Category: it

Category was added automatically. Read all entries about "it".

Cat-light

Debian и логи

Я тут внезапно "проснулся" и с удивлением узнал, что оказывается, уже давно во всех современных linux-ах логирование происходит через всё тот же systemd (точнее, systemd-journald). Да, я ещё тот слоупок. А rsyslog если где и оставили, то чисто "для мебели". Последний берёт данные из сокета journald посредством модуля "imuxsock" и раскладывает полученные логи по файликам и папочкам.

И вот занятное наблюдение. По умолчанию, "из коробки" в 10-м дебиане (стабильный на момент написания этого поста) journald хранит собранные логи в "/run/log/journal/", то есть по сути в оперативной памяти. В качестве постоянного хранилища используется старый добрый "/var/log/*", куда всё попадает из rsyslog-а "по конвейеру". А вот в 11-м дебиане (тестовый) для journald по умолчанию прописана уже папка "/var/log/journal/", то есть на диске. Похоже, что они таки собираются полностью отказаться от rsyslog в следующем релизе. Но это не точно.

ОМГ, мир уже никогда не станет прежним. Даже не знаю, хорошо это или плохо.

Cat-light

Linux: звук и видео

— Почему в космосе нет звука?
— Потому что ракета летает на Linux-е.

К сожалению, это не анекдот. Это суровая правда жизни. В Linux-е со звуком действительно всё очень печально. Особенно когда речь доходит до его записи (всякие Skype, Zoom и прочие средства голосового общения).

Когда я пытался раньше разговаривать с коллегами посредством всякого софта для телеконференц-связи, часто доставлял им множество лулзов. Потому что мой голос звучал у них так, как будто я надышался гелия. Мультяшный такой писклявый говор. В английском языке для этого даже есть термин "chipmunk voice" (голос бурундука).

Одно время мне помогало закрыть программу, вытащить джек гарнитуры из гнезда, вставить его обратно, запустить программу. Но в "телеграме" в голосовых чатах почему-то оно не помогало. Тогда я всё-таки нашел способ лучше.

В "/etc/pulse/daemon.conf" прописать

default-sample-rate = 48000
avoid-resampling = yes

и перезапустить PulseAudio.

Больше коллеги не жаловались.

... Если VLC Player под форточками упорно не видит MiniDLNA-сервер, то надо на сетевом интерфейсе в винде выключить IPv6. Достоверно не особо понимаю как это происходит. Скорее всего потому, что MiniDLNA не умеет в IPv6, а VLC Player хочет по умолчанию использовать именно его. Возможно, есть какая-то настройка внутри самого проигрывателя, но я не проверял.

Всем чистого звука и чёткого видео.

Cat-angry

Про дубы и мониторинг

В одном из проектов мне приходится работать с одним весьма говёным датацентром. Не буду говорить каким. У него на эмблеме изображено дерево. Точно не знаю какое именно, но предполагаю, что это дуб. Как символ умственных способностей тех "специалистов", которые там работают.

Заказчик у них берет два интернет-канала от двух разных операторов, но при этом договора на телеком-услуги заключены с самим датацентром. Хрен знает почему так, я не вникал. А у заказчика есть своя собственная автономная система (AS), подняты BGP-сессии с обоими апстримами. Вроде как всё хорошо.

В один прекрасный момент хозяева датацентра попали под DDoS-атаку и заключили договор с конторой под странным названием "Сервис-Труба" на защиту от этих самых DDoS-атак. Своих клиентов об этом не предупредили. А поскольку руки-то растут из жопы, причем как у тех, так и у других, не смогли всё это нормально настроить. Поэтому под заботливую "защиту" Сервис-Трубы попала не только автономная система самого ЦОДа, но и все его клиенты тоже. Даже те, которые ни о чём таком не просили. Невзирая на то, что у них были свои собственные автономные системы и, как заявлялось, якобы полностью независимые аплинки.

Как итог, у обслуживаемого мной заказчика в "дубовом" ЦОДе перестали проходить BGP-анонсы его автономной системы в "большой интернет" то через один аплинк, то через другой. И в какой-то момент перестали проходить через оба. Причём, представители самих операторов-аплинков наличие проблемы отрицали до последнего, так как сами-то они BGP-сессии от заказчика прекрасно видели. Только потом перенаправляли их в "Сервис-Трубу", где они благополучно и терялись. А у заказчика вроде каналы-то и работают, но "автономка" при этом недоступна от слова "совсем".

А самое главное, что хрен продиагностируешь. В ЦОДе работают дубы, они в принципе не понимают что не так и почему заказчик бесится. Саппортеры из телекомов-аплинков не могут напрямую ответить "да мудаки из ЦОДа там на***вертили", поэтому начинают политкорректно блеять про какого-то "вышестоящего провайдера", юлить, изворачиваться, и тоже молчат как партизаны. Я-то в конце концов разобрался в чём дело. Это стоило мне ночной поездки на другой конец Нерезиновска "по тревоге", пары часов тщательного шерстения разных looking glass-ов и кучи телефонных звонков во всевозможные службы техподдержки.

