В системном менеджере systemd выявлена уязвимость (CVE-2020-1712), которая потенциально позволяет добиться выполнения своего кода с повышенными привилегиями через отправку специально оформленного по шине DBus. Проблема устранена в тестовом выпуске systemd 245-rc1 (решающие проблему патчи: 1, 2, 3) Проблема устранена в дистрибутивах Ubuntu, Fedora, RHEL (проявляется в RHEL 8, но не затрагивает RHEL 7), CentOS и SUSE/openSUSE, но остаётся неисправленной в (Debian и Arch Linux)...Подробнее: https://www.opennet.ru/opennews/art.shtml?num=52340
Как это в Ubuntu, который "паразитирует нв Debian" уже исправлено, а в самом Debian еще нет? Не говоря уже про передовой bleeding edge Arch Linux?
Так CVE то спаразитировал, а исправлять дебианцы просто не спешат
Продолжай бета-тесты в убунту.
Я подожду когда косяки соберут и в дебу передатут.
а пока с local root посидишь, да? Все равно твой васян-хост никому в целом мире не нужен, все правильно.
не верю я в какую-либо надежность шаринга ресурсов одной машиныугроза исходит отовсюду, начиная с таких вот дыр, и заканчивая дырами в VM, в том числе hardware, или какой-нибудь row hammer
по этой же причине считаю, что VPS и облака используются на свой страх и риск
но там и так есть некое делегирование доступа специалистам DC
т.е. как бы параноидальность защиты изначально отсутствуетAMD Epyc призван устранить это, но в нем тоже были баги, на 36C3 был материал
так что не рутовый пользователь мне напоминает защиту в виде дырявого презерватива
в лучшем случае это имеет смысл если не SSH а десктоп (чтобы в повседневной работе не тупануть)
если же это сервер и SSH, то можно спокойно юзать рут, отключив аутенфикацию по паролюесли кто считает иначе - обоснуйте
> в лучшем случае это имеет смысл если не SSH а десктоп (чтобы в повседневной работе не тупануть)А на сервере, по-вашему, тупануть невозможно?
>> в лучшем случае это имеет смысл если не SSH а десктоп (чтобы в повседневной работе не тупануть)
> А на сервере, по-вашему, тупануть невозможно?в консоли?
так кто мешает тупануть в sudo тогда точно также?
нет уж сконцентрируйтесь, это вам не десктопная погремушка
> если кто считает иначе - обоснуйтеДля пробоя дырки нужно несколько разных условий.
Чем больше было сделано настроек для защиты, тем меньше вероятность одновременного наличия условий для пробоя.
Пример: запуск ПО под ограниченной учёткой может сложиться с отсутсвием небходимого доступа, хотя и есть дыра и есть остальные условия.
Смены номеров портов, xinetd и т.д. и т.п. уменьшают __вероятность__ пробоя и тогда везёт чаще.
>> если кто считает иначе - обоснуйте
> Для пробоя дырки нужно несколько разных условий.
> Чем больше было сделано настроек для защиты, тем меньше вероятность одновременного наличия
> условий для пробоя.
> Пример: запуск ПО под ограниченной учёткой может сложиться с отсутсвием небходимого доступа,
> хотя и есть дыра и есть остальные условия.
> Смены номеров портов, xinetd и т.д. и т.п. уменьшают __вероятность__ пробоя и
> тогда везёт чаще.selinux настраиваете? или дисейблите? ))
я вот настраиваю, хоть это и геморойноа в чем суть защиты "не из под рута"? безопасности это не добавляет..
администрирвоание будет все равно из под рута
так накой туда ходить не от рута?я вижу только два сценария:
1) руки кривые могут в консоль не то вставить
ну так и в sudo можно прописать дичь.. короче не аргумент
кривые руки через sudo не лечаться2) GUI, и тогда логично что там сидеть лучше не из под рута.. но накой сидеть на серваке в гуи и в браузере ковыряться - это скорее исключение из правил, уж безопасности точно не добавляет
ходить из под другого юзера на SSH по паролю и потом вбивать пароль рута или sudo - затея бессмысленная, и аналогичная тому мультфильму Золотые Ворота
посмотрите на досуге ))
Так ты ж перепутал, это когда было. Уже более 10 лет Дебиан паразитирует на Убунту, поэтому они все вместе являются выбором ламеров.
все правильные знают что Debian в первую очередб паразитирует на systemd компании IBM
> Так ты ж перепутал, это когда было. Уже более 10 лет Дебиан
> паразитирует на Убунту, поэтому они все вместе являются выбором ламеров.Все верно! Нормальные линухоиды используют только настоящий, сертифицированный UNIX™ из списка https://www.opengroup.org/openbrand/register/ (в котором нет никаких БЗДей!)!. И пишут сюда прямо из такой системы - настоящего UNIX©
>в котором нет никаких БЗДейЗато там есть гну/линукс. Хм.
