четверг, 12 декабря 2019
15:15

Выбор журналируемой файловой системы для внешнего SSD

И это всё МОЁ

  1. Что там с флагом монтирования discard (или аналогом) у файловой системы UDF? Есть ли планы добавить поддержку в ядре? Как видно здесь, работа таки идёт, но про SSD я ни слова не нашёл.

  2. Есть ли какой-л. смысл использовать на SSD JFFS2 или F2FS? Или это скорее исследовательские «поделки»?

  3. Как вы решаете вопрос с «протиранием» SSD-диска образом жёсткого диска (VDI, VMDK,..), в «блоки» которого ативно пишет гостевая виртуальная машина?

  4. Какой драйвер ext4 для оффтопика вы бы порекомендовали? Интересен практический опыт. Помимо Paragon’овского драйвера, который умудряется портить ФС даже в R/O-режиме, я нарыл следующее:










 , ,








URL
15:08

ubuntu server кусок говна

И это всё МОЁ

есть сервер с 16 убунтой
все по умолчанию,софт из пакетов
после полугода непрерывной работы перегрузил машину и не стартанула
причем не первый раз








 








URL
14:49

Рамблер пытается отжать nginx

И это всё МОЁ

URL
14:48

debian - сосуществование libcurl4 и libcurl3

И это всё МОЁ

Обновил сервер до 10.2, перестал работать NextCloud, ему нужна libcurl3, но она доступна только в предыдущих версиях debian. Можно как-то в систему одновременно установить и libcurl3 и libcurl4?









 








URL
14:30

iptables проброс порта снаружи на комп в локальной сети

И это всё МОЁ

День добрый имеем шлюз на Debian (раздаем пользователям в локалке интернет squid, sams2 и т.п.) c настроенным фаерволом iptables.

eth0 - подключен кабель от провайдера с интернетом

ppp0- интернет с белым статическим ip 77.*.*.55 центрального офиса

eth1- локалка с ip 192.168.3.125

77.*.*.40 - белый ip удаленного офиса

Необходимо пробросить порт tcp 4000 с ppp0 (На него будут стучатся клиенты из удаленного офиса для подключения к серверу терминалов) на ip 192.168.3.131 порт 3389.

192.168.3.131 сервер терминалов на Windows в локальной сети главного офиса, к которому необходимо подключаться по rdp клиентам из удаленного офиса

#!/bin/bash                                                                                                                                                                                                                                                                    
                                                                                                                                                                                                                                                                              
modprobe ip_tables                                                                                                                                                                                                                                                             
modprobe ip_conntrack                                                                                                                                                                                                                                                          
modprobe ip_conntrack_ftp                                                                                                                                                                                                                                                      
modprobe ip_conntrack_irc                                                                                                                                                                                                                                                      
modprobe iptable_nat                                                                                                                                                                                                                                                           
#этот модуль позволяет работать с ftp в пассивном режиме                                                                                                                                                                                                                       
modprobe ip_nat_ftp                                                                                                                                                                                                                                                            
modprobe ip_nat_irc                                                                                                                                                                                                                                                            
#очистка цепочек                                                                                                                                                                                                                                                               
iptables -F INPUT                                                                                                                                                                                                                                                              
iptables -F FORWARD                                                                                                                                                                                                                                                            
iptables -F OUTPUT                                                                                                                                                                                                                                                             
iptables -t nat -F PREROUTING                                                                                                                                                                                                                                                  
iptables -t nat -F POSTROUTING                                                                                                                                                                                                                                                 
iptables -t mangle -F                                                                                                                                                                                                                                                          
#Запрет всего
iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
iptables -P FORWARD DROP

#разрешаем все входящие пакеты на интрефейс замыкания на себя иначе ничего не работает 
iptables -A INPUT -i lo -j ACCEPT

