Byla vydána beta verze Linux Mintu 22.3 s kódovým jménem Zena. Podrobnosti v přehledu novinek a poznámkách k vydání. Vypíchnout lze, že nástroj Systémová hlášení (System Reports) získal mnoho nových funkcí a byl přejmenován na Informace o systému (System Information). Linux Mint 22.3 bude podporován do roku 2029.
GNU Project Debugger aneb GDB byl vydán ve verzi 17.1. Podrobný přehled novinek v souboru NEWS.
Josef Průša oznámil zveřejnění kompletních CAD souborů rámů tiskáren Prusa CORE One a CORE One L. Nejsou vydány pod obecnou veřejnou licenci GNU ani Creative Commons ale pod novou licencí OCL neboli Open Community License. Ta nepovoluje prodávat kompletní tiskárny či remixy založené na těchto zdrojích.
Nový CEO Mozilla Corporation Anthony Enzor-DeMeo tento týden prohlásil, že by se Firefox měl vyvinout v moderní AI prohlížeč. Po bouřlivých diskusích na redditu ujistil, že v nastavení Firefoxu bude existovat volba pro zakázání všech AI funkcí.
V pořadí šestou knihou autora Martina Malého, která vychází v Edici CZ.NIC, správce české národní domény, je titul Kity, bity, neurony. Kniha s podtitulem Moderní technologie pro hobby elektroniku přináší ucelený pohled na svět současných technologií a jejich praktické využití v domácích elektronických projektech. Tento knižní průvodce je ideální pro každého, kdo se chce podívat na současné trendy v oblasti hobby elektroniky, od
… více »Linux Foundation zveřejnila Výroční zprávu za rok 2025 (pdf). Příjmy Linux Foundation byly 311 miliónů dolarů. Výdaje 285 miliónů dolarů. Na podporu linuxového jádra (Linux Kernel Project) šlo 8,4 miliónu dolarů. Linux Foundation podporuje téměř 1 500 open source projektů.
Jean-Baptiste Mardelle se v příspěvku na blogu rozepsal o novinkám v nejnovější verzi 25.12.0 editoru videa Kdenlive (Wikipedie). Ke stažení také na Flathubu.
OpenZFS (Wikipedie), tj. implementace souborového systému ZFS pro Linux a FreeBSD, byl vydán ve verzi 2.4.0.
Kriminalisté z NCTEKK společně s českými i zahraničními kolegy objasnili mimořádně rozsáhlou trestnou činnost z oblasti kybernetické kriminality. V rámci operací OCTOPUS a CONNECT ukončili činnost čtyř call center na Ukrajině. V prvním případě se jednalo o podvodné investice, v případě druhém o podvodné telefonáty, při kterých se zločinci vydávali za policisty a pod legendou napadeného bankovního účtu okrádali své oběti o vysoké finanční částky.
Na lepší pokrytí mobilním signálem a dostupnější mobilní internet se mohou těšit cestující v Pendolinech, railjetech a InterPanterech Českých drah. Konsorcium firem ČD - Telematika a.s. a Kontron Transportation s.r.o. dokončilo instalaci 5G opakovačů mobilního signálu do jednotek Pendolino a InterPanter. Tento krok navazuje na zavedení této technologie v jednotkách Railjet z letošního jara.
Přestože většinu pracovního času trávím jako programátor, jsem i admin – jednak je potřeba na něčem ten software provozovat a jednak mě GNU/Linux baví a chci věnovat i této činnosti. Nainstaloval jsem už řadu serverů (desktopy nepočítám) a chci v tom mít aspoň trochu nějaký systém.
Přiznám se ale, že nepoužívám nástroje typu Puppet nebo obrazy disků, které by stačilo naklonovat a dokonfigurovat skriptem. Tyhle postupy si nechám pro případ, že budu někdy instalovat farmu serverů stejného typu. Důvod je ten, že moje servery bývají dost jedinečné – běží v jiném prostředí, pro někoho jiného, je na nich jiná distribuce nebo její verze, slouží k jinému účelu… I když tu mám např. několik e-mailových serverů, dost se liší. Další věc je, že se snažím hledat ideální řešení, MD RAID, šifrování disků, LVM, XFS, Btrfs a další souborové systémy, konfigurace Apache, Nginxu, Dovecotu… a tenhle ideál se i v čase mění, podle toho, jak se dotyčný software vyvíjí a dozrává. Snažím se tu konfiguraci dělat líp než minule, což ale vede k tomu, že každý server je jiný.
