• ↓
  • ↑
  • ⇑
 
Записи с темой: Работа (список заголовков)
15:55 

Рабочее, анекдотичное.

Прихожу я по предварительной договоренности к потенциальному новому клиенту "по политическому вопросу" потрындеть - ну там "Какие проблемы, что хотите, есть ли планы на будущее, сколько можете потратить" и пр., а мне на первый же вопрос ("Какие проблемы?", ага) показывают пальцем - "Да вот, сломалось - чините!". Ресторанный терминал, на секундочку - без клавиатуры-мыши и прочей попсы, зато с ДОС'ом и сенсорным экраном.

Обалдев сего числа, смотрю - ну, не бином Ньютона - "Не могу определить имя сервера", смотрим на веревочку, видим беспроводную точку доступа приклеенную (Sic!) к стене; на точке доступа ни одного горящего огонька. На всякий случай - смотрю второй конец системы на другой стороне зала. Та же точка доступа, LAN с WAN ом зелененьким перемигиваются, ляпота! Вот только блок питания у нее несколько м-мммм... другой формы. В общем, дело ясное, сообщаю - "Левым блоком питания сожгли точку доступа, надо брать новую, ок?" "ОК!".

Купили. Распаковываю, смотрю... упс! А на "мертвой" точке, оказывается, "родной" блок питания. Все равно правда мертвый, но родной. ОК, цепляю БП от покупки к старой - старая заводится. Гут. Запускаю терминал... терминал говорит "Не могу определить имя сервера". Стганно, стганно.
Иду ко второй точке доступа, цепляю к ней шнурком свой ноут - картинка с выставки: все лампочки мигают, а сеть то появляется, то пропадает и это по шнурку-то! Смотрю внимательно на "неродной" блок питания: 7,5 вольт сколько-то-там ампер. Родной - 5 вольт, два ампера. В общем, дело ясное-2, сообщаю: "На первой точке доступа сгорел родной блок питания, второй вы чужой БП-хой сожгли мозги. Итого, у нас есть одна точка доступа, без блока питания. Делаем так - берем горелый блок с первой точки, пихаем его к новокупленной и несем сдавать по гарантии, мол "не работает, и все тут! (Да-да, знаю, сволочь), ок?"
Не "Ок". "Не могли мы блоком питания сжечь, мы специальный покупали, на нем переключатель есть, напряжение выставлять". Хм. И кто тут кого надуть хочет? Смотрю внимательно на БП - совершенно обычный DLINK'овский блок питания, без всяких переключателей. Приношу, показываю. "Не может быть!" - идем вместе. Таки да, новый-с-переключателем блок есть в наличии, вот только подключен он (Тадам!) не к точке доступа, а к dlink'овскому свитчу! Т.е. свитч вместо своих заслуженных 7,5 вольт получает чужие 5 (При этом - работает!), а AP вместо 5 - 7,5 (И при этом _почти_ работает ))).

ОК? ОК! Третья итерация - новая точка доступа, новый блок питания. Настраиваю - одну в режим точки доступа, SSID, отключаем броадкасты, WPA2-PSK, вторую к ней клиентом, цепляем-пингуем-ок! Запускаем комп и... "Не могу определить имя сервера". Затык-с. Перенастраиваю, проверяю - точки друг-друга видят, все в порядке, но... "Не могу определить имя сервера". На компах - ни клавы, ни мыши, "черный ящик" да и только.
ОК. Цепляю ноут, подключаю nmap, начинаю сканить сеть. Нахожу. Проверяю. Работает. Запускаю комп - "не могу определить", ага. Бьюсь головой о стенуСижу с умным видом, думаю, как ковырять программулину. И тут... подходит ко мне мальчик-официант: "Что, не работает? Да, у нас так бывало, мы брали и перезагружали точки доступа - вот так" - и выдергивает питание. Я ему с умным видом - "Да, есть такое дело, виснут эти dlink'и, по питанию ребутишь - работают, но сейчас-то это явно не наш случай! Точки доступа друг друга видят, все что за ними тоже видно, вот смо..." - Он, не слушая, перезапускает вторую, и... оно таки ЗАВОДИТСЯ!

Прям не знаю, кому слать "лучи поноса" - dlink'у или R-keeper'у? )))

@темы: работа

14:16 

Для себя, чтобы в очередной раз не забыть:

PC-Speaker в VMWare'ях отключается путем добавления (Ручками, ога) mks.noBeep = "TRUE" в конфиг виртуальной машины. Ну не ...! ли, а? )

@темы: Работа

13:27 

Почему Windows-7 не вызывает у меня...

... ни малейшего энтузиазма. Честно говоря, давно хотел написать что-нибудь на эту тему, хотя бы для себя, чтобы окончательно понять, что меня в ней раздражает, но все никак не мог собраться, и вот - этот момент настал ;).
Сразу оговорюсь, что речь я буду вести "с точки зрения обычногоконечного" пользователя (Как администратор я могу назвать минимум м-м-мммм... шесть весомых причин перевода IT-инфраструктуры компании на новую платформу (Windows Server 2008R2 + Windows 7 + Office 2007) - именно _платформу_ (Это важно!)) - того самого, который будет "сидеть за компьютером", а не "управлять им".

