vitus_wagner: My photo 2005 (Default)
Традиционная задача - как попасть по ssh на хост, не имеющий достижимого извне IP.
В данном случае в варианте "как мне попасть с работы домой".

У домашней машины есть VPN в которую включен хостинговый сервер.

Поэтому в принципе годится любой вариант ssh-через-прокси.

На эту тему теперь есть большой и толстый cookbook.

Начинаем применять рецепты оттуда по очереди

1. ssh -J www.wagner.pp.ru wagner

Увы, у меня на рабочей машине jessie. В нем openssh 6.7, он -J еще не умеет. С виртуалок со stretch и FreeBSD 11 попробовал, работает. Но dist-upgrade на stretch говорить рано. И уж точно не для этой фичи.

2. ssh -o "ProxyCommand ssh -W %h:22 www.wagner.pp.ru" wagner

Это мой openssh умеет. И, в принципе это у меня сейчас штатный способ

3. ssh -o 'ProxyCommand ssh www.wagner.pp.ru nc %h 22' wagner

Это умели и версии openssh, существовавшие десять лет назад. Сейчас я этого даже пробовать не стал. Зачем, если -W есть?

Далее вот такой интересный вопрос - в .xsessionrc на работе у меня все равно прописано открытие ssh-сессии на мою vds с -D 4080. Чтобы использовать этот порт в качестве web-прокси. Потому что не хочу я ошибку 451 видеть.

А может этой самой socks прокси можно еще воспользоваться для хождения по ssh?
Увы, openssh хорошо умеет быть socks-сервером, но не обучен быть socks-клиентом.

В вышеприведенном cookbook рекомендуют использовать netcat в качестве ProxyCommand.

ssh -o "ProxyCommand nc -X 5 -x localhost:4080 %h %p" wagner

Полез смотреть, а-а-а, netcat в jessie не понимает ни -X ни -x. Посмотрел повнимательнее, все гораздо хитрее - в jessie есть четыре разных нетката. И netcat-openbsd все что надо понимает. А у меня почему-то стоял netcat-traditional.

Остался нерассмотренным вопрос использования опции -w в ssh для организации полноценного VPN средствами самого ssh. Но об этом как-нибудь в следующий раз.
vitus_wagner: My photo 2005 (Default)
Выяснил, в чем причина того, что хецнеровская виртуалка была не доступна по IPv6:

Оказывается, я там что-то лишнее перекрыл на файрволле, и поэтому оно и не работало.
Файрвол был более-менее прямолинейно скопирован с IPv4 конфигурации и выглядел вот так:

правила ip6tables )

Вопрос в том, что я забыл там разрешить, что в итоке отвалилось всё?

IPv6

Jan. 16th, 2017 08:38 pm
vitus_wagner: My photo 2005 (Default)
Выяснил тут совершенно случайно, что Onlime дает IPv6. В смысле, запустил на Алькоре
dhcp -6 eth0.101 а он и получил какой-то адрес.

Теперь если я запущу откуда угодно ssh -D 4080 home.wagner.pp.ru, у меня будет socks-proxy с поддержкой ipv6.

Вопрос в том, а что с этим делать дальше.

Конечно, куда приятнее было бы иметь достижимый извне IPv6 в Медведково, а не на Ленинском, где кроме Алькора и никаких включенных постоянно компьютеров нет. Но в Медведково роутером работает древняя D-Link Dir-300B1 с dd-wrt примерно полуторалетней давности, в котором поддержки IPv6 нет. Ну допустим, поставлю я туда более свежую прошивку, допустим там появится поддержка v6 (хотя что-то я не нашел упоминаний о dhcp6 в dd-wrt-шном FAQ. Про radvd там пишут, но это, насколько я понимаю, не то).

Непонятно:

1. Является ли выдаваемый онлаймом по dhcp6 адрес статическим, т.е. можно ли его без проблем писать в AAAA запись, или нужно городить поддержку ipv6 в Dynamic DNS (я-то нарисую - dyndns.cgi у меня свой собственный)
2. Является ли указание того, что у меня адрес xxxx:xxxx:xxxx::1/64 Scope: Global указанием на то, что у меня есть целых MAXULONG адресов, и я могу спокойно роутить их на внутренние машины сети в соответствии c рецептом, который у hetzner-а в FAQ написан.