Některé činnosti jsou ale společné, a tak vznikl tento seznam věcí, které je dobré udělat s každým strojem:
AbcLinuxu.cz
ITBiz.cz
HDmag.cz
AbcPráce.cz
/etc pomocí Mercurialu (+ úloha do cronu)/etc/fstab vytvořeného instalátoremA jaký je váš seznam?
Tiskni
Sdílej:
30.3.2014 15:14
Jendа | skóre: 78
| blog: Jenda
| JO70FB
nosplash nomodeset a odebrat parametr quiet (proč to tam proboha všichni dávají?!)
30.3.2014 15:36
Bystroushaak | skóre: 36
| blog: Bystroushaakův blog
| Praha
Stroj, který po jednom přerušeném bootu zůstane navždy viset v GRUBu, fakt potěší. Jak tohle mohl někdo udělat jako default?Ah, díky. Tohle mě pálilo docela dlouho.
/etc používáš přes etckeeper? Pokud ne tak doporučuji.
30.3.2014 18:38
xkucf03 | skóre: 49
| blog: xkucf03
Zatím ne 
Verzovat jsem to začal ručně, ještě než jsem o nějakém etckeeperu věděl, a pak nebyla až taková motivace na něj přejít. Prostě dám hg commit -m "co jsem změnil" a hotovo Ten cron je tam pro jistotu, kdyby se v tom šťoural někdo jiný, kdo na to není zvyklý, tak se to aspoň zaverzuje jednou denně automaticky.
Když nad tím tak přemýšlím, tak jsem tu historii zatím nikdy nepotřeboval… Ale hodně užitečné je znát, co se změnilo od poslední verze – když zjistíš, že služby s novou konfigurací nenabíhají, tak to nemusíš ve stresu přepisovat zpátky a dáš prostě jen hg revert nebo přes diff snadno zjistíš, které řádky je potřeba opravit.
Možná ho zkusím. Dokáže se ujmout /etc, ve kterém už .hg je a začít ho používat?
31.3.2014 00:25
xkucf03 | skóre: 49
| blog: xkucf03
Jak je to vychová? Může jim etckeeper nějak zabránit v editaci konfiguráků a neverzované správě systému?
Když už někdo ty změny zapomene zdokumentovat (udělat hg commit), tak mi přijde lepší, když se to zaverzuje aspoň automaticky jednou denně a víme, kdy se to zhruba změnilo (a podle logů možná i kdo to změnil), než mít nashromážděných spoustu nesouvisejících změn třeba za měsíc, kdy si konečně někdo vzpomene, že by se mělo verzovat.
Dokud se nazakomituje, tak nejde přes aptitude atd. instalovat/updatovat/zrušit žádný balíček. Zároveň je zajištěné, že se nesmíchají změny způsobené automatickou instalací do jednoho commitu s lokální změnou. Pokud je pak někde uložený
aptitude search '?installed?not(?automatic)' \
| sed -n -e 's/^i[ \t]\+\([^ \t]*\)[ \t].*$/\1/p' >packages
a ideálně je git automaticky pushovaný na záložní server, tak restaurace systému odpovídá
aptitude install `cat packages`
a projití nebo přímo naaplikování změn, které nebyly automatické. Problém jsou nastavení provedené přes dialogy během automatické instalace/zamíchají se s masivními změnami a pohyby souborů v etc. Proto sám vždy odklepávám default a teprve po dokončení instalace končící automatickým commitem znova vyvolám dpkg-reconfigure na dané balíčky a změnu pak pěkně vidím samotnou a s odpovídajícím popisem ji commituji.
