https://www.kernel.org/

у меня всё.

http://dump.bitcheese.net/files/jahonik/scrot.png

http://dump.bitcheese.net/files/xynokef/scrot.png

И так, друзья, шёл третий день как я развлекаюсь с виртуалками. Наверное, в 2077 году так будут называть кибер-девушек с низкой социальной ответственностью, но на сегодняшний день, к сожалению, это виртуальные машины KVM.

Во-первых, удалось с использованием бриджа построить локальную сеть, интерфейсу br0 присваивается 10.0.0.1/8, а когда запускается KVM, она автоматически поднимает интерфейс tap0, который цепляется к br0, затем отрабатывает ISC DHCP раздавая IP. Всё работает. Подробнее тут: Виртуалы не видят друг друга o_O

Во-вторых, удалось с использованием того же бриджа, без всяких пробросов PCI, пробросить MAC виртуальной машины на сетевую карту. Зачем это надо? В ПК подключён шнур провайдера, сетевая карта получает IP-адрес по маку и я в интернетах. Я хочу чтобы сетевая карта не получала IP адрес, а просто находилась в режиме UP, но когда я запускаю виртуалку с моим маком — виртуалка получала этот IP и находилась в интернете. Получается будто бы виртуалка сидит в танке. Действительно, что в таком случае способно грохнуть хост-систему? Наверное уже ничего, кроме физического воздействия, или очередного Spectre/Meltdown, но это ещё придётся и виртуалку взламывать, короче защита о-го-го.

Я не знаю, правильно ли я всё сделал, но делал это так:

# создаём бридж
ip link add name br0 type bridge
ip link set br0 up

# после запуска виртуалки c -nic tap включаем и tap0
ip link set tap0 address "мой мак"
ip link set tap0 master br0
ip link set tap0 up

# сетевая карта с провайдером
ip link set enp1s0 master br0
ip link set enp1s0 up

Я не знаю как, но это заработало, чёрт, я запустил qemu, в SeaBIOS набрал dhcp и увидел что по моему маку выдался мой внешний айпишник. О как.

Получив теперь «бессмертный хост», в котором взломанная (ключевое слово !если!) виртуалка просто перезапускается в три секунды... Надо что-то делать дальше.

Хочу:

1) Насоздавать кучу других виртуалок под каждый сервис в отдельности. Это ок.

2) Все эти виртуалки надо связать в единую локальную сеть ИИИ чтобы к этой сети могли так же подключаться другие устройства, а эти виртуалки выглядят как рядовые устройства в сети. Эту сеть надо вывести обратно на вторую физическую сетевую карту.

Что я от вас хочу услышать. Я хочу чтобы вы предложили мне свою идею для топологии сети. И всё. Я не архитектор, я макака с консолью, уж что правда то правда.

Стоит ли все реальные устройства объединять в сеть 192.168.0.0/16, а виртуалки держать отдельно в 10.0.0.0/8? Или лучше сделать чтобы все они были в одной подсети? Какие адреса и для чего красивше будет использовать? Как бы сделали вы? Поделитесь идеями.

Спасибо.

Запускаю две qemu kvm, я их пингую, они меня пингуют, они пингуют интернет, но внезапно, они не видят друг друга в рамках своей же локальной сети построенной на бридже. Может я что-то упустил...

Запускаем две KVM отличающиеся только именами интерфейсов.

for TAP in tap0 tap1; do

  qemu-system-x86_64 -bios OVMF.fd \
    -enable-kvm \
    -snapshot \
    -boot c \
    -drive file=CRUX.qemu-image.raw,format=raw \
    -nic tap,ifname=$TAP

done

Как положено qemu дёргает /etc/qemu-{ifup,ifdown}, содержания:

#!/bin/bash

NETWORK_BRIDGE="br0"
NETWORK_INTERFACE="$1"

/sbin/ip link set $NETWORK_INTERFACE master $NETWORK_BRIDGE
/sbin/ip link set $NETWORK_INTERFACE up

На хост системе в ifconfig виднеются два сетевых интерфейса, tap0 и tap1, без IP-адресов, но в режиме UP, будем считать что так быть и должно(?).

br0 это виртуальный сетевой интерфейс (бридж), который поднимается при запуске хост системы в /etc/rc.local

ip link add br0 type bridge
ip link set br0 up
ip addr add 10.0.0.1/8 dev br0 broadcast +

Которому, конечно, присваивается огроменная подсеть для моего подкроватного энтерпрайза уровня локалхост.

