vitus_wagner: My photo 2005 (Default)
И все-таки при апгрейде дебиана на сервере у меня кое-что сломалось. А именно - ikiwiki. При попытке редактирования через web-интерфейс говорит

cannot decode string with wide characters.

Где-то случилось двойное преобразование из байтов в юникод.

Вот теперь думаю что делать дальше - либо ставить какой-нибудь moinmoin, либо завести еще парочку fossil-проектов (их у меня там уже десяток), и импортировать в них соответственно вики по Ясмине и по галактической федерации. Благо на спейсианском вики технология уже опробована (не сказать, чтоб отработана).

Видимо, так и надо поступить. Тогда можно будет с этими wiki offline работать.
vitus_wagner: My photo 2005 (Default)
Тут, посколькуо в Debian stable пришла openssl 1.1, из которой ГОСТ-ы из дистрибутива выкинули, [personal profile] beldmit сподвиг меня собрать gost-engine в отдельный пакет

Поэтому теперь на github в организации gost-engine завелись два новых репозитория debpkg и rpm где содержится все необходимое чтобы собрать deb- или rpm- пакеты с gost-engine для систем, где в комплекте идет openssl 1.1.0

Пробовалость пока только под Debian stretch и Fedora 26. Ну и всякие мелочи типа аккуратного заполнения файла copyright еще предстоят.
vitus_wagner: My photo 2005 (Default)
После апгрейда debian-а почему-то вдруг всякие разные програмы вплоть до fossil стали при попытке открыть из них URL запускать ублюдство от гугля (плевать что в данном случае опенсурсное - все равно ублюдское и с проксями работать не умеет по-человечески), вместо нормального файрфокса. Хотя у меня вроде альтернатива x-www-browser была выставлена правильно.

Расследование показало, что большая часть современных программ, когда им надо открыть URL-ку запускают не Debian-specific x-www-browser, а "универсальный" и "стандартный" xdg-open. Который настройку альтернатив игнорирует и пользуется своей базой настроек.

Как выяснилось, искать нужную настройку нужно не в xdg-settings, а в xdg-mime.
Если у этой программы спросить а кто у нас умолчательный обработчик mime-типа
x-scheme-handler/http, то тут-то и выяснится, откуда берется chromium. И в этом месте как раз и можно поменять то что вызывается по xdg-open. Кстати, обработчики для http и https нужно менять отдельно. А то http-урл-ки будут открываться правильно, а https в том, что в голову freedesktop.org взбрело.

Заодно с помощью xdg-mime можно оторвать привычку файлменеджеров открывать постскрипт гимпом, а не evince.

Насколько я понимаю, работа через командно-строчную утилиту xdg-mime - универсальна и десктопно-независима (хотя xdg-open делает попытки выбирать браузер в зависимости от десктопа).

Кроме того xdg-mime имеет полезную функцию query filetype. Она позволяет узнать, какому именно типу mime нужно поменять дефлотный обработчик, если у вас типичным не тем открывается конкретный файл. К сожалению, на url-ку это не срабатывает.

P.S. А вообще в современных линуксах сильно не хватает профайла all users. Поскольку изменения, связанные с эволюцией софта приходится вносить куда чаще, чем заводятся новые пользователи, и вносить именно пользовательскую конфигурацию. Все же локальное "all users" данной машины и /usr/share, находящееся под управлением пакетного менеджера, это сильно разные вещи. Надо покопаться, может быть xdg умеет что-то из /usr/local читать.
vitus_wagner: My photo 2005 (Default)
Выяснилось, что stretch я похвалить немного поторопился.

Как оказалось он молча, без вопросов апгрейдит keepass 0.43 на keepass 2.0.3.

Засада в том, что keepass <2 и keepass 2.x это программы у которых нет ничего общего, кроме названия и назначения.

Например, несовместим формат файлов. То есть keepass 2.x умеет один раз симпортировать базу от 1.x но записать обратно - уже никак.

А я держу keepass в качестве менеджера паролей ровно потому что он позволяет копировать базу как файл между разными устройствами с разными операционными системами. Поэтому ситуация когда на одном устройстве один формат, на другом другой - меня категорически не устраивает.