Jako vše, i tento postup má své mouchy, na hodně podobných serverů bych i já asi přešel na puppet tak, jak to dělá náš správce serverů. Ale pokud se jedná o počítač který využívá (včetně doinstalace SW) více soudných a znalých lidí (dříve i rootfs pro laborky) a správu udělá ten, který změnu potřebuje, tak je etckeeper ideální. Spravovali jsme takto v podstatě ve třech systém pro laboratoře roky a chodilo to dobře. Vše bylo dokumentované a i při přechodu správce IT na puppet z commitů většinu relativně komplikovaných konfigurací dostal - distribuovaný rootfs s úpravami práv, autentizací proti různým serverům po škole, skripty pro speciální režim při bootu stroje ve virtuálu jako externě dostupná brána pro studenty atd. V etc. virtuálního serveru pak doprava NFS za NATy jednotlivých učeben, licenční servery. Vlastní hostitel všeho pak měl také určité množství úprav, ale o ten se staral již téměř výhradně správce (Aleš Kapica). Každý z těch, co úpravy podle aktuálních potřeb řešili pak měl ve svém profile nastavené GIT_AUTHOR_NAME a GIT_AUTHOR_EMAIL a názvy těchto proměnných byly v sudo env_keep. Takže po přihlášení na server a sudo nebo i chrootu do distribuovaného rootfs za sebou každý nechával v commitech době čitelnou stopu. Jasně, že když by chtěl, tak mohl podvádět a vydávat se za někoho jiného, ale opravdu nejsme malé děti, aby jsme si přidělávali práci, té skutečně tvořivé máme už teď tolik, že by nám stačila do důchodu.
Ale zpět k tomu tlaku na pořádek, když něco potřebuji nainstalovat a správce balíčků tvrdohlavě trvá na tom, že se nejdříve musí změny nacommitovat, jinak pracovat nebude, tak je to dobrá motivace. A i kdyby se vše mezi dvěma automatickými updaty od správce balíčků vložilo i jen do jednoho commitu, který se však od automatických pozná, tak je to pokrok. Zároveň tam zbude jméno, takže lze osobě vyčinit za to, že necommitovala po logických celcích. A vzhledem k tomu, že při vývoji SW v desítkách, možná stovce a více gitů, co používáme, musíme nějakou kulturu dodržovat, jinak by se nám projekty zcela rozpadly a nikdo by o naši práci nestál, tak ta trocha slušného chování při správě serverů není problém. A jasně, když není věc urgentní, tak jí dělá správce nebo se dohodne, kdo třeba pro hlubší znalosti o daném problému, věc otestuje, zkusí podle svých časových možností vyřešit, a pak změny zakomituje a časem informuje ostatní. I když teď už je to pravdu na těch veřejnějších službách spíš věc správce, protože se nám alespoň z pohledu potřeb výuky podařilo dojít k řešení, které koncepčně roky drží a lze adaptovat i na zvěrstava a omezení, která nám připraví různé specifické požadavky -- distribuce bootu do laborky pro jiné předměty zcela izolované od veřejné sítě atd.
2.4.2014 13:51
xkucf03 | skóre: 49
| blog: xkucf03
30.3.2014 22:44
Jendа | skóre: 78
| blog: Jenda
| JO70FB
Nebo tu mám nějaký chybný předpoklad?Myslím, že máš chybný předpoklad, že server musí nabootovat bez lidské interakce. V nejjednodušším případě je šifrované vše kromě jádra a initramdisku. V initramdisku je ssh server, na který se ty nebo automat připojí a zadá klíč. Zloděj, který server ukradl, data nedostane. Pokud ale dokáže se serverem nepozorovaně manipulovat a pak ho zase spustit, aby si toho nikdo nevšiml, může do initramdisku například vložit backdoor, který mu zadaný klíč pošle. Nebo si může z initramdisku zkopírovat klíče a udělat Mrkva-in-the-middle.
30.3.2014 22:59
xkucf03 | skóre: 49
| blog: xkucf03
Jen na některých serverech nebo virtuálech… Je to prakticky neřešitelný problém. Význam to má hlavně pro případ běžné krádeže, reklamace disku nebo méně schopného útočníka.
Mám například jednoho KVM hostitele a trvale (uvnitř) zasunutou flashku a hostitel + jedna virtuálníá mašina nastartuje automaticky ze šifrovaného oddílů (klíč je na té flashce). Další VMs a data jsou na jiném úložišti, které musí být odemknuto (buď vzdáleně, nebo prostým zasunutým jiné flashky).
Význam šifrování, i když je klíč součástí stroje, to má jen pro reklamaci či další putování daného disku/ů.
K tomu prvnímu, bych doplnil, udev pravidla na MAC a zakázání NM (a jeho případné vypnutí), něco jako:
NM_CONTROLLED=no BOOTPROTO=none PEERDNS=no USERCTL=no
K tomu sedmému: nastavení barev PS1.
K tomu jedenáctému: /tmp do paměti a doplnění relatime
A doplnil bych:
rhgb ;))
31.3.2014 12:39
Heron | skóre: 53
| blog: root_at_heron
| Olomouc
V podstatě +- stejné, až na:
firewall zakazující všechno, kromě explicitně uvedených služeb
Osobně mám za cíl nemuset mít firewall žádný, tedy mít nainstalované pouze služby, které musí být dostupné (jejich porty by se ve fw stejně povolily) a zbytek, pokud je nutný, mít nastavený třeba přes unix socket apod. Potom není fw potřeba, povoloval by vlastně stejně vše, co na daném portu poslouchá. Myslím si, že při dobře nastavených a zabezpečených službách není fw potřeba.
instalace základních nástrojů (mc, htop, emacs, java, pv, socat… podle využití serveru)
Od tohoto jsem upustil. Každý server má jiné využití a jinou sadu "základních nástrojů", je tedy zbytečné je tam instalovat dopředu. Jak bude potřeba, on si je admin stejně během pár sekund nainstaluje. Tzn. každý z těch serverů po čase dokonverguje k nějaké vlastní sadě nainstalovaných nástrojů.
…které musí být dostupné (jejich porty by se ve fw stejně povolily)Některé(většinu) služby instaluji, ale porty neotvírám - je třeba si ssh-tunelovat ANEBO jsou porty na fw povolené jen odněkud či někam.
Od tohoto jsem upustil.Nechtělo se mi to komentovat, ale taky tak, začnu s naprostým minimem a u každého nově instalovaného balíku se krátce zamyslím „opravdu je to třeba!?“.
31.3.2014 17:19
xkucf03 | skóre: 49
| blog: xkucf03
To je pravda, nesmí se to přehánět, ale třeba ten mc a htop jsem zvyklý mít všude. Stejně tak pv se dříve či později hodí. Naopak tu Javu nemám všude (taky tam píšu podle využití serveru). Editor je otázka osobních preferencí…
31.3.2014 23:12
Jendа | skóre: 78
| blog: Jenda
| JO70FB
Některé(většinu) služby instaluji, ale porty neotvírám - je třeba si ssh-tunelovatProč je nenecháš poslouchat jen na loopbacku?
To můžu taky, (jako dvojitá ochrana). Ale jinak mi přijde flexibilnější to řídit na fw „odkud na co“.
A taky se cítím klidnější, bo pokud jsem danou službu blbě nastavil neprojde to přes fw.Každý server má jiné využití a jinou sadu "základních nástrojů", je tedy zbytečné je tam instalovat dopředu.Záleží na tom, o jakých nástrojích tu mluvíme. Třeba instalovat tcpdump, abys zjistil, proč ti nejde síť, když ti nejde síť...
Problém nastáva, keď má na serveri viac ľudí konto. Síce nič na porte nižšom ako 1024 nespustia, pokiaľ neuhádnu heslo na root-a, ale na ostatných portoch môžu spúšťať čo len chcú, pokiaľ to neobmedzíš pomocou FW.V podstatě +- stejné, až na:
firewall zakazující všechno, kromě explicitně uvedených služebOsobně mám za cíl nemuset mít firewall žádný, tedy mít nainstalované pouze služby, které musí být dostupné (jejich porty by se ve fw stejně povolily) a zbytek, pokud je nutný, mít nastavený třeba přes unix socket apod. Potom není fw potřeba, povoloval by vlastně stejně vše, co na daném portu poslouchá. Myslím si, že při dobře nastavených a zabezpečených službách není fw potřeba.
/etc/apt/apt.conf.d/20recommends
APT
{
Install-Recommends "false";
};