На фоне луркования тредов про nixos последнее время неоднократно думал выложить подобный скрин, а недавний пост от @Zhbert прямо замотивировал.

Уже много лет как пристрастился к препаратам макоси, многое в ней мне удобно, кроме мышеводства, как бы ни был шикарен макбучный тачпад. И заодно мне достаточно давно была интересна nixos, не с точки зрения использования, как рабочего инструмента, а скорее как концепт нестандартной организации системы. Примерно года полтора назад на каком-то из скринов в r/unixporn автор написал, что использует nix-darwin. Интерес взял верх, полез раскапывать и изучать. Так и пришел к примерно такому десктопу.

На скрине макось какой-то там актуальной на июль версии. Nix 2.15, nixpkgs 23.05-stable. До релиза 23.05 сидел на master, но уж очень там любят что-нибудь сломать (особенно сам nix). Конфиг на flakes (через flake-parts). Весь терминальный софт ставится через home-manager, весь гуевый — через homebrew, которым также рулит home-manager (мне в итоге не понравился nix-darwin, целиком от него отказаться я не могу, но максимально возможную часть нужных мне функций переписал под home-manager).

Из более конкретного со скрина — wezterm, в нем neovim (а в нем кусок конфига lsp), btop и neofetch (да, пекамоны каждый вызов разные). В качестве шелла давненько использую fish. WM — yabai, панелька sketchybar. SIP не выключал. Док скрыт справа, статусбар скрыт сверху. Цветовая схема - catppuccin. Обоину давно не видел, но она вот тут: https://imgur.com/a/N4i0wsD

Кидайте ваши помидоры.

Доброго.

Посоветуйте, какие регистраторы .ru умеют в dnssec. Знаю только руцентр, от которого в свое время сбежал, а с текущим регистратором (таймвеб) dnssec’ом управлять не представляется возможным.

Сабж. Нужен роутер, который умеет одновременно подключаться к одной вафле и раздавать другую (вроде у этого режима был какой-то научный термин, который я успешно забыл, похоже на репитер, но не совсем репитер). Ценовой диапазон - ну, скажем, в пределах 10 килорублей. Площадь помещения - квадратов 25 без лишних стен, но стоять будет в углу. Для любителей «купи вот это и поставь стороннюю прошивку» - тоже можно, если у прошивки есть адекватный гуй, возможны ситуативные появления чайников в админке.

Подскажите, пжалста.

Ищется сабж. Критерии - минимальная цена, расположение в Москве (лучше)/Питере (сойдет), поддержка всяких VPN/GRE/IPSec. На VPS будет поднят OpenVPN, bird и возможно nginx. Если можно сделать автооплату по палке - вообще супер.

Сиэтлская компания F5 Networks, больше всего известная своими аппаратными LBA, объявила о приобретении Nginx. Сумма сделки составила приблизительно $670 млн.

F5 рассчитывают внедрить в Nginx свои наработки в области безопасности, а также использовать Nginx в своих облачных продуктах. По словам Франсуа Локо-Дону, СЕО F5, слияние позволит клиентам компании значительно ускорить разработку контейнеризируемых приложений, а Nginx в свою очередь получит еще большие возможности в крупном бизнесе.

Руководители обеих компаний отдельно отметили, что одним из основных условий, без которых сделка бы не состоялась, было сохранение открытости Nginx. Команда разработки, в том числе Игорь Сысоев и Максим Коновалов, продолжит развивать его уже в составе F5.

>>> Подробности

Все таки меня не обошла участь править легаси-код...

Подскажите что-то вменяемое IDE-подобное для перла 5. Из необходимого - автокомплит, дебаг, Ctrl-клик в стиле Jetbrains. Есть что-то такое или уже все вымерло?

Ищу сабж для дома. Микротик 2011, конечно, хорош, но 5ghz нет и перед двумя бетонными стенами он капитулирует.

Хотелок минимум - двухдиапазонная, по минимуму лампочек (еще одну синюю лампочку от rb2011 я не выдержу), в идеале - питалово по PoE от того-же 2011ого. Ценовой диапазон - в районе 5-6 рублей, плюс-минус.

Пока выбираю между Mikrotik cAP ac, Ubiquiti AC Lite AP и б/ушными cisco air с авито.

Помогите определиться.

Ищу какой-то фреймворк для документации API integration-сервиса, который преобразует http-запросы из одного формата в другой. Что-то наподобие swagger ui, но описание не «метод - параметры - ответ», а «входящий метод - параметры - исходящий метод».

Есть что-то такое в природе, или самому велосипедить?

Нашел в загажнике три харда, 750, 500 и 250. Думаю, собрать на их основе файлопомойку. Чисто математически хочется, чтобы 250 и 500 собирать в страйп и результат соединять с 750ым в миррор. Но это же не так работает.

