?

Log in

No account? Create an account
Cat-light

klink0v


Блохи в свитере деда Сергеича


Entries by category: it

[sticky post]О блоге (самый верхний псто)
Cat-light
klink0v

Hello, alone wonderer!


Win PE 10 и Linux Samba (smbd)
Cat-light
klink0v

Дано. Windows 10 PE (например, Sergei Strelec и иже с ними). Расшаренная папка на Samba-сервер 4 (например, под Debian 10).

Хочется. Подмонтировать (зайти) шару с Win PE на Samba-сервере.

Что мешает. Ошибка 86: форточки ни в какую не хотят принимать заведомо верные логин-пароль от шары.

Причины: из Win PE почему-то выпилены все современные протоколы авторизации. А у Samba-сервера, в свою очередь, по умолчанию выключены все тухлые протоколы авторизации, которые хотят использовать форточки.

Решение (одно из возможных). Добавить в конфиг самбы (smb.conf) строчки в секцию [global]:

Возможно, две последние реально не нужны, но проверять уже лень. Это всё сильно снижает безопасность samba-сервера, так что после проведения экспериментов эти "добавки" в конфиг лучше убрать.

И да. В последнем "Стрельце" какая-то люто неудобная технология подключения сетевых шар. Поэтому проще делать это из командной строки заклинанием

P.S. Лично я всеми этими "Стрельцами" не пользуюсь, предпочитаю расово верный Parted Magic, у которого подобных проблем нет. Пришлось разбираться по просьбе коллеги.


Бессвязного дыбра псто #47
Cat-light
klink0v

... Я явно недооценил кривизну "Наумена". Чтобы увеличить длительность сессии (таймаут) для залогиненного пользователя, нужно запрашивать у разработчиков новый файл с лицензией. Рука-лицо. В общем, мне с ним уже всё ясно. Продолжать, думаю, не имеет смысла.

... Совершенно случайно поучаствовал в акцЫи "кешбек кешбеков". Купил USB-звуковуху в "Ситилинке". "Тинькофф" говорит, что MCC 5732 — это "различные товары". А вот по мнению "Мира" оно попало под "бытовую технику". Я так и не понял сперва, откуда мне внезапно 120 рублей "свалились". Что-ж, будем знать. Вроде как оно до конца года работает. Так-то мне особо ничего не нужно. Но "туда же", кстати, попадает и "ЭТМ".

... Услышал термин "реферальный рекуртинг". То бишь, набор сотрудников по принципу "Кузя, друг Алёнки". Но звучит-то как красиво! Это у нас, значит, не "кумовство", а "реферальный рекрутинг".

... Всучили мне на работе зарплатную золотую карточку "Сбебранка". Не знаю на фига она мне. Сунул в ящик стола, нехай там валяется. Кроме относительно толстого суточного лимита на снятие наличных в банкомате, хоть для чего-то полезного она вообще годится?

... Не прошло и века, тот же "Сбебранк" научился наконец-то генерировать мало-мальски информативные выписки по операциям в личном кабинете. ("Прочее", "Выписки и справки"). Из них, правда, всё равно ни хрена не понятно, если кто-то прислал тебе бабки межбанком, но всё лучше, чем совсем ничего. Прогресс, етить.

... Опять про "Сбер". В одной из своих акцЫй он грозится вернуть 100% стоимости заправки автомобиля бонусами "Спасибо". Смотрю подробное описание сей щедрости. "Одно поощрение на 2000 операций". Всё понятно, идите сами топите ваши урановые ломы во ртути. Сраные лохотронщики.

... Вчера зарелизили Debian 10.2.

... Видел сегодня фуру (контейнеровоз) с номером "6666 регион 88". Блатной, не иначе. Лень снимать мультик с регистратора, можете поверить на слово.

