Доброго времени суток.

Вопрос по виртуализации с точки зрения законности в государственных учреждениях.

В организации используем виртуализацию KVM+LXC (Proxmox). Недавно вышел какой то закон, что системы виртуализации должны быть защищены средствами защиты информации.

Нашел статью на хабре. В данной статье в принципе подробно описывается что есть некий ГОСТ описывающий требования к средствам защиты информации систем виртуализации (хотя статья и является жесткой рекламой продуктов компании Cloud4Y).

Из статьи сделали выводы, что система виртуализации должна быть дополнительно защищена средствами защиты информации. Для госудаственных учреждений по идее эти средства должны быть сертифицированы по 152-ФЗ (или что то еще?).

Но подобных сертифицированных средств защиты информации систем виртуализации, в частности для KVM+LXC мы не нашли. Нашли для MS Hyper-V, и для VMware. Что можно использовать для KVM+LXC (в частности для Proxmox)?

Кто еще из госсектора? Что вы используется для закрытия данного вопроса?

Итого вопросы:
- Как правильно трактовать требования к сертифицированным средствам защиты информации для систем виртуализации?
- Что можно использовать для закрытия вопроса по защите информации систем виртуализации?
- Что можно использовать (и возможно ли вообще) для закрытия вопроса по защите информации систем виртуализации KVM+LXC (и в частности для Proxmox)?
- Что вы используется для закрытия данного вопроса?

Заранее спасибо всем ответившим.

Привет

Достаточно часто создаются темы, где люди думают переходить на Gentoo и хотят уточнить некоторые моменты. Чтобы сэкономить время себе и другим, решил создать этот топик, в котором буду собирать ответы на частые вопросы.

TL; DR: Для тех, кто думает перейти на Gentoo (комментарий)

В каких случаях имеет смысл выбирать Gentoo:
1. Вы любите настраивать систему под себя. В Gentoo есть больше возможностей по кастомизации системы в сравнении с многими другими дистрибутивами: USE флаги, параметры компиляции, поддержка пользовательских патчей в пакетном менеджере, хуки пакетного менеджера (вставка своих шагов на этапе установки пакетов), игры с версиями приложений и/или зависимостей, игры с альтернативными имплементациями (openrc/systemd/..., rsyslog/syslog-ng/metalog, slang/ncruses, dhcpcd/dhclient/...).
2. Вы хотите обучиться основам Линукс. Установка Gentoo невозможна без практического понимания базовых принципов Линукс: интерфейс командной строки, chroot, работа с диском (MBR, GPT, возможно LVM, возможно шифрование, типы файловых систем, параметры монтирования и т. п.), настройка сети (WiFi/Ethernet, DHCP, ifconfig/ip, выбор между wicd/NetworkManager/sysinit и т. п.), ядро (конфигурация/компиляция/установка, firmware, внешние модули aka @modules-rebuild, возможно параметры при запуске и т. п.), графический сервер (Xorg/wayland, драйвера) и др. Большинство дистрибутивов скрывают это за инсталлятором, но в Gentoo вам придется столкнуться с этим непосредственно.
3. Требуется система максимально оптимизированная под определённую платформу или нефункциональные требования: минимальный размер (embedded), минимальный отклик (банковские системы, игровые сервера), максимальное быстродействие в конкретных областях (обработка видео потоков) и т. п. Стоит заметить, что Gentoo имеет смысл выбирать только в том случае, когда нет дистрибутива уже заточенного под эти требования, или он чем-то не устраивает.

В остальных случаях Gentoo скорее всего не лучший выбор, разве что Just for Fun.

Сильные стороны Gentoo:
#1 Gentoo очень гибкая и всенастраиваема
Пример того что в Gentoo делается просто:
- Использовать openrc вместо systemd или наоборот; pulseaudio или без него
- Наложить кастомный патч; пример когда это нужно
- Подключить или отключить такие вещи как vaapi, vdpau, opencv и т. п.
- Иметь несколько веток софта; уточню, что это работает только для определённых пакетов; например можно одновременно установить python 2.7, 3.4, 3.5 или qt4 и qt5, но нельзя одновременно установить qt 5.7 и 5.8

#2 Очень удобный и функциональный пакетный менеджер
Примеры удобных фич:
- Прервать установку (вплоть до перегрузки компьютера), а потом ее продолжить. Можно продолжить с последнего пакета (emerge --resume), продолжить но пропустить последний пакет, например, если его установка прервалась с ошибкой (emerge --resume --skipfirst, некоторые нюансы); для больших пакетов можно продолжить саму компиляцию (ebuild <полный путь и имя файла>.ebuild merge).
- Когда при установке обновляется конфиг приложения, определяется редактировался ли предыдущий конфиг пользователем. Если да, конфиг не перезаписывается, а кладётся радом, и выводится сообщение пользователю с предложением обновить конфиг.
- Обновить всю систему, но исключить некоторые пакеты (удобно для исключения больших пакетов из ежедневного обновления)
- Почистить зависимости - удалить те пакеты, которые больше никому не нужны.
- Поскольку ebuild - текстовый файл, то можно пропарсить на предмет требований к количеству ресурсов для установки:

$ for F in $(find /usr/portage -name "*.ebuild") ; do REQ=$(grep "CHECKREQS" "$F") ; if [[ -n "$REQ" ]]; then echo -e "\n$F\n$REQ" ; fi; done

#3 Хорошая документация, по крайней мере на английском. Более того, поскольку Gentoo-специфичные утилиты являются лишь надстройкой на generic механизмами, документация от других дистрибутивов (например от Arch) в большинстве случаев тоже подходит.
Опрос 2014: У какого дистрибутива лучшая документация

#4 Достаточно свежий софт, много сторонних репозиториев.
Список сторонних репозиториев
Gentoo - rolling release, а значит как только новая версия конкретного софта появилась в репозитории, её можно установить. Но здесь не имеется ввиду, что как только новая версия зарелизилась, она моментально становится доступна в основном дереве; лаг есть, но он как правило не большой, хотя зависит от пакета. В тестинг ветке новые версии появляются раньше. Кроме того мейнтейнеры Gentoo могут маскировать некоторые версии, если в них обнаруживаются серьезные баги. Однако всегда можно размаскировать нужную версию. Кроме того для некоторых пакетов есть -live версии, когда исходники скачиваются напрямую из github или аналога.
Пример когда «у меня не самый свежий софт в Gentoo»

#5 Полный порядок в системе, ничего лишнего - эстетическое удовольствие, плюс возможно можно немного улучшить перформанс

#6 В процессе установки и эксплуатации получаешь полное понимание как работает система, а значит возникающие проблемы решаются быстро. На самом деле без должного знания Линукса (или желания его узнать в процессе) Gentoo нормально не установить.

Недостатки
#1 Сложная и долгая первичная установка. Если устанавливать в первый раз, нужно готовиться потратить несколько дней. Для опытных - несколько часов + компиляция.
Время установки (компиляции) Gentoo, еще немного цифр по большим пакетам

#2 Пакетный менеджер хоть и удобный, но очень медленный

#3 Если не обновлять систему долго (полгода и более), то сложность обновления сопоставима с установкой новой системы. Есть мнение, что emerge-webrsync --revert=yyyymmdd должен помочь (лично я не проверял).

Особенности
#1 Высокий порог входа; дистрибутив не для новичков. Если человек не комфортно чувствует себя в командной строке, никогда не компилировал ядро, не разбивал диски на разделы, не привык изучать докуменацию, вчитываться в сообщения и анализировать логи, то Gentoo покажется сложной в обслуживании, а возникающие проблемы будут списываться на дистрибутив.

#2 Обновляться нужно часто.

#3 Основные фичи - в командной строке. Для тех, кто не привык работать в командной строке, это будет минусом. А для тех, кто комфортно чувствует себя в командной строке, это будет плюсом, так как работа в командной строке более эффективна, а типовые сценарии можно обернуть в скрипты и еще больше сократить время на обслуживание системы.

#4 Есть две ветки: stable и testing. В stable меньше шансов встретить проблему, но в testing более свежий софт. Ветки можно комбинировать.

Мифы
Миф #1 Gentoo даст прирост производительности за счет того, что весь софт компилируется под конкретное железо.
Краткий ответ: Без дополнительных телодвижений - в пределах пары процентов, так что вряд ли вы это заметите.

Детальный ответ.
Не следует ожидать что просто скомпилировав систему из исходников вы получите сколько-нибудь заметное улучшение перформанса.
Для большинства приложений компиляции под конкретное железо даст прирост производительности в районе 1-2%.
Ложка дегтя: в некоторых случаях даже может быть замедление. Например Firefox, можно ускорить с помощью PGO. В Gentoo по умолчанию это отключено, так как PGO увеличивает время компиляции почти в два раза. В бинарных дистрибутивах соотв. софт может быть скомпилирован с PGO.
Так как добиться улучшения производительности? Узкий круг приложений может быть значительно ускорен при компиляции под конкретную платформу - на 30%-50% и больше. В основном это приложения которые активно занимаются вычислениями. Но для этого требуется соотв. настройки. Например, активация SIMD инструкций, даст прирост производительности в мультимедиа приложениях. Некоторые процессоры имеют аппаратную поддержку шифрования AES. В бинарных дистрибутивах подобные фичи будут отключены, так как не все процессоры это поддерживают, а бинарные дистрибутивы в первую очередь заботятся о совместимости.
Небольшое улучшения перформанса возможно если убрать из системы всё лишнее (мнение 1, мнение 2).
Еще интересный случай

Миф #2 Обновления занимают много времени
Краткий ответ: 5-10 минут на фоне, не мешая основной работе.

Детальный ответ.
Обновления не занимают много времени, но опять же, при правильном подходе.
Во-первых, как было сказано выше, обновляться нужно часто. Для testing ветки это каждый день, или по крайней мере не реже чем в раз 2-3 недели. Для стабильной ветки - раз в неделю достаточно (на стабильной ветке намного реже выпускаются обновления)
Во-вторых, есть пакеты которые правда очень долго компилятся: libreoffice, firefox, chromium... Их всего 10-15. Я их исключаю из ежедневного обновления, а обновляю раз в несколько месяцев.
Еще нужно сказать, что на этом вопросе часто заостряют неоправданно много внимания. Обычно обновления происходят на фоне, и не сильно влияют на работу; так какая разница как долго они выполняются?
В итоге, у меня обновления занимают примерно 5-10 мин ежедневно (у меня тестинг-ветка).
К тому же всё происходит на фоне, в любой момент можно поставить на паузу (Ctrl+Z, fg), продолжить после прерывания (умышленного или случайного).
Мой скрипт ежедневного обновления

Миф #3 Gentoo требует много времени на обслуживание
Краткий ответ: это зависит от вас.

Детальный ответ.
Обслуживание Gentoo занимает меньше времени по сравнению с другими дистрибутивами, но только при грамотном обращении, конечно. Достигается это за счет следующего:
- хороший пакетный менеджер: маскировки, глобальные и индивидуальные установки для пакетов (USE флаги, опции компиляции, каталоги), хуки, приоритеты (чтобы компиляция происходила на фоне и можно было работать), много опций для установки и анализа, подсказки после установки.
- всё происходит в CLI, а значит типовые операции можно обернуть в скрипты/алиасы.
- уже существуют много утилит для облегчения обслуживания: eselect, equery, eix, eclean, euse, genlop и др.
Грамотное обращение означает, что вы правильно и регулярно обновляете систему, исполняете предписания emerge, которые он выдает после установки, держите в порядке конфигурационные файлы, а если таки возникает проблема, которую решить вы не можете, то вы обращаетесь в форумы, а не просто жалуетесь на жизнь.
Что до проблем с обновлениями - см. следующий пункт «Миф #4 Установка, обновление постоянно падают; частые блокировки»

Миф #4 Установка, обновление постоянно падают; частые блокировки
Краткий ответ: Не чаще чем в других дистрибутивах

Детальный ответ.
Если говорить про «часто» и «постоянно», то проблемы с обновлением/установкой могут быть если:
- система давно не обновлялась
- система неправильно обслуживается (см. выше про Грамотное обращение)

В редких случаях пакет просто не компилируется. На самом деле это проблема не Gentoo, а тех, кто писал этот софт. И в подавляющим большинстве случаев это не является проблемой, и вот почему. Если это обновление, то можно продолжить процесс запустив emerge с параметрами --resume --skipfirst - он обойдет проблемный пакет, пересчитает зависимости чтобы система осталась консистентной, и продолжит обновление (а можно изначально передать параметр --keep-going, тогда это будет происходить автоматически, прерываний вообще не будет). Если пакет критичен, можно установить предыдущую версию, которая компилировалась (а проблемную замаскировать чтобы пакетный менеджер ее не видел).

Что может заблокировать обновление полностью:
- просьба пакетного менеджера поменять флаги пакета. При этом emerge предлагает сделать это автоматически, но лично я предпочитаю делать вручную. Для ручного способа, решается добавлением строчки в package.use
- просьба пакетного менеджера задать лицензию. Это валидно только для не-свободных лицензий, например EULA, Skype, Adobe Flash и т. п. Если мы говорим имено про обновление, то такое бывает только когда лицензия обновляется, что бывает очень редко (как много у вас пакетов под не-свободной лицензией, и как часто они меняют лицензию?). Решается добавлением одного слова в make.conf
- просьба пакетного менеджера размаскировать пакет. По моему опыту нужно не размаскировывать, а наоборот замаскировывать пакеты, которые тянут замаскированные зависимости. Это, да, требует минут 5-10 на разобраться. Но, если только у вас нет смешения веток и live пакетов, такой вариант случается раз в пятилетку.
- сложные блокировки. Большинство блокировок пакетный менеджер разрешает сам; по моим наблюдениям, качество данного механизма значительно улучшилось пару лет назад. Из своего опыты скажу, что (учитывая частые обновления) блокировок, которые бы совсем останавливали обновление я уже не видел года 1.5. Но если они есть, то это действительно сложный кейс.

Иными словами, при порядке в системе, кейсы, которые требуют значительного времени и напряжения уственых усилий (сложные блокировки, замаскированные зависимости) случаются раз в несколько лет; кейсы, которые решаются за пару минут - раз в несколько месяцев.

Миф #5 В Gentoo нет бинарных пакетов
Краткий ответ: Есть там, где это действительно нужно.

Детальный ответ
29 декабря 2023 года было официально объявлено о релизе бинарного варианта Gentoo: Gentoo становится бинарным / https://www.gentoo.org/news/2023/12/29/Gentoo-binary.html Также есть Calculate Linux - полностью бинарный форк Gentoo.
С самого начала в «классическом» Gentoo в основном репозитории всегда были несколько бинарных пакетов: libreoffice-bin, firefox-bin, некоторые другие. Связано это с тем, что из исходников они очень долго компилируются, и иногда проще поставить бинарник.
Бинарный пакет можно сделать самому командой quickpkg --include-config y <установленный пакет> - удобно для бекапов.
Но стоит обратить внимание на то, что при использовании бинарных пакетов пропадают те главные особенности, ради которых имеет смысл выбирать Gentoo. Если вам нужен уже скомпилированный софт, возможно вам имеет смысл присмотреться к другим дистрибутивам.

FAQ

#1 Установка на слабый компьютер
Смотря что есть слабый компьютер.
Из собственного опыта: Intel Core2 Duo 6600 @ 2.40GHz, 2Gb RAM + 4Gb swap хватало для комфортной работы в Gentoo.
Зачастую ebuld'ы содержат информацию о том, сколько нужно памяти для компиляции пакета. TOP 5:
16G - chromium
8G - ledger, isabelle
7G - ceph
6G - firefox x64 (для x32 нужно 3G), pypy x64 (для x32 нужно 3G)
5G - electron
Если компьютер и вправду слабый, то лучше выбрать не Gentoo (точнее не-source-based дистрибутив). Альтернатива - можно вынести компиляцию на другой «не-слабый» компьютер с помощью distcc.

Опрос 2025: Какую операционную систему и/или дистрибутив GNU/Linux вы используете на ПК?
Опрос 2022: Какой дистрибутив GNU/Linux вы используете на домашнем ПК/ноутбуке/моноблоке?
Опрос 2022: Лучший дистрибутив линукса или ОС для сервера
Опрос 2021: Какую операционную систему и/или дистрибутив GNU/Linux вы используете на ПК?
Опрос 2021: Какой операционной системой вы пользуетесь на серверах?
Опрос 2018: Какой ОС вы пользуетесь на основном ПК?
Опрос 2017: Какую ОС вы используете на основном ПК?
Опрос 2014: Какой дистрибутив вы используете на десктопе?
Опрос 2013: Какой дистрибутив вы используете на десктопе?
Опрос 2013: Какой дистрибутив Linux считаете максимально близким к UNIX-way?
Опрос 2011: Какой из дистрибутивов, по вашему мнению, обладает наиболее полной и внятной документацией?
Опрос 2011: Какая ОС установлена на вашем рабочем компьютере?
Опрос 2006: Каким дистрибутивом GNU/Linux Вы пользуетесь?
W3Tech стастика дистрибутивов на серверах
Отличия дистрибутивов, время работы ноутбука
Чем удобны USE флаги
Сколько памяти нужно для РАБОТЫ Gentoo (сколько нужно для компиляции было указано выше)
Сколько места на диске нужно для Gentoo
Правильное полное обновление Gentoo, Мой скрипт ежедневного обновления, Еще вариант
Gentoo для девелоперов
Практика инсталляции Gentoo: в двух словах простым языком
Небольшой скрипт - сборка livecd

Собственно по мотивам ТЫЦ но про NixOS и на основе моего опыта эксплуатации сабжа в течение как минимум одного года восьми месяцев и двух дней или шестьсот двенадцати дней кому как угодно. Ибо именно столько у меня стоит NixOS основной системой тыц.

Моей предыдущей системой была гента поэтому и свои сравнения я буду проводить непосредственно с ней. Все написанные мною слова выражают мои собственные мысли и не были призваны разжигать какие бы то ни было конфликты и/или жжения в любых частях тела прилегающих к седалищному нерву.

Так вот детки. Гента местами хороша… хотел бы я так написать но увы нет. Есть кардинальные проблемы с которыми она не справиться. Основная это toolchain. У вас попросту не может быть консистентной системы с самым распоследним toolchain-ом и довольно старыми выдержанными проверкой временем программами (Либо наоборот). Это не значит что такую проблему нельзя решить костылями chroot-а или некими иными методами… Это значит лишь то что такая проблема у дистрибутива как минимум есть в наличие.

„Ты сейчас задвинул некую чушь. {У меня нет}/{Мне не нужны} старые программы.“ - Да дело ведь не только в этом. Те кто прожил с гентой достаточно припомнят не один случай неудачного обновления glibc в результате которого всему приходил северный полярный лис. „Бэкап спасёт“ да не без этого. Однако бэкап не исправляет саму изначальную проблему.

Так вот последние два абзаца написаны собственно только ради того что… Да детки в NixOS таких проблем нет. И быть не может by design. И я скромно умалчиваю про другие архитектуры, контейнера, FHS environment и прочие побочные плюшки.

Дальше меня ждала «ломка» поскольку во всех дистрибутивах корень системы это важная штука которую можно пощупать своими загребущими ручёнками… Да а в то время как в NixOS из всего корня так сказать материальны только /etc/nixos, /root и /nix а остальное симлинки… Тудумс! Занавес.

Немного про установку. Генту можно собрать за время от пары часов до нескольких дней. Развернуть из бинпакетов можно минут за сорок ну плюс минус около того. NixOS бинарный дистрибутив поэтому кампелять тут ничего не нужно.

„Канпельять нинада. nixos ацтой. Моя отсельда мухожук.“ Однако стоит лишь переопределить дефолт и если это столь необходимо пакетный манагер сам пересоберёт то что нужно пересобрать. Вкуснятина!

Дальше сам процесс разработки. Про генту я скромно умолчу. А вот NixOS разрабатывают на гитхабе открыто, свободно и без бюрократии и 1770 запросов на слияние и 3753 проблемы тому доказательство.

Я скажу так в генте для меня всегда была головной болью настроить gnome/kde/plasma. Полные метапакеты натащат столько что ппц а минимальные как правило просто обрезаны по самое немогу и для комфортного существования приходилось искать ту самую золотую середину самостоятельно. В NixOS просто дефолтный выбор мне что называется зашел на ура. Одной проблемой меньше.

Итак вот мы прожили в системе определённое время накопились критические изменения и настало то самое время обновлять. У NixOS считай весь корень тупо набор симлинков поэтому, как не трудно додумать, он чудесно версионируется. Да у вас всегда есть не просто единственное текущее состояние системы но и всё неудалённые прошлые её состояния.

В NixOS пакетный менеджер заведует не просто версией хромиума но и всеми его настройками и да даже его расширениями.

Любые нативные игрушки steam-run спасает и делает не просто хорошо а прям прекрасно.

„Да ладно… Вот прям взял и описал идеал. Не верю.“ Есть и баги. Дальше о них.

Ну не то чтобы это было проблемой но как с самой первой инсталлиции так и до сих пор - Only english language available in plasma regional settings #33987, Missing a lot of translation in plasma5-based system. #37741 Да все преведенные решения перепробовал но баг как был так и есть.

Из того что заметил в последнее время HDD not mounted, system don't boot #32588 это про btrfs на luks. Но оно тоже странное то есть то нет… В общем закономерности я не заметил но у себя наблюдал.

Ну и покамест на этом всё. Надеюсь мои многобукав помогут кому нибудь сделать свой выбор.

Исходные данные: где-то год назад я искал работу, шёл стабильный поток два собеседования в день. Третье назначать смысла небыло ибо Москва город не маленький, на третье я приезжал уже уставший и злой и проводил его плохо. У меня в пиджаке лежала бумажка с моим графиком собеседований в которой табличкой записаны дата, зарплата и метро. Тоесть читая моё резюме владельцы бизнесов, эйчары, начальники ит отделов, сисадмины ищущие коллегу приходили к мнению что стоит вызвать на собеседование и потратить на меня час-полтора. Я отнюдь не небожитель и в сухом остатке у меня сформировалась вилка на которую меня точно вызывали. Итак, случай:

Вижу вакансию в которой объявлено скажем, 130к, отправляю отклик и меня вызывают. Приезжаю, встечает меня кадровичка, с ней мы минут 20 общаемся, заполняю какте-то анткеты, рассказываю про предыдущие работы ну и так далее. Затем она уходит, приходит начальник отдела с виндузовым админом, с ними повторяется тоже самое, они меня гоняют по почтовикам, доменам и прочему. Так продолжается ещу минут 30. Потом эти уходят, вместо них приходят линукc админы и все повторяется по-новой, они меня уже гоняют по астерискам, всяким func_odbc и прочим заббиксам. Сильно расстроились что не работал с ансбиль, он часто требуется на хорошие зарплаты но в подавляющем большистве контор он и не требуется. Собственно за 15 лет стажа кандидат его знать и не обязан: у вас сломается мозг от попытки освоить все что требуется на рынке труда, начиная с попытки подтянуть английский и дальше вские пайтоны. Идёт второй час собеседования, я от них уже устал и немного начинаю «плыть» в разговоре ибо мозг подзасрался. Потом говорят что мы посовещаемся, подождите 10 минут, прийдет кадровичка и вам расскажет что дальше.

Маринуюсь я ещё минут 10 в переговорке, приходит эта прЫнцесса и неспеша рассказывает примерно следующее: мы пообщались с коллегами, они говорят: вот с этим вы не работали, вот это вы не знаете, то вы не помните, тут отвечали невнятно неуверенно. Сказать по-правде для рынка кандидат вы слабенький и просите много. Но у вас хорошее резюме и мы готовы взять вас «на вырост». Если вы снизите свои зарплатные ожидания скажем, до 100к.

Я от такого обмяк на стуле как куль с говном, не каждый раз слышишь вот такое. В такие моменты думаешь что вот, более опытные коллеги видят тебя именно таким. У меня окончательно упало настроение, я вяло ответил что у меня тоже вопросов не осталось, давайте недельку на подумать, мы попрощались. Я вышел из офиса и шёл к лифту, разговор закончился и мне стало полегче, начало отпускать. Повернул, иду дальше и вспоминаю как учился пользовать func_odbc астериска, как учился читать диалпланы и пытался понять диаграммы работы sip протокола. Как лет пять назад в период безработицы осваивал LPIC. Как разбирался с заббикс прокси и кастомными пользовательскими параметрами туда же. Как готовясь к цискиным экзаменам силился понять разницу в нате: Inside global, Inside local, Outside local, Outside global. Туда же вывод debug ip ospf и прочую срань. Как трахался с захватом ролей КД в упавшем домене, как трахался с рухнувшим после апдейта эксченджом. Как осваивал постгрес, как разбирался с аутентификацией и методами передачи пароля в связке postfix и dovecot. Как силился понять как же настраивается этот гадский racoon и остальное для ipsec туннеллей.

С каждым шагом к лифту в моей памяти поднимался бэкграунд моего опыта выстраданного за эти годы. Открылись двери лифта и я увидел себя в зеркало: рожа у меня покраснела, глаза налились кровью от злости. Ах вы суки, песьи дети, ещё ярлык мне смеете ставить подумал я.

Для тех кто не понял выше описанное кратко расскажу что произошло: -ставят в вакансии какую-то высокую планку зарплаты, от балды, чтобы к ним ну хоть кто нибудь пришёл; -платить как станет понятно потом её и не собираются либо не могут, либо и не собирались; -долгим собеседованием, подсовывая свежих людей выматывают кандидата, ждут чтобы он устал и «поплыл» в разговоре; -потом ещё маринуют ожиданием результата; -потом, вменяя ему то что он не знает стека технологий, которых кстати у резюме у него нет, сбивают ему спесь, снижают самооценку; -после этого когда пациент готов - продавливают вниз по зарплате.

Этот психологический ход который не надо терять из виду. Вот так вот «вжик» - и минус 30к от зарплаты. За первый год работы кандидат им дарит 360к ну и так далее, а кадровичке можно подарить пирожок за то что сэкономила руководству на очередном кандидате денег на багамы, шлюх и кокаин.

Коллеги: те кто понимает хотя бы вывод вывод debug ip ospf и работают при этом за 80..100к. Вы, соглашаясь на подобные условия вы давите рынок труда вниз, давая слабину и малодушничая вы демпингуете зарплаты и тянете на дно друг друга. Уже только это - это два тома циски по 600 листов плюс куча времени убитого на лабораторные работы. Дебаги всего этого отнимают у вас бесценную молодость, кто, кто вам вернёт потерянные на этом диоптрии посаженых глаз? Кто вам вернет бесценное время когда вы вместо того чтобы радоваться жизни терпеливо кропели над кучей параметров вывода, копаясь в руководствах и гугле над каждым из них? Это профессиональный рост, за который вы платите здоровьем, самым гадким - малоподвижным образом жизни, когда организм хиреет, обрастает жиром и начинает накапливать болячки, лечение которых в общем-то затратные в деньгах и унизительные процедуры?

Да вы чё, шныри, ваще страх потеряли? Шучу Very Happy

Расслабьте булки: я вам не враг. Записывайте на диктофон собеседования и потом слушайте и делайте выводы что пошло не так. Скачайте видеокурсы проведения жёстких переговоров при закупках для менеждеров по продажам. Посидите, подумайте.

Рассмотрим случай когда в объявлении зарплата договорная. Тут работодатели делятся на две категории: -нормальные, которые в ходе собеседования задают вопрос типа «какие у вас зарплатные ожидания» либо так же, спокойно и адекватно «на какую зарплату вы рассчитываете»; -гнилые, которые спрашивают тоже самое но с неприятной, вызывающей отторжение формулировкой «вот сколько ты стоишь как специалист» и смакуя, с издевкой наблюдают как в кандидате начинают бороться жадность и осторожность.

Тут рецепт только один. Ответить: мне категорически невыгодно первым вскрывать позицию. Я свои ожидания могу подстроить под ваш бюджет. Лучше вы скажите на какой бюджет вы ищете сотрудника. Не обращайте внимания что вам после этого ответят, не сдавайтесь. Гните дальше в плане: вам же сказали: вот тебе вот такой вот бюджет - найди сотрудника который может это и это. У вас получается позиция негибкая, у вас как бы связаны руки, вы находитесь в рамках на которые почти не можете повлиять. Я же - свои ожидания могу и принизить, не умру.

Работодатель будет отчаянно ерепеньиться и нести что угодно лишь бы вытянуть из вас сколько же денег вы хотите. Опять не обращайте внимание, смотрите прямо в глаза, не отводите хотя бы минут пять ибо это называется торг. Не сдавайтесь - ещё рано вскрываться. Не важно что вам скажут и на сей раз пытаясь вас вскрыть первым.

На очередной итерации издевательства над работодателем достаёте из кармана бумажку и говорите что то типа: вот график моих собеседований за последнюю неделю. На нём сформировалась некая медиана, некая вилка, некая средняя сумма, которую мне в коненом итоге предлагают в среднем. Тоесть читая моё резюме владельцы бизнесов, эйчары, начальники ит отделов, сисадмины ищущие коллегу приходили к мнению что стоит вызвать на собеседование и потратить на меня час-полтора. Я вам её назову, это вообще не секрет, я вам её назову, но чуть позже. Хотелось бы всё-таки узнать ваш бюджет и ваши возможности. А то если я вам просто скажу свою хотелку и она в него не впишется то у вас погаснут глаза, сгорбится осанка и вы потеряете интерес к дальнейшему разговору. Мне крайне невыгодно вскрывать свою позицию первым.

Навряд ли вы разойдётесь так и не узнав сумму работодателя, всё таки он вас позвал на собеседование чтобы взять вас на работу. В каждой компании есть адово количество работы которую кто-то всё-таки должен сделать и на данный момент она у него стоит и из-за этого остальные сотрудники перегружены, в цейтноте и с этим надо что-то делать. И он прекрасно понимает что соискателя к себе надо ЗАМАНИТЬ а не отпугнуть. И вы один из лучших кандитатов которые есть у него в наличии сейчас. И вы это должны всегда помнить, даже если вам сказали что вы «кандидат слабенький и для рынка просите много» и не вешать нос.

Стек технологий, знания, которые накопились в голове у кандидата за время его трудового стажа и стек технологий, требующихся работодателю ВСЕГДА не совпадают и это - абсолютно нормальная ситуация. И вопрос насколько работодатель на это согласен пойти - он уже решен перед вызовом вас на собеседование. Без необходимого приемлемого минимума знаний вас просто не позовут. Собеседование это не развлекательная прогулка, они реально напрягают. Я сам собеседовал voip-инженеров на вилку 130..180к, опыт которых намного больше чем мой и прекрасно знаю как не хочется чтобы собеседования заканчивалсь ничем. Это люди с сединами, они знают своё положение на рынке труда, это люди тёртые и непростые.

Вы конечно скажете что в москве около 100 фирм занимающихся настройкой телефонии, обратитесь к ним - да вот только ребятки у них расценки от 2500 рублей в час, и они могут вкатить вам счет за 10 часов работы а реально там работы на два часа и вы это воровство никак не докажете ибо не хватает квалификации проверить. Так что если прикинуть сколько обойдется сторонняя фирма то и эта зарплата приемлема если вы аутсорсер и у вас много задач по телефонии. Но я отвлёкся.

Продолжим. После того как работодатель осознал что дальше бодаться смысла мало - ситуация кардинально меняется и на этот раз - в выгодную для вас сторону. Работодатель смотрит на вашу бумажку собеседований но при этом понятия не имеет что вы ему там через пять минут откроете. Мяч неотвратимо летит в его ворота, и уже в нём начинают бороться жадность и осторожность. У меня начали выползать суммы которых на хедхантере нет а так хотелось бы видеть.

Я буду рад если я вам этой статьёй хоть чем-то помог. Борьба с работодателем это непростой вопрос: ит специалист имеет плохо прокачаный скилл переговоров, они не закупёры и не продажники у которых это основа их деятельности, которые торгуются и не стесняются при этом. Напишите что думаете на эту тему, какой у вас был опыт. Передайте ссылку на неё друзьям, если, прочитав это за год, хотя бы 10000-15000 сисадминов перестанут пасовать и соглашаться на нижнюю планку зарплаты мы в итоге поможем друг другу. Каждый из вас в этом кровно заинтересован. Запомните: в этой жизни вы имеете не то, чего заслуживаете, а то - на что договорились.

P.S. В комментах обсуждаем тему а не автора. Всем безработным - удачи в полях.

Перемещено leave из job

Привет! Хотел запустить утилиту tree, оказалось что ее в системе нет, и терминал предложил целых 2 способа установки.

Command 'tree' not found, but can be installed with:

sudo snap install tree  # version 1.8.0+pkg-3fd6, or
sudo apt  install tree

See 'snap info tree' for additional versions.

Чето я не пойму, это менеджер APT теперь предлагает снапы? Или кто выводит это сообщение?

привет! в вики написано, что иксы читают все найденные конфиги в порядке очередности, как будто они все часть одного файла, и только после прочтения последнего формируют конфиг, с которым будут работать. так вот, есть ли способ посмотреть результирующий файл конфига после всех слияний?

(про список используемых конфигов в Xorg.0.log в курсе, меня интересует именно результат)

(Пост для информации, может кому ещё пригодится)

Почти также всё ставится как и в Stretch Установка драйверов для МФУ Brother DCP-7045N(R) в Debian Stretch за исключением п.7, теперь в файле 60-libsane.rules надо просто перед строчкой

SUBSYSTEMS=="scsi", GOTO="libsane_scsi_rules_begin"

добавить тоже самое:

#Brother DCP-7045N
ATTRS{idVendor}=="04f9", ENV{libsane_matched}="yes"

И всё работает. Интересно, что сейчас (а возможно и в Debian 9, но не обратил тогда внимания) после установки на чистый винт Debian 10 и включения МФУ принтер сразу был найден автоматически и даже можно было уже и печатать. Но печать идёт очень медленно. Перед печатью компьютер «думает» несколько минут.

После установки драйверов в списке печати есть два принтера:

1) DCP-7045N userdomain - прежний «тормозной», автоопределившийся в самом Debian

и

2) DCP7045N (написание слитно, нет имени домена) - «быстрый», без задумчивости.

Решился я, наконец, выложить свой вариант sed-а, который меня устраивает. В отличии от оригинального, он работает с буфером целиком, а не построчно. Имеет дополнительный и целый стек буферов, а также счётчик, что позволяет несложно обрабатывать вложенный развесистый синтаксис, всевозможные вложенные блоки. Умеет символ '\0', правда для этого требует отсутствия любого другого символа в тексте/паттернах/заменах. Умеет перекодировать через iconv. regex-ы, подгружаемые и имена выгружаемых файлов могут быть динамически сформированы в процессе исполнения. Пока не умеет матчить номера строк, но, думаю это и не надо. Зато буковок под команды — 46.

Полное описание

В качестве примеров приложены скрипты для очистки html-ей после офисов (open/ms) и из lib.ru/samlib.ru для приемлемого результата для ручной правки или просмотра читалками.

Всем известно, что для запуска любого приложения в Linux требуется одно из условий - на файле приложения должен быть установлен execute permissions флаг.
Благодаря лишь одному этому условию, невозможно случайно запустить вирус скаченный из интернета или полученный на флешке, он просто не запустится, надо вручную устанавливать флаг.
Пользователи Linux оказались под простой и надёжной защитой.

Но такая ситуация не даёт покоя рептилоидам и прочим мошенникам.
«Что-же делать? ...» - думают они - "... Как нам зарабатывать деньги, заражать компьютеры, продавать антивирусы и прочую, оказавшуюся ненужной, херню?"
И решили: «Надо внедрить диверсантов и потихоньку всё испортить!»

Итак, заметил, что с каких-то пор, эти пидиверсанты внесли изменения дефолтных прав доступа при монтировании ntfs, vfat и прочих ф.с. - все файлы по умолчанию стали исполняемыми, установлен execute permissions флаг.
Теперь если скачать файл с вирусом и поместить его на диск с файловой системой ntfs или fat32, или воткнуть флешку с вирусом, то он сразу будет исполняемым и его можно случайно или преднамеренно запустить.
Такие вот дела.

Я конечно сразу это исправил себе вот таким патчем:

--- a/src/udiskslinuxfilesystem.c
+++ b/src/udiskslinuxfilesystem.c
@@ -331,7 +331,7 @@
 
 /* ---------------------- vfat -------------------- */
 
-static const gchar *vfat_defaults[] = { "uid=", "gid=", "shortname=mixed", "utf8=1", "showexec", "flush", NULL };
+static const gchar *vfat_defaults[] = { "uid=", "gid=", "shortname=mixed", "utf8=1", "showexec", "flush", "dmask=022", "fmask=133", NULL };
 static const gchar *vfat_allow[] = { "flush", "utf8", "shortname", "umask", "dmask", "fmask", "codepage", "iocharset", "usefree", "showexec", NULL };
 static const gchar *vfat_allow_uid_self[] = { "uid", NULL };
 static const gchar *vfat_allow_gid_self[] = { "gid", NULL };
@@ -339,7 +339,7 @@
 /* ---------------------- ntfs -------------------- */
 /* this is assuming that ntfs-3g is used */
 
-static const gchar *ntfs_defaults[] = { "uid=", "gid=", NULL };
+static const gchar *ntfs_defaults[] = { "uid=", "gid=", "dmask=022", "fmask=133", NULL };
 static const gchar *ntfs_allow[] = { "umask", "dmask", "fmask", "locale", "norecover", "ignore_case", "windows_names", "compression", "nocompression", "big_writes", NULL };
 static const gchar *ntfs_allow_uid_self[] = { "uid", NULL };
 static const gchar *ntfs_allow_gid_self[] = { "gid", NULL };

Upd.: https://yadi.sk/d/g0gL_MY_N6I1Kw

А что сделал ты, линупсоид?

Недавно появились всплывающие сообщения от гнома под названием «Backgound activity». Появляются где-то через минуту, когда оставляешь приложение на другом рабочем пространстве(например vlc, transmission, telegram). Нотификация сообщает, что программа «is running in the background» и предлагает три варианта: allow, forbid или ignore. Если выбрать forbid, то программа будет закрыта гномом где-то через минуту. Вопрос. Где лежат настройки? В gsettings тишина, гугл молчит как рыба, я не смог придумать как правильно спросить, пните в нужную сторону. Silverblue 31.

Может кто-то обьяснить чем отличаются локальные репозитории от удаленных? Без man pacman или ссылок на арчвики, понять исходники тоже не смогу так как не программист. Я так понимаю что когда устанавливаем пакет, информацию ПМ берет таки из локальный базы? Ну FTP или HTTP адрес, а при синхронизации с удаленным URL просто подменяется на самый свежий? Распаковал я БД и просмотрел файл desk, там только один URL.

В файле pacman.conf в репозиториях ссылки на mirrorlist. Но в mirrorlist нет привязки к репам, значит на каждом сервере, указанном в файле хранятся все репы? И в каком виде они тогда хранятся? Как pacman сможет установить более старую версию пакета если ее не останется в кеше скачанных? Он не сможет взять информацию с тех серверов, что указаны в mirrorlist? Или структура удаленной базы данных не такая же как локальной?

Сегодня в реддите появилось сообщение о закрытии некогда одного из самых крупных платных сайтов с учебными видео по 3д, 2д арту и разработке игр, в частности алгоритмы ИИ и прочее. К счастью, они решили выложить свои видео в открытый доступ по адресу https://3dbuzz.com.

>>> Подробности

Добрый день, посоветуйте годный клиент ssh и sftp для айфона, кто какой использует?

Есть программа под GPL. Можно ли в ней использовать закрытую бинарную библиотеку (dll/so)? Функционала нужно немного, но без нее программа работать не сможет. Знатоки подскажите пожалуйста. В гугле что-то зарылся.

Подскажите поисковик, чтобы в нем можно было бы нормально искать по ключевым словам, как много лет назад, а не эта высокоинтелектуальная нейробредовая хрень.

Ситуация, случайно попал на страницу с интересующей меня инфой. Отвлекся на другое, думал посмотрю позже. Был приватный серч и прочие приблуды, короче никаких следов после перезагрузки. Все повесилось, перезагрузилось.

Помнил несколько фраз из обсуждения на том же сайте в комментах, забил, что помнил в поисковики через +. И ничего не нашел, просмотрев все результаты, которых было мало. Поигрался еще со словами и никак.

Искал в google, duckduck, startpage, yandex. Причем все они выдавали разные результаты на один и тот же запрос.

Что за хрень творится? Куда делся нормальный поиск? Какой поисковик использовать?

Есть сайты, которые совсем не попадают в поисковики (инфа с них), как они это делают?

Всем привет, такой вопрос, есть ли какой-то перечень того, что должно быть реализовано в программе, чтобы она правильно работала как сервис systemd? Может быть какой-то how to есть? Я реализовал в программе перехват SIGINT и SIGTERM - достаточно ли этого?

Нужно перехватить вызовы к определенной dll и перенаправить на вызовы нативного в системе so. Набор API (названия функций и т.д.) полностью совпадают.

Как такое реализовать?

Доброго времени суток !

Возникла проблемма в неожиданном месте: во время сборки .so либы из .a либ (собранных с PIC) компилятор стрипает все символы из .a файлов (те. в получившимся .so не видны символы из .a), хотя если собрать .so просто из объектников, не запакованных в .a - то все отлично.

Пример:

gcc -shared object1.o objects.a

Все усугубляется тем, что в Makefile было бы очень удобно использовать сборку .so из .a файлов, дабы не таскать перечисления входящих в него объектников.

Кто нибудь решал подобную задачу ? Может есть какой флаг в gcc ?

Заранее благодарен !

С декабря, наконец, стало больше свободного времени, и смогу дальше продвинуться в прототипе своей игры под Unity. Но недавно попался пост в канале по разработке игр, где автор сравнивает Unreal и Unity не в пользу последнего. В основном, конечно, сводится к не особо обоснованной логической цепочке «эпики делают игры на своём движке, а Unity — в лучшем случае технодемки, поэтому Unreal удобнее для разработчиков». Но частично есть с чем согласиться: пробовал ECS, но оно пока не совместимо с одним из нужных мне ассетов (Cinemachine), поэтому пока делаю на старом стеке с мыслью, что это всё придётся переписывать.

Насколько сейчас возможно использовать Unreal под онтопиком? Несколько лет назад пробовал просто собрать редактор, кажется, неудачно. Как сейчас с его работой? Что можно использовать для редактирования и отладки на С++, т.е. есть ли какой-то аналог Unity-плагинов к Rider или VS Code, который соединяет редактор, дебаггер и среду разработки?

Проблема следующая: при попытке установки Ubuntu (18.04) с usb на ноут(ASUS ZenBook 13 UX333FN) вылезает консоль grub 2, вместо обычного меню. По команде ls выдает:

(memdisk) (hd0) (hd0,gpt2) (hd0,gpt1) (hd1) (hd1,gpt4) (hd1,gpt3) (hd1,gpt2) (hd1,gpt1)

Гугл сказал, что надо искать файлы vmlinuz и initrd.img по этим разделам, но дело в том, что на ls (hdX,gptY)/ я получаю Filesystem is unknown. Только два раздела были доступны, в каждом из которых есть по папке efi, в каждой из которых лежат фалы расширения .efi. Что с этим всем делать гугл не сказал(или я спрашиваю не так).

Вопрос: куда нажать, чтобы появилось обычное меню остановки Ubuntu?