Admin Guides | Сисадмин

Настройка AppArmor профиля для своего приложения с нуляAppArmor ограничивает что приложение может делать на уровне ядра: какие файлы читать, какие сетевые операции выполнять, какие capabilities использовать. Даже если приложение скомпрометировано, за пределы профиля оно не выйдет.Генерируем базовый профильНе пишем с нуля вручную, используем aa-genprof. Он запускает приложение и записывает все обращения:aa-genprof /usr/bin/myappВ соседнем терминале запускаем приложение и воспроизводим типичные сценарии работы. Когда закончили, возвращаемся к aa-genprof и нажимаем S (scan) потом F (finish). Профиль сохранится в /etc/apparmor.d/usr.bin.myapp.Разбираемся с профилемТипичный профиль выглядит так:/usr/bin/myapp { # файлы которые приложение читает /etc/myapp/config.yaml r, /var/log/myapp/ rw, /var/log/myapp/** rw, # сетевые операции network inet tcp, # библиотеки /usr/lib/** rm, /lib/x86_64-linux-gnu/** rm,}r: чтение, w: запись, x: выполнение, m: mmap. Двойная звёздочка ** рекурсивно покрывает поддиректории.Режимы работыПереводим в complain-режим: AppArmor логирует нарушения но не блокирует. Удобно для отладки профиля:aa-complain /usr/bin/myappСмотрим что логируется:journalctl | grep apparmoraa-logprofaa-logprof читает лог и предлагает добавить правила в профиль интерактивно. После итерации переводим в enforce:aa-enforce /usr/bin/myappПроверяем статусaa-statusapparmor_status | grep myapp

Почему localhost быстрее чем 127.0.0.1 и когда это не такНа первый взгляд звучит как магия: оба адреса указывают на одну машину, но localhost иногда заметно быстрее. Разница не в сети, а в том как система резолвит имя.Откуда берётся разницаКогда приложение коннектится к localhost, система смотрит в /etc/nsswitch.conf чтобы понять порядок резолвинга. Обычно там стоит:hosts: files dnsfiles означает /etc/hosts. Если там есть запись:127.0.0.1 localhost::1 localhostто резолвинг происходит мгновенно, без DNS-запроса. Но если /etc/hosts настроен нестандартно или nsswitch идёт сначала через dns, появляется задержка на DNS-запрос.Когда 127.0.0.1 быстрееЕсли приложение коннектится напрямую по IP, резолвинга нет вообще. Никакого обращения к /etc/hosts или DNS. В теории это должно быть быстрее.На практике разница в микросекундах и незаметна. Но есть случай когда localhost реально медленнее: если DNS в системе настроен через systemd-resolved или другой локальный резолвер, и /etc/hosts не проверяется первым.Проверяем порядок резолвинга:cat /etc/nsswitch.conf | grep hostsСмотрим куда резолвится localhost:getent hosts localhoststrace -e trace=network curl http://localhost 2>&1 | grep connectIPv4 vs IPv6Вторая причина расхождения: localhost может резолвиться в ::1 (IPv6) вместо 127.0.0.1. Если приложение не поддерживает IPv6 или сокет слушает только на IPv4, соединение упадёт и система попробует IPv4. Лишняя попытка даёт задержку.Проверяем на что резолвится:python3 -c "import socket; print(socket.getaddrinfo('localhost', 80))"

inode exhaustion: диск не полный, а файлы не создаютсяКлассическая ловушка: df -h показывает свободное место, но создать новый файл невозможно. Ошибка “No space left on device” при этом вводит в ступор.Проблема в inodes. Каждый файл занимает один inode, и их количество фиксируется при создании файловой системы. Можно иметь терабайт свободного места и ноль свободных inodes.Чаще всего виновник: миллионы мелких файлов. Логи, кеш пакетного менеджера, временные файлы приложений, незачищенные сессии PHP.ДиагностикаСмотрим использование inodes:df -iНаходим директорию с максимальным количеством файлов:find / -xdev -printf '%h\n' | sort | uniq -c | sort -rn | head -20Считаем файлы в подозрительной директории:ls /var/cache/apt/archives | wc -lfind /tmp -type f | wc -lЧистимКеш apt:apt cleanСтарые временные файлы:find /tmp -type f -atime +7 -deletefind /var/log -name "*.gz" -deleteПосле очистки проверяем:df -i

