November 2019

S M T W T F S
      12
34 5 678 9
10111213141516
17181920212223
24252627282930

Navigation

Page Summary

Style Credit

Expand Cut Tags

Expand All Cut TagsCollapse All Cut Tags

Вопросы для сисадминов

dil: (Default)
Wednesday, November 7th, 2018 05:21 pm

Этот список вопросов был составлен моим прежним начальником – афроадминистратором (в смысле, он был из Южной Африки).
Эти вопросы вполне приемлемы для новых системных администраторов в нашей компании. Хотя их уже давно не принимали, и даже не искали, если только не считать моего нового начальника, который заменил прежнего.
И для меня сейчас эти вопросы оказались полезны, а то я слова забываю, но вот отсюда их вполне вспомнил. Ну и ответы в целом вполне знаю.
Если кому интересно, смотрите все эти вопросы под катом:

ExpandRead the rest of this entry » )

Оригинал этой записи в личном блоге.

Tags:

Как зарегистрировать домен??

dil: (Default)
Wednesday, August 15th, 2018 04:00 pm

А потом тот же африканский сотрудник попросил зарегистрировать ещё один домен в .co.mw. Ну, я попробовал на marcaria.com, где мы обычно регистрируем африканские домены, регистратор деньги за него взял, но написал, что домен ещё только в процессе регистрации, и этот процесс может занять до 30 дней..
Видимо, это передача данных владельцу самогО домена co.mw, и получение одобрения от него может быть такое долгое..

Upd: через час регистратор уже показывает домен зарегистрированным, но авторизованные NS-сервера co.mw его ещё вовсе не показывают..

Upd2: а ещё примерно через час в DNS-серверах уже всё нормально стало.

Оригинал этой записи в личном блоге.

Tags:

Польза от афроадминистраторов таки есть!

dil: (Default)
Monday, June 18th, 2018 05:12 pm

Сегодня на работе писал скрипт для копирования файлов rsync’ом с нескольких серверов на бэкапный. И хотя на них всех rsyncd установлен, нормально сконфигурирован, доступ к 873 порту местными файрволами разрешён, но при попытке зайти туда rsync’ом с бэкапного сервера почему-то везде спрашивали пароль..

Погуглил, оказывается, теперь rsync по умолчанию использует ssh (раньше это надо было специально указывать параметром -e ssh), а как теперь напрямую присоединиться к rsyncd – не нашёл.

И только заглянув в аналогичный скрипт, написанный системным администратором из Восточной Африки (Кении), обнаружил, что достаточно после имени хоста написать два двоеточия: rsync -параметры hostname::src /dst/, и тогда он цепляется напрямую к rsyncd.

Оригинал этой записи в личном блоге.

Tags:

Индусы, говорите, криворукие??

dil: (Default)
Tuesday, March 6th, 2018 12:34 pm

Да нифига! Они у нас в компании и тут работают, и в Англии, и никаких проблем не вызывают.
А основные дефекты у меня на работе почему-то провоцируются африканцами. В смысле, вовсе не неграми, а просто живущими в Африке. Там и белых нынче немало.

Вот, например, выдали мне задачу организовать там VPN с одним клиентом. Казалось бы, ничего сложного тут нет. Они прислали форму со всеми параметрами, я всё сконфигурировал, переслал им через тамошнего нашего сотрудника PSK (ключ для шифрования), но этот VPN больше месяца не удавалось включить. Обсуждали это с ними в онлайновом чате, я просил проверить ихние настройки, они просили прислать скриншоты настройки VPNа с нашей стороны, но ничего не помогло. В конце концов выяснилось, что они у себя почему-то установили совершенно другой ключ. И когда его прислали, и я его подправил, и VPN таки заработал.

Или вот сейчас там один сервер стал дико тормозить. Тамошний сотрудник решил, что туда слишком много запросов приходит, и попросил меня заблокировать доступ к тамошнему апачу со всех IP, разрешить только с одного. Ну, я на firewall’е это быстро сделал, а он пожаловался, что после redirect’а с того IP, он не может попасть на веб-сайт. Ну, естественно, доступ же заблокирован.
Оказалось, что он на самом деле хотел разрешить запросы не с самого этого IP, а со ссылками с тамошнего веб-сервера. То есть, referer в запросах проверять надо, а вовсе не IP-адрес клиентского браузера.

