Re: analog of auditd for etch?
Hello! On Sat, Mar 08, 2008 at 09:50:45AM +0300, Stanislav Maslovski wrote: А есть ли что-то для работы с audit системой 2.6 ядра, кроме auditd, которого в etch не наблюдается? Хочется использовать audit и при этом использовать из-дистрибутивные решения без перехода на testing. А пересобрать auditd под Etch что мешает? Желание использовать решения из пакетов дистрибутива. Собственно, ничего другое не мешает - пока что так и сделал. -- WBR, Alexander Burnos -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
analog of auditd for etch?
Здравствуйте! А есть ли что-то для работы с audit системой 2.6 ядра, кроме auditd, которого в etch не наблюдается? Хочется использовать audit и при этом использовать из-дистрибутивные решения без перехода на testing. Спасибо. -- WBR, Alexander Burnos -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: посоветуйте сетевы е карты
Hello! On Sat, Feb 09, 2008 at 03:33:42PM +0300, Maksim A. Boyko wrote: У мну DLink VT6105. За прошедшие 4 месяца нареканий не было. Работает из коробки. Dlink он то может и работает, но как показывает практика, очень зависит от фазы луны в момент покупки их оборудования :) Но учту, спасибо. -- WBR, Alexander Burnos -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: посоветуйте сетевы е карты
Hello! On Sat, Feb 09, 2008 at 05:51:29PM +0300, Yuri Kozlov wrote: 09.02.08, Alexander Burnos[EMAIL PROTECTED] написал(а): Посоветуйте другие сетевые, которые по вашему опыту надежно работают под топиком. Чего-то особенного от них не надо, даже если они смогут сделать 60 мегабит из 100 - этого уже будет достаточно. Broadcom NetXtreme с цисками, точно модельку могу посмотреть. Точно, broadcom должен быть ничего. Спасибо, наверное на нем и остановлюсь. У меня тоже ethernet в catalyst 2960 терминируется. Дрова идут на дисках (исходники пересобираются). Не смотрел, есть ли в новых ядрах из коробки. В 2.6.24 есть Broadcom NetXtremeII, возможно это оно и есть. -- WBR, Alexander Burnos -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: посоветуйте сетевы е карты
Hello! On Sat, Feb 09, 2008 at 11:58:04AM +0200, Alexander Burnos wrote: Есть supermicro сервера c двумя набортными Intel Pro/1000. Поправочка, точнее это 6015B-NTRV с Intel (ESB2/Gilgal) 82563EB Dual-port Gigabit Ethernet Controller на борту. -- WBR, Alexander Burnos -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: [OT] борьба со спамо -DDOSом
Hello! On Tue, Jan 08, 2008 at 01:38:14PM +0200, Покотиленко Костик wrote: Там P4 3.0ghz + не только почта. P4 3.0ghz - это не хилый сервак. Памяти сколько? Если прилично, то увеличте лимит, всплески la - это не проблема, тем более кратковременные. 2 гига ram. Но там еще живет некоторая java, которой плохеет при la. На днях вынесу почту на отдельный сервер и проблема будет решена. Спасибо. -- WBR, Alexander Burnos -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: [OT] борьба со спамо -DDOSом
Hello! On Sat, Dec 29, 2007 at 07:00:19PM +0300, Alexey Lobanov wrote: Наверняка многие сталкивались с подобной проблемой - какие еще есть способы решения? Я бы подумал, насколько неоптимально устроена почтовая система, если попытка доставки *несуществующему* пользователю требует ощутимых ресурсов и приводит к DoS. Например, порядок правил: отлуп unknown recipient должен быть одним из первых, до всех RBL и других ресурсоёмких проверок. И как устроена база юзеров, насколько эффективен внутренний запрос к ней. Ресурсоемких проверок практически нет, есть spamd, но заточен только на определенные адреса (т.е. unknownuser@ через них не проходит). Сервер почту практически не фильтрует. База юзеров - пару десятков юзеров в hash: postfix'а. Вообще о какой нагрузке речь? Сколько обращений в секунду во время атаки? При лимите 40-50 одновременных процессов postfix'а - они забиваются все (smtpd, принимающий коннекшн). Т.е. пробиться к серверу становится нереальным. Если увеличивать этот лимит, то начинаются всплески la. Там P4 3.0ghz + не только почта. -- WBR, Alexander Burnos -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: [OT] борьба со спамо -DDOSом
Hello! On Sat, Dec 29, 2007 at 06:22:19PM +0200, Maxim Tyurin wrote: Наверняка многие сталкивались с подобной проблемой - какие еще есть способы решения? Сделать в домене жесткую SPF политику (с -all) Многие нормальные mail серверы проверяют spf. Нагрузка снизится ощутимо. Спасибо! Интересная штучка, буду смотреть. -- WBR, Alexander Burnos -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: [OT] борьба со спамо -DDOSом
Hello! On Sat, Dec 29, 2007 at 08:56:38PM +0300, Dmitri V. Ivanov wrote: Блокировать эти почтовики нельзя, т.к. DDOSят реально честные mail-сервера в мире. Насколько я понимаю это называется backscatter. Честному серверу, не проверяющему наличие получателя в ходе SMTP-сессии шлют почту на несуществующие адреса от вашего имени, а он заваливает вас отлупами. Для postfix например есть даже специальное readme о том как эту дрянь вычищать по дороге в ящик пользователя. Проверка пользователя понятное дело это совершенно обыденная ситуация. Да, это понятно. Поэтому все выглядит как бы честно. Вижу два варианта: писать жалобы на оригинаторов спама, что не особо спасает, т.к. переодически все равно бывают такие вот рассылочки. Либо поставить более мощную машину чтобы выдерживала такие вот всплески. Более мощную машину либо непадащий от них SMTP-сервер. Меня так чтобы падало не заваливали (хотя лиха беда начало). Жалобы на оригинаторов спама писать IMHO бесполезно. Наверное в любом случае прийдется ставить более мощную машину, никогда не помешает. Но попробую еще SPF. С наступающим! -- WBR, Alexander Burnos -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
[OT] борьба со спамо-DD OSом
Здравствуйте! Всех с наступающими, всех благ. Отличная рассылка, уже сколько раз писал сюда свои вопросы, пока дописывал - сам понимал решение :) К сожалению, не всегда так бывает. Собственно ситуация следующая, есть некий домен victim.com, спамеры повадились рассылать спам c From: [EMAIL PROTECTED], где SomeUnknownRandomUser - какое-то рандомное имя, реально не существующее. В момент осуществления рассылки спама, множество честных почтовых серверов, получающих спам с From: [EMAIL PROTECTED] начинают DDOS'ить MX'ы victim.com, кто с отлупом, кто с проверкой юзера, блокируя работу почтового сервиса victim.com. Блокировать эти почтовики нельзя, т.к. DDOSят реально честные mail-сервера в мире. Вижу два варианта: писать жалобы на оригинаторов спама, что не особо спасает, т.к. переодически все равно бывают такие вот рассылочки. Либо поставить более мощную машину чтобы выдерживала такие вот всплески. Наверняка многие сталкивались с подобной проблемой - какие еще есть способы решения? Заранее спасибо за ответы. -- WBR, Alexander Burnos -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: kernel downgrade (2.6-2.4) and raid1
Hello! On Sat, Dec 22, 2007 at 03:33:38PM +0200, Michael Shigorin wrote: А I/O эти ваши программы много делают? (и если много -- то на ext3?) Не много, по сути только логгинг (но в режиме debug, т.к. довольно активный. Но я не сказал бы что есть нагрузка на диск). На ext3. У меня-то на 2.6 всё хорошо, но сборки нормальные, а не самопал. Сборки ядра или софта? Если ядра, то дистрибутивные ядра в первую очередь пробовались, конечно. Если хочешь, можно попробовать проверить. Тяжело. Проблема выскакивает в неопределенный момент на короткий промеждуток времени. Может быть раз в сутки, а может быть раз в трое суток. Может под нагрузкой, а может и без особой нагрузки. -- WBR, Alexander Burnos -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: kernel downgrade (2.6-2.4) and raid1
Hello! On Fri, Dec 21, 2007 at 11:15:16PM +0200, Yauhen Kharuzhy wrote: На серверах живут по несколько java-приложений, довольно прожорливых, самописных. Так вот, на 2.6 ядрах если запустить больше 2-3-х приложений одновременно - переодически бывают всплески la до 30-40, приложения притарчивают, и т.д. У меня подобное было, когда система с достаточно большим количеством запущенных задач уходила в своп. Но до конца не исследовал. В своп - это да. Но тут явно не тот случай: free total used free sharedbuffers cached Mem: 83121847470592 841592 0 407016 4385676 -/+ buffers/cache:26779005634284 Swap: 4194296 564194240 -- WBR, Alexander Burnos -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: kernel downgrade (2.6-2.4) and raid1
Hello! On Fri, Dec 21, 2007 at 11:58:36PM +0300, Alexander GQ Gerasiov wrote: У меня проблема проявляется на всех 2.6 ядрах, на родном 2.6.8 sarge в том числе. 23е ядро пробовал? там сильно другой шедулер. Кажется да, но не помню уже точно. Помню что пробовал последние ядра с kernel.org, а было ли оно 23-м на тот момент.. Попробую еще раз, спасибо. -- WBR, Alexander Burnos -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: kernel downgrade (2.6-2.4) and raid1
Hello! On Fri, Dec 21, 2007 at 11:06:14AM +0300, Max Dmitrichenko wrote: On Friday 21 December 2007 01:52, Alexander Burnos wrote: Возникла необходимость сдаунгрейдить свежепоставленный etch до 2.4 ядра. Интересен другой момент. На etch glibc скомпилирован с заголовками от ядра 2.6.18. Мне сейчас лень смотреть как именно собирается glibc в Etch, но точно помню, что у glibc была опция скомпилиться для ядра x.y.z и выше, то есть весь код для совместимости с версиями ядра x.y.z и прочее будет выброшен и то, что эта libc будет работать с более древними ядрами, совсем не факт. Подумай на эту тему. Есть успешны опыт такого downgrade, без каких-либо проблем. Вот только тогда не было MD-дисков. Поэтому вопрос сейчас лишь в том, должны ли подняться md собранные на 2.6 на 2.4. И может ли 2.4 загрузиться с root=/dev/mdX -- WBR, Alexander Burnos -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: kernel downgrade (2.6-2.4) and raid1
Hello! On Fri, Dec 21, 2007 at 10:41:15AM +0200, Alexander Burnos wrote: Есть успешны опыт такого downgrade, без каких-либо проблем. Вот только тогда не было MD-дисков. Поэтому вопрос сейчас лишь в том, должны ли подняться md собранные на 2.6 на 2.4. И может ли 2.4 загрузиться с root=/dev/mdX Сам себе отвечаю: рейд собранный на 2.6 успешно заводится при переходе на 2.4. 2.4 успешно грузится с root=/dev/mdX. Это я что-то не то накрутил с initrd, не стал заморачиваться, вкомпилил статиком все что относится к дисковой подсистеме - завелось. -- WBR, Alexander Burnos -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: kernel downgrade (2.6-2.4) and raid1
Hello! On Fri, Dec 21, 2007 at 12:53:25PM +0200, Покотиленко Костик wrote: Я начало треда пропустил, а чем 2.6 не устраивает? Этого там и не было :) На серверах живут по несколько java-приложений, довольно прожорливых, самописных. Так вот, на 2.6 ядрах если запустить больше 2-3-х приложений одновременно - переодически бывают всплески la до 30-40, приложения притарчивают, и т.д. Те же самые приложения, такая же ява, этот же линукс но на 2.4 ядре - все живет в порядке, java-машины живут и не мешают друг другу. Сервера достаточно хорошие (2-х головые, по 4-ре ядера, 8 гиг ram/ecc). Предполагаю что как-то изменился шедулер в 2.6, что теперь ява с ним не особо дружит. Сколько не искал - не нашел солюшн этой проблемы. Более того, не нашел людей с похожими проблемами. Но она есть и это факт, переход на 2.4 спасает. В общем причина такого поведения однозначно так и не выяснена, но способ залечить существует. P.S. убрать яву с серверов не предлагать, не в моих силах. -- WBR, Alexander Burnos -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: kernel downgrade (2.6-2.4) and raid1
