Re: Помогите с bind.
options {directory "/var/cache/bind"; // We don't use forwarders, because:// 1. Provider dns not reliable than world dns servers from root.db// 2. We update by chef-client root.db from appropriate site// 3. We using some providers and can not depend on whether the channel is active//forwarders {//8.8.8.8;//8.8.4.4;//};// This is very important parameter, because bind don't do recursive query's by default// and clients cannot resolve for example google.ru !!!// any; added because for openvpn clientsallow-recursion { 127.0.0.0/8; 192.168.128.0/24; any; };//// If BIND logs error messages about the root key being expired,// you will need to update your keys. See https://www.isc.org/bind-keys//dnssec-validation auto;auth-nxdomain no; # conform to RFC1035listen-on-v6 { any; };};Остальные конфиги это местные зоны. Да там по сути то смотреть не чего. Или коментишь forwarders или нет. Опять же коменты мои, на будущее для себя оставил.У меня получается, сто без forwarders 8. быстрее.any; - уже убрал, спасибо Антонову.24.09.2015, 19:27, "Tim Sattarov" <sti...@gmail.com>: On 2015-09-24 11:51, Vladimir Skubriev wrote: Передо мной стояла задача выяснить причину задержки первого запроса. Я вроде выяснил, но мне до сих пор не вериться. Не хилая расплата в 2.5-5 секунд за то, что хочешь свой DNS сервер. Странно что на serverfault тишина. Может я не в том месте его задал ? Спасибо тем, кто откликнулся. Место верное, видимо вопрос слишком обширный и TL/DR (многабукав/ниасилил) можно попробовать вынести сокращенную версию вопроса в начало и добавить TL/DR ниже. странно, что никто еще не попросил конфига bind ? можно глянуть ? -- Faithfully yours,Vladimir Skubriev
Re: Помогите с bind.
сделать по одному запросу еще ни чего не дает.Ну допустим что среднее вы написали значение. У вас быстрее, когда bind настроен через forwarders гугла ? (Если я правильно понял)По поводу того, что не капли - не согласен, в первый раз было 1059 msec, во второй 195 msec. Что было с кэшем между этими тестами - чистили через rndc flush ?24.09.2015, 19:41, "Tim Sattarov" <sti...@gmail.com>: On 2015-09-24 12:27, Tim Sattarov wrote: On 2015-09-24 11:51, Vladimir Skubriev wrote: Передо мной стояла задача выяснить причину задержки первого запроса. Я вроде выяснил, но мне до сих пор не вериться. Не хилая расплата в 2.5-5 секунд за то, что хочешь свой DNS сервер. Странно что на serverfault тишина. Может я не в том месте его задал ? Спасибо тем, кто откликнулся. Место верное, видимо вопрос слишком обширный и TL/DR (многабукав/ниасилил) можно попробовать вынести сокращенную версию вопроса в начало и добавить TL/DR ниже. странно, что никто еще не попросил конфига bind ? можно глянуть ? Сорри за личку в прошлый раз. у меня настроенный по дефолту bind от Дебьян: # service bind9 restart # dig @192.168.1.1 yandex.ru | grep time ;; Query time: 1059 msec # dig @8.8.8.8 yandex.ru | grep time ;; Query time: 30 msec # dig @192.168.1.1 yandex.ru | grep time ;; Query time: 0 msec интересно и вправду посмотреть, зачем делать форвардинг на 8.8.8.8 если можно просто делать кэширование ? я добавил веселья ради себе в форвардеры forwarders { 8.8.8.8; 8.8.4.4; }; результаты ни капли не изменились. разве что начальный запрос стал быстрее # service bind9 restart # dig @192.168.1.1 yandex.ru | grep time ;; Query time: 195 msec # dig @8.8.8.8 yandex.ru | grep time ;; Query time: 50 msec # dig @192.168.1.1 yandex.ru | grep time ;; Query time: 0 msec ЧЯДНТ ? :) -- Faithfully yours,Vladimir Skubriev
Помогите с bind.
Помогите с bind. Вопрос задал на http://serverfault.com/ http://serverfault.com/questions/724305/why-bind-is-slowly-than-public-dns-providers Спасибо. --Faithfully yours, Vladimir Skubriev
Re: Помогите с bind.
Надеюсь что причина только в этом. Поэтому по сути и был задан вопрос.По факту я решаю другую проблему.Получается если хочешь быстрой реакции выставляй на клиентах public dns сервера. Но тогда забудь про свои внутренние DNS домены.Т.е. по факту первый запрос будет всегда медленным.Получается это обратная сторона медали использования bind(другого собственного dns сервера) внутри сети.Хотелось бы услышать мнение других участников по данному вопросу.Честно не вериться что это правда.24.09.2015, 15:28, "Anatoly Pugachev" <mator...@gmail.com>: Если вопрос Why query throught bind is slowly than direct query of public dns servers ? то на public dns есть cache, с которого в общем-то и берется ответ, и из-за того что на public dns серверах много клиентов, то в кеше хранится много записей. Если вы сделаете чтобы ответ и на bind'e закешировался, то и ваш bind будет быстро отдавать: первый запрос, получение ответа из интернета, запись в кеш [root@nbu7 ~]# dig www.debian.org ... ;; Query time: 47 msec второй запрос, ответ из кеша [root@nbu7 ~]# dig www.debian.org ... ;; Query time: 0 msec On Thu, Sep 24, 2015 at 10:32 AM, Vladimir Skubriev <vladi...@skubriev.ru> wrote: Помогите с bind. Вопрос задал на http://serverfault.com/ http://serverfault.com/questions/724305/why-bind-is-slowly-than-public-dns-providers Спасибо. -- Faithfully yours, Vladimir Skubriev -- Faithfully yours,Vladimir Skubriev
Re: Помогите с bind.
Передо мной стояла задача выяснить причину задержки первого запроса. Я вроде выяснил, но мне до сих пор не вериться. Не хилая расплата в 2.5-5 секунд за то, что хочешь свой DNS сервер.Странно что на serverfault тишина. Может я не в том месте его задал ?Спасибо тем, кто откликнулся. 24.09.2015, 16:04, "Vasiliy P. Melnik" <ba...@vpm.net.ua>: 1) ничто не мешает в случае с форвардерс держать свои зоны в бинде 2) вам шашечки или ехать? удобство против скорости. Каждый сам решает. Если Вы зарабатываете деньги на скорости ответа, то лучше таки использовать гуглевые днгсы, а если это просто офисный сервер - то лучше свой. -- Faithfully yours,Vladimir Skubriev
dropbox через squid.
dropbox через squid. Подскажите пожалуйста что надо чтобы он работал через squid. Работает все что нужно, кроме дропбокса. root@proxy:/etc/squid3# cat /etc/squid3/squid.confacl SSL_ports port 443acl Safe_ports port 80 # httpacl Safe_ports port 21 # ftpacl Safe_ports port 443 # httpsacl Safe_ports port 70 # gopheracl Safe_ports port 210 # waisacl Safe_ports port 1025-65535 # unregistered portsacl Safe_ports port 280 # http-mgmtacl Safe_ports port 488 # gss-httpacl Safe_ports port 591 # filemakeracl Safe_ports port 777 # multiling httpacl CONNECT method CONNECTacl all src 0.0.0.0/0 # Без этого Skype чувствует себя совсем плохо и не проходит авторизацию на Proxyacl numeric_IPs dstdom_regex ^(([0-9]+\.[0-9]+\.[0-9]+\.[0-9]+)|(\[([0-9af]+)?:([0-9af:]+)?:([0-9af]+)?\])):443acl Skype_UA browser ^skype # Disable SSL interception for certain sites# http://wiki.alpinelinux.org/wiki/Setting_up_Explicit_Squid_Proxyacl no_ssl_interception dstdomain .dropbox.com .hotmail.comssl_bump none localhostssl_bump none no_ssl_interception #acl google dstdomain www.google.com google.com .google.com gstatic.com .gstatic.comacl google dstdom_regex googleacl gstatic dstdom_regex gstaticacl gmail dstdom_regex gmailacl yandex dstdom_regex yandexacl dropbox dstdom_regex dropbox http_access deny !Safe_ports http_access deny CONNECT !SSL_ports http_access allow localhost managerhttp_access deny manager http_access allow localhost http_access allow CONNECT all numeric_IPs Skype_UA SSL_ports http_access allow all google SSL_ports Safe_portshttp_access allow all gstatic SSL_ports Safe_portshttp_access allow all gmail SSL_ports Safe_portshttp_access allow all yandex SSL_ports Safe_portshttp_access allow all dropbox SSL_ports Safe_ports # Last line is default, if other's no matches# For these reasons, it is a good idea to have an "deny all" entry at the end of your access lists to avoid potential confusion.http_access deny all http_port 3128 coredump_dir /var/spool/squid3 # Отключаем кешcache deny allcache_dir null /tmp Спасибо! --Faithfully yours, Vladimir Skubriev
Хранилище данных отдельно, приложения отдельно.
Сейчас я использую один сервер для всех необходимых служб. Но планирую разделить все на два сервера. Я хочу, чтобы у меня было два сервера, один для хранения и доступа к данным. Другой только для исполнения приложений. Возможно будет все таки один физический сервер. Но основная система будет только хранить данные и предоставлять к ним доступ (MYSQL, FTP, SMB, NFS, etc (что посоветуете еще ?)) Дело в том, что я использую chef для настройки всего и вся. И мне очень хочеться добиться быстрого развертывания второго сервера через эту систему. Но для этого мне необходимо сначало разделить данные от приложений. Чтобы быстро развернуть приложения нужно, чтобы данные были всегда доступны. Предположим в план развертывания системы redmine были внесены серьезные изменения. Но доступ к данным остался прежним. Я могу удалить контейнер и развернуть его снова, не беспокоясь о данных, которые храняться на другом сервере. Во первых чтобы за второй сервер можно было не беспокоиться вообще.Во вторых чтобы все данные были в одном месте - их будет удобно архивировать.В третьих так как конфигурация служб доступа к данным практически статична, добиться максимального uptime сервера доступа к данным. По поводу третьего добавлю, что поваренные книги для развертывания bacula, redmine, dns, dhcp, ldap в процессе разработки и мне постоянно нужно эксперементировать с ними. Подымать development копии, удалять их и так далее. Мне было бы проще отрефакторить рецепты так, чтобы при развертывании указывать какие данные и откуда использовать для того, чтобы развернуть полностью рабочие копии тестируемых служб. У меня есть следующие данные: 1. База данных mysql ticket tracker'а2. Репозитории git, hg, доступ к которым нужен с тикет трекера (~ объем примерно 4Гб).3. Данные (файлы и папки ) папки обмена файлами доступной по протоколым NFS, SMB, FTP4. Мелкие данные такие как сертификаты https, ключи для расшифровки, ldif файлы с содержанием ldap каталога, конфиги различных служб (DNS, DHCP) и местных скриптов и так далее. Соответсвенно есть службы, которые пользуются этими данными на другом сервере:1. Например redmine, который разворачивается и работает в контейнере, которому нужен доступ к базе данных mysql.2. Например репозитории нужны веб серверу работающему в контейнере redmine для расшаривания доступа к ним через HTTPS3. SMB, NFS, ftp - которые я скорее всего подыму на сервере данных, т.к. объемы большие и разностить службы от этих данных по гигабитной сети не совсем правильно.4. Остальные разношерстные данные нужны различным виртуальным машинам (контейнерам) по объему этих данных не много (гигабитной сети за глаза). Возникает вопрос как эти данные предоставлять в доступ виртуальным контейнерам, работающим на другом сервере ? Какими протоколыми это реализовать? Что посоветуете использовать ? NFS, iSCSI, glusterfs, etc ? Я например неиспользовал ни когда iSCSI. Как он подходит например для доступа к репозиториям из контейнера redmine и последующего расшаривания их по https? В принципе поидее NFS можно использовать для сущностей описанных в пункте 4. Но может есть что то другое ? Спасибо! --Faithfully yours, Vladimir Skubriev
В чем минусы dyndns или no-ip в сравнении с public ip от провайдера ?
В чем минусы dyndns или no-ip в сравнении с public ip от провайдера ? Хочу снова врубить домашний сервер. Платить 2400 в год за public ip жалко. dyndns за 1260. Тариф BASIC WEBSITES за 35$ no-ip за 900. Тариф Plus Managed DNS за 24.95$ На домашнем сервере будет мой сайт. Почта не предвидеться. В чем может быть подвох при использовании no-ip или dyndns в сравнении с настоящим public ip ? Насколько надежно будет работать обновление DNS на роутере Zyxel keenetic ? Имеет ли смысл использовать тот же сервер под linux вместо роутера и софт от провайдера DDNS ? Спасибо! --Faithfully yours, Vladimir Skubriev -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/1486201397061...@web3j.yandex.ru
Re: не срабатывает условие в bash
27.03.2014, 16:28, "Vladimir Skubriev" vladi...@skubriev.ru: Есть скрипт: ENABLE_SYSLOG=true test -r /etc/default/inotifywait . /etc/default/inotifywait || exit 99 test -d $INOTIFY_FOLDER || exit 100 inotifywait -mrq -e ATTRIB --format '%w%f' "$INOTIFY_FOLDER" | while IFS= read -r FILE do if [ -f $FILE ];then # If file if [ `stat -c %a $FILE` != "664" ] ;then CHMOD_LOG=$(chmod -v 664 "$FILE"); [[ -f $FILE ]] logger -t inotifywait -p user.info "$CHMOD_LOG" fi else # If directory if [ `stat -c %a $FILE` != "2775" ] ;then CHMOD_LOG=$(chmod -v 2775 "$FILE"); [[ "$ENABLE_SYSLOG" = true ]] logger -t inotifywait -p user.info "$CHMOD_LOG" fi fi done Не получается выполнить logger по условию: [[ -f $FILE ]] или [[ "$ENABLE_SYSLOG" = true ]] Почему logger не срабатывает? Спасибо!--Faithfully yours, Vladimir Skubriev Подсказали на stackoverflow ) "$ENABLE_SYSLOG" logger -t inotifywait -p user.info "$CHMOD_LOG" --Faithfully yours, Vladimir Skubriev
не срабатывает условие в bash
Есть скрипт: ENABLE_SYSLOG=true test -r /etc/default/inotifywait . /etc/default/inotifywait || exit 99 test -d $INOTIFY_FOLDER || exit 100 inotifywait -mrq -e ATTRIB --format '%w%f' "$INOTIFY_FOLDER" | while IFS= read -r FILE do if [ -f $FILE ];then # If file if [ `stat -c %a $FILE` != "664" ] ;then CHMOD_LOG=$(chmod -v 664 "$FILE"); [[ -f $FILE ]] logger -t inotifywait -p user.info "$CHMOD_LOG" fi else # If directory if [ `stat -c %a $FILE` != "2775" ] ;then CHMOD_LOG=$(chmod -v 2775 "$FILE"); [[ "$ENABLE_SYSLOG" = true ]] logger -t inotifywait -p user.info "$CHMOD_LOG" fi fi done Не получается выполнить logger по условию: [[ -f $FILE ]] или [[ "$ENABLE_SYSLOG" = true ]] Почему logger не срабатывает? Спасибо!--Faithfully yours, Vladimir Skubriev
Re: bash и область видимости переменной в while
А. Понял. Спасибо) Деревня ) 18.02.2014, 11:14, Artem Chuprina r...@ran.pp.ru: Vladimir Skubriev - Debian-russian @ Tue, 18 Feb 2014 09:08:37 +0400: VS Сделал так: VS while read line VS do VS if echo $line | grep -q 'Installed Size' VS then VS module=$( echo $line | sed -r 's/(^.*: )(.*)(\(.*$)/\2/' ) VS printf MODULE: $module\n VS ram_mods=$ram_mods $module VS fi VS done (echo $dmidecode_t6_out) VS Заработал. VS Что делают внутренние скобки ? VS Без них ругался. Которые? Мои? Объединяют while и echo $var в один процесс, в который и идет пайп. Но без них ругаться не должно. Или выше вокруг echo? Это синтаксис такой. Подстановка вывода процесса в качестве файла. VS 17.02.2014, 13:12, Artem Chuprina r...@ran.pp.ru: Vladimir Skubriev - Debian-russian @ Mon, 17 Feb 2014 11:52:06 +0400: VS dmidecode_t6_out=$( dmidecode -t 6) VS VS VS echo $dmidecode_t6_out | while read line VS do VS if echo $line | grep -q 'Installed Size' VS then VS module=$( echo $line | sed -r 's/(^.*: )(.*)(\(.*$)/\2/' ) VS printf Founded MODULE: $module\n VS ram_mods=$ram_mods $module VS fi VS done VS VS printf Modules: $ram_mods\n VS VS Почему последний printf печатает только Modules без содержания переменной $ram_mods ? Да, помогает извращение вида var=$(echo -e qqq\nwww | ( while read line; do var=$var $line; done; echo $var )) Внутренние скобки существенны. -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/87ob266r3s@wizzle.ran.pp.ru VS -- VS Faithfully yours, VS Vladimir Skubriev VS -- VS To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org VS with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org VS Archive: http://lists.debian.org/16811392700...@web21m.yandex.ru -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/8761oc7v1r@wizzle.ran.pp.ru -- Faithfully yours, Vladimir Skubriev -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/387511392714...@web30g.yandex.ru
Re: bash и область видимости переменной в while
Сделал так: while read line do if echo $line | grep -q 'Installed Size' then module=$( echo $line | sed -r 's/(^.*: )(.*)(\(.*$)/\2/' ) printf MODULE: $module\n ram_mods=$ram_mods $module fi done (echo $dmidecode_t6_out) Заработал. Что делают внутренние скобки ? Без них ругался. 17.02.2014, 13:12, Artem Chuprina r...@ran.pp.ru: Vladimir Skubriev - Debian-russian @ Mon, 17 Feb 2014 11:52:06 +0400: VS dmidecode_t6_out=$( dmidecode -t 6) VS VS VS echo $dmidecode_t6_out | while read line VS do VS if echo $line | grep -q 'Installed Size' VS then VS module=$( echo $line | sed -r 's/(^.*: )(.*)(\(.*$)/\2/' ) VS printf Founded MODULE: $module\n VS ram_mods=$ram_mods $module VS fi VS done VS VS printf Modules: $ram_mods\n VS VS Почему последний printf печатает только Modules без содержания переменной $ram_mods ? Да, помогает извращение вида var=$(echo -e qqq\nwww | ( while read line; do var=$var $line; done; echo $var )) Внутренние скобки существенны. -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/87ob266r3s@wizzle.ran.pp.ru -- Faithfully yours, Vladimir Skubriev -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/16811392700...@web21m.yandex.ru
bash и область видимости переменной в while
dmidecode_t6_out="$( dmidecode -t 6)" echo "$dmidecode_t6_out" | while read line do if echo "$line" | grep -q 'Installed Size' then module="$( echo "$line" | sed -r 's/(^.*: )(.*)(\(.*$)/\2/' )" printf "Founded MODULE: $module\n" ram_mods="$ram_mods $module" fi done printf "Modules: $ram_mods\n" Почему последний printf печатает только Modules без содержания переменной $ram_mods ? Спасибо! --Faithfully yours, Vladimir Skubriev -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/251081392623...@web27j.yandex.ru
simple question mysql root and identified by
если я сделаю так ? echo \"GRANT ALL PRIVILEGES ON *.* TO 'root'@'%' WITH GRANT OPTION;" |\mysql -A -uroot -p$MYSQL_ROOT_PASSWORD И у пользователя root уже задан пароль. К серверу под root-ом mysql будет пускать без пароля ? В итоге мне надо чтобы пускало отовсюду под рутовым паролем и рутовым пользователем. Спасибо. -- --Faithfully yours, Vladimir Skubriev -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/127631390383...@web13j.yandex.ru
в чем разница между ip route add default gw $GW via $IP ip route add default gw $GW dev $IFACENAME