#РАЗРЕШЕНЫ ТОЛЬКО ВХОДЯЩИЕ СОЗДАННЫЕ НАШИМИ ИСХОДЯЩИМИ
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
#Правила повышающие безопасность
#Блочим входящие tcp соединения не syn пакетом (либо ошибка либо атака)
iptables -I INPUT -m conntrack --ctstate NEW -p tcp ! --syn -j DROP
iptables -I INPUT -m conntrack --ctstate NEW,INVALID -p tcp --tcp-flags SYN,ACK SYN,ACK -j REJECT

#Фильтруем ICMP по типам

#iptables -A INPUT -p icmp -j ACCEPT
#iptables -A OUTPUT -p icmp -j ACCEPT

iptables -A INPUT -p icmp --icmp-type 3 -j ACCEPT
iptables -A INPUT -p icmp --icmp-type 8 -j ACCEPT
iptables -A INPUT -p icmp --icmp-type 12 -j ACCEPT

iptables -A OUTPUT -p icmp --icmp-type 0 -j ACCEPT
iptables -A OUTPUT -p icmp --icmp-type 3 -j ACCEPT
iptables -A OUTPUT -p icmp --icmp-type 4 -j ACCEPT
iptables -A OUTPUT -p icmp --icmp-type 11 -j ACCEPT
iptables -A OUTPUT -p icmp --icmp-type 12 -j ACCEPT

#Запрещаем пинги из локальной сети 
#iptables -I FORWARD -s 192.168.3.0/24 -p icmp -j DROP

#Разрешаем принимать dns запросы на 53 udp и tcp порт от сервера горгаза 192.168.3.74

#iptables -A INPUT -i eth0 -s 192.168.3.127 -p udp --dport 53  -j ACCEPT
#iptables -A INPUT -i eth0 -s 192.168.3.127 -p tcp --dport 53  -j ACCEPT

#Разрешаем использование dns на 192.168.3.125
iptables -A INPUT -i eth0 -p udp --dport 53  -j ACCEPT

#разрешаем доступ из локальной сети на порты 22(ssh),3128 прокси squid,80 - apache веб морды

iptables -A INPUT -i eth0 -p tcp -m multiport --dport 22,80,53,3128,4000 -j ACCEPT

#Разрешаем запросы на сервер времени 
iptables -A INPUT -i eth0 -p udp --dport 123 -j ACCEPT

#подстройка mtu без этого правила компы ходящие мимо прокси не открывают некоторые сайты
iptables -A FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS  --clamp-mss-to-pmtu 

#Разрешаем хождение через цепочку форвард пакетов идущих в ответ на пакеты с eth0
iptables -A FORWARD -i ppp0 -o eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT

#Маскарадим то что прошло через цепочку forward
iptables -t nat -I POSTROUTING -s 192.168.3.0/24 -o ppp0 -j MASQUERADE

Собственно с фаерволом не работал больше года много успел забыть 
Думаю делать так 

1)Разрешаем доступ 4000 порту на ppp0 с ip филиала

iptables -A INPUT -i ppp0 -s 77.*.*.40 -p tcp --dport 4000 -j ACCEPT

2)iptables -t nat -A PREROUTING -i ppp0 -p tcp –dport 4000 -j DNAT --to-destination 192.168.3.131:3389 

3)iptables -t nat -A POSTROUTING -o eth1 -p tcp --dport 3389 -d 192.168.3.131 -j SNAT --to-source 192.168.3.125:4000

4)iptables -A FORWARD -d 192.168.3.131 -i ppp0 -p tcp -m tcp --dport 3389 -j ACCEPT


Нужно ли еще разрешать хождение ответных пакетов через FORWARD
от 192.168.3.131 к ppp0? Или достаточно указанного ранее правила iptables -A FORWARD -i ppp0 -o eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT







 








URL
14:18

Оптимизация умножения

И это всё МОЁ

Если скомпилировать int a=5*10 через javac на выходе будет инструкция add или сдвиг? Занимается ли javac оптимизацими? Стоит ли заниматься оптимизацией в исходном коде, если все равно будет jid компиляция?









