Re: [Sysadmins] nvme и 4k/512b
Hi Michael! On 01/23/2024, at 03:24:40 PM you wrote: > Здравствуйте. > Из переписки с коллегой по NVMe-шкам: > > --- > выполнил переключение в 4к-формат с 512-байтных секторов, это > тоже несколько процентов производительности (и за счёт меньшего > количества read-modify-write, возможно, срока службы [...]): > > # nvme format --lbaf=1 /dev/nvme0n1 > > (снос всех данных!) Неплохо было бы указать, что за nvme и какая версия fw, т.к. все эти трюки сильно завязаны на дополнительные факторы как тип памяти nvme, степень заполнения и тд. -- WBR et al. ___ Sysadmins mailing list Sysadmins@lists.altlinux.org https://lists.altlinux.org/mailman/listinfo/sysadmins
[Sysadmins] Is haveged still useful nowdays?
Привет! Интересная дискуссия насчет энтропии в ядре и нужно ли еще использовать haveged: https://github.com/jirka-h/haveged/issues/57 Вкраце, да, еще нужен :) -- WBR et al. ___ Sysadmins mailing list Sysadmins@lists.altlinux.org https://lists.altlinux.org/mailman/listinfo/sysadmins
Re: [Sysadmins] bind и notify ( правда 9.10.8.P1)
Hi Sergey! On 05/16/2022, at 10:25:41 AM you wrote: > Приветствую. > > Что-то вдруг заметил странность. Поменял данные в зоне, > сделал rndc reload, получил > > May 16 10:03:42 named[30585]: general: info: zone X/IN/normal: loaded > serial 2022051600 > May 16 10:03:42 named[30585]: notify: info: zone X/IN/normal: sending > notifies (serial 2022051600) > > Всё нормально в общем, notify ушёл, xfer-out потом случился. > Вскоре ещё раз поменял данные: > > May 16 10:14:37 named[30585]: general: info: zone X/IN/normal: loaded > serial 2022051601 > > И тишина. Почему-то notify не случился. Кто-нибудь знает, почему? > Версия вот старовата правда, может баг был? А ошибок в зоне нет? Предыдущее обновление прошло успешно? -- WBR et al. ___ Sysadmins mailing list Sysadmins@lists.altlinux.org https://lists.altlinux.org/mailman/listinfo/sysadmins
Re: [Sysadmins] Q: clamav [JT]
Hi Sergey! On 03/11/2021, at 07:54:34 PM you wrote: > On Thursday 11 March 2021, Konstantin Lepikhov wrote: > > > Дело даже не в wget - когда пакет clamav ставится первый раз, то баз > > нет, и freshclam скачивает всю базу за один проход, а не cdiff. И вот > > это почему то уже сделать нельзя (или именно это и сломано в CDN). > > Что-то как-то мимо меня незаметно прошло. Я часто правда с нуля ClamAV > не ставлю, может и был момент такой, но сейчас грохнул всё на одном из > серверов и рестартанул clamd - всё скачалось. > Сейчас уже работает, да. Но осадочек остался ) Другой момент - это потребление памяти - clamd с настройками "из коробки" ест где-то 1Gb, причем, где это можно настроить в конфигурации самого clamd я не нашел. Да и пишут, что оно будет тормозить, если памяти мало, т.к. в этом случае вся база будет читаться с диска каждый раз. В общем, мне кажется, для почтового сервера где-то на VPS это уже перебор, или нужно использовать какие-то другие решения, вроде отправки сообщений на некий сервис за пределами периметра (пока, PI и конфиденциальность). -- WBR et al. ___ Sysadmins mailing list Sysadmins@lists.altlinux.org https://lists.altlinux.org/mailman/listinfo/sysadmins
Re: [Sysadmins] Q: clamav [JT]
Hi Sergey! On 03/11/2021, at 09:59:55 AM you wrote: > On Wednesday 10 March 2021, Konstantin Lepikhov wrote: > > > Вопрос скорее риторический, но $subj как я понимаю, скорее > > мертв чем жив? > > Вопрос интересный. > > > Сегодня попровал его поставить, а он даже не может базу > > скачать, потому что TXT записи не соответствуют контенту, > > а потом вообще мой хост заблокировали из-за rate limit'а > > У меня всё нормально нормально скачивается freshclam-ом. Куча > хостов, отличие конфига от того, что по умолчанию - качают все > через локальный прокси (squid если что). На TXT у меня нигде > не ругается вроде. Если что, systemd у меня нет, а unit-файлы > shaba@ недавно чинить начал, пока в Sisypus только. > > Проблема в другом: он сильно начал отставать в плане отлова новой > заразы. Плюс обновление теперь раз в сутки, соответственно и просят > чаще раза в сутки не лазить. В пакете частота запуска freshclam не > изменилась (для sysv/cron), но так как он проверяет сначала через > DNS, то сам не лезет, пока нет обновления. Обновление появляется > где-то в районе 17:00 GMT+4, плюс/минус. > > > Прочитал вот это объявление > > https://lists.clamav.net/pipermail/clamav-users/2021-March/010577.html > > А зачем wget-ом качать? Дело даже не в wget - когда пакет clamav ставится первый раз, то баз нет, и freshclam скачивает всю базу за один проход, а не cdiff. И вот это почему то уже сделать нельзя (или именно это и сломано в CDN). В багзилле clamav было обсуждение по этому поводу, и Joel советует какую-то их утилиту для скачивания и создания баз: https://github.com/micahsnyder/cvdupdate PS Вроде CDN починился, надо посмотреть https://bugzilla.clamav.net/show_bug.cgi?id=12692 PPS Теперь еще и багзилла у clamav оттормаживает и падает )) -- WBR et al. ___ Sysadmins mailing list Sysadmins@lists.altlinux.org https://lists.altlinux.org/mailman/listinfo/sysadmins
[Sysadmins] Q: clamav [JT]
Привет! Вопрос скорее риторический, но $subj как я понимаю, скорее мертв чем жив? Сегодня попровал его поставить, а он даже не может базу скачать, потому что TXT записи не соответствуют контенту, а потом вообще мой хост заблокировали из-за rate limit'а Прочитал вот это объявление https://lists.clamav.net/pipermail/clamav-users/2021-March/010577.html Но так и не понял, там все на карманные деньги Joel'а теперь что-ли содержиться, раз кроме него, никого нету порядок навести. -- WBR et al. ___ Sysadmins mailing list Sysadmins@lists.altlinux.org https://lists.altlinux.org/mailman/listinfo/sysadmins
Re: [Sysadmins] anydesk
Hi Vladimir! On 12/29/2020, at 10:00:29 AM you wrote: > Добрый день! > > 29.12.2020 1:53, Konstantin Lepikhov пишет: > > On 12/18/2020, at 08:06:05 PM you wrote: > >> # cat /etc/systemd/system/anydesk.service > >> [Unit] > >> Description=AnyDesk > >> Requires=network.target > >> After=systemd-user-sessions.service > >> > >> [Service] > >> Type=simple > >> ExecStart=/usr/bin/anydesk --service > >> PIDFile=/var/run/anydesk.pid > >> KillMode=mixed > >> TimeoutStopSec=30 > >> User=root > > > > так systemd его тоже от рута запускает. > > А запускается ли он? У меня anydesk --service от рута только ругается -- > служба не запускается, а от пользователя молча > ничего не происходит. Если посмотреть на пакет anydesk для fedora, он там тоже от рута: http://rpm.anydesk.com/fedora/x86_64/Packages/anydesk_6.0.1-1_x86_64.rpm - Там же в пакете есть и пример для sysv init. -- WBR et al. ___ Sysadmins mailing list Sysadmins@lists.altlinux.org https://lists.altlinux.org/mailman/listinfo/sysadmins
Re: [Sysadmins] anydesk
Hi Vladimir! On 12/18/2020, at 08:06:05 PM you wrote: > Здравствуйте! > > Нашёл https://www.altlinux.org/AnyDesk, сделал, как написано (p9), но > возникла проблема: я до сих пор не перебрался под systemd, а в пакете нет > скрипта для init.d. Это бы полбеды, т.к. написать его нетрудно -- > фактически надо запустить просто anydesk --service. Но такой запуск от root > вызывает только окошко в трее со словами, что не надо запускать anydesk от > root, а то хуже будет (перевод вольный, но смысл сохранён). Но от кого > тогда запускать службу? Как это разруливается в systemd я не знаю, скрипт > для systemd выглядит так: > > # cat /etc/systemd/system/anydesk.service > [Unit] > Description=AnyDesk > Requires=network.target > After=systemd-user-sessions.service > > [Service] > Type=simple > ExecStart=/usr/bin/anydesk --service > PIDFile=/var/run/anydesk.pid > KillMode=mixed > TimeoutStopSec=30 > User=root так systemd его тоже от рута запускает. > LimitNOFILE=10 > > [Install] > WantedBy=multi-user.target > > Просто anydesk от пользователя из группы wheel запускается и работает в обе > стороны, но хочется всё же службу. Создайте пользователя anydesk и запускайте из-под него, все счастливы. -- WBR et al. ___ Sysadmins mailing list Sysadmins@lists.altlinux.org https://lists.altlinux.org/mailman/listinfo/sysadmins
Re: [Sysadmins] Странное поведение резолвера
Hi Alexey! On 04/04/2020, at 07:42:20 PM you wrote: > сб, 4 апр. 2020 г. в 14:21, Konstantin Lepikhov : > > > > Hi Maxim! > > > > On 03/26/2020, at 07:59:27 PM you wrote: > > > > Был занят, поэтому тред не читал ) > > > > У меня lxd установлен на centos7, поэтому тут есть свои локальные > > проблемы. > > Вы же описываете проблемы centos7. При чем тут Альт? > > Вот еще один г-н П-г (хотя что и ожидать от мантейнера systemd). Я вообще-то заранее написал, что данные проблемы касаются _контейнеров_ ALTLinux и работы systemd в них. И общий посыл разработчиков systemd - это весь мир виноват, а не наш кривой код. PS В список багов закралась ошибка, конечно это https://github.com/systemd/systemd/issues/14431 -- WBR et al. ___ Sysadmins mailing list Sysadmins@lists.altlinux.org https://lists.altlinux.org/mailman/listinfo/sysadmins
Re: [Sysadmins] Странное поведение резолвера