ISC DHCP раздаёт адреса в этой подсети.

subnet 10.0.0.0 netmask 255.0.0.0 {
  option domain-name "VirtualMachine";
  option domain-name-servers 10.0.0.1;
  option routers 10.0.0.1;

  range 10.0.0.2 10.255.255.254;
}

Простым запуском qemu без всяких параметров можно убедиться что оно работает, нажать Ctrl + B для захода в консоль SeaBIOS'а и выполнить dhcp, и убедиться что IP-адрес выдал именно наш DHCP, работающий на br0.

Ну и iptables, в том же /etc/rc.local, который всё это дело маршрутизирует.

WAN=enp2s0 # интерфейс с интернетами провайдера

iptables -P FORWARD DROP
iptables -t filter -A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
iptables -t filter -A FORWARD -i br0 -j ACCEPT
iptables -t nat -A POSTROUTING -s 10.0.0.0/8 -o $WAN -j MASQUERADE

echo 1 > /proc/sys/net/ipv4/ip_forward

Так почему же виртуальные машины не видят друг друга, но видят интернет, и я вижу их с хост системы?

Первое знакомство с QEMU было в бородатые нулевые, когда запуск на одноядерном пентиуме приводил к невероятным тормозам. С тех пор как-то скептически относился к виртуализации, но теперь (уже 10 лет как, хех) добавили VT-d в консьюмерские процессоры и стало возможным работать с виртуализацией на аппаратном уровне.

Я впечатлён! Одна опция -snapshot чего стоит! Система работает в штатном режиме, но на самом деле находится в read-only, и никакие вообще изменения не сохраняются! Это же чудо! Это делает систему «unhackable». Теперь только успевай делать снапшоты данных, а в системе исправлять дыры и перезапускать пофикшенные виртуалки. Но знакомство с QEMU только началось и есть ряд вопросов.

1) MBR или GPT? UEFI или классический BIOS? Из коробки QEMU не умеет загружаться в UEFI, нужно отдельно скачивать OVMF прошивку. Стоит ли оно того? С одной стороны классический BIOS пережиток прошлого, вендоры вообще обещают зарезать legacy-режим в материнских платах к 2021 году, так что, чтобы в будущем образы систем стали легко переносимы, следует ли сразу ориентироваться на загрузку в UEFI? И забыть про lilo/syslinux?

2) Началась виртуализация головного мозга, так вот, возможно ли запустить qemu так, чтобы она напрямую общалась с устройством, а конкретно — сетевой картой? Хочу чтобы хост-система оставалась без IP-адреса, физический сетевой интерфейс был разве что в режиме UP, но при этом получение IP-адреса по маку осуществлялось прямиком на запущенную виртуалку, которая в дальнешем будет корневым шлюзом в сети. Возможно ли так пробросить сетевую карту в qemu?

И да, с разморозкой меня.

И где грань между «несколько компов в локалке» и «кластером»?

Я совсем запутался в этих терминах!

Навеяно топиком в Talks, изучаю рынок облачных решений, захожу на сайты, там большими буквами написано: создавайте VM, храните файлы, ещё чего-то там. Но при этом никакой конкретики что это, из чего состоит, для решения каких задач. Как компания, которая занимается ничем и производит ничего. А мне оно надо?

Ладно, хочу я своё облако сделать. Чтобы быть в тренде. Nextcloud, дак погодите-ка, это же просто файловый менеджер в браузере? Чего? И вокруг этого весь хайп? То, что ещё в нулевых называлось «файловым менеджером на php» теперь называется облаком?

Объясните пожалуйста, а то я совсем отстал от жизни!

И возвращаясь к первому вопросу. Какие задачи решают кластеры? Что нужно, чтобы из нескольких компов в локалке создать кластер? Хочу свой кластер сделать. Не знаю зачем, чтобы тоже в тренде быть. Я так понимаю, если я распараллелю nginx/php-fpm на два компьютера, чтобы там крутился «файловый менеджер на php» aka облако, это же не будет считаться кластером? Или будет?

