Re: ipv6 use_tempaddr
sergio пишет: > > C ipv6 лучше всё-таки подумать, вы выставляете его напрямую в интернет > > без посредников и если не учесть каждый интерфейс в файрволе > > > Собственно это основной источник протечек > > Спасибо за беспокойство, я умею настраивать файрвол по адресам, > интерфейсы мне учитывать не к чему. Но как? Вы заранее знаете какой ipv6-адрес будет в том или ином месте (ещё и временный), и каждый прописываете в файрволе, и для ноутбука это проще чем интерфейс? А можно ваш конфиг для файровола посмотреть (префикс можете изменить, не суть)? -- Коротаев Руслан https://blog.kr.pp.ru
Re: ipv6 use_tempaddr
Eugene Berdnikov пишет: > > /etc/network/interfaces: > > > > iface dhcp inet dhcp > > pre-up /bin/ip link set $IFACE up > > post-down /bin/ip link set $IFACE down > > И зачем здесь скрипты, дублирующие функционал ifupdown? > > Причём дублирующие неправильно. То, что написано в pre-up, приводит > к тому, что скрипты в /etc/network/if-pre-up.d/ выполняются когда > интерфейс находится в состоянии "up", а они должны выполняться > в состоянии "down", потому каталог и имеет такое название. > > А то, что написано в post-down вообще бессмысленно, так как выполняется > уже ПОСЛЕ того, как интерфейс перешёл в состояние "down". То есть это > пустое действие, no-op. Да, вы правы, дублирование, эти две строчки можно удалить. Дабы не забыть про up/down для интерфейса, я для себя оставил эти строчки как заглушку, на случай если сменю дефолтный dhcp-клиент, на что-то другое типа dhcpcd (под дефолтным имею в виду тот клиент который ставит инсталлятор). -- Коротаев Руслан https://blog.kr.pp.ru
Re: ipv6 use_tempaddr
sergio пишет: > Что значит "дефолтный интерфейс"? Который был изначально при установке системы, то есть во время установки системы, инсталлятор (обычно используется netinst) сам конфигурирует и настраивает интерфейс. Можете назвать его первичным или автоконфигурируемым, как вам будет удобнее. > > Думаю что у вас настройки сбиваются, потому что вы назвали файл > > /etc/sysctl.d/ipv6_use_tempaddr.conf, попробуйте назвать его например > > 20_ipv6_use_tempaddr.conf, дабы они выполнялись первыми и не > > перезаписывались настройками по умолчанию. > > Ещё раз: после перезагрузки я вижу цифру 2 в соответствующем файле > sysfs, указанном в ipv6_use_tempaddr.conf. Что значит "сбиваются"? Это связано с systemd он обрабатывает последовательно исходя из имени файла и может переопределять параметры заданные ранее (подробнее здесь [1]). Я рекомендовал поставить поставить число в начале имени файла, это решило проблему? [1]: https://wiki.archlinux.org/index.php/Sysctl > > если у вас ноутбук и вы подключаетесь к интернету в разных местах, то > > лучше не задавать настройки для всех интерфейсов автоматически. > > Почему? > > > В целях безопасности, надежнее будет контролировать настройки каждого > > интерфейса в момент подключения и отключения. > > Эээ, в целях безопасности я даже и думать не хочу какие ещё на моём > ноутбуке могут вдруг появиться интерфейсы, НО я абсолютно уверен, что > все они должны быть с use_tempaddr=2. C ipv6 лучше всё-таки подумать, вы выставляете его напрямую в интернет без посредников и если не учесть каждый интерфейс в файрволе, то все сервисы, базы данных которые у вас на рабочем ноутбуке могут легко утечь наружу при малейшей ошибке в настройках. Собственно это основной источник протечек, разработчик использует известную базу данных с паролем по умолчанию (или даже без пароля) она торчит в интернете на стандартном порту и никак не защищена, временный ipv6-адрес вам никак в этом не поможет. -- Коротаев Руслан https://blog.kr.pp.ru
Re: ipv6 use_tempaddr
sergio пишет: > Хочу динамический IPv6 адрес. > > По этому поводу я написал "net.ipv6.conf.all.use_tempaddr=2" в > "/etc/sysctl.d/ipv6_use_tempaddr.conf", перезагрузился, и на интерфейсе > появился этот самый tempaddr. > > Но вдруг (видимо после обновления) он пропал. В > "/proc/sys/net/ipv6/conf/all/use_tempaddr" "2", а адреса нет. Тогда, я в > этот "/etc/sysctl.d/ipv6_use_tempaddr.conf" дописал > "net.ipv6.conf.default.use_tempaddr=2", перезагрузился, в > "/proc/sys/net/ipv6/conf/default/use_tempaddr" стало "2", но адрес не > появился. И только когда я написал "net.ipv6.conf.eth0.use_tempaddr=2" > адрес вернулся. > > 1. Почему так? И как сделать как было? > > 2. Кто-нибудь может внятно объяснить чем "all" отличается от "default"? > > Debian buster 4.19.0-6-amd64 & sid 5.2.0-3-amd64 «all» применяет настройки ко всем интерфейсам включая дефолтные, «default» применяет настройки к будущим интерфейсам, например в случае подключения usb-модема [1]. Думаю что у вас настройки сбиваются, потому что вы назвали файл /etc/sysctl.d/ipv6_use_tempaddr.conf, попробуйте назвать его например 20_ipv6_use_tempaddr.conf, дабы они выполнялись первыми и не перезаписывались настройками по умолчанию. Так хорошо делать для сервера, но если у вас ноутбук и вы подключаетесь к интернету в разных местах, то лучше не задавать настройки для всех интерфейсов автоматически. В целях безопасности, надежнее будет контролировать настройки каждого интерфейса в момент подключения и отключения. Мне удобнее делать это через ifup/ifdown. Например мой /etc/network/interfaces: iface dhcp inet dhcp pre-up /bin/ip link set $IFACE up post-down /bin/ip link set $IFACE down iface pump inet manual pre-up /bin/ip link set $IFACE up pre-up /bin/systemctl start coredns.service pre-up /bin/echo "nameserver 127.0.0.1" > /etc/resolv.conf up /sbin/pump -i $IFACE --no-dns --no-resolvconf --no-ntp down /sbin/pump -i $IFACE --release post-down /bin/systemctl stop coredns.service post-down /bin/ip link set $IFACE down iface pump inet6 auto privext 2 Здесь две секции, «dhcp» если вы вдруг окажетесь во внутренней сети компании и для доступа ко внутренним ресурсам нужно пользоваться тамошним dns, и ручной «pump» для всего остального типа кафе (с помощью pump получаю ip-адрес и шлюз, а dns шифрую через coredns). Обратите внимание на inet6, это и есть динамический ipv6. [1] https://unix.stackexchange.com/questions/130796/what-is-the-difference-between-all-and-default-in-kernel-setting -- Коротаев Руслан https://blog.kr.pp.ru
Re: BCO System Cryptographic Plugin
artiom пишет: > КриптоПРО - отдельный пакет. > Токены к нему отношения не имеют. > Как минимум, на Linux я использовал RuToken и JaCarta. Да, я в курсе что рутокен можно использовать на linux. На портале какого банка вы смогли залогинтся используя только рутокен, без криптопро и прочих криптопровайдеров? -- Коротаев Руслан https://blog.kr.pp.ru smime.p7s Description: S/MIME cryptographic signature
Re: BCO System Cryptographic Plugin
Дмитрий Фёдоров пишет: > Нужно было думать об этом раньше, когда выбирали банк. > Банки с ДБО без винды и джавы существуют, подсказывать не буду. А может подскажите? Я в своё время пробовал разобраться с «отчественной криптографией» и ничего не понял. Там помимо токена, нужно покупать лицензию криптопро и без windows это нормально работать не будет. Как я понял, это криптопро постоянно что-то сканирует, куда-то посылает, оно пытается понять в каком окружении находится — виртуалка или реальное железо, от этого зависит тип лицензии. Короче, что-то как-то... Если хотите, можете написать названия банков в личку. Но если есть нормальный банк, который выдает сертификаты ДБО, которые можно загрузить в токен (рутокен или алладин), а токен в свою очередь можно подключить к firefox через PKCS#11 [1], то указать название такого банка в рассылке будет не реклама, а помощь всем людям, которые опасаются мошенников. [1]: https://developer.mozilla.org/en-US/docs/Mozilla/Add-ons/WebExtensions/API/pkcs11 -- Коротаев Руслан https://blog.kr.pp.ru smime.p7s Description: S/MIME cryptographic signature
Re: как уменьшить объем обновлений?
