nocproject.org

,,

bignik: https://bt.nocproject.org/browse/INV-36 и пихаешь туда багрепорты.

https://kb.nocproject.org/display/DEV/Protocols

bignik: а asr у вас чем занимаются если не секрет?

Выложил обновление профиля для OS.Linux https://bt.nocproject.org/secure/attachment/13609/OS.Linux.tar.bz2

мне все больше и больше нравится идея примотать к работе с серверами ansible

да, ansible хорош.

а для discovery нужно в любом случае цеплять iLO и выдирать данные из него

или же через ipmi

dvolodin: решил за JS не братся. Я на нём никогда не писал и изучать не охотно... Лучше на питоне попишу..

у меня пара разъездных дней выдалась, было время малость покумекать

наброски уже готовы

э..

2015-08-27 11:15:14,921 [script] Script traceback:

<class 'noc.sa.interfaces.base.InterfaceTypeError'>

DictParameter: {'interface': 'Eth 1/27', 'in_speed': 1000000, 'admin_status': True, 'out_speed': 1000000}. Attribute 'oper_status' is required in {'interface': 'Eth 1/27', 'in_speed': 1000000, 'admin_status': True, 'out_speed': 1000000}

START OF TRACEBACK

откуда это полезло

snmp лажает

да вроде отдает что-то

> snmpget -c public -v 2c 10.12.64.2 .1.3.6.1.2.1.1.2.0 -O Uvqn

.1.3.6.1.4.1.2011.2.23.92

https://github.com/marmelab/ng-admin -- нашел вот такую штуку

ufir: отдает, но не всегда

а в чем может быть проблема - конфиги железа отдаются(в MO/Config я их вижу), но в Repo не сохраняются? В noc.conf Repo прописан...

bignik: а в логах что?

права на папки

filonov: так прописан? https://kb.nocproject.org/pages/viewpage.action?pageId=20152369

bignik: mo > config показывает конфиги из репо :)

так что, если он показывает, конфиг не сохраняется

спасибо большое, я прописал не в том месте в noc.conf

все форсят фтышиду

ansible

кто все?

все равно, не работает... в из критичного только вот это: [noc.lib.daemon.configuration] Starting configuration thread 2015-08-27 11:46:52,743 [noc.lib.daemon.configuration] Cannot get config from http://127.0.0.1:8000/pm/probe/default/0/config/: <urlopen error [Errno 111] Connection refused>

это может влиять?

<dvolodin>: а где это репо прописано? в путях из noc.conf я его не вижу...

т.е. не вижу файлов...

dvolodin, да везде. Недавно один чувак на лепре хотел изучать chef\puppet ему сказали что не стоит, скоро в резюме будут требовать ansible

в вакансиях*

bignik: а точно localhost?

да, точно. все на одном сервере.

iptables пустой...

кстати лично мне представляется ansible совсем неудобным без tower

bignik: покажи строчку [gridvcs] из noc.conf

mirror.sa.managedobject.config = /mnt/storage/repo

владелец root, права 777

у меня владелец noc

mode 40750

а бэкап у тебя включен?

а где включается?

в шедулере

я спрашивал чтобы можно было проверить права на каталог

danholm_: башню и свою можно прикрутить

чем я и занимаюсь сейчас

сейчас включил main.backup.

изменил владельца.

в смысле самому башню написать?

олсо я тогда вообще не понимаю зачем нужен ansible если есть питон, что он такого может

dvolodin,

danholm_: ansible -- просто DSL для решения специфичных задач

можно и на питоне сделать, но дольше и поддерживать сложнее

https://imgur.com/a/hj07m/noscript

здрасте

а кто писал профили для Экстримов?

там совсем не учитываются стеки

bignik: как успехи? что-нибудь поменялось?

e_zombie, офигеть она жжот

юбку цветастую сделала

хакеронабор сделала

http://pastie.org/10378953 - я немного подправил

так еще и писюлькой светанула

сокровище а не женщина

конфиги стал забирать, но дискавери портов и другое все равно в трейс вываливается

:-D

misak: rx_ifidx_phys = re.compile("^X\S+\s+Port\s+(?P<port>\d+:*\d*)", re.IGNORECASE )

это ты со зла?

что сматчить хотел?

:* --- 0 или более :

может надо (?P<port>\d+(?::\d+))

(?P<port>\d+(?::\d+)?)

вот так

это если матчить что-то вроде 7, 3:7

dvolodin: я просто не умею

надо сматчить 7:24 напромер

:24 необязательная часть

поэтому написал сюда для помощи

(?P<port>\d+(?::\d+)?)

ща поправлю попробую

dvolodin: та же ошибка - local variable 'ifname' referenced before assignment

а где ошибка?

http://pastie.org/10379098

я задолбался вчера, но без знаний питона совсем никак

полный трейс покажи

пробовал глобалом объявлять

он огромный

хотя бы функцию, в которой ошибка

кусок тушенки http://pastie.org/10379107

dvolodin: ^

match = self.rx_status.match(ss.strip())

не сматчилось это

там вообще феерическая лажа

ifname определяется из матча

ага

а используется вне зависимости от того, сматчилось, или нет

дать пример вывода с моего свитча?

http://pastie.org/10379118 - на всякий, там 7 экстримов 670-ых в стеке

лучше тушенку с get_interfaces мне на почту

будет время - разгребу

TSergey: не-а, ничего не изменилось...в шедулере статус main.backup красный кирпич.. в логах пусто... сейчас шедулер в дебаге запускаю...

