RSS-канал «Клуб Сисадминов»
Клуб Сисадминов - LiveJournal.com
Доступ к архиву новостей RSS-канала возможен только после подписки.
Как подписчик, вы получите в своё распоряжение бесплатный веб-агрегатор новостей доступный с любого компьютера в котором сможете просматривать и группировать каналы на свой вкус. А, так же, указывать какие из каналов вы захотите читать на вебе, а какие получать по электронной почте.
Подписаться на другой RSS-канал, зная только его адрес или адрес сайта.
Код формы подписки на этот канал для вашего сайта:
Последние новости
кибербезопасТность
2023-10-09 18:16 nicka_startcev
а вот любопытно. если мне вдруг стало известно что с домена Ъ регулярно идут фишинговые атаки, только фишинговые атаки, ничё полезного оттуда не идёт, то
1. куда жаловаться, шоб им интересно жить стало
2. можно ли как-то в (обычном корпоративном своём) evolution что-то настроить так, чтоб такие фишинговые письма и/или письма, содержащие ссылки в недра этого домена автоматом редиректились с камментом-темплейтом на условный bdsm@ib.example.com ? подскажите ключевые слова.
комп сам собой просыпается и что-то делает
2023-06-15 23:50 nicka_startcev
я отстал от жизни и (пока что) один из вменённых мне компов сам-собой просыпается, сам что-то делает, после чего или засыпает или не засыпает.
собственно вопрос, а через какое место он это делает, какие есть технологии для этого, итп? как проверить-посмотреть все эти поводы? ну.. ээ.. хтелось бы полный набор технологий и методов.
как-то так. может быть есть какой-то мануал про всякие там технологии и регистры, а рядом что-то типа сисинтернал тулз, которые покажут что-где-откуда-почему?
upd: просыпание-то происходит аппаратно, от каких-то внутренних причин, а не по внешним событиям.
вопрос именно про внутренние причины. (комп=ноутбук. мыши нет, крышка закрыта, ethernet не воткнут, вифи не настроен, комп полностью выключен а не в спячке) вопрос именно про аппаратные причины и методы, ну и про их анализ и настройку.
Миграция с openvz на ...
2023-05-11 23:01 gr1c2a
Добрый день уважаемые участники сообщества!
Имеется несколько серверов на centos 6 + openvz и из-за ограничений ядра (2.7) не могу поставить Centos 8 , debian 10 etc в качестве гостевых систем
1 ) Имеется ли решение для обновляения софта (в том числе ядра) для последующего апгрейда без переустановки текущей конфигурации с openvz на что-то с ядром поновее
2) Мне очень нравится KVM виртуализация но хорошей веб панели для неё не нашел еще (приходится использовать Vmmanager-KVM 5 ). Какую панель посоветуете ?
Postfix и множественные значения атрибута mail в LDAP
2023-04-11 10:50 guest_o
Коллеги, кто шарит в увязывании Postfix с LDAP, подскажите, пожалуйста.
Есть карта LDAP для postfix-параметра smtpd_sender_login_maps:
server_host = {{ .Env.LDAP_URIS }}
version = 3
bind = yes
start_tls = no
bind_dn = {{ .Env.LDAP_BIND_DN }}
bind_pw = {{ .Env.LDAP_BIND_PASS }}
search_base = {{ .Env.LDAP_SEARCH_BASE }}
scope = sub
query_filter = (&(uid=%s)(objectClass=person)(memberof=cn=mail-users,cn=groups,cn=accounts,dc=idm,dc=example,dc=ru)(mail=*@mail-domain.com))
result_attribute = mail
debuglevel = 0
У некоего пользователя username есть два атрибута mail в LDAP:
- mail: username@example.ru
- mail: username@mail-domain.com
При попытке аутентифицироваться с логином вида "username" (т. е. без домена) для отправки почты с ящика username@mail-domain.com постфикс возвращает ошибку:
postfix/submission/smtpd[316]: NOQUEUE: reject: RCPT from unknown[192.168.151.190]: 553 5.7.1 <username@mail-domain.com>: Sender address rejected: not owned by user username; from=<username@mail-domain.com> to=<other-user@mail-domain.com> proto=ESMTP helo=<[192.168.151.190]>
Можно ли как-то отфильтровать result_atribute по почтовому домену? Или как-то по-другому объяснить постфиксу, что пользователь username может отправлять почту с любого ящика, который у пользователя в атрибуте mail прописан (как я выше говорил, схема позволяет иметь для пользователя несколько атрибутов mail с разными ящиками.