ivan kuznetsov пишет: > нужна конкретная информация об этом так как вне городов и пригородов > скорость может падать до нуля, и спутниковое оборудование дорого (или > рыбалка?). правильно я понимаю что дельты сурсов, рсинк и программа > пар могут помочь? не пора ли для этого организовать любительскую или > полноценную радиостанцию? тогда можно будет слать обновления на > приемники у пользователей и администраторов. пусть кто-нибудь > разберется с этим и напишет статью. заодно -- как обновлять с > наименьшим размером данных антивирусную базу? обычное обновление -- > целиком? Debian распространяется зеркалированием, но зеркало не обязательно должно быть в интернете. В качестве зеркала вы можете использовать официальный образ CD/DVD/BD плюс диск debian-update [1] для обновления до текущего выпуска. Например, если нет интернета, но есть обычная почта, то можно выслать Debian на дисках, потом расшарить диск и обновить все компы в локальной сети. Кстати, Ubuntu в своё время стал популярным за счет рассылки дисков почтой. Но у Ubuntu был только LiveCD, а Debian, насколько мне известно, единственный дистрибутив, полный репозиторий которого, можно распространять на дисках, для этого есть утилита jigdo [2]. Вот здесь [3] хорошая инструкция по-русски. [1]: https://www.debian.org/CD/faq/#update-cd [2]: https://www.debian.org/CD/faq/#why-jigdo [3]: https://alioth-archive.debian.org/releases/l10n-russian/jigdo-howto-ru/1.5a/debian-jigdo-mini-howto-ru-1.5a.html -- Коротаев Руслан https://blog.kr.pp.ru smime.p7s Description: S/MIME cryptographic signature
Re: Вопросы совместимости, wi-fi адаптеры
S.Kholodny пишет: > Debian 9.9 при установке на ПК не смог настроить сеть. ( Этот ПК подключался к > роутеру через wi-fi адаптер). Версии 9.8 стабильная, и подающая большие > надежды > относительно железа - buster(live) - устройство видят, определяют сети, но не > могут подключиться. > > Пробовал два устройства: устройство с единственной надписью DEXP и D-Link > DWA-125. > > Предложите хороший мануал для работы с драйверами в Debian. Обычно Debian через wifi не устанавливают (где-то в инструкции по установке есть замечание, что с wifi могут проблемы). Обычно устанавливают базовую систему, добавляют пакеты с драйверами для wifi и уже всё остальное как обычно через репозиторий. Я устанавливаю так: 1. Запускаю LiveCD, делаю разметку диска, устанавливаю загрузчик (во время установки, загрузчик устанавливать не надо, он может испортить записи в UEFI). 2. Смотрю что за сетевые карты и нужны ли драйвера (запустите lspci и/или lsusb и посмотрите что он выводит на тему Wireless и Ethernet). 3. Через установленный загрузчик запускаю netinst и устанавливаю базовую систему. 4. Загружаюсь в установленную систему, добавляю пакеты с драйверами, подключаюсь к сети и дальше как обычно. Думаю у вас всё в порядке с драйверами, раз LiveCD видит сети, но слышал что Gnome/KDE используют Network Manager, а он может конфликтовать со стандартным ifup/ifdown. Сначала настройте сеть через ifup/ifdown, а потом, если будет нужно, то переключитесь на Network Manager. -- Коротаев Руслан https://blog.kr.pp.ru smime.p7s Description: S/MIME cryptographic signature
Re: systemd ssh logout at reboot-restart
sergio пишет: > Спрошу иначе. Кто вылогинивает меня при ребуте системы на sysvinit, > обязан ли он это делать и от чего должен зависеть libpam-systemd что бы > это поведение не ломалось? > > > Самая большая проблема с systemd которую я наблюдаю --- это изменение > поведения. Говоришь halt --- хост не выключается, говоришь apt install > radvd --- radvd запущен, но только до первого ребута, говоришь reboot > --- sshd не вылогинивает... Попробуйте перезагрузился через shutdown, он в отличие от команд poweroff и reboot предполагает задать время выключения, рассылку сообщений. В любом случае это всё systemd, но просто с какими-то другими параметрами, так что может сработает, а может нет. Как альтернативу radvd, можно использовать systemd, он умеет раздавать префикс для IPv6 из коробки (через systemd.network). -- Коротаев Руслан https://blog.kr.pp.ru smime.p7s Description: S/MIME cryptographic signature
Re: debian sid codename
sergio пишет: > On 04/05/2019 11:24, Коротаев Руслан wrote: > > > Нужно установить sid > > Сам-то когда-нить его ставить пробовал? > > > % apt policy > Package files: > 100 /var/lib/dpkg/status > release a=now > 200 https://deb.debian.org/debian experimental/non-free amd64 Packages > release > o=Debian,a=experimental,n=experimental,l=Debian,c=non-free,b=amd64 > origin deb.debian.org > 200 https://deb.debian.org/debian experimental/contrib amd64 Packages > release > o=Debian,a=experimental,n=experimental,l=Debian,c=contrib,b=amd64 > origin deb.debian.org У меня почти такой же sources.list [1] на ноутбуке: deb http://deb.debian.org/debian unstable main deb http://deb.debian.org/debian-debug unstable-debug main deb http://deb.debian.org/debian-ports unstable main В чём вопрос? Почему lsb_release, hostnamectl показвают buster? Я ранее высылал вам ссылки на эту тему, могу процитировать: «Он (sid) никогда не будет выпущен, так как пакет сначала должен быть включён в testing, а позже в stable»; «Канонический ответ: Debian не имеет нестабильного выпуска. Вы можете только обновить систему до него со стабильного или тестируемого. Вы можете сделать это, отредактировав /etc/apt/sources.list и изменив источники репозиториев со стабильного на нестабильный». То есть unstable и experimental просто репозитории, у experimental вообще нет никакого имени. Debian распространяется зеркалированием, имена просто облегчают этот процесс. [1]: https://deb.debian.org/ -- Коротаев Руслан https://blog.kr.pp.ru smime.p7s Description: S/MIME cryptographic signature
Re: debian sid codename
sergio пишет: > А как на debian sid узнать, что он debian sid? > > % lsb_release -a > No LSB modules are available. > Distributor ID: Debian > Description: Debian GNU/Linux 10 (buster) > Release: 10 > Codename: buster > > % cat /etc/debian_version > 10.0 Нужно установить sid [1], но пред этим лучше узнать что означают названия stretch, buster и так далее [2]. [1]: https://wiki.debian.org/ru/DebianUnstable [2]: https://www.debian.org/doc/manuals/debian-faq/ch-ftparchives -- Коротаев Руслан https://blog.kr.pp.ru smime.p7s Description: S/MIME cryptographic signature
Re: buster: OpenSSL в initramfs
Alexander Galanin пишет: > Тут есть комический эффект. initramfs стараются сделать как можно меньше. > Именно для этого в него кладут оптимизированные по размеру klibc и busybox. > А вот он, спасибо за статистику, от релиза к релизу вырос на 80% без > видимого улучшения потребительских свойств. Есть ещё dracut [1]. Тема пришла из Fedora (Red Hat) и завязана на systemd (udev). Там идея какая, не запаковывать все драйвера в initramfs и выполнять там какие-то скрипты, а как можно скорее монтировать корень и передать ему управление. То есть initramfs на dracut должен быть меньше, там только минимум для монтирования корня и грузится должно быстрее, вроде как двойной инициализации устройств и сети не происходит. Однако, дебиан на dracut не переходит и мне кажется это из-за LiveCD. Сделать live-образ ВасяOS на дебиан и классическом initramfs гораздо проще, чем на Fedora (у них там какие-то spins и всё, шаг в сторону и начинаются трудности). Сам я не пробовал делать дебиан на dracut, знаю только в теории, но если пройдете это квест, то отпишитесь. > В /dev/mtdblock2 не влез - там всего пять мегабайт. А с максимальным > урезанием всех модулей всё равно меньше семи мегабайт сделать не получалось. Ядро и initramfs можно и по сети загрузить через iPXE [2]. Вот например товарищ сделал дистрибутив Slax [3], можно у него посмотреть настройки. [1]: https://en.wikipedia.org/wiki/Dracut_(software) [2]: http://ipxe.org/ [3]: https://www.slax.org/ -- Коротаев Руслан https://blog.kr.pp.ru smime.p7s Description: S/MIME cryptographic signature
Re: ЭЦП и RuToken
Grigory Fateyev пишет: > А есть вероятность запустить всё это хозяйство на Debian stretch? > Выпустил сертификат в виртуальной винде, оно встало криво, просят > физическую машину с виндой, а у меня таких просто нет. Вот дуиаю, > может на дебе проще будет? Присоединяюсь к вашему вопросу про Рутокен. Только у меня другая ситуация, мне нужно зарегистрировать онлайн-кассу (кто не в курсе что это, наберите в поиске «54-ФЗ»). В общем я столкнулся с российской криптографией, расскажу подробнее. Собственно регистрации онлайн-кассы в налоговой мало, кассу ещё нужно правильно прошить (фискализировать), процесс регистрации и прошивки между собой не связаны. Если это сделать не аккуратно (а я кассами никогда дела не имел), то можно получить штраф и испортить фискальный накопитель (минимум 7000 руб на ветер). Не беда подумал я, есть же специалисты которые мне помогут. Да, есть такие мастера, но для этого у меня должно быть ЭЦП, без этого они за работу не берутся. Я принцип работы ЭЦП понимаю (использую SSL-сертификат, S/MIME), но не понимаю что такое «российское ЭЦП». Я понял какую ЭЦП нужно купить, называется «ОФД», подходит для работы с ОФД и налоговой. Но так как подпись эта официальная и равна моей собственноручной, я же не могу отдать её мастеру на флешке или послать почтой вместе с открытым и закрытым ключом, как-то несекурно, нужен токен. Вопросы для тех, кто сталкивался с российской криптографией: 1. Что представляет ЭЦП в электронном виде, это стандартный контейнер .pfx [1], но только внутри сертификаты и закрытый ключ на базе российской криптографии? Или специфический русский контейнер, «черный ящик». При покупке ЭЦП нужно что-то дополнительно указать? У них у всех один формат? 2. Какой токен, для ЭЦП подойдет? Рутокен Lite [2] подойдет? 3. Загрузить открытый и закрытый ключ в токен можно стандартными средствами [3] или нужен российский криптопровайдер (купить программу, купить лицензию, продлить лицензию… понятно, что всё это нормально работает только под Windows, но сейчас интересует только суть). 4. Какой криптопровайдер купить, их несколько? Они совместимы между собой? Контейнер нужно конвертировать из одного формата в другой? [1]: https://ru.wikipedia.org/wiki/PKCS12 [2]: https://www.rutoken.ru/products/all/rutoken-lite/ [3]: https://dev.rutoken.ru/pages/viewpage.action?pageId=4227146 -- Коротаев Руслан https://blog.kr.pp.ru smime.p7s Description: S/MIME cryptographic signature
Re: отключить программно всё что крутится
fuf пишет: > Теперь бы двинуться дальше в увеличении автономности. Скажите,можно ли > отключить программно всё что крутится (жёсткий и СД привод) записав > Debian на usb, SC, or SD? Скорость не важна, программы только > Яндекс-карты и Firefox. Главное даже не экономия аккумулятора, а > бережение жёсткого диска от тряски и наклонов. > Спасибо. Лучше обесточить диск, чтобы наверняка: udisksctl power-off -b /dev/sdX -- Коротаев Руслан https://blog.kr.pp.ru smime.p7s Description: S/MIME cryptographic signature
Re: mail dups
Alexander Galanin пишет: > Не надо мне рассказывать, что такое пайп. > > Для такого случая есть sieve-filter из пакета dovecot-sieve. Берёт > письмо на stdin и укладывает в Maildir. Хм.. там по зависимостям сервер идёт (dovecot-core), вы уверены что его ставить не надо? Достаточно вытащить sieve-filter из пакета и всё? У сервера сокет-активация портов 143 и 993 как для IPv4, так и для IPv6. Все IP-адреса которые есть на машине, автоматически становятся доступны по этим портам (в случае с IPv6 доступны всему интернету). Несколько избыточно для обычной сортировки, причем debian предупреждает [1] что sieve-filter штука экспериментальная. [1]: https://manpages.debian.org/stretch/dovecot-sieve/sieve-filter.1.en.html -- Коротаев Руслан https://blog.kr.pp.ru smime.p7s Description: S/MIME cryptographic signature
