Кто нибудь понимает нафиг это надо и реально использует? Все эти итеративные, спиральные, каскадные модели? Или чем груминг беклога отличается от обзора итогов спринта?

Как я понимаю знание этих методик обязательно для прожект-менеджмента и тим-лидера.

Вышла финальная версия утилиты cryproarmpkcs. Принципиальным отличием от предыдущих версий является добавление функций, связанных с созданием самоподписанных сертификатов. Сертификаты могут создаваться как с генерацией ключевой пары, так и по ранее созданным запросам на сертификаты (PKCS#10). Созданыый сертификат вместе с созданной ключевой парой помещается в защищенный контейнер PKCS#12. Контейнер PKCS#12 можно использовать при работе с openssl с поддержкой ГОСТ Р 34.10-2012. Утилита абсолютно самодостаточная и работает на платформах Linux, Windows, OS X.

Скачать 64-битную версию для Linux
Скачать исходные тексты
Остальные платформы и версии

Некоторые пояснения по сборке из исходников

>>> Подробности

Привет, народ. Подскажите самое недорогое место, где можно спокойно поработать со своим ноутбуком, чтоб небыло посторонних личностей и никто не мешал работать. Нужно наличие вайфая.

Общественная библиотека? Взять одну книгу и сидеть 8 часов с ней? Какой-то коверкинг?

Место желательно в районе Лахта-центра (Мебельная, Оптиков). Но можно и чтоб на метро добраться.


Перемещено leave из job

По мотивам распухшей до безобразия этой темы много думал.

Думал об ИИС. Если вы не знаете что это такое, то не беспокойтесь. Думаю о том, какую именно организацию выбрать, чтобы открыть его с максимальным профитом и минимальной кровью. Я понимаю, что это не 30 килоевро, но профит хочется максимизировать, а телодвижения минимизировать. Активной деятельности не предвидется, то есть покупки будут примерно ровно раз в год.

Пока рассматриваются варианты:

• Альфабанк
  • плюсы — мои деньги там уже лежат (минимум телодвижений).
  • минусы — слабо отличается от депозита (тут только доверительное управление и 2% комиссии в год независимо от результата), если не учитывать вычеты.
• ВТБ
  • нужное отделение близко и вроде там можно облажаться на финансовом рынке самостоятельно без помощи доверительного управления. Всем рулить можно через личный кабинет и бесплатные звонки.
  • что-то я этому банку не доверяю, уж слишком он государственный. Есть сомнения в качестве управления.
• Сбербанк
  • вроде самый популярный для ИИС
  • инвестиционное отделение в средневзвешенном часе добирательства на такси.

Вопрос специалистам по всему: Что выбрать и почему? Пока склоняюсь к ВТБ.

Есть вот такая статья-сравнение

Для работы в Российской научной арктической экспедиции на архипелаге Шпицберген ( https://yandex.ru/maps/?ll=14.599315,78.043061&z=8.8 ) требуется специалист по ИТ (инженер) с дополнительными функциями оператора системы приема спутниковых снимков.
(Требуется предварительное обучение в Санкт-Петербурге)

ДОЛЖНОСТНЫЕ ОБЯЗАННОСТИ
- обслуживание локальной сети и компьютеров: примерно 25-30 рабочих мест на два здания, ЛВС внутри зданий, коммуникации между зданиями и выносным пунктом с антеннами
- поддержка пользователей (7-20 человек)
- техническая поддержка серверов (8 штук, из которых критическое значение имеют 3) и окружающей инфраструктуры, серверы администрируются в основном удаленно, но иногда нужно что-то сделать «на месте».
Дополнительные обязанности:
- работа оператором системы приема спутниковых снимков: ежедневная настройка расписания приема, ввод параметров, контроль состояния приемной аппаратуры, мелкий ремонт
- обслуживание комплекса спутниковых антенн (три управляемые антенны диаметром 5 метров): регламентные работы, контроль состояния
- ведение журналов приема, составление отчетности
- помощь другим членам экспедиции при условии отсутствия срочной работы по основному профилю.

Заработная плата в экспедиции - 90 тыс. руб. грязными + 9тыс. руб. питание + климатическая одежда.
Проживание в отдельной комнате в общежитии работодателя.

Начало работы в экспедиции - ноябрь 2019. Продолжительность работы 6 месяцев.

ТРЕБОВАНИЯ К КАНДИДАТАМ
- профильное среднее или высшее образование
- хорошее здоровье (необходимо пройти специальную медкомисиию)
- опыт работы в сфере ИТ на должностях линейного инженера, инженера технической поддержки или системного администратора
- английский язык, достаточный для письменного и устного общения по техническим вопросам.
- отсутствие ограничений на выезд за границу

Для выполнения функций оператора системы спутникового приема необходимо пройти обучение (1 месяц, три раза в неделю), на базе ААНИИ в Санкт-Петербурге.
На время обучения возможно трудоустройство в штат с заработной платой 25 тыс.руб.

УСЛОВИЯ

Контракт заключается на срок шесть месяцев. Заработная плата – 90 000 руб/ месяц плюс оплата питания. Проживание в общежитии в одноместном номере.
Возможно последующее трудоустройство в Санкт-Петербурге на постоянной основе при условии положительных рекомендаций по итогам работам по срочному контракту
Место работы: пос. Баренцбург, арх. Шпицберген, Норвегия. Полный рабочий день, на территории работодателя

В поселке Баренцбург есть магазин, столовая, культурно-досуговый-спортивный центр, школа, больница, пивной ресторан, консульство РФ.

