Доброго всем дня, коллеги.
Столкнулся небольшой проблемкой.
Дано: Веб сайт на домене 2го уровня domain.ru и куча разных доменов 3 уровня lala.domain.ru. Все расположены на разных хостингах.
Задача: перенести сайт domain.ru в локальную сеть, чтобы из локалки он отзывался по внутреннему адресу 172.16.20.20

Добавил в днс на windows server зону domain.ru сделал в ней A запись с адресом 172.16.20.20, в результате сайт работает а домены 3го уровня из локальной сети перестали отзываться на днс.
Может кто-нибудь подсказать если кто-то сталкивался с подобной задачей как вы поступили или хотя-бы куда копать?

Добрый день!
Нужен совет по выбору решения для балансировки HTTP трафика. Но нужна не просто балансировка, а что бы при превышении лимита подключений к определённому URL клиенты блокировались на определённоё время. Рассматривал вариант с HAProxy, но не нашёл как сделать ограничение соединений за период времени. В идеале после превышения количества подключений перенаправлять клиентов на статическую страницу, а не просто дропать.

Добрый день!

Когда пытаюсь зайти из под Windows (Windows 7) на Ubuntu (Ubuntu 20.04) по rdp, то выдаётся такая ошибка:

Произошла ошибка проверки подлинности. Указанная функция не поддерживается Удаленный компьютер: 192.168.0.105

Выполнил команды по рекомендации:

REG ADD HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters /v AllowEncryptionOracle /t REG_DWORD /d 2

REG ADD "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp" /v SecurityLayer /t REG_DWORD /d 0

И всё равно ошибка осталась. Может для Ubuntu это не подходит?

Это лог на Ubuntu /var/log/xrdp.log

[20210410-09:05:16] [INFO ] address [192.168.0.105] port [3389] mode 4
[20210410-09:05:16] [INFO ] listening to port 3389 on 192.168.0.105
[20210410-09:05:16] [INFO ] xrdp_listen_pp done
[20210410-09:05:16] [DEBUG] Closed socket 7 (AF_INET 192.168.0.105:3389)
[20210410-09:05:18] [INFO ] starting xrdp with pid 2120
[20210410-09:05:18] [INFO ] address [192.168.0.105] port [3389] mode 4
[20210410-09:05:18] [INFO ] listening to port 3389 on 192.168.0.105
[20210410-09:05:18] [INFO ] xrdp_listen_pp done
[20210410-09:06:29] [INFO ] Socket 12: AF_INET connection received from 192.168.0.101 port 1549
[20210410-09:06:29] [DEBUG] Closed socket 12 (AF_INET 192.168.0.105:3389)
[20210410-09:06:29] [DEBUG] Closed socket 11 (AF_INET 192.168.0.105:3389)
[20210410-09:06:29] [INFO ] Using default X.509 certificate: /etc/xrdp/cert.pem
[20210410-09:06:29] [INFO ] Using default X.509 key file: /etc/xrdp/key.pem
[20210410-09:06:29] [DEBUG] TLSv1.3 enabled
[20210410-09:06:30] [DEBUG] TLSv1.2 enabled
[20210410-09:06:30] [DEBUG] Security layer: requested 3, selected 1
[20210410-09:06:30] [DEBUG] Closed socket 12 (AF_INET 192.168.0.105:3389)

Где настраивать нужно на Windows или в ubuntu?

Заранее  благодарен. Борис.

Добрый день!

Может кто поможет побороть или направить в нужное направление.
Имеем сеть с авторизацией по option82(vlan+port):
- option82
- option82+mac
сейчас пытаюсь внедрить ipv6, потому добавляем авторизацию по:
- option37

Freeradius mysql + files, так как username в mysql уникальное значение, а за портом может быть больше одго dhcp-client их пишем в файлы с дополнительным параметром calling-station-id(то есть МАС-адрес). На данный момент, без option37 все работает, в радиус подменяем username на DHCP-RelayCircuitId. И можно было бы закрыть глаза на небольшие костыли в виде mysql + files, но так как хочеться еще внедрить ipv6, надо иметь username = DHCPv6-RelayCircuitId.

Вот собственно и вопрос, как сделать подмену username на нужный параметр в запросе? Если есть option82 то (username=dhcp-relaycircuitid), если есть option37 то (username=dhcpv6-relaycircuitid), если нет ничего то (username).

Спасибо!

Добрый день!
Есть машина с FreeBSD 12 и одним жестким диском (/dev/ada0), в которую необходимо добавить второй жесткий диск.
Взял новый диск и подключил его по sata. Он будет как /dev/ada1.
Далее сделал так:

# sysctl kern.geom.debugflags=16
kern.geom.debugflags: 0 -> 16

# gpart create -s GPT ada1
ada1 created

# gpart add -t freebsd-ufs -a 1M ada1
ada1p1 added

# newfs -U /dev/ada1p1
/dev/ada1p1: 476939.0MB (976771072 sectors) block size 32768, fragment size 4096
        using 762 cylinder groups of 626.09MB, 20035 blks, 80256 inodes.
        with soft updates
super-block backups (for fsck_ffs -b #) at:
192, 1282432, 2564672, 3846912, 5129152....

