Zobrazit příspěvky

Tato sekce Vám umožňuje zobrazit všechny příspěvky tohoto uživatele. Prosím uvědomte si, že můžete vidět příspěvky pouze z oblastí Vám přístupných.


Příspěvky - František Ryšánek

Stran: [1] 2 3 ... 82
1
Studium a uplatnění / Re:V IT po čtyřicítce
« kdy: 27. 09. 2023, 22:00:16 »
Hm tyjo. S tím sportem a špatnou křížovou páteří to není vůbec sranda. Aby pracující městský člověk s malými dětmi stíhal ještě svým tempem sportovat, to není snadné zařídit. A se špatnou páteří běhat... nic moc.
Já teď na starší kolena už zase nějaký čas mám, a nedám dopustit na kolečkové běžky (konkrétně Skike) a celopéro s měkce odpruženou zádí. Uvědomuju si, jaký je luxus, že mám *kde*.
Akorát mě dost štve, že jak bicykl tak Skike jsou poměrně dost "dodělej doma". Třeba kolo koupíte osazené tak, jak se to hodilo výrobci. A k těm běžkám: protože mi tvrdá PUR kolečka připadají nesportovní a zbytečně rychlá, držím se nafukovaček, akorát je asi hustím trochu víc (ostatně jsem si postavil pumpu s malým pístem a velkým zdvihem) což se projevilo tak, že mi už podruhé prdnul originální plastový ráfek. Naštěstí pokaždé v uskladněném stavu... taky mě štvalo, že ložiska v plastovém disku dost vaklají. Takže jsem skončil u hliníkových disků z Alíku - zrovna minulý týden mě druhý defekt (ruplý plastový disk) přiměl, abych konečně přezul na nové disky. Strávil jsem šichtu u soustruhu, domazlil po číňanech futra na ložiska, odjehlil díry pro ventilky a zbastlil nové osy, protože čínské hliníkáče mají jiný rozměr ložisek, než původní plasťáky...
Na běžky je teď výborné počasí - hlavně po ránu kolem 12-13*C, paráda.

2
Studium a uplatnění / Re:V IT po čtyřicítce
« kdy: 20. 09. 2023, 10:41:54 »
Hehe s trochou štěstí naši generaci za 30 let plně nahradí AI, a další technicky znalá generace wetware už nepřijde.

3
To máte těžké. Na vysoké škole se předpokládá jistá kvalita studentů,...
To jiste ... proto to vypada tak, ze kdyz si predmet zapise dalkar, ktery se tim zivi, tak mu vyucujici da zajedna uz v rijnu, protoze tomu sam vubec nerozumi.

A proto se po studentech chce, aby recitovali vety, definice, vzorce ... ale ze vubec netusi k cemu jsou, to nikoho nezajima.

Vysledky se kterymi se pravidelne setkavam, tomu naprosto dokonale odpovidaji ...

Já jsem k vejškám relativně shovívavý. Když si vezmu, kolik času mi zabere, některé konkrétní věci si osahat, pochopit, dostudovat, namočit si v něčem prakticky čumák... ve škole na tohle nemůže být dost času. Pokud jste už jako mládě zažranej hobbík a máte veškerou podporu od rodičů, budete ve škole v některých praktických věcech vyčnívat, ale nikdo nemá tolik času, aby uměl všecko a aby se to v průběhu školy stihl naučit. Normální člověk, když se věnuje 100% škole, nestíhá u toho pracovat. Můžete mít jako jedinec kliku, že jste v generické loterii zdědil soustředěnější kognitivní schopnosti (na gaussově křivce jste kdesi daleko vpravo od 99%), přesto i pro Vás nakonec platí, že den má pouze 24 hodin - v tomto je svět spravedlivý.

Takže za mě, má smysl přístup: "aspoň s nimi tu neustále rostoucí encyklopedii prolistujme. Třeba si jednou vzpomenou, až na to v praxi narazí. Případně jim budou docházet souvislosti a historické důvody, až budou pracovat s technologiemi příštích generací, které se vyvinou z těch včerejších, o kterých teď dokážeme něco odpřednášet." A samozřejmě teorie, obecné principy nezávislé na platformě, staré známé algoritmy atd. atd.

Čest budiž nadšeným pedagogům, kteří dokáží přinést "něco navíc", aby bylo studium zajímavé a k jádru pudla. Pár takových jsem potkal. Měl jsem zhusta pocit, že míra absurdity a šikany při zkoušení byla nepřímo úměrná reálnému přínosu vyučujícího.

4
Vývoj / Re:SSH server vytuhne
« kdy: 08. 09. 2023, 13:01:02 »
Ať už GDB nebo Valgrind, měla by existovat možnost, v momentě kdy je proces vytuhlý, tak ho "breaknout". Následně si vypsat stack = vnoření funkcí. Až dovnitř do té knihovny. Pokud to na pozadí visí na nějakém syscallu, mělo by to vypsat jako nejhlubší úroveň zanoření ten syscall - čekal bych accept() nebo tak něco. Pokud je to v nekonečné smyčce, tak by to mělo ukázat kde. Podle mého je ale podmínkou, že libssh musí být linknutá včetně debugovacích symbolů, jinak stack trace bude obsahovat jenom nic neříkající numerické adresy... Tzn. možná Vás to donutí, sám si to SSHčko přeložit.

Pokud byste došel k tomu, že visí bloknutý accept(), spotřeba procesoru je nula a příchozí spojení se "nedozvoní", tak je mi to divné... iptables, apparmor/selinux, co já vím... toto jsem nikdy nezažil.

BTW když už si libssh budete překládat ze zdrojáků, tak nemusí být velký problém, povolit debug výpisy / přidat nějaké svoje hlášky na strategická místa, abyste viděl konkrétněji, kam až program před zátuhem doběhl uvniř knihovny.

Rychlým googlem jsem našel zmínku, že se zřejmě v libssh v produkčním buildu dá zvýšit log level...

5
Server / Re:Samba a práva souborů
« kdy: 08. 09. 2023, 11:47:57 »
O tomhle jsem svého času dost dumal - měl jsem konkrétní zadání a snažil jsem se ho splnit v konfiguraci Samby. Zkusím shrnout pár poznatků.

Samba (CIFS) navenek podporuje windowsí systém práv, a snaží se ho vespod napasovat na Linux/UNIX/POSIX "práva souborů" (rwx) a POSIX ACL. Mapuje práva z Windowsího světa na Linuxový svět a snaží se, jak umí. Pro mne osobně systém práv pod Windows je dost zvěrstvo na pochopení sám o sobě - a pokud pochopíte pokročilé taje na straně Windows, a následně se k témuž pokusíte přimět Sambu, aby to pro Vás zařídila nad linuxovým filesystémem, možná se dost podivíte a není vyloučeno, že nad složitějším požadavkem hodíte flintu do žita :-)

Nicméně, Vaše zadání není nijak složité, a zřejmě se to dá zařídit několika způsoby (něco mi říká, že dvěma až třemi).

(Odstředivá poznámka: zdá se, že pokud mountujete CIFS z Linuxu, mohla by Samba propouštět POSIX ACL nastojato.)

Začal bych třeba globální opšnou security = user - pakliže nejste už o kus dál :-)

Jak už zmiňovali předřečníci, "kdo kam smí" lze řešit neohrabaně holýma rukama na podkladovém linuxovém filesystému na serveru, a ono to nějak funguje (záleží, jak jste šikovný) ale jednak potom musíte nastavovat práva jinudy (SSH), než přistupujete k souborům (CIFS), druhak můžete třeba narazit na skutečnost, že pokud nastavujete práva jednotlivým souborům, tak po server-side přesunu souboru z jednoho "home adresáře" do jiného zůstanou práva původní (soubor si je ponechá) = práva k souboru se nezmění přestěhováním do cizího "home adresáře".
Tento aspekt nebyl požadován ve Vašem zadání, zmiňuji ho k tématu na okraj jako možné úskalí, pokud by někdo toto řešil (třeba já jsem to v zadání měl - šlo o přesuny z pracovního adresáře do "dlouhodobého finálního archivu".)

Souhlasím s jjrsk, že pokud to má fungovat z Windows, je vhodné, nastavit práva přednostně z prostředí Windows skrz CIFS. V tom případě je šance, že si Samba ty práva namapuje tak, aby jí fungovaly (což se občas taky úplně nepovede, historicky v některých verzích Samby. Stalo se mi to, zkoušel jsem to debugovat, hodil jsem flintu do žita.)