Резюме отправлять на da@aari.ru

Дорогие пользователи и анонимусы! Администрация поздравляет вас с новым 2019 годом.

Год выдался интересным. Если в прошлом году мы получили именные уязвимости, то в этом году были раскрыты уязвимости в самих процессорах практически всех популярных марок. Мы пережили с потерями и без нашествия SJW разных мастей, некоторым даже понадобилась помощь специалистов, а Линус наконец-то сходил в отпуск. Core OS был куплен Red Hat'ом, а Red Hat был куплен IBM'ом, что весьма порадовало инвесторов Red Hat и расстроило всех остальных. Mozilla исполнилось 20 лет, Slackware - 25. Взлетели и упали криптовалюты. GitHub стал частью Microsoft, но ничего плохого пока не случилось. Были новые релизы OpenBSD, FreeBSD, Haiku и даже Solaris. Оказалось, что у протокола Gopher еще есть пользователи. Регуляторы на трех континентах ломали интернет как могли, но не преуспели в своем деле.

LOR'у в этом году исполнилось 20 лет.

В наступающем году нас ждет много увлекательного. Еще больше контейнеризации, физические ограничения литографии без перехода на ультрафиолет, изменение цен на комплектующие после снижения интереса к криптовалютам, новые версии любимого софта, еще больше работы регуляторов.

( Немного статистики )

>>> Подробности

делаю, как тут - https://wiki.debian.org/ZRam

а не работает - проверяю swapon -s

Всем привет есть VPS 8 Озу + процессор 2 ядра. на сервер нагрузки особо не много около 300+ посетителей в сутки.

но заметно бывает тормозит MYSQL долго отдает ответы. может кто даст рекомендации какие параметры стоит покрутить для поднятия быстродействия MYSQL.

может накрутил я лишнего.

за ранее спасибо.

#
# The MySQL database server configuration file.

# Remember to edit /etc/mysql/debian.cnf when changing the socket location.
[client]
port		= 3306
socket		= /var/run/mysqld/mysqld.sock

# Here is entries for some specific programs
# The following values assume you have at least 32M ram

# This was formally known as [safe_mysqld]. Both versions are currently parsed.
[mysqld_safe]
socket		= /var/run/mysqld/mysqld.sock
nice		= 0

[mysqld]
#
# * Basic Settings

user		= mysql
pid-file	= /var/run/mysqld/mysqld.pid
socket		= /var/run/mysqld/mysqld.sock
port		= 3306
basedir		= /usr
datadir		= /var/lib/mysql
tmpdir		= /tmp
lc-messages-dir	= /usr/share/mysql
skip-external-locking

#
# Instead of skip-networking the default is now to listen only on
# localhost which is more compatible and is not less secure.
bind-address		= 127.0.0.1
#
# * Fine Tuning

key_buffer		= 32M
key_buffer_size = 1024M
key_buffer = 1024M

max_allowed_packet	= 32M
thread_stack		= 512K
thread_cache_size       = 64

wait_timeout = 20000
interactive_timeout = 20000

# This replaces the startup script and checks MyISAM tables if needed
# the first time they are touched

myisam-recover         = BACKUP
max_connections        = 256
table_cache            = 1024
table_definition_cache = 2500

thread_concurrency     = 4

# * Query Cache Configuration
#
query_cache_type        = 1
query_cache_limit       = 64M
query_cache_size        = 128M
tmp_table_size          = 512M
max_heap_table_size     = 512M
join_buffer_size        = 512M
sort_buffer_size        = 32M

max_join_size = 1000000

myisam_sort_buffer_size = 256M
read_buffer_size = 16M
read_rnd_buffer_size = 32M

innodb_buffer_pool_size = 256M
innodb_flush_log_at_trx_commit = 2
innodb_buffer_pool_instances = 8

net_buffer_length = 1024
max_allowed_packet = 512M
max_sort_length = 512


#
# * Logging and Replication
#
# Both location gets rotated by the cronjob.
# Be aware that this log type is a performance killer.
# As of 5.1 you can enable the log at runtime!
#general_log_file        = /var/log/mysql/mysql.log
#general_log             = 1
#
# Error log - should be very few entries.
#
log_error = /var/log/mysql/error.log
#
# Here you can see queries with especially long duration

log_slow_queries = /var/log/mysql/mysql-slow.log

long_query_time = 3
#log-queries-not-using-indexes

#log-queries-not-using-indexes
#
# The following can be used as easy to replay backup logs or for replication.
# note: if you are setting up a replication slave, see README.Debian about
#       other settings you may need to change.
#server-id		= 1
#log_bin			= /var/log/mysql/mysql-bin.log
expire_logs_days	= 10
max_binlog_size         = 100M
#binlog_do_db		= include_database_name
#binlog_ignore_db	= include_database_name
#
# * InnoDB
#
# InnoDB is enabled by default with a 10MB datafile in /var/lib/mysql/.
# Read the manual for more InnoDB related options. There are many!
#
# * Security Features
#
# Read the manual, too, if you want chroot!
# chroot = /var/lib/mysql/
#
# For generating SSL certificates I recommend the OpenSSL GUI "tinyca".
#
# ssl-ca=/etc/mysql/cacert.pem
# ssl-cert=/etc/mysql/server-cert.pem
# ssl-key=/etc/mysql/server-key.pem

[mysqldump]
quick
quote-names
max_allowed_packet	= 32M

[mysql]
#no-auto-rehash	# faster start of mysql but no tab completition

[isamchk]
key_buffer		= 32M

#
# * IMPORTANT: Additional settings that can override those from this file!
#   The files must end with '.cnf', otherwise they'll be ignored.
#
!includedir /etc/mysql/conf.d/

Ну собсно всех ютубовских вертихвосток вчера выплеснуло.
Тут интересное такое наблюдение, кто кого спонсирует и чем зарабатывают топовые техно-блоггеры.

