Был когда-то интересный квест. Ща расскажу.

🔤🔤🔥🔤🔤🔤 🔤🔤🔤

Крутился внутри сети сайт (на IP 192.168.0.87) который пулял куда-то API-запросы, с такой особенность, что работал он не как все машины через шлюз 192.168.0.1.
ㅤ
А пулял запросы в другую сеть которая была за шлюзом 192.168.0.176 и далее в дивный неведомый интернет, хуй знает куда он там чего отправляет, это в данном случае не важно.

Важно что запросы должны летать в шлюз 192.168.0.176 а общий шлюз в сети 192.168.0.1 с внешним X.X.X.X.

Все было хорошо, пока манагеры не захотели видеть этот сайт снаружи сети (IP X.X.X.X, всякие DNS опустим, они тут не важны).

Разраб тоже сказал что ему нужна 22 дырка снаружи, и понятно что проброс порта на шлюзе не сработает. Надо выдумывать маршруты.

Присказка окончена, понеслася сказка.

Пишем маршрутизацию

/etc/netplan/00-installer-config.yaml

network:
  version: 2
  renderer: networkd
  ethernets:
    eth0:
      addresses: [192.168.0.87/24]
      routes:
        - to: 0.0.0.0/0 # Весь интернет-трафик через 192.168.0.176
          via: 192.168.0.176
          metric: 100
        - to: 192.168.0.1/32 # Явный маршрут до шлюза 192.168.0.1
          via: 192.168.0.1
          metric: 50 # Более высокий приоритет
      nameservers:
        addresses: [8.8.8.8, 8.8.4.4]

Применяем изменения (тут если накосячил сообщат)

sudo netplan apply

Создаем отдельную таблицу маршрутизации (table 100)

sudo ip route add default via 192.168.0.1 dev eth0 table 100

Создаем правила маршрутизации для каждого порта:

sudo ip rule add iif eth0 dport 22 lookup 100
sudo ip rule add iif eth0 dport 8080 lookup 100

Что делает:

iif eth0 — трафик, пришедший на интерфейс eth0.

dport 22 и dport 8080 — если это SSH (порт 22) или HTTP (порт 8080).

lookup 100 — использовать таблицу 100 для маршрутизации этого трафика.

Пометка исходящего трафика (iptables mangle + MARK)

sudo iptables -t mangle -A OUTPUT -p tcp --sport 22 -j MARK --set-mark 1
sudo iptables -t mangle -A OUTPUT -p tcp --sport 8080 -j MARK --set-mark 1

Что делает:

-t mangle — таблица mangle для изменения (marking) пакетов.

--sport 22 и --sport 8080 — если исходящий трафик идёт с портов 22 (SSH) или 8080 (HTTP).

--set-mark 1 — помечает такие пакеты меткой 1.

Зачем:

Метка (mark) позволяет позже применить к пакетам особые правила маршрутизации.

Правило маршрутизации по метке (fwmark)

sudo ip rule add fwmark 1 lookup 100

Что делает:

fwmark 1 — если пакет помечен меткой 1 (как в iptables выше).

lookup 100 — использовать таблицу 100 для маршрутизации.

Зачем:

Это гарантирует, что ответы на SSH/HTTP-запросы (исходящие с портов 22/8080) будут направляться через шлюз 192.168.0.1 (из таблицы 100), а не через основной маршрут.

Общий смысл всей настройки:

Для входящих запросов на eth0 (порты 22 и 8080): Ответный трафик маркируется (mark=1).

Маркированный трафик направляется через таблицу 100 (шлюз 192.168.0.1).

Для исходящих ответов (SSH/HTTP с портов 22/8080): Трафик также маркируется и направляется через таблицу 100.

Результат:

Весь трафик, связанный с SSH (22) и HTTP (8080), всегда идёт через шлюз 192.168.0.1, даже если в системе есть другие маршруты по умолчанию.

Проверяем:

ssh -p 1422 user@Х.Х.Х.Х
curl ident.me #должен вернуть внешний адрес шлюза

Если все отработало, идем дальше.

При перезагрузке вся настроенная маршрутизация слетит.

Надо восстанавливать при каждой перезагрузке. Тут на выбор. Пойдем по пути systemd.

В комментах содержимое portforward-routes.service, в пост не влезло.

Включаем

sudo systemctl daemon-reload
sudo systemctl enable portforward-routes.service

Перегружаемся\проверяем.

🛠 #балансбатл #networks
—
✅ @bashdays ✅ @linuxfactory ✅ @blog

Учим Docker в SNAT
ㅤ
Последнее время всё чаще начал сталкиваться с тем, что IP сервера висит на Dummy интерфейсе и вещаются в сторону сетевиков организации/хостера/провайдера по BGP.

🔤🔤🔥🔤🔤🔤🔤🔤🔤

Вроде бы всё выглядит и ничего, и всё работает, но:

1. У меня есть Docker на таких серверах
2. И он в упор отказывается SNAT-ить контейнеры с IP Dummy-ка

Это надо как то исправить.

Смотрим, то что мы имеем

Такс, у нас есть:

Железонька стандартная, с двумя сетевыми интерфейсами, которые воткнуты в сеть провайдера.

- На интерфейсе p1p0 у нас адрес 10.0.0.1/31 (у провайдера соответственно 10.0.0.0/31)

- На интерфейсе p1p1 у нас адрес 10.0.0.3/31 (у провайдера соответственно 10.0.0.2/31)

- На интерфейсе dummy-moew у нас висит адрес 188.222.33.1/32

- На сервере стоит гордый птыц bird, который делает bgp с провайдером

Зачем 32е и 31е маски? Потому что могу, да и ну его, айпишники тратить на 30е маски...

