Хочется неформальное объяснение всего связанного с apt до глубины глубин. Не столько то, как это работает на системе, сколько социально-организационные аспекты. Например, какие пакеты попадают в репу, какие бывают репы, кто админит и заведует репами, как патлаты эти люди, какие у них свитера, какие политические взгляды, где живут, что думают о мире, насколько легко занести вирусы в репы, кто кеширует репы, насколько велики гарантии доступности реп или зеркал, какие ещё кроме apt бывают пакетные менеджеры (snap) и на тех же самых распространённых дебианах и убунтах в мире, почему пакет попадает туда, но не попадает сюда. Кто компилит и тестит пакеты, где стоит компиляторная ферма для реп.

Разные там срачи и споры о версиях, обновлениях, порядке раскаток, компилений, распространений. Политиках обновления дистров, придумывания названий новых убунт и как всё это связано с apt и так далее.

Короче какой-то такой сюжетец документальный в духе «Настоящее Время» канала про apt и всё вокруг этого.

Почти ansible, да не совсем. Почти rsync, да не совсем. Почти apt-get, но надо проще.

1. Есть 10 одноплатников, у каждого / смонтирован «ro», чтобы не портили. Файловые системы могут отличаться только разными настройками сети, плюс у каждого в /etc/my-role.conf лежит своё имя «роли» этого одноплатника. Роль - это основное, чем он характеризуется для внешнего мира, десять штук с одинаковой ролью - одинаковые. Одноплатник тут упомянут зачем, чтобы сделать акцент на копеечных масштабах и нагрузках. Бывает одноплатник для видеонаблюдения, бывает одноплатник для измерения температуры, бывает одноплатник для пожарной сигнализации. И т.п.

2. У каждого одноплатника в рамдике есть каталог W, который после старта пустой, но куда согласно его роли нужно накатить набор библиотек, исполняемых бинарников и прочих файликов и некоторые из них запустить. Так же нужно, чтобы они обновлялись и перезапускались.

3. Нужно чтобы на каждом одноплатнике работал некий не обновляемый прибитый гвоздями процесс R, запускаемый как systemd «simple» сервис, который бы периодически ходил на центральный прибитый гвоздями домен, отправлял туда описание каталога W и свою роль. В ответ бы он получал пути, которые нужно удалить или обновить. Описание каталога W - это список путей до существующих файлов в каталоге W, где про каждый файл изестен sha1 и размер. Какбэ индекс W. Центральный сервер в ответ на описание каталога W выдаёт новое описание W1. Далее процесс R скачивает недостающие или не правильные файлы и обновляет и атомарно подменяет их в W (rename downloading.tmp goodname.so). Так же процесс R удаляет файлы, которых нет в новой версии W1.

4. Так же нужно, чтобы процесс R служил неким простым systemd, который бы умел простую вещь: понимать список запущенных процессов, их sha1 и их аргументов. Если у процесса A это меняется (поменялся sha1 и был скачан новый бинарник), то старому надо послать TERM или -9 и запустить его заново. То есть, помимо W1 передаётся некий список RUN1, где перечислены бираники и их sha1, которые щас должны работать.

В общем, обмен списком содержимого каталога и поддерживальщик запущенности бинарников таким sha1, которые есть в списке «должно быть запущено». Всё лежит на рамдиске, теряется при первом же ребуте. Единственно стабильные вещи это:

• имя роли
• запущенные процесс R с флешки
• гвоздями прибитый домен «дистрибьютора», куда можно прийти с ролью и сказать «чо почём, как дила, я роль N, мой W такой-то, дай новый W1 и RUN1».

Белых айпишников нет, в железки никто пойти не может.

Такие дела. Есть чё?

P.S. За пару вечеров нафигачил на C++ костяк собственного решения. Не сложное что-то. Оно же будет служить и заменой systemd для моих «демонов». Сделать fork() + execve() оказалось легко и не больно, а получать SIGCHLD и узнавать кто подох и перезапустить через заданный таймаут тоже проще простого. В общем, получается такой компактное решение, которое всё что надо делает из коробки…

1. Есть железка cubieboard3/cubietruck, но проблема вряд-ли специфична. На неё месте мог бы быть любой Raspberry. На ней есть распаянная флешка, там стоит какой-то неведомый линукс - он не важен. Важно, что этот распаянный линукс после загрузки умеет посылать запросы по BOOTP/DHCP в etnerhet-сеть и успешно получать себе IP-адрес. Дальше на распаянный линукс можно прийти по ssh и успешно получить официальный отлуп (паролей я не знаю). В общем, сеть работает в две стороны. Кроме распаянной флешки, железка умеет грузиться с SD-карты, если таковая воткнута.