А теперь ещё просит меня сконфигурировать на том сервере несколько экземпляров apache. А нафига это там может понадобиться, толком объяснить не может.

Выходит, что термин “афрадминистраторы” не просто так придуман, а имеет реальные основания..

Оригинал этой записи в личном блоге.

Tags:

Афроадминистраторы

dil: (Default)
Friday, September 29th, 2017 03:21 pm

Это не просто шутка, а натурально в Африке обнаружилось:

Оригинал этой записи в личном блоге.

Tags:

Переписка про sendmail

dil: (Default)
Thursday, August 14th, 2014 12:16 pm

На просьбу переконфигурировать на одной машинке почтовый сервер, чтобы он слушал не только на 127.0.0.1, а ещё и на внешнем IP, чтоб туда можно было присылать письма, я внезапно узнал, что
“There is no mail server on ***, there is only a sendmail client which listens on the loopback by default.”

Клиент, слушающий входящие соединения — это уже пять баллов. Ткнул товарища носом в конкретные строчки, которые надо поменять в sendmail.mc или непосредственно в sendmail.cf.
От следующего ответа я просто тихо выпал в осадок. Ну может товарищ афроадминистратор exim лучше знает, это нормально, но заявлять такое про sendmail — это уже слишком:

“Perhaps we should use Exim for this? Sendmail is not purpose built to receive emails. It would be far easier to do this with Exim.”

Оригинал этой записи в личном блоге.

Tags:

Цитаты с ibash’а

dil: (Default)
Monday, August 11th, 2014 08:44 pm

ххх: мне тут в jabber через аськотранспорт вопрос пришел:
> слушай, в чем может быть трабла
> перенес директорию www в tmpfs
> после перезагрузки все сайты на хостинге отдают 404
http://ibash.org.ru/quote.php?id=15557

Znayko: вставьте пропущенное слово: … есть – ума не надо (4 буквы).
despot76: гугл
http://ibash.org.ru/quote.php?id=15559

Сказать, что Java является хорошим ЯП, потому что он работает не зависимо от ОС, это тоже самое, что сказать – анальный секс хорош, потому что он работает не зависимо от пола.
http://ibash.org.ru/quote.php?id=15619

Skywrtr: Сделайте мне отключение клавиатуры, если веб-камера видит кота!
http://ibash.org.ru/quote.php?id=15217

Оригинал этой записи в личном блоге.

Tags:

вХРЮРЭ как оно есть

dil: (Default)
Thursday, January 2nd, 2014 08:36 pm

Журналюги и афроадминистраторы в одном флаконе:

“вХРЮРЭ”, если кто не догадался, это зачем-то перекодированное из cp1251 в koi8 слово “Читайте”, хотя вся остальная страница выдаётся в cp1251.


Опечатка по Фрейду. Аффтары, видать, слишком глубоко задумались о своих перспективах.
А корректоров уже давно везде отменили за ненадобностью.

Оригинал этой записи в личном блоге.

Tags:

Уебаны из супа

dil: (Default)
Sunday, December 1st, 2013 10:27 pm

узнали о существовании CDN. Какая сука им рассказала?!
Теперь жежешечка вообще не показывается, потому что браузер пытается что-то загрузить из неработающей сети какого-то _корейского_ CDN-провайдера. Ничего поприличнее, конечно же, не нашлось.

$ host l-stat.livejournal.com
l-stat.livejournal.com is an alias for l-stat.livejournal.com.cdngc.net.
l-stat.livejournal.com.cdngc.net has address 175.41.12.69
l-stat.livejournal.com.cdngc.net has address 175.41.12.116

$ host l-userpic.livejournal.com
l-userpic.livejournal.com is an alias for l-userpic.livejournal.com.cdngc.net.
l-userpic.livejournal.com.cdngc.net has address 175.41.12.106
l-userpic.livejournal.com.cdngc.net has address 175.41.12.115

$ tcptraceroute -n 175.41.12.69
Tracing the path to 175.41.12.69 on TCP port 80 (http), 30 hops max
...
 3  109.255.250.254  211.935 ms  8.104 ms  8.000 ms
 4  84.116.238.62  160.239 ms  121.779 ms  138.025 ms
 5  84.116.134.125  151.667 ms  122.748 ms  122.037 ms
 6  84.116.130.33  120.967 ms  127.382 ms  121.810 ms
 7  84.116.130.66  122.759 ms  140.265 ms  141.514 ms
 8  84.116.130.106  123.469 ms  327.008 ms  126.481 ms
 9  * * *
10  * * *
11  * * *
12  * * *
13  * * *
...

