nocproject.org

дааа это тааак

кстати а ноку до сих пор нужен свой меркуриал? или он таки научился пользовать системный?

Что-то Дима глубоко застрял в микросервисах

Все issue висят месяцами

да ваще

рисуйте профили на оборудование

грузите апельсины бочками

Кто ставил нок на рхел?

Я, конечно, через тернии к звездам и все такое

я на центось ставил

все работало

питон какой был? 2.6?

да

и такой тоже

хотя в центоси седьмой был 2,7

Ку!

Command "/opt/noc/bin/python -c "import setuptools, tokenize;__file__='/tmp/pip-build-tnS9CE/gmpy/setup.py';exec(compile(getattr(tokenize, 'open', open)(__file__).read().replace('\r\n', '\n'), __file__, 'exec'))" install --record /tmp/pip-pAtAFm-record/install-record.txt --single-version-externally-managed --compile --install-headers /opt/noc/include/site/python2.6/gmpy" failed with error code 1 in /tmp/pip-build-tnS9CE/gmpy

у кого есть dlink 1210?

как управляете?

вот думаю, что ему еще надо?

buggy-funhouse: который из 1210 - их много и глюки у всех разные

filonov: dgs-1210-28, к примеру

buggy-funhouse: аккурат вчера матом их крыл

вот мне сейчас принесли на попробовать

волшебное говно

ты даже не представляешь насколько

ну, представляю. Хотел снять по snmp скорость на портах, а оно отсохло

версия прошивки какая?

"отсыхание" - еще не самое смешное что с ним бывает

сейчас ребутну

посмотрю

скорее какая-нибудь дефолтная

filonov: Firmware Version 4.00.064

Вот такой

buggy-funhouse: show switch выложи на pastebin

buggy-funhouse: ой вей

я подозреваю, что это даже не заводская прошивка, а еще древнее

buggy-funhouse: https://cloud.dlink.ru/owcl/index.php/s/Aeu24tyjzpWoX1T/download обновляешься сначала на эту, потом можно смотреть на более свежие

.rar

это они хдорово

Сейчас посмотрю

А в чем проблема?

http://pastebin.com/ZS9VhF0J

Вот его sh sw

Dmitry1: к вопросу о boot-loader ;)

Hardvare version тоже интерсный

я верно понимаю, что ему http://ftp.dlink.ru/pub/Switch/DGS-1210-28_C1A/Firmware/DGS-1210-28-C1-4-00-064.zip подойдёт?

А, стоп. Это 1210-20-P

ага

buggy-funhouse: так такая там и стоит

buggy-funhouse: http://forum.dlink.ru/viewtopic.php?f=2&t=92700

https://cloud.dlink.ru/owcl/index.php/s/9QwosJ0h0X3KSKh/download вот это тебе наверно надо будет

filonov: нет, скорее https://cloud.dlink.ru/owcl/index.php/s/ldQ8DMEtROHtkBs/download т.к. ревизия C1

они вообще молодцы, поназывали кучу говна одинаково

ты не поверишь

у циски так само

Catalyst 3560, 3560G, 3560-E, 3560-CX, 3560v2

я знаю, что куча хардовых ревизицй

вот cx не видел

CX - это чего-то с energywise встроенным

buggy-funhouse: угу

так как оно в жизни-то? часто падает?

главное - не трогать snmp

главное не трогать ssh. snmp можно трогать

но позавчера узнал, что иногда и CLI трогать не желательно

смысл в том, чтобы не покупать мсякие smart, websmart и ME свичи

Ну так то их вообще трогать нежелательно. Даже в перчатках

DGS-1210-28P - это решения внутри офиса, не больше

соответсвенно, ни о каком полноценном CLI и SNMP речь идти не может

Если б все так просто было

если нужен нормальный управляемый свич, то смотреть как минимум в сторону DGS-3426

а еще лучше - DGS-3420-26

А если нужен дешевый гигабитный управляемый с низковольтным питанием?

filonov: DGS-3200

оне еще и с пассивным охлаждением

мне понравились DGS-1510-52X

на сайте длинка четко написано для говносвичей - "поставляется в проекты"

нет, в проект это просто редкое

Dmitry1: ты цену сравни, да?

