем. Если он не может на месте исправить ошибку, ему придется искать, как ее обойти. После того, как он нашел способ ее обойти, устранение ошибки переходит в разряд академических. А у программистов в конторе обычно есть и другие занятия. VV Я ведь не про то, кто конкретно будет исправлять баг - а про VV то, что его можно исправить имея в наличии исходники. И кучу свободного времени. -- Igor
Открытые исходники (Было: Использование обфус каторов)
Это называется специализацией, которая является неотъемлемой частью современной индустрии -- каждый занимается своей узко направленной деятельностью. Насколько хорошо это или плохо -- вопрос другой, но это является реалией современного мира... :) VV Я согласен, что домохозяйка не должна быть программистом. Но VV вот вызовет она техподдержку, а пришедший человек увидит, что VV это баг в MS Office. И как он его будет устранять без наличия VV исходных текстов? Ты действительно веришь в то, что пришедший человек будет способен взять исходный код продукта масштаба MS Office, найти там ошибку, исправить ее и все это за несколько минут? Это где же программисты такого уровня работают мальчиками по вызову? -- Igor
Re: software raid
Насколько хорошо в линуксе реализован программный raid1 ? Работа с уже созданным массивом - более или менее нормально. Инсталяция - отвратительно. Собственно, тут отсутствует возможность инсталяции системы на подобный массив. Хотя потом при помощи бубна и одной матери перенести туда систему можно. Возможно ли при этом грузиться как с главного винта так и с зеркального ? Да, возможно. Есть смысл связываться ? Х.З. Я связался. На проинсталлированных системах результатом вполне доволен. Но в случае новой системы мысль упростить себе жизнь периодически всплывает. К сожалению, до простоты реализации в NT тут еще далеко. -- Igor
дыра в sendmail
Любопытно, я просто что-то проспал, или последнюю дырку в sendmail в Debian никто закрывать не собирается? В списке обнаруженных уязвимостей на www.debian.org тишина. -- Igor
Re: IPTABLES
Good day, Turganov! Saturday, March 1, 2003, 9:24:39 AM, you wrote: TN как разрешить мне доступ в IPTABLES двум ip адрессам из разных сеток? $iptables -A INPUT -s первый.адрес/255.255.255.255 -d 192.168.149.244 -p udp --dport 3050 -j ACCEPT $iptables -A INPUT -s второй.адрес/255.255.255.255 -d 192.168.149.244 -p udp --dport 3050 -j ACCEPT $iptables -A INPUT -d 192.168.149.244 -j REJECT --reject-with icmp-port-unreachable TN я зделал так TN $iptables -t filter -A INPUT -p udp -s ! 192.168.149.0/24 -d TN 192.168.149.244 --dport 3050 -J REJECT TN все работает конет есть, но когда я добавляю сроку с другой сеткой она не пашет в TN чем может быть дело? Ты перепутал разрешительные строки с запретительными. Если ты зарезал пакет уже первым правилом, второму правилу обрабатывать и пропускать нечего. -- Igor
Re: в сети snifer
Good Day, Evgeny! Tuesday, February 4, 2003, 8:49:43 AM, you wrote: E как можно узнать есть ли в локальной сети интерфейс в неразбочивом режиме? E появилось подозрение что один человек слушает трафик но поймать не удается http://www.linuxfocus.org/Russian/January2003/article274.shtml -- Igor
Re[2]: Неужели нет никакой управы на этого сп амера?
Good day, Харичев! Friday, January 31, 2003, 8:15:20 PM, you wrote: ХА Дело в том, что НЕ МОЙ адрес подписан на конфу ХА (админы постарались чтобы эта почта шла ко мне), Значит, либо разбирайся с админами, либо сходи на www.debian.org и отпишись. ХА а я могу отправлять письма ТОЛЬКО от [EMAIL PROTECTED] - ХА другими словами я просто мечтаю чтобы меня отписали, ХА потому что мне - большому любителю виндовса не очень ХА с руки читать дебиановский лист :) Аналогично, остальные могут завернуть твою почту как спам в тот же Spamcop. А потом ты будешь объясняться со своими админами, почему через newmx.gorod.ru почта больше не ходит. Или все вместе с Демосом, которому принадлежит ваша сеть. ХА Однако всеже стоит сходить на http://www.grammy.ru ;) Вот вот. Именно за это. Следующее аналогичное письмо уйдет именно туда. -- Igor
Re[2]: running expect from cron
Good Day, Roman! Thursday, January 23, 2003, 3:46:59 PM, you wrote: RS Видимо у тебя нет захода на CCO :) Иначе, с таким мироощущением, ты RS перестал бы пользоваться продукцией Cisco вообще :) И ты, кстати, RS сделал неверные выводы из того, где оно висит и почему так несколько RS групп перечислено. Первое следует из того, что баг относится к фиче, Какой именно баг? A full record of relevant Bug IDs will be provided in a later version of this security advisory. Там вообще нет полного списка всех допущенных ляпов. Причем прошел уже год. И там же: In most cases, workarounds are available that may mitigate the impact. В большинстве случаев ... Т.е. что закрыли, а что нет - неизвестно. RS включенной по дефолту, так что становятся affected всевозможные люди, RS не умеющие защищать свою managenent network и вообще настраивающие RS купленное оборудование через quick setup и не получающие field RS nitice's, которых из-за этого надо тыкнуть в дыру носом везде, где RS только можно. Второе же вытакает из всё-таки модульной (до некоторой RS степени) структуры IOS и такой беды, как code reusing. Из всего этого вытекает гораздо более простой вывод. Если в snmp нет прямой необходимости, лучше его не включать. С этого и начали. Это, кстати, абсолютно справедливо и для линуксов. Чем меньше сервисов крутится на сервере, тем выше его отказоустойчивость. И чем больше на нем висит, тем легче его сломать. Мне казалось, это известные вещи ... IS И? У 805 Serial умеет максимум 512 Кбит. RS Ну хорошо, если надо больше - тогда 1721+соответствующие WIC-и. 17ХХ именно 16ХХ на смену и пришла ... Впрочем, вот это уже действительно совершенно не в тему. -- Igor
Re[4]: running expect from cron
Good Day, Roman! Wednesday, January 22, 2003, 4:28:17 PM, you wrote: EE Извините, чем же telnet секьюрнее snmp? Я понимаю, шла бы речь о ssh. EE Telnet очень неудобен тем, что приходится хранить пароль в явном виде на диске EE (а при выполнении он в явном виде считывается в ПАМЯТЬ). IS rsh RS И всё же, чем не секьюрен snmp-то ? Отключай public community, RS настраивай acl на доступ к snmp - и вперед. http://www.cisco.com/warp/public/707/cisco-malformed-snmp-msgs-pub.shtml EE По поводу snmp - а статистику иначе каким образом снимать? По rsh? IS Именно. snmp ощутимо просаживает процессор. вот, для примера, не IS сильно нагруженное животное, откуда статистика снимается именно так: IS Cisco1601-4#sh proc cpu IS CPU utilization for five seconds: 61%/13%; one minute: 37%; five minutes: 36% IS PID Runtime(ms) Invoked uSecs5Sec 1Min 5Min TTY Process IS 38 836900 1339305624 45.44% 9.98% 4.73% 0 IP SNMP IS С ростом загрузки все становится гораздо плачевнее. RS SNMP на кошках - низкоприоритетная задача. В том, что раз в 5 минут RS (или чаще - не суть) она просаживает процессор нет ничего страшного, RS свитчить кошка хуже не начинает. Скрипты за съемом статистики начинают выстраиваться в очередь, т.к. данные с маршрутизатора просто не успевают выгружаться в базу. Опять же, пусть оно лучше потратит свои ресурсы на нечто полезное. RS А по сабжу твоей проблемы вообще - рекомендую обратить внимание на пакет RS rancid. Очень удобный собиратель конфигов, показывает сразу диффы при RS изменении и т.п. Это не моя проблема, вообще то. ;-) -- Igor
Re[6]: running expect from cron