Поставил пока пакеты из jessie на hold. И думаю - стоит переходить на keepass 2.x
или не стоит?

Что-то мне все андроидные клиенты, совместимые с keepass2 вызывают подозрение:

У keepass2android интерфейс переписан с java на mono. Это для андроид-то!
KeePassMob содержит в себе код работы с сетью (dropbox), что по-моему для пассворд-менеджера под андроид категорически недопустимо. Поскольку уж если в этой дырявой системе есть способ защититься от доступа в сеть, то именно пассворд-менеджер обязан это сделать.

Поэтому я думаю о том, что может быть стоит еще какой password-manager поискать.

Требования:

1. Наличие клиентов для linux и android
2. Приемлемая usability для android, у которого жутко неудобная работа с clipboard
3. Приемлемая юзабилити под X11.
4. Возможность копирования базы паролей с устройства на устройство как файла по ЛЮБОМУ
протоколу передачи файлов scp, obex, smb.
5. Наличие в базе хотя бы пары дополнительных колонок кроме имя и пароль.
В качестве бонусов:
5. Команд-лайн интерфейс под linux.
6. Возможность хранения базы паролей в version control.
vitus_wagner: My photo 2005 (Default)
Тут уже несколько дней назад сделал на ноутбуке dist-upgrade на stretch.

Это был самый беспроблемный dist-upgrade со времен пожалуй что, hamm ( а раньше я просто Debian-ом не пользовался).

То есть даже не пришлось перезапускать apt-get dist-upgrade несколько раз. Все с одного раза отконфигурировалось.

Правда, все хитрое и сложное у меня версии не изменило - ядро из бэкпортов, либреофис из бэкпортов и т.д.
vitus_wagner: My photo 2005 (Default)
https://devuan.org/

Проект Devuan выпустил первый официальный стабильный релиз systemd-free дистрибутива.
vitus_wagner: My photo 2005 (Default)
https://www.debian.org/News/2017/20170425

Ранние IP-протоколы, возникшие с интернетом, отличались избыточной сложностью.
Недаром в названии протокола SMTP, фактически первого из следующей генерации, буква S означает Simple. Кроме того они предназначены для сети, где нет никого злонамеренного.
Интернет 80-х был "сетью друзей" в куда большей степени, чем позднейшее Фидо.

В принципе, большая часть тех протоколов уже мертвы. Часть - потому что нет таких задач, никто сейчас и не в курсе про то, что такое протокол ident или файл .plan, используемый в протоколе finger.

Фактически мертв и telnet. Хотя я еще помню времена, когда клиент telnet использовался как универсальный тестовый клиент для всех текстовых протоколов, его уже давно вытеснил netcat.

Только ftp еще хоть как-то шевелился. Несмотря на безумно замороченную конструкцию с двумя сокетами, путаницу ascii/binary active/passive он как-то по инерции продолжал сущестовать.

Но видимо его время наконец пришло. Если уж весьма консервативный проект Debian отключает доступ к своим ресурсам по ftp, оставляя только http.

TTS

Mar. 8th, 2017 06:25 pm
vitus_wagner: My photo 2005 (Default)
Попробовал тут tts на десктопе. Тупо и в лоб

apt-get install festival festvox-ru
festival --tts somefile.txt

Вроде работает не хуже, чем это делает андродиный svox.
Правда, обнаружилось что оно ломется на m-тире и кавычках-ёлочках. Пришлось немножко попатчить файл msu_ru_nsh_lexicon.scm из пакета festvox-ru.

В итоге, правда, маркдауновские файлы все равно приходится проигрывать посредством

pandoc -t plain -o - filename.mkd|festival --tts

А то на звездочках, использованных для выделения курсивом, оно ломается.

Теперь осталось придумать какую-нибудь обертку вокруг FB2ToTxt.xslt чтоб можно было вперед-назад абзацы проматывать.
vitus_wagner: My photo 2005 (Default)
Традиционная задача - как попасть по ssh на хост, не имеющий достижимого извне IP.
В данном случае в варианте "как мне попасть с работы домой".

