?

Log in

Хвостат Хвостатыч
13 January 2013 @ 11:28 pm






Приветствую!


sittin' on yer cisco switch | floodin' yer packetz


Меня зовут Денис, и я системный инженер администратор.
Этот ЖЖ создан в качестве рабочего блокнота для (около)айтишных записей и обмена опытом с коллегами.
Во-первых, для противодействия собственному склерозу, а во-вторых, для приведения мыслей в порядок.

Чему здесь быть:
- рабочие заметки
- обмен опытом
- howto’шки
- хаки и лайфхаки
- вопросы к читателям
- ссылки
- живое общение
- профессиональный юмор

Твиттер имеется:
https://twitter.com/hvostat

Инстаграм наличествует:
http://instagram.com/hvostat

Теги:

Windows, Windows Server - Windows десктопный и серверный.

juniper, JunOS - всё про Juniper вообще и JunOS в частности.

утипусечка - железо. Я очень люблю работать с разными электронными штуковинами, и с удовольствием об этом напишу.

софт - всё, что не железо.

бНОПНЯ - вопрос к аудитории.

планета Черезжопия, это не надо - иллюстрация того, как делать не надо.

рекомендация - посоветую, какое железо или софт лучше использовать, исходя из собственного опыта.

юмор - чего-нибудь похихикать.

жизненное - о реальной жизни.

hvostat.log - про вашего покорного слугу.

Правовая оговорка и письменный отказ от ответственности:
Все упоминаемые в Блоге торговые марки и товарные знаки принадлежат их владельцам.
Автор не несет ответственности и не предоставляет гарантий в связи с публикацией фактов, данных, результатов и другой информации в данном Блоге.
Все инструкции и/или гайдлайны, написанные в данном Блоге НЕ ЯВЛЯЮТСЯ руководством и/или рекомендацией к действию.
Автор не несет ответственности за возможное нанесение ущерба любого рода, прямого либо косвенного, которое произошло вследствие выполнения инструкций и/или гайдлайнов.
Все истории, места, события и герои вымышлены. Любые совпадения с реальными личностями и событиями случайны.


//Да, на фотографии - моя кошка. Зовут Жыслая. И на юзерпике - тоже она. Язычёк настоящий, гарнитуру прифотошопил.
//Хвостат Хвостатыч - потому что в своё время я таки был хвостат.

__
 
 
Хвостат Хвостатыч
26 May 2017 @ 01:10 pm
Как и любые другие, уважающая себя офисные крысы, мы работаем в офисном центре - свою башню пока еще не построили.
Как и в большинстве бизнец-центров, у нас есть лифт.
Но есть нюанс.™
Если нажать кнопку "вниз" приезжает лифт, который едет вверх(!).
Угадайте, что произойдет, если нажать кнопку "вверх". Правильно.
Не критично. Мы уже даже привыкли. Но бесит просто пиздец.

Сегодня случайно поймал лифтёров.
Говорю, пацаны, так и так - описываю ситуацию абзацем выше.
Далее, диалог:
- Такого не может быть!
- Я, по вашему, что - это придумал?
- Вы точно проверяли?
- Блядь, мы тут уже год работаем!!
- Ну..эээ... НО ВЕДЬ ЛИФТ - РАБОТАЕТ?
- Работает. Только через жопу!
Пацаны тупо заржали.

Пидарасы, блядь.

__
 
 
 
Хвостат Хвостатыч
04 May 2017 @ 03:48 pm
Вследствие паталогической сракорукости и бесстрашия небольшого недостатка опыта работы с компьютером у одного из друзей, Windows 7 стала колом.
Результат: "синька" с кодом ошибки 0x00000074 BAD_SYSTEM_CONFIG_INFO.

Лечение:
1) Загружаемся в режиме восстановления системы.
2) Запускаем командную строку.
3) В строке вводим следующее:
bcdedit /deletevalue {default} numproc
bcdedit /deletevalue {default} truncatememory
3.1) После каждого шага ответ должен быть "the operation completed successfully"
4) Перезагружаем компьютер
5) ???
6) PROFIT!

__
 
 
Хвостат Хвостатыч
11 April 2017 @ 02:04 pm
Захостился давеча на digitalocean.

Облака, высокая доступность, блаблабла.

Ну короч сегодня оно упало:

digitalocean

Озаза:
https://www.digitalocean.com/company/blog/update-on-the-april-5th-2017-outage/
__
 
 
 
Хвостат Хвостатыч
Очаровательная murav1ik недавно столкнулась с интересной ситуацией с HP-шными серверами.

