vitus_wagner | Пропоттеринга

А все-таки жаль что Поттеринга не затравили до самоубийства.
А то вот у меня тут в lxc контейнере jessie. Вдруг после перезагрузки хоста взял и перестал пускать.
На консоли пишет Cannot make/remove an entry for the specified session, а при заходе по ssh просто "connection closed".

При этом найти идиотские бинарные логи этого идиотского systemd из хост-системы не получается. Делаю chroot в контейнер, пытаюсь запустить эту якобы "жутко удобную" специутилиут journalctl, а она мне говорит "мужик, у тебы /proc не смонтирован". Впрочем, смонтировал её /proc, все равно ничего не нашла. Пришлось в этом chroot-е поставить sysvinit-core и rsyslog и перезапустить контейнер.

После этого появились нормальные текстовые логи, и зловредный pam_loginuid.so был уличен и казнен.

Впрочем подозреваю, что этот самый pam_loginuid который ставит на процесс некий расширенный атрибут (что почему-то не позволено делать из контейнера) - это тоже поттеринговское извращение.

Типа чтобы можно было корректно проаудитить процессы, запущенные юзером через su или sudo или процессы с suid-битом, и записать их на счет юзера.

Но блин, ставить это с session required по умолчанию (хотя аудит процессов нужен в одной системе из миллиона, поскольку остальные single-user), зная что в контейнерах это не работает...

Crossposts: http://vitus-wagner.livejournal.com/1071323.html

Flat | Top-Level Comments Only

From:

vitus_wagner

lxc я тоже доволен. Я недоволен systemd вообшще и journald в частости.

И да, я считаю что некоторых людей надо убивать. Если вам нравится общаться со сторонниками смертной казни, могу вас в этом журнале забанить чтобы соблазна не возникало.

From:

develop7

И да, я считаю что некоторых людей надо убивать.

— Ну а якщо вони тебе застрілять?
— А мене за що?©

очень, очень духовно.

From:

vitus_wagner

Вообще-то я в курсе что на свете есть множество людей которые готовы меня убить, несмотря на то что лично я им ничего плохого не делал.

А еще больше людей, которым попросту безразлично выживу я или нет в результате каких-то их действий.

И считаю идиотизмом полагать, что если я не буду желать никому смерти, то и мне никто не будет желать смерти.
Примерно таким же, если не большим, как придувать для логов такой формат, что его нельзя читать без использования специальных утилит.

From:

develop7

придувать для логов такой формат, что его нельзя читать без использования специальных утилит

да, utmp/wtmp например.

From:

vitus_wagner

А я где-то говорил, что все остальное кроме systemd хорошо и правильно?
Тут одни названия файлов-то чего стоят - сразу заставляют вспомнить "нет ничего более постоянного, чем временное".

From:

develop7

я так понимаю, что вопросом «зачем так сделано» вы себя не утруждали

Edited Date: 2015-03-25 06:35 am (UTC)

From:

vitus_wagner

Зачем так было сделано в 70 году мне понятно. Зачем от этого не отказались еще году в 1985 - мне не понятно.

From:

develop7

зачем нужны бинарные логи и какие проблемы они решают
зачем практически все СУБД хранят данные в бинарях вместо человекочитаемого текста
и т.п.

From:

vitus_wagner

У меня есть помание что люди, именующие себя "девелоперами", а по факту являющиеся безграмотными недоучками, пихают СУБД туда, куда их ни в коем случае не следует пихать (а следует использовать текстовые файлы, или вложенные каталоги с мелкими файликами), и получают в результате что им нужны гигабайты памяти и гигагерцы процессора при таких нагрузках, при каких у меня в 1997 году все на 32Мб, 66MHz и узкой SCSI работало.

Помнится, когда мы обсуждали проблему визуализации больших графических файлов на maemo, один такой деятель пытался мне доказать, что невозможно на экране 800x480 показать с масштабированием tiff-файл 16000x12000 имея всего-то 256 мегабайт памяти. В то время как я в 93 году писал вьюер для подобных файлов (правда не tiff, но по смыслу то же самое) работавший в реальном режиме DOS.

