nocproject.org

Кто-то здесь пользуется ssh из NOC?

Управляет железками с нок по ssh?

я

а какая разница ssh или телнет?

SSH в нок с новыми версиями OpenSSH_6.9p1-hpn14v5, OpenSSL 1.0.1p перестал работать.

NOC-1667 надо когото кто знает python и разбирается в шифровании.

Раньше можно было извратится, использовать ключи и алгоритмы которые нок зает.. А теперь сервак шлёт MSG_GLOBAL_REQUEST №80, а нок его неумеет обработать.

Другие тоже здесь жаловались что ssh с новыми версиями серверов перестал работать.

а в ноке какая-то своя херня?

а не готовая библиотека ssh какя-нибудь

Профиль для СНР не работает на прошивке 6 версии, работает на версии 7 и выше.

> Как я заработал на фрилансе:

> 1) Зарегистрировался, отдал 50 центов (27 рублей) за регистрацию;

> 2) Подождал две недели;

> 3) Удалил аккаунт и забрал свои 50 центов (32 рубля).

интересно на сколько уменьшилась зарплата в тех же долларах.

ufir: а ты хорош!

Ещё вопрос знатокам FM

"Спаренные" события как правильно реализовывать?

Это когда на два собития syslog в нок записывается только один ивент.

Или такого нет пока?

именно ивент? вроде так с аварией есть, а вот ивент, надо ли так?

Первый игнорить, а во втором писать хелпер который будет искать первый ивент и дёргать с него что надо?

Есть возможность с двух ивентов склепать одну аварию?

думаю что такая штука есть к событию анкноун сорс

я не знаю :) но авария показывает все ивенты, которые к ней относятся

секунд, гляну, не ошибаюсь ли я

это руткоузе..

Авария подымается на причину, а все ивенты следствия прикрепляются к ней.

ну например у меня авария "Unauthenticated IP-MAC address and discarded by ip mac port binding" в ней видны все ивенты, которые по этому же хосту-порту

А уменя есть событие которое ВСЕГДА шлёт два сообщения и из обеих хочу дёрнуть инфу. Ну и записать как ОДИН ивент в noc.

с этой же проблемой

нет тут причины и следствия

или я не о том?

Вот, авария причина и кней цепляются остальные события следствия.

А у меня одно событие.. но собака шлют два сообщения сыслог...

и ты думаешь идеалогически это корректно? я думал ивент это такая нерушимая штука

:)

тут надо dvolodin пытать, как это задумывалось

Вообще шлёт аж 4 сообщения по одному событию, но полезная иформация есть только в двух первых..

а чем плохо деалть аларм и из второго к нему добавлять данные?

в алармах будешь четко видеть все ивенты к этому одному событию

Устройство не создаст события закрывающее этот алярм.. по этому аварию подымать не хочу.

Это событие распознаной ядром атаки.

В первом сообщении идёт название атаки (вид) и диапазон адресов

Во втором сообщении идёт информация о том кто виноват... и конкретный адрес памяти.

Ивет хорошо бы делать один: <вид атаки> <юзверь> <и атакованый процесс>

Ивент класс Atack | Atack под это почти подходит, но он сломан!

xetle: ну и закрывай ее четвертым ивентом :)

все будет почти логично

нет это хрень...ъ

первый ивент <вид атаки> не ясно кто виноват и где она произошла...

Второй ивент <юзверь> <и атакованый процесс> понятно кто виноват но непонятно что случилось... Их бы с первым объеденить.

В текстовом syslog они друг за другом 4 строки идут и всё понятно и наглядно. А как в NOC эти 4 в одно связать бы для наглядности.

а можешь выложить на пасту? интересно как это выглядит

Может вторым событием подымать аварию, и с первого к ней брать "названия атаки". Будет незакрывающаяся авария с двумя прицеплеными событиями...

Это очень редкий вид атаки, раз в год может появлятся.. Так что админы смогут руками практично закрывать её аварии.

тоже логично: рассматривать это событие как событие, требующее анализа

т.е. событие случилось, поднялась авария, все проверили и закрыли

Вот логи от искуственной атаки: http://pastie.org/10345804

Реальную отбитую я в инетах оставлял, но не выгуглилась. На LOR было.