... Грёбаные билетные автоматы РЖД / МТППК. Пытаюсь оформить в нём для мамы-пенсионерки льготный (бесплатный) билет. Выбираю станцию назначения. Жму "льготный". Прикладываем социальную карту. Стоимость билета меняется с "23 рубля" до нуля. Жму кнопку "купить полный билет за 0 рублей". Эта тварь (автомат) требует приложить банковскую карту!!!11 С четвертого раза до меня допёрло, что на самом деле он хочет не банковскую карту, а таки снова социальную. Потому что он пишет на неё билет, при том, что распечатывает его бумажную копию. Ага, и считыватели для социальной карты и банковской у него разные (спрашивается, на хрена, когда "физика" там одинаковая). Короче, мама на электричку не успела, пришлось ждать следующую. Откуда они таких сракоруких быдлокодеров только выкапывают?

... Подумалось, что в век электронных технологий всяким попрошайкам живётся несладко. Стоял один алканавт возле магазина, клянчил мелочь на опохмел. Только где ж ему монеток-то взять, когда везде карточкой расплачиваешься? Срочно даешь банковские терминалы для попрошаек!

... Как же не хочется ехать на работу. Сходите на неё за меня, а?


Помацал Ubiquiti UniFi
Cat-light
klink0v

Не понравилось.

Как всегда, продолжаю решать долбанутые задачи. Есть условно-моя офисная сеть. Есть сеть организации-контрагента. Надо их состыковать, чтобы из моей сети попадать во "вражескую". Но поскольку IP-адресация пересекается, приходится NATить (знакомо, да?). Каналообразующее оборудование предоставляет контрагент, я от него получаю RJ-45 порт в своём шкафу, остальное меня не волнует.

От предыдущего админа досталась железяка с пафосным названием "Ubiquiti Security Gateway Pro 4". По некоторым причинам она оказалась никому не нужна, другой всё равно нет, так чего бы не сделать из неё NAT? Ага, щаззз, разбежался...

Стоит она каких-то неразумных денег. Внутри самый обычный Linux 3.10 крутится на MIPS-процессоре. Но ты не можешь просто так взять и настроить его так, как тебе нужно. Потому что все эти iptables-iproute2 обёрнуты в проприетарный шелл со своим ни на что не похожим странным синтаксисом и командами. А в веб-морде нет никаких настроек от слова "совсем".

Производителем предполагается, что сразу после включения ты заводишь этот USG4 в общую "экосистему" под управление централизованного контроллера и выполняешь все настройки через него. При попытке зайти по SSH тебя прям сразу большими буквами недвусмысленно предупреждают: "всё что ты щас тут будешь настраивать, неизбежно похерится сразу после подключения роутера к контроллеру". Вашу ж мать... ну ладно, значит не будем подключать.

А этой самой "экосистемой" в принципе не предусматривается, что у тебя в сети может существовать больше одного этого самого Gateway-я. И что он не будет являться default-ным. Поэтому подключив ("adopt") его к контроллеру, я рисковал положить к чертям вообще всю сетку. Потому что за выход в интернет и глобальную маршрутизацию там отвечает как бе совсем другое устройство. И смена default gateway на клиентах явно ни к чему хорошему бы не привела.

Пришлось изучать этот самый корявый синтаксис и азы идеологии. Блин... у микротиков и то логичнее, хотя всё оно есть суть сорта одного и того же г...на. В итоге я за пару часов настроил, конечно. Но нет, больше не хочу. Мне уже цисок "выше крыши" хватило с их "nat overload", инвертированными масками в ACL-ях и невозможностью добавить на физический интерфейс ip-адрес с маской "/32". Еще и эту ubiquit-евскую е**нину в голове держать — ну на**й.

Контроллер тоже какой-то чудесатый. Взял ноутбук, спустился на соседний этаж. Примостился на подоконнике в одном метре от ближайшей точки доступа. Но нет, бесшовное переключение на неё почему-то не состоялось. Сигнал "одна палка", работаю ни пойми через что. Нафиг так жить?

