Релиз systemd v38 c поддержкой Journal, замены системе syslog

Лор все больше и больше тупеет. Вот нахера вам сдались текстовые логи? На десктопе логи вообще почти не нужны, а если и нужны то на здоровье используй фирменную утилиту, не нравится она - используй библиотеку. Продакшн - храни логи на отдельном сервере и всякие юношеские фантазии про бэдблоки можно засунуть в жопу.

ну слава богу! пришел мессия и сказал, как нам жить дальше что бы мы без тебя делали?

Лор все больше и больше тупеет. Вот нахера вам сдались бинарные логи? На десктопе логи вообще почти не нужны, а если и нужны то на здоровье используй tail, cat, less, не нравятся они - используй grep, awk, sed, пиши скрипты на perl и python, наконец. Продакшн - храни логи на отдельном сервере и всякие юношеские фантазии про бэдблоки можно засунуть в жопу.

На десктопе логи вообще почти не нужны

А давай мы без тебя разберёмся. Точнее без твоих идиотских заявлений.

Вот нахера вам сдались текстовые логи?

Да-да, сегодня «нахера вам сдались текстовые логи?», завтра «нахера вам сдались текстовые конфиги?»… Что дальше выкинем? Файловую иерархию? /dev в пользу единого реестра?

Лор все больше и больше тупеет.

Но залетные наркоманы не дадут об этом забыть.

Лор все больше и больше тупеет.

И на твоем примере это отлично видно. ;)

Да-да, сегодня «нахера вам сдались текстовые логи?», завтра «нахера вам сдались текстовые конфиги?»… Что дальше выкинем? Файловую иерархию? /dev в пользу единого реестра?

Мудацкая «логика» из разряда «сегодня ты танцуешь джаз...»

Внимательно глазами прочитай для чего это делается, а не слушай высеры крикунов. Цели вполне благородные. Скажем парсить слабо формализованые текстовые логи регулярками на порядок сложнее и неудобней чем стандартизированный бинарный формат специальной утилитой. А при желании хоть из с json работать

Лор все больше и больше тупеет. Вот нахера вам сдались текстовые логи? ...

Они сильно комплексуют, когда кто-то пытается за них решать. Это не плохо. Но они-то сами пользы не приносят. Борцуны.

Вот если бы кто-то, вместо нанимания киллера для Потеринга, попытался сделать что-то глобальное и надёжное и убедить «решающих» в преимуществах своего поделия перед порреринговским, пропихнуть в апстрим... Было бы весело тут ржать опять. :)

Вот если бы кто-то, вместо нанимания киллера для Потеринга, попытался сделать что-то глобальное и надёжное и убедить «решающих» в преимуществах своего поделия перед порреринговским

А кто будет принимать решение о том, что лучше? Поцеринг? Ьлгда конец немного предсказуем.

Вот если бы кто-то, вместо нанимания киллера для Потеринга, попытался сделать что-то глобальное и надёжное и убедить «решающих» в преимуществах своего поделия перед порреринговским

А кто будет принимать решение о том, что лучше? Поцеринг? Ьлгда конец немного предсказуем.

Мантейнеры, отцы-основатели дистров, сообщество, спонсоры, в конце концов... Я же сказал: люди, принимающие решения. Не форумные тролли, не.

Цели вполне благородные.

В общем и целом, да. Но некоторые цели не обосновываются должным образом.

Скажем парсить слабо формализованые текстовые логи регулярками на порядок сложнее и неудобней чем стандартизированный бинарный формат специальной утилитой. А при желании хоть из с json работать

А здесь очень много вопросов к реализации. Утилиты у поттеринга выходят крайне неудобные и невнятные.

Мантейнеры, отцы-основатели дистров, сообщество, спонсоры, в конце концов...

Ну вот спонсоры и приняли. Вопрос только, какими критериями они руководствовались.

Ну вот спонсоры и приняли. Вопрос только, какими критериями они руководствовались.

Спонсоры руководствуются аргументами, предоставляемыми им технарями. Ну не нашлось никого, кто бы убедительно смог опровергнуть идеи Поттеринга. Где были вы, «наниматели киллера»?

Лор все больше и больше тупеет.

Вся надежда на Анонимуса.

Цели вполне благородные.