ntp: требуется переводчик
2023-03-16 06:11 dennis_chikin
делаем ntpq -c "rv 7821"
получаем:
associd=7821 status=9014 conf, reach, sel_reject, 1 event, reachable,
srcadr={censored}, srcport=123, dstadr={censored},
dstport=123, leap=00, stratum=2, precision=-6, rootdelay=0.000,
rootdisp=10768.875, refid={censored},
reftime=e7bc0266.f17c9653 Wed, Mar 15 2023 13:37:58.943,
rec=e7bd00a2.27913e3b Thu, Mar 16 2023 7:42:42.154, reach=377,
unreach=0, hmode=3, pmode=4, hpoll=6, ppoll=6, headway=0,
flash=400 peer_dist, keyid=0, offset=+106.073, delay=24.652,
dispersion=16.497, jitter=10.939, xleave=0.043,
filtdelay= 24.65 25.05 24.82 24.71 24.72 24.93 24.65 24.77,
filtoffset= +106.07 +114.55 +107.74 +119.68 +114.32 +110.57 +124.18 +118.79,
filtdisp= 15.63 16.59 17.55 18.54 19.51 20.50 21.51 22.48
Вот как доступно объяснить людям, в чем они не правы?
Требуют синхронизироваться именно с вот этим, и всё тут. "У нас все нормально работает!"
awk over ssh
2022-11-23 10:17 ext_4690542
что забыл?
upd
dhcp-option=249 and ikev2
2022-11-07 12:26 ext_4690542
Парни, а винда шлет при подключении по ikev2 запросы ответом на которые можно задать статик роутинг через
dhcp-option=249
А то я в затруднении, у кого то вроде даже работает. Но вот тут пишут что только руками поднимать роуты
https://docs.strongswan.org/docs/5.9/howtos/forwarding.html#Split-Tunneling-with-IKEv2
Лимит(?) bandwidth на репликацию в Hyper-V - можно ли как-то изменить?
2022-10-05 18:06 de_nada
Алоха, компаньерос! :)
Дано:
- гитлер-в 2019Std (гуёвый) на нескольких хостах
- для VMок включена репликация "на соседа"
- для репликации используется линк 10Gbit/s (прямой, p2p, без свитча)
При первичной репликации - когда передаётся вся виртуалка - счётчики хостов показывают 1,1-1,2Gbit/s в канале репликации.
Притом что Live Migration той же виртуалки между теми же хостами по тому же интерфейсу проходит со скоростью ~7Gbit/s (на хостах дисковые группы резкие, как понос, в сустейнед-режиме пишут 600-700MB/s и не кашляют.
Крутил-вертел настройки карт 10G - врубал джамбо-фреймы (классика!), вырубал по советам разных мануалов и форумов все фичи на картах (от оффлоадов чексумм до VMQ и Receive Segment Coalescing) - пофиг! гигабит и всё тут.
Думал, какое-то глобальное "имманентное" свойство самого механизма репликации... пока не запустил сразу 6 первичных репликаций - и получил загрузку линка где-то в гигабит 5-5,5.
То есть не наблюдается как такового ограничения самого механизма репликации на гипервизоре, а вот как насчёт ограничения на скорость реплицирования одной реплики?
Перерыл пол-инета, перелопатил гору манов - глухо. MS как всегда мутно и расплывчиво ходит кругами вокруг да около, на форумах и в статьях коллег упоминаются лишь ограничения "сверху" (шейпинг-троттлинг), в основном на миграцию или иногда глухо упоминают и репликацию тоже.
Оперируют командлетами PS про политики (NetQoSPolicy) или SMBBandwidthLimit - но у меня по дефолту не выставлены ни те, ни другие restrictions. :(
Не хочется думать, что MS это захардкодила где-то глубоко под капотом.
Понятно, что про нас, сирых админов, порадели тамошние спецы - чтоб реплика и/или миграция не "задушили" напрочь "клиентский" или "управляющий" линки.
