The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]



"Выпуск Distrobox 1.3, инструментария для вложенного запуска дистрибутивов"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Выпуск Distrobox 1.3, инструментария для вложенного запуска дистрибутивов"  +/
Сообщение от opennews (ok), 02-Июн-22, 12:27 
Увидел свет инструментарий Distrobox 1.3, позволяющий быстро установить и запустить в контейнере любой дистрибутив Linux и обеспечить его интеграцию с основной системой. Код проекта написан на Shell и распространяется под лицензией GPLv3...

Подробнее: https://www.opennet.ru/opennews/art.shtml?num=57291

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по времени | RSS]


1. "Выпуск Distrobox 1.3, инструментария для вложенного запуска ..."  +/
Сообщение от freehckemail (ok), 02-Июн-22, 12:27 
> В итоге пользователь может полноценно работать в другом дистрибутиве, не покидая основную систему.

Да пробовали в нулевых такое делать и руками в том числе. Не вполне удобно.

Вот стоит у тебя в хостовой системе, допустим, Evince; а в chroot-е гоняешь Firefox с проброшенным хомяком. Но когда ты скачиваешь pdf-ку, Firefox не имеет ни малейшего представления о том, что в твоей системе стоит Evince и ты можешь сразу открыть pdf-ку в нём: тебе придётся открывать Evince отдельно, и там уже искать pdf-ку свою.

Жить так конечно можно, но напрягает жуть.

Ответить | Правка | Наверх | Cообщить модератору

3. "Выпуск Distrobox 1.3, инструментария для вложенного запуска ..."  +2 +/
Сообщение от Попандопала (?), 02-Июн-22, 12:38 
Обленились люди в конец уже.D Между прочим тут часто пишут олды про то,что под каждую задачу своя примочка должна быть и минимум "все в одном" чтобы было. Гуглосервисы развратили пользователей еще больше на самом деле. Без синхронизации устройств так и вовсе не жизнь вовсе сейчас. Это я про удобство в общем.
Ответить | Правка | Наверх | Cообщить модератору

39. "Выпуск Distrobox 1.3, инструментария для вложенного запуска ..."  +/
Сообщение от n00by (ok), 03-Июн-22, 08:21 
> Между прочим тут часто пишут олды про
> то,что под каждую задачу своя примочка должна быть

Он именно это и пишет, у него так всё и есть. При этом взаимодействие между примочками затруднено и система превращается в тыкву.


Ответить | Правка | Наверх | Cообщить модератору

6. "Выпуск Distrobox 1.3, инструментария для вложенного запуска ..."  +/
Сообщение от Аноним (6), 02-Июн-22, 13:18 
> Firefox не имеет ни малейшего представления о том, что в твоей системе стоит Evince
> добавлена команда distrobox-host-exec для запуска команд из контейнера, выполняемых в окружении хост-системы
Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

9. "Выпуск Distrobox 1.3, инструментария для вложенного запуска ..."  +2 +/
Сообщение от freehckemail (ok), 02-Июн-22, 13:33 
Ознакомьтесь: https://github.com/89luca89/distrobox/blob/main/docs/usage/d...

Озвученную проблему эта тулза не решает.

Ответить | Правка | Наверх | Cообщить модератору

13. "Выпуск Distrobox 1.3, инструментария для вложенного запуска ..."  +/
Сообщение от Аноним (6), 02-Июн-22, 14:27 
Даже если нет, не вижу непреодолимых препятствий сделать тулзу, которая запускает evince нужным вам способом.
Ответить | Правка | Наверх | Cообщить модератору

20. "Выпуск Distrobox 1.3, инструментария для вложенного запуска ..."  +/
Сообщение от Аноним (20), 02-Июн-22, 15:03 
так а нафига тогда козе баян? весь смысл изоляции пропадает, если можно будет ассоциированные обработчики извне запускать.
Ответить | Правка | Наверх | Cообщить модератору

34. "Выпуск Distrobox 1.3, инструментария для вложенного запуска ..."  +/
Сообщение от Аноним (34), 02-Июн-22, 18:55 
Проект ориентирован на десктопного пользователя, которому удобство использования компьютера важнее строгой изоляции.
Ответить | Правка | Наверх | Cообщить модератору

54. "Выпуск Distrobox 1.3, инструментария для вложенного запуска ..."  +/
Сообщение от Вася (??), 03-Июн-22, 21:21 
а зачем декстопному пользователю такое?
вообще десктопный юзер это очень undefined вещь
Ответить | Правка | Наверх | Cообщить модератору

58. "Выпуск Distrobox 1.3, инструментария для вложенного запуска ..."  +/
Сообщение от Аноним (34), 04-Июн-22, 17:31 
Сам спросил, сам же и ответил. За всех дестктопных пользователей не скажу, сам пользуюсь браузерами в докере чтобы одноразовыси профилями не жонглировать. Скрипт писал себе сам, но знал бы что сабж существует — взял бы его.
Ответить | Правка | Наверх | Cообщить модератору

11. "Выпуск Distrobox 1.3, инструментария для вложенного запуска ..."  +1 +/
Сообщение от Fracta1L (ok), 02-Июн-22, 13:38 
Да, поэтому сообщество freedesktop придумало порталы.
Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

17. "Выпуск Distrobox 1.3, инструментария для вложенного запуска ..."  +/
Сообщение от freehckemail (ok), 02-Июн-22, 14:40 
> Да, поэтому сообщество freedesktop придумало порталы.