Во втором событии есть адрес памяти, а в первом дапазон адресов в который он входит. По этому признаку обытия нужно связать.

да, как-то по структуре не очень ясно как их объединять

Объеденять по адресам пямяти, они общие для одного инцендента.

xetle: нет в жизни счастья. Dmitry1 страдал, но вроде как не добился ничего.

xetle: я реквестировал подобное, был послан в лес

сейчас это реализовать можно косытлями

а именно

TSergey: вот старый лог реальной атаки http://pastie.org/10345874 с этим експлоитом: https://packetstormsecurity.com/files/121616/semtex.c

классифицируешь первое сообщение, потом классифицмруешь второе, а во втором ищешь первое и выдергиваешь недостающие параметры

Как хелпером?

хз

хелпером, хендлером, джобом, пирулем

хуй его знает

Я раньше пирулями городил, но теперь всех просят только хелперами.

у меня был реквест в багтрекере

там при падении процесса на циске

генерится 7 сообщений

*хендлером

и из каждого можно что-то дернуть

а ивент по сути один

у кого нибудь возникает трейс с текстом: EXCEPTION: <class 'pyasn1.type.error.ValueConstraintError'> ConstraintsIntersection(ConstraintsIntersection(), ValueRangeConstraint(0, 4294967295)) failed at: "ValueRangeConstraint(0, 4294967295) failed at: "-475158798"" at TimeTicks

офтоп: http://www.opennet.ru/opennews/art.shtml?num=42762

а что оффтоп, я вчера с удовольствием послушал

и на канал подписался в ирк

блин. купили juniper mx80

не знаю, кто делает железо, но junos пишут какие-то эскимосы, не иначе

ну не знаю, а другие дрочат на него

ни дня без приколов

видимо тебе не нравится что от длинка отлдичается

китайы против индусов

мне не нравится такое:

Aug 11 09:26:48   mgd[1750]: UI_COMMIT: User 'mitya' requested 'commit' operation (comment: none)

Aug 11 09:26:50   ffp[32767]: "dynamic-profiles": No change to profiles

Aug 11 09:26:53   (FPC Slot 0, PIC Slot 2)  ms02 mspmand[188]: illegal replication threshold: 0

Aug 11 09:26:53   (FPC Slot 0, PIC Slot 2)  ms02 kernel: cpuid = 14

Aug 11 09:26:53   (FPC Slot 0, PIC Slot 2)  ms02 kernel: BAD_PAGE_FAULT: pid 188 (mspmand), uid 0: pc 0x1084d734c got a read fault at 0

Aug 11 09:26:53   (FPC Slot 0, PIC Slot 2)  ms02 kernel: Trapframe Register Dump:

Aug 11 09:26:53   (FPC Slot 0, PIC Slot 2)  ms02 kernel: zero: 0000000000000000  at: ffffffffffffffc0  v0: 0000000108528a20  v1: 0000000cc02ef680

День добрый. А может кто-нибудь подсказать почему в NOC не работает дисковери по CDP/LLDP? в noc.conf включил, в статусе висит только время следующего запуска. поля last run и last status пустые(

а время запуска наступило?

да

не верю :)

нажми run now

или как там кнопка называется

оно меняется раз в час, в настройках лимит 3600 сек

и такие проблемы у джунипера на каждый чих

если опять печаль то смотри noc-discovery.log

нажимал(

нажми и смотри с лог

навернякак ошибку напишет

Dmitry1: не чего бета версии софта ставить

*нечего

в логе на строчку cdp 2 записи, что модуль инициализирован и что стартовал

жди

он даже в бета версиях не умеет ничего, крому тупого форвардинга трафика

второй день уже жду)

Dmitry1: если нулевую версию софта на циску накатить, она ребутается каждые 10 минут, а если подождать пока выйдут баг-фикс релизы, уже ничего можно в продакшен выкатывать

5,1,0 был диким трешем

5,1,1 уже лучше

5,1,3 уже в продакшене можно пользовать

zi_rus: уже версия 14.2. dhcp нормально не работает, nat нормально не работает, вланы без изврата не работают и т.п.