Good day, Roman! Wednesday, January 22, 2003, 6:13:31 PM, you wrote: RS И всё же, чем не секьюрен snmp-то ? Отключай public community, RS настраивай acl на доступ к snmp - и вперед. IS http://www.cisco.com/warp/public/707/cisco-malformed-snmp-msgs-pub.shtml RS Да-да, бага почти годичной давности,разве кто-то ещё оставил у себя RS софт, где она не поправлена? Если да - то здесь мне сказать нечего. Этого не достаточно для того, чтобы задуматься о том, всегда ли стоит открывать snmp на железке? Тогда действительно no comments. IS Скрипты за съемом статистики начинают выстраиваться в очередь, т.к. IS данные с маршрутизатора просто не успевают выгружаться в базу. RS Чем же это у вас так загружен маршрутизатор ?? Ты не поверишь - данные передает. :-) RS Если у него не хватает ресурсов даже на то, чтобы ответить на запрос RS нескольких конкретных значений snmp-дерева - ip accounting, это не несколько конкретных значений. это таблица. RS то значит у вас работает неправильная модель и явно пора либо что-то RS апгрейдить, либо подправлять в консерватории. естественно. о том и речь, что перед тем, как задуматься о смене 1601 на 26ХХ, я вначале перейду от snmp к rsh. а вот когда и этот запас будет исчерпан, можно говорить о замене железа. -- Igor
running expect from cron
Good day, Roman! Wednesday, January 22, 2003, 9:01:38 PM, you wrote: RS И всё же, чем не секьюрен snmp-то ? Отключай public community, RS настраивай acl на доступ к snmp - и вперед. IS http://www.cisco.com/warp/public/707/cisco-malformed-snmp-msgs-pub.shtml RS Да-да, бага почти годичной давности,разве кто-то ещё оставил у себя RS софт, где она не поправлена? Если да - то здесь мне сказать нечего. IS Этого не достаточно для того, чтобы задуматься о том, всегда ли стоит IS открывать snmp на железке? Тогда действительно no comments. RS Сообщение об исправленном баге? Multiple Cisco products contain vulnerabilities in the processing of Simple Network Management Protocol (SNMP) messages. The vulnerabilities can be repeatedly exploited to produce a denial of service. In most cases, workarounds are available that may mitigate the impact. These vulnerabilities are identified by various groups as VU#617947, VU#107186, OUSPG #0100, CAN-2002-0012, and CAN-2002-0013. Если по русски - мы тут в нашем оборудовании нашли туеву хучу ошибок. Дырявой оказалась почти вся линейка с IOS. И ошибок там столько, что пришлось разбить их на группы. Что нашли - заткнули. А рассказ об этом повесили на самом видном месте, прямо на странице с IOS'ами. Кто хочет - пусть думает. RS Конечно нет. Как знаешь. RS Может ты вспомнишь, как колбасило разработчиков SSH летом и перестанешь RS им пользоваться? В ssh ошибки такими пачками не сыпались. IS естественно. о том и речь, что перед тем, как задуматься о смене 1601 на IS 26ХХ, я вначале перейду от snmp к rsh. а вот когда и этот запас будет IS исчерпан, можно говорить о замене железа. RS Кроме серии 26хх существуют также и более начального уровня RS маршрутизаторы. Например - 80х. И? У 805 Serial умеет максимум 512 Кбит. -- Igor
Re[2]: running expect from cron
Good day, Daniel! Wednesday, January 22, 2003, 10:18:38 PM, you wrote: Этого не достаточно для того, чтобы задуматься о том, всегда ли стоит открывать snmp на железке? Тогда действительно no comments. DG Ну, зубов бояться ... DG Что, теперь, если в каком-то сервисе дырка, то и использовать его не DG будем даже после ее исправления? Разумеется, нет. Просто это ответ на Отключай public community, настраивай acl на доступ к snmp - и вперед.. Как всегда, тут есть две крайности. Одна - отказаться от snmp везде и всюду. Другая - делать все только по snmp. Первое - параноя. А против второй как раз говорит эта ссылка. И вообще, чего пристали? ;-) Фраза про открывать snmp была не моя. Я лишь дал ссылку, чем может быть чревато открытие. Кому все равно, пусть открывают. Можно даже без acl и с public/private паролями. ;-) DG А задумываться, оно, того, всегда полезно :) О чем и речь. -- Igor
Re[2]: SysRq
Good Day, Alexander! Tuesday, January 21, 2003, 9:15:53 AM, you wrote: IS Решил включить SysRq на стандартном Debian ядре, однако: IS AK SysRq ключается посредством CONFIG_MAGIC_SYSRQ при конфигурации ядра. IS IS Я в курсе. Но в идущем с Debian ядре оно выключено. Вот меня и AK И слава Богу. Обоснуй. Если ядро претендует на универсальность, логичнее было бы включить ее в ядре и отключить через sysctl. Чем отключать вообще. IS интересовало, может есть у кого мысли - почему. AK Почитай Documentation/sysrq.txt и догадаешься. Зачем писать в рассылку, если нет желания сказать что либо осмысленное? -- Igor
Re[2]: SysRq
Good Day, Wartan! Tuesday, January 21, 2003, 12:44:59 PM, you wrote: И слава Богу. ну и чем же тебе SysRq не нравится? WH a) Необоснованным увеличением размера ядра WH b) Включением опции, которая нафиг не нужна 85% пользователям, ставящим WH Debian, и при этом в некоторых случаях может тащить за собой проблемы WH (см. нижеотквоченный баг). WH Желающие пересобирают свое ядро. а и b - это обычные аргументы в пользу сборки своего ядра. Дистрибутивное ядро до сих пор претендовало на большую или меньшую универсальность. Ну? Кому оно мешает? Кто работает с комбинацией Strg-SysRQ-буква? WH Если ядро собирается без этой опции, значит, кто-то работает. У WH Герберта, как правило, есть весомые оправдания тому, что он делает. Oh, please, what about a reality check? How many users bind some function to the Alt-SysRq-Letter combination? And how many suffer from system crashes, beeing forced to reset without synching, risking to lose the data? Is this really what you want? Yes. Весомое оправдание. -- Igor
Re[2]: running expect from cron
Good day, Elena! Tuesday, January 21, 2003, 7:17:33 PM, you wrote: % snmpset 172.16.99.20 private .1.3.6.1.4.1.9.2.1.55.171.68.191.135 s router-config enterprises.9.2.1.55.171.68.191.135 = router-config Этот вариант я отбросил из-за необходимости наличия tftp сервера, да и к тому же включать SNMP на цисках не секьюрно. EE Извините, чем же telnet секьюрнее snmp? Я понимаю, шла бы речь о ssh. EE Telnet очень неудобен тем, что приходится хранить пароль в явном виде на диске EE (а при выполнении он в явном виде считывается в ПАМЯТЬ). rsh EE Наличие tftpd очень удобно как дополнительная возможность загрузки (не EE обязательно кошек). У передачи конфигураций по snmp есть один минус. Она не поддерживается (точнее, поддерживается, но сильно через одно место и в не полном виде) на коммутаторах. EE По поводу snmp - а статистику иначе каким образом снимать? По rsh? Именно. snmp ощутимо просаживает процессор. вот, для примера, не сильно нагруженное животное, откуда статистика снимается именно так: Cisco1601-4#sh proc cpu CPU utilization for five seconds: 61%/13%; one minute: 37%; five minutes: 36% PID Runtime(ms) Invoked uSecs5Sec 1Min 5Min TTY Process 38 836900 1339305624 45.44% 9.98% 4.73% 0 IP SNMP С ростом загрузки все становится гораздо плачевнее. EE Впрочем, последние 3 параграфа это мое частное мнение, именно мне так удобнее. А разве тут бывают не частные мнения? ;-) -- Igor
Re[2]: SysRq
Good day, Alexander! Monday, January 20, 2003, 11:22:38 PM, you wrote: IS Решил включить SysRq на стандартном Debian ядре, однако: AK SysRq ключается посредством CONFIG_MAGIC_SYSRQ при конфигурации ядра. Я в курсе. Но в идущем с Debian ядре оно выключено. Вот меня и интересовало, может есть у кого мысли - почему. AK Какое _точно_ имеет к этому отношение kernel.sysrq мне неизвестно, AK кажется, если оно 0 то sysrq не работает даже если ядро собрано с его AK поддержкой. Именно так. -- Igor
Re: Использование Linux
