SIAMO GEEK

Categoria: SysAdmin

  • Linux oom killer

    È successo due volte nell’ultima settimana al server di questo sito ed è successo a molti Linux ospitati su macchine virtuali: improvvisamente sembra che un task occupi tutta la memoria disponibile, Linux va in out of memory e l’azione più rapida per ripristinare i servizi è un reboot.

    Questa volta tutto è cominciato da qui:

    Sep 15 17:16:26 mx kernel: httpd invoked oom-killer: gfp_mask=0x280da, order=0, oom_adj=0, oom_score_adj=0
    Sep 15 17:16:26 mx kernel: httpd cpuset=/ mems_allowed=0
    Sep 15 17:16:26 mx kernel: Pid: 25761, comm: httpd Not tainted 2.6.32-279.5.2.el6.centos.plus.x86_64 #1

    oom (out of memory) killer entra in azione quando la memoria di sistema (fisica + swap) viene esaurita; il suo compito è quello di far fuori dei processi per liberare memoria e ristabilire la normalità.

    Se entra inazione oom-killer vuol dire che bisogna fare qualcosa per evitare che la memoria si esaurisca.

    Il problema risiede nell’approccio ottimista di allocazione della memoria di Linux, l’overcommit, un mix di overbooking delle compagnie aeree e di speranza che i processi non richiedano una quantità esagerata di memoria.

    Ma il peggio può accadere. Sempre.

    (altro…)

  • IPv6: è ora di fare le cose seriamente

    Il RIPE ha iniziato a distribuire gli indirizzi dell’ultimo blocco /8 (16.777.216 indirizzi) IPv4 che ha ricevuto da IANA.

    Le richieste giornaliere di IPv4 soddisfatte dal RIPE possono essere monitorate da tutti. In questo momento il RIPE assegna ai LIR solamente blocchi /22 (1.024 indirizzi) per volta.

    Al momento di scrivere, il RIPE ha un serbatoio di 17,30 milioni di indirizzi; sono più dei 16 milioni di un /8 perché includono anche quelli appartenenti ai blocchi restituiti.

    (altro…)

  • L’incompetenza non è mai troppa

    Non è la prima volta che si discute su questo argomento, ma, si sa, al peggio non c’è mai limite.

    In settimana sono stato a Roma, tra le altre cose per l’installazione di una ADSL da usare come connessione per un apparato di videoregistrazione fornito da una delle più grandi aziende di sorveglianza in Italia. Il DVR è a loro carico, mentre è mio compito provvedere alla connetività.
    Ho incontrato sul luogo i tencici di Telecom che hanno effettuato il collaudo della linea e l’installazione del router. Chiedo loro di configurarlo con indirizzamento statico pubblico (il tipo di fornitura che scelgo abitualmente comprende una subnet /29) e di non attivare firewall sulla rete interna. Mi faccio dare i 5 indirizzi utili e chiudo la pratica.
    Torno in ufficio e scrivo tutti i dettagli del collegamento al responsabile del settore perché istruisca a dovere chi interverrà in loco.

    Venerdì mattina mi chiamano i tecnici che stanno configurando il DVR.
    Nonostante le mie spiegazioni via e-mail, mi aspettavo la chiamata, dato che non è la prima volta che facciamo questa esperienza. Già conoscendo lo spettro delle domande che mi possono fare, ripeto tutta la configurazione al tecnico e gli chiedo se è tutto chiaro.
    Risponde di sì e chiudiamo, mi richiama mezz’ora dopo. (altro…)

  • Non così sporco come potrebbe sembrare

    Qualche settimana fa ho potuto partecipare ancora una volta alla edizione Milanese del convegno Converged, organizzato da DataCenter Dynamics.
    Come al solito, la conferenza è risultata mediamente molto interessante: solo una presentazione è stata veramente inguardabile mentre una mi ha colpito per freschezza e intelligenza.