Есть вообще вариант сделать подобное? на ум приходит только lvm mirror, но он вроде тоже работает по меньшему диску. mdadm не трогал раньше, но на него надежды мало.

TL;DR минкомсвязи предложил, чтобы провайдеры хранили трафик не полгода, а месяц.

сорс http://tass.ru/ekonomika/4652152

На идущем сейчас NginxConf Игорь выкатил новый проект.

TL;DR пока умеет в php, go и python, настраивается через api, куда POST'ятся конфиги в формате json. Своих платформ не держит, подвязывается к тем, что есть в дистрибутиве (никто не мешает сконфигурировать свой зоопарк версий php). Поддержку ruby, nodejs, java и прочего - обещают скоро, но как только, так сразу.

Уже залили на гитхаб и обещают вести разработку полностью там и принимать пуллреквесты от всех желающих.

Оффсайт и статья на хабре

Строю себе мониторинг на fluentd+influxdb+grafana. Influx не умеет считать процент строк по критерию X из общего числа строк, поэтому хочу делать скриптами. Но столкнулся со странным поведением influx.

$ influx -database 'logs' -execute 'select count(status) from "access" where time > now() - 10s' -precision ms
name: access
time          count
----          -----
1504177821728 1320

$ influx -database 'logs' -execute 'select count(status) from "access" where time > now() - 10s group by time(10s)' -precision ms
name: access
time          count
----          -----
1504177820000 324
1504177830000 471

То есть получается, что одна и та же выборка дает два разных результата.

Поток новых данных стабильный и равномерный 80-100rps (без скачков), так что результаты запроса в influx должны быть в пределах погрешности. При выполнении несколько раз подряд запроса с group by так и происходит, я всегда в сумме получаю приблизительно 800 строк. Но при выполнении без group by результат равномерно снижается где-то до 800, потом вскакивает до 2000, затем снова снижается.

Чем такое поведение может быть обусловлено?

Разыскиваю сабж. Критерии выбора:

* Кроссплатформенный. Хочу логиниться и в линукс, и в винду по токену.

* SSH-client-friendly. Хочу, чтобы его можно было скормить и в openssh, и в putty (знаю, что оригинал не умеет в етокен, но есть овер9000 форков).

* GPG. Вот тут я пока не придумал удобную мне реализацию, поэтому поддамся велосипеду, который рекомендует разработчик токена, лишь бы токен умел хранить gpg ключи и их как-то использовать.

* (опционально) Какой-то объем внутренней памяти. Вот от слова - любой. Запихать туда от силы пару-тройку килобайт текстовых файлов с резервными ключами от различных 2FA.

Сориентируйте по моделям, если вообще есть такой комбайн.

Надумываю переехать с VPS на какой-нибудь дедик. Раньше не пользовался, поэтому вопросы.

1) ESXi бесплатная вроде как. Стало быть, ей можно пользоваться на дедикейтед сервере? Технически понятно, интересует именно юридическая сторона.

2) Hetzner vs OVH? Hetzner известный, отзывы в основном отличные, но новые зионы дороговаты для моих целей, смотрю в сторону аукциона (со всеми вытекающими хардами с 20000 часов работы). OVH наоборот, имеет гору недовольных клиентов, но как-то же они хостят несколько сотен тысяч серверов... К тому же их дочка soyoustart дает 16 айпишников по тарифу, для виртуалочек слишком вкусно звучит. В общем, ищу истории успеха с обоими хостерами.

На самом деле не совсем, но заголовок для привлечения внимания.

Словил предупреждение гугла о том, что с моего адреса летят сомнительные запросы и просьбу подтвердить, что я не бот. Раньше такое уходило само через пару дней или ребут роутера, а сейчас уже висит пару недель.

За роутером два ноутбука, ps4 и два телевизора. Телевизорам в интернет нельзя, с ps4 все ясно, на ноутах ничего подозрительного не нашел. На роутере на момент появления были открыты 22, 500 и 4500, сейчас любой входящий трафик режется, кроме разрешенных комбинаций по IP:PORT, пинг в том числе.

Есть какой-то бест практис по выходу из под этой ерунды? запарило конкретно.

Пытаюсь поднять IPSec туннель (Mikrotik -> Linux openswan) от дома до VPS'ки. Проблема в том, что VPS находится за NATом с полным диапазоном проброшенных портов. То есть выделенный IP как бы есть, но на интерфейсе висит локальный адрес.