правда и там баги встречаются

причем если ручками скрипт get_cdp_neighbors запустить, то он все видит

но именно в discovery пусто(

в активатор еще загляни

получил ли он задачу

выполнил ли

вот каким криворуким нужно быть, чтобы при настройках

set system services dhcp-local-server authentication username-include mac-address

set system services dhcp-local-server authentication username-include option-82 circuit-id

set system services dhcp-local-server authentication username-include option-82 remote-id

DHCP сервер кроме кроме MAC адреса все остальное игнорировал ?

нашел в логах вот что: 2015-08-12 17:22:04,446 [noc.lib.scheduler.job] [inv.discovery][cdp_discovery][cat6509E-verb-core] Running script get_cdp_neighbors 2015-08-12 17:22:08,478 [noc.lib.scheduler.job] [inv.discovery][uptime_discovery][cat6509E-izhor-core] Running job 2015-08-12 17:22:08,479 [noc.lib.scheduler.job] [inv.discovery][uptime_discovery][cat6509E-izhor-core] Running script get_uptime 2015-08-1

но не в линках, ни на карте ничего нет(

id discovery не забудь активировать

без него ничего не найдет

это где?) в noc.conf?

[id_discovery] enabled = true

zi_rus: а создание вланов на джунипере - это вообще порнография

а в профиле

Dmitry1: это роутер

а ты чего хотел

ламповые вланы давно не в тренде

та же freebsd отлично это умеет, хоть и роутер

у нормальных людей это не более чем тег на порту

zi_rus: проброска влана с одного порта в дрегой: http://www.juniper.net/techpubs/en_US/junos15.1/topics/example/interfaces-layer3-subinterfaces-ex-series.html

издержки гибкости

на freebsd:

ifconfig bridge0 create

ifconfig bridge0 addm em0 addm em1 up

zi_rus: в managed object profiles cdp включен, а вот про дисковери я не нашел там ничего, хотя и облазил весь его

чем сложнее маршрут тем больше точек надо задать

SkyVVriter: плохо искал, я сразу нашел

zi_rus: я разговаривал с технарем джунипера. он вообще не знает ничего про FreeBSD, И свято уверен, что vMX - это супер-пупер особенность JUNOSа

ему и не надо знать

zi_rus: https://www.dropbox.com/s/q4hsg7qagwaibr1/MOP.jpg?dl=0 вот нету(

есть

но он включен

так что норм

zi_rus: но вот в картах и линках пусто(

ну это потому что дискавери не контачит

попробуй пересохранить мо профиль

zi_rus: просто удивляет, что FreeBSD, которую пишут забесплатно работает стабильнее, чем надстройка над ней, в которую вкладывают килобаксы

бсд сосет и не умеет и части того что могут килобаксовые системы

плюс в стоимость входит аапаратная часть

а бсд на тазике всегда будет только сосать

zi_rus: попробовал, в статистике дисковера теперь видно что cdp отработал, но в колонке напротив теперь написано No data!

да и хуй с ней

там всегда но дата

там настраивать надо

те он как то прожевал все данные, но ничего из них не сварил(

забей

главное линки теперь появятся

это известное залипание

джобов

они пропадают

и нок их не оживляет из-за кривости

у Володина, бля, не воспроизводится

о, зато нашел один линк по STP... вот чтобы я понял, что с ним...

у Володина лютый энтерпрайз

причем из Altrn портов

У него ничего не воспроизводится

zi_rus: думаешь, надо принудительно посадить Володина за инсталляцию с 1G RAM?

думаю надо его на саппорт к e_zombie посадить

вот он говна наестся

ну ладно, на ночь оставлю, там посмотрим, спасибо!

Dmitry1: ну, пару раз таки всплывало, что он чего-то там не закоммитил. Так что может быть и энторпрайз

я имею ввиду, что у него вообще нет железок, которые сами по себе глючат

когда после грозы горят блоки питания и порты

когда постоянные петли за портами

и т.п.

про port flap он вообще не слышал

я даже не знаю, как ему рассказать, что это такое, и в каком месте я после этого я видел скрипт check_link

как всё грустно

отвратительно, да

Dmitry1 а на кой хер ты извини вкрячил 14.2