nocproject.org

Hi

По поводу юзера C-3PO и закрытия старых багов в багзиле "за истечением строка давности"

Думаю это плохая идея, как минимум стоит требовать от запостевшего баг детальной инструкции по его воспроизведению.

Возможно некоторые действительно уже профиксились и не проявляются, а остальные?..

xetle_: как только инициатор (или кто-то еще) допишет туда комментарий, этот статус снимется

xetle_: никакого смысла в "протухших" заявках нет

нужны данные для воспроизведения и поиска трабла

xetle_: инициатору приходит письмо о таком статусе

и по некоторым инициаторы отвечали, и заявки условно "в работе"

Ладно, там два десятка я написал. Со своими попробую вспомнить разобратся и закрыть.

У кого есть коммутаторы HP 1905 приглашаются в NOC-950

xetle_: в этом и была цель, чтоб заинтересованный в заявке ее отслеживал

Граждане есть NOC-66 и NOC-852 по поводу которых Сказали "зачем это говно в ноке поддерживать".

Речь идёт об оборудовании пользовательского класа DLink DIR-* и Zyxel DSL P6XX P7XX

Есть возражения против закрытия этих багов?

По поводу DIR-

имею ввиду закрыть "Won't Fix"

Длинковцы наклепали уже штук пять аппаратных ревизий, каждая со своим неповторимым CLI

И на некоторых CLI телнет NOC не работает. :)

нк да

dvolodin когдато сказал что "пользовательское оборудование не желательно добавлать в NOC" оно его замусорит...

Добрый день. У меня теперь обратный вопрос, как удалить добавленные MIB, часть из них добавилась с ошибкой, при этом в списке они появились, но содержимое отсутствует?

на счет откровенно пользовательского оборудования (домашние роутеры и мини коммутаторы) я согласен - не должны они замусоривать нок. единственное - просто добавлять их как некое general устрйоство, чтобы просто мониторилось на предмет доступности.

ну и в схеме чтобы можно было пихнуть с каким-нибудь идентификатором клиентским.

NOC-295 DLink.DxS get_switchports через SNMP.

Можно скопипастить последнюю редакцию get_switchports через SNMP с профиля Eltex.MES

Также вспоминается баг для длинк, если его по SNMP мучить то порты подвисали!!!

вот-вот

причем, судя по форуму, помогал после этого только холодный рестарт

так что нафиг-нафиг

MindGames есть хорошее предложение NOC-358 и даже get_interfaces где-то в багах валялса.

Dmitry1 закрывай NOC-295 с коментарием DLink говно, при работе по SNMP виснет, омогал после этого только холодный рестарт :)

xetle_: есть же get_switchport на CLI ? Зачем еще на SNMP ?

Dmitry1, это для устройств конечных клиентов. там, где CLI нет или не поддерживается нокос

Я имел ввиду, что есть скрипт DLink.DxS.get_switchport, работающий с CLI

не вижу смысла в дублировании того же, но на SNMP

Ну закрой баг NOC-295 "Won't Fix"

Я стараюсь всюда, где это возможно, в профилях писать кроме CLI также поддержку SNMP. По SNMP скрипты работают иногда на порядок быстрее.

Есть 3 бага для исправления которых нужны ваши голоса:

NOC-291 Add function snmp.set

NOC-1495 Add SNMP version and port support

NOC-1523 NOC release packages and .hg

xetle_: а такие сеты одинаковые для всего оборудования?

xetle_: В профиле D-Link для CLI реализован SIM. Я не знаю, пользуется ли кто этой фичей, но как реализовать аналогичное на SNMP - без понятия

TSergey: в теории SNMP OID стандартизированы. Порты, маки, вланы...

NOC-358 у меня работал на многих устройствах разных производителей, от домашних роутеров до агрегирующих L3.

я тут делал переключение мультакаст-фильтра на порту длинка, на всех длинках по разному

xetle_: может лучше через MIB делать? как-то более универсально, что-ли будет

там используются стандартные миб. Делать решили именно по OID

xetle_: и нужно проверять, включен ли snmp на железке

вот тут: NOC-291 это по OID ?

Это в скрипте проверяется. Смотри например профиль Supertel.K2X

Да, NOC-291 использует в примере OID. Но сам баг о другом, надо добавить функцию snmpset.

TSergey: поверка "включённого SNMP" делается в двух местах:

if self.snmp and self.access_profile.snmp_ro:

и

except self.snmp.TimeOutError:

Если что-то отвалится скрипты дальше запустят ветку с CLI

Dmitry1: видел вчерашнее?

про длинк ? я сегодня уже закоммитил

в целом, фишку с while можно ко всем применить

эта, а import re осознанно выброшен?

