顯示文章

這裡允許您檢視這個會員的所有文章。請注意, 您只能看見您有權限閱讀的文章。


文章 - cmwang

頁: [1] 2 3 ... 11
1
Google到一篇GlusterFS教學,看來GlusterFS也不算太好搞(至少不太值得為了2-3個node殺雞用牛刀,而且還有一堆限制),鵝看還是乖乖起一台VM當NFS server好了 :P....

2
Linux 討論版 / Re: postfix + dovecot + radius 疑問
« 於: 2020-07-11 11:47 »
TWU2大您好,
小弟早先就是安裝了pam_radius套件,
新的mail server可以跟radius server溝通,但是認證一直過不去,
所以小弟才來請教前輩們。
謝謝。

那radius server上的log寫些啥 ??? ???....

3
DRBD 如何?

DRBD應該沒有支援FreeBSD,鵝再試試GlusterFS好了 :-\....

4

這是哪裡來的資訊?

FreeBSD Wiki中GlusterFS部份寫的啊 :-\....
引用
To mount GlusterFS file systems, the client computers need FUSE support in the kernel. Servers can run on any node, without any extra prerequisites. As of date, GlusterFS server is tested on Linux, FreeBSD and Opensolaris, and client runs on only Linux machines.

5
沒有用過但看過文件->GlusterFS 有考慮過嗎?

有看過GlusterFS,不過目前FreeBSD對GlusterFS好像只能當server,而不能當client,所以應該不能用 :P....

6
BSD 討論版 / Distributed filesystem for FreeBSD....
« 於: 2020-07-10 16:39 »
鵝有user因為沒有shared storage(其實不是沒有,只是那台年事已高的NetApp準備要撤掉),但要作HA/Load balance,好像只剩走distributed filesystem一途,不過看了看CEPH的文件實在是有些殺雞用牛刀,不知有沒有朋友遇過類似的狀況,可以討論一下嗎 ??? ???....

7
請問各位先進
如何隱藏作業系統版本 ?? (O.S freebsd)
因故暴露於公眾網路上,想隱藏作業系統版本,避免被偵測發現已知漏洞

FreeBSD預設會在ssh的banner帶OS的版本,這是最容易被看到的部份,如果沒須要的話先用IPFW把22/tcp擋掉(至少可以限制服務範圍,或是用鋸箭法把這個行為關掉),但直接接上Internet時遇到用nmap之類掃OS的TCP/IP finger print者一樣沒輒,可能要靠其他FW擋比較方便了 :D :D....

8
BSD 討論版 / Re: FreeBSD IFF_RUNNING??
« 於: 2018-05-30 18:49 »
言下之意是說 , 雷目前的 freebsd 版本不足 ?

應該是說現行版本FreeBSD的IFF_RUNNING和IFF_UP看來是一樣的,並沒有反映出link state :P....

不過一樓貼圖中 , ucarp 是 IFF_RUNNING , 核心常數卻命名 IFF_DRV_RUNNING
會不會是在 ucarp 非常數宣告 , 又曾經 include if.c ... 反之常數 / 後 include

net/if.h裡定義IFF_RUNNING和IFF_DRV_RUNNING是一樣的(舊名稱保留給舊user space tool用,畢竟UCARP的source code日期是2010年的,已經算古文了),不過鵝不小心發現net/if.h內也有LINK_STATE相關宣告,不知要用哪個ioctl才讀得到啊(因為SIOCGIF又分成SIOCGIFMEDIA及SIOCGIFXMEDIA,要判斷兩次,有點麻煩 :P)....BTW,另外一個狀況就是鵝用SIOCGIFMEDIA在實體機上可以偵測到link down,但在VM上把Network Adapter設成disconnect時,kerne會知道link down,但ifconfig看到的status卻還是active(至少是在ESXi5.5的VMX上是如此),鵝改的部份就是從ifconfig的source code抄出來的,因此在VM上也跟著破功了,還是一定要用SIOCGIFXMEDIA才保險啊....

PS:鵝只是趕鴨子上架,並不是非常瞭解ifconfig的source code到底在寫啥----畢竟鵝已經超過20年不摸code了 :P....

9
BSD 討論版 / Re: FreeBSD IFF_RUNNING??
« 於: 2018-05-29 16:05 »
鵝惡補了一下,從ifconfig的source code中截出一小段,看來目前版本的FreeBSD只能用SIOCGIFMEDIA拿到PHY的相關structure,再從裡面讀到link state了 :P.....

