kernel downgrade (2.6-2.4) and raid1
Доброго времени суток всем! Возникла необходимость сдаунгрейдить свежепоставленный etch до 2.4 ядра. Все, в том числе и / (/boot там же) было на /dev/md0 (raid1). Вроде бы все что нужно в новое 2.4 ядро вкомпилил, сделал initrd, убрал udev из системы. Но при буте kernel panic, т.к. /dev/md0: no such file (или no such device точно не помню, но смысл такой). Вопрос следующий: можно ли вообще принципиально md-рейд собранный на 2.6 ядре использовать с 2.4? Или они несовместимы? И сможет ли 2.4 ядро забутаться с root на md-девайсе? Т.е. я пытаюсь сделать вообще выполнимые вещи, просто где-то что-то упустил? Или нет? Заранее спасибо. -- WBR, Alexander Burnos -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: kernel downgrade (2.6-2.4) and raid1
Hello! On Fri, Dec 21, 2007 at 11:06:14AM +0300, Max Dmitrichenko wrote: On Friday 21 December 2007 01:52, Alexander Burnos wrote: Возникла необходимость сдаунгрейдить свежепоставленный etch до 2.4 ядра. Интересен другой момент. На etch glibc скомпилирован с заголовками от ядра 2.6.18. Мне сейчас лень смотреть как именно собирается glibc в Etch, но точно помню, что у glibc была опция скомпилиться для ядра x.y.z и выше, то есть весь код для совместимости с версиями ядра x.y.z и прочее будет выброшен и то, что эта libc будет работать с более древними ядрами, совсем не факт. Подумай на эту тему. Есть успешны опыт такого downgrade, без каких-либо проблем. Вот только тогда не было MD-дисков. Поэтому вопрос сейчас лишь в том, должны ли подняться md собранные на 2.6 на 2.4. И может ли 2.4 загрузиться с root=/dev/mdX -- WBR, Alexander Burnos -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: kernel downgrade (2.6-2.4) and raid1
Hello! On Fri, Dec 21, 2007 at 10:41:15AM +0200, Alexander Burnos wrote: Есть успешны опыт такого downgrade, без каких-либо проблем. Вот только тогда не было MD-дисков. Поэтому вопрос сейчас лишь в том, должны ли подняться md собранные на 2.6 на 2.4. И может ли 2.4 загрузиться с root=/dev/mdX Сам себе отвечаю: рейд собранный на 2.6 успешно заводится при переходе на 2.4. 2.4 успешно грузится с root=/dev/mdX. Это я что-то не то накрутил с initrd, не стал заморачиваться, вкомпилил статиком все что относится к дисковой подсистеме - завелось. -- WBR, Alexander Burnos -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: kernel downgrade (2.6-2.4) and raid1
Hello! On Fri, Dec 21, 2007 at 12:53:25PM +0200, Покотиленко Костик wrote: Я начало треда пропустил, а чем 2.6 не устраивает? Этого там и не было :) На серверах живут по несколько java-приложений, довольно прожорливых, самописных. Так вот, на 2.6 ядрах если запустить больше 2-3-х приложений одновременно - переодически бывают всплески la до 30-40, приложения притарчивают, и т.д. Те же самые приложения, такая же ява, этот же линукс но на 2.4 ядре - все живет в порядке, java-машины живут и не мешают друг другу. Сервера достаточно хорошие (2-х головые, по 4-ре ядера, 8 гиг ram/ecc). Предполагаю что как-то изменился шедулер в 2.6, что теперь ява с ним не особо дружит. Сколько не искал - не нашел солюшн этой проблемы. Более того, не нашел людей с похожими проблемами. Но она есть и это факт, переход на 2.4 спасает. В общем причина такого поведения однозначно так и не выяснена, но способ залечить существует. P.S. убрать яву с серверов не предлагать, не в моих силах. -- WBR, Alexander Burnos -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: kernel downgrade (2.6-2.4) and raid1
Hello! On Fri, Dec 21, 2007 at 01:25:31PM +0200, Alexander Vlasov wrote: Хм. У меня одна машина на 2/4 до сих пор живет по той же причине -- всплески LA до 50 на ядрах 2.6 (правда 2.6.8, этч не пробовал). У меня проблема проявляется на всех 2.6 ядрах, на родном 2.6.8 sarge в том числе. И там не Java, там самописная C++-программа. Так что джава не при чем. Хм.. а вот это уже интересней.. Если будет солюшен -- я тоже буду благодарен. Аналогично :) -- WBR, Alexander Burnos -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: kernel downgrade (2.6-2.4) and raid1
Hello! On Fri, Dec 21, 2007 at 11:15:16PM +0200, Yauhen Kharuzhy wrote: На серверах живут по несколько java-приложений, довольно прожорливых, самописных. Так вот, на 2.6 ядрах если запустить больше 2-3-х приложений одновременно - переодически бывают всплески la до 30-40, приложения притарчивают, и т.д. У меня подобное было, когда система с достаточно большим количеством запущенных задач уходила в своп. Но до конца не исследовал. В своп - это да. Но тут явно не тот случай: free total used free sharedbuffers cached Mem: 83121847470592 841592 0 407016 4385676 -/+ buffers/cache:26779005634284 Swap: 4194296 564194240 -- WBR, Alexander Burnos -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: kernel downgrade (2.6-2.4) and raid1
Hello! On Fri, Dec 21, 2007 at 11:58:36PM +0300, Alexander GQ Gerasiov wrote: У меня проблема проявляется на всех 2.6 ядрах, на родном 2.6.8 sarge в том числе. 23е ядро пробовал? там сильно другой шедулер. Кажется да, но не помню уже точно. Помню что пробовал последние ядра с kernel.org, а было ли оно 23-м на тот момент.. Попробую еще раз, спасибо. -- WBR, Alexander Burnos -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: kernel downgrade (2.6-2.4) and raid1
Hello! On Sat, Dec 22, 2007 at 03:33:38PM +0200, Michael Shigorin wrote: А I/O эти ваши программы много делают? (и если много -- то на ext3?) Не много, по сути только логгинг (но в режиме debug, т.к. довольно активный. Но я не сказал бы что есть нагрузка на диск). На ext3. У меня-то на 2.6 всё хорошо, но сборки нормальные, а не самопал. Сборки ядра или софта? Если ядра, то дистрибутивные ядра в первую очередь пробовались, конечно. Если хочешь, можно попробовать проверить. Тяжело. Проблема выскакивает в неопределенный момент на короткий промеждуток времени. Может быть раз в сутки, а может быть раз в трое суток. Может под нагрузкой, а может и без особой нагрузки. -- WBR, Alexander Burnos -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
[OT] борьба со спамо-DD OSом
Здравствуйте! Всех с наступающими, всех благ. Отличная рассылка, уже сколько раз писал сюда свои вопросы, пока дописывал - сам понимал решение :) К сожалению, не всегда так бывает. Собственно ситуация следующая, есть некий домен victim.com, спамеры повадились рассылать спам c From: [EMAIL PROTECTED], где SomeUnknownRandomUser - какое-то рандомное имя, реально не существующее. В момент осуществления рассылки спама, множество честных почтовых серверов, получающих спам с From: [EMAIL PROTECTED] начинают DDOS'ить MX'ы victim.com, кто с отлупом, кто с проверкой юзера, блокируя работу почтового сервиса victim.com. Блокировать эти почтовики нельзя, т.к. DDOSят реально честные mail-сервера в мире. Вижу два варианта: писать жалобы на оригинаторов спама, что не особо спасает, т.к. переодически все равно бывают такие вот рассылочки. Либо поставить более мощную машину чтобы выдерживала такие вот всплески. Наверняка многие сталкивались с подобной проблемой - какие еще есть способы решения? Заранее спасибо за ответы. -- WBR, Alexander Burnos -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: [OT] борьба со спамо -DDOSом
Hello! On Sat, Dec 29, 2007 at 07:00:19PM +0300, Alexey Lobanov wrote: Наверняка многие сталкивались с подобной проблемой - какие еще есть способы решения? Я бы подумал, насколько неоптимально устроена почтовая система, если попытка доставки *несуществующему* пользователю требует ощутимых ресурсов и приводит к DoS. Например, порядок правил: отлуп unknown recipient должен быть одним из первых, до всех RBL и других ресурсоёмких проверок. И как устроена база юзеров, насколько эффективен внутренний запрос к ней. Ресурсоемких проверок практически нет, есть spamd, но заточен только на определенные адреса (т.е. unknownuser@ через них не проходит). Сервер почту практически не фильтрует. База юзеров - пару десятков юзеров в hash: postfix'а. Вообще о какой нагрузке речь? Сколько обращений в секунду во время атаки? При лимите 40-50 одновременных процессов postfix'а - они забиваются все (smtpd, принимающий коннекшн). Т.е. пробиться к серверу становится нереальным. Если увеличивать этот лимит, то начинаются всплески la. Там P4 3.0ghz + не только почта. -- WBR, Alexander Burnos -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: [OT] борьба со спамо -DDOSом
Hello! On Sat, Dec 29, 2007 at 06:22:19PM +0200, Maxim Tyurin wrote: Наверняка многие сталкивались с подобной проблемой - какие еще есть способы решения? Сделать в домене жесткую SPF политику (с -all) Многие нормальные mail серверы проверяют spf. Нагрузка снизится ощутимо. Спасибо! Интересная штучка, буду смотреть. -- WBR, Alexander Burnos -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: [OT] борьба со спамо -DDOSом
Hello! On Sat, Dec 29, 2007 at 08:56:38PM +0300, Dmitri V. Ivanov wrote: Блокировать эти почтовики нельзя, т.к. DDOSят реально честные mail-сервера в мире. Насколько я понимаю это называется backscatter. Честному серверу, не проверяющему наличие получателя в ходе SMTP-сессии шлют почту на несуществующие адреса от вашего имени, а он заваливает вас отлупами. Для postfix например есть даже специальное readme о том как эту дрянь вычищать по дороге в ящик пользователя. Проверка пользователя понятное дело это совершенно обыденная ситуация. Да, это понятно. Поэтому все выглядит как бы честно. Вижу два варианта: писать жалобы на оригинаторов спама, что не особо спасает, т.к. переодически все равно бывают такие вот рассылочки. Либо поставить более мощную машину чтобы выдерживала такие вот всплески. Более мощную машину либо непадащий от них SMTP-сервер. Меня так чтобы падало не заваливали (хотя лиха беда начало). Жалобы на оригинаторов спама писать IMHO бесполезно. Наверное в любом случае прийдется ставить более мощную машину, никогда не помешает. Но попробую еще SPF. С наступающим! -- WBR, Alexander Burnos -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: [OT] борьба со спамо -DDOSом
Hello! On Tue, Jan 08, 2008 at 01:38:14PM +0200, Покотиленко Костик wrote: Там P4 3.0ghz + не только почта. P4 3.0ghz - это не хилый сервак. Памяти сколько? Если прилично, то увеличте лимит, всплески la - это не проблема, тем более кратковременные. 2 гига ram. Но там еще живет некоторая java, которой плохеет при la. На днях вынесу почту на отдельный сервер и проблема будет решена. Спасибо. -- WBR, Alexander Burnos -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: посоветуйте сетевы е карты
Hello! On Sat, Feb 09, 2008 at 11:58:04AM +0200, Alexander Burnos wrote: Есть supermicro сервера c двумя набортными Intel Pro/1000. Поправочка, точнее это 6015B-NTRV с Intel (ESB2/Gilgal) 82563EB Dual-port Gigabit Ethernet Controller на борту. -- WBR, Alexander Burnos -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: посоветуйте сетевы е карты
Hello! On Sat, Feb 09, 2008 at 03:33:42PM +0300, Maksim A. Boyko wrote: У мну DLink VT6105. За прошедшие 4 месяца нареканий не было. Работает из коробки. Dlink он то может и работает, но как показывает практика, очень зависит от фазы луны в момент покупки их оборудования :) Но учту, спасибо. -- WBR, Alexander Burnos -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: посоветуйте сетевы е карты
Hello! On Sat, Feb 09, 2008 at 05:51:29PM +0300, Yuri Kozlov wrote: 09.02.08, Alexander Burnos[EMAIL PROTECTED] написал(а): Посоветуйте другие сетевые, которые по вашему опыту надежно работают под топиком. Чего-то особенного от них не надо, даже если они смогут сделать 60 мегабит из 100 - этого уже будет достаточно. Broadcom NetXtreme с цисками, точно модельку могу посмотреть. Точно, broadcom должен быть ничего. Спасибо, наверное на нем и остановлюсь. У меня тоже ethernet в catalyst 2960 терминируется. Дрова идут на дисках (исходники пересобираются). Не смотрел, есть ли в новых ядрах из коробки. В 2.6.24 есть Broadcom NetXtremeII, возможно это оно и есть. -- WBR, Alexander Burnos -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
analog of auditd for etch?
Здравствуйте! А есть ли что-то для работы с audit системой 2.6 ядра, кроме auditd, которого в etch не наблюдается? Хочется использовать audit и при этом использовать из-дистрибутивные решения без перехода на testing. Спасибо. -- WBR, Alexander Burnos -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: analog of auditd for etch?