    Si tratta dell’intervento del capo del Data Centre Development presso Yahoo, Derek  Webster.
    La sua prima slide riportava, stranamente, un doppio titolo “Benefits of Bringing the Data Centre to the Power” e “Challenging Data Centre Build Norms“: con questo però non manifestava confusione di idee, ma piuttosto intendeva mostrare alla platea come la ricerca per la costruzione di un nuovo datacenter abbia costretto l’azienda a rivedere molti dogmi reiterati spesso dall’industria del settore.

    Lo scopo di Yahoo era appunto quello di costruire un nuovo datacenter in un tempo limitato – ovvero in feriore ai 18-24 mesi normalmente necessari – in maniera economica – contro lo standard industriale di 10 MUS$/MW – con un PUE molto piccolo – drasticmente inferitore al “buon” 1,5.
    Per ottenere tutti questi risultati, Yahoo ha deciso di costruire il datacenter lontano da quello che sono definite “cities of the internet“: questo significa terreni, energia e mano d’opera poco costosi, in una zona economicamente depressa in modo da poter beneficiare di tassazione ridotte da parte del Governo. (altro…)

  • Lunga vita ai (lunghi) nastri

     

    In un complesso progetto di conservazione di un archivio di dati, 110.000 (centodieci mila) cassette a nastro di diversi tipi e diverse epoche, contenenti 11 Pb di dati derivanti da prospezioni geosismiche sono stati convertiti in circa 8000 cassette a nastro IBM 3592, suppongo usando quelle di massima capacita`: 4 TB per cassetta, in 880 metri di nastro. E incidentalmente per la prima volta sono state fatte due copie (quindi ora c’e` anche un backup) di questi dati. (altro…)

  • Questa volta ringraziamo automount

    Dalle 13:15 alle 14:00 di oggi il sito è stato giù grazie ad automount che ha deciso di fare le bizze, nei dettagli del post il log del crash.

    Nonostante tutto, cinque minuti dopo che è successo il patatrac che ha bloccato la macchina, ntpd ha fatto il suo dovere:

    Jul 23 13:20:15 ntpd[2125]: synchronized to 78.159.107.102, stratum 2

    (altro…)

  • IDN? No grazie… (almeno per il momento)

    Dalle ore 14:00 dell’11 luglio 2012 il NIC italiano (l’ente preposto a regolamentare e gestire la registrazione dei domini con estensione .it) consente di registrare domini IDN (internationalized domain name) ovvero domini contenenti lettere accentate ed altri caratteri speciali che prima non erano consentiti nei domini italiani.

    Peccato che nessuno si è preso la briga di controllare se i vari programmi in uso dagli utenti o in funzione sui server siano compatibili e supportino i nuovi domini.

    Lo standard per i nomi di dominio non permette normalmente caratteri non ASCII ma alla fine un metodo per internazionalizzare i nomi di dominio in un formato ASCII standard è stato trovato, salvaguardando con ciò la stabilità del Domain Name System. La prima bozza di IDN è stata proposta nel 1996 ed implementata nel 1998. Nel marzo 2008 l’Internet Engineering Task Force ha formato un nuovo IDN Working Group per rimodernare il corrente protocollo IDNA.

    Attualmente diverse decine di domini di primo livello supportano la registrazione gli IDN. Anche il dominio di primo livello .eu, dal 10 dicembre 2009, supporta gli IDN.

    Ovviamente perché tutto funzioni tutte le varie tessere del mosaico di software che costituisce Internet deve essere aggiornato e compatibile. E quì cominciano i problemi.

    Ho eseguito personalmente dei test di invio mail da alcuni dei più grandi (come numero utenti) sistemi webmail verso delle mailbox appositamente create con domini IDN ed i risultati a parer mio sono sono disastrosi.

