Возвращаясь к холивару.

На прошлой неделе надо было заетапить сервак для веб проекта одного. Все чин чинарем, на колокейшене в минимальной конфигурации мне засетапили CentOS, я поднял все сервисы и дал доступ вебмастерам. На следующий день уже после работы начальник написал мне, что движитель(на Bitrix) можно было бы и на венде поставить. Посему попросил аргументировать чем линукс лучше винды, и не снести бы нам линуха и не поставить ли Windows Web Server. Что то я почесал репу и акромя, что бисплатно, да мне привычней админить и ничего не придумал.... В итоге оставили CentOS только из за того, что все настроенно и готово для сетапа движка битрикса.

Читать далее

Cisco и Skype

Прочитал новость, что Cisco решило приобрести Skype аж за целых 5 милиардов Обама. Остается вопрос, нафига оно им нада? Толи хотят упраздник шифрование скайпа, чтобы ихнее оборудование детектило и могло фильтровать(тогда почему до кучи не купить uTorrent). Толи хотят стать одним из крупнейших играков на рынке VoIP, но для каких целей? Окупатся такое вложение я думаю будет не один год, а то и весь десяток. Скайпофоны железные тоже чисто свои делать смысла нет, китайцы в землянках их штампуют тоннами, а ежели сделают пропритерщину то все соскочат со скайпа. В общем какоето темное дело. Посмотрим, что будет дальше.

UPD: мне тут подсказывают, что покупка стоимостью 5 милиардов баксов окупится через 89лет, так всетаки нафига?


Читать далее

ESX и Solaris

Появилась задача поднять сервер на Solaris 10 для сливания бакапов туда с дев соляриса. Почему солярис - незнаю, так попросили. Решили ставить на ESX, выделили виртуалку, все чин чинарем. Сетаплю версию которая у нас - не бутится, качаю последнию версию салярки - вообще не видит диски. Думаю, что за ботва, начинаю дербанить нашего админа ESX серверов, он по моей просьбе меняет контроллеры на виртуалке на другие. Солярка вообще перестает видеть диски, что старая, что новая. Начинаем гуглить видим, что 50 на 50, у когото ставится, у когото нет. Ладно, решаю скачать предпоследнюю версию, качаю - таже ботва, что и с дистром который у нас лежал, сетапится но не бутится после сетапа.
Время поджимает, разработчики требуют уже бекапный сервер. Решили попрбовать солярку поставить на версию ESX 4.0, а ставили на ESX 3.5 так как на этом виртуальном серваке места больше было под бекапы. И о чудо предпоследняя версия всетаки ставится на ESX4.0. Ну а дальше все просто, минимальная установка, сетап SSH для управления прям с дистра,
svcadm -v enable -r network/nfs/server
включение NFS и
share -F nfs -o rw /disk
шара каталога.
Проверяем
mount -F nfs server:/disk /mount_point
вот оно, щасте! :)

Читать далее

Cisco VPN Client for Windows Seven

Ура ура товарищи. Вышли новые вресии Cisco Vpn Client версия 5.07.290 работающие под Windows Seven x64 теперь это еще и релиз. Так, что не нада больше извращатся со Shrew и прочими софтинами.

Cisco VPN Client 5.07.290k9 for Windows Seven x32 - vpnclient-win-msi-5.0.07.0290-k9.exe
Cisco VPN Client 5.07.290k9 for Windows Seven x64 - vpnclient-winx64-msi-5.0.07.0290-k9.exe

Читать далее

SSL VPN

Так как денег на CISCO ASA так и не удалось выбить пришлось рыть интернеты по поводу какой либо замены, для того чтобы можно поднимать SSL VPN. Покопавшись в интернетах и попинав народ в аське, посоветовали мне следующую железку NETGEAR SSL312. Стоит она в Москве от 450 до 500 омереконьских президентов.
Заказали и сегодня в мои потные и шаловливые рученки попал сий агрегатъ.

На нем всегда 2 входа под эзернет, 1 ком порт, питание, тумблер и дырка с кнопкой reset.
Сразуже подключившись к компорту и включив концентратор, был не сильно удивлен увидив там обычный линукс, хоть и с урезанным функционалом. Так как мне было лень прописывать себе другую сетку чтобы зайти в менеджмент консоль, при помощи ifconfig был поменян ип адрес на тот который мне был нужен.
В админской консоли в принципе минимум необходимых настроек. Железка настраивается буквально за 15 минут. Из которых минут 5 занимает прошивка. Возник непонятный глюк в разделе NTP, почемуто при замене чего либо иногда девайс тупо вис. Создав гостевой влан для SSL клиентов, написав ACL и прописав радиус сервер - подключил адский девайс к интернетам и начал тестить.
Для одного пользователя агрегат показал достаточно шустрое быстродействие, вываливал мне запросы на установку AcitveX плагинов, VPN создается, к ресурсам сети цепляется без проблем.

В общем, ежели нет денег на полноценную CISCO ASA, а нужно настроить VPN SSL, NETGEAR SSL312 я считаю идеальное решение.

Читать далее

Система мониторинга.

Поставил систему мониторинга Hyperic HQ, достаточно интересная вещь для мониторинга кучи серверов, рабочих станций. Умеет обслуживать много сервисов типа MySQL/Oracle/Apache и т.д.
Есть система алярмов и эвентов. Единственный минус, достаточно много кушает ресурсов серверная часть, ну и написанна на неправославной индуской яве.
А так, система очень понравилась для мониторинга, чисто для графиков состояния сетевого оборудования - Cacti. А вот остлеживать состояние серверов Win/HP-UX/Solaris/Linux - очень даже достойная вещь.

