Category: отзывы

Category was added automatically. Read all entries about "отзывы".

Cat-light

За что я не люблю CentOS

Прежде всего — за безголовое управление кривой инсталлятор. Смотри скриншот справа ради получения лулзов. А если серьезно, то:


  • в "полновесном" ISO-шнике нет опции удаленной SSH-установки в текстовом режиме (как в Debian-е режим "remote console");

  • в режиме "minimal install" он не ставит ну совсем вообще ничего, даже tar-а;

  • почему-то нельзя сделать swap-раздел перед root-разделом (и это от версии к версии так, wtf?).

Это только по инсталлятору. По софту.

То, что он там зело тухлый, промолчу, спишем на дизайн и "стабильность". Но! Нужно постоянно подключать тонны каких-то сторонних или условно-сторонних репозиториев. Какие-то там "EPEL", "CONTRIB" и прочие. tar лежит в одном репозитории, pv и 7z — в другом. Postgres ставится из третьего места, расширения для него — из четвертого. Блин, что за бред? Не, в Debian-е тоже есть подобные приколы, связанные в основном с его замороченностью на бесплатности и GNU-танутости. Только там один раз прописал в sources.list заклинание "main contrib non-free" ещё на этапе инсталляции и забыл. А тут вечно какой-то головняк.

Collapse )
Cat-light

Коллективные паролехранилки

Встал выбор коллективной паролехранилки. Чего хотелось бы в идеальном мире.


  • Только self-hosted (обязательное требование).

  • Предпочительно бесплатная.

  • Удобный интерфейс.

  • Пригодная к использованию теми, "у кого лапки".

  • Возможность раскладывать пароли по папкам и метить их тегами.

  • В идеале — возможность искать в базе не только по названию item-а, но и по логин / URL / Notes.

  • Наличие плагинов для браузера является плюсом.

  • Если к ней до кучи прилагаются мобильные приложения — это вообще фантастика.

Из всего, что я видел, самым удобным вариантом является, как ни странно, связка pass+git с обвеской "по вкусу". Но, увы, у такого варианта есть три существенных недостатка.


  • Не подходит тем, "у кого лапки".

  • Сложно разграничивать "кому куда можно".

  • Все имеющиеся пароли по умолчанию хранятся локально на всех устройствах, хоть и в зашифрованном виде.

То есть, это больше подходит для расшаривания персонального паролехранилища между несколькими разными точками (домашний комп, рабочий комп, планшет, телефон и т.п.). А вот для коллективного использования не особо приемлемо.

Что лично я тестировал именно из коллективных.


  1. TeamPass. Интерфейс средненеудобный. Тестировал давно, тогда он использовал в качестве бэкенда MySQL и не шифровал ничего кроме собственно паролей. Управление правами очень неудобное. Выкинул ф помойку.

  2. Thycotic. Помню, как-то давно попросил у них триалку. Потыркался туда-сюда. Какое-то глюкалово. Тоже давно было. Уже не помню что именно не взвелось, помню что с матюгами тоже выкинул.

  3. PassBolt. Интересный проект. Но с точки зрения usability не понравился. Группировки по папкам только обещают сделать, да ещё и в платной версии.

  4. BitWarden. Какое-то монструозное чудовище, написанное на C#. Поставляется в виде докера, тащит за собой какое-то нереальное количество всякого г...на в зависимостях, жрёт системные ресурсы как корова веники. Сразу ну нах.

  5. Padloc. Просто какое-то глюкавое г...но на NodeJS писаное. Даже и написать-то про него особо нечего.

  6. SysPass. Примерно из той же серии, что и TeamPass. Тоже шифрует только пароль и тоже дико неудобный. В пень.

  7. Psono. Очень интересная штука. Python + PostgreSQL. При беглом тестировании явных косяков замечено не было. Usability в порядке. Единственное что не понравилось — умеет искать только по названию item-ов, но не по их содержимому. То есть найти запись по логину или комментарию, например, не получится. Зато официально бесплатная в community-редакции и для предприятий с численностью сотрудников не более 10 человек.

  8. Passwork. Прикольная штука. PHP + Mongo. Странный выбор бэкенда, но да ладно. С точки зрения usability понравилась вообще всем. Есть и теги, и папки, и поиск по любому полю объекта, и разграничение прав, и интеграция с LDAP. Единственный недостаток — кусачая цена. 50 килорублей на 50 пользователей. Правда, "навсегда".

В-общем, если фирма расщедрится, то наверное всё-таки купим Passwork. Если не раскошелится — то поставим Psono. Всё остальное из прощупанных совсем неприлично грустное.

Комментарии? Поправки? Дополнения?

Lynx

Вход здесь

Не спрашивайте, зачем я полез искать это место на Яндекс.Картах. Но как услужливо он (Яндекс) нарисовал мне вход в здание, просто поражает.

Также можете почитать отзывы об организации. Они доставляют отдельно. А ещё там рядом есть датацентр. Никто не хочет в него "встать"? Говорят, электричество с атомной электростанции даёт +20% к вычислительной мощности потребляющих его серверов. Но это не точно.

Cat-light

Помацал Ubiquiti UniFi

Не понравилось.

Как всегда, продолжаю решать долбанутые задачи. Есть условно-моя офисная сеть. Есть сеть организации-контрагента. Надо их состыковать, чтобы из моей сети попадать во "вражескую". Но поскольку IP-адресация пересекается, приходится NATить (знакомо, да?). Каналообразующее оборудование предоставляет контрагент, я от него получаю RJ-45 порт в своём шкафу, остальное меня не волнует.

От предыдущего админа досталась железяка с пафосным названием "Ubiquiti Security Gateway Pro 4". По некоторым причинам она оказалась никому не нужна, другой всё равно нет, так чего бы не сделать из неё NAT? Ага, щаззз, разбежался...

Стоит она каких-то неразумных денег. Внутри самый обычный Linux 3.10 крутится на MIPS-процессоре. Но ты не можешь просто так взять и настроить его так, как тебе нужно. Потому что все эти iptables-iproute2 обёрнуты в проприетарный шелл со своим ни на что не похожим странным синтаксисом и командами. А в веб-морде нет никаких настроек от слова "совсем".

Производителем предполагается, что сразу после включения ты заводишь этот USG4 в общую "экосистему" под управление централизованного контроллера и выполняешь все настройки через него. При попытке зайти по SSH тебя прям сразу большими буквами недвусмысленно предупреждают: "всё что ты щас тут будешь настраивать, неизбежно похерится сразу после подключения роутера к контроллеру". Вашу ж мать... ну ладно, значит не будем подключать.

А этой самой "экосистемой" в принципе не предусматривается, что у тебя в сети может существовать больше одного этого самого Gateway-я. И что он не будет являться default-ным. Поэтому подключив ("adopt") его к контроллеру, я рисковал положить к чертям вообще всю сетку. Потому что за выход в интернет и глобальную маршрутизацию там отвечает как бе совсем другое устройство. И смена default gateway на клиентах явно ни к чему хорошему бы не привела.

Пришлось изучать этот самый корявый синтаксис и азы идеологии. Блин... у микротиков и то логичнее, хотя всё оно есть суть сорта одного и того же г...на. В итоге я за пару часов настроил, конечно. Но нет, больше не хочу. Мне уже цисок "выше крыши" хватило с их "nat overload", инвертированными масками в ACL-ях и невозможностью добавить на физический интерфейс ip-адрес с маской "/32". Еще и эту ubiquit-евскую е**нину в голове держать — ну на**й.

Контроллер тоже какой-то чудесатый. Взял ноутбук, спустился на соседний этаж. Примостился на подоконнике в одном метре от ближайшей точки доступа. Но нет, бесшовное переключение на неё почему-то не состоялось. Сигнал "одна палка", работаю ни пойми через что. Нафиг так жить?

Короче говоря, весь этот Ubiquiti — для мамкиных одминов, которым хочется красивую веб-морду и чтоб без особых умственных усилий построить простенькую одноранговую сеточку с выходом в интернет. Шаг вправо, шаг влево — всё, тушите свет, сливайте воду. Для SOHO слишком дорого, для Enterprise — совершенно бесполезно. Не знаю даже на кого оно всё рассчитано.

Осталось теперь только где-нибудь пощупать TP-LINK Omada. Так, чисто для общего развития. Чтоб знать какие в принципе бомжвейные решения бывают и насколько они кривые.

Cat-light

Ещё про менеджеры паролей

Поисследовал я ещё немного на тему хранения и синхронизации списка паролей между разными устройствами. Внезапно всё оказалось очень грустно.

Мои требования.


  1. OpenSource.

  2. Self-Hosted.

  3. Наличие приложений для iOS, Android, плагины для FireFox, Chrome.

  4. Прозрачная синхронизация между ними.

  5. Шифрование всей инфы, а не только паролей.

Так вот, данный список почему-то оказался на момент написания этого поста практически невыполнимым. Большинство производителей софта не дают серверную часть, многие хотят денег, причем ещё и по подписЬке. Кто-то клянчит за саму возможность синхронизации отдельное бабло, и так далее.

Ближе всего к тому, что мне хотелось бы, подходят следующие продукты.


  • BitWarden. Но какой же он, сцуко, тяжелый и жирный (смотри предыдущий псто). Склоняюсь к мысли, что я его всё-таки снесу на хрен с такими системными требованиями.

  • Как ни странно, самый обычный KeePass и его клоны типа KepassXC. Единственное неудобство заключается в том, что для синхронизации паролей с яблоками (iPhone, iPad), требуется каждый раз их подключать проводом к компу. Я в курсе про SyncPass, но реально он не работает.

  • Относительно молодой, но весьма интересный и перспективный проект под названием "PassBolt". Обещают до конца года запилить мобильные приложения. Посмотрим. Надо будет вспомнить про него попозже и поглядеть. Если действительно сделают, должно получиться очень круто. Жаль, его не существовало в те далекие времена, когда мы с коллегами коно****ись с TeamPass-ом (вот чего точно никому не посоветую).

  • Самое главное и ну совсем внезапное. Народ тупо хранит зашифрованные GPG-ой текстовые файлы и синхронизирует их между устройствами через Git. Причём под это дело написано какое-то огромное количество утилит, приложений и прочей обвязки на любой вкус. Unix-way, так сказать. Приложения под Android и iOS тоже есть. Настройка подо всё кроме винды совершенно не сложная. Больше инфы есть на сайте Passwordstore.org. Оттуда можно походить по ссылкам и посмотреть что как делается в зависимости от конкретной платформы.

Вот последний способ меня люто порадовал. Благодаря Git-у "из коробки" идёт даже "командная работа". Можно тупо создать отдельный репозиторий и расшарить его с тем, с кем считаешь нужным. Для удовлетворения паранойи репозиторий можно положить поверх eCryptFS. А синхронизация идёт поверх SSH, куда можно логиниться в том числе и SSH-ключами.

Единственное, как я уже упомянул, под виндой возникает некоторый трах-тибидох, связанный с настройкой и запуском GPG2-агента. А в остальном, всё то же самое.

Ещё беспокоит момент, что у меня, например, уже около 1000 разных паролей. Философия хранения рекомендует на каждый сервис заводить отдельную папочку, логин-пароль класть в один файлик, а сопутствующую инфу — в другой. Я вот думаю, файловой системе от такого плохо не станет? По идее, конечно, не должно. Еще плохо, что по понятным причинам нельзя проводить поиск по содержимому этих файлов. То есть, требуется очень аккуратно и вдумчиво придумывать имена файлам и папкам при их создании. И то, всё равно может оказаться неудобным. Потому что я, например, дюже привык в том же KeePass-е искать нужный пароль по комментариям.

Короче, буду пробовать постепенно переползать с KeePass-а на вот эту "убер-технологию". Посмотрим что из этого получится. Или не получится. Потом расскажу. Если доживу.

Cat-light

Видеонаблюдение: субъективные впечатления от камер

Наверное, последний пост из цикла про видеонаблюдение. Расскажу о своих личных чисто субъективных впечатлениях от видеокамер различных брендов.

Свою домашнюю систему я строил из того, что было легко купить на каком-нибудь Avito. Или того, что досталось мне нахаляву. Поэтому мой псевдо-обзор никак не может претендовать на объективность. Но тем не менее. В мои шаловливые ручки попали: Acti D22V, Dahua IPC-HDBW-5200, Axis P3214-V. Все они уже давным-давно морально устарели и сняты с производства. К тому же это агрегаты разных классов. Сравнивать их будет не совсем корректно, но тем не менее какое-то представление получить можно.

Collapse )
Cat-light

Кажется, я нашёл замену скайпу

Вот эту: https://jitsi.org/

Типа система для видеоконференций и чатов на базе WebRTC. Внутри используется NodeJS / Java. Для авторизации / интерконнекта пользователей применяется XMPP-сервер. "Из коробки" они предлагают Prosody, но вообще технически подойдёт любой, поддерживающий BOSH.

Важной чертой является то, что когда в конференции участвуют ровно два собеседника, то RTP-трафик гоняется между ними напрямую, минуя сервер. Даже если они оба находятся за NATом. Исходный код открыт, можно хостить у себя, можно допиливать по своему вкусу.

Я ради академического интереса поднял эту штуку на своей вируталке. Потестировал. Впечатления остались весьма приятные. В принципе, есть всё что надо и нет ничего лишнего. Можно даже расшаривать свой рабочий стол или отдельное окно на нём. Единственная ложка дёгтя: в peer-to-peer режиме оно не даёт настраивать качество / разрешение видео. Либо "максимум", либо "только звук". Теоретически, это можно установить в настройках самой веб-камеры, что есьм некоторый геморрой. Подозреваю, что такое ограничение вызвано отсутствием возможности транскодирования видеопотока средствами браузера.

Ещё небольшой подставой является то, что "из коробки" оно заводится в режиме "заходи кто хочешь, делай что хочешь". Как бе есть возможность аутентификации пользователей в том числе и по JWT-токенам, но это всё надо доделывать / донастраивать. Если у тебя есть опыт программирования на NodeJS, ты это сделаешь быстро и безболезненно. А вот если нет...

Но вообще продукт крайне интересный. Стоит отметить, что его разработку спонсирует не абы кто, а сам Atlassian. Так что стоит присмотреться.

Мне было бы очень интересно допилить его до состояния "одна приватная комната, один админ/модератор, вход гостя по ссылке-приглашению". Собственно, там затык только в том, чтобы налабать работающий интерфейс генерации пресловутого токена и отправки его гостю. Ну и глагне слегка подрихтовать под это дело. Но не знаю хватит ли у меня духа / сил / времени на подобное.