• ↓
  • ↑
  • ⇑
 
Записи с темой: Работа (список заголовков)
19:13 

В, гм, процессе работы...

... обнаружил, что гм, рабочий процесс не идет по причине того, что написанный пяток назад перловый скрипт для аутентификации перестал, гм, работать.
Т.е. сам по себе он вполне функционирует - от root'а, а вот запускаться с установленным suid-битом отказывается по причине отсутствующего не то, что в системе - в пакетной базе дистрибутива perl-suid.
Оне, оказываются, то ли три, то ли четыре версии назад deprecated, а что использовать вместо - не понятно. Есть пара слов то ли про perlsec то ли про secperl, но по содержанию - сплошной какой-то неработающий секас.
Накостылял через sudo - "но осадок остался".

@темы: Опять сломали!!!, Работа

15:48 

Раскопал могутную...

... багу в связке ораклевого tcl и ca поднятом на openssl 1+, но она слишком могуча, чтобы привести её здесь )))

@темы: Работа

18:35 

Ну и заключительные требования...

... к системе подготовки документации в корп. среде:
3) Специфика крупной организации такова, что в ней обязательно будет текучка кадров. Причем - достаточно значительная. 15-20% среди сотрудников (Уточним, связанных с подготовкой-обработкой документов т.е. ИТР) не ужас-ужас, а "норма жизни". Не все они увольняются - кто-то идет по карьерной лестнице, кто-то движется "по горизонтали", кто-то меняет географическую привязку... Суть дела в том, что "закладываться" на минимальный уровень квалификации сотрудника при таком положении дел само по себе достаточно оптимистично, а требовать идеального совпадения "рабочих навыков" от сотрудников и вовсе безумие. Отсюда:
а) Система работы с документами должна быть ПРОСТОЙ. В идеале - еще-чуть-чуть-проще. Набор правил должен умещаться на одной странице 14м шрифтом - больше просто не запомнят. Если шаблон оформления записан на 12ти листах и описывает Все Возможные Варианты - прочитан он не будет.
б) В идеале система не должна каким-либо образом привязываться к одному конкретному инструменту - кто с чем умеет, тот с тем и работает. Ворд? Эксель? Прости оспыдя, блокнот? Total Commander? Не важно. Лишь бы результат соответствовал.

To be continued...

@темы: Работа

15:04 

Ааабажаю свою работу!

Планерка с тех. поддержкой перед отчетным совещанием по уровню сервиса:
- "Какие у вас проблемы с шаблонным решением?"
- "У нас - никаких."
- "А у пользователей?"
- "Отсутствие мозга и желания работать"
...
...
...
profit!
Занавес.

@темы: Работа

20:05 

Продолжаем делать выводы

2) Специфика крупных организаций такова, что многие документы делаются сии-ииильно больше, чем одним человеком. Собственно, ситуация, когда три отдела совместно рожают одну доку, распечатывают 150+ страниц, кладут их на стол Самого Большого Начальства и... показывают презенташку в PowerPoint'е не является чем-то исключительным. Отсюда вытекают следующие требования:
а) Система должна поддерживать ОДНОВРЕМЕННУЮ работу нескольких пользователей. Редактирование в стиле "каждый джамшутит свою копию документа, а потом самыйвиноватый, которому большевсехнужно верстает окончательную редакцию" - фтопку. Пробовали. При достаточно тесной интеграции частей - фигня получается. Вариант с блокировкой - тоже фтопку. Работает несколько лучше первого, но не сильно.
б) Система должна обеспечивать ЕДИНОЕ стилевое представление документа. Верстать "крайнюю версию" разнооформленной разлапистой доки с кучей таблиц-рисунков - ыыыыы!!! Моя убивать. И нет, верстка с помощью стилей в ворде нифига не помогает. В идеале - ВСЕ стили должны быть ГВОЗДЯМИ приколочены к шаблону документа. Так и никак иначе. НИКАКОЙ возможности выбора для пользователей. СОВСЕМ. Вы поняли? СО-ВСЕМ. Иначе... н-ннавыбирают. Заголовок - шрифт-размер-положение, список - маркер, положение. Одним единственным способом. И даже в этом случае какой-нибудь... компьютерно-грамотный соорудит "форматЫрование" из пробела, ентера нумера-и-скобочки, задаст шрифт-по-образцу и выделит КРАСНЕНЬКИМ - ну-чиста-чтоб-понятно-было. Все, все, ВСЕ эти возможности надо УБРАТЬ к чертям собачачьим, вдребезги-напополам, чтобы ни-случайно-ни-нарочно нельзя было учудить что-нибудь в этом духе.
в) Версионирование-и-неубиваемость документа. В любой момент должна быть возможность узнать, кто-и-что с ним сделал. Нет, не (с)только для "кар египетских" и раздачи пряников - откат определенного набора изменений штука вполне актуальная в процессе работы. И, опять же - встроенное в вордовский формат версионирование меня лично не устраивает - слишком оно неустойчиво. Первый же "согласившийся со всеми изменениями" нахрен сносит все версионирование.