$ whois  175.41.12.69
% [whois.apnic.net]
% Whois data copyright terms    http://www.apnic.net/db/dbcopyright.html

% Information related to '175.41.0.0 - 175.41.15.255'

inetnum:        175.41.0.0 - 175.41.15.255
netname:        UTILUS
descr:          UTILUS
descr:          533 5F Lotte BD SEOUL Gasan-dong Geumcheon-gu Seoul
descr:          ***********************************
descr:          Allocated to KRNIC Member.
descr:          If you would like to find assignment
descr:          information in detail please refer to
descr:          the KRNIC Whois Database at:
descr:          http://whois.nic.or.kr/english/index.htm
descr:          ***********************************
country:        KR
admin-c:        SL2321-AP
tech-c:         SL2321-AP
status:         Allocated Portable
remarks:        www.utilus.net
mnt-by:         MNT-KRNIC-AP
mnt-lower:      MNT-KRNIC-AP
changed:        hm-changed@apnic.net 20091214
source:         APNIC

person:         SeungHo Lee
nic-hdl:        SL2321-AP
e-mail:         network@utilus.net
address:        533 5F Lotte BD SEOUL Gasan-dong Geumcheon-gu Seoul, 153-023
phone:          +82-2-3441-0491
fax-no:         +82-2-565-8376
country:        KR
changed:        hostmaster@nida.or.kr 20080102
mnt-by:         MNT-KRNIC-AP
source:         APNIC

% Information related to '175.41.0.0 - 175.41.15.255'

inetnum:        175.41.0.0 - 175.41.15.255
netname:        CDNETWORKS-KR
descr:          CDNetworks
country:        KR
admin-c:        YK603-KR
tech-c:         YK603-KR
status:         ALLOCATED PORTABLE
mnt-by:         MNT-KRNIC-AP
mnt-irt:        IRT-KRNIC-KR
remarks:        This information has been partially mirrored by APNIC from
remarks:        KRNIC. To obtain more specific information, please use the
remarks:        KRNIC whois server at whois.krnic.net.
changed:        hostmaster@nic.or.kr
source:         KRNIC

% This query was served by the APNIC Whois Service version 1.69.1-APNICv1r0 (WHOIS4)

$ whois cdngc.net
...
   Domain Name: CDNGC.NET
   Registrar: TIERRANET INC. D/B/A DOMAINDISCOVER
   Whois Server: whois.domaindiscover.com
   Referral URL: http://www.domaindiscover.com
   Name Server: NS1.PANTHERCDN.COM
   Name Server: NS2.PANTHERCDN.COM
   Status: clientTransferProhibited
   Updated Date: 14-jan-2013
   Creation Date: 19-mar-2009
   Expiration Date: 19-mar-2015

...
Registrant:
   CDNetworks Co., LTD.
   Handong Bldg 67F 8287YeoksamDong GangnamGu
   Seoul, Seoul 135935
   KR

   Domain Name: CDNGC.NET
   Registrar: TIERRANET INC. D/B/A DOMAINDISCOVER

   Administrative Contact, Technical Contact, Zone Contact:
      CDNetworks Co., LTD.
      Cho Byung Ryong
      Handong Bldg 67F 8287YeoksamDong GangnamGu
      Seoul, Seoul 135935
      KR
      82-2-3441-0444
      (822)569-9632 [fax]
      domain@queue.cdnetworks.com

   Domain created on 18-Mar-2009
   Domain expires on 18-Mar-2015
   Last updated on 14-Jan-2013

Оригинал этой записи в личном блоге.

