ЛОР, подумай за меня.

Это уже наверняка спрашивали много раз, и даже я скорее всего спрашивал раньше, но чё-т башка пухнет и думалка не работает, и ртфм в сторону LARTC я не осилю.

Дано:

• VPS (A) с двумя IPv4 (A1, A2) и зароученным на неё IPv6-префиксом (назовём A3::/56);
• роутер/шлюз (B) с OpenWrt и железка за ним (C).

Как мне прокинуть один IPv4 и один IPv6 в эту железку? Хочу, чтобы:

1. все запросы на этот адрес уходили через условный WireGuard-туннель в железку;
2. для некоторого подмножества софта наоборот (чтобы все запросы, которые инициирует этот софт, уходили с этих адресов);
3. и, естественно, чтобы ответы на запросы уходили тем же маршрутом.

NB: софт из правила (2) и софт, в который будут приходить запросы согласно правилу (1) — не обязательно совпадают. Т. е. (3) должно работать независимо от всего остального. Т. е., наверное, нужна какая-то роутинг-магия, и вот на этом месте я забыл как надо делать.

Хочу гайд с точностью до абстрактных команд :)

Привет, ЛОР.

Посоветуй клиент для Let’s Encrypt.

Есть монструозный Certbot, который делает всё, но плохо и медленно; есть аскетичный dehydrated, который делает ничего и быстро.

А есть что-то посередине, чтобы не нужно было притаскивать в систему 15 мегабайт питонокода (и потом всё равно обкладывать его костылями), но и при этом не писать руками заново всякие адаптеры для DNS-хостингов, которые уже написаны 100500 раз до меня?

Сейчас у меня dehydrated, обложенный километром скриптоты для сброса привилегий и чуть более эргономичного написания хуков (а также самих хуков, включая самописный интерфейс к Google Cloud DNS). Я бы хотел избавиться от этой скриптоты, т. к. она объективно не решает никаких новых или уникальных задач.

P.S.: ничего не имею против питона как такового, моя неприязнь распространяется исключительно на медленный неповоротливый софт, не имеющий быть таковым никаких оснований.

ЛОР, скажи, пожалуйста (пока кто-нибудь не пришёл и не потёр по 6.2), какой поисковик в 2024 году не сопротивляется тому, чтобы искать в нём варез?

Потому что в гугле, по ходу, забанили — ну не верю я в 0 релевантных хитов.

(P.S.: на совесть можете не давить, т. к. за эту конкретную программу я уже заплатил в прошлом и заплатил бы ещё раз, но издатель немного редиска и моих денег не хочет)

Посоветуйте моноширинный шрифт, максимально подходящий для того, чтобы вместить в один экран как можно больше строк (именно строк)?

Мой стандартный выбор — Iosevka — не очень подходит, т. к. он достаточно вытянутый по высоте. В результате при тех размерах, при которых достигается нужное количество строк, он становится совершенно нечитабелен.

Google reports that Rust shines in production, to the point that its developers are twice as productive using the language compared to C++.

Чувак, кажется, побывал в ЛОРовских лолксах:

«Even six months ago, this was a really tough conversation,» he said. «I would go and I would talk to people and they would say, ‘Wait, wait you have an unsafe keyword. That means we should all write C++ until the heat death of the Universe.’»

Даже гошники заёрзали:

«When we’ve rewritten systems from Go into Rust, we’ve found that it takes about the same size team about the same amount of time to build it,» said Bergstrom. "That is, there’s no loss in productivity when moving from Go to Rust. And the interesting thing is we do see some benefits from it.

«So we see reduced memory usage in the services that we’ve moved from Go … and we see a decreased defect rate over time in those services that have been rewritten in Rust – so increasing correctness.»

И это при том что го пилился специально для того, чтобы макак и прочую бывшую студентоту было проще пылесосить учить говнокодить.

Дискасс.

https://www.theregister.com/2024/03/31/rust_google_c/

Разработчик Debian и исследователь в сфере информационной безопасности Andres Freund сообщает об обнаружении вероятного бэкдора в исходном коде xz версий 5.6.0 и 5.6.1.

Бэкдор представляет собой строчку в одном из m4-скриптов, которая дописывает обфусцированный код в конец скрипта configure. Этот код затем модифицирует один из сгенерированных Makefile проекта, что в конечном итоге приводит к попаданию вредоносной нагрузки (замаскированной под тестовый архив bad-3-corrupt_lzma2.xz) непосредственно в исполняемый файл библиотеки liblzma.

Особенность инцидента состоит в том, что вредоносные скрипты сборки, служащие «триггером» для бэкдора, содержатся только в распространяемых tar-архивах с исходным кодом и не присутствуют в git-репозитории проекта.

Сообщается, что человек, от чьего имени вредоносный код был добавлен в репозиторий проекта, либо непосредственно причастен к произошедшему, либо стал жертвой серьёзной компрометации его личных учётных записей (но исследователь склоняется к первому варианту, т. к. этот человек лично участвовал в нескольких обсуждениях, связанных с вредоносными изменениями).