Hello! On Sat, Mar 08, 2008 at 09:50:45AM +0300, Stanislav Maslovski wrote: А есть ли что-то для работы с audit системой 2.6 ядра, кроме auditd, которого в etch не наблюдается? Хочется использовать audit и при этом использовать из-дистрибутивные решения без перехода на testing. А пересобрать auditd под Etch что мешает? Желание использовать решения из пакетов дистрибутива. Собственно, ничего другое не мешает - пока что так и сделал. -- WBR, Alexander Burnos -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
привязка к ip для исх одящих соединений
Здравствуйте! Как правило, при создании исходящих соединений используется адрес, который висит на eth0, если явно не было задано другое. Но один раз напоролся на неприятную вещь: после добавления очередного алиаса, некоторый софт (к примеру, ssh) стал привязываться к другому адресу для исходящих tcp-сессий (к одному из алиасов, а не основному, вищяему на eth0). Недавно похожую штуку выкинул и postfix. Можно ли как-то жестко указать, что по умолчанию биндится _только_ на адрес eth0 для исходящих коннекшнов? Причем решить это на общесистемном уровне. Жестко прописывать outgoing address для каждой софтины отдельно - просьба не предлагать, интересует именно какая-то глобальная опция. Есть такое? Заранее спасибо. -- WBR, Alexander Burnos -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: привязка к ip для исходящих соединений
Hello! On Tue, Nov 14, 2006 at 05:14:39PM +0300, Artem Chuprina wrote: AB По какому критерию был выбран в к-ве src адрес eth0:1? При этом, AB какое-то время точно был адрес с eth0. (говорю наверняка, потому что эта AB смена source адреса была выявлена, т.к. начались проблемы из-за правил AB файрволла, заточенных на конкретный source). AB И можно ли этими критериями управлять? Правильный ответ: не надо прописывать алиасы. Надо вешать на тот же интерфейс второй адрес в команде up посредством ip (ip addr add xx.xx.154.175 dev eth0). Интерфейс алиасов в частности (и кстати, ifconfig вообще) поддерживаются для совместимости с историческим прошлым - времен то ли pre-2.0, то ли pre-2.2 ядер. Поддерживается, соответственно, не идеально. Большое спасибо! -- WBR, Alexander Burnos -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: привязка к ip для исходящих соединений
Hello! On Tue, Nov 14, 2006 at 03:07:07PM +0200, Покотиленко Костик wrote: Как правило, при создании исходящих соединений используется адрес, который висит на eth0, если явно не было задано другое. Но один раз напоролся на неприятную вещь: после добавления очередного алиаса, некоторый софт (к примеру, ssh) стал привязываться к другому адресу для исходящих tcp-сессий (к одному из алиасов, а не основному, вищяему на eth0). Недавно похожую штуку выкинул и postfix. Можно ли как-то жестко указать, что по умолчанию биндится _только_ на адрес eth0 для исходящих коннекшнов? Причем решить это на общесистемном уровне. Жестко прописывать outgoing address для каждой софтины отдельно - просьба не предлагать, интересует именно какая-то глобальная опция. Есть такое? Заранее спасибо. Я та понимаю, eth0 и eth0:1 это два разных (хоть и логически) интерфейса. Так что и работать с ними надо как например с eth0 и ppp0. default route пропиши только через eth0 и при коннекте на адреса не сети eth0 должен пойти через гейт. Подсеть одна, все алиасы eth0:x тоже из этой же подсети, дефолтный гейт тоже один. Проблема не в раутинге, а в том, что приложение, при создании сокета иногда использует не первый (eth0) адрес, а рандомный в к-ве ip-адреса исходящего соединения. Возможно я не понятно объясняю? На примере, есть интерфейсы: eth0 10.0.0.10/24 eth0:1 10.0.0.11/32 eth0:2 10.0.0.12/32 Допустим, я делаю исходящий коннект с сервера на адрес 1.2.3.4, порт 80, тогда tcp-сессия будет выглядеть так: 10.0.0.10:56434 - 1.2.3.4:80 Но, иногда, возникают ситуации, когда вместо 10.0.0.10 используется 10.0.0.12, к примеру, т.е. адрес алиаса. Закономерности такого поведения я не выявил, это фича или баг поведения библиотек tcp/ip стэка? Если фича, то можно ли ее как-то настраивать, чтобы она так себя не вела, т.е. для исходящих соединения по умолчанию всегда использовала адрес первого интерфейса (если явно не указано другое). -- WBR, Alexander Burnos -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: привязка к ip для исходящих соединений
Hello! On Tue, Nov 14, 2006 at 05:11:55PM +0400, Nick 'TARANTUL' Novikov wrote: default route пропиши только через eth0 и при коннекте на адреса не сети eth0 должен пойти через гейт. Лучше всего начать с вывода ip r g $dst_ip Вот, уже ближе к телу. На проблемном сервере: ip r g 193.0.0.193 193.0.0.193 via 10.255.255.1 dev eth0 src xx.xx.154.175 cache mtu 1500 advmss 1460 При этом: ifconfig eth0 eth0 Link encap:Ethernet HWaddr 00:11:11:B1:F1:5A inet addr:xx.xx.235.142 Bcast:xx.xx.235.142 Mask:255.255.255.255 UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 RX packets:57918596 errors:0 dropped:0 overruns:0 frame:0 TX packets:4227189282 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:1000 RX bytes:636737534 (607.2 MiB) TX bytes:1319824651 (1.2 GiB) Interrupt:20 Base address:0x7000 ifconfig eth0:1 eth0:1Link encap:Ethernet HWaddr 00:11:11:B1:F1:5A inet addr:xx.xx.154.175 Bcast:xx.xx.154.175 Mask:255.255.255.255 UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 Interrupt:20 Base address:0x7000 По какому критерию был выбран в к-ве src адрес eth0:1? При этом, какое-то время точно был адрес с eth0. (говорю наверняка, потому что эта смена source адреса была выявлена, т.к. начались проблемы из-за правил файрволла, заточенных на конкретный source). И можно ли этими критериями управлять? -- WBR, Alexander Burnos -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: привязка к ip для исходящих соединений
Hello! On Tue, Nov 14, 2006 at 05:36:03PM +0300, Alexandra N. Kossovsky wrote: Жестко прописывать outgoing address для каждой софтины отдельно - просьба не предлагать, интересует именно какая-то глобальная опция. Есть такое? Есть. Надо проследить, чтобы в default route был явно прописан src addr. За подробностями -- ip route help. Пример правильной настройки: bash$ ip route default via x.y.z.t dev eth0 src a.b.c.d Как вариант, усложняется тем, что дефолт получаю по dhcp. Это тоже не проблема, конечно. Но если тот механизм, который выше описал Артем (через ip addr add) не дает подобных глюков, то собственно решу проблему им. Всем спасибо за участие и ответы. -- WBR, Alexander Burnos -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
xfs troubles
Здравствуйте! Есть xfs /var раздел, началась проблема следующего рода: touch /var/somefile touch: cannot touch `/var/somefile': No space left on device df -k /var Filesystem 1K-blocks Used Available Use% Mounted on /dev/hda6 5114432 4238640875792 83% /var df -i /var FilesystemInodes IUsed IFree IUse% Mounted on /dev/hda6 4.1M759K3.4M 19% /var Делал xfs_repair /dev/hda6, не помогло. Есть подозрения на директорию с большим к-вом файлов (Maildir, возможно сотни тысяч файлов там, не хватило терпения дождаться вывода ls). Сейчас я ее попытаюсь mv'нуть на другой раздел и посмотреть что получится. Но все же, какими средствами сейчас можно более точно диагностировать в чем именно проблема? Debian sarge, 2.4.27-3-686-smp kernel Заранее спасибо. -- WBR, Alexander Burnos -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: xfs troubles
Hello! On Sat, Nov 18, 2006 at 03:32:12PM +0200, Alexander Burnos wrote: Здравствуйте! Есть xfs /var раздел, началась проблема следующего рода: touch /var/somefile touch: cannot touch `/var/somefile': No space left on device df -k /var Filesystem 1K-blocks Used Available Use% Mounted on /dev/hda6 5114432 4238640875792 83% /var df -i /var FilesystemInodes IUsed IFree IUse% Mounted on /dev/hda6 4.1M759K3.4M 19% /var Делал xfs_repair /dev/hda6, не помогло. Есть подозрения на директорию с большим к-вом файлов (Maildir, возможно сотни тысяч файлов там, не хватило терпения дождаться вывода ls). Сейчас я ее попытаюсь mv'нуть на другой раздел и посмотреть что получится. Но все же, какими средствами сейчас можно более точно диагностировать в чем именно проблема? Debian sarge, 2.4.27-3-686-smp kernel Помог перенос директории с 700k файлами на другой раздел. Все же, не понимаю, в какой лимит я мог уперется? XFS обещает million files per directory, да и если бы это было оно - на другом (тоже xfs) разделе возникли бы теже проблемы. Места свободного тоже было достаточно, инодов хватало. Кто-то что-то может предположить? -- WBR, Alexander Burnos -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: FreeBSD :)
Hello! Господа, прошу только без священных войн :) Все это jIMHO. On Wed, Nov 22, 2006 at 04:28:08PM +0600, Roman Galaktionov wrote: Здравствуйте. Есть вопрос...немного не в рассылку...и в тоже время. Скоро у меня будет FreeBSD 6.1 или 6.2 даже. Вобщем вопрос. При переходе %) на фрю, я получу какие либо преимущества ? Так что прошу развеять некоторые мифы...возможно. Кто как не подписчики этой рассылки может развеять их :). В частности: 1. Я слышал что программы с Linux на фре прекрасно работают, а обратное неверно. Бинарники в смысле. Это главное преимущество. Да, бинарники linux'а работают на FreeBSD. Но все же это эмуляция. Вообще, по-моему, практически весь софт, который есть на FreeBSD должен быть и под линуксом. Поэтому обратная совместимость и не нужна в принципе. 2. Данная ОС намного стабильнее и безопаснее...из коробки. Насчет стабильности - любой линукс тоже достаточно стабилен из коробки, ИМХО. А вот под нагрузкой.. я бы не решился сказать что что-то более или менее стабильное +/-. Все зависит от задач, слышал множество как негативных так и позитивных отзывов про linux/bsd в тех или других случаях. Безопаснее - наверное да. Хотя бы в силу бОльшей распространенности линукса под него больше эксплоитов. В ядре линукса чаще находят дыры. 3. Она намного более упорядочена. Есть такое. Весь не системный софт лежит в /usr/local, практически наверняка можно сказать куда поставится тот или иной софт из портов. В пакаджах того же дебиана можно наблюдать легкий хаос в этом плане. 4. В подавляющем большенстве случаев софт одинаковый на обеих ОС. Примерно да. Может есть другие плюсы ? Все вышеперечисленное не совсем плюсы, а именно особенности. Все зависит от того, умеете ли вы это все правильно готовить :) Вопрос номер три. Какие недостатки ? Все зависит от задач. Хорошие люди мультиплатформенны :) Если никаких os-specific задач нет, то все зависит от привычки. Что удобней администирировать - то и лучше. Сразу скажу, что дебиан, что фря, обе ОС у меня будут в полной комплектации, со всем паккейджами. Вобщем вот такие вопросы, их стоит задать хотябы из любопытства. Сразу скажу, мне нужны конкретные ответы, без священных войн. Не нужно ругани. И еще пояснение. Я пользую дебиан-линукс как домашнюю десктоповую ОС. И фрю я буду пользовать так же. Так что ответы жду исходя из этого. При этом возможно я буду использовать их и на сервере...когда нибудь. Как десктоп - я бы использовал debian. Хотя везде использую FreeBSD на домашних машинах :) Так сложилось исторически. И хочу сказать, что собираюсь на десктопах, по крайней мере, переползит на debian как-нибудь. Потому что обновление из сорцов утомляет, а пакаджи, как показывает практика, не всегда up-to-date с портами. Ну и всякие рюшечки, типа флэша, к примеру, во фре толком рабочего нет. Приходится использовать linux-flash. А смысл тогда? Лучше уж сразу debian и с обновлениями проблемы исчезнут. Но если хочется поковыряться - you are welcome :) Всего хорошего. -- WBR, Alexander Burnos -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: FreeBSD :)
Hello! On Wed, Nov 22, 2006 at 01:40:44PM +0200, Matviychuk Oleg wrote: Я слышал что программы с Linux на фре прекрасно работают, а обратное неверно. Бинарники в смысле. Это главное преимущество. В рассылке фрибсд одно время пытались завести оперу... Не помню успешно ли, но то что совсем уж не тривиально (читай: даже не через ж...) это я запомнил хорошо =). а зачем? она же нативная есть... хз. Возможно, тогда не было... В любом случае - пример прекрасной работы линуксовых бинарников на фре налицо :D Никто не говорил что они там работают идеально. Но, использовать какой-то частный случай в виде аргумента что все плохо - тоже не стоит. Конечно, если нужны линуксовые бинарники - лучше использовать линукс. Эмуляция - вынужденная мера. -- WBR, Alexander Burnos -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: FreeBSD :)