Может быть. Вот только реализует их Поттеринг, который ещё ничего до конца не доделывал.

Я же сказал: люди, принимающие решения.

Почему ты говоришь о Поттеринге во множественном числе?

А здесь очень много вопросов к реализации. Утилиты у поттеринга выходят крайне неудобные и невнятные.

При наличии библиотеки если не Поттеринг, то сообщество эти утилиты допишет/перепишет. Там работы очень мало даже без библиотеки. Сильно проще простейшей ФС. А учитывая возможность выводить в json, то из самого простого js/ruby/python/чтотоеще обработка превращается в удовольствие даже без переписаных утилит.

Парсинг обычных гиганских логов с попыткой найти вхождение за определенное количество дней, с фильтрацией части многострочных событий, когда каждому из них соответствует несколько записей сущий ад.

Спонсоры руководствуются аргументами, предоставляемыми им технарями.

Это в какой галактике?

А учитывая возможность выводить в json, то из самого простого js/ruby/python/чтотоеще обработка превращается в удовольствие даже без переписаных утилит.

Клево, сейчас делаем grep по текстовому файлу.

Завтра берем спецутилиту в которую встроен map/reduce и превращаем бинарную базу в текстовую в формате json, далее пишем спецскрипт на Python, которые это обрабатывает.

Парсинг обычных гиганских логов с попыткой найти вхождение за определенное количество дней, с фильтрацией части многострочных событий, когда каждому из них соответствует несколько записей сущий ад.

Мне так и не ответили, что мешает залить сислог в базу и обрабатывать данные уже в ней, зачем пихать базу в сам сислог?

Скажем парсить слабо формализованые текстовые логи регулярками на порядок сложнее и неудобней чем стандартизированный бинарный формат специальной утилитой.

Ты забыл добавить, что в «стандартизированный бинарный формат» будет содержать те же самые слабо формализованые текстовые логи, которые придётся грепать тем же самым грепом. А так всё «хорошо», ага.

При наличии библиотеки если не Поттеринг, то сообщество эти утилиты допишет/перепишет.

Назови причины, почему сообщество обязано убирать г. за Поттерингом?

будет содержать те же самые слабо формализованые текстовые логи, которые придётся грепать тем же самым грепом

Не, ну есть же чётко выделенные поля с датой, хостом и источником. Другое дело, что основной забавой в итоге оказывается разбор тушки сообщения, которую никто стандартизировать не собирается :)

Вот-вот.

Спонсоры руководствуются аргументами, предоставляемыми им технарями

Доо.

Ну не нашлось никого, кто бы убедительно смог опровергнуть идеи Поттеринга.

Shit happens.

Где были вы, «наниматели киллера»?

И в чем твой пойнт - «если вы не работаете в Redhat, вы не имеете права высказать свое мнение»?

Не, ну есть же чётко выделенные поля с датой, хостом и источником. Другое дело, что основной забавой в итоге оказывается разбор тушки сообщения, которую никто стандартизировать не собирается :)

In order to make entries recognisable to client utilities, journal entries may optionally carry a 128bit identifier in MESSAGE_ID=, set by the service generating the message. This ID shall be a randomly generated ID by the developer at development time. For example, there’s one ID for “User logged out” and another one for “User logged in”. All entries for these events will carry the respective 128bit ID thus making them easily recognisable, and implicitly indexed by them. It is a good idea to use IDs for this which are compatible with RFC4122 UUID of type 4, however this is not strictly required and not enforced. This is designed to be compatible with other logging systems which use UUIDs to identify message types, such as the UEFI firmware logs. Consider these 128bit IDs global error codes, that due to their randomized nature need no central standardization entity that assigns numeric IDs to specific message types. 

Ты действительно веришь, что это будет работать на практике?

Где были вы, «наниматели киллера»?

И в чем твой пойнт - «если вы не работаете в Redhat, вы не имеете права высказать свое мнение»?

Ну чо, болтать весело всегда, даже когда не прав. Альтернативное мнение - это почти геройство. Высказывай, тут можно. Только смысла нет.

Все ленартоненавистники должны собраться в кучу, и сделать свой красивый линукс. Но только им не до этого - всегда полно других забот, да. И РедХат тут не при чём.