10
BSD 討論版 / FreeBSD IFF_RUNNING??
« 於: 2018-05-28 12:31 »
Hello Everyone:
      鵝試著要用HAST+UCARP兜storage/service level的HA. 如果把UCARP或是整台機器關掉,HAST/UCARP是可以在primary/master及secondary/backup間正確切換的. 不過鵝把Ethernet拔掉時,kernel有偵測到link down,但UCARP跑master的node並不會切到backup mode(照說是要掉到backup mode的,而且HAST要靠UCARP將其切成secondary mode). 更誇張的是,當鵝把原先跑backup mode的機器拔線之後,它會把自己切成master mode(因為收不到master的IP multicast了 ::)). 這樣一來,當兩台機器都恢復online時,有可能會造成很大的混亂(因為兩台都自以為是primary/master,而HAST的metadata中並不包括timestamp,所以可能實際上offline那台的storage會把online那台的覆蓋掉)....

鵝發現UCARP的carp.c在其docarp(void)副程式中是以IFF_RUNNING來判斷master何時該切換成backup的....

請問一下有網友知道在BSD中,IFF_RUNNING是否反映出interface真正可用與否(照鵝在網路上找到linux相關討論的What is the difference between IFF_UP and IFF_RUNNING似乎是這樣的,但由UCARP的表現看來並非如此),或是那句"resources allocated"的涵意到底是啥,Thanks!!

PS:照前面URL的說法,IFF_RUNNING主要是為了和BSD相容而來的,不過很冏的是,鵝發現UCARP在Linux上是正常的,而在BSD上就不work了,看來是目前的BSD不會處理IFF_RUNNING了 :P.....

11
SMTP有個指令叫ETRN,不過通常是用在mail server從次要MX的queue中取回其暫時代收的mail,可能和您想的不太一樣就是了 :P....

12
有朋友知道怎麼讓Apache在auth negotiation沒有可用方式時,不要回www auth negotiate reject,只回401和Error Document的URL嗎,鵝要幫user的網站配合AD做SSO,Client沒login AD時照說沒有Kerberos ticket可給,所以client端只支援NTLM :P....

正常狀況下server可以把browser redirect到傳統的login網頁,可是為何有時Client會發起spnego negotiation,server端拒絕後browser會fallback到basic auth,導致user會看到輸入帳密的dialog :-\....

鵝試過只回401和Error Document的URL時browser的表現是符合user的須求的,問題是怎麼讓Apache在遇到client傳回negotuate/NTLM時跳過reject這段,有能人異士可以指點鵝一下嗎 :P....

13
pam-abl看來不錯,有人試過嗎 ??? ???....

14
BSD 討論版 / Re: FreeBSD mmap on CIFS share....
« 於: 2016-09-19 18:02 »
鵝後來找到Subject: Re: ports/29704: Imagemagick Identify utility crashes when used on smbfs mounted share....

引用
Yes, this is an expected behavior - smbfs uses a counter to track open/close operations and if it became zero, an SMB "close" request sent to server. Obviously, mmap() doesn't give additional VOP_OPEN() call and file is really closed after close(), so any subsequent read/write operation will fail.

In the DOS/Windows world it is normal to have strong relation between open/close operations, while VOP_OPEN()/VOP_CLOSE() in FreeBSD do not match sometime (I'm suspect that it is possible to remove inconsistence, though).

One of the possible solutions is to remove smb_close request from smbfs_close() vop and leave it only in the smbfs_inactive(), but this will not allow programs to immediately release a file by just closing it.

看來是FreeBSD對VOP_OPEN/VOP_CLOSE的解釋造成的,難怪從十幾年前就是這樣了 :P :P....

15
BSD 討論版 / FreeBSD mmap on CIFS share....
« 於: 2016-09-09 19:58 »
鵝公司的產品因為是based on FreeBSD這個不算太熱門的OS上,而RD說讀寫檔案因為效能考量是以mmap方式處理,之前都是要user提供NFS的storage(CIFS的話只知道因為歷史因素不建議用,但為啥不能用沒人說得出所以然 :P),最近因為user強力要求要配合CIFS storage,鵝只好拿FreeBSD去mount CIFS share,然後用iozone指定以mmap方式測試,結果果然是不work,不過讓鵝大惑不解的是iozone讀寫CIFS/NFS的方式都一樣,為啥上方的CIFS會在gettimeofday這個看似和filesystem扯不上邊的動作後產生SIGSEGV而被kill掉,但下方的NFS則一切正常啊 ??? ???....

