Добрый день,

Существует ли какой-нибудь лайтовый форк Vagrant или некий прокси с соответствующим плагином для Vagrant, чтобы любой другой Vagrant провайдер смог бы работать через такой прокси, находясь, на другом хосте по отношению к гипервизору?

По идее можно попробовать libvirt и LXD, которые могут работать через unix socket и через TCP порт, но libvirt IMHO какой-то монструозный и немного древний, а LXD не умеет в приватные сети со статическим IP без колхозных костылей?

Почему в Ubuntu Jammy 22.04 нет хотя бы в бэкпортах Vagrant v2.3.4 как в Debian Bullseye backports?

Собственно кроме популярности.

https://medium.com/globant/introduction-to-drone-io-ci-cd-platform-1d43f8bc1728

Я так понял, что связка Gitea+Drone получается очень лайтовой?

Насколько сильно это сказывается на ее функционале?

Добрый день уважаемые гуру форума,

Пожалуйста, подскажите, какой софт лучше выбрать для SSO (и почему), чтобы в результате получить наиболее оптимальное решение для различных устройств (Linux, Windows, Web типа WordPress и т.п.)? Нужно, чтобы была возможность для аутентификации использовать аппаратное крипто (U2F, FIDO2 или PKCS11), чтобы исключить возможность аутентификации через украденный пароль или ключ, хранящийся на рабочей станции (подразумевается, что аппаратная ключница - это уже не рабочая станция, а соседний компьютер, подключенный к рабочей станции хотя бы по USB). Кроме того нужно, чтобы такой SSO хорошо интегрировался с обратным прокси типа NGINX Proxy Manager, SWAG и т.п.:

https://github.com/NginxProxyManager/nginx-proxy-manager/issues/437

https://github.com/NginxProxyManager/nginx-proxy-manager/pull/2630

https://github.com/NginxProxyManager/nginx-proxy-manager/issues/313

для защиты веб ресурсов, которые пока самостоятельно не поддерживают плагины SSO.

Т.е. хотелось бы, чтобы получился хотя бы частично self-hosted аналог JumpCloud в миниатюре.

Как вариант присматриваюсь к связке FreeIPA+KeyCloak

Если я правильно понял, то KeyCloak поддерживает регистрацию нескольких токенов FIDO2 аналогично Google.com

Среди относительно популярных SSO также мне известны: Authelia, Authentik, Kanidm, Okta, Ory, Dex, etc. Сравнение части из них со стороны Authentik (возможно предвзятое): https://goauthentik.io/

Насколько я понял из обзоров, Authentik самый тяжелый (около 2GB RAM), а KeyCloak последнее время достаточно хорошо оптимизировали, и он потребляет менее 500 Mb RAM при средней нагрузке?

В целом я сильно неуверен в безопасности SSO. Можно ли считать аутентификацию через U2F/PKCS11 -> FreeIPA+KeyCloak -> Приложение такой же безопасной, как и аутентификацию напрямую в приложение без SSO, т.е. только U2F/PKCS11 -> Приложение без звена FreeIPA+KeyCloak?

При использовании ключей U2F/PKCS11 хранит ли софт FreeIPA+KeyCloak долговременно (дольше аутентифицированной сессии) какие-либо важные секреты у себя на сервере? Т.е. облегчает ли злоумышленнику задачу входа в систему получение (например, кража) ZFS снэпшота такого сервера FreeIPA+KeyCloak ? Ведь украсть неизвлекаемый ключ только из носителя U2F/PKCS11 практически невозможно без использования бэкдоров трехбуквенных спецслужб или очень дорогой операции по извлечению и декодированию памяти такого носителя, сравнимой со взломом операционной системы современной банковской карты с чипом?

Наверно, bastion hosts (пограничные Internet узлы для входящих админских подключений) все же лучше никогда не подключать к подобному SSO и использовать на них только самые минимальные, но хорошо защищенные варианты аутентификации SSH типа PKCS11 (Nitrokey PRO2 или Rutoken ECP2) или U2F? С другой стороны, например, Linode использует какую-то систему SSO для аутентификации через учетку Github и Google. А ведь их облако ворочает миллионами U$D доходов и потенциальных убытков в случае взлома?