Hello! On Fri, Dec 21, 2007 at 01:25:31PM +0200, Alexander Vlasov wrote: Хм. У меня одна машина на 2/4 до сих пор живет по той же причине -- всплески LA до 50 на ядрах 2.6 (правда 2.6.8, этч не пробовал). У меня проблема проявляется на всех 2.6 ядрах, на родном 2.6.8 sarge в том числе. И там не Java, там самописная C++-программа. Так что джава не при чем. Хм.. а вот это уже интересней.. Если будет солюшен -- я тоже буду благодарен. Аналогично :) -- WBR, Alexander Burnos -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
kernel downgrade (2.6-2.4) and raid1
Доброго времени суток всем! Возникла необходимость сдаунгрейдить свежепоставленный etch до 2.4 ядра. Все, в том числе и / (/boot там же) было на /dev/md0 (raid1). Вроде бы все что нужно в новое 2.4 ядро вкомпилил, сделал initrd, убрал udev из системы. Но при буте kernel panic, т.к. /dev/md0: no such file (или no such device точно не помню, но смысл такой). Вопрос следующий: можно ли вообще принципиально md-рейд собранный на 2.6 ядре использовать с 2.4? Или они несовместимы? И сможет ли 2.4 ядро забутаться с root на md-девайсе? Т.е. я пытаюсь сделать вообще выполнимые вещи, просто где-то что-то упустил? Или нет? Заранее спасибо. -- WBR, Alexander Burnos -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: системный монитори нг в графиках
Hello! On Wed, Dec 05, 2007 at 10:58:02AM +0200, Yauhen Kharuzhy wrote: On Wed, Dec 05, 2007 at 11:13:13AM +0300, Andrey Nikitin wrote: Для полной картины скажите про cacti, кто пользует. Общую оценку в сравнении с mrtg и другими. Написано на PHP. Этим всё сказано :) Ведёт себя местами неадекватно. Вроде бы вменяем. Я правда не power-user cacti, но засетапил его на мониторинг десяток-другой серверов, proc, la, bandwidth. Завелся с полпинка, графики рисует. Больше мне от него ничего не нужно. Конечно, в мир всякие php-шные поделки я бы побоялся выставлять, но для внутреннего пользования меня устраивает. -- WBR, Alexander Burnos -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
e1000: eth0: e1000_reset: Hardware Error
Здравствуйте! Есть сервер Supermicro 6015B-NTRV на Super X7DBU платформе, в ней такие вот сетевые карты: 05:00.0 Ethernet controller: Intel Corporation 631xESB/632xESB DPT LAN Controller Copper (rev 01) 05:00.1 Ethernet controller: Intel Corporation 631xESB/632xESB DPT LAN Controller Copper (rev 01) e1000: :05:00.0: e1000_probe: (PCI Express:2.5Gb/s:Width x4) 00:30:48:7d:0f:78 e1000: eth0: e1000_probe: Intel(R) PRO/1000 Network Connection e1000: :05:00.1: e1000_probe: (PCI Express:2.5Gb/s:Width x4) 00:30:48:7d:0f:79 e1000: eth1: e1000_probe: Intel(R) PRO/1000 Network Connection debian etch, 2.6.18 из linux-source, драйвер e1000 вкомпилен в ядро. Кажая карта включена в свой каталист, вместе они связаны bonding'ом в active-backup режиме. За пару недель эксплуатации случалось следующее: Один из ethernet'ов умирал со следующей причиной: e1000: eth0: e1000_watchdog: NIC Link is Down e1000: eth0: e1000_reset: Hardware Error После этого физика для него как бы down, со стороны свича линк down, переключение в другой порт свича, поднятие/опускание интерфейса результата не дают. Спасает ребут - после этого снова все ок. Такое происходило на двух серверах уже. Кто-нибудь сталкивался с аналогичным? -- WBR, Alexander Burnos -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: системный монитори нг в графиках
Hello! On Wed, Dec 05, 2007 at 12:24:59PM +0300, Mikhail A Antonov wrote: Умеет ли оно по snmp забирать, как это делает mrtg? Да. По-моему это и есть у него основной механизм сбора информации. -- WBR, Alexander Burnos -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: software raid1 and sata hotswap
Hello! P.S. Винты - 2 sata Western Digital raid edition On Sun, Nov 18, 2007 at 02:51:28PM +0200, Alexander Burnos wrote: Приветствую! Есть linux software raid1 вот на таком вот железе: 00:1f.1 IDE interface: Intel Corporation 631xESB/632xESB IDE Controller (rev 09) 00:1f.2 IDE interface: Intel Corporation 631xESB/632xESB/3100 Chipset SATA Storage Controller IDE (rev 09) Debian etch, default kernel (2.6.18) Если исключить руками один из винтов из md (mdadm -f/-r), а потом вгорячую вытащить диск из системы, то все ок. Если же предварительно не исключать, а просто вгорячую вытащить привод, то будет видны сообщения типа ataX port is slow to respond и система подмерзнет и дальше либо бутается, либо так и остается висеть. Вопрос: можно ли как-то заставить linux software raid детектить то, что привод недоступен в случае горячего его вынимания? Или для этого нужен только true hardware raid? Если нельзя, то является ли такое горячее вынимание винта частным случаем его умирания? Если да, то значит софтварный рейд спасает не от всех проблем? Или горячее вынимание винта - это что-то приципиально другое с точки зрения железа? Спасибо. -- WBR, Alexander Burnos -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED] -- WBR, Alexander Burnos -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
software raid1 and sata hotswap
Приветствую! Есть linux software raid1 вот на таком вот железе: 00:1f.1 IDE interface: Intel Corporation 631xESB/632xESB IDE Controller (rev 09) 00:1f.2 IDE interface: Intel Corporation 631xESB/632xESB/3100 Chipset SATA Storage Controller IDE (rev 09) Debian etch, default kernel (2.6.18) Если исключить руками один из винтов из md (mdadm -f/-r), а потом вгорячую вытащить диск из системы, то все ок. Если же предварительно не исключать, а просто вгорячую вытащить привод, то будет видны сообщения типа ataX port is slow to respond и система подмерзнет и дальше либо бутается, либо так и остается висеть. Вопрос: можно ли как-то заставить linux software raid детектить то, что привод недоступен в случае горячего его вынимания? Или для этого нужен только true hardware raid? Если нельзя, то является ли такое горячее вынимание винта частным случаем его умирания? Если да, то значит софтварный рейд спасает не от всех проблем? Или горячее вынимание винта - это что-то приципиально другое с точки зрения железа? Спасибо. -- WBR, Alexander Burnos -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: software raid1 and sata hotswap
Hello! On Sun, Nov 18, 2007 at 04:27:04PM +0300, alex kuklin wrote: Есть linux software raid1 вот на таком вот железе: 00:1f.1 IDE interface: Intel Corporation 631xESB/632xESB IDE Controller (rev 09) 00:1f.2 IDE interface: Intel Corporation 631xESB/632xESB/3100 Chipset SATA Storage Controller IDE (rev 09) Debian etch, default kernel (2.6.18) Если исключить руками один из винтов из md (mdadm -f/-r), а потом вгорячую вытащить диск из системы, то все ок. Если же предварительно не исключать, а просто вгорячую вытащить привод, то будет видны сообщения типа ataX port is slow to respond и система подмерзнет и дальше либо бутается, либо так и остается висеть. Вопрос: можно ли как-то заставить linux software raid детектить то, что привод недоступен в случае горячего его вынимания? Или для этого нужен только true hardware raid? Этот контроллер не отрабатывает корректно потерю устройства. SiI 3114 - отрабатывает, но у него есть другие проблемы... Только что решил. Поставил его в ahci режим и завел с ahci драйвером, а не с ata_piix. Все заработало как надо, потеря устройства детектится хорошо. Спасибо за ответ. -- WBR, Alexander Burnos -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: software raid1 and sata hotswap
Hello! On Sun, Nov 18, 2007 at 08:38:59PM +0600, Mikhail Gusarov wrote: Надёжнее по /dev/disk/by-id/* винты идентифицировать, если это критично. В данном случае совсем не критично, т.к. после добавления нового винта я и так увижу как он добавился и вставлю его в raid. А после ребута в mdadm.conf стоит: DEVICE partitions Т.е. по идее найдет рейд там, где он будет, внезависимости от имени устройства. Просто для красоты узнать хочется, куда посмотреть, чтобы понять причины этого поведения. -- WBR, Alexander Burnos -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: software raid1 and sata hotswap
Hello! On Sun, Nov 18, 2007 at 04:48:21PM +0300, alex kuklin wrote: Только что решил. Поставил его в ahci режим и завел с ahci драйвером, а не с ata_piix. Все заработало как надо, потеря устройства детектится хорошо. Спасибо, занес в http://wiki.debian-community.ru/index.php/%D0%97%D0%B0%D0%BC%D0%B5%D1%82%D0%BA%D0%B8_%D0%BE_%D0%B6%D0%B5%D0%BB%D0%B5%D0%B7%D0%B5 будет желание - добавляйте информацию. Ок. По ходу дела, еще вопрос: вынимаю винт, вставляю - он появляется как sdc (до этого был sdb). Я думал что из-за того, что sdb держится рейдом еще, хотя и помечен как faulty после hot-remove. Сделал mdadm /dev/mdX -f/-r /dev/sdbX - не помогло. После вставок/удалений винта он упорно появляется как sdc, хотя sdb уже в системе нет. После ребута становится sdb опять. Я так понимаю, это штучки udev'а? Куда посмотреть, чтобы изменить это появление и винт появлялся с тем же именем, с которым был до его горячего удаления? Пните в нужную сторону, пожалуйста. -- WBR, Alexander Burnos -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Железо для хостинг а
Hello! On Sat, Nov 03, 2007 at 04:03:38AM +0300, Alex Kuklin wrote: -BEGIN PGP SIGNED MESSAGE- Hash: SHA1 Nick Phoenix wrote: По поводу удаленного управления: 1) HP - iLO 2) Dell - DRAC 3) для небрендового будет стоить дороже, чем сам сервер, например Avocent SwitchView IP 1020 + DataProbe iBoot обойдутся в 1000 $ 4) Supermicro - IMPI based add-on management card Если с железом все ок и руки торчат из нужного места, все это удаленное управление - баловство. IMHO Если есть возможность приехать к серверу - да, возможно. Иначе, они становятся необходимостью. Особенно, если час работы саппорта стоит столько же, сколько это remote management решение. -- WBR, Alexander Burnos -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Железо для хостинг а
Hello! On Sat, Nov 03, 2007 at 01:06:32PM +0300, Alex Kuklin wrote: Если есть возможность приехать к серверу - да, возможно. Иначе, они становятся необходимостью. Особенно, если час работы саппорта стоит столько же, сколько это remote management решение. Час работ саппорта нигде не стоит $1k. Я говорю о брендовых решениях в серверах, а не про внешние модули за $1k. К примеру, в supermicro IPMI карта с KVM'ом стоит порядка 100$, что соответсвует часу работы саппорта. Не уверен точно, но по-моему такие внутренние pci-management решения существуют и для обычных серверов. В нормальных местах можно купить услугу IPKVM и управление питанием. Лично для меня предпочтительней вложить в сервер на 100$ больше и максимально мало полагаться на саппорт. Т.к. IPKVM нужно подключить, снять, и т.д. Хотя тут уже все исходит от цены решения, конечно. Если решение вырисовывается в 1k$ и время реакции саппорта является приемлимым временем потенциального простоя, то подключаемый IPKVM имеет больший смысл. -- WBR, Alexander Burnos -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: bootable usb image
Hello! On Tue, Oct 30, 2007 at 10:26:10PM +0200, Oleg Gashev wrote: Где можно найти работающий img для usb flash? Отсюда? http://wiki.debian.org/DebianLive/Howto/USB Вначале есть ссылка на готовые .img. -- WBR, Alexander Burnos -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
bind negative caching when nameservers are unreachable