Делаем докериную сетку (bridge) и запускаем контейнер (например alpine:3), проверяем сетку:

docker network create -d bridge br-dzhigurda
docker run -it --rm --network br-dzhigurda alpine:3
ping -c 1 8.8.8.8

Получаем:

PING 8.8.8.8 (8.8.8.8): 56 data bytes

--- 8.8.8.8 ping statistics ---

1 packets transmitted, 0 packets received, 100% packet loss

Херня, товарищи! Идём смотреть правила в iptables:

-A POSTROUTING -s 198.18.66.0/24 ! -o br-dzhigurda -j MASQUERADE

Видим, что Docker делает MASQUERADE. Это обычный, всем привычный NAT, но! оно работает только с физическими сетевыми интерфейсами. И весь трафик от сервера выходит с IP именно физических интерфейсов. Нам такое не подходит.

Имеем, то что мы смотрим

Закапываемся в доку Docker и трём глаза в изумлении, ничего не нашли. Отлично, полезем в кишочки разбираться. Нам надо попробовать сделать вместо MASQUERADE - SNAT.

Идём в сырцы Docker (а точнее в moby/moby), грепаем, копаемся, и видим волшебные грибы которые потребляли разработчики строчки:

// Файл integration/network/network_linux_test.go

    ipv4SNATAddr := "172.0.0.172"

    // Create a bridge network with --opt com.docker.network.host_ipv4=172.0.0.172

    bridgeName := "hostIPv4Bridge"

    network.CreateNoError(ctx, t, c, bridgeName,

        network.WithDriver("bridge"),

        network.WithOption("com.docker.network.host_ipv4", ipv4SNATAddr),

        network.WithOption("com.docker.network.bridge.name", bridgeName),

    )

Ага. В доке этого не было. Поехали, попробуем!

docker network create -d bridge br-fuckingsnat --opt com.docker.network.bridge.name=br-fuckingsnat --opt com.docker.network.host_ipv4=188.222.33.1

docker run -it --rm --network br-fuckingsnat alpine:3

ping -c 1 8.8.8.8

PING 8.8.8.8 (8.8.8.8) 56(84) bytes of data.

64 bytes from 8.8.8.8: icmp_seq=1 ttl=108 time=16.5 ms

--- 8.8.8.8 ping statistics ---

1 packets transmitted, 1 received, 0% packet loss, time 0ms

rtt min/avg/max/mdev = 16.497/16.497/16.497/0.000 ms

Отлично, связь есть. Смотрим в iptables:

-A POSTROUTING -s 198.18.66.0/24 ! -o br-fuckingsnat -j SNAT --to-source 188.222.33.1

Поразительно. Не, я точно слепой, такую же фичу не могли в документации пропустить... Или могли? Идём гуглим, и получаем всего один результат! И тот в Release Notes...

Итоги

Мы имеем работающие Docker контейнеры, которые SNAT-ятся с нужного нам IP, кровь из глаз после вида исходников, и непреодолимое желание написать разработчикам, что бы поправили доку.

🛠 #балансбатл #networks
—
✅ @bashdays ✅ @linuxfactory ✅ @blog

Делал это для автоматического выполнения разных команд на сетевом оборудовании и парсинга по разным критериям.

🔤🔤🔥🔤🔤🔤🔤🔤 🔤🔤

Подключение к telnet c аутентификацией

def respond_to_telnet_commands(sock, data):
    """Отвечает на IAC-команды, отправляя WONT на все DO и DONT на все WILL."""
    i = 0
    while i < len(data):
        if data[i] == 0xff and i + 2 < len(data):  # IAC
            command, option = data[i + 1], data[i + 2]
            if command == 0xfd:  # DO
                sock.send(bytes([0xff, 0xfc, option]))  # WONT
            elif command == 0xfb:  # WILL
                sock.send(bytes([0xff, 0xfe, option]))  # DONT
            i += 3
        else:
            i += 1

respond_to_telnet_commands - функция понадобится только если в ответе от сервера получаем такое b"\xff\xfb%\xff\xfb&\xff\xfd\x18\xff\xfd \xff\xfd#\xff\xfd'\xff\xfd$".

Если же в конце этой кишки будет login то всё ок можно сразу отправлять логин sock.send(b'login\r\n')

Подключение через ipython:

import socket
sock = socket.socket()
sock.connect(('192.168.1.100', 5000))
data = sock.recv(1024)
print(data)
respond_to_telnet_commands(sock, data)
data = sock.recv(1024)
print(data)
respond_to_telnet_commands(sock, data)
data = sock.recv(1024)
print(data)
sock.send(b'<login>\r\n')
data = sock.recv(1024)
print(data)
sock.send(b'<pass>\r\n')
data = sock.recv(1024)
print(data)
sock.send(b'<command>\r\n')
data = sock.recv(1024)
print(data.decode())

Подключение к telnet без аутентификации
ㅤ
В /etc/inetd.conf добавить:

5000 stream tcp nowait root /usr/local/bin/telnet_noauth 

telnet_noauth - 5000 можно заменить на любой порт или написать просто telnet будет использоваться для подключения порт 23

<service_name>: имя службы (например, telnet), соответствует записи в /etc/services.

<socket_type>: обычно stream (для TCP) или dgram (для UDP).

<protocol>: протокол, например, tcp или udp.

<wait/nowait>: wait (ждёт завершения процесса) или nowait (многопоточный).

<user>: пользователь, от имени которого запускается служба (например, root).

<server_program>: путь к исполняемому файлу службы (например, /usr/sbin/in.telnetd).

<server_args>: аргументы для программы (обычно имя программы).

Добавить скрипт telnet_noauth с содержимым:

#!/bin/bash                                                           

/bin/bash -i

Дать права на исполнения:

chmod +x /usr/local/bin/**telnet_noauth**

Подключение через ipython:

import socket
sock = socket.socket()
sock.connect(('192.168.1.100', 5000))
data = sock.recv(1024)
print(data)
sock.send(b'<command>\r\n')
data = sock.recv(1024)
print(data.decode())

Такие дела!