это означает, что его выпустили малой партией, и забыли как страшный сон

а зачем покупать свич задешево, а потом пытатья от него добиться функционала L3 минимум ?

мне l2+ достаточно

Dmitry1: а зачем покупать дорогие свитчи на l2?

l2+ - это DGS-3120B/RI, DGS-3426, DGS-3420

DGS-3426 всего в 3.5 раза дороже 1210

а DGS-3200 ?

в 3

хм. это я буржуй, что ли ?

Ага

у 1210 есть 3 мегаплюса - цена, размеры и питание. Остальное минусы

Если при апгрейде: ERROR: FATAL: Ident authentication failed for user "noc"

при этом в noc.conf пасс заведомо верны

куда еще копать?

Night_Snake2: а кто на ком стоял?

кто куда авторизуется?

postgres

noc в postgres

а с консоли в том же раскладе все ок?

[root@srv-noc-dev noc]# psql -d noc -U noc

psql: FATAL: Peer authentication failed for user "noc"

даже пасс не спрашивает

pghba.conf спасет отца русской демократии

а где он лежит?

система какая?

rhel

/etc/postgres/.../pg_hba.conf

а если там host all all 127.0.0.1/32 ident

?

ident замени на password

полезно также перед этим добавить :

local all all password

да и вообще почитать документацию невредно

спасибо :)

прошло вроде

А оно так по дефолту было или ты поставил?

по дефолту

это 9.4

постгрес

а я наивно думал что моему мнению о редхатоидах некуда падать

а при чем тут редхатоитды?

пакет-то из репы постгреса

он там вообще встал в задницу

типа /usr/psql-9.4/

что пришлось path править

дефолтный конфиг постгреса выглядит слегка иначе

и тем не менее. я не знаю, кто собирал конкретно этот пакет, но качал я его и репо постгреса

Ну а кто кроме редхатоидов будет собирать rpm?

смотря кого пониматьь под редхатоидами

Тех, кто несмотря ни на что, собирает пакеты для редхатов

Ха-ха-ха. /usr/ports - вот в чем сила !

ставить на сервер что-то из пакетов - это нужно иметь стальные яйца

обычно у серверного софта 100500 ключей компиляции и переменных окружения

Dmitry1: чоткие пацаны не используют ключи компиляции. Чоткие пацаны используют пакеты (ну например) exim-а собранный со всеми возможными sql-клиентами одновременно

с соответствующим ворохом зависимостей

Ну и через год-другой система приходит в состояние в котором ее проще переставить с нуля, чем заапгрейдить

filonov: расскажи, как поставить apache+mod_suexec из пакета

а зачем в наше мирное время его ставить в принципе?

ставишь пакет апача, если su_exec не в базовой поставке, ставишь еще и его из пакета

а ничего, что в suexec во время компиляции нужно указывать UID, GID и т.п. ?

разве? Я им всего один раз пользовался и там это в конфиге выставлялось

но могу путать

Или у вас в репозитории лежат 65535^65535 разных пакетов mod_suexec с разными комбинациями UID и GID ?

Dmitry1: это решается разумным дефолтом

если вам нужны разные комбинации uid-gid - что-то не так в консерватории

А что здесь не так ? Хочу из CGI запускать radclient, или еще что-то

Dmitry1: консерватория здесь не так

т.е. mod_suexec написали маргиналы, которые все делают неправильно ?

его написали в те годы, когда он еще был актуален. Те времена давно прошли

ок. тогда задача - из cgi скрипта запустить radclient

штатными средствами

без всяких sudo и т.п.

sudo и есть штатное средство

Это безотносительно того факта, что cgi уже почти умерли

С каких это пор sudo штатное средство? С тех, как его по умолчанию всунули в убунту ?

