Вчера завёл учётку. Много красивых слов, не прописывается явно масса подробностей - чем оно всё зашифровано, по каким алгоритмам, какой длиной ключа. Вместо того, чтобы просто говорить о том, что «в связи с нашим алгоритмом, мы пока не поддерживаем POP и IMAP», лучше бы добавили ссылку на описание своих алгоритмов и протоколов, авось бы кто запилил сторонние реализации и их протоколы стали бы использоваться, как стандарт.

Только что в течение минут 10 лежал сам protonmail.com. До сих пор лежит support.protonmail.com.

Я видел, что кто-то тут ещё ими пользуется. Какие ваши мнения насчёт сабжа в целом?

Переделываю тупой мейкфайл, который всегда пересобирает библиотеки из гитовых сабмодулей. Надо сделать, чтобы свежесобранные либы ложились в каталог contribs, а если они там уже есть, то чтобы они не пересобирались.

В итоге сделал что-то типа

a/Makefile:
    cd a && ./autogen.sh

a/lib.so: a/Makefile
    make -C a

contrib/a/lib.so: a/lib.so
    mkdir contrib/a
    cp a/lib.so contrib/a/

lib-install: contrib/a/lib.so
    echo installing

Но как я понял из практики, а позже и из документации, при таком конфиге, даже если contrib/a/lib.so в наличии, prerequisites этого файла всё равно будут выполнены, то есть будут сгенерены a/Makefile и a/lib.so. Как красиво и читабельно добиться желаемого?

В Qubes заложена концепция $subj - то есть, например, эксплоит браузера точно не украдёт ваши ssh-ключики, если, конечно, браузер работает в той виртуалке, в которой ваши ключики не хранятся.

До внятного знакомства с Qubes сам стал думать на тему изоляции важных данных от недоверенных программ, и думал в сторону того, чтобы ключи хранились у одного пользователя в $HOME, а браузер запускался под другим. Но такая схема вносит сложности в работу и выглядит велосипедно.

А какими мерами вы пользуетесь для $subj? Прокомментируйте, пожалуйста, архитектуру Qubes и мою велосипедостроительную идею.

Пробовал LiveUSB и установку. Не запускаются приложения в VM-ах, только нативные в dom0 запускаются. При обломах в логе пишется такое

Oct 29 05:17:31 dom0 kernel: [  379.134394] loop: module loaded
Oct 29 05:17:31 dom0 kernel: loop: module loaded
Oct 29 05:17:33 dom0 logger: /etc/xen/scripts/vif-route-qubes: /etc/xen/scripts/vif-route-qubes failed; error detected.
Oct 29 05:17:34 dom0 block-cleaner-daemon.py: Error: Device 51712 not connected.
Oct 29 05:17:35 dom0 journal: internal error: libxenlight failed to create new domain 'debian-8'
Oct 29 05:17:35 dom0 journal: End of file while reading data: Input/output error

Кто сталкивался, какие у вас были причины?

Железо - Aspire V5-131, 4 GB RAM, swap подключён.

Кто-нибудь кодил низкоуровневый код по теме DTLS-соединений?

Срочно нужно исследовать баг плавающего характера, и, вероятно, поправить реализацию в Linphone, с разрабами контакт есть, но они морозятся.

Баг в том, что rtpengine на сервере считает, что DTLS handshake удался, а линфон считает, что нет, и безуспешно повторяет попытки заново установить соединение. При этом по траффику видно, что в самом начале звонка Linphone шлёт аж две штуки Client Hello, почти одновременно. Возможно, он делает это зря и получается race condition.

Всё осложняется старой версией PolarSSL, с использованием которой написан этот код в Linphone.

По запросу дам логи, дампы, SIP-учётку для тестов.

PS Жаль, что тэга bounty нету.

Поясните, знающие, в чём прикол?

1) Kwalletmanager, когда создаёшь первый wallet, создаёт ещё один со своим именем - kdewallet или localwallet (на разных хостах по-разному вышло). В итоге сразу имеем две штуки.

2) Когда выбираешь в kwalletmanager wallet, вверху есть очень заметная кнопка Open/Close. С Open всё ясно, но Close никогда не работает - пишет

Unable to close wallet cleanly. It is probably in use by other applications. Do you wish to force it closed?

И выбор действий из Force Closure и Do Not Force. При этом, если зайти на вкладку Applications, там увидим, что в списке applications connected to this wallet висит один KDE Wallet Manager. И его можно Disconnect-нуть, и этот wallet станет закрыт, и кнопка Close поменяется снова на Open. Где логика? Неужели это такой очевидный баг?