И где мои таблетки?

Земля! (Ух ты!) Вот есть земля, так называемая планета, небольшой по вселенским меркам объект, но для биологического вида «человек» всё же обладающий внушительным размером. Земля имеет гравитацию. Да тут походу всё что имеет массу имеет и гравитацию. Вроде. Такой большой объект и не очень большая гравитация. Мы можем подпрыгнуть, например, гравитация конечно не даст далеко улететь, но всё же она небольшая. Кстати мне не нравится слово «большой» в отношении физической меры «гравитация», лучше давайте назову её «коэфициентом усиления». Коэфициент усиления гравитации на земле небольшой. Нооо, суть вопроса в чём, — почему коэфициент усиления именно такой? Кто решил, что «пусть для Хэ массы будет Уй коэфициент усиления»? Кто задал эту константу в рамках этой вселенной?

Вселенная! (Вау!) Существовала значит себе, не буду называть какой промежуток времени, ну невыносимо долго, так долго, что ей это надоело и она решила «пора чота менять». Это было ещё до «Большого взрыва», до, так называемого, «Старта существования вселенной», какой мы её знаем и наблюдаем сейчас. Но что менять? Какие процессы надо изменить во вселенной, чтобы сдвинуться с мёртвой точки? Вы понимаете, константы определены, но всё же «Большой взрыв» случился, из ничего, из NULL. А что случилось-то? Скопилась масса в одной точке во вселенной и сдетонировала? Но вы понимаете, что если изменить хоть одну константу, как то: банальнейшая скорость света, коэффициент усиления гравитации, ход времени; хоть на одну 0.00000~~~хау-ау-десу~~~00000-онную её изменить, эту константу, вселенная была бы уже абсолютно другой. Ну то есть, совсем другой. «Большого взрыва» могло вовсе не случиться. Галактики могли не сформироваться, так и оставшись кучкой мусорных объектов. Вселенная могла бы уже «изжить» себя и прекратить своё существования, просто.

Константы во вселенной определены и они такие какие есть, но а что если, они тоже подвержены некой эволюции? Ход времени — меняется, коэффициент усиления гравитации — увеличивается, свет — ускоряется. Вселенная была всегда, но так долго, и что-то случилось, она стала расширяться, дав старт «Большому взрыву». Что если изменение этих констант вселенной и послужило тому. Чтобы кучка мусора в одной точке вселенной разлетелась по всему пространству. А интересно, «Пространство» — тоже определённая константа, или оно так же эволюционирует и расширяется? А?

Такие дела.

Наивный Шома думает что ограничив комментирование он может снизить количество тупняка, но нет.
Предлагаю всем кто хочет отписаться в новости С новым 2019 годом! — писать в этот ИТТ in this thread тред.

Собсна, я то что и хотел написать.

С НОВЫМ 2019 ГОДОМ!

Прежде всего интересуют оригинальные песни, исполненные профессиональными музыкантами и записанными на студии. Читай, всё то, что можно считать обычной попсой, но только посвящённой компьютерной теме.

Ангина - Интернетный

Оля Полякова - Веб-камера

Земфира - Webgirl

Русский Размер - Пустой монитор

Ну а потом уже можно всякий трешак, хотя даже среди треша можно найти задушевную годноту.

Чёрный баннер

Кондитерское предприятие ищет толкового админа

Когда нет личной жизни, можно тратить время на чтение форума, постов 2х недельной давности, и выискивать, с кого бы поснимать скор «ни за что».

Оскорбление, маты, тупняк, зачём всё это, если можно поудалять никому не мешающие беседы участников, между прочим, не на слишком уж и отвлечённые темы. Топик про хлебобулочные изделия — обсуждаем хлебобулочные изделия. What's going wrong? Или у этого диктатора должны все по струнке ходить?

Технология PhysX была создана в 2004 году компанией Ageia и для её реализации предлагались отдельные графические ускорители, в 2008 году компанию поглотила nVidia, которая впоследствии перенесла ускорение физики на сами GPU. PhysX до сих пор была проприетарной, от чего разработчики игр неохотно внедряли её, а саму nVidia обвиняли в недобросовестной конкуренции.