С тех пор как я стал указывать sudo среди обязательных при установке. Это было задолго до появления убунты

судо сосет

никогда его не использовал

все через su делал

странно. нигде, кроме некоторых "дистрибутивов" линукса не видел sudo

судо есть хорошо

по дефолту оно не ставится

с ним можно будет организовать админский доступ к параметрам но не давать рута на систему.

zi_rus: ну сделай Дмитрию через su запуск radclient-а из cgi. но только radclient-а

чем хорошо ? костыль для тех, кто не освоил MAC, группы, ugidfw

Dmitry1: ну давай, рассказывай, как ты через мак, группы и прочую грень будешь разрешать доступ к отдельной программе с фиксированным набороом параметров

filonov: скастуй конфиг sudo, разрешающий определенному CGI скрипту выполнять определенные действия

не всему процессу apache, а определенному скрипту

Hi guys, i have some problem with adding DNS records all of a sudden.

It wont save

Records generated thruu "Address space management" works fine.

Its the records we add manually to DNS->Zones...

Dmitry1: я не занимаюсь созданием дыр в безопасности

sudo - одна большая дыра в безопастности. когда все потомки какого-то процесса получают те же права, что и сам процесс

Dmitry1: Это не sudo - это fork() ;)

И если ты разрешил запуск через sudo чего-то, что может порождать процессы нужные для атакующего - то это ты сам себе злобный буратино а не sudo

apache порождает кучу процессов

Это не su, где от этого никак не избавиться

тот же postgresql

Dmitry1: с дуба рухнул?

70 887 1 0 44 0 81744 8912 select Ss ?? 17:48.58 /usr/local/bin/postgres -D /usr/loca

70 889 887 0 44 0 81744 12972 select Ss ?? 27:08.45 postgres: writer process (postgre

70 890 887 0 44 0 81744 8956 select Ss ?? 12:15.04 postgres: wal writer process (pos

70 891 887 0 44 0 81744 9236 select Ss ?? 7:34.88 postgres: autovacuum launcher proces

70 892 887 0 44 0 50472 7956 select Ss ?? 26:02.71 postgres: stats collector process

0 897 1 0 61 0 10508 2696 pause Is ?? 0:00.00 nginx: master process /usr/local/sbi

80 898 897 0 44 0 10508 3536 kqread I ?? 0:04.13 nginx: worker process (nginx)

и причем тут апач?

при том, что я могу запускать разные его модули под разными UID

с дуру можно много чего сломать.

http://httpd.apache.org/docs/2.4/mod/mod_privileges.html

Dmitry1: и много у тебя солярок?)

у меня FreeBSD

и хостинг на ней

где каждый VHOST запускается со своими UID/GID

может в линуксах как-то по другому, через sudo это делается ?

или sudo штатно умеет такое: https://www.freebsd.org/cgi/man.cgi?query=ugidfw&sektion=8

вы таки путаете теплое с мягким.

изначально речь шла о сборке из исходников

где в mod_suexec на этапе компиляции вбиваются UID и GID, ниже которых нельзя опускаться, какие бы кривые конфиги не делел админ

Вот я и говорю - ты путаешь теплое с мягким. Проблема сборки suexec надуманна.

я как пример привел. то, что недавно делал

вот пример сборки обычного unbound

Dmitry1: ну перед тем как выносить свою неграмотность на всеобщее обозрение, я бы рекомендовал посмотреть хотя бы на Debian

Это безотносительно того факта, что shared hosting-и с cgi-шками - крайне маргинальное развлечение последние 10 лет

OPTIONS_FILE_SET+=DOCS

OPTIONS_FILE_SET+=ECDSA

OPTIONS_FILE_UNSET+=FILTER_AAAA

OPTIONS_FILE_UNSET+=GOST

OPTIONS_FILE_SET+=LIBEVENT

OPTIONS_FILE_UNSET+=MUNIN

OPTIONS_FILE_UNSET+=PYTHON

OPTIONS_FILE_SET+=THREADS

в дебиане 64 разных пакета unbound ?

нет. 9. Для типичных конфигураций этого хватает, для остальных есть apt-get source

мда, представляю себе пакеты

пакет_с_openssl, пакет_с_libressl, пакет_без_ssl

я конечно подозреваю, что где-то существует 100501 дистрибутив линукса, в котором все пакеты по умолчанию собраны с libressl вместо openssl

и где-то существует 100502 дистрибутив, в котором все пакеты собраны с gcc-4.7 вместо gcc-4.6

но это слишком, для моей неокрепшей психики

а вот не подеретесь :P

да, гента рулит

просто ставишь нужные юзы

и компиляется как тебе надо

и плюс даже не в том что оно компеляется

а в том что линукс гавно

я периодически скачиваю исходники ядра, заглядываю в них, потом в ужасе удаляю

от идеи Линуса там ничего не осталось. каждый контрибутор пихает туда что-то свое

в результате 100500 способов выиграть в производительности на каком-то экзотическом железе, 100500 способов обойти аппаратную ошибку железа и т.п.

да весь опенсорстакой

куча FS из-коробки. каждая со своими плюсами и минусами. хочешь компрессию - не будет шифрования. хочешь шифрование - не будет снепшотов

но линукс хоть кто-то признает

а бсд это маргинальщина

хм. на BSD не извращаясь, из коробки я получаю компрессию, шифрование, снепшоты, журналирование, расширенные ACL, квоты и т.п.

и это на обычной старой UFS

и какой в этом понт, если производители железа на нее забили?

драйверов нет, виртуализации нет

нормальное

*нормальной

как это "забили" ?

VT-X там хоть запилили уже?

все последние драйвера интела, броадкома и т.п. доступны

vt-x уже несколько лет как запилили

именно фряшные, или бэкпорты из линукса?

http://www.nvidia.ru/Download/index.aspx?lang=ru

выбирай в списке систем FreeBSD и качай

и да, что там с виртуализацией? гипервизоры есть уже?

вот топовая сетевуха от интела: http://www.intel.com/support/ru/mt/mt_win.htm

да. есть. штатный гипервизор "из-коробки"

это какой?

https://wiki.freebsd.org/bhyve

но если нужно, то в портах есть xen dom0

Угу, в десятке наконец запилили. Год назад.

Учитывая что libvirt/kvm живет уже хз скока

Не, фря, местами, хорошая система. Но увы, на нее забили болт сами разработчики, и очень поздно начали наверстывать упущенное.

А т.к. рынок уже просран

то упс

потому и делали в линуксе виртуализацию, что штатными средствами не могли ограничить доступ одного процесса к другому

а во freebsd как работали jail, так и работают

ну jail и libvirt сравнивать как-то... глупо, как минимум

When I set nginx to use https and disable http. Then when I browse to NOC IPAM, the frame doesn't load.

Chrome and Safari both state in the deubg console: Mixed Content: The page at 'https://1.2.3.4/main/desktop/#ip.ipam' was loaded over HTTPS, but requested an insecure resource 'http://1.2.3.4/ip/ipam/1/4/0.0.0.0/0/'. This request has been blocked; the content must be served over HTTPS.

How can I correct this?

zevlag: add 1.2.3.4 to trusted host in your browser

а если он через инет данные гонет

Dmitry1: I actually want HTTP disabled

I only want HTTPS traffic

Why is noc making cross protocol references?

ipam use django and jquery. other parts use extjs

this is old application, and has been rewriten in feature

*nod*... it was IPAM i fell in love with NOCProject for a long time ago.... then it got wrapped in with all the other features...

I like them too now

you not alone

but...

but I really need to have HTTPS only working

/usr/ports/net/ssltunnel*

Does it make it easier to track down if chrome says the initiator of the request is ext-all.js?

I found a solution... http://stackoverflow.com/a/19637196

edit settings.py: SECURE_PROXY_SSL_HEADER = ('HTTP_X_FORWARDED_PROTOCOL', 'https')

edit nginx noc.conf: proxy_set_header X-Forwarded-Protocol $scheme;

I found the problem to be the redirect on 130-138 of ip/apps/ipam/views.py

which uses djangos HttpResponseRedirect on line 325 of lib/app/application.py

I chose not to rewrite it, and found just those two small settings changes caused it to rewrite the url as HTTPS properly