Good Day! Эээ, а можно обосновать? можно, вспомни про SP от Microsoft после которых система уходит в синий экран при загрузке и это лечиться переустановкой системы. Одним из неплохих правил для администратора на мой взгляд является отсутствие привычки ставить на боевую технику только что вышедшее програмное обеспечение без крайней на то необходимости. Хотя с тем, что поднять линуксовую систему в случае возникновения подобных проблем не в пример проще, я спорить не буду. Это разумеется ощутимый плюс. Но не всегда решающий. опять же написать apt-get update; apt-get upgrade явно проще, чем сидеть и качать апдейты с Microsoft, а потом их устанавливать и перезапускать сервер. W2K с SP3 сейчас сама ходит на MS, сама качает апдейты и сама их устанавливает, попутно просто сообщая, что именно она там делает. И это вполне настраеваемо (у нас вот режим на эту технологию показал большой кулак и соответствующий сервис везде откручен нафиг). борьба с вирусами не год назад, постоянно, ты походу не считаешь время затраченное на обновление антивирусника Обновляется на сервере, автоматически, пользователи всасывают базу автоматом. Все гадости так же отображаются на сервере. ну да :) а юзеры так любят отключать свои антивири, а дальше как в сказке. Мои почему то не любят. А если бы и любили - клиентская часть корпоративного антивируса подобных безобразий не позволяет. и его побочный эффект в поедании ресурсов машины. Касперский процентов 10-20 отъедает на PII-PIII, замечено на юзерских машинках, есть конечно другие антивири, но этот яркий пример ресурсоемкости. Не знаю, никогда терпеть не мог Касперского за безобразную разработку своего ПО. Если рабочая машина не является чем то вроде Pentium-100 c 16 Mb ОЗУ и поставленной туда Windows NT, клиентский Norton Antivirus на ней не заметен. Опять же, чем больше Линукс будет приближаться к столам пользователей, тем больше его будет заботить та же самая проблема. Я бы по этому поводу особенно не обольщался. если тебе интересно ждать пока запуститься антивирус на виндах и прочая байда, которая живет в трее, только чтобы почитать почту - жди, мне ждать влом. Не интересно. И еще менее интересно терять пару десятков открытых в браузере страниц по какой либо теме, которой я занимался накануне и не дочитал до конца. Поэтому я по нескольку месяцев при выключении отправляю рабочий компьютер в Hibernate. На полную загрузку компьютера тратится в пределах 10 сек, после чего компьютер отличается от оставленного накануне разве что разорванными сетевыми соединениями. Впрочем, screen на серверах решает и эту проблему. :) недавно видел у одного юзера трей занятый больше чем наполовину :) там было пару антивирусников и еще куча всякого дерьма. каждый буратино сам себе враг ... :) Ориентироваться нужно на нормально настроенные машины. Вот Виктор периодически хвалится показать свой отстроенный ноутбук. И я ему верю. Но у меня нет такой доли энтузиазма, чтобы вложить в настройку среды столько сил. К тому же сказка настраивать Policies или что иное для ограничения прав пользователей, в то время как в линуксе это делать просто не надо. Ой, а что, sudo стало настраиваться самостоятельно? :-) Не есть факт. для меня время потраченое на траханье с виндой - время потраченное зря. хмм. а с линуксом? :) если это хобби, тогда разумеется все понятно, но в противном случае разве копаться в поисках того, что именно поломали в sendmailconfig (который сейчас работает лишь в том случае, если его скопировать в /root и пускать оттуда) гораздо интереснее? PS дальнейшее обсасывание данной темы лишено смысла - тема переросла во флейм Windows vs Linux.. Каждый использует то что ему нравиться, меня винда бесит и вызывает только поток матерных слов в свой адрес, не более того. Просто по моему уж если ругать что-то, то ругать лучше обосновано. А ссылки на безбожную глючность винды и безглючность линукса, мягко говоря, не совсем соответствуют действительности. Собственно, почему я и встрял в этот тред. -- Igor
Использование Linux
Good Day! К тому же сказка настраивать Policies или что иное для ограничения прав пользователей, в то время как в линуксе это делать просто не надо. Ой, а что, sudo стало настраиваться самостоятельно? :-) rsync-ом оно настраивается или rdist-ом. Полиси настраивается аналогично. Даже rsync не нужен - оно само с сервера расползается. Речь то не о том. для меня время потраченое на траханье с виндой - время потраченное зря. хмм. а с линуксом? :) если это хобби, тогда разумеется все понятно, но в противном случае разве копаться в поисках того, что именно поломали в sendmailconfig (который сейчас работает лишь в том случае, если его скопировать в /root и пускать оттуда) гораздо интереснее? Хм.. А у меня работает. Причем в нетривиальных конфигурациях. На том же ноутбуке, который почту по UUCP over IP через сотовый телефон гоняет. http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=146331archive=yes Впрочем, судя по всему, месяца полтора назад наконец поправили. -- Igor
Использование Linux
Good Day! Вот это все, конечно, замечательно, что ты говоришь. Не буду спорить на счет удобства системы в качестве рабочего места пользователя и ссылаться на Кернигана-Пайка etc. Возражение на все поскипанное приведу только одно: ПО, которое ты используешь по Windows --- закрытое, ПО для Linux --- свободное. В этом фундаментальная разница. Свободное ПО гораздо удобнее для квалифицированных пользователей. Я бы все таки скорее сказал, что для специалистов. Чтобы править исходники того же mutt, нужно быть весьма квалифицированным пользователем. :) Вот про карты ты вспомнил. Стоит у меня серия дисков с картами, каждый куплен в свое время за приличные $ (четырехзначные цифры). Формат карт закрытый, ПО для их обработки _не_ _работает_ на Windows 2000, даже не инсталлируется, да еще и с ключами проблемы. Поддержки никакой нет, в свое время у этого софта даже на Win98 были проблемы, приходилось вызывать одного из авторов. Все верно, но можно один вопрос? Зачем тащить этот софт на Win98 или Win 2000, если он работал на той же Win95? Работают у нас OS/2 Warp Connect и работают себе. В феврале ставил очередной экземпляр. Я не уверен, пойдет ли он на Мерлине или Авроре. Но они и не нужны там. _Никогда_ у меня не было сложностей с Линукс в этом плане. Я настолько привык в случае каких-либо трудностей сразу смотреть исходники, что меня просто раздражает, когда какая-либо программа приходит без них. И гораздо проще просто заказать оцифровку конкретной карты, чем связываться со всякими ``СуперГИС''. Возможно, это один из тех случаев, когда это решение логично. Не буду спорить, не сталкивался. :) Для подготовки различных схем я обычно использую MS Visio. Да, я не смотрел альтернатив, т.к. вялых отзывов в ru.linux вроде ну посмотри ХХХ, Надо просто сказать apt-get install dia и не забивать себе голову ru.linux. Ее и советуют. Но у меня сложилось впечатление, что замена эта более чем слабая (для той же Visio у меня есть в том числе набор объектов с www.cisco.com). работающие IDE CDRW в линуксовых машинах, но именно пользовательская писалка таскается между несколькими машинами. И тут нужен был именно USB. Подобные гадости можно перечислять еще долго. Некоторым борьба с подобными вещами приносит удовольствие. Я это время лучше потрачу на чтение более интересных вещей, которые в конечном итоге помогут решить мне те проблемы, которые за меня не может решить система. Это время ты потратишь на зарабатывание денег для того, чтобы окупить свои затраты на использование Windows и закрытого ПО. Так что в результате ты все равно ничего не выиграешь. Почему? Мне интереснее работать с технологиями, а не дергать за разные ручки, стараясь завести непонятный агрегат методом шаманского стука. Иначе по моему в институт вообще можно было бы и не ходить ... Можно заточить рабочее место и под линукс. Но, к сожалению, я не слышал пока о подобных удачных решениях в крупных организациях. Частности, где это можно А тебе не все равно, что они там делают в разных ``организациях''? Тебе же ведь со своим рабочим местом работать приходится... Так ведь работа такая, что приходится думать не только о своем рабочем столе. Я бы с удовольствием протолкнул и у нас пошли бы на внедрение свободных систем (их и так потихоньку внедряют, но лишь на серверах и как терминалы к W2K TS), но не вижу я пока пути для этого ... -- Igor