>>в котором нет никаких БЗДей
> Зато там есть гну/линукс. Хм.Хз чем думают минусаторы, но он там и правда есть.
>>>в котором нет никаких БЗДей
>> Зато там есть гну/линукс. Хм.Но пишут линухоиды сюда из под другого UNIX© этого списка (того самого, из под которого год линуха на десктопе объявляют).
> Хз чем думают минусаторы, но он там и правда есть.
Хз чем читал ты, когда отвечал на
>> Нормальные линухоиды используют только настоящий, сертифицированный UNIX™ из списка
Там очевидно был намёк на геос, а не на линукс.
systemd это шапка, при чём здесь Дебиан.
У вас в слове "Девуан" ошибка.
Два дивана этому анониму. И рояль еще сверху. Концертный.
а не нужно было systemd и gnome3 принимать
> Как это в Ubuntu, который "паразитирует нв Debian" уже исправлено, а в самом Debian еще нет? Не говоря уже про передовой bleeding edge Arch Linux?Очень просто. Есть некоммерческие организации и коммерческие. Коммерческие сразу отправят сотрудников порыть решение проблемы и выкатят патч. Некоммерческие выкатят патч, как только у мейнтейнера будет свободное время. А оно у него будет только вечером, ведь днём на работе он выкатывает патч для коммерческой организации, которая платит ему зарплату. =)
аудит, аудит ты где?
аудит гигабайта лапши с сотней нескучных ненужно-интерфейсов? (systemd-machineid, прекрасно. Очень нужная и полезная вещь, которую непременно надо встроить в ненужный сервис-менеджер)Успехов тебе, приятель. Можешь приступать прямо сейчас - только не забудь исходники обновить, они за этот час снова новые, пишущие их макаки не собираются останавливаться на достигнутом, их много, и они еще не закончили свой программистсткий ПТУ, поэтому у них дофига лишнего времени (пойдут работать - на их место придут новые гиперактивные идиоты).
Я читал и правил код systemd, на лапшу ну никак не похоже. Все интуитивно понятно в отличие от действительно лапши в, например, rpm5.
Но вот бекпортировать патчи в systemd - это вам не коммит без изменений наложить.
А зачем коммитить в единственно верный код от синей шляпы?
> А зачем коммитить в единственно верный код от синей шляпы?Т.е. вы предлагаете в дистрибутив собрать git-снапшот ради закрытия CVE?
Конкретно эта CVE бекпортировалась легко (https://abf.io/import/systemd/commit/5d5eb559310602125927dbd...), не потребовалось бекпортировать 10+ или 100+ коммитов, как в былые времена.А если речь про добавление функций или исправлений в апстрим, то он вполне адекватный в этом плане.
Я только не понял, зачем в Ubuntu при бекпортировании в systemd-242 сделали вот так:
--- a/src/libsystemd/libsystemd.sym
+++ b/src/libsystemd/libsystemd.sym
@@ -676,3 +676,8 @@ LIBSYSTEMD_241 {
global:
sd_bus_close_unref;
} LIBSYSTEMD_240;
+
+LIBSYSTEMD_245 {
+global:
+ sd_bus_enqeue_for_read;
+} LIBSYSTEMD_241;Зачем при бекпорте в 242 делать новую функцию sd_bus_enqeue_for_read() с версионированием libsystemd 245, не понял, добавил ее в LIBSYSTEMD_243 и черри-пикнул коммит, документирующий ее.
> Я только не понял, зачем в Ubuntu при бекпортировании в systemd-242 сделали
> <...>Может, чтобы выставлялось правильное версионирование символов в бинарники, собираемые с libsystemd и использующие эту функцию...
Так и есть.Собрал со своим бекпортом:
#include <systemd/sd-bus.h>
int main(){
sd_bus_enqueue_for_read(NULL, NULL);
}
(gcc -I/usr/include sd.c -lsystemd -o sd.bin)
В Ubuntu не запускается:
$ ./sd.bin
./sd.bin: symbol lookup error: ./sd.bin: undefined symbol: sd_bus_enqueue_for_read, version LIBSYSTEMD_243
потому что там этот символ в LIBSYSTEMD_245Видимо, правильнее всего его просто не экспортировать в публичный API, как это сделали в systemd-stable:
https://github.com/systemd/systemd-stable/commit/83bfc0d8dd0...
> zjs: patch modified to not make the function publicЭкспортировать символ LIBSYSTEMD_245 в systemd <245, как делают в Ubuntu, странно. Но вполне допустимо.
сколько ж совершенно ненужных знаний вам требуется для копирования _чужого_ исправления для совершенно ненужной программы...Ну ничего, ничего - зато не "проклятые баш-портянки".
> Ну ничего, ничего - зато не "проклятые баш-портянки".А вы уже написали init на bash? Чтобы для бекпортирования исправлений CVE вашего кода было достаточно поправить ваш красивый баш-код, не похожий на портянку? Или, может быть, вы написали init сразу на rust, чтоб в случае проблем потребовались нужные умения бекпортировать патчи в нужный LLVM [ https://bugzilla.redhat.com/show_bug.cgi?id=1797127 ] или иную прокладку под лучшим языком программирования?
нам уже тридцать лет назад написали init на С, и он совершенно не нуждается в переписывании - только это ж именно вы так весело вопили мантру что это "не инит, не инит, не инит, харе, харе, харе Лёня!"И уязвимость у вас, внезапно, в куске мусорного кода, который вообще ненужен.
Да, этот мусор можно было написать на bash, только он нам - без надобности, у нас уже одна винда есть.
А у вас традиционная для апологетов модного ненужно политика подмены понятий - когда речь о root exploit - подсовывать ссылку на то что компилятор модного языка не собирается в слишком модной сборке другого мусора, поскольку кто-то еще что-то обновил вперед паровоза. Было очень интересно об этом узнать (нет. Это проблемы федориных мартышек, сами себе придумали, сами решили, молодцы, никого кроме них не касается).
Если бы он был на баше ваще изи.
да ладно тебе, изи.Изи оно было бы лет двадцать назад. А сегодня - вот, баш. Х-ли толку?
https://www.opennet.ru/opennews/art.shtml?num=51190 - две недели на починку тривиальнейшей проблемы (порожденной косоруким cut&paste)
Очередная сишная дырень?
ты можешь приступать к переписыванию на хруст прямо сейчас.Уж в нем-то дыреней не будет, точно-точно.
P.S. Смуренбурговский /sbin/init написан на си. Попробуй, стань с его помощью рутом, мы поржем.
Уже без него приступили.
ага
https://www.redox-os.org/
а что-нибудь кроме эталонного ненужно вы предложить не можете?
Ну да. Так и думал.
Этот редукс походу всем нужен еще сильнее чем реактос и хайки всякие.
угу...жаль вменяемых альтернатив нет
Альтернативы, наверное, есть, но преодолеть инертность индустрии очень тяжело и дорого.
systemd прекрасно ее преодолел, и недорого - подобные тебе скудоумные толпами ринулись внедрять новое фуфло.Но у тебя - не получится, во-первых, ты не умеешь кодить...
>systemd прекрасно ее преодолел, и недорогоС помощью кучи бабла красношляпы. Так что недорого тут совсем не к месту
Как говаривал наш фюрер - "полезным идиотам" платить совершенно незачем.Красная шляпа не заплатила де6илам из де6иллиана ни гроша - что совершенно не помешало тем, под вой "у нас не хватает не хватает ресурсов", выгнать из проекта всех немодных противников всего нового и ароматного, а теперь еще и забить на патчи - ну а чего, выходные же ж.
А там разбираться надо - кто его в этом коде разберет-то? Писатели debian/rules ? Ой, не смешите меня.
> кто его в этом коде разберет-тоточно не тот, кто не пытался
> А там разбираться надо - кто его в этом коде разберет-то? Писатели debian/rules ? Ой, не смешите меня.Дебианщики таки патчат сие добро. В том числе и системд.
Американские индейцы тоже очень радовались когда поселенцы дарили им теплые одеяло и бусы. Только иммунитета от оспы, которыми были заражены те одеяла, у индейцев не было. Так и исчезли те индейцы. И живут на тех территориях те самые поселенцы, которые дарили одеяла всем неугодным. Вот ты точно такой же индеец.
Да, в аналогии ты не умеешь. Потому что надо чтобы не только красиво, но и логика. А по твоей логике, те, кто внедрили systemd сами её использовать не должны, ведь это ж страшшная зараза. И с теми, кто дистрибутивы с systemd использует, должно непременно что-то ужасное случиться через какое-то время. Разовьешь аналогию дальше, чтобы самому понять, какой феерический бред ты тут сморозил?
так одеяла-то белые люди сами и использовали - у них никакой продвинутой бактериологической науки, не говоря уже о ее военно-прикладном применении, не существовало.Вероятнее всего, и первую партию передали индейцам совершенно без задней мысли (да и не первую тоже), в обмен на что-нибудь тоже нужное - а до идеи, что их массовое издыхание как-то связано с одеялами - додумалась какая-то очень светлая голова, далеко не сразу. И возможно вообще не додумалась, а придумала совсем не светлая, лет на двестиписят позже.