🛠 #балансбатл
—
✅ @bashdays ✅ @linuxfactory ✅ @blog

Если в каком-то скрипте лень заморачиваться с логами, можно воспользоваться утилитой systemd-cat. Она отправляет логи прямиком в journald.

🔤🔤🔥🔤 🔤🔤🔤🔤🔤🔤

Например:

echo "Successful backup" | systemd-cat -t my-backup

Просмотреть логи можно по тегу:

journalctl -t my-backup

Можно указать приоритет сообщения текстом или числом, как в syslog:

echo "Шеф, усё пропало!" | systemd-cat -t my-backup -p 1

А можно и префиксом в начале сообщения (число в угловых скобках):

echo "<1>Шеф, усё пропало!" | systemd-cat -t my-backup

В случаях отправки через pipe в journald попадет только то, что вывелось в stdout.

Для логирования stderr можно либо отправить stderr в stdout, либо запускать команду как аргумент systemd-cat:

ls non-exists 2>&1 | systemd-cat -t my-log
systemd-cat -t my-log ls non-exists

Во втором случае можно задать отдельный приоритет для сообщений из stderr: --stderr-priority.

😀😃😄😁😅😂🤣
😇🙂🙃😉😌😍🥰
😗😙😚😋😛😝😜
🤨🧐🤓😎🤩🥳😏

🛠 #балансбатл
—
✅ @bashdays ✅ @linuxfactory ✅ @blog

Как я проебал 4 часа из-за кавычки

Балансбатл заебал, теперь пишу Я, одним дублем, на ошибки не триггеритесь 🥳

Самое главное в ходе дебага, не выйти на самого себя.

Да всё просто. После блокировок появилось много тикетов от клиентов, в которых говорилось - хочу GPT чат ёпта и чтобы блядь как раньше, нажал кнопочку и пошел работать.

Да, без GPT уже никто не работает, деградировали все сука в зеленые сопли.

Тут даже не «вайб-кодинг», а прям массовая истерия и осмысленный слив корпоративных данных.

Нужно проверить договор? Так этож его читать нужно, нахуй надо, заливаем в GPT, а он пусть анализирует риски и неточности. Ну и всё в таком духе.

😀😃😄😁😅😂🤣😊
😇🙂🙃😉😌😍🥰😘
😗😙😚😋😛😝😜🤪
🤨🧐🤓😎🤩🥳😏😒

Левой дрочу, правой жопу щекочу!

Короче спрос есть, тем более я умею настраивать openconnect да и сам им пользуюсь в личных целях.

Хуль, пошел настраивать на серваки клиентов, настроил, пытаюсь подключиться с локальной машины. ХУЙ ТАМ ПЛАВАЛ! Сервер нотфаунд. Пробую курлы, телнеты, меняю порты — ничего!

Ладно, думаю у клиента сервак с плохим айпишником, пошел настраивать другому клиенту. Такая же история.

Хм… уже закономерность какая-то. Иду к третьему клиенту, переношу полностью образ своего сервера на его сервер. Ну теперь 100% заработает!

Ага, история повторяется… Сервер нотфаунд.

Ну не может же такого быть. У меня с моим сервером все работает, а с клиентскими не работает. Даж не курлит и не телнетит ничего. Однако.

Как говорится:

Лох этот тот, кто пытается понять что вокруг происходит, хотя все кругом уже это понимают.

Утро вечера мудренее. Если что-то не получается, нужно это дело отложить и вернуться к нему позже. Так и сделал.

На утро вернулся и подумал иначе. А что если проблема — во мне? Нужно проверить эту гипотезу.

Беру ноут для созвонов, ставлю openconnect клиента и без проблем подключаюсь ко всем 3м серверам которые вчера настраивал.

Хм… иду за комп на котором все вчера настраивал — сервер нотфаунд.

Да ёбтавоюмать! Это как в nginx с редиректами, ебешься 5 часов, а потом понимаешь что дело не в nginx, а в твоём браузере. Оно закешировало запросы и похуй ему, редиректит по умолчанию, даже если меняешь конфиг nginx.

Что было?

😀😃😄😁😅😂🤣😊
😇🙂🙃😉😌😍🥰😘
😗😙😚😋😛😝😜🤪
🤨🧐🤓😎🤩🥳😏😒

Антивирус блядь! Какой не скажу, а то опять придут люди и начнут в меня письками тыкать и угрожать. Мыж с вами достаточно медийные, обсирать никого нельзя.

В антивирусе есть галка — Блокировать нерекомендуемые сайты.

Методом подбора эта галка была определена, она и блочила все мои попытки подключения. Это даже не фаервол, фаервол я отключал, когда настраивал openconnect. Всегда фаер отключаю когда работы подобного плана делаю.

Это чисто хуйня, которая блядь неочевидно скрыта в другом разделе. И до сих пор непонятно, почему айпишники моих серверов это рекомендуемые, а айпишники клиентов это не рекомендуемые.
ㅤ
Так и живем. Один лишний пробел, одна не поставленная запятая, забытый таб, вполне может уничтожить твой день.

Но опять же опыт. Теперь при настройке подобного гавна, буду иметь это ввиду. Но это не точно. Я люблю по 5 раз наступать на грабли. Говорят на ошибках учатся, но это не про меня.

Век живи, век учись!

🛠 #рабочиебудни
—
✅ @bashdays ✅ @linuxfactory ✅ @blog

Бесплатный онлифанс

begin 644 bashdays.txt
MT)_1@-"XT++0M=&"+"#1@="ZT+[0N]&,T+K0OB#0L=&#T+30M=&"(#$P,"\P
M+C4L(-"]T+#0O]"XT8C0N"#0OM&"T++0M=&"(-"R(-"ZT+[0O-"\T+70O=&"
MT+#1@-"XT8_1A2#0NB#0O]"^T8'1@M&#(-"X(-"RT+[0M]"\T+[0MM"]T+X@
IT8$@T8+0OM"QT+[0N2#1@="RT8_0MM"UT8+1@=&/(-"<T+#0NM&!+@H`
`
end

😀😃😄😁😅😂🤣😊
😇🙂🙃😉😌😍🥰😘
😗😙😚😋😛😝😜🤪
🤨🧐🤓😎🤩🥳😏😒

🛠 #xfiles
—
✅ @bashdays ✅ @linuxfactory ✅ @blog

Безумству храбрых поём мы песню

Ну чё, принёс я тебе «остров с сокровищами».
ㅤ
На карте наш подписчик рандомом разбросал 100 кодов. Каждый код ты можешь обменять на 500 настоящих рублей. Все коды установлены на поверхности для простоты поисков.