Hi Maxim! On 03/26/2020, at 07:59:27 PM you wrote: > 26.03.2020, 15:10, "Konstantin Lepikhov" > lakos...@unsafe.ru:собирать что-то в LXD это плохая > идея (я могу написать уже целую статью поужасы LXC в > Сизифе).С этого места хотелось бы поподробней > :-) У меня Альт в контейнере, а не контейнер в Альте. > Такая конфигурация в связи с потребностью в виртуализации в купе с крайней > ограниченностью ресурсов. QEMU/KVM - выходит тяжеловато для моих железок. > OpenVZ - скорее никак, чем как-то. Docker вообще не об этом. Поэтому LXD - > сыровато, но пока устраивает - умеет крутить на одной машине контейнеры > ALT/p9 и Debian Jessie (да-да... этот славный PHP5!) > Если у вас какой-то CIтам.Бог > миловал :-) Просто нужно собирать несколько пакетов для Альта и нет > возможность выделить под это дело отдельную железку. С > уважением,М.П. Вецало.--- Был занят, поэтому тред не читал ) У меня lxd установлен на centos7, поэтому тут есть свои локальные проблемы. Но применительно к ALTLinux - пока контейнеры LXC на базе ALTLinux мало пригодны для использования "из коробки" без дополнительного напильника и виноват тут как всегда *d софт от г-на П-га: 1. (There seems to be a race condition in systemd or logind, which results in the leak of scope unit files in /run/systemd/system. This causes PID 1 to use 100% CPU and delays logins.) https://bugzilla.redhat.com/show_bug.cgi?id=1439989 https://bugs.launchpad.net/ubuntu/+source/systemd/+bug/1591411 https://github.com/systemd/systemd/issues/1961 - воспроизводится на ура на свежем контейнере на базе Сизифа. В баге на github предложен workaround, который приходится ставить на cron: Delete session files find /run/systemd/system -name "session-*.scope" -delete Delete session directories rm -rf /run/systemd/system/session*scope* Remove the abandoned sessions systemctl | grep "abandoned" | grep -e "-[[:digit:]]" | sed "s/\.scope.*/.scope/" | xargs systemctl stop Как всегда, г-н П-г говорит "not-our-bug" и посылает всех попробовать свежий снепшот из git'а. 2. Regression : systemd-networkd does not get an IPv4 address via DHCP when started at boot https://bugzilla.redhat.com/show_bug.cgi?id=1733674 https://github.com/moby/moby/issues/26120 workaround: raw.lxc: lxc.mount.auto = "sys" в конфигурации контейнера. Как всегда, г-н П-г говорит "not-our-bug" и посылает всех нах. Сизиф я не обновлял пару недель, может быть что-то изменилось, но не уверен. -- WBR et al. ___ Sysadmins mailing list Sysadmins@lists.altlinux.org https://lists.altlinux.org/mailman/listinfo/sysadmins
Re: [Sysadmins] Странное поведение резолвера
Hi Maxim! On 03/26/2020, at 10:49:27 AM you wrote: > Добрый день! Есть задача - автоматизировать сборку > в LXD-контейнере с Альтом:- создаем чистый контейнер из > образа;- настраиваем окружение;- обновляем систему и > доставляем нужные пакеты;- подкачиваем исходники из > Git;- собираем и забираем результат;- удаляем > контейнер. Делается вся втупую - внешним скриптом (с > помощью команд вида lxc exec/file push и т.п., без глубоких ковыряний в самом > образе, системе инициализации и пр.) По ходу столкнулся > со странным поведением резолвера: даже после полного поднятия сети и > __гарантированной__ отработки пинга на mirror.yandex.ru, apt-get еще > некоторое время не может этот самый mirror.yandex.ru найти. > Подробности - после старта контейнера вставил костыль в виде цикла > для ожидания полного поднятия сети: while true; do > ping -c1 mirror.yandex.ru break; > doneЦикл отрабатывает (видно визуально), имя mirror.yandex.ru > разрешается и пинг проходит.После этого выполняем apt-get update и > получаем 'Can't resolve hostname mirror.yandex.ru' (или как-то > так).Вставленный после цикла update_chrooted --force all не > помогает...Приходится городить еще один костыль в виде sleep 10 - > тогда apt-get отрабатывает нормально. Получается - > костыль, подпираемый костылем, чего не хотелось бы совсем. Отчего так > происходит и есть ли какой-нибудь вменяемый способ это побороть? > С уважением,М.П. Вецало.--- собирать что-то в LXD это плохая идея (я могу написать уже целую статью по ужасы LXC в Сизифе). Используйте docker или hasher. Если у вас какой-то CI там. -- WBR et al. ___ Sysadmins mailing list Sysadmins@lists.altlinux.org https://lists.altlinux.org/mailman/listinfo/sysadmins
Re: [Sysadmins] P9, переезд с /var/{run,lock} -> /{run,run/lock}
Hi Alex! On 11/28/2019, at 12:45:14 PM you wrote: > Здравствуйте. > > Наткнулся еще на две проблемы после переезда /var/run->run на sysvinit. > > 1. Каталог /var/run/devecot присутствует в пакете dovecot, файл для > tmpfiles.d отсутствует. #37554. > 2. sqlgrey не может работать со своим pid-файлом в /var/run. Предлагаю > перенести его в /var/run/sqlgrey с соответствующими правками > /etc/sqlgrey/sqlgrey.conf, /etc/init.d/sqlgrey и созданием файла для > tmpfiles.d. #37555. sqlgrey я думаю можно вообще закопать уже. Есть другие альтернативы, которые работают быстрее и еще поддерживаются. Сам уже перешел с него на milter-greylist и не жалуюсь ) -- WBR et al. ___ Sysadmins mailing list Sysadmins@lists.altlinux.org https://lists.altlinux.org/mailman/listinfo/sysadmins
Re: [Sysadmins] Postfix multi-instance
Hi Alex! On 11/09/2019, at 06:28:45 PM you wrote: > Здравствуйте. > > Я правильно понимаю, что какая-либо поддержка Multi-instance в > chroot.d-скриптах postfix'а у нас отсутствует совсем? > > Понадобилось поднять несколько экземпляров Postfix'а на одной машине. > Создал их с помощью postmulti, настроил, и понял, что без ручного > копирования в их каталоги нужных файлов и библиотек ничего не работает. > > Нет ли каких-нибудь наработок в этой области? docker/lxc/openvz? -- WBR et al. ___ Sysadmins mailing list Sysadmins@lists.altlinux.org https://lists.altlinux.org/mailman/listinfo/sysadmins
Re: [Sysadmins] mail.ru с gmail/yandex против "чужих" им подписчиков, часть вторая
Hi Michael! On 09/15/2019, at 07:09:50 PM you wrote: > Здравствуйте. > Три дня назад случилась очередная эпидемия отписки подписанных > с yandex/gmail людей вследствие отлупов с этих сервисов в ответ > на прошедшие через lists.altlinux.org письма, отправленные > с mail.ru, где всё так же счастливо применяют DMARC: > https://lists.altlinux.org/pipermail/community/2017-April/686590.html > мне кажется, это очень гнилая отмазка. Mailman на lists. не старый а уже окаменевший и причин почему нельзя обновить до сих пор так и не озвучили (сначала говорили, что в сизифе нет свежей версии, а когда ее обновили началось какое бе-ме). Наверное, VPS захватило НЛО и поменяло там все пароли. -- WBR et al. ___ Sysadmins mailing list Sysadmins@lists.altlinux.org https://lists.altlinux.org/mailman/listinfo/sysadmins
Re: [Sysadmins] p8 -> p9
Hi Vladimir! On 09/04/2019, at 03:58:22 PM you wrote: > Ой! Действительно. Но теперь идёт ошибка: > > 2019-09-04T15:51:54.397292+03:00 pullet openvpn[13691]: VERIFY ERROR: > depth=0, error=certificate signature failure: ... > 2019-09-04T15:51:54.397446+03:00 pullet openvpn[13691]: OpenSSL: > error:1416F086:SSL routines:tls_process_server_certificate:certificate > verify failed > 2019-09-04T15:51:54.397548+03:00 pullet openvpn[13691]: TLS_ERROR: BIO read > tls_read_plaintext error > 2019-09-04T15:51:54.397639+03:00 pullet openvpn[13691]: TLS Error: TLS > object -> incoming plaintext read error > 2019-09-04T15:51:54.397768+03:00 pullet openvpn[13691]: TLS Error: TLS > handshake failed Потому что md5 выпилен из libssl? Я не знаю, что там в сборке p9, если там возможность включить md5, как это сделано в RH через переменную окружения OPENSSL_ENABLE_MD5_VERIFY=1 -- WBR et al. ___ Sysadmins mailing list Sysadmins@lists.altlinux.org https://lists.altlinux.org/mailman/listinfo/sysadmins
Re: [Sysadmins] p8 -> p9
Hi Vladimir! On 09/04/2019, at 02:25:14 PM you wrote: > 04.09.2019 12:14, Konstantin Lepikhov пишет: > > Hi Vladimir! > > > > On 09/04/2019, at 10:57:13 AM you wrote: > > > > > >> Эту опцию куда надо прикручивать? Я пытался в конфиг клиента, поскольку > >> именно он ругается на слабость сертификата, но он ругается и вообще не > >> запускается. > > как ругается? с каким конфигом запускаете клиента? > > Ругань: > 2019-09-03T21:09:11.463616+03:00 pullet openvpn[8005]: OpenSSL: > error:140E6118:SSL routines:ssl_cipher_process_rulestr:invalid command > 2019-09-03T21:09:11.463896+03:00 pullet openvpn[8005]: Failed to set > restricted TLS cipher list: “DEFAULT:@SECLEVEL=0” У вас там кавычки точно правильные? -- WBR et al. ___ Sysadmins mailing list Sysadmins@lists.altlinux.org https://lists.altlinux.org/mailman/listinfo/sysadmins
Re: [Sysadmins] p8 -> p9
Hi Vladimir! On 09/04/2019, at 10:57:13 AM you wrote: > Эту опцию куда надо прикручивать? Я пытался в конфиг клиента, поскольку > именно он ругается на слабость сертификата, но он ругается и вообще не > запускается. как ругается? с каким конфигом запускаете клиента? -- WBR et al. ___ Sysadmins mailing list Sysadmins@lists.altlinux.org https://lists.altlinux.org/mailman/listinfo/sysadmins
Re: [Sysadmins] p8 -> p9
Hi Vladimir! On 09/03/2019, at 07:51:46 PM you wrote: > Здравствуйте! > > Пытаюсь обновиться. > > 1. Отвалился OpenVPN из-за слабости сертификата: > OpenSSL: error:140AB18E:SSL routines:SSL_CTX_use_certificate:ca md too weak > Безопасность, это хорошо, но не имея возможности подключиться к серверу, > исправить это точно не получится. Как можно временно понизить этот уровень > безопасности? https://github.com/OpenVPN/openvpn-gui/issues/229 ... > try to convince the server admin to upgrade the server certificate. No > excuse for using MD5 in certificates. If that is not an option you could > run with --tls-cipher DEFAULT:@SECLEVEL=0, but its not recommended. -- WBR et al. ___ Sysadmins mailing list Sysadmins@lists.altlinux.org https://lists.altlinux.org/mailman/listinfo/sysadmins
Re: [Sysadmins] p9, aacraid и arcconf
Hi Yuri!