Читать далее

Опять про закон который против искажения истории

Вчера в зомбоящике(да да я смотрю этот адский девайс) углядел, что единоросы опять пытаются протолкнуть закон об противодействии искажения истории. Не знакон я думаю правильный, чтобы не передергивали. Но вот одно смущает, как же великий фильм всех времен и народов, Предстояние, от великого режисера по кличке Барин интересно попадет под этот закон, так как искажения истории там достаточно много я считаю, летающие жопы, православные мины, танки на парусной тяге...

Читать далее

К вопросу об Linux сервера vs Windows

Как я и предпологал, Windows на серверном рынке не только доминирует но и поправляет свои позиции. И я не удивлен, всетаки интеграция всех пакетов на основе одной ос достаточно сильная вещь. Когда у тебя, Exchange, Project, Sharepoint, сертификаты для подключения, ISA, IIS и т.д. все достаточно удобно связанны между собой. И это делает удобной работу между всеми этими сервисами для сотрудников. Имхо пока в линуксе(не надо будет долго нудно прикручивать каждый сервис к LDAP и искать патчи для этого) такого не будет, он так и останется системой для мелких контор из 10 рабочих мест, гиков и интернет хостингов.

Читать далее

Bolgenos - или новая, русская операционка.

Прислали ссылку на сий шедевр:Bolgenos
насколько я понял, какойто школьник собирает свою операционку.
А, что я считаю полезное занятие, пусть лучше с LFS возится и утилитки пишет, чем в подъезде пиво жрет и стены изрисовывает. С LFS я тоже пообщался, даже гдето сборка валяется, достаточно интересно для развития собрать свою ось. То что ничего не получится из этого проекта это я уверен, будет медленно и печально выходить какието версии, ими будут пользоватся полтора человека, один из которых автор. Но все, что не делается - только на пользу, главное амбиций поменьше. А то я помню много таких грандиозных проектов, начинает от ОС чисто на ASM и заканчивая 95ой виндой, разрисованной ресурс редактором и выдаваемой за свою.

ЗЫЖ хотя почитав более внимательно, похоже это даже не LFS, а сдается мне, что это тупо разукрашенная убунта. Что то напоминает про разукрашенный Windows 95 :)

Читать далее

ELUVEITIE - Inis Mona

Не сильно люблю кидать в свой блог клипы, но это меня просто цепляет...



Читать далее

Разрезать текстовой фаил.

Пришел сотрудник, попросил помочь поискать утилитку, которая поможет порезать ему текстовой фаил размером в 4 гига(лог сквида) на более мелкие файлы. С ходу ничего не найдя в интернетах, накропал на с++ маленькую утилитку, буквально в 80 строк. Мне пиво, сотруднику радость :)
Выкладываю в общий доступ, может кому поможет :)
http://depositfiles.com/files/smv1fi8e1

Читать далее

PIXELS by Patrick Jean - FULL HD finnaly

Прикольный клип, навевает ностальгию, когда компьютеры были медленные они звались Spectrum, ЕС, БК0011, ДВК(До Военный Компьютер) и грузились с магнитофона Романтика :)




Читать далее

Облачные структуры и увольнение сотрудников.

Прислали статью про то, что облачные структуры вызовут увольнения в IT сфере, так как все будет поддерживатся специалистами которые будут заниматся обслуживанием облаков. Да, я согласен, что "админ" который занимается только тем, что обслуживает виндовый сервак, почту на эксчендже/постфиксе и корп веб сайт сделанный из 1 странички да, будет не нужен(хотя он и сейчас уже не нужен, все это решается при помощи аутсорса и приходящим человеком).

Проблема в том, что гос конторы никогда не перейдут на облачную структуру, если конечно не выделят милиарды денег на попил и организацию "своего лунопарка с блек джеком и шлюхами". Вторые конторы которые никогда не будут использовать облачную структуру - банки и всякие серъездные финансовые структуры. Остальные - я даже приветсвую это, так как обслуживание терминальных станций гораздо проще, а это значит, что "админы" бегающие по пользователям и выковыриваюзие бумажки из принтеров останутся в любом случае, уменьшится зарплата, а она и должна уменьшится, сейчас такие псевдо админы слишком много просят, если умеют вин сервер поставить да поднять на нем домен.
В общем, что то я расплылся мыслю по тарелке, выводы следующие:
1. Удешевлении мальчиков - ковыряльщиков бумаги из принтеров.
2. Возможна большая миграция на аутсорс, например к тем же конторам которые предоставляют облака.
3. Гос конторы и крупные финансовые структуры с отлаженным механизмом работы - так и останутся в первозданном виде.
4. Сколько бы облаков не строил - все равно придется обеспечивать связь с ними, а это значит сетевые специалисты будут в цене, а может даже и увеличится оплата их труда, за счет удешевление обслуживания компов конечных пользователей.
5. Вообще облачные системы я одобряю, проще спрятать от наблюдательных органов например ч0рную бугалтерию, но из этого выход 6 пункт.
6. Проблема в облачной системе - твоей информацией(а она иногда стоит ОЧЕНЬ дорого) владеет непонятный дядя на стороне. И что он может с ней сделать и кому отдать если его припрут к стенке схватив за яйца - неизвестно.