А так, жителям не из первого мира приходится привыкать:

- к минимальной рабочей конфе ноутбука, стоимостью в 600+

- к статусному стеклянному PDA, стоимостью в 1000+

Specs: https://www.gsmarena.com/samsung_galaxy_note9-9163.php

512 GB, 8 GB RAM or 128 GB, 6 GB RAM

Chipset	Exynos 9810 Octa - EMEA
Qualcomm SDM845 Snapdragon 845 - USA/LATAM, China
CPU	Octa-core (4x2.7 GHz Mongoose M3 & 4x1.8 GHz Cortex-A55) - EMEA
Octa-core (4x2.8 GHz Kryo 385 Gold & 4x1.7 GHz Kryo 385 Silver) - USA/LATAM, China
GPU	Mali-G72 MP18 - EMEA
Adreno 630 - USA/LATAM, China

Собственно сабж. На борту R5 R5SL120G

при запуске:

-device virtio-scsi-pci,id=bus-scsi0 \
-drive file=/dev/disk/by-uuid/28D5DD2B087E6B9E,format=raw,discard=unmap,if=none,id=drive0,cache=directsync,aio=native -device scsi-hd,bus=bus-scsi0.0,drive=drive0 

-----------------------------------------------------------------------
CrystalDiskMark 6.0.0 x64 (C) 2007-2017 hiyohiyo
                          Crystal Dew World : https://crystalmark.info/
-----------------------------------------------------------------------
* MB/s = 1,000,000 bytes/s [SATA/600 = 600,000,000 bytes/s]
* KB = 1000 bytes, KiB = 1024 bytes

   Sequential Read (Q= 32,T= 1) :   467.949 MB/s
  Sequential Write (Q= 32,T= 1) :   207.099 MB/s
  Random Read 4KiB (Q=  8,T= 8) :    86.439 MB/s [  21103.3 IOPS]
 Random Write 4KiB (Q=  8,T= 8) :    12.935 MB/s [   3158.0 IOPS]
  Random Read 4KiB (Q= 32,T= 1) :   125.975 MB/s [  30755.6 IOPS]
 Random Write 4KiB (Q= 32,T= 1) :    12.355 MB/s [   3016.4 IOPS]
  Random Read 4KiB (Q=  1,T= 1) :     9.129 MB/s [   2228.8 IOPS]
 Random Write 4KiB (Q=  1,T= 1) :     4.204 MB/s [   1026.4 IOPS]

  Test : 1024 MiB [X: 61.1% (68.3/111.8 GiB)] (x5)  [Interval=5 sec]
  Date : 2018/05/27 15:35:25
    OS : Windows 10 Professional [10.0 Build 16299] (x64)
  

Если запускать

-device virtio-scsi-pci,id=bus-scsi0 \
-drive file=/dev/disk/by-uuid/28D5DD2B087E6B9E,format=raw,discard=unmap,if=none,id=drive0,cache=directsync,aio=threads -device scsi-hd,bus=bus-scsi0.0,drive=drive0 

то

-----------------------------------------------------------------------
CrystalDiskMark 6.0.0 x64 (C) 2007-2017 hiyohiyo
                          Crystal Dew World : https://crystalmark.info/
-----------------------------------------------------------------------
* MB/s = 1,000,000 bytes/s [SATA/600 = 600,000,000 bytes/s]
* KB = 1000 bytes, KiB = 1024 bytes

   Sequential Read (Q= 32,T= 1) :   749.352 MB/s
  Sequential Write (Q= 32,T= 1) :   221.160 MB/s
  Random Read 4KiB (Q=  8,T= 8) :    75.715 MB/s [  18485.1 IOPS]
 Random Write 4KiB (Q=  8,T= 8) :    25.520 MB/s [   6230.5 IOPS]
  Random Read 4KiB (Q= 32,T= 1) :    91.216 MB/s [  22269.5 IOPS]
 Random Write 4KiB (Q= 32,T= 1) :    25.544 MB/s [   6236.3 IOPS]
  Random Read 4KiB (Q=  1,T= 1) :     9.616 MB/s [   2347.7 IOPS]
 Random Write 4KiB (Q=  1,T= 1) :     3.973 MB/s [    970.0 IOPS]

  Test : 1024 MiB [X: 61.1% (68.3/111.8 GiB)] (x5)  [Interval=5 sec]
  Date : 2018/05/27 16:47:25
    OS : Windows 10 Professional [10.0 Build 16299] (x64)
  

Вообщем то вроде перегуглил все, что мог. Скорость ужасна, судя по бенчмарку. В реале, копирование разноразмерных файлов с hdd на этот sdd началось от 120 мб\сек и опустилось до 50мб\сек (как кеш кончился).