Hello! On Wed, Nov 22, 2006 at 05:48:24PM +0600, Mikhail Gusarov wrote: You ([EMAIL PROTECTED]) wrote: AB Есть такое. Весь не системный софт лежит в /usr/local, Кстати, очень интересно следить за миграцией софта из системного в несистемный и обратно от версии к версии. Это Вы о переводе кучи всего в не-системное в 4.x-5.x? Да, наблюдать интересно безусловно :) Радости не добавляет. AB практически наверняка можно сказать куда поставится тот или иной AB софт из портов. В пакаджах того же дебиана можно наблюдать легкий AB хаос в этом плане. dpkg -L делали зря и Debian Policy тоже зря писали? Конечно не зря. Это мои первые впечатления после FreeBSD - я был несколько дизориентирован местами установки некоторых пакетов. Все таки, согласитесь, во FreeBSD все более упорядоченно в этом плане. Ну а если не согласитесь - спорить не буду, дело вкуса. И опять таки, дело привычки, кому как удобней. Просто нужно уметь правильно готовить :) -- WBR, Alexander Burnos -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: FreeBSD :)
Hello! On Wed, Nov 22, 2006 at 03:15:03PM +0300, Alexander GQ Gerasiov wrote: 3. Она намного более упорядочена. Есть такое. Весь не системный софт лежит в /usr/local, практически наверняка можно сказать куда поставится тот или иной софт из портов. В пакаджах того же дебиана можно наблюдать легкий хаос в этом плане. Чур тебя. Во фре такой бардак с расположением файлов в ФС... По крайней мере после дебиана. Не, ну с другой стороны, если считать, что порядок, это когда точно известно где что лежит - тогда да... Там все в /usr/local... Можно еще улучшить - вообще все в один каталог класть. Мнения разошлись :) Все зависит от задач. Хорошие люди мультиплатформенны :) Если никаких os-specific задач нет, то все зависит от привычки. Что удобней администирировать - то и лучше. А во фре сделали нормальный SMP? 8-X Честно? Не знаю. Все системы, которым нужен SMP, у меня на линуксе живут. Не потому что фря не поддерживала, а потому что нужен был линукс. -- WBR, Alexander Burnos -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: FreeBSD :)
Hello! On Wed, Nov 22, 2006 at 03:15:03PM +0300, Alexander GQ Gerasiov wrote: 2. Данная ОС намного стабильнее и безопаснее...из коробки. Угу. Хотя бы потому, что из коробки во фре ничего нету и все придется делать руками. =\ Особенно убивает, когда человек простой вебсервер сетапит несколько дней. Забыл отквотить сразу. Несколько дней просто вебсервер сетапить - это нужно уметь, конечно, на чем бы это ни было. -- WBR, Alexander Burnos -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: FreeBSD :)
Hello! On Wed, Nov 22, 2006 at 05:10:03PM +0300, Victor Wagner wrote: On 2006.11.22 at 14:05:41 +0200, Alexander Burnos wrote: Hello! dpkg -L делали зря и Debian Policy тоже зря писали? Конечно не зря. Это мои первые впечатления после FreeBSD - я был несколько дизориентирован местами установки некоторых пакетов. Все таки, согласитесь, во FreeBSD все более упорядоченно в этом плане. Не согласимся. В Debian весь софт, живущий под управлением dpkg - системный. Поэтому ставится в /usr. А в /usr/local попадает то, что руками поставлено локальным системным администратором. Во freeBSD /usr/local набито тем, что поставлено из портов. А куда самостоятельно написанное ставить? В /usr/local/local? Ведь по хорошему счету иметь возможность самостоятельно снести надо только то, что руками поставил. Что поставил package manager (даже если его роль играет /usr/ports/Makefile) - он же и снесет. Интересная аргументация, пожалуй, вынужден с Вами согласится. Пустой /usr/local для локальных вещей и все остальное под контроль менеджеру пакетов - это хороший подход. Лишь бы этот самый packet manager все правильно реализовывал. Но в дебиане, тьху-тьху, это на должном уровне. -- WBR, Alexander Burnos -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Не запускать серви с в /etc/init.d
Hello! On Tue, Nov 28, 2006 at 07:14:36PM +0400, Dmitry-T wrote: В /etc/init/d имеется сервис, который хочется, как правило, не запускать (amule-daemon). При этом сносить пакет не хочется. Вопрос: как бы это сделать, да ещё так, чтобы при автообновлении пакета сервис не становился снова запускаемым? Или нереально вообще совсем, только снос пакета? Очень удобно использовать rcconf, поскольку он запоминает выключенные демоны и позволяет их увидеть и заново включить. #aptitude install rcconf #rcconf Действительно удобно. А вот может кто подскажет, каким образом лучше всего поступить: Есть некоторые init.d скрипты, которые не имеют конфига в /etc/default и которые хотелось бы немного поправить и при этом не потерять изменения при следующем обновлении софта. Вижу пока три варианта: - Править init.d скрипт после каждого изменения. - Написать свой отдельный, а родной отключить через rcconf - Переписать init.d-скрипт на такой, который понимает конфиг в /etc/default и закоммитить :) Других каких-то стандартных путей нет? -- WBR, Alexander Burnos -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: 'at' problems
Hello! On Fri, Jan 05, 2007 at 03:52:09PM +0300, Yuri Kozlov wrote: 05.01.07, Alexander Burnos[EMAIL PROTECTED] написал(а): Здравствуйте! Есть sarge, на нем at из репозитария: at version 3.1.8 Ставлю какую-нибудь задачу, допустим просто echo какой-нибудь: echo cool | /usr/bin/at +1 minute /dev/null 21 Без dev/null запустите и посмотрите на ошибки. Пробовал, ничего критичного не вижу: echo cool | /usr/bin/at +1 minute warning: commands will be executed using /bin/sh job 83 at 2007-01-05 09:32 -- WBR, Alexander Burnos -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: 'at' problems
Hello! On Fri, Jan 05, 2007 at 05:53:17PM +0300, Иван Лох wrote: echo cool | /usr/bin/at +1 minute /dev/null 21 Без dev/null запустите и посмотрите на ошибки. Пробовал, ничего критичного не вижу: echo cool | /usr/bin/at +1 minute warning: commands will be executed using /bin/sh job 83 at 2007-01-05 09:32 Попробуйте вместо echo touch /tmp/_test может у вас с sendmail проблемы? Нет, команды реально не выполняются. Баг был замечен на реальных команда, echo - для теста. Ради интереса еще раз с touch попробовал - ничего. Команда записывается в atjobs успешно, но во время выполнения раздваивается на два файла и atq выводит следующее: 85 2007-01-05 10:16 a dispatcher 85 2007-01-05 10:16 = dispatcher До выполнения, это была одна команда: 85 2007-01-05 10:16 a dispatcher ls -al /var/spool/cron/atjobs/ total 12 drwx-- 2 daemon daemon 38 Jan 5 10:16 . drwxr-xr-x 5 root root 48 Oct 17 2005 .. -rw--- 1 daemon daemon6 Jan 5 10:15 .SEQ -rwx-- 2 dispatcher dispatcher 1272 Jan 5 10:15 =0005501290a54 -rwx-- 2 dispatcher dispatcher 1272 Jan 5 10:15 a0005501290a54 Почта ходила так и локально, так и вне - все ок. -- WBR, Alexander Burnos -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: 'at' problems
Hello! On Fri, Jan 05, 2007 at 05:53:17PM +0300, Иван Лох wrote: On Fri, Jan 05, 2007 at 04:31:52PM +0200, Alexander Burnos wrote: echo cool | /usr/bin/at +1 minute /dev/null 21 Без dev/null запустите и посмотрите на ошибки. Пробовал, ничего критичного не вижу: echo cool | /usr/bin/at +1 minute warning: commands will be executed using /bin/sh job 83 at 2007-01-05 09:32 Попробуйте вместо echo touch /tmp/_test может у вас с sendmail проблемы? Все же, с at/atd. Запустил /usr/sbin/atd -d и увидел следующее при попытке выполнить at-job: File a301290a61 is in wrong format - aborting at/atd из одного пакаджа: at_3.1.8-11_amd64.deb Куда бы копнуть? -- WBR, Alexander Burnos -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: 'at' problems
Hello! On Fri, Jan 05, 2007 at 08:36:49PM +0500, Nikolay Polivanov wrote: Есть sarge, на нем at из репозитария: at version 3.1.8 Ставлю какую-нибудь задачу, допустим просто echo какой-нибудь: echo cool | /usr/bin/at +1 minute /dev/null 21 echo cool | .. даст на stdin для at cool, а не echo cool, может быть в этом ошибка? Нет, проблема в том, что этот cool даже не пытается выполниться. См. мое письмо выше по триду, atd не хочет признавать формат job'а, который формируется at -- WBR, Alexander Burnos -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: 'at' problems
Hello! On Fri, Jan 05, 2007 at 06:57:26PM +0300, Yuri Kozlov wrote: 2007/1/5, Yuri Kozlov [EMAIL PROTECTED]: 05.01.07, Alexander Burnos[EMAIL PROTECTED] написал(а): Без dev/null запустите и посмотрите на ошибки. Пробовал, ничего критичного не вижу: echo cool | /usr/bin/at +1 minute warning: commands will be executed using /bin/sh job 83 at 2007-01-05 09:32 [EMAIL PROTECTED]:~$ echo cool | /usr/bin/at -V +1 minute at version 3.1.9 Bug reports to: [EMAIL PROTECTED] (Ryan Murray) syntax error. Last token seen: + Garbled time [EMAIL PROTECTED]:~$ правда тестинг ГОните и я вместе с вами :) Так работает: echo 'touch /tmp/lala' | /usr/bin/at -V now +1 minute Garbled time в предыдущем примере из-за неверного формата времени, видно в at 3.1.9 он изменился в отличии от 3.1.8, который у меня. Но проблема не в этом, задача ставится в очередь корректно и на нужные время. Проблема в том, что во время выполнения atd выдает: File a301290a61 is in wrong format - aborting -- WBR, Alexander Burnos -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: 'at' problems
Hello! On Fri, Jan 05, 2007 at 08:48:22PM +0300, Yuri Kozlov wrote: 05.01.07, Alexander Burnos[EMAIL PROTECTED] написал(а): Так работает: echo 'touch /tmp/lala' | /usr/bin/at -V now +1 minute Garbled time в предыдущем примере из-за неверного формата времени, видно в at 3.1.9 он изменился в отличии от 3.1.8, который у меня. Но проблема не в этом, задача ставится в очередь корректно и на нужные время. Проблема в том, что во время выполнения atd выдает: File a301290a61 is in wrong format - aborting В мане написано, что формат времени задаётся в POSIX.2. Неужто он так быстро изменился ? Вряд ли изменился. Но то, что 3.1.8 принимает формат как now, так и без него - факт. Вы с now пробовали ? Попробовал. Ничего не изменилось. Зато нарыл новые интересные подробности: Сабжевый глюк возникает лишь у некоторых юзеров! Т.е. есть системный юзер user1, есть user2. Они ничем, по сути, кроме uid/gid не отличаются. Никаких дополнительных специальных привелегий у них нет. Но у user1 этот глюк проявляется, а у user2 - нет. Я запустил at-задачу от обоих юзеров и посмотрел на diff файлов, которые в /var/spool/cron/atjobs Они абсолютно ничем не отличаются, кроме того, что в переменных первого пути идут относительно user1, а во втором - относительно user2. Ничего не понимаю.. -- WBR, Alexander Burnos -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
[OT] apache redirector
Здравствуйте! Извините за небольшой OT. Подскажите, умеет ли apache отправлять юзера на разные virtual hosts, в зависимости от его ip-адреса? Т.е. пришел юзер из подсети 1.0/24 - попал на один vhost, пришел из 2.0/24 - попал на другой. Если да, то ткните в нужную доку, пожалуйста. Или это только каким-то внешним редиректором решается? Заранее спасибо. -- WBR, Alexander Burnos -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: [OT] apache redirector
Hello! On Thu, Jan 18, 2007 at 02:00:40PM +0600, Aleksey Luzin wrote: Сразу вопрос, а приходят они на один и тот же IP, или ip сервера разный для разных подсетей? можно попробовать mod_rewriteом сделать, используя SERVER_ADDR Если был бы разный, то я просто определил бы разные vhost'ы для разных адресов и даже rewrite не нужен был. Адрес сервера один для всех. Alexander Burnos wrote: Подскажите, умеет ли apache отправлять юзера на разные virtual hosts, в зависимости от его ip-адреса? Т.е. пришел юзер из подсети 1.0/24 - попал на один vhost, пришел из 2.0/24 - попал на другой. Если да, то ткните в нужную доку, пожалуйста. Или это только каким-то внешним редиректором решается? -- WBR, Alexander Burnos -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: [OT] apache redirector
Hello! On Thu, Jan 18, 2007 at 02:12:01PM +0300, Pavel Ammosov wrote: On Thu, Jan 18, 2007 at 09:56:45AM +0200, Alexander Burnos wrote: Подскажите, умеет ли apache отправлять юзера на разные virtual hosts, в зависимости от его ip-адреса? Т.е. пришел юзер из подсети 1.0/24 - попал на один vhost, пришел из 2.0/24 - попал на другой. Если да, то ткните в нужную доку, пожалуйста. Можно сделать через mod_rewrite, переменная с адресом клиента - REMOTE_ADDR. Но Функционала для определения попадает ли адрес в сеть у mod_rewrite нету, поэтому скорее всего придётся написать свой через program map. Через REMOTE_ADDR понятно, только да, подсети не получиться заматчить стандартными средствами :-\ -- WBR, Alexander Burnos -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: [OT] apache redirector