Дополнительно установлены 10 кодов на два бесплатных месяца обучения в Linux Factory.

Поиск кодов это не основное, можно банально встретиться 1x1 и набить друг другу ебальник. Ну или просто почилить, отгрохать себе подземную базу или построить личный дата-центр.

Если будут лаги и т.п. пиши сюда @linuxfactorybot, бум разбираться.

Я нашел код, что дальше?

1. Делаешь скрин кода и координат XYZ (нажать F3)
2. Скидываешь эту инфу Максу
3. Забираешь приз

Что бы не было соблазна схитрить, предприняты меры, все ходы записаны, так что будь честен.

Учти, что за тобой будут охотиться специально обученные боты-вжопуебаки.

Как начать?

Качаешь клиент отсюда или берешь официальный. Версия сервера 1.21.8 Подключаешься к mc.bashdays.ru и погружаешься в приключения.

Регистрация

/reg <пароль> <пароль>
/log <пароль>

Время работы сервера: c 05:00 МСК до 19:00 МСК

😀😃😄😁😅😂🤣😊
😇🙂🙃😉😌😍🥰😘
😗😙😚😋😛😝😜🤪
🤨🧐🤓😎🤩🥳😏😒

Что дальше?

А дальше посмотрим, если сервак переживет эту неделю и не будет уничтожен письками, то таблички с промокодами будут пополняться каждую неделю. Ну и время работы сервера будет увеличено. А по пятницам можно сходки устраивать, голосовой чатик замутить, пиво, все дела.

На этом пока всё. Хорошей тебе рабочей недели.

🛠 #островсокровищ
—
✅ @bashdays ✅ @linuxfactory ✅ @blog

Хотел бы предложить пост о деградации батареи в Linux.

🔤🔤🔥🔤🔤🔤🔤🔤🔤🔤🔤🔤🔤

Оригинал статьи написал для своего блога и хотел бы поделиться с интересующейся Linux-ом аудиторией 👇

https://alchemmist.xyz/ru/articles/battery-degradation/

🛠 #балансбатл #людипишут
—
✅ @bashdays ✅ @linuxfactory ✅ @blog

Как-то давненько пришлось мне отлаживать большущую APIху, но под рукой была только консолька. Ни о каком GUI и речь не шла. А пулять запросы через curl я заебался.
ㅤ
Тем более хотелось что-то организованное и визуально приятное.

Postman сразу мимо, это гавно сделали настолько перегруженным, что им пользоваться уже нереально, да и под чистым терминалом его не запустишь.

Выбор пал на Posting. Это TUI клиент со всем необходимым функционалом.

Так он и прижился, сейчас если что-то нужно отладить или потестить у меня есть эта замечательная тулза. Не перегружена хуйнёй и дружелюбная. Есть все самое необходимое, даже мышкой можно тыкать. Ну и сессии сохраняет со всеми запросами.

Ставится элементарно:

curl -LsSf https://astral.sh/uv/install.sh | sh
uv tool install --python 3.13 posting

uv — это современный инструмент для Python, который объединяет в себе функционал менеджера пакетов и виртуальных окружений, задумывается как замена pip + venv/virtualenv + pip-tools.

Для хакерменов прям мастхев. Забирай в копилку, годнота!

🛠 #linux #utilites
—
✅ @bashdays ✅ @linuxfactory ✅ @blog

Из каждого чайника слышу про ZED, это такой новомодный IDE от авторов Atom. Славится своей скоростью и минимализмом, никаких тебе новогодних ёлок и перегруженных интерфейсов. Чем-то напоминает VIM.
ㅤ
Дошли руки потыкать. Но одного желания мало, под винду сука дистрибутив не завезли. Хочешь под винду? Скомпилируй из исходников!

😀😃😄😁😅😂🤣😊
😇🙂🙃😉😌😍🥰😘
😗😙😚😋😛😝😜🤪
🤨🧐🤓😎🤩🥳😏😒

Да легко! Спустя 4 часа ебатни и дебага — спасибо, идите нахуй!

Если официальный мануал по компиляции писала жопорукая обезьяна, тут уже ничего с этим не поделаешь.

Залил в себя пару пиалок до-хун-пао, словил дзен и нашел выход.

Пиздуем на сайт и ищем ZED. Ебала жаба гадюку! Всё уже придумано и собрано за нас. Верните мне 4 часа компиляции!

Открываем CMD и хуячим:

scoop bucket add extras
scoop install extras/zed

Всё!

Если не установлен scoop, ставим так:

Set-ExecutionPolicy RemoteSigned -Scope CurrentUser
irm get.scoop.sh | iex

Что по IDE?

Моё почтение, все нужные мне плагины по девопсовым делам — есть. Даже маркдаун и превью работает. Шикарно!

Из коробки есть подключение к удаленным серверам. То есть подключаешься к своему удаленному серверу разработки и пишешь код. В лучших традициях VSCode.

Чтобы по умолчанию в качестве терминала у тебя не открывался CMD, делаем финт ушами и дружим ZED с WSL.

  "terminal": {
    "shell": {
      "program": "C:\\Windows\\System32\\wsl.exe"
    },
    "font_family": "Hack Nerd Font Mono",
    "font_size": 15,
    "line_height": "standard"
  }

Теперь открывается ZSH, или что там у тебя установлено в WSL.

