Влом писать новость. Вот Changelog:

Security

T6776: zabbix-agent affected by CVE-2023-32728 (RCE via S.M.A.R.T. plugin)
T6783: Update vyos-http-api-tools for package Starlette security advisory
T6935: Update vyos-http-api-tools for package python-multipart security advisory

New features and improvements

T6362: Add a conntrack/translations logger daemon
T6424: ipsec: op-mode command to generate client profiles should honor common name of the CA node that signed the server certificate
T6452: Add missing QoS Op Mode Commands
T6454: Explicitly set the default reverse proxy mode to HTTP
T6462: wireless: add op-mode command for hostapd and wpa_supplicant logs
T6477: Adding Loki plugin to Telegraf
T6500: openconnect: add support for new multi ca-certificate CLI node
T6505: Support VXLAN VLAN-VNI range mapping in CLI
T6537: Include hostname in the reboot/shutdown warning messsage
T6538: Allow adding a geneve interface to the vrf.
T6539: Add logging options to load-balancer reverse-proxy
T6555: Add server-bridge options to OpenVPN server
T6561: show ntp is not vrf aware
T6566: op-mode: "monitor bandwidth" add support for listing all interfaces concurrently
T6575: op-mode: ntp: add support for NTP service restart via CLI
T6576: op-mode: ntp: add support for NTP service restart via CLI
T6599: ipsec: support disabling rekey of CHILD_SA
T6668: op-cmd: show mac-sec details encrytion info
T6681: IPv6 SLAAC: Option to suppress Interval advertisement on RA packet
T6693: WiFi: Enable WiFi6 (IEEE 802.11ax) for 2.4GHz AccesPoints
T6701: Add support for disabling built-in DNS for containers
T6727: lldp: missing input validation for interface names
T6751: Missing Well Known Communities in Command Completion
T6759: Add additional languages as keyboard-layout
T6875: Make it possible to release an 'active' IP address from DHCP server leases
T6908: Avahi: add option to define mdns-repeater max-cache entries

Bug fixes

T6332: IPv6-only ISIS (or, in general, dual topology) is not working with other devices running frr
T6379: "generate openvpn" uses "comp-lzo no", which leads to problems on Android-Clients
T6401: Attempts to delete vlan-to-vni option causes an unhandled exception
T6407: ipsec profile generation error
T6425: WiFi: Beamformer support for 802.11ac (VHT at 5GHz) is broken
T6429: bug - isis metric-style not applied configuration
T6431: monitor traceroute broken VRF support
T6453: GRUB variables with = in a value are parsed improperly
T6460: Showing DHCPv6 leases can fail due to DUID parsing issues
T6463: reverse-proxy: service not reloaded when updating SSL certificate via PKI
T6464: sstpc: interface not restarted when updating SSL certificate via PKI
T6473: bgp: missing completion helper for peer-groups inside a VRF
T6475: WALinuxAgent crashes in Azure
T6480: PermissionError: [Errno 13] Permission denied: '/config/auth/letsencrypt/live/..../cert.pem
T6484: Smoketest fails: fastnetmon killed due to OOM
T6486: Generate openvpn client-config ignores configured protocol type
T6503: Command 'restart ssh' not working
T6519: interfaces: 20-to-21 -> migration fails if new system has less ethernet interfaces
T6523: Error: "nft table ip vyos_filter not found" when commiting prometheus-client
T6536: Config migration does not work as expected when update from 1.3.2 to 1.4.0 (with NAT with wildcard and sysctl parameters)
T6544: vyos_net_name locking logic is broken
T6559: vyos-configd should return commit error on config dependency error
T6578: Unhandled exception in "show openconnect-server sessions"
T6584: Revert addition of Linux Kernel MT7921 driver
T6592: Changing VRF on interface fails
T6593: Release DHCP interface does not work
T6594: IPoE-server extended-scripts do not work
T6597: wireless: hostapd occationly gets deactivated via systemd and causes loss in connectivity
T6600: ospf: smoketest "router ospf' not found in" for ldp sync
T6602: interfaces: verify supplied VRF name on all interface types
T6603: vrf: nftables conntrack ct_iface_map contains multiple identical entries
T6605: ConfigError() behavior is wrong with running vyos-configd
T6610: Missing minisign pub key from image
T6617: ipsec: remote access VPN: "generate ipsec profile ios-remote-access" wrong profile for x509 auth
T6618: ipsec: remote access VPN: "generate ipsec profile windows-remote-access" broken
T6626: show dhcpv6 server leases fails
T6638: QoS CAKE config with PPPoE interface does not load after reboot
T6642: verify_interface_exists should not instantiate its own Config object
T6643: IP Address range in firewall rules throws error
T6646: 1.3.8 to 1.4.0 config migration fails due to conntrack ignore rule
T6658: Fix typo in write_file util
T6667: Problems with simultaneous usage of multiple vtysh processes
T6671: Confid dependency works incorrectly for conntrack and conntrack-sync
T6672: ssh-client source-interface CLI option failing with traceback
T6676: Invalid route-map caused bgpd to crash
T6682: show vpn ike sa peer always shows all SAs
T6702: Podman 4.9.5 is missing "podman.sock" service socket
T6715: date: manually changing time/date is not synced into hardware clock
T6719: syslog: fix the behavior of syslog global preserve-fqdn
T6757: Source address for RADIUS auth is not working in OpenConnect server
T6858: syslog: remote syslog broken after "add format option to include timezone in message"
T6860: Display the EULA in "run show license"
T6865: DHCP server op-mode sometimes does not show leases
T6866: babel: can not set IPv6 distribution-list in access-list6 format
T6878: The conntrack logger daemon continues running after its configuration is deleted
T6911: VyOS fails to commit if all elements of NTP service configuration are deleted
T6912: Build package script misses dependencies
T6920: multicast: static multicast routing throws TypeError
T6923: Debian security repository URLs are not overwritten correctly in the image build script
T6937: Schema generation broken in 1.4.1 due to missing import in op-mode script

