nocproject.org
10:16
кстати а ноку до сих пор нужен свой меркуриал? или он таки научился пользовать системный?
10:25
Что-то Дима глубоко застрял в микросервисах
10:26
Все issue висят месяцами
10:32
рисуйте профили на оборудование
10:33
грузите апельсины бочками
10:41
Кто ставил нок на рхел?
10:41
Я, конечно, через тернии к звездам и все такое
10:45
я на центось ставил
10:45
все работало
10:45
питон какой был? 2.6?
10:46
да
10:46
и такой тоже
10:46
хотя в центоси седьмой был 2,7
10:46
Command "/opt/noc/bin/python -c "import setuptools, tokenize;__file__='/tmp/pip-build-tnS9CE/gmpy/setup.py';exec(compile(getattr(tokenize, 'open', open)(__file__).read().replace('\r\n', '\n'), __file__, 'exec'))" install --record /tmp/pip-pAtAFm-record/install-record.txt --single-version-externally-managed --compile --install-headers /opt/noc/include/site/python2.6/gmpy" failed with error code 1 in /tmp/pip-build-tnS9CE/gmpy
10:46
у кого есть dlink 1210?
10:46
как управляете?
10:47
вот думаю, что ему еще надо?
11:01
buggy-funhouse: который из 1210 - их много и глюки у всех разные
11:01
filonov: dgs-1210-28, к примеру
11:01
buggy-funhouse: аккурат вчера матом их крыл
11:02
вот мне сейчас принесли на попробовать
11:02
волшебное говно
11:02
ты даже не представляешь насколько
11:02
ну, представляю. Хотел снять по snmp скорость на портах, а оно отсохло
11:02
версия прошивки какая?
11:03
"отсыхание" - еще не самое смешное что с ним бывает
11:04
сейчас ребутну
11:04
посмотрю
11:04
скорее какая-нибудь дефолтная
11:17
filonov: Firmware Version 4.00.064
11:17
Вот такой
11:19
buggy-funhouse: show switch выложи на pastebin
11:20
buggy-funhouse: ой вей
11:20
я подозреваю, что это даже не заводская прошивка, а еще древнее
11:21
.rar
11:21
это они хдорово
11:21
Сейчас посмотрю
11:23
11:23
Вот его sh sw
11:24
Dmitry1: к вопросу о boot-loader ;)
11:24
Hardvare version тоже интерсный
11:25
А, стоп. Это 1210-20-P
11:26
ага
11:26
buggy-funhouse: так такая там и стоит
11:31
11:31
они вообще молодцы, поназывали кучу говна одинаково
11:31
ты не поверишь
11:31
у циски так само
11:32
Catalyst 3560, 3560G, 3560-E, 3560-CX, 3560v2
11:32
я знаю, что куча хардовых ревизицй
11:32
вот cx не видел
11:33
CX - это чего-то с energywise встроенным
11:33
buggy-funhouse: угу
11:33
так как оно в жизни-то? часто падает?
11:35
главное - не трогать snmp
11:35
главное не трогать ssh. snmp можно трогать
11:36
но позавчера узнал, что иногда и CLI трогать не желательно
11:36
смысл в том, чтобы не покупать мсякие smart, websmart и ME свичи
11:36
Ну так то их вообще трогать нежелательно. Даже в перчатках
11:37
DGS-1210-28P - это решения внутри офиса, не больше
11:38
соответсвенно, ни о каком полноценном CLI и SNMP речь идти не может
11:38
Если б все так просто было
11:38
если нужен нормальный управляемый свич, то смотреть как минимум в сторону DGS-3426
11:39
а еще лучше - DGS-3420-26
11:39
А если нужен дешевый гигабитный управляемый с низковольтным питанием?
11:39
filonov: DGS-3200
11:39
оне еще и с пассивным охлаждением
11:40
мне понравились DGS-1510-52X
11:40
на сайте длинка четко написано для говносвичей - "поставляется в проекты"
11:41
нет, в проект это просто редкое
11:41
Dmitry1: ты цену сравни, да?
11:41
это означает, что его выпустили малой партией, и забыли как страшный сон
11:44
а зачем покупать свич задешево, а потом пытатья от него добиться функционала L3 минимум ?
11:45
Dmitry1: а зачем покупать дорогие свитчи на l2?