Желательна рекомендация софта из вашего реального опыта, т.е. того, с чем вы уже работали или тестировали и собираетесь перейти на такой софт в своей организации.

И вишенка на торте, где находится волшебный docker-compose.yml к такому SSO? :)

1. Если в гостевой LXC установлен Debian или Ubuntu, то docker нормально стартует и выполняет например docker run hello-world.

Снаружи:

22:22 root@kube / 14:# > zfs list data/lxc_var
NAME           USED  AVAIL     REFER  MOUNTPOINT
data/lxc_var  3.18G  2.28G     3.18G  legacy

22:23 root@kube / 16:# > mount | grep lxc_var
data/lxc_var on /var/lib/lxc type zfs (rw,relatime,xattr,noacl)

Внутри:

root@debian-11-bare:/# df -h .
Filesystem      Size  Used Avail Use% Mounted on
data/lxc_var    5.5G  3.2G  2.3G  59% /

root@debian-11-bare:/# mount | grep zfs
data/lxc_var on / type zfs (rw,relatime,xattr,noacl)
system/rootfs on /vagrant type zfs (rw,relatime,xattr,noacl)
system/rootfs on /vagrant type zfs (rw,relatime,xattr,noacl)
system/rootfs on /vagrant type zfs (rw,relatime,xattr,noacl)
data/lxc_var on /var/lib/docker type zfs (rw,relatime,xattr,noacl)

Вопрос, почему докеру удается запуститься и работать внутри LXC контейнера на файловой системе ZFS? Ведь навряд ли это ZFS Storage драйвер докера? Снаружи такое не работает без указания ZFS драйвера в настройках докера?

2. А в гостевом Alpine почему-то docker не хочет запускаться, стартует и вылетает. В логе среди многих других сообщений есть ошибка:

panic: cannot statfs cgroup root

Что-то похожее обсуждается в ветке: https://github.com/opencontainers/runc/issues/2573

Я уж пробовал и ext3 ему подсунуть внутри контейнера, и контейнер явно прописать как privileged:

Vagrant.configure("2") do |config|
  config.vm.box = "isc/lxc-alpine-3.16"
  config.vm.provider :lxc do |lxc|
        lxc.privileged = true
  end
end

Ничего не помогает. Реальная версия Alpine 3.17 (после upgrade).

Ищу что-то похожее на:

https://gitlab.com/catalyst-it/devtools/vagrant-lxd

https://mottainaici.github.io/lxd-compose-docs/docs/

https://github.com/lxdock/lxdock

https://github.com/turtle0x1/LxdMosaic

Не хочется рыться в гитхабе, может быть, уже кто-то знает самые удачные?

Большие типа Proxmox просьба не предлагать.

На одном из хостов заменил sysv-init на OpenRC и сразу после этого (после перезагрузки хоста) перестал работать forward портов в ssh клиенте.

netstat -anp4 | grep -v EST
Active Internet connections (servers and established)
Proto Recv-Q Send-Q Local Address           Foreign Address         State       PID/Program name    

ssh kube -D 1234
channel_setup_fwd_listener_tcpip: cannot listen to port: 1234
Could not request local forwarding.
Last login: Fri May 12 12:07:47 2023 from xxx
root@kube:~# exit
logout
Connection to kube closed.

ssh kube -D 1235
channel_setup_fwd_listener_tcpip: cannot listen to port: 1235
Could not request local forwarding.
Last login: Fri May 12 12:38:18 2023 from xxx
root@kube:~# exit
logout
Connection to kube closed.

netcat -l 1237 &
[1] 30644

netstat -anp4 | grep -v EST
Active Internet connections (servers and established)
Proto Recv-Q Send-Q Local Address           Foreign Address         State       PID/Program name    
tcp        0      0 0.0.0.0:1237            0.0.0.0:*               LISTEN      30644/netcat    

apparmor, selinux и capabilities отключены.

