pkgdb a kompilace ?
Zdravim, Stala se mi ted na jednom systemu zajimava vec. Jedna se o stroj s FreeBSD 6.1 release 7, update portu delane kazdy tyden. Pred dvema dny jsem chtel provest update systemu a zacit instalovat update jednotlivych aplikaci kdyz se objevil tento problem. portinstall a portupgrade hlasi: [Updating the pkgdb in /var/db/pkg ... origins - not a string (NilClass); rebuild needed] [Rebuilding the pkgdb in /var/db/pkg ... - 187 packages found (-0 +187) .Killed Zkusil jsem manualne rebuild pomoci pkgdb -F a skoncilo to stejne. Nasledovalo smazani /var/db/pkg/pkg.db a znovu pusteni pkgdb, stejna chyba Zkusil jsem tedy na cvsupnutem systemu v adresari /usr/ports/sysutils/pftop dat make install clean Korektne to stahlo zdrojaky, spustil configure a v okamziku kdy mel zacit kompilovat, skoncil s nasledujicim: cc: Internal error: Killed: 9 (program cc1) Please submit a full bug report. See http://gcc.gnu.org/bugs.html> for instructions. *** Error code 1 /etc/make.conf NO_SENDMAIL=true KERNCONF=DATABASE CPUTYPE=pentium4 CFLAGS= -O2 -pipe -funroll-loops COPTFLAGS= -O2 -pipe -funroll-loops #WITH_OPENLDAP_VER=23 #WANT_OPENLDAP_VER=23 #CFLAGS= -O2 -pipe -funroll-loops -ffast-math #COPTFLAGS= -O2 -pipe -funroll-loops -ffast-math NO_KERBEROS=true # added by use.perl 2006-09-28 01:02:40 PERL_VER=5.8.8 PERL_VERSION=5.8.8 Vzhledem k tomu, ze se jedna o produkcni masinu, nerad bych reinstaloval cely system. Nenapada vas nekoho neco ? Honza -- FreeBSD mailing list (users-l@freebsd.cz) http://www.freebsd.cz/listserv/listinfo/users-l
RE: pkgdb a kompilace ?
Jan Dušátko wrote: > Stala se mi ted na jednom systemu zajimava vec. Jedna se o stroj s > FreeBSD 6.1 release 7, update portu delane kazdy tyden. Pred dvema dny > jsem chtel provest update systemu a zacit instalovat update > jednotlivych aplikaci kdyz se objevil tento problem. portinstall a > portupgrade hlasi: > > [Updating the pkgdb in /var/db/pkg ... origins - > not a string (NilClass); rebuild needed] [Rebuilding the pkgdb > in /var/db/pkg ... - 187 packages found (-0 +187) > .Killed Problem souvisi s ruby18-bdb/ruby18-bdb1 - mam dojem, ze pokud jsou nainstalovany oba, pak portupgrade nefunguje dobre. Nevim, co jste tam nel driv a ono je to celkem jedno - at je tam jen jeden. Pak smazat pkg.db a taky v /usr/ports databazi indexu a melo by byt po problemu. Mam nainstalovany pouze ruby18-dbd, portupgrade delam pouze pomoci -fkir a vybiram si. Co ta druha chyba s kompilaci, s cim to muze souviset ? Diky Honza -- FreeBSD mailing list (users-l@freebsd.cz) http://www.freebsd.cz/listserv/listinfo/users-l
RE: FreeBSD CDMA AnyData
Ahoj,
Uz to tu bylo nekolikrat reseno, jedna se o nasledujici zasahy:
modifikace /usr/src/sys/dev/usb/ubsa.c
kde v okoli 220 radku je struktura ubsa_products
Zde je potreba pridat radek/y pro modem Anydata
/* AnyDATA * /
{ USB_VENDOR_ANYDATA, USB_PRODUCT_ANYDATA_ADU_E100H },
modifikace /usr/src/sys/dev/usb/usbdevs
kde je potreba pridat radky
vendor ANYDATA 0x165d AnyDATA Corporation
/* AnyDATA Products */
product ANYDATA ADU_E100H 0x6501 Adu-E100H
Dale je bud nutne pridat do konfigurace kernelu pred kompilaci povoleni
devices pro ubsa, ucom a umodem, nebo tyto moduly nacitat pomoci
/boot/loader.conf (moje volba):
ubsa_load="YES"
ucom_load="YES"
umodem_load="YES"
pak je nutne spustit rekompilaci jadra a po restartu (nebo reloadu
jednotlivych modulu a znovuzapojeni modemu) vse funguje.
Velice pekne je pripraveny patch od Jindry, ktery resi celou zalezitost
(mimo modulu)
http://logout.sh.cvut.cz/~fulda/anydata.siemens.patch.gz
Pro konfiguraci /etc/ppp/ppp.conf
cdma-a:
set phone "#777"
set authname [EMAIL PROTECTED]
set authkey xx
set device /dev/cuaU0
set timeout 3600
set reconnect 10 10
set redial 10 10
disable ipv6
disable dns
add default HISADDR
set dial "ABORT BUSY ABORT NO\\sCARRIER TIMEOUT 10 \
\"\" ATDT#777"
set speed xx
Hodnotu speed neuvadim, jinak slysel jsem doporucenou 230400, ale take
921600 (nemam odzkouseno, na tu se to pry nepripoji)
default DNS pro eurotel (pro konfiguraci named) jsou:
160.218.10.200
160.218.43.200
Snad je to plne vycerpavajici
Honza
Ahoj,
Nemate nekdo zkusenost s CDMA modemem AnyData. Modem se mi stale hlasi jako
ugen0 namisto cuaU0, tak netusim, jestli to nevyzaduje nejaky hack ve
zdrojich nebo je to jen chybna konfigurace.
Diky V.
--
FreeBSD mailing list (users-l@freebsd.cz)
http://www.freebsd.cz/listserv/listinfo/users-l
RE: Flash disk pod FreeBSD R6.1
Zdravim, chtel bych si koupit Flash disk, ale pred koupi se chci radsi zeptat na vase zkusenosti s flaskama pod R6.x. Mam vyhlidnuty tenhle 2G: http://www.it.cz/index.php?met=49&produkt_id=5946&; Nemate s nim nekdo zkusenosti? Karel Ahoj Nevim jak tenhle konkretni, ale zatim jsem nenarazil na problem. Lze udelat i automount pomoci usbd pro konkretni typ flashdisku. Zatim jsem pouzival vse do velikosti 1 GB, pokud to mas neco vetsiho, nedokazu rict. To co jsem pouzival byly "znackove" HP, Dell a FS, dle meho bude fungovat cokoliv. Honza -- FreeBSD mailing list (users-l@freebsd.cz) http://www.freebsd.cz/listserv/listinfo/users-l
RE: Upgrade portu
Tak si odpovim. Pustil jsem si na mailserveru greylisting a FreeBSD servery yjevne patri k tem, se kterymi greylisting nekamaradi. Ondra Ondra Koutek píše v pá 24. 11. 2006 v 18:42 +0100: > Poslal jsem vcera v noci pr s novym portem a nedostal jsem ani > vracenku, ani potvrzeni, nic. Tak bych se rad zeptal, jestli nevite, > co je kde spatne. Jestli na mem mailserveru a nebo je to obecny > problem. (podle logu posta korektne odesla) > > Ondra > Nevim, pouzival jsem na par mistech postgrey a funguje, problem byl jenom v mnozstvi odmitanych serveru. Nezavisi na tom, jestli na nich bezi lotus, exchange, groupwise, postfix, sendmail nebo neco jineho. Zavisi to pouze na nastaveni systemu a dodrzeni vsech pravidel (RFC 2821). Greylisting kontroluje server a adresu odesilatele a adresu prijemce (viz http://projects.puremagic.com/greylisting/whitepaper.html) Honza -- FreeBSD mailing list (users-l@freebsd.cz) http://www.freebsd.cz/listserv/listinfo/users-l
Dotaz pro instalaci
Zdravim vespolek. Chci se zeptat. Zkousel nekdo z Vas rozebehnout geli nebo geom pro cely souborovy system, startovat ne pres standardni boot manager FreeBSD ale pres GRUB ? Predem dekuji za jakekoliv odpovedi. Honza -- FreeBSD mailing list (users-l@freebsd.cz) http://www.freebsd.cz/listserv/listinfo/users-l
RE: Dotaz pro instalaci
> Zdravim vespolek. > Chci se zeptat. Zkousel nekdo z Vas rozebehnout geli nebo geom pro > cely souborovy system, startovat ne pres standardni boot manager > FreeBSD ale pres GRUB ? Predem dekuji za jakekoliv odpovedi. nikdy jsem nic takoveho nezkousel ale to bootovani funguje tak ze bootloader to nahraje z "normalniho" disku a v prubehu bootu se prepne / na zarizeni uvedene v fstab.. takze by to melo byt vuci bootloaderu invariantni.. tot teorie :) Jak pravil klasik, sediva je teorie, zeleny je strom zivota. Nasel jsem na webu par odkazu, jednak na: http://www.freebsd.org/doc/en_US.ISO8859-1/books/handbook/disks-encrypting.h tml kde je zaklad a potom na: http://events.ccc.de/congress/2005/fahrplan/events/1139.en.html kde je popisovana moznost vytvoreni / jako encrypted file system (stejne jako pro swap atd.) Zajimam se o informace jestli ma nekdo prakticke zkusenosti, nebo jestli mam experimentovat ;o)) Honza -- FreeBSD mailing list (users-l@freebsd.cz) http://www.freebsd.cz/listserv/listinfo/users-l
FreeBSD, OpenSSL a CA
Zdravi vespolek, mam jisty drobny problem s vytvarenim certifikacni autority. Oblibeny RTFM ani STFG strycka google moc nepomohli, tak se obracim s prosbou o radu. Puvodne jsem chtel pouzit ne OpenSSL, ale systemove sluzby, ale vysledek je stejny. Pro generovani pouzivam soubory CA.pl pripadne CA.sh se shodnym vysledkem: CA.pl -newca CA.pl -newreq CA.pl -sign Kde posledni (CA.pl - sign) mi vrati zpet nasledujici informaci: Using configuration from /etc/ssl/openssl.cnf variable lookup failed for CA_Default::private_key 66694:error:0E06D06C:configuration file routines:NCONF_get_string:no value:/usr/src/secure/lib/libcrypto/../../../crypto/openssl/crypto/conf/conf _lib.c:329:group=CA_Default name=private_key Signed certificate is in newcert.pem a soubor newcert.pem ma nulovou velikost. Muze mi nekdo pomoci radou nebo postupem, jakym zpusobem korektne rozchodit lokalni CA ? Predem diky Honza -- FreeBSD mailing list (users-l@freebsd.cz) http://www.freebsd.cz/listserv/listinfo/users-l
RE: FreeBSD, OpenSSL a CA
Jan Dušátko napsal/wrote: > Using configuration from /etc/ssl/openssl.cnf > variable lookup failed for CA_Default::private_key > 66694:error:0E06D06C:configuration file routines:NCONF_get_string:no > value:/usr/src/secure/lib/libcrypto/../../../crypto/openssl/crypto/con > f/conf > _lib.c:329:group=CA_Default name=private_key Hlasi to, dost jasne (dokonce dvakrat), ze v /etc/ssl/openssl.cnf nemuze najit promennou private_key v sekci CA_Default Je v sekci CA_Default promenna private_key definujici na privatni klic autority ? Dan prikladam cast vypisu [ CA_default ] dir = /etc/ssl/default certs = $dir/server crl_dir = $dir/crls database= $dir/index.txt unique_subject = yes new_certs_dir = $dir/newcerts certificate = $dir/CA/cacert.pem serial = $dir/serial #crlnumber = $dir/crlnumber crl = $dir/crls/crl.pem private_key = $dir/CA/private/cakey.pem RANDFILE= $dir/CA/private/.rand -- FreeBSD mailing list (users-l@freebsd.cz) http://www.freebsd.cz/listserv/listinfo/users-l
Drivery
Kdyz uz se tu narazilo na drivery a podporu hardware, mam mozna dost hloupy dotaz. Na notebooku mam grafickou kartu ATI Mobility Fire GL/T2, pro kterou jsem zatim nenasel podporu. Jednak se mi ji nepodarilo rozbehat s podporou dualhead (coz je patrne podporovane jenom pro MGA ? ), jednak se mi nepodarilo rozbehat ani OpenGL. Jedine dostupne ovladace jsou na strance ATI pro Linux, ne pro BSD. Protoze ATI je podporovana v nove verzi MaxOS X (coz je ve sve podstate FreeBSD, protoze vychazi z Darwina), napadlo mne zkusit podporu Apple (minim tim ovladace). Mate nekdo informace proc by to mohlo/nemohlo jit, pripadne na co vse bych se mel pripravit ? ;o)) Diky Honza -- FreeBSD mailing list (users-l@freebsd.cz) http://www.freebsd.cz/listserv/listinfo/users-l
RE: Notebook s 1000Mb sitovou kartou a podporou .1q vlan + jumbo frame
Pouzivam notebook nw8000, broadcom zde funguje bez problemu. Moje osobni zkusenost s HP zelezem, obcas si hraji i s jinymi notebooky, zatim jsem nenarazil na problemy se sitovkami. Vadi mi pouze podpora grafickych karet ATI do X-Windows. Zdravim, hledam notebook, ktery by obsahoval 1000Mb sitovou kartu, ktera pod fbsd podporuje jumbo frame a .1q vlan. Dle manualove stranky vlan (man vlan) neni moc sitovek, ktere tuto funkcionalitu maji a jeste mene je notebooku, ktere tyto sitovky obsahuji. Muzete nekdo doporucit z praxe, ktery notebook takovou sitovou kartu ma? Oni prodejci moc sitovou kartu nespecifikuji a vetsinou uvadeji pouze "10/100/1000 sitova karta" a kdyz uz se rozepisi, tak uvedou "Broadcom 10/100/1000". A zrovna Broadcom u vsech chipu tuto funkcionalitu nema. Idealni by byl notebook s Intel Pro 1000, ale zadny takovy nemohu najit. Diky za odpovedi. -- FreeBSD mailing list (users-l@freebsd.cz) http://www.freebsd.cz/listserv/listinfo/users-l
RE: Notebook s 1000Mb sitovou kartou a podporou .1q vlan + jumbo frame
Omlouvam se, to jsem prehledl. On Thu, 18 Jan 2007, Jan Duąátko wrote: > Pouzivam notebook nw8000, broadcom zde funguje bez problemu. Nojo, ale otazka znela (zdalo se mi), jestli ta karta hardwarove podporuje > podporuje jumbo frame a .1q vlan. Tedy, predpokladam, ze tazatel se pta po hardwarove podpore ... Dan -- FreeBSD mailing list (users-l@freebsd.cz) http://www.freebsd.cz/listserv/listinfo/users-l
Novy patch pro 6.2 a problem pri bootu
Zdravim vcera jsem po rebuildu kernelu z 6.2-p0 na 6.2-p2 zazil neprijemnou zkusenost. Updatnuty loader nebyl schopen nacist kernel a cyklicky se rebootoval, dokud jsem nedorazil k zakaznikovi. Jediny mozny postup, F1 pri rebootu a zvolit loader.old. Jedna se o server Fujitsu Siemens - prikladam vypis z dmesg: Copyright (c) 1992-2007 The FreeBSD Project. Copyright (c) 1979, 1980, 1983, 1986, 1988, 1989, 1991, 1992, 1993, 1994 The Regents of the University of California. All rights reserved. FreeBSD is a registered trademark of The FreeBSD Foundation. FreeBSD 6.2-RELEASE-p2 #0: Thu Mar 1 16:17:40 UTC 2007 [EMAIL PROTECTED]:/usr/obj/usr/src/sys/PRIVATE module_register: module pci/em already exists! Module pci/em failed to register: 17 ACPI APIC Table: Timecounter "i8254" frequency 1193182 Hz quality 0 CPU: Intel(R) Pentium(R) 4 CPU 3.00GHz (3000.52-MHz 686-class CPU) Origin = "GenuineIntel" Id = 0xf41 Stepping = 1 Features=0xbfebfbff Features2=0x441d> Logical CPUs per core: 2 real memory = 1073152000 (1023 MB) avail memory = 1036931072 (988 MB) ioapic0 irqs 0-23 on motherboard ioapic1 irqs 24-47 on motherboard kbd1 at kbdmux0 ath_hal: 0.9.17.2 (AR5210, AR5211, AR5212, RF5111, RF5112, RF2413, RF5413) acpi0: on motherboard acpi0: Power Button (fixed) Timecounter "ACPI-fast" frequency 3579545 Hz quality 1000 acpi_timer0: <24-bit timer at 3.579545MHz> port 0x1008-0x100b on acpi0 cpu0: on acpi0 acpi_throttle0: on cpu0 pcib0: port 0xcf8-0xcff on acpi0 pci0: on pcib0 pcib1: at device 3.0 on pci0 pci2: on pcib1 em0: port 0x2000-0x201f mem 0xf812-0xf813,0xf810-0xf811 irq 18 at device 1.0 on pci2 em0: Ethernet address: 00:0a:e4:13:97:5a pci0: at device 6.0 (no driver attached) pcib2: at device 28.0 on pci0 pci3: on pcib2 uhci0: port 0x1400-0x141f irq 16 at device 29.0 on pci0 uhci0: [GIANT-LOCKED] usb0: on uhci0 usb0: USB revision 1.0 uhub0: Intel UHCI root hub, class 9/0, rev 1.00/1.00, addr 1 uhub0: 2 ports with 2 removable, self powered uhci1: port 0x1420-0x143f irq 19 at device 29.1 on pci0 uhci1: [GIANT-LOCKED] usb1: on uhci1 usb1: USB revision 1.0 uhub1: Intel UHCI root hub, class 9/0, rev 1.00/1.00, addr 1 uhub1: 2 ports with 2 removable, self powered pci0: at device 29.4 (no driver attached) pci0: at device 29.5 (no driver attached) ehci0: mem 0xf8000400-0xf80007ff irq 23 at device 29.7 on pci0 ehci0: [GIANT-LOCKED] usb2: EHCI version 1.0 usb2: companion controllers, 2 ports each: usb0 usb1 usb2: on ehci0 usb2: USB revision 2.0 uhub2: Intel EHCI root hub, class 9/0, rev 2.00/1.00, addr 1 uhub2: 4 ports with 4 removable, self powered pcib3: at device 30.0 on pci0 pci4: on pcib3 pci4: at device 5.0 (no driver attached) em1: port 0x3400-0x343f m em 0xf822-0xf823,0xf820-0xf821 irq 17 at device 6.0 on pci4 em1: Ethernet address: 00:0a:e4:13:97:5b isab0: at device 31.0 on pci0 isa0: on isab0 atapci0: port 0x1f0-0x1f7,0x3f6,0x170-0x177,0 x376,0x1460-0x146f at device 31.1 on pci0 ata0: on atapci0 ata1: on atapci0 atapci1: port 0x1490-0x1497,0x1484-0x1487,0x1 488-0x148f,0x1480-0x1483,0x1470-0x147f irq 18 at device 31.2 on pci0 ata2: on atapci1 ata3: on atapci1 pci0: at device 31.3 (no driver attached) acpi_button0: on acpi0 atkbdc0: port 0x60,0x64 irq 1 on acpi0 atkbd0: irq 1 on atkbdc0 kbd0 at atkbd0 atkbd0: [GIANT-LOCKED] psm0: irq 12 on atkbdc0 psm0: [GIANT-LOCKED] psm0: model IntelliMouse Explorer, device ID 4 fdc0: port 0x3f0-0x3f5,0x3f7 irq 6 drq 2 on acpi0 fdc0: [FAST] fd0: <1440-KB 3.5" drive> on fdc0 drive 0 sio0: <16550A-compatible COM port> port 0x3f8-0x3ff irq 4 flags 0x10 on acpi0 sio0: type 16550A smbios0: at iomem 0xf6660-0xf667e on motherboard smbios0: Version: 2.31 pmtimer0 on isa0 ipmi0: on isa0 ipmi0: KCS mode found at io 0xca2 alignment 0x1 on isa orm0: at iomem 0xc-0xc7fff,0xc8000-0xc8fff,0xc9000-0xcc7ff,0xdc000-0xd on isa0 ppc0: parallel port not found. sc0: at flags 0x100 on isa0 sc0: VGA <16 virtual consoles, flags=0x300> sio1: configured irq 3 not in bitmap of probed irqs 0 sio1: port may not be enabled vga0: at port 0x3c0-0x3df iomem 0xa-0xb on isa0 Timecounter "TSC" frequency 3000521287 Hz quality 800 Timecounters tick every 1.000 msec acd0: CDROM at ata0-master UDMA33 ad4: 76319MB at ata2-master SATA150 ad6: 76319MB at ata3-master SATA150 ipmi0: IPMI device rev. 3, firmware rev. 4.81, version 1.5 ipmi0: Number of channels 1 ipmi0: Attached watchdog ar0: 76228MB status: READY ar0: disk0 READY (master) using ad4 at ata2-master ar0: disk1 READY (mirror) using ad6 at ata3-master Trying to mount root from ufs:/dev/ar0s1a em0: link state changed to UP em1: link state changed to UP tap0: Ethernet address: 00:bd:6e:39:00:00 em0: promiscuous mode enabled em1: promiscuous mode enabled -- FreeBSD mailing list (users-l@freebsd.cz) http://www.freebsd.cz/listserv/listinfo/users-l
RE: Novy patch pro 6.2 a problem pri bootu
Jan Dušátko napsal/wrote, On 03/02/07 11:46: > vcera jsem po rebuildu kernelu z 6.2-p0 na 6.2-p2 zazil neprijemnou > zkusenost. Updatnuty loader nebyl schopen nacist kernel a cyklicky se > rebootoval, dokud jsem nedorazil k zakaznikovi. Jediny mozny postup, > F1 pri rebootu a zvolit loader.old. Jedna se o server Fujitsu Siemens > - prikladam vypis z dmesg: Vypis z DMESG v tomto pripade moc nepomuze. Ten vypsalo az jadro, ktere tim potvrdilo, ze loader, ktery ho natahl, ho natahl dobre. Ten vypis jsem pridal jenom pokud by nekoho zajimaly informace, osobne predpokladam problem s radicem disku (jsou zde dva disky v hardware zrdcadle). Zkoumani proc loader rebootoval je netrivialni, obzvlast pokud neposkytl zadnou rozumnou informaci. Bohuzel, poskytl pouze stavovou informaci (restart systemu) v okamziku, kdy se obycejne zobrazi zakladni menu loaderu. Jinak - pouzit loader.old neni jedine reseni podobne situace - tuto fazi zavadeni systemu lze zcela vynechat a na miste 'loader' lze zavest rovnou samotny kernel. -- FreeBSD mailing list (users-l@freebsd.cz) http://www.freebsd.cz/listserv/listinfo/users-l
RE: kompilovat ci nekompilovat
s ohladom na debatu predchadzajucom threade o vlastnom vs GENERIC kerneli sa chcem spytat kto z vas pouziva/nepouziva generic kernel a preco? Rovnaka otazka je aj porty vs package. Pouzivam GENERIC na vetsine stroju z nasledujicich duvodu: - unix neni nenazrany ohledne pameti - hardware to bez problemu zvlada - v pripade poruchy hardware se snadneji prechazi na jine zelezo Porty kompiluji, minimalne kvuli nastaveni v make.conf -- FreeBSD mailing list (users-l@freebsd.cz) http://www.freebsd.cz/listserv/listinfo/users-l
SSH
Ahoj, Mam otazky do fora: 1) Resim pripojeni na system pres SSH, kde mam nasledujici pozadavky: - z casti rozsahu IP adres interni site pristup i pro uzivatele root - ze skupiny hostname nebo hostname.domain pristup i pro uzivatele root - z ostatního pristup pouze pro uzivatele s moznosti eskalovat privilegia pres sudo. Duvodem je snaha o komunikaci clusteru (vlastni privátni sit). Resenim by byl dalsi SSH server na jinem portu, ale hledam zda jsem neco neprehledl. Slysel jsem o moznosti konfigurace SSH pomoci expression a v manualu jsem mimo allowgroups/denygroups, kde expression povolena neni nasel i nasledujici vtipky: Host hostname.domain User ferda IdentityFile /home/ferda/.ssh/id_rsa Host 192.168.1.? Host *.local Ktere ale umoznuji pouze prihlaseni z urcite skupiny IP/hostnames Existuje neco podobného i pro uzivatele, idealne s moznosti konfigurace podminky kterou jsem popsal? 2) Je mozne zvolit jinou metodu sifrovani spojeni nez předvolené "3des-cbc", "aes128-cbc", "aes192-cbc", "aes256-cbc", "aes128-ctr", "aes192-ctr", "aes256-ctr", "arcfour128", "arcfour256", "arcfour", "blowfish-cbc", and "cast128-cbc"? Například aes v gcm modu, nebo misto RSA pouziti eliptickych krivek (ECDH/ECDHE) ? Dle dostupnych informaci to není mozne, rad bych si overil, zda jsem nic neprehledl. Nastesti lze vypnout kompresi nebo alespoň dat do stavu delayed. Dekuji za odpovedi Honza -- FreeBSD mailing list (users-l@freebsd.cz) http://www.freebsd.cz/listserv/listinfo/users-l
