LINUX.ORG.RU

Systemd 194, теперь с HTTP-сервером и генератором QR-кодов

 


3

3

Выход очередной версии init-демона systemd продолжает радовать пользователей новыми встроенными функциями.

В частности:

  • опция HandleSleepKey в logind.conf была разбита на HandleSuspendKey и HandleHibernateKey, старая опция более не доступна;
  • почти полностью удалена утилита multi-seat-x, минимальная обертка оставлена до тех пор, пока DM не начнут поддерживать новую логику перечисления графических устройств Xorg;
  • nspawn теперь создает символическую ссылку /etc/localtime в окружении контейнера;
  • исправлено поведение при отсутствии /etc/vconsole.conf, теперь в этом случае не будет загружаться никакой шрифт;
  • journald теперь пишет в лог максимальный размер, который файлы журнала могут занимать на диске;
  • опция параметра journalctl -n теперь необязательна и по умолчанию равна 10;
  • journalctl -f теперь реагирует на изменение размеров терминала и разбивает строки соответственно;
  • новая опция --cursor в journalctl позволяет выводить записи начиная с определенного места журнала;
  • добавлена поддержка journalctl для bash-completion.

Но две функции привлекли особое внимание. Их заметили пользователи федоры, которые при обновлении обнаружили, что systemd теперь зависит от libmicrohttpd и qrencode. Это стало причиной активно продолжающегося обсуждения в рассылке.

Оказалось, что обе функции связаны с journald — собственной заменой syslog-демона, как известно, входящей в состав systemd. Среди прочего, он отличается тем, что ведет логи в бинарном виде вместо текстового.

Зависимость от qrencode объясняется реализацией функции Forward Secure Sealing, journalctl из состава systemd использует qrencode для вывода QR-кодов в текстовой консоли.

А поскольку логи хранятся бинарно, для работы с ними нужны дополнительные программы. Зависимость от libmicrohttpd вызвана тем, что в состав systemd теперь входит встроенный http-сервер journald-gateway, умеющий отдавать логи в текстовом и json-формате. Его основное предназначение автор видит в синхронизации журнала по сети.

Так выглядит http-сервер journald-gateway в действии

>>> Леннарт про FSS и QR-код

anonymous

Проверено: JB ()
Последнее исправление: Silent (всего исправлений: 3)

Ответ на: комментарий от anonymous

десктоп + 4 nVidia

ок, покажи мне хотя бы десяток инженеров, которые себе собрали домой такие десктопы и на них дома работают

autonomous ★★★★★
()
Ответ на: комментарий от autonomous

Так мы тут внезапно начали говорить про потребности большинства юзеров? Идеал это неттоп/моноблок для домашнего использования + консольки с большим теликом для игр и фильмов + платшет чтобы посёрфить/книжку почитать (+ электронная книга для дороги) + (суб)ноут для дороги + хороший смарт. Однако реальность такова, что БОЛЬШИНСТВО ЮЗЕРОВ не могут позволить себе такого количества быстроустаревающих гаджетов, поэтому они единожды вкладываются в мощный десктоп, который безболезненно расширяется малой кровью в течении 5-7 лет, на котором они могут играть, смотреть фильмы, сёрфить, работать, учиться и всё-всё-всё.

p.s. это уже оффтопик, либо заводи новую тему либо закругляемся.

anonymous
()
Ответ на: комментарий от autonomous

Заканчивай передёргивать и быть непоследовательным, сначала ты говоришь про работу и офисы, я тебе отвечаю, ты соглашаешься, но ВНЕЗАПНО теперь ты уже говоришь про домашние ПК.

anonymous
()
Ответ на: комментарий от FreeLiver

А что делать в наших широтах долгими зимними вечерами?

я книжки читаю или фильмы смотрю

покажите мне приставку с графической системой уровня HD 7970 или GF 680?

я почти уверен, что на fullhd телевизорах оно будет выглядеть также как и приставка, а если нет разницы, то зачем платить больше? играть на мониторах я не люблю, потому что нужно сидеть в кресле и вобще он маленький. мы тут с одним товарищем уже флеймили на эту тему очень подробно, если тебе интересно можешь поискать у меня в каментах наш тред. мне просто скучно повторять то, что я уже писал когда-то, а ты говоришь примерно тоже самое, что и он :)

autonomous ★★★★★
()
Ответ на: комментарий от Binary

профита вагон

например?

