Category: it

Category was added automatically. Read all entries about "it".

Cat-light

Обновление timezone в Java-машине

Дано.


  1. Тухлая древняя софтина поверх такой же замшелой версии Java, которые лучше не трогать. Иначе всё может развалиться.

  2. В той боянистой Java зашита неверная инфа о часовых поясах, поэтому приложение проставляет неверное время в логах, сообщениях и т.п.

  3. Сама софтина написана криворукими быдлокодерами, поэтому в ней явная настройка timezon-ы руками отсутствует.

Решение.


  1. Идем по ссылке.

  2. Скачиваем оттуда специальный JAR-ник.

  3. Запускаем этот JAR-ник из-под той же версии / бинарника Java-машины, под которой работает "проблемная" софтина.

  4. Перезапускаем само "проблемное" приложение.

  5. ???

  6. Profit!!!

Побочные эффекты.

В результате таких телодвижений время по мнению кривой софтины может как будто бы передвинуться на час назад (например). В результате могут возникнуть весьма забавные и часто непредсказуемые спецэффекты. Используйте данный способ на свой страх и риск.

Cat-light

ОколоITшный дыбр #19

... В одном из прошлых постов я уже рассказывал про заказчиков-дятлов, которые хотят чтобы им всё инсталлировали и запустили в лучшем виде, но при этом всё анально огораживают. Ни тебе доступа в интернет, ни нормальных зеркал дистрибутивов, ни IPSec-тоннеля, попадать на машины SSH-ем через три промежуточных хопа и всё в этом духе.

Теперь они хотят, чтобы внутри их же контура (!) всё бегало исключительно по SSL / TLS. Вот спрашивается, на хуа? Там у них vSphere, у меня есть подозрение, что трафик с одного физического хоста-то никуда не уходит. Но таково требование "безопасников". Ну ладно, предложил им что сгенерирую самоподписанные X509-сертификаты сроком на 50 лет и раскатаю их везде по всем сервисам. Нет, говорят. Хотят чтобы всё было подписанно их собственным PKI-ем. В чём разница, не понимаю. От чего они таким образом пытаются защититься? Ну ладно, начинаю им рассказывать про X509v3 Extended Key Usage и про X509v3 Subject Alternative Name, объясняю какие значения должны быть выставлены в этих полях, чтобы такие сертифкаты нормально зохавали бы всякие Clickhous-ы и Zookeeper-ы. Они не знают как это сделать на их PKI. Ну зашибись...

... Их не то сисадмин, не то "безопасник" не смог openssl-ем сгенерировать самоподписанный сертификат для nginx-а. Просто по собственной невнимательности: создал один файл с закрытым ключом, а nginx-у подсунул другой. Потом долго удивлялся, почему оно не взлетает. Чтобы разобраться, ему потребовалось созвать конф-колл по этому поводу на четверых инженеров и одного PM-а. Я с них просто охреневаю.

... В который раз убеждаюсь, что все эти так называемые "безопасники" занимаются ровно одним делом: постоянно доказывают всем окружающим собственную нужность и незаменимость. Ну и в качестве мелкого бонуса мешают работать всем остальным. На технические навыки у них в голове места уже обычно не остается.

... Кстати, может кто-нибудь знает, как проще всего подцепить в RedHat 7 пакетные репозитории от CentOS 7? Это у другого заказчика-дятла. Приходится туда софт доустанавливать через SSH-тоннель и TinyProxy. Но RedHat, сцуко, подписЬку требует. Я где-то уже раньше так делал. Но где, не могу вспомнить.

... А ещё вопрос к цискарям, если оные меня читают. Где можно взять / стырить последнюю-распоследнюю прошивку для Cisco ISR 2911? Завалялась у меня парочка где-то в шкафу. Выбрасывать жалко. А так, глядишь, может подо что-то и приспособлю.

... Вот не понимаю. "Ростелеком" раскидывает по почтовым ящикам листовки со своей рекламой. Мол, подключайтесь, вкусные тарифы, все дела. А звонишь им — говорят "стояки забиты, подключить не можем". Ну и где логика? На хрена тогда рекламой своей спамить? Чудики.