В чем разница между ip route add default gw $GW via $IPи ip route add default gw $GW dev $IFACENAME? Вот пример, правда не для default route. Меня интересует именно default route. Хотя возможно в этом контексте это не важно. Добавление маршрута через шлюз: ip route add 172.16.10.0/24 via 192.168.1.1 Добавление маршрута через интерфейс: ip route add 172.16.10.0/24 dev eth0 В контексте использования pppd и с точки зрения маршрутизации ? pppd добавляет роут через шлюз и меня это вполне устраивает. Но я не понимаю в чем разница. -- --Faithfully yours, Vladimir Skubriev -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/71141390457...@web17j.yandex.ru
Re: в чем разница между ip route add default gw $GW via $IP ip route add default gw $GW dev $IFACENAME
23.01.2014, 10:22, "Alex Kuklin" a...@kuklin.ru:On 23.01.2014 08:18, Vladimir Skubriev wrote: В чем разница междуip route add default gw $GW via $IP иip route add default gw $GW dev $IFACENAME ? Вот пример, правда не для default route. Меня интересует именно default route. Хотя возможно в этом контексте это не важно. Добавление маршрута через шлюз: ip route add 172.16.10.0/24 via 192.168.1.1 Добавление маршрута через интерфейс: ip route add 172.16.10.0/24 dev eth0 В контексте использования pppd и с точки зрения маршрутизации ? pppd добавляет роут через шлюз и меня это вполне устраивает.pppd - point-to-point, там с другой стороны канала может быть ровно один ip, и его можно не указывать.ethernet - нет, в одном сегменте может быть несколько роутеров в разные сети.дальше разницу объяснять?Возник вопрос: Почему pppd добавляет маршрут вот такой root@epgw:~# ip routedefault dev ppp0 scope link Т.е. без указания шлюза. Как мне такой маршрут добавить командой ip. Т.е. чтобы без шлюза, чтобы был только интерфейс в маршруте ? ip route add default via ppp0Error: an inet address is expected rather than "ppp0". - не работает А как мне создать такой маршрут, как его создает pppd при подключении ? -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.orgwith a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.orgArchive: http://lists.debian.org/52e0b4e1.7070...@kuklin.ru -- --Faithfully yours, Vladimir Skubriev
Re: две сетевушки
dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:1000 RX bytes:57844 (56.4 KiB) TX bytes:22380 (21.8 KiB) Interrupt:44 loLink encap:Local Loopback inet addr:127.0.0.1 Mask:255.0.0.0 inet6 addr: ::1/128 Scope:Host UP LOOPBACK RUNNING MTU:16436 Metric:1 RX packets:119 errors:0 dropped:0 overruns:0 frame:0 TX packets:119 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:0 RX bytes:9495 (9.2 KiB) TX bytes:9495 (9.2 KiB) Первая карта смотрит к провайдеру (работает), вторую хотел развернуть во внутреннюю сеть, пока маршрутизатора нет под рукой. Простейшая задача, а не могу понять, где затык. (debian wheezy) У меня была похожая трабла дело оказалось в том, что карты гавеные хоть и самые распростарненные на realtek 8139 как их ядро определяло, но увы не работали нормально вместе. Пришлось остановиться на бюджетных Dlink 528TX Кажется. Гигабитных -- -- Faithfully yours, Vladimir Skubriev
Re: razbivka
14.01.2014 17:02, Alexander GQ Gerasiov пишет: Mon, 13 Jan 2014 06:51:24 +0400 Угодай n/augo...@gmail.com wrote: 1. Своп не нужен. Нужен для s2disk 2. / лучше расположить на lvm-разделе. 3. /boot на всякий пожарный разместить отдельно. По нынешним временам, особого смысла нету. grub2 в простых случаях умеет и raid любого уровня и lvm и всё что угодно. (в сложных случаях правда может глючить, например degraded raid6 может не собрать) Это вызвано именно тем, что он degraded или же тем, что его не возможно собрать в обычном режиме ? -- -- Faithfully yours, Vladimir Skubriev -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/52d53e75.3050...@skubriev.ru
if-up down ppp и шлюз по умолчанию (не работает)
С некоторых пор случилась с одним сервером беда. После перезагрузки pppoe соединение поднимается, но вот шлюз не устанавливается, точнее как то не правильно устанавливается. #after restart default dev ppp50 scope link 10.0.3.0/24 dev lxcbr0 proto kernel scope link src 10.0.3.1 10.8.0.0/16 via 10.8.0.2 dev tun0 10.8.0.2 dev tun0 proto kernel scope link src 10.8.0.1 80.XX.XX.17 dev ppp50 proto kernel scope link src 84.XX.XX.XXX 83.XX.XX.193 dev ppp60 proto kernel scope link src 93.XX.XX.XXX 192.168.100.0/24 dev virbr1 proto kernel scope link src 192.168.100.1 192.168.122.0/24 dev virbr0 proto kernel scope link src 192.168.122.1 192.168.128.0/24 dev br-eth0 proto kernel scope link src 192.168.128.1 если вручную удалить маршрут по умолчанию и потом добавить его, то все работает. default via 80.XX.XX.17 dev ppp50 10.0.3.0/24 dev lxcbr0 proto kernel scope link src 10.0.3.1 10.8.0.0/16 via 10.8.0.2 dev tun0 10.8.0.2 dev tun0 proto kernel scope link src 10.8.0.1 80.XX.XX.17 dev ppp50 proto kernel scope link src 84.XX.XX.XXX 83.XX.XX.193 dev ppp60 proto kernel scope link src 93.XX.XX.XXX 192.168.100.0/24 dev virbr1 proto kernel scope link src 192.168.100.1 192.168.122.0/24 dev virbr0 proto kernel scope link src 192.168.122.1 192.168.128.0/24 dev br-eth0 proto kernel scope link src 192.168.128.1 root@zeus:/home/srvadm# Возникает вопрос отчего так все грустно ? Видно что после перезагрузки в маршруте по умолчанию отсутсвует via 80.XX.XX.17 Конфиг ppp50: user username_provider noipdefault defaultroute # Номер ppp-интерфейса unit 50 replacedefaultroute hide-password lcp-echo-interval 20 lcp-echo-failure 3 noauth persist mtu 1492 maxfail 0 plugin rp-pppoe.so ethbottom Часть конфига interfaces: auto infotecstt iface infotecstt inet ppp pre-up /sbin/ifconfig ethbottom up provider infotecstt Спасибо! -- -- Faithfully yours, Vladimir Skubriev -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/52d4cdc3.9010...@skubriev.ru
Re: Какую версию Asterisk использовать?
10.01.2014 07:29, Dmitry volkov пишет: Приветствую. А не подскажете какую версию Аsterisk вы используете в коммерческой эксплуатации. Спасибо. обратите внимание на freeswitch ) -- -- Faithfully yours, Vladimir Skubriev -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/52d4ce38.80...@skubriev.ru
Re: bind и несколько провайдеров - как быть ?
27.12.2013 14:41, Mikhail A Antonov пишет: On 27/12/13 09:05, Vladimir Skubriev wrote: 27.12.2013 00:10, Mikhail A Antonov пишет: On 26/12/13 21:49, Alexander Wiedergold WIEDERGOLD.NET wrote: Поэтому его нужно обновить. И дать Bind'у покрутится. Запустить Browser и полазить по разным сайтам (.ru .com .net etc.) и само всё встанет на место. И смотретm log /var/log/messages #cat /var/log/messages | grep named на такие записи: Dec 25 05:47:56 dns named[1170]: error (network unreachable) resolving 'org/DNSKEY/IN': 2001:500:40::1#53 У меня ipv6 не используется вроде. Если я правильно понял на что вы намекаете. На то что в логох даются ошибки named демона Но зачем указывать именно это строку в качестве ошибки, если эта строка ошибкой не является? Ну нет у человека в сети IPv6. Сейчас это пока нормально. Я вообще считаю что обновлять вручную файл рутовых серверов - затея бестолковая. Быстрее не станет, а костыли поддерживать надо будет. Впрочем, от избытка свободного времени и не такое придумать можно. Во первых этот костыль отнял у меня всего пять минут, на то, чтобы обновить рецепт chef, которым настраивается DNS сервер. Во первых это костыль, на который ты потратил целых 300 секунд своей жизни + ещё потратишь на поддержку и выявление возможных неисправностей. Не получив при этом ничего взамен. буду иметь в виду на будущее. Во вторых у меня вопрос: Вы считаете достаточно того что идет из коробки ? Да. И можно на ты. Если да - расскажите почему. Ну или приведите аргумент типа: Я уже так 10 серверов настроил - работают несколько лет В первый и последний раз я ходил за зоной рутовых серверов году эдак в 1999, когда только начинал практиковаться в линуксе и сетях. Сделал я это только потому что не знал что этого можно не делать. И то я не помню чем закончилось. Больше я за ней ни разу не ходил. Ну и как ни странно - сервера действительно работают. Самый долгожитель по отсутствию вмешательства человека был настроен в 2004 году. За это время несколько раз правили /etc/network/interfaces по телефону т.к. меняли провайдера. Больше его не трогал никто и никогда. Функционал - nat+dhcp+dns+squid для небольшого (в 2004 там было около 20 человек) офиса. На сколько я знаю, он работает по сей день. Ломаться там нечему. Я понимаю что отсутствие обновлений может негативно сказаться, но ставить их там некому. Сколько в сумме настроено DNS-серверов - посчитать не смогу, но больше 10. :-) Просто интересно в чем по факту разница между файлом зоны . из коробки и тем, что лежит на ftp у internic ) Понятное дело что разница есть. Но не более того. Открой оба файла да посмотри. Ничего секретного там нет. Я думал есть какая та тайна. Но раз уж зоны из коробки за глаза то тогда все ясно. Было бы время посмотрел бы как часто это файл обновляется с обновлениями. -- -- Faithfully yours, Vladimir Skubriev -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/52bd60ab.5000...@skubriev.ru
Как получить список файлов от корня не принадлежаших пакетам ?
Как получить список файлов от корня не принадлежаших пакетам ? Т.е. все то, что не относиться к установленному из пакетов. -- -- Faithfully yours, Vladimir Skubriev -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/52bd68f2.8030...@skubriev.ru
Re: bind и несколько провайдеров - как быть ?
26.12.2013 13:40, Mikhail A Antonov пишет: On 26/12/13 10:19, Vladimir Skubriev wrote: 25.12.2013 11:21, Mikhail A Antonov пишет: On 25/12/13 10:19, Vladimir Skubriev wrote: Насколько мне известно лучше использовать DNS провайдера, т.к. они ближе и быстрее а после уже для надежности прописать какие нибудь public dns сервера. Убери вообще всё из forwarders и живи спокойно. Убрал. Рассказал руководству. Руководство требует объясненией. Если у тебя возникают проблемы с днс (банально надо из кеша пару адресов выбросить), то пользуясь любыми чужими серверами ты не можешь провернуть этого фокуса. Используя публичные DNS ты можешь сломать прелести работы всяких CDN-ов, которые через DNS отсеивают кому из какой части интернета ближе до каких ихних серверов. Когда-то у гугловых DNS были проблемы с и TXT записями. Не знаю как с этим сейчас, но подозреваю что пофиксили. Взамен ты не получаешь ничего. Большой кеш публичных DNS не всегда хорошо (выше рассказал почему). Быстрые ответы из-за этого самого кеша и ускорение работы интернета - устаревшая информация времён модемов на 19200бод и ниже. Сейчас уже не те задержки, не те скорости и не те мощности. Пожалуй, вариант когда в forwarders стоит прописывать что-то - это skydns и подобные сервисы (не знаю таких, но вдруг есть). мы полностью завязаны на google службы, т.е. docs, email, google search, google auth и т.д. Это ОЧЕНЬ зря. По идеологическим причинам. Это отдельная тема для холивара параноиков и не знающих. Не хочу разводить. Но ведь если упадут google public dns то у нас весь Интернет станет (а не только google сайты) если мы будем их использовать а не только google. Да. Паблик днс это для тех, кто не осилил поднять свой или кому много своего днс ради одного себя. Цитирую Много своего ради одного себя - не понял фразы вообще. Представим что у одного меня есть отдельно стоящий комп с микро-мягкой ОС и с провайдером, ДНС-сервера которого работают в зависимости от фазы луны. Реально удобнее будет использовать публичные ДНС-сервера, чем городить свой сервер пусть и на том же компе. Все понятно. Спасибо за разъяснения. -- -- Faithfully yours, Vladimir Skubriev -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/52bc0321.3070...@skubriev.ru
Почему sed выдает не только группу но и другой текст ?
Помогите с sed. Пожалуйста. #ip a | grep ppp50 6: ppp50: POINTOPOINT,MULTICAST,NOARP,UP,LOWER_UP mtu 1492 qdisc pfifo_fast state UNKNOWN qlen 3 inet 84.51.23.2 peer 80.68.8.17/32 scope global ppp50 #ip a | grep ppp50 | sed -r 's/(.*inet )(.*)( peer.*)/\2/' 6: ppp50: POINTOPOINT,MULTICAST,NOARP,UP,LOWER_UP mtu 1492 qdisc pfifo_fast state UNKNOWN qlen 3 84.51.23.2 Нужно получить ip адрес по интерфейсу. -- Faithfully yours, CVision Lab System Administrator Vladmir Skubriev -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/52bc158c.4050...@cvisionlab.com
Re: Почему sed выдает не только группу но и другой текст ?
26.12.2013 16:10, Alexander Galanin пишет: On Thu, 26 Dec 2013 15:39:56 +0400 Vladimir Skubriev skubr...@cvisionlab.com wrote: Помогите с sed. Пожалуйста. #ip a | grep ppp50 6: ppp50: POINTOPOINT,MULTICAST,NOARP,UP,LOWER_UP mtu 1492 qdisc pfifo_fast state UNKNOWN qlen 3 inet 84.51.23.2 peer 80.68.8.17/32 scope global ppp50 Во-первых, ip a show dev ppp50, чтобы обойтись без грепа. Во первых - спасибо! #ip a | grep ppp50 | sed -r 's/(.*inet )(.*)( peer.*)/\2/' 6: ppp50: POINTOPOINT,MULTICAST,NOARP,UP,LOWER_UP mtu 1492 qdisc pfifo_fast state UNKNOWN qlen 3 84.51.23.2 Нужно получить ip адрес по интерфейсу. Во-вторых, указать более точный regexp. Хватит условия строка без пробелов и слешей: [^ /]*, т.е. в итоге получится: ip a show dev ppp50 | grep -E '\inet\' | sed -r 's/.*inet ([^ /]*).*/\1/' Во вторых вопросы :-) : 1. Зачем \ и \ в grep'е почему не просто 'inet' ? или Вы просто только --extended-regexp пользуетесь ? 2. Я не знал, что можно .*inet без группы написать, точнее что не обязательно все в группы объединять. 3. ( - группа начинается, [^ /]* - любое количество чего ? Чем плох мой вариант (после вашего примера) ip a show dev ppp50 | grep 'inet' | sed -r 's/.*inet (.*) peer.*/\1/' ? Грепается строка с inet, чтобы отфильтровать всё постороннее, в т.ч. inet6. Но надо не забыть обработать случай, когда на интерфейсе несколько адресов. Меня вполне устарвивает вариант с одним ) -- -- Faithfully yours, Vladimir Skubriev -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/52bc2428.7050...@skubriev.ru
Re: Почему sed выдает не только группу но и другой текст ?
26.12.2013 16:38, yuri.nefe...@gmail.com пишет: On Thu, 26 Dec 2013, Vladimir Skubriev wrote: Помогите с sed. Пожалуйста. #ip a | grep ppp50 6: ppp50: POINTOPOINT,MULTICAST,NOARP,UP,LOWER_UP mtu 1492 qdisc pfifo_fast state UNKNOWN qlen 3 inet 84.51.23.2 peer 80.68.8.17/32 scope global ppp50 Здесь у вас _две_ строки в каждой ppp50 #ip a | grep ppp50 | sed -r 's/(.*inet )(.*)( peer.*)/\2/' 6: ppp50: POINTOPOINT,MULTICAST,NOARP,UP,LOWER_UP mtu 1492 qdisc pfifo_fast state UNKNOWN qlen 3 84.51.23.2 В первой строке искомый образец не находится и sed пропускает ее целиком. Во второй строке срабатывает замена. Ю. Ух ты её маё. А слона то я и не заметил. А все потому, что deadline приближается ( -- -- Faithfully yours, Vladimir Skubriev -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/52bc246f.9070...@skubriev.ru
Re: Почему sed выдает не только группу но и другой текст ?
26.12.2013 17:26, Alexander Galanin пишет: On Thu, 26 Dec 2013 16:42:16 +0400 Vladimir Skubriev vladi...@skubriev.ru wrote: 1. Зачем \ и \ в grep'е почему не просто 'inet' ? или Вы просто только --extended-regexp пользуетесь ? Потому что «просто inet» пропустит inet6, что нас мало интересует. Можно и пробел после слова поставить. 2. Я не знал, что можно .*inet без группы написать, точнее что не обязательно все в группы объединять. В группу объединяют, если хотят что-то с ней потом делать. 3. ( - группа начинается, [^ /]* - любое количество чего ? Любых символов, кроме пробела и слеша. Это на случай адресов вида 192.168.1.22/24, которые будут в ethernet-сети. Чем плох мой вариант (после вашего примера) ip a show dev ppp50 | grep 'inet' | sed -r 's/.*inet (.*) peer.*/\1/' Сломается на «inet 192.168.1.22/24 brd 192.168.1.255 scope global eth1». Но это уже немного другой случай, так что если интересует только ppp, то всё нормально. Но как сказали выше, красивее будет sed с ключом -n. Спасибо. Добавлю без слэша и пробела! А то вдруг завтра пров решит перейти на ethernet. -- -- Faithfully yours, Vladimir Skubriev -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/52bc316d.2090...@skubriev.ru
Re: bind и несколько провайдеров - как быть ?
27.12.2013 00:10, Mikhail A Antonov пишет: On 26/12/13 21:49, Alexander Wiedergold WIEDERGOLD.NET wrote: Поэтому его нужно обновить. И дать Bind'у покрутится. Запустить Browser и полазить по разным сайтам (.ru .com .net etc.) и само всё встанет на место. И смотретm log /var/log/messages #cat /var/log/messages | grep named на такие записи: Dec 25 05:47:56 dns named[1170]: error (network unreachable) resolving 'org/DNSKEY/IN': 2001:500:40::1#53 У меня ipv6 не используется вроде. Если я правильно понял на что вы намекаете. На то что в логох даются ошибки named демона Но зачем указывать именно это строку в качестве ошибки, если эта строка ошибкой не является? Ну нет у человека в сети IPv6. Сейчас это пока нормально. Я вообще считаю что обновлять вручную файл рутовых серверов - затея бестолковая. Быстрее не станет, а костыли поддерживать надо будет. Впрочем, от избытка свободного времени и не такое придумать можно. Во первых этот костыль отнял у меня всего пять минут, на то, чтобы обновить рецепт chef, которым настраивается DNS сервер. Если бы у меня не было chef возможно я бы предпочел эту базу из коробки. Но опять же если бы понимал то, что настраиваю. Во вторых у меня вопрос: Вы считаете достаточно того что идет из коробки ? Если да - расскажите почему. Ну или приведите аргумент типа: Я уже так 10 серверов настроил - работают несколько лет Просто интересно в чем по факту разница между файлом зоны . из коробки и тем, что лежит на ftp у internic ) Понятное дело что разница есть. Но не более того. -- -- Faithfully yours, Vladimir Skubriev -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/52bd0a9b.6020...@skubriev.ru
Re: несколько провайдеров, локальная сеть и доступ к веб сайту из Интернет
27.12.2013 01:07, Mikhail A Antonov пишет:
On 26/12/13 21:48, Скубриев Владимир wrote:
Подскажите пожалуйста как быть. С несколькими провайдерами еще не разу не
сталкивался.