Приветствую! Подскажите, пожалуйста, возможно ли bind обучить кэшировать то, что ns'ы для какого-то домена недоступны? Сейчас, при каждом резолве домена, ns'ы которого лежат, идет постоянный timeout. Хочется, чтобы он кэшировал это и при последующи резолвах сразу выдавал что сервер недоступен до тех пор, пока этот кэш не проэкспайрится. Вот тут: ftp://ftp.rfc-editor.org/in-notes/rfc2308.txt 7.2 Dead / Unreachable Server (OPTIONAL) Написано что это можно делать с экспайром до 5-ти минут. Но судя по гуглению и читанию док - bind9 так не умеет. Поправьте, пожалуйста, если не прав и покажите куда смотрить. Заранее спасибо. -- WBR, Alexander Burnos -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
bind negative caching when nameservers are unreachable
Приветствую! Подскажите, пожалуйста, возможно ли bind обучить кэшировать то, что ns'ы для какого-то домена недоступны? Сейчас, при каждом резолве домена, ns'ы которого лежат, идет постоянный timeout. Хочется, чтобы он кэшировал это и при последующи резолвах сразу выдавал что сервер недоступен до тех пор, пока этот кэш не проэкспайрится. Вот тут: ftp://ftp.rfc-editor.org/in-notes/rfc2308.txt 7.2 Dead / Unreachable Server (OPTIONAL) Написано что это можно делать с экспайром до 5-ти минут. Но судя по гуглению и читанию док - bind9 так не умеет. Поправьте, пожалуйста, если не прав и покажите куда смотрить. Заранее спасибо. -- WBR, Alexander Burnos -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
reliable double ethernet connection
Приветствую! Есть необходимость включить сервер двумя ethernet-линками в свич для обеспечения избыточности и, следственно, надежности. (На самом деле, каждый линк будет включен в отдельный свич, но в целом это будет один ethernet сегмент и одна ip-подсеть). Собственно вопрос, кто как реализовывал подобную задачу чтобы трафик штатно ходил через один линк, а в случае падения основного - через второй. При условии, что ip-подсеть одна. Т.е. адреса меняться не должны, переключение должно быть исключительно на layer 2. Есть идея сделать через bridge-utils, т.е. сделать один br в котором будут оба интерфейса и запустить там stp. Но смущают две вещи, во-первых, я не уверен, еще не тестил, но кажется мне, что будут некоторые потери в производительности сети за счет того, что трафик будет обрабатываться через bridge. Во-вторых, отсутствие поддержки rSTP, что сильно увеличивает время простоя в случае проблем. Возможно есть еще какой-то красивый вариант? Подскажите, пожалуйста. Вариант: скрипт, который чекает раз в N секунд состояния линка и переключает их - это тоже вариант, конечно. Но хочется чего-то ненаколенкеписанного. -- WBR, Alexander Burnos -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: reliable double ethernet connection
Hello! On Mon, Oct 22, 2007 at 01:36:38PM +0200, Maxim Kudelya wrote: Есть необходимость включить сервер двумя ethernet-линками в свич для обеспечения избыточности и, следственно, надежности. Вам необходимо настроить ethernet bonding. Большое спасибо, самое оно. Из граблей наступил на то, что два гигибитных Realtek (r8169) не заработали друг с другом, при переключение линков модуль сетевой карты завешивал машину. Настроил в результате встроенную сетевую на чипсете Marvell (sky2) и одну карту из Realtek. У меня будут только e1000, так что все должно быть ок, я думаю. Насколько я понимаю, по крайней мере active backup, не должен существенно влиять на производительность сети. Но на всякий случай еще потестирую. -- WBR, Alexander Burnos -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: debian-testing-i386-netinst
Hello! On Sun, Oct 21, 2007 at 12:07:22PM +0400, Alexey Pechnikov wrote: P.S. Стабильный пробовал, но он не видит сетевую карту (драйвер e1000, кой черт не видит, без понятия), винт и т.д. А сетевой кабель включен и в состоянии UP при установке? -- WBR, Alexander Burnos -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: debian-testing-i386-netinst
Hello! On Sun, Oct 21, 2007 at 06:31:33PM +0400, Alexey Pechnikov wrote: P.S. Стабильный пробовал, но он не видит сетевую карту (драйвер e1000, кой черт не видит, без понятия), винт и т.д. А сетевой кабель включен и в состоянии UP при установке? Да. Тестинг сетевуху опознает и сеть настраивает (по dhcp). Просто на IBM/Lenovo x60s, по крайней мере, e1000 модуль подгружается, только если линк в апе. Что-то связано с энергосбережением вроде, в подроности не вникал. Абсолютно стабильно наблюдал картину, когда инсталлер stable (пару недель назад) не детектил e1000, если линк был down. -- WBR, Alexander Burnos -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: ECC or not ECC?
Hello! On Wed, Oct 03, 2007 at 06:48:38PM +0400, Oleg Rybnikov wrote: Использую DL360 G5, крутится etch iLO2 Advanced было бы вообще супер, но ремотная консоль работает только из под виндов(ActiveX) Но до бута ОС еще можно ею нарадоваться :) А virtual serial console вы заводили? Поделитесь строчкой в inittab. А то у меня вроде как все заводится, но некорректно символы передаются в нее, терминал не угадал или что.. Т.е. пытаюсь залогинится, если ввожу login: root, то сразу же отбивает Login incorrect. Если login: root, то спрашивает пароль, а потом отбивает Login incorrect. Пробовал разные комбинации baud rate/terminal Через ssh захожу на машину нормально. Что может быть? -- WBR, Alexander Burnos -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: ECC or not ECC?
Hello! On Fri, Oct 05, 2007 at 02:45:50AM +0300, Alexander Burnos wrote: Т.е. пытаюсь залогинится, если ввожу login: root, то сразу же отбивает Login incorrect. Если login: root, то спрашивает пароль, а потом отбивает Login incorrect. Торможу, сорри, вопрос снимается. Надо было в /etc/securetty добавить virtual serial console порт ttyS1 который у меня, иначе root login denied. -- WBR, Alexander Burnos -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: ECC or not ECC?
Hello! On Mon, Oct 01, 2007 at 06:58:12PM -0400, Nicholas wrote: Всем спасибо за ответы и советы. Остановился на HP DL320 G5. Там и сборка и брендовость и ECC и iLO2.. В свое время пришел в выводу что Dell PowerEdge имеет лучшую цену и большой плюс в возможности выбрать каждый компонент. Сравнивал я предложения от Dell'а, как-то не выгодней они получаются. А учитывая еще +200$ за management card, то вообще плохо.. Хотя, возможно, не туда смотрю. В независимости от того, что вы выберете - советую, если будете покупать через сайт, найти купон на скидку. Можно на их рассылку подписаться - пришлют или на сайтах-обзорах. Спасибо, но брать я буду не через официальный сайт все равно, вроде и так цена получается хорошая и ниже официально заявленной. Т.е. уже со скидкой вроде как. -- WBR, Alexander Burnos -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: ECC or not ECC?
Hello! On Tue, Oct 02, 2007 at 04:04:08PM +0300, Alexander Vlasov wrote: Всем спасибо за ответы и советы. Остановился на HP DL320 G5. Там и сборка и брендовость и ECC и iLO2. iLO -- oтличная вещь Вот потенциально она меня очень возбуждает уже :) Если я правильно понял, необходимость покупки serial console and power off device отпадает полностью. Наверняка уже кто-то юзает подобное, довольны железкой? Вроде на hp.com заявлено что на etch оно живет и радуется. А на практике? может помочь http://wiki.debian.org/HP/ProLiant Это видел, спасибо. Точно этой модели там нет, так что пожалуйста внесите по окончании истории 8) Внесу, как собственоручно проверю, что вот эта ссылка не врет: http://h71028.www7.hp.com/enterprise/cache/433096-0-0-225-121.html -- WBR, Alexander Burnos -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: ECC or not ECC?
Hello! On Wed, Oct 03, 2007 at 06:48:38PM +0400, Oleg Rybnikov wrote: Использую DL360 G5, крутится etch iLO2 Advanced было бы вообще супер, но ремотная консоль работает только из под виндов(ActiveX) А в общем и целом железкой доволен не думаю что на 320 могут быть какие-нить проблемы Спасибо, уже приступаю к кручению железки :) -- WBR, Alexander Burnos -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: ECC or not ECC?
Hello! Всем спасибо за ответы и советы. Остановился на HP DL320 G5. Там и сборка и брендовость и ECC и iLO2. Наверняка уже кто-то юзает подобное, довольны железкой? Вроде на hp.com заявлено что на etch оно живет и радуется. А на практике? P.S. просто железо еще не добралось до моих рук. -- WBR, Alexander Burnos -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Fwd: ECC or not ECC?
Hello! On Fri, Sep 28, 2007 at 03:47:45PM -0700, Alexey Buzykaev wrote: С другой, хочется получить достаточно надежное железо, которое не будет бутаться каждые 2 месяца по непонятным причинам. Нормальное железо, работает конечно и более чем по 2 месяца без ECC, но если нужна надёжность, лучше конечно взять с ECC - есть вполне бюджетные (не сервачные) варианты. А примеры бюджетных можно? Под 775 сокет необходимо. И не будет ли это дешево и плохо? Или бюджетные варианты матерей с ECC работают не хуже серверных. Приходилось, на счётных задачах, где одиночные ошибки критичны - выбиралось конечно с ECC. Выбор ECC or not ECC - зависит от задачи, если выяснение что что-то идёт не так - быстро и легко становится заметным и такой результат можно отделить от правильного - можно брать без ECC. Но если результатом неправильности будет переодический крэш софта - то тогда уж лучше с ECC, наверное. -- WBR, Alexander Burnos -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: ECC or not ECC?
Hello! On Sat, Sep 29, 2007 at 06:08:03PM +0300, Maxim Tyurin wrote: Извините за оффтопик, но сейчас стоит задача собрать десяток серверов под топик и насущный вопрос: брать память с ECC или нет? А смотря чем сервер будет заниматься. Если он в процессе работы хранит в RAM не модифицируемые данные то ECC нужен. Если он постоянно генерит что-то (например web-страницы) на основе данных с дисков то без ECC прекрасно можно обойтись. О, разумно. Спасибо. -- WBR, Alexander Burnos -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
ECC or not ECC?
Здравствуйте! Извините за оффтопик, но сейчас стоит задача собрать десяток серверов под топик и насущный вопрос: брать память с ECC или нет? Примерная конфигурация: процессор что-нибудь из последних продуктов intel, но не xeon'ы, памяти 2-4 гигабайта. С одной стороны, вполне приемлимо собрать все на обычном десктопном железе, не переплачивая за серверную мать, и т.д. Как показывает практика, на большинстве задач такое решение живет, учитывая его меньшую себестоимость перед серверным вариантом. С другой, хочется получить достаточно надежное железо, которое не будет бутаться каждые 2 месяца по непонятным причинам. В связи с этим вопрос: насколько память с ECC повысит надежность конфигурации? У самого не было опыта работы с конфигурациями с такой памятью. Все вокруг говорят что овчинка выделки не стоит, т.е. заметной выгоды от нее не будет. Мой опыт говорит о том, что либо память битая, либо нет. Обычно либо большие проблемы и железки нужно менять, либо все работает и горя не знает. А что говорит ваш опыт? ECC or not ECC? Действительно ли преимущество ее не так заметно на глаз, или система станет намного надежнее? Ну и раз уже затронул тему, какие платформы наиболее устойчиво работают под топиком (мать/проц/память)? Кому-нибудь приходилось собирать N однородных серверов для топика и время показало что проблем нет, uptime рушится только при апгрейде ядра? -- WBR, Alexander Burnos -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: ECC or not ECC?