Итак, причина первая, она же главная и почти единственная: а ЗА-ЧЕМ? Что я с этого получу, и чего соответственно, НЕ получу?
Честно говоря, не знаю ни одну программу, которая бы работала _только_ под Windows 7 и не запускалась бы под vista\XP, а вот обратных примеров (Программ, которые под W7 НЕ работают) могу не особо напрягаясь назвать с десяток. Предложенное "решение" - запускать эти самые программы в полностью виртуализованном окружении, конечно работает... примерно как известное решение проблемы головной боли ;).
Несколько более высокая производительность? Нууу... по поводу "гонки-за-попугаями" я уже как-то высказывался, а в остальном... с чем сравнивать будем? И _на чем_? Обычная для МС политика сравнения с Vist'ой критики на мой взгляд не выдерживает ) Вы попробуйте сравнить с XP на P3-800-256МБ, тогда и посмотреть будем ;). Впрочем, х64 + SMP таки да, ощутимо лучше.
Более высокая безопасность? Правда. На самом деле правда. Более высокая, ага. От-но-си-тель-но. Но все равно не нескафе OpenBSD ;). Да, файрволл стал намного "человечней" - но по удобству\конфигурируемости он все еще на три шага позади того же Outpost'а. Да, windows defender - неплохая штука (Про то, что он есть в той же Vist'е промолчим), но требование к наличию антивируса он все равно не отменяет. UAC... ну тут я даже и не знаю, что сказать. Честно говоря, сама идея кажется мне мягко говоря... странной. Ну раздайте вы права доступа на ФС как следует, запретите X-ы из-под-root'а работу от имени "администратора" оставив только runas и делу конец, а запрашивать пользователя по поводу каждого второго чиха... В общем, он есть. И он так же раздражает.
Удобство использования? Очень, очень, ОЧЕНЬ спорный вопрос. Честно говоря, меня вполнеболее чем устраивает интерфейс Windows 2000 + hotkey's + сторонний софт, и невозможность "привести" к нему систему изрядно раздражает. Aer'ные свистоперделки? Я вас у-мо-ля-ю! Кто MacOS Compiz видел, тот над этим даже не смеется ). Система "гаджетов" (Опять "не вспоминаем" про Vist'у)? И много их у вас? Нууу... погода, заряд батареи, часы - все, пожалуй. При том, что "погода" похоже окончательно обосновалась в igoogl'евском "гаджете", а заряд батареи с часами вполне показываются в трее... Если честно, меня сильно не радует "магистральное направление развития" интерфейса windows - попытка "предугадать" то, что мне требуется раз за разом заканчивается неудачей. Все эти "скрывающиеся меню", "группировка окон", "адаптивный трей"... Ребят! Это МОЙ рабочий стол и я хочу находить на нем те вещи, которые Я там положил и именно там, ГДЕ их оставил, все ваши "ну так же удобней!" можете засунуть себе в, из, на, через и пр. Я могу понять логику переработки интерфейса MS Office 2007 (Лично мне он не очень удобен, я не занимаюсь профессионально работой с документами, а тот минимум, что мне нужен вполне обеспечивает ОО интерфейс которого я, к тому же, знаю ;) - но _понять_ его я могу), а бездумное добавление "фигни для 13-ти летних девочек"(ТМ) поверх старой (W2K, ага) основы... Дайте мне не "готовое решение", рассчитанное на "среднестатистического" пользователя, а набор инструментов, позволяющих это самое решение получить - я буду просто счастлив, а пока - звиняйте.
"Улучшенный процесс установки", "новый экран загрузки", "переработанный калькулятор, paint&wordpad", очередной йё-моё - скажите мне, ироды, куда вы почтовый клиент дели, а? Знаю, что на сайт, но ЗАЧЕМ? Чтобы хомячки, сидящие под дефолтовым ИЕ6.0, неспособные "в один клик" установить какой-нибудь приличный браузер не нашли привычного "аутглюка" и строем пошли покупать MS Office? Спасибо Вам, дорогие мои от лица всего благодарного человечества! А telnet пошто выпилили, м? За resource kit\support tools хочется спросить еще со времен windows vista ).
Увеличенное время работы от батарей, улучшенное управление энергопитанием - да, почти без оговорок. Для владельцев ноутбуков - весьма весомо.
Причина вторая, тоже немаловажная. Итак, вспомним про Vist'у. Взглянем на 7-ку. Вспомним - взглянем. Вспомним... "Your face, your ass what's the difference?"(С). Оставив в стороне некоторые технологические подробности (ТМ) мы видим _ту же самую_, "доведенную до ума" систему. Выпусти microsoft её в виде SP3 - вопросов бы не возникло, а так... Надо бы освежить в памяти changelog W2K-XP, имхо, там различий поболе было есть у меня смутное ощущение, что платить тут приходится именно за "исправление ошибок", а не за "новый функционал".
Ну и третья, полушуточная - вы тут понаписали всякого, а мне учить! Только-только с vist'ой как следует разобрался - снова-здорово, начинай изучать связку 2008R2-7-2007, между прочим, как бы ни 1,5к регулируемых через GPO параметров, не баран чихнул ))).