Other resolved issues

T6423: Require command definition nodes that have an owner to also have a priority
T6446: Display the support URL from image build data in LTS builds
T6471: Add an optimized get_config_dict for op-mode
T6524: Rewrite "release dhcp interface <interface>" to Python to drop remaining Perl dependencies
T6598: Unexpected podman version 4.3.1
T6614: Initial support for smoketesting op-mode commands
T6653: Generate a build/manifest.json file after assembling the image(s)
T6859: Include EULAs in build type definitions
T6877: Add a script for merging flavor files
T6879: Add a build procedure for amazon-cloudwatch-agent
T6903: Make vyos-1x repo URL in vyos-build a configurable parameter

Подробности

i3 wm, xorg.

Добавил в статусбар кучу индикаторов, выводящихся в результате проверки path_exist, и у меня всё не вмещается на экран.

Получается что-то типа:

a: yes|b: no|c: yes|d: yes|e: no

хотя можно было бы вывести разными цветами:

a|b|c|d|e

Вопросы:

• можно ли донастроить i3status, что бы вместить больше информации?
• чем заменить i3status (+ возможно, i3bar, если он не будет поддерживать то, что будет выдавать другой генератор статуса)?

Это нормально для debian’a, не фиксить RCE в редко используемых пакетах?

Узнал об этом из блога VyOS

Есть текст

111, 555!

и текст «222,» в буфере (")

Курсор стоит на пробеле (после запятой).

Что нажать, что бы, после вставки текста из буфера, курсор вернулся обратно на то же место?

Кнопка Delete расположена в стороне от основных клавиш - приходится отрывать руки «фыва олдж», что бы её нажать. Хочется её перебиндить Delete на что-нибудь более доступное, например на Shift+Backspace или на Ctrl+H.

В man 7 xkeyboard-config решения не нашёл. Клавиатура не программируемая (не QMK/VIA).

Есть идеи?

1. что почитать, что бы понять структуру памяти Linux?