Tags:

Из жизни афроадминистраторов

dil: (Default)
Thursday, November 14th, 2013 10:46 am

Выдержка из /etc/sudoers:

Cmnd_Alias      FIND_CMDS       =       /usr/bin/find
Cmnd_Alias      FIND_RM_CMDS    =       /usr/bin/find * -exec rm *
svc_acct        ALL=(root) NOPASSWD: FIND_CMDS, !FIND_RM_CMDS

И эти люди ВСЕРЬЁЗ думают, что они что-то ограничили..
Я не стал их разочаровывать, вдруг самому пригодится.

Оригинал этой записи в личном блоге.

Tags:

Райффайзен-Банк. Афроадминистраторы

dil: (Default)
Wednesday, August 28th, 2013 09:24 am

То ли там какой-то хитрый reverse proxy, который фильтрует по странам, то ли оно закэшировалось в нашей корпоративной проксе, но у меня этот сайт до сих пор выглядит вот так:

Оригинал этой записи в личном блоге.

Tags:

Конституция не найдена

dil: (Default)
Sunday, January 20th, 2013 10:09 am

Оригинал этой записи в личном блоге.

Tags:

Про рейды и бэкапы

dil: (Default)
Friday, November 9th, 2012 01:02 pm

Я чё-то не понял, откуда набралось столько людей, которые на полном серьёзе высказываются в духе “зачем мне бэкап, у меня RAID есть!” ?

Оригинал этой записи в личном блоге.

Tags:

В Африку протянули интернеты…

dil: (Default)
Wednesday, November 7th, 2012 11:13 pm

Нафига, спрашивается? Чтоб ихнее правительство меня хакало?

Nov  7 00:34:01 sshd[15576]: Did not receive identification string from 41.76.169.145
Nov  7 00:38:45 sshd[16123]: Invalid user guest7 from 41.76.169.145
Nov  7 00:38:48 sshd[16123]: Failed password for invalid user guest7 from 41.76.169.145 port 35764 ssh2
Nov  7 00:38:49 sshd[16125]: Invalid user guest8 from 41.76.169.145
Nov  7 00:38:52 sshd[16125]: Failed password for invalid user guest8 from 41.76.169.145 port 36810 ssh2
Nov  7 00:38:53 sshd[16127]: Invalid user guest9 from 41.76.169.145
Nov  7 00:38:55 sshd[16127]: Failed password for invalid user guest9 from 41.76.169.145 port 37661 ssh2
Nov  7 00:38:55 sshd[16127]: Received disconnect from 41.76.169.145: 11: Bye Bye [preauth]

2012-11-07 00:38:57,280 fail2ban.actions: WARNING [ssh] Ban 41.76.169.145

inetnum:        41.76.168.0 - 41.76.175.255
netname:        KE-EGOV
descr:          Directorate of e-Government, Kenya
country:        KE
admin-c:        GITS1-AFRINIC
tech-c:         GITS1-AFRINIC
org:            ORG-TDoe1-AFRINIC
status:         ALLOCATED PA
mnt-by:         AFRINIC-HM-MNT
mnt-lower:      GITS_MNT_01
source:         AFRINIC # Filtered
parent:         41.0.0.0 - 41.255.255.255

organisation:   ORG-TDoe1-AFRINIC
org-name:       The Directorate of e-Government, KENYA
org-type:       LIR
country:        KE
address:        Harambee House
address:        Harambee Avenue
address:        P.O. Box 62345-00200
address:        NAIROBI 00200
e-mail:         egov@kenya.go.ke
phone:          +254-20-2227411
fax-no:         +254-20-2252139
admin-c:        KGIT1-AFRINIC
tech-c:         KGIT1-AFRINIC
mnt-ref:        AFRINIC-HM-MNT
mnt-ref:        GITS_MNT_01
mnt-by:         AFRINIC-HM-MNT
source:         AFRINIC # Filtered

person:         Government Information Technology Services
address:        P.O. Box 30007
Nairobi
Kenya
phone:          +254-20-2252299
fax-no:         +254-20310833
e-mail:         gits@treasury.go.ke
e-mail:         tech@treasury.go.ke
e-mail:         gomolo@treasury.go.ke
nic-hdl:        GITS1-AFRINIC
remarks:        Government of Kenya Resource
source:         AFRINIC # Filtered

Оригинал этой записи в личном блоге.

