Category: it

Category was added automatically. Read all entries about "it".

Cat-light

ОколоITшный дыбр #15

... 10ые форточки так и норовят создать свой "раздел восстановления". Даже если мне он нафиг не нужен.

Переносил тут систему "Шиндошс 10" с одного привода на другой. Как выяснилось, проще всего это сделать при помощи утилиты "partclone", предварительно порезав целевой накопитель на разделы нужного раздела. Потом можно запустить какого-нибудь "стрельца" и иже с ним и восстановить bootmanager. Всё вышесказанное справедливо для UEFI-режима, на MSDOS не пробовал.

Так вот, в процессе переноса я старательно выкорчевал пресловутый recovery-раздел. И таки знаете шо? При ближайшем же мажорном обновлении не в меру вумные форточки самостоятельно отчекрыжили от системной партиции полгигабайта и создали там этот богомерзкий recovery.

Collapse )
Cat-light

Кукушка в виртуалке

... Посмотрел конфу NextHop 2020. В целом понравилась. Для себя отметил три момента.


  • Организатором конференции выступал Яндекс, но транслировалась она через YouTube, т.е. фактически сервис основного конкурента.

  • Единственным докладчиком, у которого возникли технические проблемы со связью непосредственно в процессе, оказался представитель QRator-а. В чатике над ними знатно поглумились.

  • В Яндексе для удалённого доступа во время ковидобесия использовали и используют OpenVPN поверх FreeBSD (прикиньте, да?).

... Но вообще псто не об этом. А о синхронизации системного времени внутри QEMU/KVM-виртуалок. Так-то хост-машина подставляет гостю RTC (real-time clock), ход которых совпадает с системным временем хоста (железного ящика). Проблема только в том, что гость обычно синхронизирует свое время с RTC только в момент своего старта, а дальше оно может и "убежать". Чтобы этого не произошло, есть два способа.

1. Простой.

Ну и да, желательно иметь в локальной сети какой-нибудь NTP-сервер, притом на железке, а не в виртуалке.

2. Чуть сложнее.

Но нужно устанавливать и запускать chrony внутри каждой из виртуалок. Потому что systemd синхронизироваться с PTP-ходиками не умеет.

А какой способ больше нравится персонально вам и почему?

Cat-light

Фразеологизмы

Что-то заморочился вопросом почему в Linux-дистрибутивах "из коробки" имеется группа под названием "wheel". Не в том плане, зачем она там. А почему она называется именно "wheel", то есть "колесо". При чём тут колесо?

Оказывается, во времена второй мировой войны парней, которые умели ремонтировать технику типа автомобилей и грузовиков, называли "rolled a big wheel". То есть "крутивший большое колесо", "тот, кто заставляет машину ехать". Потом этот фразеологизм трансформировался в просто "Big Wheel", и этим термином начали называть любых авторитетных и уважаемых людей: политических лидеров, известных врачей, глав корпораций и т.п.

Так что название группы "wheel" в *nix и *BSD означает что-то вроде "зело крутой пацан".

Cat-light

Сила привычки

Коммутатор Cisco Catalyst. В принципе, неважно какой.

Ну никак я не привыкну. Сколько раз уже наступал на эти грабли, и всё продолжаю в том же духе.

Мало просто взять и разрешить VLAN на access-порту или в транке. Надо его ещё отдельно создать в "configure terminal" командой "vlan XXX". При этом в running-config они, сцуко, не отображаются. Только в "show vlan". Но при этом где-то сохраняются, так как восстанавливаются после перезагрузок.

К этому нужно привыкнуть. Просто привыкнуть...

Cat-light

Типа секретное меню в BIOS-е

Не спрашивайте зачем, мне понадобилось установить Debian на ноутбук имени Acer Aspre 7 (N19C5).

А прикол заключается в том, что там унутри есть Intel Optane (это такой типа RAID для NVMe-шных SSD-шек). И по умолчанию "из коробки" он включен. По данной причине на него можно установить только распоследнюю Windows 10 (build 1909 и свежее). Все остальные системы тупо не видят встроенного носителя, т.к. он представляется не как NMVе, а как SATA RAID, коим ни разу на самом деле не является.

Чего я только не пробовал, чтобы вкорячить туда Linux. И распоследние ядра использовать (5.8.5), и всякие "dmraid=true" в параметры старта ядра прописывать, и BIOS обновлять. Ничего не помогает.

Collapse )
Cat-light

Бомжацкие облака

В очередной раз "отстал от жизни".

Хочется на работе сделать облако-ебоблако для KVM-виртуалок. Для себя, не для продажи. Чтобы с живой миграцией, автоконфигурацией гостевой системы (Linux only), удобной админкой, распределенным хранилищем типа Ceph-а, блекджеком и [ну вы поняли]. И разумеется, нахаляву. Потому что работодатель не хочет vendor lock, да и башлять мегабаксы кому-то ни разу не готов.

Какие варианты пришли в голову "навскидку".

Collapse )
Cat-light

IKEv2, IPSec, aes256-gcm, DH-group-20, PRF

Пытаемся строить IPSec-тоннель между Juniper SRX и Cisco ASA. Хотим использовать IKEv2 с шифрованием первой фазы алгоритмом aes256-gcm, обменом ключами по DH-group-20 и аутентификацией по Pre-Shared Key.

В такой постановке задачи именно с такой комбинацией параметров Juniper применяет Pseudo-Random Function (сокращенно PRF) hmac-sha384 и не позволяет её изменять. То есть, она там прибита гвоздями. Причём, нигде в документации вы не найдёте какой именно алгоритм используется в этой самой PRF.

Cisco ASA вполне допускает задание произвольной PRF, хоть SHA1 в конфиге ей назначай. Какую выставишь, такая и будет.

Вот мне теперь стало зело любопытно. Это Juniper такой негодяй, что нагло ограничивает сисадмина в выборе средств. Или это Cisco мурзилка, которая в нарушение каких-нибудь RFC разрешает переназначать то, что по-хорошему меняться не должно. Где бы это посмотреть?