Re: mail dups
Alexander Galanin пишет: > В репозитории есть sieve-connect. Скачать-загрузить текст sieve-правил > позволяет. А что ещё нужно для скриптов? Под скриптами я имел ввиду обычный конвейер [1], подать письмо утилите на стандартный ввод, а она его обработает и выведет либо в файл, либо на стандартный вывод. Кажется sieve-connect то что нужно, спасибо, попробую. https://ru.wikipedia.org/wiki/Конвейер_(Unix) -- Коротаев Руслан https://blog.kr.pp.ru smime.p7s Description: S/MIME cryptographic signature
Re: mail dups
Artem Chuprina пишет: > Стандарта на эту тему вообще не будет. В массовом использовании будет > не IMAP, а веб-интерфейс, провайдеро-специфичный. Либо > провайдеро-специфичный же клиент, который тоже веб-, но в потрохах. Да, я тоже думаю к этому идет. Мне например IMAP не нужен, предпочитаю получить почту через API Amazon по HTTPS (отправить её можно также, необязательно SMTP), так гораздо безопаснее и сложнее заблокировать на уровне протоколов и портов. -- Коротаев Руслан https://blog.kr.pp.ru smime.p7s Description: S/MIME cryptographic signature
Re: mail dups
Eugene Berdnikov пишет: > Кстати, простым юзерам на imap-е (для которых sieve и был придуман) > нужна поддержка со стороны сервера, а также sieve-клиент, который > сможет юзеру изобразить менюшку для того расширения. Ведь не будет же > простой юзер программу на sieve писать и отлаживать, скобки-кавычки > пересчитывать. Ему готовую менюшку подай. Иначе рыдать будет он, а не > я. :) А sieve-клиент который можно использовать в скриптах есть (без GUI, например так [1])? На sieve.info ссылки на консольные клиенты не рабочие, в репозитории только плагины и дополнения к серверам. Я использую procmail для доставки почты с Amazon SES [2], я бы попробовал sieve, раз уж он будет стандартом, но у него нет хорошей реализации в виде консольной утилиты или я плохо искал. [1]: https://gist.github.com/rkorotaev/91e5ff67caa23a1af1e12888a0b89eab [2]: https://blog.kr.pp.ru/post/2018-10-07/ -- Коротаев Руслан https://blog.kr.pp.ru smime.p7s Description: S/MIME cryptographic signature
Re: Таймают dhclient для ipv6 не работает
Orange Pi пишет: > Таймают для isc-dhcp-client из /etc/dhcp/dhclient.conf (timeout 30; > retry 60;) не работает для IPV6. При загрузке системы, если dhclient > не может получить настройки ipv6 адреса, он не отдает управление по > таймауту, а продолжает попытки получения адреса. В итоге срабатывает > таймаут systemd на networking.service, из-за этого не поднимаются > остальные сетевые интерфейсы. Есть какое-нибудь решение? А вы IPv6-адреса раздаете через DHCPv6? Если да (и это домашняя сеть или небольшая контора), то напрасно, DHCP для IPv6 не требуется, он нужен только для передачи специальных параметров. IPv6-адреса отлично раздаются по NDP [1] — роутеры анонсируют префикс (используйте systemd.network или radvd), а хосты сами настраиваются через SLAAC, никаких дополнительных программ им не нужно. Только проверьте файрвол, чтобы ICMPv6 не был заблокирован. Если это сервер или ваш провайдер выдает вам префикс через DHCP, например так [2], то скорее всего неправильно указан DUID, некоторые провайдеры требуют специального идентификатора, нужно его уточнить. [1]: https://youtu.be/A3LFt7CHpgs [2]: https://documentation.online.net/en/dedicated-server/network/ipv6/prefix -- Коротаев Руслан https://blog.kr.pp.ru smime.p7s Description: S/MIME cryptographic signature
Re: hidden ports
D. H. пишет: > Собственно два вопроса: > 1) Как бы вычислить процесс? sudo lsof -Pni | egrep "(UDP|LISTEN)" > 2) А как оно вообще так получается? Потому что подобных процессов > обнаружилось несколько: > > tcp 0 0 0.0.0.0:370510.0.0.0:* LISTEN - > tcp6 0 0 :::40841 :::* LISTEN - > udp 0 0 0.0.0.0:592820.0.0.0:* - > udp6 0 0 :::39044 :::* - Подозреваю это из-за systemd, я пока не нашел удобного инструмента (возможно плохо искал) для поиска портов которые прослушивают юниты systemd. -- Коротаев Руслан https://blog.kr.pp.ru smime.p7s Description: S/MIME cryptographic signature
Re: LXC vs Docker и форматы контейнеров
Oleksandr Gavenko пишет: > > * Есть ли локальные запускалки контейнеров, альтернативные Docker? > > > Разработка rkt остановилась (https://news.ycombinator.com/item?id=17496877): > > > Yes, they announced at the Red Hat summit that they'll be phasing out > > development of rkt, though of course will do nothing to stop outside > > development > > Т.е. напугали Docker Inc и умерли. > > Как дела с cri-o (It is a lightweight alternative to using Docker as the > runtime for kubernetes) пока не ясно. К этому ещё можно добавить systemd-nspawn [1], если позапускть локально, без кластеров, то самое оно. Поттеринг [2] частенько приезжает продвигать эту тему. [1]: https://blog.selectel.ru/systemd-i-kontejnery-znakomstvo-s-systemd-nspawn/ [2]: https://it-events.com/events/9745/materials/2306 -- Коротаев Руслан https://blog.kr.pp.ru smime.p7s Description: S/MIME cryptographic signature
Re: Доступ к медиатеке
Victor Wagner пишет: > Каналий-посредников можно ограничить ролью канальных провайдеров. И > доверять им не данные, а только передачу шифрованных пакетов. Если данные зашифрованы, почему бы не доверить им хранение. Главное организовать безопасную передачу ключей и параметров доступа. > Когда-то давно, примерно с 2001 до 2015 у меня домашняя машина была > доступна из интернета. И в случае срабатывания intrusion detection > последоватлельность действий была > 1. Отключить сетевой кабель > 2. Загрузиться с rescue cd > 3. Разбираться. Вы же в курсе, что те, у кого есть физический доступ к вашей домашней машине могут сделать тоже самое. А что делать тем, кому вы лично дали доступ к вашим данным? Ждать пока вы разберетесь, тогда это трудно назвать качественным сервисом. -- Коротаев Руслан https://blog.kr.pp.ru smime.p7s Description: S/MIME cryptographic signature
Re: Доступ к медиатеке
Igor Savluk пишет: > Да разворачивать php просто не охота :) PHP разворачивать не нужно если вы будете устанавливать Nextcloud через snap-пакет, это такой специальный контейнер придуманный Canonical для Ubuntu (для debian он тоже доступен). В snap всё идет в комплекте и PHP, и JS, и всё что нужно (в инете много статей про snap). > Про minio знаю и пока его и использую. Просто инетесно а почему именно S3 > для важных данных? Я думал очень важные данные нужно хранить на флешках под > подушкой а не у дяди удаленного в облаке. А как дать (убрать) безопасный доступ к данным на флешке под подушкой? Как безопасно хранить данные на флешке? Если шифровать, то как безопасно хранить ключи? Допустим, вы знаете как хранить ключевой материал, а как насчет того кому вы даете доступ? Вы уверены, что он придерживается таких же стандартов информационной безопасности как и вы? Под подушкой хорошо хранить то, что используете только вы, а если вы хотите организовать взаимодействие с другими людьми, без посредников не обойтись. Вернее можно обойтись, но сложность организации взаимодействия, перекроет все выгоды от использования ваших данных. -- Коротаев Руслан https://blog.kr.pp.ru smime.p7s Description: S/MIME cryptographic signature
Re: Доступ к медиатеке
Igor Savluk пишет: > А есть подобная вещь но не на PHP? Я сам использую Minio-сервер [1] для неважных данных (расшарить через веб-итерфейс корзину, дать ссылку на скачивание), так как у него нет управления пользователями. Точнее, оно особо и ненужно это же хранилище. Там есть Pre-Signed URL, просто не все пользователи понимают как это работает. Minio написан на Go Для важных данных рекомендую Amazon S3 с шифрованием на стороне сервера, там для доступа используются политики IAM, их можно сделать очень гибкими. Кстати, если вы будете устанавливать Nextcloud по умолчанию, вам PHP-файлы править не придется, там большинство функций реализовано через веб-интерфейс. [1]: https://blog.kr.pp.ru/post/2017-07-25/ -- Коротаев Руслан https://blog.kr.pp.ru smime.p7s Description: S/MIME cryptographic signature
Re: Доступ к медиатеке
artiom пишет: > Требуется организовать доступ к медиатеке, позволяющий нескольким > пользователям переименовывать, удалять и, главное, добавлять файлы. > > Медиатеку показываю, используя Emby, но с добавлением там всё плохо, а о > полноценном управлении, как файловой структурой, и говорить нечего. > > При этом, условие такого, что пользователи авторизуются через LDAP. > > Один из вариантов был - использовать файловые менеджеры в > докер-контейнере, типа sprut.io, но с LDAP там всё плохо. > Ещё один вариант, который я серьёзно рассматривал - использовать sshfs и > системный pam-ldap модуль. Но встали вопросы: как не дать пользователю > выполнять команды и ограничить просмотр дерева не выше того каталога, в > котором хранится медиатека? > > Есть какие-то варианты того, как эту задачу решают белые люди? > Что посоветуете? > И по pam-ldap вопросы тоже актуальны. Попробуйте Nextcloud [1], легко устанавливается через snap (через докер тоже можно), есть LDAP, есть мобильные клиенты, можно даже видео смотреть через браузер и музыку слушать. [1]: https://ru.wikipedia.org/wiki/Nextcloud -- Коротаев Руслан https://blog.kr.pp.ru smime.p7s Description: S/MIME cryptographic signature
Re: Файловая система для для Debian
В сообщении от [Вт 2018-09-25 11:36 +0600] Сергей С. пишет: > Добрый день, всем! > Имеем СХД на базе HDD и несколько серверов, которые необходимо использовать > для > организации архивного хранилища. > Основные требования: > 1) Записывать необходимо небольшие порции данных очень много и очень часто > (изменений не будет). > 2) Объем хранимых данных может достигать 1-2 петабай (примерный прогноз). > 3) Доступ к любому сохраненному элементу не должен превышать 5-10 минут. > > Прошу совета в выборе файловой системы или возможно есть какое-то техническое > решение (не очень дорогое :). > Присматриваюсь к ScoutFS, но не уверен, что она подойдет. Если у вас уже есть СХД на HDD, то эта рекомендация наверное запоздала, но под эти параметры подходят стримеры [1], они сейчас довольно продвинутые их можно монтировать как файловую систему. Ещё можно попробовать облачные решения типа Amazon Glacier [2]. Вполне возможно что на ленте выйдет дешевле. [1]: https://ru.wikipedia.org/wiki/Стример [2]: https://ru.wikipedia.org/wiki/Amazon_Glacier -- Коротаев Руслан https://blog.kr.pp.ru smime.p7s Description: S/MIME cryptographic signature
Re: LDAP
В сообщении от [Вс 2018-04-15 16:31 +0300] Артём Н. <artio...@yandex.ru> пишет: > 1. Это вносит проблемы с безопасностью. > 2. "Нормальным людям" пока ещё далеко до этого: где я, и где IPv6? > > Я статью почитал, там какая-то сильно передовая маргинальщина: IPv6, > новый файрволл, TAYGA и NAS64. Если я с этим сейчас буду разбираться, > мои проекты встанут на год, и меня проклянут. В текущем варианте, я > просто хочу "чтобы работало", заниматься исследованиями новых сетевых > технологий, пока времени нет. Согласен, у вас выверенная, хорошо аргументированная позиция, здесь не поспоришь. > А, в смысле точка ему выдаёт IP? … ну, да, без IP-адреса интернет работать не может. Я сейчас ещё раз крепко подумал и решил — у вас действительно самый оптимальный, рабочий вариант. Он самодостаточен, что-либо менять, только портить. -- Коротаев Руслан https://blog.kr.pp.ru smime.p7s Description: S/MIME cryptographic signature
