Re: Хуки для wpa_supplicant
сб, 31 авг. 2024 г. в 02:32, Eugene Berdnikov : > Можно наскриптовать триггеры ручками, конечно. Но меня терзают смутные > подозрения, что задача решается какими-то штатными средствами. Чем не устроил network manager? Вполне себе полностью автоматически подключается к доступной сети и конфигурит сеть по dhcp на моих ноутах лет этак 6. Вот впн я туда недавно начал добавлять. -- Stanislav
Re: Используете ли вы антивирус и фаервол?
чт, 18 апр. 2024 г. в 02:24, Andrey Jr. Melnikov : > Victor Wagner wrote: > > То есть вариант "все в одном = свитч + роутер + точка доступа + > > почтовый сервер + торрентокачалка" из бананы не получился. > > хотя если точек доступа все равно нужно несколько, то такой вариант > > вполне приемлемый. > А зачем на банане почтовый сервер? Нет, ну на одного пользователя - может > быть. А на пяток - уже памяти маловато будет. С торрентами - та-же история, > там надо память, я уже не говорю про диск. Что вы ТАКОГО пихаете в почтовку? Тут 4к адресов в памяти 2ГБ занимает и то, из-за числа сессий к довекоту. На десяток-другой пользователей нечто с гигом памяти — вполне себе почтовка. Может даже с вебмордой, если не лень. -- Stanislav
Re: заставить ls работать в chroot
пт, 16 февр. 2024 г. в 09:14, Misha Ramendik : > Я хочу, чтобы в chroot /home/user исполнялось ls . Надо для древнючего netkit > ftpd, который одному товарищу хочется, потому как совместимо с живущим у него > старинным FTP клиентом - а vsftpd с ним отваливается постоянно. Оный netkit > ftpd по команде ls выполняет /bin/ls на машине, соответственно, если он > сделал chroot юзеру - то в chrooted environment и выполняет. Была аналогичная задача про rsync и scp в chroot Были положены следующие файлы: lib64/ld-linux-x86-64.so.2 lib/x86_64-linux-gnu/libacl.so.1 lib/x86_64-linux-gnu/libattr.so.1 lib/x86_64-linux-gnu/libc.so.6 lib/x86_64-linux-gnu/libnsl.so.1 lib/x86_64-linux-gnu/libnss_compat-2.19.so lib/x86_64-linux-gnu/libnss_files-2.19.so lib/x86_64-linux-gnu/libpopt.so.0 usr/bin/rssh usr/bin/rsync usr/bin/scp usr/lib/openssh/sftp-server usr/lib/rssh/rssh_chroot_helper Ну и на всякий случай: # ldd usr/bin/scp linux-vdso.so.1 (0x7ffdd4deb000) libc.so.6 => /lib/x86_64-linux-gnu/libc.so.6 (0x7fab20926000) /lib64/ld-linux-x86-64.so.2 (0x7fab20ee5000) Также созданы девайсы в чрутовом dev: null zero Ну и /dev/log прокидывался путём дополнительной строчки в конфиге rsyslog Домашнее задание: узнать, кто такой ld-linux.so :-) -- Stanislav
Re: Как узнать какой пакет предоставляет сервис DBus
23.03.2023, Victor Wagner написал(а): > По идее freedesktop.org и создавалась для того, чтобы обеспечить общие > для всех стандарты и интероперабельность между различными DE. Но эта > миссия была успешно провалена. В otpclient она была провалена дважды, судя по issue на github. В первый раз - при привязке к гному. Во второй раз - когда в гноме выкинули соответствующий вызов dbus. Судя по https://github.com/paolostivanin/OTPClient/issues/185, где выпилили скриншоты вообще - будет что-то cross-DE, но когда - непонятно. На мой взгляд, у дебиановского пакета баг - gnome-shell/gnome-screenshot в Recommends отсутствуют. Было бы понятно сразу. -- Stanislav
Re: Подключение к Debian из Windows 10. Как?
пт, 3 мар. 2023 г. в 01:57, Зиганшин Руслан : > На самом деле меня одинаково иитересуют подключение из винды в линукс и из > линукса в винду. Просто первое сейчас, а второе как-нибудь позже К windows из linux полноценно подключиться проще, чем наоборот - поставить какую-нибудь remmina на linux и включить rdp на windows. К линуксу несколько сложнее и основные варианты: - vnc (проблемы с буфером обмена и трафиком, звука не будет), - spice (использовал только для подключения к вм, звук есть), - xrdp (не использовал, где грабли разложены не в курсе), - протокол X11 (запускать софтину на линуксе, показывать окно на винде, работает, но виндовый X-сервер тормоз, звука не будет), - производные протокола X11 (использовал freenx от NoMachine лет 10 назад и сейчас x2go, оба не из коробки, оба используют сжатие видео, оба умеют звук (тут без сжатия)) Кто из них позволит поиграть с ускорителем - не в курсе, мне требовался сервер рабочих мест, позволяющий работать через узкий канал. Получил желаемое вначале с freenx, затем с x2go. -- Stanislav
Re: ghostscript Some Russian letters disappear in PDF
ср, 1 мар. 2023 г. в 12:30, Питерцев Эдуард Николаевич : > Прошу добавить исправление бага в ghostscript для debian 11 (версия > ghostscript 9.53.3~dfsg-7+deb11u2). > Надо всего 1 файлик подправить: devices/gxfcopy.c [...] > Прошу выпустить обновление ghostscript 9.53.3~dfsg-7+deb11u2 с учётом этого > файлика ghostscript 9.53.3~dfsg-7+deb11u2 1) это всё ж немного не по адресу - у пакета есть мантейнер, который сильно не факт, что читает данный список рассылки. 2) судя по https://tracker.debian.org/news/1420736/accepted-ghostscript-9533dfsg-7deb11u3-source-into-proposed-updates/ — уже всё ок и скоро закроются соответствующие баги. -- Stanislav
Re: nftables vs fail2ban
вт, 22 нояб. 2022 г. в 09:35, Victor Wagner : > > > интересно: это что, так сложно написать бот, который понимает, что > > > у пользователя на хосте авторизация по ключу и исключить > > > ip/username из своей базы по перебору паролей? Или ботоводы > > > надеются, что через пару минут я внезапно сменю авторизацию по > > > ключу на авторизацию по паролю? > > > > Со стороны клиента не видно, какая там авторизация по ssh. > > Точно так же, как не видно, какие пользователи есть на сервере. > > > > запустите ssh -v и увидите что клиенту видно, что нет. Запустил. Непосредственно перед приглашением ввести пароль после неудачных попыток авторизоваться ключом: debug1: Next authentication method: password После ввода пароля: debug1: Authentications that can continue: publickey,password Доступ руту с паролем запрещён (PermitRootLogin without-password), но это не видно со стороны клиента. Точно такое же поведение - при попытке зайти несуществующим пользователем. Вот именно под этим я и понимаю "не определить". То есть для конкретного юзера, а не общесистемно. Полностью перекрывать доступ по паролю представляется несколько чрезмерным - исключить возможность утери устройства с ключом без доступа к бекапу не могу. -- Stanislav
Re: nftables vs fail2ban
22.11.2022, li...@mail.ru написал(а): > 21.11.2022 23:48, Victor Wagner пишет: > >> Самая лучшая защита от брутфораса паролей это PasswordAuthentication no >> в /etc/sshd_config. Пользуйтесь только авторизацией по ключам и все >> будет хорошо. > > По моему опыту это лишь спасает от результативного брутфорса, но не от > постоянных попыток подобрать пароль ботами. Мне всегда было интересно: > это что, так сложно написать бот, который понимает, что у пользователя > на хосте авторизация по ключу и исключить ip/username из своей базы по > перебору паролей? Или ботоводы надеются, что через пару минут я внезапно > сменю авторизацию по ключу на авторизацию по паролю? Со стороны клиента не видно, какая там авторизация по ssh. Точно так же, как не видно, какие пользователи есть на сервере. -- Stanislav
Re: nftables vs fail2ban
21.11.2022, Maksim Dmitrichenko написал(а): > Беглый гугл выдает, что для реализации блокировки по перебору нужно ставить > fail2ban [1] или sshguard [2]. Даже если nftables. > > При этом красношапочный мануал говорит [3] о том, что nftables и сам готов > справится с этой задачей без дополнительных свистоперделок. > > В связи с чем вопрос: предлагают ли fail2ban или sshguard какую-то важную > дополнительную функциональность, или использование nftables вполне способно > самостоятельно решить эту задачу прекрасно и надежно? Блокировка через nftables отлично заблокирует вполне легитимный параллельный запуск чего-нибудь из скриптов. Это больше ограничение по флуду и неприменимо, если есть вариант, что потребуется запускать что-то типа for i in ...; do ssh $host "$command $i"; done fail2ban же проанализирует логи и забанит только тех, кто пытается подобрать пароль. -- Stanislav
Re: Какой ssh-пароль для рута при установке Debian bullseye на raspberry pi?
16.02.2022, Зиганшин Руслан написал(а): > Или там вход по ssh не от рута, а от pi? Но какой тогда пароль для pi? Или > raspberry pi в любом случае нужно сперва подключить к клавиатуре и > монитору, чтобы включить ssh? Там ssh по-умолчанию выключен. Как включить при первой загрузке - было в официальной документации, создать файлик в /boot, но имя и содержимое сейчас не вспомню. После первого входа - запустить конфигуратор и ВКЛЮЧИТЬ ssh, иначе не факт, что ssh будет запущен потом (у меня не был). -- Stanislav
Re: Что-то с памятью иксов сталось
21.08.2020, Alex Kicelew написал(а): > После перезагрузки 24.06 (предыдущая была 4.06, и все было все еще > нормально) иксы (процесс /usr/lib/xorg/Xorg) стали жрать память. За 3 > дня вполне равномерно и линейно съедаются 1.5г, что для моих 8г > существенно. При перезагрузке иксов (либо рестартом сервиса, либо HUP, в [...] > Соответственно, основной вопрос -- не сталкивался ли кто-нибудь с этим, > и не известно ли, каким урановым ломом это лечить. Не исключаю, что > лечить нужно меня, но опять-таки не знаю, как. Сталкивался, правда давно. Жралась память ресурсов, которые подгружались в иксы другим ПО. Попробуйте посмотреть утилитой xrestop из соответствующего пакета, кто чего и сколько жрёт в памяти ресурсов, может быть, будет понятнее. -- Stanislav
Re: Запуск гуевых приложений в контейнере
06.06.2020, Dmitry Alexandrov<321...@gmail.com> написал(а): Честно говоря, не в курсе, можно ли в контейнерах штатным образом запускать гуёвый софт с отображением его окон на локальных иксах без всяких ssh -X в контейнер >>> >>> Да, естественно, ибо с каких это пор Иксам стали требоваться всякие >>> костыли типа ssh для отрисовки окон на другой машине? Тут вы пишете "на другой машине" >> Ключевые слова - авторизация и шифрование. > > Шифрование трафика виртуальной сети на локалхосте? А авторизация в Иксах > есть, вы же сами про нее ниже пишете. А тут уже спрашиваете про локалхост. Что касается авторизации в иксах - её может и достаточно, но открывать ещё одну дырку для атаки по сети мне как-то не нравится, как и прикрывать её фиговым листочком файрволла. Ноут таскается не только дом-работа. >>> Единственное, я как-то так и не понял, работает ли это с link-local >>> адресами, которые fe80::/10. Кто понял, подскажите. >> >> А чем этот адрес от других ipv6 так сильно отличается > > Тем, что он обязан быть уникальным только в пределах сети второго уровня. А > отсюда какой-нибудь fe80::5054:ff:fed1:a17d — он по-хорошему > fe80::5054:ff:fed1:a17d%virbr0. Два одинаковых макадреса на одной и той же машине - не встречал пока что. Разве что, когда сам ставил. >>> Другое дело, что толку-то? Одних Иксов далеко не всякому гую достаточно. >>> Доступа к отрисовке на GPU Иксы же сами по себе не дают. >> >> Это совершенно другой вопрос - игры и игроподобные вещи > > Да что там игры! У нас даже GTK не прочь отрисовку на GPU заиметь. Хотя > GTK-то, конечно, без него обойдется, а вот, например, видеоплэйер уже нет. Хм... Вот тот же телеграм мне вполне себе показывал видео по ssh до виртуалки с хождением трафика через пару провайдеров. Да и vlc с mplayer ещё умеют вывод на x11. Да, трафик. Да, в полный экран тормозило. Но работало. Так что всё относительно. Совать в контейнер плеер неизвестного происхождения при наличии вполне себе устраивающего локального mpv/vlc - это извращение, по-моему. Впрочем, как и показывать декодированное видео за 7 хопов по обычному инету. >> Скорее, поставить права на .Xauthority (вероятно, через setfacl) + >> пробрасывать данный файл тоже > > Да по-хорошему токен не должен меняться против вашей воли, так можно его > просто и скопировать. Ну или так. Заодно забить на соответствие uid внутри и вне контейнера - файл доступен, сокет доступен, а что uid не соответствует - иксам пофиг, они вообще от рута запущены. -- Stanislav
Re: Запуск гуевых приложений в контейнере (was: Debian 7 и intel hd graphics 500)
03.06.2020, Dmitry Alexandrov<321...@gmail.com> написал(а): >> Честно говоря, не в курсе, можно ли в контейнерах штатным образом >> запускать гуёвый софт с отображением его окон на локальных иксах без >> всяких ssh -X в контейнер > > Да, естественно, ибо с каких это пор Иксам стали требоваться всякие костыли > типа ssh для отрисовки окон на другой машине? Ключевые слова - авторизация и шифрование. Ну и меньше геморроя - сравните манипуляции с опциями запуска иксов, потенциально открывающие дыру для всех + xhost и простой запуск ssh -X >> простым конфигурированием контейнера. > > Скорее уж хоста. А конкретно: > > 1. Включить ‘-listen tcp’ у Икс-сервера. Как — см. в документации экранного > диспетчера, который его собственно по-умолчанию и отключает. > > 2. разрешить к нужной инстанции доступ для нужного контейнера: > > $ xhost +inet:192.168.122.11 > $ xhost +inet6:fd34:fe56:7891:2f3a::11 Сразу нет, я как-то не готов давать доступ любому приложению без хотя бы XAUTH. > Единственное, я как-то так и не понял, работает ли это с link-local > адресами, которые fe80::/10. Кто понял, подскажите. А чем этот адрес от других ipv6 так сильно отличается в этом месте? По ssh ходить на него точно можно. > Другое дело, что толку-то? Одних Иксов далеко не всякому гую достаточно. > Доступа к отрисовке на GPU Иксы же сами по себе не дают. Это совершенно другой вопрос - игры и игроподобные вещи желательно вообще в отдельном компе, вероятно. > Кто знает, подскажите. Скорее, поставить права на .Xauthority (вероятно, через setfacl) + пробрасывать данный файл тоже вместе с установкой переменной окружения. -- Stanislav P.S. Ваше сообщение упало в спам почему-то.
