среда, 29 февраля 2012 г.

ставим jenkins

Для начала, что это:
jenkins, он же hudson (что случилось) - инструмент непрерывной интеграции, написанный на Java.
Непрерывная интеграция - это практика разработки программного обеспечения, которая заключается в выполнении частых автоматизированных сборок проекта для скорейшего выявления и решения интеграционных проблем. В обычном проекте, где над разными частями системы разработчики трудятся независимо, стадия интеграции является заключительной. Она может непредсказуемо задержать окончание работ. Переход к непрерывной интеграции позволяет снизить трудоёмкость интеграции и сделать её более предсказуемой за счет наиболее раннего обнаружения и устранения ошибок и противоречий.
wiki

Итак.
Centos:
sudo wget -O /etc/yum.repos.d/jenkins.repo http://pkg.jenkins-ci.org/redhat/jenkins.repo
sudo rpm --import http://pkg.jenkins-ci.org/redhat/jenkins-ci.org.key
sudo yum install jenkins

Debian:
wget -q -O - http://pkg.jenkins-ci.org/debian/jenkins-ci.org.key | sudo apt-key add -
echo "deb http://pkg.jenkins-ci.org/debian binary/" >> /etc/apt/sources.list
sudo apt-get update
sudo apt-get install jenkins

По умолчанию сервис садится на порт 8080

линки
https://wiki.jenkins-ci.org/display/JENKINS/Installing+Jenkins+on+RedHat+distributions
http://pkg.jenkins-ci.org/debian/
http://habrahabr.ru/search/?q=[jenkins]&target_type=posts

понедельник, 27 февраля 2012 г.

MariaDB на centos

Для начала, идём на mariadb.org и выбираем нужную нам версию

Например, для стабильной версии 5.2:
downloads.askmonty.org/mariadb/5.2/

Там же есть инструкции. Но для 5.2 есть только всякие виндовые версии, а под центось только под 5 центось и рхел.

В итоге мы должны получить 3 .rpm файла: -shared, -server, -client
!!предварительно сносим mysql-*, иначе будут конфликты.
!!Сначала ставится -shared. Потом оставшиеся пакеты.

После завершения используем mysql_secure_installation

воскресенье, 26 февраля 2012 г.

Обновление облачного сервера на centos

Захотели обновить софт на серверах, стоящих в селектеле. Был centos 5.5
Простое обновление через yum update не удастся: нельзя обновить ядро

Error Summary
-------------
Disk Requirements:
  At least 101MB needed on the /lib/modules filesystem. 

Поэтому надо обновить через
yum -x kernel-xen update

Замечание:
Не забываем, что для корректного автообновления надо иметь установленный yum-priorities
проверить:
# rpm -qa|grep -i prior
установить:
# yum install yum-priorities

вторник, 14 февраля 2012 г.

ssl: некоторые особенности заполнения

Прежде всего, а на что опираться при переводе названий городов и компании?
http://ru.wikipedia.org/wiki/Транслитерация_русского_алфавита_латиницей предлагает несколько вариантов, в частности для буквы Ц это C, TS, TC, Z. Какой вариант выбрать?

http://ru.wikipedia.org/wiki/ISO_9
http://ru.wikipedia.org/wiki/Транслитерация

Особенности транслитерации есть и для городов:
moscow, moskow, moskva...
sankt-peterburg, saint-petersburg, saint petersburg...
итд. И иногда вроде более верный вариант регистратор заворачивает. На что опираться? Опять же, или на ISO, или на спец порталы. Например
http://geonames.nga.mil/ggmagaz/

"Согласно информации из официальной базы данных иностранных географических названий http://geonames.nga.mil/ggmagaz/, поддерживаемой National Geospatial-Intelligence Agency (NGA), название Sankt-Peterburg считается одобренным (Approved). Название Saint Petersburg считается общепринятым (Conventional). Считаю использование названия Sankt-Peterburg в качестве значения атрибута Locality Name допустимым."