@темы: Работа

19:13 

Некоторые промежуточные выводы...

... сделанные в процессе работы с документами в корпоративной среде:
1) Основное назначение ЛЮБОГО, повторяю - ЛЮБОГО документа - "быть прочитанным". Читают документы, гм, двумя способами:
а) Серьёзные люди и серьёзные вещи - ТОЛЬКО И ИСКЛЮЧИТЕЛЬНО - в бумаге. Т.е. требования к документу - "идентичный бумажному" формат (Что написал создатель, то и увидел читатель - никаких "шрифтов", "косяков верстки" etc формат не должен позволять _в принципе_), максимальная "дружественность" к печатающему устройству - читай pdf.
б) "Документы для ознакомления" с минимальным усилием должно прочитать максимальное количество человек. Требования к формату - никакой установки доп. софта туевой хучи версий, удобство публикации, возможность просмотра с любого чайника - т.е. html, выложенный где-нибудь на корп. портале.

Оба эти формата MS Word поддерживает просто отвратительно.

To be continued...

@темы: Работа

15:09 

Глупости псто

Употребил в разговоре с коллегами выражение "женщина моего возраста". !Внезапно - коллеги оказались женского полу и "близкого к моему"(ТМ) (В разные стороны ;)) возраста.
Было больно ;).

@темы: Жизнь, Работа

17:50 

Как отстрелить себе ногу...

... версия 100500 - на сий раз оказалось достаточно на задеплоенной системе с encrypt'нутом home (Весна, полнолуние - у безопасников обострение) включить ssh-аутентификацию по ключу, проверить, что все работает - и дождаться (не)планового ребута.
....
profit!!!

@темы: Работа

12:59 

Спустя два месяца...

... после начала промышленной эксплуатации системы Service Desk москвалики таки прислали согласованный классификатор заявок.
Конечно лучше позже, чем как обычно - но это у нас система эксплуатируется 2 месяца, а по холдингу она внедряется уже девять.
Ааатлична, чо.

@темы: Работа, Ынтырпрайз такой ынтырпрайз...

08:44 

Да он же упоротый!(Ц)

Я помнится, бубнтоидный ufw за "убунтоидность"(ТМ) ругал?
"Беру свои слова обратно!"(С) редхатоидныефедорастические потуги гораздо, ГОРАЗДО страшнее!
"Включение по умолчанию динамического межсетевого экрана firewalld. Firewalld запускается в виде фонового процесса, позволяющего динамически изменять правила пакетного фильтра через DBus, без необходимости перезагрузки правил пакетного фильтра и без разрыва установленных соединений. Для управления межсетевым экраном используется утилита firewall-cmd, которая значительно упрощает создание правил, отталкиваясь не от IP-адресов, сетевых интерфейсов и номеров портов, а от названий служб (например, для открытия доступа к SSH нужно выполнить "firewall-cmd --add --service=ssh", для закрытия SSH - "firewall-cmd --remove --service=ssh", для открытия доступа к сервису samba только на следующие 90 секунд - "firewall-cmd --enable --service=samba --timeout=90"). Ранее используемые сервисы iptables, iptables-ipv6 и ebtables по прежнему доступны для включения вместо firewalld;"(Ц) ФыЦы 18
Фуривал с d-bus'ом и xml-config'ом, не рассчитанным на ручное редактирование - use firewall-cmd, Luke! Гвоздями приколочено к NetworkManager'у и systemd, с традиционными интерфейсами традиционные же проблемы о чем сказано в оф. доке. "Support for conntrack" - в planned. Зато додумались стырить концепцию зон и заменили номера портов именами сервисов (Христа-ради, не спрашивайте, как добавить новый сервис - глаза вытекут!) - молодцы, чо. Работают, раз-ви-ва-ют-ся. Такими темпами, в следующем RHEL'е будет почти-полная реализация "Брандмауэра windows" из WinXP, дааа - заменим старое дерьмо новым, тех-но-ло-гич-ным!