11:45
l2+ - это DGS-3120B/RI, DGS-3426, DGS-3420
11:47
DGS-3426 всего в 3.5 раза дороже 1210
11:49
хм. это я буржуй, что ли ?
11:50
Ага
11:56
у 1210 есть 3 мегаплюса - цена, размеры и питание. Остальное минусы
12:12
Если при апгрейде: ERROR: FATAL: Ident authentication failed for user "noc"
12:12
при этом в noc.conf пасс заведомо верны
12:12
куда еще копать?
12:13
Night_Snake2: а кто на ком стоял?
12:13
кто куда авторизуется?
12:13
postgres
12:13
noc в postgres
12:13
а с консоли в том же раскладе все ок?
12:15
[root@srv-noc-dev noc]# psql -d noc -U noc
12:15
psql: FATAL: Peer authentication failed for user "noc"
12:15
даже пасс не спрашивает
12:15
pghba.conf спасет отца русской демократии
12:16
/etc/postgres/.../pg_hba.conf
12:22
а если там host all all 127.0.0.1/32 ident
12:22
?
12:24
ident замени на password
12:24
полезно также перед этим добавить :
12:24
local all all password
12:24
да и вообще почитать документацию невредно
12:25
спасибо :)
12:25
прошло вроде
12:25
А оно так по дефолту было или ты поставил?
12:31
по дефолту
12:31
это 9.4
12:31
постгрес
12:31
а я наивно думал что моему мнению о редхатоидах некуда падать
12:34
а при чем тут редхатоитды?
12:34
пакет-то из репы постгреса
12:34
он там вообще встал в задницу
12:34
типа /usr/psql-9.4/
12:34
что пришлось path править
12:50
дефолтный конфиг постгреса выглядит слегка иначе
12:54
и тем не менее. я не знаю, кто собирал конкретно этот пакет, но качал я его и репо постгреса
12:57
Ну а кто кроме редхатоидов будет собирать rpm?
12:59
смотря кого пониматьь под редхатоидами
13:00
Тех, кто несмотря ни на что, собирает пакеты для редхатов
13:01
Ха-ха-ха. /usr/ports - вот в чем сила !
13:04
ставить на сервер что-то из пакетов - это нужно иметь стальные яйца
13:05
обычно у серверного софта 100500 ключей компиляции и переменных окружения
13:07
Dmitry1: чоткие пацаны не используют ключи компиляции. Чоткие пацаны используют пакеты (ну например) exim-а собранный со всеми возможными sql-клиентами одновременно
13:07
с соответствующим ворохом зависимостей
13:08
Ну и через год-другой система приходит в состояние в котором ее проще переставить с нуля, чем заапгрейдить
13:09
filonov: расскажи, как поставить apache+mod_suexec из пакета
13:10
а зачем в наше мирное время его ставить в принципе?
13:10
ставишь пакет апача, если su_exec не в базовой поставке, ставишь еще и его из пакета
13:12
а ничего, что в suexec во время компиляции нужно указывать UID, GID и т.п. ?
13:12
разве? Я им всего один раз пользовался и там это в конфиге выставлялось
13:13
но могу путать
13:13
Или у вас в репозитории лежат 65535^65535 разных пакетов mod_suexec с разными комбинациями UID и GID ?
13:13
Dmitry1: это решается разумным дефолтом
13:13
если вам нужны разные комбинации uid-gid - что-то не так в консерватории
13:14
А что здесь не так ? Хочу из CGI запускать radclient, или еще что-то
13:15
Dmitry1: консерватория здесь не так
13:16
т.е. mod_suexec написали маргиналы, которые все делают неправильно ?
13:17
его написали в те годы, когда он еще был актуален. Те времена давно прошли
13:17
ок. тогда задача - из cgi скрипта запустить radclient
13:17
штатными средствами
13:17
без всяких sudo и т.п.
13:18
sudo и есть штатное средство
13:19
Это безотносительно того факта, что cgi уже почти умерли
13:20
С каких это пор sudo штатное средство? С тех, как его по умолчанию всунули в убунту ?