... Моя суперсучка умудрилась сломать себе хвост. Пруфпик ниже. Истеричная, засранка. Подумала, что её дома одну оставили. А когда я проснулся, от радости долбанула со всей дури этим самым хвостом о стеллаж.

Всем вменяемых заказчиков и целых хвостов.

Cat-light

MAC-адрес RETH-интерфейса

... Чё-то меня дёрнуло посмотреть какой MAC-адрес назначен RETH (Redundancy) интерфейсу на Juniper SRX. Это такой "виртуальный" интерфейс, который работает поверх Ethernet-а и "мигрирует" между нодами кластера в зависимости от того которая из них в данный момент активна. Применяется для типа отказоустойчивых схем.

Выяснилось, что проще всего выяснить его вот так:

show interfaces reth0 | match Hardware

И в процессе наткнулся на статью. В которой помимо прочего английским по белому написано.

Note that due to the above standard virtual MAC address convention, it is possible to have a MAC address conflict if more than one JSRP cluster exists on the same layer 2 environment. Therefore it is advised that if there is more than one J-Series or SRX JSRP cluster in your environment, then use a different cluster ID for each cluster to avoid conflicts.

То есть ты такой бодрый, арендовал шкаф в датацентре, вкрутил туда кластер Juniper-ов, воткнулся в провайдера. А где-нибудь в соседней стойке внезапно оказался точно такой же кластер с таким же Cluster ID (обычно его оставляют дефолтным), подключенный к тому же провайдеру. Ку-ку, у обоих начнётся веселуха. Если провайдер не даёт каждому отдельный VLAN, конечно, но они сильно разные бывают. Хорошее железо, и подходы к кластеризации у него интересные. А самый прикол, если у провайдера аналогичный Juniper окажется. Но они по идее должны про такие грабли знать изначально.

... Обновил у себя на домашнем компе VirtualBox. Теперь форочки не грузятся ни в виртуальном окружении, ни в реальном. Даже в safe mode не хотят. Говорят, "VBoxMouse.sys, DRIVER IRQL NOT LESS OR EQUAL". Не то чтобы смертельно, но неприятно. Даже с ходу не понимаю как можно починить.

Всем работающих кластеров и запускающихся форточек.

Cat-light

Изгаляемся с openconnect

Есть такие странные чучмеки-контрагенты, которые хотят, чтобы им всё настроили, быстро и в лучшем виде. Но при этом нормальный доступ к своей инфраструктуре открыть не хотят. Вместо того чтобы построить культурный IPSec, они выделяют одну (!) учётную запись в Cisco Anyconnect, а дальше **итесь как хотите. Угу, при том что в команде проекта состоят человек примерно десять, и всем так или иначе нужно иметь возможность работать со вражескими виртуалками.

Ну ладно... хотя бы Anyconnect. Наверное, лучше чем совсем ничего. Для Linux есть софтина под названием OpenConnect. Только эта дрянь с настройками по умолчанию норовит переписать default gateway на хоп внутри тоннеля и resolv.conf на машине, на которой запущен.

Плюс, это userspace-программа, которую надо ещё как-то запустить и скормить ей пароль для установления соединения.

Первый вопрос решается двумя способами. Первый: народный умелец написал альтернативный скрипт управления для openconnect. Ссылка. Хорошая штука, но требует наличия Python 3.3+, а я его тащить на свой роутер не особо хочу.

Второй: немного подковырять "искаробочный" bash-скрипт "vpnc-script". В него надо добавить строку "export INTERNAL_IP4_DNS=" куда-нибудь в начало и закомментировать строки, связанные с "route replace default".

Что касается запуска, то я в Debian делаю это прямо из "/etc/network/interfaces". Примерно так.

Сам знаю, что изврат. А что делать?

Cat-angry

Ansible - зло

... Чувствую, если кто-то в моем присутствии произнесёт слово "Ansible", буду сразу бить ему в морду с разворота.