Кстати. все эти разборки начались с того, что выяснилось что обещанный хецнером для моей виртуалки IPv6 нифига не работает.

vws 0.5

Jan. 14th, 2017 10:12 pm
vitus_wagner: My photo 2005 (Default)
В связи с необходимостью сетапит новый билд-сервер, выпустил очередную версию vws. На самом деле у нас vws уже почти год в production работает. Т.е. в итоге задача "сделать простые вещи удобнее, чем в virsh" вполне решена.

На идею нарисовать GUI я, похоже, окончательно забил. А вот автостарт виртуальных машин при перезагрузке допилил.

Буду теперь его везде ставить из deb-пакета.
vitus_wagner: My photo 2005 (Default)
Как траффикт-то в debian-russian упал. За весть 2016 год меньше полутора тысяч писем. А раньше по пять тысяч в год было.

Кстати, в прошлом году я чуть ли не в первый раз в жизни получил в этом списке осмысленный совет на тему как решить мою проблему. До того я там советы в основном давал.
vitus_wagner: My photo 2005 (Default)
Приходи ко мне начальник,
Я намаялся один
Тут звонит в поддержку чайник
Мы вдвоем его съедим.

Очень хочется посоветовать человеку, который не понимает почему пакет libicu57 не удовлеторяет зависимость от libicu52:

Если ты мужик, этого не понимаешь без подсказок, тебе не стоит ставить Debian stretch раньше февраля следующего года.
vitus_wagner: My photo 2005 (Default)
Собственно, этот проект я начал тихой сапой год назад, когда начал писать vws. Вчерашний пост про OpenVPN явно является продолжением того же тренда. Кстати для openvpn-менеджера я уже репозиторий завел.

Вообще надо еще wpa_gui переписать. И bluez-applet. К этому снаряду я уже, правда, пытался подойти, но без большого успеха. Впрочем, теперь у меня больше блютусных девайсов - есть и наушники, и мыши.

В общем, проект по устранению из linux-овой рабочей станции/ноутбука лишних демонов. Благо демоны нелишние wpa-supplicant, openvpn, qemu-system прекрасно умеют выполнять ту работу, ради которой пытаются завести лишний набор демонов, которые ими управляют. Поэтому вместо демонов надо сделать апплеты в трее или командно-строчные утилиты, которые все необходимые операции умеют выполнять.

От libvirtd я уже больше года как избавился, хотя для того чтобы довести vws до состояния, пригодного для многопользовательских систем и сборочных серверов под управлением jenkins и pgfarm потребовалось довольно много времени.

Теперь вот собираюсь на NM с wicd ополчиться.

На самом деле в основном потому что есть нетбук, на который LXDE попросту не лезет (5-й libreoffice их бэкпортов лезет, а на lxde уже места не остается. Эксперимент с awesome признан несколько неудачным. Сам я еще как-то пользоваться им могу, но вот научить ребенка не получается. Он уже привык к традиционным wm с перекрывающимися окнами, поэтому оказалось проще поставить jwm, чем объяснять ему за одни выходные (большую часть которых мы оба провели в огороде), кучу концепций, которые я еще и сам до конца не усвоил.

На самом деле lxde для меня потеряла смысл уже давно, когда я перешел с pcmanfm на spacefm. Все остальное, что я использую от lxde jwm умеет не хуже.
Разве что lx-logout'у еще надо приискать десктопонезависимую замену. Впрочем, lx-logout безбожно глючит с light-locker-ом. В смысле, систему в которой вместо xscreensaver используется lightlocker не умеет корректно уложить в hybernate, чтобы она потом нормально взлетела. А если нет hybernate, то функциональность lx-logout сводится к той, которую обеспечивают совместно менюшка quit в jwm и аппаратная кнопка питания.
vitus_wagner: My photo 2005 (Default)
Написал вопрос в debian-russian сдублирую и сюда тоже.
Все таки аудитория не сильно пересекается:

Коллеги!