Но коль я могу выделяю под это дело отдельные провода, то хотелось бы уметь убирать такие ограничения, раз уж в этом месте "выстрел в ногу" самому себе не грозит.
Идеи, куда копать, будут, коллеги?
С уважением.
*** crosspost to ru_sysadmins ***
спорадический flush iptables
2022-10-04 15:05 ext_4690542
дано
ubuntu 20.04
openvpn + скрипты
up.sh формирует именной ipset со списком ip куда может ходить данный логин и делает две записи вида
down.sh соответсвенно это удаляет
iptables кроме этого содержит примерно 250 строк в FORWARD с перечислением ресурсов доступных безусловно.
root@openvpn:~# iptables -L -n -v
ipset при этом не сбрасываются
никаких записей в логах, сопровождающих данное событие, я не нашел
cpu и mem вагон
было ли у кого-нибудь подобное? Куда стоит копать?
календарь, линух, командная строка
2022-06-05 10:21 nicka_startcev
любопытно, а есть что-то такое, чтоб можно было более-менее человекочитаемо задать старт (например 30 мая 2022 года, полдень) и НЕ задавая текущее время получить текст типа "прошло 4 дня и 22 часа"?
ага. часовой пояс текущий. ага, баш-скрипт тоже годится. ага, дни-часы достаточно. конвертировать в месяцы-годы не обязательно. минуты-секунды надо округлить/отрезать/опустить.
как заставить заработать DLNA?
2022-05-09 21:26 rahoolio
1. не смог поставить miniDLNA - скачал и скомпилировал ffmpeg-snapshot.tar.bz2, пытаюсь сделать configure у minidlna-1.3.0 - вылетает с ошибкой:
configure: error: Could not find libavformat - part of ffmpeg (по факту он и другие из этой же библиотеки лежат все в /usr/local/include/)
что это и как бороться? мне нужен самый примитивный DLNA-сервер. просто чтобы в домашнюю сеть раздавал фильмы из одной директории.
2. ладно, вместо него поставил тяжеловесного https://www.universalmediaserver.com/
он отлично работает, но почему-то при запуске выдает
INFO 20:43:26.998 [pool-4-thread-1] Renderer Windows Media Player found on address: 192.168.1.25
это IP моего нотбука, где виндовс7. сканирую его:
Nmap scan report for 192.168.1.25
Host is up (0.00039s latency).
Not shown: 991 filtered ports
PORT STATE SERVICE
135/tcp open msrpc
139/tcp open netbios-ssn
554/tcp open rtsp
2869/tcp open icslap
5357/tcp open wsdapi
9998/tcp open distinct32
9999/tcp open abyss
10243/tcp open unknown
49160/tcp open unknown
MAC Address: 30:F9:ED:E8:E2:D8 (Sony)
вопросы:
2.1. нафига ему знать, что у меня "Renderer Windows Media Player" стоит на нотбуке?
2.2. зачем он ему может понадобиться?
2.3. как он может (исходя из показанных открытых портов) его использовать?
2.4. и может ли?
2.5. зачем вообще винда афиширует подобные сервисы в локальную сеть? разве все эти кодеки - это не дело каждого индивидуального компьютера?
PS. тагов ни "DLNA" ни "video" не нашел.
apache proxy приоритет
2022-04-23 14:38 ext_422262
Парни, есть два условных конфига в контексте одного вирт.хоста
тем не менее
[root@test ~]# curl -u test:test -X POST -k https://172.17.2.1/testhead
[root@test ~]# curl -u test:test -X PUT -k https://172.17.2.1/testhead
хотя если исходить из доки
https://httpd.apache.org/docs/current/sections.html#merging
то директива без регекса должна иметь более высокий приоритет.
видеокарта
2022-03-16 23:37 nicka_startcev
есть старый комп, дебиан. коре2дуо, мать что-то типа P5ld-x/gbl. видео - что-то типа geforce 8500 gt. предкам для ютуба хватало с запасом.
в какой-то момент понадобилось там обновить линух с 32бит до 64 бит (захотели факторио с атомным реактором) и развездлись бездны ада: эта карта не поддерживается новыми драйверами нвидии, а старые драйвера требуют старое ядро, старое либси и далее по зависимостям.