16
工作機會 / Re: 幫老闆找人....
« 於: 2016-04-29 21:32 »
$4000是什么意思,才4000每月么

NT$4xK/month,一般認知中是指NT$40K-49K/month吧 :P :P....

17
系統安全討論版 / 小心釣魚信....
« 於: 2016-03-24 18:05 »
提醒大家最近小心釣魚信,內容就是現在最夯的綁架病毒,特徵就是有10-20KB大的zip附加檔,害鵝整天都在陪某ISP搞幾十萬封這種信,真的是大爆發,不知有多少人會中獎啊 :o :o....

18
工作機會 / Re: 幫老闆找人....
« 於: 2016-03-22 14:59 »

其實我比較想要的是可以「調教」的產品....

佛曰:不可說,不可說 :-[ :-[....

19
工作機會 / Re: 幫老闆找人....
« 於: 2016-03-22 07:55 »
104上的職缺開了,有興趣者請趕快報名吧 :P....

PS:工作性質大概就是回答user的電話,還有幫忙擺平系統方面的事情,像是弱掃被掃到要怎麼補,怎麼讓FreeBSD可以在現代的新機上run,偶爾還有performance tuning要搞,考量到辦公室氣氛還不錯,又可以準時上下班,這年頭這類工作拿NT$4xK/month應該還在及格以上吧 :P :P....

20
工作機會 / Re: 幫老闆找人....
« 於: 2016-03-14 08:09 »
很簡單,鵝不想一邊搞很花時間的study,一邊還要應付user的電話,再加上有人拿完全符合鵝的專長/經歷的位子來找鵝,又附帶鵝家母牛無法抗拒的數字,所以鵝只好去冒險了 :-X :-X....

21
工作機會 / 幫老闆找人....
« 於: 2016-03-13 21:40 »
先聲明一下,鵝現在混的地方薪水不算特別高,但老闆人不錯,標準的週休二日(完全比照公家單位辦理),可以正常上下班,早上九點到,下午六點就能走,有本事的話要拿超過NT$40K/month不難(這個數字是低估的,因為鵝沒有立場替老闆開支票 :P),只是白天有應付不完的豬頭user的電話(很多根本是FAQ級的問題也打來 :-X),但是鵝要落跑了,熟Internet和*nix的朋友如果有興趣的話再pm給鵝吧 :P :P....

PS:公司地點在台大附近,離捷運站不遠,交通算方便了....

22
Network 討論版 / Fortigate SSL VPN卡住....
« 於: 2016-02-26 09:45 »
鵝辦公室有台古老的Fortigate 50B,在上面用tunnel mode讓user可以透過SSL VPN上Internet,有時是正常的(鵝試著跑IPTV的APP,一小時傳約1GB都沒事 :P),可是有時用到一半就會卡住(從client ping 50B就沒反應了 :(),但Forticlient和Fortigate都沒偵測到異常,從client按斷線後端的RADIUS也有相關log(表示VPN server沒死掉 ???),CPU/RAM的使用率也沒超過60%,有朋友知道該如何trouble shooting嗎,還是它在說show me the money了 ??? ???....

23
鵝遇到一個怪問題,有幾台FreeBSD based的server會不定期reboot,但syslog/IPMI的log中又沒有特別的東東,後來試出來是讀寫到某些檔案就會造成reboot(這些檔案是一般的資料檔:p),但因為看不到console,不確定此時是不是kernel panic,鵝的想法如果是disk I/O的問題,通常不至於直接kernel panic,但RD說他的程式是以mmap方式存取檔案的,請問一下用mmap方式去讀寫檔案要是遇到file system方面的error,會造成kernel panic嗎 ??? ???....