Tags:

Сидя в центре Интернета

dil: (Default)
Tuesday, September 25th, 2012 10:21 am

# tcptraceroute -p 80 www.yandex.ru
traceroute to www.yandex.ru (87.250.251.3), 30 hops max, 40 byte packets
1  www.yandex.ru (87.250.251.3)  0.315 ms  0.306 ms  0.300 ms

# tcptraceroute -p 80 www.google.com
traceroute to www.google.com (173.194.35.178), 30 hops max, 40 byte packets
1  muc03s02-in-f18.1e100.net (173.194.35.178)  0.128 ms  80.033 ms  80.042 ms

# tcptraceroute -p 80 www.microsoft.com
traceroute to www.microsoft.com (64.4.11.42), 30 hops max, 40 byte packets
1  64.4.11.42 (64.4.11.42)  0.504 ms  0.484 ms  0.478 ms

# tcptraceroute -p 80 www.apple.com
traceroute to www.apple.com (92.123.149.15), 30 hops max, 40 byte packets
1  a92-123-149-15.deploy.akamaitechnologies.com (92.123.149.15)  0.384 ms  0.365 ms  0.361 ms

Счастье, конечно, было недолгим. Ни хрена не работает:

# telnet www.yandex.ru 80
Trying 77.88.21.3...
telnet: connect to address 77.88.21.3: Connection refused
Trying 87.250.250.3...
telnet: connect to address 87.250.250.3: Connection refused
Trying 87.250.250.203...
telnet: connect to address 87.250.250.203: Connection refused
Trying 87.250.251.3...
telnet: connect to address 87.250.251.3: Connection refused
Trying 93.158.134.3...
telnet: connect to address 93.158.134.3: Connection refused
Trying 93.158.134.203...
telnet: connect to address 93.158.134.203: Connection refused
Trying 213.180.204.3...
telnet: connect to address 213.180.204.3: Connection refused
Trying 213.180.193.3...
telnet: connect to address 213.180.193.3: Connection refused

# telnet www.google.com 80
Trying 173.194.35.180...
telnet: connect to address 173.194.35.180: Connection refused
Trying 173.194.35.176...
telnet: connect to address 173.194.35.176: Connection refused
Trying 173.194.35.177...
telnet: connect to address 173.194.35.177: Connection refused
Trying 173.194.35.178...
telnet: connect to address 173.194.35.178: Connection refused
Trying 173.194.35.179...
telnet: connect to address 173.194.35.179: Connection refused
Trying 2a00:1450:4016:801::1010...
telnet: connect to address 2a00:1450:4016:801::1010: Network is unreachable

Спасибо криворуким уродам из отдела server engineering за мою пошатнувшуюся психику.

Оригинал этой записи в личном блоге.

Tags:

Всюду афроадминистраторы

dil: (Default)
Wednesday, July 18th, 2012 07:20 am

Это вам не хухры-мухры, а Сайт Министерства иностранных дел:

Второй день валяется кишками наружу.

Что смешно, в процессе редиректов он ещё и куку устанавливает.

Оригинал этой записи в личном блоге.
Любые материалы из этого блога запрещается использовать на сайте livejournal.ru в любой форме и любом объёме.

Tags:

Афроадминистраторы из мордокниги

dil: (Default)
Wednesday, March 7th, 2012 08:07 am

её сегодня сделали недоступной. Туда ей и дорога. Учитывая TTL в двое суток, оно ещё пару дней работать не будет.

$ dig facebook.com -t NS @b.gtld-servers.net.

; <<>> DiG 9.7.0-P1 <<>> facebook.com -t NS @b.gtld-servers.net.
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 30540
;; flags: qr rd; QUERY: 1, ANSWER: 0, AUTHORITY: 5, ADDITIONAL: 5
;; WARNING: recursion requested but not available

;; QUESTION SECTION:
;facebook.com.            IN    NS

;; AUTHORITY SECTION:
facebook.com.        172800    IN    NS    ns1.facebook.com.
facebook.com.        172800    IN    NS    ns2.facebook.com.
facebook.com.        172800    IN    NS    ns3.facebook.com.
facebook.com.        172800    IN    NS    ns4.facebook.com.
facebook.com.        172800    IN    NS    ns5.facebook.com.

