Вот парочка тонкостей, которые касаются гибернации в ОС Linux:

1. Если своп находится внутри LVM, даже зашифрованного через LUKS, подсистема ядра Kernel Lockdown не даст включить гибернацию, если в UEFI включён Secure Boot. Чтобы всё это добро работало, нужно вынести своп таким образом, чтобы оно было напрямую подвязано к LUKS-контейнеру, без LVM.

2. Гибернация в режиме UEFI Secure Boot работает только внутри зашифрованного LUKS-контейнера. Если своп хранится в незашифрованном виде, подсистема Kernel Lockdown не даст включить гибернацию. Это сделано для защиты от подмены данных, а также от получения данных со свопа извне запущенного с ним экземпляра ОС.

StingrayTV Alice стал ещё лучше - теперь оно уже почти production-ready, с кучей фиксов и улучшений.

В частности:

1. Пофиксил пару специфичных моментов, связанные с получением информации о текущем телеканале (они идут как SSE, поэтому пришлось воспользоваться WebClient для работы с SSE-запросами) - это позволило наконец-то избавиться от торможения запросов к ресиверу, что в свою очередь позволило наконец-то довести приложение до полностью работоспособного состояния.

2. Теперь StingrayTV Alice использует bridge-сеть Docker'а, а для работы с mDNS теперь используется ретранслятор, соединяющий контейнер и mDNS-сеть вместе через выделенный контейнер. Это позволило окончательно разграничить сетевой стек в контейнерах, и улучшить общую безопасность.

Приложение уже окончательно протестировано на моём ресивере, осталось только совсем чуть-чуть, и скоро выйдет первая бета.

Привет, это снова Егор Гаврилов. Сегодня я расскажу, что было сделано за последний месяц в рамках очередного своего пет-проекта - StingrayTV Alice.

Предыдущая статья была вынесена в черновики мной, однако если вкратце, StingrayTV Alice - это попытка интегрировать ресиверы Триколора на базе платформы StingrayTV с сервисом "Дом с Алисой". Это позволяет управлять ресивером через Алису, и интегрировать его в общий умный дом. Проект пережил несколько доработок, и сейчас там используется Keycloak, Spring Boot 4, и другие самые современные технологии. Также было сделано множество улучшений кодовой базы, что позволило избавиться от лишнего кода, и улучшить стабильность и производительность данного гейтвея.

Keycloak: теперь нормальная аутентификация - это реальность

Изначально планировалась аутентификация по физическому присутствию пользователя за консолью сервера. Однако реализовать это достаточно было нетривиально, и поэтому принято решение использовать уже готовый сервер аутентификации - а именно Keycloak. Оно даёт более гибкий контроль за процессом аутентификации, а также является проверенным и готовым решением для реализации OAuth2.

Куча рефакторинга

Проект подвергся обширному рефакторингу - как те, которые я сделал на всех своих пет-проектах (в частности, перевод проектов на Spring Boot 4, а также улучшения по части CI/CD в проектах - теперь там реализован полноценный пайплайн, который обеспечивает высокий уровень консистентности всего цикла), так и постепенная работа над чисткой кода (при помощи самых разных линтинг-инструментов - начиная от встроенных инструментов OpenIDE, и заканчивая SonarQube for IDE и Explyt Spring). Это позволило обеспечить гораздо большую чистоту и сопровождаемость кода.

В частности:

1. Избавились от кривого механизма аутентификации - теперь там самый что ни на есть цивильный Keycloak.

2. Убрали использование Preferences API для хранения нужных ключей для старого механизма аутентификации - Keycloak куда лучше во всём.

3. Мелкие улучшения в кодовой базе - меньше ужаса и треша, больше чистого кода.

Итоги

Проект пережил многое - но теперь оно всё ближе к тому, чтобы можно было использовать у себя дома, безопасно и спокойно.

Мой сайт-резюме
Мой GitHub

Qwen-Code - самая жирная халява. Анлим по токенам, контекстное окно в 1 лям токенов, 4к запросов в день, и всё это бесплатно.

Очередной подгончик от китайцев :)

Я скажу очень крутую "новость" - FidoIP 2.0.4 теперь поставляется с набором изменений из моего проекта FidoIP-NG.

И да - моя нода теперь работает именно на этой версии FidoIP. Я ушёл от jNode 2.x, ибо его сложнее обслуживать, нежели FidoIP 2.0.4 (где используется более-менее стандартизированный набор софта - BinkD, HPT, GoldED+).

Вся история SCO: (ex-Microsoft) Xenix, SCO UNIX/ODT, SCO OpenServer 5, SCO UnixWare 7, поглощение SCO Calder'ой, Дарл МакБрайд, суд против Linux, SCO OpenServer 6, банкротство, UnXis/Xinuos, Definitive, Definitive 2018, суд 2021 года против IBM/Red Hat, Definitive 2018 MP1/UP1...

Может показаться, что это готовый промпт для нейросеток, но на самом деле - это краткая версия всей истории одного из (когда-то) крупнейших разработчиков коммерческих UNIX-систем для x86.

Вышла новая версия XRay-core v25.3.6, одно из самых интересных нововведений которой - возможность обхода блокировок с помощью domain fronting и локального MitM без использования прокси-сервера. Идея domain fronting основана на том, что некоторые сервисы и CDN (например, Google/Youtube, Meta/Facebook/Instagram, а также Fastly, которую используют Reddit и Twitter) позволяют обращаться к своим сайтам и сервисам, передавая разные домены в поле SNI (при установке зашифрованного соединения - это поле видно оборудование анализу трафика и на основании его содержимого принимается решение о блокировке или замедлении) и в поле "Host" HTTP-запроса. Таким образом можно, например, обратиться к серверу "youtube.com" указав в SNI адрес "google.com", в результате чего клиент получит доступ к Youtube, но для стороннего наблюдателя это будет выглядеть как обращение к поисковику.

XRay в новой версии позволяет автоматически производить такие подмены для заданного списка доменов, и таким образом получать доступ к сервисам, страдающим от устаревания оборудования (по мнению РКН) напрямую без замедления и без использования прокси-серверов.

Поскольку при использовании domain fronting сервер будет отвечать сертификатом "подменного" домена, а не того домена, который запросил браузер, XRay так же на лету подменяет сертификаты из ответа сервера на свои самоподписанные с нужным доменом - для этого нужно добавить в список доверенных сертификатов в браузере свой самоподписанный корневой сертификат.

Краткое описание настройки можно найти здесь, а подробный пример конфигурации клиента - здесь.

Лучшие мои посты про Фидонет с удалённого профиля теперь выложено в архив Хабра под ником @Deleted-user.

Сейчас задам один простой вопрос - вы хотите ещё больше контента про Фидонет? Или сделать что-то прикольное - например, про старые дистрибутивы Linux. Или вообще хотите кулсторию про меня?

Я вернулся на Хабр, уже под новым ником @oldzoomer. То удаление аккаунта было моей ошибкой, так как это был один из самых топовых аккаунтов - оно было на 110 месте по рейтингу Хабра, благодаря статьям про Фидонет.

Вышел новый релиз 1.0.2 проекта CFXHTTP, представляющего собой реализацию VLESS-прокси-сервера с Websocket- и XHTTP-транспортами на платформе Cloudflare Pages и Cloudflare Workers.

Pages - бесплатный хостинг веб-сайтов от компании Cloudflare, который кроме раздачи статического контента также позволяет запускать на сервере Javascript-код. Для сайтов на бесплатном тарифе не нужно даже иметь домен, так как CF разрешает создавать поддомены на своем домене pages.dev для пользовательских сайтов.

Таким образом, CFXHTTP позволяет поднять свой прокси-сервер с VLESS используя бесплатный тариф Cloudflare, не потратив на это ни копейки и даже не имея домена.

Инструкция по развертыванию на английском языке здесь, а на китайском здесь (она более полная, можно перевести google translate). Необходимо прописать переменные окружения WS_PATH (или XHTTP_PATH) и UUID и загрузить файлы на сервер Cloudflare. После чего можно подключаться к вашему личному прокси с помощью почти любого клиента на базе XRay. CFXHTTP так же может сгенерировать config.json для подключения к серверу при обращении к определенному URL.

Имеющиеся ограничения:

1. Проксируется только TCP, проксировать UDP невозможно. Соотвественно, не будут работать игры, звонки в месседжерах, и т.д. Если вы используете клиент в режиме local proxy то проблем с конфигурацией быть не должно, если вы используете TUN-режим, то нужно настроить локальный DNS в клиенте для использования TCP (например tcp://8.8.8.8:53) или DoT. Примечание: не используйте 1.1.1.1, у CF есть какой-то баг, связанный с этим.

2. Не поддерживается мультиплексирование (mux.cool) и early data для вебсокет-транспорта

3. Транспорт XHTTP работает только через Workers, для которых нужен домен и для которых на бесплатном тарифе есть ограничение на количество запросов. WS-транспорт работает и с Pages, не требуя отдельного домена.

4. Workers и Pages имеют ограничения на потребляемые ресурсы и время выполнения, поэтому долго живущие подключения (например, при скачивании больших файлов) могут быть принудительно разорваны через какое-то время активности.

5. Как сказал автор, "The more people knows of this script, the sooner this script got banned." Поэтому перед загрузкой файлов на сервер не лишним будет еще раз прогнать js-код через обфускатор и поменять строковые константы на свои.

В остальном же, оно вполне работает. Через Hiddify у меня почему-то не завелось (возможно потому что он основан на Sing-box), через v2rayNG (после конфигурации DNS через TCP и отключения мультиплексирования) заработало без проблем, сайты открываются стабильно и без видимых задержек, сервисы проверки IP-адреса клиента показывают IP из сетей Cloudflare.

См. также: https://github.com/6Kmfi6HP/EDtunnel/ - похожий проект прокси-сервера с использованием Pages/Workers. Поддерживает VLESS и SOCKS5 через Websocket-транспорт, из интересного - умеет перехватывать DNS-запросы по UDP и перенаправлять их на DNS-сервер по TCP.

В комментариях к разным статьям на тему VPN/прокси/итд часто спрашивают, какой заграничный VPS-хостинг можно использовать под это дело, чтобы было очень недорого.

Сейчас уже почти везде начинаются распродажи на Черную Пятницу, Рождество и Новый год, и хостинг-провайдеры здесь не исключение.

Существует очень популярный в узких кругах форум LowEndTalks, посвященный недорогим VPS, и на нем есть специальный раздел Offers: Offers — LowEndTalk

Сейчас там появляется все больше и больше распродажных предложений, например можно найти довольно неплохие VPS за 10 долларов в год (!) с IPv4-адресом.

Кроме того, многие из хостеров, предлагающие свои услуги там, принимают оплату криптовалютами, что позволяет покупать их услуги даже при отсутствии иностранных банковских карт.

И еще приятный бонус - для местных обитателей хостеры предлагают специальные условия, например, часто можно, оставив в комментах свой номер заказа, получить удвоенный трафик, удвоенное место на диске, второй IPv4-адрес, или еще что-то в этом роде.

Postgres Professional представила новую лицензию СУБД Postgres Pro для пользователей «1С: Предприятие».

Клиенты компании теперь могут приобрести СУБД Postgres Pro Enterprise для 1С без включенного первого года стандартной технической поддержки. При этом доступ к обновлениям и новым версиям сохраняется.

По словам компании, такой вариант лицензии сокращает затраты на покупку ПО до 25%.

28 мая Роскомнадзор внес страницы игры «Клуб романтики» в App Store и Google Play в реестр заблокированных сайтов в России. Сайт игры и страница в Steam на текущий момент открыта для посещения, сообщают СМИ.

Причина добавления в реестр не уточняется. Вероятно, причиной стало наличие в игре сюжетных веток с ЛГБТ-контентом.

«Клуб Романтики» — популярная условно бесплатная мобильная игра в жанре визуальных новелл. В App Store игра находится на 18 месте в разделе ролевых игр. В Google Play значится более 10 млн скачиваний.