# gpart show ada1
=>       40  976773088  ada1  GPT  (466G)
         40       2008        - free -  (1.0M)
       2048  976771072     1  freebsd-ufs  (466G)
  976773120          8        - free -  (4.0K)

# reboot
...
# gpart show ada1
gpart: No such geom: ada1.

Почему?

Здраствуйте. Помогите пожалуйста неопытному пользователю понять тонкости роботы умных железяк )
Ни где не могу найти ответ на такой вопрос как код из программы превращаеться в електрические сигналы на компе, интересуют все етапы етого процеса и еще как узнать на какой клавиши клавиатуры какй код.
Может кто знает книги где ето все более детально описано. Заранее спасибо

Добрый вечер.
Проблема с установкой CentOS 8.x на кластер Hyper-v:
- во втором поколении - чёрный экран с немигающим курсором
- в первом поколении - сразу же Kernel Panic
Troubleshooting ничего не даёт: при попытке теста iso-шника или запуска rescue, тоже kernel panic.
С CentOS <8 таких проблем не было, вставали влёт.
Заранее благодарен за любую помощь.

Добрый день!

Есть сервер с AVAGO MegaRAID SAS 9361-8i и восемью корзинами.
В корзине 7 и 8 были диски по 500ГБ и из них был собран RAID1
Корзины 5 и 6 были пустые.
Было необходимо увеличить массив, заменив диски на более ёмкие.
Я вставил новые диски в корзины 5 и 6, после чего пометил по очереди диски из корзин 7 и 8 как PDOffline, PDMarkMissing, затем PDPrpRmv, извлёк старые диски.
Новые диски автоматом подхватились и стали частью RAID1, после чего с помощью storcli объём логического раздела был расширен.
Всё вроде хорошо, но вынув старые диски из корзин я получаю постоянно горящие красным индикаторы на корзинах 7 и 8.

Новые диски имеют статус emergency spare судя по логам:

Code: 0x00000196
Class: 1
Locale: 0x02
Event Description: Reminder: Potential non-optimal configuration due to drive PD 10(e0xfc/s1) commissioned as emergency spare
Event Data:
===========
Device ID: 16
Enclosure Index: 252
Slot Number: 1

Подскажите, как перевести их из режима "Emergency Spare" и сделать их полноценной частью RAID массива ?

Спасибо!

добрый день.

поднимаю сабж.
сам по себе ipsec - работает  (у меня он полиси-бейсед). Linux <-> linux, linux <-> android, linux <-> ios, все без проблем соединяется и работает. проблема в винде. точнее в ее неповторимой манере делать dhcp-запрос в тунель для получения маршрутов.

для этого я тестовых целях поднимаю dnsmasq.  

https://wiki.strongswan.org/projects/strongswan/wiki/Windows...

config setup
   charondebug="dmn 1, mgr 1, ike 2, chd 1, job 1, cfg 1, knl 1, net 1, asn 1, enc 1, lib 1, esp 1, tls 1, tnc 1, imc 1, imv 1, pts 1"
   uniqueids=never

conn vpn-default
    auto=add
    compress=no
    type=tunnel
    keyexchange=ikev2
    ike=aes256-sha1-modp1024
    esp=aes256-sha1
    fragmentation=yes
    forceencaps=yes
    dpdaction=clear
    dpddelay=300s
    rekey=no
    left=%any
    leftid=@vpntest.<censored>.org
    leftauth=pubkey
    leftcert=certificate.pem
    leftsendcert=always
    leftsubnet=192.168.0.0/22,192.168.12.0/22,88.150.215.38/32
    leftfirewall=yes
    right=%any
    rightid=%any
    rightauth=eap-radius
    rightsourceip=10.10.0.2/22
    rightdns=192.168.0.2,192.168.12.2,192.168.21.2
    rightsendcert=never
    eap_identity=%identity

dnsmasq.conf:
log-queries
dhcp-vendorclass=set:msipsec,MSFT 5.0
dhcp-range=10.10.0.10,10.10.3.254
dhcp-option=6
dhcp-option=249,192.168.12.0/255.255.252.0,192.168.0.0/255.255.252.0

по tcpdump вижу, что винда шлет dhcp запросы, но до dnsmasq они не доходят и естественно, на них никто не отвечает.

собственно вопрос в том, как это правильно поднять.

я пробовал сделать бридж без мемберов, с ip 10.10.0.1, и вешать dnsmasq на него, но все равно
не срабатывает.  
было бы совсем хорошо, если бы существовал какой-то финт, заставляющий винду работать с ipsec также, как с ним работают все  остальные системы.

спасибо.

Обнаружил следующее неприятное поведение у IM:

у jpeg, при конвертации из неидеального исходника (низкого качества сканы из интернета и прочее), очень сильно лезут артефакты (а этот кодек даёт результат наиболее близкий к идеалу, если только не лезут артефакты), файл получается излишне большим и значительная часть битрейта уходит именно на точную передачу артефактов.

