Re: Хуки для wpa_supplicant
On Sat, 31 Aug 2024 00:26:35 +0300 Eugene Berdnikov wrote: > Коллеги, > > есть ноутбук, которому приходится часто (по нескольку раз в день) > переключаться между различными точками доступа WiFi, подключенным > к разным сетям и разным интернет-провайдерам. Хочется, чтобы при > каждом таком переключении сеть поднималась и конфигурилась > максимально быстро, желательно полностью автоматически. > Если не хочется свяываться с новомодными монстрами, вроде NM, то читать /usr/share/doc/wpasupplicant/README.Debian.gz на тему roaming mode. Я этим roaming mode пользуюсь уже много лет и никогда оно не подводило. Реально мой /etc/network/interfaces.d/wlan0 выглядит примерно так: allow-hotplug wlp3s0 iface wlp3s0 inet manual pre-up rfkill unblock wlan wpa-roam /etc/wpa_supplicant/wpa_supplicant.conf iface default inet dhcp hostname my-notebook-namе --
Re: libsqlite3-dev - error
В Wed, 26 Jun 2024 04:46:34 +0300
Serge Shu пишет:
> Rus error:
> libsqlite3-dev : Зависит: libsqlite3-0 (= 3.40.1-2) но 3.42.0-1
> должен быть установлен
В системе откуда-то взялся libsqlite3-0 версии 3.42.0-1. Может с
полгода назад ставился из тестинга (сейчас там 3.46.0-1), может из
какого-то левого источника пакетов.
А пакет libsqlite3-dev пытается поставиться из основного дистрибуитва.
И не может, потому что версия libsqlite3-dev должна точно
соответствовать версии libsqlite3-0. А стоит более свежий.
Наиболее правильный путь решения проблемы - сдаунгрейдить libsqlite3-0
до дистрибутивного, которому соответствует дистрибутивный
libsqlite3-dev. Но от этого может сломаться тот пакет ради которого в
свое время был поставлен неродной libsqlite3-0. Надо выяснить что это
за пакет и разбираться что с этим делать. Возможно придется брать более
новые libsqlite3-0 и libsqlite3-dev, поскольку версию 3.42.0
я сейчас нигде в репозиториях не вижу. Хотя.. Из ubuntu 23.10 она.
Оттуда же можно взять и libsqlite3-dev соответствующей версии. Но лучше
так не делать. Не надо мешать Debian и Ubuntu, особенно если не
понимаешь всех последствий.
На будущее НИКОГДА НИКОГДА НИКОГДА не ставить версий ubuntu у которых
первое число в номере версии нечетное или у которых второе число не 04.
Апрельские версии по четным годам - Long Term Support, ими можно
пользоваться. Апрельские версии по нечетным и все октябрьские - interim
release, они только для тех кто понимает что делает и зачем. Человеку
--
Victor Wagner
Re: Используете ли вы антивирус и фаервол?
> > То есть вариант "все в одном = свитч + роутер + точка доступа + > > почтовый сервер + торрентокачалка" из бананы не получился. > > хотя если точек доступа все равно нужно несколько, то такой вариант > > вполне приемлемый. > А зачем на банане почтовый сервер? Нет, ну на одного пользователя - > может быть. А на пяток - уже памяти маловато будет. С торрентами - Там папияти - гиг. Я еще помню времена когда сотни пользователей обслуживались почтовым сервером с парой десятков мегабайт. Так что на семью точно хватит. > та-же история, там надо память, я уже не говорю про диск. А чего говорить про диск? Там на плате SATA-разьем припаян. Втыкай хоть терабайт. > > Правда, он становится интересен только если дома есть внешний > > IP-адрес. Иначе все равно придется платить за что-то на хостинге у > > провайдера, через что будет пересылаться почта. > Нет, ты меня удивляешь. Стоимость фиксированного IP уже давно равна > стоимости kmv vps сервера на хостинге. Из всей разницы - кому нести > деньги и как это будет работать, если у тебя дома потух свет. И из > хостера вытрусить нормальную обратную зону гораздо проще, чем из > хоячкового провайдера. Принципиальная разница - чтобы перлюстрировать почту на моей банане, надо прийти ко мне домой с ордером на обыск. То есть я уж точно буду знать о том, что это произошло. Чтобы перлюсттрировать почту на хостинге, достаточно прийти в хостинговый датацентр. И можно взять с сотрудников хостера подписку о неразглашении, чтобы они не могли мне об этом сообщить. > > Вот это интересная мысль - включать в UPS PoE-адаптер, а все > > остальное запитывать от него. > Вот видишь, у тебя уже правильные мысли. Только заклинание UPS тут > лишнее, удорожает. Проще взять какой meanwell PSC-60A, батарейку 12v > 9Ah, и DC-DC повышаек с 12v на 48v. Оно хоть будет работать дольше > чем пол часа. UPS это Uninterraptable Power Suplly, а не заклинание. В какую бы хрень батарейку не втыкатЬ, она по смыслу будет UPS > > > > Удобнее когда СМС-ки от провайдера приходят в тот же > > > > веб-интерфейс, в котором настройки файрволла и вайфая. > > > Эм, никогда не понимал, зачем мне в модем пишет оператор и всякий > > > МЧС. Особенно красиво это наблюдать, когда смс приезжает в > > > юникоде. Прям гордость берёт. > > > Ну мегафон, например шлет SMS-какми одноразовые пароли к личному > > кабинету. > У мегафона давно можно сделать один номер главным и рулить всеми > остальными с него. У теле-еле2 тоже. Зачем принимать сообщения в > модем - моя не понимать. Затем что у меня это единственный номер от мегафона. В телефоне другой провайдер. Чтобы на случай если сдохнет базовая станция мегафона, можно было через телефон подключиться к базовой станции МТС. > Хахахаха. Послезавтра гуголь выкатит новое обновление и твой телефон > перестанет коннектиться к 10 летнему роутеру, т.к. тот не соотвествет > политикаv безопасности, не поддерживает WEP14 и вообще. Послезавтра гугль выкатит новое обновление. Потом пройдет три года, прежде чем китайцы соберутся с этим обновлением выпустить телефон, а потом еще два года, пока я соберусь его купить. И обновлений прошивки они для этого телефона выкатывать не будут. Сейчас у меня на телефоне андроид 11. Куплен телефон год назад. Обновляться не пытался. На преддыщущем телефоне, купленном примерно два года назад, была по-помоему семерка. > Витус, ты тут уже путаешь понятия. Совсем путаешь. "vendor lock in" > это когда ты без железа/софта вендора ничего сделать не можешь. А в > случае с offload engine - хочешь пользуйся, хочешь нет. Нет, vendor lock in, это когда я не могу в любой момент послать этого вендора переехать на железку от другого. А если в железке есть функциональность, которой я не пользуюсь, то это плохо, потому что я заплатил деньги за то, что мне не нужно. В современном мире это, конечно, неизбежно, но лучше таки поменьше такого иметь. > > Вспомните как стонали пользователи Microsoft Office, когда > > им вместо привчных CUA-шних менюшек в очередной версии офиса > > вкрутили полоски. Или там появление Mate как форка GNOME потому > > что люди не > Пользователи софта от MS должны страдать, это надо в лицензию > вписывать отдельным пунктом. Все вендоры софта одним миром мазаны и MS еще из лучших.(если с тем же гуглем сравнивать, к примеру). Впрочем тут страдать приходится не только пользователям проприетарного софта. Возьмем к примеру Gnome. Там обновление интерфейса настолько не понравилось многим, что народ собрался и форкнул от старой версии Mate. > > > Я бы конечно приедпочел DD-WRT, потому что у него веб-интерфейс > > поэргономичнее чем Luci, но увы HCL у openwrt длиннее. > А зачем тебе web-интерфейс то? Ты же конфиги собрался копировать, а не > вручную мышкой гуевозить? ну как - есть две разные задачи: 1. Перенести конфигурацию со старой железки на новую. Это копированием конфигов делается. 2. Поменять конфигурацию в связи с какими-то изменившимися обстоятельствами. Ну там провайдер сменился или появилась потребность про
Re: Используете ли вы антивирус и фаервол?
В Tue, 16 Apr 2024 23:00:36 +0300 "Andrey Jr. Melnikov" пишет: > Victor Wagner wrote: > > В Wed, 10 Apr 2024 10:53:40 +0300 > > "Andrey Jr. Melnikov" пишет: > > > > > > Очевидно, что при выборе домашнего роутера меня будут > > > > волновать: > > > > > > > 1. Наличие его в HCL openwrt > > Не, если тебе задорого охота покупать всякое г-но - то можно смотреть > в HCL. Но там и с замшелыми древностями - проблема. Всё, что более > менее работает - это дряхлый atheros (который нонче qualcomm), > складывается при 100 мегабитах трафика. Boradcom? Ну это тот ещё Ну у меня в аплинке все равно столько нет. Поэтому мне хватит. > MT7621/7622/7981. Отфильтруем по флешу (больше 128) и памяти (больше > 512) и тут от выбора не остётся совсем ничего. При этом, куча Ну куда столько? > нормальных плат типа Orange Pi/Banana Pi - нет ни в TOH, но в Вот эксперимент с Banana PI R1 в качестве роутера я проводил, и признал неудачным. Там родной Wi-Fi оказаслся хреноватеньким. То есть все равно один из 4 эзернет разъемов пришлось тратить на то чтобы воткнуть туда тупой D-Link. То есть вариант "все в одном = свитч + роутер + точка доступа + почтовый сервер + торрентокачалка" из бананы не получился. хотя если точек доступа все равно нужно несколько, то такой вариант вполне приемлемый. Правда, он становится интересен только если дома есть внешний IP-адрес. Иначе все равно придется платить за что-то на хостинге у провайдера, через что будет пересылаться почта. > > снабжать бесперебойным питанием две железки в разных углах > > квартиры. > Железки и так подключены кабелем, подключить их через PoE 802.3af/at > тоже просто. Вот это интересная мысль - включать в UPS PoE-адаптер, а все остальное запитывать от него. > Да, для тебя будет открытием, что в любом USB модеме есть свой > web-интерфейс? Только вот не везде его тебе показывают, прикрываясь Не в любом. Был у меня один USB-модем (билайновский, насколько я помню) куда web-интерфейс положить забыли. Точно такой же мегафоновский - с веб интерфейсом. И даже пароль на вход телнетом у них одинаковый. А тут нет. > > Удобнее когда СМС-ки от провайдера приходят в тот же веб-интерфейс, > > в котором настройки файрволла и вайфая. > Эм, никогда не понимал, зачем мне в модем пишет оператор и всякий МЧС. > Особенно красиво это наблюдать, когда смс приезжает в юникоде. Прям > гордость берёт. Ну мегафон, например шлет SMS-какми одноразовые пароли к личному кабинету. > Оооо. Покажи ка мне LTE модем с полностью открытой прошивкой? Можешь > за одно wifi показать. Только новый что LTE что WiFi. Или для тебя Зачем мне новый? Я покупаю роутер из соображений чтобы работал 10-15 лет и не собираюсь тратить еще денег только потому что маркетологи выкатили новый баззворд. > > Вот этого как раз не надо. Потому что ядро openwrt процессор грузит, > > конечно, но это линуксовое ядро, в котором файлволл понятно как > > работает, и понятно что умеет. И при замене этого роутера на любой > > другой совместимый с openwrt, конфиги туда переносятся > > копированием. > Ага, производитель делает ему хорошо, чтоб дохленький процессор > разгрузить - а ему не надо. И никаких противоречий с фаирволом и Вот именно что я боюсь данайцев дары приносящих. "производитель делает хорошо" это называется "vendor lock in". А производитель - явление ненадежное. Может разориться, может оказаться отделенным санкционным барьером, может решить что "хорошо" это не так как вчера, а совсем по-другому. Вспомните как стонали пользователи Microsoft Office, когда им вместо привчных CUA-шних менюшек в очередной версии офиса вкрутили полоски. Или там появление Mate как форка GNOME потому что люди не хотят переучиваться на то, что считают правильным разработчики. Поэтому мне нужно решение, которое будет работать с железом максимально большого количества производителей. Я бы конечно приедпочел DD-WRT, потому что у него веб-интерфейс поэргономичнее чем Luci, но увы HCL у openwrt длиннее.
Re: Используете ли вы антивирус и фаервол?
В Wed, 10 Apr 2024 10:53:40 +0300 "Andrey Jr. Melnikov" пишет: > > > Очевидно, что при выборе домашнего роутера меня будут волновать: > > > 1. Наличие его в HCL openwrt > Бесполезное знание. Я бы даже сказал - обратно показательное. Ничего > действительно свежего в ихних HCL нет, всё 5и летней давности. И плюс > идеология "всё делаем как вендор" - ещё кучу девайсов делает не > поддерживаемой. Они там придумали себе OpenWrt One роутер на 20 лет > openwrt. Но по спецификациям он уже так себе. Свежего нет и не надо. Зато есть уверенностЬ, что если эта железяка сдохнет, я найду в ближайшем магазине хоть какой-то роутер попадающий в этот HCL, восстановлю конфигурацию из бэкапа и через час у меня все будет опять работать. С проприетарными операционными я не могу быть уверен что мне не придется потратить нескольоко дней на переписывание конфигурации файрволла потому что производитель предыдущей железки прекратил работать в России из-за санкций, а у китайского аналога - собственная гордость. > > 3. Параметры его wi-fi подсистемы > Это тоже отдельная железка. Ибо в большом городе 2.4G уже мало > работоспособно. Да и стоять она должна посреди дома для хорошего > охвата. Или даже не одна. Ну а что мешает протянуть провайдерский кабель до середины дома? У меня в московской квратире так и сделано. Это куда проще чем снабжать бесперебойным питанием две железки в разных углах квартиры. > > 4. Параметры его 4G подсистемы и возможность подключения внешней > > антенны для 4G. > И это тоже отдельная железка, желательно с PoE - ибо место ей на > крыше/мачте/окне желательно в одном корпусе с MMIO антенной. Почти > всё из модемов - USB, так что пойдёт любой роутер с USB, переходником Вот тут отдельная железка серьезно ухудшает эргономику. Потому что у отдельной железки в есть отдельный web-интерейс. У роутера один интерфейс, у модема другой, при этом еще между модемом и роутером отдельная серая сетка из 192.168.0.0/16. Удобнее когда СМС-ки от провайдера приходят в тот же веб-интерфейс, в котором настройки файрволла и вайфая. > USB-miniPCIe и модемом в формате miniPCIe. Так проще вынуть и > выкинуть модем если что. При этом - роутер должен уметь управлять > питанием USB, т.к. модемы имеют свойство глючить (спасибо криворуким > китайцам пишущим для них прошивки!). И желательно, чтоб питание было Вот-вот. И будем героически бороться с глюками проприетарных прошивок, вместо того чтобы воспользоваться прямым опенсурсным решением. > Ты бы при таких хотелках - не "Наличие его в HCL openwrt" искал, а > роутер с рабочим PPE (Packet Processing Engine, который занимается > Hardware Flow Offloading для разгрузки дохлого проуессора роутера от > перекладывания пакетиков в wifi/ethernet внутри микросхемы). Вот этого как раз не надо. Потому что ядро openwrt процессор грузит, конечно, но это линуксовое ядро, в котором файлволл понятно как работает, и понятно что умеет. И при замене этого роутера на любой другой совместимый с openwrt, конфиги туда переносятся копированием. > Это тебе не нужно, а мне - нужно. У меня одних WiFi точек - три > штуки. Не считая микро-серверочков и прочих показывалок мультиков в > телевизор, у которых wifi подключен как SDIO - поэтому А у меня НЕТ ТЕЛЕВИЗОРА. Вообще. И соответственно проблема гонки разрешений стриминговых сервисов - блюрей там, 4к или что еще бывает, меня не волнует абсолютно. Все равно еще ни один режиссер не сумел снять такой фильм, который бы в DVD-шном разрешении что-то терял по сравнению с более высокими. --
Re: Используете ли вы антивирус и фаервол?