Далее цитирую:
"Недавно столкнулась со странной ситуацией на сервере HP Gen6: он беспричинно выключился, а после включения поработал минут 30 и снова устал. И не просто сервер, а главный VM-хост. По законам жанра, случилось это в выходные, ровно в тот момент, когда я ехала в автобусе.

Прямо-таки ощущая, как седеют волосы, полезла в системные логи. Ничего объясняющего такое поведение не было. Проверила RAID-контроллер и диски, - всё отлично, все здоровые.
После очередной перезагрузки докопалась до iLo-логов и увидела странное:
System overheating (Temperature Sensor 29, Location System, Temperature 61C)

Описаний сенсоров для серверов HP - куча, еле нашла, что Sensor 29 - это вроде как северный мост. И что таким образом он сигнализирует о перегреве дисков. Что за мистика, я же своими глазами видела, что они в порядке!..

Первым делом отключила в BIOS автоматическую перезагрузку при перегреве. В нормальной ситуации так делать нельзя, конечно, но конкретно в моем случае сообщений от других термосенсоров не было.

Погуглила. На одной из страниц вышла на старенький сайт дядечки по имени David A. Soussan, который много работал с разным железом и с нетоповыми серверами HP в частности. Подытоживая свой опыт, он написал целую статью о проблеме, с которой я столкнулась.

Оказывается, "неродные" SATA-диски часто отправляют информацию о своём состоянии в формате, который датчик не может распознать. И поэтому он на всякий случай считает, что диски перегреваются. Охлаждение включается на полную мощность, но, естественно, не помогает, и через короткое время система получает сигнал о перегреве и аварийно отключается.
Дэвид подробно описал проблему и даже составил табличку совместимых/несовместимых дисков:
http://dascomputerconsultants.com/HPCompaqServerDrives.htm
Стоит ли говорить, что в табличке несовместимых купленные нами для бэкапов HGST диски стояли на первом месте. =)) Удивительно, как они вообще полгода проработали нормально.

У кого-то сервер с такими дисками может не включиться совсем:
https://community.hpe.com/t5/ProLiant-Servers-ML-DL-SL/HP-DL370-G6-Overheated-SATA-Drives/td-p/4581621

Понятно, что самое правильное решение проблемы - это покупать только "родные" HP диски. Но если хочется сэкономить, то будьте очень внимательны.

P.S.: Дэвид, спасибо тебе, мужик, где бы ты ни был. =)

Конец цитаты.

__
 
 
Хвостат Хвостатыч
В связи с тем, что SHA-1 теперь "всё", то требуется провести апгрейд центра сертификации.

Есть два варианта:
1) Смена корневого сертификата
2) Перенастройка дефолтного криптоалгоритма

Второй вариант реализуется следующим образом:
1) Вваливаемся в командную строку.
2) Вбиваем следующее:
certutil -setreg ca\csp\CNGHashAlgorithm SHA256
3) Перезапускаем CA:
net stop certsvc
net start certsvc

PS: А переходить, видимо, надо сразу на SHA-3

__
 
 
Хвостат Хвостатыч
03 April 2017 @ 09:21 pm
SYN ACK, дамы и господа.

Внимание, вопрос.
Вот это:
http://www.uni-trend.com/productsdetail_1163_907_907.html

- сильно говно?

Спасибо.

ТЗ: Требуется мультиметр/осциллограф с полосой 1-2 МГц максимум.

__
 
 
Хвостат Хвостатыч
24 March 2017 @ 04:54 pm
Есть у нас в IT-отделе коллега, который иногда очень любит почесать языком.

Особенно на разного рода резонансные темы типа политики или экономики.

Я давно предлагал коллеге идти в депутаты, но он почему-то отказывается.

А сегодня я наконец-то сделал то, что давно хотел: нашел пустую коробку от бумаги.
Вырезал из неё рамку с отверстием в форме экрана, а на рамку наклеил распечатанное фото передней панели старого телевизора.

Теперь, когда у коллеги начинается очередной приступ на тему поболтать и выступить, я беру эту рамочку, навожу на него и смотрю сквозь макет телевизора.
Всё, что он говорит, становится минимум в два раза смешнее.
Не хватает только логотипа телеканала в уголке.


PS: Кстати, по слухам, то же самое делали некоторые студенты МФТИ, когда слушали лекции Сергея Капицы.

