Нейронка и ЕГЭ

https://rg.ru/2023/10/12/nejroset-iandeksa-smogla-sdat-ege-dlia-postupleniia-v-vuz.html

Тут вот пишут (и не в агентстве Панорама и даже не на linux.org.ru, а аж в целой "Российской газете") что нейросеть YandexGPT успешно сдала ЕГЭ и набрала необходимый балл для поступления в ВУЗ.

По-моему если это говорит о чем-то, то только о бессмысленности системы ЕГЭ. Если уж нынешние нейросетки это могут сдать не хуже большинства школьников, то это никуда не годится как метод оценки резуультатов обучения в общеобразовательной школе.

X-Post from DW

(Read Comments |Comment on this)

Про мейнфреймы и эмуляторы

Потребовалось тут собирать постгрес под мейнфреймы. В смысле s390x. Ну после некоторого опыта работы с плафтормой PowerPC я предпочитаю на партнерское железо не надеяться, и если уж нет соответствующей железяки в нашем датацентре, использовать эмуляторы.

Но ведь оно, блин, так торомозит...

Запускаю qemu-system-s390x со следующими параметрами

qemu-system-s390x -smp 16 -drive file=SLES15-SP5-Minimal-VM.s390x-kvm-Build7.1.qcow2,format=qcow2 -m 4G

Оно радостно рапортует что у него аж под 14К bogomips (при том что на хосте 4800).

fadmin@sles15-s390x:~> lscpu
Architecture:            s390x
  CPU op-mode(s):        32-bit, 64-bit
  Byte Order:            Big Endian
CPU(s):                  16
  On-line CPU(s) list:   0-15
Vendor ID:               IBM/S390
  Machine type:          8561
  Thread(s) per core:    1
  Core(s) per socket:    1
  Socket(s) per book:    1
  Book(s) per drawer:    1
  Drawer(s):             16
  BogoMIPS:              13370.00
  Dispatching mode:      horizontal
  Flags:                 esan3 zarch stfle msa ldisp eimm etf3eh highgprs vx vxe
                          vxe2
Virtualization features:
  Hypervisor:            KVM/Linux
  Hypervisor vendor:     KVM
  Virtualization type:   full
NUMA:
  NUMA node(s):          1
  NUMA node0 CPU(s):     0-15
Vulnerabilities:
  Gather data sampling:  Not affected
  Itlb multihit:         Not affected
  L1tf:                  Not affected
  Mds:                   Not affected
  Meltdown:              Not affected
  Mmio stale data:       Not affected
  Retbleed:              Not affected
  Spec rstack overflow:  Not affected
  Spec store bypass:     Not affected
  Spectre v1:            Mitigation; __user pointer sanitization
  Spectre v2:            Mitigation; execute trampolines
  Srbds:                 Not affected
  Tsx async abort:       Not affected

А работает при этом медленно и печально. Ну то есть собирается то с относительно нормальной скоростью (c -j8) 26 минут постгрес и 6 минут контриб (для сравнения в user mode emulation, где число процессоров никто не ограничивает, сборка пакета постгреса (т.е. сам постгрес, плюс контриб, плюс оверхед на заворачиваение в rpm и установку Build-Requirements) занимает полчаса.

А вот тесты... make -C contrib check - пять часов, installcheck - видимо столько же - там просто тестовый скрипт не дождался и вырубил по глобальному таймауту 12 часов.

QEMU относительно свежий, 7.2. Могу поставить 8.0, но вряд ли это что-то изменит. Там changelog для этой архитектуры

• Improved zPCI passthrough device handling
• Fixed emulation of MVCP, MVCS, CHRL and CGHRL instructions
• Support for asynchronous teardown of memory of secure KVM guests during reboot

Увеличение параллельности вряд ли что-то может серьезно изменить. Там не столько параллельных процессов в тестах, чтобы задействовать сильно больше 16 ядер. Возникает странная мысль поиграться с параметрами распределения процессоров по сокетам, books и drawers (не знаю что такое books и drawers, в привычных мне писюках их не бывает). Хотя может несколько процентов я на этом выиграю, но не разы. А хотелось бы хотя бы разы.