Сервисы заказчика лежали недолго, всего каких-то часов пять... Сейчас они работают, но спустя трое суток после возникновения инцидента изначальная проблема так и не решена.

Мораль? А хрен знает. Все заинтересованные лица проинформированы, моя работа как технаря на этом закончена. Дальше начинаются юридические и организационные вопросы, пусть сами между собой разбираются. Но я теперь думаю вот о чём.

Как бы "подвесить" всю эту дичь на мониторинг? Ну хоть бы всё на тот же Zabbix. Как можно "отстрелить", что твои BGP-анонсы перестали проходить "в мир" через тот или иной аплинк? Особенно учитывая то, что не все Looking Glass-ы показывают "неоптимальные" маршруты, а до каких-то из них "/24"-ая ASка и в принципе может не доходить.

Так-то я могу попросить отдавать мне BGP Full View у какого-нибудь из дружественных мне телекомов, только что мне потом с ним делать?

P.S. И чтобы два раза не вставать. Кто-нибудь что-нибудь знает об электронных механических замках (замках-невидимках), которые можно врезать в стальную дверь для квартиры?

Cat-light

ОколоITшный дыбр #18

... Вроде бы, причина неработоспособности видеонаблюдения стала чуть яснее. Посмотрел внимательнее WireShark-ом. Почему то в тот момент, когда камера (Dahua) отправляет на сервер ONVIF-событие о начале движения в кадре, на несколько секунд прекращается / задерживается трансляция RTSP-потока. Старые версии BlueIris-а на это никак не реагировали (просто на записи картинка "подлагивала"), более свежие обзавелись WatchDog-ом и стали отбивать / перезапускать RTSP-сессию. А в совсем свежих поменялся алгоритм этого WatchDog-а, поэтому камеры стали постоянно отваливаться. То есть, баг по всей видимости был всегда, просто раньше я его не замечал или списывал на маломощность ноутбука. Остались два традиционных вопроса: "кто виноват и что делать".

... Если строить site-to-site IPSec-тоннель между Juniper SRX и Cisco ASA, то можно обнаружить, что раз в полчаса (при дефолтных настройках) он рвётся и тут же восстанавливается обратно. Проблема описана, например, здесь, но на тот псто никто не ответил. С одной стороны, "быстро поднятое упавшим не считается". С другой стороны, SRX успевает опустить-поднять ST-интерфейс, событие улетает в мониторинг, условный Zabbix срабатывает, у дежурных инженеров начинает бомбить. А причина заключается в том, что на Cisco ASA по умолчанию стоит "vpn-idle-timeout". Если за полчаса через тоннель не проходит никакого трафика (DPD не считается), то циска опускает его. Как вариант, можно на SRX-е настроить RPM Probe (пингушку) на вражескую сторону. Помогает.

... Чё-то перестал у меня работать ЖЖ из-под FireFox-а с плагинами. На "голом" работает. Подозреваю, что uMatrix мешает. Тут народ всерьез начал присматриваться к Teletype. У меня всё лапки, опять же, не дойдут. Только аккаунт там себе зарегал, и всё. Кто-нибудь уже пробовал, как оно?

... И я, кажется, нашел нормальную замену для Evernote. Называется "Notion". Умеет всё то же самое и для личного использования [пока] бесплатен. Тяжко менять привычки, так что скорее всего просто "уйду" туда.

... Безопасность должна быть безопасной. Один "безопасник" настроил параноидальные параметры по сроку действия / требования к обновлению пользовательских паролей на *nix-машинах. Только не учёл, что в не менее параноидальной CentOS-и из коробки openssh-демон проверяет в том числе и это тоже через "pam_unix.so". Ходили-ходили пользователи три месяца по SSH-ключам, а потом "бац" — и внезапно их перестало туда пускать. Смешно. Казалось бы, при чём здесь Лужков пароли? А вот поди ж ты. Ещё смешнее то, что я начинаю объяснять почему так получилось, а мне не верят...

... По долгу службы поимел много секса с Apache Cassandra. С одной стороны, вроде хорошо продуманная навороченная мощная отказоустойчивая система. Кластеры-уястеры, кворумы, восстановление после сбоев и всё вот это вот. С другой стороны, вот никогда не поймешь чем конкретно она занимается в данный момент времени. Попытался по официальной инструкции перенести seed-ноду на другую машину: всё уронил к херам. Оказывается, я неправильно истолковал эту самую инструкцию, и переносить seed-ноды на самом деле нельзя. Назначил другие ноды seed-овыми, перезапустил. Cassandra начала что-то люто читать с дисков. До перезапуска 30 Мбайт/с, после рестарта — 2 ГБайт/с. Почему? А хрен его знает, товарищ прапорщик! Через полдня упало до 300 Мбайт/с. Что это было? ХЗ. По логам не понять.