Ааа, забыл, в ZED можно подключить ИИ агенты, причем можешь локально поднять дипсик или т.п. и использовать его прям в IDE.

Больше добавить пока нечего, всё нравится. Буду тыкать, а там уже посмотрим.

🛠 #windows #ide #dev
—
✅ @bashdays ✅ @linuxfactory ✅ @blog

Поделюсь своим решением, как я организовал бэкапы баз 1С. Основное требование к решению (за исключением работоспособности) - использование штатного ПО, которое уже есть в репозитории/ничего дополнительно не устанавливать. Имитация закрытого контура.

🔤🔤🔥🔤🔤🔤🔤🔤🔤

Итак, условия: windows server на котором работает 1с и на нем же PostgreSQL и некое файловое хранилище, к которому есть доступ исключительно по ftp.
ㅤ
Из утилит, которыми можно решать задачу, под рукой оказалась rsync.

Бэкап базы 1С будем делать штатной программой от 1С. Однозначного мнения нет, чем лучше бэкапить - средствами СУБД или этой программой, есть у каждого варианта свои преимущества и недостатки. В нашем варианте используем именно ПО от 1С.

Чтобы делать это с помощью планировщика, делаем простой .bat для windows сервера, имя файла отражает дату его создания.

set datetemp=%date:~-10%`

"C:\Program Files\1cv8\8.3.24.1819\bin\ibcmd.exe" infobase dump --db-server=localhost --dbms=PostgreSQL  --db-name=название_бд --db-user=имя_пользователя_бд --db-pwd=пароль_пользователя_бд --user=имя_пользователя_в_1С --password=пароль_пользователя_1С "C:\путь_для_бэкапа\имя_файла_"%datetemp%".dt"

Бэкапы базы сохраняются локально. Теперь надо их оттуда забрать и бережно перенести на файловое хранилище.

Для этих целей хорошо подойдет rsync. Поднимать сервер rsync не хотелось, поэтому пошел по пути набора команд.

Формат будущей команды выглядит так:

rsync -av ~/bases_1s/bgu ~/backup/

Rsync (ключа а = в архивном режиме, его обычно достаточно для целей бэкапа, ключ v добавит подробностей) скопирует папку bgu из ~/bases_1s и положит их в ~/backup/.

Обращайте внимание на слэши в конце пути - играют роль в вопросе перенести папку целиком или же ее содержимое, без создания одноименной папки в точке назначения.

Все хорошо, но rsync работает, если хотя бы один путь локальный, а у нас два удаленных хоста. Выход есть. Примонтируем папку с бэкапами по SMB.

Строка в /etc/fstab выглядит у меня так:

//192.168.0.2/название_папки_на_сервере_win /home/user/bases_1s cifs credentials=/home/user/.smbcreds,noauto,users,iocharset=utf8,uid=500,gid=500 0 0

В .smbcreds лежит логин с паролем пользователя windows сервера, noauto=не монтировать при запуске.

Далее, возникла засада в виде того, что если доступ есть по ftp, то rsync бессилен, ftp - протокол и rsync тоже протокол и надо выбрать.

В этой ситуации поможет замечательная curlftpfs. Утилита позволяет монтировать удаленные ftp папки в локальную файловую систему.

Установим ее и добавим своего пользователя в группу fuse (чтобы работать без повышения привилегий):

apt-get install curlftpfs
usermod -aG fuse имя_пользователя.

Создаем файлик с кредами, создаем папку куда будем монтировать и подключаемся (все от своего пользователя):

echo 'machine 192.168.0.18
login фтп_юзер
password пароль' > .netrc

Кроме работы rsync есть еще реализация резервного копирования посредством cp. Оставил пока как есть, в планах единообразить и прикрутить отчет о выполнении.

На данном этапе скрипт выглядит примерно так, смотри в первом комментарии к этому посту, одним кадром не влез.

Стоит еще пояснить о ключе --temp-dir=/tmp/rs в команде rsync. Он нужен чтобы обойти ограничение "ftp файловой системы", которая не поддерживает создание временных файлов.

🛠 #балансбатл #людипишут
—
✅ @bashdays ✅ @linuxfactory ✅ @blog

Рубрика "упоротые однострочники".

🔤🔤🔥🔤🔤🔤🔤🔤🔤

Как послать PING всем серверам кластера редиса и не умереть от скуки
ㅤ

for nodeport in $(echo "CLUSTER NODES" | nc redis.example 6900 | awk '$1~/^[0-9a-z].*$/ {sub("@"," "); print $2}'); do IFS=":" read -r node port <<< $nodeport; echo -n "$nodeport: "; echo "PING" | nc $node $port; done

Первым делом мы шлём в известный нам сервер кластера redis команду CLUSTER NODES.

echo "CLUSTER NODES" | nc redis.example 6900

Референс команды cluster nodes.

Пример выхлопа

shell$5256
07c37dfeb235213a872192d90877d0cd55635b91 127.0.0.1:30004@31004,hostname4 slave e7d1eecce10fd6bb5eb35b9f99a514335d9ba9ca 0 1426238317239 4 connected
67ed2db8d677e59ec4a4cefb06858cf2a1a89fa1 127.0.0.1:30002@31002,hostname2 master - 0 1426238316232 2 connected 5461-10922
292f8b365bb7edb5e285caf0b7e6ddc7265d2f4f 127.0.0.1:30003@31003,hostname3 master - 0 1426238318243 3 connected 10923-16383
6ec23923021cf3ffec47632106199cb7f496ce01 127.0.0.1:30005@31005,hostname5 slave 67ed2db8d677e59ec4a4cefb06858cf2a1a89fa1 0 1426238316232 5 connected
824fe116063bc5fcf9f4ffd895bc17aee7731ac3 127.0.0.1:30006@31006,hostname6 slave 292f8b365bb7edb5e285caf0b7e6ddc7265d2f4f 0 1426238317741 6 connected
e7d1eecce10fd6bb5eb35b9f99a514335d9ba9ca 127.0.0.1:30001@31001,hostname1 myself,master - 0 0 1 connected 0-5460