RE: SSH
Ahoj > a pokud vim, uz OpenSSH uz dlouho podporuje elipticky krivky v > KEX (i kdyz jsem to nezkousel, tak nevim, na co narazis, kdyz rikas, ze > to podle dostupnych informaci neni mozne): Pro osvetleni. Premyslim, nad instalaci OpenSSH z portu, zatim pouzivam klasicke SSH v base. Na FreeBSD 9.3 GCM mod neni k dispozici, ale ECDH a ECDHSA ano. Ve FreeBSD 10 je to jiz k dispozici oboje (mas pravdu). V tuhle chvili jdu resit otazku kompatibility s klienty (Win32-X / Putty atd.), abych se nahodou nedockal prekvapeni, zkusim vygenerovat klice a otestovat funkcionalitu. Diky za upozorneni. Honza -- FreeBSD mailing list (users-l@freebsd.cz) http://www.freebsd.cz/listserv/listinfo/users-l
RE: SSH
Voila ! Match Host *.domain.local PermitRootLogin yes Match Address 192.168.1.* PermitRootLogin yes Match Address *,!192.168.1.* PermitRootLogin no Match Host *,!.domain.local PermitRootLogin no Co mam otestovano, pouziti hostname jako takového neni uplne v poradku. Orizne i hostname z internetu o domenu a muze dojit k false positive. Tedy spravne nastavit v /etc/hosts a resolv.conf Honza -- FreeBSD mailing list (users-l@freebsd.cz) http://www.freebsd.cz/listserv/listinfo/users-l
RE: SSH
> > a pokud vim, uz OpenSSH uz dlouho podporuje elipticky krivky v > KEX (i kdyz jsem to nezkousel, tak nevim, na co narazis, kdyz rikas, ze > to podle dostupnych informaci neni mozne): ssh-keygen -q -f /etc/ssh/ssh_hostname -N '' -t ed25519 Snazim se jeste vyresit generovani klicu a jejich podpis pro SSH pres vlastni CA Nalezene problem: - problem pri pripojeni ze starsich systemu, nepodporujicich AES-GCM(starsi nez 2013) a/nebo KEX (starsi nez 2007) - problem s pripojenim z Windows klientu, nekteri bud nedokazi navazat spojeni, nekteri mi hlasi problem pri komunikaci (PuTTY mi obcas hlasi problem, zatim nedokazu prijit na pricinu, muze to byt I problem na interface mezi zidli a pocitacem), nektere starsi klienty jsem pochopitelne nerozhybal vubec. Az to dokoncim a cele projdu, dam vedet vice. Honza -- FreeBSD mailing list (users-l@freebsd.cz) http://www.freebsd.cz/listserv/listinfo/users-l
RE: SSH
Jenom pro zajimavost, kdyz uz jsem to nakousl. Pouziti ECDH+AESGCM+SHA mi narazi na nasledujici problemy: 1) Komunikace pouze od FreeBSD 10 2) Navazovani komunikace je sice mozne od FreeBSD 8 (starsi uz nemam), ale neni zde Podpora pro AESGCM 3) Minimalni podpora na strane Windows klientu. Podpora eliptickych krivek chybi napr. v mem oblibenem PuTTY, o podpore AESGCM nemluve Prochazel jsem klienty uvedene na: -- FreeBSD mailing list (users-l@freebsd.cz) http://www.freebsd.cz/listserv/listinfo/users-l
RE: SSH
Jenom pro zajimavost, kdyz uz jsem to nakousl. Pouziti ECDH+AESGCM+SHA mi narazi na nasledujici problemy: 1) Komunikace pouze od FreeBSD 10 2) Navazovani komunikace je sice mozne od FreeBSD 8 (starsi uz nemam), ale neni zde Podpora pro AESGCM 3) Minimalni podpora na strane Windows klientu. Podpora eliptickych krivek chybi napr. v mem oblibenem PuTTY, o podpore AESGCM nemluve. Prochazel jsem klienty uvedene na: http://en.wikipedia.org/wiki/Comparison_of_SSH_clients a z klientu, ke kterym jsem se dostal jsem nenalezl zatim jediny, ktery by uvedene plne podporoval. Zatim tedy zustava nutnost pouziti FreeBSD/FreeBSD nebo Linux/FreeBSD. Honza -- FreeBSD mailing list (users-l@freebsd.cz) http://www.freebsd.cz/listserv/listinfo/users-l
RE: SSH
> > Pouziti ECDH+AESGCM+SHA mi narazi na nasledujici problemy: > > Oproti "klasicke" RSA nabizeji elipticke krivky vice-mene tutez > bezpecnost, jen s mensi delkou klice. Pokud ale nemas s delkou RSA > klice problemy, pak se zenes do reseni problemu, ktery nemas. > > Zatimco nevyhody zustavaji jsou objektivni. Jednak ty, ktere jsi > zminil, druhak ponekud vagni namitka zalozena na tom, ze se to zatim > tolik nepouziva tudiz implementace nejsou tolik otestovane a > pravdepodobnost chybne implementace a postrannich kanalu je neco, co > stoji za uvahu. Ono je to jednoduche. Po delsi dobe si delam revizi vsech systemu, divam se co je mozne zlepsit a jak. Jednou z moznosti, kterou jsem chtel otestovat je prave pouziti jinych metod pro zajisteni komunikace. Rozhodne s tebou souhlasim, ze pouziti novych implementaci sebou nese znacna rizika. Proto uvedene testuji. Ale to co je dulezite je nasledujici: AES v GCM modu: GCM mod patri mezi AEAD mody (CBC nesplnuje ani AE), navic je podstatne lepe paralelizovatelny. Tedy vyssi bezpecnost, obrana proti MITM, vyssi propustnost ... sama pozitiva a socialni jistoty. Pouziti eliptickych krivek proti RSA: Vypocetni narocnost je obdobna, ale elipticke krivky jsou "kompaktnejsi". Navic, coz je sice teoreticke, ale paranoie se meze nekladou, RSA by mela byt principielne louskatelna Shorovym algoritmem na kvantovych pocitacich. Uvedene pro ECDH neplati. To je to 0....1% dobreho pocitu sucha a bezpeci. Uvedene mne zaujalo, protoze hledam co mohu vylepsit. Po testovani zde vidim stejne problemy jako ty. 1) prilis nove (minimalni podpora, kompatibilita ...) 2) Nevim, zda je pouzita vrstva OpenSSL nebo interni algoritmy 3) Nevim, do jake miry jsou algoritmy overeny na "bezchybnost" Honza -- FreeBSD mailing list (users-l@freebsd.cz) http://www.freebsd.cz/listserv/listinfo/users-l
Migrace z 512B na 4K block size
Zdravim, Napada nekoho zpusob, jak pokud mozno bezbolestne (tj, bez ztraty prav a co nejrychleji) prejit na ZFS z 512B bloku na 4K blok? Zatim jediny postup, ktery mne napadl je klasicke vysypani souboru, nasledne znovuvytvoreni svazku a nasypani zpet. Diky Honza -- FreeBSD mailing list (users-l@freebsd.cz) http://www.freebsd.cz/listserv/listinfo/users-l
Zvlastni chovani portmasteru
Ahoj
Dostal jsem se do situace, kdy se mi portmaster zacyklil na zavislostech a
odmital delat upgrade dalsich package, neustale se tocil na textproc/xmlto->
fop -> devel/apache-ant -> openjdk8 az jsem se dostal na nejakych 6000
procesu a vsiml si toho.
Po odstreleni jsem zkusil dle rad z internetu nasledujici postup:
1) # pkg backup /data/pkgdb.backup.20150320 Dumping database:
Backing up: 100%
2) # pkg clean
pkg: Repository FreeBSD has a wrong packagesite, need to re-create database
pkg: Repository FreeBSD cannot be opened. 'pkg update' required The
following package files will be deleted:
/var/cache/pkg/All/pkg-1.0.11.txz The cleanup will free 1 MiB
Proceed with cleaning the cache? [y/N]: y Deleting files: 100% All done
3) Kontrola /etc/pkg/FreeBSD.conf, event. porovnani s
/usr/src/etc/pkg/FreeBSD.conf
FreeBSD: {
url: "pkg+http://pkg.freebsd.org/${ABI}/latest";,
enabled: true,
signature_type: "fingerprints",
fingerprints: "/usr/share/keys/pkg",
mirror_type: "srv"
}
4) # pkg update -f
Updating FreeBSD repository catalogue...
pkg: Repository FreeBSD has a wrong packagesite, need to re-create database
Fetching meta.txz: 100%968 B 1.0kB/s00:01
Fetching packagesite.txz: 100%5 MiB 2.7MB/s00:02
Processing entries: 100%
FreeBSD repository update completed. 24022 packages processed
5) # pkg clean
Nothing to do.
6) # pkg stats
Local package database:
Installed packages: 908
Disk space occupied: 3 GiB
Remote package database(s):
Number of repositories: 1
Packages available: 24022
Unique packages: 24022
Total size of packages: 42 GiB
7) # pkg check -Bd -n -a
Checking all packages: 1%databases/WWWdb has a missing dependency:
lang/perl5.14
print/a2ps has a missing dependency: lang/perl5.14
Checking all packages: 2%security/amavis-stats has a missing dependency:
lang/perl5.14
security/amavisd-new has a missing dependency: lang/perl5.14
Jednalo se o dry run, tedy beze zmen, vicemene veci, ktere jsou vyreseny
pomoci /etc/make.conf.
Bohuzel, pri opetovnem pokusu jsem se dostal do situace, kdy se mi
portmaster zpomalil o nekolik radu - kontrola zavislosti u kazdeho z
instalovanych portu trva okolo minuty. Mam proto otazky:
1) Je nejaky zpusob, jak rebuildovat databazi portu v portng ?
2) Je nejaky zpusob, jak vyhodit duplicitni zaznamy v databazi portu (pokud
tam jsou)?
3) Na co se zamerit pri hledani problemu?
Kazda rada dobra.
Diky
Honza
Jan Dušátko
Phone: +420 602 427 840
e-mail: j...@dusatko.org
SkypeID:darmodej
GPG:http://www.dusatko.org/downloads/jdusatko.asc
--
FreeBSD mailing list (users-l@freebsd.cz)
http://www.freebsd.cz/listserv/listinfo/users-l
RE: Zvlastni chovani portmasteru
> > Tady bych se priklanel spis k variante "nainstalovat vsechny porty z > > vypsaneho seznamu", protoze kdyz se pouzijou jen ty neautomaticke, je > > docela velka sance, ze v puvodnim seznamu byly i nejake jiz > > nepouzivane zavislosti a ty v tom novem stavu nebudou znova > > zaregistrovany do databaze, takze nepujdou smazat a zustanou na disku > zapomenuty "navzdy". Take bych se k tomu priklanel, ale hledam jak s databazi portu pracovat. Nechce se mi verit, ze by ji nekdo navrhnul bez moznosti oprav. Pormaster pouziva strukturu pkgng, ale otazkou je, jak tuto databazi pripadne znovu vygenerovat. Co vlastne pouziva pkgng pri konverzi jako zdroj dat? pkgdb ? Ten bylo mozne "rebuildnout" smazanim uvedeneho souboru a spustenim pkgdb -F. Na uvedeny pokus se chystam jakmile skoncim rebuild kazdeho jednotliveho portu, aby mi server alespon bezel. Kazdopadne, pokud dam portmaster -abdgy, stale mi zustava cyklus zavislosti, ktereho se mi zatim nedari zbavit. Honza -- FreeBSD mailing list (users-l@freebsd.cz) http://www.freebsd.cz/listserv/listinfo/users-l
RE: Zvlastni chovani portmasteru
> Tady uz zadna takova moznost neni. Portupgrade mel z ceho rebuildovat > svoji databazi, protoze tam byly vsechny informace dostupne z textovych > souboru v podadresarich adresare /var/db/pkg/ Jenze s pkg(ng) v tomhle > adresari je uz jen jediny soubor - SQLite databaze. Pokud o tuto > databazi prijdes, uz neni zadny zpusob, z ceho ji obnovit (krome toho, > ze bys ji obnovoval ze zalohy) > > Mirek Takze jedina moznost script na exportovani Auvajs, co nam to provedli. A jeste ke vsemu sqlite. Honza -- FreeBSD mailing list (users-l@freebsd.cz) http://www.freebsd.cz/listserv/listinfo/users-l
RE: Zvlastni chovani portmasteru
Ahoj, Takze jsem narazil na patrne nejjednodussi reseni, které není az tak moc bolestive. Staci porty, které mají uvedenou kruhovou zavislost smaznout pomoci pkg delete (zapsat si co to smazne s nimi) a postupne nainstalovat pomoci make config && make install clean. Potom to znovu udelat pkg clean a pkg update -f a nasledne portmaster -ady 100% reseni zatím neznam, ale zacinam si delat pravidelne zalohovani databáze portu s casovou znackou. Vypada to, ze je to jedina moznost. Tzn. pkg backup /backup/pkgng.db.`/bin/date "+.%Y%m%d"` Pokud nekoho napadne lepsi reseni, budu mc a moc rad. Honza -- FreeBSD mailing list (users-l@freebsd.cz) http://www.freebsd.cz/listserv/listinfo/users-l
RE: Squid 3.4.12 + FreeBSD 8.4-STABLE
> Zdravim vsetkych, > > dnes som aktualizoval system, na ktorom bezi Squid - OS aj vsetky > porty. > > Po restarte ma cakalo nemile prekvapenie - squid nedokaze vytvorit > /var/run/squid/squid.pid subor, na ktory caka inicializacny skript. Tym > padom rc skript nikdy neskonci a system nenabehne do normalneho rezimu. Potkal jsem kdysi obdobnou zalezitost. Pricinou byla konfigurace umisteni PID souboru v rc.conf pripadne squid.conf. Doporucuji zkontrolovat, pripadne zakomentovat uvedeny radek a zkusit nastartovat znovu. Honza -- FreeBSD mailing list (users-l@freebsd.cz) http://www.freebsd.cz/listserv/listinfo/users-l
SVN problem
Ahoj, Mam problem pri synchronizaci proti svn0.eu.freebsd.org, kdy po nahodne dobe dojde k "odpojeni" komunikace, pripadne se nepripojim: # svn checkout https://svn0.eu.freebsd.org/base/stable/10 /usr/src Chybova hlaska: svn: E65: Unable to connect to a repository at URL 'https://svn0.eu.freebsd.org/base/stable/10' svn: E65: Error running context: No route to host nebo svn: E120108: Error retrieving REPORT: The server unexpectedly closed the connection. V tuto chvili se divam, zda je pricina v providerovych DNS serverech, GoogleDNS nebo OpenDNS, uvedene mam nastaveny ve forwarderu. Zatim to vypada, ze problem je nekde jinde. To potvrzuje I zkusenost z konferenci. Navic, uvedene mi bez problemu funguje pro americkou a ruskou verzi. Reseni je provest: # /usr/local/bin/svn cleanup /usr/src && /usr/local/bin/svn update /usr/src A opakovat dokolecka dokud nedojde k ukonceni svn update s errorlevel 0 Otazka: Je k dispozici I ceska verze svn serveru? Diky Honza -- FreeBSD mailing list (users-l@freebsd.cz) http://www.freebsd.cz/listserv/listinfo/users-l
Prosba
Ahoj, Mam otazku do fora. Pouziva nekdo z vas nejaky kryptoakcelerator? At Intel QuickAssist, nebo PCI/PCI-X/PCIe karty vyrobcu jako Cavium, ElipticTech, Freescale, Safenet ... Potreboval bych overit par udaju. Prosim ozvete se mi primo na moji adresu. Diky Honza Jan Dušátko Phone: +420 602 427 840 e-mail: j...@dusatko.org SkypeID:darmodej GPG:http://www.dusatko.org/downloads/jdusatko.asc -- FreeBSD mailing list (users-l@freebsd.cz) http://www.freebsd.cz/listserv/listinfo/users-l
DHCP / DHCP6
e 192.168.1.65 192.168.1.126;
allow members of "allocation-class-3";
deny unknown-clients;
}
# Unknown clients pool 192.168.1.128/192
pool {
ddns-updates on;
range 192.168.1.129 192.168.1.190;
allow unknown-clients;
}
# Unknown clients pool 192.168.1.192/240
pool {
ddns-updates on;
range 192.168.1.193 192.168.1.206;
allow unknown-clients;
}
# Printer pool 192.168.1.208/240
pool {
ddns-updates on;
range 192.168.1.209 192.168.1.222;
allow members of "allocation-class-4";
deny unknown-clients;
}
# Reserved pool 192.168.1.224/240
pool {
ddns-updates on;
range 192.168.1.225 192.168.1.238;
allow members of "allocation-class-5";
deny unknown-clients;
}
# Infrastructure pool 192.168.1.240/240
pool {
deny unknown-clients;
ddns-updates on;
range 192.168.1.241 192.168.1.254;
}
}
- --
Jan Dušátko
Phone:+420 602 427 840
e-mail:j...@dusatko.org
SkypeID:darmodej
GPG:http://www.dusatko.org/downloads/jdusatko.asc
-BEGIN PGP SIGNATURE-
Version: GnuPG v2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=iqn8
-END PGP SIGNATURE-
--
FreeBSD mailing list (users-l@freebsd.cz)
http://www.freebsd.cz/listserv/listinfo/users-l
Re: DHCP / DHCP6
Dne 5.5.2015 v 14:35 Dan Lukes napsal(a): >> mam trochu obsahlejsi dotaz, tykajici se DHCP/DHCP6 a isc-dhcpd-server >> balicku. >> V soucasnosti pouzivam tento balicek pro pridelovani IPv4 adres a chci >> zacit zkouset pridelovani IPv6, kde bych si chtel overit nektere >> chovani. Vetsina provideru na IPv6 stale neni pripravena, takze >> potrebuji vyresit i dalsi, souvisejici otazky, to je: >> - - filtrovani IPv6 >> - - preklad IPv6-IPv4 a obracene >> - - spravou adresaci v lokalni siti (fe80::?) > > > No, IPv6 je presne pripad pro vyrok: > > V kazdem problemu se skryva rada podproblemu, z nichz nektere jsou > vetsi nez puvodni problem. > To je pravda. Jak uz jsem psal, hledam i vhodne reseni pro filtry. Typickym prikladem je system, podporujici pouze IPv4 od providera, kdy termin zapnuti IPv6 je neznamy. Resenim je bud vypnout IPv6, nebo nastavit filtry tak, aby nemohla probehnout komunikace dovnitr. Mimo filtru hledam prave i branu pro IPv6-IPv4 komunikaci, o ktere jsem kdysi slysel. Nevim, zda se jednalo o obecne reseni nebo neco specialniho. > O tom jake reseni je nejvhodnejsi pro IPv6 muze vypuknout sverepa > hadka. Misto toho ti reknu jak to mam ja (tam, kde IPv6 je). > A mozna jedna vec, ktera ti, nejsem si jisty, mozna trochu unikla. > > DHCPv6 nevznika tak, ze to konfiguraku od DHCPv4 neco dopisu. DHCPv6 > je, mluvim ted o isc-dhcp, samostatne bezici daemon se samostatnym > konfigurakem. > Ohledne pouziti IPv6 a samostatneho demona vim, nastesti jsem si s tim uz trochu hral, jen zatim nejsem spokojen s vysledkem. Jde mi ale prave o nastaveni rezimu, kdy oba DHCP servery budou kooperovat, kdy prideli adresu, jeden IPv4, druhy IPv6. Samozrejme, hledam i moznosti parametrizace jako je include nebo nejakeho nastaveni spolecnych bodu. Pokud to nepujde normalne, tak to skonci scriptem, ktery o pulnoci vygeneruje konfiguracni soubory a restartne DHCP server (dobre, DHCPv4 a DHCPv6) Honza -- FreeBSD mailing list (users-l@freebsd.cz) http://www.freebsd.cz/listserv/listinfo/users-l
Re: DHCP / DHCP6
Dne 5.5.2015 v 17:07 Dan Lukes napsal(a): > On 05/05/15 16:43, Jan Dušátko: >> Jak uz jsem psal, hledam i vhodne reseni pro filtry. >> Typickym prikladem je system, podporujici pouze IPv4 od providera, kdy >> termin zapnuti IPv6 je neznamy. Resenim je bud vypnout IPv6, nebo >> nastavit filtry tak, aby nemohla probehnout komunikace dovnitr. > > Oboji je mozne. A ja bych, alespon tam, kde v kernelu je podpora pro > IPv6 zakompilovana i oboji udelal. Ledaze vubec nechci nahravat > firewall, pak samozrejme jen to prvni. > Firewall (pf) mam nacteny. To co resim je spise co vubec pro IPv6 dovolit a nedovolit, protoze komunikace, a zvlaste nekontrolovana je rizikem. Na druhou stranu se nechci ridit starym pravidlem, ze jediny bezpecny pocitac je vypnuty a pod 10m betonu. >> hledam prave i branu pro IPv6-IPv4 komunikaci > > Jako, ze hledas branu, ktera by IPv6-only klientum umoznila TCP a UDP > spojeni s IPv4-only protistranou ? > > A tim "hledam" se mysli, ze hledas nejakou cizi, externi, nebo, ze > hledas jak si ji sam naimplementovat ? > Pro zacatek IPv6 klientum komunikovat s IPv4 protistranou a pokud se to casem prehoupne do vetsiho rozsireni, IPv4 klientum umoznit komunikovat s IPv6. Existuje neco takoveho? >>> DHCPv6 je samostatne bezici daemon se samostatnym konfigurakem. > >> Jde mi ale prave o nastaveni rezimu, kdy oba DHCP servery budou >> kooperovat, kdy prideli adresu, jeden IPv4, druhy IPv6. > > Nerozumim ? > > Jeden daemon prideluje IPv4 adresu, druhej IPv6. Oboji ma svuj > protokol, kterej je sice podobnej, ale presto kazdej jinej, takze > klient se rozhodne musi na kazdou adresu ptat zvlast. > > V cem ma ona pozadovana "spoluprace" obou daemonu spocivat ? > > >> Samozrejme, hledam i moznosti parametrizace jako je include nebo >> nejakeho nastaveni spolecnych bodu. >> Pokud to nepujde normalne, tak to skonci scriptem, ktery o pulnoci >> vygeneruje konfiguracni soubory a restartne DHCP server (dobre, DHCPv4 a >> DHCPv6) > > Tohle ma ale s DHCPv6 spolecnyho jen to, ze to cos doted delal na > DHCPv4 jednou proste musis udelat jeste jednou pro DHCPv6. Proste to > delej tak, jak's to doted delal s DHCPv4, jen dvakrat. Prave to 2x je pro moji lenost jako mavani rudym hadrem pred rozzurenym bykem... -- Jan Dušátko Phone: +420 602 427 840 e-mail: j...@dusatko.org SkypeID:darmodej GPG:http://www.dusatko.org/downloads/jdusatko.asc -- FreeBSD mailing list (users-l@freebsd.cz) http://www.freebsd.cz/listserv/listinfo/users-l
Re: DHCP / DHCP6
Dne 5.5.2015 v 18:33 Dan Lukes napsal(a):
> On 05/05/15 17:13, Jan Dušátko:
> Jestli myslis na IPv6 speciality, ktere svuj obraz v IPv4 nemaji, tak
> jasne, tech tam par je. Pro zacatek se podivej, co zakazat nesmis ;-)
>
> Nahledni do /etc/rc.firewall na funkci setup_ipv6_mandatory()
>
> Ale ted bys spis mel resit jak uz dneska Windowsum zakazat vsechny ty
> tunely. Protoze co je ti platnej firewall pokud ma kazda vnitrni
> stanice verejne dosazitelnou IPv6 adresu.
