В связи с тем, что некоторый софт яростно хочет себе новый питон, решил перехеать на него. Прописал в package.keywords, сделал eselect, env-update, . /etc/profile, python-updater... А например dev-lang/python-exec-0.3.1 как был с (-python3_3), так и остался. ЛОРчик, подскажи. куда копать? На работе ~amd64, все ОК, дома стабильная ветка.

Решение: пруф

$subj.

• Устранена ошибка, которая приводила к невозможности загрузки конфигурационных файлов профилями приложений, когда директории указаны в маршруте поиска конфигураций профилей приложений.
• Задержана инициализация libselinux в драйвере NVIDIA OpenGL, чтобы избежать проблем, когда libselinux не готов к работе, когда вначале загружается общая библиотека NVIDIA libGL.
• Устранена ошибка, которая могла приводить к истощению памяти в OpenGL приложениях на 32-bit системах.
• В пакет драйвера NVIDIA Linux добавлен nvidia-uvm.ko, модуль ядра Унифицированной памяти NVIDIA. Этот модуль ядра обеспечивает поддержку новой возможности Унифицированной памяти в предстоящих выпусках CUDA.

Пруфлинк

Собственно сабж. Данный вопрос возник благодаря дейятельности спамхауса. Итак:

Имеется сервак, обеспечивающий выход кучи машин в инет и внутренний MTA. С недавних пор спамхаус стал добавлять те хосты, которые флудят на 80-й порт. Если 25-й порт был порублен - ибо нехрен (есть внутренняя почта, а кому надо - есть веб-морды), то тут порубить уже не получится, полетят щепки. У NAT/MTA есть белый адрес, назовем его 250.

Быстро смекнув, основную сетевку (eth0) переводим на другой айпишник, назовем его 251-й, а почтовик вешаем на алиас eth0:1 - 250, как и работало ранее.

Только вот эта зараза иногда с какого-то хрена пытается отправится с 251-го айпишника (с соответствующим fail, ибо спамхаус не дремлет), когда например указан локалхост для listen сервиса (exim, dovecot), т.е. «listen x.y.z.250, 127.0.0.1».

Расковыривать все конфиги и заменять локалхост на 250-й айпишник сложно и есть возможность что-то сломать, поэтому решил сделать ход конем - вешаем все сервисы на локалхост, и делаем проброс портов с eth0:1 - железнее некуда. Только вот эта зараза не работает!

iptables -I INPUT 1 -i lo -j ACCEPT
iptables -I INPUT 1 -i eth0 -j ACCEPT
iptables -I INPUT 1 -i eth0:1 -j ACCEPT
...
iptables -A FORWARD -i lo -s 127.0.0.0/255.0.0.0 -j ACCEPT
iptables -A FORWARD -i eth0:1 -d 127.0.0.0/255.0.0.0 -j ACCEPT
...
iptables -t nat -A PREROUTING -i eth0:1 -p tcp --dport 25 -j DNAT --to-destination 127.0.0.1:25
iptables -t nat -A PREROUTING -i eth0:1 -p tcp --dport 465 -j DNAT --to-destination 127.0.0.1:465
iptables -t nat -A PREROUTING -i eth0:1 -p tcp --dport 993 -j DNAT --to-destination 127.0.0.1:993
iptables -A FORWARD -i eth0:1 -o lo -d 127.0.0.1 -p tcp --dport 25 -j ACCEPT
iptables -A FORWARD -i eth0:1 -o lo -d 127.0.0.1 -p tcp --dport 465 -j ACCEPT
iptables -A FORWARD -i eth0:1 -o lo -d 127.0.0.1 -p tcp --dport 993 -j ACCEPT

# iptables -L -n -v | grep 127
    0     0 ACCEPT     all  --  lo     *       127.0.0.0/8          0.0.0.0/0           
    0     0 ACCEPT     all  --  eth0:1 *       0.0.0.0/0            127.0.0.0/8         
    0     0 ACCEPT     tcp  --  eth0:1 lo      0.0.0.0/0            127.0.0.1            tcp dpt:25
    0     0 ACCEPT     tcp  --  eth0:1 lo      0.0.0.0/0            127.0.0.1            tcp dpt:465
    0     0 ACCEPT     tcp  --  eth0:1 lo      0.0.0.0/0            127.0.0.1            tcp dpt:993

Не работает, печалька.

Решение:

/etc/exim4/exim.conf:
...
remote_smtp:
    driver = smtp
    interface = x.y.z.250
...