Дальше мы парсим выхлоп awk-шкой, так как нам нужны чисто IP и порт

awk '$1~/^[0-9a-z].*$/ {sub("@"," "); print $2}')

$1~/^[0-9a-z].*$/ - берём строчки, которые начинаются с циферкобуковок

{sub("@"," "); print $2} - режем дополнительно по символу собаки, выводим 2ю колонку. Получаем:

127.0.0.1:30004
127.0.0.1:30002
127.0.0.1:30003
127.0.0.1:30005
127.0.0.1:30006
127.0.0.1:30001

Ура, у нас есть список редисок с портами. Всё это заворачиваем в for:

for nodeport in $(echo "CLUSTER NODES" | nc redis.example 6900 | awk '$1~/^[0-9a-z].*$/ {sub("@"," "); print $2}'); do ...; done

И кайф, осталось порезать по двоеточию в разные переменные хост и порт, и, вооружившись netcat-ом, сделать PING.

Режем строку по двоеточию на 2 переменных

IFS=":" read -r node port <<< $nodeport;

Итого у нас получается следующее:

nodeport=127.0.0.1:30004
node=127.0.0.1
port=30004

Выводим себе для удобства чтения результата хост редиса и порт куда стучимся:

echo -n "$nodeport: "

И netcat-ом шлём команду PING уже на ноду.

echo "PING" | nc $node $port

Получаем на выходе:

127.0.0.1:30004: +PONG
127.0.0.1:30002: +PONG
127.0.0.1:30003: +PONG
127.0.0.1:30005: +PONG
127.0.0.1:30006: +PONG
127.0.0.1:30001: +PONG

🛠 #балансбатл #людипишут
—
✅ @bashdays ✅ @linuxfactory ✅ @blog

Закончилось место на диске? Или же закончились inode?

🔤🔤🔥🔤🔤🔤🔤🔤🔤

Ситуация неприятная и чаще всего выходом служит удаление "ненужных" файлов. Рассмотрим ситуацию, когда все файлы нужны, то есть удалять ничего не будем.
ㅤ
В качестве примера, смоделируем ситуацию, когда в файловой системе закончились inode.

Создадим файловую систему с небольшим количеством inode на виртуальном блочном устройстве, позаимствовав немного места с реальной файловой системы:

dd if=/dev/zero of=/home/user/fs.img count=1000 bs=4096K
mkfs.ext4 -N 512 /home/user/fs.img

Монтируем файловую систему:

mkdir newfs
mount /home/user/fs.img newfs/

Забиваем ее до отказа файлами:

touch file{1..501}

Проверяем:

df -i newfs

Вывод:

[root@14 ~] df -i newfs/

/dev/loop6 512 512 0 100% /root/newfs

Все, создавать новые файлы нельзя. Если сильно надо, выход есть. Понадобится свободное место, с файловой системой ext4.

Сделаем еще одно виртуальное блочное устройство, на нем файловую систему и пару папок для наших нужд.

dd if=/dev/zero of=/home/user/newfs.img count=1500 bs=4096K
mkfs.ext4  /home/user/newfs.img
mount /home/user/newfs.img freespacefs
mkdir -p freespacefs/{up,service}

Теперь главное:

mount -t overlay overlay -olowerdir=newfs,upperdir=freespacefs/up,workdir=freespacefs/service newfs

Здесь монтируется специальная файловая система overlayfs.

Аргументы:

lowerdir - директория, которую расширяем. Может быть любой файловой системой, может быть смонтирована только на чтение. В терминологии overlayfs - нижний слой.

upperdir - директория на файловой системе с поддержкой d-type (например, ext4).

В терминологии overlayfs верхний слой. В эту папку реально будут попадать результаты деятельности (новые файлы например) workdir- служебная директория, нужна для работы overlayfs. Должна находится на той же файловой системе, что и upperdir.

Проверяем:

[root@14 ~] df -i newfs

overlay 376K 16 376K1% /root/newfs

занято 1 % inode.

[root@14 ~] df -i newfs
[root@14 ~] touch newfs/extrafile
[root@14 ~] ls newfs/
extrafile  file125  file152  file1.....

(вывод обрезан, здесь 501 файл)

Теперь посмотрим в up:

[root@14 ~] ls freespacefs/up
extrafile

Вариант для экстремалов (можно задействовать оперативную память, если свободного места нет совсем):

[root@14 ~] mkdir ramfs
[root@14 ~] mount -t tmpfs tmpfs -osize=4G ramfs
[root@14 ~] mkdir ramfs/{up,work}
[root@14 ~] mount -t overlay overlay -\ olowerdir=newfs,upperdir=ramfs/up,workdir=ramfs/work  newfs
[root@14 ~] df -h newfs/

overlay 7,8G 8,7M 7,8G 1% /root/newfs

Фактически, это tmpfs, которая располагается в оперативной памяти, и стоит об этом помнить.

Теперь пара слов про overlayfs.

Функционал реализован модулем ядра, который, возможно, нужно включить:

[root@14 tmp] lsmod | grep overlay

Если вывод пустой, то:

[root@14 tmp] modprobe overlay

Как видно из вышесказанного, особенность этой файловой системы - она работает с директориями а не с устройствами.

На этом все. Выражаю благодарность за идею статьи @AlexeyVictorovi4

🛠 #балансбатл #людипишут
—
✅ @bashdays ✅ @linuxfactory ✅ @blog

Вечный вопрос — как сохранить правила iptables?
ㅤ
Вот навтыкал ты всяких безумных правил и цепочек через командную строку, радуешься. А после ребута все твои поделки к хуям улетучиваются.

И каждый раз ты идешь гуглить, как это решить. Жиза. Каждый раз, как в первый раз.