Re: LDAP
В сообщении от [Вс 2018-04-15 14:05 +0300] Артём Н. <artio...@yandex.ru> пишет: > Вот тут пока сложно: с IPv6 я только ознакомился, практически же не > работал с ним. Это существенно упрощает администрирование, если коротко, то при использовании IPv6 необходимости в NAT нет, все устройства будут иметь глобально маршрутизируемые адреса. > Да, белый IP уже есть, но для того, чтобы отличать VPS нужны доменные > имена. Я могу использовать динамический DNS и диспетчер на > nginx-proxy. Однако сейчас я пробрасываю порты. … если вы своим VPS будете раздавать IPv6-адреса, ничего пробрасывать не надо, берете любой бесплатный DNS-сервис (например dns.he.net) и присваиваете им доменные имена. То есть VPS с вашего NAS становятся доступны всему интернету, также как VPS какого-нибудь Амазона, нужно только защитить их файрволом. > В смысле? > Любой, знающий IP, считается "прошедшим аутентификацию"? > Не вариант. Не знающий IP, а получивший IP. Допустим, вы хотите дать своему знакомому доступ к как каталогу по NFS/FTP. Заводите на RADIUS-сервере учетную запись вашего знакомого (пароли могут хранится в виде хеша, а не открытым текстом) и говорите: «Подключайся к точке доступа с именем HomeShare». Далее он проходит, аутентификацию по сертификату и получает IP. Всё, с этого IP он напрямую получает доступ, ничего больше не требуется. -- Коротаев Руслан https://blog.kr.pp.ru smime.p7s Description: S/MIME cryptographic signature
Re: LDAP
В сообщении от [Сб 2018-04-14 23:00 +0300] Артём Н. <artio...@yandex.ru> пишет: > Хочу сделать так, чтобы все сервисы на NAS централизованно получали > данные о пользователях. Решил это реализовать через LDAP. Почитал. > Вроде, теоретически понятно, а практически как-то не очень, бьюсь с > LDAP уже немало. > > - Оправданно ли вообще использование LDAP в таком случае? Рекомендую RADIUS (FreeRADIUS есть в репозитории). Вы очень мало написали о сути проблемы, поэтому поделюсь своим решением, возможно оно и вам поможет. Проблема: дома есть NAS, на котором крутятся сервисы раздачи файлов и мультимедиа по разным протоколам. Для себя и домашних проблем нет, подключаемся и получаем к ним доступ. Но что если пришли гости и просят WiFi, вряд ли вы хотите чтобы они увидели что-то вроде «Жесть. Отжигаю в Турции». Очевидное решение: сделать на роутере два VLAN — домашний и гостевой, и защитить паролем. Однако, пароля будет недостаточно, когда вас не будет дома, бабушка наверняка их перепутает. Поэтому нужен RADIUS, он есть даже в самом дешевом китайском роутере. > - Как настроить его так, чтобы был TLS (в перспективе будет торчать > "наружу") с самоподписанным сертификатом? Да, аутентификация по сертификату есть, если вы купите у своего провайдера белый IP-адрес, то вам не нужны самоподписанные сертификаты, можно использовать Let's Encrypt и разместить RADIUS-сервер на VPS. Имея белый IP-адрес, вы можете подключить IPv6, например через NAT64 [1]. Вы уже не будете ограничены домашней сетью и сможете давать доступ к своим сервисам на различных VPS исходя из IPv6-адреса. В общем политика безопасности очень простая — получил IP-адрес (любой IPv4 и/или IPv6), значит прошел аутентификацию и можно давать доступ, дальше всё реализуем через файрвол. Если возможностей RADIUS-сервера будет не достаточно, то можно прикрутить к нему LDAP, но это скорее для крупных компаний, для дома это лишнее. [1]: https://blog.kr.pp.ru/post/2017-12-12/ -- Коротаев Руслан https://blog.kr.pp.ru smime.p7s Description: S/MIME cryptographic signature
Re: Почтовый клиент
В сообщении от [Чт 2018-03-29 11:34 +0300] Grigory Fateyev <gfb...@gmail.com> пишет: > Суть проблемы, не могу понять как работать с почтой, когда девайсов > больше одного! > > Когда был один PC, всё было просто, связка: procmail, fetchmail, exim > и claws-mail устраивала. Почта по таймеру качалась в директорию > ~/Mail, procmail всё раскладывал по нужным дирам, было удобно. Сейчас > девайсов много и возникает вопрос как добиться удобства? > > Хочу: синхронизацию (в идеале хранить в одном месте), доступ и из > Debian и Android, интерфейс с возможность bottom-quoting и тому > подобное сейчас в gmail это дико бесит. > > Думаю почту надо хранить на gmail, ходить по imap. Пока рассматриваю > варианты с gnus (emacs) и claws-mail. Может кто подскажет кто как > решает эту проблему? Почта отличная штука [1], просто некоторые люди теряются от обилия возможностей, но если выработать индивидуальный подход, то инструмента лучше не найти. Мой подход === Завести несколько почтовых ящиков (лучше собственный сервер, а не публичные сервисы) под каждую сферу жизни. Например, ящик для рассылок (Mutt, POP3), персональный ящик (Веб-интерфейс Nextcloud, IMAP), ящик для получения счетов и объявлений о распродажах (почтовый клиент на смартфоне, IMAP/POP3) и так далее. При работе с каждым ящиком, придерживаться правила Inbox Zero [2]. Что не следует делать (хотя многим это нравится) === Иметь один почтовый ящик Gmail на все случаи жизни и раскладывать в нем письма по папкам. Так будет удобнее Google, один ящик --> одна учетная запись --> один идентификатор отслеживания. Дальше Google составит ваш пользовательский профиль, но никого искусственного интеллекта не потребуется, вы всё сделаете сами: аккуратно сортируйте письма по папкам (лучше с помощью фильтров и ярлыков [3]), имена папкам давайте ёмкие (лучше сразу на английском) чтобы они максимально соответствовали хранимым в ней письмам. Универсальных подходов нет, всё зависит от контекста. [1]: https://habrahabr.ru/company/pechkin/blog/271895/ [2]: https://habrahabr.ru/company/pechkin/blog/277809/ [3]: https://support.google.com/mail/topic/3394656?hl=ru -- Коротаев Руслан https://blog.kr.pp.ru smime.p7s Description: S/MIME cryptographic signature
Re: REUSE сокеты
В сообщении от [Чт 2018-03-22 11:18 +0300] Dmitry E. Oboukhov <un...@debian.org> пишет: > tcp_tw_recycle отпилили. и одной tcp_tw_reuse теперь недостаточно: > система захлебывается: > > apache отдает один и тот же html размером 1кБ (экспериментик) > nginx перед ним стоит и 50 запросов в секунду: начинает отдавать 504 > потому что nginx не может сконнектиться с апачем по 60+ сек. > > если просто заменить ядро на 4.9 с включенным tcp_tw_recycle, то все > ок и на нагрузке 300 запросов в секунду. У вас apache отдает обычную статику в nginx. А что если вместо apache и/или nginx поставить caddy и поиграться с таймаутами [1]. Я много слышал про горутины (caddy написан на Go), не уверен что это точно про ваш случай, но раз уж вы всё равно экспериментируете, то интересно посмотреть что получится. Для чистоты эксперимента желательно поставит новое ядро (4.13, 4.14) и оставить как есть, ничего не подкручивать. [1]: https://caddyserver.com/docs/timeouts -- Коротаев Руслан https://blog.kr.pp.ru smime.p7s Description: S/MIME cryptographic signature
Re: Java https сервер на умолчательном порту
В сообщении от [Сб 2018-03-03 23:03 +0300] Victor Wagner <vi...@wagner.pp.ru> пишет: > Если я правильно понимаю, то не вместе с init-скриптом, а вместо него, > что отличается от ситуации когда в пакете сервис-файл есть, и тогда > пользовательские файлы из /etc/systemd читаются вместе с системным > (пакетным) файлом .service и пользовательские настройки по определенному > алгоритму комбинируются с системными. Когда есть инит-скрипт, то вы можете заменить его пользовательским сервис-файлом. Да, то есть «вместо». Но нигде не написано, что нельзя комбинировать инит-скрипт и пользовательский сервис-файл, по аналогии с пакетным сервис-файлом и пользовательским (их тоже можно заменять полностью, а не комбинировать). Хотя я так не делал (всё-таки это разные подсистемы), мне казалось проще заменить инит-скрипт чем комбинировать, но вы можете попробовать и рассказать что получилось. -- Коротаев Руслан https://blog.kr.pp.ru smime.p7s Description: S/MIME cryptographic signature
Re: Java https сервер на умолчательном порту
В сообщении от [Сб 2018-03-03 19:21 +0300] Victor Wagner <vi...@wagner.pp.ru> пишет: > А вот интересно, если в пакете unit-файла нет, есть только > init.d-скрипт, но системой инциализации работает systemd, эти файлы > будут обрабатываться? Да, будут обрабатыватся в режиме совместимости, выглядит он также как юнит, например exim4.service. В таком режиме есть нюансы, о них можно подробно почитать в этой книге [1] на русском (главы «Преобразование SysV init-скрипта в systemd service-файл» и «Совместимость с SysV»). Также много литературы на импортном вот здесь [2]. Если коротко, то вместо init-скрипта, например foobar, создаете файл с таким же именем в /etc/systemd/system/foobar.service и будет запускаться он, а не init-скрипт. [1]: http://www2.kangran.su/~nnz/pub/s4a/s4a_latest.pdf [2]: https://www.freedesktop.org/wiki/Software/systemd/ -- Коротаев Руслан https://blog.kr.pp.ru smime.p7s Description: S/MIME cryptographic signature
Re: Java https сервер на умолчательном порту
В сообщении от [Пт 2018-03-02 12:24 +0300] Victor Wagner <v.wag...@postgrespro.ru> пишет: > Проблема в том. что хочется чтобы оно слушало на дефолтном порту для > https, т.е. 443. > > Для того, чтобы java-приложению дали прибиндиться к порту < 1024, надо > сделать > > sudo setcap CAP_NET_BIND_SERVICE=+eip /usr/bin/java > > Мне, в принципе не жалко, большой дыры в безопасности мне это не > создаст (тем более что машинка в интранете). Проблема в другом. > Через пару месяцев другой сотрудник, которому либо я забыл рассказать > про setcap, либо я рассказал, да он забыл, сделает на этой машинке > apt-get upgrade, и к нему приедет апгрейд OpenJDK. И при изменении > бинарника capabilities слетят. И jenkins перестанет запускаться. Коллеги в рассылке предлагали использовать прокси-сервер, а вашу программу оставить на непривилегированном порту. Хорошая мысль, там и TLS и различные политики можно прикрутить. А если использовать прокси централизовано, для всех сервисов компании, то про вашу программу никто не забудет при смене администратора (она будет прописана в конфигах). > Вопрос в том, а куда бы наиболее соответствующим политике дистрибутива > способом прописать скрипт, который будет делать этот вызов setcap, > чтобы быть уверенным что в момент запуска jenkins бинарник java будет > иметь требуемые capabilities? Если не возражаете против использования systemd для запуска программы, то добавьте в юнит такую строчку: [Service] … ExecStartPre=/sbin/setcap cap_net_bind_service=+ep /usr/local/bin/myprog … > (кстати из man setcap я не понял что произойдет с capabilities при > простой перезагрузке, без изменения бинарника - сбросятся они или нет? > Вроде у нас persistent state в linux не принят). При перезагрузке не сбросятся, а если заменить бинарник, то да, setcap нужно делать заново (или прописать в юните см. выше). -- Коротаев Руслан https://blog.kr.pp.ru smime.p7s Description: S/MIME cryptographic signature
Re: Backup
В сообщении от [Вт 2018-02-20 17:51 +0200] Dmitry Nezhevenko <d...@dion.org.ua> пишет: > А при чем тут minio? restic -- средство бэкапа, а minio -- просто > хранилище файлов. Не только, ещё есть клиент [1], можно легко перемещать данные между облаками, но нет шифрования и снапшотов как в restic. [1]: https://docs.minio.io/docs/minio-client-quickstart-guide -- Коротаев Руслан https://blog.kr.pp.ru smime.p7s Description: S/MIME cryptographic signature