ноувеау вместо раб.стола там почему-то выдает серый экран, итого надо ядро-либси и всё прочее искать древнее. или заменять видеокарту. старой видеокарты по скорости хватает с запасом, так что я немного негодую.
собственно вопрос, где и примерно почем в спб можно купить (пассивную) видеокарту от амд или соответствующую свежим драйверам от нвидии подешевле? напомню, что 8500gt хватало, поблема только в мудачизме вендора.
амд предпочтительнее.
sonarqube and Dependency-Check
2022-01-05 16:38 ext_422262
гайзы, а кто-нибудь скрещивал sonarqube и Dependency-Check? Dependency-Check плагин для грэдла генерит N отчетов. Условно имеем
# cat settings.gradle
rootProject.name = 'back-web-api'
include 'back-web-api-service'
include 'model-mapper'
и результирующие отчеты
./back-web-api-service/build/reports/dependency-check-report.html
./model-mapper/build/reports/dependency-check-report.html
./build/reports/dependency-check-report.html
я полагал последний файл содержит кумулятивный отчет, включающий все что выше. Но это не так. Он пустой. При этом для сонара как я понимаю можно указать только один
sonar.dependencyCheck.htmlReportPath=${WORKSPACE}/dependency-check-report.html
upd.
Разруливается через
./gradlew --init-script dependencyCheck.gradle dependencyCheckAnalyze
./gradlew --init-script dependencyCheck.gradle dependencyCheckAggregate
./gradlew --init-script sonarqube.gradle -Dsonar.host.url=${SONAR_HOST_URL} -Dsonar.project.name=${CI_PROJECT_NAME} -Dsonar.login=${GLOBAL_SONAR_TOKEN} sonarqube -Dsonar.dependencyCheck.htmlReportPath=./build/reports/dependency-check-report.html -Dsonar.dependencyCheck.summarize=true
можно и объединить в
./gradlew --init-script dependencyCheck.gradle dependencyCheckAnalyze dependencyCheckAggregate
но зависает на последнем этапе
и самая большая бяда, что отчет ни в какую не попадает к итоговый дайджест сонара по vulnerability
nat in 12.3 under hyper-v
2021-12-13 12:34 ext_422262
дано
freebsd 12.3, запущенная под hyper-v. До апгрейда с 12.2 все летало. Сейчас трафик из локалки через nat еле ползет, а через squid летает. Это для kernel nat. Если юзать natd то любой траф падает до 8k/s.
то есть
машина в лоаклке тянет
https://mirror.yandex.ru/centos/7/isos/x86_64/CentOS-7-x86_64-NetInstall-2009.iso
через nat
25,6 КБ/с – 256 КБ из 575 МБ, Осталось 6 часо
через squid
1 072 КБ/с – 8,4 МБ из 575 МБ, Осталось 9 мин.
ps. обновление до 13.0 решило проблему
Debian, перевёрнутый курсор мыши. Буквально.
2021-12-02 09:29 bochafreebsd
Ну, тут словами не описать, лучше, вот, видео:
https://www.youtube.com/watch?v=d9_s9r6jNpA
iio-sensor-proxy я, конечно, удалил, но он отвечает не за это. Он может перевернуть экран по гео-датчику, если его кто-то слушает, но отдельно перевернуть мышь от экрана он не способен. И, насколько я нагуглил, ничто не способно.
swanctl and radius
2021-12-01 10:08 ext_422262
Гайзы, вписал по доке на сервере
pools=radius
но при подключении как клиент получаю 255.255.255.254
installing new virtual IP 255.255.255.254
received ESP_TFC_PADDING_NOT_SUPPORTED, not using ESPv3 TFC padding
selected proposal: ESP:AES_CBC_192/HMAC_SHA2_256_128/NO_EXT_SEQ
CHILD_SA test{71846} established with SPIs c1c175f4_i c03b7432_o and TS 255.255.255.254/32 === 172.31.255.2/32
это на стороне сервера сломался радиус (он мне недоступен и под винюками) или в strongswan что-то сломано? Заметили это после апгрейда с fbsd11 на fbsd12 и соответствующего апгрейда strongswan. Кроме того заметил что strongswan установленый через pkg не содержит поддержки radius, а ранее вроде было... И да, auth через radius работает.
ps. отбой. Оказалось по стороны радиуса ip выдаются per user, те нет никакого общего пула. И поскольку для моего тестового юзера ip не был настроен я такое и получал.