Вот тут захотелось мне gui-утилиту для управления openvpn. Чтобы сидела в tray-е и позволяла включать-выключать соединения (клиентские) с разными серверами, у каждого сервера, естественно свой CA, запрашивала в некоторых случаях пассфразу к секретному ключу или красивым диалогом просила вставить криптографический токен, показывала состояние соединения, и, при необходимости, сообщения из лога.

В общем более-менее полно реализовывала протокол, описанный в management-notes.txt при минимальной инвазивности интерфейса.

Возможность править конфиги через GUI скорее вредна, чем полезна. И еще хотелось бы чтобы для использвания этого добра не нужно было бы править полученные от администратора openvpn-сервера конфиги. То есть всякие необходимые --management* ключики передавались бы запускаемым openvpn-ам через init-скрипт, запускающий их при старте системы.
(естественно, все это для systemd-free и network-manager-free среды.
wicd это такой network-manager-lite).

Интересно, кто-нибудь под linux писал?

То есть, понятно, что если не найду, можно вспомнить Tcl/Tk и написать самому. Но вдруг есть готовое, требующее минимальной обработки
напильником.
vitus_wagner: My photo 2005 (Default)
http://www.theregister.co.uk/2016/07/07/ian_murdock_autopsy/

Вот тут пишут, что смерть Яна Мёрдока признана суицидом.
Значит, труп валяющися ничком без одежды на лестнице с проводом на шее - это он так повесился?
Я во многое могу поверить, но в то что Ян не мог как следует привязать петлю, на которой вешался?
vitus_wagner: My photo 2005 (Default)
Команда Devuan несмотря на сомнения скептиков, сумела довести свой systemd-free дистрибутив до стадии beta.
vitus_wagner: My photo 2005 (Default)
Тут назревает переезд wagner.pp.ru на другую платформу виртуализации и под другим управлением. По-моему, это у меня был последний ресурс который хостился по знакомству, (хотя и за деньги).

Впрочем нет худа без добра. Потеряв немного в дисковом пространстве я приобрету более современную систему (а то там был openvz, и ядро с номером версии меньше числа e). Теперь на хостинговой виртуалке будет прямо как на ноутбуке - 64-битная архитектура и текущий stable, а не oldstable. В результате 32-битный wheezy у меня останется только where it belongs - в качестве экзотической зверюшки в buildfarm. (В pgbuildfarm узлы действительно называются animals или critters).

Хотя нет, есть еще polaris. Polaris-у надо при случае dist-upgrade сказать.
Впрочем им сейчас никто не пользуется, потому что у отца не срослось общение с lxde, а ребенку не очень-то дедушка с бабушкой разрешают эту машинку крутить.

В процессе переезда сервера случится

1. Переезд с apache 2.2 на apache 2.4 с соответствующим перепахиванием конфига
2. Переезд с jabberd1.4 на ... Ну, наверное, на ejabberd. Вроде все им сейчас пользуются. а jabberd2 особо не популярен. В дистрибутиве есть еще prosody, но про него я вообще впервые слышу.

Хорошо хоть не надо postfix и vsftpd сильно перелопачивать.
vitus_wagner: My photo 2005 (Default)
Я вот тут всегда утверждаю что компилятор на сервере держать не хорошо и ничем кроме уязвимости он не является.

Тем не менее у меня на сервере стоит пакет binutils. И стоит он там как раз по соображениям защиты от угроз. Угадайте по зависимостям от какого пакета он притащился.

Комменты, естественно, скрыты, а то придет кто-нибудь опытный вроде [personal profile] filin и всем остальным малину обломает.
vitus_wagner: My photo 2005 (Default)
Надо что-ли попробовать снести с EeePC LXDE и поставить какой-нибудь tiled window manager. Awesome, например. Just because it's awesome.

Вопрос в том, что нужно, чтобы по минимуму потерять в функциональности.

1. Ну application menu это понятно. Это у Awesome есть. Правда, не умеет читать переменную XDG_DATA_DIRS. Но по крайней мере честно в этом призанется.

2. Ну system tray. Что у меня в этом tray-е - skype, tkabber, blueman (ну нет на Eee900 встроенного блютус-контроллера все равно, а внешний я куда-то посеял) nm-applet.
Network manager все равно надо выкинуть вместе с DE.