ну а логи у тебя пишутся?

конечно...

делай аналогичные права на папки

и ищи в noc-scheduler.log чего не так с бэкапом

права уже дал сейчас дебажу шедулер

папку в noc.conf для бэкапа прописал?

да прописал

выслал

сейчас backup выполнился - в папке бакапа появилось 3 файла...

значит права правильные, делай такие на репо, поправь где-гнибудь конфиг и сделай для этой железки SA\MO\Edit --- Discovery\Config discovery

TSergey: спасибо огромное!!!! заработало!!!

заодно и бэкап включили :)

dvolodin: закомить пожалуйста NOC-1666 там существенное обновление профиля OS.Linux (SA & FM)

Что означает поле level в профиле оборудования?

what mean level field in Managed Object Profile ?

kuz: https://www.evernote.com/l/ADkB-nOzAzRMIqsC4uNO0h7E61ymi3C_2Y4

То есть это роль, а планируется описание уровней ролей встроить в сам managed object profile?

ребята, подскажите пожалуйста как мне произвести дискавери: ситация такая есть циска 76-ая на ней включены почти все методы обнаружения кроме lldp и есть хуавей подключенный к циске, на котором не работает cdp, stp, asset дискавери. Получается �

по макам не прокатит скорее всего

а как работает механизм ip дискавери - NOC интерфейсы то находит и привязанные на SVI ip адреса тоже видит (причем с 30 маской), а вот линк ни в какую опознавать не хочет...

а руками этот линк как-нибудь добавить можно? что-бы NOC его потом не снес?

bignik: можно. возьми и добавь

куда и как?

я еще рабираюсь... поэтому не знаю, в базу Postgre заглядывал, но в стуктуре пока нифига не понял... а в python-е и скриптах NOC-а я тупой...

bignik: inv -> Interfaces

твоюмать. Создал пользователя. Зашел под ним, а при сохранении почты в его профиле failed to save

dvolodin что может быть не так

врубайте дебаг ёбта

в логи всё падает

ы

небось тему не выбрал

или язык

или и то и то

надо обновиться

там это исправлено

фсе заполнено и обновлено до девелоп бранча

ну веб консоль открывай и лови трейс

хотя не

не получится

надо firebug

или

я через wireshark трейсы нока ловлю

ну явно не сегодня

Проект grsecurity, в рамках которого развивается серия надстроек для усиления безопасности ядра Linux, объявил о решении закрыть неограниченный доступ к стабильным версиям патчей http://www.opennet.ru/opennews/art.shtml?num=42856

На основе этих патчей возможно построить защиту и аудит в Линукс: https://kb.nocproject.org/pages/viewpage.action?pageId=20152833

К слову, я лично использую grsecurity около 10 лет.

и что оно делает ?

Компания Microsoft на десятках тысяч серверов Skype тоже использует Hardened Gentoo c патчами grsecurity.

Dmitry1: в вашем случае наверно уже позно... ;)

мне просто интересно, что там такое ? контроль каких-то внутренних структур ядра ? передаваемых параметров в syscall ?

Если серьёзно, то grsecurity вместе с дополнительными решениями превращают обычный Linux в OpenBSD.

ты тык и не сказал, что там такое

В кратце: http://grsecurity.net/features.php

Подробнее: https://en.wikibooks.org/wiki/Grsecurity/Appendix/Grsecurity_and_PaX_Configuration_Options

Есть 3 варианта борьбы с вирусами в ОС:

1. Антивирусы

2. Аудит и патчи дыр

я так понял, что тупо при загрузке включается kern.securitylevel ?

3. Вариант OpenBSD - закрыть возможные векторы атаки, сделать невозможным сразу все известные виды атак. Тоесть сделать невозможным проэксплуатировать неизвестные дыры и реализовать атаку нулевого дня.

Дим там не так всё просто, кроме переработки яда необходимо также дополнительные изменения в системные программы, компиляторы, а также пересборку всех програм с специальными опциями PIE/SSP...

эээ

я как бы был на лекции Тео, и слушал о том, что есть, а чего нету у OpenBSD и FreeBSD

если интересно - могу ссылку кинуть

Чтобы быть более конкретным устанавливаем и запускаем следующие программы: paxtest, hardening-check, scanelf

paxtest blackhat

scanelf -a /bin/bash

filonov: ну интерфейсы то я вижу, но линк то добавить как?

hardening-check /bin/bash

слева синенький значок

Dmitry1 давай ссылку.

https://events.yandex.ru/lib/talks/1487/

Только там Тео на английском говорит

Пойму.

Dmitry1: если не занят закомить фри конкурента: NOC-1666 ;)

filonov: спасибо. Я гляжу в книгу - вижу...

у меня очень старый NOC

я не обновлял его уже около полугода

FreeBSD от OpenBSD файктически отличается тем, что в FreeBSD это все выключено, а в OpenBSD включено по умолчанию

Подскажите как включить дебаг и где смотреть ошибки сохранения

Во фре безопасности нет, почти, как и в ванильном Линуксе.

kuz: дебаг включается в конфигурационном файле соответсвующего сервиса - по умолчанию уровень логирования info можешь включить debug.

это что касается сервисов... если небходимо дебажить скрипт, то ./noc debug-script название скрипта название железки из noc-а...

и это ему не поможет

у него не сервис или скрипт глючит

похер, если при копировании mo не трогать атрибуты то ошибки нет

вот как удалить конфиг из веба

конфиг чего? конфигурационные файлы сервисов открываются из main-setup-config.

конфиг mo оборудования