Pokud tedy Vaše zadání uchopím nastojato jako dva-tři samostatné shary, rád bych zmínil ještě jednu možnost, jak nastavit práva "per share": vyprdnout se na práva na adresáře a soubory (se všemi divokostmi mapování ACL Windows->POSIX) a zařídit to ultra-hnusně-postaru v konfiguraci sharů v smb.conf :-)

Sám jste nakousl valid users (mimochodem lze také specifikovat invalid users) - tady bych rád upozornil na jednu nuanci: zavináč před jménem znamená ve skutečnosti odkaz na skupinu (z /etc/group, nebo z remote autentikace). Chcete-li specifikovat jednoho konkrétního uživatele, uveďte prostě jeho jméno bez zavináče. Ono Vám to se zavináčem funguje taky, nejspíš na té bázi, že dnešní linuxová distra by default vytvářejí pro uživatele také jeho vlastní skupinu v /etc/group se shodným jménem.

No a mezi uživateli uvedenými ve valid users můžete dále diferencovat pomocí opšen write list a read list . Takže je možné páchat třeba toto (neodpovídá Vašemu zadání):

Kód: [Vybrat]
#======================= Share Definitions =======================

[data-eva]
path = /samba/data-eva
read only = no
guest ok = no
write list = eva honza
read list = jana
valid users = jana eva honza

[data-jana]
path = /samba/data-jana
read only = no
guest ok = no
write list = jana honza
read list = eva
valid users = jana eva honza

Tzn. takto jde nastavit práva pro celý share. Následně může být šumák, pokud šoupete se soubory přímo na serveru, Sambě pod zadkem. Ano je to hnusně hrubé, ale jsou situace, kdy přesně toto chcete :-)

Jinak to Vaše zadání mi spíš velice připomíná standardní home adresáře, kde má každý user svůj píseček, kam mu nikdo jiný z běžných smrtelníků nemá co koukat. Jestli správně koukám, Samba tohle umí dokonce dvěma způsoby: "šablonový share" v smb.conf se jmenuje [homes] nebo [users] . Pro Windows je údajně vhodnější druhý způsob.

Netuším, jak s tímto zkombinovat explicitní valid users , read list a write list - možná to vůbec nejde.
Chcete-li dát konkrétnímu uživateli "superuserská práva", možná bych vyrobil samostatný share na nadřazený adresář, a tamtudy bych superusera pustil dál. Nebo skrz server-side posix ACL, kde bych mu dal osobní výjimku na ten nadřazený adresář (a povolit dědění, ale to už se dostáváme na tenký led, zda se to dědění zdědí při vytváření podadresářů z Windows skrz CIFS apod.) Osobně, vzhledem k tomu že užovkám do dat nelezu, a pravomoci delegovat nepotřebuji, pro vyjímečné situace mi stačí server-side přístup (ssh, mc atd.)

6
Hardware / Re:Poraďte náhradu za GIGABYTE GA-N3160TN
« kdy: 30. 08. 2023, 12:35:40 »
Mínusové větve v ATX konektoru pro Vaše potřeby nejspíš nevyužijete = nejsou potřeba.
Teoreticky by mohly být k něčemu pro audio (spíš pochybuju) nebo linkové budiče COM portu (záleží jaký level-shifter je použit, spíš to ani nebude potřeba). Osobně je v HTPC nemám (Gemini Lake na starší ITX desce od AsRocku).

A ano, zřejmě v rámci chip shortage se výrobci na ITX s integrovaným ATOMem pěkně z vysoka :-( a už to tak zůstalo. Ošklivej Gigabyte. Možná nás skládačů už tolik není...

Zůstali u toho někteří "průmysloví" výrobci:
https://www.advantech.com/en/products/mini-itx-motherboards/sub_1-2jkkgr
Ale cena je samozřejmě "průmyslová".

Něco má AsRock Industrial:
https://www.asrockind.com/en-gb/IMB-1005J
https://www.asrockind.com/en-gb/mini-itx

A něco taky SuperMicro, ale tam se vyskytujou spíš "networking" ATOMy. A je trochu problém, v tom jejich předlouhém seznamu motherboardů něco najít. Navíc mám pocit, že ty přímo letované ATOMy v nových generacích desek taky spíš utlumujou. A co vím, docela dlouho byl problém s praktickou dostupností jejich ATOMových desek.

7
Hardware / Re:Reboot z Linuxu vypne displej
« kdy: 20. 08. 2023, 14:58:37 »
A co zkusit něco jako acpi_osi="Windows 2021"  ? (nebo 2022)
https://unix.stackexchange.com/questions/246672/how-to-set-acpi-osi-parameter-in-the-grub
https://learn.microsoft.com/en-us/windows-hardware/drivers/acpi/winacpi-osi
Není mi jasné, jestli v dnešních UEFI-only strojích ještě hrají roli ACPI tabulky. Každopádně Microsoft má ten string definovaný i pro Windows 11.

Nebyl by pro tu mašinku nový BIOS? Ten by mohl taky ledacos pořešit.

8
Sítě / Re:Mikrotik wifi stationbridge s LTE a NATem
« kdy: 17. 08. 2023, 18:23:53 »
Jak tak koukám, co má OP za rádio, tak přidat druhé wifi rádio dovnitř nejspíš nepůjde a externí USB port to nemá. Takže leda externí AP. Třeba mAP nebo cokoli většího. Asi cesta nejmenších nákladů a odporu.

Poskládat 2x wifi a ještě R11e do jedné desky... možná by to šlo s použitím RB912, strčit druhé WiFi rádio do MiniPCI-e a R11e přes redukci do vnějšího USB portu, pokud se to spolu bude kamarádit. Koukám že Mikrotik asi nic většího nemá, s více MiniPCI-e sloty. Pak už leda něco na bázi x86.

9
Sítě / Re:Mikrotik wifi stationbridge s LTE a NATem
« kdy: 17. 08. 2023, 08:32:32 »
:-) není zač, "chytrému napověz".
Přeji co nejméně "následných překvapení".

10
Sítě / Re:Mikrotik wifi stationbridge s LTE a NATem
« kdy: 15. 08. 2023, 19:36:49 »
Tak to zkuste trochu poštudovat. Není to zase tak složité. Hm. Nějak marně googlím hezký výstižný obrázek... něco jsem Vám v rychlosti načmáral, viz příloha.

Druhá vrstva jede podle MAC adres, aktivním prvkům v této vrstvě se říká switch nebo bridge. V dnešní době se s pojmem bridge často setkáte ve smyslu "softwarový bridge" v nějaké chytré krabičce. Jinak ale chytré krabičky mívají taky konfigurovatelný HW Eth switch, kde si můžete shlukovat porty do "virtuálních LAN". Různé VLANy na sebe na L2 navzájem nevidí, přestože jedou skrz tentýž fyzický switch.
Bohužel Wifi je jiný čip na motherboardu a má interně rozhraní PCI-e, takže přestože pracuje s ethernetovými rámci, musí se na metalický ethernet bridgovat softwarově (nebo samozřejmě routovat na L3).

Třetí vrstva jede podle IP adres, aktivním prvkům se říká router. Na třetí vrstvě řešíte subnety, které Vám vespod nejspíš budou pasovat na vykolíkované L2 sítě. (Nebudu Vás trápit virtualizací = VRF, network namespaces, VM.)

Pokud máte uvnitř Mikrotiku definováno více L2 VLAN nebo soft-bridgů, můžete a nemusíte do každé(ho) z nich vidět L3 rozhraním. L3 rozhraní do VLANy či bridge je potřeba k forwardování provozu na L3, a taky na něm lze povolit přístup na management RouterOS. Obvykle se management povoluje z LAN nebo z dedicated managementové sítě/portu. Něco k VLANám...

Jak to uklikat v Mikrotiku?
Zazálohujte si konfiguraci, která Vám momentálně funguje.
Pak bude možná nejjednodušší, smazat konfiguraci a začít z čisté vody. Z "quick-set šablon" bych jako výchozí bod volil buď AP nebo CPE - ale nejspíš to v té šabloně nedáte celé. Určitě režim router, a dál jde o to, přiřadit mu správně rozhraní do zón WAN a LAN. Na straně LAN bych vytvořil "bridge", do kterého bych naházel kýžené metalické porty a WIFI ESSID, ve kterém box bude v roli "mastera" (AP). Do zóny WAN je potřeba přiřadit WIFI ESSID, ve kterém se má box chovat jako client.

Do soft-bridge v Mikrotiku a OpenWRT se dají přiřazovat rozhraní, která jsou typu Ethernet a příbuzná - vedle fyzických Eth portů také VLANy, pojmenované instance Wifi sítí (ESSID), OpenVPN TAP apod.

11
Software / Re:iVysílání není podporováno v OS Linux
« kdy: 15. 08. 2023, 14:08:52 »
Do záznamu: Debian 10 64b, FF 102.10.0 ESR. Problém s DRM v iVysílání, doprovázený jednoznačnými chybovými hláškami, jsem vyřešil konfigurací asi před rokem... od té doby jsem si nevšiml nějakých zádrhelů.

12
Sítě / Re:Mikrotik wifi stationbridge s LTE a NATem
« kdy: 15. 08. 2023, 12:36:26 »
Jestli správně chápu, Váš Mikrotik v tuhle chvíli bridguje Vaši LAN k sousedově LAN. Tzn. soused Vám dává DHCP.
Pokud chcete mít failover k sousedovi vs. do LTE, potřebujete si DHCP servírovat sám, nezávisle na upstream konektivitě (jak jste zjevně správně odvodil). Tzn. potřebujete svého Mikrotika překonfigurovat, aby nebridgoval z uplinku od souseda, ale aby si jenom vzal na upstream rozhraní IP adresu přes DHCP, a do Vaší LAN provoz forwardoval na 3.vrstvě skrz svůj vlastní NAT. Tzn. řekl bych skoro základní konfigurace :-) tzn. router kde WAN = WiFi client.
No a pak můžete pogooglit nějaký skript, který bude hlídat primární konektivitu (pingem?), a pokud tato padne, nahodí záložní uplink = LTE.
Na tomtéž routeru může sedět taky wireguard client.

Pokud chcete být jedním směrem WiFi klient a druhým směrem (jiný subnet) WiFi AP, potřebujete podle mého dvě nezávislá rádia. Pokud má Váš mikrotik simultánní dual-band s oddělenými anténami pro obě pásma, tak to vlastně jsou dvě rádia = šlo by svítit každým směrem v jiném pásmu. Nebo řešíte v rovině mechanické skladebnosti, jak nacpat do routerboardu přídavné rádio a zároveň LTE.

Omlouvám se za povrchní odpověď, ohledně mikrotiku jsem lama.

13
Co má známý za konektivitu?

14
Sítě / Re:Doporučte GSM modem s ethernetem
« kdy: 11. 08. 2023, 10:48:02 »
si kladu otazku, pokud 5G na mym mobilu nyni bezi 5x lepe nez vdsl, nedozrava to k nahrade? pokud je download, upload , ping, jitter lepsi... ale jak se to chova, kdyz je za routerem 50 zarizeni generujicich stovky sessions?

Věcný názor podložený zkušeností s 5G nemám. Zkušenosti jenom historické s různými konektivitami na bázi 3G / 4G. Tyto mě vedou k bonmotu: připravte se na nejhorší, zbyde Vám nějaký prostor pro příjemné překvapení :-)

Podle mého to co máte doma poněkud přesahuje SoHo kategorii, jak ji operátoři retailové konektivity běžně chápou.

Mimochodem to 5G se pořád ještě rozjíždí, mimo velká města bych se trochu bál, že krajina v tuto chvíli není kompletně pokrytá.

15
Sítě / Re:Doporučte GSM modem s ethernetem
« kdy: 11. 08. 2023, 08:40:01 »
Jinak mě napadá: vzít konektivitu jaká je, klidně s NATem (ale bohužel GSM/LTE operátoři tradičně kladou provozu TCP/IP i další omezení) a věci, které mají být vidět veřejně, vystrčit do VPSky za pár šlupek. Mezi VPS a vnitřní sítí natáhnout VPN (např. OpenVPN), VPN relaci navazovat z vnitřní sítě na VPS. Asi by to znamenalo, na chytrém routeru ve vnitřní síti udělat policy routing se dvěma default routy, např. značkovat co přijde z VPN tunelu a "related" provoz házet zpátky zase tamtudy.

Jako nejslabší bod vidím službu, přes kterou to bude připojeno do internetu. GSM/LTE je hodně mizerná náplast. Navíc než to celé pokonfigurujete, může být CETIN hotový s opravou drátů. Aspoň tady u nás bývají docela svižní - externí servisák přijede druhý den apod.

Stran: [1] 2 3 ... 82