В Tue, 09 Apr 2024 10:19:11 +0300 "Andrey Jr. Melnikov" пишет: > Victor Wagner wrote: > > В Mon, 08 Apr 2024 10:44:53 +0300 > > "Andrey Jr. Melnikov" пишет: > > > > Victor Wagner wrote: > > > > В Sun, 07 Apr 2024 22:16:00 +0300 > > > > "Andrey Jr. Melnikov" пишет: > > [...] > > домашних роутеров эзернет-порты по прежнему сотка, даже не гигабит > А ты не хоти по этим помойкам с жадными продавцами. Я лично не беру > вообще ничего, у чего эзернет меньше гигабита. Зачем мне железки > позапрошлого века? Зачем мне во домашних условиях, где все равно сеть в основном для хождения наружу, сеть настолько превосходящая производительность аплинка? Очевидно, что при выборе домашнего роутера меня будут волновать: 1. Наличие его в HCL openwrt 2. Наличие у него встроенного аккумулятора, чтобы не требовалось туда отдельный UPS вешать на случай отключения электричества. 3. Параметры его wi-fi подсистемы 4. Параметры его 4G подсистемы и возможность подключения внешней антенны для 4G. И только после всего этого - эзернет. Потому что к эзернету подключится один десктоп и от силы два-три ноутбука, и то ноутбуки большую часть времени (когда не нужно перекачивать большие объемы между ними) будут подключаться по WiFi вместе со смартфонами и планшетами. И естественно, отдельного 8 портового свитча управляемого там или неуправляемого в такой конфигурации не нужно. В wi-fi роутере есть пять портов, из которых один может быть аплинком, (если аплинк не 4G) а остальных четырех мне хватит на десктоп, пару ноутбуков и принтер. >
Re: Используете ли вы антивирус и фаервол?
В Mon, 08 Apr 2024 10:44:53 +0300 "Andrey Jr. Melnikov" пишет: > Victor Wagner wrote: > > В Sun, 07 Apr 2024 22:16:00 +0300 > > "Andrey Jr. Melnikov" пишет: > > > > Victor Wagner wrote: > > > > В Thu, 4 Apr 2024 11:26:23 +0300 > > > > Jan Krapivin пишет: > > > > Ага, только у конечного устройства есть свой процессор и излишнее > > > шифрование ssh скорости не добавляет. между доверенными сетями > > > проще rsync через родной протокол использовать. > > > Когда-то давно, в прошлом веке, я тоже так думал. rsync тогда еще не > > было, но был rsh/rcp с авторизацией по ip-адресам. > Он и сейчас остался. > > > Но где-то году в 2005 я работал в фирме, занимавшейся разработкой > > криптографического софта, и мы там провели бенчмарки, выясняя > > сколько нужно процессора для того чтобы шифровать со скоростью > > канала. > > > Вывод был такой что гигагерцового интел-совместимого процессора на > > шифрование траффика со скоростью 100Мбит/c вполне достаточно. > В календарик загляни, 2024 год на дворе. И прекрасных, жрущих > электроэнергию интеловских камней увы уже не хватает, чтоб загрузить > 10G канал. Да и в ральности - часть коробок уже не на интелях, а на 10G канал? В домашних условиях? Сейчас как заглянешь в магазин, так у большей части продающихся там домашних роутеров эзернет-порты по прежнему сотка, даже не гигабит > более хлипеньких ARM/MIPS/RISC-V5 которых прекрасно хватает для > обеспечения нужд хранения данных, но не хватает для шифрования в > "скорость канала" ибо там уже 1G/2.5G линки. Вот у этих хлипеньикх ARM/MIPS/RiSС-V скорее всего узкое место при передаче данных тоже будет не в процессоре. Во всяком случае во всех, которые попадали в руки мне, проблема была либо в эзернет-чипе, либо в его связи с процессором по USB. > > > С тех пор я как-то не пытаюсь экономить процессорные мощности, а > > предпочитаю экономить собственные усилия. Уж больно ssh обеспечивает > > удобный single sign-on. > А никто у тебя это не отнимает. Просто зайти параллельно на тот-же > хост, запустить 'printf "[mnt]\n/куда/оно/там/\nuid=0\ngid=0\n" > >/tmp/rsync.conf && rsync --daemon --no-detach' для запуска демона Вот когда надо просто зайти и что-то сделать, это уже не single sign-on. single signon это когда ты утром в начале рабочего дня логинишься в систему, у тебя там в память загружается ssh-агент, который введенным тобой при логине паролем расшифровывает ключ ssh, и ты до самого конца рабочего дня забываешь о необходимости где-то как-то аутентифицирвоаться. Просто запускаешь команду, а она уже дальше сама. То есть лишних телодвижений ровно 0.
Re: Используете ли вы антивирус и фаервол?
В Mon, 08 Apr 2024 09:20:59 +0400 Денис Ильин пишет: > - все > > > Ого, похоже ещё кто то не в курсе этой почти шпионской истории про > xz-utils. Вот тут есть немножечко деталей. > Security Week 2414: последствия взлома xz-utils / Хабр (habr.com) > В данной статье на хабре не объясняется, почему при обновлении пакета в debian sid не была поднята эпоха, а были приделаны какие-то странные суффиксы к версии пакета (а версия апстрима оставлена как была с бэкдором). Подозреваю что у мейнтейнера объяснение есть. Но опубликовано ли оно где-нибудь - искать лень. > >> а в sid быстро-быстро liblzma обновился до версии > >> 5.6.1+really5.4.5-1. > > > > > > Чушь какая-то. Для этого же в версии есть эпоха. Была какая-то > > особая причина добавлять странный суффикс "+really5.4.5-1" вместо > > того, чтобы сделать "1:5.4.5-1", мейнтейнер что-нибудь говорил? > >
Re: Используете ли вы антивирус и фаервол?
В Sun, 07 Apr 2024 22:16:00 +0300 "Andrey Jr. Melnikov" пишет: > Victor Wagner wrote: > > В Thu, 4 Apr 2024 11:26:23 +0300 > > Jan Krapivin пишет: > Ага, только у конечного устройства есть свой процессор и излишнее > шифрование ssh скорости не добавляет. между доверенными сетями проще > rsync через родной протокол использовать. Когда-то давно, в прошлом веке, я тоже так думал. rsync тогда еще не было, но был rsh/rcp с авторизацией по ip-адресам. Но где-то году в 2005 я работал в фирме, занимавшейся разработкой криптографического софта, и мы там провели бенчмарки, выясняя сколько нужно процессора для того чтобы шифровать со скоростью канала. Вывод был такой что гигагерцового интел-совместимого процессора на шифрование траффика со скоростью 100Мбит/c вполне достаточно. С тех пор я как-то не пытаюсь экономить процессорные мощности, а предпочитаю экономить собственные усилия. Уж больно ssh обеспечивает удобный single sign-on.
Re: Проверка орфографии в LibreOffice Writer
В Fri, 5 Apr 2024 14:36:32 +0300
Jan Krapivin пишет:
> По первому пункту тупанул. Нужно не выделять слово, а просто нажимать
> на него сразу правой кнопкой мыши.
>
> А Language Tool кто-то пользуется?
Я пользуюсь. Но в vim, а не в libreoffice.
--
Victor Wagner
Re: Используете ли вы антивирус и фаервол?
В Thu, 4 Apr 2024 15:48:27 +0200 Konstantin Matyukhin пишет: > Подозреваю, что не любит GMail quoted-printable кодировку в письмах :) А я вообще грешил на SPF + DMARC. Думал что-то не то там прописал, что гугль мои письма в подозрительные записал. Причем не те, которые прямые, прямые ходят, а именно через списки рассылки. > > On Thu, Apr 4, 2024 at 3:11 PM Jan Krapivin > wrote: > > > У меня на Гмыле его письма ушли в спам. Такое часто бывает, к > > сожалению. > > > > чт, 4 апр. 2024 г. в 14:06, Maksim Dmitrichenko > > : > >> Почему-то не вижу писем Витуса Вагнера. Только по ответам понимаю > >> о чём речь. > >> > > -- Victor Wagner
Re: Используете ли вы антивирус и фаервол?
В Thu, 04 Apr 2024 13:38:05 +0300
Dmitrii Kashin пишет:
> А так, вообще, защищать нужно то, что должно быть защищено. В моей
> политике безопасности домашняя вафля ничем не отличается от точки
> доступа в макдаке. Это априори незащищённый контур. И рассматривать
> его иным равносильно тому, что ты НЕ дашь к нему доступ гостю, что по
> меньшей мере не вежливо.
>
Иным рассматривать надо свой компьютер. Который в этот самый
незащищенный контур включен. А если это ноутбук, то может и в
макдаковском вайфае оказаться. Поэтому файрвол в этом компьютере - вещь
полезная.
--
Victor Wagner
Re: Используете ли вы антивирус и фаервол?
В Thu, 04 Apr 2024 13:02:01 +0300
Dmitrii Kashin пишет:
>
> Антивирус штука бесполезная: вместо этого нужно контролировать
> источники программ и запускать только проверенное.
Здесь подпишусь. Хотя это идеальный случай, иногда приходится
поступаться принципами. Но на то есть schroot, lxc и firejail.
>
> Фаервол дома смысла особо нет, а в рабочем контуре -- ну так там либо
> циска, либо облако с secgroups.
Вот тут не соглашусь.
Во-первых, может прийти в гости кто-нибудь с затрояненым смартфоном или
планшетом и ты его пустишь в свой Wi-fi.
Во-вторых, в многоэтажном доме каждая Wi-fi сетка видна в десятках
квартир. А wpa2 - защита довольно ненадежная. Так что иметь
дополнительный контур защиты от квартирной локальной сети не помешает,
тем более что это почти ничего не стоит ни по расходу времени на
настройку, ни по расходу вычислителных ресурсов.
> Тысячи хостеров предоставляют услуги аренды VDS за бугром. Поднимаем
> на них ipsec или openvpn. Платим смешные деньги.
И настраиваем FoxyProxy чтобы оно автоматически решало через что ходить.
--
Victor Wagner
Re: Используете ли вы антивирус и фаервол?
В Thu, 4 Apr 2024 11:26:23 +0300
Jan Krapivin пишет:
> Здравствуйте!
>
> Используете ли вы на своих система антивирус и фаервол?
Файрволл - да, антивирус - нет.
>
> Считаете ли вы уместным использовать их на домашней системе без SSH?
У меня не бывает систем без sshd. Даже на смартфоне стоит sshd в termux.
Потому что устройств нынче у человека много - десктоп, ноутбук,
смартфон, а в семье так еще больше. Ну не через чужие же сервера между
ними данными обмениваться, тем более что скорость передачи данных с
внешнего сайта ну никак не может быть больше скорости передачи данных
между домашним роутером и конечным устройством.
> Если используете, то какие? Сайт Clam AV не открывается из России.
> Обходите ли вы это как-то?
Ну я никогда не использую софт с сайта производителя, если есть
возможность его ставить из дистрибутива Debian. Потому что в софт из
дистрибутива хотя бы мельком заглянул дебиановский мейнтейнер. А чем
больше людей смотрело в код, тем больше шансов что туда не затешется
бэкдор вроде того, что недавно в liblzma нашли.
--
Victor Wagner
Re: Не запускается sshd в bullseye на виртуальной машине
В Fri, 16 Feb 2024 19:59:17 +0300 Dmitrii Kashin пишет: > Что бы сказал Фредерик Брукс на такое расточительство? =) Фредерик Брукс нам еще ответит за украденный 32-бит из архитектуры s390;-) (почему-то и спарк и power и arm 32-битные, а IBM-овские мейнфреймы - 31 битные) > > А если серьёзно, Вы почему-то делаете предположение, что у нас нет > нормальных тест-сьютов. Но это ошибочно. Если мы будем полный > тест-сьют на каждую сборку запускать, то вы же, разработчики, первые > прибежите с претензиями "а что так долго сборку ждать, я никак таску > не могу закрыть, а с меня уже требуют". В общем, обычно в фичбранче > прогоняются только юнит-тесты, а полный тест-сьют запускает уже QA > перед мерджем. Мы тут не про разработчиков, мы тут про мейнтейнеров пакетов. Это разные роли, и их должны исполнять разные люди. Во всяком случае в отношении одного и того же пакета. Поэтому я, кстати, никогда не пытался стать мейнтейнером своих программ, которые попали в Debian. Потому что им я разработчик, а не мейнтейнер. Как сказал Эрик Раймонд, "Given enough eyeballs all bugs are shallow". Вот одна пара - это точно не enough. Поэтому вторая пара глаз - мейнтейнера, который смотрит на код с другой точки зрения, чем разработчик, необходима. У разработчика на машине, и даже на общем для команды разработчиков VCS хосте где запускаются тесты на коммиты во фича-ветки, совершенно не обязательно иметь чистую среду. Там все -dev пакеты могут быть заранее поставлены. Но у них там будет от силы пяток разных сред. Именно в силу необходимости балансирования скорости прогона и широты покрытия. А вот на этапе пакетирования, где контролируется правильность написания spec или debian/control - там нужны воспроизводимые билды в воспроизводимой среде. И тестовые среды тоже должны быть воспроизводимыми. Раскатываться из архива образов перед каждым запуском. И здесь уже будет 30 дистрибутивов для 5 аппаратных архитектур. Впрочем у нас еще есть между этими двумя стадиями промежуточная, где максимальная широта охвата, то есть тестируются даже системы которые мы не поддерживаем и поддерживать не собираемся. Просто потому что баги которые вылезут на Solaris/Sparc сразу на x86_64 могут не замечаться годами а просто сажать производительность. > И работает, кстати, я подтверждаю. Но со стороны эксплуатации к > Вашему, Виктор, продукту -- на самом деле есть вопросы. > > Например, почему нет официального решения для построения HA-кластера? > Или почему есть официальная тулза для promote, а для demote -- нету? В нашем продукте - PostgresPro Enterprise и то, и другое уже есть. https://postgrespro.ru/docs/enterprise/16/biha А в апстримовском опенсурсном постгресе есть только то, с необходимость чего согласны все разработчики участвующие в сообществе. А тут у нас, EnterpriseDB и 2nd Quadrant есть разные мнения. И проталкивание какой-нибудь разработанной нами фичи иногда занимает годы. Так было например с covering indexes, которые у нас были еще в 9.5, а в апстрим были вмержены по-моему в 10. И не потому что мы их зажимали - на коммитфесте они висели. В конкретном случае HA-кластера у разных пользователей очень разные требования и одним "официальным" решением всех не удовлетворишь. Поэтому и расцветают все цветы. > -- Victor Wagner
Re: Не запускается sshd в bullseye на виртуальной машине
В Fri, 16 Feb 2024 10:59:25 +0300
Eugene Berdnikov пишет:
> > И с обменом файлами между контейнером и хостом (собранное
> > желательно куда-то деть).
>
> Для меня это было одной из главных причин, по которым docker пошёл
> на. С lxc всё намного проще и удобней, файлы доступны напрямую в
Докер - слишком overengineered. Ну собственно как и любое решение
набравшее популярность в массах. Меня например в нем больше всего
раздражает его желание по умолчанию использовать гугловские DNS а не
хостовые (откуда гугль знает про миррор в коапроативной сети. куда
контейнеру надо за пакетами ходить) и попытка править хостовый файрволл,
которая приводит к неработоспосбности на той же машине других систем
контейнеризации.
> отдельном каталоге. Правда, с lxc тоже нужно разбираться, хотя бы с
> созданием исходного образа, в то время как операции с VM в полностью
По-моему начиная с 4-й версии в lxc появился темплейт oci, который
позволяет паразитировать на докерном коммьюнити и качать образы для
контейнеров с докерхаба.
Но вот если готового образа контейнера на докерахбе нет, что скорее
правило, чем исключение для всяких отечественных дистрибутивов, то
конечно поставиться родным инсталлятором в виртуалку - проще.
Мы иногда так делаем - ставим виртуалку, потом через qemu-nbd
копируем ее файловую систему и делаем lxc-контейнеры. Хотя они тогда
огромные получаются - с GUI и все такое. Если типичный размер
контейнера созданного debootstrap, dnf или аналогами - полгига, то
типичный контейнер созданный путем копирования виртуалки - полтора-два.
--
Victor Wagner
Re: Не запускается sshd в bullseye на виртуальной машине
В Fri, 16 Feb 2024 17:07:11 +0300
Dmitrii Kashin пишет:
>
> Если сборки частые -- то есть большая разница, занимает она семь
> минут или одну (помножаем на число сборок в день, получаем количество
> сэкономленного времени. Если собирается что-нибудь явовское -- есть
Нет разницы. Потому что нормальные люди, которые хотят чтобы клиентам
достался работающий софт, после сборки запускают тесты. И тесты эти
работают часы, в лучшем случае десятки минут. Если у тебя тест сьют
занимает два часа, выигрыш шести минут на сборке абсолютно не важен.