>
> Tedy:
>> CM="### Deny 6to4, Teredo, ISATAP ###"
>> $fwcmd add 1050 unreach filter-prohib ip4 from any to any proto ipv6
>> via ${out} // $CM
>> $fwcmd add 1051 unreach filter-prohib udp from any to any 3544 out
>> xmit ${out}
>
Tak jsem se podival na ty tunely, blokuji co jde. Mimo teredo i moje
"oblibene" IPSec, PPTP
Ideu transparentnosti komunikace 4to6 a 6to4 opoustim, to by byl
neuveritelny bordel.
> Dan
Diky clankum na lupe a rootu jsem si dal par veci dohromady, ted si ctu
dalsi knizky a dokumentaci. Zacinam mit pocit, ze IPv6 byla na zacatku
krasna idea ... a vznikl z ni neuveritelny bastl. Centralni sprava
obtizna az nemozna, ale firmy vytvarejici zarizeni pro infrastrukturu z
ni musi mit radost (hlavne ekonomicky), protokol zbytecne slozity.
V tuhle chvili resim jak nastavit pravidla + zahazovani extra header,
hop2hop. Protoze jsem se v tom jeste stale nezorientoval, hledam i ktere
"site" mohu odriznout podobne jako na IPv4, ktere dalsi protokoly
nepujdou a pripada mi to strasne rozsahle.
Jsou tu dalsi zalezitosti, ktere musim doresit - destination header,
undetermined transport, packet reassembly (tak to mam na IPv4 +
agersivni politika zahazovani IP+cilene omezeni propustnosti),
To co hledam je funkcionalita napr ra-guard a nd-snooping, coz jsem
zatim nenasel.
Kazdopadne privitam jakekoliv dalsi napady a navrhy. Reseni vypnout IPv6
neni spatne, ale neresi cely problem (Windows a Teredo), stejne tak jako
IPv6 mi prinasi problemy (mobilni platformy a snaha vyhradit jim na male
siti specificke misto).
Kazdopadne z jedineho odpoledne, ktere jsem IPv6 venoval, mam znacne
skepticky pohled na vec. Nejde o to, ze IPv6 je uplne jine nez IPv4. Ale
rozumny zpusob vyvoje je evoluce. Tohle je typicka revoluce.
Honza
--
Jan Dušátko
Phone: +420 602 427 840
e-mail: j...@dusatko.org
SkypeID:darmodej
GPG:http://www.dusatko.org/downloads/jdusatko.asc
--
FreeBSD mailing list (users-l@freebsd.cz)
http://www.freebsd.cz/listserv/listinfo/users-l
Re: DHCP / DHCP6
Dne 5.5.2015 v 21:40 Ivo Hazmuk napsal(a): > Jan Dušátko napsal(a): >> Diky clankum na lupe a rootu jsem si dal par veci dohromady, ted si ctu >> dalsi knizky a dokumentaci. Zacinam mit pocit, ze IPv6 byla na zacatku > > Podivej se na knizku Pavla Satrapy. Je prubezne aktualizovana a ted je > k dispozici treti revize. CZ.NIC ji nabizi po IPv6 zadarmo ;-) Mam jak prvni verzi v papirove podobe (ted mi konecne zacala davat smysl), tak jsem si stahl novou. Uvidime. K ostatnim informacim, mate nekdo navrhy jak FreeBSD prinutit zajistit rozumnou miru zabezpeceni pro IPv6? 1) Politika - co dovolim a nedovolim, pripadne proc 2) Filtrovani (v mem pripade pf), to je paradoxne jednodussi nez predchozi a nasledujici bod, bohuzel to nic moc neresi 3) Centralni sprava - ideu DHCPv6 jsem stale neopustil, ale jsem v uvedenem po dnesnim prohlednuti skeptik. Hraji si ted s ISC-DHCP-Server 4.3.2 a zacinam si rvat vlasy. 4) Monitoring vyse uvedeneho K tomu je potreba pripocist, ze soucasny poskytovatel IPv6 neposkytuje (nastesti), takze mam cas experimentovat a hledat. K tomu muj paranoidni pristup, poskytovateli neverim. A desim se toho, ze IPv6 jednou zapne. Nehlede na nastaveni sysctl net.inet6.* (nutno projit a pochopit stejne jako kdysi net.inet.*) To vse na opensource platforme - tj. co mozna nejmene zarizeni, ktere budou mit nejakou specialni a placenou funkcionalitu. Diky Ted uz sedivy a napul holohlavy Honza -- Jan Dušátko Phone: +420 602 427 840 e-mail: j...@dusatko.org SkypeID:darmodej GPG:http://www.dusatko.org/downloads/jdusatko.asc -- FreeBSD mailing list (users-l@freebsd.cz) http://www.freebsd.cz/listserv/listinfo/users-l
Leap second
Ahoj shanim nejake informace o problemu s leap second (30.6.2015 23:59:59) Veskere dostupne informace tvrdi, ze FreeBSD s uvedenym nema problem, ale nenasel jsem rozumne vysvetleni proc. Vite nekdo neco blizsiho ? Honza -- FreeBSD mailing list (users-l@freebsd.cz) http://www.freebsd.cz/listserv/listinfo/users-l
Postfix a kolize openssl/base vs openssl/ports
Ahoj popis problemu a postup, ktery mozna nekomu z vas usetri cas. Dostal jsem se do situace, kdy nesel zkompilovat postfix (v instalacni fazi postconf hlasil out of memory, pripadne pokud se podarilo nahodou nejakym zazrakem postfix nainstalovat, neumoznil mi start a zase postconf hlasil out of memory event. chybejici systemove promenne). Pricinou uvedeneho problemu byla kolize openssl base vs ports, indikatorem problemu tato hlaska: /usr/bin/ld: warning: libcrypto.so.7, needed by /usr/lib/libhx509.so, may conflict with libcrypto.so.8 Jedna se o zavlecenou zavislost - krb5 -> libhx509 -> libcrypto (base) a ten se ocitne v kolizi s libcrypto z portu. Ve finale se reseni ukazalo jednoduche. Presoze Kerberos nema check ale radio button, je mozne kerberos vypnout (mezera na radio button) a nasledne probehne kompilace spravne. Prikladam svoji konfiguraci, ktera je proti openssl z portu (WITH_OPENSSL_PORT=YES). [x] BDBBerkeley DB support [x] CDBCDB maps lookups [ ] DOCS Build and/or install documentation [ ] INST_BASE Install into /usr and /etc/postfix [ ] LDAP LDAP maps (uses WITH_OPENLDAP_VER) [ ] LDAP_SASL LDAP client-to-server SASL auth [ ] LMDB LMDB maps [x] MYSQL MySQL database support [ ] NISNetwork Information Services/YP support [x] PCRE Use Perl Compatible Regular Expressions [ ] PGSQL PostgreSQL database support [x] SASL SASL authentication support [x] SPFSPF support (via libspf2 1.2.x) [ ] SQLITE SQLite database support [ ] TEST SMTP/LMTP test server and generator [x] TLSSecure network connection support via TLS [x] VDAVDA (Virtual Delivery Agent) == Dovecot SASL authentication methods == ( ) DOVECOTDovecot 1.x SASL authentication method (*) DOVECOT2 Dovecot 2.x SASL authentication method == Kerberos network authentication protocol type == ( ) SASLKRB5 If your SASL req. Kerberos5, select this ( ) SASLKMIT If your SASL req. MIT Kerberos5, select this Honza -- Jan Dušátko Phone: +420 602 427 840 e-mail: j...@dusatko.org SkypeID:darmodej GPG:http://www.dusatko.org/downloads/jdusatko.asc -- FreeBSD mailing list (users-l@freebsd.cz) http://www.freebsd.cz/listserv/listinfo/users-l
SSH a vadny konfiguracni soubor v /etc/ssl
Ahoj Dalsi chutovka z vikendove zabavy: # /etc/rc.d/sshd start Performing sanity check on sshd configuration. Auto configuration failed 3441732:error:0E065068:configuration file routines:STR_COPY:variable has no value:/usr/src/secure/lib/libcrypto/../../../crypto/openssl/crypto/conf/conf_def.c:618:line 35 /etc/rc.d/sshd: WARNING: Failed precmd routines for sshd # Pricinou je vazba sshd (base) -> openssl (base), kdy pri konfiguraci SSH se testuje i nastaveni v konfiguracnim souboru /etc/ssh/ssl.conf V pripade chyby pak SSH nenastartuje. Honza -- Jan Dušátko Phone: +420 602 427 840 e-mail: j...@dusatko.org SkypeID:darmodej GPG:http://www.dusatko.org/downloads/jdusatko.asc -- FreeBSD mailing list (users-l@freebsd.cz) http://www.freebsd.cz/listserv/listinfo/users-l
Sprava portu
Do tretice vseho dobreho, tedy spise zleho pokud budete mit nekdy takove problemy jako ja s portmasterem, stromem portu a nejakymi jeho pitomostmi, doporucuji nasledujici: 1) Rebuild portu se zastavi po rebuildu, pri vlastni instalaci vytuhne nejaky port. Stava se to nahodne, reseni na ktere jsem narazil jsou: - pockat (ruby mi takhle trvalo 4 hodiny, neprisel jsem na duvod) - sestrelit pkg a zkusit to znovu (visi to vzdy nad pkg ale nevim proc). Problem - ne vzdy je to uspesne a spravidla to konci nasledujici moznosti. - restartovat server 2) Rebuild portu se nepovede protoze je databaze excluzivne zamcena - bezi jiny pkg (instalace) nebo visi odminule (viz predchozi bod, posledni moznost) - je zamek v souboru s porty (pokud nepomuze flock/lslock/lsof) a) pkg unlock [port] b) fyzicka kopie local.sqlite, zpravidla vhodna pouze pro zalohu. Zamek v ni zustane: c) kopie dat, zamek v ni nezustane: echo .dump | sqlite3 /var/db/pkg/local.sqlite | sqlite3 /var/db/pkg/new.sqlite d) pkg shell nebo sqlite3 /var/db/pkg/local.sqlite a hrabat se v databazi - je lock file, ktery je nutne odstranit a) smaznout local.sqlite-journal (ale predtim zazalohovat databazi) b) smaznout /var/db/pkg/sqlite.lock A jinak drzim pesti. Proste stary zlaty a dobry textovy editor. Nacpat to do databaze zavisle na sqlite3, synchronizace portu a zdrojaku pres software z portu zavisle na SSL (navic s kolizi base/ports) ... Honza -- Jan Dušátko Phone: +420 602 427 840 e-mail: j...@dusatko.org SkypeID:darmodej GPG:http://www.dusatko.org/downloads/jdusatko.asc -- FreeBSD mailing list (users-l@freebsd.cz) http://www.freebsd.cz/listserv/listinfo/users-l
Re: Sprava portu
Dane, to mela byt ironie a poznamka, ze se nejednalo o nejstastjnejsi napad. Pouziti statickeho buildu pro SVN (systemovy, vyuzivajici OpenSSL BASE) by bylo fajn. Pouziti textoveho souboru, trebaze pomalejsiho by bylo fajn, nezavisle na nejakem 3rd party sw. Alespon by se to dalo rozumne ukocirovat. Ale soucasna situace je strasna. K OpenSSL base/port a Kerberosu Base obsahuje vlastni Heimdal, bindovany na OpenSSL/base Porty obsahuji Heimdal, ktery by mel byt bindovany na OpenSSL/port, ale volba je (zda se) mozna pouze pomoci promenne v /etc/make.conf (WITH_OPENSSL_PORTS=YES) Porty dale obsahuji Kerberos MIT, licencne omezeny, volba podpory OpenSSL je zda se shodna jako u Heimdal/port Aplikace kompilujici krb5 NEMAJI praticky moznost zvolit si (lepe receno identifikovat), proti cemu to bylo prelozeno a volby v /etc/make.conf se v tomto pripade ignoruji. vysledkem je tedy kompilace krizem, na ktere zacnou rvat knihovny (v lepsim pripade), v horsim to spadne az pri spusteni. Ale zrovna tohle je vec, odchytitelna automatickym vyhodnocovanim. A ktera je algoritmizovatelna. Jen se proste system nesmi snazit byt chytrejsi nez clovek, ktery ho ovlada a spravci vyvoje musi akceptovat, ze admin ma mozek a vi co chce delat. Honza Dne 8.7.2015 v 19:20 Dan Lukes napsal(a): > On 07/08/15 13:49, Jan Dušátko: >> synchronizace portu a zdrojaku pres software z portu zavisle na SSL >> (navic s kolizi base/ports) ... > > Ne, to nepujde. > > Uz dost na tom, ze ten samotny software je z portu - vsak taky museli > to systemu pridat specialni "lite" verzi tehoz, ktera slouzi jako > zavadec a instalator "hlavniho" software z portu. > > Nemuzes ale, pri zdravem rozumu, ten software z portu ucinit navic > zavisly na dalsich portech. To bysis koledoval o deadlock. Ani ne tak > pri instalaci, jako pri nasledne udrzbe. > > Jakoze vsechno, co potrebuje OpenSSL, prekladam proti portovemu, pkg > musi zustat prelozene vuci systemovemu. V tomhle pripade plati nejen > "tertium non datur". Ona zde neexistuje dokonce ani zadna druha moznost. > > > Dan > > > -- Jan Dušátko Phone: +420 602 427 840 e-mail: j...@dusatko.org SkypeID:darmodej GPG:http://www.dusatko.org/downloads/jdusatko.asc -- FreeBSD mailing list (users-l@freebsd.cz) http://www.freebsd.cz/listserv/listinfo/users-l
Re: Sprava portu
Dne 9.7.2015 v 8:09 Dan Lukes napsal(a): > On 07/08/15 23:54, Jan Dušátko: >> Jen se proste system nesmi snazit byt chytrejsi nez clovek, ktery ho >> ovlada a spravci vyvoje musi akceptovat, ze admin ma mozek a vi co chce >> delat. > > Tohle byla jedna ze zakladnich veci, kterou se systemy UNIXoveho typu > odlisovaly od Windows. > > Jenze s rozsirujici se zakladnou uzivatelu, kteri si soucasne delaji > spravce systemu, a to aniz vedi co cini, roste abosulutni i relativni > pocet spravcu pro ktere tvrzene neplati. > > Tak to proste je. Muzeme o tom vest spory, muzeme s tim nesouhlasit, > ale to je tak vsechno, co se proti tomu da delat. > > Navic je velkou otazkou, jestli by byl az tak dobry napad proti tomu > neco delat - ten system potrebuje byt, z mnoha ruznych duvodu, > "rozsireny". Na to potrebujes pritahnout lidi, a pri tom se nelze > vyhnout i tehle kategorii. > Ano. Jenze i tak to slo udelat lepe, aby bylo mozne si stale pohrat s nastavenim. *nix si vzdy zakladal na moznosti upravit co upravit lze. Dnes je to komplikovanejsi nutnosti zasahu na vice mistech a praci s jakymsi pofidernim SQL (ktery je SQL pouze dle nazvu). Z hlediska toho co jsem jiz psal jsem znacne zklamany. V tuhle chvili je prace s porty horsi a horsi. Pripadam si jako spravce Gentoo, o kterych se rika: "Co dela, kdyz prestane kompilovat? Rebootuje". Moje zkusenost po prechodu z FreeBSD 8.x na 10.x, na novy balickovaci system a problemy s tim souvisejici je velice mirne receno tristni. Honza -- FreeBSD mailing list (users-l@freebsd.cz) http://www.freebsd.cz/listserv/listinfo/users-l
portmaster security/p5-NetSSLeay
Ahoj, dokazal by mi nekdo poradit co s uvedenym? Pouzivam portmaster -afdy, vzdy skonci s uvedenou chybou. Uz jsem udelal update vsech portu s vyjimkou tech zavislych na uvedenem balicku. Na obdobnou chybu jsem narazil pri spatnem konfiguracnim souboru openssl.conf, bohuzel to tentokrat neni uvedeny pripad. Napada nekoho neco ? Diky Honza ===> Cleaning for p5-Net-SSLeay-1.72 ===> License OpenSSL accepted by the user ===> Found saved configuration for p5-Net-SSLeay-1.66 ===> p5-Net-SSLeay-1.72 depends on file: /usr/local/sbin/pkg - found ===> Fetching all distfiles required by p5-Net-SSLeay-1.72 for building ===> Extracting for p5-Net-SSLeay-1.72 => SHA256 Checksum OK for Net-SSLeay-1.72.tar.gz. ===> Patching for p5-Net-SSLeay-1.72 ===> Applying FreeBSD patches for p5-Net-SSLeay-1.72 ===> p5-Net-SSLeay-1.72 depends on file: /usr/local/lib/libcrypto.so.8 - found ===> p5-Net-SSLeay-1.72 depends on package: perl5>=5.20<5.21 - found ===> Configuring for p5-Net-SSLeay-1.72 34381939448:error:0E065068:configuration file routines:STR_COPY:variable has no value:conf_def.c:585:line 35 *** OpenSSL version test failed (`' has been returned) Either you have bogus OpenSSL or a new version has changed the version number format. Please inform the authors! *** Error code 1 Stop. make[1]: stopped in /usr/ports/security/p5-Net-SSLeay *** Error code 1 Stop. make: stopped in /usr/ports/security/p5-Net-SSLeay ===>>> make build failed for security/p5-Net-SSLeay ===>>> Aborting update ===>>> Update for p5-Net-SSLeay-1.69 failed ===>>> Aborting update -- FreeBSD mailing list (users-l@freebsd.cz) http://www.freebsd.cz/listserv/listinfo/users-l
Re: Total OT - SOHO router
A co neco takovehoto http://www.lanode.com/dsl/vdsl.html Dne 16.10.2015 v 17:40 Dan Lukes napsal(a): > On 16.10.2015 14:38, Miroslav Lachman wrote: >>> Este stoji za zvazenie projekt cz.nic. >>> https://www.turris.cz/cs/ >>> >>> https://www.turris.cz/cs/hardware >>> DSL modem Small Modem for Router Turris > >> Kazdopadne se ted chysta nova verze >> https://omnia.turris.cz/cs/ > > Za zvazeni urcite jo, ale z pozice nadsence pro FreeBSD co ma > pripojeni VDSL linkou to proti tomu Alixu (do kteryho si to miniPCI > slotu lze pridat jinak chybejici WiFi kartu) na velky "hosana a > haleluja" neni. Obzvlast kdyz si hardware nehodlas sam stavet. > > A kdyz se do porovnani zahrne ten ARM (ALix ma i386-kompatibilni > procesor) ... > > Nejzajimavejsi na tom je ten DSL modem. Jenze, jak pravi stranky: >> Modem je v této chvíli ve stádiu vývoje, protože první prototypovou >> verzi na obrázku výše jsme z důvodu nižšího než požadovaného výkonu >> zavrhli. > > Takze taky nic ... > > Dan > > > -- Jan Dušátko Phone: +420 602 427 840 e-mail: j...@dusatko.org SkypeID:darmodej GPG:http://www.dusatko.org/downloads/jdusatko.asc -- FreeBSD mailing list (users-l@freebsd.cz) http://www.freebsd.cz/listserv/listinfo/users-l
Re: Total OT - SOHO router
Pripadne: http://www.beaglesoft.com/pcie2pci.htm a k tomu http://linitx.com/category/adsl/47 nebo http://traverse.kd85.com/ Bohuzel VDSL modem se mi uz nepodarilo najit ... vypada to, ze se nevyrabi. Dne 16.10.2015 v 17:40 Dan Lukes napsal(a): > On 16.10.2015 14:38, Miroslav Lachman wrote: >>> Este stoji za zvazenie projekt cz.nic. >>> https://www.turris.cz/cs/ >>> >>> https://www.turris.cz/cs/hardware >>> DSL modem Small Modem for Router Turris > >> Kazdopadne se ted chysta nova verze >> https://omnia.turris.cz/cs/ > > Za zvazeni urcite jo, ale z pozice nadsence pro FreeBSD co ma > pripojeni VDSL linkou to proti tomu Alixu (do kteryho si to miniPCI > slotu lze pridat jinak chybejici WiFi kartu) na velky "hosana a > haleluja" neni. Obzvlast kdyz si hardware nehodlas sam stavet. > > A kdyz se do porovnani zahrne ten ARM (ALix ma i386-kompatibilni > procesor) ... > > Nejzajimavejsi na tom je ten DSL modem. Jenze, jak pravi stranky: >> Modem je v této chvíli ve stádiu vývoje, protože první prototypovou >> verzi na obrázku výše jsme z důvodu nižšího než požadovaného výkonu >> zavrhli. > > Takze taky nic ... > > Dan > > > -- Jan Dušátko Phone: +420 602 427 840 e-mail: j...@dusatko.org SkypeID:darmodej GPG:http://www.dusatko.org/downloads/jdusatko.asc -- FreeBSD mailing list (users-l@freebsd.cz) http://www.freebsd.cz/listserv/listinfo/users-l
ZFS snapshot - replikace prirustkovych snapshotu
Ahoj mam otazku. Uz nejakou dobu se snazim resit inkrementalni kopie ZFS snapshotu na zalozni server, bohuzel vzdy se mi zacne kopirovat kompletni volume nebo dataset. Hledam zpusob, jak zajisti kopirovani jen a pouze daneho snapshotu a minimalizovat prenosy. Mate s tim nekdo zkusenosti? Diky Honza -- Jan Dušátko Phone: +420 602 427 840 e-mail: j...@dusatko.org SkypeID:darmodej GPG:http://www.dusatko.org/downloads/jdusatko.asc -- FreeBSD mailing list (users-l@freebsd.cz) http://www.freebsd.cz/listserv/listinfo/users-l
Re: ZFS snapshot - replikace prirustkovych snapshotu
