muff.kiev.ua

MySQL - перенос БД в другой каталог

muff — Wed, 16 May 2012 23:46:04 +0000

В настройках по умолчанию, MySQL файлы БД хранятся в каталоге /var/db/mysql. Но иногда бывают ситуации, когда необходимо изменить каталог хранения баз данных. Переносить будем в каталог /usr/mysql.

Итак, проверим текущее место хранение файлов баз данных:

mysql> show variables like 'datadir';
+---------------+----------------+
| Variable_name | Value          |
+---------------+----------------+
| datadir       | /var/db/mysql/ |
+---------------+----------------+
1 row in set (0.00 sec)

Начнем процедуру переноса. Для начала остановим MySQL-сервер:

# sh /usr/local/etc/rc.d/mysql-server stop

После этого скопируем базы данных и установим владельцем каталогов и файлов пользователя mysql:

# cp -R /var/db/mysql /usr/mysql
# chown -R mysql:mysql /usr/mysql

Добавим в rc.conf опцию, которая указывает каталог хранения баз данных MySQL:

# echo 'mysql_dbdir="/usr/mysql"' >> /etc/rc.conf

После этого дадим команду на запуск MySQL-сервера:

# sh /usr/local/etc/rc.d/mysql-server start

Проверяем текущее значение переменной datadir:

mysql> show variables like 'datadir';
+---------------+-------------+
| Variable_name | Value       |
+---------------+-------------+
| datadir       | /usr/mysql/ |
+---------------+-------------+
1 row in set (0.01 sec)

После этого можно выполнить зачистку и удалить каталог /var/db/mysql:

# rm -R /var/db/mysql

Dhcdrop - блокировка сторонних DHCP-серверов в сети

muff — Tue, 08 May 2012 12:44:17 +0000

DHCP (Dynamic Host Configuration Protocol — протокол динамической конфигурации узла) — это сетевой протокол, позволяющий компьютерам автоматически получать IP-адрес и другие параметры, необходимые для работы в сети TCP/IP.

Чтобы не говорили, а использование автоматического назначения IP-адресации в сети намного упрощает жизнь и администратору, и конечному пользователю. Однако, при эксплуатации такой сети, можно столкнуться с появлением в сети сторонних DHCP-серверов (маршрутизатор, включенный в сеть LAN-портом; сетевые устройства в режиме моста; DHCP-сервер на компьютере абонента и тд.). В случае, когда сеть построена на управляемых коммутаторах, бороться с этим явлением довольно просто - с помощью ACL. А что делать, если сеть построена на неуправляемых коммутаторах? Как блокировать работу сторонних DHCP-серверов без ущерба для работы сети и не "мешая" основному DHCP-серверу?

Одним из наиболее действенных инструментов выступает программа dhcdrop. Она обеспечивает поиск сторонних DHCP-серверов и их подавление путем исчерпания пула IP-адресов (DHCP starvation). Более подробная информация - на сайте проекта.

Что радует - так это то, что dhcdrop есть в портах. Выполним установку:

# cd /usr/ports/net-mgmt/dhcdrop && make install clean && rehash

По завершению установки советую обратиться к страницам man-руководства... Ознакомимся со списком доступных опций (свои комментарии выделил красным):

-h - показывает help-сообщение.
-D - просмотр списка имён и индексов сетевых интерфейсов. Актуально в ОС Windows.
-t - режим теста. В этом режиме dhcdrop не выполняет подавление сервера. Производится лишь посылка DHCPDISCOVER, если на него приходит ответ нелегального сервера, то программа заверается возвращаяя код 200 и выводя на экран строку вида DHCP SRV: 10.7.7.1 (IP-hdr: 10.7.7.1) SRV ether: 00:02:44:75:77:E4, YIP: 10.7.7.205 содержащую минимум информации о создающем проблему DHCP сервере.
-y - подразумевается ответ "yes" на любой вопрос программы. (позволяет автоматически соглашаться с предложениями «давить» найденные сервера)
-r - отключает рандомизацию MAC адреса источника. Каждый последующий MAC адрес источника увеличивается на 1.
-b - указывает на необходимость использования флага BROADCAST в отправляемых DHCP пакетах.
-a - всегда ожидать ответа сервера на порт DHCP клиента по умолчанию (68), даже если задано значение номера порта клиента отличное от значения по умолчанию.
-A - всегда ожидать ответа с порта DHCP сервера по умолчанию (67), даже если задано значение номера порта сервера отличное от значения по умолчанию.
-f - режим флуда запросами DHCPDISCOVER. ПРИМЕНЯТЬ С ОСТОРОЖНОСТЬЮ. Удобен для стресс-тестирования сервера. В случае указания опции -r все отправляемые пакеты имеют одинаковый MAC адрес.
-R - отправляет сообщение DHCPRELEASE с MAC адресом источника указанном при запуске программы и IP адресом указанным при помощи опции -F к серверу указанному опцией -s.
-q - "тихий" режим работы. Выводится минимум информации.
-m count - максимальное число попыток получения ответа от сервера. (по умолчанию 255, в редких случаях необходимо увеличивать)
-c count - максимальное число адресов арендуемых у сервера.
-n hostname - значение DHCP опции HostName (по умолчанию - "DHCP-dropper")
-N clientname - значение DHCP опции Vendor-Class (по умолчанию - "DHCP-dropper")
-p port - порт используемый клиентом для отправки DHCP сообщений. По умолчанию - 68.
-P port - порт сервера, на который отправляются DHCP сообщения. По умолчанию - 67.
-w секунд - задаёт таймаут рестарта процесса получения IP адресов в случае использования агрессивного режима. По умолчанию - 60 секунд.
-T timeout - устанавливает таймаут ожидания ответа сервера (в секундах). По умолчанию - 3 секунды.
-M хостов-максимум - максимально допустимое количество сканируемых хостов в случае использования агрессивного режима.
-l MAC-address - Ethernet адрес сервера который необходимо игнориновать при выполненении поиска ложных DHCP серверов в сети. В этой опции следует указать адрес DHCP сервера ответственного за раздачу адресов в данном сегменте сети. Может быть указано несколько адресов - каждый должен предваряться ключом -l.
-L легальная-сеть - указывает легальную IP подсеть для выбранного интерфейса. Использование этой опции автоматически включает агрессивный режим получения IP адресов. Может быть указано несколько сетей - каждая должна предваряться ключом -L. Подробное описание смотрите ниже.
-S сеть/маска - ARP сканирование сети 'сеть' с использованием сетевой маски 'маска' в CIDR нотации. IP адрес источника задаётся опцией -F. Если IP адрес источника не задан - используется случайный адрес из диапазона указанной подсети. Пример использования смотрите ниже.
-F исходящий-IP-адрес - указывает IP адрес источника для сканирования сети (опция -S), либо IP адрес DHCP клиента для отправки сообщения DHCPRELEASE (опция -R).
-s IP-адрес-сервера - задаёт IP адрес DHCP сервера. Используется с опцией -R.
-C count - число порождаемых процессов-потомков. Совместим только с флагом -f. Используется для увеличения числа отправляемых пакетов за единицу времени. При значении этого параметра равном 30, 10000 пакетов генерировалось менее чем за 1,5 секунды.
-i interface - имя либо индекс сетевого интерфейса (см. ключ -D). Не может быть "any"! Единственный обязательный параметр программы.
initial MAC address - задаёт MAC адрес источника используемый при отправке первого DHCP сообщения, либо используемый постоянно, в случае использования опции '-f' (flood) вместе с опцией '-r'. Если не указан, то используется случайный MAC адрес источника.

Отметим также коды выхода программы (надеюсь, что все читатели "дружат" с английским языком):

0 - Exit success. Illegal DHCP server not found.
10 - invalid user ID. You must be root for running programm.
20 - failed to set signal handler.
30 - configuration error. See usage.
40 - memory allocation error. Insufficient memory?
50 - error opening ethernet device.
51 - error listing devices.
60 - pcap filter overflow.
70 - pcap compile error.
80 - pcap set filter error.
90 - error sending packet.
100 - error getting packet.
110 - set non blocked mode error.
120 - invalid device.
200 - illegal DHCP server was found.

Соответственно, подберем следующие ключи для запуска dhcdrop на интерфейсе vlan51:

# dhcdrop -y -r -m 3 fe:fe:fe:fe:fe:00 -l 00:0b:cd:68:78:cc -i vlan51

Здесь:

00:0b:cd:68:78:cc - MAC-адрес легитимного DHCP-сервера.
vlan51 - интерфейс FreeBSD-сервера, который "смотрит" в сеть с посторонним DHCP-сервером

Пример работы dhcdrop:

# dhcdrop -y -r -m 3 fe:fe:fe:fe:fe:00 -l 00:0b:cd:68:78:cc -i vlan51

Using interface: 'vlan51'
Got response from server 192.168.85.65 (IP-header 192.168.85.65), server ethernet address: B0:48:7A:F0:47:1C, lease time: 0.083h (300s)
Got BOOTREPLY (DHCPOFFER) for client ether: FE:FE:FE:FE:FE:00 You IP: 192.168.85.68/26
1. Got BOOTREPLY (DHCPACK) for client ether: FE:FE:FE:FE:FE:00 You IP: 192.168.85.68/26
2. Got BOOTREPLY (DHCPACK) for client ether: FE:FE:FE:FE:FE:01 You IP: 192.168.85.69/26
3. Got BOOTREPLY (DHCPACK) for client ether: FE:FE:FE:FE:FE:02 You IP: 192.168.85.70/26
4. Got BOOTREPLY (DHCPACK) for client ether: FE:FE:FE:FE:FE:03 You IP: 192.168.85.71/26
5. Got BOOTREPLY (DHCPACK) for client ether: FE:FE:FE:FE:FE:04 You IP: 192.168.85.72/26
Interrupted. Quit.

