beadm

Valentin Davydov написал(а) к Alex Korchmar в Nov 15 19:05:15 по местному времени:

From: Valentin Davydov <sp@m.davydov.spb.su>

> From: Alex Korchmar <noreply@linux.e-moe.ru>
> Date: Fri, 13 Nov 2015 12:53:47 +0000 (UTC)
>
>VD> Тебе таки не нужно шифровать часть диска, тебе нужно шифровать часть данных
>.
>не-не-не,это не наш путь.
>
>VD> Кстати, а кто кроме коммерческой солярки так умеет? В смысле, шифровать
>VD> данные, а пустое место не шифровать.
>лучше пусть и дальше не умеют. Неужели непонятно, почему?

Если из соображений дать поменьше информации для расшифровки - так
надо весь диск шифровать, а не часть. Таблица разделов тоже кое-какую
информацию содержит.

Вал. Дав.
--- ifmail v.2.15dev5.4

Dmitriy Yermakov написал(а) к Alex Korchmar в Nov 15 20:23:31 по местному времени:

Нello, Alex!

At 09 Nov 15 18:27:26, Alex Korchmar wrote to Andrey Ostanovsky:

AK> -+- ifmail v.2.15dev5.4
AK> + Origin: Demos online service (2:5020/400)

Имей в виду - в r50.sysop от N5020С:

Посколькy все вменяемые сpоки по изменению нодлистовой стpоки пpошли, yзел
5020/400 полyчает заслyженный пpефикс Down.

Если y вас есть с ним линк - пеpелинковывайтесь.
Если какие то пpоблемы - мне в нетмейл пожалyйста.

/dyer

--- QDed beta v1.33.9/FreeBSD

Serguei E. Leontiev написал(а) к Valentin Davydov в Nov 15 22:07:24 по местному времени:

From: "Serguei E. Leontiev" <leo@sai.msu.ru>

Привет Валентин,

От 13 ноября 2015 г., 13:53:39 в fido7.ru.unix.bsd ты писал:
??>> Ну, например чтобы выделить своп и зашифровать часть диска.
??>> Не весь, а именно часть.
??>>
??>> ps:Только не надо рассказывать, что мне этого не нужно...
VD> Тебе таки не нужно шифровать часть диска, тебе нужно шифровать
VD> часть данных. Но пока что фря этого делать не умеет, вот и
VD> приходится шифровать диски. Кстати, а кто кроме коммерческой
VD> солярки так умеет?

Windows EFS так умеет. Mac OS X тоже умеет шифровать отдельных
пользователей.

VD> В смысле, шифровать данные, а пустое место
VD> не шифровать.

Так говорить не совсем корректно. Пустое место, грубо говоря, никто не
шифрует, т.к. в него ещё ничего не записали, а как только записали, то
оно уже не пустое :)

Впрочем, почти всё это шифрование дисков, это ж защита от пионеров.
Точнее говоря, наверное сломанный диск из массива можно более менее
спокойно выкинуть на свалку, но не более того.

Если потенциальный нарушитель сможет дойти до компьютера, то может быть
у Windows с системным ключом на дискете ещё есть шансы что-то защитить.
:) А всё остальное может и лажануться.

--
Успехов, Сергей Леонтьев. E-mail: lse@CryptoPro.ru


--- ifmail v.2.15dev5.4

Serguei E. Leontiev написал(а) к Dmitriy Yermakov в Nov 15 22:51:56 по местному времени:

From: "Serguei E. Leontiev" <leo@sai.msu.ru>

Привет Дмитрий,

От 9 ноября 2015 г., 20:23:31 в fido7.ru.unix.bsd ты писал:
DY> At 09 Nov 15 18:27:26, Alex Korchmar wrote to Andrey
DY> Ostanovsky:
AK>> -+- ifmail v.2.15dev5.4
AK>> + Origin: Demos online service (2:5020/400)
DY> Имей в виду - в r50.sysop от N5020С:
DY> Посколькy все вменяемые сpоки по изменению нодлистовой стpоки
DY> пpошли, yзел 5020/400 полyчает заслyженный пpефикс Down.
DY> Если y вас есть с ним линк - пеpелинковывайтесь.
DY> Если какие то пpоблемы - мне в нетмейл пожалyйста.

Каждый раз выходя из дома следует понимать, что на голову может
свалиться кирпич. Так и здесь, если ФИДО в очередной раз решат угробить,
что с этим сделать?

--
Успехов, Сергей Леонтьев. E-mail: lse@CryptoPro.ru


--- ifmail v.2.15dev5.4

Victor Sudakov написал(а) к All в Nov 15 13:45:00 по местному времени:

Dear All,

05 Nov 15 18:59, I wrote to you:

VS> Все заметили, что sysutils/beadm несовместима с 9.3-RELEASE при том
VS> раскладе файловых систем, которые создает инсталлятор?

Создал PR https://bugs.freebsd.org/bugzilla/sh....cgi?id=204698
Вдруг еще кому интересно.

Victor Sudakov, VAS4-RIPE, VAS47-RIPN
--- GoldED+/BSD 1.1.5-b20110223-b20110223

Victor Sudakov написал(а) к Valentin Davydov в Nov 15 14:08:14 по местному времени:

Dear Valentin,

09 Nov 15 13:41, you wrote to me:
>>
>> VS>> Все заметили, что sysutils/beadm несовместима с 9.3-RELEASE при
>> VS>> том раскладе файловых систем, которые создает инсталлятор?
>>
>> AO> Нынешний инсталлятор - это вообще апофеоз рукожопства: по
>> сравнению со
>> AO> старым, шаг вправо или влево - и нет никакой гарантии, что оно
>> будет
>> AO> работать. Недавно пришлось ставить систему с нуля - обматерился.
>>
>> А мне в целом понравилось, особенно как он лихо на ZFS ставит,
>> включая raidz.

VD> Он умеет при этом не засирать диски всякими GPT и EFI?

Всяко лучше инсталлятора от Solaris 11. Ему говоришь "Ставь ZFS на весь диск", а он каких-то разделов непонятных создает: http://victor-sudakov.livejournal.com/329289.html

То, как ставит штатный инсталлятор FreeBSD, оно конечно не без GPT, но иначе и нельзя и всё объяснимо. Результат его работы такой:

# gpart show md2
=> 34 10485693 md2 GPT (5.0G)
34 222 - free - (111K)
256 1024 1 freebsd-boot (512K)
1280 4194304 2 freebsd-swap (2.0G)
4195584 6289920 3 freebsd-zfs (3.0G)
10485504 223 - free - (112K)

Причем 3-й раздел может быть частью зеркала или даже raidz, и загрузка с этого нормально проходит. Вручную то же самое повторить: http://victor-sudakov.livejournal.com/328562.html

Victor Sudakov, VAS4-RIPE, VAS47-RIPN
--- GoldED+/BSD 1.1.5-b20110223-b20110223

Victor Sudakov написал(а) к Alex Korchmar в Nov 15 14:25:48 по местному времени:

Dear Alex,

08 Nov 15 10:32, you wrote to me:

AK>>> для работы никто_ и _никогда не ставит никакие системы
AK>>> предназначенным для юзера интерактивным инсталлятором. Включая
AK>>> винду и вменяемые линуксы.

VS>> "Никто и никогда" - слишком сильные утверждения. Я например иногда
VS>> ставлю
AK> я же уточнил - "для работы".

Про работу и говорим.

VS>> интерактивным инсталлятором, потому что поставить инсталлятором +
VS>> накатить freebsd-update элементарно быстрее, чем возиться со
VS>> сборкой мира.
AK> у меня мир собран. У всех кто работает - мир собран. По стопиццотраз,
AK> потому что часто проще пересобирать на месте, чем возиться с раздачей
AK> его из другой точки.

Пока ты в Виллабаджо миры пересобираешь, в Вилларибо уже сервер стоит и работает.

AK> И нет, это не быстрее - гораздо быстрее вручную правильно разметить
AK> диск, если еще не обзавелся готовым скриптом, вместо ручного
AK> исправления того бреда, который создает штатный установщик, запустить
AK> сборку и пойти заниматься чем-то другим, машина - она железная, вместо
AK> ручного тыканья в многоэтажные настройки.

Нет никаких многоэтажных настроек. Нынешний инсталлятор FreeBSD нормально ставит за несколько нажатий кнопок, а автоматический layout вполне пригоден для работы (даже под ZFS с BE, о чем я писал в соседнем треде).

Я не спорю, что в некоторых ситуациях бывает удобнее и склонировать (см. ниже
про VMware), но я, видимо, встречаюсь с более широким спектром задач, чем ты.
После появления freebsd-update собирать мир вообще анахронизм. Даже всякие
msfBSD и poudriere не предлагают этого в качестве основного способа. Сейчас даже флешки не найдешь настолько маленькой, чтобы туда нельзя было поставить FreeBSD штатным инсталлятором.

VS>> Винду тоже неоднократно видел, как ставят для работы именно
VS>> интерактивным
AK> я дибилов тоже "неоднократно видел".
VS>> инсталлятором, особенно сервера. Вот однотипные рабочие станции
VS>> да, чаще видел как штампуют с помощью RIS, Ghost и т.п.
AK> это, если ты не в курсе, тоже дибилы. Последние лет десять как. Они
AK> еще и generalize не делают, ага.

Я конечно не специалист по винде, но IIRC RIS сам это делает. А ghost нормальные админы используют (наверное уже использоваЛИ) в комплекте с sysprep.

AK> Кстати, "однотипные" рабочие станции
AK> тоже существуют только в мозгу однотипных дибилов.