@темы: Жизнь, Работа

16:16 

"Принцип лошадки"

Не так давно, во время одного "околорабочего" разговора посвященного поиску новых сотрудников ( Нетривиальный вопрос, не так ли?) коллега "пожаловался", что найти толкового человека "по итогам собеседования" он уже и не надеется ("Испытательный срок" решает!) - ему бы "с гарантией" отсеять процентов восемьдесят явно "не годных" для дела претендентов... ну и вспомнился мне один запощенный в незапамятные времена тов. Big Lynx отрывок из Бушковского "Сварога":
читать дальше

Совместными усилиями определили таких "лошадок" по плюс-минус знакомым ;) профессиям:
Ищешь "эникейщика"? Давай ему в руки витуху и проси обжать кроссом )). Обжал - молодец, говорим дальше, нет - "ступай себе лесом".
Нужен сисадмин? Вот тебе адрес с CIDR'овской маской в hex-виде ), рисуй диапазон адресов. Нарисовал? Ну, теперь можно, например, про модель OSI спрашивать ).
Хочется найти программиста? Не спрашивай "на чем пишет", "что делал", "под чем работал" - давай листок бумаги и проси нарисовать блок-схему ;) быстрой какой-нибудь сортировки, а лучше двух ). Напишет "вставки" с "пузырьком" - можно к "структурам данных" переходить, а если сразу быструю нарисует - можно и не спрашивать ни о чем ))).
Все это не те вещи, которые ты будешь делать на работе каждый день - нет, отнюдь - но именно они лежат "в основе профессии", на уровне "каждый первоклассник твердо должен знать..." - причем лежат достаточно глубоко, чтобы "нахватавшийся по верхам" до них не добрался ;).

Хочется узнать, есть ли у вас подобные "маркеры"? Что "твердо нужно знать" в других профессиях? М?

@темы: Жизнь, Работа

16:56 

И еще одни грабли...

... на которые многие наступают, но мало кто описывает ).
Синопсис - openvpn в "клиент-серверной" конфигурации, сервер freebsd (В общем-то, однофигственно) клиент - windows. Работаем через tun-устройства (Нафиг нам ethernet через VPN гонять?). Задачка - прописать клиенту маршрут до сети за сервером.
В случае *nix клиента и *nix сервера проблемы, в общем-то, нет у них с PtP все, нормально, а вот у виндей, как обычно, "все не слава Б-гу". Прежде всего - в них _нет_ tun-устройств. Совсем. Tun-режим _эмулируется_ tap-драйвером (Стороннего, впрочем, производителя) следующим образом:
На каждого клиента выдается подсеть /30, первый-последний адреса, как обычно, сеть+broadcast, предпоследний адрес назначается клиенту, а второй - виртуальный IP-адрес сервера, причем, "виртуальный" настолько, что на ping'и, хе-хе! не отзывается.
Соответственно, человек, по какой-то причине решивший прописать маршруты самостоятельно видит дивную картину - на стороне *nix'ей обычный PtP туннель ("inet 192.168.100.1 192.168.100.2 netmask 0xffffffff" - как-то так )), а на стороне windows - непойми откуда взявшийся адрес с /30-й маской (IPv4-адрес. . . . . . . . . . . . : 192.168.100.6, Маска подсети . . . . . . . . . . : 255.255.255.252 - что-то в этом роде) плюс маршрут с непингующимся шлюзом - сюрпри-ииииз! Причем в man'е все это описывается буквально парой строчек ("For tun-style tunnels, each client will be given a /30 subnet (for interoperabil ity with Windows clients)." - вот, собственно, и все )), как хочешь, так и понимай ). Конечно, не man'ами едиными - в частности, я, помнится, все это нашел в официальном FAQ'е на официальном же сайте, но все же...
В общем, к чему я это: в случае *nix-*nix используйте директиву --ifconfig-pool-linear и не трахайте себе моск, в случае windows-клиентов старайтесь использовать родной push, в случае windows+*nix клиентов пользуйтесь client-config-dir'ом + тем же push'ем (И надейтесь, что route с той стороны все поймет правильно - что, в общем-то, далеко не факт, учитывая число реализаций этой функции ;)), ну а если уж вам по какой-то причине захотелось прописать маршрут руками - используйте "виртуальный адрес сервера" не беспокоясь о его "непингуемости" и все будет ОК.

@темы: FreeBSD, Работа

16:30 

Обычно я в нелегкий труд сборщиков...

... не суюсь - руки не тем местом вставлены, но поскольку настройка BIOS'а штука скорее программная - выскажусь :).

