vitus_wagner: My photo 2005 (Default)
vitus_wagner ([personal profile] vitus_wagner) wrote2015-03-24 04:47 pm
  • Add Memory
  • Share This Entry
Entry tags:

Пропоттеринга

А все-таки жаль что Поттеринга не затравили до самоубийства.
А то вот у меня тут в lxc контейнере jessie. Вдруг после перезагрузки хоста взял и перестал пускать.
На консоли пишет Cannot make/remove an entry for the specified session, а при заходе по ssh просто "connection closed".

При этом найти идиотские бинарные логи этого идиотского systemd из хост-системы не получается. Делаю chroot в контейнер, пытаюсь запустить эту якобы "жутко удобную" специутилиут journalctl, а она мне говорит "мужик, у тебы /proc не смонтирован". Впрочем, смонтировал её /proc, все равно ничего не нашла. Пришлось в этом chroot-е поставить sysvinit-core и rsyslog и перезапустить контейнер.

После этого появились нормальные текстовые логи, и зловредный pam_loginuid.so был уличен и казнен.

Впрочем подозреваю, что этот самый pam_loginuid который ставит на процесс некий расширенный атрибут (что почему-то не позволено делать из контейнера) - это тоже поттеринговское извращение.

Типа чтобы можно было корректно проаудитить процессы, запущенные юзером через su или sudo или процессы с suid-битом, и записать их на счет юзера.

Но блин, ставить это с session required по умолчанию (хотя аудит процессов нужен в одной системе из миллиона, поскольку остальные single-user), зная что в контейнерах это не работает...
Flat | Top-Level Comments Only
vitus_wagner: My photo 2005 (Default)

[personal profile] vitus_wagner 2015-03-24 06:47 pm (UTC)(link)
Вообще-то я в курсе что на свете есть множество людей которые готовы меня убить, несмотря на то что лично я им ничего плохого не делал.

А еще больше людей, которым попросту безразлично выживу я или нет в результате каких-то их действий.

И считаю идиотизмом полагать, что если я не буду желать никому смерти, то и мне никто не будет желать смерти.
Примерно таким же, если не большим, как придувать для логов такой формат, что его нельзя читать без использования специальных утилит.
develop7: (dero)

[personal profile] develop7 2015-03-24 08:13 pm (UTC)(link)
придувать для логов такой формат, что его нельзя читать без использования специальных утилит
да, utmp/wtmp например.
vitus_wagner: My photo 2005 (Default)

[personal profile] vitus_wagner 2015-03-24 08:39 pm (UTC)(link)
А я где-то говорил, что все остальное кроме systemd хорошо и правильно?
Тут одни названия файлов-то чего стоят - сразу заставляют вспомнить "нет ничего более постоянного, чем временное".
develop7: (dero)

[personal profile] develop7 2015-03-25 06:35 am (UTC)(link)
я так понимаю, что вопросом «зачем так сделано» вы себя не утруждали
Edited 2015-03-25 06:35 (UTC)
vitus_wagner: My photo 2005 (Default)

[personal profile] vitus_wagner 2015-03-25 06:46 am (UTC)(link)
Зачем так было сделано в 70 году мне понятно. Зачем от этого не отказались еще году в 1985 - мне не понятно.
develop7: (dero)

[personal profile] develop7 2015-03-25 08:52 am (UTC)(link)
зачем нужны бинарные логи и какие проблемы они решают
зачем практически все СУБД хранят данные в бинарях вместо человекочитаемого текста
и т.п.
vitus_wagner: My photo 2005 (Default)

[personal profile] vitus_wagner 2015-03-25 09:51 am (UTC)(link)
У меня есть помание что люди, именующие себя "девелоперами", а по факту являющиеся безграмотными недоучками, пихают СУБД туда, куда их ни в коем случае не следует пихать (а следует использовать текстовые файлы, или вложенные каталоги с мелкими файликами), и получают в результате что им нужны гигабайты памяти и гигагерцы процессора при таких нагрузках, при каких у меня в 1997 году все на 32Мб, 66MHz и узкой SCSI работало.

Помнится, когда мы обсуждали проблему визуализации больших графических файлов на maemo, один такой деятель пытался мне доказать, что невозможно на экране 800x480 показать с масштабированием tiff-файл 16000x12000 имея всего-то 256 мегабайт памяти. В то время как я в 93 году писал вьюер для подобных файлов (правда не tiff, но по смыслу то же самое) работавший в реальном режиме DOS.

[identity profile] edo-rus.livejournal.com 2015-03-25 10:51 am (UTC)(link)
ну в tiff всякая разная компрессия может быть, так что задача выглядит и вправду нерешаемой с приемлемой производительностью.
vitus_wagner: My photo 2005 (Default)

[personal profile] vitus_wagner 2015-03-25 12:50 pm (UTC)(link)
Ну почитайте на досуге API libtiff. Вполне это решаемая задача - читать tiff-файл построчно при любой компрессии кроме jpeg. При jpeg-коммпрессии придется полосками по 8 строк читать. Все равно при числе писелов в строке до 65536 (а больше оно не умеет), в 640К, которые enough for everyone требуемый буфер лезет. Вот вместе с фреймбуфером 800x480 в 640 уже не лезет. В DOS для этого использовались специальные ухищрения с переключением банков памяти. Но если речь все равно идет о сотнях мегабайт памяти, то один или два мегабайта памяти нужны - не разница.
develop7: (dero)

[personal profile] develop7 2015-03-25 11:55 am (UTC)(link)
следует использовать текстовые файлы, или вложенные каталоги с мелкими файликами
хочу предметной дискуссии. покажите логгер на текстовых файлах аналогичный journald по функциональности
vitus_wagner: My photo 2005 (Default)

[personal profile] vitus_wagner 2015-03-25 12:34 pm (UTC)(link)
А что, там есть какая-то функциональность, кроме умения протоптать все нужные логи не записав их никуда?