У домашней машины есть VPN в которую включен хостинговый сервер.

Поэтому в принципе годится любой вариант ssh-через-прокси.

На эту тему теперь есть большой и толстый cookbook.

Начинаем применять рецепты оттуда по очереди

1. ssh -J www.wagner.pp.ru wagner

Увы, у меня на рабочей машине jessie. В нем openssh 6.7, он -J еще не умеет. С виртуалок со stretch и FreeBSD 11 попробовал, работает. Но dist-upgrade на stretch говорить рано. И уж точно не для этой фичи.

2. ssh -o "ProxyCommand ssh -W %h:22 www.wagner.pp.ru" wagner

Это мой openssh умеет. И, в принципе это у меня сейчас штатный способ

3. ssh -o 'ProxyCommand ssh www.wagner.pp.ru nc %h 22' wagner

Это умели и версии openssh, существовавшие десять лет назад. Сейчас я этого даже пробовать не стал. Зачем, если -W есть?

Далее вот такой интересный вопрос - в .xsessionrc на работе у меня все равно прописано открытие ssh-сессии на мою vds с -D 4080. Чтобы использовать этот порт в качестве web-прокси. Потому что не хочу я ошибку 451 видеть.

А может этой самой socks прокси можно еще воспользоваться для хождения по ssh?
Увы, openssh хорошо умеет быть socks-сервером, но не обучен быть socks-клиентом.

В вышеприведенном cookbook рекомендуют использовать netcat в качестве ProxyCommand.

ssh -o "ProxyCommand nc -X 5 -x localhost:4080 %h %p" wagner

Полез смотреть, а-а-а, netcat в jessie не понимает ни -X ни -x. Посмотрел повнимательнее, все гораздо хитрее - в jessie есть четыре разных нетката. И netcat-openbsd все что надо понимает. А у меня почему-то стоял netcat-traditional.

Остался нерассмотренным вопрос использования опции -w в ssh для организации полноценного VPN средствами самого ssh. Но об этом как-нибудь в следующий раз.
vitus_wagner: My photo 2005 (Default)
Выяснил, в чем причина того, что хецнеровская виртуалка была не доступна по IPv6:

Оказывается, я там что-то лишнее перекрыл на файрволле, и поэтому оно и не работало.
Файрвол был более-менее прямолинейно скопирован с IPv4 конфигурации и выглядел вот так:

правила ip6tables )

Вопрос в том, что я забыл там разрешить, что в итоке отвалилось всё?

IPv6

Jan. 16th, 2017 08:38 pm
vitus_wagner: My photo 2005 (Default)
Выяснил тут совершенно случайно, что Onlime дает IPv6. В смысле, запустил на Алькоре
dhcp -6 eth0.101 а он и получил какой-то адрес.

Теперь если я запущу откуда угодно ssh -D 4080 home.wagner.pp.ru, у меня будет socks-proxy с поддержкой ipv6.

Вопрос в том, а что с этим делать дальше.

Конечно, куда приятнее было бы иметь достижимый извне IPv6 в Медведково, а не на Ленинском, где кроме Алькора и никаких включенных постоянно компьютеров нет. Но в Медведково роутером работает древняя D-Link Dir-300B1 с dd-wrt примерно полуторалетней давности, в котором поддержки IPv6 нет. Ну допустим, поставлю я туда более свежую прошивку, допустим там появится поддержка v6 (хотя что-то я не нашел упоминаний о dhcp6 в dd-wrt-шном FAQ. Про radvd там пишут, но это, насколько я понимаю, не то).

Непонятно:

1. Является ли выдаваемый онлаймом по dhcp6 адрес статическим, т.е. можно ли его без проблем писать в AAAA запись, или нужно городить поддержку ipv6 в Dynamic DNS (я-то нарисую - dyndns.cgi у меня свой собственный)
2. Является ли указание того, что у меня адрес xxxx:xxxx:xxxx::1/64 Scope: Global указанием на то, что у меня есть целых MAXULONG адресов, и я могу спокойно роутить их на внутренние машины сети в соответствии c рецептом, который у hetzner-а в FAQ написан.