Hello! On Thu, Jan 18, 2007 at 02:42:30PM +0300, Pechnikov Alexey wrote: В сообщении от Четверг 18 января 2007 14:12 Pavel Ammosov написал(a): Подскажите, умеет ли apache отправлять юзера на разные virtual hosts, в зависимости от его ip-адреса? Т.е. пришел юзер из подсети 1.0/24 - попал на один vhost, пришел из 2.0/24 - попал на другой. Если да, то ткните в нужную доку, пожалуйста. Можно сделать простейшим скриптом, на перле, например, в инете есть примеры. Плюс в том, что легко привязать к текстовому конфигу хостов (или к базе данных), даже в разное время суток можно на разные хосты перенаправлять, можно сообщать, что сервер на ремонте и перенаправлять куда-то еще... Т.е. Вы предлагаете чтобы юзер идя на www.site.com попадал на мой скрипт, а он уже редиректил на www1.site.com или www2.site.com? Тогда не подходит, увы :( Для пользователей это должно быть абсолютно прозрачно. Т.е. и те и другие должны ходить только на www.site.com. А вот какой контент он отдаст - это уже разное для разных подсетей. В общем, похоже, готовых средств в апаче нет. -- WBR, Alexander Burnos -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: [OT] apache redirector
Hello! On Thu, Jan 18, 2007 at 04:04:37PM +0300, Peter Teslenko wrote: Т.е. Вы предлагаете чтобы юзер идя на www.site.com попадал на мой скрипт, а он уже редиректил на www1.site.com или www2.site.com? Тогда не подходит, увы :( Для пользователей это должно быть абсолютно прозрачно. Т.е. и те и другие должны ходить только на www.site.com. А вот какой контент он отдаст - это уже разное для разных подсетей. В общем, похоже, готовых средств в апаче нет. Сделай в bind9 view, что для разных подсетей www.bla-bla.tld ресолвилось в разные ip. Тоже не подходит, нужно чтобы со всех сторон домен/адрес выглядели одинаково. Или у тебя name based хостинг? И это тоже. Всем спасибо, вопрос решил. Повесил другой vhost на отдельный ip и iptables/DNAT раскидываю клиентов куда надо. Интересовало именно решение через apache, если бы оно было. -- WBR, Alexander Burnos -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
sudo limits
Приветствую! В процессе обнаружил такую вещь, что при выполнении команд через sudo никак не учитываются лимиты пользователя, описанные в /etc/security/limits.conf Т.е., к примеру, если для пользователя user определено nofile 2048, для пользователя admin nofile 1024. Если я запускаю что-то от юзера admin, как sudo -u user /some/program, то эта program получит nofile 1024. Погуглил, везде встречаю что мол это такая концепция, sudo дает право на выполнение с правами пользователя, а вот ограничения пользователя она не учитывает. Есть ли варианты как это можно обойти? Как можно запускать программы с правами и лимитами другого пользователя? su/suid/sgid не подходят. Заранее спасибо. -- WBR, Alexander Burnos -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: sudo limits
Hello! On Tue, Jan 23, 2007 at 06:03:08PM +0300, Konstantin Matyukhin wrote: On 1/23/07, Alexander Burnos [EMAIL PROTECTED] wrote: Приветствую! В процессе обнаружил такую вещь, что при выполнении команд через sudo никак не учитываются лимиты пользователя, описанные в /etc/security/limits.conf Может добавить pam_limits.so в /etc/pam.d/sudo? Таким образом? sessionrequired pam_limits.so Не дает эффекта. -- WBR, Alexander Burnos -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
secure usb flash
Приветствую! Есть задача - секьюрно транспортировать свои данные с собой на usb-флэшке. Чем бы так криптовать данные, чтобы они и под linux и под win32 могли успешно читаться? В идеале - на флэшку заливаются бинарники софта под win/linux, чтобы расшифровать данные где угодно. (Вставил флэш, софтом с этой же флэшки расшифровал, поюзал, закрыл). Как вариант gnupg/pgp, но хочется шифровать не по одному файлу/архиву, а кусок данных целиком. А-ля cryptoloop/pgp disk, только портабельный на эти две платформы. Есть такое? В какую сторону смотреть можно? -- WBR, Alexander Burnos -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: secure usb flash
Hello! On Tue, Feb 06, 2007 at 03:58:06PM +0300, Victor Wagner wrote: Есть задача - секьюрно транспортировать свои данные с собой на usb-флэшке. Чем бы так криптовать данные, чтобы они и под linux и под win32 могли успешно читаться? В идеале - на флэшку заливаются бинарники софта под win/linux, чтобы расшифровать данные где угодно. (Вставил флэш, софтом с этой же флэшки расшифровал, поюзал, закрыл). Как вариант gnupg/pgp, но хочется шифровать не по одному файлу/архиву, а кусок данных целиком. А-ля cryptoloop/pgp disk, только портабельный на эти две платформы. Есть такое? В какую сторону смотреть можно? Пару ссылок тут уже кинули. Но я бы сначала советовал немножко подумать над этой идеей. Точнее, я бы не советовал ни в коем случае использовать шифрование разделов, в том случае если предполагается доступ к данным на недоверенном компьютере. А судя по всему - он предполагается. Иначе не стояло бы вопроса с хранением шифрующей программы на том же диске. Простейший сценарий: На флэшке у нас лежат документы по работе с несколькими клиентами. Приходим к одному клиенту, запускаем шифрующую софтину, вводим пароль, получаем доступ к зашифрованным данным. Если клиент хоть чуточку соображает, он может незаметно для нас выкачать договора с его конкурентами. Поэтому в случае если предполагается работа с недоверенными компьютерами, следует шифровать каждый файл/группу файлов по отдельности, и использовать разные пассфразы для данных доступ к которым должны иметь разные люди. В этой ситуации можно использовать только что-то gpg-подобное. Да, естественно, втыкая флэшку в компьютер клиента/поставщика etc, следует полагать, что кейлоггер у него установлен и работает. Компьютер заведомо добропорядочного человека, в квалификации которого, как администратора соответствующей ОС вы не уверены, тоже следует считать не доверенным. и полагать что кейлоггер там запущен, причем кем-то совсем посторонним. Спасибо за столь подробное описание проблемы. Действительно, эти все аспекты есть и на них стоит обратить внимание. В моем случае все несколько упрощается, т.к. действительно можно разделить на критичные данные и не очень. Критичные есть необходимость и возможность использовать только на доверенных компьютерах, а не критичные - где угодно. Их компроментация не так существенна и просто хотелось бы защититься от случайной потери или кражи носителя. Спасибо всем ответившим за ссылки, truecrypt вполне подходит, вопрос решен. -- WBR, Alexander Burnos -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: secure usb flash
Hello! On Tue, Feb 06, 2007 at 04:47:21PM +0300, Andrey Melnikoff wrote: Есть задача - секьюрно транспортировать свои данные с собой на usb-флэшке. Чем бы так криптовать данные, чтобы они и под linux и под win32 могли успешно читаться? В идеале - на флэшку заливаются бинарники софта под win/linux, чтобы расшифровать данные где угодно. (Вставил флэш, софтом с этой же флэшки расшифровал, поюзал, закрыл). Как вариант gnupg/pgp, но хочется шифровать не по одному файлу/архиву, а кусок данных целиком. А-ля cryptoloop/pgp disk, только портабельный на эти две платформы. Есть такое? В какую сторону смотреть можно? У брательника есть гиговая флешка, которая выглядит как два диска. Один из разделов можно держать зашифрованным, но софт вроде есть как только под оффтопик. Если интересно - могу спросить, как этого зверя зовут. Про такие решения я знаю, именно ограниченность оффтопиком и отсекла их сразу. -- WBR, Alexander Burnos -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
linux 2.4 vs 2.6 (several java machines)
Здравствуйте! Несколько абстрактный вопрос.. Есть debian сервера, на каждом из них живут по несколько java-приложений. Каждое приложение использует свой jetty и свою java-машину. Т.е. запущено несколько копий java. Теперь собственно сама проблема: На ядре 2.4 2-3 ява машины уживаются без проблем, все работает как надо. Но на ядрах 2.6 - теже самые несколько инстансов создают существенный load (la), явно больше чем на 2.4 ядрах. С одной стороны, наверняка поменялся алгоритм вычисления load average и, допустим, там где на 2.4 было 0.5 - на 2.6 будет 5. Но, самое неприятное то, что именно на 2.6 ядрах иногда рост la становится захлебывающим. Т.е. ладно он поднялся до 10-ти, а потом упал. Но переодически процесс лавинообразен, машина начинает прогибаться, приложения подтормаживать. Сначала грешил на изменившийся memory management, что из-за громоздкости java машин - система свопится, при этом делает не так эффективно как на 2.4 и отсюда проблемы. На такие мысли наводил часто висевший в топе kswapd во время нагрузок. Но сейчас это удалось опровергнуть, были созданы тестовые java-приложения, которые аллокейтят памят и всячески дрючат процессор. Результат тот же: на 2.4 ядрах несколько таких приложений уживаются вместе лучше, чем на 2.6. Еще есть подозрение на какие-то изменившиеся нюансы между NPTL и linuxthreads библиотеками.. но не знаю на что именно смотреть. Какие тесты еще можно провести - ума не приложу. Т.к. среднестатически все хорошо/плохо одинаково, что на 2.4, что на 2.6 ядрах во время тестов. Т.е. по к-ву runnable процессов в очереди, по нагрузке на процессор, память, и т.д. Но факт есть: на 2.6 ядрах несколько ява-приложений в какой-то момент времени начинают укладывать систему, растет la и все плохо. На 2.4 этого практически не происходит. Уважаемые подписчики, у кого есть опыт с java-хостингом? У кого живут несколько java-машин? Поделитесь опытом, пожалуйста. Встречалось ли подобное? Или какие еще тесты посоветуете прогнать, чтобы попытаться найти причину? Извините за много текста, буду благодарен за любые наводки. P.S. Debian sarge, 2.4 и 2.6 ядра разные, от дистрибутивных до самосборных с kernel.org - без разницы. -- WBR, Alexander Burnos -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
networking restart ip addresses mixing
Здравствуйте! Какое-то время назад я обращался в рассылку с проблемой о том, что на debian машине с одним eth0 интерфейсом (адрес приходит по dhcp) и несколькими eth0:X алиасами (статик) происходят странности - иногда основным outgoing source адресом для машины становится какой-нибудь адрес их алиасов eth0:X, а не адрес eth0. Т.е., к примеру, на машине: ip a l eth0 2: eth0: BROADCAST,MULTICAST,UP mtu 1500 qdisc pfifo_fast qlen 1000 link/ether 00:11:11:b1:f1:5a brd ff:ff:ff:ff:ff:ff inet x.x.235.142/32 brd x.x.235.142 scope global eth0 inet x.x.154.175/32 brd x.x.154.175 scope global eth0:1 inet x.x.154.176/32 brd x.x.154.176 scope global eth0:2 ip r g 193.0.0.193 193.0.0.193 via 10.255.255.1 dev eth0 src x.x.235.142 cache mtu 1500 advmss 1460 Но после того, как сеть передергивается (может по dhcp, может физикой) - есть вероятность того, что адреса перемешаются и получится что-то вроде следующего: ip a l 2: eth0: BROADCAST,MULTICAST,UP mtu 1500 qdisc pfifo_fast qlen 1000 link/ether 00:11:11:b1:f1:5a brd ff:ff:ff:ff:ff:ff inet x.x.154.175/32 brd x.x.154.175 scope global eth0:1 inet x.x.154.176/32 brd x.x.154.176 scope global eth0:2 inet x.x.235.142/32 brd x.x.235.142 scope global eth0 ip r g 193.0.0.193 193.0.0.193 via 10.255.255.1 dev eth0 src x.x.154.175 cache mtu 1500 advmss 1460 Мне посоветовали не использовать механизм eth0:x алиасов, а прописывать адреса через iface eth0 inet dhcp up ip addr add x.x.154.175 dev eth0 up ip addr add x.x.154.175 dev eth0 Я так и сделал, но ничего по сути не изменилось. Изменение source адреса это еще полбеды, хотя и неприятная вещь. Не так давно вообще неприятная ситуация случилась, ethernet-шнурок был включен/выключен, после этого, видимо, передернулось dhcp, адреса не только перемешались, но и один вообще исчез из конфига интерфейса, что было достаточно критичным для работы системы. Резюмирую: во время передергивания сети адреса на интерфейсе могут перемешаться и иногда вообще исчезнуть с конфига интерфейса. Это происходит не часто, но уверенно было замечено на нескольких разных серверах. Везде основной адрес по dhcp + остальное прописывается статиком на интерфейс. Такой эффект можно отловить только если сетку дергать после старта системы. Во время бута - все всегда конфигурится уверенно, кк надо. Debian sarge. Что можете посоветовать? -- WBR, Alexander Burnos -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: networking restart ip addresses mixing
Hello! On Fri, Feb 09, 2007 at 06:19:59PM +0300, Artem Chuprina wrote: AB Резюмирую: во время передергивания сети адреса на интерфейсе могут AB перемешаться и иногда вообще исчезнуть с конфига интерфейса. Это AB происходит не часто, но уверенно было замечено на нескольких разных AB серверах. Везде основной адрес по dhcp + остальное прописывается AB статиком на интерфейс. AB Такой эффект можно отловить только если сетку дергать после старта AB системы. Во время бута - все всегда конфигурится уверенно, кк надо. AB Debian sarge. Что можете посоветовать? Могу посоветовать в таблице роутинга явно указывать src. Ок, допустим. Но проблему с исчезновением адреса вообще - это не решает. Такое случилось всего один раз, но было очень неприятно и критично. -- WBR, Alexander Burnos -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: networking restart ip addresses mixing