Re: Debian 7 и intel hd graphics 500
31.05.2020, nefedov.y...@jinr.ru написал(а): > А зачем может потребоваться _вся_ wheezy. > Возможно какой-то из вариантов контейнеров или виртуальных машин > лучше? Как вариант - привязка софта к версии ядра. Правда, наступал я на подобное на клиентских машинах, которые не мог заапгрейдить, но на которую требовалось поставить bash-static бинарником. В результате на debian 6 пришлось отдельно ставить версию 4.1, так как 4.3 из 8 хотела ядро свежее, чем в системе. Но в данном случае подобное маловероятно. Думаю, тут достаточно будет chroot. Честно говоря, не в курсе, можно ли в контейнерах штатным образом запускать гуёвый софт с отображением его окон на локальных иксах без всяких ssh -X в контейнер простым конфигурированием контейнера. -- Stanislav
Re: Что делать с bluetooth?
26.04.2020, Stanislav Vlasov написал(а): > Похоже, пока что решение - либо спать дольше (попробую засечь, сколько > времени требуется для начала проблем), либо перезагружаться. Случайно наступил на решение, разбираясь с pm-utils. К сожалению, именно случайно, так как целью было совершенно не это, а всего-навсего проверка понимания документации. Результат - работающий после сбоя bluetooth (непонятно почему) и всё ещё не работающий hibernate (понятно почему, но свап на emmc делать не хочется даже в файле, обойдусь suspend и zram). Весьма вероятно, что это повлиял запуск pm-hibernate, но пока не могу проверить - всё работает. -- Stanislav
Re: Что делать с bluetooth?
23.04.2020, sergio написал(а): > >>> через какой-нить специальный модуль (типа ideapad-laptop) >> >> Вряд ли, у него единственный параметр - no_bt_rfkill > > да я не про параметры а про ручки, например сто лет назад ноуте сони > была /sys/devices/platform/sony-laptop/bluetoothpower (которую > предоставлял аналогичный модуль): Нет, там конкретно про отрубание вообще всего ничего нет, в том числе и по исходникам модуля. Нашел только раздельный rfkill для wlan и bluetooth, работает, но именно как отключение rf-части, без отключения питания всего девайса (это, по-моему, вряд ли возможно - bluetooth и wifi обслуживаются одним чипом, причём для wifi интерфейс pci, для bluetooth - usb). Похоже, пока что решение - либо спать дольше (попробую засечь, сколько времени требуется для начала проблем), либо перезагружаться. -- Stanislav
Re: Что делать с bluetooth?
23.04.2020, sergio написал(а): > Ваще я имел ввиду какой-нить acpi или ещё какую ручку в /proc или /sys Если бы я ещё знал ручки в /sys, которые работают сейчас... С тех времён, когда я таки пробовал управлять питанием usb-устройства много версий ядер утекло, как оказалось... > через какой-нить специальный модуль (типа ideapad-laptop) Вряд ли, у него единственный параметр - no_bt_rfkill > (у некоторых хабов можно управлять питанием каждого порта независимо > http://www.gniibe.org/development/ac-power-control-by-USB-hub/index.html) Попробую, там как раз реализация на питоне есть. Но, подозреваю, что тоже не работает - я примерно в те времена и выключал питание у usb-модема. -- Stanislav
Re: Что делать с bluetooth?
Похоже, дело аппаратное: Apr 23 16:46:43 st-note kernel: [361787.977822] Bluetooth: hci0: unexpected event for opcode 0x0c03 Apr 23 16:46:45 st-note kernel: [361789.872471] Bluetooth: hci0: Reading Intel version information failed (-110) Apr 23 16:46:46 st-note kernel: [361790.000461] Bluetooth: hci0: command tx timeout То есть, не фирмварь не загружается и от того проблемы, а проблемы приводят к незагрузке фирвари. И способ выключения, который я вспомнил, относится к старым ядрам... -- Stanislav
Re: Что делать с bluetooth?
21.04.2020, Stanislav Vlasov написал(а):
>>> Есть нетбук Lenovo Ideapad 120S
>>
>> А Fn-F7 не на уровне железа обрабатывается?
>
> Не могу определит достоверно. Но отключается только радиотракт -
Почему не могу достоверно:
- по xev видно событие кнопки XF86RFKill
- я ничего специально не прописывал в качестве реакции на кнопку ни в
иксах, ни в событиях acpi, что таки потребовалось для Fn-{F11,F12}
(яркость) и не требовалось для Fn-F6 (выкл тачпад)
- в сислоге вижу наличие реакции systemd-rfkill, но не факт, что это
именно выключает/включает, а не фиксирует текущее состояние, судя по
man.
--
Stanislav
Re: Что делать с bluetooth?
21.04.2020, sergio написал(а): >> Есть нетбук Lenovo Ideapad 120S > > А Fn-F7 не на уровне железа обрабатывается? Не могу определит достоверно. Но отключается только радиотракт - девайс остаётся доступным для общения с ним: $ sudo hciconfig -a hci0: Type: Primary Bus: USB BD Address: D4:6D:6D:E0:B3:A1 ACL MTU: 1021:5 SCO MTU: 96:6 DOWN RX bytes:1775 acl:0 sco:0 events:228 errors:0 TX bytes:42954 acl:0 sco:0 commands:228 errors:0 Features: 0xff 0xfe 0x0f 0xfe 0xdb 0xff 0x7b 0x87 Packet type: DM1 DM3 DM5 DH1 DH3 DH5 HV1 HV2 HV3 Link policy: RSWITCH HOLD SNIFF Link mode: SLAVE ACCEPT -- Stanislav
Re: Что делать с bluetooth?
20.04.2020, Vladislav Nikitin написал(а): > попробуйте добавить (исправить) в /etc/default/grub > GRUB_CMDLINE_LINUX_DEFAULT="quiet usbcore.autosuspend=-1" > и обновить - update-grub > мне этот параметр "usbcore.autosuspend=-1" помог Для начала, всё ж проверю вариант с принудительной загрузкой фирмвари. Правда, как назло, весь день работает нормально. Но вообще, не понимаю, как отключение таймера управления питанием может помочь в случае, когда питание всё равно отключается по сигналу. -- Stanislav
Re: Что делать с bluetooth?
19.04.2020, Victor Wagner написал(а): >> После нескольких засыпаний/просыпаний нетбука получаем неработающий >> bluetooth и следующее в dmesg: >> [72251.727882] Bluetooth: hci0: command 0x0c03 tx timeout >> [72259.728251] Bluetooth: hci0: sending initial HCI reset command >> failed (-110) > А firmware правильная лежит где надо и при загрузке подгружается? Да. Без фирмвари вообще не работает. > А при просыпании подгружается заново? (я, честно говоря, не помню > где там это управляется, тем более сейчас конкурируют несколько разных > способов управления засыпанием. Но помню, что где-то такое было - > возможность прописать определенное устройстов в список тех, кому > надо провести полую повторную инициализацию с загрузкой firmware, При удачном просыпании - подгружается всегда. При неудачном - нет. При проблемах попробую загрузить вручную. > ТАк что может скачать с lenovo.com виндовые драйвера посвежее, вдруг > там апгрейд блютусного firmware есть. Согласно сайту интела, для данной модели адаптера уже не будет фирмвари свежее, чем та, что в дебиане. Маловероятно, что у леново будет что-то новее. Посмотрю, впрочем... -- Stanislav
Re: Что делать с bluetooth?
19.04.2020, sergio написал(а): > # hciconfig hci0 reset Аналогично предыдущему разу > Перезагрузка модулей всего usb? Весь usb точно не пробовал, только сброс хабов и перезагрузку модулей bluetooth. > Рестарт всех демонов (bluez, pulseaudio, кто ещё его может держать) > между всеми предыдущими попытками реинициализации? Точно не помогало. > Фантазия закончилась. Аналогично. Сейчас после просыпания всё работает. Всей разницы - засыпало на ночь, а не на несколько минут. > Ноут не позволяет дёргать питание блютус модуля (так что бы он пропал из > lsusb)? unbind/bind точно не работал, девайс типа fixed. А про второй способ забыл, проверю, когда снова сломается... -- Stanislav
Re: Что делать с bluetooth?
2020-04-19 1:11 GMT+05:00, sergio : >> hci0:Type: Primary Bus: USB >> BD Address: 00:00:00:00:00:00 ACL MTU: 0:0 SCO MTU: 0:0 >> DOWN > > # hciconfig hci0 up Can't init device hci0: Connection timed out (110) без свежих записей в dmesg -- Stanislav
Re: Что делать с bluetooth?
19.04.2020, sergio написал(а): >> что с этим можно поделать, кроме как выключать или >> вообще не использовать bluetooth? > hciconfig -a > после сбоя покажите? hci0: Type: Primary Bus: USB BD Address: 00:00:00:00:00:00 ACL MTU: 0:0 SCO MTU: 0:0 DOWN RX bytes:0 acl:0 sco:0 events:0 errors:0 TX bytes:3 acl:0 sco:0 commands:1 errors:0 Features: 0x00 0x00 0x00 0x00 0x00 0x00 0x00 0x00 Packet type: DM1 DH1 HV1 Link policy: Link mode: SLAVE ACCEPT > rfkill'ом включать/выключать пробовали? Пробовал. Всей реакции - изменение значка в трее. -- Stanislav
Что делать с bluetooth?