Ahoj, jde mi o nasledujici. mam zfspool POOL a v nem treba 10 volumu VOL1, VOL2... VOL10 1) Na zacatku udelam snapshot celeho souboroveho systemu 2) Denne delam snapshoty pres cely pool (udela i volume) 3) Chci prenest jenom rozdilova data na zalozni server, ktery nedela nic, jen ceka Zkousel jsem (pro zkopirovani posledniho existujiciho snapshotu) /sbin/zfs send -Rv `/sbin/zfs list -t snapshot | /usr/bin/grep "/POOL@VOL" | /usr/bin/cut -f1 | /usr/bin/cut -d " " -f1 | /usr/bin/tail -n 1` > /backup/zfs/zfsdata.pool Bohuzel se mi prenasel vzdy cely volume. Pokud jsem dal zfs send a zfs receive, zarvalo mi to na nejake chyby. Zkusim to cele jeste jednou overit. Moje idea byla v hodinovych intervalech prenaset rozdily pro pripad necekane situace. Cilem je mit naprosto identicke prostory. Honza Dne 27.11.2015 v 1:27 Marián Černý napsal(a): > Jan Dušátko wrote: > >> Uz nejakou dobu se snazim resit inkrementalni kopie ZFS >> snapshotu na zalozni server, bohuzel vzdy se mi zacne kopirovat >> kompletni volume nebo dataset. Hledam zpusob, jak zajisti kopirovani jen >> a pouze daneho snapshotu a minimalizovat prenosy. > Snapshotom myslis snapshot jedneho filesystemu, alebo rekurzivny snapshot? > > V pripade, ze NEriesis rekurzivny snapshot, tak najjednoduchsie je urobit > pociatocnu plnu zalohu takto: > > zfs send pool/path@daily_2015-11-26 | ssh backup zfs receive > pool2/path2@2015-11-26 > > (intermediary filesystemy u path2 musia existovat, cielovy filesystem nesmie) > > a dalej inkrementalne zalohy takto: > > zfs send @daily_2015-11-26 pool/path@daily_2015-11-27 | ssh backup zfs > receive pool2/path2@2015-11-27 > > V pripade, ze chces mat snapshot pomenovany rovnako na zaloznom serveri, tak > nemusis uvadzat nazov snapshotu u zfs receive. V ukazke som ich rozlisil > (daily_2015-11-27 vs 2015-11-27). > > Marian -- Jan Dušátko Phone: +420 602 427 840 e-mail: j...@dusatko.org SkypeID:darmodej GPG:http://www.dusatko.org/downloads/jdusatko.asc -- FreeBSD mailing list (users-l@freebsd.cz) http://www.freebsd.cz/listserv/listinfo/users-l
Security flaws - OpenSource Libraries
Ahoj, narazil jsem na clanek http://blog.talosintel.com/2016/06/the-poisoned-archives.html Uvedene se tyka libarchive, 7-zip, mtree, zminovane jsou sice v souvislosti s FreeBSD, ale chyba se tyka i ostatnich platforem. Honza -- FreeBSD mailing list (users-l@freebsd.cz) http://www.freebsd.cz/listserv/listinfo/users-l
Re: OpenLDAP - začátečnická rada
Ahoj, male rozsireni, kdyz uz se tu o tom tak bavime: Port 389 je plaintext kanál (otevreny text), ktery v pripade podpory sifrovaní umoznuje pouzit klauzuli STARTTLS a na tom samem portu pouzit TLS sifrovani (upgrade kanalu na sifrovany text) Port 636 je sifrovany kanal, kterym probiha SSL/TLS komunikace. Dnes se plaintext bere jako zastaraly, protoze zpravidla neobsahuje zadne kryptograficke overeni prenaseneho textu. Proto pozadavek na SSL/TLS nebo STARTTLS. Pro jednotlive aplikace pak zalezi na tom, zda podporuji plaintext, plaintext s moznosti upgrade (STARTTLS), pripadne SSL/TLS sifrovani. Stale uvadim pojem SSL/TLS, prestoze SSL ma mnoho dobrych duvodu byt odejito do vecnych lovist. Napr. jiz zminovane Active Directory pouziva LDAP strukturu k ukladani dat, ale ta je doplnena o urcite konktretni zaznamy v DNS. Tedy Active Directory je kombinaci obeho. Nejsem z toho nijak nadseny, ale tak to je (je na samostatnou diskusi, zda zvolit BIND nebo neco jineho a nasledne problemy implementace, ktere s tim souvisi). Navic, AD vyuziva pro autentizaci Kerberos, nastesti soucasne systemy bez vyjimky Kerberos v5. Ten z principu vyzaduje funkcni synchronizaci casu (pozor na NTP), k tomu je nutne overit i podporu konkretniho sifrovani na obou stranach. Zde je nutne upozornit na V4 (pozor na starsi systemy, stale se vyskytuje, tusim ze byl podporovan na Win2000/2003) ktere pouzivalo RC4, DES-CBC a DES-PCBC. FreeBSD uz od verze 5 obsahuje v base podporu pro Kerberos v5, ktery obsahuje algoritmy DES-CBC, DES3-CBC, RC4, AES128-CTS, AES256-CTS, Camellia128-CTS, Camellia256-CTS pricemz puvodni mody obsazene ve v4 jsou brane jako zastarale. A to se nebavim o kontrolnich souctech(CRC32, MD4, MD5, SHA1, HMAC, CMAC). Jestli si to dobre pamatuji (uz jsem to nejaky cas nedelal), stare systemy pouzivaly bez vyjimky RC4+MD5, novejsi (Windows 2008/2012) podporuji moznosti konfigurace, kde je to DES-CBC+CRC32 nebo MD5, RC4+MD5 ale a to je hlavni, AES+SHA1 (usetri se strojovy cas a zvysi bezpecnost). V tuto chvili jsou tedy nasledujici mozne implementace base (kerberos v5, MIT klon) security/heimdal (kerberos v5 - http://www.h5l.org/) secuirty/krb5 (MIT - http://www.kerberos.org/) Mezi Heimdal a MIT implementaci je rozdil prakticky jenom v detailech (function replay cache atd., k tomu nejake extra funkcionality navic v HEIMDAL, rozdilnost v parametrech pro kadmin ...), ktere nemaji na funkcnost zivocichare prakticky zadny vliv. Pouzival jsem klasicky MIT Kerberos spise z duvodu jeho multiplatformniho sireni, pouziva ho skoro kazdy a tedy riziko problemu je nizsi nez Heimdal vs MIT. Cyrus-SASL pridava podporu pro dalsi autentizacni mechanismy, tedy anonymous, cram/digest MD5, login, NTLM, OTP ... ale nezahrnuje Kerberos. Ten je resen jednim z jiz vyse zminovanych modulu. Rozsireni OpenLDAP o podporu OpenSSL umoznuje podporu SSL/TLS kanálu a podporu klauzule STARTTLS, tedy jedná se o něco jiného, než vlastní autentizace pomoci Kerberos pripadne Cyrrus/SASL. Ta je na sifrovanem kanale nezavisla, autentizacnim metodam je jedno, jaky je kanal. Aby toho nebylo malo, sifrovani na urovni SSL/TLS ma samo o sobe ma spoustu zadrhelu, ale to neni duvodem tohoto popisu. Kazdopadne stejne jako u ostatnich kanalu doporucuji zablokovat vse s vyjimkou TLSv1.2 a nekterych konkretnich modu, bohuzel vzajemna kompatibilita je strasna vec. Pro nektere systemy a aplikace je alespon SSLv2 jako objev ohne. Honza P.S.: Omlouvam se za dlouhe cteni, ale vyznat se v tom zmatku mne stalo mnoho casu a usili. Mozna se to nekomu bude hodit ;o) Dne 31.10.2016 v 15:22 Vilem Kebrt napsal(a): > Vzhledem k tomu , ze sasl byva posledni dobou temer "vynucovan" na vsech > implementacich ktere kde vidim, nejsem si jistej zda tve reseni je > "jednodussi". > > Jinak z RFC : > > The Simple Authentication and Security Layer (SASL) is a method for >adding authentication support to connection-based protocols. To use >this specification, a protocol includes a command for identifying and >authenticating a user to a server and for optionally negotiating a >security layer for subsequent protocol interactions. > > Imho tvoris kolo tam kde je hotovy vozidlo, ale v ramci zjednoduseni budiz. > Jinak radsi doplnim bleskem informaci nez me stihnete sepsout za > nepresnosti : > OpenLdap = otevrena implementace protokolu LDAP (Lightweight Directory > Access Protocol), takze je to protokol pro komunikaci s tim DIRECTORY > (Jeho odlehcena verze). > Jinak pro dotazujiciho, jeden z nejcasteji vyuzivanych mechanismu je > LDAP komunikace s AD (nebot Active Directory [ tfuj tfuj tfuj, nemam rad > mrkvosoft, ale musel jsem] neni nic jineho nez mrkvosofti implementace > toho directory). > Hadam ze konkretne tam casem miri tve usili :-) > Vilem > > On 10/31/2016 03:09 PM, Martin Bily wrote: >> Zdravím vespolek, >> >> já bych to zjednodušil do polopatistické podoby: Zapomeňte zpočátku na >> všechny SASL metody, Kerbera atd. Používejte autentizaci heslem v jeho >> p
Prosba o error log
Ahoj vespolek, mel tu nekdo v posledni dobe problem s disky? Shanim logy, ktere obsahuji neco na zpusob techto linuxovych chyb: Nov 2 23:46:26 server kernel: sdb: Current: sense key: Recovered Error Nov 2 23:46:26 server kernel: <> ASC=0xd0 ASCQ=0x6ASC=0xd0 ASCQ=0x6 Feb 10 00:07:09 server Server Administrator: Storage Service EventID: 2266 Controller log file entry: Physical Disk 0:0:3 Controller 0, Connector 0 Feb 13 23:50:07 server Server Administrator: Storage Service EventID: 2095 Unexpected sense. SCSI sense data: Sense key: 3 Sense code: 11 Sense qualifier: 0: Physical Disk 0:0:3 Controller 0, Connector 0 a hledam samozrejme, jak je to pod FreeBSD. Diky Honza -- Jan Dušátko Phone: +420 602 427 840 e-mail: j...@dusatko.org SkypeID:darmodej GPG:http://www.dusatko.org/downloads/jdusatko.asc -- FreeBSD mailing list (users-l@freebsd.cz) http://www.freebsd.cz/listserv/listinfo/users-l
script pro detekci chyb disku - preklad kodu
Ahoj,
prikladam script, u ktereho jsem prosil Dana o radu ... a rada byla tak
podrobna, ze je to script ... ;o)
Kazdopadne spouste z vas se muze hodit, potrebny soubor asc-num.txt je
mozne stahnout ze stranek http://www.t10.org/lists/asc-num.txt
Danovi velke diky
Honza
Vlastní script:
===
#!/bin/sh
ASCQF=./asc-num.txt
# je ASC(Q) vendor-specific ?
# $1 je ASC(Q)
isVS() {
case $1 in
0?|1?|2?|3?|4?|5?|6?|7?)
false ;;
esac
}
# kanonizuje hotnotu promenne tak, aby to bylo hexadecimalni cislo se
stanovenym poctem cifer, hexa znaky jsou velka pismena
# $1 - pozadovany pocet cifer
# $2 - jmeno (! nikoliv hodnota!) promenne, jejiz obsah se ma kanonizovat
canonize() {
local C LINE
C=$( eval /bin/echo -n "00\$$2" )
LINE=$( /bin/echo "$C" | /usr/bin/sed
'y/abcdef/ABCDEF/;s/^0*\(.\{'"$1",'\}\)$/\1/' )
eval $2='$LINE'
}
# interpretuje ASC/ASCQ do textu, ktery ulozi do urcene promenne
# resi i vendor specific a unknown hodnoty
# #1 - nazev promenne do ktere ma prijit vysledek
# $2 - ASC
# $3 - ASCQ
findasc() {
local ASC ASCQ LINE
ASC="${2:-??}"
canonize 2 ASC
ASCQ="${3:-??}"
canonize 2 ASCQ
LINE=$( /usr/bin/sed -n "s/^${ASC}h\/${ASCQ}h .\{13\} //p" "$ASCQF" )
if [ -z "$LINE" ] ; then
LINE=$( /usr/bin/sed -n "s/^${ASC}h\/NNh .\{13\} //p" "$ASCQF"
| sed "s/[[:<:]]NN[[:>:]]/${ASCQ}h/g" )
fi
if [ -z "$LINE" ] && ( isVS "$ASC" || isVS "$ASCQ" ) ; then
LINE="Vendor specific ASC/ASCQ=${ASC}h/${ASCQ}h"
fi
if [ -z "$LINE" ] ; then
LINE="Unknown ASC/ASCQ=${ASC}h/${ASCQ}h"
fi
eval $1='$LINE'
return 0
}
# interpretuje SENSE KEY do textu, ktery ulozi do urcene promenne
# resi i unknown hodnoty
# #1 - nazev promenne do ktere ma prijit vysledek
# $2 - SENSE KEY
findsk() {
local SK LINE
SK="${2:-??}"
canonize 1 SK
case $SK in
0) LINE="NO SENSE";;
1) LINE="RECOVERED ERROR";;
2) LINE="NOT READY";;
3) LINE="MEDIUM ERROR";;
4) LINE="HARDWARE ERROR";;
5) LINE="ILLEGAL REQUEST";;
6) LINE="UNIT ATTENTION";;
7) LINE="DATA PROTECT";;
8) LINE="BLANK CHECK";;
9) LINE="VENDOR SPECIFIC";;
A) LINE="COPY ABORTED";;
B) LINE="ABORTED COMMAND";;
D) LINE="VOLUME OVERFLOW";;
E) LINE="MISCOMPARE";;
F) LINE="COMPLETED";;
esac
if [ -z "$LINE" ] ; then
LINE="Reserved SENSE KEY ${SK}h"
fi
eval $1='$LINE'
return 0
}
findsk STRK $1
findasc STRA $2 $3
echo "SENSE KEY: ${STRK}"
echo "ASC/ASCQ: ${STRA}"
return 0
--
Jan Dušátko
Phone: +420 602 427 840
e-mail: j...@dusatko.org
SkypeID:darmodej
GPG:http://www.dusatko.org/downloads/jdusatko.asc
--
FreeBSD mailing list (users-l@freebsd.cz)
http://www.freebsd.cz/listserv/listinfo/users-l
Re: mail server
Ahoj, v tuto chvíli používám Postfix + dovecot, k tomu OpenDKIM, OpenARC, spamassasin, clamav, davical ... a další balast. Velkým problémem je dobré provázání jednotlivých modulů. Je to i důvodem, proč přemýšlím nad přechodem na rspamd, který tyto záležitosti řeší a docela dobře. Co mi chybí je pravidelný reporting a vyhodnocování doručitelnosti (Deliverability, NDR), stejně jako reporty z DMARC, DKIM reporting, TLS reporting atd. Spoustu věcí nad tím mám nascriptovaných, protože prostě splněny nejsou. Postfix je jen poštovní server a pro splnění všech náležitostí je potřeba mu věnovat odpovídající péči. Na druhou stranu, velcí poskytovatelé se momentálně na M3AAWG domluvili, že od 1.1.2024 bude SPF+DKIM+DMARC vyžadováno a pokud nebude tato technologie implementována, budou e-maily odmítány. V dohledné době má vyjít BCP, která bude tento postup formalizovat. Počínaje Comcast. Google, Microsoft, Yahoo, přes poskytovatele oficiálního spamu jako je MailChimp, SendGrid ... po třetí strany jako Cisco a ProofPoint. Honza Dne 16. 10. 2023 v 12:59 Martin Salac napsal(a): Ahoj, za mě to v podstatě popsal v neděli již Míra L.: Postfix + dovecot + Roundcube (webxicht) Pro ochranu jsem nasadil moloch jménem MailScanner - volá si X modulů, kde Spamassassin, je jeden z nich, stejně jako umí OpenDKIM, kontrolu SPF, dotazy do reputačních bází a podobné drobnosti jako antivir Clamav. Asi to není úplně ideální, ale já jsem spokojen. Jako SSL backend tam mám cyrus-sasl. Na certifikáty se dá použít Let'sEncrypt a na GitHubu se válí kvanta scriptů na automatický certificate renewal (jinak kovářova kobyla chodí bosa a já jedu samozřejmě přes self-sign). Co se týče ukládání - jsem spokojen s maildirem ... chodí to celkem sviženě a občas čtu ještě maily na terminálu (Mutt, Pine/AlPine - jo, vím, děravé jako cedník), které se k maildiru znají ... prostě to funguje a já jsem spokojen. Zdraví Martin Dne 2023-10-15 14:10, Jindrich Fucik napsal: Ahoj vespolek, potřebuji vyřešit náš rodinný mail server. Podstata je v tom, že jsem doposud používal mail "u kamaráda" a už je pomalu na časi si jej nastěhovat domů. Doma běží počítač s veřejným IP, takže to není úplně velký problém. Ale posledních mnoho let jsem neřešil, co je vlastně v této oblasti "in". Naposledy jsem používal imap-uw a ten už je dávno po smrti. Takže - máme v zásadě dva až tři uživatele. Používají většinou imap mail klienty, občas imap webmail. Ani jeden z uživatelů není moc pořádkumilovný a má ve schránce tak 2000 zpráv. Otázky, které si neumím zodpovědět - je nějak zásadně lepší maildir a nebo mailfile? Defaultní sendmail používá mailfile, mám se s tím nějak trápit? A jaký k tomu použít imap server? Ideální by bylo nějaký takový, ke kterému budu schopen přidat alespoň jednoduché SSL tak, aby mi ho dokázal obsloužit webmail. Ale není to úplně nutné, protože komunikace webmail-imap může být jen na localhostu. Takže stačí, když ssl dokáže použít thunderbird. Moc by se mi líbilo nějaké ssl, ke kterému si dokáži vygenerovat certifikáty pomocí nějaké zadarmo autority. Ale nemám s tím žádné zkušenosti. Díky za rady a názory. -- -- --- - - Jan Dušátko Tracker number: +420 602 427 840 e-mail: j...@dusatko.org GPG Signature: https://keys.dusatko.org/E535B585.asc GPG Encrypt:https://keys.dusatko.org/B76A1587.asc -- FreeBSD mailing list (users-l@freebsd.cz) http://www.freebsd.cz/listserv/listinfo/users-l
RE: Postfix AUTH
Ano, vim to. Pouzivani TAP se mi zda zbytecne krkolomne, ale vsechno ma svoje. Vcetne podminek v teto spolecnosti. Mam konkretni pozadavek, ktery se snazim vyresit. > OpenVPN sa dá štartovať ako service a klient nemusí riešiť nič tým pádom. Zapne notebook naštartuje sa OpenVPN service aj keď neexistuje spojenie na internet a keď sa pripojí tak sa spojí aj openvpn. Co se tyka VPN spojeni, duvod proc ho nerealizuji jsou prave mobilni uzivatele. Bezny Franta Uzivatel nebude modifikovat nastaveni protoze se toho boji a pokud se toho neboji, tak to zvore. Jsou mezi nimi vyjimky, to nepopiram. Ale jakakoliv slozitost ve chvili kdy potrebuji zajistit pouze overeni identity je nevyhodou. Mym cilem bylo a je maximalni jednoduchost, jedno misto pro monitorovani a spravu, uzivatele overovat pri odesilani posty pres SASL. Protoze POSTFIX podporuje SASL bud pres DOVECOT, Cyrus nebo SASL knihovnu, hledal jsem zpusob jak provest integraci s Exchange. Jednoduchy a ucinneho. Soucasna konfigurace: Internet -> ASSP 1.3->POSTFIX 2.4->ASSP -> EXCHANGE Na firewallu je nakonfigurovano ASSP, POSTFIX, CLAMAV a LDAP klient v jednom jailu, v dalsim je napriklad HAVP, DANSGUARDIAN, SQUID a CLAMAV. 1. Overeni indentity pomoci SASL vyzaduje zadat metodu a jednim ze zvolenych zpusobu se "overit". Viz. http://en.wikipedia.org/wiki/Simple_Authentication_and_Security_Layer Pro overeni je potreba znat mimo uzivatelskeho jmena i heslo. 2. Protoze uvnitr site bezi domena AD, v idealnim pripade je mozne pouzivat overeni identity a hesla primo na strukturu AD. Zavadeni teto struktury na firewall znamena zbytecne zvysovani rizika. Firewall ma slouzit pro oddeleni site a kontrolni mechanismy, nikoliv pro integraci. Proto tu nechci databazi uzivatelu, ale LDAP dotazy bych jeste akceptoval. Problemy, na ktery jsem narazil je nasledujici: 1) Windows 2003 ma ve strukture LDAP a tak nasledne i v definici email adres znaky, ktere nejsou podle RFC pripustne (http://tools.ietf.org/html/rfc2822). Takze prvni potrebna vec je upravit perl script (nebo vysledek prohnat grepem na =/\ ...). Postmap pak sice projde, ale POSTFIX bude hlasit chyby. Tento script jsem zkousel pri testovani kombinace Postfix+Cyrrus+SASL, byl stazeny z http://www.postfix.org. Protoze se ale jedna pouze o recipients mapu, chybi tu moznost identifikace uzivatele heslem (viz moznosti AUTH=NTLM LOGIN PLAIN GSSAPI DIGEST-MD5 CRAM-MD5). Neco mi tu chybi 2) Protoze hledam konfiguraci, kde postfix by se ptal primo exchange jako POP3 serveru a AD jako zdroje uzivatelu a hesel, zkousim si hrat i s nasledujici konfiguraci. Priznavam, ze s ni mam problemy a hledam pricinu (nejsem si jisty, jestli je to vubec realne): /usr/local/etc/openldap/ldap.conf obsahuje #BASEdc=firma, dc=local host= 192.168.1.10 base= o=spolecnost /usr/local/etc/postfix/master.cf obsahuje: relay_recipient_maps = ldap:/usr/local/etc/openldap/ldap.conf smtpd_sasl_auth_enable = yes smtpd_sasl_security_options = noanonymous smtpd_sasl_local_domain = $mydomain0 $mydomain1 #smtpd_sasl_local_domain = firma.cz firma.local broken_sasl_auth_clients = yes smtpd_recipient_restrictions = permit_sasl_authenticated, permit_mynetworks, check_relay_domains Na tomto firewallu opravdu neresim otazku pripojeni po VPN, praci pres SSL a certifikaty a podobne. Jedna se jednoduchy system, ktery nechrani soukromi komunikace a resi pouze identifikaci uzivatelu. Kazdopadne, protoze jednou uz tu databaze uzivatelu je a nemam chut ji nabizet i na firewallu, snazim se tu o integraci Exchange a Postfix. Pokud mi s tim nekdo dokaze poradit, budu rad. Honza -- FreeBSD mailing list (users-l@freebsd.cz) http://www.freebsd.cz/listserv/listinfo/users-l
RE: racoon problem
Ahoj
Prave resim podobne zalezitosti. Doporucuji udelat nasledujici:
Pokud mas tunel pres gif nebo gre interface, pust si tcpdump na techto,
dale druhy tcpdump na externim interface.
