Можно ли как-то заставить при загрузке получать Ubuntu 22.04.2 ключ шифрования для zfs пула с USB носителя (fat32 с файлом ключа)? Для параметра шифрования keylocation /dev/ssd не годится. Система находится на пуле, так что ключ нужен еще до возможности смонтировать флешку. Как-то через initramfs?
В этот раз через QEMU + KVM + скрипты.
( читать дальше... )
Super UEFIinSecureBoot Disk — образ диска с загрузчиком GRUB2, предназначенным для удобного запуска неподписанных efi-программ и операционных систем в режиме UEFI Secure Boot.
Диск можно использовать в качестве основы для создания USB-накопителя с утилитами восстановления компьютера, для запуска различных Live-дистрибутивов Linux и среды WinPE, загрузки по сети, без отключения Secure Boot в настройках материнской платы, что может быть удобно при обслуживании чужих компьютеров или корпоративных ноутбуков, например, при установленном пароле на изменение настроек UEFI.
Образ состоит из трех компонентов: предзагрузчика shim из Fedora (подписан ключом Microsoft, предустановленным в подавляющее большинство материнских плат и ноутбуков), модифицированного предзагрузчика PreLoader от Linux Foundation (для отключения проверки подписи при загрузке .efi-файлов), и модифицированного загрузчика GRUB2, который загружает EFI-файлы самостоятельно, не используя функции UEFI.
Во время первой загрузки диска на компьютере с Secure Boot необходимо выбрать сертификат через меню MokManager (запускается автоматически), после чего загрузчик будет работать так, словно Secure Boot выключен: GRUB загружает любой неподписанный .efi-файл или Linux-ядро, загруженные EFI-программы могут запускать другие программы и драйверы с отсутствующей или недоверенной подписью.
Для демонстрации работоспособности, в образе присутствует Super Grub Disk (скрипты для поиска и загрузки установленных операционных систем, даже если их загрузчик поврежден), GRUB Live ISO Multiboot (скрипты для удобной загрузки Linux LiveCD прямо из ISO, без предварительной распаковки и обработки), One File Linux (ядро и initrd в одном файле, для восстановления системы), и несколько UEFI-утилит.
Диск совместим с UEFI без Secure Boot, а также со старыми компьютерами с BIOS.
В очередной раз решил потыкать палочкой wayland в KDE. В общем, эксперимент в очередной раз считаю неудачным. В целом, работает, но есть несколько очень неприятных багов.
Тест длился около недели. Ни в одном из багов не разбирался, логи не читал, фиксить не пытался сверх ковыряния в настройках мышей. Переключился назад в иксы. Никакой заметной на глаз плавности или повышенной производительности по сравнению с иксами в Wayland не замечено.
Ноут древний и слабый, в качестве видео - встройка от AMD. Дрова дефолтные. Calculate Linux.
С моей точки зрения обычному пользователю пока рано в wayland.
Други, подскажите
В связи с тем, что мы планируем обновление файлохранилища в компании, дабы понимать прогресс, я решил заморочиться оценками текущей производительности нашего файлохранилища. Но если честно, я не очень знаю как сделать это максимально приближенно к реальности. Быть может вы подскажете.
Итак имеется 10гигабитная локальная сеть, в которой порядка 20 рабочих станций работающих одновременно с файлохранилищем, которое монтируется на каждую машину по nfs.
Файлохранилище организовано на базе mdadm, где поднят RAID 6 (chunk 512k), на 8 HDD 7200rpm
Сеть проверил через iperf связь каждой машины с хранилищем стабильно порядка 9.5 Гигабит/c.
Далее, для чистоты эксперимента, я выбрал момент, когда в офисе никого не было и ни одна машина не обращалась к хранилищу, чтобы постараться получить данные по максимальной скорости работы в идеальных условиях, когда не приходится делить ни трафик, ни мощности рейда на много машин.
Итак, тест я делал так:
dd if=/dev/zero of=/mnt/server/Trash/test.img bs=8k count=256k По результатам нескольких попыток подряд средняя скорость записи в хранилище была 505 Мб/с
dd if=/mnt/server/Trash/test.img of=./test.img По результатам нескольких попыток подряд средняя скорость чтения из хранилища была 150 Мб/с
dd if=/mnt/server/Trash/test.img of=./test.img bs=8k По результатам нескольких попыток подряд средняя скорость чтения из хранилища была 510 Мб/с
dd if=/mnt/server/Trash/test.img of=./test.img bs=64k По результатам нескольких попыток подряд средняя скорость чтения из хранилища была 600 Мб/с
dd if=/mnt/server/Trash/test.img of=./test.img bs=512k По результатам нескольких попыток подряд средняя скорость чтения из хранилища была 600 Мб/с
Таким образом! Скорость записи в хранилище оказалось порядка 505 М/c. Скорость чтения в среднем 150 М/c без параметра bs, а с bs=8k скорость выше почти в 3.5 раза, а с bs=64k или 512k (тут я особой разницы не заметил) скорость чтения выше почти в 4 раза.
