ОколоITшный дыбр #68
... Как работает "нормальный классический" линуксовый демон. Форкается init-ом из-под рута, читает конфиги, открывает порты, сбрасывает привилегии и работает. Как работает Java-демон. Один раз запускается виртуальная Java-машина, и всё. Из-под кого её запустил, из-под того и запустил. В общем случае "уронить" привилегии она уже не может. Получается, что и конфиги должны быть доступны как минимум на чтение тому же самому непривилегированному пользователю. То есть нет возможности "разделить секреты" между администратором системы и эксплуатирующим её. Ну и плюс, если прилжение взломают, то принципиально смогут прочитать и все его конфиги тоже. Нехорошо.
Выходом, конечно, может стать какой-нибудь Hashicorp Vault и иже с ними, но это всё дополнительные сущности и настройки. "По-старинке с яблоками было как-то проще". ©
... Можно направить выхлоп консоли виртуалки на обычный tty0 и псевдовидеокарту. А можно на ttyS0 (в последовательный порт). Во втором варианте появляется дополнительное удобство: из гипервизора можно делать копипасту, можно не таскать за собой VNC / Spice. Но при этом если машинка свалится в Kernel Panic, то отладочных сообщений на последовательном порту ты уже не увидишь, ибо вывод небуферизованный: их никто не будет хранить до момента когда ты подключишься к гипервизору чтобы поглядеть что случилось. Интересно, можно ли как-то "и на ёлку влезть, и руки не поцарапать".
... На просторах GitHub-а обнаружились ещё две интересных софтинки: раз, два. Первая примечательна тем, что легко и быстро собирается в том числе и под форточки т.к. имеет минимум зависимостей, не жручая до CPU / RAM, работает как обычный Socks5-прокси и умеет автомагически "на лету" перебирать методы колдунства для достижения нужного результата. Вторая более крутая, тормозная, замороченная, но её автор сам любезно собрал бинарники под наиболее распространенные архитектуры OpenWRT, поэтому с её установкой справятся даже котики (у меня лапки, да). Так что у софтинки из прошлого поста есть вполне достойные альтернативы, тем более что последняя на сегодняшний день пока что не умеет в IPv6 и QUIC. Но вероятно, это будет исправлено в следующих версиях.
... Во, мне как раз нужен такой сервис. "Выносной" SMTP с проверкой от спама, который потом перекидывает полезные письма на другой почтарь. Но 18 баксов в год, да ещё и в недружественную_страну™ башлять... Буду экспериментировать со всякими Chasquid + rspamd. Если получится запустить на виртуалочке с гигом "мозгов", это будет интересно.
... Попробовал тут перезаписать KVM-виртуалку на удаленном хостинге путем "dd | gzip | ssh" с локального заранее подготовленного образа. Получилось. Просто забавный опыт, не более того. Ну не нравилось мне как у хостера был диск размечен. А теперь всё как мне нравится.
... Оказывается, нонче на Rust-е аж почтари пишут. Много ж воды утекло с тех пор, как я всерьёз щупал MailCow. Надо бы попробовать что ли если время будет. Интересно.
... Готовый набор ansible-плейбуков для администрирования Debian и Ubuntu. "И не надо ничего знать, только плейбуки запускать". © Вот так и становятся рукожопами DevOps-ами.
... И вообще, я набрел на очень приятный сайт с удобными категориями on-premise ПО. Странно, как я не увидел его раньше? Однозначно в закладки.
... Не знаю пока зачем, но тоже в закладки, чтобы потом не потерять. Может когда-нибудь пригодиться. Легковесный ID Manager "Kanidm". ЧСХ, тоже на Rust-е.
... В Ебипте собираются строить "водородный" небоскреб аж за гигабакс. Интересно, почему именно там, как будто более культурных цивилизованных мест на планете нет. Будет зело залипательно поглядеть как эта вундерхалупа красиво начнет гореть, на жидком водороде-то. Особенно зная как в Ебипте относятся к технике безопасности, сам не раз видел.
Всем бестравматичных залазов на ёлку и пожаробезопасных офисов.