Все ленартоненавистники должны собраться в кучу, и сделать свой красивый линукс.

А, то есть твой пойнт сводится к «спердобейся». Внезапно.

Все ленартоненавистники должны собраться в кучу, и сделать свой красивый линукс.

У тебя деструктивный подход. Линукс - труд многих людей, а не только ред хат и Ко. Но многие про это забыли, видимо. О чём, собственно, и весь разговор.

А, то есть твой пойнт сводится к «спердобейся». Внезапно.

Так было бы чего добиваться. Как программист, Леннарт - сама посредственность. Посади любого другого, может даже лучше бы получилось.

А, то есть твой пойнт сводится к «спердобейся». Внезапно.

Так было бы чего добиваться.

Pakostnik говорил, что леннартоненавистники должны сделать аж целый свой Линукс.

Ненавидят не Ленарта а то, что он делает. Причём по вполне объективным причинам. В угоду нескольким сомнительным преимуществам в жертву приносятся уже не первый год работающие (причём неплохо) системы, нарушается основной принцип UNIX: для каждого дела — своя программа, вместо этого лепится монолитный жуткий монстр, который благодаря выдающимся программистким навыкам Поетеринга ещё и безбожно глючит.

Pakostnik говорил, что леннартоненавистники должны сделать аж целый свой Линукс.

Придётся, если иного пути не останется. Впрочем, судя по Debian стал самым популярным дистрибутивом GNU/Linux на веб-серверах, от редхата уже и так бегут пользователи.

Ты действительно веришь, что это будет работать на практике?

Не очень. Думаю, что дистрибутивы, для которых это будет критично, будут патчить свои демоны для поддержки этих ID, благо патчи тривиальные.

нарушается основной принцип UNIX: для каждого дела — своя программа, вместо этого лепится монолитный жуткий монстр

А разве Linux - всё еще UNIX? Он уже давно что-то самостоятельное. Все ДЕ и прочие комбайны нуждаются в Потеринге, очевидно. :)

вместо этого лепится монолитный жуткий монстр

Ну, расскажи про монолитность PA.

Ненавидят не Ленарта а то, что он делает.

Его тоже есть за что ненавидеть. Клинический случай звёздной болезни имеет место быть. Да, кстати, если бы он это делал всё один, без поддержки редхат, то PA и systemd пылились бы где-нибудь на sf.net и ни кто про них даже бы и не вспоминал.

Придётся, если иного пути не останется.

И где же он? А то скоро везде один Поттеринг будет.

Ты забыл добавить, что в «стандартизированный бинарный формат» будет содержать те же самые слабо формализованые текстовые логи, которые придётся грепать тем же самым грепом. А так всё «хорошо», ага.

А потом ещё через какое-то время выяснится, что бинарный формат — это файл .tar.gz с переименованным расширением... :0

что бинарный формат — это файл .tar.gz с переименованным расширением..

Не, некошерно. Это будет какой-нить XML, работающий через xmllint (запросами через XQuery) и запакованный в tar.gz.

да лог вроде как не будет бинарным он будет с возможностью хранения бинарной информации... просто читать его как плэйн текст будет не удобно из-за вклинивания тэгов и массивов бинарных данных... ну и он обычно будет сжат но это не ново.

ну вот нифигаж в политике и эволюции не смыслите..

Закон создан изменяемым! это лучший из принципов говачинского закона.

Ты забыл добавить, что в «стандартизированный бинарный формат» будет содержать те же самые слабо формализованые текстовые логи, которые придётся грепать тем же самым грепом. А так всё «хорошо», ага.

Достаточно формализованный формат позволит в одну строчку реализовать сценарий типа «Выбрать все критические события источника foo со статусом bar начиная со времени x:y до времени y:x» без километровых нагромождений не читаемых регулярок. И это без привлечения грепа. Даже винда это давненько умеет стандартными командлетами из ps.

А какие немалые плюсы дает невозможность подделать запись.

Я ничего не имею против KISS, но употреблять его стоит только по месту. Скажем перфокарты тоже имеют немало плюсов перед более развитыми носителями - им не страшно излучение, вся программа сразу на ладони (тем более старый машинный код был гораздо проще). Отпатчить код можно при помощи скотча и ножа. А вот текстовые данные уже не читаемы. Современную программу тоже можно уместить на грузовике перфокарт, но минусы такого подхода будут многократно превышать плюсы.