Библиотеки PhysX теперь бесплатно доступны на GitHub для платформ Windows, Linux, OSX, iOS и Android, и разработчики могут самостоятельно собрать их. Бинарные блобы от nVidia больше не нужны. PhysX предлагает более естественное уничтожение объектов в играх, поведение дыма, тканей при наличии ветра и так далее.

PhysX SDK поддерживается в большинстве игровых движков, как например Unreal Engine 3 и 4, Unity, AnvilNext, Stingray, Dunia 2 и REDengine. Используется во многих популярных игровых проектах типа Bioshock Infinite, Borderlands 2, Daylight, Witcher 3 и многих других, — тысяча их.

>>> Подробности

Подскажи, ЛОР, а есть ли у dhcpcd или dhclient (isc dhcp) такой параметр, при котором он бы скачивал / показывал настройки сети, ну т.е. IP-адрес, шлюх, маску, DNS, но не применял бы их в систему сразу?

Я бы куда-нибудь складывал настройки со всех интерфейсов (несколько провайдеров + локальные сервера), а потом уже сам бы ручками проходился по ним, по мере отсутствия интернетов.

Вот кстати pppd так умел частично, он resolv.conf сохранял к себе в /etc/ppp/resolv.conf, а уже костыль (скрипт) его перемещал в /etc.

Прорвало что-то, но в общем, вытекая из предыдущего вопроса про удалённое конфигурирование, возник вопрос, почему бы тогда и вовсе не создавать бездисковые ноды.

Архитектура такая. Пусть вся сеть состоит из одного единственного ПК. На ПК установлена система с bind + dhcp, вторая сетевая карточка с выходом на свитч, таким образом подключаясь к свичу ноды становятся частью сети. Это понятно.

Дальше мы хотим расширить сеть, создать кластер, подключить ноды. Собираем новый ПК, подключаем по Ethernet к свичу и всё. Больше его не трогаем, ибо:

* Пакетом Wake-On-Lan включаем ПК удалённо.

* При включении, когда нету дисков, на материнских платах задействуется загрузка по сети, таким образом с настроенным DHCP + TFTP + NFS мы загружаем систему по сети со всей необходимой конфигурацией и софтом.

* Обновляем конфигурацию софта по мере надобности, на выходе имеем неограниченное количество нод под любые задачи, упираясь только в бюджет мамкиного админа локалхоста, уж простите.

Так что, если нужно создать кластер с кучей нод, реально нет никакой необходимости на каждую ноду в отдельности устанавливать ещё один дистрибутив, всё это и так делается по сети удалённо. Верно? Такое практикуется же? Я не открыл Америку?

По мотивам моего скриншота, мне посоветовали перейти на автоматизацию, в чём я согласен, ибо 95% тачек однотипные, заменяют друг друга создавая собой по-сути кластер. Надавали советов перейти на Puppet, но одного я не пойму — зачем делают такой софт, который заменяется однострочником на bash?

https://ru.wikipedia.org/wiki/Puppet

Узлы сети, управляемые с помощью Puppet, периодически опрашивают сервер, получают и применяют внесённые администратором изменения в конфигурацию.

Всё! Этого достаточно! Вся программа в одном русским языком предложении.

Теперь мы просто на каждую машину в crontab -e подсунем * * * * * cd / && $(which git) clone ssh://server/config_$(hostname).git && ./reconfigure.sh и всё!

Чего же ради создавать все эти > Конфигурация описывается на специальном декларативном предметно-ориентированном языке.

плодить сущности и т.д., если такие вещи безотказно костылятся уже имеющимися инструментами.

Может я что-то недоПОНИмаю...

Давненько не выкладывал. В общем-то с ростом количества подконтрольных хостов нужно как-то со всем этим хозяйством управляться, тут уже не отделаешься хоткеями для переключения между десятью воркспейсами, не говоря уже о консольных screen/tmux, и тогда на помощь приходит FVWM. Идея мало чем отличается от теггирования, однако FVWM позволяет создавать не только воркспейсы, а целые пространства воркспейсов, как видно из панельки снизу, только проименуем их по необходимости согласно подконтрольным тачкам и/или подсетям и вуаля.