Читать далее

Замена ядра сети.

Так как Cisco 3550 не справлялась с нагрузкой - поменяли вчера на 3750. Не поднялось куча серваков, из за чего непонятно, на ESXi пришлось ребутить хост систему, так как не поднялись транки. С чем связан такой глюк - так и не поняли, так как время было уже позднее - перезагрузили, проверили, что все работает да разошлись по домам.

Читать далее

Кирилистические домены.

Ура, наконецто то интернеты стали поцтреотичные, теперь можно писать http://президент.рф
Это так поцтреотично, чиновники онанируют(но скорей всего им похер). Остальные ругаются.
Наберем в броузере поцтреотичный http://президент.рф и что мы увидим в строке ссылки?
А вот что! http://xn--d1abbgf6aiiy.xn--p1ai/ - это так поцтреотично!
Басурманщина эта поцтреотичная - punycode
В ДНС народу придется скорей всего забивать тарабащину эту.
А какое возможности для мошенников? ДА безграничные, если блондинки ведутся на ссылки типа богомрезких http://odnok1assniki.ru то в этих поцтреотичных ссылках - сам чъерт ногу сломит.
Так что ура, мы победили!

Читать далее

Клевый клип

Прислал знакомый класный клип - убиваюсь по нему уже третий день. Остальное у них так себе, но вот эта песня просто шедевр я считаю.Что то среднее между рапсоди, лакримозой.... Даже не знаю как передать, в общем смотрите сами, меня зацепило...



Читать далее

Как увеличить место на диске ZFS(теория)

На одной из моих виртуалок(LDOM) под Solaris ВНЕЗАПНО кончилось место. Как обычно просят определенное колличество, а в итоге получается что не расчитали. Но диск то уже создан и просто так его не расширишь. Покопавшись в интернетах, нашел мануал как увеличить объем диска ZFS. Мануал на английском можно почитать тут. Я выкладываю выкладки на русском:

Итак,общая теория - диск можно расширить в принципе двумя методами:
1. Подключаем к к оригинальному диску второй диск большего размера в режиме зеркала, ждем когда зеркало засинкается, отключаем оригинальный диск, подключаем к виртуалке диск большего объема.
2. Подключаем диск такого же объема как оригинальный в зеркало, ждем когда диск засинкается, отключаем оригинальный, увеличиваем оригинальный диск, подключаем его к зеркалу, ждем когда засинкается, отключаем второй диск из зеркала - монтируем к виртуалке оригинальный диск большего объема.
В текущий момент пойдет разговор про второй метод.
Итак начнем:
1. Для проверки создадим 2 диска одинакового объема
# mkfile 1g file1
# mkfile 1g file2
2. Сделаем из них зеркало
# zpool create zphouston mirror /tmp/file1 /tmp/file2
# df -h /zphouston
Filesystem size used avail capacity Mounted on
zphouston 984M 24K 984M 1% /zphouston
мы получили обычное ZFS зеркало, размером всего в 984мб
3. Запишим на этот диск какойнить файл для проверки, что данные сохранились
допустим так:
# mkfile 20m /zphouston/20megfile
# sum /zphouston/20megfile |tee /zphouston/sum
0 40960 /zphouston/20megfile
Теперь о ужыс у нас допустим ВНЕЗАПНО кончилось место на зеркале и нам нада увеличить объем
4. отключаем один из дисков в зеркале, например диск 2 под названием file2
# zpool offline zphouston /tmp/file2
Bringing device /tmp/file2 offline
# zpool status zphouston
pool: zphouston
state: DEGRADED
status: One or more devices has been taken offline by the administrator.
Sufficient replicas exist for the pool to continue functioning in a
degraded state.
action: Online the device using 'zpool online' or replace the device with
'zpool replace'.
scrub: none requested
config:

NAME STATE READ WRITE CKSUM
zphouston DEGRADED 0 0 0
mirror DEGRADED 0 0 0
/tmp/file1 ONLINE 0 0 0
/tmp/file2 OFFLINE 0 0 0
Все диск отключен.
5. Для чистоты эксперемента - удалим диск file2, он нам не нужен по большей части уже
# rm file2
6. Теперь создаем диск большего размера, допусти в 2гига
# mkfile 2g file2
7. Прикручиваем диск к зеркальному пулу следующим образом
# zpool replace zphouston /tmp/file2 /tmp/file2
8. Посмотрим, что же у нас получилось в текущий момент:
# zpool status
pool: zphouston
state: DEGRADED
scrub: resilver completed with 0 errors on Mon Feb 9 14:01:22 2009
config:

NAME STATE READ WRITE CKSUM
zphouston DEGRADED 0 0 0
mirror DEGRADED 0 0 0
/tmp/file1 ONLINE 0 0 0
replacing DEGRADED 0 0 0
/tmp/file2/old UNAVAIL 0 0 0 cannot open
/tmp/file2 ONLINE 0 0 0

errors: No known data errors
о ужыс, зеркало поломано, старый диск не доступен, все сломалось
9. Ждем некоторое время(зависит от объема диска, данных и т.д.) и смотрим снова статус:
# zpool status zphouston
pool: zphouston
state: ONLINE
scrub: resilver completed with 0 errors on Mon Feb 9 14:01:22 2009
config:

NAME STATE READ WRITE CKSUM
zphouston ONLINE 0 0 0
mirror ONLINE 0 0 0
/tmp/file1 ONLINE 0 0 0
/tmp/file2 ONLINE 0 0 0

errors: No known data errors
опа, уже все онлайн и щастье есть!
10. Сколько же у нас сейчас получилось места? Давайте посмотрим:
# df -h /zphouston
Filesystem size used avail capacity Mounted on
zphouston 984M 20M 964M 3% /zphouston
мда, не сильно изменилось, но так и должно быть!
11. Отключаем старый диск размером в 1гиг
# zpool detach zphouston /tmp/file1
12. А теперь сколько места?
# df -h /zphouston
Filesystem size used avail capacity Mounted on
zphouston 2.0G 20M 1.9G 1% /zphouston
2! гига, тоесть это то, чего мы и добивались
13. А что же у нас со статусом зеркала:
# zpool status zphouston
pool: zphouston
state: ONLINE
scrub: resilver completed with 0 errors on Mon Feb 9 14:01:22 2009
config:

NAME STATE READ WRITE CKSUM
zphouston ONLINE 0 0 0
/tmp/file2 ONLINE 0 0 0

errors: No known data errors
все в порядке, 1 диск светится и работает в штатном режиме.
14. Далее нам необходимо востановить зеркало, ну или не востанавливать если это не надо.
пожалуй востановим на всякий случай
удаляем старый фаил file1 размером в 1 гигобайт
# rm file1
создаем такойже фаил, только размером в 2 гига(чтобы зеркало было синхронизированно по объему)
# mkfile 2g file1
присоединяем новый фаил к пулу ZFS
# zpool attach zphouston /tmp/file2 /tmp/file1
проверяем статус зеркала
# zpool status zphouston
pool: zphouston
state: ONLINE
scrub: resilver completed with 0 errors on Mon Feb 9 14:12:38 2009
config:

NAME STATE READ WRITE CKSUM
zphouston ONLINE 0 0 0
mirror ONLINE 0 0 0
/tmp/file2 ONLINE 0 0 0
/tmp/file1 ONLINE 0 0 0

errors: No known data errors
ну и наконец, смотрим сколько получилось места:
# df -h /zphouston
Filesystem size used avail capacity Mounted on
zphouston 2.0G 20M 1.9G 1% /zphouston
все в порядке, 2гигобайта, тем самым мы увеличили диск
а что же с нашим файлом, который мы создали, посмотрим:
# sum /zphouston/20megfile
0 40960 /zphouston/20megfile
все наместе, щастье мы обрели

ЗЫЖ все выше описанные манипуляции делаем на свой страх и риск, не забываем бакапить, никакой отвественности за потерю данных я не несу, ибо это только теория, хоть и мне придется скоро испытать ее на практике, по этому будет отдельный пост.
Читать далее

Будующее среди нас.

Интересная концепция интерфейса для работы с мобильным компьютером и не только. Основной смысл в микропроекторе и камере которая распознает образы. Что то такое я уже видел раньше, но этот индус свел все воедино. Посмотрим, что из этого получится, если технология всетаки пойдет в массы.
Если тыкнуть на субтитры, то можно выбрать русский язык.




Читать далее

Cacti

Проц на одной из цисок уперся в потолок, чтобы узнать откуда такая проблема, засетапил CentOS на ESX. Поставил cacti, mrtg устарело да и грузит слишком сильно сервер мониторинга. Это товарищи просто жесть, модульность это отлично, но блин - не так же запутанно. Все утро убил, чтобы нарисовать графики для интерфейсов в Cacti, при условии что там уже есть под снятие статистики с интерфейсов стандартные темплейты. Вот тебе и интуитивно понятный интерфейс. В общем юзабилити практически нулево, зато графики рисует красивые и всякие...

Читать далее

Картинка про админа билинга у провайдера.

Прислали картинку про админа билинга у провайдера, так как я работал у провайдера и знаю всю кухню с месными билингами - она раскрывает админскую работу с билингом.

Ткнуть для увеличения.


Читать далее

ICQ купили

Владельцы Маил.ру и интернет сект под названием "Фконтакте" и "Одногласнеки" наконецто довогорилось и купило у AOL ихний мегаубыточный проект под названием ICQ, в месте с базой данных и думаю такой вещью как протокол OSCAR. Но скорей ради базы данных пользователей. Чем это грозит, намекаю, для начала зайдите на http://mail.ru и ужаснитесь колличеству увешанной там рекламы.
Прогнозирую что будет через год(раньше не думаю что разродятся, пока юр тонкости уладят, серваки передадут, базы закопируют, разберутся в софте и т.д.)
Итак прогноз:
1. Напишут свой клиент, увешанный банерами(кушать то хочется)
2. Закроют протокол OSCAR, либо(что скорей всего) внесут в него модификации несовместимые с текущими клиентами.
3. Начнут делать микропатчи каждую неделю, дабы весь офисный планктон начал перелазить на официальный клиент и глядеть рекламу.
4. Всплывающие рекламные окна как будто это сообщение с рекламой.
5. Реклама в мессагах которыми будут обмениватся пользователи.
6. Реклама от френдов в стиле "Погляди какой я сайт нашел с пенис энларджерами!!!"
7. ...
8. PROFIT!

В общем смерть еретиковскому протоколу, переходим на православный Jabber.

