hvostat: Jeeslaya (Default)
Приветствую!


sittin' on yer cisco switch | floodin' yer packetz


Меня зовут Денис, и я системный инженер администратор.
Этот ЖЖ создан в качестве рабочего блокнота для (около)айтишных записей и обмена опытом с коллегами.
Во-первых, для противодействия собственному склерозу, а во-вторых, для приведения мыслей в порядок.

Чему здесь быть:
- рабочие заметки
- обмен опытом
- howto’шки
- хаки и лайфхаки
- вопросы к читателям
- ссылки
- живое общение
- профессиональный юмор

Твиттер имеется:
https://twitter.com/hvostat

Инстаграм наличествует:
http://instagram.com/hvostat

Теги:

Windows, Windows Server - Windows десктопный и серверный.

juniper, JunOS - всё про Juniper вообще и JunOS в частности.

утипусечка - железо. Я очень люблю работать с разными электронными штуковинами, и с удовольствием об этом напишу.

софт - всё, что не железо.

бНОПНЯ - вопрос к аудитории.

планета Черезжопия, это не надо - иллюстрация того, как делать не надо.

рекомендация - посоветую, какое железо или софт лучше использовать, исходя из собственного опыта.

юмор - чего-нибудь похихикать.

жизненное - о реальной жизни.

hvostat.log - про вашего покорного слугу.

Правовая оговорка и письменный отказ от ответственности:
Все упоминаемые в Блоге торговые марки и товарные знаки принадлежат их владельцам.
Автор не несет ответственности и не предоставляет гарантий в связи с публикацией фактов, данных, результатов и другой информации в данном Блоге.
Все инструкции и/или гайдлайны, написанные в данном Блоге НЕ ЯВЛЯЮТСЯ руководством и/или рекомендацией к действию.
Автор не несет ответственности за возможное нанесение ущерба любого рода, прямого либо косвенного, которое произошло вследствие выполнения инструкций и/или гайдлайнов.
Все истории, места, события и герои вымышлены. Любые совпадения с реальными личностями и событиями случайны.


//Да, на фотографии - моя кошка. Зовут Жыслая. И на юзерпике - тоже она. Язычок настоящий, гарнитуру прифотошопил.
//Хвостат Хвостатыч - потому что в своё время я таки был хвостат.

__
hvostat: Jeeslaya (Default)
Леди и джентльмены, не желаете немного форточек?

А то тут 32 ТБ у Microsoft походу лишние:
https://www.theregister.co.uk/2017/06/23/windows_10_leak/

_
hvostat: Jeeslaya (Default)
Захостился давеча на digitalocean.

Облака, высокая доступность, блаблабла.

Ну короч сегодня оно упало:

digitalocean

Озаза:
https://www.digitalocean.com/company/blog/update-on-the-april-5th-2017-outage/
__
hvostat: Jeeslaya (Default)
Очаровательная [livejournal.com profile] murav1ik недавно столкнулась с интересной ситуацией с HP-шными серверами.

Далее цитирую:
"Недавно столкнулась со странной ситуацией на сервере HP Gen6: он беспричинно выключился, а после включения поработал минут 30 и снова устал. И не просто сервер, а главный VM-хост. По законам жанра, случилось это в выходные, ровно в тот момент, когда я ехала в автобусе.

Прямо-таки ощущая, как седеют волосы, полезла в системные логи. Ничего объясняющего такое поведение не было. Проверила RAID-контроллер и диски, - всё отлично, все здоровые.
После очередной перезагрузки докопалась до iLo-логов и увидела странное:
System overheating (Temperature Sensor 29, Location System, Temperature 61C)

Описаний сенсоров для серверов HP - куча, еле нашла, что Sensor 29 - это вроде как северный мост. И что таким образом он сигнализирует о перегреве дисков. Что за мистика, я же своими глазами видела, что они в порядке!..

Первым делом отключила в BIOS автоматическую перезагрузку при перегреве. В нормальной ситуации так делать нельзя, конечно, но конкретно в моем случае сообщений от других термосенсоров не было.

Погуглила. На одной из страниц вышла на старенький сайт дядечки по имени David A. Soussan, который много работал с разным железом и с нетоповыми серверами HP в частности. Подытоживая свой опыт, он написал целую статью о проблеме, с которой я столкнулась.

Оказывается, "неродные" SATA-диски часто отправляют информацию о своём состоянии в формате, который датчик не может распознать. И поэтому он на всякий случай считает, что диски перегреваются. Охлаждение включается на полную мощность, но, естественно, не помогает, и через короткое время система получает сигнал о перегреве и аварийно отключается.
Дэвид подробно описал проблему и даже составил табличку совместимых/несовместимых дисков:
http://dascomputerconsultants.com/HPCompaqServerDrives.htm
Стоит ли говорить, что в табличке несовместимых купленные нами для бэкапов HGST диски стояли на первом месте. =)) Удивительно, как они вообще полгода проработали нормально.

У кого-то сервер с такими дисками может не включиться совсем:
https://community.hpe.com/t5/ProLiant-Servers-ML-DL-SL/HP-DL370-G6-Overheated-SATA-Drives/td-p/4581621

Понятно, что самое правильное решение проблемы - это покупать только "родные" HP диски. Но если хочется сэкономить, то будьте очень внимательны.

P.S.: Дэвид, спасибо тебе, мужик, где бы ты ни был. =)

Конец цитаты.

__
hvostat: Jeeslaya (Default)
В связи с тем, что SHA-1 теперь "всё", то требуется провести апгрейд центра сертификации.

Есть два варианта:
1) Смена корневого сертификата
2) Перенастройка дефолтного криптоалгоритма

Второй вариант реализуется следующим образом:
1) Вваливаемся в командную строку.
2) Вбиваем следующее:
certutil -setreg ca\csp\CNGHashAlgorithm SHA256
3) Перезапускаем CA:
net stop certsvc
net start certsvc

PS: А переходить, видимо, надо сразу на SHA-3

__
hvostat: Jeeslaya (Default)
SYN ACK, дамы и господа.

Внимание, вопрос.
Вот это:
http://www.uni-trend.com/productsdetail_1163_907_907.html

- сильно говно?

Спасибо.

ТЗ: Требуется мультиметр/осциллограф с полосой 1-2 МГц максимум.

__
hvostat: Jeeslaya (Default)
Есть у нас в IT-отделе коллега, который иногда очень любит почесать языком.

Особенно на разного рода резонансные темы типа политики или экономики.

Я давно предлагал коллеге идти в депутаты, но он почему-то отказывается.

А сегодня я наконец-то сделал то, что давно хотел: нашел пустую коробку от бумаги.
Вырезал из неё рамку с отверстием в форме экрана, а на рамку наклеил распечатанное фото передней панели старого телевизора.

Теперь, когда у коллеги начинается очередной приступ на тему поболтать и выступить, я беру эту рамочку, навожу на него и смотрю сквозь макет телевизора.
Всё, что он говорит, становится минимум в два раза смешнее.
Не хватает только логотипа телеканала в уголке.


PS: Кстати, по слухам, то же самое делали некоторые студенты МФТИ, когда слушали лекции Сергея Капицы.

__
hvostat: Jeeslaya (Default)
Многие ошибочно полагают, что стоит придумать идею, потом обсудить её "со смузи в коворкинге", создать сатрап стартап™ и деньги потекут рекой.

Глядя на некоторые компании, команда которых именно так и поступила, начинает казаться, что всё именно так просто и легко.

Но, увы, статистика - вещь упрямая.