Re: Использование Linux
Good Day! ПО, которое ты используешь по Windows --- закрытое, ПО для Linux --- свободное. В этом фундаментальная разница. Свободное ПО гораздо удобнее для квалифицированных пользователей. Я бы все таки скорее сказал, что для специалистов. Чтобы править исходники того же mutt, нужно быть весьма квалифицированным пользователем. :) Естественно, в каждую утилиту влезать не будешь (просто времени не хватит), однако, к счастью, большинстьво разработчиков с которыми мне приходилось сталкиваться весьма доброжелательно реагируют на просьбы об улучшениях и исправлениях ошибок. И исполняют их. Что есть существенное отличие от случая закрытого софта. Хм. А какое в этом случае имеет значение открытость/закрытость исходного кода? Открытый исходный код хорош лишь тем, что в него можно влезть самому и поправить то, что автору править лень. Попросить же добавить нечто за тебя можно в любом случае. Впрочем, достаточно часто открытый код выглядит настолько ужастно, что бывает проще написать самому все с нуля. Посмотрев не так давно на сборщик статистики с шейпера, живущий на www.docum.org, у меня волосы встали дыбом. О том, что он безбожно глючит, я также молчу. Два экрана простого кода на перле и про эту поделку я забыл как про страшный сон. Да и нет необходимости все подряд править. Обычно не устраивают только те вещи, с которыми непосредственно работаешь. В этом нужно быть специалистом. Потому, что Win95 невозможно использовать на рабочих станциях, а данное ПО предназначено именно для персонального использования на WS. ОС от Microsoft стало возможным применять только начиная с Windows 2000. Я уже не говорю о качестве упомянутого ПО. Были бы исходники --- я бы сам дописал туда недостающие мне функции и разработчикам бы просто так отдал. Да вот фиг. И так во всем. Значит, это просто очередной пример ситуации, когда в наличии было либо хреновое решение, либо никакого. Хорошо бы конечно, чтобы оно было открытое и бесплатное, но нет такого. У меня нет других слов кроме нецензурных на программное обеспечение, разрабатываемое Cisco Systems. Не IOS'ы (это отдельная песня), а именно обычный софт для управления. Система, легально купленная в 99 году за пятизначную сумму в $ мало того, что заметно глючит, так еще и end of sale и end of support. И новое оборудование вроде Cisco Catalyst 2950 или 3550 там уже не поддерживается. И не будет. Хреново? Хреново. А что делать? Альтернативы все равно нет (CWSI, если кому интересно, что именно). А еще есть HP OV NNM 6.1, которая стоила раза в три дороже CWSI и которая очччень интересно рисует управляющую сеть для свитчей. Никак не дойдут руки посмотреть 6.2, говорят там с этим лучше. Возможно, это один из тех случаев, когда это решение логично. Не буду спорить, не сталкивался. :) Такие случаи на каждом шагу. Мне не нравится куча приложений и поделать с этим я ничего не могу, в то время как открытый софт по мере сил пытаюсь подгонять под свои требования. Я слабо представляю себе человека, который будет подгонять под себя исходный код Oracle. Или что нибудь править в ядре. В ru.linux с месяц назад был очередной тред на эту тему, искать как всегда по Алексу Корчмарю. ;-) Это время ты потратишь на зарабатывание денег для того, чтобы окупить свои затраты на использование Windows и закрытого ПО. Так что в результате ты все равно ничего не выиграешь. Почему? Мне интереснее работать с технологиями, а не дергать за разные ручки, стараясь завести непонятный агрегат методом шаманского стука. Так это как раз для закрытых систем справедливо. Если бы я хотел заниматься именно этим, я бы после института пошел работать по специальности. И не ковырял бы чужой код, а занимался разработкой своего. В данном случае я стараюсь по возможности взять наименее проблемный инструмент и попытаться решать с его помощью возникающие задачи, а не заниматься отладкой этого инструмента. -- Igor
Re: Использование Linux
Хм. А какое в этом случае имеет значение открытость/закрытость исходного кода? Открытый исходный код хорош лишь тем, что в него можно влезть самому и поправить то, что автору править лень. Попросить же добавить нечто за тебя можно в любом случае. Ты пробовал просить разработчиков из, скажем, Adobe добавить что-нибудь в их Photoshop? Ну ... Я несколько лет сам вел закрытый проект примерно с сотней пользователей под dos/win32/os2. И его закрытость не мешала добавлять мне то, о чем меня просили. Плохо стало тогда, когда мне это надоело. С другой стороны, ты не пробовал просить Линуса и ко добавить что нибудь в ядро? Или хотя бы сравнить, что раздают на kernel.org, а что идет в поставке Debian или RedHat? Так что все относительно. Стоит также заметить, что апгрейд на каждую новую версию того же Photoshop будет стоить заметный процент от стоимости самой программы. Не спорю. Я руками и ногами за бесплатный Photoshop. :-) Да и нет необходимости все подряд править. Обычно не устраивают только те вещи, с которыми непосредственно работаешь. В этом нужно быть специалистом. В чем-то специалистом обязательно надо быть. Ну вот фотошопы я писать не умею. Поэтому хотя мне и доступны исходники Gimp, править я их полезу вряд ли. :) открытое и бесплатное, но нет такого. У нецензурных на программное обеспечение, разрабатываемое Cisco Systems. Не IOS'ы (это отдельная песня), а именно обычный софт для управления. Система, легально купленная в 99 году за пятизначную сумму в $ мало того, что заметно глючит, так еще и end of sale и end of support. И новое оборудование вроде Cisco Catalyst 2950 или 3550 там уже не поддерживается. И не будет. Хреново? Хреново. А что делать? Альтернативы все равно нет (CWSI, если кому интересно, что именно). А еще есть HP OV NNM 6.1, которая стоила раза в три дороже CWSI и которая очччень интересно рисует управляющую сеть для свитчей. Никак не дойдут руки посмотреть 6.2, говорят там с этим лучше. Почему бы не попросить авторов исправить все это? :-) Потому что первым предложением будет обновить ПО. Впрочем, это немногим лучше полученного мной недавно ответа на багрепорт, что как лечить - хрен его знает, и что автор будет очень благодарен, если я все же найду решение. Я слабо представляю себе человека, который будет подгонять под себя исходный код Oracle. Или что нибудь править в ядре. В ru.linux с месяц Почему бы и нет? Потому что основная масса людей по моему вообще крайне смутно представляет себе, что именно там происходит. То есть поправить конечно можно, но вот результат ... Впрочем, Корчмарь ругается вполне понятно, архивы на гугле есть. :) Мне его позиция видится вполне логичной. В данном случае я стараюсь по возможности взять наименее проблемный инструмент и попытаться решать с его помощью возникающие задачи, а не заниматься отладкой этого инструмента. Повторю в очередной раз: все зависит от того, сколько ты готов платить. Ну ... Согласен. Но это уже совсем не тот вывод, с которого начался тред. :) Только в большинстве случаев качество решения мало зависит от объема финансовых вложений и очень много --- от объема вложенного труда. В открытые решения труд вкладывать просто, а в закрытые можно вкладывать только деньги. Бывает и так, и эдак. Тот же Communigate Pro - вполне себе пример обратной ситуации. -- Igor