Dmitry1: ^ добавляй, трейсбекает же

Всем привет. Я пытаюсь настроить аутентификация через ldap, но вот незадача, import ldap не срабатывает. /opt/noc$ ./bin/pip freeze не выдает ldap, можете подсказать как засунуть его из глобального доступа в virtualenv noc-а

да, тоже было бы интересно про LDAP послушать. планирую тоже прикручивать 4)

хихик

когда я прикручивал лдап, бага в ём была не пофикшена месяев девять, что ли

так чта, напильник в руки - и вперёд

можно как-то из cli удалить allocated prefixes ?

ashepelev1: лдап это очень малопользуемая фича, пэтому готовься к большому количеству боли. будет много багов

evyscr: zi_rus: спасибо, ребят, обнадежили :-)

Окей, я вроде разобрался, ставим: apt-get install python-dev libldap2-dev libssl-dev libsasl2-dev, потом /opt/noc/bin/pip install python-ldap

Dmitry1: исправься!

кинь патч

Похожая проблема была здесь: NOC-1025

http://dpaste.com/1SM6739

evyscr: закоммитил

[fq

хай

посавил еще один комп на работу

https://instagram.com/p/3bYj5_zQ58/

ashepelev1: мы просто реалисты, готовим тебя сразу, чтобы ты сильно не разгонялся, а то больно будет узнать что что-то не заработало. а если вдруг проблем не возникнет, будет приятным сюрпризом

Dmitry1: tested, works.

http://www.opennet.ru/opennews/art.shtml?num=42337

А как в NetBSD с задачами реального времени?

как и в любой BSD

там монолитное ядро

тут время отдается или ядру, или ресурасам пользователя

ядро всегда приоритетней

поэтому, чтобы всякие подсистемы ядра не жрали процессорное время, выдумаывают разные микроядра, где часть систем ядра выносят в юзерлевел

а в bsd на mach ничего не делали?

Мене интересно, чисто по совести, что Dell c "Dell Networking OS 9" отдаст обратно в NetBSD?

то, что удобно держать в апстриме, вестимо

см. напр. swsoft^Wparallels

эти вообще Боттомли наняли, чтобы патчи апстримить

FreeBSD микроядро не осилили, как не старались. Нашли компромис в гибридном DragonFlyBSD.

А с микроядер сегодня http://sel4.systems/ наверно рулит и педалит больше всех.

ну вроде как да, все^Wмногие L4 нахваливают

hurd пора переписывать :]

Они в тупик "POSICS COMPATEBLE" зашли с моделью безопасности Юникс.

А для микроядер она оказалась в разы дороже чем для монолитных.

ну, QNX на микроядре вроде

se4L как раз доказали, что отказ от класической модели безопасности на основе проверки прав доступа при каждом обращении к ресурсам

в угоду технологиям рандомизации данных ничуть не уменьшает безопасности.

Ну, как бы пока самой безопасной считается OpenBSD, чтобы там не говорили из мира линукса

И для микроядра, с безопасностью на основе рандомизации, уже получается выиграш в скорости!..

Dmitry1: самой безопасной есть Hardened Gentoo ;)

микроядро всегда проигрывает в скорости из за постоянного переключеняи контекста

И её производные типа http://alpinelinux.org/

из-за кривой реализации x86 архитектуры, при каждом переключении коннтекста нужно сохранять и восстанавливать регистры процессора, регистры сопроцессора, регистры MMX, регистры XMM

seL4 вроде нащупали путь удешевление не в ущерб безопасности..

xetle: посмотри презентацию Тео на счет безопасности OpenBSD по сравнению с FreeBSD

https://events.yandex.ru/lib/talks/1487/

или ты думаешь, что гентушники одним движением руки сделали то, к чему в OpenBSD шли десять лет ?

ага

halt

x86 уже скоро сдохнет. это кажись ОН: http://www.omgubuntu.co.uk/2015/06/first-ubuntu-phone-with-convergence-is-being-made-by-bq

Завтра гляну и отпишу.

всякие selinux - это костыли, тогда как смотреть надо на архитектуру

а вот саму архитектуру продумывали десятки лет назад

А гентушники берут много с https://grsecurity.net/ он опережает OpenBSD или идут вместе. Причём в одном направлении!

так же, как в интернетах появляются постоянные новости, что вот-вот в линуксе запилят CAM, GEOM, netgraph, ZFS и т.п.

xetle: там же написано: "extensive security enhancement to the Linux kernel " - т.е. костыли, не меняющие саму архитектуру

Фичи доступные сегодня в Линуксе: https://en.wikibooks.org/wiki/Grsecurity/Appendix/Grsecurity_and_PaX_Configuration_Options

Меняют :)

как ?

Меняют саму архитектуру! Работу с памятью и прочие вещи. Причём очень активно используют фичи новых процов.