Война США и Китая в гонке за ИИПару недель назад я обещал разобрать слитый документ от ex-сотрудника OpenAI.Так вот, я прочитал его и кардинально изменил своё отношение к прогрессу в ИИ. Присядьте!Вот главные тезисы документа:1. В 2019 году GPT-2 от OpenAI "соображала" на уровне дошкольника, а в 2023 GPT-4 — на уровне старшеклассника. С такими темпами в 2027 GPT будет на уровне учёных.2. Модели-учёные в сотни-тысячи раз ускорят прогресс. Они будут совершать научные открытия. И тут кроется главная опасность — модели научатся самосовершенствоваться.3. Контролировать таких моделей-ученых — практически нерешаемая задача. Если не удастся, то последствия — войны, сумасшествие, массовое уничтожение населения Земли.4. Поэтому США перестали продавать новые видеокарты в Китай. Страна с тоталитарным режимом не должна получить опасную технологию.Документ ex-исследователя OpenAI прям накачивает читателя эмоциями. Как будто писался командой пиарщиков, а не простым ученым! Именно на этой мысли у меня появились первые сомнения.Потом я стал искать логику в тезисах и осознал, что она сильно страдает!1. США обеспокоены угрозой, что AGI может всех уничтожить.2. НО ПРИ ЭТОМ США НЕ ПРЕКРАЩАЮТ РАЗРАБОТКУ AGI. Даже хуже — OpenAI закрыла отдел, который изучал, как создать безопасный AGI.3. Всё что делают США для безопасности — запрещают продавать в Китай видеокарты.Реально, тут нет логики! Слова говорят об одном, а действия — о другом.Именно тут мне пришло осознание: ИТ-гиганты из США хотят себе монополию на рынке ИИ и убирают конкурентов!Потому что рынок ИИ растёт просто бешеными темпами. Его объём в 2024 — 0.2 трлн $, а в 2030 будет 0.8 трлн $. Рост в 4 раза за 6 лет!Любая компания хочет держать такой рынок под собой. Для этого OpenAI, Google и др. пытаются "силовым способом" убрать китайских конкурентов.Именно поэтому они активно пропагандируют идею, что AGI может уничтожить человечество. В таком контексте запрет продаж видеокарт в Китай выглядит суперлогично — там же «тоталитарный режим, ущемляющий права населения». Опасно давать им шанс создать сверхинтеллект.На деле же никто не знает, реально ли создать AGI. Для ИТ-компаний США главное, что теоретический шанс есть. А значит, можно запугать всех людей. И пока все верят, OpenAI, Google и др. захватывают господство на мировом рынке ИИ.Схема построена просто гениальная и я очень рад, что я наконец-то её понял!Ставь 💟, если было интересно!

Обнаружил в Truecaller функцию блокировки номеров по маске. Кинул весь диапазон 981* в бан и жить сразу стало сильно проще.

В Вышке понемногу заканчивается весенний семестр. Каждую неделю обязанностей всё меньше и я чувствую себя всё свободнее. Появилось время не только пить вино на фестах, но и посты писать. Я рассказывал в прошлом посте, что вписался искать лекторов по ML для майнора в Вышке и выдал большую подборку из прошедших лекций. Курс практически подошёл к концу. Осталось только прочитать одну лекцию про АБ-тесты. Поэтому хочу поделиться с вами второй подборкой лекций. В курс вписалось дофига классных лекторов. Если кто-то из вас это читает, большое спасибо каждому из вас. Вы офигенные 🤗Первая часть была из сплошного DL, во второй его поменьше. Каждый лектор даёт введение в свой кусок ML-я, а дальше можно самому копать в него подробнее. 🥛 Кусочек про DL в графах от Эльдара Валитова:9. Введение в глубинное обучение в анализе графовых данныхЕсли хочется больше, можно заглянуть в курс Эльдара с ПМИ или в Стэнфордский аналогичный курс, на котором, во многом, основан курс ПМИ. [видео]Ещё мы два года назад собрали для ML на ФКН классный семинар с базовыми способами учить эмбеды для вершин в графах. [конспект] [тетрадка] [видео]🥛 Кусочек про временные ряды от разработчиков библиотеки ETNA из Т-банка (Мартин Габдушев и Яков Малышев):10-11. Временные рядыОбычно основная проблема в лекциях про временные ряды в том, что люди рассказывают только про ARIMA ииии всё. У меня всегда с этого жутко подгорало. У ребят получилась большая обзорная лекция, где они прошлись по всему спектру задач и моделей, возникающих для временных рядов. Если хочется копнуть глубже и поисследовать математику, которая стоит за всеми этими моделями, можно закопаться в курс с ФКН от Бори Демешева и Матвея Зехова, все лекции в открытом доступе. Возможно, записи прошлого года поудачнее, тк там нет упоротой вышкинской заставки, когда лектор молчит.Update: Матвей говорит, что семинары от этого года удачнее, в них было много изменений по сравнению с прошлым :3🥛 Кусочек про MLOps от Влада Гончаренко12. Introduction to MLOps13. Введение в современный MLOpsПолный курс Влада можно найти вот тут. Вроде неплохо выглядит курс от ODS по MLOps, но он проходил три года назад и часть штук могла устареть. Ещё все очень позитивно отзываются о курсе Макса Рябинина Эффективные системы глубинного обучения. Я пока не смотрел, но планирую летом глянуть свежую шадовскую версию. В открытом доступе есть видео от 2022 года. Также много инфраструктурных вещей есть в курсе ML для больших данных от Лёши Космачёва. [видосы]🥛 Кусочек про рекомендательные системы от Сергея Малышева14. Recsys Intro15. Recsys AdvancedЕсли хочется закопаться чуть глубже, рекомендую глянуть лекции с основного курса по ML с ФКН (лекции 11-14), а дальше можно покопаться в репозитории с более продвинутым курсом. Видосов, к сожалению, не нашел 🙁 🥛 Экспериментальный кусочек про области где используют ML. Тут семест кончился, поэтому была только лекция от Димы Сергеева про HealthTech :3 16. Data Science in HealthTechP.S. Все материалы на гите

