Лукас Шауэр (Lukas Schauer), разработчик dehydrated, bash-скрипта для автоматизации получения SSL-сертификатов через сервис Let's Encrypt, принял предложение о продаже проекта и финансировании его дальнейшей работы. Новым владельцем проекта стала австрийская компания Apilayer GmbH. Проект был перемещён на новый адрес github.com/dehydrated-io/dehydrated. Лицензия остаётся прежней (MIT)...Подробнее: https://www.opennet.ru/opennews/art.shtml?num=52294
Ждём где-то через полгода новость об обнаружении какого-то вредоносного кода в этом проекте.
Но вообще - каков талант! Продать баш-скрипт энтерпрайзу! А вам слабо?!
Да, я тоже прихренел с продажи Bash скрипта. Они там в Enterprize совсем отупели видать.
На пихоне более православнуто что-ли? O_o
> На пихоне более православнуто что-ли? O_oНа пихоне это банально и вебмакачно. А ты вот на баше попробуй ПРОДУКТ выкатить?! :D
ну я продал )))ничего особенного, главное выполняет требуемую функцию
Продают не баш-скрипт, а решение проблемы.
*покупают
Не то слово!
Я просто сделал себе форк с последней версии, допилил его под себя, выпилил протокол 1, добавил регистрацию по фейкрвому сертификату (--test) и сделал удобную регистрацию с указанием где находится .welknow директория, а главное встроил лёгкий ручной способ регистрации wildcard по dns (--dns), да и забыл про него, работает почти год и кушать не просит...
Но ведь его можно было и продать, оказывается...
Так чего теряешься? Шли патчи, разработчиком в команду наймут! :)
Ну там же в новости прямо сказано, основная цель - ПиАр, мол, "какие мы хорошие, поддерживаем опенсорц". При этом сделка я думаю юыла не особо дорогой, да и поддержка баш-скрипты это вам не Файрфокс форкать, зато смотрится красиво.
Взять тот же Сименс в пример - пишут свой гипервизор, даже не сравнить масштаб.
разница только в том, что сименсовский кастрированный гипервизор не нужен абсолютно никому, включая, вполне вероятно, и самих сименсов - в сто раз проще было бы использовать существующие, но nih такой nih.А этот баш-скрипт таки стоит у десятков, если не сотен тысяч (неудачников, ниасиливших найти uacme или еще какой более вменяемый проект)
При этом неумеющим кодить совершенно все равно - что мазилу форкать, что этот блоатскрипт чинить. То и другое для них - mission impossible.
А для тех кто нашел как с этого заработать хотя бы на красную икру, пусть даже без хлеба, и есть ее приходится ложкой, как шерстяным некоторым - вполне реально.
Есть certbot
остальное все не то
Он вроде как --dry-run не умеет
Зачем нужен certbot написанный на экзотическом языке, сам обновляющий свой код (!) и требующий рута?
Это питон что ли экзотический язык, который на любом сервере по дефолту есть?
Если на сервере Python по дефолту то с этим сервером явно что-то не так.
Вот и я о том же. Вот в Windows Server нет python. Не то что в этих убогих centos и oracle linux где даже пакетный мэнеджер без python не работает
> Вот и я о том же. Вот в Windows Server нет python.
> Не то что в этих убогих centos и oracle linux где
> даже пакетный мэнеджер без python не работаетНайти оракл линукс посложнее чем виндоус сервер, пожалуй :). А питонокакашки редхата имеют смысл только если вы за поддержку готовы платить. Потому что самому в таком гуано забесплатно копошиться - а нафига?
Чтобы много денежек зарабатывать)
> Чтобы много денежек зарабатывать)Денег можно заработать и на менее ассенизаторских занятиях чем копание в пихоне за редхатскими индусами.
Ну вот, взял и наехал на индустриальный(tm) софт.
> Ну вот, взял и наехал на индустриальный(tm) софт.Индустриалы, к счастью, вебмакакинг не очень жалуют. Иначе я бы очковал жить в радиусе пары сотен км от промышленных объектов.
Хм...
Там даже раби будет, если это редхатовские дистроподелки. Питон 100% везде есть (может быть в рачике нет, но рачик и не продакшен-реди).
Зашёл на свежераскататнную FreeBSD - нет Python по дефолту.
Вывод - хорошая, годная система не тянущая зависимостей непонятного назначения.
А раби лучше искать в синагоге.
Которой невозможно пользоваться, не превратив её в пародию на линукс… Проходили уже это всё, альтернативные системы не годятся ни для десктопов, ни для серверов. Собственно, единственная сфера применения уже лет 20 — это дисковые стойки. IB, всё это, да.
>альтернативные системы не годятся ни для десктопов, ни для серверовТо-то линукс для десктопа годится, ага.
>единственная сфера применения уже лет 20 — это дисковые стойки.
Конечно, после конца бесплатного соляриса и введения санкций это единственный вариант. Не линукс же с его файлухами и LVM из начала нулевых ставить.
> То-то линукс для десктопа годится, ага.Кто о чем, а школьник о наболевшем. А таки вон на форониксе очередные улучшения от Valve, все такое. Значит годится.
> Не линукс же с его файлухами и LVM из начала нулевых ставить.
Можно подумать, кто-то прямо заставляет. Вот прям мужик с топором пришел и пообещал зарубить бедного школьника, не иначе.
> Кто о чем, а школьник о наболевшем.Увы, мне по работе периодически приходится. А так - забыть бы, как страшный сон, и больше не вспоминать.
>А таки вон на форониксе очередные улучшения от Valve, все такое. Значит годится.
Я, конечно, понимаю, что и моя аргументация не блещет фактами, просто по мне в 2020ом считать линукс пригодным для десктопа - это уже настолько оксюморон, что опровержение и в доказательствах даже не нуждается, особенно для тех, кто пробовал пищу и послаще морковки. Тем не менее, все-таки выскажусь - каким образом то, что Valve что-то там с барского плеча кидает оголодавшим, опровергает мой тезис о непригодности к десктопу? Ну и чтоб два раза не вставать: это ведь та самая Valve и тот самый Steam, про который на форониксе пишут, что доля Linux составляет теперь мощные 0.83 процента? И второй вопрос, чисто ради академического интереса: ставить проприетарный клиент Steam на свободную ОС для свободных людей, чтобы играть в проприетарные игры - свободному человеку нигде ничего не жмёт?
>> Не линукс же с его файлухами и LVM из начала нулевых ставить.
> Можно подумать, кто-то прямо заставляет. Вот прям мужик с топором пришел и
> пообещал зарубить бедного школьника, не иначе.Мужик с топором, бегающий за Школьником - это ладно. Тут в каменты к вообще любой новости про *BSD слетаются какие-то неимоверные толпы озабоченных, которых, судя по накалу их негодования о мнимой отсталости BSD, красный демон трезубцем в афедрон нещадно колет. Вы бы им-то свой аргумент разок бы и высказали, а там и я исправлюсь уж.
Сейчас бы популярность телеметрией измерять. В абсолютном значении доля пользователей линукса выросла на миллиарды за последние 10 лет.
> доля пользователей линукса выросла на миллиарды за последние 10 лет.Если Андроид - это линукс, тогда JunOS, ОС приставок Playstation, нутрянка всяких NetApp, да и - гулять так гулять! - iOS, macOS, tvOS, watchOS - тогда все это BSD!
Сравнивать фряху с геос и другими поделками на её основе примерно то же самое что называть реактос беос или виндоус-нетбсд. Андроид так-то линукс чистой воды — любое устройство с линуксом является устройством с линуксом. Но я даже не считал телефоны, поскольку тут и аргумент "успеха" фряхи в виде плоек не вытянет.
>Андроид так-то линукс чистой воды — любое устройство с линуксом является устройством с линуксом.А любую программу, собранную у меня на тачке с линуксом, я смогу под андроидом запустить? Или хотя бы для андроида пересобрать, а там уже запустить? Андроид же линукс? Что-что? libc другая? Иксов там нет? Ах, вот оно что!
А драйвер под какую-нибудь USB-шнягу, написанный для линукса, я смогу не то что запустить - хотя бы просто собрать для ядра андроида? Андроид же линукс? Что-что? Там ветка ядра особенная? Ах, вот оно что!
ЗЫ И так у вас всё.
> Сейчас бы популярность телеметрией измерятьНу да, если телеметрия не в твою пользу, то конечно же.
> Увы, мне по работе периодически приходится.Что за гестаповцы загнали? Парни, отпустите зэка за забор, зачем вам саботажник?!
> А так - забыть бы, как страшный сон, и больше не вспоминать.
А в чем проблема? Пошел да уволился - и не вспоминай. Linux конечно опопсел малость, но сказать что он зохавал глобус имхо преувеличение.
> мне в 2020ом считать линукс пригодным для десктопа - это уже
> настолько оксюморон, что опровержение и в доказательствах даже не нуждается,Заковывка в том что я пользуюсь линуксом, в том числе и для десктопа, и даже чтобы оттуда потом работы воротить. По поводу чего вынужден не соглавиться с заявлениями про оксюморон. Ибо WORKSFORME.
> особенно для тех, кто пробовал пищу и послаще морковки.
Я винду пробовал. Где-то к восьмерке MS сделал из морковки какое-то совсем г-но и я окончательно развидел это. Попутно научился пользоваться плюсами опенсорца, да и воркфлоу перетащил на иные рельсы. Мне так стало куда приятнее и удобнее.
> Тем не менее, все-таки выскажусь - каким образом то, что Valve что-то там с
> барского плеча кидает оголодавшим, опровергает мой тезис о непригодности к десктопу?Валв - игроделы. Классические, кондовые. Им было бы странно впрягаться в то что не десктоп - на чем еще их игры пускают?! Что до оголодавших, валв как раз оголодать боится стараниями MS - ну и содержит запасной аэродром. Так что в целом - взаимовыгодная стыковка интересов вроде.
> доля Linux составляет теперь мощные 0.83 процента?
Таки 0.9 :).
> свободных людей, чтобы играть в проприетарные игры - свободному человеку нигде
> ничего не жмёт?Так я и не ставлю. А так ерничания про свободу ... так-так, а чем таким открытым благородный дон пользуется у себя на десктопе, считая это подходящим для десктопа, например? Или это как обычно, проприентарии пытающиеся линуксоидам стандарты жития сосватать? :)
> Мужик с топором, бегающий за Школьником - это ладно. Тут в каменты
> к вообще любой новости про *BSD слетаются какие-то неимоверные толпы озабоченных,Дык вон в новость про openwrt тоже какое-то тело с опенком пришло, доказывать как оно круто. Хоть и не работает на том железе, подумаешь мелочи.
> которых, судя по накалу их негодования о мнимой отсталости BSD, красный
> демон трезубцем в афедрон нещадно колет. Вы бы им-то свой аргумент
> разок бы и высказали, а там и я исправлюсь уж.Вообще, насколько я помню историю, изначально это таки BSDшники подтроливали любителей пингвина, ходившего пешком под стол. А то что те потом научились плохому и вообше, "А Вовочка вырос и урезал Марье Ванне пенсию" - ну, бывает.
Пародии на пародию быть не может.
> (может быть в рачике нет, но рачик и не продакшен-реди).На дебиане питон быть ну вот вообще совсем не обязан - не требуется ни для чего такого относящегося к системе. А сам сервак у меня ну вот вообще совсем не обязан быть пихоногадостью.
У меня нет никаких пихонов на серверах. И уж тем более я не собираюсь там запускать самообновляемую гадость от рута.
Так есть вообще нормальные вебсерверы для людей со встроенным Let's encrypt. Например Caddy. Но пожевать кактус это всегда приятнее.
acme.sh наше все, а не эта ваша кучка бидонокода с кучей зависимостей
>компания хочет показать, что она не только потребляет открытое ПО в своём облачном сервисе, но и поддерживает его разработкуПо этому они купили портянку на баше?
Эта портянка самый удобный и простой клиент к Let's Encrypt. Certbot требует установки Python, слишком раздут и превратился в комбайн, который и сертификат получит и конфиг поправит.
А dehydrated слишком раздут 1800 строк и превратился в УГ.
И требует установки bash.
собственно, в том "новом стандарте", в котором только bash и подразумевается горе-разработчиками данным свыше и установленным всегда - внезапно, пихон _требуется_, а bash - только желателен.Оно и понятно - без пихона не совсем работает network-manager, а портянки эти ваши нимодна-нимодна фу ваняит!
> Оно и понятно - без пихона не совсем работает network-manageЭй, сперва протрезвейте а потом пишите на форум.
это пиать (
>И требует установки bash.Который используется хацкерами вместо netcat, как реверс-шелл в силу своей способности разговаривать через сеть, не оставля нигде логов (как впрочем и gawk).
> как реверс-шелл в силу своей способности разговаривать через сеть,Угу, питон поставьте! Тогда реверсшел будет еще с автоапдейтом и шифрованием :)
> не оставля нигде логов (как впрочем и gawk).
Профнепригодные тряпки - уволить с треском. Не могут логировать что в системе запускается и какие конекции делает. Е...й стыд!!
> Профнепригодные тряпки - уволить с треском.Большинство (все?) shared хостинги обязательно я думаю к вам прислушаются
> Большинство (все?) shared хостинги обязательно я думаю к вам прислушаютсяОх, эти мамонты еще где-то водятся? Срочно туда когорту чуваков с копьями отправить!
где водятся нормалные шареды - там обычно cpanel&WHM + клаудлинукс.Успехов вам в запуске шелла )))
а что случилось с cpanel за эти годы, расскажите, я давно не видел?В середение 200х мы вполне предоставляли shell на горшках с cpanel - и, в отличие от много чего другого, это была ее штатная функция из коробки.
Другое дело что там под ней был ни разу не трэшлинукс, поэтому нагадить из того шелла окружающим было не так просто.
> где водятся нормалные шареды - там обычно cpanel&WHM + клаудлинукс.Успехов вам в
> запуске шелла )))Я подразумевал известных всем монстров типа - bluehost, hostgator, godaddy, namecheap... ,которых знают все и которые своей ценой выбьют из бизнеса "нормальных" очень быстро...
Шареды ИМХО по своей природе вообще не могут быть "нормальными", комуналка она и есть комуналка...
> где водятся нормалные шареды - там обычно cpanel&WHM + клаудлинукс.Успехов вам в
> запуске шелла )))Ну так на этот случай был какой-то шелл на пыхе, r57shell, чтоли, или как-то так.
Значит его надо переписать на питон или lua.
Уже за вас все переписали. Автор acme_tiny уместился в две сотни строк. Включая конфигурацию, которая внутри скрипта, а не отдельным файлом.
И да, его можно понять и исправить, если понадобилось.Все же баш не самый подходящий язык для чего-то, что не влезает в полтора экрана 80x25
Ну подумаешь, что для acme_tiny нужно руками ключ генерить и т.д. - главное, что аффтор в 200 строк уложился!
не "подумаешь", а очень правильно, что его нужно генерить руками - это позволяет избежать ненужных проблем и хранить этот ключ отдельно от серверного. Делается это один раз, на все домены.И в csr тоже написать то что нужно, а не то что дядя за тебя пишет (а потом удивиться результату в немодных -несовременных браузерах и особенно - скриптах, которые некому уже переписывать - авторы cerbtot умудряются оставить пустым CN. Кто-то (не будем показывать пальцем) его оверрайдит правильным при генерации сертификата, а кто-то считает что что просил, то и получи - на тебе сертификат только с altNames.)
А оставшиеся 200 строк можно и верифицировать, и поправить при необходимости.
А в dehydrated - "да ну нах, проще взять такой инструмент, который работает".
> Включая конфигурацию, которая внутри скрипта, а не отдельным файлом.За это надо расстреливать, но сначала - оскопить (чтоб размножиться не успел) и четвертовать (чтоб ни строчки кода написать не успел).
Программный код и данные - должны быть разделены! Кто этого не понимает - не то что программировать, к компу надо подпускать только под надзором того, кто это понимает.
Да никому они ничего не должны. Если это специфический код для конкретной единственной задачи, то вполне нормальное решение.
У вас разделение данных головного мозга, если от баш скрипта на 200 строк вы требуете отдельный файл с конфигом...
> У вас разделение данных головного мозга, если от баш скрипта на 200
> строк вы требуете отдельный файл с конфигом...питонового. То есть эти 200 строк, не считая комментариев, наполовину состоят из пробелов. ;-)
Впрочем, для тех кто боится испортить код, нечаяно уронив в него пробел - все конфигурационные умолчания можно явно оверрайдить из командной строки. Просто это не особенно удобно.
Слепые фанатики - вот кого надо реально скопить-стрелять. Включать мозг для каждого отдельного случая таким людям, видимо, слишком сложно. Они вычитывают где-то рекомендации, принимают их за святую догму, размахивают ею как флагом, поливают грязью "отступников". Новички этим страдают, да.
Новички как раз не понимают, что такие рекомендации не на пустом месте берутся, и плюют на них. Ну в тех редких случаях, когда до них эти рекомендации кто-нибудь вдруг доносит, как мы наблюдали чуть выше.
Угу, они берутся от раздутого ЧСВ анонимов, ничего похожего на acme_tiny ниасиливших.
Видимо, все время и энергия потрачены на раздачу рекомендаций тем, кто в них не нуждается (и, возможно, свой мега-проект, застрявший на стадии парсера конфига).
> Включая конфигурацию, которая внутри скрипта, а не отдельным файлом.И эти люди удивляются почему выпнули sysv init... :\. Вообще-то отделение конфигурации от кода - это как бы некий bare minimum культуры кодинга.
не забываем че питон развивался в рамках миникс (проект амеба)так шо только баш юниксвей а не это ..
> не забываем че питон развивался в рамках миникс (проект амеба)так шо только
> баш юниксвей а не это ..Какое годотное название проекта, прямо в яблочко.
Ога, специально буду добавлять питон в свой контейнер ради акме-клиента.
Жаль, что Кристапс на портабельную версию своего клиента забил...
идиоты, не понимающие, что контейнер должен содержать _одно_ приложение, и никаких скриптов, кронов и прочего в нем быть не должно - они должны быть в _отдельном_ контейнере, должны страдать.
> идиоты, не понимающие, что контейнер должен содержать _одно_ приложение, и никаких скриптов,
> кронов и прочего в нем быть не должно - они должны
> быть в _отдельном_ контейнере, должны страдать.Поднять контейнер для скрипта :) апдейта сертификата :) серверу :) это круто, конечно. Правда, придется этот скрипт все-равно пустить в другой контейнер - ну или как он апдейтить сертификат будет?
А потом мы узнаем что контейреров бывает более 1. И чего тогда? Кодить контейнер-менеджер всего этого? Слепить 5 контейнеров каждому с своим скриптом? Это уже надо корпорацию создавать, нанимать с десяток псинодевов и чего там еще.
А что вам мешает примаунтить (биндить, или ещё как оно таи с коньтейнерами) одну единственную директорию с сертификатом(ами) внутрь контейнера, чтоб он там и только там файлы корячил?
> Поднять контейнер для скрипта :) апдейта сертификата :) серверу :) это круто, конечно.это, если вы не знали - то, для чего эти самые контейнеры и были когда-то предназначены - изоляция приложения.
А вовсе не изображать виртуальную машину с собственным линуксом унутре, сводящим всю изоляцию к ху$.> Правда, придется этот скрипт все-равно пустить в другой контейнер - ну или как он апдейтить
> сертификат будет?volumes-то, смотрю, в ваших контейнерах уже отменили или еще не завезли?
> А потом мы узнаем что контейреров бывает более 1.
вы, похоже, только что это и узнали, ага.
> И чего тогда? Кодить контейнер-менеджер всего
> этого?уже за вас все накодили - docker или podman называется. Менеджит контейнеры влегкую.
cron или systemd timer можете использовать системный, ему совершенно незачем быть в контейнере, а такой как у меня вы ниасилите - там полный стековершлак сказов о том, почему это невозможно и не может быть никогда.
> это, если вы не знали - то, для чего эти самые контейнеры
> и были когда-то предназначены - изоляция приложения.А вы предлагаете эту изоляцию нарушить, сделав кросслинк. Сомнительная радость, выглядит как поле для дыр.
> А вовсе не изображать виртуальную машину с собственным линуксом унутре, сводящим всю
> изоляцию к ху$.На мой вкус имеет смысл и так и сяк. Второй вариант имеет бенефит в том что это админится стандартно, подключается к существующим воркфлоу, тулсам и автоматике без приседаний.
А изоляция - смотря что изолируем. По задумке - сервисы и их данные друг от друга. И как раз "виртуальная машина" в этом плане наиболее полная и логичная абстракция. Но тяжеловесная. Контейнеры - некий компромисс.
И таки зачем разделять сервер от апдейтера его сертификатов я так сходу не понимаю. Какие преимущества и где это дает? Могу сказать какой недостаток.
Если в контейнере с сервером живет то что с ним связано, контейнер можно на допустим другую железку без проблем перекинуть, etc. А у вас - при таком маневре все как бы будет работать. Но через пару месяцев случится волшебный фигакс, когда сертификат наконец протухнет. Ну или это надо вообще по сети автоматический доступ давать, тогда лучше сразу на этом манагере сертов мишеньку нарисовать, потому что все хакеры будут первым делом его "аудитить".
> volumes-то, смотрю, в ваших контейнерах уже отменили или еще не завезли?
А что - volumes? И потом при переносе на другую машину это случайно не сделает лапки кверху? При том не сразу а через пару месяцев, так намного прикольнее.
> вы, похоже, только что это и узнали, ага.
Лол.
> cron или systemd timer можете использовать системный, ему совершенно незачем быть в контейнере,
Да, только контейнер перестанет быть самодостаточным. И при переносе на другую железку это на раз отольется.
> а такой как у меня вы ниасилите - там полный стековершлак сказов о том, почему
> это невозможно и не может быть никогда.Да ну и болт с ним, у меня своих технологий такого пошиба более чем.
> А вы предлагаете эту изоляцию нарушить, сделав кросслинк.то есть внутри одного контейнера (напомню еще разок - вся затея докера НЕ была предназначена для такого в принципе) - ок, изоляция не нарушена? Лучше бы конечно вообще затолкать эту фичу в сам веб-сервер, там ей самое место, как у некоторых уже и сделано?
> Сомнительная радость, выглядит как поле для дыр.
одноразовые ключи, раскиданные где попало, сертификаты сроком годности неделя, acme, dv, в порядке убывания масштабов п-ца - безусловно являются громадным полем для дыр.
Но с этим уже, вероятно, ничего не поделать.
> И таки зачем разделять сервер от апдейтера его сертификатов я так сходу не понимаю. Какие
например, это может быть апдейтер не только его сертификатов.
> преимущества и где это дает?
обычные, типовые для контейнеров. Независимость начинки апдейтера сертификатов от начинки серверного (вон белки-истерички бьются об пол - ТАААМ ПИИТОООН!), возможность обновлять (или не обновлять) только того, кто на самом деле нужен (питонов, к примеру, таки развелось излишне много несовместимых), минимизация рисков.
Ну или хотя бы видимость всего этого. Я-то лично вообще не вижу причин использовать фронтенд (только ему и нужен настоящий сертификат) внутри контейнера. И вижу массу проблем у такой поделки. Но это немодно и немолодежно, девляп-ляп-ляп-ляп-ляп.
> А что - volumes? И потом при переносе на другую машину это случайно не сделает лапки кверху?
убей себя - ты профнепригоден.
А у меня - нет, не сделает.> Да, только контейнер перестанет быть самодостаточным.
не перестает. Но контейнер не является хреновой подделкой под виртуальную машину, и в свободном вакууме не функционирует - это просто дополнительная изоляция вокруг приложения. By design рассчитанная на работу в системе, а не в пустоте.
> то есть внутри одного контейнера (напомню еще разок - вся затея докера
> НЕ была предназначена для такого в принципе) - ок, изоляция не нарушена?Сертификат сервера - часть его рабочих данных. Так что по идее нет.
> Лучше бы конечно вообще затолкать эту фичу в сам веб-сервер,
> там ей самое место, как у некоторых уже и сделано?Тоже вариант. Потому что см. выше.
> одноразовые ключи, раскиданные где попало, сертификаты сроком годности неделя, acme, dv,
> в порядке убывания масштабов п-ца - безусловно являются громадным полем для дыр.- Радио украдено, двигателя нету...
- Ну тогда и колеса тебе ни к чему! (с) анекдот.> например, это может быть апдейтер не только его сертификатов.
Это какое-то очень жесткое допущение насчет конфигураций и менеджмента оных. Может иметь что-то общее с реалиями, может не иметь. Случаи бывают разные.
> обычные, типовые для контейнеров. Независимость начинки апдейтера сертификатов от начинки
> серверного (вон белки-истерички бьются об пол - ТАААМ ПИИТОООН!),Питон - отличный вариант сломать контейнер при миграции. Так что питон с этой точки зрения редкая гадость. И не только в апдейтере сертификата, а вообще везде. Ну может кроме случая когда это таки полная операционка и скрипты из репо, так что майнтайнеры в лучшем случае все же согласуют этот кал. Или вышибут пакет с калом как неподдерживаемый, как вариант.
> возможность обновлять (или не обновлять) только того, кто на самом деле нужен (питонов,
> к примеру, таки развелось излишне много несовместимых), минимизация рисков.Я и минимизировал риски - экстерминатусом питонов к чертовой бабушке.
> причин использовать фронтенд (только ему и нужен настоящий сертификат) внутри контейнера.
Очень не айс если из-за бага или кривой конфигурации фронтэнда уносят еще и какую-нибудь базу форума, вместе с почтой или чем там еще.
> убей себя - ты профнепригоден.
Ты точно уверен что это я?
> А у меня - нет, не сделает.
Ну так ты и пользуйся, флаг в руки.
> не перестает. Но контейнер не является хреновой подделкой под виртуальную машину,
Не согласен. В одной из ипостасей является. В свое время у || на этом даже был нефиговый бизнес. Не знаю как у них ща дела, они своими внемайнлайновыми вып^W кернелами всех заманали, опять же, но по крайней мере изначально пипл хавал.
> и в свободном вакууме не функционирует - это просто дополнительная изоляция вокруг
> приложения. By design рассчитанная на работу в системе, а не в пустоте.Ниоткуда не следует - один из вариантов этого самого бутануть юзермод как в системе. Это кстати позволяет приволочь какой-нибудь питоногадости ее любимую версию корма вместе с ней. И даже более того - запустить 5 разных ипостасей гадости с 5 разными питонами, не сойдя с ума при попытках это менеджить. Потому что это 5 разных контейнеров со своим окружением.
Отдельный контейнер, который будет висеть без дела три месяца и я за него буду платить? И ещё иметь отдельный геморрой с пиханием что-то в well-known, а потом с пиханием нового сертификата в папку с сертификатами в контейнере с нжинксом? Вот сейчас ты реально херню ляпнул.
п-ц.Ну если ты такой девляпс, что у тебя контейнер, который нужен раз в три месяца, не запускается раз в эти три месяца и, отработав, исчезает - то убейся апстену, сделай мир лучше.
А потом у них docker restart отрабатывает по пол-часа, потому что вместо nginx с pid1 у них набор костылей и подпорок.
И сертификат лежит внутри контейнера, ага, чтобы при его обновлении бесследно пропасть вместе с неперсистентным мусором.
Причем уже второй такой же дурак в одном и том же треде.
> запускается раз в эти три месяца и, отработав, исчезаетДля этого где-то раз в три месяца должен запуститься код, который этот контейнер создаст, запустит, а потом прибъёт. Таки проще запихнуть акме-клиента в один контейнер с нжинксом.
> Для этого где-то раз в три месяца должен запуститься код, который этот контейнер создаст,
> запустит, а потом прибъёт.и это очень легко отследить, как и заметить вовремя проблему. И очень нелегко сломать. Но только не для модного-современного девляпса, мы уже поняли. Для вас это высшая математика с метафизикой.
> Таки проще запихнуть акме-клиента в один контейнер с нжинксом.
проще вообще все делать через анус, раз уж начали с клизмы, да.
> Для вас это высшая математика с метафизикой.Не знаю как ему, а я предпочту не умножать сущности без необходимости.
> проще вообще все делать через анус, раз уж начали с клизмы, да.
Ну а ты в своем праве глотать ректальные свечи, конечно...
Раз уж все равно добавлять инородную сущность для летсэнкрита почему бы это сделать без зависимостей и статично. Для этого так то придумали программы на golang. Например lego и acmetool.
Lego уже обновился в полноценный cert-manager
> Lego уже обновился в полноценный cert-managerПоздняк метаться, нубы! Вас уже обштопал программист на баше. Ггг, какое унижение для скрипткидисов!
потому что глупое борцунство с зависимостями - ненужно.
Особенно когда у тебя пихон в lsb запихали.А вот получить себе в хомяк весь интернет мусорных зависимостей из которых собирают игогошники, и запускать потом получившуюся помойку, делающую непонятно что и в принципе не поддающуюся проверке, я, к примеру, не очень хочу.
Хрен его знает, какой там еще лефтпад стопиццтого уровня зависимости вчера сменил владельца.А бинарник openssl у меня дистрибутивный, и в нем вряд ли появится что-то неожиданное, да еще и останется незамеченным.
> потому что глупое борцунство с зависимостями - ненужно.Ну как бы вместо шелскрипта нечто самообновляемое, на ЯП с кучей фич в стандартной либе - заявка на то что тебя однажды секурно отменеджат.
> Особенно когда у тебя пихон в lsb запихали.
А это lsb кому-то кроме редхата вообще не пофиг?
> в принципе не поддающуюся проверке, я, к примеру, не очень хочу.
А как ты будешь проверять пихононечто, норовящее поработать от рута, которое еще и обновиться лезет? Ты вот прям за весь невъ...й стандартный либ пихона и сам пихон уверен что там все настолько безопасно что нехай под рутом пашет? И то что вебмакаки секурно обновляют свой гомнокод - уверен?
> А бинарник openssl у меня дистрибутивный, и в нем вряд ли появится
> что-то неожиданное, да еще и останется незамеченным.Бинарник openssl это конечно здорово. А вот пихоноскрипт от рута норовящий самообновиться - не очень. Ибо ведет к поимению.
>норовящее поработать от рута"Трава бы и выросла в дерево, дык кто ж ей даст" (с)
А что до остального - на баше точно также можно троянца подкинуть. Тут вопрос вообще не в ЯП, а в изолированном окружении, где это все должно работать, и только там.
> "Трава бы и выросла в дерево, дык кто ж ей даст" (с)Ну как бы ежели кто демонстрирует акульи замашки, палец в рот ему лучше не класть.
> А что до остального - на баше точно также можно троянца подкинуть.
Да его на чем угодно можно, конечно. Но когда кто-то сразу на старте начинает вести себя подозрительно, его лучше превентивно отправить нафиг. А то будет потом как с битмесажем и eval() непонятным.
> Ну как бы вместо шелскрипта нечто самообновляемоетам речь про acme_tiny, а не certbot. 200 с хвостиком строчек на пихоне, включая конфигурационные дефолты и встроенный хелп, ноль левых зависимостей, ничего сам не делает - даже, вон, некоторые страдают, ключи не генерит, openssl, представляешь, запускать надо! Занимается только одним - правильно пакует acme-заклинания в правильный json и засовывает в укащанный тобой веб-сервер.
Результат, если не озаботиться другим назначением, просто вывалит тебе в stdout.Разумеется, не самообновляется, да и нечем и незачем его обновлять, и в крон (если) придется самому вписывать.
> А это lsb кому-то кроме редхата вообще не пофиг?
рачеводам, вероятно, пофиг.
Все остальные - поддерживают стандарты.> А как ты будешь проверять пихононечто, норовящее поработать от рута,
эксперты опеннета, не умеющие читать на что отвечают - они такие, да.
> рачеводам, вероятно, пофиг.
> Все остальные - поддерживают стандарты.А нельзя этих остальных перечислить? Дебианщики так прямым текстом сказали что LSB их не учитывает, так что и они на него кладут. FHS еще куда ни шло, но не более того.
Так кто эти остальные, кроме шляпы? Список в студию? :)
ну значит и на них следует положить.
Люди, сознательно игнорирующие принятые стандарты - должны вместе со своей поделкой отправляться на ту же помойку, где уже лежат шлаквари и прочий бесполезный хлам.Список тебе не нужен, бесполезный фанат бесполезного хлама, ты даже не в курсе, какие еще дистрибутивы кроме рача бывают на свете.
> Люди, сознательно игнорирующие принятые стандарты -...принятые редхатом в одно табло, не спрашивая остальных от слова вообще? Ну вот поэтому их "стандарты" только ими и поддерживаются в результате :)
> должны вместе со своей поделкой отправляться на ту же помойку, где уже лежат шлаквари
> и прочий бесполезный хлам.Дык, кто кроме редхата их "стандарты" поддерживает? А так то удобно, конечно, релизнул любой хлам назвав это стандартом - и дело в шляпе :)
> Список тебе не нужен, бесполезный фанат бесполезного хлама, ты даже не в
> курсе, какие еще дистрибутивы кроме рача бывают на свете.Ну то-есть списка я так и не увижу? :) А виляние довольно лажовое и безблагодатное вышло, можно было и чего-нить покруче придумать.
Еще acme.sh есть.
А как же acme.sh?
Завидуй молча.
а, так вот почему на багрепорты он забил х..й. Действительно, не для себя же делал, на продажу.P.S. с bypass.no эта поделка поломана нахрен и починке не поддается - разобраться в этой лапше ни у кого с наскока не получилось.
А тебе завидно да?
Что он смог продать свой проект, и чихал на тебя и твои хотелки.
Он все правильно сделал, а ты завидуй и изрыгай свою ненависть и токсичность дальше.
> А тебе завидно да?не суди о других по себе. Времени, потерянного на попытки разобраться, почему этот мусор не работает - жалко.
> Что он смог продать свой проект, и чихал на тебя и твои хотелки.да кто-то и Христа продать смог, неплохо, кстати, заработал. Чихал только недолго потом.
Обзавидуешься?Ну а добрым молодцам урок, не связываться со студенческими поделками.
Кстати этим ты показал, как линуксоиды действительно относятся к open source проектам.Спасибо тебе, я сделал скриншот твоего сообщения и буду показывать его всем линуксоидам, которые будут писать как они любят и уважают open source.
Ты поехавший, ты в курсе?
Зато линуксоиды, поливающие чужие проекты грязью, хорошие да?Кстати спасибо за поставленный мне диагноз, но изивини, у тебя нет диплома психиатра, так что диагнозу, что тв поставил грошь цена.
Чтобы выявить е**нутого, диплом не нужен. Достаточно посмотреть, что за чушь ты пишешь.
> Кстати этим Шауэр показал, как линуксоиды действительно относятся к своим проектам.
> Спасибо ему, я сделал скриншот этой новости и буду показывать его всем линуксоидам, которые будут писать как они любят и уважают open source.Можешь не благодарить.
А это его личное дело, что ему делать с проектом. Он просто положил болт на мудаков и правильно сделал.Ибо если слушать всех токсичных мудаков, можно получить тяжёлый нервный срыв, как это было с разработчиком веб фреймворка на расте.
Ты уже получил. Тебе обратится к профессионалам для установки диагноза, как сам выше и написал.
Извини, но токсичных линуксоидов в интернете я не слушаю
10 километров бежал за линуксоидами чтобы сообщить что ты их не слушаешь...
Мне просто интересно их троллить и наблюдать сейчас тем, как они агряться.А так, они сектанты и с ними серьёзно не о чем говорить.
> Кстати этим ты показал, как линуксоиды действительно относятся к open source проектам.шлют багрепорты и даже готовые патчи - там одних только pull-requests (на которые автором тоже забит х..й) два десятка открытых. Поддерживают свободный софт, как могут. А что - должны были автору конную статую воздвигнуть? (Если что - у меня под Якутском есть один знакомый скульптор, обращайся - правда, сезон уже заканчивается, материала может не хватить.)
Впрочем, может они не линуксоиды вовсе, только прикидываются. bash-то и на маке можно собрать.
Вот тоже хотел написать про buypass и на то что автору похрен на неработу с ним.
Вот тут: https://github.com/dehydrated-io/dehydrated/issues/653#issue...
написано что dns-1 таки работает, поломан только веб.Предварительно надо что-то написать в config на тему contact email - тогда оно осилит создать акаунт правильно.
Автору похрен на любые отличные от le - https://github.com/dehydrated-io/dehydrated/issues/689 тоже с прошлого года болтается.
"это ж впопенсорсе, пофикси сам".
Да ну его в пень.
Bash? Серьезно? Не прикасаясь к этому даже 10-ми метровой палкой
Изыди тролль.
Вот таки да. Тащить bash куда ни попадя вместо POSIX shell это моветон.
И где твой форк на posix shell?
Кто может сказать чем он лучше acme.sh ?
У acme.sh вообще ничего не нужно прописывать, запустил 1 раз - получил сертификат, все остальное уже будет на автомате: прописывание в крон и acme.sh сам поймет список сертификатов и будет их обновлять - мне кажется это удобнее, чем писать конфиги руками.
Сейчас тебе начнут объяснять, что только баш - тру линуксвей, а все остальные подлежат экстерминатусу, просто потому, что местные аноны хотят казаться админами-олдами.
acme.sh работает не только с баш но и сш и даш. Так что он даже предпочтительнее. Например для контейнера на альпайн в котором идет sh доставлять еще и bash это нафиг не нужное дело.
Прописать домен в список - это не лопатить тонны портянок.
И в этом списке домены и алиасы очень просто и наглядно записаны - не забудешь.
Ну и лично меня разражает, когда скрипт сам себя копирует в папку, которую он считает походящей, а не работает там, где его положили.
И крон таки руками придется править, ибо моветон запускат ьв 00:00 некритичные ко времени кроны.
Ничем. Просто появился первым.
Он лучше как раз тем, что ничего не прописывает в крон и конфиги, а значит, во-первых, ничего не поломает, а во-вторых, ему не нужен рут для работы.
acme.sh тоже root для работы не нужен. Инсталлятором тоже пользоваться совершенно не обязательно.
> после завершения обучения не понятно, останется ли у него время на проект
> Более того, Лукас теперь сможет уделять больше времени развитию dehydrated, работа над которым в последние месяцы в основном ограничивалась сопровождением.на какой уровень публики это расчитано?
А что тут не понятно. Раньше он делал проект в свободное время just for fun, а теперь будет сидеть на зарплате и обязан заниматься разработкой.
Там написано только что он останется мейнтенером. Так то компании обычно вплетают новые проекты в свой пайплайн и делаеть его будут другие программисты на зп. А мнение мейнтейнера могут и на нуль умножить.
На уровень тех, кто способен удержать в памяти более одной фразы. Тренируйся.
> Покупку dehydrated компания Apilayer объясняет желанием внести свой вклад в поддержку открытых проектовВерю.
Жду через пол года в системных требованиях SystemD и Gtk7.
А ещё сборку через CMake :)
meson же
Если посмотреть на проекты этой компашки становится ясно что они их все купили у каких то студентов.Вот пример https://languagelayer.com/ сервис определяет язык по введенному тексту. На русский текст он говорит что это или Македонский или Таджикский. Занавес.
> На русский текст он говорит что это или Македонский или Таджикский.Русоф🐓бы!
Да нормальный вроде сервис... Написал ему "е6ля с конями" - предположил украинский, русский и болгарский. Написал "полный п-ц" - предложил только русский, 100% гарантия.
Скрипт конечно прикольный, но как-то сомневаюсь, что оно выстрелит... Количество рабочих альтернатив зашкаливающее. Притом тот же certboot обладает куда большей кастомизируемостью, если говорить о тех же хуках. Вот тот же http-01 -- он может как запустить standalone, так и использовать webroot. И webroot зачастую куда предпочтительнее, потому что ты не можешь использовать standalone, не приостановив работу своего сервера. А хуки, чтобы затем передёрнуть nginx -- раз, и чтобы разложить новые сертификаты по балансерам -- два, ну они просто маст хев же. А это всё те камни преткновения, насколько я вижу, в этом скрипте отсутствуют (судя по отсутствию упоминания о них в документации -- поправьте меня, если это не так).Тем не менее, студенту флаг в руки и наилучшие пожелания: как строительный кирпичик проект наверняка имеет смысл.
то есть "выстрелит"? он давно уже выстрелил, я думаю, что он второй по популярности после certbot.
> то есть "выстрелит"? он давно уже выстрелил, я думаю, что он второй
> по популярности после certbot.Второй по популярности? Ну не знаю. Про certbot, acme.sh и cert-manager я вот слышал. А про данного зверя -- нет. Возможно, конечно, что теряю хватку. Возможно... =)
В смысле - выстрелит? Чувак уже продался энтерпрайзу - так что для него проект, определенно, выстрелил.
> А хуки, чтобы затем передёрнуть nginx -- раз, и чтобы разложить новые сертификаты по балансерам -- два, ну они просто маст хев же.Обосновывать почему они must have, конечно же, не стоит? Равно как и задумываться над тем, что, по большому счёту, давать всему подряд возможность запуска чего угодно — не всегда хорошая идея...
>> А хуки, чтобы затем передёрнуть nginx -- раз, и чтобы разложить новые сертификаты по балансерам -- два, ну они просто маст хев же.
> Обосновывать почему они must have, конечно же, не стоит?Мощно. Я прям завис на этом вопросе. =)
> Обосновывать почему они must have, конечно же, не стоит?Иначе сервак в час X превращается в тыкву.
webroot есть: https://github.com/dehydrated-io/dehydrated/blob/master/docs...
hook'и поддерживает:
https://github.com/dehydrated-io/dehydrated/blob/master/docs...
https://github.com/dehydrated-io/dehydrated/blob/master/docs...
https://github.com/dehydrated-io/dehydrated/blob/master/docs...
> webroot есть
> hook'и поддерживаетХм. Видимо я был недостаточно внимателен. Пригляжусь теперь. Спасибо!
>в дереве web-сервераА вэбсервер то зойчем?
Чтобы подтвердить владение сайтом.
важная новость
> разработчик bash-скриптаВнезапно меня начинает душить смех.
>> разработчик bash-скрипта
> Внезапно меня начинает душить смех.ты-то и баш-скрипта не разработал за всю жизнь, только задницу?
А тут вот студент неплохо поднял деньжат на его продаже.
И не говори, наклепал портянку на баше. Надо было на джаве написать и в докер засунуть, тогда бы было огого, ентерпрайз.
Если новость о bash скрипте, то почему бы не написать новости о youtube-dl, plotbitrate?
бл... не пугайте - что случилось с youtube-dl?
>plotbitrate?Спасибо тебе анончик, я раньше что-то не слышал о сабже. Недавно была задача пронанализоровать битрейт и я накостылял башепортянку на ffprobe, но визуализации там никакой не было.
Для видео лучше использовать Bitrate Viewer под Wine. Он не поддерживает новые форматы, зато график не разделяет на IPB кадры.
Мне нужно для hevc. Видимо, придётся страдать с ffprobe, до чего же он медленный! А картинка тоже полчаса открывается — наверное, придётся отказаться от svg? Либо собрать IM с svg… Интересно, насколько быстро он справится.
> до чего же он медленныйПотому что декодирует полностью (к тому же HEVC), а Bitrate Viewer считает без декодирования.
> картинка тоже полчаса открывается
Зависит от длительности файла.
> придётся отказаться от svg
Может быть уменьшить количество выборок, чтобы matplotlib'у было проще считать. А тут еще и python.
кстати, в хелпе заявлено что он - opensource.
Как я понимаю, сырцы исчезли из этих ваших интернетов навечно, и автор тоже помер давно?
Вердикт: Учите bash ;-))
> Вердикт: Учите bash ;-))Уже несколько лет практикую странные хаки на баше. После того, как ты увидел, во что превращается твоя "простенькая" башепортянка, понимаешь, что питон, при изначально кажущейся "перегруженности" излишними конструкциями, оказывается куда удобоваримее. В баше постоянно приходится помнить, почему так, а не иначе, и проверять корректность работы твоих хаков (и если ты рассчитываешь на "расширенные" башевые функции, ты попал конкретно скорее всего).
Я достаточно часто неверно оцениваю сложность и беру баш вместо питона, в итоге у меня получаются тормозные портянки. Но тормозит конечно не сам баш, а внешние утилиты. Поэтому мотивация использовать баш только одна: если 99% работы за внешними утилитами, нужно брать баш. Брать внешние утилиты вместо питона — это не правильная мотивация, в результате получается очень странный перегруженный код, не самым эффективным образом делающий много пустой лишней работы. А уж если сравнивать с производительностью решения "в лоб" на си, начинаешь задумываться, что занят чем-то не тем. Но на си уходит намного больше времени.
Посмотрел сейчас, на машине с la=100500 башепортянки вообще забавно запускать, как в далёкое прошлое отправился. Непозволительно много времени уходит в первую очередь на запуск новых процессов, и как результат, те 3 процесса, что уже забили все ядра с трёхкратным запасом, отнимают подозрительно много производительности у баша. Интересно было бы сравнить с питоном, вот только мой питон тоже в основном внешний софт запускает. На чём бы сравнить, воспроизводимо?
Ну я в особо суровых случаях на Перле ваяю =))
А чего bash не нравится местным экспертам?
> А чего bash не нравится местным экспертам?Puttyexe'шники, сэр!
А вы друзья как ни садитесь...