icecast improvements
[distro-setup] / distro-end
index 721b2c1a19de981337f4291b8a6264dde88cbf70..88ff40ba4070a178b1baadfe904fec965d8bdb66 100755 (executable)
@@ -1,9 +1,26 @@
 #!/bin/bash
 #!/bin/bash
-# Copyright (C) 2019 Ian Kelling
-# SPDX-License-Identifier: AGPL-3.0-or-later
 
 
-# shellcheck source=/a/bin/ds/.bashrc
-export LC_USEBASHRC=t; if [[ -s ~/.bashrc ]]; then . ~/.bashrc; fi
+# Setup Ian's computers
+# Copyright (C) 2024  Ian Kelling
+
+# This program is free software: you can redistribute it and/or modify
+# it under the terms of the GNU General Public License as published by
+# the Free Software Foundation, either version 3 of the License, or
+# (at your option) any later version.
+
+# This program is distributed in the hope that it will be useful,
+# but WITHOUT ANY WARRANTY; without even the implied warranty of
+# MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE.  See the
+# GNU General Public License for more details.
+
+# You should have received a copy of the GNU General Public License
+# along with this program.  If not, see <http://www.gnu.org/licenses/>.
+
+# SPDX-License-Identifier: GPL-3.0-or-later
+
+# shellcheck disable=SC2317 # false positive
+export LC_USEBASHRC=t
+source /a/bin/ds/.bashrc
 
 ### setup
 source /a/bin/bash-bear-trap/bash-bear
 
 ### setup
 source /a/bin/bash-bear-trap/bash-bear
@@ -133,205 +150,36 @@ Explanation: Debian* includes Debian + Debian Backports
 Package: *
 Pin: release o=Debian*
 Pin-Priority: -100
 Package: *
 Pin: release o=Debian*
 Pin-Priority: -100
-EOF
-    ;;&
-  # needed for debootstrap scripts for fai since fai requires debian
-  flidas)
-    # moved to fai
-    #curl http://archive.ubuntu.com/ubuntu/project/ubuntu-archive-keyring.gpg | s apt-key add -
-    sd /etc/apt/preferences.d/flidas-xenial <<EOF
-Package: *
-Pin: release a=xenial
-Pin-Priority: -100
-
-Package: *
-Pin: release a=xenial-updates
-Pin-Priority: -100
-
-Package: *
-Pin: release a=xenial-security
-Pin-Priority: -100
 
 
-Package: firefox
-Pin: release n=xenial
-Pin-Priority: 500
-EOF
-    sd /etc/apt/sources.list.d/xenial.list 2>/dev/null <<EOF
-deb http://us.archive.ubuntu.com/ubuntu/ xenial main
-deb http://us.archive.ubuntu.com/ubuntu/ xenial-updates main
-deb http://us.archive.ubuntu.com/ubuntu/ xenial-security main
-EOF
-
-    if ! apt-key list | grep /C0B21F32 &>/dev/null; then
-      # moved to fai
-      #sudo apt-key adv --keyserver keyserver.ubuntu.com --recv-keys 3B4FE6ACC0B21F32
-      sd /etc/apt/preferences.d/flidas-bionic <<EOF
-Package: *
-Pin: release a=bionic
-Pin-Priority: -100
-
-Package: *
-Pin: release a=bionic-updates
-Pin-Priority: -100
-
-Package: *
-Pin: release a=bionic-security
-Pin-Priority: -100
-EOF
-    fi
-
-    # better to run btrfs-progs which matches our kernel version
-    # (note, renamed from btrfs-tools)
-    sd /etc/apt/preferences.d/btrfs-progs <<EOF
-Package: btrfs-progs libzstd1
-Pin: release a=bionic
-Pin-Priority: 1005
-
-Package: btrfs-progs libzstd1
-Pin: release a=bionic-updates
-Pin-Priority: 1005
-
-Package: btrfs-progs libzstd1
-Pin: release a=bionic-security
-Pin-Priority: 1005
-EOF
-
-
-    t=$(mktemp)
-    cat >$t <<EOF
-deb http://us.archive.ubuntu.com/ubuntu/ bionic main
-deb http://us.archive.ubuntu.com/ubuntu/ bionic-updates main
-deb http://us.archive.ubuntu.com/ubuntu/ bionic-security main
-EOF
-    f=/etc/apt/sources.list.d/bionic.list
-    if ! diff -q $t $f; then
-      sudo cp $t $f
-      sudo chmod 644 $f
-      m p update
-    fi
-
-    # no special reason, but its better for btrfs-progs to
-    # be closer to our kernel version
-    pi btrfs-progs
-
-    if [[ ! -e /usr/share/debootstrap/scripts/xenial ]]; then
-      t=$(mktemp -d)
-      cd $t
-      m aptitude download debootstrap/xenial
-      m ex ./*
-      sudo cp ./usr/share/debootstrap/scripts/* /usr/share/debootstrap/scripts
-    fi
-
-    sd /etc/apt/preferences.d/flidas-etiona <<EOF
-Package: *
-Pin: release a=etiona
-Pin-Priority: -100
-
-Package: *
-Pin: release a=etiona-updates
-Pin-Priority: -100
-
-Package: *
-Pin: release a=etiona-security
-Pin-Priority: -100
-
-Package: *
-Pin: release a=etiona-backports
-Pin-Priority: -100
-EOF
-
-    t=$(mktemp)
-    cat >$t <<EOF
-deb http://mirror.fsf.org/trisquel/ etiona main
-deb http://mirror.fsf.org/trisquel/ etiona-updates main
-deb http://archive.trisquel.info/trisquel/ etiona-security main
-deb http://mirror.fsf.org/trisquel/ etiona-backports main
-EOF
-    f=/etc/apt/sources.list.d/etiona.list
-    if ! diff -q $t $f; then
-      sudo cp $t $f
-      n s chmod 644 $f
-      m p update
-    fi
-
-    sd /etc/apt/preferences.d/debian-goodies <<EOF
-Package: debian-goodies
-Pin: release n=etiona
-Pin-Priority: 1005
-EOF
-
-
-    # dont use buster because it causes dist-upgrade to think its downgrading
-    # packages while really just reinstalling the same version.
-    f=/etc/apt/apt.conf.d/01iank
-    sudo rm -fv $f
-    #         # stupid buster uses some key algorithm not supported by flidas gpg that apt uses.
-    #         sd /etc/apt/apt.conf.d/01iank <<'EOF'
-    # Acquire::AllowInsecureRepositories "true";
-    # EOF
-
-    f=/etc/apt/sources.list.d/buster.list
-    sudo rm -fv $f
-
-    # newer version needed for false positive in checkrestart.
-    # I did buster at first, but other problem above with having
-    # buster repos. not sure if the false positive exists in etiona.
-    pi debian-goodies
-
-    sd /etc/apt/preferences.d/shellcheck <<EOF
-Package: shellcheck
-Pin: release a=etiona
-Pin-Priority: 1005
-
-Package: shellcheck
-Pin: release a=etiona-updates
-Pin-Priority: 1005
-
-Package: shellcheck
-Pin: release a=etiona-security
-Pin-Priority: 1005
-EOF
-
-    sd /etc/apt/preferences.d/bash <<EOF
-Package: bash
-Pin: release a=etiona
-Pin-Priority: 1005
-
-Package: bash
-Pin: release a=etiona-updates
-Pin-Priority: 1005
-
-Package: bash
-Pin: release a=etiona-security
-Pin-Priority: 1005
+Explanation: ubuntu's version is outdated
+Package: debian-archive-keyring
+Pin: release o=Debian*
+Pin-Priority: 1000
 EOF
 EOF
-
-
     ;;&
     ;;&
+
   aramo|nabia|etiona)
     # for ziva
     #p install --no-install-recommends minetest/buster libleveldb1d/buster libncursesw6/buster libtinfo6/buster
     doupdate=false
     # shellcheck disable=SC2043 # in case we want more than 1 in the loop later.
   aramo|nabia|etiona)
     # for ziva
     #p install --no-install-recommends minetest/buster libleveldb1d/buster libncursesw6/buster libtinfo6/buster
     doupdate=false
     # shellcheck disable=SC2043 # in case we want more than 1 in the loop later.
-    for n in bullseye; do
+    for n in bookworm; do
       f=/etc/apt/sources.list.d/$n.list
       t=$(mktemp)
       case $n in
       f=/etc/apt/sources.list.d/$n.list
       t=$(mktemp)
       case $n in
-        bullseye)
-          cat >$t <<'EOF'
-EOF
+        bookworm)
           cat >$t <<EOF
           cat >$t <<EOF
-deb http://deb.debian.org/debian bullseye main
-deb-src http://deb.debian.org/debian bullseye main
+deb http://deb.debian.org/debian bookworm main
+deb-src http://deb.debian.org/debian bookworm main
 
 
-deb http://deb.debian.org/debian-security/ bullseye-security main
-deb-src http://deb.debian.org/debian-security/ bullseye-security main
+deb http://deb.debian.org/debian-security/ bookworm-security main
+deb-src http://deb.debian.org/debian-security/ bookworm-security main
 
 
-deb http://deb.debian.org/debian bullseye-updates main
-deb-src http://deb.debian.org/debian bullseye-updates main
+deb http://deb.debian.org/debian bookworm-updates main
+deb-src http://deb.debian.org/debian bookworm-updates main
 
 
-deb http://http.debian.net/debian bullseye-backports main
-deb-src http://http.debian.net/debian bullseye-backports main
+deb http://http.debian.net/debian bookworm-backports main
+deb-src http://http.debian.net/debian bookworm-backports main
 EOF
           ;;
       esac
 EOF
           ;;
       esac
@@ -343,15 +191,25 @@ EOF
       fi
     done
     if $doupdate; then
       fi
     done
     if $doupdate; then
-      curl -s https://ftp-master.debian.org/keys/archive-key-10-security.asc | sudo apt-key add -
-      curl -s https://ftp-master.debian.org/keys/archive-key-10.asc | sudo apt-key add -
+      tmpdir=$(mktemp -d)
+      (
+        cd $tmpdir
+        # cant apt get the keyring without doing an update, can't update
+        # without the keyring, this is a stupid chicken and egg problem
+        # that apt should have some feature to solve, but doesn't as far
+        # as I know.
+        f=debian-archive-keyring_2023.3+deb12u1_all.deb
+        wget http://ftp.debian.org/debian/pool/main/d/debian-archive-keyring/$f
+        sudo dpkg -i $f
+      )
       p update
       p update
+      rm -rf $tmpdir
     fi
 
     fi
 
-    if [[ ! -e /usr/share/debootstrap/scripts/bullseye ]]; then
+    if [[ ! -e /usr/share/debootstrap/scripts/noble ]]; then
       t=$(mktemp -d)
       cd $t
       t=$(mktemp -d)
       cd $t
-      m aptitude download debootstrap/bullseye
+      m aptitude download debootstrap/noble
       m ex ./*
       sudo cp ./usr/share/debootstrap/scripts/* /usr/share/debootstrap/scripts
     fi
       m ex ./*
       sudo cp ./usr/share/debootstrap/scripts/* /usr/share/debootstrap/scripts
     fi
@@ -475,7 +333,7 @@ EOF
 esac
 
 case $codename_compat in
 esac
 
 case $codename_compat in
-  jammy)
+  jammy|noble)
     s systemctl enable --now ssh-agent-iank
     ;;
 esac
     s systemctl enable --now ssh-agent-iank
     ;;
 esac
@@ -666,18 +524,7 @@ EOF
 client-to-client
 EOF
 
 client-to-client
 EOF
 
-
-    ngset
-    files=(/etc/openvpn/client-config-hole/*)
-    if (( ${#files[@]} >= 1 )); then
-      rm -f ${files[@]}
-    fi
-    ngreset
-    for host in ${!vpn_ips[@]}; do
-      sd /etc/openvpn/client-config-hole/$host <<EOF
-ifconfig-push 10.5.5.${vpn_ips[$host]} 255.255.255.0
-EOF
-    done
+    # note client-config files are setup in brc2 update-host-info
 
 
     # for adding cert to system with /p
 
 
     # for adding cert to system with /p
@@ -902,13 +749,37 @@ EOF
       # Pin-Priority: 1001
       # EOF
       #
       # Pin-Priority: 1001
       # EOF
       #
-      # TODO: I had to uninstall linux-image-generic-hwe-20.04 because of a conflict
-      # about linux-firmware. Should probably install it to begin with in fai if
-      # i'm going to use.
-      pi system76-driver system76-firmware
+      # s fwupdmgr get-updates
+      # says I have 3 "devices with no available firmware updates"
+      # if there were updates, install with: s fwupdmgr update
+
+      check_downgrade=false
+      if [[ ! -e /etc/apt/preferences.d/system76-apt-preferences ]]; then
+        check_downgrade=true
+      fi
+      pi system76-firmware system76-driver fwupd
+      if $check_downgrade && [[ -e /etc/apt/preferences.d/system76-apt-preferences ]]; then
+        # driver installs a preferences file to give s76 packages
+        # priority so we may need to downgrade here.
+        pup --allow-downgrades
+      fi
+      # system76-driver: on a modern kernel, it seems to mainly just do
+      # some power settings, I haven't looked entirely through it. Of
+      # its recommended packages, system76-power is the only one I
+      # haven't looked at, the others do nothing for laptops i
+      # have. they have models hardcoded in source, so you can just grep
+      # for it. pkx package; caf | less. I'm rather annoyed that
+      # com.system76.PowerDaemon.service is regularly taking up the
+      # most power. I wonder what it is actually doing, it really
+      # doesn't say, just has cryptic messages when I turn on
+      # debug logs, and has no documentation. Similar deal with
+      # system76-driver.service.
+      #
       # if you get a notice about a firmware update, the notifier on i3
       # if you get a notice about a firmware update, the notifier on i3
-      # is too dumb to do anything when you click it. so to see
-      # a changelog, cd to
+      # is too dumb to do anything when you click it.
+      # to manually get new firmware,
+      # system76-firmware-cli schedule --open
+      # to see a changelog, cd to
       # /var/cache/system76-firmware-daemon
       # extract the xz files there, one will contain a changelog.
       # then to install an update:
       # /var/cache/system76-firmware-daemon
       # extract the xz files there, one will contain a changelog.
       # then to install an update:
@@ -921,17 +792,50 @@ esac
 case $distro in
   trisquel|ubuntu)
 
 case $distro in
   trisquel|ubuntu)
 
-    # ppa:obsproject/obs-studio
-    if [[ ! -s /etc/apt/sources.list.d/obs.list ]]; then
-      # https://blog.zackad.dev/en/2017/08/17/add-ppa-simple-way.html
-      sd /etc/apt/sources.list.d/obs.list <<EOF
+
+    ## one time setup thing I did
+    # c /a/opt/obs-cmd/
+    # cargo build --release
+    # cp target/release/obs-cmd ../bin
+    #
+    ## in obs, tools -> websocket server settings -> generate/copy password
+    #
+    # note: obs-studio on gnu does not support webrtc, it seems mainly because
+    # libdatachannel is not packaged. If it was, it would just need to do
+    # apt source obs-studio, obs-studio-30.1.1/debian/rules set -DENABLE_WEBRTC=ON
+    #
+    # I did manage to build libdatachannel following its instructions, then make install,
+    # then obs failed due to nvidia. found those options to disable with
+    # rg 'option\(ENABLE' | gr nv, then build obs like so:
+    #
+    # cmake -DLINUX_PORTABLE=ON -DCMAKE_INSTALL_PREFIX="${HOME}/obs-studio-portable" -DENABLE_BROWSER=OFF -DENABLE_AJA=OFF -DENABLE_NEW_MPEGTS_OUTPUT=OFF -DENABLE_WEBRTC=ON -DCMAKE_POSITION_INDEPENDENT_CODE=ON -DENABLE_NVVFX=OFF -DENABLE_NVAFX=OFF -DENABLE_NATIVE_NVENC=OFF  ..
+    #
+    #
+    #
+    # however, I didn't end up trying it out.
+    #
+    # note, in terminal source, i setup a transform so it would show the
+    # bottom 1080p section of the terminal instead of the top if the
+    # screen was bigger. click like 2 times in the preview so the red
+    # lines show up, right click, edit transform (or ctrl-e). bounding
+    # box type: scale to width of bounds. alignment in bounding box:
+    # bottom left. bounding box size 1920 x 1080.
+
+    # as of 2024-06, noble repo doesn't exist yet
+    if [[ $codename_compat != noble ]]; then
+      # ppa:obsproject/obs-studio
+      if [[ ! -s /etc/apt/sources.list.d/obs.list ]]; then
+        # https://blog.zackad.dev/en/2017/08/17/add-ppa-simple-way.html
+        sd /etc/apt/sources.list.d/obs.list <<EOF
 deb http://ppa.launchpad.net/obsproject/obs-studio/ubuntu $codename_compat main
 deb-src http://ppa.launchpad.net/obsproject/obs-studio/ubuntu $codename_compat main
 EOF
 deb http://ppa.launchpad.net/obsproject/obs-studio/ubuntu $codename_compat main
 deb-src http://ppa.launchpad.net/obsproject/obs-studio/ubuntu $codename_compat main
 EOF
-      trysleep 4 15 s apt-key adv --keyserver keyserver.ubuntu.com --recv-keys BC7345F522079769F5BBE987EFC71127F425E228
-      p update
+        trysleep 4 15 s apt-key adv --keyserver keyserver.ubuntu.com --recv-keys BC7345F522079769F5BBE987EFC71127F425E228
+        p update
+      fi
     fi
     ;;
     fi
     ;;
+
 esac
 
 case $codename_compat in
 esac
 
 case $codename_compat in
@@ -986,6 +890,39 @@ EOF
   jammy)
     # not yet bothering with mate
     pi lightdm-gtk-greeter lightdm
   jammy)
     # not yet bothering with mate
     pi lightdm-gtk-greeter lightdm
+    case $HOSTNAME in
+      sy|bo)
+        # todo: try removing this. also, see if system76-driver fixes this.
+
+        # on newer laptop, this config makes xorg load an intel module
+        # in Xorg.0.log and display nothing.  background:
+        #
+        # I dropped lightdm as I was trying to figure this out, why xorg was
+        # displaying nothing. I did a diff of a working Xorg.0.log from a
+        # popos is, which is in ~/.local/share/xorg/Xorg.0.log if it runs as
+        # a regular user. I noticed 2 differences, on the failing one it was
+        # loading the intel xorg module. On the successful one, it had a
+        # line systemd-logind: got fd for /dev/dri/card1 226:1, on the
+        # failing one it had a line about systemd-logind not knowing the
+        # seat or session or something. There was no search results about
+        # that, switching to xinit made that go away.  Note: gpg-agent seems
+        # to be working ok as an ssh agent. xsession has an option
+        # use-ssh-agent but perhaps it decides to leave gpg agent in charge.
+        cat >/etc/X11/xorg.conf.d/20-intel.conf <<'EOF'
+# iank:
+# https://forums.linuxmint.com/viewtopic.php?f=208&t=224942#p1197049
+# prevents konsole from being borderline unusable on system76 intel graphics + i3
+Section "Device"
+   Identifier  "Intel Graphics"
+   Driver      "intel"
+   Option      "TearFree"    "true"
+EndSection
+EOF
+        ;;
+    esac
+    ;;
+  noble)
+    pi xinit
     ;;
 esac
 
     ;;
 esac
 
@@ -1010,6 +947,32 @@ case $distro in
     esac
     ;;
   ubuntu)
     esac
     ;;
   ubuntu)
+    case $codename in
+      noble)
+        if pcheck ubuntu-system-adjustments; then
+          # mint firefox has a dependency which is totally not really
+          # needed, just some mint branding and maybe a random firefox
+          # setting.
+          tmpdir="$(mktemp -d)"
+          # it puts the deb in .., so use a subdir to stay contained
+          mkdir $tmpdir/sub
+          cd "$tmpdir/sub"
+          # edited from output of equivs-control ubuntu-system-adjustments
+          cat >ubuntu-system-adjustments <<'EOF'
+Section: misc
+Priority: optional
+Version: 2030
+Standards-Version: 3.9.2
+Package: ubuntu-system-adjustments
+Description: ubuntu-system-adjustments-dummy
+EOF
+          equivs-build ubuntu-system-adjustments
+          sudo dpkg -i ../ubuntu-system-adjustments_2030_all.deb
+          cd
+          rm -r "$tmpdir"
+        fi
+        ;;
+    esac
     pi firefox
     ;;
   debian)
     pi firefox
     ;;
   debian)
@@ -1049,6 +1012,19 @@ case $codename_compat in
 esac
 
 
 esac
 
 
+case $codename_compat in
+  aramo|buster)
+    # https://wiki.archlinux.org/title/bluetooth
+    pi pavucontrol paprefs pulseaudio-module-bluetooth pulsemixer
+    ;;
+  noble|bookworm)
+    pi pipewire-audio
+    # having pipewire installed prevents the recommends in these from installing pulse
+    pi pulsemixer pavucontrol
+    ;;
+esac
+
+
 # TODO: some of the X programs can be removed from pall when using wayland
 
 # depends gcc is a way to install suggests. this is apparently the only
 # TODO: some of the X programs can be removed from pall when using wayland
 
 # depends gcc is a way to install suggests. this is apparently the only
@@ -1062,19 +1038,21 @@ pi ${pall[@]} $(apt-cache search ruby[.0-9]+-doc| awk '{print $1}') $($src/distr
 # I dont want that.
 pi-nostart schroot
 
 # I dont want that.
 pi-nostart schroot
 
+## note: this bug doesn't exist in t12+
 # fix systemd unit failure. i dont know of any actual impact
 # other than systemd showing in degraded state. So, we dont bother
 # fixing the current state, let it fix on the next reboot.
 # https://gitlab.com/cjwatson/binfmt-support/-/commit/54f0e1af8a
 # fix systemd unit failure. i dont know of any actual impact
 # other than systemd showing in degraded state. So, we dont bother
 # fixing the current state, let it fix on the next reboot.
 # https://gitlab.com/cjwatson/binfmt-support/-/commit/54f0e1af8a
-tmp=$(systemctl cat binfmt-support.service | grep ^After=)
-if [[ $tmp != *systemd-binfmt.service* ]]; then
-  s u /etc/systemd/system/binfmt-support.service.d/override.conf <<EOF
+if pcheck binfmt-support; then
+  tmp=$(systemctl cat binfmt-support.service | grep ^After=)
+  if [[ $tmp != *systemd-binfmt.service* ]]; then
+    s u /etc/systemd/system/binfmt-support.service.d/override.conf <<EOF
 [Unit]
 $tmp systemd-binfmt.service
 EOF
 [Unit]
 $tmp systemd-binfmt.service
 EOF
+  fi
 fi
 
 fi
 
-
 # commented, not worth the hassle i think.
 #seru enable psd
 #seru start psd
 # commented, not worth the hassle i think.
 #seru enable psd
 #seru start psd
@@ -1398,7 +1376,8 @@ fi
 # it asks if it should make users in it's group capture packets without root,
 # which is arguably more secure than running wireshark as root. default is no,
 # which is what i prefer, since I plan to use tcpdump to input to wireshark.
 # it asks if it should make users in it's group capture packets without root,
 # which is arguably more secure than running wireshark as root. default is no,
 # which is what i prefer, since I plan to use tcpdump to input to wireshark.
-s DEBIAN_FRONTEND=noninteractive pi wireshark-gtk
+# note: t10 called this wireshark-gtk, i don't care about t10 anymore.
+s DEBIAN_FRONTEND=noninteractive pi wireshark
 
 # /run and /dev/shm are listed as required for pulseaudio. All 4 in the group
 # listed in the default config as suggested.
 
 # /run and /dev/shm are listed as required for pulseaudio. All 4 in the group
 # listed in the default config as suggested.
@@ -1444,32 +1423,8 @@ sgo schrootupdate.timer
 # for my roommate
 case $distro in
   trisquel)
 # for my roommate
 case $distro in
   trisquel)
-    m mkschroot -s /a/bin/fai/fai/config/files/etc/apt/sources.list.d/bullseye.list/BULLSEYE_FREE \
-      debian bullseye firefox-esr pulseaudio chromium anki
-    case $(debian-codename) in
-      etiona|nabia)
-        # we have a lot of t8 stuff, useful to have
-        m mkschroot -s /a/bin/fai/fai/config/files/etc/apt/sources.list.d/flidas.list/FLIDAS \
-          trisquel flidas
-        tu /nocow/schroot/flidas/etc/sudoers <<EOF
-$USER  ALL=(ALL)  NOPASSWD: ALL
-Defaults  env_keep += SUDOD
-Defaults always_set_home
-Defaults !umask
-EOF
-        sd /nocow/schroot/flidas//etc/locale.gen <<'EOF'
-en_US.UTF-8 UTF-8
-EOF
-        s schroot -c flidas locale-gen
-        s schroot -c flidas update-locale LANG=en_US.UTF-8
-
-        m mkschroot -s /a/bin/fai/fai/config/files/etc/apt/sources.list.d/testing.list/TESTING_NONFREE debian unstable debootstrap
-        sudo cp -a /nocow/schroot/unstable/usr/share/debootstrap/scripts/* /usr/share/debootstrap/scripts
-
-        m mkschroot -s /a/bin/fai/fai/config/files/etc/apt/sources.list.d/impish.list/IMPISH ubuntu impish
-
-        ;;
-    esac
+    m mkschroot -s /a/bin/fai/fai/config/files/etc/apt/sources.list.d/bookworm.list/BOOKWORM_FREE \
+      debian bookworm firefox-esr pulseaudio chromium
     ;;
   debian)
     pi chromium
     ;;
   debian)
     pi chromium
@@ -1704,7 +1659,8 @@ m /a/bin/buildscripts/go
 # only needed for rg. cargo takes up 11 gigs, filled up the disk on je.
 m /a/bin/buildscripts/rust
 m /a/bin/buildscripts/misc
 # only needed for rg. cargo takes up 11 gigs, filled up the disk on je.
 m /a/bin/buildscripts/rust
 m /a/bin/buildscripts/misc
-m /a/bin/buildscripts/pithosfly
+
+#m /a/bin/buildscripts/pithosfly
 #m /a/bin/buildscripts/alacritty
 #m /a/bin/buildscripts/kitty
 
 #m /a/bin/buildscripts/alacritty
 #m /a/bin/buildscripts/kitty
 
@@ -1720,19 +1676,6 @@ for x in iank user2; do s usermod -a -G libvirt,kvm,libvirt-qemu $x; done
 
 
 pi --no-install-recommends kdeconnect
 
 
 pi --no-install-recommends kdeconnect
-### kdeconnect for gnome. started in /a/bin/distro-setup/desktop-20-autostart.sh
-### but gnome + xmonad not working in flidas, so i disabled it
-# pi libgtk-3-dev python3-requests-oauthlib valac cmake python-nautilus libappindicator3-dev
-# cd /a/opt/indicator-kdeconnect
-# mkdir -p build
-# cd build
-# cmake .. -DCMAKE_INSTALL_PREFIX=/usr
-# make
-# sudo make install
-# # we can start it manually with /usr/lib/x86_64-linux-gnu/libexec/kdeconnectd
-# # it seems, according to
-# # /etc/xdg/autostart/kdeconnectd.desktop
-# # I'm not seeing the icon, but the clipboard replication is working
 
 
 ### begin model 01 arduino support ###
 
 
 ### begin model 01 arduino support ###
@@ -1801,9 +1744,15 @@ DEVICESCAN -a -o on -S on -n standby,q $sched \
 ########### misc stuff
 
 
 ########### misc stuff
 
 
-xdg-settings set default-web-browser abrowser.desktop
 # see current with:
 # xdg-settings get default-web-browser
 # see current with:
 # xdg-settings get default-web-browser
+# not sure this is needed. will add other distros if necessary
+case $distro in
+  trisquel)
+    xdg-settings set default-web-browser abrowser.desktop
+    ;;
+esac
+
 
 # pressing tab after sdf here:
 # scp sdfbash: set +o noglob: command not found
 
 # pressing tab after sdf here:
 # scp sdfbash: set +o noglob: command not found
@@ -1813,12 +1762,27 @@ sudo sed -ri 's/([[:space:]]*)(\$reset)$/\1set +o noglob #$reset/' /usr/share/ba
 rm -fv /home/iank/.mpv/watch_later
 rm -rf /home/iank/.mpv
 
 rm -fv /home/iank/.mpv/watch_later
 rm -rf /home/iank/.mpv
 
-if [[ ! -e ~/.local/bin/pip ]]; then
-  tmp=$(mktemp)
-  wget -O$tmp https://bootstrap.pypa.io/get-pip.py
-  python3 $tmp --user
-  hash -r
-fi
+# apparently pip is deprecated in debian. try venv or pipx.
+## begin u24 message upon pip install
+# If you wish to install a non-Debian-packaged Python package,
+# create a virtual environment using python3 -m venv path/to/venv.
+# Then use path/to/venv/bin/python and path/to/venv/bin/pip. Make
+# sure you have python3-full installed.
+
+# If you wish to install a non-Debian packaged Python application,
+# it may be easiest to use pipx install xyz, which will manage a
+# virtual environment for you. Make sure you have pipx installed.
+
+# See /usr/share/doc/python3.12/README.venv for more information.
+## end
+
+# if [[ ! -e ~/.local/bin/pip ]]; then
+#   tmp=$(mktemp)
+#   wget -O$tmp https://bootstrap.pypa.io/get-pip.py
+#   python3 $tmp --user
+#   hash -r
+# fi
+
 
 ## begin beets
 # soo, apt install beets fails due to wanting a pip package,
 
 ## begin beets
 # soo, apt install beets fails due to wanting a pip package,
@@ -1838,24 +1802,28 @@ fi
 # as of 2023-02, the tox dependency was removed in debian unstable, so
 # this hack will probably go away in t12.
 
 # as of 2023-02, the tox dependency was removed in debian unstable, so
 # this hack will probably go away in t12.
 
-if pcheck beets; then
-  tmpdir="$(mktemp -d)"
-  cd "$tmpdir"
-  # edited from output of equivs-control tox
-  cat >tox <<'EOF'
+case $(debian-codename) in
+  aramo)
+    if pcheck tox; then
+      tmpdir="$(mktemp -d)"
+      cd "$tmpdir"
+      # edited from output of equivs-control tox
+      cat >tox <<'EOF'
 Section: python
 Priority: optional
 Standards-Version: 3.9.2
 Package: tox
 Description: tox-dummy
 EOF
 Section: python
 Priority: optional
 Standards-Version: 3.9.2
 Package: tox
 Description: tox-dummy
 EOF
-  equivs-build tox
-  sudo dpkg -i tox_1.0_all.deb
-  rm -rf ./tox*
-  pi beets python3-discogs-client
-  cd
-  rm -r "$tmpdir"
-fi
+      equivs-build tox
+      sudo dpkg -i tox_1.0_all.deb
+      rm -rf ./tox*
+      pi beets
+      cd
+      rm -r "$tmpdir"
+    fi
+    ;;
+esac
 
 # get rid of annoying message
 s sed -ri "s/^([[:space:]]*ui.print_\('Playing)/#\1/" /usr/share/beets/beetsplug/play.py
 
 # get rid of annoying message
 s sed -ri "s/^([[:space:]]*ui.print_\('Playing)/#\1/" /usr/share/beets/beetsplug/play.py
@@ -1980,9 +1948,10 @@ case $HOSTNAME in
     # Font awesome is needed for the alertmanager ui.
     pi prometheus-alertmanager prometheus fonts-font-awesome
     /c/roles/prom/files/simple/usr/local/bin/fsf-install-prometheus
     # Font awesome is needed for the alertmanager ui.
     pi prometheus-alertmanager prometheus fonts-font-awesome
     /c/roles/prom/files/simple/usr/local/bin/fsf-install-prometheus
+
     # make it available for other machines
     rsync -a /usr/local/bin/amtool /a/opt/bin
     # make it available for other machines
     rsync -a /usr/local/bin/amtool /a/opt/bin
-    web-conf -p 9091 -f 9090 - apache2 i.b8.nz <<'EOF'
+    web-conf -p 9091 -f 9090 - apache2 b8.nz <<'EOF'
 <Location "/">
 AuthType Basic
 AuthName "basic_auth"
 <Location "/">
 AuthType Basic
 AuthName "basic_auth"
@@ -1993,7 +1962,7 @@ Require valid-user
 </Location>
 EOF
 
 </Location>
 EOF
 
-    web-conf -p 9094 -f 9093 - apache2 i.b8.nz <<'EOF'
+    web-conf -p 9094 -f 9093 - apache2 b8.nz <<'EOF'
 <Location "/">
 AuthType Basic
 AuthName "basic_auth"
 <Location "/">
 AuthType Basic
 AuthName "basic_auth"
@@ -2029,10 +1998,9 @@ EOF
     ;;
 esac
 
     ;;
 esac
 
-# cleanup old files. 2023-02
-x=(/var/lib/prometheus/node-exporter/*.premerge)
-if [[ -e ${x[0]} ]]; then
-  s rm /var/lib/prometheus/node-exporter/*
+# user specific file isn't installed until the user exists
+if [[ ! -e /etc/prometheus/ssl/prom_node_key.pem ]]; then
+  conflink
 fi
 
 
 fi
 
 
@@ -2043,10 +2011,11 @@ case $HOSTNAME in
   # listen on the wireguard interface
 
   *)
   # listen on the wireguard interface
 
   *)
-    wgip=$(command sudo sed -rn 's,^ *Address *= *([^/]+).*,\1,p' /etc/wireguard/wghole.conf)
-    # old filename. remove once all hosts are updated.
-    s rm -fv /etc/apache2/sites-enabled/${HOSTNAME}wg.b8.nz.conf
-    web-conf -i -a $wgip -p 9101 -f 9100 - apache2 ${HOSTNAME}wg.b8.nz <<'EOF'
+    if [[ -e /etc/wireguard/wghole.conf ]]; then
+      wgip=$(command sudo sed -rn 's,^ *Address *= *([^/]+).*,\1,p' /etc/wireguard/wghole.conf)
+      # old filename. remove once all hosts are updated.
+      s rm -fv /etc/apache2/sites-enabled/${HOSTNAME}wg.b8.nz.conf
+      s bash -x web-conf -i -a $wgip -p 9101 -f 9100 - apache2 ${HOSTNAME}wg.b8.nz <<'EOF'
 <Location "/">
 AuthType Basic
 AuthName "basic_auth"
 <Location "/">
 AuthType Basic
 AuthName "basic_auth"
@@ -2056,14 +2025,14 @@ AuthUserFile "/etc/prometheus-export-htpasswd"
 Require valid-user
 </Location>
 EOF
 Require valid-user
 </Location>
 EOF
-    # For work, i think we will just use the firewall for hosts in the main data center, and
-    # vpn for hosts outside it.
+      # For work, i think we will just use the firewall for hosts in the main data center, and
+      # vpn for hosts outside it.
 
 
-    # TODO: figure out how to detect the ping failure and try again.
+      # TODO: figure out how to detect the ping failure and try again.
 
 
-    # Binding to the wg interface, it might go down, so always restart, and wait for it on boot.
-    s mkdir /etc/systemd/system/apache2.service.d
-    sd /etc/systemd/system/apache2.service.d/restart.conf <<EOF
+      # Binding to the wg interface, it might go down, so always restart, and wait for it on boot.
+      s mkdir /etc/systemd/system/apache2.service.d
+      sd /etc/systemd/system/apache2.service.d/restart.conf <<EOF
 [Unit]
 After=wg-quick@wghole.service
 StartLimitIntervalSec=0
 [Unit]
 After=wg-quick@wghole.service
 StartLimitIntervalSec=0
@@ -2073,130 +2042,74 @@ Restart=always
 RestartSec=30
 EOF
 
 RestartSec=30
 EOF
 
+    fi
     ;;
 esac
 
 ### end prometheus ###
 
     ;;
 esac
 
 ### end prometheus ###
 
-### begin nagios ###
-
-pi nagios-nrpe-server
-
-case $HOSTNAME in
-  kd)
-    # the backport is for this bug: https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=800345
-    pi nagios4 nagios-nrpe-plugin monitoring-plugins-basic/bullseye-backports
-    s rm -fv /etc/apache2/conf-enabled/nagios4-cgi.conf
-
-    # to add a password for admin:
-    # htdigest /etc/nagios4/htdigest.users Nagios4 iank
-    # now using the same pass as prometheus
-
-    # nagstamon auth settings, set to digest instead of basic.
-
-    web-conf -p 3005 - apache2 i.b8.nz <<'EOF'
-# adapted from /etc/apache2/conf-enabled/nagios4-cgi.conf
-
-ScriptAlias /cgi-bin/nagios4 /usr/lib/cgi-bin/nagios4
-ScriptAlias /nagios4/cgi-bin /usr/lib/cgi-bin/nagios4
-
-# Where the stylesheets (config files) reside
-Alias /nagios4/stylesheets /etc/nagios4/stylesheets
-
-# Where the HTML pages live
-Alias /nagios4 /usr/share/nagios4/htdocs
-
-<DirectoryMatch (/usr/share/nagios4/htdocs|/usr/lib/cgi-bin/nagios4|/etc/nagios4/stylesheets)>
-    Options FollowSymLinks
-    DirectoryIndex index.php index.html
-    AllowOverride AuthConfig
-    #
-    # The default Debian nagios4 install sets use_authentication=0 in
-    # /etc/nagios4/cgi.cfg, which turns off nagos's internal authentication.
-    # This is insecure.  As a compromise this default apache2 configuration
-    # only allows private IP addresses access.
-    #
-    # The <Files>...</Files> below shows how you can secure the nagios4
-    # web site so anybody can view it, but only authenticated users can issue
-    # commands (such as silence notifications).  To do that replace the
-    # "Require all granted" with "Require valid-user", and use htdigest
-    # program from the apache2-utils package to add users to
-    # /etc/nagios4/htdigest.users.
-    #
-    # A step up is to insist all users validate themselves by moving
-    # the stanza's in the <Files>..<Files> into the <DirectoryMatch>.
-    # Then by setting use_authentication=1 in /etc/nagios4/cgi.cfg you
-    # can configure which people get to see a particular service from
-    # within the nagios configuration.
-    #
-       AuthDigestDomain "Nagios4"
-       AuthDigestProvider file
-       AuthUserFile    "/etc/nagios4-htdigest.users"
-       AuthGroupFile   "/etc/group"
-       AuthName        "Nagios4"
-       AuthType        Digest
-       Require valid-user
-</DirectoryMatch>
-
-<Directory /usr/share/nagios4/htdocs>
-    Options    +ExecCGI
-</Directory>
-EOF
-    ;;
-esac
-
-# when you alter a service through the web, it changes vars in /var/lib/nagios4/status.dat. for example:
-# notifications_enabled=1
-# note, the same variable exists in the correspdonding "define service {"
-
-# in the default config, we have these definitions
-
-# 11 define command {
-#  2 define contact {
-#  1 define contactgroup {
-#  9 define host {
-#  4 define hostgroup {
-# 23 define service {
-#  5 define timeperiod {
-
-
-# on klaxon
-
-# klaxon:/etc/nagios3 # grep -rho '^ *define [^{ ]*' | sort | uniq -c
-#      76 define command
-#      11 define contact
-#       6 define contactgroup
-#     162 define host
-#       1 define hostextinfo
-#      16 define hostgroup
-#    3040 define service
-#       2 define servicedependency
-#       6 define timeperiod
-
-
-
+# disabled
+# ### begin bitcoin ###
+
+# case $HOSTNAME in
+#   sy|kd|so)
+#     sudo install -m 0755 -o root -g root -t /usr/bin /a/opt/bitcoin-27.0/bin/*
+#     # Note: i leave it to system-status to start and stop bitcoin.
+#     # note: the bitcoin user & group are setup in fai
+#     sudo usermod -a -G bitcoin iank
+#     # todo: make bitcoin have a stable uid/gid
+#     sudo mkdir -p /var/lib/bitcoind
+#     sudo chown bitcoin:bitcoin /var/lib/bitcoind
+#     # 710 comes from the upstream bitcoin unit file
+#     sudo chmod 710 /var/lib/bitcoind
+#     # note, there exists
+#     # /a/bin/ds/disabled/bitcoin
+#     ;;
+# esac
 
 
-### end nagios ###
+# ### end bitcoin
 
 
-### begin bitcoin ###
+### begin live streaming ###
 
 
-case $HOSTNAME in
-  sy|kd)
-    sudo install -m 0755 -o root -g root -t /usr/bin /a/opt/bitcoin-26.0/bin/*
-    # Note: i leave it to system-status to start and stop bitcoin.
-    # note: the bitcoin user & group are setup in fai
-    sudo usermod -a -G bitcoin iank
-    # todo: make bitcoin have a stable uid/gid
-    sudo mkdir -p /var/lib/bitcoind
-    sudo chown bitcoin:bitcoin /var/lib/bitcoind
-    # 710 comes from the upstream bitcoin unit file
-    sudo chmod 710 /var/lib/bitcoind
-    # note, there exists
-    # /a/bin/ds/disabled/bitcoin
-    ;;
-esac
+# comparing nginx rtmp to icecast
+# `mpv --cache=no` had about 2.5 sec latency vs 4 seconds.
+# Then I discovered this command which had about .5 sec latency:
+#ffplay -f live_flv -fast -x 1280 -y 720 -fflags nobuffer -flags low_delay -strict experimental -vf "setpts=N/60/TB" -af "asetpts=N/60/TB" -noframedrop -i rtmp://url_here
+## a lot of those args arent needed, here is what I ended up with:
+# #ffplay -f live_flv -fflags nobuffer -flags low_delay -i rtmp://localhost/live
+#
+# A problem with rtmp is that it doesn't support vp8/vp9, requiring the partly patent encumbered h264.
+# Looking at alternative protocols: dash & hls are both high latency, I tested dash with the nginx-rtmp
+# module and got about 5 seconds of latency, web results imply that is normal.
+#
+# Webrtc is what jitsi & bbb use, but an annoying thing is that
+# generally requires a web browser with javascript, or some special
+# client, and afaik, it has a smaller limit on number of clients.
+#
+# Another option is to try rtp/rtsp, there are some servers here:
+# https://en.wikipedia.org/wiki/Real-Time_Streaming_Protocol
+
+
+## reference for setting up rtmp
+# pi nginx libnginx-mod-rtmp
+# cat >/etc/nginx/modules-enabled/rtmp.conf <<'EOF'
+## based on https://opensource.com/article/19/1/basic-live-video-streaming-server#comments
+## and https://github.com/arut/nginx-rtmp-module/wiki/Directives
+
+# rtmp {
+#     allow publish 127.0.0.1;
+#     deny publish all;
+#     server {
+#         listen 1935;
+#         application live {
+#             live on;
+#             record off;
+#         }
+#     }
+# }
+# EOF
 
 
-### end bitcoin
+### end live streaming ###
 
 ### begin gh ####
 
 
 ### begin gh ####
 
@@ -2219,6 +2132,7 @@ curl -fsSL https://cli.github.com/packages/githubcli-archive-keyring.gpg | sudo
 
 ### end gh ####
 
 
 ### end gh ####
 
+
 # remove trisquel banner. it is cool but takes up too much space.
 sudo rm -f /etc/update-motd.d/01-banner
 
 # remove trisquel banner. it is cool but takes up too much space.
 sudo rm -f /etc/update-motd.d/01-banner
 
@@ -2268,6 +2182,13 @@ m /a/bin/buildscripts/tor-browser
 s ln -sf /a/opt/tor-browser/Browser/start-tor-browser /usr/local/bin
 
 
 s ln -sf /a/opt/tor-browser/Browser/start-tor-browser /usr/local/bin
 
 
+case $HOSTNAME in
+  kd)
+    web-conf -p 4500 -f 4533 -e ian@iankelling.org apache2 b8.nz
+    sgo navidrome
+    ;;
+esac
+
 # nfs server
 pi-nostart nfs-kernel-server
 
 # nfs server
 pi-nostart nfs-kernel-server
 
@@ -2301,6 +2222,27 @@ EOF
   sudo exportfs -rav
 fi
 
   sudo exportfs -rav
 fi
 
+# very temporary fix.
+# should be gone in a few days
+# https://bugs.launchpad.net/ubuntu/+source/fail2ban/+bug/2055114
+case $codename_compat in
+  noble)
+    if [[ ! -e ~/fail2ban_1.1.0-1_all.deb ]]; then
+      cd
+      wget https://launchpad.net/ubuntu/+source/fail2ban/1.1.0-1/+build/28291332/+files/fail2ban_1.1.0-1_all.deb
+      sudo dpkg -i fail2ban_1.1.0-1_all.deb
+    fi
+    ;;
+esac
+
+case $codename_compat in
+  noble)
+    # this fails on startup. i don't use resolvconf, so it is totally pointless.
+    soff unbound-resolvconf.service
+    ;;
+esac
+
+host-info-update
 
 # if I was going to create a persistent vm, i might do it like this:
 # variant=something  # from: virt-install --os-variant list
 
 # if I was going to create a persistent vm, i might do it like this:
 # variant=something  # from: virt-install --os-variant list