Re: Backup
В сообщении от [Вт 2018-02-20 16:34 +0200] Dmitry Nezhevenko <d...@dion.org.ua> пишет: > Нет. Это не Page Cache. Память уходит на внутренние индексы restic и > растет с ростом репозитория. Грубо говоря что-то мелкое вродее Raspberry > Pi сейчас невозможно забэкапить на терабайтный репозиторий. > > Но планы починить это у авторов есть. > prune по умолчанию не использует кэш. Он чем-то похож на git repack > (пересоздает pack файлы, выкидывая оттуда ненужные blob-ы). Учитывая, что > весь индекс сейчас загружается в RAM, я не вижу, чем ему поможет кэш на > SSD. Ясно. Тогда остаюсь на Minio, хотел использовать restic для шифрования, но видимо придется подождать когда они всё допилят. -- Коротаев Руслан https://blog.kr.pp.ru smime.p7s Description: S/MIME cryptographic signature
Re: Backup
В сообщении от [Пн 2018-02-19 12:58 +0200] Dmitry Nezhevenko <d...@dion.org.ua> пишет: > Оно очень сильно кушает RAM на клиенте. При чем потребление > пропорционально общему размеру репозитория. Для моих 1.5TB данных это > около 4GB RAM при бэкапе. Спасибо, хороший обзор. Вопрос: а может это Page Cache? Посмотрите вывод команды free, если память потребляется за счет buff/cache, то всё в порядке. У меня на виртуалке крутится Minio (прога схожая по функциональности с restic и также написана Go), почти вся память уходит в Page Cache. > Ключи шифрования одни на все хосты (в общем случае любой хост может > прочитать бэкапы 'соседей'). Можно сделать репозиторий под каждый хост, но тогда теряются преимущества дедупликации. С точки зрения S3 и Minio, репозиторий это просто bucket, мне кажется здесь нужно найти компромисс между безопасностью и удобством. > Удаление ненужных бэкапов (точнее prune, освобождение места после них) > -- штука медленная... Восстановление с помощью 'restic restore' очень > медленное. На сайте restic сказано [1], что он хранит временные файлы и кэш в директориях по умолчанию, но их можно переназначить. Было бы интересно заменить их на SSD-диск и посмотреть насколько улучшилась производительность (конечно если у вас есть такая возможность). [1]: https://restic.readthedocs.io/en/stable/manual_rest.html -- Коротаев Руслан https://blog.kr.pp.ru smime.p7s Description: S/MIME cryptographic signature
Re: Backup
В сообщении от [Сб 2018-02-17 23:29 +0300] artiom <artio...@yandex.ru> пишет: > А вот про плеер возможно подробнее? > Я mpd хочу впилить. Обычный плеер [1] только в браузере. > Посмотрел про restic: выглядит интересно. Но почему-то я до сих пор о > ней не слышал. С ней есть какие-то проблемы? Я сам его нашел только вчера, но отзывы о нем хорошие, вот например известный сервис Backblaze его рекомендует [2]. > Почитал про Minio. Имеет ли смысл? Мне кажется, что в моём случае > NextCloud будет лучше? Пробуйте всё и выбирайте лучшее, для этого и нужны свободные программы. [1]: https://apps.nextcloud.com/apps/audioplayer [2]: https://www.backblaze.com/blog/backing-linux-backblaze-b2-duplicity-restic/ -- Коротаев Руслан https://blog.kr.pp.ru smime.p7s Description: S/MIME cryptographic signature
Re: выпил systemd и invoke-rc.d
В сообщении от [Вт 2017-10-24 13:12 +0300] Andrey Jr. Melnikov <temnota...@gmail.com> пишет: > Для меня - "не мешал" это: > - окно не имеет рамок в 100500+ пикселей (для слепых); > - окно не имеет title bar как такового (чего там пишут обычно нафиг не надо, > кнопочками - не пользуюсь); > - WM не рисует прибитый гвоздями task bar с "пуском", сотней кнопочек > открытых окон и шморгающих когда там что-то происходит. Xmonad. Он именно такой из коробки, сколько не пробовал другие WM всегда возвращался на Xmonad, причем именно в таком виде, без всяких конфигов на Хаскеле. Устанавливайте с флагом --no-install-recommends или возьмите бинарник из пакета, иначе прилетит всё вместе с исходниками. -- Коротаев Руслан https://blog.kr.pp.ru smime.p7s Description: S/MIME cryptographic signature
Настройка L2TP (Russia/Dual Access)
Приветствую! Мой провайдер выдает мне белый IP, через L2TP в моем роутере такой тип подключения называется L2TP (Dual Access), в других L2TP (Russia). Проблема в том, что я хочу вместо роутера использовать свой старый EeePC как сервер, и никак не могу подключится напрямую. Пытался делать по этой инструкции [1], но ничего не получилось, интерфейс ppp0 не поднялся. Я так понял, что L2TP сопровождает сторонняя фирма, во всяком случае пакет xl2tpd даже не упомянут в официальном мануале [2]. Если кто-то сталкивался с этой проблемой, то поделитесь решением. Может кто знает теорию: что вообще такое L2TP Russia/Dual Access, откуда оно появилось в наших краях, чем отличается от иностранного, как заграницей получают белый IP для дома? Буду признателен за любые ссылки. [1]: https://wiki.debian.org/ru/xl2tpd/Client [2]: https://www.debian.org/doc/manuals/debian-reference/ch05.en.html -- Коротаев Руслан https://blog.kr.pp.ru smime.p7s Description: S/MIME cryptographic signature
Re: Exim, DKIM, mailing lists
В сообщении от [Чт 2017-10-05 18:17 +0300] Иван Лох <l...@1917.com> пишет: > On Thu, Oct 05, 2017 at 01:33:31PM +0300, Andrey Jr. Melnikov wrote: > > > То, что менеджер почтовых рассылок модифицирует тему и тело письма ??? > > > совершенно нормально. Как, кстати, и то, что четко помечает рассылки ??? > > > тоже. > > Совершенно ненормально. Письмо может быть подписано/зашиврованно PGP. > > На то есть multipart/mixed У вас проблемы с DKIM, у меня выдает «invalid (public key: not available)». Возможно селектор другой. -- Коротаев Руслан https://blog.kr.pp.ru smime.p7s Description: S/MIME cryptographic signature
Re: exim и greylist (!DKIM)
В сообщении от [Вт 2017-10-03 11:33 +] Ivan Shmakov <i...@siamics.net> пишет: > 1. Был ли получатель заинтересован в получении этого письма? >Поскольку смысл борьбы с нежелательной корреспонденцией как >раз и состоит в том, чтобы /некоторые/ письма «пропадали» для >получателя. У вас проблемы с DKIM, у меня при проверке выдает «fail (message has been altered)», уже несколько писем таких было. Его или отключить или настроить, иначе ваши письма могут пропадать, если у получателей настроена строгая проверка DKIM. Не следил за дискуссией по этой теме, но вижу что есть слово DKIM, поэтому счел уместным об этом написать. -- Коротаев Руслан https://blog.kr.pp.ru smime.p7s Description: S/MIME cryptographic signature
Re: web gallery
В сообщении от [Сб 2017-07-22 15:46 +0300] sergio <mail...@sergio.spb.ru> пишет: > Посоветуйте, эмм, web gallery или клауд сторадж, хотя это никакой не клауд. > > Типа seafile или owncloud, только в браузере. > > Адаптивный дизайн обязателен, что бы с мобильного браузера всё было > отлично. И желательно не php. > > Из того, что я нашёл --- это minio.io и lychee.electerious.com (но он на > php, хотя и выглядит лучше minio) Minio отличная штука именно как объектное хранилище. Nextcloud тоже отличная штука, но как файловое хранилище. В Nextcloud плагины для просмотра фото и видео идут в комплекте. Можно добавить музыкальный плеер и много чего ещё. Nextcloud есть в Ubuntu Snap, его легко установить [1] в Debian 9, не заморачиваясь php это или нет. Между объектным хранилищем и файловым есть разница, так что здесь вопрос приоритетов. P.S.: В личку послал случайно, извиняюсь. [1]: https://blog.kr.pp.ru/post/2017-03-01/ -- Коротаев Руслан https://blog.kr.pp.ru smime.p7s Description: S/MIME cryptographic signature
Re: Альтернативы Fvwm?
В сообщении от [Вс 2017-06-25 14:33 +0300] Oleksandr Gavenko <gaven...@gmail.com> пишет: > Вроде как тайловость и все таже минималистичность будут даже "прогресом" над > текущим сетапом. Обратите внимание spectrwm [1]. Я перешел не него после xmonad, он вобрал в себя всё лучшее что было в xmonad и dwm. [1]: https://github.com/conformal/spectrwm -- Коротаев Руслан https://blog.kr.pp.ru smime.p7s Description: S/MIME cryptographic signature
Re: uefi + bios
В сообщении от [Пт 2017-05-26 17:37 +0300] Dmitry Kulagin <d...@ufp.appl.sci-nnov.ru> пишет: > В мой вариант почти всегда работает, ваш не работает на старых > компьютерах, bios которых не знает про gpt или работает с ошибками. > http://www.rodsbooks.com/gdisk/bios.html Да, вы правы, мой вариант [1] не будет работать с машинами старше 20 лет, но на таких машинах и современный дебиан не будет работать, так как сейчас в дебиане под i386 имеется в виду i686 [2]. Самая старая машина на которой я смог проверить свой вариант (Syslinux c флагом legacy_boot) был Eee PC 2G десятилетней давности. > Флешкой с Debian я пользуюсь не так часто, но флешкой с официальным > дистрибутивом Windows 7 pro x64 модифицированным для загрузки в uefi > режиме и добавленными в инсталлятор драйверами USB 3.0, и построенной > по той же схеме, я пользуюсь на много чаще и пока не встретил > компьютер не способный загрузиться в uefi режиме для них обеих. > Для стационарных дисков вы правы, но флешка, на мой взгляд, > является исключением из этого правила. Я давно не пользовался Windows, последний раз это был Windowx XP, но насколько я помню, его нельзя было установить на флешку и запускать на разных машинах, на каждую машину нужна лицензия и за неё нужно платить. Теперь Микрософт позволяет ставить Windows на флешку? То есть, если я куплю Windows 10 с квадратиками, то смогу записать на флешку и носить с собой? Не узнаю Микрософт, конечно слышал что он сейчас заигрывает с Open-source. [1]: https://lists.debian.org/debian-russian/2017/05/msg00557.html [2]: https://lists.debian.org/debian-devel/2015/09/msg00589.html -- Коротаев Руслан https://blog.kr.pp.ru smime.p7s Description: S/MIME cryptographic signature
Re: uefi + bios
В сообщении от [Пт 2017-05-26 14:27 +0300] Dmitry Kulagin <d...@ufp.appl.sci-nnov.ru> пишет: > Флешка переносной диск, как и cdrom, для них нет необходимости в gpt > разметке, достаточно создать первый mbr раздел и отформатировать его в > fat32, чтобы uefi с него загрузился. Нет, флешка и переносной диск отличаются от cdrom. Чтобы сделать загрузочный CD в UEFI-режиме, нужно прописать в нем загрузчик для UEFI, например так [1]. Да, можно оставить MBR в надежде на то, что прошивка UEFI на нужном компе поймет всё правильно (об этом всегда предупреждают [2]), но для универсальности, лучше придерживаться правила UEFI — GPT, BIOS — MBR. [1]: http://www.syslinux.org/wiki/index.php?title=Isohybrid [2]: http://help.ubuntu.ru/wiki/руководство_по_ubuntu_desktop_14_04/особенности_установки_на_платы_с_uefi -- Коротаев Руслан https://blog.kr.pp.ru smime.p7s Description: S/MIME cryptographic signature
Re: uefi + bios
В сообщении от [Чт 2017-05-25 20:43 +0300] sergio <mail...@sergio.spb.ru> пишет: > Хочу поставить grub-pc на раздел EF02, и grub-efi на EF00. > > Чтобы флешка грузилась на обоих типах машин. Я такую универсальную флешку делал через Syslinux. Чтобы в компе с BIOS грузилась LiveCD c Убунтой 32-бит, а с UEFI соответственно 64-бит. Каталог /home можно сделать общим и работать на любом оборудовании. > Но эти пакеты друг с другом конфликтуют. Раз пакеты с GRUB для UEFI и BIOS конфликтуют, то можно установить GRUB не из рабочей системы, а из LiveCD 32-бит. > Выход только один --- всё сделать руками? Да, но не много, если вы умеете делать загрузку через UEFI и BIOS по отдельности, то совместить их можно без проблем. Мой вариант такой, на флешку ставите GPT-разметку и делаете всё как обычно для UEFI (можно даже GRUB оставить который есть на LiveCD, полезно для машин с Secure Boot). А вот для того, чтобы грузилось через BIOS, нужно руками сделать две вещи: 1. В parted на загрузочный раздел установить флаг legacy_boot. 2. При установке Syslinux в начало диска записать gptmbr.bin (не mbr.bin). Дальше устанавливайте Syslinux как обычно для машин с BIOS. -- Коротаев Руслан https://blog.kr.pp.ru smime.p7s Description: S/MIME cryptographic signature
