LINUX.ORG.RU

Сообщения AEP

 

Обсуждается переработка механизма перенаправления портов в Docker-контейнеры

Docker на сегодняшний день является одним из наиболее популярных движков для запуска контейнеров. Запущенные контейнеры получают частные IP-адреса, на которые Docker автоматически перенаправляет входящие соединения по настроенным портам.

Однако, есть один плохо документированный пробел в безопасности: проброшенные в контейнеры порты необходимо защищать брандмауэром не так, как порты, прослушиваемые приложениями, запущенными непосредственно на хостовой системе. Как следствие, оболочки над iptables, такие как ufw и firewalld, оказываются неэффективными и пропускают входящие соединения, которые они вроде бы настроены блокировать.

Этот пробел был заявлен как баг в Docker по меньшей мере 10 раз. Поскольку проблема возникает на стыке двух подсистем, однозначно классифицировать ее как баг в Docker было бы априори несправедливо, и есть пользователи, которые по этому поводу отправляли отчеты об ошибке не разработчикам Docker, а разработчикам firewalld и других аналогичных программ для организации сетевого экрана.

Корень проблемы в том, что пакеты, перенаправляемые средствами iptables в контейнер через DNAT, проходят через цепочку FORWARD, а не INPUT, как того ожидают наивные пользователи, ufw и firewalld.

Разработчики Docker признали проблему своей и сейчас обсуждают отказ от использования iptables-цели DNAT для проброса портов в контейнеры. В качестве альтернативы предлагается IPVS, поскольку обрабатываемые им пакеты проходят через цепочку INPUT так, как они проходили бы для запущенных непосредственно на хосте приложений. Тем самым, ufw и firewalld станут работоспособны на системах с контейнерами.

Параллельно обсуждается небезопасное поведение по умолчанию, когда порт, проброшенный через -p 1234:1234, оказывается доступным извне, тогда как в большинстве случаев пользователи имели в виду доступ только с локальной машины. Ситуацию усугубляет то, что в различных руководствах для портов, которые должны быть доступны только с локальной машины, используется небезопасный синтаксис -p 1234:1234 вместо безопасного -p 127.0.0.1:1234:1234.

Поскольку изменение является потенциально ломающим совместимость, новое поведение будет доступно в одной из следующих версий Docker, но настройки по умолчанию будут изменены еще через несколько релизов.

Подробности

Перемещено hobbit из security

 , ,

AEP
()

HDR заработал

На фоне новостей, что в Weston завезли поддержку цветокоррекции и (в виде незавершенного эксперимента) расширенного динамического диапазона, решил это проверить. Итог - да, Weston может вывести через DisplayPort какой-то сигнал, который воспринимается монитором (Gigabyte Aorus FV43U) как HDR, и даже в двух вариантах: HLG и SMPTE ST 2084. Вот только значения пикселей перевести из SDR в HDR они пока не могут.

А еще я нашел вот этот форк mpv (pull request). Он при запуске из консоли может проигрывать HDR-видео именно как HDR, без tone mapping’а. И картинка получается такая, как задумано.

Еще хочу отметить, что это проверено на старом компьютере с Intel Haswell (CPU: Intel Core i7 4770S, GPU: встроенный, Intel(R) HD Graphics 4600 (HSW GT2). Работает! Виндузятникам такое и не снилось.

 ,

AEP
()

Восстановление доступа к Azure после переезда

В связи с недавними событиями, у меня не прошла оплата за Azure с карточки. Попытка договориться с техподдержкой об оплате через SWIFT тоже ни к чему не привела - санкции.

7 марта я переехал на Филиппины. Банковского счета на Филиппинах у меня нет, prepaid-карты (без счета) тоже.

Есть ли у кого-нибудь тут опыт выхода из-под санкций - т.е. как доказать Microsoft’у, что санкции на меня больше не распространяются?

P.S. ничего важного на Azure у меня нет, но совсем терять доступ не хочу, так как иностранные работодатели спрашивают про опыт.

 , ,

AEP
()

Помогите выбрать powerbank

Задача: квартира (не моя, а знакомого) переводится с аналоговой телефонии и ADSL Ростелекома на другого провайдера и VoIP, поскольку кабель Ростелекома, похоже, погрызли крысы. Постоянно треск в телефоне и обрывы связи ADSL. Но, поскольку для этого человека наличие городского номера очень важно, даже при пропаданиях электричества, надо зарезервировать питание нового маршрутизатора и VoIP-телефона хотя бы на 5-6 часов.