при этом, webp выдаёт файл в 2 раза меньше при очень сопоставимом качестве (конечно лезет тот же шум, поменьше, за исключением градиентов -- они отвратны, от битрейта не зависит) и сильного искажения цвета (что исправляется -define webp:use-sharp-yuv=1)

avif(aom) - вымарывает детали даже на высоком битрейте где webp вполне справляется и так (артефактов тоже меньше, градиенты в целом чаще удобоваримые), но это вполне терпимо (на q90 и выше). однако, границы объектов почему-то оказываются ощутимо за пределами их контура, что уже видно и не так хорошо (терпимо), а главное, этот кодек вымарывает цвета, совсем как webp без use-sharp-yuv, и такой опции у этого кодера просто нет! как бы сохранить цвета?

heic(x265) - даёт стабильно наилучший результат, но вот только "границы объектов почему-то оказываются ощутимо за пределами их контура" и они в этом случае совсем уж страшные и корявые, а многие края превращаются в радужные артефакты, что совсем уже ни в какие ворота, и есть ровно то же самое вымарывание цветов.

Что это, баги в IM? Почему их не исправляют уже лет 5, они же очевидные? Как бы мне сохранить оттенки без искажения на avif, ведь кому нужны файлы с убитыми цветами?

издали наблюдая за уязвимостями, вижу, что в убунту периодически находят проблемы в безопасности, которым не подвержен rhel (например https://www.opennet.dev/opennews/art.shtml?num=54616)
гугление говорит, что например FORTIFY_SOURCE применяется в дебиане, а про убубнту найти эту информацию нереально.
с другой стороны есть FIPS совместимая убунта (https://ubuntu.com/security/certifications) и никто не говорит, чем она отличается от обычной, кроме сертификации.
понятно, что выбор ос не единственный способ обеспечения безопасности, но все же, хочется понимать в чем разница и есть ли смысл использовать RHEL (OL) вместо убунты.
OL вроде как пересборка, очень удобен их новый кернел, + они клянутся что оно еще более hardened.
задачи, для которых используется сервер: kvm, докер, машинное обучение базы данных. серверов (физических) сейчас 5.

Добрый день!

Периодически теряется соединение при получении почты от облака alibaba с такой ошибкой: SMTP connection lost after final dot

Писем приходит от них много, но некоторые с этой ошибкой не доходят, и не пересылаются в последствии. В логах вот такая картина:

2020-12-08 18:58:43 1kmYbt-0007MA-6e Accepted with  spam score. Founded in white_addreses file.  Letter from host out29-49.mail.aliyun.com [115.124.29.49] (nina@trans-hope.com ==> @)
2020-12-08 18:58:43 1kmYbt-0007MA-6e SMTPNOTQUIT: connection-lost Letter from host out29-49.mail.aliyun.com [115.124.29.49] (nina@trans-hope.com ==> @)
2020-12-08 18:58:43 1kmYbt-0007MA-6e SMTP connection lost after final dot H=out29-49.mail.aliyun.com [115.124.29.49] I=[192.168.111.230]:25 P=esmtps

На данный момент используется пакет 4.92-8+deb10u4+openssl1
Ранее была использован штатный пакет от debian10 с GNUTLS, так же был испробован 4.94 с GNUTLS
Ошибка возникала во всех вариантах. Узнать у китайцев причину, по которой они не получив подтверждения о приёме письма считают его доставленным и не производят попыток направить его ещё раз, на данный момент времени так и не вышло.

Сегодня пришла мысль, что на момент отправки финальной точки (final dot), согласно правилам проведения smtp сессии, уже должен быть известен получатель, а он неизвестен. Как такое может быть? Если неизвестен получатель, то как могла быть отправлена финальная точка, которая идёт вслед за командой DATA, которой предшествует RCPT TO? Или я неправильно понимаю природу данного явления?

Явление не очень частое, но есть риск не получить важное письмо, что обернётся огромной проблемой.

Спасибо за внимание!

Уважаемые Гуру подскажите как запустить sendmail в качестве внешнего smtp. Не могу осилить.
Поставил из коропки (Debian 10). Создал юзера info c групой mail. C локального хоста MSG улетают нормально, проблем нет.

senmail.mc

FEATURE(`no_default_msa')dnl
dnl DAEMON_OPTIONS(`Family=inet6, Name=MTA-v6, Port=smtp, Addr=::1')dnl
DAEMON_OPTIONS(`Family=inet,  Name=MTA-v4, Port=smtp, Addr=0.0.0.0')dnl
dnl DAEMON_OPTIONS(`Family=inet6, Name=MSP-v6, Port=submission, M=Ea, Addr=::1')dnl
DAEMON_OPTIONS(`Family=inet,  Name=MSP-v4, Port=submission, M=Ea, Addr=0.0.0.0')dnl

