Death

Кто-нибудь желает потусить?

Кто-нибудь желает потусить со мной в ближайшую субботу-воскресенье (31.07...01.08)?

В культпрограмме следующее. Смотаться на другой конец Нерезиновска (на юго-восток). Позаниматься физкультурой: поднять на этаж некий большой, тяжелый и корявый предмет. Погулять в ближайшем парке. Потом можно пожрать чего-нибудь вкусного и поиграть в настолки (опционально). Как вариант, могу взять ролики.

Если есть желающие, звоните / пишите.

P.S. Ко мне прилагается собака, которую нельзя оставлять одну.

Cat-light

Обновление timezone в Java-машине

Дано.


  1. Тухлая древняя софтина поверх такой же замшелой версии Java, которые лучше не трогать. Иначе всё может развалиться.

  2. В той боянистой Java зашита неверная инфа о часовых поясах, поэтому приложение проставляет неверное время в логах, сообщениях и т.п.

  3. Сама софтина написана криворукими быдлокодерами, поэтому в ней явная настройка timezon-ы руками отсутствует.

Решение.


  1. Идем по ссылке.

  2. Скачиваем оттуда специальный JAR-ник.

  3. Запускаем этот JAR-ник из-под той же версии / бинарника Java-машины, под которой работает "проблемная" софтина.

  4. Перезапускаем само "проблемное" приложение.

  5. ???

  6. Profit!!!

Побочные эффекты.

В результате таких телодвижений время по мнению кривой софтины может как будто бы передвинуться на час назад (например). В результате могут возникнуть весьма забавные и часто непредсказуемые спецэффекты. Используйте данный способ на свой страх и риск.

Cat-dark

Божьи одуванчики

... Есть в Подмосковье один небольшой городок с населением что-то около 30 тысяч человек всего. В советские времена там располагалась лёгкая промышленность. Сейчас, как водится, весь город практически полным составом садится с утра на электричку и едет в Нерезиновск на заработки. Словом, всё как везде.

... Живёт в этом городке одна бабулька, с виду эталонный божий одуванчик. Лет что-то около 70...80 на вид. В прошлом буфетчица какого-то из "почтовых ящиков" (советских НИИ). Сейчас просто праздно шатающаяся ничем не занятая скучающая пенсионерка. Детей то ли нет, то ли разъехались давно кто куда. Периодически к ней в гости приезжает племянник, да и тот ждёт не дождётся, когда любимой тётушке уже наконец карачун настанет, чтобы унаследовать за ней остатки недвижимости.

... И вот чем-то этому одуванчику не угодили автовладельцы. Фиг его знает, чем. В голову к человеку не залезешь. Но выражается это в том, что бабулька ранним утром ходит по окрестностям своего дома и прокалывает всем колёса. Преимущественно задние. Преимущественно "аккуратно" и незаметно. Тонким шилом, сбоку, с внутренней стороны. Так, что спускает не сразу. Я, например, заметил только когда переобувал резину с зимней на летнюю. Шиномонтажники показали мне дырки, пришлось внепланово покупать новые покрышки на два задних колеса.

... Причём, все соседи давно всё знают. Эта мадам сама же всем своим подружкам и хвастается своими "подвигами". Ей уже в квартире и окна били, и замки эпоксидкой заклеивали. Только она всё равно не унимается. Продолжает своё "дело" с настойчивостью, достойной лучшего применения.

... Те, кто в теме, паркуются либо где-нибудь в другом районе, подальше, либо на платной охраняемой стоянке. Те, кто не в теме, со временем просто обнаруживают, что колесо подозрительно часто спускает. Хорошо, если вовремя замечают. А то ведь так и до серьёзной аварии недалеко. Особенно, если в автомобиле датчиков давления / скорости вращения нет.

... И ведь не сделаешь ты с ней ничего, по крайней мере в правовом поле. Ну и что, что все всё знают. Видеозаписей нет, свидетелей нет. Как говорится, "не пойман — не вор". Слово к делу не пришьёшь. Разве что всем автовладельцам объединиться и дежурства устраивать. Ну поймаешь ты её за руку. Ну сдашь полиции. Ну выпишут ей штраф в 5000 рублей за мелкое хулиганство и может быть ответит по гражданскому иску тысяч на семь-десять в качестве компенсации за новые покрышки. Да и всё. Маловероятно, что после этого что-то принципиально изменится.

... Сломать какую-нибудь конечность вредительнице было бы куда эффективнее. По крайней мере, пока лежит в больнице, не сможет ходить колёса колоть. А потом можно снова сломать. Но, видимо, никто не хочет связываться-подставляться. Всё-таки это уже уголовка.