Hello! On Fri, Feb 09, 2007 at 06:43:29PM +0300, Artem Chuprina wrote: Alexander Burnos - debian-russian@lists.debian.org @ Fri, 9 Feb 2007 17:29:18 +0200: AB Резюмирую: во время передергивания сети адреса на интерфейсе могут AB перемешаться и иногда вообще исчезнуть с конфига интерфейса. Это AB происходит не часто, но уверенно было замечено на нескольких разных AB серверах. Везде основной адрес по dhcp + остальное прописывается AB статиком на интерфейс. AB Такой эффект можно отловить только если сетку дергать после старта AB системы. Во время бута - все всегда конфигурится уверенно, кк надо. AB Debian sarge. Что можете посоветовать? Могу посоветовать в таблице роутинга явно указывать src. AB Ок, допустим. Но проблему с исчезновением адреса вообще - это не решает. AB Такое случилось всего один раз, но было очень неприятно и критично. Вообще-то обычно в таких конфигурациях DHCP не пользуются, вешают статику сразу. Увы, реальность данная нам в ощущениях. Конфигурация может быть только такой. Сам бы не прочь полностью на статик переехать. Как вариант - дополнительные адреса развешивают на lo, но у тебя, кажется, не тот случай (это хорошо, когда они все из одной сетки, и снаружи знают, кто туда роутер). Кстати, вариант, спасибо за идею. Адреса действительно из разных подсетей, но реально это включение в один сегмент. Раутят их мне все правильно в один интерфейс, от меня все уходит в один гейт. Единственное что, нужно будет на eth0 proxy-arp включить, насколько я понимаю. Или eth0 и без него ответит arp-запросу на адреса, которые на lo висят? P.S. Это все workaround'ы, может кто-то боролся с проблемой глобальней? Ведь это явно не нормальное поведение при ifup'е интерфейсов. -- WBR, Alexander Burnos -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: networking restart ip addresses mixing
Hello! On Fri, Feb 09, 2007 at 07:29:14PM +0300, Yuri Kozlov wrote: 09.02.07, Alexander Burnos[EMAIL PROTECTED] написал(а): iface eth0 inet dhcp up ip addr add x.x.154.175 dev eth0 up ip addr add x.x.154.175 dev eth0 Я так и сделал, но ничего по сути не изменилось. Изменение source адреса это еще полбеды, хотя и неприятная вещь. Не так давно вообще неприятная ситуация случилась, ethernet-шнурок был включен/выключен, после этого, видимо, передернулось dhcp, адреса не только перемешались, но и один вообще исчез из конфига интерфейса, что было достаточно критичным для работы системы. В смысле каким-то образом исчезла запись из /etc/network/interfaces ??? Нет, не из interfaces, конечно. Исчез из текущего конфига интерфейса, из того, что видно через ip address list -- WBR, Alexander Burnos -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: 2.6
Hello! On Mon, Feb 12, 2007 at 01:09:12PM +0300, Иван Лох wrote: И напоследок -- насколько же паскудный в 2.6 шедулер... :( Может, для сервера он и лучше 2.4, но на обычной рабочей (как и на домашней) машине оно встает на 10-30 секунд в почти мертвый клинч в ситуациях, в которых на 2.4 просто все начинало работать чуть медленнее. А музыку Хм. В каких ситуациях? Вот-вот, и я о том же. Мое предыдущее абстрактное письмо про java на 2.4/2.6 наверное в эту же точку. На 2.4 несколько java-машин сосуществуют на ура, на 2.6 теже самые приложения - создают la, а в пиковые моменты вообще машину в клинч вгоняют. Причем это бывает в самые случайные моменты, когда какие-то неудачные условия создаются, видимо, и шедулер не успевает их разгребсти. -- WBR, Alexander Burnos -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: 2.6
Hello! On Mon, Feb 12, 2007 at 02:42:21PM +0300, Иван Лох wrote: В любых при большой загрузке. Такое ощущение, что чем выше активность процесса, тем реже у него отбирают процессор. И от nice level это не очень сильно зависит -- vacuum большой sqlite-овской базы делает машину практически неработоспобной даже при nice -19. А памяти для этой операции хватает? Если нет, то надо политику свопирования поменять. Вы про /proc/sys/vm/swappiness? Или другие рычаги? -- WBR, Alexander Burnos -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
backports kernel source question
Здравствуйте! Вопрос: накладываются ли все security патчи на ядра, которые есть в бэкпортах? Конкретно интересуют вот эти пакеты: linux-source-2.6.14 - Linux kernel source for version 2.6.14 with Debian patches linux-source-2.6.15 - Linux kernel source for version 2.6.15 with Debian patches linux-source-2.6.16 - Linux kernel source for version 2.6.16 with Debian patches linux-source-2.6.17 - Linux kernel source for version 2.6.17 with Debian patches linux-source-2.6.18 - Linux kernel source for version 2.6.18 with Debian patches Я так понимаю, они берутся из testing'а. В testing'е security patches накладываются на все эти ядра, или же только на последнее, т.е. 2.6.18? Киньте, плз, линком, где про эти полиси апдейтов можно почитать. Заранее спасибо. -- WBR, Alexander Burnos -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: backports kernel source question
Hello! On Wed, Feb 21, 2007 at 05:12:32PM +0300, [EMAIL PROTECTED] wrote: On Wed, 21 Feb 2007, Alexander Burnos wrote: Здравствуйте! Вопрос: накладываются ли все security патчи на ядра, которые есть в бэкпортах? Конкретно интересуют вот эти пакеты: linux-source-2.6.14 - Linux kernel source for version 2.6.14 with Debian patches linux-source-2.6.15 - Linux kernel source for version 2.6.15 with Debian patches linux-source-2.6.16 - Linux kernel source for version 2.6.16 with Debian patches linux-source-2.6.17 - Linux kernel source for version 2.6.17 with Debian patches linux-source-2.6.18 - Linux kernel source for version 2.6.18 with Debian patches Я так понимаю, они берутся из testing'а. В testing'е security patches накладываются на все эти ядра, или же только на последнее, т.е. 2.6.18? Киньте, плз, линком, где про эти полиси апдейтов можно почитать. Заранее спасибо. Если речь идет об linux-source то при чём здесь бекпорт? При том, что в sarge нету ядра 2.6.18, насколько я знаю. Или ошибаюсь? Идем в debian/pool/main/l/linux-2.6/ имеется пакет linux-source-2.6.18_2.6.18-7_all.deb патчи которые _уже были_ приложены содержатся в пакете linux-patch-debian-2.6.18_2.6.18-7_all.deb Внутри пакета краткое описание и скриптик для отката имеется. Ну а написано об этом в Debian Linux Kernel Handbook: http://kernel-handbook.alioth.debian.org/ ссылка на который имеется в Debian Reference: http://www.debian.org/doc/manuals/debian-reference/ Спасибо. -- WBR, Alexander Burnos -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
undefined load average
Здравствуйте! Есть sarge + самосборное 2.6.20.1 ядро с kernel.org. Переодически возникают странные всплески load average до 10-12, при этом процессор idle 50%. На винт особая нагрузка на идет, ничего выдающегося. Судя по vmstat в runnable проскакивают 1-5 задач, не больше, в blocked вообще по нулям. То есть запора в диске нету. Короче все выглядит так, как и тогда, когда нет всплеска la (стандартно la 1-2). Куда еще посоветуете посмотреть? Визуально - все в порядке, никто машину не грузит. А load average есть, что напрягает. Ну не бывает же дыма без огня. Такая картина наблюдается и на других серверах с 2.6 ядром, не обязательно только на этом. Спасибо. -- WBR, Alexander Burnos -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: шифрованная ФС
Hello! On Wed, Mar 21, 2007 at 06:03:51PM +0300, Dmitry E. Oboukhov wrote: кто-либо пользуется сабжем? если да то каким? вопрос. насколько я понимаю само шифрование можно сделать в виде использования ключа или же в случае если ключом будет пароль (или хеш к нему) второй случай в случае применения маски шоу и потом серьезной вычтехники представляется малосекьюрным а первый - таскание ключа на отдельном носителе представляется малоудобным: в том же случае маскишоу может носитель оказаться рядом с хостом и все: шифрования нет. какие наработки есть по поводу совмещения удобства и секьюрности никто не даст ссылочек на почитать или своими словами бы рассказал? В TrueCrypt есть понятие Hidden раздела. Это раздел, который находится внутри зашифрованной партиции. По идее работает так: к Вам применяют терморектальный криптоанализ, Вы говорите пароль от зашифрованного раздела, они его открывают и ничего не находят/находят псевдоважные данные. Чтобы открыть hidden раздел во-первых надо знать что он там есть (утверждают, что определить существует он или нет - невозможно), во-вторых знать второй пароль от него. Это в теории я так у них вычитал, на практике сам не пробовал. Но звучит работоспособно. -- WBR, Alexander Burnos -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
ps/top/etc hangs
Здравствуйте! Наткнулся на следующую проблему: На одном из серверов, sarge, 2.4.27-3-686-smp kernel вдруг любые попытки просмотреть текущие процессы приводят к подвисанию утилит. Т.е. пытаюсь сделать ps - нет никакого вывода на экран, висит и все, на ctrl+c/ctrl+\ не реагирует. Выглядит примерно так: root#host[0]~ps Попытка убить его с другой консоли, вроде killall ps - заканчивается точно таким же подвисанием killall. Тоже самое, например, с top. При этом в директорию /proc можно попасть без проблем, а также во все поддиректории процессов. Все остальное продолжает работать, как и работало. Лечится ребутом. Что это может быть? В какие-то лимиты система упирается? Но в какие? В логах пусто. -- WBR, Alexander Burnos -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: ps/top/etc hangs
Hello! On Mon, Mar 26, 2007 at 11:16:55PM +0700, Roman Busyguin wrote: В Пнд, 26/03/2007 в 18:16 +0300, Alexander Burnos пишет: Здравствуйте! Наткнулся на следующую проблему: На одном из серверов, sarge, 2.4.27-3-686-smp kernel вдруг любые попытки просмотреть текущие процессы приводят к подвисанию утилит. Т.е. пытаюсь сделать ps - нет никакого вывода на экран, висит и все, на ctrl+c/ctrl+\ не реагирует. Выглядит примерно так: root#host[0]~ps А что говорит strace/ltrace ps/top? Протормозил, это и не посмотрел. Спасибо за наводку, в следующий раз протрейсю и скажу результат. P.S. мне посоветовали проверить на наличие руткитов, chkrootkit/rkhunter говорят что все в порядке. -- WBR, Alexander Burnos -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
several gateways in one subnet
Здравствуйте! Есть такая задача: иметь в одной подсети (192.168.0.0/24, допустим) 2 гейтвея. К примеру 192.168.0.1 и 192.168.0.2 - которые будут реально привязаны к одному раутеру. При этом, если у клиента стоит gw 192.168.0.1, то пакеты обрабатываются одним способом (допустим попадают в 1-ю routing table), если gw 192.168.0.2, то другим. Насколько я понимаю, на гейте невозможно определить какой именно адрес nexthop был использован клиентом для отправки пакетов. Или я глубоко ошибаюсь? Если ошибаюсь, то киньте линком куда смотреть? Если нет, то как тогда можно решить подобную задачу? Пытался сделать так: Сделал отдельное физическое включение (eth1) в тот же сегмент LAN и повесил на него 192.168.0.2/32 адрес. Но не смотря на это, arp'ы для 192.168.0.2 отдаются на интерфейсе (и с mac'ом интерфейса), где навешена 192.168.0.0/24 (eth0). Привязывал статик arp 192.168.0.2 к mac'у интерфейса с 192.168.0.2/32 (eth1), но все равно arp отвечается на eth0 и с маком eth0. (при этом tcpdump'ом на eth1 видны arp запросы от хостов, но ответа нет). kernel: 2.6.8-3-686 Заранее спасибо. -- WBR, Alexander Burnos -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
screen [q]
Приветствую! Сорри, небольшой оффтоп. Запускаю screen с примерно таким конфигом: === startup_message off defwrap off split split split somecommand focus down somecommand focus down somecommand === При запуске получаю желаемый эффект, окно разделено на 3 поля в каждом из которых выполняется по команде. Но если я делаю detach, а потом reattach, то это разделение на поля исчезает, вижу последнее активное окно на весь screen. Как бы сделать так, чтобы после reattach все эти split разделения оставались видны? Сам пока не нашел.. Спасибо. -- WBR, Alexander Burnos -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
resize / on working system
Здравствуйте! А реально ли изменить размер /, при условии что это единственный раздел на всей системе и доступа к консоли нет? Fs: ext3. parted отказывается работать на примонтированных разделах. Если реально, то поделитесь опытом, плз. Еще раз повторюсь: работа только удаленная, консоли нет. Есть идея создать какой-нибудь ramdisk, загрузиться в свой реальный /, потом как-то перевести / на этот ramdisk, отмонтировать реальный / и с ним работать.. или бред? -- WBR, Alexander Burnos -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: resize / on working system