Штришок в iptables

Посоветуйте $subj, без встраивания куда-либо.

$subj.

Причина такого решения в следующем: есть огромный NAT - рабочие машинки эндюзеров и FreeWiFi (за 2-е суток в dhcpd.leases 4201 запись). Из-за последних - стоит чистка по крону оного файлика. Хотелось бы разнести юзеров отдельно, а вафлю отдельно. Это реально? Ткните в мануал, если оно есть:-)

Решение, пусть и не совсем такое, как хотелось бы - но вполне рабочее.

Сабж. Я весьма удивлялся, почему спустя неделю официального выхода KDE 4.11.2 его не было в портеже, а оно вон как вышло. Так что кто не очень любит аконади с непомуком будут весьма рады скорому возвращению этого юза!

Пруф: http://kde.org/announcements/announce-4.11.2.php

Список исправленных багов

В основом исправления коснулись kwin, dolphin и kontact.

Сейчас посмотрел - новостей за сентябрь всего 56. Помню как-то лет 5 назад в месяц было 200 и более. Вроде ж и что-то в опенсорсе происходит, а посмотришь на новостную ленту - застой.

Модераторам и корректорам: Может стоит пропускать чуть больше новостей?

Да, кстати - плазму для планшетов наверное неделю не подтверждали, и куча новостей висело в неподтвержденных. Кому тогда хочется писать, если никто не подтверждает?

Я знаю, здесь не любят ссылки на швабр, но я все-таки поделюсь радостью

Для Ъ:

Как заявлено, отныне Sailfish OS способна работать на тех же смартфонах и планшетах, которые выпускаются под Android, что фактически устраняет необходимость какой-то адаптации производителей под нового игрока рынка мобильных систем.

Так же объявлено, что существующие Android-приложения (такие как Instagram, WhatsApp, Spotify и другие) уже работают на Sailfish и, фактически, речь идёт о том, что финская система способна без проблем запускать целый парк программ для Android, обеспечивая, тем самым, для будущих владельцев уже готовую экосистему. На данный момент Jolla ведёт переговоры с магазинами Android-приложений по интеграции их в свою систему.

Интересно, что около месяца Jolla уже объявляла о том, что первая партия устройств для предзаказа уже была выкуплена, и в связи с этим на этой неделе будет открыта возможность предзаказа для второй партии.

Пресс релиз (PDF, 50 кб) скачать бесплатно без смс

Всем доброго дня. Имеется связка exim + dovecot + lda + SA. Нужно, чтобы все, что набирает больше определенного числа балов в SA и меньше критического, при достижении которого письмо просто удаляется ложилось в папку Junk. Делаем по инструкции:

begin routes
...
spam_to_user:
    driver = accept
    condition     = ${if and {{>{$spam_score_int}{20}}{<{$spam_score_int}{80}}}{yes}{no}}
    domains     = !+local_domains
    transport = user_spam_delivery
...
begin transports
...
user_spam_delivery:
    driver = pipe
    command = /usr/lib/dovecot/dovecot-lda -e -m "Junk|${substr_1:$local_part_suffix}" -d $local_part@$domain -f $sender_address -a $original_local_part@$original_domain
    message_prefix =
    message_suffix =
    delivery_date_add
    envelope_to_add
    return_path_add
    return_fail_output
    log_output
    umask = 077
    group = 8
    user = 106
    temp_errors = 64 : 69 : 70: 71 : 72 : 73 : 74 : 75 : 78
...

Письмо все равно кладется во входящие.

Решение: пишем глобальный скрипт для sieve, компилим с помощью sievec, даем права (у меня Debian-exim:mail), прописываем в 90-sieve.conf:

sieve_before путь_к_скрипту.sieve

Сам скрипт:

require ["fileinto"];
# rule:[spam]
if header :contains "Subject" "*****SPAM*****"
{
        fileinto "Junk";
        stop;
}

Итак, имеем настроеную связку exim+sa. в local.cf:

required_score 3.0
required_hits 3.0

В exim.conf:

acl_check_data:

warn message    = It`s maybe spam. Add to ".Junk" directory.
         condition  = ${if and {{>{$spam_score_int}{3}}{<={$spam_score_int}{16}}}{yes}{no}}
         domains    = !+relay_from_hosts
         spam       = nobody

    warn spam       = nobody:true
         hosts      = !+relay_from_hosts
         message    = X-Spam-Level: $spam_bar

    warn spam       = nobody:true
         hosts      = !+relay_from_hosts
         condition  = ${if >{$spam_score_int}{25}{1}{0}}
         message    = X-Spam-Status: $spam_report

    deny message    = Message scored $spam_score spam points
         spam       = nobody:true
         condition  = ${if >{$spam_score_int}{16}{yes}{no}}
...
begin routers
...
spam_to_user:
    driver = accept
    condition     = ${if and {{>{$spam_score_int}{3}}{<{$spam_score_int}{16}}}{yes}{no}}
    domains     = !+local_domains
    transport = user_spam_delivery
...