Здравствуйте. Есть нетбук Lenovo Ideapad 120S с bluetooth на базе Intel Corporation Intel Dual Band Wireless-AC 3165 Plus Bluetooth (rev 99). На нетбуке поставлен Debian 10. bluetooth часть управляется через usb: Bus 001 Device 005: ID 8087:0a2a Intel Corp. После нескольких засыпаний/просыпаний нетбука получаем неработающий bluetooth и следующее в dmesg: [72251.727882] Bluetooth: hci0: command 0x0c03 tx timeout [72259.728251] Bluetooth: hci0: sending initial HCI reset command failed (-110) Сброс через echo 0 > /sys/bus/usb/devices/1-7/authorized; sleep 1; echo 1 > /sys/bus/usb/devices/1-7/authorized не отрабатывает, как ожидалось. Выгрузка/загрузка модулей btusb, btintel тоже ничего не даёт. От версии ядра не зависит, проверялось на linux-image-4.19.0-8-amd64 и linux-image-5.3.0-0.bpo.2-amd64 Собственно, вопрос: что с этим можно поделать, кроме как выключать или вообще не использовать bluetooth? -- Stanislav
Re: yandex-browser и пароли
12.12.2019, Victor Wagner написал(а): > А в GNU/Linux, основное преимущество которого заключается в легкости > обеспечения взаимодействия программ и обработки одних и тех же данных > разными программами, лучше продуктов от яндекса не ставить. Вот только яндекс не хочет, чтоб с его сервисами взаимодействовали вне его программ и теперь запись на его диск через вебдав чего-то больше нескольких мегабайт сильно тормозит-с... И заодно убрал из документации что-либо про вебдав -- Stanislav
Re: systemd nfs background mount
22.05.2019, sergio написал(а): > A:/share /mnt/share nfs4 auto,nodev,bg,rw 0 0 [...] > но если потом вдруг перезагрузиться, то повиснет навечно (пока не > появится A): > > A start job is running for /mnt ( / no limit) Некоторые рекомендуют сиё монтировать с добавлением x-systemd.automount,noauto Правда, хз, что будет, если при этом зайти в каталог. Подозреваю, что подвисание и надо добавить ещё и intr. -- Stanislav
Re: In SMART we trust?, Re: Генерация pool-based репозиториев
28.03.2019, Mykola Nikishov написал(а): > Лично у меня после чтения zfs-devel сложилось впечатление, что > полагаться на SMART можно всё меньше и меньше. Вплоть до того, что > enterprise-grade SSD может в течении длительного времени быть живее всех > живых и сдохнуть без предупреждения. У меня такое ощущение за счёт сбора статистики на серверах, где из SSD собраны рейды 10 и иногда 6. Сегодня - чистый статус, завтра - дохлый диск. -- Stanislav
Re: Генерация pool-based репозиториев
04.03.2019, Victor Wagner написал(а):
> Чтобы миррор всегда был консистентным, необходимо действовать в
> следующей последовательности:
>
> 1. Сначала скачать все новые пакеты
> 2. Потом скопировать Packages{,.gz,.bz2} Release и Release.gpg и
> единомоментно атоммарной операцией из заменить.
> 3. Удалить более ненужные пакеты.
>
> А rsync --delete делает не так. Он СНАЧАЛА удаляет более ненужные
> файлы, а потом уже копирует новые. Ну и о том, что Release содержит
> контрольную сумму Packages и менять их нужно одновременно - тоже не в
> курсе.
У rsync есть много опций для delete. Вот например подходящие:
--delete-delay find deletions during, delete after
--delete-after receiver deletes after transfer, not during
--
Stanislav
Re: Генерация pool-based репозиториев
04.03.2019, Tim Sattarov написал(а): >> У меня reprepro свято уверен, что репозиторий на локальной машине. >> > у S3 и файловых систем на нём основанных есть одна забавная особенность: не > поддерживает файлов с > неизвестным заранее размером. > то есть `cat >/mnt/s3fuse/file.txt` обломится > Потому что это не ФС, а объектное хранилище Извращение тех времён, когда на работе пытались сделать своё S3-хранилище: https://github.com/stanislavvv/stdin2s3 Вполне себе пишет файл на s3 c stdin и неизвестным размером. Использовался ровно так, как написано в README. Ну то есть объектное-то оно объектное, но докачку поддерживает. -- Stanislav
Re: LXC vs Docker и форматы контейнеров
11.10.2018, Victor Wagner написал(а): >> Не "перед использованием", а "раз в сутки" всё же. >> Это ж сколько заняло бы развёртывание виртуалки, если б её через >> debootstrap ставили... >> А так - раз в сутки создаются три десятка образов. > > Что? У вас "использование" занимает существенно меньше суток? Не "использование занимает меньше суток", а "появляется потребность в новой виртуалке указанного типа". Хостинг-провайдер, где клиенты заказывают себе вдс, тыкая в кнопки панели или дёргая API. >> Ну и, кстати, apt-get update && apt-get upgrade там, где требуется >> именно новая система без следов обновлений - может быть неверным >> решением. > > Я полагаю, что требование "новой системы без следов обновления" > является ошибкой при постановке технического задания. Возможно, но ТЗ было именно такое. Почему-то некоторые клиенты плохо относились к тому, что в системе оставались рудименты от обновлений (в теории их можно почистить, на практике - обязательно найдётся товарищ, который будет копать и таки найдёт). Из рудиментов кроме логов dpkg появлялись, как минимум, .dpkg-old/.dpkg-dist для некоторых конфигов и что-то ещё, что навскидку не припомню, но помню, что это указывали именно клиенты.. -- Stanislav
Re: LXC vs Docker и форматы контейнеров
11.10.2018, Victor Wagner написал(а): >> Руками - это Centos и т.п., для которых работающего аналога >> debootstrap не обнаружено. >> Ну и, к тому же, этот самый эталонный qcow2 тоже надо генерить перед >> использованием, так как apt-get upgrade в мастер-образе может дать не >> такой же результат, как генерация с нуля. > По-моему, если делать apt-get dist-upgrade, то разница будет > пренебрежимо мала. Во всяком случае, если речь идет о stable, oldstable > и Ubuntu LTS. Верно, но у нас не только убунты c дебианами. Тут заодно решалась задача унификации создания мастер-образов, так как часть образов - генерилась автоматически, часть - приходилось делать/обновлять руками. > Впрочем, лично я считаю что "генерировать с нуля перед использованием" > это категорически неправильный подход. Не "перед использованием", а "раз в сутки" всё же. Это ж сколько заняло бы развёртывание виртуалки, если б её через debootstrap ставили... А так - раз в сутки создаются три десятка образов. Ну и, кстати, apt-get update && apt-get upgrade там, где требуется именно новая система без следов обновлений - может быть неверным решением. Но это уже местные особенности. -- Stanislav
Re: LXC vs Docker и форматы контейнеров
11.10.2018, Victor Wagner написал(а): >> Более того, у нас на работе мастер-образы для виртуалок в kvm >> создаются на базе соответствующих образов докера путём доустановки >> нужных пакетов в распакованном chroot. [...] > Честно сказать не понимаю, зачем мастер-образы делать таким способом. > По-моему проще эталонный qcow2 файл скопировать, и потом уже > доустанавливать пакеты и настраивать сеть каким-нибудь ansible. > Тем более что это будет работать не только с линуксаии, но и с freebsd, > solaris и даже windows. Поэтому: >> Это оказывается быстрее и удобнее, чем debootstrap и тем более, чем >> руками. Руками - это Centos и т.п., для которых работающего аналога debootstrap не обнаружено. Ну и, к тому же, этот самый эталонный qcow2 тоже надо генерить перед использованием, так как apt-get upgrade в мастер-образе может дать не такой же результат, как генерация с нуля. У нас более ограниченная номенклатура базовых систем, если что. Только linux. -- Stanislav
Re: LXC vs Docker и форматы контейнеров
11.10.2018, Victor Wagner написал(а): > 4. Поиграться с готовыми образами систем/приложений. Вот тут докер вне > конкуренции. Потому что у него есть DockerHub где этих образов море. > Хотя тут уже надо смотреть в сторону убунтовских snap. Видимо, в ubuntu > эту технологию стали развивать когда уткнулись в ограничения докера. Более того, у нас на работе мастер-образы для виртуалок в kvm создаются на базе соответствующих образов докера путём доустановки нужных пакетов в распакованном chroot. Это оказывается быстрее и удобнее, чем debootstrap и тем более, чем руками. Ну и окончательная конфигурация (хостнейм, сеть, пароли, ключи) создаётся после раскатывания образа при помощи runc. -- Stanislav
Re: Таймауты на mmcblk0
чт, 6 сент. 2018 г. в 22:53, Stanislav Vlasov : > Прикупил я себе Lenovo IdeaPad 120S, поставил вместо предустановленной > Win10S - Debian 9. > Всё отлично работает, но: > > Sep 2 11:46:48 st-note kernel: [232973.241696] mmc0: Timeout waiting > for hardware interrupt. [...] > Sep 2 11:46:48 st-note kernel: [232973.247723] mmcblk0: error -110 > sending stop command, original cmd response 0x0, car > d status 0x400900 > Sep 2 11:46:48 st-note kernel: [232973.247767] mmcblk0: error -110 > transferring data, sector 26353648, nr 8, cmd response 0x0, card > status 0x0 Вылечилось через debug_quirks2=0x40 (выкл HS200) Скорость упала с ~250Мб/сек до ~130Мб/сек, но зато таки работает стабильно. -- Stanislav
Таймауты на mmcblk0
Привет! Прикупил я себе Lenovo IdeaPad 120S, поставил вместо предустановленной Win10S - Debian 9. Всё отлично работает, но: Sep 2 11:46:48 st-note kernel: [232973.241696] mmc0: Timeout waiting for hardware interrupt. Sep 2 11:46:48 st-note kernel: [232973.241712] sdhci: === REGISTER DUMP (mmc0)=== Sep 2 11:46:48 st-note kernel: [232973.241720] sdhci: Sys addr: 0x2008 | Version: 0x1002 Sep 2 11:46:48 st-note kernel: [232973.241727] sdhci: Blk size: 0x7200 | Blk cnt: 0x0008 Sep 2 11:46:48 st-note kernel: [232973.241734] sdhci: Argument: 0x01921ff0 | Trn mode: 0x002b Sep 2 11:46:48 st-note kernel: [232973.241741] sdhci: Present: 0x1fff0001 | Host ctl: 0x003d Sep 2 11:46:48 st-note kernel: [232973.241748] sdhci: Power: 0x000b | Blk gap: 0x0080 Sep 2 11:46:48 st-note kernel: [232973.241755] sdhci: Wake-up: 0x | Clock:0x0007 Sep 2 11:46:48 st-note kernel: [232973.241761] sdhci: Timeout: 0x0006 | Int stat: 0x Sep 2 11:46:48 st-note kernel: [232973.241768] sdhci: Int enab: 0x02ff000b | Sig enab: 0x02ff000b Sep 2 11:46:48 st-note kernel: [232973.241775] sdhci: AC12 err: 0x | Slot int: 0x Sep 2 11:46:48 st-note kernel: [232973.241782] sdhci: Caps: 0x546ec881 | Caps_1: 0x0807 Sep 2 11:46:48 st-note kernel: [232973.241789] sdhci: Cmd: 0x193a | Max curr: 0x Sep 2 11:46:48 st-note kernel: [232973.241795] sdhci: Host ctl2: 0x008b Sep 2 11:46:48 st-note kernel: [232973.241803] sdhci: ADMA Err: 0x | ADMA Ptr: 0x000175dbd200 Sep 2 11:46:48 st-note kernel: [232973.241807] sdhci: === Sep 2 11:46:48 st-note kernel: [232973.247723] mmcblk0: error -110 sending stop command, original cmd response 0x0, car d status 0x400900 Sep 2 11:46:48 st-note kernel: [232973.247767] mmcblk0: error -110 transferring data, sector 26353648, nr 8, cmd response 0x0, card status 0x0 Периодически из-за этого / становится ro, что несколько некомфортно. Проверка диска badblocks ничего не даёт - бедов нет как при проверке на чтение из дебиана, так и при проверке badblocks -n из кноппикса. Также при монтировании диска из кноппикса таких проблем не обнаружено. Пробовал подставлять модулю sdhci понятные мне debug_quirks - особых изменений в поведении не увидел. Проверялись: debug_quirks=0x40 (SDHCI_QUIRK_BROKEN_ADMA) debug_quirks=0x20 (SDHCI_QUIRK_BROKEN_DMA) Такой вопрос: куда ещё копать? -- Stanislav