Кстати. все эти разборки начались с того, что выяснилось что обещанный хецнером для моей виртуалки IPv6 нифига не работает.

vws 0.5

Jan. 14th, 2017 10:12 pm
vitus_wagner: My photo 2005 (Default)
В связи с необходимостью сетапит новый билд-сервер, выпустил очередную версию vws. На самом деле у нас vws уже почти год в production работает. Т.е. в итоге задача "сделать простые вещи удобнее, чем в virsh" вполне решена.

На идею нарисовать GUI я, похоже, окончательно забил. А вот автостарт виртуальных машин при перезагрузке допилил.

Буду теперь его везде ставить из deb-пакета.
vitus_wagner: My photo 2005 (Default)
Как траффикт-то в debian-russian упал. За весть 2016 год меньше полутора тысяч писем. А раньше по пять тысяч в год было.

Кстати, в прошлом году я чуть ли не в первый раз в жизни получил в этом списке осмысленный совет на тему как решить мою проблему. До того я там советы в основном давал.
vitus_wagner: My photo 2005 (Default)
Приходи ко мне начальник,
Я намаялся один
Тут звонит в поддержку чайник
Мы вдвоем его съедим.

Очень хочется посоветовать человеку, который не понимает почему пакет libicu57 не удовлеторяет зависимость от libicu52:

Если ты мужик, этого не понимаешь без подсказок, тебе не стоит ставить Debian stretch раньше февраля 17 июня следующего года.
vitus_wagner: My photo 2005 (Default)
Собственно, этот проект я начал тихой сапой год назад, когда начал писать vws. Вчерашний пост про OpenVPN явно является продолжением того же тренда. Кстати для openvpn-менеджера я уже репозиторий завел.

Вообще надо еще wpa_gui переписать. И bluez-applet. К этому снаряду я уже, правда, пытался подойти, но без большого успеха. Впрочем, теперь у меня больше блютусных девайсов - есть и наушники, и мыши.

В общем, проект по устранению из linux-овой рабочей станции/ноутбука лишних демонов. Благо демоны нелишние wpa-supplicant, openvpn, qemu-system прекрасно умеют выполнять ту работу, ради которой пытаются завести лишний набор демонов, которые ими управляют. Поэтому вместо демонов надо сделать апплеты в трее или командно-строчные утилиты, которые все необходимые операции умеют выполнять.

От libvirtd я уже больше года как избавился, хотя для того чтобы довести vws до состояния, пригодного для многопользовательских систем и сборочных серверов под управлением jenkins и pgfarm потребовалось довольно много времени.

Теперь вот собираюсь на NM с wicd ополчиться.

На самом деле в основном потому что есть нетбук, на который LXDE попросту не лезет (5-й libreoffice их бэкпортов лезет, а на lxde уже места не остается. Эксперимент с awesome признан несколько неудачным. Сам я еще как-то пользоваться им могу, но вот научить ребенка не получается. Он уже привык к традиционным wm с перекрывающимися окнами, поэтому оказалось проще поставить jwm, чем объяснять ему за одни выходные (большую часть которых мы оба провели в огороде), кучу концепций, которые я еще и сам до конца не усвоил.

На самом деле lxde для меня потеряла смысл уже давно, когда я перешел с pcmanfm на spacefm. Все остальное, что я использую от lxde jwm умеет не хуже.
Разве что lx-logout'у еще надо приискать десктопонезависимую замену. Впрочем, lx-logout безбожно глючит с light-locker-ом. В смысле, систему в которой вместо xscreensaver используется lightlocker не умеет корректно уложить в hybernate, чтобы она потом нормально взлетела. А если нет hybernate, то функциональность lx-logout сводится к той, которую обеспечивают совместно менюшка quit в jwm и аппаратная кнопка питания.
vitus_wagner: My photo 2005 (Default)
Написал вопрос в debian-russian сдублирую и сюда тоже.
Все таки аудитория не сильно пересекается:

Коллеги!

