Разработчики Debian не приняли правило о поддержке нескольких систем инициализации

Но пока что хватает существующей библиотеки.

А как же фатальный недостаток?

А как же фатальный недостаток?

Он только у тебя в голове.

Производительность фильтрации по запросу, естественно — речь шла о противопоставлении бинарной БД утилитам для работы с текстом (sed/grep/awk).

у тебя есть бенчмарки, или ты как всегда? :-D

В данном случае лог-файлу сопоставляется некая инкрементально вычисляемая хэш-сумма. Если подменить одну или более записей в логе, сумма не сойдётся

что мешает подменить сумму?

у тебя есть бенчмарки, или ты как всегда?

$ journalctl -o verbose > journal-dump

$ l journal-dump 
-rw-r--r-- 1 intelfx users 82M ноя 26 15:02 journal-dump

$ time egrep 'PRIORITY=[012]' journal-dump > /dev/null

real 0.067      user 0.052      sys 0.014       pcpu 98.66

$ time journalctl -p err > /dev/null

real 0.034      user 0.033      sys 0.000       pcpu 98.28

что мешает подменить сумму?

То же, что мешает подменить криптографическую подпись. Вычислить её, исходя только из сообщения и имеющейся подписи — NP-полная задача.

круто) Чуваки, у кого системде, закиньте, если не лень по примеру intelfx бенчи с ваших машин.

То же, что мешает подменить криптографическую подпись. Вычислить её, исходя только из сообщения и имеющейся подписи — NP-полная задача.

зачем вычислять? Просто подменить. Капец, панацея.

Отмечу, что у меня в логе мало данных + очень простой запрос.

зачем вычислять? Просто подменить. Капец, панацея.

Чем подменить? Допустим, мы подменили сообщение в логе. Оно подписано. Что делать с подписью?

PRIORITY=[012]
-p err

равноценно? =)

Равноценно. -p err выбирает сообщения с приоритетом err или выше.

А, нет, прошу прощения, на единичку ошибся. err = 3, а не 2.

$ time egrep 'PRIORITY=[0123]' journal-dump > /dev/null

real 0.063      user 0.048      sys 0.015       pcpu 99.38

Чем подменить?

присутствие верификации её отсутствием. Вроде j** на jmp в hex-коде))

а 0,1,2 - это emerg,alert,crit?

Верифицировать всегда можно (и нужно) на другой машине.

Да, именно.

Верифицировать всегда можно (и нужно) на другой машине.

как часто будешь сохранять проверочные ключи и верифицировать подпись? =)

Да, именно.

тогда почему не перечисляешь в journalctl -p emerg,alert,crit?

как часто будешь сохранять проверочные ключи и верифицировать подпись? =)

Что значит «сохранять проверочные ключи»? Verification key всегда один и тот же. А «как часто» — это вопрос не ко мне, а к тем, кому нужна безопасность такого уровня.

В любом случае, схема journald является оптимальной: forward security есть, а как её будут применять (где верифицировать, как бороться с руткитами, способными подменить результаты верификации, etc) — уже другой вопрос.

тогда почему не перечисляешь в journalctl -p emerg,alert,crit?

Говорю же: -p err эквивалентно -p emerg..err.

А «как часто» — это вопрос не ко мне, а к тем, кому нужна безопасность такого уровня.

и как эта верификация поможет определить источник взлома кроме самого факта взлома? Логов нет, зато есть ключи! :-D

схема journald является оптимальной: forward security есть

защита от дурака.

Говорю же: -p err эквивалентно -p emerg..err.

а как глянуть только err?

и как эта верификация поможет определить источник взлома кроме самого факта взлома?

Никак. Тем не менее, эта схема — лучшее, что можно сделать без постоянной отправки логов на другую машину.

защита от дурака.

Защита от дурака — это защита от неосознанного нанесения вреда. Очевидно, в данном случае это не так: подделать хэш нельзя при всём желании.

а как глянуть только err?

-p err..err или PRIORITY=3.

круто) Чуваки, у кого системде, закиньте, если не лень по примеру intelfx бенчи с ваших машин.

 $ journalctl -o verbose > journal-dump
 $ ls -l journal-dump 
-rw-r--r-- 1 galym users 6599904 ноя 26 19:14 journal-dump
 $ time egrep 'PRIORITY=[012]' journal-dump > /dev/null

real    0m0.124s
user    0m0.006s
sys     0m0.005s

 $ time journalctl -p err > /dev/null

real    0m0.151s
user    0m0.043s
sys     0m0.005s

Он только у тебя в голове.

К счастью, у меня там мозг, а не systemd.

Сейчас поттеринголюбы тебе расскажут, где ты не прав.

Первое сомнительно, а вот второе вполне допускаю.

Сейчас поттеринголюбы тебе расскажут, где ты не прав.

Меня это не волнует =)

Тем не менее, эта схема — лучшее, что можно сделать без постоянной отправки логов на другую машину.

эта схема бесполезна для тех случаев, защитой от которых она предлагается. А повторить её можно на любой машине, с любой unix-like осью, с системде или без. Можно самому скрипт написать, можно использовать готовое ПО. Только неэффективно это.

Защита от дурака — это защита от неосознанного нанесения вреда. Очевидно, в данном случае это не так: подделать хэш нельзя при всём желании.

я не имел в виду известную фразу. Это именно защита от дурака.

P.S. Еще бы бенчей от других системдешников. А то выигрыш в скорости (хотя тут противоречивые данные) не окупается пока что сложностью реализации.

спасибо. в последнем grep, говорят увеличили производительность. Хотя, всё равно какая-то экономия на спичках...

Ничего, что ты сравниваешь разные вещи? egrep захватит PRIORITY=[012] в любом поле.

//в этом ITT треде меряются милисекундами. Совсем делать нечего?

Понятно. То есть, в работающей системе должен быть journalctl. Что делать если его там нет? Дистр такой.

Установить. Прекратить детские отмазки по поводу дистра. Ты — сам себе хозяин как минимум в пределах ~ и пакетный менеджер с ментейнерами и репозиториями тебе не указ.

Сами man файлы, естественно, перевести в бинарный вид.

file /usr/share/man/man1/man.1.gz
/usr/share/man/man1/man.1.gz: gzip compressed data, max 
compression, from Unix

Понятно. То есть, в работающей системе должен быть gunzip. Что делать, если его там нет? Дистр такой.

Это я начал сравнивать разные вещи. Более корректного способа сравнить грепосед с журналом я не нашёл.

awk и искать по полю, элементарно и с более заметными тормозами. Но кого волнует скорость поиска по логам такого смешного размера? Тем более задача io-bound по определению.

Никого. Но гигабайтных массивов логов у меня нет.

А я сторонник systemv, только кто меня будет слушать?

полтреда разговоров с анонимными школьниками

Сказал неанонимный школьник, лол.

У этого «школьника» уж точно больше мозгов, чем у анонистмуса.