Portál AbcLinuxu, 27. května 2024 20:27


Dotaz: System wide DNS over TLS nebo HTTPs

23.1. 18:06 Isthvan
System wide DNS over TLS nebo HTTPs
Přečteno: 809×
Odpovědět | Admin
Jak nastavit bud DNS over TLS, nebo HTTPs, pro cely system bez systemd? Cetl jsem o nejakych nastrojich, ale jake je takove obvykle, best practice reseni?

Řešení dotazu:

Nástroje: Začni sledovat (0) ?Zašle upozornění na váš email při vložení nového komentáře.

Odpovědi

Řešení 1× (Max)
Jendа avatar 23.1. 18:42 Jendа | skóre: 78 | blog: Jenda | JO70FB
Rozbalit Rozbalit vše Re: System wide DNS over TLS nebo HTTPs
Odpovědět | | Sbalit | Link | Blokovat | Admin
Úplně stejně jako se systemd - spustíš si lokální resolver (v případě systemd by to byl systemd-resolved, jiné možnosti jsou třeba unbound) a do /etc/resolv.conf napíšeš 127.0.0.1.
Já to s tou denacifikací Slovenska myslel vážně.
26.1. 17:39 Isthvan
Rozbalit Rozbalit vše Re: System wide DNS over TLS nebo HTTPs
Ok, reseni to je, ale kdyby to nekdo otrocky prevadel do praxe, tak pozor, spousta materialu na webu resi DoH/DoT smerem k unboundu, ne dal, coz je to, oc tu bezi.

Zvlastni, ze nikdo nezminil nss-tls.
Max avatar 26.1. 18:19 Max | skóre: 72 | blog: Max_Devaine
Rozbalit Rozbalit vše Re: System wide DNS over TLS nebo HTTPs
nss-tls je mrtvý, ne? Resp. nevidím tak několik let vývoj.
Zdar Max
Měl jsem sen ... :(
26.1. 19:10 Isthvan
Rozbalit Rozbalit vše Re: System wide DNS over TLS nebo HTTPs
Nevim. Respektive vyvoj neprobiha, to je pravda, ale nevim, zda na tom ma co probihat.
29.1. 00:33 Isthvan
Rozbalit Rozbalit vše Re: System wide DNS over TLS nebo HTTPs
Par postrehu:
1) Ne vsechny programy resolvuji pres standardni knihovnu. Proc to nedela nslookup chapu, proc to nedela transmission moc ne.
2) Pak se to spatne debuguje.

V tomhle ma vyhodu unbound, ponevadz odchyti i spoustu takovych programu, ktere nehraji podle pravidel.
24.1. 16:23 karel
Rozbalit Rozbalit vše Re: System wide DNS over TLS nebo HTTPs
Odpovědět | | Sbalit | Link | Blokovat | Admin
normalne pouzijte systemd-resolved a systemd. budte trochu normalni clovece.
24.1. 16:36 zejdlik
Rozbalit Rozbalit vše Re: System wide DNS over TLS nebo HTTPs
pokud ma BSD tak mu to nepomuze :-)
24.1. 16:59 karel
Rozbalit Rozbalit vše Re: System wide DNS over TLS nebo HTTPs
1) by to mel napsat 2) jeho chyba, nemuze pak pouzivat systemd
Pavel 'TIGER' Růžička avatar 24.1. 18:14 Pavel 'TIGER' Růžička | skóre: 53
Rozbalit Rozbalit vše Re: System wide DNS over TLS nebo HTTPs
Co mi dá distribuce se systemd navíc oproti té bez systemd?
Max avatar 24.1. 19:31 Max | skóre: 72 | blog: Max_Devaine
Rozbalit Rozbalit vše Re: System wide DNS over TLS nebo HTTPs
Otázka je ve skutečnosti opačná. Co ti dá distribuce bez systemd oproti těm standardním, které mají všechny systemd? :).
Zdar Max
Měl jsem sen ... :(
Pavel 'TIGER' Růžička avatar 24.1. 20:07 Pavel 'TIGER' Růžička | skóre: 53
Rozbalit Rozbalit vše Re: System wide DNS over TLS nebo HTTPs
Mně osobně efektivitu při případném řešení problémů. Systemd je pořád tak nějak proměnlivý, i když nové verze naštěstí už nevycházejí tak často.
25.1. 11:56 GeorgeWH | skóre: 42
Rozbalit Rozbalit vše Re: System wide DNS over TLS nebo HTTPs
Napr. pokoj a klud pri re/bootovani, ked sa nemusim bat, ze som niekde zle/ne/nastavil nejaku kokotinu, ktoru systemd nerozchodi a zastavi bootovanie v polovici. Alebo rychle a prehladne logy, ktore si mozem filtrovat a rozdelovat na zaklade coho chcem a rotovat kedy chcem. Atd.

Ale otazka je skor ina: Preco by som mal pouzivat systemd? Ved linux je predsa o vybere a o nezavislosti: apache - nginx - lighttpd + php - python - perl, vi - joe - mcedit - gedit, kde - gnome - xfce - fluxbox, sddm - gdm - kdm - lightdm, syslog-ng - rsyslog, ansible - puppet - chef, systemd - uhm ohm sorry, bez toho to uz nefunguje...
Max avatar 25.1. 12:09 Max | skóre: 72 | blog: Max_Devaine
Rozbalit Rozbalit vše Re: System wide DNS over TLS nebo HTTPs
Nechci tu opět rozjíždět nekonečnou diskusi. Každopádně už jen ta zmínka o logách jasně říká, že o systemd asi moc nevíš.
Zdar Max
Měl jsem sen ... :(
Jendа avatar 25.1. 21:08 Jendа | skóre: 78 | blog: Jenda | JO70FB
Rozbalit Rozbalit vše Re: System wide DNS over TLS nebo HTTPs
Já systemd používám, ale přesně ty problémy, které zmiňuje, mě potkávají. Proto bych takovou diskuzi ocenil - nebyl by to bezúčelný flame, ale pomohl bys mně (a dalším čtenářům) používat lépe počítače.

Konkrétně:

Logování

systemd-journald neumožňuje rotovat selektivně podle unit (nebo jakýchkoli jiných celků. Umí se odrotovat pouze celý.). Pokud se tedy nějaká unita zblázní a vygeneruje hromadu logů (populární u nás je zejména nastavit unitě nekonečný počet restartů každých 5 sekund, způsobit, že unita okamžitě po startu selže, ideálně třeba se zalogováním nějakého velkého tracebacku, a zapomenout na to), nelze s tím nic dělat. Nejde to odrotovat per unit, natož aby to šlo třeba přefiltrovat regexem a smazat řádky které regex matchuje.

To rotování funguje divně. Nerotuje to přesně podle času, ale nějak aproximačně podle celých journal files, které mají řádově desítky mega a obsahují třeba den logů. Takže jsem napsal journalctl --vacuum-time=1d a smazalo to logy asi od T-15 hodin, takže jsem přišel i o část dne, co jsem chtěl zachovat.

Další problém systemd-journald je, že je úplně absurdně velký a pomalý. Zkus si třeba journalctl | wc -c (na náhodně zvoleném počítači mi to teď vypíše 29 milionů) a du -sh /var/log/journal/ (152 MB). Čili ty slavné binární logy, u kterých se jako jedna z výhod uváděla velikost, ve skutečnosti zabírají 5x víc než textové, a to ještě nemluvím o možnosti textové gzipovat (tam pak ten poměr vychází někdy i 100x!). Stejně tak s pomalostí: napíšeš journalctl (nebo journalctl -u unita), zmáčkneš End protože tě zajímají poslední, a pokud je tam více než blbých ~20k řádek (podle výkonu počítače), tak čekáš. Když to je v textovém souboru, tak less provede seek na konec klidně gigabajtového souboru a zobrazí poslední řádky okamžitě.

S tím souvisí nedostatek základního toolingu - třeba i debilního prohlížítka. Když otevřu less /var/log/syslog a zmáčknu End, tak to dojede na konec. Když pak zmáčknu znova End (nebo snad i PageDown), tak to konec přenačte a ukáže mi to nové řádky. Nebo můžu zmáčknout F (follow, podobné jako tail -f) a ten less začne nové řádky automaticky scrollovat. Přitom ale stále můžu pomocí Page nebo šipek listovat, tj. není to ekvivalentní s journalctl -f, který jenom vytiskne posledních N řádek bez pageru.

Další nesplněné volební sliby o snazší archivaci a dalších věcech snad ani nemá cenu zmiňovat (extrahovat podžurnál pořádně nejde a není pořádně čím prohlížet).

Vůbec nechápu, kdo tohle proboha navrhoval a programoval, a jestli to ti tvůrci používají - vždyť z toho musí naprosto vylítnout z kůže. Já když jsme v našem stacku měli podobná vysírátka, tak mě to vždycky tak vytočilo, že jsem se pak jednou zavřel a několik dní jsem to zbytku týmu celé fixoval, aby to šlo používat. To ti lidi nepoužívají less? Jak se má journal používat, abych docílil výše uvedených věcí? Nebo lidi už lokální logy vůbec nečtou, všichni mají nějaké buzzwordy ELK, a čtou si to v tom?

Za mě by mnohem použitelnější bylo logovat do textových souborů, co unita to soubor(!), a toto rotovat logrotate. Asi někdy doladím nastavení aby to přesně tohle dělalo, nebo nevím…

Zastavení bootování v polovině

Řešil jsem to i tady. Pak to v Bullseye začalo fungovat, a teď to v Bookwormu zase fungovat přestalo. Na Arch wiki doporučují emergency mode úplně vypnout, ale já se bojím, že takový zásah bude mít nějaké další překvapivé a špatné následky (například bych nerad spustil systém s poškozeným FS, který se pak provozem ještě víc rozbije).

Další věc, co mě potkala, byla, že /etc/rc.local má defaultně nulový (nekonečný) timeout. Jenže dokud nedoběhne, tak to nespustí getty. Takže když v něm (nebo libovolné jiné službě, která musí naběhnout před targetem, který spouští getty) uděláte omylem nekonečnou smyčku, tak už se do systému nikdy nepřihlásíte. Nepodařilo se mi zjistit, jak udělat, aby se getty spustilo dříve.

Když už jsme u toho failování na základě selhaných FS, co jsem psal výše: taky jsem až udeřením reality zjistil, že nofail ve fstabu není nofail, unity furt mají depencence na tmp.mount atd. a když to selže tak nenaběhnou. Navíc to říká jenom "Dependency failed for OpenVPN tunnel" a ne která dependency, člověk musí mít doktorát ze systemd a vědět že má udělat systemctl list-dependencies openvpn-client.

Další zábavu s mountováním jsem řešil tady. Vypadá to, že v podstatě nejde dělat změna fstabu/mount unit za běhu a následně počkat na reboot aby se to aplikovalo.
Já to s tou denacifikací Slovenska myslel vážně.
25.1. 22:07 Peter Golis | skóre: 64 | blog: Bežné záležitosti | Bratislava
Rozbalit Rozbalit vše Re: System wide DNS over TLS nebo HTTPs
A bráni niekomu nainštalovať tradičný syslog (syslog-ng, rsyslog, ...), a poprípade zapnúť niektorým službám logovanie inak ako na štandardný/chybový výstup alebo do súboru (ak autor ešte nevstúpil do tohoto tisícročia)?

Ono to roky rokúce dokáže bežať paralelne.
25.1. 23:57 GeorgeWH | skóre: 42
Rozbalit Rozbalit vše Re: System wide DNS over TLS nebo HTTPs
S logovanim mam presne rovnake problemy. Dokonca aj pri niektorych sluzbach trva systemctl status foo-bar.service neskutocne dlho.

Aplikacne logy sme potrebovali uchovavat dlhsie (4 tyzdne) a systemove kratsie (2 tyzdne). Nejde to. Teda vraj ano - vytorenim novej instancie journald - dakujem, neprosim.

Skusal som teda logy rotovat na zaklade casu a nie velkosti - nefungovalo - teda chvilu ano a potom si to uz robilo, co chcelo.

Potom som skusal rotovat logy na zaklade casu, ale s obmedzenim velkosti - nefungovalo vobec.

A vzdialene logovanie...? To asi sudruh z M$ v zivote realne nepouzival...
26.1. 13:53 Peter Golis | skóre: 64 | blog: Bežné záležitosti | Bratislava
Rozbalit Rozbalit vše Re: System wide DNS over TLS nebo HTTPs
A bráni aj tebe niečo, čo obmedzí journald na povedzme pár MB údajov a nainštalovať obdobu klasického syslogu kde si to vydefinuješ ako potrebuješ, poprípade aj s ďalším preposielaním do centrálnej logovacej inštancie ktorá to bude archivovať na dlhý čas?

Ja to tak používam roky.
Max avatar 26.1. 08:59 Max | skóre: 72 | blog: Max_Devaine
Rozbalit Rozbalit vše Re: System wide DNS over TLS nebo HTTPs
1) Pokud ti nevyhovuje logování systemd, můžeš přeposílat logy jinam a tam si s nimi hrát. Třeba do syslogu a používat logrotate jako doposud.
2) "/etc/rc.local" nechápu. Ta unita u mě nikdy neexistovala a vždy jsem si jí vytvářel a pak záleží, jak si jí člověk nastaví.
3) Pokud chci upravovat unity, tak "systemctl edit <service-name>" nebo "systemctl edit --full <service-name>" a neřešit nějakou kopii apod.
4) Po úpravě "/etc/fstab" je třeba provést "systemctl daemon-reload", aby se vzalo v potaz nové nastavení. Mně na to můj OS upozorňuje.
5) nofail = mělo by fungovat, ale jen v případě, že se pro ten mountpoint nevztahují nějaké další dependency, což jsi v tvém případě nesplnil, takže se není čemu divit, že na to systemd upozornil.
Zdar Max
Měl jsem sen ... :(
Max avatar 26.1. 09:18 Max | skóre: 72 | blog: Max_Devaine
Rozbalit Rozbalit vše Re: System wide DNS over TLS nebo HTTPs
Ještě dodám, že nofail parametr má další fci, a tou je vyřazení z čekání na dokončení. Tento parametr tedy pak může vytvořit jakoby záhadné problémy. Viz tento thread tady na abc: diskuse#37.
Zdar Max
Měl jsem sen ... :(
Jendа avatar 26.1. 15:32 Jendа | skóre: 78 | blog: Jenda | JO70FB
Rozbalit Rozbalit vše Re: System wide DNS over TLS nebo HTTPs
1) Pokud ti nevyhovuje logování systemd, můžeš přeposílat logy jinam a tam si s nimi hrát.
Vzpomněl jsem si na video, kde se reportér ptá lidí, co se jim líbí na jejich městské části, na Zličíně mu řeknou, že se jim líbí autobusový terminál s dobrým spojením do celých západních Čech, a reportér odtuší „na Zličíně je nejlepší, že z něj můžete odjet pryč“.
2) "/etc/rc.local" nechápu. Ta unita u mě nikdy neexistovala a vždy jsem si jí vytvářel a pak záleží, jak si jí člověk nastaví.
Debian ji má default, /lib/systemd/system/rc-local.service.
3) Pokud chci upravovat unity, tak "systemctl edit <service-name>" nebo "systemctl edit --full <service-name>" a neřešit nějakou kopii apod.
Tohle nechápu na co reaguje a jak souvisí s tím co píšu.
4) Po úpravě "/etc/fstab" je třeba provést "systemctl daemon-reload", aby se vzalo v potaz nové nastavení. Mně na to můj OS upozorňuje.
Ale já jsem řešil přesný opak, že chci při příštím bootu mít /tmp v tmpfs, ale samozřejmě ne teď hned když se staré /tmp používá.

Každopádně je dobré že už upozorňuje (mně už také), před 8 lety tomu tak nebylo a pamatuju si, jak jsem narazil na to, že ruční mount namountoval něco podle starého fstabu.
5) nofail = mělo by fungovat, ale jen v případě, že se pro ten mountpoint nevztahují nějaké další dependency, což jsi v tvém případě nesplnil, takže se není čemu divit, že na to systemd upozornil.
Cool ale neřeší popsané problémy :)
Já to s tou denacifikací Slovenska myslel vážně.
Max avatar 26.1. 16:47 Max | skóre: 72 | blog: Max_Devaine
Rozbalit Rozbalit vše Re: System wide DNS over TLS nebo HTTPs
1) Je to tak, ale jde o to, že ta možnost tam je a člověk si to stále může ohnout, jak se mu zlíbí bez nějakých drsných workaroundů.
3) Reagoval jsem na ty odkazy, kde jsi také něco řešil.
5) Pokud chceš používat nofail a zároveň na to mít navázané služby, tak je to hloupost a čisté řešení to nemá. Dnes mluvíš o doktorátu, protože doba je komplikovaněšjší, ale kdysi dávno to také nebylo jednoduché, bo nebyla online komunita a tak dobrá dokumentace a tenkrát by jsi dostal odpověď RTFM :). Proč jí nedostat i dnes? :). Mně by třeba nikdy nenapadlo dělat podobné změny bez toho, aniž bych si ověřil funkčnost a prostě to nechal vyhnít až na někdy.
Zdar Max
Měl jsem sen ... :(
28.1. 22:40 karel
Rozbalit Rozbalit vše Re: System wide DNS over TLS nebo HTTPs
Prostě systemd je tu a není tu alternativa. Tak je potřeba se s tím naučit zžít. Kdo dělá něco jiného je mamlas, byť jsou pohnutky sebelepší.
Max avatar 29.1. 05:26 Max | skóre: 72 | blog: Max_Devaine
Rozbalit Rozbalit vše Re: System wide DNS over TLS nebo HTTPs
Nic takového nebylo řečeno ani naznačeno. Pokud je to tvůj názor, tak budiž, ale já s ním nesouhlasím.
Já jen upozornil, že zamýšlený způsob požití "nofail" je chybný jak z technického hlediska, na což sám Jenda přišel, tak i z teoretického (proč označovat něco jako "nedůležité", když na to mám navázáno dalších x věcí, které potřebuji?).
Zdar Max
Měl jsem sen ... :(
Pavel 'TIGER' Růžička avatar 29.1. 09:37 Pavel 'TIGER' Růžička | skóre: 53
Rozbalit Rozbalit vše Re: System wide DNS over TLS nebo HTTPs
Nenajdeš komerční, certifikovanou distribuci, bez systemd. A pokud se v takovém prostředí pohybuješ, potřebuješ systemd znát. O to více jsi potom doma rád za ty alternativy, které nabízejí ty sebelepší pohnutky.
29.1. 13:22 Isthvan
Rozbalit Rozbalit vše Re: System wide DNS over TLS nebo HTTPs
Podivej, Lennarte...err, chci rict Lennarte...totiz karle. Za prve, k systemd nikdo alternativu nehleda, stejne jako nehleda alternativu ke kaminku v bote, proste pouziva distro, kde systemd neni, napriklad Slackware, distro opravdovych linuxmanu.
Za druhe, systemd asi resi nejake problemy, ktere ma Red Hat, nebo o kterych si Red Hat mysli, ze je ma, nebo si mysli, ze je systemd resi. Ale my ostatni je nemame a vlastne o nich nic nevime, protoze, a je to videt i zde v diskuzi, pres spoustu kecu nikdo nebyl s to nejaky popsat.
Za treti, naproti tomu je vazny duvod systemd nepouzivat, protoze systemd zpusobuje brain damage, a opet je to videt zde v diskuzi. Na dotaz "jak X bez systemd" odpovidas "systemd" a zrejme ti to pripada k tematu, a pri pokusu formulovat nejaky ten duvod, proc systemd pouzit, z tebe vypadne jen "systemd je tu" a zrejme to pokladas za dobry argument.
29.1. 19:25 karel
Rozbalit Rozbalit vše Re: System wide DNS over TLS nebo HTTPs
Lennart češtinu pokud si správně pamatuji neovládá.

Chápu, že s partou vašich 10 kamarádů na mailing listu tyhle problémy neznáte, ale reálný svět je jinde. Sorry.

Systemd tu prostě je a nedá se na tom nic změnit. Svobodu používat si alternativní systémy vám nikdo nebere, ale moc nečekejte že na vás někdo bude brát ohledy, že se vám usecase rozbije.
Pavel 'TIGER' Růžička avatar 8.2. 22:17 Pavel 'TIGER' Růžička | skóre: 53
Rozbalit Rozbalit vše Re: System wide DNS over TLS nebo HTTPs
Už jsem zažil situaci, že ani placená podpora jedné firmy, jejíž zaměstnanci nosí klobouky a pracují ve městě, které ani na žádné mapě nenajdete, nebrala ohledy na rozbité systemd. Rada zněla: "Zaplaťte si školení!" Naštěstí šlo kolem zvířátko, proměňující se svému okolí, vše zdarma přizpůsobilo na jeho systémy a platí se jen jeho podpora, o které se ani neví, že existuje. Neb jeho systém prostě funguje. Až takový rozdíl v přístupu může být.
25.1. 13:40 Peter Golis | skóre: 64 | blog: Bežné záležitosti | Bratislava
Rozbalit Rozbalit vše Re: System wide DNS over TLS nebo HTTPs
Nechcem tu znova rozbehnúť nekonečnú debatu. Každopádne už len tá zmienka o výbere a nezávislosti jasne hovorí, že o Linuxe nič nevieš.

Linux je jadro a zopár programov na jeho obsluhu, tebou menovaný zvyšok je o distribúcii a dodaných programoch. Ak ich tvorca podporuje len jeden init, tak mu môžeš zaplatiť aby pridal tebou požadovanú funkcionalitu. Alebo si ju môžeš dorobiť sám.

Založit nové vláknoNahoru

Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

ISSN 1214-1267, (c) 1999-2007 Stickfish s.r.o.