Также стоит отметить некоторые моменты работы с dhcdrop:

в режиме флуда (флаг -f) программа не выбирает адреса из пула сервера, а просто "валит" сеть паразитным трафиком
если запустить программу с числом запросов 1200 (например на час), то обнаруженный сервер будет подавлен только один раз. Особенностью встроенных в аппаратные роутеры DHCP-серверов является их автоматическое очищение пула адресов и восстановление работоспособности через определенный интервал времени. Очевидно, что нужно часто перезапускать программу

Итак, проблема восстановления работоспособности нелегальных серверов так и не решена. Как вариант - запуск dhcdrop с определенной периодичностью, используя cron. Однако более удобно использовать следующий скрипт:

#!/bin/sh

DATE="/bin/date"
LOGDIR="/var/log/dhcdrop/"
LEGAL_SERVERS="00:0b:cd:68:78:cc"       # Legal DHCP Servers, space separated mac address
DROPPER="/usr/local/sbin/dhcdrop"
IFNAME="vlan50 vlan51 vlan52"           # Interfaces on our Router, space separated
TESTPARAMS="-t -m 3"
PARAMS="-y -r -m 3 fe:fe:fe:fe:fe:00"

# Lets Go!
# legal params
for mac in ${LEGAL_SERVERS}; do
    LMAC="${LMAC} -l ${mac}"
done

# Discovering on every interface
for IF in ${IFNAME}; do
        echo "Processing interface ${IF}"
        # test to any DHCP-Server
        ${DROPPER} -i ${IF} ${LMAC} ${TESTPARAMS}

        # Check for status 200
        if [ $? = 200 ]; then
            echo "Illegal server found on ${IF}! Dropping him!"
            ${DATE} >> ${LOGDIR}${IF}
            ${DROPPER} ${PARAMS} ${LMAC} -i ${IF} >> ${LOGDIR}${IF}
        else
            echo "Illegal server not found on ${IF}."
        fi
done

echo "All done"

Для корректной работы скрипта необходимо создать каталог, куда будут писаться логи:

# mkdir /var/log/dhcdrop

После этого добавим в cron запуск скрипта каждые 10 минут. У меня путь к скрипту /usr/local/etc/dhcdrop.sh, соответственно:

# echo '# DHCDROP' >> /etc/crontab
# echo '*/10 * * * * root /bin/sh /usr/local/etc/dhcdrop.sh > /dev/null 2>&1' >> /etc/crontab

После этого "забываем" о сторонних DHCP-серверах в неуправляемых сегментах сети. Однако, у злоумышленника еще остаются некоторые лазейки:

увеличить пул выдаваемых адресов больше 255 - в таком случае необходимо будет установить переменную PARAMS в значение, например, "-y -r -m 3 -с 4096 fe:fe:fe:fe:fe:00". Значение ключа необходимо подобрать опытным путем.
установить короткое время лизинга IP-адресов (до 1-2 минут). Тогда dhcdrop будет постоянно уходить в цикл.

ES-2024 - сброс в дефолт

muff — Tue, 17 Apr 2012 10:43:34 +0000

Понадобилось как-то сбросить в настройки по умолчанию коммутатор ZyXEL ES-2024. Сбросить только пароль нету возможности, можно только сбросить все настройки на заводские установки.

Пошаговая инструкция.

Подключаем коммутатор через консольный порт к порту RS-232.
Запускаем утилиту minicom. Параметры подключения: 9600 8N1.

Подаем питание на устройство и дожидаемся вывода сообщения "Press any key to enter Debug Mode within 3 seconds". Нажимаем на клавиатуре любую клавишу и попадаем в режим отладки:

Bootbase Version: V1.07 | 04/20/2005 13:38:02
RAM: Size = 32768 Kbytes
DRAM POST: Testing: 32768K
OK
FLASH: AMD 32M *1

ZyNOS Version: V3.70(TX.0) | 07/06/2006 20:03:31

Press any key to enter debug mode within 3 seconds.
..............
Enter Debug Mode

ES-2024A>

Вводим комманду ATSH для вывода информации о програмном и хардварном обеспечении коммутатора:

ES-2024A> atsh

ZyNOS Version          : V3.70(TX.0) | 07/06/2006 20:03:31
Bootbase Version       : V1.07 | 04/20/2005 13:38:02
Serial Number          : 0Z0642011284
Vendor Name            : ZyXEL
Product Model          : ES-2024A
ZyNOS ROM address      : bfc10000
System Type            : 8
MAC Address            : 001349E81C48
Default Country Code   : FF
Boot Module Debug Flag : 00
RomFile Version        : E8
RomFile Checksum       : 219a
ZyNOS Checksum         : 6276
SNMP MIB level & OID   : 060102030405060708091011121314151617181920
Main Feature Bits      : C0
Other Feature Bits     :
          DD 00 00 00 00 00 00 00-00 00 00 00 00 00 00 00
          00 00 00 00 00 00 00 00-00 00 13 00 00 00

OK

Загружаем последнюю версию микропрограммного обеспечения с сайта производителя. В моем случае это файл ES-2024A_3.90(TX.3)C0.zip. Распаковываем архив. В архиве есть файл конфигурации (rom-файл) с настройками по умолчанию.
Вводим комманду ATLC для записи файлов:

ES-2024A> atlc
Starting XMODEM upload (CRC mode)....

Для отправки файлов через minicom необходимо нажать сочетание клавиш Ctrl+A,S и выбрать режим передачи xmodem. Для того, чтобы отметить файл, выделяем его и жмем пробел. После этого жмем "Enter" для начала передачи файла. Однако в моем случае отправка файла завершилась ошибкой с выводом сообщения: "lsx: this program was never intended to be used setuid". Установим SUID бит на исполняемый файл:

# chmod +s /usr/local/bin/lsx

После этого повторим отправку файла. На этот раз отправка файла завершилась успешно. Собственно процесс отправки файла выглядит так:

+------------[xmodem отправка - Нажмите CTRL-C для выхода]-------------+
|Sending 390TX3C0.rom, 384 blocks: Give your local XMODEM receive comma|
|nd now.                                                               |
|Xmodem sectors/kbytes sent:   0/ 0kRetry 0: NAK on sector             |
|Retry 0: NAK on sector                                                |
|Xmodem sectors/kbytes sent:  59/ 7k                                   |
|                                                                      |
|                                                                      |
+----------------------------------------------------------------------+

По завершению отправки файла, коммутатор выводит уведомление о успешной загрузке:

ES-2024A> atlc

Starting XMODEM upload (CRC mode)....

Total  49152 bytes received.

Erasing......
............
OK

После успешной записи файла вводим комманду ATGO для перезагрузки коммутатора:

ES-2024A> atgo
После перезагрузки коммутатора настройки по умолчанию следующие:
- login: admin
- password: 1234

Linksys SRW224G4 - сброс в дефолт

muff — Sat, 14 Apr 2012 21:26:11 +0000

Перестраивая сеть одного из небольших офисов, возникла необходимость в сбросе пароля на коммутатор Linksys SPS224G4, поскольку предыдущий админ никаких реквизитов не оставил. Процедура аналогичная, как и для Linksys SPS224G4.

Подключаемся к коммутатору через консольный порт (RS-232) и запускаем утилиту minicom. Настройки COM-порта:38400 8N1.
Подаем питание на коммутатор.

Наблюдаем за процесом загрузки.

------ Performing the Power-On Self Test (POST) ------

UART Channel Loopback Test........................PASS

Testing the System SDRAM..........................PASS

Boot1 Checksum Test...............................PASS

Boot2 Checksum Test...............................PASS

Flash Image Validation Test.......................PASS

BOOT Software Version 1.0.2 Built  17-Aug-2006  14:55:46

:::
:::        ::: :::       ::: :::     :::::  :::::::::: :::      ::: ::::::::::
:::        ::: :::::     ::: :::   :::::   ::::     ::: ::::  :::: ::::     :::
:::        ::: ::: :::   ::: ::::::::      ::::          ::::::::  ::::
:::        ::: :::   ::  ::: ::::::::::     ::::::::::     ::::     ::::::::::
:::        ::: :::    :::::: :::    ::::            :::    ::::             :::
:::::::::: ::: :::      :::: :::      :::: :::......:::    ::::    :::......:::
 ......... ... ...       ... ...       .... ..........     ....     ..........

Linksys SmartSwitch based on 88E6218 with ARM946E-S.
32MByte SDRAM. I-Cache 8 KB. D-Cache 8 KB. Cache Enabled.

