from:"Alexey Lobanov"


Hi.

On 05/07/06 14:14, Ilya S. Sapytsky wrote:


Добрый день!

On Tue, Jul 04, 2006 at 06:19:06PM +0400, Alexey Lobanov wrote:
чего-тоу меня непонятки... сделал все как написал, а вот на
всю почту, даже заведомо ложную (сам посылал руками фигню всякую)
получаю DUNNO.


Проблема в том, что абсолютное большинство SPF-записей сейчас содержат 
"~all" вместо "-all". Соответственно, дистрибутивный скрипт spf.pl даёт 
DUNNO. Я рекомендую поменять настройки в скрипте, подробности были в 
первом ответе.


Пострадают в этом случае, например, некоторые особо умные пользователи 
mail.ru, которые вместо веб-интерфейса отправляют почту @mail.ru через 
свой провайдерский или корпоративный релей. IMHO - так им и надо.


[EMAIL PROTECTED]:~$ host -t txt mail.ru

mail.ru descriptive text "v=spf1 ip4:194.67.57.0/24 ip4:194.67.23.0/24 
ip4:194.67.45.0/24 ~all"



А.Л.


--
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]

Re: postfix + spf


Hi.

On 05/07/06 16:13, Ilya S. Sapytsky wrote:


Спасибо, сейчас все заработало, разобрался. Уже 15 reject
на этом основании... неплохо.

Только почему-то у меня сначала идет spf а уже потом
postgrey хотя в конфиге написано наоборот... с чем это
может быть связано?


Где-то даже документировано, что *все* подобные ограничения и правила 
надо писать в параметр "smtpd_recipient_restrictions". А 
smtpd_sender_restrictions и helo_restrictions убрать совсем.


Логика в том, что только после RCPT TO мы имеем полную информацию, 
нужную и для анализа, и для занесения в лог. На фазе MAIL FROM принимать 
решения рано.




main.cf:
smtpd_sender_restrictions = permit_mynetworks,
check_sender_access hash:/etc/postfix/sender_access,
reject_non_fqdn_sender,
reject_unauth_destination,
check_policy_service inet:127.0.0.1:6,
check_policy_service unix:private/policy
reject_unverified_sender

smtpd_recipient_restrictions = check_recipient_access 
hash:/etc/postfix/access-all,
reject_non_fqdn_recipient,
permit_sasl_authenticated
reject_unknown_sender_domain,
permit_mynetworks,
check_relay_domains



А.Л.


--
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]

Re: postfix + spf


Ну полный оффтопик пошёл.

On 05/07/06 17:05, Artem Chuprina wrote:


Т.е. пусть эти гады пользуются у<матерное слово>ным уеб-интерфейсом
вместо нормального почтового клиента?  Знаешь, даже я не настолько злой...


Преферанс - не школа гуманизма :-)

http://www.mail.ru/pages/help/182.html

"Услуги бесплатной электронной почты Mail.ru предоставляются 
Пользователям, имеющим доступ к сети Интернет, и установленное 
программное обеспечение для работы веб-интерфейсом, расположенным только 
по адресу http://www.mail.ru, на основе Пользовательского Соглашения."


Впрочем, на каких-то там условиях они дают и POP + IMAP + SMTP AUTH. 
Возможно, за деньги? Я не разбирался.


А.Л.


--
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]

Re: postfix + spf


Hi.

On 05/07/06 17:29, Master Yoda wrote:


http://www.mail.ru/pages/help/182.html



Абсолютно бесплатно.
Лично у меня есть там мыло (так, на всякий случай), но
Я НИ РАЗУ не пользовался их "уеб-интерфейсом".


То есть проблемы нет, и для mail.ru "~all" тоже можно безопасно 
обрабатывать как "-all". Честные клиенты mail.ru в состоянии настроить 
SMTP AUTH, а спаммеры жуют носки:


Jul  4 12:37:16 mail postfix/smtpd[8415]: NOQUEUE: reject: RCPT from 
mx2.spbtlg.ru[213.158.0.6]: 550 5.7.1 <[EMAIL PROTECTED]>: Recipient address 
rejected: SPF restriction: Please see 
http://spf.pobox.com/why.html?sender=mulkejewa%40mail.ru&ip=
213.158.0.6&receiver=mail.cro-rct.ru; from=<[EMAIL PROTECTED]> 
to=<[EMAIL PROTECTED]> proto=ESMTP helo=


Грейлистинг в данном случае, кстати, не поможет, поскольку mx2.spbtlg.ru 
- легитимный провайдерский сервер.


А.Л.


--
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]

Re: postfix + spf


On 05/07/06 17:49, Иван Лох wrote:


On Wed, Jul 05, 2006 at 04:01:22PM +0400, Alexey Lobanov wrote:


Проблема в том, что абсолютное 
большинство SPF-записей сейчас содержат 
"~all" вместо "-all". Соответственно, 
дистрибутивный скрипт spf.pl даёт DUNNO. Я 
рекомендую поменять настройки в скрипте, 
подробности были в первом ответе.




Этот совет опирается на какой-нибудь RFC?


Нет, только на вышеупомянутую сложившуюся практику. Как, впрочем, и 
бОльшая часть всех средств ограничения спама.


Естественно, разрешить почту для локального postmaster'а мы должны до 
проверки SPF. Во исполнение фундаментального RFC2821. И этого достаточно 
для восстановления коммуникаций в случае, если мы где-то ошиблись.


А.Л.


--
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]

Re: УВАЖАТЬ читателей ра ссылки

2006-07-13 Пенетрантность Alexey Lobanov

On 12/07/06 12:06, mailvisor wrote:

Но. Когда я работал в банке, в нашей корпоративной сети в обязательном порядке
требовалась отсылка подобных сообщений, и делал это Microsoft Exchange Server
без ведома получателя. Все делал сам. Это не реклама, а подтверждение того что
почтовый сервер может это делать.

1. Не почтовый, а collaboration. Это сильно разные вещи. Через RPC можно
и наличие сотрудника на месте отслеживать, по мышке.

2. И никому толком не известно, что такое "это" в данном случае, у
MS-Exchange. О чём именно оно уведомляет. Например, многократно описано,
что при каком-то положении звёзд в ответ на запрос уведомления о
прочтении Exchange высылает ответ "Your message was deleted without
being read" :-\. Причём в реальности получатель письмо прочитал. А
отправитель (бизнес-партнёр или начальник) на такой ответ может и
обидеться очень серьёзно.

У меня такая ситуация была. После чего, немедленно, все запросы
уведомлений во внешней почте были убиты силами постфикса на гейте,
"headers_check... IGNORE". Внутри конторы - пожалуйста, а с внешним
миром эти запросы оказались небезопасны для репутации фирмы.

А.Л.

--
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]

Re: The Bat и SMTP AUTH

2006-07-25 Пенетрантность Alexey Lobanov

Hi all.