А если у тебя тесты не занимают в 10-100 раз больше времени, чем
сборка, значит хреново твой пакет тестами покрыт.
>
> Это кстати тоже в пункт о "положении билд-серверов в сети". Где-то
> есть локальный миррор, где-то нет его.
Я от своих сотрудников всегда требую чтобы прерывание пьяным
экскаваторщиком оптоволоконного кабеля перед входом в датацентр, не
являлось поводом к несрабатыванию сборок и тестов по таймеру.
А то никогда не знаешь, где найдешь где потеряешь. То ли зарубежный
сайт перестанет пускать с российских IP, то ли роскомнадзор xml.org
заблокирует.
> Обычная DevOps-практика, в общем, заключается в том, что мы либо
Мы к счастью не девопсы, мы нормальная софтверная фирма. и производим
продукт который может использоваться не только на наших же серверах.
А к идее девопса (собаки оборотня меняющей пол вместе с ипостасью) я
испытваю глубокое отвращение.
Либо ты (программирующий) пользователь и не зарекайся на большее, либо
таки научись быть нормальным разработчиком и дистрибьютором.
--
Victor Wagner
Re: Не запускается sshd в bullseye на виртуальной машине
В Fri, 16 Feb 2024 16:17:18 +0300
Dmitrii Kashin пишет:
> А по существу, что ни выбери -- всё равно надо либо делать базовый
> образ с builddeps, либо каждый раз ждать, пока всё поставится. Докер
> ли, виртуалка ли... Pbuilder даже, и тот имеет архив с базовым
> имиджем. И он тоже потратит время, чтобы туда зависимости доставить.
> Без этого никуда.
И это хорошо и правильно, это гарантирует что все зависимости правильно
прописаны в debian/control. А если собирать пакет в рабочей системе, то
можешь запросто налететь на то, что-то забыл прописать, а пакет молча
собрался потому что у тебя-то — разработчика оно и так стоит.
А потом кто-то пересобрать попробует и у него не соберется.
Вот например такой пример. Собирал я сегодня допустим postgis для
bookworm. Это такая добрая штука, у него каких только зависимостей нет
apt говорит
4 upgraded, 415 newly installed, 0 to remove and 9 not upgraded.
Need to get 657 MB of archives.
(это базовый образ отрефрешить надо там 4 пакета обновились).
Все задание полностью, включая сборку и публикацию заняло 7 минут 24
секунды.
У почти любого другого пакета количество зависимостей будет сильно
меньше. Стоит ли ради этих единиц минут что-то экономить?
Ну конечно у меня оно эти 657Мб качало с локального миррора в той же
стойке.
--
Victor Wagner
Re: Не запускается sshd в bullseye на виртуальной машине
В Thu, 15 Feb 2024 23:33:31 +0300 Eugene Berdnikov пишет: > On Thu, Feb 15, 2024 at 10:50:22PM +0300, Victor Wagner wrote: > > В Thu, 15 Feb 2024 21:39:42 +0300 > > Eugene Berdnikov пишет: > > > > > В контейнерах есть и свой init/systemd, и отдельный namespace для > > > сети, позволяющий тестировать сетевые приложения. В этом смысле > > > что docker, что lxc -- пригодные для этого среды, а постгресс в > > > плане сети и инита ничего странного требовать не должен. > > > > В свое время пришллось очень сильно потрахаться в ситуациях когда на > > хосте и в контейнере существенно разные версии systemd (или с одной > > стороны systemd а с другой sysv init). > > Это другой вопрос. Речь шла о том, что для тестирования PG в плане > запуска и работы с сетью нет причин требовать полной виртуализации. > Есть причины. Как только речь заходит о системах мандатного доступа, нужна поддержка на уровне ядра. А эти системы бывают разные. Ну вот откуда в дебиановском ядре поддержка астровского parsec. Ну и про тесты использущие специфическую FUSE-файловую систему я уже упоминал. Это тоже связано с защитой данных - мы так проверяем что удаленные данные действительно исчезли с диска. (а уж как тестируется зачистка удаленных данных из RAM, это вообще песня) > > А если у тебя GUI и нужно тестировать с X Window, Wayland и что там > > еще нынче бывает? > > Теоретически X Window, Wayland & Ко должны уметь работать по tcp и > проксироваться через unix-сокеты, например, через ssh. Практически же > я неоднократно наблюдал с этим проблемы у Firefox и Libreoffice. > Но я думаю, что там что-то ломали в либах... Времени и желания Вот вот. В теории нет различий между теорией и практикой. а на практике ого-го какие различия. -- Victor Wagner
Re: Не запускается sshd в bullseye на виртуальной машине
В Thu, 15 Feb 2024 21:39:42 +0300 Eugene Berdnikov пишет: > > В контейнерах есть и свой init/systemd, и отдельный namespace для > сети, позволяющий тестировать сетевые приложения. В этом смысле что > docker, что lxc -- пригодные для этого среды, а постгресс в плане > сети и инита ничего странного требовать не должен. В свое время пришллось очень сильно потрахаться в ситуациях когда на хосте и в контейнере существенно разные версии systemd (или с одной стороны systemd а с другой sysv init). Вот как-то я рассказывал-рассказывал людям про то как под ОС МЦСТ запустить в контейнере относительно свежий альтлинукс, они послушали-послушали и сказали "нафиг эту МЦСТ, поставим альт на хост" При том что там и тогда выхода не было. На "Эльбрусах" аппаратная виртуализация начиная с Эльбрус 12. А то было 8С или 8СВ. Поэтому только lxc. > Ситуации, в которых контейнер не даёт делать полноценное > тестирование, встречаются нечасто. Например, с lvm в контейнере есть > проблемы. НУ у нас например есть тесты требующе монтирования специальной тестовой файловой системы через FUSE. Да. в конце концов удалоьс LXC запинать чтобы он это делал. А если у тебя GUI и нужно тестировать с X Window, Wayland и что там еще нынче бывает? -- Victor Wagner
Re: Не запускается sshd в bullseye на виртуальной машине
В Thu, 15 Feb 2024 13:47:48 +0300 Dmitrii Kashin пишет: > > On 14 Feb 2024, at 22:33, Misha Ramendik wrote: > > > > Всем привет! > > Мне нужно собрать пакет для bullseye. У меня Федора. > > Ну, поднял VM <...> Хочу поднять sshd и работать с VM по ssh. > > Действительно ли Вы этого хотите? > Если стоит задача собрать пакет, так просто возьмите контейнер с > bullseye. Уж какой-нибудь docker, полагаю, на федоре найдётся. > А протестирвать? Мы, например, на архитектуре x86_64 тестируем постгрес исключительно в виртуалках. Потому как сетевой сервис, взаимодействует с инитом и все такое. Тестировать лучше в системе имеющей полноценный init/systemd и отдельный от хоста сетевой стек. Хотя собирать и правда в schroot удобнее. И еще кто сказал что архитектура процессора на хосте и в виртуалке совпадает? -- Victor Wagner
Re: Не запускается sshd в bullseye на виртуальной машине
В Wed, 14 Feb 2024 23:05:50 +0300 Anton Gorlov пишет: > 14.02.2024 23:12, Misha Ramendik пишет: > > > Но не пускает. Permission denied (publickey). > > > > Пароль у рута есть, логиниться пытаюсь рутом. /root есть, > > /root/.ssh есть, принадлежат все руту. Что тут нужно сделать чтобы > > он стал пускать по ssh? > > > > > Вообще ходить рутом плохая идея by design Ну не факт что такая уж плохая идея. Есть случаи, когда без этого не обойтись. Например чтобы забэкапить rsync-ом на удаленную машину. (для этого у PermitRootLogin есть значение forced-commands-only) К сожалению Торвальдс почему-то очень не любит программ, работающих с дисковыми специальными устройствами помимо файловой системы, поэтому dump (который именно так и бэкапит, и ему не нужен доступ ко всем файлам, а только право на чтение специальных файлов в /dev) в linux был сломан в незапамятные времена и чинить его не собирается. Впрочем у dump есть свои security implication. Так что может Линус не так и не прав. Еще мне тут недавно надо было примонтировать большой раздел на /home на сервере, расположенном в дата-центре И соответственно для того, чтобы можно было выполнять административные действия не занимая /home, я временно подложил authorized_keys в /root/.ssh. Здесь конечно можно было рискнуть и переименовать старый /home на лету. Но если бы между сдвигаанием в сторону старого /home и монтированием нового что-то пошло не так, я бы обычным юзером туда не зашел. Это как розетку чинить не выключая пробок. Лучше уж временно разрешить рутом ходить. -- Victor Wagner
Re: Не запускается sshd в bullseye на виртуальной машине
В Wed, 14 Feb 2024 20:12:04 +
Misha Ramendik пишет:
> Это удалось победить. Нагуглилось сделать /usr/bin/ssh-keygen -A и
> сервис взлетел.
>
> Но не пускает. Permission denied (publickey).
Поскольку оно английским по бэкграунду пишет, что запрещен доступ по
публичному ключу и пароль даже не спрашивает, похоже что в
/etc/ssh/sshd_config запрещена PasswordAuthentication или вообще или
для рута.
На первом попавшемся контейнере с bullseye там имеется
закомментировананя строчка
#PermitRootLogin prohibit-password
По-моему закомментированные строчки в дистрибутивном sshd_config
содержат значения опций по умолчанию. А если так, то руту по паролю
нельзя.
Варианта три:
1. Раскоментарить эту строчку и поменять prohibit-password на yes
2. Завести нормального юзера с правом на sudo и забыть про то что можно
ходить рутом.
3. Как-то притащить на виртуальную машину authorized_keys и ходить по
ключу.
--
Victor Wagner
Re: devuan
В Mon, 25 Sep 2023 00:04:03 +0700
Max Nikulin пишет:
> On 24/09/2023 20:29, Andrey Jr. Melnikov wrote:
> > Поздравляю, ты придумал init в софтине для UPS. Теперь все
> > остальные должны знать про неё - а она должна знать про всё
> > остальное.
>
> Нет. Я увидел сожаление, что такой хороший интерфейс, как SIGPWR не
> расширяют. Мне кажется это странным, если можно запускать в
Если хороший интерфейс расширить, он станет посредственным, а то и
плохим
--
Victor Wagner
Re: Too many open files in qemu
В Fri, 16 Jun 2023 14:10:10 +0400 sergio пишет: > On 16/06/2023 08:22, Игорь Чумак wrote: > > Ну, есть docker же. > > ну есть да, но он делает две помойки в /var/lib/docker и интырфейсах > Это вы еще не во все помойки, которые он делает, наступили. > интырфейсы можно по-человечески назвать, veth которые? Прямо даже не верится что дистрибутив Debian который уже четверть века остается образцом хорошего дизайна, и докер дизайнил один и тот же человек. --
Re: Too many open files in qemu
В Fri, 16 Jun 2023 04:52:04 +0400 sergio пишет: > On 08/06/2023 09:50, Игорь Чумак wrote: > > Почему не собрать андройд как в инструкции сказано? > > Установив тонны ненужного в свою систему? Не, спасибо. Как в > инструкции, кстати, не работает, но это другая проблема. > Если задача только в том, чтобы не засорять систему лишними файлами, то qemu это немножко overkill. Есть менее суровые решения по изоляции группы процессов с файловой системой. Можно, например lxc-контейнеры использовать. Но для сборочных задач я предпочитаю schroot, который, в отличие от lxc не пытается изолировать сетевые вещи. lxc хороша сервисы запускать в изолированной среде. А для сборки schroot вполне достаточен. Особенно приятной у обоих этих инструментов является возможность создания эфемерных контейеров/сейссий schroot с использованием overlayfs. Вот туда ставишь все что угодно, а вышел из сессии, оно уничтожилось, осталось только оригинальное состояние файловой системы, какое было на момент старта и результаты комипиляции в бинд-монтированном home.
Re: Too many open files in qemu
В Fri, 16 Jun 2023 05:10:21 +0400 sergio пишет: > On 08/06/2023 20:47, Victor Wagner wrote: > > > А что говорит /proc/sys/fs/file-max > > (ну и соответственно sysctl fs.file-max? > > Дефолтные 9223372036854775807, и на хосте и на госте. > > Дело было в virtiofsd, помогло обновиться на 8 qemu, запустить > virtiofsd с --rlimit-nofile самому, а qemu указать сокет. > Никогда не использовал virtiofsd. Всегда работал с образами дисков в формате qcow2 и даже raw. Вообще конечно штука интересная. Возможности подлкючить к виртуалке какую-нибудь хостовую файловую систему без использования SMB, RDP или чего-нибудь подобного часто не хватает. Сделали наконец, значит. --
Re: Too many open files in qemu
В Thu, 8 Jun 2023 04:21:03 +0400
sergio пишет:
> Хочу сделать странное: скомпилировать андроед.
> Попробовал в чруте -- там не дают, хотят сделать clone(2).
> Тогда решил сразу в qemu. Но там говорят "too many open files".
> В интырнетах пишут, что дело в ulimit, ну я прописал в
> /etc/security/limits.conf от души:
>
> * hard nofile 1024000
> * soft nofile 1024000
А что говорит /proc/sys/fs/file-max
(ну и соответственно sysctl fs.file-max?
>
> бутнулся, `ulimit -n` стал выдавать эти 1024000, но ошибка никуда не
> пропала.
>
> Я даже сделал тест:
>
> ```
> #!/usr/bin/perl
>
> my ($N) = @ARGV;
> my @fd;
> foreach ( 1 .. $N ) {
> open($fd[$_], '<', '/tmp/test') or die "Can't open: $!";
> }
> print "Done\n";
> sleep
> ```
>
> но он отлично работает в qemu и открывает столько файлов, сколько и
> даёт ulimit, хоть 1M и это видно в /proc
>
> Сдаётся мне дело не в ulimit, а может, в virtiofs?
>
> chroot и qemu запускаются на одном и том же корне, debian sid,
> скопированном с хост-системы.