Re: lxde + fonts
В сообщении от [Сб 2017-05-06 22:37 +0700] Ivan Petrov <ip...@yandex.ru> пишет: > Создал нового пользователя через adduser > Захожу в его сессию через lxde. > В меню многие пункты квадратиками. > Что со шрифтами? > Искал в гугле - он пишет про шрифты в консоли. Но пункты меню это не > консоль. В LXDE есть программа LXAppearance [1] которая позволяет менять шрифт, темы оформления на GTK+. Очень похоже на то, что вы ищите. Выбирайте шрифты где есть кириллица, делайте их системными или кладите в каталог ~/.fonts [2]. [1]: https://packages.debian.org/jessie/x11/lxappearance [2]: http://help.ubuntu.ru/wiki/шрифты -- Коротаев Руслан https://blog.kr.pp.ru smime.p7s Description: S/MIME cryptographic signature
Re: Debian с LXDE: не подключиться к Wi-Fi (Was: Установка системы)
В сообщении от [Ср 2017-04-26 21:29 +0300] EyeLand <ournet@gmail.com> пишет: > Когда открываю Wicd отображает сообщение "Беспроводные сети не > найдены" если нажимаю на физическую кнопку WiFi ничего не происходит, > однако при установке системы нетбук подключился к WiFi для обновления, > просил пароль, я прописал его, при первом включений нетбука в Wicd > сети были видны, потом исчезли. Если при установке с официального LiveCD вы подключались к WiFi, значит проблем нет, драйвера свободные. В целом, последовательность действий такая: 1. Устанавливаем пакеты wireless-tools и wicd. 2. Поднимаем беспроводной интерфейс (обычно называется wlan0, проверьте, может быть ath0 или wifi0). ifconfig wlan0 up или по новому ip link set wlan0 up 3. Прописываем интерфейс (wlan0) в wicd. 4. Подключаемся. Примечание: если используете wicd, то не устанавливайте network-manager, они конфликтуют. -- Коротаев Руслан https://blog.kr.pp.ru smime.p7s Description: S/MIME cryptographic signature
Re: Установка системы
В сообщении от [Пн 2017-04-24 18:56 +0300] EyeLand <ournet@gmail.com> пишет: > Привет, установил систему http://cdimage.debian.org/debian-cd/current/i386/ > iso-cd/debian-8.7.1-i386-netinst.iso на ZOTAC ZBOX SD-ID13 [ZBOXSD-ID13-U], > процесс завершился полностью, но при запуске отображается черный экран со > знаком "_" и никак не реагирует экран, можете помочь? Спасибо. В вашем ZOTAC ZBOX SD-ID13 стоит Intel Atom D525 c архитектурой 64 бит, вам нужно debian-8.7.1-amd64-netinst.iso. Скорее всего у вас UEFI значит нужна GPT-разметка диска. Либо, если UEFI позволяет, то включить режим совместимости (может называтся Compatibility Support Module или Legacy) тогда можно всё делать по старому. Не забудьте отключить Secure Boot, у дебиана подписанный загрузчик появится только в следующем релизе. Если всё это вызывает сложности, то лучше пока установить Ubuntu (amd64) она уже заточена под такую установку. -- Коротаев Руслан https://blog.kr.pp.ru smime.p7s Description: S/MIME cryptographic signature
Re: Вечная тема: посоветуйте backup систему
В сообщении от [Пн 2017-03-27 20:29 +0700] Дмитрий Фёдоров <dm.fedo...@gmail.com> пишет: > Дано: > > * маленькая конторская локальная сеть; > * сервер для бэкапов: devuan/jessy, amd64, 4-х дисковое зеркало на mdadm; > * сервер - источник бэкапов: debian/squeeze (6.0.10), обновлять нельзя; > один каталог ~ 400 МБ + mysql ~ 50 МБ. > > mysql сейчас бэкапится automysqlbackup, но это не совсем то, что хочется... > > Хочу: > > * клиент-серверный инкрементальный бэкап, > желательно не создающий нагрузки записи на диск сервера - источника, > так как там SSD и хочется, чтобы он долго жил. > * желательно из имеющихся пакетов. > > apt-get search backup я делать умею, но: > > * там их много всяких; > * нужный пакет может не иметь в имени *backup*; > * мало ли чего эти пакеты обещают. > > Ваши советы, рекомендации, ссылки? Вот здесь хорошие советы по бэкапам на русском: https://wiki.archlinux.org/index.php/Backup_programs_(Русский) тоже самое, но более свежее на английском и сведено в таблицы: https://wiki.archlinux.org/index.php/Synchronization_and_backup_programs Я сам присматриваюсь к Syncthing, это не совсем бекап, это синхронизация по типу Dropbox. Прога очень шустрая и нагрузка на диск минимальна. Только не знаю как она ведет себя при бэкапе базы данных, если будете проверять, то отпишитесь как прошло. -- Коротаев Руслан https://blog.kr.pp.ru smime.p7s Description: S/MIME cryptographic signature
Re: Как предотвратить жёсткие зависания компьютера в ресурсоёмких играх?
В сообщении от [Ср 2017-03-22 14:00 +0300] Max Dmitrichenko <dmitr...@gmail.com> пишет: > Пройдите по ссылке ниже. Узнайте сначала что такое anonymous mapping, потом > file backed mapping, затем перейдите к вопросу What is thrashing? > > [1] https://landley.net/writing/memory-faq.txt Меня просто смутило: «Linux начинает выгружать из памяти код запущенных процессов. Сделать это он имеет право даже при отсутствие swap'а, т.к. копия этого кода есть на жестком диске и он всегда сможет подгрузить этот код». Я понял это так, не хватает памяти, почему бы не выгрузить рабочий процесс, например иксы. Теперь всё прояснилось — когда памяти не хватает, ядро начинает выделять память за счет страничного кэша (page cache). О страничном кэше можно почитать здесь [1]. [1]: https://habrahabr.ru/company/smart_soft/blog/228937/ -- Коротаев Руслан https://blog.kr.pp.ru smime.p7s Description: S/MIME cryptographic signature
Re: Как предотвратить жёсткие зависания компьютера в ресурсоёмких играх?
В сообщении от [Вт 2017-03-21 19:53 +0300] Max Dmitrichenko <dmitr...@gmail.com> пишет: > Проблема тут не в неисправном железе, не в приоритетах, не в шедулере и не в > подобных "твиках" системы. Происходит тут следущее. Пока есть доступная память > и swap, то ОС активно использует и то, и другое. Но в силу каких-то > особенностей игры, со временем её потребление памяти разрастается, и она > съедает всю доступную память+swap, и запрашивает ещё чуть памяти. Если бы игра > попросила сразу много памяти, то ОС вызвала бы OOM-killer и убила бы игрушку. > Но игрушка просит совсем чуть-чуть. В этот момент Linux начинает очень > странную > борьбу за память. Поскольку выгрузить данные какой-нибудь софтины в swap более > нельзя, Linux начинает выгружать из памяти код запущенных процессов. Сделать > это он имеет право даже при отсутствие swap'а, т.к. копия этого кода есть на > жестком диске и он всегда сможет подгрузить этот код. Дальше начинается > чертовщина, потому что выгруженные процессы начинают просыпаться, и линукс > обратно начинает загружать их с ЖД в память, процесс приобретает > лавинообразный > характер, так как процессы пробуждаются быстрее, чем ОС успевает их > подгружать. > > Весь этот процесс напоминает сцену из фильма "Собачье сердце": когда профессор > передвигался на двух стульях по затопленной квартире - чтобы сделать очередной > шаг, надо освободить первый стул, и переставить его вперед. > > Цейтнот и комп "виснет", так как, чтобы залогиниться и зайти с другой консоли, > нужно выполнить как минимум несколько процессов - подгрузить getty, запустить > процесс login, а потом shell - а все они выгружены из памяти. > > Как бороться? > 1) Увеличить swap. 2 Гб явно маловато. Общие рекомендации для > пользовательского > компьютера состоят в том, что своп должен быть в два раза больше чем объем > RAM. > Если вас останавливает то, что нужно для это переразбивать разделы, то можете > сделать два свопа - один в существующем разделе на 2 Гб, второй просто файлом > на ЖД в любой существующей файловой системе. Однако, если в игрухе течет > память, то это лишь отсрочит сценарий, описанный выше. > > 2) Ограничь игруху (или пользователя брата) в использовании памяти. Как только > она превысит лимит, то будет убита. > > > 20 марта 2017 г., 20:47 пользователь Зиганшин Руслан > <ziganshinrus...@gmail.com > > написал: > > Компьютеру почти 11 лет, мат. плата (socket 775, поддержка только > одноядерных процессоров и до 2 гб ddr2 ram) и процессор (pentium 4), как > самые дорогие детали, до сих пор не заменены. Может так зависнуть при игре > младшего брата в garrys mod, что переключение по ctrl+alt+f1 занимает > несколько минут, а потом из-за таймаута не удаётся войти в свою учётку > чтобы если не завершить зависший процесс, то хотя бы выполнить sudo > reboot. > Под своп выделено 2 гб на hdd. На апгрейд пока нет средств. Не знал что линукс может выгружать код запущенных процессов без свопа, киньте ссылку почитать про это. Однако, если такое происходит, тогда остается единственный вариант — загружать всё в память и работать только в ней. То есть вам нужно сделать LiveCD и загрузить его в память. Возьмите готовый [1] на базе например Xfce, там всё как обычно, только рутовый раздел запакован и сжат в Squashfs. Распакуйте, сделайте chroot, удалите офис (и всё что считаете лишним, так как у вас всего 2 ГБ), добавьте вашу игрушку и снова запакуйте. Теперь загружайтесь с параметром toram (загрузить в память). Но прежде чем заморачиваться с LiveCD, попробуйте отключить своп совсем и посмотреть что будет. У меня был комп AMD A4 2 ядра и 2 Гб оперативки я решил провести эксперимент с cgroups [2]. Ограничил браузер Chrome одним ядром и одним гигабайтом оперативки, но разрешил своп и начал открывать вкладки новостных сайтов, дабы создать нагрузку. В какой-то момент, он начал свопить, когда своп достиг примерно 25% от оперативки, зависло всё, так же как и у вас, зайти в консоль и вырубить его занимало несколько минут. Так что увеличение свопа не вариант, можно порекомендовать zRam [3], но у вас мало оперативки, если игрушка активно свопит, то это всё равно не поможет. [1]: https://www.debian.org/CD/live/index.ru.html [2]: https://www.kernel.org/doc/Documentation/cgroup-v1/memory.txt [3]: https://ru.wikipedia.org/wiki/ZRam -- Коротаев Руслан https://blog.kr.pp.ru smime.p7s Description: S/MIME cryptographic signature
Re: Ошибка в strongSwan
В сообщении от [Чт 2017-02-16 21:53 +0300] Alexander Pytlev <apyt...@tut.by> пишет: > > Ошибка возникает, на этапе подключения: > > # ipsec up rw > Правильно ошибка возникает, потому что ты командуеш серверу поднимать > соединение к клиенту rw Да, вы правы ipsec up … команда клиента, а не сервера, перепутал. Но теперь возникла другая проблема, точнее две. === IPv6 --- Я раздаю IPv6 адреса клиентам через туннель Hurricane Electric (HE), он дает подсеть /64 бесплатно, у клиентов будут американские IP, а значит будет доступ к Spotify, Pandora и прочим. Всё работает, но только если сайт резолвится строго по IPv6, либо если вручную указать типа wget -6. Если сайт резовится и по IPv4 и по IPv6, то браузер предпочитает IPv4. Гугл говорит что это из-за того, что линукс предпочитает сначала нативный IPv6, потом нативный IPv4 и только потом туннели. Всё это настраивается в /etc/gai.conf, мне нужно изменить приоритет, то есть если сайт резолвится по IPv6, значит он должен ходить через туннель, даже если по IPv4 ближе. У меня настроить gai.conf так и не получилось. === IPv4 --- На сервере я настроил файрвол как указано на сайте [1]: iptables -t nat -A POSTROUTING -s 10.0.3.0/24 -o eth0 -m policy --dir out --pol ipsec -j ACCEPT iptables -t nat -A POSTROUTING -s 10.0.3.0/24 -o eth0 -j MASQUERADE Однако, некоторые сайты всё равно не открываются. После этого в пакете остаются следы IPsec, какие-нибудь заголовки или данные? Может быть из-за этого пакеты теряются, или это я что-то неправильно настраиваю? [1]: https://wiki.strongswan.org/projects/strongswan/wiki/ForwardingAndSplitTunneling -- Коротаев Руслан https://blog.kr.pp.ru smime.p7s Description: S/MIME cryptographic signature