DST Root CA X3
2021-10-05 11:33 ext_422262
удаленной стороне, выступающей в качестве клиента, не нравится цепочка
Certificate chain
0 s:/CN=mail.fcirkutsk.ru
i:/C=US/O=Let's Encrypt/CN=R3
1 s:/C=US/O=Let's Encrypt/CN=R3
i:/C=US/O=Internet Security Research Group/CN=ISRG Root X1
2 s:/C=US/O=Internet Security Research Group/CN=ISRG Root X1
i:/O=Digital Signature Trust Co./CN=DST Root CA X3
вернее наличие в ней DST Root CA X3
https://docs.certifytheweb.com/docs/kb/kb-202109-letsencrypt/
серт удалил и выпустил по новой (ессно все средствами certbot), но CA X3 в ней остался. Ручная правка проблему решила.
Но это костыль. Как быть?
nginx auth by cert
2021-10-04 17:30 ext_422262
берем мануал
https://docs.nginx.com/nginx/admin-guide/security-controls/securing-http-traffic-upstream/
и строгаем песочницу
server {
listen *:443 ssl;
listen *:1443 ssl;
server_name test;
access_log /var/log/nginx/test_access.log;
error_log /var/log/nginx/test_error.log;
ssl_certificate /etc/nginx/ssl/test.crt;
ssl_certificate_key /etc/nginx/ssl/test.key;
ssl_client_certificate /etc/nginx/ssl/ca.crt;
ssl_verify_client on;
root /var/www;
location / {
}
}
server {
listen *:443 ssl;
server_name proxy;
access_log /var/log/nginx/proxy_access.log;
error_log /var/log/nginx/proxy_error.log ;
ssl_certificate /etc/nginx/ssl/proxy.crt;
ssl_certificate_key /etc/nginx/ssl/proxy.key;
root /var/www1;
location / {
}
location /test {
rewrite ^/test(.*)$ $1 break;
proxy_pass https://test;
proxy_set_header Host test;
proxy_ssl_certificate /etc/nginx/ssl/client.crt;
proxy_ssl_certificate_key /etc/nginx/ssl/client.key;
proxy_ssl_trusted_certificate /etc/nginx/ssl/ca.crt;
proxy_ssl_verify off;
}
location /test2 {
rewrite ^/test2(.*)$ $1 break;
proxy_pass https://test:1443;
proxy_set_header Host test;
proxy_ssl_certificate /etc/nginx/ssl/client.crt;
proxy_ssl_certificate_key /etc/nginx/ssl/client.key;
proxy_ssl_trusted_certificate /etc/nginx/ssl/ca.crt;
proxy_ssl_verify off;
}
}
тестируем
[root@localhost conf.d]# curl --cacer /etc/nginx/ssl/ca.crt --key /etc/nginx/ssl/client.key --cert /etc/nginx/ssl/client.crt --resolve test:443:127.0.0.1 https://test
Mon Oct 4 10:37:00 UTC 2021
работает
[root@localhost conf.d]# curl --cacer /etc/nginx/ssl/ca.crt --key /etc/nginx/ssl/client.key --cert /etc/nginx/ssl/client.crt --resolve test:1443:127.0.0.1 https://test:1443
Mon Oct 4 10:37:00 UTC 2021
работает
[root@localhost conf.d]# curl --cacer /etc/nginx/ssl/ca.crt --resolve proxy:443:127.0.0.1 https://proxy/test2/
Mon Oct 4 10:37:00 UTC 2021
работает
[root@localhost conf.d]# curl --cacer /etc/nginx/ssl/ca.crt --resolve proxy:443:127.0.0.1 https://proxy/test/
400 Bad Request
не работает. Нема говорит нужного клиентского сертификата... Что я делаю не так?
PS. надо включать
proxy_ssl_server_name on;
HP StorageWorks D2700
2021-08-30 12:58 ext_422262
парни, а к каким контроллерам можно подключать сей девайс? Родная документация ведет на ныне мертвый http://www.hp.com/go/D2000. В том месте где живет эта полка нет серверов с разъемами на raid контроллерах, в которые можно было бы воткнуть родной кабель. Покупать целиком hp серв не хочется, хочется только контроллер.
