Продолжаю тему #suid бинарей - https://xn--r1a.website/itpgchannel/1552, будни #bootstrap

Вот есть такая утилита ping.

Для своего функционирования она требует рутовые права (ну или там какой-то CAP_*, про который никто ничего не знает, да и не надо, от лукавого это все https://xn--r1a.website/itpgchannel/248 #sec_model)

Права ей нужны, чтобы создать socket подходящего типа, с которого система разрешит отправить пакет нужного формата.

Сначала я решал эту проблему скриптом-оберткой, которая просто звала "sudo real_ping_binary". В целом, норм решение, но периодически такие времянки нужно разбирать, и делать более хорошо (оценочное суждение intended).

Из интернетов я узнал (https://unix.stackexchange.com/questions/592911/how-does-ping-work-on-fedora-without-setuid-and-capabilities), что можно явно разрешить каким-то группам и пользователям создавать socket нужного типа:

sysctl net.ipv4.ping_group_range="0 4294967295"

Прямо эта команда у меня не отработала, вот с такой ошибкой:

sysctl: setting key ...: Invalid argument

Помогло заменить 4294967295 на 4294967294 (Как?! А вот так!!)

ping после этого не заработал:

pg# busybox ping ya.ru
PING ya.ru (77.88.55.242): 56 data bytes
ping: permission denied (are you root?)

strace сказал, что ping из busybox обламывается на socket(AF_INET, SOCK_RAW, IPPROTO_ICMP). В целом, ожидаемо, потому что настройка ядра работает для SOCK_DGRAM (чего должно быть достаточно для ping).

Тогда я решил заменить ping из busybox на настоящий ping, из https://github.com/iputils/iputils, как у всех остальных.

Собрал, и вот что он мне написал:

pg# /ix/store/.../ping ya.ru
ping: ya.ru: Invalid flags

Sooka, я уже начал немного нервничать.

После короткой сессии с отладчиком, нашел проблемное место - https://github.com/iputils/iputils/blob/master/ping/ping.c#L351

В общем, когда iputils собираются с libidn, то они начинают использовать какой-то неизвестный науке флаг для getaddrinfo.

Как это работает, я вообще не понимаю. Почему под musl это не ошибка сборки (https://github.com/lluixhi/musl-extras/issues/3)? Кто определил этот макрос? Почему он связан именно с наличием libidn, хотя это свойство libc?

Загадка, покрытая мраком.

Я просто убрал сборку с libidn, и, ВНЕЗАПНО, ping заработал и без sudo, как ему и положено.

#fork

Меня тут спрашивают, почему я не пишу про переход Redis на несвободную лицензию - https://www.opennet.ru/opennews/art.shtml?num=60820

Потому что я ждал вот это вот - https://www.opennet.ru/opennews/art.shtml?num=60823

Я как-то писал, что за каждым успешным oss проектом стоит очередь тех, кто захочет его перехватить, дай upstream хоть какой-то повод для этого - https://xn--r1a.website/itpgchannel/1296

Вот, снова и снова, люди наступают на те же грабли.

С первого взгляда форк похож на васянский, но пилит его не кто иной, как #ddv

Будет интересно.

Задачка на #bootstrap

Вот есть у нас shell pipeline, например, "a | b | c".

При этом мы совершенно точно знаем, что, после завершения этого pipeline, shell завершает работу.

Поэтому мы хотим оптимизировать этот pipeline так, чтобы shell закончил свою работу ДО того, как начнет выполняться эта команда.

Звучит дико? Как это, завершить шелл, когда он должен что-то actually do?

У нас есть два инструмента:

* мы знаем, что shell не занимается копированием данных через |. Он просто при старте процессов соединяет их stdin/stdout через pipe.

* у нас есть команда exec, которая умеет заменять shell на другую программу, при этом, новый процесс создан не будет, потому что это эквивалетно вызову exec() ядра.

Семантически я хочу сделать что-то вроде:

exec (a | b| c)

или

a | b | exec c

Понятно, что я имею в виду? Хочется сделать так, чтобы shell "настроил" все, а потом сделал exec в последнюю программу pipeline, и больше не мешался под ногами. Предложенные варианты эту задачу не решают (а почему?)

Предлагайте решения этой задачи. Сразу скажу, что я знаю "красивое" решение для bash, и не знаю для POSIX shell (знаю очень некрасивое).

Будни #bootstrap, #homelab, #lab

Я тут, раз уж у меня большой парк личного железа в личном ДЦ, запилил новый flavor stal/#ix - server. Включение его выглядит вот так - https://github.com/pg83/ix/blob/main/pkgs/set/system/0/server/ix.sh

А используется вот так - https://github.com/pg83/ix/blob/main/pkgs/set/system/0/unwrap/ix.sh#L6

По сути, немного другой набор софта, собранного с чуть другими флагами. Реально, зачем на сервере нужен console greeter, и зачем на сервере нужен iwd? Вряд ли кто-то в своем уме будет гонять серверные нагрузки через wifi.

Так же там отключены демоны звука, seatd, и так далее.

Чуть более интересна вот эта вот строчка - https://github.com/pg83/ix/blob/main/pkgs/set/system/0/unwrap/ix.sh#L7

Тут написано, что у меня на серверах полностью отсутствуют (штатные) privilege escalation механизмы.

Я несколько раз писал, что у меня нет #suid бинарей вообще, и что для повышения привилегий у меня используется кастомно перепиленный ssh daemon, с авторизацией по ключам. То есть, повысить привилегии может тот, у кого есть правильный ключ, а не пароль от рута. (https://xn--r1a.website/itpgchannel/1544 #suid)

Вот, в серверном варианте я решил, что даже это не надо, и убрал этот механизм из поставки.

Зачем? А не знаю, зачем.

За все время эксплуатации своей #lab мне ни разу не пришлось им воспользоваться. В целом, пакетная система работает очень хорошо, и мне ни разу не пришлось заниматься recovery. А если бы было надо - то у меня временно на vt 1 каждого сервера запущена рутовая консолька, физически доступная только в моем ДЦ.

Поэтому ответ - "а почему бы и нет, попробуем пожить так".

Захотел добавить в свой home #lab инсталляцию #minio.

Ну потому что у меня сейчас зеркало #stal/ix копируется на 3 хоста rsync-ом, для надежности, но, кажется, надо попробовать что-нибудь более индустриальное, с кворумом.

Так что я:

* Выяснил, что конфигурация < 3 хостов, < 3 дисков, меня не устаривает. 3x3 - самое то, с точки зрения выпадения хоста/диска.

* Выяснил, что до требуемого числа дисков мне не хватает "чуть-чуть", но придется разобрать зеркала, и прочие массивы.

* Решил, что а нафиг мне выделенные диски под систему, и решил, что нужно, в срочном порядке, опробовать новую (для меня) схему установки stalix. Я давно хотел попробовать схему "налить универсальную флешку", которую, если вставить в правильный usb порт какого-то хоста, то она дальше все сделает сама - получит нужную конфигурацию, in place переконфигурируется под нужную роль, и продолжит работать. Да, да, система - на внешней флешке, воткнутой в usb port. Наверное, дико, но, с точки зрения введения нового хоста в строй для меня это явная экономия усилий, ну и место не пропадает почем зря.

* Пока учился устанавливать EFI + GRUB на флешку, пару раз убил загрузчик своего ноутбука.

* Выяснил, что, чтобы плавно мигрировать кворумные инсталляции сервисов, мне немного не хватает выразительной мощи язычка описания конфигураций.

* И вот, я здесь, продолжаю информировать почтеннейших слушателей о своих "приключениях"!

У мнея вот до сих пор run.sh, ни о чем не жалею.

https://gitlab.gnome.org/GNOME/gtk/-/merge_requests/6212

#GNOME #gtk moment

К чувакам пришли с реализацией уже принятого в wayland протокола, на что им, в своей уникальной манере, ответили, что для GTK/GNOME от реализации этого протокола пользы не будет. Речь идет о server side cursor. Попытка решить очень древнюю проблему с неконсистентностью курсовров в разных приложениях (напомню, что поверхность с курсором отдает клиент, и это может быть вообще все, что угодно).