Re: RAID контроллеры
13 мая 2018 г., 14:00 пользователь artiom написал: > Понятно. Видимо, в таком случае аппаратный RAID действительно оправдан. Не совсем так. Сейчас сей рейд используется как обычный контроллер, т.е. прокидывает диски в ОС, где mdadm и собирает рейд. Получается значительно быстрее - не 90-100МБ/сек на запись, а 200-250МБ/сек. Т.е. однозначно упирается в сеть (2x1G), а не в рейд, как было при аппаратном рейде. По iops быстродействие не изменилось, но там iops особо не требуется. >> Там массивы порядка 50-60Тб объёмом. К ним надо несколько больше >> памяти, особенно, если таки пользоваться zfs не так же, как ext4... >> zfs не пробовал - нет столько памяти, чтоб отдать только для фс. >> >> > -- Stanislav
Re: RAID контроллеры
8 мая 2018 г., 23:38 пользователь artiom написал: > Про ZFS: не обязательно столько памяти. Стоит у коллеги на атоме с 2 ГБ. Там массивы порядка 50-60Тб объёмом. К ним надо несколько больше памяти, особенно, если таки пользоваться zfs не так же, как ext4... >> zfs не пробовал - нет столько памяти, чтоб отдать только для фс. -- Stanislav
Re: RAID контроллеры
8 мая 2018 г., 13:35 пользователь Н. Артём написал: > Тут как-то вставал вопрос о RAID контроллерах vs ZFS vs программный RAID. > Найденные RAID контроллеры стоили порядка $1000-$1500. > Предложили как вариант, контроллеры HP p222 или p420, которые с кэшем и > батарейкой стоят на ebay в районе $80-100 (на самом деле $130-$250). > Что это и какие у них достоинства/недостатки? Почему стоят столько? Достоинства: таки рейд. Хранит конфигурацию рейда на дисках, т.е. можно переткнуть диски в другой аналогичный контроллер и оно поднимется. Недостатки: тормоз в режиме рейда, что в raid5, что в raid6 (сейчас используются те же контроллеры, те же диски, но рейд - через mdadm и копирование упирается в сеть, а не в массив) zfs не пробовал - нет столько памяти, чтоб отдать только для фс. -- Stanislav
Re: актуальный софт против спама
3 апреля 2018 г., 23:37 пользователь Sergey Matveev написал: >>Кто в курсе, что на данный момент актуально для борьбы со спамом: > > Номер один для борьбы со спамом это проверка на reverse DNS -- работает > очень эффективно. В Postfix, например, имеется из коробки. А второе это > greylisting -- отсеивает бОльшую часть, но требуется (для Postfix) > дополнительный демон. http://www.stargrave.org/Spam.html Некоторые странные MTA (припоминаю какие-то из версий MS Exchange) не посылали повторно при наличии грейлиста. Так что тут, скорее, policyd-weight надо + rspamd подключить и правильно обучить. -- Stanislav
Re: Проблема с правами доступа в Debian
19 марта 2018 г., 17:03 пользователь Victor Wagner написал: >> > Времена изменились. Теперь появились съемные носители с терабайтными >> > емкостями, на которых хочется иметь нормальную файловую систему. >> > Потому что поделия вроде FAT не умеют нормально работаь с такими >> > объемами. >> >> Угу. А фс - не изменились. Даже в ntfs нет атрибута "имя >> пользователя", если правильно помню. > В NTFS есть SID. Это всё равно не имя пользователя, хоть и однозначно идентифицирует его в конкретной системе. >> Но съёмный носитель обычно не содержит домашний каталог от соседней >> рабочей станции и у него противоположные проблемы, которые я поскипал. > > А если содержит, то это аварийная ситуация (например спасение > информации с диска сдохшей машины) и пользователь сам хочет чтобы рут > от машины, куда подключен диск, смог прочитать и скопировать его файлы. Вот именно. А вопрос у дамы изначально противоположный, не дать доступ. -- Stanislav
Re: Проблема с правами доступа в Debian
19 марта 2018 г., 15:44 пользователь Victor Wagner написал: >> Потому что подключение диска от другой системы - нештатная ситуация. >> Если хотите, чтоб при подобном не было доступа к чужим данным - >> шифруйте. А для локального /home - достаточно проверять uid. >> Тем более, в файловой системе нет такого атрибута, как имя >> пользователя. > > Времена изменились. Теперь появились съемные носители с терабайтными > емкостями, на которых хочется иметь нормальную файловую систему. > Потому что поделия вроде FAT не умеют нормально работаь с такими > объемами. Угу. А фс - не изменились. Даже в ntfs нет атрибута "имя пользователя", если правильно помню. Но съёмный носитель обычно не содержит домашний каталог от соседней рабочей станции и у него противоположные проблемы, которые я поскипал. -- Stanislav
Re: Проблема с правами доступа в Debian
19 марта 2018 г., 13:56 пользователь Galina Anikina написал: > Да пользователи там и там были созданы в разное время- > то есть наоборот > На одном разделе допустим ввели 1-го и 2-го пользователя, при этом 1-ый > пользователь получил (на мой взгляд) излишние права - как первый и > поэтому на второй системе они были созданы наоборот. > НО ! Как может производиться монтирование только по UID? Не учитывая > имени пользователя? Потому что подключение диска от другой системы - нештатная ситуация. Если хотите, чтоб при подобном не было доступа к чужим данным - шифруйте. А для локального /home - достаточно проверять uid. Тем более, в файловой системе нет такого атрибута, как имя пользователя. > Получается, что производится усечённая проверка > прав пользователей на соседнем разделе только по UID. Сейчас подумаю, > какой аналог привести, чтобы было понятно. Например - в юридическом > смысле не будет являться полной идентификация человека только по > отпечатку пальца, без паспорта (в нашей стране) или другого документа > (в другой стране) и личного физически присутствия (как в банке при > получении кредита записывают на видео). То есть это не совсем > полноценная идентификация (с возможностью компроментаций). > Так и в этом случае - подмонтированная система монтируется получается > кое-как, с минимальной проверкой прав. Не надо ложных юридических аналогий. Вы создали ситуацию, нештатную для системы и хотите странного. Здесь, скорее, стоит посмотреть в сторону совместимости при переливании крови. > Насчёт поменять UID - спасибо сделаю, но всё же хотелось бы, чтобы > проверялось не только по UID а и по имени пользователю и если они не > совпадают, то программа должна уведомить root-а в момент монтирования и > возможно предложить какое-то решение. Не будет такого решения без полного переписывания, как минимум, всей libc + новой фс, где имя пользователя таки является одним из атрибутов файла. > Это был бы логичный разумный вариант разрешения данного вопроса. Невозможный вариант пока что. Придётся переписать 1) фс (хранение как uid, так и username), 2) libc (вызов stat и ему подобные), 3) софт, работающий с атрибутами файлов (весь!) + потеряется совместимость с POSIX, вероятно. Получится не linux. > Кстати вот ещё пример на тему - обоснования зачем это надо- > Представьте школу и учитель информатики установил на один компьютер в > сети систему и ввёл пользователей 1 и 2. (Ну или если школа или кружок > маленькие - то установил на разных разделах одного компьютера разные > системы, чтобы продемонстрировать детям разные операционные системы) > Далее через некоторое время или учитель сменился или заболел и его > подменяли (причин может быть много) - другой человек установил систему > на другом компьютере - в этой же сети ввёл двух пользователей, но в > обратном порядке. Один ученик (любопытный) примонтирует соседний раздел > и попадёт к примеру в каталог учителя... Здесь проблема не в том, что есть доступ в каталог учителя, а в том, что есть NNN разделов, когда должен быть один. Если может быть много пользователей на множестве компов, то проще завести какой-нибудь LDAP и хранить пользователей в нём, чем так извращаться. Заодно можно будет вынести /home на nfs Если правильно помню, когда-то школьный или околошкольный альтлинукс делал такое штатным образом... > Или ещё пример - на домашнем компьютере установлены две системы -для > работы и для домашних развлечений, и там введены два пользователя - > муж-жена, брат-сестра, два соседа по съёмной квартире и тд, Я думаю > смысл понятен. Аналогично. Если есть доступ к железу - нет смысла возиться с правильными uid, когда сосед может просто загрузиться к какого-нибудь кноппикса и прочитать вообще всё. Вообще, основная проблема тут - не в том, что в фс что-то не хранится, а в организации работы с данными. -- Stanislav
Re: internet radio pleer
16 марта 2018 г., 18:47 пользователь D. H. написал: Ок, тады пример по делу: на предыдущей работе в соседнем кабинете звонки по sip производились при помощи usb-гарнитуры с наборным полем. Колонки при этом создавали фон. >>> Замечательно. А зачем? >> Товарищу и его соседям так было удобней. > Чем? Откуда я знаю? Но раз после полугода эксплуатации обычной гарнитуры для звонков закупили и потом пользовались ещё минимум два года (затем я таки уволился), то значит было удобнее, чем просто наушники с микрофоном. -- Stanislav
Re: internet radio pleer
16 марта 2018 г., 18:08 пользователь D. H. написал: >> Ок, тады пример по делу: на предыдущей работе в соседнем кабинете >> звонки по sip производились при помощи usb-гарнитуры с наборным полем. >> Колонки при этом создавали фон. > Замечательно. А зачем? Товарищу и его соседям так было удобней. -- Stanislav
Re: internet radio pleer
16 марта 2018 г., 17:20 пользователь D. H. написал: Также бывают usb-наушники, которые сами себе звуковая карта. Их выкидывать, если уже есть? >>> Нет, конечно не выкидывать. Но зачем они в своё время были куплены? В >>> случае сдохшей аудио карты оно понятно. Но это исключительный случай. >> Куплены они могли быть из-за более высокого качества звука, чем >> обеспечивала встроенная звуковая карта. >> То есть, захотел хорошего звука - воткнул наушники. > Да да да, слышал слышал. Называется реклама и психосоматика. Ок, тады пример по делу: на предыдущей работе в соседнем кабинете звонки по sip производились при помощи usb-гарнитуры с наборным полем. Колонки при этом создавали фон. -- Stanislav
Re: internet radio pleer
15 марта 2018 г., 19:40 пользователь D. H. написал: >> Ну как вам сказать... Вот на ноуте жены сдохла звуковая карта. >> Встроенная конечно. >> usb-звук тут будет дешевле, чем чинить ноут. > Ну это исключительный случай. Я же стараюсь найти действительно полезное > ежедневное применение. Почему исключительный? По отзывам продавцов - довольно частый случай "починки". >> Также бывают usb-наушники, которые сами себе звуковая карта. Их >> выкидывать, если уже есть? > Нет, конечно не выкидывать. Но зачем они в своё время были куплены? В > случае сдохшей аудио карты оно понятно. Но это исключительный случай. Куплены они могли быть из-за более высокого качества звука, чем обеспечивала встроенная звуковая карта. То есть, захотел хорошего звука - воткнул наушники. -- Stanislav P.S. не скажу, что пульсаудио - идеал, но пользовательскую задачу "зарулить звук в нужный выход" он таки обеспечивает, при этом звук заруливается бесшовно, то есть можно переключить выход в процессе воспроизведения, что мне не удавалось с альсой в своё время.
