Ауке Кок (Auke Kok), один из активных разработчиков systemd, опубликовал (http://thread.gmane.org/gmane.comp.sysutils.systemd.devel/7228) небольшое приложение tallow (https://github.com/sofar/tallow), берущее на себя часть функциональности известной программы fail2ban. Посредством journal API, приложение просматривает логи SSH на предмет попытки подбора паролей. При обнаружении нескольких неудачных попыток с одного IP-адреса нарушитель на некоторое время блокируется через iptables. Программа, скорее, ценна именно своей простотой и наглядной реализацией работы с журналом systemd. До полноценной замены fail2ban-а она пока не дотягивает.URL: http://thread.gmane.org/gmane.comp.sysutils.systemd.devel/7228
Новость: http://www.opennet.me/opennews/art.shtml?num=35258
Скоро systemd станет ядром операционки (операционкой)
с отсутствующей системой инициализации
или с отсутствием того что она там еще умеет
Как и emacs.
Скоро нужно будет ядро linux systemd и emacs, все остальное не нужно в принципе
Про grub (v2) забыл. А так да, хорошая ОС.
Поэтому emacs встроить прямо в него а systemd отпадает, его grub заменит сам :)
однако имакс не пихают как безальтернативную замену всем (при чём на данный момент ещё и не могующую заменить даже на 10% имеющегося функционала, а даже превносящую новых костылей (см. обновление SELinux + systemd в последней федорке))
сравнил ж*** с пальцем...
Или Торвальдса достанет и он интегрирует аналог systemd в ядро :). С fail2ban-ом и logrotate-ами!
Кроа-Хартман уже давно призывает сделать systemd внешней зависимостью ядра. А там и до "слияния кодовых баз" недалеко...
Пруф в студию или гтфо!
> Кроа-Хартман уже давно призывает сделать systemd внешней зависимостью ядра.Так не пойдет, это читерство. Систему инициализации надо внедрить в майнлайн. И сделать pid=1 ядерным тредом. Чтоб нри убить ни порушить из юзермода, ибо нефиг! :)
> Или Торвальдса достанет и он интегрирует аналог systemd в ядро :). С
> fail2ban-ом и logrotate-ами!Торвальдс уже потеет, переписывая в ядре то, что ниасилил Поттеринг в своих поделках:
http://lwn.net/Articles/518942/rss?format=printable
> Торвальдс уже потеет, переписывая в ядре то, что ниасилил Поттеринг в своих
> поделках:+реквестую новость "$SUBJ"!
linuxd
> Скоро systemd станет ядром операционки (операционкой)
> с отсутствующей системой инициализацииКазалось бы, при чем тут любимый текстовый редактор Леннарта (правильно, это GNU Emacs).
Это уже не смешно
> Это уже не смешноЭто вроде как отдельная утиля.
не мешай истерить! сказал что монолит, значит монолит :-)# P.S.: а "монолитом" будем называть всё, то что совместимо между собой :-) , если это от разработчиков SystemD.
# P.P.S.: journal-gatewayd (HTTP-сервер) -- это тоже отдельная утилита (отельный демон) , но никто же не мешал истерить по поводу того что он в совокумности с systemd образует "монолит" ! :-D
> # P.S.: а "монолитом" будем называть всё, то что совместимо между собой :-) , если это от разработчиков SystemD.Не хочу вас огорчать, но слово "монолит" давно зарезервировано для обозначения архитектуры ядер не-тру-юникс систем - Linux, Solaris, *BSD. Ему противопоставляется понятие юниксвейного микроядра, используемого в истинно юниксовых проектах - Minix, Hurd.
> микроядра, используемого в истинно юниксовых проектах - Minix, Hurd.Осталось только найти оригинальный юникс с микроядром. Наверное придется сгонять на машине времени в прошлое и дать по щапке парням из AT&T чтоб микроядро юзали а не какие-то там дурацкие монолиты. Так в новой версии реальности победят микроядра, а не какие-то там монолиты, столь нелюбимые одептами микроядер.