А как ты, ЛОРовец, управляешься с большим списком хостов? Каким менеджером пользуешься?

Панелька снизу содержит меню «Пуск», пространства рабочих столов количество которых растёт с ростом хостов, и доступ (терминал) к каждому из хостов находится на своём столе, ну и список открытых окон в рамках текущего пространства (Desktop, не Page).

Панелька сверху — быстрый запуск, трей (stalonetray) и часики, куда ж без них. Да, занято много ценного пустого пространства, но со временем туда что-нибудь осядет.

В остальном самосборный десктоп из: FVWM, PCManFM, Firefox, URxvt с irssi, mcabber, mutt, vim... Помимо десктопного софта тут ещё крутится nginx/php, vsftpd, samba, transmission, exim/dovecot, jabberd2, bind, dhcp, hostapd и конечно ssh.

Ш DejaVu, Terminus с патчами которые лечат отображение букв «g» -> «д». Тема Adwaita, иконки Adwaita.

>>> Просмотр (1920x1080, 221 Kb)

В /etc/ssh/sshd_config есть опция Banner, которая позволяет задать файл с текстом приветствия пользователя, причём этот баннер выводится для всех пользователей, в т.ч. неавторизованных, и для всех ботов которые просто брутфорсят наш ssh.

Так вот, появилась прикольная идея что этот файл можно сделать динамическим, например по крону раз в минуту записывать при помощи Bash-скриптинга всякую системную информацию типа date, uptime, free -m, tail -f /var/log/auth, >> /tmp/sshd_banner и задать файл приветствия Banner /tmp/sshd_banner, таким образом всем будет видно то, что вам не жалко показать, но прежде всего это полезно будет лично вам, выводить информацию о своём сервере для себя, без необходимости лишний раз заходить в систему, а просто чекать состояние системы и её сервисов при помощи ssh fail@server, грепать там всякие sql'ы не упали ли, как живёт почтовый сервер и тыды.

А если хотите ещё более по-хэккерски чтоб было, то можно выводить вообще любую информацию, но тогда её шифровать каким-нибудь методом, хоть тем же ключом openssl enc -aes-256-cbc, а сами вы ключ знаете и сможете её для себя расшифровать, а для всех прочих непрошенных гостей, что брутфорсят ваш ssh, эта информация так и останется набором букв. Пропустить её через какой-нибудь hexdump чтобы оно выглядило более канонично и вообще будет Ъ!

Вот. Клёво ж? Клёво. Почему ещё не в тренде?

Я не могу спокойно смотреть как одного из моих единомышленников лишили доступа к единственному месту, где его принимали, где он мог спокойно высказаться и все всё понимали. Куда ему теперь идти, не на 2ч же, б-же упаси!?

За сим начинаю петицию за разбан te111011010 ( Ttt).

да тут читаю прост

# cat /usr/ports/contrib/bind/README 
# $Id:

REQUIREMENTS:

PRECAUTION:

1. DON'T RUN BIND AS UID ROOT OR NOBODY !

ну это дураку понятно что пускать под рутом смотрящий наружу сервис не нужно™. а nobody то чем неугодил? он же никакими особыми правами не обладает?

понятно, запуск под nobody автоматически даёт доступ ко всем процессам запущенным с правами nobody. нооо, других-то процессов если нет, то почему нет? или nobody это просто такой пользователь который зарезервирован под системные нужды и его лучше просто не трогать.

https://www.reddit.com/r/hardware/comments/9rmj8t/amd_quietly_launches_new_ca...

ящитаю это вин!

Новый процессор имеет в своём распоряжении 4 ядра и потока с базовой частотой 3,5 ГГц и повышением до 3,8 ГГц в бусте, кэш объёмом 2 Мбайт, а также встроенный GPU Radeon R7. Помимо этого, AMD A8-7680 поддерживает память DDR3-2133, а его TDP составляет 45 Вт. Процессор будет производиться по 28-нм технологии. Что касается сокета, то это всё тот же старый добрый FM2+ с чипсетом A68.