Hello! On Thu, Sep 27, 2007 at 05:17:08PM +0300, Alexander Vlasov wrote: Если экономим и берем не-серверный вариант, то тогда воркстейшенский. офиснодесктопный не стоит. Ну да, воркстейшенский подразумевался :) С другой, хочется получить достаточно надежное железо, которое не будет бутаться каждые 2 месяца по непонятным причинам. Обратитесь к любимому сборщику, объясните ситуацию. Он пойдет вам навстречу -- а что, 10 килобаксов не лишние. Как вариант, просто там, где они будут собираться - любимого сборщика не будет. Платить за брендовые HP/IBM тоже не хочется. Но поискать поищу. Ну вообще говоря стабильность сервера мало зависит от того, если ли рядом еще сервера такой же аппаратной конфигурации 8/ Вопрос был с точки зрения статистики. Если кто-то собрал N одинаковых платформ и они все работают стабильно, то значит, скорее всего, такая конфигурация стабильна в целом. По одной сборке этого не скажешь. А процессоры и памяти все работают, пока не сгорят. с матплатами смешнее, но за то и платят сборщику, чтоб он собрал и менял по мере выхода из строя. Это понятно, но встречаются откровенно нестабильные варианты. Либо железо некачественное просто попадалось.. -- WBR, Alexander Burnos -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: auditd - не работает
Hello! On Tue, Sep 25, 2007 at 08:41:50AM +0400, Oleg Maloglovets wrote: Система - Debian testing/unstable ядро - 2.6.22-2-686 auditctl version 1.5.3 демон auditd запускается, работает, пишет начальные сведения в лог ... но при попытке добавить любое правило ругается: # auditctl -w /tmp Error sending add rule data request (Invalid argument) google не помог, может из коллег кто в курсе - что не так? Честно говоря не использовал audit, но беглый просмотр подсказывает: а что если явно указать permissions? т.е. вроде auditctl -w /tmp -p e P.S. Спасибо за наводку на audit, буду ковырять, там мониторинг syscall'ов для процесса. Как раз то, что мне нужно было :) -- WBR, Alexander Burnos -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: auditd - не работает
Hello! On Wed, Sep 26, 2007 at 01:57:59PM +0300, Alexander Burnos wrote: Система - Debian testing/unstable ядро - 2.6.22-2-686 auditctl version 1.5.3 демон auditd запускается, работает, пишет начальные сведения в лог ... но при попытке добавить любое правило ругается: # auditctl -w /tmp Error sending add rule data request (Invalid argument) google не помог, может из коллег кто в курсе - что не так? Честно говоря не использовал audit, но беглый просмотр подсказывает: а что если явно указать permissions? т.е. вроде auditctl -w /tmp -p e Похоже, глупость сказал, так тоже не работает, Sorry. -- WBR, Alexander Burnos -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
serial console server hardware [q]
Приветствую! Поделитесь опытом, пожалуйста. Есть необходимость сделать serial console сервер на топике портов на 16-32. В моем понимании все просто, берем serial мультипортовку, в нее включаем N серверов, на серверах настраиваем консоль через serial, на самом serial console сервере используем cu/minicom по вкусу для доступа. Или есть какие-то нюансы, которые нужно учесть сразу? Ну и собственно вопрос по сути, какую мультипортовку посоветуете? Есть опыт работы с девайсом, который гарантированно заводится и не глючит под топиком? Нужен девайс на 16 портов, но не проблема взять N девайсов по (16/N) портов. Спасибо! -- WBR, Alexander Burnos -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: serial console server hardware [q]
Hello! On Wed, Sep 26, 2007 at 07:04:28PM +0400, Pavel Ammosov wrote: Есть необходимость сделать serial console сервер на топике портов на 16-32. В моем понимании все просто, берем serial мультипортовку, в нее включаем N У меня есть мнение, что это overhead как по размерам так и по цене. Мне кажется легче купить 2 шт Cisco 2511 RJ каждая по 16 асинк портов на борту и получить полностью железную надежную консоль без головной боли и по 1U на 16 портов. Как вариант, но одна debian машина для разных management целей все равно будет в стойке, так что купить еще мультипортовку всяко дешевле, чем 2511. Вместо винтажной cisco2511 лучше взять готовый терминальный сервер от cyclades, будет больше функционала. В частности: работающий ssh, сохранение вывода на терминальных линиях (удобно oops/паники разглядывать), передача текста в syslog и тп. О, а это уже интереснее. Спасибо за наводку. -- WBR, Alexander Burnos -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
screen reattach and split's
Приветствую! Есть у меня конфиг для screen'а, который сплитит скрин на несколько областей и в каждой из них запускает свою задачу. Конфиг примерно такой: split split split screen -t window 1 1 command1 focus down screen -t window 2 1 command2 focus down screen -t window 3 1 command3 focus down Но если сделать detach/reattach скрина, то все эти split'ы теряются, каждая задача снова разворачивается на полное окно. Как бы сделать так, чтобы после reattach'а скрина появлялась такая же картинка, как и при первом старте, когда читается этот конфиг? Пока что вижу два решения: 1. После реаттача руками восстанавливать красоту :) 2. Не реаттачить, а просто каждый раз заново запускать скрины, переодически подчищая старые висящий (command1/2/3 позволяют запускать себя сколько угодно раз). Кто-нибудь подскажет лучшее решение? -- WBR, Alexander Burnos -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: system cpu load monitoring q
Hello! On Mon, Aug 27, 2007 at 09:08:56PM +0400, Nikita V. Youshchenko wrote: Попробуйте поставить более позднее ядро (если у вас etch, то см. backports.org) Пробовал очень много ядер и родные и самосборные, эффект один. Если с ним то же самое, то напишите в linux kernel mailing list. Возможно, ваш test case будет представлять интерес. Наверное так и сделаю, только соберу больше статистики. Не оставляет мысль, что это я что-то не так делаю. Ведь проблема ну очень явная, неужели больше никто ее не замечает. Или просто люди не запускают более одной java-машины на сервере? Вряд ли. -- WBR, Alexander Burnos -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: strange ps behavior
Hello! On Mon, Aug 27, 2007 at 10:48:56AM +0300, Покотиленко Костик wrote: username больше определённой длины. чтобы получить полный вывод, делается заголовок длиннее, надо указать для столбца USER ширину. например, вот так: ps ax -O user:16 Кто бы мог подумать, что ps такой вумный :-D Это он начиная с какой-то версии начал так себя вести, раньше просто рубил username до нужной длины. -- WBR, Alexander Burnos -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: система документир ования .
Hello! On Wed, Aug 22, 2007 at 04:07:16PM +0400, Alexander Mestiashvili wrote: Hi All . подскажите систему для создания документации для предриятия . надо документировать сеть начиная от физичекого уровня и выше , а также сервера и прочее оборудование . наверняка сушествуют стандарты на эту тему , где о них можно почитать ? Немного не то, конечно, но для ручного ведения документации мне понравился Knowledgeroot http://www.knowledgeroot.org/ -- WBR, Alexander Burnos -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: strange ps behavior
Hello! On Fri, Aug 24, 2007 at 10:21:34AM +0300, Alexey Sheynuk wrote: username больше определённой длины. чтобы получить полный вывод, делается заголовок длиннее, надо указать для столбца USER ширину. например, вот так: ps ax -O user:16 Тьху, а ларчик то просто открывался.. спасибо :) Именно оно. -- WBR, Alexander Burnos -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: strange ps behavior
Hello! On Thu, Aug 23, 2007 at 08:08:22PM +0400, Yuri Kozlov wrote: Заметил следующее интересное поведение ps, в некоторых случаях при выводе ps u(ax) он не показывает username в колонке USER, а вместо этого показывает числовой uid юзера. При этом это наблюдается не для всех пользователей системы, а лишь для части. Чем они отличаются от других - не обнаружил. Это могут быть и реальные пользователи, могут быть псевдо-пользователи. Объединяет их то, что uid 1000 и созданы они были руками после инстала системы. Но есть и такие, для которых uid 1000, но ps отображается их username в выводе корректно. Что нужно сделать чтобы воспроизвести у себя этот баг? Если бы я знал, возможно знал бы куда копать. Вот, к примеру: # uname -a Linux puma 2.6.18-5-686 #1 SMP Sun Aug 12 21:57:02 UTC 2007 i686 GNU/Linux # cat /etc/debian_version 4.0 # ps u -Umessagebus USER PID %CPU %MEMVSZ RSS TTY STAT START TIME COMMAND 104 2267 0.0 0.0 2248 672 ?Ss Aug16 0:00 /usr/bin/dbus-daemon --system # id messagebus uid=104(messagebus) gid=107(messagebus) groups=107(messagebus) # sudo -u messagebus /usr/local/bin/getuid uid: 104, name: messagebus # top -p2267 PID USER PR NI VIRT RES SHR S %CPU %MEMTIME+ COMMAND 2267 messageb 16 0 2248 672 524 S0 0.0 0:00.00 dbus-daemon Т.е. везде username по этому uid'у определяется корректно, getuid - это вызов getuid и getpwname(uid). И только ps показывает uid в колонке USER. При этом user'а везде разные, как-то рандомно оно не работает. На разных серверах, но везде 2.6 ядро. Там, где 2.4 - такого эффекта нет. -- WBR, Alexander Burnos -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
strange ps behavior
Здравствуйте! Заметил следующее интересное поведение ps, в некоторых случаях при выводе ps u(ax) он не показывает username в колонке USER, а вместо этого показывает числовой uid юзера. При этом это наблюдается не для всех пользователей системы, а лишь для части. Чем они отличаются от других - не обнаружил. Это могут быть и реальные пользователи, могут быть псевдо-пользователи. Объединяет их то, что uid 1000 и созданы они были руками после инстала системы. Но есть и такие, для которых uid 1000, но ps отображается их username в выводе корректно. Наблюдается это устойчиво, как если запускать ps от рута, так и если от самого проблемного пользователя. Вот такой вот кусок кода: uid = getuid(); pswd = getpwuid(uid); printf(uid: %d, name: %s\n, uid, pswd-pw_name); Показывает для всех все корректно. Кстати, top тоже отображает username правильно. Не уверен, но вроде бы такой эффект наблюдается только на серверах с 2.6 ядром. Debian etch. В принципе, мелочь, но хотелось бы разобраться, чтобы наверняка быть уверенным что это какая-то особенность системы, а не результат стороннего вмешательства в нее. Подскажет ли уважаемое community куда посмотреть, чтобы понять природу явления? Если идей нет, то пойду инспектировать сорцы ps, но пока что нет времени на это. -- WBR, Alexander Burnos -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
upgrade chain: sarge (2.4) - etch (2.6) - etch (2.4) failed
Приветствую! Жил-был sarge на самосборном 2.4 с patch-o-matic. После, sarge был проапгрейжен до etch с родным 2.6.18 ядром, все прошло нормально. Далее возникла необходимость откатиться на 2.4 ядро обратно, забутал старое 2.4 ядро в новый etch и получил следующее: VFS: Cannot open root device 301 or unknown-block(3,1) Please append a correct root= boot option Kernel panic - not syncing: VFS: Unable to mount root fs on unknown-block(3,1) Железо не менялось. Я не совсем понимаю физику процесса, почему ядро, которое успешно работало с этим железом на sarge - перестало понимать root device на etch? Какое из изменений может мешать ему корректно работать? Подскажите, пожалуйста, в какую сторону можно посмотреть. Спасибо. -- WBR, Alexander Burnos -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: upgrade chain: sarge (2.4) - etch (2.6) - etch (2.4) failed