Они, на полном серьезе, сравнивают курсор (который, на минуточку, может быть отрисован не только клиентом, а еще композитором, когда курсор находится вне любого клиента, или клиентом другого DE), и рендеринг шрифтов - https://gitlab.gnome.org/GNOME/gtk/-/merge_requests/6212#note_2056112

Цикл моих заметок про курсоры в Wayland:

https://xn--r1a.website/itpgchannel/185
https://xn--r1a.website/itpgchannel/1214
https://xn--r1a.website/itpgchannel/246
https://xn--r1a.website/itpgchannel/854
https://xn--r1a.website/itpgchannel/1758

Нет слов.

https://www.opennet.ru/opennews/art.shtml?num=60847

А вот "правильный" заход в #Wayland - #SDL говорят, что не будут включать Wayland по дефолту, пока им не запилят два нужных расширения. И тут уж коллегам из Wayland придется прогнуться, потому что один из основных потребителей SDL - Valve, которая сейчас пилит половину десктопного кода под Linux (стек драйверов, компиляторов шейдеров, да и свои компизиторы у них есть https://github.com/ValveSoftware/gamescope). Все #хорошее в графическом стеке Linux делают корпорации!

Будьте уверены, в данном вопросе все пойдет, как по маслу. Потому что одно дело, когда что-то нужно сообществу, тогда можно поломать комедию и повыебываться, а другое дело - когда оно нужно уважаемым людям, которые непосредственно вас кормят.

Вообще, бесит меня этим современный open source, что люди, которые нихуя не делают, а просто сидят на трубе обладают паролем от нужного репозитория, палец о палец не пошевелят, пока у задачи не найдется спонсор с деньгами. Если бы эти негодяи просто сами не писали код - это еще полбеды, но они тупо не пропускают нужные изменения в код.

"а мне 3 ящика водки, и Михаила обратно" (шутка, понятная узкому кругу лиц, хехе)

#vendor

Пришлось на днях снова применить "кузькину мать".

На этот раз по тележеньке - https://github.com/pg83/ix/commit/d64dfd7a674571ee331df253942cef270851f72e

Потому что эти господа, видимо, наслаждаются своей ересью в виде scudo allocator (https://xn--r1a.website/itpgchannel/1494). А мне мил мой #tcmalloc (https://xn--r1a.website/itpgchannel/328), потому что с ним памяти жреть меньше, и скроллинг плавнее.

У меня со scudo allocator тоже собрана пара программ, типа ssh server, который я использую для эскалации привилегий в системе, там это оправдано.

Так как конечный продукт, в итоге, собираю я, то я и навязал свою точку зрения в виде tcmalloc.

Если у вас, вдруг, есть доступ на машину по ssh, но нет по sftp (а такое зачем-то бывает!), то всегда можно сделать

cat x | gzip | ssh user@host 'gzip -d > x'

А так же сюда можно добавить tar, и вообще все, что угодно.

Так же это работает и в обратную сторону (только не забудьте обрезать message of the day).

Зачем sftp - отдельный протокол, требующий отдельного бинаря, для меня до сих пор загадка.

Интересно, зачем в современных 64-битных системах нужна защита памяти?

Казалось бы, поместил программу и ее данные по рандомному адресу, и тогда злоумышленник просто не сможет ее найти во всем адресном пространстве, потому что, каждый раз когда он будет промахиваться, его будут убивать, ну и потому что 64 бит - это ОЧЕНЬ много.

Я понимаю, что современные CPU используют меньше 64 бит, и что надо как-то защищать небольшую часть операционной системы, которая являлась бы gate для входа в нее, но, все же?

Действительно годные советы от коучей, наконец-то.

Programmer memes

https://www.davd.io/posts/2024-03-20-kubernetes-and-back-why-i-dont-run-distributed-systems/

Очередной rant от человека, который не понял, что распределенные системы - это не "проще", а "надежнее", при этом они требуют больше усилий, чтобы только держаться на плаву.

Конечно проще все поставить на один хост, без кворумов, перезапросов, и прочей лабуды.