Хм. Гуёвые приложения нынче пилятся в соответствии со стандартами freedesktop?
Я правда не в курсе, я в гуй особенно никогда не лез.

Как работают порталы? Через dbus?

Ответить | Правка | Наверх | Cообщить модератору

38. "Выпуск Distrobox 1.3, инструментария для вложенного запуска ..."  +/
Сообщение от lucentcode (ok), 02-Июн-22, 23:45 
DBus, да.
Ответить | Правка | Наверх | Cообщить модератору

21. "Выпуск Distrobox 1.3, инструментария для вложенного запуска ..."  +/
Сообщение от a_kusb (ok), 02-Июн-22, 15:29 
Выглядит как решаемая проблема в этом случае.
Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

2. "Выпуск Distrobox 1.3, инструментария для вложенного запуска ..."  +5 +/
Сообщение от Тот Самый (?), 02-Июн-22, 12:34 
>достаточно выполнить одну команду distrobox-create, не задумываясь о тонкостях

Действительно! Зачем задумываться о всяких тонкостях? А если вдруг окажется, что в этом bash скрипте встроен remote shell, или рутовый пароль "зашифрован" base64, своевременно узнаем из CVE

Ответить | Правка | Наверх | Cообщить модератору

4. "Выпуск Distrobox 1.3, инструментария для вложенного запуска ..."  +1 +/
Сообщение от ИмяХ (?), 02-Июн-22, 13:00 
Видно, вы тот самый человек, который пользуется исключительно открытым ПО и, при установке любого пакета, тщательно просматривает весь исходный код вплоть до каждой строчки, чтобы убедиться, что там нет никаких бекдоров и червей.
Ответить | Правка | Наверх | Cообщить модератору

5. "Выпуск Distrobox 1.3, инструментария для вложенного запуска ..."  +2 +/
Сообщение от Аноним (5), 02-Июн-22, 13:16 
К репам топовых дистрибутивов есть некоторое доверие.
Ответить | Правка | Наверх | Cообщить модератору

29. "Выпуск Distrobox 1.3, инструментария для вложенного запуска ..."  +/
Сообщение от Аноним (34), 02-Июн-22, 16:37 
Ну раз есть доверте к «топовым» дистрибутивам, стало быть и эта тулза подойдёт. Код там простой, на шелле, можно за вечер релиз прочитать и посмотреть как предоставленные дистрибутивом бинарники запускаются.
Ответить | Правка | Наверх | Cообщить модератору

30. "Выпуск Distrobox 1.3, инструментария для вложенного запуска ..."  +/
Сообщение от Аноним (5), 02-Июн-22, 17:37 
Нет, это отличается от заявленного "выполнить одну команду distrobox-create, не задумываясь о тонкостях".
Ответить | Правка | Наверх | Cообщить модератору

35. "Выпуск Distrobox 1.3, инструментария для вложенного запуска ..."  +/
Сообщение от Аноним (34), 02-Июн-22, 19:15 
> Выполнить одну команду distrobox-create, не задумываясь о тонкостях
> Поставить дистрибутив, не задумываясь о тонкостях
> Запустить скомпилированный код, не задумываясь о тонкостях
> Собрать из исходников, не задумываясь о тонкостях
> Написать самому, не задумываясь о тонкостях
> Программировать компьютер в двоичных кодах, не задумываясь о тонкостях
> Двигать электроны в проводах вручную, не задумываясь о тонкостях
> Управлять квантовыми эффектами, не задумываясь о тонкостях
> …

Тонкости, как ты понимаешь, всегда разные. Разумно было бы выбирать те, о которых стоит или не стоит задумываться исходя из целей и требований момента, но вместо этого ты произвольно провёл черту и теперь пытаешься всем доказать, что твоё решение единственно правильное.