On 09/03/2019, at 02:19:29 PM you wrote:
> Добрый день!
> Установил с нуля p9-server-beta2.
> До этого стоял старый Sisyphus.
>
> Утилита arcconf со старой версии не захотела запускаться со ссылкой
> на /usr/lib64/libstdc++.so.5
>
> Скачал новую версию с сайта Adaptec: http://hwraid.le-vert.net/wiki/Adaptec
там их несколько версий, какую именно скачали и какую поставили, там есть
и .deb и .rpm.
>
> В данном случае теперь:
>
> ldd ./arcconf
> linux-vdso.so.1 (0x7ffc107f6000)
> libdl.so.2 => /lib64/libdl.so.2 (0x7f3e648f8000)
> libpthread.so.0 => /lib64/libpthread.so.0 (0x7f3e648d7000)
> libstdc++.so.6 => /usr/lib64/libstdc++.so.6 (0x7f3e646d1000)
> libm.so.6 => /lib64/libm.so.6 (0x7f3e6453b000)
> libgcc_s.so.1 => /lib64/libgcc_s.so.1 (0x7f3e64521000)
> libc.so.6 => /lib64/libc.so.6 (0x7f3e64363000)
> /lib64/ld-linux-x86-64.so.2 (0x7f3e64907000)
>
> Но при попытке опросить контроллер, вылетает с
>
> --- SIGSEGV {si_signo=SIGSEGV, si_code=SEGV_MAPERR, si_addr=0x10} ---
> +++ killed by SIGSEGV +++
> Ошибка сегментирования
>
>
> Кто нибудь сталкивался? Чего ей не хватает и как это лечить?
На сизифе без железа утилита запускается:
$ ./arcconf
Could not open log file: /var/log/UcliEvt.log
Controllers found: 0
| UCLI | Adaptec by PMC uniform command line interface
| UCLI | Version 2.02 (B22404)
| UCLI | (C) Adaptec by PMCS 2003-2016
| UCLI | All Rights Reserved
...
Наверное, нужно смотреть dmesg, и полный лог strace -Ffs1024
--
WBR et al.
___
Sysadmins mailing list
Sysadmins@lists.altlinux.org
https://lists.altlinux.org/mailman/listinfo/sysadmins
Re: [Sysadmins] Postfix: фильтрация заголовков
Hi kae! On 04/07/2019, at 10:20:08 PM you wrote: > Доброго времени суток. > > Вопрос: есть ли в Постфиксе возможность фильтрации по двум заголовкам сразу, > например если в Message-ID: есть/нет mydomain.by, то проверить, есть ли > mydomain.by в From: ? Ну, или наоборот. В postfix есть поддержка pcre, где есть поддержка ретроспективной замены. Т.е. это скорее вопрос не к postfix, а к реализации regexp. А так еще можно почитать про restriction classes, это может быть проще в реализации. -- WBR et al. ___ Sysadmins mailing list Sysadmins@lists.altlinux.org https://lists.altlinux.org/mailman/listinfo/sysadmins
Re: [Sysadmins] I: зимние стартеркиты (20171212)
Hi Michael! On 12/21/2017, at 06:58:49 AM you wrote: > On Wed, Dec 20, 2017 at 09:07:04PM +0100, Konstantin Lepikhov wrote: > > > > > > > > smartmontools 6.6 и поддержка обновления микрокода > > > > > > > > процессоров Intel; > > > > > > > можно с этого места поподробнее? > > > Разумеется: > > > http://git.altlinux.org/tasks/archive/done/_191/196451/ > > > http://git.altlinux.org/people/mike/packages/?p=mkimage-profiles.git;a=commitdiff;h=5dd5c0b618ce04439c463f27d84333ab93cd2a4b > > Тогда прошу разъяснить общественности, что это не "поддержка > > обновления микрокода процессоров intel" а поддержка т.н. early > > microcode loading для процессоров от AMD и Intel, которые > > поддерживают эту функцию. Т.е. немного разные вещи. > > Шибко много букв для одной строки ChangeLog, как понимаешь. > Хотя если предложишь буквы -- давай поправим :) > Added early microcode loading support это много букв? -- WBR et al. ___ Sysadmins mailing list Sysadmins@lists.altlinux.org https://lists.altlinux.org/mailman/listinfo/sysadmins
Re: [Sysadmins] Q: sympa experience
Hi Michael! On 10/08/2018, at 08:06:53 PM you wrote: > On Mon, Oct 08, 2018 at 05:17:36PM +0200, Konstantin Lepikhov wrote: > > А есть тут те, кто пользуется sympa на ALTLinux? > > И сумел там настроить SSO? > > Мы с misha@ пользовались лет пятнадцать назад; до третьей версии > была хорошая программа, с четвёркой-пятёркой творились странные > вещи, с архивацией после выхода mailman2 и исправления pipermail > насчёт не-ASCII тоже стало относительно безвыигрышней. > У меня версия 6.2.x там тоже все хорошо, но если под RHEL/CentOS. А вот с ALTLinux непонятно, поэтому и спрашиваю, есть ли кто у кого это крутится под Linux. -- WBR et al. ___ Sysadmins mailing list Sysadmins@lists.altlinux.org https://lists.altlinux.org/mailman/listinfo/sysadmins
[Sysadmins] Q: sympa experience
Привет! А есть тут те, кто пользуется sympa на ALTLinux? И сумел там настроить SSO? -- WBR et al. ___ Sysadmins mailing list Sysadmins@lists.altlinux.org https://lists.altlinux.org/mailman/listinfo/sysadmins
Re: [Sysadmins] OpenVPN cert error
Hi Vladimir! On 06/08/2018, at 11:47:22 AM you wrote: > Добрый день! > > 08.06.2018 9:59, Nikolay A. Fetisov пишет: > > В Пт, 08/06/2018 в 08:12 +0300, Vladimir Karpinsky пишет: > >> > >> у меня теперь вылезает: > >> > >> VERIFY ERROR: depth=0, error=CA signature digest algorithm too weak: > >> C=RU, ... > >> OpenSSL: error:1416F086:SSL > >> routines:tls_process_server_certificate:certificate verify failed > >> ... > > > > А все сертификаты изменены? И CA перегенерирована? И сертификат CA > > установлен? > > А, что CA и, как следствие, все остальные сертификаты узлов сети тоже надо > перегенерировать? А как это лучше сделать для тех клиентов, которые только > через VPN доступны и до которых не добраться лично? > голубиной почтой послать им base64 нового CA. Иначе никак, у вас же сертификаты подписаны старым CA а вы его поменяли. -- WBR et al. ___ Sysadmins mailing list Sysadmins@lists.altlinux.org https://lists.altlinux.org/mailman/listinfo/sysadmins
Re: [Sysadmins] MySQL 5.7 & Roundcube
Hi Vladimir! On 06/05/2018, at 08:11:28 PM you wrote: > 05.06.2018 18:53, Гусев Владислав Юрьевич пишет: > > На прошлой неделе было два "кривих" обновления mysql (по крайней мере для > > меня). > > Первое поломало чрут, из-за чего mysql не смог стартовать и не выполнился > > mysql_upgrade. > > Выполнил руками, поправил конфиги и скрипт из /etc/init.d - смог запустить > > mysql. > > Второе обновление исправило ситуацию с чрутом. Пришлось возвращать конфиги > > назад. > > Я обновился сегодня, так что mysql_upgrade у меня выполнился без проблем. > Только Раундкубу это нисколько не помогло -- ошибка подключения к БД. > Так запустите httpd в один процесс и strace на него - сразу будет видно, почему не соединяется. Там может быть и php-mysql модуль виноват, либо какие-то хеши паролей устарели. -- WBR et al. ___ Sysadmins mailing list Sysadmins@lists.altlinux.org https://lists.altlinux.org/mailman/listinfo/sysadmins
Re: [Sysadmins] Загрузка ALT Linux Rescue по PXE
Hi Leonid! On 04/19/2018, at 01:23:55 AM you wrote: > Добрый день! > > > 09.04.2018 13:41, Alex Moskalenko пишет: > > Никак не могу понять, каким образом заставить > > udev/propagator/кто-этим-должен-заниматься загружать модули для сетевой > > карты автоматически. > > > Сегодня попробовал такой грязный хак (во вложении), но он не помог, > потому что в нашу прошивку похоже вообще не попадает нужных модулей. > Пропагатор подменяет своим интеллектом интеллект make-initrd, делая это > на самой ранней стадии, становясь в initramfs единственным "главным > управляющим". Идея моего патча в том, чтобы сдвинуть пропагатор как-то > на попозже -- после хуков udev но до цикла ожидания появления корня. Не > уверен, что это кому-то поможет, но вдруг?.. > > > Константин Лепихов писал: > > > т.е. propagator при загрузке дергает udevadm trigger на ранней стадии, > > далее trigger --action=add дергается только для методов disk и cdrom. > > Наверное, это баг, и стоит добавить udevtrigger_add для метода network? > > > Поскольку не первый день над этой темой работаю, могу точно сказать > точно, что происходит. Пропагатор начинает работать действительно на > очень ранней стадии, когда обнаружение устройств ещё в самом разгаре. Я > тоже пытаюсь заменить его скриптами и выходит, что нужно либо > событийно-ориентированный подход, который уже есть в make-initrd v0.8, > либо хотя бы простой цикл ожидания или задержка. У меня первое обращение > к /sys/class/net/ тоже показывает только lo, и лишь на втором круге > после секундной задержки появляется нужный интерфейс. > > 2 mike@: спасибо за звоночек! :) > > Так у вас жеж там полноценная система с glibc и udev, что мешает слинковать propogator с libudev и получать события от udev напрямую? Без костылей и хаков. -- WBR et al. ___ Sysadmins mailing list Sysadmins@lists.altlinux.org https://lists.altlinux.org/mailman/listinfo/sysadmins
Re: [Sysadmins] Загрузка ALT Linux Rescue по PXE
Hi Alex! On 04/10/2018, at 04:07:23 PM you wrote: > Хотя терзают меня сомнения - неужели никто не пытался > установить/загрузить liveCD ALT Linux по сети? Ведь это должно > обязательно вылезти при установке! Может, все-таки что-то не так у меня? Подпишитесь на https://bugzilla.altlinux.org/show_bug.cgi?id=34347 и запаситесь попкорном. Похоже, вы не одиноки с этой проблемой. -- WBR et al. ___ Sysadmins mailing list Sysadmins@lists.altlinux.org https://lists.altlinux.org/mailman/listinfo/sysadmins
Re: [Sysadmins] Загрузка ALT Linux Rescue по PXE
Hi Alex!