Во-1. Биос НАДО обновлять. В обязательном порядке, ибо про багнутые релизы BIOS'а я не слышал ни разу, а вот устраняемые обновлением глюки и добавленные ништяки вижу постоянно ). Затраты времени на обновление (Учитывая, мягко говоря, "не слишком широкую" номенклатуру матерей у нас на складе) составляют какие-то минуты (Загрузочную флешку с ДОСом сделать один раз, флэшеров у нас всего два, да и сами BIOS'ы не каждый день выходят) а польза может быть не малая.
Во-2 (Спорный). Все не нужное надо отключать. Нет, это не значит, что неиспользуемый в данный момент USB-контроллер надо отрубить к чертям собачачьим, но com, lpt, неиспользуемый ide, onboard fdc и тому подобное, по - хе-хе! встроенный звук включительно рЭзать. Ибо нефиг - кому понадобятся, включат а кому не надо... нефиг вводить во искушение малых сих ).
Во-3. Boot sequence редактировать _в обязательном порядке_, ибо нет ничего проще, чем воткнуть в сидюк какой-нибудь диск "лучший друг кулхацкера", грузануться с него и снести пароль локального админа. Или просто по доброте душевной забыть дискету в дисководе, а потом трахать моск гарантийщику сообщением "Non system disk...". Редактировать надо до состояния "загрузка _только_ с жесткого диска" даже в том случае, если ОС не ставится. Ибо.
Во-3. Редактирование последовательности запуска - дело хорошее, но без пароля на BIOS'е смысла не имеющее, сталбыть паролю этому - быть. Причем быть отличному от "дефолтных" 11111/12345 и тэ дэ. На все собираемые компы (Исключение могут составлять разве что сервера) можно и нужно ставить один и тот же пароль но пароль этот не должен подбираться "брутфорсом" пользователя ). Если админ с той стороны шарит - он его, разумеется, сменит - а если нет... ну, что ж - "наши руки чисты" ). Следующий шаг - использование гаек-секреток + опечатываение системников )))
Во-4. Отключать всякие Full-screen logo По уму еще бы и quick boot не использовать, но оставим это серверам. - случись что, может упростить поиск железячных проблем, а то случается - висит он на этой красивой картинке и непойми что делает, на клаву при том - нуль внимания, разбирайся как хошь ). С той же целью нехудо бы подключать PC-speaker, но это уже "железо" ))
Во-5. Всякие мелочи. Проверка времени, отключение всего и всяческого оверклокинга, явная установка (В случае наличия двух видеокарт) устройства вывода (Куча глюков ловится, между прочим), отключение разнообразных memory hole, bios cachable, shadow etc.

почти Все это делается "в один проход", не требует сколько-нибудь значительного времени, а результат в виде сэкономленных нервов может дать очень даже неплохой.

@темы: Работа

15:20 

О "черной магии"...

... мать её за ногу ). Есть в разновсяческих *nix'ах туева хуча энное количество параметров, которые никто толком не знает, как настраивать ("Зависит от нагрузки"(Ц) - читай "развитым классовым чутьем") - все бы хорошо, не оказывай они порой такое влияние на жизнедеятельность системы. Не будем поминать недоброй памяти maxusers (которая не "max" и к "users" никакого отношения не имеет) - она давно (Вроде как еще с 4-сколько-то) ставится автоматически, отложим в сторону nmbclusters (На не ОЧЕНЬ сильно нагруженных серваках оно почитай что и не роляет, ибо хе-хе! меняется в зависимости от maxusers), забудем на время про туеву хучу недокументированных sysctl'ей - эт все мелочи, но! Вот скажите мне, как я должен выбирать размер файла/устройства для хранения GJOURNAL'ьного журнала, а?
По формуле 3,3*(объем памяти) взятой из статьи про настройку _десктопа_? А если её у меня хренадцать гигов? М? По суперформуле ram+swap? Взять, как предлагают, ((скорость записи на диск)*20 + хрен-его-знает)? А теперь добавим к "процессу выбора" тот факт, что в случае нехватки места под журнал мы ловим глухой висяк + возможную потерю данных... весело, да?
Или вот глянем в сторону "супер-альтернативы" - zfs (Отдельные "лучи поноса": системные требования в виде 2+ гигов памяти _на файловую систему_-то!, отсутствие поддержки ACL, которые еще-только-обещают приделать, причем не posix, а вполне себе NFSv4, траблы с загрузкой...). В варианте i386: Typically you need to increase vm.kmem_size_max and vm.kmem_size (with vm.kmem_size_max >= vm.kmem_size) to not get kernel panics (kmem too small). The value depends upon the workload. - "классовым чутьем", ога. Еще и ядро пересобрать с KVA_PAGES, число которых тоже не понятно, откуда брать. А-ааатлична, я считаю.

Не, я отлично понимаю, что при помощи этой и тому подобной "черной магии" _иногда_ можно очень даже значительно повысить общую производительность системы, что в принципе невозможно в "не столь открытых" ;) системах, но, но, но... Иногда все это ОЧЕНЬ раздражает )

@темы: FreeBSD, Жизнь, Работа

19:01 

Что такое настоящий...

... КРИЗИС? Это когда _официальный_ представитель _Microsoft'а_ на конференции Techdays говорит, что "... раньше, в тучные времена мы могли привозить серверы, АТС, еще что-то, а сейчас..." - и показывает на два сиротливо стоящих ноутбука ))))
\ОЧЕНЬ ехиодно\ При этом MS Exchange 2010, одной из трех главных целей которого является "снижение затрат" (Sic!) стоит ничуть не дешевле 2007го )))

@настроение: Как страшно жить!

