Кьютком 0.30.3 ушёл в Сид

04.10.2016 21:34:37

Вроде бы не так давно паковал в учебно-тренировочных целях Кьютком для Дебьяна, глядь! а уже десять лет прошло. Кьютком большую часть этого времени находился в анабиозе, но в конце прошлого-начале нынешнего годов из него вышел, переехал на Гитхаб и отрелизился несколькими версиями. Главное — наконец-то переехал на актуальную версию КуТи. С пакетированием новой версии я откровенно протормозил, и обстоятельства личного плана были против (хотя в январе с Мейнхардом переписывались на эту тему) и Дебьяном на десктопе я прекратил пользоваться довольно давно. Пришлось разводить виртуалку с сидовой версией и собираться в ней.

Последний раз этим пакетом (да и вообще пакетами под Дебьян) занимался шесть лет назад. За это время кое-что поменялось, причём, строго в положительную сторону. Новый формат пакетов (вместо патча просто каталог debian) встречал в сторонних пакетах и ранее, но тут на него перевёл свой пакет. В моём случае это практически никаких изменений за собой не повлекло (у меня и так патчи квилтом накладывались), но с точки зрения прозрачности пакетирования в целом это огромный для Дебьяна шаг вперёд.

Больше же всего поразили изменения в мэйкфайле (который rules), если раньше там надо было очень аккуратно дёргать в правильных местах десятки вспомогательных программок (дебхелперов), то сейчас для простых случаев (а Кьютком не является сильно сложным случаем) достаточно буквально пары строк. Если раньше у меня в файле правил сборки было 66 строк, то теперь осталось семь, буквально, вот таких:

#!/usr/bin/make -f
 
# Uncomment this to turn on verbose mode.
#export DH_VERBOSE=1
 
%:
        dh $@ --buildsystem=cmake

То есть, реальных две. И этого хватает, чтобы корректно сконфигурировать, скомпилировать, поставить и запакетировать всё необходимое.

Разумеется, никуда не делась любимая и ненавидимая одновременно дебьяновская бюрократия, в частности, пришлось внимательным образом просмотреть и поправить копирайты. Но она, как обычно, к лучшему. В итоге, пакет с обновлением готов и уже (спасибо спонсору, Джанфранко Костаманье) был заспонсирован в сид, где его можно и взять.

Caddy

19.09.2016 22:05:33

Вместе с переездом на новый хостинг сменил веб-сервер. Очень давно и долго пользовался Лайти, но его состояние в последнее время вызывает некоторые сомнения (хотя патчи всё же выходят), плюс неплохо бы уже иметь ХТТП второй версии. Главным мотиватором для замены, однако, стало даже не это. Главным стало получить нормальный сертификат для доменов в рамках Летс энкрипта. Инструменты для этого изучал ещё весной, когда они выходили из беты, официальный клиент пугал тем, что он автомагическим образом правит конфигурации, такого я никак не хотел. Остальные варианты, разумеется требовали всякого изучения, настройки и подобного. В общем, до этого так руки и не дошли.

Летом насмотрел Кадди. С одной стороны, ещё более автомагическое решение, с другой стороны, нельзя же проходить мимо такого счастья — делать не нужно ничего, он сам получает сертификаты. Да ещё и написан на Го. Переезд стал отличным поводом, наконец, реализовать эту мысль и, как можно заметить, сейчас сайт по умолчанию работает через https://. Причём, в сочетании со второй версией ХТТП (может, конечно, ещё и хостер новый помог, но не факт) бложик работает как никогда быстро, даже приятнее стало.

Ставится Кадди непривычно, качаем (или, конечно, собираем локально) один файл, кладём в /usr/local/bin, плюс файл для СистемД, чтобы управлять сервисом (тут немного не повезло с Дебьяном, описание пришлось поправить), и всё — можно писать конфигурацию. Синтаксис конфигурации понравился отдельно, текущий вариант у меня чуть перевалил за 30 строк, при том, что большую часть необходимого он мне даёт (ещё пару технических доменов надо восстановить, но это уже мелочи). Особенно удачно получилось с модулем переназначения запросов, то что раньше у меня делалось парой регулярных выражений на 100-150 символов, теперь делается парой строк по 15 символов, поскольку есть очень правильный функционал.

В общем, впечатление позитивное, рекомендую.

Обновился до wheezy

17.11.2013 22:51:12

Сегодня внезапно ощутил необходимость апгрейда сервера, хостящего данный бложик, на Debian wheezy. Домашний сервер апдейтил ещё несколько месяцев назад, а этот и боязно, и времени не очень. Да и апдейтить машины в последнее время не радует совсем, ничего интересного, кроме того, что что-нибудь отваливается. Особенно когда речь о десктопе идёт, только привыкнешь к одним багам КДЕ, как вот тебе уже и новый набор!

Здесь же успел сломаться PHP (allow_call_time_pass_reference и register_long_arrays в php.ini) и особенно интересные ощущения доставила поломка Dovecot (фатально отвалился Sieve, не менее фатально отвалился SSL, плюс общие жалобы на конфигурацию), за почту всегда переживаешь особенно, а тут ещё и починить за три минуты не удалось; однако, в конце сделал полную миграцию конфигурации на вторую версию, судя по внешним признакам, даже работает. В общем-то, оба случая вполне могли бы быть предусмотрены где-нибудь в скриптах или, хотя бы, в мануале, но увы, в мануале из интересного было только про suhosin для PHP, а он у меня как раз и не использовался.

Как обычно, ждём новых удивительных релизов.

Запрещённые слова

06.02.2013 22:37:41

Полтора года прошло с момента обнаружения утечки рутового сертификата компании DigiNotar. В своё время история наделала немало шума, все посуетились, повыпускали заплаток, попрыгали и успокоились. С того времени были ещё схожие случаи, ну да и ладно, тоже что-то патчилось, обновлялось, блокировалось, всё чудесно.

А тут мне понадобилось посмотреть на патчи Debian для openssl и, глядь, вот он, block_diginotar.patch. Заглянул, чисто из интереса, посмотреть и слегка прибалдел. Патч просто-напросто блокирует все сертификаты в поле CN которых содержится подстрока «DigiNotar». Там, конечно, написано, на всякий случай, что «This is not meant as final patch.», но тем не менее, именно оно в стабильном Debian. И даже более того, пользуясь таким отличным примером, аналогичным образом был заблокирован малазийский Digicert.

Технически можно было просто удалить сертификаты из хранилища рутовых сертификатов поддерживаемого дистрибутивом. Можно было, если уж хочется понадёжнее, опереться на отпечаток (хэш) сертификата. Ну уж в самом крайнем случае полный сабжект сертификата, хотя тоже нехорошо. Но вместо этого имеем даже не заблокированные CN, а просто запрещённые слова в CN. На которые, в принципе, можно и случайно наткнуться, а потом долго гадать, почему получается вот так:

rik@sencha:~/CA$ openssl verify -CAfile cacert.pem cacert.pem 
cacert.pem: /O=The Sample Company/L=Metropolis/ST=New York/C=US/CN=No, it's not a DigiNotar
error 23 at 0 depth lookup:certificate revoked

А оно так и получается, если воспользоваться простейшим мануалом по развёртыванию УЦ и правильно угадать с CN.

Что характерно, в той же openSUSE таких костылей нет и аналогичный сертификат живёт без проблем. Интересно, как оно в других дистрибутивах. Может, это у Debian карма такая, с кривым openssl жить?

В чём счастье, Роман?

16.01.2010 10:46:21

Ничто так не стимулирует писательство, как дружеский пинок (чутка подзатянул писание, но). 😀
Читайте далее »

openSUSE

11.01.2010 10:54:20

Ну что ж, основная машинка тоже перешла на openSUSE и можно маленько чиркнуть о том, как я дошёл до жизни такой.
Читайте далее »

Ящер

02.01.2010 23:39:01

Только я подумал, что неплохо бы снести Debian и завести openSUSE. Поставил на рабочий ноут, для пробы. Поигрался. Порадовался. YaST/вылизанный KDE, NetworkManager под четвёртый KDE, шустрит хорошо, все дела. Как она встала колом.

Ползунок загрузки доходит до середины и привет. Уже на этапе KDM с запущенным X. В Failsafe, что самое смешное, грузится. И до определённого момента грузилась нормально в штатном режиме. С чего такая радость, непонятно даже приблизительно.

Продолжаю радоваться свободному софту.

Arora/Rekonq

22.07.2009 21:57:23

В свете недавних дискуссии КДЕ-шников о том, что прикручивать Webkit к Konqueror пока никто не собирается, решил опробовать предлагаемые альтернативы в виде Arora и Rekonq.
Читайте далее »

Очень unstable

21.07.2009 12:34:32

Не успел пожалиться, как вот опять grave bug

Unstable

17.07.2009 21:02:04

Debian в последнее время расстраивает. То потеряют интерпретатор /lib/ld-linux.so.2 для 32-разрядных приложений, то в инструментариях чего-то поломают, что не собирается из OE native пакет, то наглухо поломают dbus (и сразу выясняется, что прогресс настолько прогрессировал вперёд, что без него нынче вообще никак), то выкорчевают /usr/include/scsi/scsi.h в sid прежде чем придёт его новый поставщик из experimental. В общем, полный бардак!

Я, конечно, понимаю, что оно называется unstable, но не с такими же косяками жестокими.

Этак ведь можно обидеться и на какую-нибудь SUSE перескочить, которая с приставкой «open», или на «Убунту» снова.