顯示文章

這裡允許您檢視這個會員的所有文章。請注意, 您只能看見您有權限閱讀的文章。


文章 - cmwang

頁: [1] 2 3 ... 11
1
BSD 討論版 / Re: FreeBSD IFF_RUNNING??
« 於: 2018-05-30 18:49 »
言下之意是說 , 雷目前的 freebsd 版本不足 ?

應該是說現行版本FreeBSD的IFF_RUNNING和IFF_UP看來是一樣的,並沒有反映出link state :P....

不過一樓貼圖中 , ucarp 是 IFF_RUNNING , 核心常數卻命名 IFF_DRV_RUNNING
會不會是在 ucarp 非常數宣告 , 又曾經 include if.c ... 反之常數 / 後 include

net/if.h裡定義IFF_RUNNING和IFF_DRV_RUNNING是一樣的(舊名稱保留給舊user space tool用,畢竟UCARP的source code日期是2010年的,已經算古文了),不過鵝不小心發現net/if.h內也有LINK_STATE相關宣告,不知要用哪個ioctl才讀得到啊(因為SIOCGIF又分成SIOCGIFMEDIA及SIOCGIFXMEDIA,要判斷兩次,有點麻煩 :P)....BTW,另外一個狀況就是鵝用SIOCGIFMEDIA在實體機上可以偵測到link down,但在VM上把Network Adapter設成disconnect時,kerne會知道link down,但ifconfig看到的status卻還是active(至少是在ESXi5.5的VMX上是如此),鵝改的部份就是從ifconfig的source code抄出來的,因此在VM上也跟著破功了,還是一定要用SIOCGIFXMEDIA才保險啊....

PS:鵝只是趕鴨子上架,並不是非常瞭解ifconfig的source code到底在寫啥----畢竟鵝已經超過20年不摸code了 :P....

2
BSD 討論版 / Re: FreeBSD IFF_RUNNING??
« 於: 2018-05-29 16:05 »
鵝惡補了一下,從ifconfig的source code中截出一小段,看來目前版本的FreeBSD只能用SIOCGIFMEDIA拿到PHY的相關structure,再從裡面讀到link state了 :P.....

3
BSD 討論版 / FreeBSD IFF_RUNNING??
« 於: 2018-05-28 12:31 »
Hello Everyone:
      鵝試著要用HAST+UCARP兜storage/service level的HA. 如果把UCARP或是整台機器關掉,HAST/UCARP是可以在primary/master及secondary/backup間正確切換的. 不過鵝把Ethernet拔掉時,kernel有偵測到link down,但UCARP跑master的node並不會切到backup mode(照說是要掉到backup mode的,而且HAST要靠UCARP將其切成secondary mode). 更誇張的是,當鵝把原先跑backup mode的機器拔線之後,它會把自己切成master mode(因為收不到master的IP multicast了 ::)). 這樣一來,當兩台機器都恢復online時,有可能會造成很大的混亂(因為兩台都自以為是primary/master,而HAST的metadata中並不包括timestamp,所以可能實際上offline那台的storage會把online那台的覆蓋掉)....

鵝發現UCARP的carp.c在其docarp(void)副程式中是以IFF_RUNNING來判斷master何時該切換成backup的....

請問一下有網友知道在BSD中,IFF_RUNNING是否反映出interface真正可用與否(照鵝在網路上找到linux相關討論的What is the difference between IFF_UP and IFF_RUNNING似乎是這樣的,但由UCARP的表現看來並非如此),或是那句"resources allocated"的涵意到底是啥,Thanks!!

PS:照前面URL的說法,IFF_RUNNING主要是為了和BSD相容而來的,不過很冏的是,鵝發現UCARP在Linux上是正常的,而在BSD上就不work了,看來是目前的BSD不會處理IFF_RUNNING了 :P.....

4
SMTP有個指令叫ETRN,不過通常是用在mail server從次要MX的queue中取回其暫時代收的mail,可能和您想的不太一樣就是了 :P....

5
有朋友知道怎麼讓Apache在auth negotiation沒有可用方式時,不要回www auth negotiate reject,只回401和Error Document的URL嗎,鵝要幫user的網站配合AD做SSO,Client沒login AD時照說沒有Kerberos ticket可給,所以client端只支援NTLM :P....