Может, мне надо полностью установить весь цыганский табор KDE-пакетов? У меня гента и не все компоненты КДЕ установлены. equery list '*' && emerge --info

КДЕшный менеджер паролей казался таким многообещающим продуктом - должен, по идее, активно развиваться и использоваться массой людей.

Есть ли что-то другое онтопиковое «для тупых», удобное, активно поддерживаемое? И указывайте, пожалуйста, есть ли для рекомендуемого вами варианта браузерные плагины для интеграции. Хотя я ещё не решил, полезно или вредно пользоваться такой интеграцией. Наверное, полезно в плане удобства, но вредно в плане излишнего доверия браузеру.

Сабж?

Настройки стандартные убунтовые. Хост на амазоне. У меня либо одна серьёзная софтина неадекватные вещи в лог пишет, либо rsyslog не по порядку записал записи (дата одинаковая у записей, дата прописана с точностью до секунды; кста, как сделать, чтобы писало миллисекунды в лог?). В принципе, это возможно, исходя из того, что /dev/log слушается, как датаграммный сокет. Я не знаю точно, но вдруг там, как и в UDP сокетах, порядок доставки не гарантирован?

 # netstat -nap | grep rsyslog
unix  8      [ ]         DGRAM                    10487    848/rsyslogd        /dev/log

Если это всё правда, то можно ли как-то застраховаться от перемешивания записей в логе?

ЗЫ Мне rsyslog не нравится давно, с тех пор, как поднасрал, выборочно не кладя в лог записи, на основании ограничения по частоте генерации записей системой.

Подскажите, плз, таких приложений в маркетах для iOS и Android.

Если Вы пользуетесь ортопедическим креслом (стулом), то есть сидением, претендующим на поддержку здоровья спины и правильную осанку, пожалуйста, напишите:

• марку производителя и название модели, если актуально - год модели
• цену
• насколько вы довольны им
• какие видите недостатки, особенно в свете здоровья спины
• какой набор предметов мебели вам видится сейчас идеалом или оптимумом для обеспечения здоровья опорно-двигательного аппарата линуксоида

Заранее спасибо!

Как-то незаслуженно непопулярен удобнейший механизм аутентификации, имхо. Пароли выглядят ненужной (но, увы, безальтернативной) прослойкой в случае людей, которые не используют повторно пароли для разных сайтов, и хранят их в password manager-е. Кстати, а. к. по с. снимает с пользователя необходимость придумывать себе логин, а также раскрывать свой емейл-адрес (и вообще иметь таковой).

На практике же встречал а. к. по с. только у Webmoney.

Какие полезные живые веб-сервисы используют этот способ?

Разрабатываю драйвер PCI-медиаграббера. Пользуюсь на рабочей станции Генту, а нужно тестировать драйвер и сопряжённый софт в условиях, максимально приближенных к стандартной Убунте. Поэтому ищу конфигурацию виртуализации.

Также важным моментом является то, что в разработке драйвера могут случаться факапы, из-за которых ядро может выдать panic (посредством CPU soft lockup, например, уже отлавливался). При выборе будет учитываться возможность ребута виртуалки без затрагивания работы других приложений на хосте, а также возможность получать отладочный вывод от ядра виртуалки, включая предсмертные сообщения kernel panic.

В голову пришли такие варианты, как VirtualBox и LXC. Детально не копал, но гугление навскидку показывает, что для обоих вариантов возможность проброса PCI-устройства есть.

Что посоветуете?

Кто чем пользуется, на что обращаете внимание? Если не забуду, сделаю потом опрос по озвученным вариантам, посчитаем популярность решений.

Интересует возможность настроить хоткей для графического режима, желательно, не зависимый от возможностей DE, который бы выполнял произвольный скрипт, например, считывал пассфразу из файла и вводил её в поле, которое сейчас в фокусе.

Хочу, чтобы на экране крутилось видео, пока DM ждёт ввода логина. Что посоветуете? Желательно без больших зависимостей (DE не пользуюсь), но какие-то либы КДЕ уже стоят.

Сабж. Такое впечатление, что от загрузки к загрузке работают разные гнёзда для вывода звука - то зелёное, то чёрное. Намёк на то, что я не галлюцинирую, я вижу в этом обсуждении - http://askubuntu.com/questions/225017/how-do-i-change-which-audio-jacks-are-u...

