Re: ifupdown / systemd

[Victor Wagner <vitus@wagner.pp.ru>]

On Tue, 12 Jan 2016 20:03:30 +0300
Max Dmitrichenko <dmitrmax@gmail.com> wrote:

> Тогда это не проблема Network Manager. Это проблема ядра Linux,
> которое не даёт шелл-ориентировнного событийного API для мониторинга
> сетевой подсистемы. Работать с сокетами NETLINK и с dbus (но мы это
> уже обсуждал) из шелла без каких-то дополнительных приблуд нельзя.

Ну почему сразу ядра? Это либо проблема шелла, решенная скажем в tclsh,
который умеет событийно-ориентированную модель программирования, либо
проблема отсутствия удобной и стандартизированной "дополнительной
приблуды". Кстати, был в свое время в System V wksh (живьем не видел,
только в книжках читал) - Windowed korn shell - попытка прикрутить к
шеллу не только событийную модель, но и GUI. К сожалению из-за политики
X/Open сдох как и большинство интересных штук на базе Motif

> Тут нужно ещё не забыть о том, что NM даёт доступ к конфигурации сети
> для непривелигированных юзеров. Кроме того, позволяет ещё иметь личные
> коннекции. 

А это действительно проблема и ядра, и всего остального. Что модель
прав доступа и пользовательской сессии, родившаяся в эпоху PDP-11 с
последовательными терминалами, не соответствует современным реалиям,
когда у юзера могут быть и свои блочные устройства с файловыми
системами, и свои сетевые соединения, и всякие прочие внешние
устройства, те же смарткарты, а к дисплею как правило прилагаются
видеокамера и микрофон с колонками.

Вообще, подкрутив немножко понятие сессий и process groups можно было
бы решить большую часть тех проблем, ради которых Поттеринг взялся
systemd делать. Но впихнуть что-то концептуально новое в ядро - не так
уж просто. А большая часть софта - кроссплатформная и имеет привычку
работать над разными ядрами, поэтому наличие в одном ядре удобных
механизмов, отсутствующих в других ядрах, сильно бы жизнь осложнило.


> > А так он, например, имеет
> > свою собственную бинарную запускалку openvpn, которая не умеет и
> > половины того, что умеет сама openvpn вычитывать из своих
> > конфигурационных файлов.
> >
> > Поэтому я, например, получаю от корпоративного сисадмина файл
> > pgpro.ovpn, в котором содержится все - и ключ, и сертификат, и
> > сертификат УЦ, и не могу его в NM импортировать.  
> 
> В NM есть импорт .ovpn файлов. Не уверен, что он позволяет заимпортить
> 100% функционала, но у меня получилось сделать это без проблем.
\
Ну что я вам могу сказать, сэр? Вы читаете письма на русском языке не
лучше чем нетворк-менеджер конфиги openvpn.

У меня же открытым текстом написано, что я не могу заимпортировать
ovpn-файл, потому что нетворк менеджер не понимает и половины тех опций
openvpn, которые в нем испольутся. То есть я в курсе что он умеет их
импортировать. И считаю что он в этом категорически  неправ.

Нехрен ему это делать. Дали конфиг - используй в том виде в каком дали.
Парсить его - работа openvpn, а не nm.


> 
> > И самое главное, почему-то сдизайнен в
> > предположении что если человек пользуется VPN, то у него весь
> > интернет через этот VPN, а собственно сетевой интерфейс нужен
> > только чтобы VPN-пакеты ходили.  
> 
> В это совершенно точно наглая ложь! Причем включение/отключение этого
> поведения доступно прямо из гуя. Приду домой, посмотрю что за это
> отвечает.

Ну это примерно как в анекдоте про женскую баню. Если на четвертой
вкладке нажать кнопку Advanced, то там будет  незаметный чекбокс.

В то время как это ПЕРВЫЙ ВОПРОС, который надо задать пользователю:
"Мужик, ты через эту VPN весь траффик гонять будешь или в определенную
сеть ходить?" Этому вопросу должен быть посвящен первый экран визарда.



--