Конфиг openswan:

version 2

config setup
        nat_traversal=yes
        oe=off
        protostack=netkey
        force_keepalive=yes
        keep_alive=60

conn mikrotik-to-linux
        authby=secret
        auto=start
        type=tunnel
        left=EXT_VPS
        leftid=EXT_VPS
        leftsourceip=10.1.166.21
        leftsubnet=10.1.166.20/31
        right=EXT_HOME
        rightsubnet=172.16.16.0/24
        rightid=EXT_HOME
        pfs=no
        forceencaps=yes
        ike=aes256-sha1;modp1024
        phase2=esp
        phase2alg=aes256-sha1

tcpdump'ом на VPS вижу вот такие входящие пакеты (исходящих нет):

14:00:44.543368 IP (tos 0x0, ttl 50, id 0, offset 0, flags [DF], proto UDP (17), length 412)
    EXT_HOME.isakmp > 10.1.166.21.isakmp: [udp sum ok] isakmp 1.0 msgid 00000000 cookie 2b615a8167baa98e->0000000000000000: phase 1 I ident:
    (sa: doi=ipsec situation=identity
        (p: #1 protoid=isakmp transform=2
            (t: #1 id=ike (type=lifetype value=sec)(type=lifeduration len=4 value=00015180)(type=enc value=aes)(type=keylen value=0080)(type=auth value=preshared)(type=hash value=sha1)(type=group desc value=modp1024))
            (t: #2 id=ike (type=lifetype value=sec)(type=lifeduration len=4 value=00015180)(type=enc value=3des)(type=auth value=preshared)(type=hash value=sha1)(type=group desc value=modp1024))))
    (vid: len=16)
    (vid: len=16)
    (vid: len=16)
    (vid: len=16)
    (vid: len=16)
    (vid: len=16)
    (vid: len=16)
    (vid: len=16)
    (vid: len=16)
    (vid: len=16)
    (vid: len=16)
    (vid: len=16)
    (vid: len=16)

Микротик спамит ошибку phase1 negotiation failed due to time up

В логах pluto вот такое:

Jul 20 14:07:39 docker pluto[16103]: "mikrotik-to-linux": We cannot identify ourselves with either end of this connection.  EXT_VPS or EXT_HOME are not usable
Jul 20 14:07:44 docker pluto[16103]: packet from EXT_HOME:500: initial Main Mode message received on 10.1.166.21:500 but no connection has been authorized with policy PSK+IKEV1_ALLOW

500ый порт nmap'ом пробивал, все открыто в обе стороны (в принципе в файрволе established разрешен и output открыт)

Догадываюсь, что где-то в настройках openswan надо указывать не реальный внешний ip-адрес VPS, а ip на интерфейсе, но варианты, которые пробовал я, не заработали. Подскажите, куда копать (и реально ли вообще с таким NATом запустить ipsec?)

Сегментирую домашнюю сеть на куски /27. Получается, соответственно, куски такие:

х.х.х.1-30, броадкаст 31
х.х.х.33-62, броадкаст 63
х.х.х.65-94, броадкаст 95
и так далее.

А вопрос такой - куда деваются адреса х.х.х.0, х.х.х.32, х.х.х.64?

Сабж. Обещают выкатить в январе. Вроде как подводных камней не нашел, обычные вайлдкарды, тем же способом, что и обычные сертификаты let's encrypt.

Подробнее

В почтовой рассылке Debian рассказали о критической уязвимости в работе Hyper Threading на процессорах Intel серий Skylake и Kaby Lake. Неисправность затрагивает как десктопные, так и серверные процессоры и не зависит от операционной системы.

Конкретных симптомов не называется, но в общих чертах — при срабатывании проблемы система может вести себя абсолютно непредсказуемо, показывать различные ложные ошибки как приложений, так и операционной системы, а также может привести к потере или повреждению данных.

Пользователям уязвимых процессоров настоятельно рекомендуется отключить Hyper Threading до тех пор, пока производитель их ПК не выпустит соответствующие обновления для микрокода. Настоятельно рекомендуется не включать его обратно до тех пор, пока вендор не выпустит обновление BIOS/UEFI, решающее проблемы KBL095, KBW095 или подобные.

Фикс для процессоров Skylake уже есть в репозиториях Debian в пакете intel-microcode. Для Kaby Lake на данный момент фикса нет.

>>> Подробности

Дома следующая система:

Есть микротик, в нем две подсети. Первая - домашняя сетка, и шнурок, и wifi. Вторая - бридж на wan-интерфейс для двух tv-приставок, чтобы они получали ip от провайдера. Приставки не умеют в wifi, поэтому пока что шнурок.

Хочу убрать провода из дома совсем. Поднял отдельную wifi-сетку в сеть провайдера. Нужен какой-то девайс, который бы ловил wifi-сигнал и отдавал его в ethernet-порт. Питать можно от розетки, можно от usb.

Как вообще такой девайс называется и куда его гуглить? И вообще есть ли что-то подобное в природе?