Читать далее

Cisco Network Assistant

Поставил себе сию приблуду - достаточно интересная программа, для мониторинга небольших сетей построенных на цисках одобряю. Сама выстраивает топологию сети, можно просматривать нагрузку на хостах и работает достаточно шустро.

Скачать без регистрации на cisco.com можно тут: http://depositfiles.com/ru/files/ictv9v2r0


Читать далее

Как смонтировать CDROM под Solaris

Постоянно забываю как мониторвать кдпзу под соляркой. По этому будет памяткой для меня, ну и поможет авоь кому.

Пример на одной из моих виртуалок.
смотрим какие у нас устройства есть:
# iostat -En
c0d0 Soft Errors: 0 Transport Errors: 0 Protocol Errors: 0
Vendor: SUN Product: VDSK Size: 64.42GB <64424509440 bytes>

c0d1 Soft Errors: 0 Transport Errors: 0 Protocol Errors: 0
Vendor: SUN Product: VDSK Size: 2.68GB <2684354560 bytes>

Видим диск небольшой емкостью, размером 2.68GB
Это и есть образ солярки подключенный как диск.
Если диск натуральный, а не эмулятор то в Vendor можно увидеть название привода, а в Product - то что это оптический диск.
пример: Vendor: MATSHITA Product: CDRW/DVD
Теперь определившись кто у нас кто, монтируем:
mount -F hsfs -o ro /dev/dsk/c0d1s0 /mnt/cdrom
вот и все

Читать далее

Холивары

Достаточно часто спрашивают меня, как ты относишся к такой или сякой программе, почему я не ставлю то или другое, мотивируя это бесплатностью, свистелками, перделками, дешевизной и удобством.
Отвечаю одной фразой "Я уже переступил ту черту когда мог с пеной у рта доказывать, что этот продукт лучше другова, для меня софт сейчас тупо инструмент, которым я зарабатываю деньги."
С чем я предпочитаю работать, можно увидеть в моих тегах. Остальное это перегоняние из пустого в порожнее.


PS: Если конечно у меня не хорошее настроение, чтобы потролить особо упертых революционеров.... :)

Читать далее

Cisco VPN Client и Windows Seven

Столкнулись с проблемой, установки Cisco VPN Client на Windows Seven, версия 5.0.06-160 не работала. Покопавшись в интернетах была обнаружена версия 5.0.07.0240-k9 которая после проверки достаточно адекватно заработала. Едиснтвенное - на x64 не пробовал, но версия есть и такая. Ссылки на скачку под катом.

http://depositfiles.com/files/9dkh62tv5 - vpnclient-win-msi-5.0.07.0240-k9-BETA.rar for Windows Seven x32
http://depositfiles.com/files/uiz4b18sj - vpnclient-winx64-msi-5.0.07.0240-k9-BETA.rar for Windows Seven x64

Читать далее

Тишина.

Прислали статью Руслана Карманова, по поводу как опенсорс и компании гиганты вытесняют нечестными методами Windows с рынка. В принципе достаточно спорная статья, но есть моменты которые я например описывал в предыдущем посте, про копирастию. Например про то, что крупные опенсорс проекты в основном финансируются компаниями гигантами Oracle, IBM и т.п.

Читать далее

Перестройка PIX на новый CA

Так как необходимо было оставить старый сертификат, прикрутил к PIX`y еще второй и к групам прикрутил новый радиус. Вроде как работает.

Читать далее

Сертификаты для Cisco VPN Client

Так как перешли на новый CA, пришлось создавать и рассылать кучу сертификатов. Более 130 штук, из экселевского файлика. Ручками это было делать ленива, то за 3 часа был написан мегаскрипт на Sikuli, который сам копировал и вставлял необходимые поля для сертификата и рассылал их. В общем Sikuli неплохая вещь :)

Читать далее

Cisco Vpn Client

Cisco VPN CLient 5.0.06.0160 - free download


Читать далее

Переезд закончен.

Ну вот, наконец перезд окончен, количество сотрудников увеличилось до 600 человек. Так как все делалось в спешке, на стойках полный бардак. Неразбериха между сетями, что куда ходит, какие ацли и т.п. Разгребать эти конюшни еще с пол года чую.


Читать далее

Переезд

Всю неделю готовили новый офис к вселению толпы народу, посему домой приезжал только поспать и пожрать. Даже сил не хватало на включение компьютера. В итоге развел 120 рабочих мест на кросе, засетапил несколько CISCO Catalyst 2960 CISCO и Catalyst 3750, распатчили 2 стопарника по плинтам. Смаршрутизировал на лвл сетки которая есть и которая будет. Проверил новую адресацию, которая дана провайдером, ну и по мелочи, стойки покрутить, схему нарисовать, документацию составить. В общем переезд хуже 2х пожаров. Завтра начнется самое интересное, приедут сервера из старого офиса, начнется коммутация с ними, установка UPS APC который весит 120 кило, еле вперли его сегодня на 5ый этаж, хорошо хоть лифт грузовой есть.
В общем еще 4 дня беготни и пол года пока не уляжется пыль, после переезда. Эх, а народ водку жрет по поводу 23 февраля...


Читать далее

Золотарь, или Просите, и дано будет..

