тогда уж и ClonOS, чьёо)

Кстати да, раз я тут, и тут фряшники. Мне бы фидбеков пособирать про ClonOS, а то релиз так не выйдет ;-)

Ага, надо будет посмотреть.

Кстати, на эдак ~17 году эксплуатации FreeBSD, я впервые заинтересовался софтовым ватчдогом во фре и сделал для себя открытие - ядерная часть ватчдога только тикает, тогда как анализировать тиканье должен юзерленд. Почему-то думал что должно быть наоборот, юзерленд должен общаться с ядром, как это делает с хардварным ватчдогом

ну с чего же, а если бага в ядре, ливлок, там, что юзерленд толком не исполняется?

ну с чего же, а если бага в ядре, ливлок, там, что юзерленд толком не исполняется?

так да, в том то и дело) Может я просто со своей колокольни - я хотел сделать из FreeBSD некую отказоустойчивую прошивку, когда бутовый диск разделен на 2 одинаковых партишена. В какой-то момент времени бутишься только с одной. Когда нужно обновить ядро и базу (я это через FreeBSD base in packages делаю), то обновляется соседний партишен и на него переводятся стрелки через nextboot. Таким образом, если вторичный партишен удачно загружается в multi-user, он становится основным. Если неудачно - то надо нажать reset и автоматом загрузиться в старое окружение

Так-то, если ядро не работает, то и юзерленд как правило - нет)))

Чтобы не нажимать кнопочку ресет, как раз и хотел ватчдог использовать. Но в железные ватчдоги я не сильно верю, под каждый надо исправный драйвер иметь, да и в Embedded это сейчас непросто

Написал просто для себя обратный ватчдог ядром https://github.com/olevole/kwatchdog_kmod

если до мульти-юзера не добраться, то ядро ресетится. Если добирается, то просто модуль выгружается

но я думал, что именно так софтовый ватчдог и должен работать. век живи и тд..

так да, в том то и дело) Может я просто со своей колокольни - я хотел сделать из FreeBSD некую отказоустойчивую прошивку, когда бутовый диск разделен на 2 одинаковых партишена. В какой-то момент времени бутишься только с одной. Когда нужно обновить ядро и базу (я это через FreeBSD base in packages делаю), то обновляется соседний партишен и на него переводятся стрелки через nextboot. Таким образом, если вторичный партишен удачно загружается в multi-user, он становится основным. Если неудачно - то надо нажать reset и автоматом загрузиться в старое окружение

я когда то тоже так думал, а потом beadm и вот это всё и ну его лишнюю трату места :)

я beadm смотрел. Но как там простым методом убедится, что последний снапшот не загрузился до multi-user и автоматически перезагрузившись, выбрать предыдущий снапшот?

если это рабочий комп или сервак, то beadm хватает, а я прошивочку делаю из фри, некая Embedded железка

вот тут посложнее, там надо отправлять beadm activate, а для этого конечно хоть в сингл юзер то но попасть должно

еще beadm зависит от состояния zfs.ko , который может быть неудачным

если какую-то багулину влили в zfs.ko, то как я понимаю, старые снапы не поиметь

только через kernel.old

а у этого, как там picobsd или что в системе то есть, там же такая же система с двумя разделами изначально, неужели никак не отслеживается

еще beadm зависит от состояния zfs.ko , который может быть неудачным

ну тут да, если даже до синглюзера не достучать, то нужно как то снаружи, но тут что то типа bootonce поможет, там кстати для ufs его переписывали и что то вроде про ZFS было

в 11.1 же добавили zfsbootcfg

о так все же через него и решают, зачем тебе вачдог? загрузился успешно, убрал флаг, не загрудился, оно само бутнулось со старого раздела

в 11.1 же добавили zfsbootcfg

о, кстати, а я что то и не тестил, надо глянуть

о так все же через него и решают, зачем тебе вачдог? загрузился успешно, убрал флаг, не загрудился, оно само бутнулось со старого раздела

таки не понял, как оно ресетнется само если например, загрузка встала на невозможности смонтировать фс?

ну так вот, тебе надо только чтоб ресетнулось, а выставлять ничего не надо, упрощает задачу

выставляется как раз только после успешного бута

в худшем случае просто кнопкой

а, ну nextboot это одна строчка. Это ж фряха, можно сделать одну и ту же задачу кучей способов. Меня вполне устраивает + без привязок к ZFS обхожусь, боясь бяки в zfs.ko

если какую-то багулину влили в zfs.ko, то как я понимаю, старые снапы не поиметь

ты обратно на старый zfs и вернёшься после неудачного nextboot

а нельзя clonos обычным пакетом накатить поверх ванильной фри? зачем отдельный образ делать, какие-то патчи накладываются, которых в стоке нет?

буду знать. Мне не хватало только автоматического ресета в случае живого ядра но недогруженности до финала. Да и железка у меня на arm с ограниченными ресурсами

ты обратно на старый zfs и вернёшься после неудачного nextboot

но тот же beadm вроде такому не научили и оно только если руками :)

а нельзя clonos обычным пакетом накатить поверх ванильной фри? зачем отдельный образ делать, какие-то патчи накладываются, которых в стоке нет?

пакета / порта пока нет, но накатить можно, там надо килограмм настроек сделать.

Хочу sh скрипт написать для конвертации FreeBSD в ClonOS)

Хотя у меня все есть в Puppet

всё укладывается в обычный тюнинг и пересборку ядра с vimage?

всё укладывается в обычный тюнинг и пересборку ядра с vimage?

без VIMAGE тоже работать будет, там надо supervisor поставить и nginx сконфигурить

а вот, я ж даже писал телегу: https://clonos.tekroutine.com/installation_on_freebsd.html

просто одно дело стандартным способом ставить ванильную фрю и накатывать секьюрити фиксы потом стандартными фряшными средствами и совершенно другое дело зависеть от чьего-то собранного образа, у которого нет ресурсов следить за секьюрити фиксами

а вот, я ж даже писал телегу: https://clonos.tekroutine.com/installation_on_freebsd.html

не видел этой ссылки раньше

просто одно дело стандартным способом ставить ванильную фрю и накатывать секьюрити фиксы потом стандартными фряшными средствами и совершенно другое дело зависеть от чьего-то собранного образа, у которого нет ресурсов следить за секьюрити фиксами

я хочу и образ делать и порт оформить, тк в образе есть плюс для тех, кто не хочет возиться с настройками ручными

надо попробовать на досуге

но порт надо вливать после хотя бы пары фидбеков. Мне вот сейчас даже негде ее погонять, фряха только у меня на лаптопе ))

надо попробовать на досуге

давай-давай) не хватает фидбека

т.е. оно в проде у тебя нигде не работало?

буду знать. Мне не хватало только автоматического ресета в случае живого ядра но недогруженности до финала. Да и железка у меня на arm с ограниченными ресурсами

rpi?

а репа clonos есть?

rpi?

ага, правда rpi2 пока. Давно пора закупиться третьей

а репа clonos есть?

https://github.com/clonos/cp

ага, правда rpi2 пока. Давно пора закупиться третьей

Есть 1/2/3 - могу проверить

у меня rpi1 тоже есть, включал ее 2 или 3 раза)

Или на оригинальной не взлетит

У меня ещё первая ревизия с 256МБ(

https://github.com/clonos/cp

а где все конфиги и прочее, что тюнится на хосте?

у меня rpib есть первой версии

512m которая

512m которая

Это не самая первая)

У меня ещё первая ревизия с 256МБ(

а я вот не помню какая. У меня еще есть MarsBoard, Cuteboard и еще какая-то плата. Но что с ними делать и зачем я их накупил, никто включая меня не знает

а зачем клонос на arm то?

а где все конфиги и прочее, что тюнится на хосте?

конфиги в SQLite3 в CBSD все

Они потом поняли что 256 ваше мало

а зачем клонос на arm то?

clonos не на арм, прошивку я делаю отдельно от clonos ;)

clonos не на арм, прошивку я делаю отдельно от clonos ;)

А для тех кто мир раз в Джва года и гугл зобанил - в чем особенности?

а... а чего там в прошивку такого хочеш, их вроде https://github.com/freebsd/crochet хорошо билдит, доложил чего нади и опа

crochet хорошая штука, я использовал

что то перестали вроде развивать только :(

ERROR: S client not available

А для тех кто мир раз в Джва года и гугл зобанил - в чем особенности?

прошивку я делаю - просто знакомец хочет сделать бекапное решение, понабрав кучу говнохостинговых дедикейтед и просто поставив микро-NAS-ик, на котором будет загружаться FreeBSD и подгружать ZFS on GELI, шифрование. И использовать как бекап и time-machine. Вот, решил просто ему помочь с безболезненными обновлениями

ох уж эти мечты изврашенцев :)

Я вот кстати незнаю насчет шифрованных разделов. Допустим, есть злой хостер который отдает виртуальные машины клиентам. Клиенты в виртуалке используют криптование диска (по фразе на загрузке). Вот интересно, если злой хостер сделает суспенд виртуалки, из этого спящего говнеца можно ли поиметь информацию? С одной стороны, в состоянии суспенда диск для ОС открытый. С другой стороны, шифрование идет на лету и успешность от атаки тут только в возможности поиметь из оперативки или еще каких-то структур ключ для дешифровки

Кто вот разбирается ) ?

Вероятно, это от реализации крипто диска зависит + может быть в них есть защита от прыжков во времени

Даже если фразы для декриптования хранить в шифрованном свопе, то все равно вроде как тоже самое все выходит - в рантайме система имеет его доступным

Я вот кстати незнаю насчет шифрованных разделов. Допустим, есть злой хостер который отдает виртуальные машины клиентам. Клиенты в виртуалке используют криптование диска (по фразе на загрузке). Вот интересно, если злой хостер сделает суспенд виртуалки, из этого спящего говнеца можно ли поиметь информацию? С одной стороны, в состоянии суспенда диск для ОС открытый. С другой стороны, шифрование идет на лету и успешность от атаки тут только в возможности поиметь из оперативки или еще каких-то структур ключ для дешифровки

При суспенде есть дамп памяти - ключ как нефиг вытащить

Хотя с дедикейтедами тоже суспенд сделать можно, атака не только на виртуалку

со стороны железа дернуть суспенд

Хотя с дедикейтедами тоже суспенд сделать можно, атака не только на виртуалку

Сложнее

Сам дамп считать

с дедиками можно выключить сусенд со стороны ОС, но со стороны биос наверняка есть средства чтобы засуспендить без ОС)

Те, получается, шифрование диска - хорошо для носителя с которым ты загружаешься. Но не для ресурсов, которые размещены где-то где ты не контроллируешь их

с дедиками можно выключить сусенд со стороны ОС, но со стороны биос наверняка есть средства чтобы засуспендить без ОС)

Аппаратный ресет без очистки оперативки и считывание того что там есть?

А вообще там же ME везде

Дырка и вся память и так доступна

Аппаратный ресет без очистки оперативки и считывание того что там есть?

не, не ресет. Я просто подумал, что если в биосы втыкают бекдуры, наверняка там есть средство чтобы засуспендить работающую систему без ОС, как раз для целей расшифровки шифрованных разделов

не, не ресет. Я просто подумал, что если в биосы втыкают бекдуры, наверняка там есть средство чтобы засуспендить работающую систему без ОС, как раз для целей расшифровки шифрованных разделов

ME - бэкдор

На аппаратном уровне

Если захотят - все что угодно сделают

боль

если данные крайне критичные, то в Хецнере даже с GELI видимо лучше не брать)

ни виртуалки ни дедики

если данные клиенту критичны, то покупается стойка/зона в ДЦ, от которой ключи только у клиента, и наблюдение там же от него

ну или тупо свой карцанный ЦОД

если данные клиенту критичны, то покупается стойка/зона в ДЦ, от которой ключи только у клиента, и наблюдение там же от него

это да, я PCI DSS проходил

главное не дать доступа к работающей системе и успеть вовремя послать ей reset ) если кто-то полез грязными руками в твою стойку

в Питере сейчас много таких ДЦ есть, с камерой, смс-ками от открытия двери и тд

Мужики, посоветуйте, у меня сервер на FreeBSD 8.4-RELEASE-p35 (GENERIC), использую его как веб-сервер, работает отлично, но поскольку поддержка 8-ой версии закончилась, то пакеты и порты ругаются, подскажите, как срочно стоит затевать обновление и на какую версию?

есть стойкое непринятие сидения на последней версии софта ?

нет, просто я никогда ещё не менял версию?

я его администрирую удаленно