Autoboot in 2 seconds - press RETURN or Esc. to abort and enter prom.

Дождавшись строки "Autoboot in 2 seconds - press RETURN or Esc. to abort and enter prom.", жмем на клавиатуре "Enter" (либо же "Esc").

Попадаем в "Startup Menu".

     Startup Menu

[1]  Download Software
[2]  Erase Flash File
[3]  Password Recovery Procedure
[4]  Enter Diagnostic Mode
[5]  Set Terminal Baud-Rate
[6]  Back
 Enter your choice or press 'ESC' to exit:

Жмем на клавиатуре кнопку "3" (Password Recovery Procedure), выполняя тем самым процедуру восстановления пароля. Высвечивается информационное сообщение "==== Press Enter To Continue ====". Соответственно жмем на клавиетуре "Enter".
Жмем кнопку "6" (Back) для продолжения процесса загрузки.

По завершению загрузки коммутатор выводит "Login Screen", выдавая приглашение на ввод логина и пароля:

                       Login Screen
                       ============


                       User Name:

                       Password:

Action->         Edit   Execute

ArrowKey/TAB/BACK=Move  SPACE=Toggle  ENTER=Select  ESC=Back

Навигация довольно неудобная, но можно справиться. Необходимо, чтобы курсор был на кнопке "Edit" (используйте клавиши навигации "вправо"-"влево"), после этого жмем клавишу "Enter" и только после этого можно ввести логин и пароль в предложенную форму.

По умолчанию используется логин "admin" без пароля. Вводим логин "admin" и жмем клавишу "Esc". С задержкой где-то в секунду, курсор перемещается на позицию "Edit". Жмем "вправо", курсор перемещается на позицию "Execute".

                          Login Screen
                          ============


                       User Name:  admin

                       Password:

Action->         Edit   Execute

ArrowKey/TAB/BACK=Move  SPACE=Toggle  ENTER=Select  ESC=Back

После нажатия клавиши "Enter" попадаем в Switch Main Menu.

                               Switch Main Menu
                               ================

                         1. System Configuration Menu

                         2. Port Status

                         3. Port Configuration

                         4. Help

                         0. logout

Однако, предоставленный функционал более чем "беден" и не представляет особого интереса. Для включения полноценного CLI необходимо нажать сочетание клавиш "Ctrl+z". После этого в строке приглашения вводим комманду "lcli", жмем на клавиатуре "Enter" и получаем полнофункциональный CLI:
>lcli console>
Для получения прав суперпользователя необходимо воспользоваться командой "enable":
console> enable
console#

С тем, что делать далее - думаю проблем не возникнет. Можно создать/изменить пользователя и enable password, либо же вообще вообще удалить конфигурацию, воспользовавшись коммандой delete startup-config.

Также стоит отметить, что с коммутатором Linksys SPS224G4 при удаленном конфигурировании стоит вести себя довольно осторожно, поскольку все изменения он сразу вносит в startup-config, соответственно перезагрузка по питанию ничего не изменит, если допущена ошибка в конфигурировании.

Cisco Catalyst 2960g - обновление програмного обеспечения (IOS)

muff — Mon, 09 Apr 2012 22:44:48 +0000

После демонтирования одной из техплощадок на руках оказался незадействованный коммутатор Cisco Catalyst WS-C2960G-24TC-L. Решил перед установкой обновить ПО на этом коммутаторе. Заодно решил проверить, как проходит обновление ПО с сохранением текущей конфигурации.

Подключаемся через последовательный интерфейс к консоли управления коммутатора. Распиновка консольного кабеля такая:

Подключаемся с использованием утилиты minicom. Параметры настройки COM-порта 9600 8N1.

Поскольку коммутатор уже имеет определенные настройки, часть комманд может показаться лишней, но это не так. Итак, порт Gi0/1 коммутатора скоммутируем в локальную сеть. Также для работы необходим настроенный TFTP-сервер. Статья по настройке TFTP-сервера - здесь. IP-адрес TFTP-сервера - 192.168.192.55, соответственно настроим коммутатор на работу с этой сетью:

Catalyst-2960g#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Catalyst-2960g(config)#interface gigabitEthernet 0/1
Catalyst-2960g(config-if)#switchport access vlan 1
Catalyst-2960g(config-if)#switchport mode access
Catalyst-2960g(config-if)#no shutdown
Catalyst-2960g(config-if)#exit
Catalyst-2960g(config)#interface vlan 1
Catalyst-2960g(config)#ip address 192.168.192.222 255.255.255.0

Для хранения образа IOS может использоваться дисковая файловая система или флэш-система. Типичные файловые системы, поддерживаемые маршрутизаторами Cisco, могут обозначаться следующими префиксами: flash:, slot0:, slot1:, disk0: и disk1:. Имейте ввиду, что для хранения образа IOS файловая система должна иметь достаточно свободного места. Чтобы ознакомиться с доступными файловыми системами и проверить наличие свободного места, воспользуемся коммандой show file systems:

Catalyst-2960g#show file systems
File Systems:

     Size(b)     Free(b)      Type  Flags  Prefixes
*   32514048    24777728     flash     rw   flash:
           -           -    opaque     rw   vb:
           -           -    opaque     ro   bs:
           -           -    opaque     rw   system:
       65536       49468     nvram     rw   nvram:
           -           -    opaque     ro   xmodem:
           -           -    opaque     ro   ymodem:
           -           -    opaque     rw   null:
           -           -   network     rw   tftp:
           -           -   network     rw   rcp:
           -           -   network     rw   http:
           -           -   network     rw   ftp:
           -           -    opaque     ro   cns:

Выполним обзор файлов на flash:

Catalyst-2960g#dir
Directory of flash:/

    3  -rwx     4670535   Mar 1 1993 02:06:42 +02:00  c2960-lanbase-mz.122-25.SEE2.bin
    4  -rwx       15989   Mar 1 1993 03:07:19 +02:00  config.text
    5  -rwx        9976   Mar 1 1993 02:01:15 +02:00  vlan.dat
    6  -rwx          27   Mar 1 1993 03:07:19 +02:00  private-config.text

32514048 bytes total (24777728 bytes free)

Предварительно скопируем конфигурацию и старый IOS на TFTP-сервер :

Catalyst-2960g#copy running-config tftp:
Address or name of remote host []? 192.168.192.55
Destination filename [catalyst-2960g-confg]? catalyst-2960g-confg
!!!!!
15989 bytes copied in 2.257 secs (7084 bytes/sec)

Catalyst-2960g#copy c2960-lanbase-mz.122-25.SEE2.bin tftp:
Address or name of remote host []? 192.168.192.55
Destination filename [c2960-lanbase-mz.122-25.SEE2.bin]? c2960-lanbase-mz.122-25.SEE2.bin
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
4670535 bytes copied in 9.211 secs (507061 bytes/sec)

Процесс копирования сопровождается выводом в терминал символов "!". Один знак "!" соответствует десяти успешно скопированным пакетам.

Теперь пора положить архив IOS на TFTP-сервер для подальшей его загрузки на коммутатор. Название нового файла IOS - c2960-lanbasek9-mz.122-50.SE1.bin. Размер образа - 8055039 байт. Размер свободного места на флеше в моем случае - 24777728 байт, так что без проблем "помещаются" два образа. Если же свободного места на флеше не хватает, то предварительно необходимо удалить старый файл IOS.

Удаление отдельно взятого файла:

Catalyst-2960g#delete flash://c2960-lanbase-mz.122-25.SEE2.bin
Delete filename [c2960-lanbase-mz.122-25.SEE2.bin]? c2960-lanbase-mz.122-25.SEE2.bin
Delete flash:/c2960-lanbase-mz.122-25.SEE2.bin? [confirm] y

Если образ хранится в виде каталога, то для удаления воспользуемся следующей коммандой:

Catalyst-2960g#delete /force /recursive flash://c2960-lanbase-mz.122-25.SEE2
Delete filename [c2960-lanbasek9-mz.122-50.SE1]? c2960-lanbase-mz.122-25.SEE2

Выполним загрузку IOS с TFTP-сервера на коммутатор:

Catalyst-2960g#copy tftp://192.168.192.55/c2960-lanbasek9-mz.122-50.SE1.bin flash://c2960-lanbasek9-mz.122-50.SE1.bin
Destination filename [c2960-lanbasek9-mz.122-50.SE1.bin]? c2960-lanbasek9-mz.122-50.SE1.bin
Accessing tftp://192.168.192.55/c2960-lanbasek9-mz.122-50.SE1.bin...
Loading c2960-lanbasek9-mz.122-50.SE1.bin from 192.168.192.55 (via Vlan1): !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!

!!!!!!!O!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!

!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!