Короче говоря, весь этот Ubiquiti — для мамкиных одминов, которым хочется красивую веб-морду и чтоб без особых умственных усилий построить простенькую одноранговую сеточку с выходом в интернет. Шаг вправо, шаг влево — всё, тушите свет, сливайте воду. Для SOHO слишком дорого, для Enterprise — совершенно бесполезно. Не знаю даже на кого оно всё рассчитано.

Осталось теперь только где-нибудь пощупать TP-LINK Omada. Так, чисто для общего развития. Чтоб знать какие в принципе бомжвейные решения бывают и насколько они кривые.


ОколоITшный дыбр
Cat-light
klink0v

... Как ни догоняю, а всё равно отстаю от жизни. Оказывается, давно появились так называемые "driverless" сетевые принтеры. Типа, принтеры, для которых не нужны драйвера. А инфа как на них печатать, содержится в них самих. Пример: Xerox 3330. Я всё пытался подцепить его через CUPS, который никак не мог найти для него PPD-файл (что, сцуко, весьма логично). А на самом деле для подключения требуются всего два заклинания:


  • "driverless", чтобы обнаружить его и узнать URL вида "ipp://mysuperprinter.local:631/ipp/print";

  • "lpadmin -p MyPrinter -v ipp://mysuperprinter.local:631/ipp/print -E -m everywhere", чтобы создать очередь печати.

Подозреваю, что в совсем свежих дистрибутивах / DE-шках это всё делается вообще автоматически, прозрачно для пользователя. Но я же ж не ищу лёгких путей...

Что ещё более странно, под виндой столь же просто и быстро этот принтер почему-то не заводится. Надо обязательно ставить "родные" драйвера с офсайта для PCL6, в противном случае печать сваливается в крякозябры в самый неожиданный момент.

... Проспал, как из Windows Server начиная с 2016-го выпилили с корнем NIS Server (Services for UNIX) под предлогом того, что они нафиг уже никому не нужны. На самом деле так и есть, только как же мне нравилась эта вкладочка "Unix Attributes" в диалоговом окошке редактирования свойств пользователя. Теперь усё, халява кончилась. Сами-то атрибуты типа "uid", "gid", "homeDirectory" и иже с ними никуда не делись и идут вообще "из коробки" прям вместе с дефолтной AD-схемой. Только вот прописывать их теперь только либо через недружелюбный Attribute Editor, либо через PowerShell. А у меня лапки! Хнык.

... И вообще, оказывается, прямо в AD можно и юзерпики пользователей хранить, и SSH-ключи, чтоб потом на серваки автоматом разливать, да хоть в тот же GitLab импортировать. Только вот чтобы эту всю радость туда сперва добавить... правильно, PowerShell. Вот я не понимаю. Зачем так сделали? Чтобы повысить порог вхождения и состригать больше денег на всяких обучениях и сертификациях?

... Продолжаю вяло ковырять Naumen Service Desk. Мои ощущения того, что это есть суть гнойное калище, многократно усилились. Отдалённо напоминает всякие 1C / Bitrix. Тоже в комплекте к программному продукту обязательно должен прилагаться профессионально деформированный кодер для перманентного допиливания / донастройки. Без него вообще никуда.

... Сбер объявил какую-то странную акцЫю в честь своего дня рождения. Из интересного обещают разве что только 50%-ую скидку на обследование в "Гемотесте". И то, чтобы ее получить, надо сперва привести реферала. Ну фииииг знает...

... Мне наконец-то повезло найти годные USB3-провода на Али. Есличо, брал здесь.

Всех с тяпницей. Мяу.


Упражнения с vmWare vCloud Director
Cat-light
klink0v

... Продолжаю решать крайне долбанутые задачи. Жизнь идёт, ничего не меняется.

Читать дальшеCollapse )

Новости из мира Debian, PHP, SQL
Cat-light
klink0v

... С Debian 10 поставляется PHP 7.3. Пожалуй, самое полезное, что в нём есть — это поддержка SHA2-аутентификации. Которая теперь по умолчанию используется в MySQL 8.