@темы: Жизнь, Работа

14:37 

Моя непонимать...

... какого хрена надо приклачивать гвоздями update-ca-certificate к РАСШИРЕНИЮ файла *crt - ну вот нахрена, а? Отсоздателю что, команду file не отсыпали, систему *nix из окошка putty показали и про _нормальные_ способы определения типов ничего-ничего не сказали? Причем создается симлинк с разрешением вполне себе *.pem - так какого же мужского полового органа? Ах, да - особо доставляет тот факт, что в man'е об этом "маленьком незначительном требовании" ни слова ни указано - пришлось смотреть унутрь самого скрипта.
Не, бейте-меня-режьте, пилите пилой, но в общем-и-частном BSD-системы как-то человечней себя ведут.

@темы: Работа

13:59 

А плюну-ка я в...

... святое для каждого правоверного Линупсоида место - iptables. Вот не поверите, лет уже... ну, пять-то точно хочу, да все никак собраться не могу.
Вот ей-ктулху, треш-угар-и-содоминия, а не 'user-oriented-firewall'. Не, к netfilter'овской части (Той как раз что НЕ user-oriented) претензий нет - работает хорошо, быстро, настраивается под что угодно, но, оладушек - КАК?! На дворе, на минуточку, 2013 год, а ЭТО все еще выглядит как ядерный трындец эпохи начала 90х.
Начнем с того, что целых три уровня вложенности (Правило-цепочка-таблица) для абсолютного большинства применений как бы это сказать... перебор. Понятно, что ИНОГДА подобная гибкость что назвается "в кассу", но ёлки-зеленые-брызги-шампанского! Закону Парето уже хорошо так за 100 лет, а до некоторых все еще не дошло.
Опять же, в качестве критерия для группировки выбор сделан... своеобразный. Вот смотришь на packet-flow в большинстве сценариев и диву даешься:
mangle-prerouting
nat-prerouting
mangle-forward
filter-forward
mangle-postrouting
nat-postrouting
А вот если трафик у нас не транзитный, а, скажем, исходящий, то:
mangle-output
nat-output
filter-output
mangle-postrouting
nat-postrouting
А вот если трафик входящий... А вот если еще встроенные таблицы raw, rawpost и security упомянуть... В общем "Запомните это дети, патамучта понять эта нэвозможна!"(Ц)
Осталось добавить, что состав цепочек в таблицах - РАЗНЫЙ (Т.е. не все таблицы содержат все цепочки), цепочки с одинаковым именем находящиеся в разных таблицах - РАЗНЫЕ, разные таблицы обладают разными наборами допустимых действий для правил и картина трындеца становится еще более полной-и-гармоничной. 101 способ выстрелить себе в ногу, ага.
Впрочем, так просто себе в ногу не выстрелишь - сначала придется разобраться в нечеловекообразном ТУЕ утилиты iptables. В то время, как все прогрессивное человечество (А.К.А. цискари с БСД'шниками) додумались до идеи, что "набор правил firewall'а это такая _программа_ на специфическом языке программирования", линупсоиды все еще свято уверены, что firewall - это такая шайтан-машина с кучей рубильничков, циферблатов и переключателей. Однобуквенные case-sensitive switch'и немерянным числом в 21м веке, божечки-ж-вы мои!!!! Смесь параметров с синтаксисом вызова '--' и '-' в одной команде - от-вра-ти-тель-но. Ужасно. Ugly by design, в общем.
Обвязка у всего этого чюююда - соответствующая. Посмотрите на вывод iptables-save, например. Ну велосипедяйство же пионерское, гди-б-же! Вместо стандартного ini-файла в той или иной редакции (Да, если кто не - классические ini'шники вложенные секции поддерживают!) свое...образное нечто. * в начале это вот что? Сущность iptables? Так нет там такого. Ах, это мы селедку завернули имя таблицы решили так отделить? Ну-да, ну-да, свежо, по заграничному - ни у кого так нет. А вот что это у нас с ':' начинается? Ах, цепочка? А в квадратных скобках чего, ась? Ну ин-ту-и-тив-но же понятно, что число пакетов, да? Любому, блин, линупсоиду с дохренадцатилетним стажем, а остальным rtfm в гугль. Аффигеть как юзабильно, ага. Прям даже стесняюсь спросить, каким чудом они от того, чтобы комментарий # на что-нибудь... эдакое заменить удержались.