__
 
 
Хвостат Хвостатыч
22 March 2017 @ 08:05 pm
Многие ошибочно полагают, что стоит придумать идею, потом обсудить её "со смузи в коворкинге", создать сатрап стартап™ и деньги потекут рекой.

Глядя на некоторые компании, команда которых именно так и поступила, начинает казаться, что всё именно так просто и легко.

Но, увы, статистика - вещь упрямая.

На 1 стартап, который "взлетел", приходится ОГРОМНОЕ КОЛИЧЕСТВО тех, которые "не взлетели":

Вот тут список, вид деятельности и разбор "невзлёта":
http://rb.ru/list/post-mortem-staptups/

__
 
 
 
Хвостат Хвостатыч
Очень просто.

1) Переводим VM-хост в "Maintenance mode"
2) Разрешаем SSH
3) Загружаем *.vib файл в /tmp
4) Вваливаемся в cli через SSH
5) Вводим следующее:
/bin/esxcli software vib install -v /tmp/scsi-super-mega-raid.x86_64.vib
6) Если система поперхнулась с отлупом: "'Could not find a trusted signer.'" - лечим тривиальным образом:
/bin/esxcli software vib install -v /tmp/scsi-super-mega-raid.x86_64.vib --no-sig-check
7) Перезагружаем сервер
8) Отключаем "Maintenance mode"
???
PROFIT!!

Как проверить:
Не отключать SSH и после перезагрузки ввести команду:
esxcli software vib list

__
Tags: , ,
 
 
Хвостат Хвостатыч
Амазоновские кучевые чот приуныли, причем нехило так:
http://www.theregister.co.uk/2017/02/28/aws_is_awol_as_s3_goes_haywire/

Напоминаю, в 2012-м году подобное уже было:
http://venturebeat.com/2012/06/29/amazon-outage-netflix-instagram-pinterest/

Помните, "скупой платит дважды" и "Там, где ты ничего не можешь, ты не должен ничего хотеть".

PS: Не забываем про CloudMouse!

__
 
 
Хвостат Хвостатыч
24 February 2017 @ 03:26 pm
Задача: при публикации файла в web с помощью IIS-сервера пользователь не может его скачать с "отлупом" 404.

Решение:
1) Заходим в IIS Manager на сервере или подключаемся удаленно
2) Тычем мышою в имя сервера
3) Заходим в MIME Types
4) Добавляем новый:
Extension: 7z
MIME Type: application/octet-stream
5) Нажимаем "ОК"
???
PROFIT!

__
Tags:
 
 
 
Хвостат Хвостатыч
23 February 2017 @ 12:37 pm
Задача:
Есть сеть за NAT 192.168.0.1/24.
Внешний IP у её роутера 1.1.1.1.
На роутере настроен DST NAT 1.1.1.1:80 => 192.168.0.2:80
"Cнаружи" все работает, но если пользователь захочет из самой сети зайти на 1.1.1.1:80, то получит экологически чистый кукиш с маслом вместо вебсайта.

Решение:
Воспользоваться технологией NAT loopback / hairpin NAT.

В Juniper SRX настраивается следующим образом:

set security nat source rule-set hairpin from zone default
set security nat source rule-set hairpin to zone default
set security nat source rule-set hairpin rule hairpin-source match source-address 192.168.0.1/24
set security nat source rule-set hairpin rule hairpin-source then source-nat interface

set security nat destination pool server address 192.168.0.2/32
set security nat destination rule-set hairpin from zone default
set security nat destination rule-set hairpin rule hairpin-destination match destination-address 1.1.1.1/32
set security nat destination rule-set hairpin rule hairpin-destination then destination-nat pool server

set security policies from-zone default to-zone default policy INTRA-default match source-address any
set security policies from-zone default to-zone default policy INTRA-default match destination-address any
set security policies from-zone default to-zone default policy INTRA-default match application any
set security policies from-zone default to-zone default policy INTRA-default then permit

__
 
 
 
Хвостат Хвостатыч
20 February 2017 @ 01:34 pm
Коллеги, если кто будет пользоваться хостингом DigitalOcean - регистрируйтесь по вот этой реферальной ссылочке:
http://www.digitalocean.com/?refcode=cb7937a4a7cd

От вас ничего не убудет, а мне капнет мелкая денежка.

Спасибо!

