yukra bloG

На работе я использую YubiKey в режиме HOTP и KeePassXC. KeePassXC умеет шифровать свою базу с использованием YubiKey, но мне эта возможность не нужна. YubiKey у меня настроен так, что по короткому табу по нему («short touch» или «slot 1») отдается HOTP (длинная строка символов сгенерированая на основании ранее заданного секрета).

У меня были неудобства с тем, что если запустить KeePassXC и ввести пароль к базе в тот момент, когда юбик вставлен, то короткий таб переставал работать (при этом остальная функциональность, такая так подключения юбика в качестве ssh-ключа в агент) оставалась. Некоторое время я работал в режиме «сначала запускаем KeePassXC и анлочим базу, потом вставляем юбик и работаем, если случайно залочил базу в KeePassXC, то либо ребутаемся, либо до конца дня используем альтернативные методы логина (в частности OTP c200, что менее удобно). В какой-то момент я подумал «Бля, заебало» и полез искать решение в интернеты. На сайте KeePassXC в разделе FAQ есть описание того, как включить поддержку YubiKey, но ни слова о том, как ее выключить. Чтение man’а тоже ничего не дало, зато в самом KeePassXC, в «Справка -> О программе -> Отладочная информация» я нашел «Enabled extensions: YubiKey» и пошел снова читать интернеты и man на тему того, как включать\выключать расширения.

Относительно быстро (просто полистав исходник) я выяснил что расширения можно включать\выключать путем перекомпиляции из исходников указывая нужные опции (удобно, чоо) и нужная мне опция «WITH_XC_YUBIKEY», которую нужно выставить в «OFF» (кто-бы мог подумать). «Надо бы пересобрать пакет из официального PPA, жалко что я не умею работать с PPA» подумал я и отвлекся на что-то более срочное, продолжая соблюдать четкий ритуал после каждого ребута: «мысленно выматериться, вытащить юбик, запустить keepass, разлочить базу, вставить юбик, добавить юбик в ssh-agent, пообещать себе разобраться с PPA». Делать «./configure ; make ; make install» или какой-нить checkinstall сильно не хотелось. Так прошло несколько месяцев и наконец то я созрел для того, что бы посмотреть на то, как работать с PPA с той стороны (со стороны майнтейнера). Оказалось что это не сильно сложнее, чем поправить спеку для rpm пакета, особенно если мы не собираем пакет с нуля, а берем уже готорый из чужого PPA и просто меняем несколько опций сборки. Короче если у вас что-то убунтоподобное и вы используете KeePassXC и YubiKey и столкнулись с той же проблемой, что и я, то можно просто решить эту проблему парой команд:

sudo add-apt-repository ppa:yukra/keepassxc-without-yubikey-ppa
sudo apt-get update

~/123 $ ls
~/123 $ touch foo
~/123 $ touch bar
~/123 $ find . -name '*oo' -print
./foo
~/123 $ find . -print -name '*oo' 
.
./foo
./bar
~/123 $ ls
bar  foo
~/123 $ 

С параметром -delete тоже самое. То есть если написать find . -delete -name ‘ololo’ то оно удалит все в текущей директории.

Это конечно описано в документации, но даже как-то странно что за многие годы я на это не разу ни наступил … или не заметил.

В прекрасном и идеально мире каждый должен заниматься своим делом.
В частности я убежден что когда логи пишет логи самостоятельно — это неправильно. Более того совсем неправильно если приложение не умеет отправлять логи в syslog (через сокет или сеть). Сейчас пришел systemd и логи вообще можно писать в STDIN и не париться.

Например apache ну умеет писать логи в syslog. Но он умеет писать их в пайп. Пишем в конфиге

	ErrorLog "| /usr/bin/logger --tag example.org_apache-error -n 192.168.5.254"
	CustomLog "| /usr/bin/logger --tag example.org_apache -n 192.168.5.254" combined

и логи полетели на syslog-сервер 192.168.5.254. Или не указывает «-n» и логи уходят в локальный syslog.

