Снаружи прилетают текстовые, пожатые файлы (сплошной бесконечный поток, который нельзя тормозить). Небольшие, метров по 100, 150 и иногда в них случается плохое и они распаковываются в 200Гб. Хочется на таких плохих файлах падать (exit 1), и не пытаться дальше их обработать.

что-то типа такого
lzcat file.lzma| uberpv --max_pipe_size 10G --max_line_size 50M | .....

cstream умеет размер, но он выходит с exit 0, что плохо.


UPD: в общем набросал копипасты https://github.com/den-crane/pipe-size-fuse

https://ru-root.livejournal.com/2909279.html

Заблокирую Вашу подсеть для доступа из РФ. Быстро. Бесплатно // Павел Д.

https://ru-root.livejournal.com/2909127.html

с нашей стороны strongswan (пробовали разные версии 5.6.1, 5.6.2, на разных платформах - cent7, fbsd11). С той некая cisco asa. В конфиге пачка rightsubnet подключенных через also. Проблема одна, примерно через сутки живым (INSTALLED, TUNNEL) остается только первый rightsubnet из базового конфига. Меняешь в конфиге на другой, теперь он будет жив. Куда копать?

config setup
# nat_traversal=yes
# interfaces="%defaultroute"
charondebug="asn 1, enc 1, job 1, knl 2"
# strictcrlpolicy=no

#conn %default
# type=tunnel
# keyingtries=5
#
# dpdaction=clear
# dpddelay=35s
# dpdtimeout=300s
#
# rekey=no
#

conn cl-net
ikelifetime=24h
keylife=8h
type=tunnel
keyingtries=5
auto=start
keyexchange=ikev1
authby=psk
compress=no
fragmentation=yes
mobike=no
dpdaction=restart
# dpdaction=hold
dpddelay=35s
dpdtimeout=300s
ike=aes256-sha1-modp1024
esp=aes256-sha1-modp1024
left=1.2.3.4
leftid=1.2.3.4
leftsubnet=10.200.1.1/32
right=5.6.7.8
rightid=it-nsk-frunze4-fw1
rightsubnet=172.20.9.246/32

conn cl-net21
also=cl-net
rightsubnet=172.20.11.21/32

conn cl-net22
also=cl-net
rightsubnet=172.20.11.22/32

conn cl-net23
also=cl-net
rightsubnet=172.20.11.23/32

conn cl-net24
also=cl-net
rightsubnet=172.20.11.24/32

conn cl-net25
also=cl-net
rightsubnet=172.20.11.25/32

conn cl-net26
also=cl-net
rightsubnet=172.20.11.26/32

conn cl-net27
also=cl-net
rightsubnet=172.20.11.27/32

conn cl-net28
also=cl-net
rightsubnet=172.20.11.28/32

conn cl-net29
also=cl-net
rightsubnet=172.20.11.29/32

https://ru-root.livejournal.com/2908905.html

Имеется nginx, установленный на убунте (Server: nginx/1.10.3 (Ubuntu))
В нём сконфигурирована пара https-серверов на одном и том же IP-адресе и порте, но первый использует в server_name пару доменных имён, а второй - просто IP-адрес.

Сертификаты у серверов разные, но почему-то при попытке присоединиться ко второму, используя просто https://IP-адрес/ , вылезает сертификат от первого сервера.
wget ругается, что The certificate's owner does not match hostname ‘IP-адрес’ , а браузеры тоже ругаются на небезопасное соединение и явно показывают сертификат от первого сервера.
Для проверки, что соединение идёт не просто к первому серверу, я попросил администратора поменять у второго сервера root, и первый сервер продолжал работать, а второй начал выдавать код 403, но всё равно используя сертификат от первого.

Вот отчего такое может быть? Как ко второму серверу прицепить его собственный сертификат??

Upd: похоже, использование IP-адреса в качестве имени сайта толком не работает, поэтому nginx и использует сертификат от сервера с доменным именем. Чтобы использовать сертификат от сервера с IP-адресом, в его параметр listen надо добавить default_server, тогда он и будет использоваться для всех соединений, кроме тех, где SNI совпадает с server_name от других серверов, приделанных к этому же IP и порту.

https://ru-root.livejournal.com/2908572.html

Дано:
SSD Crucial MX500 - 500GB, для ежедневного пользования
и HDD HGST 4TB, для backup - картиночек с забавными котятами и исторических фот.

HDD отформатирован mkfs.ext4 -O metadata_csum,64bit -T largefile
показывает logical и physical block size - 4096 bytes. Годно, для хранения длинных файлов.

SSD, показывает logical - 512 bytes и physical block size - 4096 bytes.
man mkfs.f2fs за опцию -O показывает только encrypt и более, никакой информации не найти в этих ваших интернетах.

Можно ли, и как, отформатировать SSD с logical и physical block size - 4096 bytes?
Знаю, что управляет записью и считыванием данных непосредственно микроконтроллер SSD.

https://ru-root.livejournal.com/2908391.html

сгенерил ключ
openssl genpkey -algorithm gost2001 -pkeyopt paramset:A -out ca.key

а вытащить оттуда паблик не соображу как...

ps. как из сертификата вытащить я знаю

https://ru-root.livejournal.com/2908099.html

дано: xenial на далеком хостинге. Надо дать возможность разработчику гонять там genymotion. Через vnc. Но vnc не может в opengl. Ладно, ставлю virtulgl, glxgears запускается, а genymotion нет. Ставлю x2go, genymotion запускается, но не может запустить из под себя vbox. При этом сам по себе vbox запускается без проблем. Ставлю nomachine, genymotion на старте валится в кору. Но! Если зайти через ipkvm и запустить genymotion, то далее в nm оно работает без проблем. Что вписать в xorg.conf чтобы оно заработало сразу?

https://ru-root.livejournal.com/2907705.html

ceph version 10.2.10

создаем
ceph-disk prepare --dmcrypt --dmcrypt-key-dir /tmp/key/ --fs-type xfs --cluster ceph /dev/sda
1) кладет с прибором на указание положить ключи в /tmp/key
2) в процессе что-то вякает про passphrase, но ввети его не удается

итог в соответсвии с
http://pad.ceph.com/p/osd-key-management

те ключи не в /etc/ceph/dmcrypt-keys, а где-то в недрах.
ключа почему-то два, хотя итоговых устройства 4
/dev/sda :
/dev/sda2 ceph journal (dmcrypt LUKS /dev/dm-3), for /dev/sda1
/dev/sda3 ceph lockbox, active, for /dev/sda1
/dev/sda1 ceph data (dmcrypt LUKS /dev/dm-0), cluster ceph, osd.8, journal /dev/sda2
/dev/sdb :
/dev/sdb2 ceph journal (dmcrypt LUKS /dev/dm-1), for /dev/sdb1
/dev/sdb3 ceph lockbox, active, for /dev/sdb1
/dev/sdb1 ceph data (dmcrypt LUKS /dev/dm-2), cluster ceph, osd.7, journal /dev/sdb2

ключи можно вытащить через ceph config-key get, но использовать непосредственно, тыкая в них cryptsetup, не получается
No key available with this passphrase.

что забыл, где не прав?

https://ru-root.livejournal.com/2907537.html

С начала 2005 и до конца 2017 - пользовался GMail. Удобно и практично.
И вдрук - обнаружил в себе некие параноидальные отклонения, что не к лицу гордому Nazi панку.

За годный сервис - нужно платить, на данном этапе развития инета.
Сравнение трёх secure e-mail сервисов.

Позитивное - есть они.
И на сегодня, те, что умеют работать и доставляют надёжный сервис:

• ProtonMail


• Mailfence

The former, ProtonMail - просто работает, шифрует мессаги на своих серверах и без судебного ордера нет доступа к мессагам.
Что и делает вопросить - значит, ключи gpg шифрования мессаг имеют они? Получается, да.

The latter, Mailfence. Очень удобная и продуманная система, для работы эффективным менеджерам, оффисным планктонам и WebDAV интеграторам.

Эти сервисы, умеют в настройку custom domains. Платно, конечно.
Достойные и работают, как надо - анонимно и секьюрно.

И теперь - поток ненависти. Это o Lavabit.
Отстегнул 30USD, (лучше бы потратил на Котёнку Кисс или Лигу Брайлле, персон с недостатками зрения), лишь для того, чтобы убедиться в полной беспомощности и отсутствии технической компетенции.

Шлю им письмо, "Мне необходимы данные для настройки домейна, с вашими реквизитами - spf1, DKIM1"
Получаю в ответ - настройки для сервера SMTP/POP.

Обращаюсь снова - "Мне нужны Ваши данные TXT spf1 DKIM1"
"А мы вам всё прислали!"

Ненавижу этих прыщавых soy boys!

https://ru-root.livejournal.com/2907198.html

Привет.

