MonthNovember 2005

Penge I.

Ügyfélt berángatták a málnásba. Van egy saját Active Directoryja, benne saját Exchange organizáció. És van egy másik, worldwide Exchange 5.5 organizáció, ezen keresztül tartják a kapcsolatot a multi anya-, illetve leánycégekkel. Ebből a kettőből kell egyet gyúrni.
A projektnek lassan vége, de ez csak annyiból nyilvánul meg, hogy egyre idegesebb vagyok. A munka, az inkább szenved, mint halad.
Most például baromi hamar kellett volna egy blade szerver, de a tartalékhoz nem lehet hozzányúlni, mert… nna, ez egy külön történet. Nem lesz megíratlan.
Ügyfél valahonnan – szószerint a föld alól – beszerzett egy szervert. Hurrá. Kicsit zavaró, mondjuk, hogy mindkét emberünk, aki már csinált ilyen blade installálást, világvégi ügyfélnél szívja a nagy teszi dolgát. Ló nincs, menjél te, Joep.
Dataplex. (Az utóbbi időben kissé fel van túrva, csak nem a Google költözik ilyen nagy erőkkel?)
Őrök. Megálltam a fémdetektor előtt, kabátomban egy mozgó iroda. A táskámat átküldtem mellette, aztán némi gondolkodás után a kabátomat is le akartam venni.
– Azt ne vegye le – figyelmeztetett az őr.
– De tele van revolverrel meg bicskával! – reklamáltam.
– Akkor pakoljon ki mindent! – komorodott el.
Nem valami vicces fiúk. De megérdemlem, anno az első pár alkalommal rendszeresen megittam a kávéjukat. Úgy figyelmeztettek a kollégáim, hogy nem, az nem az ügyfeleknek szóló ingyen kávé. Szerintem meg megérdemelték, milyen marhaság már, hogy egy ilyen helyen, ahol az állandó neonfényben infomunkások robotolnak éjjel-nappal, nincs kávéautomata?
No, becsekkolás megvolt, a pengeszervert is megtaláltam. Kicsomagoltam. Azannya. Jól néz ki. Bedugtam, bekapcsoltam, jé, működik. Találtam ILO fütyit is, rácsatlakoztam. Usernév, jelszó,… hibás. Biztos elgépeltem, nézzük meg jobban azt a cetlit. (Minden bladen van egy azonosító cetli, a legfontosabb adatokkal.) Újabb próbák. Az ötödik sikertelen kísérlet után – amikor a jelszókérő ablak már jó félóra után resetelt – elkezdtem gondolkodni. Nézzük, más szerverekkel mi a helyzet. Pepita. Valamelyikkel ment a csatlakozás, valamelyikkel meg nem. Aztán kábelcsere után mindegyikkel ment, csak az újjal nem. (Basszus, hogy mindig szertehagyom a saját bejáratott ethernet kábeleimet.)
Sok-sok telefon, kiderült, hogy az ügyfél valami bemutató példányt talált – nyilván szénné volt konfigurálva. Kezdtem érezni a hisztéria kaparását ábrándos lelkemen. Önmagában a blade konfigurálás is mocsáros ismeretlen terület számomra, de egy szanaszét állított blade egyenesbehozása… durva. A jelszót sajnos senki nem tudta, de kolléga szerint ha hozzáférek a boot képernyőhöz, akkor átállíthatom. Ez jó hír, mert ez újabb tipusú blade, az ILO fütyin nemcsak RJ45 és soros port van, hanem monitorcsati és két USB port is. Apró szépséghiba, hogy USB billentyűzet harminc kilométeres körzetben szál se, egérrel meg nem tudom megnyomni az F9-et.
