ubuntu

玩了一下 OpenSnitch，Linux 下的 Application Firewall

這是在 Hacker News 上的討論「Brute-forcing a macOS user’s real name from a browser using mDNS (fingerprint.com)」這篇看到的，裡面一開始是提到 Mac 上面的 Little Snitch，可以針對特定應用程式設定防火牆規則，而在 Linux 上對應的解決方案則是 OpenSnitch，但一直沒有嘗試，所以就試著用看看...

套件分成兩個部分，一個是 OpenSnitch 的主程式，另外一個是 GUI 的部分。

而在 Ubuntu 22.04 上裝有點麻煩，因為 Ubuntu 22.04 上預設的 grpc package 似乎是有 bug，需要裝新版解決。

不過我在找 PPA 的時候發現有人包了輔助套件：「OpenSnitch - application firewall (Xenial & newer)」。

這個套件本身是沒有包 OpenSnitch 主程式與 GUI 套件的，他只是要「補充」官方套件安裝的問題，所以需要照他的說明安裝：(我把下面指令提到的 1.5.2 換成目前新版的 1.6.0 裝，目前看起來是會動的)

sudo add-apt-repository ppa:savoury1/opensnitch
sudo apt-get update && sudo apt-get upgrade
sudo dpkg -i opensnitch_1.5.2-1_amd64.deb
sudo dpkg -i python3-opensnitch-ui_1.5.2-1_all.deb
sudo apt-get -f install

這邊用 dpkg -i 裝，而不是用 apt install 的原因是故意讓他不裝 dependency，等到後面的 apt-get -f install 時再裝 PPA 裡面提供的 dependency。

裝好後把跑 opensnitch-gui 起來後就會陸陸續續收到系統內不同的應用程式嘗試的連線，像是官網提供的 screenshot 這樣 (會跳出像左邊這樣的視窗)：

這樣可以控的比較細，不過剛開始用會需要花時間把系統內常態性的 request 先設定過一次，還蠻煩的 XD

XFCE (Xubuntu) 下的手動 lock + screensaver + DPMS 組合

桌機換成 Xubuntu 22.04 後會遇到手動鎖定螢幕時，螢幕不會進入省電模式，遇到的情況有點像是「DPMS Suspend on Screen Lock」這邊提到的情境。

這類問題如果用 search engine 一時間沒有找到解法的話，最好的方法都是直接去讀 source code，然後就發現透過 Ctrl+Alt+L 觸發的 /usr/bin/xflock4 其實是個 shell script，從 code 讀可以發現裡面只負責 lock 的部分，本來就跟 DPMS 無關。

我在下面提供的方案就是自己處理螢幕的部分，也就是自己先跑 DPMS 指令，然後再回頭呼叫 /usr/bin/xflock4：

#!/bin/sh
/usr/bin/xset dpms force off
exec /usr/bin/xflock4

把 Ctrl+Alt+L 的觸發程式掛上來，這樣就會正常處理了...

用 aptitude 找出合適的降版組合

在跟 Nvidia 提供的各種驅動程式以及套件奮戰，結果遇到經典的 apt 每次都講的不明不白的老問題，像是依照「NVIDIA Deep Learning TensorRT Documentation」這篇的說明，你需要指定需要的版本安裝對應的套件，像是我這邊就是要裝 CUDA 11 的版本，但系統就跟你說不能裝：

sudo apt install tensorrt=8.5.3.1-1+cuda11.8
Reading package lists... Done
Building dependency tree... Done
Reading state information... Done
Some packages could not be installed. This may mean that you have requested an impossible situation or if you are using the unstable distribution that some required packages have not yet been created or been moved out of Incoming.
The following information may help to resolve the situation:

The following packages have unmet dependencies:
 tensorrt : Depends: libnvinfer8 (= 8.5.3-1+cuda11.8) but 8.6.1.6-1+cuda12.0 is to be installed
            Depends: libnvinfer-plugin8 (= 8.5.3-1+cuda11.8) but 8.6.1.6-1+cuda12.0 is to be installed
            Depends: libnvparsers8 (= 8.5.3-1+cuda11.8) but 8.6.1.6-1+cuda12.0 is to be installed
            Depends: libnvonnxparsers8 (= 8.5.3-1+cuda11.8) but 8.6.1.6-1+cuda12.0 is to be installed
            Depends: libnvinfer-bin (= 8.5.3-1+cuda11.8) but 8.6.1.6-1+cuda12.0 is to be installed
            Depends: libnvinfer-dev (= 8.5.3-1+cuda11.8) but 8.6.1.6-1+cuda12.0 is to be installed
            Depends: libnvinfer-plugin-dev (= 8.5.3-1+cuda11.8) but 8.6.1.6-1+cuda12.0 is to be installed
            Depends: libnvparsers-dev (= 8.5.3-1+cuda11.8) but 8.6.1.6-1+cuda12.0 is to be installed
            Depends: libnvonnxparsers-dev (= 8.5.3-1+cuda11.8) but 8.6.1.6-1+cuda12.0 is to be installed
            Depends: libnvinfer-samples (= 8.5.3-1+cuda11.8) but 8.6.1.6-1+cuda12.0 is to be installed
E: Unable to correct problems, you have held broken packages.

以前比較簡單的套件可以用 apt-cache showpkg 慢慢看組合自己解，但這種巨大套件實在沒辦法。

在「How do I resolve `The following packages have unmet dependencies`」這邊則是有提到這個問題，下面有給個一般性的通解：用 aptitude 提供降版的組合，每一套組合你都可以選 n 讓他提供另外一套組合，直到你覺得這套組合 OK 了再選擇 y 讓他裝起來。

然後裝完以後記得用 apt-mark hold 把主套件的版本固定住，避免 upgrade 的時候又被搞中爛掉出事。

OpenSSH 與 Dropbear 對 Ed25519 的支援

查了一下這兩個 server 端的軟體支援 Ed25519 的時間點。

OpenSSH 是在 2014/01/30 的 6.5 就支援了：

* ssh(1), sshd(8): Add support for Ed25519 as a public key type. Ed25519 is a elliptic curve signature scheme that offers better security than ECDSA and DSA and good performance. It may be used for both user and host keys.

算是相當久以前就支援了。對應到第一個支援的 Debian 版本是 Jessie 使用的 OpenSSH 6.7：「sshd(8) — openssh-server — Debian jessie — Debian Manpages」；第一個支援的 Ubuntu (LTS) 版本是 Trusty (14.04) 用的 OpenSSH 6.6：「openssh source package in Trusty」。

Dropbear 這邊就晚不少，在 2020/06/15 的 2020.79 版本才支援：

- Support ed25519 hostkeys and authorized_keys, many thanks to Vladislav Grishenko. This also replaces curve25519 with a TweetNaCl implementation that reduces code size.

所以對應到第一個支援的 Debian 版本是 Bullseye 的 2020.81：「Debian -- Details of package dropbear in bullseye」；第一個支援 Ubuntu (LTS) 的版本是 Jammy (22.04) 的 2020.81：「Ubuntu – Details of package dropbear in jammy」。

這樣看起來如果就是想要用 Ed25519 的話，變成 server 端的軟體得配合：預設裝的 sshd 應該都是 OpenSSH，如果想要換 Dropbear 的話要看 distribution 內給的版本夠不夠新，或是透過 PPA 之類的方法裝新版。

但大多數採用 BusyBox 的機器應該沒有採用新版 Dropbear (像是 AP 刷機)，這邊還是得使用其他 key format，如果要避開 NIST 有介入的格式，就還是得用 ssh-rsa 了。

在 PPA 裡面只安裝特定軟體的方式

Ubuntu 20.04 的 rsync 內建只有 3.1.3 (參考「Ubuntu – Package Search Results -- rsync」這邊)，但 --mkpath 這個參數需要 3.2.3+ 才能跑：「How can I configure rsync to create target directory on remote server?」，所以就要找 PPA 看看有沒有人有包新版的可以用。

在「Utilities - various (Xenial & newer)」這邊可以看到 Rob Savoury 有包，但發現這包有一堆軟體，我不想要裝這麼多，所以就用 Pinning 限制。

用 apt-cache policy 可以看到 o= 的值，然後就可以在 /etc/apt/preferences.d/savoury1-utilities 裡設定 rsync 的 Pin-Priority 是 1001，而其他的都掛到 -1。

Package: *
Pin: release o=LP-PPA-savoury1-utilities
Pin-Priority: -1

Package: rsync
Pin: release o=LP-PPA-savoury1-utilities
Pin-Priority: 1001

但跑 apt upgrade 沒看到可以升級，而直接 apt install rsync 的時候可以看到是因為 libxxhash0 跟不上新版而產生錯誤訊息：

The following packages have unmet dependencies:
 rsync : Depends: libxxhash0 (>= 0.8.0) but 0.7.3-1 is to be installed
E: Unable to correct problems, you have held broken packages.