Но сегодня наткнулся на debian7 (да древность, да нужно выкидывать уже, но тем не менее на данный момент оно еще поддерживается).
Запускаю «echo 123 | /usr/bin/logger -n 192.168.5.254» и на сервер ничего не доходит.
Проверил связанность, настройки фаерволов с обоих сторон, позапускал tcpdump, поперебирал разные варианты настроек и ничего. Взял strace:

	[root@d314 /var/log]# date | strace -f /usr/bin/logger  -n 192.168.5.254  
execve("/usr/bin/logger", ["/usr/bin/logger", "-n", "192.168.5.254"], [/* 22 vars */]) = 0
brk(0)                                  = 0xe26000
access("/etc/ld.so.nohwcap", F_OK)      = -1 ENOENT (No such file or directory)
mmap(NULL, 8192, PROT_READ|PROT_WRITE, MAP_PRIVATE|MAP_ANONYMOUS, -1, 0) = 0x7ff32ee1f000
access("/etc/ld.so.preload", R_OK)      = -1 ENOENT (No such file or directory)
open("/etc/ld.so.cache", O_RDONLY)      = 3
fstat(3, {st_mode=S_IFREG|0644, st_size=26469, ...}) = 0
mmap(NULL, 26469, PROT_READ, MAP_PRIVATE, 3, 0) = 0x7ff32ee18000
close(3)                                = 0
access("/etc/ld.so.nohwcap", F_OK)      = -1 ENOENT (No such file or directory)
open("/lib/x86_64-linux-gnu/libc.so.6", O_RDONLY) = 3
read(3, "\177ELF\2\1\1\0\0\0\0\0\0\0\0\0\3\0>\0\1\0\0\0\300\357\1\0\0\0\0\0"..., 832) = 832
fstat(3, {st_mode=S_IFREG|0755, st_size=1607696, ...}) = 0
mmap(NULL, 3721272, PROT_READ|PROT_EXEC, MAP_PRIVATE|MAP_DENYWRITE, 3, 0) = 0x7ff32e875000
mprotect(0x7ff32e9f9000, 2093056, PROT_NONE) = 0
mmap(0x7ff32ebf8000, 20480, PROT_READ|PROT_WRITE, MAP_PRIVATE|MAP_FIXED|MAP_DENYWRITE, 3, 0x183000) = 0x7ff32ebf8000
mmap(0x7ff32ebfd000, 18488, PROT_READ|PROT_WRITE, MAP_PRIVATE|MAP_FIXED|MAP_ANONYMOUS, -1, 0) = 0x7ff32ebfd000
close(3)                                = 0
mmap(NULL, 4096, PROT_READ|PROT_WRITE, MAP_PRIVATE|MAP_ANONYMOUS, -1, 0) = 0x7ff32ee17000
mmap(NULL, 4096, PROT_READ|PROT_WRITE, MAP_PRIVATE|MAP_ANONYMOUS, -1, 0) = 0x7ff32ee16000
mmap(NULL, 4096, PROT_READ|PROT_WRITE, MAP_PRIVATE|MAP_ANONYMOUS, -1, 0) = 0x7ff32ee15000
arch_prctl(ARCH_SET_FS, 0x7ff32ee16700) = 0
mprotect(0x7ff32ebf8000, 16384, PROT_READ) = 0
mprotect(0x603000, 4096, PROT_READ)     = 0
mprotect(0x7ff32ee21000, 4096, PROT_READ) = 0
munmap(0x7ff32ee18000, 26469)           = 0