Ekkor jött egy leírás a hp-tól, hogy hogyan kell egy ilyen masinát széthekkelni. Komoly darab. A lényeg, hogy darabokra kell szedni a vasat és DIP kapcsolókkal matyizni. Utoljára 386-os alaplapon játszottam ilyet – viszont hatásos. A fizikai erő mindig győz.
De végre elértem az első ILO portját. Notebook ráment, virtual media bekonnektálódna – ha a volna ott nem volna. Error. Így viszont nem tudtam neki cédét tolni a pofájába. Véres hibakeresés, gépemen java 1.4.2, az elég, 128bit ssl engedélyezve, tűzfal kikapcs… miazapjakasza kellhet még neki? Nézzük, ha nem teszik neki szemből, mit szól, ha hátulról? Nemcsak fütyis ILO létezik, van ennek DHCP-s network ILO portja is. Ehhez csak meg kell találni a DHCP adatbázisban. Ami nem nagy ügy, a gép neve rajta van a névjegyen. Csakhogy ilyen nevű gép nincs az adatbázisban. Nyilván a fiúk a gépnevet is átállították. Elméletileg rá is lehetne hibázni, de ezeriksz bejegyzés közül kellene egyet eltalálni…
Újból hívtam a kollégát – és átváltottunk advanced üzemmódba. Azt mondta, hogy húzogassam ki-be a blade-t (amíg el nem sül?), kapcsolgassam ki-be, cseréljek újból hálókábelt, áldozzak kecskét keresztútnál. És a modern technika bevált, egyszercsak megjelent a virtual media, az első ILO portos csatlakozásnál.
Hurrá. Telepítő CD gyorsan bemountol, Windows2003 szerver felugrott, jöhettek a beállítások. Itt kell megemlékeznem a remote console java felületét megalkotó team tagjainak anyjáról. Mindkettőről. Rémes. Két egérkurzor van: egyik a virtuális gép konzolján, a másik a host gépen. Elméletileg a határvonalon kellene váltani. Gyakorlatban nemritkán a virtuális kép közepén átvált külső kurzorra, elérhetetlenné téve a fél képernyőt. Ideges egérrángatás után lehet csak rendbetenni a kurzorokat – pár percre. Még jó, hogy az ideges rángatás ekkor már nagyon ment.
Mint kollégától később megtudtam, ezt úgy hívják, hogy valami double cursor. Az a trükkje, hogy akkor is ilyen módban indul a konzol, ha nem ezt választom ki.
De legalább már van windows. Apró szépséghiba, hogy hálókártya driver, az nincs. Ha lenne a gépen floppy v. cédé meghajtó, ha lenne telepítő médiám, ha lenne USB kulcsom… ha-ha. Állítólag a két kollégának van valahol egy image fájlja, amelyiket bemountolva van egy könyvtár, amelyikben… a kulcsszó sajnos az, hogy valahol – tehát nem itt.
Viszont kolléga szerint el kell menni a hp oldalára, sitty-sutty két kattintás és már lent is van a driver. Átdugtam a gépem, hp.com, gépnév beír, windows2003 network driver kategória kiválaszt, 1.1 MB, le is tekert egyből. De hogyan fog ez átkerülni a blade-re? Ha lenne floppy lemezem… izé… És győzelem, a táskám egyik eldugott zsebébe valamikor beszorulhatott egy. Bedugtam a hős floppyt a notebookba, elég nehezen ment be, de a rendszergazda vagy okos vagy erős. Itt az utóbbi játszott, mert nem néztem meg és a floppy írásvédett volt. Megpróbáltam kiszedni, de beszorult. Megrántottam, remekül kijött – csak a vaslemez maradt bent a drive-ban. Volt egy floppy meghajtóm. Túrtam még a táskámban és megtaláltam a hős csipeszt is. Kihalásztam a fémcsúszkát, de aznap ennyi maradt az összes sikerélményem.