所以一起加進去變成：

Package: *
Pin: release o=LP-PPA-savoury1-utilities
Pin-Priority: -1

Package: libxxhash0 rsync
Pin: release o=LP-PPA-savoury1-utilities
Pin-Priority: 1001

然後就可以 apt upgrade 升級上去了。

用 reprepro 建立 APT repository

在「用 fpm 這個工具包 .deb 安裝」這篇題到了 fpm，另外在同一篇文章裡面 (「Using Cloudflare R2 as an apt/yum repository」這篇) 也有提到要怎麼生出一個有簽名過的 APT repository，裡面就提到了 reprepro 這個工具。

在 Debian Wiki 上面的「SetupWithReprepro」就有一步一步告訴你設定的方式，另外 Wikimedia 的技術 wiki 上也有提到常用的操作：「Reprepro」。

然後可以丟到很多不同的地方，最常見的 apache 或是 nginx 外，S3 或是其他可以吐 HTTP/HTTPS 的 object storage 服務都可以。

也是先記錄起來，等要用的時候可以回來 blog 上翻到...

用 fpm 這個工具包 .deb 安裝

先前在「Using Cloudflare R2 as an apt/yum repository」這邊看到的工具，其中一個是 fpm，可以快速包裝成各種套件格式 (符不符合 community standard 就是另外一回事晴了)。

在「deb - Debian package format」這邊就有提到像是之前 HashiCorp 都只有丟 binary 出來時，要怎麼打包。

先抓 binary zip 檔下來，然後直接用 fpm 指定版號與要丟的 prefix，他就幫你包起來：

$ wget https://releases.hashicorp.com/terraform/1.0.10/terraform_1.0.10_linux_amd64.zip
$ fpm -s zip -t deb --prefix /usr/bin -n terraform -v 1.0.10 terraform_1.0.10_linux_amd64.zip

生出來的 terraform_1.0.10_amd64.deb 就可以直接 apt install 或是 dpkg -i 裝進去。

看起來可以是個快速先解決問題的工具，之後遇到沒有提供 apt repository 的套件可以用這個方式先打包起來裝，後續移除也比較簡單，不用靠文件來記錄一堆細節...

在 Ubuntu (Xfce) 上改用 Albert Launcher

在噗浪上的這篇看到的工具，讓我想起來之前有想要在 Ubuntu + Xfce 上找類似的工具：

在 macOS 上我最常用的就是計算機與匯率換算，另外就是開應用程式。

但是因為沒辦法直接用 super key 啟動 (也稱作 meta key，或是大家更熟悉的微軟鍵)，所以得迂迴設定，先透過 xcape 把左邊的 super key 對應到 Ctrl-Esc 上：

xcape -e 'Super_L=Control_L|Escape'

然後把本來的 Ctrl-Esc 拔掉：

然後這時候用 super key 時就會改抓到 Ctrl-Esc 了：

接下來就可以勾選 extensions 了，這邊勾了幾個：

然後 Python 這邊把 Currency convert 的部份勾起來：

用法是 1 usd to twd 這樣的句子：

這兩天用起來還不錯，之後遇到問題再來調整...

Canonical 推出 Ubuntu Pro

Canonical 推出了 Ubuntu Pro，個人用戶以及小型商業用戶可以免費安裝在五台機器上使用：「Canonical launches free personal Ubuntu Pro subscriptions for up to five machines」。

這次是 public beta，這代表進到正式版本的時候也許還會有變化：

Ubuntu Pro, the expanded security maintenance and compliance subscription, is now offered in public beta for data centres and workstations.

這次推出的 Ubuntu Pro 看起來包括了 ESM (但這邊沒有提到 ESM，而是提到了十年的安全更新)；除了 ESM 以外，包括了更多 package 的安全更新，一併提供十年：

Ubuntu Pro (currently in public beta) expands our famous ten-year security coverage to an additional 23,000 packages beyond the main operating system.

Including Ansible, Apache Tomcat, Apache Zookeeper, Docker, Drupal, Nagios, Node.js, phpMyAdmin, Puppet, PowerDNS, Python 2, Redis, Rust, WordPress, and many more...