начиная со времени x:y до времени y:x

Пиши лог в БД, в чем проблема?

критические события источника foo со статусом bar

Ага, все дружно кинулись переписывать демоны на новый API, намертво прибитый гвоздями к конкретной системе. Делать больше нехрен?

Ага, все дружно кинулись переписывать демоны на новый API, намертво прибитый гвоздями к конкретной системе. Делать больше нехрен?

Заменить вызовы сислога на другие смогут и мейнтейнеры.

Пиши лог в БД, в чем проблема?

С каких пор демоны поголовно научились писать логи в бд? Какие демоны из тех кто это умеют пишут в человеческом формате позволяющем не использовать полнотекстовый поиск? Смешно уже - чем это будет отличатся от по Леннартовской системы кроме разве что меньшей защиты данных в бд?

С каких пор демоны поголовно научились писать логи в бд?

демоны

писать логи

Ты точно головой ни обо что не бился? Или это ты коллективно все реализации логгеров так скастовал?

полнотекстовый поиск

Ты ж по дате хочешь выбирать, дурик. Какой, нахрен, полнотекстовый поиск для этого тебе нужен?

Заменить вызовы сислога на другие смогут и мейнтейнеры.

Бугага. А статусы критичности событий и прочие ключи, необходимые, для выборки без полнотекствого поиска тоже мейнтейнеры будут прикручивать к каждому демону? Ты бредишь.

Бугага. А статусы критичности событий и прочие ключи, необходимые, для выборки без полнотекствого поиска тоже мейнтейнеры будут прикручивать к каждому демону? Ты бредишь.

Малышка, EE WW и т.д. в том или ином виде умеют практически все. Дату-время - умеют все. Источник также. Чего тебе еще надо?

Ты ж по дате хочешь выбирать, дурик. Какой, нахрен, полнотекстовый поиск для этого тебе нужен?

Ты совсем дурочка? Если логи в плоском виде в каком они хранятся в текстовых файлах отправить в бд то потребуется. Если разбивать по полям то это уже почти Поттеринговская система, если добавить подпись, то уже полностью она.

статусы критичности уже есть в syslog'е, время он пишет сам, прочие ключи тоже будут в API

Малышка
Ты совсем дурочка?

Бабы не дают? Галлюцинации на базе спермотоксикоза?

EE WW и т.д. в том или ином виде умеют практически все. Дату-время - умеют все. Источник также. Чего тебе еще надо?

Если ты забыл аргументы вызова syslog(), man 3 syslog тебе поможет. Никакими произвольными ключами-индексами там и не пахнет. А без этого поттерлог теряет всякий смысл.

Если логи в плоском виде в каком они хранятся в текстовых файлах отправить в бд то потребуется. Если разбивать по полям то это уже почти Поттеринговская система, если добавить подпись, то уже полностью она.

Я щас тебе страшную вещь открою. Ты можешь индексировать записи по времени вызова syslog(), не меняя ни строчки кода ни в одном демоне. А еще ты можешь их индексировать по ident, facility и level. Только никому не говори, это секрет.

Правильно поставленный вопрос для твоей задачи звучит так: «какие реализации логгера могут писать в базу данных?» И в этом месте умный человек откроет гугл и напишет в строке поиска: rsyslog to db. И что он там увидит... О боже, что это?! Сходи, посмотри.

Поттерлог не нужен.

прочие ключи тоже будут в API

Ветку не читай @ сразу отвечай.

Достаточно формализованный формат позволит в одну строчку реализовать сценарий типа «Выбрать все критические события источника foo со статусом bar начиная со времени x:y до времени y:x»

select shit from table fuck where time и т.п.?

Дык это sql.

Рассмотрим другую возможность - сейчас можно логи перенаправить в другие каталоги/изменить права на чтение и запись на уровне системы (и какого-нить selinux'а). Если я верно понимаю, то подобная гибкость теряется, если у нас тупо одна база/реестр.

Отказоустойчивость снижается - допустим, как писали выше, потерялся кусок данных, на которые идет ссылка. И чего делать? Ну хорошо, потерял логи за день (что на самом деле нехорошо). А если за неделю?