Дочитал тут книгу, Генри Лайон Олди - "Золотарь, или Просите, и дано будет..", достаточно интересная вещь, как челвоек искушенный интернетом, работающий в интернет, развивающий интернет и знающий какая это помойка, было интересно посмотреть со стороны.
Забавно было увидеть в книге ресурс urod.ru, хостинг которого я поддерживал на протяжении 2х лет. Опять же интересно описываются троли и их жертвы на форумах, чатах и т.д. и что из этого получается.
В общем понравилось, немного напрягают стихотворные вставки, как будто автор размазывал текст для издателя, чтобы было больше страниц. Но в общем очень даже одобряю для прочтения, желательно не гламурным дамам и интелегентам которых коробит от слова "ХУЙ".
Под катом официальная анотация к книге и ссылка где можно прибрести сий шедевр.

Сын-студент провинциального редактора попадает в реанимацию. Видно, что над юношей изрядно глумились: разбита голова, переломы обеих рук... Но следователь хочет закрыть дело под явно надуманным предлогом. Поиски обидчиков сына приводят Золотаря в загадочную фирму "Авгикон" и дальше - в Зазеркалье Интернета, где виртуальные баталии оборачиваются кровавой реальностью...
Книгу можно купить тут.

Читать далее

Продолжение эпопеи c PIX и сертификаты

Задача стояла следующая, при подключнии необходимо, чтобы разным групам пользователей, выдавался разный пул ип адресов. Недельное вдумчивое копание интернетов, вывело меня на доки:
http://www.dslreports.com/faq/8420
и
http://crazyvlan.blogspot.com/2008/02/vpn-and-radius-with-cisco-asa-and.html
ага, сказали русские суровые мужики и отложили freeradius в сторонку с параметрами
ip:addr-pool=vpnpool2
ipsec:addr-pool=vpnpool2
был скреативен следующий конфиг:

group-policy DefaultRAGroup internal
group-policy DefaultRAGroup attributes
group-lock value DefaultRAGroup
address-pools value vpnpool
group-policy group2 internal
group-policy group2 attributes
group-lock value group2
address-pools value vpnpool2
username bear password mXfNI9aNT4.z2f.6 encrypted
tunnel-group DefaultRAGroup general-attributes
address-pool vpnpool
authentication-server-group vpn
default-group-policy DefaultRAGroup
tunnel-group DefaultRAGroup ipsec-attributes
trust-point CA1
tunnel-group group2 type remote-access
tunnel-group group2 general-attributes
address-pool (inside) vpnpool2
authentication-server-group vpn
authentication-server-group (inside) vpn
authorization-server-group vpn
authorization-server-group (inside) vpn
accounting-server-group vpn
default-group-policy group2
tunnel-group group2 ipsec-attributes
trust-point CA1

но все равно, подключится не получалось, выдавало ошибку вида:
Feb 15 09:27:15 [IKEv1]: Group = DefaultRAGroup, Username = vasya, IP = 217.xxx.143.200, Tunnel Rejected: User (vasya) not member of group (DefaultRAGroup), group-lock check failed.
Feb 15 09:27:15 [IKEv1]: Group = DefaultRAGroup, Username = vasya, IP = 217.xxx.143.200, Removing peer from peer table failed, no match!
Feb 15 09:27:15 [IKEv1]: Group = DefaultRAGroup, Username = vasya, IP = 217.xxx.143.200, Error: Unable to remove PeerTblEntry

прописывание класса в Remote Access Policy OU=group2, эфекта не дало, но навело на мысль, что надо бы глянуть, что творится в сертификатах
и точно, не было в Subject сертифката описан параметр OU, как только я его добавил - сразу все заработало, начали выдаватся ип адреса из разных пулов.

Читать далее

Кризис копирайта

Прислали достаточно интересную, но спорную статью статью. С основной частью статьи я соглашусь, но есть небольшие нюансы. Окидывая в текущий момент рынок программ, как бесплатных так и платных я прихожу к выводу, что разработка бесплатных(freeware) программ все равно финансируется из неких источников тесно связанных с комерческими программами. Возмем туже Ubuntu, она финансируется африканским милиардером. Если бы не было этого финансирования, то давно бы померла или влачило бы жалко существование как Mandriva. RedHat - федорино горе, тоже самое, как ограниченная лицензия построенная на финансирования от продаж RedHat SE. Что еще с ходу могу вспомнить, java - Oracle, openoffice - Oracle, mysql - Oracle, в итоге приходим к тому, что описанная в статье модель перехода на линукс, фриваре программы, ничем не отличается от использования тогоже урезанного комерческого софта.
И это удручает.

Читать далее

Преквезиты по установке Oracle

Дока по пререквbзитам для установки Oracle на Solaris для тонкой установки операционки

Читать далее

Solaris + LDOM + ZFS

Руки дошли наконец до SPARC, на который надо было засетапить виртуалку. Файловая система была выбрана ZFS, которая ставится на диск.