В другой раз решил заменить стандартный allocator памяти на jemalloc. Только забыл установить jna и поменять в конфиге кассандры директиву "memtable_allocation_type". Точнее, не забыл, а просто не знал. Она не выругалась, с виду вроде всё работало. Но когда пошла предновогодняя нагрузка... у-у-у-у-у. Хана, короче. Тушите свет, сливайте воду. Хорошо, главный разработчик ткнул пальцем куда надо смотреть. Иначе бы я ещё сильнее огрёб. Ох и чудесатая же это штука. Не для среднего ума вроде моего.

... Прикольный артефакт. XMPP-бот, написанный на bash и sed. Я вот теперь думаю, можно ли его слегка доработать таким образом, чтобы он полученные сообщения отправлял не обратно, а на два других аккаунта. Вот надо мне это. Или может что-нибудь другое проще для этой цели взять?

... Снёс с телефона официальное приложение Сбебранка, установил допиленное народным умельцем, с выкорчеванным антивирусом, без рекламы и проверки рута. Какой же кайф! Заодно и телефон стал меньше лагать. И чего я раньше так не сделал?

... Хочу продуть от пыли теплообменник своего холодильника. У кого-нибудь есть небольшой компрессор или пароочиститель погонять на недельку? Поделитесь, а?

... Чем бы помазать уплотнители дверей в автоведре, чтобы они не примерзали? Силиконовым спреем, или чем-то другим?

... Собака чего-то нажралась, схватила аллергию, расчесала себе ухо до крови. Вот блин, всегда так. Чем породистее, тем больше проблем с питанием. Сука. И главное, понять не могу на что именно. Подозреваю яблоки, но обосновать не могу.

Всем чистых теплообменников и бархатных неповрежденных ушей.

Cat-light

ОколоITшный дыбр #17

... Позавчера (7 декабря) и вчера (8 декабря) в районе 18...20 часов вечера творилась какая-то НЁХ с интернетом в глобальном масштабе. В плане, порушилась связность. Я потерял доступ из своей ASки к хетцнеру, например. Но с провайдерских адресов всё работало. Плюс, до нас вообще не могли достучаться азиатские площадки. Трассировки "с той стороны" подозрительно обрывались на ТТК (Транстелекоме). Чую бесовскую силу, но обосновать не могу. В понедельник оно недолго и негусто продолжалось, а вот во вторник часа два "лежало". Потом "починилось" само собой.

Кто-нибудь ещё заметил что-нибудь подобное? Может, там очередные репетиции по запуску сувенирного интернета проходили?

... CentOS 8 прекращается досрочно. Пруфлинк: раз, два. Кто-то захотел денег. Точнее, потушил желание раздавать софт нахаляву. Мне тащем-та практически пофиг. Сдохнет, и хрен бы с ней. А вот тем, кто всерьёз подсажен на это дерьмецо, видимо, придется таки раскошелиться в пользу RedHat-а.

... Пятого декабря зарелизился минорный Debian 10.7.

... Третьего декабря зарелизилась минорная CentOS 8.3.2011.

... Говорят, в Сеть утекли персданные болевших ковидлой, а кое-кто занижает статистику раза эдак в полтора. Вот в том числе и поэтому лично я не собираюсь обращаться к врачам даже если подхвачу эту дрянь. Разве что только ну совсем-совсем прижмёт.

... В личном кабинете налоговой мне показывали какие-то переплаты по имущественным налогам, рядом расположена большая оранжевая кнопка "распорядиться". Я попробовал на неё нажать чисто по приколу. Спустя два месяца пришел ответ от налоговой. Мол, одну сумму мы не нашли, никакой переплаты типа и не было. А по второй сумме ты уже пропустил срок давности (три года). Вот так. Один сломал, другой потерял. Спрашивается, на хрена тогда мне рисовать эту "переплату" в личном кабинете? Чудики.

Будьте здоровы.

Cat-light

Странное поведение Jetty

Есть у меня два сервера с Jetty на борту. На одном версия 9.4.20, на другом 9.4.35 (последняя доступная стабильная). Конфигурация обоих одинаковая, насколько я могу проследить.

Но если заходишь на первый в папку "http://old-server.foo.bar:8080/webapps/", он отвечает 404. Что, собственно, совершенно правильно. Второй же сервер на "http://new-server.foo.bar:8080/webapps/" отдаёт листинг директории и спокойно позволяет скачать все находящиеся в ней WAR-файлы (бинарники веб-приложений).