А делается всё просто, двумя командами:

sudo iptables-save > /etc/iptables/rules.v4
sudo ip6tables-save > /etc/iptables/rules.v6

Ладно, спиздел, нужно еще доставить:

sudo apt install iptables-persistent

Эта хуёвина автоматом создает файлы /etc/iptables/rules.v4, /etc/iptables/rules.v6 и будет применять их при загрузке.

А если у тебя длинный писюн, можно и от первых двух команд избавиться.

😀😃😄😁😅😂🤣😊
😇🙂🙃😉😌😍🥰😘
😗😙😚😋😛😝😜🤪
🤨🧐🤓😎🤩🥳😏😒

Просто открываешь напрямую файл rules.v4/rules.v6 и прописываешь туда все свои хотелки.

После этого не забываем дёрнуть слона за хобот:

systemctl restart netfilter-persistent

Либо по старинке, добавляешь правила через терминал и затем делаешь:

sudo netfilter-persistent save

Но в этом случае файлы rules.v4/rules.v6 будут перезатерты, имей это ввиду если лез в них своими руками.

Саммари

1. Ставим iptables-persistent
2. Пиздярим правила в терминале
3. Применяем netfilter-persistent save

Как делаю я? У меня писюн длинный, поэтому сразу вношу все необходимое руками в rules.v4/rules.v6, хотя это не есть бест-практика, не делай так.

Такие дела, изучай.

🛠 #linux #security #iptables
—
✅ @bashdays ✅ @linuxfactory ✅ @blog

Вчера в посте я упомянул конфиги iptables лишь для части дистрибутивов, Alex эту ситуацию в комментариях подметил верно.
ㅤ
Давай посмотрим что в других дистрибутивах происходит.

Debian / Ubuntu

Основной пакет → iptables-persistent / netfilter-persistent

/etc/iptables/rules.v4
/etc/iptables/rules.v6

RHEL / CentOS / Rocky / Alma (iptables-services)

/etc/sysconfig/iptables
/etc/sysconfig/ip6tables

Fedora (новые версии)

По умолчанию использует firewalld (поверх nftables). Если ставишь iptables-services:

/etc/sysconfig/iptables
/etc/sysconfig/ip6tables

Arch Linux / Manjaro

Из коробки iptables не сохраняет правила, обычно юзеры делают сами:

/etc/iptables/iptables.rules
/etc/iptables/ip6tables.rules

OpenSUSE / SLES

По умолчанию тоже firewalld, если ставить пакет iptables, правила обычно хранят в:

/etc/sysconfig/iptables

Astra Linux (Смоленск, Орёл и др. редакции)

Астра базируется на Debian, поэтому у неё схема как у Debian/Ubuntu:

/etc/iptables/rules.v4
/etc/iptables/rules.v6

РЕД ОС (RedOS)

RedOS базируется на RHEL/CentOS, поэтому там всё по «редхэту»:

/etc/sysconfig/iptables
/etc/sysconfig/ip6tables

Вроде основное осветил, если что-то проебал, забыл, затроил — пиши в комменты, поправим.

А вообще при возможности пользуйся облачным фаерволом, если страшно конфигурять iptables или руки растут из жопы.

🛠 #linux #security #iptables
—
✅ @bashdays ✅ @linuxfactory ✅ @blog

Друзья и коллеги — С Днём Знаний!

Грех под это событие не напомнить про — Linux Factory.
ㅤ
За 1 месяц ты впитаешь необходимую базу, которая требуется, чтобы уйти с «завода» и вкатиться в айти на роль «девопс-инженера».

За год существования LF, через него прошло > 1000 человек. Больше половины учащихся успешно закончили курс и нашли свою первую хорошо оплачиваемую работу, которая им действительно нравится. LF это отличная инвестиция в своё будущее.

Короче. У меня появились свободные слоты и я готов взять на обучение еще 20-30 человек.

Цена временно снижена в 2 раза с 5000р до 2500р.

Ты можешь пропить эти деньги, а можешь вложиться с умом и уже через месяц получать вкусную ЗП. Всё зависит от тебя, готов ли ты сделать шаг и что-то изменить.

Что внутри

— Никакой воды, только нужная информация
— Исключительно бест-практики
— Более 40ка уроков и домашних заданий
— Познаешь силу «Инфраструктура как код»
— Разберешь с docker и git
— Научишься писать пайплайны
— Настроишь мониторинг и алерты
— И многое другое…

Киллер-фичи

— Я твой личный ментор 1x1 (никаких групповых чатов)
— Вдумчивое кодревью ДЗ (обоснованные замечания)
— Нет дедлайнов (учишься когда захочешь)
— Можешь не сдавать домашки (двойки не ставлю)
— Задачи со звездочкой (для любителей посложнее)
— Можно пропускать темы и брать только нужные
— Избавишься от синдрома самозванца

⚪ Содержание курса и всех сезонов описал тут.
⚪ Подробнее о курсе можешь почитать тут.
⚪ А для сомневающихся добавил страницу с отзывами.

Кстати можешь глянуть пару (1 и 2) открытых уроков и сделать выводы, подойдет тебе все это или нет.

Вписаться в курс: @tormozilla_bot

если бот не отвечает, отправь ему повторно /start

По всем вопросам можешь писать сюда: @linuxfactorybot

Здрасти. Так, у нас тут баланс-батл проходил, давай посмотрим еще раз на посты, которые ребята прислали.

😀😃😄😁😅😂🤣😊
😇🙂🙃😉😌😍🥰😘
😗😙😚😋😛😝😜🤪
🤨🧐🤓😎🤩🥳😏😒
ㅤ
Ну и кто пропустил или забыл поставить «лайк» — самое время.