Когда я с аналогичной задачей сталкивался при поездке на Филиппины, то отлично сработал внешний аккумулятор Rombica Neo Pro 280. Но отдавать еще раз 8000 рублей не хочется, поэтому прошу совета, как сэкономить.

Уже пробовал купить powerbank Olmio QS-10 (первый попавшийся с поддержкой QC3.0) и кабель USB -> 12V dc 5.5x2.1mm, т.е. с триггером QC3.0 на 12V. Итог: кабель рабочий, запитать маршрутизатор от powerbank’а удалось. Однако, при попытке зарядить сам powerbank при подключенном маршрутизаторе, либо маршрутизатор перестает работать (если зарядное устройство работает не по QC3.0), либо powerbank питает маршрутизатор, но сам не заряжается (если зарядное устройство поддерживает QC3.0). Во втором случае при включении/выключении зарядного устройства питание маршрутизатора кратковременно пропадает. Т.е. функция сквозной зарядки реализована недостаточно хорошо - не бесперебойная и несовместима с быстрой зарядкой QC3.0, которая нужна, чтобы работал «умный» кабель питания маршрутизатора.

Вопрос: кто-либо еще успешно применял какой-либо дешевый powerbank как UPS для маршрутизатора? Поделитесь названием.

Linux тут при том, что на маршрутизаторе OpenWRT.

Upd: Пока основной вариант, который будет обсуждаться завтра - это переход на другого провайдера без резервирования маршрутизатора по питанию и без VoIP, плюс заказ городского номера у сотового оператора.

Upd2: Созвонились, вариант с городским номером на второй симке человека устраивает, т.е вопрос потерял актуальность. Тем не менее, если у кого-то получилось бюджетное «коробочное» решение для резервирования питания маршрутизатора, буду рад узнать.

Upd3: Техподдержка нового провайдера ответила, что свитчи, к которым подключены клиенты, не запитаны от UPS, поэтому затея изначально не имела смысл.

 

AEP
()

Пожар в ЦОД OVH в Страсбурге

В ЦОД OVH в Страсбурге был пожар. Полностью сгорел ЦОД SBG-2, частично SBG-1. В других ЦОД из соображений безопасности было отключено электроснабжение. Пожарные продолжают ожлаждать здания, перезапуск сегодня не планируется. Жертв нет, данные пропали.

https://isovhonfire.com/

https://www.datacenterknowledge.com/uptime/ceo-says-fire-has-destroyed-ovh-s-strasbourg-data-center-sbg2

Фото: https://twitter.com/xgarreau/status/1369559995491172354

 downtime,

AEP
()

Продемонстрирована сверхпроводимость при почти комнатной температуре

https://www.quantamagazine.org/physicists-discover-first-room-temperature-superconductor-20201014/

Использовано соединение углерода, водорода и серы. Сверхпроводимость наблюдается до 287.7 ± 1.2 K (около 15°C) при давлении 267 ± 10 ГПа. Для подтверждения, что это именно сверхпроводимость, а не просто резкое уменьшение сопротивления, использовалось прямое измерение сопротивления, магнитной восприимчивости, а также зависимости температуры перехода от индукции внешнего магнитного поля.

 втсп,

AEP
()

Посоветуйте USB3 WiFi адаптер

Собираюсь брать USB WiFi адаптер, для софтовой (hostapd) точки доступа. Поискал на Яндекс.Маркете, чтобы именно USB3 и 802.11ac (эфир чистый, в USB2 точно упрется). В итоге вижу, что ни одного устройства, соответствующего этим критериям и имеющего поддержку в ядре Linux из коробки, нет. Зато много чего на чипсетах, поддерживаемых тут: https://github.com/aircrack-ng/rtl8812au

Кто-нибудь что-нибудь из списка ниже заводил именно в режиме точки доступа?

  • ASUS USB-AC68
  • D-link DWA-192
  • TP-LINK Archer T9UH
  • Alfa Network AWUS1900
  • Edimax EW-7833UAC

 , rtl8812au, ,

AEP
()

Может пора в talks открепить тему про lor.sh

Инвайты в еще один инстанс Mastodon: lor.sh

Автор Deleted, последнее сообщение давным-давно, может надо убрать это с самого верха?

