Category: it

Category was added automatically. Read all entries about "it".

Cat-light

ОколоITшный дыбр #18

... Вроде бы, причина неработоспособности видеонаблюдения стала чуть яснее. Посмотрел внимательнее WireShark-ом. Почему то в тот момент, когда камера (Dahua) отправляет на сервер ONVIF-событие о начале движения в кадре, на несколько секунд прекращается / задерживается трансляция RTSP-потока. Старые версии BlueIris-а на это никак не реагировали (просто на записи картинка "подлагивала"), более свежие обзавелись WatchDog-ом и стали отбивать / перезапускать RTSP-сессию. А в совсем свежих поменялся алгоритм этого WatchDog-а, поэтому камеры стали постоянно отваливаться. То есть, баг по всей видимости был всегда, просто раньше я его не замечал или списывал на маломощность ноутбука. Остались два традиционных вопроса: "кто виноват и что делать".

... Если строить site-to-site IPSec-тоннель между Juniper SRX и Cisco ASA, то можно обнаружить, что раз в полчаса (при дефолтных настройках) он рвётся и тут же восстанавливается обратно. Проблема описана, например, здесь, но на тот псто никто не ответил. С одной стороны, "быстро поднятое упавшим не считается". С другой стороны, SRX успевает опустить-поднять ST-интерфейс, событие улетает в мониторинг, условный Zabbix срабатывает, у дежурных инженеров начинает бомбить. А причина заключается в том, что на Cisco ASA по умолчанию стоит "vpn-idle-timeout". Если за полчаса через тоннель не проходит никакого трафика (DPD не считается), то циска опускает его. Как вариант, можно на SRX-е настроить RPM Probe (пингушку) на вражескую сторону. Помогает.

... Чё-то перестал у меня работать ЖЖ из-под FireFox-а с плагинами. На "голом" работает. Подозреваю, что uMatrix мешает. Тут народ всерьез начал присматриваться к Teletype. У меня всё лапки, опять же, не дойдут. Только аккаунт там себе зарегал, и всё. Кто-нибудь уже пробовал, как оно?

... И я, кажется, нашел нормальную замену для Evernote. Называется "Notion". Умеет всё то же самое и для личного использования [пока] бесплатен. Тяжко менять привычки, так что скорее всего просто "уйду" туда.

... Безопасность должна быть безопасной. Один "безопасник" настроил параноидальные параметры по сроку действия / требования к обновлению пользовательских паролей на *nix-машинах. Только не учёл, что в не менее параноидальной CentOS-и из коробки openssh-демон проверяет в том числе и это тоже через "pam_unix.so". Ходили-ходили пользователи три месяца по SSH-ключам, а потом "бац" — и внезапно их перестало туда пускать. Смешно. Казалось бы, при чём здесь Лужков пароли? А вот поди ж ты. Ещё смешнее то, что я начинаю объяснять почему так получилось, а мне не верят...

... По долгу службы поимел много секса с Apache Cassandra. С одной стороны, вроде хорошо продуманная навороченная мощная отказоустойчивая система. Кластеры-уястеры, кворумы, восстановление после сбоев и всё вот это вот. С другой стороны, вот никогда не поймешь чем конкретно она занимается в данный момент времени. Попытался по официальной инструкции перенести seed-ноду на другую машину: всё уронил к херам. Оказывается, я неправильно истолковал эту самую инструкцию, и переносить seed-ноды на самом деле нельзя. Назначил другие ноды seed-овыми, перезапустил. Cassandra начала что-то люто читать с дисков. До перезапуска 30 Мбайт/с, после рестарта — 2 ГБайт/с. Почему? А хрен его знает, товарищ прапорщик! Через полдня упало до 300 Мбайт/с. Что это было? ХЗ. По логам не понять.