@темы: Жизнь, Работа

16:26 

Восстание машин

Все началось с того, что вполне знакомый, еще поза-позавчера абсолютно рабочий ключ отказался открывать дверь. Напрочь.
Параллельно выяснилось, что "интернет-не-интернетит". Весело день начинается, ага.
После Героической (При помощи плоскогубцев и какой-то матери) Победы над Дверью выяснилось, что интернет не просто "не интернетит", но и на пинги на внутреннем интерфейсе не отзывается, что уже совсем ай-яй-яй. Подключенный монитор с клавой показали, что система свалилась в single user mode по причине повреждения ufs. Ручная проверка привела к удалению... проще сказать, что не побилось, чем перечислять потери ).
Make installworld вернул системе относительную работоспособность, но вопроса (разумеется) не решил. Изучение логов показало, что 7го числа по причине глюков с первым винтом рассыпался рейд, "на честном слове и на одном винте крыле" система продержалась часов 8 и по причине глюков уже со вторым винтом свалилась в ребут. Поднялась она, разумеется, уже без всякого рейда, проработала до 5 утра 8го марта и сдохла уже куда более основательно (Побилось почитай все, смонтированное в rw - логи, кэш проксюка, обновлявшееся по расписанию дерево портов и пр).
Попытка разрулить ситуацию штатными средствами (gmirror forget - замена винта - gmirror insert) к успеху не привела - оба винта отчаянно матерились на IDMA CRC error'ы, вызывали "interrupt storm'ы" и падали на первых 10 процентах ребилда. Было принято решение "по быренькому" переставить фрюху и накатить на нее часть старых конфигов с бэкапа.
"Быренько", ага. Сначала отказался писать уже не встроенный (ВСЕ ЕЩЕ не починенный!) резак, но подключаемый через USB-контроллер IDE'шный ветеран, после успешного прожига (Гы-гы! Осуществленного с помощью линуксовой машинки, с mount -t ntf, mkisofs и прочих прелессстей) "внезапно" выяснилось что в серваке стоит только и исключительно CDROM, и ни о каких DVD речи не идет, пришлось опять подключать внешний DVD через USB-интерфейс.
После третьего ребута он даже нормально опознался, но делу это помогло не сильно - попытка записи на уже новые винты успехом не увенчалась - установка систематично падала на разных стадиях процесса с теми же ошибками винтов. Речь зашла уже не о винтах а о контроллере и на "быренько поставим" никто особо не надеялся.
Было решено поставить какой-нибудь роутер со склада и не мучится. Щаз! Найденный "wireless" зухель долго отказывался выдавать дефолтовый пароль (На коробке его не нашлось, в бумажной мануале была только рекомендация воспользоваться диском с netfriend'ом - Мать-мать-мать! Про это я как-нибудь отдельно выскажусь), в процессе первоначальной настройки выяснилось, что во время передергивания оборудования в стойке я как-то сумел вырубить розеточную панель, на которую был запитан в том числе провайдерский свитч, ну и в довершение - провайдер использовал привязку по MAC-адресу, а записать MAC старой сетевухи я того... не догадался.
В общем, весь комплект приятных ощущений поимел.
Завтра буду потрошить "умираю-но-не-сдаюсь" сервер )))

@темы: Жизнь, FreeBSD, Работа

16:15 

И о секьюрности(ТМ):

Разнообразные банки, Электронные Платежные Системы, Системы Передачи Электронных Документов и пр. делают все для повышения безопасности, а пользователи старательно с этим борются. Заметим, небезуспешно.
Банк делает Защищенное Соединение между клиентом и своим сервером (Как и через какое место это делает фирма "Амикон" - пожалуй, не будем ))? Юзверь старательно сносит (Ну или ставит галку "запомнить") пин-код.
Банк требует две (Три, четыре и тэ дэ) электронных подписи для отправки документов? Все три дискеты будут защищены одним паролем (1-2-3-4, ога) и лежать будут у одного человека (Оч. может быть даже не у главбуха, а у кассира )).

Обычное дело, в общем. Но примененное очередным клиентом Техническое Решение меня, если честно, удивило: вместо того, чтобы использовать в качестве "ключевых носителей" разные носители информации (Дискеты, флешки и пр.) и переключать их по требованию программы (Сбербанковского банк-клиента, если что) товарищи свалили ключи на жесткий диск и прописали _две_ конфигурации программы, отличающиеся только путем к ключу - с-но, для подписи данных перед отправкой в банк надо было не менять дискеты, а запустить две копии программы с разными конфигурациями. Элегантное решение (О "бе-зо-пас-нос-ти" помолчим), не правда ли? Вот только выяснилось все это в процессе переустановки windows с форматированием диска...

@темы: Работа

18:37 

По заявкам радиослушателей...

… о компьютерной безопасности.
Первое. Компьютер НЕбезопасен. В принципе. Так что, если ты работаешь с чем-то действительно важным — храни это не на подключенном к сети компьютере. Внешний носитель, хранящийся в каком-нибудь надежном (Флешка-в-кармане не подойдет!) месте — самоЕ оно. Если для работы постоянно нужен интернет — пользуйся парой неподключенный стационарный комп + ноутбук в сети. «Компромиссный» вариант — использовать для вэб-серфинга виртуальную машину. С современными технологиями (Coherence, Unity Mode, XPMode в 7-ке и прочими seamless RDP'ями) это вполне удобно и на порядок более безопасно, нежели использовать «для всего и сразу» одну и ту же машину.
Второе. Делай резервные копии! Делай резервные копии! Делай резервные копии! Делай... - ну, ты понял. Да-да-да, они «гарантированно нарушают права доступа к файлам» и пэ рэ — но это не повод, чтобы от них отказываться. Храни в надежном месте, шифруй как душа пожелает — но делай. Окупится.