Суть проблемы гораздо шире. Но я на примере попытаюсь спросить конкретную вещь.
Предположим есть сервер, к которому подключены несколько провайдеров.
...
Но я не понимаю, что я должен сделать, чтобы работающий на сервере сайт был
доступен из Интернет через всех подключенных провайдеров.
Используй правила iproute2.
Единоразово добавь в файл /etc/iproute2/rt_tables две строки
{
200 ISP1
201 ISP2
}
(Без скобок. Просто в конец допиши.)
Затем при подключении выполняй:
ip route add default dev ppp50 table ISP1
ip route add IP_ppp50 dev ppp50 proto kernel scope link src
IP_ppp50 table ISP1
ip rule add oif ppp50 table ISP1
ip route add default dev ppp60 table ISP2
ip route add IP_ppp60 dev ppp60 proto kernel scope link src
IP_ppp60 table ISP2
ip rule add oif ppp60 table ISP2
Я конкретно эти скрипты не проверял, но должно работать.
Эффект будет такой - к какому IP обратились - с того и ушёл ответ. И
ушёл через правильного провайдера.
Кстати, скриптам, которые выполняются после ppp-подключения, IP
передаётся в параметрах. Его не надо выцеплять.
С доступом в Интернет у клиентов ЛВС проблем нет:
Эти два правила для маршрута по умолчанию решают все мои проблемы, но только для
провайдера по умолчанию:
iptables -t nat -A POSTROUTING -o $INETNAME -j MASQUERADE
iptables -I FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
Напиши один раз
iptables -t nat -A POSTROUTING -o ppp+ -j MASQUERADE
и больше не трогай.
Второе правило работает независимо от интерфейса -- и его не трогай.
Вообще говоря, и без него обычно всё работает.
А вообще, если у тебя одновременно включено оба прова сразу - можно
сделать псевдобалансировку средствами того же iproute2.
ip route add default scope global nexthop dev ppp50 weight 1 \
nexthop dev ppp60 weight 1
Таким образом дашь нагрузку на два канала сразу при некоторых условиях
можешь получить сложение скоростей. Например, при использовании
торрентов. Даже при обычном скачивании двух файлов с двух разных
серверов, при условии что звёзды сложатся так, что первый файл начнёт
качаться через первый канал, а второй - через второй.
Я как-то делал такой фокус с тремя 3G-модемами и небольшим офисом.
Хочу сразу предостеречь - эта балансировка не даёт отказоустойчивости.
За этим следи сам.
Спасибо.
--
--
Faithfully yours,
Vladimir Skubriev
--
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/52bd15b3.2050...@skubriev.ru
Re: bind и несколько провайдеров - как быть ?
25.12.2013 11:45, Alexander Wiedergold WIEDERGOLD.NET пишет:
Am 25.12.2013 07:30, schrieb Vladimir Skubriev:
Есть DNS сервер для локалки bind в контейнере LXC
Есть отдельно стоящий шлюз, на котором подключены несколько провайдеров
по pppoe
У каждого провайдера есть свои DNS серверы.
Периодически провайдеры могут отваливаться, т.е. их DNS серверу
периодически могут быть недоступны.
На данный момент в bind используются не зависимые от провайдера DNS
серверы:
forwarders {
//80.68.0.12;
//80.68.0.9;
8.8.8.8;
8.8.4.4;
};
Точнее это с тех пор, как был подключен второй провайдер.
Переключение между провайдерами происходит вручную скриптом, который
меняет шлюз по умолчанию.
Насколько мне известно лучше использовать DNS провайдера, т.к. они ближе
и быстрее а после уже для надежности прописать какие нибудь public dns
сервера.
Свежий файл root.zone с FTP.INTERNIC.NET всегда увеличивает скорость
Bind'а
Окей! Т.е. предлагаете обновлять db.root из него периодически скриптом,
ну или как то еще ?
Ни когда не задумывался об этом.
Я так понимаю то что мне нужно это
ftp://ftp.internic.net/domain/root.zone (на всякий случай уточняю)?
--
--
Faithfully yours,
Vladimir Skubriev
--
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/52ba90d3.8090...@skubriev.ru
Re: bind и несколько провайдеров - как быть ?
25.12.2013 13:24, Alexander Wiedergold WIEDERGOLD.NET пишет:
Am 25.12.2013 09:10, schrieb Vladimir Skubriev:
25.12.2013 11:45, Alexander Wiedergold WIEDERGOLD.NET пишет:
Am 25.12.2013 07:30, schrieb Vladimir Skubriev:
Есть DNS сервер для локалки bind в контейнере LXC
Есть отдельно стоящий шлюз, на котором подключены несколько
провайдеров
по pppoe
У каждого провайдера есть свои DNS серверы.
Периодически провайдеры могут отваливаться, т.е. их DNS серверу
периодически могут быть недоступны.
На данный момент в bind используются не зависимые от провайдера DNS
серверы:
forwarders {
//80.68.0.12;
//80.68.0.9;
8.8.8.8;
8.8.4.4;
};
Точнее это с тех пор, как был подключен второй провайдер.
Переключение между провайдерами происходит вручную скриптом, который
меняет шлюз по умолчанию.
Насколько мне известно лучше использовать DNS провайдера, т.к. они
ближе
и быстрее а после уже для надежности прописать какие нибудь public dns
сервера.
Свежий файл root.zone с FTP.INTERNIC.NET всегда увеличивает скорость
Bind'а
Окей! Т.е. предлагаете обновлять db.root из него периодически скриптом,
ну или как то еще ?
Ни когда не задумывался об этом.
Я так понимаю то что мне нужно это
ftp://ftp.internic.net/domain/root.zone (на всякий случай уточняю)?
У меня уже есть /etc/bind/rndc.key
Через который isc-dhcp-server обновляет локальную зону.
Можно использовать его и не использовать rndc-confgen?
Run as root
#rndc-confgen
# Use with the following in named.conf, adjusting the allow list as
needed:
key rndc-key {
algorithm hmac-md5;
secret kR0s5uG3V3SFSKoYYCYkog==;
};
controls {
inet 127.0.0.1 port 953
allow { 127.0.0.1; } keys { rndc-key; };
};
# End of named.conf
и можно использовать root.zone
А как мне обновить запущенный bind зоной из файла
ftp://ftp.internic.net/domain/root.zone?
Я так понимаю через команду rndc или nsupdate?
Я нашел пример и Интернет
# wget --user=ftp --password=ftp
ftp://ftp.rs.internic.net/domain/db.cache -O /etc/bind/db.root
# rndc reload
Т.е. по сути это тоже самое, что остановить bind и поменять
/etc/bind/db.root, только этот файл обновит сам bind ?
Почему текущий файл такой мелкий а тот что на internic большой (всмысле
по количеству записей естесственно) ?
Подскажите пожалуйста.
--
--
Faithfully yours,
Vladimir Skubriev
Re: bind и несколько провайдеров - как быть ?
26.12.2013 00:34, Alexander Wiedergold WIEDERGOLD.NET пишет:
Am 25.12.2013 13:40, schrieb Vladimir Skubriev:
25.12.2013 13:24, Alexander Wiedergold WIEDERGOLD.NET пишет:
Am 25.12.2013 09:10, schrieb Vladimir Skubriev:
25.12.2013 11:45, Alexander Wiedergold WIEDERGOLD.NET пишет:
Am 25.12.2013 07:30, schrieb Vladimir Skubriev:
Есть DNS сервер для локалки bind в контейнере LXC
Есть отдельно стоящий шлюз, на котором подключены несколько
провайдеров
по pppoe
У каждого провайдера есть свои DNS серверы.
Периодически провайдеры могут отваливаться, т.е. их DNS серверу
периодически могут быть недоступны.
На данный момент в bind используются не зависимые от провайдера DNS
серверы:
forwarders {
//80.68.0.12;
//80.68.0.9;
8.8.8.8;
8.8.4.4;
};
Точнее это с тех пор, как был подключен второй провайдер.
Переключение между провайдерами происходит вручную скриптом, который
меняет шлюз по умолчанию.
Насколько мне известно лучше использовать DNS провайдера, т.к. они
ближе
и быстрее а после уже для надежности прописать какие нибудь
public dns
сервера.
Свежий файл root.zone с FTP.INTERNIC.NET всегда увеличивает скорость
Bind'а
Окей! Т.е. предлагаете обновлять db.root из него периодически
скриптом,
ну или как то еще ?
Ни когда не задумывался об этом.
Я так понимаю то что мне нужно это
ftp://ftp.internic.net/domain/root.zone (на всякий случай уточняю)?
У меня уже есть /etc/bind/rndc.key
Через который isc-dhcp-server обновляет локальную зону.
Можно использовать его и не использовать rndc-confgen?
Run as root
#rndc-confgen
# Use with the following in named.conf, adjusting the allow list as
needed:
key rndc-key {
algorithm hmac-md5;
secret kR0s5uG3V3SFSKoYYCYkog==;
};
controls {
inet 127.0.0.1 port 953
allow { 127.0.0.1; } keys { rndc-key; };
};
# End of named.conf
и можно использовать root.zone
А как мне обновить запущенный bind зоной из файла
ftp://ftp.internic.net/domain/root.zone?
Я так понимаю через команду rndc или nsupdate?
Я нашел пример и Интернет
# wget --user=ftp --password=ftp
ftp://ftp.rs.internic.net/domain/db.cache -O /etc/bind/db.root
# rndc reload
Сначала
#cp /etc/bind/db.root /root
потом
# wget --user=ftp --password=ftp
ftp://ftp.rs.internic.net/domain/root.zone -O /etc/bind/db.root
# rndc reload
сделал. работает. спасибо.
если в файле named.conf стоит стои file „/etc/bind/db.root“
у меня
zone . IN {
type hint;
file named.ca;
};
Т.е. по сути это тоже самое, что остановить bind и поменять
/etc/bind/db.root, только этот файл обновит сам bind ?
Почему текущий файл такой мелкий а тот что на internic большой (всмысле
по количеству записей естесственно) ?
Поэтому его нужно обновить.
И дать Bind'у покрутится. Запустить Browser и полазить по разным
сайтам (.ru .com .net etc.) и само всё встанет на место.
И смотретm log /var/log/messages
#cat /var/log/messages | grep named
на такие записи:
Dec 25 05:47:56 dns named[1170]: error (network unreachable) resolving
'org/DNSKEY/IN': 2001:500:40::1#53
У меня ipv6 не используется вроде. Если я правильно понял на что вы
намекаете.
Подскажите пожалуйста.
--
--
Faithfully yours,
Vladimir Skubriev
--
--
Faithfully yours,
Vladimir Skubriev
--
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/52bbc7da.5040...@skubriev.ru
Re: bind и несколько провайдеров - как быть ?
25.12.2013 11:21, Mikhail A Antonov пишет: On 25/12/13 10:19, Vladimir Skubriev wrote: Насколько мне известно лучше использовать DNS провайдера, т.к. они ближе и быстрее а после уже для надежности прописать какие нибудь public dns сервера. Убери вообще всё из forwarders и живи спокойно. Убрал. Рассказал руководству. Руководство требует объясненией. Утверждает, что если мы полностью завязаны на google службы, т.е. docs, email, google search, google auth и т.д. то ни чего плохо нет в том, чтобы использовать google public dns. Говорят, что если гугл упадет, то и работа станет. Без google работы нет. Но ведь если упадут google public dns то у нас весь Интернет станет (а не только google сайты) если мы будем их использовать а не только google. Я прав ? Сейчас использовать DNS провайдера критично разве что для посещения локальных сайтов. В остальном не заметишь разницы. И даже в этом случае можно сказать запросы к этой зоне форвардим туда-то и не форвардить остальное. А вообще, если провайдеры твои используют dhcp/ppp - можно resolvconf подключить. Паблик днс это для тех, кто не осилил поднять свой или кому много своего днс ради одного себя. Цитирую Много своего ради одного себя - не понял фразы вообще. Ну или кому надо срочно какой-нибудь рабочий. Не вижу необходимости их использовать в постоянной жизни. Если не сложно можете написать в чем разница между использованием google public dns в forwarders и без них вообще. Мне нужно как то обосновать такой выбор более аргументировано. И раз и навсегда запомнить что такое плохо а что такое хорошо. К тому же у меня есть ученики, которым нужно донести все по фен шую. Помогите пожалуйста. Спасибо. -- -- Faithfully yours, Vladimir Skubriev -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/52bbca56.5070...@skubriev.ru
bind и несколько провайдеров - как быть ?
Есть DNS сервер для локалки bind в контейнере LXC
Есть отдельно стоящий шлюз, на котором подключены несколько провайдеров
по pppoe
У каждого провайдера есть свои DNS серверы.
Периодически провайдеры могут отваливаться, т.е. их DNS серверу
периодически могут быть недоступны.
На данный момент в bind используются не зависимые от провайдера DNS серверы:
forwarders {
//80.68.0.12;
//80.68.0.9;
8.8.8.8;
8.8.4.4;
};
Точнее это с тех пор, как был подключен второй провайдер.
Переключение между провайдерами происходит вручную скриптом, который
меняет шлюз по умолчанию.
Насколько мне известно лучше использовать DNS провайдера, т.к. они ближе
и быстрее а после уже для надежности прописать какие нибудь public dns
сервера.
Не могу понять одного, как мне сделать так, чтобы при переключении
провайдера (шлюза по умолчанию) на сервере у меня работал DNS.
Ведь если я пропишу так:
forwarders {
DNS-SERVER1-PROVIDER1;
DNS-SERVER2-PROVIDER1;
8.8.8.8;
8.8.4.4;
};
то при подключении второго провайдера
DNS-SERVER1-PROVIDER1 и DNS-SERVER2-PROVIDER1 не будут доступны и
наоборот соответственно тоже справедливо и для первого провайдера.
Я конечно могу сделать скрипт, который будет обновлять конфиг bind на
DNS сервере, но мне кажеться должно быть более красивое решение для этой
задачи.
Буду благодарен за помощь.
Спасибо.
--
--
Faithfully yours,
Vladimir Skubriev
--
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/52ba78ec.4080...@skubriev.ru
Re: bind и несколько провайдеров - как быть ?
25.12.2013 11:21, Mikhail A Antonov пишет: On 25/12/13 10:19, Vladimir Skubriev wrote: Насколько мне известно лучше использовать DNS провайдера, т.к. они ближе и быстрее а после уже для надежности прописать какие нибудь public dns сервера. Убери вообще всё из forwarders и живи спокойно. Т.е. bind будет обращаться к root серверам и быть зависимым только от них ? Сейчас использовать DNS провайдера критично разве что для посещения локальных сайтов. В остальном не заметишь разницы. Согласен, мне определенно не нужно. И даже в этом случае можно сказать запросы к этой зоне форвардим туда-то и не форвардить остальное. Да как бы не нужно пока и надеюсь не понадобится. А вообще, если провайдеры твои используют dhcp/ppp - можно resolvconf подключить. Исключительно ppp пока. Где его подключать на шлюзе или на DNS сервере (у меня это разные машины) ? Если на шлюзе то не ясно, каким образом это отразить на DNS сервере. Паблик днс это для тех, кто не осилил поднять свой или кому много своего днс ради одного себя. Ну или кому надо срочно какой-нибудь рабочий. Не вижу необходимости их использовать в постоянной жизни. т.е. вы предлагаете делать по умолчанию, т.е. чтобы bind использовал db.root и нужные ему сервера, без forwarders ? -- -- Faithfully yours, Vladimir Skubriev -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/52ba8f9e.2060...@skubriev.ru
Re: bind и несколько провайдеров - как быть ?
25.12.2013 11:23, Jurgen V. Uzbekoff пишет:
On Wed, Dec 25, 2013 at 10:19:24AM +0400, Vladimir Skubriev wrote:
…skipped…
Насколько мне известно лучше использовать DNS провайдера, т.к. они ближе
и быстрее а после уже для надежности прописать какие нибудь public dns
сервера.
Лучше для кого?
Они ближе и быстрее ровно до тех пор, пока доступны. В Вашем случае они
могут стать дальше и медленнее в любой момент. Может попробовать вообще
без forwarders обойтись? Я с некоторых пор именно так и поступил, когда
надоело разбираться, почему то или иное имя резолвится криво.
Всяко легче искать проблему на своём сервере, чем у провайдера…
Не могу понять одного, как мне сделать так, чтобы при переключении
провайдера (шлюза по умолчанию) на сервере у меня работал DNS.
Ведь если я пропишу так:
forwarders {
DNS-SERVER1-PROVIDER1;
DNS-SERVER2-PROVIDER1;
8.8.8.8;
8.8.4.4;
};
то при подключении второго провайдера
DNS-SERVER1-PROVIDER1 и DNS-SERVER2-PROVIDER1 не будут доступны и
наоборот соответственно тоже справедливо и для первого провайдера.
Может будут, может не будут… зависит от провайдера.
Я конечно могу сделать скрипт, который будет обновлять конфиг bind на
DNS сервере, но мне кажеться должно быть более красивое решение для этой
задачи.
Может оно и есть, но красивое решение в виде отсутствия forwarders — чем
не вариант?
уже +2 за решение без forwarders )
отлично, скорее всего на нем остановлюсь.
Не пойму почем сразу добавил forwarders видимо из-за простоты душевной )?
--
--
Faithfully yours,
Vladimir Skubriev
--
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/52ba900b.4000...@skubriev.ru
Re: debian + lamp для заказчика - как лучше сделать?
23.12.2013 23:29, Hleb Valoshka пишет: On 12/23/13, Скубриев Владимир vladi...@skubriev.ru wrote: 1. Как создать custom debian cd с preseed файлом ответов, который бы автоматически подхватывался инсталятором и лежал бы на самом iso-ке посмотрите вот тут, наверное, не на все вопросы будут ответы, но как базис должно подойти: http://www.ibm.com/developerworks/ru/library/shakhov/debian_installer/index.html Спасибо хорошая ссылка -- -- Faithfully yours, Vladimir Skubriev -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/52b90b9c.4080...@skubriev.ru
Re: ldap и osqa
18.12.2013 13:07, Andrey Kuzmin пишет: Коллеги добрый день. Есть вопрос по использованию osqa по ldap. Ситуация такая. Есть виндовый домен. Есть машинка с linux (пока не в домене) на этой машинке настроено apache+osqa+mysql+django. Мне необходмио прикрутить osqa доменную авторизацию. Нашел плагин подключил его, но при заполнении всех необходимых полей (типа DN for binding:, Base DN: и тп.) и при попытки аутентификации мне выкидывается ошибка Login failed - LDAP bind error. Может кто нибудь сталкивался с такой проблемой здесь обсуждается подобная проблема http://social.technet.microsoft.com/Forums/ru-RU/5030501c-69a6-4a39-96a2-ee6c2ddd320f/-ldap-bind проблема в том, что клиент ldap в osqa не может соединится с ldap сервером причин может быть много, но основные 1. сервер ldap microsoft не поддерживает plain text bind, рыть в строну как включить или как сделать безопасный bind к ldap microsoft'a 2. клиент действительно передает не то, что нужно - возможно что то в параметрах не правильное. Попробуйте по разному подключатся с ldap серверу. Почитайте что поддерживает сервер (какие способы bind) и что поддерживает клиент. Возможно сервер требует kerberos auth или же работает только через TLS. Читайте логи сервер там может быть что нибудь интересное. Скачайте какой-нибудь ldap gui browser и попробуйте подключится из него, сравните параметры подключения(bind) -- -- Faithfully yours, Vladimir Skubriev
Re: Unidentified subject!
