LINUX.ORG.RU

systemd 253

 ,


1

1

Cвободный (GPLv2+) системный менеджер GNU/Linux породил очередной релиз и, опосредовано, новость для LOR.

В данной версии:

  • мультикаст DNS включён по умолчанию на всех интерфейсах
  • утилита ukify для работы с UKI (Unified Kernel Image)
  • опция юнита LogFilterPatterns= для фильтрации логов юнита с помощью регулярных выражений
  • опция юнита OpenFile= позволяющая открыть произвольный файл (или unix-сокет) и передать файловый дескриптор процессу, запущенному юнитом
  • systemd-boot напрямую инициализирует RNG ядра
  • systemd-dissect обзавёлся опцией --discover для поиска DDI (Discoverable Disk Images)
  • hostnamectl показывает время окончания поддержки ОС, используя данные из /etc/os-release
  • systemd-sysusers автоматически создаёт /etc в случае его отсутствия

Спеки для UKI, DDI и других малознакомых аббревиатур из данной новости можно почитать в UAPI Group Specifications

Кроме того, анонсировано удаление поддержки cgroup v1 и split-usr (использование отдельных каталогов /usr/lib и /lib и т.п.) до конца этого года.

В выпуске есть и множество других новшеств, достойных эмоционального комментария завсегдатаев :)

>>> Подробности

★★★★★

Проверено: hobbit ()
Последнее исправление: cetjs2 (всего исправлений: 4)

Знающие, подскажите.

В курсе, что UKI призван объединить образ ядра, initrd и образ в UEFI. Прочитал цели сия процесса.

Если отбросить возгласы «Вперед, за прогресс!!!» и «Нинужно!11!», те, кто больше разбираются —нужно ли это в принципе и какие плюсы? Ибо вроде и с текущей архитектурой загрузки неплохо живется.

HerbertHoover
()
Ответ на: комментарий от HerbertHoover

В первую очередь этот механизм нужен для упрощения подписывания всего этого загрузочным сертификатом и является одним из этапов реализации инициативы «trusted boot world» нежно всеми нами любимого Леннарда Поетринга.

В конечном итоге те копропротивные линуксы которые будут высочайше одобрены производителями будет устанавливаться и запускаться на платформах с неотключаемым secure boot. Ну и заодно пользователи наконец то потеряют возможность совать свои шаловливые ручки в то что не ими подписано. И мерзкая свобода в этом вашем Линуксе наконец то закончится.

Jameson ★★★★★
()
Ответ на: комментарий от utanho

После замены UEFI на свободную прошивку, в теории можно будет загрузить самосборное ядро. Ну если у вас есть замена. Или если у вас есть ключ подходящий, чтобы подписать ядро, для UEFI, что тоже возможно. Утечки ключей случаются.

vbcnthfkmnth123 ★★★★★
()
Последнее исправление: vbcnthfkmnth123 (всего исправлений: 1)
Ответ на: комментарий от Jameson

Получается, технически, создатели корпоративных дистров смогут брать ядро, собирать с какими-угодно блобами, телеметрией etc, подписывать это ключом, и пользователи уже не смогут ковыряться в ядре/присоединять самосборное/самоподписанное?

HerbertHoover
()
Ответ на: комментарий от utanho

Как видно по предыдущим комментариям, этот момент никак не дойдет до простых лоровских истеричек (казалось бы, после десяти лет повсеместного UEFI).

Речь в том числе про строго определённое самосборное ядро. Твоё собственное, подписанное твоми собственным ключом.

token_polyak ★★★★★
()
Последнее исправление: token_polyak (всего исправлений: 2)
Ответ на: комментарий от HerbertHoover

Да, так. Для того чтобы вот всё это сделать нужно иметь ключ. Более того, можно вообще всю среду выстроить таким способом что ты в юзерспейсе пукнуть не сможешь без сертификата. Неподписанный софт тупо не будет запускаться. Собственно это и называется «trusted execution environment» и это «святой грааль» корпорастов.

Jameson ★★★★★
()
Ответ на: комментарий от token_polyak

Речь в том числе про строго определённое самосборное ядро. Твоё собственное, подписанное твоми собственным ключом.

Твой собственный сертификат будет работать ровно до того момента пока разработчик платформы соизволит разрешить тебе внедрять свой собственный сертификат в UEFI. И как только он решит этого не делать — никаким «твоим собственным ключом» ты ничего не подпишешь. Короче говоря твоя свобода превращается в свободу собачки на поводке, можно какать где угодно, но только там где гуляет хозяин. И насколько хватает длины поводка.

Пока Микрософт обещает наличие в прошивках «community free» ключи, которыми можно будет самостоятельно подписывать ядра тем разработчикам которые не имеют соглашений с Микрософт и производителями оборудования. Но это именно что «добрая воля», которая может и закончится. Хозяин добрый, поводок длинный.