Если у тебя нет ничего НАСТОЛЬКО важного, чтобы городить всю эту тряхомудь, но терять то, что есть все равно не хочется:
Первое — см. пункт 2 ).
Второе — обновляй операционную систему и установленные в ней программы. Регулярно. Частота, предложенная производителем более, чем подходит. Учитывая количество разновсяческих багов в софте не делать этого — хороший способ «отстрелить себе ногу». Для примера — ХРюша без сервис-паков живет в Интернете примерно 1,5 минуты до первого заражения. Делайте выводы ). (Для хитро...вумных — антивирус сам-по-себе делу НЕ поможет. Ставить его на необновляемой системе — все равно что сажать злую собаку за забором с дырками — что-то может и поймает, но часть пролезет обязательно)
Третье. Используй файрволл. От всего не защитит, но энную часть проблем ликвидирует. (Эх, хорошо бы еще понимать, что это такое и как оно вообще работает — но тут уж как получится. Уповай на то, что производитель файрволла это ПОНИМАЕТ ;))
Четвертое. Используй антивирус. Легальный. С обновлением вирусных баз. Частота обновления — рекомендуемая производителем. (Для хитро...вумных: пейратское зеркало — не самый лучший вариант. Кто его знает, с какой частотой оно синхронизируется с основным? А в случае 0-day атак речь идет о _часах_). Какой — честно говоря, не суть важно лишь бы не Касперский))). Сам сижу на avast'е и не пищу.
Пятое. Минимум раз в месяц (Можно чаще) проверяй компьютер утилитами сторонних (По отношению к используемому антивирусу) производителей. DrWeb Cureit (Хоть и скурвился он в последнее время) AVZ — что там еще... по сути любая дрянь не повредит.
Шестое. Не ставь на компьютер всякую левую фигню. Разновсяческие улучшайзеры, свистоперделки, типаклиенты и пр. не только сэкономленные «пять секунд» времени, но и пара мегобайтов редкоглюкавого кода.
Седьмое. Отключай НАФИГ всю автозагрузку в своих виндах. Более м-ммм... неудачного решения с точки зрения безопасности я, пожалуй, даже не назову. Не иначе как какой-то, прости оссподи, ди-зай-нер придумал. Еще бы неплохо создать пустой файлик autorun.inf в корне каждого диска и дать на него права только и единственно системе... но народу обычно недосуг, а ЗРЯ.
Восьмое. Используй длинные пароли. Длинные — это больше, пожалуй... 12 символов. Цифры, буквы, спецсимволы. Менять м-ммм... раз в три месяца, думаю, достаточно. Для разных типов ресурсов используй разные пароли. Не используй «запоминание» паролей, ибо нефиг.
Девятое, и, пожалуй, главное. ДУМАЙ, что делаешь и куда ходишь. «Если ты пьешь с ворами...»(С), ага? Если высунув язык ищешь по всей сети «детское порно» или «кряк для последней версии супер-программы» или там ползаешь по баннерам «одноклассников-в-контакте» - то, в общем, так тебе и надо — все что выше можно было не читать.

Ну и последнее - все это не дает _никаких_ гарантий. Совсем. Но шансы повышает значительно. Тут как с презервативами - гарантий нет (О чем производитель "мелким шрифтом" честно сообщает) - но сексом заниматься все равно хочется, так что... )))

@темы: Жизнь, Работа

13:29 

Хотел быстренько задать...

... ну ОЧЕНЬ животрепещущий (Для меня) вопрос - но не успел. Абидна, да ).
Откладываем до понедельника.

@темы: FreeBSD, Жизнь, Работа

17:42 

Порция понедельничных...

... граблей ).

