#suid https://www.opennet.me/opennews/art.shtml?num=61088

Не uid0, а run0, но схема от этого не меняется. Конечно, жестко прибито гвоздями к systemd, мне моя схема с ssh нравится больше (https://xn--r1a.website/itpgchannel/1544 https://xn--r1a.website/itpgchannel/1552).

Аргументация прямо как у меня - https://xn--r1a.website/itpgchannel/1632, про известный контекст исполнения.

"Отмечается, что смена идентификатора при помощи флага SUID в sudo сопряжена с дополнительными рисками, связанными с тем, что SUID-процесс наследует контекст исполнения, включающий множество свойств, контролируемых непривилегированным пользователей, таких как переменные окружения, файловые дескрипторы, параметры планировщика и привязки cgroup. Часть из подобных свойств автоматически очищается для SUID-процессов ядром, а часть - самим приложением. Тем не менее, в сложных SUID-программах, таких как sudo, продолжают регулярно находить уязвимости, вызванные неаккуратным обращением с внешними данными, на которое может влиять непривилегированный пользователь"

Будни #bootstrap

Запилил возможность держать / в tmpfs - https://github.com/pg83/ix/commit/6806c1fc85ed007a4be466c979d624cbdf8b8aab

И, тем самым, не иметь ни одного rw раздела в системе.

Мне это ни для чего не нужно, но, в целом, такая схема выглядит более естественной, потому что непонятно, почему 1 раздел в системе должен быть как-то особо выделен из всех.

А так - красота, на старте создал всю нужную иерархию в памяти, и примонтировал в нее нужные разделы в нужные места.

Гля какая красота!

https://habr.com/ru/articles/811375/

https://discourse.nixos.org/t/nixos-foundation-board-giving-power-to-the-community/44552

Тема набирает обороты, и, видимо, способ управления Nix будет реформирован.

"NixOS Foundation board: Giving power to the community"

"We will appoint a constitutional assembly 131 within the next 14 days. Its task will be to set up a new governance structure, run by the community, that is capable of serving the community’s needs. Once established, we will delegate our power to institutions 67 within that new structure. This entire process will take place in a public space, such that it’s traceable for anyone concerned."

#nix #nixgate

Со звуком:

status update - по первой ссылке мне пришел норм ноут, а вот по второй коллеге пришла коробочка с мигающими лампочками.

Озон решать проблему, насколько я понимаю, отказывается, а в последнее время мне в пунктах выдачи прямым текстом говорят - "вот если вы открыли упаковку, даже при нас, то мы назад товар не примем".

Давненько не было постов от Данилы "наше все" Лемира. #Lemire

https://lemire.me/blog/2024/05/02/should-node-js-be-built-with-clangcl-under-windows/

Вот, опять какой-то неоднозначный бенчмарк про то, чем под винду собирать node.js.

Ответ на это давно уже очень и очень простой, и он не зависит от этого конкретного (микро)бенчмарка - конечно же собирать надо стеком от clang, потому что компилятор от microsoft - это тихий ужас, причем без исходников, то есть, если что-то пойдет не так, то вы починить его не сможете никогда.

Ну и возможность иметь одинаковый стек под все платформы - это хорошо, как минимум, с точки зрения кросс-компиляции.

США перекрыли российским IT-компаниям доступ к библиотекам открытого кода

Крупнейшие российские IT-компании могут потерять доступ к библиотекам открытых кодов после включения в санкционный список США, который американский минфин расширил в начале мая, рассказали «Ведомостям» участники рынка.

Правообладатели открытого кода, если они подчиняются юрисдикции США, будут вынуждены прекратить техобслуживание и обновление open-source для компаний под санкциями, отметил руководитель направления «Разрешение It&Ip споров» юридической фирмы «Рустам Курмаев и партнеры» Ярослав Шицле.

«Значимые библиотеки стремятся ограничить доступ к своим ресурсам для токсичных подсанкционных лиц», — подтвердил советник «МЭФ Legal» Иван Рыбаков.

Подписаться / Читать дальше

Первое правило PG: в успешном open source проекте с тобой не будут разговаривать с точки зрения силы, только если ты способен поддержать жизнеспособный fork этого проекта.

https://github.com/NixOS/nixpkgs/pull/306702

https://github.com/NixOS/nixpkgs/pull/306702#issuecomment-2077221156

Драма набирает обороты!

Вот, какой-то nix maintainer очень интересно поставил вопрос про участие американской военной компании в финансировании nix, мне такое даже в голову не пришло.

#nix #nixgate

https://nixpkgs.zulipchat.com/#narrow/stream/435937-constitutional-assembly

Люди в прямом эфире обсуждают, сколько ЛГБТ должно быть в составе группы, принимающей решения, ну и прочие интересные вещи.

https://www.youtube.com/watch?v=GODlHKTItg0

GNOME, видимо, решил, что давно не было takeover'ов спецификаций FDO и решил развести драму прибив icon theme spec в GTK/Adwaita (не переставая анонсировать иконпак как таковой)
https://gitlab.gnome.org/GNOME/adwaita-icon-theme/-/issues/288

KDE в свою очередь просто блеклистнул гномьи иконпаки в своем конфигураторе
https://invent.kde.org/plasma/plasma-workspace/-/commit/c8b8a4db63b575edf931c3d61aea1ed3d3d287f2

Что это значит? Правильно, GNOME в очередной раз вставил палку в колеса Qt-приложениям, чтобы они работали еще хуже как под GNOME, так и под другими DE.