__
 
 
Хвостат Хвостатыч
18 February 2017 @ 05:29 pm
Как известно, fail2ban + аутентификация по RSA-ключам - залог крепкого и здорового сна у админа.

На серверной стороне:

0) Вваливаемся в *nix-у.
1) Создаём папку:
mkdir -p ~/.ssh
2) создаём пустое файло:
touch ~/.ssh/authorized_keys
3) редактируем содержимое в чем больше нравится
добавляем туда текст открытого RSA-ключа в виде ОДНОЙ ДЛИННОЙ СТРОКИ
5) сохраняем файл
6) Отключаем вход по паролю, редактируем:
sshd_config
Он лежит в /etc/ssh

PermitRootLogin no
PasswordAuthentication no
UsePAM no


На клиентской стороне:

В PuTTY:
1) Connection => Data указываем auto-login username
2) В Connection => SSH => Auth указываем путь к закрытому ключу
3) Сохраняем в "Saved Sessions"
???
4) PROFIT!!!

UPD:
Ахтунг, в комментах буйство никсарей! ))

__
Tags: ,
 
 
Хвостат Хвостатыч
15 February 2017 @ 07:49 pm
Коллега пригласил девушку в гости к нам на работу.

Состоялся следующий диалог:
- Привет!
- Привет!
- Ухты, а что это тут у вас?
- HP MicroServer G8, а что?
- HP MicroServer?!
- Да!
- Настоящий?!
- Да!!
- В продакшне?!
- Да!!!
- МИМИМИМИМИ!!!!111


Хорошая девушка. Правильная.

__
 
 
Хвостат Хвостатыч
10 February 2017 @ 01:13 pm
Для регистрации на всяких форумах, сайтах итд итд стали всё чаще требовать е-мейл.
Причем, что характерно, сразу же проверяют его на валидность, требуя кликнуть по сцылочке, которая приходит в письме.

Давать свой основной ящик по понятным причинам я не хочу - спамить начинают сразу, много и часто.

Нашел отличный бесплатный сервис для таких вот одноразовых говнорегистраций:
https://www.guerrillamail.com/

Что интересно, ничего вводить не требуется, адрес присваивается автоматически при входе на сайт.
Письма хранятся час.

Учтите, некоторые сайты "знают" про такие "одноразовые" е-мейлы и не разрешают регистрацию.

Оператор наведения - klink0v
__
 
 
Хвостат Хвостатыч
05 February 2017 @ 12:29 am
Съездил сегодня в одну мелкую конторку, попросили проконсультировать их по всеразличным IT-шным делам.
Заодно попросили поглядеть на их СКС "одним глазком".

Как бы так сказать помягче.
Четыре кабинета.
В этих четырех кабинетах разбросано ТРИ "тупняка*"

* - самых дешевых неуправляемых свитча

Поделился мыслями с murav1ik.
Юная дева совершенно не удивилась и рассказала, как в процессе оптимизации СКС извлекла ШЕСТЬ тупняков из ДВУХ кабинетов.

Коллеги, кто больше?

__
 
 
 
Хвостат Хвостатыч
02 February 2017 @ 08:25 pm
Результаты "дня сурка" в России:
- В московском зоопарке сурок проспал
- в питерском умер

__
 
 
Хвостат Хвостатыч
Утащил у ra1aie, за что ему большое спасибо.

Бывает так, что позарез нужно скачать какой-то файл с удаленного сервера, а на машине или server core, или слетевший ie, или другие причины, препятствующие скачиванию файлов традиционным способом.
И здесь нам поможет BITSAdmin - встроенная в Windows Server утилитка, способная выполнять функции wget.
Пример: bitsadmin /transfer myDownloadJob /download /priority normal http://www.site.domain/uzful_toolz.zip c:\uzful_toolz.zip

Коллега asm7 дополнил:
Также, можно воспользоваться командлетом PowerShell:
Invoke-WebRequest

Командлет присустствует в PowerShell 3.0 или старше.

__
 
 
Хвостат Хвостатыч
Нет ничего проще:

1) Создаём новый EventLog и указываем, откуда будем писать:
New-EventLog –LogName Application –Source “My Script”

2) Записываем событие, тип, код события и текст в записи журнала:
Write-EventLog –LogName Application –Source “My Script” –EntryType Information –EventID 1 –Message “This is a test message.”