Re: internet radio pleer
15 марта 2018 г., 9:12 пользователь D. H. написал: >>> а зачем пульсаудио? >> >> первое зачем нужен PA, так это что бы USB звуковушки действительно были >> "горячими". > > А зачем USB звуковушки? Ещё встречаются ноуты\десктопы без звуковых карт? Ну как вам сказать... Вот на ноуте жены сдохла звуковая карта. Встроенная конечно. usb-звук тут будет дешевле, чем чинить ноут. Также бывают usb-наушники, которые сами себе звуковая карта. Их выкидывать, если уже есть? -- Stanislav
Re: Краткий обзор систем резервного копирования
12 марта 2018 г., 13:59 пользователь Victor Wagner написал: >> > Для себя сделал вывод, что надежнее самопальной конструкции на базе >> > rsync все-таки ничего не придумали. >> >> > Хотя, конечно, дедупликацию к ней добавить было бы приятно... Но >> > надежность и простота восстановления в любом случае важнее. >> >> Рекомендую глянуть на rsnapshot - как раз конструкция на базе rsync, > > Лет десять назад именно Артем Чуприна научил меня пользоваться > rsnapshot. Поэтому полагаю, что под дедупликацией он имеет в виду > что-то другое, чего rsnapshot не умеет. Подозреваю, что тогда под дедупликацией имеется ввиду что-то вроде дедупликации в zfs или аналогичных. Но там, куда я могу положить бекап, сделанный rsync, я не могу воткнуть достаточно памяти, чтоб ещё и дедупликацию в zfs сделать. А там где могу - нельзя хранить бекапы, так как это их источник. -- Stanislav
Re: Краткий обзор систем резервного копирования
9 марта 2018 г., 20:36 пользователь Artem Chuprina написал: > Для себя сделал вывод, что надежнее самопальной конструкции на базе > rsync все-таки ничего не придумали. > Хотя, конечно, дедупликацию к ней добавить было бы приятно... Но > надежность и простота восстановления в любом случае важнее. Рекомендую глянуть на rsnapshot - как раз конструкция на базе rsync, но с дедупликацией между разными бекапами при помощи хардлинков. В результате работы - несколько каталогов по одному на каждый бекап с деревом каталогов внутри. Восстановление - копированием. -- Stanislav
Re: выпил systemd и invoke-rc.d
24 октября 2017 г., 15:49 пользователь Andrey Jr. Melnikov написал: >> Всё же полностью терять управление сервером при падении dbus - это >> перебор. Уж как минимум, возможность _штатно_ перезагрузить с консоли >> должна быть. > echo b >/proc/sysrq-trigger как и нажатие кнопки reset вполне себе штатный > метод. Это штатный метод для ядра, но нештатный для системы. Ну и к тому же, может быть выключен. -- Stanislav
Re: выпил systemd и invoke-rc.d
23 октября 2017 г., 18:47 пользователь Andrey Jr. Melnikov написал: >> Можно пример реального применения разных ранлевелов с мультиюзером? > /home или вообще / - на NFS. Особенно в районе "ой, не монтируется" и знания > о том, что в runlevel 1 - оычно активна ОДНА консоль, а их для ремонта надо > больше чем одна. Попадал в такую ситуацию как умышленно, так и в результате сбоя. Не вижу смысла в мультиюзерности без сети для ремонта (сказать в fstab noauto для /home можно и в единственной консоли и далее уже в штатном режиме смотреть, что там происходит). >> В дебиане? Как было на 2 в 2002-м, так и осталось. > > root@ppc:~# runlevel > N 5 > root@ppc:~# cat /etc/debian_version > buster/sid > root@ppc:~# file /sbin/init > /sbin/init: symbolic link to /lib/systemd/systemd > > У нас опять разные дебианы? У нас разные иниты. Лично я на systemd буду переходить несколько позже, когда systemd будет постабильней, чем сейчас. Всё же полностью терять управление сервером при падении dbus - это перебор. Уж как минимум, возможность _штатно_ перезагрузить с консоли должна быть. А на рабочей станции пока что lxde, которому пох на инит. -- Stanislav
Re: выпил systemd и invoke-rc.d
23 октября 2017 г., 17:31 пользователь Andrey Jr. Melnikov написал: >> Зачем такое разделение сейчас, собственно? >> То есть, зачем single user - понимаю, а зачем несколько разных multi-user - >> хз. > Тогда эта была возможность правильно запускать демоны - сейчас да, с кучей > зависимостей это уже не надо. Но если отломать systemd - то может оказаться, > что и ой как надо. Можно пример реального применения разных ранлевелов с мультиюзером? У меня на рабочих серверах пока нет systemd, но как-то так получилось, что обхожусь одним ранлевелом для работы. 0,1,6 - не в счёт, это не работа, это обслуживание или ремонт. >> Когда-то ещё было понятно, зачем отдельный ранлевел под иксы, которые >> запускались на компе не всякий раз, а теперь-то... > Он и сейчас сущесвует - Xы стартуют в 5м ранлевеле. В дебиане? Как было на 2 в 2002-м, так и осталось. >> Так что нормой в этом веке, когда без сети комп практически >> бесполезен, я бы это не стал называть. Так, legacy какое-то... > -- Stanislav
Re: выпил systemd и invoke-rc.d
19 октября 2017 г., 14:18 пользователь Andrey Jr. Melnikov написал: >> > А вот почему у тебя в том месте runlevel != 3 - выясняй сам, т.к. во всех >> > порядочных местах он обычно 3 (full multi-user) или 5 (multi-user with >> > GUI). > >> В дебиановском inittab давно уже runlevel 2 по-умолчанию. >> Цитирую: > > # ps ax | grep init > 1 ?Ss 0:24 init [3] [...] >> Причём это достаточно давно - на доступных мне старых виртуалках такое >> аж с Debian 4 >> Так что ещё неизвестно, какое место - порядочное. > Порядочное, где runlevel 2 это таки промежуточная стадия между single-user и > mutil-user with network. Зачем такое разделение сейчас, собственно? То есть, зачем single user - понимаю, а зачем несколько разных multi-user - хз. Когда-то ещё было понятно, зачем отдельный ранлевел под иксы, которые запускались на компе не всякий раз, а теперь-то... Так что нормой в этом веке, когда без сети комп практически бесполезен, я бы это не стал называть. Так, legacy какое-то... -- Stanislav
Re: выпил systemd и invoke-rc.d
18 октября 2017 г., 21:50 пользователь Andrey Jr. Melnikov написал: >> invoke-rc.d <имя> restart раньше работало для любого демона из >> /etc/init.d, но теперь в новой версии оно идет в каталог /etc/rc2.d >> ищет там симлинк на start/stop и если не находит, то возвращает код >> 101 и ничего не делает. > >> И получается что > ... кто-то не умеет читать. > > А смотрит оно в rc2.d потому что у тебя текущий runlevel=2 (multi-user > without network FS). > Давай угадаю - демон твой хочет запускаться в runlevel 345? > > А вот почему у тебя в том месте runlevel != 3 - выясняй сам, т.к. во всех > порядочных местах он обычно 3 (full multi-user) или 5 (multi-user with GUI). В дебиановском inittab давно уже runlevel 2 по-умолчанию. Цитирую: # /etc/inittab: init(8) configuration. # $Id: inittab,v 1.91 2002/01/25 13:35:21 miquels Exp $ # The default runlevel. id:2:initdefault: [...] # /etc/init.d executes the S and K scripts upon change # of runlevel. # # Runlevel 0 is halt. # Runlevel 1 is single-user. # Runlevels 2-5 are multi-user. # Runlevel 6 is reboot. Причём это достаточно давно - на доступных мне старых виртуалках такое аж с Debian 4 Так что ещё неизвестно, какое место - порядочное. -- Stanislav
Re: иногда SSL В соединении отказано.
15 сентября 2017 г., 12:38 пользователь Artem Chuprina написал: > >> Вы хотите сказать, что на "реалке" у Вас обход блокировок Роскомнадзора > >> настроен, но Вы об этом не в курсе? > > > Некоторые домашние провайдеры не умеют блокировать именно https, > > некоторые магистральные (как один из провайдеров в датацентре на > > работе) - просто не блокируют ничего. > > Думаю, тут всё же первый случай. > > В смысле, point в том, что виртуалка не на "реалке", а у другого > провайдера, но зачем-то в России? Иногда и так бывает :-) Некоторым надо хороший пинг до локальных клиентов, некоторые хотят договор с печатью, некоторым, как ни странно, нравится сервис. Но что именно в данном случае - понятия не имею. Тут к тредстартеру вопрос, скорее, что у него там творится (если я правильно понял, он из Белорусии, возможно, просто списки блокирования не совпадают с российскими). У меня - просто примечание, что не все провайдеры умеют и желают блокировать. -- Stanislav
Re: иногда SSL В соединении отказано.
15 сентября 2017 г., 10:37 пользователь Artem Chuprina написал: > > Часть серверов не доступны с виртуалки по https: [...] > > ошибка: Невозможно назначить запрошенный адрес. > > Повтор. > > Вы хотите сказать, что на "реалке" у Вас обход блокировок Роскомнадзора > настроен, но Вы об этом не в курсе? Некоторые домашние провайдеры не умеют блокировать именно https, некоторые магистральные (как один из провайдеров в датацентре на работе) - просто не блокируют ничего. Думаю, тут всё же первый случай. -- Stanislav
Re: паразиты из Symantec запихали
22 августа 2017 г., 12:19 пользователь Artem Chuprina написал: > Хуже, если у этого асуса сетевка без несвободных прошивок не > работает. Подсовывание инсталлятору несвободных прошивок в документации > описано, но к простым операциям не относится :( для такого есть неофициальный образ с фирмварью: https://cdimage.debian.org/cdimage/unofficial/non-free/cd-including-firmware/ Отличается тем, что там есть несвободные прошивки для всякого железа (то, что обычно ставится из пакетов firmware-*). Если сеть или ещё какой существенный контроллер хочет фирмвари, проще с него поставиться. -- Stanislav
Re: NAS
13 июля 2017 г., 7:50 пользователь Andrey A Lyubimets написал: HP Smart Array P410 достаточно простенький, чтоб всё ещё считаться железным рейдом? А то raid6 из 8 с ним давал порядка 100 МБ/сек при наличии батарейки, а raid6 mdadm на тех же дисках в том же сервере - порядка 400 МБ/сек. >>> А отдельные диски получали как 8 RAID0 или переводили P410 в HBA режим? >> Как 8 RAID0 > Может тут кумулятивный эффект - более мощный ЦПУ для raid6 + кэш > контроллера? Кеш включён только на чтение, батарейку сняли. Вот насчёт процессора - может быть. Хотя не совсем понятно, почему тогда на raid10 аналогичная ситуация (хоть и не настолько явно выраженная). Впрочем, тут уже высказывались про качество рейдов у hp, так что, скорее дело в этом. -- Stanislav
Re: NAS
12 июля 2017 г., 11:03 пользователь Andrey A Lyubimets написал: >>> А на самом деле - даже простенький железный рейд с своим кешом и >>> батарейкой >>> даст прикурить софтовому рейду. >> >> >> HP Smart Array P410 достаточно простенький, чтоб всё ещё считаться >> железным рейдом? >> А то raid6 из 8 с ним давал порядка 100 МБ/сек при наличии батарейки, >> а raid6 mdadm на тех же дисках в том же сервере - порядка 400 МБ/сек. >> > А отдельные диски получали как 8 RAID0 или переводили P410 в HBA режим? Как 8 RAID0 -- Stanislav
Re: Установка эмулятора Windows для приложения
11 июля 2017 г., 23:04 пользователь artiom написал: >> На обычные рабочие места развёртывался подготовленный образ АРМ на >> базе вначале Altlinux, потом Debian. > Ничоси, куда мир докатился: в банках Linux у сотрудников, хотя банки > одни из самых "консервативных" (отсталых) контор (за исключением Дойче > Банка). Там был нюанс - IT-инфраструктура создавалась с нуля и не разом вся. Иначе кто бы мне позволил ставить линукс, если уже всё работает под виндами. Так что была возможность посчитать затраты в обоих вариантах, сделать тестовый стенд АРМ c тестовой версией wine@etersoft и убедить, что лицензия wine на предприятие будет дешевле, чем пара сотен виндов на рабочих местах (тогда планировалась пара сотен линуксовых рабочих мест, когда уходил - было порядка 500). -- Stanislav P.S. Очень помогла манера дебиана класть все модули в initrd. При развёртывании АРМ на чуть-чуть отличающемся железе Altlinux требовал перегенерации initrd, Debian - просто работал.