... Каких-то явных косяков при переходе с PHP 7.0 на 7.3 замечено не было. Обновляться вполне можно. Единственное, оттуда выкинули поддержку libMCrypt. Говорят, переходите на libSodium. Так что если вы оную используете, будет небольшая (а может и большая) попа-боль.

... В 6-м ProxMox-е перешли на Corosync3 (глаза б мои его не видели...). Обновление кластера (если таковой используется), как всегда, происходит с песнями и плясками.

... Чем глубже я расковыриваю MySQL, тем меньше он мне нравится. Так, например, промежуточный сервер в цепочке гирляндной репликации вынужден вести у себя на локальных дисках три (три, Карл!) разных независимых transaction log-а. Фактически, с одними и теми же данными внутри. Без вариантов. Сраный набор костылей. Если у вас новый проект и программистам всё равно подо что кодить, лучше берите PostgreSQL, чесслово.

... Microsoft славно потрудилась и сильно упростила простым пацанам установку своего ODBC-драйвера для MS SQL Server. Раньше надо было немного потанцевать с бубном. Сейчас же вообще "не нужно ничего знать, только кнопочки нажимать". Установить всякие php-dev, unixodbc-dev и иже с ними из родного дистрибутива — делай раз. Установить пакетики msodbcsql17 и mssql-tools из официальных репозиториев Microsoft-а — делай два. Установить коннекторы из PEAR-а (pecl install sqlsrv ; pecl install pdo_sqlsrv) — делай три. Всё!

Шосукахарактерно, выпустили даже нормальные инструкции (раз, два), в которых прописали возможные грабли с архитектурой и локалями. Я эти шишки самостоятельно себе набивал, а тут всё уже разжувати и в рот положити. Халява. Молодцы, чо. И что совсем удивительно, их драйвера больше не тянут за собой тухлые версии LibSSL 1.0, уи-и-и-и! Видать, в лесу сдохло что-то очень крупное.

Однако, можно столкнуться с тем, что MS SQL Server 2008 "из коробки" не умеет TLS1.2+SHA2, а Debian 10 по умолчанию хочет именно его. Как временный костыль, можно прописать

в "/etc/ssl/openssl.cnf". Потом не забыть перезапустить Apache, PHP-FPM или не знаю что у вас там. Как "нормальное" постоянное решение, нужно накатывать на сам SQL Server какой-то хотфикс. Какой и как — вот честно, не знаю. Может быть тов. zimins_net подскажет? Подробнее про проблему есть вот здесь и здесь.

... Про прекращение поддержки RSA1024 SSH-ключей я уже раньше писал, но на всякий случай напомню ещё разок.

У меня на сегодня всё. Всем чмоке (not gay).


Ходят тут разные слухи...
Cat-light
klink0v

... На реддите пишут, что якобы компания Oracle долбанулась на отличненько. Погрепала логи своих уёб-серверов и вычислила корпоративных пользоваетелей, которые скачали и установили Extension Pack для VirtualBox-а. Типа, для домашних пользователей он бесплатный, а для коммерсов — платный. И теперь настойчиво требует бабла с контор, где обнаружила эти самые Pack-и. Забавно. Интересно, есть ли у этой самой Oracle какие-то шансы по их пендосским законам. В диких странах типа нашей раши, понятно, ей точно ничего не светит, но сам факт...

... Эльдар Муртазин разродился разгромной статьёй на тему "Яндекса". Интересная точка зрения. А что думаете на этот счёт вы?

... Говорят, у Быдлайна скоммуниздили дазу банных пользователей их проводного энторнета. Тухлую, правда, 2017-го года. Но всё равно неприятно. А каким провайдером пользуетесь вы? ;)

... Позвонили мне внезапно голосом из Метро-ЦЦ. И стали настойчиво интересоваться, а чавой-то я у них уже давно ничего не покупал. Я какой-то сонный был. Ляпнул: "Стал меньше есть". Мой ответ на полном серьёзе зафиксировали. Прям интересно какое решение примет увидевший его аналитик, гы-гы-гы. Ещё выдали мне там единоразовую скидку 20% до конца месяца. Но что у них брать, я даже и не знаю. Жвачки разве что опять пару килограммов затарить...