dnl #
dnl # Be somewhat anal in what we allow
define(`confPRIVACY_FLAGS',dnl
`needmailhelo,needexpnhelo,needvrfyhelo,restrictqrun,restrictexpand,nobodyreturn,authwarnings')dnl
dnl #
dnl # Define connection throttling and window length
define(`confCONNECTION_RATE_THROTTLE', `15')dnl
define(`confCONNECTION_RATE_WINDOW_SIZE',`10m')dnl
dnl #
dnl # Features
dnl #
dnl # use /etc/mail/local-host-names
FEATURE(`use_cw_file')dnl
dnl #
dnl # The access db is the basis for most of sendmail's checking
FEATURE(`access_db', , `skip')dnl
dnl #
dnl # The greet_pause feature stops some automail bots - but check the
dnl # provided access db for details on excluding localhosts...
FEATURE(`greet_pause', `1000')dnl 1 seconds
dnl #
dnl # Delay_checks allows sender<->recipient checking
FEATURE(`delay_checks', `friend', `n')dnl
dnl #
dnl # If we get too many bad recipients, slow things down...
define(`confBAD_RCPT_THROTTLE',`3')dnl
dnl #
dnl # Stop connections that overflow our concurrent and time connection rates
FEATURE(`conncontrol', `nodelay', `terminate')dnl
FEATURE(`ratecontrol', `nodelay', `terminate')dnl
dnl #
dnl # If you're on a dialup link, you should enable this - so sendmail
dnl # will not bring up the link (it will queue mail for later)
dnl define(`confCON_EXPENSIVE',`True')dnl
dnl #
dnl # Dialup/LAN connection overrides
dnl #
include(`/etc/mail/m4/dialup.m4')dnl
include(`/etc/mail/m4/provider.m4')dnl
dnl #
dnl # Default Mailer setup
MAILER_DEFINITIONS
MAILER(`local')dnl
MAILER(`smtp')dnl

--------------------
lsof -inP

sendmail- 26821     root    4u  IPv4 21300391      0t0  TCP *:25 (LISTEN)
sendmail- 26821     root    5u  IPv4 21300392      0t0  TCP *:587 (LISTEN)

C микротика пытаюсь отправить msg. в ответ
Error sending e-mail <TEST>: AUTH method not supported

на стороне хоста
domain.zx [XXX.XX.XX.XX] did not issue MAIL/EXPN/VRFY/ETRN during connection to MTA-v4

Помогите плз

добрый день.
есть mariadb
mysql -V
mysql  Ver 15.1 Distrib 5.5.68-MariaDB, for Linux (x86_64) using readline 5.1

создал бд
MariaDB [none]> create database testdb;

создал пользователя
MariaDB [none]> create user testuser identified by 'testpass';

дал пользователю права на бд
MariaDB [none]> grant all privileges on testdb.* to testuser;
MariaDB [none]> flush privileges;

возможно ли сделать так, чтобы пользователь при вводе
mysql -u testuser -p подключался только к "своей" базе?
в какую сторону копать?

Я решил заменить компьютер, выполняющий роль интернет-шлюза в домашней сети. На новый компьютер поставил систему MX Linux 19.3 (дистрибутив на основе Debian 10). В компьютере имеются две сетевые карты:

# ifconfig
eth0: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1500
        inet 192.168.0.250  netmask 255.255.255.0  broadcast 192.168.0.255
        inet6 fe80::2284:e52d:880a:904d  prefixlen 64  scopeid 0x20<link>
        ether 18:c0:4d:08:eb:53  txqueuelen 1000  (Ethernet)
        RX packets 33707  bytes 2767464 (2.6 MiB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 1262  bytes 183678 (179.3 KiB)
        TX errors 13  dropped 0 overruns 0  carrier 0  collisions 0

eth1: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1500
        inet 192.168.1.2  netmask 255.255.255.0  broadcast 192.168.1.255
        inet6 fe80::fe76:af03:3d68:6a3f  prefixlen 64  scopeid 0x20<link>
        ether 50:3e:aa:10:b6:a3  txqueuelen 1000  (Ethernet)
        RX packets 58631  bytes 70399675 (67.1 MiB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 61103  bytes 4418094 (4.2 MiB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

lo: flags=73<UP,LOOPBACK,RUNNING>  mtu 65536
        inet 127.0.0.1  netmask 255.0.0.0
...
...
...

eth0 смотрит в локальную сеть, а eth1 -- в интернет через гейтвей 192.168.1.254:

# netstat -nr
Kernel IP routing table
Destination     Gateway         Genmask         Flags   MSS Window  irtt Iface
0.0.0.0         192.168.1.254   0.0.0.0         UG        0 0          0 eth1
192.168.0.0     0.0.0.0         255.255.255.0   U         0 0          0 eth0
192.168.1.0     0.0.0.0         255.255.255.0   U         0 0          0 eth1
192.168.3.0     0.0.0.0         255.255.255.0   U         0 0          0 eth0

Я отредактировал файл  /etc/sysctl.conf таким образом:

net.ipv4.ip_forward=1

и проверил, что это работает:

# cat /proc/sys/net/ipv4/ip_forward
1

Когда я пингую с компьютера 192.168.0.79, подключенного к eth0 адреса 192.168.0.250 (eth0) и 192.168.1.2 (eth1), все нормально, я получаю отклик. Но при попытке пинговать адрес 192.168.1.254, к которому подключена eth1, я получаю: "Destination Host Unreachable"
Файерволл полностью открыт:

# iptables -L
Chain INPUT (policy ACCEPT)
target     prot opt source               destination        

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination        

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination        

Что можно сделать, чтобы форвардинг заработал?

