Category: it

Category was added automatically. Read all entries about "it".

(no subject)

И снова про zfs

Смотрим на свободное место

root@xxxx:/root# zpool list
NAME          SIZE  ALLOC   FREE  EXPANDSZ   FRAG    CAP  DEDUP  HEALTH  ALTROOT
xxxxx         43.5T  32.2T  11.3T         -    26%    74%  11.07x  ONLINE  -
rpool         278G  67.1G   211G         -    15%    24%  1.00x  ONLINE  -


Видите 11.3 терабайт свободных? И я вижу. Видите CAP (от слова capacity) в 74%? И я вижу.

А в реальности ничего этого нет.

root@xxxx:/root# zfs get available xxxx
NAME         PROPERTY   VALUE  SOURCE
xxxx         available  0      -


Почему, отчего, куда исчезли (или откуда появились) эти 11.3Т - узнать нельзя.

И там у них все так.

(no subject)

Товарищи админы и лица, им сочувствующие. У меня пятничный вопрос.

А давайте померяемся пиписьками скоростями записи на RAID? А то у меня какое-то нехорошее чуйство, что мне недокладывают.

Померять под линуксом можно просто dd if=/dev/zero of=/tmp/test bs=1M count=1024 conv=fdatasync && rm /tmp/test

Вместо /tmp/test можно туда, где у вас RAID.

(no subject)

Вынесу из комментов. Почему мне не нравится питон. Каждый к языку подходит со своей стороны.

Я больше админ. Мне от любого языка программирования надо немного: что бы на нем можно было написать что-то, что выполняло заданный алгоритм и что бы это что-то можно было поправить с помощью mcedit, vi (не vim!) или даже каким-нить joe. И часто на слабых каналах (как не смешно это звучит в нынешнее время).

И заморачиваться подсчетом пробелов-табов я категорически не желаю. Нашел нужное место в коде, поправил (в 99% случаев - ОЧЕНЬ грязным хаком, ибо лежит!), баг закрыл. Отрепортил куда надо и пусть дальше работает, пока программеры не проснутся, не запустят свои IDE с подсветкой синтаксиса и встроенным дебаггером ... :)

С любым известным языком программрования это прокатывает. КРОМЕ питона. он заставляет думать не там, где надо, а это плохо.

ЗЫ Если что, я давно основные деньги не админством заработываю. Это хобби, но оно живет. Серверок там, серверок здесь .. глядишь и ботнет для своих добрых целей готов :) Шутка.

(no subject)

Появился еще один кандидат на "какое же это г...". Это широко рекламируемый битрикс ляля управления сайтами.

Залез в его потроха. Радует только одно - он на php написан и не закриптован. То есть можно читать, что там разработчики понаписали.

То, что ребята не в курсе, что есть MVC - мелочи. Ну я сам не так давно узнал :)

На конструкции типа if (!defined("B_PROLOG_INCLUDED") || B_PROLOG_INCLUDED!==true)die(); я тоже давно уже не плююсь.

Но за архитектуру можно спокойно бить морду. К примеру, за попытки применить eventы в голом веб-приложении надо сразу убивать, как за крайне нецелевое использование средств сервера. Как и за использование XML где ни попадя.

Хорошо еще, что слова RPC, SOAP, "шина данных" и прочие ИТ-свистелки до них не дошли ...

Но я туда полез по другому поводу. Надо было выяснить на будущее, куда надо пнуть, что бы битрикс слал почту как нам надо.

Как вы думаете, сколькими способами битрикс шлет наружу почту?

Кто подумал "написать свою функцию-обертку и в ней пользовать стандартный php'ный mail?". Молодцы! Так у разработчиков думают немногие. Те, кто так думают, написали bxmail и все ок.

Другие ненатуралы могут просто написать свой mail, который к отправке почты не имеет никакого отношения, а потом звать @mail, что бы почту таки отправить. Дальше не лез, ибо нашел что надо.

Зато снаружи так красивенько ...

ЗЫ Но видели бы вы, сколько там copy-paste кода ...

(no subject)

Итак, что бы некоторым было не скучно в выходные, представляю первую альфа-бета-гамма версию своего мега-супер-скрипта. http://multik.org/vir_create 26 килобайт практически чистейшего шелла.

Что для его работы надо?

