Mi chiedo con quali fotocamere scattino queste immagini...
https://t.me/ilfattoalimentareallerta/1038?single

Volevo aggiungere un minuscolo servizio di my-ip attraverso caddy, ma scopro che docker rootless con i driver di default maschera l'IP sorgente oltre che ad essere decisamente lento.

Ora provo ad installare bypass4netns che dovrebbe risolvere tutto con regole seccomp.

Gli user namespace sembrano essere visti come pessimi per la sicurezza, non sapevo... Non sono ancora riuscito a far funzionare la connettività nei container, a questo punto ritorno a docker rootful (con l'unica eccezione di usare passwd + group custom)

(post del 2019 ma ancora aggiornato)

Enabling unprivileged user namespaces can make severe vulnerabilities in the Linux kernel much more easily exploitable. [...] Numerous vulnerabilities that are found regularly are often only exploitable by unprivileged users [...]

The reason for this is that much of the kernel that is only intended to be reachable by UID 0 is not audited particularly well, given that the code is typically considered to be trusted. That is, a bug that requires a UID of 0 is rarely considered a serious bug. Unfortunately, unprivileged user namespaces make it possible for unprivileged users to access this very same code and exploit security bugs.

https://security.stackexchange.com/questions/267628/user-namespaces-do-they-increase-security-or-introduce-new-attack-surface

https://groups.google.com/g/linux.debian.bugs.dist/c/ZF9rWY3DR5w

E niente come non detto, ho scritto a mano tutte le regole del firewall in bash

Funziona sia pre- che post-esecuzione docker

L'altro giorno faccio per accendere la zimaboard con un HDD SATA, un tastiera e un adattatore mini DisplayPort / HDMI ...non si accende.

Preoccupato, scollego l'adattatore video e l'HDD pensando che richiedano troppa corrente ...niente.

Smonto tutto, apro la board, scollego ventola e batteria CMOS e si rovina il connettore esterno di quest'ultima. Rinforzo il connettore scollegato con una goccia di colla a caldo e faccio uguale con quello della ventola, tutto ok.

Per curiosità raggiungo l'altro lato della board e scopro che la pasta termica è come sempre scadente. Pulisco tutto con alcol e ne metto di nuova.

Chiudo tutto, collego l'alimentatore ...si accende. Riprovo a collegare i dispositivi da spenta ...rimane spenta.

Ho descritto la situazione sul server discord ufficiale e uno mi ha suggerito di provare a collegare i dispositivi da board accesa, e funzionano tutti insieme. Vai a capire...

Comunque ho letto che in caso di board arrivata danneggiata, in teoria l'azienda può provvedere ad inviarne una nuova

Per quanto riguarda ZimaOS, sempre ieri sera mi sono rivisto dei video di MorroLinux sull'argomento che confermano i miei presentimenti.

È una distribuzione embedded custom fatta con Buildroot, la root è in sola lettura, non ha package manager e si aggiorna con un singolo file che viene installato su una seconda partizione (sistema A/B come android (e steamdeck?)).

Questo perché è pensata per utenti interessati agli argomenti NAS / homelab / privacy / data sovereignty, ma comunque poco tecnici o avversi a configurazioni manuali (come biasimarli).

Peccato che delle funzioni che vende, raggiunge poco; il sistema sembra in costante alpha —
• puoi configurare i permessi delle condivisioni samba ma funziona solo guest pubblico (non aggiunge gli utenti con smbpasswd),
• i parametri di rete sono modificabili solo in parte, per extra bisogna usare NetworkManager,
• non avvisa se un disco del RAID sta fallendo
• e come mi era successo in passato sul mio pc, se si attiva lo sleep automatico dell'HDD poi viene riacceso dai controlli SMART periodici (disattivabili solo da ssh).

Infine c'è una funzionalità opzionale per connettersi alla rete della board da internet tramite il loro ZimaClient, che esiste per Windows, macOS, Android ...ma non linux. Tale funzionalità più il client non sono altro che un rebrand di ZeroTierOne (possono farlo? non è FOSS per usi commerciali).

Detto questo, mi sa che farò un backup del sistema e installerò Arch

Ecco i risultati dei test (povera board l'ho torturata a forza di accendi-spegni...)
• spenta da web e scollegato tutto

• solo power
accesa, ma al secondo tentativo

• power + miniDP adapter (senza monitor)
accesa

• power + miniDP w/o mon + usb keyboard
accesa

• power + miniDP w/o mon + usb keyboard
+ usb flash
accesa

• power + miniDP w/ monitor
niente

• power + sata solo dati
accesa

• power + sata
accesa, ma al secondo tentativo

• power + sata + miniDP w/o mon + usb keyboard
+ usb flash
accesa

Provider in cui mi sono imbattuto per caso
(??????)

Sfiga vuole che sia il mio portatile di lavoro Lenovo, sia il mio portatile personale Acer, abbiano esattamente la stessa maledetta scheda wifi Qualcomm Atheros QCA9377. Su Linux questa scheda fatica a superare gli 1.5MB/s con ogni condizione di rete, anche quando in casa si ha una connettività di 12MB/s...

Fin'ora non me ne sono mai accorto per il semplice fatto che ho sempre usato l'ethernet per entrambi. Ora sto cercando di disattivare ricompilando wpa_supplicant una feature di sicurezza (Protected Management Frames) mal supportata dal chipset e causa del problema.

Scaricata e avviata l'iso, come ottengo la connettività? Dopo qualche tentativo manuale con un cavo ethernet diretto al pc e comandi ip, tramite NetworkManager è stato sufficiente creare un profilo con modalità "Condividi con altri computer" ed ha funzionato subito (fa anche da dhcp server).

Ho fatto un dump con dd + zstd + sshfs (64GB > 9GB) ed ho preparato le partizioni. Poi ho provato per la prima volta archinstall — una favola.

Una TUI per scegliere tutte le opzioni di installazione senza flusso avanti avanti avanti, supporta la gestione partizioni, scelta bootloader, utenti, scelta mirrors, vari set di pacchetti predefiniti, import + export di tutte le opzioni in un file json, e molto altro. In 5min si installa tutto.

Ora manca solo personalizzare /etc

Interfaccia pubblica google per verificare i DNS lato loro
https://dns.google/