 ,








URL
14:06

Turbo core (boost) у процессоров AMD Ryzen 3200u/3500u/3700u

И это всё МОЁ

Столкнулся с тем на Ubuntu 18.04 с ядром 5.0 у райзенов не работает boost частоты в однопоточной нагрузке и «неправильно» отображаются частоты ядер (в atop, например).

Собственно, решил первую из этих проблем так:

Проверяем, что boost у нас включен

cat /sys/devices/system/cpu/cpufreq/boost

Если в ответе «1» идём дальше, если «0», то пробуем

echo 1 > /sys/devices/system/cpu/cpufreq/boost

На этом этапе можно замерять производительность любой однопоточной нагрузкой. Я замерял через команду:

openssl speed

Получаем нечто подобное (после md4 можно прервать исполнение, прирост и так будет виден):

Doing md4 for 3s on 16 size blocks: 8956867 md4's in 2.99s
Doing md4 for 3s on 64 size blocks: 7390952 md4's in 2.99s
Doing md4 for 3s on 256 size blocks: 4698093 md4's in 3.00s
Doing md4 for 3s on 1024 size blocks: 1935372 md4's in 2.99s
Doing md4 for 3s on 8192 size blocks: 306878 md4's in 3.00s
Doing md4 for 3s on 16384 size blocks: 168429 md4's in 2.99s

Сохраняем цифры, чтобы сравнить со значениями после фикса

Сам фикс:

Включаем раннюю подгрузку микрокода

echo "AMD64UCODE_INITRAMFS=early" | sudo tee -a /etc/default/amd64-microcode

Обновляем initrd

update-initramfs -k all -u

Перегружаемся

Проверяем производительность
Doing md4 for 3s on 16 size blocks: 17599671 md4's in 2.99s
Doing md4 for 3s on 64 size blocks: 13476871 md4's in 2.99s
Doing md4 for 3s on 256 size blocks: 7940896 md4's in 3.00s
Doing md4 for 3s on 1024 size blocks: 3047957 md4's in 2.99s
Doing md4 for 3s on 8192 size blocks: 436247 md4's in 3.00s
Doing md4 for 3s on 16384 size blocks: 224848 md4's in 2.99s

Видим прирост производительности от 33% до почти 100%

P.S. Частота в atop показывается всё ещё неправильная, но если собрать новую версию из исходников, то появляется графа «cycl» которая вполне точно отображает условную частоту процессора.








 , , ,








URL
13:58

PostgreSQL dump

И это всё МОЁ

Привет.


А вот такой интересный вопрос: можно ли из дампа базы в процессе создания вырезать ненужных юзеров/роли?


Ну просто их нет в том инстансе, где БД восстанавливается. И там оно валит ошибки типа: pg_restore: [archiver (db)] could not execute query: ERROR: role «my_user» does not exist









 ,








URL
13:58

Умные замки KeyWe оказались не защищены от обычного сниффинга

И это всё МОЁ
Исследователи безопасности из компании F-Secure проанализировали умные дверные замки KeyWe Smart Lock и выявили серьёзную уязвимость, позволяющую в момент открытия замка при помощи смартфона при помощи nRF-сниффера для Bluetooth Low Energy и Wireshark перехватить управляющий трафик и выделить из него секретный ключ, применяемый для открытия замка.



URL
13:37

portage пересобирает одни и те же пакеты при обновление мира

И это всё МОЁ

Если их пересобрать, то он опять потребует их пересобрать.

emerge @world -auvND

emerge --info








 , ,








URL
13:17

How to change hostname mannually in Oracle Linux 7

И это всё МОЁ

Manually append «HOSTNAME=dbametrix.com» into file /etc/sysconfig/network and restart system does not work on Oracle Linux 7. Could anybody guide me how to change hostname mannually in Oracle Linux 7?









 








URL
12:58

Перенаправление трафика OpenVPN1 через OpenVPN2

И это всё МОЁ

Доброго времени!