пришел домой, достал из сумки ноут и у тебя десктоп, собираешься на работу взял ноут и пошел, для меня это основной и максимальный профит. иметь один компьютер для всего это очень удобно.

autonomous ★★★★★
()
Ответ на: комментарий от anonymous

Так мы тут внезапно начали говорить про потребности большинства юзеров?

разговор начался с того, что десктоп умирает, а умирать он может только из-за не популярности у большинства юзеров.

БОЛЬШИНСТВО ЮЗЕРОВ не могут позволить себе такого количества быстроустаревающих гаджетов, поэтому они единожды вкладываются в мощный десктоп, который безболезненно расширяется малой кровью в течении 5-7 лет, на котором они могут играть, смотреть фильмы, сёрфить, работать, учиться и всё-всё-всё.

нет, большинство юзеров как раз-таки покупают частично весь этот набор гаджетов, исходя из среднемесячного заработка. а мощный десктоп собирают 1.5% нищебродов или люди, не понимающие в компьютерах, но ориентирующиеся на мнение авторитетного в компьютерной теме знакомого нищеброда.

autonomous ★★★★★
()
Ответ на: комментарий от anonymous

Заканчивай передёргивать и быть непоследовательным, сначала ты говоришь про работу и офисы, я тебе отвечаю, ты соглашаешься, но ВНЕЗАПНО теперь ты уже говоришь про домашние ПК.

если тебе вдруг будет не сложно, расскажи цепочку нашего общения, а то я мог действительно перейти с какой-то другой темы, но в этом треде я вроде говорил только о том, что десктоп не нужен и не популярен сейчас.

autonomous ★★★★★
()
Ответ на: комментарий от autonomous

Ваше «всё», оно слишком расплывчатое. Я вот дома на десктопе (он подключен к телевизору) смотрю фильмы и развлекаюсь, для этого наоборот лучше с работой ничего не иметь, там всякие удобные DE для других пользователей, которые с моим рабочим awesome бы не подружились. Так что нужна конкретика, этот же аргумент можно легко обратить в другую сторону.

Опять же, дома есть и другие пользователи, которым нужен компьютер в моё отсутствие. При нынешних хороших сетях я и не замечаю неудобств, когда мне вдруг надо поработать дома, зато я не таскаю с собой здоровенный ноут, а могу принести домой вместо этого веса продуктов, например.

В общем, аргумент весьма расплывчатый.

Binary ★★★★★
()
Ответ на: комментарий от autonomous

что не так с конфигурацией i7/8Гб/nvidia-3Гб/2Тб? это сейчас чуть выше стандартного железа для ноутов.

фигасе «чуть выше». i7 и 8 гиг мозга - чуть не топ из топов.

anonymous
()
Ответ на: комментарий от autonomous

хотеть смотреть как ты будешь играть в rts или fps на приставке

anonymous
()
Ответ на: комментарий от autonomous

Оторвись от городов-миллиоников, стань поближе к народу. Хочу посмотреть на тебя с зарплатой в 10-15к и как ты будешь напокупать себе техники))

anonymous
()
Ответ на: комментарий от autonomous

А просто ради интереса - ты можешь себе представить, что мусор выбрасывается непосредственно в мусоровоз, которые приезжает 6 раз в неделю в фиксированное время?) и никаких совсем контейнеров для мусора

anonymous
()
Ответ на: комментарий от autonomous

i7/8Гб/nvidia-3Гб/2Тб

это будет переносной девайс который можно носить только с кухни в комнату. Большой и неудобный как мобильное устройство. И опять же не имеющий плюсов перед десктопами :) Проще запустить задачу на десктопе и пойти с планшетом на кухню.

Lennier ★★★★
()
Ответ на: комментарий от vasily_pupkin

Никакая схема не работает на скомпрометированной системе, это очевидно. Единственный кейс валидации - на доверенной системе

поэтому очевидно, что сначала надо было делать отправку логов на независимую систему (что уже давно сделано в логгерах, отличных от journal), а потом уже прикручивать к ним FSS, но это же не NIH, поэтому надо сделать наоборот.

собственно если вы действительно умеете читать и понимать английский язык, то раз в 15 минут предлагается генерировать новую пару ключей, и отсылать открытый ключ куда-нибудь (по дефолту на консоль, может быть потом добавят отправку их по сети), предыдущую пару же удалять. логи оказываются защищенными только те, что были подписаны предыдущим ключом, те же что подписаны текущим - не защищены, поэтому взломщик просто удалит записи из логов о своей активности за последние 5 минут, и никто никогда не узнает о взломе.

единственный профит - если с момента начала взлома и до момента когда взломщик решит почистить логи пройдет больше 15 минут, то либо в логах останутся записи о том что начался взлом (не факт, что явно указывающие на факт взлома), либо лог подменят и при проверке выявится, что подписи не совпадают (но для этого сначала надо сделать отправку ключей по сети, а не как сейчас).

maloi ★★★★★
()
Ответ на: комментарий от autonomous

Спорить действительно бесполезно, каждый останется при своем мнении. В моем конкретном случае покупка приставки не имеет смысла. Видеокарта покупалась чтобы освоить OpenCL, а игры так приятный небольшой бонус. ИМХО просмотр фильмов и игры одинаково бесполезны.

FreeLiver ★★★
()
Ответ на: комментарий от autonomous

нет, большинство юзеров как раз-таки покупают частично весь этот набор гаджетов, исходя из среднемесячного заработка. а мощный десктоп собирают 1.5% нищебродов или люди, не понимающие в компьютерах, но ориентирующиеся на мнение авторитетного в компьютерной теме знакомого нищеброда.

Хм... 1.5% нищебродов это те кто мониторы в 30 дюймов считает минимальнодопустимыми? :))

x86_64 ★★★
()
Ответ на: комментарий от tailgunner

очень многие умеют и читать, и понимать прочитанное, и делать на основании этого выводы.

только среди пораженных баттхертом противников Поттеринга таких почему-то нет

anonymous
()
Ответ на: комментарий от anonymous

среди пораженных баттхертом сторонников - тоже, как это легко заметить.

против пульса я, например, ничего не имею против, против systemd как такового - тоже (sysvinit много чего не умеет без костылей, а много чего не умеет и с костылями, сам ставил upstart на не-убунту, когда ещё никаких системд не было). а вот затея с переписыванием всего и вся (начиная от системы журналирования и заканчивая слиянием с udev) лично для меня дурно попахивает.

maloi ★★★★★
()
Ответ на: комментарий от maloi

лично для меня дурно попахивает

ну помойся что-ли - если разработчики дистрибутивов ничего такого не чуют, то вероятнее всего это ты обосрался, а не они

anonymous
()
Ответ на: комментарий от anonymous

пока только арчешкольники ничего не чуют. разработчики же всех остальных дистрибутивов никуда не торопятся, а разработчики других систем линукса - открыто заявляют, что тот же journal - велосипед, без которого замечательно все работало бы.

maloi ★★★★★
()
Ответ на: комментарий от maloi

пока только арчешкольники ничего не чуют

Еще раз говорю тебе - помойся. Fedora, OpenSUSE, Mageia. И да, твой баттхерт еще не повод обвинять авторов Arch в непрофессионализме.

anonymous
()
Ответ на: комментарий от anonymous

Fedora, OpenSUSE, Mageia

если бы Fedora не приняла у себя поделие работника RedHat - это был бы полный фейл. Суся в последние годы как-то ничего особо не делает, Mageia так вообще только стараниями некромантов живее BSD.

не удивлюсь, что и те и другие сейчас только и делают, что переименовывают федоровские пакеты (ну и поддерживают в более-менее рабочем свои ясты и прочие конфигураторы)

maloi ★★★★★
()
Ответ на: комментарий от maloi

не удивлюсь, что и те и другие сейчас только и делают...