- linux. Я пока тестировал только под FC6-7
- OpenVZ http://openvz.org Ставим ядро как написано в Installation Guide и vzctl
- темплейт fedora-7 http://multik.org/vztmpl-fedora-7-1.1-1.i386.rpm Ставим rpm и что он попросит.
- Кеш федоры, получаемый путем vzpkgcache fedora-7-i386-small (надо будет высосать из инета примерно 90 метров)

Правим в начале скрипта имя будущего сервера, его VEID с ip и прочее, до чего руки дотянутся.
Запускаем и можем идти курить. Время работы на "голой машине" зависит от скорости инета (надо будет высосать где-то 60 метров). На "подготовленной" - около 5 минут.

Что получаем в конце?
Полностью настроенный "почтовый сервер с рулилкой" и занимающий на диске 340 метров. Причем приспособленный для миграций и прочих апдейтов.

Вся почта будет складироваться на хостовой машине в виде maildir в /storage/vmail (в скрипте правится), а в /storage/cert будут лежать все используемые сертификаты. Сделано это исключительно для удобства бекапов и миграций. Почтой занимаются postfix и dovecot. Оба поддерживают всякие TLS. В помощь postfix пользуется clamav & spamassasin

Все логи (syslog) идут на специальный ip (в начале скрипта правится). Остальные логи (типа access_log в апаче) отключены.

Юзвери и домены лежат в LDAP (openldap). В качестве управлялки используется Phamm, доступный через любой веб-браузер. manager может рулить всем, postmaster@domain только записями в своем domain, а юзер может только о себе инфу поменять.

Известные баги:
1) ни postfix, ни dovecot пока не понимают ничего кроме plain. всякие cram-md5 потом.
2) Phamm не умеет ничего удалять.
3) slapd работает без нормальных индексов и без контроля доступа (ака ACL отключены)
4) spamassasin и clamav проверяют всю почту, несмотря на установки в панельке.

Ляпы, предложения, патчи писать в комменты.

(no subject)

О, Яндекс скурвился. Все доступные сервера стали отпинывать мыло от меня. С криками иди на страничку, там и разбирайся. Зашел. "Отправленное вами сообщение было отвергнуто Яндекс.Почтой, потому что с вашего ip-адреса к нам приходит только спам. Прием почты с этого адреса полностью заблокирован на 24 часа.". И формочка.

Оппа .. заполняю поля с просьбой "дайте хоть заголовки, ибо по моим логам от меня к вам только одно письмо уйти не может. и то первое за неделю".

Хрена. Форма тоже поломана - "Ошибка.При отправке формы произошла ошибка! Просим Вас повторить введение данных". Повторяю. Тоже самое ...

Ну и кто они после этого?

P.S. Такое впечатление, что они юзают какую-то dns rbl. Тот адрес в какой-то rbl сидит с 2003 года и народ его вытаскивать оттуда не желает ...

(no subject)

Сегодня в порядке написания сами-знаете-чего решил посмотреть на стандартные средства postfix в деле убивания спама. Почему-то у меня внутри сложилось впечатление, что всякие антиспамные средства типа RBL, Spamasassin, Razor и так далее приносят больше вреда, чем пользы, поэтому на моих серверах их не стоит, по крайней мере в "боевом" режиме. Так, побаловаться разве что ...

Взял для пробы один сервер, через которых проходит около 4х тыщ хороших и правильных (и хз сколько неправильных) мессаг в день и добавил следующее в main.cf

smtpd_helo_required = yes
smtpd_helo_restrictions = permit_mynetworks, reject_invalid_hostname, reject_non_fqdn_hostname

postfix начал материться примерно так:

RCPT from unknown[59.94.177.63]: 450 <computer>: Helo command rejected: Host not found; from=<contact@0privacy.com> to=<мыло> proto=ESMTP helo=<computer>

Посмотрим, насколько эффективна такая штука за неполный день. Ибо включил я её где-то в обед 1 декабря.

# cat /var/log/maillog|grep Dec|grep reject|grep Host\ not\ found|wc -l
242

Потом добавил строчку

smtpd_sender_restrictions = reject_unknown_sender_domain,reject_non_fqdn_sender

Но за сегодня она так и не сработала ни разу - видимо спамеры научились писать <cardhacker@hotmail.com> вместо обычных "Ваш лучший друк"

Следующей стала моя самая любимая строка

smtpd_recipient_restrictions = permit_mynetworks, permit_sasl_authenticated, reject_unauth_destination, reject_unauth_pipelining, check_helo_access hash:/etc/postfix/helo_access, reject_unknown_hostname, reject_non_fqdn_recipient

Потребовалось ещё добавить одну строчку в файл

# cat /etc/postfix/helo_access
localhost.localdomain REJECT

Постфикс стал ругаться так:

RCPT from unknown[89.100.224.81]: 554 <localhost.localdomain>: Helo command rejected: Access denied; from=<vittorio3844@bartbaggett.com> to=<мыло> proto=SMTP helo=<localhost.localdomain>

или так:

RCPT from 82-171-190-102.dsl.ip.tiscali.nl[82.171.190.102]: 504 <localhost>: Helo command rejected: need fully-qualified hostname; from=<thanh896@apr.com> to=<мыло> proto=SMTP helo=<localhost>
RCPT from p54806FDD.dip.t-dialin.net[84.128.111.221]: 504 <84.128.111.221>: Helo command rejected: need fully-qualified hostname; from=<mmqthqs@rora.com> to=<мыло> proto=SMTP helo=<84.128.111.221>

или даже так:

RCPT from unknown[62.165.39.202]: 450 <62-165-39-202.uralhosting.ru>: Helo command rejected: Host not found; from=<info@bults.org> to=<мыло> proto=SMTP helo=<62-165-39-202.uralhosting.ru>

Поглядим эффективность:

# cat /var/log/maillog|grep Dec|grep reject|grep localhost.localdomain|wc -l
300

# cat /var/log/maillog|grep Dec|grep reject|grep localhost|wc -l
325

Всего 25 спамеров с helo=localhost. И общий итог:

# cat /var/log/maillog|grep Dec|grep reject|wc -l
1082

Как видим, половину отлупов мне дал reject_unknown_hostname (тыща - 200 - 300). Хороший параметр! Правда, надо следить, что бы "хорошие" сервера управляемые тупыми админами, не попали бы в отлуп. Ибо если сервер пришел с нормально резолвящегося хоста, но представился "левым" хостом (типа server.companyname), то он тоже получит отлуп.

P.S. Теперь осталось вспомнить, как пишутся всякие гадости типа регекспов (убил бы автора самой идеи регекспа) и запихать их в нужное место постфиксу, что бы безжалостно рубил все сервера, чьи имена резолвятся в домены выше 3его уровня. Кто-нить не пожалеет времени на заглядывание в свой main.cf, ежели там у него такое есть? Куда его пинать, а что чего-то я того ...

Охота отрубить домены типа ip.85.202.31.114.dyn.sub-15.broadband.voliacable.com или c-69-139-213-106.hsd1.ar.comcast.net - и так понятно, что там ничего хорошего нет ... а адреса типа fig.domain.tld - допускал до тела.

P.P.S. А некоторые, на которых я не буду показывать пальцами, пусть не возникают. Легальные юзвери с подобных адресов отправят почту совершенно спокойно, ибо permit_sasl_authenticated идет раньше, чем все запрещающие правила ...

P.P.P.S письма на несуществующие адреса проходят по другой категории (в смысле постфикс на них ругается по другому):
# cat /var/log/maillog|grep Dec|grep unknow|wc -l
4656

(no subject)

Продолжаю находить обшибки в OpenVZ и штуках рядом. На сей раз я попытался сделать os template сам, а не воспользоваться предложенным ;)

Collapse )

(задумчиво) Интересно, когда k001 начнет угрожать мне табуреткой? ;) Или нынче там всё по другому? ;)))

P.S. Про табуретку: в свое время, когда мы выкатывали какой-то из первых ASPLinux'ов, один из тогдашних разработчиков (Кирилл Конягин, если не ошибаюсь) угрожал кинуть в меня табуреткой, возмущенный тем, что я продолжаю находить баг за багом в "вылизанном" коде ... :))

(no subject)

Тут опять дернула меня нелегкая зацепиться за очередной холиварчик Win vs Apple vs OpenSource. Почитал, поглядел на стандартные аргументы, используемые оппонентами (типа микрософт - крута, а ваш мак от писюка только осью отличается, наша макось самая удобная и на bsd, а ваш линукс только для мобильных телефонов годится и то не для всех ... ну, в общем, кому надо,тот сам найдет).

Но почему-то апологеты Apple крайне неохотно обращают внимание на полностью отсутствующие в других системах штучки. Я говорю про Automator и AppleScript. Ну, если Automator'у можно еще найти крайне далекие аналоги, то вот аналога AppleScript я не нашел до сих пор.

Collapse )

(no subject)

Через год идеец "зоркий глаз" заметил, что RedHat делает свой LDAP сервер. Надо будет пощупать ...

P.S. Прикольно. Тут почти один-в-один повторяется ситуация с предидущим местом работы. Пришел - полная зопа в плане сервисов. DHCP нет, radius/LDAP нет, сеть статикой ...