 

AEP
()

ЧСС после умственной работы

Обращаюсь на ЛОР, поскольку врачи сейчас принимают только по неотложным случаям.

Вчера решил откликнуться на очередную вакансию DevOps’а на удаленке, поскольку текущая работа устраивает не на 100%. Как оказалось, надо среди прочего пройти задание по кодингу на Python. Т.е. дают задачу, дают час на ее решение, и у них есть автотесты, которые это решение проверяют.

Если кто хочет сам порешать, вот что мне попалось: «функция принимает в качестве аргументов два набора по 5 карт, в формате типа [‘2S’, ‘4C’, ‘AH’, ‘5D’, ‘AC’], должна решить, какой из этих наборов сильнее по правилам покера, и должна вернуть 0 (ничья), 1 (первый набор сильнее) или 2 (второй набор сильнее)». Т.е. никаких хитрых алгоритмов, ничего принципиально сложного, именно много кодинга (проверок на наличие предусмотренных правилами покера комбинаций) и поджимает время.

С задачей я вроде справился (результат пока не сказали). Успел и код написать, и потестировать вручную перед отправкой. На все ушло 53 минуты из разрешенного часа - т.е. почти впритык. НО: после того, как я отправил решение, заметил, что сердце стучит слишком часто (не измерял, но точно больше 100 ударов в минуту). Восстановилось само.

Раньше от чисто умственной работы у меня такого никогда не было. Но и тупых объемных заданий с таким жестким дедлайном тоже давно не было (из ближайшего - контрольная по методам математической физики, но это было ~20 лет назад). Собственно, вопрос здешним врачам - это нормально, когда организм так реагирует?

 врачам

AEP
()

Ноутбук HP EliteBook 735 G6

Собираюсь брать новый 13" ноутбук на замену морально устаревшему Lenovo Yoga 2 Pro. Рассматриваю несколько вариантов, но в приоритете пока HP EliteBook 735 G6 (7KP88EA, т.е. максимальная из продаваемых в России комплектаций). Жирная конфигурация берется, так как по работе иногда приходится запускать сразу по несколько виртуальных машин.

До того с ноутбуками на AMD дела не имел. Если есть владельцы - поделитесь впечатлениями.

 , ,

AEP
()

Как понять, кто расходует траффик?

Дано: десктоп с Arch Linux, ModemManager, ModemManager GUI, модем Huawei e3372h, перепрошитый официальной прошивкой из hilink в stick. А также SIM-карта МТС.

Модем постоянно подключен к компьютеру (на предмет банковских SMS), но интернет-соединение через него я не устанавливал. Индикатор на нем мигает синим, типа сеть есть, но соединение не установлено.

Подключена услуга «интернет на сутки», обещали списывать по 50 рублей только в дни фактического использования - вроде как идеально для запасного соединения. По факту списывают деньги ежедневно, даже в те дни, когда я интернет через этот модем не подключаю. Типа съедено 1 или 2 килобайта.

В логах ModemManager'а и NetworkManager'а вроде чисто. В ModemManager GUI на вкладке «статистика» пусто.

Как узнать, какая собака пользуется мобильными данными через этот модем без моего разрешения?

journalctl -b 0: https://my.pcloud.com/publink/show?code=XZGvG97Zf1itMENy8CQbqG4JMBk4iVEYIvX0

скриншот личного кабинета МТС: https://my.pcloud.com/publink/show?code=XZivG97Z43FITOlOVsLbB1AfHorRGRDn0Tc7

 

AEP
()

Прокачка скиллов критического мышления

Недавно у нас в компании (специализирующейся на различных курсах и тренингах) произошел вот такой инцидент.

1. Сверху (CEO) принято постановление, что онлайн-курсы на технические темы с 6 и более участниками - это не наш профиль. Или собирайтесь в классе, или приглашайте учителя в свой офис, или распиливайте группу на несколько, или будет страдать качество. И к этому постановлению шло обоснование, с которым я согласен. CEO утверждает, что довел решение до сведения координаторов, которые отвечают на местах за организацию курсов.

2. Постановление на местах исполняется из рук вон плохо: продаются без распиливания группы онлайн-курсы на 10 человек, поскольку заказчик не согласен на две группы (ну и шел бы к конкурентам). CEO поставил разработчикам низкоприоритетную задачу: при заказе координатором более 6 виртуальных машин одновременно во внутреннем сервисе, показывать плашку с предупреждением, полем для ввода обоснования такого большого заказа (т.к. виртуальные машины в облаке иногда используются для занятий в классе или в офисе, или нужно по две машины на участника, или есть еще куча других причин) и кнопкой «отправить».