Во-первых, эта дрянь всегда указана в качестве обязательного требования почти что на любую вакансию сисадмина / девопса. Даже там, где реально используется полтора сервера и пара виртуалок.

Во-вторых, именно по этой причине мне отказали в трудоустройстве в одну организацию, куда я когда-то давно хотел попасть. Хоть и время показало, что это только к лучшему. Всё равно я бы не смог там работать.

В-третьих, и это самое главное. Подавляющее большинство инженеров по причине собственной рукожопости просто не умеют им пользоваться и не хотят учиться. И из-за этого мне постоянно приходится за ними расхлёбывать.

... То один деятель пройдётся по всем машинам, дропнет хостовые SSH-ключи, похерит настройки SFTP-сервера. Потом сидишь-разбираешься почему пользователи не могут залогиниться. И это ещё хорошо, что у меня обычно бэкапы всех конфигов есть.

... То другой деятель "автомагически" развернёт виртуалку и не потрудится после этого посмотреть что там в "/etc/hosts" оказалось. А потом долго ищешь почему в кликхаусе запросы подвисают с совершенно непонятной формулировкой "is executing longer than distributed_ddl_task_timeout (=180) seconds".

... То третий деятель так же "автомагически" развернет PostgreSQL. С синтаксисом конфига восьмилетней давности, непонятными настройками локалей и без задействования самых вкусных и полезных фич последних версий.

... То быстренько добавишь программиста в нужную группу на какой-нибудь тестовой  виртуалке в песочнице, а через полчаса он оттуда "вылетает". Думаешь, шо за херня. А-а-а-а, это по крону ansible пришел и по-своему группы расставил. И вот, чертыхаясь, пытаешься разобраться в этом адском нагромождении playbook-ов, пытаясь разобраться где вообще прописан этот хост и хули он там делает. Потом не выдерживаешь, делаешь резкий взмах рукой сверху вниз, сплевываешь и просто удаляешь SSH-ключ ансибла с хоста. Ибо задрал.

... Я уже молчу про отдельную категорию псевдоадминов, которые начинают строить кластер и внедрять всякие доцкеры-кубернетесы и прочий прости хоспади CI не потому что они там реально нужны, а просто потому что где-то один раз прочитали, что это круто-стильно-модно-молодежно. Либо потому что можно на этом основании выпендриться перед коллегами / куроводством. Про таких я лучше вообще комментировать ничего не буду.

Нет, бывают конечно и исключения. Например, господин amarao_san, обладатель чёрного пояса по автоматизации всего и вся. Но ему это реально нужно, он пользуется этим каждый день, и весьма успешно.

Но это исключение только подтверждает правило. Ansible — зло. И утверждающие обратное могут сразу отправиться... куда им самим больше нравится.

Cat-light

Juniper, Fortigate, IPSec

У меня заточен отдельный зуб на тех, кто использует у себя в проде всякие там микротики, убиквити, чекпойнты, фортигейты и прочие opnsense-ы. Но сейчас не об этом.

В ждунипере (Juniper) есть давно известный баг, который приводит к невозможности построить IPSec с использованием IKEv2 до оборудования другого вендора, если в криптодомене содержится более одной записи (больше одного traffic selector-а). Проявляется, когда с другой стороны стоят некоторые Cisco ASA, Checkpoint, Fortigate. С Cisco FirePower (FTD) работает нормально. Видимо, народ забодал техподдержку последних, и они включили какой-то workaround в свои актуальные прошивки.

Вариантов решения, к сожалению, немного.


  1. Откатываться на IKEv1, потеряв при этом возможность использовать современные криптоалгоритмы.

  2. Договариваться с вражеской стороной, чтобы в криптодомене присутствовала бы только одна запись. Например, "0.0.0.0/0", как вариант.