Некоторые регистраторы вроде того же Comodo требуют, чтобы фирма была в duns
http://en.wikipedia.org/wiki/Data_Universal_Numbering_System
http://www.dnb.ru/rbr.asp?rbr=25

Зачастую хотят, чтобы информация из whois на домен совпадала с той, что прописана в запросе. Поэтому уже на стадии заполнения информации для домена надо заполнять максимально правильно.

openvpn: виды соединений

[черновик]

Варианты, которые могут быть:
1) комп-комп
2) комп-сеть
3) сеть-комп
4) сеть-сеть

TAP симулирует Ethernet устройство и работает на канальном уровне модели OSI, оперируя кадрами Ethernet. TUN (сетевой туннель) работает на сетевом уровне модели OSI, оперируя IP пакетами.
TAP используется для создания сетевого моста, тогда как TUN для маршрутизации.
wiki

Возможно создать Layer 3-based IP туннель, называемый TUN, и Layer 2-based Ethernet — TAP, способный передавать Ethernet трафик.

В принципе, все варианты можно реализовать на обоих видах, но с некоторыми оговорками. Например, мультикасты и броадкасты по L3 сами по себе не побегут.

Также есть отличия в настройке для linux, *bsd, windows.

[дальше варианты настроек]
1.1 Комп-комп, TUN
1.2 Комп-комп, TAP
2.1 Комп-сеть, TUN
2.2 Комп-сеть, TAP
3.1 Сеть-комп, TUN
3.2 Сеть-комп, TAP
4.1 Сеть-сеть, TUN
4.2 Сеть-сеть, TAP


Ссылки
http://openvpn.net/index.php/open-source/documentation/howto.html
http://ru.wikipedia.org/wiki/OpenVPN
http://ru.wikipedia.org/wiki/TUN/TAP
http://www.lissyara.su/doc/man/safety/openvpn/
http://www.anfes.ru/e107_plugins/content/content.php?content.6
http://tuxnotes.ru/articles.php?a_id=26

openvpn в centos
http://wolandblog.com/1103-ustanovka-i-nastrojka-openvpn-na-centos-5-3/

понедельник, 13 февраля 2012 г.

httpd dead but subsys locked

httpd dead but subsys locked

Решение:
rm /var/lock/subsys/httpd

Впрочем, помогает не всегда. Причин может быть много - нет места, кто-то мешает запустить (типа селинукса). Или свои же модули, например 2 раза грузится ssl. Это определить легко - при запуске ругается, что 443 порт занят, но при остановленном апаче его никто не занимает. Иногда бывает при обновлении и очень часто - при переписанных под себя конфигурациях.

Проверить:
netstat -tulpn
tail -f /var/log/messages
tail -f /var/log/httpd/error_log

Есть вариант через ipcs -s

среда, 8 февраля 2012 г.

Оборудование huawei

Компания выросла из телефонной сферы.

Сегмент сетевого железа начал с клонирования чужого железа. Изначально это была циска, во всех планах - на их железо вставали циско-прошивки без каких-либо модификаций. Также их наименования были схожи и по возможностям можно было найти аналог циски, но дешевле (цена покупки), но цена сопровождения выше, как говорят.
Баш в тему

Из преимуществ - с поставками гораздо меньше проблем по сравнению с цисками. Железо дешевле цисок, особенно в нижнем сегменте.

Об оборудовании
http://forum.nag.ru/forum/index.php?showtopic=54893

БРАСы у них говно, мплс коробки - почти говно, Л2 свищи не говно, но сверху им обмазано.
Учитывая TCO по ценам сравнимо с цыской. Так что смысла брать не вижу, разве что те самые Л2 свищи, там на хорошей партии можно взять хороший дисконт. А в целом если вас откат не интересует, то это не ваш вендор.

BRAS MA5200g-2 нормально работет VRP на Version 5.30. ( но нада уметь его готовить)
NE40 - отстой
NE40E - норм
S8500 - норм
S2000 (S2403) - норм

Попробуйте в NE40E загрузить фуллвью от 6 пиров в vpn-instance и посмотрите как он будет тормозить. Даже с двумя пирами оно 15 минут туда грузится и жрет 100% CPU. Роутпроцессор на NE40E откровенно слабоват.

Если вы сравниваете с ценой ASR1002 ESP10 + 10G, то посмотрите на Juniper MX80. Шасси с 4х10G портами стоит $60К по GPL, производительность 80G, можно еще два модуля вставить.