(c)

И всё правильно делают. Сейчас такой зоопарк железа, что сборка ПК зачастую начинается не с выбора процессора, а с выбора материнской платы под него, где впервую очередь мы смотрим какие вообще процессоры «из коробки» поддерживает выбранная нами материнская плата, дабы была хоть какая-то возможность обновить BIOS/UEFI и проапгрейдиться в будущем. Вариант обращаться обращаться в СЦ чтобы плёву с коробки снял кто-то другой я как вариант не рассматриваю, конечно же. По понятным причинам.

А цены на AM4 материнки до того конские, что недалеко ушли от Intel с их LGA1151-v2 сокетами. Плюс оперативная память, грубо говоря мы отдадим 1 килорубль за 1гб DDR4 памяти.

Зачем? Когда за 2500-3000р можно взять FM2+ мать и всего в «полцены» 500р за 1гб DDR3 памяти. Осталось только процессор чтобы в 4K@60FPS тянул ютуб, и вот он, долгожданчик!

Если до Крыма мы могли себе позволить «на сдачу» купить материнскую плату на любом чипсете и знать что компьютер просто включиться, то теперь приходится учитывать куда больше факторов при сборке ПК. Поэтому «устаревшим» платформам на FM2+, AM3+ ещё жить и жить, и жила бы припеваюче LGA1150, если бы маркетолухи из Штеуда не форсировали «прогресс».

Нет, я не говорю что Haswell уже мёртв или устарел, наоборот, актуален как никогда, ибо покупался многими ещё до Крыма и никто не спешит его продавать. Но это маркетолухи Intel похоронили его, продвигая год за годом всё новые и новые сокеты и/или чипсеты. 1150 мёртв для новых пользователей ПК т.к. в продаже всего 2-3 процессора, это Celeron 1840 за ~5000р и Core i7-4770K за ~30.000р, ну куда такое годится.

А вот FM2+ в продаже и совсем недорого. И фанатизм относительно амудэ и интел тут не при чём. Были бы дешёвые и доступные хасвеллы — да не вопрос.

У меня у самого «про запас» лежит h81m-p33 в коробочке, всё надеялся дойдут руки взять _новый_ проц на Haswell, а брать нечего, в магазинах либо нет в продаже, либо оверпрайс.

А для FM2 вот новый проц выкатили, и материнки в продаже недорогие есть. Очевидно, что я сделаю новую сборку на амд и это отнюдь не вопрос религии. Дайте дешёвый хасвелл — соберу на хасвелл, но нету. Понимаете? Нету их в продаже.

Я как линуксоид люблю всякое железо, и чем дешевле тем лучше. На княуты, и уж тем более штеуды с их дефицитом, денег нет. Обхожусь бомжесборками. Чем богаты — тем и рады.

Так что AMD молодцы, занимают весь рынок от лоу до хай-сегмента.

Предлагаю накатить за FM2+ ! Ура ! Ура ! Ура !

Такое вот неприятное открытие, когда dhcpcd зачем-то решил выдать «WAN-интерфейсу» локальный IP одного из «LAN-портов», маршрут default изменился на локальный соответственно и интернеты на всех прочих интерфейсах отвалились.

Вот есть в правилах iptables сущности INPUT/OUTPUT которые реагирует только для нашего с вами трафика, есть сущность FORWARD которая рулит трафиком который мы распеделяем между интерфейсами, раздавая интернеты.

Более конкретный пример. Можно со спокойной совестью делать полный DROP трафика на INPUT/OUTPUT кольцах, при этом FORWARD продолжает работать и мы выступаем как маршрутизатор. А можно сделать DROP трафика на FORWARD, при этом мы продолжаем выходить в интернеты через INPUT/OUTPUT как ни в чём нибывало.

НО вот маршруты у нас для всех одинаковые, то есть если мы изменим ip route add default на другой, то все клиентские соединения проходящие через FORWARD так же будут ходить через default (ну или через другие маршруты которые есть в таблице, не суть).

Можно ли как-то такую ситуацию исправить? Чтобы даже если мы сломали наш default-маршрут, все FORWARD'ы как ходили через какой-то там интернет канал, так и ходют, чтобы default-маршрут влиял только на наши INPUT/OUTPUT. м?