>
Re: PPPoE hijacking
В Wed, 12 Apr 2023 22:10:50 +0300 Eugene Berdnikov пишет: > А перехват сессии это "надёжное решение"? Не смешите. Вы > перехватываете сессию, которую начал "провайдерский роутер", > незаменимый по той причине что пароль от PPPoE неизвестен, а крякнуть > прошивку нет скилов. Затем "провайдерский роутер" подвисает, а > провайдер в очередной раз обрывает соединение (по тыщеодной причине, > например, просто из желания ограничить время жизни пользовательских > сессий 24 часами). Вот и приплыли, что дальше предлагается делать? Ну значит теперь для ручного вмешателсьтва потребуется чтобы последовательно произошло два события 1. Завис роутер 2. Провайдер оборвал сессию. Если оба события достаточно маловероятны, то может случиться так что ручное вмешательтсово будет требоваться не раз в сутки, а раз в неделю. За это уже стоит побороться. -- Victor Wagner
Re: PPPoE hijacking
В Wed, 12 Apr 2023 21:00:35 +0400 Maksim Dmitrichenko пишет: > ср, 12 апр. 2023 г. в 20:39, Victor Wagner : > > > Через туннелирование КУДА? Если у человека нет места где можно > > организовать выход из тоннеля в той же стране, > > то мне лично желание понятно. > > > > У меня есть куда вынырнуть. А почему нужно, чтобы страна была той же? > Чтобы реклама таргетировалась правильно? ) > Потому что интернет разгораживают железными занавесами. И например на многие американские сайты пользователей с ЕС-овскими IP не пускают, потому что американцы не хотят заморачиваться с европейским законом о персональных данных. А еще на многих сайтах стоит прибитый гвоздями выбор языка по GeoIP. У меня, например, поскольку у меня по умолчанию приземление туннеля для нерусских сайтов в Германии, постоянно вылезает немецкий язык, несмотря на то, что браузер высылает Accept-Language, в котором немецкого нет. -- Victor Wagner
Re: PPPoE hijacking
В Wed, 12 Apr 2023 19:25:58 +0300 Eugene Berdnikov пишет: > >Так как PPPoE сессии не шифрованные, то теоретически можно > > сделать MITM, предоставив роутеру провайдера возможность > > авторизоваться в сети, а дальше работать со своего роутера через > > VPN, как бы захватив эту сессию. Да, криво, да нужно держать > > оригинальный роутер включенным и он займет один порт, но другого > > выхода я не вижу. Если кто-то знает альтернативное айтишное решение > > (то есть НЕ сменить провайдера/квартиру/страну), тоже > > приветствуется. > > Непонятно, хочется наделать таких "решений" с перехватом сессий > PPPoE для всех пользователей целого дома? Если нет, то нахрена это > городить когда есть простое и надёжное решение через туннелирование > квартирного трафика? Чай завернуть default route в туннель несложно. Через туннелирование КУДА? Если у человека нет места где можно организовать выход из тоннеля в той же стране, то мне лично желание понятно. -- Victor Wagner
Re: Как узнать какой пакет предоставляет сервис DBus
В Thu, 23 Mar 2023 23:40:35 +0700 Max Nikulin пишет: > On 23/03/2023 13:46, Victor Wagner wrote: > > > > Вот есть приложение, которое умеет извлекать полезную информацию из > > QR-кода. У него есть функция "take screenshot" поскольку QR-код, из > > которого надо извлекать информацию, часто бывает в окошке браузера > > на том же экране, что и приложение. (речь про otpclient) > > Речь ведь про https://github.com/paolostivanin/OTPClient ? Я мельком Речь конечно же про https://packages.debian.org/bullseye/otpclient но да, апстрим у него именно там. > > Не уверен, что gnome.Shell будет предоставлять кто-нибудь, кроме > gnome shell. Ну почему бы и нет? Желание использовать отдельные утилиты из Gnome не используя всего gnome есть у многих. > Интересно, вот такое только для песочниц или остальные > программы тоже могут пользоваться? > > busctl --user introspect org.freedesktop.portal.Desktop > /org/freedesktop/portal/desktop org.freedesktop.portal.Screenshot Пользоваться могут, но видимо не xотят > Наткнулся на детектив про Gimp. Если видит KDE, то отказывается > захватывать экран при выключенном compositing: > https://bugzilla.opensuse.org/show_bug.cgi?id=1100765#c15 > Сложилось ощущение, что приходится перебирать интерфейсы, которые > могут предоставлять разные DE, а универсального решения нет. По идее freedesktop.org и создавалась для того, чтобы обеспечить общие для всех стандарты и интероперабельность между различными DE. Но эта миссия была успешно провалена. -- Victor Wagner
Re: Как узнать какой пакет предоставляет сервис DBus
В Thu, 23 Mar 2023 10:55:22 +0300 Иван Лох пишет: > On Thu, Mar 23, 2023 at 09:46:42AM +0300, Victor Wagner wrote: > > > > Вопрос в том, можно ли с помощью базы apt, debtags и тому подобных > > средств узнать, какие у нас в дистрибутиве есть пакеты, которые > > предоставляют определенный сервис DBus? > > apt-file search org.gnome.Shell.Screenshot > gnome-shell-common: > /usr/share/dbus-1/interfaces/org.gnome.Shell.Screenshot.xml > Это как видим не то. Это описание этого интерфейса DBus, а не его реализация. -- Victor Wagner
Как узнать какой пакет предоставляет сервис DBus
Коллеги, вот такой вопрос:
Вот есть приложение, которое умеет извлекать полезную информацию из
QR-кода. У него есть функция "take screenshot" поскольку QR-код, из
которого надо извлекать информацию, часто бывает в окошке браузера на
том же экране, что и приложение. (речь про otpclient)
При попытке вызова этой функции выдается ошибка:
The name org.gnome.Shell.Screenshot was not provided by any service
file.
(Десктоп, естественно, не Gnome)
Задача - найти наиболее подходящее приложение которое бы предоставило
этот сервис, dbus и позволило функции заработать. Как я понимаю, на то
и DBus чтобы были альтернативные варианты.
Вопрос в том, можно ли с помощью базы apt, debtags и тому подобных
средств узнать, какие у нас в дистрибутиве есть пакеты, которые
предоставляют определенный сервис DBus?
--
Victor Wagner
Re: Как правильно подписывать пропиетарный драйвер nvidia для secureboot?
В Fri, 3 Feb 2023 10:46:50 +0300 Eugene Berdnikov пишет: > > Это, кстати, многие не понимают. Что всегда надо рассматривать две > > угрозы > > 1. Что ваши данные попадут не в те руки > > 2. Что ваши руки не дотянутся до ваших данных в тот момент, когда > > вам эти данные будут нужны. > > > > Предложенный тобой способ защищает от второй угрозы. А пользователи > > всяких FDE надеются, что применение этих средств защитит их от > > первой > > В слове FDE буква E как раз защищает, а вот FD, как верно было > замечено, скорее бесит нападающих и толкает их на применение > радикальных средств... Всё ценное должно быть зашифровано, включая > бэкап, но шифровать всё подряд это глупость, IMHO. А при таком подходе приходится головой думать, что ценное, а что не ценное. Что нужно защищать от несанкционированного прочтения, а что - только от несанкционированного изменения (что лучше делать не шифрованием, а подписью с её своевременной проверкой) -- Victor Wagner
Re: Как правильно подписывать пропиетарный драйвер nvidia для secureboot?
В Thu, 2 Feb 2023 20:35:05 +0300 Eugene Berdnikov пишет: > On Thu, Feb 02, 2023 at 06:40:40PM +0300, Victor Wagner wrote: > > Поскольку в мою модель угроз входит появление в доме вежливого > > офицера ФСБ с ордером на обыск или встреча с не менее вежливым > > таможенником при пересечении границы, меры, рассчитанные на > > противодействие этим угрозам, спасают и от излишне любопытного > > нашедшего ноутбук. > > Второй раз читаю тут про таможенника, и ума не приложу, какое может > быть дело таможне до содержимого диска... Биты и байты вроде никакими Таможенник - он человек государственный. А государству до всего есть дело. Со мной уже был случай когда магнитные носители которые я вез с собой в командировку в Австрию, проверяли. И был случай, когда ничего не проверяя, просто не пропустили. Пришлось сдавать в камеру хранения в Шереметьево. > пошлинами не облагаются, а у таможенника нет ни времени, ни средств > изучать их: другие пассажиры в очереди нервничают и матерятся. Ну понятно, что если человека задерживают по подозрению что он вывозит из страны секрентную информацию его из очереди отводят в такую неприметную комнатку поблизости. > К слову, лучшее средство от ордера на обыск -- бэкап, тщательно > спрятанный вне дома, плюс запасной комплект вычислительной техники к > нему, плюс заначка для того, чтобы сразу после обыска докупить ещё > один запасной комплект. Это, кстати, многие не понимают. Что всегда надо рассматривать две угрозы 1. Что ваши данные попадут не в те руки 2. Что ваши руки не дотянутся до ваших данных в тот момент, когда вам эти данные будут нужны. Предложенный тобой способ защищает от второй угрозы. А пользователи всяких FDE надеются, что применение этих средств защитит их от первой Кстати, лежащий вне дома бэкап помогает не только от обыска, но и от пожара, домовой кражи и даже от криптолокера (впрочем от криптолокера помогает и бэкап лежащий в ящике стола, на котором стоит компьютер) -- Victor Wagner
Re: Как правильно подписывать пропиетарный драйвер nvidia для secureboot?
В Thu, 2 Feb 2023 17:01:12 +0300 li...@mail.ru пишет: > 02.02.2023 16:45, Victor Wagner пишет: > > О, наконец мне кто-то объяснил зачем может быть нужна на ноутбуке > > full disk encryption - она защищает от подмены user-space > > бинарников, которые не защищает secureboot. > Не только. FDE еще полезно в случае потери или гражи ноутбука, чтобы > мне не пришлось судорожно не вспоминать, какие именно фотографии я на > нем хранил и нет ли там чего-то такого, что сделало бы мою жизнь чуть > более сложной в случае, если новый хозяин ноутбука будет достаточно > любопытен, чтобы покопаться в моих файлах. В случае FDE ему останется > только переформатировать диски. > Поскольку в мою модель угроз входит появление в доме вежливого офицера ФСБ с ордером на обыск или встреча с не менее вежливым таможенником при пересечении границы, меры, рассчитанные на противодействие этим угрозам, спасают и от излишне любопытного нашедшего ноутбук. -- Victor Wagner
Re: Как правильно подписывать пропиетарный драйвер nvidia для secureboot?
В Thu, 2 Feb 2023 15:57:32 +0200 Alexander Gerasiov пишет: > > > Так-то я всегда полагал что FDE это вещь скорее вредная, чем > > полезная, потому что является ярким сигналом "здесь есть что-то > > ценное". И провоцирует нашего противника на применение > > терморектального (или, в случае толетантных демократических стран > > rubber hose) крипоанализа. > Для грубой силы - вредная. Для угрозы "любопытный нос полез в > утерянный ноутбук" - всё же полезная. Мне как-то с трудом верится в любопытный нос, который в состоянии хакнуть пароль на grub или на bios (чтобы загрузиться с другого носителя). Когда заходит речь о таком уровне атакующего, это уже несколько намекает на таржетированную атаку. -- Victor Wagner
Re: Как правильно подписывать пропиетарный драйвер nvidia для secureboot?
В Wed, 1 Feb 2023 21:46:59 +0200 Alexander Gerasiov пишет: > On Wed, 1 Feb 2023 18:12:59 +0300 > Victor Wagner wrote: > > > В Wed, 1 Feb 2023 16:42:47 +0200 > > Alexander Gerasiov пишет: > > > > > > > Пароль можно добавить, но в моей модели угроз он не нужен. Для > > > меня secureboot это гарантия, что на моем хосте нельзя забутить > > > другую ОС и/или подменить ядро/загрузчик получив физический > > > доступ к ноутбуку. > > В случае физического доступа получить доступ к данным не получится > (так как они зашифрованы), но можно залить модифицированный > загрузчик/ядро/инитрамфс, так как что-то из этого должно > лежать на диске не зашифрованное. О, наконец мне кто-то объяснил зачем может быть нужна на ноутбуке full disk encryption - она защищает от подмены user-space бинарников, которые не защищает secureboot. Так-то я всегда полагал что FDE это вещь скорее вредная, чем полезная, потому что является ярким сигналом "здесь есть что-то ценное". И провоцирует нашего противника на применение терморектального (или, в случае толетантных демократических стран rubber hose) крипоанализа. Гораздо лучше было бы, если бы для того чтобы браузить интернет, вводить пассфразу для расшифровки тех данных, которые мы хотим скрыть от всего мира, не требовалось бы. Мы тут котиков смотрим. а данные себе лежат зашифрованные. И даже таможенник на границе, решивший проверить компьютер, их, скорее всего просто не найдет. Но вот для того, чтобы избежать подмены /usr/bin/ls или /bin/echo, увы, необходима либо сквозная система подписи исполняемых файлов с цепочкой доверия от BIOS до последнего скрипта, либо таки да, FDE. -- Victor Wagner
Re: Как правильно подписывать пропиетарный драйвер nvidia для secureboot?
В Wed, 1 Feb 2023 14:11:17 -0500
Tim Sattarov пишет:
.
> Чем сложнее получить доступ к данным, тем безопаснее.
Совершенно не факт, что защищать надо именно данные. Сейчас на
большинстве компьютеров достойных защиты данных нет. Есть только
выкачанная из сети информация, которую воровать нет смысла. Можно
честно скачать оттуда же, откуда ее взял владелец компьютера.
И тогда объектом защиты является сам компьютер, его вычислительные
ресурсы, и цель - не дать его превратить в элемент ботнета для DDoS или
майнер биткойнов (в интересах, естественно, отнюдь не того, кто
оплачивает счета за электроэнергию).
> SecureBoot усложняет доступ злоумышленникам. И то что нам не
> нравится, это то, что это усложнение недостаточно сложно.
SecureBoot похож на стоящий посреди чистого поля (ну ладно, густого
леса) КПП, вокруг которого нет никакого забора. Кому не лень, может
сойти с дороги и спокойно его обойти.
Если мы ведем речь о сетевых атаках, то скорее объектом атаки будут
userspace программы, которые secureboot вообще не защищает.
Если об атаках с физическим доступом, то против отвертки и паяльника
чисто программные средства мало чего могут сделать.
Поэтому и интересна модель угроз Александра Герасиова, который тут
упомянул что защищает свой ноутбук именно от физического доступа, но
пока не расписал, при каких ограничениях. Точнее, на какие варианты
физических угроз он готов тратить свое время и деньги, а какие лучше не
рассматривать.
>
> Мы можем рассуждать и ругать существующую ситуацию, или можем прийти
> к какому нибудь выводу, схеме, решению, которое может быть лучше, чем
> то что есть в данный момент. И начать пинать мейнтейнеров.
Начинать надо с себя. Безопасность она как фитнес. В какой бы дорогой
тренажерный зал ты ни ходил, каких бы продвинутых тренеров ни нанимал,
если сам не будешь впахивать до седьмого пота, мышц не накачаешь. Так и
с безопасностью.
Тут первое с чем надо определиться - а кто у нас решает, кому можно
доверять и в чём - мейнтейнер dkms, фирма микрософт, производитель
железа или все-таки владелец компьютера? Пока ответ на этот вопрос
"какая-то коммерческая фирма непонятно в какой стране", понятно чья
безопасность будет обеспечиваться и кто будет считаться потенциальным
злоумышленником.
--
Victor Wagner
Re: Как правильно подписывать пропиетарный драйвер nvidia для secureboot?
В Wed, 1 Feb 2023 10:48:47 -0500 Tim Sattarov пишет: > On 2/1/23 10:19, Victor Wagner wrote: > > В Wed, 1 Feb 2023 10:11:15 -0500 > Вот это уже интересно. А процесс защиты ограничен именно этими > алгоритмами? Если ограничиться только secure boot и интерфейсом с > BIOS/UEFI. Как бы выглядела идеальная защита там? > > Maksim Dmitrichenko выше недоволен отсутствием ввода секрета во время > подписи драйверов, что делает процесс больше фикцией, > Так как секреты (ключи подписи) находятся там же где и сами артифакты > для подписи. И ничего их не защищает. И это вполне законная претензия > только в получении рута на машине. Модули скачанные с сайта debian > подписаны майнтейнером. Там более менее можно ограничить доступ к Можно-то можно, но делается ли? Конечно если утечет ключ дебановского мейнтейнера, скорее всего шуму будет на весть интернет. Как я уже писал в соседнем письме, в наше время правильно использовать подобные защиты не умеет почти никто. Даже в этом треде термин "модель угроз" употребил только Alexander Gerasiov > секретному ключу. Но всё то что делает DKMS эту защиту опускает до > своего уровня - права доступа к директории с модулями. А DKMS это вообще паллиатив. Если мы используем DKMS, значит мы хотим использовать какие-то лиценизонно не совместимые с мейнлайн-ядром модули. Потому что если бы они были совместимы, был бы готовый пакет. То есть по хорошему счету, используя DKMS мы сразу говорим "мы тут доверяем какому-то левому коду исполняться в контексте ядра" Да, это конечно иногда наименьшее зло. Но, возможно что авторы DKMS именно так и рассудили, что снявши голову по волосам не плачут, и если мы используем dkms-модули вместе с secureboot, secureboot нам нужен не для безопасности, а для чего-то ещё (чтобы там TPM работал или чтобы какие-нибудь сертифицирующие органы отвязались). -- Victor Wagner
Re: Как правильно подписывать пропиетарный драйвер nvidia для secureboot?
В Wed, 1 Feb 2023 16:42:47 +0200
Alexander Gerasiov пишет:
> Пароль можно добавить, но в моей модели угроз он не нужен. Для меня
> secureboot это гарантия, что на моем хосте нельзя забутить другую ОС
> и/или подменить ядро/загрузчик получив физический доступ к ноутбуку.
А можно подробнее про эту модель угроз?
Что мы защищаем - данные на диске ноутбука или сам ноутбук как набор
вычислительных ресурсов?
Каким временем располагает атакующий, получивший физический доступ к
ноутбуку, и какие средства обнаружения такого доступа предусмотрены?
--
Victor Wagner
Re: Как правильно подписывать пропиетарный драйвер nvidia для secureboot?