2. У других людей была такая же железка, которую долго грузили с SD-карты, причём readonly (ну не важно). На SD-карте была свежая Armbian - ну считай Debian/Ubuntu, скомпилённая под этот Allwinner A20 ARM cortex-A7. Я взял у людей эту флешку и тупо скопировал себе корень. Как файлики. Тупо через tar -czvf весь корень. (да-да, я просто мог скачать образ Armbian и официально накатить, но были нужны накопившиеся изменения и оптимизации в системе, сделанные этими людьми; да-да, можно было скопировать флешку как образ, но это была бы другая история наверное). Далее взял вторую флешку, создал там таблицу разделов и 1 раздел ext4 (поставил ещё на нём галку BOOT, возможно это ни на что не влияет), распаковал в этот новый ext4 свой архив. Далее ещё немного страданий: скомпилил U-Boot, накатил на флешку U-Boot, пофиксил в /boot конфиге UUID корневой ext4 на правильный. В общем, успешно удаляя зубы через ноздри, заставил железку грузиться с моей франкенштейн-флешки.

3. Втыкаю свою новую флешку в свою железку. Косвенно по миганиям лампочек я вижу, что теперь загружается не что-то с распаянной флешки, ибо мигания совсем не характерны, а кое что и вообще не мигает! Грузится именно система с моей SD. Причём успехово загружается, видимо даже доходит до исполнения /etc/network/interfaces и начинает посылать BOOTP/DHCP запросы. Ну и по логам на DHCP-сервере я вижу, что запросы приходят, но немного другие… И тут-то самый цимес!

4. ВОПРОС-ПРИКОЛ. Прикол в том, что у системы с флешки сеть как будто односторонняя! С распаянной флешки приходит один MAC, а система с SD-карты говорит другой MAC (это не самое страшное, подумаешь разные MAC). Но системе с распаянной флешки IP-адрес выдают - она проходит успешно все 4 этапа: DHCPDISCOVER, DHCPOFFER, DHCPREQUEST, DHCPACK. Но система с SD-карты как будто физически не видит пакетов от DHCP-сервера. От SD-карты приходит DHCPDISCOVER, DHCP-сервер отвечает обратно DHCPOFFER и на этом конец до следующего повтора цикла. Как будто у системы на флешке этот MAC где-то забит, который конфликтует с физическим: как будто на исходящие пакеты проставляется какой-то левый, а входящие отбрасывает сама сетевуха физически, т.к. думает, что это пришло не для неё. Но нет! Замена MAC на SD-карте (написанием hwaddress ether 00:11:22:33:44:55 в /etc/network/interfaces где следует) не меняет ситуацию - точнее на DHCP-сервер SD-карта теперь приходит с тем же MAC, с каким приходила распаянная флешка, но толку нет. Свитчей между устройствами нет: клиент прямо кабелем UTP воткнут в сервер. Покопаться в системе в распаянной флешке возможности нет, чтобы что-то позучать, да и неинтересно. Грепание MAC-адреса, с которым в DHCP-сервер приходила SD-карта на этой SD-карте успехов не принесло, видимо это таки настоящий MAC, а на распаянной флешке забит левый, но это тоже не важно. Пробовал поставить статический адрес на SD-карту: эффект ещё интереснее: когда SD-карту пингуешь с хоста A, то SD-карта начинает вещать в сеть ARP-запросы: «а кто из вас тут A?», на что A отправляет ответы в сеть, но их как будто никто не видит. Скорее всего ARP-запросы от железки с пингом не связаны, а связаны с тем, что адрес A был случайно забит на SD-карту как default gateway, а с пингом просто по времени совпало. В общем, чудесный прикол: как будто слепая на приём сеть на cubieboard-3/cubietruck при загрузке с этой странной флешки. Я бы понял, если бы на флешке побились модули ядра про сеть, но в одну сторону-то сеть работает!

Кто что думает хорошего про всё это - поделитесь! Спасибо.