Прошу помощи, т.к. пытаюсь разобраться в вопросе уже несколько дней, но не выходит. Суть такая. Есть два сервера с OpenVPN. Настройки на серверах абсолютно идентичные. Клиент подключен к обоим. Нужно завернуть один туннель во второй. Ввиду непонимания принципов построения сетей, правил и прочего уже перепробовал кучу вариантов из интернета, но ничего не выходит. Многое написанное просто не понимаю. Ощущение, что суперспециалисты пишут для суперспециалистов. Прошу объяснить простым человеческим языком, как можно победить эту задачу. По состоянию на сейчас правила в iptables базовые, т.е. все разрешено. При подключении первого впн весь трафик идет в него на основании приоритета интерфейса. Далее принудительно ограничиваю любые соединения мимо IP этого сервера, подключаю второй ВПН. Он, как ни странно подключается. То есть я думал, что туннель поднимается внутри первого туннеля. Но затем я повышаю приоритет у второго ВПНа и инет пропадает…









 ,








URL
12:47

Помогите подобрать приложения для работы. Перехожу на линукс.

И это всё МОЁ

Здравствуйте. По работе нужно будет:



  1. Редактировать PDF, вносить туда правки. Есть ли Acrobat Pro или замена?

  2. Есть ли хорошая замена Dreamweaver с live-режимом? Особо специфичных требований к нему нет, кроме live-режима.

  3. Как быть с Google Drive? Хотелось бы синхронизировать папку, а не заходить через браузер.

  4. Какой почтовый клиент порекомендуете? Неглючный и хорошо работающий с Gmail?









 








URL
12:46

Большая зимняя распродажа на GOG!

И это всё МОЁ

Новый GOG к нам пришел, а вместе с ним и подарочки! Большая Зимняя Распродажа DRM-Free игр начинается сегодня. И если вы строили планы на выходные и праздники - придется пересмотреть их, ведь тысячи потрясающих игр на любой вкус сами себя не пройдут! А знаешь, чем GOG Moroz лучше традиционного деда? Он подарит тебе Wasteland 2, даже если ты был плохим мальчиком! Но только в первые 48 часов. :)

Что новенького:

Распродажа продлится до 2 января 2020 года, 17:00 по МСК.








 , , , ,








URL
12:44

Proxmox(Cluster) перезагрузка при пропадание сети

И это всё МОЁ

Собрал кластер из 3-х нод на proxmox 6.1 без ceph все замечательно работает, но вот когда пропадает сеть (отвалился свитч) и все три ноды сами по себе уходят в перезагрузку почему?









 , ,








URL
12:43

Висит check у mdadm

И это всё МОЁ

Помогите плиз понять проблему:


Personalities : [raid1] [linear] [multipath] [raid0] [raid6] [raid5] [raid4] [raid10] 
md1 : active raid1 sda2[0] sdb2[1]
      1952857152 blocks super 1.2 [2/2] [UU]
      [>....................]  check =  1.6% (31981568/1952857152) finish=2047103.6min speed=15K/sec
      bitmap: 9/15 pages [36KB], 65536KB chunk

md0 : active raid1 sda1[0] sdb1[1]
      523712 blocks super 1.2 [2/2] [UU]


mdadm решил повеситься на чеке, не могу понять в чем проблема. Ошибок ata не валится, смарты в порядке, меняется bitmap: 9/15 pages [36KB], и цифры финиш/спид в сторону ухудшения.


# mdadm -D /dev/md1 
/dev/md1:
           Version : 1.2
     Creation Time : Tue Mar 12 23:07:36 2019
        Raid Level : raid1
        Array Size : 1952857152 (1862.39 GiB 1999.73 GB)
     Used Dev Size : 1952857152 (1862.39 GiB 1999.73 GB)
      Raid Devices : 2
     Total Devices : 2
       Persistence : Superblock is persistent

     Intent Bitmap : Internal

       Update Time : Thu Dec 12 09:23:37 2019
             State : active, checking 
    Active Devices : 2
   Working Devices : 2
    Failed Devices : 0
     Spare Devices : 0

Consistency Policy : bitmap

      Check Status : 1% complete

              Name : rescue:1
              UUID : 49a218e6:7178b5d6:33e49cfe:d9c0023f
            Events : 43551

    Number   Major   Minor   RaidDevice State
       0       8        2        0      active sync   /dev/sda2
       1       8       18        1      active sync   /dev/sdb2









 , ,








URL
12:11

При установке linux mint слетает биос

И это всё МОЁ

Ребят, доброго временни суток! Просто какой-то замкнутый круг. После очередной перестановки линукс минт, слетает биос!!!!