Цель курса — Получить навыки работы в Unix-like ОС и практику системного программирования а также сделать собственный сервис с нуля

Если тебе интересны:
- разработка низкоуровневых сервисов,
- разработка сетевых приложений,
- создание высоконагруженных систем на языке Perl,
то будем рады видеть тебя на нашем курсе.
Самых успешных ждёт возможность стажировки в лучших проектах Mail.Ru Group.

Важное замечание: помимо языка Perl будет рассмотрено устройство Unix-подобных систем, поэтому лекции будут интересны даже ненавидящим Perl гражданам.

Описание курса
Вводная лекция

Часто бывает так, что в очередной минорной версии разработчики Wine что-нибудь ломают для одной конкретной программы или игры, при этом все остальные программы работают нормально. И пользователю приходится либо откатываться до предыдущей версии Wine (это возможно не во всех дистрибутивах), ставить PlayOnLinux, что не всем нравится, либо компиллировать самому.

Чтобы предотвратить это неудобство, я с некоторых пор делаю бинарные сборки Wine и выкладываю их для всех желающих. Располагаются они здесь. Когда задумывал это, то вдохновлялся примером PlayOnLinux, которые тоже делают собственные бинарные сборки Wine, но обладают некоторыми недостатками:

1. Выходят нерегулярно.
2. Скрипта, который их формирует, я так и не нашел.
3. Мне нужна еще версия с патчами Staging, а они не для каждой версии их делают.

Поэтому я несколько месяцев назад написал свой собственный скрипт, c помощью которого можно скомпиллировать любую версию Wine, в том числе на выбор, со staging патчами или без.

Преимущество бинарных сборок:

1. Идут практически любом современном дистрибутиве. За абсолютно все дистрибутивы любой давности ручаться не буду, сам проверял только на паре дистрибутивов, поэтому хотелось бы чтобы вы их протестировали и подтвердили или опровергли это утверждение.
2. Для использования не требуется ничего, установленных зависимостей для Wine. Сам системный Wine при этом даже необязателен.
3. Можно иметь хоть с десяток разных версий Wine для разных программ и с легкостью переключаться между ними без каких-то переустановок. Чтобы установить бинарную сборку, достаточно лишь ее распаковать в любой каталог.

В процессе создания бинарных сборок я целенаправленно не применял никаких сторонних патчей. В версии с патчами Staging присутствует только набор патчей из Staging и больше ничего. В ванильной версии не применяются никакие патчи. Даже несмотря на то, что начиная с какой-то версии из ветки 1.9.x Wine стало невозможно скомпиллировать с помощью gcc 5.3.0 и патч довольно оперативно написали, я предпочел откатиться до gcc 4.8.5, чем применять этот патч. Сомневающимся могу порекомендовать скачать мой скрипт, собрать Wine самому с помощью gcc 4.8.5 и после чего сравнить свой хэш получившегося архива с моим.

Для чего эта тема? Во-первых, для информации. Может кому-нибудь пригодятся мои бинарные сборки, мне будет приятно. И еще протестируйте их пожалуйста на своих разных дистрибутивах разных версий, чтобы посмотреть, действительно ли они дистронезависимые или нет?

И еще раз ссылки:

1. Сайт с бинарными сборками Wine
2. Скрипт, по которому они формируются

P.S. Перед использованием скрипта отредактируйте его и измените содержимое переменных WORKDIR (каталог, в котором будет компиллироваться Wine) и GCC_VERSION (версия GCC, которая применяется для сборки) в соответствии со своими предпочтениями. А то там сейчас стоят мои значения.

Обновлено 04.02.17:
В связи с тем, что после выхода Wine 2.0 сменилась нумерация промежуточных версий (промежуточная версия теперь 2.1 и все исходники будут лежать в папке 2.x и еще они сменили формат архива), то скрипт для сборки разделен. Скрипт wine_build_1.9.x-2.0.sh - для сборки всех предыдущих версий Wine до версии 2.0 включительно и wine_build-2.x.sh - для всех версий после 2.0. Да, это неудобно. Но это лучше, чем если бы в одном скрипте писать кучу костылей по парсингу мажорной версии, минорной версии и их какого-то совмещения. Размер скрипта значительно увеличился бы, он стал бы трудночитаемым и вряд ли это решение было бы совсем безглючным.

Обновлено 25.10.18:
Я закрываю формирование бинарных сборок в связи с тем, что Wine в последнее время оброс сторонними патчсетами, вроде esync, да и самому мне это все надоело. К тому же появился Steam Play. Все предыдущие сборки вы можете скачать отсюда, но новые формироваться вряд ли будут. Там же вы найдете скрипт, с помощью которого можно будет сделать свою собственную сборку.

Обновлено 24.10.20:
В силу некоторых причин пришлось снова расчехлить мой скрипт для формирования бинарных сборок. Только сами бинарные сборки я выкладывать не буду: мне и влом, и места на хостинге жалко, да и проблемы совместимости с разными версиями glibc в разных дистрибутивах.
Вместо этого я адаптировал сам скрипт согласно современным реалиям и выложил его на GitHub - пользуйтесь, если хотите. Скрипт пришлось практически полностью переписать, убрать костыли, а заодно и поддержку сборки из git. Для сборки из git надо писать отдельный скрипт, поскольку там другие пути и сценарии распаковки и сборки. Может займусь этим когда-нибудь.

Привет,

Подскажите, пожалуйста, какая цветовая схема будет лучше.