18.12.2013 15:03, Martin Danielyan пишет: On Wednesday, December 18, 2013 2:42 PM, Martin Danielyan mr.danielya...@yahoo.com wrote: Нужен совет какой сервер выбрать для прокси сервера я новичок и исходя из безопасности можно потом на него поставит меил сервер, или всетки для меила взят другую машину. * Eserv http://ru.wikipedia.org/wiki/Eserv (GPL, Windows) * Kerio Control http://ru.wikipedia.org/wiki/Kerio_Control (проприетарный, Windows, Linux) * nginx http://ru.wikipedia.org/wiki/Nginx (веб-сервер, имеющий режим работы в качестве reverse proxy и часто для этого использующийся) * Squid http://ru.wikipedia.org/wiki/Squid (GPL, многоплатформенный) * Интернет Контроль Сервер http://ru.wikipedia.org/wiki/%D0%98%D0%BD%D1%82%D0%B5%D1%80%D0%BD%D0%B5%D1%82_%D0%9A%D0%BE%D0%BD%D1%82%D1%80%D0%BE%D0%BB%D1%8C_%D0%A1%D0%B5%D1%80%D0%B2%D0%B5%D1%80 (shareware, FreeBSD) * TOR http://ru.wikipedia.org/wiki/TOR (BSD, многоплатформенный) * Ideco ICS http://ru.wikipedia.org/wiki/Ideco_ICS (проприетарный, Linux) и который из них выбрать для дебиана-а, и какую книги прочест для каждого случия. В вашем случае лучше начать с Ideco. По крайней мере я бы на вашем месте купил бы именно его если клиентов будет много. -- -- Faithfully yours, Vladimir Skubriev
Re: куда приспособить SSD?
13.12.2013 16:12, Artem Chuprina пишет: Хмутро. Завел ноутбук с парой дисков 24 Gb SSD + 500 Gb HDD. Принимаются советы на тему подо что отдать SSD. Система (скорее для надежности, чем для скорости) плюс своп для скорости? И какой, кстати, стоит сделать своп, если RAM 6 Gb, и на ноуте планируется, в числе прочего, гонять винду под виртуалбоксом? Но всего одну, и XP, и больше 2 Gb RAM ей никто не даст... я бы отдал часть ssd под винду и /usr для линукса своп лучше на обычном диске держать, так ssd дольше прослужит а остальное как душе угодно ) -- -- Faithfully yours, Vladimir Skubriev -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/52aafb58.9060...@skubriev.ru
разделение серверов на серверы данных и приложения - best practic ?
Возник вопрос в связи с тем, что уже понял что такое Config Management System Есть у меня система chef есть у меня все что нужно чтобы поднять сервис определенный. По сути все сервисы можно разделить на службы предоставляющие доступ к данным и приложения которые предоставляют доступ к этим данным через свои собственные интерфейсы пользователям. Например slapd, redmine, nfs, samba, ftp, и т.д. Понятное дело, что некоторые службы должны иметь монопольный доступ к своим данным. Но все же данные они по сути статичны. А вот приложения не совсем. Я их могу обнволять, переносить с одной машины ну другую и т.д. Вопрос вам это не чего не напоминает ? Вы так делаете ? Какие технологии можно использовать для разделения данных от приложений ? Приблизительно мне эта система видиться как: Два сервера - для надежности - единое хранилище для серверов на которых уже развернуты приложения работающие через какие то протоколы со своими данными. Как это правильно называется - ведь наверняка что то похожее уже давно кем либо используется ? Из арсенала у меня только, увы desktop'ы и linux ) пока. Хотя конечно в перспективе можно подумать и о чем то более разумном для хранилища. Для серверов приложений думаю за глаза обычных desktop's. -- -- Best regards, Vladimir Skubriev -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/52a711a8.8050...@skubriev.ru
Re: не инициализируется md raid с корневым разделом при загрузке
04.12.2013 21:27, Alexander пишет: Debian 7 x64 (ставил через debootstrap). Имею md-зеркало, которое целиком отдано как PV под lvm. После переименования VG с lvm-томом, содержащим корневой раздел (/boot внутри), и перезагрузки - на стадии монтирования корня пишется следующее: assembling all MD arrays ... Failure: faild to assemble all arrays. Судя вот по этому и Volume group vg1 not found Unable to find LVM volume vg1/lv_root Waiting for root file system ... Gave up waiting for root device. ALERT! /dev/mapper/vg1-lv_root does not exist. и вываливается в шелл бизибокса - initramfs Сдается мне с переименованием VG это не связано - просто совпадение, ибо проделал аналогичные действия на виртуалке и все взлетело (fstab отредактировал, initrd пересобрал, dpkg-reconfigure grub-pc сделал), ибо до lvm дело даже и не доходит, как я понимаю... в бизибоксе: mdadm --examine --scan показывает рейд mdadm --assemble --scan тишина вот по этому mdadm --detail --scan тишина странно почему тишина uuid в mdadm.conf правильный подскажите куда копать?.. дело в том, что не собирается Raid лично мне как то маловато информации чтобы догадаться до того где собака зарыта но скорее всего то, что дело в не сборке массивов с vg автоматом нужен mdadm.conf из busybox и пожалуй еще #mdadm -Q --detail /dev/md* из того же busybox'a ну тогда еще и (вопрос в конце часть команды) #mdadm -E /dev/sd[a-z]? cat /proc/mdstat тоже из busybox на всякий случай и еще fdisk -l /dev/sd[a-z], вдруг у вас разделы не помечены как fd, хотя вот тут не факт что mdadm это важно. -- -- Best regards, Vladimir Skubriev -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/52a00dd0.6000...@skubriev.ru
Re: помогите упростить условие bash
30.11.2013 00:48, Oleksandr Gavenko пишет: А POSIX то не дочитали...: http://pubs.opengroup.org/onlinepubs/009695399/utilities/xcu_chap02.html#tag_02_09_05_01 2.9.5 Function Definition Command ... Exit Status The exit status of a function definition shall be zero if the function was declared successfully; otherwise, it shall be greater than zero. The exit status of a function invocation shall be the exit status of the last command executed by the function. Вот тебе и чтение манов на ночь ) Спасибо. Закоммитил. -- -- Best regards, Vladimir Skubriev -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/529c0a7c.9010...@skubriev.ru
как отучить себя от nano ?
apt-get remove nano )) шутки ради - просто достало уже, вводить вместо vi - nano ) -- -- Best regards, Vladimir Skubriev -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/52986116.8010...@skubriev.ru
Re: как отучить себя от nano ?
29.11.2013 14:51, moskovets пишет: так а всё же, если человек машинально nano пишет! В Fri, 29 Nov 2013 16:50:26 +0600 Alexey Shalin c...@hoster.kg написав: в /etc/profile export EDITOR=/usr/bin/vi --- Старший Системный Администратор Алексей Шалин ОсОО Хостер kg - http://www.hoster.kg ул. Ахунбаева 123 (здание БГТС) h...@hoster.kg ) в том то все и дело ) надо было n лет назад думать головой и не множко больше терпения ) -- -- Best regards, Vladimir Skubriev -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/5298794e.5010...@skubriev.ru
Re: как отучить себя от nano ?
29.11.2013 15:27, dimas пишет: а зачем? если нравится - так и пользуйся)) в том то все и дело, что уже многое как раз не нравиться особенно то, что он не стандарт ))) и многое умеет гораздо хуже. хотя да пока не знаешь что такое regexp, sed, man, и т.д. он самое то. но как только понимаешь всю прелесть юникса - он становиться чем то совсем не кудышним и не стандартным единственное что могу сказать, что если хочешь стать админом, то лучше сразу начинать с него а не жалеть себя nano -- -- Best regards, Vladimir Skubriev -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/5298812b.8070...@skubriev.ru
Re: как отучить себя от nano ?
29.11.2013 16:34, Mikhail A Antonov пишет: 29.11.2013 16:25, Dmitry Derjavin пишет: Fri, 29 Nov 2013, 16:05, Mikhail A. Antonov: Приучить себя как только наткнулся на nano сказать aptitude install vim nano_ Я это делаю сразу после установки свежей системы. […] WWW: http://www.antmix.ru/ Ой! Скриншот nano на главной странице… ;) Под статьёй написано что статья честно стырена, на источник есть ссылка. Стырена с целью предотвращения пропадания из интернетов. Довольно часто вопрос, поднятый в статье, возникал у знакомых и источник был недоступен. Смысла переписывать и перескриншотивать смысла не вижу. В чем разница между Работать будем с меню GRUB: grub root (hd0,0) grub setup (hd0) grub root (hd1,0) grub setup (hd1) grub quit Теперь перезагружаемся и выбираем для загрузки второе ядро. И например обычным grub-install /dev/sda grub-install /dev/sdb Это магическое слово root (hd0,0) не дает мне покоя или это равносильно /dev/sda -- -- Best regards, Vladimir Skubriev -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/52988e53.6040...@skubriev.ru
помогите упростить условие bash
check_rebuild_status(){
if [ $(grep recovery /proc/mdstat -c) -ne 0 ]; then
return 0
else
return 1
fi
}
Чтобы было более элегантно.
--
--
Best regards,
Vladimir Skubriev
--
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/5298274c.6020...@skubriev.ru
есть ли разница между dpkg-reconfigure grub-pc и grub-install при использовании mdadm raid 1
по ходу дела возник вопрос: есть ли разница между 1. dpkg-reconfigure grub-pc и 2. grub-install /dev/sda grub-install /dev/sdb grub-install /dev/sdc и 3. grub-install /dev/sda /dev/sdb /dev/sdc если используешь mdadm raid 1 ? так сказать спрошу заранее более опытных ) -- Best regards, CVision Lab System Administrator Vladmir Skubriev -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/5295ed6a.8090...@cvisionlab.com
Re: три диска в зеркале - как отсоединить один диск, чтобы файловые системы на нем были в консистентном состоянии без выключения компьютера?
27.11.2013 10:47, Mike Mironov пишет: 27.11.2013 09:48, Vladimir Skubriev пишет: ... Если конечно такое возможно. Три диска в зеркале - как отсоединить один диск, чтобы файловые системы на нем были в консистентном состоянии ? На рабочей системе с тремя дисками в raid1: sda1,sdb1,sdc1 = md0, /boot sda2,sdb2,sdc2 = md1, lvm pv с именем - sysraid with rootfs, home, var/log, var/lib/lxc and etc logical volumes of server делаю: grub-install /dev/sdc mdadm /dev/md0 --fail /dev/sdc1 mdadm /dev/md0 --remove /dev/sdc1 mdadm /dev/md1 --fail /dev/sdc2 mdadm /dev/md1 --remove /dev/sdc2 sdc - диск подключенный через usb 3.0 dock станцию. выключаю компьютер, вынимаю sda,sdb оставляю только sdc, который выкинул из массива grub грузиться и даже с меню. Но после нажатия Enter на строке обычной загрузки системы или строке восстановления системы - компьютер почти сразу уходит в ребут. Если загрузится с CD диска, то вижу следующее: cat /proc/mdstat md126inactivesda2[2](S) md127inactivesda1[3](S) Ваша проблема почти наверняка связана с конфигурацией mdadm. На что стоит посмотреть: 1. Соответствию файла конфигурации в initrd и в /etc/mdadm. Если вы не выполняли принудительного обновления initrd после перестройки массива, то в initrd будет старая конфигурация, которая может не позволить собраться новому массиву. Рекомендуется после обновления массива делать update-initramfs -u. Это вроде должно решить и проблему 2 это ясно, что система может не грузиться т.к конфигурация в целом не соотвествует тому что в ramfs, но мне кажется проблема зарыта глубже. Я проверил на синхронизированном массиве из 3-х дисков, т.е на полностью рабочем массиве нормально выключил сервер. и попробовал грузиться с каждого диска по отдельности. С двух дисков на которые ставилась система система нормально грузится. А с третьего добавленного после установки - нет. Т.е. с третьим диском получается следующее: Обычная загрузка системы - стала зависать на черном экране после выбора ядра и Enter в grub. При этом Ctrl+Alt+Del работают Частично заработала загрузка в ramfs (Ранее было чистая перезагрузка из-за не возможности монтирования битого корня). Частично - потому, что загружается ядро, которое естественно читается с файловой системы для /boot, т.е. /dev/md0 И все далее сообщение примерно такое: The system may have suffered a hardware fault such as a disk drive failure. The root device may depend on the RAID devices being online. One or more of the following RAID devices are degraded: Personalities: ... md1. active raid1 sda2[0] 243577664 blocks super 1.2 [3/1] [U__] md0. active raid1 sda2[0] 487104 blocks super 1.2 [3/1] [U__] Attempting to start the RAID in degraded mode... mdadm: CREATE user root not found mdadm: CREATE group disk not found Started the RAID in degraded mode. Это сообщение выводится бесконечно (примерно в 10 секунд) и до шелла busybox дело не доходит. Возможно разница в том, как устанавливается загрузчик на третий диск. Возможно есть разница между тем: 1. как его ставить на винт debian-installer и 2. ручным запуском из работающей системы на трех дисках в raid1 командой grub-install /dev/третий_диск. Просто возникает закономерный вопрос: Почему с двух дисков система из raid1 с тремя дисками грузится. А с третьего добавленного вручную в процессе эксплуатации сервера к зеркалу из двух винтов - НЕТ. Так как я эксперементирую и пятаюсь понять логику работы mdadm я решил попробовать загрузить систему с одного из дисков при условии что подключены остальные. При этом я сломал загрузку со тех двух дисков, с которых все грузилось по отдельности, на которые система ставилась изначально. Т.е. ядро при загрузке что то изменило на всех дисках, и теперь, чтобы загрузить старую систему мне нужно будет скорее всего создавать новый массив, затирая суперблоки mdadm ))) Ну раз уж я все уже сломал, то решил попробовать поставить на эти диски систему с нуля - т.е. сразу сделать зеркало из 3 дисков в инсталлере. Вставил флэшку с установщиком и вуаля черный экран. По есть по сути ядро отказывается грузится при подключенных дисках с одинаковыми, но разрозненными массивами. Т.е. я же их все вместе включал и система пришла в ступор - когда увидела три диска с абсолютно разными хвостами. Вот это уже интересней. Отчистил mbr-ы заново поставил систему по старой схеме mdadm+lvm. Попробовал загрузится та же песня с двух перезагрузка, с одного черный экран с работающим Ctrl+Alt+Del. Несмотря на bootdegraded=true система отказывается запускатся в связи с чем возникает закономерный вопрос: К чему она предлагала мне на выбор(в конце установки) два варианта грузиться и не грузиться если массив будет degraded? Какова логика разработчиков. Кто знает ? Подскажите пожалуйста. 2. Соответствие конфигурации mdadm и реальных массивов. Возможны ситуации, когда вы перестроили массивы, а в файле конфигурации остались старые данные не проблема делать обновление ramfs. 23. Содержимое
Re: три диска в зеркале - как отсоединить один диск, чтобы файловые системы на нем были в консистентном состоянии без выключения компьютера?
28.11.2013 09:13, Alexander пишет: 28.11.2013, 08:55, Vladimir Skubriev vladi...@skubriev.ru: 27.11.2013 10:47, Mike Mironov пишет: 27.11.2013 09:48, Vladimir Skubriev пишет: ... Если конечно такое возможно. Три диска в зеркале - как отсоединить один диск, чтобы файловые системы на нем были в консистентном состоянии ? На рабочей системе с тремя дисками в raid1: sda1,sdb1,sdc1 = md0, /boot sda2,sdb2,sdc2 = md1, lvm pv с именем - sysraid with rootfs, home, var/log, var/lib/lxc and etc logical volumes of server делаю: grub-install /dev/sdc mdadm /dev/md0 --fail /dev/sdc1 mdadm /dev/md0 --remove /dev/sdc1 mdadm /dev/md1 --fail /dev/sdc2 mdadm /dev/md1 --remove /dev/sdc2 sdc - диск подключенный через usb 3.0 dock станцию. выключаю компьютер, вынимаю sda,sdb оставляю только sdc, который выкинул из массива grub грузиться и даже с меню. Но после нажатия Enter на строке обычной загрузки системы или строке восстановления системы - компьютер почти сразу уходит в ребут. Если загрузится с CD диска, то вижу следующее: cat /proc/mdstat md126inactivesda2[2](S) md127inactivesda1[3](S) Ваша проблема почти наверняка связана с конфигурацией mdadm. На что стоит посмотреть: 1. Соответствию файла конфигурации в initrd и в /etc/mdadm. Если вы не выполняли принудительного обновления initrd после перестройки массива, то в initrd будет старая конфигурация, которая может не позволить собраться новому массиву. Рекомендуется после обновления массива делать update-initramfs -u. Это вроде должно решить и проблему 2 это ясно, что система может не грузиться т.к конфигурация в целом не соотвествует тому что в ramfs, но мне кажется проблема зарыта глубже. Я проверил на синхронизированном массиве из 3-х дисков, т.е на полностью рабочем массиве нормально выключил сервер. и попробовал грузиться с каждого диска по отдельности. С двух дисков на которые ставилась система система нормально грузится. А с третьего добавленного после установки - нет. Т.е. с третьим диском получается следующее: Обычная загрузка системы - стала зависать на черном экране после выбора ядра и Enter в grub. При этом Ctrl+Alt+Del работают Частично заработала загрузка в ramfs (Ранее было чистая перезагрузка из-за не возможности монтирования битого корня). Частично - потому, что загружается ядро, которое естественно читается с файловой системы для /boot, т.е. /dev/md0 И все далее сообщение примерно такое: The system may have suffered a hardware fault such as a disk drive failure. The root device may depend on the RAID devices being online. One or more of the following RAID devices are degraded: Personalities: ... md1. active raid1 sda2[0] 243577664 blocks super 1.2 [3/1] [U__] md0. active raid1 sda2[0] 487104 blocks super 1.2 [3/1] [U__] Attempting to start the RAID in degraded mode... mdadm: CREATE user root not found mdadm: CREATE group disk not found Started the RAID in degraded mode. Это сообщение выводится бесконечно (примерно в 10 секунд) и до шелла busybox дело не доходит. Возможно разница в том, как устанавливается загрузчик на третий диск. Возможно есть разница между тем: 1. как его ставить на винт debian-installer и 2. ручным запуском из работающей системы на трех дисках в raid1 командой grub-install /dev/третий_диск. Просто возникает закономерный вопрос: Почему с двух дисков система из raid1 с тремя дисками грузится. А с третьего добавленного вручную в процессе эксплуатации сервера к зеркалу из двух винтов - НЕТ. Так как я эксперементирую и пятаюсь понять логику работы mdadm я решил попробовать загрузить систему с одного из дисков при условии что подключены остальные. При этом я сломал загрузку со тех двух дисков, с которых все грузилось по отдельности, на которые система ставилась изначально. Т.е. ядро при загрузке что то изменило на всех дисках, и теперь, чтобы загрузить старую систему мне нужно будет скорее всего создавать новый массив, затирая суперблоки mdadm ))) Ну раз уж я все уже сломал, то решил попробовать поставить на эти диски систему с нуля - т.е. сразу сделать зеркало из 3 дисков в инсталлере. Вставил флэшку с установщиком и вуаля черный экран. По есть по сути ядро отказывается грузится при подключенных дисках с одинаковыми, но разрозненными массивами. Т.е. я же их все вместе включал и система пришла в ступор - когда увидела три диска с абсолютно разными хвостами. Вот это уже интересней. Отчистил mbr-ы заново поставил систему по старой схеме mdadm+lvm. Попробовал загрузится та же песня с двух перезагрузка, с одного черный экран с работающим Ctrl+Alt+Del. Несмотря на bootdegraded=true система отказывается запускатся в связи с чем возникает закономерный вопрос: К чему она предлагала мне на выбор(в конце установки) два варианта грузиться и не грузиться если массив будет degraded? Какова логика разработчиков. Кто знает ? Подскажите пожалуйста. 2. Соответствие конфигурации mdadm и реальных массивов. Возможны ситуации, когда
три диска в зеркале - как отсоединить один диск, чтобы файловые системы на нем были в консистентном состоянии без выключения компьютера?