3. Разработчик потратил время и сделал ровно то, что просили: плашку во внутреннем сервисе для заказа виртуальных машин. Итог: в поле ввода координаторы пишут фразу типа «это уже проданный онлайн-курс для 10 участников». Т.е. глупая бюрократия и ничего более. И этот результат можно было предвидеть.

И это не первый раз, когда он делает ровно то, что просят, и не пытается понять, а будет ли это работать, несмотря на то, что в компании есть политика, что задания сомнительной полезности можно и нужно оспаривать, а не делать. Т.е. в данном конкретном случае плашку надо было показывать на этапе формирования счета или еще раньше, а не при заказе виртуальных машин.

Собственно - как, не обидев разработчика, указать ему, что в общем-то от него в данном случае ожидалась критика, а не слепое выполнение глупого задания? Может, дать ему что почитать, чтобы развить скиллы понимания картины в целом и критического мышления?

 ,

AEP
()

Перегрелся процессор на сервере

Сейчас я (по работе) провожу учебный курс по Yocto Project. Для тех кто не в курсе - это вроде Gentoo, только кросс-компилированный для всяких странных процессоров типа ARM. Т.е. это надо собирать, и это нагружает процессор по полной, и это долго. Чтобы не было проблем с настройкой среды разработки у учащихся, решили все компилировать и тестировать на выделенном сервере. Заказывали сервер тут: https://www.reliablesite.net/dedicated-servers/Quad-Core-server/intel-core-i7... (по принципу «поближе к учащимся и побыстрее»)

Итог: оно у всех скомпилировалось как надо, учебный процесс идет, но вот в dmesg есть весьма неприятные строчки.

[11532.886461] CPU7: Core temperature above threshold, cpu clock throttled (total events = 1)
[11532.886462] CPU3: Core temperature above threshold, cpu clock throttled (total events = 1)
[11532.886463] CPU4: Package temperature above threshold, cpu clock throttled (total events = 1)
[11532.886465] CPU0: Package temperature above threshold, cpu clock throttled (total events = 1)
[11532.886465] CPU6: Package temperature above threshold, cpu clock throttled (total events = 1)
[11532.886466] CPU1: Package temperature above threshold, cpu clock throttled (total events = 1)
[11532.886467] CPU2: Package temperature above threshold, cpu clock throttled (total events = 1)
[11532.886468] CPU5: Package temperature above threshold, cpu clock throttled (total events = 1)
[11532.886468] CPU3: Package temperature above threshold, cpu clock throttled (total events = 1)
[11532.886683] CPU7: Package temperature above threshold, cpu clock throttled (total events = 1)
[11532.887477] CPU3: Core temperature/speed normal
[11532.887477] CPU7: Core temperature/speed normal
[11532.887478] CPU1: Package temperature/speed normal
[11532.887479] CPU2: Package temperature/speed normal
[11532.887480] CPU5: Package temperature/speed normal
[11532.887480] CPU6: Package temperature/speed normal
[11532.887481] CPU3: Package temperature/speed normal
[11532.887481] CPU7: Package temperature/speed normal
[11532.887482] CPU4: Package temperature/speed normal
[11532.887482] CPU0: Package temperature/speed normal
[19251.206576] perf: interrupt took too long (2502 > 2500), lowering kernel.perf_event_max_sample_rate to 79750
...
и еще много такого же

Т.е. с системой охлаждения на сервере явно не все в порядке.

Для сравнения попробовал собрать Yocto на выделенном сервере с похожей конфигурацией у OVH в Сингапуре (https://www.ovh.com/sg/dedicated-servers/game/173mc9.xml). Там такой проблемы нет - все собралось, жалоб на перегрев в dmesg нет. Но: на этом сервере thermald стоит (был там по умолчанию), а на сервере, где произошел перегрев - нет.

Хотелось бы у собрать побольше данных, на каких хостингах еще есть сервера с плохим охлаждением процессора. Чтобы еще раз не обжечься.

 ,

AEP
()

Подскажите переключалку User-Agent'а для Firefox

Этих переключалок сейчас развелось так много, что выбор затруднен. Опытные лисоводы, отзовитесь!