Что мешает процессу ssh получить нужные локальные порты для состояние LISTEN? Другие программы типа netcat могут слушать порты как и раньше, по крайне мере судя по netstat.

Куда копать? Не пойму :(

Представлен Solaris 11.4 CBE (Common Build Environment) — редакция для бесплатного использования

Будут ли в таком случае доступны боксы с тегом libvirt для запуска в lxc контейнере?

https://app.vagrantup.com/boxes/search?provider=libvirt

Вообще провайдер libvirt позволяет использовать виртуализатор, отличный от qemu?

Про провайдер vagrant lxc я в курсе, но для него почему-то относительно немного (по сравнению с провайдером libvirt) готовых боксов.

Перемещено Dimez из talks

Например, как запустить контейнеры из этого списка?

https://app.vagrantup.com/boxes/search?utf8=✓&sort=downloads&provider...

Пробовал, как предложено в сообщении: https://github.com/hashicorp/vagrant/issues/8769#issuecomment-316113114

Но это без инита, просто tail как в обычных легковесных контейнерах с одним процессом.

А как запустить с обычным для Linux OS инитом, чтобы потом можно было залогиниться через vagrant ssh и чтобы внутри работали все сервисы? Такое возможно с помощью LXC, например:

https://app.vagrantup.com/visibilityspots/boxes/almalinux-8.x-minimal

root@kube:/utils/custom/vagrant/alma# vagrant ssh
Last login: Mon Apr 24 19:47:25 2023 from 10.0.3.1
[vagrant@vagrant-base-almalinux-8-x86_64 ~]$ pstree
systemd─┬─NetworkManager───2*[{NetworkManager}]
        ├─5*[agetty]
        ├─crond
        ├─dbus-daemon
        ├─dhclient
        ├─firewalld───{firewalld}
        ├─polkitd───5*[{polkitd}]
        ├─rsyslogd───2*[{rsyslogd}]
        ├─sshd───sshd───sshd───bash───pstree
        ├─sssd─┬─sssd_be
        │      └─sssd_nss
        ├─systemd───(sd-pam)
        ├─systemd-journal
        ├─systemd-logind
        └─tuned───5*[{tuned}]
[vagrant@vagrant-base-almalinux-8-x86_64 ~]$ 

Время 8:10

/dev/mapper/L2 - это обычный cryptsetup luksOpen

# time mkfs.ext3 -v /dev/mapper/L2 
mke2fs 1.46.2 (28-Feb-2021)
/dev/mapper/L2 contains a zfs_member file system labelled 'L200'
Proceed anyway? (y,N) y
fs_types for mke2fs.conf resolution: 'ext3'
Filesystem label=
OS type: Linux
Block size=4096 (log=2)
Fragment size=4096 (log=2)
Stride=0 blocks, Stripe width=0 blocks
122101760 inodes, 488378134 blocks
24418906 blocks (5.00%) reserved for the super user
First data block=0
Maximum filesystem blocks=4294967296
14905 block groups
32768 blocks per group, 32768 fragments per group
8192 inodes per group
Filesystem UUID: cca93a40-6c0f-430d-a785-7f394cfff898
Superblock backups stored on blocks: 
        32768, 98304, 163840, 229376, 294912, 819200, 884736, 1605632, 2654208, 
        4096000, 7962624, 11239424, 20480000, 23887872, 71663616, 78675968, 
        102400000, 214990848

Allocating group tables: done                            
Writing inode tables: done                            
Creating journal (262144 blocks): done
Writing superblocks and filesystem accounting information:     0/14905

Сначала достаточно быстро проходит треть операции: «Writing inode tables» примерно до 5000 групп из всего 14xxx групп. dstat при этом показывает скорость записи на диск около 50Мб/секунду, но потом скорость записи резко падает до 1Мб/секунду и остальная часть создания inodes продолжается еще примерно 6 часов, потом начинаются остальные операции по созданию ext3 и наконец оно уходит в ступор на операции: «Writing superblocks and filesystem accounting information: 0/14905»

При этом, судя по dstat и iostat, на диск пишется примерно по 8кбайт в секунду.