... Если конечно такое возможно. Три диска в зеркале - как отсоединить один диск, чтобы файловые системы на нем были в консистентном состоянии ? На рабочей системе с тремя дисками в raid1: sda1,sdb1,sdc1 = md0, /boot sda2,sdb2,sdc2 = md1, lvm pv с именем - sysraid with rootfs, home, var/log, var/lib/lxc and etc logical volumes of server делаю: grub-install /dev/sdc mdadm /dev/md0 --fail /dev/sdc1 mdadm /dev/md0 --remove /dev/sdc1 mdadm /dev/md1 --fail /dev/sdc2 mdadm /dev/md1 --remove /dev/sdc2 sdc - диск подключенный через usb 3.0 dock станцию. выключаю компьютер, вынимаю sda,sdb оставляю только sdc, который выкинул из массива grub грузиться и даже с меню. Но после нажатия Enter на строке обычной загрузки системы или строке восстановления системы - компьютер почти сразу уходит в ребут. Если загрузится с CD диска, то вижу следующее: cat /proc/mdstat md126inactivesda2[2](S) md127inactivesda1[3](S) mdadm --stop /dev/md126 mdadm --stop /dev/md127 а после собрать их так: mdadm -A --scan То они собираются и работают с всего один диском. Но файловые системы не монтируются, mount ругается на The superblock could not be read or does not describe a correct ext4 filesystem. If the device is valid and it really contains an ext4 filesystem (and not swap or ufs or something else), then the superblock is corrupt, and you might try running e2fsck with an alternate superblock: e2fsck -b 8193 Пробовал делать e2fsck -b 8193 /dev/sysraid/volume_name не помогает. Очевидно, что надо выбрасывать этот третий диск из массива когда ФС не смонтированы. Или что то еще ? Вопрос в том, как это лучше делать ? Самый простой вариант(на работающем массиве из трех синхронизированных дисках) - отключить сервер, вытащить 3-ий диск. Включить сервер. Есть идея сделать это через переключение уровней запуска. Но не ясно приведет ли это к желаемому результату. Кажется это какой-то долгий и сильно сложный путь. Второй вариант - без mdadm, точнее скрипт, который создаст нужную разметку на третем винте, сделает снапшоты, и скопирует логические тома. Но его тоже будет не просто написать. Откровенно говоря - на знаю куда копать и что делать дальше. -- -- Best regards, Vladimir Skubriev -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/529587b1.2080...@skubriev.ru
Re: udev infinity loop when using custom rule file with RUN+= script and sfdisk
22.11.2013 18:25, dimas пишет: На счет крона хорошая идея, т.к. я в принципе не планировал сразу после того, как вставил диск начинать архивирование. для однораховой задачи скорее подойдет какой-нибудь at. насколько я понмю, ему можно сказать что-то типа запустить через 10 минут. посмотрел на at буду иметь его в виду. и еще: пайп ( cmd1 | cmd2 ) создает новый subshell (как это по-русски?), в котором выполняется cmd2. во избежание этого (например, в случае, когда в конце пайпа запускаем функцию, которая питается переменными из нашего скрипта) вместо cat filename | cmd стоит делать cmd filename а вместо echo bla-bla-bla | cmd как-нибудь так cmd EOF bla-bla-bla EOF а то я как-то долго не мог понять, почему функция не видит переменных, а потом вычитал в мане про эту тему, она ж запускается в чистом окружении. это уже немного оффтоп, но иногда можно на такое напороться. Конкретно с таим не сталкивался, т.к. не нужно было еще. Чем еще примечателена команда: cmdfilename ? Конструкцию вида: cmd EOF EOF я частенько использовал, только все равно до конца не понимаю, что это за конструкция. Видел скопипастил и пользуюсь )) Еще мне частенько встречались EOH-и и что то еще. где об этом почитать и как это называется ? -- -- Best regards, Vladimir Skubriev -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/52942778.3030...@skubriev.ru
udev infinity loop when using custom rule file with RUN+= script and sfdisk
Мне нужно при присоединении определенного диска к серверу выполнять кое
какой скрипт для резервного копирования сервера:
SUBSYSTEM==block, KERNEL==sd?, ATTRS{vendor}==ST500DM0,
ATTRS{model}==02-1BD142 ,
RUN+=/usr/local/sbin/customscripts/backups/fullserverbackup.sh /dev/$name
Скрипт срабатвает один раз, т.к. девайс такой только один - с эти
проблем нет.
Но в самом скрипте я использую следующий код:
sfdisk -d $SRC_DISK_FOR_MBR_PART_TABLE /tmp/sfdisk.pt
cat /tmp/sfdisk.pt | sfdisk $DST_DEV
[[ $? -eq 0 ]] logger -p daemon.info fullserverbackup.sh:::
sfdisk succesfull copy partitions from $SRC_DISK_FOR_MBR_PART_TABLE to $DST$
Так вот этот не хороший sfdisk вызывает зацикливание, т.е. во время
работы этого скрипта вызывается еще один такой же потом еще один такой
же - т.е. как бы рекурсия получается.
Естественно по причине особенностей работы sfdisk. Я пробовл
использовать sfdisk --no-reread, но увы почему то не помогает - в
принципе. Хотя и требуется по хорошему, т.к. мне после то надо писать на
этот DST_DEV данные с рабочих дисков.
Пробовал в начале скрипта сделать условие вида:
if [ -e /tmp/sfdisk.pt ]; then exit ;
else
# ДАЛЕЕ ВЕСЬ МОЙ КОД СКРИПТА АРХИВИРОВАНИЯ
fi
Но не помогает это условие. А почему я не могу понять.
Еще хочу спросить, если этот скрипт будет выполняться раз в неделю, т.е.
я буду подключать резервный диск к серверу раз в неделю, а сервер может
работать не перезагружась несколько месяцев, то как мне быть с файлом
/tmp/sfdisk.pt ? Когда бы его удалять ?
Если я удалю сразу после
cat /tmp/sfdisk.pt | sfdisk $DST_DEV
то не факт, что сразу же запущенный этот же скрипт - не запуститься
из-за условия в начале,т.е.
if [ -e /tmp/sfdisk.pt ]; then exit ;
Которое как раз проверяет а не был ли запущен этот самый скрипт.
Можно конечно отказаться от sfdisk-ка, но надо же уточнить - вдруг я в
корне не прав в том, что навоял на bash'e.
Вообщем господа - скажу честно - запутался.
Помогите сделать красиво и работоспособно.
Спасибо.
--
--
Best regards,
Vladimir Skubriev
--
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/528f4373.10...@skubriev.ru
Re: udev infinity loop when using custom rule file with RUN+= script and sfdisk
22.11.2013 17:19, Artem Chuprina пишет:
Vladimir Skubriev - Debian-russian@lists.debian.org @ Fri, 22 Nov 2013
15:43:47 +0400:
VS Мне нужно при присоединении определенного диска к серверу выполнять кое
какой
VS скрипт для резервного копирования сервера:
VS SUBSYSTEM==block, KERNEL==sd?, ATTRS{vendor}==ST500DM0,
VS ATTRS{model}==02-1BD142 ,
VS RUN+=/usr/local/sbin/customscripts/backups/fullserverbackup.sh
/dev/$name
Для начала. Кажется, в документации на udev написано: НИКОГДА не пишите
тут скриптов, которые могут выполняться долго.
Поставь флаг для следящего демона (например, cron), и выходи. И забудь
про описанную проблему.
Второе.
Делать бэкап по факту вставления диска - плохая идея. Как ты будешь с
него восстанавливать файлы, если стоит его воткнуть - скрипт бэкапа
начнет их стирать (если они удалены) или затирать испорченными (если они
испорчены)?
Хорошее правило: прежде чем разработать систему резервного копирования,
разработай систему восстановления. Иначе смысла в такой системе
резервного копирования не будет.
Этот бэкап второй способ бэкапа, т.е. важные данные бэкапяться бакулой
каждый день на архивный сервер.
Это для того, чтобы раз в неделю снимать копию с сервера и уносить её
домой )
На счет крона хорошая идея, т.к. я в принципе не планировал сразу после
того, как вставил диск начинать архивирование.
Я планировал, что это будет делаться ночью, а утром я буду забирать это
диск прийдя на работу.
И так раз в неделю - желание руководства.
--
--
Best regards,
Vladimir Skubriev
--
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/528f602d.6050...@skubriev.ru
использовать или нет /etc/hosts, если есть собственный DNS для локальной зоны?
Столкнулся с проблемой описанной: http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=679479 В кратце: не стартует сервис bacula-fd только при старте компьютера: cat /var/log/bacula-fd-initd.log 23-Oct 11:30 bacula-fd: ERROR TERMINATION at address_conf.c:521 Config error: can't add port (server.example.lab) to (can't resolve hostname(server.exmaple.lab) Connection timed out) : line 8, col 30 of file /etc/bacula/bacula-fd.conf FDAddress = server.example.lab Причем такое на нескольких компьютерх в сети и не только с File Daemon но и Storage Daemon, Director как то обходится без hosts. Видимо потому, что стартует позже всех, это видно из /etc/rc2.d/* Это предистория. А теперь вопрос: Я могут использовать /etc/hosts файл и задать там АДРЕС ИМЯ вручную. Но тогда мне придется за этим файлом следить. Тем более что сервера у меня используют статические IP. А если например мне нужно будет запускать bacula-fd на компьютерах с DHCP а таких большинство, поддерживать hosts файл будет не совсем правильно. Можно конечно решить эту проблему другими способами, но меня больше интересует именно /etc/hosts и его use cases Или лучше следить за hosts и в будущем не наступать на такие грабли (на компах со статическим IP)? Тем более, что это возможно актуально и для других служб. Вообщем best-practic ? -- С Уважением, специалист по техническому и программному обеспечению, системный администратор Скубриев Владимир ~~~ Россия, Ростовская область, г. Таганрог тел. моб: +7 (918) 504 38 20 skype: v.skubriev icq: 214-800-502 www: skubriev.ru
Re: использовать или нет /etc/hosts, если есть собственный DNS для локальной зоны?
On 10/23/2013 12:32 PM, Artem Chuprina wrote: Vladimir Skubriev - Debian-russian@lists.debian.org @ Wed, 23 Oct 2013 12:26:32 +0400: VS Столкнулся с проблемой описанной: VS http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=679479 VS В кратце: не стартует сервис bacula-fd только при старте компьютера: VS cat /var/log/bacula-fd-initd.log VS 23-Oct 11:30 bacula-fd: ERROR TERMINATION at address_conf.c:521 VS Config error: can't add port (server.example.lab) to (can't resolve VS hostname(server.exmaple.lab) Connection timed out) VS : line 8, col 30 of file /etc/bacula/bacula-fd.conf VS FDAddress = server.example.lab VS Причем такое на нескольких компьютерх в сети и не только с File Daemon но и VS Storage Daemon, Director как то обходится без hosts. VS Видимо потому, что стартует позже всех, это видно из /etc/rc2.d/* VS Это предистория. А теперь вопрос: VS Я могут использовать /etc/hosts файл и задать там АДРЕС ИМЯ вручную. Но тогда VS мне придется за этим файлом следить. VS Тем более что сервера у меня используют статические IP. VS А если например мне нужно будет запускать bacula-fd на компьютерах с DHCP а VS таких большинство, поддерживать hosts файл будет не совсем правильно. VS Можно конечно решить эту проблему другими способами, но меня больше интересует VS именно /etc/hosts и его use cases VS Или лучше следить за hosts и в будущем не наступать на такие грабли (на компах VS со статическим IP)? VS Тем более, что это возможно актуально и для других служб. VS Вообщем best-practic ? Я подозреваю, что лучше всего будет ему объяснить, чтобы он поднимался после полного подъема сети. (В смысле, если DNS-сервер локальный, то и после него тоже.) У нас же dependency-based загрузка нынче. вопрос больше не в этом а в том, использововть /etc/hosts или нет ) это я и сам понимаю, я пробовал, но например там где стоят bacula-sd и bacula-fd это действует только только на одни сервис, другой почему то все равно запускаеться или до или видимо во время инициализации сети ) -- С Уважением, специалист по техническому и программному обеспечению, системный администратор Скубриев Владимир ~~~ Россия, Ростовская область, г. Таганрог тел. моб: +7 (918) 504 38 20 skype: v.skubriev icq: 214-800-502 www: skubriev.ru -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/52678d1e.4000...@skubriev.ru
Re: использовать или нет /etc/hosts, если есть собственный DNS для локальной зоны?
On 10/23/2013 02:15 PM, Andrey Rahmatullin wrote: On Wed, Oct 23, 2013 at 02:13:00PM +0400, Artem Chuprina wrote: Ну, или альтернативный вариант: сделать централизованный hosts, содержащий всю статику сети, и раскидывать его скриптом по всем серверам сразу после изменений. Я так понимаю, до DNS так и делали? до DNS не было bacula просто так получилось, что я забыл вообще про hosts после настройки DNS почти на всех серверах, ну работает все и хорошо. Потом не сразу заметил, что бакула не подымается иногда, постепенно выяснил в чем дело и вот опять вернулся с чего начинал ) Т.е. к hosts Вообщем то я для себя решил пока буду юзать hosts на статике А если будет dhcp буду вешать рестарт бакулы после старта сети как нибудь Вообще хотел услышать практику по hosts если есть свой DNS ) -- С Уважением, специалист по техническому и программному обеспечению, системный администратор Скубриев Владимир ~~~ Россия, Ростовская область, г. Таганрог тел. моб: +7 (918) 504 38 20 skype: v.skubriev icq: 214-800-502 www: skubriev.ru -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/5267a7a0.2010...@skubriev.ru
Re: использовать или нет /etc/hosts, если есть собственный DNS для локальной зоны?
On 10/23/2013 03:54 PM, Andrey Tataranovich wrote: В Wed, 23 Oct 2013 14:13:00 +0400 Artem Chuprina r...@ran.pp.ru пишет: Странно. Если зависимость прописана, то уж для сети-то она должна срабатывать. Подъем сети уж должен быть устроен так, чтобы не считаться завершенным, пока сеть действительно не поднялась. Вот в то, что скрипт запуска DNS-сервера забывает дождаться, пока оный сервер успешно поднимется и будет готов к работе, я легче поверю. Зависимость можно прописать только на машине, где стоит DNS сервер(а). А другие сервера (которые используют локальный DNS по сети) вполне могут загрузиться раньше, чем сервер(а) с локальным DNS. Да дело в том, что bacula службы не должны зависеть от DNS, точнее их загрузка не должна зависеть от DNS. Работа должна, точнее у меня она полностью зависит от DNS. Но блин мне было совсем не очевидно когда я копал в сторну почему не они не запускаются и в итоге наткнулся на DNS ) Хотя может и опыта не хватает. -- С Уважением, специалист по техническому и программному обеспечению, системный администратор Скубриев Владимир ~~~ Россия, Ростовская область, г. Таганрог тел. моб: +7 (918) 504 38 20 skype: v.skubriev icq: 214-800-502 www: skubriev.ru -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/5267bad7.4070...@skubriev.ru
Re: использовать или нет /etc/hosts, если есть собственный DNS для локальной зоны?
On 10/23/2013 03:26 PM, Andrey Lyubimets wrote: Если есть DNS-сервер, то hosts использовать не нужно! В качестве подпорки используй что-нибудь типа /etc/init.d/bacula restart в /etc/rc.local, или в файлик в /etc/cron.d/ . По крайней мере за ним не нужно следить. спасибо, я что то подобное прежполагаю - хук к скриптам запуска может сетевым может другим -- С Уважением, специалист по техническому и программному обеспечению, системный администратор Скубриев Владимир ~~~ Россия, Ростовская область, г. Таганрог тел. моб: +7 (918) 504 38 20 skype: v.skubriev icq: 214-800-502 www: skubriev.ru -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/5267c10c.5090...@skubriev.ru
Re: использовать или нет /etc/hosts, если есть собственный DNS для локальной зоны?
On 10/23/2013 04:26 PM, Artem Chuprina wrote:
Вообще говоря, считается, что если работа зависит от DNS, то и загрузка
может иметь право от него зависеть. Ну, то есть никто или почти никто
не заботится отдельно о том, чтобы без DNS можно было загрузиться, если
без него нельзя работать.
И в целом это правильно. Если ты уже при старте демона знаешь имя
сервера, этот сервер тебе критичен для работы, и он не найден или даже
найден, но недоступен, обычно лучше по этому поводу отказаться
стартовать, желательно с внятным сообщением об ошибке, чтобы админ не
подумал, что твой демон будет работать, в то время как работать он не
будет.
Внятное сообщение об ошибке я е видел сколько раз перегружал сервант, а
был я на месте только пару раз
В остальном удаленно
В а логах она ни чего не оставляет, такая вот уже штучка. пришлось юзать
ARGS=-d20 -dt -c /etc/bacula/bacula-fd.conf
do_start()
{
start-stop-daemon --start --quiet --pidfile $PIDFILE \
--exec $DAEMON -- $ARGS /var/log/bacula-fd-initd.log 21
}
в init.d script'e
Вопрос в другом как сделать чтобы то, что выводиться при загрузки еще
куда нибудь сохранялось в отдельный лог )
Обычно такая ситуация означает, что в конфиге ошибка, или что сервер на
том конце действительно сломан, реже - что DNS сломан, а вовсе не то,
что DNS просто не успел подняться, но вот щас поднимется, и щас все
будет.
Хотя, конечно, в каждой конкретной ситуации может оказаться, что лучше
было бы запуститься и подождать, но... Лучше уж тогда наоборот,
подождать и запуститься :)
VS Но блин мне было совсем не очевидно когда я копал в сторну почему не они
не
VS запускаются и в итоге наткнулся на DNS )
VS Хотя может и опыта не хватает.
А вот если он при обломе старта забыл положить в лог внятное сообщение
об ошибке, то это он зря.
--
С Уважением,
специалист по техническому и программному обеспечению,
системный администратор
Скубриев Владимир
~~~
Россия, Ростовская область, г. Таганрог
тел. моб: +7 (918) 504 38 20
skype: v.skubriev
icq: 214-800-502
www: skubriev.ru
Re: использовать или нет /etc/hosts, если есть собственный DNS для локальной зоны?