В другой раз решил заменить стандартный allocator памяти на jemalloc. Только забыл установить jna и поменять в конфиге кассандры директиву "memtable_allocation_type". Точнее, не забыл, а просто не знал. Она не выругалась, с виду вроде всё работало. Но когда пошла предновогодняя нагрузка... у-у-у-у-у. Хана, короче. Тушите свет, сливайте воду. Хорошо, главный разработчик ткнул пальцем куда надо смотреть. Иначе бы я ещё сильнее огрёб. Ох и чудесатая же это штука. Не для среднего ума вроде моего.

... Прикольный артефакт. XMPP-бот, написанный на bash и sed. Я вот теперь думаю, можно ли его слегка доработать таким образом, чтобы он полученные сообщения отправлял не обратно, а на два других аккаунта. Вот надо мне это. Или может что-нибудь другое проще для этой цели взять?

... Снёс с телефона официальное приложение Сбебранка, установил допиленное народным умельцем, с выкорчеванным антивирусом, без рекламы и проверки рута. Какой же кайф! Заодно и телефон стал меньше лагать. И чего я раньше так не сделал?

... Хочу продуть от пыли теплообменник своего холодильника. У кого-нибудь есть небольшой компрессор или пароочиститель погонять на недельку? Поделитесь, а?

... Чем бы помазать уплотнители дверей в автоведре, чтобы они не примерзали? Силиконовым спреем, или чем-то другим?

... Собака чего-то нажралась, схватила аллергию, расчесала себе ухо до крови. Вот блин, всегда так. Чем породистее, тем больше проблем с питанием. Сука. И главное, понять не могу на что именно. Подозреваю яблоки, но обосновать не могу.

Всем чистых теплообменников и бархатных неповрежденных ушей.

Cat-light

ОколоITшный дыбр #17

... Позавчера (7 декабря) и вчера (8 декабря) в районе 18...20 часов вечера творилась какая-то НЁХ с интернетом в глобальном масштабе. В плане, порушилась связность. Я потерял доступ из своей ASки к хетцнеру, например. Но с провайдерских адресов всё работало. Плюс, до нас вообще не могли достучаться азиатские площадки. Трассировки "с той стороны" подозрительно обрывались на ТТК (Транстелекоме). Чую бесовскую силу, но обосновать не могу. В понедельник оно недолго и негусто продолжалось, а вот во вторник часа два "лежало". Потом "починилось" само собой.

Кто-нибудь ещё заметил что-нибудь подобное? Может, там очередные репетиции по запуску сувенирного интернета проходили?

... CentOS 8 прекращается досрочно. Пруфлинк: раз, два. Кто-то захотел денег. Точнее, потушил желание раздавать софт нахаляву. Мне тащем-та практически пофиг. Сдохнет, и хрен бы с ней. А вот тем, кто всерьёз подсажен на это дерьмецо, видимо, придется таки раскошелиться в пользу RedHat-а.

... Пятого декабря зарелизился минорный Debian 10.7.

... Третьего декабря зарелизилась минорная CentOS 8.3.2011.

... Говорят, в Сеть утекли персданные болевших ковидлой, а кое-кто занижает статистику раза эдак в полтора. Вот в том числе и поэтому лично я не собираюсь обращаться к врачам даже если подхвачу эту дрянь. Разве что только ну совсем-совсем прижмёт.

... В личном кабинете налоговой мне показывали какие-то переплаты по имущественным налогам, рядом расположена большая оранжевая кнопка "распорядиться". Я попробовал на неё нажать чисто по приколу. Спустя два месяца пришел ответ от налоговой. Мол, одну сумму мы не нашли, никакой переплаты типа и не было. А по второй сумме ты уже пропустил срок давности (три года). Вот так. Один сломал, другой потерял. Спрашивается, на хрена тогда мне рисовать эту "переплату" в личном кабинете? Чудики.

Будьте здоровы.

Cat-light

Странное поведение Jetty

Есть у меня два сервера с Jetty на борту. На одном версия 9.4.20, на другом 9.4.35 (последняя доступная стабильная). Конфигурация обоих одинаковая, насколько я могу проследить.