Ответить | Правка | Наверх | Cообщить модератору

7. "Выпуск Distrobox 1.3, инструментария для вложенного запуска ..."  +/
Сообщение от Аноним (7), 02-Июн-22, 13:21 
При сборке из исходников, шанс подцепить различные передающиеся половым путём улучшения минимален, при использовании нонейм блобов же, вероятность стремится к бесконечности. Это особенно актуально в современном мире, когда у тебя нет возможности тренировать модели, и приходится полагаться на чужие. А там, какой-нибудь pickle внутри, который может сделать что угодно. При этом, в современном же мире, требуемые натренированные модели распространяются через варезники, что, конечно, сразу очень надёжно. Сервисы для обмена моделями тоже крайне надёжно. Учитывая количество пользователей (около 0), остаётся только надеяться на лучшее.

А что касается контейнеров, это очень популярный вектор атаки. Впрочем, едва ли пользователи контейнеров, которые curl | sh (вроде любителей раста), будут заботиться о таких вещах, как малварь. У них же венда с кучей проприетарных бэкдоров, что им переживать за свои данные. Для этого есть антивирус, это его забота, определять, чья малварь хорошая.

Ответить | Правка | К родителю #4 | Наверх | Cообщить модератору

22. "Выпуск Distrobox 1.3, инструментария для вложенного запуска ..."  +1 +/
Сообщение от ананим.orig (?), 02-Июн-22, 15:30 
> .. вероятность стремится к бесконечности ..

Точно не к единице (они же 100%)?

Ответить | Правка | Наверх | Cообщить модератору

23. "Выпуск Distrobox 1.3, инструментария для вложенного запуска ..."  +/
Сообщение от Аноним (7), 02-Июн-22, 15:35 
К INTMAX+1
Ответить | Правка | Наверх | Cообщить модератору

24. "Выпуск Distrobox 1.3, инструментария для вложенного запуска ..."  +/
Сообщение от ананим.orig (?), 02-Июн-22, 15:43 
Это будет ноль. ;)
http://av-assembler.ru/asm/afd/asm-overflow.htm
Ответить | Правка | Наверх | Cообщить модератору

26. "Выпуск Distrobox 1.3, инструментария для вложенного запуска ..."  +/
Сообщение от Аноним (7), 02-Июн-22, 15:48 
Не уверен, это знаковый тип.
Ответить | Правка | Наверх | Cообщить модератору

28. "Выпуск Distrobox 1.3, инструментария для вложенного запуска ..."  +/
Сообщение от Аноним (28), 02-Июн-22, 16:36 
Рейтинги иногда стремятся же к 146% и это далеко не предел.
Ответить | Правка | К родителю #22 | Наверх | Cообщить модератору

31. "Выпуск Distrobox 1.3, инструментария для вложенного запуска ..."  +1 +/
Сообщение от Аноним (-), 02-Июн-22, 17:49 
> При сборке из исходников, шанс подцепить различные передающиеся половым путём улучшения минимален

А потом скажут что это была не закладка, а уязвимость и мало ли что про нее все 10 лет знали. Dirty Cow примером

Ответить | Правка | К родителю #7 | Наверх | Cообщить модератору

32. "Выпуск Distrobox 1.3, инструментария для вложенного запуска ..."  +/
Сообщение от Аноним (7), 02-Июн-22, 18:13 
Это всё же уязвимость, а не стилер токенов и ключей. Продвинутые ещё и кейлогер встроят и подождут ввода паролей. Вот такие улучшения часто можно встретить в блобах. А в блобах от известных поставщиков проприетарщины обычно как минимум идёт кейлогер и дисковый сканер, и если они не стилят ключи сегодня, никто не помешает им начать это делать завтра. В опенсорс такое не встраивают.
Ответить | Правка | Наверх | Cообщить модератору

33. "Выпуск Distrobox 1.3, инструментария для вложенного запуска ..."  +/
Сообщение от Аноним (7), 02-Июн-22, 18:24 
В хроме, кстати, есть и сканер и кейлогер и много чего ещё. Мне как-то раз понадобилось пропатчить кое-что в исходниках хромиума (точнее, в запущенном хромиуме, но для этого пригодились исходники), надеюсь, больше не придётся на них смотреть. Это всё же скорее исключение, контролировать такое невозможно никак, если только ты не занимаешься этим на фултайм в команде.
Ответить | Правка | Наверх | Cообщить модератору

8. "Выпуск Distrobox 1.3, инструментария для вложенного запуска ..."  +1 +/
Сообщение от Тот Самый (?), 02-Июн-22, 13:24 
>тщательно просматривает весь исходный код

Для чужих bash скиптов - всегда.
А для остального ПО - я адекватный человек и соразмеряю затраты с результатом

А Вы, судя по всему, из поколения "шмяк-шмяк и в продакшен"

Ответить | Правка | К родителю #4 | Наверх | Cообщить модератору

15. "Выпуск Distrobox 1.3, инструментария для вложенного запуска ..."  +/
Сообщение от Аноним (15), 02-Июн-22, 14:35 
Есть рынок бесплатных дистрибутивов. На этом рынке бесплатных дистрибутивов ВСЕ определяется репутацией. Если какой-то репозиторий будет скомпрометирован единожды, анонимы будут помнить и припоминать при любом удачном случае. Если найдутся бэкдоры заложенные разработчиками, то репутация будет на нуле.