... Да, я слоупок. Только что узнал, что с некоторых пор посылки с АлиЭкспресса можно получать на кассе "Пятёрочки". Почитал новости. Первый же коммент к ней:
— В почте продукты, в пятёрке посылки... Что блеать происходит?
Угу, перевёрнутый мир, не иначе. Скоро начнут писать х..ем на заборе слово "мел".

... Хорошая штука этот Zabbix. Мощная, навороченная. Но как же меня делает грустить его интерфейс.

Всем быстрой доставки посылок и удобных интерфейсов.


еbashим на bash-е #1
Cat-light
klink0v

Чё-то я увлёкся написанием демонов на баше. Не к добру это, ох не к добру. В связи с этим открываю рубрику "Е**шим на баше". С пояснениями и примерами.

Допустим, у нас есть условный zabbix-агент. От которого UID-а он выполняется, мы заранее не знаем. Но нам надо, чтобы вот именно наш конкретный скрипт, в свою очередь запущенный zabbix агентом отработал бы от имени "vasya" и никак иначе.

Это несложно. Кладем в "sudoers.d" файлик с содержимым типа

и вуаля. Главное только, чтобы этот скрипт и папка, в которой он лежит, не были бы world-writeable, а то получится знатная дыра в безопасности, гы-гы.

Но что если этого файлика там нет? Как мы об этом узнаем, чтобы грязно выругаться в таком случае? Например, как-то так.

Проверяем с каким UID выполняется скрипт прямо сейчас. Если не под Васей, то пытаемся перезапуститься из-под Васи. Если не получилось, грязно ругаемся.

Ещё пример. Для фанатов Rsync-а. Не обращал внимания, но оказывается, у него есть ключик "-i" (itemize-changes). По сюжету, с этим ключом после завершения он возвращает на STDOUT какие файлики он потрогал и чего именно с ними сделал (скачал, отдал, поменял права и т.п.). Но есть лютая подстава. Если, например, он вознамерился скачать откуда-то 10 файлов, скачал 7 из них, а потом связь порвалась, то... скажет, что якобы скачал все 10. А по факту на диске останутся лежать только 7.

Софтина, бесспорно, хорошая. И очень полезная. Я прекрасно понимаю, что это не баг, а фича. И она даже неявно описана в документации. Но вот всё равно за такое повбывав бы. Как технично я налетел на эту особенность в своих скриптах...

И вопрос на засыпку. Кто-нибудь пробовал пользоваться вот этой софтинкой для iPad от китайского автора? Как она? Меня волнует в основном чтобы там "закладок" не было.


dummy-интерфейс в Debian 10
Cat-light
klink0v

Раньше, в дебианах до 9-го включительно dummy-интерфейс без назначенного ему IP-адреса "поднимался" вот такой директивой в "/etc/network/interfaces".

Теперь же, в 10-м Debian-е (Buster) нужно уже вот так, с явными инструкциями по созданию линка посредством iproute2:

И пара слов о том, кому и зачем вообще нужен dummy-интерфейс в XXI веке. В основном — любителям виртуализации. Там, где коммуникации виртуальных машин с внешним миром происходят через Linux-овые мосты (bridge). В качестве примеров могу привести следующие случаи.


  1. Хочется, чтобы виртуалки могли общаться друг с другом и с хост-машиной, но не имели бы доступа во внешний мир.

  2. Хочется выпускать виртуалки внаружу через маршрутизацию (например, с NATом), а не через мосты (bridge).

  3. Гипервизор не позволяет создать мост без интерфейсов в его составе (этим грешили ранние версии ProxMox-а).

  4. Передача данных через мост упирается в скорость самого медленного его интерфейса. А хочется побыстрее.

  5. Есть какой-нибудь IPSec в транспортном режиме, но нужно уметь пинговать его "концы" изнутри. Обычно, конечно, для этого делают GRE, но...

Вот тут-то и пригодится волшебная "заглушка".