На этом фоне убунтуйский ufw очень даже приличным продуктом выглядит - с каиновой печатью убунтуйскости, правда. Написать нормальный tui-frontend к netfilter у г-д пупок не то, чтобы "развязался", а и "не завязался" еще, реализовать хоть сколько-нибудь функциональный high-level набор средств они все-еще "ниасилили" (Work-in-progress, ждите пока debian'овцы подключатся), а разбираться в автогенеренном треше... та идите вы... automake-файлы и прочие sendmail.cf править!!!
В общем, бейте меня, режьте, но пригодность iptables в их текущем виде к работе среднеподготовленного пользователя находится на уровне помянутого sendmail`а - Очень Опытный Администратор конечно сделает все что у годно и даже больше, а вот человек, который занимается настройкой "от случая-к-случаю", раз в полгода просто обречен наступать на грабли в мало-мальски нетривиальных случаях, ибо.

@темы: Работа

12:39 

Со второй попытки...

... обновили vcenter до 5.1. В процессе, как водится, перематерили предшественников - самоподписанный сертификат, выданный на localhost.localdomain этапять, ящетайу. Правильно кто-то сказал про наивную уверенность в том, что презерватив, лежащий в кармане - ЗАЩИЩАЕТ ))))
С опаской думаю, как будут материть нас.

@темы: Работа

13:29 

Overengenirig'а псто

Ubuntu'иский resolvconf, гвоздями приколоченный к ubuntu-minimal - злое зло. Убил бы, натурально.
Нет, у меня В ПРИНЦИПЕ не могут измениться адреса серверов имен без ручного вмешательства со стороны администратора. Да, меня это поведение устраивает. А вот старательные попытки получить ЛЕВЫЕ DNS-сервера с чужих ppp-концентраторов, левых dhcpd-серверов и пр - нет. КАТЕГОРИЧЕСКИ. Вариант с chattr i в общем-тааа, работает, но удачным мне "почему-то" не кажется - кривохак какой-то. Как и вся система. Но чоужтам, будем жить.

@темы: ubuntu, Работа

20:39 

Одна из...

... многочисленных вещей, раздражающих меня в ubuntu'е - стремление запустить свежеустановленную свистелку вотпрямщаз, в момент download'а, если не раньше.
Ребяяяааат! То, что я ставлю какую-нибудь z|3-proxy не означает, что она должна крутиться 24*7*365, и уж тем более не с вашими альтернативно-убунтуйскими дефолтами вида "висим на всех интерфейсах, работаем без пароля, не пишем логов". Любой, любой, ЛЮБОЙ сервис, торчащий во внешнюю сеть сначала ставится, потом - конфигурируется (Ручками, женщина нетяжелого поведения! Руч-ка-ми, а не через dpkg-reconfigure с полутора мантейнерскими опциями), и только потом - может быть! запускается. А может и не запускается - до момента возникновения потребности, ага. Нарушение данной последовательности - признак терминального поражения межушного ганглия значительной части *nix-тусовки, не иначе.

@темы: ubuntu, Работа

16:03 

Вот как бы так донести

до всех мантейнеров мысль, что линковать собираемый софт с субд ххх не есть гут. Или - набор пакетов на выбор, или интерактивный сайзинг, или дефолты, подразумевающие минимальные телодвижения по сопровождению, т.е. sqlite (Который не грех и в базовую систему втянуть) in our days. Mysql, столь любимый быдломантейнерами - фтопку.

@темы: Работа

19:10 

Пырюсь в ubuntu server 12.04 LTS.