Jameson ★★★★★
()
Последнее исправление: Jameson (всего исправлений: 1)
Ответ на: комментарий от token_polyak

Сколько строго определённых ядер (в том числе, возможно, самосборных) будет допустимо? // сейчас пользователь ограничен только своей фантазией и пространством раздела загрузчиков.

master_0K
()
Ответ на: комментарий от master_0K

сейчас пользователь ограничен только своей фантазией и пространством раздела загрузчиков.

Всё точно так же.

будет

Давно уже.

token_polyak ★★★★★
()
Ответ на: комментарий от token_polyak

То есть вместо криво собранного ядра появится подписанное кривособранное ядро.

Но на то они и белки-истерички.

utanho ★★★★★
()
Ответ на: комментарий от master_0K

В их влажных фантазиях да. А в реальности пока ничего не изменится, как и говорит Говорящий Поляк. Просто на системах с неотключаемым секюрбут добавляется ещё шаг с подписыванием ядра, модулей, initrd или с тем самым UKI, если ты сам что то конпеляешь. Пока (sic) ещё можно самому подписать самосбор и грузиться через secure boot, но это пока...

Тут другой прикол, например у тебя есть копропротивный дистр весь подписанный копропротивным сертификатом. И для того чтобы в нём какую нибудь отсебятину сотворить тебе придется всю эту тряхомудию (UKI, аka ядро+модули+initrd, и systemd) ПЕРЕСОБРАТЬ и ПЕРЕПОДПИСАТЬ, причём своим ключом, поскольку того ключа которым изначально всё это было подписано у тебя нет, он у разработчиков дистрибутива. И в итоге ты вроде как можешь что то там менять, но то что получилось уже не копропротивный дистр, и тебя вполне могут послать с его поддержкой и сопровождением.

Jameson ★★★★★
()

правильным путём идём. Слава Поттерингу! Слава Линусу за мудрое руководство!

SpaceRanger ★★★
()
Ответ на: комментарий от Jameson

Зачем ограничивать сферического пользователя на этой планете я слабо понимаю. Что касается бизнес-«партнеров» (не нашёл более подходящего слова), то тут ещё больше не понимаю. Они же используют ПО «корпораций», модификация не их профиль.

master_0K
()
Ответ на: комментарий от master_0K

Ну вообще идея конечно не в том чтобы всем всё запретить, а в том чтобы создать проверяемую цепь доверия, от прошивки до юзерского софта. А уж как этой цепью и доверием распоряжаться - тут уже открывается «полёт фантазии». Например, у тебя есть подписанное ядро, подписанный initrd, подписанные модули и подписанный же init, который остальную систему грузит. В этой цепочке ты не сможешь вставить в систему свой модуль, или как либо изменить любой компонент этой системы, не подписав его тем же самым ключом что и всё остальное.

Этот ключ у тебя может быть, а может и не быть, например это ключ разработчиков дистрибутива, и он ещё не «утёк». Но и тут никто не запрещает тебе переподписать всю эту тряхомудию каким либо «свободным» ключом, из тех которые «пожертвованы» разработчикам не копроративных Линуксов, например Генту или Слаквари. Но в этом случае какой нибудь поставщик софта ориентированный на корпоративные линуксы может проверить ключи и отказаться устанавливать свой софт на системах не подписанных «правильным» ключом. Или отказать в его поддержке и сопровождении.

И сам разработчик дистрибутива может отказать тебе в поддержке и сопровождении, например в обновлениях, если обнаружит что ядро и прочая тряхомудия не подписана его ключом.

Jameson ★★★★★
()

Наделал засланный майкрософтом для превращения Linux в хлам вроде винды леня делов,уже к хозяину на службу вернулся а его последователи продолжают его дело. Ничего из их стараний не выйдет.Уже и KDE Plasma отлично без системды в Devuan работает,есть нормальные и непродажные программисты.

Vadim59
()
Ответ на: комментарий от Vadim59

Путаешь с Гномом, это его сначала приколотили, а потом отламывали. КДЕ с плазмой никогда не была прибита гвоздями к системд. Говорю это тебе как пользователь Кед со второй их версии на разных дистрибутивах без каких либо системд.

Jameson ★★★★★
()
Ответ на: комментарий от Vadim59

Наделал засланный майкрософтом для превращения Linux в хлам вроде винды леня делов,уже к хозяину на службу вернулся а его последователи продолжают его дело.

Это же бред шизофренический… Нужно лечиться.

