Приветствую!

Перед эфиром накопилось несколько вопросов, и так случилось, что во время эфира удалось затронуть отнюдь не все (поэта далеко заводит речь, да). Так что я попробую ответить на остальные. Или отмазаться, чего уж…

Сначала самый популярный вопрос. Настолько популярный, что он был задан в разных вариантах раз шесть, и даже вызвал подозрение, что один и тот же человек, как в анекдоте, пытается уговорить сервер, что пароль рута — «Мао Цзк Дун».

C CentOS на ALT будет тяжело перелезать? В связи с последними событиями с CentOS…

С любого на любой дистрибутив перелезать тяжело. Даже с Убунты на Дебиан. Даже, говорят, с Убунты одной версии на Убунту другой версии.

Дистрибутивы Альт основаны на rpm, но это, пожалуй, единственный внятный инструмент облегчить такую миграцию, и в единственном ключе: если вы используете сторонние rpm-ы (всякую проприетарную блобятину типа zoom или чего потолще), то, скорее всего она заведётся так же, как на центоси. Ну, и вообще на низком уровне собственно администрирования rpm-привычки менять не надо.

Однако чем выше уровень, тем больше в миграции засад — как и везде. Пакетная база у ALT Linux Team своя — тот самый Сизиф, о котором будет ещё вопрос; качестве диспетчера пакетов используется apt (вот так, да); инфраструктурные решения по большей части или основательно адаптированные, или свои.

Таким образом, если вы интегратор, некоторые скиллы во внедрении придётся (пере)отращивать. Опять-таки, как и во всём.

Этот вопрос (именно в этой формулировке, что важно) получает место №3 в рейтинге вопросов))

Следущий вопрос.

Когда придет время чтобы удалить убунту и поставить альт?

Вообще говоря, не хотелось бы, чтобы это время наступило. Просто представьте себе, что должно произойти, чтобы вам пришлось, цитирую, удалить убунту и поставить альт? Я вижу три варианта:

1. Убунта (а скорее Canonical) по каким-то причинам протухнет настолько, что пользоваться ею будет совсем уже никак, и что-то подобное произойдёт с Дебианом, потому что он же ближайший для переползания, так?

Не приведи господь, правда.

2. С Убунтой всё будет хорошо, но по каким-то внешним причинам (сейчас даже неважно, каким именно — импортозамещение ли, вожжа под хвостом какого-то начальника и т. п.) вам придётся удалить привычную работающую (возможно, даже любимую) убунту и поставить альт.

Худшей антирекалмы для Альта я придумать не могу.

3. Вы по каким-то причинам перестанете любить Убунту и начнёте любить Альт, вступите, скорее всего, в Team (без этого любить альт тоже можно, но сложнее)) и станете получать свой fun.

Вот тут я категорически за (fun is the one thing that money can't buy, именно поэтому).

Но это вопрос отнюдь не времени, а ваш лично, вопрос про место в жизни и т. п. Т. е. формально — не ответ на исходный вопрос)

Ещё вопрос.

Интересуют возможности НАТа и маршрутизации, лучше или так же как, например, в дебиане?

Мне кажется, в любом промышленном дистрибутиве всё примерно одинаково сейчас — ядро / iptables / nftables / iproute2 и т. п. у всех общие, высокоуровневые инструментарии типа shorewall — тоже. Я бы на этом и остановился, если бы не два мелких замечания.

Во-первых, лет десять назад я бы прорекламировал  etcnet — собственную подсистему стартовой настройки сети, которая, по сути, просто хорошо распиленная и довольно логично рассованная по конфигам командная строка для всего вышеперечисленного (с сохранением синтаксиса, админы оценят). Но увы, как и всякая система скриптов, etcnet не решает проблем динамического изменения сетевых свойств.

Во-вторых, я весной внезапно и совсем по другому (довольно забавному) поводу отчитал 4 часа лекций на тему именно маршрутизации в Linux, и они показались мне удачными. может, будущей весной целый спецкурс замучу на эту тему.

Очередной вопрос, на этот раз отчасти философский, а отчасти риторический.

Непонятно, почему вы так гордитесь своим репозиторием, который называете «Сизиф». Не могли бы объяснить в чем его инновационность?

Даже не знаю, с чего начать). Единственный в России репозиторий — и очень немаленький — свободного ПО с регулярной выгонкой дистрибутивов, роллингом и стабильными ветками, пригодный для бизнеса и при этом с полным контролем всего ЖЦ со стороны сообщества. И я — член этого сообщества. Действительно непонятно, почему «мы им так гордимся» ? o_O

Ответ на вопрос «почему Сизиф?», кажется мне, очевиден любому, кто представляет себе труд сопровождающего пакет (он же майнтейнер). Если вкратце — ты пилишь-пилишь странноватый апстрим, чтобы софт работал по-нормальному в дистрибутиве, пытаешься что-то объяснять авторам, патчишь и правишь старые патчи (или ребейзишь как проклятый). Затаскиваешь, значит, этот камень в гору. И вот, затащил! Пакет ушёл в репозиторий! А назавтра апстрим выкатывает новый релиз, в котором они придумали какой-то очередной выверт, патчи отъехали, дефолтные конфиги нерабочие — словом, камень у подножья. Вот сизифов труд как он есть!

Что касается инновационности, то воспроизводимую сборку мы практикуем уже лет 15 как, остальные (все остальные, без лишней скромности скажу), конечно, догоняют, но ещё не догнали, потому что мы тоже не стоим на месте. У нес нет и не может быть анметов (неудовлетворённых зависимостей) в принципе. У нас запрещено попадание в репо пакетов, увеличивающих количество неразрешённых функций в масштабе всего репозитория. Довольно много харденинга включено по умолчанию. И куча-куча интеграционных тестов на пакет.

А, да. И самые простые rpm-спеки среди rpm-based дистрибутивов.

Eduard , в ответе на вопрос про миграцию я забыл упомянуть о пожирателе репозиториев и робоферме. Вот тут @cogniter напомнил, что помимо Сизифа есть ещё автоимпорты — это такой склад автоматически собираемых пакетов из разных репозиториев — как линуксовых (федора), так и предметных (CPAN, например). Я сам всем этим обычно не пользуюсь, потому что вместо живых людей в автоимпорты пакеты собирают огромные человекоподобные роботы, и, стало быть, веры им несколько меньше — роботы безынициативны и не до конца вникают в принятое сообществом полиси.

По этой причине они не входят в Сизиф, и я вечно о них забываю, а между тем если ты не майнтейнер ALT и не владеешь ремеслом сборки пакетов, а соответствующего софта нет в Сизифе, бывает полезно  просто взять нужный пакет из автоимпортов, потыкать в его работоспособность (в конце концов, в федоре-то он работает), и поставить. Все Сизифные тесты на нём пройдены, так что некоторая гарантия вменяемости таки есть.

Т. е. возможно именно в миграции с Centos на Альт особенно поначалу, это знание нелишне

А вот и следующий вопрос, причём, честно, я просто по списку шёл, никак на разворачивающуюся дискуссию не ориентировался!

Чем вы лучше Ubuntu/Centos/Astralinux?

Я не очень люблю вопросы вида «чем вы лучше?», потому что это вопрос к евангелистам, а это не я. Ответ из анекдота «Как чем? Чем Ubuntu/Centos/Astralinux!», думаю, тоже никого не удовлетворит (кроме не знающих самого анекдота)).

Я отвечу про себя лично. Я сопровождаю несколько сотен пакетов в Сизифе, причём недавно выяснилось, что практически все — именно потому, что они нужны лично мне. А в несколько десятков (может, больше) я внёс правки непосредственно (часть заапстримлена, часть нет). чтобы реально лучше для меня работали. Лет десять я пользовался для этого BSD/FreeBSD, но стать майнтейнером не получалось. Всё-таки у них там странная дисциплина, с какими-то танцами и поклонами, как в старые добрые времена Hackerdom. Поддерживать собственные патчсеты на всё? А жить-то когда? Пример процедуры приёма в Debian-девелоперы/майнтейнеры, которая может годами длиться и ничем не закончиться, несколько отвращает такого разгильдяя, как я, я бы так не смог. Хотя дисциплнина внушает уважение, да.

А тут прям як на мене шiто — вменяемый и посильный join и — хоба! — всё, что я делю, попадает в репозиторий, но что ещё важнее: не надо делать всё, можно попросить нормальным русским языком товарища из коммьюнити, в рассылке ли, в телеграмке, а иногда и покричать через стол, и опять-таки — хоба!

Это реально самореализация, доложу я вам!

Разумется, я сознаю, что не ответил на вопрос))

Очередной вопрос.

Когда появится адекватная и не в ущерб строгая система защиты аналогичная SELinux?

А вот этот вопрос я хочу переадресовать коллегам из Астры, потому что они как раз впереди всех по части  «систем защиты аналогичных SELinux». Т. е. такая система давно уже появилась, и не одна, некоторые живы, некоторые умерли, (я помню ещё RSBAC, но я не специалист в безопасности).

Вопрос в необходимости культивации такой системы сложный. С одной стороны, SELinux — это только инструметарий, фреймворк для построения
защищенных/доверенных решений, достаточно гибкий, чтобы смоделировать вполне произвольный, в том числе доказуемый, процесс ограничения потока данных более или менее любой логики.

С другой стороны, SELinux и текущая методология к нему разрабатывалась с непосредственной оглядкой на Orange Book (которую я по легкомыслию назвал Red Book в подкасте), и хотя наши РД на эту тему тоже родились не без влияния этого эпохального труда, но есть, очевидно, российская специфика. Возможно, идея поддерживать какой-то свой фреймворк, изначально содержащий в себе эту специфику — хорошая.

Но из свободных инструментов SELinux — самый мощный и широко проверенный.

А вот ежели вопрос был: «Доколе этот ваш SELinux (читай — разработанная система политик для него) будет ломать/портить работоспособность программ и систем?», то тут ответить просто. Любая система мандатного контроля доступа будет что-то затруднять в работе системы общего назначания, особннно основанной на дискреционной модели доступа, и особенно POSIX-like, потому что мандатный контроль всё-таки слегка бесчеловечный, и довольно много взаимодействий IRL формировались без оглядки на него

Список вопросов, которые я не понимаю, или не совсем понимаю:

Почему интерпретатор для Эльбруса, быстрее выполняет код?

Не очень понятно, о чём конкретно идёт речь, что это за интерпретатор и чего он быстрее. Эльбрус — архитектура, основанная на VLIW, то означает, что все (иногда — очень значительные) бонусы производительности обеспечивает не процессор, а компилятор, путём оптимальной загрузки всех вычислительных устройств. Кроме того. архитектура Эльбрус предусматривает аппаратную изоляцию нескольких видов памяти (например, в ней три разных стека для разных назначений), что позволяет существенно легче сертифицировать изделия-спецвычислители, но при недостаточно внимательном подходе приводит к бесконечным копированиям из одной памяти в другую. но опять-таки, я сужу как дилетант.

Планируется ли х64 версии рабочих станций?

Вопрос непонятен совершенно, последние лет — боюсь соврать, пятнадцать? — все наши дистрибутивы собираются под x86_64. Если вопрос, наоборот, в том, планируется ли выпуск i686 дистрибутивов, то пока да, всё ещё есть старая техника и мы не готовы, как Федора взять и прихлопнуть это направление. Тем более, что оно, в целом, есть не просит, и даже работает в некотором роде тестовой площадкой и для 32-разрядных архитектур в целом, и для дикого современного x86_64 кода.

Если же вопрос в том, планируется ли диковинная x64_32 архитектура (это в которой API 64-разрядное, а адресация — 32-разрядная, якобы для экономии объёма кода на адресах), то у нас она была, мы в неё потыкали, и не нашли никаких областей применения.

А вот это наш победитель в номинации «лучший вопрос»!

Напомню, это один вопрос из чатика или из формочки.

1. Расскажите о механизме балансировки кластера
2. Поддержка растянутого метрокластера
3. Как вы работаете с vNUMA
4. vGPU
5. HCI?
6. Чем вас бэкапить (виртуализацию)?
7. Что лучше для виртуализации - NFS, iSCSI, FC, ceph?
8. Есть ли аналог VMware SRM?

Ну, что я могу ответить на этот вопрос :))? Что это примерно часов на 10 говорильни при условии ещё часов 30 ноуледж-диггинга — в моём случае, потому что я буквально ни в чём из этого не спец?

За исключением странного перечня очень разноуровневых инструментов в седьмом, эммм… подпункте этого вопроса (я всё-таки не настолько не спец,чтобы этого не заметить), всё это тянет на серию докладов.

Огромное спасибо, неведомый некто, за такой интерес к нашим продуктам, я уверен, что если вы свяжетесь с подразделением и частью сообщества, которые у нас занимаются виртуализацией, вам точно будет что друг другу сказать!

Следующий вопрос достаточно провокационный, но мне кажется, что я ответил на него тут и тут:

Топ 3 причин перейти с астра Линукс на альт Линукс

Вот это вопрос №2 в рейтинге, я уж прошу прощения у тех, кто не согласен с моим выбором, но просто тема сейчас довольно актуальная. возможно, через полгода я бы уже не стал на нём так останавливаться.

А что там с GPO в AD+Linux. Альт вроде пионер, но на велосипеде.

Я, увы, не до конца в курсе дела, но на сегодняшний день ситуация такая. С одной стороны, серебряной пули нет, о чём свидетельствует, например, аналитика от нашего саратовского подразделения. А это непростые ребята — их реализацию как раз GPO в Samba DC недавно приняли в Samba (точнее, начали принимать, это ж нехилый такой объём кода). И с другой стороны, вот эта интеграция, там ещё шаблоны политик разрабатывают, в т. ч. под Linux (выглядит диковато, но для виндоадминов, на которых наступила миграция — самое то!), и морду для управления (это очень давняя фишка, что вместо M$ AD вполне можно использовать Samba DC + какой-нибудь SoGo + хорошо отполированные костыли, но вот управлять всем этим барахлом до недавнего времени можно было только из специальной приложеньки в винде; а теперь  не только!).  Всё это свежачок: в ролике  я гнусным голосом потралливаю докладчика, что дескать, код выложен, но «добро пожаловать!» нигде не написано, чой-то вы там). Вообще народ, кто в теме — набегайте, а то саратовцы там у себя в кастрюльке что-то варят, а штука-то весьма и весьма нужная может вытанцеваться, если вместе взяться!

И последний вопрос:

Проходил курсы ALSE-1603 (астра линукс) в 2020 году. часто у Лектора возникали ошибки, которые он объяснял кривой сборкой. Как в АЛьт с этим? насколько текущая сборка кривая?

Я больше чем уверен, что вам попался начинающий и/или незаинтересованный преподаватель. Опытный препод всегда умеет обойти почти любую кривизну стенда, уж поверьте.

Лично у меня — на совершенно голубом глазу могу сказать — «кривизна сборки» выплывает крайне редко, но я в некотором роде исключение — одновременно немаловажный майнтейнер в ALT Linux Team, сотрудник «Базальт СПО» и при этом практикующий препод ВМК МГУ, и да, я использую только альтовые дистрибутивы, конечно.

Но я нерепрезентативен, подозреваю.

ВСЁ!

ОТСТРЕЛЯЛСЯ!!!

Жоска =)

Короче говоря господа и дамы, минутку внимания.
Политика, оффтоп, флуд пожалуйста сюда, любые темы, кроме запрещенных законодательством.
Пока закрытая, потом как народ наберётся расшарю
https://t.me/joinchat/Rk46CB6M3_45Y2Ji

На всякий случай сразу сообщу о рождении лайт клодо

Що це таке?

Ответ на очередной срач, за политоту )