LINUX.ORG.RU

systemd 253

 ,


1

1

Cвободный (GPLv2+) системный менеджер GNU/Linux породил очередной релиз и, опосредовано, новость для LOR.

В данной версии:

  • мультикаст DNS включён по умолчанию на всех интерфейсах
  • утилита ukify для работы с UKI (Unified Kernel Image)
  • опция юнита LogFilterPatterns= для фильтрации логов юнита с помощью регулярных выражений
  • опция юнита OpenFile= позволяющая открыть произвольный файл (или unix-сокет) и передать файловый дескриптор процессу, запущенному юнитом
  • systemd-boot напрямую инициализирует RNG ядра
  • systemd-dissect обзавёлся опцией --discover для поиска DDI (Discoverable Disk Images)
  • hostnamectl показывает время окончания поддержки ОС, используя данные из /etc/os-release
  • systemd-sysusers автоматически создаёт /etc в случае его отсутствия

Спеки для UKI, DDI и других малознакомых аббревиатур из данной новости можно почитать в UAPI Group Specifications

Кроме того, анонсировано удаление поддержки cgroup v1 и split-usr (использование отдельных каталогов /usr/lib и /lib и т.п.) до конца этого года.

В выпуске есть и множество других новшеств, достойных эмоционального комментария завсегдатаев :)

>>> Подробности

★★★★★

Проверено: hobbit ()
Последнее исправление: cetjs2 (всего исправлений: 4)

Ответ на: комментарий от XOXO

Ага, даже в Astra Linux используется, а это что-нибудь да значит.

Mischutka ★★★★★
()
Ответ на: комментарий от XOXO

И ты только из этого факта сделал вывод, что он агент ZOG? >

любому здравомыслящему человеку много лет понятно что леня работал на майкрософт,чтобы сделать из линукса подобие их помойки,для отталкивания людей от линукса. Его возвращение,уже официальное,в будку к хозяину только подтвердила то что и так все знали.

Vadim59
()
Последнее исправление: Vadim59 (всего исправлений: 2)
Ответ на: комментарий от Vadim59

любому здравомыслящему человеку много лет понятно что...

Или даже так: всем известно, что...

Mischutka ★★★★★
()
Ответ на: комментарий от papin-aziat

осталось только systemd control center запилить - gui с редактором, подсветкой синтиксиса, автодополнением и всеми нужными кнопарями (edit, restart, status ,и проч.), деревом процессов и проч. А статус для выбранного сервиса в режиме реального времени отображать.

Кстати, юные программисты - записывайте в блокнотик эту идею в раздел «что бы полезное запрограммировать». Успех обеспечен.

seiken ★★★★★
()
Ответ на: комментарий от Vadim59

А до этого злобные агенты МС dbus внедрили, а еще помоечный gconf завезли. А до того sysfs. И что им не сидится, бесам, да? Нет, чтобы как деды завещали - портянки разношерстных шелл-скриптов и продолжение помойки в /proc.

seiken ★★★★★
()
Ответ на: комментарий от ValdikSS

Trusted Boot сделан прежде всего для безопасности своих собственных систем, чтобы вам не подменили ядро или загрузчик незаметно, чтобы непосредственно вы, как пользователь, были уверены, что система находится в неизменённом состоянии

Абсолютно бесполезное свойство, из-за чувства ложной защищённости может даже и вредное.

В случае удалённых атак, если моя система поимета настолько, что произвольный злонамеренный код на ней может ядра ставить, то поздно пить боржоми. Захочет жить вечно и незаметно — пропишется мне зловред в юзерспейсе, не облезет, а мне ровно так же плохо.

В случае атак с физдоступом, я спросонья свой LUKS-пароль наберу в любой ноут той же модели, если он будет стоять там же, где я вчера оставил свой и показывать привычный мне экран загрузки.

Так от какого вектора атаки защищает этот бесполезный огород? Им только перед аудиторами и хвастать.

t184256 ★★★★★
()
Ответ на: комментарий от t184256

Вот у меня возникали те же мысли абсолютно. А собственно, нафига?

Werenter ★★☆
()
Ответ на: комментарий от papin-aziat

Лучшше, что случилось с Линукс это WSL

frost_ii ★★★★★
()

Так, а кто это ненужно теперь разрабатывает? Уже официально микрософт?

bread
()
Последнее исправление: bread (всего исправлений: 1)
Ответ на: комментарий от Skullnet

тот же сраный пульсаудио портил кровь линуксу хрен хнает сколько лет

Системдос тоже крови попил немало. Просто в слоупочных дистрах оно довольно поздно внедрилось. Но даже в 8-м дебиане это был еще ад и израиль. А пульса да, непревзойденный кусок софта. Шнобелевскую премию надо выдать за такое.

bread
()
Ответ на: комментарий от seiken

Кокпит пока годится для по-быстрому включить-выключить сервисы через графический интерфейс.

papin-aziat ★★★★★
()
Ответ на: комментарий от seiken

осталось только systemd control center запилить - gui с редактором, подсветкой синтиксиса, автодополнением и всеми нужными кнопарями (edit, restart, status ,и проч.), деревом процессов и проч. А статус для выбранного сервиса в режиме реального времени отображать.