2. подскажите, что использует ОЗУ в конкретном случае. Система либо ловит OOM’ы (если включить overcommit), либо приложение «не работает» (подробности надо уточнять). Приложение — набор скриптов (python + что-то на go) для выкачивания видеоархива на подключенный по cifs ресурс. VM — моя, приложение запускает сторонний пользователь.

Итак, у нас тут есть 11055 Мб available и 4619 Мб free. Как понять, где закопаны 11055-4619=6436 Мб ОЗУ?

# free -m
               total        used        free      shared  buff/cache   available
Mem:           11990         934        4619           1        2024       11055
Swap:           7405          88        7316

Вот meminfo:

# LC_NUMERIC=ru_RU.UTF_8 cat /proc/meminfo | egrep -v ':\s+0 kB' | awk '{for(i=1;i<=NF;i++) if ($i ~ /^[0-9]+$/) $i=sprintf("%'\''d",$i/1024); print}'  | sed 's/ kB$/ MB/' | column -t 
MemTotal:         11 990      MB
MemFree:          4 626       MB
MemAvailable:     11 068      MB
Buffers:          53          MB
Cached:           1 630       MB
SwapCached:       0           MB
Active:           3 111       MB
Inactive:         3 483       MB
Active(anon):     158         MB
Inactive(anon):   27          MB
Active(file):     2 952       MB
Inactive(file):   3 456       MB
Unevictable:      24          MB
Mlocked:          24          MB
SwapTotal:        7 405       MB
SwapFree:         7 316       MB
Dirty:            0           MB
AnonPages:        201         MB
Mapped:           64          MB
Shmem:            1           MB
KReclaimable:     346         MB
Slab:             456         MB
SReclaimable:     346         MB
SUnreclaim:       110         MB
KernelStack:      8           MB
PageTables:       5           MB
CommitLimit:      19 395      MB
Committed_AS:     1 340       MB
VmallocTotal:     33 554 431  MB
VmallocUsed:      51          MB
Percpu:           80          MB
HugePages_Total:  0           
HugePages_Free:   0           
HugePages_Rsvd:   0           
HugePages_Surp:   0           
Hugepagesize:     2           MB
DirectMap4k:      251         MB
DirectMap2M:      12 036      MB

Вот RSS:

# ps -eo rss,exe --sort -rss | egrep -v '^\s+0' |  awk '{ sum += $1 } END { print sum/1024 " MB" }'
479.848 MB

Вот VSZ:

# ps -eo vsz,exe --sort -vsz  | egrep -v '^\s+0' |  awk '{ sum += $1 } END { print sum/1024 " MB" }'
3336.46 MB

PS: команды выполнялись с интервалом до 2 минут, поэтому цифры могут чуть-чуть различаться.

Что ещё показать/посмотреть?

Вопрос не для холивара, а для расширения кругозора.

Люди, знающие и Debian и RHEL (и клоны) и сознательно выбирающие бесплатные клоны RHEL, почему вы это делаете?

[1] Я использую то, что лучше знаю (RHEL) / привык / так у нас принято и т.д.
[2] Я использую специфический функционал (какой?), которого нет в Debian.
[3] У RedHat лучше документация, чем у Debian.
[4] У моего дистрибутива (какого?) дольше поддержка.
[5] В целом мой дистрибутив (какой?) лучше работает — в Debian плохо работает (что именно?), а в моём дистре — хорошо.

Варианты, когда поставили что-то коробочное (например, развернули oVirt на голое железо), а под капотом - клон RHEL, не рассматриваются. Интересуют именно случаи осознанного выбора.

Вопросы:

1. С точки зрения производительности: выключать его или нет?

2. Если не выключать, то сколько vCPU давать гостям минимум: по 1 или по 2?

3. Какие есть подводные камни?

4. Ещё: кто-нибудь делает CPU pinning? Если да, то в каких случаях и что это даёт?

Информация:

• Гости: 80% windows, 20% linux.
• Используемые CPU: Xeon E5-2650, Xeon Gold 6154, Xeon Gold 6326

Примечание:

• Возможная эксплуатация уязвимостей при помощи HT в данной теме не рассматривается.