Но если заходишь на первый в папку "http://old-server.foo.bar:8080/webapps/", он отвечает 404. Что, собственно, совершенно правильно. Второй же сервер на "http://new-server.foo.bar:8080/webapps/" отдаёт листинг директории и спокойно позволяет скачать все находящиеся в ней WAR-файлы (бинарники веб-приложений).

Можно, конечно, отключить индексирование. Но понятно, что это полумера. Если знать точный URL файла внутри "webapps", то Jetty на "новом" сервере всё равно его отдаст (на старом ответит 404).

Я уже обсравнивал конфиги, разницы пока так и не нашёл. Гуглёж тоже ничего существенно полезного не дал. Если кто знает куда смотреть, подскажите пожалуйста.

P.S. Собака нашла в лесу выброшенную кем-то под трухлявый пень упаковку сахара-рафинада и успела сожрать пару кусков пока я заметил и отреагировал. Сука. Теперь вся чешется. Вот и отпускай её с поводка.

Cat-light

Juniper SRX <--> Cisco ASA : IPSEC, PRF

Предыстория вопроса.

Приходят очередные контрагенты, говорят "давай строить IPSec-тоннель". Традиционно предлагают DH Group 2 и SHA-1. При том, что у самих стоит ни разу не самая древняя Cisco Firepower 4120. Ну я им возражаю, мол, какого. Давайте тогда уж DH Group 14 и SHA-256 хотя бы. Они: "окей, давайте, но наша железка потребует тогда IKEv2". Ну давайте IKEv2, тоже мне, испугали ежа.

А дальше начинается интересное. При включении IKEv2 циска явно просит указать алгоритм PRF (pseudo-random function), которой хешируется PSK. И по умолчанию выставляет в качестве оной всё тот же приснопамятный SHA-1. Что касается Juniper-а, то он вообще не даёт пользователю / админу определять PRF, а выбирает его сам. Причём, заранее неизвестно какой именно. В документации про него ничего не сказано, в логах тоже не пишет. Просто отбивает первую фазу по "No Proposal Chosen", а дальше иди и гадай почему. И только когда IPSec-соединение будет успешно установлено, в "show security ike security-associations detail" можно будет посмотреть что же он там выбрал. Ну спасибо, добрые инженеры. Вам срочно потребуется вызвать всех телепатов из отпуска прежде чем начинать строить тоннели. Причём, телепаты должны уметь читать мысли бездушной железки.

Но я всё-таки дорюхал. Так что вот вам правильный ответ, телепатов можете отправлять обратно в отпуск.

Если для первой фазы используются AEAD-шифры, то Juniper выберет PRF=SHA384. Если "традиционные" шифры с отдельной проверкой целостности (в терминах циски "integrity", в терминах Juniper-а "authentication-algorithm"), то Juniper выберет ту же функцию, которая используется для проверки целостности. Например, для "authentication-algorithm sha-256" будет активирована PRF=SHA256 и так далее.

Собственно, у меня к такому поведению особых претензий нет. Но вот за то, что оно нигде не описано, ни в каких доступных мне мануалах, Juniper заслужил от меня очередной смачный плевок в свою сторону. Cisco в этом плане ведёт себя куда корректнее. Кстати, выбор PRF-а StrongSWAN-ом примерно похож на Juniper-овский, но там это вполне внятно задокументировано. И StrongSWAN позволяет поменять PRF при любом раскладе, в отличие от.

Так что если кто будет строить IPSec между Juniper и ASA / Firepower, имейте в виду. А, и да, ещё один нежданчик. Вот отсюда:
https://www.juniper.net/documentation/en_US/junos/topics/reference/configuration-statement/security-edit-policy-ike.html

ascii-text key—Specify a string of 1 to 255 ASCII text characters for the key. Characters @ + - or = are not allowed

И чем же вам плюсы-минусы в PSK-то не угодили, родные? Какого хрена вы вообще мне указываете что можно писать в PSK, а что нельзя? А не уху ели ли вы часом? Та же циска жрёт в PSK что угодно и не давится.