В Мандриве был подобный гуй для sysvinit.

annulen ★★★★★
()
Ответ на: комментарий от DumLemming

Это что такое? Очередной дистрибутив или изменённый андроид? +Кроме кастомных прошивок ещё есть Magisk, для установки которого тоже нужен разблокированный загрузчик.

Werenter ★★☆
()

Восхвалим господа!

Да пребудем милосердны к хейтерам. Ибо не ведают они, что творят.

dk__
()
Ответ на: комментарий от t184256

В случае удалённых атак, если моя система поимета настолько, что произвольный злонамеренный код на ней может ядра ставить, то поздно пить боржоми. Захочет жить вечно и незаметно — пропишется мне зловред в юзерспейсе, не облезет, а мне ровно так же плохо.

Систем изоляции для юзерспейса достаточно и для Linux, и для Windows. Trusted Boot используется в комплексе, вместе с другими мерами защиты. Если ваша система «поимета» настолько, что вам подменили ядро/загрузчик, то Trusted Boot позволит моментально понять, что что-то не так, из-за невозможности использовать секреты (ключи шифрования), привязанные к состоянию. Иными словами, диск не расшифруется, VPN не подключится.

В случае атак с физдоступом, я спросонья свой LUKS-пароль наберу в любой ноут той же модели, если он будет стоять там же, где я вчера оставил свой и показывать привычный мне экран загрузки.

Внедрите его в TPM, привязав к состоянию, и его вообще набирать не придётся.

ValdikSS ★★★★★
()
Ответ на: комментарий от undef

От подмены initrd, пока я сплю, защищаться не надо, потому что см. на что отвечаешь.

t184256 ★★★★★
()
Ответ на: комментарий от ValdikSS

Внедрите его в TPM, привязав к состоянию, и его вообще набирать не придётся.

Тогда я, если что с материнкой, остаюсь без данных, а вот зато крадущий мой ноут оказывается с данными => профит отрицателен.

t184256 ★★★★★
()
Ответ на: комментарий от ValdikSS

Если ваша система «поимета» настолько, что вам подменили ядро/загрузчик, то Trusted Boot позволит моментально понять, что что-то не так

А ещё если моя система «поимета» настолько, что тупой атакующий подменить мне воллпейпер, я тоже замечу. Только это все неважно, нетупой атакующий не подменит.

Серьезно, распиши все сценарии и убедишься, что ни от одного все эти secure boot и trusted boot не защищают. Уверен, что используют их за название.

t184256 ★★★★★
()
Ответ на: комментарий от seiken

Еще просмотр логов. И все это на электроне. Лол.

Gonzo ★★★★★
()
Ответ на: комментарий от t184256

«поимета» настолько, что вам подменили ядро/загрузчик

Какой идиот будет менять ядро и загрузчик на моем компЬютере,я уже не говорю про как?Супер хакеры все равно залезут если надо,только они залезут в комп центробанка или цру,даром мы кому нужны со своими линуксами. Мне эта хрень и даром не нужна,лишняя головная морока.

Vadim59
()
Ответ на: комментарий от ValdikSS

Сорян за офтоп. Твой скрипт debian-iso-fastinstall.sh не обновлялся с августа 21 года. Это норм? Там просто нечему обновляться? Можно юзать с новым дебом?

Gonzo ★★★★★
()
Последнее исправление: Gonzo (всего исправлений: 1)
Ответ на: комментарий от HerbertHoover

вроде и с текущей архитектурой загрузки неплохо живется

С текущей архитектурой живётся очень плохо, неудобно, да ещё и небезопасно.

Прочитал цели сия процесса

Ты либо врёшь что прочитал, либо не понял прочитанного - иначе вопроса «нужно ли это» просто не возникло бы.

zabbal ★★★★★
() автор топика
Последнее исправление: zabbal (всего исправлений: 1)
Ответ на: комментарий от utanho

Это что, конец самосборным ядрам?

Самосборныя ядрам идиотов, не читающих документацию? Да, безусловно.

Для нормальных инженеров ничего принципиально не изменится.

zabbal ★★★★★
() автор топика

утилита ukify для работы с UKI (Unified Kernel Image)

Это нужно для облегчения перехода на подписанные ядра и SecureBoot?

hateWin ★☆
()
Ответ на: комментарий от zabbal

Самое главное на лоре - вовремя вставить свое замечание, не так ли?

utanho ★★★★★
()
Ответ на: комментарий от utanho

Если ставить их по-варварски (make && sudo make modules_install && cp boot/x86/$kernelfile /boot/vmlinuz-linux && $some_comand_to_create_initramfs_img) – да. Если цивилизованно – нет.

hateWin ★☆
()
Ответ на: комментарий от Vadim59

любому здравомыслящему человеку много лет понятно

Argumentum ad populum - одна из самых распространённых логических ошибок.