3. Да, кстати, а чем рулить сетью? Просто wpa-gui, пожалуй хватит. Но его придется. видимо, запущенным держать, что неинтересно. Впрочем надо еще в awesome-вском wiki покопаться. Какие-то индикаторы уровня сигнала wi-fi там были. Если к ним еще прикрутить запуск wpa-gui по клику, будет то,что надо.

4. Индикатор раскладок клавиатуры. С ним грустно как-то. Все нагугленные решения требуют либо kbdd, либо xxkb. А вот просто хрени которая только показывала какая группа выбрана сейчас в X-ах и ничего не пыталась делать сама, я не нашел.

5. Часы, с открывающимся по клику календарем. Тоже есть. Причем можно даже не по клику, а по наведению.

6. Ну spacefm для руления вставляемыми флешками можно оставить. Он десктопонезависимый.

7. Самое сложное - что делать с IM-клиентами. Их два - skype и tkabber. И сложилась привычка использовать их в виде узкого окошка с контакт-листом вдоль правого края экрана. Может быть, конечно от этой привычки отказаться, и пусть будет либо иконка в трее, либо полноценное окно (в принципе и то, и то так умеет, но я у них это старательно отключаю).

8. И конечно, при таком раскладе к iceweasel нужен vimperator. А про наличие тачпада вообще забыть до момента, когда что-то в гимпе нарисовать захочется.
vitus_wagner: My photo 2005 (Default)
Вот есть у меня нетбук Asus Eee PC 900. В нем - два SSD - один 4Гб, другой 16.
Стоит сейчас wheezy, на первом SSD система (занимает около 3Гб), на втором /home.

Попытался я сказать ему dist-upgrade, а он мне английским по бэкграунду говорит, что ему нужно для этого больше места (не считая /var/cache/apt/archives), чем есть свободного на первом (4Gb) диске.

Вот и думаю теперь, что с ним делать

1. Не апгрейдить, пусть на oldstable живет
2. Поставить систему на 16Гб SSD а 4Гб отдать под /home (тогда /home придется сильно чистить.
3. Поделить 16Гб SSD на два раздела, один из которых смонтирова-ть на /usr, а второй на /home (тогда влезет и новая система, и текущее содержимое /home)
vitus_wagner: My photo 2005 (Default)
Тут совершенно неожиданно для самого себя сапгрейдил alcor на jessie. Запустил там bananian-update, а он мне и говорит английским по бэкграунду, мол, у нас тут следующие релизы теперь на базe jessie, а не сказать ли тебе dist-upgrade. Ну я и сказал. Заодно научился апгрейтить wheezy на jessie так чтобы и духу от systemd не было. Благо alcor это безмониторный сервер, на нем нет необходимости запускать программы, зависящие от антиюниксовых по идеологии подсистем.

И еще пофиксил там конфигурацию prayer. А то там по умолчанию предлагается сохранять юзерские настройки в папку .prayer, а Dovecot почему-то не горит желанием такое создавтать. С его точки зрения . - разделитель директорий, равноправный с /.

И default_domain у меня был неправильно прописан. Откуда это взялось, уже не выяснишь. А из-за этого неправильно формировался From в отправляемых письмах, если без сохраненных настроек. В общем, в prayer web mail есть ТРИ способа правильно задать адрес From и ни один у меня не работал. Теперь работают все.
vitus_wagner: My photo 2005 (Default)
https://bits.debian.org/2015/12/mourning-ian-murdock.html

Вот так новость, с которой начался последний день уходящего года: Умер основатель проекта Debian.

vitus_wagner: My photo 2005 (Default)
Тут скайпом на моем домашнем компьютере попытался воспользоваться ребенок. И выяснилось, что имеющийся chroot имеет недоделки:

1. В хост-системе не появляется файл skype.desktop, в результате чего в менюшках скайп не появляется.
Я-то все равно прописываю его к себе в автостарт, поэтому не обратил внимания.
2. При наборе в командной строке слова skype скайп не запусакется.