> И с теми, кто дистрибутивы с systemd использует, должно непременно что-то ужасное случиться
ничего ужасного - ну не загружается сервер без ручного пинка, и не перезагружается нормально - подумаешь. Вы ж привычные.
Вот теперь local root, и надо придумывать как с минимальным ущербом вывести из нагрузки и поперезагружать то что в перезагрузке не нуждалось - опять пофигу.
Вот вот индейцы тоже так же оправдывали поселенцев, мол не знали бывает. Духи на них косо смотрят все дела. Зато смотри какие удобные одеяла и просто работают, теплые и настраивать ничего не нужно. Даже за Бизоном из-за шкуры гонятся не надо.Да и белые люди не на столько отсталые были, знали и про оспу и что надо делать с вещами больных. И что самое важное хотели как-нибудь прижать к ногтю этих несносных индейцу. Что собственно и сделали, ха больше того они продолжают исполнять такие же трюки даже в 21 веке.
> Вероятнее всего (...) лет на двестиписятДа, читывал как-то, что есть подозрения, что вся эта кулстори про зараженных индейцев - не то, чтобы 100% фейк, но масштабы преувеличены, а тем, кто тогда начал задумываться о применении "бактериологического оружия", просто "повезло" из-за эпидемии.
Ты еще походу и гуманитарий и в логику не умеешь. Одеяла больных оспой посеоенцы утилизировали. А индейцам лишь халява прилетела, зато удобная и просто работает, дальше им думать не нужно. Как собственно и тебе, вождю краснокожих.
Ты-то, очевидно, ниипаццо технарь с квадратно-гнездовой логикой. Ты аналогию развернул - где тут оспа? Где зловред, внедренный коварным врагом в ОС и, главное(!), в чём вред состоит, да ещё и с перспективой превращения ОС в тыкву, и в чём от того коварному врагу профит? Завязывал бы ты с ЛСД.
Системгшная.
Сложно сказать, не заглядывая в код. Неясно как они принимают решение о том, что кеш можно освободить, и что именно пошло не так. Они забыли увеличить ref_count? Если так, то да, классическая сишная ошибка. Или они обходятся без ref_count, пытаясь статически рассчитать время жизни объекта в кеше, и не учли какие-то особенности работы с dbus? Это уже не C-специфичная ошибка, такое можно накосячить где угодно, даже при сборке мусора можно.
> такое можно накосячить где угодноПрямо таки где угодно?)
>> такое можно накосячить где угодно
> Прямо таки где угодно?)Да, прямо-таки где угодно. Попробуй покешировать что-нибудь там, где тебе кажется невозможным накосячить с кешированием. В языках со сборкой мусора use-after-free вроде как невозможен, но кеширование часто подразумевает предварительное выделение памяти и многократное повторное её использование. И тут начинается, что кеш счёл объект устаревшим, и использовал его память повторно, но где-то сохранилась ссылка на этот объект, она стала невалидной, но код-то об этом не знает.
На эти грабли можно где угодно наступить.
> Это уже не C-специфичная ошибкаНу-ка, ну-ка, где у нас ещё use-after-free существует?
https://rustsec.org/advisories/RUSTSEC-2019-0016.html
https://snyk.io/vuln/SNYK-LINUX-RUSTLIBFLATE-460470
>> Это уже не C-специфичная ошибка
> Ну-ка, ну-ка, где у нас ещё use-after-free существует?Если ты начинаешь кешировать, то где угодно. Кеши они вообще такие, они подразумевают условное освобождение памяти, и тут очень легко накосячить с проверкой этих условий, особенно если ты отказываешься от динамического контроля за памятью, типа счётчиков ссылок. Совсем интересно получается, когда код прочистки кеша отделён от кода использующего этот кеш: если тебе вдруг приспичило освободить из кеша кусок памяти, как ты можешь убедиться, что на этот кусок памяти нигде не осталось ссылок? А поскольку кеш подчастую носит характеристики глобального объекта, и ссылки внутрь него есть в очень разном коде, то сложности становятся уже сильно неиллюзорными.
Более того - на си эта ошибка не является чем-то неотъемлимым. В смысле, это лишь 1 из вариантов использования си.
Тут дело ни разу не в сишке. Дело на самом деле в том, что это мало того, что ненужнод, так ещё и рeшeто.
Вот-вот дырку можно и на расте написать при желании.
not a bug
Зашёл за этим комментом.
Вонт фикс!
А вы другого ожидали от блоатварного комбайна?
То ли ещё будет...
Даже не знаю зачем это объявлять уязвимости, а не сразу называть фичами и включать найденные в чейнжлог следующей версии?
лишь бы не ставить runit
о, привет, брат по разуму. у меня тоже используется runit
для OpenBSD и FreeBSD патчи когда ждать??