Хотелки:

  • Совместимость с Firefox 57 (WebExtension)
  • Кнопка на панели инструментов или в меню ≡
  • Возможность переключить User-Agent для конкретной вкладки (включая iframe на ней), а не только глобально
  • Возможность изменить User-Agent для конкретного домена, и так, чтобы эта настройка сохранилась
  • Возможность добавления новых User-Agent'ов «руками»

 ,

AEP
()

P != NP

В arxiv.org уже есть статья с доказательством.

https://arxiv.org/abs/1708.03486

Я не математик, поэтому статью целиком не читал. Нужный результат представлен на странице 36 в виде следствия 1 из теоремы 8.

Перемещено leave из talks

 ,

AEP
()

antizapret.prostovpn.org упал?

Настроил у себя на маршрутизаторе этот антизапрет (с использованием OpenVPN). Оно примерно неделю проработало, а сейчас не работает. Симптомы такие: VPN успешно соединяется, 192.168.100.1 пингуется, но траффик к mjg59.dreamwidth.org не ходит. Это только у меня так, или на самом деле сервис упал?

 antizapret

AEP
()

Прошу убрать html{font-size:1.125em} из CSS

Вот кусок LOR'овского CSS'а:

@media only screen and (min-width: 90em){html{font-size:1.125em}}

Прошу этот кусок убрать. Chromium его все равно игнорирует, а SeaMonkey из-за него рисует конские шрифты. Т.е. один вред.

AEP
()

Выбор материнской платы

Я купил материнскую плату Gigabyte H87N-WiFi и другие комплектующие и собрал компьютер, предполагая его использование в том числе как медиацентра. Покупкой недоволен, так как даже с последним ядром из Git и с последним BIOS-ом не работает звук по HDMI и ненадежно работает выключение (в 50% случаев компьютер сам включается обратно). Если в течение месяца баги не будет исправлены, буду покупать другую материнскую плату. Прошу помочь с выбором, чтобы не нарваться на такие же или другие грабли.

Требования:

  • Сокет LGA1150 (для процессора Intel Core i7 4770S)
  • Форм-фактор Mini-ITX
  • По меньшей мере два выхода HDMI, или один HDMI и один DisplayPort на борту
  • Работоспособность передачи звука через HDMI под Linux
  • Отсутствие других глюков при работе под Linux
  • Расположение процессора в той же части платы, как у Gigabyte H87N-WIFI
  • Отсутствие высоких компонентов (например, модулей памяти) между сокетом процессора и противоположным краем платы (на http://www.gigabyte.ru/products/upload/products/3582/3f59_6.jpg - правым краем)

Последние два пункта нужны для совместимости с существующим корпусом-радиатором Streacom FC8 Evo, подробнее см. на картинке: http://www.streacom.com/wp-content/uploads/fc8_cpu_postion.gif

 , ,

AEP
()

64-битные сборки ffmpeg приводят к аварийному завершению службы Microsoft Security Essentials

(не в новости, поскольку off-topic)

28 апреля в основную ветку ffmpeg был добавлен код, поддерживающий цветовое пространство XYZ в библиотеке libswscale. К сожалению, этот код, скомпилированный для Windows x64, оказался способен уронить сервис Microsoft Security Essentials. Уязвимость проявляется только в 64-битной версии антивируса. В связи с этим разработчик Kyle Schwarz (Zeranoe) с 28 апреля по 6 мая не предоставлял готовые сборки ffmpeg для скачивания со своего сайта.

Подробности

 , ,

AEP
()

Выбор ноутбука

К сожалению, мой ноутбук Sony VAIO VPCZ23A4R упал и сломался. Если откажутся ремонтировать, придется покупать новый. Проблема в том, что я не могу выбрать. Яндекс-маркет предлагает только две другие модели Sony из снятой с производства серии Z и еще MacBook'и. Кто-нибудь тут ставил Linux на MacBook? Или может, из-за рубежа можно заказать что-то, о чем Яндекс не знает?

Требования: 13" (с неохотой возьму 12.5" или 14"), экран 1920x1080, IPS, Intel-овская графика (с неохотой возьму Radeon), выход HDMI, >= 5.5 часов работы от батареи, процессор Core i5 или i7 >= 2.2 GHz, 8 GB RAM, SSD >= 256 GB, желателен встроенный 3G модем. Бюджет до 130 тыс. руб.

 

AEP
()

RSS подписка на новые темы