Majd holnap, lemezekkel, írható cédékkel. Kipihenten.
Jó. Új nap. Délutánra jön a kolléga bekötni, addigra már hálókepesnek kellett lennie. Ez már nem lehet nagy ügy, csak felrakok addig egy tetves drivert. Cuccot kimásoltam floppyra, floppyt bemountoltam, ql. Program elindult… és mi ez? Feltelepített egy virus throttle progit… és ennyi.
Visszamentem a hp oldalra, és tényleg, virus throttle a neve a driver szekcióban lévő cuccnak. Azt hittem, hogy csak egy hülye név, de nem, ez tényleg egy vírusgyötrő valami. Driver? Az, nincs.
Itt jutottam olyan hisztis állapotba, hogy elfelejtettem gondolkodni. Egy kicsit rugdostam Döncit, a páncélszekrényt, majd felhívtam kollégát, hogy miafrancért mondta, hogy ne hozzak smartsmartot és honnan a francból szerezte be anno a drivert. Nem tudta, de adott egy jó tippet – az egyik blade pont ilyen, nézzem meg rajta a hálókártya típusát, aztán irány a net.
Google. Kidobott egy találatot, driverguide. Hülye fejjel belementem a regisztrációs folyamatba (tizennéhány szájbanyomott form egymásután, mindenhol kötelező mezőkkel), amikor eszembe jutott, hogy itt már jártam egyszer. Kétszer. Szóval a nagy titok: a usernév _mindig_ driver2, a jelszó pedig all. Ne szopjatok a formmal, inkább hasítsatok be. Sajnálom driverguide srácok, értem én, hogy az ingyenes adatbázis üzemeltetéshez kell egy kis mellékes – de ez már túlmegy minden határon.
No, mindegy, a google adta linken ott fityegett a driver. Lejött, mint a vakolat. Kábel vissza a blade fütyijébe, a cucc floppyn keresztül átsuhant – aztán kiderült, hogy w2k driver a szentem, a telepítő elküldött a búsba.
Legszivesebben mentem is volna. Mindenesetre Alvint dúdolgattam, különösen az a sor ment nagyon, hogy ‘basszameg, basszameg‘.
Visszatéptem a netre, driverguide, keresés, vazze… semmilyen w2k3 driver nincs ehhez a kártyacsaládhoz.
Még egyszer benéztem a hp-hoz és véletlenul nem jól gépeltem be a blade nevét: ‘hp bl20p g3′ helyett azt írtam, hogy ‘hp bl20 g3′ – és egyből jött egy csomó driver link. Igaz, hálókártya nem volt köztük, de vérszemet, azt kaptam: rákerestem direktben a hálókártya típusára, ugyanazon az oldalon. És ott volt: w2k3 driver. Igaz, a vasak között nem volt felsorolva ez a konkrét blade, de kicsire nem adunk. A szokásos módon átjátszottam a virtuális floppyra, felment és győzelem. Délután fél kettő. Kettőre jött a kolléga és jópofizott, hogy mióta vakarhatom itt a hasamat. Vagy lentebb. Hiszen ma csak egy drivert kellett felraknom.
Nem akartam mondani neki, hogy pont csak annyi szabadidőm volt az érkezéséig, hogy lemossam a habot a szám széléről.