On 10/23/2013 05:58 PM, Eugene Berdnikov wrote:
On Wed, Oct 23, 2013 at 04:26:17PM +0400, Artem Chuprina wrote:
Vladimir Skubriev - Debian-russian@lists.debian.org @ Wed, 23 Oct 2013
16:02:31 +0400:
VS Да дело в том, что bacula службы не должны зависеть от DNS, точнее их
загрузка
VS не должна зависеть от DNS.
VS Работа должна, точнее у меня она полностью зависит от DNS.
Вообще говоря, считается, что если работа зависит от DNS, то и загрузка
может иметь право от него зависеть. Ну, то есть никто или почти никто
не заботится отдельно о том, чтобы без DNS можно было загрузиться, если
без него нельзя работать.
Вообще говоря, для правильно построенной системы отказ dns -- не повод
не стартовать сервис и/или не работать. К тому же совершенно непонятно,
нахрена бакуле dns.
вот конфиг бакулы файл демона создаваемой автоматом через chef:
# Managed by chef for %= node['fqdn'] %
FileDaemon {
Name = %= node['hostname'] %
WorkingDirectory = /var/lib/bacula
Pid Directory = /var/run/bacula
Maximum Concurrent Jobs = 10
FDAddress = %= node['fqdn'] %
}
#
# List Directors who are permitted to contact this File daemon
#
Director {
Name = %= node['bacula']['director']['name'] %
Password = %= @password %
}
# Send all to director
Messages {
Name = Daemon
Director = %= node['bacula']['director']['name'] % = all
syslog = all, !skipped, !saved
append = %= #{node['bacula']['storage']['log_dir']}/log-fd % = all
}
Спору нет можно указать и
FDAddress = 0.0.0.0
Тогда поидее будет слушать на всем чем угодно. Оно и так и так верно, но
0.0.0.0 более универсально конечно.
И в случае если оно настраивает сервер с Интернет IP, то нужно быть 100
% уверенным в firewall'е.
А это потенциальная дыра в случае, если FW не настроен или еще что.
Но я все же остановлюсь на своем варианте т.е. буду править hosts на
машинах со статическим IP.
В дальнейшем можно будет подумать над этим вопросом и его более
элегантным решением.
--
С Уважением,
специалист по техническому и программному обеспечению,
системный администратор
Скубриев Владимир
~~~
Россия, Ростовская область, г. Таганрог
тел. моб: +7 (918) 504 38 20
skype: v.skubriev
icq: 214-800-502
www: skubriev.ru
--
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/5268a71c.3010...@skubriev.ru
Re: использовать или нет /etc/hosts, если есть собственный DNS для локальной зоны?
On 10/24/2013 07:04 AM, Andrey Lyubimets wrote: 23.10.2013 15:26, Vladimir Skubriev пишет: Столкнулся с проблемой описанной: http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=679479 FDAddress = server.example.lab Это предистория. А теперь вопрос: Можно конечно решить эту проблему другими способами, но меня больше интересует именно /etc/hosts и его use cases Или лучше следить за hosts и в будущем не наступать на такие грабли (на компах со статическим IP)? Тем более, что это возможно актуально и для других служб. Вообщем best-practic ? Владимир! Что бы не наступать на грабли -- не нужно их разбрасывать! Золотые слова! Но куда же без них - разве чему нибудь научишься ) Прочитай приведённую тобой ссылку - там dns ни разу не упоминается! Правильное решение между тем - первым пунктом: 1. Allow bacula-fd to listen on all addresses - remove line FDAddress = .. or change it to FDAddress = 0.0.0.0 С уважением, Любимец Андрей Алексеевич Согласен, как вариант. Но тогда нужны быть уверенным в FW, если подымаешь на шлюзе. А bacula исключительно у меня внутренний сервис. Да у меня шлюз и другие сервисы частенько на одной машине. -- С Уважением, специалист по техническому и программному обеспечению, системный администратор Скубриев Владимир ~~~ Россия, Ростовская область, г. Таганрог тел. моб: +7 (918) 504 38 20 skype: v.skubriev icq: 214-800-502 www: skubriev.ru -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/5268a835.7000...@skubriev.ru
Re: git clone https startssl - server certificate verification failed
On 10/17/2013 06:30 PM, Artem Chuprina wrote: Vladimir Skubriev - Debian-russian@lists.debian.org @ Thu, 17 Oct 2013 16:05:44 +0400: VS Использую на сервере сертификаты от StartSSL Class 1. VS Браузер нормально их воспринимает и не ругается. VS А вот git наоборот. VS Причем я поставил git (1.8.4) с поддержкой SNI. У меня несколько https VS Virtualhost's на одном IP. VS git clone https://git.example.com/gitproject.git VS Cloning into 'gitproject'... VS fatal: unable to access 'https://git.example.com/gitproject.git/': server VS certificate verification failed. CAfile: /etc/ssl/certs/ca-certificates.crt VS CRLfile: none VS Почему ? А соответствующий корневой сертификат в /etc/ssl/certs/ca-certificates.crt есть? Браузеры туда не смотрят, у них собственное хранилище корневых сертификатов, от производителя браузера. Ну, если их в дебиане не патчили на сей предмет. Наверное есть, если сегодня уже все заработало ))) Ох уж эти сертификаты от StartSSL ) Но и на этом спасибо. Единственный момент - это то, что hg не поддерживает SNI (( Точнее его надо обновлять. -- С Уважением, специалист по техническому и программному обеспечению, системный администратор Скубриев Владимир ~~~ Россия, Ростовская область, г. Таганрог тел. моб: +7 (918) 504 38 20 skype: v.skubriev icq: 214-800-502 www: skubriev.ru -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/5260e91b.7020...@skubriev.ru
git clone https startssl - server certificate verification failed
Использую на сервере сертификаты от StartSSL Class 1. Браузер нормально их воспринимает и не ругается. А вот git наоборот. Причем я поставил git (1.8.4) с поддержкой SNI. У меня несколько https Virtualhost's на одном IP. git clone https://git.example.com/gitproject.git Cloning into 'gitproject'... fatal: unable to access 'https://git.example.com/gitproject.git/': server certificate verification failed. CAfile: /etc/ssl/certs/ca-certificates.crt CRLfile: none Почему ? Спасибо. -- С Уважением, специалист по техническому и программному обеспечению, системный администратор Скубриев Владимир ~~~ Россия, Ростовская область, г. Таганрог тел. моб: +7 (918) 504 38 20 skype: v.skubriev icq: 214-800-502 www: skubriev.ru -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/525fd298.1030...@skubriev.ru
Re: git clone https startssl - server certificate verification failed
On 10/17/2013 04:24 PM, sergio wrote: On 17/10/13 16:05, Vladimir Skubriev wrote: ca-certificates стоит? ll /etc/ssl/certs/ca-certificates.crt -rw-r--r-- 1 root root 233264 сент. 14 18:53 /etc/ssl/certs/ca-certificates.crt -- С Уважением, специалист по техническому и программному обеспечению, системный администратор Скубриев Владимир ~~~ Россия, Ростовская область, г. Таганрог тел. моб: +7 (918) 504 38 20 skype: v.skubriev icq: 214-800-502 www: skubriev.ru -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/525fd893.4060...@skubriev.ru
Re: git clone https startssl - server certificate verification failed
On 10/17/2013 04:05 PM, Vladimir Skubriev wrote: Использую на сервере сертификаты от StartSSL Class 1. Браузер нормально их воспринимает и не ругается. А вот git наоборот. Причем я поставил git (1.8.4) с поддержкой SNI. У меня несколько https Virtualhost's на одном IP. git clone https://git.example.com/gitproject.git Cloning into 'gitproject'... fatal: unable to access 'https://git.example.com/gitproject.git/': server certificate verification failed. CAfile: /etc/ssl/certs/ca-certificates.crt CRLfile: none Почему ? Спасибо. # wget https://www.startssl.com/certs/sub.class1.server.ca.pem # cat ssl.crt sub.class1.server.ca.pem ssl-bundled.crt # cat nginx.conf: #Use bundled certificate file with https://www.startssl.com/certs/sub.class1.server.ca.pem ssl_certificate /etc/ssl-git_example_com-startssl/ssl-bundled.crt; Это все. Гит заработал, причем и старой версии из репов тоже ) Но hg все равно не работает! Сделал тоже самое для сайта hg. А он все равно не работает. Будем искать ... hg clone https://skubr...@example.com/hg/hgproj abort: error: _ssl.c:504: EOF occurred in violation of protocol -- С Уважением, специалист по техническому и программному обеспечению, системный администратор Скубриев Владимир ~~~ Россия, Ростовская область, г. Таганрог тел. моб: +7 (918) 504 38 20 skype: v.skubriev icq: 214-800-502 www: skubriev.ru -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/525fe845.9040...@skubriev.ru
SSLCACertificateFile /etc/ssl/certs/ca-certificates.crt
Куда должна указывать директива SSLCACertificateFile если я планирую использовать(приобрести) сертификаты например у провайдера godaddy на системный файл, в котором собрано все дистрибутивом (/etc/ssl/certs/ca-certificates.crt)? на файл CA моего провайдера сертификатов ? что то еще. Спасибо. -- С Уважением, специалист по техническому и программному обеспечению, системный администратор Скубриев Владимир ~~~ Россия, Ростовская область, г. Таганрог тел. моб: +7 (918) 504 38 20 skype: v.skubriev icq: 214-800-502 www: skubriev.ru -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/525bd4d0.2030...@skubriev.ru
Re: SSLCACertificateFile /etc/ssl/certs/ca-certificates.crt
On 10/14/2013 04:54 PM, alexander barakin (aka sash-kan) wrote: 14.10.2013, 15:26, Vladimir Skubriev vladi...@skubriev.ru: Куда должна указывать директива SSLCACertificateFile если я планирую использовать(приобрести) сертификаты например у провайдера godaddy на системный файл, в котором собрано все дистрибутивом (/etc/ssl/certs/ca-certificates.crt)? на файл CA моего провайдера сертификатов ? судя по: http://stackoverflow.com/questions/14449071/installing-an-ssl-certificate-with-godaddy надо указать файл gd_bundle.crt, который следует брать отсюда: https://certs.godaddy.com/anonymous/repository.pki Спасибо. -- С Уважением, специалист по техническому и программному обеспечению, системный администратор Скубриев Владимир ~~~ Россия, Ростовская область, г. Таганрог тел. моб: +7 (918) 504 38 20 skype: v.skubriev icq: 214-800-502 www: skubriev.ru -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/525becf1.8040...@skubriev.ru
Re: Жёсткий диск и неведомая фигня
On 10/06/2013 03:54 PM, Mikhail Ramendik wrote: Всем привет! Имеется жёсткий диск WD Green 1.5T. Я не знал про wdidle3 и на нём 600k load cycle counts, так что он может быть изношен (сейчас уже поправил). Я не понимаю, что wd green делает у вас в качестве системного диска ? На мой взгляд это не данной серии винтов. Хотя ... ) Хотя стоит отметить, что не имея других винтов я все таки собрал STORAGE SAMBA сервера в одной компании. Сейчас ему уже года 3 наверное. Еще на первых выпущенных под этой серией винтах. До Сих пор полет нормальный и работают они в mdadm raid 10. Самое интересное, что до сих пор работают. Берете этот винт ставите в другой системник и проверяете как там работает linux. Обычно я тоже использую victoria, которая кстати ни когда меня не подводила. Жаль полноценных аналогов под linux нет. Хотя попытки были ) (whdd, если не ошибаюсь) У меня еще был один 2 ТБ Грин так вот у него такая проблема. При проверке викторией (последовательное чтение) он останавливается где то на 75 процентах и все -помогает только вкл/выкл. Хотя вот мы поставили его временно разработчику под Windows 8 разбили только начало винта - 100 Гб. И человек проработал с ним месяца 3 без нареканий. Так что странные они какие то эти Грины. Мой вам совет в рейд его и следить за ним, если будет выпадать - значит не подходит для продакшена и все. Че с ним заморачиваться, или вы думаете что качество HDD по прежнему на выском уровне ? ИМХО качество современных дисков за последние года снизилось очень и очень сильно. -- С Уважением, специалист по техническому и программному обеспечению, системный администратор Скубриев Владимир ~~~ Россия, Ростовская область, г. Таганрог тел. моб: +7 (918) 504 38 20 skype: v.skubriev icq: 214-800-502 www: skubriev.ru -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/5253a856.2000...@skubriev.ru
nging http section configuration and /etc/nginx/conf.d
Мне нужно добавить дополнительные настройки в секцию
http {
ssl_session_cache shared:SSL:10m;
ssl_session_timeout 5m;
ssl_prefer_server_ciphers on;
ssl_stapling on;
resolver 8.8.8.8;
}
которые отствуют в основном конфиг файле nginx: /etc/nginx/nginx.conf
1. Могу ли я добавить это не в /etc/nginx/nginx.conf а а
/etc/nginx/conf.d/http_addition
2. Что произойдет, если и в /etc/nginx/nginx.conf и в
/etc/nginx/conf.d/http_addition будут заданы одни и те же параметры, но
с разными значениями ? Какой у кого будет приоритет.
Спасибо.
--
С Уважением,
специалист по техническому и программному обеспечению,
системный администратор
Скубриев Владимир
~~~
Россия, Ростовская область, г. Таганрог
тел. моб: +7 (918) 504 38 20
skype: v.skubriev
icq: 214-800-502
www: skubriev.ru
--
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/5253d1f1.3060...@skubriev.ru
Re: Проблема доступа по SSH к компьютеру, подуключенному к сети через 3G.
On 10/03/2013 11:00 AM, Dmitrii Kashin wrote: Eugene Berdnikov b...@protva.ru writes: Вы не умеете, и самое главное не хотите сесть и вникнуть в суть проблемы. Надо же. И чем же, по-вашему, я тут занимаюсь? Многие модемы 3g выходят в Интернет через NAT сервер, не имея при этом реального (хотя бы динамического адреса Интернет). Это говорит все волишь о том, что использовать dynamic dns у вас не получиться. И соединяться со своим компьютером подключенным по модему тоже не получиться. Т.к. модем будет использовать внутр. CIDR адрес. Который ни кому из Интернет не ведом. Маршрутизация по просту не работает до таких адресов. Но это и не важно особо. Важно то, что просто у вас не до конца все настроено. -- С Уважением, специалист по техническому и программному обеспечению, системный администратор Скубриев Владимир ~~~ Россия, Ростовская область, г. Таганрог тел. моб: +7 (918) 504 38 20 skype: v.skubriev icq: 214-800-502 www: skubriev.ru -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/5253d48e.1010...@skubriev.ru
Re: Проблема доступа по SSH к компьютеру, подуключенному к сети через 3G.
On 10/08/2013 01:46 PM, Vladimir Skubriev wrote: On 10/03/2013 11:00 AM, Dmitrii Kashin wrote: Eugene Berdnikov b...@protva.ru writes: Вы не умеете, и самое главное не хотите сесть и вникнуть в суть проблемы. Надо же. И чем же, по-вашему, я тут занимаюсь? Многие модемы 3g выходят в Интернет через NAT сервер, не имея при этом реального (хотя бы динамического адреса Интернет). Это говорит все волишь о том, что использовать dynamic dns у вас не получиться. И соединяться со своим компьютером подключенным по модему тоже не получиться. Т.к. модем будет использовать внутр. CIDR адрес. Который ни кому из Интернет не ведом. Маршрутизация по просту не работает до таких адресов. Но это и не важно особо. Важно то, что просто у вас не до конца все настроено. Дело скорее в настройке openvpn. Там есть ньюанс, без которого для пущей безопасности сеть клиента не будет видна до тех пор пока не сконфигурируете правильно. Щас вспоминаю, где я это записывал - пока не нашел. /etc/openvpn/ccd/rgw: iroute 192.168.1.0 255.255.255.0 Читайте в сторону iroute и ccd ) Это конфиг на сервере. т.е. у вас на облаке. И плюс firewall выключите на время проверки или будьте уверены, что он не мешает. Мне именно это помогло увидеть сеть за клиентом сервера openvpn. -- С Уважением, специалист по техническому и программному обеспечению, системный администратор Скубриев Владимир ~~~ Россия, Ростовская область, г. Таганрог тел. моб: +7 (918) 504 38 20 skype: v.skubriev icq: 214-800-502 www: skubriev.ru -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/5253d6a8.3080...@skubriev.ru
Re: Проблема доступа по SSH к компьютеру, подуключенному к сети через 3G.
On 10/08/2013 01:55 PM, Vladimir Skubriev wrote: Мне именно это помогло увидеть сеть за клиентом сервера openvpn. # For work to client subnet in server.conf client-config-dir /etc/openvpn/ccd -- С Уважением, специалист по техническому и программному обеспечению, системный администратор Скубриев Владимир ~~~ Россия, Ростовская область, г. Таганрог тел. моб: +7 (918) 504 38 20 skype: v.skubriev icq: 214-800-502 www: skubriev.ru -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/5253d6e8@skubriev.ru
Re: Особенности Zsh
On 10/08/2013 01:59 PM, Dmitry Derjavin wrote: Sun, 06 Oct 2013, 12:33, Артём Н.: Хочется: 1. Узнать у людей её использующих, какие особенности (по сравнению с Bash) наиболее удобны, полезны и часто ими используемы. Ещё, конечно, дополнение путей на удалённых узлах по ssh, scp, rsync. Нефига се. А я и не знал. ) -- С Уважением, специалист по техническому и программному обеспечению, системный администратор Скубриев Владимир ~~~ Россия, Ростовская область, г. Таганрог тел. моб: +7 (918) 504 38 20 skype: v.skubriev icq: 214-800-502 www: skubriev.ru -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/5253d964.9070...@skubriev.ru
Re: Особенности Zsh
On 10/08/2013 02:29 PM, Иван Лох wrote: On Tue, Oct 08, 2013 at 02:07:32PM +0400, Vladimir Skubriev wrote: On 10/08/2013 01:59 PM, Dmitry Derjavin wrote: Sun, 06 Oct 2013, 12:33, Артём Н.: Хочется: 1. Узнать у людей её использующих, какие особенности (по сравнению с Bash) наиболее удобны, полезны и часто ими используемы. Ещё, конечно, дополнение путей на удалённых узлах по ssh, scp, rsync. Нефига се. А я и не знал. ) Так и в bash есть ;))) в 7 debian есть по дефолту ? я просто не знал. -- С Уважением, специалист по техническому и программному обеспечению, системный администратор Скубриев Владимир ~~~ Россия, Ростовская область, г. Таганрог тел. моб: +7 (918) 504 38 20 skype: v.skubriev icq: 214-800-502 www: skubriev.ru -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/5253e123.5090...@skubriev.ru
find и символы \; в конце команды - что это ?
find . -name *.txt -exec rm {} \;
объясните пожалуйста эти символы из баша ?
Какую роль играет каждый из них?
Спасибо.
--
С Уважением,
специалист по техническому и программному обеспечению,
системный администратор
Скубриев Владимир
~~~
Россия, Ростовская область, г. Таганрог
тел. моб: +7 (918) 504 38 20
skype: v.skubriev
icq: 214-800-502
www: skubriev.ru
Re: find и символы \; в конце команды - что это ?
On 10/04/2013 02:14 PM, Mikhail A Antonov wrote:
On 04/10/13 14:11, Vladimir Skubriev wrote:
find . -name *.txt -exec rm {} \;
объясните пожалуйста эти символы из баша ?