On 25/07/06 13:35, S R wrote:

> Hi 2 all,
> 
> при попытке отпрвить письмо из Бата в логах :
> 
> SEND - Аутентификация (программный CRAM-MD5)..
> SEND - Сервер сообщает об ошибке: 5.7.0 authentication failed
> SEND - ВНИМАНИЕ: не удалось обнаружить на сервере подходящих алгоритмов 
> аутентификации
> 
> хотя если по телнету зайти на 25 или 465 порты присутствуют строки
> 250-AUTH DIGEST-MD5 CRAM-MD5 PLAIN LOGIN
> 250-STARTTLS
> 
> и в /usr/lib/sasl/Sendmail.conf присутствует
> pwcheck_method: auxprop 
> mech_list: plain login cram-md5 digest-md5
> auxprop_plugin: sasldb
> 
> и в sendmail.mc были заданы строки
> define(`confAUTH_MECHANISMS', `DIGEST-MD5 CRAM-MD5 PLAIN LOGIN')dnl
> TRUST_AUTH_MECH(`DIGEST-MD5 CRAM-MD5 PLAIN LOGIN')dnl
> 
> в чём может быть проблема?

В отсутствии секрета в /etc/sasldb для данного юзера? CRAM-MD5 не может
использовать общесистемную базу, /etc/shadow или что там есть.

Точный ответ должен быть в логах на серверной стороне. Далее, "man
saslpasswd"

А.Л.


> 
> спс, Вячеслав.
> 
> 


-- 
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]

Re: содержание домена

2006-07-25 Пенетрантность Alexey Lobanov

Hi.

On 25/07/06 17:54, Kirill Frolov wrote:

>   Вот имеется домен и содержится он на стороне. А хочется его содержать
> локально. Но почту в нём непременно чтоб на стороне получать.
> 
>   Вопрос: допустим, сервер на котором домен держится (первичный) ПАДАЕТ.
> И его никто так поднимать не спешит. Неделю-другую. Вопрос -- что будет
> с доставкой почты для этого домена, при условии, что вторичный сервер
> точно не упадёт?  Точно ничего?

Насколько я понял, имеются в виду DNS-сервера. То есть master упал,
slave продолжают отвечать.

Таки slaves будут отвечать про этот домен до тех пор, пока не истечёт
время, указанное в "Expire" SOA RR. Это четвёртое число в SOA. После
этого домен умрёт полностью, включая доставку почты.

А.Л.

-- 
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]

mondoarchive и загрузка с комп акт-диска

Hi all.

Правильно ли я понимаю, что Mondo (mondoarchive) должен уметь делать
один загружаемый DVD с самовосстанавливающейся системой?

Все эксперименты с версиями 1.0.4 (нативный из Sarge) и 1.0.6 (deb с
сайта разработчиков mondo-mindi) приводят к тому, что "основной" диск с
архивом либо не грузится нормально, либо не грузится вообще.

# mondoarchive -g -O -i -E "/dump /tmp /home /var /usr" \
-d /dump/ -k FAILSAFE -s650m \
-F -S/dump/tmp -T/dump/tmp -L -N

(для экономии болванок тест пишет только кусок системы на CD-RW)

В нативном mondo после загрузки получается хорошо известная диагностика
"can't access tty", и ничего нельзя запустить кроме встроенных команд
busybox. Расшифровка есть в FAQ по busybox: он не умеет работать при
tty=/dev/console, нужно явным образом прописывать (в iniitab'е?)
реальное устройство, /dev/tty0 или /dev/ttyS0.

В более свежем Mondo+Mindi 1.0.6 сделанный той же командой диск архива
вообще не имеет загрузочной записи! И никаких сообщений об ошибках ни в
логах mondoarchive, ни на экране (-g) нет.

Получающийся попутно 25-мегабайтный "mondorescue.iso" действительно
грузится, и даёт менюшки mondorestore. Но shell (busybox) в нём тоже
неживой, то есть функциональность при восстановлении резко ограничена.

Обращаю внимание: Mindi в Sarge тащит с собой собственный
"mindi-busybox". То есть можно было рассчитывать на то, что он патченый
по поводу консоли. Ан нет.

Any ideas? Как получить правильный загружаемый DVD с работающим шеллом?

А.Л.

--
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]

Re: Проблемы с отправкой почты Postfix'ом


Hi,

On 01/08/06 16:28, vit wrote:


On Tue, Aug 01, 2006 at 15:47 +0300, Alexander Vlasov wrote:

Да и FQDN своеобразный...



Это внутренний сервер. FTP, proxy, mail
Из инета он не виден.


И на нём, как было неоднократно замечено, не Postfix, а Exim. Тогда о 
каком постфиксе вообще идёт речь? Где он? И как ругается?


А.Л.


--
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]

Re: Проблемы с отправкой почты Postfix'ом


Hi.

On 01/08/06 16:28, vit wrote:


Это внутренний сервер. FTP, proxy, mail
Из инета он не виден.


Виден :-). Смотрим в заголовки письма:

Received: from vit.rts-ukraine
([192.168.0.9] helo=rts.ua ident=postfix)
by shadow.rts-ukraine with esmtp (Exim 4.50)
id 1G7uI6-0002Ze-CN
for debian-russian@lists.debian.org; Tue, 01 Aug 2006 16:28:10 +0300
Received: by rts.ua (Postfix, from userid 1000)
id B71DE488B4; Tue,  1 Aug 2006 16:28:22 +0400 (MSD)

Насколько я понимаю, Postfix на рабочей станции vit.rts-ukraine 
[192.168.0.9] считает, что его имя - "rts.ua". Это он говорит в HELO. И 
вполне логично, что почту для этого домена он пытается доставить 
локально, в пределах рабочей станции. Тут и ошибка?


А.Л.


--
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]

Re: mondoarchive и загрузка с ком пакт-диска

Hi all.

On 02/08/06 07:41, Сергей Морозов wrote:

>> Правильно ли я понимаю, что Mondo (mondoarchive) должен уметь делать
>> один загружаемый DVD с самовосстанавливающейся системой?

> Правильно понимаешь.

Вот мне тоже так кажется.

> > Все эксперименты с версиями 1.0.4 (нативный из Sarge) и 1.0.6 (deb с
> > сайта разработчиков mondo-mindi) приводят к тому, что "основной" диск с
> > архивом либо не грузится нормально, либо не грузится вообще.

> Я этот пакет года 2 эксплуатировал на компаковских серверах. Правда писал CD
> + стримак DDS4. 

Это понятно, и это более правильно, чем DVD. Но на стример пока не дают
денег.

> Backup/Restore работало все нормально, НО!!! появились у
> меня сервера IBM 235 и вылезла на них такая фишка - backup делает нормально,
> а restore не работает (конкретно почему не работает разбираться не стал).
> Диск грузился restore запускалось а потом выдавало что-то типа "backup
> записал какое-то дерьмо а я теперь востановть не могу". После этого я очень
> сильно не доверяю этому пакету. А тебе могу посоветовать 2 варианта:

> 1)если есть возможность, проверь mondo на другом железе.