Письма, с spam points >0,5 рубятся.

Решение

А разгадка проста: в конфигах exim`а нужный spam points умножаем на 10, т.е. если нужно пропускать все, что до 3.0 - пишем {30}.

По мотивам ссылка не вставляется. В гноме не работает копирование строки адреса (опера)???двух предидущих тем.

Решил потыцкать я гном. Просто потыцкать, чисто для себя, не ради того, чтобы обосрать конкурирующее DE. Решил поставить его на паралельно стоящий с гентой Debian 7.1 с lxde (кое-что тестил, например nouveau:-)) Ставил метапакет, шоб все сразу. Зависимости конечно... и моно, и пульса, и gstreamer (пульса ж есть, нахрена он!), и даже apache2.2-bin. Ну да ладно, у kde-meta тоже небось депенденсов. Сразу отключил в rcconf нетворкманагер, пульсу, блютуз. Итак:

0. Какого хрена не работает копирование урла из адресной строки в опере??? Специально айсви...как там его/другой браузер запускать не буду. Выделяю адрес -> ПКМ -> Копировать, перехожу на нужную закладку - Вставить неактивно. Хоткеями не вставляет, даже если хоткеем копировать. Может баг конечно.

1. Меню. В старом гноме хотя бы было меню... Обзор, и какие-то «Окна» и «Приложения» Открываем приложения... Так вот откуда пошла Win8! Увидеть 100500 приложений в виде крупных ярлычков без какой-нибудь групировки - это норма, ясно.

2. Запущу думаю что нибудь. Запускаю - кнопок развернуть и свернуть нет. А переключаться только Alt+Tab? Как свернуть окна в панель задач? Почему при нажатии на задаче (которая показывается почему-то одна, текущая) предлагается ее закрыть?

3. Advanced Settings - ок, расширенные настройки, только нихрена ж не понятно. Особенно ползунки 0 I - блин, не проще ли было не выпендриваться и сделать чебоксами? Сразу не вьехал как включить/отключить

4. Проигрывание видео. Открыл наутилусом папку с гарри поттером, запустил фильм - totem, черный экран. В настройках самого тотема ни слова про аудио и видео вывод (если есть ткните носом) и черный экран. Никаких видимых действий при попытке проиграть фильм (спецом проверил - запустил на консоли через mplayer - все отлично идет, и видео, и звук)

5. F10 в терминале гнома - превед mc и aptitude. Да, где-то настраивается, но блин, почему не Alt+F10?

Из мелких приятных плюсов - сразу настроенная переключалка языков (в KDE вроде бай дефалт один, нужно в настройках добавлять), ну и превьюшки на видео сразу.

В общем - я не удивлен, почему гном не есть by default в дебиане. Новички будут явно не в воссторге.

UPD: Как выяснилось - вот такие плюшки имеет новый режим Gnome. Classic mode имеет вполне юзабельный интерфейс. Недоработки конечно некоторые есть, но в целом - они устранимы и допиливаемы.

$subj

Ждем ебилдов, и ждем в стабильной ветке.

Анонс

Закрытые баги

Собственно, история. Нашел я плазмоид для проверки почты, написаный на PyQt4. Собрал его, собрал плазму с флагом python - плазмоид завелся, только при попытке получить почту в логе ругня на строки типа:

except Exception, err:
print '[MailFunc in getExternalIP] Error: ', str(err)
finally : pass

except x :
print dateStamp(), x, '  defUidl'

Я не програмист, и уж тем более не на python, а плазмоид завести хочется, ввиду необходимости почты.

Захотелось прикрутить красивости на ноуте в виде графического бутсплеша. Но получил болт в виде невозможности проснуться. Кто обходил сей баг? Дело в том, что с включенным splash в /etc/default/grub еще и перестают работать соответствующие меню в KDE, которые уводят в спячку ноут, отправить можно только командой hibernate-disk, после которой ноут не просыпается. Без бутсплеша спячка работает прекрасно.

