Minimal firewall for end user

Минимальный firewall для конечного пользователя

Исходить будем из того, что хост конечного пользователя, как правило, всегда лишь инициирует сетевые соединения (например, когда в браузере открывается некоторая WEB-страница), но, при этом, такой хост никак не должен обслуживать входящие соединения — то есть, не является ни сервером, ни роутером.

Read more

TAR arguments interleave with change dir options

TAR поддерживает более одной смены каталога

Например, за один запуск, можно за’tar’ить файлы /etc/dhcp/dhcpd.conf и /var/lib/dhcpd dhcpd.leases так, что в архиве они будут на одном уровне иерархии:

tar -C /etc/dhcp -cpBf - dhcpd.conf -C /var/lib/dhcpd dhcpd.leases

Better not use pfsense opnsense and other WEB-panels

Лучше не пользоваться WEB-панелями

Панели создают впечатление, что при помощи них можно сэкономить время. Отчасти это верно. Вторая часть звучит как то, что еще больше этого времени можно будет легко потерять.
Read more

How-to boot Proxmox system without starting its VMs

Как загрузить Proxmox-систему без запуска ее виртуалок

Применительно к Debian-based установке

За запуск VMs отвечает systemd’s pve-manager, который запускается в multi-user.target:

% sudo systemctl cat pve-manager.service | sed -ne '/\[Install/,$ p'
[Install]
WantedBy=multi-user.target

В пр-цпе, по логике вещей, достаточно просто запретить этот unit. При попытке сделать это, однако, выясняется, что это просто не работает:
Read more

Is your DNS traffic intercepted?

Перехватывают ли ваш DNS-трафик?

Оказывается, у Akamai и UltraDNS, есть сервис, который позволяет ответить на вопрос «с какого IP в действительности они получили запрос от вас»:

  • dig whoami.akamai.net +short
  • dig whoami.ultradns.net +short

Попробуйте — может оказаться, что ваш DNS resolver далеко не последний. 😉

Having issues with scrub proto tcp reassemble tcp?

They might have been caused by tampering with TCP connection in transit. What kind? Well, in fact changing MSS with netfilter’s clamp or OpenVPN maxmss would cause establishing TCP connection to stall.

Если при использовании scrub proto tcp reassemble tcp возникают проблемы, они могут быть вызваны манипуляциями с TCP-соединением на транзитной сети. Например, вследствие изменения MSS, которое может производить Netfilter или OpenVPN maxmss, установка TCP-соединения так и не будет выполнена.

CEPH OSD on SmartOS won’t run in LX zones

На текущий момент (2017-10) запустить CEPH OSD в SmartOS не получится:

2017-10-05 03:54:18.269168 7ffff5151800 -1 filestore(/var/lib/ceph/osd/ceph-6) WARNING: max attr value size (1024) is smaller than osd_max_object_name_len (2048). Your backend filesystem appears to not support attrs large enough to handle the configured max rados name size. You may get unexpected ENAMETOOLONG errors on rados operations or buggy behavior
2017-10-05 03:54:18.274440 7ffff5151800 -1 journal FileJournal::_open: disabling aio for non-block journal. Use journal_force_aio to force use of aio anyway
2017-10-05 03:54:18.276959 7ffff5151800 -1 filestore(/var/lib/ceph/osd/ceph-6) WARNING: max attr value size (1024) is smaller than osd_max_object_name_len (2048). Your backend filesystem appears to not support attrs large enough to handle the configured max rados name size. You may get unexpected ENAMETOOLONG errors on rados operations or buggy behavior
2017-10-05 03:54:18.279105 7ffff5151800 -1 filestore(/var/lib/ceph/osd/ceph-6) Extended attributes don't appear to work. Got error (95) Operation not supported. If you are using ext3 or ext4, be sure to mount the underlying file system with the 'user_xattr' option.
2017-10-05 03:54:18.279239 7ffff5151800 -1 filestore(/var/lib/ceph/osd/ceph-6) FileStore::mount: error in _detect_fs: (95) Operation not supported
2017-10-05 03:54:18.279274 7ffff5151800 -1 OSD::mkfs: couldn't mount ObjectStore: error -95
2017-10-05 03:54:18.279523 7ffff5151800 -1 ** ERROR: error creating empty object store in /var/lib/ceph/osd/ceph-6: (95) Operation not supported

Можно запустить CEPH monitors.

MacOS uses ntpd no more. Now it’s timed

Скорее всего, выбор в пользу своего сервиса синхронизации часов был сделан при выпуске “Sierra”.  NTPd пока ещё присутствует в системе, но уже отмечен как устаревший:

/System/Library/LaunchDaemons/org.ntp.ntpd-legacy.plist