1. В тестировании участвуют три машины. Всё одинаково.

2. А при чём тут железо? /dev/console совершенно не железное.

> 2)если серверов больше чем 1, то посмотри на пакет systemimager. IMHO это
> более правильная технология.

Увы. Восстановление по сети разумным образом работает только в локалке.
У меня сервера разбросаны по городу, и в случае аварии будет в разы
быстрее (и дешевле) перевезти диски, чем качать пару гигов системы по
достаточно узким каналам.

Продолжаем разбираться с mondo.

А.Л.

-- 
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]

Re: mondoarchive и загрузка с ком пакт-диска

2006-08-02 Пенетрантность Alexey Lobanov

Hi all,

Похоже, что в Etch они это самое mondo починили. Но ставить Testing ->
Etch на рабочий неэкстремальный сервер нет никакого желания.

Таки настоятельный вопрос к публике: у кого-нибудь работает Mondo в Sarge?

А.Л.

On 01/08/06 12:32, Alexey Lobanov wrote:

> Все эксперименты с версиями 1.0.4 (нативный из Sarge) и 1.0.6 (deb с
> сайта разработчиков mondo-mindi) приводят к тому, что "основной" диск с
> архивом либо не грузится нормально, либо не грузится вообще.

-- 
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]

Re: mondoarchive и загрузка с ком пакт-диска

2006-08-02 Пенетрантность Alexey Lobanov


Hi all,

On 02/08/06 11:44, Alexey Lobanov wrote:


Таки настоятельный вопрос к публике: у кого-нибудь работает Mondo в Sarge?


Молчание ягнят. Видимо, таки не работает.

Итого. Залез в близлежащий ftp.fi.debian.org/debian/pool/m/, ручками 
вынул последние версии mindi и mindi-busybox, поставил. Соответствующая 
версия mondo не поставилась по библиотекам, но не очень-то и хотелось. 
Проблема явно на уровне mindi.


В итоге - работает. На ноутбуке без ругани грузится с DVD и предлагает и 
автоматическое восстановление в mondorescue, и живой шелл.


Пробное восстановление буду делать позже, пока свободной железки нет.

А.Л.


--
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]

Re: mondoarchive и загрузка с ком пакт-диска

2006-08-03 Пенетрантность Alexey Lobanov

Hi.

On 02/08/06 20:16, Сергей Морозов wrote:

> И еще этот mindi/mondo не любит больших обьемов. Систему еще можно бакапить,

Это совершенно понятно. Вообще самозагружающийся DVD подразумевает
именно восстановление убитой системы. А данные нужно писать отдельно,
значительно чаще системы, и желательно, в формате, не привязанном к
конкретному экзотическому пакету. Чтобы при нужде прочиталось на
совершенно другой машине с другой OS без долгих плясок с бубном.

Mondo воспринимается именно как средство быстрого восстановления
системной части. Надёжность при этом менее критична, поскольку неудача
восстановления означает только потерю времени на установку из
стандартного дистрибутива и восстановление конфигураций.

Кстати, у меня на большинстве машин есть внутри программно выключенный
винчестер с загружабельной копией системы. И rsync делается ни в коем
случае не по графику, а только вручную, после *успешно оттестированных*
существенных изменений. Но от физической гибели всей машины такая копия,
естественно, не защищает.

> а вот если нужно сотню другую гиг, то он тоже начинает косяки выдавать.
> Причем на разном железе ведет себя по разному. Поэтому если уж завязываться
> на него то тестить все по черному надо, и потом железо не менять по
> возможности, чтобы не нарваться в самый отвественный момент. Backup - это
> святое ;-))

Дык. Но связанные с этим обряды достаточно разнообразны :-)

А.Л.

-- 
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]

Re: Backup - 2 подхода

2006-08-04 Пенетрантность Alexey Lobanov

Hi all.

On 04/08/06 14:50, Roman Sozinov wrote:

> Есть задача - делать backup с рабочих серверов на один backup-сервер.
> Есть 2 подхода к решению этой задачи:
> 1) рабочий сервер сам инициирует когда ему делать бекап
> 2) backup-сервер сам инициирует сбор бекап данных с рабочих серверов на свой
> HDD.
> Какой подход лучше?

Для первого подхода нужно давать рабочему серверу право *записи*
(неважно по какому протоколу) на backup-сервер.

Для второго подхода backup-серверу нужно только право *чтения* на
рабочих серверах.

Далее, рассматриваем ситуацию, когда у какого-то сервера съезжает крыша
(от сбоя или под управлением врага), и он начинает портить всё в
пределах своего доступа. По моему мнению, при этом второй вариант
выглядит существенно лучше.

А.Л.

-- 
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]

Re: Backup - 2 подхода

2006-08-08 Пенетрантность Alexey Lobanov

Hi all.

04.08.2006 18:59, Dmitri V. Ivanov пишет:

> On Fri, Aug 04, 2006 at 04:08:18AM -0700, Roman Sozinov wrote:
>> Я тоже использую вторую схему, но в интернет-публикациях на эту тему чаще
>> всего описывается первая схема. Спрашивается - почему?

> Ну например для инкрементального бэкапа нужно знать как минимум для
> каждого файла ctime и для каталогов еще и inode number (а в случае если
> попадающее под архивирование поддерево содержит точки монтирования то
> еще и номер устройства). Последнее при доступе через сеть может
> выделяться динамически насколько я понимаю. 

Дык. Это всего лишь означает, что старый добрый универсальный NFS не
есть правильный сетевой протокол для специальной цели резервного
копирования. Не более того.

> Посему делать
> инкрементальный проще и спокойнее локально.

А можно и локально. При нынешних ценах на дисковое пространство можно,
например, держать на backup-сервере постоянные полные зеркала всех
рабочих (man rsyncd.conf) и делать "локальный" инкрементальный слив на
сменные носители. Существенный плюс такой двухступенчатой схемы ещё в
том, что при некоторых типах аварий не придётся поднимать все ленточки
бэкапа, достаточно будет перелить по той же сети обратно зеркальную
копию. Ленточки ведь у нас хранятся не в офисе, а в сейфе в доме
директора, правда :-) ?

А.Л.

> 
> WBR
> Dmitri Ivanov
> 
> 

-- 
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]

Re: Особенности ХТТП в ли нукс?

2007-09-06 Пенетрантность Alexey Lobanov

06.09.2007 08:22, Vitaly Takmazov пишет:

> Это предназначено как раз таки для увеличения производительности сети, а не
> ее уменьшения, как Вы подумали.

Легендарный "Ускоритель Интернета"?

QoS - это попросту перераспределение ограниченной полосы пропускания
клиентского канала в пользу отдельных особо нахальных программ.

Естественно, с точки зрения этой особо нахальной программы
производительность сети растёт. Одновременно для всех прочих она падает,
поскольку ни расширить клиентский канал, ни заставить провайдерские и
магистральные маршрутизаторы обращать внимание на QoS никакая
операционная система не в состоянии.