Какую роль играет каждый из них?
man find
/-exec
понял, я думал что это из shell'a
--
С Уважением,
специалист по техническому и программному обеспечению,
системный администратор
Скубриев Владимир
~~~
Россия, Ростовская область, г. Таганрог
тел. моб: +7 (918) 504 38 20
skype: v.skubriev
icq: 214-800-502
www: skubriev.ru
--
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/524e99bf.5060...@skubriev.ru
работа клиентов ЛВС с веб сервером через nginx proxy на шлюзе.
Такую конфигураию мне предложил один знакомый.
Но я что то не совсем верю в то, что она единственная из возможных.
Есть два сайта на внутреннем сервере, оба работают по http и https
сейчас на apache
Есть шлюз с nginx proxy, который пока пробрасывает только один сайт и
только по http. Остальные в процессе настройки backend'a (еще не
готовы). Но в дальнейшем на прокси будет 4 сайта прокси.
Конфиг первого прокси такой на данный момент:
upstream backendexample {
server 192.168.128.11:80;
}
server {
listen 80;
server_name example1.example.com;
error_log /var/log/nginx/exampleproxy.error.log;
access_log /var/log/nginx/exampleproxy.acess.log;
proxy_pass http://backendexample;
}
}
Вебсервер один.
Сейчас в процессе настройки получилось, что на apache мне приходится
дублировать конфигурацию сайта для разных virtualhost's
Т.е. для одного сайта я описываю два Virtualhost:
# cat /etc/apache/sites-available/example1
VirtualHost example1.example.com:80
# Same Config 1
/VirtualHost
# cat /etc/apache/sites-available/example1-https
VirtualHost example1.example.com:443
# Same Config 1
/VirtualHost
При этом конфиги nginx тоже придеться размножить на 4 файла с
практически одинаковой конфигурацией. Но тут вроде ни чего страшного.
Так по сути конфиги получаться элементарными.
Во первых я подозреваю, что здесь есть нагромождение. Четыре конфига по
сути повторяющих друг друга в apache не самый лучший вариант.
Во вторых меня терзают сомнения по поводу правильности того, чтобы
клиенты локальной сети для обращения к внутреннему серверу ходили через
шлюз (ну или отдельный компьютер). Просто если я на backend оставлю два
конфига только с http, то клиенты внутренней сети будут ходит на веб
сервер без https.
А вдруг шлюз будет выключен - все станет?
А как вы бы сделали ?
--
С Уважением,
специалист по техническому и программному обеспечению,
системный администратор
Скубриев Владимир
~~~
Россия, Ростовская область, г. Таганрог
тел. моб: +7 (918) 504 38 20
skype: v.skubriev
icq: 214-800-502
www: skubriev.ru
Re: работа клиентов ЛВС с веб сервером через nginx proxy на шлюзе.
On 10/01/2013 11:41 AM, Vladimir Skubriev wrote: Такую конфигураию мне предложил один знакомый. Совсем забыл сказать в моей сети есть DNS сервер который домен example1.example.com резолвит во внутренний адрес веб сервера. я конечно могу сделать хук, то есть резолвить example1.example.com резолвит во внутренний адрес шлюза. но вообще это странно как то для меня на текущий момент. -- С Уважением, специалист по техническому и программному обеспечению, системный администратор Скубриев Владимир ~~~ Россия, Ростовская область, г. Таганрог тел. моб: +7 (918) 504 38 20 skype: v.skubriev icq: 214-800-502 www: skubriev.ru
https и покупка сертификата
Подскажите пожалуйста по https и покупке сертификатов для него. Есть веб сервер с HTTPS который я настроил при помощи имеющихся в системе сертификатов: SSLCertificateFile/etc/ssl/certs/ssl-cert-snakeoil.pem SSLCertificateKeyFile /etc/ssl/private/ssl-cert-snakeoil.key Все работает. Но браузер естественно ругается. Веб сервер работает как для пользователей локальной сети: webserver.example.com внтури ЛВС резолвиться во внутренний адрес: 192.168.1.1 Так и для Интернет пользователей: webserver.example.com из Интернет резолвиться во внешний публичный адрес шлюза. Я собираюсь купить сертификаты для этого сервера (скорее всего будем покупать у godaddy, руководство хочет). Поидее мне выдадут два сертификата. Из которых Публиный ключ моего сервера, т.е. замену (ssl-cert-snakeoil.pem) Приватный ключ моего сервера, т.е. замену (ssl-cert-snakeoil.key) Я прав ? И еще несколько вопросов: 1. Есть ли в системе Публичный ключ CA (который можно установить на клиентские машины, для доверия самоподписанным сертификатам snakeoil) или он в принципе не предусмотрен? sna 2. На какой адрес(домен) покупать сертификаты (webserver.example.com) ? 3. Не повлияет ли моя настройка DNS на работу с веб сервером по HTTPS (на всякий спрашиваю)? 4. Какой сертификат покупать ? 5. На сколько лет брать сертификат (от трех до пяти) ? 6. Лучше сразу определиться с тем, сколько сертификатов надо ? Чтобы выбрать оптимальное предложение. 7. Какие еще подводные камни есть? Я настраиваю https первый раз. Хочу посоветоваться. -- С Уважением, специалист по техническому и программному обеспечению, системный администратор Скубриев Владимир ~~~ Россия, Ростовская область, г. Таганрог тел. моб: +7 (918) 504 38 20 skype: v.skubriev icq: 214-800-502 www: skubriev.ru -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/524923b3.3010...@skubriev.ru
mysqld_safe 'Can't connect to local MySQL server through socket' from bash
Здраствуйте. Объясните пожалуйста почем из bash скрипта mysql не соединяется с сервером Cкрипт останавливается на строке mysql --socket=/tmp/mysqld_safe.socket /tmp/mysql_flush_root.sql; if ! [ $? -eq 0 ]; then exit 1001; fi и пишет: root@comp:/home/srvadm# /tmp/script ERROR 1045 (28000): Access denied for user 'root'@'localhost' (using password: YES) mysql stop/waiting ERROR 2002 (HY000): Can't connect to local MySQL server through socket '/tmp/mysqld_safe.socket' (2) #!/bin/bash mysql -u root --password=12345678 mysql -e 'show databases;' if ! [ $? -eq 0 ]; then service mysql stop; if ! [ $? -eq 0 ]; then exit 1000; fi; sleep 1 mysqld_safe --skip-grant-tables --socket=/tmp/mysqld_safe.socket --pid-file=/tmp/mysqld_safe.pid /dev/null # chown root:root /tmp/mysqld_safe.socket # chmod 777 /tmp/mysqld_safe.socket echo use mysql; /tmp/mysql_flush_root.sql echo update user set password=PASSWORD(12345678) where User='root'; /tmp/mysql_flush_root.sql echo flush privileges; /tmp/mysql_flush_root.sql mysql --socket=/tmp/mysqld_safe.socket /tmp/mysql_flush_root.sql; if ! [ $? -eq 0 ]; then exit 1001; fi rm /tmp/mysql_flush_root.sql kill -TERM $(cat /tmp/mysqld_safe.pid); if ! [ $? -eq 0 ]; then exit 1002; fi else exit 0; fi Но если просто из консоли запустить # mysql --socket=/tmp/mysqld_safe.socket или даже # mysql -h 192.168.128.12 то все ОК странно что именно из скрипта не работает соединение. root@192.168.1.10:/home/srvadm# netstat -alnp | grep mysql tcp 0 0 192.168.128.12:3306 0.0.0.0:* LISTEN 19636/mysqld unix 2 [ ACC ] STREAM LISTENING 2464437 19636/mysqld /tmp/mysqld_safe.socket root 18762 0.0 0.0 4400 744 pts/1 S 11:16 0:00 /bin/sh /usr/bin/mysqld_safe --skip-grant-tables --socket=/tmp/mysqld_safe.socket --pid-file=/tmp/mysqld_safe.pid mysql 19636 0.1 1.1 795908 90144 pts/1 Sl 11:16 0:00 /usr/sbin/mysqld --basedir=/usr --datadir=/var/lib/mysql --plugin-dir=/usr/lib/mysql/plugin --user=mysql --skip-grant-tables --open-files-limit=1024 --pid-file=/tmp/mysqld_safe.pid --socket=/tmp/mysqld_safe.socket --port=3306 root 19637 0.0 0.0 4304 664 pts/1 S 11:16 0:00 logger -t mysqld -p daemon.error root 19750 0.0 0.0 6504 588 pts/1 S+ 11:20 0:00 grep --color=auto mysql -- С Уважением, специалист по техническому и программному обеспечению, системный администратор Скубриев Владимир ~~~ Россия, Ростовская область, г. Таганрог тел. моб: +7 (918) 504 38 20 skype: v.skubriev icq: 214-800-502 www: skubriev.ru -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/524531e8.6040...@skubriev.ru
Re: mysqld_safe 'Can't connect to local MySQL server through socket' from bash
On 09/27/2013 11:21 AM, Vladimir Skubriev wrote: #!/bin/bash mysql -u root --password=12345678 mysql -e 'show databases;' if ! [ $? -eq 0 ]; then service mysql stop; if ! [ $? -eq 0 ]; then exit 1000; fi; sleep 1 mysqld_safe --skip-grant-tables --socket=/tmp/mysqld_safe.socket --pid-file=/tmp/mysqld_safe.pid /dev/null # chown root:root /tmp/mysqld_safe.socket # chmod 777 /tmp/mysqld_safe.socket echo use mysql; /tmp/mysql_flush_root.sql echo update user set password=PASSWORD(12345678) where User='root'; /tmp/mysql_flush_root.sql echo flush privileges; /tmp/mysql_flush_root.sql sleep 5 ) mysql --socket=/tmp/mysqld_safe.socket /tmp/mysql_flush_root.sql; if ! [ $? -eq 0 ]; then exit 1001; fi rm /tmp/mysql_flush_root.sql kill -TERM $(cat /tmp/mysqld_safe.pid); if ! [ $? -eq 0 ]; then exit 1002; fi else exit 0; fi Сервер mysqld_safe не успевал запускаться В итоге получилось так: #!/bin/bash mysql -u root --password=2 mysql -e 'show databases;' /dev/null if ! [ $? -eq 0 ]; then service mysql stop; if ! [ $? -eq 0 ]; then exit 1000; fi; sleep 3 mysqld_safe --skip-grant-tables --socket=/tmp/mysqld_safe.socket --pid-file=/tmp/mysqld_safe.pid /dev/null echo use mysql; /tmp/mysql_flush_root.sql echo update user set password=PASSWORD(2) where User='root'; /tmp/mysql_flush_root.sql echo flush privileges; /tmp/mysql_flush_root.sql sleep 5 mysql --socket=/tmp/mysqld_safe.socket /tmp/mysql_flush_root.sql rm /tmp/mysql_flush_root.sql kill -TERM $(cat /tmp/mysqld_safe.pid); service mysql start else exit 0; fi Интерсено как можно по простому (очень простому) заменить sleep'ы В принципе мне этот скрипт нужен будет только один раз при переносе базы со старого сервера на новый p.s. если вместо паролей поставить $1, то будет вообще универсальная сказка ) Вопрос 1: if дождеться правильного значения в $? - или убрать его, если не могу что-то более приличное написать ) ? service mysql stop; if ! [ $? -eq 0 ]; then exit 1000; fi; sleep 3 Вопрос 2: найденный мной(на просторах инета) UPDATE меняет пароль для всех хостов с которых может входить пользователь root ? Спасибо -- С Уважением, специалист по техническому и программному обеспечению, системный администратор Скубриев Владимир ~~~ Россия, Ростовская область, г. Таганрог тел. моб: +7 (918) 504 38 20 skype: v.skubriev icq: 214-800-502 www: skubriev.ru -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/5245804e.6050...@skubriev.ru
Re: deploy приложений написанных (например ruby) best practic
On 09/20/2013 04:31 PM, Artem Chuprina wrote: VS Один сервер - один админ ) Как страшно жить... У меня все же есть пара-тройка знакомых, с которыми мы друг другу спокойно даем рута на своих серверах. Ну что сказать? Могу только порадоваться за то, что у вас есть такие хорошия друзья. -- С Уважением, специалист по техническому и программному обеспечению, системный администратор Скубриев Владимир ~~~ Россия, Ростовская область, г. Таганрог тел. моб: +7 (918) 504 38 20 skype: v.skubriev icq: 214-800-502 www: skubriev.ru -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/523fc1c5.9040...@skubriev.ru
deploy приложений написанных (например ruby) best practic
Нашел на странице: https://groups.google.com/forum/#!topic/ruby-bundler/rZbdcfsg-UY https://groups.google.com/forum/#%21topic/ruby-bundler/rZbdcfsg-UY Joining the list and resurrecting this thread to add my vehement objection to this design decision. Many admins and developers believe it's very bad practice for application deployments to _ever_ touch root. Capistrano and Vlad recipes are often crafted to ensure that everything happens in userspace -- and it's common to set environments up so that developers can push deployments without knowing the root password. Вопрос в связи с этим: Это относиться только к приложениям которые рассчитаны на работу из userspace или это в принципе best practic у опытных админов ? apt-get только для установки сервера, остальное ручками - т.е. не из стандартных репозиториев принято собирать в серьезных проектах ? -- С Уважением, специалист по техническому и программному обеспечению, системный администратор Скубриев Владимир ~~~ Россия, Ростовская область, г. Таганрог тел. моб: +7 (918) 504 38 20 skype: v.skubriev icq: 214-800-502 www: skubriev.ru
Re: deploy приложений написанных (например ruby) best practic
On 09/20/2013 01:03 PM, Artem Chuprina wrote: Vladimir Skubriev - Debian-russian@lists.debian.org @ Fri, 20 Sep 2013 12:47:08 +0400: VS Вопрос в связи с этим: VS Это относиться только к приложениям которые рассчитаны на работу из VS userspace или это в принципе best practic у опытных админов ? Не давать приложению рута - это best practice. Не давать его разработчику - зависит от разработчика. Если у разработчика нет скиллов хорошего админа, то лучше не давать, а то такого наворотит, потом не разворотишь. Это хороше подмечено. Вообще лучше не кому ни каких прав не давать. Один сервер - один админ ) VS apt-get только для установки сервера, остальное ручками - т.е. не из VS стандартных репозиториев принято собирать в серьезных проектах ? А это зависит от того, что именно нужно. Как показывает практика, с ruby лучше иметь конструкцию, в которой у каждого сайта свой набор гемов, конкретных версий (и иногда свой бинарник ruby). Если на одной физической машине хостится несколько сайтов, это критично. Судя по количеству всяких rake, bundler, gem и версий ruby я это уже начинаю впитывать. Потому как сайт на ruby, даже если сейчас все необходимые пакеты вдруг в стандартном репозитории есть, может не пережить апгрейда системы, если он пользуется системными пакетами. Да пожалуй ruby он такой. Но ведь это же большой плюс. Тем более что есть rvm. И даже chef-rvm ) Надо сказать, я в wheezy видел пакет rubygems-integration, который по описанию позволяет bundler'у видеть установленные в системе пакеты, и не ставить то, что уже есть. Но что-то у меня он в какой-то момент, кажется, не сработал... -- С Уважением, специалист по техническому и программному обеспечению, системный администратор Скубриев Владимир ~~~ Россия, Ростовская область, г. Таганрог тел. моб: +7 (918) 504 38 20 skype: v.skubriev icq: 214-800-502 www: skubriev.ru -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/523c2790.4020...@skubriev.ru
Re: deploy приложений написанных (например ruby) best practic
On 09/20/2013 01:12 PM, Dmitrii Kashin wrote: Vladimir Skubriev vladi...@skubriev.ru writes: Нашел на странице: https://groups.google.com/forum/#!topic/ruby-bundler/rZbdcfsg-UY https://groups.google.com/forum/#%21topic/ruby-bundler/rZbdcfsg-UY Joining the list and resurrecting this thread to add my vehement objection to this design decision. Many admins and developers believe it's very bad practice for application deployments to _ever_ touch root. Capistrano and Vlad recipes are often crafted to ensure that everything happens in userspace -- and it's common to set environments up so that developers can push deployments without knowing the root password. Вопрос в связи с этим: Это относиться только к приложениям которые рассчитаны на работу из userspace или это в принципе best practic у опытных админов ? Root-привилегии нужны только при установке, чтобы разложить свои файлы по системным директориям. Если вы разворачиваете ПО не из репозитория Debian, возможно стоит сделать это вручную, если у Вас нет стопроцентного доверия источнику, или же осуществить установку в chroot-окружении. Смысл цитаты в том, полагаю, что если установка кода требует root-привилегий, вполне закономерно, что прользователю хочется, чтобы прежде этот код прошел аудит у кого-нибудь, кому он может более-менее доверять, и был этим человеком подписан. А теперь понятно в каком смысле. В смысле аудита (доверия к) кода(у). Ну ву целом понятно - любой cgi скрипт да вообще программа - потенциальная проблема для администратора. ) apt-get только для установки сервера, остальное ручками - т.е. не из стандартных репозиториев принято собирать в серьезных проектах ? Собирать что? Ну например rvm + свое приложение + необходимые вещи, ставить их куда нибудь в /home/user | /srv/service и держать все отдельно. Приложение отдельно / система отдельно. Понятно, что это для рубистов очевидные вещи. Что то я и сам уже начинаю отвечать на свой вопрос. Вроде бы очевидная вещь - но хотелось уточнить. -- С Уважением, специалист по техническому и программному обеспечению, системный администратор Скубриев Владимир ~~~ Россия, Ростовская область, г. Таганрог тел. моб: +7 (918) 504 38 20 skype: v.skubriev icq: 214-800-502 www: skubriev.ru -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/523c2885.7040...@skubriev.ru
имеет ли смысл использовать apache2-mpm-itk для одного сайта с redmine и passenger ?