Можно, конечно, отключить индексирование. Но понятно, что это полумера. Если знать точный URL файла внутри "webapps", то Jetty на "новом" сервере всё равно его отдаст (на старом ответит 404).

Я уже обсравнивал конфиги, разницы пока так и не нашёл. Гуглёж тоже ничего существенно полезного не дал. Если кто знает куда смотреть, подскажите пожалуйста.

P.S. Собака нашла в лесу выброшенную кем-то под трухлявый пень упаковку сахара-рафинада и успела сожрать пару кусков пока я заметил и отреагировал. Сука. Теперь вся чешется. Вот и отпускай её с поводка.

Cat-light

Juniper SRX <--> Cisco ASA : IPSEC, PRF

Предыстория вопроса.

Приходят очередные контрагенты, говорят "давай строить IPSec-тоннель". Традиционно предлагают DH Group 2 и SHA-1. При том, что у самих стоит ни разу не самая древняя Cisco Firepower 4120. Ну я им возражаю, мол, какого. Давайте тогда уж DH Group 14 и SHA-256 хотя бы. Они: "окей, давайте, но наша железка потребует тогда IKEv2". Ну давайте IKEv2, тоже мне, испугали ежа.

А дальше начинается интересное. При включении IKEv2 циска явно просит указать алгоритм PRF (pseudo-random function), которой хешируется PSK. И по умолчанию выставляет в качестве оной всё тот же приснопамятный SHA-1. Что касается Juniper-а, то он вообще не даёт пользователю / админу определять PRF, а выбирает его сам. Причём, заранее неизвестно какой именно. В документации про него ничего не сказано, в логах тоже не пишет. Просто отбивает первую фазу по "No Proposal Chosen", а дальше иди и гадай почему. И только когда IPSec-соединение будет успешно установлено, в "show security ike security-associations detail" можно будет посмотреть что же он там выбрал. Ну спасибо, добрые инженеры. Вам срочно потребуется вызвать всех телепатов из отпуска прежде чем начинать строить тоннели. Причём, телепаты должны уметь читать мысли бездушной железки.

Но я всё-таки дорюхал. Так что вот вам правильный ответ, телепатов можете отправлять обратно в отпуск.

Если для первой фазы используются AEAD-шифры, то Juniper выберет PRF=SHA384. Если "традиционные" шифры с отдельной проверкой целостности (в терминах циски "integrity", в терминах Juniper-а "authentication-algorithm"), то Juniper выберет ту же функцию, которая используется для проверки целостности. Например, для "authentication-algorithm sha-256" будет активирована PRF=SHA256 и так далее.

Собственно, у меня к такому поведению особых претензий нет. Но вот за то, что оно нигде не описано, ни в каких доступных мне мануалах, Juniper заслужил от меня очередной смачный плевок в свою сторону. Cisco в этом плане ведёт себя куда корректнее. Кстати, выбор PRF-а StrongSWAN-ом примерно похож на Juniper-овский, но там это вполне внятно задокументировано. И StrongSWAN позволяет поменять PRF при любом раскладе, в отличие от.

Так что если кто будет строить IPSec между Juniper и ASA / Firepower, имейте в виду. А, и да, ещё один нежданчик. Вот отсюда:
https://www.juniper.net/documentation/en_US/junos/topics/reference/configuration-statement/security-edit-policy-ike.html

ascii-text key—Specify a string of 1 to 255 ASCII text characters for the key. Characters @ + - or = are not allowed

И чем же вам плюсы-минусы в PSK-то не угодили, родные? Какого хрена вы вообще мне указываете что можно писать в PSK, а что нельзя? А не уху ели ли вы часом? Та же циска жрёт в PSK что угодно и не давится.

Забавно, что в разных мануалах по Juniper-ам фигурирует разный набор разрешенных / запрещенных символов в PSK. Хрен поймет кому верить.

Грёбаные индусы...

Cat-light

Бессвязного дыбра псто #61

... Работодатель послал сдать мазок на ковидлу за счет фирмы. Пришлось съездить. Ожидаемо ничего не нашли. Говорят, власти обязали не менее какого-то процента сотрудников обязательно проверять дважды в месяц. Видимо, кто-то близкий к телу завёз в рашку реагентов для тестирования и захотел на этом неплохо подзаработать. А по мне так, самой эффективной мерой было бы создание такой системы оплаты труда, когда заболевший сам не захотел бы выходить из дома. Ну да, помечтать что ли нельзя?

Collapse )
Cat-light

Немного про Zabbix

... Чё-то начинает у меня не по-детски бомбить и подгорать от Zabbix-а. Не, я конечно понимаю, что это OpenSource продукт. "Не нравится — не ешь" и всё вот это. Но блиииин. Какой же он не admin-friendly, мать-перемать! Обосновываю.

Collapse )