On 04/10/2018, at 04:07:23 PM you wrote:
> > Хм, интересно:
> >
> > [lakostis@lks propagator]$ git grep udevtrigger_add
> > cdrom.c:extern char *udevtrigger_add[];
> > cdrom.c:spawn(udevtrigger_add);
> > disk.c:extern char *udevtrigger_add[];
> > disk.c: spawn(udevtrigger_add);
> > init.c:char *udevtrigger_add[] = {"/sbin/udevadm", "udevadm",
> > "trigger", "--action=add", NULL};
> >
> > [lakostis@lks propagator]$ git grep udevtrigger
> > init.c:char *udevtrigger[] = {"/sbin/udevadm", "udevadm", "trigger",
> > NULL}; init.c: if (waitpid(spawn(udevtrigger), _status, 0) < 0 ||
> > init.c: warn("udevtrigger");
> >
> > т.е. propagator при загрузке дергает udevadm trigger на ранней стадии,
> > далее trigger --action=add дергается только для методов disk и cdrom.
> > Наверное, это баг, и стоит добавить udevtrigger_add для метода
> > network?
> >
> > PS все мои познания propagator основаны опыте 10ти-летней давности,
> > так что я никак не разработчик этой программы )
> >
>
> Ну я тут точно не помогу, так как у меня познания по "внутренностям"
> propagator'а просто отсутствуют. :) Разве что баг могу повесить.
Лучше повесьте.
Поведение поменялось вот с этого коммита:
commit bab88d61a1149da063232ae536ea5300b98aed3e
Author: Anton V. Boyarshinov
Date: Thu Feb 14 17:08:46 2013 +0400
dynamic interafaces names list
>
> Хотя терзают меня сомнения - неужели никто не пытался
> установить/загрузить liveCD ALT Linux по сети? Ведь это должно
> обязательно вылезти при установке! Может, все-таки что-то не так у меня?
Это ж altlinux которым никто не пользуется, так что не удивляйтесь, если
какой-то очевидный функционал либо сломан либо вообще отсутствует. Раньше
PXE у меня работал, но, повторюсь, это было лет 10 назад.
--
WBR et al.
___
Sysadmins mailing list
Sysadmins@lists.altlinux.org
https://lists.altlinux.org/mailman/listinfo/sysadmins
Re: [Sysadmins] Загрузка ALT Linux Rescue по PXE
Hi Alex!
On 04/10/2018, at 03:44:55 PM you wrote:
> В Tue, 10 Apr 2018 14:29:41 +0200
> Konstantin Lepikhov <lakos...@unsafe.ru> пишет:
>
> > propagator запускает udev перед собственно поиском устройств, т.е.
> > если карта там не обнаружилась, то в dmesg должно быть что-то. Есть
> > ли еще сообщения на других консолях?
> >
>
> Сразу после сообщения "No network device found" переключаюсь на вторую
> консоль (оболочка). lsmod - пусто. ls /sys/class/net - lo. udevd
> --resolve-names=never в процессах присутствует. На 4й консоли - обычный
> лог загрузки ядра, никаких попыток загрузить какие-либо модули не
> наблюдается.
>
> Если на второй консоли в шелле выполнить udevadm trigger --action=add,
> то загружаются модули для найденных устройств, в том числе и сетевой
> карты, появляется /sys/class/net/eth0 и propagator продолжает свою
> работу (поднимает eth0, получает ip, загружает stage2), правда, в
> ручном режиме.
>
> Может, нужно куда-нибудь вставить этот самый udevadm trigger
> --action=add?...
Хм, интересно:
[lakostis@lks propagator]$ git grep udevtrigger_add
cdrom.c:extern char *udevtrigger_add[];
cdrom.c:spawn(udevtrigger_add);
disk.c:extern char *udevtrigger_add[];
disk.c: spawn(udevtrigger_add);
init.c:char *udevtrigger_add[] = {"/sbin/udevadm", "udevadm", "trigger",
"--action=add", NULL};
[lakostis@lks propagator]$ git grep udevtrigger
init.c:char *udevtrigger[] = {"/sbin/udevadm", "udevadm", "trigger", NULL};
init.c: if (waitpid(spawn(udevtrigger), _status, 0) < 0 ||
init.c: warn("udevtrigger");
т.е. propagator при загрузке дергает udevadm trigger на ранней стадии,
далее trigger --action=add дергается только для методов disk и cdrom.
Наверное, это баг, и стоит добавить udevtrigger_add для метода network?
PS все мои познания propagator основаны опыте 10ти-летней давности, так
что я никак не разработчик этой программы )
--
WBR et al.
___
Sysadmins mailing list
Sysadmins@lists.altlinux.org
https://lists.altlinux.org/mailman/listinfo/sysadmins
Re: [Sysadmins] Загрузка ALT Linux Rescue по PXE
Hi Alex!
On 04/10/2018, at 12:31:16 PM you wrote:
> > > На текущий момент положил vmlinuz и full.cz (с добавленными модулями
> > > для поддержки сетевых карт) на tftp-сервер, образ rescue - на
> > > ftp-сервер, прописал в pxelinux.cfg соответствующие параметры
> > > (fastboot live
> > > automatic=method:ftp,network:dhcp,server:192.168.1.1,directory:/rescue/32
> > > ramdisk_size=45 stagename=rescue showopts). Начинается загрузка,
> > > которая останавливается на сообщении "No network device found".
> > > Переход на вторую консоль и выполнение там udevadm trigger
> > > --action=add; udevadm settle подгружает модуль для сетевой карты,
> > > после чего можно продолжить загрузку (rescue скачивается с ftp и
> > > далее все загружается обычным образом).
> > >
> > > Никак не могу понять, каким образом заставить
> > > udev/propagator/кто-этим-должен-заниматься загружать модули для
> > > сетевой карты автоматически.
> > Насколько я помню, propagator все делает сам, и если имя сетевого
> > интерфейса не совпадает с ожидаемым, то он выкидывает эту ошибку.
> > Посмотрите отладочную консоль, там должно быть все написано что ему не
> > нравится.
> >
>
> На 3й консоли есть следующее:
> * welcome to the ALT Linux install(alt-stage1, built ...)
> * opening /proc/cmdline...
> * initrd=. (строка APPEND из pxelinux)
> * AUTOMATIC MODE: got 4 params
> * got 8 args
> * spawning a shell
> * unsetting automatic
>
> Похоже, все ему нравится, просто модуля для сетевой карты никто не
> загружает. Интерфейс только lo. lsmod - пусто. После ручной загрузки
> модуля (через вторую консоль с шеллом) и нажатия Ok в propagator у него
> все получается - поднимается интерфейс, получается IP, загружается по
> FTP образ и т.д.
да, если по коду то все вываливается потому что в /sys/class/network пусто:
...
char ** get_net_devices(void)
{
DIR * sys_net;
char * tmp[50];
struct dirent * ent;
int i = 0;
sys_net = opendir("/sys/class/net");
if (sys_net == NULL) return(strdup("\0"));
while ( ent = readdir(sys_net)){
if( !strcmp("lo", ent->d_name))continue;
if (net_device_available(ent->d_name)){
tmp[i++] = strdup(ent->d_name);
}
}
tmp[i++] = NULL;
return memdup(tmp, sizeof(char *) * i);
}
#endif /* DISABLE_NETWORK */
>
> Никак не могу понять, как и кого попросить грузить модуль для сетевой
> карты. Все нужное в initrd есть - модули, udev.
propagator запускает udev перед собственно поиском устройств, т.е. если
карта там не обнаружилась, то в dmesg должно быть что-то. Есть ли еще
сообщения на других консолях?
--
WBR et al.