Понимаю, что все очень-очень субъективно и зависит от освещения, монитора, расстояния.

Сейчас использую --

Шрифт — Terminus

Цвет шрифта — #AFAFAF

Цвет фона — абсолютно черный.

Мои приветы форумчанам! Господа, ситуация следующая: Схема построена по следующему принципу: Сервер 1С Пред. (CentOS x64) <==> Веб-сервер Apache+1C WS (Debian x64) Порты 1С фейрволом прокинуты (как ТСП так и ЮДП (пакеты бегают по порту 1560) На стороне веб сервера в директории /opt/1C/.../x86_64/, создана директория conf и сконфигурирован файл nethasp.ini (хотя этот момент выполняется, когда 1С установлен на Винде) Я на форуме Инфостарт создавал топик на тему «Как разрешить выдачу лицензий?» (https://forum.infostart.ru/forum86/topic187849/). Собсна вопрос звучал следущим образом: Если 1С будет поднят на сервере Виндовс, для разрешения выдачи лицензии сервером 1С, достаточно из выподающего меню выбрать «ДА». Как быть, если 1С поднят на Линуксе?

---------------------

Позже мне подсказали про утилиты администрировани rac и ras

---------------------

Дальше дело пошло бубнем вокруг костра: Почитал, покапался и предварительный вариант включения раздачи лицензии получил облик следующий:

rac infobase update --cluster=4ecc928c-11ac-11e8-6782-5254009d534e --infobase=3df78220-1498-11e8-6981-5254009d534e --license-distribution=allow Но результат=0 Примечание: Манипуляции выполнялись с существующей ИБ.

---------------------

Попробовал из консоли создать ИБ (по нежеуказанной команде)

rac infobase --cluster=4ecc928c-11ac-11e8-6782-5254009d534e create --create-database --name=banana --dbms=PostgreSQL --db-server=sj35c --db-name=banana --locale=ru --db-user=postgres --db-pwd=«passwd» --license-distribution=allow

Результатов это не дало. ==> В плане лицензии, при обращении браузером ругается на отсутствие лицензионного ключа. Это и является текущей занозой, которую я не могу пока победить((

Приветствую! Переполненный желанием принести сообществу красноглазых хоть какую-то пользу, решил выложить для всеобщего пользования профили безопасности AppArmor для постоянно сидящих в сети неугодных Столлману мессенджеров Viber и Telegram. Профили созданы на Kubuntu 16.04 и минимально тестировались (вроде запускаются, то есть) только на ней же. За основу был взят найденный где-то в сети профиль для скайпа. Часть правил осталась от скайпа, и, возможно, не нужна. В тексте профиля следует заменить /raid/downloads/ на нужную папку для загрузки\выгрузки файлов. Предполагается, что Viber ставился deb-пакетом с официального сайта, а Telegram - из ppa, оба в /opt. Мои исходные тексты выкладываются под свободной лицензией PIZZA-WARE. Дальнейшее совершенствование всемерно приветствуется, особенно в части доступа к оборудованию.

Viber:

#include <tunables/global>
/opt/viber/Viber {
  #include <abstractions/audio>
  #include <abstractions/consoles>
  #include <abstractions/dbus>
  #include <abstractions/gnome>
  #include <abstractions/kde>
  #include <abstractions/nameservice>
  #include <abstractions/video>

  # Executables
  /opt/viber/Viber ixmr,
  /usr/bin/xdg-open PUxmr,

  # Configuration files
  owner @{HOME}/.ViberPC/ rw,
  owner @{HOME}/.ViberPC/** krw,

  # Downloads/uploads directory
  /raid/downloads/** krw,
  
  # Libraries and other data
  /opt/viber/** mr,

  # Shared data
  /usr/share/viber/ r,
  /usr/share/viber/** r,

  # Devices
  /dev/ r,
  /dev/video[0-9]* mrw,
  /dev/nvidia* rw,

  # System information
  /etc/machine-id r,
  @{PROC}/sys/kernel/{ostype,osrelease} r,
  @{PROC}/sys/vm/overcommit_memory r,
  @{PROC}/[0-9]*/net/arp r,
  owner @{PROC}/[0-9]*/cmdline r,
  owner @{PROC}/[0-9]*/status r,
  owner @{PROC}/[0-9]*/task/ r,
  owner @{PROC}/[0-9]*/task/[0-9]*/stat r,
  /sys/devices/system/cpu/ r,
  /sys/devices/system/cpu/cpu[0-9]*/cpufreq/scaling_{cur_freq,max_freq} r,
  /sys/devices/pci*/*/** r,
  /sys/bus/pci/** r,

  # This probably should go to appropriate abstractions
  owner @{HOME}/.config/fontconfig/fonts.conf r,
  owner @{HOME}/.config/gtk-3.0/bookmarks r,
  owner @{HOME}/.config/pulse/cookie krw,
  owner @{HOME}/.icons/** r,
  owner @{HOME}/.kde/share/config/kioslaverc r,

  # Denials
  deny owner @{HOME}/.mozilla/ r,
  deny owner @{HOME}/.mozilla/** r,
  deny /sys/devices/virtual/dmi/** r,
}

Telegram:

#include <tunables/global>
/opt/telegram/Telegram {
  #include <abstractions/audio>
  #include <abstractions/consoles>
  #include <abstractions/dbus>
  #include <abstractions/gnome>
  #include <abstractions/kde>
  #include <abstractions/nameservice>
  #include <abstractions/video>