Вот ведь как у борцунов с Поттерингом всё просто - все кругом путины, одни они дартаньяны в белом которые Знают Как Надо... правда почему-то не делают... но причина наверняка весомая :-D

anonymous
()
Ответ на: комментарий от anonymous

вот ведь у фанатов Леннарта все просто - если не одобрил хоть одно его дело - значит борцун с ним.

я не против него, и не против некоторых вещей, которые он написал (и сейчас пишет). но я против некоторых других вещей, взглянув на которые начинает казаться, что он имбецил, но почему-то как только на них указывают - находится кучка фанатов, которые только и знают, что повторять «сам дурак» и «сперва добейся».

maloi ★★★★★
()
Ответ на: комментарий от maloi

находится кучка фанатов, которые только и знают, что повторять

О, теперь значит разработчики Fedora, OpenSUSE, Arch, Mageia уже «кучка фанатов» потому что вместо «взглянуть» у них разобраться, а вместо «впечатления» - реальная разработка. Нет, имбецил тут всё-таки ты.

anonymous
()
Ответ на: комментарий от maloi

собственно если вы действительно умеете читать и понимать английский язык

Ну да, у меня вроде получается

vasily_pupkin ★★★★★
()
Ответ на: комментарий от autonomous

нетбуки это такие дорогие куски херового железа

9 килорублей - это не так уж дорого. Особенно если сравнить с топовыми высерами, не говоря уж про соней

ноут должен быть размером не более 13-дюймов и не больше 1.5 кг весом(желательно вместе с зарядкой), для стационарной работы покупается док-станция и монитор. и это супер удобно и явно дешевле, чем ноутбук+десктоп

полная фигня, уже так юзал. проще хард таскать с portable-прогами. имхо лучше и проще нетбук+хард+десктоп. и еще - 13 дюймов это ппц, а не ноут. перенедобук, скажем так. размер и юзабельность от нетбука, цена от обычного ноута.

автокад это супер дорогой, профессиональный софт, который у нас принято использовать как чертилку. стоимость годного ноутбука по сравнению со стоимостью владения автокадом не существенна. то есть нужен автокад, юзай ее на рабочем хорошем компе, зачем оно в линуксе на личном ноутбуке?

автокад для меня, к счастью, пока бесплатен (студент). По поводу последнего предложения - я собственно и юзаю его на нормальном рабочем компе, а не на ноуте. так что слегка не понял к чему эта фраза.

upcFrost ★★★★★
()
Ответ на: комментарий от autonomous

отвечаю не на ответ мне, но все-таки

я не знаю в каких сферах ты работаешь, но я лично в офисах вижу 90% ноутбуков и 10% десктопов

а лично я вижу во всех наших офисах 3-4 ноута и полсотни десктопов. Причем ноуты обычно один у админа, один у директора филиала и еще один у его зама. и это, кстати, довольно крупная (относительно) сеть медклиник в москве

upcFrost ★★★★★
()
Последнее исправление: upcFrost (всего исправлений: 1)
Ответ на: комментарий от anonymous

пока только арчешкольники ничего не чуют

Еще раз говорю тебе - помойся. Fedora, OpenSUSE, Mageia. И да, твой баттхерт еще не повод обвинять авторов Arch в непрофессионализме.

Во-первых, Леннарт — не программист, а рекламщик-маркетолог. Уже несколько раз обращали внимание на то, что почти все его посты выглядят так, словно он пытается продать всучить вам своё поделие. А реклама — это такая штука, на которую всегда велись очень многие. Свои мозги имеют далеко не все, а придумать лучшее решение могут единицы. Так что не надо удивляться, что многие ведутся на рекламные слоганы леннарта. Вон, федоравцы уже повелись на слияние / и /usr, теперь сами не рады, но делать нечего, отменить его тяжелее, чем оставить как есть.

Во-вторых, в Fedora оно есть потому, что там его разработали. RedHat-овцы строят собственный vendor lock-in, и они заинтересованы в том, чтобы другие покупали у них обучающие курсы и техподдержку их систем.

Очевидно, что они заинтересованы и в том, чтобы другие тоже переходили на их продукты. Сам подумай, если все перейдут на systemd, то изучать его придётся так или иначе, но самая стабильная и актуальная версия — всегда у RedHat, так чьи продукты будут использовать?