Kész katasztrófa

Tegnap egész nap BRS teszten voltam. Ez gyk. katasztrófa utáni visszaállítás teszt, időre. Kimegy egy talicska informatikus egy isten háta mögötti telephelyre(1) és megpróbálja lemezekről, szalagokról visszaállítani az éles rendszert. Izgalmas foglalkozás.
Először is megkérnék mindenkit, hogy az elkövetkező napokban finoman, nőiesen beszéljen velem, mert káromkodásból egy hónapra fel lettem töltve. Köszönöm.
Az én feladatom egy kulcsfontosságú Exchange szerver visszaállitása volt. Bármennyire szűk is ilyenkor az idő, szoktunk azért kísérletezni is. Most például kipróbáltuk, mennyire járható a /disasterrecovery kapcsolós visszaállítás, élesben. (Annak ellenére játszottunk vele, hogy van teljes mentésünk az Exchange szerverről.)
Na szóval, nyers szerver felugrott, particiók/könyvtárak beállítva, régi gép eltávolítva a tartományból, új gép beléptetve, jöhet a szerver telepítés. Next-next-nekemnepofázz-finish,… hűdegyors volt ez a telepítés. Nem is rakott fel semmit, csak egy dll-t. Újabb próba, most már le is nyitogatva a menüpontokat,… hát, azt mondja, hogy a prerekvizitek nem stimmelnek. És tényleg, teljesen kiment a fejemből, hogy az Asp.net és a Pop3 szervízek telepités után manuálba kerülnek. Elindítottam őket, de továbbra is hibaüzi jött, amikor ki akartam választani a kollaborációs komponenst. Jó, akkor szedjük le ezt az elb… izé, nyomorult telepítést. Nem jött le. Még a szerver csodálkozott a legjobban; azt mondta, hogy némá, milyen vicces, váratlanul nem tudom leszedni ezt a komponenst.
Jó. Újratelepítés. Sittysutty megvolt. Hoznám létre az adatbázisok könyvtárait, amikor látom, hogy teljesen össze vannak borzolva a partíciók. Visszanevezés közben jött a hidegzuhany: az E partíciót nem lehet átnevezni, mert az lett a system. Miaf? Ez még akkor is durva, ha tudjuk, hogy a system partíció az, amelyikről bootol a rendszer, a boot partíció pedig az, amelyiken a system van. És tényleg, az E particion ott figyelt a boot.ini. Hajjaj. Újratelepítés, de most még a szöveges setupnál töröltem mind a nyolc partíciót – így nem tudott hibázni a kedves. Ez a telepítés már teljesen olajozottan ment, öröm volt nézni. Nem volt egy felesleges mozdulatom sem. Illetve volt – egy beintés, amikor megint nem volt hajlandó települni az Exchange. Nagyítóval néztem át a prerekvizit listát, de minden klappolt, az utolsó szögig. Lassan már eljött az ideje abbahagyni a kísérletezést, de szerencsére a fájlszerver visszatöltés lefoglalta a szalagos egységet, tehát próbálkozhattam még egyszer. És ismét rámmosolygott a google power, egy link eréjéig.
Érdemes idézni:

I called Microsoft Product Support and their solution was to uninstall 2003 Server SP1, install Exchange, install Exchange SP1 then install 2003 Server SP1. This sounds far too shaky a solution for me and on my front-end servers I installed 2003 Server slipstreamed with SP1, so, since I’m the position to do it, I’m just reinstalling the servers from scratch without SP1 until I have Exchange installed.