  # Executables
  /opt/telegram/Telegram ixmr,
  /usr/bin/xdg-open PUxmr,

  # Configuration files
  owner @{HOME}/.TelegramDesktop/ rw,
  owner @{HOME}/.TelegramDesktop/** krw,

  # Downloads/uploads directory
  /raid/downloads/** krw,
  
  # Libraries and other data
  /opt/telegram/** mr,

  # Devices
  /dev/ r,
  /dev/video[0-9]* mrw,
  /dev/nvidia* rw,

  # System information
  /etc/machine-id r,
  @{PROC}/sys/kernel/{ostype,osrelease} r,
  @{PROC}/sys/vm/overcommit_memory r,
  @{PROC}/[0-9]*/net/arp r,
  owner @{PROC}/[0-9]*/cmdline r,
  owner @{PROC}/[0-9]*/status r,
  owner @{PROC}/[0-9]*/task/ r,
  owner @{PROC}/[0-9]*/task/[0-9]*/stat r,
  /sys/devices/system/cpu/ r,
  /sys/devices/system/cpu/cpu[0-9]*/cpufreq/scaling_{cur_freq,max_freq} r,
  /sys/devices/pci*/*/** r,
  /sys/bus/pci/** r,

  # This probably should go to appropriate abstractions
  owner @{HOME}/.config/fontconfig/fonts.conf r,
  owner @{HOME}/.config/gtk-3.0/bookmarks r,
  owner @{HOME}/.config/pulse/cookie krw,
  owner @{HOME}/.icons/** r,
  owner @{HOME}/.kde/share/config/kioslaverc r,

  # Denials
  deny owner @{HOME}/.mozilla/ r,
  deny owner @{HOME}/.mozilla/** r,
  deny /sys/devices/virtual/dmi/** r,
}

PS Так же починил профиль для работы openjdk icedtea 8 в Firefox. Если кого интересует - готов выложить.

Ускорители вернулись, центральная ступень разуплотнилась, Тесла летит к Марсу.

http://www.spacex.com/webcast

Трансляции https://www.youtube.com/watch?v=wbSwFU6tY1c и https://www.youtube.com/watch?v=lQx6YBtQZbw Запуск могут перенести, пока я делал пост перенесли на час.

Сегодня Маск запускает самую мощную американскую ракету со времён Сатурна-5. В качестве пиар-нагрузки Tesla Roadster, у которой в бардачке книга «Автостопом по галактике», полотенце, табличка, за рулём сидит скафандр, а в магнитоле крутится запись Space Oddity Дэвида Боуи.

Делайте ваши ставки, взлетит ли частная космонавтика сегодня вечером. Сам Маск осторожен в прогнозах поскольку это первый пробный запуск и хорошо бы стол не взлетел вместо ракеты.

Как вы думаете, запуск был или это запись из Голливуда?

Ещё осенью была 9, а уже 10.

Ссылка для скачивания: http://jdk.java.net/10/

Если коротко: на все баги ниже P1 (т.е. критические) забвивают и переносят на следующие релизы. Релизы будут раз в полгода с поддержкой 6 месяцев (минимум), время от времени будет LTS с поддержкой 3 года (минимум).

Из фич:

• Ключевое слово var для типов переменных
• Красивый интерфейс чтобы писать свои GC
• Параллельная полная сборка мусора (full GC, чистит весь управляемый хип)
• Классы теперь можно класть в «разделяемые библиотеки»
• Допердолили юникод немного
• Graal можно использовать как JIT-компилятор в обычной поставке OpenJDK (не девелоперской), но это работает только на 64-битных линуксах
• cacerts теперь не пустой, и TLS работает из коробки

Более подробно я расписал на Хабре (т.к. здесь не влезет): https://habrahabr.ru/company/jugru/blog/349024/

Disclaimer1: Проблема с данным маном в том, что местной аудитории, например, плевать на ведроид, а тому же 4pda наплевать на фанатичный СПО и избавление от зондов. Рискнем и запостим здесь.

Disclaimer2: Все описанное является суммой наклопленного мной опыта вперемешку с моим личным мнением. Пишите комменты, будем улучшать-дополнять-чинить

Уровень прошивки

Практически все стоковые прошивки на сегодняшний день идут с gapps (Google Apps). Что же это за зверь:

• Любое приложение (даже не требуещее никаких прав) может с ним общаться.
• Gapps имеют доступ к сети.
• Gapps позволяют Google в любой момент установить/удалить с вашего телефона любое приложение.
• Gapps постоянно держат открытое сетевое соединение с серверами гугла (для нужд push-нотификаций).
• Gapps — нереальное огромное количество кода. Стоковый образ (если верить opengapps) будет весить около 700Мб.

ААААА, как это удолить этот рассадник потенциальных уязвимостей и жора батарейки?