Re: Ошибка в strongSwan
В сообщении от [Чт 2017-02-16 10:17 +0300] Alexander Pytlev <apyt...@tut.by> пишет: > Если ты брал конфиги из примеров [*], то "conn home" есть только в > конфиге клиента. > Сервер - это moon в том примере. > > Конфиги в студию, тогда можно что либо предметно обсуждать. Прошу прощения, не указал где именно проблема. Воспроизвожу сценарий для сервера (moon) отсюда: https://www.strongswan.org/testing/testresults5dr/ikev2/rw-psk-fqdn/index.html Конфиги для данных файлов можно найти по ссылке выше: ipsec.conf ipsec.secrets strongswan.conf Параметры в /etc/sysctl.conf включил: sysctl net.ipv4.ip_forward=1 sysctl net.ipv6.conf.all.forwarding=1 Ошибка возникает, на этапе подключения: # ipsec up rw unable to resolve %any, initiate aborted tried to check-in and delete nonexisting IKE_SA establishing connection 'rw' failed У меня подозрение, что strongSwan стартует и пытается соединится, вместо того чтобы ожидать соединения от roadwarriors. P.S.: Могу дать доступ к тестовому серверу (напишите в личку), если есть возможность помочь на месте. -- Коротаев Руслан https://blog.kr.pp.ru smime.p7s Description: S/MIME cryptographic signature
Re: Ошибка в strongSwan
В сообщении от [Чт 2017-02-16 00:43 +0300] Alexander Pytlev <apyt...@tut.by> пишет: > connection 'home' - это конфиг клиента, который хочет подключится к > серверу. Нет, это ошибка на сервере при запуске демона. Вот свежая информация на эту тему [1], якобы такое возникает в Jessie, но я пробовал в CentOS 7, там тоже самое. Здесь нужна правильная настройка виртуальных IP-адресов. Он должен понять что right=%any, это смартфоны и планшеты (roadwarrior), их нужно резолвить и выдавать IP. [1]: https://wiki.strongswan.org/issues/1516 -- Коротаев Руслан https://blog.kr.pp.ru smime.p7s Description: S/MIME cryptographic signature
Ошибка в strongSwan
Приветствую! Пытаюсь сделать IPsec на базе strongSwan, чтобы смартфоны и планшеты нативно поддерживались. Делаю простой вариант, без сертификатов [1], но постоянно вылезает такая ошибка: unable to resolve %any, initiate aborted tried to check-in and delete nonexisting IKE_SA establishing connection 'home' failed Вылезает при любых настройках, хоть с сертификатом, хоть без. Вот здесь она описана [2], но ничего не помогает. Провайдер говорит что никаких UDP фильтров или закрытых портов у него нет, всё должно работать. Если кто-нибудь strongSwan настраивал, поделитесь правильным конфигом. [1]: https://www.strongswan.org/testing/testresults5dr/ikev2/rw-psk-fqdn/index.html [2]: https://wiki.strongswan.org/issues/440 -- Коротаев Руслан https://blog.kr.pp.ru smime.p7s Description: S/MIME cryptographic signature
Re: Проксирование WSS траффика на одном порту с HTTPS
В сообщении от [Чт 2017-01-05 23:12 +0300] Anatoly Molchanov <ykdo...@gmail.com> пишет: > На машине поднят websocket-сервер(WSS) на порту 9090 и https-сервер. > Чем можно реализовать посещение страницы по адресу https://domain.com > и подключение к веб-сокету по адресу wss://domain.com? Условное > проксирование по протоколу, видимо. Недавно была похожая задача, устанавливал Rocket.Chat, он работает через websocket на 3000 порту и нужно было завернуть его в https. Я для этого использовал веб-сервер caddy, но на сайте есть настройки [1] для apache и nginx. Можно взять их за основу и приспособить под вашу ситуацию. [1]: https://rocket.chat/docs/installation/manual-installation/configuring-ssl-reverse-proxy -- Коротаев Руслан https://blog.kr.pp.ru smime.p7s Description: S/MIME cryptographic signature
Re: chrome
В сообщении от [Чт 2016-11-03 12:25 +0700] Ivan Petrov <ip...@yandex.ru> пишет: > Никто не подскажет, почему у меня перестал работать Chromium? > Ни одна страница не загружается: aw, snap. > Полный снос и переустановка не помогла: > Debian Wheezy x64 Переходите на Jessie, не знаю как Chromium, но Chrome вроде уже давно объявил, что не будет поддерживать Wheezy [1]. [1]: https://www.opennet.ru/opennews/art.shtml?num=43421 -- Коротаев Руслан https://blog.kr.pp.ru smime.p7s Description: S/MIME cryptographic signature
Re: PKI self-service
В сообщении от [Чт 2016-09-15 12:53 +0300] Bogdan <bog...@gmail.com> пишет: > Доступные мне протоколы авторизации позволяют передавать только плейнтекст, > либо заведомо уязвимые хэши паролей (md5 или ntlm) поверх TLS-сессии. > Защищенность такой сессии зависит исключительно от корректности настройки > (принудительная проверка "моего" CA) на стороне клиента, который будет > выполнять настройки подключения сам. Honeypot и/или MitM технически просты и > достаточно вероятны в силу передачи данных по незащищенной и неконтролируемой > среде. Я хочу полностью отказаться от такого типа авторизации в сервисе и > перейти на авторизацию с использованием PKI. Вероятность успешного MitM/ > honeypot для веб-сайта раздающего сертификаты существенно меньше, чем для > целевого сервиса. Вы опасаетесь что с помощью MitM взломают TLS-сессию и поэтому хотите авторизацию по сертификату клиента. Это маловероятно, конечно такое решение надежно, но очень не удобно. Хотя если у вас клиенты технически подкованные, например хранят сертификат и ключ на смарткарте, то да, а так есть и другие варианты [1]. Кстати, вчера вы спрашивали насчет проверки отозванных сертификатов, оказывается есть простой вариант OCSP-сервера [2] (CRL считается устаревшим). Смысл такой, поднимаем OCSP-сервер например, http://ocsp.example.com, прописываем его в сертификате и браузер сам будет проверять отозванные сертификаты, детали здесь [3]. Причем OCSP-ответы не обязательно подписывать тем же ключом что и сертификат, можно выписать дополнительный сертификат специально для OCSP. То есть центр сертификации может (или должен) быть не подключенным к сети, а работу с OCSP можно доверить другой организации. Однако, это всё типовые решения, вам судя по всему они не подходят, у вас какой-то интересный сервис, если вы опишите общую архитектуру или поставленную задачу, тогда и ответы могут быть поточнее. [1]: https://habrahabr.ru/company/dataart/blog/262817/ [2]: http://backreference.org/2010/05/09/ocsp-verification-with-openssl/ [3]: https://jamielinux.com/docs/openssl-certificate-authority/online-certificate-status-protocol.html -- Коротаев Руслан https://blog.kr.pp.ru
Re: PKI self-service
В сообщении от [Ср 2016-09-14 11:55 +0300] Bogdan <bog...@gmail.com> пишет: > Ищу решение для самообслуживания: нужно дать возможность авторизованным > пользователям выпускать клиентские сертификаты и автоматически подписывать их > специальным отдельным CA-ключем. > > Авторизация пользователей - во LDAP. Очень желательно иметь автоматическое > управление CRL/OCSP (пользователь пропал из LDAP - все его сертификаты > автоматически отзываются) > > Как такой тип ПО вообще правильно называется, задача очевидная и должна иметь > ряд решений, но не могу задать правильный вопрос гуглу. Если вы спрашиваете про инструменты, то значит вы ещё не создали свой центр сертификации, тогда у гугла можно спросить: «Как создать собственный центр сертификации?» В самом простом случае это выглядит как-то так [1], ну а дальше смотреть как можно выдавать доверенности на выпуск сертификатов, работать с отозванными и какие инструменты использовать. [1]: http://help.ubuntu.ru/wiki/руководство_по_ubuntu_server/безопасность/certificates -- Коротаев Руслан https://blog.kr.pp.ru
Re: Установка debian новый ноутбук
В сообщении от [Пн 2016-09-12 10:42 +0300] Grigory Fateyev <gfb...@gmail.com> пишет: > вентилятор проца постоянно на максимуме, раздражает шум и по мелочи. У меня материнка от ASUS, раньше это решалось через fancontrol, но теперь sensors вентилятор не видит, ныне за это отвечает UEFI, там можно настроить обороты. https://wiki.archlinux.org/index.php/Fan_speed_control_(Русский) > Какие предпринять шаги, если не работает тачпад? https://lists.debian.org/debian-russian/2016/05/msg9.html > Как правильно настроить дискретную карту (иногда балуюсь с cuda)? https://wiki.debian.org/ru/GraphicsCard -- Коротаев Руслан https://blog.kr.pp.ru
Re: как получить список файлов на ftp-сервере
В сообщении от [Сб 2016-08-27 17:00 +0300] dimas <dimas...@ya.ru> пишет: > есть небольшой личный сайт, который переезжает на другой хостинг. в основном > там фотки, которые все есть у меня локально, так что качать 2.5 гига с одного > сервера, чтоб потом залить на другой - как-то нафиг надо, если проще те же > фотки прогнать тем же скриптом, который их обзовет как надо, создаст превьюшки > и html-страницы, да оно и быстрее. но местами есть и кой-какое другое полезное > файло. причем на некоторые файлы ничего не ссылается (например, лежит себе > пдф, > на который ссылка дана где-нибудь на форуме), так что какой-нибудь wget -R их > не увидит. > так вот, есть ли какой-то способ с помощью wget/curl/ftp/etc получить полное > дерево всех файлов на сервере, по типа локального "find /path/"? т.е. обойти > рекурсивно все каталоги и сделать dir/ls. По типу find: lftp -u user,password ftp.foo.com -e 'find /dir; bye' или ls -l: lftp -u user,password ftp.foo.com -e 'find --ls /dir; bye' -- Коротаев Руслан http://blog.kr.pp.ru
Re: тачпад
В сообщении от [Ср 2016-05-04 20:21 +0600] Дмитрий Фёдоров <dm.fedo...@gmail.com> пишет: > Я его не натсраивал и не копировал, а /etc/X11/xorg.conf.d/ у меня вообще нет. > Оно всё как-то из коробки работало. Некоторые DM типа KDE, GNOME перехватывают Synaptics и настраивать тачпад нужно внутри DM (скорее всего у них уже есть настройки «из коробки»). Однако, у вас IceWM и вы можете настроить тачпад через Synaptics напрямую. По умолчанию работают аппаратные кнопки и передвигается курсор, но клики (тапы) не работают, так как Synaptics не знает сколько пальцев и для чего вам потребуется. Поэтому если вы хотите настроить тачпад под себя, то создайте этот каталог и файл с настройками. -- Коротаев Руслан http://blog.kr.pp.ru
Re: тачпад
В сообщении от [Ср 2016-05-04 16:47 +0600] Дмитрий Фёдоров <dm.fedo...@gmail.com> пишет: > Всё работало, однако недавно после очередного обновления > тачпад перестал работать (двигать курсор мыши в WM). > То есть, в lightdm'овском логине курсор мыши тачпадом двигается, > а после логина - нет. > Кнопкит тачпада работают. > Воткнул мышу USB - всё работает, а тачпад не хочет. > Куда копать? Такое бывает, если настраивать тачпад в /usr/share/X11/xorg.conf.d/50-synaptics.conf (пакет xserver-xorg-input-synaptics), при обновлении он затирается настройками по умолчанию, нужно скопировать его /etc/X11/xorg.conf.d/synaptics.conf [1] и там уже делать настройки [2]. Обратите внимание на опцию CircularScrolling, она делает круговую прокрутку как в iPod Classic [3]. В своё время это было очень модно, жаль что их перестали выпускать. [1]: https://wiki.debian.org/SynapticsTouchpad [2]: https://wiki.archlinux.org/index.php/Touchpad_Synaptics_(Русский) [3]: https://ru.wikipedia.org/wiki/IPod_classic -- Коротаев Руслан http://blog.kr.pp.ru
Re: Как **надежно** сожранить данные?