XOXO
()
Ответ на: комментарий от master_0K

Да, суть в «больше контроля». И в том что есть те кто не понимают разницы между «невозможно проконтролировать, технически, никак» и «контроль тотальный, но обещали свобод не отбирать и в правах не ограничивать, мамой клялись и Конституцией».

Jameson ★★★★★
()
Ответ на: комментарий от Jameson

Посему ясно, что архивные системы на базе отключаемого Secure boot или самого UEFI ещё поживут на этом свете (FX-8350 forever). Но в целом, грустно это всё!

Jurik_Phys ★★★★★
()
Ответ на: комментарий от Jurik_Phys

Да, тем более «квантового скачка» в технологиях типа того который оставил машинки с 512мб\1gb памяти «за бортом» в ближайшем будущем не предвидится, и характеристик «архивного» железа ещё долго будет хватать. Ну и думаю разработка «свободных» реверсинженерных прошивок без анальных ограничений на загрузку только подписанных систем тоже ускорится в связи с ростом спроса и интереса.

Jameson ★★★★★
()
Ответ на: комментарий от Jameson

О чём вы вообще? Разработчики дистрибутивов вам ничего не подпишут, для этого генерируется локальный ключ для подписи. В любых ведущих дистрибутивах это делается автоматически, когда компилируются какие-либо сторонние модули через DKMS. Ключ импортируется в хранилище MOK и требует физического присутствия при импорте, именно для того, чтобы удалённый злоумышленник не смог его подтвердить.

Систем x86 с неотключаемым Secure Boot нет и не планируется. Леннарт делает всё правильно, а именно решает проблемы, у которых есть лёгкое решение, но за которые никто 10 лет не брался.

ValdikSS ★★★★★
()
Ответ на: комментарий от ValdikSS

Систем x86 с неотключаемым Secure Boot нет и не планируется.

Есть ноутбуки с неотключаемым Secure Boot. Модели сейчас не вспомню, но встречал парочку.

О чём вы вообще? Разработчики дистрибутивов вам ничего не подпишут, для этого генерируется локальный ключ для подписи. В любых ведущих дистрибутивах это делается автоматически, когда компилируются какие-либо сторонние модули через DKMS. Ключ импортируется в хранилище MOK и требует физического присутствия при импорте, именно для того, чтобы удалённый злоумышленник не смог его подтвердить.

Это сейчас так. Не факт что так будет и дальше по мере дальнейшего распространения «среды доверенного исполнения». Техническая возможность анально огородить платформу под список из четырёх «доверенных ОС» или вообще только под одну ОС — есть. А значит ей обязательно будут пользоваться. И это уже не случай «драйверов нет и таблицы ACPI нестандартные и только под Виндоуз», это значительно более глубокий лок на вендора.

Jameson ★★★★★
()
Последнее исправление: Jameson (всего исправлений: 3)
Ответ на: комментарий от Jameson

«Матрицу» переиздать надо с большим натурализмом. Мысль «Это только возможность контроля, ничего больше» внедряется в целом успешно. Тот самый успех Android с его «Давай разрешения или работать не буду».

master_0K
()
Ответ на: комментарий от Jameson

Насколько я понимаю, пока что сейчас не все плохо. Даже большинство смартфонов(которые огораживаются просто тотально) позволяет сделать разблокировку загрузчика и установить модифицированную прошивку. С x86 пока что так же(в принципе все нормально, но есть отдельные модели с зондами)

Werenter ★★☆
()
Ответ на: комментарий от Vadim59

А по теме куда леня недавно перешел работать?Не в майкрософт ли к хозяевам?

И ты только из этого факта сделал вывод, что он агент ZOG? А как же github на котором большинство опенсорцных проектов сейчас размещаются? Ведь от тоже майкрософтовский, о май гад!

XOXO
()
Ответ на: комментарий от Werenter

С компами пока значительно лучше чем со смартфонами. Со смартфонами ты сам пишешь «большинство смартфонов», но есть и меньшинство, с которыми ты мало чего сделаешь без очень серьёзного колдунства. В конечном итоге «влажная мечта» производителей огородить компы примерно так же как и смартфоны.

Jameson ★★★★★
()

На самом деле, принципиальная возможность подписать софт и приколотить ключ гвоздями хороша для корпоративного сектора. Понятно, что можно использовать ее и во зло, но никто пока не вспомнил самого злого ее применения: DRM. Очень много кто хочет, чтобы DRM был встроен в ядро и не позволял пользоваться пиратским контентом. А если это говно будет в ядре, которое невозможно поменять - мечта всяких сони и прочих наконец-то исполнится.