Немного дампа трафика с запросами DHCPDISCOVER и уходящими вникуда DHCPOFFER:

03:25:23.646663 02:0b:04:02:22:20 > ff:ff:ff:ff:ff:ff, ethertype IPv4 (0x0800), length 342: 0.0.0.0.68 > 255.255.255.255.67: BOOTP/DHCP, Request from 02:0b:04:02:22:20, length 300
03:25:23.646814 28:d2:44:bd:f8:8a > 02:0b:04:02:22:20, ethertype IPv4 (0x0800), length 342: 192.168.30.1.67 > 192.168.30.16.68: BOOTP/DHCP, Reply, length 300
03:25:39.412397 02:0b:04:02:22:20 > ff:ff:ff:ff:ff:ff, ethertype IPv4 (0x0800), length 342: 0.0.0.0.68 > 255.255.255.255.67: BOOTP/DHCP, Request from 02:0b:04:02:22:20, length 300
03:25:39.412829 28:d2:44:bd:f8:8a > 02:0b:04:02:22:20, ethertype IPv4 (0x0800), length 342: 192.168.30.1.67 > 192.168.30.16.68: BOOTP/DHCP, Reply, length 300

SOLVED Решено. Но вопросов осталось ещё больше: надо было пересобрать U-Boot с конфигом не для Cubieboard3, а для Cubieboard2, потому что тот конфиг взводит какие-то не те GPIO-пины, в результате чего из-за особенностей разводки платы сетевуха впадает в полуглухой режим работы. Это жепь-ебрилло и понять без бутылки это невозможно, но это работает.

Вот есть файлик /etc/network/interfaces. Это конфиг для бинарников ifup и ifdown.

1. Когда они запускаются? Как физически они видят, что у какого-то etnerhet появилась несущая и надо отработать? Какой процесс смотрит за этим?

2. Если у интерфейса написано auto, значит надо получить адрес по DHCP на него. А какой бинарник физически этим занят? dhclient? dhcpd? Кто его запускает? Его форкает ifup?

3. Какая сязь ifup/ifdown с NetworkManager? Почему NetworkManager не заменил собой всё?

Хочется почитать всё это до уровня физических основ «какой процесс порождает какой». Конечная цель - выпил NetworkManager из железки-одноплатника с целью упрощения работы с сетью до уровня почти-ручного запуска dhclient, wpa_supplicant и т.п. элементарных сервисов. Конечно, оформлено всё будет в пару каких-то своих systemd сервисов. Десктопа нет, DE нет, графики нет, переключение между разными сетями для разных юзеров (и всё то, для чего NetworkManager придумали) не нужно. Нужно только чтобы железка была максимально тупой и предсказуемой - получала себе на ethernet по DHCP адрес, если есть несущая (провод воткнули) и чтобы всё время стабильно коннектилась к wifi точке доступа с помощью wpa_supplicant и просила там себе на интерфейсе IP-адрес по DHCP так же. Плюс будет какой-то вотчдог, который пингует какую-нибудь фигню и через пять минут неуспешности начинает всех бить ногами, включая модуль ядра сетевого интерфейса.

Область применения: терминал продажи еды в торговом центре, куда очень бы не хотелось ездить и который бы был максимально тупым и надёжным в плане попыток «найти интернетик».

UPDATE Штош, господа, начитавшись западных интернетов, радостно снёс NM без последствий. Предварительно позаботившись о накатывании годного /etc/network/interfaces конфига.

После ребута DHCP-сеть на eth0 поднялась, по ssh смог зайти. Осталось разобраться с автоподьёмом всех этих wpa_supplicant-оперденей, потом наваять какой-то вотчдог переподнятий и убийств.

1. Есть 3…20 железок-одноплатников.
2. Грузят armbian с SD-карты, mount ro, чтобы флешку логами не портить.
3. На железках крутятся какие-то самописные на C++ бинарники или сервисы типа motion, которые грябят jpg с USB веб-камеры раз в секунду и пихают по сети на большого брата.
4. Всевозможны бинарники на железках оформлены как сервисы systemd. То есть, для администрирования железки, чтобы там запустить какой-то новый бинарник, мне надо закинуть каких-то бинарей в /root и что-то помутить в /etc/systemd/…, чтобы эти бинари запускало на старте. Для дебага, могу пойти по ssh на железку, позапускать руками.
5. Образы SD-карт могут быть различны только в области сетевых настроек: каждая железка работает в разной wi-fi сети или в разных 4G-сетях и всякие пароли и SSID-ы должны быть как-то прибиты. Эти настройки делаются очень редко так: ssh -> remount / rw -> make changes -> fsync -> reboot
6. Белых IP у железок нет, не будет, и не нужно. Это чисто клиенты в глубинах пользовательских домашних сетей. Ходить на железку по сети можно только приехав к клиенту с ноутом и воткнувшись в eth кабелем и такой сервис нужен крайне редко, обычно один раз при развёртывании.