Чувствую себя совершеннейшим дауном. И ЭТИМ кто-то где-то пользуется? O'rly?!!!!
Официальная дока - бубунту сервер гайд. Мурзилка-мурзилкой. Ну-то есть совсем. На всю пдфэку ни одного упоминания про управления сервисами. "Не нужно!"(ТМ), видимо. Самостоятельно я это немыслимо сложное дело видимо ниасилю.
Ну, в общем, главное-то ясно - sysinit не стильно-модно-молодежно, надо менять. Для этого мы этот sysvinit оставим в первозданном виде, а рядышком водрузим костыль, который этот самый sys... тягать будет. Упростили, да. Не-мыс-ли-мо. Спасибо, братцы, джва года ждал!
А, кстати - как посмотреть что у нас там сейчас запущено, и что будет запущено при ребуте?
initctl list? А чой-та он у вас не все показывает? Ну, вот - postfix'а нету, а он того-этого есть, и даже запущен - и в rc.?d имеется. Ах, за два года для него job подлые debian'овцы так и не написали? Ах, через sysinit стартует? Ну, смотрим service --status-all, и? Не, ну postfix, положим, появился. Плюсик рядом с ним, вестимо "запущен", ознаечает. Минусик - не запущен. А знак вопроса? То ли баба, то ли дед, то ли будет, то ли нет? Что man на эту тему говорит? Ни-че-го? Удивиииительно! Смотрим в сам скрипт видим упоминание - /etc/default/postfix. Для интересу смотрим туды - а нету! /etc/init/* - конфиги job'ов upstart'а. Понятно. /etc/init.d/* - скрипты для sysinit - тоже логично. А в /etc/default/* что лежит и на кой хрен оно туда положено? Система хранит гордое молчание.
Какой-там у нас runlevel? /etc/inittab того-этого, отсутствует. /etc/init/rc.чего-то-там говорит, что второй. Для пущей совместимости и упрощения, ага. У всех безгуевый - третий, а тут - второй. Ну чтоб считать проще было.
Афффигеть. Не, понятно, что работать оно будет. Как-то. Наверно. Но так, как нужно _мне_ - сильно не уверен.

@темы: Работа, Ниасилятор!, Жизнь

15:30 

Продолжение банкета

Вчера вечером после обвала звоним в мск цискарям: Миша, вы там ничего не? У вас там все в?
Да-да, ничего-все. Ок. Хорошему человеку Мише мы верим.
Сегодня все еще ничего не. Начинаем эскалацию - я начальнику, он начальнику местного аутсорса, тот своему в мск, те в группу поддержки оракла дальше горизонтальные эскалации - на сетевиков - и вконеце цепочки кто? Правильно, добрый человек Миша! У нас ничего-все, проблемы на вашей стороне.
Бабка за репку, ре... в смысле мы начальнику, тот в обход аутсорса БИМ'у дальше не ясно, но приходит ответ от саппорта - мол, пришлите трассировку. Через сутки после, ага. Запасся поп-корном и жду, когда заявка опять доползет до Миши.
А, да - ситуацию мы, пардон зп мой французский, кривохаком заворкароундили.

@темы: Работа

19:15 

Родил семь страниц...

... стратегии развития сервисной архитектуры предприятия draft 0.1. В процессе забыл ажно два своих пароля, и если webex'а user'овского не жалко (Сменить две минуты), то pin-кода от кредитки... колхозбанковской... перед новым годом... ну-вы-понимаете, да? Как в голливудском фильме - набрал с закрытыми глазами и с третьей попытки. В процессе вспомнил пин-код от двух симок и двух старых кредиток - profit!

С утра лег Oracle, поддерживаемый корпоративным центром. Ну, как лег? Портал жив, сервера живы, на пинги отвечают, а вот соответствующие порты - закрыты. С той или другой стороны. Два тикета в саппорте заигнорили, вечерком позвонил уже не в телефон, а в ухо. Эти ... дятлы не смотря на присланный лог трассировки, пинги и таблицу маршрутов что-то там у себя на сетевом уровне конфигурнули, завалив при этом не только свою сеть или там корпоративный канал, но и, блин!!! нашу! Такое ощущение, что нам отгрузили (Я ведь уже говорил о вреде "излишней автоматизации"?) пачку на всю бОшку левых маршрутов - впрочем, детально разбираться будут цискари завтра. Особый цимес процессу придал тот факт, что пришелся он в аккурат на время ВКС'ки одних москваликов с другими (Не могли у себя набазариться - нет, приехали на площадку и уже оттуда...) - завтра будем по всем правилам оформлять ин-ци-дент! А, да - оракакел так и не взлетел.