24
LDAP 討論區 / Cache for LDAP??
« 於: 2016-01-04 21:47 »
鵝的問題有點類似dovecot-auth: nss_ldap: reconnected to LDAP server,就是把帳密放在LDAP上時有時dovecot的auth process會卡住(推測和被try passwd相關 :P),由於LDAP server不歸鵝管,所以不太確定到底發生啥事,但印象中看過有文章提到用LDAP認證時是先以user name在LDAP tree上找到the one and the only one uid,再以user提供的passwd嘗試bind上LDAP,LDAP tree不大就算了,LDAP tree一大再加上沒有對LDAP作cache後果可能就很慘烈,鵝是想用nscd避開這個問題,但鵝家產品是based on FreeBSD的,偏偏FreeBSD的nscd不像其它*nix上的nscd可以提供log/statics,就算把nscd弄上去也完全不知道有沒有作用(是有看到在吃CPU/RAM啦 :P),有朋友遇過類似的狀況嗎 ??? ???....

25
是還沒到門檻,不過一次會有一整段IP可以拿來try passwd者大家就心照不宣了吧 :P :P....

26
鵝沒事連到user的機器上看有沒有人被擋,一連去就看到這付光景 :P....




現在是怎樣,怕一個IP試太多次會被ban掉,所以換個IP繼續來嗎----問題是換來換去都在同一段,這根本是此地無銀三百兩到了極點吧 :D :D....

27
雜七雜八 / FWD:最感人的廣告....
« 於: 2015-01-30 20:08 »
大家一起灌 :P....



在你困難的時候
能拿出两百塊的是朋友!
能拿出两千塊錢的是兄弟!
能拿出两萬塊的是親戚!
能拿出二十萬的是父母!
但能拿出两百萬甚至兩千萬的只有我們!






這是我看過最感人的




高利貸廣告 ;D ;D....

28
I/O一向是VM的罩門(尤其VGA算是I/O中的大宗 :P),鵝猜樓主會覺得效能不張八成是Windows類跑GUI的OS沒有physical host般流暢(因為GUI就會吃VGA,剛好暴露出VM的罩門 :P),要改善的話要先檢查X server有沒有裝好,再來的話就是看Guest有沒有裝VMware tool,至於調BIOS的作用其實很有限,除非樓主打算玩PCI passthrough就是了(VirtualBox在linux上是有機會透過PCI passthrough讓Guest吃實體VGA,但工程不小,而且VMware Workstation也不知道可不可以這樣玩就是了 :P :P)....

29
promiscous mode  只有 host 管理員才可以打開吧,那也算合理。

不好意思,鵝沒說清楚,Host是user的,鵝只有Guest的權限,並沒有Hypervisor的權限,此處說的promiscous mode是指guest跑sniffer時開promiscous mode(i.e. tcpdump或wireshark的default值),並不是對vSwitch開promiscous mode,就是這樣才會讓鵝驚訝啊 :P....BTW,VMware的knowledge base是這麼寫的....

引用
By default, a guest operating system's virtual network adapter only receives frames that are meant for it. Placing the guest's network adapter in promiscuous mode causes it to receive all frames passed on the virtual switch that are allowed under the VLAN policy for the associated portgroup. This can be useful for intrusion detection monitoring or if a sniffer needs to analyze all traffic on the network segment.

一般認知中,實體switch只會把traffic往須要的port forward,除非開了port mirror,另一端的NIC就算開了promiscous mode也看不到別人的unicast traffic,但根據VMware的knowledge base,只要Guest的NIC進入promiscous mode,vSwitch就會把所有traffic forward過去(類似port mirror),這似乎不太合理(除非能關掉,或是default的行為模式應該相反 :P),因為Host的管理者未必知道Guest上的AP在幹啥,如果按照目前看到的行為模式,那vSwitch應該改叫vHub才比較符合一般的認知吧 :o :o....

30
鵝前幾天在user的Guest上跑sniffer,原本只是要觀察自己的traffic的,卻意外發現如果開了promiscous mode,sniffer竟然可以看到同個Virtual Switch上別人的Unicast traffic(i.e. source/destination都不是該Guest,而且也不是broadcast/multicast的traffic ;)),照說Virtual Switch既然字面上叫Switch,應該就不會有此類特異功能,而且Virtual Switch既然是virtual出來的,原理上應該是靠Hypervisor判斷須要往哪個Guest forward,才往那個Guest forward,不太可能像Hub一樣統統有獎,那為啥會看到別人的traffic呢,不知有沒有朋友遇過類似的狀況啊 ??? ???....

頁: [1] 2 3 ... 11