Hello! On Thu, Aug 16, 2007 at 10:04:31PM +0700, Mikhail Gusarov wrote: AB Я не совсем понимаю физику процесса, почему ядро, которое успешно работало AB с этим железом на sarge - перестало понимать root device на etch? Какое из AB изменений может мешать ему корректно работать? udev требует новое ядро. И initramfs мог некорректно отработать. Они самые. Снес их (вместе с 2.6 ядром :) и 2.4 взлетело. Спасибо! -- WBR, Alexander Burnos -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: убегает время
Hello! On Wed, Aug 08, 2007 at 09:33:11AM +0400, Stanislav Maslovski wrote: На одном из серверов (sarge) стало убегать время. Началось это буквально сегодня. Стоит и запущен openntpd. Синхронизирую ntpdate'ом, за час время уходит на 20-30 секунд. ntpdate -q pool.ntp.org server 91.102.248.122, stratum 3, offset 22.093132, delay 0.14041 7 Aug 19:02:41 ntpdate[16255]: step time server 91.102.248.122 offset 22.093132 sec Вот такое набежало примерно за час после очередной синхронизации. Куда бы посмотреть, что это может быть? Проверьте, что у Вас в /etc/adjtime. Если первое число пододозрительно велико (по модулю): Было так: root#billy[0]~cat /etc/adjtime 0.00 110300 0.00 110300 UTC # ntpdate pool.ntp.org # echo 0.0 0 0.0 /etc/adjtime # hwclock --systohc --utc root#billy[0]~ntpdate pool.ntp.org 8 Aug 03:39:59 ntpdate[13406]: step time server 88.198.44.10 offset 717.269688 sec Это уже за ночь набежало. root#billy[0]~hwclock --systohc --utc Cannot access the Hardware Clock via any known method. Use the --debug option to see the details of our search for an access method. root#billy[0]~hwclock --debug --systohc --utc hwclock from util-linux-2.12p hwclock: Open of /dev/rtc failed, errno=2: No such file or directory. No usable clock interface found. Cannot access the Hardware Clock via any known method. root#billy[0]~modprobe -l | g rtc root#billy[0]~ root#billy[0]/usr/srcgrep -i rtc /boot/config-2.6.20.1 # CONFIG_HPET_EMULATE_RTC is not set CONFIG_RTC=y CONFIG_HPET_RTC_IRQ=y # CONFIG_RTC_CLASS is not set root#billy[0]/usr/src Материнка случаем не NForce2? NForce точно, NForce2 именно ли - не знаю, lspci не показывает, в dmesg не вижу. Машина удаленная. Как можно точно проверить? -- WBR, Alexander Burnos -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: убегает время
Hello! On Wed, Aug 08, 2007 at 10:10:32AM +0400, Stanislav Maslovski wrote: В догонку: Если дело было не в слишком большой разнице во времени на момент (ре)старта сервера, то проверьте настройки ntpd. Попробуйте удалить/обнулить drift файл ntpd. Где-то в /var/lib/ntp/... Ессно, ntpd надо бы стопануть перед/стартануть после. Нет, тут с рестартом ничего связано не было, увы. Кстати, забыл сказать, вместе с ростом offset'а времени также на сервере были и всплески load'а очень резкие. Вроде как la 0.9, через пару секунд la 30 и сразу же начинает спадать. Причину всплесков я на тот момент не увидел, но вплески вроде как ушли, а время убегать продолжило. -- WBR, Alexander Burnos -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: убегает время
Hello! On Wed, Aug 08, 2007 at 12:40:10PM +0400, Stanislav Maslovski wrote: root#billy[0]~hwclock --debug --systohc --utc hwclock from util-linux-2.12p hwclock: Open of /dev/rtc failed, errno=2: No such file or directory. No usable clock interface found. Cannot access the Hardware Clock via any known method. root#billy[0]~modprobe -l | g rtc root#billy[0]~ root#billy[0]/usr/srcgrep -i rtc /boot/config-2.6.20.1 # CONFIG_HPET_EMULATE_RTC is not set CONFIG_RTC=y CONFIG_HPET_RTC_IRQ=y # CONFIG_RTC_CLASS is not set root#billy[0]/usr/src ls -l /dev/rtc ? ls: /dev/rtc: No such file or directory udev ? Нету, но ядро 2.6. Материнка случаем не NForce2? NForce точно, NForce2 именно ли - не знаю, lspci не показывает, в dmesg не вижу. Машина удаленная. Как можно точно проверить? На NForce такое наблюдалось c 2.6 ядрами, workaround - noapic в опциях ядра. Спасибо, попробую. У Вас не amd64 случаем? Железо точно не менялось? amd64, Вы просто телепат :) Простите что приходится выпытывать из меня все. Железо точно не менялось, даже не было ребута. Все началось внезапно. Сделайте-ка вот что: # while true; do cat /proc/interrupts; sleep 1; done шквала прерываний нигде не видим? Нет, вроде все в норме, соизмеримо с другими аналогичными серверами. Я, конечно, бутну его с noapic и, кажется мне, что проблема должна исчезнуть. Но хотелось бы понять ее природу, пока она воспроизводима. -- WBR, Alexander Burnos -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: убегает время
Hello! On Wed, Aug 08, 2007 at 04:11:25PM +0400, Alexander GQ Gerasiov wrote: root#billy[0]~hwclock --debug --systohc --utc hwclock from util-linux-2.12p hwclock: Open of /dev/rtc failed, errno=2: No such file or directory. No usable clock interface found. Cannot access the Hardware Clock via any known method. root#billy[0]~modprobe -l | g rtc root#billy[0]~ root#billy[0]/usr/srcgrep -i rtc /boot/config-2.6.20.1 # CONFIG_HPET_EMULATE_RTC is not set CONFIG_RTC=y CONFIG_HPET_RTC_IRQ=y # CONFIG_RTC_CLASS is not set root#billy[0]/usr/src ls -l /dev/rtc ? ls: /dev/rtc: No such file or directory udev ? Нету, но ядро 2.6. Ты, конечно ценитель %) Честное слово, еще не возникала необходимость udev юзать. Как-то все без него летало, ну и ладно. Слыхать слыхивал, руками не трогал :) Даже неудобно как-то :) Либо используй удев, либо таки создай устройство сам. Уже поставил. -- WBR, Alexander Burnos -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: убегает время
Hello! On Wed, Aug 08, 2007 at 02:58:19PM +0300, Alexander Burnos wrote: On Wed, Aug 08, 2007 at 12:40:10PM +0400, Stanislav Maslovski wrote: root#billy[0]~hwclock --debug --systohc --utc hwclock from util-linux-2.12p hwclock: Open of /dev/rtc failed, errno=2: No such file or directory. No usable clock interface found. Cannot access the Hardware Clock via any known method. root#billy[0]~modprobe -l | g rtc root#billy[0]~ root#billy[0]/usr/srcgrep -i rtc /boot/config-2.6.20.1 # CONFIG_HPET_EMULATE_RTC is not set CONFIG_RTC=y CONFIG_HPET_RTC_IRQ=y # CONFIG_RTC_CLASS is not set root#billy[0]/usr/src ls -l /dev/rtc ? ls: /dev/rtc: No such file or directory udev ? Нету, но ядро 2.6. Поставил udev, девайс создан. root#billy[0]~ntpdate pool.ntp.org 8 Aug 08:19:25 ntpdate[17702]: adjust time server 141.82.30.251 offset -0.007811 sec root#billy[0]~echo 0.0 0 0.0 /etc/adjtime root#billy[0]~hwclock --systohc --utc Все прошло успешно. Наблюдаю как будет себя вести.. Только вот все равно машина себя как-то странно ведет. Вроде как подмирает переодически. Попробую при буте noapic сделать, только вот непонятно почему она раньше работала безпроблемно, а тут вдруг выдала. -- WBR, Alexander Burnos -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: убегает время
Hello! On Wed, Aug 08, 2007 at 04:34:10PM +0400, Stanislav Maslovski wrote: root#billy[0]~ntpdate pool.ntp.org 8 Aug 08:19:25 ntpdate[17702]: adjust time server 141.82.30.251 offset -0.007811 sec root#billy[0]~echo 0.0 0 0.0 /etc/adjtime root#billy[0]~hwclock --systohc --utc Все прошло успешно. Наблюдаю как будет себя вести.. Только вот все равно машина себя как-то странно ведет. Вроде как подмирает переодически. Попробую при буте noapic сделать, только вот непонятно почему она раньше работала безпроблемно, а тут вдруг выдала. Еще бы батареечку проверить не мешало бы ;) (см. в сторону sensors) Кажется мне, не в ней дело. Потому как вот прямо сейчас наблюдаю залипания сервера и последующие всплески la до 80-90. И это явно не процессы ее грузят. Что-то с железом.. А что Вы говорили про nforce2/amd64? На 2.6 ядрах apic барахлит или что-то еще? -- WBR, Alexander Burnos -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: убегает время
Hello! On Wed, Aug 08, 2007 at 05:33:33PM +0400, Stanislav Maslovski wrote: Потому как вот прямо сейчас наблюдаю залипания сервера и последующие всплески la до 80-90. И это явно не процессы ее грузят. Что-то с железом.. А что Вы говорили про nforce2/amd64? На 2.6 ядрах apic барахлит или что-то еще? См. мой ответ to Max Dmitrichenko. Спасибо за очень толковые ответы. В итоге перезагрузил сервер, подниматься не захотел, на serial console увидел обрывок вот такого вот: ata1.00: exception Emask 0x0 SAct 0x0 SErr 0x0 action 0x2 frozen ata1.00: cmd 35/00:48:fb:28:1e/00:01:00:00:00/e0 tag 0 cdb 0x0 data 167936 out res 40/00:00:00:00:00/00:00:00:00:00/00 Emask 0x4 (timeout) ata1: port is slow to respond, please be После этого бутнул удаленно по питанию, 10:02:52 up 47 min, 2 users, load average: 0.45, 0.36, 0.24 ntpdate -q pool.ntp.org server 64.142.114.146, stratum 2, offset -0.096367, delay 0.06238 8 Aug 10:03:11 ntpdate[21760]: adjust time server 64.142.114.146 offset -0.096367 sec Пока что полет нормальный. apic/lapic не выключал. Посмотрим что скажет под нагрузкой. -- WBR, Alexander Burnos -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: убегает время
Hello! On Wed, Aug 08, 2007 at 06:34:37PM +0400, Stanislav Maslovski wrote: ata1.00: exception Emask 0x0 SAct 0x0 SErr 0x0 action 0x2 frozen ata1.00: cmd 35/00:48:fb:28:1e/00:01:00:00:00/e0 tag 0 cdb 0x0 data 167936 out res 40/00:00:00:00:00/00:00:00:00:00/00 Emask 0x4 (timeout) ata1: port is slow to respond, please be После этого бутнул удаленно по питанию, Гугл выдает вот это: https://bugs.launchpad.net/ubuntu/+source/linux-source-2.6.20/+bug/37382 https://bugs.launchpad.net/ubuntu/+source/linux-source-2.6.20/+bug/64587 Это я нашел.. но разбираться буду позже, наверное. Сейчас взлетело и вроде летит нормально. Удовлетворюсь пока что этим :) Еще раз спасибо за помощь. -- WBR, Alexander Burnos -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
убегает время
Приветствую! На одном из серверов (sarge) стало убегать время. Началось это буквально сегодня. Стоит и запущен openntpd. Синхронизирую ntpdate'ом, за час время уходит на 20-30 секунд. ntpdate -q pool.ntp.org server 91.102.248.122, stratum 3, offset 22.093132, delay 0.14041 7 Aug 19:02:41 ntpdate[16255]: step time server 91.102.248.122 offset 22.093132 sec Вот такое набежало примерно за час после очередной синхронизации. Куда бы посмотреть, что это может быть? Заранее спасибо. -- WBR, Alexander Burnos -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: routing issue (iproute2 and DNAT)