Не зря туда ничего подобного не прикручивали много лет, хотя возможность была.

А потом - загадить один сервис, работающий с логами, легче, чем каждую прогу портить и искать что и где она хранит.

Если ты забыл аргументы вызова syslog(), man 3 syslog тебе поможет. Никакими произвольными ключами-индексами там и не пахнет. А без этого поттерлог теряет всякий смысл.

Принцессе так нужны производные? Тебе недостаточно уже имеющегося в syslog'е источника и критичности? Хорошо, пожалуй и я тебе открою секрет раз уж пошла такая пьянка - куча ПО умеет кастомные статусы, правда оно срет ими исключительно в текст сообщения. Куку!

месте умный человек откроет гугл и напишет в строке поиска: rsyslog to db. И что он там увидит... О боже, что это?! Сходи, посмотри.

И ктоже мне помешает скомпрометировать записи сислога в БД?

куча ПО умеет кастомные статусы, правда оно срет ими исключительно в текст сообщения

Вот я тебя и спрашиваю, дуралея, кто же возмётся переделывать все эти кустомные статусы на API поттерлога. Подсказываю ответ: да никто.

И ктоже мне помешает скомпрометировать записи сислога в БД?

Ну а поттерлог как обеспечивает гарантию того, что логгируемое сообщение пришло от настоящего httpd, а не от фейкового? Кинь ссылкой на описание механизма, что ль.

Ну а поттерлог как обеспечивает гарантию того, что логгируемое сообщение пришло от настоящего httpd, а не от фейкового? Кинь ссылкой на описание механизма, что ль.

systemd знает, кого запустил

А потом - загадить один сервис, работающий с логами, легче, чем каждую прогу портить и искать что и где она хранит.

Если сервис использует сислог, то искать ничего не надо, только заменить вызовы - остальное задачи логгера, если не использует - то совсем другой разговор.

Рассмотрим другую возможность - сейчас можно логи перенаправить в другие каталоги/изменить права на чтение и запись на уровне системы (и какого-нить selinux'а). Если я верно понимаю, то подобная гибкость теряется, если у нас тупо одна база/реестр.

Если я верно понимаю, то в любом случае лог будет разбит по разным файлам.

Отказоустойчивость снижается - допустим, как писали выше, потерялся кусок данных, на которые идет ссылка. И чего делать? Ну хорошо, потерял логи за день (что на самом деле нехорошо). А если за неделю?

Такое возможно, хотя за много лет ничего подобного не встречал - обычно собирал логи на отдельном сервере с несколькими массивами, т.к. объемы были огромные что не позволяло их хранить на тех же серверах что и само ПО. И я пока ни разу не встречал чтобы контрольная сумма бэкапов отличалась отличалась от оригиналов. В принципе в фс тоже могут потеряться текстовые логи от этого застрахуют только бэкапы.

systemd знает, кого запустил

Ага, значит «/etc/rc.d/blablabla restart» больше уже не проканает?

И я пока ни разу не встречал чтобы контрольная сумма бэкапов отличалась отличалась от оригиналов.

Отсюда вопрос: А нафуя тогда поттерлог нужен?

Может достаточно ^.*syslog*$ в песочницу поселить, плагин к BD и файлы журналов на шифрованую ФС?

systemd знает, кого запустил

Т.е. через cgoups. Всё ясно.

Ну и что мешает добавить поддержку получения cgroup-ы процесса в нормальный лог?

Ага, значит «/etc/rc.d/blablabla restart» больше уже не проканает?

Проканает только systemdctl blabla.

Ну а поттерлог как обеспечивает гарантию того, что логгируемое сообщение пришло от настоящего httpd, а не от фейкового? Кинь ссылкой на описание механизма, что ль.

Например, как уже написали идентификацией процесса займется systemd, но даже если вражина умудриться добавить новые поддельные записи, это не так страшно как если бы он смог удалить или изменить записи указывающие на вторжение

Вот я тебя и спрашиваю, дуралея, кто же возмётся переделывать все эти кустомные статусы на API поттерлога. Подсказываю ответ: да никто.

Рэдхат ядро не обламывается не то что патчить, но и разрабатывать, каноникл пилить вэйлэнды. Заменить конкатенацию строк в итоговом сообщении отправляющемся в сислог на запись поля с префиксом «_» - что может быть проще?