13:21
С тех пор как я стал указывать sudo среди обязательных при установке. Это было задолго до появления убунты
13:22
судо сосет
13:22
никогда его не использовал
13:22
все через su делал
13:22
странно. нигде, кроме некоторых "дистрибутивов" линукса не видел sudo
13:22
судо есть хорошо
13:23
по дефолту оно не ставится
13:24
с ним можно будет организовать админский доступ к параметрам но не давать рута на систему.
13:24
zi_rus: ну сделай Дмитрию через su запуск radclient-а из cgi. но только radclient-а
13:24
чем хорошо ? костыль для тех, кто не освоил MAC, группы, ugidfw
13:25
Dmitry1: ну давай, рассказывай, как ты через мак, группы и прочую грень будешь разрешать доступ к отдельной программе с фиксированным набороом параметров
13:26
filonov: скастуй конфиг sudo, разрешающий определенному CGI скрипту выполнять определенные действия
13:26
не всему процессу apache, а определенному скрипту
13:26
Hi guys, i have some problem with adding DNS records all of a sudden.
13:27
It wont save
13:27
Records generated thruu "Address space management" works fine.
13:27
Its the records we add manually to DNS->Zones...
13:27
Dmitry1: я не занимаюсь созданием дыр в безопасности
13:28
sudo - одна большая дыра в безопастности. когда все потомки какого-то процесса получают те же права, что и сам процесс
13:29
Dmitry1: Это не sudo - это fork() ;)
13:31
И если ты разрешил запуск через sudo чего-то, что может порождать процессы нужные для атакующего - то это ты сам себе злобный буратино а не sudo
13:31
apache порождает кучу процессов
13:31
Это не su, где от этого никак не избавиться
13:32
Dmitry1: с дуба рухнул?
13:33
70 887 1 0 44 0 81744 8912 select Ss ?? 17:48.58 /usr/local/bin/postgres -D /usr/loca
13:33
70 889 887 0 44 0 81744 12972 select Ss ?? 27:08.45 postgres: writer process (postgre
13:33
70 890 887 0 44 0 81744 8956 select Ss ?? 12:15.04 postgres: wal writer process (pos
13:33
70 891 887 0 44 0 81744 9236 select Ss ?? 7:34.88 postgres: autovacuum launcher proces
13:33
70 892 887 0 44 0 50472 7956 select Ss ?? 26:02.71 postgres: stats collector process
13:33
0 897 1 0 61 0 10508 2696 pause Is ?? 0:00.00 nginx: master process /usr/local/sbi
13:33
80 898 897 0 44 0 10508 3536 kqread I ?? 0:04.13 nginx: worker process (nginx)
13:35
при том, что я могу запускать разные его модули под разными UID
13:35
с дуру можно много чего сломать.
13:36
Dmitry1: и много у тебя солярок?)
13:37
у меня FreeBSD
13:37
и хостинг на ней
13:37
где каждый VHOST запускается со своими UID/GID
13:38
может в линуксах как-то по другому, через sudo это делается ?
13:40
13:40
вы таки путаете теплое с мягким.
13:41
изначально речь шла о сборке из исходников
13:42
где в mod_suexec на этапе компиляции вбиваются UID и GID, ниже которых нельзя опускаться, какие бы кривые конфиги не делел админ
13:43
Вот я и говорю - ты путаешь теплое с мягким. Проблема сборки suexec надуманна.
13:44
я как пример привел. то, что недавно делал
13:45
вот пример сборки обычного unbound
13:46
Dmitry1: ну перед тем как выносить свою неграмотность на всеобщее обозрение, я бы рекомендовал посмотреть хотя бы на Debian
13:47
Это безотносительно того факта, что shared hosting-и с cgi-шками - крайне маргинальное развлечение последние 10 лет
13:47
OPTIONS_FILE_SET+=DOCS
13:47
OPTIONS_FILE_SET+=ECDSA
13:47
OPTIONS_FILE_UNSET+=FILTER_AAAA
13:47
OPTIONS_FILE_UNSET+=GOST
13:47
OPTIONS_FILE_SET+=LIBEVENT
13:47
OPTIONS_FILE_UNSET+=MUNIN
13:47
OPTIONS_FILE_UNSET+=PYTHON
13:47
OPTIONS_FILE_SET+=THREADS
13:48
в дебиане 64 разных пакета unbound ?