Мне вот искренне интересно, начиная с какой версии JunOS они исправили этот баг, и исправили ли вообще. Так-то это хороший повод обновить прошивку, но чё-то нет уверенности, что это не будет заменой шила на мыло.
Cat-light

Бессвязного дыбра псто #65

... Поставил на даче 4G-"горшок" имени Некротика и подключил его к Быдлайну. Спид-тест показывает на вход 40 МБит/c, на выход от 8 до 18 МБит/с. Приём достаточно уверенный, базовая станция в прямой видимости, хоть и довольно далеко. Но при этом соединение какое-то не очень устойчивое, временами случаютя задержки и потери пакетов. То есть, для всяких чатиков-ютубчегов вполне ОК. А вот шарашить по SSH в консоли уже некомфортно. Попробовал поучаствовать в вебинаре. Подметил несколько интересных фактов.


  1. С 9 до 12 связь хорошая, потом ухудшается. Интересно с чем это связано: с нагрузкой на сеть или с солнечной активностью.

  2. Если втыкать ноутбук проводом напрямую в "горшок", то связь после лага восстанавливается достаточно бодро. А если работать через Wi-Fi, подключенный всё к тому же самому "горшку", то после очередного "провала" безвозвратно съедается куда больший фрагмент видеотрансляции. Видать, Wi-Fi вносит какие-то дополнительные искажения и накладные расходы. По-другому я этот эффект объяснить не могу.

Жаль, нет возможности протестировать работу других операторов, т.к. в данной локации хоть как-то работает только жёлто-полосатый. Хотя если отойти всего на 50 метров, то начинает на "пять палок" ловить Мегафно. А в соседней деревне дык и вовсе его оптика на столбах висит. Эххх...

... Гулял по городу, на верхушке одной из базовой станций (по-моему, это был Теле-ква) обнаружил направленную антенну, уж очень сильно похожую на некротиковскую. Неужели ОПСОСы начали использовать недопромышленные решения из-за дороговизны и санкций? Куда катится этот мир?

... В очередной раз сдох аккумулятор в iPadике. Надо бы съездить поменять что ли. Кстати, куда лучше? Тов. bender рекомендует "Ябуку". А мне в прошлый раз там как-то криво кнопку поставили. Теперь сканер отпечатков срабатывает на раз через два.

... В телефоне аккумулятор тоже сдох. И судя по тому, как он начал тормозить, сдохла ещё и флешка. Судя по всему, смартфончик очень хочет отправиться в лучший мир. Всего три с половиной года бегает с момента покупки. Эх-х-х-х-х, перестали делать нормальную надежную технику. Вот мне, например, более навороченная "труба" на фиг не нужна. Меня и в этой всё полностью устраивает (Xiaomi 4X). Но чует моя филейная часть, что таки придется вскоре таки разоряться на приобретение очередного гаджета.

... Прослушал курс "DBA2" от Postgres Pro. Узнал много интересного про то, что там у этой СУБД "под капотом". Это как раз тот случай, когда гениальность граничит с норкоманией. Но вообще интересная система. Насколько я понимаю, среди открытых "реляционок" сейчас ей альтернатив-то и нет.

... Пытаюсь заказать металлическую входную дверь. На словах все хотят тебе что-то продать. Реально никто и пальцем не пошевелит чтобы хотя бы попытаться привлечь тебя как клиента. Просто сидят и ждут когда ты сам к ним придешь. А когда таки приходишь, выясняется что демонстрационный зал закрыт, потому что его сотрудник решил взять себе внеплановый выходной. Ну офигеть. И эти люди надеятся заработать какие-то деньги.

... Ситуация в крупных телекомах ничем не лучше. Заявляют, что хотят стартовать такой-то совместный проект по внедрению функционала "трали-вали". Но в своём контуре развернуть его нельзя, потому что "персональные данные". Ну ладно, хрен с вами, давайте виртуалки в вашем контуре. И тут начинается: рута от виртуалок не дадим, а если дадим, то после 100500 согласований. А разработайте для нас BCP (business continious plan). А научите нас в бэкапы и в мониторинг. SSH-доступ тоже вам нормальный не дадим, вот вам два аккаунта для Cisco AnyConnect и будьте довольны. В интернет виртуалки тоже не выпустим, потому что "небезопасно" (ага, а как туда софт ставить-обновлять прикажете?). И вот начинаешь изворачиваться как умеешь. А когда речь заходит про построение site2site IPSec VPN, эти черти прописывают в encryption domain только отдельные хосты. Подсети? Не, не слышали! И вообще, это типа якобы "небезопасно". Тьфу, блин!