Образовался тут в одном сервере сетевой адаптер Intel X520 SR2. Как известно про серию X520, она очень любит родные интеловские SFP-модули, и совсем не любит никакие другие. Лечится это установкой параметра allow_unsupported_sfp при загрузке драйвера. Однако лыжи что-то не едут... Согласно мануалу, чтобы установить параметр модуля при загрузке, нужно создать файл с именем вида "module_name.conf" в каталоге /etc/modprobe.d, и прописать туда строчку типа:

options ixgbe allow_unsupported_sfp

Всё проделал, сделал файл /etc/modprobe.d/ixgbe.conf, прописал туда эту строчку, но при ребуте адаптер всё равно не виден. Однако если сделать:

# rmmod ixgbe
# modprobe ixgbe

то адаптер в системе незамедлительно появляется. Возникает закономерный вопрос -- какова это оно игнорирует установку параметра при загрузке?

https://ru-root.livejournal.com/2906884.html

Подскажите pls на счёт механизма очистки кэша в squid.
Сквид обходит дерево кэша, каждые 15сек открывая и сканируя следущую директорию.
Делает он это всё время в независимости от наличия нагрузки и заполнения кэша. Причём даже таймаут захардкожен.


./src/fs/ufs/UFSSwapDir.cc

if (!started_clean_event) {
eventAdd("UFS storeDirClean", CleanEvent, NULL, 15.0, 1);
started_clean_event = 1;
}

/// safely cleans a few unused files if possible
Fs::Ufs::UFSSwapDir::CleanEvent(void *)
{
const int n = HandleCleanEvent();
eventAdd("storeDirClean", CleanEvent, NULL, 15.0 * exp(-0.25 * n), 1);
}


Хотелось бы понять - как то можно этим управлять? Какой то более интеллектуальный алгоритм в зависимости от наполнения/нагрузки.
Или вообще выключить если сделать ничего нельзя.
В squid.conf.documented не нашел, закодить могу, но это экстремально неверно IMHO

https://ru-root.livejournal.com/2906733.html

Возник вопрос по команде asterisk -rx "sip show channelstats"
Команда дает такой вывод:
Peer Call ID Duration Recv: Pack Lost ( %) Jitter Send: Pack Lost ( %) Jitter
10.77.12.109 1716589088 00:00:29 0000001324 0000000000 ( 0.00%) 0.0000 0000001328 0000000000 ( 0.00%) 0.0086

Правильно ли я понимаю, что потеря пакетов дается в количестве в столбце Pack Lost, потом потеря пакетов в %, а потом идет джиттер, который измеряется в милисекундах? А то есть мнение что Астером джиттер измеряется в %

https://ru-root.livejournal.com/2906508.html

Меня попросили сгенерировать SSL-сертификат (самоподписанный) для тестового веб-сайта.
Я попробовал, а openssl ругнулся, что CN слишком длинный - более 64 байт, и сертификат не сгенерировался.
В натуре, там было 65 байт. Я заменил первое слово в имени сайта на *, тогда CN стал короче 64 байт, и сертификат получился.

А вот если бы и при замене первого слова на *, CN всё равно оказался бы длиннее 64 байт, что бы можно было сделать?

Я поэкспериментировал на своём компьютере с сертификатами на *.com, *.domain.com, *.*.domain.com, www.*.domain.com, www.*.*.com, для домена www.some.domain.com.
Но Firefox все эти сертификаты считает не соответствующими такому имени. Только *.some.domain.com сработал.
То есть, * в CN может быть только одна, только в самом начале, и срабатывает только на один доменный уровень.

Так как же сгенерировать сертификат для хоста, у которого доменное имя даже без первого слова длиннее 62 байт, так что если к нему подписать *. , всё равно получится длиннее 64?

Upd: в комментариях порекомендовали использовать для длинного имени хоста не CN, а SAN (SubjectAltName), который существует в сертификатах 3 версии.
Сгенерировать соответствующий запрос, и сам сертификат оказалось непросто, но в конце концов получилось. Если кому интересно, см. подробности в моём блоге: https://dil.livejournal.com/1621044.html

https://ru-root.livejournal.com/2906325.html

Вот это диагностика производителя SSD SanDisk - честная и неподкупная, не сделала удивиться.
Сделало удивиться на сайте SanDisk - © 2018 Western Digital Corporation or its affiliates.