Hello! On Fri, Jul 20, 2007 at 01:28:36AM -0400, Nicholas wrote: 1. iptables Предположу что ситуация такая: От линка 2 приходят пакеты на tun0(3.3.3.3) и днатятся на 1.1.1.1 далее ответ от сервера уходит от src 1.1.1.1 (вы же снат не используете). Да, именно так. Но в итоге, пакет, который уходит наружу имеет src 3.3.3.3, т.к. DNAT отслеживает этот коннекшн и переписывает src 1.1.1.1 на src 3.3.3.3. Но вот _на каком_ этапе происходит это обратный rewrite src на нужный нам, я не смог определить. По тому, что я видел, на всех этапах цепочки iptables src остается 1.1.1.1, но наружу уже уходит с src 3.3.3.3. Т.е. цепочка такая: Входящий пакет: (src:some_where|dst:3.3.3.3) - DNAT - (src:some_where|dst:1.1.1.1). Ответ: (src:1.1.1.1|dst:some_where) - (DNAT engine that rewrites src) - (src:3.3.3.3|dst:some_where) Т.е. DNAT сам отслеживает коннекшн и корректно возвращает нужный src-пакету. Но! Этот механизм срабатывает уже _после_ routing decision. Т.е. сначала принимается решение о том, что пакет нужно смаршрутизировать по дефолту (т.к. видно что src:1.1.1.1), а потом уже переписывается на src:3.3.3.3. И, повторюсь, похоже что по iptables пакет проходит с src:1.1.1.1. По крайней мере я хотел отловить пакет с src:3.3.3.3 на всех этапах iptables, но нигде не было попаданий. Но наружу пакет уходит с src:3.3.3.3 это точно. Я бы попробовал добавить снат: -t nat -A POSTROUTING -p tcp -d линк 2 -j SNAT ... 3.3.3.3 Т.е. для входящих пакетов src переписывать на src-интерфейса? Нельзя, приложений должно видеть src-ip клиентского софта, который к нему обращается. 2. route 32765: from 3.3.3.3 lookup tun0_net Возможно вместо 3.3.3.3 стоит использовать ip линка 2 ? http://gazette.linux.ru.net/rus/articles/lartc/c322.html 4.1. Простая маршрутизация по источнику. Возможно мы немного запутались, 3.3.3.3 и есть ip линка 2. Еще раз обрисую схему: (eth0:2.2.2.2)-\ - DNAT (lo:1.1.1.1) (tun0:3.3.3.3)-/ 1. Если пакет заходит через eth0, то его dst переписывается на 1.1.1.1, ответ от приложения уходит с (src:1.1.1.1, dst:client_ip). Этот пакет попадает в DNAT, DNAT распознает в нем уже начатую сессию и переписывает его на (src:2.2.2.2|dst:client_ip). 2. Если пакет заходит через tun0, происходит тоже самое, только DNAT переписывает его src на адрес tun0, т.е. 3.3.3.3 Все хорошо, так и должно работать. Но, принятие решения о том, куда нужно маршрутизировать пакет происходит _до_ того, как DNAT перепишет src исходящего с сервера пакета на правильный. Т.е. механизм раутинга всегда рассматривает ситуацию так, вроде src у пакета 1.1.1.1, а значит он должен уйти в eth0. В итоге имеем то, что в eth0 уходят ответы с src:2.2.2.2 и src:3.3.3.3 (сначала принято решение о раутинге, потом DNAT вернул правильный src). Задача состоит в том, чтобы как-то вклиниться _после_ того, как DNAT переписал src-ip (чтобы понять, куда его нужно раутить по-настоящему) и либо как-то перезапустить процесс раутинга, либо переписать его через -j ROUTE. Но вот этой самой точки, когда DNAT вернул src-адрес я в цепочке iptables отследить не смог. === solution === В общем, я сделал следующим образом: -t nat -A PREROUTING -p tcp -d 3.3.3.3 --dport 80 -j DNAT --to-destination 1.1.1.1:80 -t mangle -A PREROUTING -i tun0 -m state --state NEW -j CONNMARK --set-mark 1 -t mangle -A OUTPUT -j CONNMARK --restore-mark Ну и: 32761: from all fwmark 0x1 lookup tun0_net таким образом все работает корректно. Да, и еще нужно отключить rp_filter. 3. И еще совет - удобно сделать iptables-save iptables_v1 и редактировать файл, а потом делать iptables-restore iptables_v2 Спасибо. -- WBR, Alexander Burnos -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
routing issue (iproute2 and DNAT)
Здравствуйте! Схема следующая: 1. На сервере слушает приложение, допустим на адресе 1.1.1.1:10080 2. К серверу подключены 2 линка, по одному из них он доступен как 2.2.2.2 (interface eth0), по другому 3.3.3.3 (interface tun0). 80-е порты внеших адресов 2.2.2.2 и 3.3.3.3 DNAT'ятся на 1.1.1.1:10080 следующим образом: /sbin/iptables -t nat -A PREROUTING -p tcp -d 2.2.2.2 --dport 80 -j DNAT --to-destination 1.1.1.1:10080 /sbin/iptables -t nat -A PREROUTING -p tcp -d 3.3.3.3 --dport 80 -j DNAT --to-destination 1.1.1.1:10080 3. Есть следующие правила iproute2: 0: from all lookup local 32765: from 3.3.3.3 lookup tun0_net 32766: from all lookup main 32767: from all lookup default Ну и ip route list table tun0_net: default dev tun0 scope link То есть, пакеты приходящие на dst-ip 3.3.3.3 (без DNAT'а) получают ответ от сервера в интерфейс tun0. Все остальное - по дефолту в eth0. Но когда в дело включается DNAT - начинаются проблемы. Насколько я понимаю, routing decision происходит _до_ DNAT'а. Соотственно, пакеты от 1.1.1.1:10080 раутятся в eth0 в любом случае. DNAT потом переписывает src-ip на 3.3.3.3, если пакет пришел через tun0, но поезд ушел, маршрут уже определен. Получается некрасивая ассиметрия. Какие есть пути решения этой проблемы? Я нашел ROUTE target в iptables, по идее это можно использовать, но, насколько я понимаю, для этого нужны патчи. А хотелось бы обойтись стандартными механизмами. Или ROUTE на уровне iptables единственный вариант? -- WBR, Alexander Burnos -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: routing issue (iproute2 and DNAT)
Hello! On Thu, Jul 19, 2007 at 05:55:15PM -0400, Nicholas wrote: Alexander Burnos wrote: 1.1.1.1:10080 раутятся в eth0 в любом случае. DNAT потом переписывает src-ip на DNAT прописывает дестинайшин, а не src. Да. Вы SNAT используете ? Нет, именно DNAT. Вы пишете что и 1.1.1.1 и 2.2.2.2 и 3.3.3.3 - адреса сервера, а какие адреса линков ? То в какой интерфейс уходит ответ зависит от того кто прислал запрос. Или я неправильно вас понял... На eth0 висят адреса 1.1.1.1/32 и 2.2.2.2/32, на tun0 3.3.3.3/32. Вместо /32 что-то другое может быть, но это не суть важно. Главное, что сервер отзывается на 2-й адрес через eth0, а на 3-й через tun0. Фактически, первый адрес не обязательно должен быть реальным. Приложение можно повесить слушать и на 127/8. Суть в том, что запросы приходят по 2-м отдельным линкам, по 2-м отдельным интерфейсам, по 2-м отдельным адресам, но попадают в итоге на один адрес:порт, на котором слушает приложение на этом сервере. Поэтому именно DNAT, т.к. меняется destination пакета (приходит на 1 из 2-х возможных адресов, но в итоге должен попадать на один единственный адрес:порт). Т.е. схема такая, условно: eth0(2.2.2.2)|\ | DNAT-lo(1.1.1.1) tun0(3.3.3.3)|/ -- WBR, Alexander Burnos -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
tcp tunning
Здравствуйте! Есть debian-машина с 2.6 ядром. На ней переодически наблюдаются tcp-таймауты. (Определенные сервисы чекаются нагиосом), просто не удается законнектится к сокету на этом сервере. Причем есть аналогичные сервера с аналогичными сервисами и примерно одинаковой нагрузкой, где такие проблемы не наблюдаются. Грешу на какие-то особенности тюнинга tcp на сервере, но не знаю на какие именно. Стал гуглить, не нашел вменяемого мануала по тюнингу tcp. Все очень обзорно увеличить буфера/увеличить backlog. Хотелось бы не бездумно делать, а как-то с пониманием источника проблемы. netstat -s -t показывает много всего, но какие именно из ошибок приводят к подобному поведению - мне пока что не ясно. В общем, к чему я это все :) Поделитесь, пожалуйста, хорошей обширной докой по тюнингу нетворкинга linux'а, объяснением нюансов значений того, что видно в netstat -s -t, и т.д. Есть ли такое, где все собрано в одном месте? Заранее спасибо. -- WBR, Alexander Burnos -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: tcp tunning
Hello! On Mon, Jun 04, 2007 at 05:58:22PM +0400, [EMAIL PROTECTED] wrote: On Mon, 4 Jun 2007, Alexander Burnos wrote: В общем, к чему я это все :) Поделитесь, пожалуйста, хорошей обширной докой по тюнингу нетворкинга linux'а, объяснением нюансов значений того, что видно в netstat -s -t, и т.д. Есть ли такое, где все собрано в одном месте? По моему нет. Стоит посмотреть в http://www.yolinux.com/TUTORIALS/LinuxTutorialNetworking.html возможно по ссылкам и найдете, что-то интересное :) Спасибо, посмотрю. По настройке TPC стека в ядре недавно проскакивала статья: http://dsd.lbl.gov/TCP-tuning/linux.html Это я видел, не особо помогло. -- WBR, Alexander Burnos -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Web mail - какой он?
Hello! А что из всего перечисленного еще и поиск хорошо по почте умеет делать? Желательно чтобы эффективно искал по ~1 письмам. Есть такая веб-морда? On Tue, May 29, 2007 at 12:03:20PM +0300, Alexander Vlasov wrote: Мы roundcube выбрали. В Пнд, 28/05/2007 в 10:34 +0400, Sapytsky Ilya пишет: Добрый день! начинаю настраивать почтовый сервер для одной маленькой, но очень распределенной организации планируется postfix+postgrey+spf+amavis-new+clamav+spamassassin +popa3d|courier-imap-ssl Наверное надо еще tls, но пока курю доки по этому поводу. И т.к. организация распределенная хочется сделать еще и web рожу ко всему этому безобразию, т.к. иногда пользователи в командировках и без буков. Чего нужно - 1. русский фейс 2. поддержку pop3 не обязательно, можно и обойтись 3. поддержка папок, в т.ч. и на русском языке (создание, переименование, удаление, чтобы на локальном клиенте тоже нормально смотрелись). Локально буду ставить thunderbird. 4. адресная книга Спасибо. -- Alexander Vlasov ZULU-UANIC JID: zulu at jabber.kiev.ua -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED] -- WBR, Alexander Burnos -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: resize / on working system
Hello! On Tue, May 22, 2007 at 05:52:00PM +0300, Mikolaj Golub wrote: AB On Tue, May 22, 2007 at 04:24:29PM +0400, Alexander GQ Gerasiov wrote: Почему это? Если мы уменьшаем ФС, то есть вероятность, что stage2 окажется в новом месте. А тогда stage1 его без переустановки не найдет. Как я это дело понимаю, во время установки в stage1 хардкодится положение первого блока stage2 (или stage1.5), который уже умеет работать с ФС. А, понял, речь про stage2. Не углядел. Тогда да, надо переустановить груб. AB Вот-вот.. где собака порылась. AB В общем ошибка ясна, всем спасибо. Ну это только одна из возможных причин. Вариант, что cfdisk постарался, возможно даже более вероятен. Или с mbr что-то приключилось, или начало раздела не совпадает с тем, который раньше был. Не знаю, но не исключаю возможность, что разное ПО имеет свое собственное представление, как выбирать границы разделов. По крайней мере вижу, в cfdisk имеется чудная комманда: mMaximize disk usage of the current partition. This command will recover the the unused space between the partition table and the beginning of the partition, but at the cost of making the partition incompatible with DOS, OS/2 and possibly other operating systems. Интересное продолжение проблемы. Как оказалось, grub не был убит, ровно как и mbr. Т.к. саппорт с той стороны смог загрузить меня в /dev/sda5 систему. Предположительно по логам, /dev/sda1 и не загружалась. Т.е. grub живой и все его stages на месте, как я понимаю. fdisk показывает теперь так: Device Boot Start End Blocks Id System /dev/sda1 * 1 632 5076508+ 83 Linux /dev/sda2 19128 19457 26507255 Extended /dev/sda5 19128 19457 2650693+ 83 Linux sda1 живой и успешно маунтится. Почему же может не бутаться? Куда копнуть? К сожалению, приходится гадать, пока что не добился от саппорта информации что же видно на консоли при попытке забутать sda1. -- WBR, Alexander Burnos -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: resize / on working system
Hello! On Wed, May 23, 2007 at 12:17:33PM +0300, Mikolaj Golub wrote: AB Предположительно по логам, /dev/sda1 и не загружалась. AB Т.е. grub живой и все его stages на месте, как я понимаю. fdisk AB показывает теперь так: ABDevice Boot Start End Blocks Id System AB /dev/sda1 * 1 632 5076508+ 83 Linux AB /dev/sda2 19128 19457 26507255 Extended AB /dev/sda5 19128 19457 2650693+ 83 Linux AB sda1 живой и успешно маунтится. AB Почему же может не бутаться? Куда копнуть? К сожалению, приходится AB гадать, пока что не добился от саппорта информации что же видно на AB консоли при попытке забутать sda1. Ну, в принципе, можно не гадать, а посмотреть ;-) Спасибо :) qemu /dev/sda grub действительно живой, когда пытаюсь загрузить систему с sda1, то начинает грузится, монтирует корень, а потом зависает после: Begin: Waiting for root file system... ... Если пытаюсь загрузить систему с sda5, то через qemu получаю следующее: root (hd0,4) Error 5: Partition table invalid or corrupt Не через qemu все наоборот, в sda5 грузится, в sda1 - вообще нет. Что там на консоли до сих пор не известно. -- WBR, Alexander Burnos -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: resize / on working system
Hello! On Wed, May 23, 2007 at 02:49:07PM +0300, Alexander Burnos wrote: Hello! On Wed, May 23, 2007 at 12:17:33PM +0300, Mikolaj Golub wrote: AB Предположительно по логам, /dev/sda1 и не загружалась. AB Т.е. grub живой и все его stages на месте, как я понимаю. fdisk AB показывает теперь так: ABDevice Boot Start End Blocks Id System AB /dev/sda1 * 1 632 5076508+ 83 Linux AB /dev/sda2 19128 19457 26507255 Extended AB /dev/sda5 19128 19457 2650693+ 83 Linux AB sda1 живой и успешно маунтится. AB Почему же может не бутаться? Куда копнуть? К сожалению, приходится AB гадать, пока что не добился от саппорта информации что же видно на AB консоли при попытке забутать sda1. P.S. переустанавливал grub через grub-install на всякий случай. Не помогло. -- WBR, Alexander Burnos -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: resize / on working system