В чём задача:

1. После старта железки вытягивать из сети с центрального сервера файл-архив с оверлеем корня, в котором (оверлее) лежат необходимые изменения базовово образа, содержащие нужные для этой железки бинари и сервисы. Монтировать этот оверлей на корень и переинициализировать systemd, чтобы он учёл изменения.

2. Железка ходит на центральный сервер по доменному имени и предъявляет свой токен, что позволяет центральному серверу понять кто пришёл и какой образ оверлея подсунуть. То есть, железка дергает center.ru/token/17237123879187239164

3. Железка раз в 10 секунд дёргает какой-нибудь управляющий URL, в котором ей могут сообщить, что надо ребут или стянуть новый образ.

Короче, не намутить ли такой велосипед руками с нуля? Может есть готовый проект на подобную тему?

Перемещено hobbit из general

Слышал, что microsd карты выдерживают максимум ~10-100 полных перезаписей и потом помирают. Хочется продлить жизнь microsd карты до нескольких лет, запретив запись. Аргументы в духе «16 гиговую карту брендовую фирменную можно найти за 150 руб, чё ты паришься, меняй их как перчатки, да и 16 ГБ 10 раз ты не перезапишешь за всю жизнь, грузя я неё линукс» я вроде понимаю, но во-первых вопрос чисто технически любопытен, во-вторых мы не знаем когда кукуха уедет у какого-нибудь сервиса, который решит насрать 10 гигов логов за сутки и поротировать. Если я воткну SD-карту с каким-нибудь armbian в одноплатник, то по дефолту на эту карту будет постоянно идти запись всяких логов, а мне эти логи нафиг не нужны. Может я захочу засетапить такую железку в точке, до которой 5 лет не захочу доехать и хотелось бы, чтобы карточка всё ещё работала.

Хочется найти самый надёжный способ сделать так, чтобы никто на эту карту в этой системе не смог ничего записать физически, разве что не перемонтировав её от рута специально умышленно. А лучше, чтобы и перемонтировать не смог, а все изменения делались только через внешний SD-USB кардридер, но не обязательно.

1. Двинуть задвижку на SD карте в положение readonly? Это поможет? Этот железный флажок адекватно прокидывается на все уровни софта и ядро не посмеет замонтировать ничего с разрешением на запись? Этот способ вообще надёжен, или он просто передаёт системе информацию рекомендательного хатактера и рут может перемонтировать флешку на запись? Этот переключатель ведь просто пластиковая штука, которая внутри самой карты ничего не переключает, а просто триггерит контакт-кнопку-фотодиод в самом разьёме картридера…

2. Передать ядру какие-то опции?

3. Как-то завернуть все логи systemd в ram с ограниченным размером, мегабайт на 100, и автоудалением, чтобы за год работы девайса трубы не забивались и все файлы самоудалялись? Завернуть как-то весь /var/log в RAM и гори оно синим конём? Но это я избавлюсь только от одного подозреваемого, а мало ли какая сволочь решит ещё что-то там куда-то позаписывать - какие-нибудь конфиги в /home и т.п. Хочется отрубить запись надёжно, чтобы всякий пишущий просто терпел неудачу до особых распоряжений, так сказать.

4. В идеале губа не дура и хочется вот чего: на SD-карте - базовая система, которая обновляется крайне редко или никогда. После поднятия, система качает апдейты apt-пакетов в RAM, возможно даже качает ядро в RAM и перезагружается на скачанное в RAM ядро. Возможно без ядра. Тут можно что-то посоветовать? Памяти всего гиг, хотелось бы больше 100 мегабайт под такие задачи не тратить.

P.S.

1. Тест показал, что на «аппаратный» флажок на флешке корню пофиг - всё равно монтируется как rw.

