Příspěvky

Ten notebook ma podla webu (http://h10010.www1.hp.com/wwpc/us/en/sm/WF06a/321957-321957-64295-3740645-3955549-5212912.html?dnr=1) IvyBridge procesor a QM77 chipset.
Jadro 3.2 nema este dobru podporu pre IvyBridge (prave pre graficku cast procesora), takze pri pouziti integrovanej grafiky to mrzne - vid http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=689268. Ak sa integrovana grafika vypne, tak to nemrzne. Pravdepodobne je problem v ovladaci grafiky Intel HD4000.
Novsie jadro by to mohlo vyriesit (udajne od 3.5 to uz nemrzne).

Vyzera to velmi pekne. Zatial som si vsimol:
- Nahladovy obrazok (vo vybere vzhladu) je ten isty aj pre Spacefun aj pre Joy.
- V Spacefun vzhlade ukazuje hore "breadcrumb" navigaciu (Debian fórum » Debian fórum » O tomto fóru » Nové téma vzhledu fóra) - sice to jedno "Debian fórum" je tam navyse, ale aj tak to dava cloveku prehlad, v ktorej casti fora sa nachadza. V teme Joy to nie je (neviem, ci je to zamer, alebo neumyselne).

K dnesku je este 369 RC bugov, z toho 156 ma riesenie "na ceste" alebo su ignorovane, takze zostava vyriesit 213: http://bugs.debian.org/release-critical/other/testing.html.
Podla mna to prv ako za mesiac rozhodne nebude a podla historickych zaznamov na http://bugs.debian.org/release-critical/ (zelena krivka) z toho mozu byt kludne aj 3 mesiace.

Skus radsej pouzit timeoutd: http://packages.debian.org/squeeze/timeoutd
Sam ho nepouzivam, ale podla popisu vie robit presne to, co chces (dokonca este viac, napriklad mozes nastavit dlzku jednej session aj celkovu dlzku sessions za den).
Je v repozitari len pre squeeze, pre wheezy/sid budes musiet skompilovat zo zdrojaku (ale je to velmi jednoduchy balik, takze by to nemal byt problem skompilovat vlastny balik).

Zda sa mi to lepsie riesenie, nez bastlit si nejake vlastne skripty (tie sa samozrejme tiez daju, ale je s tym viac roboty, hlavne ak by si chcel elegantny konfiguracny subor ako je v timeoutd).

Este existuje Gnome Nanny, primarne urcene na "strazenie" deti, ale to je zatial len vo vyvoji, takze s instalaciou by pravdepodobne tiez bolo prilis vela roboty...

testing je na testovanie (ako uz sam nazov hovori). Ak nejde dobre nainstalovat, tak je celkom pravdepodobne, ze je momentalne rozbity instalator.
Ak ti ide hlavne o pouzivanie Wheezy (a nie o testovanie jeho instalatora), tak nainstaluj Squeeze a potom si system upgradni na Wheezy z netu (tj. bez CD). Tak sa vyhnes problemom s instalatorom.

Uplny navod na upgrade najdes tu: http://www.debian.org/releases/wheezy/amd64/release-notes/ch-upgrading.en.html
Ak nemas neinstalovane nejake divociny (ak prave nainstalujes na cisto Squeeze, tak nemas), tak niektore detaily z uplneho navodu nie su potrebne a upgrade urobis zjednodusene asi takto:
1. Najprv uplne upgradni Squeeze (z webu!), aby si mal najnovsie verzie balikov (apt update && apt dist-upgrade)
2. Zmen repozitare v sources.list zo squeeze na wheezy (vi /etc/apt/sources.list)
3. Spusti upgrade minimalneho systemu (apt update && apt upgrade)
4. Upgradni kernel a udevd (apt-get install linux-image-2.6-amd64) a (apt-get install udev)
5. Spusti plny upgrade (apt dist-upgrade)

Samozrejme, aj pri takomto upgrade sa ti to moze zosypat. Alebo sa ti upgrade moze podarit a potom nieco nebude celkom dobre fungovat. Preco? Lebo testing...

Tiez si myslim, ze vyrobcovia su to cim si ich nazval. Lenze oni jednoducho "len" zneuzili situaciu ktora sa zneuzit dala.

Prvotnu pricinu ja vidim v tom, ze IT-guruovia v samych zaciatkoch IT, v casoch ked definovali ze 1B = 8b, tak (asi z lenivosti) definovali ze 1 kB = 2^10B = 1024B. Je to podobne cislo, ale vlastne tomu tiez chyba IT-logika - take 2^8, 2^16 by vtedy boli logickejsie (sirka zbernice), ale to sa nepodobalo na ziadne desiatkove okruhle cisla. Podla mna formulka 1kB = 2^10B vznikla len z pohodlnosti, nikomu sa asi nechcelo paprat s vymyslanim celeho systemu novych predpon, tak si povedali ze to moze byt, ved je to podobna hodnota... lenze pri giga- a tera- uz to robi fest rozdiel, vtedy si to vsimli ti vyrobcovia diskov... a bolo to.

Keby od zaciatku IT zaviedli (a standardizovali) 1 KiB = 2^10 B, 1 MiB = 2^20 B atd., skratka uplne ine prefixy s tym, ze SI predpony v IT nemaju vobec vyznam, tak by sme sa odjakziva ucili len to a vobec by nam to nepripadalo divne. A ani marketingove tahy vyrobcov diskov (ze by oznacovali kapacitu diskov v GiB a potom by zrazu presli na GB) by nevniesli chaos do jednotiek a vedeli by sme hned, kolko to vlastne je.

Teraz je to uz cele pojebabrane. Mozeme o tom polemizovat, mozeme s tym nesuhlasit, mozeme si dokonca pozriet http://xkcd.com/394/ ... ale to je asi tak vsetko, co proti tomu mozeme robit.

Moduly jadra (ako pre nvidia a virtualbox) sa kompiluju automaticky cez dkms. Ale ten potrebuje kernelovske hlavicky (balik linux-headers-xxx).
Zalezi na tom, ako si kompiloval to jadro, ak si to robil "debian way" cez make-kpkg a zadal si spravne targety (je na to navod aj niekde tu na fore), tak by si mal mat aj balik na jadro samotne aj balik na hlavicky. No a pri instalacii baliku jadra by ti same malo spustit dkms a same zistit ake moduly treba prekompilovat s novym jadrom... a myslim, ze pri boote systemu sa dkms kontroluje tiez. Ak ovsem nemas kernelovske hlavicky nainstalovane, tak dkms nema ako skompilovat moduly pre nove jadro, takze tipujem ze tam niekde lezi tvoj problem...

Tuto zhovadilost nastartovali vyrobcovia pevnych diskov, ktori povodne udavali velkosti diskov ako 2^n, ale potom "plynule" (=ticho ako smrad) presli na 10^m. Kedze disk je iny typ zariadenia, je to postupnost blokov, tak tam velkost na mocninu dvoch nie je naviazana (na rozdiel od RAM). Skratka "marketing".

Ubuntu sa v tom iba snazilo urobit poriadok, ked vyhlasili politiku, ze v Ubuntu SI-prefix musi byt vzdy 10^m a "IT-prefix" musi byt vzdy 2^n. Takze by malo byt kazdemu jasne, ze velkost pamate 4 GiB znamena 4 * 2^30 B a velkost diskoveho oddielu 20 GB znamena 20 * 10^9 B... A pokial sa pamatam, tak na disky sa odporuca pouzit SI-prefix, ale aplikacia moze mat volby aj na zobrazovanie v inych prefixoch nez je odporucane, takze si mozes dat zobrazit aj velkost disku v GiB (ale v pripade ze pouzivas 2^30 musi byt za cislom vzdy GiB a nikdy nie GB!). To sa mi zda este ako-tak rozumne riesenie, pouzivat urcity prefix len v urcitom pripade a jasne stanovit, ktory prefix co znamena (vzdy). Samozrejme, ta-ktora aplikacia musi aj podporovat zobrazenie obidvoma sposobmi. Napriklad df ma volbu -H aj volbu -h a po starom ti -H ukaze 20 GB a -h ti ukaze 19 GB, co je fakt chaos (a aby clovek patral po tom, kolko to vlastne je). Podla novej ubuntackej politiky ma -H ukazat 20 GB a -h ma ukazat 19 GiB (a v obidvoch pripadoch je jasne, kolko to je). Takze aj ked Ubuntu popachalo vselico, tuto snahu o vyjasnenie situacie vnimam pozitivne - je to pokus o upratanie toho bordelu, co narobili ini.

Mozno to nie je idealne riesenie, ale neviem, co rozumnejsie sa s tym da robit, ked uz to ti vyrobcovia diskov takto pohnojili... a hnoja to nadalej, konkretne napriklad taky Seagate uplne bez svaru uvadza vo svojich specifikaciach spolu "velkost disku 3 TB a velkost cache 64 MB", pritom su to ine nasobky, kedze cache je polovodicova pamat (a teda nemozu "legalne" oklamat zakaznika tym, ze ju spravia o kus mensiu a budu ju "opticky" vydavat za vacsiu, respektive by na tom nic nezarobili). Akurat dole je potom malym pismom poznamka "One gigabyte, or GB, equals one billion bytes and one terabyte, or TB, equals one trillion bytes when referring to drive capacity", ktoru tam zacali davat az potom, ked ten rozdiel kapacity bol siroko kritizovany (a mozno ich za to v Amerike aj niekto skusal zazalovat).
Ak by sa Seagate drzal Ubuntackej politiky, mali by udavat "velkost disku 3 TB a velkost cache 64 MiB".

Udavat v systeme velkosti diskov tvrdosijne podla stareho IT-stylu (tak to robia napriklad aj Windoze XP), tiez nie je bohvieco. Clovek si kupi "500 GB disk" da ho do pocitaca a hop! system mu ukazuje cislo 465,66 G(i)B... Kua sak ja som si kupoval 500 GB disk, nie 465 GB!!! Samozrejme, ak preferujes mocniny dvoch a trvas na cisle 465, tak proti gustu ziaden disputat. V tom pripade by MATE malo poskytovat moznost volby (ale ak to tam nezahrnuli povedzme z pragmatickych dovodov, tak to je zase ich rozhodnutie).

pri prihlasovani pomoci klice chci byt dotazan na passphrase a to je podle me potreba konfigurovat na klientu.

Odporucam najprv overit, ci passphrase je pritomny v kluci. Ak je passphrase nastavena, v subore s privatnym klucom by mal zacinat takto nejako:

Kód [Vybrat] Rozbalit

-----BEGIN RSA PRIVATE KEY-----
Proc-Type: 4,ENCRYPTED
DEK-Info: DES-EDE3-CBC,blablabla
Ak sa tam nenachadza ENCRYPTED, tak je kluc bez passphrase...

Potom by som skusil vynutit pouzitie prave toho kluca, ktory chces (a tiez pre istotu zakazal toho Kerbera):

Kód [Vybrat] Rozbalit

ssh -k -i id_rsa user@host


No a ked nic nezaberie, tak pouzit este -vvv a vrtat sa v debugovacich informaciach - tam je vidiet, co sa presne pouziva pri autentikacii...

Ja tiez pouzivam pdnsd (sice len na Ubuntu 10.04, ale malo by to byt to iste). Tiez mi to chodi v pohode a ziadne problemy som nezaregistroval.
Preco to nechodi tebe, to netusim, moze to byt nejaka mala somarina, napriklad chybajuca bodkociarka v konfiguracnom subore...

Skus odstartovat pdnsd v debug-rezime z terminalu:

Kód [Vybrat] Rozbalit

# /usr/sbin/pdnsd --debug -v3
Mozno to vypise, co sa mu nepaci pri starte...

Nebolo by nieco spolahlivejsie ako "nechci bejt nepresnej, ale rekl bych"?

Ako som zistil vo VirtualBox-e, instalacia kfreebsd-amd64 na ZFS-root zlyha, takisto to zlyha ak je root ZFS a /boot ufs. Grub2 pritom ZFS podporuje, v grub-shelli sa daju citat adresare a dokonca manualne bootnut jadro (aj ak je /boot na ZFS), lenze potom to aj tak zdochne vo faze mountovania root fs.

Co sa tyka ZFS samotneho, zda sa, ze ide velmi dobre. Ked som nainstaloval kfreebsd-amd64 na ufs root a dal len /home na ZFS pool, isiel ten pool pekne rozsirit na mirror (cez "zpool attach"), dokonca nebolo treba ani umount a pridalo to pekne za behu. Takze z tohoto hladiska by snad islo nainstalovat system len na jeden disk a potom pool rozsirit na mirror.

Je mozne, ze ZFS sa nerozbehne len kvoli chybe v instalatore (nevytvori sa ziadny /boot/grub/grub.cfg, nenainstaluju sa zfsutils a mozno ani nastavene parametre ZFS pool-u nie su idealne, ked to potom nenabehne ani manualnym spustenim z grub shell-u). Bohuzial, kedze s FreeBSD ani ZFS nemam zatial ziadne skusenosti, tak neviem, ake parametre nastavit pre ZFS pool a filesystem a co dat do grub.cfg... UTFG zatial tiez nepomohol :-(.

To ma trosku sklamalo, necakal som prave od stable Debianu, ze skratka nebude fungovat jedna zo zakladnych moznosti v instalatore (kfreebsd-amd64 + root na ZFS). Este je mozne, ze to je sposobene VirtualBox-om, ale zatial to nemozem skusat na realnom serveri, lebo tam bezi lenny so sluzbami pre domacu siet.

Napriek vsetkemu, na tom serveri nakoniec tak ci tak bude Debian squeeze, to mam skratka uz dobre rozmyslene. Ked nie kfreebsd jadro na ZFS, tak linuxove na ext4. Takze rady typu "daj si tam ciste *BSD" mi tiez velmi nepomozu (nehovorim, ze su to zle rady, ale mne sa momentalne nehodia).

Skusal niekto nainstalovat Squeeze s freebsd jadrom, tak aby bol root na ZFS filesysteme, ktory by bol v mirrorovanom ZFS-poole?
Ja som zatial skusil instalator len vo VirtualBox-e, ale nenasiel som tam moznost, ako taky ZFS pool vytvorit.
Pokial sa dobre pamatam, v instalatore Lennyho islo vytvorit RAID1 aj LVM volumes... samozrejme pre freebsd jadro neexistuju ani SW-RAID ani LVM, no ale prave ZFS by mal v sebe mat moznost pouzit mirror alebo raidz - ale v instalatore ponukne rovno vytvorit filesystem ZFS v jednej particii a hotovo :-(

Tak teraz neviem, ci je v Squeeze pre zfs mirror alebo raidz vobec podporovany, a ked aj je, ci je mozne mat na takom poole root (nabootuje z toho Grub2?).
Keby to teoreticky mozne bolo v beziacom systeme, len by to chybalo v instalatore, tak by to snad islo nainstalovat aspon nejakou oklukou (mozno nainstalovat system do inej particie, v nom potom vyrobit zfs pool s mirrorom, potom bootnut z live-CD, prekopirovat root na novovytvoreny mirror a updatnut Grub...)

Mate s tym niekto skusenosti?

v iptables by sa malo dat nastavit to ze aby si kontroloval mac z nejakeho suboru? ze napr : napisem si do suboru vsetky mac a v iptables by sa potom iba dako odvolal na tento subor stym, ze ak tu nieje mac adresa zapisana tak ju zahod alebo nieco take.. priznam sa ze ten prikaz co si tam napisal pre iptables mi vela nehovori :(

Take nieco by nesedelo s principom kernel firewallu. Fakt by si si mal nastudovat tutorial k iptables. V skratke: Sucastou linuxoveho jadra su netfilter moduly, ktore robia filtrovanie siete. To filtrovanie sa deje pomocou pravidiel a tie pravidla nastavuje prikaz iptables. Keby mal kernel citat pravidla zo suboru pri kazdom jednom sietovom pakete, to by asi velmi rychle nebolo, ze? Monitorovanie suboru s pravidlami (ci sa nahodou nezmenili) je tiez na dlhe lakte...

Ak chces mat zoznam MAC-adries v subore, da sa to urobit jednoducho napriklad takto:
1. Jeden subor s MAC-adresami, povedzme meno allowed_macs
2. Jeden skript na aplikovanie firewallovych pravidiel (obsahuje vela riadkov s prikazom iptables, podobny ako napisal lime). Tento skript bude citat subor allowed_macs a nastavi pravidla pre vsetky MAC-adresy. Bude sa volat povedzme firewall_on.sh
3. Zakazdym, ked zmenis subor allowed_macs, musis spustit aj firewall_on.sh, aby sa nastavili aktualne pravidla.

Ked ale nemas nastudovane iptables, tazko sa ti bude vytvarat funkcny firewall_on.sh. Analogicky, kto nema nastudovane zaklady C++, ten tazko vytvori v C++ funkcny program...

kebyze mam byt uprimny vecina linuxakov od ktorych som chcel helfnut sa na mna .... ze nech sa strapim oni sa to tiez museli naucit..
ale ja taky niesom a chcem spracovat navod ktomu a hodim ho aj sem ale to dam len vtedy ked to bude sto percentne.. preto by som bol rad kebyze mam problem a najde sa tu ze daky dobry linuxak aby mi pomohol..

Blbe, co?
A teraz vazne: Myslim, ze v tejto teme tu na fore sa zatial nemas na co stazovat. Za tych par dni odkedy si ju otvoril si uz dostal niekolko odpovedi.
Este by som ti dal vseobecnu radu: Skus lepsie formulovat svoje otazky. Urcite potom dostanes viac odpovedi a aj kvalitnejsich. Napriklad vo svojom prvom poste si napisal "lenze problem u mna nastal ze ked uz chcem konkretne urcite skupinu jedna a skupinu dva tak mi to uz nejde..", z coho som ja usudil, ze ti pridelovanie rozsahov DHCP-serverom nejde podla tvojich predstav - tak som ti napisal priklad konfiguracie, ale tu si nepotreboval... takze si sice dostal odpoved, ale ta ti velmi nepomohla. Skratka ked sa opytas neurcito, tak aj dostanes neurcitu odpoved (alebo odpoved na nieco ine, ako to co ta zaujima).
No a este jedna rada zadarmo (ked uz som sa rozbehol): Skus si po sebe precitat post predtym, ako ho definitivne odosles a oprav v nom chyby. Su k tomu najmenej dva prakticke dovody: 1. Niektori ludia maju problem porozumiet textu pisanemu s preklepmi a gramatickymi chybami. Je to porucha vnimania (podobne ako dyslexia), za ktoru nemozu - skratka zacnu citat text a nerozumeju mu. Nebudu bojovat so svojim hendikepom a lustit to ako hlavolam, skratka to nedocitaju a idu dalej. Oni nepotrebuju odpovedat na niecie otazky, ty si ten co chce odpoved. 2. Ked clovek vidi otazku a v nej je spusta preklepov, vacsina ludi si podvedome pomysli, ze tomu pytajucemu sa asi az tak nezalezi na odpovedi, ked si nedal zalezat ani na otazke.
Aby bolo jasne, toto nebola kritika tvojej osoby, to boli rady.

ale prisiel som na dost velky problem.. ze ked nastavim na pevno ip adresu z ineho rozsahu ako je urceny pre class ziaci napr z rozdahu ip adries pre vysokoslak tak mi aj tak ide net :( a to som si myslel ze ked tam nastavi inu ip adresu tak ze si to dhcp overi ci mac adresa sedi v zozname..ziaci..

Myslim, ze si prave narazil na to, na co som predtym upozornoval: "A takisto niekto moze manualne nastavit IP adresu a obist tak uplne DHCP server." A v tom je ten figel, ze ked si niekto na masine nastavi IP-adresu, tak jeho stroj DHCP-server vobec nekontaktuje. DHCP server teda nema ako a co kontrolovat...

Do iptables ale mozes dat aj pravidla na kontrolu MAC-adries. Ale aj tak potom budes celit dalsiemu uskaliu, na ktore som upozornoval: "MAC adresa sa da sfalsovat (naklonovat)." A takisto, firewall pri vacsom pocte klientov bude dost nabobtnaly a nehodi sa to velmi na dynamicke zmeny.

len nezabudaj nato ze heslo si zaiaci mozu medzi sebou dat

"This is not a bug, it's a feature." To je zakladna vlastnost hesla, ze overuje uzivatela tym, co uzivatel vie...
Ked nedoverujes vysokoskolakom a myslis si, ze daju svoje hesla stredoskolakom, tak potom im mozu umoznit pristup aj inym sposobom. Taketo nieco sa snazit 100% osetrit technickymi prostriedkami je prilis nakladne... Jednoducha hrozba bananu je omnoho ucinnejsia (zistim, ze si dal svoje heslo zobakom - dosurfoval si aj ty). Takisto heslo do proxy nemusi byt samostatne, ale moze byt vyuzite heslo do celej infrastruktury (fileserver, maily atd.) a to uz ma clovek hned zabrany dat niekomu heslo ku vsetkemu.

No ale ked to chces cez dhcp, tak si to tak sprav, ja som ta len upozornil na nevyhody.
Predpokladam, ze mas dhcp3, tak do dhcpd.conf by si mal dat nieco taketo (nekompletny priklad, treba doplnit podla potreby):

Kód [Vybrat] Rozbalit


subnet 192.168.6.0 netmask 255.255.255.0 {
  option routers 192.168.6.1;
  pool {
    range 192.168.6.40 192.168.6.120;
    deny unknown-clients;
    host stredoskolak1 {
      hardware ethernet 00:11:22:33:44:55;
    }
    host stredoskolak2 {
      hardware ethernet 11:22:33:44:55:66;
    }
    # atd, dalsi stredoskolaci
  }
  pool {
    range 192.168.6.121 192.168.6.254;
    deny unknown-clients;
    host vysokoskolak1 {
      hardware ethernet 22:33:44:55:66:77;
    }
    host vysokoskolak2 {
      hardware ethernet 33:44:55:66:77:88;
    }
    # atd, dalsi vysokoskolaci
  }
}

Tym docielis, ze kazdemu priradi adresu z daneho rozsahu (a neuvedenym MAC nepriradi nic).

No a potom na routeri nastavis firewallove pravidla pre jednotlive rozsahy IP a casy. Firewallov je vela a kazdy sa nastavuje inak...