Всем доброго времени суток.

Имеется рэлей sendmail на внешнем хосте. С него локально можно слать служебные сообщения. Хотел его использовать в качестве SMTP для отправки служебных сообщений с микротиков. Но вот не задача, что-то проблемы с отправкой. Решил прикрутить TLS сертификаты, может в этом проблема. Но вот столкнулся как правильно сгенерить само подписанный сертификат. Куча манов и всюду по разному. Помогите с этим как правильно сделать.

Доброго времени суток, aLL.

Сервер HP DL380 Gen10 (dual Xeon Silver 4110 2.10GHz, 128Gb RAM, FC-карта QLogic SN110Q 16Gb) на debian 9.8 (4.9.0-8-amd64)в роли сервера БД (percona server-5.6.43-84.3).
Mysql data монтируется по FC с HPE MSA-2050 (raid 10 14 SAS HDD 900Gb 15K, одна дисковая группа, один пул, one раздел размером 2.5 Tb ext4) на скорости 16Gbps. Без muptipath, один линк.
Происходит следующее: замер Sysbench'ем скорости random read/write показывает значения в 10/8 M/s, что ... ну совсем не айс. соответственно и I/O мускула на таком же уровне.
Но если делать тест последовательного чтения/записи, то скорость вырастает до 800/600 M/s. Такие же показатели, если "тестить" с помощью dd, при копировании данных и вообще - при любых последовательных операциях чтения-записи

Перебрал различные доступные опции в HPE MSA - бестолку

SAN volume смонтирован вот так: /dev/sde1 on /mysql-data type ext4 (rw,noatime,stripe=256,data=ordered)

Тест случайного чтения:

sysbench --test=fileio --file-total-size=150G prepare
sysbench --test=fileio --file-total-size=150G --file-test-mode=rndrd --max-time=100 --max-requests=0 run

Результат:
===
Running the test with following options:
Number of threads: 1
Initializing random number generator from current time

Extra file open flags: (none)
128 files, 1.1719GiB each
150GiB total file size
Block size 16KiB
Number of IO requests: 0
Read/Write ratio for combined random IO test: 1.50
Periodic FSYNC enabled, calling fsync() each 100 requests.
Calling fsync() at the end of test, Enabled.
Using synchronous I/O mode
Doing random read test
Initializing worker threads...

Threads started!

File operations:
    reads/s:                      561.86
    writes/s:                     0.00
    fsyncs/s:                     0.00

Throughput:
    read, MiB/s:                  8.78
    written, MiB/s:               0.00

General statistics:
    total time:                          100.0053s
    total number of events:              56191

Latency (ms):
         min:                                    0.01
         avg:                                    1.78
         max:                                  111.23
         95th percentile:                       11.65
         sum:                                99924.80

Threads fairness:
    events (avg/stddev):           56191.0000/0.00
    execution time (avg/stddev):   99.9248/0.00
===

Тест последовательного чтения:
startng with `sysbench --test=fileio --file-total-size=150G --file-test-mode=seqrd --max-time=100 --max-requests=0 run` result is:

Результат:
===
Running the test with following options:
Number of threads: 1
Initializing random number generator from current time

Extra file open flags: (none)
128 files, 1.1719GiB each
150GiB total file size
Block size 16KiB
Periodic FSYNC enabled, calling fsync() each 100 requests.
Calling fsync() at the end of test, Enabled.
Using synchronous I/O mode
Doing sequential read test
Initializing worker threads...

Threads started!

File operations:
    reads/s:                      31642.04
    writes/s:                     0.00
    fsyncs/s:                     0.00

Throughput:
    read, MiB/s:                  494.41
    written, MiB/s:               0.00

General statistics:
    total time:                          100.0008s
    total number of events:              3164351

Latency (ms):
         min:                                    0.00
         avg:                                    0.03
         max:                                   32.77
         95th percentile:                        0.06
         sum:                                98523.42

Threads fairness:
    events (avg/stddev):           3164351.0000/0.00
    execution time (avg/stddev):   98.5234/0.00
===

Подобные значения при рандомной и последовательной записи

Что не так?

Доброго времени суток!

Столкнулся с проблемой, на примонтированной шаре остаются файлы вроде:
.nfs000000000000472100000001
и их не получается никак удалить:

# rm -f .nfs000000000000472100000001
rm: cannot remove '.nfs000000000000472100000001': Device or resource busy
# lsof .nfs000000000000472100000001
# fuser .nfs000000000000472100000001

lsof и fuser ничего не показывают, помогает только ребут хоста. Зараннее благодарен за любые ответы.
OS: Centos-8 nfs-utils-2.3.3-31.el8.x86_64

есть поднятый туннель между подсетью 192.168.250.0/24 и 192.168.2.0/24. В целом туннель работает данные между маршрутизатором в сети 192.168.250.0/24 и хостами в 192.168.2.0/24 - бегают. а вот к хостам в сети 192.168.250.0/24 из 192.168.2.0/24 - не достучаться.