Логгер с такой функциональнсотью делается из syslogd одной строчкой в конфиге

*.* /dev/null.


develop7: (dero)

[personal profile] develop7 2015-03-25 02:52 pm (UTC)(link)
А что, там есть какая-то функциональность, кроме умения протоптать все нужные логи не записав их никуда?
читайте маны, ладно? mkdir /var/log/journal — и все логи ВНЕЗАПНО пишутся. общее представление об остальной функциональности можно получить по ссылке http://0pointer.de/blog/projects/journalctl.html
vitus_wagner: My photo 2005 (Default)

[personal profile] vitus_wagner 2015-03-25 03:05 pm (UTC)(link)
Блин! Логи нужны на случай инцидента. Когда инцидент произошел, включать их запись поздно. Инцидент уже произошел.

Хорошо у меня был воспроизводимый случай. А если бы это блин, была хакерская атака?

Поэтому если эта хрень этого не сделала при установке пакета, мейнтейнера пакета нужно повесить на одном дереве с Поттерингом.

Впрочем меня не удивляет что эту хрень не взялся мейнтейнить человек имеющий представление о том как надо работать в области информационной безопасности.

Потому что у всех таких людей реакция на systemd "уберите эту гадость из моего дистрибутива".

develop7: (dero)

[personal profile] develop7 2015-03-25 04:34 pm (UTC)(link)
значит так. в https://packages.debian.org/jessie/amd64/systemd/filelist есть /etc/systemd/journald.conf. согласно http://anonscm.debian.org/cgit/pkg-systemd/systemd.git/tree/src/journal/journald.conf?id=debian/215-12#n26, форвардинг в syslog включен и работает. согласно http://anonscm.debian.org/cgit/pkg-systemd/systemd.git/tree/debian/systemd.postinst?id=debian/215-12#n107, /var/log/journal нарочно не создаётся maintainerами. т.о. они натурально рассчитывают на тёплый ламповый syslog. выяснить почему он не ставится при установке — домашнее задание вам. в любом случае, ни поттеринг, ни maintainerы systemd в debian тут ни при чём.
vitus_wagner: My photo 2005 (Default)

[personal profile] vitus_wagner 2015-03-25 05:22 pm (UTC)(link)
Ты тут как со мной разговариваешь, школота! "Домашнее задание".
Я уже лет тридцать как вырос из того возраста, когда домашнее задание задают.

Если ты хочешь мне, а также множеству других людей привыкших к unix-way доказать, что systemd хорошая штука, напиши книгу.

Размером примерно с Oracle Concept Manual, а лучше - с SAH. В которой будут все полезные вещи которые делает systemd изложены последовательно и логично
(на мой взгляд, это невозможно. Нынешняя подсистема роутинга в линуксовом ядре куда концептуально чище, но и то когда Алекс Кузнецов собрался ее документировать, он вынужден был половину кода переписать.)

В лучшем случае получится что-то вроде рихтеровского Windows NT Internals, по прочтении которого данная категория людей скажет "да, спасибо, мы так и думали, что это страшная гадость, от которой нужно держаться подальше".
develop7: (dero)

[personal profile] develop7 2015-03-25 08:54 pm (UTC)(link)
Ты тут как со мной разговариваешь, школота!
Как с адекватным и не очень осведомлённым человеком. Ошибался, признаю, бывает.
Я уже лет тридцать как вырос из того возраста, когда домашнее задание задают.
1) оно и видно. 2) да мне всё равно сколько вам лет 3) учиться никогда не поздно
Если ты хочешь мне, а также множеству других людей привыкших к unix-way доказать, что systemd хорошая штука, напиши книгу.
доказывать привыкшим, как мы видим на вашем примере, занятие неблагодарное. я лучше неудобных вопросов поспрашиваю

[identity profile] a-konst.livejournal.com 2015-03-26 12:31 pm (UTC)(link)
Реплика со стороны - не вижу тут ни одного "неудобного вопроса" от вас.
develop7: (dero)

[personal profile] develop7 2015-03-26 04:02 pm (UTC)(link)
покажите логгер на текстовых файлах аналогичный journald по функциональности
зачем нужны бинарные логи и какие проблемы они решают

[identity profile] a-konst.livejournal.com 2015-03-26 04:25 pm (UTC)(link)
на эти вопросы в репликах Витуса ответы есть.
1) расширенная функциональность journald не имеет особой ценности, если к ней добавляется способность все логи вовсе потерять, особенно если это получается по дефолту.
2) проблемы, которые добавляют бинарные логи, более существенны, чем те, которые они решают.

(можете со мной не дискутировать по этим тезисам, я лишь указываю, что эти ответы есть в более-менее явном виде)
develop7: (dero)

[personal profile] develop7 2015-03-24 08:21 pm (UTC)(link)
И считаю идиотизмом полагать, что если я не буду желать никому смерти, то и мне никто не будет желать смерти.
это идиотизм, да.
Однако вас это никак не оправдывает.
vitus_wagner: My photo 2005 (Default)

[personal profile] vitus_wagner 2015-03-24 08:39 pm (UTC)(link)
Я не нуждаюсь в ваших оправданиях.
Flat | Top-Level Comments Only