Nos, erre nem számítottunk; nem volt nálunk külön Windows2003 szerver telepítő cédé, külön felrakható SP1-gyel. Odamentem a konzolhoz és megtippeltettem a kollégával, hogy vajon mit fogok most csinálni. Fogalmam sincs, honnan találta ki elsőre, hogy szervert fogok újratelepíteni. Amíg a bitek tepertek a vasra, nekiálltam leszedni az Internetről az Sp1-et. Aki netán elfelejtette volna: ez a dög 330 MB. Nem kicsit bonyolította a dolgot, hogy idén újítottunk: nem vittünk laptopot, desktopot; ehelyett az ügyfél unixosaitól kaptunk egy-egy Kanotix Linux live distro cédét. Erről tetszőleges vasat be tudtunk bootolni – volt egy csomó, egymásrahajigálva a sarokban – és rdesktop-pal már csűrtűnk is fel a szerverekre. Töredelmesen beismerem, az ikszre végződő nevű rendszerekben nem vagyok nagy spíler, így okozott némi nehézséget, az Sp1 terelgetése. Windowsban azt csináltam volna egy vinyó nélküli gépnél, hogy bemeppeltem volna K: meghajtóként a szerver valamelyik megosztását és arra töltöttem volna le böngészőből a stuffot. Ez itt nem jött össze. SMB-n tudtam ugyan kapcsolódni, de letöltéskor nem tudtam megadni ezt a kapcsolatot. Végül leszedtem a csomagot ramdiszkre (hálistennek volt bőven), onnan krusader-rel ment tovább a szerverre. (Sorry, MC-vel nem sikerült.) Mindenesetre, amíg a memóriába tőtikézte lefelé a fájlt, addig csak lábujjhegyen mertem közlekedni a szobában.
Közben felment a Windows2003 szerver is, Sp1 nélkül. Ránézésre egy csomó rendszerkomponenst nem ismert fel, driverek meg nem voltak, de úgy döntöttem, nem is kellenek. Ha száguldozni akarok egy autóval, akkor nincs szükségem karosszériára. Ugyan már kilométerekre kerültünk attól az elvtől, hogy a visszaállítandó rendszerhez minél hasonlóbbat állítsunk össze – de amikor a hasonlóságra törekedtünk, az nem jött be. Na, mindegy, a kasztni nélküli cucc beröffent. Ment rá az új install. És nem volt inkompatibilitásra utaló hibaüzenet az Exchange setup indításakor! Elégedett mosoly… de nem. Megjött ugyanaz a nyomoronc 0xC007003A(58) hiba.
Újabb varázslások következtek. De tényleg. A mosoly egyre görcsösebb lett az arcomon. Holnap ITIL vizsga. Közben nemhogy a mai tanulásnak, de a mai lefekvésnek is egyre biztosabban lőttek.(2)
Átnéztem a DNS-t és ott virított benne egy hasonló nevű gép. Ki a lilafaszom tette ezt bele? Nyess. De ettől sem javult meg semmi. Oké. Netdiag. Nagy büdös Kerberos hiba. WTF?! Aszongya nem tudja autentikálni a gépet – de névként a hasonló nevű hostot nevezte meg. Mivan? Valami derengeni kezdett, rátekertem a gépnév rovatra. Basszus. Az eredeti gép nevében szerepelt egy ‘0′ karakter. A nagy kapkodásban megszokásból magyar kiosztásúként használtam egy pillanatra a konzolbillentyűzetet, és nulla helyett a felsőfütyi karaktert tettem be. Az oprencer meg volt annyira intelligens, hogy sem ezt a karaktert, sem az utána következőket nem vette figyelembe. Esetleg figyelmeztetni? Ugyan már. A figyelmeztető csapat az összes aktivitását kiélte akkor, amikor a nem használatos desktop ikonokról volt szó – másra már nem maradt lendület.
Gép kilép/belép, közben átnevez, AD reset. De ettől sem jutottunk előre. Jobb híján rászálltam a Kerberos hibaüzenetre, de semmire sem jutottam vele. Pontosabban annyira, hogy csaltam és megkérdeztem az éles rendszeren dolgozó kollégát telefonon, hogy nézze már meg, az éles szerveren – mely játszásiból most ugye le volt bombázva – mit mond a netdiag. És azon is ott volt a Kerberos hiba.
Tehát ez rossz nyom.
Itt érkeztünk el egy döntési ponthoz. A felkészülési dokumentációk egyik része azt írta, hogy az Exchange /disasterrecovery előtt töltsünk vissza system state mentést. Másik része meg meg sem említette ezt a lépést. Nekem ez utóbbi tűnt logikusnak, hiszen arról szól a történet, hogy _csak_ adatmentés van – az Exchange paraméterek majd az AD-ból fognak visszajönni.
Ötlet híján csapást váltottunk: jöjjön az a system state. De majd csak másnap reggel.
Új nap, új remények. De hamar kiderült, hogy a világegyetemben minden változik, csak a szívás állandó. Akkora volt a hardver különbség a két gép között, hogy képtelenség volt rá visszatölteni a system state mentést.
Ekkor járt le az időm. Visszatértünk a jól bevált Exchange visszaállítási módszerre, hanyagolva az új utakat.
Kár érte, mert reméltem, hogy ennél a visszaállítási módszernél meg tudjuk kerülni az adatbázisonkénti hét órás konzisztencia ellenőrzést.