В Wed, 1 Feb 2023 10:11:15 -0500
Tim Sattarov пишет:
> Если думаешь, что можно как то лучше и безопаснее - предлагай. Я
> понимаю, что обличать и открывать глаза иногда полезно. Но ключевое
> слово здесь "иногда".
По моим представлениям нужно:
1. Выстраивать непрерывную цепочку доверия от BIOS до конкретных
исполняемых модулей. Да, и скриптовых тоже, да, и разделяемых библиотек
тоже. То есть bsign это хорошо, но нужен еще scriptsign.
2. Проверка на подпись скриптов должна быть встроена в интерпретатор,
чтобы никакими средствами языка (. в shell, require в perl и т.д.)
нельзя было ее обойти.
3. По возможности физически разделять машины где ведется разработка (и
где подписываются исполняемые модули) и те, где защита секьюрбутом
применяется в боевом режиме в качестве защиты от реальных атак. Потому
что непонятно как совместить подпись каждого исполняемого файла в
системе с разработкой программ, а особенно скриптов-однострочников у
которых PKCS7-структура подписи будет больше места, чем содержательный
код занимать.
--
Victor Wagner
Re: Как правильно подписывать пропиетарный драйвер nvidia для secureboot?
В Wed, 1 Feb 2023 18:28:53 +0400 Maksim Dmitrichenko пишет: > вт, 31 янв. 2023 г. в 18:43, Tim Sattarov : > > > Тут встаёт вопрос а зачем вообще нужен Secure Boot. > > > > В моём случае когда то давно, когда я ставил дуал бут на лаптопе, > > 11-я винда очень хотела его и нельзя было иметь secure boot только > > для одной операционки. > > > > Неужель на винде нельзя отлючить SecureBoot? Вроде можно. > > Винде он нужен, чтобы нельзя было её активировать мимо кассы, > естественно. Линуксу, для того, чтобы руткитов избежать по максимуму. > Но если можно даже пускай с рутовыми правами, но без ввода пароля, > подписать любой модуль в бэкграунде, то увы, это говно. > В PKI и цепочки доверия в мире не умеет примерно никто ни в OpenSource ни в проприетарщине. Даже bsign из большинства дистрибутивов повыкидывали. Я его только в Astre имени различных российских городов видел. (в смысле во всех Special Edition, их у них там много). -- Victor Wagner
Re: Анонимная подкачка и контейнеры
В Thu, 24 Nov 2022 17:19:43 +0400
Maksim Dmitrichenko пишет:
> Всем хай!
>
> Граждане, никак не могу найти ответ на вопрос. Вот есть у меня
> допустим 100 контейнеров из одного имиджа, или 100 имиджей с общим
Какая система контейнеризации, какой способ монтирования образов?
Для того чтобы ядро могло понять что это одна и та же libc, где-то
должен быть примонтирован этот образ, а последующие слои цепляться туда
как overlayfs.
И то не уверен.
Мне так казалось что control groups на базе которых строятся системы
контейнеризавции предназначены как раз для того, чтобы сделать
полностью незвисимыми области памяти, используемые контейнерами.
> слоем (слоями). Будет ли скажем libc загружен в память единожды, так
> как это один и тот же бинарь из базового слоя, или же в каждом
> контейнере своя анонимная память?
>
--
Victor Wagner
Re: nftables vs fail2ban
В Tue, 22 Nov 2022 07:48:29 +0500 Stanislav Vlasov пишет: > > интересно: это что, так сложно написать бот, который понимает, что > > у пользователя на хосте авторизация по ключу и исключить > > ip/username из своей базы по перебору паролей? Или ботоводы > > надеются, что через пару минут я внезапно сменю авторизацию по > > ключу на авторизацию по паролю? > > Со стороны клиента не видно, какая там авторизация по ssh. > Точно так же, как не видно, какие пользователи есть на сервере. > запустите ssh -v и увидите что клиенту видно, что нет. -- Victor Wagner
Re: nftables vs fail2ban
В Mon, 21 Nov 2022 18:36:43 +0400
Maksim Dmitrichenko пишет:
> Всем хай!
>
> Решил я тут значит накрутить на VPS защиту от брутфорса по ssh. Давно
Самая лучшая защита от брутфораса паролей это PasswordAuthentication no
в /etc/sshd_config. Пользуйтесь только авторизацией по ключам и все
будет хорошо.
--
Victor Wagner
Re: Как закрыть порт 8080 в apache дебиана ?
В Tue, 23 Aug 2022 21:06:05 +0200 Viktor Karpovych пишет: > Я наверное покажусь не оригинальным если предложу отредактировать файл > конфигурации и рестартовать сервис апача. > __ > С наилучшими пожеланиями, > Виктор. У апача в Debian конфигурация разбита на чертову уйму файлов, некоторые из которых могут быть принесены совершенно посторонними пакетами. Например, у меня: vitus@deneb$ dpkg -S $(realpath /etc/apache2/conf-available/*) apache2: /etc/apache2/conf-available/charset.conf gitweb: /etc/apache2/conf-available/gitweb.conf javascript-common: /etc/apache2/conf-available/javascript-common.conf apache2: /etc/apache2/conf-available/localized-error-pages.conf apache2: /etc/apache2/conf-available/other-vhosts-access-log.conf radicale: /etc/apache2/conf-available/radicale-uwsgi.conf apache2: /etc/apache2/conf-available/security.conf apache2: /etc/apache2/conf-available/serve-cgi-bin.conf Надо делать grep -r Listen в /etc/apache2. И ежели Listen 8080 там обнауржится, смотреть из какого пакета взялся соотвествющий файл, и, возможнО, отключать его не редактированием руками, а с помощью команд a2disconf или a2dissite. (еще a2dismod бывает, но это вряд ли наш случай). Впрочем, возможно на порту 8080 слушает кто-то другой. Тогда netstat -nlpt в помощь. > > Вт 23. 8. 2022 в 18:19, Зиганшин Руслан : > > > Установлен дебиан с вебсервером по умолчанию (скоро курсы). > > Обнаружил, что доступны как localhost:80, так и localhost:8080. Но > > последний также использует медиаплеер VLC, если включить доступ по > > http. Вопрос: как отключить 8080 у настроенного по умолчанию > > apache2, чтобы этот порт мог занять VLC? > > -- Victor Wagner
Re: Распостранение дистрибутива через ed2k.
В Sun, 24 Apr 2022 21:23:41 +0500
Leonid . пишет:
> Здравствуйте, товарищи.
>
> Есть предложение: давайте предложим распространять выпуски debian не
> только по http и bittorrent, но и по edonkey2000. Есть также
> свободные клиенты этого протокола (например aMule, MLDonkey).
> Возможно, кому-то будет так удобнее. Заранее спасибо за внимание.
Вот вы организуйте распространение путем выкладки через свой MLDonkey
выкачанных по HTTPS образов, а потом предлагайте - "попробуйте,
смотрите как удобно".
--
Victor Wagner
Re: Raspberry PI, Bullseye, переключение раскладок
В Thu, 17 Feb 2022 11:44:05 +0300 Maksim Dmitrichenko пишет: > чт, 17 февр. 2022 г. в 11:17, Victor Wagner : > > > Ну вот как мы видим на примере переключения раскладок - не совсем. > > Поэтому лучше ставить Debian и если уж совсем припрет, тащить в него > > отдельные пакеты из vendor-специфик форков, не забывая выкидывать их > > нахрен при ближайшем dist-upgrade. > > > > И так, и не совсем так. Ничто не мешает мне отключить их > субрепозиторий и перейти на голый Debian'овский LXDE. Но проблему с > раскладками это не решит всё равно. Mutter в этой части одинаковый и > там, и там. Можно, конечно, взять другой WM, типа openbox. Но его > можно взять и в Raspberry PI OS. > В Debian по-моему openbox с lxde ставится по умолчанию. Во всяком случае когда я полтора года назад ставил Debian с нуля, так и было. -- Victor Wagner
Re: Какой ssh-пароль для рута при установке Debian bullseye на raspberry pi?
В Wed, 16 Feb 2022 20:38:05 +0300
Зиганшин Руслан пишет:
> Или там вход по ssh не от рута, а от pi? Но какой тогда пароль для
> pi? Или raspberry pi в любом случае нужно сперва подключить к
> клавиатуре и монитору, чтобы включить ssh?
Берем sd-карту с образом систему rasbperry pi втыкаем ее в кардридер
своей рабочей станции или ноутбука, монтируем и ставим туда такой
пароль какой хочется, равно как и включаем те сервисы, которые хочется.
(путем ручного создания симлинков где надо)
--
Victor Wagner
Re: Raspberry PI, Bullseye, переключение раскладок
В Wed, 16 Feb 2022 16:34:55 +0300 Maksim Dmitrichenko пишет: > вт, 15 февр. 2022 г. в 22:03, Victor Wagner : > > > Внимание, вопрос - а нафига ставить это гейское поделие, если на это > > железо прекрасно ставится нормальный полноценный Debian? > > > > Оно, наверное, прекрасно работает, если вы используете эту железяку > как сервер. У меня же это по сути полноценный компьютер, и там уже > важны дрова видео. Я особенно с этим не разбирался, но там какие-то Насколько я понимаю, в mainline Debian видео там вполне поддерживается. Может и более медленно будет работать, но менее глючно. > блобы поставляются для видео, 3D и видеоускорения, которых в базом > дебиане вроде как нету. Всё-таки Raspberry PI OS - это не совсем > BolgenOS - там есть свои дополнительные пакеты. А если их не юзать, > то это и так практически debian. Ну вот как мы видим на примере переключения раскладок - не совсем. Поэтому лучше ставить Debian и если уж совсем припрет, тащить в него отдельные пакеты из vendor-специфик форков, не забывая выкидывать их нахрен при ближайшем dist-upgrade. > -- Victor Wagner
Re: Raspberry PI, Bullseye, переключение раскладок
В Mon, 14 Feb 2022 21:49:50 +0300 Maksim Dmitrichenko пишет: > Развязка этой проблемы вообще оказалась возмутительной. Были сделаны > два pull request'а в репо Raspberry OS и открыт issue. Всё это > отвергнуто, потому что "в светлом будущем будет другой способ > переключения раскладок, а этот не будет работать". Когда это будущее > настанет не понятно (но явно не раньше релиза bookworm) и почему это > время нужно ожидать без работающего механизма переключения раскладок > - не понятно. Ну и да: переключение раскладок в Raspberry OS не > поддерживается вообще - официально (!!!), потому что эра немого кино > уже прошла, а звукового ещё не настала. > > [1] https://github.com/raspberrypi-ui/lxpanel-bullseye/pull/4 > [2] https://github.com/raspberrypi-ui/mutter-bullseye/pull/1 > [3] https://github.com/raspberrypi-ui/lxpanel-bullseye/issues/3 > Это только цветных и геев нельзя дискриминировать. А весь остальной > нелатиноалфавитный мир - да запросто! Внимание, вопрос - а нафига ставить это гейское поделие, если на это железо прекрасно ставится нормальный полноценный Debian? Более того, когда buster еще был testing, я ставил его на Raspberry PI 3B и он у меня туда ставился 64-битный, в то время как Raspberry PI OS еще 64-битной быть не умела. Я уже примерно лет двадцать назад пришел к выводу, что если на данное железо есть ОС от производителя железа, и есть ОС от компании или сообщества, которое только софтом занимается, то надо ставить ОС от чисто софтовой компании. Потому что те кто умеет железо, не умеют софт. Ну и то же самое касается драйверов. Драйвер от производителя железа будет глючить и виснуть. Драйвер от производиеля ОС - тормозитЬ, но работать. Последней фирмой, которая умела то и другое была Sun Microsystems. IBM вот последнее время не особенно и пытается софт, предлагая на свои сервера линуксы что для ppc, что для z390x. -- Victor Wagner
Re: Raspberry PI, Bullseye, переключение раскладок
В Mon, 24 Jan 2022 17:29:10 +0300 Maksim Dmitrichenko пишет: > Всем привет! > > Не совсем чистый Debian, но тем не менее. Купил ребенку Raspberry PI > 400, водрузили на него свежий Raspberry PI OS, который на основе > Bullseye сделан. Там Иксы и LXDE в качестве десктопа. Всё хорошо, > кроме того, что если настроить переключение раскладки с En на Ru > через их переключатель раскладок, как это рассказано в сотне статей и > видеороликах, то переключение не работает. Точнее видно, что на долю > секунды индикатор раскладки меняет свой флаг на российский, и потом > обратно переключается на американский. > > Кто-нибудь знает, как это преодолеть? Или хотя бы в какую сторону > копать, чтобы найти виноватого? Сейчас даже не понимаю чья это вина: > LXDE, xkb, x-сервера или кого-то ещё. > Помнится у меня давно отстроенный LXDE внезапно перестал переключать раскладки после установки Zoom из deb-пакета, скачанного с zoom.us. Этот самый zoom потянул за собой ibus, а та перехватила переключалку клавиатуры. Вылечилось это тыканьем в икогку ibus в tray и категорическим запретом ей брать переключение раскладок на себя. -- Victor Wagner
Re: Драйвера в Debian установщик
В Sun, 21 Nov 2021 17:28:11 +0300 John Berden пишет: > Всем привет. > > В наличии ноутбук Acer Nitra 5 со следующими параметрами: > Шестиядерный Intel Core i5-11400H > Чипсет системной платы Intel Tiger Point HM570, Intel Tiger Lake-H > DIMM1: Samsung M471A1K43EB1-CWE > DIMM3: Samsung M471A1K43EB1-CWE > Интегрированная видеокарта Intel(R) UHD Graphics > Дискретная видеокарта NVIDIA GeForce RTX 3050 Ti Laptop GPU > > Могу ли я драйвера для этих устройств встроить в установщик Debian? > Или хотя бы, как можно встроить Wifi драйвер? > Использую образ firmware-11.1.0-amd64-DVD-1.iso > > Заранее благодарен! > Поскольку ноутбук такой один, не факт что имеет смысл разбираться с тем, как создать свой установочный образ со своим набором драйверов. Задача же заключается в том, чтобы поставить систему до уровня, когда можно будет собрать драйвер с помощью DKMS. Это можно сделать более простым способом чем создание собственного установщика - взять мобильный телефон, который умеет работать в режиме USB-модема (А практически любой андроидный смартфон это умеет) и подключить к компьютеру по USB. -- Victor Wagner
Re: Что-то странное произошло с сетью
В Fri, 19 Nov 2021 17:21:42 +0400 Алексей Витальевич Коротков пишет: > Приветствую. > > Какая-то непонятная бурда с сетью. > > Произошло в точности не заметил когда, но в последние дни. Может, > вчера. > > Вот так примерно работают пинги (вложение ping.txt). > > А вот так попытка обновить пакетную базу (вложение apt.txt). > > В браузере веб-страницы открываются, но не все сразу, некоторые только > со второй попытки. Такое впечатление что почему-то машина разучилась работать по протколоу IPv4, и хочет до всего достукиваться только по IPv6. --
Re: Ядро 5.14 и драйвер Nvidia
В Sat, 2 Oct 2021 15:42:09 +0300 "Andrey Jr. Melnikov" пишет: > Victor Wagner wrote: > > В Fri, 1 Oct 2021 00:35:15 +0300 > > "Andrey Jr. Melnikov" пишет: > > > > > PS: А как-же ты живешь, на нутбуке то с отключенным hibernate? От > > > розетки до розетки? А нет розетки - всё, прощай всё запущеное > > > вместе с питанием? > > > Как я живу описано вот здесь: > > https://www.wagner.pp.ru/fossil/advice/doc/trunk/screen.md > screen, кто бы соменвался. А почему не tmux? У него хоть нет проблем с > цветами в xterm. > Вот имеено - БРАУЗЕР. В котором живут открытые вкладки, с логинами > действующими до закрытия, странички, которые вчера были, а сегодня > уже нет, и ещё куча всего, включая недописанный коммент в рабочую > хреновину. Я никогда не держу открытых вкладок более нескольких часов. И вы так не делайте - не будете страдать что дюжины гигабайт памяти на браузер не хватает. Для сохранения вещей, которые надо хранить существуют не вкладки, а букмарки. Если ты не дописал коммент куда либо в течение получаса, закрой вкладку. Потому что значит его вообще не стоит писать. И уж во всяком случае в рабочую хреновину - там часто через полчаса уже и читать-то не стоит. А странички, которые сегодня есть, а завтра могут исчезнуть, надо сохранять целиком. Приучите себя делать логаут из рабочей сессии минимум дважды в сутки - уходя на обед и заканчивая рабочий день. От того что сессия будет дважды в день начинаться с чистого листа, ваша продуктивность существенно повысится. > > И если я свой ноутбук положу в саспенд, то все равно все сетевые > > сессии оборвутся. Со стороны сервера, который таких таймаутов не > > оценит. > > Это пробелмы сервера. То, чего надо чтоб не рвалось - можно и в скрине > запустить, если оно конечно консольное. Это не проблемы сервера. Это вполне осмысленное и правильное поведение сервера. --
Re: Ядро 5.14 и драйвер Nvidia
В Fri, 1 Oct 2021 00:35:15 +0300
"Andrey Jr. Melnikov" пишет:
> PS: А как-же ты живешь, на нутбуке то с отключенным hibernate? От
> розетки до розетки? А нет розетки - всё, прощай всё запущеное вместе
> с питанием?