Ну или найдутся люди которых это устраивает, т.к. это сертифицированный, лицензированный и единственно разрешенный к использованию дистрибутив.

Ответить | Правка | К родителю #4 | Наверх | Cообщить модератору

18. "Выпуск Distrobox 1.3, инструментария для вложенного запуска ..."  +/
Сообщение от freehckemail (ok), 02-Июн-22, 14:43 
> Ну или найдутся люди которых это устраивает, т.к. это сертифицированный, лицензированный и единственно разрешенный к использованию дистрибутив.

Да, на радость Astra Linux

Ответить | Правка | Наверх | Cообщить модератору

19. "Выпуск Distrobox 1.3, инструментария для вложенного запуска ..."  +/
Сообщение от Аноним (7), 02-Июн-22, 15:02 
Это тот, который дырявее ситечка? Всегда это умиляло.
Ответить | Правка | Наверх | Cообщить модератору

25. "Выпуск Distrobox 1.3, инструментария для вложенного запуска ..."  –1 +/
Сообщение от freehckemail (ok), 02-Июн-22, 15:44 
> Это тот, который дырявее ситечка?

Он самый

Ответить | Правка | Наверх | Cообщить модератору

43. "Выпуск Distrobox 1.3, инструментария для вложенного запуска ..."  +/
Сообщение от n00by (ok), 03-Июн-22, 11:18 
Это же официальный дериватив Debian, откуда там берутся технологические отверстия? При этом Astra - для военных. Военные могут взорвать бомбу, а могут и Астру, если потребуется. То есть вынудят партнёров создать дятла, который случайно залетит и разрушит всю цивилизацию. Такой ответ Чемберлену на диверсию с Мистером dd из другого дистрибутива.
Ответить | Правка | Наверх | Cообщить модератору

44. "Выпуск Distrobox 1.3, инструментария для вложенного запуска ..."  +/
Сообщение от freehckemail (ok), 03-Июн-22, 11:32 
> Это же официальный дериватив Debian, откуда там берутся технологические отверстия?

Ну, поверхностный анализ несколько лет назад показал, что это очень странный дериватив. Исходники бинарным пакетам не соответствуют, так что все их сертификации на деле пшиковые. А сами бинарные пакеты там понадёрганы из разных деривативов Debian: что-то из debian, что-то из ubuntu, и всё это работает соответственно коряво: это подтверждается как минимум суффиксами в версиях бинарных пакетов и тем фактом, что между релизами они даунгрейдят версии пакетов без инкремента эпохи (то есть хрен тебе, а не апгрейд между релизами).

> При этом Astra - для военных. Военные могут взорвать бомбу, а могут и Астру, если потребуется.

Страшно, да? )

Ответить | Правка | Наверх | Cообщить модератору

51. "Выпуск Distrobox 1.3, инструментария для вложенного запуска ..."  +/
Сообщение от n00by (ok), 03-Июн-22, 15:53 
>> Это же официальный дериватив Debian, откуда там берутся технологические отверстия?
> Ну, поверхностный анализ несколько лет назад показал, что это очень странный дериватив.
> Исходники бинарным пакетам не соответствуют, так что все их сертификации на
> деле пшиковые. А сами бинарные пакеты там понадёрганы из разных деривативов
> Debian: что-то из debian, что-то из ubuntu, и всё это работает
> соответственно коряво: это подтверждается как минимум суффиксами в версиях бинарных пакетов
> и тем фактом, что между релизами они даунгрейдят версии пакетов без
> инкремента эпохи (то есть хрен тебе, а не апгрейд между релизами).

Кривая работа и уязвимости ортогональны. Если что-то совсем не работает - оно не уязвимо.

>> При этом Astra - для военных. Военные могут взорвать бомбу, а могут и Астру, если потребуется.
> Страшно, да? )

Писал здесь с год назад Михаилу Шигорину, что партнёры наверняка будут давить Астру и стрелять себе в ногу. После недавних событий:
1. РусБИТех исключили из The Document Foundation. Их функция там была - платить взносы на разработку LibreOffice. Влиять на решения они вряд ли могли.
2. Qt ввела санкции. Это опять про платить. С другой стороны, RedHat-у Qt не очень нужна.
Может что-то еще - не слежу за этим. Но если в итоге появится альтернатива Qt и GTK - кому от этого плохо? )

Страшно должно быть тем, кто всерьёз рассчитывает на отток спецов из США сюда (из-за BLM, взрыва Йеллоустоуна и нашествия зомби). При таких ставках людей оттуда могут просто не выпустить, но обставят всё "красиво", как с Хансом Райзером.

Ответить | Правка | Наверх | Cообщить модератору

53. "Выпуск Distrobox 1.3, инструментария для вложенного запуска ..."  +/
Сообщение от freehckemail (ok), 03-Июн-22, 20:00 
> Кривая работа и уязвимости ортогональны.

В больших проектах красиво -- не бывает.

> Если что-то совсем не работает - оно не уязвимо.

Ну можешь взгрустнуть: оно хоть и корявенько, но работает.

По поводу всего остального -- я не понимаю, что ты хочешь сказать. Для меня это выглядит как бессвязный поток сознания с примесью выдернутых из контекста событий и паранойи.

Ответить | Правка | Наверх | Cообщить модератору

57. "Выпуск Distrobox 1.3, инструментария для вложенного запуска ..."  +/
Сообщение от n00by (ok), 04-Июн-22, 11:54 
>> Кривая работа и уязвимости ортогональны.
> В больших проектах красиво -- не бывает.

Это применимо к Астре или Debian?

>> Если что-то совсем не работает - оно не уязвимо.
> Ну можешь взгрустнуть: оно хоть и корявенько, но работает.

Это применимо к Астре или Debian?

> По поводу всего остального -- я не понимаю, что ты хочешь сказать.
> Для меня это выглядит как бессвязный поток сознания с примесью выдернутых
> из контекста событий и паранойи.

А аллегория "дырявее ситечка" как выглядит? Это про отверстия в нулевых битах? Далее в ответе идут какие-то "бинарные пакеты". Собирается всё из одних исходников. Намёк на ошибки (или закладки?) компилятора, которые проявляются в Астре? Это очень сильное заявление, без упоминания каких-либо событий, но с примесью шапочки из фольги.

Если опять не понятно: задать на ровном месте вопрос "Страшно, да?", а потом приписать паранойю оппоненту - так себе ход.

Ответить | Правка | Наверх | Cообщить модератору

60. "Выпуск Distrobox 1.3, инструментария для вложенного запуска ..."  +/
Сообщение от freehckemail (ok), 05-Июн-22, 13:14 
> А аллегория "дырявее ситечка" как выглядит? Это про отверстия в нулевых битах?
> Далее в ответе идут какие-то "бинарные пакеты". Собирается всё из одних
> исходников. Намёк на ошибки (или закладки?) компилятора, которые проявляются в Астре?
> Это очень сильное заявление, без упоминания каких-либо событий, но с примесью
> шапочки из фольги.

Ммм. Ну n00by, тогда ты зря на меня наезжаешь. Особенно после "каких-то" бинарных пакетов. Дорогой, если тебе что-то не понятно -- надо задавать вопросы, пока всё не станет понятно. Идти в атаку при таких вводных -- не разумно. Особенно сейчас, ибо я-то понимаю, о чём говорю, а вот ты -- не вполне.

Стебать тебя не намерен, ибо производишь впечатление, что ты не нарочно. Вместо этого объясню по порядку.

---

Итак, про "какие-то" бинарные пакеты.

В репозитории помимо deb-пакетов лежат ещё dsc-файлы, содержащие описание исходников, из которых производится сборка. Когда ты делаешь, например, apt-get source bash, APT укачаивает dsc файл с описанием src-пакета bash. В dsc-файле содержатся два важных ключа: Files и Binary.

В Files указываются два основных архива -- orig и debian -- которые нужно укачать для сборки. В архиве orig содержится исходный код апстрима, в то время как в архиве debian лежат уже debian-специфичные файлы и главное -- патчи для orig-а. Эти два архива в совокупности с dsc-файлом и называются в терминологии Debian -- "пакетом с исходным кодом / source package".

В Binary содержится список "бинарных пакетов / binary package". То есть тех самых deb-файлов, которые в итоге ты будешь укачивать при помощи apt, когда ставишь пакеты в систему. Один src-пакет бьётся на несколько бинарных. У бинарных пакетов, собранных из одного исходного могут быть разные зависимости.

---

Теперь немного скажем про "собирается из одних исходников".

Бинарный пакет представляет из себя ar-архив с тремя файлами: архивами data и control, ну и ещё одного вспомогательного файлика, в котором указывается версия формата бинарного пакета (на случай, если формат когда-нибудь изменится). В архиве control(.tar.gz) помимо прочего лежит очень важный файл, который так и называется -- control. В нём содержится описание бинарного пакета. То самое описание, которое ты видишь, когда дёргаешь apt-cache show. В описании два поля, на которые надо обратить внимание: Version и Source. Version содержит версию пакета, а Source -- имя src-пакета, из которого он собран.

Обрати внимание -- имя src-пакета. И это самое важное: версия бинарных пакетов всегда соответствует версии src-пакета, из которого они собраны.

---

Какие выводы можно сделать, если в дистрибутиве бинарные пакеты, собираемые из одного src-пакета, имеют разные версии? Только один: бинарные пакеты в репозиторий дистрибутива подкладываются мейнтейнерами вручную, а не попадают туда в результате сборки src-пакетов. То есть между src-пакетами и бинарными -- связи на самом деле нет.

Какие выводы можно сделать о сертификациях, которыми дистрибутив обладает, если в нём вышеописанная ситуация? Только один: цена им -- нуль (кстати тут можно вставить искромётную шутку о том, что сертификация -- это единственное, что чего-то стоило в данном дистрибутиве; но это было бы весьма голословное заявление, хоть и весёлое).

Ну а какие выводы можно сделать о безопасности дистрибутива, в котором не смогли даже обеспечить консистентное состояние бинарных и исходных пакетов? Только один: у персонала вендора банально нету квалификации, чтобы ею заниматься. Ибо ну а как ты будешь вести учёт CVE, если ты не справился с учётом пакетов? Как ты будешь вносить исправления по CVE, если у тебя нету соответствия между source и binary? Вот то-то же.

И это -- ситуация Astra Linux. Я эту ситуацию наблюдал лично: один из моих клиентов портировал на эту ось свой продукт, и в процессе портирования я имел неудовольствие довольно плотно познакомиться с этим дистрибутивом. Я менеджерам Астры дал подробный фидбэк как по этому поводу, так и по множеству других -- но на всё забили болт. Видимо, качество продукта их заботит далеко не в первую очередь.

---

И это только верхушка айсберга. Косяков в дистрибутиве гораздо больше, мне есть много чего рассказать. Но вот так разжёвывать, как тебе сейчас -- у меня банально нет сил и времени. Ибо как ты теперь вероятно понимаешь, всё вышеописанное при наличии квалификации по внутреннему устройству debian-based дистрибутивов можно понять уже просто из сообщения #44.

Так что теперь...

>>> При этом Astra - для военных. Военные могут взорвать бомбу
>> Страшно, да? )

...уже наверное в другом свете видится, да?


Ответить | Правка | Наверх | Cообщить модератору

62. "Выпуск Distrobox 1.3, инструментария для вложенного запуска ..."  +/
Сообщение от n00by (ok), 05-Июн-22, 15:13 
>>>> При этом Astra - для военных. Военные могут взорвать бомбу
>>> Страшно, да? )
> ...уже наверное в другом свете видится, да?

Да я всё так же и вижу. Если ты полагаешь, что Солнце встаёт в Вашингтоне и согласно этому своему убеждению живёшь, развиваешь Debian -- самого себя ты не обманываешь. Значит с тобой можно иметь дело. Это одна из причин, почему тов. генерал взял Debian и написал сверху "Астра". Вторая причина - если сэр дженерал будет стрелять в Астру, то попадёт себе в ногу. Пока что попали в Qt.

>> А аллегория "дырявее ситечка" как выглядит? Это про отверстия в нулевых битах?
>> Далее в ответе идут какие-то "бинарные пакеты". Собирается всё из одних
>> исходников. Намёк на ошибки (или закладки?) компилятора, которые проявляются в Астре?
>> Это очень сильное заявление, без упоминания каких-либо событий, но с примесью
>> шапочки из фольги.
> Ммм. Ну n00by, тогда ты зря на меня наезжаешь. Особенно после "каких-то"
> бинарных пакетов. Дорогой, если тебе что-то не понятно -- надо задавать
> вопросы, пока всё не станет понятно. Идти в атаку при таких
> вводных -- не разумно. Особенно сейчас, ибо я-то понимаю, о чём
> говорю, а вот ты -- не вполне.

Я и задал вопрос - см. №43 - откуда там берутся технологические отверстия?
При этом заявление о наличии я не ставил под сомнение. Для меня всякая программа содержит ошибки и её корректность следует доказывать. Так что "атака" - это особенность твоего восприятия, особенно сейчас, когда я принялся зеркалить.

>[оверквотинг удален]
> -- control. В нём содержится описание бинарного пакета. То самое описание,
> которое ты видишь, когда дёргаешь apt-cache show. В описании два поля,
> на которые надо обратить внимание: Version и Source. Version содержит версию
> пакета, а Source -- имя src-пакета, из которого он собран.
> Обрати внимание -- имя src-пакета. И это самое важное: версия бинарных пакетов
> всегда соответствует версии src-пакета, из которого они собраны.
> ---
> Какие выводы можно сделать, если в дистрибутиве бинарные пакеты, собираемые из одного
> src-пакета, имеют разные версии? Только один: бинарные пакеты в репозиторий дистрибутива
> подкладываются мейнтейнерами вручную, а не попадают туда в результате сборки src-пакетов.