Имеет ли смысл использовать apache2-mpm-itk для одного сайта с redmine и passenger ? Или пусть работает от рута ? Суть задачи: Настроить безопасный веб сервер с redmine схема такая: Firewall = nginx proxy Virtual Web Server = apache-mpm-itk - passenger - redmine/public_folder Вопрос второй по поводу прав, насколько я понял пользователь от которого работает веб сервер должен иметь права на свой каталог сайта 750 Прошу ссылок на интересные статьи о правильной настройке apache. Сам походу читаю то, что нашел через гугл. Но может есть правильные ссылки для обучения? Скажу честно я разбираюсь в этом вопросе поверхностно. Настроить могу, но этого мало в текущей конфигурации. Нужно обеспечить наиболее защищенную среду понимать, что и как должно быть. Вопрос еще по ходу про репозиториев hg. Вот конфиг текущий - не рабочий, т.к. пока в процессе настройки (с личными каментами и т.д.) Укажите пожалуйста на явные недочеты. VirtualHost *:80 ServerName redmine.example.com ServerAlias redmine.example.lab ServerAlias redmine #General PassengerUser redmine PassengerDefaultUser redmine DocumentRoot /srv/redmine/public ErrorLog /var/log/apache2/redmine/error.log CustomLog /var/log/apache2/redmine/access.log combined LogLevel warn Directory /srv/redmine/public # This is unsecure, see # http://httpd.apache.org/docs/current/misc/security_tips.html # Protecting System Settings # This prevents the use of .htaccess files in all directories apart from those specifically enabled. AllowOverride all # added by netc, by security issue # see http://httpd.apache.org/docs/current/misc/security_tips.html # Protect Server Files by Default Require all denied Require all granted # commented out by netc, because autofind resources(files) is unsecure - i think # need to check in production #Options -MultiViews /Directory # Строки ниже нуждаются в подробном изучении # TODO TODO TODO #Mercurial PerlLoadModule Apache2::Redmine PerlLoadModule Authen::Simple::LDAP ScriptAlias /hg /srv/redmine/repos/hgwebdir.cgi Location /hg #Redmine auth PerlAccessHandler Apache::Authn::Redmine::access_handler PerlAuthenHandler Apache::Authn::Redmine::authen_handler RedmineDSN DBI:mysql:database=%= node.run_state['redmine-mysql-name'] %;host=localhost RedmineDbUser %= node.run_state['redmine-mysql-name'] % RedmineDbPass %= node.run_state['redmine-mysql-password'] % AuthType Basic AuthName ExampleLab Mercurial Repository Require valid-user /Location /VirtualHost Вопрос еще с репозиториями возникает. Извините что оф топ. Но не хочеться для этого отдельную тему заводить Насколько я понимаю репы лежат отдельно и редмаин их только читает ? В моей конфигурации алиас /hg запускает скрипт hgwebdir.cgi, с которым уже работает пользователь. Значит ему(passwd:redmine) нужны права на запуск этого файла и все. Но ведь с самими репами работают пользователи проходящие аутентификацию через LDAP, значит поидее должен быть разделен доступ. он то вроде разделен. Но делается в redmine как я понял. Какие нужны права пользователя redmine локального для вебсервера - все получается ? Вообщем я не много запутался. Обясните пожалуйста. -- С Уважением, специалист по техническому и программному обеспечению, системный администратор Скубриев Владимир ~~~ Россия, Ростовская область, г. Таганрог тел. моб: +7 (918) 504 38 20 skype: v.skubriev icq: 214-800-502 www: skubriev.ru -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/523af506.2040...@skubriev.ru
Re: Производительность KVM на LVM
01.03.2012 12:24, Alexander пишет: 01.03.2012, 12:20, Mikhail A Antonovb...@solarnet.ru: 01.03.2012 12:07, Alexander пишет: ссори отправил в личку( 01.03.2012, 11:59, Mikhail A Antonovb...@solarnet.ru: 01.03.2012 11:37, Alexander пишет: еще вопрос - я так понимаю при копировании через dd lvm-тома размером 300гб (даже если полезной инфы там 50гб) на сетевую шару (другой сервер) мы получим файл-образ размером 300гб?... я так понимаю это долгая и неэффективная процедура(( Это получается единственный вариант бэкапа системы целиком в случае использования lvm?.. или может еще есть какие то варианты? Мне еще приходит в голову только сжатие этого образа при копировании, что еще более увеличит время создания образа и непонятно насколько уменьшит его размер( Если так, то получается бэкап акронисом (в случае windows-систем) эффективнее гораздо... :( # делаем снапшот lvcreate -L4G -s -n win2k3dataBACKUP /dev/vg0/win2k3data # достаём раздел kpartx -a /dev/mapper/vg0-win2k3dataBACKUP # потом монтируем mount /dev/mapper/vg0-win2k3dataBACKUP1 /mnt/win2k3data -o ro -t ntfs-3g Ну и таром его. А бэкапить образом файлы - смысла нет. Системный диск можно раз в месяц и образом. После того как бэкап закончился - снапшот не нужен больше. # отмонтируем что бэкапили umount /mnt/win2k3data /sbin/kpartx -d /dev/mapper/vg0-win2k3dataBACKUP /usr/bin/yes | /sbin/lvremove /dev/mapper/vg0-win2k3dataBACKUP о! большое спасибо! способ шикарен тем, что бэкапятся непосредственно только сами данные. Я так думаю потом не проблема будет развернуть из tar-архива все файлы на винт и через восстановление системы восстановить загрузчик винды - в итоге имеем практически образ системы - так ведь? nfs права могут побиться. И скорее всего побьются. - P.S.: Да я в личку и ответил уже, но для истории пусть и тут повисит. ах, ну да ntfs-права... :( все таки в итоге получается dd со сжатием образа на другую машину единственный проверенный вариант. а, ну или если можно отдать виртуалке снапшот в качестве винта, то можно уже из нее снимать образ акронисом. проверю, напишу проверите, получиться ? обязательно отпишитесь. очень буду ждать ))) -- С Уважением, специалист по техническому и программному обеспечению, системный администратор Скубриев Владимир ~~~ Россия, Ростовская область, г. Таганрог тел. моб: +7 (918) 504 38 20 skype: v.skubriev icq: 214-800-502 www: skubriev.ru
Re: Производительность KVM на LVM
01.03.2012 12:53, Sergey Korobitsin пишет: Alexander ☫ → To debian-russian@lists.debian.org @ Thu, Mar 01, 2012 12:24 +0400 lvcreate -L4G -s -n win2k3dataBACKUP /dev/vg0/win2k3data # достаём раздел kpartx -a /dev/mapper/vg0-win2k3dataBACKUP # потом монтируем mount /dev/mapper/vg0-win2k3dataBACKUP1 /mnt/win2k3data -o ro -t ntfs-3g Ну и таром его. А бэкапить образом файлы - смысла нет. Системный диск можно раз в месяц и образом. После того как бэкап закончился - снапшот не нужен больше. # отмонтируем что бэкапили umount /mnt/win2k3data /sbin/kpartx -d /dev/mapper/vg0-win2k3dataBACKUP /usr/bin/yes | /sbin/lvremove /dev/mapper/vg0-win2k3dataBACKUP о! большое спасибо! способ шикарен тем, что бэкапятся непосредственно только сами данные. Я так думаю потом не проблема будет развернуть из tar-архива все файлы на винт и через восстановление системы восстановить загрузчик винды - в итоге имеем практически образ системы - так ведь? nfs права могут побиться. И скорее всего побьются. Если к рецепту, указанному выше, добавить способы создания образов (ntfsclone, partclone ...), которые используются в clonezilla, можно получить какой угодно результат. все равно что ntfsclone, partclone, clonezilla не 100 варианты в плане надежности. постоянно придется проверять а что там оно на бэкапило. восстанавливается или нет так что, ИМХО, dd лучше в плане надежности сохранения и восстановления данных. чем проще алгоритм - тем надежнее. -- С Уважением, специалист по техническому и программному обеспечению, системный администратор Скубриев Владимир ~~~ Россия, Ростовская область, г. Таганрог тел. моб: +7 (918) 504 38 20 skype: v.skubriev icq: 214-800-502 www: skubriev.ru
Re: Производительность KVM на LVM
01.03.2012 8:02, Stanislav Vlasov пишет: 29.02.12, Alexanderag...@yandex.ru написал(а): Великая просьба - пишите ответ внизу, а не вверху, если не получается написать вопросы именно под той строкой, к которой вопросы. Мы ж не менеджеры какие :-) 1) Если виртуалка использует lvm-том целиком, то что тогда бэкапить?.. не совсем понятно. Это ж получается как отдельный физический жесткий диск, а не файловая система, которую примонтировать можно. К тому же мне именно бэкап системы целиком и нужен - типо акрониса. Данные (1с и файлопомойка) бэкапятся изнутри виртуалок другими средствами. Делать снапшот и потом копировать. dd if=/dev/VG/LVM-snap of=/mnt/backup/virt-`date +%F`.img Остальные опции по вкусу. Да - отличное предложение. Но есть нюанс. Если том например 127Гб. Предположим в нем стоит только система+база на 5 Гбайт. Этой командой будут копироваться все 127Гб. А ведь акронис умеет сжимать! Точнее конечно он не копирует не занятые блоки файловых систем и ко всему прочему сжимает то что все таки копирует в образ. А если не поддерживает ФС, то копирует её один-в-один, по сути тот же dd if-of. Если сжимать сразу то что на выходе их dd например? То чем и как? Вот еще один важный вопрос. 2) Грубо говоря, я хочу бэкапить windows-систему целиком с определенной периодичностью, пускай даже руками - например по выходным и иметь хотя бы штуки 4 бэкапов (т.е. за последний месяц) - я так понимаю мне нужно тупо делать следующее: останавливать виртуалку, делать снапшот (какого размера?), включать виртуалку. Когда я через месяц сделаю 5й снапшот, то самый старый необходимо удалить и так далее. Правильно я понимаю?.. Размер снапшота зависит от того, сколько данных понапишет виртуалка, пока ты его копируешь. Но бекапы так не делаются, ибо при накрывании системы медным тазом фиг чего восстановишь обычно. Бекапы делаются через копирование снапшота в другое место. 3) Откат как делать то потом? Остановить виртуалку и записать в lvm-том старое содержимое практически также, как копировал его. 4) на XGU написано, что если снять снапшот, то скорость работы тома сильно падает. А если снять 4 снапшота, то я так понимаю вообще все плохо или как? Во-первых, для _бекапов_ достаточно одного снапшота на время бекапа. Во-вторых, как-то проверял - скорость при одном снапшоте и при нескольких одинакова. 5) Про btrfs спросил на всякий случай, мало ли) Просто люблю zfs - там со снапшотами как то попроще, да и вообще. Но вот с виртуализацией у фрибсд беда(( Есть такое дело... Можно попробовать zfs через fuse, но тут тоже хз чего и как. 29.02.2012, 09:12, Stanislav Vlasovstanislav@gmail.com: 28 февраля 2012 г. 23:09 пользователь Alexanderag...@yandex.ru написал: 1) какую посоветуете оптимальную стратегию бэкапов системы целиком при использовании под каждую kvm-виртуалку отдельного lvm-тома, расположенного на raid10 (программного через md). Допустим, рейд состоит из 4х терабайтников, итого 2 тб реального пространства, из них первые 100гб под дебиан-гипервизор, а остальное пространство отдано под группу томов lvm и каждая виртуалка есть 100-300гб lvm-том, свободно осталось около 300гб. Виртуалки windows 2008-2008r2 и centos. Я так понимаю надо юзать lvm-снапшоты - но вопрос в том как - с какой периодичностью и какого размера, стоит ли этот процесс автоматизировать и т.п. Хотелось бы услышать реальные советы из практики, какие есть нюансы, на что обратить внимание и как делать точно не стоит :) Из практики - лучше всего выключить виртуалки, сделать снапшот, включить виртуалки, начать бекапить. Политика бекапирования - по потребности. Размер - зависит от того, сколько виртуалки пишут на диск. У меня на виртуалках в пару сотен гиг делался снапшот в 10Гб. 2) использует ли кто-либо в продакшене виртуалки kvm на btrfs? Здесь надо спрашивать, использует ли кто-либо btrfs не на тестовых/десктопных хостах. -- Stanislav -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/731881330536...@web27.yandex.ru -- С Уважением, специалист по техническому и программному обеспечению, системный администратор Скубриев Владимир ~~~ Россия, Ростовская область, г. Таганрог тел. моб: +7 (918) 504 38 20 skype: v.skubriev icq: 214-800-502 www: skubriev.ru -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/4f4f25f1.4030...@skubriev.ru
Re: Аналог OpenVNC под виндовс. Что бы клиент сам отправлял запрос на подключение к его рабочему столу.
29.02.2012 21:08, Alexander пишет: о, доведенная до ума схема! спасибо) 29.02.2012, 06:01, Илья Таскаев ansusti...@gmail.com: В общем все получилось, что делал: 1. Используя руководство http://www.uvnc.com/docs/uvnc-sc.html создал custom.zip со своими настройками (Список сотрудников ИТ отдела, свое лого и т.д.). 2. Загрузил его на страничку http://www.uvnc.com/downloads/single-click/82-single-click-downloads.html там мне сформировали exe файл 3. На стороне эникеев нужно запустить стандартный UltraVNC Setup все-в-одном инсталятор и выбрать только компонент VNC Viewer, затем 4. Запустить VNC Viewer в режиме прослушивания (ярлык - Run UltraVNC Viewer (Listen Mode)) 5. Клиент отправляет запрос на подключение используя сформированный в п.2 exe файл 6. 7. Profit! Класс! Спасибо. -- С Уважением, специалист по техническому и программному обеспечению, системный администратор Скубриев Владимир ~~~ Россия, Ростовская область, г. Таганрог тел. моб: +7 (918) 504 38 20 skype: v.skubriev icq: 214-800-502 www: skubriev.ru
Re: Производительность KVM на LVM
29.02.2012 9:12, Stanislav Vlasov пишет: 2) использует ли кто-либо в продакшене виртуалки kvm на btrfs? Здесь надо спрашивать, использует ли кто-либо btrfs не на тестовых/десктопных хостах. btrfs пока не стабильна, не дай бог вам ее использовать а продакшене! только для тестов -- С Уважением, специалист по техническому и программному обеспечению, системный администратор Скубриев Владимир ~~~ Россия, Ростовская область, г. Таганрог тел. моб: +7 (918) 504 38 20 skype: v.skubriev icq: 214-800-502 www: skubriev.ru -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/4f4dbeaa.4030...@skubriev.ru
Re: Производительность KVM на LVM
25.02.2012 13:49, Alexey Vazhnov пишет: 22.02.2012 12:45, Vladimir Skubriev пишет: единственное что мне пока не удалось понять, это как бэкапить тома lvm. например если в томе стоит винда со своим диском С ))) с образами проще. Если используете libvirt, то есть отличный скрипт для бекапа виртуальных дисков: https://github.com/vazhnov/virt-backup.pl спасибо обязательно попробую
Re: IOMMU, PCI Passthrough, windows и игрушки
25.02.2012 23:57, 375gnu пишет: On 2/25/12, Dmitry Nezhevenkod...@inhex.net wrote: В Xen оно формально должно работать. Но официально работает только проброc primary видеокарты. Т.е. иметь одну видеокарту в dom0, другую в domU без сторонних патчей/костылей не получится. В случае primary GPU, к ней имеет доступ только один домен (либо dom0 либо один из domU). На хабре недавно была статья про проброс видео. Там у его автора получилось наоборот: проблемы с первичной, и более-менее нормально при использовании двух читал и я эту статью. вывод сделал такой - пока рано думать о видеокартах. по сути список вообще хоть как то работающих - очень и очень мал. а вот pci устройста вроде как многие нормально пробрасывают, в частности сетевые адаптеры например. -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/4f4b48e4.3040...@skubriev.ru
Re: Производительность KVM на LVM
21.02.2012 10:15, evgeny_ver...@mail.ru пишет: Доброго всем здоровья! Есть ли у кого-нибудь сведения, сравнения может или личный опыт: ради повышения производительности IO, имеет ли смысл переходить с использования файлов-образов (например, qcow2) на LVM? имеет, небольшой прирост гарантирован. но в целом также возможно использование raw образов, они будут наиболее приближены к производительности lvm тома для машины. единственное что мне пока не удалось понять, это как бэкапить тома lvm. например если в томе стоит винда со своим диском С ))) с образами проще. -- С Уважением, специалист по техническому и программному обеспечению, системный администратор Скубриев Владимир ~~~ Россия, Ростовская область, г. Таганрог тел. моб: +7 (918) 504 38 20 skype: v.skubriev icq: 214-800-502 www: skubriev.ru
Re: spice is not supported by this qemu build
20.02.2012 12:03, Artem Chuprina пишет: On Fri, Feb 17, 2012 at 04:37:59PM +0400, Vladimir Skubriev wrote: Пакеты, имеющие неудовлетворённые зависимости: libc6-dev : Ломает: gcc-4.4 ( 4.4.6-4) но 4.4.5-8 будет установлен Дистапгрейд делайте, если влом разбирать зависимости руками. Правильно конечно сделать pbuilder для сида и собрать в нём, но раз уж а это безопасно на продакшен сервере ? Это как раз безопасно... У меня много пакетов стоит из sid'а, связанных с виртуализацией и тем, что она за собой потянула. ... в отличие от этого. Я конечно извиняюсь за может быть излишний запрос. А Что делать дальше: apt-get dist-upgrade Чтение списков пакетов... Готово Построение дерева зависимостей Чтение информации о состоянии... Готово Расчёт обновлений... Неудачно Пакеты, имеющие неудовлетворённые зависимости: qemu-kvm : Ломает: libvirt0 ( 0.9.8-2~) но 0.9.6-2 будет установлен E: Ошибка, pkgProblemResolver::Resolve сгенерировал повреждённые пакеты. Это может быть вызвано отложенными (held) пакетами. root@vsp:/root# Удалить libvirt0 а потом поставить после dist-upgarde'a ? -- С Уважением, специалист по техническому и программному обеспечению, системный администратор Скубриев Владимир ~~~ Россия, Ростовская область, г. Таганрог тел. моб: +7 (918) 504 38 20 skype: v.skubriev icq: 214-800-502 www: skubriev.ru
Re: [JT] Re: aptitude и разрешение конфликтов
20.02.2012 20:09, Michael Shigorin пишет: On Thu, Feb 02, 2012 at 04:48:14PM +0600, Andrey Rahmatullin wrote: Просто я все же надеюсь что когда найду решение в виде debian, точнее решение у которого: 1. Стабильность как у debian stable 2. Новизна собранных пакетов у debian unstable Ну-ну. Глядя на точнее, добавлю ещё пару необходимых пунктов: 3. Затратность как у сизифа. 4. SLA как у RHEL. Жаль, на Марс пока туристов не возят, а то б наверняка кто-то что-то уже такое отчебучил... Mike вы намекаете на altlinux ? Пробывал. Заманило сообщество - русские. RHEL - увы не по зубам моим клиентам. Ну что то вот так и не сложилось его где нибудь внедрить. Даже помню как пытался добавить сизиф репы в simply linux. Ни чего хорошего из этого не вышло. Сломалось все и вся и попытке установить пакеты более новых версий. Какие пакеты спросите вы ? Честно! - Уже не помню. Да сизиф - как вариант. Но опять же это altlinux а не великий и могучий debian. -- С Уважением, специалист по техническому и программному обеспечению, системный администратор Скубриев Владимир ~~~ Россия, Ростовская область, г. Таганрог тел. моб: +7 (918) 504 38 20 skype: v.skubriev icq: 214-800-502 www: skubriev.ru
Re: [JT] Re: aptitude и разрешение конфликтов
21.02.2012 9:37, Konstantin Matyukhin пишет: On Tue, Feb 21, 2012 at 9:27 AM, Vladimir Skubrievvladi...@skubriev.ru wrote: Пробывал. О, Господи! Зачем глумится над простым смертным ? -- С Уважением, специалист по техническому и программному обеспечению, системный администратор Скубриев Владимир ~~~ Россия, Ростовская область, г. Таганрог тел. моб: +7 (918) 504 38 20 skype: v.skubriev icq: 214-800-502 www: skubriev.ru
Re: spice is not supported by this qemu build
17.02.2012 16:45, Andrey Rahmatullin пишет: On Fri, Feb 17, 2012 at 04:37:59PM +0400, Vladimir Skubriev wrote: Пакеты, имеющие неудовлетворённые зависимости: libc6-dev : Ломает: gcc-4.4 ( 4.4.6-4) но 4.4.5-8 будет установлен Дистапгрейд делайте, если влом разбирать зависимости руками. Правильно конечно сделать pbuilder для сида и собрать в нём, но раз уж а это безопасно на продакшен сервере ? У меня много пакетов стоит из sid'а, связанных с виртуализацией и тем, что она за собой потянула. то какая разница. опять же вопрос выше -- С Уважением, специалист по техническому и программному обеспечению, системный администратор Скубриев Владимир ~~~ Россия, Ростовская область, г. Таганрог тел. моб: +7 (918) 504 38 20 skype: v.skubriev icq: 214-800-502 www: skubriev.ru