Друзья,сегодня меня чуть не развели, очень мастерски. И я хочу поделиться с вами, чтобы и вы не попались. Мне сегодня позвонили в WhatsApp, представились редактором Википедии, сказали, что в статью "Алексей Иванов" были внесены некорректные изменения с использованием нецензурной лексики. Поэтому редакция платформы решила связаться со мной для проверки фактов статьи. Википедия для меня - больная тема. Лет семь назад я даже организовала вокруг неё медийный скандал, потому что в статье о моём авторе окопался деятелтный хейтер Иванова - свердловский  коммунист Иван Абатуров - и самоотверженно её правил, весьма тенденциозно. Тогда я пыталась побороться с активистом, но потом махнула рукой, потому что поняла, что для этого нужно навсегда поселиться в Вики. Короче, я обрадовалась, что через столько лет решение проблемы само ко мне пришло в лице редактора сайта, который заверил меня, что на Абатурова много жалоб, и сайт готов предоставить мне эксклюзивный доступ к статье об Иванове, чтобы только я могла её редактировать. Это меня насторожило, потому что это противоречит народной политике Вики, когда каждый может участвовать в создании статей. Но я знала также, что множество известных деятелей стали жертвой недобросовестных активистов ресурса, которые берут под контроль их биографии, а некоторые потом даже зарабатывают на правках некорректной инфы. Короче, я решила, что Википедия поменяла политику и взялась защитить знаменитостей. Редактор сказал, что прямо сейчас мы сможем настроить мне персональный доступ к редактированию статьи. Меня попросили включить камеру и демонстрацию экрана. Я включила. Потом мне прислали ссылку, по которой предложили установить на телефон приложение, из которого я смогу зайти в кабинет. Я нажала на ссылку, мессенджер предупредил меня об опасности. Редактор тут же придумал какое-то объяснение, что, мол WhatsApp всегда блокирует такие ссылки, поэтому я просто должна отклонить блокировку. Вот здесь я насторожилась и решила посоветоваться с нашим системщиком. Редактору сказала, что пришла моя машина и предложила связаться позже. Но он почему-то очень настаивал завершить всё немедленно. Я отказалась. Тогда он предложил хотя бы открыть почту и проверить, пришёл ли мне код для входа в личный кабинет. Я открыла, увидела код и тут же поняла, что мой собеседник его тоже видит, потому что включена демонстрация моего экрана. Я тут же прервала звонок и снова попыталась открыть почту. Меня выбросили из системы и потребовали пароль. Я ввела свой пароль, но он оказался недействительным. Я поняла, что редактор оказался мошенником, он запросил код на мой телефон, подсмотрел его на экране и сменил пароль моей почты. Дальше, видимо, собирался привязать её к своему телефону. Но я быстро сообразила, нажала "забыли пароль", мне на мобильник пришёл новый код, и я поменяла пароль. Когда я зашла в почту, увидела сообщение, что 3 минуты назад кто-то уже менял пароль. Я чудом успела предотвратить развод. Короче, будьте внимательны, не включайте демонстрацию экрана, если вам звонят незнакомцы. Даже если кажется, что они в теме. Мошенники научились действовать очень хитро.