Один вывод! Заметь - ты сам это написал. Грубо говоря, они там что-то наколхозили на коленке. Чудом заработало. Вопрос то про уязвимости - откуда они взялись? Столь подробный сценарий не описывает их появление.

> То есть между src-пакетами и бинарными -- связи на самом деле
> нет.
> Какие выводы можно сделать о сертификациях, которыми дистрибутив обладает, если в нём
> вышеописанная ситуация? Только один: цена им -- нуль (кстати тут можно
> вставить искромётную шутку о том, что цена -- это единственное, что
> чего-то стоило в данном дистрибутиве; но это было бы весьма голословное
> заявление, хоть и весёлое).

Сертификация на предмет чего? Отсутствие закладок? Так они посмотрели сорцы и выдали заключение "не обнаружено". Заметь, что к такой формулировке не подкопаешься, если там не написано "уязвимости отсутствуют".

> Ну а какие выводы можно сделать о безопасности дистрибутива, в котором не
> смогли даже обеспечить консистентное состояние бинарных и исходных пакетов? Только один:
> у персонала вендора банально нету квалификации, чтобы ею заниматься. Ибо ну
> а как ты будешь вести учёт CVE, если ты не справился
> с учётом пакетов? Как ты будешь вносить исправления по CVE, если
> у тебя нету соответствия между source и binary? Вот то-то же.

Ну это немного гипотетические выкладки. На практике я сам лично видел, как в "Russian OS & Applicaion" притянули из OpenMandriva патч для rpm, где в коде была кучка alloca(n). Потом они собрали большоооой пакет с иконками и при установке случилось закономерное переполнение стека. Потом им показали строку, где именно падало. В итоге я вспомнил Си и за них исправил. Не знаю, можно ли было это проэксплуатировать - мне это и не надо выяснять, проще заключить "есть вероятность".

Когда берут сорцы от Debian, которые люди как бы для себя уже проверили, поверхность для атаки сильно уже. Тут надо как-то предугадать, что вот этот компонент в Астре обновят, а про тот забудут. Или по вышепреведённой схеме делать Debian уязвимой, как это произошло с OpenMandriva.

Теперь представь, что ты дженерал армии и у тебя приказ - разбомбить эту вражескую Астралинукс. Как быть? При этом дедушка у тебя - адмирал на пенсии, закупал в своё время запчасти к торпедам у IBM, которая теперь купила Redhat. У вас в семье накопилось немножко их акций. Жалко ли тебе Debian?

> И это -- ситуация Astra Linux. Я эту ситуацию наблюдал лично: один
> из моих клиентов портировал на эту ось свой продукт, и в
> процессе портирования я имел неудовольствие довольно плотно познакомиться с этим дистрибутивом.
> Я менеджерам Астры дал подробный фидбэк как по этому поводу, так
> и по множеству других -- но на всё забили болт. Видимо,
> качество продукта их заботит далеко не в первую очередь.

Это не то качество, которое позволяет запустить посторонний код.

> ---
> И это только верхушка айсберга. Косяков в дистрибутиве гораздо больше, мне есть
> много чего рассказать. Но вот так разжёвывать, как тебе сейчас --
> у меня банально нет сил и времени. Ибо как ты теперь
> вероятно понимаешь, всё вышеописанное при наличии квалификации по внутреннему устройству
> debian-based дистрибутивов можно понять уже просто из сообщения #44.
> Так что теперь...

Тогда в №19 должно быть что-то вроде "кривее костыля".

Ответить | Правка | Наверх | Cообщить модератору

63. "Выпуск Distrobox 1.3, инструментария для вложенного запуска ..."  +/
Сообщение от freehckemail (ok), 06-Июн-22, 01:03 
Фак. :((((
Ответить | Правка | К родителю #62 | Наверх | Cообщить модератору

64. "Выпуск Distrobox 1.3, инструментария для вложенного запуска ..."  +/
Сообщение от n00by (ok), 06-Июн-22, 08:15 
Вот именно. Смотри - на моё №40, где я написал про конкретный факт эксплуатации уязвимости, какой-то картонный патриот накатал жалобу. Потому что это правда - пользователи (не я!) записали и опубликовали подтверждающее видео - и она ему, негоднику, глаза колет, а другим очевидно, куда в данном конкретном случае уходит сладкий бюджетный шекель. У тебя какие-то общие рассуждения на тему ситечка. Про них можно сказать "мало ли кто чего пишет".
Ответить | Правка | К родителю #63 | Наверх | Cообщить модератору

55. "Выпуск Distrobox 1.3, инструментария для вложенного запуска ..."  +/
Сообщение от Аноним (55), 03-Июн-22, 23:06 
>С другой стороны, RedHat-у Qt не очень нужна.

Так Astra и не на RedHat-е основана.