___
Sysadmins mailing list
Sysadmins@lists.altlinux.org
https://lists.altlinux.org/mailman/listinfo/sysadmins
Re: [Sysadmins] Загрузка ALT Linux Rescue по PXE
Hi Alex! On 04/09/2018, at 01:41:42 PM you wrote: > Здравствуйте! > > Подскажите пожалуйста, как правильно грузить Rescue по PXE? > > На текущий момент положил vmlinuz и full.cz (с добавленными модулями > для поддержки сетевых карт) на tftp-сервер, образ rescue - на > ftp-сервер, прописал в pxelinux.cfg соответствующие параметры > (fastboot live > automatic=method:ftp,network:dhcp,server:192.168.1.1,directory:/rescue/32 > ramdisk_size=45 stagename=rescue showopts). Начинается загрузка, > которая останавливается на сообщении "No network device found". Переход > на вторую консоль и выполнение там udevadm trigger --action=add; udevadm > settle подгружает модуль для сетевой карты, после чего можно продолжить > загрузку (rescue скачивается с ftp и далее все загружается обычным > образом). > > Никак не могу понять, каким образом заставить > udev/propagator/кто-этим-должен-заниматься загружать модули для сетевой > карты автоматически. Насколько я помню, propagator все делает сам, и если имя сетевого интерфейса не совпадает с ожидаемым, то он выкидывает эту ошибку. Посмотрите отладочную консоль, там должно быть все написано что ему не нравится. -- WBR et al. ___ Sysadmins mailing list Sysadmins@lists.altlinux.org https://lists.altlinux.org/mailman/listinfo/sysadmins
Re: [Sysadmins] CPU microcode support
Hi Michael! On 12/22/2017, at 12:27:50 AM you wrote: > Интересная вещь - сейчас так получилось, что в системе > firmware-intel-ucode установлен, а make-initrd-ucode - (ещё) нет. В > результате, как я понимаю, толку ноль. Именно так. Может быть, там что-то дергает udev/systemd на этапе загрузки но не уверен. > > Может, зависимость сделать? Зависимость на что? Для пакета firmware-intel-ucode -initrd-ucode не требуется, а в make-initrd-ucode соответствующая зависимость есть. -- WBR et al. ___ Sysadmins mailing list Sysadmins@lists.altlinux.org https://lists.altlinux.org/mailman/listinfo/sysadmins
Re: [Sysadmins] CPU microcode support (was: I: зимние стартеркиты (20171212)
Hi Michael! On 12/21/2017, at 07:48:17 PM you wrote: > On 12/21/2017 01:27 PM, Sergey V Turchin wrote: > > >> прочитайте руководящую документацию[1], прежде чем > >> писать "обновление". > >> https://www.kernel.org/doc/Documentation/x86/early-microcode.txt > > "Kernel can _update_ microcode in early phase of boot time." ;-) > > А как им реально пользоваться? > > В инструкциях от интеля говорится про кучу файликов внутри > /lib/firmware/intel-ucode/ вида 0f-06-08, а опакечен теперь только > intel-microcode.bin > > Перестроить initrd и оно само как-то магически туда попадёт и будет > применяться? > Да, если ваш процессор это поддерживает и ему действительно нужно обновление микрокода. Ну а далее make-initrd-ucode сделает всю магию за вас: - вытряхнет из .bin нужный микрокод - подготовит cpio архив с ним - подготовит initrd из cpio c микрокодом и самого initramfs. Для процессоров AMD это поддерживается с fam 15h и процедура аналогичная, просто микрокод лежит в пакете linux-firmware. -- WBR et al. ___ Sysadmins mailing list Sysadmins@lists.altlinux.org https://lists.altlinux.org/mailman/listinfo/sysadmins
Re: [Sysadmins] I: зимние стартеркиты (20171212)
Hi Michael! On 12/21/2017, at 06:58:49 AM you wrote: > On Wed, Dec 20, 2017 at 09:07:04PM +0100, Konstantin Lepikhov wrote: > > > > > > > > smartmontools 6.6 и поддержка обновления микрокода > > > > > > > > процессоров Intel; > > > > > > > можно с этого места поподробнее? > > > Разумеется: > > > http://git.altlinux.org/tasks/archive/done/_191/196451/ > > > http://git.altlinux.org/people/mike/packages/?p=mkimage-profiles.git;a=commitdiff;h=5dd5c0b618ce04439c463f27d84333ab93cd2a4b > > Тогда прошу разъяснить общественности, что это не "поддержка > > обновления микрокода процессоров intel" а поддержка т.н. early > > microcode loading для процессоров от AMD и Intel, которые > > поддерживают эту функцию. Т.е. немного разные вещи. > > Шибко много букв для одной строки ChangeLog, как понимаешь. > Хотя если предложишь буквы -- давай поправим :) > Added early microcode loading support это много букв? PS Господа переводчики, прочитайте руководящую документацию[1], прежде чем писать "обновление". https://www.kernel.org/doc/Documentation/x86/early-microcode.txt -- WBR et al. ___ Sysadmins mailing list Sysadmins@lists.altlinux.org https://lists.altlinux.org/mailman/listinfo/sysadmins
Re: [Sysadmins] I: зимние стартеркиты (20171212)
Hi Michael! On 12/20/2017, at 05:28:00 PM you wrote: > On Wed, Dec 20, 2017 at 04:31:07PM +0300, Sergey V Turchin wrote: > > > > > > smartmontools 6.6 и поддержка обновления микрокода > > > > > > процессоров Intel; > > > > > можно с этого места поподробнее? > > Разумеется: > http://git.altlinux.org/tasks/archive/done/_191/196451/ > http://git.altlinux.org/people/mike/packages/?p=mkimage-profiles.git;a=commitdiff;h=5dd5c0b618ce04439c463f27d84333ab93cd2a4b > Тогда прошу разъяснить общественности, что это не "поддержка обновления микрокода процессоров intel" а поддержка т.н. early microcode loading для процессоров от AMD и Intel, которые поддерживают эту функцию. Т.е. немного разные вещи. -- WBR et al. ___ Sysadmins mailing list Sysadmins@lists.altlinux.org https://lists.altlinux.org/mailman/listinfo/sysadmins
Re: [Sysadmins] I: зимние стартеркиты (20171212)
Hi Sergey! On 12/20/2017, at 03:13:02 PM you wrote: > On Wednesday, 20 December 2017 14:30:13 MSK Konstantin Lepikhov wrote: > > Hi Michael! > > > > On 12/19/2017, at 03:51:49 PM you wrote: > > > smartmontools 6.6 и поддержка обновления микрокода > > > процессоров Intel; > > можно с этого места поподробнее? > С каких пор тебя интересует p8? ;-) > > [...] > Сергей, а вы Михаил? -- WBR et al. ___ Sysadmins mailing list Sysadmins@lists.altlinux.org https://lists.altlinux.org/mailman/listinfo/sysadmins
Re: [Sysadmins] I: зимние стартеркиты (20171212)
Hi Michael! On 12/19/2017, at 03:51:49 PM you wrote: > smartmontools 6.6 и поддержка обновления микрокода > процессоров Intel; можно с этого места поподробнее? ... > amdgpu и улучшение поддержки VMware; т.е. для AMD ядра без dc патча и без поддержки dp audio. Зачем такой amdgpu непонятно, особенно если там даже vulkan нет. -- WBR et al. ___ Sysadmins mailing list Sysadmins@lists.altlinux.org https://lists.altlinux.org/mailman/listinfo/sysadmins
Re: [Sysadmins] I: осенние стартеркиты (20170912)
Hi Michael! On 09/12/2017, at 11:55:34 PM you wrote: > Здравствуйте. > Незаметно подкралась осень, только вернулся из Ярославля -- > испеклась бета, а теперь уж и выпуск стартовых наборов готов. > > Доступны летние стартеркиты; изменения: > > - включены ядра 4.4.86 и 4.9.47, а также Mesa 17.1.3; В связи с обнаружением уязвимости в bluetooth, может, стоит повременить и пересобрать уже с пропатченными ядрами? -- WBR et al. ___ Sysadmins mailing list Sysadmins@lists.altlinux.org https://lists.altlinux.org/mailman/listinfo/sysadmins
Re: [Sysadmins] I: летние стартеркиты (20170612)
Hi! On 06/19/17, at 04:27:02 PM you wrote: > Просто тупо запускается и сразу появляется > > [mkuznetsov@comp-core2-quad-1d1b41 skypeforlinux]$ skypeforlinux > [mkuznetsov@comp-core2-quad-1d1b41 skypeforlinux]$ > Поставьте пакет strace и запустите skype через него: $ strace -fF -s1024 -o skypeforlinux.log skypeforlinux Потом выложите полученный .log куда-нибудь или сожмите и приложите его сюда письмом. -- WBR et al. ___ Sysadmins mailing list Sysadmins@lists.altlinux.org https://lists.altlinux.org/mailman/listinfo/sysadmins
Re: [Sysadmins] ca-sko
Hi Vladimir! On 01/11/17, at 09:42:55 AM you wrote: > Здравствуйте! > > Второй день после обновления p7 -> p8 от /usr/sbin/ca-sko (запускается > ежедневно из /etc/cron.d/alterator-ca) сообщения вида: > > WARNING: Skipping duplicate certificate ldap.cert > WARNING: Skipping duplicate certificate ovpn_client1.pem > WARNING: Skipping duplicate certificate ovpn_client2.pem > WARNING: Skipping duplicate certificate ovpn_client1.cert > WARNING: Skipping duplicate certificate ovpn_client2.cert > WARNING: Skipping duplicate certificate server.cert > WARNING: Skipping duplicate certificate server.pem > WARNING: make-dummy-cert does not contain a certificate or CRL: skipping > ... > > При обновлении содержимое каталога /var/lib/ssl/certs практически не > изменилось, несколько изменился файл make-dummy-cert: в частности > увеличилась длина ключа rsa (было 1024, стало 2048). Содержимое файла > /usr/sbin/ca-sko совсем не изменилось. > Это сообщение от c_rehash, мне кажется их можно просто в /dev/null отправить. -- WBR et al. ___ Sysadmins mailing list Sysadmins@lists.altlinux.org https://lists.altlinux.org/mailman/listinfo/sysadmins
[Sysadmins] I: courier-imap 4.17.2