16:08

Device            r/s     w/s     rkB/s     wkB/s   rrqm/s   wrqm/s  %rrqm  %wrqm r_await w_await aqu-sz rareq-sz wareq-sz  svctm  %util
sdd              0.00    1.00      0.00      8.00     0.00     1.00   0.00  50.00    0.00 1033.00   1.03     0.00     8.00 1036.00 103.60
dm-1             0.00    0.00      0.00      0.00     0.00     0.00   0.00   0.00    0.00    0.00 3923.94     0.00     0.00   0.00 103.60

Толи диск бракованный, толи это норм для SMR?

Т.е. сначала хотелось бы получить пул в состоянии degraded, эквивалентный по избыточности raidz1, а потом добавить недостающие два диска.

Идея такая:

1) Создаем два sparse файла или хотя бы из сжатых нулей номинальным размером, равным размеру дисков для пула. Создаем из них два виртуальных устройства loop1 и loop2 с помощью losetup.

2) Создаем пул raidz3 из 6-и физических дисков и двух виртуальных loop1 и loop2.

3) Сразу же переводим устройства loop1 и loop2 в состояние оffline командой zpool, чтобы файлы не раздувало от записи.

4) По мере появления дисков добавляем их в пул заменой устройств loop1 и loop2.

Есть ли при таком раскладе какие-либо подводные камни и неожиданности?

Очень удобный сайт и приложение, повторяемых глюков не замечено от слова совсем, что IMHO редкость среди современных Алишек, Озонов, и т.п.

Например, у другого неплохого по ценам и ассортименту магазине Коммус просто жутко глючная тормозная корзина, которая глючит в очень многих местах вплоть до исчезновения товара в наличии в самом конце заказа, хотя он есть в т.ч. по словам поддержки, телефонная поддержка тоже тот еще футбол разве что кроме поддержки в планшетном приложении. Можно 1-2 часа потратить на попытку собрать заказ, изматериться хотя бы мысленно, потом создать новую учетку и повторить все заново уже успешно. Может быть, это у них фича, а не баг ? :) Хотя процент выкупа у меня был хороший на старой учетке. Даже не показывает выкуплены ли заказы, так и висят в непонятном статусе, единственное подтверждение - наличие оплаченных накладных. Впечатление, что сайт у них живет сам по себе, а магазин сам по себе. Самое смешное при этом, что на сайте даже нет опции самовывоза, есть только доставка, но при этом сайт сам по себе ... При этом нужно признать, что в целом политика организации, достаточно ответственная хотя бы в обычном понимании без учета айти. Очень быстро бесплатно (за доставку) привезли замену даже расходников, после жалобы на качество.

Судя по описанию магазин vseinstrumenti.ru хостится в трех датацентрах и разрабатывается с использованием современных технологий типа микросервисов и DevOps.

Когда-то примерно в 2015 году в нашем городе для меня было большим праздником появление магазина Citilink, хорошие скидки, очень большой ассортимент по сравнению с местными лавками и даже уровня Nix, конкуренцию им мог составить разве что DNS.

Сейчас по словам поддержки Citilink осмотреть товар можно только после оплаты, продлить хранение можно всего лишь один раз меньше недели. Выкуп наверно только целиком всего заказа? Хорошая скидка в Ситилинк к сожалению последнее время - большая редкость :( цены нередко выше среднего по рынку.