Re: Установка эмулятора Windows для приложения
11 июля 2017 г., 9:55 пользователь artiom написал: >> 7 июля 2017 г., 21:37 пользователь EyeLand написал: >>> Привет, есть банковское приложение которое работают под Windows, можно ее >>> установить с помощью эмулятора на Debian? Спасибо. >> Когда работал в банке, для подобного использовался wine@etersoft. >> Тогдашний (squeeze) родной wine не позволял запускать всё требуемое >> (как минимум, консультант+) > Я думал, что обычно там виндовые машины (для такого ПО, как консультант > и тех, кому он нужен)... Вот как раз к+ отлично работает под сетевой версией wine@etersoft Проблемы были скорее с неподдерживаемым криптожелезом. Вот для такого стояли 15-20% виндов (правда, половина - всё же унаследованные вместе со старыми компами) На обычные рабочие места развёртывался подготовленный образ АРМ на базе вначале Altlinux, потом Debian. -- Stanislav
Re: Установка эмулятора Windows для приложения
7 июля 2017 г., 21:37 пользователь EyeLand написал: > Привет, есть банковское приложение которое работают под Windows, можно ее > установить с помощью эмулятора на Debian? Спасибо. Когда работал в банке, для подобного использовался wine@etersoft. Тогдашний (squeeze) родной wine не позволял запускать всё требуемое (как минимум, консультант+) -- Stanislav
Re: NAS
7 июля 2017 г., 15:23 пользователь Andrey Jr. Melnikov написал: >> Неоднократно повторялись на разных, но однотипных серверах. > У HP рейды обычно полный шлак. Догадываюсь :-) >> Измерялись, правда, один раз и на предыдущей партии дисков, но в любом >> случае при копировании с соседних серверов в случае аппаратного рейда >> упирались в диск, в случае программного в 2x1G сеть. > Ага, а в каком режиме этот рейд воткнутый через рейзер в мать работает? И > PCI-E какой версии в чудо-серверах? Никакое железо не менялось при переделывании массива с аппаратного рейда на mdadm. Поменять железо в сервере без физического доступа вообще сложновато - оно не программно определяемое. Просто перетащили данные на соседний сервер, разобрали аппаратный рейд, собрали программный и потащили данные обратно. Так что ответы на вопросы тут значения не имеют. >> > Вот довольно любопытная статья по поводу Software vs hardware RAID >> > >> > https://serverfault.com/questions/685289/software-vs-hardware-raid-performance-and-cache-usage > >> Полностью с ней согласен, за исключением того, что там не указан тип >> контроллера, который имеет смысл использовать в аппаратном рейде. Они >> далеко не одинаковы и непонятно, что имелось ввиду под mid-to-high-end >> card. > Ну не HPшные рэйды, эт точно :) Да я уже в курсе... Ещё б знать, какие стоит брать за не более, чем вдвое дороже, так как хранилище в те места точно купить не выйдет... -- Stanislav
Re: NAS
7 июля 2017 г., 11:40 пользователь написал: >> HP Smart Array P410 достаточно простенький, чтоб всё ещё считаться >> железным рейдом? >> А то raid6 из 8 с ним давал порядка 100 МБ/сек при наличии батарейки, >> а raid6 mdadm на тех же дисках в том же сервере - порядка 400 МБ/сек. > Числа странные, что первое, что второе. Неоднократно повторялись на разных, но однотипных серверах. Измерялись, правда, один раз и на предыдущей партии дисков, но в любом случае при копировании с соседних серверов в случае аппаратного рейда упирались в диск, в случае программного в 2x1G сеть. > Вот довольно любопытная статья по поводу Software vs hardware RAID > > https://serverfault.com/questions/685289/software-vs-hardware-raid-performance-and-cache-usage Полностью с ней согласен, за исключением того, что там не указан тип контроллера, который имеет смысл использовать в аппаратном рейде. Они далеко не одинаковы и непонятно, что имелось ввиду под mid-to-high-end card. -- Stanislav P.S. для работы вообще предпочёл бы отдельное хранилище с доступом по нескольким 10GE, но это будет сильно дороже...
Re: NAS
7 июля 2017 г., 10:45 пользователь Sergey Matveev написал: >>А то raid6 из 8 с ним давал порядка 100 МБ/сек при наличии батарейки, >>а raid6 mdadm на тех же дисках в том же сервере - порядка 400 МБ/сек. > > Действительно, все тоже мне встречаемые железные RAID-ы, возможно кроме > очень дорогих и топовых, на RAID6 всегда были медленнее чем mdadm. RAID5 > вообще только XOR операцию использует, а вот RAID6 уже тяжёл и требует > процессора. Проблема в том, что с raid5 было примерно так же, хоть и не настолько большая разница была. Но от raid5 отказались из-за ненадёжности. -- Stanislav
Re: NAS
7 июля 2017 г., 3:40 пользователь Andrey Jr. Melnikov написал: > А на самом деле - даже простенький железный рейд с своим кешом и батарейкой > даст прикурить софтовому рейду. HP Smart Array P410 достаточно простенький, чтоб всё ещё считаться железным рейдом? А то raid6 из 8 с ним давал порядка 100 МБ/сек при наличии батарейки, а raid6 mdadm на тех же дисках в том же сервере - порядка 400 МБ/сек. -- Stanislav
Re: Установить debian без systemd
14 июня 2017 г., 15:47 пользователь Igor Chumak написал: >> Логов всей системы тут (на рабочей станции без systemd, используется >>> >>> по рабочим дням) - порядка 20Мб за месяц. >>> На ноутбуке (таки есть systemd, но нет ни аудита ни atop, используется >>> ежедневно), 25Мб за месяц. >>> Я бы не сказал, что это имеет смысл хоть как-то фильтровать или как-то >>> отдельно обрабатывать, кроме ротации. >> Для less многовато ) > 25 мб в месяц логов, которые никто не читает и никогда не будет читать это > много. По-моему, для рабочих станций и для серверов требуются разные настройки ротации, если уж на то пошло. Но фичареквест составить не возьмусь - не совсем уверен, что максимум 7 дней хранения хватит всем. И, если честно, лень - меня не напрягает 25Мб на диске, если диск не флешка с ограниченным ресурсом на запись (в этом случае логироваться будет на выделенный сервер syslog) -- Stanislav
Re: Установить debian без systemd
14 июня 2017 г., 15:08 пользователь Иван Лох написал: >> Логов всей системы тут (на рабочей станции без systemd, используется >> по рабочим дням) - порядка 20Мб за месяц. >> На ноутбуке (таки есть systemd, но нет ни аудита ни atop, используется >> ежедневно), 25Мб за месяц. >> Я бы не сказал, что это имеет смысл хоть как-то фильтровать или как-то >> отдельно обрабатывать, кроме ротации. > Для less многовато ) При сегодняшнем сбое железа будете читать логи авторизации за прошлую неделю? Или всё же будете смотреть что-нибудь более подходящее к действительности? :-) >> > apt-cache show dbus-user-session >> Ну то есть, очередной костыль, который правит то, что было исправлено, >> к первоначальному поведению. >> Зачем было править в первый раз? > Понятие разделение seat/session/login удобно, на самом деле, если всем этим > можно гибко управлять. Угу. Вот только ломать то, что было не сломано - хреново, не так ли? Поведение по-умолчанию всё же менять не стоило. -- Stanislav
Re: Установить debian без systemd
14 июня 2017 г., 14:03 пользователь Иван Лох написал: >> > Объемы логов стремительно растут. В этих условиях возможность быстрой >> > сортировки/выборке по дате-времени, приложению, критичности и т. д. — >> > удобная, а иногда и необходимая фича. >> >> Объемы логов стремительно растут на серверах. А systemd почему-то в >> первую очередь проталкивается на рабочие станции. > Не знаю. А может среднестатистический пользователь настроить autossh? Такой вопрос в сторону: зачем среднестатистическому пользователю ssh вообще и autossh в частности? Там и браузера хватит нынче... > А объемы логов везде растут. Процессов то до хрена запущено. И на > рабочих станциях тоже. Можем себе позволить. Фильтровать заранее? Ну это > сколько надо дисциплины и времени. $ sudo du -sh /var/log 209M/var/log 110Мб - логи atop. Ещё 50Мб - логи tor (хреновый провайдер, сообщения о таймаутах) Ещё 30Мб - audit (надо будет снести, как и atop) Логов всей системы тут (на рабочей станции без systemd, используется по рабочим дням) - порядка 20Мб за месяц. На ноутбуке (таки есть systemd, но нет ни аудита ни atop, используется ежедневно), 25Мб за месяц. Я бы не сказал, что это имеет смысл хоть как-то фильтровать или как-то отдельно обрабатывать, кроме ротации. >> Где он откровенно >> мешает, норовя прибить процессы запущенные в ходе сессии, по завершению >> оной сессии. > apt-cache show dbus-user-session Ну то есть, очередной костыль, который правит то, что было исправлено, к первоначальному поведению. Зачем было править в первый раз? -- Stanislav P.S. я за автоперезапуск некоторых сервисов, если что. Претензии к systemd у меня в других местах.
Re: qemu shared /boot
29 мая 2017 г., 13:35 пользователь Victor Wagner написал: >> Если имелось ввиду, что именно /boot как раздел должен быть общим, то >> это довольно странная идея, если там будет фс, доступная на запись. > Это не такая уж странная идея. Это позволяет обновлять ядро изнутри > виртуалки штатными средствами дистрибутива, который в ней стоит. Требуется _синхронное_ обновление пакета ядра и его зависимостей. Иначе будут проблемы. -- Stanislav
Re: qemu shared /boot
27 мая 2017 г., 15:18 пользователь sergio написал: > Хочу виртуалку, в которой нет бутлодера, а /boot виден с хоста, который и > грузит её по напрямую указанным ядру-инитрд. > > Ну есть 9p. И, наверное, если гонять виртуалку под рутом, то всё будет ок. Но > в либвирте они крутятся не под рутом (что хорошо), но прямой маппинг не > создать. А на кривом маппинге нет симлинков. /usr/bin/qemu-system-x86_64 ... -kernel /var/lib/kvmrun/kernels/vmlinuz-3.13.0-100-generic -initrd /var/lib/kvmrun/kernels/initrd.img-3.13.0-100-generic -append root=/dev/vda ... -runas vmuser -chroot /var/lib/vmchroot/vmuser Тут виртуалка под рутом только запускается, сбрасывает привилегии до vmuser и продолжает работу в chroot. Это часть командной строки реально запущеной виртуалки. Из недостатков - внутри виртуалки нет файлов, относящихся к ядру. У нас это нивелируется монтированием подготовленного .iso в /lib/modules Если имелось ввиду, что именно /boot как раздел должен быть общим, то это довольно странная идея, если там будет фс, доступная на запись. -- Stanislav
Re: пакеты: как правильно получить владельца группу файла из скрипта debian/postinst ?
21 марта 2017 г., 14:42 пользователь Andrey Nikitin написал: >> Прописать #!/bin/bash в начале скрипта. > > Да, спсб., хотя подозрительно мало пакетов так делают, но, видимо, не > запрещено. > И сразу другой вопрос - нужно прописывать зависимость от bash? Второй способ: прописать /usr/bin/stat и зависимость не от bash, а от coreutils -- Stanislav
Re: Devuan (Was: [debian-devel] Обсуждение удаления sysvinit-скриптов из пакетов.)