Наличие хоть 100500 отдельных утилит, но не работающих по отдельности, ничем, с точки зрения "монолитности", не отличается от одного огромного "экзешника".
Не надо мне, пожалуйста, сейчас рассказывать, что в systemd это не так. Пока еще - частично да, но systemd не стоит на месте и уверенными шагами целенаправленно (это и не скрывается) идет к наиболее тесным взаимосвязям между всеми компонентами системы, до которых могут дотянуться авторы. А ведь это чистый vendor lock-in, по сути (да и методы схожие), хоть все и "открытое/свободное" и как будто бы без vendor'a.
> Наличие хоть 100500 отдельных утилит, но не работающих по отдельности, ничем, с
> точки зрения "монолитности", не отличается от одного огромного "экзешника".
> Не надо мне, пожалуйста, сейчас рассказывать, что в systemd это не так.
> Пока еще - частично да, но systemd не стоит на месте
> и уверенными шагами целенаправленно (это и не скрывается) идет к наиболее
> тесным взаимосвязям между всеми компонентами системы, до которых могут дотянуться авторы.
> А ведь это чистый vendor lock-in, по сути (да и методы
> схожие), хоть все и "открытое/свободное" и как будто бы без vendor'a.Да, когда две или более программы обмениваются запросами и данными - это однозначно vendor lock-in!
И борьбу с ним необходимо начать с основ - запретить использование любых API.
> Да, когда две или более программы обмениваются запросами и данными - это
> однозначно vendor lock-in!Не-не-не! Не когда обмениваются запросами и данными, а когда не могут не обмениваться, даже когда в этом нет необходимости (с точки зрения пользователя), так как наличие/отсутствие необходимости определяется исключительно авторами и вбивается в код гвоздями. А когда кто-либо начинает жестко и обязательно "привязывать" разные свои (и не совсем) проекты ко всем остальным своим проектам вместо просто обеспечения совместной их работы (жесткая безальтернативная привязка против опциональной) - это и есть верный признак vendor lock-in.
На всякий случай, под пользователями здесь имеются ввиду все "неавторы".
> запретить использование любых API.
API дает возможность, а не диктует необходимость. Не стоит передергивать.
смени дилера бро
Пишите программы, которые делают что-то одно и делают это хорошо.
Пишите программы, которые бы работали вместе.
Пишите программы, которые бы поддерживали текстовые потоки, поскольку это универсальный интерфейс.Дуг МакИлрой
> когда в этом нет необходимости (с точки зрения пользователя)Это ты про тех пользователей, которые удаляют C:\Windows, потому что с ИХ ТОЧКИ ЗРЕНИЯ эта папка НЕ НУЖНА?
>> когда в этом нет необходимости (с точки зрения пользователя)
> Это ты про тех пользователей, которые удаляют C:\Windows, потому что с ИХ ТОЧКИ ЗРЕНИЯ эта папка НЕ НУЖНА?Вот ожидал этого. Специально ведь указал:
>>На всякий случай, под пользователями здесь имеются ввиду все "неавторы".
ВСЕ НЕАВТОРЫ! И опытные админы и программеры в том числе. Речь не про домохозяек, планктон и т. п.!
> Это ты про тех пользователей, которые удаляют C:\Windows,У меня нет этой "папки". Мне она не нyжна :)
> Это уже не смешнонет ты
> Замена fail2ban от разработчиковИ тут я уже знал, что увижу далее.
Никогда не пользовался ранее fail2ban, не могу судить о нужности подобного функционала в systemd (хотя выглядит интересно). Оставлю сей вопрос местным аналитикам.
> Никогда не пользовался ранее fail2ban, не могу судить о нужности подобного функционала в systemd (хотя выглядит интересно). Оставлю сей вопрос местным аналитикам.Когда местные аналитики узнают, что это отдельная программа, не входящая в systemd, у них будет инфаркт :)
Напиши автор новости заголовок как "Представлена альтернатива fail2ban..." никакого флуда бы вовсе не было.
>> Замена fail2ban от разработчиков
> И тут я уже знал, что увижу далее.