Сервак, через пень-колоду собрали. Сервак через пень-колоду об-раз-цо-во настроили, увы, "в процессе" выяснилось одно "но" - враг трудового народа провайдер производит привязку по mac-адресу, с-но, при вылете сервера записью старого mac-адреса я никто не озаботился. При подключении "временного" варианта (Зухельного роутера) пришлось через суппорт провайдера произвести привязку к другому mac'у.
Ок. При настройке сервера я это учел и mac зухеля аккуратно записал. Осталось понять, как его ак-ку-рат-нень-ко так подменить при загрузке FreeBSD. Само по себе - не бином Ньютона - ifconfig <интерфейс> ether <адрес>, но при загрузке, через rc.conf?
"Очевидный" вариант - ifconfig_<интерфейс>="inet netmask <маска> ether " по понятным причинам (Все это передается в качестве аргументов родному ifconfig'у, а он "одной строкой" устанавливать адреса разных классов не умеет) не прокатил.
Чуть менее "очевидный" вариант - дважды задать адреса для одного интерфейса в стиле:
ifconfig_<интерфейс>="inet netmask <маска>"
ifconfig_<интерфейс>="ether "
не прокатил тоже (Опять таки, не удивительно, учитывая механизм обработки rc.conf'а).
Затык-с. Просто выполнить юзерский скрипт с этим самым ifconfig'ом - "низкий класс, нечистая работа"(С) - пришлось засучить рукава и полезть изучать /etc/rc.d/netif - далее по тексту ). В процессе родилась "Оригинальная Идея"(ТМ) и файл rc.conf (В "интерфейсной части", ессно!) принял следующий вид:
ifconfig_<интерфейс>="inet netmask <маска>"
ifconfig_<интерфейс>_alias0="ether "
т.е. мы "создаем псевдоним", передаем ему в качестве адреса - mac. Ясен пень, псевдоним (Второй IP на интерфейсе) не созается, но! аргументы старательно передаются ifconfig'у.
И вот он, торжественный момент - сервак втыкается в стойку, нажимается кнопка "пуск"... пять минут - полет нормальный, но тырнетов нет. Быстрая проверка показала, что mac-адрес уже новывый, но толку от этого нет - стандартный шлюз не пингуется, а tcpdump показывает, что все, что он может "отдать" - arp'шный ответ на who has... Полчаса танцев-с-бубном, обратное подключение зухеля - нет эффекта. Пришлось звонить провайдеру. Эти... параноики на первый же ethernet frame с mac'ом отличным от ожидаемого насмерть лочат порт, а rc.conf обрабатывается последовательно...
Буду ДОЛГО думать.

@темы: Работа, FreeBSD

16:16 

Если вдруг кому интересно...

... над понедельничными граблями "долго думать" не пришлось ;).
Vmware'ная VM'ка + wireshark со всей определенностью показали, что при каждом изменении IP-адреса система разражается т.н. gratuitous ARP-пакетом (Что, в общем-то, фича - а если кто rfc с draft'ами не читает, то он сам себе злобный баклажан), но делает она это sic! даже с отключенным/static ARP (Что, похоже, все-таки бага).
К счастью, внимательное (Ключевое слово!) изучение network.subr показало, что непрерывность последовательности alias'ов, о которой говорилось в man'ах, имеет значение только для парсинга аргументов в rc.conf, но никак не для самого ifconfig'а, которому эти номера псевдонимов вообще не передаются, более того, ifconfig без проблем допускает добавление первого и единственного ip-адреса с использованием синтаксиса псевдонимов. Сталбыть, окончательный вариант решения проблемы имеет вид:
ifconfig_<интерфейс>="ether <мак-адрес> "
ifconfig_<интерфейс>_alias0="inet <адрес> netmask <маска>"
Вуаля. Можно начинать бороться с вторничными граблями ))).

@темы: FreeBSD, Работа

16:21 

О раздвоении личности

С одной стороны все Мы Николай Второй понимаем, что "лучший метод творчества - это воровство"(С), и удачно примененный "костыль"(ТМ) (Ну, там вместо парсинга с помощью pcre заюзать какой-нибудь, прости осподи, sed/awk, а то и просто grep'ом обойтись) вызывает у меня чувство м-ммм... пожалуй, гордости (Она, какой я умный!) с другой - проекты-франкенштейны, состоящие из костылей чуть более, чем полностью вызывают уже не "раздражение", а натуральную ненависть.
Несоответствие масштабов применяемых средств и достигаемых целей просто убивает: "А давайте мы поставим веб-сервер, базу данных, два языка программирования, поставим "по зависимостям" туеву хучу модулей" - и все это для того, чтобы (Например!) посчитать трафик в конторе на пять машин. И это НЕ единичный случай "тысячи их" в разновсяческих OpenSource проектов.
С одной стороны - изобретать велосипед как-то не хочется, а с другой - разбираться со всем этим... "... и мудрость отличать первое от второго"(С).

@темы: Работа

16:35 

"Одной строкой":

еще пара граблей в логах:
Mar 16 05:08:29 kernel: xl1: link state changed to DOWN
Mar 16 05:08:32 kernel: xl1: link state changed to UP
Mar 16 05:26:47 kernel: xl1: watchdog timeout
или сетевуха глючная (Были на ее счет подозрения, да) - или одно из двух ) Попробовал sysctl hw.pci.enable_msi(x)=0, будем посмотреть.

Плюс недавноустановленный ntpd истошно верещит:
Mar 18 09:55:30 ntpd[4547]: kernel time sync status change 6001
Mar 18 10:46:44 ntpd[4547]: kernel time sync status change 2001
в списках рассылки сообщается, что бага (Не сами по себе микроизменения - это норма, а именно засирание логов), в dev-ветке вроде как даже пофиксенная. Думаю, выкинуть логи из syslog'а в какой-нибудь совсем отдельный файл и тупо рЭзать его newsyslog'ом - ну или просто забить, растет он _сильно_ не быстро ))).

То, что sudo нифига не экспортит переменные окружения я знаю. То, что без экспортированного TERMCAP'а TERM=SCREEN и bell этим самым SCREEN'ом не поддерживается -- тоже логично. Но почему при 'vbell off' вместо этого чертового несуществующего "bell'a" все еще выходит идиотское 'Wuff, wuff!!" мне хоть убей, не понятно.
И то и другое и третье по сути мелочь - но неприятная.