!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!O!!!!!!!!!!!
!!!!!!!!!!!!!!O!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
[OK - 8055039 bytes]

8055039 bytes copied in 111.082 secs (72514 bytes/sec)

После загрузки файла необходимо проверить его целостность. Для этого подсчитаем контрольную сумму и сравним со значением, которое получено при загрузке файла с сайта производителя. Контрольная сумма предоставленная производителем: 2e5d03420a518b0783d84c31e047b50b. Проверяем контрольную сумму загруженного файла на коммутаторе:

Catalyst-2960g#verify /md5 flash:c2960-lanbasek9-mz.122-50.SE1.bin
..................................................................................................................................
..................................................................................................................................
..................................................................................................................................
..................................................................................................................................
..................................................................................................................................
..................................................................................................................................
..................................................................................................................................
..................................................................................................................................
..................................................................................................................................
..................................................................................................................................
..................................................................................................................................
..................................................................................................................................
..................................................................................................................................
..................................................................................................................................
..................................................................................................................................
.................Done!
verify /md5 (flash:c2960-lanbasek9-mz.122-50.SE1.bin) = 2e5d03420a518b0783d84c31e047b50b

Контрольная сумма совпадает, значит загрузка выполнена корректно. Указываем коммутатору необходимость загрузки системы с нового образа, не забыв предварительно отключить загрузку предыдущего образа:

Catalyst-2960g(config)#no boot system
Catalyst-2960g(config)#boot system flash:/c2960-lanbasek9-mz.122-50.SE1.bin

Проверяем конфигурацию загрузчика:

Catalyst-2960g#show boot

BOOT path-list      : flash:/c2960-lanbasek9-mz.122-50.SE1.bin
Config file         : flash:/config.text
Private Config file : flash:/private-config.text
Enable Break        : no
Manual Boot         : no
HELPER path-list    :
Auto upgrade        : yes
NVRAM/Config file
      buffer size:   65536

Все в порядке... Сохраним параметры и выполним перезагрузку коммутатора:

Catalyst-2960g#copy running-config startup-config
Destination filename [startup-config]?
Building configuration...
[OK]
Catalyst-2960g#reload
Proceed with reload? [confirm] y

После ребута коммутатор загрузится уже с новым IOS, и конфигурация коммутатора осталась прежней. Дополнительно можно воспользоваться коммандой show version для просмотра детальной информации о коммутаторе и IOS.

SMTP - коды ответов сервера

muff — Thu, 05 Apr 2012 14:26:37 +0000

Попробуем сразу "взять быка за рога"...

Как известно, каждый ответ SMTP-сервера клиенту сопровождается трехзначным кодом. Каждая цифра в коде ответа сервера имеет свое назначение:

первая цифра обозначает успех, неудачу или незавершенность команды;
вторая цифра уточняет тип ответа (например, ошибка почтовой системы или синтаксическая ошибка команды);
третья цифра служит для лучшей градации информации.

Первая цифра (существует 5 вариантов)

1yz – положительный предварительный отклик.
Сервер воспринял команду, но находится в ожидании подтверждения на продолжение или отказ от выполнения запрошенных действий.

2yz – положительный отклик
Запрошенное действие было выполнено и сервер готов к принятию новой команды.

3yz – положительный промежуточный отклик
Сервер воспринял команду, но для завершения действия ожидает дальней информации.

4yz – временный негативный отклик
Команда не принята, и запрошенные действия не были исполнены. Однако ошибочное состояние временное, и действие может быть запрошено еще раз.

5yz – негативный отклик
Команда не принята, и запрошенные действия не были исполнены.

Вторая цифра (категория ошибки)

x0z – Синтаксис
Отклик обозначает синтаксическую ошибку команды; команда может быть синтаксически правильная, но отклик нельзя отнести к другим категориям; нереализованная команда.

x1z – Информация
Отклик на запрос информации, например, статус или помощь.

x2z – Соединение
Отклики, относящиеся к каналу передачи данных.

x3z – Не определены

x4z – Не определены

x5z – Почтовая система
Отклики указывают состояние принимающей почтовой системы в отношении запрошенной передачи или другого действия почтовой системы.

Третья цифра служит для лучшей градации значения в каждой категории, определяемой второй цифрой. Перечисление кодов откликов:

211 Состояние системы или системная справка.
214 Информация о том, как работать с сервером, описание нестандартных команд и т.д.
220 Служба готова к работе.
221 Служба закрывает канал передачи данных.
235 Успешная аутентификация на сервере.
250 Выполнение почтовой команды успешно окончено.
251 Нелокальный пользователь.
252 Невозможно проверить наличие почтового ящика для пользователя, но сообщение принято, и сервер попытается его доставить.

354 Начало приема сообщения. Сообщение должно заканчиваться точкой на новой строке и новой строкой.

421 Работа с сервером невозможна. Произойдет закрытие канала связи (может быть ответом на любую команду, если серверу нужно закрыть соединение).
450 Запрошенная команда не принята – недоступен почтовый ящик (почтовый ящик временно занят) .
451 Запрошенная команда прервана – локальная ошибка при обработке команды.
452 Запрошенная команда невозможна – недостаточно дискового пространства.
454 Аутентификация невозможна по причине временного сбоя сервера.

500 Синтаксическая ошибка, команда не распознана (также этот отклик может означать, что длина команды слишком большая).
501 Синтаксическая ошибка в команде или аргументе.
502 Команда распознана, но её реализация сервером не поддерживается.
503 Неверная последовательность команд.
504 Параметр команды сервером не поддерживается.
530 Сервер требует аутентификации для выполнения запрошенной команды.
534 Данный отклик означает, что выбранный механизм аутентификации для данного пользователя является не достаточно надежным.
535 Аутентификация отклонена сервером (например, ошибка в кодировании данных).
538 Выбранный метод аутентификации возможен только при зашифрованном канале связи.
550 Запрошенная операция невозможна – почтовый ящик недоступен (почтовый ящик не найден или нет доступа; команда отклонена локальной политикой безопасности).
551 Нелокальный пользователь.
552 Запрошенная почтовая команда прервана – превышено выделенное на сервере пространство.
553 Запрошенная почтовая команда прервана – недопустимое имя почтового ящика (возможно синтаксическая ошибка в имени).
554 Неудачная транзакция или отсутствие SMTP сервиса (при открытии сеанса передачи данных).

Примеры ответов наводить не буду - их можно обнаружить в логах почтового сервера. Либо же выполните простейшую SMTP-сесию через telnet.

Drupal - Борьба со СПАМом. Модуль NotCaptcha

muff — Wed, 28 Mar 2012 21:00:55 +0000

Уже писал о том, что спамеры публикуют комментарии, минуя капчу. Как вариант - запретить размещение ссылок в комментариях для незарегистрированных пользователей, используя модуль blockanonymouslinks.

Однако на просторах Интернета нашел еще один интересный модуль - NotCaptcha.

Этот модуль - улучшенная реализация CAPTCHA. Переписан под Drupal из Wordpress. Еще одним существенным отличием является повышенная безопасность, реализация которой выполнена на базе модуля PHP mcrypt.

Требования к системе следующие:

Drupal с включенным модулем CAPTCHA
модуль PHP mcrypt
модуль PHP GD
поддержка JavaScript в браузере

Установка и настройка выполняется в следующем порядке.

Скачиваем архив модуля notcaptcha-6.x-1.0.2.tar.gz и распаковываем его в /sites/all/modules. После этого необходимо включить модуль на странице управления модулями - Управление => Конструкция сайта => Модули.

Настройку модуля можно выполнить на странице управления - Управление => Управление пользователями => CAPTCHA => NotCaptcha CAPTCHA. Советую в обязательном порядке изменить параметр NotCaptcha key. Качество JPEG выставляем по собственному желанию - лично я выставляю на 100%.

После непосредственной настройки NotCaptcha, идем в настройки CAPTCHA и параметр "Default challenge type" выставляем в значение NotCaptcha.

Скриншот работы модуля:

Количество изображений в версии NotCaptcha 1.0.2 - 33 шт. Доступные изображения:

Довольно интересный способ защиты от ботов. Теперь осталось проверить, насколько он надежный. Отключил модули reCAPTCHA и BlockAnonymousLinks. Посмотрим, появится ли СПАМ в комментариях. При использовании только модуля CAPTCHA такое бывало.

Непосредственно просмотреть работу модуля можно нажав на ссылку "Добавить комментарий" внизу страницы...

Mtop - мониторинг нагрузки на MySQL-сервер

muff — Sun, 25 Mar 2012 00:27:23 +0000

При работе с MySQL довольно полезно следить за нагрузкой, которая ложится на MySQL-сервер. В портах есть полезная утилита - mtop. Она в режиме реального времени отслеживает и показывает текущие запросы к безе данных, время их выполнения, статус MySQL-сервера в удобной форме.

Итак, выполним установку утилиты из системы портов:

# cd /usr/ports/databases/mtop && make install clean && rehash

По завершению установки создадим MySQL-пользователя, которому дадим права на просмотр процессов MySQL:

mysql> grant process on *.* to 'mtop'@'localhost' identified by 'mtop_passwd_here';
Query OK, 0 rows affected (0.11 sec)

На этом все "приготовления" можно считать законченными. Запустим mtop и посмотрим на результат. Параметри запуска следующие:

# mtop -dbu mtop -p mtop_passwd_here

Если не указывать ключ -dbu, то mtop будет пытаться подключаться от имени пользователя mysqltop.

Теперь можно наблюдать за динамикой SQL-запросов. При этом быстрые запросы отображаются белым цветом и потом, по мере роста длительности выполнения цвет начинает меняться, если запрос выполняется более 10 секунд он окрашивается фиолетовым, более 20 секунд - желтым, более 40 секунд - красным. Это значения по умолчанию, но их можно переназначить.