brk(0)                                  = 0xe26000
brk(0xe47000)                           = 0xe47000
open("/usr/lib/locale/locale-archive", O_RDONLY) = 3
fstat(3, {st_mode=S_IFREG|0644, st_size=2709120, ...}) = 0
mmap(NULL, 2709120, PROT_READ, MAP_PRIVATE, 3, 0) = 0x7ff32e5df000
close(3)                                = 0
getpid()                                = 2530
open("/etc/resolv.conf", O_RDONLY)      = 3
fstat(3, {st_mode=S_IFREG|0644, st_size=19, ...}) = 0
mmap(NULL, 4096, PROT_READ|PROT_WRITE, MAP_PRIVATE|MAP_ANONYMOUS, -1, 0) = 0x7ff32ee1e000
read(3, "nameserver 8.8.8.8\n", 4096)   = 19
read(3, "", 4096)                       = 0
close(3)                                = 0
munmap(0x7ff32ee1e000, 4096)            = 0
uname({sys="Linux", node="d314", ...})  = 0
socket(PF_INET, SOCK_DGRAM, IPPROTO_IP) = 3
connect(3, {sa_family=AF_INET, sin_port=htons(514), sin_addr=inet_addr("192.168.5.254")}, 16) = 0
close(1)                                = 0
fstat(0, {st_mode=S_IFIFO|0600, st_size=0, ...}) = 0
mmap(NULL, 4096, PROT_READ|PROT_WRITE, MAP_PRIVATE|MAP_ANONYMOUS, -1, 0) = 0x7ff32ee1e000
read(0, "\320\241\321\200\320\264 \320\244\320\265\320\262 21 10:18:33 MSK 20"..., 4096) = 35
time([1519197513])                      = 1519197513
open("/etc/localtime", O_RDONLY)        = 1
fstat(1, {st_mode=S_IFREG|0644, st_size=1470, ...}) = 0
fstat(1, {st_mode=S_IFREG|0644, st_size=1470, ...}) = 0
mmap(NULL, 4096, PROT_READ|PROT_WRITE, MAP_PRIVATE|MAP_ANONYMOUS, -1, 0) = 0x7ff32ee1d000
read(1, "TZif2\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\r\0\0\0\r\0\0\0\0"..., 4096) = 1470
lseek(1, -903, SEEK_CUR)                = 567
read(1, "TZif2\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\16\0\0\0\16\0\0\0\0"..., 4096) = 903
close(1)                                = 0
munmap(0x7ff32ee1d000, 4096)            = 0
socket(PF_FILE, SOCK_DGRAM|SOCK_CLOEXEC, 0) = 1
connect(1, {sa_family=AF_FILE, path="/dev/log"}, 110) = 0
sendto(1, "<13>Feb 21 10:18:33 logger: \320\241\321\200"..., 62, MSG_NOSIGNAL, NULL, 0) = 62
read(0, "", 4096)                       = 0
close(1)                                = 0
exit_group(0)                           = ?
[root@d314 /var/log]#  

