dyr: (Default)
As already many of you knows, Google had supported two-factor authentication since last year. This authentication based on RFC 3246 and implement counter/time-based (COTP/TOTP, accordingly) one-time passwords. So it's time to use it to login on the our FreeBSD servers, where second part of two-factor will be based on your Android device with installed Google Authenticator .

The reciept is a pretty cool and simple.
  1. Install on the server "pam_google_authenticator" and, optionally, ibqrencode (it will show us QR-Code directly in console by...pseudo-text, looks really impressive.).
  2. After install, run "google-authenticator" under desired user (i.e. for "dyrez" - "sudo -u dyrez google-authenticator"). After a few simple questions, open Google Authenticator on your phone and choose "Add account" -> "Scan barcode". The barcode, as you already should have seen, will be on the screen (if you had installed libqrencode) or by inserting URL from screen to your browser (looks like "https://www.google.com/chart?chs=200x200&chld=M|0&cht=qr&chl=otpauth://")
  3. Edit /etc/pam.d/sshd -  add "auth sufficient /usr/local/lib/pam_google_authenticator.so" before "auth required pam_unix.so no_warn try_first_pass".
  4. ???
  5. PROFIT!
That's enough! Now you could login with using one-time codes generated on your phone, or by using your old-school UNIX password.


P.S. It's also an attempt to enhance my english skills, so any comments are welcome.
dyr: (Default)
Публикую больше для себя, чтобы не забыть, но может быть окажется полезным и для кого-то ещё.
Сторадж NexentaStor 3.1.1, 8x2Tb HDD в RAIDZ2, 1x80Gb SSD под cache, Intel 82599 10Gbase-SR сетевая, отдаётся через iSCSI и через NFS.
Проблема - iSCSI что с MPIO 4x1Gb, что с 1х10Gb сетью не позволяет получить скорость более ~90Мбайт/сек.
В итоге после тестов остановился на использование NFS в качестве datastore для VmWare ESXi 4.1. Результаты теста скорости для виртуалки в ней приведены в самом низу.
Read more... )
dyr: (Default)
Накипело.

Linux:
1. Неумение iptables работать с таблицами таким же образом, как в FreeBSD ipfw или pf. Например, невозможно написать аналогичную такой вот в PF:
nat on $ext_if from <allow-nat> to any -> $dst_nat static-port sticky-address round-robin
или вот такой в ipfw:
pipe tablearg ip from any to 'table(4)' xmit vlan3050 // Incoming traffic shaping

pipe tablearg ip from 'table(5)' to any xmit em0 // Outgoing traffic shaping
Причём второй пример аж по нескольким причинам:
- iptables не умеет создавать подписи к правилам
- iptables не умеет работать с таблицами, беря из них аргументы в качестве, как здесь, номера правила pipe для данных ip
- iptables не умеет шейпировать. Да, я знаю про tc...как прекрасно знаю и про то, что он не умеет шейпировать "маской", т.е. per-ip

У ipset аж три ветки (в Ubuntu до сих пор 2.5, в "продакшене" существуют 4 и 6 ветки, причём все отличия выглядят просто косметическими)

2. Отсутствие встроенных сетевых счётчиков пакетов в секунду (pps). Наличие лишь "абсолютных" счётчиков полнейший идиотизм
3. Невозможно обнулить сетевую статистику TCP/IP по "netstat -s". Ну это же кромешный пиздец!


FreeBSD:
1. Настройка bridge с vlan'ами настолько увлекательно непредсказуема сочетанием параметров в rc.conf (то vlan не сохраняется, то bridge не создаётся), что проще и легче оказалось создавать интерфейсы и бридж с помощью "ручного" rc.local.
2. Бага с обрезанием имён интерфейсов в команде "netstat -rn" ведёт свою историю уже лет десять, не меньше. Всё это время интерфейсы в выводе этой команды представлены в таком виде:
Routing tables



Internet:

Destination Gateway Flags Refs Use Netif Expire

default 217.119.16.33 UGS 1 167787316047 em0

10.1.0.0/16 10.78.77.9 UG1 0 0 vlan30

10.2.0.0/16 10.78.77.9 UG1 0 0 vlan30

10.12.0.0/16 10.78.77.9 UG1 0 0 vlan30

10.21.0.0/16 10.78.77.9 UG1 0 0 vlan30

10.48.0.0/16 10.78.77.9 UG1 0 0 vlan30

10.49.0.0/16 10.78.77.9 UG1 0 0 vlan30
,
где под именем "vlan30" на самом деле скрывается "vlan3050". Мелочь? Мелочь. Но она уже задолбала! Что стоит изменить одну цифру в соответствующем printf?!

3. PF. Идёт с великолепным ALTQ....который несмотря на многочисленные просьбы, так до сих пор и не умеет шейпировать по маске. Работа интерфейсов CARP, взятых как и PF, из OpenBSD, подчиняется вообще каким-то своим правилам - половина man'a просто не работает, частоту рассылки pfstated настроить тоже нельзя...Короче, всё криво. И ещё эта PF'ная принципиальная одноядерность!


В-общем, что-то меня всё стало раздражать.
dyr: (Default)
Проапгрейдил домашний сервер с FreeBSD 8.0-RELEASE до FreeBSD 9.0-BETA2, обновил системный раздел ZFS с 13 до 28 версии. Потом посмотрел какую скорость даёт имеющийся gmirror из двух gstripe, подумал, и перевёл их на ZFS, сделав stripe из двух mirrror:

root@server:/usr/home/dyr (10972) zpool status -v
  pool: storage
 state: ONLINE
 scan: resilvered 1,34T in 6h29m with 0 errors on Tue Sep 27 04:41:19 2011
config:

        NAME        STATE     READ WRITE CKSUM
        storage     ONLINE       0     0     0
          mirror-0  ONLINE       0     0     0
            ada4p4  ONLINE       0     0     0
            ada1p4  ONLINE       0     0     0
          mirror-1  ONLINE       0     0     0
            ada3p4  ONLINE       0     0     0
            ada0p4  ONLINE       0     0     0

errors: No known data errors

  pool: zroot
 state: ONLINE
 scan: scrub repaired 128K in 0h47m with 0 errors on Sun Sep 25 03:07:55 2011
config:

        NAME              STATE     READ WRITE CKSUM
        zroot             ONLINE       0     0     0
          mirror-0        ONLINE       0     0     0
            gpt/system-D  ONLINE       0     0     0
            gpt/system-C  ONLINE       0     0     0
            gpt/system-B  ONLINE       0     0     0
            gpt/system-A  ONLINE       0     0     0

errors: No known data errors


Скорость, как это не удивительно, выше, чем у gmirror+gstripe. Плюс все приятности ZFS вроде ненужности fsck, проверки checksum файлов от памяти до диска в процессе записи, поддержки компрессии и т.п.
В 8.0 и с 2Гб памяти ZFS был очень медленным. С тех пор я увеличил память вдвое, и вуаля - в девятке ZFS уже весьма юзабелен.

Cisco price

Aug. 4th, 2011 01:36 pm
dyr: (Default)
При покупке лицензии на IOS 15 ветки (за $4500) необходимо отдельно покупать CD с этим IOS'ом. За 400 баксов. Ну не охренели ли они, а?
dyr: (Default)

Возникла необходимость обновить MySQL 5.0 до MySQL 5.1 в Gentoo с минимальным перерывом в работе, описываю свой опыт. Вполне допускаю, что будет для гуру банальностью, тем не менее, как "напоминалка" будет полезна. Хотя бы мне самому :)
Основой послужили статья Peter Davies'a и руководство MySQL Upgrading MySQL

Profile

dyr: (Default)
dyr

May 2016

S M T W T F S
1234567
891011121314
15161718192021
2223242526 2728
293031    

Syndicate

RSS Atom

Most Popular Tags

Style Credit

Expand Cut Tags

No cut tags
Page generated Jul. 21st, 2017 02:29 pm
Powered by Dreamwidth Studios