13 сентября 2016 г., 4:21 пользователь Dmitrii Kashin написал: > Victor Wagner writes: > >> Можно предолжить эту систему проекту devuan или самому дистрибутив >> форкнуть. > > Кстати, вот интересный вопрос: кто-нибудь его уже поставил в качестве > основной системы? На домашнем ноуте и на рабочем компе. Работает нормально, но у меня и потребностей особых нет. > Суть в том, что в devuan в пылу выпиливания libsystemd0 много чего > выкинули из репозитория. Не то, чтобы жизненно необходимые вещи, но вот > потеря mpd лично мне не приятна очень. Привык я к нему. Э... $ apt-cache policy mpd mpd: Установлен: (отсутствует) Кандидат: 1:0.19.9-dmo2 Таблица версий: 1:0.19.9-dmo2 0 500 http://www.deb-multimedia.org/ jessie/main amd64 Packages 0.19.1-1.1 0 500 http://packages.devuan.org/merged/ jessie/main amd64 Packages -100 http://httpredir.debian.org/debian/ jessie/main amd64 Packages Вроде никто никуда не выкидывал. При установке поставится libsystemd0, но для работы сам systemd не требуется. > Поделитесь мнениями, пожалуйста. Стоит ли выделить одну из рабочих машин > под Devuan? Стоит. Правда, мне пришлось для того, чтобы работал apt-file search, делать следующее: deb [targets=Translations] http://httpredir.debian.org/debian jessie main contrib non-free так как в merged репозитории не отдаются всякие Contents и т.п. Ну и на всякий случай : Package: * Pin: origin "httpredir.debian.org" Pin-Priority: -100 -- Stanislav
Re: tar 1.26 vs tar 1.27
3 сентября 2016 г., 0:07 пользователь Tim Sattarov написал: >> Есть такая задача - выковырять нужные каталоги со всем содержимым из tar. >> Решается примерно так: >> >> cat file.tar | tar -ixg /dev/null -C /path/to/output_dir --wildcards >> --files-from=wildcards >> >> В wildcards - список файлов и каталогов вида /var/lib/mysql/ в >> соответствии с тем, что выдаёт tar -t >> При этом tar 1.26 (из wheezy) нормально распаковывает что указали, а >> 1.27 (jessie) - говорит "/var/lib/mysql/: Not found in archive" > А если не указывать первый слэш ? Аналогично, но это в любом случае не совсем тот вариант - список распакуемого формируется на основе ранее полученного tar -t и первый / там есть. Если не указывать последний - видит каталог, но не видит его содержимое. -- Stanislav
tar 1.26 vs tar 1.27
Здравствуйте! Есть такая задача - выковырять нужные каталоги со всем содержимым из tar. Решается примерно так: cat file.tar | tar -ixg /dev/null -C /path/to/output_dir --wildcards --files-from=wildcards В wildcards - список файлов и каталогов вида /var/lib/mysql/ в соответствии с тем, что выдаёт tar -t При этом tar 1.26 (из wheezy) нормально распаковывает что указали, а 1.27 (jessie) - говорит "/var/lib/mysql/: Not found in archive" Если указать то же самое в параметрах через `cat wildcards` - в обоих случаях распаковывает нормально, но файлов может быть несколько больше, чем возможно уместить в командную строку. Вопрос: это я что-то не так делаю, или это таки баг? -- Stanislav
Re: [debian-devel] Обсуждение удаления sysvinit-скриптов из пакетов.
30 августа 2016 г., 13:26 пользователь Victor Wagner написал: >> > Для конкретного случая можно специфицировать некое подмножество >> > этого протокола. >> > Например, вызов с параметрами start/stop/restart. >> Если этот вызов для админа, а не для загрузки - не вижу проблем. > > Тут вопрос скорее в интерфейсе для мейнтейнера пакета, а не админа или Судя по первому сообщению темы, мейнтейнер вообще хочет писать только под systemd, потому это дело либо админа, либо дополнений к системе инициализации. > системы инициализации. В смысле, если предоставишь исполняемый > файл с вот таким интерфейсом - при вызове с параметром start делает то, > stop се, depends это, то система инициализации этот файл подхватит и > будет через него демоном управлять. > > А уже потом, специфицировав этот протокол, делаем интерпретаторы для > существующих декларативных конифгов и врапперы для прочих случаев, > поддерживающие этот протокол. Для sysvinit я подобное ещё представляю. С другими init могут быть проблемы. >> > И еще нужен протокол для работы с зависимостями. Нечто аналогичное >> > LSB comments, но только встроенное в стандартный юниксовый >> > протокол. >> Как вариант - проверка наличия работающих зависимостей. >> Возможно, автозапуск при старте, но это может быть спорно. > Вот по-моему главное - это способ рассказать системе инициализации чего > нам нужно. А в каком порядке что из этого запускать - пусть сама > разбирается. На то есть startpar, хотя я и считаю его лишней сущностью, > вместо которой надо make использовать. Хм... Сложный вопрос, так как у системы инициализации может просто не быть такого интерфейса в удобном виде. Просто набор сервисов, которые требуется запустить в любом порядке + внутри запускаемого конфига сервиса - команда на запуск зависимостей из других сервисов. При этом оно _не_ совместимо с тем, что обычно лежит в /etc/init.d и может не предоставлять совместимый интерфейс в данном каталоге, а если и предоставляет, то не использует это внутри себя. -- Stanislav
Re: [debian-devel] Обсуждение удаления sysvinit-скриптов из пакетов.
29 августа 2016 г., 22:43 пользователь Victor Wagner написал: >> > Может быть стоит пойти по другому пути - embrace and extend - >> > написать интерпретатор service-файлов systemd, который бы не >> > выпендривался а вел себя примерно как start-stop-daemon. >> >> Я бы сказал, в том числе как start-stop-daemon. >> Скажем, иногда очень удобен runit, в котором демонов лучше запускать в >> скрипте через exec. >> То есть, следует отделить интерпретацию и собственно методы запуска, >> чтобы данным скриптом можно было пользоваться не только для sysvinit. > > Именно это я и считаю unix way - когда основной способ разделения > системы на компоненты это вызов программы, которая общается с > вызывавшей через командную строку и стандартные каналы ввода-вывода. > Для конкретного случая можно специфицировать некое подмножество этого > протокола. > Например, вызов с параметрами start/stop/restart. Если этот вызов для админа, а не для загрузки - не вижу проблем. В том же runit достаточно сделать симлинк в /etc/init.d с нужным именем на /usr/bin/sv при наличии конфиг-каталога с таким же именем и получаем почти такой же интерфейс. Почти - потому что 1) другой формат вывода, 2) нет хелпа по параметрам (вероятно, стоит отметить как баг), 3) поведение в некоторых случаях немного отличается. > И еще нужен протокол для работы с зависимостями. Нечто аналогичное LSB > comments, но только встроенное в стандартный юниксовый протокол. Как вариант - проверка наличия работающих зависимостей. Возможно, автозапуск при старте, но это может быть спорно. >> > Чтобы можно было использовать service-файлы, которые будут >> > поддерживаться и фикситься мейнтейнерами в рамках системы sysvinit >> > основным преимуществом которой является минимизация функциональности >> > init и использование внешних программ для всего остального. >> >> В остальном - однозначно поддерживаю. Не скажу, что толку от меня >> будет много, но, если на работе опять будет какой-нибудь проект с >> новым софтом, который работает только под systemd - писать подобное >> просто придётся (у нас стандарт - sysvinit + runit для части >> сервисов). > Возможно, если речь идет об одном или двух демонах, проще вручную > перевести сервис-файл на какой-нибудь имеющийся в системе язык > программирования. Для одного двух демонов я ещё напишу скрипты. А вот для пары десятков уже будет геморрой. Как вариант - написать конвертор, что будет универсальней, хотя и хуже выглядеть. Какой-нибудь хук при установке пакета и при наличии данных для systemd - натравливать конвертор на них. Дальнейшие действия конвертора - зависят от того, какой инит указан текущим. Другой вариант - всё же написать интерпретатор, в котором для запуска будут использоваться разные методы в зависимости от init. К сожалению, иногда - чересчур разные... > Вообще этот вопрос у меня в ЖЖ примерно два года назад уже обсуждался. > > http://vitus-wagner.livejournal.com/1032172.html Видел, но там, помнится, до чего-то конкретного не дошло, только обсуждения преимуществ/недостатков разных подходов инитов. -- Stanislav
Re: [debian-devel] Обсуждение удаления sysvinit-скриптов из пакетов.
29 августа 2016 г., 18:25 пользователь Victor Wagner написал: > Может быть стоит пойти по другому пути - embrace and extend - написать > интерпретатор service-файлов systemd, который бы не выпендривался > а вел себя примерно как start-stop-daemon. Я бы сказал, в том числе как start-stop-daemon. Скажем, иногда очень удобен runit, в котором демонов лучше запускать в скрипте через exec. То есть, следует отделить интерпретацию и собственно методы запуска, чтобы данным скриптом можно было пользоваться не только для sysvinit. > Чтобы можно было использовать service-файлы, которые будут > поддерживаться и фикситься мейнтейнерами в рамках системы sysvinit > основным преимуществом которой является минимизация функциональности > init и использование внешних программ для всего остального. В остальном - однозначно поддерживаю. Не скажу, что толку от меня будет много, но, если на работе опять будет какой-нибудь проект с новым софтом, который работает только под systemd - писать подобное просто придётся (у нас стандарт - sysvinit + runit для части сервисов). -- Stanislav
Re: и снова вопрос про рейды
15 июля 2016 г., 13:24 пользователь Artem Chuprina написал: > >> Или тут тоже надо эксперимент ставить? > > > Я ж вроде написал, что эксперимент жизнь поставила :-) > > Грузилось как надо, но /boot был на raid10 единообразия ради. > > Я не отследил, в жизни при этом были EFI и GPT? И вылетел именно первый > диск? Сейчас тут уже обсуждается ситуация в более узком классе, на > классическом BIOS чистый эксперимент уже провели. Хм... GPT был точно. А вот EFI не было, если правильно помню. Кстати, для проверки порядок дисков в сетапе тасовался - проблем не было. -- Stanislav
Re: и снова вопрос про рейды
15 июля 2016 г., 12:53 пользователь Artem Chuprina написал: > И чтоб два раза не вставать - напомню, в целом речь идет о том, чтобы в > случае вылета одного диска просто вынуть его и загрузиться со второго > (вариант - не вынуть, а просто сказать в биосе, что грузимся со > второго). Я верно понимаю, что grub при grub-install самостоятельно > задействует раздел с bios_grub, и что при grub-install /dev/sdb он > задействует такой раздел правильного диска? > > Или тут тоже надо эксперимент ставить? Я ж вроде написал, что эксперимент жизнь поставила :-) Грузилось как надо, но /boot был на raid10 единообразия ради. -- Stanislav
Re: и снова вопрос про рейды
13 июля 2016 г., 17:31 пользователь Artem Chuprina написал: > Теперь, пожалуй, надо завершить эксперимент... Сделать raid10 из целых > винтов, поверх него LVM, поставить на эту конструкцию систему, и вынуть > винт... У меня жизнь уже делала такой эксперимент. По два раздела на 4-х дисках, два рейда10. Первый - под /boot (дебиановский grub2, grub-install делался на все 4 диска), второй - под lvm. Нагрузка в среднем порядка сотни iops. Всё прошло штатно, за исключением того, что диск был выдернут не из того сервера. -- Stanislav
Re: восстановление fs
31 марта 2016 г., 16:44 пользователь D.Himro написал: > Доброго времени суток уважаемые. Может кто сталкивался с подобным: > был диск условно /deм/sdb на котором без таблицы разделов была создана ext4 > по ошибке, на диск был натравлен fdisk и создан gpt и sdb1. Но mkfs не > проводился, можно ли вернуть файловую системы или как-то максимально без > потерь выдать файлы? mkfs.ext4 -n /dev/sdb не будет создавать фс, но зато выдаст возможные места для суперблоков, которые можно попробовать подсунуть fsck -- Stanislav
Re: software raid для бэкап-сервера?
23 марта 2016 г., 17:39 пользователь Artem Chuprina написал: > >> Это я и сам понимаю. Меня интересует, нету ли грабель с надежностью. В > >> смысле, в случае вылета винта. > > В случае вылета винта вы получите данные без избыточности > > и при проблемах с любым оставшимся диском - потерю данных. // КО. > Это я невнятно говорю или ты невнятно понимаешь? Про очевидное я в > курсе. Вопрос в том, насколько гладко проходит замена винта. При помощи mdadm и какой-то матери помечаем сбойный винт как сбойный, если автоматически не пометился, выкидываем его из рейда, меняем (если позволяет железо - в онлайне), добавляем в рейд новый. Ждём синхронизации. Проделывалось несколько раз, работает нормально, проблемы могут быть в первом или втором пункте (пока заключались в том, что к тому времени, когда происходит сбой - забываешь документацию). Скорость синхронизации можно менять через /proc, при этом, естественно, есть влияние на основную работу сервера. > >> И кто чем, кстати, мониторит состояние mdraid? > > > mdadm пакет запускает стандартно mdadm --monitor, обычно этого > > достаточно, про проблемы он пишет на почту. Плюс регулярно из кронтаба У нас для этого nagios опрашивает состояние через nrpe. Не помню,какой у него плугин, но что-то стандартное. -- Stanislav
Re: software raid для бэкап-сервера?