13:50
нет. 9. Для типичных конфигураций этого хватает, для остальных есть apt-get source
13:53
мда, представляю себе пакеты
13:55
пакет_с_openssl, пакет_с_libressl, пакет_без_ssl
14:20
я конечно подозреваю, что где-то существует 100501 дистрибутив линукса, в котором все пакеты по умолчанию собраны с libressl вместо openssl
14:21
и где-то существует 100502 дистрибутив, в котором все пакеты собраны с gcc-4.7 вместо gcc-4.6
14:22
но это слишком, для моей неокрепшей психики
14:28
а вот не подеретесь :P
14:29
да, гента рулит
14:29
просто ставишь нужные юзы
14:29
и компиляется как тебе надо
14:30
и плюс даже не в том что оно компеляется
14:30
а в том что линукс гавно
14:31
я периодически скачиваю исходники ядра, заглядываю в них, потом в ужасе удаляю
14:32
от идеи Линуса там ничего не осталось. каждый контрибутор пихает туда что-то свое
14:33
в результате 100500 способов выиграть в производительности на каком-то экзотическом железе, 100500 способов обойти аппаратную ошибку железа и т.п.
14:35
да весь опенсорстакой
14:35
куча FS из-коробки. каждая со своими плюсами и минусами. хочешь компрессию - не будет шифрования. хочешь шифрование - не будет снепшотов
14:35
но линукс хоть кто-то признает
14:35
а бсд это маргинальщина
14:36
хм. на BSD не извращаясь, из коробки я получаю компрессию, шифрование, снепшоты, журналирование, расширенные ACL, квоты и т.п.
14:36
и это на обычной старой UFS
14:38
и какой в этом понт, если производители железа на нее забили?
14:38
драйверов нет, виртуализации нет
14:38
нормальное
14:39
*нормальной
14:39
VT-X там хоть запилили уже?
14:39
все последние драйвера интела, броадкома и т.п. доступны
14:39
vt-x уже несколько лет как запилили
14:40
именно фряшные, или бэкпорты из линукса?
14:41
14:41
выбирай в списке систем FreeBSD и качай
14:42
и да, что там с виртуализацией? гипервизоры есть уже?
14:43
14:43
да. есть. штатный гипервизор "из-коробки"
14:44
14:46
но если нужно, то в портах есть xen dom0
14:46
Угу, в десятке наконец запилили. Год назад.
14:47
Учитывая что libvirt/kvm живет уже хз скока
14:47
Не, фря, местами, хорошая система. Но увы, на нее забили болт сами разработчики, и очень поздно начали наверстывать упущенное.
14:48
А т.к. рынок уже просран
14:48
то упс
14:49
потому и делали в линуксе виртуализацию, что штатными средствами не могли ограничить доступ одного процесса к другому
14:50
а во freebsd как работали jail, так и работают
14:50
ну jail и libvirt сравнивать как-то... глупо, как минимум
14:51
When I set nginx to use https and disable http. Then when I browse to NOC IPAM, the frame doesn't load.
14:52
14:52
How can I correct this?
14:53
zevlag: add 1.2.3.4 to trusted host in your browser
14:54
а если он через инет данные гонет
14:54
Dmitry1: I actually want HTTP disabled
14:54
I only want HTTPS traffic
14:55
Why is noc making cross protocol references?
14:56
ipam use django and jquery. other parts use extjs
14:57
this is old application, and has been rewriten in feature
14:58
*nod*... it was IPAM i fell in love with NOCProject for a long time ago.... then it got wrapped in with all the other features...
14:58
I like them too now
14:59
you not alone
14:59
but...
15:00
but I really need to have HTTPS only working
15:01
/usr/ports/net/ssltunnel*
15:09
Does it make it easier to track down if chrome says the initiator of the request is ext-all.js?
15:51
15:51
edit settings.py: SECURE_PROXY_SSL_HEADER = ('HTTP_X_FORWARDED_PROTOCOL', 'https')
15:52
edit nginx noc.conf: proxy_set_header X-Forwarded-Protocol $scheme;
15:56
I found the problem to be the redirect on 130-138 of ip/apps/ipam/views.py
15:57
which uses djangos HttpResponseRedirect on line 325 of lib/app/application.py
15:57
I chose not to rewrite it, and found just those two small settings changes caused it to rewrite the url as HTTPS properly
Share this page
Share this page: