Gentoo Team - Суббота, 31 октября 2009

evadim.ru

Gentoo Team

gentoo-team@conference.evadim.ru

Суббота, 31 октября 2009< ^ >

Конфигурация комнаты

Участники комнаты

GMT+3

Конфигурация комнаты

Участники комнаты

[20:03:48] Конфигурация комнаты изменилась
[20:05:02] <evadim> тыкс, немного порулил настройками комнаты
[20:05:33] krigstask вошёл(а) в комнату
[20:05:50] <krigstask> Пыщь
[20:06:00] <winterheart> ох тыж
[20:06:11] <evadim> угу
[20:06:18] <winterheart> ну што
[20:06:23] <winterheart> ждем кворума?
[20:06:42] <evadim> по поводу?
[20:07:01] <evadim> мы вобщемто не в курсе что да как, да и решить ничего не могём
[20:07:09] <winterheart> вотвот
[20:07:12] <winterheart> потому и ждем
[20:07:15] <evadim> норда и лёху я пнул
[20:07:25] <winterheart> all - рассылку читали?
[20:08:26] alexxy вошёл(а) в комнату
[20:08:33] <krigstask> Не-а, там у них RSS тупят
[20:08:40] <alexxy> ок
[20:08:47] <alexxy> в общем что случилось все в курсе?
[20:08:55] <alexxy> или мне рассказывать?
[20:09:22] <evadim> ну, мы в курсе того что видимо архимед в отправился к праотцам
[20:09:43] <alexxy> агу
[20:09:49] <alexxy> в общем если дату достаним
[20:09:55] <alexxy> то все переносим на евклид
[20:10:10] <krigstask> Ничего себе ириска
[20:11:21] <evadim> а как кстати с ведром на евклиде?
[20:11:37] krigstask прочитал рассылку
[20:11:44] <alexxy> ну сегодня узнаю
[20:12:00] <krigstask> Железо гикнулось, я так понял?
[20:12:04] <krigstask> Предположительно
[20:12:15] evadim установил(а) тему: Логи http://evadim.ru/ejabberd/muclogs/gentoo-team@conference.evadim.ru/2009/10/
[20:12:31] <evadim> вопрос в том что именно
[20:12:39] <evadim> там пва с дишем?
[20:13:21] <alexxy> в общем оно не включается вообще
[20:13:30] <alexxy> те скорее всего гикнулась материнка
[20:14:02] <evadim> а может память
[20:14:10] <evadim> вроде с ней были проблемы кадато
[20:14:42] <krigstask> Вот там человек хотел помочь проекту
[20:14:49] <krigstask> Надо с него новый сервак стрясти
[20:14:50] Dmitri вошёл(а) в комнату
[20:15:10] <winterheart> хаха
[20:15:17] <winterheart> где ж теперь его найдешь
[20:15:22] <winterheart> логи там все остались
[20:15:53] <winterheart> я пошел жрат
[20:15:57] <winterheart> с горя :)
[20:16:17] <Dmitri> бесперебойник мог накрытся
[20:16:44] <alexxy> Dmitri: ну а что конкретно?
[20:16:50] <alexxy> блок питания смотрели?
[20:16:59] <alexxy> может он накрылся а не мамка?
[20:17:46] <Dmitri> просто сгорел и не выдает напряжения
[20:17:56] <Dmitri> его в любом случае тогда только менять
[20:18:25] <alexxy> ммм
[20:18:28] <Dmitri> на ru.gentoo-wiki.com запостить новость что бы народ просветить что пока ничего не будет?
[20:18:32] <alexxy> типа таких блоков больше нет?
[20:19:18] <Dmitri> с любого другого подходящего блока зацепить питание и посмотреть как оно себя проявить, разъемы благо стандартные
[20:22:15] <evadim> новость на вики? а что там писать?
[20:22:23] <evadim> пока вроде нечего
[20:22:54] <Dmitri> что gentoo.ru пока не доступен по техническим причинам, и что gentoo-team занимается
[20:26:15] <evadim> можно и так
[20:26:21] <evadim> alexxy: ?
[20:29:00] <krigstask> Я считаю, надо так
[20:29:17] <krigstask> Хорошо бы ещё DNS-сервера переправить куда-нибудь
[20:29:32] <krigstask> Но это излишне, наверное. Времени не хватит
[20:31:29] <Dmitri> тогда я оформляю новость на r.g-w.
[20:32:28] <alexxy> Ок
[20:32:36] <alexxy> я тогда попробую сие на irc повесить
[20:38:04] <alexxy> тыкс
[20:38:08] <Dmitri> линк на эту конфу скинут?
[20:38:09] <alexxy> на irc повесили
[20:39:16] <winterheart> не, не надо
[20:39:26] <Dmitri> хорошо
[20:39:28] <krigstask> Да, зачем?
[20:41:58] <evadim> эта конфа - запасной аэродром на случай всяких косяков
[20:44:37] <alexxy> надо сюда вызвать норда и pva
[20:45:38] <Dmitri> новость висит
[20:45:52] <alexxy> есть мысль раскатать на euclid обычное ведро + патчи pax
[20:45:59] <alexxy> и использовать lxc
[20:46:55] <winterheart> оно нормально будет работать?
[20:47:19] <alexxy> у норда пашет
[20:48:33] Night Nord вошёл(а) в комнату
[20:48:45] <Night Nord> Угу, пашет
[20:48:51] <Night Nord> тока я утилиты еще не дописал толком
[20:49:03] <winterheart> пффф
[20:49:09] <Night Nord> Стандартными рулить можно - но довольно куцо
[20:49:18] <Night Nord> Либо libvirt'ом, но там все через xml
[20:50:12] <Night Nord> alexxy: да, кстати, зачем обычное ядро?
[20:50:17] <Night Nord> Я hardened-sources просто накатил
[20:50:38] <alexxy> ну можно и его
[20:51:09] <Night Nord> Вообщем у меня есть amd64 темплейт, который может грузится и ебилд для 9999 lxc
[20:51:20] <Night Nord> Правда no-multilib
[20:52:05] <Night Nord> С секьюрностью, если юзать lxc- трудности
[20:52:12] <alexxy> там мультилиб не нужен
[20:52:17] <alexxy> нет 32битного софта
[20:52:19] <Night Nord> Т.к. там нету поддержки абстрактных capabilities
[20:52:23] <alexxy> а что с секьюрностью?
[20:52:31] <Night Nord> Т.е, например, если есть доступ рута в контейнер
[20:52:36] <Night Nord> Можно загрузить какой-нить модуль
[20:52:38] <Night Nord> Ну и т.п.
[20:52:47] <alexxy> хреново
[20:52:53] <Night Nord> С libvirt дело обстаит лучше
[20:52:57] <Night Nord> *стоит
[20:53:01] <Night Nord> Там это дело зарулили
[20:53:10] <Night Nord> Но как им пользоватся, я так и не понял
[20:53:49] <winterheart> а контейнеры взаимозаменяемые?
[20:53:50] <Night Nord> Но на данный момент, имхо, секьюрность не главное, а мигрировать с конфига на конфиг всегда можно, благо система от этого не зависит
[20:54:00] <Night Nord> Контейнеры - просто каталоги, как и в openvz
[20:54:31] <Night Nord> Правда, в случае lxc, прямой бинд в каталог ничего не дает, он как-то хитро это все дело заруливает куда-то в /tmp
[20:55:07] <Night Nord> Но там есть fstab-like конфигурация, которая позволяет монтировать на момент запуска
[21:07:12] <alexxy> Night Nord: ок
[21:07:20] <alexxy> тогда наверно ставлю hardened
[21:07:44] <Night Nord> В принципе, там не должно быть больших проблем добавить capabilities в lxc
[21:08:46] <alexxy> ок
[21:08:49] <alexxy> начинаю апдейт
[21:48:02] <alexxy> тыкс
[21:48:09] <alexxy> я перенаправляю днс gentoo.ru
[21:48:14] <alexxy> на свои машины
[21:48:21] <evadim> а бэкап есть?
[21:48:24] <alexxy> там повешу страницу о полном звездице
[21:48:32] <alexxy> и типа мы работаем
[21:48:36] <alexxy> свежего бекапа нет
[21:49:20] <evadim> ну, тогда никакого нинада
[21:49:30] <evadim> заглушку поставить какуюнить
[21:50:15] <alexxy> ну я так и хочу сделать
[21:50:22] <alexxy> secondary днс
[21:50:29] <alexxy> это две мои машины
[21:53:18] <krigstask> Будем надеяться, винт жив
[21:53:38] <Night Nord> Там их два, как я понимаю
[21:54:48] <evadim> dhjlt ; 4
[21:54:52] <evadim> вродеж 4
[21:55:00] <evadim> на 73
[21:55:05] <Night Nord> Ну вообщем сложно их убить
[21:55:14] <evadim> угуу
[21:55:28] <krigstask> Ну и славно
[21:55:44] <Night Nord> Разве что в подвале itmi произошел обвал потолка =)
[21:55:49] <Night Nord> Или прорыв трубы
[21:59:22] <alexxy> там 5 винтов
[21:59:28] <alexxy> на 36.6
[21:59:38] <alexxy> тьфу 4
[21:59:41] <alexxy> в рейде5
[22:01:35] <evadim> хм
[22:01:40] <evadim> значит я что-то путаю
[22:04:58] <winterheart> с первым ноября
[22:05:34] <Night Nord> Еще 2 часа =)
[22:05:41] <evadim> у кого как
[22:05:46] <Night Nord> У вас в Уфе время неправильное =)
[22:08:22] <alexxy> тыкс
[22:08:30] <alexxy> я думаю сам харденед не нужен
[22:08:34] <alexxy> нужны только pax
[22:08:53] <alexxy> и ядро 2.6.30 и выше
[22:26:46] pva вошёл(а) в комнату
[22:30:35] <pva> alexxy: а почему вы не хотите openvz-sources-2.6.27.2.1-r3?
[22:30:43] <alexxy> http://www.gentoo.ru/
[22:31:05] <alexxy> ну имзхо стоит попробовать lxc
[22:31:10] <alexxy> раз это замена ovz
[22:31:20] <alexxy> и ovz в текущем сотоянии в стасисе
[22:32:15] <alexxy> тыс
[22:32:20] <alexxy> обновил gcc на euclid
[22:32:37] <alexxy> генту ру перенаправил на свой хост
[22:32:53] <alexxy> там висит заглушка что типа был сбой и ведем работы по реанимации
[22:33:54] <alexxy> 'v
[22:34:05] <alexxy> pva: а что с вытаскиванием даты?
[22:34:34] <pva> alexxy: Dish не доступен.
[22:36:05] <alexxy> мдя
[22:38:06] <alexxy> http://www.grsecurity.net/
[22:38:11] <alexxy> там патч на 31 ведро
[22:38:21] <alexxy> если запустить lxc то все будет в ажуре
[22:38:21] <pva> Кстати, по поводу hardened или даже pax. Но кой оно нужно с lxc?
[22:38:39] <pva> я тут поразбирался и толку не увидел...
[22:38:41] <pva> :)
[22:38:51] <alexxy> зарубать всякую херню
[22:38:53] <alexxy> =)
[22:39:07] <pva> а поподробнее и пококретнее? :)
[22:39:44] <pva> Просто имо, кроме багов оно в такой архитектуре толку не приносит....
[22:39:53] <alexxy> ну повышает безопасность относительно применения эксплойов на buffer owerflow
[22:40:05] <pva> Так это hardened toolchain.
[22:40:11] <pva> для него ядро не нужно :)
[22:40:15] <pva> Что ещё? :)
[22:40:15] <alexxy> мне сам grsecurity на текущий момент не интересен
[22:40:21] <pva> я про pax
[22:40:26] <alexxy> интересен pax
[22:40:30] <pva> и?
[22:40:31] <pva> :)
[22:40:40] <alexxy> ну а что и?
[22:40:46] <pva> Просто пока я не понимаю на кой чёрт козе сей баян
[22:40:49] <Night Nord> pax не поменает
[22:40:52] <Night Nord> *помешает
[22:40:54] <alexxy> ну возьмет кто нить что нить попробует выполнуть на машине
[22:40:56] <Night Nord> grsec работать не будет
[22:41:05] <alexxy> я знаю что не будет
[22:41:08] <pva> alexxy: и?
[22:41:12] <alexxy> а вот pax будет
[22:41:22] <pva> Night Nord: но и толку от него 0
[22:41:35] <Night Nord> Быть может, но если он хотя бы один раз сработает - будет профит
[22:41:38] <alexxy> ну pax зарубает большинство эксплойтов на mmap и подобные веще
[22:41:41] <Night Nord> А минуса нету
[22:41:45] Night Nord за pax
[22:41:55] alexxy тоже
[22:41:59] <pva> ну ок :)
[22:42:05] <Night Nord> Будет мешать - вырубим
[22:42:07] <Night Nord> Делов-то =)
[22:42:15] <alexxy> о чем и речь
[22:42:27] <Night Nord> Я щас делаю патч на lxc, чтобы можно было капабилити указывать
[22:42:52] <Night Nord> И была поддержка include файлов и множественных более одаренных mount
[22:45:01] <alexxy> pva: почему бы не переползти на lxc раз даже апстрим openvz похоже щас больше его пилит чем openvz
[22:54:37] <Night Nord> http://dpaste.com/114723/
[22:54:56] <Night Nord> Посмотрите, кто разбирается, какие из них нам нужны
[22:55:01] <Night Nord> capabilities массив
[22:57:03] <alexxy> sys_module вероятно лучше блокировать
[22:57:18] <alexxy> mac* не уверен что нужно
[22:57:36] <alexxy> Night Nord: у тя что за ведро стоит?
[22:57:39] <alexxy> 31?
[22:57:41] <Night Nord> Да
[22:57:48] <alexxy> система ~amd64?
[22:57:59] <Night Nord> alexxy: я делаю возможность указания их в конфиг файле
[22:58:02] <Night Nord> Да
[22:58:31] <Night Nord> На openrc нужен патч для контейнеров тока, я марплесу уже в баги положил, но он где-то шляется с 26го 2 недели
[22:59:01] <alexxy> ок
[22:59:11] <alexxy> дай ссылки на баги
[23:02:56] <Night Nord> Щас
[23:03:03] <Night Nord> Новый ебилд туда запощу
[23:05:34] <Night Nord> alexxy: https://bugs.gentoo.org/show_bug.cgi?id=289897
[23:05:37] <Night Nord> lxc-9999
[23:05:57] <Night Nord> http://roy.marples.name/projects/openrc/ticket/202#comment:1
[23:06:57] <Night Nord> http://git.niifaq.ru/portage-niifaq/tree/sys-apps/openrc
[23:08:55] <alexxy> нужен только патч из камента или еще что то7
[23:09:09] <Night Nord> Только из коммента
[23:09:28] <alexxy> а остальные 5 патчей это чот7
[23:09:35] <Night Nord> Ээ?
[23:09:40] <Night Nord> Ты про ебилд?
[23:09:43] <alexxy> патч из камента залей на багзиллу
[23:10:01] <alexxy> типа add lxc support to openrc
[23:10:03] <Night Nord> Ты про lxc или про openrc
[23:10:11] <alexxy> про openrc
[23:10:19] <alexxy> для lxc я патча пока что не видел
[23:10:22] <Night Nord> Остальные пять патчей - там они уже есть
[23:10:39] <Night Nord> Это в дереве они так названы =)
[23:11:34] <Night Nord> alexxy: это baselayout?
[23:11:50] <alexxy> не помню
[23:13:20] <alexxy> такс
[23:13:26] <alexxy> обновляю сервер до hardened
[23:13:50] <alexxy> Night Nord: патч на lxc потом покажешь
[23:14:48] <alexxy> Night Nord: патч для openrc я так понимаю нужен только внутри контейнера
[23:15:30] <Night Nord> https://bugs.gentoo.org/show_bug.cgi?id=291364
[23:15:31] <Night Nord> Да
[23:15:59] <alexxy> Night Nord: меня в cc добавь в этих багах
[23:16:00] <alexxy> =)
[23:16:02] <Night Nord> Он засекает, что это контейнер и отрубает ненужные скрипты. Возможно из придется еще и руками повыпиливать - он их выключает тока из депендов (так и положено)
[23:54:17] <alexxy> Night Nord: а веб морду типа oVirt прикручиваь не побовал?
[23:54:47] <Night Nord> А веб-морда типа oVirt требует безумных депендов =)
[23:55:39] <Night Nord> Как минимум, емнип, freeipa, которое пилит тов. слепнога
[23:55:48] <alexxy> мдя