;; ADDITIONAL SECTION:
ns1.facebook.com.    172800    IN    A    204.74.66.132
ns2.facebook.com.    172800    IN    A    204.74.67.132
ns3.facebook.com.    172800    IN    A    66.220.151.20
ns4.facebook.com.    172800    IN    A    69.171.245.32
ns5.facebook.com.    172800    IN    A    66.220.145.65

;; Query time: 10 msec
;; SERVER: 192.33.14.30#53(192.33.14.30)
;; WHEN: Wed Mar  7 07:53:17 2012
;; MSG SIZE  rcvd: 200

$ dig www.facebook.com @204.74.66.132

; <<>> DiG 9.7.0-P1 <<>> www.facebook.com @204.74.66.132
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 62780
;; flags: qr rd; QUERY: 1, ANSWER: 0, AUTHORITY: 2, ADDITIONAL: 2
;; WARNING: recursion requested but not available

;; QUESTION SECTION:
;www.facebook.com.        IN    A

;; AUTHORITY SECTION:
www.facebook.com.    86400    IN    NS    glb2.facebook.com.
www.facebook.com.    86400    IN    NS    glb1.facebook.com.

;; ADDITIONAL SECTION:
glb2.facebook.com.    3600    IN    A    69.171.255.10
glb1.facebook.com.    3600    IN    A    69.171.239.10

;; Query time: 110 msec
;; SERVER: 204.74.66.132#53(204.74.66.132)
;; WHEN: Wed Mar  7 07:53:32 2012
;; MSG SIZE  rcvd: 104

И то же самое отвечают все остальные бывшие авторитетные серверы:

ExpandRead the rest of this entry » )

Оригинал этой записи в личном блоге.
Любые материалы из этого блога запрещается использовать на сайте livejournal.ru в любой форме и любом объёме.

Tags:

Техсуппорт

dil: (Default)
Thursday, March 1st, 2012 09:21 pm

Пятниццо! Время рассказать о техсуппорте, как я и обещал.

Каким образом _даже_ заключение какого-то там соглашениЕ может защитить от утечки информации — тайна великая есть. Равно как и место, в котором надо будет создавать секретные ключи. Как же эти люди умеют защищать информацию? А вот так:

ExpandRead the rest of this entry » )

Оригинал этой записи в личном блоге.
Любые материалы из этого блога запрещается использовать на сайте livejournal.ru в любой форме и любом объёме.

Tags:

OpenSSL, PHP и афроадминистраторы

dil: (Default)
Thursday, March 1st, 2012 02:15 pm

При обследовании одного сервера на предмет используемой версии OpenSSL обнаружилось, что… никакой:

# ldd apache/modules/mod_ssl.so |grep libssl
	libssl.so.1.0.0 => not found

Апач был собран афроадминистраторами из исходников. Но при сборке маршрут к библиотеке явно не указали, и в ld.so.conf тоже не написали, вот она и не находится. Тем не менее, апач таки успешно запускается, и SSL в нём каким-то чудом работает.

Дальнейшее препрарирование показало ещё более прекрасное:

# ldd apache/modules/libphp5.so |grep libssl
	libssl.so.1.0.0 => /opt/openssl/lib/libssl.so.1.0.0 (0x00002ad00e36d000)
	libssl.so.6 => /lib64/libssl.so.6 (0x00002ad0101b3000)

PHP, понятное дело, тоже был собран афроадминистраторами из исходников.

А теперь вопросы:
Вопрос 1, достаточно простой: КАК они умудрились собрать PHP с двумя разными версиями одной библиотеки одновременно?
Вопрос 2, посложнее: а нафига они это сделали?
Вопрос 3: а всё-таки как апач находит библиотеку при загрузке mod_ssl? Никаких LD_PRELOAD и LD_LIBRARY_PATH в запускающем скрипте апача нет, я проверял и в самом скрипте, и в environment’е запущенного апача.
Вопрос 4: и что надо с такими администраторами после всего этого сделать?

Оригинал этой записи в личном блоге.

Tags:

Вон из профессии

dil: (Default)
Wednesday, January 11th, 2012 08:21 am

И это чмо, у которого на единственном 2003 сервере живут PDC и BDC, считает себя администратором?

Оригинал этой записи в личном блоге.

Tags: