date:20180309

2018-03-09 Пенетрантность Andrey Jr. Melnikov

Andrey Jr. Melnikov -> debian-russian@lists.debian.org  @ Fri, 9 Mar 2018 
23:30:09 +0300:

 >>  >> Разнося на разные девайсы сервер и роутер, таки сподобился настроить DNS
 >>  >> и DHCP для локалки через dnsmasq. Получилось проще, чем с ISC (bind и
 >>  >> isc-dhcpd). Про "легковеснее" молчу.

 >>  >> Из грабель (они описаны в FAQ). isc-dhcpd, видимо, работает в
 >>  >> promiscuous mode, и справляется с ситуацией, когда на файрволе по
 >>  >> данному интерфейсу отдельного разрешения 255.255.255.255 на порт DHCP
 >>  >> нет (у меня пускали только с адресами из локалки). dnsmasq не справился,
 >>  >> пришлось донастроить файрвол. Подумав, махнул рукой и разрешил с этого
 >>  >> интерфейса вообще всё, так что нет уверенности, что достаточно было бы
 >>  >> разрешить по минимуму.
 >>  > -p udp --dports 67:69 - это так сложно прописать в фаирвол? ;)

 >> Это понятно. Для гостевой сети так и прописано. Кстати, кажется,
 >> достаточно 67. Я про минимум.
 > Ну так может взять в руки генератор правил для фаирволов?

Я уже лет несколько назад начал об этом задумываться. Но в дистрибутиве
их много, изучать их все, чтобы выбрать годный — изрядное количество
ресурса, а iptables и моих знаний о работе сети для моих задач, в общем,
достаточно.

В смысле, "ты не выпендривайся, ты пальцем покажи". Чтобы на выходе был
код для iptables-restore (атомарная загрузка, ага), читабельный (ибо
если что-то не работает, допрашивать все равно придется не генератор, а
непосредственно iptables), и чтобы он был не сложнее, чем собственно
iptables.

А то я как-то видел исходник, от shorewall, что ли... Руками для
iptables то же самое куда понятнее было.

 > [...]

 >> zless /usr/share/doc/dnsmasq/FAQ.gz
 > ^ Вот это в всякие роутеры никогда не
 > кладут.

Ась? В мой кладут. Я его оттуда цитирую.

 >> А вот с isc-dhcpd, не знаю, как сейчас, а раньше лечилось только
 >> client-id. В линуксе-то не проблема...

 > Да пофигу. Взял и прописал 2 мака с одним адресом. и работает. 

Ну, значит, уже починили.

 >>  >> Чего он явно не умеет (в документации нет даже упоминания), так это
 >>  >> трансфера зон.

 >>  > Это затычка для роутеров, оно без внешнего DNS'a работать не умеет.

 >> Спасибо, Кэп, для чего оно предназначено, я в курсе.

 >>  >> Подумываю, не попробовать ли его как второй авторитетный DNS своей зоны.
 >>  > Чем тебя bind не устроил? Тем, что в нем на порядок меньше CVE находят, 
 >> чем
 >>  > в dnsmasq?
 >>  > Сравни
 >>  > 
 >> https://www.cvedetails.com/product/14557/Thekelleys-Dnsmasq.html?vendor_id=8351
 >>  > и
 >>  > https://www.cvedetails.com/product/144/ISC-Bind.html?vendor_id=64
 >>  > для приличия.

 >> Может, конечно, bind и научились писать, но у меня исторически сложилось
 >> ощущение, что все isc'шные продукты до одного очень изрядно дырявы, и
 >> вообще довольно плохо написаны.
 > Плохо - да, дыряво - возможно. Ты только учитывай, что они написаны в начале
 > 80 и всех остальных "секурных" на тот момент еще не было.

Я понимаю, почему они были несекурны. Но синтаксис конфига это не извиняет.

 >> Его затыкают, конечно, куда деваться ??? он reference implementation, и
 >> стоит поэтому везде, где нужна свежая функциональность. Но работает,
 >> судя по слухам, через пень-колоду.
 > Ага, "мне Рабинович по телефону напел".

Ну, у меня самого задачи такие, что он на них, в общем, не
падает. Последний раз падал в 2005-м, кажется. Приходится по слухам.

 >> Собственно, синтаксис их конфигурации и документация на нее с тех пор
 >> лучше не стали.
 > Нет, потому что это не просто a=b,c,d а цельный язык для написания конфигов.
 > А книг про конфигурацию bind'a - один О'Реилли выпустил 5 редакций.
 > Разжованно до немогу.

Спасибо, я пишу эти конфиги больше 20 лет. Язык там, мягко говоря...

 >>  >> i A dnsmasq-base Recommends dns-root-data  

 >>  >> Может, конечно, он оттуда только ключи для DNSSEC хочет...
 >>  > Вот именно. Оно еще и ntp сервер захочет. Чтоб ключи валидировать. И 
 >> будешь
 >>  > ты с kill -HUP ${pid} играться :)
 >> Про это в man тоже есть.
 > Ну если автор настолько одаренный, что по SIGHUP делает ВСЁ - то место этому
 > в роутере. 

Нет, как раз на это там есть альтернативный подход.

 >>  > PS: Лучше уж сборку из unbound/atftpd/udhcpd - оно хоть если 
 >> развалиться, то
 >>  > не всё сразу. И дурацких лимитов по умолчанию в 150 паралельных DNS 
 >> запросов не
 >>  > имеет. И внешний DNS не требует.

 >> Не, дома на роутере я лучше dnsmasq оставлю. Для домашней сетки у него
 >> вполне нормальные лимиты, а DNS наружу мне один хрен провайдеры не
 > А чем они, эти твои провайдеры - это аргументируют?

А ничем. Просто порты закрыты, и это на сайте документировано.

 > Если тебе не нравиться bind - возьми PDNS, Knot, PowerDNS, MaraDNS если уж
 > так хочется.

На кого-то из них я смотрел. Забыл уже, если честно. Монстры еще круче
бинда. Десяток своих пакетов и стопка зависимостей еще десятка на два. У
меня нет задач на высокопроизводительный DNS-сервер

Re: dnsmasq

Artem Chuprina  wrote:
> Andrey Jr. Melnikov -> debian-russian@lists.debian.org  @ Fri, 9 Mar 2018 
> 19:56:40 +0300:

>  >> Разнося на разные девайсы сервер и роутер, таки сподобился настроить DNS
>  >> и DHCP для локалки через dnsmasq. Получилось проще, чем с ISC (bind и
>  >> isc-dhcpd). Про "легковеснее" молчу.

>  >> Из грабель (они описаны в FAQ). isc-dhcpd, видимо, работает в
>  >> promiscuous mode, и справляется с ситуацией, когда на файрволе по
>  >> данному интерфейсу отдельного разрешения 255.255.255.255 на порт DHCP
>  >> нет (у меня пускали только с адресами из локалки). dnsmasq не справился,
>  >> пришлось донастроить файрвол. Подумав, махнул рукой и разрешил с этого
>  >> интерфейса вообще всё, так что нет уверенности, что достаточно было бы
>  >> разрешить по минимуму.
>  > -p udp --dports 67:69 - это так сложно прописать в фаирвол? ;)

> Это понятно. Для гостевой сети так и прописано. Кстати, кажется,
> достаточно 67. Я про минимум.
Ну так может взять в руки генератор правил для фаирволов?

[...]

> zless /usr/share/doc/dnsmasq/FAQ.gz
^ Вот это в всякие роутеры никогда не
кладут.

> Q: My laptop has two network interfaces, a wired one and a wireless
>one. I never use both interfaces at the same time, and I'd like the
>same IP and configuration to be used irrespective of which
>interface is in use. How can I do that?

> Addendum:
>From version 2.46, dnsmasq has a solution to this which doesn't
>involve setting client-IDs. It's possible to put more than one MAC
>address in a --dhcp-host configuration. This tells dnsmasq that it
>should use the specified IP for any of the specified MAC addresses,
>and furthermore it gives dnsmasq permission to sumarily abandon a
>lease to one of the MAC addresses if another one comes along. Note
>that this will work fine only as longer as only one interface is
>up at any time. There is no way for dnsmasq to enforce this
>constraint: if you configure multiple MAC addresses and violate 
>this rule, bad things will happen.
Bad things. Ой вэй. Сказочник великий.

> А вот с isc-dhcpd, не знаю, как сейчас, а раньше лечилось только
> client-id. В линуксе-то не проблема...

Да пофигу. Взял и прописал 2 мака с одним адресом. и работает. 

>  >> Чего он явно не умеет (в документации нет даже упоминания), так это
>  >> трансфера зон.

>  > Это затычка для роутеров, оно без внешнего DNS'a работать не умеет.

> Спасибо, Кэп, для чего оно предназначено, я в курсе.

>  >> Подумываю, не попробовать ли его как второй авторитетный DNS своей зоны.
>  > Чем тебя bind не устроил? Тем, что в нем на порядок меньше CVE находят, чем
>  > в dnsmasq?
>  > Сравни
>  > 
> https://www.cvedetails.com/product/14557/Thekelleys-Dnsmasq.html?vendor_id=8351
>  > и
>  > https://www.cvedetails.com/product/144/ISC-Bind.html?vendor_id=64
>  > для приличия.

> Может, конечно, bind и научились писать, но у меня исторически сложилось
> ощущение, что все isc'шные продукты до одного очень изрядно дырявы, и
> вообще довольно плохо написаны.
Плохо - да, дыряво - возможно. Ты только учитывай, что они написаны в начале
80 и всех остальных "секурных" на тот момент еще не было.

> Его затыкают, конечно, куда деваться ??? он reference implementation, и
> стоит поэтому везде, где нужна свежая функциональность. Но работает,
> судя по слухам, через пень-колоду.
Ага, "мне Рабинович по телефону напел".

> Собственно, синтаксис их конфигурации и документация на нее с тех пор
> лучше не стали.
Нет, потому что это не просто a=b,c,d а цельный язык для написания конфигов.
А книг про конфигурацию bind'a - один О'Реилли выпустил 5 редакций.
Разжованно до немогу.

>  >> i A dnsmasq-base Recommends dns-root-data  

>  >> Может, конечно, он оттуда только ключи для DNSSEC хочет...
>  > Вот именно. Оно еще и ntp сервер захочет. Чтоб ключи валидировать. И будешь
>  > ты с kill -HUP ${pid} играться :)
> Про это в man тоже есть.
Ну если автор настолько одаренный, что по SIGHUP делает ВСЁ - то место этому
в роутере. 

>  > PS: Лучше уж сборку из unbound/atftpd/udhcpd - оно хоть если развалиться, 
> то
>  > не всё сразу. И дурацких лимитов по умолчанию в 150 паралельных DNS 
> запросов не
>  > имеет. И внешний DNS не требует.

> Не, дома на роутере я лучше dnsmasq оставлю. Для домашней сетки у него
> вполне нормальные лимиты, а DNS наружу мне один хрен провайдеры не
А чем они, эти твои провайдеры - это аргументируют?

> пускают. А вот насчет unbound на secondary NS можно и подумать.
unbound - это РЕЗОЛВЕР. Оно не умеет работать АВТОРАТИВНЫМ сервером.

Если тебе не нравиться bind - возьми PDNS, Knot, PowerDNS, MaraDNS если уж
так хочется.

[DONE] wml://{security/2011/dsa-2266.wml}

2018-03-09 Пенетрантность Eugene Berdnikov

-BEGIN PGP SIGNED MESSAGE-
Hash: SHA512

- --- english/security/2011/dsa-2266.wml2017-11-01 10:11:10.263840301 
+0500
+++ russian/security/2011/dsa-2266.wml  2018-03-10 00:13:39.182413991 +0500
@@ -1,55 +1,56 @@
- -several vulnerabilities
+#use wml::debian::translation-check translation="1.3" maintainer="Lev Lamberov"
+Ð½ÐµÑÐºÐ¾Ð»ÑÐºÐ¾ ÑÑÐ·Ð²Ð¸Ð¼Ð¾ÑÑÐµÐ¹
 
 
- -Several vulnerabilities were discovered in PHP, which could lead to 
- -denial of service or potentially the execution of arbitrary code.
+Ð PHP Ð±ÑÐ»Ð¾ Ð¾Ð±Ð½Ð°ÑÑÐ¶ÐµÐ½Ð¾ Ð½ÐµÑÐºÐ¾Ð»ÑÐºÐ¾ 
ÑÑÐ·Ð²Ð¸Ð¼Ð¾ÑÑÐµÐ¹, ÐºÐ¾ÑÐ¾ÑÑÐµ Ð¼Ð¾Ð³ÑÑ Ð¿ÑÐ¸Ð²Ð¾Ð´Ð¸ÑÑ Ðº
+Ð¾ÑÐºÐ°Ð·Ñ Ð² Ð¾Ð±ÑÐ»ÑÐ¶Ð¸Ð²Ð°Ð½Ð¸Ð¸ Ð¸Ð»Ð¸ Ð¿Ð¾ÑÐµÐ½ÑÐ¸Ð°Ð»ÑÐ½Ð¾Ð¼Ñ 
Ð²ÑÐ¿Ð¾Ð»Ð½ÐµÐ½Ð¸Ñ Ð¿ÑÐ¾Ð¸Ð·Ð²Ð¾Ð»ÑÐ½Ð¾Ð³Ð¾ ÐºÐ¾Ð´Ð°.
 
 
 
 https://security-tracker.debian.org/tracker/CVE-2010-2531;>CVE-2010-2531
 
- -   An information leak was found in the var_export() function.
+   Ð ÑÑÐ½ÐºÑÐ¸Ð¸ var_export() Ð±ÑÐ»Ð° Ð¾Ð±Ð½Ð°ÑÑÐ¶ÐµÐ½ ÑÑÐµÑÐºÐ° 
Ð¸Ð½ÑÐ¾ÑÐ¼Ð°ÑÐ¸Ð¸.
 
 https://security-tracker.debian.org/tracker/CVE-2011-0421;>CVE-2011-0421
 
- -   The Zip module could crash.
+   Ð Ð°Ð±Ð¾ÑÐ° Ð¼Ð¾Ð´ÑÐ»Ñ Zip Ð¼Ð¾Ð¶ÐµÑ Ð·Ð°Ð²ÐµÑÑÐ¸ÑÑÑÑ 
Ð°Ð²Ð°ÑÐ¸Ð¹Ð½Ð¾.
 
 https://security-tracker.debian.org/tracker/CVE-2011-0708;>CVE-2011-0708
 
- -   An integer overflow was discovered in the Exif module.
+   Ð Ð¼Ð¾Ð´ÑÐ»Ðµ Exif Ð±ÑÐ»Ð¾ Ð¾Ð±Ð½Ð°ÑÑÐ¶ÐµÐ½Ð¾ 
Ð¿ÐµÑÐµÐ¿Ð¾Ð»Ð½ÐµÐ½Ð¸Ðµ ÑÐµÐ»ÑÑ ÑÐ¸ÑÐµÐ».
 
 https://security-tracker.debian.org/tracker/CVE-2011-1466;>CVE-2011-1466
 
- -   An integer overflow was discovered in the Calendar module.
+   Ð Ð¼Ð¾Ð´ÑÐ»Ðµ Calendar Ð±ÑÐ»Ð¾ Ð¾Ð±Ð½Ð°ÑÑÐ¶ÐµÐ½Ð¾ 
Ð¿ÐµÑÐµÐ¿Ð¾Ð»Ð½ÐµÐ½Ð¸Ðµ ÑÐµÐ»ÑÑ ÑÐ¸ÑÐµÐ».
 
 https://security-tracker.debian.org/tracker/CVE-2011-1471;>CVE-2011-1471
 
- -   The Zip module was prone to denial of service through malformed
- -   archives.
+   ÐÐ¾Ð´ÑÐ»Ñ Zip ÑÑÐ·Ð²Ð¸Ð¼ Ðº Ð¾ÑÐºÐ°Ð·Ñ Ð² 
Ð¾Ð±ÑÐ»ÑÐ¶Ð¸Ð²Ð°Ð½Ð¸Ð¸, Ð²Ð¾Ð·Ð½Ð¸ÐºÐ°ÑÑÐµÐ¼Ñ Ð¸Ð·-Ð·Ð° 
ÑÐ¿ÐµÑÐ¸Ð°Ð»ÑÐ½Ð¾
+   ÑÑÐ¾ÑÐ¼Ð¸ÑÐ¾Ð²Ð°Ð½Ð½ÑÑ Ð°ÑÑÐ¸Ð²Ð¾Ð².
 
 https://security-tracker.debian.org/tracker/CVE-2011-2202;>CVE-2011-2202
 
- -   Path names in form based file uploads (RFC 1867) were incorrectly 
- -   validated.
+   ÐÑÐ¾Ð²ÐµÑÐºÐ° Ð¸Ð¼ÑÐ½ Ð¿ÑÑÐµÐ¹ Ð² Ð·Ð°Ð³ÑÑÐ·ÐºÐµ ÑÐ°Ð¹Ð»Ð¾Ð² 
Ð½Ð° Ð¾ÑÐ½Ð¾Ð²Ðµ ÑÐ¾ÑÐ¼ (RFC 1867) Ð¿ÑÐ¾Ð¸Ð·Ð²Ð¾Ð´Ð¸ÑÑÑ
+   Ð½ÐµÐ¿ÑÐ°Ð²Ð¸Ð»ÑÐ½Ð¾.
 
 
 
- -This update also fixes two bugs, which are not treated as security
- -issues, but fixed nonetheless, see README.Debian.security for details
- -on the scope of security support for PHP 
- -(https://security-tracker.debian.org/tracker/CVE-2011-0420;>CVE-2011-0420,
 
+ÐÑÐ¾Ð¼Ðµ ÑÐ¾Ð³Ð¾, Ð´Ð°Ð½Ð½Ð¾Ðµ Ð¾Ð±Ð½Ð¾Ð²Ð»ÐµÐ½Ð¸Ðµ Ð¸ÑÐ¿ÑÐ°Ð²Ð»ÑÐµÑ 
Ð´Ð²Ðµ Ð¾ÑÐ¸Ð±ÐºÐ¸, ÐºÐ¾ÑÐ¾ÑÑÐµ Ð½Ðµ ÑÑÐ¸ÑÐ°ÑÑÑÑ Ð¿ÑÐ¾Ð±Ð»ÐµÐ¼Ð°Ð¼Ð¸
+Ð±ÐµÐ·Ð¾Ð¿Ð°ÑÐ½Ð¾ÑÑÐ¸, Ð½Ð¾ Ð²ÑÑ ÑÐ°Ð²Ð½Ð¾ Ð¸ÑÐ¿ÑÐ°Ð²Ð»ÐµÐ½Ñ, 
Ð¿Ð¾Ð´ÑÐ¾Ð±Ð½Ð¾ÑÑÐ¸ Ð¿Ð¾ Ð¿Ð¾Ð²Ð¾Ð´Ñ Ð¿Ð¾Ð´Ð´ÐµÑÐ¶ÐºÐ¸ 
Ð±ÐµÐ·Ð¾Ð¿Ð°ÑÐ½Ð¾ÑÑÐ¸ PHP
+ÑÐ¼. Ð² ÑÐ°Ð¹Ð»Ðµ README.Debian.security
+(https://security-tracker.debian.org/tracker/CVE-2011-0420;>CVE-2011-0420,
 https://security-tracker.debian.org/tracker/CVE-2011-1153;>CVE-2011-1153).
 
- -For the oldstable distribution (lenny), these problems have been fixed in
- -version 5.2.6.dfsg.1-1+lenny12.
+Ð Ð¿ÑÐµÐ´ÑÐ´ÑÑÐµÐ¼ ÑÑÐ°Ð±Ð¸Ð»ÑÐ½Ð¾Ð¼ Ð²ÑÐ¿ÑÑÐºÐµ (lenny) ÑÑÐ¸ 
Ð¿ÑÐ¾Ð±Ð»ÐµÐ¼Ñ Ð±ÑÐ»Ð¸ Ð¸ÑÐ¿ÑÐ°Ð²Ð»ÐµÐ½Ñ Ð²
+Ð²ÐµÑÑÐ¸Ð¸ 5.2.6.dfsg.1-1+lenny12.
 
- -For the stable distribution (squeeze), these problems have been fixed in
- -version 5.3.3-7+squeeze3.
+Ð ÑÑÐ°Ð±Ð¸Ð»ÑÐ½Ð¾Ð¼ Ð²ÑÐ¿ÑÑÐºÐµ (squeeze) ÑÑÐ¸ Ð¿ÑÐ¾Ð±Ð»ÐµÐ¼Ñ 
Ð±ÑÐ»Ð¸ Ð¸ÑÐ¿ÑÐ°Ð²Ð»ÐµÐ½Ñ Ð²
+Ð²ÐµÑÑÐ¸Ð¸ 5.3.3-7+squeeze3.
 
- -For the unstable distribution (sid), these problems have been fixed in
- -version 5.3.6-12.
+Ð Ð½ÐµÑÑÐ°Ð±Ð¸Ð»ÑÐ½Ð¾Ð¼ Ð²ÑÐ¿ÑÑÐºÐµ (sid) ÑÑÐ¸ Ð¿ÑÐ¾Ð±Ð»ÐµÐ¼Ñ 
Ð±ÑÐ»Ð¸ Ð¸ÑÐ¿ÑÐ°Ð²Ð»ÐµÐ½Ñ Ð²
+Ð²ÐµÑÑÐ¸Ð¸ 5.3.6-12.
 
- -We recommend that you upgrade your php5 packages.
+Ð ÐµÐºÐ¾Ð¼ÐµÐ½Ð´ÑÐµÑÑÑ Ð¾Ð±Ð½Ð¾Ð²Ð¸ÑÑ Ð¿Ð°ÐºÐµÑÑ php5.
 
 
 # do not modify the following line
-BEGIN PGP SIGNATURE-
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=wP/y
-END PGP SIGNATURE-

Re: dnsmasq

On Fri, Mar 09, 2018 at 06:50:22PM +0300, Artem Chuprina wrote:
> Разнося на разные девайсы сервер и роутер, таки сподобился настроить DNS
> и DHCP для локалки через dnsmasq. Получилось проще, чем с ISC (bind и
> isc-dhcpd). Про "легковеснее" молчу.
> 
> Из грабель (они описаны в FAQ). isc-dhcpd, видимо, работает в
> promiscuous mode, и справляется с ситуацией, когда на файрволе по
> данному интерфейсу отдельного разрешения 255.255.255.255 на порт DHCP
> нет (у меня пускали только с адресами из локалки). dnsmasq не справился,
> пришлось донастроить файрвол.

 Isc-dhcpd не переводит интерфейс в promisc, он просто использует raw socket.
 Приём бродкастов таким образом возможен, и пакетный фильтр здесь не помеха.

 А вот с dnsmasq я столкнулся с такой ситуацией: клиент, пришедший со своим
 ip-адресом (при запросах DHCPREQUEST и DHCPINFORM) вне указанного в конфиге
 диапазона, получает ACK, а не ожидаемый NACK. Огорчило до глубины души. :)
-- 
 Eugene Berdnikov

Re: Краткий обзор систем резервного копирования

2018-03-09 Пенетрантность Eugene Berdnikov

On Fri, Mar 09, 2018 at 06:36:44PM +0300, Artem Chuprina wrote:
> artiom -> debian-russian@lists.debian.org  @ Fri, 9 Mar 2018 13:47:00 +0300:
> 
>  > Выкладываю здесь свой обзор по итогам обсуждения в теме "Backup".
>  > Может, кому пригодится.
>  > Дополнения и исправления приветствуются.
> 
> Спасибо, интересно.
> 
> Для себя сделал вывод, что надежнее самопальной конструкции на базе
> rsync все-таки ничего не придумали.
> 
> Хотя, конечно, дедупликацию к ней добавить было бы приятно... Но
> надежность и простота восстановления в любом случае важнее.

 +1

 К выделенным А.Чуприной "надёжность" и "простота" я бы ещё добавил
 "скорость восстановления", а также возможность выбирать восстанавливаемые
 объекты по критериям, которые заранее неизвестны и, бывает, формулируются
 лишь после аварии. Здесь решениям на основе rsync просто нет равных.
-- 
 Eugene Berdnikov

Re: dnsmasq

2018-03-09 Пенетрантность Andrey Jr. Melnikov

Andrey Jr. Melnikov -> debian-russian@lists.debian.org  @ Fri, 9 Mar 2018 
19:56:40 +0300:

 >> Разнося на разные девайсы сервер и роутер, таки сподобился настроить DNS
 >> и DHCP для локалки через dnsmasq. Получилось проще, чем с ISC (bind и
 >> isc-dhcpd). Про "легковеснее" молчу.

 >> Из грабель (они описаны в FAQ). isc-dhcpd, видимо, работает в
 >> promiscuous mode, и справляется с ситуацией, когда на файрволе по
 >> данному интерфейсу отдельного разрешения 255.255.255.255 на порт DHCP
 >> нет (у меня пускали только с адресами из локалки). dnsmasq не справился,
 >> пришлось донастроить файрвол. Подумав, махнул рукой и разрешил с этого
 >> интерфейса вообще всё, так что нет уверенности, что достаточно было бы
 >> разрешить по минимуму.
 > -p udp --dports 67:69 - это так сложно прописать в фаирвол? ;)

Это понятно. Для гостевой сети так и прописано. Кстати, кажется,
достаточно 67. Я про минимум.

А махнул рукой я, потому что там, вообще говоря

 >> Судя по документации, dnsmasq теперь можно обучить практически всем
 >> типам записей, т.е. чуть ли не сделать из него полноценный DNS-сервер,
 >> торчащий наружу. Хотя он вообще-то придуман не для этого. Единственное ???
 >> не помню, можно ли ему объяснить, что наружу можно отдавать запросы по
 >> своей зоне, но нельзя делать рекурсивные. Скорее всего, можно, потому
 >> что про соответствующую атаку авторы в курсе. Просто не помню (пока было
 >> не надо).
 > Ага. Как только научишь его отдавать ОДИН IP адрес на два MAC'a - скажи.
 > Скажу сразу - для ноутбука. У которого или эзернет или вай-вай.

zless /usr/share/doc/dnsmasq/FAQ.gz
Q: My laptop has two network interfaces, a wired one and a wireless
   one. I never use both interfaces at the same time, and I'd like the
   same IP and configuration to be used irrespective of which
   interface is in use. How can I do that?

Addendum:
   From version 2.46, dnsmasq has a solution to this which doesn't
   involve setting client-IDs. It's possible to put more than one MAC
   address in a --dhcp-host configuration. This tells dnsmasq that it
   should use the specified IP for any of the specified MAC addresses,
   and furthermore it gives dnsmasq permission to sumarily abandon a
   lease to one of the MAC addresses if another one comes along. Note
   that this will work fine only as longer as only one interface is
   up at any time. There is no way for dnsmasq to enforce this
   constraint: if you configure multiple MAC addresses and violate 
   this rule, bad things will happen.

А вот с isc-dhcpd, не знаю, как сейчас, а раньше лечилось только
client-id. В линуксе-то не проблема...

 >> Чего он явно не умеет (в документации нет даже упоминания), так это
 >> трансфера зон.

 > Это затычка для роутеров, оно без внешнего DNS'a работать не умеет.

Спасибо, Кэп, для чего оно предназначено, я в курсе.

 >> Подумываю, не попробовать ли его как второй авторитетный DNS своей зоны.
 > Чем тебя bind не устроил? Тем, что в нем на порядок меньше CVE находят, чем
 > в dnsmasq?
 > Сравни
 > https://www.cvedetails.com/product/14557/Thekelleys-Dnsmasq.html?vendor_id=8351
 > и
 > https://www.cvedetails.com/product/144/ISC-Bind.html?vendor_id=64
 > для приличия.

Может, конечно, bind и научились писать, но у меня исторически сложилось
ощущение, что все isc'шные продукты до одного очень изрядно дырявы, и
вообще довольно плохо написаны.

Его затыкают, конечно, куда деваться — он reference implementation, и
стоит поэтому везде, где нужна свежая функциональность. Но работает,
судя по слухам, через пень-колоду.

Собственно, синтаксис их конфигурации и документация на нее с тех пор
лучше не стали.

 >> i A dnsmasq-base Recommends dns-root-data  

 >> Может, конечно, он оттуда только ключи для DNSSEC хочет...
 > Вот именно. Оно еще и ntp сервер захочет. Чтоб ключи валидировать. И будешь
 > ты с kill -HUP ${pid} играться :)

Про это в man тоже есть.

 > PS: Лучше уж сборку из unbound/atftpd/udhcpd - оно хоть если развалиться, то
 > не всё сразу. И дурацких лимитов по умолчанию в 150 паралельных DNS запросов 
 > не
 > имеет. И внешний DNS не требует.

Не, дома на роутере я лучше dnsmasq оставлю. Для домашней сетки у него
вполне нормальные лимиты, а DNS наружу мне один хрен провайдеры не
пускают. А вот насчет unbound на secondary NS можно и подумать.

Re: dnsmasq

2018-03-09 Пенетрантность Victor Wagner

В Fri, 09 Mar 2018 18:50:22 +0300
Artem Chuprina  пишет:

> Хочу поделиться.
> 
> 
> Судя по документации, dnsmasq теперь можно обучить практически всем
> типам записей, т.е. чуть ли не сделать из него полноценный DNS-сервер,
> торчащий наружу. Хотя он вообще-то придуман не для этого.

Ну мы его примерно так используем, только не совсем наружу. а для
всяких внутриофисных доменов, состоящих их виртуальных машин.

> Единственное — не помню, можно ли ему объяснить, что наружу можно
> отдавать запросы по своей зоне, но нельзя делать рекурсивные. Скорее
> всего, можно, потому что про соответствующую атаку авторы в курсе.
> Просто не помню (пока было не надо).
> 
> Чего он явно не умеет (в документации нет даже упоминания), так это
> трансфера зон.

Как нет упоминания?

--auth-sec-servers=[,[,...]]
  Specify  any  secondary  servers for a zone for which dnsmasq is
  authoritative. These servers must be configured to get zone data
  from  dnsmasq  by zone transfer, and answer queries for the same
  authoritative zones as dnsmasq.


   --auth-peer=[,[,...]]
  Specify the addresses of secondary servers which are allowed  to
  initiate  zone transfer (AXFR) requests for zones for which dns‐
  masq is authoritative. If this option is not  given,  then  AXFR
  requests will be accepted from any secondary.



То есть ОТДАВАТЬ зону посредством zone transfer он умеет и еще как.


-- 
   Victor Wagner

Re: dnsmasq

Artem Chuprina  wrote:
> Хочу поделиться.

> Разнося на разные девайсы сервер и роутер, таки сподобился настроить DNS
> и DHCP для локалки через dnsmasq. Получилось проще, чем с ISC (bind и
> isc-dhcpd). Про "легковеснее" молчу.

> Из грабель (они описаны в FAQ). isc-dhcpd, видимо, работает в
> promiscuous mode, и справляется с ситуацией, когда на файрволе по
> данному интерфейсу отдельного разрешения 255.255.255.255 на порт DHCP
> нет (у меня пускали только с адресами из локалки). dnsmasq не справился,
> пришлось донастроить файрвол. Подумав, махнул рукой и разрешил с этого
> интерфейса вообще всё, так что нет уверенности, что достаточно было бы
> разрешить по минимуму.
-p udp --dports 67:69 - это так сложно прописать в фаирвол? ;)

> Судя по документации, dnsmasq теперь можно обучить практически всем
> типам записей, т.е. чуть ли не сделать из него полноценный DNS-сервер,
> торчащий наружу. Хотя он вообще-то придуман не для этого. Единственное ???
> не помню, можно ли ему объяснить, что наружу можно отдавать запросы по
> своей зоне, но нельзя делать рекурсивные. Скорее всего, можно, потому
> что про соответствующую атаку авторы в курсе. Просто не помню (пока было
> не надо).
Ага. Как только научишь его отдавать ОДИН IP адрес на два MAC'a - скажи.
Скажу сразу - для ноутбука. У которого или эзернет или вай-вай.

Я уже не говорю про такое:
-- cut --
# Transform invalid hostnames
log(concat("hn: ", option fqdn.hostname, ":", option host-name));
if (exists fqdn.hostname) {
if (not (option fqdn.hostname ~~ "^[a-z0-9\-]+[a-z0-9]+$")) {
   ddns-hostname = concat("host-", binary-to-ascii(16, 8, "", 
substring(hardware, 1, 6)));
   log(concat("Transform client fqdn: ", option fqdn.hostname, " => ", 
ddns-hostname));
} else {
  log(concat("Using client fqdn: ", option fqdn.hostname));
  ddns-hostname = lcase(option fqdn.hostname);
}
log(concat("af: ", option fqdn.hostname, ":", option host-name, ":",
ddns-hostname, ":", option fqdn.domainname));
} elsif (not (option host-name ~~ "^[a-z0-9\-]+[a-z0-9]+$")) {
set new_host_name = concat("host-", binary-to-ascii(16, 8, "", 
substring(hardware, 1, 6)));
log(concat("invalid hostname: ", option host-name, " => ", new_host_name));
ddns-hostname = new_host_name;
} elsif (exists host-name) {
log(concat("Using client hostname: ",  option host-name));
ddns-hostname = lcase(option host-name);
}
-- cut --

> Чего он явно не умеет (в документации нет даже упоминания), так это
> трансфера зон.

Это затычка для роутеров, оно без внешнего DNS'a работать не умеет.

> Подумываю, не попробовать ли его как второй авторитетный DNS своей зоны.
Чем тебя bind не устроил? Тем, что в нем на порядок меньше CVE находят, чем
в dnsmasq?
Сравни
https://www.cvedetails.com/product/14557/Thekelleys-Dnsmasq.html?vendor_id=8351
и
https://www.cvedetails.com/product/144/ISC-Bind.html?vendor_id=64
для приличия.

> Чего, опять же, не отследил ??? будет ли он работоспособен без
> вышестоящего _рекурсивного_ DNS-сервера. Однако,
Нет.

> i A dnsmasq-base Recommends dns-root-data  

> Может, конечно, он оттуда только ключи для DNSSEC хочет...
Вот именно. Оно еще и ntp сервер захочет. Чтоб ключи валидировать. И будешь
ты с kill -HUP ${pid} играться :)

PS: Лучше уж сборку из unbound/atftpd/udhcpd - оно хоть если развалиться, то
не всё сразу. И дурацких лимитов по умолчанию в 150 паралельных DNS запросов не
имеет. И внешний DNS не требует.

dnsmasq

Хочу поделиться.

Разнося на разные девайсы сервер и роутер, таки сподобился настроить DNS
и DHCP для локалки через dnsmasq. Получилось проще, чем с ISC (bind и
isc-dhcpd). Про "легковеснее" молчу.

Из грабель (они описаны в FAQ). isc-dhcpd, видимо, работает в
promiscuous mode, и справляется с ситуацией, когда на файрволе по
данному интерфейсу отдельного разрешения 255.255.255.255 на порт DHCP
нет (у меня пускали только с адресами из локалки). dnsmasq не справился,
пришлось донастроить файрвол. Подумав, махнул рукой и разрешил с этого
интерфейса вообще всё, так что нет уверенности, что достаточно было бы
разрешить по минимуму.

Судя по документации, dnsmasq теперь можно обучить практически всем
типам записей, т.е. чуть ли не сделать из него полноценный DNS-сервер,
торчащий наружу. Хотя он вообще-то придуман не для этого. Единственное —
не помню, можно ли ему объяснить, что наружу можно отдавать запросы по
своей зоне, но нельзя делать рекурсивные. Скорее всего, можно, потому
что про соответствующую атаку авторы в курсе. Просто не помню (пока было
не надо).

Чего он явно не умеет (в документации нет даже упоминания), так это
трансфера зон.

Подумываю, не попробовать ли его как второй авторитетный DNS своей зоны.

Чего, опять же, не отследил — будет ли он работоспособен без
вышестоящего _рекурсивного_ DNS-сервера. Однако,

i A dnsmasq-base Recommends dns-root-data

Может, конечно, он оттуда только ключи для DNSSEC хочет...

Re: Краткий обзор систем резервного копирования

artiom -> debian-russian@lists.debian.org  @ Fri, 9 Mar 2018 13:47:00 +0300:

 > Выкладываю здесь свой обзор по итогам обсуждения в теме "Backup".
 > Может, кому пригодится.
 > Дополнения и исправления приветствуются.

Спасибо, интересно.

Для себя сделал вывод, что надежнее самопальной конструкции на базе
rsync все-таки ничего не придумали.

Хотя, конечно, дедупликацию к ней добавить было бы приятно... Но
надежность и простота восстановления в любом случае важнее.

Re: RFR apt-listchanges

2018-03-09 Пенетрантность Sergey Alyoshin

2018-03-09 18:13 GMT+03:00 Gali Anikina :
>> И подскажите пожалуйста - как man преобразовать в po?

po4a -M UTF-8 -f man -m man.1 -p man.pot

Re: RFR apt-listchanges

2018-03-09 Пенетрантность Sergey Alyoshin

2018-03-09 18:13 GMT+03:00 Gali Anikina :
> Можно ещё кое-что у вас уточнить? Посылать надо в комплекте - переведённые
> все маны в пакете? А если переведёшь 1 из примерно 30 руководств, потом ещё
> и тд? Например coreutils содержит много man-ов? Понятно, что для начала
> лучше взять пакет с небольшим количеством man-ов. Но всё же я хотела
> уточнить. Так как в coreutils есть много разных руководств, часть из них
> используют простые люди (те не программисты), например du и dd, а часть -
> профессионалы, например mkfifo.
> И подскажите пожалуйста - как man преобразовать в po?

Зависит от сопровождающего. Я думаю, man'ы при таком количества должны
принимать и по одному. Если делать вычитку/рецензирование, наверное, лучше
некоторыми группами.

Re: RFR apt-listchanges




05.03.2018 09:11, Sergey Alyoshin пишет:

Лев, при всем уважении, но git, emacs и даже reportbug для перевода не
обязательны и не надо ими запугивать новичка.

Переводы без вопросов принимаются как файлы .po или архивы (gzip, bz2,
tar для файла не нужен, только для архива каталога).
И отправляются по email на b...@debian.org с описанием в теле письма и
приложением архива ru.po.gz

Например:

Package: apt-listbugs
Version: 0.1.22
Priority: wishlist
Tags: l10n

Я думаю этого достаточно при небольшом количестве объёмных переводов.

Старые переводы сообщений порой бывают полезны, не зря предусмотрена
возможность их сохранения.
Иногда для унификации перевода, чаще как экономия времени для
понимания в чём была суть изменения сообщения.

По поводу git (как и других систем контроля версий), переводчику
бывает нужно получить исходные коды (это можно сделать скопировав
актуальный архив исходных кодов), чтобы обновить .po файл, если этого
не успели сделать разработчики, обычно это выполняет команда
   make -C po update-po

Отправлять патчи .po не вижу смысла, так как наложить их может не
получиться. Так как .po обрабатывается программами, а не только
человеком, то проблемы могут быть даже с количеством символов в строке
для переноса. Я отправляю патчи, только чтобы другие переводчики могли
быстро просмотреть изменения, высказать замечания и это не git
format-patch.




Можно ещё кое-что у вас уточнить? Посылать надо в комплекте - 
переведённые все маны в пакете? А если переведёшь 1 из примерно 30 
руководств, потом ещё и тд? Например coreutils содержит много man-ов? 
Понятно, что для начала лучше взять пакет с небольшим количеством 
man-ов. Но всё же я хотела уточнить. Так как в coreutils есть много 
разных руководств, часть из них используют простые люди (те не 
программисты), например du и dd, а часть - профессионалы, например mkfifo.

И подскажите пожалуйста - как man преобразовать в po?

Re: В словаре mueller7-dict пропущено слово seal

Пт 09 мар 2018 @ 12:34 Gali Anikina :

> В стоящем в системе словаре mueller7-dict пропущено слово seal, 
> кто-нибудь в курсе?
>
> $ apt show mueller7-dict
> Package: mueller7-dict
> Version: 2002.02.27-10
> Priority: optional
> Section: text
> Source: mueller
> Maintainer: Mikhail Gusarov 
> Installed-Size: 3 813 kB
> Provides: dictd-dictionary
> Suggests: dict-server | opendict, dict-client
> Tag: culture::TODO, culture::russian, made-of::dictionary, role::app-data,
>   use::converting
> Download-Size: 3 261 kB
> APT-Manual-Installed: no
> APT-Sources: http://deb.debian.org/debian sid/main amd64 Packages
> Description: Mueller English/Russian dictionary in dict format
>   Electronic version of the English/Russian dictionary by V. K. Mueller,
>   release 7.
>   .
>   This package contains the dictionary in dict format.
>
>
> $ dpkg-query -L mueller7-dict
> 
> /usr/share/doc/mueller7-dict
> ...
>
> В бумажной книжке то я его нашла  есть у меня такой "гроссбух", 
> ввести то можно, а как насчёт прав?

Галина, почему бы не спросить об этом у сопровождающего пакета, Михаила
Гусарова? Судя по имени-фамилии, думаю, он вполне поймёт, если ему
написать на русском языке.

Re: Перевод apt 1.6

Пт 09 мар 2018 @ 13:27 Gali Anikina :

> Используйте правильные кавычки-ёлочки: « », набор комбинацией клавиш 
> Compose, затем Shift+<<.
>
> 1) Тут про одиночные кавычки ничего не говорится.

Тут говорится, то нужно использовать _правильные_ кавычки, где
"правильные" означает "в соответствии с русской типографикой". Если вы
будете переводить, скажем, с испанского языка, то в вопросительных
предложениях вы будете ставить знак вопроса только в конце (как принято
в русском языке) или и в конце, и в начале (как принято в испанском)? Вот,
с кавычками та же ситуация.

> 2) смотрите вот открыла файл в poedit, к примеру возьмём случай строка 
> английская и ещё не переведена. 1 вариант действий - Выделяю и копирую 
> английскую фразу и ставлю в русский блок и далее перевожу - у меня 
> сохраняются все сцецсимволы и ничего не теряется (я спокойна за 
> форматирование строки).
> 2 вариант - если не копируя ввожу вручную, то повышается вероятность 
> ввести ошибку в текст (или работая в тектсовом редакторе).
>
> Таким образом если я копирую и потом замещаю английские слова русскими, 
> то формат сообщения остаётся прежним, максимально соответствующий 
> оригиналу. А если мне надо заменять все одиночные кавычки на двойные (в 
> Poedit или Gtranslator), то это столько мелкой (бессмысленной) работы. 
> При этом я не понимаю зачем их менять. Ведь програмисты и Gtranslator и 
> Poedit знали, что делали, когда пишут в этом случае (с копированием), 
> что всё нормально?

Никто не может предусмотреть всех ситуаций, создатели Gtranslator и
Poedit (и других программ для перевода) не исключение. Как переводить
зависит от вас. Если вам удобно копировать-править, делайте так, если
удобно вводить весь перевод вручную, то вводите вручную. Здесь нет
правильного пути, есть только пути, которые более или менее подвержены
появлению ошибок (вы сами указали на это).


Всего наилучшего,
Лев

Re: Перевод apt 1.6

2018-03-09 Пенетрантность Алексей Шилин


Смотрите вот в poedir жёлтым выделено

Unable to fetch some archives, maybe run apt-get update or try with 
--fix-missing?


Невозможно получить некоторые архивы, вероятно надо запустить apt-get 
update или попытаться повторить запуск с ключом --fix-missing


Пишет подсказку - что в конце перевода должен стоять вопрос - надо ведь 
поставить?

Краткий обзор систем резервного копирования

2018-03-09 Пенетрантность artiom

Выкладываю здесь свой обзор по итогам обсуждения в теме "Backup".
Может, кому пригодится.
Дополнения и исправления приветствуются.

Системы резервного копирования
--

Проприетарные закрытые решения типа Veeam не рассматриваются, по
условиям политики безопасности.

### Решения на базе unix-утилит

[Решения на основе rsync, tar, rdiff-backup,
etc.](http://www.mikerubel.org/computers/rsync_snapshots/) не
рассматриваются
по причине большого количества работы, которую потребуется выполнить, и
отсутствия необходимого WEB-интерфейса.

### Bareos

[BareOS (Backup Archiving Recovery Open
Sourced)](https://www.bareos.org/en/) - форк Bacula с 2010 года.

Плюсы:

- Стабильная отлаженная система.
- Поддерживает несколько типов агентов под разные ОС.
- Поддерживает различные типы бэкапа: инкрементальный, дифференциальный,
полный.
- WEB-интерфейс очень развит и функционален.
- Гибкая конфигурация.
- Имеется FUSE драйвер, который показывает бэкапы.
- Есть обвязка для Python, позволяющая взаимодействовать с Director.
- Есть агенты для бэкапа специфичных приложений (например, СУБД).
- Все коммуникации между различными компонентами системы аутентифицируются.
- Интеграция с FreeNAS.
- Поддержка большого количества систем хранения.

Минусы:

- Ориентация на ленточный бэкап.
- Многокомпонентная запутанная система.
- Сложная и запутанная конфигурация.
- Требует постоянной поддержки, в случае минимальных изменений.
- Документация обширная (500+ страниц), но несмотря на это, настройка
под типовой вариант использования сложна и занимает много времени.

### BackupPC

[BackupPC](http://backuppc.sourceforge.net) - безагентная система
резервного копирования.

Плюсы и возможности:

- Возможен бэкап без агентов.
- Полные и инкрементальные бэкапы.
- Есть WEB-интерфейс.
- Минимизирует количество дисковых операций.
- Дедупликация. Одинаковые файлы сохраняются однократно, даже если это
файлы на разных машинах.
- Возможность сжатия данных.
- Не нужен клиент, могут использоваться SMB, rsync.
- Возможность восстановления файлов прямо через WEB-интерфейс.
- Возможно восстановить как конкретные файлы, так и скачать все файлы
архивом.
- Гибкая конфигурация, как системная, так и отдельная для каждой машины.
- Возможность посылать уведомления.

Минусы:

- Реализован на Perl, требует установки CPAN.
- Безагентный бэкап менее гибок, чем бэкап через агента, хотя и более
безопасен.
- Нельзя выбрать время начала копирования (компенсируется выбором
периодов, когда делать копирование запрещено).

### UrBackup

[UrBackup](https://www.urbackup.org) - клиент-серверная система
резервного копирования.
Поддерживает FreeNAS.

Плюсы и возможности:

- Простая настройка.
- Есть WEB-интерфейс.
- Полные и инкрементальные бэкапы.
- Файловые бэкапы и бэкапы разделов (в т.ч. инкрементальные).
- Клиенты для Windows, Linux, MacOS X.
- Быстрая дедупликация на клиенте: быстро вычисляются изменения в
дереве, и передаются только новые файлы или сектора диска.
- Бэкап разделов при запущенной системе.
- Возможность бэкапа каталогов при изменении.
- Корректные бэкапы используемых приложениями файлов (например, баз
Outlook, клиент знает о распространённых приложениях).
- Дедупликация. Одинаковые файлы сохраняются однократно, даже если это
файлы на разных машинах.
- Настройки бэкапов (частоту, количество и т.п.) клиент может менять для
себя.
- Простая настройка.
- Предупреждение клиента о том, что бэкап не был сделан.
- Возможно восстановить как конкретные файлы, так и скачать все файлы
архивом.
- Возможность посылать уведомления.
- Безопасные и эффективные бэкапы через Internet.
- Метаданные файлов (например, время изменения) сохраняются.
- Поддержка квот на размер бэкапов.
- Простое восстановление бэкапа раздела (например, через подключенную
USB флешку).
- Автоматическое обновление.

Минусы:

- Клиент под Windows, способный отслеживать изменения блоков, платный.
- Бэкап разделов работает только с NTFS.

### Restic

[Restic](https://restic.net/) - инструмент для резервного копирования и
восстановления с консольным интерфейсом.

Плюсы и возможности:

- Простая настройка.
- Использует шифрование для шифрования резервных копий.
- Дедупликация. Одинаковые файлы сохраняются однократно, даже если это
файлы на разных машинах.
- Нет понятия полного/инкрементального бэкапа. Все они равноценные.
Передаются только новые блоки.
- Все данные и метаданные защищены контрольными суммами. Возможность
проверки корректности бэкапа.
- Сервера бэкапа нет.
- Имеется FUSE драйвер, который показывает бэкапы в виде иерархии host/дата.

Минусы:

- WEB-интерфейса нет.
- Требователен к RAM (~2.7GB на 1TB).
- Не сохраняет ACL и расширенные атрибуты.
- Медленное и требовательное к RAM удаление ненужных бэкапов.
- Удаление ненужных бэкапов блокирует работу (производить бэкап в это
время невозможно).
- Ключи шифрования одни на все хосты (в общем случае любой хост может
прочитать все бэкапы). Проблема может быть решена.
- Медленное восстановление с помощью стандартного интерфейса

Re: Перевод apt 1.6

В письме от пятница, 9 марта 2018 г. 13:27:06 MSK пользователь Gali Anikina 
написал:
> Таким образом если я копирую и потом замещаю английские слова русскими,
> то формат сообщения остаётся прежним, максимально соответствующий
> оригиналу. А если мне надо заменять все одиночные кавычки на двойные (в
> Poedit или Gtranslator), то это столько мелкой (бессмысленной) работы.
> При этом я не понимаю зачем их менять. Ведь програмисты и Gtranslator и
> Poedit знали, что делали, когда пишут в этом случае (с копированием),
> что всё нормально?

Потому что в разных странах есть разные типографские традиции. В английском 
языке используются обычные одинарные или двойные кавычки, а в русском - 
кавычки-"ёлочки". Единственная причина, почему их, бывает, не используют, - 
это отсутствие их в русской раскладке, что решается настройкой Compose. И если 
при, например, написании этого письма я могу не заморачиваться, то в переводе 
уже стоит уделять серьёзное внимание как правописанию, так и соответствию 
оформления.

См. https://ru.wikipedia.org/wiki/%D0%9A%D0%B0%D0%B2%D1%8B%D1%87%D0%BA%D0%B8

Re: apt-dump-solver где эта программа или это сейчас apd-cudf

2018-03-09 Пенетрантность Алексей Шилин

В письме от пятница, 9 марта 2018 г. 13:08:20 MSK пользователь Gali Anikina 
написал:
> apt-dump-solver

Сейчас это /usr/lib/apt/solvers/dump

Re: Backup

2018-03-09 Пенетрантность artiom

Выложу своё "исследование" отдельной темой. Может кому пригодится.

28.02.2018 13:21, Sergey Spiridonov пишет:
> Привет
> 
> On Thu, 15 Feb 2018 22:59:07 +0300
> artiom  wrote:
> 
>> Подскажите, чем возможно выполнять резервное копирование нескольких
>> машин по сети, чтобы условия ниже были удовлетворены.
> 
> Под описание полностью подходит backuppc. Единственное чего нет из
> коробки - репликации в облако, но это несложно доделать - просто по
> крону закидывать хранилище в облако.
> 
> Бэкап через Интернет и репликация в Интернет накладывает ограничение на
> объём данных/ширину канала, но это не сильно зависит от приложения.
> 
> Я сам пользуюсь backuppc больше десятка лет для бэкапа до 15 машин.
>

Re: Перевод apt 1.6


Смотрите - в англ оригинале %s выделено одиночными кавычками, а в
русском переводе - выделено двойными кавычками - надо исправить и
сделать - как в оригинале - я исправила во всех 4-х случаях


См. https://goo.gl/f7Tqnf




Смотрю -
https://wiki.debian.org/ru/L10n/Russian#A.2BBCAENQQ6BD4EPAQ1BD0ENAQwBEYEOAQ4_.2BBD8EPg_.2BBD4ERAQ.2BBEAEPAQ7BDUEPQQ4BE4_.2BBEIENQQ6BEEEQgQw_.2BBD8ENQRABDUEMgQ.2BBDQEMA-

Рекомендации по оформлению текста перевода

Используйте правильные кавычки-ёлочки: « », набор комбинацией клавиш 
Compose, затем Shift+<<.



1) Тут про одиночные кавычки ничего не говорится.
2) смотрите вот открыла файл в poedit, к примеру возьмём случай строка 
английская и ещё не переведена. 1 вариант действий - Выделяю и копирую 
английскую фразу и ставлю в русский блок и далее перевожу - у меня 
сохраняются все сцецсимволы и ничего не теряется (я спокойна за 
форматирование строки).
2 вариант - если не копируя ввожу вручную, то повышается вероятность 
ввести ошибку в текст (или работая в тектсовом редакторе).


Таким образом если я копирую и потом замещаю английские слова русскими, 
то формат сообщения остаётся прежним, максимально соответствующий 
оригиналу. А если мне надо заменять все одиночные кавычки на двойные (в 
Poedit или Gtranslator), то это столько мелкой (бессмысленной) работы. 
При этом я не понимаю зачем их менять. Ведь програмисты и Gtranslator и 
Poedit знали, что делали, когда пишут в этом случае (с копированием), 
что всё нормально?

Или я что-то не понимаю, хотелось бы понять  :-)))

Re: Перевод apt 1.6


09.03.2018 12:41, Алексей Шилин пишет:

В письме от пятница, 9 марта 2018 г. 7:46:19 MSK пользователь Gali Anikina
написал:

Алексей Шилин, давайте объединим усилия :-)) Обратите внимание на
последний абзац данного письма :-))) - это основная причина - почему я
решила объединить наши усилия :-))
Как поступим? Я бы выделила мне, как подмастерью, какой-то блок -
например со строки такой-то до такой, а потом, уточнённый, я вам его
вышлю (конечно и в рассылку тоже), одобрим (сообществом) и вы дадите
другой кусок к вычитке.
Вас устроит такой вариант? Если не против, распределим роли - вы-ведущий
или пробивающий тропу на лыжах, а я - ведомый, то есть идущий уже по
готовой лыжне.
Тогда жду номера строк.


Основное правило корректного перевода - переводить то, в чём разбираешься. Ибо
иначе можно наделать смысловых ошибок, ведь переводимые фразы всегда имеют
контекст, в зависимости от которого переводиться они могут по-разному.

Лично я, делая сейчас вычитку и доперевод APT, больше времени занимаюсь
просмотром исходного кода программы, нежели непосредственно переводом.

Менеджер пакетов - довольно специфическое приложение для перевода, с обилием
технических деталей. Я совсем не против того, чтобы вы им занимались, - но мне
что так, что этак придётся просматривать весь перевод, на сколько бы частей
его мы с вами ни разделили бы. :) Так что будет лучше, если я уж закончу свой
и отправлю его в рассылку на проверку, и тогда уже вы предложите свои
варианты, если вам что-то не понравится.


Таким образом во всех 4-х строках я ввела одинаковое начало, тк
"Пропускается получение настроенного файла" как-то не так звучит.
Может ещё и так написать  - "Не завершена окончательная настройка файла"
   и далее по тексту - мне кажется это возможно ближе к сути.
Потому что суть данного вопроса в том, что не закончилась процедура
полной настройки данного файла и далее по тексту- объясняется почему.


Здесь происходит именно получение файла, а не его настройка, так что всё
правильно. Соглашусь, что звучит не очень, но лучшего варианта пока не
придумали.


Смотрите - в англ оригинале %s выделено одиночными кавычками, а в
русском переводе - выделено двойными кавычками - надо исправить и
сделать - как в оригинале - я исправила во всех 4-х случаях


См. https://goo.gl/f7Tqnf




Хорошо, не буду путаться у вас под ногами :-)

apt-dump-solver где эта программа или это сейчас apd-cudf

2018-03-09 Пенетрантность Алексей Шилин


>> "Usage: apt-dump-solver\n"

dpkg-query -S apt-dump-solver
dpkg-query: не найден путь, подходящий под шаблон *apt-dump-solver*


Однако есть apd-cudf
который является решателем зависимостей и он есть в Aptitude
В описании, просматриваемом через Aptitude упоминается и EDSP протокол

А упоминаемой на сайте
rus-linux.net›nlib.php?name=/MyLDP…apt-i-dpkg.html
Используйте эту команду, чтобы избавиться от таких пакетов. apt-cache 
dump. Эта команда выводит список всех пакетов, находящихся в кэше.


программы

apt-cache dump
Aptutude у меня не показывает - нет такой (в Unstable), Может конечно 
она есть в Testing или в Stable



(перевод с 
http://tuxarena.blogspot.ru/2010/09/collection-of-18-popular-apt-dpkg-tips.html)


apt-cache dump
This command will list every package in the cache



То есть моё предположение следующее - может быть когда- то ранее 
apt-dump-solver была самостоятельной программой, входящей в какой либо 
пакет, а потом программу модернизировали и теперь это работает по 
другому (теперь это включили в apd-cudf)



Таким образом можно сделать вывод, что какая-то часть кода устарела и её 
надо удалить из програмного кода (в оригинальном английском варианте). А 
для того, чтобы это решить - надо связаться с разработчиками apt, или с 
рускоговорящими или наоборот рускоговорящим, имеющим достаточное знание 
английского задать разработчикам вопрос - то есть акцентировать их 
внимание на этом.
Или они скажут где применяется эта программа. Но всё же я думаю что это 
устаревшая часть кода, которую можно удалить.


Такое "излишнее" (на взгляд некоторых) вникание в суть проблемы не 
потому, что я чего-то хочу показать, а потому, что параллельно с 
переводом документации  я делаю осваивание программного продукта, то 
есть, что меня заинтересовало - опробую, то есть расширяю знание apt. В 
данном случае тоже так сделала и не нашла ничего.



Я понимаю, что это не касается переводчиков и выходит за их, как бы, 
функциональные обязанности, но ведь если есть непонятка-её надо 
разрешить тем или иным путём. Проще и спокойнее сделать вид, что её не 
замечаешь :-)))

Re: Перевод apt 1.6

В письме от пятница, 9 марта 2018 г. 7:46:19 MSK пользователь Gali Anikina 
написал:
> Алексей Шилин, давайте объединим усилия :-)) Обратите внимание на
> последний абзац данного письма :-))) - это основная причина - почему я
> решила объединить наши усилия :-))
> Как поступим? Я бы выделила мне, как подмастерью, какой-то блок -
> например со строки такой-то до такой, а потом, уточнённый, я вам его
> вышлю (конечно и в рассылку тоже), одобрим (сообществом) и вы дадите
> другой кусок к вычитке.
> Вас устроит такой вариант? Если не против, распределим роли - вы-ведущий
> или пробивающий тропу на лыжах, а я - ведомый, то есть идущий уже по
> готовой лыжне.
> Тогда жду номера строк.

Основное правило корректного перевода - переводить то, в чём разбираешься. Ибо 
иначе можно наделать смысловых ошибок, ведь переводимые фразы всегда имеют 
контекст, в зависимости от которого переводиться они могут по-разному.

Лично я, делая сейчас вычитку и доперевод APT, больше времени занимаюсь 
просмотром исходного кода программы, нежели непосредственно переводом.

Менеджер пакетов - довольно специфическое приложение для перевода, с обилием 
технических деталей. Я совсем не против того, чтобы вы им занимались, - но мне 
что так, что этак придётся просматривать весь перевод, на сколько бы частей 
его мы с вами ни разделили бы. :) Так что будет лучше, если я уж закончу свой 
и отправлю его в рассылку на проверку, и тогда уже вы предложите свои 
варианты, если вам что-то не понравится.

> Таким образом во всех 4-х строках я ввела одинаковое начало, тк
> "Пропускается получение настроенного файла" как-то не так звучит.
> Может ещё и так написать  - "Не завершена окончательная настройка файла"
>   и далее по тексту - мне кажется это возможно ближе к сути.
> Потому что суть данного вопроса в том, что не закончилась процедура
> полной настройки данного файла и далее по тексту- объясняется почему.

Здесь происходит именно получение файла, а не его настройка, так что всё 
правильно. Соглашусь, что звучит не очень, но лучшего варианта пока не 
придумали.

> Смотрите - в англ оригинале %s выделено одиночными кавычками, а в
> русском переводе - выделено двойными кавычками - надо исправить и
> сделать - как в оригинале - я исправила во всех 4-х случаях

См. https://goo.gl/f7Tqnf

Fwd: Re: Перевод apt 1.6

2018-03-09 Пенетрантность 1


простите, ответил не в рассылку



 Перенаправленное сообщение 
Тема:   Re: Перевод apt 1.6
Дата:   Fri, 9 Mar 2018 12:34:44 +0300
От: 1 
Кому:   Gali Anikina 



Согласен, нужно выбрать тот перевод названия, который сильнее всего
обозначает выполняемые задачи этим планнером, но при этом постараться,
чтобы ещё и хорошо звучало, как ламповый звук)


09.03.2018 12:14, Gali Anikina пишет:

09.03.2018 11:52, Lev Lamberov пишет:

Пт 09 мар 2018 @ 10:30 Gali Anikina :


Execute external planner
Запустить внешний решатель


На это уже ответили, но я всё равно немного поясню.

На вскидку не скажу, что имеется в виду под planner. Термином "решатель"
в aptitude переводят слово "resolver". Он используется для разрешения
(resolve) зависимостей. Помимо того, что требуется "согласовать" набор
пакетов, решается ещё математическая задача (разные действия имеют
разные веса, предпочтительный вариант разрешения зависимостей выбирается
исходя из, своего рода, суммы очков конкретного решения; то есть,
приоритет в плане предпочтительности зависит от того, сколько очков
набрало решение). В том числе поэтому эта штука "решает" зависимости и
называется "решатель".

Хотя может быть в этом конкретном месте речь идёт о чём-то другом. Может
быть это и планировщик, но это точно не "планировщик задач", поскольку
термин "планировщик задач" уже устоявшийся и обозначает конкретную
"штуку", к которой apt отношения не имеет.

Всего наилучшего,
Лев


То есть возможно всё же в рамках данного apt.ru имел бы смысл тогда 
смотреть в конкретных местах и в зависимости от окружающего контекста 
переводить - или решатель или планировщик (без слова задач).

Просто каждый такой вариант обсудить с сообществом.

Потому что видите у них в aptitude было resolver - согласна его и надо 
было перевести как решатель от корня resolve производное слово (там я 
тоже - "почесав репу" остановилась бы на слове решатель, как 
отражающим в максимальной мере замысел программиста-разработчика).

В словаре mueller7-dict пропущено слово seal

В стоящем в системе словаре mueller7-dict пропущено слово seal, 
кто-нибудь в курсе?


$ apt show mueller7-dict
Package: mueller7-dict
Version: 2002.02.27-10
Priority: optional
Section: text
Source: mueller
Maintainer: Mikhail Gusarov 
Installed-Size: 3 813 kB
Provides: dictd-dictionary
Suggests: dict-server | opendict, dict-client
Tag: culture::TODO, culture::russian, made-of::dictionary, role::app-data,
 use::converting
Download-Size: 3 261 kB
APT-Manual-Installed: no
APT-Sources: http://deb.debian.org/debian sid/main amd64 Packages
Description: Mueller English/Russian dictionary in dict format
 Electronic version of the English/Russian dictionary by V. K. Mueller,
 release 7.
 .
 This package contains the dictionary in dict format.


$ dpkg-query -L mueller7-dict

/usr/share/doc/mueller7-dict
...

В бумажной книжке то я его нашла  есть у меня такой "гроссбух", 
ввести то можно, а как насчёт прав?

Re: Перевод apt 1.6

Пт 09 мар 2018 @ 10:30 Gali Anikina :

> Execute external planner
> Запустить внешний решатель

На это уже ответили, но я всё равно немного поясню.

На вскидку не скажу, что имеется в виду под planner. Термином "решатель"
в aptitude переводят слово "resolver". Он используется для разрешения
(resolve) зависимостей. Помимо того, что требуется "согласовать" набор
пакетов, решается ещё математическая задача (разные действия имеют
разные веса, предпочтительный вариант разрешения зависимостей выбирается
исходя из, своего рода, суммы очков конкретного решения; то есть,
приоритет в плане предпочтительности зависит от того, сколько очков
набрало решение). В том числе поэтому эта штука "решает" зависимости и
называется "решатель".

Хотя может быть в этом конкретном месте речь идёт о чём-то другом. Может
быть это и планировщик, но это точно не "планировщик задач", поскольку
термин "планировщик задач" уже устоявшийся и обозначает конкретную
"штуку", к которой apt отношения не имеет.

Всего наилучшего,
Лев

Re: Перевод apt 1.6

2018-03-09 Пенетрантность Sergey Alyoshin

Предложения по переводу

2018-03-09 11:24 GMT+03:00 Gali Anikina :
> #: apt-pkg/contrib/fileutl.cc apt-pkg/contrib/gpgv.cc
> apt-pkg/deb/debsystem.cc
> #: cmdline/apt-dump-solver.cc
> #, c-format
> msgid "Waited for %s but it wasn't there"
> msgstr "Ожидалось завершение процесса %s, но он не был запущен"

"Ожидание %s, но его нет"


> #: cmdline/apt-dump-solver.cc
> msgid ""
> "Usage: apt-dump-solver\n"
> "\n"
> "apt-dump-solver is an interface to store an EDSP scenario in\n"
> "a file and optionally forwards it to another solver.\n"
> msgstr ""
> "Использование: apt-dump-solver\n"
> "\n"
> "apt-dump-solver есть интерфейс, расположенный в сценарии EDSP в файле \n"
> "and optionally forwards it to another solver.\n"

"Использование: apt-dump-solver\n"
"\n"
"apt-dump-solver -- интерфейс хранения сценария EDSP в файле\n"
"и возможности передачи его другому решателю.\n"

Если solver по переводу решатель, был planner?

Не ставьте пробел перед '\n' (особенно если его нет в оригинале). При выводе в
терминал, если пробел не поместиться в строку, то будет перенесён на новую, а
потом будет перенос \n, то есть получится визуально пустая строка (с одним
пробелом).

Re: Перевод apt 1.6