... Раз уж вспомнил про "безопасников". За всю свою практику видел только одного вменяемого — это xatkaru. Все остальные занимаются исключительно тем, что обосновывают начальству собственную нужность и размер своей зарплаты. А также мешают сисадминам нормально работать. Один раз где-то когда-то прочитали, что нужно везде позакрывать ICMP, вот ходят и требуют закрыть. А ещё требуют чтобы с ними согласовывали каждый чих. В результате какая-нибудь простенькая задача типа построения с кем-нибудь всё того же IPSec-тоннеля растягивается на месяцы (!). Поувольнять бы к херам всех этих "безопасников", эффективность работы остальных возросла бы в разы. Но нет, это особая каста, способная до усрачки напугать не сильно сведущее в технике руководство. А также сыпать заумно звучащими терминами и раскидывать понты вагонами. Поэтому контора загнётся, но этих тунеядцев выгонят в последнюю очередь. Дико бесит.

... Ещё регулярно поражаюсь тому, как ловко одни умеют создавать ненужную работу для других. То есть, работа первых как раз и заключается исключительно в том, чтобы создавать лишние проблемы вторым. И если бы такое наблюдалось только в госконторах. Но нет. Даже вполне себе "частные" комании занимаются ровно тем же самым. И таковых достаточно много. Странно как они до сих пор не развалились. Видать, живительная конкуренция работает не везде и не всегда.

... В Нерезиновске и окрестностях снова ввели какие-то дурацкие QR-коды. Скоро в туалет нельзя будет без QR-кода сходить. Шосукахарактерно, тому, кто переболел ковидлой, но к врачам не обращался, этот самый QR-код не положен. Логика! Хорошо хоть, пока дача ещё спасает.

... Пошли в "Мурлен" (Леруа-Мерлен) с подругой и собакой (это два разных существа). Я залип в одном отделе, они пошли в соседний. Оттуда внезапно доносится полный ужаса вопль: "А-а-а-а-а, волк!" Ну да, ну да. Волк. В наморднике. В шлейке. На поводке. В строительном магазине. Рядом со МКАДом. Что у людей в голове?

... Понравилась цитата из телеграм-канала "MMI". Целиком постить её сюда не буду, но общий смысл такой. Футбол является отражением экономики. А экономика России держится на трёх китах: ограничение конкуренции, огромная доля госучастия и коррупция. Собственно, а чего вы хотели получить на чемпионате при таких вводных?

... Вопрос к тем, кто меня читает. Кто-нибудь хочет пойти ко мне одмином-подаваном по направлениям OpenSource и телеком? Может быть, знаете того кто хочет? ;) Фирмочка, конечно, не идеальная, но платят вовремя, мозг сильно не **ут и нет всех вот этих игрищ для регулярного почёсывания чьего-нибудь иерархического инстинкта как во многих других конторах. Но впахивать приходится много, факт, просто так деньги не платят.

... Волк как бе намекает, что ему жарко. Нет, она не сдохла. Просто тяжело в жару в такой шубе. Северная ездовая собака, что с неё взять.

... Всем доступных водоёмов и кондиционеров. Пейте водичку, одевайте головной убор.

Lozhkin

Про anti-dDOS

Есть у меня один проект, который я очень не люблю. Сам присвоил ему кодовое имя "проект с мудаками". Но начальство выводить меня из него, увы, не спешит.

В рамках этого проекта помимо прочего мы обязаны заключить договор с какой-нибудь конторой, предоставляющей услуги защиты от DDoS. То, что оно мне нахер не впёрлось — это второй вопрос. Но по некоторым не зависящим от нас причинам, обязаны вот заключить и подключить.

Нашли там одну контору... не буду публиковать её название, дабы не делать им рекламы или не отбиваться от их нападок. Но они капец какие смешные.