Следом за темами интерфейса. Помянем.
https://gitlab.gnome.org/GNOME/gtk/-/issues/5007

https://www.opennet.ru/opennews/art.shtml?num=61116

Тред, конечно, феерический.

Вот, например, один из около-гномовцев (разработчик webkit gtk, и epiphany), слегка охуевает от происходящего:

https://gitlab.gnome.org/GNOME/adwaita-icon-theme/-/issues/288#note_2094825

"Are you sure this is really what you want? We can find some other icon theme to use as the default icon theme in GNOME, while reserving adwaita-icon-theme for GNOME core apps only. But notably, this would mean even libadwaita apps don't use adwaita-icon-theme anymore. What theme would we pick instead? Hopefully not Tango?"

Вольный перевод: "вы вообще соображаете, что, после этого, даже ваша сраная libadwaita не сможет функционировать без дополнительной (для adwaita icon theme) темы иконок???"

Будни #bootstrap, #homelab, #lab

В итоге, я решил запилить и #minio, и seaweed.

Начал я с minio, и, на днях, таки дополил свою инсталляцию до рабочего состояния, и положил в нее первую пару сотню гигабайт данных.

Заняло у меня это прилично времени, потому что я же не мог обойтись из пердолинга, поэтому мне пришлось придумать себе препятствия, которые я потом героически превозмогал.

Напомню:

* в ДЦ у меня 3 настоящих бу-шных сервера, примерно одинаковой мощности.

* в каждом по 4 - 8 салазок для hdd/sdd того или иного фактора

* в каждом 4 гигабитных аплинка. В одном есть аплинк на 10 гигабит, но пока оставим это за скобками.

Мне хотелось построить такую конфигурацию, чтобы она уперлась в сеть.

С учетом того, что кластер я набивал hdd, а не ssd, и скорость одного hdd это и есть примерно гигабит, если нет рандомных скачков по диску, то логичной мне показалась схема, когда 1 hdd привязан к одному eth аплинку. Делать же bond интерфейсов мне не захотелось, так как это работало бы не очень предсказуемо по перфу.

Ну, то есть, я захотел на 3 хостах выделить по 3 hdd (всего 9), к каждому hdd был бы привязан 1 инстанс minio, который висел бы на своем eth{1..3} интерфейсе. eth0 я оставил для управления и прочего интерактивного трафика.

Проблема в том, что у minio очень странная конфигурация, и она не дает описать произвольную топологию кластера.

Самое близкое к тому, что мне было нужно - это конфигурация "3 стойки, в каждой по 3 хоста, в каждом по 1 диску". То есть, я отобразил host -> rack, и пару (host, eth) -> host, hdd -> hdd.

Если подумать, то это прямо то, что мне надо, потому что совпадает с моими failure domain, вот оно как.

К сожалению, без пердолинга патчинга minio тут не обошлось, так как он детектил, что я запускал несколько инстансов на одном хосте, способом, про который он ничего не знал, и отказывался работать.

Пришлось ему запилить режим "я мамой клянусь оно будет работать" https://github.com/pg83/lab/blob/master/bin/minio/patched/ix.sh, после чего все завелось.

Впереди учения по отключению "стоек" и отдельных "нод"!

А самое интересное знаете что?

То, как они решили "починить" adwaita icon theme!

Они взяли все иконки, что удалили из нее за два последних релиза, положили их в новую тему adwaita icon theme legacy, и сделали так, что a-i-t стала зависеть от a-i-t-l!

https://gitlab.gnome.org/GNOME/adwaita-icon-theme/-/issues/288#note_2101263

Такого лицемерия я не видел очень и очень давно.

Ну, то есть, по сути:

* они откатили свое изменение, так как признали, что a-i-t не может работать без этих файлов

* чтобы не потерять лицо, и не откатить PR по-настоящему, они сделали это за счет дополнительной работы (своей, на что похер, и работы мейнтейнеров дистрибутивов, что уже менее похер) по выделению старых иконок в новый set, и проставлению зависимостей от него, в новом set, и в куче downstream пакетов.

Грустный день

#mesa #opengl #valve #zink #NVK

https://www.phoronix.com/news/NVK-Explicit-Sync-Valve

Надо сказать, что Valve системно поднимает графический стек Linux из руин, в которых он пребывал последние лет 20. Все #хорошее в графике Linux делают корпорации!

Надо сказать, что однажды в Linux было очень неплохое 2D ускорение, но, по мере усложнения аппаратной начинки, все это катилось в глюкавое и ненадежное говно, в которое вендоры иногда щедро подливали своих бинарных блобов, которые нормально работали примерно только на машинках их разработчиков, то есть, почти нигде.

Вроде, есть Intel, есть AMD, которые выкатили oss драйвера, а теперь вот и Nvidia, но починкой всего стека системно занимается именно Valve.

Не думаю, что они делают это для благотворительности, и у них есть понятный коммерческий интерес, но, в целом, их вклад сложно переоценить.