Всякие opensuse, mageia и arch не имеют своих разработчиков. У них нет своих идей, и самостоятельно поддерживать продукты они не могут, так что им приходится использовать чужие. Они просто плетутся в хвосте за тем, за кем плестись легче всего. А за redhat идти легко — просто пересобираешь их исходники с их же патчами, и ничего больше делать не надо.

Не веришь? Тогда попробуй вспомнить, когда последний раз они внедряли что-нибудь новое, такое, чего ни у кого нет. Вон, Ubuntu постоянно что-нибудь новое делает, всякие upstart, unity, ubuntu software center — это среди первого, что приходит в голову. Debian-у, как и многим, не хватает опытных мейнтейнеров/девелоперов, но они тоже работают, потихоньку пилит собственную систему запуска и многоархитектурность, не имеющую аналогов (но дебиан — это отдельная интересная история, единственный в мире старейший абсолютно не зависящий ни от кого дистрибутив). Даже BSDшники, после того, как их прилично опустили крупные игроки, начали шевелиться. Ну и Gentoo тоже старается, они как-никак что-то вроде BSD, но с линуксом. А что интересного можно рассказать про Mageia? Даже какие-нибудь Mint или AltLinux и то поживее будут.

anonymous
()
Ответ на: комментарий от anonymous

Вот ведь как у борцунов с Поттерингом всё просто - все кругом путины, одни они дартаньяны в белом которые Знают Как Надо... правда почему-то не делают... но причина наверняка весомая :-D

Осень пришла. А дураков почему то в дурку не отвозят. Видать совсем плохо с медициной в РФ.

anonymous
()
Ответ на: комментарий от anonymous

ну наконец-то ты осознал что именно не так с

Я так понимаю, анонимный гуру криптографии сейчас мне все объяснит?

jackill ★★★★★
()
Ответ на: комментарий от anonymous

О, теперь значит разработчики Fedora, OpenSUSE, Arch, Mageia уже

Fedora-то понятно, а остальным нужен HAL. И самим пилить не хочется.

jackill ★★★★★
()
Ответ на: комментарий от maloi

против пульса я, например, ничего не имею против

Если бы он работал... Вот сегодня я хотел вырубить микрофон на ноуте. Поставил mute, а он продолжает работать. Что характерно, alsamixer прекрасно его вырубает.

Что сделали авторы пульса, чтобы добиться такой «работы»?

jackill ★★★★★
()
Ответ на: комментарий от anonymous

Ведь целью и было не допустить незаметную модификацию логов.

Что помешает злоумышленнику заставить программу, отправляющую лог в journal-systemd, не отправлять лог о его действиях, после чего передернуть, скажем, время, чтобы journal снес нафиг свои логи, сгенерил заново пару кодов и продолжил с чистого листа?

Ведь systemd не наблюдает за crc файлов конфигурации/бинарников.

Задача злоумышленника проникнуть в систему, сделать то, что ему нужно и сделать так, чтобы на него обратно не вышли, по возможности не поднимая шума.

Допустим, логи начали подделывать (после того, как трахнули всю машину), systemd как будет оповещать админа?

По-моему задача защиты логов некоей мегакриптосистемой надумана. Заметим, г-н Поттеринг не взломщик. Однако занимается той областью, в которой не соображает.

jackill ★★★★★
()
Ответ на: комментарий от vasily_pupkin

ЩИТО?!1

Рекомендую к прочтению мануал о том, как завести эту хрень на ubuntu. Версия, если не ошибаюсь, 11.10.

jackill ★★★★★
()
Ответ на: комментарий от jackill

лично у меня он работает всегда. если хочется обсуждать его неработу - идите с любителем поттеринга анонимусом в отдельную тему и там обсуждайте.

maloi ★★★★★
()
Ответ на: комментарий от jackill

да никто ничего не объяснит, фанатики вообще ничего не поняли, но поскольку написано много - решили что написано нечто умное, и теперь защищают свой фетиш.

maloi ★★★★★
()
Ответ на: комментарий от autonomous

покупается док-станция

увы, к докстанциям(настоящим) подключаются в основном только унылые «бизнес-модели ноутов»

anonymous
()
Ответ на: комментарий от jackill

Ведь целью и было не допустить незаметную модификацию логов.