Re: Использование Linux
Да она и не заметит разницы. Разницу заметит только админ которому а) придется ей один раз рабочее место настроитьь б) не придется каждый день винду на этом месте переставлять, потому чтоона там чего сломала в) не придется бороться с вирусами. Какое-то страшное представление у вас о виндах. Скорее, несколько странный способ самовыражения. Виктор с виндами знаком не по наслышке, но тем не менее в последний примерно год (или как наконец снес у себя Terminal Server?) мне на его высказывания смотреть все страньше и страньше (с) Алиса. Я администрируя маленькую виндовую сетку на несколько десятков компов последний раз переставлял винды пару месяцев назад (это явно не каждый день), а борьба с вирусами была почти год назад. Так что всё не такуж плохо как вы пишите. За последние два года свой рабочий компьютер я переставлял один раз. Когда менял компьютер на более новый. Мог бы и не переставлять, а обойтись клонированием старого, но было настроение повозиться ... Файловый сервер, держащий файлопомойку нескольких отделов, несколько сетевых принтеров, wins, корпоративный антивирус, RAS и PDC, был поставлен еще в 1999 году. Никаких намеков на то, что его нужно переставлять, нет. Почтовый сервер на базе MS Exchange с 98 года переставлялся 1 раз. Два года назад. Из-за того, что при первой инсталяции были неграмотно разбиты диски (чайники были вначале). Опять же, никаких намеков на то, что нужно там что-то переставлять. Один из сетевых экранов с 97 года вообще не переставлялся ни разу. Пережил за это время пару апгрейдов. И переставлять его пока необходимости нет. Можно и еще продолжать, благо сеть большая, но смысла я не вижу. Это не агитация за платформу Microsoft. Тут же рядом стоит BDC того же домена, который отдали молодежи на растерзание. Ему всего 6 месяцев, а глючит он уже безбожно. Но виноват в этом не он. А те, кто над ним измывались (но и учиться где-то нужно). За 4 года работы я сталкивался с разными системами. Тут есть и Microsoft, и Линуксы, и Solaris (нормальный, на спарках), и семейство HP-UX, и OS/2 пока еще себя не изжила. Вот нетвари нет разве что. И поддерживались эти системы совершенно по разному - начиная от промышленного писюка с OS/2, запертого в кунге в тайге на морозе в Архангельской области, который не трогали годами вообще и заканчивая HP серверами в Москве с HP-UX внутри и сопровождением от HP же (причем неплохим , заказчик не шибко мелкий). И более или менее все это ведет себя совершенно одинакого. Настроенная система, которую не крутят и не дергают за все подряд, может без сбоев работать годами. Чем более странного хочется получить от системы, тем неожиданней могут быть результаты ее работы. Чем больше подвешенно на систему, тем сложнее ей управлять и разрешать конфликты (относительно, конечно). Чем больше экспериментировали с системой, тем больше в ней накапливается грязи и с ней становится сложнее работать. Есть, разумеется, свои особенности, но вдаваться в их обсуждение и раздувать флейм в эту сторону я пожалуй не стану. Но все это написано с одной точки зрения. С точки зрения применения этих систем на серверах. А другая грань - десктоп пользователя. И в этом случае, если ты конечно не фанатик этого дела вроде того же Виктора, линукс как то не очень. Самой приятной системой для меня за все время была OS/2 Warp Connect. В 97 году мне понадобилось сделать отдельную машину для FidoNet. Я взял свой привычный софт из под WinNT, заменил на аналогичные версии под OS/2 (благо это не являлось проблемой - просто менялись бинарники), проинсталировал OS/2, поставил с того же диска пакет для русификации. Позвонил за почтой, посмотрел на хреновый коннект. Влез в один из конфигов и поправил по инструкции из FAQ настройку порта. Все. Больше я до осени 2001 года ничего в этой системе не трогал. OS/2 великолепно справилась со своей задачей и не заставила при этом копаться и разбираться в своих потрохах, тратя на это свое время. Кто-то любит линукс и живет под ним вполне неплохо. А на все, что не работает у него, отвечает просто давить кривой софт. Не спорю. Но мне вот почему то хочется, чтобы купив диск с картой Москвы, он под моей системой заработал. А на сегодняшний день ситуация пока такова, что win only софт подобного плана есть, а *nix only большей частью лежит в серверной области. Привезя из предыдущей командировки видео кассету с записями и полистав ru.linux, я понял что работать с ней я буду в Adobe Premiere. Т.к. целью этой работы была не возня с софтом, а нормальный фильм. Для подготовки различных схем я обычно использую MS Visio. Да, я не смотрел альтернатив, т.к. вялых отзывов в ru.linux вроде ну посмотри ХХХ, вдруг подойдет мне достаточно для того, чтобы сделать вывод, что ничего выдающегося там пока нет. Купив 1.5 года назад CDRW с usb интерфейсом я вполне естественно не смог пользоваться им под линуксом. У меня есть и вполне нормально работающие IDE CDRW в линуксовых машинах, но именно пользовательская писалка таскается между несколькими машинами. И тут нужен
Re: Использование Linux
Какое-то страшное представление у вас о виндах. Я администрируя маленькую виндовую сетку на несколько десятков компов последний раз переставлял винды пару месяцев назад (это явно не каждый день), а борьба с вирусами была почти год назад. Так что всё не такуж плохо как вы пишите. ты правильно сказал _маленькую_ - это даже микро :) а когда у тебя в сетке больше 100 компов и разбросаны они в комплексе зданий, да и еще когда простой компа приносит убытки, тогда ты начнешь задумываться, что винды - это дерьмо и от них надо избавляться, по крайней мере на серверах. Эээ, а можно обосновать? А то я имею честь наблюдать сеть одного издательства, которая построена исключительно на платформе W2K с примесью Macintosh, имеет сейчас размер порядка 300 машин, управляется одним человеком и при этом весьма активно растет. Про Macintosh, AppleTalk и оборудование для L3 от Allied Telesin я узнал много нового, но вот к продуктам MS никаких претензий нет. Что он делает не так? А то я передам. :) борьба с вирусами не год назад, постоянно, ты походу не считаешь время затраченное на обновление антивирусника Обновляется на сервере, автоматически, пользователи всасывают базу автоматом. Все гадости так же отображаются на сервере. и его побочный эффект в поедании ресурсов машины. Хм. Можно озвучить цифры, сколько экономят современные X-Window без антивируса по сравнению с W2K с антивирусом? Или старые по сравнению с NT 4.0? Сдается мне, это не аргумент. ты прикинь все вместе, посчитай время затраченное на это и ты поймешь сколько ты его потерял бездарно... Не есть факт. -- Igor
spam filter in debian-russian or report on test