А теперь по пунктам, порядок установки:
1. Предварительные приготовления
Так как я ставил минимальную инсталяцию, такой вещи как LDOM в установленном солярисе не было, первым делом необходимо скачать LDoms Manager разархивирвать при помощи unzip и запустить install/install-ldm
далее перезагружаем солярку командой reboot
после загрузки проверяем стартанул ли ldom, командой ldm ls
должно появится что то типа:
NAME STATE FLAGS CONS VCPU MEMORY UTIL UPTIME
primary active -n-c-- SP 4 4G 0.0% 16m
командой svcadm enable vntsd делаем так, чтобы сервис стартовал при ребуте
svcadm restart vntsd - перезапустит серивс
по идее дефеольтные настройки все должны быть готовы

2. создаем ZFS диск для образа солярки
создаем пул
zpool create ldomdisk c1t1d0
создаем раздел в пуле
zfs create ldomdisk/ldom1
а теперь самое главное, создаем 60 гиговый раздел под виртуалку, на который будем ставить солярку
zfs create -V 60g ldomdisk/ldom1/disk.image

3. Создаем собственно саму виртуалку.
Создаем виртуалку
ldm add-domain ldom1
указываем сколько процов нам необходимо использовать в виртуалке
ldm add-vcpu 4 ldom1
указываем сколько памяти нам необходимо использовать в виртуалке
ldm add-memory 4G
подключаем сетевую плату из primary ldom
ldm add-vnet vnet1 primary-vsw0 ldom1
а теперь самое интересное, добавляем сам ZFS диск на который будет ставится виртуалка
ldm add-vdsdev /dev/zvol/dsk/ldomdisk/ldom1/disk.image vol1@primary-vds
подключаем этот диск к новосозданному ldom1
ldm add-vdisk vdisk0 vol1@primary-vds ldom1
выключаем автоматическую загрузку, так как грузится будем с установочного образа Solaris
ldm set-variable auto-boot\?=false
теперь необходимо прописать установочный образ Solaris в формате iso
ldm add-vdsdev /export/home/bear/sol-10-u7-ga-sparc-dvd.iso cdrom@primary-vds
и подключить к ldom1
ldm add-vdisk cdrom cdrom@primary-vds ldom1
ну вот и все, настройки дефолтные готовы
прибиндиваем ldom командой
ldm bind ldom1
и стартуем
ldm start ldom1
если набрать ldm ls , то можно увидеть что рядом с ldom1 будет написанно active
если так написанно то все отлично и работает

4. завершающая часть
теперь телнетимся по 5000 порту к виртуалке
telnet localhost 5000
нажимаем ентер и видим, пишется {0} ok это значит, что виртуалка ожидает команд
даем команду на загрузку с образа
boot cdrom
и инсталим Solaris как обычно

из полезных команд в виртуалке можно выделить следующие
show-disks - поглядеть все дисковые устройства подключенные к виртуалке
devalias - поглядеть присвоеные алиасы для устройств
Дока по ZFS
вот в приницпе и все, ничего сложно в общем нет

Читать далее

Solaris vs Human - 0:1

Пошаманив с утра, рейд был всетаки побежден. Были предприняты следующие действия:
1. при помощи raidctl - был сделан 1 рейд на 2х дисках
2. при помощи format на новом диске был сделан label
3. перезагрузка
4. загрузился с dvd в сингл режим командой boot cdrom -s
5. проверил как поживают свеже созданные диски, дальше запустил установку solaris
6. во время выбора типа файловой системы - указал UFS за место ZFS
7. установил минимально необходимый дистр
Осталось смутное подозрение, что ZFS надо было ставить после того как зеркало засинхронизировалось бы и перешло в оперейшенал режим, если будет возможность - попробую проверить. А сейчас предстоит разметка кучи дисков, установка необходимых пакетов и конфигурации для LDOM.

Читать далее

Solaris и RAID

Убив почти целый рабочий день так и не понял как засетапить солярку на железный рейд созданный при помощи raidctl. В интернетах вроде говорят, что это реально возможно, а в живую не получается, проходит загрузчик, а после чего падает с кучей ругательств на ненайденные файлы. Хотя ставится нармально и без воплей....
Надо будет конкретней покопать гугел.

Читать далее

Sun SPARC T5140

Привезли то, о чем я мечтал целых 2 недели, Sun SPARC T5140, такойже как на картинке только винтов 8 штук. Сижу в предвкушении как буду сетапить, руки чешутся уже консольку подключить и поковырять, но пока нельзя, жду пока не нагреется до комнатной температуры, чтобы конденсат не выпал.
Железка - 128ядер, 32гига мосгов, 8 хардов по 143гига
Цель моя - засетапить Solaris и поднять 6 виртуальный контейнеров.
Картинка этой шайтан коробки(тыкнуть для увеличения):
Sun SPARC T5140

Читать далее

Еще доки по циске.

Неплохая подборочка книжек по CISCO, есть откровенное старье, есть и интересные экземпляры. Скачать можно бесплатно. Форматы в основном PDF.

Читать далее

Sikuli

Наткнулся тут на такую фигню как Sikuli, это кросплатформенный(написанный на Java) скриптовый язык для автоматизации действий под GUI. Весит 9мб. Поигрался - достаточно интересный проект, есть даже пара идей как его использовать.
Видео как оно работает под катом:



Читать далее

HP-UX и установка Apache из .depot

Пятница. Сижу раслабленный со скучающей мордой читаю всякие форумы, админский шабат потихонечку движется к своему логическому завершению. Начальник просит поставить посвежей апачу на HP-UX который он в текущий момент ковыряет плюс заменить x64 на 386 пакет апачи. Ну раз нада, значит нада, заливаю при помощи sftp .depot пакет.
Запускаю swremove дабы снести старый.
После чего swinstall -s /path/to/newfile.depot
Дальше проверяю что пакет поставился:
cd /opt/hpws/apache32/bin
./httpd -v
file httpd
стартую новую при помощи /sbin/init.d/hpws_apache32 start
Осталось только разобратся с автоматическим запуском сервиса и обрести щастье
в файле /etc/rc.config.d/hpws_apache32conf
в строке HPWS_APACHE32_START=0
меняем 0 на 1
все, апача должна стартовать при запуске

Читать далее

Напильник рулит.