... Вот и коптят небо такие вот "божьи одуванчики". Отравляют жизнь целому району. Причём, свои, отечественного розлива, ещё советские. А вы "Обама", "Обама"...

Cat-light

ОколоITшный дыбр #19

... В одном из прошлых постов я уже рассказывал про заказчиков-дятлов, которые хотят чтобы им всё инсталлировали и запустили в лучшем виде, но при этом всё анально огораживают. Ни тебе доступа в интернет, ни нормальных зеркал дистрибутивов, ни IPSec-тоннеля, попадать на машины SSH-ем через три промежуточных хопа и всё в этом духе.

Теперь они хотят, чтобы внутри их же контура (!) всё бегало исключительно по SSL / TLS. Вот спрашивается, на хуа? Там у них vSphere, у меня есть подозрение, что трафик с одного физического хоста-то никуда не уходит. Но таково требование "безопасников". Ну ладно, предложил им что сгенерирую самоподписанные X509-сертификаты сроком на 50 лет и раскатаю их везде по всем сервисам. Нет, говорят. Хотят чтобы всё было подписанно их собственным PKI-ем. В чём разница, не понимаю. От чего они таким образом пытаются защититься? Ну ладно, начинаю им рассказывать про X509v3 Extended Key Usage и про X509v3 Subject Alternative Name, объясняю какие значения должны быть выставлены в этих полях, чтобы такие сертифкаты нормально зохавали бы всякие Clickhous-ы и Zookeeper-ы. Они не знают как это сделать на их PKI. Ну зашибись...

... Их не то сисадмин, не то "безопасник" не смог openssl-ем сгенерировать самоподписанный сертификат для nginx-а. Просто по собственной невнимательности: создал один файл с закрытым ключом, а nginx-у подсунул другой. Потом долго удивлялся, почему оно не взлетает. Чтобы разобраться, ему потребовалось созвать конф-колл по этому поводу на четверых инженеров и одного PM-а. Я с них просто охреневаю.

... В который раз убеждаюсь, что все эти так называемые "безопасники" занимаются ровно одним делом: постоянно доказывают всем окружающим собственную нужность и незаменимость. Ну и в качестве мелкого бонуса мешают работать всем остальным. На технические навыки у них в голове места уже обычно не остается.

... Кстати, может кто-нибудь знает, как проще всего подцепить в RedHat 7 пакетные репозитории от CentOS 7? Это у другого заказчика-дятла. Приходится туда софт доустанавливать через SSH-тоннель и TinyProxy. Но RedHat, сцуко, подписЬку требует. Я где-то уже раньше так делал. Но где, не могу вспомнить.

... А ещё вопрос к цискарям, если оные меня читают. Где можно взять / стырить последнюю-распоследнюю прошивку для Cisco ISR 2911? Завалялась у меня парочка где-то в шкафу. Выбрасывать жалко. А так, глядишь, может подо что-то и приспособлю.

... Вот не понимаю. "Ростелеком" раскидывает по почтовым ящикам листовки со своей рекламой. Мол, подключайтесь, вкусные тарифы, все дела. А звонишь им — говорят "стояки забиты, подключить не можем". Ну и где логика? На хрена тогда рекламой своей спамить? Чудики.

... Моя суперсучка умудрилась сломать себе хвост. Пруфпик ниже. Истеричная, засранка. Подумала, что её дома одну оставили. А когда я проснулся, от радости долбанула со всей дури этим самым хвостом о стеллаж.

Всем вменяемых заказчиков и целых хвостов.

Cat-light

ITILное

... Исключительно на основании собственных наблюдений и мироощущений могу вынести сугубо субъективное мнение.

Kayako, ManageEngine ServiceDesk Plus, TargetProcess, Naumen — ракообразное говнище с быдлокодом внутри.

Из всех виденных мной до сих пор ITILей самым вменяемым является JetBrains YouTrack.

От нищеты, если денег мало / нет, а трекер очень хочется, можно попользовать FlySpray.

Как-то так. Мнение автора этого поста не обязано совпадать с чьим-либо ещё мнением и не претендует на объективность.

Cat-light

MAC-адрес RETH-интерфейса

... Чё-то меня дёрнуло посмотреть какой MAC-адрес назначен RETH (Redundancy) интерфейсу на Juniper SRX. Это такой "виртуальный" интерфейс, который работает поверх Ethernet-а и "мигрирует" между нодами кластера в зависимости от того которая из них в данный момент активна. Применяется для типа отказоустойчивых схем.

Выяснилось, что проще всего выяснить его вот так:

show interfaces reth0 | match Hardware

И в процессе наткнулся на статью. В которой помимо прочего английским по белому написано.

Note that due to the above standard virtual MAC address convention, it is possible to have a MAC address conflict if more than one JSRP cluster exists on the same layer 2 environment. Therefore it is advised that if there is more than one J-Series or SRX JSRP cluster in your environment, then use a different cluster ID for each cluster to avoid conflicts.