Сеть 192.168.2.0/24 - спрятана за NSX Edge
Сеть 192.168.250.0/24 - поднят Libreswan на сервер в локалке и этот сервер находится за NAT.

Сервер:
$ lsb_release -a
No LSB modules are available.
Distributor ID:    Ubuntu
Description:    Ubuntu 18.04.5 LTS
Release:    18.04
Codename:    bionic

$ ifconfig
ens160: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1500
        inet 192.168.250.2  netmask 255.255.255.0  broadcast 192.168.250.255
        inet6 fe80::250:56ff:fea1:997d  prefixlen 64  scopeid 0x20<link>
        ether 00:50:56:a1:99:7d  txqueuelen 1000  (Ethernet)
        RX packets 68679538  bytes 18707430743 (18.7 GB)
        RX errors 0  dropped 8  overruns 0  frame 0
        TX packets 50187520  bytes 5291809224 (5.2 GB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

lo: flags=73<UP,LOOPBACK,RUNNING>  mtu 65536
        inet 127.0.0.1  netmask 255.0.0.0
        inet6 ::1  prefixlen 128  scopeid 0x10<host>
        loop  txqueuelen 1000  (Local Loopback)
        RX packets 23503072  bytes 1881838589 (1.8 GB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 23503072  bytes 1881838589 (1.8 GB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

таблица маршрутов

$ sudo netstat -rn
Kernel IP routing table
Destination     Gateway         Genmask         Flags   MSS Window  irtt Iface
0.0.0.0         192.168.250.1   0.0.0.0         UG        0 0          0 ens160
10.77.45.21     192.168.250.1   255.255.255.255 UGH       0 0          0 ens160
10.160.35.41    192.168.250.1   255.255.255.255 UGH       0 0          0 ens160
10.160.35.42    192.168.250.1   255.255.255.255 UGH       0 0          0 ens160
10.160.35.43    192.168.250.1   255.255.255.255 UGH       0 0          0 ens160
10.160.35.44    192.168.250.1   255.255.255.255 UGH       0 0          0 ens160
10.236.20.1     192.168.250.1   255.255.255.255 UGH       0 0          0 ens160
172.19.7.5      192.168.250.1   255.255.255.255 UGH       0 0          0 ens160
a.a.a.a         192.168.250.1   255.255.255.255 UGH       0 0          0 ens160
192.168.1.0     192.168.250.1   255.255.255.0   UG        0 0          0 ens160
192.168.2.0     0.0.0.0         255.255.255.0   U         0 0          0 ens160
192.168.250.0   0.0.0.0         255.255.255.0   U         0 0          0 ens160
b.b.b.b         192.168.250.1   255.255.255.255 UGH       0 0          0 ens160
c.c.c.c         192.168.250.1   255.255.255.240 UG        0 0          0 ens160

Версия либры
$ dpkg -l | grep libreswan| awk '{print $2,$3}'
libreswan 3.23-4

Конфиг:
conn dtln2
        type=           tunnel
        authby=         secret

        left=           192.168.250.2
        leftid=         x.x.x.x
        leftsubnet=     192.168.250.0/24
        leftnexthop=    %defaultroute
        leftsourceip=   192.168.250.2

        right=          y.y.y.y
        rightsubnet=    192.168.2.0/24
        rightnexthop=   %defaultroute

        ike=            aes256-sha1-modp1536
        ikelifetime=    28800
        salifetime=     3600
        pfs=            yes
        rekey=          yes
        keyingtries=    %forever
        phase2alg=      aes256-sha1;modp1536
        auto=           start

        dpddelay=       3
        dpdtimeout=     10
        dpdaction=      restart_by_peer

        keyexchange=ike
        ikev2=insist

$ sudo ip xfrm state
...
src y.y.y.y dst 192.168.250.2
    proto esp spi 0x928bcbae reqid 16393 mode tunnel
    replay-window 32 flag af-unspec
    auth-trunc hmac(sha1) 0xf46e08a..... 96
    enc cbc(aes) 0xd5d8....
    encap type espinudp sport 4500 dport 4500 addr 0.0.0.0
    anti-replay context: seq 0x1369, oseq 0x0, bitmap 0xffffffff
src 192.168.250.2 dst y.y.y.y
    proto esp spi 0xcee160c8 reqid 16393 mode tunnel
    replay-window 32 flag af-unspec
    auth-trunc hmac(sha1) 0x37a6626..... 96
    enc cbc(aes) 0x12789....
    encap type espinudp sport 4500 dport 4500 addr 0.0.0.0
    anti-replay context: seq 0x0, oseq 0xddd, bitmap 0x00000000
...