"А в это время" "с мест" сообщают, что у одного из моего серваков - год uptime'a. Однако, ДАТА!

А еще на неделе был День св. Патрика.
И пятница наступила по расписанию (Больно!).
В общем, опять нет повода не выпить! Но! Я всех обманул - и не стал ))).

@темы: FreeBSD, Жизнь, Работа

10:23 

А в это время...

... без особого шума и пыли вышла FreeBSD 7_3. Читаю расширенные release notes и просто-таки душа радуется:
- Ну, изменения в ядре меня особо не колышат, хотя сетвой стек JAIL'ов... впрочем, за этим в 8-ку ). Пофисенный баг планировщика радует, но оно и так патчилось
- boot loader с поддержкой zfs - м-ммм... для меня не шибко актуально, но все равно - "спасибо" )
- из hw support'а заинтересовал только пофикшенный баг ipmi и то "теоретически"
- в network'е интересного чуть побольше - починили TCP segmentation offloading в fxp-драйвере, и! (Не успел пожаловаться, ага!) пофиксили багу с whatchdog timeout'ом для xl
- запузырили поддержку vlan в GENERIC-ядро, нарисовали rc-скрипты - давно пора, ага
- пофиксили охапку багов ata-драйвера
- изменили механизм балансировки gmirror'а (Будем почитать, да-ссс)
- всякая мелочь - utf-8 в man'ах, квалификаторы размера в fdisk'е (Алилуйя! Аллилуйя! Аллиллуйя!), прикрутили аутентификацию к fetch'у и прочее разное.
Ня! Буду обновляться )

@темы: FreeBSD, Работа

11:55 

Проникся чувством глубокого уважения...

... к предкам. Всего-то две шестидневных недели (Вторая с двенадцатичасовым рабочим днем) и меня почитай, хоронить можно - а они так (Оу, нет! Не "так", далеко не "так"!) всю жизнь работали! Спасибо соввласти за 5*8, в общем ).

Оффтоп: кто-нибудь знает рецепты салатов с морской капустой? Самой "душманской", консервированной? "Что-нибудь" я, конечно, и сам "насооружаю", не впервой, но...

@темы: Жизнь, Работа

11:36 

Шайтанама, аднако!

При помощи кувалды напильника и божьей какой-то матери прикручиваю к проксюку аутентификацию. Номинально - все великолепно, проксюк поддерживает pam, но делает он это м-ммм... в общем, круче "английских ученых"(ТМ) "голландских программистов"(ТМ) могут быть только программисты японские. Из четырех функциональных классов (auth, account, passwd, session) поддерживается только auth да и с тем происходит нечто странное:
Требуется осуществить аутентификацию доменных пользователей, и предоставить части из них доступ в сеть интернет. Ок. Ставим samba'у с поддержкой AD, конфигуряем (Workgroup, REALM, password server, idmap'ы), джойним (net ads join -U <> -S <>), проверяем - wbinfo -u. Работает. Правим nsswitch.conf, проверяем через id <имя> - тоже работает.
Пишем pam'овский файл в одну строчку - auth required pam_winbind.so. Настраиваем проксюк. Проверяем через браузер. Работает.
Добавляем проверку принадлежности к группе - auth required pam_group.so group=internet. Создаем группу, добавляем в нее доменного пользователя, проверяем через браузер - не работает. Хм. Странно. На всякий случай явно ставим winbind enum users/groups в smb.conf - проверяем через getent group. Работает. Браузер - нихтЪ.
"Для упрощения ситуации" - плюем на доменных пользователей. Закидываем локального user'а в группу internet, меняем pam_winbind.so на pam_unix.so, проверяем - упс!
Гхм. Копируем pam'овский файл, например, в su. Проверяем. Как ни странно, su с этими настройками пашет. Копируем обратно, докидываем к unix.so опцию debug. Запускаем, смотрим в debug.log - видим даже не фигу, а вообще черте-что и с боку бантик: pam_winbind.so у которого опции 'debug' нет и не было исправно в логах гадил (Скомпилен так, похоже) а pam_unix.so молчит как кошка об забор, что уж совсем ни в какие ворота.
Многа гуглю думаю.

@темы: Работа, FreeBSD

09:19 

"Многа думать"...

... над "шайтанамой" в очередной раз не пришлось. Отдохнул, подумал, открыл исходники, подумал, закрыл исходники, подумал еще чуть-чуть, подвесил на модуль аутентификации SUID, проверил - работает! Этой зар-разе и впрямь не хватало прав на чтение /etc/master.passwd - аутентификация на удаленных серверах проходила "на ура" а локальная - таки ой ).
С одной стороны - "самдурак", мог бы и пораньше допереть, с другой - в рассчете на таких вот дураков можно было и какую-нибудь отладку прикрутить... :shuffle:
UPD А pam_group таки не заработал. От слова "совсем". Выкрутился при помощи родного winbind'ового require_membership_of='SID' и доменных групп. Вот правда лочить пользователя при помощи net rap groupmember delete <группа> <пользователь> -U <администратор> как-то очень уж... /не может подобрать слово/, а если учесть, что пароль этим net'ям мне удалось передать только с помощью expect...
Думаю нехорошее.

@темы: FreeBSD, Работа

Танец-с-саблями на граблях

главная