У меня вылезает ошибка при сборке zfs-2.2.1 на ядре 6.1.0-13-rt-amd64:

ERROR: modpost: GPL-incompatible module zfs.ko uses GPL-only symbol 'migrate_disable'
ERROR: modpost: GPL-incompatible module zfs.ko uses GPL-only symbol 'migrate_enable'

Issue открыта с 2020 года.

Может быть, кто-нибудь осилил собрать модуль?

Помогите разобраться - не выставляется foldmethod через modeline.

Пишу в конце файла:

# vim: foldmethod=marker

Открываю файл, проверяю:

:set foldmethod?
foldmethod=manual

(а должен быть foldmethod=marker)

Конфиг:

set modeline
set modelines=1

Обновление с nvim 0.9.0 до nightly не помогло.

% vim --version            
NVIM v0.10.0-dev-20dd9f3
Build type: RelWithDebInfo
LuaJIT 2.1.1697887905
Run "nvim -V1 -v" for more info

Прочие настройки (filetype, например) — через modeline работают.

Есть идеи?

Подскажите, в Linux (Debian 12) есть какой-то слой кеширования DNS-ответов?

У меня регулярно возникают ситуации, когда программы на ноуте после подключения к интернету не могут связаться с хостами по DNS-имени (при том, что резолвер успешно резолвит эти DNS в IP). Такое состояние длится полминуты-минуту. Как сократить этот таймаут до нескольких секунд?

Пример:

В /etc/resolv.conf прописан DNS-сервер (локальный pdns_recursor)

% cat /etc/resolv.conf
# Generated by NetworkManager
nameserver 127.0.0.1

Он успешно резолвит ya.ru:

% dig ya.ru @127.0.0.1

; <<>> DiG 9.18.19-1~deb12u1-Debian <<>> ya.ru @127.0.0.1
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 41416
;; flags: qr rd ra; QUERY: 1, ANSWER: 2, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 512
;; QUESTION SECTION:
;ya.ru.                         IN      A

;; ANSWER SECTION:
ya.ru.                  600     IN      A       77.88.55.242
ya.ru.                  600     IN      A       5.255.255.242

;; Query time: 272 msec
;; SERVER: 127.0.0.1#53(127.0.0.1) (UDP)
;; WHEN: Sat Sep 30 17:26:59 MSK 2023
;; MSG SIZE  rcvd: 66

Но при этом:

% ping ya.ru                   
ping: ya.ru: Name or service not known

Имеется ноут с Intel HD Graphics 520 и 3 монитора. Иногда я смотрю полноэкранное видео на одном мониторе и что-то деалю на другом.

Глюки такие: картинка показывается то нормальная, то та, что показывалось на этом мониторе секунду назад. Потом снова показывается нормальная картинка, потом снова «старая». И так с интервалом около секунды.

Иногда глючит, иногда нет. Сейчас специально пытаюсь воспроизвести — не получается.

Что это и как лечить? Куда копать? Какую информацию ещё дать?

Конфиг мониторов:

$ xrandr --listmonitors
Monitors: 3
 0: +*eDP1 1920/280x1080/160+1562+1440  eDP1
 1: +DP1 1920/510x1080/290+2560+360  DP1
 2: +HDMI1 2560/600x1440/340+0+0  HDMI1

Система:

• Debian 12,
• amd64,
• ядро 6.1.0-10-amd64
• xserver-xorg-video-intel: 2:2.99.917+git20210115-1

Использую эту штуку: https://github.com/jlu5/bookmarksync

Есть решение лучше?

Куда заливать скриншоты и т.д.?

Посоветуйте что-нибудь адекватное.

Перемещено hobbit из general

Часть клавиш перестают работать, вместо Up — нажимается PrintScreen и т.д.

После перезапуска иксов проблема перестаёт проявляться.

Началось это пару недель назад. Было уже раз 10-15. Каждый раз симптомы одинаковые (не работают одни и те же клавиши, вместо Up жмётся PrintScreen и т.д.).

Накидайте идей, пожалуйста — как найти источник проблемы.

Система: Debian 11/xorg/i3wm.