Сокет до 192.168.5.254 открывается (строки 43-44), но почему-то UDP, в хелпе (и мане сказанно):

[root@d314 /var/log]# logger -h 

Usage:
 logger [options] [message]

Options:
 -d, --udp             use UDP (TCP is default)
 -i, --id              log the process ID too
 -f, --file <file>     log the contents of this file
 -h, --help            display this help text and exit
 -n, --server <name>   write to this remote syslog server
 -P, --port <number>   use this UDP port
 -p, --priority <prio> mark given message with this priority
 -s, --stderr          output message to standard error as well
 -t, --tag <tag>       mark every line with this tag
 -u, --socket <socket> write to this Unix socket
 -V, --version         output version information and exit

[root@d314 /var/log]# 

То есть должен быть tcp по умолчанию (опции «переключи на tcp» нет, только обратная ей «переключи на udp»), но у нас UDP (SOCK_DGRAM).
Но что самое интересное — в сокет даже не пытается ничего отправляться. Тупо открыли сокет до указанного сервера, потом открываем до локального syslog-а и отправляем в локальный.

Ладно, хер с ним. Беру и пишу свою реализацию logger’а (писать багрепорты на ОС, которую через месяц выкинул с поддержки смысла не вижу):

#!/usr/bin/env perl

use warnings;
use strict;
use Net::Syslog;

my $syslog=new Net::Syslog(Facility => 'local4',SyslogHost => '192.168.5.254', Name => 'tag' );

while(42){
	open(FIFO, "< /var/log/fifo") || die("Err opening a fifo: $!");

	while (42) {
		my $line = <FIFO>;
		if ( ! defined($line) ) {
			sleep 1;
			next;
		}
		$syslog->send( $line , Priority => 'info');
	}
}

Код конечто не идеальный, но хочется использовать именновой пайп (что бы не дергать лишний раз диск). Если из пайпа перестать выбирать данные, то тот, кто их туда пишет просто залипнет в состоянии D. Поэтому 2 бесконечных цикла в коде, а третий во врапере на баше был. Проверил, перероверирил и вот это все, убедился что само запуститься если там oom прибъет или еще почему-либо упадет. Захожу в мускуль говорю «вкдючай slow-лог и пиши вон в тот пайп, хуй там был.

2018-02-21 06:25:03 10912 [ERROR] Could not open /var/log/mysql/mysql-slow.log for logging (error 11). Turning logging off for the whole duration of the MySQL server process. To turn it on again: fix the cause, shutdown the MySQL server and restart it.

И только гугл нам подсказывает что ни я первый и единственный вариант — в новых версиях мускуля есть штатный механизм записи в syslog.

Пиздец в общем. Такую простую задачу вот так эпично сьфейлить.

IPv6 уже давно захватил мир, только рассказать об этом всем забыли.
Почти более-менее крупные провайдеры, датаценры и прочие «проф. игроки» уже давно не просто готовы к внедрению ipv6, но уже внедрили и давно используют его.
Тот же гугл на данный момент получает 25% своего мирового трафика по ipv6, однако в из Россиии этот показатель всего 1,35%.
Но речь немного не об этом.
Сегодня мне приехала Huawei Storage 2600 V3. Собрал, скоммутировал, включил и теперь бы ее настроить. В мануале сказано: «For a 2 U controller enclosure, the default IP addresses of the management network ports on controllers A and B are respectively 192.168.128.101 and 192.168.128.102, and the default subnet mask is 255.255.0.0.»
А у меня в этом влане используются другие адреса. Конечно можно повесить адрес из 192.168.0.0/16 на интерфейс, зайти на стору, поменять адреса на свои, снять адрес 192.168.0.0/16 с интерфейса и радоваться жизни, но как-то влом, тем более этот влан «где-то в дц», а не на моем ноуте, а лишний раз трогать настройки сети на серверах в том же влане не хочется.
Поэтому:
1) Смотрим мак на порту:

dln-sw22.logol.ru# show bridge address-table ethernet g47
Aging time is 300 sec

  Vlan        Mac Address       Port     Type    
-------- --------------------- ------ ---------- 
  840      00:2e:c7:49:0e:e1    g47    dynamic   

dln-sw22.logol.ru# 

(Это для аллида, для циски show mac …)
2) Дампим трафик по маку на сервере в том же влане