Hello! On Mon, May 21, 2007 at 12:48:59PM +0300, Игорь Чумак wrote: Если есть своп-раздел, можно создать внутри него ещё 1 root#2 (debootstrap например) , загрузиться в root#2, сделать операцию над root#1 , загрузиться в root#1, восстановить swap За идею со swap'ом спасибо! Сейчас пытаюсь реализовать.. -- WBR, Alexander Burnos -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: resize / on working system
Hello! On Mon, May 21, 2007 at 01:51:07PM +0400, Alexander GQ Gerasiov wrote: На Mon, 21 May 2007 12:03:46 +0300 Alexander Burnos [EMAIL PROTECTED] записано: Здравствуйте! А реально ли изменить размер /, при условии что это единственный раздел на всей системе и доступа к консоли нет? Fs: ext3. reiserfs позволяет увеличивать примонтированный раздел. Насчет ext3 в мане написано: If the filesystem is mounted, it can be used to expand the size of the mounted filesystem, assuming the kernel supports on-line resizing. (As of this writing, the Linux 2.6 kernel supports on-line resize for filesystems mounted using ext3 only.). resise2fs(8) Все же у меня ext3, не рейзер. Попробовал resize2fs на отмонтированном разделе, он действительно может уменьшить разделы файловой системы.. но только вот раздел остается прежним. fdisk как видел его целиком, так и видит. -- WBR, Alexander Burnos -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: resize / on working system
Hello! On Mon, May 21, 2007 at 04:53:08PM +0300, Mikolaj Golub wrote: parted отказывается работать на примонтированных разделах. А если fdisk? Что-то сомневаюсь, что он откажется переразбить, по крайней мере, не вижу что бы ему помешало. Ядро да -- не сможет перечитать таблицу разделов. Ну так увеличить раздел, перегрузиться, а потом resise2fs. Главное, осторожно с переразбивкой -- убедиться, что начало раздела не поменялось. Допустим, я загрузился в систему, которую поставил на бывший swap-раздел и оригинальный / на данный момент отмонтирован. Таблица разделов выглядит так: Device Boot Start End Blocks Id System /dev/sda1 * 1 19127 153637596 83 Linux /dev/sda2 19128 19457 26507255 Extended /dev/sda5 19128 19457 2650693+ 82 Linux swap / Solaris Как мне уменьшить /dev/sda1 и на освободившемся месте сделать еще пару разделов, при этом чтобы система на /dev/sda1 осталась целой? Если уменьшу fs через resize2fs, потом удалю /dev/sda1 fdisk'ом и создам вместо него раздел == разделу fs, до которого я уменьшил ext3 - прокатит? Или сомнительная затея? parted какой-то битый, когда на etch пытаюсь им уменьшить ext3 раздел, получаю такое: Error: File system has an incompatible feature enabled. -- WBR, Alexander Burnos -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: resize / on working system
Hello! On Mon, May 21, 2007 at 06:08:59PM +0400, Alexander GQ Gerasiov wrote: Все же у меня ext3, не рейзер. Попробовал resize2fs на отмонтированном разделе, он действительно может уменьшить разделы файловой системы.. но только вот раздел остается прежним. fdisk как видел его целиком, так и видит. А таблицу разделов он как раз трогать и не должен. Он тебе fs уменьшил, а не раздел. Т.е. я потом fdisk'ом удаляю этот раздел и создаю вместо него такой, который соответствует размеру fs, правильно понял? -- WBR, Alexander Burnos -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: resize / on working system
Hello! On Mon, May 21, 2007 at 06:09:49PM +0400, Artem Chuprina wrote: AB Все же у меня ext3, не рейзер. Попробовал resize2fs на отмонтированном AB разделе, он действительно может уменьшить разделы файловой системы.. но AB только вот раздел остается прежним. fdisk как видел его целиком, так и AB видит. Мухи отдельно, котлеты отдельно. Отдельно файловая система, отдельно раздел, на котором она расположена. Главное - чтобы в каждый момент эта файловая система на этот раздел помещалась (т.е. если уменьшать - то сначала файловую систему, а потом раздел, а если увеличивать - то наоборот). Тормозил. Все, врубился. Мои тесты показывают что схема вполне себе живет (resize2fs - fdisk delete/create partition). Всем большое спасибо за помощь! -- WBR, Alexander Burnos -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: resize / on working system
Hello! On Tue, May 22, 2007 at 01:08:59PM +0400, Иван Лох wrote: On Tue, May 22, 2007 at 11:28:09AM +0300, Alexander Burnos wrote: Или grub как-то по-другому стал к этому все относиться? Возможно стоило переинициализировать grub (к этому варианту больше всего склоняюсь). Да. Теперь у Вас скорее всего нет стадии 1.5 grub в новой системе. (/boot/grub/) он в процессе инициализации grub создается. Эта стадия лежит где-то за пределами fs? Т.к. /boot/grub был и остался в оригинальном /. P.S. Я такие маневры успешно проделывал пару раз (всегда через своп). Завидую :) Ну если дело и правда в grub'е, то значит моя ситуация будет спасена recovery cd с их стороны и восстановлением grub'а. -- WBR, Alexander Burnos -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: resize / on working system
Hello! On Tue, May 22, 2007 at 01:51:32PM +0400, Alexander GQ Gerasiov wrote: 1. Может быть не стоило делать партишн больше размера fs? Может нужно было байт-в-байт размер сделать? Нет, это нормально, партишн делать чуть больше фс, а затем фс расширять до размера партишна. 2. Возможно cfdisk, при удалении первого партишна, потер и mbr? Или grub как-то по-другому стал к этому все относиться? Возможно стоило переинициализировать grub (к этому варианту больше всего склоняюсь). Я бы вообще cfdisk'ом не пользовался. fdisk он как-то надежнее, потому как менее умный. ИМХО больше похоже на то, что груб стоял не в mbr а в первом разделе. Хотя нет, раздел же на том же самом месте создан. Может все-таки cfdisk чего умного сделал? Да, возможно cfdisk напартачил. Не стоило его юзать. Но пока что неизвестно что произошло. Совет на будущее, вначале те же самые операции прогонять на виртуальной машине дома. Я все действия пробовал на домашней машине. Правда не ресайзил именно раздел с загрузчиком, т.к. тестовые условия несколько отличались от реальных. А виртуальную машину создать поленился.. а стоило бы, да. -- WBR, Alexander Burnos -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: resize / on working system
Hello! On Tue, May 22, 2007 at 04:24:29PM +0400, Alexander GQ Gerasiov wrote: Почему это? Если мы уменьшаем ФС, то есть вероятность, что stage2 окажется в новом месте. А тогда stage1 его без переустановки не найдет. Как я это дело понимаю, во время установки в stage1 хардкодится положение первого блока stage2 (или stage1.5), который уже умеет работать с ФС. А, понял, речь про stage2. Не углядел. Тогда да, надо переустановить груб. Вот-вот.. где собака порылась. В общем ошибка ясна, всем спасибо. -- WBR, Alexander Burnos -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: resize / on working system
Hello! On Tue, May 22, 2007 at 05:52:00PM +0300, Mikolaj Golub wrote: AB On Tue, May 22, 2007 at 04:24:29PM +0400, Alexander GQ Gerasiov wrote: Почему это? Если мы уменьшаем ФС, то есть вероятность, что stage2 окажется в новом месте. А тогда stage1 его без переустановки не найдет. Как я это дело понимаю, во время установки в stage1 хардкодится положение первого блока stage2 (или stage1.5), который уже умеет работать с ФС. А, понял, речь про stage2. Не углядел. Тогда да, надо переустановить груб. AB Вот-вот.. где собака порылась. AB В общем ошибка ясна, всем спасибо. Ну это только одна из возможных причин. Вариант, что cfdisk постарался, возможно даже более вероятен. Или с mbr что-то приключилось, или начало раздела не совпадает с тем, который раньше был. Не знаю, но не исключаю возможность, что разное ПО имеет свое собственное представление, как выбирать границы разделов. По крайней мере вижу, в cfdisk имеется чудная комманда: mMaximize disk usage of the current partition. This command will recover the the unused space between the partition table and the beginning of the partition, but at the cost of making the partition incompatible with DOS, OS/2 and possibly other operating systems. Интересное продолжение проблемы. Как оказалось, grub не был убит, ровно как и mbr. Т.к. саппорт с той стороны смог загрузить меня в /dev/sda5 систему. Предположительно по логам, /dev/sda1 и не загружалась. Т.е. grub живой и все его stages на месте, как я понимаю. fdisk показывает теперь так: Device Boot Start End Blocks Id System /dev/sda1 * 1 632 5076508+ 83 Linux /dev/sda2 19128 19457 26507255 Extended /dev/sda5 19128 19457 2650693+ 83 Linux sda1 живой и успешно маунтится. Почему же может не бутаться? Куда копнуть? К сожалению, приходится гадать, пока что не добился от саппорта информации что же видно на консоли при попытке забутать sda1. -- WBR, Alexander Burnos -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: resize / on working system
Hello! On Wed, May 23, 2007 at 12:17:33PM +0300, Mikolaj Golub wrote: AB Предположительно по логам, /dev/sda1 и не загружалась. AB Т.е. grub живой и все его stages на месте, как я понимаю. fdisk AB показывает теперь так: ABDevice Boot Start End Blocks Id System AB /dev/sda1 * 1 632 5076508+ 83 Linux AB /dev/sda2 19128 19457 26507255 Extended AB /dev/sda5 19128 19457 2650693+ 83 Linux AB sda1 живой и успешно маунтится. AB Почему же может не бутаться? Куда копнуть? К сожалению, приходится AB гадать, пока что не добился от саппорта информации что же видно на AB консоли при попытке забутать sda1. Ну, в принципе, можно не гадать, а посмотреть ;-) Спасибо :) qemu /dev/sda grub действительно живой, когда пытаюсь загрузить систему с sda1, то начинает грузится, монтирует корень, а потом зависает после: Begin: Waiting for root file system... ... Если пытаюсь загрузить систему с sda5, то через qemu получаю следующее: root (hd0,4) Error 5: Partition table invalid or corrupt Не через qemu все наоборот, в sda5 грузится, в sda1 - вообще нет. Что там на консоли до сих пор не известно. -- WBR, Alexander Burnos -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: resize / on working system
Hello! On Wed, May 23, 2007 at 02:49:07PM +0300, Alexander Burnos wrote: Hello! On Wed, May 23, 2007 at 12:17:33PM +0300, Mikolaj Golub wrote: AB Предположительно по логам, /dev/sda1 и не загружалась. AB Т.е. grub живой и все его stages на месте, как я понимаю. fdisk AB показывает теперь так: ABDevice Boot Start End Blocks Id System AB /dev/sda1 * 1 632 5076508+ 83 Linux AB /dev/sda2 19128 19457 26507255 Extended AB /dev/sda5 19128 19457 2650693+ 83 Linux AB sda1 живой и успешно маунтится. AB Почему же может не бутаться? Куда копнуть? К сожалению, приходится AB гадать, пока что не добился от саппорта информации что же видно на AB консоли при попытке забутать sda1. P.S. переустанавливал grub через grub-install на всякий случай. Не помогло. -- WBR, Alexander Burnos -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: resize / on working system
Hello! On Wed, May 23, 2007 at 02:51:13PM +0300, Alexander Burnos wrote: AB Почему же может не бутаться? Куда копнуть? К сожалению, приходится AB гадать, пока что не добился от саппорта информации что же видно на AB консоли при попытке забутать sda1. P.S. переустанавливал grub через grub-install на всякий случай. Не помогло. Все, решил вопрос. Насторожило то, что количество Blocks в разделе, которые показывал fdisk были несколько меньше, чем blocks файловой системы, которые видно через df. fdisk'ом удалил раздел, создал таким, чтобы Blocks было заведомо больше, чем в выводе df, сделал grub-install. Бутнулся. Ву-а-ля. Все работает :) -- WBR, Alexander Burnos -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: resize / on working system
Hello! On Wed, May 23, 2007 at 03:28:33PM +0300, Mikolaj Golub wrote: On Wed, 23 May 2007 14:49:07 +0300 Alexander Burnos wrote: qemu /dev/sda AB grub действительно живой, когда пытаюсь загрузить систему с sda1, то AB начинает грузится, монтирует корень, а потом зависает после: AB Begin: Waiting for root file system... ... Скорее всего это связано с тем, что в бут-параметрах ядра стоит root=/dev/sda1, а когда грузится в qemu, то этот диск уже /dev/hda, вот он и не может найти рутовую ФС. Нужно перед загрузкой в qemu поменять параметр ядра root=/dev/sda1 на root=/dev/hda1 Да, вероятней всего в этом причина. Ну да я уже убил вторую систему и успешно настраиваю первую с измененными разделами. Всем огромное спасибо за помощь. -- WBR, Alexander Burnos -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Web mail - какой он?