А.




-- 
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]

Re: Синхронизация main-backup mail servers

2007-09-07 Пенетрантность Alexey Lobanov

Тут по ходу дела вспомнилось грязное, но быстрое полу-решение.

Верификация получателя, reject_unverified_recipient в Постфиксе. В
других MTA не помню.

Результаты верификации (и положительные, и отрицательные) Postfix
кэширует, создавая тем самым некий волатильный аналог локальной базы
правильных получателей. Время кэширования управляется.

А для задачи "прикрыть иксчейндж снаружи нормальным MTA" это работает
почти совсем хорошо, поскольку набранная "автоматическая" база
правильных получателей быстро оказывается полной.

А.Л.


-- 
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]

Re: Exim4, The Bat and TLS troubles

2007-09-11 Пенетрантность Alexey Lobanov

Hi.

11.09.2007 00:28, abraham shapirus пишет:

> (gnutls_handshake): An error was encountered at the TLS Finished packet
> calculation.

> Чьи баги, экзима или зебата? Фиксятся ли без замены одного из них на
> аналог?

Фиксятся-то они может быть и без замены, а вот диагностируются вряд ли.

Для начала я бы попробовал цепляться к Exim'у другим стандартным
клиентом (i.e., thunderbird) и диагностической утилитой из командной
строки (openssl s_client, stunnel4). Чтобы получить развёрнутую диагностику.

А.Л.


-- 
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]

Re: crywrap исчез из тестинга

2007-09-13 Пенетрантность Alexey Lobanov

Hi.

13.09.2007 07:11, Nicholas пишет:

> Что cтоит иcпользовать для ssl smtp ? 

Свой любимый MTA, включив в нём SSL и/или TLS. Если MTA такого не умеет,
то сменить MTA на более адекватный. Их есть.

Кстати, если в системе используется SMTP AUTH, то очень рекомендуется
разрешать его только из-под SSL/TLS. Спаммеры активно ломают SMTP AUTH с
2002 года, подбирая пароли к тривиальным тестовым аккаунтам. Но через
SSL *пока* не лезут...

А.Л.

>(для ssl pop3 и imap используется
> courier).


-- 
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]

Re: голосовой звонок

2007-09-16 Пенетрантность Alexey Lobanov


16.09.2007 15:43, Андрей Герасимов пишет:

как бы реализовать голосовой звонок с компа после завершения какой либо 
длительной операции (кодирование фильма, и т.п.), в какую сторону копать?


Насколько я понимаю, разговорами человечьим голосом по POTS линии через 
обычный войс-модем у нас заведует vgetty из пакета mgetty-voice. По 
крайней мере автоответчиком оно работает отлично.


Asterisk и его компоненты умеют значительно больше, но требуют либо 
специального достаточно дорогого железа для сопряжения с POTS, либо 
выход в мир по VoIP.


А.Л.


--
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]

Re: Вопросец по SAMBA

2007-09-19 Пенетрантность Alexey Lobanov

19.09.2007 07:06, dj_morgue пишет:

>>> Если просто килять по PID, то пользователь подключается к серверу по
> новой и => появляется новый PID

Ну, значит, перед kill надо сказать "smbpasswd -d pupkin". После
покаяния и пивоприношения - "smbpasswd -e pupkin".

А.Л.


-- 
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]

Re: Вопросец по SAMBA

2007-09-19 Пенетрантность Alexey Lobanov

19.09.2007 15:02, Роман Кисилев пишет:

> Или если пароль один на всех iptables поможет :)

"Если солдат говорит "может быть", то это не солдат" (с)анекдот

Если пароль один на всех, то это не пароль.

А.Л.


-- 
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]

Re: Тонкие клиенты Linux

2007-09-24 Пенетрантность Alexey Lobanov

В Питере бесшумными машинками на базе VIA много лет занимается Ниеншанц:

http://www.favourite-nnz.ru/goodscat/item/show/14/19/

Причём начали они не с тонких клиентов, а с серверов, у меня такой есть
в конторе:

http://www.iscompact.ru/

Но цены на все готовые конструктивы действительно изрядно заряжены.
Отдельно ITX мамка с впаянным процессором и всеми контроллерами на борту
должна стоить меньше $100, память стандартная...

А.Л.




-- 
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]

Re: groupware

2007-09-25 Пенетрантность Alexey Lobanov


25.09.2007 20:47, Nick Phoenix пишет:


Хм ... http://en.wikipedia.org/wiki/Category:Free_groupware ?


Сразу вижу, что там отсутствует очень даже живая Alfresco. 
http://www.alfresco.com/


А.Л.



Nick 'TARANTUL' Novikov пишет:
Ppl, а что в природе имеется из вещей похожих на 
http://www.open-xchange.com ?




--
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]

Re: groupware

2007-09-26 Пенетрантность Alexey Lobanov

Hi.

26.09.2007 12:52, Maxim Kudelya пишет:

>> http://www.alfresco.com/

> Интересная система. Не могли бы Вы коротко описать ее преимущества и
> недостатки по собственному опыту использования?

Опыт *использования* нулевой, поскольку внедрение таких систем в бизнесе
- это на 80% организационная, а не техническая задача. Но поставить на
Sarge и получить всю базовую функциональность удалось без особых
сложностей. По-моему, там всё достаточно хорошо задумано и сделано.

Недостаток тот же, что и у OX: это жабий монстр, жрущий ресурсы.

Достоинство: берёт базу юзеров из LDAP - что достаточно часто
принципиально, поскольку на LDAP завязана и современная Samba.

А.Л.


-- 
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]

Re: reboot debian на чипсете sis

2007-09-28 Пенетрантность Alexey Lobanov

28.09.2007 10:59, sanych пишет:

> при ребуте данная система виснет наглухо после сообщения "system halted"

Documentation/kernel-parameters.txt

reboot= [BUGS=IA-32,BUGS=ARM,BUGS=IA-64] Rebooting mode
Format: [,[,...]]
See arch/*/kernel/reboot.c or
arch/*/kernel/process.c

И перебирать все 4 варианта - warm, cold, bios, hard.

А.Л.


-- 
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]

Re: Scanner over ethernet

2007-09-30 Пенетрантность Alexey Lobanov

Комментарий по поводу sane-twain. Софтина достаточно сырая и работает 
отнюдь не со всеми поддерживаемыми Sane сканерами. Мы в своё время при 
активном соучастии автора так и не добились толку от HP-шного комбайна, 
который внутри линуха поддерживается полностью. Причина, скорее всего, 
в недокументированном влиянии локали на обработку данных floating point 
внутри протокола twain. Comma vs. dot и прочая дрянь.


30.09.2007 18:30, Poul пишет:


Пасиб огромный! обязательно попробую.



Запустить на сервере saned и разрешить (пакет sane-utils).
Разрешить доступ к нему со всех машин, с каких надо.
На виндовые машины поставить 
SaneTwain http://sanetwain.ozuzo.net/



--
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]

Re: growisofs перестал писать DVD+R

2007-10-03 Пенетрантность Alexey Lobanov

Hi.