2. Написал тут для корня «ro»:

$ cat /etc/fstab

UUID=bbad9182-bacd-9281-1171-a24c1c2ba44 / ext4 defaults,noatime,commit=600,errors=remount-ro,ro 0 1
tmpfs /tmp tmpfs defaults,nosuid 0 0

Перезагрузил. / стал ro. Наверное это годнота. В любой момент перемонтировать как rw никто не мешает. Куда systemd будет срать в этих условиях логами не представляю, надеюсь он не взорвётся.

Перемещено hobbit из general

возможно тред надо закрепить, ибо вопрос насущный и актуальности ещё лет 50 не потеряет

Интересно собрать перечень разных недооценённых и малоизвестных железок, которые можно находить на Авито по 300-1000 руб, имеющих на борту eth/wifi, 32-2048 MiB RAM, ARM/MIPS/другой проц и возможность запустить там linux (armbian допустим) в любом виде, желательно конечно свежайшее ядрище. С целью дёшево запускать простые приложения, скрипты, домашнюю автоматизацию и прочую хрень.

Примеры:

Атол HUB-19 - коробочка для алкоучета ЕГАИС, вроде вышла из обращения и её иногда скидывают на авито, внутри Cubieboard2 (Allwinner A20 + 1G ram + приятный корпус + wifi + eth + 6 USB портов) - цена 700 - 1000 руб на авито - по тестам жрёт 200-400 мА тока (простой/wi-fi передача). Может быть запитана от powerbank и долго работать в рюкзаке. Если повесить веб-камеру на руль, то можно через такой девайс, программы motion и телефона с LTE в кармане, куда коробочка смотрит по wi-fi, раз в секунду транслировать фотки своей поездки онлайн.

D-link DIR-620 - 200 руб на авито - (пример плохой, т.к. всем известный и за 200 руб можно найти девайсы и посолиднее) - роутер D-Link из категории «чуть получше, чем полное дно DIR-300» - 32-64M RAM, 8M ROM, минимом ресурсов, на котором работает не особо свежий, но и не сильно древний OpenWRT, что вполне себе полноценный линукс. Его можно цеплять как клиента к домашнему wifi и девайс заменяет raspberry для запуска простых скриптов или сложных, если на сишечке пейсать.

Хочу запилить телеграм-канал, куда будут автоматически выкладываться аудиозаписи всего, что слышно на районе в диапазонах 433 мгц, 446 мгц и подобных - это все LPD, PMR уоки-токи: грузчики, киношники, вира-майнеры, охранники пятёрочек и прочие наркоманы. Никаких там спецслужб и никаких расшифрованных цифровых передач - только то, что безлицензионные пациенты вещают в открытом виде.

Всё время считалось, что в РФ слушать ты имеешь право всё, но выкладывать - только то, что «изначально было публичным». Например записи переговоров пилотов в авиадиапазоне - таких трансляций много. Переговоры охранников пятерочек через китайские баофенги рангуются по степени важности ещё меньше, чем пилоты. Выкладывать нешифрованных спецслужб - тоже «ничо не будет, но не сильно желательно» (знакомый два года вещал ГАИ - надоело и перестал платить за хостинг). Плохо - это уже выкладывать ментов (другой чел вещал год, но юридически пришла бумага, что он ничего не нарушил, хотя я это осуждаю морально - зачем помогать криминалу хоть на 1%), а совсем плохо - выкладывать расколотые криптухи - тут уже явно у тебя недобрый умысел: чуваки зашифровались, а ты их раскалываешь.

Правда ведь, что юридически к такому телеграм-каналу с LPD и PMR дампом всего происходящего невозможно прикопаться юридически?

Смысл: развлекательное. Иногда можно узнать новое слово, анекдот или узнать о ситуации на районе, например что в соседнем клубе опять наркоманы подрались в туалете со слов охранников.

Перемещено ilinsky из general

По теме: http://live.radioscanner.pro/ - что народ транслирует (пока не пересажали на лесоповал).

Выкладыванию будут подлежать файлики вида: http://0x0.st/Hjrl.ogg

Старый срачь на похожую тему на «радиосканере»: http://www.radioscanner.ru/forum/topic25145.html

http://live.radioscanner.pro/audio/40797_1 - а тут чел транслирует каких-то городских служб, ездящих по каким-то вызовам и он до сих пор не на лесоповале!