Сразу после KDE 2.
Про openindiana забыли.
Вчера
Если внимательно посмотреть на https://access.redhat.com/security/cve/cve-2020-1712 и https://bugzilla.redhat.com/show_bug.cgi?id=CVE-2020-1712 , можно понять, что в RHEL 8 (и, следовательно, в CentOS 8) проблема пока ещё не починена. Ссылка https://lists.centos.org/pipermail/centos-announce/2020-Febr... якобы на «исправление для CentOS 7» на самом деле про другой случай use-after-free, который мог приводить к падению systemd при выполнении systemctl daemon-reload, что, конечно, тоже позор, но хотя бы не позволяет уронить систему с правами обычного пользователя.
> Systemd .... Polkit во время обработки DBus-сообщений...А есть еще бинарные дистры без этой дряни.
В Крукс нету.
https://getkiss.org/
У них на сайте есть гайд, как быть, если нужен софт, использующий glibc?Реальный кисс и юникс в мире линукс - слака и генту. И может быть LFS.
Почему LFS - может быть? LFS, как бы, самый KISS.
Лфс совсем не обязательно кис. Каким сделаешь, таким и будет. А процесс создания ну не разу не кис.
Да; в т.ч. и часть http://altlinux.org/starterkits
Дбус, полкит...Сколько дряни принёс с собой "фри"десктоп.
Раньше все было нормально на десктопе, это последние 10 лет в него все гадости пихают.
Что нормально? Дубас? Так в нём изначально нет ничего нормального. Чертов кадавр. Уже давно без него даже фаерфокс нормально не работает, о проделках красношапых гномосеков и говорить нечего, они все хотят эту омношину.
У меня Firefox нормально работает без Dbus. Он через DBus только прописывает себя, как браузер по умолчанию, и ничего больше
прибито гвоздями https://bugzilla.mozilla.org/show_bug.cgi?id=1579105
Для десктопа шина сообщений - штука нужная, позволяет сильно уменьшить связанность - всё, что хочет что-то просигналить (не важно, о вставленной флешке или отпавшем wifi) шлёт сообщение и зависит только от шины. Всё, что хочет о чём-то узнать - опять же зависит только от шины. Нормальная архитектура. Что там с реализацией именно D-Bus не то - можно обсудить, но не думаю, что оно такое уж страшное - чай, не CORBA.
Единая точка отказа.
Во-первых, нечему там отказывать, оно давно совершенно дубовое. Во-вторых куча такого софта, который можно назвать "едиными точками отказа", начиная с libc. Которая посложнее на порядок, ксати. И проблем особо не видно.
Мы в обсуждении новости о проблеме.
Перечитайте новость - проблема не в dbus.
Действительно: дбус можно поиметь с помощью специально оформленного сообщения. Совершенно нет тут никакой проблемы!И не забывай, дбус неотъемлемая часть системды.
только десктоп - штука ненужная, вот в чем дело. Особенно феерически - на серверных системах.Уже винда додумалась поставляться без десктопа - а вы все еще уже почти совсем окончательно но нет.
Если бы область проникновения системге и dbus'ов ограничивалась "десктопами" - на него всем было бы совершенно наплевать.
> Раньше все было нормально на десктопе, это последние 10 лет в него
> все гадости пихают.Все беды начались с systemd и pulseaudio. Например, hal с fam давно необходимо выкинуть было. Да и pulseaudio, если бы он был без косяков и багов (которые спустя 15 лет никуда не делись), в принципе необходим линуксу. По-моему, правда, в OSS (это то что было перед alsa), основные проблемы, решаемые сегодня pulseaudio, были уже решены.
Системда не причина, а следствие. Следствие деградации сообщества.
> Системда не причина, а следствие. Следствие деградации сообщества.Я думал, что причина -- это попытка добиться юзерфрендли и сделать ляликс ОСью для всех
>> Системда не причина, а следствие. Следствие деградации сообщества.
> Я думал, что причина -- это попытка добиться юзерфрендли и сделать ляликс
> ОСью для всехВ результате как был осю не для всех, так и остался, правда искалеченрый, зато с перламутровыми пуговицами.
Единая ось для сервера, десктопа и смартфона-- суть наркоманский бред. Ставший явью в нашей бредовой реальности.
ещё для консолей (см. виднус)
> Единая ось для сервера, десктопа и смартфона-- суть наркоманский бред.Чушь. Сервер, десктоп и смартфон отличаются преимущественно запускаемым ПО и особенностями наиболее предпочтительного юзер-интефейса. А в основе - ОС общего назначения, снабжаемая модулями в зависимости от круга поставленных задач. И да, для каких-то специфических задач могут понадобиться ОСи назначения более узкоспециального, типа той же QNX.
Ага. То то для ядра есть аж несколько планировщиков и горка оом-киллеров.
Оси общего назначения не нужны.
Ага. То-то и Windows не нужна, где киллер давно реализован и работает.
"Единая ось для всего" - это как раз можно. А вот "единый десктоп для домохозяйки и админа" - не особо. Но развитие за каким-то лешим пошло не туда - вместо "сделать хорошо для себя" стали пытаться "сделать хорошо для всех". Результат закономерен - для домохозяйки оно всё ещё сложное, для спеца - слишком много "магии" и мало контроля над системой, и всё это обильно посыпано пожиранием ресурсов. Хотя я не вижу ни одной причины почему нынешнее десктоп-окружение должен жрать на порядок больше того, что у меня было в 97-м году. Ну вдвое, с учётом выросшего разрешения и добавления пару-тройки новых виджетов (вайфай тот же) - я бы понял. Но эти ваши новые гномы и кде - не понимаю. Если что - это не о браузерах с офисами, там монструозность печальная, но понятная.
Вот ты выше написал про нужность системной шины на десктопе. А я считаю, что на сервере она не нужна, на десктопе же в таком случае должна быть частью/модулем ядра. Вот тебе и одна ось для всего.
Во-первых, в ядре ей делать нечего, во всяком случае, если мы не собираемся гонять через неё большие потоки данных - а мы не собираемся, она не для того, там максимум десятки событий в секунду, а обычно - меньше одного. Впрочем, модуль ядра дополнительный тебе совершенно никто подгружать не мешает, даже наделали костыле вроде dkms для этого.А во-вторых - нет никаких проблем грузить либу работы с шиной через dlopen и если не вышло - просто не слать/не принимать с соответствующим урезанием функциональности. Больше того - тот же systemd так умеет (хотя там масса всего реализована совершенно дико с целенаправленно сломанной обратной совместимостью).
А вообще - это у нас, кажется, спор об определениях. Если для меня ОС - это ядро плюс минимальная обвязка, в которую, по хорошему, даже init не обязательно входит, а для тебя - дистрибутив - то спор беспредметен.
А что, для демонов, CLI-приложений, да-да на сервере, не нужен Inter Process Communication?
welcome to systemV ipc. XX век.
Нет, xml'ная херня - не нужна. Совсем.
Нет. В виде недодемона совершенно не нужен.
> "единый десктоп для домохозяйки и админа"...вообще ерунда по сравнению с единой ОСью, потому что это уже уровень всего лишь дистрибутива - отличается набором предустановленного... хотя стоп, админ-то как раз себе при установке выберет всё ему нужное, а вот домохозяйке / дизайнеру / мультимедийщику можно и нужно предустановить. Собсно так и делается, к чему обсуждать уже двадцать лет как сложившуюся практику?
Выберет... если оно есть. И вопрос - сколько усилий потратит на настройку. Например, настроить тот же bluetooth, не используя DE-шные приблуды, почти нереально. Энтерпрайзный вайфай без NM - тоже. Банальная настройка отрисовки тем Gtk3 - без гнома нереальна, да и с ним там далеко не все маразмы (вроде линеек прокрутки) лечатся. И так далее. По итогу всё вроде решаемо (ещё оно было нерешаемо, при доступных-то исходниках), но возни масса.А вот что "новые" тулзы категорически не умеют - это нормально автоматизироваться. От того же NM (куда там ему до старых добрых скриптовых подходов) до браузеров, где для получения нормального контроля мне пришлось упозти на Pale Moon. В общем, плохо всё.
> настроить тот же bluetoothГм. А в энтерпрайзе используется bluetooth?!
Беспроводные клавы-мышки, наушники-микрофоны - не, не слышал?
Это если в организации у всех всё совершенно одинаковое. Да и то, обычно на этом экономят, беспроводные девайсы, в общем-то, роскошь, а не необходимые для работы сотрудников вещи - кто без этого ну прямо вот не может обойтись, просто покупает своё и приносит для себя.
>Раньше все было нормально на десктопе, это последние 10 лет в него все гадости пихают.D-Bus, если что, это IPC, Polkit позволяет разным пользователям получить доступ к звуку, портам и т.д.
Когда не было D-Bus, то в KDE 3 был свой IPC - DCOP, у GNOME что-то своё. Т.е., всё равно, IPC бы использовали, но каждый и дальше свой велосипед.
Шина это хорошо, но вот на десктопе в норме ни хрена нет "разных пользователей", параллельно запущенные сеансы - редкость. Не говоря о том, что можно вообще не париться, тупо всех закинуть в соответствующие группы - и оно будет прекрасно работать. Особенно учитывая, что в абсолютном большинстве случаев железки таки персональные.
Я запускаю пару сеансов KDE под разными пользователями. Помтнися, когда не было Polkit, первым пользователем зашёл - звук у него есть, вторым - у второго обломись.
а зачем вам два kde? Вы - извращенец?
>>Раньше все было нормально на десктопе, это последние 10 лет в него все гадости пихают.
> D-Bus, если что, это IPC, Polkit позволяет разным пользователям получить доступ к
> звуку, портам и т.д.
> Когда не было D-Bus, то в KDE 3 был свой IPC -
> DCOP, у GNOME что-то своё. Т.е., всё равно, IPC бы использовали,
> но каждый и дальше свой велосипед.И это было хорошо. Они не загаживали этим систему, не призывали портить нормальные программы (см. Tmux). Валялись себе в "фри"десктопной выгребной яме и никому не мешали.
По-моему вы немного путаете. Именно механизмов IPC в UNIX (и Linux) довольно много и уже довольно давно. Есть и SysV IPC (семафоры, разделяемая память, сообщения), есть POSIX IPC с аналогичным набором возможностей, но немного другой семантикой. Кроме этого есть сокеты - как INET, так и UNIX (так-же известные как LOCAL). Есть разнообразные каналы aka pipe-ы. Есть и сигналы на совсем-уж крайний случай.
а бекпортить на старые версии кто будет?
В 244 бекпортировали - выпустили 244. 244 - последний стабильный релиз. В другие версии в каждом дистрибутиве бекпортируют сами.
Local root, по сути, абсолютно на ровном месте. Им сто раз говорили, что будет подобное, если напихать в PID 1 кучу ненужного в нём, а зачастую и ненужного в принципе, функционала.
Но нет, они же самые умные. А все прочие - убогие ретрограды, не понимающие великого замысла. Ага.Ну вот, самое время насладиться великим замыслом и его прямыми результатами.
Это фича.
Вечно крутящийся курсор при загрузки любого приложения в стиле IE6, вот и все, что дал нам великий СистемГ, ну а уязвимости это как раз фича, всех winway программ.
Неправда! ТАКОГО позорища у нас со времен windowsXP не бывало.
(когда было несколько другое отношение к подобным проблемам в принципе)Кстати, и IE6 остался примерно в ней же, в ее ранних выпусках.
Может Вы и правы, после семи лет неиспользования винды, я был неприятно удивлён скоростью десятки, даже жалею, что снёс, ибо столько багов, особенно в Debian, обескураживают.
В 10-ке тоже хватает трэша. По работе иногда сталкиваюсь. За 7 лет это стала ОС другая для другого.
настоящая философия unix! делай маленькими кирпичиками маленькие вещи!
это ведь про systemd?
В системде всё наоборот, пытаются сделать глобальную вещь одним большим кирпичом.
Предваряя комментарий -Линукс, каким его видят олдфаги-фанаты и хейтеры инноваций:
https://lh5.googleusercontent.com/proxy/nmZFnjMTAWbFsFyimURP...
Линукс, каким он является на самом деле:
https://scontent-vie1-1.xx.fbcdn.net/v/t1.0-9/84451838_31824...
А теперь собственно комментарий -
Сколько бы плача и стона не стояло на форумах, развитие Линукса и внедрение стандартов будет проходить так, как это решают... ну точно не фанаты, которым либо лениво форкнуть что-то с того момента, как по их мнению это что-то пошло не туда, либо лениво даже просто взять и перейти на то, что для них уже кто-то сочувствующий заботливо форкнул (привет Devuan'у) - никто не будет прислушиваться к кваканию лягушек в болоте кроме самих лягушек. Мне интересно только одно - когда ж выть и стонать надоест? :-)
Вот, хорошие картинки. Мне этот бизнес гусь в .ер не тарахтел. А вой и стон в основном от бессилия так называемого сообщества.
Пока оно собирало пакетики и писало очередной плеер, рэдхат пилил системный софт и драйверы.
И не только пилил - и вам запрещал!
Ну сижу я не генте уже десять лет, и чё? Только больше зафриженных версий пакетов со временем. При чём, что характерно, к самим ядром проблем никаких - максимум - повыключал фичи, которые не нравятся. Зато от всяких гномеров сплошные беды.Проблема не в "бизнесах", а в том, что произошёл какой-то глупый разворот от людей, которые делали удобный инструмент для себя до непонятной размазни для никого. Конторы - они всегда были (правда, в начале это были конторы, торговавшие натуральным юниксом), но им была хорошая альтернатива, которая и побеждала. А сейчас - нет её.
> но им была хорошая альтернатива, которая и побеждалаВозможна цикличность. Были энтузиасты, у которых был а) нужный уровень профессионализма б) потребное количество свободного времени, подкрепленное хорошим счётом, позволяющим несколько лет не думать о булке с колбасой и оплате электричества с жилметрами. Потом эти персонажи постарели, частично отошли от дел, т.е. своего хобби, частично вернулись к пополнению выдохшегося счёта, т.е. к работе, ибо были в молодости по духу выше всего этого бизнеса, что закономерно плохо сказывается на кормлении в старости. А комьюнити нынешнее не пополняет ряды этих движущих движуху энтузиастов, потому что продукт уже на том уровне, когда поддерживается компаниями, которые не торгуют, как раньше, а _вкладываются в опенсорс_ и итоговая "размазня" (с точки зрения олдфага) вполне устраивает это комьюнити, потому что уже умеет вполне себе много гитик, да ещё и юзерфриндли стала - для большинства как раз тот самый удобный инструмент. Так что цикл завершится и начнется заново только тогда, когда появится что-то _новое_ по сравнению с Линуксом. И это будет, разумеется, не Хурд, потому что Хурд ладно что опоздал эпически, так ещё и велосипед страшный на костылях, склеенных соплями изначально. И уж тем более не какой-нибудь, прости Господи, Оберон. А вот что это будет - ХЗ. Раньше я думал, что мей би есть перспективы у "Фантома". Но что-то а) не слышно про них уже давно на фоне трэша и угара импортозамещения в виде аль^W аст^W гос^W тьфу, болгеноса торжествующего б) проект изначально коммерческий - т.е. даже если внезапно выстрелит, то только в роли "нового Юникса", который косвенно породит потом, лет через сто "новый Линукс".
> Зато от всяких гномеров сплошные беды
Если ты в состоянии поотключать ненужные тебе фичи в ядре, то уж точно в состоянии отключить и не использовать Гном или что там ещё тебе не по вкусу, не вижу проблемы вообще. Тем более раз ты гентушник, если чего-то у кого-то нету в репах и они могут жаловаться, то тебе-то компилировать из исходников то, что по вкусу - явно не привыкать, у вас это ж фича такая, не?
> Если ты в состоянии поотключать ненужные тебе фичи в ядреа ты попробуй отключить ненужные и опасные фичи в ведре - например, ipv6?
Внезапно, если речь не о личном полирванном ненужно, а о рабочей сети - ты узнаешь много нового и интересного, причем в каждом дистрибутиве - по-своему.И это, заметим, еще отключается только потому, что отлкючалки родом как раз из тех самых времен, когда люди делали - для себя.
А вот ненужноду выключить, сохранив привычный дистрибутив - уже никак. Потому что это продукт нового-молодежного поколения.
Цикл завершится и начнется снова не раньше войны с китаем или глобальной экологической катастрофы, помножащей на ноль всю современную копроэкономику.
В рамках текущих трендов взяться свободному времени и возможности играть в красивые игрушки у потенциальных разработчиков, к сожалению, не предвидится.
Их теперь принято сразу же увольнять, как только они перестают доиться. А Ритчи с Керниганом два года х...и на зарплату в Dec пинали. Это не повторится - дЭффективные об этом умеют позаботиться.
> а ты попробуй отключить ненужные и опасные фичи в ведре - например, ipv6?
> в каждом дистрибутиве - по-своемуТак вроде два способа - на Debian-производных через sysctl-конфиг, на RH-производных - вообще прямо в grub можно прописать отключение.
> А вот ненужноду выключить, сохранив привычный дистрибутив - уже никак.
Это где ж у тебя Node.js предустановлен, да ещё и без возможности purge/remove?
> Так вроде два способазначительно больше - и все - полумеры. Кроме редхатовского с командной строкой ядра (угу, угадайте что вызвало ее к жизни).
Проверяется ping6 ::1
У кого на самом деле запрещено - получает сообщение о несуществующем AF.ненужнод - это, пока, к счастью, еще не нодажс, но тоже ненужно. Избавиться, к сожалению, уже невозможно.
использую runit. брат жив.
#Notabug
> выполнения своего кода с повышенными привилегиями
> через отправку специально оформленного запроса
> по шине DBusЭто просто прекрасно.
> Если запрос к Polkit выполняется слишком долго
А это -- жабаскрипт на торте...
Что поделать, если сам торт от Семена Семеновича :(
>> по шине DBus
> Это просто прекрасно.
>> Если запрос к Polkit выполняется слишком долго
> А это -- жабаскрипт на торте...bullshit bingo, угу. Но, действительно, а что вы хотели-то от этой помойки.
Она ровно из него и состоит.
Блин, и как проверить, уязвим сервер или нет?)
systemctl --version
Прикольно :) проверил - уязвимости нет. Совсем нет.$ systemctl --version
systemctl: команда не найдена
>В системном менеджере systemd выявлена уязвимостьМожет всем пора уже привыкнуть?