不過看起來的確就是將 ESM 擴大，這點在 Ubuntu Pro 的價錢的頁面上「Ubuntu Pro | plans and pricing」可以看到有提到 ESM。

但要注意 14.04 雖然有 ESM (照時程表算的話會支援到 2024 年)，卻不在這次 Ubuntu Pro 提供的範圍，這次推出的 Ubuntu Pro 是 16.04 以及之後的版本才有：

Ubuntu Pro is available for every Ubuntu LTS from 16.04 LTS. It is already in production for large-scale customers offering global services.

然後本來的 Ubuntu Advantage for Infrastructure 這條產品線改名為 Ubuntu Pro (Infra-only)：

Ubuntu Advantage for Infrastructure is now rebranded to Ubuntu Pro (Infra-only). The features and price have not changed.

目前手上沒有 16.04 的機器，等明年 2023 看看 18.04 的機器有沒有換到 20.04/22.04，如果沒有的話也許可以來玩看看...

Ubuntu 下面搞 Multi-home 架構

家裡的 internet 架構大概是這樣 (省略過其他裝置)：

一邊是 HiNet 的線路直接接中華的數據機 (modem)，這段是用 PPPoE 撥接；另一邊是第四台網路 (北都)，另外上面寫的 Switch 應該是 IP 分享器 (一台 ASUS 的機子，刷 DD-WRT)，作圖的時候寫錯了...

最後是電腦的部份，我的桌機是跑 Ubuntu，用兩張個不同的實體線路 (界面分別是中華的 enp4s0 與第四台的 enp6s0f0) 接到了這兩個不同的網段上面。

打算跑 source routing 的架構來善用兩邊的頻寬，想法上面大概是這樣拆解：

機器本身有個 192.168.3.x 的 static ip。
針對 source ip 是 192.168.3.x 的封包，預設會往 192.168.3.254 這台分享器丟，然後 NAT 出去。
用 Squid 在本機上跑一個 proxy server，指定 source ip 是 192.168.3.x。

有了這樣的架構，我就可以在瀏覽器上面就透過 SwitchyOmega 這類的套件，指定某些網段要走第四台的頻寬出去了。

另外可以指定 http proxy 的服務也可以透過這個方法往第四台的線路連出去。

其中第二點需要把 source ip 是 192.168.3.x 的封包丟到 192.168.3.254 這段需要一些設定，首先是需要設定一個獨立的 routing table，我是在 /etc/iproute2/rt_tables 裡面放：

2       second

然後因為我是透過 NetworkManager 在管理網路界面的，我希望在 enp6s0f0 啟動時自動設定這個 source routing 邏輯，所以我在 /etc/NetworkManager/dispatcher.d/99-enp6s0f0 這邊寫了：

#!/bin/bash

interface=$1
event=$2

if [[ "$interface" == "enp6s0f0" && "$event" == "up" ]]; then
    ip route add default via 192.168.3.254 table second
    ip rule add from 192.168.3.0/24 table second
fi

然後要記得把這個檔案 chmod 755 讓他可以執行。

接著是 Squid 的設定，在 /etc/squid/squid.conf 裡面這樣寫：

#
http_access allow all
#
access_log /var/log/squid/access.log squid
cache deny all
cache_dir null /tmp
cache_log /dev/null
cache_mem 8 MB
dns_v4_first on
forwarded_for off
http_port 3128
tcp_outgoing_address 192.168.3.x

其中最後的 192.168.3.x 換成自己的固定 IP address。這邊因為 traffic 基本上都是 HTTPS 了，也不需要開 cache，就這樣設定...

這邊比較特別的是 dns_v4_first 的設計，這個是讓 Squid 儘量用 IPv4 的位置連線。這是因為北都的網路沒有提供 IPv6 位置，所以如果網站的 DNS 如果有 IPv6 位置的話就會從 HiNet 這邊的 IPv6 出去了...

另外 ping 與 MTR 之類的工具不會動在這這樣的架構下是正常的，因為這些工具會自己組合 raw packet 丟，不是透過 Linux 的 network stack 處理，所以不會被我們指定的 ip rule 解析。網路上看起來是有方法可以 mitigate，但我就先放著了...

這樣看起來還算堪用，先這樣用一陣子看看... 先前是在 Raspberry Pi 上面跑個 proxy server 導流量，但會受限於 Raspberry Pi 的硬體限制，效能上面就普普通通，現在直接用桌機拼看看...