正常狀況下server可以把browser redirect到傳統的login網頁,可是為何有時Client會發起spnego negotiation,server端拒絕後browser會fallback到basic auth,導致user會看到輸入帳密的dialog :-\....

鵝試過只回401和Error Document的URL時browser的表現是符合user的須求的,問題是怎麼讓Apache在遇到client傳回negotuate/NTLM時跳過reject這段,有能人異士可以指點鵝一下嗎 :P....

6
pam-abl看來不錯,有人試過嗎 ??? ???....

7
BSD 討論版 / Re: FreeBSD mmap on CIFS share....
« 於: 2016-09-19 18:02 »
鵝後來找到Subject: Re: ports/29704: Imagemagick Identify utility crashes when used on smbfs mounted share....

引用
Yes, this is an expected behavior - smbfs uses a counter to track open/close operations and if it became zero, an SMB "close" request sent to server. Obviously, mmap() doesn't give additional VOP_OPEN() call and file is really closed after close(), so any subsequent read/write operation will fail.

In the DOS/Windows world it is normal to have strong relation between open/close operations, while VOP_OPEN()/VOP_CLOSE() in FreeBSD do not match sometime (I'm suspect that it is possible to remove inconsistence, though).

One of the possible solutions is to remove smb_close request from smbfs_close() vop and leave it only in the smbfs_inactive(), but this will not allow programs to immediately release a file by just closing it.

看來是FreeBSD對VOP_OPEN/VOP_CLOSE的解釋造成的,難怪從十幾年前就是這樣了 :P :P....

8
BSD 討論版 / FreeBSD mmap on CIFS share....
« 於: 2016-09-09 19:58 »
鵝公司的產品因為是based on FreeBSD這個不算太熱門的OS上,而RD說讀寫檔案因為效能考量是以mmap方式處理,之前都是要user提供NFS的storage(CIFS的話只知道因為歷史因素不建議用,但為啥不能用沒人說得出所以然 :P),最近因為user強力要求要配合CIFS storage,鵝只好拿FreeBSD去mount CIFS share,然後用iozone指定以mmap方式測試,結果果然是不work,不過讓鵝大惑不解的是iozone讀寫CIFS/NFS的方式都一樣,為啥上方的CIFS會在gettimeofday這個看似和filesystem扯不上邊的動作後產生SIGSEGV而被kill掉,但下方的NFS則一切正常啊 ??? ???....

9
工作機會 / Re: 幫老闆找人....
« 於: 2016-04-29 21:32 »
$4000是什么意思,才4000每月么

NT$4xK/month,一般認知中是指NT$40K-49K/month吧 :P :P....

10
系統安全討論版 / 小心釣魚信....
« 於: 2016-03-24 18:05 »
提醒大家最近小心釣魚信,內容就是現在最夯的綁架病毒,特徵就是有10-20KB大的zip附加檔,害鵝整天都在陪某ISP搞幾十萬封這種信,真的是大爆發,不知有多少人會中獎啊 :o :o....

11
工作機會 / Re: 幫老闆找人....
« 於: 2016-03-22 14:59 »

其實我比較想要的是可以「調教」的產品....

佛曰:不可說,不可說 :-[ :-[....

12
工作機會 / Re: 幫老闆找人....
« 於: 2016-03-22 07:55 »
104上的職缺開了,有興趣者請趕快報名吧 :P....

PS:工作性質大概就是回答user的電話,還有幫忙擺平系統方面的事情,像是弱掃被掃到要怎麼補,怎麼讓FreeBSD可以在現代的新機上run,偶爾還有performance tuning要搞,考量到辦公室氣氛還不錯,又可以準時上下班,這年頭這類工作拿NT$4xK/month應該還在及格以上吧 :P :P....

13
工作機會 / Re: 幫老闆找人....
« 於: 2016-03-14 08:09 »
很簡單,鵝不想一邊搞很花時間的study,一邊還要應付user的電話,再加上有人拿完全符合鵝的專長/經歷的位子來找鵝,又附帶鵝家母牛無法抗拒的數字,所以鵝只好去冒險了 :-X :-X....

14
工作機會 / 幫老闆找人....
« 於: 2016-03-13 21:40 »
先聲明一下,鵝現在混的地方薪水不算特別高,但老闆人不錯,標準的週休二日(完全比照公家單位辦理),可以正常上下班,早上九點到,下午六點就能走,有本事的話要拿超過NT$40K/month不難(這個數字是低估的,因為鵝沒有立場替老闆開支票 :P),只是白天有應付不完的豬頭user的電話(很多根本是FAQ級的問題也打來 :-X),但是鵝要落跑了,熟Internet和*nix的朋友如果有興趣的話再pm給鵝吧 :P :P....

PS:公司地點在台大附近,離捷運站不遠,交通算方便了....

15
Network 討論版 / Fortigate SSL VPN卡住....
« 於: 2016-02-26 09:45 »
鵝辦公室有台古老的Fortigate 50B,在上面用tunnel mode讓user可以透過SSL VPN上Internet,有時是正常的(鵝試著跑IPTV的APP,一小時傳約1GB都沒事 :P),可是有時用到一半就會卡住(從client ping 50B就沒反應了 :(),但Forticlient和Fortigate都沒偵測到異常,從client按斷線後端的RADIUS也有相關log(表示VPN server沒死掉 ???),CPU/RAM的使用率也沒超過60%,有朋友知道該如何trouble shooting嗎,還是它在說show me the money了 ??? ???....

16
鵝遇到一個怪問題,有幾台FreeBSD based的server會不定期reboot,但syslog/IPMI的log中又沒有特別的東東,後來試出來是讀寫到某些檔案就會造成reboot(這些檔案是一般的資料檔:p),但因為看不到console,不確定此時是不是kernel panic,鵝的想法如果是disk I/O的問題,通常不至於直接kernel panic,但RD說他的程式是以mmap方式存取檔案的,請問一下用mmap方式去讀寫檔案要是遇到file system方面的error,會造成kernel panic嗎 ??? ???....

17
LDAP 討論區 / Cache for LDAP??
« 於: 2016-01-04 21:47 »
鵝的問題有點類似dovecot-auth: nss_ldap: reconnected to LDAP server,就是把帳密放在LDAP上時有時dovecot的auth process會卡住(推測和被try passwd相關 :P),由於LDAP server不歸鵝管,所以不太確定到底發生啥事,但印象中看過有文章提到用LDAP認證時是先以user name在LDAP tree上找到the one and the only one uid,再以user提供的passwd嘗試bind上LDAP,LDAP tree不大就算了,LDAP tree一大再加上沒有對LDAP作cache後果可能就很慘烈,鵝是想用nscd避開這個問題,但鵝家產品是based on FreeBSD的,偏偏FreeBSD的nscd不像其它*nix上的nscd可以提供log/statics,就算把nscd弄上去也完全不知道有沒有作用(是有看到在吃CPU/RAM啦 :P),有朋友遇過類似的狀況嗎 ??? ???....

18
是還沒到門檻,不過一次會有一整段IP可以拿來try passwd者大家就心照不宣了吧 :P :P....

19
鵝沒事連到user的機器上看有沒有人被擋,一連去就看到這付光景 :P....




現在是怎樣,怕一個IP試太多次會被ban掉,所以換個IP繼續來嗎----問題是換來換去都在同一段,這根本是此地無銀三百兩到了極點吧 :D :D....

20
雜七雜八 / FWD:最感人的廣告....
« 於: 2015-01-30 20:08 »
大家一起灌 :P....



在你困難的時候
能拿出两百塊的是朋友!
能拿出两千塊錢的是兄弟!
能拿出两萬塊的是親戚!
能拿出二十萬的是父母!
但能拿出两百萬甚至兩千萬的只有我們!






這是我看過最感人的




高利貸廣告 ;D ;D....

21
I/O一向是VM的罩門(尤其VGA算是I/O中的大宗 :P),鵝猜樓主會覺得效能不張八成是Windows類跑GUI的OS沒有physical host般流暢(因為GUI就會吃VGA,剛好暴露出VM的罩門 :P),要改善的話要先檢查X server有沒有裝好,再來的話就是看Guest有沒有裝VMware tool,至於調BIOS的作用其實很有限,除非樓主打算玩PCI passthrough就是了(VirtualBox在linux上是有機會透過PCI passthrough讓Guest吃實體VGA,但工程不小,而且VMware Workstation也不知道可不可以這樣玩就是了 :P :P)....

22
promiscous mode  只有 host 管理員才可以打開吧,那也算合理。

不好意思,鵝沒說清楚,Host是user的,鵝只有Guest的權限,並沒有Hypervisor的權限,此處說的promiscous mode是指guest跑sniffer時開promiscous mode(i.e. tcpdump或wireshark的default值),並不是對vSwitch開promiscous mode,就是這樣才會讓鵝驚訝啊 :P....BTW,VMware的knowledge base是這麼寫的....

引用
By default, a guest operating system's virtual network adapter only receives frames that are meant for it. Placing the guest's network adapter in promiscuous mode causes it to receive all frames passed on the virtual switch that are allowed under the VLAN policy for the associated portgroup. This can be useful for intrusion detection monitoring or if a sniffer needs to analyze all traffic on the network segment.

一般認知中,實體switch只會把traffic往須要的port forward,除非開了port mirror,另一端的NIC就算開了promiscous mode也看不到別人的unicast traffic,但根據VMware的knowledge base,只要Guest的NIC進入promiscous mode,vSwitch就會把所有traffic forward過去(類似port mirror),這似乎不太合理(除非能關掉,或是default的行為模式應該相反 :P),因為Host的管理者未必知道Guest上的AP在幹啥,如果按照目前看到的行為模式,那vSwitch應該改叫vHub才比較符合一般的認知吧 :o :o....

23
鵝前幾天在user的Guest上跑sniffer,原本只是要觀察自己的traffic的,卻意外發現如果開了promiscous mode,sniffer竟然可以看到同個Virtual Switch上別人的Unicast traffic(i.e. source/destination都不是該Guest,而且也不是broadcast/multicast的traffic ;)),照說Virtual Switch既然字面上叫Switch,應該就不會有此類特異功能,而且Virtual Switch既然是virtual出來的,原理上應該是靠Hypervisor判斷須要往哪個Guest forward,才往那個Guest forward,不太可能像Hub一樣統統有獎,那為啥會看到別人的traffic呢,不知有沒有朋友遇過類似的狀況啊 ??? ???....

24
雜七雜八 / Re: IT人員要如何自保....
« 於: 2014-07-16 18:29 »
話說最近不是才有個民間的數位鑑識實驗室,取證也必須有法律上的效用才行...

像這個case已經偵結起訴了,可是證物沒一併移送,甚至還在利害關係人手上,證據能力就可能被質疑了(雖然利害關係人看起來也不知道怎麼去"污染"證物 ???)....BTW,鵝後來是把怎麼恢復成預設密碼的步驟mail給經銷商(因為經銷商只看到可以收$$,和user一起來"盧"鵝 :P),然後跟經銷商聲明說鵝能做的到此為止,他們要找誰實做和後續事項都和鵝無關,他們才沒再來"盧",不知是死心了還是找到人操刀就是了 :-X :-X....

25
BSD 討論版 / FreeBSD IPv6指令....
« 於: 2014-07-09 09:51 »
鵝因為公司產品要申請IPv6Ready認證,被趕鴨子上架處理這些麻煩事,目前是selftest項目已經完成了,可是認證單位還要預測才排LAB test,因為IPv6單一interface可能會bind一個以上IPv6 address,預測時要能單獨bind/release各個IPv6 address,鵝只知道在Linux下可以用ip addr處理,但是FreeBSD的ifconfig add/delete好像只能處理alias ip,如果用ifconfig inet6 ifdisabled又會把所有IPv6 address統統release掉,請問一下有啥方法可以達到和Linux下的ip addr一樣的作用啊 ???....

PS:鵝耍白了,原來直接下ifconfig inet6 xxxxx -alias就可以把ipv6 address release掉了,大家參考參考吧 :P :P.....

26
雜七雜八 / Re: IT人員要如何自保....
« 於: 2014-07-04 10:55 »
網路真是透明

"董事長 疑似掏空 2014 6月"

這種戲碼真是百演不膩,公司都沒錢了,接管也是沒錢景。

鵝啥都沒說 :P....BTW,鵝電話裡感覺是其他股東想找打官司的證據吧,可是那個user又打電話來說經銷商沒跟他連絡,看來變成每日一call了,經銷商可以逃之夭夭,可是鵝沒辦法躲,這下頭大了 :-\ :-\....

27
雜七雜八 / IT人員要如何自保....
« 於: 2014-07-03 16:41 »
鵝前幾天接到一通user的電話,說他們的MIS離職後沒有交接密碼,所以mail server無法管理,看鵝能不能幫他們改密碼,鵝只問了user公司名稱和連絡方式,因為鵝沒聽過那個user,業務的人也剛好不在,所以鵝就用公司名稱google了一下(其實只是要查user的domain name,不然連domain name都搞不清楚,是要怎麼玩啊:P)....

不google還好,一google把鵝嚇了一跳,就在上週該公司的董事長因為疑似掏空公司資產被起訴,所以那台機器現在理論上算是證物了(難怪鵝一開始連過去,怎麼看怎麼不像鵝公司的產品,應該是被換掉了),鵝只好回電話說那台機器不像是鵝公司的產品,所以鵝也愛莫能助,user又說他在公司內連的確是看到鵝公司的產品,鵝就請他截個圖,讓鵝確定一下....

看完user截的圖,這下不能在推說事不關己了,只好直接跟user說因為該公司有法律糾紛,所以鵝不方便提供服務(免得被拖下水:P),user說不會啦,他是因為有新進人員要建帳戶所以才須要密碼(當鵝是3歲小孩啊,人都走光了還會有新進人員 ;D),不過他不小心說溜嘴了,他真正的目的其實是要查某人3年前的mail....

既然是這樣鵝就更不能淌混水了(真要淌的話也得等看到法院的命令再說,最起碼還有證人費可領 :P),只好推說因為連不上所以愛莫能助,user卻問鵝可不可以到場....

鵝實在不想在這件事上繼續和user糾纏,只好對user說當初他們的機器是經銷商建的,所以細節鵝也不清楚,鵝會請經銷商和他連絡,不過鵝也提醒經銷商這件事有點狗屁倒灶,要處理的話小心不要給自己惹禍上身 ::)....

鵝在此打聽一下,如果各位有幸遇到類似狀況的話,還有沒有其他的應變之道啊 ??? ???....

28
VirtualBox下的Linux可以用到share folder(前提是guest addition要記得裝),不過怎麼在Linux的shell輸入中文檔名鵝就懶得研究了 :P :P....

29
鵝是裝到HD,然後用bsdinstall切好USB拇指碟/裝好loader後,再用cp搬過去,接下來就可以由USB開機進FreeBSD了,照說光碟片開機應該也可以直接裝到USB拇指碟上吧(只是鵝沒試過 :P)....BTW,裝在USB拇指碟上有一點比較麻煩的是如果機器上有USB讀卡機或其他SCSI/RAID卡要mount root時kernel抓到的device name可能會跑掉(i.e.要手動輸入device name給loader :P),不太清楚可不可以像linux用uuid或label去mount就是了 :P :P....

30
鵝因為要測FW在huge session下的表現,找到了600k concurrent HTTP connections with Clojure & http-kit,不過因為鵝對Java實在不熟,兜了半天還是不得其門而入,不知有沒有能人異士可以指點迷津或是帶鵝step by step啊(這玩意兜得起來的話應該蠻好玩的,相信IT人的好奇心天生都比較強吧 ;D ;D)....

頁: [1] 2 3 ... 11