Если долго махать напильником, то из паравоза можно сделать самолет.
Авторизация через Internet Authentication Service тоже прикручена. Как оказалось, там ничего особа сложного, единственное в доках CISCO не было указанно, что необходимо в Remote Access Policies в параметрах Connections to other access servers разрешить подключение удаленный доступ. И в пользователях разрешить такую вещь как подключение по Dialup. Почитав доку по подключению PIX к радиусу, я присоеденил недостающее к доке в предыдущем посте про сертификаты и все заработало. А завтра админский шабат. Мож авансек дадуд...

Получившийся конфиг, сразу говорю, он не рабочий, так как сделан только для того чтобы проверить авторизацю через радиус с сертификатами.

PIX Version 8.0(4)
!
hostname pix515
domain-name pix515
enable password blabla encrypted
passwd blabla encrypted
names
!
interface Ethernet0
shutdown
no nameif
no security-level
no ip address
!
interface Ethernet1
nameif inside
security-level 100
ip address 192.168.12.45 255.255.255.0
!
interface Ethernet2
shutdown
no nameif
no security-level
no ip address
!
ftp mode passive
dns server-group DefaultDNS
domain-name pix515
pager lines 24
logging asdm informational
mtu inside 1500
ip local pool vpnpool 10.10.10.1-10.10.10.254
icmp unreachable rate-limit 1 burst-size 1
no asdm history enable
arp timeout 14400
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute
dynamic-access-policy-record DfltAccessPolicy
aaa-server vpn protocol radius
aaa-server vpn (inside) host 192.168.12.121
key идфидф
aaa authentication ssh console LOCAL
http server enable
http 192.168.1.0 255.255.255.0 inside
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
crypto ipsec transform-set myset esp-3des esp-md5-hmac
crypto ipsec security-association lifetime seconds 28800
crypto ipsec security-association lifetime kilobytes 4608000
crypto dynamic-map outside_dyn_map 10 set transform-set myset
crypto dynamic-map outside_dyn_map 10 set security-association lifetime seconds 28800
crypto dynamic-map outside_dyn_map 10 set security-association lifetime kilobytes 4608000
crypto map outside_map 65535 ipsec-isakmp dynamic outside_dyn_map
crypto map outside_map interface inside
crypto ca trustpoint CA1
enrollment terminal
fqdn pixvpn.spklabs.com
subject-name CN=vpn.blabla.bla,OU=IT,O=blabla LTD,C=RU,St=Moscow,L=Moscow
serial-number
keypair my.CA.key
crl configure
crypto ca certificate chain CA1
certificate 61ff73c400000000000b
308205c2
....сертификат отпилен
quit
certificate ca 67e4dfb59853744f1ecs028e268a89
30820
....сертификат отпилен

quit
crypto isakmp enable inside
crypto isakmp policy 65535
authentication rsa-sig
encryption 3des
hash md5
group 2
lifetime 86400
telnet timeout 5
ssh 192.168.12.0 255.255.255.0 inside
ssh timeout 60
console timeout 0
threat-detection basic-threat
threat-detection statistics access-list
no threat-detection statistics tcp-intercept
group-policy defaultgroup internal
group-policy defaultgroup attributes
default-domain value spklabs.com
username vpnuser password blabla encrypted
username vpnuser attributes
group-lock value DefaultRAGroup
username bear password blabla encrypted
tunnel-group DefaultRAGroup general-attributes
address-pool vpnpool
authentication-server-group vpn
default-group-policy defaultgroup
tunnel-group DefaultRAGroup ipsec-attributes
trust-point CA1
!
class-map inspection_default
match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
parameters
message-length maximum 512
policy-map global_policy
class inspection_default
inspect dns preset_dns_map
inspect ftp
inspect h323 h225
inspect h323 ras
inspect rsh
inspect rtsp
inspect esmtp
inspect sqlnet
inspect skinny
inspect sunrpc
inspect xdmcp
inspect sip
inspect netbios
inspect tftp
!
service-policy global_policy global
prompt hostname context


Читать далее

Ура, сертификаты были побеждены.

Свежая голова решает. Как оказалось, был у меня криво поставлен CA под Windows, в общем создал на стенде AD, переинсталил IIS, CA и получил доступ к созданию сертификатов. А дальше все просто, по доке усе пошло как по маслу.
Следующая задача - прикрутить авторизацию на PIX к AD.

Читать далее

PIX+авторизация через сертификат

Мда, не стандартную задачку задали на новой работе, необходимо прикрутить CISCO PIX к службе сертификатов винды, дабы пользователи цеплялись не через пароль, а при помощи сертификата в CISCO VPN клиенте. Пока пусто, голова полна всякими нехорошими мыслями, завтра на свежую голову буду копать снова.

Читать далее

Серитификат CISCO

Прошло чуть больше месяца как пришел сертификат CISCO, распечатан насколько понял на цветном принтере. Осталось понять, что за пластиковая карта с магнитной полосой которая идет в комплекте и зачем она нужна.


Читать далее