$ sudo ip xfrm policy
...
src 192.168.250.0/24 dst 192.168.2.0/24
    dir out priority 2344
    tmpl src 192.168.250.2 dst y.y.y.y
        proto esp reqid 16393 mode tunnel
src 192.168.2.0/24 dst 192.168.250.0/24
    dir fwd priority 2344
    tmpl src y.y.y.y dst 192.168.250.2
        proto esp reqid 16393 mode tunnel
src 192.168.2.0/24 dst 192.168.250.0/24
    dir in priority 2344
    tmpl src y.y.y.y dst 192.168.250.2
        proto esp reqid 16393 mode tunnel
...
src ::/0 dst ::/0
    socket out priority 0
src ::/0 dst ::/0
    socket in priority 0
src 0.0.0.0/0 dst 0.0.0.0/0
    socket out priority 0
src 0.0.0.0/0 dst 0.0.0.0/0
    socket in priority 0
src 0.0.0.0/0 dst 0.0.0.0/0
    socket out priority 0
src 0.0.0.0/0 dst 0.0.0.0/0
    socket in priority 0
src 0.0.0.0/0 dst 0.0.0.0/0
    socket out priority 0
src 0.0.0.0/0 dst 0.0.0.0/0
    socket in priority 0
src 0.0.0.0/0 dst 0.0.0.0/0
    socket out priority 0
src 0.0.0.0/0 dst 0.0.0.0/0
    socket in priority 0
src ::/0 dst ::/0 proto ipv6-icmp type 135
    dir out priority 1
src ::/0 dst ::/0 proto ipv6-icmp type 135
    dir fwd priority 1
src ::/0 dst ::/0 proto ipv6-icmp type 135
    dir in priority 1
src ::/0 dst ::/0 proto ipv6-icmp type 136
    dir out priority 1
src ::/0 dst ::/0 proto ipv6-icmp type 136
    dir fwd priority 1
src ::/0 dst ::/0 proto ipv6-icmp type 136
    dir in priority 1

$ sudo iptables -L
Chain INPUT (policy ACCEPT)
target     prot opt source               destination        
f2b-sshd   tcp  --  anywhere             anywhere             multiport dports ssh

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination        
ACCEPT     all  --  192.168.250.0/24     192.168.2.0/24      
ACCEPT     all  --  192.168.2.0/24       192.168.250.0/24    

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination        

Chain f2b-sshd (1 references)
target     prot opt source               destination        
...

Вот как ведёт себя хост из сети 192.168.2.0/24 (192.168.2.19)
Проверяем доступность маршрутизатора:

ist@mdp-tfk-2:~$ ping 192.168.250.2
PING 192.168.250.2 (192.168.250.2) 56(84) bytes of data.
64 bytes from 192.168.250.2: icmp_seq=1 ttl=63 time=1.80 ms
64 bytes from 192.168.250.2: icmp_seq=2 ttl=63 time=1.98 ms
^C
--- 192.168.250.2 ping statistics ---
2 packets transmitted, 2 received, 0% packet loss, time 1002ms
rtt min/avg/max/mdev = 1.806/1.897/1.988/0.091 ms

Все пакеты прошли
Проверяем доступ к хосту за маршрутизатором

ist@mdp-tfk-2:~$ ping 192.168.250.20
PING 192.168.250.20 (192.168.250.20) 56(84) bytes of data.
64 bytes from 192.168.250.20: icmp_seq=1 ttl=62 time=2.15 ms
^C
--- 192.168.250.20 ping statistics ---
3 packets transmitted, 1 received, 66% packet loss, time 2016ms
rtt min/avg/max/mdev = 2.159/2.159/2.159/0.000 ms
ist@mdp-tfk-2:~$

Проскакивает первый пакет , а потом тишина.

Со стороны сети 192.168.250.0/24.
С маршрутизатора (192.168.250.2)
$ ping 192.168.2.19
PING 192.168.2.19 (192.168.2.19) 56(84) bytes of data.
64 bytes from 192.168.2.19: icmp_seq=1 ttl=63 time=2.26 ms
64 bytes from 192.168.2.19: icmp_seq=2 ttl=63 time=2.12 ms
64 bytes from 192.168.2.19: icmp_seq=3 ttl=63 time=2.05 ms
^C
--- 192.168.2.19 ping statistics ---
3 packets transmitted, 3 received, 0% packet loss, time 2002ms
rtt min/avg/max/mdev = 2.058/2.151/2.269/0.102 ms