Преимущества Всеинструменты, которые, с моей точки зрения, уникальны по крайне мере все вместе в комплексе и именно для нашего небольшого региона:

1) Временами какие-то фантастические огромные скидки именно на оборудование до примерно 50%, такого я уже давно нигде не встречал с докрымских времен ну кроме разве что в почти беспроигрышной народной лотерее Авито по крайне мере при умении покупателя проверять товар при получении. По крайне мере на мало раскрученные брэнды китайской продукции и на российскую продукцию. Причем 50% скидка на так называемом скидочном марафоне на светодиодный светильник Ionich оказывается в итоге почти в 2 раза дешевле аналогичного в Wildberries, на который там тоже обозначена скидка 40% (вероятно дутая).

https://www.wildberries.ru/catalog/65512756/detail.aspx?targetUrl=XS

IONICH Светильник «Венера» 3300Лм 6500К IP20

Цена со скидкой: 1 128 ₽; Оригинальная цена без скидки: 1 880 ₽

https://vseinstrumenti.ru/electrika-i-svet/svetilniki/nastenno-potolochnye/io...

Светодиодный декоративный светильник IONICH Венера серия 2218, 48 Вт 3300 Лм

1096 р. Скидка 98 р. 998 р.

Я же воспользовавшись распродажей совершенно случайно (к слову о непредсказуемом сроке хранения в точке выдачи в пределах месяца):

https://vseinstrumenti.ru/sale/rasprodazhniy-marafon-5/

Заказал себе эту Венеру 48 Вт на марафоне всех инструментов всгео за 572 р.

Возможно для москвичей эти сэкономленные 400 руб покажутся копейками, а лично мне, сэкономив так на 10 покупках, можно лишний раз зайти в Магнит за полной тележкой на неделю.

По таким ценам покупать иной раз даже выгоднее, чем на Авито, особенно с учетом длительной гарантии, предсказуемости, современности продукции. С другой стороны все же БУ товар западных брэндов конечно выгоднее брать на Авито, чем где-либо еще.

Таки надо признать, что недавно мне удалось приобрести новый чайник Хундай со скидкой почти 50% даже в Ситилинке, но это скорее редкость и удача, чем правило.

2) Всеинструменты IMHO торгуют только сами с полной нередко многолетней гарантией и ответственностью, а не предоставляют свой сайт в качестве площадки типа Алишки, куда скатились уже и Озон и многие другие, о чем не пишет только ленивый, выливая на эти площадки тонны своего негатива. Btw., мне заказ с китайского Озон пришел нормально новенький в рабочем состоянии (тестер батарей Yaorea YR 1035+), но шел больше месяца, гарантии на таком «китайском» Озоне ессно никакой, даже осмотра перед оплатой как в Авито, чисто лотерея, ну кроме потеряшек, которые при наличии трэк номера последнее врем большая редкость. ВИ иногда при удачном стечении обстоятельств доставляет всего за несколько дней, максимум 1-2 недели.

3) Позволяют ДО оплаты осмотреть и проверить товар у себя на стеллаже, включением в розетку, замером различными тестерами (которые принес собой покупатель) и т.п.

4) Многократно продляют хранение товара даже просто по просьбе в чатике поддержки без предоплаты, что лично мне очень удобно потому что я делаю заезды за накопленным товаром только 1-2 раза в месяц (мне так удобнее лишний раз не выходить из дома в морозы, и одной таксишкой проехать по всем магазинам сразу), а скидки у них постоянно на разный товар, что непредсказуемо заранее по времени, можно набирать постепенно не спеша. Мало того, предоплата автоматически продляет хранение дополнительно еще почти на 1-3 недели (официально на одну неделю, но почему-то бывает и больше).

5) Можно выкупать заказ только частично, только те позиции, которые понравились и по количеству тоже можно брать не все повторяющиеся позиции. В случае невыкупа предоплаченных позиций деньги возвращаются обратно примерно в течение двух недель (не проверял пока эту фичу).

6) Приятный персонал, не торопят по крайне мере и общаются спойкойно без закидонов.

7) В Citilink капча на их сайте нередко просила ввести слово MAFIA, а Все инстру менты как бы намекает :)

Причем на Зубры и т.п. гарантия до 5 лет с отправкой в сервис прямо в точке выдачи как в Ситилинк, а не где-то там в сервисе в соседнем городе или по почте в Москве. Но образно за Интелами по-прежнему нужно обращаться в Citilink, тем более это непрофильная продукция для ВИ.