Совсем неинтересно, когда OS Arch GNU/Linux начинает random рассыпаться, из-за износа SSD.
Нелогичные ошибки, DE Cinnamon тоже не понимает - "Почему не могу запуститься?"



Почему за 5 лет эксплуатации SSD дошло до 28% - потому что компиляция файрфексов и хромиум с LTO и PGO.

И вопрос.
Какой SSD аргументированно и из личного опыта получит рекомендацию коммьюнити ru_root?

https://tweakers.net/pricewatch/compare/442535;1126239;1131813;932801/

https://ru-root.livejournal.com/2905929.html

Коллеги, у меня вопрос.
Как-то так вышло, что я ни разу не сталкивался с docker в продакшне и довольно смутно представляю — а зачем он там вообще нужен?

С обычными виртуалками понятно, позволяют полнее использовать ресурсы сервера. Со всякими лайтвизорами типа LXC — тоже, в принципе.

А вот про докер пока вижу только три сценария:
1. берём какую-нибудь софтину на тестирование, разворачиваем её в контейнере и не захламляем систему. Типа обычной виртуалки, только легковеснее и проще развернуть.
2. извращения вроде двух версий php на одном сервере. В принципе, вполне себе вариант.
3. набор своих docker-compose файлов для быстрого разворачивания сервисов (но зачем оно если уже есть ansible)?

Микросервисы? Ну, звучит неплохо, но зачем они на типовых серверах?
В общем, как им пользуетесь вы?

https://ru-root.livejournal.com/2905706.html

Мне нужно на logstash с других хостов отправлять логи от апача и прочих приложений, но на сервере их не анализировать, а просто складывать в обычные текстовые файлы, рассортированные по хостам, названиям логов, и датам, типа /var/logs/%{hostname}/%{logname}-%{date}.log

Родную документацию на elastic.co читать пробовал, гуглить тоже, но ответа не нашёл.

На сервере, видимо, следует использовать output file. Кто-нибудь может порекомендовать, как его сконфигурировать? И чем отправлять логи с клиентских хостов? filebeats'ом? А его как сконфигурировать?
Ну или, может, кто пришлёт ссылку на сайт, где это описано?

P.S. Не надо рекомендовать мне syslog или rsync, меня интересует конкретно logstash.

https://ru-root.livejournal.com/2905504.html

Приветствую.

Как-то не особенно доводилось ковыряться в потрохах MySQL, поэтому осмелюсь попросить о содействии со стороны благородных донов.

Нужно настроить репликацию с одного MySQL на другой. Согласно методичке, нужно сделать show master status на мастере, посмотреть имя файла и позицию, а затем сдампить базу, перенести её на слейв и там развернуть. Вот на этапе переноса и затык. База нет так уж чтоб очень велика, но когда сервер под нагрузкой, дамп занимает порядком времени. Остановить сервисы можно, но это крайняя мера, так как даунтайм по предварительной оценке будет составлять несколько десятков минут. Если же дампить на ходу -- опасаюсь, что дамп приедет неконсистентным, т. е. в процессе дампа в связанные таблицы может что-то добавиться, но не во все, а только в часть.

Идеально было бы базу бинарно перенести. Можно тормознуть сервисы, остановить MySQL, сделать снапшот и запустить всё взад. А бинарники файлов БД уже спокойно переносить на слейв. Но можно ли так сделать? Прокатит ли? Смущает то, что размер каталога с базой -- около 1.6 Мб, и ещё прилагается пачка бин-логов, общим размером на текущий момент около 160 гиг. А на слейве есть ещё свои базы, поэтому тупо перенести бинарно всё и залить в /var/db/mysql не получится. Есть какие-то варианты либо сдампить базу в консистентном варианте (про flush tables with read lock я знаю, но насколько я понимаю, оно остановит запись в БД на всё время бэкапа, а за это время аппликуха уже с ума сойдёт, наверное). Или я неправильно понимаю механизм работы блокировок в базе?

В общем, просветите, пожалста.