Утилита очень хорошо визуально демонстрирует проблемные места в работе MySQL. Так же очень хорошо видны такие показатели как число процессов (threads) и сколько из них активны (running), сколько процессов закешированны(cached), сколько запросов поступило и сколько из них медленных(Queries/slow) и какова эффективность кеша запросов (Cache Hit).

Для того, чтобы узнать все возможности и ключи запуска утилиты - настоятельно рекомендую ознакомиться со страницей руководства.

А чтобы ознакомиться с доступными ключами во время работы утилиты, необходимо нажать "?". В результате получаем такую подсказку:

q - quit
? - help; show this text
f - flush status
F - fold/unfold column names in select statement display
k - kill processes; send a kill to a list of ids
s - change the number of seconds to delay between updates
m - toggle manual refresh mode on/off
d - filter display with regular expression (user/host/db/command/state/info)
h - display process for only one host
u - display process for only one user
i - toggle all/non-Sleeping process display
o - reverse the sort order
e - explain a process; show query optimizer info
t - show mysqld stats (show status/mysqladmin ext)
T - show mysqld important stats
v - show mysqld variables (show variables/mysqladmin vars)
z - zoom in on a process, show sql statement detail
r - show replication status for master/slaves

Думаю, что переводить нету смысла, и так все понятно. Ну и напоследок - скриншоты вывода утилиты mtop:

BGP - Looking Glass для BGP-роутера

muff — Thu, 22 Mar 2012 23:35:33 +0000

Возникла необходимость в наличии Looking Glass для отображения информации, как с аппаратных маршрутизаторов, так и с маршрутизаторов под управлением FreeBSD, с установленным демоном маршрутизации Quagga.

Использовать будем Looking Glass от Cougar. Дополнительная информация - на сайте проекта. Последняя версия - 1.9 от 25 ноября 2004 года. Релиз давно не обновлялся, но данный Looking Glass используется повсеместно.

Скачиваем и распаковываем архив:

# fetch http://muff.kiev.ua/files/lg-1.9.tar.bz2
# tar -xzf lg-1.9.tar.bz2

Пора посмотреть, что имеем в наличии:

# cd lg-1.9 && ls

total 146
drwxr-xr-x  2 www  100    512 25 ноя  2004 .
drwxr-xr-x  7 www  www    512  8 янв 01:36 ..
-rw-r--r--  1 www  100   3308 25 ноя  2004 CHANGELOG
-rw-r--r--  1 www  100  17976 16 июл  2002 COPYING
-rw-r--r--  1 www  100   5161 15 июн  2004 README
-rw-r--r--  1 www  100    256 15 июн  2004 as.txt
-rw-r--r--  1 www  100  50998 28 сен  2004 communities.txt
-rw-r--r--  1 www  100   1406 16 июл  2002 favicon.ico
-rwxr-xr-x  1 www  100  36818 25 ноя  2004 lg.cgi
-rw-r--r--  1 www  100  14691 25 ноя  2004 lg.conf
-rwxr-xr-x  1 www  100   2428 15 июн  2004 makeaslist.pl
-rwxr-xr-x  1 www  100   3718 15 июн  2004 makedb.pl

Итак, вникнем в README, чтобы понять что нужно делать дальше... Имеем в наличии пошаговую инструкцию... Ну что ж, начнем.

Cоздаем каталог для размещения файлов Looking Glass.

# mkdir /usr/local/www/lg.muff.kiev.ua

Копируем файлы lg.cgi, lg.conf и favicon.ico в этот каталог. Выставляем необходимые права доступа:

# cp lg.cgi lg.conf favicon.ico /usr/local/www/lg.muff.kiev.ua
# chown www:www /usr/local/www/lg.muff.kiev.ua/
# chmod 644 /usr/local/www/lg.muff.kiev.ua/*
# chmod 755 /usr/local/www/lg.muff.kiev.ua/lg.cgi

Отредактируем httpd.conf. Я создал отдельный виртуалхост следующего содержания:

ServerName lg.muff.kiev.ua
ServerAdmin admin[dot]muff.kiev.ua

ErrorLog /var/log/apache/lg.muff.kiev.ua-error.log
TransferLog /var/log/apache/lg.muff.kiev.ua-access.log

ScriptAlias / /usr/local/www/lg/lg.cgi

        DocumentRoot /usr/local/www/lg/
        <Directory "/usr/local/www/lg">
                Options -Indexes FollowSymLinks MultiViews
                AllowOverride All
        </Directory>

</VirtualHost>

Перезапустим веб-сервер, чтобы изменения вступили в силу:

# apachectl graceful
Хм... Как бы все готово. Проверяем, что у нас доступно по адресу http://lg.muff.kiev.ua/. Результат следующий:

Чтобы немного "приукрасить" ресурс, разместим на странице логотип. Для этого необходимо поместить в каталог файл изображения с названием logo.gif. Еще необходимо внести некоторые изменения в файл lg.conf, но это немного попозже.

Дальше, следуя инструкции, загружаем файлы созласно указанного списка и размещаем их в каталоге Looking Glass-а:

# wget http://www.version6.net/lg/db/as.txt
# wget http://www.version6.net/lg/db/as-apnic.txt
# wget http://www.version6.net/lg/db/as-arin.txt
# wget http://www.version6.net/lg/db/as-ripe.txt
# wget http://www.version6.net/lg/db/as-jpnic.txt
# wget http://www.version6.net/lg/db/as-lacnic.txt
# wget http://www.version6.net/lg/db/communities.txt

Необходимо в файле as.txt раскомментировать строки, начинающиеся с "include".
Также, в случае необходимости (например, при использовании локальных номеров автономных систем) необходимо задать номер автономной системы в файле as.txt. В моем частном случае номер автономной системы 12998 (ISP BGNet). Он прописан в файле as-ripe.txt, поэтому просто закомментируем прописанную в файле as.txt строку.

Следующий шаг - создание базы данных. Для этого воспользуемся скриптом makedb.pl. Скопируем его в директорию LG и дадим команду на запуск:

# cp makedb.pl /usr/local/www/lg.muff.kiev.ua
# ./makedb.pl

Reading AS names..
Read AS list from as.txt..
OK
Reading community names..
Read community list from communities.txt..
OK
Setting up database..
OK

Результатом команды будет файл as.db.

Чтобы быть уверенным, что все необходимые файлы доступны на чтение веб-сервером, добавим необходимые права:

# chmod a+r /usr/local/www/lg.muff.kiev.ua/*.txt
# chmod a+r /usr/local/www/lg.muff.kiev.ua/as.db

Кажется все инструкции выполнены... Дальше необходимо создать файл логов и выставить необходимые права:

# touch /var/log/lg.log

Теперь советую отредактировать конфигурационный файл lg.conf, задать необходимые переменные и описать роутеры, к которым будем подключаться. Для теста вписал три роутера:

ROUTER1: UA-IX. Clients. FreeBSD Router.
ROUTER2: UA-IX. Clients. Cisco Router.
ROUTER3: Full-View. Clients. FreeBSD Router.

Листинг lg.conf получился следующего содержания:

<?xml version="1.0" encoding="ISO-8859-1" ?>

<LG_Conf_File>

         <LGURL>/</LGURL>
        <LogFile>/var/log/lg.log</LogFile>
        <ASList>./as.db</ASList>
        <LogoImage Align="center" Link="http://lg.muff.kiev.ua/">logo.gif</LogoImage>
        <HTMLTitle>Looking Glass</HTMLTitle>
        <Favicon>/favicon.ico</Favicon>
        <ContactMail>admin[dot]muff.kiev.ua</ContactMail>
        <RSHCmd>/usr/bin/rsh -l lg</RSHCmd>
        <HTTPMethod>POST</HTTPMethod>
        <TimeOut>10</TimeOut>
        <Disclaimer>All commands will be logged for possible later analysis and statistics.</Disclaimer>
        <SecureMode>On</SecureMode>

         <Router_List>
                <Separator>UA-IX</Separator>
                <Router Name="ROUTER1" OSType="Zebra">
                        <URL>telnet://passROUTER1@192.168.206.1</URL>
                </Router>
                <Router Name="ROUTER2">
                        <URL>telnet://lguser:passROUTER2@192.168.206.5</URL>
                </Router>
                <Separator>Full-View</Separator>
                <Router Name="ROUTER3" OSType="Zebra">
                        <URL>telnet://passROUTER3@192.168.206.30</URL>
                </Router>
         </Router_List>

</LG_Conf_File>

Казалось бы, что на этом все... Однако нашел еще несколько костылей.

