?

Log in

[icon] Клуб Сисадминов
View:Свежие записи.
View:Архив.
View:Друзья.
View:Личная информация.
You're looking at the latest 10 entries.
Missed some entries? Then simply jump back 10 entries

Tags:
Security:
Subject:NFSv4 + Kerberos - неправильно маппятся uid/gid в одну сторону
Time:06:22 pm
Господа, в связи с тем, что живу уже год без винды, мигрирую тут на своём домашнем сервере с самбы на NFSv4 + Kerberos и столкнулся со странной проблемой (третий день бьюсь, гуглил, маны читал и всё такое).

Есть сервер на Debian Stable, есть клиент на нём же.

Прямой и обратный DNS настроены, FQDN сервера - thehive.internal.whitefossa.org, клиента - fossa-main.internal.whitefossa.org.

На сервере есть директория, расшариваемая по NFSv4 + Kerberos - строчка в /etc/exports: /nfsroot 10.0.0.0/8(fsid=0,rw,async,no_root_squash,no_all_squash,no_subtree_check,sec=krb5i)

На сервере работает KDC, на клиенте директория успешно монтируется.

uid'ы и gid'ы на клиенте и сервере одинаковые, /etc/idmapd.conf на обоих машинах одинаковый и выглядит вот так:

/etc/idmapd.confСвернуть )

В чём, собственно, проблема:
Если создать файл на сервере (руками в директории, что расшарена по NFS, в нашем случае называется test), то владелец и группа на клиенте отображаются корректно.

ls на сервере:

root@thehive:/nfsroot# ls -la
total 17
drwxrwxrwx 1 nfs   nfs    10 Feb 17 18:07 .
drwxr-xr-x 1 root  root  212 Jan  1 03:50 ..
drwxrwxrwx 2 nfs   nfs     2 Feb 17 00:35 0
-rw-r--r-- 1 fossa fossa   0 Feb 17 18:07 test

ls на клиенте:

root@fossa-main:/mnt/tmpmnt# ls -la
total 0
drwxrwxrwx 1 nfs   nfs   10 Feb 17 18:07 .
drwxr-xr-x 1 root  root  64 Apr 17  2016 ..
drwxr-xr-x 1 root  root   0 Feb 17 01:56 0
-rw-r--r-- 1 fossa fossa  0 Feb 17 18:07 test


Однако, если проделать всё в обратном направлении, т.е. создать файл на клиенте, то на сервере он создастся с nobody:nogroup, после чего, конечно же, будет отображаться как имеющий владельца и группу nobody:nogroup на клиенте.

При этом в лог клиента валится следующее (файл создавался рутом):
Логи на клиентеСвернуть )

Вот эти сообщения про stale client мне очень не нравятся, но куда рыть дальше - не знаю.

Какие-нибудь идеи, господа? Откуда такая асимметрия?

Что ещё более интересно, если смотреть на смонтированную директорию на клиенте - то для рута и обычных пользователей она выглядит по-разному.

Для рута:

root@fossa-main:/mnt# ls -la
total 36
drwxr-xr-x 1 root   root       64 Apr 17  2016 .
drwxr-xr-x 1 root   root      186 Jan  1 03:04 ..
drwxrwxrwx 1 nobody nogroup    38 Apr 17  2016 gateway.fossa.fossa
drwxrwxrwx 1 nfs    nfs        44 Feb 17 18:10 tmpmnt
drwxrwxrwx 1 nobody nogroup 20480 Feb 17 17:30 windows

Монтирование идёт в tmpmnt, как можно видеть, права - 777.


Если смотреть обычным пользователем, то картина иная:

fossa@fossa-main:/mnt$ ls -la
ls: cannot access tmpmnt: Permission denied
total 36
drwxr-xr-x 1 root   root       64 Apr 17  2016 .
drwxr-xr-x 1 root   root      186 Jan  1 03:04 ..
drwxrwxrwx 1 nobody nogroup    38 Apr 17  2016 gateway.fossa.fossa
d????????? ? ?      ?           ?            ? tmpmnt
drwxrwxrwx 1 nobody nogroup 20480 Feb 17 17:30 windows

И ещё одна интересная особенность - клиент вообще ничего не может смонтировать с sec=krb5 до тех пор, пока не сделаешь service nfs-common restart.

Выходит, демон какой-то не стартует после загрузки?
comments: 6 комментариев or Оставить комментарий Поделиться

Security:
Subject:Интернет-цензура с человеческим лицом.
Time:12:06 am
А почему бы не ввести цензуру.
1. Раскрыть все IP адреса комментаторов (под ником пишется).
2. Сделать возможным поиск в интернете по IP комментатора.
3. Проверить провайдеров, на актуальность паспортных данных владельцев кабеля в квартире.
4. Выделять копипасту красным цветом. (т.е. если на сайте ещё каком-то найден такой же текст с более ранней датой, подсвечивать красным это содержимое)
5. В коап или что там сейчас, внести наказание за использование "анонимайзеров".
comments: 62 комментария or Оставить комментарий Поделиться

Security:
Subject:FreeBSD 11.0: disk detach при попытке пощупать его camcontrol'ом
Time:05:22 pm
Привет.