(1) Csak úgy megjegyzem, hogy ez egy nagyon nagy nevű cég direkt erre a célra felingerelt telephelyén zajlott. Nem csak mi használjuk ezt a szájtot, az ügyfelünkön kívül sokan mások is igénybe szokták venni. Pontosan tudom, hogy kik, ugyanis a nagynevű cég emberei csesztek bezárni a dokumentációs szekrényt. Pusztán unaloműzőként lehetőségem volt áttanulmányozni néhány nagy magyar cég informatikai rendszereinek a leírását.

(2) Yes; hajnal kettő lett belőle.

Lucky search

Ma éppen fejtágításon ültem. (Hogyan implementálta holland-francia anyacégünk az ITIL-t és mi változott legutóbb a folyamatkezelő programunkban…) Aztán csörgött a telefon, hogy leállt egy szerver az általunk támogatott egyik kórházban.
– Legalább a lélegeztetőgépek vannak rajta? – kérdeztem vissza.
– Majdnem – jött a tömör válasz – Gyerekosztály, diagnosztikai adatok.
Tartalékszerver, install cédék, irány a kórház. A helyszínen egy elgyötört Oracle szakértő fogadott. Hogy ilyet még nem látott és csak félnapos mentés van. És tényleg, ilyet még én sem láttam. A szerver látszólag működött, de ha bármilyen szervízt álltam neki piszkálni MMC konzolból, hosszas tökölődés után kiírt egy nem túl információgazdag szöveget (’Letelt az idő, kötsög!’) és ennyi. Eventlogban semmi üzenet. Annyit megtudtam,hogy tegnap volt egy áramszünet, a szünetmentes lekapcsolta a gépet, visszakapcsolták és azóta ez van. A szervízként futó Oracle alkalmazás elérhetetlen. Az összes többi szervízzel egyetemben.

Az első körben víruskereső megállít, a registry RUN kulcsa alatt megnéztem, milyen processzek indulnak, ezeket leállítottam, de semmi hatása sem volt. Átfutottam, vannak-e egyáltalán patchek a gépen – voltak. Na jó. Akkor még futok egy kört a neten, ha nincs semmi, akkor SP4 újrarakás, ha az sem segít, akkor gép újrahúzás. (Az ITIL egyik fontos momentuma, hogy incidens esetén amilyen gyorsan csak lehet, vissza kell állítani a szolgáltatást. Ha kell, workaround bedobásával. A probléma okának megkeresése már egy másik, hosszabb folyamat része. Nem is beszélve a kiküszöbölésről.) A dokkerek beletörődtek a fél napos adatvesztésbe, bár nem voltak boldogok.
Szerencsére volt egy event ID-m. Na nem az eventlogban, csak egy üzenőablakban. Irány az eventid.net – és már megint nem érhető el. Gyakorlatilag 1 hónapja áll. Van valakinek infója, mi történhetett a fiúkkal?
Oké, jöhet a Microsoft – pedig nem igazán kedvelem a support oldalt. Szvsz elég béna. Egy értékelhető találatot kaptam, de az is elég indifferensnek tűnt. Azt mondta, hogy ha .net alatt fejlesztettem egy szolgáltatást és rosszul használtam bizonyos függvényeket, akkor annak lehet ilyen üzenet a következménye – de csak annál a szolgáltatásnál. Megoldás: telepítsük a .net sp1-et. Isten látja lelkemet, nem szokásom dotnet alatt szolgáltatásokat fejleszteni. A szerveren sem volt fent még a runtime sem.
Maradt a google. Itt már több találatot kaptam – de ezek is falsnak tűntek. Egy csomó oldal MS programok hibáira utalt. (Úgy látszik, a fiúk is kedvelték rosszul használni azt a függvényt.:) Egyre kedvetlenebbül futottam át a találatokat, a harmadik lap után már ritkán szokott értékelhető infó akadni.
De nem most. Belefutottam egy fórumba, onnan pedig ebbe a linkbe. Bingó – legalábbis annak látszik.
Azt mondja, hogy amennyiben van fent egy APC 6.x verziójú UPC managerprogram, akkor az hajlamos arra, hogy áramkimaradás utáni újraindításkor megbolonduljon és rejtélyes hibákkal szórakoztassa a rendszergazdát. És tényleg – a gépen van egy APC progi és tényleg volt áramkimaradás okozta újraindítás. Sajnos a program verzióját nem tudtam megnézni, mert nevet és jelszót kért – az az ember, meg aki telepítette, már rég elment, meghalt, nemet változtatott és egyáltalán nem is létezett. (Ezt a kórházat nem túl régóta kezeljük, egy csomó gépet – köztük ezt is – igazából még át se vettünk.) De a hozzáállásból sejthető volt, hogy erre egyszer felraktak egy őskori változatot és a kutya sem foglalkozott azzal, hogy azóta az APC kiadott egy kritikus foltot. Azaz jó eséllyel 6.x lehet rajta.
Nosza, safe módban elindít, APC szolgáltatások disabled – és megette. Ez mindenképpen jó jel. Gép újraindít, oracle szolgáltatás megpöcköl – és indul, mint a versenymalac. Oracle szakértő rávetődik, tíz perc múlva boldogan közli, hogy van mentés, el lehet indítani az adatbázist. És tényleg. Minden működik rendesen.
Sikertörténet. József sír.