Сложный вопрос, на самом деле. Есть три варианта действий:

• Новый и простой, и профитный способ. Появилась прошивка «LingeageOS for microG». Если ваше устройство поддерживает её, просто ставьте её и наслаждайтесь. Fdroid+MicroG+пуши+signature spoofing+unlp+OTA-обновления из коробки
• Самый простой способ. Если ваш андроид достаточно старый (на достаточно новом не удастся отключить самый главный компонент gapps), из Настройки->Приложения отключите все, связанное с Google (особенно, Google Service Frameworks):
  • root не требуется;
  • push-уведомления работать не будут;
  • на устройстве останется огромная и потенциальная куча гугловского дерьма, хоть и менее активная.
• Способ посложнее. Накатываем root и вручную удаляем все пакеты и библиотеки, требуемые гуглу:
  • требуется root и разблокировка загрузчика;
  • минимальное количество зондов без смены прошивку на полностью опенсорсную;
  • увы, в последних версиях андроида вам, скорее всего, придется оставить несколько пакетов (вроде GoogleSetupWizard), иначе система не загрузится.
• Самый профитный способ. Ставим альтернативную прошивку (или мотаем до следующей секции и покупаем устройство с пгавославной прошивкой без зондов из коробки). Наслаждаемся.
  • Требуется root, разблокировка загрузчика, шаманство и местами смена устройства.

Я тут начал наслаждаться, но вдруг понадобились пуши, да и Uber требует зонды. Что делать?

Вдоль

Попробовать поставить MicroG, свободную реализацию клиентской части гуглозондов. Самая больная часть: помимо собственно MicroG вам нужно будет запилить себе Signature Spoofing. Коротко говоря, это обход защитного механизма, не позволяющего прикидываться gapps'ами кому попало. Для этого необходимо либо патчить прошивку при помощи Xposed/Needle/Haystack, либо использовать совместимую прошивку (смотрите список, по ссылке, их стало очень много). Все подробности по той ссылке.

MicroG позволяет завести пуши, сервисы геолокации (со множеством бекендов, ищите nlp location backend в f-droid) и большое количество софта (когда я в последний раз тыкал, работали даже покемоны).

Уровень софта

Без гуглозондов жить есть!

https://f-droid.org/ — каталог с опенсорсным софтом.

Предлагаю вам следующий список приложений, способный заменить типичный набор проприетари из типичной вендорской прошивки. Аналогичный список: https://github.com/Datenschutz/awesome-FOSS-apps

• Yalp store. Позволяет ставить приложения из Google Play (да, иногда это все-таки нужно), в том числе через общий аккаунт. Не требует зондов.
  • Позволяет так же выкачивать купленные приложения (но не факт, что они заработают: они при работе могут проверять лиценизию через gapps, возможно, тут может помочь microg).
  • Альтернативно, воспользуйтесь моим решением для выкачивания софта прямо в свой репозиторий f-droid.
• K-9 Mail. Почтовый клиент.
• DAVDroid. Синхронизация контактов с owncloud/nextcloud.
• Gadgetbridge. Синхронизация с умными часами и браслетами (pebble, mi band и некоторые другие)
• NewPipe. Клиент для YouTube. Умеет воспроизводить видео в фоновом режиме как музыку, загружать файлы.
• Odyssey. Просто материальный музыкальный плеер, но в последнее время очень нужный, т.к. вендоры повадились заменять в прошивке плеер на Google Music.
• Набор простых и красивых затычек для различных приложений — simple mobile tools.
• Файрволл AFWall+ файрволл (имеет Xposed модуль для расширения возможностей)
• Amplify Battery Extender.
• DNS66.
• KDE Connect.
• OpenKeychain.
• OpenVPN FOSS.
• Картография и навигация: Maps.Me (приз симпатий от комментаторов), OsmAnd (приз глюкалова от меня, но щито поделать).
• Список стал очень жирным. Пока новые элементы не добавляю, думаю над критериями включения в него софта.

Если вы будете ставить проприетарный софт, помните о следующем:

• Желательно зайти в настройки приложения и вручную запретить доступ ко всем ненужным разрешениям, дабы не промахнуться в нужный момент.
• Отключите приложению фоновый доступ к сети (если у вас свежий Android) или вообще доступ к сети (если у вас стоит файрволл).
• Малвари вроде «Сбербанк Онлайн» вообще лучше создать отдельный аккаунт на телефоне.
• Яндексовским приложениям нельзя давать доступ к местоположению. Вообще никаким — все сливают.
• Проприетарь может читать названия аккаунтов, даже не принадлежащих ей. Называйте их максимально обще, т.е. вместо «sportloto@syncserver.com» делайте «contacts sync».

Права суперпользователя

Читая васянский 4pda вы часто можете увидеть «ну и накатываем SuperSU.zip». Не делайте этого. Есть прекрасный опенсорсный superuser, совместимый со свежими ведроидами. Нужно лишь поставить zip (используйте beta на android >=6) и apk.

Если ваша прошивка основана на LineageOS, то все еще проще. Где-то рядом с загрузками в директории extra должен валяться zip, включающий встроенные и интегрированные в прошивку права суперпользователя. Профит.

XPosed

XPosed — опенсорсный фреймворк для низкоуровневых хаков.

• Не доступен для свежих андроидов.
• Позволяет заставить не увидеть root всякие «Сбербанки Онлайн».
• Имеет кучу некрофильских и неопенсорсных модулей. Осторожнее.
• Легким движением руки может окирпичить прошивку.
• Полезные модули:
  • PlayPermissionsExposed
  • YouTubeAdAway (но все-таки советую использовать NewPipe, LightTube, WebTube, SkyTube или MiniTube. Тысячи их!)
  • XPrivacy — по своей сути это «песочница» для любого, даже системного, ПО. Xprivacy применяет правила ко всему ПО. Эти правила можно создавать самому или качать готовые. То есть, к примеру, если установлено нечто местами полезное, но попутно показывающее свою рекламу, Xprivacy можно просто запретить этому ПО доступ в сеть. Или если очередная косынка хочет интернет, список контактов, доступ к микрофону и камере, то с Xprivacy это легко и просто запрещается конкретно этой гадости и она даже будет при этом работать не имея доступа к тому, что ей будет запрещено.