Коллеги, а это баг или фича, что на контроллере LSI 9341-4i при любой попытке пощупать диск camcontrol'ом (например, camcontrol identify) происходит вот такое:

Feb 8 10:11:27 dc1-nfs-06 kernel: da0 at mrsas0 bus 1 scbus1 target 4 lun 0
Feb 8 10:11:27 dc1-nfs-06 kernel: da0: s/n WD-WXP1E15F0276 detached
Feb 8 10:11:27 dc1-nfs-06 kernel: (da0:mrsas0:1:4:0):
Feb 8 10:11:27 dc1-nfs-06 kernel: Periph destroyed
Feb 8 10:11:27 dc1-nfs-06 ZFS: vdev state changed, pool_guid=8938099328681394 vdev_guid=17301103442965919776
Feb 8 10:11:27 dc1-nfs-06 ZFS: vdev is removed, pool_guid=8938099328681394 vdev_guid=17301103442965919776

Драйвер, как вы понимаете, mrsas.

Потом можно сделать camcontrol rescan, и диск возвращается. Но это же как-то ненормально. Причём ведут себя так только два диска, именно на этом контроллере, оба ATA WDC WD7500BFCX-6 0A82. Остальные диски на другом (тоже LSI, этой же серии, и диски другие), там граблей нет.

UPD: smartctl -a на этих дисках приводит к такому же результату :-)
comments: 8 комментариев or Оставить комментарий Поделиться

Security:
Subject:nginx regex
Time:07:39 pm
nginx: [emerg] invalid condition "^(.*\/)*?\w+(?!\.\w+)$" in

для
if ( $uri ~* ^(.*\/)*?\w+(?!\.\w+)$ {
return 302 $scheme://$host$uri/;
}


в то время как
# pcretest
PCRE version 8.39 2016-06-14

re> /^(.*\/)*?\w+(?!\.\w+)$/
data> /sdf
0: /sdf
1: /
data> /sdf/
No match
data> /sdf.sdf
No match
data> /sdf.sdf/
No match
data> /
No match
data> /sf.sdf/sdf
0: /sf.sdf/sdf
1: /sf.sdf/
data> /sdf.sdf/sdf.sdf
No match
data>
comments: 5 комментариев or Оставить комментарий Поделиться

Security:
Subject:Mod_performance + mpm-itk
Time:06:31 pm
Всем доброго вечера.
Есть Apache/2.4.6+mpm-itk, centos 7. На сервере несколько пользователей. И неплохо бы знать, сколько времени и машинного времнени занимает выполнение каждого скрипта.
Ничего, кроме mod_performance, не нагуглилось.

По какой-то причине он не хочет у меня работать с mpm-itk, показывая статистику не по всем,а только по дефолтному виртхосту.
Пример конфига виртхоста
СмотретьСвернуть )



Конфиг mod_performance

СмотретьСвернуть )

Что я делаю не так и есть ли другие решения - идеальна была бы запись в accesslog всей статистики.
comments: 3 комментария or Оставить комментарий Поделиться


[dil]
Tags:
Security:
Subject:Переходим на отечественных производителей
Time:07:24 pm
Минкомсвязи перевела ведомственный сегмент системы «Мир» с «железа» и софта IBM на серверы на процессорах «Эльбрусах». В работе ГИС «Мир» использует PostgreSQL, Apache ActiveMQ, Redis и другие свободные программные решения.
http://www.cnews.ru/news/top/2017-01-16_migratsionnuyu_gis_za_250_mln_pereveli_s_ibm_na


P.S. «Мир» - это государственная система миграционного и регистрационного учета..
comments: 67 комментариев or Оставить комментарий Поделиться

Security:
Subject:Release 11.0.1 у фряхи ?
Time:12:09 pm
Камрады, я отстал от жизни? Полез сегодня исходники обновить, и вижу -- /base/release/11.0.1/ Это чо за новые веяния? Каков статус этого релиза?
comments: 3 комментария or Оставить комментарий Поделиться

Tags:
Security:
Subject:http 500
Time:03:34 pm
как сие возможно?
# grep favicon /var/log/nginx/access.log | head -2
5.101.214.235 - - [20/Jan/2017:03:19:01 +0000] "GET /favicon.ico HTTP/1.1" 404 197 "-" "Mozilla/5.0 (Linux; Android 4.4.2; Lenovo S860 Build/KOT49H) AppleWebKit/537.36 (KHTML, like Gecko) Version/4.0 Chrome/30.0.0.0 Mobile Safari/537.36"
94.25.176.152 - - [20/Jan/2017:03:19:01 +0000] "GET /favicon.ico HTTP/1.1" 404 197 "-" "Mozilla/5.0 (Linux; Android 4.4.2; Spark 2 Build/KVT49L) AppleWebKit/537.36 (KHTML, like Gecko) Version/4.0 Chrome/30.0.0.0 Mobile Safari/537.36"