Hello! А что из всего перечисленного еще и поиск хорошо по почте умеет делать? Желательно чтобы эффективно искал по ~1 письмам. Есть такая веб-морда? On Tue, May 29, 2007 at 12:03:20PM +0300, Alexander Vlasov wrote: Мы roundcube выбрали. В Пнд, 28/05/2007 в 10:34 +0400, Sapytsky Ilya пишет: Добрый день! начинаю настраивать почтовый сервер для одной маленькой, но очень распределенной организации планируется postfix+postgrey+spf+amavis-new+clamav+spamassassin +popa3d|courier-imap-ssl Наверное надо еще tls, но пока курю доки по этому поводу. И т.к. организация распределенная хочется сделать еще и web рожу ко всему этому безобразию, т.к. иногда пользователи в командировках и без буков. Чего нужно - 1. русский фейс 2. поддержку pop3 не обязательно, можно и обойтись 3. поддержка папок, в т.ч. и на русском языке (создание, переименование, удаление, чтобы на локальном клиенте тоже нормально смотрелись). Локально буду ставить thunderbird. 4. адресная книга Спасибо. -- Alexander Vlasov ZULU-UANIC JID: zulu at jabber.kiev.ua -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED] -- WBR, Alexander Burnos -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
tcp tunning
Здравствуйте! Есть debian-машина с 2.6 ядром. На ней переодически наблюдаются tcp-таймауты. (Определенные сервисы чекаются нагиосом), просто не удается законнектится к сокету на этом сервере. Причем есть аналогичные сервера с аналогичными сервисами и примерно одинаковой нагрузкой, где такие проблемы не наблюдаются. Грешу на какие-то особенности тюнинга tcp на сервере, но не знаю на какие именно. Стал гуглить, не нашел вменяемого мануала по тюнингу tcp. Все очень обзорно увеличить буфера/увеличить backlog. Хотелось бы не бездумно делать, а как-то с пониманием источника проблемы. netstat -s -t показывает много всего, но какие именно из ошибок приводят к подобному поведению - мне пока что не ясно. В общем, к чему я это все :) Поделитесь, пожалуйста, хорошей обширной докой по тюнингу нетворкинга linux'а, объяснением нюансов значений того, что видно в netstat -s -t, и т.д. Есть ли такое, где все собрано в одном месте? Заранее спасибо. -- WBR, Alexander Burnos -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: tcp tunning
Hello! On Mon, Jun 04, 2007 at 05:58:22PM +0400, [EMAIL PROTECTED] wrote: On Mon, 4 Jun 2007, Alexander Burnos wrote: В общем, к чему я это все :) Поделитесь, пожалуйста, хорошей обширной докой по тюнингу нетворкинга linux'а, объяснением нюансов значений того, что видно в netstat -s -t, и т.д. Есть ли такое, где все собрано в одном месте? По моему нет. Стоит посмотреть в http://www.yolinux.com/TUTORIALS/LinuxTutorialNetworking.html возможно по ссылкам и найдете, что-то интересное :) Спасибо, посмотрю. По настройке TPC стека в ядре недавно проскакивала статья: http://dsd.lbl.gov/TCP-tuning/linux.html Это я видел, не особо помогло. -- WBR, Alexander Burnos -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
routing issue (iproute2 and DNAT)
Здравствуйте! Схема следующая: 1. На сервере слушает приложение, допустим на адресе 1.1.1.1:10080 2. К серверу подключены 2 линка, по одному из них он доступен как 2.2.2.2 (interface eth0), по другому 3.3.3.3 (interface tun0). 80-е порты внеших адресов 2.2.2.2 и 3.3.3.3 DNAT'ятся на 1.1.1.1:10080 следующим образом: /sbin/iptables -t nat -A PREROUTING -p tcp -d 2.2.2.2 --dport 80 -j DNAT --to-destination 1.1.1.1:10080 /sbin/iptables -t nat -A PREROUTING -p tcp -d 3.3.3.3 --dport 80 -j DNAT --to-destination 1.1.1.1:10080 3. Есть следующие правила iproute2: 0: from all lookup local 32765: from 3.3.3.3 lookup tun0_net 32766: from all lookup main 32767: from all lookup default Ну и ip route list table tun0_net: default dev tun0 scope link То есть, пакеты приходящие на dst-ip 3.3.3.3 (без DNAT'а) получают ответ от сервера в интерфейс tun0. Все остальное - по дефолту в eth0. Но когда в дело включается DNAT - начинаются проблемы. Насколько я понимаю, routing decision происходит _до_ DNAT'а. Соотственно, пакеты от 1.1.1.1:10080 раутятся в eth0 в любом случае. DNAT потом переписывает src-ip на 3.3.3.3, если пакет пришел через tun0, но поезд ушел, маршрут уже определен. Получается некрасивая ассиметрия. Какие есть пути решения этой проблемы? Я нашел ROUTE target в iptables, по идее это можно использовать, но, насколько я понимаю, для этого нужны патчи. А хотелось бы обойтись стандартными механизмами. Или ROUTE на уровне iptables единственный вариант? -- WBR, Alexander Burnos -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: routing issue (iproute2 and DNAT)
Hello! On Thu, Jul 19, 2007 at 05:55:15PM -0400, Nicholas wrote: Alexander Burnos wrote: 1.1.1.1:10080 раутятся в eth0 в любом случае. DNAT потом переписывает src-ip на DNAT прописывает дестинайшин, а не src. Да. Вы SNAT используете ? Нет, именно DNAT. Вы пишете что и 1.1.1.1 и 2.2.2.2 и 3.3.3.3 - адреса сервера, а какие адреса линков ? То в какой интерфейс уходит ответ зависит от того кто прислал запрос. Или я неправильно вас понял... На eth0 висят адреса 1.1.1.1/32 и 2.2.2.2/32, на tun0 3.3.3.3/32. Вместо /32 что-то другое может быть, но это не суть важно. Главное, что сервер отзывается на 2-й адрес через eth0, а на 3-й через tun0. Фактически, первый адрес не обязательно должен быть реальным. Приложение можно повесить слушать и на 127/8. Суть в том, что запросы приходят по 2-м отдельным линкам, по 2-м отдельным интерфейсам, по 2-м отдельным адресам, но попадают в итоге на один адрес:порт, на котором слушает приложение на этом сервере. Поэтому именно DNAT, т.к. меняется destination пакета (приходит на 1 из 2-х возможных адресов, но в итоге должен попадать на один единственный адрес:порт). Т.е. схема такая, условно: eth0(2.2.2.2)|\ | DNAT-lo(1.1.1.1) tun0(3.3.3.3)|/ -- WBR, Alexander Burnos -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: routing issue (iproute2 and DNAT)
Hello! On Fri, Jul 20, 2007 at 01:28:36AM -0400, Nicholas wrote: 1. iptables Предположу что ситуация такая: От линка 2 приходят пакеты на tun0(3.3.3.3) и днатятся на 1.1.1.1 далее ответ от сервера уходит от src 1.1.1.1 (вы же снат не используете). Да, именно так. Но в итоге, пакет, который уходит наружу имеет src 3.3.3.3, т.к. DNAT отслеживает этот коннекшн и переписывает src 1.1.1.1 на src 3.3.3.3. Но вот _на каком_ этапе происходит это обратный rewrite src на нужный нам, я не смог определить. По тому, что я видел, на всех этапах цепочки iptables src остается 1.1.1.1, но наружу уже уходит с src 3.3.3.3. Т.е. цепочка такая: Входящий пакет: (src:some_where|dst:3.3.3.3) - DNAT - (src:some_where|dst:1.1.1.1). Ответ: (src:1.1.1.1|dst:some_where) - (DNAT engine that rewrites src) - (src:3.3.3.3|dst:some_where) Т.е. DNAT сам отслеживает коннекшн и корректно возвращает нужный src-пакету. Но! Этот механизм срабатывает уже _после_ routing decision. Т.е. сначала принимается решение о том, что пакет нужно смаршрутизировать по дефолту (т.к. видно что src:1.1.1.1), а потом уже переписывается на src:3.3.3.3. И, повторюсь, похоже что по iptables пакет проходит с src:1.1.1.1. По крайней мере я хотел отловить пакет с src:3.3.3.3 на всех этапах iptables, но нигде не было попаданий. Но наружу пакет уходит с src:3.3.3.3 это точно. Я бы попробовал добавить снат: -t nat -A POSTROUTING -p tcp -d линк 2 -j SNAT ... 3.3.3.3 Т.е. для входящих пакетов src переписывать на src-интерфейса? Нельзя, приложений должно видеть src-ip клиентского софта, который к нему обращается. 2. route 32765: from 3.3.3.3 lookup tun0_net Возможно вместо 3.3.3.3 стоит использовать ip линка 2 ? http://gazette.linux.ru.net/rus/articles/lartc/c322.html 4.1. Простая маршрутизация по источнику. Возможно мы немного запутались, 3.3.3.3 и есть ip линка 2. Еще раз обрисую схему: (eth0:2.2.2.2)-\ - DNAT (lo:1.1.1.1) (tun0:3.3.3.3)-/ 1. Если пакет заходит через eth0, то его dst переписывается на 1.1.1.1, ответ от приложения уходит с (src:1.1.1.1, dst:client_ip). Этот пакет попадает в DNAT, DNAT распознает в нем уже начатую сессию и переписывает его на (src:2.2.2.2|dst:client_ip). 2. Если пакет заходит через tun0, происходит тоже самое, только DNAT переписывает его src на адрес tun0, т.е. 3.3.3.3 Все хорошо, так и должно работать. Но, принятие решения о том, куда нужно маршрутизировать пакет происходит _до_ того, как DNAT перепишет src исходящего с сервера пакета на правильный. Т.е. механизм раутинга всегда рассматривает ситуацию так, вроде src у пакета 1.1.1.1, а значит он должен уйти в eth0. В итоге имеем то, что в eth0 уходят ответы с src:2.2.2.2 и src:3.3.3.3 (сначала принято решение о раутинге, потом DNAT вернул правильный src). Задача состоит в том, чтобы как-то вклиниться _после_ того, как DNAT переписал src-ip (чтобы понять, куда его нужно раутить по-настоящему) и либо как-то перезапустить процесс раутинга, либо переписать его через -j ROUTE. Но вот этой самой точки, когда DNAT вернул src-адрес я в цепочке iptables отследить не смог. === solution === В общем, я сделал следующим образом: -t nat -A PREROUTING -p tcp -d 3.3.3.3 --dport 80 -j DNAT --to-destination 1.1.1.1:80 -t mangle -A PREROUTING -i tun0 -m state --state NEW -j CONNMARK --set-mark 1 -t mangle -A OUTPUT -j CONNMARK --restore-mark Ну и: 32761: from all fwmark 0x1 lookup tun0_net таким образом все работает корректно. Да, и еще нужно отключить rp_filter. 3. И еще совет - удобно сделать iptables-save iptables_v1 и редактировать файл, а потом делать iptables-restore iptables_v2 Спасибо. -- WBR, Alexander Burnos -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
убегает время
Приветствую! На одном из серверов (sarge) стало убегать время. Началось это буквально сегодня. Стоит и запущен openntpd. Синхронизирую ntpdate'ом, за час время уходит на 20-30 секунд. ntpdate -q pool.ntp.org server 91.102.248.122, stratum 3, offset 22.093132, delay 0.14041 7 Aug 19:02:41 ntpdate[16255]: step time server 91.102.248.122 offset 22.093132 sec Вот такое набежало примерно за час после очередной синхронизации. Куда бы посмотреть, что это может быть? Заранее спасибо. -- WBR, Alexander Burnos -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: убегает время
Hello! On Wed, Aug 08, 2007 at 09:33:11AM +0400, Stanislav Maslovski wrote: На одном из серверов (sarge) стало убегать время. Началось это буквально сегодня. Стоит и запущен openntpd. Синхронизирую ntpdate'ом, за час время уходит на 20-30 секунд. ntpdate -q pool.ntp.org server 91.102.248.122, stratum 3, offset 22.093132, delay 0.14041 7 Aug 19:02:41 ntpdate[16255]: step time server 91.102.248.122 offset 22.093132 sec Вот такое набежало примерно за час после очередной синхронизации. Куда бы посмотреть, что это может быть? Проверьте, что у Вас в /etc/adjtime. Если первое число пододозрительно велико (по модулю): Было так: root#billy[0]~cat /etc/adjtime 0.00 110300 0.00 110300 UTC # ntpdate pool.ntp.org # echo 0.0 0 0.0 /etc/adjtime # hwclock --systohc --utc root#billy[0]~ntpdate pool.ntp.org 8 Aug 03:39:59 ntpdate[13406]: step time server 88.198.44.10 offset 717.269688 sec Это уже за ночь набежало. root#billy[0]~hwclock --systohc --utc Cannot access the Hardware Clock via any known method. Use the --debug option to see the details of our search for an access method. root#billy[0]~hwclock --debug --systohc --utc hwclock from util-linux-2.12p hwclock: Open of /dev/rtc failed, errno=2: No such file or directory. No usable clock interface found. Cannot access the Hardware Clock via any known method. root#billy[0]~modprobe -l | g rtc root#billy[0]~ root#billy[0]/usr/srcgrep -i rtc /boot/config-2.6.20.1 # CONFIG_HPET_EMULATE_RTC is not set CONFIG_RTC=y CONFIG_HPET_RTC_IRQ=y # CONFIG_RTC_CLASS is not set root#billy[0]/usr/src Материнка случаем не NForce2? NForce точно, NForce2 именно ли - не знаю, lspci не показывает, в dmesg не вижу. Машина удаленная. Как можно точно проверить? -- WBR, Alexander Burnos -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: убегает время
Hello! On Wed, Aug 08, 2007 at 10:10:32AM +0400, Stanislav Maslovski wrote: В догонку: Если дело было не в слишком большой разнице во времени на момент (ре)старта сервера, то проверьте настройки ntpd. Попробуйте удалить/обнулить drift файл ntpd. Где-то в /var/lib/ntp/... Ессно, ntpd надо бы стопануть перед/стартануть после. Нет, тут с рестартом ничего связано не было, увы. Кстати, забыл сказать, вместе с ростом offset'а времени также на сервере были и всплески load'а очень резкие. Вроде как la 0.9, через пару секунд la 30 и сразу же начинает спадать. Причину всплесков я на тот момент не увидел, но вплески вроде как ушли, а время убегать продолжило. -- WBR, Alexander Burnos -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: убегает время
