Какая система / каким методом зашифрован?

> Не силен в ZFS, потому нужна помощь. Подскажите как примонтировать zfs pool,
> который полностью зашифрован к загруженной из флешки ОС?

Давно не ковырял асасина ...
А разве там не за тест начисляется? Вряд ли там прям по конкретному rbl свой скоре - а все списки внутри одного теста.
Да и rbl вообще лучше на стадии коннекта дропать.

> весь инет перерыл

в манах почитай

> Если именя аргумента длинное, то без документации и литературного творчества в коде
> скрипта сразу ясно для чего аргумент.

Когда я путаюсь в аргументах своих скриптов, то начинаю задавать параметры через переменные окружения.

> Getops не умеет работать с длинными именами аргументов. Хочу без магичности и
> волшебности имён в виде одной буквы. Чтобы по имени аргумента было
> чётко ясно для чего аргумент.

Бывает встроенная getopts, а бывает отдельная getopt. Вроде, последняя умеет длинные аргументы.
$ which getopts
$ which getopt
/usr/bin/getopt

> Чем сделать, чтобы как в Python Argparse задать число параметров, группы аргументов
> и т.д. Можно написать "while ; do shift ; done", но
> хочется большего.

Кроме того, возможно, вы приблизились к границе применимости шелл скрипта как инструмента.

Применимость передачи данных через переменные окружения (как впрочем и через аргументы) очень ограничена, не забывайте это учитывать. На каких-то системах это может быть 100кб, на других всего 20кб (и в них должен уложиться весь environ, как я понимаю). А ещё случается так, что приложение неспособно принимать сколько-нибудь значимые объёмы информации. В моём случае ядро обещало мне 2000кб, на практике оказалось всего 120кб.

Ну, во-первых, у вас ошибка в первом же правиле - именованный список без начального +

Провел небольшой эксперимент:

удалил блок:
> rcpt_check_router:
>     driver = redirect
>     allow_fail
>     no_verify
>     data = "${if eq{}{${lookup mysql{ SQLUSR }}}{:fail: unknown
> local user}{$local_part@$domain} }"

после этого в логе посыпались ошибки от LDA  что нет пользователя получателя и он не может ему письмо доставить.

вернул блок немного изменив его:

rcpt_check_router:
    driver = redirect
    allow_fail = yes
    data = :fail: Unknown local user
    no_more

в итоге получил в логе smtp :
rejected RCPT : Unknown local user

а отправителю пришел баунс от сервера отправления со значением:
SMTP error from remote mail server after RCPT TO:<nonuser@domain.example>:
550 Can't verify recipient

Взятый из блока:
>begin acl
>acl_check_rcpt:
>deny   domains = +local_domains
>       message = Can't verify recipient
>       !verify  = recipient

Подскажите я правильно понимаю что письмо приходит на сервер exim пытается отдать его на доставку LDA, тот говорит что нет такого пользователя, и тогда срабатывает роутер по обработке. Если это верно то как все же правильно проверить пользователя не отправляя на LDA а посмотреть его в базе перед приемкой?

Как тогда узнать дошло письмо получателю или нет? Человек может опечататься и будет думать что письмо до адресата дошло.
Лучше выявлять и блокировать тех кто постоянного шлёт на несуществующие адреса.

Multiqueue
Ищи как в Proxmox включить для виртуалки

>[оверквотинг удален]
> второй vm запускаю стресс тест:
> hping3 -c 15000 -d 128 -S -w 64 -p 443 --flood --rand-source
> IP_WebServer
> На машине с web сервером растет %si до 20%, процесс ksoftirqd уходит
> в 100%, начинаются потери пакетов до этого сервера в районе 40%.
> Абсолютно также убивается любая другая виртуалка внутри Proxmox.
> Версия Proxmox 6.1, виртуалки на Ubuntu 18.04, сеть virtio.
> Что можно сделать и предпринять в данном случае для улучшения ситуации?
> PS На удаленной площадке есть ESXi, в качестве теста повторил тоже самое
> на нем, %si поднялся также до 20, ksoftirqd 0%, потерь нет.

хм, дело не в virtio, а в организации сети, предположу что в Proxmox
используете bridge, а в сфере у Вас виртуальный свитч.

Посему, тест никакущий, установите и настройте в Proxmox OVS (Open vSwitch),
будет смысл в сравнении.

Поставь console-cyrillic и запусти cyr.

А вообще лучше бы ты этого не делал - не дело серверу языки консоли переключать, он про них вообще ничего не должен знать, это забота клиента.

>потребовался мне дамп памяти чтобы найти в нем вывод сдохшей программы,

а вы сильно новичок? ну, в плане, вы вообще хорошо представляете, как будете работать с тем, что получите?

>вбил команду 'memdump > mem.dump &'

и куда это он писал? Там в мане написано, что результат надо отсылать по сети

>вывод сдохшей программы,

именно вывод? с чего вы взяли, что он еще в памяти? может вам надо перенаправить stdout/stderr в файл?

если вас интересует причина вылета программы, то вам больше поможет core dump (но сначала посмотреть логи программы (если есть) или системы)

Добро пожаловать в мир линукс!

Я думаю вам нужно найти автора проги и обсудить это с ним. Или мантейнера. Вешать комп не должно в любом случае, даже если у вас очень медленный диск.

Да, если прога берет данные из /dev/mem, то после 4.16 доступ может быть ограничен и получить можно не все. Проверьте этот вариант.

> Как заставить видеть две link-local сети
> fe80::/64
> fe80:0:0:1::/64
> В каждой по пк
> fe80::2
> fe80:0:0:1::2
> через Linux маршрутизатор
> eth0 fe80::1
> eth1 fe80:0:0:1::1

Неделю бьешься головой об стену, стоит задать идиотский вопрос и находишь ответ.
fe80 надо заменить на fec0 и все работает.

> amavisd.conf
> @local_domains_maps = ( [".$mydomain"] );  # list of all local domains

логично что он себя так ведёт, не?

@local_domains_maps = 1;

Выкинуть amavisd, spamassassin прикрутить через milter.

В общем, надо писать так:

{{ item[ gitTable_DirectoryName ] }}

Вопрос закрыт.

> Имеется такой список:

я, конечно, только учусь, но что мешает сделать так:

 
# Таблица репозитариев 
gitRepos: 
  - RepoNetworkPath: "idk.git"          
    BranchName: "master"
    DirectoryName: "idk"
    ProFileName: "idk.pro"
    TargetCopyDirectoryName: ""
  - RepoNetworkPath: ...

и писать

{{ item.DirectoryName  }}

?

ну и раз уж я все равно влез, то чем shell в вашем случае лучше чем https://docs.ansible.com/ansible/latest/modules/git_module.html ?

> Есть другие, может более прямые, методы?

Более прямой метод - настроить постоянные имена интерфейсов.

> В первую очередь интересны независимые от дистрибутива способы. Прежние схемы наименований
> с net.ifnames и т.п. потихоньку выпиливают, насколько понимаю

Наоборот, впиливают: http://vasilisc.com/stateless-persistent-network-interface-n...
Видимо у вас что-то пошло не так в процессе.

Я у себя ручками правлю /etc/udev/rules.d/70-persistent-net.rules - благо железо не часто меняется. Да и удобно помнить, что eth0 всегда смотрит в интернет, а eth1 - в локалку. Когда понадобилось сделать мост - назвал интерфейсы lan1 и lan2, объединил их в br1 и тоже не путаюсь.

> Здравствуйте, пишу диплом по теме компрессия изображений при помощи приблизительных множеств
> (rough set theory). Уже который день сижу и не могу понять,
> с чего начать. Будь доступ к университету и преподавателям было бы
> намного проще, но увы. Подскажите, пожалуйста, с чего стоит начать и
> куда дальше двигаться? Всем спасибо за помомщь!!!

А что , разве преподаватели уполномочены помогать? В прдобных ситуациях.И отчего снйчас не помогают?

> Здравствуйте, пишу диплом по теме компрессия изображений при помощи приблизительных множеств
> (rough set theory). Уже который день сижу и не могу понять,
> с чего начать. Будь доступ к университету и преподавателям было бы
> намного проще, но увы. Подскажите, пожалуйста, с чего стоит начать и
> куда дальше двигаться? Всем спасибо за помомщь!!!

..., RLE - encoding, Wavelet, DCT и прочее, а по сути пятилетку выполнить за 4 недели и 12 дней - это не злой юмор и ни тени сарказма..

P.S.:
..и контролировать свое время, история из жизни - за полгода назначать встречу и за 2 недели отменять...

> Здравствуйте, пишу диплом по теме компрессия изображений при помощи приблизительных множеств
> (rough set theory). Уже который день сижу и не могу понять,
> с чего начать.

С плана, друг мой, с плана.

1. Введение в проблему
2. Имеющиеся теоретические предпосылки
3. Твои наработки
4. Технико-экономическое обоснование
5. Выводы
6. Приложения - графики, плакаты, схемы и т.п.

Между 4 и 5 вполне могут затесаться еще ТБ и ГО.

Ты в иституте-то пять (четыре? шесть? семь?) лет чем занимался? Кроме бабслея и литрбола, какие дисциплины изучал? В теме своей хоть немного рубишь или вчера впервые такие слова услышал?

Лично у меня гугл по "rough set image compression" в первых 4 ссылках выдаёт научные работы, которые по факту только перевести надо, а по "rough set image compression python" в первой ссылке выдаёт пример программы.

> Здравствуйте, пишу диплом по теме компрессия изображений при помощи приблизительных множеств
> (rough set theory). Уже который день сижу и не могу понять,
> с чего начать. Будь доступ к университету и преподавателям было бы
> намного проще, но увы. Подскажите, пожалуйста, с чего стоит начать и
> куда дальше двигаться? Всем спасибо за помомщь!!!

В план ещё нужен список источников - откуда цитирирование и ссылки.

Читни пару дней мануалы по установке контактов и работе со сложными людьми, прикинь о чём поговорить, что можешь услышать, как ответить и позвони руководителю. Ему уже скушно дома. Всё будет Ок. :)

Чтобы человек на том конце связи заинтересовался и начал работать, важно: заранее сформулируй вопросы. Вопросы сначала напиши, прочитай, перепиши. Если ты сразу задаёшь продуманные вопросы про конкретные детали, если видно, что ты уже думал, пытался вникнуть в заренее найденную инфу, то легко начинается деловое сотрудничество.

Нужна инфа о двух вещах: сама тема диплома и "писать научную статью". Твой вопрос по второму пункту, и это основное, для чего диплом - оформлять мысли и результат. Первый пункт найдёшь на stackoverflow, и это второстепенное назначение диплома.

>   0 127.0.0.1:5353        
>   0.0.0.0:*  LISTEN dnscrypt-proxy
> DNS1=127.0.0.1
> доступа к интернету нету

и походу не будет. скорее всего из-за того, что wget не сможет догадаться альтернативный порт
> # wget ya.ru
> Распознаётся ya.ru (ya.ru)... ошибка: Имя или служба не известны.
> при DNS1=обычном wget работает

> а вот когда вставляю ее в crone получаю
> /bin/sh: /home/sap/sql/pord_*.sql: No such file or directory

Похоже на косяк в синтаксисе строки для crontab - типа "минуты" = mysql, "часы" = -usapsd и т.д. до "команда" = /home/sap/sql/prod_*.sql.

Покажи строку полностью.

> необходимо периодически кидать в таблицу данные из файла
> команда из консоли отрабатывает как надо
> mysql -usapsd -psapsd zakdev < /home/sap/sql/pord_*.sql
> а вот когда вставляю ее в crone получаю
> /bin/sh: /home/sap/sql/pord_*.sql: No such file or directory

Рекомендую завернуть команду mysql в скрипт.
Собственно скрипт уже тестировать, траблшутить, допиливать, назначать нужные переменные окружения, писать ошибки в лог, и т.д.

Рекомендую прописать юзера и пароль для MySQL в ~/.my.cnf хозяина скрипта.

Что касается конкретно той команды которую вы пытаетесь выполнить, имейте в виду что в командах в crontab знаки подстановки просто так не обрабатываются. По крайней мере * и ? воспринимаются букально. Вот если бы ваш файл так и назывался "/home/sap/sql/pord_*.sql", оно бы сработало. Почему так, навскидку не скажу, подозреваю что это сязанно с тем что * интерпретирует сам парсер crontab-а. Указывайте все имена прямо, или заворачивайте свою команду в скрипт.

Да, pattern matching не работатет тут, либо, как рекомендовали, оберните в отдельный скрипт, либо используйте результат подстановки, например:

mysql -usapsd -psapsd zakdev < $(realpath -ze /home/sap/sql/pord_*.sql /dev/null | cut -d '' -f 1)

> Подскажите пожалуйста почему ssh перестаёт работать при уменьшении mtu ?

Потому, что какие-то п*доры запретили ICMP на всех раутерах, до каких смогли дотянуться. Почитай про PMTU Discovery.

чтение манов вслух с выражением - $50
https://www.asus.com/support/FAQ/114892/
ну и прошивочку обновить

> Centos, настроен DHCP на три подсети,

Что за сервер? ISC DHCPD?

> Подскажите, как в конфиге исключить эту подсеть? Или просто выключить интерфейс?

Задайте в явном виде, на каких интерфейсах он должен слушать. В CentOS толжно быть где-то в /etc/sysconfig/dhcpd, гуглите доку.
И закоментируйте соответствующую секцию "subnet", чтоб мусора не было.
Но если серверу нечего делать в данной подсети, то конечно имеет смысл выключить интерфейс.

> там содержатся файлы для компиляции *.h
> /usr/include/imap/c-client.h
> пакет php-imap эту папку с файлами не создает

Смотри на установленные пакеты -dev/-devel.

php-imap-dev[el]

dpkg -S /usr/include/imap/c-client.h

> Я обнаружил, что импорт HTML теперь не рекомендуется.

Забейте. Эти рекомендации меняются каждые три года в зависимости от моды.

> импорт HTML теперь не рекомендуется.

Ну да, ну да, нынче не модно статику без пары десятков тысяч строк жабоскрипта делать. Если сайт не жрёт пол гига оперативы - это детская поделка :Р

> будет размещен на страницах github

Нахрена? Сейчас шаровых хостингов, с поддержкой всего что угодно, вагон и маленькая тележка.

> Так каков лучший способ приблизиться к этому сейчас?

Смотря по какому параметру оптимизировать.

Если по идеологии, то последний писк это тяжёлый JS сервируемый как статика. Не знаю что там разработчики себе думают, но мне как пользователю с претензиями этот подход совсем не симпатичен.

Если по непривиредливости к серверу и клиенту, то "правильно" может оказаться генерировать статичный HTML, с повторами и всеми наворотами, из скрипта. Как будто бы направили wget --mirror --convert-links на динамически генерируемый сайт, и опубликовали результат как статчную страничку.
При каждом изменении - сгенерировали всё заново.

> При попытке вставить эмотикон в таблицу mariadb ругается

А говорили, что от осминога ничего не бывает...

> MySQL answer: Incorrect string value: '\xF0\x9F\x98\x80' for column `my_db`.`pages`.`text_1`
> at row 1.
> Чего еще не хватает для корректной работы с эмотиконами в БД?

character set со стороны клиента. Как вставляете?

https://lmgtfy.com/?q=MySQL+answer%3A+Incorrect+string+...

Может, это ?

do-not-query-localhost: _yes or no_
          If  yes, localhost is added to the do-not-query-address entries,
          both IP6 ::1 and IP4 127.0.0.1/8.    If no, then localhost  can  be
          used to send queries to. Default is yes.

>[оверквотинг удален]
> Apr  2 17:09:50 ...hostname... local-unbound[43746]: [43746:0] debug: No more query targets,
> attempting last resort
> Apr  2 17:09:50 ...hostname... local-unbound[43746]: [43746:0] debug: configured stub
> or forward servers failed -- returning SERVFAIL
> Apr  2 17:09:50 ...hostname... local-unbound[43746]: [43746:0] debug: store error response
> in message cache
> Apr  2 17:09:50 ...hostname... local-unbound[43746]: [43746:0] debug: return error response
> SERVFAIL
> Пните, плиз, в каком направлении хотя бы копать...?
> UPD: Сервер куда форвардятся запросы - работает, если шо...

В направлении:
- что меняли в конфигах
- dnssec (отключить для локальных зон)

Все легко проверяется, следует смотреть конфиг, увличить verbosity,
drill и/или unbound-host (если из портов/пакетов)

> Здравствуйте!
> Задача - Samba раздает несколько каталогов по паре Тбайт (для каждой свой
> сетевой ресурс.
> Файлы на Raid-Z пуле. К папкам никаких "плюшек" ZFS типа сжатия и
> т.п. не применяется. Весь объем пула на всех.
> Вот задался вопросом, что лучше в плане надежности, скорости, оптимальности - в
> пуле одна файловая система и в ней эти каталоги, или под
> каждый каталог создать отдельную ФС ?
> Кто плотнее знаком с ZFS может посоветуете?

советую почитать пару книг:

1) FreeBSD Mastery: ZFS  
2) FreeBSD Mastery: Advanced ZFS

авторы:  Michael W Lucas and Allan Jude

> Здравствуйте!
> FreeBSD 12.1 установлна на ZFS -рейд в режиме Mirror с разбиением MBR.
> При попытке обновить систему чтоб дальше пересобрать ядро получаю
> root@f2:/usr/home/serge # freebsd-update fetch
> src component not installed, skipped
> Cannot identify running kernel
> Как я понимаю, скорее всего система не может найти /boot
> Подскажите, пож., куда копать

# zpool import -f bootpool

если bootpool смонтировался после импорта,
все необходимое должно появится в:
# ls -la /bootpool/boot

если все ok:

# freebsd-update fetch

но прежде чем перезагружаться, советую создать rc.local с zpool import -f bootpool

> Здравствуйте!
> FreeBSD 12.1 установлна на ZFS -рейд в режиме Mirror с разбиением MBR.
> При попытке обновить систему чтоб дальше пересобрать ядро получаю
> root@f2:/usr/home/serge # freebsd-update fetch
> src component not installed, skipped
> Cannot identify running kernel
> Как я понимаю, скорее всего система не может найти /boot
> Подскажите, пож., куда копать

Спасибо! Все получилось.

> есть сеть 172.16.50/24
> Для домена AD я решил выделить подсеть 172.16.50.192/26

В смысле, интервал 172.16.50.192-254 внутри подсети 172.16.50.0/24, или у вас две (пересекающихся) сети находятся в одном и том-же широковещательном домене?
Какие маски сети на у controller.wsvirt.home и у addc1.ad.wsvirt.home? Вывода "ip route" будет достаточно.

> В реальности все клиентские системы должны быть в одном широковещательном домене.

В одном домене друг с другом, или в одном домене вместе с controller, controller2 и addc1?
Если все в одном широковещательном домене, то у вас, кажется, будет race condition между dhcpd развёрнутом на controller и на addc1. Они оба будут пытаться отвечать одному и тому-же клиенту.

Оставьте всех в одной сети /24 (например 172.16.50.0/24), или разнесите на 2 или более сети /26 (например 172.16.50.0/26 и 172.16.50.192/26) в разных широковещательных доменах. Но не перемешивайте разные сети в одном домене, а то будут трудно предсказуемые результаты.

По существу делегирования обратной зоны, соответствующей classless CIDR (то есть сети не /0, /8, /16 или /24). Так можно, но через костыли. Дело в том что DNS умеет в иерархию обратных зон используя десятичную нотацию адресов IP и точку как разделитель. Он может отличить, например, 172.16.50.0/24 от 172.16.51.0/24. А 172.16.50.0/25 от 172.16.50.128/25 не может, так как на половине последнего октета, в десятичной нотации, точку не поставишь.
Но, я полагаю, вы об этом уже всё прочитали и не устрашились.

> Мне нужно чтобы Linux клиенты из домена wsvirt.home могли разрешать реверсные имена
> в домене ad.wsvirt.home. Как это можно сделать и можно ли вообще
> это сделать?

Собственно, ваш "$GENERATE 193-254" эти костыли и есть. Оно вам надо? Не проще ли будет вашу лабораторию разнести на разные classful подсети?
У вас лаборатория по Самбе, или по экзотическим случаям делегирования обратных зон DNS?

Я однажды делал примерно так:
controller:/var/named/50.16.172.db
$ORIGIN 50.16.172.in-addr.arpa.
2                       IN      PTR     controller.wsvirt.home.
3                       IN      PTR     controller2.wsvirt.home.
$GENERATE 193-254 $     IN      NS   addc1.ad.wsvirt.home.
(но это не точно)
(освежил здесь https://dnswatch.com/dns-docs/BIND-administration-guide/Bv9A...)

Говорят, по RFC2317 можно и так:
controller:/var/named/50.16.172.db
$ORIGIN 50.16.172.in-addr.arpa.
2                       IN      PTR     controller.wsvirt.home.
3                       IN      PTR     controller2.wsvirt.home.
192/26                  IN      NS      addc1.ad.wsvirt.home.
$GENERATE 193-254 $     IN      CNAME   $.192/26.50.16.172.in-addr.arpa.
(подсмотрел на https://superuser.com/questions/1450158/bind-create-reverse-...)
Но читаем https://www.ietf.org/rfc/rfc2317.txt:
Some DNS implementations are not kind to special characters in domain names, e.g. the "/" used in the above examples.

Я подозреваю, что в вашей конфигурации кто-то непрвильно обрабатывает ответ CNAME от controller.
Что будет если
dig ns 50.16.172.ddns @controller.wsvirt.home
?

Ещё можно попробоать как-то обозначить зону 50.16.172.ddns на controller. Есть гипотеза что он не знает что делать с запросами о *.ddns.
Например, задать её в качестве slave или forward.

Нашёл я где собака порылась. Bind 9 не умеет работать с DNSSEC когда используется форвардинг и зная это я установил на сервере addc1.ad.wsvirt.home в /etc/named.conf значения глобальных опций в качестве workaroubd:

dnssec-enable no; 
dnssec-validation no;

А сделать тоже самое на upstream сервере controller.wsvirt.home я забыл - там эти значения этих опции были установлены в yes, поменял их на  no и всё заработало. Вопрос использования DNSSEC с форвардингом - это уже другая история.

Благодарю  Licha Morada за участие и ценные советы.

> Hit:1 http://ppa.launchpad.net/ondrej/php/ubuntu eoan InRelease
> удалил и его репо

Что-то не сходится

> Решил без особый вложений использовать LetsEncrypt. Все что нужно - так это
> подтвердить владение зоной. Обычно это делается через http uri.
> И все бы ничего, но у меня нет на хосте с postfix-ом
> web-сервера, и ставить его туда не собираюсь.

В принципе, web-сервером может быть всё что угодно, хоть nc. Моя персональная симпатия уходит к xinetd. Смотрите примеры https://unix.stackexchange.com/questions/32182/simple-comman...

> Благо есть альтернативный способ подтвердить владение через DNS, но тут снова проблема,
> DNS тоже не на хосте с postfix-ом.
> Поначалу начал заморачиваться с запуском скриптов через ssh, но потом подумал, а
> наверное есть способ а-ля rndc addzone?! Но не нашел.
> Плохо искал или таки нет?
> nsupdate не подходит, поскольку зона не динамическая.

Можно оставить в покое вашу зону example.com, но завести на том-же хосте отдельную зону _acme-challenge.example.com и её сделать динамической.
Или пусть зона _acme-challenge.example.com будет slave, чтобы её обновлял master который живёт там-же где и Postfix, а с локальным непубличным Bind-ом вы без SSH справитесь.
Вам же важно, чтобы обновлялка сертификатов не могла лазать куда не надо?

>[оверквотинг удален]
> подтвердить владение зоной. Обычно это делается через http uri.
> И все бы ничего, но у меня нет на хосте с postfix-ом
> web-сервера, и ставить его туда не собираюсь.
> Благо есть альтернативный способ подтвердить владение через DNS, но тут снова проблема,
> DNS тоже не на хосте с postfix-ом.
> Поначалу начал заморачиваться с запуском скриптов через ssh, но потом подумал, а
> наверное есть способ а-ля rndc addzone?! Но не нашел.
> Плохо искал или таки нет?
> nsupdate не подходит, поскольку зона не динамическая.
> Есть ли другие варианты, или остается только ssh?

У letsencrypt  свой сервер, лишь бы порт 80 (возможно и 443) не заняты были во время получения сертификата....

> И все бы ничего, но у меня нет на хосте с postfix-ом
> web-сервера, и ставить его туда не собираюсь.

Вам шашечки или ехать?

Ну стойте, ждите шашечек...

Я поражаюсь, насколько люди стремятся создавать себе проблемы на ровном месте и хотят чувствовать себя героями, решая их.

Не хочешь ставить веб-сервер - купи платный сертификат, это дешевле чем потраченное время.
Но поставить веб-сервер - еще дешевле.