Что помешает злоумышленнику заставить программу, отправляющую лог в journal-systemd [...]

Причем тут systemd? В оригинальном комментарии речь шла о том, что наиболее надёжным является обычная классическая схема с обычным syslog-ом, копия которого отправляется на выделенную машину по сети. Такая схема позволяет автоматически обнаруживать модификации логов, то есть незаметно изменить логи в таких случаях не получится, что и было целью.

Этой схеме уже чуть ли не пара десятков лет и к systemd она отношения не имеет. Как раз systemd/journald эту схему не поддерживает.

anonymous
()
Ответ на: комментарий от jackill

Ну там был нюанс - все крутилось в ovz контейнере. пульса все делает в юзерспейсе - ее можно вообще без ядерных компонент использовать.

farafonoff ★★
()
Ответ на: комментарий от jackill

Криптография не сводится к открытым и закрытым ключам. Например, тебе выдали закрытый ключ x. Пусть y=md5(x) - первый ключ подписывания. Следующий может быть md5(y+salt) и так далее. Владелец ключа x может проверить любую подпись, а имея любой из промежуточных ключей ничего сделать нельзя.

farafonoff ★★
()
Ответ на: комментарий от anonymous

Учитывая что в сислог можно срать без авторизации - логи на резервной машине можно подделать - например через iptables закрыть отдачу логов на машине 1, в это время посылая фейковые логи на машину 2. логи на машине 1 естественно подчищать. Тогда скрипт ничего не заметит, аларма не будет.

farafonoff ★★
()
Ответ на: комментарий от anonymous

для инитскриптс может уже быть сервис с номером x+1, тогда получишь неопределенный порядок запуска. Если тебе нужно что-то после поднятия сети - привязывайся к событиям NM.

farafonoff ★★
()
Ответ на: комментарий от jackill

Если бы он работал... Вот сегодня я хотел вырубить микрофон на ноуте.

Номер багрепорта или не было.

anonymous
()
Ответ на: комментарий от anonymous

opensuse, mageia и arch не имеют своих разработчиков.

Может он не дурак, просто из другой вселенной к нам залетел? А то в нашей-то и у Arch полно разработчиков, и Поттеринг отличный программист.

anonymous
()
Ответ на: комментарий от sergv

отлаженную сеть раздачи слоно^Wисходников херят не создав новой - типа, ну еще-ж полгода есть, оно-ж само вырастет. А пока даже тестовые сервера, которые текущие исходники на собирабельность проверяют, чекаут сделать не могут.

Создали SVN. CVS остаётся в работе до выхода 10-RELEASE.

gcc на clang меняется даже без причесывания портов - типа оно само починится

Большая часть портов приведена в соотвествие для сборки Clang'ом. Есть ряд портов, которые не собираются Clang и об этом известно.

в портах вместо работавшей системы условной сборки на WITH/WITHOUT запилили OPTIONS_NG, в которой так и не могут добиться нормальной батч-сборки по заранее выставленным условиям для конкретного хоста

Опции WITH/WITHOUT в /etc/make.conf до сих пор использую. Про batch-сборку ничего не скажу, так как использую portinstall из portupgrade для установки заранее сконфигурированных (тут использую portmaster) портов по списку, затем разгребаю проблемы с несобравшимися портами руками.

отставание на десктопе за счет отсутствия поддержки видеоадаптеров и проч. достигло уже эпических величин

Intel никогда не делала графических адаптеров, у неё только «затычки», которые поддерживаются только Linux (с ихними GEM/KMS). С графикой от NVIDIA и AMD у FreeBSD всё хорошо: она работает идеально.

крупные конторы типа Яндекс/Рамблер/Яха тихо отползают в сторону линукса. Как следствие качество сетевого стека упало катастрофически.

В последних версиях FreeBSD сосредоточились на 10 ГБ адаптерах. ;) Однажды написанные драйверы потерей качества не страдают.

iZEN ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.