Ja, és hogy miért lucky? Mert egy farok voltam. Ha nem találom meg a cikket, nyomtam volna rá az SP4-et ész nélkül. Pedig egy safe módban történt újraindítás egyből megmutatta volna, hogy vagy driver vagy service a bűnös.

[Update]
GT szólt, hogy nála megy az eventid.net. Otthonról megnéztem, és tényleg, nekem is ment. Ma délután javult volna meg? És lám, a kisgonosz: a hibaüzenetnél a második találat rögtön meg is mondta a frankót.
Azért ilyenkor derül ki, mennyire megváltozott ez a szakma. Megakadsz, irány az eventid.net, a KB, a Google. Ha azok valamiért nincsenek, csak a szerencse ment meg a nagy szopástól.

Symantec tesztlabor II.

Tegnap Symantec tesztlaborban voltam, de mostanában annyira zsúfoltak a napjaim, hogy alig győzöm megírni az érdekesebb dolgokat.

Nos, voltam már ilyenen korábban, akkor meg is jegyeztem, hogy ide érdemes eljárni, mert jó a kaja és el lehet csípni egy-két jó mondatot. Sokkal többet nem, de ha választani lehet fél nap pofavizit és célzott kérdezgetés illetve fél nap internetböngészés között, néha nem árt a személyes kontaktust választani. Pláne, ha ennyire jók a szendvicsek.
Mondjuk a kajára ráfaragtam, írtam is, hogy tegnap volt a nagy csőledugás, reggel kilenc után már nem ehettem semmit. Viszont hallottam érdekes mondatokat, ezeket le is írom.

Három fő téma volt, ebből engem egyedül az SMS8200 termékismertető érdekelt. A másik két előadást nem ültem végig.

Rögtön az elején volt egy freudi elszólás. Az előadó éppen azt ecsetelte, hogyan evolválódtak levélszemeték:

Voltak a szöveges szpemmek, de ezek könyen felismerhetők voltak. Ezért egyes karaktereket megpróbáltunk… izé, megpróbáltak speciális karakterekre cserélni.

Mindentudó mosoly a közönség soraiban.

Egy kis marketing: a 12 USA carrier providerből 9 Symantec terméket használ gateway jellegű szűréseknél. Ez egy érdekes adat, mondaná Galla Miklós.

A whitelist egy meglepő alkalmazása: a Belügyminisztérium szpemszűrőjére fel kellett venni a trágár magyar szavakat – nehogymár akár a minősíthetetlen hangnemű feljelentések is elvesszenek. Kíváncsi lennék, hogy állnak pártjaink ehhez a témához. Vajh mit szűr a nemzeti konzultáció?