Хочу найти сообщения с «xapp-gtk3-module». Находятся «ibus-gtk3», «libcanberra-gtk3-module» и т.д.

Пробовал брать искомый текст в кавычки (двойные и одинарные) — не помогает.

Как искать точную фразу при помощи поисковика LOR?

Добрый день!

В процессе работы системным администратором / руководителем ИТ-отдела накоплено большое кол-во информации. Значительная часть её хранится в wiki (движок dokuwiki).

Информация, как правило, слабоструктурированная (записывается в стандартизированном виде пользователями — по мере их желания и возможностей; местами в информации откровенный бардак). По мере роста кол-ва и сложности информации, недостаток структурированности начинает мешать. Так же, появляется необходимость программного доступа к информации (например, получить список компьютеров и серверов для генерации ansible_inventory).

Мне нужен совет — как подойти к хранению информации (какие системы для этого использовать и как).

Я сейчас рассматриваю несколько направлений развития хранения информации:

1. Допиливание wiki (например, там есть плагин struct)
2. Использование wiki + PlanFix (это типа конструктора CRM; мы его используем для HelpDesk и задачника) — там можно создать необходимый объем справочников. Тут плюс в том, что можно будет эти объекты использовать в HelpDesk.
3. Использование набора CMDB (например: GLPI + RackTables) + wiki для неструктурированной информации (статей, инструкций и т.д.). Тут вопрос в том, где хранить информацию, которая не вмещается в те же «GLPI + RackTables».
4. Использование системы, позволяющей быстро менять (расширять) структуру данных (без программирования). Может быть, что то типа Airtable или Notion.

Какие есть соображения на этот счёт? Каким путём лучше пойти?

Если говорить про систему, то требования такие:

• self-hosted
• web
• наличие api (желательно и для чтения, и для изменения/добавления объектов)
• разграничение прав доступа
• история изменений записей
• open source
• желательно, но не обязательно, бесплатно.

Перемещено hobbit из general

Как это лучше делать?

Придумал пару способов:

1. посмотреть HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Installer\Products\136562B9D859B514995235EDCE343ED1\SourceList\Media\1
2. посмотреть версию драйвера (в данном случае, стоит virtio 0.1.185):

PS C:\> Get-WMIObject Win32_PnPSignedDriver | select DeviceName, DriverVersion, Manufacturer | where {$_.DeviceName -like "*Red Hat*"}

DeviceName                      DriverVersion    Manufacturer
----------                      -------------    ------------
Red Hat VirtIO Ethernet Adapter 100.82.104.18500 Red Hat, Inc.

Какие ещё есть варианты? Как надёжней определять версию?

Был проект, который организует что-то типа raid’a файлового уровня с возможностью отключения части носителей. Почти час уже ищу :)

Нашёл workadound — может кому пригодится.

Я некоторое время мучался с не всегда срабатывающими хоткеями в i3wm. То PrintScreen не запускает скриншотилку, то Win+E запускает файловый менеджер (который у меня в i3 повешен на Win+D).

Оказалось: okular (я им PDF просматриваю) запускал /usr/bin/kglobalaccel5, который уже и начинал «хулиганить».

Решение было найдено таким образом:

sudo lsof -c Xorg | grep ".log" # find out the path for the Xorg log file

xdotool key XF86LogGrabInfo # prints all Xorg registered grabs

sudo grep grabs /var/log/Xorg.0.log 
# смотрим, кто-же перехватывает нажатия,
# грохаем их по-одному,
# проверяем, заработали ли нужные горячие клавиши

Отключение запуска kglobalaccel5:

sudo mv /usr/share/dbus-1/services/org.kde.kglobalaccel.service /usr/share/dbus-1/services/org.kde.kglobalaccel.service.disable

killall /usr/bin/kglobalaccel5

Ссылки:

• https://unix.stackexchange.com/questions/261371/how-do-i-find-out-what-program-owns-a-hotkey
• https://unix.stackexchange.com/questions/551346/kde-prevent-kglobalaccel5-from-starting

Это всё происходило Debian 11.