На 1 стартап, который "взлетел", приходится ОГРОМНОЕ КОЛИЧЕСТВО тех, которые "не взлетели":

Вот тут список, вид деятельности и разбор "невзлёта":
http://rb.ru/list/post-mortem-staptups/

__
hvostat: Jeeslaya (Default)
Очень просто.

1) Переводим VM-хост в "Maintenance mode"
2) Разрешаем SSH
3) Загружаем *.vib файл в /tmp
4) Вваливаемся в cli через SSH
5) Вводим следующее:
/bin/esxcli software vib install -v /tmp/scsi-super-mega-raid.x86_64.vib
6) Если система поперхнулась с отлупом: "'Could not find a trusted signer.'" - лечим тривиальным образом:
/bin/esxcli software vib install -v /tmp/scsi-super-mega-raid.x86_64.vib --no-sig-check
7) Перезагружаем сервер
8) Отключаем "Maintenance mode"
???
PROFIT!!

Как проверить:
Не отключать SSH и после перезагрузки ввести команду:
esxcli software vib list

__
hvostat: Jeeslaya (Default)
Амазоновские кучевые чот приуныли, причем нехило так:
http://www.theregister.co.uk/2017/02/28/aws_is_awol_as_s3_goes_haywire/

Напоминаю, в 2012-м году подобное уже было:
http://venturebeat.com/2012/06/29/amazon-outage-netflix-instagram-pinterest/

Помните, "скупой платит дважды" и "Там, где ты ничего не можешь, ты не должен ничего хотеть".

PS: Не забываем про CloudMouse!

__
hvostat: Jeeslaya (Default)
Задача: при публикации файла в web с помощью IIS-сервера пользователь не может его скачать с "отлупом" 404.

Решение:
1) Заходим в IIS Manager на сервере или подключаемся удаленно
2) Тычем мышою в имя сервера
3) Заходим в MIME Types
4) Добавляем новый:
Extension: 7z
MIME Type: application/octet-stream
5) Нажимаем "ОК"
???
PROFIT!

__
hvostat: Jeeslaya (Default)
Задача:
Есть сеть за NAT 192.168.0.1/24.
Внешний IP у её роутера 1.1.1.1.
На роутере настроен DST NAT 1.1.1.1:80 => 192.168.0.2:80
"Cнаружи" все работает, но если пользователь захочет из самой сети зайти на 1.1.1.1:80, то получит экологически чистый кукиш с маслом вместо вебсайта.

Решение:
Воспользоваться технологией NAT loopback / hairpin NAT.

В Juniper SRX настраивается следующим образом:

set security nat source rule-set hairpin from zone default
set security nat source rule-set hairpin to zone default
set security nat source rule-set hairpin rule hairpin-source match source-address 192.168.0.1/24
set security nat source rule-set hairpin rule hairpin-source then source-nat interface

set security nat destination pool server address 192.168.0.2/32
set security nat destination rule-set hairpin from zone default
set security nat destination rule-set hairpin rule hairpin-destination match destination-address 1.1.1.1/32
set security nat destination rule-set hairpin rule hairpin-destination then destination-nat pool server

set security policies from-zone default to-zone default policy INTRA-default match source-address any
set security policies from-zone default to-zone default policy INTRA-default match destination-address any
set security policies from-zone default to-zone default policy INTRA-default match application any
set security policies from-zone default to-zone default policy INTRA-default then permit

__
hvostat: Jeeslaya (Default)
Коллеги, если кто будет пользоваться хостингом DigitalOcean - регистрируйтесь по вот этой реферальной ссылочке:
http://www.digitalocean.com/?refcode=cb7937a4a7cd

От вас ничего не убудет, а мне капнет мелкая денежка.

Спасибо!

__
hvostat: Jeeslaya (Default)
Как известно, fail2ban + аутентификация по RSA-ключам - залог крепкого и здорового сна у админа.