В сообщении от [Чт 2016-03-24 13:11 +0200] Oleksandr Gavenko <gaven...@gmail.com> пишет: > В районе 2010 писалось что производители выпускают HDD с заведомо "битыми" > блоками. При текущей плотности записи этого не изсежать. Используются коды с > обнаружением/корекцией ошибок. Со временем диск деградирует и предусмотренна > даже "свободная" область, куда со временем перемещаются данные из ненадежных > областей. Когда область заканчивается контролер диска по SMART скажет что он > сдох. > > Не знаю на сколько это правда. Также не знаю кто происходит во флеше, но > парочку сдохших имею. > > Раз данные постоянно портяться на носиталях важно не только сохранить в бекапе > но и контролировать целостность. При создании таких бекапов нужно добавлять определенную избыточность на случай порчи носителя. Можно воспользоваться утилитой par2 (или pypar2 с графическим интерфейсом), она может гарантировать целостность в пределах избыточности которою вы задали. Есть ещё dvdisaster [1], тоже самое, только заточено под DVD. [1]: https://ru.wikipedia.org/wiki/Dvdisaster -- Коротаев Руслан http://blog.kr.pp.ru
Re: Вопрос по dpkg-deb и контрольную сумму пакета
В сообщении от [Вт 2016-03-08 00:45 +0300] Alexey Ermakov <axel...@gmail.com> пишет: > Хорошо, вопрос вобщем-то всплыл при создании собственного репозитория из своих > пакетов. > Реализована система сборки ПО, которая собирает программы и подготавливает deb > пакеты. После чего формируется репозиторий (или обновляется, елси он уже был > сформирован) и при обновлении этого репозитория возникают проблемы. > Пересобранный софт (даже если изменений в нём не было) при добавлении в репу > ругается на несоответствие md5sum. > Вполне возможно что система сборки реализована неправильно, где можно почитать > нормально реализовать систему сборки и формирования репозитория в debian? Это другая тема, очень широкая. Репозитории бывают разные, «сложные» с пинингом, пулом, компонентами, исходниками, архитектурами и «простые» с каталогом пакетов. Между сложными и простыми репозиториям, может быть несколько промежуточных решений и соответствующих им инструментов. Можно начать отсюда [1], выбрать нужные инструменты и уже по ним задать конкретный вопрос. Со сборкой тоже самое, есть «сложный» путь через Debian Policy [2], есть «простой». В любом случае, если пакет не собирается, то к репозиториям лучше не приступать. [1]: https://wiki.debian.org/HowToSetupADebianRepository [2]: https://www.debian.org/doc/debian-policy/ -- Коротаев Руслан http://blog.kr.pp.ru
Re: Вопрос по dpkg-deb и контрольную сумму пакета
В сообщении от [Пн 2016-03-07 13:36 +0300] Alexey Ermakov <axel...@gmail.com> пишет: > Собираю тестовый пакет, с какиь-либо содержимым. Пакет собирается нормально. > Но > при повторной сборке того же самого пакета с теми же самыми файлами его > контрольная сумма не совпадает с первым. > Видимо в файл пакета добавляется информация о времени сборки. Можно как либо > собирать пакеты с одинаковой контрольной суммой? Там не только время сборки, но ещё и локаль, часовой пояс и что-то ещё. У Debian есть проект по воспроизводимой сборке — Reproducible Builds [1], готового инструмента пока нет, но энтузиасты могут попробовать то что уже есть. Тема правильная, может быть [2] всякое [3], проверить не помешает. [1]: https://wiki.debian.org/ReproducibleBuilds [2]: https://www.opennet.ru/opennews/art.shtml?num=43597 [3]: https://www.opennet.ru/opennews/art.shtml?num=43915 -- Коротаев Руслан http://blog.kr.pp.ru
Re: debian 8: systemd: перестали собираться массивы при загрузке
В сообщении от [Пт 2016-01-29 12:33 +0200] Vasiliy P. Melnik <ba...@vpm.net.ua> пишет: > граб ставили на оба винта? > > что говорит cat /proc/mdstat ну и mdadm --detail --scan --verbose > > 26 января 2016 г., 14:48 пользователь Andrey Nikitin < > andrey.d.niki...@gmail.com> написал: > > Да, mdadm.service -> /dev/null, это нормально? > # systemctl start mdadm > mdadm.service is masked Маску с юнита в любом случае нужно снять, это не нормально: systemctl unmask mdadm.service и заодно включить юнит в автозапуск при загрузке: systemctl enable mdadm.service -- Коротаев Руслан http://blog.kr.pp.ru
Re: debian 8: systemd: перестали собираться массивы при загрузке
В сообщении от [Пт 2016-01-29 16:22 +0300] Andrey Nikitin <andrey.d.niki...@gmail.com> пишет: > Это с свежепереустановленной системы, где райды запускаются. > > $ ls -l /lib/systemd/system/mdadm* > -rw-r--r-- 1 root root 481 дек 28 17:59 > /lib/systemd/system/mdadm-grow-continue@.service > -rw-r--r-- 1 root root 141 дек 28 17:59 > /lib/systemd/system/mdadm-last-resort@.service > -rw-r--r-- 1 root root 176 дек 28 17:59 > /lib/systemd/system/mdadm-last-resort@.timer > lrwxrwxrwx 1 root root 9 дек 28 17:59 /lib/systemd/system/mdadm.service -> > /dev/null > lrwxrwxrwx 1 root root 9 дек 28 17:59 > /lib/systemd/system/mdadm-waitidle.service -> /dev/null > > $ sudo systemctl status mdadm > [sudo] password for nik: > ● mdadm.service >Loaded: masked (/dev/null) >Active: inactive (dead) > > Может бОльшая часть работы с райдами уже давно внутри "прозрачного" systemd? Вполне возможно, недавно читал статью в которой объяснялось как можно обойтись без /etc/fstab. То есть systemd монтирует разделы с помощью mount-юнитов, только они в этом случае временные и создаются с помощью systemd-fstab-generator, а можно это сделать и напрямую. В общем процесс идет, нам ещё предстоит множество открытий. -- Коротаев Руслан http://blog.kr.pp.ru
Re: anacron-понизить verbose level
В сообщении от [Сб 2016-01-09 12:52 +0200] Sohin Vyacheslav <in.s...@yandex.ua> пишет: > в каком файле можно понизить детализацию инфы (verbose level)? > > в /etc/apt/apt.conf.d/50unattended-upgrades и в /etc/cron.daily/apt не > обнаружил параметра verbose level... У меня stable и в /etc/cron.daily/apt есть verbose level равный нулю, возможно вы что-то делали с apt, попробуйте вернутся к настройкам по умолчанию. И вместо anacron у меня systemd-cron, может из-за этого настройки отличаются. -- Коротаев Руслан http://blog.kr.pp.ru
Re: Определение внешнего накопителя и безопасная остановка.
В сообщении от [Сб 2016-01-02 16:54 +0200] Oleksandr Gavenko <gaven...@gmail.com> пишет: > Для некоторых устройств (Kindle PaperWhite, Android phones) создаются > устройства хранения, но не создаются разделы. Попробуйте kpartx [1] > В то время как внешний диск c USB подключением от WD на eject только > размонтируется. Блины подолжают крутиться, индикатор работы рподолжает гореть. У меня тоже WD, я вначале размонтирую: udisksctl unmount -b /dev/sdXY потом даю команду: udisksctl power-off -b /dev/sdX Блины останавливаются, можно вытаскивать, но индикатор горит. Мне кажется это особенность WD, потому что если сделать тоже самое с флешкой, то индикатор гаснет. [1]: http://habrahabr.ru/post/127690/ -- Коротаев Руслан http://blog.kr.pp.ru
Re: efibootmgr
В сообщении от [Пт 2015-12-18 13:35 +0300] Dmitry E. Oboukhov <un...@debian.org> пишет: > refit не работает на новых ноутах > > там --edd версии 3 и refit не умеет его еще. > и кстати его забросили развивать уже года два как. Кстати, утилитой rEFIt занимается Roderick W. Smith у него я подсмотрел интересный приём. Когда не помогает rEFIt, Grub и прочие утилиты, что вполне может быть, производители железа с этим UEFI обращается по своему усмотрению. Однако, есть универсальная фишка — любой UEFI подхватит загрузку по этим путям (одно из двух): 'EFI/BOOT/bootarch.efi' или 'EFI/Microsoft/Boot/bootmgfw.efi' Удобно делать загрузочные флешки, я делаю через syslinux [1], нужно просто переименовать файл syslinux.efi в BOOTX64.EFI (если нужен Secure Boot, то лучше взять Ubuntu, подход тот же, только вместо Syslinux используется Grub, нужные файлы есть на любом LiveCD). Сделайте то же самое на вашем разделе ESP и вы в любом случае загрузитесь, можно использовать это как временное решение, например пока не обновите прошивку. [1]: http://www.rodsbooks.com/efi-bootloaders/installation.html#alternative-naming [2]: http://www.syslinux.org/wiki/index.php/Install#UEFI -- Коротаев Руслан http://blog.kr.pp.ru
Re: PXE
В сообщении от [Пт 2015-11-27 09:19 +0300] Alexander Um <gop.stop.tele...@gmail.com> пишет: > Подскажите, возможно ли реализовать следующее > > Есть сервер с pxe. (Debian 7) > С него загружаются тонкие клиенты (thinstation) > > Мне бы очень хотелось, чтобы можно было перенаправить с него загрузку на > другой > pxe сервер (например на WDS сервер) > (пункт меню добавить например) Смотря что вы используете, если dnsmasq, то через параметр dhcp-boot можно перенаправлять запросы на другой tftp-сервер, например: dhcp-boot=pxelinux,server.name,192.168.1.100 Таких записей может быть несколько, в dnsmasq каждой подсети можно присваивать тег и через него осуществлять балансировку между tftp-серверами. Однако, считается что dnsmasq подходит только для небольших сетей, зато он 3-в-1, DNS, TFTP, PXE. -- Коротаев Руслан http://blog.kr.pp.ru/
Re: PXE
В сообщении от [Пт 2015-11-27 11:16 +0300] Alexander Um <gop.stop.tele...@gmail.com> пишет: > Мне немного не так нужно. > Я на первом сервере делаю меню. > Последний пункт сделать "Загрузиться с другого сервера" > Выбираем его - и загружаемся с другого. > т.е. тут не в балансировке дело. Такое можно сделать средствами самого pxelinux. Вместо pxelinux.0 используйте lpxelinux.0 [1] тогда вы сможете скачать ядро и рамдиск через http/ftp (если я правильно понял задачу), конфиг такой: LABEL linux-http LINUX http://boot-server/boot/mykernel APPEND initrd=http://boot-server/boot/myinitrd [1]: http://www.syslinux.org/wiki/index.php/PXELINUX#HTTP_and_FTP -- Коротаев Руслан http://blog.kr.pp.ru/
Re: Выполнение привелигированых команд пользователем.
В сообщении от [Вс 2015-11-22 01:53 +0200] Oleksandr Gavenko <gaven...@gmail.com> пишет: > Для меня привычные команды: > > $ sudo halt > $ sudo pm-suspend > > Они требуют прав root. Но пользователь декстопа должен иметь право выполнять > эти операции! > > Как это сделано в популярных DE? В ~/.fvwm/config для себя я пропишу с sudo, > но выглядит как то некошерно... Для управления питанием от имени непривилегированного пользователя необходим polkit (установите пакет policykit-1). Если вы находитесь в локальной пользовательской сессии systemd-logind, и нет других активных сессий, приведенные ниже команды сработают и без привилегий суперпользователя. В противном случае (например, вследствие того, что другой пользователь вошел в систему в tty), systemd автоматически запросит у вас пароль суперпользователя [1]. Завершить работу и перезагрузить систему: $ systemctl reboot Завершить работу и выключить компьютер (с отключением питания): $ systemctl poweroff Перевести систему в ждущий режим: $ systemctl suspend Перевести систему в спящий режим: $ systemctl hibernate Перевести систему в режим гибридного сна (или suspend-to-both): $ systemctl hybrid-sleep [1]: https://wiki.archlinux.org/index.php/Systemd_(Русский) -- Коротаев Руслан http://blog.kr.pp.ru/