Good day, mss! Sunday, November 24, 2002, 2:12:25 PM, you wrote: mmn Насколько мне известно, The Bat можно настроить так, чтобы он mmn использовал правльную кодировку для темы письма. Где-то в RFC написано, mmn как именно он должен кодировать заголовок, содержащий символы отличные mmn от US-ASCII. Таким образом, если все-таки немного напрячься и mmn _настроить_ клиента, то эти самые +3.8 уже больше не грозят. The Bat! использует правильную кодировку для темы письма. Проблема не в этом. mmn Какая разница куда? У них он просто правильно настроен и вместо темы, mmn полной неизвестных 8-ми битных символов они присылают тему mmn закодированную в соответствии со стандартом. mmn Сделай поиск сообщений с подстрокой USER_AGENT_THEBAT в Subject: mmn =?koi8-r?B?/tTPINDP08/XxdTVxdTFIMnaIHdpbmRvdyBtYW5hZ2VyJ8/XPw==?= mmn Кстати, вот пример хорошего заголовка. Большая разница. Я из любопытства примерно час назад отправил сюда письмо с вот таким сабжем: Subject: =?koi8-r?B?1MXT1CDOwSDT0MHNIMbJzNjU0tk=?= Не дошло. Вообще забавный софт обслуживает эти рассылки ... mmn Я не пользуюсь этой программой (мне хватает моего клиента). О! :-) -- Igor
bind9 trouble
Good Day, TARANTUL! Friday, November 22, 2002, 10:50:26 AM, you wrote: Кстати, кто бы сказал ... Почему bind8 и в potato, и в woody запускается от root'a? Я по старой привычке переучиваю его на своего пользователя. Странно думать что автор пакета не в курсе, а цель такого поведения в голову не приходит. T Нужно всего лишь прочесть документацию, идущую в пакете, где автор T популярно объясняет что и зачем он делает... Вот это? Running Non-Root: - Recent versions of named can be invoked with options that specify a non-root user and/or group for named. Read the named man page for more information. Note that if you run named as a user other than root, it will not be able to find new interfaces that appear dynamically, such as during a PCMCIA card insertion, or if you're running some flavors of IPSEC and/or IP over IP tunnels. If you can live with those limitations, feel free to edit the /etc/init.d/bind script to add appropriate options to the invocation of named. Because of the issues, I do *not* want to ship the Debian package running non-root by default... it would be very confusing to many users. Прочел ... Нда, обнаружение динамически втыкаемых карт конечно важнее безопасности, ничего не скажешь. -- Igor
bind9 trouble
Good Day, Victor! Friday, November 22, 2002, 11:56:29 AM, you wrote: VW On 2002.11.22 at 10:55:52 +0300, Igor Suvorov wrote: Running Non-Root: - Recent versions of named can be invoked with options that specify a non-root user and/or group for named. Read the named man page for more information. Note that if you run named as a user other than root, it will not be able to find new interfaces that appear dynamically, such as during a PCMCIA card insertion, or if you're running some flavors of IPSEC and/or IP over IP tunnels. If you can live with those limitations, feel free to edit the /etc/init.d/bind script to add appropriate options to the invocation of named. Because of the issues, I do *not* want to ship the Debian package running non-root by default... it would be very confusing to many users. Прочел ... Нда, обнаружение динамически втыкаемых карт конечно важнее безопасности, ничего не скажешь. -- VW Важнее. Пока ты это не поймешь, то настоящим сисадмином не станешь. Поясни, почему. Я пока просто вижу конфликт между удобством пользователя и безопасностью сервера. Почему сделан выбор в сторону пользователя, мне действительно не очень понятно. VW Особенно - удобство обеспечения безопасности другими методами (например VW тот же IPSec). Другими по сравнению с чем? ipsec не спасает от взлома сервера с открытым 53 портом, на котором висит дырявый bind. -- Igor
bind9 trouble
Good day, mss! Thursday, November 21, 2002, 7:43:48 PM, you wrote: mmn Проверь режим доступа к файлу. А также пользователя, под которым mmn запускается bind9. Если не ошибаюсь, автор пакета тут экспериментирует mmn с chroot-овостью... Кстати, кто бы сказал ... Почему bind8 и в potato, и в woody запускается от root'a? Я по старой привычке переучиваю его на своего пользователя. Странно думать что автор пакета не в курсе, а цель такого поведения в голову не приходит. -- Igor
bind9 trouble
Good day, Roman! Thursday, November 21, 2002, 8:29:32 PM, you wrote: IS Кстати, кто бы сказал ... Почему bind8 и в potato, и в woody IS запускается от root'a? Я по старой привычке переучиваю его на IS своего пользователя. Странно думать что автор пакета не в курсе, IS а цель такого поведения в голову не приходит. RS Возможно так делается, чтобы всё же по здравому размышлению RS пользователь мог перевестиего в chroot-а. Тогда по моему логичней было бы сразу настроить пакет соответствующим образом. А так получается куча серверов, где критичный (и в очередной раз поломанный) сервис смотрит во внешний мир от root'a. -- Igor
Re[2]: Unidentified subject!
Good Day, Victor! Monday, November 18, 2002, 11:48:50 AM, you wrote: VW Не использовать inetd можно. Но при этом ты потеряешь столько удобства VW и функциональности, что не факт, что тебе будет нужна сама система. Совершенно не факт. [shaper, igor][~]$ ps ax | grep inetd [shaper, igor][~]$ И мне сложно придумать, зачем он был бы нужен тут. По другим машинам лень ходить, но из десятка серверов inetd работает только на одном. -- Igor
inetd
Good Day, Nick! Monday, November 18, 2002, 12:41:48 PM, you wrote: NP А при использовании inetd теряем время на запуск экземпляра NP на часто используемых сервисах ))) Все редкоиспользуемые сервисы NP живут в свапе при недостатке памяти (чего сейчас практически не бывает:)) NP и я не уверен, что поднять их из свапа медленнее, чем запустить :) При использовании inetd кроме всего прочего все запускаемые через него сервисы становятся в прямую зависимость от работоспособности самого inetd. А если это еще скрестить с любовью линукса при нехватке памяти молча отстреливать процессы, то отстрел inetd может оказаться весьма ощутимым. -- Igor
inetd
Good day, Dmitry! Tuesday, November 19, 2002, 4:46:42 PM, you wrote: При использовании inetd кроме всего прочего все запускаемые через него сервисы становятся в прямую зависимость от работоспособности самого inetd. А если это еще скрестить с любовью линукса при нехватке памяти молча отстреливать процессы, то отстрел inetd может оказаться весьма ощутимым. DEO дык отстрел процессов - весчь управляемая DEO можно переключиться в режим, когда будет просто запрашивающему DEO память приложению сообщаться о нехватке памяти и все... А вот этого бы не хотелось. Т.к. в этом случае спятившее приложение обрушит вообще всю систему. DEO кстати если уж доходит до нехваток памяти, то тут inetd очень может DEO помочь ;) На современных системах? Ой ли ... -- Igor
inetd
Good day, Dmitry! Tuesday, November 19, 2002, 5:25:05 PM, you wrote: DEO кстати если уж доходит до нехваток памяти, то тут inetd очень может DEO помочь ;) На современных системах? Ой ли ... DEO давай определимся сперва: либо мы говорим о современных DEO системах, либо о системах с сильно ограниченным кол-вом DEO ресурсов (недостатками памияти итд) Причем тут либо? Есть задачи, потребляющие в своей работе сотни Мб ОЗУ и способные поставить в ступор вполне современные системы. Тот же биллинг у нас потребляет в процессе своей работы около 300 Мб. Боюсь, что inetd мне ощутимой памяти не добавит. -- Igor
Стабильность сервера
Good Day, Raul! Monday, October 7, 2002, 12:05:58 PM, you wrote: RU Здравствуйте. RU История такова. Переодически, раз в месяц (в пару недель) зависает шлюз-сервер. RU Да так, что не пингуется, консоль не просыпается, вообщем не подает никаких RU признаков жизни. В логах не остается никакой информации. RU Ядро 2.4.18, Pentium III, software RAID зеркалируемый, два винта 40 Гиг. RU Как найти что глючит? Отключить на консоли скринсейвер (man setterm). И посмотреть, что же все таки происходит. -- Igor
Re: размеры ...