По ссылке исследователь отмечает, что в конечном итоге целью бэкдора, по-видимому, является инъекция кода в процесс sshd и подмена кода проверки RSA-ключей, и приводит несколько способов косвенно проверить, исполняется ли вредоносный код на вашей системе в данный момент.

Рекомендации по безопасности были выпущены проектами Arch Linux, Debian, Red Hat и openSUSE.

Разработчики Arch Linux отдельно отмечают, что хотя заражённые версии xz и попали в репозитории дистрибутива, дистрибутив остаётся в относительной «безопасности», т. к. sshd в Arch не линкуется с liblzma.

Проект openSUSE отмечает, что ввиду запутанности кода бэкдора и предполагаемого механизма его эксплуатации сложно установить «сработал» ли он хотя бы раз на данной машине, и рекомендует полную переустановку ОС с ротацией всех релевантных ключей на всех машинах, на которых хотя бы раз оказывались заражённые версии xz.

>>> Подробности

Существует ли в природе полноценный (высокоуровневый) редактор PDF под онтопик? Под полноценным понимается возможность редактирования текста, добавления/удаления произвольных графических элементов с сохранением их векторной природы и т. п. — то есть всё то, что обычно понимается под «редактированием документа», а не «ну это же PDF, вот тебе редактор кривых Безье, дальше сам» (и не «картинка — тоже PDF, открой в гимпе и редактируй»).

Проприетарный и/или коммерческий — норм, подписка — не норм.

Привет «зелёным».

По состоянию на сейчас (февраль 2024), существует ли в природе какое-либо решение, позволяющее управлять скоростью вентиляторов (и желательно частотами GPU/VRAM) на NVIDIA GeForce RTX 3xxx под управлением проприетарного драйвера, но без использования Xorg-сервера (который требуется для nvidia-settings)?

Вариант «запустить headless иксы» мне известен и ответом не является.

Перемещено hobbit из general

Я вот задумался, есть ли у нас тут кто-то, кто питает нежные чувства к bcachefs, но недолюбливает раст? Потому что у меня для вас есть топливо для пердаков сюрприз:

From: Kent Overstreet <kent.overstreet-AT-linux.dev>

I think someone was working on that? But I’d prefer that not to be a condition of merging the VFS interfaces; we’ve got multiple new Rust filesystems being implemented and I’m also planning on merging Rust bcachefs code next merge window.

:-)

Никогда не думал, что создам подобный тред, но просто на правах shower thought. Навеяно LogoFAIL’ом.

Вот допустим, есть лаптоп на интеловской платформе умеренной древности (Kaby Lake). Как можно без программатора убедиться, что в прошивке не поселился {б,р}уткит, который очень аккуратно влияет на всё происходящее на проце так, чтобы ты его не задетектил изнутри системы?

Есть ли в интеловских платформах способ залить новую прошивку так, чтобы сама прошивка никак не могла повлиять на этот процесс и закрепиться и в новом образе тоже? Или только программатор?

Для всех, кто считает своим долгом с умным видом напомнить про Intel ME — в рамках этого мысленного эксперимента Intel ME меня не волнует. Считаем, что интелу и производителю лаптопа я доверяю.

Коллективный разум ЛОРа, подскажи: как наиболее идиоматично забанить font family на уровне браузера, но только там, где она является частью списка генерик шрифтов (но при этом не сломать сайты, которые хотят именно эту font family и никакую другую)?

Например, я хочу забанить Courier, потому что он уродливый. Но при этом я хочу, чтобы стили, в которых написано font-family: Foo, Bar, Courier, Baz, monospace, были эквивалентны списку Foo, Bar, Baz, monospace, но если в стиле написано конкретно font-family: Courier, то выбирался всё-таки курьер?

В принципе, я могу забанить его на уровне freetype (через $XDG_CONFIG_HOME/fontconfig/conf.d, написав что-то типа цепочки match-test-edit), но есть желание сделать как-то более прицельно и более умно.

Привет, lazyweb ЛОР. Помоги мне не убить ещё два дня моей жизни на вдумчивое чтение LARTC.

Дано: машина за двумя NAT-ами (один подконтрольный мне, второй от провайдера) и VPS-ка со статическими белыми адресами (v4, v6, все дела).

Как правильнее всего сделать так, чтобы на машину можно было достучаться снаружи по этим адресам? При этом нужно сохранить возможность открывать с машины и прямые соединения, минуя весь этот вертеп (и в то же время иметь возможность открывать соединения через туннель).

Вообще, в идеале сделать бы это на роутере (OpenWRT), потому что на машине забридженные ВМки и вообще помойка в сетевой конфигурации.

(Да, очень тупой вопрос, но что-то я совсем не хочу думать. Можно просто накидать мне ключевых слов и конфиг файрволла в очень крупную клетку, дальше я сам.)