Jakmile navazes tunel, zkus ping a zjisti si, kam ti to jde/nejde.
Dale se podivej na setkey, na nastaveni policy.
Honza
Caute,
mam fbsd 8.1-Stable, potrebujem spravit spojenie s cisco zariadenim na
druhej strane.
racoon.conf :
# the file should contain key ID/key pairs, for pre-shared key
authentication.
path pre_shared_key "/usr/local/etc/racoon/psk.txt" ; #log debug; listen {
isakmp 217.67.31.61 [500];
}
timer {
phase1 60 seconds ;
phase2 60 seconds ;
}
remote 195.80.190.60
{
# exchange_mode main,aggressive,base;
exchange_mode aggressive;
doi ipsec_doi;
situation identity_only;
# my_identifier fqdn "192.168.8.95";
my_identifier fqdn "217.67.31.61";
lifetime time 24 hour ; # sec,min,hour
initial_contact off ;
passive on ;
# phase 1 proposal (for ISAKMP SA)
proposal {
encryption_algorithm aes 256;
# encryption_algorithm 3des;
hash_algorithm sha1;
authentication_method pre_shared_key ;
dh_group 2 ;
}
# the configuration could makes racoon (as a responder)
# to obey the initiator's lifetime and PFS group proposal,
# by setting proposal_check to obey.
# this would makes testing "so much easier", but is really
# *not* secure !!!
proposal_check obey;
}
#sainfo anonymous
sainfo (address 192.168.8.95/32 any address 192.168.7.95/32 any) {
pfs_group 5;
lifetime time 28800 sec ;
encryption_algorithm des;
authentication_algorithm hmac_sha1 ;
compression_algorithm deflate ; } setkey.conf
flush;
spdflush;
spdadd 192.168.7.95/32 192.168.8.95/32 any -P in ipsec
esp/tunnel/195.80.190.60-217.67.31.61/require; # (alebo /require) spdadd
192.168.8.95/32 192.168.7.95/32 any -P out ipsec
esp/tunnel/217.67.31.61-195.80.190.60/require; #(alebo /require)
rc.conf
gif_interfaces="gif0"
gifconfig_gif0="217.67.31.61 195.80.190.60"
ifconfig_gif0="192.168.8.95 192.168.7.95 netmask 255.255.255.0 up"
ipsec_enable="YES"
ipsec_program="/usr/local/sbin/setkey"
ipsec_file="/usr/local/etc/racoon/setkey.conf"
racoon_enable="YES"
racoon_flags="-l /var/log/racoon.log"
ked spustim racoon s konfigurakom :
2010-10-04 12:35:56: INFO: @(#)ipsec-tools 0.7.3
(http://ipsec-tools.sourceforge.net)
2010-10-04 12:35:56: INFO: @(#)This product linked OpenSSL 1.0.0a 1 Jun 2010
(http://www.openssl.org/)
2010-10-04 12:35:56: INFO: Reading configuration from "racoon2.conf"
2010-10-04 12:35:56: INFO: remote 195.80.190.60[500] {
2010-10-04 12:35:56: INFO: exchange_type aggressive;
2010-10-04 12:35:56: INFO: doi ipsec_doi;
2010-10-04 12:35:56: INFO: my_identifier fqdn "217.67.31.61";
2010-10-04 12:35:56: INFO: send_cert on;
2010-10-04 12:35:56: INFO: send_cr on;
2010-10-04 12:35:56: INFO: verify_cert on;
2010-10-04 12:35:56: INFO: verify_identifier off;
2010-10-04 12:35:56: INFO: nat_traversal off;
2010-10-04 12:35:56: INFO: nonce_size 16;
2010-10-04 12:35:56: INFO: passive on;
2010-10-04 12:35:56: INFO: ike_frag off;
2010-10-04 12:35:56: INFO: esp_frag 65535;
2010-10-04 12:35:56: INFO: initial_contact off;
2010-10-04 12:35:56: INFO: generate_policy off;
2010-10-04 12:35:56: INFO: support_proxy off;
2010-10-04 12:35:56: INFO:
2010-10-04 12:35:56: INFO: /* prop_no=1, trns_no=1,
rmconf=195.80.190.60[500] */
2010-10-04 12:35:56: INFO: proposal {
2010-10-04 12:35:56: INFO: lifetime time 86400 sec;
2010-10-04 12:35:56: INFO: lifetime bytes 0;
2010-10-04 12:35:56: INFO: dh_group modp1024;
2010-10-04 12:35:56: INFO: encryption_algorithm aes;
2010-10-04 12:35:56: INFO: hash_algorithm sha1;
2010-10-04 12:35:56: INFO: authentication_method
pre_shared_key;
2010-10-04 12:35:56: INFO: }
2010-10-04 12:35:56: INFO: }
2010-10-04 12:35:56: INFO:
2010-10-04 12:35:56: INFO: 217.67.31.61[500] used as isakmp port (fd=6)
2010-10-04 12:35:56: WARNING: setsockopt(UDP_ENCAP_ESPINUDP_NON_IKE):
UDP_ENCAP Invalid argument
^ ten varning neviem ci je daka zavazna vec..
pripojim VPN
racoonctl vc 195.80.190.60
2010-10-04 12:36:36: INFO: accept a request to establish IKE-SA:
195.80.190.60
2010-10-04 12:36:36: INFO: initiate new phase 1 negotiation:
217.67.31.61[500]<=>195.80.190.60[500]
2010-10-04 12:36:36: INFO: begin Aggressive mode.
2010-10-04 12:36:36: INFO: received Vendor ID: CISCO-UNITY
2010-10-04 12:36:36: INFO: received Vendor ID:
draft-ietf-ipsra-isakmp-xauth-06.txt
2010-10-04 12:36:36: INFO: received Vendor ID: DPD
2010-10-04 12:36:36: INFO: received broken Microsoft ID: FRAGMENTATION
20
PF ALTQ - per user bandwith limit
Ahoj
Mam konkretni problem, ktery se snazim vyresit pomoci PF ALTQ.
Server obsluhuje radove tisice spojeni přes http, kde standardne system
neomezuje sirku komunikacniho pasma. Protože nektere stroje maji problemy
s datovymi prenosy, obecne se jedna o retransmity (každý druhy - treti
paket), rad bych omezil odchozi komunikaci. Moje predstava je limit
například 5mbs/IP a zaroven 16 connections /IP. Cilem je zaroven nastavit
pocet spojeni na maximalni hranici (napr 5000).
Otazkou je, jak toto pravidlo nebo tato pravidla nastavit.
V konfiguracnich pravidlech kernelu jsem nasel nasledujici moznosti, kde
prvni cast mam povolenou:
options ALTQ
options ALTQ_CBQ# Class Based Queueing
options ALTQ_RED# Random Early Detection
options ALTQ_RIO# RED In/Out
options ALTQ_HFSC # Hierarchical Packet Scheduler
options ALTQ_CDNR # Traffic conditioner
options ALTQ_PRIQ # Priority Queueing
options ALTQ_DEBUG
A tento parametr ne:
options ALTQ_NOPCC # Required if the TSC is unusable
Prvni moznost, která mne napadla je pouziti pravidel pro spojeni:
set timeout src.track 1
# allow http/https
pass in quick on $ext_if proto tcp to port { 80, 443 } modulate state
(source-track, max-src-conn 16, max-src-conn-rate 8/5, max-src-nodes 5000,
overload flush global)
Bohuzel, stale tapu nad druhou casti, ted jak definovat maximalni bandwith
per IP. Je tu moznost pouzit ad hoc vahy, typu fronty a limitu:
queue q1 bandwidth 40%
queue q2 bandwidth 30%
queue q3 bandwidth 20%
queue q4 bandwidth 10%
pass out on $ext_if queue q1 probability 10%
pass out on $ext_if queue q2 probability 20%
pass out on $ext_if queue q3 probability 30%
pass out on $ext_if queue q4 probability 40%
coz mi sice nezaruci 5mbs/ip, ale umozni mi to alespon minimalne rozvazit
odchozi datovy tok. V pripade 1gbs interface to ale znamena vytvorit 200
front (není problem s generovanim), nasledna pravidla ale zpomaluji
prochazeni filtru.
Napada nekoho reseni, kde se mohu vyhnout implementaci dummynet a zaroven
nastavit strop pro IP adresu nebo spojeni?
Diky
Honza
--
FreeBSD mailing list (users-l@freebsd.cz)
http://www.freebsd.cz/listserv/listinfo/users-l
FreeBSD 8.1/pf performance
Ahoj,
Mam FreeBSD 8.1 a pf jako paketovy filtr. Narazil jsem na problem, ktery mne
dvakrat nepotesil, proto se chci zeptat, jake mate zkusenosti se soucasnymi
paketovymi filtry.
Dve intel sitovky v paru tvori lagg, virtualni failover interface:
ifconfig_em0="rxcsum txcsum tso lro up"
ifconfig_em1="rxcsum txcsum tso lro up"
ifconfig_lagg0="laggproto failover laggport em0 laggport em1
netmask "
na tomto interface je poveseny stavovy packet filter, kde dovnitr je zakaz s
vyjimkou portu 22 a 80. Ven je povoleno vse.
pass in quick on $ext_if proto tcp to ($ext_if) port { 22 } keep state
pass in quick on $ext_if proto tcp to port { 80, 443 } modulate state
V uvedene konfiguraci dokaze system obhodpodarit cca 2000-3000 klientu (cca
1-15000 packet/sec)
Pokud spustim jeste fronty a nahodne rozdelovani (duvodem je vysoke
vytezovani linky nekterymi klienty), vykonnost system poklesne a dokaze
obhospodarit cca 1000-1500 klientu (cca 3000-5000 packet/sec)
altq on $ext_if cbq bandwidth 1Gb qlimit 65535 queue {q1, q2, q3, q4, ssh}
queue q1 bandwidth 150Mb
queue q2 bandwidth 120Mb
queue q3 bandwidth 100Mb
queue q4 bandwidth 75Mb
queue sshbandwidth 50% cbq(borrow)
pass in quick on $ext_if proto tcp to ($ext_if) port { 22 } keep state
pass in quick on $ext_if proto tcp to port { 80, 443 } modulate state
(source-track, max-src-conn 64, max-src-conn-rate 16/1)
pass out on $ext_if proto tcp from port { 80, 443 } modulate state queue q1
probability 10%
pass out on $ext_if proto tcp from port { 80, 443 } modulate state queue q2
probability 20%
pass out on $ext_if proto tcp from port { 80, 443 } modulate state queue q3
probability 30%
pass out on $ext_if proto tcp from port { 80, 443 } modulate state queue q4
probability 40%
pass out on $ext_if proto tcp from port { 22 } modulate state
queue ssh
Vtip nastane, pokud vypnu pf. V takovem okamziku se bavim o obsluze cca 20
000 klientu nez narazim na strop aplikace a zadne problem s timeouty.
Soucasny system:
FreeBSD s1 8.1-RELEASE FreeBSD 8.1-RELEASE #1: Thu Sep 16 15:09:54 CEST 2010
r...@s1:/usr/obj/usr/src/sys/s1 amd64
e...@pci0:3:0:0: class=0x02 card=0x115e8086 chip=0x105e8086 rev=0x06
hdr=0x00
vendor = 'Intel Corporation'
device = 'HP NC360T PCIe DP Gigabit Server Adapter (n1e5132)'
class = network
subclass = ethernet
e...@pci0:3:0:1: class=0x02 card=0x115e8086 chip=0x105e8086 rev=0x06
hdr=0x00
vendor = 'Intel Corporation'
device = 'HP NC360T PCIe DP Gigabit Server Adapter (n1e5132)'
class = network
subclass = ethernet
cupid
.
"Intel(R) Xeon(R) CPU X5650 @ 2.67GHz"
.
Velikost pameti - 24GB
Dan navrhoval vypnout stavove chovani firewallu, udrzba tabulek zabere velke
mnozstvi casu. Ale dle meho je rozdil jednoho radu prilis mnoho. Na webu
jsem nasel informace o problemech 8.1 vs paketove filtry, nevim, zda se
jedna ciste jenom o pf nebo I o jine, jako je ipfw nebo iptable.
Dalsi zalezitosti je parovani sitovek pod vysokou zatezi. Z praxe vim, ze
parovani interface casto znamena vykon dolu, nekdy az na tretinu puvodniho
(skutecne), ale je to "vykoupeno" moznosti vyssi dostupnosti (tedy pokud je
kazda sitovka v jenom switchi). Nemam zmeren dopad na vykonnost u
lagg/bridge/carp interface pod FreeBSD, takze uvedena procenta beru jako
pesimistickou variantu.
Dekuji za odpovedi nebo za napady, jak tento problem vyresit.
Honza
--
FreeBSD mailing list (users-l@freebsd.cz)
http://www.freebsd.cz/listserv/listinfo/users-l
RE: FreeBSD 8.1/pf performance
>Zatim mas problem porad jeste strasne siroky. Do hry nam vstupuje > "lagg", "stavovost", "modulate state", "altq" a nakonec cely "pf" framework. Planovane kroky aktivit jsou: 1) Otestovat ipfw, zmerit vykon a mnozstvi timeoutu 2) Otestovat iptables, zmerit vykon a mnozstvi timeoutu 3) Vypnout lagg, zmerit vykon a mnozstvi timeoutu 4) Pouzit nestavovou konfiguraci pf, zmerit vykon a mnozstvi timeoutu 5) Vypnout pf, znovu zmerit vykon a množství timeoutu 6) Otestovat ipfw, zmerit vykon a mnozstvi timeoutu 7) Otestovat iptables, zmerit vykon a mnozstvi timeoutu > Pokud nenajdes nekoho, kdo na stejny problem uz narazil a tudiz ma > analyzu provedenou a budes si ji muset delat sam, obavam se,z ew jedina > cesta bude pres izolaci problemu. To znamena zjistit jaky vliv ma na > chovani "stavovost", jestli se problem nahodou zazracne nevyresi > nahradou pf za ipfw, ... Zaroven testuji chovani na FreeBSD 7.3 a 8.0, zda se, ze tento efekt je zde podstatne nizsi. Na tomto systemu neni takovy provoz, presto je rozdil vykonnosti jen 15%. Bohuzel, provoz je tu priblizne o rad mensi, takze neni jiste, zda na toto mereni nemá vliv nizka zatez. > Horsi je, ze nelze vyloucit, ze vysledny efekt spoluvytvari vic vlivu. Mas pravdu. Na druhou stranu, tento list mne docela vystrasil tento seznam http://lists.freebsd.org/pipermail/freebsd-pf/2010-October/005840.html (timto chci podekovat Mirkovi Lachmanovi) Navic, pri diskusi na toto tema jsem zaslechl nejakou ne uplne overenou zpravu o problemech na interface pro pouzivani paketovych filtru. Tento problem by zda se mel existovat prave od FreeBSD 8.1 Honza -- FreeBSD mailing list (users-l@freebsd.cz) http://www.freebsd.cz/listserv/listinfo/users-l
RE: PHP5(2) na 8.1 - problem pri instalacii
> > vi ports-supfile > > vymenit CHANGE_THIS za cvsup.cz.FreeBSD.org (je to radek *default host=cvsup.cz.FreeBSD.org) > >... ja bych misto tehle dvou kroku radsi pridal do /etc/make.conf radky > > SUP_UPDATE= yes > SUP=/usr/bin/csup > SUPHOST=cvsup.uk.FreeBSD.org > SUPFLAGS= -g -z -L 2 > PORTSSUPFILE= /etc/cvsup/ports-supfile > > je to sice trochu vic psani, ale prezije to i pripadny update "example" > souboru. Navic se SUPHOST pouzije pro ostatni soubory take, takz epri > zmene zdroje staci zeditovat jeden radek a ne vsechny pouzivane *-supfile Je nejaka moznost, jak timto způsobem nacist src z release XYZ a porty z current? Honza -- FreeBSD mailing list (users-l@freebsd.cz) http://www.freebsd.cz/listserv/listinfo/users-l
Uspavani SATA disku (AHCI) a spousteni aktivit
Ahoj,
Mam nainstalovane dva disky v "suplikach" (ada0/ada1), u kterych potrebuji
nastavit urcita chovani. Jejich identifikace:
# camcontrol identify ada1
pass3: ATA-8 SATA 2.x device
pass3: 300.000MB/s transfers (SATA 2.x, UDMA6, PIO 8192bytes)
protocol ATA/ATAPI-8 SATA 2.x
device model ST31000528AS
firmware revision CC37
serial number 9VP249YH
WWN 5000c50019a2b6bc
cylinders 16383
heads 16
sectors/track 63
sector size logical 512, physical 512, offset 0
LBA supported 268435455 sectors
LBA48 supported 1953525168 sectors
PIO supported PIO4
DMA supported WDMA2 UDMA6
media RPM 7200
Feature Support Enabled Value Vendor
read ahead yes yes
write cacheyes yes
flush cacheyes yes
overlapno
Tagged Command Queuing (TCQ) no no
Native Command Queuing (NCQ) yes 32 tags
SMART yes yes
microcode download yes yes
security yes no
power management yes yes
advanced power management no no
automatic acoustic management yes yes 0/0x00 254/0xFE
media status notification no no
power-up in Standbyno no
write-read-verify yes no 0/0x0
unload no no
free-fall no no
data set management (TRIM) no
#
Tyto disky chci nechat pouze pro zalohovani. Protoze server je postaven na
Atomu D520 + Areca, ma extremne nizky příkon, tyto dva bumbrlíčci se
projevuji (bez nich 40W, s nimi 70W).
V tuto chvili mam nastaveno v /etc/devd.conf
attach 100 {
device-name "ada[0-9]+";
action "sleep 10 && /sbin/camcontrol idle $device-name -t 600:IDLE
&& /sbin/camcontrol idle $device-name -t 1800:STANDBY";
};
1) Jak je to se sleep mode u disku?
Pokud necham disk namountovany, ale uspim ho, při dotazu na FS se mi vzbudi?
Nebo je nutne nejprve odmontovat FS a pak disk uspat? Aktivuje se v pripade
uspani klauzule detach v /etc/devd.conf a je nutne to osetrit?
2) Potrebuji automaticky namontovat filesystem NTFS. Z uživatelského
hlediska pouzivam fusefs-ntfs. Je mozne tento userland modul pouzit pro
pripojeni disku primo z /etc/fstab? Jedna se mi o moznost pripojeni zalohy
na uzivatelskem pocitaci a moznost "nouzove obnovy".
3) Podporuje vubec tento typ disku sleep/standby mode?