Вопрос. Ребята, скажите:
И на серваке и на рабочих станциях установлен Arch Linux
Понимаю, что мои данные это не идеальный тестовый стенд в идеальных условиях, но все же мне бы хотелось базово оценить, насколько я вообще смог выжать максимум из имеющейся сети и из рейда по производительности. И если не смог, то дальше найти где затык. К примеру, мне почему-то кажется, что скорость чтения с рейда даже при наличии параметра bs низковата. Что скажете, други?
Скоро (ближе к концу января) буду вводить в эксплуатацию сервер, хочу потестить производительность ZFS.
Цели:
Тестировать буду Intel P5800X (Optane) и Samsung PM1735 (TLC). Будет средний сервер на Xeon’e. Дистрибутив — Proxmox VE.
Принимаются пожелания (в виде указаний по настройке ZFS и конфигов/команд fio).
Предыдущее тестирование (2019 г.)
Тема в reddit/zfs. Может там чего-нибудь дельного посоветуют.
Я сделал пропритарщину в кубе - программа патчинга VBIOS для GTX470-780Ti для отключения вызывающих артефакты проблемных каналов памяти. Без исходников, а для работы ещё и прав рута требует (или попросит ввести пароль от sudo).
Помимо отображаемых в интерфейсе фиксированных текстовых ссылок - никаких закладок в ней нет; но это нельзя никак проверить кроме как поверить мне на слово, всё как любят на ЛОРе.
Предназначена для программного восстановления работоспособности артефактных карт GTX470-780Ti путём модификации VBIOS. Если вы хотите чтоб старое железо, совместимое с nouveau снова заработало - вам должно понравиться)
Идея в том, что если карта этой серии не работает/глючит - то по статистике довольно часто дело в коммуникации по одному из каналов памяти. И этот канал можно просто отключить, получив снова рабочее оборудование.
В процессе работы попеременно прошивает различные vbios, и после перезагрузки просит проверить работает или нет. В зависимости от того работает или нет - соотвественно выбирает какой VBIOS прошивать дальше.
Линукс тут при том что линукс-версия есть, разрабатывалась наравне c оффтопик-версией, основное отличие от виндовой лишь в том, что вместо безопасного режима используется смена target systemd через set-default multi-user.target и systemctl set-default graphical.target.
Соответственно от linux-пользователя ожидается готовнотсь работать в текстовой консоли 80x25, по карйней мере вернуть взад графический режим загрузки через sudo systemctl set-default graphical.target. Программа к текстовой консоли условно готова, хотя и не вся псевдографика нормально отрисовывается. В частности цветовая маркировка кнопок в этом режиме может быть не очень интуитивна - для интуитивного выбора верхнего или нижнего вариантов можно использовать Home/End. Если очевидных артефактов нет, то рабочесть VBIOS проверяем через startx (в предположении что драйвер для этих карт установлен - nouveau или старая ветка драйвера nvidia).
Остальная инструкция по сути такая же как инструкция для windows представленная на сайте. Там же архив с бинарниками: https://gpuzelenograd.github.io/NVIDIARU?L202211
Называется «Old NVIDIA artifacts»
Также отмечу что функционал открытия файла VBIOS для модификации (в противовес прошивке физической карты) - работает только в полноценном графическом сеансе, так как использует XDG Desktop Portal для диалога открытия файлов. Также чтоб портал работал - сама программа НЕ должна быть запущена от рута.
В общем, попытка посторить кроссплатформенное решение крайне нестандартно работающее с железом - вылилась в большОе количество костылей, но всё же поддержку linux запилить удалось.
Какие инструменты андервольтинга есть под линукс для амд и нвидиа?
Андервольтинг под вайн/протон и натив наверно будет разный?
Тегов андервольт и undervolt чому-то нет.
Если я напишу «Hello world» на PyQT6 - то это «приложение» будет нативно поддерживать Wayland?
Перемещено hobbit из general
Знаю, что есть розетки, которыми можно рулить по вайфаю. Но как я понял, рулежка через кастомный софт. А есть ли розетки/фильтры, которые предоставляют стандартный интерфейс коммуникации для рулежки «вкл/выкл»? Чтобы можно было самому с минимумом усилий написать скрипт, без необходимости реверсинжиниринга? Кто-нибудь такое видел или трогал?
