Stanotte ho deciso di provare Ubuntu sull’iMac di casa, sapevo già che è una buona distribuzione ma mi ha comunque stupito.

L’installazione è andata via liscia. Ho solo dovuto impostare a mano la keymap della tastiera (mi aveva configurato una qzerty mac)
root@arancia:~ # cp /usr/share/keymaps/i386/qwerty/it.kmap.gz /etc/console/boottime.kmap.gz

e la modeline per la risoluzione dello schermo (aveva definito correttamente XF86Config-4 ma non la modeline); in /etc/X11/XF86Config-4:
Section "Monitor"
Identifier "Monitor0"
VendorName "Monitor Vendor"
ModelName "Monitor Model"
UseModes "Modes0"
HorizSync 30-70
VertRefresh 50-160
EndSection
Section "Modes"
Identifier "Modes0"
Modeline "1440x900" 129.73 1440 1480 1616 1848 900 903 906 936 -HSync -VSync
EndSection

Molto razionale l’organizzazione dei menu di gnome,

Ma la cosa che più mi ha sorpreso è stato trovare una configurazione di default sicura dei servizi di rete:
root@arancia:~ # netstat -nltup
Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name
tcp 0 0 127.0.0.1:706 0.0.0.0:* LISTEN 17066/famd
tcp 0 0 127.0.0.1:111 0.0.0.0:* LISTEN 15490/portmap
tcp 0 0 127.0.0.1:631 0.0.0.0:* LISTEN 25610/cupsd
tcp 0 0 127.0.0.1:25 0.0.0.0:* LISTEN 3358/master
tcp6 0 0 ::1:25 :::* LISTEN 3358/master
udp 0 0 0.0.0.0:68 0.0.0.0:* 2925/dhclient3
udp 0 0 127.0.0.1:111 0.0.0.0:* 15490/portmap

Ho migrato il clusterone da LVS-NAT a LVS-DR.

Ora i server non reinoltrano il traffico in uscita al load balancer ma lo girano direttamente al client che ha fatto la richiesta. Questo per evitare il collo di bottiglia sul loadbalancer che, durante le ultime partite ha già sfiorato un paio di volte i 100Mbit (limite hw della scheda di rete).

Ora il limite è imposto solo dal cavo che porta la connettività al nostro switch. Limite che però è superabile portando un fibra o, al limite, un altro cat5 da mettere in trunk con quello che c’è già.

La soluzione Direct-Routing ha il problema che i pacchetti che arrivano ed escono dal server devono apparire sono associati al VIP. Non si può banalmente creare un ip alias sulla scheda di rete perchè risponderebbe agli arp-request cerando di rubare il VIP al load balancer.

Una delle soluzioni adottate richiede una patch al kernel per definire un interfaccia non-arp (l’opzione noarp in ifconfig/ip storicamente viene ignorata dal kernel 2.2). Per i kernel 2.6 ci sono un paio di sysctl che possono funzionare a tale scopo, ho trovato un post di un tizio che ha configurato i server con:
net.ipv4.conf.lo.arp_ignore = 1
net.ipv4.conf.lo.arp_announce = 2
net.ipv4.conf.all.arp_ignore = 1
net.ipv4.conf.all.arp_announce = 2

Ma la soluzione *geniale* è quella di usare un REDIRECT di iptables per far accettare il pacchetto senza avere il VIP definito:
iptables -t nat -A PREROUTING -p tcp -d <VIP> --dport <vport> -j REDIRECT --to-port <vport>

Soluzione spiegata per benino nell’HOWTO. Peccato che quando l’avevo letto io no c’era e mi ricordavo che l’unica possibilità fosse la patch per il kernel… fa’ sempre bene andarsi a rileggere la documentazione :-)

Stamattina ho ritirato la smartcard di potecert.

Dopo i primi test e la consulenza online di qualcuno più esperto mi sono rassegnato all’idea che il lettore che ho faccia un po’ schifo. E’ supportato tramite il driver sorgente del costruttore da pcscd ma da un po’ di errori. Vedrò di procurarmente un altro supportato anche da openct.

In ogni caso pcscd non riconosce il modello della smartcard (opensc non riesce neanche ad estrarre l’ATR). Sulla smartcard. in piccolo, c’è scritto GEMGATE32K.

Già che c’ero ho fatto anche la richiesta per quella dell’agenzia delle entrate, tramite la quale oltretutto, è possibile specificare un indirizzo di posta elettronica qualunque.

Mattinata in IDC a cercare di cavare qualcosa dalle magagne di ZIO… non ho ancora capito perchè ora funziona *solo* con tutte 4 le CPU. In ogni caso, mentre il mio kernel regge per qualche giorno, la knoppix fa’ riavviare la macchina al primo “ls”. Boh.

Pomeriggio in parte dedicato ad ILS ggiornando uno zombie su baol:
fabio@baol:~/cvs-backup$ ./cvsd --version
cvsd 0.8b2 - a `cvs pserver' suid and chroot wrapper

Non era nemmeno pacchettizzato. Ho installato il paccketto di sid, facendo un po’ di modifiche all’installazione precedente per renderla più simile a quella fatta normalmente: cvs.linux.it è “debianizzato” :-)

(Su baol era anche morto inetd rendendo ftp2.linux.it irraggiungibile)