Криптокоммуна использует передовые технологии для защиты передаваемых мемчиков от пассивных и активных атак. Серия постов под тегом *криптосервер будет рассказывать о настройке оборудования, служащего этой цели. В этом выпуске мы настроим удаленную разблокировку dm-crypt root раздела. Поскольку криптосервер в будущем будет запотолочен куда-то за потолок без монитора и клавиатуры, данная функциональность просто необходима. Оказывается, сделать это довольно просто, если бы не тысячи противоречащих друг другу гайдов в интернете. Криптокоммуна проверила их все и написала свой. Использовался Debian Stable, openssh уже был настроен, так что ключи берутся из него. 1. Ставим нужную хуйню sudo apt-get install busybox dropbear initramfs-tools Скорее всего все, кроме dropbear, уже стоит 2. Конвертим ключи из формата openssh в формат dropbear sudo /usr/lib/dropbear/dropbearconvert openssh dropbear /etc/ssh/ssh_host_rsa_key /etc/initramfs-tools/etc/dropbear/dropbear_rsa_host_key sudo /usr/lib/dropbear/dropbearconvert openssh dropbear /etc/ssh/ssh_host_dsa_key /etc/initramfs-tools/etc/dropbear/dropbear_dss_host_key Dropbear говно и не может в ECDSA ключи (дефолтные в актуальном openssh), так что можно немного соснуть с этим. TinySSH очень крутой и может, но еще нестабильный и его нету в репах. 3. Пихаем открытый ключ в dropbear sudo cp ~/.ssh/authorized_keys /etc/initramfs-tools/etc/dropbear 4. Настраиваем dropbear чтобы он не пускал по паролю (все равно не сможет на самом деле) и чтобы смотрел только в локалку. Записать это в /etc/initramfs-tools/initramfs.conf PKGOPTION_dropbear_OPTION="-s -p 172.16.1.1:22" Хост сменить на свой. После двоеточия указывается порт. 5. Берем этот скрипт https://projectgus.com/files/headless_cryptroot/mount_cryptroot и пихаем его в /etc/initramfs-tools/hooks sudo wget https://projectgus.com/files/headless_cryptroot/mount_cryptroot -O /etc/initramfs-tools/hooks/mount_cryptroot sudo chmod +x /etc/initramfs-tools/hooks/mount_cryptroot Проверьте, чтобы в нем не оказалось какого-нибудь говна. 6. Ребилдим sudo update-initramfs -u 7. Ребутаемся, пробуем коннектиться. Именно с юзером root, это нормально, других юзеров в initramfs нету. Тип ключа указывается по причине отсоса с ECDSA, можно потом прописать в ~/.ssh/config ssh -o HostKeyAlgorithms=ssh-rsa root@172.16.1.1 После ввода пароля dropbear убьется и система загрузится. Ура?

Один из подходов к инсталляции программ -- делать один здоровый бинарник и один конфиг к нему. Понятное дело, если я напишу какую-нибудь нужную говнософтину, то заставлять даже того, кому она нужна, ковыряться без необходимости в её кишках неэтично. Вот если она окажется такой удачной и везде нужной, что её станут, например, пихать в дистрибутивы -- тут конечно лучше бы всё декомпозировать и зависимости ставить отдельно. Но таких программ появляются единицы на тысячу, да и то не на каждую =). Экстремальный пример -- Docker. Но он сам по себе довольно замороченный. Пример попроще -- Go и Rust, у которых штатный режим предполагает сборку жирного бинарника, зато *одного*. Ещё один забавный пример -- JXcore. Это форк Node, который умеет паковать всё барахло в один бинарник. А оно потом берёт и почему-то работает. В идеале. Я вчера решил этому JXcore задать хорошую трёпку. Есть сервер с древним дебианом на ядре 2.6. Тотальный апдейт ему делать никто не хочет, ставят только апдейты на тему безопасности. 1. JXcore на него поставился и запустился. Современный JXcore на ядре 2.6 и примерно соответствующих системных библиотеках. 2. Ок, подумал я, у меня ж есть пара программок на Node. Взял свой xmpp-forwarder, и он заработал. Причём нельзя сказать, что у него совсем нет зависимостей. Явные -- `livescript`, `prelude-ls` и довольно-таки жирный `node-xmpp-client`. 3. Наконец, я решил сделать тот самый *portable standalone* бинарник. Для чего JXCore в данном случае и был нужен. Вот тут JXcore грохнулся при его сборке. Что-то не нашёл в `glibc`. Надо будет попробовать собрать бинарник на другой машинке и запустить на том серваке, я считаю. Что характерно, никаких системных требований по минимальным версиям библиотек авторы не публикуют. Тем не менее, по-моему всё равно круто: я ведь думал, что оно там вообще работать откажется, а оно работает. С Докером всё более или менее ясно. Если ядро достаточно новое, чтобы он сам заработал -- значит и софтина под ним скорее всего будет работать. Тем более там в контейнерах как правило какая-нибудь Ubuntu LTS. Да и вообще Докер не на ту тему немного. Интересно, а на каком самом старом барахле могут работать *portable standalone* бинарники, сделанные компиляторами Go и Rust?