Hello! On Wed, Aug 08, 2007 at 12:40:10PM +0400, Stanislav Maslovski wrote: root#billy[0]~hwclock --debug --systohc --utc hwclock from util-linux-2.12p hwclock: Open of /dev/rtc failed, errno=2: No such file or directory. No usable clock interface found. Cannot access the Hardware Clock via any known method. root#billy[0]~modprobe -l | g rtc root#billy[0]~ root#billy[0]/usr/srcgrep -i rtc /boot/config-2.6.20.1 # CONFIG_HPET_EMULATE_RTC is not set CONFIG_RTC=y CONFIG_HPET_RTC_IRQ=y # CONFIG_RTC_CLASS is not set root#billy[0]/usr/src ls -l /dev/rtc ? ls: /dev/rtc: No such file or directory udev ? Нету, но ядро 2.6. Материнка случаем не NForce2? NForce точно, NForce2 именно ли - не знаю, lspci не показывает, в dmesg не вижу. Машина удаленная. Как можно точно проверить? На NForce такое наблюдалось c 2.6 ядрами, workaround - noapic в опциях ядра. Спасибо, попробую. У Вас не amd64 случаем? Железо точно не менялось? amd64, Вы просто телепат :) Простите что приходится выпытывать из меня все. Железо точно не менялось, даже не было ребута. Все началось внезапно. Сделайте-ка вот что: # while true; do cat /proc/interrupts; sleep 1; done шквала прерываний нигде не видим? Нет, вроде все в норме, соизмеримо с другими аналогичными серверами. Я, конечно, бутну его с noapic и, кажется мне, что проблема должна исчезнуть. Но хотелось бы понять ее природу, пока она воспроизводима. -- WBR, Alexander Burnos -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: убегает время
Hello! On Wed, Aug 08, 2007 at 04:11:25PM +0400, Alexander GQ Gerasiov wrote: root#billy[0]~hwclock --debug --systohc --utc hwclock from util-linux-2.12p hwclock: Open of /dev/rtc failed, errno=2: No such file or directory. No usable clock interface found. Cannot access the Hardware Clock via any known method. root#billy[0]~modprobe -l | g rtc root#billy[0]~ root#billy[0]/usr/srcgrep -i rtc /boot/config-2.6.20.1 # CONFIG_HPET_EMULATE_RTC is not set CONFIG_RTC=y CONFIG_HPET_RTC_IRQ=y # CONFIG_RTC_CLASS is not set root#billy[0]/usr/src ls -l /dev/rtc ? ls: /dev/rtc: No such file or directory udev ? Нету, но ядро 2.6. Ты, конечно ценитель %) Честное слово, еще не возникала необходимость udev юзать. Как-то все без него летало, ну и ладно. Слыхать слыхивал, руками не трогал :) Даже неудобно как-то :) Либо используй удев, либо таки создай устройство сам. Уже поставил. -- WBR, Alexander Burnos -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: убегает время
Hello! On Wed, Aug 08, 2007 at 02:58:19PM +0300, Alexander Burnos wrote: On Wed, Aug 08, 2007 at 12:40:10PM +0400, Stanislav Maslovski wrote: root#billy[0]~hwclock --debug --systohc --utc hwclock from util-linux-2.12p hwclock: Open of /dev/rtc failed, errno=2: No such file or directory. No usable clock interface found. Cannot access the Hardware Clock via any known method. root#billy[0]~modprobe -l | g rtc root#billy[0]~ root#billy[0]/usr/srcgrep -i rtc /boot/config-2.6.20.1 # CONFIG_HPET_EMULATE_RTC is not set CONFIG_RTC=y CONFIG_HPET_RTC_IRQ=y # CONFIG_RTC_CLASS is not set root#billy[0]/usr/src ls -l /dev/rtc ? ls: /dev/rtc: No such file or directory udev ? Нету, но ядро 2.6. Поставил udev, девайс создан. root#billy[0]~ntpdate pool.ntp.org 8 Aug 08:19:25 ntpdate[17702]: adjust time server 141.82.30.251 offset -0.007811 sec root#billy[0]~echo 0.0 0 0.0 /etc/adjtime root#billy[0]~hwclock --systohc --utc Все прошло успешно. Наблюдаю как будет себя вести.. Только вот все равно машина себя как-то странно ведет. Вроде как подмирает переодически. Попробую при буте noapic сделать, только вот непонятно почему она раньше работала безпроблемно, а тут вдруг выдала. -- WBR, Alexander Burnos -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: убегает время
Hello! On Wed, Aug 08, 2007 at 04:34:10PM +0400, Stanislav Maslovski wrote: root#billy[0]~ntpdate pool.ntp.org 8 Aug 08:19:25 ntpdate[17702]: adjust time server 141.82.30.251 offset -0.007811 sec root#billy[0]~echo 0.0 0 0.0 /etc/adjtime root#billy[0]~hwclock --systohc --utc Все прошло успешно. Наблюдаю как будет себя вести.. Только вот все равно машина себя как-то странно ведет. Вроде как подмирает переодически. Попробую при буте noapic сделать, только вот непонятно почему она раньше работала безпроблемно, а тут вдруг выдала. Еще бы батареечку проверить не мешало бы ;) (см. в сторону sensors) Кажется мне, не в ней дело. Потому как вот прямо сейчас наблюдаю залипания сервера и последующие всплески la до 80-90. И это явно не процессы ее грузят. Что-то с железом.. А что Вы говорили про nforce2/amd64? На 2.6 ядрах apic барахлит или что-то еще? -- WBR, Alexander Burnos -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: убегает время
Hello! On Wed, Aug 08, 2007 at 05:33:33PM +0400, Stanislav Maslovski wrote: Потому как вот прямо сейчас наблюдаю залипания сервера и последующие всплески la до 80-90. И это явно не процессы ее грузят. Что-то с железом.. А что Вы говорили про nforce2/amd64? На 2.6 ядрах apic барахлит или что-то еще? См. мой ответ to Max Dmitrichenko. Спасибо за очень толковые ответы. В итоге перезагрузил сервер, подниматься не захотел, на serial console увидел обрывок вот такого вот: ata1.00: exception Emask 0x0 SAct 0x0 SErr 0x0 action 0x2 frozen ata1.00: cmd 35/00:48:fb:28:1e/00:01:00:00:00/e0 tag 0 cdb 0x0 data 167936 out res 40/00:00:00:00:00/00:00:00:00:00/00 Emask 0x4 (timeout) ata1: port is slow to respond, please be После этого бутнул удаленно по питанию, 10:02:52 up 47 min, 2 users, load average: 0.45, 0.36, 0.24 ntpdate -q pool.ntp.org server 64.142.114.146, stratum 2, offset -0.096367, delay 0.06238 8 Aug 10:03:11 ntpdate[21760]: adjust time server 64.142.114.146 offset -0.096367 sec Пока что полет нормальный. apic/lapic не выключал. Посмотрим что скажет под нагрузкой. -- WBR, Alexander Burnos -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: убегает время
Hello! On Wed, Aug 08, 2007 at 06:34:37PM +0400, Stanislav Maslovski wrote: ata1.00: exception Emask 0x0 SAct 0x0 SErr 0x0 action 0x2 frozen ata1.00: cmd 35/00:48:fb:28:1e/00:01:00:00:00/e0 tag 0 cdb 0x0 data 167936 out res 40/00:00:00:00:00/00:00:00:00:00/00 Emask 0x4 (timeout) ata1: port is slow to respond, please be После этого бутнул удаленно по питанию, Гугл выдает вот это: https://bugs.launchpad.net/ubuntu/+source/linux-source-2.6.20/+bug/37382 https://bugs.launchpad.net/ubuntu/+source/linux-source-2.6.20/+bug/64587 Это я нашел.. но разбираться буду позже, наверное. Сейчас взлетело и вроде летит нормально. Удовлетворюсь пока что этим :) Еще раз спасибо за помощь. -- WBR, Alexander Burnos -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
upgrade chain: sarge (2.4) - etch (2.6) - etch (2.4) failed
Приветствую! Жил-был sarge на самосборном 2.4 с patch-o-matic. После, sarge был проапгрейжен до etch с родным 2.6.18 ядром, все прошло нормально. Далее возникла необходимость откатиться на 2.4 ядро обратно, забутал старое 2.4 ядро в новый etch и получил следующее: VFS: Cannot open root device 301 or unknown-block(3,1) Please append a correct root= boot option Kernel panic - not syncing: VFS: Unable to mount root fs on unknown-block(3,1) Железо не менялось. Я не совсем понимаю физику процесса, почему ядро, которое успешно работало с этим железом на sarge - перестало понимать root device на etch? Какое из изменений может мешать ему корректно работать? Подскажите, пожалуйста, в какую сторону можно посмотреть. Спасибо. -- WBR, Alexander Burnos -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: upgrade chain: sarge (2.4) - etch (2.6) - etch (2.4) failed
Hello! On Thu, Aug 16, 2007 at 10:04:31PM +0700, Mikhail Gusarov wrote: AB Я не совсем понимаю физику процесса, почему ядро, которое успешно работало AB с этим железом на sarge - перестало понимать root device на etch? Какое из AB изменений может мешать ему корректно работать? udev требует новое ядро. И initramfs мог некорректно отработать. Они самые. Снес их (вместе с 2.6 ядром :) и 2.4 взлетело. Спасибо! -- WBR, Alexander Burnos -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
strange ps behavior
Здравствуйте! Заметил следующее интересное поведение ps, в некоторых случаях при выводе ps u(ax) он не показывает username в колонке USER, а вместо этого показывает числовой uid юзера. При этом это наблюдается не для всех пользователей системы, а лишь для части. Чем они отличаются от других - не обнаружил. Это могут быть и реальные пользователи, могут быть псевдо-пользователи. Объединяет их то, что uid 1000 и созданы они были руками после инстала системы. Но есть и такие, для которых uid 1000, но ps отображается их username в выводе корректно. Наблюдается это устойчиво, как если запускать ps от рута, так и если от самого проблемного пользователя. Вот такой вот кусок кода: uid = getuid(); pswd = getpwuid(uid); printf(uid: %d, name: %s\n, uid, pswd-pw_name); Показывает для всех все корректно. Кстати, top тоже отображает username правильно. Не уверен, но вроде бы такой эффект наблюдается только на серверах с 2.6 ядром. Debian etch. В принципе, мелочь, но хотелось бы разобраться, чтобы наверняка быть уверенным что это какая-то особенность системы, а не результат стороннего вмешательства в нее. Подскажет ли уважаемое community куда посмотреть, чтобы понять природу явления? Если идей нет, то пойду инспектировать сорцы ps, но пока что нет времени на это. -- WBR, Alexander Burnos -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: strange ps behavior
Hello! On Thu, Aug 23, 2007 at 08:08:22PM +0400, Yuri Kozlov wrote: Заметил следующее интересное поведение ps, в некоторых случаях при выводе ps u(ax) он не показывает username в колонке USER, а вместо этого показывает числовой uid юзера. При этом это наблюдается не для всех пользователей системы, а лишь для части. Чем они отличаются от других - не обнаружил. Это могут быть и реальные пользователи, могут быть псевдо-пользователи. Объединяет их то, что uid 1000 и созданы они были руками после инстала системы. Но есть и такие, для которых uid 1000, но ps отображается их username в выводе корректно. Что нужно сделать чтобы воспроизвести у себя этот баг? Если бы я знал, возможно знал бы куда копать. Вот, к примеру: # uname -a Linux puma 2.6.18-5-686 #1 SMP Sun Aug 12 21:57:02 UTC 2007 i686 GNU/Linux # cat /etc/debian_version 4.0 # ps u -Umessagebus USER PID %CPU %MEMVSZ RSS TTY STAT START TIME COMMAND 104 2267 0.0 0.0 2248 672 ?Ss Aug16 0:00 /usr/bin/dbus-daemon --system # id messagebus uid=104(messagebus) gid=107(messagebus) groups=107(messagebus) # sudo -u messagebus /usr/local/bin/getuid uid: 104, name: messagebus # top -p2267 PID USER PR NI VIRT RES SHR S %CPU %MEMTIME+ COMMAND 2267 messageb 16 0 2248 672 524 S0 0.0 0:00.00 dbus-daemon Т.е. везде username по этому uid'у определяется корректно, getuid - это вызов getuid и getpwname(uid). И только ps показывает uid в колонке USER. При этом user'а везде разные, как-то рандомно оно не работает. На разных серверах, но везде 2.6 ядро. Там, где 2.4 - такого эффекта нет. -- WBR, Alexander Burnos -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: strange ps behavior
Hello! On Fri, Aug 24, 2007 at 10:21:34AM +0300, Alexey Sheynuk wrote: username больше определённой длины. чтобы получить полный вывод, делается заголовок длиннее, надо указать для столбца USER ширину. например, вот так: ps ax -O user:16 Тьху, а ларчик то просто открывался.. спасибо :) Именно оно. -- WBR, Alexander Burnos -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: strange ps behavior
Hello! On Mon, Aug 27, 2007 at 10:48:56AM +0300, Покотиленко Костик wrote: username больше определённой длины. чтобы получить полный вывод, делается заголовок длиннее, надо указать для столбца USER ширину. например, вот так: ps ax -O user:16 Кто бы мог подумать, что ps такой вумный :-D Это он начиная с какой-то версии начал так себя вести, раньше просто рубил username до нужной длины. -- WBR, Alexander Burnos -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: система документир ования .
Hello! On Wed, Aug 22, 2007 at 04:07:16PM +0400, Alexander Mestiashvili wrote: Hi All . подскажите систему для создания документации для предриятия . надо документировать сеть начиная от физичекого уровня и выше , а также сервера и прочее оборудование . наверняка сушествуют стандарты на эту тему , где о них можно почитать ? Немного не то, конечно, но для ручного ведения документации мне понравился Knowledgeroot http://www.knowledgeroot.org/ -- WBR, Alexander Burnos -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: system cpu load monitoring q
Hello! On Mon, Aug 27, 2007 at 09:08:56PM +0400, Nikita V. Youshchenko wrote: Попробуйте поставить более позднее ядро (если у вас etch, то см. backports.org) Пробовал очень много ядер и родные и самосборные, эффект один. Если с ним то же самое, то напишите в linux kernel mailing list. Возможно, ваш test case будет представлять интерес. Наверное так и сделаю, только соберу больше статистики. Не оставляет мысль, что это я что-то не так делаю. Ведь проблема ну очень явная, неужели больше никто ее не замечает. Или просто люди не запускают более одной java-машины на сервере? Вряд ли. -- WBR, Alexander Burnos -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