From:

edo-rus.livejournal.com

ну в tiff всякая разная компрессия может быть, так что задача выглядит и вправду нерешаемой с приемлемой производительностью.

From:

vitus_wagner

Ну почитайте на досуге API libtiff. Вполне это решаемая задача - читать tiff-файл построчно при любой компрессии кроме jpeg. При jpeg-коммпрессии придется полосками по 8 строк читать. Все равно при числе писелов в строке до 65536 (а больше оно не умеет), в 640К, которые enough for everyone требуемый буфер лезет. Вот вместе с фреймбуфером 800x480 в 640 уже не лезет. В DOS для этого использовались специальные ухищрения с переключением банков памяти. Но если речь все равно идет о сотнях мегабайт памяти, то один или два мегабайта памяти нужны - не разница.

From:

develop7

следует использовать текстовые файлы, или вложенные каталоги с мелкими файликами

хочу предметной дискуссии. покажите логгер на текстовых файлах аналогичный journald по функциональности

From:

vitus_wagner

А что, там есть какая-то функциональность, кроме умения протоптать все нужные логи не записав их никуда?

Логгер с такой функциональнсотью делается из syslogd одной строчкой в конфиге

*.* /dev/null.

From:

develop7

А что, там есть какая-то функциональность, кроме умения протоптать все нужные логи не записав их никуда?

читайте маны, ладно? mkdir /var/log/journal — и все логи ВНЕЗАПНО пишутся. общее представление об остальной функциональности можно получить по ссылке http://0pointer.de/blog/projects/journalctl.html

From:

vitus_wagner

Блин! Логи нужны на случай инцидента. Когда инцидент произошел, включать их запись поздно. Инцидент уже произошел.

Хорошо у меня был воспроизводимый случай. А если бы это блин, была хакерская атака?

Поэтому если эта хрень этого не сделала при установке пакета, мейнтейнера пакета нужно повесить на одном дереве с Поттерингом.

Впрочем меня не удивляет что эту хрень не взялся мейнтейнить человек имеющий представление о том как надо работать в области информационной безопасности.

Потому что у всех таких людей реакция на systemd "уберите эту гадость из моего дистрибутива".

From:

develop7

значит так. в https://packages.debian.org/jessie/amd64/systemd/filelist есть /etc/systemd/journald.conf. согласно http://anonscm.debian.org/cgit/pkg-systemd/systemd.git/tree/src/journal/journald.conf?id=debian/215-12#n26, форвардинг в syslog включен и работает. согласно http://anonscm.debian.org/cgit/pkg-systemd/systemd.git/tree/debian/systemd.postinst?id=debian/215-12#n107, /var/log/journal нарочно не создаётся maintainerами. т.о. они натурально рассчитывают на тёплый ламповый syslog. выяснить почему он не ставится при установке — домашнее задание вам. в любом случае, ни поттеринг, ни maintainerы systemd в debian тут ни при чём.

From:

vitus_wagner

Ты тут как со мной разговариваешь, школота! "Домашнее задание".
Я уже лет тридцать как вырос из того возраста, когда домашнее задание задают.

Если ты хочешь мне, а также множеству других людей привыкших к unix-way доказать, что systemd хорошая штука, напиши книгу.

Размером примерно с Oracle Concept Manual, а лучше - с SAH. В которой будут все полезные вещи которые делает systemd изложены последовательно и логично
(на мой взгляд, это невозможно. Нынешняя подсистема роутинга в линуксовом ядре куда концептуально чище, но и то когда Алекс Кузнецов собрался ее документировать, он вынужден был половину кода переписать.)

В лучшем случае получится что-то вроде рихтеровского Windows NT Internals, по прочтении которого данная категория людей скажет "да, спасибо, мы так и думали, что это страшная гадость, от которой нужно держаться подальше".