Уровень устройства

Тут тоже всё плохо. Выбор:

• Рандомный флагман с хорошей поддержкой LineageOS (CyanogenMod). Поддержка, вероятно, будет хорошей, секьюрити-апдейты будут приходить долго (например, для htc desire hd цианоген обновлялся до самого конца — декабря 2016 года), но вот версия андроида, скорее всего, застрянет. Обычно дорого. Можно искать по списку официально поддерживаемых линейкой устройств.
• OneplusOne / Wileyfox Swift 1. Поставлялись с CyanogenOS, имеют хорошее коммьюнити разработчиков, будут долго обновляться в софтовой части. В железной — все плохо. 1+1 уже довольно старый и хорошие запчасти купить сложно. Wileyfox изначально имел несколько проблем, в т.ч. слабенькую батарейку. Компенсируется ценой, местами можно найти новое в продаже. Довольно бюджетно.
• Fairphone 2. Очень дорого, очень хорошо. Но это в теории, как там на практике — хз, не пользовался, отпишитесь.
• Рандомный телефон с официальным портом los. Сойдет, главное, чтобы фатальных багов в порте не было. Долгой жизни порта не ждите.
• Рандомный телефон с васянским los. Совсем плохо, но если телефон уже куплен, ничего не поделать.
• Рандомный телефон с васянским ведроидом, основанным на стоковой прошивке / без исходников / проч. Лучше такое не ставить, а подготовить прошивку самостоятельно, смотрите выше и ниже.

Следует также заметить, что:

• Существует несколько устройств с CyanogenOS, без доступной Cyanogenmod. В комплекте идут сервисы microsoft, gapps и много разной другой блотвари. Исходники обычно зажабены. Пример устройств: Wileyfox Spark, Wileyfox Swift 2(|+|x).
• Выбирая устройство, так же загляните на его страничку на 4pda. Ресурс хоть и васянский, но очень полезный: можно увидеть список доступных прошивок, FAQ по типичным проблемом, список самых вероятных заводских проблем (которые можно проверить еще перед покупкой).

Уровень физической безопасности

Для чего нужна физическая безопасность:

Допустим, ваш девайс попал в руки злоумышленнику.

• Во-первых, вы хотите, чтобы он не имел никакой возможности прочитать важные файлы с вашего телефона (кейз ФБ-1).
• Во-вторых, вы хотите узнать, не добавил ли он кейлоггеров в ваш загрузчик (кейз ФБ-2).

Сразу скажу: всё плохо. Вам может показаться, что заботливые производители позаботились о вас, залочив загрузчик вашего телефона и не позволяя его разблокировать, не удалив все данные с телефона.

Я бы на вашем месте на это не рассчитывал.

• Аппаратные защиты часто не надежны и опираются на принципах безопасности через неясность, в них переодически находят уязвимости
• На прекрасных, казалось бы, телефонах Xiaomi вы не сможете разблокировать загрузчик, если с Xiaomi что-либо случится: разблокировка производится с участием интернета при помощи (работающей только под Windows) программы, требующей их аккаунта и доступа к интернету. У HTC похожая ситуация, но в несколько более мягких условиях.
  • Скорее всего, это доставит неудобств именно вам, а не злоумышленнику
• Всякие проприетарные системы полнодискового шифрования тоже не выдерживают проверок специалистами.

Выводы:

• Для хранения ваших секретных файлов в безопасности от ФБ-1 используйте, к примеру, Secrecy.
• «Таблеток» от ФБ-2 на сегодняшний день нет. Промбируйте телефон при помощи скотча и волос и не расставайтесь с ним.
• Лучше все-таки не хранить никакие важные данные на телефоне.

Модули сотовой связи

В каждом мобильном телефоне, почти каждом планшете есть GSM-модуль мобильной связи. Это —

• Фактически отдельное устройство, обычно имеющее максимальный доступ к процессору, памяти и переферии. Зачем это делают — черт знает. Возможны исключения, нужно уточнять в каждом отдельном случае.
• Идентифиционный модуль, который постоянно разговаривает с воздухом.
• Куча проприетарного кода, который никто не анализировал. В тех немногих случаях, когда анализировали — находили кучу всего интересного.
• Работает это все на протоколах, местами разработанные в 80-х годах.

Так что тут все настолько плохо, что я даже предложить ничего не могу. Страдайте.

Вроде, все, что хотел сказать. Выдыхаю

вобщем, вся суть вопроса раскрыта, хочу взять x220, но соменваюсь, как не прогадать?

на что смотреть, чтоб взять нормальный экземпляр? у кого есть такой опыт? какие будут советы? брать refurbished или просто used?

если что, живу в европах, доставка не дорогоая и быстрая.

Собственно, есть база языка (прям совсем натянута) и есть желание прокачать словарный запас, потому как сейчас читать даже простые тексты сложно: 40-50% слов знакомо, но связать их в предложение не могу. Как осуществить? Бороздить словарь и тупо заучивать слова? Или читать английские тексты со словарём?