:dash2: :dash2: :dash2: :dash2: :dash2: :dash2:


Опять пришлось нести в сервис, прошивать биос :hi2:
. Ребят почему так происходит? Место биос выходит меню граб(grub), в бот менеджере по нажатию f10 видит только ( Ubuntu), по стандартному нажатию f2 выходит (grub)!
Скоро с Китая придет ssd, вот думаю поставлю на него линукс минт, и опять слетит биос!?? Как мне при установке настроить так, чтоб не слетал биос. ???


P.S . …При установке Windows биос не когда не слетал.
Модель ноутбука NP3000E5A
LINUX MINT 19,64 БИТ









 ,








URL
11:34

Выпуск системы фильтрации спама SpamAssassin 3.4.3

И это всё МОЁ
После года разработки доступен релиз платформы для фильтрации спама - SpamAssassin 3.4.3. В SpamAssassin реализован комплексный подход в принятии решения о блокировании: сообщение подвергается ряду проверок (контекстный анализ, черные и белые списки DNSBL, обучаемые байесовские классификаторы, проверка по сигнатурам, аутентификация отправителя по SPF и DKIM и т.п.). После оценки сообщения разными методами, накапливается определенный весовой коэффициент. Если вычисленный коэффициент превышает определенный порог - сообщение блокируется или помечается как спам. Поддерживаются средства автоматического обновления правил фильтрации. Пакет может использоваться как на клиентских, так и на серверных системах. Код SpamAssassin написан на языке Perl и распространяется под лицензией Apache.



URL
11:24

Увеличение окна в Virtuflbox

И это всё МОЁ

ОС Kali linux 5
Установил Virtualbox, а на него windows 10. Окно маленькое, 1280х1024, подключение образа диска гостевой ОС не помогает. Разрешение экрана должно быть 1920х1080д


Подскажите решение









 ,








URL
11:09

Сетевая печать в openSUSE

И это всё МОЁ

Проблема в следующем: не могу ничего напечатать ни на один сетевой принтер. Принтер добавлен через веб-морду CUPS со строкой подключения следующего вида:


ipp://192.168.xx.xx:631/printers/EPSON_L132_Series.


Задание уходит и через несколько секунд прилетает Filter failed, как на клиенте, так и на сервере.
Проверил на разных принтерах - сетевая печать по IPP не работает. Если добавить принтер по автообнаружению Avahi (dnssd://), то печать работает, но я не могу управлять настройками на стороне клиента, так что этот вариант мне не подходит.


Я просмотрел все похожие темы в интернете, в частности:



https://forums.opensuse.org/showthread.php/509984-Print-job-stopped-after-Filter-failed




https://serverfault.com/questions/602523/cups-is-not-printing-with-filter-failed-message-how-to-get-more-info




https://www.linuxquestions.org/questions/linux-hardware-18/using-printer-epson-xp-205-cups-says-filter-failed-4175611247/



Это всё не то. Пробовал менять версии cups-filter и ghostscript на более старые, пробовал устанавливать всякую 32-битную требуху (pattern-printing-32bit), отключать Firewalld, печатать из-под рута - оно не работает!


При этом, локальная печать на тот же принтер (подключил напрямую) работает на ура, удалённая печать на МФУ HP с собственной точкой доступа WiFi работает, а вот обычная сетевая IPP-печать - нет.


Не знаю уже, что проверять. Если у кого есть под рукой суся и сетевой принтер - посмотрите у себя, пожалуйста.


P.S. error_log забыл дома, лога не будет - сорян.


Система openSUSE LEap 15.1









 , , ,








URL