04.10.2007 08:09, Oleg Matviychuk пишет:

> Просто смущает
> Invalid argument. Когда год назад навернулся лазер от СД на другом приводе, 
> там по 
> ошибке можно было понять, что привод накрылся. 

А от этого может помочь обновление прошивки в приводе. Там тоже баги
есть обычно.

А.Л.


-- 
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]

Re: Перемудрили со спамф ильтрами?

2007-10-05 Пенетрантность Alexey Lobanov

А про цензуру почты по содержанию достаточно хорошо написано у Гашека, в
первой главе "Швейка".

С моей точки зрения, система доставки почты не имеет никакого собачьего
права лезть в текст доставляемого письма и как-то его анализировать по
правилам цензуры. Каковые правила, естественно, недокументированы и
меняются на ходу. И эта точка зрения опирается не только на Гашека, но в
том числе и на Закон о Связи.

Анализировать техническую часть письма (заголовки RFC-2822) почтовая
система может и должна. Принимать почту от всех хостов подряд не должна:
тот же ЗоС даёт достаточно логичное и необременительное требование
всегда обслуживать только своих прямых клиентов и российские
провайдерские системы.

В данном случае - ну вот зачем мы давеча принимали мусор с релеев
Orange, давно и прочно сидящих в multihop.dsbl.org? И с каких-то
диалапов напрямую?

А.Л.

05.10.2007 09:55, Oleg Anisimov пишет:

> Письма дружно строем уходили в /dev/null безо всяческих отлупов.

--
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]

Re: Postfix: проверка получат еля

2007-10-08 Пенетрантность Alexey Lobanov


08.10.2007 19:18, Alexander Vlasov пишет:

> У пн, 2007-10-08 у 19:08 +0400, Artem Chuprina пише:


А в каком виде она у цируса?


О! Тот самый нужный вопрос.



afair libdb4.x


А вот ответу я не верю. "mailboxes.db" - дерево почтовых фолдеров, а не 
база пользователей. И это таки две большие разницы.


Подсказка: в настоящей базе пользователей, кроме имён, лежат ещё пароли.


А.Л.


--
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]

Re: Postfix: clamav и spamassassin через milter

2007-10-08 Пенетрантность Alexey Lobanov


08.10.2007 19:35, Покотиленко Костик пишет:


Интересует настройка контент фильтров clamav и spamassassin в postfix
через технологию milter, чтобы спам до очереди не доходил. Если кто
настраивал, поделитесь конфигами пожалуйста. Месяц назад пробовал, не
получилось.


Интерфейс milter полностью работает начиная с Postfix 2.4. В стабильном 
дебиане у нас 2.3.x - и опаньки.


В 2.4.0:

smtpd_milters =
 unix:/var/run/clamav/clamav-milter.ctl
 unix:/var/spool/MIMEDefang/mimedefang.sock

Напильник применялся только для прав доступа. Чтобы postfix мог писать в 
сокет clamd, а clamd - читать проверяемые файлы из спула.


А.Л.








--
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]

Postfix & scattermail

2007-10-09 Пенетрантность Alexey Lobanov

Hi all.

А как у Постфикса можно реализовать стандартную рекомендацию отправлять
Non-Delivery Reports только своим и не отправлять на чужие домены? Дабы
входящий спам никогда не генерировал NDR, даже если возникли какие-то
технические проблемы с его локальной доставкой после приёма.

Типичная реальная проблема: корявый технический заголовок в спаме
недостаточно крив для отлупа на этапе SMTP, но вызывает отлуп на этапе
LMTP при локальной доставке. И имеем:

<[EMAIL PROTECTED]>: host mx1.nokia.com[192.100.122.228] said: 501
5.1.3
Syntax error in mailbox address "[EMAIL PROTECTED]" (non-printable
character) (in reply to RCPT TO command)


А.Л.



-- 
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]

Re: Postfix: проверка получат еля

2007-10-09 Пенетрантность Alexey Lobanov

Hi.

09.10.2007 12:08, Alexander Vlasov пишет:

> У пн, 2007-10-08 у 21:18 +0400, Alexey Lobanov пише:
>> 08.10.2007 19:18, Alexander Vlasov пишет:
>>
>>  > У пн, 2007-10-08 у 19:08 +0400, Artem Chuprina пише:
>>
>>>> А в каком виде она у цируса?
>> О! Тот самый нужный вопрос.
>>
>>> afair libdb4.x
>> А вот ответу я не верю. "mailboxes.db" - дерево почтовых фолдеров, а не 
>> база пользователей. И это таки две большие разницы.
>>
>> Подсказка: в настоящей базе пользователей, кроме имён, лежат ещё пароли.
> 
> Тогда вопрос не имеет смысла. Потому что "настоящей" базы не существует,
> цирус умеет кучу механизмов авторизации включая передачу ответственности
> стороннему приложению, которое хоть от фазы луны пускает.

А вот это уже похоже на конструктивный ответ. Соответственно, Postfix
может и должен спрашивать наличие юзера ровно у того же стороннего
приложения по тому же протоколу. DATABASE_README.html.

> И кстати нет никакой гарантии что "настоящая база", чем бы она ни была,
> доступна с хоста с МТА как явление. 

Ну, это уже технические проблемы почтмейстера - как сделать эту базу
доступной по *локальной* сети. Вполне решаемые.

А.Л.


> 


-- 
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]

Re: Postfix & scattermail

2007-10-09 Пенетрантность Alexey Lobanov

Hi.

09.10.2007 12:30, Peter Evdokimov пишет:

> On Tue, 09 Oct 2007 11:34:48 +0400
> Alexey Lobanov wrote:
> 
>> А как у Постфикса можно реализовать стандартную рекомендацию
>> отправлять Non-Delivery Reports только своим и не отправлять на чужие
>> домены? Дабы входящий спам никогда не генерировал NDR, даже если
>> возникли какие-то технические проблемы с его локальной доставкой
>> после приёма.
> 
> http://www.postfix.org/BACKSCATTER_README.html

Это про то, как не принимать чужой backscatter. А вопрос про то, как
прекратить генерировать этот мусор в своей системе.

Беда в том, что запоздалая проверка адреса получателя - это не
единственная причина backscatter. Могут быть и другие проблемы после
приёма письма на существующий локальный адрес. Соответственно, локальные
 отправители должны знать об этих проблемах через NDR, а внешние
отправители - не должны.

А.Л.

-- 
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]

Re: Какой пакет лучше?

2007-10-26 Пенетрантность Alexey Lobanov

26.10.2007 18:45, Peter Teslenko пишет:

> Привет, коллеги.
> 
> Есть APC UPS, который доступен по сети.
> К нему подключено несколько серваков, в том числе и w2k.
> Какой пакет лучше ставить чтобы сервера адекватно реагировали на перебои
> с питанием?