Dear devi, Wednesday, October 2, 2002, 12:55:09 AM, you wrote: d доброго времени суток, господа ... d буду рад, если кто сможет прояснить ситуацию, d ибо я уже не знаю на что грешить ... d [EMAIL PROTECTED]:/$ mount | grep /dev/hda1 d /dev/hda1 on / type ext2 (rw,errors=remount-ro) d [EMAIL PROTECTED]:/$ mount | grep /mnt/hard d /dev/hda3 on /mnt/hard type vfat (rw,conv=binary,umask=022,showexec,codepage=866,iocharset=koi8-r) d ^ - выключено CRLF - NL d [EMAIL PROTECTED]:/$ ls -sk /mnt/hard/wc3.iso d 634800 /mnt/hard/wc3.iso man ls -s, --size print size of each file, in blocks d [EMAIL PROTECTED]:/$ cp /mnt/hard/wc3.iso /tmp ls -1sk /tmp | grep wc3.iso d 635424 wc3.iso d быть может дело в том, что /tmp на ext2, а /mnt/hard на vfat ? d приветствуются любые комментарии. скорее, дело в том, что на исходном и конечном разделе разный размер блока. -- Igor
ленточка
Good Day, Victor! Saturday, September 21, 2002, 12:30:17 PM, you wrote: Кстати, Виктор (и не только), поделитесь опытом - что вы чаще используете для бэкапа. backup/restore, или все же tar/gzip. VW dump/restore. А то к backup/restore накопился ворох претензий, а судя по спору приоритет все таки у backup. Почему? VW Он умеет две вещи, которые не умеет tar: VW 1. Интерактивный режим восстановления. Очень удобно когда нужно достать VW с ленты один конкретный файлик. С tar-ом эту проблему можно решить, VW запуская tar cvf /dev/tape и складывая куда-нибудь его выдачу. Но VW добиться того чтобы список файлов оказался на той же ленте, где и сами VW файлы, причем до них, нетривиально. VW 2. dump-у не нужен root при выполнении бэкапа. Поскольку он читает VW непосредственно с /dev/sd? -ему нужно только уметь читать с оного VW девайса. Это, конечно, тоже security hole, но все-таки если кто VW проломает юзера backup, он сможет только унести информацию, и не сможет VW ее изменить. Защита получается на один уровень более эшелонированной. А как при этом принято решать проблему резервирования разделов, доступных на запись? Если раздел перемонтирован в r/o, или сервер стоит без нагрузки, то все хорошо. Но раздел, на котором расположен к примеру какой нибудь лог с частотой записи хотя бы 1 раз в секунду способен бэкапится чуть ли не вечно (dump пытается угнаться за вносимыми изменениями). Да и данные после подобного резервирования потом иногда выходят битыми (причем не те, в которые шла запись, у меня так бились бинарники). Отдельный раздел? А если подобный сервис появился после разбивки диска? Получается, что для этого нужно остановить на сервере все сервисы и только потом уже начинать резервное копирование. Или все же есть иные решения, без перебоев в работе? -- Igor
Re[2]: ленточка
Good Day, Victor! Saturday, September 21, 2002, 6:12:27 PM, you wrote: А как при этом принято решать проблему резервирования разделов, доступных на запись? Если раздел перемонтирован в r/o, или сервер стоит без нагрузки, то все хорошо. VW У меня она очень возникала. Даже при перемонтировании раздела в r/o? Но раздел, на котором расположен к примеру какой нибудь лог с частотой записи хотя бы 1 раз в секунду способен бэкапится чуть ли не вечно (dump пытается угнаться за вносимыми изменениями). Да и данные после подобного резервирования потом иногда выходят битыми (причем не те, в которые шла запись, у меня так бились бинарники). Отдельный раздел? А если подобный сервис появился после разбивки диска? VW То класть его логи в то место, куда кладутся логи ранее существовавших VW серверов. Уж хотя бы /var/log/syslog у тебя и до этого был. И бекапить VW их только после ротирования. С этим нет проблем. С этим как раз tar и справляется. :-) Но сделать для этого раздела dump не получится, пока все желающие что либо писать в этот раздел не будут остановлены. Я было решил, что я что-то пропустил и все же метод есть. VW Поскольку чем бы не бэкапить быстро меняющиеся файлы, результат все VW равно будет не заслуживающим места на ленте. Так в том то и дело, что бэкапятся не файлы поштучно, а раздел целиком. Да, пожалуй стоит в будущем для подобных целей выделять свой раздел (чтобы все остальное свободно переводилось в r/o) и лишь его бэкапить таром, но эту шишку еще надо было набить. :-) -- Igor
ленточка
Good Day, Victor! Thursday, September 19, 2002, 8:33:43 PM, you wrote: А затем, что мы еще tar+gzip vs amanda не расхлебали тему... VW А мы ее и не начинали. Весь спор ведется между dump/restore в чистом VW виде и dump/restore c заковыристой настройкой в виде аманды. Кстати, Виктор (и не только), поделитесь опытом - что вы чаще используете для бэкапа. backup/restore, или все же tar/gzip. А то к backup/restore накопился ворох претензий, а судя по спору приоритет все таки у backup. Почему? -- Igor
Win Button
Dear Logvinov, Sunday, September 15, 2002, 2:27:44 PM, you wrote: YL Читать умеешь? Может сначала доки почитать? На гуугл сходить? Список YL рассылки архивный поковырять? LA Ты бы сразу URL Предложил, вот гуугл, например в толковом словаре я LA не нашел. Что это? www.google.com - в том числе поиск по архивам эхоконференций. в твоем случае - fido7.ru.linux, fido7.ru.unix www.yandex.ru, www.altavista.com, www.rambler.ru, www.aport.ru - поиск по www (сайты перечислены в порядке возрастания их кривости на мой взгляд). LA А насчет рассылки, там поиск есть? А посмотреть? YL Нахрена людей задалбывать идиотскими вопросами? или нравится быть YL клоуном по жизни? LA Знаешь, я подожду, когда у тебя возникнет вопрос, и отвечу на него LA твоей мессагой. Мне интересно посмотреть на твою реакцию. Шаблон я уже LA сохранил. Осталось подождать. От тебя _много_ вопросов. За один раз. Что наводит на мысль, что ты не пытаешься разобраться сам, а просто кидаешь вопрос сюда в надежде на то, что тут помогут. YL Hint: ты задаешь вопросы прямо или косвенно описанные в доках или YL которые потенциально, подобрав ключевые слова, можно найти на YL поисковике. Сюда стоит писать вопросы в последнюю очередь, и только YL после того как перечитано и перепробовано ВСЕ. YL Шо нэясно? LA Мне друзья дали почтовы адрес и сказали: будут вопросы - там тебе LA помогут. Видимо, друзьям было лениво помогать тебе самим. Вот они и сплавили тебя сюда. -- Igor
Re: Модем
Dear Пыжев, Sunday, September 15, 2002, 4:05:58 PM, you wrote: ПА Снова пишу, т.к. не получил желаемого ответа. Повторяю: ПА Заполучил внешний модем Acorp на COM. Стоит potato 2.2r6. Если можно ПА по шагам: как выйти в интернет(учетная запись и проч. данные имеются)? PPP HOWTO искать в /usr/doc/HOWTO/en-txt -- Igor
Драйверы
Dear Fedor, Friday, September 13, 2002, 12:58:15 PM, you wrote: ISО том и речь, что вспоминать про сборку ядра нужно ровно ISтогда, когда дистрибутивное ядро не устраивает по вполне ISконкретным параметрам. А не из-за того, что ядро под ISконкретную систему можно собрать гораздо лучше. FZ А откуда я узнаю, что дистрибутивное ядро меня не FZ устраивыает, если не попробую другое? Не знаю. Я узнаю в тот момент, когда не найду в нем нужных мне возможностей. FZ Вы, похоже, очень давно (или вообще никогда) не пересобирали FZ ядро линуха. [fobos, igor][~]$ uname -a Linux fobos 2.2.21-universal #1 Wed Aug 14 17:08:21 MSD 2002 i686 unknown [mail, igor][~]$ dpkg -I linux-kernel.2.2.21-1.deb new debian package, version 2.0. size 808098 bytes: control archive= 345 bytes. 198 bytes, 8 lines * control 20 bytes, 1 lines * postinst #!/bin/sh Package: kernel Version: 2.2.21-1 Section: base Priority: optional Architecture: i386 Installed-Size: 1212 Maintainer: Igor Suvorov [EMAIL PROTECTED] Description: linux kernel binary image Но я не вижу причин рекомендовать идти по этому пути другим без необходимости. FZ А посему а посему выводы skiped. Они будут гораздо интереснее тогда, когда будут подкреплены соответствующими примерами. -- Igor
Драйверы
Good Day, Jan! Thursday, September 12, 2002, 10:15:03 AM, you wrote: JS Ядро собрать с нужными опциями, под конкретную машину дороже, чем железо? Дороже. Потому что ядро собранное под конкретно вот эту машину перестанет удовлетворять пользователя ровно в тот момент, когда ему понадобится что нибудь еще (поддержка nfs, к примеру). А в момент сборки _это_ там было никому не нужно. JS а в модули запихать то что не нужно в данный момент - это сложно? Именно это и сделано в дистрибутивном ядре. Если же пытаться учесть все это, то это уже будет просто повторение работы сборщиков дистрибутива. Причем с очень большой вероятностью гораздо более худшего качества (сколько человек проверяют работу дистрибутивных ядер, а сколько Ваших?). JS существуют ситуации, когда дистрибутивная сборка ядра не устраивает, JS нужны специальные функции, которые можно активизировать только JS пропатчив ядро и собрав его лично. О том и речь, что вспоминать про сборку ядра нужно ровно тогда, когда дистрибутивное ядро не устраивает по вполне конкретным параметрам. А не из-за того, что ядро под конкретную систему можно собрать гораздо лучше. При этом реальный выигрыш никто не заметит. Результатом подобного тюнинга ядра будет разве что удовлетворение в том, что я сделал это. JS PS JS никто не запрещает читать хелпы на опции ядра при сборке оного. JS к тому же можно собрать свое ядро под нужный тип машины и сделать из JS него пакет и потом просто его ставить на JS однотипные машины. Я повторюсь. Либо Вы соберете ядро, не имеющее никакой функциональности кроме нужной Вам сейчас. Это будет ядро, которое действительно заточено под Вашу машину и соответственно непригодно для использования где либо еще. Как, впрочем, и для получения новых возможностей на этой же машине. Либо Вы попытаетесь повторить работу сборщиков дистрибутива и получить универсальное ядро. Возможно, у Вас это и получится лучше. Но почему Вы тогда еще не в команде разработчиков? :-) Либо (и скорее всего) у Вас получится гибрид двух этих случаев с уклоном на первый. Выигрыша по сравнению с дистрибутивным ядром он не даст (а если даст - ищите, что еще Вы поломали в своей системе, либо срочно пишите соответствующему мейнтейнеру, дабы в дистрибутивном ядре поправили найденную Вами плюху). И только если Вам нужна какая либо функциональность, отсутствующая в дистрибутивном ядре, есть повод задуматься о самостоятельной сборке. Но это совсем не тот случай, когда надо говорить, что при установке нужно _обязательно_ пересобрать ядро под себя. -- Igor Suvorov Internet: [EMAIL PROTECTED] System Administrator Phone:+7 095 7973354 Khrunichev Telecom Fax: +7 095 7973378 Moscow, Russia
деление траффика cbq, htb and etc.