Крайний срок согласования аутсорсерских договоров - 19 декабря. Крайний срок предоставления согласованного нашей стороной варианта - 14е. Бюджет согласован 5го (На 10 дней позже плана - но об этом тссс!). 13го приходит провокационное предложение "пролонгировать договор". Нет, вы не поняли - СВЕРХУ приходит. Дефлятор? Расширение каталога услуг? Согласованная на всех уровнях (По штатное расписание с должностными включительно) передача security-critical функций обратно в веденье службы заказчика? Не, не слышал!
Если предложение пройдет - практически полгода моей работы коту под хвост. Абыдна, вэй.

В общем, жить еще можно, но работать уже не хочется )))

@темы: Жизнь, Здравствуй ... новый год!, Работа

22:08 

Возвращаясь к напечатанному:

Такое ощущение, что ынтырпрайз (Причем далеко не только наш типа-ынтырпрайз, увы) принципиально разучился понимать, что помимо их супер свистоперделки у заказчика может быть какая-то там ин-фра-струк-ту-ра, под которую нехудо бы подстроиться.
Инфраструктура? О чем вы? Вот вам наш ... он сделает хорошо! Ах, кроме свиста еще и работать надо? Нуу... не наши проблемы.

Возьмем cisco webex - платишь какие-то 2,5 мульта в рублях, берешь шесть, что ли dvd'шек, импортируешь в vmware vsphere подготовленный appliance... и все совершенно автоматически... упс! Окружение создано в 5ой версии, а у нас 4я. Ок. Берем, растариваем ovf'ку, правим xml'ку, пересчитываем контрольные суммы, пытаемся импортировать... ога, ога. API не те, разворачивается с глюками.
А возможности развернуть машинки вручную как-то... не представлены. Нет, ну чего же проще? Взять и ручками поднять их по очереди! На это мы, блин, пойтить не могем, ведь "совершенно автоматически" гораздо удобней!!! А то, чтобы это "аптоматически" сработало вам надо переколбасить уже работающий HA-cluster, заплатив при этом еще одну охапку денег уже vmware - сиськонавтов не колышет.
Ок. Берем, освобождаем лезвие, ставим туда двухмесячный триал 5-ки, и вуаля! Почти-совсем-автоматически... даже сетка поднимается, маршруты прописываются - ля-по-та. А вот что делать счастливым обладателям инфраструктуры не-cisco я лично не знаю. "Проблемы индейцев шерифа не волнуют", "У нас все работает совершенно автоматически". Что делать, когда оно !вдруг перестает работать - полный хрензнает. Деньги лопатой в суппорт грести, не иначе.
И оно все, все, ВСЕ, блин, такое! Куда пальцем ни ткни - "Ваааау! У нас все супер-пупер-автоматически! Поставьте гипер-мега..." - ребят, а может я ручками, и гипер-мега ставить не буду? Нет, они говорят - никак, нет, они говорят никак-никак...(Ц) До чего надоело, господи боже мой, не поверишь, боже, до чего надоело...

Ну и специалистов подобный подход порождает... соответствующих. Умеем настраивать, АБСОЛЮТНО не понимая смысл собственных действий. Проверка ike/nat-t telnet'ом, ага. "А ничего, что оно через UDP работает?" "Даааааа7!!!!" И ведь ничего так настраивали... пока оно ап-то-ма-ти-чес-ки чего-то там рожало. Две недели секаса с редистрибьюцией маршрутов между eigrp с одной стороны и ospf с другой - вместо того, чтобы прописать статикой три (3!!!) маршрута до той стороны и разрулить приходящее на месте. "Оно же должно ав-то-ма-ти-чес-ки! Нам нужно ти-по-во-е решение!"(Ц) Священный трепет перед iptables, который !внезапно можно настроить без всякого cisco-like костыля - "нет, ну так же нельзя, оно должно ав-то-ма-ти-чес-ки, а то какбычегоневышло"... Бррр.

@темы: Работа, Корпоратив-такой-корпоратив!

Танец-с-саблями на граблях

главная