Пруф: раз и два

Кому интересно - ищите англоязычный оригинал.

Для Ъ: 50к телефонов уже предзаказаны, а джолла получила инвестиций на 259 лямов вечнозеленых. Скоро будет вторая волна предзаказа, официально телефон выйдет в ноябре. Стоимость в рашке (ориентировочно) - 17к. Будет уметь запускать приложения Android и MeeGo (помимо своих собственных)

На фоне фейла убунтофона выглядит весьма впечатляющее.

Печалит, что интерфейс будет на html5. Разве что на девайсах будет аппаратное ускорение всего этого дела.

С другой стороны - не будет тормозной явамашины, будет C++, Qt, QML, и html5. Может дело и выгорит.

По мотивам раз и два

Собрал на дебиане (7.1) squid с поддержкой ssl (--enable-ssl и --enable-ssl-crtd). Делаем например вот так - не работает. Эксперименты с http_port и https_port, разными портами для http и https ни к чему не ведут. В браузере имеем ERR_SSL_PROTOCOL_ERROR (хром) либо другие подобные ошибки.

У меня уже сил нет его ковырять, и что этой заразе для работы нужно.

п.с. Сертификат свой браузеру не скармливал, вроде как можно без этого обойтись.

В продолжении темы - надыбал на ссылки о динамической генерации сертификатов (для того, чтобы проксировать 443-й порт) - нужен ключ --enable-ssl-crtd при сборке. Компилим:

...
g++ -DHAVE_CONFIG_H  -I../.. -I../../include -I../../src -I../../include -I/usr/include   -I/usr/include/libxml2 -D_FORTIFY_SOURCE=2 -I/usr/include/libxml2 -Wall -Wpointer-arith -Wwrite-strings -Wcomments -Werror -fhuge-objects -D_REENTRANT -m64 -g -O2 -fPIE -fstack-protector --param=ssp-buffer-size=4 -Wformat -Werror=format-security -c -o certificate_db.o certificate_db.cc
g++: warning: switch ‘-fhuge-objects’ is no longer supported
certificate_db.cc: In destructor ‘Ssl::FileLocker::~FileLocker()’:
certificate_db.cc:48:17: error: ‘close’ was not declared in this scope
make[4]: *** [certificate_db.o] Ошибка 1
make[4]: Leaving directory `/root/sources/squid3-3.1.20/src/ssl'
make[3]: *** [all-recursive] Ошибка 1
make[3]: Leaving directory `/root/sources/squid3-3.1.20/src'
make[2]: *** [all] Ошибка 2
make[2]: Leaving directory `/root/sources/squid3-3.1.20/src'
make[1]: *** [all-recursive] Ошибка 1
make[1]: Leaving directory `/root/sources/squid3-3.1.20'
make: *** [debian/stamp-makefile-build] Ошибка 2
dpkg-buildpackage: ошибка: debian/rules build возвратил код ошибки 2
debuild: fatal error at line 1357:
dpkg-buildpackage -rfakeroot -D -us -uc -b failed

Печалька. Кто-нибудь сталкивался? Или, если можно обойтись без сборки с этим ключиком, ткните в мануал, где можно запилить динамическую генерацию сертификатов.

UPD. Решение: требуется строка в src/ssl/certificate_db.cc (заморочка gcc 4.7):

#include <unistd.h>

Пакеты собрались, вечером приступлю к тестированию.

Собралось наверное потому, что сегодня д/р этого замечательного дистрибутива...:-)

Вчера спустили указку - запретить доступ к некоторым ресурсам в инете. Знаю, превентивная мера, ничего не решающая, но факт остается фактом.

Есть 2 варианта решения (которые я вижу) - iptables или iptables+squid (прозрачная прокся). Второй случай как я понял более гибкий, но есть одно НО - как я понимаю squid3 в дебиане (7.1) собран без поддержки ssl, в итоге пользователи все равно получат доступ к ресурсу (доступен как по http так и по https), а собирать пакет с --enable-ssl буду разве что в последнюю очередь.

в связи с этим вопрос к местным админам: как вы осуществляете блокировку «плохих» ресурсов?

$subj

Кто юзал rc-шки, отпишитесь. Особенно интересно мнение гентушников на счет принудиловки с «semantic-desktop».