Dear alex, Thursday, September 12, 2002, 7:21:24 PM, you wrote: aucu Когдато делал при помощи cbq там надо было модуль в ядро всунуть, [shaper, igor][~]$ ls /lib/modules/2.2.21-universal/misc/ cls_u32.o sch_cbq.o sch_prio.o sch_sfq.o sch_tbf.o aucu ну и потом его както мрачно конфигурять, MEDIA_BANDW=100Mbit MEDIA_WEIGHT=10Mbit INTER_BANDW=1984Kbit INTER_WEIGHT=198Kbit /sbin/tc qdisc add dev eth0 root handle 10: cbq bandwidth $MEDIA_BANDW avpkt 1000 /sbin/tc class add dev eth0 parent 10:0 classid 10:10 cbq bandwidth $INTER_BANDW \ rate $INTER_BANDW allot 1514 weight $INTER_WEIGHT prio 8 maxburst 20 avpkt 1000 \ bounded /sbin/tc class add dev eth0 parent 10:10 classid 10:11 cbq bandwidth $INTER_BANDW \ rate 128Kbit allot 1514 weight 12Kbit prio 5 maxburst 20 avpkt 1000 bounded /sbin/tc qdisc add dev eth0 parent 10:11 sfq quantum 1514b perturb 15 /sbin/tc filter add dev eth0 parent 10:0 protocol ip prio 100 u32 match ip src \ xxx.xxx.xxx.xxx/26 flowid 10:11 в результате для xxx.xxx.xxx.xxx будет создана исходящая труба на 128К при общем канале в 2 Мбита. аналогично делается для входящего трафика. если убрать слово bounded, скорость сможет разгоняться до скорости родительской трубы, если у той есть свободные ресурсы. не так уж и сложно. aucu вроде работало. Но он насколько я помню может обрубать только aucu трафик этого хоста а остальных вроде как нет. Остальных обычно гасят различными нюкерами. :-) Он может ограничивать только исходящий трафик с интерфейса. И все манипуляции доступны только в пределах одного интерфейса. Т.е. сказать, что вот эти вот 512К доступны для потоков на eth1 и eth2 не выйдет. aucu Это лучше на cisco делать там это намного лучше выходит. И стоит в разы дороже. -- Igor
Драйверы
Dear Jan, Thursday, September 12, 2002, 2:23:16 AM, you wrote: Если ты ставишь клиенту линукс - ты просто обязан настроить машину на оптимальную работу, как по надежности, так и по производительности, иначе какой-ты профессионал? Обязан, если тюнинг указан в договоре. Точка, потому что обычно железо получается дешевле оного тюнинга, тем паче с учетом поддержки последнего. JS Ядро собрать с нужными опциями, под конкретную машину дороже, чем железо? Дороже. Потому что ядро собранное под конкретно вот эту машину перестанет удовлетворять пользователя ровно в тот момент, когда ему понадобится что нибудь еще (поддержка nfs, к примеру). А в момент сборки _это_ там было никому не нужно. Если же пытаться учесть все это, то это уже будет просто повторение работы сборщиков дистрибутива. Причем с очень большой вероятностью гораздо более худшего качества (сколько человек проверяют работу дистрибутивных ядер, а сколько Ваших?). При этом реальный выигрыш никто не заметит. Результатом подобного тюнинга ядра будет разве что удовлетворение в том, что я сделал это. -- Igor
ucd-snmp
Понадобилось прикрутить собственный скрипт к snmpd. Прописал в snmpd.conf, как там описано: pass .1.3.6.1.4.1.2021.255 /usr/local/bin/my_script.pl Все хорошо, но размер возвращаемых данных ограничен 4096 байтами. Беглый поиск места, где можно было бы переопределить размер этого буфера ничего не дал. Может быть, кто-то ткнет меня более точно ... -- Igor
Re: 802.1Q vlan
Good Day, Alexander! Friday, August 30, 2002, 9:14:06 AM, you wrote: AG Хотелось бы узнать есть ли у кого опыт по созданию связки AG linux+catalyst 2950/2924. Нужно трафик с trunk порта коммутатора AG направлять на сервер и на нем производить разбор VLAN'ов на основе AG 802.1Q. Пробовать, не пробовал (под Linux), но в свое время образец себе вытащил: --- Cut --- Включение поддержки стандарта 802.1Q в Linux ядре. Задаем наименование устройства: vconfig set_name_type VLAN_PLUS_VID Конфигурируем VLAN на устройстве eth0: ifconfig eth0 down ifconfig eth0 0.0.0.0 up vconfig add eth0 2 vconfig add eth0 3 ifconfig -i vlan0002 192.168.2.1 broadcast 192.168.2.255 netmask 255.255.255.0 up ifconfig -i vlan0003 192.168.3.1 broadcast 192.168.3.255 netmask 255.255.255.0 up Конфигурируем коммутатор, на примере Cisco: int Fa 0/24 duplex full speed 100 switchport trunk encaps dot1q switchport trunk allowed vlan 2 switchport trunk allowed vlan 3 switchport mode trunk --- Cut --- AG Какую использовать для этого сетевую карту (Intel Pro 100+/100M/100S) AG достаточно? Или же вообще можно использовать любую сетевую карту? Любую - точно нет. -- Igor
Системные сервисы итд
Good Day, Yury! Monday, August 26, 2002, 2:06:32 PM, you wrote: 1. Есть ли в дебиане системная утилитка для управления сабжем. update-rc.d и ls YL vim /etc/inetd.conf Ой. Можно пример работы mrtg через inetd? -- Igor
Re: кто-нить юзал iproute-2 + cbq.init-v.7?
Dear glorie, Thursday, July 11, 2002, 7:15:47 PM, you wrote: g Подробное прочтение traffic howto с целью более глубокого изучения g применения опций tc ещё более затуманило сознание.. g интересно было бы услышать отзывы о практике использования shaping g etc. http://lartc.org Практика - работает. В меру криво, в меру глючно, но более или менее свои функции выполняет. -- Igor -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