Вот тут захотелось мне gui-утилиту для управления openvpn. Чтобы сидела в tray-е и позволяла включать-выключать соединения (клиентские) с разными серверами, у каждого сервера, естественно свой CA, запрашивала в некоторых случаях пассфразу к секретному ключу или красивым диалогом просила вставить криптографический токен, показывала состояние соединения, и, при необходимости, сообщения из лога.

В общем более-менее полно реализовывала протокол, описанный в management-notes.txt при минимальной инвазивности интерфейса.

Возможность править конфиги через GUI скорее вредна, чем полезна. И еще хотелось бы чтобы для использвания этого добра не нужно было бы править полученные от администратора openvpn-сервера конфиги. То есть всякие необходимые --management* ключики передавались бы запускаемым openvpn-ам через init-скрипт, запускающий их при старте системы.
(естественно, все это для systemd-free и network-manager-free среды.
wicd это такой network-manager-lite).

Интересно, кто-нибудь под linux писал?

То есть, понятно, что если не найду, можно вспомнить Tcl/Tk и написать самому. Но вдруг есть готовое, требующее минимальной обработки
напильником.
vitus_wagner: My photo 2005 (Default)
http://www.theregister.co.uk/2016/07/07/ian_murdock_autopsy/

Вот тут пишут, что смерть Яна Мёрдока признана суицидом.
Значит, труп валяющися ничком без одежды на лестнице с проводом на шее - это он так повесился?
Я во многое могу поверить, но в то что Ян не мог как следует привязать петлю, на которой вешался?
vitus_wagner: My photo 2005 (Default)
Команда Devuan несмотря на сомнения скептиков, сумела довести свой systemd-free дистрибутив до стадии beta.
vitus_wagner: My photo 2005 (Default)
Тут назревает переезд wagner.pp.ru на другую платформу виртуализации и под другим управлением. По-моему, это у меня был последний ресурс который хостился по знакомству, (хотя и за деньги).

Впрочем нет худа без добра. Потеряв немного в дисковом пространстве я приобрету более современную систему (а то там был openvz, и ядро с номером версии меньше числа e). Теперь на хостинговой виртуалке будет прямо как на ноутбуке - 64-битная архитектура и текущий stable, а не oldstable. В результате 32-битный wheezy у меня останется только where it belongs - в качестве экзотической зверюшки в buildfarm. (В pgbuildfarm узлы действительно называются animals или critters).

Хотя нет, есть еще polaris. Polaris-у надо при случае dist-upgrade сказать.
Впрочем им сейчас никто не пользуется, потому что у отца не срослось общение с lxde, а ребенку не очень-то дедушка с бабушкой разрешают эту машинку крутить.

В процессе переезда сервера случится

1. Переезд с apache 2.2 на apache 2.4 с соответствующим перепахиванием конфига
2. Переезд с jabberd1.4 на ... Ну, наверное, на ejabberd. Вроде все им сейчас пользуются. а jabberd2 особо не популярен. В дистрибутиве есть еще prosody, но про него я вообще впервые слышу.

Хорошо хоть не надо postfix и vsftpd сильно перелопачивать.
vitus_wagner: My photo 2005 (Default)
Я вот тут всегда утверждаю что компилятор на сервере держать не хорошо и ничем кроме уязвимости он не является.

Тем не менее у меня на сервере стоит пакет binutils. И стоит он там как раз по соображениям защиты от угроз. Угадайте по зависимостям от какого пакета он притащился.

Комменты, естественно, скрыты, а то придет кто-нибудь опытный вроде [personal profile] filin и всем остальным малину обломает.

Profile

vitus_wagner: My photo 2005 (Default)
vitus_wagner

October 2017

S M T W T F S
123 456 7
89 101112 1314
1516 1718192021
22232425262728
293031    

Syndicate

RSS Atom

Most Popular Tags

Style Credit

Expand Cut Tags

No cut tags
Page generated Oct. 17th, 2017 10:05 pm
Powered by Dreamwidth Studios