Привет! Я выложил в сизиф новую сборку courier-imap и все что нужно для его работы (authlib и maildrop). Т.к. это первая сборка после длительной паузы с обновлениями, кое-что может сломаться или не работать. Что там нового: authlib: + поддержка sqlite + поддержка systemd + поддержка IDN и unicode courier-imap: + поддержка IDN и unicode + отказ от SSL, переход на использование TLS + ALT: конфигурация с жесткими требованиями по шифрованию: TLSv1.2, сокращенный cipher suite, отказ от авторизации без STARTTLS на обычных портах, DH и сертификаты по умолчанию 4096 bit, sha256 хеш для сертификата. Из-за изменений с DH первый старт займет длительное время, так что не пугайтесь, это так и задумано. + ALT: генерация ssl сертификатов и DH через cert-sh-functions, поддержка пользовательских настроек генерации сертификатов (через .cnf шаблоны) + ALT: возможность периодической перегенерации DH (сейчас там лимит 25 дней, что настраивается внутри /etc/courier-imap/ssl-sh-functions) courier-maildrop: + обновление версии + поддержка авторизации через dovecot TODO courier-imap: + написание control для управления настроками SSL + поддержка systemd О всех замеченных ошибках и недочетах просьба сообщать в багзиллу. Спасибо за внимание! -- WBR et al. ___ Sysadmins mailing list Sysadmins@lists.altlinux.org https://lists.altlinux.org/mailman/listinfo/sysadmins
Re: [Sysadmins] PVEoRAID
Hi Michael! On 01/05/17, at 06:06:19 PM you wrote: > On Thu, Jan 05, 2017 at 03:14:38PM +0100, Konstantin Lepikhov wrote: > > Все ясно в случае RHEL, там есть сертификация и вендоры сразу > > заявляют поддержку, а как быть с ALTLinux, который вроде-бы > > прикидывается и RedHat и Debian и еще непонятно чем с точки > > зрения пакетов, но вот что с железом? > > support@ обычно рекомендует по возможности проверить, > если нет возможности сказать определённо -- да или нет. > Могут выпускаться оперативные исправления сборок. > А чем это может помочь если нет модулей в принципе? Например, возьмем HP, у которого все модули ядра привязаны к определенному дистрибутиву, или Supermicro, где часть функционала, такого как обновление BIOS через фирменную утилиту требует наличия CentOS/RHEL? Я это к тому, что проводится ли работа с вендрами или это все сдохло вместе с MaxSelect, Etegra и др? > > Есть ли список поддерживаемого серверного оборудования? > > По факту нет: http://altlinux.org/HCL Да, тут все уже неактуально. > > > Пишу это не ради флейма, просто интересно, поскольку на работе > > есть на чем проверить и результаты были очень неутешительные > > для P8. > > Тоже хорошо бы конкретизировать -- очень может быть, > что достаточно положить в инсталятор ещё каких фирмварей > (возможно, предварительно собрав, но и то не факт). Я могу конкретизировать, только начала нужно ответить на вопросы выше. -- WBR et al. ___ Sysadmins mailing list Sysadmins@lists.altlinux.org https://lists.altlinux.org/mailman/listinfo/sysadmins
Re: [Sysadmins] PVEoRAID
Hi Michael! On 01/05/17, at 10:34:11 AM you wrote: > > На работе несколько серверов с аппаратными рейдами - но и на > > некоторые из них не удалось альта поставить. > > Тоже хорошо бы конкретизировать -- очень может быть, > что достаточно положить в инсталятор ещё каких фирмварей > (возможно, предварительно собрав, но и то не факт). А если зайти с другой стороны - вот купил кто-то P8, может быть даже поддержку на него у OOO, как в этом случае будет организована работа с такими ситуациями? Все ясно в случае RHEL, там есть сертификация и вендоры сразу заявляют поддержку, а как быть с ALTLinux, который вроде-бы прикидывается и RedHat и Debian и еще непонятно чем с точки зрения пакетов, но вот что с железом? Неужели единственный рекомендованный вариант установки это KVM или VirtualBox? Есть ли список поддерживаемого серверного оборудования? Пишу это не ради флейма, просто интересно, поскольку на работе есть на чем проверить и результаты были очень неутешительные для P8. -- WBR et al. ___ Sysadmins mailing list Sysadmins@lists.altlinux.org https://lists.altlinux.org/mailman/listinfo/sysadmins
Re: [Sysadmins] Разное поведение ядра на 2х идентичных машинах.
Hi Yuri! On 12/23/16, at 01:38:10 PM you wrote: > Добрый день! > > Есть два идентичных по конфигурации (в т.ч. версии биоса) сервера: HP > Proliant DL360 G5. > > На обоих серверах при загрузке я последними ядрами std-def и un-def > возникает ошибка: > > [0.023000] [Firmware Bug]: the BIOS has corrupted hw-PMU resources (MSR > 186 is 43003c) > > Но! На одной машине ошибка просто информационная, и после нее машина > продолжает грузиться и работать. А вторая машина вылетает на уровне > (initramfs) и предлагает нажать CTRL-D для продолжения загрузки. > > Вопрос - можно ли как то исправить, чтобы не требовалось ручного > вмешательства в процесс загрузки? > Скорее вам нужно сравнить initrd на серверах, вылетать в rescue shell ничего не должно, из-за каких-то ошибок в парсинге ACPI ресурсов и параметров CPU. Посмотрите, почему именно все вылетает в initramfs и отличается ли он (initrd) от сервера, где все в порядке. -- WBR et al. ___ Sysadmins mailing list Sysadmins@lists.altlinux.org https://lists.altlinux.org/mailman/listinfo/sysadmins
Re: [Sysadmins] Сломал почтовый сераер
Hi Vladimir! On 09/06/16, at 12:44:16 PM you wrote: > Ерунда какая-то! Сравнил ранее сохранённые конфиги postfix и dovecot с > текущими -- не вижу никакой разницы. С другой стороны, чтобы у нескольких > отправителей разом сломалось что-то -- тоже сомнительно... > > Поскольку никто кроме вас этих конфигов не видел, можем только согласиться, да, полная ерунда! ) -- WBR et al. ___ Sysadmins mailing list Sysadmins@lists.altlinux.org https://lists.altlinux.org/mailman/listinfo/sysadmins
Re: [Sysadmins] Сломал почтовый сераер
Hi Vladimir! On 09/06/16, at 11:08:57 AM you wrote: > Здравствуйте! > > Я что-то умудрился сломать в дано настроенном и поэтому забытом почтовом > сервере. Была всего-то задача увеличить через Альтератор размер сообщений. > Вроде ничего больше не трогал, тем не менее часть почты не принимается > сервером Я отправляю с обычного места сообщение и в логах вижу: > > connect from host.dom.ru(IP) > disconnect from host.dom.ru(IP) > > Больше ничего про это в логах не нашёл. > > Но с некоторых адресов почта доходит, т.е. такое ощущение, что включилась > ещё какая-то проверка, которая отбрасывает каких-то отправителей, причём > тех что ещё недавно принимала. > > postfix+dovecot, P7 выросший из Ковчег-сервера. > http://www.postfix.org/DEBUG_README.html - тут все написано. Вкраце - включаете отладку на сервере для конкретного ip (см. Verbose logging for specific SMTP connections), и пробуете. -- WBR et al. ___ Sysadmins mailing list Sysadmins@lists.altlinux.org https://lists.altlinux.org/mailman/listinfo/sysadmins
Re: [Sysadmins] пропали сетевые интерфейсы
Hi! On 06/16/16, at 08:15:29 AM you wrote: > День добрый! > > Внезапно случилась беда - на сервере (шестой Кентавр, обновлённый до седьмой > платформы) пропали все сетевые интерфейсы после перезагрузки. > "ip a" показывает только интерфейс lo, а eth0 и eth1 - как корова языком. > lspci сетевые карты показывает в наличии, правила udev - на месте. > > Я в панике и даже не знаю, куда смотреть и что делать. Всё легло... Первый > раз такое... > В логах ничего конкретного не нашёл. Не нравятся только жалобы от systemd: > Couldn't write '1' to 'fs/protected_symlinks', ignoring: No such file or > directory > Couldn't write '1' to 'fs/protected_hardlinks', ignoring: No such file or > directory > Но что это означает для меня не ведомо. > > Подскажите, пожалуйста, хоть направление поисков. Не оставьте в беде. > > Спасибо. > А сетевые карты часом не e1000? Там был "сюрприз" с их тихим удалением из ядра и выпиливанием в отдельный пакет. -- WBR et al. ___ Sysadmins mailing list Sysadmins@lists.altlinux.org https://lists.altlinux.org/mailman/listinfo/sysadmins
Re: [Sysadmins] so strange but interesting
Hi Sergey! On 06/14/16, at 06:34:38 PM you wrote: > > Особенно, в объемах того же hotmail например. > > hotmail косячит ? Пиши в Microsoft. Я уже написал, что думаю про их > Интернет-сервисы. :-) Я с ними общался, по-поводу исключения из их blacklist, мне ответили. Повезло наверное. И при чем тут Microsoft? Пообщайтесь лучше с SORBS ) > > > Устарело все это, надо уже переходить на прогрессивные стандарты, ибо > > спамеры умеют и retry делать и шлют все через правильно настроенные > > smtp. > > Они уже умеют и spf, и dkim. Могу наслать примеров. Вот сами и признались. Еще раз, сейчас нужны не простые отлупливалки на уровне одного сервера, а распределенные сервисы ибо что рассылка спама, что борьба с ним это большой бизнес. PS напоминаю, что на lists.altlinux.org стоит дырявый и просто безбожно устаревший mailman, средств в сизифе для работы с DMARC нет, да и вообще, никто этим в ALTLinux не занимается, вот и все. -- WBR et al. ___ Sysadmins mailing list Sysadmins@lists.altlinux.org https://lists.altlinux.org/mailman/listinfo/sysadmins
Re: [Sysadmins] so strange but interesting
Hi Sergey! On 06/14/16, at 05:22:25 PM you wrote: > On Tuesday 14 June 2016, Konstantin Lepikhov wrote: > > > Не надо никаких greylist'ов, ибо если им пользуется и сервер клиента, > > есть шанс, что они оба будут грейлистить друг друга сколь угодно долго. > > При наличии callback ? Это если очень маленький интервал кэширования попытки > у грейлистинга. Это какой-то странный сервер тогда, ни разу не встречал и, в > общем-то, это проблема того, кто его настраивал. В логах почитает - поправит. Хорошая технология, ради которой надо "читать логи и править". Особенно, в объемах того же hotmail например. Устарело все это, надо уже переходить на прогрессивные стандарты, ибо спамеры умеют и retry делать и шлют все через правильно настроенные smtp. -- WBR et al. ___ Sysadmins mailing list Sysadmins@lists.altlinux.org https://lists.altlinux.org/mailman/listinfo/sysadmins