Diky
Honza
--
FreeBSD mailing list (users-l@freebsd.cz)
http://www.freebsd.cz/listserv/listinfo/users-l
RE: změna velikosti UFS partition
Ahoj Pokud jsem delal obdobne taskarice, radeji jsem si docasne vlozil dalsi disk a pouzil kombinaci cd /newdata /sbin/dump -0uL -f - /data | restore rf - Pak zmenit velikost zdrojove partition/volume a udelat to same zpet. Honza -Original Message- From: users-l-boun...@freebsd.cz [mailto:users-l-boun...@freebsd.cz] On Behalf Of Viktor Čížek Sent: Thursday, March 10, 2011 9:35 PM To: FreeBSD mailing list Subject: změna velikosti UFS partition Jakým způsobem bych mohl změnit velikost UFS partition? Bez ztráty dat. Existuje na UFS nějaký nástroj jako je gparted, Partition Magic apod.? Zdá se mi, že Google nic takového nenašel. Vím o growfs, ale ten, pokud jsem správně pochopil, umí partition pouze zvětšit. Já bych potřeboval obojí - zvětšit i zmenšit. V. -- FreeBSD mailing list (users-l@freebsd.cz) http://www.freebsd.cz/listserv/listinfo/users-l -- FreeBSD mailing list (users-l@freebsd.cz) http://www.freebsd.cz/listserv/listinfo/users-l
RE: apcupsd FATAL ERROR in generic-usb.c at line 636 Cannot find UPS device
Ahoj S GENERIC jadrem pouzivam nasledujici konfiguraci: /usr/local/etc/apcupsd.conf UPSNAME SC1500 UPSCABLE usb UPSTYPE usb DEVICE LOCKFILE /var/spool/lock SCRIPTDIR /usr/local/etc/apcupsd PWRFAILDIR /var/run NOLOGINDIR /var/run ONBATTERYDELAY 10 BATTERYLEVEL 25 MINUTES 5 TIMEOUT 0 ANNOY 0 ANNOYDELAY 0 NOLOGON disable KILLDELAY 0 NETSERVER on NISIP 127.0.0.1 NISPORT 3551 EVENTSFILE /var/log/apcupsd.events EVENTSFILEMAX 10 UPSCLASS standalone UPSMODE disable STATTIME 0 STATFILE /var/log/apcupsd.status LOGSTATS off DATATIME 0 BATTDATE 10/15/07 SENSITIVITY H SLEEP 020 LOTRANSFER 200 HITRANSFER 253 BEEPSTATE N OUTPUTVOLTS 230 SELFTEST 336 -- FreeBSD mailing list (users-l@freebsd.cz) http://www.freebsd.cz/listserv/listinfo/users-l
NUT: Communications with UPS lost: COMMAND: 31
Ahoj
Resil jsem pripojeni UPS pomoci NUT (vyjimecne nemam k dispozici APC)
a dostal jsem se do nasledujici situace:
# setenv USB_DEBUG 3 && /usr/local/libexec/nut/bcmxcp_usb -DDD -a pw5115
Network UPS Tools - BCMXCP UPS driver 0.21 (2.4.1)
USB communication subdriver 0.17
debug level is '3'
Communications with UPS lost: Receive error (Request command): COMMAND: 31
RECONNECT USB DEVICE
Communications with UPS lost: Receive error (Request command): COMMAND: 31
RECONNECT USB DEVICE
Communications with UPS lost: Receive error (Request command): COMMAND: 31
RECONNECT USB DEVICE
Communications with UPS lost: Receive error (Request command): COMMAND: 31
RECONNECT USB DEVICE
Communications with UPS lost: Receive error (Request command): COMMAND: 31
RECONNECT USB DEVICE
Communications with UPS lost: Error executing command
Could not communicate with the ups: Device not configured
CLOSING
# cat /usr/local/etc/nut/ups.conf
[pw5115]
driver = bcmxcp_usb
port = auto
desc = "PowerWare 5115 UPS"
#user = nut
Pritom dle http://www.networkupstools.org/stable-hcl.html je muj model UPS
podporovan (jedna se o PowerWare PW5115)
Pouzivam FreeBSD 8.2-STABLE a nut-2.4.1_6
Na FreeBSD 8.x je nutne udelat drobny workaround, tykajici se USB portu:
`/usr/sbin/usbconfig | /usr/bin/grep -i powerware \
| /usr/bin/awk '{print $1}' | /usr/bin/tr "ugen:" " " \
| /usr/bin/awk '{ print "/usr/sbin/chown uucp:uucp /dev/usb/"$1 \
".? && /bin/chmod 770 /dev/usb/"$1".?" }'`
Tento workaround spoustim v /etc/rc.local a ma za ukol zjistit port ke
kteremu
je pripojena UPS a nastavit vlastnika uucp:uucp s opravnenimi rwxrwx
Diky za nakopnuti
Honza
--
FreeBSD mailing list (users-l@freebsd.cz)
http://www.freebsd.cz/listserv/listinfo/users-l
RE: OT: VPN pro Windows klienty
Ahoj 1. Klientske GUI je nutne take spoustet s administrátorskymi opravnenimi. Toto jedine v soucasnosti povazuji za znacnou chybu protoze: - default nastaveni Windows neumozni spoustet program s vyssim opravnenim - bez tohoto opravneni OpenVPN nefunguje (routing a dalsi drobnosti) - tyka se to pouze Vista+Win7, XP pracuji korektne 2. IPSec Windows proti FreeBSD je pro mne nocni mura, to jsem zatim vzdal. Predstava byla pouzit certifikaty jako u OpenVPN nebo alespon autentizaci heslem. Bohuzel, narazil jsem na problemy s verzemi a implementaci. Cesta pred OpenVPN je o nekolik radu jednodussi. Pokud by jsi se na to chtel vrhnout, rad se pripojim. Mam kde to testovat. 3. PPTP tusim pod Win7 uz nefunguji. Alespon jsem je zatim nenasel. Honza -- FreeBSD mailing list (users-l@freebsd.cz) http://www.freebsd.cz/listserv/listinfo/users-l
RE: OT: VPN pro Windows klienty
3. FreeBSD (porty mpd5 nebo poptop), GRE/PPTP + do Windows se nemusi nic instalovat + jsou k nalezeni jednoduche navody - wikipedie pise "serious security vulnerabilities have been found in the protocol", neumim to posoudit, jsou presto nejake "spravne" zpusoby nasazeni? - Dan Lukes: "Neprilis detailne si vybavuju, ze byl velky problem uchodit vsechny ruzne verze Woken" Serious security vulnerabilities - podivejte se zde: http://www.schneier.com/paper-pptp.html http://www.schneier.com/paper-pptpv2.html Navic, z hlediska kompatibility je tu automaticky downgrade protokolu z pptpv2 na pptp, coz lze vyuzit pro utok. Nejsem si jist, zda konfigurace poptop umoznuje tuto volbu blokovat. -- FreeBSD mailing list (users-l@freebsd.cz) http://www.freebsd.cz/listserv/listinfo/users-l
PXE boot
Ahoj, Nezkousel nekdo z vas rozchodit PXE boot pro DOS/Windows/FreeBSD? Jake s tim mate zkusenosti? V tuto chvili se snazim vyresit moznost startu vzdálených FreeBSD/DOS a k nim bohuzel i Windows XP (ty jsou samy o sobe narocne) a jakakoliv rada by se mi hodila. Navíc, potrebuji moznost vyberu dle MAC adresy. Dekuji Honza -- FreeBSD mailing list (users-l@freebsd.cz) http://www.freebsd.cz/listserv/listinfo/users-l
RE: PXE boot
Hoj Prez PXE doma bootuju jen instalaci FreeBSD http://blog.smejdil.cz/2010/11/syslinux-pxeboot.html Ahoj Zajimave navody. Instalace FreeBSD i386/amd64 a Debian i386/amd64 uz mi pracuje (diky za navod) SysRescue pracuje (také diky za navod) Floppy image obsahující sw pro zalohovani/restore a buildovana v okamziku potreby dle pozadavku pocitace mi pracuje zatim jen castecne (to byl hlavni duvod) Hirens's boot CD mam v merku Start Win XP a obdobnych pro instalaci se snazim taktez. Jakmile to budu mit, dam vedet kucharku. Instalace FreeBSD a dalších *nixu lze dobře scriptovat a provadet automaticke update. Napriklad nova verze atd. Bude mit nekdo zajem o postupy? Jak moc podrobne je mam psat? Honza -- FreeBSD mailing list (users-l@freebsd.cz) http://www.freebsd.cz/listserv/listinfo/users-l
GRUB2 a FreeBSD
Ahoj Mam takovy problem s bootovanim FreeBSD v GRUB2 Jan Dušátko +420-602-427840 Skype: darmodej MSN: <mailto:jan_dusa...@post.cz> jan_dusa...@post.cz <http://www.dusatko.org> http://www.dusatko.org -- FreeBSD mailing list (users-l@freebsd.cz) http://www.freebsd.cz/listserv/listinfo/users-l
GRUB2 a FreeBSD
Ahoj Omlouvam se za předchozi zpravu Mam takovy problem s bootovanim FreeBSD v GRUB2, kdy nedojde k interpretaci dat ulozenych v /boot/loader.conf /boot/grub/grub.cfg obsahuje insmod ufs2 set root='(/dev/ar0,1,a)' search --no-floppy --fs-uuid --set 4dad96ad553bd910 echoLoading kernel of FreeBSD kernel ... kfreebsd/boot/kernel/kernel kfreebsd_loadenv/boot/device.hints kfreebsd_module_elf /boot/kernel/acpi.ko set kFreeBSD.vfs.root.mountfrom=ufs:/dev/ar0s1a set kFreeBSD.vfs.root.mountfrom.options=rw a /boot/loader.conf if_tun_load="YES" ichsmb_load="YES" ipmi_load="YES" ichwd_load="YES" #ahci_load="YES" #geom_label_load="YES" #geom_part_mbr_load="YES" zfs_load="YES" #vesa_load="YES" beastie_disable="NO" loader_logo="beastie" autoboot_delay="5" #ZFS Tunning vm.kmem_size="512M" vm.kmem_size_max="1G" vm.kmem_size_min="256M" vfs.zfs.prefetch.disable=0 Zkousel jsem jiz zmenit i kfreebsd_module_elf, protoze loader standardne interpretuje nasledujici soubory loader_conf_files="/boot/device.hints /boot/loader.conf /boot/loader.conf.local" Resil jste to nekdo ? Diky Honza -- FreeBSD mailing list (users-l@freebsd.cz) http://www.freebsd.cz/listserv/listinfo/users-l
RE: GRUB2 a FreeBSD - upresneni + pokusy
Ahoj
Prikladam vysledky pokusu a rozsahlejsi popis problemu a jejich duvodu.
Pri bootovanim FreeBSD v GRUB2 nedojde k interpretaci
dat ulozenychv /boot/loader.conf, tzn. settings a nacteni dalsich modulu.
Potrebuji grub z duvodu snadne volby zalozniho boot prostredi.
/boot/grub/grub.cfg obsahuje
insmod ufs2
set root='(/dev/ar0,1,a)'
search --no-floppy --fs-uuid --set 4dad96ad553bd910
echoLoading kernel of FreeBSD kernel ...
kfreebsd/boot/kernel/kernel
kfreebsd_loadenv/boot/device.hints
kfreebsd_module_elf /boot/kernel/acpi.ko
set kFreeBSD.vfs.root.mountfrom=ufs:/dev/ar0s1a
set kFreeBSD.vfs.root.mountfrom.options=rw
a /boot/loader.conf
if_tun_load="YES"
ichsmb_load="YES"
ipmi_load="YES"
ichwd_load="YES"
#ahci_load="YES"
#geom_label_load="YES"
#geom_part_mbr_load="YES"
zfs_load="YES"
#vesa_load="YES"
beastie_disable="NO"
loader_logo="beastie"
autoboot_delay="5"
#ZFS Tunning
vm.kmem_size="512M"
vm.kmem_size_max="1G"
vm.kmem_size_min="256M"
vfs.zfs.prefetch.disable=0
/boot/oader standardne interpretuje nasledujici soubory
/boot/device.hints
/boot/loader.conf
/boot/loader.conf.local
Resil jste to nekdo ?
Jeste doplnim par pokusu a jejich vysledky
menuentry "FreeBSD, Primary Boot Environment kernel" --class freebsd --class
bsd --class os {
insmod ufs2
set root='(/dev/ar0,1,a)'
search --no-floppy --fs-uuid --set 4dad96ad553bd910
echoLoading kernel of FreeBSD kernel ...
kfreebsd/boot/kernel/kernel
kfreebsd_loadenv/boot/device.hints
kfreebsd_module_elf /boot/kernel/acpi.ko
set kFreeBSD.vfs.root.mountfrom=ufs:/dev/ar0s1a
set kFreeBSD.vfs.root.mountfrom.options=rw
}
Ignoruje /boot/loader.conf a /boot/loader.local
menuentry "FreeBSD, Primary Boot Environment kernel environment test"
--class freebsd --class bsd --class os {
insmod ufs2
set root='(/dev/ar0,1,a)'
search --no-floppy --fs-uuid --set 4dad96ad553bd910
echoLoading kernel of FreeBSD kernel ...
kfreebsd/boot/kernel/kernel
kfreebsd_loadenv/boot/device.hints /boot/loader.conf
/boot/loader.conf.local
kfreebsd_module_elf /boot/kernel/acpi.ko
kfreebsd_module_elf /boot/kernel/if_tun.ko
kfreebsd_module_elf /boot/kernel/ichsmb.ko
kfreebsd_module_elf /boot/kernel/ipmi.ko
kfreebsd_module_elf /boot/kernel/ichwd.ko
kfreebsd_module_elf /boot/kernel/zfs.ko
set kFreeBSD.vfs.root.mountfrom=ufs:/dev/ar0s1a
set kFreeBSD.vfs.root.mountfrom.options=rw
}
Ignoruje /boot/loader.conf a /boot/loader.local, nenacte se acpi a ichsmb.
Jinak projde.
menuentry "FreeBSD, Primary Boot Environment kernel environment & module
test" --class freebsd --class bsd --class os {
insmod ufs2
set root='(/dev/ar0,1,a)'
search --no-floppy --fs-uuid --set 4dad96ad553bd910
echoLoading kernel of FreeBSD kernel ...
kfreebsd/boot/kernel/kernel
kfreebsd_loadenv/boot/device.hints /boot/loader.conf
/boot/loader.conf.local
kfreebsd_module_elf /boot/kernel/acpi.ko
kfreebsd_module_elf /boot/kernel/if_tun.ko
kfreebsd_module_elf /boot/kernel/ichsmb.ko
kfreebsd_module_elf /boot/kernel/ipmi.ko
kfreebsd_module_elf /boot/kernel/ichwd.ko
kfreebsd_module_elf /boot/kernel/zfs.ko
set kFreeBSD.vfs.root.mountfrom=ufs:/dev/ar0s1a
set kFreeBSD.vfs.root.mountfrom.options=rw
}
Zhavaruje pri inicializaci, nenajde disky
menuentry "FreeBSD, Primary Boot Environment ordinal test" --class freebsd
--class bsd --class os {
insmod ufs2
set root='(/dev/hd0,1,a)'
kfreebsd /boot/loader
}
Spusti se loader a ten nedokaze najit diskovy prostor.
menuentry "FreeBSD, Primary Boot Environment shotgun test" --class freebsd
--class bsd --class os {
set root='(/dev/hd0,1,a)'
chainloader +1
}
Není schopen zavest ani loader
--
FreeBSD mailing list (users-l@freebsd.cz)
http://www.freebsd.cz/listserv/listinfo/users-l
RE: GRUB2 a FreeBSD - upresneni + pokusy
> > menuentry "FreeBSD, Primary Boot Environment kernel environment& module
...
> > Zhavaruje pri inicializaci, nenajde disky
>
> Zrejme nejaka copy&paste error, protoze tebou popsana konfigurace tohoto
> pokusu je do posledniho pismenka stejna jako u predchoziho (pokud mi
> neco neuniklo), ale hlasis uplne jiny vysledek.
Ano, uniklo, obdobna zalezitost, ale zkousel jsem zde ahci. Zkopiroval jsem
to
po jeho vymazani ;o)
> > menuentry "FreeBSD, Primary Boot Environment ordinal test" --class
freebsd
> > --class bsd --class os {
> >
> > insmod ufs2
> > set root='(/dev/hd0,1,a)'
> > kfreebsd /boot/loader
> > }
> >
> > Spusti se loader a ten nedokaze najit diskovy prostor.
>
> Kdyz delas "prohledavani prostoru reseni" nemel bys menit vic parametru
> soucasne. Doted jsi ladoval /boot/kernel/kernel a root byl /dev/ar0,1,a
>
> A tady jsi zmenil soucasne oboji.
>
> Jestli ma nejaky pokus s nahranim /boot/loader smysl, tak ten pri kterem
> na nastaveni 'root' nesahnes.
Prisel jsem konecne na zpusob, jak přinutit Grub2 nacist FreeBSD tak, jak
to chci ja, nikoliv jak si to predstavuji vyvojari GRUB.
menuentry "FreeBSD, Primary Boot Environment ordinal test" --class freebsd
--class bsd --class os {
insmod ufs2
set root='(/dev/hd0,1,a)'
search --no-floppy --fs-uuid --set 4dad96ad553bd910
kfreebsd /boot/loader
}
Kde fluid lze zjistit jednoduse pres /sbin/glabel status
GRUB ma proste stale sve male musky.
Honza
--
FreeBSD mailing list (users-l@freebsd.cz)
http://www.freebsd.cz/listserv/listinfo/users-l
RE: GRUB2 a FreeBSD - upresneni + pokusy
> On 04/22/11 13:07, Jan Dušátko:
> > Prisel jsem konecne na zpusob, jak přinutit Grub2 nacist FreeBSD tak,
jak
> > to chci ja, nikoliv jak si to predstavuji vyvojari GRUB.
>
> > GRUB ma proste stale sve male musky.
>
> Otazka je (skutecne otazka, ja to nezkoumal natolik, abych mel jakykoliv
> predbezny odhad odpovedi) jestli by scriptovanym nativnim /boot/loader
> neslo dosahnout nejmene tehoz co pozadujes - a s mensim rizikem "broken
> after upgrade" (at uz systemu nebo GRUBu). Nativni loader je preci jen
> nativni loader ...
>
> V podstate je tam jedina klicova podotazka - zda ten scriptovaci jazyk
> ma mechanismus umoznujici neco nekam zapsat. Vyrozumel jsem, ze "vyber"
> bootovani je stavova zalezitost neb primarne chces nabootovat "totez co
> minule" (coz vyzaduje schopnost nekam poznamenat co bylo minule). Pokud
> tohle jde, pak by uz nic dalsiho nemelo branit "nativnimu" reseni tveho
> problemu.
>
> Dan
Pro ty kdo se v tom stratili. Jedna se mi o dualni boot prostredi, kde
Jedno funguje jako pracovni, druhe jako zalozni. Pokud se mi pracovni
jakymkoliv způsobem poondi, chci aby se automaticky nastartovalo zalozni.
V tom je vyhoda grubu a jeho autostartu spolecne s watchdogem.
Kdo ma zajem, nize je maximum veci, ktere se mohou hodit. Ostatnim se
omlouvam za dlouhy e-mail. Pokud chcete, ozvete se mi primo
V soucasnosti mam tato prostredi ponekud marnotratne definovana jako:
(při cene dnešních disku to vazne nema smysl resit)
PTT 1 - 32GB
a UFS / 16GB(used 5,7GB)
b swapvelikost pameti
d UFS /tmp8GB (used 0B)
e UFS /var4GB (used 217MB)
PTT 2 - 32GB
a UFS / 16GB
b swapvelikost pameti
d UFS /tmp8GB
e UFS /var4GB
Ke swapu - mam dva swapy, tedy dohromady davaji dvojnasobek pameti. Mam 4GB
a shodna je i velikost swapu. Ale jeste jsem ho nepouzil.
a /etc/fstab pak vypada
# DeviceMountpoint FStype Options Dump
Pass#
# Primary boot environment
/dev/ar0s1b noneswapsw 0 0
/dev/ar0s1a / ufs rw 1 1
/dev/ar0s1d /tmpufs rw 2 2
/dev/ar0s1e /varufs rw 2 2
# Alternate boot environment
/dev/ar0s2b noneswapsw 0 0
/dev/ar0s2a /.alt ufs rw,noauto 0 0
/dev/ar0s2d /.alt/tmp ufs rw,noauto 0 0
/dev/ar0s2e /.alt/var ufs rw,noauto 0 0
# Other filesystems
proc/proc procfs rw 0 0
/dev/cd0/cdrom cd9660 ro,noauto 0 0
Cele to pak zastresuje skript, ktery kopiruje boot prostredi.
Zminovany soubor /etc/fstab.alt je temer shodny s /etc/fstab, az na
prohozene
cisla partice. Cisla slice zustavaji shodna.
#!/bin/sh
# Create empty filesystem
echo Create script for cleaning filesystem ...
/bin/cat /etc/fstab | /usr/bin/grep /.alt | /usr/bin/awk '{print
"/sbin/newfs -O2 -U "$1}' >/tmp/vmf_make.sh
/bin/chmod 700 /tmp/vmf_make.sh
/tmp/vmf_make.sh
/bin/rm /tmp/vmf_make.sh
# Mount and backup alternate root
echo Mounting and restore new root
/sbin/mount /.alt
cd /.alt
/sbin/dump -0uL -f - / | /sbin/restore rf -
# Mount and backup alternate tmp, var
echo Mounting and restore new /tmp /var
/sbin/mount /.alt/tmp
/sbin/mount /.alt/var
cd /.alt/tmp
/sbin/dump -0uL -f - /tmp | /sbin/restore rf -
cd /.alt/var
/sbin/dump -0uL -f - /var | /sbin/restore rf -
# Copy mountpoints
echo Copying mountpoints
/bin/cp /etc/fstab.alt /.alt/etc/fstab
/bin/cp /etc/fstab /.alt/etc/fstab.alt
# Unmount filesystem to avoid corruption
echo Dismounting part of alternate boot environment
cd /.alt
/sbin/umount /.alt/tmp
/sbin/umount /.alt/var
cd /
echo Generating GRUB scripts
cp /boot/grub/grub.cfg /boot/grub/grub.old
cp /.alt/boot/grub/grub.cfg /.alt/boot/grub/grub.old
/usr/local/sbin/grub-mkconfig --output=/boot/grub/grub.cfg
cp /boot/grub/grub.cfg /.alt/boot/grub/grub.cfg
echo Dismounting rest of alternate boot environment
/sbin/umount /.alt
echo Creating script to activate boot environment
V /boot/loader.conf pak musi byt:
# podpora ich
ichsmb_load="YES"
# podpora ipmi
ipmi_load="YES"
# podpora watchdog
ichwd_load="YES"
A v /etc/rc.conf
# Watchdog daemon
watchdogd_enable="YES"
Ten je mozne nainstalovat pomoci portinstall watchdog
Grub mam ted upraveny, skript vypada nasledovne:
/usr/local/etc/grub.d/10_kfreebsd a 11_kfreebsd
(kde 11_kfreebsd se lisi pouze v defin
RE: GRUB2 a FreeBSD - upresneni + pokusy
>Off topic, ale kdyz to tu resite grub2 ... prisel nekdo na zpusob, jak
zobrazit nabidku jak v consoli {RS232}, tak pres grafiku ??
>Grub 1 to umi v pohode, grub 2 ani po silenych hodinach a pokusech se
nepodaril.
>Jsem v situaci, kdy na masine vidim obojetne BIOS a system ... ale ne grub2
a jeho nabidku, tam budto vga, nebo rs232
>A seriova konsole je nejlevnejsi KVM.
>f.
>
>On Apr 22, 2011, at 5:01 PM, Jan Dušátko wrote:
>
>>> On 04/22/11 13:07, Jan Dušátko:
>>>> Prisel jsem konecne na zpusob, jak přinutit Grub2 nacist FreeBSD tak,
>> jak
>>>> to chci ja, nikoliv jak si to predstavuji vyvojari GRUB.
>>>
>>>> GRUB ma proste stale sve male musky.
>
Ahoj
Pouzivam IPMI na motherboardu nebo IPMI karty do PCI slotu od SuperMicro.
Docela dobre to funguje, pokud to nevleze do grafiky, mam presmerovani i
s pripadnym vstupem do BIOSu.