Пришлось эти ошибки исправить и добавить в скрипт, создающий chroot, генерацию файла /usr/local/bin/skype и копирование skype.desktop из chroot-а в основную систему. Теперь скрипт это делает. Правда, копирование иконок там не сделано. Расположение под /usr/share/icon как будто специально сделано так чтобы затруднить добавление туда чего-то без посредства пакетных менеджеров.

Кстати, почему-то у меня не сработала попытка поместить desktop-файл в /usr/local/share/applications.
Согласно одной спецификации /usr/local/share должно быть в XDG_DATA_DIRS, а согласно другой десктоп-файлы должны искаться в $XDG_DATA_DIRS/applications.
Кстати, в переменной среды XDG_DATA_DIRS /usr/local/share присутствует аж дважды:

$ echo $XDG_DATA_DIRS
/usr/local/share:/usr/share:/usr/share/gdm:/var/lib/menu-xdg:/usr/local/share/:/usr/share/:/usr/share/gdm/:/var/lib/menu-xdg/



Интересно, что я делаю не так? Или это назлили те люди в команде Debian, которые считают что Debian is not about choice? Или авторы LXDE?
vitus_wagner: My photo 2005 (Default)
Разбираясь со всякими средствами конвертирования дистрибутиво-независимых менеджеров модулей в языково-независимые пакеты, открыл для себя debdry. Надо будет освоить.
Может после этого я решусь pandoc из апстрима ставить. А то с этой вашей кабаллистикой разбираться...

А тут в едином интерфейсе средства почти автоматического пакетрирования для perl, python, ruby и haskell
vitus_wagner: My photo 2005 (Default)
Переставил себе на домашней машине с нуля систему. С полным переразбиением и переформатированием диска и последующим восстановлением пользовательских данных с бэкапа.

Основных плюсов, ради которых это все делалось два

1. Правильно разбитый диск нормально грузится. Можно убрать эту загрузочную флэшку, которой пришлось пользоваться из-за того, что два дистрибутива назад, когда я ставил этот диск в машину третьим (а сейчас он остался единственным) я что-то не так сделал при создании GPT

2. Система теперь 64-битная. Можно пользоваться docker-ом. Впрочем, сейчас не только докер не работает толком на 32 битах. В том же inn перловые фильтры глючили по-страшному когда я последний раз его пробовал. И везде писали, что эта ошибка специфична для 32-битной сборки.

Вычистилось очень много хвостов, остававшихся с тех пор когда машина была роутером домашней сети, роутером домовой сети, публичным веб-сервером и т.д.

Теперь, что удивительно, у меня все машины с Jessie 64-битные, а все 32-битные (banana pi, asus eeepc 900 и vds-ка) остаются пока на wheezy.
vitus_wagner: My photo 2005 (Default)
Пора, наверное, скриптик для создания скайпового chroot-а в какой-нибудь git коммитить.

Прикрутил туда сегодя возможность открытия URL-ки в чате по клику.

Понятно, что браузера в скайповом chroot быть не должно. Поэтому открывать url-ки оно должно в браузере, запущенном за пределами chroot-а (или в своем chroote).

Для открытия URL скайп вызывает xdg-open url.

Вообще-то для открытия URL в запущенном уже браузере существует mozilla remote протокол, и у него даже есть отдельный клиент mozilla-xremote-client.

К сожалению, в Debian отдельного пакета с этой полезной программой нет.
Она почему-то есть в составе пакета icedove. Который, естественно, в скайповом chroot тоже не нужен.

Ну в общем программу скопировал, пакет libnspr4 ей поставил, и написал следующий скрипт /usr/local/bin/xdg-open:


#!/bin/sh
mozilla-xremote-client "openUrl($1)"


Цена вопроса чуть больше 300Кб.

Profile

vitus_wagner: My photo 2005 (Default)
vitus_wagner

February 2017

S M T W T F S
    1234
567 8 9 10 11
12 1314 15 1617 18
192021 22 23 2425
262728    

Syndicate

RSS Atom

Most Popular Tags

Style Credit

Expand Cut Tags

No cut tags
Page generated Feb. 25th, 2017 06:45 am
Powered by Dreamwidth Studios