Re: [Sysadmins] so strange but interesting
Hi Sergey! On 06/14/16, at 10:16:24 AM you wrote: > On Sunday 12 June 2016, Michael Shigorin wrote: > > > > > I know it might be something strange, but still so interesting, > > > > you have > > > > Я за бан > > > Пришлось поставить подобранный спамерами адрес на премодерацию, > > хотя его владелец наверняка в этом не виноват никоим образом. > > Да, достаточно просто написать обратный адрес, и оно пройдёт. > Может какой-нибудь грейлистинг сделать для не-СНГ-шных IP ? > По крайней мере, не сервера отсечёт. Или оно есть ? Да или для > всех. Хотя, нашёлся один почтовый "оператор", от которого письма > через грейлистинг имеют шанс не пробиться никогда. В логах виден, > как <всякая разная ахинея>.outbound.protection.outlook.com. > Впрочем, у Microsoft никогда ничего толкового не было в Интернет. > Не надо никаких greylist'ов, ибо если им пользуется и сервер клиента, есть шанс, что они оба будут грейлистить друг друга сколь угодно долго. Лучше вместо этих костылей перейти на свежий mailman и настроить DMARC. -- WBR et al. ___ Sysadmins mailing list Sysadmins@lists.altlinux.org https://lists.altlinux.org/mailman/listinfo/sysadmins
Re: [Sysadmins] I: бета стартеркитов (20160605)
Hi Sergey! On 06/06/16, at 11:18:20 PM you wrote: > On Monday 06 June 2016, Michael Shigorin wrote: > > > Вернулся образ server-ovz, трудами glebfm@ ядро в нём обучено > > грузить фирмварь вместо udev. > > Практически год назад glebfm@ писал про 3.10: > https://lists.altlinux.org/pipermail/sisyphus/2015-June/363838.html > > Может, его пора хотябы в Сизиф ? > Проще тогда сразу уже собирать ovz7 в Сизиф, благо качество кода там уже вполне юзабельно. Ну и вместо vzctl переходить на prlctl. -- WBR et al. ___ Sysadmins mailing list Sysadmins@lists.altlinux.org https://lists.altlinux.org/mailman/listinfo/sysadmins
Re: [Sysadmins] Аутентификация в ЭнджинИксе через ЛДАП
Hi Вадим! On 12/24/15, at 06:48:23 PM you wrote: > Астериском в каталог пишутся разговоры, а в его подкаталог - пропущенные > звонки. > > Задача: в каталог с пропущенными дать из локалки доступ всем, каталогом > выше - только избранным. На сей момент производится посредством Basic > Authentication + .htpasswd. > > Сверхзадача: брать пароли избранных из OpenLDAP или AD. > > Масса сведений о том, как сделать это на апаче, - даже _спицательный_ > модуль есть. > Заменяем в гуголе apache на nginx - получаем без малого вакуум (и ссылки > на апач, ггг). > > Делал кто-нибудь подобное? Поделитесь опытом, пожалуйста. > http://nginx.org/en/docs/http/ngx_http_auth_request_module.html + любой самописный скрипт, который возвращает 200 или 401/403 в зависимости от результата проверки. А уж проверять можно как угодно. -- WBR et al. ___ Sysadmins mailing list Sysadmins@lists.altlinux.org https://lists.altlinux.org/mailman/listinfo/sysadmins
Re: [Sysadmins] collectd web
Hi Eugene! On 12/11/15, at 03:16:28 PM you wrote: > Еще интереснее facette, но там тоже хосты/графики нужно добавлять > вручную, а еще собрать у нас что-то, использующее npm/nodejs будет, > видимо, непросто. Facette красивый зато. Еще можно grafana (grafana.org) запакетить. В любом случае для dashboard нужно вручную добавлять графики и измерения, так что решение "из коробки" не сильно актуально. -- WBR et al. ___ Sysadmins mailing list Sysadmins@lists.altlinux.org https://lists.altlinux.org/mailman/listinfo/sysadmins
Re: [Sysadmins] collectd web
Hi Eugene! On 12/11/15, at 04:30:31 PM you wrote: > 11 декабря 2015 г., 15:57 пользователь Konstantin Lepikhov > <lakos...@unsafe.ru> написал: > > Hi Eugene! > > > > On 12/11/15, at 03:16:28 PM you wrote: > > > >> Еще интереснее facette, но там тоже хосты/графики нужно добавлять > >> вручную, а еще собрать у нас что-то, использующее npm/nodejs будет, > >> видимо, непросто. > > > Facette красивый зато. Еще можно grafana (grafana.org) запакетить. > > У всех этих красивых bootstrap-based web-морд есть один специфический > минус - они используют пиктограммы из каких-то необыкновенных шрифтов, > а для моих глаз киллер-фичей Firefox является возможность запретить > сайтам использовать свои шрифты вместо установленных. Ну и получается > ерунда в результате: хочешь видеть пиктограммы - будь добр разрешить > обратно и ломай глаза об всяческие Arial или еще что похуже. Ну это вы не идете в ногу с прогрессом ) Не знаю, у меня grafana вроде ничего такого специального не требует для показа. > > А grafana хочет неопакеченный graphite, про БД которого явно пишут в > собственном FAQ: RRDtool is very fast, in fact it is much faster than > whisper. Graphite по-любому надо пакетить, ибо он сейчас нужен почти везде для красивых графиков. Либо вовсю присматриваться к influxdb и их агентам: https://github.com/influxdb/telegraf https://influxdb.com/blog/2015/06/19/Announcing-Telegraf-a-metrics-collector-for-InfluxDB.html > > > В любом случае для dashboard нужно вручную добавлять графики и измерения, > > так что решение "из коробки" не сильно актуально. > > Для дашборда да, но кроме дашбордов под задачи часто хочется видеть > просто список (лучше дерево как в NetXMS, конечно :) ) хостов и все > собираемые метрики для каждого хоста из коробки. Это скорее вопрос автоматизации через API в каждом конкретном случае. -- WBR et al. ___ Sysadmins mailing list Sysadmins@lists.altlinux.org https://lists.altlinux.org/mailman/listinfo/sysadmins
Re: [Sysadmins] Ограничение количества клиентов на хост для Apache ITK
On 10/30/15, at 11:54:05 AM you wrote: > Был какой-то патч для cgroups, который как раз ограничивал кол-во форков, > но его надо допиливать под текущие ядра, мне предлагали это сделать под > wks ядра, но у меня нет времени и желания этим заниматься. > > https://lists.unsafe.ru/pipermail/kernels/2013-September/000382.html > PID controller появился в 4.3: https://www.kernel.org/doc/Documentation/cgroups/pids.txt -- WBR et al. ___ Sysadmins mailing list Sysadmins@lists.altlinux.org https://lists.altlinux.org/mailman/listinfo/sysadmins
Re: [Sysadmins] Ограничение количества клиентов на хост для Apache ITK
Hi Vitaly! On 10/30/15, at 11:37:49 AM you wrote: > Konstantin Lepikhov писал 2015-10-30 2:09: > ... > >> Но MaxClients задаёт ограничение на количество процессов, общее для > >> всех пользователей и хостов. > >> > >> Есть параметр MaxClientsVhost, который можно указывать в конфиге > >> сайта. > >> Но между ними большое отличие в поведении: > >> При превышении MaxClients Apache просто не реагирует на коннекты к > >> нему, таким образом накапливается очередь подключений, > >> и пользователи при перегрузке испытывают замедление реакции сайта. > > А цель какая? Ограничить кол-во подключений или кол-во процессов? > > Если > > подключения, то да, limit_req в nginx для каждого vhost'а, если > > процессы, > > то крутить cgroups. > Цель — ограничить количество одновременных процессов, обрабатывающих > запросы к конкретному сайту. > limit_req даёт возможность ограничить количество обращений в секунду, и > таким образом > может защитить от внешнего врага. Мне же нужно защититься от врага > внутреннего. > Если сайт вместо 200мс начнёт отвечать за 10с (не важно по каким > причинам), всё не должно рухнуть от > количества процессов апача и не должны пострадать соседи по апачу > (другие сайты). > А cgroups будет давать ошибку при форке? И помешает другим процессам > под этим же UID. Был какой-то патч для cgroups, который как раз ограничивал кол-во форков, но его надо допиливать под текущие ядра, мне предлагали это сделать под wks ядра, но у меня нет времени и желания этим заниматься. https://lists.unsafe.ru/pipermail/kernels/2013-September/000382.html > > >> А ограничение по MaxClientsVhost сразу возвращает 503 при достижении > >> предела подключений. Что вовсе не желательно, потому > >> что для клиента выглядит как то, что сайт работает быстро, но иногда > >> вместо страницы — ошибка. > >> > >> Может быть есть всем известное решение, которое я не знаю? > >> > >> Другой вариант — это научить nginx ошибку 503 не передавать клиенту, > >> а > >> ждать и пытаться получить от бэкенда более корректный ответ. > > в этом случае nginx должен что-то ответить клиенту вместо 503 > > (поскольку > > "ждать" он не умеет), что тоже не есть гуд. > Ну умеет же nginx proxy_next_upstream, и ждать он может, если ему не > отвечать (при достижении ограничения через MaxClients). > > Я для себя пока сделал вывод, что либо MaxClientsVHost должен уметь > переводить запрос в очередь, как это делается при достижении MaxClients, > либо nginx должен уметь ждать и делать повторы. Он умеет это при > нескольких upstream (там есть и timeout и количество попыток и код > ошибки 503 понимает). > Видимо, это либо платная функциональность (в nginx Plus есть слово > queue), либо достижима через расширение. у nginx есть proxy_limit_rate и встроенный perl, через который можно сделать обработку 503 и таймаутов. _limit_rate поможет не отдавать данные быстро, что позволит не понижать время ответа. -- WBR et al. ___ Sysadmins mailing list Sysadmins@lists.altlinux.org https://lists.altlinux.org/mailman/listinfo/sysadmins
Re: [Sysadmins] Ограничение количества клиентов на хост для Apache ITK