De lássuk a terméket. Ez egy laposvas, amelyikbe belegyömöszöltek egy gyors Dell PC-t, arra ráugrasztottak egy Linuxot és egy Brightmail alapú szpemszűrőt. Ránézésre nem egy nagy durranás. Oké, hogy minden elő van installálva, de egy ilyet elég hamar össze is lehet dobni. Az ördög a részletekben… mint mindig. A vason futó alkalmazás csak hasonlít a Brightmailre – egy-két aprósággal felturbózták.

Spam:

  • Sokkal több lehetőség került a szabálygenerátorba – tényleg bármit le lehet kezelni, akár egymásba ágyazott szabályokkal is.
  • Packet shaping: egyfajta sávszélesség-menedzsment. Spamindex szerint állítható a felhasználható sávszélesség.
  • Directory harvest és open relay elleni védelem. (Directory harvest: próbálgatásos címfelderítés.)

Vírus:

  • Zip of death(1) elleni védelem.
  • Attachment szűrés(!) Nekem itt kezdett el bizseregni az arcizmom: eddig csak és kizárólag ezért kellett üzemeltetnünk legnagyobb ügyfelünknél külön SMTP gatewayt és Brightmail szervert.

Network:

  • Layer3 szintű tűzfal. (Szvsz ipchains, GUI-val.:-)

Szóval elég csini masina. A szokásos tomcat-es webfelületen érhető el, de SSH-n be lehet hatolni az oprendszerbe is. (Adatok Mysql-ben, az MTA Sendmail – de ezt úgyis tudja mindenki, aki látott már Brightmailt.)

További kis színesek. Tudtuk-e, hogy a szpemszűrésnél az együgyű URL filter a szemét 70%-át fogja meg? Nem.

A Symantec durván 20000 mézesbödönt üzemeltet széles e világon. Minden tiszteletem mellett az a Mark Twain novella jutott eszembe, amelyikben a főhős annyira félt a villámoktól, hogy telepakolta villámhárítóval a házát. Aztán az első viharban az összes villám boldogan csapott a házába.

Észrevételek:

  • Ez már tesztlaborabb volt, mint a múltkori, amelyiken voltam. (Az volt a legelső.) Itt már láttunk kütyüt, volt demó. Nem vagyok nagyigényű, de ha valamit labornak hívnak, akkor legalább érezzük a füstszagot.
  • Lehetett gyakorolni az önuralmat és lelkipozicionálást. Miről is van szó? Az összes ilyen rendezvényen az embernek tudatosan kontrollálnia kell magát: ha jó az előadó, az ember hajlamos a nap végére belelkesedni és venni vagy tizet a termékből – de legalábbis hithű apostollá válni és később kollégáinak, szakmai vitában meggyőződéssel szajkózni a hallott érveket. Nos, nem… már hallgatás közben is rá kell ereszteni kritikus gondolkodásunkat a bejövő hanghullámokra – egyfajta mentális szpemszűrést kell végeznünk. És ez kiemelten érvényes a blogokra. Is.

(1) Zip of death: Csináljunk egy bazi nagy százgigás sparse fájlt; mondjuk csupa nullával. Ezt zippentsük be. Az eredmény nyilván egy nagyon kicsi fájl lesz; lesz benne egy fejléc és egy szám, hogy hány nullával lett felpumpálva. Ha megbuheráljuk a fejlécet, el lehet rejteni, hogy az eredeti fájl mekkora bazi nagy is tulajdonképpen. Na, ezt kell elküldenünk a havernak. Ha szerencsénk van, a tűzfaluk vírust is szűr. Megnézi a zip fájl fejlécét, méret alapján bejöhet. Nyilván megpróbálja a temp könyvtárba kitömöríteni… aztán egyszer csak azt veszi észre, hogy kilőtték alóla a vinyót és a memóriát.
Négylábas megadás.