Родной apcupsd, вестимо. Он и многоплатформенный, и с сетевым протоколом.

А.Л.


> 


-- 
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]

Re: Кэш файловой системы

2007-10-28 Пенетрантность Alexey Lobanov

29.10.2007 00:42, Admont пишет:

>> Появился следующий вопрос - список файлов имеет резон хранить в базе данных, 
>> если требуется только проверять их существование, или файловая система 
>> работает с такой задачей достаточно эффективно? Примерный масштаб: не более 
>> 10 000 директорий и в каждой не более а) 100 файлов б) 1000 файлов. Или 
>> подскажите, куда смотреть, чтоб ответить на поставленный вопрос. Для одного 
>> пользователя оптимизация скорее всего смысла не имеет, а если 10/100/1000 
>> пользователей?

> IMHO, ФС лучше справится с этой задачей.

Но не обязательно это ext3.

> Кстати, все 10 000 директорий будут на "одном уровне"?

А почему бы и нет?

$ ls -l|wc -l
35240

$ mount
...
/dev/md1 on /srv/imap type reiserfs (rw)

В данном случае это старый третий Рейзер, поскольку царю Киру не нужны
ни acl, ни атрибуты.

А.Л.


-- 
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]

Re: Кэш файловой системы

2007-10-29 Пенетрантность Alexey Lobanov

29.10.2007 11:09, Admont пишет:

>>> IMHO, ФС лучше справится с этой задачей.

>> Но не обязательно это ext3.

> Это Вы к чему?

К тому, что "10 000 директорий на одном уровне" - это много, но тоже
решаемо на уровне ФС без дополнительных сущностей.

> 
>>> Кстати, все 10 000 директорий будут на "одном уровне"?
>> А почему бы и нет?
> Я вопрос автору задавал, как мне помнится.

Помнится, что в рассылке, а не в личной почте :-)

А.Л.


> 
> 


-- 
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]

Re: Хостинг - недостоверн ая информация

2007-11-02 Пенетрантность Alexey Lobanov

02.11.2007 14:20, Yauhen Kharuzhy пишет:

> А вообще, был тут у нас случай в Минске, когда на почтовом сервере
> местного портала tut.by вылетел RAID-контроллер и они его дня три искали
> в продаже (в Москве не могли найти тоже). Был бы софтрейд --- поменяли
> бы контроллер на любой, и всё.

Очень правильное замечание. У нас тут тоже, к сожалению, не Америка. И
даже очень официальный представитель фирмы-изготовителя запросто может
вдруг заявить, что ближайшая доступная железка находится на складе в
Финляндии, а доставка займёт минимум две недели из-за очередной кампании
по борьбе с "серым импортом".

Так что либо software raid, либо *заранее* прикупить запасной контроллер
и держать на полочке. Ни на кого не надеясь.

А.Л.


> 


-- 
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]

Re: Железо для хостинга

2007-11-06 Пенетрантность Alexey Lobanov


Dmitry E. Oboukhov пишет:


жаль что Р3 больше не производят
а то они вполне 99% десктопных задач устраивали бы :)


Производят. И россыпью, и в комплекте с мамками разной степени набитости 
вплоть до трёх сетевых интерфейсов на борту.

http://www.via.com.tw/en/products/processors/

А.Л


--
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]

Re: Выбрать базу данных

2007-11-07 Пенетрантность Alexey Lobanov

07.11.2007 16:14, Tochenyk Oleg пишет:

> Ну батенька тогда может оракл вам поможет... но это дорого :)

Но загрузить и попробовать никто не препятствует. На Дебиан оно встаёт
почти без напильника.

А.Л.


-- 
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]

Off: он использовал Линух ? :-)

2007-11-08 Пенетрантность Alexey Lobanov

http://www.regdeveloper.co.uk/2007/11/07/microsoft_cio_fired/

Microsoft has fired its chief information officer (CIO) barely two years
after he was appointed to the post.

Stuart Scott was cut loose following an investigation into a "violation
of company policies". Microsoft is not saying anything more on the matter.


-- 
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]

Davenport и Tomcat

2007-11-08 Пенетрантность Alexey Lobanov

Hi all.

Никто не пробовал прикручивать Davenport к штатному Tomcat'у?

Davenport - это такой гейт WebDav -> SMB. Решает проблему веб-доступа к
файлопомойке на Самбе. Но в поставке разработчиков он идёт с собственным
Servlet container (Jetty), который, естественно, дерётся с Томкэтом за
ajp13_worker и прочее.

http://davenport.sourceforge.net/

А.Л.




-- 
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]

Re: Davenport и Tomcat

2007-11-08 Пенетрантность Alexey Lobanov

Hi.

08.11.2007 15:25, Mykola Nickishov пишет:

> 08.11.07, Alexey Lobanov<[EMAIL PROTECTED]> написал(а):
> 
>> Никто не пробовал прикручивать Davenport к штатному Tomcat'у?
> 
> А в чём именно проблема?

А не работает. Томкэт показывает содержимое webapps/davenport вместо
запуска Webdav.

> 
>> Davenport - это такой гейт WebDav -> SMB. Решает проблему веб-доступа к
>> файлопомойке на Самбе. Но в поставке разработчиков он идёт с собственным
>> Servlet container (Jetty), который, естественно, дерётся с Томкэтом за
>> ajp13_worker и прочее.
> 
> Если дерётся, то что мешает поменять соответствующие порты в server.xml?

И прописать Апачу два ajp13_worker на разные порты. Не хотелось плодить
лишние сущности, но попробую.

А.Л.


> 
>> http://davenport.sourceforge.net/


-- 
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]

Re: Прием почты в Evolution

2007-11-09 Пенетрантность Alexey Lobanov


Hi all.

10.11.2007 8:42, Aleksey N. Stepin пишет:


Доброго времени суток!

В сообщении от 9 ноября 2007 ivan написал(a):


Хотелось бы перед получением всего письма, прочитав заголовки, удалить
не нужные писма (т.к. соединение медленное - модемное).
Возможно ли такое в Evolution (искал, но пока не нашел) или в каком
другом клиенте это возможно?

Подобное я видел только TheBat!


В Pegasus Mail оно было примерно с 1996 года.

Что вроде бы этого хотели в виде плагина 
прикрутить к Thunderbird, но насколько успешно... не знаю. Думаю 
про "заголовки" можно забыть.


Хотя, казалось бы, какая проблема: команда протокола HEAD NNN SSS для 
этого и придумана.


А.Л.


--
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]

Re: Вопросы по ОЗУ

2007-11-22 Пенетрантность Alexey Lobanov

Hi.

22.11.2007 18:33, Murat D. Kadirov пишет:

> murat[~]$ free -m
>  total   used   free sharedbuffers cached
> Mem:   883869 13  0 36397

> 1. В системе установленно 1024 мб памяти, 1024 - 883 = 141. Куда
> деваются и под что используются 141 мб.

dmesg|less и строчки LOWMEM и HIGHMEM в студию.

