В прошлый роз я писал про замечательный пакет opensc‑pkcs11, в котором есть программа pkcs11-tool, позволяющая работать с USB‑токенами, и в частности, с Rutoken (если скачать и установить нужную библиотеку‑модуль librtpkcs11ecp.so).
Можно использовать USB‑токен как аппаратное хранилище для паролей шифрования, защищенное пинкодом.

А сейчас — о том, как можно использовать USB‑токен в качестве средства авторизации пользователей при входе на сайты.
Но начнем с конца:

Вместе с pkcs11-tool есть в пакете и программа pkcs11-register.
Что она делает — она «учит» другие программы работать с PKCS#11, например, браузеры.

Вот и прошел примерно год с момента начала эксперимента "а что, так можно было?"
Год назад привычный ноутбук был отложен в сторону, а вместо него поднята рабочая машинка на базе процессора с архитектурой arm, точнее aarch64.

И там и там — примерно одинаковый набор ПО, чтобы можно было сравнивать: linux, Firefox, Office, GIMP, vim для работы, видеоплееры фильмы смотреть, ну и всякое разное, никакой особо экзотики, локальных LLM и прочего — для этого есть сервера.

Среда — Wayfire (Wayland) и WindowMaker (Xorg), и так и так.

Железо: одноплатник Allwinner h618 со встроенным видео Mali‑G31, 4 ядра, 1.5Ггц, 4 Гб RAM, 100Мб Ethernet, USB3, HDMI.
Изначально — ТВ‑приставка на Андроиде (Z8 или вот Vontar — обе есть)

Ожидания: это примерно как запуск линукса на кофеварке — добавить ачивку «получилось», реально работать будет невозможно, но интересно попробовать.

Еще не так давно периодическая процедура типа «сдача налоговой отчетности» заставляла нервно дергаться глаз: для того, чтобы сделать это онлайн — нужна электронная подпись на USB‑токене, для того, чтобы работать с USB‑токеном нужно установить специальную программу (широко известную в узких кругах), а для того чтобы установить эту специальную программу — нужен компьютер с Windows.
Да еще у нее может закончиться срок лицензии, и тогда его надо продлевать...

Но что делать, если больше ни для чего мне Windows не нужен нигде и никогда? Держать на полке специальный старый ноубук (который все время мешается)? Завести образ виртуальной машины, который нужно будет в определенное время запускать только ради того чтобы отправить файл?
Да еще периодически обновлять программу, выполнять хотелки типа «нужно установить версию ХХХ не ниже YYY!», бороться со странными багами после установки версии XXX...

Причем, нельзя это сделать где‑то на сервере и работать удалённо — получится ошибка типа «по идейным причинам программа не работает с ключом через удаленный Рабочий стол!»‑ ну как‑то так.
Изволь поставить на свой компьютер и работать лично! Очень «удобно», когда у тебя их несколько в разных местах...

Конечно, для большинства это вообще неактуально, так как они живут в Windows, но я про свой случай говорю, а не про всеобщий.
И вот наконец‑то что‑то изменилось.

Я тут периодически пишу про всякие штуки, с использованием shell‑скриптов и разных linux‑утилит — в частности, чтобы лишний раз продемонстировать, что в линуксе не обязательно требуется «найти программу которая умеет делать ХХХХХ» — во многих случаях у вас уже есть всё необходимое, нужно только знать как использовать.

Вот, например, такая задача. У меня выход в интернет через роутер Keenetic. Роутеры эти неплохие, умеют, в частности, вести контроль работоспособности нескольких подключений, автоматически переключаться между ними.
Отвалилось соединение по каналу А — переходим на канал Б. Восстановилось — переходим обратно. Очень удобная функция.

До недавнего времени работало идеально, в том смысле что всё происходило само собой, и об обрыве канала А я узнавал только из воплей в местном чате.
Но с некоторого времени провайдер Б начал блокировать что не надо, и создавать проблемы на ровном месте, а поэтому потребовалось принимать некоторые меры безопасности.

Но для этого надо отлавливать факт переключения. И как это сделать, если роутер не умеет об этом как‑либо оповещать?

В комментариях к предыдущей статье справедливо заметили, что помнить множество паролей — напрягает.

И ведь действительно так: придумать сложный, запоминающийся пароль, даже в стиле известного «девятнадцать обезьян...» и потом не перепутать, сколько точно было обезьян — это трудно.

И тут я увидел валяющиеся без дела USB‑токены...

Ну, так получилось: один старый, но когда‑то навороченный Aladdin, а другой современный, но простой Rutoken Lite, оставшийся после апгрейда.
Что, если использовать их?

Как и у любого пользователя Андроид у меня есть аккаунт в Гугле.
А значит, кроме всего прочего, есть аж целых 15 гигабайт облачного хранилища, где можно что‑то хранить, на случай всяких внезапных проблем с локальным оборудованием.

Традиционно, для этого используется либо приложение Google Drive, либо веб‑интерфейс. Но ни то, ни другое не очень‑то удобно на компьютере, особенно когда привык просто работать с произвольными файлами, которые куда‑нибудь копируются. И тем более — плохо подходит для автоматизации.

Второй возникающий вопрос — всё, что хранится не в вашем собственном облачном хранилище — в принципе доступно кому‑нибудь не вам. И хорошо, если ваши личные документы читает какой‑нибудь бот, для которого вы — всего лишь один из миллиардов анонимусов, хуже если информация утечет куда не надо и попадет кому не нужно.

Вот эти две проблемки попробуем решить.

В недавней статье об SSL‑сертификатах, точнее, в комментариях к ней, затронули вопрос, который похоже создает для многих головную боль: как обновлять сертификаты от Let's Encrypt? Ведь сертификаты выдаются на 3 месяца, а потом их надо обновлять.

Конечно, есть Certbot, есть софт, который умеет сам получать и обновлять сертификаты — но вопрос возник именно по тому софту, который сам не умеет (а подключить Certbot почему‑то не получается)

Когда‑то у меня тоже возник такой вопрос, и почему‑то не устроил Certbot — не помню уже точную причину. Решил проблему иначе.

В очередной раз в очередной статье попалось упоминание о том, "как запустить docker контейнер без sudo".

В самом деле, можно же сделать так, чтобы вместо ввода пароля просто написать "docker start ..." прямо под пользователем, и всё будет работать.
Для этого достаточно внести пользователя в группу docker любым удобным способом, хоть прямым редактированием файла /etc/group, и сделать это один раз.

А теперь - почему так не стоит делать:

В локальной сети используется локальный named для того, чтобы задать имена для локальных серверов. Все остальные запросы форвардятся на DNS-сервер провайдера и на сервер Гугля.
Ну, можно сказать, стандартная ситуация.

Но несколько дней назад внезапно некоторые внешние DNS-имена перестали ресолвится, вообще. При этом DNS-сервер от Гугля вообще перестал быть доступен.
Однако точно такой же named на удаленном сервере продолжал работать как обычно.

Простое сопоставление A и B как бы намекает, что у местного провайдера что-то сломалось.

-- Это ж-ж-ж неспроста! - сказала паранойя - надо что-то делать!

Если сервер у провайдера ломается, а сервер Гугля внезапно устаревает - надо решать проблему иначе.

Вот хорошая статья https://habr.com/ru/companies/ruvds/articles/912998/, которая напомнила про то, как я себе в доме отопление делал.

Так получилось, что в разное время попробовал почти все варианты - и у каждого из них обнаружились свои нюансы, о которых сейчас и расскажу.

Итак, начало: стройка, дом-коробка, решаем вопрос "как его отапливать?".
Газа нет, с котлами возиться неохота (да что я вам, кочегар, что ли?), про всякие умные штуки типа геотермальных насосов тогда еще не слышали.
Керосиновые и дизельные обогреватели прямого горения в доме - ну то такое, чисто упомянуть, что бывает.
Остается электричество...

Во времена стародавние, когда интернет был почасовой и медленный, жила‑была одна организация.

Организация была большой и развесистой, во многих городах были отделения — и надо было как‑то обмениваться служебками да приказами.

Поскольку понятия «онлайн‑CRM» тогда не существоало как класса — основным способом обмена были электронная почта да FTP.

А что такое электронная почта? Это когда любой‑разный может написать вам письмо хоть от Билла Гейтса, с ценными указаниями, и только вам решать, верить или не верить.

Айтишник хоть в заголовки полезет посмотреть — а простой бухгалтер как?

И вот умные люди тогда приспособили для этого программу PGP.
Это не просто шифрование сообщений — это шифрование с несимметричными ключами: ваш секретный ключ есть только у вас, зато ваш публичный ключ может быть у кого угодно.

Если вы хотите написать человеку — шифруете сообщение для него, его публичным ключом. Если вам хотят написать — шифруют для вас вашим.
А получатель видит потом, кто шифровал и когда — потому что одновременно это была и электронная подпись.

Фразу из названия часто приписывают Б. Гейтсу - не знаю точно, он это говорил или кто-то другой, но это и не важно.

Для тех, кто не застал: когда-то давным-давно, во времена динозавров, лет 35 назад, в компьютерах IBM PC XT под управлением MS DOS программам было доступно всего 640 кбайт памяти.

Не гигабайт, не мегабайт, а всего лишь килобайт. Туда помещались текстовые редакторы, файловые менеджеры, базы данных, бухгалтерские программы, игры, софт для FIDO (типа "электронная почта по модему"), BBS ("сайты"), в общем всё что работало на MS DOS.

Откуда взялась именно такая цифра, 640 кбайт? Дело не только в том, что память в те времена стоила дорого, дело в том, что у процессора Intel 8086 было всего 20 адресных линий.

По мотивам недавних постов, затрагивавших тему графики в Linux — как оно вообще там сделано, и как работает, не углубляясь особо в детали.

Здесь не будет технических подробностей и нюансов настройки — так, чисто обзорно сверху по кочкам.

Зачем? Затем, что, как я вижу, сейчас не все пользователи Linux представляют, что именно скрывается за словами «графическая среда», и чем Gnome отличается от Wayland.

Как часто у вас бывало, что вдруг пришла в голову какая-то идея, или вспомнилось важное дело, или просто надо что-то будет сделать и не забыть - но именно сейчас у вас совершенно нет времени открывать специальную программу, создавать в ней заметку или планировать задачу, раздумывая, куда, как, и главное когда всё это? Нужно просто быстрее записать задачу, хоть как, а подумать можно и чуть позже. Главное - не забыть подумать. Вот для решения этой задачи удалось приспособить телеграм-бота. Вообще-то изначально он делался совершенно для другого, но какая теперь разница, если использовать можно по разному...

Вот попалась статья про метод заметок Цеттелькастен: записывайте мини-заметки, организуйте их упорядоченное хранение - это позволит быстро находить нужную.
Вижу, что-то это мне напоминает...

Полез смотреть в интернете:
немецкий социолог Никлас Лумен, его "ящик-картотека", преимущества метода, возможная польза для IT-шников, программы ведения заметок, графы знаний, универсальные платформы, блаблабла...

Созданы целые системы, пользователи обсуждают их достоинства-недостатки, мечтают о возможности помещать туда не только тексты, но и картинки-аудио-видео...

Что такое криптография - все знают: берем что-то секретное, зашифровываем его - и без ключа никто ничего не прочитает.
Но есть минус: если кому-то очень хочется почитать - вас могут вежливо попросить поделиться ключиком, и отказаться может быть очень сложно.

Что такое стеганография - тоже многие знают: берем что-то секретное и прячем его среди обычного, оно как бы на виду, но если не знать где именно искать - найти сложно.
Тут минус в другом - оно не должно выделяться и бросаться в глаза.

Что, если попробовать совместить одно с другим?

По просьбе некоторых комментаторов "что-то написать самому и выложить на обозрение" - ну вот, написал и выкладываю:

Суть задачи: как, не имея установленного современного Desktop Environment, с Network Manager и systemd, управлять подключением к Wi-Fi сетям без особых проблем?
Усложнение: допустим, у нас к тому же несколько Wi-Fi адаптеров, для одновременного подключения к нескольким сетям.

Легко!
Но для начала - немного о том, "как это работает под капотом" (кому неинтересно - проскакиваем)

Немного шаманства и колдовства, чтобы заставить работать беспроводные наушники без помощи Desktop Environment, особенно когда вы его не устанавливали

У каждого конечно свои приоритеты в плане ПО, но для меня очень важна комфортная работа в консоли. Начиная от использования простых утилит и заканчивая Vim и MidnightCommander.

Знаю, что многие так и не освоили Vim (страшно-непонятно-неудобно-ааа!), а MC вообще путают с NC и DOS - не стану никого переубеждать. Это для меня компьютер, не для них, ведь так?

Уже говорил как-то, что в свое время перешел с Windows на FreeBSD в том числе из-за того, что FreeBSD работала быстрее на том же железе, и не требовалось плясок с бубнами, потому что в общем-то всё что нужно - настраивалось от и до.

Потом Linux - потому что лучше поддержка железа, ну и, в общем, никакого желания возвращаться на Windows уже не возникало.

Но время идёт, и вот последние версии Ubuntu до боли напоминают Windows своей неспешностью и сложнопредсказуемостью. А тут еще желание сделать удобный для работы десктоп из TV‑бокса...

В принципе, нашлась уже готовая Armbian‑сборка под мой TV‑бокс, с уже настроенным десктопом XFCE — но несмотря на то, что XFCE считается «легковесной» — она оказалась недостаточно легковесная, не настолько насколько мне бы хотелось.
Заметно подтормаживали окошки, всё в целом как‑то не так...

А ведь несмотря на свою «маленьковость» — компьютер‑то должен быть неплохим: 4Гб RAM, 4 ядра по 1.5ГГц, когда‑то подобные были вообще за пределами доступности, и ведь тогда «всё работало», и работало быстро, на гораздо более медленном железе.
Что же не так, неужели ARM в принципе тормозные процессоры?

В общем, решил собрать «десктоп» с нуля. Ну, почти.
(всё дальше — за исключением сугубо «железячной» части вполне применимо для любых компьютеров и ноутбуков).