Как я живу описано вот здесь:
https://www.wagner.pp.ru/fossil/advice/doc/trunk/screen.md
Ноутук же он почти-что чистый терминал. НА нем браузер да куча
ssh-сессий на более другие машины с бесперебойниками, бэкапными
дизелями и все такое.
И если я свой ноутбук положу в саспенд, то все равно все сетевые сессии
оборвутся. Со стороны сервера, который таких таймаутов не оценит.
--
Victor Wagner
Re: Ядро 5.14 и драйвер Nvidia
в>
> В этом разделе
> https://wiki.debian.org/SecureBoot#Secure_Boot_limitations среди
> утрачиваемых от всей этой паранойи фишек упоминается
>
> * Hibernation and resume from hibernation.
>
> Это правда? Вам действительно очень нужен такой ноутбук?
Конечно, нужен. Как правило с ноутбуком все же работать приходится из
квартиры или офиса, где с розетками всё в порядке. А процесс
загрузки-шатдауна достаточно быстрый, чтобы с гибернацией не
связываться.
Опять же - памяти много, а SSD маленький и отводить аж 1/64 всего SSD
на своп как-то жалко. А без свопа размером со всю память, по-моему
гибернация все равно не работает.
--
Victor Wagner
Re: Ядро 5.14 и драйвер Nvidia
В Thu, 30 Sep 2021 00:36:08 +0300 "Andrey Jr. Melnikov" пишет: > > Но вот чтобы патч у меня применился при выполнении команды > > > dpkg --confgure nvidia-kernel-dkms, > > его имя пришлось дописывать не в series, а в dkms.conf. > > Ну а кто тебе виноват-то, что ты идешь длинными путями? > dkms autoinstall --kernelver $(uname -r) даёт тот-же результат, > только без тормозного dpkg. Нет, не тот же. Потому что рано или поздно нужно будет заменять самостоятельно поправленную конструкцию на штатную. Оно уже в Unstable, а там глядишь и до bullseye-backports доползет. > > > После этого модуль собрался. А вот чтобы он загрузился, пришлось еще > > читать > > > > https://wiki.debian.org/SecureBoot, генерировать machine owner key, > > инсталлировать его в UEFI, и подписывать модули. > А просто выключить всю эту DRM'щину от M$ нельзя? Я б лучше еще "замкнутую программную среду" включил, чтобы подписи требовали не только ядерные модули, но и юзерспейс-программы и подгружаемые в них .so. Ноутбук у меня для того, чтобы им пользоваться, а не для того, чтобы ядро хакать. Поэтому лишний уровень защиты от модификации кода используемых программ скорее полезен. Но не менять же ради этого Debian на Astra Smolensk 1.7 - там пакетов меньше. НУ и опять же питоновские и lua скрипты bsign там подписыать не умеет. Поэтому решение неплоноценное. > > Но нельзя сказать, чтобы в результате этих трудов FPS в Unigine > > Heaven сильно вырос. > Если уж от чего-то отказываться, то не от подписи ядерных модулей. а от использования проприетарного драйвера. Тем более, что nouveau вполне подрос и не сильно уступает по крайней мере на использованном тесте. -- Victor Wagner
Re: Ядро 5.14 и драйвер Nvidia
В Wed, 29 Sep 2021 19:18:28 +0300 Maksim Dmitrichenko пишет: > ср, 29 сент. 2021 г. в 17:52, Victor Wagner : > > > После этого модуль собрался. А вот чтобы он загрузился, пришлось еще > > читать > > > > > > https://wiki.debian.org/SecureBoot, генерировать machine owner key, > > инсталлировать его в UEFI, и подписывать модули. > > > > Более того, это придется делать теперь каждый раз при обновлении ядра > или модуля ( В смысле генерить не придется, а вот подписывать надо > будет. > Ну это касается только самостоятельно скомпилированных модулей. Нормальные-то модули с нормальной лицензией подпишет мейнтейнер пакета. А вот проприетарные, которые приходится каждому у себя пересобирать - увы... Вообще конечно, немножко у них непродумано. Надо бы уметь в сертификаты Name constraint-ы прописывать. Что вот вот этот ключ - он только для подписи модулей, собранных через dkms. Ну и саму dkms тоже подписать bsign-ом и чтобы проверяла корректность подписи под пакетом с исходниками, и только потом подписывала. Но вот bsign-а по-моему в Debian уже лет десять как нет. Так-то в принципе сделать криптографическую защиту кода по всей цепочке от загрузчика до прикладного софта, так чтобы для нормального пользователя это было удобно, а для разработчиков "можно привыкнуть" - можно. -- Victor Wagner
Re: Ядро 5.14 и драйвер Nvidia
1.03) ни из bookworm (470.57.02) > > Возьми отсюда > > https://gist.github.com/joanbm/144a965c36fc1dc0d1f1b9be3438a368 патч > > положи в /usr/src/nvidia-current-470.57.02/patches/ добавь там-же в > > series и пересобери dkms'ом. > > > > Э, нет. Этот фикс для 465. А в 470 есть еще одно вхождение > > поля state из struct task_struct. Был неправ. Патч работоспособный, просто он патчит .h файл, который включается теперь более одного раза. Но вот чтобы патч у меня применился при выполнении команды dpkg --confgure nvidia-kernel-dkms, его имя пришлось дописывать не в series, а в dkms.conf. После этого модуль собрался. А вот чтобы он загрузился, пришлось еще читать https://wiki.debian.org/SecureBoot, генерировать machine owner key, инсталлировать его в UEFI, и подписывать модули. Но нельзя сказать, чтобы в результате этих трудов FPS в Unigine Heaven сильно вырос. -- Victor Wagner
Re: Ядро 5.14 и драйвер Nvidia
В Wed, 29 Sep 2021 16:04:38 +0300 "Andrey Jr. Melnikov" пишет: > Victor Wagner wrote: > > Коллеги, > > > Тут такой вопрос - есть ноутбук ASUS FX506LI. > > Поставил на него bullseye > > Для того, чтобы можно было использовать его wifi > > > 03:00.0 Network controller [0280]: MEDIATEK Corp. Device > > [14c3:7961] > > > пришлось поставить туда ядро из 5.14 из testing (по-моему этот > > контроллер с 5.13 начиная поддерживается, а в bullseye у нас 5.10) > > > Но с ядром 5.14 не работает сейчас проприетарный драйвер Nvidia, ни > > из bullseye, (460.91.03) ни из bookworm (470.57.02) > Возьми отсюда > https://gist.github.com/joanbm/144a965c36fc1dc0d1f1b9be3438a368 патч > положи в /usr/src/nvidia-current-470.57.02/patches/ добавь там-же в > series и пересобери dkms'ом. > Э, нет. Этот фикс для 465. А в 470 есть еще одно вхождение поля state из struct task_struct. -- Victor Wagner
Ядро 5.14 и драйвер Nvidia
Коллеги, Тут такой вопрос - есть ноутбук ASUS FX506LI. Поставил на него bullseye Для того, чтобы можно было использовать его wifi 03:00.0 Network controller [0280]: MEDIATEK Corp. Device [14c3:7961] пришлось поставить туда ядро из 5.14 из testing (по-моему этот контроллер с 5.13 начиная поддерживается, а в bullseye у нас 5.10) Но с ядром 5.14 не работает сейчас проприетарный драйвер Nvidia, ни из bullseye, (460.91.03) ни из bookworm (470.57.02) Согласно информации на сайте NVidia поддержка ядра 5.14 появилась у них только в драйвере версии 470.74. В Debian такого нет даже в experimental. Правда есть в ubuntu и там он аж до 18.04 сбэкпорчен. Вот что посоветуете - брать исходники пакета nvidia-graphic-drivers, заменять в нем NVIDIA-Linux-x86_64-nnn.nn.nn.run на 470.74 и поднимать версию, или братьь исходники пакета правильной версии из Ubuntu и пересобирать под Debian? И если из ubuntu брать пакет от focal (20.04lts) иди impish (21.10)? Кто будет более совместим с Debian bullseye? В итоге, понятно, хочется получить пакет nvidia-dkms, который будет аккуратно пересобирать драйвер при последующих апгрейдах ядра в рамках 5.14 версии (оно ведь наверняка скоро до bullseye-backports доползет). P.S. Mesa с nouveau на этом ноутбуке показывают 11-12fps в Unigine Heaven. Хочется, понятно, больше. -- Victor Wagner
Re: Проблема с shim-signed
В Thu, 13 May 2021 13:23:23 +0300 Иван Лох пишет: > > cat: /sys/firmware/efi/fw_platform_size: Нет такого файла или > > каталога > sudo touch /sys/firmware/efi/fw_platform_size Я бы поостерегся в /sys так развлекаться. >>
Re: Пакетирование с зависимостями по версиям
В Fri, 26 Feb 2021 13:00:08 +0300 Maksim Dmitrichenko пишет: > пт, 26 февр. 2021 г. в 12:52, Victor Wagner : > > > Вот если руками в control-файл прописывать зависимость, то > > Depends: pkgname (= $binary:Version) > > > > Это я в курсе. Но всё равно спасибо > > > > А если хочется чтобы автоматом, то надо в исходники пакета > > добавить файлик debian/shlibs, формат которого описан в > > man deb-shlibs > > > > А вот добавление такого файлика совершенно не вяжется со словом > "автоматом", потому что мало того, что нужно всё это руками > прописать, так ещё и при изменении версии, нужно будет править - там > ведь похоже нельзя использовать переменные типа (= $binary:Version) А его можно из debian/rules генерировать. Автоматом. У меня так oracle_fdw собирается, потому что нативного deb- пакета для своего instant-клиента oracle не раздает, и соответственно приходится быть готовым к тому что libclntsh.so будет в систему принесено либо из tar.gz, либо из rpm, сконвертированного alien-ом. SONAME:=$(patsubst libclntsh.so.%,%,$(lastword $(shell objdump -p $(ORACLE_HOME)/libclntsh.so|grep SONAME))) echo "libclntsh $(SONAME) oracle-fdw-$(PGSQL_MAJOR)" > debian/ shlibs.local -- Victor Wagner
Re: Пакетирование с зависимостями по версиям
В Fri, 26 Feb 2021 12:23:12 +0300
Maksim Dmitrichenko пишет:
> Доброго времени суток!
>
> А подскажите плиз, вот нужно мне запаковать в deb-пакеты софтину, у
> которой из одного source пакета рождается несколько binary пакетов,
> которые ещё друг от друга зависят.
>
> Хочется, чтобы зависимости между ними определялись автомагически через
> shlibs (и это уже работает), но при этом чтобы в control файле
> прописалось, что если пакет A зависит от пакета B, то они должны быть
> жестко одинаковой версии. Как-то это можно сделать?
Вот если руками в control-файл прописывать зависимость, то
Depends: pkgname (= $binary:Version)
А если хочется чтобы автоматом, то надо в исходники пакета
добавить файлик debian/shlibs, формат которого описан в
man deb-shlibs
--
Victor Wagner
Re: Как работает список рассылки?
В Tue, 16 Feb 2021 03:24:57 +0300
sergio пишет:
> > Причем можно сервер держать свой,
>
> Или вообще без сервера
> https://p2p.riot.im
> но оно пока "is in heavy development"
>
По-моему, у этого подхода недостатков больше, чем достоинств.
Чем мне нравится матрица, так это тем, что одни и те же диалоги мне
доступны на разных устройтвах, и состояние синхронизируется.
Как раз это и обеспечивается наличем хоумсервера, который, в отличие от
моих смартфона и ноутбука постоянно присутствует в интернете.
Опять же в мире многоэтажных NAT-ов обесспечить прямую коммуникацию
между клиентскими устройствами далеко не всегда возможно даже через
TURN-сервер (на что я уже натыкался при голосовых и видео звонках через
матрицу, которые работают через WebRTC).
--
Victor Wagner
Re: Как работает список рассылки?
В Mon, 15 Feb 2021 12:01:53 +0300 Serge пишет: > Примерно может и да, но в Delta Chat более сбалансировано чтоли... > Для личной переписки только программу установить и пользоваться, а > вот если "публичный чат" задумал, то запусти серверок. Т.е. > количество усилий пропорционально результату. Да в общем и в xmpp и матрице абсолютно то же самое. Публичных Jabber и matrix-серверов в интернете более чем достаточно. В матрице можно даже программу не устанавливать, веб-клиентом пользоваться. Причем можно сервер держать свой, а веб-клиент запускать с element.io.
Re: Как работает список рассылки?
В Mon, 15 Feb 2021 11:25:16 +0300 Евгений Кабанов пишет: > >> - фильтров нет в клиентах, разложить по папкам не может. > > А зачем фильтры в клиентах? Фильтры должны быть на сервере. > > Так он, Delta Chat, не обращает на них внимание и создаёт в клиенте > свои группы (чаты) с конкретным почтовым адресом отправителя. Ну если он не работает с imap-папками, то тогда смысла в использовании этого клиента в качестве мессенджера я не вижу совсем. Лучше сразу на матрицу переползать. Потому что большая часть полезной функциональности электронной почты, которой лишены мессенджеры - это как раз сервер-сайд фильтрация. -- --
Re: Как работает список рассылки?
В Mon, 15 Feb 2021 10:14:26 +0300 Евгений Кабанов пишет: > >>> Есть мысли попробовать это совместно с приложением DeltaChat. > >> И в чём заключается перспективность этого направления, если не > >> секрет? > > В том, что Delta Chat предоставляет новомодный мессенжер-лайк > > интерфейс к старой доброй электронной почте. > > Я, правда. не уверен что пользователям дельта-чата и нормальных > > почтовых клиентов будет удобно читать почту друг друга. Всё-таки > > стиль интерфейса накладывает свой отпечаток на формат сообщений. > > Но зато сразу появляется возможность в мессенджере использовать > > sieve, procmail, получать туда сообщения от cron и всяких прочих > > jenkins. xmpp и matrix по набору подобной функциональности пока еще > > сильно уступают электронной почте. На mattermost, правда, > > пристально не смотрел в этом плане. > > Неудобен этот Delta Chat, как почтовый клиент: ... > - фильтров нет в клиентах, разложить по папкам не может. А зачем фильтры в клиентах? Фильтры должны быть на сервере. --
Re: Как работает список рассылки?
В Mon, 15 Feb 2021 10:25:34 +0300 Serge пишет: > Децентрализация. Децентрализацию с примерно тем же успехом обеспечивают и xmpp, matrix и mattermost. Для первых двух реализации сервера есть в дистрибутиве. И xmpp даже не одна (рекомендую prosody). Впрочем, я у себя недавно prosody на сервере вырубил, так как все с кем я мог по jabber-у общаться перешли на matrix. Еще существут на свете полностью serverless технологии - jini (aka GNU Ring) и ToX. > Ну и в сквозное шифрование проприетарных мессенджеров верится с > трудом. Бывают еще частично проприетарные мессенджеры. Например telegram - сервер проприетарный, а клиент - опенсурсный. Тут верить не надо, можно проверить, проаудитив код. Впрочем, я считаю более важной угрозой коммуникации через мессенджер не то, что кто-то это прочитает - большая часть общения через мессенджер слишком быстро устаревает, а то, что сообщение не будет вовремя доставлено. --
Re: Как работает список рассылки?