Забавно, что в разных мануалах по Juniper-ам фигурирует разный набор разрешенных / запрещенных символов в PSK. Хрен поймет кому верить.

Грёбаные индусы...

Cat-light

Бессвязного дыбра псто #61

... Работодатель послал сдать мазок на ковидлу за счет фирмы. Пришлось съездить. Ожидаемо ничего не нашли. Говорят, власти обязали не менее какого-то процента сотрудников обязательно проверять дважды в месяц. Видимо, кто-то близкий к телу завёз в рашку реагентов для тестирования и захотел на этом неплохо подзаработать. А по мне так, самой эффективной мерой было бы создание такой системы оплаты труда, когда заболевший сам не захотел бы выходить из дома. Ну да, помечтать что ли нельзя?

Collapse )
Cat-light

Немного про Zabbix

... Чё-то начинает у меня не по-детски бомбить и подгорать от Zabbix-а. Не, я конечно понимаю, что это OpenSource продукт. "Не нравится — не ешь" и всё вот это. Но блиииин. Какой же он не admin-friendly, мать-перемать! Обосновываю.

Collapse )
Cat-light

Скопировать шаблоны Zabbix-а

Есть Zabbix 5.0 (LTS Release). Хочется утащить для него готовые шаблоны с офсайта. Они не идут в дистрибутиве. Их нужно самому лапками стащить из GIT-а. Для моего случая — вот отсюда.

А дальше мы упираемся в то, что Zabbix для своего GIT-а использует не какой-нибудь там GitLab или GitHub, а вонючий Atlassian BitBucket. И оный не может просто так взять и отдать одну отдельно взятую нужную мне папочку в архивчике или через конвертацию в SVN. И приходится делать вот так:

git clone --single-branch --branch "release/5.0" --depth=1 https://git.zabbix.com/scm/zbx/zabbix.git

В результате я имею у себя клон исходных кодов всего Zabbix-а (Server, Proxy, Agent) в папке объемом 153 мегабайта, из которой меня интересуют только шаблоны, весящие от силы всего 23 мегабайта.

Ну зашибись. КПД на грани фантастики.

И ведь что самое противное, протокол GIT не подразумевает возможности клонировать не весь проект, а только какую-то отдельную папку из него. Это вам не SVN. Вроде в последних версиях там появились "sparse checkout" и "git archive", но эти фичи всё равно должны поддерживаться сервером. Короче говоря, у меня так и не получилось.

Если я чего-то не знаю или не понимаю, можете в комментах наставить меня на путь истинный.

Cat-light

ОколоITшный дыбр #16

... Жила-была у меня яндексовская "почта для домена", привязанная к моему личному домену "staser.ru". Потом она стала называться "Яндекс.Connect". Пришлось проводить "миграцию". После чего отправка писем с адресов типа "блабла@staser.ru" по SMTP перестала работать. А до тех пор всё было нормально.

Я и так, и сяк, и вприпрыжку, и вприсядку. Ничего не помогает. В конце концов догадался зайти в веб-морду с "проблемным" аккаунтом, там сунулся в настройки и активировал опцию "включить доступ к ящику по IMAP". После этого всё заработало.

Вот блин, ну причём здесь IMAP, когда меня интересовала исключительно отправка писем? "Л" — "логика".

Кроме того, отправка писем по SMTP из свежесозданного Яндекс-ящика не будет работать до тех пор, пока хотя бы раз не зайдешь в его веб-морду. "U" — "usability". Не знаю как Яндекс всерьёз пытается продавать в корпоративное использование столь "удобный" программный продукт.

... 17 ноября зарелизилась CentOS 7.9.2009. Если кто-то держит зеркала, обновляйте настройки и перекачивайте пакеты, хе-хе. А через 10 дней официально заканчивается жизненный цикл 6-й CentOS-и (кто-то ещё насилует этот труп?). Забавно, что на офсайте про этот релиз вообще ничего не сказано. "А" — "аккуратность".