Telnet-соединение к маршрутизаторам не выполнялось. В логах веб-сервера обнаружил такую запись:

Can't locate Net/Telnet.pm in @INC (@INC contains: /usr/local/lib/perl5/5.8.9/BSDPAN /usr/local/lib/perl5/site_perl/5.8.9/mach /usr/local/lib/perl5/site_perl/5.8.9 /usr/local/lib/perl5/5.8.9/mach /usr/local/lib/perl5/5.8.9 .) at (eval 9) line 2., referer: http://lg.muff.kiev.ua/

Теперь понятно... Упустил, что на этом сервере не установлено perl-расширение Net::Telnet. Выполним установку этого модуля из портов:

# cd /usr/ports/net/p5-Net-Telnet && make install clean && rehash

После этого заработало соединение к Cisco-роутеру, а с серверами под управлением FreeBSD c установленной Quagga все еще были проблемы. В логах обнаружил такие записи:

2012/03/22 20:17:30 BGP: buffer_flush_window called with non-positive window height 0, forcing to 1
2012/03/22 20:21:59 BGP: buffer_flush_window called with non-positive window height 0, forcing to 1
2012/03/22 20:59:18 BGP: buffer_flush_window called with non-positive window height 0, forcing to 1
2012/03/22 21:02:16 BGP: buffer_flush_window called with non-positive window height 0, forcing to 1
2012/03/22 21:03:17 BGP: buffer_flush_window called with non-positive window height 0, forcing to 1
2012/03/22 21:06:16 BGP: buffer_flush_window called with non-positive window height 0, forcing to 1

Решение было следующим. В скрипте lg.cgi необходимо заккоментировать (или удалить) следующий блок:

$telnet->put(pack("C9",
                  255,                  # TELNET_IAC
                  250,                  # TELNET_SB
                  31, 0, 200, 0, 0,     # TELOPT_NAWS
                  255,                  # TELNET_IAC
                  240));                # TELNET_SE

После удаления этого блока все заработало. Итак, финиш... Ну и напоследок, скриншоты, как все это выглядит:

Вот так выглядит интерфейс:

Вывод комманды show ip bgp 31.43.184.0/24:

Вывод комманды show ip bgp neighbors 193.227.206.46 advertised-routes:

Вывод комманды show ip bgp summary:

Обзор нейбора (show ip bgp neighbors 193.227.207.14):

Обзор приходящих от нейбора роутов (show ip bgp neighbors 193.227.206.29 routes):

Вывод комманды ping 8.8.8.8:

Вывод комманды traceroute 8.8.8.8:

BGP - анонсирование несколько сетей от разных AS

muff — Thu, 08 Mar 2012 14:37:45 +0000

Имеем в наличии роутер под управлением FreeBSD и с установленным демоном маршрутизации Quagga. Отдельно рассматривать установку Quagga не будем, есть уже написанная статья. Поставленая задача - настроить анонсирование сетей от двух разных автономных систем (AS).

Для решения этой задачи, соберем тестовый стенд из двух маршрутизаторов (ROUTER1 и ROUTER2 соответственно), обьединенных сетями 172.30.11.0/30 и 172.30.12.0/30.

ROUTER1

15:50[]root@ROUTER1#~>uname -nmr
ROUTER1 9.0-RELEASE amd64

15:50[]root@ROUTER1#~>ifconfig vlan11
vlan11: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
        options=3<RXCSUM,TXCSUM>
        ether 00:19:e0:74:45:0a
        inet 172.30.11.1 netmask 0xfffffffc broadcast 172.30.11.3
        inet6 fe80::219:e0ff:fe74:450a%vlan11 prefixlen 64 scopeid 0x9
        nd6 options=21<PERFORMNUD,AUTO_LINKLOCAL>
        media: Ethernet autoselect (1000baseT <full-duplex>)
        status: active
        vlan: 11 parent interface: re0

15:50[]root@ROUTER1#~>ifconfig vlan12
vlan12: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
        options=3<RXCSUM,TXCSUM>
        ether 00:19:e0:74:45:0a
        inet 172.30.12.1 netmask 0xfffffffc broadcast 172.30.12.3
        inet6 fe80::219:e0ff:fe74:450a%vlan12 prefixlen 64 scopeid 0xa
        nd6 options=21<PERFORMNUD,AUTO_LINKLOCAL>
        media: Ethernet autoselect (1000baseT <full-duplex>)
        status: active
        vlan: 12 parent interface: re0

ROUTER2

15:50[]root@ROUTER2#~>uname -nmr
ROUTER2 8.0-STABLE i386

15:50[]root@ROUTER2#~>ifconfig vlan11
vlan11: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
        ether 00:50:8b:db:4e:44
        inet 172.30.11.2 netmask 0xfffffffc broadcast 172.30.11.3
        media: Ethernet autoselect (100baseTX <full-duplex>)
        status: active
        vlan: 11 parent interface: fxp0

15:50[]root@ROUTER2#~>ifconfig vlan12
vlan12: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
        ether 00:50:8b:db:4e:44
        inet 172.30.12.2 netmask 0xfffffffc broadcast 172.30.12.3
        media: Ethernet autoselect (100baseTX <full-duplex>)
        status: active
        vlan: 12 parent interface: fxp0

Для построения BGP-взаемодействия, будем использовать номера автономных систем, зарезервированных для локального использования.

Итак, с ROUTER1 будем анонсировать две сети 192.168.11.0/24 и 192.168.12.0/24 от AS 65011 и 65012 соответственно. А на ROUTER2 будем принимать эти анонсы, используя AS 65535. На ROUTER1 обязательно необходимо указать опцию bgp multiple-instance, которая и позволяет работать с несколькими AS одновременно.

Сам процесс конфигурирования BGP описывать не буду, а уже выложу готовые конфигурации как для ROUTER1, так и для ROUTER2. Набросал только базовые комманды. Префикс-лист DENY-ANY используется для того, чтобы не получать на ROUTER1 свои же анонсы от ROUTER2.

ROUTER1

ROUTER1# show running-config

Current configuration:
!
password 8 bJdy6GGF2QMTg
enable password 8 4D7IL52lMQH4Q
service password-encryption
!
bgp multiple-instance
!
router bgp 65011 view AS65011
 bgp router-id 172.30.11.1
 network 192.168.11.0/24
 neighbor 172.30.11.2 remote-as 65535
 neighbor 172.30.11.2 description *** AS65011 ***
 neighbor 172.30.11.2 soft-reconfiguration inbound
 neighbor 172.30.11.2 prefix-list DENY-ANY in
!
router bgp 65012 view AS65012
 bgp router-id 172.30.12.1
 network 192.168.12.0/24
 neighbor 172.30.12.2 remote-as 65535
 neighbor 172.30.12.2 description *** AS65012 ***
 neighbor 172.30.12.2 soft-reconfiguration inbound
 neighbor 172.30.12.2 prefix-list DENY-ANY in
!
line vty
!
end

ROUTER2

ROUTER2# show running-config

Current configuration:
!
password 8 bJdy6GGF2QMTg
enable password 8 4D7IL52lMQH4Q
service password-encryption
!
router bgp 65535
 bgp router-id 192.168.192.55
 neighbor 172.30.11.1 remote-as 65011
 neighbor 172.30.11.1 description *** AS65011 ***
 neighbor 172.30.11.1 soft-reconfiguration inbound
 neighbor 172.30.12.1 remote-as 65012
 neighbor 172.30.12.1 description *** AS65012 ***
 neighbor 172.30.12.1 soft-reconfiguration inbound
!
line vty
!
end

Проверим на ROUTER2, что имеем в результате:

ROUTER2# show ip bgp summary
BGP router identifier 192.168.192.55, local AS number 65535
RIB entries 3, using 192 bytes of memory
Peers 2, using 5048 bytes of memory

Neighbor        V    AS MsgRcvd MsgSent   TblVer  InQ OutQ Up/Down  State/PfxRcd
172.30.11.1     4 65011      11      12        0    0    0 00:07:57        1
172.30.12.1     4 65012      11      12        0    0    0 00:07:09        1

Total number of neighbors 2

ROUTER2# show ip bgp neighbors 172.30.11.1 received-routes
BGP table version is 0, local router ID is 192.168.192.55
Status codes: s suppressed, d damped, h history, * valid, > best, i - internal,
              r RIB-failure, S Stale, R Removed
Origin codes: i - IGP, e - EGP, ? - incomplete

   Network          Next Hop            Metric LocPrf Weight Path
*> 192.168.11.0     172.30.11.1              0             0 65011 i


ROUTER2# show ip bgp neighbors 172.30.12.1 received-routes
BGP table version is 0, local router ID is 192.168.192.55
Status codes: s suppressed, d damped, h history, * valid, > best, i - internal,
              r RIB-failure, S Stale, R Removed
Origin codes: i - IGP, e - EGP, ? - incomplete

   Network          Next Hop            Metric LocPrf Weight Path
*> 192.168.12.0     172.30.12.1              0             0 65012 i

Total number of prefixes 1

Все работает. Имеем соединение с двумя нейборами 172.30.11.1 и 172.30.12.1, получая от каждого в анонсах по одной сети.