я вот несколько лет слежу за развитием проекта виртуализации на FreeBSD

В OpenBSD теже технологии и ИДЕНТИЧНАЯ архитектура с https://grsecurity.net/

так там, перед тем, как объявить, что что-то сделано, несколько лет ведется незаметная работа

Dmitry1: а в bsd появится lvm?-)

что такое lvm ?

Единственное Тео довольно медлит с реализацией фич, ища более быстрые алгоритмы.

в бзд есть zfs

зачем там лвм?

а так же GEOM, netgraph, CAM

ну вот зачем в линуксе geom?

его родной mdraid убогий

Вот примеры изменения архитектуры Linux как в OpenBSD:

Dmitry1: разверни в урл

https://en.wikibooks.org/wiki/Grsecurity/Appendix/Grsecurity_and_PaX_Configuration_Options#Paging_based_non-executable_pages

https://en.wikibooks.org/wiki/Grsecurity/Appendix/Grsecurity_and_PaX_Configuration_Options#Address_Space_Layout_Randomization

плюс возможности компрессии, шифрования и т.п. на уровне логических томов, а не FS, как постоянно пытаются сделать в линуксе

xetle: блин, в OpenBSD это уже несколько лет как есть

причем оттестированно, и в продакшн

Не поверишь, в линукс с 2.2, а в 2.4 уже во всю юзали!

Могу ссылки на дистры дать.

кстате, а в бсд есть свой 12309?

Этот к тебе ближе всех будет: ftp.linux.kiev.ua/Linux/CD/Dystryk/

что за 12309 ?

Ещё раз OpenBSD от Grsecurity.net отстаёт ибо Тео долго ищет "правельную реализацию", а так они друзья и вместе технологии эти разрабатывают!

так BSD тем и отличаются от линуксов, что там долго ищут "правельную реализацию", зато потом все работает с пол-пинка и без глюков

про 12309 кусок статьи с лурка:

"Примечание: ФриБСДя и Солярка проблемой 12309 по причине high I/O, в отличие от Ляликса, не страдают. Однако засрать память можно даже человеку. "

верить лурку в 2015...

ну, к примеру взять ту же ufs

за все время был всего один шаг, когда ввели 64-х разрядные номера inod

а так, потихоньку, там есть ACL, квоты, несколько видов журналирования, снепшоты и т.п.

И это - ничего не ломая

в отличие от кучи FS в линуксе, которые не совместимы между собой

лол

вот есть виндоуз, один gui, в отличие от кучи несовместимого в линуксе

не скажи

ты winapi видел ? openfile(), openfile1(), openfile2() и т.п.

implying gui == winapi?

Dmitry1: ну тут ты тоже не прав. во фре есть куча FS, и так же промеж себя не совместимые. да - ufs - дефолтная. но не значит что единственная. в линуксе ext* дефолтная в таком случае. и они как раз совместимы промеж себя ;)

т.е. я могу с ext2 обновиться, не потеряв данные на ext4 ?

теоретически да

и промонтировать ext4 в виде ext2 тоже

эээ, а практически ?

я не пробовал

монтировал более новые как старые - это работает

в zfs команда "zpool upgrade" штатная

а вот тупо переделать ext2 в ext4 не делал

для ufs есть специальная команда "tunefs", которая включает и отключает всякие фичи в fs

тоже самое

tune2fs

и возможно, включит снепшоты, вынести журнал на отдельный диск и т.п. ?

я не пробовал ) для серверов я использую jfs, для локальной тачке ext3, все по дефолту. потом - как-то перетек разговор с "не совместимости" на "возможности"

я не хочу холиварит bsd vs linux

имхо - тут у каждого свои фломастеры )

Dmitry1: а зачем?

я пробовал и то и другое. генту мне оказался ближе чем фри. но фри я уже не мацал лет 10 )

и потом - в век облачков - все "настольные" фс ваще подохнут. кластерные фс ныне в моде ;)

хм. у каждой системы своя ниша. я вот попытался постваить на убунту 1C родную линуксовую - не осилил

и это проблема отнюдь не бубнтовская

скорее 1с

это же почти как с ноком

кстати, о ноке

давайте всё-таки какой-нибудь линтер использовать

и, например, юнит-тесты какие

а то временами такой ёбаный стыд встречается...

так было уже "ci"

только народ почему-то не стремиться делиться тушенкой

и шо, каков результат?

хм

куча тушенки поломана

а народ новую делать не хочет

я как могу поддерживаю профили для длинков и циски

по крайней мере тушенка там актуальная

знаете, не нужна никакая тушёнка, чтобы выцеплять вот такое: self.out(" !!! mirror path violation for" % o)

Dmitry1: к вопросу апгрейда ext2 - гугль первой же ссылкой поделился хауту ;) собсна при помощи tune2fs

Dmitry1: сегодня тушняк приготовить не смог, завтра постараюсь..