[root@jail ~]# tcpdump -i eth2 ether host 00:2e:c7:49:0e:e1  -vv
tcpdump: listening on eth2, link-type EN10MB (Ethernet), capture size 262144 bytes
16:54:37.862583 ARP, Ethernet (len 6), IPv4 (len 4), Request who-has 192.168.128.101 (Broadcast) tell 192.168.128.101, length 46
16:54:37.920261 ARP, Ethernet (len 6), IPv4 (len 4), Request who-has 192.168.128.101 (Broadcast) tell 0.0.0.0, length 46
16:54:38.920346 ARP, Ethernet (len 6), IPv4 (len 4), Request who-has 192.168.128.101 (Broadcast) tell 0.0.0.0, length 46
16:54:39.920338 ARP, Ethernet (len 6), IPv4 (len 4), Request who-has 192.168.128.101 (Broadcast) tell 0.0.0.0, length 46
16:56:05.252595 ARP, Ethernet (len 6), IPv4 (len 4), Request who-has 192.168.128.101 (Broadcast) tell 192.168.128.101, length 46
16:56:05.306504 ARP, Ethernet (len 6), IPv4 (len 4), Request who-has 192.168.128.101 (Broadcast) tell 0.0.0.0, length 46
16:56:06.306557 ARP, Ethernet (len 6), IPv4 (len 4), Request who-has 192.168.128.101 (Broadcast) tell 0.0.0.0, length 46
16:56:07.306565 ARP, Ethernet (len 6), IPv4 (len 4), Request who-has 192.168.128.101 (Broadcast) tell 0.0.0.0, length 46
16:56:11.585823 IP6 (hlim 255, next-header ICMPv6 (58) payload length: 32) fe80::2e:c700:549:ee1 > ff02::1:ff49:ee1: [icmp6 sum ok] ICMP6, neighbor solicitation, length 32, who has fe80::2e:c700:549:ee1
	  source link-address option (1), length 8 (1): 00:2e:c7:49:0e:e1
	    0x0000:  002e c749 0ee1
16:56:12.586549 IP6 (hlim 255, next-header ICMPv6 (58) payload length: 32) fe80::2e:c700:549:ee1 > ff02::1:ff49:ee1: [icmp6 sum ok] ICMP6, neighbor solicitation, length 32, who has fe80::2e:c700:549:ee1
	  source link-address option (1), length 8 (1): 00:2e:c7:49:0e:e1
	    0x0000:  002e c749 0ee1
16:56:13.587508 IP6 (hlim 255, next-header ICMPv6 (58) payload length: 32) fe80::2e:c700:549:ee1 > ff02::1:ff49:ee1: [icmp6 sum ok] ICMP6, neighbor solicitation, length 32, who has fe80::2e:c700:549:ee1
	  source link-address option (1), length 8 (1): 00:2e:c7:49:0e:e1
	    0x0000:  002e c749 0ee1
^C
11 packets captured
11 packets received by filter
0 packets dropped by kernel
[root@jail ~]# 

3) Заходим через ssh по линк-локал адресу и творим все, что хотим(не забываем что для работы линк-локал адреса нужно указать интерфейс, в моем случае eth2, и разделить адреса и интерфейса через %:

[root@jail ~]# ssh  admin@fe80::2e:c700:549:ee1%eth2

Authorized users only. All activities may be monitored and reported.
admin@fe80::2e:c700:549:ee1%eth2's password: 
Last login: Wed Dec 27 22:08:42 2017 from fe80::216:3eff:fe65:632e%eth5

WARNING: You have accessed the system.
You are required to have a personal authorisation from the system administrator before you use this computer. Unauthorised access to or misuse of this system is prohibited.


  System Name     : Huawei.Storage               
  Health Status   : Normal                       
  Running Status  : Normal                       
  Total Capacity  : 7.988TB                      
  SN              : 2102350SHS10HC000023         
  Location        :                              
  Product Model   : 2600 V3                      
  Product Version : V300R006C00                  
  Time            : 2017-12-27/22:39:03 UTC+08:00 
  Patch Version   : SPC100                       
admin:/>

Я например сразу сменил адрес командой

admin:/>change system management_ip eth_port_id=CTE0.A.H4 ip_type=ipv4_address ipv4_address=X.X.X.X mask=255.255.255.0 gateway_ipv4=X.X.X.Y

и потом зашел уже браузером

Причем даже ssh немного лишнее, можно было сделать так:
С ноута:

yukra@yukra-ThinkPad-X230 ~ $ ssh -L '8088:[fe80::2e:c700:549:ee1%eth2]:8088' jail
X11 forwarding request failed on channel 2
Last login: Wed Dec 27 18:04:19 2017 from office.logol.ru
[ykurilkin@jail ~]$ 

jail — имя сервера, прописанного в ~/.ssh/config, fe80::2e:c700:549:ee1 — адрес из п.2
Потом в браузере просто открывает https://127.1:8088