Рекламирую вакансию: Москва, сисадминство, в основном ляликс. Предлагают от 100к, дальше насколько удастся договориться. Зоопарк под сотню серверов, части которого управлялись примерно тремя разными командами. Ни единой системы управления конфигурацией, ни единого мониторинга - все это предстоит делать. Если захочется. Клиенту на самом деле пофиг, лишь бы работало. Отрасль: RTB, ебический хайлоад.

читал из этого https://meduza.io/feature/2016/01/22/chto-chitat-esli-vy-nichego-ne-ponimaete-v-ekonomike только последнее что из остальных интересно будет почитать?

Вот как Signal (которые бывший TextSecure) выбирает, к какому серверу подключаться: https://github.com/WhisperSystems/Signal-Android/blob/master/build.gradle#L167 Потрахавшись, можно поднять и свой сервер. При этом Signal -- это вам не какой-то сраный Telegram, а вполне цивилизованная софтина. Т.е. хозяин собственного сервера не будет в гордом одиночестве, а будет связан с миром: https://github.com/WhisperSystems/TextSecure-Server/blob/master/config/sample.yml#L54 Дык вот интересно, а что, они действительно кого-то подключали по заявке к своей серверной сети? Были случаи?

Пытались научиться ездить на велосипеде. Велосипед ездил хуёво. Решили, что велосипед плохой. Решили построить свой, с правильной формой колёс. Сели. Уебались. Наверное, делать велосипеды мы тоже не умеем. Да ну, не, хуйня какая-то.

Насколько я понимаю, светодиод умеет светить и не светить. При этом, если через него пускают большой ток, он светит не ярче, но начинает греться и гореть уже непосредственно, как радиодеталь. Поэтому даже диодные подсветки мониторов обычно используют ШИМ для регулировки. Но в фонариках-жужжалках светодиоды, когда аккумулятор садится, светят тускло. Как и почему они умудряются это делать?

Энди Холдейн, главный экономист Банка Англии: "из-за автоматизации миллионы рабочих мест в опасности" Мизес: "Путаница начинается с неправильного истолкования утверждения о том, что машины замещают труд. В действительности же при помощи машин труд делается более эффективным. Применение машины само по себе непосредственно не приводит к уменьшению количества работников, занятых в производстве изделия А. Этот вторичный эффект вызывается тем, что при прочих равных условиях увеличение наличного предложения А снижает предельную полезность единицы А относительно единиц других изделий и что поэтому труд забирается из производства А и используется в производстве других изделий. Технологическое усовершенствование производства А позволяет осуществить определенные проекты, которые невозможно было претворить в жизнь, потому что требовавшиеся для этого рабочие были заняты на производстве А, спрос на который у потребителей был более интенсивным. Сокращение количества рабочих в отрасли А вызвано усилением спроса в других отраслях, которым предоставляется возможность расшириться. Между прочим, понимание этого делает бессмысленными все разговоры о технологической безработице. Инструменты и машины в первую очередь являются не механизмами трудосбережения, а средством увеличения объема производства на единицу затрат. Они кажутся механизмами трудосбережения, если на них смотреть исключительно с точки зрения отдельной отрасли. С точки зрения потребителей и общества в целом они выступают в роли инструментов, которые повышают производительность человеческих усилий. Они увеличивают предложение и позволяют потреблять больше материальных благ и наслаждаться большим досугом. Какие блага будут потребляться в больших количествах и в какой степени люди будут предпочитать наслаждаться большим досугом, зависит от субъективных оценок людей"

Хочу живую проксю или vpn в славном городе Кан, что в Нормандии. Кто-нибудь знает как?

Вот выхожу я на мороз в теплых перчатках. В течение первых 15 минут чувствую, что от перчаток толку никакого, и кончики пальцев замерзают. Затем руке становится тепло. Какова природа этого явления и что у меня в тушке поломано?

Кстати, я всё ещё предлагаю всем желающим сожительство у хецнера (#VI6LT8/4HO). Анальный зонд от хецнера (без порно, без хентая, без тора и торрентов) в комплекте.

Сегодня @j123123 сагитировал меня в очередной раз сходить побугуртить в support@cjr. ВНЕЗАПНО на этот раз это помогло - бнв всем доменом внесли в исключения спамфильтра. Жру-бнвачеры - можете жрать шампанское, больше не кругодрочить с заменой севрисжида и нашить себе ачивку "ТРИ ГОДА ЖДАЛ".