После двух месяцев разработки Линус Торвальдс представил (https://lkml.org/lkml/2017/9/3/155) релиз ядра Linux 4.13 (https://www.kernel.org/). Среди наиболее заметных изменений: встроенная реализация протокола TLS, плагин для рандомизации порядка полей в структурах данных, функциональность "lifetime hints" в VFS, поддержка буферизированного ввода/вывода в неблокирующем режиме, модуль для зонированных блочных устройств, расширение лимита на число файлов в директории ext4, поддержка привязки BPF-программ к сокетам, средства оптимизации энергопотребления через прогнозирование следующего прерывания.В новую версию принято более 12 тысяч исправлений от 1400 разработчиков, размер патча - 68 Мб (изменения затронули 10647 файлов, добавлено 824508 строк кода, удалено 228197 строк). Около 45% всех представленных в 4.13 изменений связаны с драйверами устройств, примерно 18% изменений имеют отношение к обновлению кода специфичного для аппаратных архитектур, 15% связано с сетевым стеком, 4% - файловыми системами и 3% c внутренними подсистемами ядра.
Основные (http://kernelnewbies.org/Linux_4.13) новшества (https://lwn.net/Articles/727852/):
-
Дисковая подсистема, ввод/вывод и файловые системы
- В виртуальную файловую систему и уровень блочных устройств добавлены признаки со сведениями о времени жизни данных ("lifetime hints"), которые могут быть привязаны к открытому файлу при помощи системного вызова fcntl(). Например, признак RWH_WRITE_LIFE_SHORT сигнализирует, что данные предназначены для хранения короткое время, а признак RWH_WRITE_LIFE_EXTREME указывает на то, что данные останутся навсегда. Устройство хранения может использовать данные признаки для оптимизации размещения данных с учётом ожидаемого времени их хранения. В настоящее время только драйвер NVMe учитывает эти сведения;- Поддержка (https://lwn.net/Articles/724198/) буферизированного ввода/вывода на блочном уровне в неблокирующем режиме. Новая возможность позволяет улучшить поддержку асинхронного ввода/вывода в условиях, когда используется буферизированный ввод/вывод;
- Для Device Mapper реализован новый модуль dm-zoned (https://www.kernel.org/doc/Documentation/device-mapper/dm-zo... позволяющий создавать зонированные блочные устройства в которых применяются разные правила записи в различные части устройства. Например, устройства в которых одна зона может допускать только запись в последовательно идущие блоки. Модуль dm-zoned даёт возможность представить подобное зонированное устройство как обычное блочное устройство, скрывая применяемые в процессе работы ограничения записи;
- В файловой системе ext4 реализована опция "largedir", при указании которой увеличивается число файлов, которое может размещаться в одной директории. Без данной опции действует лимит на 10 млн файлов в одной директории, а при указании опции "largedir" лимит увеличивается до 2 миллиардов файлов;
- Добавлена возможность увеличения хранилища расширенных атрибутов файлов в ФС ext4 для обеспечения хранения большего числа атрибутов для одного файла. Каждый атрибут может содержать до 64 Кб информации. В ext4 также добавлена поддержка дедупликации расширенных атрибутов, позволяющая фактически хранить только одну копию атрибута, применённого к нескольким файлам;- Добавлен механизм (https://lwn.net/Articles/724307/) для более надёжного информирования приложений в пространстве пользователя об ошибках, возникающих в процессе выполнения операций отложенной записи (writeback);
- В F2FS, развиваемой компанией Samsung высокопроизводительной файловой системе для Flash-накопителей, обеспечена поддержка дисковых квот;
- В F2FS, UBIFS и Btrfs добавлена поддержка системного вызова statx() с реализацией более эффективного и функционального варианта stat(), возвращающего расширенную информацию о файле, включая время создания файла и специфичные для файловых систем флаги;
- В XFS добавлена поддержка опций SEEK_HOLE и SEEK_DATA системного вызова lseek() для выявления пустых областей и блоков данных внутри файла;
- В файловой системе OverlayFS добавлена поддержка индекса директории , позволяющая выполняь операции копирования между слоями без повреждения жестких ссылок;
- Добавлена возможность повторного экспорта NFS-раздела поверх NFS;
-
Виртуализация и безопасность- Добавлена реализация (https://lwn.net/Articles/666509/) протокола TLS на уровне ядра, использование которой позволяет добиться повышения производительности при обработке протоколов, подобных HTTPS;
- В состав системы сборки включен плагин к GCC (http://www.openwall.com/lists/kernel-hardening/2017/04/06/14) для рандомизации раскладки структур данных, который на этапе сборки делает непредсказуемым следование полей в структурах и затрудняет проведение атак, базирующихся на знании раскладки структур в ядре. Плагин портирован из патчей проекта grsecurity;- В состав модуля AppArmor включен (https://lkml.org/lkml/2017/6/10/162) код обработки меток на процессы ("domain labeling"), разработанный и применяемый в Ubuntu. В будущих выпусках ожидается продолжение интеграции улучшений, разработанных командой Ubuntu для AppArmor;
-
Сетевая подсистема- Обеспечена раздельная обработка sysctl tcp_sack, tcp_window_scaling и tcp_timestamps для каждого пространства имён сетевой подсистемы (network namespace);
- В getsockopt() добавлена поддержка новой команды SO_PEERGROUPS, возвращающей список всех групп, в которые входит сокет;
- Представлен (https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/lin... новый тип BPF-программ - BPF_PROG_TYPE_SOCK_OPS, который позволяет организовать вызов BPF-программы на различных стадиях обработки сокетов и применяться для корректировки параметров соединения, таких как размер буферов, начального окна, SYN/SYN-ACK RTO и т.п.
-
Память и системные сервисы- Добавлены средства (https://lwn.net/Articles/673641/) прогнозирования следующего прерывания, которые позволяют повысить эффективность принятия решений, связанных с управлением питанием;
- В утилиту perf добавлена опция "--smi-cost", позволяющая оценить затраты на обработку прерываний системного управления (SMI - System Management Interrupt, для выполнения кода в режиме SMM (https://ru.wikipedia.org/wiki/System_Management_Mode));- Инициатива по оформлению (https://kernel.org/doc/html/latest/) документации к ядру с использованием разметки reStructuredText (https://ru.wikipedia.org/wiki/ReStructuredText) (RST) и пакета Sphinx (http://www.sphinx-doc.org/) достигла важного рубежа - все ранее доступные шаблоны DocBook преобразованы в reStructuredText. Компоненты для поддержки DocBook удалены;
- Для каждой BPF-программы теперь генерируется и назначается уникальный идентификатор, который может использоваться для получения файловых дескрипторов к объектам BPF из пространства пользователя;
- Реализована первая стадия оптимизации процесса вытеснения в раздел подкачки больших страниц памяти (Transparent Huge-Pages). Если до сих пор первым этапом вытеснения в раздел подкачки было разбиение больших страниц не маленькие, то в ядре 4.13 подобное разбиение откладывается до момента распределения места в разделе подкачки и учёта кэша подкачки. Подобное изменение уменьшает конфликт блокировок, что отражается в росте производительности примерно на 15%. В будущих ядрах разбиение больших страниц планируется отложить до момента фактической записи в раздел подкачки или чтения из него;-
Оборудование- Для архитектуры s390 реализованы пятиуровневые таблицы страниц памяти, которые позволяют адресовать до 16 эксабайт ОЗУ;
- В DRM-драйвере (Direct Rendering Manager) Nouveau обеспечена поддержка средств HDMI для стереоскопического и 3D вывода;- В DRM-драйвере AMDGPU добавлена ограниченная начальная поддержка GPU AMD Raven Ridge;...
URL: https://lkml.org/lkml/2017/9/3/155
Новость: http://www.opennet.me/opennews/art.shtml?num=47126
>включен плагин к GCC для рандомизации раскладки структур данныхА БСДшники недавно с такой помпой сообщали о чём-то подобном, что казалось, что их секьюрити-шмукьюрити впереди планеты всей, а оказывается они просто раздули очередную муху до больших габаритов.
>Плагин портирован из патчей проекта grsecurity;Ребята допрыгались -- сейчас их полезные наработки "раздеребанят", самые интересные включат в ядро на постоянной основе, а про grsecurity вообще забудут.
> Ребята допрыгались -- сейчас их полезные наработки "раздеребанят"ИМХО, после того как и патч уводил ядро в панику при выполнении
такой команды: `script /dev/null < /dev/zero`:
https://twitter.com/marcan42/status/724745886794833920а на сообщение об ошибке они забанили человека, который это нашел,
я думаю туда им и дорога
Дарю идею: если в startup ядра устроить deadlock, желательно еще до декомпрессии - систему вообще никто не взломает.
>> включен плагин к GCC для рандомизации раскладки структур данных
> А БСДшники недавно с такой помпой сообщали о чём-то подобном,Смотрит внимательно
https://marc.info/?l=openbsd-tech&m=149732026405941
> Over the last three weeks I've been working on a new randomizationfeature which will protect the kernel
> That change is scaffolding to ensure you boot a newly-linked kernel
> upon every reboot. The base set now contains a "link-kit" of the .o's
> from the compile directory, so that a new random kernel can be linked
> together. It is linked automatically in the background by the rc scripts, and installed as /bsdи правда, помпезность и схожесть
> рандомизации раскладки структур данныхаж зашкаливают!
Кстати, можно ли на опеннете фильтровать сообщения по нику?
Бедняга, БСД не дает ему покоя.
> В файловой системе ext4 реализована опция "largedir"Интересно, а для чего это? Где может понадобиться хранение даже 10млн файлов в одной директории? Быстрее же доступ будет если как-то сортировать файлы по куче директорий, чем по одной с таким количеством.
> Где может понадобиться хранение даже 10млн файлов в одной директории?На серверах Гугля, например. Или какого-нибудь АНБ.
Зачем? Папки не просто так придумали, это реалньо удобно. Даже если у АНБ будет папка "Вася", в которой по нему будет вся инфа, как часто душ принимает, номера телефонов, кред. история и тп. все равно лучше по папкам распихивать, а еще лучше в БД. 10 миллионов звучит как оверкилл, а 2 мильярда как оверфакингкилл.
Я так и не понял что же этот папка Вася придумал.
> в которой по нему будет вся инфаТы предлагаешь анализировать все данные, которые проходят через них? Они не идиоты, поэтому просто, скорее всего, сваливают всё на кучу, а если вдруг что-то нужно, то начинают эту кучу разгребать. Да и незаконно это -- анализировать данные безосновательно.
Вообще их и собирать безосновательно незаконно, не говоря даже о моральной стороне вопроса, но кого это когда останавливало?
Приведу реальный пример. Из-за ограничений вроде "не более 1000 файлов в папке", писателям CMS для хранения файлов приходится выдумывать какие-то правила, типа "хранить файлы вида abcdefgh.jpg по пути /a/b/c/abcdefgh.jpg". А потом еще писать сложную логику вида "а не появилось ли в папке /a/b/c более, чем тысяча изображений, начинающихся с abc?" И нет, речь не идет о сложной инфраструктуре с хайлоадом и прочими штуками, которые нужны только в частопосещяемых сайтах. Речь идет об обычных сайтах обычных организаций, в который залили тысячу и одно изображение.
подобные ограничения связанны исключительно с тем что обращение к файлам с небольшим количеством файлов в папке намного быстрее чем если все в куче. Плохо что не все "пИсатели CMS" вкурсе методов которые помогли бы ускорить работу их 7@внокода.
Зависит от того, как доступ идет и все настроено. На "всяких" CMS обычно все включено, все, которые только есть, плагины apache например, которые читают все атрибуты.
А если файловая система использует деревья и доступ идет по имени файла (без чтения списка того, что в директории), то все будет быстро.
кстате да, захотелось как-то в видяшку добавить текст, под рукой тока ffmpeg, разбил на jpg, прошелся скриптом, собрал обратно, корячиться с папками, вот еще.
"разбил на jpg" нет бы png но jpg???
> "разбил на jpg" нет бы png но jpg???Ну а что, здорово же. Было видео, уже пожатое каким-то кодеком с потерями. Он это распаковал и пожал еще раз, в жпег, потеряв качество опять. А потом сжал еще и это.
Разве не соблазнительно получить артефакты сжатия целых три раза, да еще разные и усиливающие друг друга? Жпегу понравится блочность MP4 (хотя-бы deblock ему сделать автор наверняка забыл). Он наартефактит по границам блоков. А потом все это вместе попробует прожевать mp4 или кто там еще, кодирующий результат. В общем врубаем это на полный экран на большом мониторе и понимаем как делать не надо...
Может у него исходный файл в mjpeg был?
PNG не поддерживает цветовые модели кроме RGB, а преобразование из YUV и обратно может привести к потерям цветовой информации.
JPG позволяет хранить изображение без потерь, ffmpeg'у для этого нужно указать -q 0, наиболее подходящая цветовая модель будет выбрана автоматически.
"разбил на jpg" нет бы -vf drawtext но "прошелся скриптом, собрал обратно"
> Папки не просто так придумали, это реалньо удобно.Кликайте себе по "папкам" в своей венде. В линуксе совсем не обязательно что туда будет заходить человек.
>Зачем?У гугеля все на ярлыках, типа каталоги альбомов или на почте, а в реале сплошные ярлыки по которым все сортируется у пользователя. Глубже наверное не лучше...
Зачем заменять фсб на анб? На имхоклабе так советуют?
Затем, что за редкими исключениями АНБ интересуют в первую очередь именно живущие в США. На 99.99% граждан РФ им по большому счету плевать - у них нет ни желания, ни ресурсов ими заниматься. В то время как наш родной товарищ майор заинтересован покопаться именно в данных жителя этой страны :)
АНБ-шные уши ловились в Германии, Великобритании и Франции. Не только политика, но и тупо бизнесс. Денюжки на пенсию офицеры майнили :)
Что уж говорить про партнёров пожиже?
Это я не к тому что ФСБ - няшки. Все такие службы - $^%#@&@$!!!! Так было, так будет.(С)
Кэп, директория - это файл, ссылка - это файл... Unix - это файл.
иногда надо, но там все вроде давно убежали на бтрфс, зфс, xfs и прочие серверные фс
> иногда надо, но там все вроде давно убежали на бтрфс, зфс, xfs
> и прочие серверные фсВероятно проблемы начинаются когда нужно выделить пачку по признаку и скопировать для обработки :)
>Быстрее же доступ будет если как-то сортировать файлы по куче директорий, чем по одной с таким количеством.подозреваю, что разница в скорости будет незначительной
значительной...
Зависит от фс
> подозреваю, что разница в скорости будет незначительнойдля современных версий ext4 (dirindex на нас не с неба упал) - незначительной, при некоторых дополнительных условиях (ибо реализован плохо, и может давать массовые коллизии)
Писать программу в надежде, что под ней обязательно окажется ext4 с dirindex - плохой, негодный программист.
Все вменяемые уже десять лет перешли на древовидные структуры, поскольку роботу совершенно все равно, a/b/c/abcfile или abcfile искать, а для людей подобные помойки никогда и не предназначались.
>> подозреваю, что разница в скорости будет незначительной
> для современных версий ext4 (dirindex на нас не с неба упал) -
> незначительной, при некоторых дополнительных условиях (ибо реализован плохо, и может давать
> массовые коллизии)
> Писать программу в надежде, что под ней обязательно окажется ext4 с dirindex
> - плохой, негодный программист.
> Все вменяемые уже десять лет перешли на древовидные структуры, поскольку роботу совершенно
> все равно, a/b/c/abcfile или abcfile искать, а для людей подобные помойки
> никогда и не предназначались.b-tree над фС, так это СУБД :)
> b-tree над фС, так это СУБД :)из субд очень неудобно, к примеру, делать sendfile()
Вообще, почти всюду, где стоит выбор субд или фс, следует выбирать - fs, как ни странно. Причина банальнейшая: fs обычно пишут и контролируют получившуюся писанину на порядки более грамотные ребята. А в субд на одного грамотного десять косоруких. (да еще и лежит это все все едино в fs, как правило, поэтому еще и требуется потом сопрягать одно с другим)
Идти за субд нужно либо когда нужно эффективное кэширование (fs'ы крайне фигово кэшируют _файлы_) либо когда нужны нетривиальные запросы, либо по каким-то еще причинам то, с чем приходится работать, не ложится в понятия файл/каталог.
Да в понятие "файл" сейчас вообще мало что ложится, во всяком случае в отношении пользовательских данных. Остаётся обвешивать xattrs или добавлять дополнительный потоки как в NTFS, лепить кучу костылей вида RWH_WRITE_LIFE_xxx, создвавать каталоги вроде myfile.html.files и прочее. Уж лучше честно отползти к "ресурсам" с более-менее продуманным набором атрибутов и не пытаться имитировать статическими файлами динамический контент, состоящий из кучи различных чанков.
> Да в понятие "файл" сейчас вообще мало что ложится,Да почему, есть даже mmap. Получается что файл даже память. Но вот правда при ошибке ты получишь сразу SIGSEGV. И удачи тебе понять что это не крах в программе а ошибка чтения. Вот такая вот хреновая абстракция.
[trollface on]
...а когда косорукие писатели субд, не знающие ничего, кроме btree, берутся писать фс, получается бтрфс![trollface off]
вообще, для разработки настоящих субд (а не хипстерских поделок) знаний надо не меньше, чем для разработки фс. А может, даже и больше.
Эксперты локалхоста как обычно про масштабирование, кластеры и не слышали. Расскажи как ты из fs в 10 нод будешь файлы раздавать. Можно из десятка субд повыбирать, а с кластерными фс чо? Все кривые и косые, даже странно, их же крутыши пишут, не то что субдшники
> b-tree над фС, так это СУБД :)Садись - два!
1) не СУБД, читай определение
2) не _b_-tree
в ext4 - переход за 2 уровня H-Tree (что дает large_dir) - вызывает посадку производительности на порядок и выше.
у Jfrog в bintray используется rich metadata file system.
> Где может понадобиться хранение даже 10млн файлов в одной директории?"It's better to have something you don't need than to need something you don't have." © не-помню-кто
Лучше пусть фича будет и останется лишней для 99.999% пользователей, чем понадобится — а её нет.
Да, но при условии, что для 99.999% пользователей overhead от добавления опции будет 0.001%.
> "It's better to have something you don't need than to need something
> you don't have." © не-помню-кто
> Лучше пусть фича будет и останется лишней для 99.999% пользователей, чем понадобится
> — а её нет.Это типа встроенные QR коды, http сервачок, DNS, su, крон, netcat, календарь ... правда, до уровня нормальных, отдельных утилит и ПО оно никак не дотягивает, но зато встроенно и главный передовой комбайнер Леннарт гарантирует качество!
> QR коды, http сервачок, DNS, su, крон, netcat, календарьПеречисленное не имеет ничего общего с задачами PID 1, зато нормальная работа с большим количеством файлов в директориях иммет самое непосредственное отношение к функциональности ФС. Так что сравнение не совсем корректное.
Тебе же в новости написали где это нужно> Опция подготовлена разработчиками кластерной файловой системы Lustre
Да, они, вероятно, не правы нафигачивая много файлов в одну директорию.
> Быстрее же доступ будет если как-то сортировать файлы по куче директорий, чем по одной с таким количеством.Сделать быстрый доступ хешами и деревьями не проблема, проблема сделать быстрое обновление индекса. Например, переименование файла или добавление новых может потребовать перезаписи сразу всего индекса, а для 10 млн это минимум сотни мб.
> Сделать быстрый доступ хешами и деревьями не проблема, проблема сделать быстрое
> обновление индекса.существующие реализации обычно просираются на удалении, а не на добавлении ;-) Что, во многих случаях, редкая или вовсе ненужная задача.
слова богу хоть хоть один нормальный программист. неистово плюсую.
на уровне формата хранения индекса ещё нужно умудриться сделать резервирование для добавления записей, но не сделать gc. Наверняка тормозит не из-за вышеописанной причины.
Помню, в году 2006 один веб-сервер заказчика перестал работать из-за переполнения предельного размера файлов в каталоге. Выяснилось, что сайт писался подрядчиком для какого-то там госпроекта, и на все увещевания организации каталогов структурно или хотя бы по первым буквам названия файлов клал болт. Пришлось апгрейдить ядро и мигрировать на ext4 из-за этого криворука, чтобы хоть как-то сайт работал. Так что все возможно, человек - животина глупая, ему и 10 млн файлов в каталоге может не хватить.
> Помню, в году 2006 один веб-сервер заказчика перестал работать из-за переполнения предельного
> размера файлов в каталоге. Выяснилось, что сайт писался подрядчиком для какого-то
> там госпроекта, и на все увещевания организации каталогов структурно или хотя
> бы по первым буквам названия файлов клал болт. Пришлось апгрейдить ядро
> и мигрировать на ext4 из-за этого криворука, чтобы хоть как-то сайт
> работал. Так что все возможно, человек - животина глупая, ему и
> 10 млн файлов в каталоге может не хватить.А в т.з. были ограничения?
ИМХО оптимально(хоть и дорого)для таких штук СУБД, у них лучше поставлен процесс обновления и новые версии обычно успевают под новые запросы.
Ну вот люстре и понадобилось
Проверь, если парни из LANL протащили этот патч, то надо. Особенно, учитывая как люстра хранит файлы на OST. В общем, нужно. Особенно, на очень больших кластерах хранения. Да, типа как у самого LANL, у которых сотни софта, который написан в 80х на фортране и никто не собирается его переписывать ради работы с новомодными медленными фс типа s3 и экзабайты экспериментальных данных, которые надо пережёвывать сотнями тысяч процессоров. И да, дынные могут использоваться совместно.
Ну и да, парням из АНБ тоже пригодится.
Да разумные люди давно переехали на файловые системы которые в своем принципе директорий не имеют. Вернее это логическая единица каталогизации. Может быть именем директории, может быть тегом для поиска и т.п. Теже яйца только в профиль. Я линуксоиды до сих пор костыли пристраивают к "покосившемуся и расжиревшему" ядру, со всех сторон утыканное идентичными костылями и архитектурой MSDOS 40 летней давности... Чтоб не рухнуло.
не "разумные" а "богатые" (и здоровые).
Это мордокнига может позволить себе "никогда ничего не удалять". А мы вынуждены использовать технологии, позволяющие особождать иногда место (в том числе место в этих ваших логических каталогизациях, оно тоже небесплатное)Архитектуре vfs лет на двадцать больше чем этой вашей ms-dos. Скопировавшей, кстати, иерархичекое дерево догадайтесь, у кого.
ZFS? Не?
бывают уникумы, которые восстанавливают данные после сбоя методом "слей все в кучу", а потом приходят к сапорту кровавого ынтырпрайза с слезными просьбами рассортировать им все.Было такое уже не раз, ЛОЛ!
хмм в ноувеи стереоскопическое это не 3д чтоли, и почему на моих 2 нвидиах экран всегда черный, и лечится только фирменными блобами, грустно както.
> ноувеиЩито?
>> ноувеи
> Щито?Теперь, когда Вы спросили...
>ноувеиЭто читается как нуво
Ах вот оно что, ну спасибо, теперь нет проблем.
А произносится как нуву http://www.translate.ru/dictionary/fr-ru/nouveau
> А произносится как нуву http://www.translate.ru/dictionary/fr-ru/nouveau"Никогда не доверяла этим `translated by PROMPT`."
From French-English Freedict dictionary [fd-fra-eng]:nouveau [nuvo]
new; novel
>реализованы пятиуровневые таблицы страниц памяти, которые позволяют адресовать до 16 эксабайт ОЗУ;Обеспечена начальная поддержка Google Chrome
Скорее, Mozilla Firefox. Но поржал, спасибо :D
Серьёзно?firefox-esr 527Мб - 13 вкладок, 8 аддонов
chromium 300Мб - 1 вкладка, 0 аддонов
Firefox ESR 52.4.0 (32-біт) c дополнением Suspend Tab (http://piro.sakura.ne.jp/xul/_suspendtab.html.en), 288 вкладок, ~800 МБ ОЗУ.
13 - счастливое число! >:D
А ещё -- простое.
все простые числа - счастливые. будьте проще.
> Без данной опции действует лимит на 10 млнГрафические обозреватели файлов тормозят уже на 10000. Спасибо С++ и бездарному программированию.
Срочно переписать на Лиспе: нет обозревателей -- нет проблемы.
Не за что, юзай даблкоммандер или мюкоммандер, если эти не устраивают
Нее, там не с++, там правит python!
> там правит python!Electron!
>> там правит python!
> Electron!Если вам нравится питон и электрон, попробуйте просмотреть с их помощью 10 миллионов файлов. Как раз и узнаете зачем нужны пятиуровневые таблицы и 16 экзабайтов.
>>> там правит python!
>> Electron!
> Если вам нравится питон и электрон, попробуйте просмотреть с их помощью 10
> миллионов файлов. Как раз и узнаете зачем нужны пятиуровневые таблицы и
> 16 экзабайтов.Понимаю, что гнобить питон на опеннете стало модно, но все же хоть немного матчасть знать следует. Хотя ьы чтобы не сравнивать электрон с пальцем.
https://github.com/python/cpython/blob/75b961869a1184895c9d5...
static PyObject *
os_scandir_impl(PyObject *module, path_t *path)
.
.
Py_BEGIN_ALLOW_THREADS
iterator->dirp = fdopendir(fd);
Py_END_ALLOW_THREADS
> Нее, там не с++, там правит python!А что, кто-то запускал?
Предлагаю добровольцам установить vifm и ranger, потом запустить echo {1..100500} > {1..100500} и mkdir {100500..200500} и поочередно открывая в этих ФМ, угадать, что из них на сишечке, а что на питончике. Если не получиться с ходу, можно включить предпросмотр файлов.
> Спасибо бездарному программированию.Поправил тебя, не благодари. Если писать гoвнoкод на любом языке - он будет тормозить, даже если пишешь на ассемблере.
Вроде как zstd в btrfs хотели запилить...
В следующем ядре будет
> ... для рандомизации раскладки структур данных, который на этапе сборки делает непредсказуемым следование полей в структурах и затрудняет проведение атак, базирующихся на знании раскладки структур в ядре.Это уже на уровне вредительства, правильно говорят что grsecurity делают школьники.
>> ... для рандомизации раскладки структур данных, который на этапе сборки делает непредсказуемым следование полей в структурах и затрудняет проведение атак, базирующихся на знании раскладки структур в ядре.
> Это уже на уровне вредительства, правильно говорят что grsecurity делают школьники.
> Плагин портирован из патчей проекта grsecurity;Ага, шапито в апстриме это нормально.
> Ага, шапито в апстриме это нормально.это - привычно.
собственно, а чего вы хотите на фоне "TLS в ядре"? (интересно, сколько дырьев там всплывет в ближайшую пару лет, и о скольких из них мы узнаем хотя бы не на год позже хакеров)
да и прочие новости, увы, того же пошиба.
>> Ага, шапито в апстриме это нормально.
> это - привычно.
> собственно, а чего вы хотите на фоне "TLS в ядре"? (интересно, сколько
> дырьев там всплывет в ближайшую пару лет, и о скольких из
> них мы узнаем хотя бы не на год позже хакеров)
> да и прочие новости, увы, того же пошиба.Надеюсь дистростроители по умолчания отключат "TLS в ядре", а то как то "неправильно" (например в Debian) делать make menuconfig.
А тем кому это действительно необходимо, сами для себя настроят "TLS в ядре".
Тем более, что после залатывания каждой дырки в ядре, необходимо будет тянут 30MB.
TLS в ядре - это правильно. Может хоть так допинают до того, что нешифрованного трафика быть не должно вообще - примерно как научилив конце концов, что логин/пароль при входе в систему надо вводить всегда и что файрволл таки нужен везде.И нет, это не от спецслужб и подобного, поэтому и не должно быть идеально защищённым. Это, наоборот, поднимают минимальный уровень - чтобы голым задом не светили.
> TLS в ядре - это правильно. Может хоть так допинают до того, что нешифрованного трафика
> быть не должно вообщеможет. Я очень надеюсь к этому моменту успеть найти себе бизнес подальше от линуксов.
99% траффика шифровать совершенно _незачем_.
Пихание шифрования во все дырки, вместо грамотного ограничения ненужной сетевой активности и грамотных же средств AAA (которые к шифрованию совершенно боком), и особенно в виде совершенно безобразного и заведомо небезопасного монстра tls, только увеличивает риски. Потому что через это самое криво написанное шифрование вас и поломают, при случае.И до кучи оно максимально затрудняет траблшутинг. И чем глубже зарыто, тем сложнее найти проблему.
Во-первых, оно с "грамотным ограничением сетевой активности" вообще не связано. И лучше уж один "монстр" (кстати, сильно почищенный в последнее время и уже собранным абсолютным большинством граблей) чем зоопарк кастомных решений на любой чих.И ещё раз - это не "чтоб не поломали", а "чтоб любой скрипт-кидди не видел трафик". Ну и DPS усложнит - тоже дело хорошее. Как минимум, для этого стоит шифровать всё подряд (благо, сейчас это практически ничего не стоит).
Ну да, любителям "всё поснифать вайршарком" вместо траблшутинга там, где, собственно проблемы (то есть в приложении) - усложнит.
Вы просто упорно не хотите смириться с тем, что нынче компьютер без сети, в общем-то, смысла не имеет от слова "вообще".
Эм, не вижу нечего плохого в использование Wireshark при поиске неисправности связанной с обменом через сеть. К слову никто не запрещает при необходимости расшифровывать пакеты Transport Layer Security протокола при анализе в Wireshark, если это требуется и реализация TLS в ядре, этому не помеха.И ещё, я не вижу не какой проблемы в том, что инженеры Facebook совместно с инженерами Red Hat, реализовали TLS в ядерном пространстве. Судя по PDF, они добились очень не плохих результатов и продолжат их совершенствовать, в сторону работы с аппаратными крипто акселераторами.
> я не вижу не какой проблемы в том, что инженеры Facebook совместно с инженерами Red Hat, реализовали TLS в ядерном пространствдаешь heatbleed в ядре?
То есть наличие TCP/IP стека и ещё прицепа сетевых протоколов в ядре вас не беспокоит? Или в их реализации не было найдено уязвимостей?TLS, является одним из наиболее часто используемых протоколов для обеспечения безопасности соединений, если не самым часто используемым. И перенос его в ядерное пространство позволили снизить латентность и повысить производительность. Более того, в ядерном пространстве реализована только часть протокола, но вы конечно же это уже знаете, вы ведь прочитали отчёт инженеров Facebook и Red Hat в оригинале.
А для тех кто не прочитал, вот цитата из него, кратко описывающая схему работы ядерной реализации TLS.
"Facebook, in collaboration with RedHat, have implemented a Linux kernel TLS socket. To avoid putting unnecessary complexity in the kernel, the TLS handshake is kept in user space. A full TLS connection using the socket is done using the following scheme:
• Call connect() or accept() on a standard TCP file descriptor.
• A user space TLS library is used to complete a handshake.
We have tested with both GnuTLS and OpenSSL.
• Create a new KTLS socket file descriptor.
• Extract the TLS Initialization Vectors (IVs), session keys, and sequence IDs from the TLS library. Use setsockopt on the KTLS fd to pass them to the kernel.
• Use standard read(), write(), sendfile() and splice() system calls on the KTLS fd.
Upon receipt of a non-data TLS message (a control message), the KTLS socket returns an error, and the message is instead left on the original TCP socket. The KTLS socket is automatically unattached. Transfer of control back to the original encrypted FD is done by calling getsockopt to receive the current sequence numbers, and inserting them in to the TLS library."
> То есть наличие TCP/IP стека и ещё прицепа сетевых протоколов в ядре вас не беспокоит?разумеется беспокоит. Включая омерзительное пихание дыры-v6 куда ни попадя, с отключением только через блэклистинг модуля.
А теперь добавили еще одну.
> TLS, является одним из наиболее часто используемых протоколов для обеспечения
> безопасности соединенийпо причине неумения горе-программистов ничего делать руками. Как только я вижу, что в программе вместо собственного или взятого из нормальной библиотеки auth (encryption - ненужен!) тупо используется openssl - я сразу же делаю выводы о том, что пользоваться этим не следует - и ни разу не ошибался. См. тот же постгрез.
единственное правильное место для tls - web (и тоже не от хорошей жизни, а потому что альтернативы нет)
Читать не умеете ?Установка соединения, завершение его и прочая служебная мутота остаются в юзерспейсе.
> может. Я очень надеюсь к этому моменту успеть найти себе бизнес подальше от линуксов.В майкрософт устройся.
> 99% траффика шифровать совершенно _незачем_.
Учитывая современные тенденции и повальное увлечение синдром вахтера, все с точностью до наоборот.
> Пихание шифрования во все дырки, вместо грамотного ограничения ненужной сетевой активности
Ограничение сетевой активности - одно. Защита от копания в данных посторонних лиц - совсем другое.
> И до кучи оно максимально затрудняет траблшутинг. И чем глубже зарыто, тем
> сложнее найти проблему.Знаем мы этих любителей траблшутинга. Кто номера кред ворует, кто пароли от почт и социалок.
>> может. Я очень надеюсь к этому моменту успеть найти себе бизнес подальше от линуксов.
> В майкрософт устройся.как бы им тоже окончательный линукс не пришел в ближайшие лет пять.
>> 99% траффика шифровать совершенно _незачем_.
> Учитывая современные тенденции и повальное увлечение синдром вахтера, все с точностью
> до наоборот.учитывая современные тенденции держать всю свою личную жизнь вместе с котиками и боевыми наградами за наемничество в виде "ихтамнета" не только в подконтрольном фсб, но еще и публично-доступном вконтактике, в крайнем случае - мордокнижечке, все обстоит еще хуже.
> Ограничение сетевой активности - одно. Защита от копания в данных посторонних лиц
нет сетевой активности - не в чем копаться.
Есть сетевая активность...ой, котики. Или вот тредик на опеннете - который и так паблик, если злые модераторы не сотрут. И ваш ip,между нами, записан в логе. И зачем вы тратите невосполнимые ресурсы планеты, шифруя эту муру?Или вон - торренты. Помогает их шифрование (заметим, для авторизации/контроля целостности оно не нужно) от iknowwhatyoudownload ? Очевидно, нет. А провайдеру, тов.майору и мне - нахрен твоя порнуха не сдалась. Майор будет тебя брать - свою на флэшечке принесет, у него много.
> Знаем мы этих любителей траблшутинга. Кто номера кред ворует, кто пароли от
> почт и социалок.ну так вот чем больше будешь потворствовать дурачкам, хранящим и гоняющим по сети твои пароли клиртекстом (даже md5 уже немодно, нужно ж непременно аякс и вебформочку, а то ж юзер пугается безобразного окошка authentication-required), тем больше шансов что их сопрут, не смотря на все супер-внутриядерные tls'ы.
И не говорите мне, что вы видели хоть один банчок, использующий в уеббанк-клиенте нормальную аутентификацию (а, ну да, райфф жеж в прежней инкарнации. Но она была жабская и это ее погубило)
> примерно как научили в конце концов, что логин/пароль при входе в систему надо вводить всегда и что файрволл таки нужен везде.Ну а теперь попробуй доказать необходимость обоих _везде_. Только сразу учти, что доказываешь ты не юзверю, а админу. Можешь даже ограничиться аргументацией их нужности на моей рабочей машине, вдруг я чего-то не знаю и ты откроешь мне глаза.
> Только сразу учти, что доказываешь ты не юзверююзверю с головой на плечах доказать еще сложнее, чем админу - потому что у него нет админской паранойи, зато есть юзверьская - например, не является ли это требование подставой со стороны админов, вольной или невольной.
На юзверя есть полиси, не надо ему ничего доказывать - один хрен у него скорее всего квалификации понять не хватит.Если юзер не корпоративный - то тоже ничего ему доказывать не надо - сам себе буратино, злобный или нет - зависит от обстоятельств.
> На юзверя есть полиси, не надо ему ничего доказыватьпотом ты наталкиваешься впервые в жизни (интересно, как не удалось до сих пор? В сферическом вакууме обитаем, или все это - прекрасные мечты?) на юзера с мозгом и широкими полномочиями - и пытаешься что-то жалобно вякать на ковре у руководства - и хорошо, если покидаешь помещение с горящими ушами и взмыленной задницей, а не идешь в отдел кадров сдавать ключи и логины.
результат у нормальных админов - они чему-то учатся. У бестолковых - жжение пониже спины и набор исключений и дополнений к полиси в двуста местах - каждый раз, как он чувствует это ощущение в разговоре с очередным пользователем рангом повыше уборщицы, появляются новые.
Потому что далеко не всякий пользователь "обожает терпеть мелкие неудобства". И вполне может тебе лично устроить - крупные.
Нормальные админы уже давно кое-чему научились. И теперь называются девопсами. Жжение пониже спины привилегия эникеев-переростков.
> Нормальные админы уже давно кое-чему научились. И теперь называются девопсами.ты не поверишь, но работал я в конторе, где девопсы в одном углу, админы - в другом. И, увы, у вторых ни синдром вахтера, ни желание сделать все через задницу от сидения в общем помещении никуда не девалось :-(
Очень просто - проще прикрываться логином/паролем всегда, чем в каждом конкретно случае думать - а нельзя ли ну вот на этот раз без них обойтись. Может можно, может нет, может сейчас можно, а завтра что-то поменялось... Проще сразу поставить и не париться.
То есть из-за того, что ты не хочешь всего один раз подумать, ты каждый день вбиваешь логин и пароль. Молодец, нечего сказать.
Думать придётся не один раз, а каждый раз, когда ты притаскиваешь какие-то новые данные на машину, или к ней получает доступ новый человек (постоянно или временно). Нет уж, на фиг. У меня внимание не резиновое, легче минимальные меры предосторожности принять сразу. Благо вбить пароль - это секунды три максимум. даже если десять раз в день (в среднем где-то так) - мелочи это.
> Думать придётся не один раз, а каждый раз, когда ты притаскиваешь какие-то новые данные на машинуУ меня там изначально есть конфиденциальные данные. От того, что появятся новые, уже ничего не изменится.
> или к ней получает доступ новый человек
У меня не каждый день в семье рождается новый ребенок, да и от имеющихся не вижу смысла закрывать.
> Думать придётся не один раз, а каждый раз, когда ты притаскиваешь какие-то новые данные
> на машину, или к ней получает доступ новый человеквы все еще живете во временах ОС Демос? Компьютеры ныне - персональные, двадцать лет уже как. К моим машинам не получает доступ левый человек - он туда всунет флэшку, на которой, вполне возможно, троян в контроллере, и никакие средства на уровне операционной системы от него не защитят. И да, вот это - "минимальные меры предосторожности". А не шифрование котиков и лайков чохом.
думать таки придется, не один раз, если ваши данные представляют для вас хоть какую-то ценность, а не быть тупoй обезьянкой, в пятисотый раз за день вбивающей никому не нужные пароли (которые, кстати, поимевший рукожопых безопасников чувак давно увидел через камеру над ее столом)
Кроме котиков и лайков там еще логины-пароли летают к этим котикам. Спамеры это очень любят. А вот обладатели котиков очень расстраиваются когда им потом аккаунт блокируют.Упомянутая же технология скорее для тех кто хочет котиков и лайки собирать, они за увеличение производительности даже неудобства потерпеть могут. В конце концов, если им сломают фронтэнд, там ничего интересного нет а починка сведется к автоматическому редеплою образа.
> Кроме котиков и лайков там еще логины-пароли летают к этим котикам.ну вот у меня нет пароля к опеннету. Нет акаунта - нечего заблокировать.
> Упомянутая же технология скорее для тех кто хочет котиков и лайки собирать,
> они за увеличение производительности даже неудобства потерпеть могут. В конце концов,не-е-е, потерпеть придется нам всем ;-) Как и новый-чудный веб с оверрайдом понимания что такое If-Modified-Since (их же ж изобретение), и много чего еще. А общественно-полезного от них- покамест только уродливый бэкэнд для mysql.
> если им сломают фронтэнд, там ничего интересного нет а починка сведется
так там как раз твои пароли бегают ;-) Не их, поэтому да- для них ничего интересного, "починка" сведется к блокировкам акаунтов, как мы любим.
А систему, да, автоматически переустановят и может быть через некоторое время автоматически попатчат, если что.
> Очень просто - проще прикрываться логином/паролем всегда,Постоянно сижу под рутом примерно 16 лет. Последние 10 лет еще и с автологином. Аналогично на машине у жены, тоже примерно 10 лет. Проблем из-за этого не было.
ИМХО все зависит от условий использования. У меня - домашние машины, доступ к ним только у меня и жены.
> чем в каждом конкретно случае думать - а нельзя ли ну вот на этот раз без
> них обойтись.Очень утрирую, но вы же не ставите пароль на слив в унитазе? Все же в каждом конкретном случае лучше выбрать наиболее подходящие решения исходя из условий и задачи.
> Может можно, может нет, может сейчас можно, а завтра
> что-то поменялось... Проще сразу поставить и не париться.Всего на перед не учтешь - наставишь всего про запас, будет overhead и overkill, а того, что реально понадобится, может просто не существовать на текущий момент.
вы же понимаете, что "у меня никогда проблем не было" - не особо сильный аргумент? Так говорят про всё - не пристёгнутый ремень, отсутствие обновлений, полумёртвую проводку и так далее. И везде ответ один - есть best practices и статистика. Например, в один прекрасный день пригласить мастера-ремонтника или какого-то дурака в гости (или ребёнка), отойти на 10 минут и потом заметить, что в твой компьютер влезли - невелика радость.С другой стороны - пока это home user, и от него не зависит кто-то ещё - ну, сам себе хозяин. Обычно, правда, зависит, даже если на это не обратил внимания - от спама "пришли денег" с уведенного IM до разглашения доверенных вам чьих-то секретов. И, возвращаясь к исходной теме, собственно, когда с двух сторон канала - ваши системы - обычно нет особой проблемы настроить открытое соединение без шифрования. Но дефолты выбираются на более общий случай, и если на другой стороне - не вы, то решать за кого-то другого, что ему защищаться не нужно - нехорошо. А наоборот - хорошо, потому что оверхед, собственно, минимален.
P.S. Если оказется, что унитаз можно тривиальным образом (а то и случайно) превратить, например, в шпионское устройство - то я доступ к нему контролировать очень даже начну.
> вы же понимаете, что "у меня никогда проблем не было" - не
> особо сильный аргумент?Согласен. Просто есть миф, что под рутом работать нельзя. Я привел те факты, которые у меня есть. Если у кого есть достоверная статистика или личный опыт - пишите.
> Так говорят про всё - не пристёгнутый ремень,
Если едешь по проселку 10-20 км в час это одно, но если едешь 100 по трассе - совершенно другое. Так что опять же - зависит от условий.
> пригласить мастера-ремонтника
В моей ситуации - исключено.
> или какого-то дурака в гости
Гости редко и друков среди них нет.
> (или ребёнка), отойти на
> 10 минутРебенка нельзя без пересмотра оставлять принципиально - может физически повредить дорогую аппаратуру.
> И,
> возвращаясь к исходной теме, собственно, когда с двух сторон канала -
> ваши системы - обычно нет особой проблемы настроить открытое соединение без
> шифрования. Но дефолты выбираются на более общий случай, и если на
> другой стороне - не вы, то решать за кого-то другого, что
> ему защищаться не нужно - нехорошо. А наоборот - хорошо, потому
> что оверхед, собственно, минимален.Да, но хорошо когда это опция и есть выбор.
Я долгое время сидел на gprs/edge/3g. Для экономии трафика и ускорения загрузки использовал локальный кэширующий прокси. С массовым переходом на https польза от кэширующего прокси стала быстро падать, а толку от "https everywhere" для меня лично не было. И overhead можно было измерить не только в мегабайтах, но и в рублях ...Сейчас - безлимитка, но даже на ней я бы оставил локальный прокси, если бы https использовался только там, где он реально нужен.
> P.S. Если оказется, что унитаз можно тривиальным образом (а то и случайно)
> превратить, например, в шпионское устройство - то я доступ к нему
> контролировать очень даже начну.Да, но вы же не поставили его сейчас, а ждете кода появится реальная необходимость.
> Сейчас - безлимитка, но даже на ней я бы оставил локальный прокси,
> если бы https использовался только там, где он реально нужен.Он везде нужен. Потому что провайдеры обнаглели и не гнушаются врезки в траффик своего контента, не говоря об элементарном шпионаже. Я не позволю врезать в мой сайт моим пользователям чей-то левый контент.
Кроме того, шифровать все вообще полезно с точки зрения attack surface. Если шифрования мало - шифрование будет как красная тряпка для атакующих. А так есть шанс разломав увидеть всего лишь фотки котиков и лайки. Здорово снижает мотивацию активных/ресурсоемких атак, делая в целом несколько безопаснее. Потому что вероятность взлома понижается - атакующий плохо видит цель.
>> Сейчас - безлимитка, но даже на ней я бы оставил локальный прокси,
>> если бы https использовался только там, где он реально нужен.
> Он везде нужен. Потому что провайдеры обнаглели и не гнушаются врезки в
> траффик своего контента,Это проблема недобросовестного провайдера и решать ее нужно иначе - по-возможности сменой провайдера или все тем же прокси, но уже режущим лишнее.
> не говоря об элементарном шпионаже.
Как уже отмечали выше - https это защита весьма условная. Если бы у меня была действительно секретная информация, то я бы не стал на него полагаться.
> Кроме того, шифровать все вообще полезно с точки зрения attack surface. Если
> шифрования мало - шифрование будет как красная тряпка для атакующих. А
> так есть шанс разломав увидеть всего лишь фотки котиков и лайки.
> Здорово снижает мотивацию активных/ресурсоемких атак, делая в целом несколько безопаснее.
> Потому что вероятность взлома понижается - атакующий плохо видит цель.Домен видит? Вот и цель, а остальное отбросит и смысл тогда все подряд шифровать?
Попробуйте сменить любого из большой тройки мобильных.
мой местный тоже не гнушался, пока видимо не пошла волна жалоб и не сткунули по лбу очередному эффективному менеджеру. Но с тех пор практика прекратилась.Мне вот другое интересно. Вот сидят в метро куча людей и даже не задумывается, что через халявный файфай, который привязывается к телефону, можно утянуть кучу данных. И ведь даже сопоставлять ничего не надо. Сам зарегился на телефонный номер.
> Попробуйте сменить любого из большой тройки мобильных.
> мой местный тоже не гнушался, пока видимо не пошла волна жалоб и
> не сткунули по лбу очередному эффективному менеджеру. Но с тех пор
> практика прекратилась.Я живу в Беларуси - у нас три оператора (mts, velcom, life). На протяжении 15 лет активно использовал мобильный интернет как основной домашний, периодически менял операторов. Подобных проделок не видел. А вот загнать клиента в глубокий ... минус они все горазды: мтс даже судом грозил, хотя я был уверен, что все оплатил и второй месяц ужу их услугами не пользовался. Оказалось, что отказаться от их услуг не так просто: пополняешь баланс, что бы рассчитаться за минус, а он при появлении положительного баланса включает автопродление услуги и ты опять в глубоком ... А главное - все законно.
Справедливости ради стоит отметить, что life отказался от подобной практики и призвал последовать его примеру других операторов - но они не спешат :)
>> если бы https использовался только там, где он реально нужен.
> Он везде нужен.Недавно тащил какой-то тарбол метров на ...сто или ...ста. Он неспешно полз откуда-то с той стороны планеты. Заметил, что по https, ^C, убрал лишнюю буковку, получил на канальной скорости.
Так это хорошо, что отборные дятлы с такими мантрами не влепили на той стороне принудительную перекидку на :443.
А ещё так и хочется стравить их с "экологами-активистами" и пусть хоть сожрут друг друга -- энергия-то на это всё тоже уходит и вовсе не в никуда рассеивается.
>Просто есть миф, что под рутом работать нельзяЭто не миф.
>>Просто есть миф, что под рутом работать нельзя
> Это не миф.У них там даже картошку сортируют под "рутом".
> Это не миф.У вас есть обоснование (применительно к домашней системе с одним пользователем) и достоверная статистика?
P.S. Как показывает опрос (https://www.linux.org.ru/polls/polls/11444227) под рутом работает много людей. Если это не миф, то как же все они работают?
>под рутом работает много людей8% по приведённой тобой же ссылке.
>Если это не миф, то как же все они работают?
До поры, до времени.
> До поры, до времени.Так сколько мне еще ждать? Еще 15 лет?
> У вас есть обоснование (применительно к домашней системе с одним пользователем)Есть. Систем с одним пользователем не существует, по крайней мере более-менее современных и более-менее распространённых.
Зато существуют программисты-раздолбаи, и, как следствие, программные баги. Уязвимости и терабайты вредоносного хлама в интернете. Разработка своих скриптов и программ.
Ваш Кэп.
>> У вас есть обоснование (применительно к домашней системе с одним пользователем)
> Есть. Систем с одним пользователем не существует, по крайней мере более-менее современных
> и более-менее распространённых.Это не обоснование. Во всех современных системах есть виртуализация/контейнеры, шифрование дисков и еще много чего. Но это не говорит о том, что это нужно использовать всегда.
> Зато существуют программисты-раздолбаи, и, как следствие, программные баги. Уязвимости
> и терабайты вредоносного хлама в интернете. Разработка своих скриптов и программ.И? На машине с одним пользователем самое ценное - пользовательские данные. Они по-определению доступны из под логина пользователя.
> И? На машине с одним пользователем самое ценное - пользовательские данные. Они
> по-определению доступны из под логина пользоватеС фига ли? Например у меня все фоточки и видео для юзера в ро, изменять только рут может. бэкап в паре мест. И браузер запускается из под третьего юзера ;) а браузер для финансов из под четвертого. При этом никакого дискомфорта такая схема не доставляет
>> И? На машине с одним пользователем самое ценное - пользовательские данные. Они
>> по-определению доступны из под логина пользовате
> С фига ли? Например у меня все фоточки и видео для
> юзера в ро, изменять только рут может.То есть, что бы удалить/отредактировать фотографию, каждый раз нужен повышать привилегии до рута? А если я постоянно работаю с фото и 3d графикой, видео и звуком?
Обычно пользователь не просто хранит файлы, а постоянно создает и редактирует их.
> бэкап в паре мест.
Вот если бы говорили о необходимости бэкапа - я бы слова против не сказал.
> При этом никакого дискомфорта такая схема
> не доставляетРад за вас. Но лично для меня - вдалбливать каждый раз рутовый пароль и следить за правами доступа - пустая трата времени, реально ничего не дающая, в отличии от бэкапа.
Я могу привести десятки случаев, когда бакап спас. Но не знаю ни одного, когда спасло бы разделение на пользователя и рута в домашней системе.
> То есть, что бы удалить/отредактировать фотографию, каждый раз нужен повышать привилегии до рута? А если я постоянно работаю с фото и 3d графикой, видео и звуком?Все свои 50-100-500-5000 ГБ фото/видео надо постоянно редактировать? И ещё хранить в 1 каталоге, чтобы нельзя было права разные настроить?
> Обычно пользователь не просто хранит файлы, а постоянно создает и редактирует их.
Обычно пользователь всё добро хранит в 100500 разных "новая папка n" на забитом на 99% диске С. Потом приходит шифровальщик или карачун железу. Пользователь пускает крокодилью слезу и всё по новой.
> Все свои 50-100-500-5000 ГБ фото/видео надо постоянно редактировать? И ещё хранить в
> 1 каталоге, чтобы нельзя было права разные настроить?Можно настроить разные права. Но это:
1. не удобно - так как постоянно нужно думать, где у тебя какие права и менять их
2. есть вероятность запутаться/забыть/неверно выставить права
3. если что - мы все равно теряем последние данные над которыми работали
4. права все равно не могут заменить бэкап, особенно если "приходит карачун железу"Только бэкап дает почти 100% гарантию от потери данных. При этом он практически не требует дополнительного внимания.
P.S. раньше и сам практиковал что-то подобное - был отдельный раздел music, который при загрузке монтировался в ro, но позже отказался.
> Можно настроить разные права. Но это:
> 4. права все равно не могут заменить бэкап, особенно если "приходит карачун
> железу"Только с бэкапом может случиться такой конфуз: ты бэкапишь побитые/неполные данные, потому что ребенок подошёл и потыкал в mc (ну или набрал случайно rm -r /home/photo/2014... а ты не заметил что 1 год пропал :) через год заметил, а у тебя версии только за полгода.
> Только с бэкапом может случиться такой конфуз: ты бэкапишь побитые/неполные данные, потому
> что ребенок подошёл и потыкал в mc (ну или набрал случайно
> rm -r /home/photo/2014... а ты не заметил что 1 год пропал
> :) через год заметил, а у тебя версии только за полгода.Как я уже сказал - у меня эта ситуация исключена физическим ограничением доступа всех посторонних.
Если есть вероятность физического доступа к машине вредителей/дураков/детей - то естественно нужно этот доступ ограничить/контролировать.
> С фига ли? Например у меня все фоточки и видео для юзера в ро, изменять только рут может.Напуркуа? Это же надо редактор фоток и прочее из под рута запускать или права доступа менять, нет?
Не проще ли добавить пользователя "fotomaster" с umask 022/027 (т.е. rw-r--r/rw-r---)?
Ну или наоборот – запускать дыро-браузеры от пользователя "websurfer" с возможностью записи только в своем хомяке/tmpfs (+ возможна еще целая куча "извращений" на вкус и цвет, см. firejail).
Хорошая практика — для работы копировать нужные файлы в какое-нибудь постоянное выделенное «рабочее место», а обратно возвращать только готовый результат, не удаляя исходники, отдельной вдумчивой rw-сессией.
> собственно, а чего вы хотите на фоне "TLS в ядре"?Как я понимаю, туда перенесли только блочный шифр, чтоб sendfile(), например, в TLS-соединение делать без кучи копирований kernel-userspace. Handshake и всё остальное всё равно делается в userspace также, как и раньше.
>> собственно, а чего вы хотите на фоне "TLS в ядре"?
> Как я понимаю, туда перенесли только блочный шифр, чтоб sendfile(), например, в
> TLS-соединение делать без кучи копирований kernel-userspace. Handshake и всё остальное
> всё равно делается в userspace также, как и раньше.угу - и имеем кучу каллбэков в user-space из ядерного контекста, со всеми вытекающими из этого.
Понятна цель факинбука, они уже весь мир под себя прогнули, что там какое-то ведро, но нам с вами радости от этого решительно никакой.
> имеем кучу каллбэков в user-space из ядерного контекстаНет, не имеем. Идите читайте пдфку.
> Понятна цель факинбука, они уже весь мир под себя прогнули, что там
> какое-то ведро, но нам с вами радости от этого решительно никакой.У факингбука цель простая, как и у почти всех кто сервера содержит: получить с своего железа максимум. Подобные фичи нацелены именно на это. Рассуждения о том что зелен виноград натыкаются на график в новости и опции сборки.
>> Понятна цель факинбука, они уже весь мир под себя прогнули, что там
>> какое-то ведро, но нам с вами радости от этого решительно никакой.
> У факингбука цель простая, как и у почти всех кто сервера содержит:у моих серверов нет проблемы с ssl - потому что они в диски и cpu на пехепе упираются, гораздо раньше.
Поэтому мне, как и большинству держателей серверов, довольно мало пользы от сендфайла в ssl'ный сокет.У меньшинства - вам же уже тут такое, хехе, ...меньшинство писало - "ssl на фронтендах", там никаких файлов при правильной настройке вообще нет.
>>> ... для рандомизации раскладки структур данных, который на этапе сборки делает непредсказуемым следование полей в структурах и затрудняет проведение атак, базирующихся на знании раскладки структур в ядре.
>> Это уже на уровне вредительства, правильно говорят что grsecurity делают школьники.
>> Плагин портирован из патчей проекта grsecurity;
> Ага, шапито в апстриме это нормально.Конечно нормально. Сейчвс вспылвет куча "оптимизированного" в кавычках г%внокода, которые к структурам обращались по вычисленному фиксированному адресу внутри структуры. А после приведения софта в порядок, вдруг линь начнет работать медленнее BSD в данном контексте….
> Конечно нормально. Сейчвс вспылвет куча "оптимизированного" в кавычках г%внокода,Если какой-то код в юзермоде вообще ориентировался на структуры ядра - авторы скорее всего делали что-то не так. А если они при этом еще и предполагали конкретные адреса - кто им доктор? Реально что-то такое может быть в паре глубоко системных программ. Остальным в внутренних структурах ядра делать нечего.
> Это уже на уровне вредительства,к счастью, этот бесполезный хлам можно отключить.
> Это уже на уровне вредительства, правильно говорят что grsecurity делают школьники.
нет, школьники засели в KSPP - и тырят кусочки кода grsec, которые во-первых, вовсе не предназначены для использования отдельно от комплекса остальных мер, во-вторых, никогда и не позиционировались как решение "для всех". Что, собственно, авторов grsec и затрахало неимоверно. Но школота продолжает твердить что они лучше знают и тащить в ядро всякую дрянь, плохо при этом понимая ее работу - "мы требуем со6лядения GPL!!!".
Но факт того, что они GPL нарушают ты не отрицаешь? К тому же "школота" не тащит это в ядро, таки наоборот.
С другой стороны, авторы grsec тоже затрахали немало народа своим илитизмом, снобизмом, нулевым юзабилити, диким неадекватом (в твиттере разок было просто сказочное шоу). Наверное логично что появился неплохой спрос на то чтобы кто-то делал более юзабельно. И таки упомянутая фича юзабельна сама по себе. Если адреса структур будут перемешаны, атакующему будет очень неудобно а у эксплойта будет лишний шанс не сработать.
> В ext4 добавлена возможность хранения расширенных атрибутов файлов (Xattr) в отдельных inodeИ как она активируется? Нужно ли переформативать?
> В XFS добавлена поддержка опций SEEK_HOLE и SEEK_DATA системного вызова lseek() для выявления пустых областей и блоков данных внутри файла
Вот это да! В XFS этого не было!?
Новые опции ядра:
Expose irq internals in debugfs (GENERIC_IRQ_DEBUGFS) [N/y/?] (NEW)
Allow slab caches to be merged (SLAB_MERGE_DEFAULT) [Y/n/?] (NEW)
Perform full reference count validation at the expense of speed (REFCOUNT_FULL) [N/y/?] (NEW)
Collect percpu memory statistics (PERCPU_STATS) [N/y/?] (NEW)
Transport Layer Security support (TLS) [N/y/?] (NEW)
Microchip KSZ series switch support (MICROCHIP_KSZ) [N/y/?] (NEW)
Cortina EDC CDR 10G Ethernet PHY (CORTINA_PHY) [N/y/?] (NEW)
Marvell Alaska 10Gbit PHYs (MARVELL_10G_PHY) [N/y/?] (NEW)
Quantenna wireless cards support (WLAN_VENDOR_QUANTENNA) [Y/n/?] (NEW)
D-Link DIR-685 touchkeys support (KEYBOARD_DLINK_DIR685) [N/y/?] (NEW)
Microchip MCP23xxx I/O expander (PINCTRL_MCP23S08) [N/y/?] (NEW)
Intel Cannon Lake PCH pinctrl and GPIO driver (PINCTRL_CANNONLAKE) [N/y/?] (NEW)
Update boot-enabled watchdog until userspace takes over (WATCHDOG_HANDLE_BOOT_ENABLED) [Y/n/?] (NEW)
Support for Intel Cherry Trail Whiskey Cove PMIC (INTEL_SOC_PMIC_CHTWC) [N/y/?] (NEW)
ITE devices (HID_ITE) [Y/n/?] (NEW)
Retrode (HID_RETRODE) [N/y/?] (NEW)
USB Type-C Connector System Software Interface driver (TYPEC_UCSI) [N/y/?] (NEW)
RTC non volatile storage support (RTC_NVMEM) [Y/n/?] (NEW)
Faraday Technology FTRTC010 RTC (RTC_DRV_FTRTC010) [N/y/?] (NEW)
Virtual Box Graphics Card (DRM_VBOXVIDEO) [N/y/?] (NEW)
WMI embedded Binary MOF driver (WMI_BMOF) [Y/n/?] (NEW)
PEAQ 2-in-1 WMI hotkey driver (PEAQ_WMI) [N/y/?] (NEW)
Hardware Spinlock drivers (HWSPINLOCK) [N/y] (NEW)
Qualcomm RPM Glink driver (RPMSG_QCOM_GLINK_RPM) [N/y/?] (NEW)
Overlayfs: turn on inodes index feature by default (OVERLAY_FS_INDEX) [N/y/?] (NEW)
Detect Soft Lockups (SOFTLOCKUP_DETECTOR) [N/y/?] (NEW)
Detect Hard Lockups (HARDLOCKUP_DETECTOR) [N/y/?] (NEW)
Warn for all uses of unseeded randomness (WARN_ALL_UNSEEDED_RANDOM) [N/y/?] (NEW)
Show eval mappings for trace events (TRACE_EVAL_MAP_FILE) [N/y/?] (NEW)
Interval tree test (INTERVAL_TREE_TEST) [N/y/?] (NEW)
sysctl test driver (TEST_SYSCTL) [N/y/?] (NEW)
Harden common str/mem functions against buffer overflows (FORTIFY_SOURCE) [N/y/?] (NEW)
Support for Cavium CNN55XX driver (CRYPTO_DEV_NITROX_CNN55XX) [N/y/?] (NEW)
CRC4 functions (CRC4) [N/y/?] (NEW)
А где можно такие списки с новыми опциями разных версий найти?
Лично я, собирая себе новое ядро, копирую конфиг от предыдущей версии и запускаю "make oldconfig". Конфигуратор начинает спрашивать по поводу новых опций, а я копирую куски его вывода. И получаются вот такие вот списки.Для последних ядер (4.4-4.10, 4.13) такие списки можно взять здесь: http://saahriktu.org/linuxnewopts.tar.lzma .
> Лично я, собирая себе новое ядро, копирую конфиг от предыдущей версии и
> запускаю "make oldconfig". Конфигуратор начинает спрашивать по поводу новых опций, а
> я копирую куски его вывода. И получаются вот такие вот списки.это далеко не полный набор - многие вопросы конфигуратора иерархические, и если на верхнем уровне иерархии застрял дефолтный 'N', то узнать, что изменялось под ними, таким образом не получится.
Тем не менее, полученные таким образом опции точно являются новыми.
> Тем не менее, полученные таким образом опции точно являются новыми.Опции сборки бывают условными. Ты не увидишь опций для архитектур отличных от твоей или для случаев когда выбор сделанный ранее конфликтует с опцией. Поэтому то что ты видишь - какой-то частный случай, зависящий от архитектуры и ранее выбранных опций. И зачем его вываливать сюда? Те кому надо - все-равно на вопросы билдсистемы ответят, так как актуально в их конфигурациях.
Далеко не все опции ядра архитектуроспецифичны. Да, если какие-то подсистемы драйверов отключены, то связанные с ними опции в список не попадут. Однако, базовые подсистемы включены в любом случае. А потому опции, которые связаны с разного рода планировщиками, управлением памятью, процессорами и питанием, базовые сетевые опции,... и т.д. в список попадут точно. И это может быть интересно тем, кто хочет знать какие серьёзные измения произошли в базовых подсистемах ядра.
> А где можно такие списки с новыми опциями разных версий найти?git diff, хоть и не очень удобно. А у предыдущего автора не все новые опции ядра показаны, только то что актуально для его системы и архитектуры. Там есть еще всякие условные опции, специфичные для платформ/архитектур. Которых у автора в списке конечно же быть не обязано. Не будет билдсистема работающая на x86(_64) показывать новые опции сборки какого-нибудь MIPSа или ARM. Но это не означает что эти опции не доабвили. Они неактуальны для авторской конфигурации. Но автор об этом видимо не знает, он занят компилированием - некогда билдсистему изучать.
> от 1400 разработчиковА сколько линуксоидов в мире?
~120 млн.
А вы считаете линускоидами дилетантов вроде меня?
Я не компьютерщик, а просто пользователь, но умею ставить некоторые дистрибутивы Линукса, настраивать их и обслуживать.
Спрашиваю абсолютно серьезно и сам стараюсь понять.
линуксоидами, извините за описку
Конечно. Линукс есть? Ну значит всё, не отмажешься уже:)
Чем-то ваш комментарий напомнил мне один анекдот, про самогонный аппарат, где полицейский уверял что если у человека аппарат есть, значит он его активно использует...
Пользователей андроида почему не посчитал? Да, они в нём не разбираются, но пользуются же!
> TLS: AES GCMА почему нет CBC, XTS и т.п.? Я вечно в этих аббревиатурах путаюсь и не до конца понимаю что где и когда используется.
XTS обычно используют в linux-luks и freebsd-geom
Потому, что GCM лучше всего подходит для шифрования сетевых пакетов. В конечном счёте цель инженеров Facebook и Red Hat была низкая латентность, и высокая производительность. А не реализация всех возможных режимов работы AES.
CBC нельзя параллельно считать, а GCM можно.
У XTS есть потенциальные проблемы с безопасностью и он вообще не для сетевой передачи.Для текущего стандарта TLS актуален в первую очередь GCM, CBC считается небезопасным, поэтому нет смысла делать что-либо кроме GCM.
Вроде насколько я помню, CBC это как-раз дефолтный режим для ipsec и GCM скорее всего не заработает на всяких вин7, старых цисках и т.п. (может даже вин10 тоже не умеет GCM, l2tp/ipsec он устанавливает всегда в режиме CBC).
ipsec сдох и плохо пахнет.
IPsec и мелкософт - это особая история. GCM вроде как поддерживается, но только вместе с IKEv1. В случае IKEv2 там максимум CBC.
А для TLS у них всё в порядке, GCM отлично работает и включен как самый приоритетный.
Microsoft утверждает, что их реализация IKEv2 гарантирует следующие возможности:"Supports IPsec end-to-end transport mode connections
Provides interoperability for Windows with other operating systems that use IKEv2 for end-to-end security
Supports Suite B (RFC 4869) requirements
Coexists with existing policies that deploy AuthIP/IKEv1
Uses the Windows PowerShell interface exclusively for configuration. You cannot configure IKEv2 through the user interface.
Uses certificates for the authentication mechanism"Хотя RFC 4869 сейчас в статусе Obsoleted by: RFC 6379, тем не менее, мы можем обратится к нему за разъяснением, что же именно там Microsoft реализовала:
"3.1. Suite "Suite-B-GCM-128"
This suite provides ESP integrity protection and confidentiality
using 128-bit AES-GCM (see [RFC4106]). This suite or the following
suite should be used when ESP integrity protection and encryption are
both needed.ESP:
Encryption AES with 128-bit keys and 16-octet Integrity
Check Value (ICV) in GCM mode [RFC4106]
Integrity NULLIKEv2:
Encryption AES with 128-bit keys in CBC mode
[RFC3602]
Pseudo-random function HMAC-SHA-256 [RFC4868]
Integrity HMAC-SHA-256-128 [RFC4868]
Diffie-Hellman group 256-bit random ECP group [RFC5903]3.2. Suite "Suite-B-GCM-256"
This suite provides ESP integrity protection and confidentiality
using 256-bit AES-GCM (see [RFC4106]). This suite or the preceding
suite should be used when ESP integrity protection and encryption are
both needed.ESP:
Encryption AES with 256-bit keys and 16-octet ICV in GCM mode
[RFC4106]
Integrity NULLIKEv2:
Encryption AES with 256-bit keys in CBC mode
[RFC3602]
Pseudo-random function HMAC-SHA-384 [RFC4868]
Integrity HMAC-SHA-384-192 [RFC4868]
Diffie-Hellman group 384-bit random ECP group [RFC5903]"Как видим, для IPSec Phase 2, для протокола ESP поддерживается AES в GCM режиме, для IPSec Phase 1, для протокола IKEv2 нет.
>[оверквотинг удален]
> [RFC3602]
> Pseudo-random function
> HMAC-SHA-384 [RFC4868]
> Integrity
>
> HMAC-SHA-384-192 [RFC4868]
> Diffie-Hellman group
> 384-bit random ECP group [RFC5903]"
> Как видим, для IPSec Phase 2, для протокола ESP поддерживается AES в
> GCM режиме, для IPSec Phase 1, для протокола IKEv2 нет.
>[оверквотинг удален]
>> [RFC3602]
>> Pseudo-random function
>> HMAC-SHA-384 [RFC4868]
>> Integrity
>>
>> HMAC-SHA-384-192 [RFC4868]
>> Diffie-Hellman group
>> 384-bit random ECP group [RFC5903]"
>> Как видим, для IPSec Phase 2, для протокола ESP поддерживается AES в
>> GCM режиме, для IPSec Phase 1, для протокола IKEv2 нет.IKEv2 SA может использовать только AES-CBC, но IPSec SA может использовать и AES-GCM, данные клиентов будут шифроваться уже с помощью AES-GCM. Иными словами, не вижу не какой проблемы, что IKEv2 SA использует AES-CBC.
Если верить Microsoft kb325158, то по умолчанию L2TP over IPSec вообще использует DES в CBC режиме, даже не AES.Что касается того, поддерживается ли AES в GCM режиме или нет, в Windows 10 мне пока найти не удалось, есть таблица для более старых версий: https://technet.microsoft.com/en-us/library/dd125380(v=ws.10...
И в ней указано, что Windows 7 поддерживает AES в режиме GCM, но, только при использовании IKE в Quick режиме. Изменилось ли, что-то для Windows 10 в этом направлении, сказать сложно.
> CBC считается небезопасным, поэтому нет смысла делать что-либо кроме GCM.Но стоит волею случая использовать тот же IV с одним KEY для шифрования, и GCM мгновенно взламывается.
Это какой-то уж очень неслучайный случай.
AES-GCM работает заметно быстрее на современных процессорах. Имеет встроенный MAC, что опять же снижает нагрузку и упрощает процесс. Параллелится, как уже выше говорили. При его реализации меньше мест, где можно накосячить и ловить потом уязвимости.
CBC сейчас используется только как legacy.
Спасибо за пояснения! Не просветите ещё насчет CTR? Он как к остальным относится и как и когда используется?
> Спасибо за пояснения! Не просветите ещё насчет CTR? Он как к остальным
> относится и как и когда используется?Не совсем относится, это потоковый, а не блочный режим шифрования. Там нет никакой аутентификации, нужно прикручивать внешнюю. Голый поток CTR некий MiTM может изменить таким образом, чтобы после расшифровки мы получили другие данные и ничего не заметили - при этом MiTM'у совершенно даже не нужно знать, что там было исходно зашифровано. Также появляется уязвимость, если атакующий добудет исходные данные до шифрования и шифрованный поток.
CCM и GCM используют в своей основе CTR, добавляя аутентификацию (если совсем грубо упрощать).
Где улучшения для Ext2? Ибо мне нафиг не упало бесполезное журналирование, которое только и умеет, что дрюкать диск. А по сути, не наблюдаю никакого развития, с ядра 2.6*, один лишь продакшен для Красной Шляпы.
А разве нельзя журналирование отключить?
> Где улучшения для Ext2?в гугле
> Ибо мне нафиг не упало бесполезное журналирование, которое
mkfs.ext4 -O '^has_journal' ниасилил? Тогда, к сожалению, тебе противопоказано использовать что-то немейнстримное - чтобы писать против ветра, штаны расстегивать уметь надо заранее, причем это не гарантирует от мокрых штанов, это pre-requirement.
> только и умеет, что дрюкать диск. А по сути, не наблюдаю
> никакого развития, с ядра 2.6*, один лишь продакшен для Красной Шляпы.его и не будет.
У ext2 сегодня только одно преимущество - несколько большая компактность кода. Для неумеющих пользоваться mkfs пользы от него никакой, они просpут гигабайты там, где сэкономят килобайт, потому что еще много чем пользоваться не умеют.
> Где улучшения для Ext2? Ибо мне нафиг не упало бесполезное журналирование,Бесполезное? Блаародного сэра не напрягает время fsck на диске пару терабайт? Вместо нескольких секунд реплея журнала при монтировании?
Зачем такие ядра что ломают поддержку старых дров? Почему я не могу использовать линукс с видеокартой амд R9 270? Зачем ломать поддержку ABI, что они выиграли? Они только потеряли пользователей.
кто-то потерял пользователей - а кто-то поимел бабло за новокупленное железо быстрее старого аж на 1,3421453544367% !
> Почему я не могу использовать линукс с видеокартой амд R9 270?Можете
> Почему я не могу использовать линукс с видеокартой амд R9 270?Это кто сказал такое? Под нее в ядре линукса аж целых ДВА драйвера. Так получилось. Amdgpu, который пока в экспериментальном режиме (с ним даже -PRO заработает) и обычный radeion.
> Зачем ломать поддержку ABI, что они выиграли?
Вы что, сами писали проприетарный драйвер GPU, что вас ABI интересует? И как, получилось обставить AMD в деле написания драйверов?
Вся эта глупорылая борьба с проприетарщиной - дикое безумие! Бинарные блобы это такой неотъемлемый элемент аппаратуры как и её составные части вроде микросхем и конденсаторов.
Никто не заставляет обновляться. Выбирая проприетарщину юзер соглашается с теми ограничениями, которые вводят её разработчики. А они просто не желают бегать и выпускать блобы под каждую новую версию. Поэтому эти блобы если и являются частью чьей-то системы, то только в рамках тех версий, для которых их выпустили проприетарщики. При этом рано или поздно они всё равно выкинут поддержку конкретного оборудования. Даже если оно ещё живо у юзеров.Но, не всем нужны блобы.
> Вся эта глупорылая борьба с проприетарщиной - дикое безумие! Бинарные блобы это
> такой неотъемлемый элемент аппаратуры как и её составные части вроде микросхем
> и конденсаторов.С чего это вдруг?
> такой неотъемлемый элемент аппаратуры как и её составные части вроде микросхем и конденсаторов.Вот кстати микросхемы опенсорсные как раз появляются. Хорошо.
Ну когда же линукс сможет полноценно работать на нетбуках чери трейл?
> Без данной опции действует лимит на 10 млн файлов в одной директории, а при указании опции "largedir" лимит увеличивается до 2 миллиардов файловКак их потом удалить одной командой из баша без скриптования
> find папка -name "*" -exec rm {} \;
>> find папка -name "*" -exec rm {} \;мда, я всегда подозревал альтернативную одаренность понийопов... exec... ага, в каталоге с 10000 записей.
find -type f -print0 | xargs -0 rm
(и вон из профессии, если a) не видите разницы b) это не первое, о чем вы подумали)
> мда, я всегда подозревал альтернативную одаренность понийопов... exec... ага, в каталоге с 10000 записей.Да, ты даже на самом слабом ПК моргнуть не сможешь.
PS: а про профессию - сам иди куда хочешь, а я не сисадмин
И да. Лимит в xargs по аргументам в 2МБ - мы тупо в него упремся при 10 млн файлов
> И да. Лимит в xargs по аргументам в 2МБ - мы тупо
> в него упремся при 10 млн файлов# find / -delete
тебе в помощь.
Оно по моему же только в GNU-том есть.
> Оно по моему же только в GNU-том есть.Я задел Ваши религиозные? Отлично.
> Оно по моему же только в GNU-том есть.C чего бы это?
> Author: peter <peter@FreeBSD.org>
> Date: Fri Oct 4 12:54:07 1996 +0000
> Implement a -delete option to find. The code is extremely paranoid and
> goes to a fair degree of trouble to enable something like this to
> be safe: cd /tmp && find . -mtime +7 -delete
> И да. Лимит в xargs по аргументам в 2МБу xargs нет никаких лимитов по аргументам (точнее, они у нее не имеют ни малейшего отношения к описанному применению - аргумент там один, из двух байт - rm)
она вызовет этот rm столько раз, сколько понадобится, чтобы уместиться в системные лимиты на exec.
> find -type f -print0 | xargs -0 rmfind -type f -delete тогда уж.
Хотя да, всякие -0 из https://www.altlinux.org/Secure_Packaging_Policy некоторым выше могут и ныне быть в новинку...
мои клавиатурные привычки - много старше -delete
(и универсальнее, ибо не всегда надо именно rm)-0, правда, тоже недавнее изобретение, раньше приходилось еще и tr вставлять в цепочку.
>> find -type f -print0 | xargs -0 rm
> find -type f -delete тогда уж.
> Хотя да, всякие -0 из https://www.altlinux.org/Secure_Packaging_Policy некоторым выше
> могут и ныне быть в новинку...touch ' .. .\+Xy \+\8 Уда ли Мен\!!я '
find -type f -print0 | xargs -0 unlink---
А ваще, руxками потереть иноду каталога и пошли всё нафег :)
>> find папка -name "*" -exec rm {} \;А ты представляешь себе что будет при 10 000 000 файлов? Можешь создать и посмтреть как твоя конструкция отработает. Ты наверное удивишься увиденному.
> ionice -c 3 rm -rf /* &не работает же - задает глупые вопросы в новых-модных системах?
И зачем, кстати, ionice? Там тормоза не от io. (то есть не от того io которым управляет ionice)
Просто nice?
О, знаю. Shell вместо звёздочки влепит километровый список файлов и будет больно
> О, знаю. Shell вместо звёздочки влепит километровый список файлов и будет больнопочему километровый ? Или ты стамиллионами файлов в / нагадил? А чо, изобретательно ;-)
echo /* | wc
1 21 136
Теперь драйвер gpu для vbox интегрирован в ядро, что в теории избавит от установки guest addition и позволит использовать полноценное 3д ускорение гостевой ос, правда не 17.10 разницу не увидел
Обеспечено использование по умолчанию протокола SMB 3 (Server Message Block) при обращении к файлам на серверах Samba и Windows при помощи CIFS-- что это значит вообще?)
> Обеспечено использование по умолчанию протокола SMB 3 (Server Message Block) при обращении
> к файлам на серверах Samba и Windows при помощи CIFS
> -- что это значит вообще?)"Технологии Майкрософт." ==Не заморачивайтесь.
>> Обеспечено использование по умолчанию протокола SMB 3 (Server Message Block) при обращении
>> к файлам на серверах Samba и Windows при помощи CIFS
>> -- что это значит вообще?)
> "Технологии Майкрософт." ==Не заморачивайтесь.:( Или да.
"Earlier this year, widespread use of SMB1 in Linux servers helped fuel the expansion of the WannaCry ransomware." --http://linuxgizmos.com/android-oreo-adds-linux-kernel-reqs-d.../
Не перестаю удивляться эпичности фантазии придумавшего включать поддержку всех устройств прямо в ядро... По-моему это как каждого, желающего сдать на права заставлять тут же сдавать сразу на все категории, плюс на пилотирование вертолётов и подводных лодок и обязывать регулярно для продления прав выходить в финалы ЧМ по разным видам спорта.
Это хорошие и добрые фантазии, благодаря которым мы можем вытащить HDD с пингвином из компьютера и не заморачиваясь подключить его к микроволновке, кофеварке, стиральной машине и т.п.