Всем привет!
Вопрос от человека, мало что смыслящего в кибербезопасности.
Я прочитал про то, что после установки нового отечественного TLS сертификата, который используется на сайтах Сбербанка, ГосУслуг и т.д. пользователь подвергает себя риску атаки MITM на весь его трафик.
Собственно, вопрос: каким образом атака может быть проведена на трафик, который не связан с гос. сайтами, например, заходит он на сайт фейсбука, и соединение устанавливается с помощью совершенно другого TLS сертификата, каким образом правительство может получить доступ к такому трафику пользователя? Да и вообще, в чем тогда смысл всей этой канители, если тот же гугл, по этой логике, может встроить в хром свой сертификат и читать абсолютно весь трафик?
Вот кросс-компилируем мы программу. Скажем, coreutils.
У нас есть build-host, у нас есть target-host. Соответственно, у нас есть gcc, скомпилированный с --host=build-host --target=target-host.
Распаковали мы исходники coreutils, на build-host. На нем же запускаем:
./configure --build=build-host --host=target-host.
То есть запускаем в «cross compile-режиме».
Он пишет, например: найдена библиотека libcap. Ну да, AC_CHECK_LIB отрабатывает! Но происходит-то это на build-host!
В итоге, на своей LFS-сборке, запускаемой в QEMU, при старте ls не находится библиотека libcap.so.6. Правильно, она была на build-host, но проверять-то ее (shared-библиотеку!) надо было на target-host?
Я понимаю, что надо флагом --without-libcap эту библиотеку отключить. Но меня сама концепция смущает: почему ./configure, в режиме «cross compile», запускает AC_CHECK_LIB не на target-host?
Казалось бы, должен быть ключ --target-root=, но… --with-sysroot=, вроде, только у GCC…
Я правильно рассуждаю? Спасибо!
ssh не соединяется с удалённым сервером с авторизацией по rsa-ключам, запуск с параметром -vvvv выводит строку «debug1: send_pubkey_test: no mutual signature algorithm».
Нашёл тему SSH Keys и bitbucket.org (комментарий) из которой понял, что алгоритм rsa внезапно сделался устаревшим и выхода тут 3:
1)перейти на более старую версию openssh
2)вместо rsa-ключей генерировать ed25519
3)что-то добавить в ssh_config
Вот меня собственно 3-й пункт интересует, что там добавлять не смог разобрать, прошу совета.
Это кстати не линукс, а эмулятор msys2 под виндой. На соседнем компьютере, где установлен такой же msys2 всё работает.
Тред https://forum.xanmod.org/thread-4102-post-7572.html
Патч https://github.com/hakavlad/le9-patch
В чем дело?
Линуксы зависают при нехватке памяти: Линукс ядро не может мягко обрабатывать ситуации с нехваткой памяти
Решение: запрет на вытеснение определенного объема файловых страниц. Это обеспечивает этот самый патч, и киллер приходит быстро, система не виснет.
Патч принят в pf-kernel и linux-xanmod. linux-xanmod предоставляет бинарные сборки для deb-дистрибутивов.
Скачать бесплатно https://xanmod.org/
Привет. На моем ноуте периодически не хватает памяти под рабочие задачки. Поэтому использую zswap, он хорошо справляется, но имеет недостаток. Когда нужно вытеснить страницу памяти из сжатого кэша в памяти, он ее разжимает и потом сохраняет с своп (насколько я выяснил дойдя аж до исходников https://github.com/torvalds/linux/blob/master/mm/zswap.c /* decompress */…но подробно не разбрался), что повышает дисковый IO. Мне хотелось бы что бы этого разжимания не было. Отсюда два вопроса.
Всем привет, народ, и особенно - тем, кого помню. Давно не заглядывал.
Валялась у меня тут Live-флешка с Арчем, завернутым в Bedrock. Bedrock - это такой докер наоборот. Прикольная штука, позволяет миксовать софт из разных дистрибутивов в произвольных сочетаниях. (А вот еще какая-то обзорная статья на хабре, не моя.) Валялась без дела год, а сегодня попалась на глаза и решил запустить её.