Интересно, может помочь переход с qemu на hercules?

И вообще читают ли меня люди которые что-то в этом вопросе понимают? kondor еще в ЖЖ ходит, например?

X-Post from DW

(Read Comments |Comment on this)

Мой комментарий к записи «Об одной небольшой проблеме» от vad_nes

Будучи выпускником географического факультета и проработав большую часть жизни инженером, позволю себе не согласиться.

Науки неправильно делить на точные и неточные, науки надо делить на естественные, неестественные и сверхъестественные.

Математика это вообще не наука, это язык науки. К точным традиционно отнсоятся науки, которые научились выражать на этом языке. Поэтому физик и математик обладают несколько разными умениями. В смысле математик не обладает присущими физику умениями работать с явлениями окружающего мира. Только с абстракциями математического языка.

Но физик при этом работает как правило в условиях контролируемого эксперимента. Ему не надо учиться работать с объектами, не выразимыми на языке математики, как географу или биологу. А историки часто впадают в другую крайность, вообще не пытаясь выразить свое знание на языке математики и ограничивасяь описаниями. (для географов старой школы это тоже характерно, я еще таких застал).

в XIX веке вообще была идея что есть две методологии — историческая, изучение развития явлений во времени, и географическая — изучение их в пространстве. Почему-то география свой взгляд на мир расширила, рассматривая в том числе и развитие пространственных систем во времени, а история, наобоот, сузила, отдав палеонтологию на откуп геологам, а климатологию — географам, и сосредоточившись исключительно на социлаьных системах (при том что экономическая и социальная география никуда не делась).

Посмотреть обсуждение, содержащее этот комментарий

(Read Comments |Comment on this)

У ней внутрях нейронка

Оскоромился. Поставил себе на ноутбук первую нейронку.

Это whisper.cpp - фиговина, которая умеет распозравать речь из wav-файла в текст. На примерно сотне языков. Навела меня на эту программу сестра, журналист по профессии. У нее всегда была проблема с транскрибированием надиктофоненных интервью.

И вот теперь, похоже прогресс дошел до того, что эта проблема окончательно и бесповоротно решена. Во всяком случае на тех диктофонных записях (реальных интервью, с реального диктофона списанных) которые мы пробовали, работает безукоризненно. Даже language tool потом гонять не надо.

Примерно мегабайт кода на C++, практически лишенный внешних зависимостей, который компилируется в мегабайтный же бинарник.

3 гига модели, которую надо скачать. Моделей есть несколько. 3Гига это large, дающая самые лучшие результаты. C ней работает на моем трехлетней давности Lenovo примерно втрое медленнее чем звучит эта речь. То есть быстрее, чем если транскрибировать вручную. С моделью tiny, пишут, работает в realtime даже на RaspBerry Pi. Не пробовал. И не знаю какое там качество распознавания.

У сестры на шестилетней давности макбуке собралось только при отключении какой-то аппаратной акселерации. И работает примрено с той же скоростью (у меня 8-ядерный I5@1.6GHz, у нее - 4-ядерный I7@2.9GHz). Какие-то отдельные файлики для cuda и opencl там есть, но у меня по-моему и без того и без другого собралось.

Понимает, оно, конечно, только несжатый WAV и только на 16KHz, Пришлось сестре на мак заодно и ffmpeg вкрутить.

В общем, как я и предсказывал, нейронки (пока клиенты, но думаю через три пять лет будут и обучалки) работающей оффлайн, причем на консумерском железе сегодняшнего дня будут появляться.

X-Post from DW

(Read Comments |Comment on this)

Два вопроса про windows и ssh

Итак, есть винда (вернее две - 2019 и 2012r2, но хотя бы от первой из них бы правды добиться) На них обеих поднят sshd, родной микрософтовский, и по нему туда ходит с linux-машины робот и периодически запускает некий процесс (процесс представляет собой перловый скрипт, исполняемый Strawberry Perl-ом, который в свою очередь компилируе Postgres посредством visual C и запускает его тесты).

Так вот, есть две проблемы

1. Иногда зависает ssh-клиент. То есть захожу я на эту windows, и не вижу на ней ни процессов, ни рабочей директории, которую процесс при завершении аккуратно за собой убирает. А ssh-клиент висит и все никак EOF от сервера не дождется. Вот куда копать, чтобы выяснить почему он так себя ведет? Пока прописал ему в .ssh/config ServerAliveInterval, посмотрим как дальше себя поведет.

2. Иногда повисают запущенные дочерние процессы. Потому что это тесты, и цель их как раз выявить, где разработчики налажали. А то что разработчики кластерной клиент-серверной СУБД могут устроить дидлок на раз-два это не сомневайтесь. Так вот польвоатель, от которго всё это хозяйство запускается - непривелигерованный. Ибо нефиг постгрес от привелигерованного гонять. Он этого не любит. А виндовый taskkill при пропытке его напустить от имени этого пользователя на процессы этим же пользователем запущенные, говорит "Permission denied". Вот какую привилегию надо выдать пользователю в винде, чтобы он мог убивать собственные процессы? Я, видимо что-то глобально не понимаю в системе виндовых прав доступа.

   X-Post from DW

(Read Comments |Comment on this)

Сверхпроводники

Ну вот допустим, действительно удалось открыть вещество, сверхпровощящее при комнатной температуре. Допустим что даже это вещество вполне поддается вытягиванию в проволоку, навиванию на катушку и прочим подобным манипуляциям. А по цене ну, скажем, сравнимо с техническим серебром.

Интересно, как изменит наш быт появление этой технологической возможности?

Прокладку тонкого кабеля вместо строительства громадных ЛЭП вроде ничего принципиально не поменяет. Хотя вроде по цене получается то на то - дорогой, но тонкий сверхпроводящий кабель заменяет много дешевых проводов для которых нужно городить громадные опоры и изоляторы.

Развитие сети маглевов сейчас лимитируется какими-то другими факторами. Они и на неодимовых постоянных магнитах неплохо левитируют.

Появление мощных электромоторов заметно меньшего размера, чем сейчас - не кажется революционизирующим. Нынешние моторы и так достаточно компактны.

Принципиально поменять что-то может создание на базе сверхпроводника накопителя энергии емкостью на порядок-другой больше литий-ионного аккумулятора. Тут всё понятно куда его девать, такой аккумулятор все ждут. И даже его взрывоопасность никого не остановит. Электромобиль с пятидесятикилограммовым аккумулятором вместо полутонного, электровелосипед с запасом хода в 300 километров, электропила и шуруповерт, работающие без подзарядки целую смену - это всё понятно и очевидно. И мир действительно изменят. Но пока никто такого накопителя не продемонстрировал.

X-Post from DW

(Read Comments |Comment on this)

Чудеса зеленой экономики

https://news.slashdot.org/story/23/07/22/1845215/norfolk-coast-giant-offshore-windfarm-halted-due-to-spiralling-costs

Рост цен на газ сделал ветровую электростанцию убыточной.

(Read Comments |Comment on this)

Про визуальную коммуникацию

Прочитал тут пост kot_kam О культуре восприятия визуальных образов, и подумал что вообще-то культура восприятия визуальных образов тесно связана с культурой их генерации.

О, у нас в культуре есть множество способов генерации визуальны образов, от шаржа и пиктограммы до технического чертежа и карты. Но практически все они являются уделом профессионалов. В общую культуру, которая преподается в общеобразовательной школе они входят в значительно меньшей степени чем работа с текстом.

А те визуальные образы, которые обсуждает kot_kam примерно как сценическая речь с текстом на бумаге.

То есть вообще говоря, коммуникация это про то, чтобы выделить из некоторой горы информации главное, и это главное до собеседника донести. Если у нас текст, это проще, если шарж или схема, то тоже ничего. А если нужно это сделать средствами фотографии - это сложнее. У тебя меньше способов отсечь лишнее в рспоряжении. Точно так же как у режиссера постановшика проблема в том, что ему надо соединить в некое единство и интонации актера, и грим и костюм, и обстановку сцены- зритель-то всё это в целом воспримет. И надо сделать так, чтобы оно не мешало донести главную мысль.

С другой стороны, чтобы донесенное сообщение в мозгу собеседника закрепилось, пустило корни, оно должно там с чем-то срезонировать. И вот тут как раз уже в проигрышном положении оказывается писатель буквами. Ему нужно этими самыми буквами нарисовать образы, которые читатель воспримет эмоционально.

Вообще когда я впервые в жизни увидел Windows (3.1 еще тогда) меня очень удивило что редактор иконок там считается частью профессиональных средств разработки программ, не входящих в базовый комплек ОС. Мне тогда казалось очевидным, что если у нас графическая среда, то пользователь компьютера должен иметь возможность приделывать к хранящимся в компьюте объектам (не только программам, но и текстам, картинкам и т.д) некие узнаваемые лично им пиктограммы, так же как в текстовой среде он может давать файлам данных текстовые имена.

Но вот именно этим навыком - быстро, несколькими штрихами выделить главное, нарисовать некий скетч, который потом легко будет самому же опознать, большая часть людей в нашей цивилизации, похоже, не обладает.

Придумать что ли другую цивилизацию, где это наоборот, есть? Если я возьмусь переписывать "Пещеру Кибакиба" которая у меня вышла откровенно неудачной, но сеттинг мне жалко, то может быть как раз это один из штрихов которого этому миру не хватает?

Или воткнуть это в "Нэтти"? Там все равно нужно заниматься культуростроительством в России, не так как это сделано в реальной истории. И возможно то как раз вывод образной коммуникации на один уровень распространенности с текстовой мог бы дать интересные эффекты.

Одно очевидно - развивать работу с образными методами коммуникации надо до того, как видеокамера высокого разрешения появилась в каждом утюге. Поскольку нужно научиться пропускать картинку через себя, выделять в ней главное, и это главное простейшими средствами изображать. И только на базе этого умения как общекультурного навыка, можно строить работу с фото и видео где поток визуальной информации идет от объекта к зрителю мимо художника, а тот его только направляет.

То есть если это идет в какой-то высокотехнологический сеттинг, то должно быть обосновано появление этой культурной нормы до появления высокой технологии.

X-Post from DW

(Read Comments |Comment on this)

Скоро пуск

Сколько раз ездил через поселок Скоропусковский на А108 к северу от Сергиева Посада, всегда думал что это название восходит ко временам строительства противоракетной обороны Москвы, как и вся А108, или даже ко временам строительства Загорской ГАЭС, которая в 10 километрах севернее. Ну вроде станции Темпы на Савеловской дороге.

Сегодня вот собрался и залез в отцовскую книхку "Карта рассказывает". И выяснил что село Скоропусково существует под этим названием с XIX века, когда его владельцу показалось неблагозвучным существовавшее с XVI века назваине Кровопусково.

X-Post from DW

(Read Comments |Comment on this)

Апология пробок

В 2010 году я написал у себя в ЖЖ вот такой пост:

В выдуманном архитекторами мире больших городов время загнано в прямоугольные клетки органайзера.
Каждая секунда похожа на другую, и менежер может тасовать и пересчитывать их как купюры.
Он точно знает сколько секунд ему надо чтобы доехать от работы до дома, сколько - чтобы дойти от своего кабинета до кабинета директора. Он уверен, что не опоздает на свидание с девушкой или в театр. Он меряет время электронными часами.

В реальном мире время клочьями кучевых облаков несется по небу Эол знает куда. Время летчиков, моряков и земледельцев меряют барометром и анемометром. Каждая его секунда уникальна. В эту секунду ты приближаешься к цели на четверть километра, в следующую - на столько же от нее отдаляешься, потому что полосы не видно, и нужно уходить на запасной аэродром, терять часы, а то и сутки. Если не хочешь потерять всё отпущенное тебе время.

Когда эти два времени приходят в соприкосновение, ничего хорошего не происходят. Планы рушатся (писал бы я это по-английски, каламбур бы получился). Нужен очень мудрый человек, который сможет заложить в планы, построенные в клеточно-прямоугольном времени города достаточно большой запас, чтобы скомпенсировать взбрыки живого времени окружащего мира. У публичных персон такого запаса обычно нет, они суетливы и именно суетливость сделала их известными.

Одно радует на фоне всей этой философии - стоит городу чуть-чуть дать слабину, хаос окружающего мира врывается в него, разрывает клетки органайзеров, и время на городских улицах начинает течь так же, как в море и небе. В Москве, например, с её пробками, даже высшие менеджеры уже научились понимать, что время не всегда им подчиняется.

Почему-то мн езахотелось о нем вспомнить.

DW

(Read Comments |Comment on this)

Про дезинсекторов

Коллеги, а кто-нибудь знает в Москве проверенную контору, которая занимается дезинсекцией квартир?

А то что-то никак не получается. Все конторы, в которые обращались деньги берут, а тараканов после их обработки только больше становится. И судя по отзывам на всяких яндекс-картах и прочих форумах, более-меннее все конторы, которые можно нагуглить - это такого рода мошенники. Которые чем-нибудь побрызгают, а тараканы это слижут и спасибо скажут.

Но может быть всё-таки кто-то имеет позитивный опыт приглашения дезинсекторов?

X-Post from DW

(Read Comments |Comment on this)

К вопросу о перепостах
Приношу извинения всем, кто успел ответить на пост, который новый глючный движок ЖЖ сделал из моего комментария. Я к сожалению не заметил этой диверсии сразу и удалил этот пост только через несколько часов.

Я никогда намеренно не пользуюсь галочкой "сделать пост на основе комментария". Это была случайность. А если бы я хотел сделать пост, я бы его написал в DW и потом возможно кросспостил в ЖЖ.

(Read Comments |Comment on this)

Мой комментарий к записи «Жесть, или о человеческой разумности» от snake_d_ha

Курс астрофизики в школах имеет примерно столько же смысла, сколько курс закона божьего. Ибо астрофизика изучает объекты, которые ни в бензобак не нальёшь, ни в бомболюк не подвесишь (в отличие, например, от ядерной физики).

Поэтому преподавание астрофизики это всего лишь трансляция некоей логически непротиворечивой модели мироустройства, никаких практических приложений которой школьник сделать не может, да и верифицировать ее имеющимся у него средствами тоже никак. Вот когда люди будут рутинно зажигать звезды примерно с такой же частотой, с какой выращивают сейчас красивые цветы, тогда да, астрофизика будет полезной прикладной наукой.

А пока она даже мало способствует прогнозу поведения той единственной звезды, от колебаний излучения котрой мы зависим. Все эти солнечные циклы — сплошная эмпирика, физических моделей с предсказательной силой там нет.

Посмотреть обсуждение, содержащее этот комментарий

(Read Comments |Comment on this)

Интересно, не разделит ли RedHat судьбу Sun?

Тут вот написано что RedHat перестает публиковать исходники своих релизов, только Centos Streams.

На слэшдоте замечают что это приведет к сложностям создания бинарно-совместимых клонов RH,

На мой взгляд, ограничение на распространение исходников нарушает по крайней мере дух GPL. И в я не один так думаю. Видимо адвоакты RH нашли какую-то лазейку, чтобы не нарушать букву. Но у Oracle, производителя одного из точных клонов RH, тоже есть адвокаты, и не менее грамотные.

Что-то мне кажется что попытки со стороны редхата подличать и делать мелкие пакости сообщетсву до добра в долгосрочной перспективе не доведут.

X-Post from DW

(Read Comments |Comment on this)

55 исполнилось

Вот и пришел очередной день рождения

(Read Comments |Comment on this)

Прокси вместо VPN.
Рассматриваю вариант использования HTTPS-прокси на входном гейтевее для доступа к ресурсам локальной сети вместо VPN. В принципе, все протоколы кроме HTTP(S) и ssh нужны при доступе к офисным машинам крайне редко. При условии что IMAP-сервер, SMTP-сервер и сервер видеоконференций торчат наружу и для доступа к ним VPN все равно не используется.</p>

Ну да, раз в сто лет мне надо бывает на консоль какой-нибудь виртуалки сходдить. По RDP или spice (ксрати почти все qemu у меня все равно spice только на localhost слушают, так что без проброса порта по SSH не обойтись все равно).

Как пробросить все что угодно через SSH все и так знают. А кто не знает, пусть здесь читает.

Рассмотрим противоположный подход - все через https. Допустим, у нас на гейтвее локальной сети стоит http proxy. Ну например nginx или apache с mod_proxy или squid. Естественно с авторизацией. Очевидно, что админы сети могут открыть проксирвоание http-методом CONNECT любых портов, которые сочтут нужным. Хоть 22, хоть 3389. Оно конечно менее надежно чем авторизация по сертификатам или ключам ssh/wireguard, но все-таки приемлемо. (особенно если иметь какой-нибудь автоблэклист, который блочит на пару суток IP-адрес с которого пришло более десяти попыток логина с разными неправильными именами и паролями).
Кстати вот тут есть смысл использовать пароли, отличные от тех, которые использует корпоративный LDAP и с которыми можно логиниться на внтуренние сайты вроде JIRA. Получится два уровня защиты от брут-форса. и их уже должно хватить.

Как ходить на внутренние сайты - понятно. А как ходить на машины?

Ну у SSH есть ProxyCommand и она может делать все что угодно. Естественно, есть куча программ, которые рассчитаны именно на хождение по ssh через корпоративную прокси. Все они создавались в основном для хождения изнутри наружу. Но при правильной настройке прокси для хождения снаружи внутрь их тоже можно использовать.

В man ssh_config приведен пример с использованием netcat. К сожалению, netcat обладает большихм недостатком - она не умеет пароль получать откуда-нибудь из файла или там агента. А работать с ssh и при каждом коннекте вводить пароль руками - ну крайне неудобно (опять же будешь ошибаться. и тебя заблеклистят как описано выше)

В дистрибутиве нашлись сходу следующие вариатны

1. connect-proxy
2. corkscrew
3. proxytunnel

Из них всех https умеет только proxytunnel. Полезным свойством http прокси является то, что имена хостов резолвятся на той стороне. Недостатком этого является то что CanonicalizeHostname в .ssh/config работать не будет, а оно удобное и сильно сокращает размеры этого конфига.

xfreerdp судя по документации умеет http proxy из коробки. Вот умеет ли он https? Не пробовал. Надо что-ли где-нибудь настроить и попробовать. Хотя через proxytunnel можно пустить любую софтину, оно умеет работать в режиме standalone server, аналогично ssh port forwarding.

Утверждается что формат файлла паролей у proxytunnel совпадает с .wgetrc. Хоя я бы, конечно предпочел .netrc Ну или работу с сессионным keyring (gnome-keyring, kwallet, windows credential locker). Написать что ли свой? На питоне. Поскольку и netrc у питона в стандартной библиотеке, а keyring - на pypi. можно, наверное в полсотни строк уложиться, даже без aio, на банальном select.

X-Post from DW

(Read Comments |Comment on this)

Лес рубят - щепки летят

Тут в журнале Хакер пишут, что российские провайдеры начали блокировать openvpn. Эк они проснулись-то. Проблемы с openvpn периодически возникают (особенно у мобильных провайдеров) уже несколько лет. И как правило, через день-другой разрешаются и все начинает работать.

Всё - это доступ к корпоративным или частным vpn, независимо от того где находится сервер - в Москве или во Франкфурте (у меня сейчас подняты две VPN - одна с сервером там, вторая с сервером сям). Когда в Думе принимали законы о блокриовках VPN там все же подумали, и использование VPN для доступа к локальным сетям оставили легальным. Запрещено только предоставлять доступ неопределенному кругу лиц к заблокированным ресурсам (т.е. торговать VPN).

Но похоже что провайдеры толкуют закон расширительно. И с VPN ситуация такая же, как с BitTorrent. В принципе по протоколу BitTorrent раздаётся уйма вполне легального контента. Который его правообладатель разрешил раздавать (или непосредственно организует раздачу) - дистрибутивы Linux, архивы Wikipedia и так далее. Но сотовым операторам это не интересно. Им проще заблокировать эти легальные раздачи упирая на то, что большая часть раздаваемого по торрентам контента нарушает копирайт. В англосаксонском праве для этого случая есть понятие "significant non-infringing uses". И если эти значительные случаи есть, запрещать весь протокол нельзя.

Но в общем надежды на то что UDP/1194 у нас будет продолжать свободно ходить у меня как-то мало. В связи с этим возникает вопрос, а какие варианты доступа к своей своему серверу стоит иметь в качестве резервных, какие сломают с наименьшей вероятностью.

Первое что приходит в голову - это openvpn over TCP. Конечно, медленнее, чем UDP, но лучше чем ничего. Если использовать порт 443, то отличить opevpn от https можно только путем Deep Packet Inspecition. Оборудование у провайдеров для этой цели, конечно, есть, но может поленятся они гонять через него нетрасграничный траффик (это спасет доступ офисной сети, но не мой сервер в Германии)

Мне известны три способа совместить HTTPS-сервер с OpenVPN сервером на одном порту:

1. Директива port-share в конфиге openvpn
2. директива ssl_preread в конфиге nginx (я, правда, терпеть не могу fronted-proxy-переросток от Сысоева, и исползую Апач)
3. Отдельная утилита sslh

Вот жалко что последний вариант мне был неизвестен когда я работал в компании с фашиствующими админами. Он позволяет через корпоративные прокси, где открыт только 443 порт ходить не только по https, но и по ssh, opevpn, tinc и xmpp.

Думаю, а не пора ли уже у себя на сервере это настроить На всякий случай, чтобы, если потребуется можно было через чужую прокси ходить. Кстати, не исключено что tinc окажется ниже радаров. Вот что wireguard не будут блокировать я не верю, ибо модный и молодежный. А про tinc может и забудут

Еще для приема разных TLS-based соединений на одном порту есть полезная вещь sniproxy. Она, правда, не про разные протоколы, а про разные хосты.

На мой взгляд для удаленной работы одним из наиболее логичных вариантов является использование вместо VPN отдельно https-прокси с авторизацией для доступа к внутренним веб-ресурсам, и отдельно ssh proxy jump для доступа к машинам локальной сети по ssh. (возможно стоит еще отдельную RDP proxy завести. Хотя стоит еще попробовать вариант - зайти на винду по ssh, пробросив туда порт 3389, а уже по этому пробросу идти xfreerdp). Использовать для корпоративных веб-ресурсов sniproxy я бы, пожалуй. не рекомендовал, поскольку как правило в интранетах полно наколеночных ресурсов и проприетарных поделок вроде gitlab и jira, которые сильно уязвимы к атакам из сети. Поэтому отсечение нехороших людей посредством авторизации на входной прокси - дело полезное.

Хотя в свое время я sniproxy использовал именно так - у меня был веб-сервер на домашней машине и prayer webmail на Banana PI, работавшей входным роутером. И один достижимый извне IP адрес. Поэтому я запросы распределял по хостнеймам с помощью sniproxy.

В этом случае, если вдруг почему-то не будет работать доступ к вебу через веб-прокси, то можно ходить через ssh dynamic port forwarding, а если не будут пускать на 22 порт, то есть anytermd Конечно, anyterm это дыра в безопасности шире Черного Моря, но что же делать, когда больше делать нечего?

Еще есть конечно интересный способ - пускать openvpn (в tcp-режиме) через stunnel. Тогда никакая DPI не отличит его от HTTPS-а. Только статистика по продлжетельности соединения и все такое. Но сбор статистики это по-моему уже таржетированная атака. А мы пока что занимаемся законной деятельностью - удаленной работой. И если нам мешают, то нечаянно, по принципу "лес рубят - щепки летят".

С другой стороны openvpn over tcp и так тормозит безбожно. А если еще один уровень TLS сверху накрутить... Может быть через TLS-трубу лучше pppd пускать? Либо в варианте SSTP, либо как-то наколеночно. Правда по-моему из реализаций SSTP в комплекте дистрибутива идет только softether. А у меня разглядывание его исходников в свое время вызвало рвотный рефлекс. Зато он поддерживает много разных протоколов. И если на сервере включить все, а на клиенте тыкаться по очереди по мере уменьшения производительности, то какой-нибудь да заработает.

(wireguard, ipsec и l2tp не упомянтуты потому что их резать на уровне провайдера еще проще, чем openvpn).

X-Post from DW

(Read Comments |Comment on this)

Building Trustworthy AI

Тут Шнайер написал большой пост Building a Trustworthy AI.

В качестве гарантии того, что AI, который дает вам советы, работает на вас а не на дядю, он предлагает следующие меры

1) Запускать AI на своем железе или на контролируемой вами VDS в облаке (по-моему не поможет. Распространение вирусов. DDoS и эволюция Андроида и IoS свидетельствует о том что даже железо которое стоит у нас на столе или которое мы держим в руках, мы не контролируем. Не говоря уж о том что еще 20 лет назад в суде уже звучали обвинения в незаконном проникновении в собственный компьютер.

2) Контролировать весь корпус данных на котором обучается AI. По--моему это вроде того английского закона, что перед каждым механическим транспортным средством должен идти человек с красным флагом. AI нам для того и нужен чтобы обрабатывать огромные объемы информации, намного больше чем мы своим естественным интеллектом можем успеть обработать.

По-моему вопрос безопасности следования советам от AI надо решать совсем по-другому - "вселить в машину бессмертную душу, веселую и работящую", как Федор Симеонович Киврин. Т.е. нам нужен не Trustworthy AI, а Responsible AI. Такой AI который не следует слепо ни интересам своего производителя, ни интересам своего пользователя, а имеет собственные. Именно благодаря наличию которых с ним можно договариваться.

X-Post from DW

(Read Comments |Comment on this)

О следущем шаге в истории

Я, кажется понял, как будет называться следующая стадия развития общества. Которая уже наступает, но никак не наступит на место индустриального общества - "общество удаленной работы".

Ведь если подумать, наиболее критичным фактором определяющим облик общества является система расселения. В аграрном обществе подавляющая часть населения жила в сельских общинах. И ремесленные слободы в городах повторяли организацию сельских общин. В индустриальном обществе - огромные города, связанные между собой скоростными путями сообщения с высокой пропускной способностью. Сельские общины перестали быть самодостаточными, и даже печеный хлеб туда из райцентра возят.

А вот в ходе ковидной эпидемии начали проявляться черты следующей стадии. Ключевых технологий три - удаленная работа, службы доставки и социальные сети.

... Написал я сидя в деревенском доме, в 15 километрах от ближайшего магазина и подключенного изо всех инфраструктурных сетей к одному электричеству. (газ в баллоне, интернет по 4G, вода из колодца тем же электричеством качается).

X-Post from DW

(Read Comments |Comment on this)

Про эмуляторы андроида

Что-то у меня опять дохнет смартфон. Все бы ладно, но есть несколько важных вещей, которые хотят работать только в андроиде и IOS, и иначе никак. Вот думаю, может быть отсетапить на компе какую-нибудь виртуальную машину с андроидом и держать эти приложения там?

Интересно, есть ли у нас под Linux эмулятор андроида, в котором бы можно было нормально пользоваться whatsapp-ом (т.е. русская клавиатура, желательно доступ к аудиосистеме компа, и совсем мечтательно - видеокамера) и клиент-банками (тут хочется совсем странного - подсунуть программе, выполняющейся в андроидном эмуляторе, кусок экрана основной операционки в качестве изображения с камеры. Чтобы QR-коды из браузера передавть).

anbox похоже сдох.

Рассматривемые кандидаты:

1. Андроид x86 в qemu с kvm-акселерацией. Там почему-то полно всего написано как включить 3d-акселерацию графики, но ни слова про видеокамеру.
2. waydroid Почему-то у них нет пакетов для debian stable, есть только для bookworm-а. Апгрейдиться как-то вроде рановато.

Есть ещё какие-нибудь варианты?

X-Post from DW

(Read Comments |Comment on this)