Что изменилось у артистов с появлением умной "Моей волны" Яндекс Музыки?Если мы вернемся, например, в 2015 год, то мы увидим, что люди в основном черпают новую музыку из авторитетных для себя источников СМИ или просто медиа (Родной Звук, Motherland, The Flow, Афиша, Новый рэп и далее по списку, у каждого жанра были свои авторитетные историчники в медиа). Сегодня мы видим, как почти все паблики, которые раньше делились новой музыкой, сейчас либо просто умерли, либо переформатировались в новостные паблики или стали похожими на желтую прессу, обсуждая фотки в купальнике Алины Олешевой из кис-кис.А все не случайно, ведь с появлением умных алгоритмов на стриминговых сервисах, которые справедливо знают твои музыкальные предпочтения даже лучше, чем ты сам, надобность в авторитетных источниках с новой музыкой просто изжила себя. Так же, не стоит забывать и о появлении Тик Тока, который полностью перевернул музыкальный рынок (но это тема отдельного поста).Так вот, если раньше мы видели 200.000 тысяч слушателей на Яндексе у какого-то артиста, - то это был отличный индикатор его популярности. Сегодня такие цифры мы можем увидеть у огромного количества музыкантов с 500 подписчиками в инстаграме и 1000 в ВК. О чем нам это говорит? Моя волна — это новое радио в 2024. Люди могут знать несколько твоих песен наизусть, но при этом в душе не ебать кто ты вообще такой: не подписаться на тебя, и тем более не знать, что у тебя скоро концерт. Яндекс дал вам то, что вы так давно просили — много прослушиваний. Но мои наблюдения говорят о том, что артисты имея по 200,300, 500+ тысяч на Яндексе, не могут собрать аудиторию в своих соц. сетях, оставаясь просто добавленной песней в плейлистах.Яндекс — сделали совершенно гениальный продукт, закрыв огромную дыру (в виде стримов) в потребностях молодых артистов, но при этом мы знаем, что кроме аналитики нет никаких сервисов для дальнейшего продвижения своей музыки на уже якобы существующую аудиторию. Ты можешь только смотреть на эти 200к, но никакх до них не добраться. — у молодых артистов паника.Самое сложное сейчас — это не набрать стримы, а набрать аудиторию фанатов, которые будут следить за вами и активничать в соц. сетях. А тут, ребята, как раз-таки и включаются все прелести вашего позиционирования и умения генерить не только музыкальный контент.К слову, так было всегда, но просто сейчас эти болячки всплыли гораздо ярче.

Многих удивило, что Маск выбрал нержавейку для «Cтаршипа», но вчерашний полёт доказал, что это был верный инженерный выбор. При входе в плотные слои атмосферы управляющий руль раскалился докрасна, но не потерял устойчивости и сохранил управляемость. Если бы вместо стали использовали алюминий или композиты, он давно бы прогорел.Какие технические и инженерные причины изначально привели к выбору нержавейки?Интуитивно все считают, что сталь тяжелая, а ракеты должны быть легкими. Специалисты по материалам обычно говорят, что нужно использовать что-то очень легкое, например, передовые углеродные композиты.Именно с этого SpaceX и начали — с очень продвинутого углеродного волокна. Однако оно производилось в небольших количествах и стоило $130/кг. Кроме того, есть сложности в использовании углеродного волокна для баков, которым нужно хранить криогенные жидкости и нужен наддув топлива в баках и его подача в ТНА. Starship сделан по системе самонаддува: кислородный бак наддувается газообразным кислородом, а метановый, соответственно, газообразным метаном. Смола и углерод в композитах — это органика с пористой структурой, которые запросто горят при контакте с кипящим кислородом, что требует облицовки композитных баков или какого-то не композитного вкладыша. Это всё усложняет, увеличивает трудоёмкость и снижает массовую эффективность углеволокна.Также у композитов много чисто технологических проблем при изготовлении ракеты диаметром 9 метров. Намотка углеродного волокна без пузырей и пустот — сложная задача, и любая ошибка означает необходимость утилизировать всю заготовку. Также требуется огромный автоклав для отверждения и время, что замедляет процесс разработки, которая ведётся по системе «Аджайл». «Старшип» сам размером с 20-этажный дом, поэтому представьте, какого размера должен быть автоклав. Нержавейку же можно всегда залатать на месте без потери прочности.Они рассматривали и другие материалы, например, высокопрочный алюминий. Для F9 SpaceX используют алюминий-литий, самый прочный и легкий алюминиевый сплав. Но он плохо сваривается: на заводе используются спецстанки и СТП — сварка трением с перемешиванием. Al/Li стоит около $40/кг, при массе Starship в 100 тонн затраты будут $4 млн только на металл.Нержавеющая сталь стоит всего около $4/кг, по сравнению со $130 у композитов. Это также упрощает производство — всё сваривается в один слой прямо из стальной катушки с металлургического завода вместо намотки 120 слоёв углеродного волокна. Нержавейку можно не красить, что экономит вес и упрощает конструкцию.«Старшип» входит в атмосферу на гиперзвуковой скорости около 25 чисел Маха и испытывает колоссальные термические перегрузки. Температура плавления у стали выше, чем у алюминия, и она лучше выдерживает высокие температуры, чем углеродное волокно. Если композиты теряют прочность при температурах выше 200°C, алюминий — при 300°C, то сталь выдерживает до 800°C. Это значит, что массу теплозащитного экрана можно уменьшить, так как стальной корпус может выдерживать более высокие температуры, что позволяет использовать более тонкие плитки теплозащиты, чем, например у «Шаттла».Свойства нержавейки значительно улучшаются при криогенных температурах. При комнатной температуре её свойства так себе, но зато при температуре заправки жидкого кислорода прочность растёт и, что очень важно, она не становится при этом хрупкой. Холодная обработка стали ещё сильнее улучшает её прочность.У «Старшипа» обе компонента — метан и кислород — криогенные, что очень хорошо влияет на характеристики. Нержавейка очень прочная, стойкая и легко свариваемая. Они начали с нержавейки американского стандарта 301, которая имела проблемы с ударной вязкостью при криогенных температурах, поэтому перешли на 304 (18% хром, 8% никель), а сейчас заказывают спецвариант сплава 304 с легированием и холодной обработкой под названием 30X — у Маска всё с буквой X.Нержавейка, которая используется для «Старшипа» и «кибертрака» от «Теслы» — одна и та же, 30X. Сталь для «Старшипа» и «кибертрака» поставляет финская компания «Outokumpu», у которой есть завод в Алабаме.