Пример на машине с 2G:

1150MB HIGHMEM available.
896MB LOWMEM available.

Скорее всего, ядро собрано без поддержки памяти выше гигабайта. И
возникает примерно та же проблема, что на IBM PC 286 с мегабайтом: DOS
адресует как раз мегабайт адресного пространства, но памяти в нём только
640к :-)

А.Л.


-- 
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]

Разделы или диски? (Re: s oft-raid1)

2007-11-25 Пенетрантность Alexey Lobanov


Hi all.

Кстати, о RAID.

Прав ли я, когда собираю в RAID не разделы, а диски?

[EMAIL PROTECTED]:~$ cat /proc/mdstat
Personalities : [raid1]
md1 : active raid1 sdd[0] sdb[1]
  156290816 blocks [2/2] [UU]

md0 : active raid1 sdc[0] sda[1]
  156290816 blocks [2/2] [UU]

Философское обоснование такое: при физической замене диска нет 
необходимости вспоминать таблицу разделов. Достаточно обеспечить 
примерно такой же (не меньший) размер нового устройства, остальное 
сделает mdadm.


А разделы, буде возникнет нужда, делать уже на RAID device. В данном 
случае, впрочем, нужда не возникла:


[EMAIL PROTECTED]:~$ mount
.

/dev/md1 on /srv/imap type reiserfs (rw)

/dev/md0 on /srv/samba type ext3 
(rw,noexec,nodev,acl,user_xattr,usrquota,data=writeback,errors=remount-ro)


Кстати, пары в RAID-1 собраны из SATA дисков с разных контроллеров. 
Некоторым образом защита от отказа контроллера.


А.Л.


--
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]

kernel: Disabling IRQ...

2007-11-26 Пенетрантность Alexey Lobanov

Hi all.

Есть старый двухпроцессорный сервер. Зависал без видимой причины он
давно, поменять железо я хотел ещё в 2004 году. Но так и не поменял,
уволился. После меня - тоже не поменяли :-)

После апгрейда ядра с 2.4.25 на 2.6.23 стало совсем плохо. При большой
нагрузке на сеть (Intel Ethernet Pro 100) или на IDE диски (карточки с
CMD 648, CMD 649) через несколько минут ядро отключает прерывание
нагруженного PCI устройства, примерно так:

Nov 26 11:52:29 woody kernel: irq 17: nobody cared (try booting with the
"irqpoll" option)

Nov 26 11:52:29 woody kernel: Disabling IRQ #17

В данном случае это пострадал IDE-контроллер CMD-649, повод - 5 минут
активного копирования с диска на диск. Далее, естественно,

Nov 26 11:52:49 woody kernel: hdk: dma_timer_expiry: dma status == 0x24
- и половина дисковой подсистемы умерла.

Упомянутый параметр загрузки "irqpoll" не меняет в поведении системы
абсолютно ничего. Равно как ничего (кроме номеров прерываний) не меняют
irqfixup, nosmp, noacpi.

Говорить "noapic" не пробовал, но он вроде как входит в nosmp - "SMP
mode deactivated, forcing use of dummy APIC emulation".

Чипсет там странный. Broadcom он же ServerWorks CNB20LE.

Вопрос: что ещё можно покрутить в параметрах ядра и его загрузки для
получения устойчивой работы? Можно с ущербом для производительности.
Откат на старое ядро, увы, не проходит - по другим причинам. Да оно и
там висло, только без диагностики.

А.Л.

--
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]

Re: Разделы или диски? (Re : soft-raid1)

2007-11-27 Пенетрантность Alexey Lobanov

Hi all.

27.11.2007 11:58, Nick Phoenix пишет:

> Alexey Lobanov пишет:
>> Hi all.
>>
>> Кстати, о RAID.
>>
>> Прав ли я, когда собираю в RAID не разделы, а диски?

> http://www.mail-archive.com/[EMAIL PROTECTED]/msg02067.html

Убедительно. Ещё один аргумент дал fdisk:

/dev/hdi1   1 14593   117218241   fd  Linux raid autodetect

То есть это стандартный тип раздела, "FD".

А.Л.


> 
> 


-- 
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]

Re: kernel: Disabling IRQ...

2007-11-27 Пенетрантность Alexey Lobanov

Hi all.

Конструктивный вывод такой: "Disabling IRQ" - не болячка, а относительно
безобидный симптом более серьёзной беды. Типа кашля при туберкулёзе.

Смотрим kernel/irq/spurious.c и видим, что кашлять оно начинает, когда
мимо попадает 99900 прерываний из 10. То есть дело совсем плохо.

Соответственно, когда я этот кашель приглушил таблеточкой /* */ , через
полчаса самый нагруженный из винчестеров отвалился от контроллера
совсем, перестал детектироваться при тёплой перезагрузке. Но машина при
этом хотя бы не сдохла, и факсы продолжает исправно принимать и сейчас.

Ds: в морг.

А.Л.

>> Такая же проблема была на старой машине (Duron ~800) с NIC Intel
>> PRO/1000 GT при большой нагрузке на сеть. На драйвер e1000 запостено
>> куча багрепортов по этой теме, но толком решения нет. Лично я для себя
>> сделал вывод, что причина в багонутых матерях в области работы с IRQ.


-- 
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]

Re: kernel: Disabling IRQ...

2007-11-28 Пенетрантность Alexey Lobanov

Hi,

28.11.2007 12:04, Oleg Frolkov пишет:


> Вообще-то если пишешь что отключает разные устройства то надо приводить
> все примеры.

Скорее, это означает, что виноваты не устройства, а система. И
перечислять примеры бестолку.

> В данном случае похоже что проблемыы с
> DMA у контроллера HDD. Постарайся средствами BIOS или тусованием плат
> разнести DMA контроллер на отдельное прерывание.

Я же писал, что "ничего (кроме номеров прерываний) не
меняют irqfixup, nosmp, noacpi."

А основной режим smp+apic сам всё разносит.

> 
> Вообще неплохо-бы еще сюда cat /proc/interrupts - Чтобы видно было что
> там у тебя творится.

[EMAIL PROTECTED]:~# cat /proc/interrupts
   CPU0   CPU1
  0: 61  0   IO-APIC-edge  timer
  1:  4  4   IO-APIC-edge  i8042
  3:  44728  45264   IO-APIC-edge  serial
  7:  0  0   IO-APIC-edge  parport0
  8:   61246284   61249572   IO-APIC-fasteoi   rtc
 10: 40 57   IO-APIC-fasteoi   ohci_hcd:usb1
 12:   7265   7480   IO-APIC-edge  i8042
 14:   1761   1855   IO-APIC-edge  ide2
 16:  11443  11594   IO-APIC-fasteoi   ide0
 17:   1722   1670   IO-APIC-fasteoi   ide4
 18:110 82   IO-APIC-fasteoi   serial
 19:   3101   2788   IO-APIC-fasteoi   eth0
 31:493494   IO-APIC-fasteoi   acpi
NMI:  0  0
LOC: 143906 144292
ERR:  0
MIS:  0

Отваливались:

irq 16 RAID bus controller: Silicon Image, Inc. SiI 0649 Ultra ATA/100
PCI to ATA Host Controller

irq 17 RAID bus controller: Silicon Image, Inc. PCI0648

irq 19 Ethernet controller: Intel Corporation 82557/8/9 [Ethernet Pro 100]

А.Л.