Последний штрих - посмотрим, что имеем на ROUTER1:

ROUTER1# show ip bgp summary
BGP router identifier 172.30.11.1, local AS number 65011
RIB entries 3, using 288 bytes of memory
Peers 1, using 4560 bytes of memory

Neighbor        V    AS MsgRcvd MsgSent   TblVer  InQ OutQ Up/Down  State/PfxRcd
172.30.11.2     4 65535      31      37        0    0    0 00:01:54        0

Total number of neighbors 1

А вот здесь имеем в наличии только одного нейбора. Для просмотра отдельных сессий необходимо явно указывать, какой view использовать:

ROUTER1# show ip bgp view AS65011 summary
BGP router identifier 172.30.11.1, local AS number 65011
RIB entries 3, using 288 bytes of memory
Peers 1, using 4560 bytes of memory

Neighbor        V    AS MsgRcvd MsgSent   TblVer  InQ OutQ Up/Down  State/PfxRcd
172.30.11.2     4 65535      32      38        0    0    0 00:02:33        0

Total number of neighbors 1


ROUTER1# show ip bgp view AS65012 summary
BGP router identifier 172.30.12.1, local AS number 65012
RIB entries 3, using 288 bytes of memory
Peers 1, using 4560 bytes of memory

Neighbor        V    AS MsgRcvd MsgSent   TblVer  InQ OutQ Up/Down  State/PfxRcd
172.30.12.2     4 65535      32      37        0    0    0 00:02:56        0

Total number of neighbors 1

Все работает, что и требовалось в результате :)

Exim - ограничение на количество писем в единицу времени

muff — Mon, 05 Mar 2012 15:25:56 +0000

Понадобилось для определенных хостов установить ограничение на количество отправляемых писем за единицу времени. Реализовать это не так уж и сложно.

Добавим такие acl в конфигурационный файл Exim-а /usr/local/etc/exim/configure:

begin acl

acl_not_smtp:
	deny message = Sender rate overlimit - $sender_rate / $sender_rate_period
	hosts = 192.168.168.100
	ratelimit = 30 / 1h / leaky
accept

acl_check_rcpt:
	deny message = Sender rate SMTP overlimit - $sender_rate / $sender_rate_period
	hosts = 192.168.168.100
	ratelimit = 100 / 1h / leaky

Этими acl выставляем ограничение в 30 писем/час для почты, отправленной не по SMTP (например через PHP mail), а также в 100 писем/час для отправки через SMTP.

Также необходимо прописать acl acl_not_smtp в список acl-ей:

acl_not_smtp = acl_not_smtp

После этого даем команду на перезапуск Exim:

# sh /usr/local/etc/rc.d/exim restart

Отталкиваясь от указанного примера можно делать и более "расширенные" конфигурации.

Hosts - немного информации о файле hosts

muff — Sun, 04 Mar 2012 09:59:27 +0000

Устал отвечать на вопросы: "что такое файл hosts?", и "с чем его едят?"...

hosts - текстовый файл, содержащий базу данных доменных имен и используемый при их трансляции в сетевые адреса узлов. Запрос к этому файлу имеет приоритет перед обращением к DNS-серверам. В отличие от DNS, содержимое файла контролируется администратором компьютера.

Как это было...

В далекие времена, когда Интырнеты были маленькие, а компутеры большие, аки шкафы, было создано несколько сетей. Среди них Arpa, Chaos ну и другие. Естественно встал вопрос о нумерации компьютеров в сети, который был решен средствами сетевых протоколов. Изначально, когда сеть была малого размера, доступ к компьютерам сети мог осуществляться по сетевому адресу (например по ip). Далее, с ростом сети, это стало неудобно, и потребовалась замена стандартной схемы. Поэтому сетевыми администраторами была придумана система hosts. Был создан файл, в котором в явном виде указывалось соответствие сетевого адреса адресу мнемоническому. Это нововведение значительно упростило жизнь пользователей, ведь теперь не надо было запоминать эти многочисленные цифры, а достаточно иметь такой файлик у себя. Однако подобный файл с ростом сети стал просто огромным и и плохо оптимизированным, т.е. для того, чтобы все пользователи сети узнали о новом сервере с адресом, например, 193.232.159.144 под именем music.ru, необходимо было разослать всем участникам сети этот файл и вручную добавить описание нового хоста к файлу. С ростом сети сделать это было все сложнее и сложнее, а когда запросы на добавление стали приходить несколько раз в час, то и просто невозможно. От традиционной системы пришлось отказаться, и была разработана система доменных имен - DNS.

Однако, стоит отметить, что файл hosts никуда не пропал. Даже на сегодняшний день он присутствует в большинстве операционных систем. В Unіх-системах путь к нему /etc/hosts. В продуктах Microsoft он доступен по адресу: C:\WINDOWS\system32\drivers\etc\hosts.В данном файле в прямое соответствие выставляются ip-адрес и доменное имя. Пример файла hosts:

Итак, сначала идут комментарии (начинаются со знака "#"). Ну а дальше - уже идут записи, описывающие соответствия IP-адрес<-> имя. У меня только одна запись - 127.0.0.1 - localhost. Эта запись указывает на то, что адрес обратной петли отвечает имя localhost.

Однако, ничего не запрещает добавить в hosts, например, такую запись:

93.158.134.11		yandex.ru

В этом случае, все запросы на yandex.ru будут постоянно перенаправляться на IP-адрес 93.158.134.11. Записи в файле hosts имеют первоочередной приоритет при преобразовании имени в IP.

Попробуем разобраться, почему это происходит. Ни для кого не секрет, что при попытке расшифровки имени, DNS-client компьютера обращается изначально к кешу DNS, в котором информация о предыдущих преобразованиях хранится некоторое время. Это время задается либо в записи SOA для всего доменного имени, либо отдельно для каждой зоны (для MX-записи может быть одно, для А-записи - другое...). Запись в файле hosts это время делает бесонечно большим, т.е. эта запись хранится постоянно и не изменяется.

Отображение и очистка кеша DNS

Попробуем более подробно разобраться, что такое кеш DNS. Это информация, о соответствии IP-адрес<-> имя, которая хранится в памяти устройства. Для чего это нужно? Рассмотрим на простом примере... Воспользуемся утилитой ping, которая посылает ICMP-пакеты "поверх" IP-протокола, и получает их обратно (при этом используются различные метки).

Однако, когда даем команду "ping yandex.ru", компьютер должен сначала выполнить преобразование DNS-имени yandex.ru в IP-адрес 93.158.134.11. Кеш DNS нужен для того, чтобы каждый раз не делать запросов на разрешение доменного имени в IP-адрес заново.

Если выполнить команду ping, как в примере, то если бы не было кеша DNS, процедуру преобразование DNS-имени yandex.ru в IP-адрес необходимо было бы выполнить 10 раз. Также стоит иметь ввиду, что DNS-сервера провайдера тоже кешируют информацию на период времени, указанный в SOA-записи домена.

Для просмотра локального DNS-кеша на компьютере под управлением OS Windows воспользуемся коммандой ipconfig с ключем displaydns:

Этот список и есть локальный DNS-кеш, где параметр "Срок жизни" - это время в секундах, которое запись еще будет храниться.

Чтобы сбросить кеш, необходимо использовать ключ flushdns. После выполнения "ipconfig -flushdns" будет сброшен весь кеш DNS, исключая записи, указанные в файле hosts.

Что это нам дает?

Озникомившись с информацией, необходимо взять ее "на вооружение". В основном возможность использования файла hosts пригодится веб-мастерам и системным администраторам. Довольно удобно использовать файл hosts при переносе хостинга или других операциях, где необходимо эмулировать запросы к DNS-имени.

Также стоит иметь ввиду, что в файл hosts довольно часто добавляют информацию вредоносные программы, блокируя доступ к сайтам обновлений антивирусных программ. Так что, если антивирус не обновляется - проверьте первым делом файл hosts.

Htop - расширенный монитор процессов

muff — Fri, 02 Mar 2012 02:36:11 +0000

Htop - расширенный монитор процессов, написанный для GNU/Linux. Задуман он был для замены стандартной утилиты top. Htop, в отличии от top, показывает все процессы в системе. Также показывает время непрерывной работы, использование процессоров и памяти. Тоесть он более информативный, нежели стандартный top.

Утилита есть в портах. Выполним установку:

# cd /usr/ports/sysutils/htop && make install clean && rehash

Однако во время установки наблюдаем такую ошибку:

***********************************************************
htop(1) requires linprocfs(5) to be mounted. If you don't
have it mounted already, please add this line to /etc/fstab
and run `mount linproc`:
linproc /compat/linux/proc linprocfs rw 0 0
***********************************************************
*** Error code 1

Stop in /usr/ports/sysutils/htop.
*** Error code 1

Stop in /usr/ports/sysutils/htop.

Необходимо включить режим совместимости с Linux. Статья о этом уже есть, однако можно и повториться.

Добавим в rc.conf поддержку Linux:

# echo "linux_enable=YES" >> /etc/rc.conf

Также добавим записи в loader.conf:

# echo "linux_load="yes"">> /boot/loader.conf
# echo "linprocfs_load="yes"" >> /boot/loader.conf

Чтобы не перезагружать систему, подгрузим соответствующие модуля:

# kldload /boot/kernel/linux.ko
# kldload /boot/kernel/linprocfs.ko

Ну и собственно установка самого эмулятора:

# cd /usr/ports/emulators/linux_base-fc4 && make install clean && rehash

Подключаем псевдофайловую систему:

# echo "linproc /compat/linux/proc linprocfs rw 0 0" >> /etc/fstab
# mount linproc

После всех этих манипуляций повторно пытаемся установить htop:

# cd /usr/ports/sysutils/htop && make install clean && rehash

Установка проходит без сучка и задоринки... Запускаем htop и знакомимся с его возможностями.