В Tue, 9 Feb 2021 19:26:34 +0200 Sohin Vyacheslav пишет: > 09.02.2021 01:04, Serge пишет: > > Есть мысли попробовать это совместно с приложением DeltaChat. > > Почему-то думается что это перспективное направление. > > И в чём заключается перспективность этого направления, если не секрет? В том, что Delta Chat предоставляет новомодный мессенжер-лайк интерфейс к старой доброй электронной почте. Я, правда. не уверен что пользователям дельта-чата и нормальных почтовых клиентов будет удобно читать почту друг друга. Всё-таки стиль интерфейса накладывает свой отпечаток на формат сообщений. Но зато сразу появляется возможность в мессенджере использовать sieve, procmail, получать туда сообщения от cron и всяких прочих jenkins. xmpp и matrix по набору подобной функциональности пока еще сильно уступают электронной почте. На mattermost, правда, пристально не смотрел в этом плане. --
Re: Как работает список рассылки?
В Tue, 9 Feb 2021 02:04:29 +0300 Serge пишет: > Спасибо за отклик, но он не дает ответов. > > Я как раз и спросил, какую штуку установить, чтобы вот так просто > писать на адрес и общаться через списки рассылки. Хочу себе такую же. > Чтобы создать список и иметь возможность его модерировать если > возникнет необходимость. Все что нагугливается похоже на обычные > односторонние сервисы рассылки, а меня интересует именно "доступность > на запись" для всех читателей. Чтобы и получить функционал "одной > ветки форума или чата". Есть мысли попробовать это совместно с > приложением DeltaChat. Почему-то думается что это перспективное > направление. В смысле. нужен менеджер списков рассылки. В дистрибутиве Debian их есть несколько штук. Наиболее популярный - mailman. Я его, правда не люблю и считаю что если назвать опенсурсную софтину в честь evil AI из произведения научной фантастики, то она унаследует характер прототипа. (примеры hal из кларковской Одиссеи 2000, mailman из "Истинных имен" Винджа). Сейчас в дистрибутиве есть mailman и mailman3. Сам я использую mlmmj. Есть еще courier-mlm, но он слишком привязан к почтовому серверу Courier, а я использую Postfix. Есть еще sympa, smartlist и schleuder. Последний слишком сильно ориентирован на испольование gpg, поэтому мне не подошел, хотя хостящиеся у меня списки рассылки посвящены криптографии. Все эти программы предполагают наличие собственного почтового домена и почтового сервера. В своё время я обсуждал выбор списка в своем ЖЖ https://vitus-wagner.dreamwidth.org/994297.html Может с тех пор что и изменилось, но вряд ли. Ну только что mailman на третий питон портировали. -- Victor Wagner
Re: debian/rules и debhelper
В Mon, 8 Feb 2021 20:50:02 +0300
Maksim Dmitrichenko пишет:
> Всем хай!
>
> Я, возможно, что-то туплю, но нигде не получается нагуглить, каким
> образом система пакетирования понимает, использует ли данный
> конкретный пакет debhelper или нет? Понятно, что можно сгенерить рыбу
> с помощью dh_make, но имеется уже некоторая существующая metainfo для
> пакетирования, в которую хочется добавить debhelper.
>
debian/rules это обычный Makefile, который выполняется обычным gnu make.
Если в нем есть универсальная цель
%:
dh $@
то значит на стандартные цели configure, build binary-arch и
binary-indep, будет вызвана шелловская команда dh имя-цели.
А если нет, то нет.
--
Victor Wagner
Re: X Logical Font Description и HiDPI
В Thu, 4 Feb 2021 00:49:10 +0300
Andrey ``Bass'' Shcheglov пишет:
> Это немного другое.
>
> `Xft.dpi` имеет отношение *исключительно* к отрисовке клиентских
> шрифтов, находящихся на стороне X-клиента и средствами клиентских же
> библиотек.
>
> Т. е. сетевой протокол X11 в процессе растеризации шрифта никак не
> участвует.
>
> Мой же исходный вопрос был про *серверные* шрифты.
Похоже, про серверные шрифты придется забыть. Поскольку разработчики
графических тулкитов считают это устаревшей технологией.
А жаль. Аккуратно нарисованные растровые шрифты читаются гораздо лучше,
чем масштабируемые. Да и сетевой траффик для удаленных клиентов заметно
экономится.
--
Victor Wagner
Re: X Logical Font Description и HiDPI
В Wed, 3 Feb 2021 13:20:54 +0300
Andrey ``Bass'' Shcheglov пишет:
> Всем здравствуйте.
>
> *Проблема*: X-сервер отдаёт серверные шрифты в фиксированном
> разрешении 100 dpi, а не в разрешении, текущем для сервера.
Интересный вопрос - а это касается только шрифтов, или вообще всей
информации о разрешении, которую X-сервер отдает своим клиентам?
Я в свое время с этой проблемой столкнулся и написал вот такой скриптик
https://www.wagner.pp.ru/~vitus/software/tcl/measure_screen.html
Его запускаем, измеряем сторону получившегося квадрата линейкой.
Если вдруг там окажется не 10 сантиметров, то значит X-сервер не
доносит до программ информацию о реальном разрешении экрана, которую
монитор должен был ему рассказать по EDID.
В таких случаях я обычно прописываю X-серверу в командную строку
опцию -dpi n и это помогает.
--
Victor Wagner
Re: Подходят ли комплектующие ПК к Debian
В Sat, 16 Jan 2021 19:40:41 +0200
Sohin Vyacheslav пишет:
> 16.01.2021 17:49, Victor Wagner пишет:
> > Вот тут Эрик Раймонд недавно писал
> >
> > http://esr.ibiblio.org/?p=8764
>
> Забавно, но D.H. наверное хотел узнать зачем вообще в игры играть как
> таковые на Debian?))
Ну не заводить же для игр отдельный компьютер.
А если есть компьютер с Debian и он чего-то в фоне делает, не
перегружать же его в винду, если хочется поиграть.
--
Victor Wagner
Re: Подходят ли комплектующие ПК к Debian
В Sat, 16 Jan 2021 08:31:53 -0600 "D. H." пишет: > On 2021-01-08 10:29 a.m., yankokin wrote: > > Если вы знаете варианты лучше перечисленных, пожалуйста, напишите о > > них. > > Знаю варианты лучше. Но в первую очередь мне интересно. А зачем вы > люди это делаете? > Вот тут Эрик Раймонд недавно писал http://esr.ibiblio.org/?p=8764 Proton is the emulation layer that allows Windows games distributed on Steam to run over Linux. It’s not perfect yet, but it’s getting close. I myself use it to play World of Warships on the Great Beast. (The Great Beast это сверхмощный компьютер, который он собрал для конвертации истории больших проектов вроде gcc из CVS и subversion в git). Так что идея "игрового компьютера на Debian" сейчас в общем уже не бессмысленна. Собираем компьютер, на котором будем разрабатывать софт, моделировать структуры белков или что там еще нам нужно делать по работе, но чтобы на нем еще и в игры можно было играть в свободное время. -- Victor Wagner
Re: Удалённый доступ
В Fri, 27 Nov 2020 17:17:05 +0300
Oleg Motienko пишет:
> Кстати, Ростелеком сейчас полюбил адреса из диапазона CGNAT
> 100.64.0.0/10 .
>
> Автору топика: еще можно всякие варианты с VPN и IPv6 тоннелями (в том
> числе teredo/miredo) попробовать или даже экзотику, вроде стучаться в
> STUN/TURN куда-нибудь и через него гонять VPN. В любом случае
> потребуется промежуточное железо с "белым" IP.
Идея использования STUN с OpenVPN мне показалась благодатной.
Хотя, конечно надеяться на то, что NAT коническим окажется не всегда
приходится. Но вот что-то я не нашел упоминаний про то как пустить
openvpn в udp mode через STUN нигде, кроме
https://github.com/xmikos/qopenvpn/
А это уже 4 года как заброшенный проект.
--
Victor Wagner
Re: Удалённый доступ
В Thu, 26 Nov 2020 17:51:02 +0300 Николаев Роман пишет: > Любой провайдер ddns даст имя вашей машинке, по которому она будет > доступна. Как правило задержка в обновлении при смене ip адреса будет > 1-5 минут. > Настройки у каждого разные, надо читать их. В принципе все сводится к > тому что берется ваш ip и отправляется к ним на сервер, где они > меняют свою dns запись. это либо их какими то скриптами делается, > либо стандартными обновлениями dns. > > С уважением, > Николаев Роман > Проблема в том, что тот IP, который выдает большинство современных провайдеров, будет в диапазоне 10.0.0.0/8 или 192.168.0.0/16. Вот мне сейчас ростелеком выдал 10.72.8.130 и толку от этого знания? Внешний сервер видит что я пришел с адреса выходного NAT (каких там целый штабель). Ну и что? Если кто-то попытается на этот адрес на порт 22 приконнектиться, на мою машину он не попадет. Ну и выдан адрес будет не машине , а роутеру. Надо еще на роутере порт пробросить не полениться. ddns в наше время имеет смысл только в том случае, если провайдер IPv6 дает. И то смысл ограниченный. Поскольку я даже в Москве наблюдал - вот здесь один и тот же телефон с одной и той же сим-картой получает только IPv4, а ста метрами дальше - и IPv4 и IPv6. К сожалению, офис нашей компании был именно "вот здесь". -- Victor Wagner
Re: актуальный софт для инкрементального backup
В Wed, 25 Nov 2020 17:27:31 +0200
Sohin Vyacheslav пишет:
> Приветствую,
>
> Посоветуйте плз актуальный софт для удобного (в плане конфигурации)
> инкрементального резервного копирования десятков, в перспективе сотен
> серверов linux.
>
Ну это зависит от того, куда именно резервно копировать.
Если на носитель с файловой системаой (какой-нибудь NAS) то, возможно,
удобным окажется rshapshot. У меня, конечно, десятков серверов нет, но
пользуюсь именно им.
--
Victor Wagner
Re: Удалённый доступ
В Tue, 24 Nov 2020 20:28:20 +0700 Евгений Золотов пишет: > Коллеги, дайте совет.. > > Есть домашняя машинка под Дебианом, все стандартно. Но выведена в > интернет через сотового оператора - со всеми его прелестями (IP не > уникальный, порты заглушены и пр.). Задача: достучаться до этого > компа извне через SSH. > > Я не прошу готового решения, просто набросайте идей. Собственно, > однажды уже решал эту задачу, но через ужасные костыли (промежуточный > сайт) и SSH не удалось. Сейчас понадобилось сделать нормально. > > Спасибо! Ну, во-первых, промежуточный сайт это не "ужасные костыли" а единственный способ организовать связь в таких условиях. То есть машинка должна автоматически устанавливать соединение с этим самым промежуточным сайтом, автоматически поднимать его заново после перерывов в связи и это соединение должно быть таким, чтобы через него можно было попасть по ssh на эту машинку. Первое, что приходит в голову - это организовать полноценный VPN. Например я в таких случаях испольую openvpn. Благо я его использую не только для этого, поэтому все мои машинки, которые могут оказаться за подобным провайдером все равно его при старте автоматически поднимают. А далее уже openvpn на сервере прописывает в DNS какой именно IP он выдал машинке у которой в CN сертификата такое-то имя. И с любой другой машинки подключенной к тому же VPN я хожу на все остальные как по локальной сети. Вариант второй - обойтись ssh. С помощью SSH тоже можно организовать полноценный VPN но нам это для данной задачи не требуется. Достаточно remote prot forwarding. Т.е. надо сделать так, чтобы у машинки при старте запускаласть ssh-сесиия с ключиком -R 8022:localhost:22 (8022 порт условный. соответственно набрав на любой другой машине ssh -p 8022 server мы теперь будем попадать не на сервер, а через этот тунелл на машинку за Nat. Я бы только посоветовал еще почитать внимательно про опции ServerAliveInterval и ServerAlvieCountMax в конфиге ssh. А то без них может оказаться что соединение либо будет обрываться провайдером по неактивности, либо ssh не будет замечать что связь оборвалась и пытаться перезапуститься. Ну а как сделать чтобы он пытался перезапуститься - про autossh тут уже написали. -- -- Victor Wagner
Re: Что-то с памятью иксов сталось
В Mon, 24 Aug 2020 02:34:46 +0300 Alex Kicelew пишет: > Медленное и печальное опускание всех клиентов с наблюдением за памятью > перед перезапуском иксов тоже ничего не дал. При полном отсутствии > клиентов, кроме window manager-а -- те же 1.5г (после его рестарта без > рестарта иксов -- тоже). После перезапуска иксов -- 89М. Ну не имеют привычки стандартые malloc/free отдавать единожды захваченную виртуальную память в систему. Будет она как свободная болтаться в адресном пространстве процесса - не жалко, виртуальная же. Поэтому опусканием клиентом ничего выяснить нельзя. Можно незапусканием при старте. --
Re: Запуск гуевых приложений в контейнере
В Mon, 8 Jun 2020 09:20:54 +0700 Andrey Lu пишет: бо. А почему же я этого не нашел, где же это > > документировано... > >> https://stgraber.org/2014/02/09/lxc-1-0-gui-in-containers/ > > Мерси, подшил. > > вот ещё хорошая статья про применение контейнеров на десктопе > https://gudok.xyz/lxcdeb/ > Статья подробная, относительно современная. Мне понравилась. Не раскрыты, правда, темы "создание контейнера с другим дистрибутиовом" (хотя про это вскользь упоминается) и "создание контейнера с другой архитектурой с использованием qemu-user". Про вторую тему, правда я могу сказать "не делайте этого, если совсем не прижало". Потому что контейнер с архитектурой arm64 работающий на приличой рабочей станции amd64 по скорости сравним с Raspberry PI 3 и существенно уступает Nvidia Jetson Nano. Но иногда бывает, что позволить себе железную машинку с требуемой архитектурой нет возможности. Собирать-то еще можно кросс-компиляцией, хотя у сборки пакетов в режиме кросс-компиляции есть свои грабли, а тестировать как? --
Re: Запуск гуевых приложений в контейнере
В Sat, 6 Jun 2020 22:01:12 +0500 Stanislav Vlasov пишет: d> >>> Да, естественно, ибо с каких это пор Иксам стали требоваться > >>> всякие костыли типа ssh для отрисовки окон на другой машине? > > Тут вы пишете "на другой машине" > > >> Ключевые слова - авторизация и шифрование. > > > > Шифрование трафика виртуальной сети на локалхосте? А авторизация в > > Иксах есть, вы же сами про нее ниже пишете. > > А тут уже спрашиваете про локалхост. А вот! В наше время в пределах одного физического компьютера может существовать множество виртуальных. С точки зрения X-ов контейнер и хост - это разные машины. С точки зрения сетевой безопасности - одна и та же. (хотя на самом деле и тут могут быть нюансы - все зависит от того, какие еще контейнеры есть на этом хосте и кого туда пускают). --
Re: Запуск гуевых приложений в контейнере (was: Debian 7 и intel hd graphics 500)
В Wed, 03 Jun 2020 10:29:54 +0300 Dmitry Alexandrov <321...@gmail.com> пишет: > Stanislav Vlasov wrote: > > Честно говоря, не в курсе, можно ли в контейнерах штатным образом > > запускать гуёвый софт с отображением его окон на локальных иксах > > без всяких ssh -X в контейнер > > Да, естественно, ибо с каких это пор Иксам стали требоваться всякие > костыли типа ssh для отрисовки окон на другой машине? > > > простым конфигурированием контейнера. > > Скорее уж хоста. А конкретно: Вот лучше контейнера. Ибо безопаснее будет в нашу параноидальную эпоху. > 1. Включить ‘-listen tcp’ у Икс-сервера. Как — см. в документации > экранного диспетчера, который его собственно по-умолчанию и отключает. Ага, а потом еще убедиться, что это надежно заткнуто файрволлом и пустят туда только из контейнера, а не изо всей локальной сети. Лучше уж как ниже описано смонтировать в контейнер юникс-домен сокеты из /tmp/.X11-unix > 2. разрешить к нужной инстанции доступ для нужного контейнера: > > $ xhost +inet:192.168.122.11 > $ xhost +inet6:fd34:fe56:7891:2f3a::11 Ой, не рекомендую использовать xhost. В принципе, в сочетании с предыдущим советом достаточно просто ~/.Xauthority в контейнер скопировать. Потому что при этом значение DISPLAY внутри и снаружи будет совпадать, и магическое печенье подойдет. > Другое дело, что толку-то? Одних Иксов далеко не всякому гую > достаточно. Доступа к отрисовке на GPU Иксы же сами по себе не дают. > Вот-вот > Если ее надо, то придется проламывать стенку контейнера. На примере > LXC (строчки из configʼа): > > lxc.mount.entry = /tmp/.X11-unix tmp/.X11-unix none > bind,optional,create=dir,ro lxc.cgroup.devices.allow = c 226:* rwm > lxc.mount.entry = /dev/dri dev/dri none > bind,optional,create=dir lxc.cgroup.devices.allow = c 116:* rwm > lxc.mount.entry = /dev/snd dev/snd none > bind,optional,create=dir > > Первая строчка заменяет сетевую прозрачность Иксов, четвертая-пятая — > Пульсы, ну а вторая-третья — это про тот самый доступ к графике. 226 > и 116 — это мажорные номера устройств, см. ‘$ ls -l /dev/dri/’ в > колонке размера. > > Авторизация на Икс-сервере будет по UIDʼу, так что если не совпадают, А вот не стоит делать так, чтобы не совпадали. Есть куча разных причин по которым лучше uid-ы синхронизировать, и это отнюдь не толко доступ к X-ам. Это еще по крайней мере кардинально упрощает обмен файлами с контейнером. А то опять окажется что ssh проще. --
Re: Debian 7 и intel hd graphics 500
В Sun, 31 May 2020 01:10:52 +0500 Stanislav Vlasov пишет: > Честно говоря, не в курсе, можно ли в контейнерах штатным образом > запускать гуёвый софт с отображением его окон на локальных иксах без > всяких ssh -X в контейнер простым конфигурированием контейнера. Можно. Но вообще для подобных экзотических конфигураций лучше использовать не контейнер, а schroot - контейнер обеспечивает слишком высокий для этой цели уровень изоляции. Где-то как раз в те времена, когда wheezy был актуальным дистрибутивом, я подробно описывал в ЖЖ как в schroot запускать скайп (который по тем временам был 32-битный, а всё остальное - уже 64). Поэтому мне тогда показалось правильным создать для него отдельный chroot-ет environment. Поскольку программа пропритарная и изолировать ее надо. А раз у нее все библиотки другие, то такое решение логичне, чем какой-нибудь firejail, который монтирует в chrooted environmen слишком много лишнего, чего проприетарной программе видеть не стоит. --
Re: apt-utils нужен?