Ответить | Правка | К родителю #51 | Наверх | Cообщить модератору

56. "Выпуск Distrobox 1.3, инструментария для вложенного запуска ..."  +/
Сообщение от n00by (ok), 04-Июн-22, 11:43 
>>С другой стороны, RedHat-у Qt не очень нужна.
> Так Astra и не на RedHat-е основана.

Вот именно. Зачем RedHat-у Debian? Есть повод малость подвинуть конкурента.

Ответить | Правка | Наверх | Cообщить модератору

40. Скрыто модератором  –1 +/
Сообщение от n00by (ok), 03-Июн-22, 08:31 
Ответить | Правка | К родителю #15 | Наверх | Cообщить модератору

46. Скрыто модератором  +/
Сообщение от Аноним (-), 03-Июн-22, 15:02 
Ответить | Правка | Наверх | Cообщить модератору

47. Скрыто модератором  +/
Сообщение от Аноним (-), 03-Июн-22, 15:03 
Ответить | Правка | Наверх | Cообщить модератору

48. Скрыто модератором  +/
Сообщение от n00by (ok), 03-Июн-22, 15:33 
Ответить | Правка | К родителю #46 | Наверх | Cообщить модератору

45. "Выпуск Distrobox 1.3, инструментария для вложенного запуска ..."  +/
Сообщение от Аноним (45), 03-Июн-22, 13:25 
Рынок бесплатных товаров - это чушь собачья.
Есть рынок услуг поддержки бесплатных дистрибутивов. Дистрибутивы создают, чтобы расширить его и уменьшить себестоимость услуг.
Ответить | Правка | К родителю #15 | Наверх | Cообщить модератору

10. "Выпуск Distrobox 1.3, инструментария для вложенного запуска ..."  +/
Сообщение от Аноним (15), 02-Июн-22, 13:33 
Это я типа хост могу поставить стабильную Центось и через Distrobox поставить Манджару и играться в ней?
Ответить | Правка | Наверх | Cообщить модератору

12. "Выпуск Distrobox 1.3, инструментария для вложенного запуска ..."  +/
Сообщение от Аноним (6), 02-Июн-22, 14:24 
> 36.209s/100 = ~0.362ms
Ответить | Правка | Наверх | Cообщить модератору

14. "Выпуск Distrobox 1.3, инструментария для вложенного запуска ..."  +/
Сообщение от Аноним (-), 02-Июн-22, 14:31 
>Код проекта написан на Shell и распространяется под лицензией GPLv3.
>Проект реализован в форме надстройки над инструментарием Docker или Podman, и отличается максимальным упрощением работы и настройкой интеграции запущенного окружения с остальной системой.

Была же штука на шелле, которая рулила окружениями через unshare/nsenter.

Ответить | Правка | Наверх | Cообщить модератору

16. "Выпуск Distrobox 1.3, инструментария для вложенного запуска ..."  –1 +/
Сообщение от Аноним (16), 02-Июн-22, 14:36 
Нам это не нужно.
Ответить | Правка | Наверх | Cообщить модератору

27. "Выпуск Distrobox 1.3, инструментария для вложенного запуска ..."  +/
Сообщение от Аноним (28), 02-Июн-22, 16:27 
>Distrobox обеспечивает проброс домашнего каталога пользователя в контейнер
>добавлена команда distrobox-host-exec для запуска команд из контейнера, выполняемых в окружении хост-системы

Вот это точно про изоляцию окружений.

Ответить | Правка | Наверх | Cообщить модератору

42. "Выпуск Distrobox 1.3, инструментария для вложенного запуска ..."  +/
Сообщение от Аноним (42), 03-Июн-22, 10:33 
> проброс домашнего каталога

Даже проще может случиться, какая-нибудь прога из контейнера уфигачит свои настройки так, что та же прога хоста, но другой версии, уже не сможет работать. FF так не раз делал, после обновления фиг запустишь предыдущую версию.

Ответить | Правка | Наверх | Cообщить модератору

41. "Выпуск Distrobox 1.3, инструментария для вложенного запуска ..."  +/
Сообщение от Аноним (41), 03-Июн-22, 09:57 
BedRock: * существует *
Или существовал, я не знаю - сайт не грузится.
(https://bedrocklinux.org/)
Ответить | Правка | Наверх | Cообщить модератору

59. "Выпуск Distrobox 1.3, инструментария для вложенного запуска ..."  +/
Сообщение от Dima (??), 05-Июн-22, 00:04 
Надстройка над докером и подманом? Над этим все тяжёлым? Серьёзно? LXC на много лучше подходит для этих дел
Ответить | Правка | Наверх | Cообщить модератору

61. "Выпуск Distrobox 1.3, инструментария для вложенного запуска ..."  +/
Сообщение от Аноним (-), 05-Июн-22, 13:38 
даже дебиян можно под разные архитектуры разворачивать. но не тут. какой-то каменный век
Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2022 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру