Жили‑были несколько серверов, в разных локациях. Сколько именно — это непринципиально, поэтому упростим, пусть будет два: A и B.

Каждый занимался своими задачами, а между собой они были соединены виртуальной приватной сетью (ну, то, что теперь нельзя называть).
Причем сеть эта использовалась по своему прямому назначению — просто обеспечить передачу локального трафика через публичные сети, дабы посторонние не совали в него свой любопытный клюв.

Однако, с некоторых пор начались проблемы: одна известная организация начала ломать рунет, блокируя соединения то там, то тут.
Сначала заблокировали один протокол — пришлось переходить на другой. Потом заблокировали другой — пришлось переходить на третий.
Третий периодически рвался, потому что начали портить уже соединения между сетями: через одного провайдера канал есть, через другого нет, потом меняются.

Как вы понимаете, нормальной работе это отнюдь не способствовало, пришлось искать какое‑то решение. А ведь оно давно известно — динамическая маршрутизация!
Просто до поры она, казалось бы, совсем тут не нужна — не те масштабы, да и работало всё прекрасно...

А вот кстати еще один способ подключить IPv6, без регистрации у туннельных брокеров, даже если хостер не выдает адресов:

Для обычных IPv4-адресов выделена специальная сеть в формате IPv6, адреса в ней имеют вид 2002:XXXX:XXXX::/48.
То есть, если у вас есть выделенный 1 IP-адрес - считайте, что вам выделена и вот такая сеть IPv6, или 65536 подсетей /64 - просто вам об этом забыли рассказать.

Есть популярное мнение — «дешевые китайские камеры ужасно плохие потому что дешевые! А вот другие — ого‑го!». Ну что ж, вот он я, который пользуется этими самыми дешевыми китайскими камерами: попробую обьяснить почему, ну и немного заглянем внутрь.

В недавней разгромной статье нам рассказали о них ужасные вещи: в них высыхают электролиты, у них запланировано устаревание и больше чем год они работать не могут, и вообще всё плохо. Мягко говоря, это не совсем правда. Но сначала — о чем вообще идёт речь?

Если верить Вики — ipv6 появился раньше, чем я научился соединять два компьютера в сеть, но за всё эти годы, несмотря на всё, нигде, никогда на практике я с ним не сталкивался.
Ну да, есть иногда на интерфейсах какие‑то странные длинные адреса, на какая от них польза и зачем они вообще — совершенно непонятно.

И вот в обсуждениях очередной статьи — очередное «никто почему‑то не хочет использовать ipv6» — так может быть, пора попробовать?

Сразу дисклеймер: тут на Хабре уже есть хорошая техническая статья именно по ipv6, лучше я точно не напишу, но зато напишу, так сказать, с бытовой точки зрения: что мне это может дать и зачем.

Пятница. Вспомнился эпизод из сериала, где ФБР врывается в офис, чтобы изьять у Главного героя флешку с секретными файлами, а он судорожно пытается всё стереть на ней.

А что, если решить задачу иначе?

(дисклеймер: всё ниженаписанное - сляпано тяп-ляп, в рамках теоретического решения задачи, и непригодно к продакшену)

Это начиналось как эксперимент, но показало определенную практическую полезность.
Старый регистратор, переделанный в сетевое хранилище, вот уже год бесперебойно обеспечивает хранение данных.

Всё бы хорошо, вот только диск в нем внутри - единственный, а USB-порты, чтобы подключить больше дисков - медленные.
Кто еще ни разу не слышал, как в один прекрасный день диск вдруг делает "цок-цок-цок" - и больше диска нет? И когда это произойдет - не предскажет никакой SMART: может, никогда, а может - через пару минут.

Во взрослых системах для этого существуют RAID-массивы, с корзинами дисков, гудением вентиляторов и прочими сопутствующими радостями.
Для SOHO тоже придумали такие ящики, со встроенной корзиной - и непременными вентиляторами. Куда ж без вентиляторов?

Захотелось сделать почти такое же, но маленькое и бесшумное.

Так получилось, что у меня в доме давно используются видеокамеры наблюдения.
Сначала это было всего лишь «посмотреть, что там перед воротами», потом — неплохо бы контролировать что делают кошки‑собаки, ну и в общем, получилось довольно много в разных местах.

Много, но недостаточно: например, однажды вышла глупая ситуация, когда закончился пакет корма для собаки, при этом все считали что в кладовке уже лежит запасной, а оказалось — не лежит!

Пришлось срочно ехать в магазин за маленьким пакетиком «не того», пока привезут «тот».
А всего‑то надо было просто заглянуть в кладовку заранее — но это же надо идти туда...

Аналогично — когда нужно просто заглянуть в гараж, например, или еще в какое хозяйственное помещение.

Конечно, камеры там тоже можно повесить, но возникает неожиданная проблема: неудобно смотреть!

В прошлый роз я писал про замечательный пакет opensc‑pkcs11, в котором есть программа pkcs11-tool, позволяющая работать с USB‑токенами, и в частности, с Rutoken (если скачать и установить нужную библиотеку‑модуль librtpkcs11ecp.so).
Можно использовать USB‑токен как аппаратное хранилище для паролей шифрования, защищенное пинкодом.

А сейчас — о том, как можно использовать USB‑токен в качестве средства авторизации пользователей при входе на сайты.
Но начнем с конца:

Вместе с pkcs11-tool есть в пакете и программа pkcs11-register.
Что она делает — она «учит» другие программы работать с PKCS#11, например, браузеры.

Вот и прошел примерно год с момента начала эксперимента "а что, так можно было?"
Год назад привычный ноутбук был отложен в сторону, а вместо него поднята рабочая машинка на базе процессора с архитектурой arm, точнее aarch64.

И там и там — примерно одинаковый набор ПО, чтобы можно было сравнивать: linux, Firefox, Office, GIMP, vim для работы, видеоплееры фильмы смотреть, ну и всякое разное, никакой особо экзотики, локальных LLM и прочего — для этого есть сервера.

Среда — Wayfire (Wayland) и WindowMaker (Xorg), и так и так.

Железо: одноплатник Allwinner h618 со встроенным видео Mali‑G31, 4 ядра, 1.5Ггц, 4 Гб RAM, 100Мб Ethernet, USB3, HDMI.
Изначально — ТВ‑приставка на Андроиде (Z8 или вот Vontar — обе есть)

Ожидания: это примерно как запуск линукса на кофеварке — добавить ачивку «получилось», реально работать будет невозможно, но интересно попробовать.

Еще не так давно периодическая процедура типа «сдача налоговой отчетности» заставляла нервно дергаться глаз: для того, чтобы сделать это онлайн — нужна электронная подпись на USB‑токене, для того, чтобы работать с USB‑токеном нужно установить специальную программу (широко известную в узких кругах), а для того чтобы установить эту специальную программу — нужен компьютер с Windows.
Да еще у нее может закончиться срок лицензии, и тогда его надо продлевать...

Но что делать, если больше ни для чего мне Windows не нужен нигде и никогда? Держать на полке специальный старый ноубук (который все время мешается)? Завести образ виртуальной машины, который нужно будет в определенное время запускать только ради того чтобы отправить файл?
Да еще периодически обновлять программу, выполнять хотелки типа «нужно установить версию ХХХ не ниже YYY!», бороться со странными багами после установки версии XXX...

Причем, нельзя это сделать где‑то на сервере и работать удалённо — получится ошибка типа «по идейным причинам программа не работает с ключом через удаленный Рабочий стол!»‑ ну как‑то так.
Изволь поставить на свой компьютер и работать лично! Очень «удобно», когда у тебя их несколько в разных местах...

Конечно, для большинства это вообще неактуально, так как они живут в Windows, но я про свой случай говорю, а не про всеобщий.
И вот наконец‑то что‑то изменилось.

Я тут периодически пишу про всякие штуки, с использованием shell‑скриптов и разных linux‑утилит — в частности, чтобы лишний раз продемонстировать, что в линуксе не обязательно требуется «найти программу которая умеет делать ХХХХХ» — во многих случаях у вас уже есть всё необходимое, нужно только знать как использовать.

Вот, например, такая задача. У меня выход в интернет через роутер Keenetic. Роутеры эти неплохие, умеют, в частности, вести контроль работоспособности нескольких подключений, автоматически переключаться между ними.
Отвалилось соединение по каналу А — переходим на канал Б. Восстановилось — переходим обратно. Очень удобная функция.

До недавнего времени работало идеально, в том смысле что всё происходило само собой, и об обрыве канала А я узнавал только из воплей в местном чате.
Но с некоторого времени провайдер Б начал блокировать что не надо, и создавать проблемы на ровном месте, а поэтому потребовалось принимать некоторые меры безопасности.

Но для этого надо отлавливать факт переключения. И как это сделать, если роутер не умеет об этом как‑либо оповещать?

В комментариях к предыдущей статье справедливо заметили, что помнить множество паролей — напрягает.

И ведь действительно так: придумать сложный, запоминающийся пароль, даже в стиле известного «девятнадцать обезьян...» и потом не перепутать, сколько точно было обезьян — это трудно.

И тут я увидел валяющиеся без дела USB‑токены...

Ну, так получилось: один старый, но когда‑то навороченный Aladdin, а другой современный, но простой Rutoken Lite, оставшийся после апгрейда.
Что, если использовать их?

Как и у любого пользователя Андроид у меня есть аккаунт в Гугле.
А значит, кроме всего прочего, есть аж целых 15 гигабайт облачного хранилища, где можно что‑то хранить, на случай всяких внезапных проблем с локальным оборудованием.

Традиционно, для этого используется либо приложение Google Drive, либо веб‑интерфейс. Но ни то, ни другое не очень‑то удобно на компьютере, особенно когда привык просто работать с произвольными файлами, которые куда‑нибудь копируются. И тем более — плохо подходит для автоматизации.

Второй возникающий вопрос — всё, что хранится не в вашем собственном облачном хранилище — в принципе доступно кому‑нибудь не вам. И хорошо, если ваши личные документы читает какой‑нибудь бот, для которого вы — всего лишь один из миллиардов анонимусов, хуже если информация утечет куда не надо и попадет кому не нужно.

Вот эти две проблемки попробуем решить.

В недавней статье об SSL‑сертификатах, точнее, в комментариях к ней, затронули вопрос, который похоже создает для многих головную боль: как обновлять сертификаты от Let's Encrypt? Ведь сертификаты выдаются на 3 месяца, а потом их надо обновлять.

Конечно, есть Certbot, есть софт, который умеет сам получать и обновлять сертификаты — но вопрос возник именно по тому софту, который сам не умеет (а подключить Certbot почему‑то не получается)

Когда‑то у меня тоже возник такой вопрос, и почему‑то не устроил Certbot — не помню уже точную причину. Решил проблему иначе.

В очередной раз в очередной статье попалось упоминание о том, "как запустить docker контейнер без sudo".

В самом деле, можно же сделать так, чтобы вместо ввода пароля просто написать "docker start ..." прямо под пользователем, и всё будет работать.
Для этого достаточно внести пользователя в группу docker любым удобным способом, хоть прямым редактированием файла /etc/group, и сделать это один раз.

А теперь - почему так не стоит делать:

В локальной сети используется локальный named для того, чтобы задать имена для локальных серверов. Все остальные запросы форвардятся на DNS-сервер провайдера и на сервер Гугля.
Ну, можно сказать, стандартная ситуация.

Но несколько дней назад внезапно некоторые внешние DNS-имена перестали ресолвится, вообще. При этом DNS-сервер от Гугля вообще перестал быть доступен.
Однако точно такой же named на удаленном сервере продолжал работать как обычно.

Простое сопоставление A и B как бы намекает, что у местного провайдера что-то сломалось.

-- Это ж-ж-ж неспроста! - сказала паранойя - надо что-то делать!

Если сервер у провайдера ломается, а сервер Гугля внезапно устаревает - надо решать проблему иначе.

Вот хорошая статья https://habr.com/ru/companies/ruvds/articles/912998/, которая напомнила про то, как я себе в доме отопление делал.

Так получилось, что в разное время попробовал почти все варианты - и у каждого из них обнаружились свои нюансы, о которых сейчас и расскажу.

Итак, начало: стройка, дом-коробка, решаем вопрос "как его отапливать?".
Газа нет, с котлами возиться неохота (да что я вам, кочегар, что ли?), про всякие умные штуки типа геотермальных насосов тогда еще не слышали.
Керосиновые и дизельные обогреватели прямого горения в доме - ну то такое, чисто упомянуть, что бывает.
Остается электричество...

Во времена стародавние, когда интернет был почасовой и медленный, жила‑была одна организация.

Организация была большой и развесистой, во многих городах были отделения — и надо было как‑то обмениваться служебками да приказами.

Поскольку понятия «онлайн‑CRM» тогда не существоало как класса — основным способом обмена были электронная почта да FTP.

А что такое электронная почта? Это когда любой‑разный может написать вам письмо хоть от Билла Гейтса, с ценными указаниями, и только вам решать, верить или не верить.

Айтишник хоть в заголовки полезет посмотреть — а простой бухгалтер как?

И вот умные люди тогда приспособили для этого программу PGP.
Это не просто шифрование сообщений — это шифрование с несимметричными ключами: ваш секретный ключ есть только у вас, зато ваш публичный ключ может быть у кого угодно.

Если вы хотите написать человеку — шифруете сообщение для него, его публичным ключом. Если вам хотят написать — шифруют для вас вашим.
А получатель видит потом, кто шифровал и когда — потому что одновременно это была и электронная подпись.

Фразу из названия часто приписывают Б. Гейтсу - не знаю точно, он это говорил или кто-то другой, но это и не важно.

Для тех, кто не застал: когда-то давным-давно, во времена динозавров, лет 35 назад, в компьютерах IBM PC XT под управлением MS DOS программам было доступно всего 640 кбайт памяти.

Не гигабайт, не мегабайт, а всего лишь килобайт. Туда помещались текстовые редакторы, файловые менеджеры, базы данных, бухгалтерские программы, игры, софт для FIDO (типа "электронная почта по модему"), BBS ("сайты"), в общем всё что работало на MS DOS.

Откуда взялась именно такая цифра, 640 кбайт? Дело не только в том, что память в те времена стоила дорого, дело в том, что у процессора Intel 8086 было всего 20 адресных линий.

По мотивам недавних постов, затрагивавших тему графики в Linux — как оно вообще там сделано, и как работает, не углубляясь особо в детали.

Здесь не будет технических подробностей и нюансов настройки — так, чисто обзорно сверху по кочкам.

Зачем? Затем, что, как я вижу, сейчас не все пользователи Linux представляют, что именно скрывается за словами «графическая среда», и чем Gnome отличается от Wayland.