С другой стороны, надежда на рыночек, что он порешает устройства с неотключаемой подписью.

liksys ★★★★
()
Последнее исправление: liksys (всего исправлений: 2)
Ответ на: комментарий от Jameson

Trusted Boot сделан прежде всего для безопасности своих собственных систем, чтобы вам не подменили ядро или загрузчик незаметно, чтобы непосредственно вы, как пользователь, были уверены, что система находится в неизменённом состоянии и могли это состояние измерить в цифрах, а также привязать ваши же секреты к этому состоянию. Secure Boot и Trusted Boot — разные технологии, не связанные между собой. Я видел машины с Trusted Boot (со static root of trust из TPM) 2008 года выпуска, когда даже UEFI на компьютерах не было. TrustedGRUB появился в 2006.
Реализация Trusted Boot на x86 пассивна, она ничего не блокирует.

Secure Boot: я не видел ни одного компьютера на x86 без возможности его отключения. Поверю, что есть подобные встраиваемые системы с кастомизированными настройками UEFI, чтобы пользователь не имел возможности модификации системы, но не в обычных десктопах и серверах. У Microsoft прописано требование возможности смены PK, правда, только для серверов (для десктопов — на усмотрение OEM).
Задача Secure Boot — ограничить не присутствующего физически перед компьютером потенциального злоумышленника от внесения изменений в процесс загрузки.

Linux’овый shim из Fedora позволяет загружать любые файлы, будучи подписанным ключом от Microsoft, с физическим подтверждением загрузки. В частности, в Ventoy используется мой способ обхода Secure Boot для загрузки любых ОС и .efi-файлов, и этот способ не нарушает принципы Secure Boot.

ValdikSS ★★★★★
()
Ответ на: комментарий от XOXO

А мы хотим всё одним баш скриптом поднимать, сервисы не нужны

DumLemming ★★★
()
Ответ на: комментарий от Jurik_Phys

А где можно нарыть списочек гнойного железа, в котором этот секурбут не отключается?

DumLemming ★★★
()
Ответ на: комментарий от Jameson

Техническая возможность анально огородить платформу под список из четырёх «доверенных ОС» или вообще только под одну ОС — есть. А значит ей обязательно будут пользоваться

Ай маладца! Я тут постоянно усираюсь что на определённом уровне доказательством преступления является возможность совершения такового. Не хотят верить, слишком ужасно типа, ещё про член некоторые шуткуют

DumLemming ★★★
()
Ответ на: комментарий от XOXO

А по теме куда леня недавно перешел работать?Не в майкрософт ли к хозяевам?

И ты только из этого факта сделал вывод, что он агент ZOG?

Тебе мало? С той стороны вот не стесняются неблагонадёжными клеймить

DumLemming ★★★
()
Ответ на: комментарий от papin-aziat

Нет, просто нам повезло что системд работает, потому что тот же сраный пульсаудио портил кровь линуксу хрен хнает сколько лет, пока его на хрен не выкинули, заметив на пайпу.

Skullnet ★★★★★
()
Ответ на: комментарий от Jameson

Если говорить проще, то убогость UEFI не позволяет подписать несколько файлов, и возможно ещё все модули, которые могли бы подгружаться динамически, и проверить всё это дело в третьем тысячелетии нашей эры. И люди с потными ручками решают это дело посредством насилия над Линуксом, т.е. строго в рамках своей компетенции.

thegoldone
()
Ответ на: комментарий от XOXO

Аргументы? Все хейтеры systemd обычно моментально сдуваются, когда просишь аргументацию.

Этот journalctl ужасно неудобен, и довольно трудно запомнить, что в нём там к чему, если не пользуешься им постоянно. А я не пользуюсь им постоянно. Очень редко, когда что-нибудь работает не так.

Удивляюсь, насколько сложной удалась такая простая операция – просмотр логов какой-то службы.

thegoldone
()
Ответ на: комментарий от ValdikSS

Задача Secure Boot — ограничить не присутствующего физически перед компьютером потенциального злоумышленника от внесения изменений в процесс загрузки.

Скорее в подмену файла на носителе, пока машина выключена. Правда для этого достаточно вбить хэш образа в UEFI, и чтобы он только такие образы грузил. Подпись не нужна.

А раз нужна подпись, то всё намного сложнее. Потому что владелец сертификата вступает в силу. Корневого и прочих.

thegoldone
()
Ответ на: комментарий от ValdikSS

О чём вы вообще? Разработчики дистрибутивов вам ничего не подпишут, для этого генерируется локальный ключ для подписи

Пс, не рушь их всепропащий, паникерский, параноидальный, вокругзаговорщеский манямирок.

Polugnom ★★★★★
()

Думай о худшем - не ошибёшься.

P.S. Разве что в случае, когда всё будет настолько плохо, что даже подумать нельзя было.

perl5_guy ★★★★★
()
Последнее исправление: perl5_guy (всего исправлений: 1)
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.