книги хакеры / журнал хакер / 136_Optimized

VirtualBox — популярныйибесплатныйпро-

дуктвиртуализации

ВИНДОВЫЕРАЗБОРКИ

ЧтобыисключитьвыходхостовойОСвинтернет, в настройкахреальногосетевогоадаптераснимаемвсе флажки, заисключениемVirtualBox Bridged Networking Driver. Втомчисленужноубратьподдержку«Протокол Интернета(TCP/IP)» и«КлиентдлясетейMicrosoft». В настройкахвиртуальногосетевогоинтерфейса, появившегосяпослеустановкиVirtualBox, вкачествешлюза поумолчаниюиDNS-серверауказываемIP-адрес «внутреннего» (LAN) интерфейсагостевойОС, запущеннойввиртуальноймашине(vic1 вслучаеOpenBSD илиeth1 вLinux). Здесьтакжевыключаем«Клиентдля сетейMicrosoft». Присозданиивиртуальноймашины указываемдвасетевыхадаптера. Водномуказываемтип

подключения«Сетевоймост» ивыбираемвсписке«Имя» реальныйсетевойадаптер(например, Wi-Fi), подключенныйкинтернет. Типвторогоуказываемкак«Виртуальныйадаптерхоста», черезнегоибудемподключатьсяк глобальнойсети.

Считаем, чтогостеваясистемаужеустановлена, ипереходим непосредственнокнастройкам.

НАСТРОЙКИPACKETFILTER

Первымделомнужновключитьфорвардингпакетовмежду двумясетевымиинтерфейсами:

В выводе консоли получим все активные правила PF, причем вместо названий интерфейсов будут указаны IP-адреса. Чтобы проверить состояние NAT, набираем:

# pfctl -s state

Теперь входим в интернет с локальной системы и сканируем внешний IP (выданный провайдером) при помощи сканера вроде nmap на наличие открытых портов. Далее развиваем созданные правила, разрешив, например, выход в интернет только по определенным портам:

#vi/etc/pf.conf

tcp_srv = "{ ssh, smtp, domain, www, pop3 }" udp_srv = "{ domain }"

block all

pass out inet proto tcp to any port $tcp_srv pass out inet proto udp to any port $udp_srv

Вместоназванийсервисовиз/etc/services вправиле можноуказатьномерапортов, здеськомукакудобнее. Просмотретьстатистикуприпомощиpfctl достаточно просто:

warning

Менеджервиртуальныхносителей

VirtualBox может непринятьустановочныйISO образ

OpenBSD (install46. iso), вэтомслучае придетсязаписать егонаболванку иставить, используя реальныйпривод.

# sysctl net.inet.ip.forwarding=1

Чтобыизменениевступаловсилупослекаждойперезагрузки, снимаемкомментарийссоответствующейстрокифайла

/etc/sysctl.conf.

Далеесоздадимпростейшееправилодлявыходавинтернет черезNAT, пишемвpf.conf:

#vi/etc/pf.conf

nat on vic0 from vic1:network to any -> vic0 block in all

pass in on vic1

Здесьактивированатрансляцияадресовдлясети, подключеннойкинтерфейсуvic1, скоторогоразрешенвесьтрафик. Всепортыприкрыты. Проверяемфайлнаналичиеошибоки применяемправила:

#pfctl -nf /etc/pf.conf

#pfctl -vf /etc/pf.conf

# pfctl -s info

Дляболеенаглядногомониторингаможноиспользовать утилитывродеntop илиpftop. ДляэтогочерезпеременнуюокруженияPKG_PATH указываемFTP-зеркало(www. openbsd.org/ftp.html), скоторогобудемставитьпрекомпилированныепакеты:

#export PKG_PATH=ftp://ftp.openbsd.org/pub/ OpenBSD/4.6/packages/i386

Ивыполняемустановку:

#pkg_add pftop

#pkg_add ntop

ДОПОЛНЯЕМСХЕМУ

Уменьшитьколичествовходящеготрафика, сократитьвремя загрузкистраниципорезатьбаннерыпоможеткэширующий прокси-серверSquid.

HTTP://WWW

links

•СайтVirtualBox — www.virtualbox.org

•СписокFTP зеркал

OpenBSD — www. openbsd.org/ftp.html

•СайтDnsmasq — thekelleys.org.uk/ dnsmasq

UNIXOID

Ставимопенка

НастройкаsquidGuard иHAVP подробноописанавстатье«Вооруженныйбронекальмар», опубликованнойвиюньскомномере][ за2008 год, поэтомуздесьнеостанавливаемся.

Кстати, подобная схема с виртуальным файрволом может быть интересна тем, кто хочет максимально обезопасить свое пребывание в интернет. Не секрет, что браузер на сайте оставляет своеобразный отпечаток, который может поведать многое о твоей системе. Применение прокси-сервера позволяет скрыть большую часть информации путем модификации заголовков. Для тех, кто не хочет возиться со Squid, могу порекомендо-

вать Privoxy (Privacy Enhancing Proxy, privoxy. org) — некэширующий прокси с возможностями фильтрации контента для повышения приватности и безопасности веб-серфинга. Установка Privoxy сводится к выполнению команды:

# pkg_add privoxy

Теперьнастраиваембраузер, чтобыонвыходил винтернетчерезпорт8118, инабираемв адреснойстрокеhttp://config.privoxy.org/ (крат-

каяформа: http://p.p). Врезультатеполучаем возможностьредактированияпараметровпрок- си-сервера. Дефолтныеправилаобеспечивают блокировкуCookies, pop-up, некоторыхтипов баннеров. ПоумолчаниюPrivoxy слушаеттолько локальныйинтерфейс, длядоступакнемус хостовоймашиныилиизLAN следуетизменить инструкциюlisten-address вconfig.txt, указавIP

сетевогоинтерфейсаvic1:

listen-address 191.168.1.1:8118

Возможностей, какинастроек, вPrivoxy очень много, подробноонрассматривалсявстатье «Маленькоеокновбольшуюсеть», опубликованнойв][ 03.2007. Принеобходимостиможно заставитьегоработатьвтандемескальмаром, длячеговsquid.conf достаточнодобавитьвсего однустроку:

cache_peer 127.0.0.1 parent \ 8118 7 no-query

ВкачествеещеодногобонусакнашемуинтеллектуальномуфайрволуможнопорекомендоватьлегкийкэширующийDNS (атакжеTFTP

иDHCP) серверDnsmasq (thekelleys.org.uk/ dnsmasq). Ставитсяонпросто:

Разрешаемфорвардингвsysctl.conf

# pkg_add dnsmasq

Послеэтоговконфигурационномфайлеdnsmasq.conf указываемсетевойинтерфейс, накоторомонбудетпринимать запросы:

listen-address=127.0.0.1, 192.168.1.1

ТеперьвсеповторныеDNS-запросыбудутвыдаватьсяиз кэшаивыполнятьсябыстрее.

НАСТРОЙКАIPSECВOPENBSD

ТеперьнаучимвиртуальныйфайрподключатьсяпоVPN. РазберемсоединениепопротоколуIPsec припомощиутилитыipsecctl, входящейвстандартнуюпоставку. Итак, наша внутренняясеть192.168.1.0/24, внешнийWAN интерфейс получаетIP-адрес1.2.3.4, соответственновудаленномофисе

LAN - 192.168.2.0/24 иWAN — 5.6.7.8. Открываемвредакторе конфиг/etc/ipsec.conf иуказываемнастройкисетей:

#vi/etc/ipsec.conf

ike esp from 192.168.1.0/24 to 192.168.2.0/24 \

peer 5.6.7.8

ike esp from 1.2.3.4 to 192.168.2.0/24 \ peer 5.6.7.8

ike esp from 1.2.3.4 to 5.6.7.8

Наудаленномхостефайл/etc/ipsec.confбудетаналогичным, толькозаменяемIPивописанииподключениядобавляемключ passive,означающий,чтоданныйузелбудетожидатьподключение(соединениеинициализируетудаленнаясистема):

ike passive esp from 5.6.7.8 to 1.2.3.4

ВправилахPF разрешимподключениесудаленногоузла иукажем, чтоненужнофильтроватьтрафик, проходящий

черезинтерфейсобратнойпетли, атакжечерезвнутреннийи виртуальныйинтерфейсы:

# echo 1 > /proc/sys/net/ipv4/ip_forward

Иликаквариант:

# sysctl -w net.ipv4.ip_forward=1

Чтобыфорвардингактивировалсяпризагрузкесистемы,

используем/etc/sysctl.conf:

net.ipv4.ip_forward = 1

Обративнимание, переменнаямеханизмаsysctl несколько отличаетсяотаналогичногопараметравOpenBSD. Вразлич-

down.d). Чтобыправилапризагрузкезагружалисьавтоматически, добавляемвконецфайла/ etc/networks/interfaces следующуюзапись:

#vi/etc/networks/interfaces

### Загружаем правила при поднятии интерфейса

pre-up iptables-restore < /etc/ iptables.rules

ВCentOS правиласохраняютсякомандой:

#service iptables save

Послеэтоговсерулесетыможнонайтив/etc/ sysconfig/iptables. Дляавтоматическойих загрузкипристартесистемыдостаточноразрешитьдвапараметравфайле/etc/sysconfig/ iptables-config:

#vi/etc/sysconfig/iptables-config

IPTABLES_SAVE_ON_STOP="yes"

IPTABLES_SAVE_ON_RESTART="yes"

Просмотретьсписокправилiptables можно командой:

# iptables -L -v

Все, сфайромразобрались. Теперьможно наращиватьфункционал. Squid естьврепозитарияхпакетовиставитсяоченьпросто. ВDebian/ Ubuntu:

# apt-get install squid

ИливCentOS:

# yum install squid

Чтобынеперестраиватьклиентскиесистемы, добавимправилаiptables:

iptables -t nat -A PREROUTING -i eth1 -p tcp -m tcp --dport 80 -j DNAT --to- destination 192.168.1.1:3128

iptables -t nat -A PREROUTING -i eth0 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128

ПрижеланииSquid можнодополнитьдруги-

мимодулями— Adzapper (adzapper.sf.net), squidGuard иHAVP.

ЗАКЛЮЧЕНИЕ

Мыполучилиабсолютнобесплатныйфайрволс продвинутымифункциями,надежнозащищающий хостовуюWindowsмашину,ифункционалкоторого можнонаращиватьдобесконечности.Возможно, кто-топосчитаетегонеудобным,нопроблему быстройзагрузкиможнорешить,простозамораживаясостояниевиртуальноймашины.Ктомуже такойвиртуальныйблокпостможноиспользовать невсегда,атольковособыхслучаях.z

XÀÊÅÐ 05 /136/ 10

Âообще, способовповышенияскорости сборкиприложенийвниксахнесколько, иневсеонитребуютиспользованиядополнительногософта. Одиниз

наиболеепростыхипрямолинейныхспособов заключаетсявотключениилюбыхфлагов оптимизации. Этотшагдействительнодает

существенныйвыигрышвскоростисборки, но такжеприводиткзаметномуснижениюскоростиисполненияскомпилированногософта. Еслитысогласенстакимположениемвещей, томожешьприказатькомпиляторупринудительноотключатьлюбыеоптимизации. Для этогодобавьследующиестрокив

ñâîé ~/.bashrc: export CFLAGS='-O0'

export CXXFLAGS=$CFLAGS

ПользователиFreeBSD иGentoo могутиспользоватьфайл/etc/make.conf дляизменениязначенияэтихпеременных:

UNIXOID

Создаемфиктивныеgcc, g++, cc иc++ дляdistcc

Активируемccache воFreeBSD

CFLAGS='-O0'

CXXFLAGS='-O0'

ВOpenBSD файлноситимя/etc/mk.conf.

Ускоритьпроцесскомпиляцииможноспомощьюраспараллеливания, тоестьодновременнойкомпиляциисразунесколькихфайлов, содержащихисходныйтекст. Те, ктознакомспрограммированием, должны знать, чтолюбаяболее-менеекрупнаяпрограмма, написаннаяна языкеСи, состоитизнесколькихобособленныхфайлов, содержащих фрагментыисходногокода. Вовремясборкипрограммыэтифайлы обрабатываютсякомпиляторомнезависимоилишьвсамомконце объединяютсялинковщикомвединыйисполняемыйфайл. Благодаря этойособенностисборкуприложенияможнораспараллелитьтак, чтобыэтифрагменты-файлыкомпилировалисьодновременно. Подавляющеебольшинствоприложенийсоткрытымкодомиспользуютmake вкачествеутилиты, контролирующейвсеэтапысборки. Make принимаетфлаг'-j', позволяющийзадатьколичествоодновременных потоковкомпиляции(насамомделе, онуказываетнаколичество параллельновыполняемыхзадач, номынебудемвдаватьсявподробности). Правильноустанавливаязначениеэтогофлага, мыможем существенноповыситьскоростьсборкиприложениянамногоядерных процессорах. Так, еслитвойкаменьчетырехъядерный, тооптималь- ноезначениефлага'-j' будетравно… пяти. Всеверно, опытнымпутем доказано, что«лишний» потокещебольшеускоряетпроцесс. Причем тожеверноидляодноядерныхсистем, длякоторыхрекомендуемым значением будет2.

В «классических линуксах» флаг '-j' следует указывать прямо во время сборки приложения:

$ ./configure $ make -j5

$ sudo make install

Команда«ccache -s» – отличныйинструментдляанализасостояниякэша

Всистемах, основанныхнапортах, естьспециальныеопцииконфигурационногофайла, позволяющиезадействоватьэтотфлагглобально. Например, вGentoo любыеопцииmake можнопрописатьвперемен-

нуюMAKEOPTS файла/etc/make.conf. ВоFreeBSD этапеременная носитимяMAKE_ARGS.

Втехже«source based» дистрибутивахможнозадействоватьдругой трюк, позволяющийсократитьвремясборкивсреднемна10%. Смысл еговтом, чтобыпоместитькаталог, используемыйдляхранения промежуточныхрезультатовкомпиляции, вtmpfs. Скоростьдоступак файламсущественновозрастет, чтоиприведетквыигрышу. Большинствосистемиспользуетдляхранениявременныхфайловодиниз

подкаталогов/var/tmp, поэтомунамдостаточнопростопримонтироватькнемуtmpfs. ПримердляGentoo:

$ sudo mount -t tmpfs tmpfs -o size=1G,nr_inodes=1M /var/tmp/portage

Естественно, машинадолжнаобладатьдостаточнымобъемомпамяти (2 Гбвполнехватит), чтобыtmpfs неначалаиспользоватьswap, что ещеболеерастянетпроцесскомпиляции. Еслижепамятивсистеме мало, тоееможноосвободитьспомощьюзавершениявсех«толстых» приложенийивыходаизиксов.

КЭШИРОВАНИЕ

Поумолчаниюкомпиляторнеобращаетвниманиянаранеескомпилированныефайлыипроизводитполнуюперекомпиляциювсего приложениявовремяповторногозапускапроцессасборки. Этоможет сильнонавредить, еслиты, например, многократноисправляешьодин изфайловисходниковикаждыйразпослеэтогоинициируешьсборку. Этотакжеувеличитвремяэкспериментовсядром, когдатынесколько разпересобираешьядро, пробуявключатьивыключатьразличные опции. Длярешенияпроблемыможновоспользоватьсяуслугами ccache.

Программаccache – этокэширующийпрепроцессор, которыйпозволяетизбежатьповторнойкомпиляцииужескомпилированныхранее файлов. Онгенерируетхешдлякаждогокомпилируемогофайла, поэтомуеслисмоментапредыдущейкомпиляциифайлостаетсянеизменным, егоповторнаяобработканепроизводится, аиспользуется ужеранеескомпилированныйобъектныйфайл.

Ccache позволяетсущественноподнятьскоростьповторнойкомпиляцииприложения. Внекоторыхслучаяхприростможетсоставлять десяткираз.

Длязадействованияccache достаточноустановитьеговсистемуи запускатьпроцесссборкиприложенияспомощьюпримернотакой команды:

$ CC="ccache gcc" CXX="ccache g++" ./configure

Закэшированныепрепроцессоромобъектныефайлы хранятсявкаталоге~/.ccache. Поумолчаниюегоразмер ограничен1 Гб, ноябыпорекомендовалувеличитьегодо

4 Гб:

$ ccache -M 4G

Еслиместавдомашнемкаталогебудетнедостаточнодля хранениякэша, тыможешьуказатьccache использовать другойкаталог:

$ echo "export CCACHE_DIR=\"/var/tmp/ ccache/\"" >> ~/.bashrc

Для верности создай симлинк:

$ rm -rf ~/.ccache

$ ln -s /var/tmp/ccache ~/.ccache

Особоеместоccache занимаетвсистемах, основанныхна портах. Компиляцияутилит, необходимыхтолькововремя сборкипорта, статическихбиблиотекидругих«одноразовых» инструментов, втакихсистемахобычноосуществляетсякаждыйразвовремясборкипорта, ихтребующего.

Поэтомуccache приноситнеоценимуюпользу. Ктомуже, ужесуществующиевкэшефайлымогутбытьповторно использованыприобновлениипортов. Нижеприводитсядварецептаиспользованияccache: вдистрибутиве

Gentoo ивОСFreeBSD.

Дляактивацииccache вGentoo достаточновыполнитьдва простыхдействия:

1. Установить ccache:

$ sudo emerge -av ccache

2. Отредактировать файл /etc/make.conf: $ sudo vi /etc/make.conf

#Активируем ccache FEATURES="ccache"

#Место хранения кэша

CCACHE_DIR="/var/tmp/ccache/"

# Размер кэша CCACHE_SIZE="4G"

UNIXOID

/usr/local/bin/ccache -M 4G > /dev/null endif

Дляотключенияccache вовремясборкиопределенногопортаиспользуемтакуюкомандувместостандартного«make install clean»:

$ sudo make NO_CACHE=yes install clean

РАСПРЕДЕЛЕННАЯ

КОМПИЛЯЦИЯ

Увеличитьскоростькомпиляцииможноспомощьюпривлеченияк этомупроцессудругихмашин. Янеговорюсейчасосборкеприложениянаболеемощноймашинеспоследующимкопированием результатанаменеепроизводительную(хотяэтотожевариант), я говорюоборганизациикластераизмашин, каждаяизкоторыхбудет приниматьучастиевсборкеодногоприложения. Поднятьтакойкластердостаточнопросто, идляэтогомывоспользуемсяинструментом подназваниемdistcc.

Distcc – этооберткадляgcc, котораяпозволяетзадействовать мощностидругихмашиндляувеличенияскоростикомпиляции приложения. Вотличиеотдругихрешенийэтогокласса, distcc проств установкеинетребуетмодификацииисходногокодаприложенияили каких-либоподготовительныхдействий. Наудаленнуюмашинупередаетсяужеобработанныйпрепроцессоромисходныйкод, поэтомусо своейстороныонанедолжнаиметькаких-либозаголовочныхфайлов илибиблиотекдляпроведенияуспешнойкомпиляции.

Кластер distcc обычно состоит из одного клиента и нескольких серверов. Клиент запускается на машине, инициирующей процесс сборки, и передает задания на выполнение компиляции серверам, работающим на удаленных машинах. Задание состоит из обработанного препроцессором файла, содержащего исходный код, и флагов компилятора. Все это отправляется на сервер с помощью обычного сетевого соединения без какого-либо шифрования и аутентификации удаленной стороны. Серверы, фактически выполняющие компиляцию, могут работать под управлением операционных систем Linux, *BSD, Solaris или Windows (потребуется установка gcc и distcc в окружение cygwin), однако версия gcc на этих машинах должна быть одинаковой.

Нет смысла использовать distcc для одноразовой сборки приложения, с этим вполне справится и один комп. Зато в дистрибутиве Gentoo и ОС FreeBSD он может дать заметный прирост в скорости установки и обновления приложений. Gentoo уже подготовлен для использования distcc, поэтому его владельцам достаточно выполнить несколько простых шагов для активации обертки.

Сначалаустановимdistcc навсемашиныкластера:

$ sudo emerge distcc

Далеепереходимнамашину-клиентиредактируемфайл/etc/make. conf:

$ sudo vi /etc/make.conf

#Указываем количество потоков компиляции MAKEOPTS="-j8"

#Активируем distcc

FEATURES="distcc"

# Каталог для хранения кэша distcc DISTCC_DIR="/tmp/.distcc"

ВопцииMAKEOPTS указываемобщееколичествопотоковкомпиляции. Обычноэточисловысчитываетсяследующимобразом: общее количествопроцессоров/ядернавсехмашинах* 2 + 1. Однакоэтоне всегдаверно, и, возможно, придетсяпоэкспериментировать, чтобы подобратьоптимальноезначение.

Длязаданияхостов, участвующихвкомпиляции, воспользуемся утилитойdistcc-config (насамомделе, онавсеголишьмодифицирует значениепеременнойDISTCC_HOSTS):

$ sudo distcc-config --set-hosts "127.0.0.1 192.168.0.1 192.168.0.2 192.168.0.3"

ВместоIP-адресовможноиспользоватьDNS-именамашин. Чтобы болееравномернораспределитьнагрузкупомашинам, черезслэш послеадресамашинытыможешьуказатьодновременноеколичествозаданий, котороеонаможетпринять. Например, еслинамашине 192.168.0.1 установленчетырехъядерныйпроцессор, тообщееколичествозаданийдлянеелучшеустановитьвпять: 192.168.0.1/5.

Далеенавсехмашинахнеобходимозапуститьсервер. Дляэтого отредактируемфайл/etc/conf.d/distccd, чтобыразрешитьвыполнение заданий, полученныхотклиентовнашейподсети:

DISTCCD_OPTS="${DISTCCD_OPTS} -allow 192.168.0.0/24"

Теперьдобавимсервервдефолтовыйуровеньзапускаизапустимего:

$ sudo rc-update add distccd default $ sudo /etc/init.d/distccd start

Теперьвсепортыбудуткомпилироватьсявкластереdistcc. Чтобысобратьядросиспользованиемdistcc, используйследующуюкоманду:

$ sudo genkernel --kernel-cc=distcc all

ВотличиеотGentoo, FreeBSD необладаетинфраструктурой, необходимойдляпрозрачноговнедренияdistcc, поэтомунампридетсявживлять егохирургическимпутем. Дляэтогоустановимdistcc спомощьюсистемы портов:

$ cd /usr/ports/devel/distcc $ sudo make install clean

Этонужносделатьнавсехмашинах, которыебудутучаствоватьвпроцессекомпиляции. Далееактивируемсерверdistcc в/etc/rc.conf так, чтобы онзапускалсявовремяинициализацииОСимогприниматьзаданияот клиента:

distccd_enable="YES"

distccd_flags="--nice 5 --allow 192.168.1.0/24 --daemon --user distcc -P /var/run/distccd.pid"

Этотшагтакженеобходимовыполнитьнавсехмашинах, включая клиентскую(чтобыкомпиляцияпроисходилаинамашине, ееинициировавшей). Флаг'--allow' задаетподсеть, машиныкоторойимеютправо отправлятьзаданиясерверу. Запускаемсервер:

$ sudo /usr/local/etc/rc.d/distccd start

Возвращаемсянаклиентскуюмашину. Открываемфайл/etc/make.conf и добавляемвнегоследующиестроки:

#vi /etc/make.conf

#Использовать distcc в качестве компилятора CC = distcc

CXX = distcc

#Количество задач

MAKE_ARGS =- j8

МыуказалиdistccвпеременныхCCиCXX,благодарячемупортыимирбудут

автоматическисобиратьсявкластере,дляраспределениясборкивсего остальногопойдемнанебольшойтрюкиподменимстандартныекомпиля-

торыgccиg++:

#mkdir -p /usr/local/lib/distcc/bin

#cd /usr/local/lib/distcc/bin

#ln -s /usr/local/bin/distcc gcc

#ln -s /usr/local/bin/distcc g++

#ln -s /usr/local/bin/distcc cc

#ln -s /usr/local/bin/distcc c++

Откроем/root/.cshrcипоместимсозданныйнамикаталогвначалапутей поискабинарников:

setenv PATH /usr/local/lib/distcc/bin:$PATH

ТудажепоместиминициализациюпеременнойDISTCC_HOST, кото- раябудетсодержатьадресаdistcc-серверов:

setenv DISTCC_HOSTS "127.0.0.1 192.168.1.2 192.168.1.3 192.168.1.4"

Все, дляпроверкиможнозапуститьсборкукакого-либопорта. Пакет distcc поставляется вместе с утилитой для мониторинга процесса сборки distccmon-text. Запустив программу без параметров,

ты увидишь на экране текущее состояние distcc. Чтобы получать сведения в режиме реального времени, используй команду «distccmontext N», где N – это интервал в секундах между выводом информации на экран. Пользователи Gnome (и не только) могут воспользоваться графическим монитором под названием distccmon-gnome.

Невсепортымогутбытьпрозрачнособранысиспользованиемdistcc. ВGentoo ониявнопомеченыкак«нераспределяемые», поэтому сборкабудетпроисходитьтольконамашине-клиенте. ВоFreeBSD все сложнее, здесьнетинтеграциисdistcc, поэтомупривозникновении проблемсосборкойпервымделомследуетотключитьdistcc, заком-

ментировавстрокуопцииCC иCXX в/etc/make.conf иубрав/usr/local/ lib/distcc/bin изпутейпоискабинарников.

КОМПИЛЯЦИЯ В ОБЛАКЕ

Программа distcc становится эффективным решением, когда речь заходит о сборке приложения в кластере машин, размещенных в локальной сети, но в силу своей незащищенности она не может быть применена для распределения компиляции по машинам, разбросанным по всему миру. Ты можешь создать частную VPN, чтобы обойти эту проблему, но я предлагаю более простое и эффективное решение – SSH-туннель.

Все нижеприведенные инструкции актуальны для дистрибутива Gentoo, но не составит большого труда подогнать их под другой дистрибутив/ОС.

Для начала активируем пользователя distcc. Он автоматически создается во время установки порта, но не может выполнять вход в систему. Чтобы организовать туннель между машинами, нам нужно это исправить. Во-первых, пользователь должен иметь домашний каталог (пусть будет /etc/distcc):

#mkdir -p /etc/distcc/.ssh

#usermod -d /etc/distcc distcc

Во-вторых, ему должен быть назначен шелл:

# usermod -s /bin/bash distcc

В-третьих, он должен быть разлочен:

# passwd -u distcc