__
 
 
 
Хвостат Хвостатыч
19 January 2017 @ 07:01 pm
Вчера отрезал себе ломтик яблочка.
Дрогнула рука и вместе с ломтиком яблочка я отрезал ломтик указательного пальца левой руки.
Не смертельно: глубокий порез по касательной с образованием так называемой "жабры".
Жутко неприятно.
А главное - чудовищно мешает работать.
Пластырь это ОК - но с ним рана намокает, чешется, пластырь цепляется за одежду и в целом он мешает еще больше, чем боль в ране без пластыря.

Пожаловался сегодня мудрейшему klink0v-у.
А он и говорит:
- Тю! Иди в аптеку, купи там "клей медицинский", он же клей БФ-6.
После этого высуши рану спиртом, обработай антисептиком а потом нанеси клей тонким-тонким слоем.
Дай высохнуть.
А потом нанеси еще раз, но уже толстым слоем, и с большей площадью, чтобы сформировать "заплатку".

Собственно, ваш покорный слуга всё это проделал.
Почувствовал себя героем компьютерной игры, который после огнестрельных ранений, падений, переломов и ожогов применяет аптечку и становится как новенький.
Цена вопроса за 15 грамм клея (это хватит, чтобы заклеить ~1000 таких пальцев) - 100 рублей.
Дичайше рекомендую!

PS: Перед применением проконсультируйтесь у специалиста.

__
 
 
 
Хвостат Хвостатыч
14 January 2017 @ 02:30 am
Что делают в пятницу вечером нормальные™ люди?
Бухают. Ходят по бабам. Смотрят любимый сериальчик.

Как вы думаете, что в пятницу вечером делает Хвостатыч?
Неправильно.

Хвостатыч в пятницу вечером взял в охапочку заготовки для корпуса мелкого усилителя, после чего поехал в мастерскую к уважаемому Сергею aka termsl и они там дружно эти заготовки сверлили, фрезеровали, пилили и полировали.

Вернулся домой в час ночи. В глазах светилось счастье.

"Доктор, это лечится?"©

PS: Детальный фотоотчёт и результаты - каминг сун.

__
 
 
Хвостат Хвостатыч
08 January 2017 @ 07:51 pm
Сабж бывет двух типов:
- 6-pin 150 W
- 8-pin 300 W

Конфигурация 6-pin разъема:

1. +12 V (ylow) | N/C | +12 V (ylow)
4. GND (blck) | Sense0 (blck) | GND (blck)


Конфигурация 8-pin разъема:

1. +12 V (ylow) | +12 V (ylow) | +12 V (ylow) | Sense1 (blck)
5. GND (blck) | Sense0 (blck) | GND (blck) | GND (blck)

6-ти пиновый разъем механически и электрически обратно совместим с 8-ми пиновым гнездом (разница в двух "землях"), главное - корректно подключить.

Тем не менее, подключать таким образом НАСТОЯТЕЛЬНО НЕ РЕКОМЕНДУЕТСЯ - есть вероятность сжечь карту.

__
 
 
Хвостат Хвостатыч
08 January 2017 @ 01:40 pm
Ну, рассказывайте, что и кто вам подарил!

Я начну.

Get-Presents -username Hvostat | format-listCollapse )
__
 
 
Хвостат Хвостатыч
31 December 2016 @ 12:03 am
Мои мысли по поводу нового года легко умещаются в два предложения:
"Больше всего на свете я желаю окончания вот этого предновогоднего ада из пробок, льда, снега, людей, звонков и писем, кавардака на работе.

Когда успело случиться так, что вместо всех этих "водки, хвои и трески, мандаринов, корицы и яблок " я чувствую себя сидящим в воющей центрифуге, и мое единственное желание - вылезти из нее, использовать гигиенический пакет, и, шатаясь, побрести прочь, в объятья тишины и полутемных комнат." ©

_
 
 
Хвостат Хвостатыч
Как настроить сабж?
Очень просто:

Основное отличие от роутера с белым(и) IP - это строка
destination-address 0.0.0.0/0;

Пример конфигурации:

destination {
pool INTERNAL-SERVER-POOL {
address 192.168.0.1/32 port 8080;
}
rule-set PORT-FORWARD {
from zone untrust;
rule APPLICATION_01 {
match {
destination-address 0.0.0.0/0;
destination-port {
8080;
}
}
then {
destination-nat {
pool {
INTERNAL-HOST;
}
}
}
}
}
}



Дополнительно:
- внести внутренний адрес сервера в adddress book (global или в соотвествующей security zone)
- написать policy, разрешающую запросы снаружи на сервер

__