Теперь более подробно. По умолчанию экран разбит на две части: системная статистика в верхней, и в нижней - потребление ресурсов отдельными процессами. С помощью раздела Setup можно настроить, какие именно данные хотим получать. Нажмем "F2":

Для перемещения к нужной опции меню можно использовать клавиши со стрелками, затем нажать клавиши от "F1" до "F9" [см. подсказки в нижней строке], чтобы изменить внешний вид индикатора, добавить, удалить или переместить их в различные части экрана. Например, если необходимо изменить вид индикатора времени, выделите его стрелками, последовательными нажатиями "Enter" выбераем нужный вариант из доступных (Text/Текст, LED/ЖК-дисплей, Bar/Диаграмма и Graph/График) и затем "F10" для выхода. Аналогично можно изменить любую категорию индикаторов.

Помимо выбора различных индикаторов и их внешнего вида, можно упростить просмотр информации, выбрав другую цветовую схему. Отметим Colors в меню Setup и переместитесь к списку цветов, выберите схему и активируйте её нажатием пробела (должна появиться отметка X). Всё это, конечно, лишь косметика по сравнению с другими возможностями, но суть интерактивной природы Htop, которая, собственно, и помогает наблюдать за приложениями и процессами, а также управлять ими, заключается в сортировке вывода и управлении набором отображаемых параметров.

Меню Setup подскажет доступные варианты, которые можно выбрать для отображения:

Если какой-то столбец не нужен, его удаление сводится к тому, чтобы выделить его и нажать "F9". Не беспокойтесь - можно вернуть назад любой столбец, выбрав его в списке доступных (Available Columns) и нажав "F5". В зависимости от того, за чем наблюдаем, можно вывести все элементы, необходимые для решения конкретной задачи. Конечно, это поможет лишь в случае, если знаем, что означают все эти аббревиатуры, но обращение к man htop даст сравнительно мало информации. В этой ситуации man top предпочтительнее, и кроме того, многие из команд top будут также работать и в htop, но не все - так что экспериментируйте. Ctrl+W в top сохранит сделанные изменения, записав их в конфигурационный файл ~/.toprc, так что они не потеряются между сеансами работы и перезагрузками. В Htop это, похоже, не работает, а значит, изменения, сделанные в меню Setup (клавиша "F2") работают только в текущем сеансе и не сохраняются. При вызове Htop можно использовать, как и в Top, ключ d для изменения задержки (интервала обновления экрана). Попробуйте "htop d 1". Не моргайте, иначе всё пропустите ;).

Если по каким-нибудь причинам необходимо изменить приоритет некоторого приложения, Htop предоставляет функции nice/renice более удобным способом, чем Top. В последнем необходимо узнать идентификатор (PID) процесса/приложения, прежде чем использовать эти команды. В Htop прокрутим экран к желаемой цели и нажимаем F8 для понижения приоритета (т.е. увеличения значения nice, максимальное значение - 19). Это может выполнить и простой пользователь, но если вы хотите повысить приоритет (значение nice можно опустить до -20), необходимо работать с правами суперпользователя root, иначе не сможем установить значение nice ниже нуля.

Администраторам, да и обычным пользователям, часто нужно принудительно завершить какой-нибудь процесс или приложение. Запуск Htop в окне терминала избавит от головной боли. В примере я выделяю процесс mpd5 как кандидата на получение "серебряной пули", затем жму "F9" и получаю возможность "выбрать оружие":

Уничтожаете ли вы какое-нибудь приложение или задаёте приоритет с помощью nice/renice, очень полезной оказывается возможность фильтрации по пользователям. Жмем клавишу "U", и получаем список всех пользователей системы, с помощью которого можно сузить перечень отображаемых процессов.

По нажатию "F6" есть возможность отсортировать вывод по различным категориям, таким как Users/Пользователи, PID/Идентификаторы процесса, Priority/Приоритет. При этом ничего не фильтруется, а просто изменяется порядок списка. Можно совмещать эти два фильтра. Если сначала нажмем "U" для выбора пользователя, можно затем использовать "F6" для сортировки процессов заданного пользователя согласно категориям, таким как приоритет, потребление памяти и процессорного времени.

Используемые материалы:

Htop, a tip-top ncurses interactive tool
for system monitoring your desktop

Top - утилита мониторинга. Полезные мелочи.

muff — Thu, 01 Mar 2012 23:42:05 +0000

Утилита top однозначно используется каждым системным администратором и есть довольно полезным инструментом. Попробуем сделать небольшую "шпаргалку" по использованию утилиты top. Конечно же можно узнать все это, ознакомившись с предложенным help (необходимо нажать "h" во время работы утилиты), или же ознакомиться с man top.

Также стоит иметь ввиду, что top постоянно модифицируется вместе с FreeBSD, от версии к версии. Что-то добавляется, а что-то исчезает. Данные возможности проверялись на FreeBSD 8.0.

Довольно часто нужно "отсеять" только те процессы, которые "грузят" систему. Для этого запускаем утилиту с ключем "-I", либо же во время работы утилиты, нажать "i".
Многие процессы используют потоки, которые top не выводит отдельными строками, а только показывает количество потоков у данного процесса в поле THR. Для того, чтобы каждый поток отображался отдельно, запускаем top с ключем "-H", или же нажать "H" во время работы утилиты.
Jail - это механизм изоляции различных окружений на одной машине. Top позволяет определить какому из jail принадлежит процесс, используя jail id. Jail id 0 – это host-система, остальные номера можно просмотреть, используя комманду jls. Для отображения jail id, необходимо запустить утилиту top с ключем "-j", или во время работы утилиты нажать "j".
Иногда необходимо обнаружить утилизирующее жесткий диск приложение. Top поможет и в этом случае. Для этого запускаем top с ключами "-m io". Или же нажать "m" во время работы утилиты. Это переведет top в режим отображения IO активности, вместо CPU.
Для отображения системных процессов, необходимо запустить top с опцией "-S", либо же нажать "S" во время работы утилиты . Это пригодится, например, если необходимо просмотреть какую нагрузку создают прерывания сетевых карт...
На современных системах обычно по несколько процессоров, да и ядер обычно несколько. Однако, даже с включенной поддержко SMP, утилита top все равно выводит информацию о процессоре в одну строку. Чтобы top отобразил информацию по каждому ядру/процессору, необходимо запускать утилиту с ключем "-P".
Можно задать частоту обновления. Для этого необходимо запустить top с ключем "-s X", где Х - время в секундах. Для изменения частоты обновления во время работы утилиты, необходимо нажать "s".

Казалось бы мелочи, но буквально каждый день они здорово помагают при мониторинге серверов.

Perl - проверка установленных модулей

muff — Mon, 27 Feb 2012 16:14:09 +0000

Понадобилось узнать, какие модули Perl установлены на удаленном сервере. Для быстрой проверки необходимо выполнить несколько действий.

Проверка в консольном режиме

Создадим скрипт Perl_module_check.pl следующего содержания:

#!/usr/bin/perl

use ExtUtils::Installed;
my $instmod = ExtUtils::Installed->new();
foreach my $module ($instmod->modules())
{ my $version = $instmod->version($module) || "-"; print "$module --> $version \r\n"; }

Запустим скрипт и посмотрим на результаты его работы:

# perl Perl_module_check.pl

BSD::Resource --> 1.2904
Bundle::NetSNMP --> -
Crypt::CBC --> 2.30
Crypt::DES --> 2.05
Crypt::Rijndael --> 1.09
Crypt::SSLeay --> 0.58
DBD::mysql --> 4.019
DBI --> 1.616
Digest::HMAC --> 1.03
Digest::SHA1 --> 2.13
Getopt::Long --> 2.38
Locale::gettext --> 1.05
Net::SNMP --> v6.0.1
Perl --> 5.10.1
RRDp --> 1.4004
RRDs --> 1.4004
Storable --> 2.30
Term::ANSIColor --> 3.01
Test::Manifest --> 1.23
URI --> 1.59
XML::Parser --> 2.41
mod_perl2 --> 2.000005

Проверка на удаленном web-сервере

Если необходимо узнать, какие модуля Perl поддерживаются на удаленном веб-сервере и доступа к консоли сервера нету, то необходимо создать скрипт Perl_module_check.cgi следующего содержания:

#!/usr/bin/perl

print "Content-type: text/html\n\n";
print "<html><head><title>Installed Perl Modules</title></head><body><table width=\"300px\" border=1><td><tr><td>Module</td> <td>Version</td>";
use ExtUtils::Installed;
my $instmod = ExtUtils::Installed->new();
foreach my $module ($instmod->modules())
{ my $version = $instmod->version($module) || "-"; print "<tr><td>$module</td> <td>$version</td></tr> \r\n"; }
print "</table></body></html>";

Потом этот скрипт необходимо поместить в родительский каталог сайта (например, используя FTP) и выставить права 755. Также необходимо удостовериться, что даный виртуальный хост настроен на работу с CGI.

Открываем в окне браузера адресс http://имя_домена_здесь/Perl_module_check.cgi. Если веб-сервер корректно настроен, то в результате имеем примерно такую картину: