Dotaz: System wide DNS over TLS nebo HTTPs

Já systemd používám, ale přesně ty problémy, které zmiňuje, mě potkávají. Proto bych takovou diskuzi ocenil - nebyl by to bezúčelný flame, ale pomohl bys mně (a dalším čtenářům) používat lépe počítače.

Konkrétně:

Logování

systemd-journald neumožňuje rotovat selektivně podle unit (nebo jakýchkoli jiných celků. Umí se odrotovat pouze celý.). Pokud se tedy nějaká unita zblázní a vygeneruje hromadu logů (populární u nás je zejména nastavit unitě nekonečný počet restartů každých 5 sekund, způsobit, že unita okamžitě po startu selže, ideálně třeba se zalogováním nějakého velkého tracebacku, a zapomenout na to), nelze s tím nic dělat. Nejde to odrotovat per unit, natož aby to šlo třeba přefiltrovat regexem a smazat řádky které regex matchuje.

To rotování funguje divně. Nerotuje to přesně podle času, ale nějak aproximačně podle celých journal files, které mají řádově desítky mega a obsahují třeba den logů. Takže jsem napsal journalctl --vacuum-time=1d a smazalo to logy asi od T-15 hodin, takže jsem přišel i o část dne, co jsem chtěl zachovat.

Další problém systemd-journald je, že je úplně absurdně velký a pomalý. Zkus si třeba journalctl | wc -c (na náhodně zvoleném počítači mi to teď vypíše 29 milionů) a du -sh /var/log/journal/ (152 MB). Čili ty slavné binární logy, u kterých se jako jedna z výhod uváděla velikost, ve skutečnosti zabírají 5x víc než textové, a to ještě nemluvím o možnosti textové gzipovat (tam pak ten poměr vychází někdy i 100x!). Stejně tak s pomalostí: napíšeš journalctl (nebo journalctl -u unita), zmáčkneš End protože tě zajímají poslední, a pokud je tam více než blbých ~20k řádek (podle výkonu počítače), tak čekáš. Když to je v textovém souboru, tak less provede seek na konec klidně gigabajtového souboru a zobrazí poslední řádky okamžitě.

S tím souvisí nedostatek základního toolingu - třeba i debilního prohlížítka. Když otevřu less /var/log/syslog a zmáčknu End, tak to dojede na konec. Když pak zmáčknu znova End (nebo snad i PageDown), tak to konec přenačte a ukáže mi to nové řádky. Nebo můžu zmáčknout F (follow, podobné jako tail -f) a ten less začne nové řádky automaticky scrollovat. Přitom ale stále můžu pomocí Page nebo šipek listovat, tj. není to ekvivalentní s journalctl -f, který jenom vytiskne posledních N řádek bez pageru.

Další nesplněné volební sliby o snazší archivaci a dalších věcech snad ani nemá cenu zmiňovat (extrahovat podžurnál pořádně nejde a není pořádně čím prohlížet).

Vůbec nechápu, kdo tohle proboha navrhoval a programoval, a jestli to ti tvůrci používají - vždyť z toho musí naprosto vylítnout z kůže. Já když jsme v našem stacku měli podobná vysírátka, tak mě to vždycky tak vytočilo, že jsem se pak jednou zavřel a několik dní jsem to zbytku týmu celé fixoval, aby to šlo používat. To ti lidi nepoužívají less? Jak se má journal používat, abych docílil výše uvedených věcí? Nebo lidi už lokální logy vůbec nečtou, všichni mají nějaké buzzwordy ELK, a čtou si to v tom?

Za mě by mnohem použitelnější bylo logovat do textových souborů, co unita to soubor(!), a toto rotovat logrotate. Asi někdy doladím nastavení aby to přesně tohle dělalo, nebo nevím…

Zastavení bootování v polovině

Řešil jsem to i tady. Pak to v Bullseye začalo fungovat, a teď to v Bookwormu zase fungovat přestalo. Na Arch wiki doporučují emergency mode úplně vypnout, ale já se bojím, že takový zásah bude mít nějaké další překvapivé a špatné následky (například bych nerad spustil systém s poškozeným FS, který se pak provozem ještě víc rozbije).

Další věc, co mě potkala, byla, že /etc/rc.local má defaultně nulový (nekonečný) timeout. Jenže dokud nedoběhne, tak to nespustí getty. Takže když v něm (nebo libovolné jiné službě, která musí naběhnout před targetem, který spouští getty) uděláte omylem nekonečnou smyčku, tak už se do systému nikdy nepřihlásíte. Nepodařilo se mi zjistit, jak udělat, aby se getty spustilo dříve.

Když už jsme u toho failování na základě selhaných FS, co jsem psal výše: taky jsem až udeřením reality zjistil, že nofail ve fstabu není nofail, unity furt mají depencence na tmp.mount atd. a když to selže tak nenaběhnou. Navíc to říká jenom "Dependency failed for OpenVPN tunnel" a ne která dependency, člověk musí mít doktorát ze systemd a vědět že má udělat systemctl list-dependencies openvpn-client.

Další zábavu s mountováním jsem řešil tady. Vypadá to, že v podstatě nejde dělat změna fstabu/mount unit za běhu a následně počkat na reboot aby se to aplikovalo.