# grep favicon /var/log/nginx/access.log | grep '" 500' | head -2
188.162.76.210 - - [20/Jan/2017:05:29:50 +0000] "GET /favicon.ico HTTP/1.1" 500 594 "-" "Mozilla/5.0 (Linux; Android 4.4.2; Micromax D303 Build/KOT49H) AppleWebKit/537.36 (KHTML, like Gecko) Version/4.0 Chrome/30.0.0.0 Mobile Safari/537.36"
1.187.92.255 - - [20/Jan/2017:05:29:51 +0000] "GET /favicon.ico HTTP/1.1" 500 594 "-" "Mozilla/5.0 (Linux; Android 4.4.4; HM NOTE 1LTE Build/KTU84P) AppleWebKit/537.36 (KHTML, like Gecko) Version/4.0 Chrome/33.0.0.0 Mobile Safari/537.36"

ессно favicon.ico там нет
comments: 9 комментариев or Оставить комментарий Поделиться

Tags:
Security:
Subject:zfs leak space
Time:11:11 pm
root@pve-02:/home/itsumma# zfs list -t all
NAME USED AVAIL REFER MOUNTPOINT
data1_pve-02 28.8T 737G 28.8T /data1_pve-02
root@pve-02:/home/itsumma# df -h /data1_pve-02
Filesystem Size Used Avail Use% Mounted on
data1_pve-02 30T 29T 738G 98% /data1_pve-02
root@pve-02:/home/itsumma# du -h -s /data1_pve-02/*
15T /data1_pve-02/content_1
512 /data1_pve-02/dump
282G /data1_pve-02/images
591G /data1_pve-02/kvm-backups
512 /data1_pve-02/private
1.5K /data1_pve-02/template

те примерно 10Т уплыло

Читать дальше...Свернуть )
comments: 7 комментариев or Оставить комментарий Поделиться

Tags:, ,
Security:
Subject:[unsolved] Cert Patrol Madness
Time:02:27 pm
Коллеги,

взыскую совета.

Во всём остальном прекрасный аддон для FF Certificate Patrol (http://patrol.psyced.org/) некоторое время назад принялся непрерывно доставать подпрыгмвающими окнами что под катом.

Почему он считает, что сертификаты для google.com и google-analytics.com замещают друг друга?!

С ходу не победил и не нагуглил. Есть мысли?

Upd: Дело оказалось в галке

Notify about already accepted wildcard certificates again when they match a new hostname

Раньше, впрочем, гугл не мешал сертификаты для своих разноцелевых задач.

Upd2: ФИГУ. НЕ ПОМОГЛО.

Краткие исследования причин:

сертификат для google.com:
*.android.com
*.appengine.google.com
*.cloud.google.com
*.google-analytics.com
*.google.ca
*.google.cl
*.google.co.in
*.google.co.jp
*.google.co.uk
*.google.com
*.google.com.ar
*.google.com.au
*.google.com.br
*.google.com.co
*.google.com.mx
*.google.com.tr
*.google.com.vn
*.google.de
*.google.es
*.google.fr
*.google.hu
*.google.it
*.google.nl
*.google.pl
*.google.pt
*.googleadapis.com
*.googleapis.cn
*.googlecommerce.com
*.googlevideo.com
*.gstatic.cn
*.gstatic.com
*.gvt1.com
*.gvt2.com
*.metric.gstatic.com
*.urchin.com
*.url.google.com
*.youtube-nocookie.com
*.youtube.com
*.youtubeeducation.com
*.ytimg.com
android.clients.google.com
android.com
developer.android.google.cn
g.co
goo.gl
google-analytics.com
google.com
googlecommerce.com
urchin.com
www.goo.gl
youtu.be
youtube.com
youtubeeducation.com


сертификат для google-analytics.com:

*.google-analytics.com
app-measurement.com
google-analytics.com
googletagmanager.com
service.urchin.com
ssl.google-analytics.com
urchin.com
www.google-analytics.com
www.googletagmanager.com


пересекаются по трём доменам:
*.google-analytics.com
google-analytics.com
urchin.com






screenshotСвернуть )
comments: 14 комментариев or Оставить комментарий Поделиться

[icon] Клуб Сисадминов
View:Свежие записи.
View:Архив.
View:Друзья.
View:Личная информация.
You're looking at the latest 10 entries.
Missed some entries? Then simply jump back 10 entries