- Про дампы и postgres (98)
- Астра линукс и неочевидные нюансы (89)
- Про бомжей и authentication key (53)
- Живое вмешательство. File descriptors и GDB (103)
- Сетевой квест и 22 дырка (92)
- Учим Docker в SNAT (69)
- Парсинг сетевого оборудования (16)
- Про логи и systemd-cat (94)
- Деградация батареи в Linux (37)
- Организация бекапов 1С (34)
- Рубрика «упоротые однострочники» (53)
- Хакаем inode и добываем свободное место (100)

В скобках общее количество лайков на текущий момент. Завтра подведем итоги и выдадим донаты.

Всем огромное спасибо за участие, вы все большие молодцы!

Если я проебался и что-то упустил, маякните, пожалуйста Максу, добавим в список.

🛠 #балансбатл #людипишут
—
✅ @bashdays ✅ @linuxfactory ✅ @blog

Подводим итоги #балансбатл:
ㅤ
Все «лайки» пересчитаны, получилось так:

Первое место: Живое вмешательство. File descriptors и GDB (124 реакции) от @AlbDVPs. (Донат — баланс-борд)

Второе место: Хакаем inode и добываем свободное место (116 реакций), автор @clovus. (Донат — 5000р)

Третье место: Про логи и systemd-cat (110 реакция), автор @a_glumov (Донат — 3000р)

🍻 Принимайте наши поздравления! 🍻

😀😃😄😁😅😂🤣😊
😇🙂🙃😉😌😍🥰😘
😗😙😚😋😛😝😜🤪
🤨🧐🤓😎🤩🥳😏😒

И дополнительное призовое место от нашего коллеги DevUps, обещает задонатить кругленькую сумму за пост, который произведет впечатление на него лично.

DevUps выбрал 2 поста, которые произвели на него впечатления.

Цитирую:

Кароче, я выбрал 2 статьи ... Закончилось место на диске? Или же закончились inode? и Живое вмешательство. File descriptors и GDB. Надо будет как-то решить как им бабок заслать, по 5к получается.

Как получить призы:

Сегодня к каждому из победителей придет Макс, запросит у вас вводные, ну а дальше дело в шляпе.

Всем кто принимал участие — огромнейшая благодарность, всем авторам постов лично жму руку, вы молодцы, что делитесь знаниями с другими. Это очень ценно! Спасибо вам ребята!

🛠 #балансбатл #людипишут
—
✅ @bashdays ✅ @linuxfactory ✅ @blog

Мне прилетела интересная задача.

🔤🔤🔥🔤🔤🔤🔤

ТЗ: Сервер без GUI, к нему подключают usb-диск с NTFS и начинается автоматическое архивирование. Логин не требуется, сообщения выдаются на tty1.

sudo apt install ntfs-3g # для монтирования ntfs

Использовать будем штатные средства udev + systemd .

1. Подключаем диск, и запоминаем UUID.

lsblk -f

sdc                                                                         
└─sdc1
     ntfs  FLASH
                1234567890ABCDEF

здесь FLASH - метка диска 1234567890ABCDEF - UUID
ㅤ
создадим каталог для монтирования:

mkdir -p /media/usb_ntfs; chmod 777 /media/usb_ntfs

Дальше создаем 4 файла. Чтобы было проще, в каждом файле в начале коммент с названием файла.

После создания:

sudo systemctl daemon-reload

Как это работает:

При подключении диска usb-диска срабатывает UDEV правило 99-usb-mount.rules и пытается запустить службу autousbbackup.service

autousbbackup.service пытается запустить media-usb_ntfs.mount, поскольку жестко он нее зависит.

Сама media-usb_ntfs.mount запустится только в том случае, если UUID диска будет 1234567890ABCDEF.

Если все условия совпадают, autousbbackup.service запустит скрипт autousbbackup.sh, внутри которого Вы напишите копирование или синхронизацию данных в каталог /media/usb_ntfs.

Если используется архивирование с чередованием дисков - просто сделайте у дисков одинаковые метки:

sudo umount /dev/sdXN # где /dev/sdXN  имя вашего NTFS-раздела.
sudo ntfslabel --new-serial=1234567890ABCDEF /dev/sdXN #задайте UUID

👆 Если в mount не указать опцию nofail система будет тормозить при загрузке.
👆 Запустить скрипт через UDEV даже в фоне не получится, поскольку система вырубит его через 5 сек.

#/etc/udev/rules.d/99-usb-mount.rules

SUBSYSTEM=="block", KERNEL=="sd*", ACTION=="add", TAG+="systemd", ENV{SYSTEMD_WANTS}="autousbbackup.service"

#/etc/systemd/system/media-usb_ntfs.mount

[Unit]
Description=Mount USB NTFS by UUID

[Mount]
What=/dev/disk/by-uuid/1234567890ABCDEF
Where=/media/usb_ntfs
Type=ntfs-3g
Options=defaults,big_writes,nofail,uid=1000,gid=1000

[Install]
WantedBy=multi-user.target

#/etc/systemd/system/autousbbackup.service

[Unit]
Description=Simple service autousbbackup
Requires=media-usb_ntfs.mount
After=media-usb_ntfs.mount

[Service]
Type=simple
ExecStart=/root/work/autousbbackup/autousbbackup.sh

[Install]
WantedBy=multi-user.target

#!/bin/bash
#/root/work/autousbbackup/autousbbackup.sh

declare -x PATH=/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin
declare MOUNT_POINT=/media/usb_ntfs
declare TTY=/dev/tty1
declare DF='%(%Y%m%d-%H%M%S)T' #date format
declare LOG="$0.log"
exec &>"$LOG" # only one backup log
#exec &>>"$LOG" # all backups log
printf "$DF %s\n" -1 "START BACKUP"|tee "$TTY"
##############################################

sleep 3 # backup emulation

##############################################linux 
printf "$DF %s\n" -1 "END BACKUP"|tee "$TTY"

#suicide, because service require mount point 
systemd-mount --umount "$MOUNT_POINT"

🛠 #linux #bash
—
✅ @bashdays ✅ @linuxfactory ✅ @blog