23 марта 2016 г., 15:24 пользователь Artem Chuprina написал: > >> Какой рейд лучше делать, по опыту? Пятый, который из четырех винтов по > >> полтерабайта сделает полтора? Работал и такой вариант, но нам было медленно... > SBK> Места-то сколько надо? > > Бэкап-сервер. Лучше больше. У нас под бекапы делается raid10, но тут еще требуется обеспечить NN потоков на запись (NN от 20 до 40 где-то). > >> Какие тонкости с загрузкой? > > SBK> В jessie вроде должно уметь грузиться и с raid5. > > Installation manual про это молчит. Говорит про RAID1. grub с raid10 грузится нормально, но из инсталлятора я туда его не ставил - только руками после debootstrap. -- Stanislav
Re: Как переносить настройки / мигрировать на другой сервер?
8 февраля 2016 г., 16:43 пользователь Vasiliy P. Melnik написал: >> Иногда и без перезапуска можно. >> У нас виртуалки на дебиане и убунте с ядрами новей 3.2 - отлично >> ресайзятся без ребута. > ага - вверх, но не вниз Как раз обсуждаемый случай :-) А вниз - действительно только оффлайн (у нас - снапшот, rsync, выключение, повторный rsync). -- Stanislav
Re: Как переносить настройки / мигрировать на другой сервер?
7 февраля 2016 г., 19:13 пользователь Sergey B Kirpichev написал: > On Sun, Feb 07, 2016 at 02:22:13PM +0200, Oleksandr Gavenko wrote: >> Я не уточнил. Разница в конфигурации только в размере накопителя. > > Тем более. > >> Т.е. средства обслуживания KVM - такое делают легко (например в клик через >> GUI)? > > "Такое" - нет. А перезапустить ваш VPS, предоставив вам > внутре диск большего размера - легко. Изменять размеры партиций > и проч. - это уже на вас, конечно. Иногда и без перезапуска можно. У нас виртуалки на дебиане и убунте с ядрами новей 3.2 - отлично ресайзятся без ребута. А если кроме ядер ещё в udev добавили файлик - и внутрь не надо лазить, чтоб resize2fs сказать. -- Stanislav
Re: файловая система для предприятия
16 декабря 2015 г., 11:51 пользователь Vasiliy P. Melnik написал: >> zfs крутая, но в debian не поддерживается. >> В смысле я знаю что можно её установить. >> Как она на debian в энтерпрайзе себя ведет? > хз, когда гонял на ридхете ораклдб на зфс-е вопросов не возникало, на > энтерпрайз не ставил. На энтерпрайзе у меня фря, зфс использую уже давно. > Один раз остался без раздела системного - но там умерла планка памяти в > серваке. Я остался без фс после переполнения памяти. Debian 7, zfs от zfsonlinux.org Потом тюнил, чтоб жрало меньше, выключал дедупликацию и т.п., но всё равно периодически сервер оказывался утром в состоянии нестояния (это был один из серверов бекапов с порядка 40-50 потоков записи на тот раздел). > Боитесь зяф - тогда лвм с десятым софтовым рейдом, винты стоят не сильно > дорого, чтобы мудрить с 5,6 рейдами. Но со снапшотами в зфс-е все гораздо > лучше Может быть zfs на фре и нормально работает, но под линуксом её пока рановато в продакшн. -- Stanislav
Re: Выполнение привелигированых команд пользователем.
15 декабря 2015 г., 0:14 пользователь Artem Chuprina написал: > EZ> Почему некошерно? Дай права выполняться без пароля только этим > EZ> командам. У меня icewm и вот мой /etc/sudoers. Я даю новой группе [...] > Дело не столько в том, что это некошерно, сколько... никогда не > приходилось ребутить НЕ ТУ машину? molly-guard в помощь, кстати. Спрашивает имя хоста, если ребут запущен удалённо. -- Stanislav
Re: systemd
17 ноября 2015 г., 13:21 пользователь Andrey Melnikoff написал: >> Наблюдал машину, у которой при холодной перезагрузке - один порядок >> устройств, при горячей - другой. >> Наступил на грабли как раз после падения по питанию. >> В то время udev не было - обошелся ifrename > Славный Plug-And-Pray. Но уже в те времена в биосе была ручка для его > отключения. В той машине уже не было... -- Stanislav
Re: systemd
13 ноября 2015 г., 20:10 пользователь Andrey Melnikoff написал: >> > > Проблема не надуманая, проблема из-за реализации PCI device >> > > enumeration которая приводила к тому, что при следующей загрузке >> > > сетевые карты могли быть обнаружены в другом порядке. Что могло >> > > привести к недоступности машины с двумя сетевыми картами после >> > > перезагрузки. >> > надуманная. BIOS сам по себе не меняется, рядом будет админ который >> Причем здесь биос? Просто в результате перезагрузки по отключению >> питания что-то измениться могло. > Не увиливай от ответа. Каким образом могла измениться енумерация сама по > себе после падения по питанию? Наблюдал машину, у которой при холодной перезагрузке - один порядок устройств, при горячей - другой. Наступил на грабли как раз после падения по питанию. В то время udev не было - обошелся ifrename -- Stanislav
Re: Временно заменить утилиту из пакетов утилитой из /opt
9 сентября 2015 г., 18:25 пользователь Oleksandr Gavenko написал: > Можно ли как то заменить /usr/bin/adb на > /opt/android-sdk-linux/platform-tools/adb что бы вызывалось не по полному > пути? Можно. > Менять PATH? Как вариант. > Я бы сделал каталог и кинул симлинк туда, есть пользователь и время создания, > понятно как удалять/менять. > /usr/local/bin уже есть в PATH перед /usr/bin - бросать симлинк туда? Можно и так. Или, если это требуется для одного пользователя - положить в ~/bin, если он идёт раньше других путей. На своей машине при невозможности сделать по-другому я бы воспользовался dpkg-divert на предмет переименования старого adb (чтоб при апгрейде тоже переименовывался) и создания симлинка на нужный. > Интересует рассовая верность решения. Расово верное решение - сделать пакет с нужной версией. > update-alternatives кажись не то для того? Только если системный adb - симлинк, указывающий на симлинк в /etc/alternatives -- Stanislav
Re: Быстреели systemd стартуетсистемучем "makefile-style concurrent boot"?
10 августа 2015 г., 2:20 пользователь Oleksandr Gavenko
написал:
> Быстрее ли systemd стартует систему чем "makefile-style concurrent boot"?
Особой разницы на рабочей станции не увидел. В зависимости от
поставленных сервисов может быть выигрыш в любую сторону.
[...]
> Из всей *правильности* по документации я видел только - старт по требованию,
> т.е. учет зависимостей.
Аналогично. Плюс два режима выключения сервиса ("выключено" - off,
"ваще выключено" - masked).
> И я так понимаю что прослойка sh-скриптов также замедляет загрузку, и это из
> sysvinit никак не убрать...
Вы лучше посмотрите, сколько раз в день вы загружаете комп. У меня на
рабочей станции аптайм 39 дней и то - уборщица ходила.
А еще можно посмотреть, сколько загружается система от кнопки вкл до
приглашения ввести логин и сколько - от ввода пароля до возможности
нормально работать.
На ноуте дочери второе - примерно столько же по времени, как и первое.
Так что я б забил на скорость загрузки, так как это по большому счёту
уже мало на что влияет.
Вот на что следует обратить внимание - так это 1) удобство написания
скриптов/конфигов сервиса, 2) удобство управления сервисом в
отдельности и их совокупностью, 3) надёжность инита (тут systemd
проигрывает, иначе бы им всё же можно было бы управлять после падения
и ручного поднятия dbus).
--
Stanislav
Re: Простой интерфейс для QEMU/KVM
14 июля 2015 г., 9:56 пользователь Aleksandr Sytar написал: >> Коллеги, а не подскажет ли кто, что можно использовать в качестве GUI >> для управления QEMU/KVM, что бы не тащило за собой libvirt. >> > > Даже не знаю что сказать. А как оно по вашему будет работать, если средства > для виртуализации и управления предоставляет библиотека libvirt? Ой не надо нам военных песен... Запустить kvm с нужными опциями можно и в командной строке, потом можно подцепляться к сокету и пихать туда команды и подключаться к консоли по vnc или spice. Но это неудобно при неодноразовом запуске. А libvirt - монстр, придуманный для управления десятками виртуалок, который нафиг не нужен, если их пара штук. К тому же, обладает противоестественным интеллектом в тех местах, где это нафиг не надо. К сожалению, до чего-то, аналогичного virtualbox (всё запускается под пользователем только на время, нужное для работы виртуалки без лишних демонов и с управлением из гуя) в приложении к qemu не встречал... -- Stanislav
Re: модуль zram и кол-во ядер
2015-05-16 12:35 GMT+05:00 Sohin Vyacheslav : >> загружаю модуль с параметром 2 (2 CPU на ноуте) >> % sudo modprobe zram zram_num_devices=2 > > почему-то не создаётся zram1: > % sudo ls /sys/block/ > sda sr0 zram0 На https://wiki.debian.org/ZRam лежит init-скрипт. Попробуйте воспользоваться им, для начала. Правда, проверял это только на 64-битных ядрах, там всё прекрасно работает. Возможно, тут еще 32-битность мешает, но это можно проверить, поставив 64-битное ядро. -- Stanislav
Re: Отзывы о практическом опыте использования ZFS на Linux
12 мая 2015 г., 14:26 пользователь svx написал: По поводу дедупликации, подумайте ещё пару раз, стоит ли вам вообще > заморачиваться на эту тему, если не отошло, то вот, просвящяйтесь(вообще не > уверен, что дедуп есть на ZOL): > https://blogs.oracle.com/roch/entry/dedup_performance_considerations1 > > dedup там есть. На малом разделе (порядка 100Гб) - работал нормально. -- Stanislav
Re: Отзывы о практическом опыте использования ZFS на Linux
12 мая 2015 г., 13:22 пользователь Фахретдинов Руслан написал: > 1) Да на счет использования памяти есть такое, у самого стоит 16Гб, > массив raidz1 ака раид5 с 4 винтами по 2Тб, вижу жрет и не мало, но > дедупликацию не использую. Но об этом и в руководстве написано, но > есть и свои +, которых я думаю больше. Из того, что было возможно - использовал только снапшоты на сервере бекапов. При бекапах через rsync --inplace место использовалось эффективнее, чем в случае rsnapshot с его хардлинками. История изменений стала не полмесяца, а полтора. > 2) Надо озадачиться на сброс всего массива, проверить, вот только где > бы еще емкости найти. Угу. На рабочие сервера поставить побоялся - там нагрузки больше, чем на бекапах, где zfs таки успешно подвешивала систему (возможно исправили, конечно, но осадок остался). -- Stanislav
Re: Отзывы о практическом опыте использования ZFS на Linux
11 мая 2015 г., 13:56 пользователь Bogdan написал: > Поставил ZFS с http://zfsonlinux.org, на первый взгляд - работает. Если > кто-то использовал линуксовый порт в продакшене, под нагрузкой либо просто > продолжительное время - расскажите плс., какие проблемы возникали, насколько > надёжным получилось решение. Теста ради ставил. Отказался по двум причинам: 1) 12Гб памяти недостаточно для дедупликации более-менее большого массива (хотя ради этого и ставил), 2) версия годовой давности периодически подвешивала сервер до сброса при большом iops (порядка 2000, что являлось предельным для того массива). -- Stanislav
Re: просмотр html-вложений в mutt
17 апреля 2015 г., 13:43 пользователь Sohin Vyacheslav
написал:
>> text/html; /usr/bin/w3m -dump -I %{charset} -T text/html '%s';
>> copiousoutput; description=HTML Text; nametemplate=%s.html
>
> попробовал Вашу строку указать в .mailcap-то же самое... может еще в
> muttrc что-то надо указать?
из моего .muttrc:
auto_view text/html
alternative_order text/plain text text/*
--
Stanislav