> Никогда не пользовался ранее fail2ban, не могу судить о нужности подобного функционала
> в systemd (хотя выглядит интересно). Оставлю сей вопрос местным аналитикам.arisu, ты?
>>> Замена fail2ban от разработчиков
>> И тут я уже знал, что увижу далее.
>> Никогда не пользовался ранее fail2ban, не могу судить о нужности подобного функционала
>> в systemd (хотя выглядит интересно). Оставлю сей вопрос местным аналитикам.
> arisu, ты?Нет, я не arisu.
> arisu, ты?Неа. У арисы при слове systemd начинается сочнейший фругурт. А фругурт у арисы всегда сопровождается хамством и матюками. Его очень сложно перепутать.
> Никогда не пользовался ранее fail2banОчень рекомендую.
Там можно самому делать шаблоны, с регекспами и скриптовыми триггерами.
До "замены" программкам с захардкоженой логикой ой как далеко.
а с чего вы взяли, что оно будет в systemd?
> а с чего вы взяли, что оно будет в systemd?У некоторых клоунов выработался условный рефлекс:
- Бобик, systemd!
- Гррр! Гав!
Гррр! Гав! Гав! Мяу.. Рррр! Пшшш
> Гррр! Гав! Гав! Мяу.. Рррр! ПшшшФича пашет! :). А еще три "бобика" отметились, но тявкать постеснялись :D
Так балет никому не нужен, ракеты разбиваются о небесную твердь, продажи тетриса падают, вот и нашли причину неудач - Леннарта.
> Так балет никому не нужен, ракеты разбиваются о небесную твердь, продажи тетриса
> падают, вот и нашли причину неудач - Леннарта.Тут, говорят, автор rsyslog тронулся умом (на почве зависти к успехам journal) и хочет следующую версию своего поделия переписать на Java, с бинарными индексами и XML-ями.
И не надо мне говорить, что Леннард в этом не виноват!
> и хочет следующую версию своего поделия переписать на JavaОтличная мысль! Превосходить так во всем! Только "Ентерпрайз"! Только "Кроссплатформ"!
> с бинарными индексами
Тю! А почему только индексами? Что за полумеры?
> и XML-ями.
В xml же должны быть конфиги! Хьюман-ридабл, хьюман-райтабл! Все знают как хьюманы обожают это дело.
>> и хочет следующую версию своего поделия переписать на Java
> Отличная мысль! Превосходить так во всем! Только "Ентерпрайз"! Только "Кроссплатформ"!Вот-вот. Благодаря Java в новом rsyslog будет обеспечена небывалая степень кроссплатформенности, что будет выгодно отличать его от systemd.
> В xml же должны быть конфиги! Хьюман-ридабл, хьюман-райтабл! Все знают как хьюманы обожают это дело.А то ж. В Solaris и Mac OS X иниты уже сто лет в обед в чистом XML конфигурируются. Истинный unix way - только в истинных UNIX!
> Вот-вот. Благодаря Java в новом rsyslog будет обеспечена небывалая степень кроссплатформенности,
> что будет выгодно отличать его от systemd.Так вот ты какое, счастье iZEN-а...
Ракеты разбиваются из-за некошерных украинских движков же!
> Ракеты разбиваются из-за некошерных украинских движков же!Нет, их просто недостаточно старательно освящают! На 170 тыщ как можно нормально освятить?
Нужно как минимум по лимону баксов попам выдавать, тогда все ок будет.
С Праздником вас, товарищи! С Великой Октябрьской социалистической революцией!В этот день 95 лет назад страна выбрала путь всеобщего развития и единения. Революция была жестокая, но все же свобода, равенство и братство одержало верх над буржуйской заразой. Вечная слава людям, отдавшим жизнь ради светлого будущего!
> Нужно как минимум по лимону баксов попам выдавать, тогда все ок будет.Они за миллион полезут раздвигать небесную твердь? :)
> Они за миллион полезут раздвигать небесную твердь? :)Они шефу своему свистнут, он все оформит в лучшем виде.
О, хорошо. Когда таких штук напишут пару тысяч, выловят большинство косяков systemd, напишут вменяемый мануалы,где будет архитектура, настройки, методы отладки и практический опыт - что стоит делать, что нет - вот тогда и можно будет задуматься о переходе на сколько-нибудь ценных системах. А пока - в песочнице всему этому место, и у экстремалов.
> О, хорошо. Когда таких штук напишут пару тысяч, выловят большинство косяков systemd,
> напишут вменяемый мануалы,где будет архитектура, настройки, методы отладки и практический
> опыт - что стоит делать, что нет - вот тогда и
> можно будет задуматься о переходе на сколько-нибудь ценных системах. А пока
> - в песочнице всему этому место, и у экстремалов.окей. мы вас насильно не заставляем выходить из креагенной камеры :D
...можете там прибывать сколько хотите!
Понимаете, мне от systemd профита вообще никакого. Ноль. Зеро. Поэтому я на него перейду только если мне это гарантированно не доставит никаких проблем. А опыт пусть нарабатывают те, для кого в systemd есть хоть какие-то плюсы.В принципе, если написание таких штук, как в топике, окажется на systemd удобным и простым - это будет первым плюсом, ради которого стоит посмотреть в его сторону.
P.S. Слово "криогенный" вам лучше в словаре всё же глянуть ;-)
> Понимаете, мне от systemd профита вообще никакого. Ноль. Зеро.Если не читать документацию, профита вообще ни от чего не будет.
Так объясните идиотам на пальцах, какой прок от systemd на серверах???
Сколько не спрашиваю, никто не отвечает.
Ну хотя бы нормальный контроль за демонами
> креагенной
> прибыватьГраммар-наци, покажите ему как правильно пищется слово "прибивать" :)
> О, хорошо. Когда таких штук напишут пару тысяч, выловят большинство косяков systemd,
> напишут вменяемый мануалы,где будет архитектура, настройки, методы отладки и практический
> опыт - что стоит делать, что нет - вот тогда и
> можно будет задуматься о переходе на сколько-нибудь ценных системах. А пока
> - в песочнице всему этому место, и у экстремалов.Привет, 2010 год! А у нас, в 2012, и куча документации, и методы отладки, и прочие ништяки :)
Куча документации и проего у вас будет года через два. Он в сколько-нибудь рапространенных дистрибутивах когда появился? Сколько людей его пытались промышленно эксплуатировать? Какой опыт накоплен касательно его поведения во всяких нештатных ситуациях? Там кто-то заявлял о том, что поведение существующих опций стабилизировано (а без этого накапливать опыт граблей бессмысленно)?
> Куча документации и проего у вас будет года через два. Он в сколько-нибудь рапространенных дистрибутивах когда появился?Еще в ваше время.
> Сколько людей его пытались промышленно эксплуатировать?
Вам указать количество людей с точностью до сотых долей? И разумеется, с подтверждением из авторитетных источников (кстати, каких)? Боюсь, что это немножко затруднительно, вне зависимости от того, о какой программе речь.
> Какой опыт накоплен касательно его поведения во всяких нештатных ситуациях?
Здесь все очевидно. "В любой нештатной ситуации ложись спать"©
> Там кто-то заявлял о том, что поведение существующих опций стабилизировано (а без этого накапливать опыт граблей бессмысленно)?
Interface Stability Promise - это было еще в вашем 2010 году.
http://www.freedesktop.org/wiki/Software/systemd/InterfaceSt...
fail2ban требует shorewall. А у меня system-config-firewall.
А у меня он требует iptables =)
Нанас и Сейд — лучшие друзья.
> Нанас и Сейд — лучшие друзья.Чип и Дейл местные :)
Ура! Моя любимая система инициализации!
> Ура! Моя любимая система инициализации!fail2ban? tallow? Которая из них?
>> Ура! Моя любимая система инициализации!
> fail2ban? tallow? Которая из них?fail2ban, конечно. Он же на питоне, а значит, прозрачный!!1
> fail2ban, конечно. Он же на питоне, а значит, прозрачный!!1Да, Шигорин тут приводил пример прозрачной питонятины. Я пожалуй посмотрев такое лучше буду декодировать потуги парней с obfuscated C contest. Си выучить явно проще чем японский.
denyhosts
Да, denyhosts лучше этого поделия как минимум тем, что питоне. А значит, полностью прозрачен для редактирования!
> До полноценной замены fail2ban-а она пока не дотягивает.Разумеется. Ведь она на б-гомерзких сях, а не на православном питоне.
Да и клиент-серверной архитектуры, в отличие от fail2ban, нету. А ведь демон банов (на питоне) - в современной системе вещь незаменимая!
>> До полноценной замены fail2ban-а она пока не дотягивает.
> Разумеется. Ведь она на б-гомерзких сях, а не на православном питоне.
> Да и клиент-серверной архитектуры, в отличие от fail2ban, нету. А ведь демон
> банов (на питоне) - в современной системе вещь незаменимая!fail2ban на питоне? спасибо что предупредили, а то было хотел попозже посмотреть
> fail2ban на питоне? спасибо что предупредили, а то было хотел попозже посмотретьА еще он gamin тянет, то бишь кусок гнома.
> А еще он gamin тянет, то бишь кусок гнома.Да вообще какая-то горбатая утиля. Впрочем чего еще от питонистов ожидать?
>А еще он gamin тянет, то бишь кусок гнома.В каком месте?
А чего вы собсно ждали? Парсера логов на сях? Так на это способны только... гм... системд-строители)))
А по-хорошему, тут либо перл, либо питон, имхо.
> А чего вы собсно ждали? Парсера логов на сях? Так на это
> способны только... гм... системд-строители)))
> А по-хорошему, тут либо перл, либо питон, имхо.Несерьезно. Эти языки недостаточно прозрачны.
Вот автор rsyslog сечет фишку - всем приготовиться к Java в базовой системе!
> Вот автор rsyslog сечет фишку - всем приготовиться к Java в базовой системе!Разумеется, кроме тех, кто уже перешел на journal и может спокойно выкинуть rsyslog из своей системы.
> способны только... гм... системд-строители)))Да, конечно, настоящий питонист мужественно педалит гигантские логи на своем тормозилове. Нагрузка на цпу и прочие мелочи его не смущают. Даже если это ssh какого-нибудь мелкого роутера который вместо роутинга начинает заниматься обслуживанием какашки на питоне больше чем всем остальным.
>Даже если это ssh какого-нибудь мелкого роутераХорош дурку включать! Все знают, что на мелком роутере крупных логов нет. По определению, ибо на аппаратную хреновину сильно много и не запихнешь.
Крупные логи, они только на серверах, но на серверах есть питон и перл (а точнее, в порядке предпочтения - перл и питон), которые на этих задачах куда экономичнее всех и вся. Перл так тот вообще для этого и спроектирован.
> Хорош дурку включать! Все знают, что на мелком роутере крупных логов нет.Это с чего вдруг?
> По определению, ибо на аппаратную хреновину сильно много и не запихнешь.
На нее можно запихнуть хоть тот же нжинкс. А логи и данные складировать на тот же юсбшный винч, например. Оно, кстати, на более-менее приличном аппаратце 100Мбит сетку неплохо так прогружает на статике, так что логи могут быть и приличные.
А вот дебильная питонятина там ну вообще совсем не в кассу.
> на этих задачах куда экономичнее всех и вся.
Я и заметил - приблуды на сях (которых есть, как бы не пытались представить это в ином свете рапидные наколенщики) по скорости анализа логов почему-то рвут и питон и перл с диким отрывом :). И да, поскольку анализ логов далеко не основная обязанность сервака, эта операция должна жрать как можно меньше ресурсов. Ибо непроизводительный оверхед на служебные сущности.
Алсо, сервак может подвергнуться весьма тяжелой атаке и будет смешно если разгребание логов тормозной питонятиной будет жрать конскую порцию ресурсов, усугубляя и без того проблемную ситуацию. А на реально нагруженном серваке тормозить может даже просто запись лога на диск, если вы вдруг не в курсе. Как будет работать питонятина при таком потоке логов - догадаться несложно.
> Я и заметил - приблуды на сях (которых есть, как бы не пытались представить это в ином свете рапидные наколенщики) по скорости анализа логов почему-то рвут и питон и перл с диким отрывом :)Только писать, дебажить и поддерживать эти приблуды на сях занимает слегка дох*я времени - как здорово, если добрый дядя уже написал их для тебя.
Собственно, перл и есть одна из этих приблуд с очень высокой гибкостью, из-за чего немного страдает производительность. Больше гибкости - ниже скорость работы
> Только писать, дебажить и поддерживать эти приблуды на сях занимает слегка дох*я
> времени - как здорово, если добрый дядя уже написал их для тебя.Я же говорю - типовой питонист торопится на пожар, поэтому самому дебажить его ломает. Нехай пользователь приблуды сам глюки разгребает :)
>> Только писать, дебажить и поддерживать эти приблуды на сях занимает слегка дох*я
>> времени - как здорово, если добрый дядя уже написал их для тебя.
> Я же говорю - типовой питонист торопится на пожар, поэтому самому дебажить
> его ломает. Нехай пользователь приблуды сам глюки разгребает :)Узнаю опенковых аналитиков.
Как ведь плохо использовать отполированную утилиту на питоне, которой пользуются десятки тысяч человек на миллионах серверах в течении последних 5-10 лет, и она не вызывает никаких нареканий.Зато на Си, нигде не используемую с нигде не используемой системой инициализации - круто.
> А чего вы собсно ждали? Парсера логов на сях? Так на это
> способны только... гм... системд-строители)))И не говори. Только такой отморозок, как Поцтеринг, мог догадаться писать _программу_ на _си_.
> И не говори. Только такой отморозок, как Поцтеринг, мог догадаться писать _программу_ на _си_.Что-то мне подсказвает что придется нелюбителям си поискать другой глобус. Си недавно помнится у явы первое место по популярности отбил :)
>> И не говори. Только такой отморозок, как Поцтеринг, мог догадаться писать _программу_ на _си_.
> Что-то мне подсказвает что придется нелюбителям си поискать другой глобус. Си недавно
> помнится у явы первое место по популярности отбил :)Что-то мне подсказывает, что даже самый крутой рейтинг идею адекватности инструмента поставленной задаче не отменял.
> Что-то мне подсказывает, что даже самый крутой рейтинг идею адекватности инструмента поставленной
> задаче не отменял.Адекватность и питонисты - несовместимые понятия. Основной целью истинного питониста является написать программу как можно быстрее. На все остальное по моим наблюдениям питонистам вообще глубоко наплевать.
>> Что-то мне подсказывает, что даже самый крутой рейтинг идею адекватности инструмента поставленной
>> задаче не отменял.
> Адекватность и питонистыfixed Адекватность и анонимы - несовместимые понятия.
Вообще, если переписать это дело с iptables на ipset (который уже сто лет как в ядре), вещь получится офигенно полезная и удобная. Особенно если учесть, что в ipset штатная поддержка таймаутов на уровне ядра, а не костыльный поллинг, как в fail2ban.
Опять же, маленький и быстрый демон на сях на серваке смотрится куда лучше развесистого питоноподелия.
> Ауке Кок (Auke Kok), один из активных разработчиков systemd, опубликовал (http://thread.gmane.org/gmane.comp.sysutils.systemd.devel/7228)
> небольшое приложение tallow (https://github.com/sofar/tallow), берущее на себя часть
> функциональности известной программы fail2ban. Посредством journal API, приложение просматривает
> логи SSH на предмет попытки подбора паролей. При обнаружении нескольких неудачных
> попыток с одного IP-адреса нарушитель на некоторое время блокируется через iptables.
> Программа, скорее, ценна именно своей простотой и наглядной реализацией работы с
> журналом systemd. До полноценной замены fail2ban-а она пока не дотягивает.
> URL: http://thread.gmane.org/gmane.comp.sysutils.systemd.devel/7228
> Новость: http://www.opennet.me/opennews/art.shtml?num=35258А любители systemd могут внятно объяснить, как выключить ненужный функционал (httpd, бинарные логи, включить свой обработчик логов) и при этом сохранить работающую систему?
Я не ярый противник всего нового, просто у меня _уже_ есть ряд наработок, менять которые мне крайне неудобно. И бинарные логи, к слову, крайне много портят.
> А любители systemd могут внятно объяснить, как выключить ненужный функционал (httpd, бинарные логи, включить свой обработчик логов) и при этом сохранить работающую систему?
> Я не ярый противник всего нового, просто у меня _уже_ есть ряд наработок, менять которые мне крайне неудобно. И бинарные логи, к слову, крайне много портят.Скажите, если не секрет - а как вы писали эти свои "наработки", если не умеете читать документацию?
>> А любители systemd могут внятно объяснить, как выключить ненужный функционал (httpd, бинарные логи, включить свой обработчик логов) и при этом сохранить работающую систему?
>> Я не ярый противник всего нового, просто у меня _уже_ есть ряд наработок, менять которые мне крайне неудобно. И бинарные логи, к слову, крайне много портят.
> Скажите, если не секрет - а как вы писали эти свои "наработки",
> если не умеете читать документацию?Не надо по себе судить.
> Я не ярый противник всего нового, просто у меня _уже_ есть ряд
> наработок, менять которые мне крайне неудобно. И бинарные логи, к слову,
> крайне много портят.Более мудрый человек на вашем месте поинтересовался бы, как лучше переделать свои наработки под актуальный API.
Потому что именно со слов "мне это менять крайне неудобно" начинается строительство гор костылей, которые оборачиваются фееричнейшим геморром для тех, кому потом придется их поддерживать.А отключается это все очень легко. Надо только прочитать документацию. Но сможете ли вы совершить столь волевой шаг?
>Надо только прочитать документацию. Но сможете ли вы совершить столь волевой шаг?Нет, ты же не смог.
Кстати: пиар статья Леннарда в стиле Гетзэфактс это не документация.
Наверное он мудрый человек. И наверное он хочет использовать свои наработки в разных ОС, а не только в одной кривульке.
>> Я не ярый противник всего нового, просто у меня _уже_ есть ряд
>> наработок, менять которые мне крайне неудобно. И бинарные логи, к слову,
>> крайне много портят.
> Более мудрый человек на вашем месте поинтересовался бы, как лучше переделать свои
> наработки под актуальный API.
> Потому что именно со слов "мне это менять крайне неудобно" начинается строительство
> гор костылей, которые оборачиваются фееричнейшим геморром для тех, кому потом придется
> их поддерживать.
> А отключается это все очень легко. Надо только прочитать документацию. Но сможете
> ли вы совершить столь волевой шаг?Короче говоря, по теме сказать нечего. Как выключить бинарные логи нет ни ответа, ни документации.
> А любители systemd могут внятно объяснить, как выключить ненужный функционал (httpd, бинарные
> логи, включить свой обработчик логов) и при этом сохранить работающую систему?
> Я не ярый противник всего нового, просто у меня _уже_ есть ряд
> наработок, менять которые мне крайне неудобно. И бинарные логи, к слову,
> крайне много портят.https://wiki.archlinux.org/index.php/Systemd#Journal
По httpd - не знаю не пользовался
>> А любители systemd могут внятно объяснить, как выключить ненужный функционал (httpd, бинарные
>> логи, включить свой обработчик логов) и при этом сохранить работающую систему?
>> Я не ярый противник всего нового, просто у меня _уже_ есть ряд
>> наработок, менять которые мне крайне неудобно. И бинарные логи, к слову,
>> крайне много портят.
> https://wiki.archlinux.org/index.php/Systemd#Journal
> По httpd - не знаю не пользовалсяКак выключить там нет, только как включить "режим совместимости". httpd - это потенциальная уязвимость. "Прикрывания файрволлами" и прочее - увеличение нагрузки на CPU.
Вот у меня, к примеру, нагруженный DNS-сервер в виртуальной машине гипервизора. Минимальный инстал, логи льются сразу на сервер логирования (syslog-ng) в другую VM. Минимум служб, пакетов и прочего. Зачем мне там systemd? Виртуалка и так стартует за десяток секунд полностью. Перезапуск упавшего демона? Если демон упал, этому была причина. Это должна отметить система мониторинга, дежурный и оповестить ответственного за сервис, чтобы тот проанализировал причину (DDoS-атака, утечка памяти, специально сформированный запрос, изменения в конфигурационном файле и неудачный перезапуск и т.д.), а не просто перезапустить и забыть.
Зачем мне на нескольких десятках виртуальных машин менять систему инициализации (это, к слову, серьезные плановые работы, которые надо согласовывать), когда в текущей конфигурации все хорошо, а новое надо еще отлаживать, при этом каких-то новых удобств оно не сулит?
> Вот у меня, к примеру, нагруженный DNS-сервер в виртуальной машине гипервизора. Минимальный инстал, логи льются сразу на сервер логирования (syslog-ng) в другую VM. Минимум служб, пакетов и прочего. Зачем мне там systemd? Виртуалка и так стартует за десяток секунд полностью.Вот вот. Ни один любитель системд не ответит нафейхуа он нужен если всё растаскивается по виртуалкам. А сейчас направление такое - строго на виртуализацию. В связи с повсеместным распространением индус-программ, не умеющих работать нормально в многозадачной системе, это единственный безгеморойной вариант поиметь работающие сервисы.
видимо, надо systemd форкать, оставить от него одну систему инициализации, а там на него люди потянутся
так будешь форкать-то? или только советы горазд давать?
> видимо, надо systemd форкать, оставить от него одну систему инициализации, а там
> на него люди потянутсяТогда придется форкать, как минимум, еще и udev (если, конечно, Линус не сделает этого раньше).
А может нытики форкнутся уже и заткнутся? У меня нет systemd но постоянный нудеж оных уже достал.
Очень показательно и симптоматично. Я это делаю в пять строчек на born-shell'е:IPT=iptables
inet_if=eth0
$IPT -A INPUT -i ${inet_if} -m state --state NEW,ESTABLISHED,RELATED -p tcp --dport 22 -m limit --limit 5/minute --limit-burst 5 -j ACCEPT
$IPT -A INPUT -p tcp --syn --dport 22 -m limit --limit 5/minute -j ACCEPT
$IPT -A INPUT -p tcp --syn --dport 22 -j DROP
> Очень показательно и симптоматично. Я это делаю в пять строчек на born-shell'е:Вот только это ну совсем не есть эквивалентная замена fail2ban-у. И born-shell тут нужен чисто как запускалка айпитаблеса. В общем то в таком виде сие может быть любой шелл, вплоть до скармливания айпитаблесу параметров путем его вызова сисколлами, пардон :). Только все это - фича нетфильтра, а не вашего "типа, скрипта".
> Очень показательно и симптоматично. Я это делаю в пять строчек на born-shell'е:Очень показательно и симптоматично, что ты не понял, о чем здесь речь.
А также, что твое решение неприменимо во многих ситуациях, когда к серверу может присоединяться много людей (например, шаред-хостинг), и в то же время довольно слабо ограничивает брутфорсеров (даже таймауты в sshd более эффективны).
> и в то же время довольно слабо ограничивает брутфорсеров (даже таймауты в sshd более эффективны).Не знаю уж как для больших и/или известных проектов, но для тех что помельче, простая смена номера порта sshd практически полностью ликвидирует проблему (если конечно не "копают" именно под вас).
стайка ботов периодически ломящаяся рутом это не проблема.
> IPT=iptablesА кстати, в чем сакральный смысл вот этого? Показать как вы круто умеете пользоваться переменными? Почем зря лишняя строка на ровном месте :)