UPD: Версия сервера 5.5.12.

https://ru-root.livejournal.com/2905176.html

DELL PowerEdge R720xd c PERC H710P Mini на борту

megacli говорит что рэйд развален, а в 11 слоте ничего нет

root@host11:/root# megacli -PDList -aAll | egrep "Slot Number:|Drive's position"
Slot Number: 0
Drive's position: DiskGroup: 0, Span: 0, Arm: 0
Slot Number: 1
Drive's position: DiskGroup: 0, Span: 0, Arm: 1
Slot Number: 2
Drive's position: DiskGroup: 0, Span: 1, Arm: 0
Slot Number: 3
Drive's position: DiskGroup: 0, Span: 1, Arm: 1
Slot Number: 5
Drive's position: DiskGroup: 0, Span: 2, Arm: 1
Slot Number: 6
Drive's position: DiskGroup: 0, Span: 3, Arm: 0
Slot Number: 7
Drive's position: DiskGroup: 0, Span: 3, Arm: 1
Slot Number: 8
Drive's position: DiskGroup: 0, Span: 4, Arm: 0
Slot Number: 9
Drive's position: DiskGroup: 0, Span: 4, Arm: 1
Slot Number: 10
Drive's position: DiskGroup: 0, Span: 5, Arm: 0
Slot Number: 12
Drive's position: DiskGroup: 1, Span: 0, Arm: 0
Slot Number: 13
Drive's position: DiskGroup: 1, Span: 0, Arm: 1
root@host11:/root# megacli -LDInfo -Lall -Aall


Adapter 0 -- Virtual Drive Information:
Virtual Drive: 0 (Target Id: 0)
Name :Virtual Disk0
RAID Level : Primary-1, Secondary-0, RAID Level Qualifier-0
Size : 10.913 TB
Sector Size : 512
Mirror Data : 10.913 TB
State : Degraded
Strip Size : 64 KB
Number Of Drives per span:2
Span Depth : 6
Default Cache Policy: WriteBack, ReadAdaptive, Direct, No Write Cache if Bad BBU
Current Cache Policy: WriteBack, ReadAdaptive, Direct, No Write Cache if Bad BBU
Default Access Policy: Read/Write
Current Access Policy: Read/Write
Disk Cache Policy : Disk's Default
Encryption Type : None
Default Power Savings Policy: Controller Defined
Current Power Savings Policy: None
Can spin up in 1 minute: Yes
LD has drives that support T10 power conditions: No
LD's IO profile supports MAX power savings with cached writes: No
Bad Blocks Exist: No
Is VD Cached: Yes
Cache Cade Type : Read Only


Virtual Drive: 1 (Target Id: 1)
Name :Virtual Disk1
RAID Level : Primary-1, Secondary-0, RAID Level Qualifier-0
Size : 446.625 GB
Sector Size : 512
Mirror Data : 446.625 GB
State : Optimal
Strip Size : 64 KB
Number Of Drives : 2
Span Depth : 1
Default Cache Policy: WriteBack, ReadAdaptive, Direct, No Write Cache if Bad BBU
Current Cache Policy: WriteBack, ReadAdaptive, Direct, No Write Cache if Bad BBU
Default Access Policy: Read/Write
Current Access Policy: Read/Write
Disk Cache Policy : Disk's Default
Encryption Type : None
Default Power Savings Policy: Controller Defined
Current Power Savings Policy: None
Can spin up in 1 minute: No
LD has drives that support T10 power conditions: No
LD's IO profile supports MAX power savings with cached writes: No
Bad Blocks Exist: No
Is VD Cached: No



Exit Code: 0x00
root@host11:/root# dpkg -l | grep megacli
ii megacli 8.07.14-1 amd64 LSI Logic MegaRAID SAS MegaCLI


но меня уверяют что хостер поменл винчи и при заходе через idrac видно совсем другую картину.
А это мол глюки megacli, решаемые ребутом...

как быть? как получить коррекнтые данные без ребута?

https://ru-root.livejournal.com/2904886.html

во какие штуки в китае продают недорого, можно наверно сервер сделать, извините :)



https://ru.aliexpress.com/item/Banana-PI-Banana-Faction-A20-Duo-Beyond-pcduino-Cubieboard-Raspberry-Party/32808455776.html

https://ru-root.livejournal.com/2904594.html

FreeBSD 11.1-RELEASE-p4 GENERIC
strongswan-5.6.0 from packages
при попытке подключения к удаленному strongswan, проходит аутентификацию, получает dns, ip, создает tun0 и валится на попытке прибить ip на интерфейс

scheduling reauthentication in 10213s
maximum IKE_SA lifetime 10753s
installing DNS server 10.20.10.254 via resolvconf
DNS server 10.20.10.254 already installed, increasing refcount
installing new virtual IP 10.20.201.16
created TUN device: tun0
virtual IP 10.20.201.16 did not appear on tun0
installing virtual IP 10.20.201.16 failed

туплю куда копать...

https://ru-root.livejournal.com/2904394.html