... После работы со всякими Javaписьными софтинами невольно лезет в голову мысль. Вот они все такие классные, поддерживают кластеризацию, горизонтально масштабируются, синхронизируют конфиги, имеют универсальный интерфейс управления, все дела. Но при этом, чтобы просто вывести на экран "Hello, world" вам нужно не менее четырёх гигабайт оперативы и двух ядер CPU (утрирую, конечно, но не сильно далеко от истины).

Вот есть эти всякие logstash-и, elastic-и и иже с ними. Которые можно просто выкинуть к херам и поставить вместо них RSysLog. И он будет делать всё то же самое, но отъедать всего пару мегабайт оперативки на одной скромной машинке. А вместо красивой навроченной веб-морды в Kiban-е выучить регулярные выражения и применять тупо grep. Который, опять же, будет делать всё то же самое, но не требовать таких ресурсов.

Опять же, попытки складировать терабайты логов и прочей статистики, которые никто никогда не будет читать-изучать. Раньше говорили "мусор", а теперь — "Big Data".

В последнее время мне всё чаще кажется, что мир сходит с ума. Всякие мамкины devops-ы и прочие хипстеры-смузехлёбы начинают строить кластеры исключительно ради строительства кластера. Просто потому, что это стильно, модно, молодежно. Это пафосно звучит, этим можно понтануться. Можно зайти на stackoverflow или хабр и скачать оттуда готовый пример конфига. Или развернуть готовый docker-образ по инструкции с какого-нибудь digitalocean. И всё, ты уже "типа highload-сисадмин". Ты только что деплоил!!!11 А самому взять и написать регулярное выражение или пробиться через зубодробительный синтаксис конфигов rsyslog-а, сэкономив при этом с десяток серверов не, это уже давно не в тренде...

... Как сказал один знакомый программист, — "Нормальной фирме проще купить два лишних сервера, чем платить разработчику за оптимизацию SQL-запроса". Грустно, но он прав... Поэтому давайте же построим ещё пару кластеров для того, чтобы гонять на них наспех вы**анные запросы и тяп-ляп написанный код.

Ну, с выходными!

Cat-light

Мимолётная мысль #52

... По долгу службы время от времени приходится строить IPSec-тоннели с различными контрагентами. Обычно всё начинается с того, что они тебе присылают так называемый "опросник", который нужно заполнить: IP-адреса внутри/снаружи, шифры, контактные персоны и так далее. Так вот, 99% из них предлагают использовать морально устаревшие еще в каком-то там 2000-лохматом году алгоритмы Diffie-Hellman Group 2 и SHA-1. Среди оных попадаются и крупные операторы связи с до фига раздутыми штатами "информационной безопасности".

И никто, никто из них ни разу даже не заикнулся насчет IKEv2, например, или AES-GCM-256.  Хотя железки у них у всех мощные и свежие. Тьфу, блин, ITшнички...

... А одни из таких гавриков меня вообще улыбнули. Они со своей стороны терминируют тоннели на vSRX. То есть башляют безумные бабки за лицензию, приобретают кучу дебильных ограничений от Juniper-а (то нельзя, сё нельзя), но при этом не получают производительности ASIC-ов специализированного сетевого оборудования. Вот скажите мне, на фига? Есть жы ж замечательный  открытый проверенный временем StrongSWAN. Зачем им понадобились какие-то непонятные кустарные самоделки?

... Начиная с Debian 10 (buster) в дистрибутиве по умолчанию включён и задействован AppArmor. Эххх, и туда это модное поветрие докатилось. Как эти все "безопасности" уже достали, сил нет. Систему настраивать нормально не пробовали?

... Кто изобрел эту уродскую конструкцию осей / втулок на велосипеде? Я, конечно, понимаю, что дешёво и технологично в изготовлении. Но никогда не думают о тех, кто будет это эксплуатировать. Я всё никак не найду подходящего гаечного ключа. Один слишком толстый, другой на полмиллиметра меньше чем нужен, остальные сломаны. Один раз снял с рамы колёса, теперь вот уже почти полгода как поставить на место не могу.