    Gmail e Tiscali non supportano gli IDN e non consentono l’invio del messaggio. Yahoo prima lo accetta poi manda un messaggio d’errore perché uno dei suoi server non riesce ad inviare il messaggio a destinazione. V’invito ad effettuare dei test con altri account, se lasciate un commento, indicando la vostra mail vera nell’apposito campo, con il quale chiedete di collaborare al test vi contatterò personalmente per indicarvi un paio di indirizzi verso cui inviare i test. I risultati saranno pubblicati su questo blog.

    ATTENZIONE! Non indicate la mail nel commento ma nell’apposito spazio del form. In questo modo io potrò vedere la vostra mail e contattarvi ma questa non sarà pubblicata sul sito.

  • Aggiornare la versione di 2008 R2 senza reinstallare

    Può capitare di dover passare ad un livello più alto di licenza di Windows Server; fino a prima di 2008 R2 questo comportava per forza una reinstallazione del sistema.

    Con 2008 R2 è ora possibile utilizzare l’utility di Microsoft, quindi pienamente supportata, DISM (Deployment Image Servicing and Management) per elevare il livello di licenza di un’installazione di Windows Server.

    DISM è la stessa utility disponibile per eseguire le medesime operazioni sulle installazioni di Windows 7.

    Ovviamente per eseguire questa operazione è necessario possedere una chiave di attivazione valida per la versione a cui si vuole passare.

    (altro…)

  • Il WiFi in ufficio

    Alcune organizzazioni quando aprono o ristrutturano gli uffici sono tentate dall’utilizzo del WiFi per i computer e le stampanti, relegando la connettività su rame all’angolo informatico (router, firewall, server, NAS).

    La decisione si basa spesso su due assunti: (1) “se funziona negli alberghi, perché non deve funzionare da me?” e (2) “a casa mia funziona così bene!”. Entrambi sono concetti che mal si applicano ad una realtà di tipo office.

    Altre argomentazioni a favore dei WiFi sono spesso l’assenza estetica di cavi e le minori spese per un buon cablaggio certificato.

    Però aurea non sunt omnia quae fulgent, vediamo perché.

    In una rete in rame la connessione è costante a 100 Mbit (per gli apparati vecchi) o 1 Gbit (per quelli nuovi), mentre il massimo raggiungibile dal WiFi è 54 Mbit se non ci sono interferenze e il segnale è ottimale. Quindi la velocità massima del WiFi in condizioni ottimali è la metà della velocità peggiore del cavo in rame.

    (altro…)

  • Se Windows Update fa le bizze

    Microsoft ha rilasciato un aggiornamento per l’agente di aggiornamento di Windows.

    La nuova versione 7.6.7600.256 dovrebbe sistemare alcuni problemi segnalati dagli utenti, che si palesano con errori 0x80070057 e 0x8007041b durante la procedura di aggiornamento.

    Per sistemare il problema Microsoft ha creato un’apposito Fix It, che aggiorna direttamente l’agente.

    I computer protetti da WSUS dovrebbero ricevere direttamente l’aggiornamento senza problemi. (via ISC)

  • In fiamme

    Il seguente è il mio primo tentativo “serio” di scrivere haiku in pubblico. (altro…)

  • Buco di sicurezza in MySQL/MariaDB

    È stato scoperto un pericoloso baco in MySQL/MariaDB che potrebbe permettere l’accesso come root ad un database server.

    La vulnerabilità non funziona su tutte le installazioni di MySQL (inclusa CentOS) e dipende da come è stato compilato il server.

    Il problema risiede nella routine di autenticazione di un utente. Quando viene aperta una connessione a MySQL/MariaDB viene generato un token calcolando un SHA della password fornita e di una stringa casuale; il token viene quindi confrontato con l’SHA calcolato con il valore corretto. Per un errore di cast potrebbe succedere che le due stringhe vengano considerate uguali anche se non lo sono e anche se memcmp() ritorna un valore diverso da zero; se si verifica questo caso, MySQL/MariaDB pensa che la password sia corretta e permette l’accesso. La probabilità che questo accada è di 1/256.

    (altro…)