По Huawei свитчи S3300/S5300 вполне ничего себе железки, на L2 работают стабильно, особых багов не замечено, что не понравилось по сравнению с Cisco, это гораздо более бедный набор команд. С маршрутизаторами Huawei не связывайтесь, по перфомансу в даташите написано одно, в жизни раза в 2 в 3 все более печально, особенно это ярко выражено на слабых железках AR/NE20/NE20E, старшие железки NE40/NE80E/NE80E по деньгам будут не дешевле Cisco или Juniper, по функционалу примерно то же, хотя по производительности на слот все так проигрывают заморским зверюшкам, и опять же очень скупой output у команд, ну и поддержка Huawei не самое дешевое удовольствие.

=====
Про S2300

Есть способ делать это без промежуточного софта и патча.
1. Зайти в hidden view
<Sхххх-SI>sys
Enter system view, return user view with Ctrl+Z.
[Sхххх-SI]_hide
Password:

Пароль - Vrp&8031

[Sхххх-SI-hidecmd]undo startup system-software

2. После этого можно удалить файл с флешки
<Sхххх-SI>delete /u xx.cc

3. После этого заливаем новый софт и радуемся жизни.
http://forum.nag.ru/forum/index.php?showtopic=49765&view=findpost&p=605802

пятница, 3 февраля 2012 г.

Критическая уязвимость в PHP 5.3.9, позволяющая выполнить код на сервере

Критическая уязвимость в PHP 5.3.9, позволяющая выполнить код на сервере

В PHP обнаружена одна из самых серьёзных уязвимостей за время существования данного языка. Уязвимость проявляется только в PHP 5.3.9 и позволяет удалённому злоумышленнику выполнить свой код на сервере, независимо от того какие PHP-скрипты используются.

...
Всем пользователям PHP 5.3.9 рекомендуется в экстренном порядке наложить патч или вернуться на более ранний выпуск PHP. Официального уведомления и исправления пока не выпущено. Проблему усугубляет то, что поддержка директивы max_input_vars была портирована из PHP 5.3.9 многими дистрибутивами и включена в пакеты с более старыми версиями PHP. Например, в обновлении пакета php5-5.3.3-7+squeeze6 для debian Squeeze имеется поддержка директивы max_input_vars. Та же самая ситуация наблюдается в Red Hat Enterprise Linux 5 и 6, а также в Fedora Linux.

Уязвимость выявлена Стефаном Эссером (Stefan Esser), создателем проектов Hardened-PHP и Suhosin. Комментируя решение проекта Debian отказаться от использования Suhosin, Стефан указал на то, что уязвимость в PHP пришлась весьма кстати, так как она хорошо демонстрирует необходимость в использовании Suhosin, который значительно снижает возможность эксплуатации, даже в стандартной конфигурации.

====
"Комментируя решение проекта Debian отказаться от использования Suhosin,"
Правильно, зачем нам системы защиты для самого бажного языка в истории... Да, это не панацея. Но если этот патч закрывает хотя бы 5% проблем - он однозначно обязан включаться в штатные поставки.
И если они там не совсем идиоты, сухосин будет подключаться как доп модуль в случае убирания из штатного пакета. Документы дополнятся строчкой доустановки сухосина...

Как же надоел их маразм. Чуть не каждые пол года - серьёзные проколы, после чего хочется показать на их пользователей пальцем и сказать "ха-ха, создатели дебиана вам снова показали, что вы все - тупое стадо баранов, а они хозяева мира". Прочем, они свою позицию "вы все тупые, и мы лучше знаем, что вам делать" показывают давно. Хороший пример - jdk6 больше нельзя обновлять, так они новым обновлением просто сносят его.
Поэтому я до сих пор уважаю freebsd - они хотя бы не тыкают постоянно своих пользователей носом в говно.
А другие дистры для веб-сервера... Центось подходит плохо и требует напильника, остальные линукс-дистры ещё хуже, некоторые вроде мандривы вообще всё никак помереть не могут. Увы.
Впрочем, дебиан тоже использую, приходится. Но если каноникал, строясь на том же дебиане, сможет обеспечить в том числе платную поддержку + будет от таких вот маразмов вычищать и собирать нормальные пакеты - все сервера будут (принудительно) переводиться на убунту сервер.