ubuntu

TCP Congestion Control Algorithm 的選擇

先前 Ubuntu 桌機用 BBR 跑了一陣子，但有遇到一些問題 (可以參考「Dropbox 測試 BBRv2 的結果」這篇)，所以暫時換成 Westwood，但還是陸陸續續會看一下各種研究。

剛剛在「[tor-relays] TCP CCA for Tor Relays (and especially Bridges)」這邊看到一個經驗談：

Here are my completely unscientific scribbles of how all the various algorithms behaved. The scenario is uploading for a minute or so, observing the speed in MB/sec visually, then recording how it appeared to change during that minute (and then repeating this a couple of times to be certain).

tcp_bic.ko       -- 6...5...4
tcp_highspeed.ko -- 2
tcp_htcp.ko      -- 1.5...3...2
tcp_hybla.ko     -- 3...2...1
tcp_illinois.ko  -- 6...7...10
tcp_lp.ko        -- 2...1
tcp_scalable.ko  -- 5...4...3
tcp_vegas.ko     -- 2.5
tcp_veno.ko      -- 2.5
tcp_westwood.ko  -- <1
tcp_yeah.ko      -- 2...5...6

上面是「目視法」觀察到的速度 (MB/sec)，看了一下維基百科上 TCP-Illinois 的說明，看起來設計的目的是提供給頻寬大、latency 高的情境下：

It is especially targeted at high-speed, long-distance networks.

來跑跑看好了...

家裡電腦裝 Ubuntu 18.04

上個禮拜四家裡的桌機開不了機，找了一天發現是系統的 SSD 掛掉了，就買了張 M.2 SSD，然後計畫順便把本來的 Ubuntu 16.04 升級到 Ubuntu 18.04，但 Ubuntu 18.04 把預設的界面從 Unity 換成 GNOME (然後披上 Unity 的皮)，加上前陣子系統從 Intel 平台換到 AMD，整個狀況變得超混亂之後，就變成一連串踩地雷的過程...

最一開始是 UEFI + LUKS 的安裝問題，本來想裝到 M.2 SSD 上面，但 Ubuntu 18.04 的 grub-install 就是硬寫到 /dev/sda 不能改：「“Unable to install GRUB in /dev/sda” when installing GRUB」，照著這篇的 workaround 用還是不行，最後放棄，直接生一顆 SATA SSD 接到 SATA Port 1，把 M.2 當作資料碟。

硬體相關的問題：

AMD 的 3700X 在 Linux 下還是有人會遇到 C6 bug，如果有遇到的話可以透過 BIOS 的設定 (workaround) 避免：「Can we recognize broken C6 states in all of Zen, Zen+ and Zen2? Striking people at idle (Mostly only Linux and BSD users)」
華碩的主機板內建了 Intel I211-AT 這個網路卡 (家裡用 ASUS ROG STRIX B450-F GAMING，公司用 ASUS PRIME X470-PRO)，但在 Linux 下用起來很卡 (kernel 版本是 4.15 與 5.0)，與網路有關的指令有時候會卡個幾秒鐘 (像是 ifconfig 或是 ip link 這樣的指令)。
續上，家裡的因為剛好週末有時間交叉測試，測了三四天後嘗試另外插一張 Intel 的網路卡 (PCI-E) 後改接過去就解決了... 到公司後先拿 USB 網卡測試看看，如果真的就不卡的話再找一張 PCI-E 的網卡換掉。

軟體相關的問題：

目前不支援從 GUI 設定 PPPoE 的網路 (沃槽)，幾種方式裡面我推薦用 pppoeconf 設定會比較好，然後可以改 /etc/ppp/options 加上 IPv6 的設定。
本來想裝 gnome-shell-extension-system-monitor 觀察系統狀態，但會造成系統超級卡，關掉後就變成普通的卡 (後來就找到 Intel I211-AT 的那個問題了)。

現在至少是堪用的程度了，接下來就是不斷的補各種設定...

將 Ubuntu 安裝在 ZFS 上...

看到 Ubuntu 在安裝時支援 ZFS 的消息：「A detailed look at Ubuntu’s new experimental ZFS installer」。另外 Twitter 上也有截圖了：

Thanks to the work from @didrocks and Jean Baptiste 🛠 a number of the #ubuntu flavours now have the experimental ZFS 💪 install option available in 19.10 😎 pic.twitter.com/Aux8iCri4p
— Martin Wimpress (@m_wimpress) October 8, 2019

看了一下授權問題，看起來是 Ubuntu 認定這樣做不會有問題，但目前還沒被 Oracle 出手，所以也不曉得真的出手後會發生什麼事情...

在 Windows 10 下面執行 Wine

試著在 Windows 10 下跑 Wine，結果文章作者發現意外的簡單：「Wine on Windows 10. It works.」。

實際上大多數的事情是透過 Windows 10 的 WSL (Windows Subsystem for Linux) 所疊出來的，可以從這步看到：

3. Open the Microsoft Store, install Ubuntu. (This is basically what WSL was created to run.) I installed "Ubuntu 18.04 LTS". Open Ubuntu, and you'll see a bash terminal.

這是作者的成果：

還是有些限制 (像是目前還 32 bits 程式還要等之後的 WSL 支援)，但比起早年得自己從頭搞起來簡單不少 (而且問題不少)，算是完成作者的悲怨？

Ubuntu 改變放掉 i386 的計畫

先前在「Ubuntu 19.10 要放掉 i386 架構」這邊提到 Ubuntu 要放掉 i386 的計畫，因為造成的迴響很大，現在官方決定修改本來的結論：「Statement on 32-bit i386 packages for Ubuntu 19.10 and 20.04 LTS」。

在本來的計畫裡，是完全放生 i386 架構 (完全不管)：

While this means we will not provide 32-bit builds of new upstream versions of libraries, there are a number of ways that 32-bit applications can continue to be made available to users of later Ubuntu releases, as detailed in [4]. We will be working to polish the 32-bit support story over the course of the 19.10 development cycle. To follow the evolution of this support, you can participate in the discourse thread at [5].

現在則是打算透過 container 技術支援 32-bit library & binary，算是某種緩衝方式：

We will also work with the WINE, Ubuntu Studio and gaming communities to use container technology to address the ultimate end of life of 32-bit libraries; it should stay possible to run old applications on newer versions of Ubuntu. Snaps and LXD enable us both to have complete 32-bit environments, and bundled libraries, to solve these issues in the long term.

但應該還是會有程式沒辦法在 container 環境裡跑，看起來官方決定放掉了...

Ubuntu 19.10 要放掉 i386 架構

Ubuntu 19.10 版將不再支援 i386 架構了：「i386 architecture will be dropped starting with eoan (Ubuntu 19.10)」。

查了一下 x86-64 條目，AMD 的第一個 x86-64 版本是在 2003 年四月推出的：

The first AMD64-based processor, the Opteron, was released in April 2003.

Intel 則是在 2004 年六月推出：

The first processor to implement Intel 64 was the multi-socket processor Xeon code-named Nocona in June 2004.

但是 mobile 版的是 2006 年七月：

The first Intel mobile processor implementing Intel 64 is the Merom version of the Core 2 processor, which was released on July 27, 2006.

不論如何都已經十年了，如果考慮到 Ubuntu 18.04 提供五年支援，其實到 2023 年四月前都還有得用...

Ubuntu 16.04 上多螢幕時登入畫面的設定問題

我的 Ubuntu 桌機在登入後的螢幕設定是這樣，設定在 ~/.config/monitors.xml 裡：

但登入時還是預設值 (四個螢幕都是打橫的)，雖然只是輸入個密碼沒有什麼大礙，但還是想找個方法讓登入畫面吃到正確的 monitors.xml。

查了文件在「Fixing Ubuntu’s Login Resolution」這邊發現 Ubuntu 16.04 (Unity) 是用 LightDM，在登入畫面是透過 lightdm 權限在跑，所以去 ~lightdm/.config/monitors.xml 下設定就可以了，如果用 symbolic link 的話要注意權限的問題。

不小心搞爛的話，可以用 Ctrl-Alt-F1 切到 command line 下登入修正...

Ondřej Surý 的 PPA 將會繼續支援 PHP 5.6 與 PHP 7.0 的安全性更新

在 Twitter 上看到 Ondřej Surý 因為得到協助 (包括 Microsoft)，所以會繼續支援 PHP 5.6 與 PHP 7.0 的 PPA 更新：

PHP 5.6 and PHP 7.0 will stay (for now): https://t.co/iMkbVQdn5x
// Big kudos to @RemiCollet and @weltling for backporting the security fixes for EOL versions of PHP in @Microsoft @github repository: https://t.co/IWRJHlDFqo
— DEB SURY ORG (@debsuryorg) March 8, 2019

在「PHP 5.6 and PHP 7.0 will stay (for now)」裡面有提到這是 best effort，沒有保證會維持多久：

Please note that this is based on best effort and without any warranty.

對於還在這兩個版本掙扎的人再多了一些時間...

apt-get 的安全性漏洞

前幾天寫的「APT 不使用 HTTPS 的說明」的當下就已經有看到在講這個漏洞，但沒讀完就一直放著沒寫：「Remote Code Execution in apt/apt-get」。

漏洞出在實作上的問題，對於 HTTP 重導的程式碼沒有處理好外部字串，在還沒修正的機器上用這個指令關閉 redirect，避免在修正的過程反而被 RCE 打進去：

sudo apt update -o Acquire::http::AllowRedirect=false
sudo apt upgrade -o Acquire::http::AllowRedirect=false

但也不是 HTTPS 就能避免這個問題，因為 HTTPS 連線用的程式碼又是另外一份，裡面不知道有沒有問題 (像是之前經典的 Heartbleed)，所以應該還是會繼續爭吵吧...

APT 不使用 HTTPS 的說明

居然有個獨立的網站在說明：「Why does APT not use HTTPS?」。主要是 HTTPS 沒有增加太多保護，但會使得維護的複雜度變高很多。

首先是被竄改的問題，APT 本身就有簽名機制 (參考「SecureApt」)，即使 mirror site 被打下來也無法成功竄改內容，反而比起單純的 HTTPS 保護還好。

而對於隱私問題，由於內容是可以公開取得的，這代表可以看封包的大小與流動順序猜測是哪些 package 被下載 (也就是類似「利用 Side-channel 資訊判斷被 HTTPS 保護的 Netflix 影片資訊」這篇提到的方法)，加上 APT 這邊還多了時間性的資訊最近被更新的軟體被下載的機率比較高)，所以隱私的保護上其實有限。

而針對攻擊者刻意提供舊版的問題 (某種形式的 replay attack)，APT 降低風險的解法是把時間簽進去，當用戶端發現太久沒更新時，就當作過期失效而提出警告。

就以上來看，把所有的 APT 伺服器都加上 HTTPS 的工程太浩大，而得到的效益太小。所以願意提供 HTTPS 的站台就提供，但主要的保護還是從本來的 SecureApt 機制上提供。