Sergeich

ОколоITшный дыбр #143

2026-04-25T21:22:09Z

... Пока живой. Но чё-т работаю в режиме ошпаренной кошки, и из-за перепадов погоды колбасит. Плохо быть метеочувствительным.

... "Тот самый" проблемный Postgres таки смог перенести. К сожалению, pgcopydb мне в этом не помогла. Есть в ней какой-то баг, связанный с обработкой Large Objects, исправить который мне не под силу. В конце концов заменил в сервере шпиндель на SSD, поотключал все возможные журналы, добавил ядер CPU, немного поколдовал с настройками Postgres-а. Попросил разработчика какую-то часть Large Objects перенести в Bytea. Нарисовал отдельную XFS-ную файловую систему, на неё сдампил, потом "стандартный" restore, всё в 12 потоков. Уложился в один час (полчаса на дамп, ещё минут 20 на restore), такой простой сервиса мне согласовали. Так что условный happy end. Попутно указал разработчику на баги в софте, из-за которых Postgres жрал 100% CPU при не особо-то сильной коммерческой нагрузке. А всего-то надо было поменять "count" на "exists" и добавить парочку индексов.

... Другой заказчик жжот. Поставил на сервер с Postgres-ом антивирус кашперского (типа "бизапаснасть") и кидает предъявы а хули оно всё так сильно тормозит и запрос вида "SELECT 1" выполняется по две минуты. Не было печали, теперь мне надо где-то найти лицензию на этого серверного кашперского, воткнуть похожую версию в похожей конфигурации на свои тестовые сервера и прогнать всё это. Чтобы значит заполучить на руки контрпредъяву. Вот блин, придумают на мои руки муки на ровном месте всякие личности с безопасностью головного мозга. Как будто мне больше заняться нечем. А сами они капец смешные. Прописали в sudoers запрет на выполнение от суперпользователя всевозможных шеллов и apt-а "по списку", но при этом разрешили всё остальное. Ну да, ну да... И эти люди запрещают мне ковыряться в носу.

... Улышал новый термин: "наговноклодили". Ржал 5 минут.

... Оказывается, ещё где-то прошлой осенью "Госуслуги" отказались от браузерного плагина собственной разработки (IFCPlugin) и переползли полностью на "Инфотекс". Мало того, что по скудной фантазии создали путаницу, потому что раньше он назывался "Плагин госуслуги", а сейчас — "Госплагин". Дык ещё и под FireFox чё-т его ни хрена не обновляют.

... Но есть и хорошие новости. Ростелек таки научился забирать с пресловутых "Госуслуг" зеленоградские адреса. Правда, проставляет неверные почтовые индексы и местами "теряет" номер квартиры, но это уже такие мелочи.

... Обнаружил в красном банке вклад, привязанный к ключевой ставке минус полтора процента. Странно, что про него не упоминают ни в каких обзорах, да и в профильных телеграм-каналах чё-т тишина. Правда, там есть ограничение по минимальной сумме и минимальному сроку, но сам факт.

... Уже не помню, постебался ли я про то, что день интернета в этот раз пришелся на 4 апреля (4.04) или нет. Символично. Но не отчаивайтесь. Математики утверждают, что следующий год (2027) будет простым.

... Наткнулся на забавный материал. Оказывается, чума и массовое вымирание населения — это не всегда плохо. Это я к тому, что "задним числом" мы все умные, а здесь и сейчас просчитать все возможные последствия не может никто. Разве что только ИИ, но и то сомнительно. Уж очень слишком много разных факторов, взаимное влияние которых друг на друга априори вообще не очевидно.

... Барыги до конца месяца предлагают тариф от мегафна с ебонентской платой 10 рублей с неплохим наполнением. Впрочем, его можно получить и без мзды барыгам, если не лень побегать по MNP. Другое дело, что кому он нафиг нужен, этот зелёный жаб?

... Если есть волкодав, где-то должен быть волковзяв?

... Оказывается, есть удобный URL для того чтобы посмотреть свой "внешний" IP-адрес из консоли. Выдает только его одной строкой, и ничего лишнего.

Всем простого года и не встречаться с волковзявом.

comments

Ремонт подкрался незаметно, глава 11

2026-04-20T22:48:25Z

... Супруга решила сделать генеральную уборку. Залезла под кровать пропылесосить. Случайно задела обои. Они очень легко оторвались. А под ними обнаружилась чёрная плесень.

При ближайшем рассмотрении выяснилось, что когда-то очень давно (точно больше 10ти лет тому назад, но никто уже не помнит когда именно) в квартире был потоп. У соседки через этаж выше лопнула гибкая подводка к унитазу и она достаточно сурово залила несколько квартир. А полы, понятно, не супер-ровные. В каком-то месте образовалась лужа. Из этой лужи напиталась водой гиповая стена. И это не современные пазогребневые плиты, а старая советская перегородка, выполненная по дендрофекальной технологии тех лет. И внутри перегородки в том числе начала расти та самая чёрная плесень. Мы её достатчно долго не замечали, потому что под виниловыми обоями было незаметно.

Так что мне пришлось вырезать поражённый плесенью кусок перегородки. Ломать — не строить. Это довольно быстро. Но вот что делать дальше — хороший вопрос. Особенно учитывая специфику дома и некоторые прочие вводные.

А специфика такова, что пол представляет собой "бутерброд" всё в том же духе советских дендрофекальных технологий. Сначала возлегают пустотелые бетонные плиты перекрытия. Обратите внимание на провод: он идёт к люстре соседа снизу, так что просто взять и перерезать его я не могу. Да, он под напряжением. Дальше на плиты засыпается песок. Да, обыкновенный речной песок. Потом весь этот пляж укрывается рубероидом. Поверх рубероида наливается толстый слой битума. На который укладывается оргалит. И уже на оргалит при помощи всё того же битума наклеивается паркетная доска.

С точки зрения шумоизоляции это шикарно. Можно дискотеку устраивать, соседи почти ничего не услышат. Но вот с точки зрения всего остального это сплошная боль и печаль. Дом "играет", пол, мягко говоря, неровный. А если туда попадает вода (битум конечно гидрофобный, но не герметичный), то шансов куда-то деться ей оттуда почти что нет. Да, совсем уж озеро прольётся через швы к соседям снизу. Но вот остаточная влага, которой с удовольствем пропитается песок, может оставаться там годами. И соответственно, отсутствие инопланетных форм жизни в нём не гарантировано.

В моём случае ситуация отягчается ещё двумя обстоятельствами. Во-первых, предыдущий владелец квартиры перед продажей сделал в ней молдавский псевдоремонт. В частности, эти черти содрали в прихожей паркет и положили керамогранит прямо на оргалит, наляпав плиточного клея "на отъ***сь". Понятно, что он ни фига не держится (можно снять голыми руками) и весь давно растрескался. Но раз уж демонтировать керамогранит, то тогда уж вместе с полусгнившим оргалитом. Который потянет за собой битумную стяжку, под которой слой песка. Под которым силовые кабели соседей снизу.

Во-вторых, я живу в этой квартире. С женой, двумя собаками и чёртовой кучей шмотья. И всё это физически некуда девать. Поэтому полностью заменить ~~половое~~ напольное покрытие в комнате ну вообще не вариант. Проще уж сразу квартиру продать, бггг. Но продавать не хочу, мне нравится этот район.

Можно было бы ограничиться только прихожей и санузлом. Из серии "сожрать одну ногу у поросёнка и заменить её на протез". В квартире появится три новых порога. Ну да и хрен бы с ними, допустим. Но непонятно на что менять. Нужно что-то быстросохнущее и водостойкое. Это только так называемая "полусухая стяжка", то есть цемент с минимальным количеством воды. А сверху кинуть кусок линолеума. Но если делать самому, сказочно задолбаюсь. А если кого-то нанимать, то проблема найти исполнителя с руками из плеч. И да, повторюсь, дом "играет". Поэтому песок с битумом в нём вполне неплохо обитают, а вот как поведёт себя бетоний — большой-большой вопрос.

Так и живём. То понос, то золотуха. А я пока что думаю что делать с этими силовыми кабелями. Ибо там не только соседские, но и вполне себе мои пролегают. Которые всё тот же предыдущий владелец проложил руками молдаван между двумя слоями кафеля в санузле...

... После какого-то из обновлений ImageMagick стал "замыливать" ThumbNail-ы. С ним теперь тоже что-то придумывать нужно.

Жизнь — боль. Я, вон, гляжу, кто-то в путешествия ездит. У кого-то хобби всякие. Кто-то в игрушки играет. А у меня только сплошная работа, собаки и бытовуха. Ладно, спасибо хотя бы на том, что есть жратва-одежда-жильё. По нашим временам это уже очень много.

Эта жизнь не для белых. Эта жизнь не для черных, нет. Эта жизнь без надежды на просвет!

comments

Снова про телегу на смартфонах Huawei

2026-04-12T23:02:44Z

Я, разумеется, имею в виду хуявые (Huawei) телефоны без гуглосервисов на борту.

У них "родным" магазином является AppGallery. И прежде чем попасть туда, приложение сперва проходит некую "оптимизацию" именно под хуявую оболочку EMUI. Плюс перезатачивается на работу с их собственным сервисом пушей (HMS Core). Поэтому публикация новых версий с AppGalley идет с существенной задержкой даже по сравнению с RuStore. Так, например, если сейчас актуальная версия Telegram под "обычный" Android 12.6.4, то в AppGallery на момент написания этого поста лежит только 12.5.2. И да, в ней всё ещё есть эти вопиющие баги с некорректными байтами в TLS Handshake, поэтому MTProto в России с ней не работает.

Чисто технически никто не мешает поставить на аппарат MicroG, а поверх APK-шку, скачанную с "telegram.org". Но это тоже ж надо драйвер DirectHands последней версии иметь, знать в принципе про такую возможность, да и офсайт телеги в России тоже немного заблокирован. Вдобавок такой вариант будет кушать немного больше батарейки, нежели "заточенные именно под Huawei" софтины.

Есть другой вариант: найти какие-нибудь свободные аналоги в каком-нибудь F-Droid. Но вот беда. Проект Telegram FOSS схлопнулся. Nekogram уличен в сливе данных пользователей. Из всех халявных вариантов хоть как-то мантейнится разве что только ForkGram (ждем выхода SpoonGram), но стоит ли с ним связываться — тоже вопрос. В любом случае, для него придется отключать контроль энергопотребления, чтобы он не терял входящие сообщения. Со всеми вытекающими.

Так что я несколько разочаровался в этих хуявых. Не, если телефон нужен главным образом для того, чтобы при его помощи делать обалденные фотографии, то лучше чем Huawei Pura 80 Ultra пока ещё ничего не придумали. Ему в спину дышат некоторые флагманские Vivo / IQOO, но последние официально не возят в Россию. А ежели на фотографирование побоку, то наверное и хуявый тоже ну нафиг с его ворохом проблем. Скорее тогда уж имеет смысл смотреть в сторону Honor или всё тех же Vivo.

И чтоб два раза не вставать. Я "на собственной шкуре" протестировал другие два бренда BBK Corporation: Oppo и Realme. Ни тот, ни другой не понравились, в основном по причине интерфейса. В Realme дико выбесила невозможность вынести из "шторки" в самостоятельный ярлык / виджет функции блокировки экрана и сканера QR-кодов. В Oppo с этим нормально, но зато не заработал VoWiFi на Ростелекоме. Ну блин, ё-моё, не понос, так золотуха. Из всего многообразия пока что своими клешнями не щупал Transsion-овские изделия и всякие Nothing / OnePlus. Пока что повода нет, и надеюсь, в ближайшие пару лет не появится. Если выбирал бы себе телефон сейчас, то взял бы Vivo X200FE по акцЫи.

Всем хороших смартфонов и свежепокрашенной телеги.

comments

Идёт борьба бобра с козлом

2026-04-12T00:58:33Z

Тут уважаемый тов. khmurik подогнал несколько ссылок на интересные статьи по околочебурнетной тематике на хабр и не только. Оставлю себе чтобы не потерялись. Все заинтересованные тоже могут сходить ознакомиться. Ниже тезисно совсем краткое содержание для тех, кому лень читать и некоторые мои выводы.

Сами ссылки: раз, два, три, четыре, пять.

Краткая суть.

Госмессенджер "Скам" есть суть Spyware с неким единым "центром управления". КМБУ.
Пресловутый "Скам", а также ряд другого аналогичного софта, является помимо прочего инструментом проверки того, как провайдер выполняет требования по цензуре и блокировкам. Считай, карманный "ревизор".
"Скам" и продукция других подментованных контор умеют выявлять наличие КВНов на потребительских устройствах (смартфонах). И не просто выявлять, а докладывать о них "куда следует". С целью аналитики и последующей блокировки серверов.
Выявление КВНов идет при помощи отсылки запросов к нескольким серверам, возвращающих IP-адрес клиента. Наподобие вот такого.
Попутно идет сканирование по всему диапазону портов хоста 127.0.0.1 на предмет поиска работающих на нём прокси-серверов.
Многие реализации КВНов используют локально запущенный SOCKS5-сервер, слушающий на 127.0.0.1 без авторизации. Таким образом обходятся механизмы изоляции Android.
Для большинства "приватных самодельных" КВН-ов "точка входа" совпадает с "точкой выхода", что позволяет их обнаруживать и однозначно идентифицировать.
ТЬФУ могут обрубать соединения до неугодных серверов, посылая TCP RST в обе стороны, подставляя при этом в качестве SRC IP реальные адреса участников обмена данными.

Выводы.

Скамом лучше не пользоваться в принципе. А если пользоваться, то ставить на отдельный телефон без КВНов.
То же касается и остального российского софта, включая Яндекс.Карты, Сбер, Озон и далее по списку.
Лучше использовать решения без встроенного Socks-сервера, с "честной" маршрутизацией и с возможностью пропускать в тоннель отдельные приложения. Мне пока известны два таких клиента, возможно их больше. Но оба эти клиента не смогут преодолеть границу чебурнета.
Точка входа не должна совпадать с точкой выхода. В идеале точка входа должна находиться внутри чебурнета. Но для не-ITшников такое сделать будет слишком сложно. А "готовые" КВНы с точкой входа в России вам вряд ли кто-то продаст, т.к. слишком легко найти и навалять организатору.
Даже когда точка входа не совпадает с точкой выхода, всё равно остаются возможности для сопоставления двух "плеч" трафика. Поэтому нужно следить, чтобы случайно не зайти на какой-нибудь из подментованных сервисов из КВН.

А вообще конечно смешно. Даже обычная медсестра в муниципальной стоматологической клинике нонче знает что такое КВН и как в него попадать. Будем считать, что это такая массовая кампания по повышению уровня IT-грамотности среди населения.

Всем бобра.

comments

Juniperобсирание, серия 24

2026-04-09T15:43:25Z

Очередные увлекательные эротические приключения с индийской кривой сетевой псевдожелезкой под названием "Juniper SRX".

В энный раз на игрековой технической площадке меня достали всякие скрипткиддисы и прочие порт-сканеры. Всё бы ничего, но когда они "идут" по всему диапазону ASки, Juniper начинает генерировать ARP-запросы к хостам, которых нет. Потом он решает, что этих ARP-запросов как-то зело много, включает троттлинг, перестаёт откликаться на ARP от BGP-соседа и тем самым начинает терять полезный коммерческий трафик. Подход дебильный сам по себе, но ничего не поделаешь.

Тогда я озаботился тем, чтобы сформировать "белые списки" (скоро будет ругательством) из хостов, реально присутствующих в моей ASке. А заодно чётко перечислить весь полезный трафик, а остальной отфильтровать на "низкоуровневом" stateless-файрволле (pfe) чтобы не допускать всякий мусор до stateful-полисира и тем самым повысить живучесть этого несчастного ждунипера при всевозможных сканированиях и DDoS-атаках.

Штош, сказано — сделано. Перечень полезной нагрузки составлен, правила написаны. И всё было бы хорошо, но помимо прочего в списки затесалась парочка GRE-тоннелей. А GRE-тоннель по мнению жуниперов — это что особенное, сакральное, и общим правилам ни фига не подчиняющееся.

Я пошел "в лоб". Source IP такой-то, Destination IP такой-то (мой собственный), протокол GRE, действие "разрешить". Всё остальное запретить. Применяю набор правил на "внешний железный" интерфейс, направление "только на вход" (input). И всё падает. Протираю ~~очки~~ глаза, дважды всё перепроверяю. Снова применяю. Снова всё падает.

Дальше я стал размышлять в сторону маршрутизации. Потому что тот Juniper SRX у меня разбит на несколько Virtual Routers, ибо через те самые GRE-тоннели проложены маршруты по умолчанию для некоторых сервисов. А у GRE и с этим приколы, кому интересно можете посмотреть в документации и другие гневные посты. Была версия, что при "accept" входящий пакет в какой-то "не тот" routing instance приземляется. Но она разбилась об то, что accept "на весь GRE" без указания Source Address вполне себе отрабатывает. А вот если определить SRC IP, то уже нет.

Долго мучался. Благо, у меня дома есть Juniper SRX точно такой же линейки. Прикупил как раз для таких вот опытов. Стал ковырять. И выяснил прекрасное.

Исходящий GRE-пакет тоже попадает под критерий "input" внешнего физического сетевого интерфейса. Да-да. Исходящий. Уже "упакованный" (после инкапсуляции). Тот который готовится уйти внаружу. В input. На внешний железный интерфейс. Именно так.

Моя реакция ожидаема: сссссууууккккааааа!!!! Нигде в документации про это не сказано. Вообще нигде. Как я должен был про такое догадаться? И такое бл****во наблюдается только для GRE. С тем же IPSec-ом, например, вопросов нет; оный отрабатывает обычным ожидаемым образом: ESP ушел в output, ESP пришел в input.

В итоге добавил "зеркальное" разрешающее правило в общий набор, в тот же самый "input", и всё стало хорошо. Но как бычно, цензурных слов у меня нет, один мат.

Где логика? Где справедливость?

comments

Ёлочные игрушки

2026-04-07T21:05:20Z

Когда-то давно я выкладывал видос с авиационными часами, которые один предприимчивый лётчик-испытатель прихватил себе со списанного самолёта, а потом оставил в наследство дочке. Точнее, даже два прибора. Один из них излучает "всего" в 300 раз больше природного фона, второй — в тысячу раз. Пока стекла этих "будильников" целые, почти что никакой опасности они из себя не представляют. Но ту барышню мы с супругой всё же ласково уговорили сдать эти реликвии в МЧС от греха подальше.

Но мало кто знает, что СПД (светомасса постоянного действия) в советские времена наносилась не только на циферблаты всевозможных показометров, но и на самые обычные ёлочные игрушки. В середине прошлого века до событий в полынь-городе по поводу радиации особо не парились. Да чего далеко за примерами ходить, даже брат моего деда как-то спёр с оборонного завода какие-то прикольно светящиеся в темноте пластинки, а вскоре после этого умер от рака. Так что вероятность обнаружить у себя дома ёлочную игрушку с СПД не то чтобы сильно большая, но и не нулевая.

И вот супруга в каком-то ВКонтактовском паблике обнаружила сообщение от некоей дамы, которая где-то увидела / услышала / прочитала / ознакомилась с этой темой про советские ёлочные игрушки, вспомнила что у неё на антесолях хламится целый огромный сундук с оными, и её накрыло паникой. Она теперь боится, что этот сундук облучил всё вокруг; всё что лежало рядом тоже якобы стало радиоактивным; что они теперь все умрут. И не знает куда бежать и что делать.

Мы ей как могли, конечно, объяснили что надо у кого-нибудь одолжить "правильный" дозиметр с датчиком достаточной площади чувствительности (цилиндрические газоразрядные счётчики скорее всего ничего не обнаружат) и померять. Но дальше начались совсем смешные вопросы.

А почему дозиметры показывают разную величину? Наверное, какой-то настроен только на альфа излучение, другой на гамму, по ходу надо несколько иметь, чтоб наверняка.

Я сперва поржал. А потом задумался. Какого хрена этому не учат в той же средней школе? Были же всякие там уроки ОБЖ, НВП и прочая муть, на которых какой-нибудь старый пердун из отставных вояк зачитывал вслух что-то очень скучное и никому не нужное по бумажке. А тут вот совершенно реальная ситуация, и люди вообще не представляют себе как пользоваться обыкновенным бытовым дозиметром.

Не ровен час, такие знания могут и пригодиться, увы. То Донни грозится кинуть батон на Ближний Восток. То территорию Курчатника экскаваторами собираются разворошить. То ещё что-нибудь. А в школе вместо полезных применимых на практике знаний втирали (и продолжают втирать) какую-то дичь. И ютуб "до кучи" заблокировали. На чём учиться-то прикажете? На собственной шкуре? Дык дорого очень выходит.

Кстати, поднимите руку, кто не загугливаясь сможет прям "с ходу", по памяти ответить какое природное явление стоит за словом "Fallout", кто первым с этим явлением столкнулся, при каких обстоятельствах и что с ним(и) потом случилось? Понятно, что один запрос в любую ИИшку моментально всё прояснит. А если в гугол лезть уже поздно, а тут как раз какой-то странный снег с неба сыпется?

Всем ёлочных игрушек без сюрпризов и хорошего дозиметра под рукой.

comments

Бизапаснасть такая бизапаснасть

2026-04-06T13:32:07Z

... Один местечковый ИБшник сделал вход на SSH / SFTP сервер с двухфакотной (двухфакторной, оговорка по Фрейду) аутентификацией посредством TOTP. При этом настроить синхронизацию времени на сервере он не потрудился. Это всё что вам нужно знать про ынхформационныхъ бизапасников. И да, 9 из 10 окажутся именно такими "высокохвалифицырованными спецыализдами".

Про то, что примерно половина таких "бизапасников" даже рядом не в теме как работает линуксовый pam.d (тот который "Pluggable Authentication Modules"), я просто промолчу. Хорошо заметно по тому, какой бред они в конфигах оного пишут.

... Другой заказчик возжелал зачем-то провести проверку по БКИ (бюро кредитных историй) сотрудников компании-подрядчика. Якобы "для минимизации рисков бизнеса". Что само по себе попахивает бредятиной. Оный заказчик разослал анкеты с требованием предоставить им все свои паспортные данные и согласие на передачу своих персданных всем кому не лень. Но больше всего я уссался от псевдоюридических формулировок в этой "анкете".

Подписанием настоящей Анкеты (ФИО Сотрудника) я (далее – Субъект персональных данных), действуя свободно, своей волей и в своем интересе, а также подтверждая свою дееспособность, даю согласие ...

Ну да, ну да, как же. У меня просто охренеть какой лютый "свой интерес" админить их сраные сервера. Глаза бы мои их не видели сто лет. И если я не подпишу эту е**лу, они сервера админить не пустят, а моё руководство начнёт на меня давить. Пипец просто насколько "свободно" я действую, ага. Прям свободней некуда. И то, как я своей подписью героически подтверждаю свою дееспособность, это прям какая-то инновация в юриспруденции и психиатрии. Раз могу подписать, значит автоматически дееспособен? Нннну-нннну.

Настоящее согласие действует с момента его подписания ... но в любом случае не более 1 (одного) года с даты завершения указанных в п. 2 мероприятий.

Ха-ха, а я как будто знаю когда там они завершат свои мероприятия. Кто бы помешал им 100 лет эти свои "мероприятия" проводить. Всё равно передо мной никто не отчитается.

Настоящее согласие может быть отозвано Субъектом персональных данных путем направления письменного заявления Оператору персональных данных по адресу, указанному в начале согласия.

Ну да. На деревне дедушке. Пишите письма. Что такое "начало согласия"? Что такое "начало конца", я ещё могу себе представить. Но что такое "начало согласия"? И где у него середина и конец? И которому именно "Оператору персональных данных"? Их там шесть штук в этой анкете перечислено.

И ведь какие-то мамкины юризды это на всё на серьёзных щщщах составляли. А теперь пытаются заставить меня это подписать. М-дя.

Страна победивших вахтёров.

comments

Канализационное

2026-04-05T19:57:24Z

... В тех локациях, где проживаю я сам, или которые находятся на моём обслуживании, нет никакой гофры на сточных трубах. Нигде. Это правило. Потому что меня дико напрягает это всё чистить когда оно засоряется. Везде где можно, я стараюсь ставить прямоточные сифоны. По этой же причине.

Однако с момента переезда в свою берлогу в далёком 2014-м году, в кухонной мойке таки стоял "родной" ИКЕЕвский бутылочный сифон с гофрой. Помните такую фирму? Да, потому что и кухня "Икеевская", и мойка тоже. Пока я жил один, было как-то пофиг. Когда появилась жена и две собаки, сифон начал достаточно часто (по моим меркам) забиваться. Волосы, жир, шерсть, остатки каши и вот это всё, ага. Собрался с духом, зарядился героизмом и таки решился заменить тоже на "прямоток". Получилось что-то типа такого (фотки кликабельные).

Шо я могу сказать по этому поводу. С этими вашими компуктерами я уже давно отвык работать руками. Переделка заняла целый день. Не ел, не готовил, просто вот как проснулся, вытряхнул собак и пошёл фигачить. Часов с 12ти и до 23-ех не отрываясь. Сломал две биты для шуруповёрта. Закрутил две шпильки так, что "ни туда, ни сюда". Пришлось отпиливать полотном по металлу в крайне неудобной позе в стесненном пространстве. Теперь всё болит так, что уже ничего не хочется. М-дя, надо бы больше физической нагрузки на регулярной основе что ли где-то брать.

И ещё мне непонятно / бесит, почему для этих сточных труб в природе не существует штатного крепежа для фиксирования непосредственно фитингов (тройников, уголков и т.п.), а не только лишь прямых участков. Потому что как правило мне именно фитинги как раз и нужно прикручивать к стене. Приходится изгаляться примерно как на этой фотке. Колхозно, но как по-другому, я плохо себе представляю.

Если вдруг кому интересно, под той же мойкой у меня размещен фильтр с обратным осмосом и двумя накопительными бачками. Один бачок на время манипуляций отстегнул и убрал чтобы не мешал. Большая чОрная хреновина — это диспоузер (измельчитель пищевых отходов). Неоднозначная штука. С одной стороны, удобно. Биоразлагаемый мусор уходит туда, а остальной можно выносить не так часто, ибо всё равно не воняет. С другой стороны, я таки умудрился его (точнее отвод сразу после него) пару раз наглухо забить измельчёнными картофельными очистками. Плюс под ножи ему иногда попадают обломки костей (говяжьих, куриных или рыбных) и заклинивают оные ножи. Приходится тоже всё разбирать и выковыривать. Так что с некоторых пор я в него кости стараюсь не кидать. Но тогда возникает вопрос практической полезности сей приблуды.

К новому сифону у меня тоже есть некоторые вопросы. С одной стороны, он прямоточный, так что по идее забиваться не должен бы. И если увеличить фотографию, то можно лицезреть на торце слева поворотную красную затычку, которую можно вытаскивать и получать доступ к кишкам этого самого сифона. Вроде как круто придумано. Но есть две проблемы.

Во-первых, внутри сифона постоянно присутствует довольно существенный объем воды, ибо диаметр трубы четыре сантиметра. И при вытаскивании затычки где эта вода оказывается, угадайте? Какую-либо ёмкость в этот момент под него тоже не особо подставишь, ибо монтируется это всё вплотную к стене.

Во-вторых, стоит хоть немного деформировать сифон (например, монтажными напряжениями), как профиль горизонтальной трубы превращается в "яйцо" и из-под этой затычки начинает подтекать. Понятно, что не нужно применять лишний раз силу, но всё равно неприятно.

И еще не очень понятно насколько он будет или не будет забиваться в условиях реальной эксплуатации. Вот это верхнее переливочное колено под углом 135 градусов (или 45, если мерять против часовой стрелки) вызывает у меня некоторые опасения. Пока что работает, посмотрим что будет дальше.

... А с телегой интересно получилось. Вот статья на хабре. Павел Валерьевич и компания сделали примерно ничего, только лишний раз пропиарились. Под iOS заплатки нет, под Android пока что не выложили. Да и когда выложат, проживёт он всё равно недолго. В той же статье объясняется почему. Так что в обозримом будущем MTProto-прокси — не вариант. Если только Павел Валерьевич не доведёт свой программный продукт до ума. Но ему, похоже, уже давно пофиг, поскольку не удалось монетизировать свои вложения таким образом, каким бы ему хотелось. И бороться за российский рынок он вряд ли станет. Так что будущее телеги в цензурируемых чебурнетах весьма туманно, особенно учитывая постоянно усиливающееся давление на КВНы. Впрочем, как и состояние всего телекома в России в целом.

Всем незасоряющихся сифонов и регулярной физической нагрузки.

comments

ОколоITшный дыбр #142

2026-04-04T00:07:15Z

... Атака на DNS-сервера моей конторы длилась примерно двое суток и закончилась так же неожиданно как и началась. Чё это вообще было и кому оно понадобилось, навсегда останется загадкой. Я сам теперь смотрю в сторону DNSDist из комплекта PowerDNS. Думаю, рано или поздно неплохо было бы прикрутить фильтрацию входящих запросов по MaxMind-овскому GeoIP. Хотя бы можно будет целыми регионами подести в бан отправлять. А вообще интересно какие в принципе бывают DDoS-оустойчивые DNS-сервера.

... Озон в очередной раз напомнил мне, что все люди смертны. Ну спасибо, родной, а то я так будто не знаю. Скриншот кликабельный.

... В этом году православная пасха приходится на день космонавтики. По мне так, подобное предзнаменование похлеще всяких сельдяных королей будет. И что-то мне подсказывает, что некоторые личности будут отмечать и то, и другое. И ведь ни одна извилина в голове не дрогнет...

... Говорят, что WD вернулась к теме увеличения количества головок в ыыыновацыыонных HDD. Называют это "Dual Pivot". Грозятся довести IOPSы до уровня SSD. Хм, многоактуаторные диски мы где-то раньше уже видели, но чё-то они не стали сильно популярными. Посмотрим, чем удивит WD. Вот что улетевший в небеса ценник на оперативную и флеш-память творит.

... Попробовал ещё погонять pgcopydb для "быстрой логической миграции". Не проканало. Софтина с хорошей задумкой, но на перекачке Large Objects спотыкается и подвисает. Придется искать какие-то другие варианты. И да, для Java-программистов, как оказалось, всё-таки есть разница между "просто bytea" и Large Objects. В первом случае отжирается Heap, во втором — нет, т.к. работа идёт через отдельные классы по другим алгоритмам. Поэтому они эти LO так и любят.

... Обнаружил тут с некоторым удивлением, что если у тебя подключен / работает IPv6, то Мегафно тебя выпускает через отдельный NAT64. Внешне это выглядит так, что если ты идешь на один и тот же хост без поддержки IPv6 по DNS-имени и по IP-адресу, то для этого хоста ты пришел как будто бы с разных SRC IPv4, т.к. эти две дорожки пройдут через два разных NAT-а оператора. У меня только один вопрос: на ***, а главное зачем? Есть конечно предположение, что инженеры Мегафна тренировались NAT64 поднимать, но в такую версию верится с трудом. Серые адреса закончились? Тоже звучит как бред.

... ZeroSSL не работает если на запрашивающем сертификат сервере есть только IPv6 без IPv4. Странно. Шел 2026-й год. Понятно, что всегда есть Lets Encrypt, у которого подобной проблемы даже рядом нет. Но всё равно полезно иметь запасной вариант. "Случаи-то разные бывают." © Поручик Ржевский.

... Рогатые Козлы и Негодяи запретили башлять фруктовой компании с баланса лицевых счетов ОПСОСов. В ответ огрызки разрешили россиянам менять регион. Бабло традиционно побеждает зло. Хотя чего я радуюсь? Мне-то ваще пофиг. Всегда говорил, что огрызки — удел мазохистов со стажем.

... А вот по количеству и качеству вносимых в жерло бешеного принтера законодательных инициатив складывается чёткое ощущение, что в этой_стране™ решили окончательно похоронить связь. Ну или как минимум вернуть её в состояние середины 90-ых. Всё бы ничего, но следом и экономика скатится на уровень примерно Ирана-Эфиопии. Грустно всё это. Не успел я свалить пока был молодым, а сейчас уже и слишком сложно, и непонятно куда.

... Трактористы аккурат первого апреля выложили у себя новость про базовую станцию на аэростате. Кстати, вот новость от мастеров заголовка. И непонятно, то ли это розыгрыш, то ли правда. Но говорят, что всё-таки правда.

... Вот ещё одна новость от мастеров заголовка. Неоднозначно звучит, да. "Судмедэксперт умер, но всё равно поехал на работу". © Чорный народный юмор.

... Странно, что в ProxMox-е нет возможности осуществлять копипасту при работе через "вебмордную" консоль. Даже в ср***м libvirt такое есть. Понятно, что можно ssh-ем на гипервизор и оттуда "qm terminal". Или Spice-ом, если на виртуалке установлены иксы. А если ни того, ни другого? Вроде немолодой продукт-то уже, а всё равно чего-то не хватает.

... Если у вас телега скрипит и не едет, то не мучайте близкие звёзды. А срочно бегите обновлять клиентов. Десктопный до версии 6.7.2, андроидный до версии 12.6.4. Всё что ниже в России без КВНа уже точно работать не будет. Рогатые Козлы и Негодяи постарались. Настолько, что аж на несколько часов банки и СБП уложили.

Всем смазанной телеги и пережить день космонавтики.

comments

DDoS на DNS

2026-04-01T07:29:15Z

... Не знаю, все ли видели новость про npm и axios. Учитывая количество ~~быдлокодеров~~ фронтендеров и вайб-кодеров, астрологи объявляют неделю пополнения ботнетов.

... Опять же не знаю, связано ли как-то с предыдущей новостью или нет. Но прямо сейчас DNS-сервера моей конторы жестко дудосят. С пресловутых ботнетов. Которые размещены главным образом на сетях Google, Microsoft. Но и во всяких Яндексах-Селектелах тоже есть.

Причем, атака довольно мерзотная. Идет на порт TCP:53. Открывается соединение, "ради приличия" запрашивается что-нибудь, а потом TCP-сессия просто висит в "Established". Клиентский пул DNS-сервера переполняется, он перестает отвечать на запросы. Но не на все. UDP продолжает откликаться, а вот DNSSec, EDNS и трансферы зон идут лесом.

И что с этим всем делать, мне непонятно. Я конечно как мог накидал диапазонов в NFTables, но это не решение, а костыль. Нужен, видимо, какой-то другой DNS-сервер, который устойчив к подобному свинству. Но какой?

... Вроде ЖЖ теперь "исконно российский", "Сбер, Родина", все дела. Но чё-то "l-stat.livejournal.net", торчащий где-то на сетях Мегафна, ни черта не отккликается. Доблокировались-с...

Всех с днём дурака, всесильного и вездес(с)ущего.

comments

Постгресово-бэкапное

2026-03-30T19:29:10Z

... Всю жизнь (точнее, последние шесть лет, бггг) бэкапил PostgreSQL тупо самописными скриптами с pg_basebackup внтури. Теперь подумал, что надо бы какое-нибудь более-менее "user-friendly" решение прикрутить. Стал искать-выбирать. И чё-то как-то всё грустно.

Что есть "из классики".

Barman. Неплохо, но под капотом всякие voodoo в виде жестких ссылок (hard links) и rsync-а чтобы забирать WAL-ы. От безысходности я конечно подпишусь на такое, но хотелось бы всё же без хардкора. Из плюсов: изначально годится на бэкап нескольких серверов / кластеров, что мне актуально.
pg_probackup. Платная. В community-версии самого вкусного нет, и поговаривают что к следующим релизам её вообще забросят.
PgBackRest. Питонописная, плюс к ней можно прикрутить отдельную (3rd party) веб-морду. Недостатка по сути два. Под каждый сервер нужно создавать отдельный репозиторий, конфигурационный файл раздувается пропорционально. И WAL-ы умеет только push-ить при помощи archive_command. То есть нужно давать возможность писать с "основного" PG-сервера на бэкапный. Плохо тем, что если потенциальный злоумышленник получает доступ к БД, то к бэкапам автоматически тоже.
WAL-G. Отсутствие документации, Goписьный быдлокод, нет проверки консистентности инкрементных бэкапов, заточенность под облака.
pg_rman. Это скорее эдакий сильно продвинутый pg_basebackup на стероидах, нежели полноценная система управления бэкапами. Плюс под разные версии Postgres-а нужно держать разные версии бинарников pg_rman-а. А в пределах технической площадки постгресы могут быть ой разношерстными.

Из "относительно нового".

pgmoneta. Удивительно, что в 2025-м году кто-то ещё пишет на "сях". Присматриваюсь, но у неё не очень удобный CLI, и она не очень заточена под бэкап пачки разношерстных серверов.
databasus. Смущает, что написана совсем недавно автором из одной соседней страны, не совсем ясен процент вайб-кода в оной. Привлекает наличие веб-морды, но отпугивает какая-то нездоровая заточенность под запуск в Docker-е. Ну не хочу я доцкер в прод тащить, не нужен он мне там. Можно конечно расковырять и пересобрать из исходников, но на это всё нужно время.

Вот сижу всё и думаю чего бы взять. В одном инструменте не нравится одно, в другом другое.

... Среди GUI-клиентов тоже как-то всё грустно. HeidiSQL чисто под винду. Есть сборка под линукс, но она какая-то вся кривая. Antares у меня не завелся. Ну как "не завелся", таблицы видит, редактировать не дает. Вываливает какую-то мутную ошибку. DBeaver вполне ок, но он тяжелый, Javaписьный, дико перегруженный интерфейс, куча функций которая мне реально не нужна. Эдакий трактор, когда мне нужен просто мотокультиватор.

... Опытным путём выяснил, что ТЬФУ не пропускают даже вполне себе "законный" трафик (например, согласованный по челобитной) если "туда" и "обратно" он идет разными путями. То есть когда ТЬФУ видит пакеты в обе стороны, то переходит на следующую ступень и начинает анализировать сигнатуры протокола и "белые списки". Если же оно не понимает что это за протокол, то пропускает первые 16 килобайт, а дальше начинает дропать всё подряд. На этом фоне собственная PI AS становится скорее вредна, чем полезна.

Всем своевременных рабочих бэкапов и удобных GUI-клиентов.

comments

ОколоITшный дыбр #141

2026-03-25T12:51:50Z

... Заметил тут, что просто установленный на телефоне вацап активно высаживает батарейку. Потому что постоянно пытается долбиться куда-то, куда его чебурнетчики не пускают. Так что принял волевое решение снести этот вацап к какой-то матери. Всё равно мне туда уже давно почти никто не пишет.

... Показали мне "Яндекс.Мессенджер". Оказывается он не только для компаний, а для так-то для всех желающих. Причём, чаты в этом "Яндекс.Мессенджере" — это те же самые чаты, что и в "Телемосте". И звонить голосом тоже можно через оба. Понятно, что Яндекс это ровно такая же подментованная контора как и VK, и переписку тоже читает тов. майор. Но их продукты хотя бы не такие кривые как VKшечные, ими хоть как-то можно пользоваться. И тоже есть в "белых списках". Так что как совсем аварийно-резервный канал связи пойдёт. А для трындежа с забугорцами народ массово ставит себе IMO. Хотя Яндекс, есличо, для такого тоже условно-подходит.

... Я прошлом псто упоминал, что гугол собирается анально огородить свой ондроед от "неправильных" приложений. У некоторых уже начало подгорать заранее. Аж промо-сайт запилили. Чё-то мне подсказывает что гуглу похрен и он с настойчивостью кретина таки выстрелит себе в ногу. Эй, китайцы, где вы там со своей HarmonyOS ?

... Как выяснилось, у ждунипера есть втроенный полисир, ограничивающий максимальный объем ARP-запросов в секунду. И если вы про него ничего не знаете, это не значит что он не включен. У вас перестал откликаться сервис по непонятным причинам? Хых, проблемы индейцев шерифа не волнуют. Главное что всё "безопасно".

... Исторически я люблю Postgres и не люблю MySQL. Просто потому что если в базу InnoDB шла запись в момент потенциального краша MySQL (например, по питанию или по OOM), то с данными из базы ты можешь смело попрощаться. Postgres в этом плане сильно более устойчивый, т.к. пишет каждый чих в WAL (write-ahead-log), и чтобы необратимо поломать постгресовую базу, надо сильно постараться.

Но как оказалось, некоторые операции в postgres-е "пролетают мимо" WAL-ов. Например, построение индексов. Точнее, он сначала пишет в файл на диск, а потом уже в WAL. И если в этот момент СУБД крашнется, то файл так и останется лежать на диске. Более того, такие "мусорные" файлы будут кочевать из бэкапа в бэкап и реплицироваться на slave-ноды. И задача поиска-отстрела таковых превращается в увлекательное эротическое приключение с элементами ходьбы по минному полю. Есть конечно универсальный способ решения: логический dump-restore, но если у тебя база размером несколько терабайт...

Всем неогороженных андроидов с долгоиграющей батарейкой.

comments

Пончики-батончики

2026-03-24T12:49:07Z

Озаботился тут снижением массы своей драгоценной тушки. Плюс по не связанным с перевесом причинам эскулапы запретили жрать сладкое, включая лук, чеснок, фрукты, а особенно сцуко-фрухты (сухофрукты). Благо, разрешили хотя бы кофий хлебать ~~яки лошадь~~.

Но кофе "с таком" невкусно и неспортивно. Душа требует к нему ~~похмелоидов и~~ закусоидов. Булки и печенья я цинично забанил. Поэтому обратил свой взор в сторону всевозможных протеиновых пончиков-батончиков.

Однако чудес не бывает. Окромя искусственных подсластителей в сих изделиях должна быть какая-то основа. И вариантов чё-то не то чтобы много: соя, казеин-альбумин, кокосовое масло / мякоть, кукурузный крахмал и всё вот это.

Почему это плохо? Сахара / фруктозу изначально хотелось выкинуть. Лактоза — тот же сахар, к тому же моей тушкой не усваивается наравне с молочными белками. Потом спецэффекты всякие неприятные наступают. Глютен и вот эту кокосовую тему тоже обойти бы стороной. В моём случае не полезно ни то, ни другое, хоть и условно-допустимо.

Так что я не на шутку задумался. Существуют ли в принципе в природе некие продукты питания, которые можно хомячить по утрам с кофе, но при этом не содержат: сахаров (глюкоза, фруктоза, лактоза, галактоза, сахароза, крахмал), глютена, сухофруктов, молочных белков, какао и производных кокоса.

Понятно, что универсальный правильный ответ будет "сельдерей", но он с кофе как-то не очень заходит...

Коллективный разум, посоветуешь чего?

comments

ОколоITшный дыбр #140

2026-03-22T10:40:14Z

... Продолжаю свои эксперименты с OpenConnect. И вот что удивительно. Я ранее писал про вываливание с ошибкой "invalid MTU -18" при работе поверх IPv6. Потом я хохмы ради запроксировал Openconnect Server при помощи NginX-а таким образом, что от клиента до Nginx-а соединение происходит поверх IPv6, а от Nginx-а до OCServ-а — поверх IPv4. Разбил на два плеча, так сказать. И как ни странно, проблема больше не проявлялась. Видать, всё-таки в сервере баг, а не в клиенте.

Попутно немного удивился, что "на вход" Nginx принимает proxy_protocol обеих версий (1 и 2), а "на выход" может отдавать только версию 1. Странно, вроде софтина-то с длинной историей. Фичреквесты я в трекере на поддержку 2й версии я видел, но их пока не успели реализовать. Так что в этом отношении HAProxy пока ещё "на шаг впереди".

А ещё Nginx-у невозможно скормить upstream с link-local ipv6 адресом, потому что ему невкусно упоминание интерфейса в конфиге. Вот тут я тоже удивился.

... Заодно потыкал мышкой в "родной" цисковский Secure Client под винду. Фу, какая гадость. Как люди вообще этим пользуются? За пару часов так и не разобрался как ему скормить клиентский X509-сертификат для авторизации, забил. Какой-то Javaписьный клиент ради редактирования XMLки, которую надо потом положить куда-то в правильное место... фу таким быть.

... Юрент потихоньку выставляет на улицы электросамокаты. Ну всё, закончились спокойные прогулки по городу. Обидно.

... Раньше мне звонил с голосовым спамом какой-то "Сириус" и предолжением инвестировать чего-то там куда-то там. Сейчас повадился звонить "ООО Полезный звонок", хотят продать мне недвижимость. Причем да, ООО с таким названием нонче стало как грязи, по нескольку штук в каждом регионе. В этот раз доставали с номерной емкости мегафна из Нижнего Тагила. ФАС предлагает оставлять жалобы на сайте своего оператора. Ну да, ну да. Уже побежал жаловаться мегафону на него же самого. Овцы подают протест волчице на действия её волчат. Пчёлы против мёда...

Вот этим вопросом по-хорошему как раз бы и заняться РКН-у. Чтобы дрючил как следует ОПСОСов за продажу услуг связи спамерам. Механизм изобретать не надо: N пользователей с положительной репутацией жалуются на номерной пул, проверяется факт звонков с этого пула жалобщикам, если всё подтверждается, то ОПСОСу выставляется штраф. Но нет, это что-то из разряда ненаучной фантастики.

Можно теоретически подключить "Еву", но она тоже работает через ж...у. Иногда через неё не пробиваются вполне себе нужные полезные звонки. Да вот хотя бы мою маму Мегафон записал в злобные спамеры непонятно с какого перепугу.

... Купил себе новый рюкзак. Но наверное таки пойду в ателье и попрошу подлатать свой старый Samsonite, бо сейчас за разумные деньги очень тяжело найти что-то сравнимого качества. Но вот что странно. Даже в самых крутых продвинутых рюкзаках почему-то обычно не предусмотрена петля между лямками. За которую удобно вешать рюкзак на поручень в транспорте при помощи S-образного крюка. Ну как так-то? Даже российские дизайнеры не ездят в общественном транспорте что ли? И не знают что если долго держать тяжелый рюкзак, то руки отсыхают?

В итоге выбрал "Гризли", у которого есть такая петля. Заявлен как якобы российский, но сшит конечно в Китае. Правда, в нём другие достаточно спорные решения применены, так что рекомендовать не могу.

... Один известный в рунете деятель предлагает упражнение. Взять любой серьёзный закон, да хоть бы конституцию РФ. Найти там все глаголы, заканчивающиеся на "-ется, -ются". И поставить перед ними словосочетание "чудесным образом". Говорит, получается очень смешно. Хм, что-то в этом есть.

... Гугол собирается сильно усложнить установку приложений откуда-либо кроме как из Google Play. Астрологи объявляют рост популярности альтернативных открытых прошивок и моделей телефонов с поддающимся разблокированию загрузчиком.

... В Иране есть ракета "Насралла" и остров Харк. Эту страну не победить.

... Собака для привлечения внимания (СПДВ).

Всем интересного времяпрепровождения не привлекая внимания санитаров.

comments

ОколоITшный дыбр #139

2026-03-20T21:40:37Z

... "Госуслуги" снова жгут (скриншот кликабельный). Кому пенсию {{FIXED_PAYMENT}} рублей?

Кстати, Ростелек внезапно научился определять индекс в зеленоградском адресе при заключении электронного договора. Только вот всё равно неправильно, из соседнего микрорайона показывает. Штош, может через полгода таки научится и адрес временного пребывания парсить, пока что с этим чё-то никак... но уже хоть какой-то прогресс налицо... Пока что жители Зеленограда продолжают страдать.

... Да, Ростелек прислал SMSку, что у него с 1 апреля беспроводной трафик до серверов Wink-а больше не бесплатный. Имейте в виду, если вдруг кто пользуется.

... У Сбера чтобы расплатиться спасибами оффлайн, обязательно нужно присутствие физической пластиковой карты. СберPay не канает. Чё-т не предусмотрели.

... Альфа некоторым дает 10% кешбека на автозаправки. Проверьте. Но вообще эта самая Альфа задрала спамить в push-сообщениях. Не знаю можно ли это в принципе отключить, не прибив уведомления от приложения полностью. Если нет, то запишу этот банк в категорию козлиных и отправлю в газенваген. У кого бы спросить...

... ТКБ меняет морду интернет-банка. В новый личный кабинет вход только по номеру счета. Если вы его не помните, посмотрите и где-нибудь запишите пока не поздно. 23 марта старую морду отключат. И вот что забавно, логин-пароль для новой морды у них теперь не требуется совсем: только номер счета (который не является секретным) и код из SMS. Ох пугают меня такие подходы. Пожалуй, не стоит в таких банках пытаться держать свои деньги. Так что тоже в газенваген.

... Про беспилотники в московском метро, наверное, уже все кто мог оттоптались. Обидно только то, что МТС и Яндекс в белых списках: от самокатчиков отдохнуть не удастся. Жаль, так бы горечь отключения мобильного интернета была не такой сильной. Хотя вон, в СПб таки движутся в правильном направлении, как по мне.

... Ушла легенда. Чака Норриса больше нет. Никто теперь не соберёт всех покемонов с городского телефона.

... В Московской области есть населённые пункты с названиями Фрязево, Фрязино и Фряново. Причём даже находятся не сильно далеко друг от друга. А во Фрязино и Фрязево дык вообще электрички с одного и того же вокзала стартуют. Эдакая ловушка для невнимательных. Время от времени кто-то обязательно уезжает не туда, куда собирался.

... Маму чё-то люто полюбили мошенники. Периодически пишут ей то якобы из центра занятости, то из пенсионного фонда, то из энегргосбыта, то из поликлиники. Причём, сочиняют весьма убедительные легенды. У меня-то глаз давно намётан, а так бы я тоже напрягся. Правда, теперь телегу забанили. Нет телеги — нет проблем. Наверное.

... Оказывается, у меня в люстрах дома стоят какие-то до фига редкие китайские патроны. Они под цоколь E27, но внешний диаметр у них как у E14. Это достигается за счет супертонкой стенки. Один из них развалился. Теперь не знаю где взять похожий. Даже на али нет таких.

... Как же у меня бомбануло, когда я осознал, что RAID-контроллеры Broadcom / LSI не позволяют совать в один логический накопитель одновремнно HDD и SSD, даже если они одинакового объёма. Ну казалось бы, какая ему разница что за блочное устройство там торчит уровнем ниже? Даже mdraid так умеет, а до хрена умная дорогая железка чё-то вот нет.

... А ещё у меня дичайше бомбануло от того, что с Juniper SRX через стандартный CLI невозможно лапами отослать Gratuitous ARP-запрос. Суки индусские.

... Не пойму, почему в Android оплата происходит не с активного в данный момент Pay-приложения, а с того, которое назначено по умолчанию в настройках операционной системы. Это явно так by design, но зачем так делать, блин? Или программисты наивно уверены, что у Android-пользователя может быть / должен быть только один интернет-банк и не волнует? Дико бесит.

... Наушники Baseus Inspire XH1 оказались на удивление приличными. Урвал по акцЫи на вазоне. Без акций конечно жаба задушила бы.

... Трамп: виноград зелен. Штош, не шмагла. Бггг. Великий миротворец тоже мне блин нашелся.

... У меня на раёне живет мужчина по имени Патрик. Да, его прям по паспорту так и зовут. Если он купит себе "УАЗ Патриот", то будет Патрик на "Патрике", бггг.

... Debian обновился до 13.4.

... Вспоминаю начало 2000-ых годов, когда многие провайдеры отпускали внутрироссийский и международный трафик по разной цене (международный дороже). Похоже, развитие идет по спирали, как всегда. Возвращаемся к истокам, только под другим соусом.

Всем надежной защиты от беспилотников в метро и хороших наушников.

comments

Ещё котиковое

2026-03-19T05:42:36Z

С давних лет у меня на обоях рабочего стола висит вот такая картинка. Уже не вспомню где я её взял. Возможно, на каком-нибудь Devianart, но это не точно.

Просто ради лулзов скормил её Qwen-у и попросил сделать из неё фото. Получилось вот такое.

А хорошо рисует, зараза. И тени проработал, и шерсть, и дымку, и грибок на коре высохшего дерева. И восхищаюсь, и немного опасаюсь.

comments

Котиковое

2026-03-18T20:16:23Z

Собрались было отдать котэ на чистку зубов. А он взял и явил миру вот такое.

В таком состоянии давать наркоз, понятно, нельзя. Так что чистка зубов накрылась [далее сами додумайте чем она накрылась].

Когда котэ продемонстрировал оный спецэффект в первый раз, все подумали что он огрёб сотрясение мозга. Ну мало ли, спросонья со шкафа упал. Бывает. Через какое-то время прошло само. Но теперь это чё-то стало доброй традицией. Так что не сотрясение.

И вот чтобы понять что это такое, котику нужно сделать МРТ. Чтобы сделать МРТ, нужен наркоз. Но непонятно можно ли давать наркоз, потому что незвестно что это за фигня. Классика: драйвера от модема на компакт-диске, драйвера от CD-привода в интернете.

Так и живём.

comments

Про StrongSWAN и Openconnect

2026-03-17T18:01:50Z

... Известные РосКозлы и Негодяи обычно обновляют прошивки на своих ТЬФУ в пятницу вечером по Москве. Так что в субботу у меня отъехал беспамятный страж проволоки. Вообще, удивительно что только сейчас, потому что с того хостинга (OVH) даже обычные HTTP и HTTPS перестали работать очень-очень давно.

Но как ни странно, имеет значение направление установления соединения если протокол несимметричный. Так что "туда" может и "не алё", а вот в обратную сторону иногда очень даже копенгаген. Есть одна штука, которая по сути своей есть HTTPS, и имя ей Openconnect. Так что решил попробовать.

Общие впечатления: штука корявая и глюкавая. По качеству кода, дизайну и полноте документации до того же OpenVPN-а ей как до Луны пешком. Но от чего меня реально бомбануло — он не работает поверх IPv6. Нет, чисто номинально такой функционал имеется. И между соседними виртуалками на одной хост-машине всё замечательно бегает. Но вот в реальной сети — до первого packet reorder. Дальше идет какой-то совершенно неинформативный отлуп вида "main-worker-cmd.c:351: worker process invalid MTU -18" и клиент отлетает. Причем, это не связано с проблемами на сети. Я упоролся и таки сравнил дампы трафика с двух сторон: потерь пакетов нет. Это именно какой-то косяк в логике то ли клиента, то ли сервера. По-хорошему бы зарепортить авторам, не знаю дойдут ли руки.

На практике это выглядит так, что подключенный клиент работает некий случайный промежуток времени от полминуты до пары часов, потом получает "давайдосвиданья" от сервера и завершается с ошибкой. Если перезапустить, то подключается и работает ещё некоторое время. И так далее. В конце концов я плюнул, перевесил линк на IPv4 и проблема ушла.

Другой неприятный косяк Openconnect-а: он как-то не отрабатывает Path MTU Discovery на своих виртуальных TUN-интерфейсах. Ни со стражем проволоки, ни с OpenVPN-ом у меня таких неприятностей ни разу не было. А этот вроде бы и шлёт "Frag needed and DF set", но почему-то на TCP MSS это никак не влияет. Может я конечно что-то неверно понимаю или что-то не так делаю. Но пришлось лапами в nftables эти TCPMSS подкручивать, а то толстый payload начинал дико тупить.

Ещё одна попа-боль — это создание отдельного PtP-интерфейса под каждого клиента. Ну зачем? Зачем, Карл? Неужели нельзя всё через один интерфейс разрулить, как это делают те же самые OpenVPN и StrongSWAN? Ну возьмите же ж вы оттуда прям готовый код, они все открытые!

В общем, вердикт: как-то работает, и ладно. Я сперва думал контору на него переводить. Но теперь чё-то засомневался, а стоит ли. Радиус кривизны у него прям несравнимо круче, чем и у того же OpenVPN-а, и у StrongSWAN-а. Чувствую, если меня сильно выбесить, схожу на курсы по "плюсам" и запилю свою собственную реализацию ISAKMP поверх HTTPS для OpenVPN, бггг. Переизобрету велосипед наподобие Ultra Horizon. Те редиски свою балалайку чё-то забросили.

... Нашел свою старую ошибку в конфиге StrongSWAN-а. Долго не понимал, почему у меня периодически переставал ходить трафик с мобильного клиента до тех пор пока не переподключусь. Грешил на NAT-ы ОПСОСов. Но всё оказалось проще: в multi-client конфиге ни в коем случае нельзя прописывать "remote_ts". Иначе следующий подключившийся заберет на себя xfrm policy, а все предыдущие хоть и не отвалятся, но останутся ни с чем. И "local_addrs" лучше тоже не указывать, особенно если хочется Dual-Stack (IPv4+IPv6) на одном инстансе. Так можно, да.

Таким образом, правильный рабочий конфиг для multi-client StrongSWAN выглядит вот так. Пользуйтесь кому надо.

guestras {
    version = 2
    proposals = aes256gcm16-prfsha384-ecp256
    if_id_in = 101
    if_id_out = 101
    rekey_time=8h
    pools = pool_v4, pool_v6
    send_cert = always

    local {
        certs = "серверный_сертификат.crt"
        id = @foo.staser.ru
        auth=pubkey
     }

    remote {
        auth=pubkey
     }

     children {
        guestras-phase2 {
            esp_proposals = aes256gcm16
            rekey_time = 1h
            mode = tunnel
            start_action = none
            local_ts  = 0.0.0.0/0,::0/0
         }
     }
}

В качестве "серверный_сертификат.crt" можно использовать тот же Lets Encrypt, только в DNS Alternative Name должен быть правильный домен указан, который соответствует действительности и совпадает с содержимым директивы "id =" в конфиге. А вот клиентам сертификатики придется сгенерировать самостоятельно при помощи какого-нибудь easy-rsa и раздать всем желающим. Я сам именно так цепляюсь к своему антресольному серверу дома, мне нравится.

... И немного новостей из перевернутого мира.

Я каким-то непостижимым образом то ли умудрился высосать за месяц два терабайта трафика, то ли это OpenWRT брешет, то ли меня кто-то дудосит. Не знаю.

Налоговая зачебурнетилась. Из России её DNS-зона ресолвится, из остального мира — только из Испании почему-то. Гугол (четыре восьмерки) адрес "lkfl2.nalog.ru" тоже не может отдать. В субботу похожим образом падали DNS-ы у МИФИ, но к понедельнику починились. Совпадение?

И простое понятное объяснение кто такие и как работают РосКозлы и Негодяи.

За сим откланиваюсь. Всем бобра.

comments

Упражнения с temporary IPv6 и DynDNS

2026-03-15T22:21:58Z

В одной из локаций ростелек даёт мне аж "/56"-подсеть. А я её никак не использую. Нехорошо. Решил это исправить. Но есть проблема: она динамическая. То есть после отключения электропитания или просто после реконнекта адреса могут измениться. И зафиксировать их никак нельзя. Значит нужен Dynamic DNS.

Вопрос условно делится на три части.

Узнать что IP-адрес изменился.
Узнать новый IP-адрес.
Скормить его в DynDNS.

И задачка со звёздочкой: настроить временные IPv6-адреса, они же IPv6 Privacy Extensions по той же схеме. Не спрашивайте зачем. Может быть потом расскажу.

За основу настройки сети у меня взят systemd-networkd. Потому что в ifupdown-* невозможно узнать когда сеть реально настроена (нет механизма состояний), а NetworkManager меня бесит, хотя в чём-то он очень удобен. И тут кроется первая засада.

Формально для отслеживания состояния networkd существует специально обученная софтина "networkd-dispatcher". Однако она питонописная (читай: прожорливая по памяти) и выдаёт довольно куцые результаты. Поэтому была найдена другая, rustаманская, под названием "networkd-broker" (готовых deb-пакетов с ней нет, не ищите).

Вторая засада связана с той самой rustаманской софтиной: она выдает IPv6-адреса не в виде привычной строки, а в виде массива десятичных значений. То есть для дальнейшего использования его нужно ещё сконвертировать в HEX (не путать с НЁХ).

И третья засада, которую я разглядел слишком поздно. Временными адресами рулит ядро, а не networkd. Поэтому последний не присылает никаких DBus-событий по факту изменения временного адреса. Но к этому времени скрипты уже были написаны, так что переделывать я их не стал. А просто добавил ещё костылей (больше костылей богу костылей!).

Итак, скрипт для network-broker.

#!/bin/bash

set -e

[ "z$NWD_DEVICE_IFACE" == "zens19" ] || exit 0
[ "z$NWD_BROKER_ACTION" == "zroutable" ] || exit 0

ADDR=`echo $NWD_JSON | /usr/bin/jq 'last(.Addresses[] | select(.FlagsString=="temporary")).Address[]'` || \
ADDR=`echo $NWD_JSON | /usr/bin/jq 'last(.Addresses[] | select(.ConfigSource=="NDisc")).Address[]'`

ELEM=($ADDR)
ADDR=""
hex=({{0..9},{a..f}}{{0..9},{a..f}})
COUNTER=0

for i in "${ELEM[@]}" ; do
  COUNTER=$((COUNTER+1))
  ADDR+=${hex[$i]}
  [[ $((COUNTER % 2)) == 0 ]] || continue
  [[ $COUNTER -gt 15 ]] && break
  ADDR+=':'
done

Проверяем что речь идет о нужном интерфейсе и нужном событии (ens19, routable). Парсим полученный от брокера JSON на предмет temporary-адреса. Если такового нет, берем постоянный. Дальше некий изврат по конвертации массива десятичных значений в шестнадцатеричный адрес. На выходе в переменной "${ADDR}" получаем готовый к последующему использованию адрес.

Но как я уже упоминал, при первом запуске брокер всё отдаст в лучшем виде, а вот об изменениях ничего не сообщит. Значит нужно его держать не в виде демона, а пинать принудительно. Для этого пишем сами другой [дерьмо]демон на всё том же bash-е.

#!/bin/bash

/usr/bin/ip -6 monitor dev ens19 | \
  while read LINE ; do
   [[ $LINE == *"temporary"* ]] && /usr/bin/timeout 5s /usr/bin/networkd-broker -T 2>/dev/null
  done

И пихаем его в systemd. Он будет дёргать нашего брокера. Вообще говоря, при таком раскладе брокер становится не особо-то и нужен. Более того, даже проще будет вместо него накорябать очередной bash-скрипт: не придется с этой конвертацией из DEC в HEX заморачиваться. Но раз уж всё равно сделал, пофиг, пусть остается как есть.

IP Monitor отслеживает изменения temporary-адреса, брокер его сообщает. Осталось запихнуть его в DynDNS. Я у себя использую knot. Мне он чё-то понравился. Процесс внесения изменений в динамическую зону в нём реализован достаточно легко и приятно по сравнению с тем же bind9. В скрипте ниже предполагается, что в ключе запуска уже присутствует правильное значение адреса, которое нам не нужно дополнительно проверять. В моём примере Primary DNS Server для зоны "foo.staser.ru" находится на той же самой виртуалке, на которой я провожу эксперименты.

#!/bin/bash

[ -z "$1" ] && exit 0

/usr/bin/knsupdate << END_SCRIPT
server 127.0.0.1
zone foo.staser.ru
origin foo.staser.ru
ttl 1800
update delete @ 300 AAAA
update add @ 10 AAAA $1
send
quit
END_SCRIPT

Готово. Вообще говоря, IPv6 Privacy Extensions по-хорошему совсем не предназначены для того, чтобы навешивать на них какие-либо сервисы. Более того, прежний временный адрес не удалится до тех пор, пока с его участием имеются какие-либо активные соединения. Возникает неиллюзорный риск поиметь на интерфейсе чёртову тонну таких временных адресов. Так что вот этот мой псто смело можно относить к категории "потные извращения".

Но раз я подобным озаботился, значит зачем-то оно мне стало нужно... пусть будет интрига.

comments

Как я подключил проводной ростелек в Клину

2026-03-12T20:09:36Z

Тёще не повезло жить в радиусе 10 километров от военного аэродрома. Поэтому проще перечислить дни в году когда в славном городе Клин работает мобильный интернет, а не дни когда он там не работает. Точнее говоря, это мне не повезло иметь такую тёщу в такой локации, потому что ей-то на самом деле абсолютно по**й и на интернет, и на его отключения. А вот мне не всегда понятно что делать если внезапно позвонили с работы, а я в этот момент нахожусь в транзите на дачу / с дачи / по делам в том районе и так далее.

Решил, хрен бы с ними, не такие большие деньжищи, надо затащить в ту квартиру провод. В доме присутствуют всего два провайдера: местечковый пионернет и ростелек. Я уже почти договорился с первым, но они готовы придти и подключить только через три недели. Ажиотаж, видать. Поэтому чисто ради интереса позвонил в ростелек.

ИЧСХ, подключиться к этому самому ростелеку можно двумя способами. Первый: позвонить на горячую линию "8-800". В таком случае само подключение будет бесплатным. Второй: позвонить по номеру из расклеенных в подъезде листовок. Тарифы предложат ровно те же самые, только ещё и за подключение дополнительно сдерут 500 рублей. Но! В последнем варианте они все там становятся какими-то дичайше замотивированными и начинают бегать как ж**у ужаленные. Я в девять утра позвонил просто поинтересоваться технической возможностью. Но этот жучок (язык не поворачивается называть его менеджером) таки завёл заявку в систему, и в три часа в подъезде уже обретался монтажник, которого я вообще-то даже и не ждал. Просто столкнулся с ним когда уже собирались уезжать. Вот это прыть!

Как-то совершенно случайно (или нет?) оказалось, что как раз соседи за стенкой сколько-то месяцев тому назад перестали оплачивать интернет, так что достаточно было просто откусить идущий к ним кабель и навесить "бочонок". Вторая хохма заключается в том, что то ли они (соседи), то ли в ростелеке ошиблись, и оформили договор соседей на адрес моей тёщи. Так что по документам у неё с 2025-го года был подключён интернет, а ~~мужики~~ она-то и не знала.

В общем, happy end, там теперь есть провод. Осталось мне только переобжать ту часть, что идет по квартире. Потому что в какой-то жиле неконтакт, а знакомить тёщу с монтажником по некоторым причинам нельзя. Отмечу только ряд фактов, на которых заострилось моё внимание.

... Про небывалую прыть я уже написал выше. Это тем более странно, что тарифы у обоих провайдеров сравнимые, пионернет даже чуть дороже при одинаковой скорости.

... У пионернета L2TP, у ростелека PPPoE. Второй вариант мне нравится больше, т.к. даёт меньшую нагрузку на CPU роутера.

... Почему-то пионернет работает через аплинк из Ногинска, а адреса ростелека определяются как "Балашиха". При том, что речь в обоих случаях идёт про Клин. Между ними какая-то толстая магистраль что ли пролегает? Непонятно. Я-то думал, что все дорожки сходятся в Нерезиновске.

... Попытался протестировать линк со своего "походного" ноутбука. При попытке запустить PPPoE форточки (Windows 10) три раза подряд упали в синий экран смерти. Ну зашибись! А в Linux-е PPPoE-соединение логически жестко привязывается к MAC-адресу сетевухи. И я очень долго тупил, прежде чем понял что прописал эту сетевуху в исключения NetworkManager-а. Монтажник к этому времени уже уехал. Но это kind of podstava: надо помнить, что ты именно на этой USB-шной сетевухе прописал то или иное PPPoE-соединение. А если завтра взял с собой другую (у меня их три штуки)?

... Договор в электронном виде так и не удалось заключить: SMSка от ростелека на Мегафно упорно не хотела приходить.

... Почти сразу после того как подписал договор, мне пришла спамная SMSка от некоей "vcemfo.ru". Совпадение?

... Общее количество объектов (моих и родственников), подключенных проводом к ростелеку, достигло четырех штук. Пора у них просить скидку как крупному клиенту, бггг. ~~Вот ведь наживутся на мне, твари~~.

... Поскольку тёща перманентно обитает в своём собственном дивном мире, было поставлено техническое задание найти роутер, из которого не торчат антенны. И таки нашёл. И даже купил на барахолке. Правда, они продаются только комплектом по две-три штуки. Но ничего, поставлю второй кому-нибудь ещё. Железо там внутри хорошее, да и перепрошиваются в OpenWRT без танцев с бубном.

... В ростелеке продаваны конечно эталонные козлы, но подключили настолько быстро, что я аж о***л с такого сервиса.

Вот так забавно я провёл день.

comments

ОколоITшный дыбр #138

2026-03-09T11:00:36Z

... С этими всеми блокировками начал смотреть какие бывают OpenSource-мессенджеры, которые в качестве транспорта используют HTTPS. Результат неутешительный: это разве что только Matrix. Причем, под него был достаточно популярный сервер на Rust-е, который "сдулся". Самый же популярный "Synapse" достаточно тяжелый и местами бестолковый. Да и сам протокол такой, не лёгонький. Опять же, проблема с мобильными клиентами, которые есть суть поделки поверх electron-а. М-дя.

... Оказывается, вблизи теплотрасс клещи вполне себе могут выживать и зимой. Некоторые собачники притаскивают оных себе домой посреди февраля и долго удивляются.

... Как выяснили народные умельцы, прямо сейчас телеграм замедляется по достаточно тупому алгоритму: просто рандомно отбрасывается (DROP) каждый энный пакет от клиента к серверу. Таким образом, если просто "клонировать" все исходящие от приложения пакеты в трех-четырех экземплярах, то всё прекрасно работает ценой кратного оверхеда использования канала и безо всяких КВНов. Практическая полезность метода сомнительна, но как академический факт забавный.

... С 16м андроидом какая-то бяда-писялька. Фитнес-браслет работает ровно до тех пор, пока не подключишь беспроводные наушники. И даже после того как отключишь "уши", браслет цепляется взад далеко не сразу. ~~При Лужкове~~ на предыдущей версии андроида такой фигни не было.

... Переносил тут конторские домены от о***вшего Ру-Центра к другому регистратору. С "*.su" возникла заминка: оные переносятся только по официальному письму на фирменном бланке организации. Но можно подписать такое письмо КЭПом и заслать по электрической почте. Сделал. Пришел эпичный ответ: "В соответствии с правилами оформления писем ... бла-бла-бла ... письмо должно быть подписано «живой» подписью руководителя и заверено печатью организации". Щито, б%$#ь?!? Вы серьёзно? А ничего что как только я отсканирую документ с "живой" подписью, она сразу же перестанет быть "живой"? Да и зачем в принципе ставить подпись на подпись?

Пришлось звонить им по телефону, ругаться. Со второй попытки перенесли. Но сам факт. Наберут каких-то совершенно безмозглых обезьянок по объявлению...

... Готовимся-с. Скоро X509-сертификаты будут выпускать на два часа, бггг. Сейчас пока что два раза в год. Похоже, мир как-то плавно ***нулся.

... На прошлой неделе вышла OpenWRT 25.12. Радуемся 5 минут. Наверное. А быстро это они. И там уже вместо привычного opkg в качестве менеджера пакетов трудится apk. Не знаю хорошо это или плохо.

... Сбер предлагает выпустить металлическую банковскую карту всего-то за 7500 рублей. Ничем не отличается от пластиковой, кроме того что "подчёркивает высокий статус владельца". Мне вот интересно, как и перед кем ей понтоваться-то предлагается? Я ещё понимаю там всякие ойфоны, которые "типа невзначай" на деловых встречах и свиданиях выкладывают из кармана на стол. Или там всякие бентли-каены, их хотя бы видно невооруженным глазом. А этой вундер-картой перед кем надо размахивать? Перед официантом в ресторане штоле? Или перед кассиром в "Ашане"?

... Поставил одному знакомому по его просьбе госмессенджер "Скам" на телефон. Абсолютно чистый, с другим гугол-аккаунтом нежели все остальные его телефоны. Запустили — а там уже всего его контакты внутри есть. Почти как в анекдоте из серии "купил на барахолке мобильник взамен украденного". М-дя. Надо полагать, что контакты он из "Вконтактика" подтянул, но всё равно неприятно.

... А "Яндекс.Клавиатура", похоже, тоже шпиёнит за своими пользователями. После того как супруга немного попереписывалась в телеграме со своим стоматологом, "Яндекс" забомбил её рекламой имплантатов везде где только можно. П...сы.

... Озон-банк "от щедрот" некоторым предложил на март месяц кешбек 5% за супермаркеты. Надо зайти в приложение и подключить если дают.

... Я всегда думал, что НИИОХ — это институт органической химии, а оказалось что овощного хозяйства. Впрочем пофиг, в 2023-м году его всё равно закрыли. Но автобусная остановка пока жива.

... Похоже, не суждено сбыться моей мечте ~~идиота~~ покататься с горок в дубайском аквапарке. Эх-х-х-х, вот всегда так.

... В одном ЦОДе к WiFi прикрутили Captive Portal. Причем, чтобы авторизоваться, теперь нужно позвонить со своего мобильника на определенный номер "8-800". Пытался это сделать с Мегафна — ноль эмоций. Набрал с Ростелека — сразу впустили в интернеты. А тот же "Яндекс" не хочет подтверждать персданные моей мамы через Мегафношный Mobile ID. Совпадение?

Всем удалить Яндекс.Клавиатуру и урожайного овощного хозяйства по науке.

comments

Снова про Postgres

2026-03-08T15:28:10Z

Раз уж подял всю эту тему про PostgreSQL.

... Оказывается, я слоупок (никогда такого не было, и вот опять). Один хороший человек давным-давно написал утилиту под названием "pgcopydb". Пакет с ней есть в репозиториях PGDG. Эта утилита выполняет пресловутый "pg_dump | pg_restore", но в несколько потоков и без необходимости писать в промежуточные файлы. Плюс умеет ещё в разную магию наподобие декодирования WAL-ов и "досылки" изменений.

... Не я первый, не я последний столкнулся с проблемой копирования этих самых BLOB-ов. Некий индус тоже не выдержал и написал свой скрипт на питоне, который копирует BLOBы. Утверждает, что ему удается сократить время копирования в сто раз за счёт многопоточности. Хотя мне пока что непонятно как потом эти OID-ы приводить в соответствие между "старыми" и "новыми" таблицами.

... И на самом деле все эти пресловутые "Large Objects" есть ни что иное как... та-да-а-а-ам... bytea-поля в отдельной таблице под названием "pg_largeobject". Просто Postgres "из коробки" предоставляет для них набор готовых wrapper-функций. Блин, а разговоров-то... И чего я раньше эту статью не нашёл. Так что вопрос переделки софта с LO OIDS на bytea-поля обретает внезапную актуальность.

... В природе существует готовое расширение "dblink", которое позволяет нативно выполнять запросы к другой базе данных. То есть технически возможно скопировать сперва только реляции, а BLOB-ы затаскивать в новую базу по мере обращения к ним. Если ничего лучше не придумаю, то попрошу программиста вставить небольшой кусок кода в приложение, который будет эксплуатировать этот dblink. Тоже вариант.

А так, попробую сперва вариант с pgcopydb + SSD. Может и прокатит.

comments

Postgres: bytea vs LO OID

2026-03-07T20:40:11Z

Некое продолжение предыдущего поста.

Полез я изучать матчасть на тему того как в Postgres-е в принципе могут храниться бинарные объекты. Нашел вот такую статью в их вики. Если вкратце, есть три способа.

Text + Base64
Bytea
Large Objects OID (BLOB)

Первый вариант сразу добавляет примерно треть к объему базы данных и не несёт каких-то значимых преимуществ, поэтому сразу нафиг. А вот между Bytea и LO OID выбор уже не столь очевиден. Не знаю что там творится у программистов, подозреваю что им по большому счёту пофиг что использовать. С точки зрения сисадмина же картина выглядит примерно так.

У LO OID (BLOB) есть два очевидных недостатка: не пролезают в логическую репликацию и очень долгий restore из дампа. В разы дольше чем с bytea, причём ещё и не параллелится. Чуть менее очевидный недостаток: такие BLOB-ы не привязаны к какой-то конкретной таблице, а являются принадлежностью всей базы в целом. То есть в случае миграции базы их не получится переносить "по частям", а объем там может быть ого-го.

Bytea на этом фоне выглядит интереснее, но и с ним не всё радужно. Если делать текстовый дамп, то в оном такие объекты многократно распухают в размере из-за необходимости перекодирования в HEX. И теоретически возможна ситуация, когда результирующее представление объекта вылезет за 1 ГБайт и дамп просто обломится, т.е. его не удастся снять в принципе. Есть ещё некоторые приколы с пользовательскими представлениями данных и нуль-терминальными строками, но это больше по части программистов. С точки зрения сисадмина Postgres при работе с таблицами, содержащими bytea-столбцы, начинает кушать больше оперативной памяти. И есть некоторые экзотические ограничения из серии что если размер bytea-полей превышает 2 Кбайта, то в таблице не может содержаться более четырех миллиардов таких строк. А размер одного bytea-объекта ограничен одним гигабайтом. Но это какие-то сильно нестандартные случаи, конкретно ко мне они отношения не имеют.

То есть получается смешная ситуация. В случае с bytea возникают проблемы с дампами, а при LO OID — с восстановлением из дампов. Шо то херня, шо это херня. Да и остальные достоинства-недостатки плюс-минус уравновешивают друг друга.

Поэтому как мне видится со своей колокольни, критерии принятия решения примерно следующие. Если нужна логическая репликация и/или нет возможности оперировать бинарными бэкапами на уровне физического представления (я имею в виду те которые pg_basebackup), то однозначно выбирать bytea. Во всех прочих случаях, а особенно если объекты весят больше пары килобайт, то LO OID всё же предпочтительнее. Хотя бы потому что они расходуют меньше вычислительных ресурсов в "повседневной" работе, плюс можно бэкапить и хранить реляции отдельно от BLOB-ов.

Всем правильного выбора хранения binary objects в postgres-е.

comments

Задачка на Postgres

2026-03-06T17:30:57Z

Прилетело мне от неких мурзилок (вместо слова "мурзилка" подставьте конструкцию из трехэтажного мата) весёлое наследство. Пара десятков Postgres-овских серверов, "размазанных" по куче виртуалок в пределах одной технической площадки. Мягко говоря, очень хочется "слить" всё это хозяйство в один "большой" Postgres чтобы его можно было хоть как-то обслуживать. И вроде бы с виду задача не то чтобы сильно сложная: на каждом таком сервере хранится ровно одна база данных, размер которой не превышает 50 ГБайт, а большинство из них по 1...2 ГБайта. Но всё это существенно усугубляется комбинацией из нижеследующих вводных.

Там CentOS 7 + PostgreSQL 12. Да-да, вот такой давным-давно никем не поддерживаемый тухляк в 2026-м году.
Это всё крутится в проде и останавливать его больше чем на полчаса нельзя.
Внутри некоторых из таких баз данных содержатся таблицы с примерно 10...15 миллионами строк, в которых лежат BLOB-ы.
На хост-машинах установлены обычные 2.5" SAS-овые шпиндели.

Сперва я пошёл "в лоб". pg_dump | pg_restore и всё вот это. Результат не понравился. Всё затыкается на импорте тех самых BLOB-ов: шпиндели "не вывозят". На тестовую "перекачку" самой толстой базы ушло более пяти часов. Такой downtime мне никто никогда не согласует.

Что с этим делать, не очень понятно. В бинарном виде не перегнать, потому что идет объединение нескольких инстансов постгреса в один, к тому же и версии разные. Перегонять "по кускам" теоретически возможно, практически малореально: велик риск напортачить, плюс базы данных не партиционированные и непонятно что там реально нужно, а что просто балласт. Да и человеко-часов на такое уйдёт тоже мама не горюй. Оставить "как есть", просто подняв версию постгреса и перевесить на актуальный дистрибутив? Тоже плохо. Уже сейчас-то это всё поддерживать не возьмешься, а г...но ещё и ширится. И когда в бинарном виде мигрируешь с красных шапок на Debian, у постгреса бьются построенные по строкам индексы, не спрашивайте почему. Тоже так себе вариант.

Пока что на ум приходит только вытащить из закромов of Rодина пару SSDшек, заменить ими шпиндели в каком-нибудь сервере, поотключать все возможные журналы, fsync, synchronous_commit и попробовать ещё раз. Может и случится чудо.

А если не случится, то придется смотреть в сторону логической репликации. Но оно тоже такое... слабопредсказуемое.

Можно было бы долбануться на отличненько и засунуть целиком виртуалку с постгресом-реципиентом в RAM-диск. Но, увы, нет на той площадке настолько толстой железки. То есть сам реципиент допустим ещё как-то влезет, но всё остальное тоже куда-то девать нужно, а некуда.

Шо то фигня, шо это фигня.

Избегайте мурзилок и весёлого наследства.

comments

ОколоITшный дыбр #137

2026-03-01T14:29:07Z

... Сложилось впечатление, что все российские регистраторы доменов застряли где-то далеко в 1990-ых годах. У всех какие-то дико уё***ные дико неинтуитивные интерфейсы. У многих из них часть необходимых действий можно выполнить только руками мясной техподдержки через тикет. А чтобы был специальный интерфейс для редактирования DS-записей вышестоящей зоны — это и вовсе скорее исключение, чем правило. При том, что ICANN аж с 2013-го года в обязательном порядке требует от всех новых регистраторов поддерживать DNSSec и IPv6. М-дя.

Чисто ради интереса зарегал себе учетку в Mastername, посмотрел интерфейс их личного кабинета: меня чуть не вырвало. В Бегете честно признались, что их DNS-сервера не умеют в DNSSec. Шёл 2026-й год...

... Мобильный ростелек в своём репертуаре. Я точно знаю, что мама никуда дальше Зеленограда в феврале не ездила, но у неё SIM-ка каким-то непостижимым кульбитом умудрилась зарегистрироваться в сети другого оператора (чего в норме вообще-то произойти было не должно), за что с её счета торжественно списали 95 копеек.

Понятно, что мне будет лень ради этого трясти техподдержку. Но уровень технического оснащения ростелека просто поражает.

Знакомая говорит, что иногда пытается набрать одному и тому же человеку с ростелекомовской SIMки, ей отвечают что якобы "для звонка недостаточно средств". Хотя на счету есть и рубли, и предоплаченные минуты. Дичь в общем. Одним словом, в качестве резервного оператора канает, в качестве основного держать его стрёмновато.

Проблему с адресами города Зеленоград при электронной регистрации договора они так и не решили...

... Я понял что слоупок. Goписьная реализация непомнящего стража проводов по функционалу сильно опережает его же ядрёный модуль. Но как-то упустил этот момент из виду и до сих пор продолжаю использовать последний. Видать, скоро придется переделывать свои линки на Golang-версию 2.0. Хотя как ни странно, на проводном интернете пока что даже версия 1.0 всё ещё работает, правда, не до всяких хостов "с той стороны". На мобильном уже нет, вообще никуда.

Но больше у меня конечно бомбит от того, что даже сугубо внутри чебурнета "замедляют" XMPP просто потому, что оный лежит в основе протокола WhatsApp. Последний мне нафиг не сдался, а вот с полудохлым XMPP грустновато будет. И что с этим можно сделать, ни фига не понятно.

... Услышал у кого-то термин "гуманитарная интервенция". Звучит примерно как "безалкогольная водка". Интересно девки пляшут.

Всем не утонуть в весеннем половодье.

comments