Hi Vitaly! On 10/29/15, at 11:46:00 PM you wrote: > Задача следующая: нужно ограничить количество процессов Apache, которые > запускаются для каждого > пользователя (ITK позволяет разных пользователей, под которыми > запускается процесс Apache), а ещё лучше — > для каждого виртуального хоста. > > Базовая настройка к примеру такая: > > <-->StartServers 1 > <-->MinSpareServers 4 > <-->MaxSpareServers 20 > <-->MaxClients20 > <-->MaxRequestsPerChild 15000 > > Но MaxClients задаёт ограничение на количество процессов, общее для > всех пользователей и хостов. > > Есть параметр MaxClientsVhost, который можно указывать в конфиге сайта. > Но между ними большое отличие в поведении: > При превышении MaxClients Apache просто не реагирует на коннекты к > нему, таким образом накапливается очередь подключений, > и пользователи при перегрузке испытывают замедление реакции сайта. А цель какая? Ограничить кол-во подключений или кол-во процессов? Если подключения, то да, limit_req в nginx для каждого vhost'а, если процессы, то крутить cgroups. > > А ограничение по MaxClientsVhost сразу возвращает 503 при достижении > предела подключений. Что вовсе не желательно, потому > что для клиента выглядит как то, что сайт работает быстро, но иногда > вместо страницы — ошибка. > > Может быть есть всем известное решение, которое я не знаю? > > Другой вариант — это научить nginx ошибку 503 не передавать клиенту, а > ждать и пытаться получить от бэкенда более корректный ответ. в этом случае nginx должен что-то ответить клиенту вместо 503 (поскольку "ждать" он не умеет), что тоже не есть гуд. -- WBR et al. ___ Sysadmins mailing list Sysadmins@lists.altlinux.org https://lists.altlinux.org/mailman/listinfo/sysadmins
Re: [Sysadmins] nginx and modsecurity
Hi Andriy! On 06/11/15, at 09:58:48 AM you wrote: Странно, что разроботичики nginx оносят его к beta 2015-06-11 9:58 GMT+03:00 Andriy Lutskiv l.and...@gmail.com: http://mailman.nginx.org/pipermail/nginx-ru/2015-August/056587.html -- WBR et al. ___ Sysadmins mailing list Sysadmins@lists.altlinux.org https://lists.altlinux.org/mailman/listinfo/sysadmins
Re: [Sysadmins] Что-то не так с postfix в сизифе
Hi Yury! On 08/10/15, at 01:17:21 PM you wrote: Вот эти пакеты установлены: postfix-mysql-2.11.3-alt1 postfix-dovecot-2.11.3-alt1 postfix-control-1.6.1-alt1 postfix видит mysql, если написать реально существующему юзеру, то он соединяется с mysql и доставляет почту. Сравните вывод postconf/postconf -M в случае p5 и сизифа, где-то должны быть различия. -- WBR et al. ___ Sysadmins mailing list Sysadmins@lists.altlinux.org https://lists.altlinux.org/mailman/listinfo/sysadmins
Re: [Sysadmins] Что-то не так с postfix в сизифе
Hi Yury! On 08/10/15, at 09:16:11 AM you wrote: Всем привет! Имею postfix+dovecot+mysql еще на p5, надо бы все перенести на более актуальную пакетную базу. Установил server-light, обновил до текущего сизифа. Сразу попал на грабли, что постфикс не работает в chroot, такая проблема у многих. Отключил везде chroot в master.cf. Хоть стал запускаться и почту через roundcube и dovecot можно слать внутри домена (может даже доменов) на этом сервере. Однако не работают aliases, у меня они сделаны через: virtual_maps = mysql:/etc/postfix/mysql-virtual.cf пробовал переименовать в virtual_alias_maps = mysql:/etc/postfix/mysql-virtual.cf Все тщетно, даже пробовал включить обычные алиасы alias_maps = hash:/etc/postfix/aliases alias_database = hash:/etc/postfix/aliases сделал adjust,но он их не использует в логах только: Aug 10 09:09:34 test1 postfix/virtual[27581]: E0751100054: to=r...@plck.rw, relay=virtual, delay=0.06, delays=0.03/0.01/0/0.01, dsn=5.1.1, status=bounced (unknown user: r...@plck.rw) Может кто-то сталкивался с чем-то подобным? Похоже чисто альтовская заморочка. А как вы соединяетесь с MySQL? Через host:port или сокет? Если сокет, то он должен быть внутри chroot'а, иначе postfix его не увидит. Кроме этого должен быть установлен дополнительный пакет postfix-mysql чтобы работали maps lookups через mysql. -- WBR et al. ___ Sysadmins mailing list Sysadmins@lists.altlinux.org https://lists.altlinux.org/mailman/listinfo/sysadmins
Re: [Sysadmins] Настройка yabeda
Hi Michael! On 06/09/15, at 02:39:54 PM you wrote: Увидел /etc/yabeda/yabeda.conf, но без доку что-то не совсем все понятно. Я так понимаю она должна слать на почту статистику о сработанных лимитах? Дело нужное, хотелось бы настроить! Да; умеет и жабером стучать, но там надо чинить, что-то около xmpp4r разваливалось. Если у кого есть желание, посмотрите ещё у меня в гите ветки, отличные от master: http://git.altlinux.org/people/mike/packages/?p=yabeda.git А есть ли вообще в ней смысл? Ведь как в vz появились --ram и --swap параметры, счетчики особо не нужны. Т.е. контейнеры можно мониторить как обычные машины. -- WBR et al. ___ Sysadmins mailing list Sysadmins@lists.altlinux.org https://lists.altlinux.org/mailman/listinfo/sysadmins
Re: [Sysadmins] Настройка yabeda
Hi Michael! On 06/09/15, at 06:26:55 PM you wrote: On Tue, Jun 09, 2015 at 03:18:15PM +0100, Konstantin Lepikhov wrote: А есть ли вообще в ней смысл? Ведь как в vz появились --ram и --swap параметры, счетчики особо не нужны. Т.е. контейнеры можно мониторить как обычные машины. Если что-то резко утекло в промежутке между проверками, для внешнего по отношению к HN мониторинга такой VE может стать неотзывчивым (а внутренний стоит колом). no data от контейнера ставить critical, не? -- WBR et al. ___ Sysadmins mailing list Sysadmins@lists.altlinux.org https://lists.altlinux.org/mailman/listinfo/sysadmins
Re: [Sysadmins] Незапускается libvirtd
Hi! On 05/14/15, at 01:30:21 PM you wrote: Привет всем! Система установлена из стартер китс # uname -r 2.6.32-ovz-el-alt130 Система обновлена до t7 Не уверен, что kvm вообще работает в OpenVZ ядрах. Расскажите, зачем вам такая конфигурация? -- WBR et al. ___ Sysadmins mailing list Sysadmins@lists.altlinux.org https://lists.altlinux.org/mailman/listinfo/sysadmins
Re: [Sysadmins] Незапускается libvirtd
Hi! On 05/14/15, at 11:57:39 AM you wrote: On 14.05.2015 11:24, Konstantin Lepikhov wrote: Hi! On 05/14/15, at 01:30:21 PM you wrote: Привет всем! Система установлена из стартер китс # uname -r 2.6.32-ovz-el-alt130 Система обновлена до t7 Не уверен, что kvm вообще работает в OpenVZ ядрах. Расскажите, зачем вам такая конфигурация? KVM прерасно работает в OpenVZ ядрах. У нас практически все хардноды с такой конфигурацией (KVM + OpenVZ), t7 или p7. Интересно, буду знать. А в ALTLinux kvm модули это просто что-то запакованное отдельно от ядра, но из того же ядра, или они собираются из разных исходников? Просто если это el ядра, то там много патчей и бэкпортов от RH которых нет в апстриме. -- WBR et al. ___ Sysadmins mailing list Sysadmins@lists.altlinux.org https://lists.altlinux.org/mailman/listinfo/sysadmins
Re: [Sysadmins] I: p7 starterkits (20150312)
Hi Michael! On 03/12/15, at 06:23:21 PM you wrote: Здравствуйте. Доступен весенний плановый выпуск стартовых наборов: http://nightly.altlinux.org/p7/release/ http://altlinux.org/starterkits Изменения с зимы (тж. http://nightly.altlinux.org/p7/ChangeLog): - ядра: 3.14.35 и 3.19.1; - обновлены icewm до 1.3.8, lxqt до 0.8.0, wmaker до 0.95.6; - расширен состав вариантов gnome3, lxqt, *tde, xfce; - в icewm добавлены screen для X -- xpra и к нему winswitch; - приложены дальнейшие усилия по шрифтам. Похоже, удалось порешить проблему с waiting for /dev/disk/ ... :) Сборка и публикация прошли штатно, также доступен торрент: http://torrent.altlinux.ru/gettorrent.php?info_hash=699de10d01c172c66058d94101feb17a3413c04e PS: есть экспериментальная возможность сетевой загрузки комплекта: http://forum.altlinux.org/index.php/topic,33970.0.html PPS: на server-ovz после установки рекомендуется установить ядро ovz-el из sisyphus вручную -- бэкпорт пока не получается сделать, а оно содержит важные исправления. Там уже работает luks шифрование для / ? -- WBR et al. ___ Sysadmins mailing list Sysadmins@lists.altlinux.org https://lists.altlinux.org/mailman/listinfo/sysadmins
Re: [Sysadmins] AES-NI
Hi Anton! On 01/08/15, at 09:35:19 PM you wrote: А openssl у нас умеет AES-NI или нет? Что-то по результатам openssl speed -elapsed -evp aes-128-ecb не похоже что бы у нас оно работало, даже после modprobe aesni_intel Каким образом ядерная часть относится к работе userspace? AESNI либо есть, либо нет, библиотека сама это определяет. (вывод с fedora 21) $ grep -m1 -o aes /proc/cpuinfo aes $ openssl speed aes-128-cbc ... OpenSSL 1.0.1j-fips 15 Oct 2014 built on: Thu Oct 16 12:30:25 UTC 2014 options:bn(64,64) md2(int) rc4(16x,int) des(idx,cisc,16,int) aes(partial) idea(int) blowfish(idx) ... The 'numbers' are in 1000s of bytes per second processed. type 16 bytes 64 bytes256 bytes 1024 bytes 8192 bytes aes-128 cbc 118336.07k 125923.07k 117123.93k 120369.49k 137565.53k $ openssl speed -evp aes-128-cbc ... OpenSSL 1.0.1j-fips 15 Oct 2014 built on: Thu Oct 16 12:30:25 UTC 2014 options:bn(64,64) md2(int) rc4(16x,int) des(idx,cisc,16,int) aes(partial) idea(int) blowfish(idx) ... The 'numbers' are in 1000s of bytes per second processed. type 16 bytes 64 bytes256 bytes 1024 bytes 8192 bytes aes-128-cbc 597352.44k 663475.33k 673784.15k 681143.98k 673792.00k Последние команды как раз показывают, что AESNI используется. В вашем случае имеет место копипаст из интернетов с неправильным cipher mode (ecb вместо cbc) -- WBR et al. ___ Sysadmins mailing list Sysadmins@lists.altlinux.org https://lists.altlinux.org/mailman/listinfo/sysadmins