Hello! On Wed, May 23, 2007 at 02:51:13PM +0300, Alexander Burnos wrote: AB Почему же может не бутаться? Куда копнуть? К сожалению, приходится AB гадать, пока что не добился от саппорта информации что же видно на AB консоли при попытке забутать sda1. P.S. переустанавливал grub через grub-install на всякий случай. Не помогло. Все, решил вопрос. Насторожило то, что количество Blocks в разделе, которые показывал fdisk были несколько меньше, чем blocks файловой системы, которые видно через df. fdisk'ом удалил раздел, создал таким, чтобы Blocks было заведомо больше, чем в выводе df, сделал grub-install. Бутнулся. Ву-а-ля. Все работает :) -- WBR, Alexander Burnos -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: resize / on working system
Hello! On Wed, May 23, 2007 at 03:28:33PM +0300, Mikolaj Golub wrote: On Wed, 23 May 2007 14:49:07 +0300 Alexander Burnos wrote: qemu /dev/sda AB grub действительно живой, когда пытаюсь загрузить систему с sda1, то AB начинает грузится, монтирует корень, а потом зависает после: AB Begin: Waiting for root file system... ... Скорее всего это связано с тем, что в бут-параметрах ядра стоит root=/dev/sda1, а когда грузится в qemu, то этот диск уже /dev/hda, вот он и не может найти рутовую ФС. Нужно перед загрузкой в qemu поменять параметр ядра root=/dev/sda1 на root=/dev/hda1 Да, вероятней всего в этом причина. Ну да я уже убил вторую систему и успешно настраиваю первую с измененными разделами. Всем огромное спасибо за помощь. -- WBR, Alexander Burnos -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: resize / on working system
Hello! On Tue, May 22, 2007 at 01:08:59PM +0400, Иван Лох wrote: On Tue, May 22, 2007 at 11:28:09AM +0300, Alexander Burnos wrote: Или grub как-то по-другому стал к этому все относиться? Возможно стоило переинициализировать grub (к этому варианту больше всего склоняюсь). Да. Теперь у Вас скорее всего нет стадии 1.5 grub в новой системе. (/boot/grub/) он в процессе инициализации grub создается. Эта стадия лежит где-то за пределами fs? Т.к. /boot/grub был и остался в оригинальном /. P.S. Я такие маневры успешно проделывал пару раз (всегда через своп). Завидую :) Ну если дело и правда в grub'е, то значит моя ситуация будет спасена recovery cd с их стороны и восстановлением grub'а. -- WBR, Alexander Burnos -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: resize / on working system
Hello! On Tue, May 22, 2007 at 01:51:32PM +0400, Alexander GQ Gerasiov wrote: 1. Может быть не стоило делать партишн больше размера fs? Может нужно было байт-в-байт размер сделать? Нет, это нормально, партишн делать чуть больше фс, а затем фс расширять до размера партишна. 2. Возможно cfdisk, при удалении первого партишна, потер и mbr? Или grub как-то по-другому стал к этому все относиться? Возможно стоило переинициализировать grub (к этому варианту больше всего склоняюсь). Я бы вообще cfdisk'ом не пользовался. fdisk он как-то надежнее, потому как менее умный. ИМХО больше похоже на то, что груб стоял не в mbr а в первом разделе. Хотя нет, раздел же на том же самом месте создан. Может все-таки cfdisk чего умного сделал? Да, возможно cfdisk напартачил. Не стоило его юзать. Но пока что неизвестно что произошло. Совет на будущее, вначале те же самые операции прогонять на виртуальной машине дома. Я все действия пробовал на домашней машине. Правда не ресайзил именно раздел с загрузчиком, т.к. тестовые условия несколько отличались от реальных. А виртуальную машину создать поленился.. а стоило бы, да. -- WBR, Alexander Burnos -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: resize / on working system
Hello! On Tue, May 22, 2007 at 04:24:29PM +0400, Alexander GQ Gerasiov wrote: Почему это? Если мы уменьшаем ФС, то есть вероятность, что stage2 окажется в новом месте. А тогда stage1 его без переустановки не найдет. Как я это дело понимаю, во время установки в stage1 хардкодится положение первого блока stage2 (или stage1.5), который уже умеет работать с ФС. А, понял, речь про stage2. Не углядел. Тогда да, надо переустановить груб. Вот-вот.. где собака порылась. В общем ошибка ясна, всем спасибо. -- WBR, Alexander Burnos -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
resize / on working system
Здравствуйте! А реально ли изменить размер /, при условии что это единственный раздел на всей системе и доступа к консоли нет? Fs: ext3. parted отказывается работать на примонтированных разделах. Если реально, то поделитесь опытом, плз. Еще раз повторюсь: работа только удаленная, консоли нет. Есть идея создать какой-нибудь ramdisk, загрузиться в свой реальный /, потом как-то перевести / на этот ramdisk, отмонтировать реальный / и с ним работать.. или бред? -- WBR, Alexander Burnos -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: resize / on working system
Hello! On Mon, May 21, 2007 at 12:48:59PM +0300, Игорь Чумак wrote: Если есть своп-раздел, можно создать внутри него ещё 1 root#2 (debootstrap например) , загрузиться в root#2, сделать операцию над root#1 , загрузиться в root#1, восстановить swap За идею со swap'ом спасибо! Сейчас пытаюсь реализовать.. -- WBR, Alexander Burnos -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: resize / on working system
Hello! On Mon, May 21, 2007 at 01:51:07PM +0400, Alexander GQ Gerasiov wrote: На Mon, 21 May 2007 12:03:46 +0300 Alexander Burnos [EMAIL PROTECTED] записано: Здравствуйте! А реально ли изменить размер /, при условии что это единственный раздел на всей системе и доступа к консоли нет? Fs: ext3. reiserfs позволяет увеличивать примонтированный раздел. Насчет ext3 в мане написано: If the filesystem is mounted, it can be used to expand the size of the mounted filesystem, assuming the kernel supports on-line resizing. (As of this writing, the Linux 2.6 kernel supports on-line resize for filesystems mounted using ext3 only.). resise2fs(8) Все же у меня ext3, не рейзер. Попробовал resize2fs на отмонтированном разделе, он действительно может уменьшить разделы файловой системы.. но только вот раздел остается прежним. fdisk как видел его целиком, так и видит. -- WBR, Alexander Burnos -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: resize / on working system
Hello! On Mon, May 21, 2007 at 04:53:08PM +0300, Mikolaj Golub wrote: parted отказывается работать на примонтированных разделах. А если fdisk? Что-то сомневаюсь, что он откажется переразбить, по крайней мере, не вижу что бы ему помешало. Ядро да -- не сможет перечитать таблицу разделов. Ну так увеличить раздел, перегрузиться, а потом resise2fs. Главное, осторожно с переразбивкой -- убедиться, что начало раздела не поменялось. Допустим, я загрузился в систему, которую поставил на бывший swap-раздел и оригинальный / на данный момент отмонтирован. Таблица разделов выглядит так: Device Boot Start End Blocks Id System /dev/sda1 * 1 19127 153637596 83 Linux /dev/sda2 19128 19457 26507255 Extended /dev/sda5 19128 19457 2650693+ 82 Linux swap / Solaris Как мне уменьшить /dev/sda1 и на освободившемся месте сделать еще пару разделов, при этом чтобы система на /dev/sda1 осталась целой? Если уменьшу fs через resize2fs, потом удалю /dev/sda1 fdisk'ом и создам вместо него раздел == разделу fs, до которого я уменьшил ext3 - прокатит? Или сомнительная затея? parted какой-то битый, когда на etch пытаюсь им уменьшить ext3 раздел, получаю такое: Error: File system has an incompatible feature enabled. -- WBR, Alexander Burnos -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: resize / on working system
Hello! On Mon, May 21, 2007 at 06:08:59PM +0400, Alexander GQ Gerasiov wrote: Все же у меня ext3, не рейзер. Попробовал resize2fs на отмонтированном разделе, он действительно может уменьшить разделы файловой системы.. но только вот раздел остается прежним. fdisk как видел его целиком, так и видит. А таблицу разделов он как раз трогать и не должен. Он тебе fs уменьшил, а не раздел. Т.е. я потом fdisk'ом удаляю этот раздел и создаю вместо него такой, который соответствует размеру fs, правильно понял? -- WBR, Alexander Burnos -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: resize / on working system
Hello! On Mon, May 21, 2007 at 06:09:49PM +0400, Artem Chuprina wrote: AB Все же у меня ext3, не рейзер. Попробовал resize2fs на отмонтированном AB разделе, он действительно может уменьшить разделы файловой системы.. но AB только вот раздел остается прежним. fdisk как видел его целиком, так и AB видит. Мухи отдельно, котлеты отдельно. Отдельно файловая система, отдельно раздел, на котором она расположена. Главное - чтобы в каждый момент эта файловая система на этот раздел помещалась (т.е. если уменьшать - то сначала файловую систему, а потом раздел, а если увеличивать - то наоборот). Тормозил. Все, врубился. Мои тесты показывают что схема вполне себе живет (resize2fs - fdisk delete/create partition). Всем большое спасибо за помощь! -- WBR, Alexander Burnos -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
screen [q]
Приветствую! Сорри, небольшой оффтоп. Запускаю screen с примерно таким конфигом: === startup_message off defwrap off split split split somecommand focus down somecommand focus down somecommand === При запуске получаю желаемый эффект, окно разделено на 3 поля в каждом из которых выполняется по команде. Но если я делаю detach, а потом reattach, то это разделение на поля исчезает, вижу последнее активное окно на весь screen. Как бы сделать так, чтобы после reattach все эти split разделения оставались видны? Сам пока не нашел.. Спасибо. -- WBR, Alexander Burnos -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
several gateways in one subnet
Здравствуйте! Есть такая задача: иметь в одной подсети (192.168.0.0/24, допустим) 2 гейтвея. К примеру 192.168.0.1 и 192.168.0.2 - которые будут реально привязаны к одному раутеру. При этом, если у клиента стоит gw 192.168.0.1, то пакеты обрабатываются одним способом (допустим попадают в 1-ю routing table), если gw 192.168.0.2, то другим. Насколько я понимаю, на гейте невозможно определить какой именно адрес nexthop был использован клиентом для отправки пакетов. Или я глубоко ошибаюсь? Если ошибаюсь, то киньте линком куда смотреть? Если нет, то как тогда можно решить подобную задачу? Пытался сделать так: Сделал отдельное физическое включение (eth1) в тот же сегмент LAN и повесил на него 192.168.0.2/32 адрес. Но не смотря на это, arp'ы для 192.168.0.2 отдаются на интерфейсе (и с mac'ом интерфейса), где навешена 192.168.0.0/24 (eth0). Привязывал статик arp 192.168.0.2 к mac'у интерфейса с 192.168.0.2/32 (eth1), но все равно arp отвечается на eth0 и с маком eth0. (при этом tcpdump'ом на eth1 видны arp запросы от хостов, но ответа нет). kernel: 2.6.8-3-686 Заранее спасибо. -- WBR, Alexander Burnos -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
ps/top/etc hangs
Здравствуйте! Наткнулся на следующую проблему: На одном из серверов, sarge, 2.4.27-3-686-smp kernel вдруг любые попытки просмотреть текущие процессы приводят к подвисанию утилит. Т.е. пытаюсь сделать ps - нет никакого вывода на экран, висит и все, на ctrl+c/ctrl+\ не реагирует. Выглядит примерно так: root#host[0]~ps Попытка убить его с другой консоли, вроде killall ps - заканчивается точно таким же подвисанием killall. Тоже самое, например, с top. При этом в директорию /proc можно попасть без проблем, а также во все поддиректории процессов. Все остальное продолжает работать, как и работало. Лечится ребутом. Что это может быть? В какие-то лимиты система упирается? Но в какие? В логах пусто. -- WBR, Alexander Burnos -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: ps/top/etc hangs