Чтобы получить быстрое логическое блочное устройство LVM с резервированием RAID10, пригодное для использования с СУБД для хранения баз данных?

Хотелось бы такой же надежный, как oldstable релизы Linux и других *nix like систем.

Т.е. чтобы он не ржавел, не протекал, не забывал выключаться, ничего от него не отваливалось пластикового хотя бы первые несколько лет и в том же духе. Чтобы был цельнометаллический из настоящей нержавейки или цельнокерамический или цельностеклянный без всяких там резиновых прокладок, которые ароматизируют чай и имеет свойство давать течь через 1-2 года, если не раньше.

Мой чайник Verloni после более 10 лет использования недавно перестал включаться с первого раза :(

https://avatars.mds.yandex.net/get-mpic/96484/img_id1336259853686772015/orig

Был куплен 14 лет назад за 600 руб в Мвидео. Нет даже ржавчины внутри, только немного нагара, который лень почистить. Пластиковая крышка уже отваливалась несколько раз, приделал саморезами :)

Почитал отзывы nanegative.ru и ужаснулся, впечатление, что от цены уже ничего не зависит :(

По идее можно было бы взять эмалированный под хохлому и попытаться найти к нему «лучший крышка-тен для забывчивый русский чайника стремительный бесплатный доставка».

К примеру, сделали бы крышку с теном в ней, который опускается почти до самого дна эмалированного чайника и с каким-то механизмом автоматического отключения.

Интересно, можно ли из обычных двух APC Smart сделать HA сборку добавлением на выходе 220В некого коммутатора, который бы перещелкивал нагрузку с первого active на второй standby в случае пропадания напряжения на первом? Батареи можно пока две отдельные, для каждого своя, но лучше бы конечно и батарею между ними тоже расшарить каким-то коммутатором, работающим от того же самого управляющего микроконтроллера, который перекидывает нагрузку.

Еще интересно, как устроены блоки расширения батарей у обычных UPS типа APC XL и т.п.? В том смысле, что как они сопрягают батареи с разными напряжениями? У них там какие-то коммутируемые диоды установлены или еще что-то?

Может быть, есть какие-то уже готовые решения в продаже?

Судя по отзывам, даже Yuasa скурвилась:

https://www.citilink.ru/product/batareya-dlya-ibp-yuasa-rew45-12-12v-8ach-691...

Что скажете про BB ?

Какие еще варианты?

Понятно, что зависит от температурного режима, от напряжений отсечки снизу и сверху, от количества циклов и т.п., но отзывы в среднем по IMHO стали сильно хуже более ранних?

Пожалуйста, подскажите, какие самые лучшие (цена/качество) модели?

Что думаете о Hyundai HHY 3020FE vs FUBAG BS 3500 Duplex.

Судя по:

https://forum.baurum.ru/topic/864-hyundai-vs-fubag/

http://www.freezepage.com/1667375350XZDHPEDWPM

и

https://silovik.ru/blog/phjejkomjoty-kompanii-kotorye-obmanyvajut-pokupatelej...

http://www.freezepage.com/1667375434VJPXRFDGLA

Вроде бы из недорогих китайских псевдо западных брэндов это самый топчик по качеству для 3 киловаттников?

Хенде вроде как в РФ официально не ремонтируют? А Fubag наоборот ? :) Но при наличии рукастого специалиста и запчастей вероятно особой разницы нет кроме стоимости ремонта, пока Fubag на гарантии?

В пользу Fubag: гарантия в 2 раза больше (24 месяца), есть официальные сервисники для ремонта, якобы обеспечивает кратковременный пусковой ток в 2 раза больше номинала (возможно фейк?).