> 
> 
> Oleg.
> 
> 


-- 
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]

Re: kernel: Disabling IRQ...

2007-11-28 Пенетрантность Alexey Lobanov

Hi all.

28.11.2007 15:19, Oleg Frolkov пишет:

> Тем не менее телепатов тут нет, 

Дык. Поэтому я и не рассчитываю на диагноз, а надеюсь получить свежие
идеи для диагностики на месте. Это обмен опытом, а не техподдержка IBM :-)

> диагноз можно поставить только видя как
> можно больше симптомов.

Точно.


> Основной режим это что? Каким образом осуществляется переключение
> основной/дополнительный?

Основной, штатный режим работы ядра SMP. Если ничего не говорить ему при
загрузке.

>>> Вообще неплохо-бы еще сюда cat /proc/interrupts - Чтобы видно было что
>>> там у тебя творится.
>>> 
>>
>> [EMAIL PROTECTED]:~# cat /proc/interrupts
>>CPU0   CPU1
>>   0: 61  0   IO-APIC-edge  timer
>>   1:  4  4   IO-APIC-edge  i8042
>>   3:  44728  45264   IO-APIC-edge  serial
>>   7:  0  0   IO-APIC-edge  parport0
>>   8:   61246284   61249572   IO-APIC-fasteoi   rtc
>>  10: 40 57   IO-APIC-fasteoi   ohci_hcd:usb1
>>  12:   7265   7480   IO-APIC-edge  i8042
>>  14:   1761   1855   IO-APIC-edge  ide2
>>  16:  11443  11594   IO-APIC-fasteoi   ide0
>>  17:   1722   1670   IO-APIC-fasteoi   ide4
>>  18:110 82   IO-APIC-fasteoi   serial
>>  19:   3101   2788   IO-APIC-fasteoi   eth0
>>  31:493494   IO-APIC-fasteoi   acpi
>> NMI:  0  0
>> LOC: 143906 144292
>> ERR:  0
>> MIS:  0
>>
>>   
> Если я не туплю то 0-15 Это основной контроллер прерываний, 16 - выше
> это APIC.

Насколько я понимаю, в SMP режиме они всё APIC. О чём прямо сказано выше.

> Возможные варианты лечения:

> 2. Отключить apic в BIOS - тогда все должно рассаживаться в пределах
> 0-15 прерываний.
> 
> 3. Отключить APIC при загрузке ядра

Дык. Тот же результат достигается "nosmp" в загрузке. Всё рассаживается
в пределах 15, и при хорошей нагрузке на ide4, ide5 "Disabled"
оказывался irq 12.


> 
> 
> Других вариантов вроде-бы нет

Так я уже написал про вариант, который оказался конструктивным.
Закомментировать вызов "disable_irq" в kernel/irq/spurious.c. После
этого машина перестаёт хотя бы виснуть, и с ней можно разговаривать дальше.

Далее, сегодня утром один из винчестеров был перенесён с карты которая
irq17 на свободный IDE канал на мамке, поганый ServerWorks OSB4. И -
ГЛЮКИ ПОЛНОСТЬЮ ИСЧЕЗЛИ.

Возможных объяснений два.

1. Чип CMD-649 под ядром 2.6 категорически не смог работать с двумя
каналами. До этого почему-то 6 лет как-то работал под 2.4...

2. Источником проблем был именно СВОБОДНЫЙ контроллер ServerWorks. В
пользу этого говорит то, что при отсутствии винта ядро не присваивало
этому устройству прерывания вообще (по lspci). То есть не до конца его
конфигурировало ("Will probe later" в загрузке) - и  мог гнать в шину
какой-то мусор?

А.Л.


> 
> Oleg.
> 
> 


-- 
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]

Re: data=journal для ext3

2007-11-29 Пенетрантность Alexey Lobanov

В качестве идеи:

а что будет, если хранить журналы на отдельном маленьком SSD,
solid-state drive? С нулевым seek time и на отдельном канале.

Основной смысл - не дёргать головки постоянно между областью данных и
областью журнала. Пусть "элеватор" ходит туда-сюда по своему регулярному
плану.

А.Л.

29.11.2007 11:39, Alexey Pechnikov пишет:

> Есть 
> желание из SATA винтов выжать все возможное для БД.


-- 
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]

Re: Howto по Cyrus Murder

Hi.

30.11.2007 13:19, Alexander Vlasov пишет:

> НИкак не разыскивает, бакенд сообщает ему свою базу пользователей сам.

Точнее, через Мастера. И это работает, mailboxes.db из двух источников
компилируется на Мастере и скачивется на frontend. Как и сказано в доке.

И после этого front-end proxyd таки не находит, куда и как дальше
цепляться после успешной аутентификации клиента. На бэк-эндах не
регистрируется никаких переговоров с фронтэндом по поводу
нижеупомянутого "no mechanism".

Nov 30 15:04:34 mail imap[1593]: accepted connection
Nov 30 15:04:34 mail imap[1593]: login: dhcp24.office.rct-int
[10.0.0.24] aal NTLM User logged in
Nov 30 15:04:34 mail imap[1593]: couldn't authenticate to backend
server: no mechanism available

А.Л.


-- 
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]

Re: Howto по Cyrus Murder

Более конкретный вопрос.

Конфигурирую простой back-end, в соответствии с install-murder.html. И
как только вписываю в imapd.conf упоминание "mupdate_server:" (чтобы
backend докладывал свои ящики) - на этой же машине мгновенно падает
доставка по LMTP с диагностикой "lmtp: couldn't authenticate to backend
server: no mechanism available".

Откуда у простого lmtpd вообще берётся желание "authenticate to
backend", если мы уже на backend'е? И запускаем не lmtpproxyd, а именно
lmtpd?

А.Л.


30.11.2007 11:56, Alexey Lobanov пишет:
> Hi all.
> 
> Наведите, пожалуйста, на документацию по построению кластера на Cyrus IMAP.
> 
> Штатная документация из  install-murder.html и ag.html очень много чего
> умалчивает про взаимодействие разных типов серверов. Как именно
> front-end разыскивает нужный back-end, и т.п.
> 
> А.Л.
> 
> 


-- 
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]

Howto по Cyrus Murder

Hi all.

Наведите, пожалуйста, на документацию по построению кластера на Cyrus IMAP.

Штатная документация из  install-murder.html и ag.html очень много чего
умалчивает про взаимодействие разных типов серверов. Как именно
front-end разыскивает нужный back-end, и т.п.

А.Л.


-- 
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]

Re: Howto по Cyrus Murder