Hello! On Mon, Mar 26, 2007 at 11:16:55PM +0700, Roman Busyguin wrote: В Пнд, 26/03/2007 в 18:16 +0300, Alexander Burnos пишет: Здравствуйте! Наткнулся на следующую проблему: На одном из серверов, sarge, 2.4.27-3-686-smp kernel вдруг любые попытки просмотреть текущие процессы приводят к подвисанию утилит. Т.е. пытаюсь сделать ps - нет никакого вывода на экран, висит и все, на ctrl+c/ctrl+\ не реагирует. Выглядит примерно так: root#host[0]~ps А что говорит strace/ltrace ps/top? Протормозил, это и не посмотрел. Спасибо за наводку, в следующий раз протрейсю и скажу результат. P.S. мне посоветовали проверить на наличие руткитов, chkrootkit/rkhunter говорят что все в порядке. -- WBR, Alexander Burnos -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: шифрованная ФС
Hello! On Wed, Mar 21, 2007 at 06:03:51PM +0300, Dmitry E. Oboukhov wrote: кто-либо пользуется сабжем? если да то каким? вопрос. насколько я понимаю само шифрование можно сделать в виде использования ключа или же в случае если ключом будет пароль (или хеш к нему) второй случай в случае применения маски шоу и потом серьезной вычтехники представляется малосекьюрным а первый - таскание ключа на отдельном носителе представляется малоудобным: в том же случае маскишоу может носитель оказаться рядом с хостом и все: шифрования нет. какие наработки есть по поводу совмещения удобства и секьюрности никто не даст ссылочек на почитать или своими словами бы рассказал? В TrueCrypt есть понятие Hidden раздела. Это раздел, который находится внутри зашифрованной партиции. По идее работает так: к Вам применяют терморектальный криптоанализ, Вы говорите пароль от зашифрованного раздела, они его открывают и ничего не находят/находят псевдоважные данные. Чтобы открыть hidden раздел во-первых надо знать что он там есть (утверждают, что определить существует он или нет - невозможно), во-вторых знать второй пароль от него. Это в теории я так у них вычитал, на практике сам не пробовал. Но звучит работоспособно. -- WBR, Alexander Burnos -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
undefined load average
Здравствуйте! Есть sarge + самосборное 2.6.20.1 ядро с kernel.org. Переодически возникают странные всплески load average до 10-12, при этом процессор idle 50%. На винт особая нагрузка на идет, ничего выдающегося. Судя по vmstat в runnable проскакивают 1-5 задач, не больше, в blocked вообще по нулям. То есть запора в диске нету. Короче все выглядит так, как и тогда, когда нет всплеска la (стандартно la 1-2). Куда еще посоветуете посмотреть? Визуально - все в порядке, никто машину не грузит. А load average есть, что напрягает. Ну не бывает же дыма без огня. Такая картина наблюдается и на других серверах с 2.6 ядром, не обязательно только на этом. Спасибо. -- WBR, Alexander Burnos -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
backports kernel source question
Здравствуйте! Вопрос: накладываются ли все security патчи на ядра, которые есть в бэкпортах? Конкретно интересуют вот эти пакеты: linux-source-2.6.14 - Linux kernel source for version 2.6.14 with Debian patches linux-source-2.6.15 - Linux kernel source for version 2.6.15 with Debian patches linux-source-2.6.16 - Linux kernel source for version 2.6.16 with Debian patches linux-source-2.6.17 - Linux kernel source for version 2.6.17 with Debian patches linux-source-2.6.18 - Linux kernel source for version 2.6.18 with Debian patches Я так понимаю, они берутся из testing'а. В testing'е security patches накладываются на все эти ядра, или же только на последнее, т.е. 2.6.18? Киньте, плз, линком, где про эти полиси апдейтов можно почитать. Заранее спасибо. -- WBR, Alexander Burnos -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: backports kernel source question
Hello! On Wed, Feb 21, 2007 at 05:12:32PM +0300, [EMAIL PROTECTED] wrote: On Wed, 21 Feb 2007, Alexander Burnos wrote: Здравствуйте! Вопрос: накладываются ли все security патчи на ядра, которые есть в бэкпортах? Конкретно интересуют вот эти пакеты: linux-source-2.6.14 - Linux kernel source for version 2.6.14 with Debian patches linux-source-2.6.15 - Linux kernel source for version 2.6.15 with Debian patches linux-source-2.6.16 - Linux kernel source for version 2.6.16 with Debian patches linux-source-2.6.17 - Linux kernel source for version 2.6.17 with Debian patches linux-source-2.6.18 - Linux kernel source for version 2.6.18 with Debian patches Я так понимаю, они берутся из testing'а. В testing'е security patches накладываются на все эти ядра, или же только на последнее, т.е. 2.6.18? Киньте, плз, линком, где про эти полиси апдейтов можно почитать. Заранее спасибо. Если речь идет об linux-source то при чём здесь бекпорт? При том, что в sarge нету ядра 2.6.18, насколько я знаю. Или ошибаюсь? Идем в debian/pool/main/l/linux-2.6/ имеется пакет linux-source-2.6.18_2.6.18-7_all.deb патчи которые _уже были_ приложены содержатся в пакете linux-patch-debian-2.6.18_2.6.18-7_all.deb Внутри пакета краткое описание и скриптик для отката имеется. Ну а написано об этом в Debian Linux Kernel Handbook: http://kernel-handbook.alioth.debian.org/ ссылка на который имеется в Debian Reference: http://www.debian.org/doc/manuals/debian-reference/ Спасибо. -- WBR, Alexander Burnos -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: 2.6
Hello! On Mon, Feb 12, 2007 at 01:09:12PM +0300, Иван Лох wrote: И напоследок -- насколько же паскудный в 2.6 шедулер... :( Может, для сервера он и лучше 2.4, но на обычной рабочей (как и на домашней) машине оно встает на 10-30 секунд в почти мертвый клинч в ситуациях, в которых на 2.4 просто все начинало работать чуть медленнее. А музыку Хм. В каких ситуациях? Вот-вот, и я о том же. Мое предыдущее абстрактное письмо про java на 2.4/2.6 наверное в эту же точку. На 2.4 несколько java-машин сосуществуют на ура, на 2.6 теже самые приложения - создают la, а в пиковые моменты вообще машину в клинч вгоняют. Причем это бывает в самые случайные моменты, когда какие-то неудачные условия создаются, видимо, и шедулер не успевает их разгребсти. -- WBR, Alexander Burnos -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: 2.6
Hello! On Mon, Feb 12, 2007 at 02:42:21PM +0300, Иван Лох wrote: В любых при большой загрузке. Такое ощущение, что чем выше активность процесса, тем реже у него отбирают процессор. И от nice level это не очень сильно зависит -- vacuum большой sqlite-овской базы делает машину практически неработоспобной даже при nice -19. А памяти для этой операции хватает? Если нет, то надо политику свопирования поменять. Вы про /proc/sys/vm/swappiness? Или другие рычаги? -- WBR, Alexander Burnos -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
networking restart ip addresses mixing
Здравствуйте! Какое-то время назад я обращался в рассылку с проблемой о том, что на debian машине с одним eth0 интерфейсом (адрес приходит по dhcp) и несколькими eth0:X алиасами (статик) происходят странности - иногда основным outgoing source адресом для машины становится какой-нибудь адрес их алиасов eth0:X, а не адрес eth0. Т.е., к примеру, на машине: ip a l eth0 2: eth0: BROADCAST,MULTICAST,UP mtu 1500 qdisc pfifo_fast qlen 1000 link/ether 00:11:11:b1:f1:5a brd ff:ff:ff:ff:ff:ff inet x.x.235.142/32 brd x.x.235.142 scope global eth0 inet x.x.154.175/32 brd x.x.154.175 scope global eth0:1 inet x.x.154.176/32 brd x.x.154.176 scope global eth0:2 ip r g 193.0.0.193 193.0.0.193 via 10.255.255.1 dev eth0 src x.x.235.142 cache mtu 1500 advmss 1460 Но после того, как сеть передергивается (может по dhcp, может физикой) - есть вероятность того, что адреса перемешаются и получится что-то вроде следующего: ip a l 2: eth0: BROADCAST,MULTICAST,UP mtu 1500 qdisc pfifo_fast qlen 1000 link/ether 00:11:11:b1:f1:5a brd ff:ff:ff:ff:ff:ff inet x.x.154.175/32 brd x.x.154.175 scope global eth0:1 inet x.x.154.176/32 brd x.x.154.176 scope global eth0:2 inet x.x.235.142/32 brd x.x.235.142 scope global eth0 ip r g 193.0.0.193 193.0.0.193 via 10.255.255.1 dev eth0 src x.x.154.175 cache mtu 1500 advmss 1460 Мне посоветовали не использовать механизм eth0:x алиасов, а прописывать адреса через iface eth0 inet dhcp up ip addr add x.x.154.175 dev eth0 up ip addr add x.x.154.175 dev eth0 Я так и сделал, но ничего по сути не изменилось. Изменение source адреса это еще полбеды, хотя и неприятная вещь. Не так давно вообще неприятная ситуация случилась, ethernet-шнурок был включен/выключен, после этого, видимо, передернулось dhcp, адреса не только перемешались, но и один вообще исчез из конфига интерфейса, что было достаточно критичным для работы системы. Резюмирую: во время передергивания сети адреса на интерфейсе могут перемешаться и иногда вообще исчезнуть с конфига интерфейса. Это происходит не часто, но уверенно было замечено на нескольких разных серверах. Везде основной адрес по dhcp + остальное прописывается статиком на интерфейс. Такой эффект можно отловить только если сетку дергать после старта системы. Во время бута - все всегда конфигурится уверенно, кк надо. Debian sarge. Что можете посоветовать? -- WBR, Alexander Burnos -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: networking restart ip addresses mixing
Hello! On Fri, Feb 09, 2007 at 06:19:59PM +0300, Artem Chuprina wrote: AB Резюмирую: во время передергивания сети адреса на интерфейсе могут AB перемешаться и иногда вообще исчезнуть с конфига интерфейса. Это AB происходит не часто, но уверенно было замечено на нескольких разных AB серверах. Везде основной адрес по dhcp + остальное прописывается AB статиком на интерфейс. AB Такой эффект можно отловить только если сетку дергать после старта AB системы. Во время бута - все всегда конфигурится уверенно, кк надо. AB Debian sarge. Что можете посоветовать? Могу посоветовать в таблице роутинга явно указывать src. Ок, допустим. Но проблему с исчезновением адреса вообще - это не решает. Такое случилось всего один раз, но было очень неприятно и критично. -- WBR, Alexander Burnos -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: networking restart ip addresses mixing
Hello! On Fri, Feb 09, 2007 at 06:43:29PM +0300, Artem Chuprina wrote: Alexander Burnos - debian-russian@lists.debian.org @ Fri, 9 Feb 2007 17:29:18 +0200: AB Резюмирую: во время передергивания сети адреса на интерфейсе могут AB перемешаться и иногда вообще исчезнуть с конфига интерфейса. Это AB происходит не часто, но уверенно было замечено на нескольких разных AB серверах. Везде основной адрес по dhcp + остальное прописывается AB статиком на интерфейс. AB Такой эффект можно отловить только если сетку дергать после старта AB системы. Во время бута - все всегда конфигурится уверенно, кк надо. AB Debian sarge. Что можете посоветовать? Могу посоветовать в таблице роутинга явно указывать src. AB Ок, допустим. Но проблему с исчезновением адреса вообще - это не решает. AB Такое случилось всего один раз, но было очень неприятно и критично. Вообще-то обычно в таких конфигурациях DHCP не пользуются, вешают статику сразу. Увы, реальность данная нам в ощущениях. Конфигурация может быть только такой. Сам бы не прочь полностью на статик переехать. Как вариант - дополнительные адреса развешивают на lo, но у тебя, кажется, не тот случай (это хорошо, когда они все из одной сетки, и снаружи знают, кто туда роутер). Кстати, вариант, спасибо за идею. Адреса действительно из разных подсетей, но реально это включение в один сегмент. Раутят их мне все правильно в один интерфейс, от меня все уходит в один гейт. Единственное что, нужно будет на eth0 proxy-arp включить, насколько я понимаю. Или eth0 и без него ответит arp-запросу на адреса, которые на lo висят? P.S. Это все workaround'ы, может кто-то боролся с проблемой глобальней? Ведь это явно не нормальное поведение при ifup'е интерфейсов. -- WBR, Alexander Burnos -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