Как добиться, чтобы в зелёное гнездо всегда выводился звук? Зелёное гнездо выведено на переднюю панель корпуса, хочу, чтобы оно работало. lshw.

Началось после очередного обновления несколько месяцев назад. После git log, например, печатаемого в командной строке не видно. Даёшь (вслепую) команду reset, и всё встаёт на свои места. Пользуюсь Konsole, регулярно обновляю свою Gentoo.

У кого-нибудь такое было? Есть ли решение?

https://github.com/krieger-od/pam_usb - код, https://github.com/aluzzardi/pam_usb/issues/23 - иссуя.

Вызывается dbus_bus_get(), потом dbus_connection_unref(), что соответствует документации DBus. Однако ж со временем получаем отказ в обслуживании демона pamusb-agent:

# netstat -nap | grep /var/run/dbus/system_bus_socket | wc -l
263

Есть желание поставить SSD в качестве rootfs, чтобы всё работало быстро. Но также хочется простую и надёжную репликацию или всегда свежий бекап.

Режим использования рабочей станции (десктопа): активная работа до нескольких часов в день, включающая интенсивное компиляние, работу с большими исходниками (git, grep, ...), веб-браузинг. Очень нужно ускорить железо в этих процессах.

Исследование документации показало, что

- штатный режим mdadm RAID1 (даже с write mostly hint) не даст ощутить скорость SSD на запись, скорость записи будет определяться таковой для HDD;

- от LVM-овского RAID1 (mirroring) не стоит ждать чего-то лучшего, чем от mdadm (?);

- DRBD - та ещё стрёмная штука если поток IO большой (перекрывает возможности HDD), то работа не будет беспроблемной; но вообще концепция очень подходящая;

- bcache, dmcache смотрел, не помню, что, но что-то не понравилось.

- банальное создание бэкапов повсеместно рекомендуется как простой и надёжный способ резервирования данных с SSD (как альтернатива всему вышеизложенному), но мне хотелось бы избежать любой ручной работы или скриптования, хотя снапшоты btrfs или lvm по идее позволяют довольно легко администрировать бэкапы (практически) без остановки рабочих процессов.

В итоге придумал такой вариант: делаем RAID1 средствами mdadm, загружаемся в штатном режиме, после чего в /etc/rc.local отключаем HDD от RAID1, то есть SSD работает как RAID1 в деградированном режиме. Таким образом, запись будет происходить только на SSD и скорость записи будет соответствовать характеристикам SSD. В периоды простоя (вручную или по cron) HDD будет обратно добавляться в RAID и синхронизироваться.

Вопросы:

- жизнеспособен ли этот вариант?

- сколько времение будет занимать такая синхронизация, на ёмкости RAID-а порядка 240 ГБ? это будет полная сверка, или оно будет «знать», что дописать?

- можно ли синхронизацию безболезненно прерывать для дальнейшей работы (или в случае аварийного отключения питания)?

Предложения более подходящих вариантов, а также критика моих концепций и выводов, приветствуются.

Замахался вбивать пароли и пассфразы. Надумал сделать флешки-токены для локального логина на своих компах, и на них же хранить ssh-ключи, которые сделать уже без пассфраз. Чтобы обезопаситься в случае утери носителя, файловую систему с ключиками можно зашифровать (а для расшифровки использовать ключ, хранящийся на другой флешке :D ).

Нашлись удивительно удобные для этой цели и дешёвые серии девайсов Transcend JetFlash 510 и 710 (23 мм в длину), Kingston DataTraveler SE9 (45 мм в длину).

Вижу, что есть стандартный софт - pam_usb, пока под рукой нет флехи, чтобы протестировать. Насколько он стабильно и разумно работает?

Интересно послушать мнения теоретиков и выводы практиков.

Проблемы безопасности волнуют пока мало (но по ним тоже можете высказываться), больше волнует минимизация телодвижений, удобство и скорость выполнения повседневных задач.

Иногда wifi-сети в доступном месте имеют сигнал слабее, чем требуется для устойчивой связи (например, в большой гостинице). Есть ли usb-адаптер(ы), о котором известно, что он «ловит сеть» заметно лучше и устойчивее, чем другие? Заранее благодарен за любую полезную инфу по вопросу.

Описание «сильных» ноутбучных и даже PCI{,-E} wifi-карт тоже приветствуется.

Пользуюсь Qualcomm Atheros AR9462 (драйвер ath9k) - родная нетбучная, D-Link System DWA-140 [Ralink RT3072] (драйвер rt2800usb, USB dongle). Существенной разницы в уровне приёма на них не замечал.