Было бы неплохо иметь возможность выбрать в настройках «гибридную» тему, которая бы автоматически становилась тёмной или светлой в зависимости от настроек браузера (@media prefers-color-scheme).

В идеале — позволить пользователю отдельно выбрать «светлую» тему и отдельно «тёмную» тему, и склеивать обе темы в один CSS, как-то так:

<стили от светлой темы>

@media (prefers-color-scheme: dark) {
    <стили от тёмной темы>
}

Исследователь Sönke Huster из Технического университета Дармштадта опубликовал подробности о 5 уязвимостях в стеке Wi-Fi ядра Linux (mac80211), эксплуатируемых «по воздуху». Три из уязвимостей гипотетически позволяют удалённое исполнение кода (RCE); две другие представляют собой атаки типа «отказ в обслуживании» (DoS).

В основе всех пяти уязвимостей лежит неправильная работа с памятью (переполнения буфера, use-after-free или разыменование нулевых указателей). Для эксплуатации уязвимостей достаточно отправить специальным образом сформированные фреймы Wi-Fi.

Уязвимостям присвоены номера CVE-2022-41674, CVE-2022-42719, CVE-2022-42720, CVE-2022-42721, CVE-2022-42722.

Утверждается, что уязвимости (по крайней мере, некоторые из них) были добавлены в первом квартале 2019 года. Уязвимы все версии Linux, начиная с 5.1 или 5.2.

>>> Подробности

It would appear that there is a set of memory-related vulnerabilities in the kernel’s WiFi stack that can be exploited over the air via malicious packets; five CVE numbers have been assigned to the set. <…>

(LWN, oss-security)

Ъ: Всего 5 CVE (3 RCE + 2 DoS); все пять — переполнения буфера или use-after-free, которые можно спровоцировать отправкой злонамеренно сформированных Wi-Fi пакетов. В общем, всё плохо.

И наброшу:

memory-related vulnerabilities

А могли бы писать на расте!

Дичайше тупой вопрос, но сабж. GNOME 42, gnome-shell 42.4, telegram-desktop 4.1.1. Расширение appindicatorsupport@rgcjonas.gmail.com стоит. В настройках телеги теперь вместо «сворачиваться в трей» галочка «Close to taskbar», что разумеется слегка не то.

Откатывать telegram-desktop до 3.x пробовал. Гном откатывать не пробовал (слишком муторно). Гуглить тоже пробовал, чёт ничего внятного. Кто виноват? Руки?

Всем привет в этом чяте. Подскажите, а как сейчас у IaC-бояр принято сетапать машинки с нуля?

То есть постановка задачи следующая: вот есть у меня нулёвая виртуалка в облаке (пусть будет несколько, меня интересует самый правильный и самый обобщённый способ). Хостер — ноунейм. Допустим, я резко прозрел и хочу потыкать NixOS (нет, я всё ещё нежно люблю арчик и он у меня на всех личных машинах, но pets vs cattle).

В принципе, я могу просто закинуть туда установочный образ и дальше дрочиться руками до состояния «поднял сеть и SSH» (дальше очевидно), но я бы хотел сделать вот вообще правильно, в идеале чтобы у меня на рабочей станции был один конфиг всего™ и тулза «сделать за5.1сь». Совсем за5.1сь конечно не получится, т. к. у хостера нет даже CLI, но допустим я могу создать машинку руками, подключить к ней нужный загрузочный образ и вписать в нужный конфиг её IP-адрес, а всё остальное должно случиться автоматически. Если честно я ещё даже не знаю, как у хостера обстоят дела с сетью, но надеюсь что там тупо cloud-init какой-нибудь.

Есть идеи? Терраформ + специальный установочный образ? Что-то ещё?

sudo cast t184256 -m «ну ты понял»

Не найдётся ли на ЛОРе человек с сабжем, готовый одолжить кабель от Index’а, буквально на полвечера?

(Зачем: мне надо понять — это сама железка внезапно сломалась или я кабель креслом переехал.)

Если вдруг кому надо:

$ cat >>/etc/pacman.conf <<EOF
[custom]
SigLevel = Optional
Server = https://intelfx.name/repo
EOF

$ pacman -Sy custom/gst-plugins-bad custom/pulseaudio-bluetooth

Можно тестить и отписываться вот сюда: pulseaudio/pulseaudio!473, gstreamer/gstreamer!1172.

Привет, дорогой дневник ЛОР.

А посоветуй мне годные беспроводные музыкальные наушники «на каждый день» с ANC.

Требования:

• не затычки,
• качественный звук и качественный ANC (условно, чтоб в метро было тихо),
• уметь во всякие современные кодеки (в частности, те, в которые умеет iPhone — AAC? что-то ещё?),
• в целом уметь в интероп с телефонами и быть удобными в повседневном использовании.

Бюджет вторичен, пусть будет до 50к.

Что сейчас в топе по этим критериям? Какие-нибудь WH-1000XM4? Или какие-то менее известные варианты?