Вся инфраструктура у них заточена под защиту / фильтрацию исключительно HTTP / HTTPS. Шаг вправо / шаг влево, какой-то относительно нестандартный протокол — уже проблемы.

Для защиты HTTPS требуют отдать им закрытый ключ от твоего X509-сертфиката. Чтобы они, значит, сами терминировали-разворачивали TLS-сессии. Ага, щаззз, разбежались. Я если бы даже и захотел, не смог бы им отдать. Потому что он у меня хранится в специальном отдельном криптоящике, который внаружу его не выпустит ни при каких условиях.

Ладно... если нельзя отдать X509-ключ, тогда по их условиям нужно строить GRE-тоннели, в которые заворачивать весь трафик. При этом.


  • Адресацию внутри GRE-тоннелей они тебе диктуют сами. Пересекается с твоими сетями? А ниипёт! Сам изворачивайся как хочешь.

  • Весь ICMP у них наглухо закрыт. Диагностика? Не, не слышали! Работает тоннель, не работает, догадайся, мол, сама.

Ладно, с помощью кувалды, какой-то там матери и нескольких суток отладки таки построили, как-то даже работает.

Дальше говно ширится. Понадобилось также защищать подключения по протоколу UDP. Ииии? "Ой, нет, а мы так не можем! Давайте объявляйте свою AS через нас, мы будем представляться от вашего имени, только так." Ну охренеть, дайте две! Ещё я им свою ASку целиком отдать должен. А жопа не треснет?

Вот и возникает вопрос: а на хера вы мне вообще такие красивые нужны, а? Впрочем, ответ уже был дан несколько выше.

Ещё маленький нюанс. Эти гаврики участвовали в одной из онлайн-конференций "Yandex NextHop Talks". При этом у их докладчика единственного возникли проблемы с трансляцией видео и звука. До такой степени, что он даже "выпадал" из конференции и не мог восстановить вещание минут 15. Народ его там обстебал по полной программе.

Это всё, что вам нужно знать про защиту от DDoS и про одну из самых популярных в России контор, оказывающую такие услуги.

Cat-light

Juniper не дружит с IKEv2

Продолжаю рубрику о ненависти к Juniper-ам.

Практика показала, что когда строишь тоннель между Juniper-ом и чем-то другим, то в случае попыток использования IKEv2 тебя ждут большие проблемы.

Самая мелкая из них заключается в том, что Juniper не даёт явно выставлять Pseudo-Random Function. Об этом я уже писал раньше.

Следующий прикол — разработчики софта традиционно по-разному трактуют RFC. А в IKEv2 появилась возможность делать как по принципу "одна SA — один тоннель", так и запихивать в рамки одной и той же SA несколько различных identities (грубо говоря, несколько маршрутов в одном тоннеле с одной SA). Так вот, иногда они не могут договориться: пруф 1, пруф 2. На практике это выглядит так, что тоннель поднимается только по запросу одной из сторон, а Juniper постоянно гадит в логи про то, что не может согласовать какие-то security associations (SA).

И самое мерзкое, с чем лично мне пришлось столкнуться — это конкретное такое "залипание" тоннелей на IKEv2. Настолько конкретное, что не спасают "clear security ike бла-бла-бла", "clear security ipsec бла-бла-бла" от слова "совсем". То есть формально Juniper показывает, что всё нормально, SPI меняются, но трафик не ходит. Помогает только деактивация проблемного traffic selector из конфига, выжидание 10 минут, потом активация обратно.

Короче говоря, между двумя Juniper-ами там особых проблем нет. А вот между какой-нибудь Cisco ASA и Juniper надо всё-таки брать IKEv1 и не вы**ываться.

Хотя, с другой стороны, мне известен как минимум один обратный кейс. Когда строили IPSec-тоннель между Juniper SRX и каким-то Huawei, то там было наоборот. IKEv1 не хотел подниматься из-за косяков в прошивке "хуявого", а вот IKEv2 таки взлетел.

Техника несовершенна. Но Juniper — это лютая попа-боль.