То есть ты такой бодрый, арендовал шкаф в датацентре, вкрутил туда кластер Juniper-ов, воткнулся в провайдера. А где-нибудь в соседней стойке внезапно оказался точно такой же кластер с таким же Cluster ID (обычно его оставляют дефолтным), подключенный к тому же провайдеру. Ку-ку, у обоих начнётся веселуха. Если провайдер не даёт каждому отдельный VLAN, конечно, но они сильно разные бывают. Хорошее железо, и подходы к кластеризации у него интересные. А самый прикол, если у провайдера аналогичный Juniper окажется. Но они по идее должны про такие грабли знать изначально.

... Обновил у себя на домашнем компе VirtualBox. Теперь форочки не грузятся ни в виртуальном окружении, ни в реальном. Даже в safe mode не хотят. Говорят, "VBoxMouse.sys, DRIVER IRQL NOT LESS OR EQUAL". Не то чтобы смертельно, но неприятно. Даже с ходу не понимаю как можно починить.

Всем работающих кластеров и запускающихся форточек.

Cat-light

Сцуко-Сбебранк

... Понадобилось мне тут сделать ещё один шаблон в Сбербанк-Онлайн "сверхлимитным". Есть у них такая фича. Ты создаешь шаблон на платёж, звонишь им в кал-центр, просишь его сделать "сверхлимитным". После этого любые платежи по этому шаблону больше не требуют подтверждения SMSкой / Push-ом и т.п. Другой синоним бизнес-операции: "подтвердить шаблон". Не платёж, а именно шаблон. И сделать это можно только голосом, только через кал-центр, и только через мясную маринку.

... Во-первых, теперь на запросы у них отвечает робо-баба, которая ничего такого делать не умеет. Продраться через неё до оператора у меня заняло 10 минут.

... С маринкой первой линии состоялся презабавнейший диалог. Сначала она очень долго не понимала чего я от неё вообще хочу. Утверждала, что это невозможно. Тогда я попросил её открыть / посмотреть список моих шаблонов. И спрашиваю:

— Вот видите, один шаблон там выделяется из списка?
— Вижу.
— Чем он выделяется?
— Тут написано, что он сверхлимитный.
— Правильно. Вот сделайте мне пожалуйста ещё один такой же.
— Не могу, вы это должны сделать сами.

Бодался я с ней минут пять. В ответ мне приводились следующие аргументы.


  • Это невозможно.

  • У нас нет такого функционала.

  • Вы это должны сделать сами.

  • Я могу только подтвердить ошибочную / застрявшую операцию.

Просил переключить меня на кого-нибудь, кто знает как это делается. Мне опять втирают, что это якобы невозможно. В конце концов я спросил, каким же образом по её мнению мне удалось сделать сверхлимитным предыдущий шаблон. После этого меня таки переключили на саппортера второй линии. Который мне всё оформил достаточно быстро и в лучшем виде. Но объяснить, почему меня так долго пытался отфутболить предыдущий техпод, не смог.

... В итоге, на выполнение простейшей операции вместе со всеми ожиданиями у меня ушло 25 минут, которые я находился на телефонной линии. Ну ваще зашибись. Годы идут, ничего не меняется: машин лёрнинг, бигдата, эджайл, "где карту открывали, туда и идите".

Мне по-прежнему интересно, кто все эти люди, которые добровольно выбирают Сбебранк в качестве своей основной / единственной кредитной организации.

Cat-angry

Околоковидное

Наполеон спросил своего маршала после одного из сражений, почему не стреляли пушки. Маршал ответил, что на то было десять причин. Среди них была и такая - не было пороха. Когда император услышал про порох, он удивленно спросил, зачем ему знать про все остальные.

... Тут вышла очередная новость о том, что Роструд якобы призвал отстранять от работы невакцинировавшихся.

Не знаю как вам новость. По мне так однозначно: они уху ели. Чем прививаться-то? Формально в России зарегистрированы три отечественные вакцины: Эпивак, чумаковская и Спутник.

Эпивак это скорее плацебо, чем вакцина. Но и её нет нигде в наличии. Закончилась.

С чумаковской вообще смешно. Тот, у кого есть технологические мощности, не сертифицирован для работы со столь опасным вирусом в живом виде. А тот, кто сертифицирован, не имеет технологических мощностей для развеса-разлива и расфасовки. Да и биореакторов у них чё-то маловато, чтобы сразу много этого вируса вырастить. В результате теоретическая максимальная мощность выходит в районе 2 млн. доз в год (!). Хватит в лучшем случае на пару не самых крупных городов. Про Нерезиновск я и вовсе молчу. Те 800 тысяч доз, что завезли, расхватали в первые же полдня.