С хоста в сети (192.168.250.222)
$ ping 192.168.2.19
PING 192.168.2.19 (192.168.2.19) 56(84) bytes of data.
From 192.168.250.2 icmp_seq=1 Redirect Host(New nexthop: 192.168.2.19)
From 192.168.250.2: icmp_seq=1 Redirect Host(New nexthop: 192.168.2.19)
64 bytes from 192.168.2.19: icmp_seq=1 ttl=62 time=2.56 ms
From 192.168.250.222 icmp_seq=2 Destination Host Unreachable
From 192.168.250.222 icmp_seq=3 Destination Host Unreachable
From 192.168.250.222 icmp_seq=4 Destination Host Unreachable
From 192.168.250.222 icmp_seq=5 Destination Host Unreachable
From 192.168.250.2 icmp_seq=6 Redirect Host(New nexthop: 192.168.2.19)
From 192.168.250.2: icmp_seq=6 Redirect Host(New nexthop: 192.168.2.19)
64 bytes from 192.168.2.19: icmp_seq=6 ttl=62 time=2.52 ms
^C
--- 192.168.2.19 ping statistics ---
8 packets transmitted, 2 received, +6 errors, 75% packet loss, time 7003ms
rtt min/avg/max/mdev = 2.524/2.542/2.560/0.018 ms, pipe 4
[eyeline@gw-01 ~]$

Если судить по доке https://libreswan.org/wiki/Subnet_to_subnet_VPN - всё сделано верно. А не работает для всей подсети

Может кто-то подсказать, где затык?

Там много нового-забавного вроде того симлинка /etc/yum.conf.

Среди прочего - они выкинули Docker и предлагают переползать на buildah и podman. Оно, конечно новое и молодёжное, но функционал пока не дотягивает. Да и не о том речь. После всех этих pulseaudio, systemd, CentOS 8 и podman направление известно - подальше от IBM. Вопрос - куда?

Что аксакалы думают про Linked Clone в KVM? Взлетать будут не сильно медленнее Docker, взамен переносимость и большая безопасность. Ingress controllers из коробки не припомню, что-нибудь есть взамен?

Доброго времени суток!

Подскажите пожалуйста, есть ли уже готовый открытый софт для такой идеи:

Хочу что бы почтовый сервер был разделён на 2 части: 1. В интернете для принятия сообщения от других серверов, после получения сообщения сразу же его шифрует асимметричным шифрованием и сохраняет его в хранилище. 2. Дома, периодически подключается к хранилищу первого, забирает сообщения и действует как обычный сервер.

Когда надо отправить сообщения на внешний сервер, то сообщение так же может в зашифрованном виде передаваться первому, он его расшифровывает и отправляет.

Как я понимаю, на месте второго сервера проще использовать готовый сервер, просто допилив к нему эту передачу.

Основная задача, это что бы на первом сервере не оставалось никакой информации о сообщениях в открытом виде, сразу при установки соединения, полученные данные должны шифроваться.

Читал как то на этом сайте новость о каком то relay-сервере, но не могу найти этой статьи теперь, и не уверен что он работает именно так.

Заранее благодарю всех за помощь.

Всех приветствую.

Кто-нибудь знает можно ли использовать su без пароля?
Поясню, есть куча пользователей (user1, user2, ... usern), хотелось бы подключиться под user1 а потом набирать su - user2 и без пароля поменять пользователя

Sudo не подходит, рабочий вариант с ключами, но не хочется открывать новые ssh сессии

Спасибо

Здравствуйте.

Есть два сервера с процессорами Intel Xeon E5-1620v2 и Intel  i7-6700K, оперативка 64 Гб, цена одинаковая.
Какой процессор лучше взять для обычного сервера, на котором будут располагаться сайты с видео.

Больше склоняюсь в сторону Intel Xeon E5-1620v2 , так как это серверный процессор

Я так понимаю i7-6700K с видеокартой, больше используется для серверов с играми или стримами

Сомнения из-за того что i7-6700K более современный, также чуть больше тактовая частота и поддерживает DD4

Также не могли бы пояснить почему у Intel Xeon E5-1620v2 частота системной шины равна нулю. Она у него отсутствует ? Что это дает в отношении характеристик производительности.

Заранее спасибо за ответы.

Есть сетевое хранилище QNAP D2 и рабочая станция с Ubuntu Server 20.04. Подключены они к UPS с одним портом USB и на обоих настроено выключение по состоянию UPS. Но нужно чтобы выключались оба. Как так сделать, подкиньте мыслишку...

Приветствую.
Есть сервер с freebsd в нём 2 разъёма pci-e 8х стоят SAS контроллер и двухпортовая сетевая, но один разъём только 4х, как посмотреть где кто стоит ? С описанием к матери проблемы.

Добрый день.
Можете поделится примерным конфигом ipfw c двумя NAT.

Ситуация такая
Есть диапазон ip выданный провайдером.
Есть две локальные сети (10.0.0.0/24, 10.0.1.0/24).
Примерно так:
defaultrouter="192.168.100.1"
ifconfig_ae0="192.168.100.2/29"
ifconfig_ae0_alias0="192.168.100.3/24"
ifconfig_re0="10.0.0.1/24"
ifconfig_re1="10.0.1.1/24"

Почтовый сервер 10.0.0.2
веб сервер - 10.0.0.3, 10.0.1.3.
Пользователи - 10.0.0.0/24

Заранее спасибо.
PS:Извините если тема поднималась. По поиску не нашел

- как и /или в чем хранить локально(желательно без сторонних либ) пароли к сетевым аккаунтам сейчас правильно(ей), в этом году - pro- vs contra- какие варианты ?