В пользу Hyundai: экономичнее по расходу (всего литр в час), якобы надежнее, мощнее движок (работает ровнее, держит бОльшую нагрузку), немного тише по децибелам, электрический запуск (а к нему вероятно уже можно прикрутить и дистанционный электронный запуск при желании).

Обе модели считаются достаточно надежными. В качестве кратковременного резерва при отключениях центральной электросети работают годами с наработкой сотен и иногда больше тысячи моточасов.

PS: по словам продавцов у Fubag последние годы случился провал по качеству, хотя раньше делали относительно надежные генераторы ...

Очень много негативных отзывов о Fubag:

https://nanegative.ru/search?q=fubag bs

https://nanegative.ru/fubag-bs-1000-i-otzivy

http://www.freezepage.com/1667451778XWOLOSAYPF

https://nanegative.ru/benzinovaya-elektrostantsiya-fubag-bs-7500-a-es-838760-...

http://www.freezepage.com/1667451856QXATYYKHAN

https://nanegative.ru/fubag-bs-6600-a-es-otzivy

https://nanegative.ru/benzinovaya-elektrostantsiya-fubag-bs-3300-es-otzivy

Остальные китайцы типа DDE вроде как еще намного хуже :(

Вроде DilOS уже несколько лет не подает признаков жизни?

http://www.dilos.org/

Гуглил форумы по OmniOS и случайно наткнулся на такое:

https://hh.ru/vacancy/46679386

Почему они не используют живые дистры типа OmniOS?

Компания Арго Технолоджи Ист занимается разработкой систем хранения данных на базе собственной постоянно развивающейся платформы DilOS и Debian. Мы рассматриваем сотрудников как на полный рабочий день (full time), так и с частичной занятостью (part time)

Обязанности:

    Портирование приложений (DEB-пакетов) на платформу DilOS (illumos) (C/C++ и т.д.) из Debian upstream;

    Отладка приложения в среде DilOS (illumos) средствами gdb, mdb, dtrace;

    Дописывание недостающих или адаптирование существующих частей под API DilOS (illumos), например DLPI;

    Доработка API системы/библиотек для совместимости с Linux/*BSD;

    Интеграция изменений из других платформ на платформу DilOS (например, добавление/расширение системных библиотек);

    Участие в code review.

Требования к соискателю:

    Опыт сборки DEB-пакетов (или подобных);

    Понимать структуру Makefile’ов: GNU make, dmake, cmake;

    Умение работать с системами контроля версий git (svn, mercurial и т.д.);

    Умение грамотно написать отчёт об ошибках (Jira, Redmine и т.д.);

    Умение работать с такими инструментами, как awk, grep, sed, bash, ksh и т.д.;

    Умение настроить под себя среду разработки и тестирования (например, на базе DilOS (Solaris) зон и/или KVM);

    Иметь опыт работы (настройка VM) с системами виртуализации Xen, KVM, bhyve (и других);

    Опыт диагностики и отладки сетевых протоколов NFS, Samba/CIFS, S3 и т.д. средствами tcpdump/snoop/wireshark.

Будет плюсом:

    Умение разобраться в чужом коде (в том числе perl, python, bash, Makefile, nodeJS и т.д.)

    Работа в среде UNIX/Linux (как пример, в командной строке)

    Умение писать (и понимать чужие) скрипты dtrace;

    Понимание философии ZFS;

    Умение диагностировать ошибки “железа”: сбой памяти, процессора, жёстких дисков, сети и т.д.;

    Опыт работы с сетями на скоростях от 10Гбит и выше;

    Понимание autotools;

    Участие в OpenSource community - illumos, OpenZFS и других

    Знание и умение портировать драйвера из *BSD на illumos

Пожалуйста, уточните, как можно затруднить подобную атаку?

Защиты, упомянутые в:

https://www.opennet.ru/opennews/art.shtml?num=57769

на это как-то влияют?

Достаточно ли свежего ядра со включением всех защит только в гостевой или на хосте гипервизора тоже нужно последнее ядро v 5.19.xxx и чтобы все защиты были включены?