Представьте, как сильно все потеряются, если гугл календарь исчезнет?

Прикольная тула , которая поможет найти неиспользуемые файлы, зависимости, и экспорты в Джс и тс проектах:) пользуйтесь! https://knip.dev

Крах моделей EQ.Они и так плохо продаются и больше всех упали в цене, но тут еще бонус. Mercedes-Benz USA инициировала отзыв около 15 000 автомобилей модельных рядов EQE SUV (X294), EQE (V295), EQS SUV (X296) и EQS (V297). Причиной неполадки является проблема с программным обеспечением в системе управления аккумулятором. В результате внезапная 100-процентная потеря управления может произойти без предупреждения водителя, что повышает риск аварии. По данным Национальной администрации безопасности дорожного движения США (NHTSA), потенциальный дефект затронул около 15 000 автомобилей в Северной Америке. В базе данных по отзывам Федерального управления автомобильного транспорта Германии пока не обнаружено ни одной записи по этому поводу. Однако вполне возможно, что через несколько дней все будет выглядеть иначе.Отзыв в связи с внезапной потерей мощности касается следующих моделей седанов/ внедорожников:Mercedes-Benz EQE 350 4MATIC (2024)Mercedes-Benz EQE 350+ (2024)Mercedes-Benz EQE 500 4MATIC (2024)Mercedes-Benz EQS 450 4MATIC (2024)Mercedes-Benz EQS 450+ (2024)Mercedes-Benz EQS 580 4MATIC (2024)Mercedes-Benz AMG EQE 53 4MATIC (2024)Mercedes-Benz AMG EQS 53 4MATIC (2024)Mercedes-Benz EQE 350 4MATIC (2023-2025)Mercedes-Benz EQE 350+ (2023-2025)Mercedes-Benz EQE 500 4MATIC (2023-2025)Mercedes-Benz EQS 450 4MATIC (2023-2025)Mercedes-Benz EQS 450+ (2023-2025)Mercedes-Benz EQS 580 4MATIC (2023-2025)Mercedes-Benz EQS 680 4MATIC (2024-2025)Mercedes-Benz AMG EQE 53 4MATIC (2024-2025)Есть подозрение, что память модуля управления аккумулятором может быть перегружена, если система управления аккумулятором должна обработать необычно большое количество диагностических запросов от блоков управления. Это может привести к сбросу модуля управления батареей - т.е. высоковольтные батареи отключаются во время движения без предупреждения. При отсутствии питания происходит немедленная потеря управления. Вы можете себе представить, что внезапное отключение питания в определенных дорожных ситуациях может быть очень опасным для участников дорожного движения.

убила почти 3 дня на то, чтобы добиться, чтобы после library(Seurat) у меня не говно вонючее вылезало, а просто ничего!!! такая вот она — жизнь биоинформатика категории B