Пока обновлялся Арч, решил поставить туда же Дебиан. Ну раз есть Бедрок, надо его использовать, а ставить на флешку еще один дистр с роллингом смысла нет. А если с фиксированными релизами - ну тогда Дебиан, очевидно же. И лучше сразу 12-й, потому что к тому времени, как я в следующий раз про эту флешку вспомню, он как раз успеет релизнуться. Апдейтнул Bedrock, развернул Debian в новой страте, чрутнулся туда, немножко настроил, поставил рандомного софта поиграться. Ребутнулся. Загрузился в дебиановский юзерлэнд на арчевском ядре. Ну прикольно. Всё работает, проблем нигде не вылезло.
Потыкал в разные DE. Внезапно прямо хорошо зашла мне XFCE. Лаконичная. Просто симпатичная по дефолту, без выкрутасов. Необходимый минимум настроек и фич есть, и ничем лишним не перегружена. Захотелось на ней и остаться.
И пока тестировал разные конфигурации, включал-отключал страты, созрела идея:
Делаем brl hide Arch, релогаемся - вся куча прикладного софта, поставленного под Арчем, попадает из меню приложений и из PATH. Остаётся чистый Debian с XFCE и минимумом софта. Делаем brl show Arch, релогаемся - в меню снова куча приложений. Хм… Да это же мысль. Я же этого джвадцать лет ждал.
И получается функциональный аналог этих ихних рантайм-сред от флатпака, но намного более крутой.
Потому что:
brl. Также легко для всех страт настраивается глобальная часть пространства файловых имён.Тут можно еще вспомнить виндовую технологию SxS для библиотек (Side-by-Size сборки), но лучше даже не вспоминать, потому что в Бедроке концепция и возможности на голову выше.
Захотелось собрать такой конструктор уже не на флешке, а в качестве основной системы на ноуте. И если всё будет тип-топ, может даже сделать такую сборку в виде образа для распространения. Или в виде скрипта для автоматического развертывания готовой конфигурации.
Короче, советую попробовать, товарищи энтузиасты. Я чо-т протащился с этого. Буду дальше экспериментировать в эту сторону.
З.Ы. В очередной раз обновляя Арч, который не обновлялся то ли полгода, то ли год, подумал о том, что никогда ничего «само» не разваливается, если только специально не толкать руки себе в задницу. Ни под Арчем, ни под Дебианом, ни под другими адекватными дистрибутивами. ЧЯДНТ?
З.З.Ы. Модератор, создай тэг bedrock, таки да.
Долгое время для поиска и просмотра ГОСТов я пользовался docs.cntd.ru, причем там можно было скачать стандарт в виде pdf. Сайт этот мегаудобный, но похоже по осени станет платным. И какие-то страницы могут стать недоступны для неавторизованных посетителей.
По закону, стандарты должны быть доступны для просмотра, но что-то сходу не найти тот самый сайт с стандартами.
Где еще можно посмотреть стандарты и желательно с возможностью скачивания?
1с предлагает на выбор несколько своих сборок Postgre разных версий.
Ставлю на Ubuntu 20. Версия Postgre для неё в стандартных репах 12.
Значит ли это, что и сборку от 1с мне нужно взять 12?
По каким критериям выбирать?
Обновилась утилита для создания регулярных выражений — grex 1.4.0. В новой версии исправлены ошибки, обновлена поддержка Unicode 14, крупным изменением стала возможность компиляции в WebAssembly и теперь grex можно использовать в браузере и Node.js (автор собрал NPM-пакет).
Посмотреть работу grex без установки можно на демо-странице: https://pemistahl.github.io/grex-js/
>>> Подробности
Deannoing — демон/фильтр мониторинга лог-файла с вызовом парных команд с ожиданием при успешном поиске regex-выражений.
Конечно, подобных программ в сети в достаточном количестве, но автору либо не хватало их функциональности (в данном демоне 21 ключ), либо они были написаны на интерпретируемых языках с солидной утилизацией ресурсов и с сомнительным способом мониторинга входного файла. Данный демон использует современный способ наблюдения за изменениями входного файла путем использования механизма inotify.
Программа предназначена для выполнения действий, например блокировки IP-адресов, согласно поступающим в исходный лог-файл строк, параллельным ожиданием и выполнением второй команды через указанное время. Опции позволяют сформировать команды с подстановкой информации из входного файла, в том числе с получением dot-IP из символьного имени, игнорировать дубликаты команд, мониторить ротацию входного файла и вести удобный лог работы.
Можно также использовать в режиме фильтра, работающего как расширенный grep с выводом нужных полей/подвыражений в нужной последовательности, добавления к ним строк и, если необходимо, подавления дубликатов. Режим фильтра изначально добавлен в программу в качестве отладчика демона перед запуском его в промышленную эксплуатацию.
Программа написана на языке C.
| ← предыдущие | следующие → |