На серверной стороне:

0) Вваливаемся в *nix-у.
1) Создаём папку:
mkdir -p ~/.ssh
2) создаём пустое файло:
touch ~/.ssh/authorized_keys
3) редактируем содержимое в чем больше нравится
добавляем туда текст открытого RSA-ключа в виде ОДНОЙ ДЛИННОЙ СТРОКИ
5) сохраняем файл
6) Отключаем вход по паролю, редактируем:
sshd_config
Он лежит в /etc/ssh

PermitRootLogin no
PasswordAuthentication no
UsePAM no


На клиентской стороне:

В PuTTY:
1) Connection => Data указываем auto-login username
2) В Connection => SSH => Auth указываем путь к закрытому ключу
3) Сохраняем в "Saved Sessions"
???
4) PROFIT!!!

UPD:
Ахтунг, в комментах буйство никсарей! ))

__
hvostat: Jeeslaya (Default)
Коллега пригласил девушку в гости к нам на работу.

Состоялся следующий диалог:
- Привет!
- Привет!
- Ухты, а что это тут у вас?
- HP MicroServer G8, а что?
- HP MicroServer?!
- Да!
- Настоящий?!
- Да!!
- В продакшне?!
- Да!!!
- МИМИМИМИМИ!!!!111


Хорошая девушка. Правильная.

__
hvostat: Jeeslaya (Default)
Для регистрации на всяких форумах, сайтах итд итд стали всё чаще требовать е-мейл.
Причем, что характерно, сразу же проверяют его на валидность, требуя кликнуть по сцылочке, которая приходит в письме.

Давать свой основной ящик по понятным причинам я не хочу - спамить начинают сразу, много и часто.

Нашел отличный бесплатный сервис для таких вот одноразовых говнорегистраций:
https://www.guerrillamail.com/

Что интересно, ничего вводить не требуется, адрес присваивается автоматически при входе на сайт.
Письма хранятся час.

Учтите, некоторые сайты "знают" про такие "одноразовые" е-мейлы и не разрешают регистрацию.

Оператор наведения - [livejournal.com profile] klink0v
__
hvostat: Jeeslaya (Default)
Съездил сегодня в одну мелкую конторку, попросили проконсультировать их по всеразличным IT-шным делам.
Заодно попросили поглядеть на их СКС "одним глазком".

Как бы так сказать помягче.
Четыре кабинета.
В этих четырех кабинетах разбросано ТРИ "тупняка*"

* - самых дешевых неуправляемых свитча

Поделился мыслями с [livejournal.com profile] murav1ik.
Юная дева совершенно не удивилась и рассказала, как в процессе оптимизации СКС извлекла ШЕСТЬ тупняков из ДВУХ кабинетов.

Коллеги, кто больше?

__
hvostat: Jeeslaya (Default)
Результаты "дня сурка" в России:
- В московском зоопарке сурок проспал
- в питерском умер

__
hvostat: Jeeslaya (Default)
Утащил у [livejournal.com profile] ra1aie, за что ему большое спасибо.

Бывает так, что позарез нужно скачать какой-то файл с удаленного сервера, а на машине или server core, или слетевший ie, или другие причины, препятствующие скачиванию файлов традиционным способом.
И здесь нам поможет BITSAdmin - встроенная в Windows Server утилитка, способная выполнять функции wget.
Пример: bitsadmin /transfer myDownloadJob /download /priority normal http://www.site.domain/uzful_toolz.zip c:\uzful_toolz.zip

Коллега [livejournal.com profile] asm7 дополнил:
Также, можно воспользоваться командлетом PowerShell:
Invoke-WebRequest

Командлет присустствует в PowerShell 3.0 или старше.

__

Profile

hvostat: Jeeslaya (Default)
hvostat

June 2017

S M T W T F S
    123
45678910
11121314151617
181920212223 24
252627282930 

Syndicate

RSS Atom

Style Credit

Expand Cut Tags

No cut tags
Page generated 18 October 2017 07:39
Powered by Dreamwidth Studios