Остается только "Спутник". Я не спорю, что он неплох, и вообще до фига эффективен. И мне даже пофиг на его возможные побочки. Но пусть мне хоть кто-нибудь ответит на два простых вопроса.


  1. Сколько именно штук моих нервных клеток угондошит аденовирус, запущенный внутрь организма в обход слизистых оболочек?

  2. Как это отразится на мне через 10-20-30-40 лет, если доживу?

Я вот ни разу не боюсь отправиться в лучший мир. Мне здесь уже порядком надоело. А вот съехать с катушек — многократно неприятнее, нежели просто тихо склеить ласты.

При этом, я ни разу не антипрививочник. Могу показать свой сертификат. За последние пять лет там есть все вакцины, которые должны быть поставлены по национальному календарю, плюс корь и энцефалит. Но вот Спутником я ширяться принципиально не хочу. Чумаковской — пожалуйста. Но её нет и в обозримом будущем не предвидится.

Так что буду ждать когда меня отстранят от работы. Может, хоть отдохну в кои-то веки...

Wolfy

Немного IPSec-боли и про рынок труда

... Удалось вызвать на ринг конф-колл сетевика одного из крупных операторов связи. В числе прочего я ему задал вопрос, хули они все так яростно сопротивляются широким криптодоменам в IPSec-политиках второй фазы типа "192.168.0.0/16" или там вообще "0.0.0.0/0". Ответ меня несколько шокировал. Видите ли, "им так проще диагностировать". Ну конечно, заводить полноценные снифферы им лениво. Поэтому они просто глядят на счетчики трафика по интерфейсу / политике и смотрят "есть трафик — нет трафика". Ну зашибись! Второй аргумент: они перекладывают функции фильтрации (firewall) на security associations. То бишь, если политики такой нет, то и враг к нам не пройдёт. Искренне верят, что такой подход как-то повышает безопасность.

Для меня же это сплошная головная боль. По целому ряду причин.


  1. Конфиг Juniper-а распухает до внушительных размеров и становится ни разу не удобочитаемым.

  2. Если какие-то из тоннелей "залипают", то приходится прибивать подвисшие политики второй фазы по одной. То ещё развлечение, когда их штук 20 на одного контрагента.

  3. Когда мониторинг показывает, что какие-то из вражеских хостов периодически пропадают со связи, совершенно непонятно на что грешить: то ли на сам тоннель, то ли на  какие-то обстоятельства по ту сторону тоннеля.

  4. В Juniper-е есть баг, который мешает нормальной работе IKEv2 в случае наличия более одного криптодомена. Часто приходится отказываться от IKEv2 только по этой причине.

  5. Нужно подвешивать на мониторинг каждую такую политику по отдельности. Доставляет.

  6. Какие-либо изменения приходится согласовывать с кучей разных людей и проводить их одновременно с двух сторон.

  7. Циска по умолчанию гасит тоннель / политику если в течение 30 минут через неё не прошло никакого трафика. Соответственно, логи просто пестрят сообщениями типа "tunnel up, tunnel down".

В общем, если хотите понять насколько вменяемый сетевой инженегр — попросите его построить IPSec-тоннель и посмотрите как он это будет делать. Если начнет прописывать в криптодомен отдельные хосты — лучше гоните взашей сразу.

... Ровно два года тому назад я мучительно пытался найти себе работу. На рынке труда был какой-то полнейший голяк. Дошло до того, что после нескольких собеседований некоторым козлам удалось сбить мою самооценку до такой степени, что я согласился на трудоустройство в прасти хоспади одну из дочек Сбера на какие-то совсем смешные деньги.

Смотрю сейчас и не понимаю. Технарей не хватает. Тех что есть, расхватывают как горячие пирожки. Мне постоянно пишут какие-то хеарщицы в LinkedIn, приглашают на работу. Там же, в LinkedIn-е куча вакансий на сисадминские должности. Даже объявление от той же "Бадушки" (Badoo) уже очень давно висит. Хотя кто-кто, а они со своими понтами всегда могли себе позволить устраивать конкурсы из серии "20 человек на место". Да и наша организация уже полгода минимум не может найти ещё одного сисадмина нам в команду (мне в помощники). Тупо никого нет.

Я вот не понимаю: а таки что случилось? Животворящая ковидла так действует? Все переключились на удаленную работу на американского дядю? Последствия демографической ямы 90-х? Админы поумирали? Свалили за бугор? Экономика типа "восстановилась", бизнес расцвёл? В чём принципиальная разница между этим годом и позапрошлым? Есть идеи?

Ну ладно Javaписьцы, их всегда не хватало. Но линуксоиды-то?