А там вроде подумали над этим и добавили LoadCredential как вариант.
Но тут конечно уже слишком усложнять нет смысла, просто тот же systemd по поводу запущенных под nobody процессов будет периодически ругаться в syslog: "Special user nobody configured, this is not safe!".
Из интересного: разработчики собирают бинарники под довольно большой круг архитектур, в т.ч. и arm, поэтому hysteria2 можно запускать даже на роутерах (на примере OpenWRT):
root@AC2100:/opt/hysteria# ./hysteria-linux-mipsle version
░█░█░█░█░█▀▀░▀█▀░█▀▀░█▀▄░▀█▀░█▀█░░░▀▀▄
░█▀█░░█░░▀▀█░░█░░█▀▀░█▀▄░░█░░█▀█░░░▄▀░
░▀░▀░░▀░░▀▀▀░░▀░░▀▀▀░▀░▀░▀▀▀░▀░▀░░░▀▀▀
a powerful, lightning fast and censorship resistant proxy
Aperture Internet Laboratory <https://github.com/apernet>
Version: v2.2.2
BuildDate: 2023-11-23T04:58:09Z
BuildType: release
CommitHash: f48a5edd39433f51647c3739e8fed3adae21525c
Platform: linux
Architecture: mipsle-sf
Но вот как там с QUIC, TLS последних версий, это надо пробовать. В теории должно работать, в моем роутере mbedtls quic не умеет, надо собирать отдельно с явной поддержкой.
После установки вам надо определиться со способом указания сертификата и приватного ключа домена: вы можете указать путь к уже имеющимся у вас файлам сертификата или позволить Hysteria автоматически получить (и продлевать) сертификат с помощью установленного скрипта acme.sh, указав домен и почту в файле конфигурации сервера.
не нужны никакие дополнительные acme.sh, hysteria2 уже имеет в своем составе встроенный ACME клиент (о его конфигурации ниже же и написано), абсолютно нет смысла дублировать функционал.
Все что нужно для получения сертификата, это секция "acme" в конфигурации и открытый порт 443/tcp (дефолтный, изменяемый). Для российских доменов нужно изменить параметр ca на letsencrypt, т.к. zerossl отказывается выдавать сертификаты на российские домены (RU точно).
HTTP-аутентификация задаётся так:
в этом блоке 2 типа аутентификации вообще указаны. command это отдельный 3 тип.
Для port hopping при использовании nftables можно использовать redirect в таблице nat, типа такого (при условии что hysteria2 запущена на дефолтном 443 порту и нет разделения на ip4/ip6):
udp dport 20000-50000 redirect to 443
Вы можете указать, какой DNS-сервер использовать для разрешения доменных имен в клиентских запросах.
судя по вопросам на GitHub, указать можно несколько, но использоваться будет только первый, а в случае его недоступности будет использован системный DNS (также он будет использоваться если не задавать dns в конфигурации вообще).
Ну в итоге Hysteria2 выглядит неплохо, работает тоже неплохо.
Но нужен незаблокированный провайдером QUIC (обходится использованием obfs) и лучше всего свой домен на который можно получать сертификат LE, иначе будут пляски с добавлением самоподписанных в доверенные.
РКН баловался блокировкой QUIC точно, блокировал все по белым спискам (vk.com в нем), дают ли еще где-то бесплатно домены - вопрос открытый.
Вот это неожиданно, обычно разработчикам Telegram глубоко плевать на отзывы пользователей по поводу изменений. Соотвествующий issue вообще был закрыт просто, а в итоге…
Я бы и сам хотел найти. Logitech взял последний раз только потому что цена была выгодная из всех вариантов (тупо за счет распродажи).
Единственное, что могу сказать по поводу беспроводной связи - она у Logitech действительно на высшем уровне, никаких проблем с беспроводом (рядом bt, wifi 2.4/5).
Logitech сейчас крайне никому не рекомендую, что мыши, что клавиатуры.
Качество у Logitech очень сильно просело в последние лет 5, и это за такую цену.
Конкретно у мышей: проблемы с энкодером мыши (прокрутка), реже с переключателями (кнопки мыши), ужасное покрытие пластика которое начинает стираться меньше чем через полгода использования, экономия на глайдах (ножках). Это все на личном опыте: G403, G PRO Wireless.
А там вроде подумали над этим и добавили
LoadCredential
как вариант.Но тут конечно уже слишком усложнять нет смысла, просто тот же systemd по поводу запущенных под nobody процессов будет периодически ругаться в syslog: "Special user nobody configured, this is not safe!".
systemd рекомендует использовать
DynamicUser=yes
вместо nobody.Как альтернатива еще есть https://github.com/tnodir/fort
В нем конечно все еще нет режима "Ask to Connect" (есть в simplewall), но так даже немного проще, чем собирать выскакивающие окна на каждый чих.
Да, zerossl или letsencrypt.
Из интересного: разработчики собирают бинарники под довольно большой круг архитектур, в т.ч. и arm, поэтому hysteria2 можно запускать даже на роутерах (на примере OpenWRT):
Но вот как там с QUIC, TLS последних версий, это надо пробовать. В теории должно работать, в моем роутере mbedtls quic не умеет, надо собирать отдельно с явной поддержкой.
Да, только что проверил, работает.
Используется challenge tls-alpn-01.
Еще одно дополнение в конфигурацию:
разработчики рекомендуют запрещать QUIC/HTTP3 внутри прокси, в конфигурации это как раз пример использования ACL:
не нужны никакие дополнительные acme.sh, hysteria2 уже имеет в своем составе встроенный ACME клиент (о его конфигурации ниже же и написано), абсолютно нет смысла дублировать функционал.
Все что нужно для получения сертификата, это секция "acme" в конфигурации и открытый порт 443/tcp (дефолтный, изменяемый). Для российских доменов нужно изменить параметр ca на letsencrypt, т.к. zerossl отказывается выдавать сертификаты на российские домены (RU точно).
в этом блоке 2 типа аутентификации вообще указаны. command это отдельный 3 тип.
Для port hopping при использовании nftables можно использовать redirect в таблице nat, типа такого (при условии что hysteria2 запущена на дефолтном 443 порту и нет разделения на ip4/ip6):
udp dport 20000-50000 redirect to 443
судя по вопросам на GitHub, указать можно несколько, но использоваться будет только первый, а в случае его недоступности будет использован системный DNS (также он будет использоваться если не задавать dns в конфигурации вообще).
Ну в итоге Hysteria2 выглядит неплохо, работает тоже неплохо.
Но нужен незаблокированный провайдером QUIC (обходится использованием obfs) и лучше всего свой домен на который можно получать сертификат LE, иначе будут пляски с добавлением самоподписанных в доверенные.
РКН баловался блокировкой QUIC точно, блокировал все по белым спискам (vk.com в нем), дают ли еще где-то бесплатно домены - вопрос открытый.
https://habr.com/ru/news/771398
Вот это неожиданно, обычно разработчикам Telegram глубоко плевать на отзывы пользователей по поводу изменений. Соотвествующий issue вообще был закрыт просто, а в итоге…
Никак: https://github.com/telegramdesktop/tdesktop/issues/26983
Собирать бинарник самому со старыми ресурсами из 4.10.2, скорее всего только это поможет.
Трей весь раскрыт всегда, привычка. То что можно отключить внутри ПО итак отключено.
Спасибо им конечно за новую иконку, но теперь у меня в трее 2 самолетика:
Не вижу возможности старую иконку вернуть :(
В смысле нет? Долгое удержание дефиса что на ios, что в gboard на Android дают на выбор все три варианта.
https://old.reddit.com/r/LifeProTips/comments/1tcwaf/lpt_hold_down_ctrl_key_when_in_task_manager_to/
Но все лавры ушли "эксперту Microsoft".
https://torrentfreak.com/google-now-censors-the-pirate-bay-isohunt-4shared-and-more-111123
он фильтрует/цензурирует выдачу по нему, еще с 2011 года видимо.
а точно в ubuntu?
Существует pop_os!, основанный на ubuntu, где поверх GNOME как раз навешан тайлинг. Не без проблем конечно, но работает вполне хорошо.
Я бы и сам хотел найти. Logitech взял последний раз только потому что цена была выгодная из всех вариантов (тупо за счет распродажи).
Единственное, что могу сказать по поводу беспроводной связи - она у Logitech действительно на высшем уровне, никаких проблем с беспроводом (рядом bt, wifi 2.4/5).
Logitech сейчас крайне никому не рекомендую, что мыши, что клавиатуры.
Качество у Logitech очень сильно просело в последние лет 5, и это за такую цену.
Конкретно у мышей: проблемы с энкодером мыши (прокрутка), реже с переключателями (кнопки мыши), ужасное покрытие пластика которое начинает стираться меньше чем через полгода использования, экономия на глайдах (ножках). Это все на личном опыте: G403, G PRO Wireless.
Судя по иконке корзины и мышке Sun, это Solaris 10 с JDS.