Honza
--
FreeBSD mailing list (users-l@freebsd.cz)
http://www.freebsd.cz/listserv/listinfo/users-l
RE: Problemy se stabilitou serveru
> Jinak mirne mimo, ale mozna to s tim taky souvisi (pro me bylo tehdy > urgentni to vyresit, tak jsem to vyresil Intelem a to pomohlo) Ano, timto zpusobem to zrejme budu resit taky, pokud nepomuze nic jineho. Ale zatim nechci predbihat. G Ahoj, Uz jsem to tu nekolikrat zminoval. Pred casem jsem resil testovani sitovych karet a prave mezi Intelem a Broadcomem jsou velke rozdily. Jedna se o nasledujici: - TCP OffLoad (CRC32), patch je nutny tusim pro oba interface. Kdyz jsem to testoval poprve, dostal jsem se do situace, kdy vypnuti TOL pomohlo na obou systemech. Software implementace byla v poradku, hardware implementace byla spatne na urovni firmware. Shodou okolnosti, na kazdem HW byla jinak spatne implementovana. - FlowControl, spatne reseny na Broadcomu - Podstatne vetsi mnozstvi Rx/Tx bufferu, ktere umoznuji pretizit Broadcom NIC. Normalni komunikace se pak muze dostat na uroven DOS. Zalezi samozrejme i na switchich. Cisco a Nortell v poslednich generacich jsou schopne resit obstojne flow-control. Pokud bych resil obdobne problem na komunikaci, vypnul byl TCP OffLoad, Nastavil Tx/Rx na shodne hodnoty (tusim to je okolo 62 nebo 68, BroadComm to ma nizsi) a vypnul i FlowControl, jak na NIC tak na Switchich. Postupne bych to zkusil pozapinat. Honza -- FreeBSD mailing list (users-l@freebsd.cz) http://www.freebsd.cz/listserv/listinfo/users-l
FreeBSD make
Zdravim, Resim otazku jak buildovat kernel na Atomu (D520). Program CPUID mi vraci nasledujici charakteristiky FPUFloating Point Unit VMEVirtual 8086 Mode Enhancements DE Debugging Extensions PSEPage Size Extensions TSCTime Stamp Counter MSRModel Specific Registers PAEPhysical Address Extension MCEMachine Check Exception CX8COMPXCHG8B Instruction APIC On-chip Advanced Programmable Interrupt Controller present and enabled SEPFast System Call MTRR Memory Type Range Registers PGEPTE Global Flag MCAMachine Check Architecture CMOV Conditional Move and Compare Instructions FGPAT Page Attribute Table PSE-36 36-bit Page Size Extension CLFSH CFLUSH instruction DS Debug store ACPI Thermal Monitor and Clock Ctrl MMXMMX instruction set FXSR Fast FP/MMX Streaming SIMD Extensions save/restore SSEStreaming SIMD Extensions instruction set SSE2 SSE2 extensions SS Self Snoop HT Hyper Threading TM Thermal monitor 31 Pending Break Enable Pokud bych pouzil volbu CPUTYPE=PentiumPro, nebudou aktivovany napr. SSE/SSE2 instrukce a dalsi. Je nejaka moznost, jak nadefinovat tyto jednotlive polozky do CFLAGS? Hledam na internetu a v dokumentaci, nachazim jenom drobnosti. Nemate nekdo prehled ? Je mozne definovat nekde jednotlive flagy a vytvorit si vlastni definici procesoru? V systemu je napr. core2, rad bych si vytvoril definice typu AtomD520, obsahujici nastaveni konkretnich flagu. Diky Honza -- FreeBSD mailing list (users-l@freebsd.cz) http://www.freebsd.cz/listserv/listinfo/users-l
RE: FreeBSD make
Omlouvam se, posilam jeste jednou kompletni identifikaci a zaroven bych rad podekoval Danovi za nakopnuti spravnym smerem. Jestli jsem dobre pochopil dle http://gcc.gnu.org/onlinedocs/gcc/i386-and-x86_002d64-Options.html, je moznost pouzit parametr: CPUTYPE=native # optimalizace kodu pro aktualni CPU CPUTYME=atom# optimalizace kodu pro CPU Atom Kompletni vystup pro jeden z dostupnych Atomu je tu: Extended brand string: " Intel(R) Atom(TM) CPU D510 @ 1.66GHz" CLFLUSH instruction cache line size: 8 Initial APIC ID: 2 Hyper threading siblings: 4 Feature flags: bfebfbff: FPUFloating Point Unit VMEVirtual 8086 Mode Enhancements DE Debugging Extensions PSEPage Size Extensions TSCTime Stamp Counter MSRModel Specific Registers PAEPhysical Address Extension MCEMachine Check Exception CX8COMPXCHG8B Instruction APIC On-chip Advanced Programmable Interrupt Controller present and enabled SEPFast System Call MTRR Memory Type Range Registers PGEPTE Global Flag MCAMachine Check Architecture CMOV Conditional Move and Compare Instructions FGPAT Page Attribute Table PSE-36 36-bit Page Size Extension CLFSH CFLUSH instruction DS Debug store ACPI Thermal Monitor and Clock Ctrl MMXMMX instruction set FXSR Fast FP/MMX Streaming SIMD Extensions save/restore SSEStreaming SIMD Extensions instruction set SSE2 SSE2 extensions SS Self Snoop HT Hyper Threading TM Thermal monitor 31 Pending Break Enable Feature flags set 2: 0040e31d: SSE3 SSE3 extensions DTES64 64-bit debug store MONITOR MONITOR/MWAIT instructions DS-CPL CPL Qualified Debug Store TM2 Thermal Monitor 2 SSSE3Supplemental Streaming SIMD Extension 3 CX16 CMPXCHG16B xTPR Send Task Priority messages PDCM Perfmon and debug capability MOVBEMOVBE instruction Extended feature flags: 2010: XD-bitExecution Disable bit EM64T Intel Extended Memory 64 Technology Extended feature flags set 2: 0001: LAHF LAHF/SAHF available in IA-32e mode -- FreeBSD mailing list (users-l@freebsd.cz) http://www.freebsd.cz/listserv/listinfo/users-l
RE: FreeBSD make
Tak bohužel, definice atom nefunguje. # cat /etc/make.conf CPUTYPE=atom CFLAGS= -O2 -pipe COPTFLAGS= -O2 -pipe cc -O2 -pipe -march=atom -DHAVE_CONFIG_H -I/usr/src/gnu/lib/libssp/libssp_nonshared/.. -I/usr/src/gnu/lib/libssp/libssp_nonshared/../../../../contrib/gcclibs/libss p -I/usr/src/gnu/lib/libssp/libssp_nonshared/../../../../contrib/gcclibs/inclu de -fPIC -DPIC -fvisibility=hidden -std=gnu99 -fstack-protector -c /usr/src/gnu/lib/libssp/libssp_nonshared/../../../../contrib/gcclibs/libssp/ ssp-local.c /usr/src/gnu/lib/libssp/libssp_nonshared/../../../../contrib/gcclibs/libssp/ ssp-local.c:1: error: bad value (atom) for -march= switch /usr/src/gnu/lib/libssp/libssp_nonshared/../../../../contrib/gcclibs/libssp/ ssp-local.c:1: error: bad value (atom) for -mtune= switch *** Error code 1 Stop in /usr/src/gnu/lib/libssp/libssp_nonshared. *** Error code 1 Stop in /usr/src. Nasel jsem par doporuceni a testu, ohledne rychlosti a vykonnosti. http://blog.vx.sk/archives/25-FreeBSD-Compiler-Benchmark-gcc-base-vs-gcc-por ts-vs-clang.html http://ivoras.sharanet.org/blog/tree/2009-02-11.optimizing-for-atom.html Podle nich jsem nakonec pouzil doporucenou volbu native, funguje jak z praku: # cat /etc/make.conf CPUTYPE=native CFLAGS= -O2 -pipe COPTFLAGS= -O2 -pipe -- FreeBSD mailing list (users-l@freebsd.cz) http://www.freebsd.cz/listserv/listinfo/users-l
FreeBSD/pf a dva sitove interface
Zdar,
Mam nasledujici problem.
Konfigurace: FreeBSD 8.2, dva sitove interface (em0, em1). Interface pro
vnitrni sit em0, interface pro pristup do inernetu em1. Před touto kartou je
hub a pripojeni dva poskytovatele, na uvedenem externim interface (ve slova
smyslu do internetu) je nakonfigurovan NAT (1:many, v tomhle pripade spise
2:many). Cilem teto konfigurace je presmerovani v pripade vypadku jednoho
spojeni na spojeni druhe.
Problem: Nektera spojeni (typicky HTTPS) se v pripade aktivace druheho
interface "rozhasi". HTTPS odchazi, ale zpet jiz neprijde nic. Pritom http a
ostatni protokoly vetsinou funguji. Aktivaci myslim spusteni interface,
nikoliv preklopeni komunikace na zalozni cestu.
Pokud budete potrebovat dalsi detaily z konfigurace, dodam.
em0 - privatni rozsah 192.168.x.x/24
em1 - verejna IP, primarni IP
privatni rozsah 172.16.x.x/24, alias (maly poskytovatel, externe
premapovano na jeho GW pomoci dalsiho NAT 1:1)
cast /etc/pf.conf
...
## SECTION: NAT #
##
no nat on { $int_if, $loop_if }
nat on $ext_if inet from $int_if:network to any -> $ext_if
## SECTION: REDIRECTION #
##
no rdr on { $loop_if }
...
Diky
Honza
--
FreeBSD mailing list (users-l@freebsd.cz)
http://www.freebsd.cz/listserv/listinfo/users-l
RE: FreeBSD/pf a dva sitove interface
> > pripojeni dva poskytovatele >... > > presmerovani v pripade vypadku jednoho spojeni na spojeni druhe. > > > Problem: Nektera spojeni (typicky HTTPS) se v pripade aktivace druheho > > interface "rozhasi". HTTPS odchazi, ale zpet jiz neprijde nic. > > Nemam pro tebe zadnou rozumnou analyzu, ale kdybych mel cas, ja bych se > vydal hledat smerem SSL Session Cache. > > Copak se stane, kdyz se klient snazi "reuse" existujici SSL session, ale > podstatnym zpusobem se zmenily jeho parametry (treba IP) ? Tento problem vyvraci nasledujici pokus 1) Nastartuji system bez aliasu na em1 2) HTTPS funguje 3) Nastartuji alias na em1 a reinicializuji pf 4) HTTPS nefunguje Chtel bych se zeptat, kdo pouzivate zalozni interface a jakym způsobem? Honza -- FreeBSD mailing list (users-l@freebsd.cz) http://www.freebsd.cz/listserv/listinfo/users-l
RE: HW RAID - aktualne modely
> Osobne mam najlepsie skusenosti s Areca kartami, su vyrobcom priamo > podporovane do FreeBSD, maju skvele monitorovacie utility aj webove > rozhranie na konfiguraciu, pokial nestaci cez bios. > > G Navíc, pokud je jakykoliv problem, promptne reaguji na dotaz (vetsinou do dvou az tri hodin) a jsou na slusne technicke urovni co se znalosti tyka. Honza -- FreeBSD mailing list (users-l@freebsd.cz) http://www.freebsd.cz/listserv/listinfo/users-l
OT: LDAP + DNS / AD
Ahoj, Resim otazku, jak nejlepe provest vytvoreni "AD" na nekolika pobockach a jejich vzajemne propojeni. Soucasna struktura DNS je nazev_lokality.firma. V takovem pripade je nutne pro pripadne spojeni s AD zajistit patrne (zde mne zajímají rady) bud několik separatnich LDAP stromu a jejich vzajemnou synchronizaci, nebo jeden strom se slozitejsi strukturou. Opravte mne prosim pokud se mylim, pripadne doplnte informace, které by mi pomohli vydat se optimalni cestou (minimální pracnost, maximalni kompatibilita). Diky Honza -- FreeBSD mailing list (users-l@freebsd.cz) http://www.freebsd.cz/listserv/listinfo/users-l
RE: OT: LDAP + DNS / AD
Ahoj, V tom se shodneme. Dva hlavni radice a jejich synchronizace s ostatnimi domenami. Problemem je pouze nutna kompatibilita s AD, je to pozadavek zakaznika. Chce mit moznost kdykoliv cuknout, dat si tam MS a pripadne zmigrovat ;o)) A ja si zaboha nemohu vzpomenout, jak to ma AD se strukturou ... > Ahoj, > hlavně si to zbytečně nekomplikuj. Možností máš víc, záleží na tom, jaký > je cíl. > Osobně bych se snažil udělat "jeden" (fyzicky alespoň dva) hlavní řadič > a na pobočky dát read-only DC a pobočky řešit jako OU v rámci jednoho > stromu. > Čím víc samostatných subdomén, tím víc starostí a práce. Ale jak říkám, > záleží na podmínkách a na stanoveném cíli. > > > RaT Jan Dušátko píše v Út 12. 07. 2011 v 10:38 +0200: > Ahoj, > Resim otazku, jak nejlepe provest vytvoreni "AD" na nekolika pobockach a > jejich vzajemne propojeni. > Soucasna struktura DNS je nazev_lokality.firma. V takovem pripade je nutne > pro pripadne spojeni s AD zajistit patrne (zde mne zajímají rady) bud > několik separatnich LDAP stromu a jejich vzajemnou synchronizaci, nebo jeden > strom se slozitejsi strukturou. Opravte mne prosim pokud se mylim, pripadne > doplnte informace, které by mi pomohli vydat se optimalni cestou (minimální > pracnost, maximalni kompatibilita). > > Diky > > Honza > > -- FreeBSD mailing list (users-l@freebsd.cz) http://www.freebsd.cz/listserv/listinfo/users-l -- FreeBSD mailing list (users-l@freebsd.cz) http://www.freebsd.cz/listserv/listinfo/users-l
RE: OT: LDAP + DNS / AD
Ano ... doufam ;o) AD je vztah DNS+LDAP, tuším ze tam je par zaznamu navíc, například: DNS: _ldap._tcp.dc._msdcs.firma.local _ldap._tcp.dc._msdcs.firma.local SRV service location: priority = 0 weight = 0 port = 135 svr hostname = ad.firma.local Kvuli tomu (a protože mi vypadla velka část nepouzivanych znalosti) ted Přemyslím, které zaznamy tu musí byt a jak nejlepe navrhnout strukuru LDAP aby odpovidala DNS Pro priklad: DNS domeny mam v tuto chvili brno.firma praha.firma ostrava.firma LDAP bych rad DC=firma +OU=brno +OU=ostrava +OU=praha Problemem je nutnost mit tu nasledujici kontejnery Users Groups Computers idmap Mam je vytvářet v kazdem kontejneru pobočky, nebo je nejak synchronizovat? Honza > Tak ti moc nerozumím - co myslíš tím ""nutná kompatibilita s AD"? Však > stavíš AD, ne? > > RaT > > > Ahoj, > > V tom se shodneme. Dva hlavni radice a jejich synchronizace s ostatnimi > > domenami. Problemem je pouze nutna kompatibilita s AD, je to pozadavek > > zakaznika. Chce mit moznost kdykoliv cuknout, dat si tam MS a pripadne > > zmigrovat ;o)) A ja si zaboha nemohu vzpomenout, jak to ma AD se > > strukturou ... > > -- FreeBSD mailing list (users-l@freebsd.cz) http://www.freebsd.cz/listserv/listinfo/users-l
OT: FreeBSD + FireBird + Abra G3
Ahoj, Chtel jsem se zeptat, zda mate zkusenost s instalaci Abra G3 na FreeBSD. S FireBirdem by nemel byt problem (v portech je firebird20 firebird21 firebird25), ale Abra pouziva jeste vlastni wrapper (patrne zajistujici konzistenci dat). Pro nej mam overenu existenci pro Linux. Zajimaji mne zkusenosti, pripadne jak rozbehat wrapper pod emulaci linuxu. Diky Honza -- FreeBSD mailing list (users-l@freebsd.cz) http://www.freebsd.cz/listserv/listinfo/users-l
GEOM label a UFSID
Ahoj, Pomoci glabel status jsem schopen vypsat UFSID jednotlivych svazku. Prestoze jsem hledal, nenasel jsem jakym zpusobem to nastavit. Je mozne nastavit label, ale UFSID ne, navic se při kazdem vytvoreni souboroveho systemu generuje novy. Duvodem pro tento krok je existence dvou bootovacich prostredi. V okamziku vytvareni probiha newfs+dump+restore, tedy vytvori se novy UFSID. Ten pote musim vlozit do GRUB menu, jinak mi system nenastartuje. V tuto chvili pouzivam skript, ktery vypreparuje jednotliva UFSID z metadata a modifikuje GRUB, ale je tam prilis mnoho moznosti, kde se něco muze pokazit. Tak shanim cokoliv dostatecne ucinneho a jednoducheho. Diky Honza -- FreeBSD mailing list (users-l@freebsd.cz) http://www.freebsd.cz/listserv/listinfo/users-l
RE: GEOM label a UFSID
>>> A smeruju k tomu, ze kdyz si napuises tu utilitu, ktera na puvodnim
>>> disku precte superblok a vyextrahuej data, tak to uz jsi jen par radek
>>> od utility, ktera zmodifikuje fs_id v superbloku na novem disku.
>>
>> newfs -N, precita parametre zo superbloku.
>
>To me rekne tak zruba jen -f a -b.
>
>Ale ne jestli ej to UFS1 nebo UFS2, kolik procent disku je rezervovano
>pro superuzivatele, kolik je inodu, jestli jsou na disku MAC labely, ...
>
>Pricemz nesoulad v nekterych parametrech muze zpusobit, ze se data na
>takovy fisk nepodari obnovit, nebo, ze se cast dat "ztrati" ...
>
>Jasne - pokud se bavime vyhradne o discich ktere jsem si naformatoval ja
>sam a u kterych jsem zadna "nedefaultni" nastaveni nepouzil, tak je to v
>pohode. V opacnem pripade budes muset do hry zapojit jeste tunefs a
>dumpfs abys dohledal i ty ostatni udaje ...
Situace je nasledujici:
1) Mam "pseudoraid" vychazejici z Intel chipsetu /dev/ar0
2) Na uvedenem device mam vytvoreny dva identicke boot environment, zbytek
device je pro datovou oblast
/dev/ar0s1a on / (ufs, local, soft-updates)
/dev/ar0s1b on swap
/dev/ar0s1d on /tmp (ufs, local, soft-updates)
/dev/ar0s1e on /var (ufs, local, soft-updates)
A
/dev/ar0s2a on / (ufs, local, soft-updates)
/dev/ar0s2b on swap
/dev/ar0s2d on /tmp (ufs, local, soft-updates)
/dev/ar0s2e on /var (ufs, local, soft-updates)
3) GRUB2 pouziva nasledujici syntaxi:
insmod ufs2
set root='(/dev/hd0,1,a)'
search --no-floppy --fs-uuid --set 4dea43017116cdff
echoLoading kernel of FreeBSD kernel ...
kfreebsd/boot/loader
4) Oba boot environment jsou bootovatelne, druha partice slouzi pro zalohu
systemu napriklad po problematickem upgrade. Pri vytvareni zalohy prostredi
nejprve pomoci newfs vytvorim prazdny filesystem a pote kombinaci
dump/restore prenesu aktualni prostredi. Bohuzel, musim pote vlozit spravny
UFSID do /boot/grub/grub.cfg. V jinem pripade to nenastartuje.
5) pomoci prikazu
glabel list ar0s1a | grep ufsid | tr "/" " " | awk '{print $4}'
glabel list ar0s2a | grep ufsid | tr "/" " " | awk '{print $4}'
jsem schopen zjistit UFSID potrebne pro GRUB.