В Fri, 15 May 2020 14:11:46 +0300 sergio пишет: > Нужен ли apt-utils и для чего? > > В описании написано: > > * apt-extracttemplates is used by debconf to prompt for configuration >questions before installation. > > При этом от apt-utils ничего на зависит и его можно спокойно удалить. > > Ну вот для этого и нужен. Чтобы когда ты ставишь несколько сотен пакетов сразу, тебе СНАЧАЛА задали все вопросы, а потом пошли распаковывать и настраивать пакеты. Можно не пользоваться. Если охота в ходе дистапгрейда непрерывно сидеть около компьютера, ожидая пока очередной пакет соизволит задать свои вопросы. --
Re: Debian-way мануалы для python-скриптов
В Sun, 10 May 2020 23:31:41 +0300 Peter Pentchev пишет: > On Thu, Apr 23, 2020 at 12:15:52PM +0300, Victor Wagner wrote: > > В Thu, 23 Apr 2020 11:51:48 +0400 > > a.v.korot...@gmail.com пишет: > > > > > On Thu, 23 Apr 2020 09:34:37 +0300 > > > Victor Wagner wrote: > > > > > > VW> dh_python из коробки поддерживает систему документирования > > > VW> sphynx, Но я заглянул в её описание и понял, что ничего не > > > VW> понял. Она ориентирована в первую очередь на написание > > > VW> документации к библиотека, для программистов, а не на > > > VW> man-страницы, для пользователей. > > > > > > В сторону Asciidoc гляньте (сам не пробовал). > > > > Дело не в том, какой язык разметки использовать. > > > > В конце концов писал я 20 лет маны непосредственно на *roff. > [snip] > > BTW пробовали когда-то -mdoc? Мне всегда казалось, что лучше > использовать семантичних макросов, а не типографских. В -man более чем достаточно семантических макросов. Да, в некоторых сообществах принят такой стиль, когда используют физическую разметку, например в Tcl это очень любят. Но это именно заморочки конкретных сообществ. в> > Если же это правило писать вручную через override_dh_auto_install, > > то придется потом debian/rules хранить в git, а не перегенерировать > > каждый раз с помощью py2dsp из пакета pypi2deb. > > Если Вы уже используете debhelper, тогда у Вас dh_installman > вызывается автоматично, так что опишите something.1 и another.1 > в debian/manpages, он их поставит. Конечно, если самие *.1 Это все, конечно хорошо, но как объяснить питноовскому setuptools что по команде setup.py sdist их надо в orig.tar.gz положить? > не в upstream source, debian/manpages может содержать и пут В том-то и дело, что мне хочется сформировать такой upstream source, который был бы весь из себя pythonway, настолько что я бы мог не заботиться о ручном написании содержимого директории debian, зная что py2dsc все сделает правильно. Я не хочу хранить debian/* в version control, хочу их каждый раз воссоздавать автоматически --
Re: Debian-way мануалы для python-скриптов
В Thu, 23 Apr 2020 11:51:48 +0400 a.v.korot...@gmail.com пишет: > On Thu, 23 Apr 2020 09:34:37 +0300 > Victor Wagner wrote: > > VW> dh_python из коробки поддерживает систему документирования sphynx, > VW> Но я заглянул в её описание и понял, что ничего не понял. Она > VW> ориентирована в первую очередь на написание документации к > VW> библиотека, для программистов, а не на man-страницы, для > VW> пользователей. > > В сторону Asciidoc гляньте (сам не пробовал). Дело не в том, какой язык разметки использовать. В конце концов писал я 20 лет маны непосредственно на *roff. Вопрос в интеграции конвертера этого языка с дебиановскими средствами пакетирования python-скриптов и самим setuptools. Нужно с одной стороны обеспечить, чтобы setup.py не забыл положить исходник документации в tarball исходников по команде sdist, с другой, чтобы в debian/rules отработало правило, которое уже преобразованные в *roff man-страницы установило в /usr/share/man/man1 и /usr/share/man/ru/man1. Если же это правило писать вручную через override_dh_auto_install, то придется потом debian/rules хранить в git, а не перегенерировать каждый раз с помощью py2dsp из пакета pypi2deb. У asciidoc я никаких средств для этого не увидел. У sphynx это есть, но непонятно как в spynx c минимальными трудозатратами сделать правильные man-страницы, со стандартным для man набором разделов. --
Debian-way мануалы для python-скриптов
Коллеги, Может быть кто поделится опытом - как правильно писать man-ы для скриптов на питоне. dh_python из коробки поддерживает систему документирования sphynx, Но я заглянул в её описание и понял, что ничего не понял. Она ориентирована в первую очередь на написание документации к библиотека, для программистов, а не на man-страницы, для пользователей. А у меня фактически чистый командно-строчный скрипт, хотя и организован по питоновским правилам - набор модулей и setup.py на setuptools, который генерирует запускалку. И lintian, естественно, ворчит что вот есть исполняемый файл в /usr/bin а man-страницы к нему нет. Ну то есть понятно, что можно после генерации пакетировочных файлов прописать туда override_dh_install и подложить написанную руками на *roff страничку, но хочется как-то поэстетичнее, чтобы потом поддерживать легче было. Писать же исходник на *roff, markdown или rst - как-то все равно. Дополнительная призовая игра - а чтобы многоязычные (русского и английского для начала хватит) маны? --
Re: Нет проводного интернета на пк с Debian
В Wed, 22 Apr 2020 20:46:04 +0400 a.v.korot...@gmail.com пишет: > On Wed, 22 Apr 2020 18:24:05 +0300 > Andrey Jr. Melnikov wrote: > > AJM> Overkill для 99% задач. Причем - дорогой, горячий и не всегда > AJM> найдешь. > > Не настолько дорогой, чтобы нельзя было купить. Была на Realtek - > вышла из строя примерно за год. Купил Intel - работают обе скоро как > 5 лет без проблем. Возможно, у кого-то с Realtek больше везло, чем > мне. > > Не вижу смысла в такой "экономии". Я же не серверную карту предлагаю > покупать. > По-моему разница в цене между intel и realtek-овскими карточками для PCI сравнима со стоимостью поездки в магазин, где их покупают. --
Re: Что делать с bluetooth?
В Sun, 19 Apr 2020 00:08:29 +0500 Stanislav Vlasov пишет: > Здравствуйте. > > Есть нетбук Lenovo Ideapad 120S с bluetooth на базе Intel Corporation > Intel Dual Band Wireless-AC 3165 Plus Bluetooth (rev 99). На нетбуке > поставлен Debian 10. > bluetooth часть управляется через usb: > Bus 001 Device 005: ID 8087:0a2a Intel Corp. > > После нескольких засыпаний/просыпаний нетбука получаем неработающий > bluetooth и следующее в dmesg: > [72251.727882] Bluetooth: hci0: command 0x0c03 tx timeout > [72259.728251] Bluetooth: hci0: sending initial HCI reset command > failed (-110) > А firmware правильная лежит где надо и при загрузке подгружается? А при просыпании подгружается заново? (я, честно говоря, не помню где там это управляется, тем более сейчас конкурируют несколько разных способов управления засыпанием. Но помню, что где-то такое было - возможность прописать определенное устройстов в список тех, кому надо провести полую повторную инициализацию с загрузкой firmware, И помню что вплоть до самого недавнего времени для Bluetooth в ноутбуках Lenovo приходилось выковыривать firmwware из виндовых драйверов и подкладывать. В пакетах linux-firmware-free и linux-firmware-nonfree его не было. ТАк что может скачать с lenovo.com виндовые драйвера посвежее, вдруг там апгрейд блютусного firmware есть. --
Re: О вольных и невольных врагах свободного Интернета
В Fri, 17 Apr 2020 08:36:21 +0300 Artem Chuprina пишет: > sergio -> debian-russian@lists.debian.org @ Fri, 17 Apr 2020 > 03:05:22 +0300: > > roundcube). Но что если у него нет почты? > > А cron ему куда пишет? И cron-а у него тоже нет. У него systemd timers. --
Re: О вольных и невольных врагах свободного Интернета
В Tue, 14 Apr 2020 08:21:31 +0300 Artem Chuprina пишет: > > Доставлено куда? На lists.debian.org? Чем это не "lists.debian.org > замыкает весь поток писем на себя"? > > И с хренов ли "вне зависимости от воли цензоров"? Даже тут, где народ > продвинутый, у многих провайдерами почты являются толстые сервисы, > которые могут не принять что угодно откуда угодно по воле цензоров. Не > обязательно даже людей-цензоров, это могут оказаться > роботы-цензоры. Сколь угодно криво написанные. Ну что вы все так в цензоров уперлись? А про удобство никто не вспоминает. Мы почту читаем в том клиенте который нам удобен, да еще после того, как она подверглась фильтрации сколь угодно криво написанного робота-цензора, работающего в наших интересах (если у кого-то это гугловский интерфейс и гугловский робот-цензор, то значит этому человеку так удобно, это его личный выбор.). И ответ пишем в том текстовом редакторе, который нам удобен. А не в том поделии на javascript, которые встроили в страницу авторы очереднго угребища на руби. --
Re: discourse.debian.net навязывает несвободные программы
В Mon, 13 Apr 2020 16:55:02 +0300 sergio пишет: > On 13/04/2020 09:23, Victor Wagner wrote: > > > Для софта, предоставляемого как сервис, FSF специально разработала > > лицензию AGPL > > Это проблема debian, а не discourse, ничто же не мешает > discourse.debian.net отлицензировать под AGPL? Мешает. То, что на изменение лицензии должны согласиться все владельцы авторских прав на код. То есть апстрим-разработчики в том числе. > > Для сервисов, подобных социальным сетям необходимым условием свободы > > является возможность федерации > > Я не вижу тут "подобия". Вот в последней строчке вашего письма вы продемонстрировали, что все вы видите. > > возможность поднять свой сервер со своими изменениями и продолжать > > участвовать в коммьюнити. > > > Почта это позволяет, джаббер позволяет, irc и matrix позволяют. > > Discourse - нет. > > Нет, не позволяет. Пользователь в любом случае будь то jabber, irc, > matrix, e-mail, discourse или что угодно другое для участия > в "коммьюнити" вынужден пользоваться сервисом "коммьюнити". В случае email с сервисом коммьнити взаимодействует не пользователь, и даже не его mail user agent, а его mta. И от него требуется только соблюдать стандарт. И вот mta и mua и есть тот свободный софт, который выполняет свои вычисления в интересах пользователя и обеспечивает согласования предствавлений пользователя об удобстве со стандартами, принятыми в community. Поэтому сервер lists.debian.org не обязан выполнять свои вычисления в интересах всех участников списков рассылки, а может ограничиваться соблюдением интересов листмастера. > Я вот тут поднял свой debian-russ...@lists.mydebian.org, но мне никто > там не отвечает. > Ну вот вы и продемонстрировали что прекрасно видите чем отличается сервис подобный социальным сетям от любого другого. --
Re: Discourse
В Mon, 13 Apr 2020 12:49:02 +0300 "Andrey Jr. Melnikov" пишет: > PS: лучше бы bugs.debain.org на что-нибудь приличное смигрировали. А > то в дискусы развлекаться - много ума не надо. А на что? Вот лично у меня ума не хватает, чтобы придумать на что можно смигрировать баг-тракер крупного проекта с проприетарной насквозь JIRA. --
Re: discourse.debian.net навязывает несвободные программы
В Mon, 13 Apr 2020 04:31:58 +0300 sergio пишет: > On 13/04/2020 03:57, sergio wrote: > > И ещё разок: https://www.discourse.org/about#license Ну и что? Для владельцев сайтов discourse свободен. Для пользователей - нет. Ну и вообще GPL это лицензия, которая делает свободными программы, устанавливаемые на компьютер пользователя. Но не делает свободными программы, предоставляемые как сервис с сайта в интернете. Например она не требует от владельцев сайтов публиковать изменения, которые они внесли в код на своем сайте. В результате пользователи сайта, если им не понравится политика хозяев ресурса, не могут сделать форк. Для софта, предоставляемого как сервис, FSF специально разработала лицензию AGPL, которая дает пользователю сервиса права на доступ к модификациям кода, сделанного хостером сервиса. Но на самом деле этого недостаточно. Для сервисов, подобных социальным сетям необходимым условием свободы является возможность федерации - у пользователя должна быть возможность поднять свой сервер со своими изменениями и продолжать участвовать в коммьюнити. Почта это позволяет, джаббер позволяет, irc и matrix позволяют. Discourse - нет. --
Re: discourse.debian.net навязывает несвободные программы (was: Discourse)
В Mon, 13 Apr 2020 03:04:09 +0300 sergio пишет: > On 13/04/2020 02:37, Dmitry Alexandrov wrote: > > > Что вам не очевидно? > > Мне очевидно, что discourse GPL2: > https://github.com/discourse/discourse/blob/master/LICENSE.txt > > > > https://discourse.debian.net/assets/application-fab2c460dee4fdf263710ddf0794b376ee535831a4fea237388f693f25fc1b42.js > > не свободен явным образом, — несвободен? > > > Чего «пруф»? > > Того, что этот "кусок" несвободен! читаем определения свободы по Столлману 0 .The freedom to run the program as you wish, for any purpose (freedom 0). 1. The freedom to study how the program works, and change it so it does your computing as you wish (freedom 1). Access to the source code is a precondition for this. 2. The freedom to redistribute copies so you can help your neighbor (freedom 2). 3.The freedom to distribute copies of your modified versions to others (freedom 3). By doing this you can give the whole community a chance to benefit from your changes. Access to the source code is a precondition for this. Читаем внимательно freedom 1. "change it so it does you computing as you wish". Очевидно, что любой джаваскрипт, подгружаемый с сайта не удовлетворяет этому требованию. Поскольку он does you computing as site owner wish. Ну то есть да, одно время были всякие расширения для браузеров, позволявшие подменять джаваскирипт на лету. Но это на уровне бинарного патченья closed source бинарников. --