И вообще - я понимаю - ЛОР и все такое, но в более нормальных тонах общаться гораздо приятнее.

Может достаточно ^.*syslog*$ в песочницу поселить, плагин к BD и файлы журналов на шифрованую ФС?

Файлы журналов на шифрованой ФС не выход. Это ничем не защитит от модификации. Почитай наконец реализацию Поттеринга если не в исходниках, то хотябы информацию из блога

Файлы журналов на шифрованой ФС не выход. Это ничем не защитит от модификации.

??? 8-( ???

А типа когда исходники всех демонов в свободном доступе, перезапустить фейкнутый журнал-дэ и т.д., то от ЭТОГО поттералло защитит?

Почитай наконец реализацию Поттеринга если не в исходниках, то хотябы информацию из блога

Исходники посмотрел минуты две. Проблевался...

Блог читать не буду - не имею ни малейшего желания прибивать свои системы к какой-то конкретной системе гвоздями.

Например, как уже написали идентификацией процесса займется systemd,

Это таким гордым словосочетанием ты назвал запрос cgroup-ы у ядра?

но даже если вражина умудриться добавить новые поддельные записи, это не так страшно как если бы он смог удалить или изменить записи указывающие на вторжение

Слушай, ну как ты умудряешься придумывать проблемы на пустом месте? Если мы пишем логи в базу, то как — КАК? — вражина может до неё добраться? Вынеси её на другую машину, и всё.

Да даже если и на одной машине, и пишем в файлы, а не в базу. Запускай демоны в контейнере.

перезапустить фейкнутый журнал-дэ

Чиво? Как ты init перезапустишь?

Блог читать не буду - не имею ни малейшего желания прибивать свои системы к какой-то конкретной системе гвоздями.

Система совместима с сислогом. Никакими гвоздями ты ничего не прибьешь.

Не читал но осуждаю?

перезапустить фейкнутый журнал-дэ

Чиво? Как ты init перезапустишь?

(Ну, не init, а systemd...)

А! Че, все еще круче? Теперь если журнал-дэ наеб..лся, то система раком встанет? Или если журнал-дэ пакетом обновил, то «Пожалуйста, перезагрузите систему»???

AHTUNG! Микрософт атакует !!! ;-)

Слушай, ну как ты умудряешься придумывать проблемы на пустом месте? Если мы пишем логи в базу, то как — КАК? — вражина может до неё добраться? Вынеси её на другую машину, и всё.

Другая машина также может быть скомпрометирована.

Да даже если и на одной машине, и пишем в файлы, а не в базу. Запускай демоны в контейнере.

Это скорее костыль чем решение. Решение на уровне логгера видится более корректным

Система совместима с сислогом. Никакими гвоздями ты ничего не прибьешь.

А журналы из бэкапа? Если они в поттерлоге?

А журналы из бэкапа? Если они в поттерлоге?

То смотришь их утилитой, либо дампишь в привычный формат

Ну у тебя и криокамера. Читай:

systemd is a system and service manager for Linux, compatible with SysV and LSB init scripts. systemd provides aggressive parallelization capabilities, uses socket and D-Bus activation for starting services, offers on-demand starting of daemons, keeps track of processes using Linux cgroups, supports snapshotting and restoring of the system state, maintains mount and automount points and implements an elaborate transactional dependency-based service control logic. It can work as a drop-in replacement for sysvinit.

Т.е. это программа, которая заменяет init, всю скриптовую демоно-инициализирующую логику и чертову уйму демонов. Можешь представить, сколько в ней багов.

И теперь вот она еще заменяет и syslogd.

Я с интересом слежу, на какой демон положит глаз Поттеринг в следующий раз. pppd? dhcpcd? httpd? xdm? Интрига затягивается!

Если у тебя злоумышленник получил достаточные привелегии для доступа к файлам журнала, то тебе уже ничего не поможет. Против echo «хрен вам» > /var/log/logname любая математика бессильна.

Если у тебя злоумышленник получил достаточные привелегии для доступа к файлам журнала, то тебе уже ничего не поможет. Против echo «хрен вам» > /var/log/logname любая математика бессильна.