Honza
--
FreeBSD mailing list (users-l@freebsd.cz)
http://www.freebsd.cz/listserv/listinfo/users-l
RE: GEOM label a UFSID
>> 4) Oba boot environment jsou bootovatelne, druha partice slouzi pro zalohu >> systemu napriklad po problematickem upgrade. Pri vytvareni zalohy prostredi >> nejprve pomoci newfs vytvorim prazdny filesystem a pote kombinaci >> dump/restore prenesu aktualni prostredi. Bohuzel, musim pote vlozit spravny >> UFSID do /boot/grub/grub.cfg. V jinem pripade to nenastartuje. >> > >Tady te zarazim, z jakeho duvodu pouzivas ufsid a ne primou specifikaci >filesystemu ? >/dev/ar0s1a by ti melo bezet take, doporucuji odzkouset. >Grub puvodne nez zacal pouzivat ufsid(popr.uuid v linuxu) pouzival bezne >specifikaci dane slice (na linuxu napr. /dev/hda1) Snazim se, ale zatim se mi nedari. -- FreeBSD mailing list (users-l@freebsd.cz) http://www.freebsd.cz/listserv/listinfo/users-l
Zrdcadlo pouzitim /dev/ar
Zdravim, Mam (doufam) na systemu zrdcadlo pouzivajici SATA interface /dev/ad4 a /dev/ad6. Zrdcadlo je namountovane jako /dev/ar0. Z duvodu kolize AHCI a RAID jepouzivam AHCI interface. atapci0@pci0:0:31:2:class=0x010400 card=0x060a15d9 chip=0x28228086 rev=0x02 hdr=0x00 vendor = 'Intel Corporation' device = 'Raid Controller (82801HR/HH/HO&82801IR/IH/IO(AIE=0)/ICH10R)' class = mass storage subclass = RAID # mount /dev/ar0s1a on / (ufs, local, soft-updates) devfs on /dev (devfs, local, multilabel) /dev/ar0s1d on /tmp (ufs, local, soft-updates) /dev/ar0s1e on /var (ufs, local, soft-updates) Moje dotazy: Pokud si vypisu glabel status, ukazuje mi to dva rozdilne ufsid na jednotlivych UFS partiích. To mi pripada jako problem pri synchronizaci. Name Status Components ufsid/4dea43017116cdff N/A ad4s1a ufsid/4dea4302f8c1c8a8 N/A ad4s1d ufsid/4dea4302adb8c1bd N/A ad4s1e ufsid/4dea5c939edc8088 N/A ad4s2a ufsid/4dea5c93b93eb0ad N/A ad4s2d ufsid/4dea5c9425f8f68a N/A ad4s2e ufsid/4e4e8ed26a8f42a1 N/A ad6s2a ufsid/4e4e8ed3ec9093b7 N/A ad6s2d ufsid/4e4e8ed3132471ce N/A ad6s2e Pokud napisu status u /dev/ar0 - # atacontrol status ar0 ar0: ATA RAID1 status: DEGRADED subdisks: 0 MISSING 1 ad6 ONLINE Evidentne se system tvari, jako by /dev/ad4 byl vadny. Z prvniho disku se mi ovsem regulerne bootuje system, pak se po inicializaci kernelu zacne pouzivat /dev/ar0 Protoze se jedna o zivy system, kde je na prvnim disku funkcni GRUB, co mi doporucite? Staci jenom rebuild, nebo trosku rozsahlejsi akce pro znovuzprovozneni RAID1 ? Samozrejme tak, aby to bylo I nadale bootovatelne ;o)) Diky Honza -- FreeBSD mailing list (users-l@freebsd.cz) http://www.freebsd.cz/listserv/listinfo/users-l
RE: Zrdcadlo pouzitim /dev/ar
> > Zrdcadlo je namountovane jako /dev/ar0. Z duvodu kolize AHCI a RAID > > jepouzivam AHCI interface. ... koktam a to pisemne (preklep). NEpouzivam AHCI ;o) > > Pokud si vypisu glabel status, ukazuje mi to dva rozdilne ufsid na > > jednotlivych UFS partiích. ... > Uz ten samotny dotaz je v podstate ilegalni. Pokud to spravne chapu, tak > tys vytvoril ze dvou disku mirror, ktery se jmenuje "ar". A na me jsi > nasledne vytvoril nejake datove struktury - jako treba BSD label a > nasledne naformatovanou UFS partition. Vytvarel jsem zrcadlo jeste před instalaci, na urovni BIOSu. Chyba a to velka. > > Pak je ale onen label i ta partition na disku /dev/ar0. ... > Ledaze jsi mirror delal "na praseci zpusob" - to jest - mel jsi hotovy > disk /ad4 a nad nim jsi teprve nadefinoval mirror. I tak jsi ale UFS > delal jen nad ad4 a ne nad ad6. > > Kdovy jaky zapomenuty sektor z nejake predchozi inkarnace UFS ta utilita > nasla ... ... > Ale to odbocuju - ve zkratce je to jednoduche - jakmile je disk soucasti > mirroru, zapomen, ze existuje a na nic se na nem neptej (o zapisech uz > nemluvim vubec). Prave moje velka obava pochází z tohoto ukazatele (glabel status je jen pro dokresleni) Pokud napisu status u /dev/ar0 - # atacontrol status ar0 ar0: ATA RAID1 status: DEGRADED subdisks: 0 MISSING 1 ad6 ONLINE Honza -- FreeBSD mailing list (users-l@freebsd.cz) http://www.freebsd.cz/listserv/listinfo/users-l
RE: Zrdcadlo pouzitim /dev/ar
Ahoj Pro jistotu jsem porovnal prvnich 64 sektoru obou prvnich disku. Protože souhlasily jejich parametry i binární kod v nich obsazeny, udelal jsem resynchronizaci pomoci atacontrol (atacontrol attach a atacontrol rebuild). Systém korektne bootuje. Prevod na sw mirror s použitím GEOM a ZFS resilver udelam pozdeji, pokud vůbec. V tuto chvili to nijak nehori. Kazdopadne, GLABEL je i nadale zmateny. Prestoze /dev/ar0 obsahuje dve zarizeni a to /dev/ad4 a /dev/ad6, GLABEL ukazuje jiné UFSID na kazdem z nich (jsou prece zrdcadlene). Mel jsem za to, ze by mel ukazovat stejne na všech trech ... Ale hlavni je, ze to funguje. GLABEL dulezity není, jedna se pouze o kosmetickou záležitost. Honza -Original Message- From: users-l-boun...@freebsd.cz [mailto:users-l-boun...@freebsd.cz] On Behalf Of Dan Lukes Sent: Sunday, August 28, 2011 1:12 AM To: FreeBSD mailing list Subject: Re: Zrdcadlo pouzitim /dev/ar Jan Dušátko wrote: > Vytvarel jsem zrcadlo jeste před instalaci, na urovni BIOSu. Chyba a to > velka. Se softwarovymi mirrory nevytvarenymi GMIRORRem mam vlastne jeste horsi zkusenosti nez s temi, ktere vytvoril. Pokud jsme to, jak to funguje, pochopil spravne, tak softwarovy raid je skutecne stale RAID softwarovy. Cely "konfigurator" zabudovany v nejakem tom BIOSu dela vlastne jen to, ze kammsi na disky (do posledniho sektoru) zapise uzivatelem zadanou konfiguraci. ... To uz je fakt lepsi si ten mirror vytvorit ciste prostredky FreeBSD - alespon vis, z emu budou jasne rozumet. Omezen jsi jen tim, ze z takoveho softwaroveho RAIDu musi byt schopen system nabootovat (v cemz BIOS svou roli ma a tudiz nemas uplnou volnost v tom jak to udelas). > Prave moje velka obava pochází z tohoto ukazatele (glabel status je jen pro > dokresleni) > Pokud napisu status u /dev/ar0 - > # atacontrol status ar0 > ar0: ATA RAID1 status: DEGRADED > subdisks: > 0 MISSING > 1 ad6 ONLINE Prvni disk nevidi. To muze byt skoro cokoliv - mj. i prave to, ze nerozumi datovemu deskriptoru, ktery na nej BIOS ulozil. MOzna by neco zajimaveho mohl prozradit start ve verbose rezimu. Dan -- FreeBSD mailing list (users-l@freebsd.cz) http://www.freebsd.cz/listserv/listinfo/users-l
RE: Zrdcadlo pouzitim /dev/ar
Dane, To je prave ta vec, která mi dela starosti. Drive nebo pozdeji budu muset prejit na GEOM/Gmirror, protoze GEOM sam o sobe podezrivam z brzke likvidace /dev/ar0 Honza -Original Message- From: Dan Lukes [mailto:d...@obluda.cz] Sent: Thursday, September 01, 2011 1:21 PM To: FreeBSD mailing list Cc: Jan Dušátko Subject: Re: Zrdcadlo pouzitim /dev/ar On 09/01/11 08:21, Jan Dušátko: > Pro jistotu jsem porovnal prvnich 64 sektoru obou prvnich disku. Protože > souhlasily jejich parametry i binární kod v nich obsazeny, udelal jsem > resynchronizaci pomoci atacontrol (atacontrol attach a atacontrol rebuild). > Systém korektne bootuje. Prevod na sw mirror s použitím GEOM a ZFS resilver > udelam pozdeji, pokud vůbec. V tuto chvili to nijak nehori. > > Kazdopadne, GLABEL je i nadale zmateny. Prestoze /dev/ar0 obsahuje dve > zarizeni a to /dev/ad4 a /dev/ad6, GLABEL ukazuje jiné UFSID na kazdem z > nich (jsou prece zrdcadlene). Mel jsem za to, ze by mel ukazovat stejne na > všech trech ... To neni vubec jiste. To UFS bylo a je udelane na ar0 nikoliv na ad4/ad6 V podstate je chyba uz jen to, ze ti vubec nejake UFSID na discich an kterych vlastne zadne UFS neni ukazuji. Rikal jsem, ze GEOM neni napsany prilis "fail-safe" ... A mimochodem, GLABEL neni navrzen s tim, ze budou v systemu dva objekty stejneho typu se stejnym jmenem. Pokud bys tedy nechtel pristoupit na to, ze je chyba GEOMu, ze to UFS na ad4/ad6 vidi, pak se budes muset smirit s tim, ze ty dva FS ( trech nemluve) proste stejne UFSID mit nesmi. Dan -- FreeBSD mailing list (users-l@freebsd.cz) http://www.freebsd.cz/listserv/listinfo/users-l
RE: Zrdcadlo pouzitim /dev/ar
> Pokud se jedna o gmirror (ataraid nemohu posoudit), tak se to chova > "spravne" a skutecne na ad4 / ad6 neni videt ani rozdeleni na slices / > partitions: Prikladam to co je videt za device při pouziti /dev/ar0 crw-r- 1 root operator0, 107 Aug 29 20:15 /dev/ad4 crw-r- 1 root operator0, 108 Aug 29 20:15 /dev/ad4s1 crw-r- 1 root operator0, 113 Aug 29 20:15 /dev/ad4s1a crw-r- 1 root operator0, 114 Aug 29 20:15 /dev/ad4s1b crw-r- 1 root operator0, 115 Aug 29 20:15 /dev/ad4s1d crw-r- 1 root operator0, 116 Aug 29 20:15 /dev/ad4s1e crw-r- 1 root operator0, 109 Aug 29 20:15 /dev/ad4s2 crw-r- 1 root operator0, 117 Aug 29 20:15 /dev/ad4s2a crw-r- 1 root operator0, 118 Aug 29 20:15 /dev/ad4s2b crw-r- 1 root operator0, 119 Aug 29 20:15 /dev/ad4s2d crw-r- 1 root operator0, 120 Aug 29 20:15 /dev/ad4s2e crw-r- 1 root operator0, 110 Aug 29 20:15 /dev/ad4s3 crw-r- 1 root operator0, 112 Aug 29 20:15 /dev/ad6 crw-r- 1 root operator0, 121 Aug 29 20:15 /dev/ad6s1 crw-r- 1 root operator0, 130 Aug 29 20:15 /dev/ad6s1a crw-r- 1 root operator0, 131 Aug 29 20:15 /dev/ad6s1b crw-r- 1 root operator0, 132 Aug 29 20:15 /dev/ad6s1d crw-r- 1 root operator0, 133 Aug 29 20:15 /dev/ad6s1e crw-r- 1 root operator0, 122 Aug 29 20:15 /dev/ad6s2 crw-r- 1 root operator0, 134 Aug 29 20:15 /dev/ad6s2a crw-r- 1 root operator0, 135 Aug 29 20:15 /dev/ad6s2b crw-r- 1 root operator0, 136 Aug 29 20:15 /dev/ad6s2d crw-r- 1 root operator0, 137 Aug 29 20:15 /dev/ad6s2e crw-r- 1 root operator0, 123 Aug 29 20:15 /dev/ad6s3 crw-r- 1 root operator0, 142 Aug 29 20:15 /dev/ar0 crw-r- 1 root operator0, 144 Aug 29 20:15 /dev/ar0s1 crw-r- 1 root operator0, 147 Aug 29 22:15 /dev/ar0s1a crw-r- 1 root operator0, 148 Aug 29 20:15 /dev/ar0s1b crw-r- 1 root operator0, 149 Aug 29 22:15 /dev/ar0s1d crw-r- 1 root operator0, 150 Aug 29 22:15 /dev/ar0s1e crw-r- 1 root operator0, 145 Aug 29 20:15 /dev/ar0s2 crw-r- 1 root operator0, 151 Aug 29 20:36 /dev/ar0s2a crw-r- 1 root operator0, 152 Aug 29 20:15 /dev/ar0s2b crw-r- 1 root operator0, 153 Aug 29 20:36 /dev/ar0s2d crw-r- 1 root operator0, 154 Aug 29 20:36 /dev/ar0s2e crw-r- 1 root operator0, 146 Aug 29 20:15 /dev/ar0s3 Software RAID je vytvořen nad dvemi identickými SATA disky ... a tohle je vysledek. Obavam se, ze zlaty GMIRROR. Honza -- FreeBSD mailing list (users-l@freebsd.cz) http://www.freebsd.cz/listserv/listinfo/users-l
Versioning a "Recycle bin"
Ahoj, Zakaznici si pomerne casto omylem mazou soubory, hledam proto zpusob jak vyresit ochranu (shromazdovani souboru po smazani). Napadlo mne pouzít versioning nebo nahradit /bin/rm nějakým skriptem, zajistujici presunuti do konkrétního adresare v ~/ dokud nedojde místo. Pro systém pouzivam UFS, pro data ZFS. Resil jste někdo podobny problem? Podarilo se to? A je to vůbec technicky mozne? Mirne OT: Resil jsem tentyz problem i se sambu, kde jsem to vyresil vlozenim nasledujicich klauzuli u kazdeho share, ktereho se to dotyka: . vfs object = recycle recycle:repository = Recycle Bin recycle:keeptree = Yes recycle:versions = Yes recycle:exclude = *.tmp *.temp *.bak ~*.* recycle:excludedir = /tmp /temp recycle:noversions = *.doc *.docx *.xls *.xlsx *.ppt *.pptx *.oft *.ofs *.ofr *.oft *.ods *.odp *.odm *.odl *.odh *.odg *.odf -- FreeBSD mailing list (users-l@freebsd.cz) http://www.freebsd.cz/listserv/listinfo/users-l
OT: FreeBSD + antivirus proxy
Ahoj, Hodne dlouhou dobu jsem pouzival na ochranu perimetru SQUID+HAVP. Protoze HAVP uz nejakou dobu neni vyvijen, shanim nahradni reseni. Jedna se mi o antivirovou proxy, schopnou vyuzit napr. ClamAV, OpenAntivirus nebo třeba NOD32. Zaslechl jsem o podpore antivirove kontroly u DansGuardianu. Vite o tom nekdo neco? Diky za odpoved Honza -- FreeBSD mailing list (users-l@freebsd.cz) http://www.freebsd.cz/listserv/listinfo/users-l
Boot po siti
Ahoj, Pred nejakou dobou jsem si zacal hrat s bootem po siti. Zajimaji mne tri oblasti: - Backup/Restore - Instalace BSDlike/Linux systemu (parametrizovana) - RIS (Remote Instalation Service) schopna instalovat napr. WinXP/Win7 (scripting je dobre popsany, pripadne je mozne vyuzit nLite atd.) V tuto chvili mam vyreseno nad PXE Backup/Restore pomoci automaticke parametrizace Clonezilla a PING, start SysRescue CD (parametrizaci resim), paradoxne uz startuji instalaci WinXP a Win7 (vlastni instalace mi jeste nefunguje tak jak bych si pral). Casem vse uverejnim jako ucelenou kucharku. V tuhle chvili ale resim podstatne trivialnejsi problem, tykajici se FreeBSD. Při pouziti SysLinux jsem v menu pouzil nasledujici: label fbsd32 menu label FreeBSD/i386 kernel memdisk initrd /image/freebsd/freebsd-i386.iso.gz append iso raw To mi uzmozni nastartovat FreBSD z gzipnute bootonly image. Bohuzel, pokud dam instalaci po siti a necham DHCP aby mi nastavil adresu interface, nic se nestane a system jako by bge0 (tento pripad) rozpoznal, ale neumel s nim pracovat. Je to blbost, normalni boot-only to umi, overil jsem si to. Chci se zeptat, zda nekdo z vas nema nejaky dobry trik v rukavu, jak identifikovat / opravit tento problem. Diky Honza -- FreeBSD mailing list (users-l@freebsd.cz) http://www.freebsd.cz/listserv/listinfo/users-l
RE: Boot po siti, upresneni
Jenom pro upresneni problemu Testoval jsem chovani na konsole a nasel jsem podivnost. Interface bge0 pripadne tl0 je ve stavu down, kdyz instalator posila DHCP REQUEST. Presto ho lze zdvihnout pomoci ifconfig a pak pustit dhclient manualne. Bohuzel, je to mimo cas, ktery je potreba pro zacatek stahovani instalace, tedy instalace zfailuje. Nevite kudy kam? Honza -- FreeBSD mailing list (users-l@freebsd.cz) http://www.freebsd.cz/listserv/listinfo/users-l
RE: Boot po siti
> Zkousel jsi zalohovani NTFS? Ja jsem se bohuzel zasekl na tom, ze ntfsclone > na FreeBSD zlobi, takze musim taky pouzivat Linux, coz se mi moc nelibi :( To je duvod, proc pouzivam (a testuji) Clonezilla, Ghost for Unix a PING (Partition Image is not a Ghost). Potrebuji tu doladit dve věci: - zaloha dat, ne volneho prostoru (NTFS backup) - partition/disk image, tedy vcetne bloku označených jako volne (například pro forenzni audit) > > paradoxne uz startuji instalaci WinXP a Win7 (vlastni instalace mi jeste > > nefunguje tak jak bych si pral). Casem vse uverejnim jako ucelenou kucharku. > > Automatizovana instalace Windows me hodne zajima - kdysi jsem trochu laboroval > s nLite, ale cosi se mi na tom nelibilo, detaily uz si moc nepamatuju. > Kdybys tu kucharku nepsal sem, tak prosim o CC soukrome. Jedna se o kombinaci TFTP a konkretniho samba share. Cilem je nabootovat primo do konkretni instalace a v ni pripadne scriptovat (tedy vcetne instalace dalších baliku). Jinak, nLite je vyborne a musim rict, ze mihodne pomaha v priprave (například integrace patchu atd). > > To mi uzmozni nastartovat FreBSD z gzipnute bootonly image. ... > > Neni lepsi pouzit klasicky bezdiskovy postup s NFS? Pouziti image je jednodussi co se tyka pripravy a spravy. Na druhou stranu, TFTP+NFS mi jako jedine umoznuje pouziti install.cfg, pomoci ktereho muho nascriptovat kompletni instalaci. Boot image po siti potrebuji v pripade pozadavku na jednoduchy start instalacniho media, kde nechci resit co a jak. Jenze prave to mi ted zlobi. Honza -- FreeBSD mailing list (users-l@freebsd.cz) http://www.freebsd.cz/listserv/listinfo/users-l
RE: Boot po siti
Narazil jsem na problem s FreeBSD 8.2 - install.cfg pri sitovem startu, kde jsem se dostal do nasledujici situace: 1) Pomoci upravy memfs image (mfsroot.tgz) jsem upravil a rozsiril sadu prikazu (standardni boot CD je 'ponekud' oholeno). V tuto chvili mam kompletni /bin /sbin /usr/bin a /usr/sbin a podobne, dulcite (nebo spise prijemne) adresare 2) Mam problem s autodetekci typu disku a volbou jak s nim pracovat. Teoreticky by bylo mozne zacit konfiguraci s GMIRRORem, ale jak co mozna nejjednodusim způsobem zjistit, zda jsou disky o shodne velikosti? 3) Pri vytvareni oddilu na disku je mozne provest volbu: - free - all - exklusive Zde bych potreboval vytvorit oddily o urcite velikosti. Vite nekdo o zpusobu jak? Rad bych se vyhnul rucnimu volani FDISKu. 4) Autodetekce sitoveho interface je mirne receno problematicka ... a dalsi Podle vseho by bylo vhodnejsi pred startem instalaku spustit jiny skript, ktery install.cfg vytvori/upravi, predkouse mu prostredi atd... Jinak to znamena pro kazdy typ systemu jiny install.cfg, kde tvorba mfsroot.tgz je pomalu delsi nez instalace. Mate s tim nekdo zkusenosti? Delal jste to nekdo? Privitam jakekoliv rady nebo i navrhy, co zaradit do skriptu (instalace na GMIRROR, ZFSroot a další). Diky Honza -- FreeBSD mailing list (users-l@freebsd.cz) http://www.freebsd.cz/listserv/listinfo/users-l
RE: Boot po siti
Ahoj, Trik, o kterem jsem nevedel a muze se nekomu hodit: file -s /dev/ad0vypise parametry device a PTT Jinak resim dve otazky. 1) Pouziva se PTT/GPT automaticky dle velikosti disku, nebo se musi rucne zvolit? Zatim jsem o tom nenasel informace, pocitam spise s tou horsi variantou. 2) Nemate nekdo informaci o novem instalacnim program pro freebsd 9 a pripadne o jeho scriptovani? Nerad bych se dostal do situace, kdy neco prance udelam a ve vysledku to bude fungovat jen pro aktualni a historicke verze ;o) Honza -- FreeBSD mailing list (users-l@freebsd.cz) http://www.freebsd.cz/listserv/listinfo/users-l
OT: FreeBSD a ABRA
Ahoj, Sice se jedna o trochu OT, ale rad bych pomohl vyhnout se reseni problemu, ktere reseni nemaji. Me staly asi tak tyden prace. Pokud nekdo mate server na FreeBSD, kde potrebujete nasadit ucetnictvi ABRA G3, pouzivajici databazi FireBird, zrovna nasadte Linux. Pricinou je jednak pouziti wrapperu abry (server, provadejici "mezivrstvu" mezi FireBird a klienty) a nahrazeni nekolika knihoven z originální distribuci databaze, pry pro zvyseni stability (v linuxu skutecne stabilitu zvysuji, at uz je puvodni pricina problemu jakakoliv). Wrapper sam o sobe neni problem, je mozne ho pod emulaci Linuxu rozbehat. Problem je s knihovnami, kterymi se musi nahradit nektere z originalni distribuce databaze. Protoze jsou upraveny, je nutne rozbehnout i databazi pod emulaci Linuxu a tady zacina prusvih. Paradoxne stabilnejsi prostredi bylo bez techto knihoven, emulace jim vyslovene nedela dobre. I tak, dostal jsem se do situace kdy pracovat mohli dva klienti, ale objevovaly se nahodne vypadky spojeni, v pripade nahrazenych knihoven jednou i kernel panic, jinak vcelku pravidelne coredump. Pricinou bude patrne nejake nestandardni volani, nebo spatna kompatibilita. Bohuzel, prestoze jsem nekolikrat koketoval s touto variantou, s uvedenym software je nutne si vybrat. ABRA nebo FreeBSD. ABRA nema zajem delat interface pro FreeBSD, takze se asi neda svitit. Testovana konfigurace bez knihoven, wrapperu v emulaci (vice méně stabilni do 2 uzivatelu, do provozu nevhodne): FreeBSD 8.2/i386 Firebird 2.5 linux_base-f10 4.16 + glib a dalsi knihovny Testovana konfigurace s knihovnami, wrapperu a firebird v emulaci (absolutne nestabilni): FreeBSD 8.2/i386 linux_base-f10 4.16 + glib a dalsi knihovny + Firebird 2.5 + nahrada knihoven pro FireBird Premyslel jsem nad Linuxolatorem od Romana Divackeho, ale nakonec jsem si s tim nehral, nejak uz nemam chut a cas. Pokud se do toho nekomu bude chtit, poslu postupy a slepe ulicky ;o) Diky Honza -- FreeBSD mailing list (users-l@freebsd.cz) http://www.freebsd.cz/listserv/listinfo/users-l
RE: OT: FreeBSD a ABRA
Ahoj, K tomuto OT: > .. pri vetsim objemu prihlaseni si to dela v pameti slusnej galymatias(na > serveru - linux) a sezere to spoustu vykonu. Ano, to jsem pozoroval. Ale daleko vetsi problémy mi delalo ABRU vubec rozjet. ... > A nejlepsi na tom bylo ze i pri vytrasovani chyby a jejim zaslani do > abry jsem dostal akorat vlaznou odpoved ze : "nas software chybu nema, > opravte si server", coz me tak dohralo ze jsem s pokusama skoncil. Chyba byla ve wrapperu nebo jejich knihovne? Priznam se, zpusob pristupu mi připadá znacne nestandardni (pochopil bych wrapper maximalně kvuli konzistenci a referencni integrite), nahrazovani knihovny jinou odsuzuje server do role dedikovaneho stroje. Z meho pohledu se jedna o poruseni bezpecnostnich pravidel (snazim se tento proces maximalně izolovat) a ne uplne dobře zvolenou architekturu. Ale zakaznici jsou zakaznici Casem to mozna zkusim znovu. Dalsi info mimo konferenci ;o) j...@dusatko.net Honza -- FreeBSD mailing list (users-l@freebsd.cz) http://www.freebsd.cz/listserv/listinfo/users-l
PXE boot
Ahoj, Pred casem tu par lidi chtelo kucharku jak na bootovani přes PXE (vzdalena instalace, zalohovani, utility). Prikladam odkaz na clanek, jeste ho upravuji a dodelavam. http://www.dusatko.org/cs/node/177 Veskere připomínky vitany. Honza -- FreeBSD mailing list (users-l@freebsd.cz) http://www.freebsd.cz/listserv/listinfo/users-l
