Příspěvky

1

Server / Re:SSH: heslo vs kluc?

« kdy: 17. 03. 2025, 14:34:14 »

heslo se da bruteforcovat, klic nikoliv

heslo mas 1 k 1 uctu  VS klicu mas N k M uctum

klic muzes mit pod heslem (na strane klienta), coz je ekvivalent trezoru (tedy az na moznost vynuceneho smazani pri opakovanem pokusu a neodemceni)

2

Hardware / Re:Šifrování disku a poruchy na 54TB oddílu

« kdy: 16. 03. 2025, 21:50:54 »

RAID6 btrfs? Tož tak tomu se říká odvážný harcovník :-)

V momente co staci zapnout backup stroj a zmenit mountpoint.. v pripade tak priserneho crashe, je to spise uz pohodlnost nez odvaha. Nepamatuji si kdy me tyhle dedikovane/jednoucelove (storage only) nody treba padli - a vlastne i reboot interval je dost dlouhej (treba 2x rocne max). Vse ostatni mimo uloziste je pak vice experimentalni.. a klidne padat muze (proto je tam NFS ven, ne napr. iSCSI).

A navíc trpělivý, protože scrub na tom trvá věčnost (ve srovnání s MD i ZFS) a generuje tak chaotické nesekvenční IOPS, že to téměř zastaví narmální provoz.

Zatim jsem na tom jediny klient ja.. malokdy nejaky dalsi proces, takze normalni provoz je spis zadnej a uloziste trpelive idluje. Spis se QoS zabiji tim, ze je to skrze nfs a kdyz neco moc zapisuje (flush dirty pages z lokalni ram cache), tak se mu uz uplne nechce v jinem vlakne cist (takovy a la ADSL experience).

3

Hardware / Re:Šifrování disku a poruchy na 54TB oddílu

« kdy: 15. 03. 2025, 23:13:58 »

Nevim co by melo mit 64TB limit dneska.. davneji existoval 16TiB na 32bit systemu (4Gi bloku @ 4Ki clustery).

Problem umisteni sifrovani (do ktere urovne) je spis otazkou jakou slozitost jsi schopen akceptovat.. muzes sifrovat pod FS, ale to pobezi na 1 vlaknu a vykon bude nic moc.

Osobne mam ted hlavni uloziste jako 8x14TB a tydenni zalohu 16x8TB, oboji v stejnem setupu vrstev (coz je asi jediny risk). Je to v BTRFS RAID6 (84/112TB a 112/128TB usable), pozadavek byl: chci snapshoty, chci checksumy, NEchci cekat na mdraid skrze kompletni kapacitu (ktery jsem pouzival cca 15 let doposud a uz to ma vyuziti jen na mirroru systemoveho disku).

Sifrovani je na jednotlivych discich (coz znamena ze kazdy disk muze sifrovat individualni jadro cpu, kdyz na poradnou zatez dojde).

Pak bylo jeste nutny se rozhodnout jak s klicema.. bud pouzit LUKS, nebo cryptsetup - me nastroje zvladnou oboje (na discich nechavam partisnu s uuid podle rezimu sifrovani - tezko se asi zapre, ze je disk sifrovanej), ale skoncil jsem na raw klici pro cryptsetup, ktery je odvozen od urcitych atributu disku. Varianta s LUKS, kde musite zalohovat superblok nebo i samotny klic me prisla nebezpecnejsi (ze prijdu o data) - takze jsem volil automagicky odvozeny klic, a pokud me neklepne, tak tu magii snad vzdy odvodim. Storage se ale sam neni schopen odemknout, takze to splni ochranu v pripade odcizeni, nebo pri prodeji disku, atd.

Do budoucna je v planu nejaka SSD cache (taky na urovni jednotlivych disku, jako bcache(hdd+ssd) -> btrfs device), protoze samotne btrfs nema uplne dobre reseno cachovani, resp. management hybridnich poli. A cache musi byt individualni ssd, aby selhala max 1 komponenta raidu, ne ze umre cache a cely pole bude v haji. (variantne ta sdilena cache by mohla byt na nvme mirroru, bcache tusim umi sdilet - ale vzhledem k rovnomernosti na R6 lze priradit dedikovane sekce pro cache).

4

Software / Re:Náhrada za Chrome, respektive AdBlock

« kdy: 15. 03. 2025, 11:29:19 »

A moznost zustat u stare verze + vypnout autoupdate ?

(mozna to zvysuje riziko prukaku, ale spravnej user/admin ma byt na to pripraven - problem muze nastat i v nove verzi nebo v jine aplikaci)

5

/dev/null / Re:Ministerstvo nerozumi jak internet funguje

« kdy: 13. 03. 2025, 21:40:04 »

ja uz budu hejtovat root, ze mi vymazlo prispevky s weby, ktere nejsou kosher.
root me zklamal.

Jako ze museli pockat az o tom napise Lupa, protoze iDnes je fuj, aby tohle same vydali jako zpravicku ktera za par dnu zapadne? Joo.. obcas se taky divim zdejsim praktikam.

6

/dev/null / Re:Ministerstvo nerozumi jak internet funguje

« kdy: 13. 03. 2025, 14:39:58 »

*ale to asi  vyžaduje packet inspection  alias tcpdump v primitivní formě, ale asi furt složitější než logovat IP.

Ano, doposud stacilo logovat "staticky" fieldy packet headeru.. nyni se musi logger vyporadat tim parsovanim SNI.
Ale porad domena neni "stranka", za stranku bych povazoval konkretni URL.

To asi budeme muset prejit na IPv6, udelat bezpecny anonymni resolver (domena+salt -> aaaa)
a pouzivat https://[ipv6]/salt/... ty adresy je treba osolit, at nejsou zpetne dohledatelne mapy aaaa->domena

7

Server / Re:Dell PR8 Device not detected

« kdy: 13. 03. 2025, 14:12:29 »

Zkusil bych ten 3 - pokud je to modul, tak jednou bootnout bez nej. Pokud tam je jumper jako - disable onboard lan - tak pouzit ten.

8

/dev/null / Re:Ministerstvo nerozumi jak internet funguje

« kdy: 13. 03. 2025, 13:50:23 »

...a mohl by mi někdo říct, proč bylo toto diskuzní vlákno přesunuto do /dev/null?!

Protoze nas chteji umlcet. At je duvod hate-free nebo no-politics.. tak je taky nesmysl umlcovat poukazani na technickou blbost, kor kdyz je tady co chvili propagace Lets Encrypt a HTTPS.

9

Software / Re:Alternativa Streamripperu s podporou HTTPS

« kdy: 13. 03. 2025, 11:55:15 »

@RDa to by se dalo pri 1 az par skladeb, jako take me to napadlo jeste nez sem psal dotaz, ze bych nahraval pres yt-dlp a paralelne prehraval do null v mpv (ktere zobrazuje nazvy prave prehravane) a parsoval zmeny ty zmeny nazvu a pak to nejak rozsekaval bud rucne nebo mozna pomoci sox, ale....
ad "ID3" mas pravdu nebude to asi ID3, ffmpeg to zobrazuje jako sekci Metadata s nekolika udaji zacinajici "icy-*" a "StreamTitle", umi to ulozit i do vystupu, ale nacte to jen pri spusteni, pri zmene skladby zustava stale to puvodni

Ten format metadat vznikl v dobe ICECAST streaming serveru, jsou to namuxovane data do mp3 streamu.

Pokud ale vadi jenom https, tak se to resi treba lokalnim FIFO, coz vytvori 2 sockety, do jednoho nafeedujes ten https klient, a z druheho konce muzes tahat skrze dekoder. Pokud obe aplikace maj moznost pouzit stdout/stdin, tak je mozne pouzit | operator samozrejme. Ten FIFO se dela jen kdyz se vyzaduej nazev souboru.

Nebo si rozjed nejake proxy co ti z https udela http a ripper pobezi na http://localhost:1234

10

Server / Re:Dell PR8 Device not detected

« kdy: 13. 03. 2025, 11:48:34 »

To je presne duvod proc nepouzivam "brandovane" veci s proprietarnim FW updatem.
Zde je jedine spravne reseni: Obrat se na podporu vyrobce - od toho existuje.

A nejak nerozumim co to je za log cos priplacnul. Ukaz co rika lspci - kdyz se bavime o viditelnosti zarizeni.

11

/dev/null / Ministerstvo nerozumi jak internet funguje

« kdy: 13. 03. 2025, 11:41:56 »

Jsem si precetl clanek:

https://www.idnes.cz/zpravy/domaci/ministerstvo-vnitra-prumyslu-obchodu-kontrola-internetu.A250313_085104_domaci_ikro

A uvadi se tam:

V současnosti poskytovatelé už shromažďují informace o IP adresách uživatelů, tedy odkud se k internetu připojují.
Nezaznamenávají ale, jaké konkrétní stránky navštěvují.
Navrhovaná změna by zavedla sběr tzv. cílových IP adres, což by umožnilo zjistit, jaké weby uživatelé navštívili, včetně času návštěvy a délky strávené na stránce.

V pripade otevreneho DNS, se da zjistit priblizna domena, o kterou mel uzivatel zajem, ale pak uz je vse prece nejlepe HTTPS - a samotne requesty na URL uz nejsou viditelne pro nekoho po ceste. A delku stravene na strance je totalne nemozne zjistit, pokud stranka nema nejaky AJAX co by periodicky bonzoval zda ma uzivatel neco otevreneho.

Totalne nechapu jak si nekdo z vedoucich pozic muze vymyslet takovy pozadavek, ktery nelze splnit.

To je jako kdyby rekli zemedelcum, ze maji kvoty na dodani plodin, rozprostrene zcela identicky v celem roku
Nebo elekrarnam, at nasadi perpetum mobile - prece existuje spousta odborniku skrze volnou energii


Opravdu bych chtel osobne potkat cloveka, co vyplodil tenhle pozadavek. Muzeme ho identifikovat?

12

Hardware / Re:Opravdu pomalý SSD disk

« kdy: 12. 03. 2025, 23:03:39 »

Mimochodem, disky v polich jsou specificky prave predevsim tim, ze maji vsechny tyhle frikulinsky funkce vypnuty, a vsechno si ridi prave pole.

Keep dreaming. Disky v polich jsou obycejne blokove zarizeni.
Ano, nekdy jde o host-managed (zoned storage), ale samotna zona taky prochazi skrze FTL a nemas sanci zjistit na ktere lokaci ve flash je.

Takovej tupej disk, co mu muzete prepisovat jeden sektor dokola a tim ho znicit byl naposledy v dobe USB flashek bez FTL, a nektere prvni mala flash media to fotaku, kde se o wear levelling staral uzivatel - jakmile byla karta plna, tak ji vyndal, zkopiroval a smazal.

13

Hardware / Re:Opravdu pomalý SSD disk

« kdy: 12. 03. 2025, 22:58:32 »

Stejně jako některé modely popsané v paperech pak používají i něco, čemu říkají superblok (skupina bloků v rámci všech plane, které mají stejné ID - relativní umístění v plane) a superpage (všechny stránky se stejným relativním umístěním v blokách, co tvoří superblok).

Tak moje pojeti bloku co se maze bylo tedy "superblock", co se maze (tj skrze vsechny planes). Programuje se pak urcita "page" prislusejici k bloku (ktery to je plane je pak implicitni - ono treba cislovani bloku je sekvencni - kdyz ma cip 2048 bloku na 2-bit MLC, tak sude bloky jsou v jedne plane, a liche bloky jsou v druhe plane).

Tak mozna takle tedy: package -> channel -> die -> E:superblock -> block(@plane) -> W:page -> byte

Paralelizace je mozna klasicky na urovni die. A ted nekdo tohle schema udelejte s V-NAND (a treba zaroven na QLC)

(ty 2/3/4 planes si predstav jako vsechny n-te bity nejake mlc/tlc/qlc bunky .. kazda dalsi plane ma polovicni uroven naboje co se programuje.. ale maze se vsechno)

14

Hardware / Re:Opravdu pomalý SSD disk

« kdy: 12. 03. 2025, 06:14:30 »

Ještě jen k terminologií (aspoň jak ji používám já).
chip -> die -> plane -> block -> page (subpage) -> cell

Melo by to byt s prohozenym block->plane v teto logicke hierarchii.
Protoze BLOCK jde mazat, ale PLANE (u MLC) jen programovat.
SLC cache je v podstate omezeni se na zapis jen do prvni plane.

15

Hardware / Re:Připojení vetšího množství USB kamer

« kdy: 11. 03. 2025, 20:39:50 »

A doplnujici otazka na fungovani USB hubu. Pokud mam kamery USB2 ktere zapojim do USB3 switche a prekrocil bych tim USB2 datovy tok, tak hub toto nedokaze zvladnout a od sebe do PC je prehodit na USB3 a vyuzit vetsi kapacitu. Chapu to spravne?

Existuje jen USB2 zbernice a USB3 zbernice. Mezi nema zadnej hub neprohazuje obsah, vzdy jsou to jakoby 2 huby v jednom.

USB2 se hodi na kamery s kompresi - kde mas napr. 1080p do 50mbit/s, a muzes pripojit par kamer, nez to zbernici saturuje. USB3 je podobne, jen v souctu je toho 5Gb/s.

Co by slo sdilet pasmo "a la ethernet" - tak mozna, kdybys mel 10/20/40Gbit hub, a do nej nastrkane USB3 periferie.

Pouzivas Win nebo Linux?

Pokud jsou kamery/grabbery s kompresi - nedochazi ti spis vypocetni vykon na dekodovani streamu?

Nekomprimovany 1080p ma 1.5 az 3 Gbit/s (25p vs 50p), takze tezko pripojis vice nez 2x25p nebo 1x50p kameru do radice.

A pak - vice radicu je lepsi, ale musis vedet na jake pcie zbernici to visi.. a pokud je to na PCH / FCH, tak to bude zas sdilet pasmo skrze to uzke hrdlo