Это не пройдет незамеченым

Не, оно чего, init+syslog ??? Прямо докучи? Или раздельными процессами?

Не знаю, как в текущей реализации, но в первом анонсе вроде как обещали в одном процессе. Хотя в исходниках я вроде видел раздельный main() для journald. Мне лень ставить эту кучку отбросов, чтобы проверить.

То смотришь их утилитой, либо дампишь в привычный формат

Судя по исходникам, ЭТО вряд-ли можно будет куда-то спортировать

pppd?

Если поттеринг захочет его переписать - я его с радостью поддержу, ибо текущая реализация говно.

Я с интересом слежу, на какой демон положит глаз Поттеринг в следующий раз. pppd? dhcpcd? httpd? xdm? Интрига затягивается!

ntpd - чтоб враг время не поменял.

pppd?

Если поттеринг захочет его переписать - я его с радостью поддержу, ибо текущая реализация говно.

думаешь, в результате работы рекомого господина станет лучше?

думаешь, в результате работы рекомого господина станет лучше?

pppd так и просится в ядро. Скорости нынче слишком высокие для юзерспейса.

только пусть это сделает кто угодно другой.

Не знаю, как в текущей реализации, но в первом анонсе вроде как обещали в одном процессе. Хотя в исходниках я вроде видел раздельный main() для journald. Мне лень ставить эту кучку отбросов, чтобы проверить.

Я просмотрел исходники, судя по всему - отдельный процесс. Используется cgroups и какая-то инфа от systemd. Пока непонятно, что мешает подделать PID

PID разве не ядром выставляется на коннекте через unix socket?

PID разве не ядром выставляется на коннекте через unix socket?

syslog() вроде бы полностью в юзерленде, PID приходит как часть данных из /dev/log. У меня сейчас нет желания лезть в glibc чтоб проверить

При чем тут syslog() ? См getsockopt() , SO_PEERCRED.

Да, ты прав, используется SO_PASSCRED

Если не лучше, то как минимум чище.

ppp и так вроде в ядре.

syslog() вроде бы полностью в юзерленде, PID приходит как часть данных из /dev/log

С учетом того, что /dev/log это сокет, даже текущая реализация syslog с легкостью может определить реальны PID/UID отправившего сообщение.

С учетом того, что /dev/log это сокет, даже текущая реализация syslog с легкостью может определить реальны PID/UID отправившего сообщение.

Да, тогда непонятно, что имел в виду Поттеринг

Может достаточно ^.*syslog*$ в песочницу поселить, плагин к BD и файлы журналов на шифрованую ФС?

Тут выяснилось, что люди, которым нужен бинарный проиндексированный сислог не знают, как его запихать в базу, если демон сислога сам это не сделает... (возможно, кто-то знает, но они в этом обсуждении больше не появляются).

Я с интересом слежу, на какой демон положит глаз Поттеринг в следующий раз. pppd? dhcpcd? httpd? xdm?

sshd

только пусть это сделает кто угодно другой.

да вроде как сделали уже. Для роутеров есть ядерный модуль, но с усеченой функциональностью.

Я с интересом слежу, на какой демон положит глаз Поттеринг
в следующий раз. pppd? dhcpcd? httpd? xdm?

sshd

Да. Он сделает sshd доступным только для коннектов из локалки... а для первой версии с локалхоста. Интернет добавит позднее. Встроит в systemd, естественно.

Все дети (в том числе дети бородатые, родившие своих детей со своими девочками ) которые сейчас защищают бинарные логи будут писать кипятком от радости. Слетал в будущее, посмотрел коменты :

- Старый sshd это устаревшая технология и нужен только старперам1111

- Sshd ненужен, мы все сидим с десктопа в кдеешечке^W^W^W^W ой! - мы этого не говорили - юзаем ip kvm и вебадминки111

- ip kvm есть везде1111

- А у кого нет тот нищеброд и не энтерпрайз111

- Точно, либо ты сидишь за десктопом под вендой^W^W(ой!) либо у тебя энтерпрайз деплой, где вебадминка и ip kvm!!!

- Точно, остальные нищеброды. Крутой энтерпрайз сервер в датацентре и на нем не бывает бедблоков в бинарных логах (этот бородатый ребенок особенно восхитил меня свой юной непосредственностью)

Жжошь.