Ты бредишь. К нам в филиал каждый год приходит по 20-30 штук совершенно
одинаковых компов, из которых ОИТ делает 20 одинаковых виндовых рабочих
станций. Отличие между ними только в том, что на одном нужен Visio, на другом Автокад, на третьем что-то еще, так это ставится централизованно через политики, а не на этапе разливки однотипных компов.

AK> Вот сервера - те
AK> как раз да, бывают однотипными, и могут иногда делаться просто клоном
AK> (для сервера, живущего в vm или внутри blade orchestration ровно
AK> на время прогона тестов, совершенно не важно, что у него guid
AK> совпадает еще с десятком, а может и не только guid). Но для фри время
AK> подобных применений, наверное, уже давным-давно прошло.

Черт его знает, тот же Микрософт так не считает и предлагает фрю в Azure, и ее поддержку в Нyper-V. Аналогично и многие другие продавцы виртуалок.

VS>> А сейчас у нас в конторе централизованно купили какую-то
VS>> навороченную хрень от Касперского, которая тоже может
VS>> инсталлировать винды (а еще и кофе варить,
AK> aik ниасилен?

Фиг его знает, у MS столько технологий сменилось. Как мне видно со стороны, у нас сперва был осилен RIS, потом WDS, теперь говорят Касперский будет. Для WDS-а еще я делал в PXE:

label WDS
menu LABEL ^4. Windows Deployment Service
com32 pxechn.c32
append wds01-sibptus.sibptus.transneft.ru::boot\x86\wdsnbp.com -W

А Касперского пускай уже прикручивают сами.

AK> Ну да, конечно. ghost наше всьо, привет из XX века.

VS>> похоже). Но вряд ли ради инсталляции штучных серверов кто-то будет
AK> "штучные сервера" это и есть не работа, это на подрочить.
AK> У тех кто работает - уже давно готовы образы. И даже для сильно
AK> нестандартного сервера проще склонировать образ и конфиг поправить
AK> слегка, чем во-что-то там удаленно мышкой тыкать. Потому что какой бы

Я думаю, твоя ошибка в том, что ты абсолютизируешь какой-то свой очень
специфический и узкий (датацентровый?) опыт на всю IT сферу. Уверяю тебя, она
гораздо шире, чем ты думаешь. Вот совсем недавно я наблюдал, как подрядчик
(IMНO какой-то субподрядчик КРОКа) ставит стойки по всей Связьтранснефти. Там
VMware, а в ней домен-контроллеры, Exchange-сервера, файловые сервера с
дисковыми массивами и всё такое прочее. Вполне себе подключают дистрибутивный
сидюк через ILO и запускают штатный инсталлятор виндового сервера. Т.е. на
первом этапе никаких клонов-образов. Потом наверное будут на них как-то настройки распространять, когда заработает до этих серверов удаленный доступ из Москвы. Но на начальном этапе - штатный setup с микрософтовского сидюка.

AK> он там ни был "нестандартный", работать ему придется в стандартной
AK> сети именно этой конторы со стандартными параметрами и принятыми
AK> практиками - а это и есть половина того, что иначе придется делать
AK> руками. Если ими все остальное время в носе ковыряют, то, конечно, так
AK> и надо.

Ну не руками наверное, а powershell-ом каким-нибудь или доменными политиками (в случае винды). В случае фри я разворачиваю архивчик с конфигами или раздаю их по rdist.

VS>> Хотя клонированием тоже пользуюсь, даже не поленился написать
VS>> для себя памятки:
AK> нормальные люди - скрипты пишут.
AK> И присобачивают их к efi/pxe/что-у-них там, чтоб два раза не вставать.

Нормальные люди рабочие скрипты на общее обозрение не выкладывают, а стараются
свой опыт оформлять в виде howto с комментариями. И тем более нормальные люди не берут чьи-то (и даже свои же давнишние) скрипты с ЖЖ или форумов, чтобы тупо их запустить, а стараются понять и запомнить принцип.

VS>> Но это таки дольше, чем инсталлятор.
AK> тогда я даже по ссылкам не пойду, очевидно что там что-то совсем через
AK> жопу. Если у тебя процесс копирования одних и тех же байтов "дольше" -
AK> это в морг.

При чем тут процесс копирования байтов? Мне например иногда проще три раза
нажать кнопочки в штатном инсталляторе, а потом на уже загрузившейся системе развернуть необходимые конфиги из tar или получить по rdist, чем вспоминать, что ставимся мы на da1, а в том скрипте у меня ada0 например или вообще md3.

Хотя вот в VMware я например делаю так: подключаю диск свежесозданной виртуалки
к gmirror-e уже работающей, прямо на ходу. Дожидаюсь ребилда, вывожу диск из зеркала, и у меня точный клон. Не забыть только "rm /etc/hostid" и т.п., но вот на это как раз есть скрипт.

Victor Sudakov, VAS4-RIPE, VAS47-RIPN
--- GoldED+/BSD 1.1.5-b20110223-b20110223