Radjah ★★★★★
()
Ответ на: комментарий от t184256

Поди можно хранить пол ключа в TPM, половину вводить и где-нибудь в хранилище держать резервный или половинку из TPM.

altwazar ★★★★
()
Ответ на: комментарий от t184256

Серьезно, распиши все сценарии и убедишься, что ни от одного все эти secure boot и trusted boot не защищают.

Простите, я не в настроении спорить с буквами в интернете.
Почитайте умные книжки, статьи и документацию, чтобы понять сценарии атаки, которые эти технологии могут предотвратить или серьёзно усложнить.

Тогда я, если что с материнкой, остаюсь без данных

LUKS-ключей может быть не один и не два.

а вот зато крадущий мой ноут оказывается с данными

Он не сможет войти в ОС, чтобы получить доступ штатными средствами, не сможет получить доступ к файлам при прямом доступе к диску, т.к. они зашифрованы, и не сможет изменить пароль/подменить ядро или initrd, так как это изменит состояние и не даст диску расшифроваться.

ValdikSS ★★★★★
()

мультикаст DNS включён по умолчанию на всех интерфейсах опция юнита LogFilterPatterns= для фильтрации логов юнита с помощью регулярных выражений опция юнита OpenFile= позволяющая открыть произвольный файл systemd-sysusers автоматически создаёт /etc в случае его отсутствия

Опять системд дублирует то что и без него делалось стандартными утилитами

split-usr

И ломает то что никому не мешает кроме него.

утилита ukify для работы с UKI (Unified Kernel Image)

Поздравляю с пендолингом всех тех у кого вскоре это будет по умолчанию. А особенно всех тех простых пользователей которые в чруте игрались, ядра собирали, модули к нему и инитрд отдельно. Если это навсегда будет опцией и никакой дистрибутив не поедет крышей делать дефолтом то ок, даже хорошо. Но мне кажется не тут то было =)

Унификация это хорошо, но едет кудатЪ не туда.

hostnamectl показывает время окончания поддержки ОС, используя данные из /etc/os-release

Оно там по ссылкам ходить будет или что? Данных о времени жизни релиза там нет и никогда не было. Хотя может вру и в LTS всяких есть запись.

LINUX-ORG-RU ★★★★★
()
Последнее исправление: LINUX-ORG-RU (всего исправлений: 1)
Ответ на: комментарий от Jameson

и тебя вполне могут послать с его поддержкой и сопровождением

Офигеть открытие. А что, в твоём маня-мирке корпорации поддерживают собранные пользователями ядра? :-D

zabbal ★★★★★
() автор топика
Ответ на: комментарий от Jameson

Или отказать в его поддержке и сопровождении

Это всегда именно так и работало. Любой серьёзный корпоративный софт с платной поддержкой имеет чётко прописанные требования к системному софту и железу.

Бессмысленно терять бабки на поддержке какой-нибудь зашквари или баттхёртиана никто не станет.

zabbal ★★★★★
() автор топика
Ответ на: комментарий от ValdikSS

можешь не вводить пароль

тогда сопрут с данными

ничего не расшифруется

Да-да, если мешать сценарии в кучу, вот такая каша и будет, как ты тут сейчас демонстрируешь.

Ты классный специалист и полюбому делаешь с этими модными штучками чудеса. Но это как всякий SGX, с ними играют потому, что он есть. А есть они зря.

t184256 ★★★★★
()
Последнее исправление: t184256 (всего исправлений: 1)
Ответ на: комментарий от Skullnet

системд и пульсаудио вменяемо работают сейчас. Я сидел на федоре во время их первоначального внедрения, это был чудовищный треш.

arkhnchul ★★★
()
Ответ на: комментарий от t184256

вот такая каша и будет, как ты тут сейчас демонстрируешь

Автоматическая расшифровка LUKS не отменяет логин в систему. Выше речь шла о пароле LUKS, но это не значит, что нет других паролей или способов аутентификации в более широком смысле, без которых к данным обычными методами доступ не получить.

Установите Windows на современный компьютер, включите Bitlocker и посмотрите, насколько удобно могут быть реализованы меры безопасности без ограничений для пользователя.

ValdikSS ★★★★★
()
Ответ на: комментарий от zabbal

Недавно здесь? :)

Я думал что это форум про аниме

XOXO
()
Ответ на: комментарий от Jameson

но есть и меньшинство, с которыми ты мало чего сделаешь без очень серьёзного колдунства

Ламер узнал о существовании яблофона.

zabbal ★★★★★
() автор топика
Ответ на: комментарий от hateWin

Это нужно для облегчения перехода на подписанные ядра и SecureBoot?

Microsoft Pluton && Windows 12 wit gnome

etwrq ★★★★★
()
Ответ на: комментарий от t184256

Позиция «я хочу вводить LUKS-пароль руками и я буду продолжать это делать, а всё остальное от лукавого просто потому что кроме меня в мире больше никого, очевидно, не существует», конечно, валидна (нет), но бесполезна.

Это как с XMPP и IRC.

intelfx ★★★★★
()
Ответ на: комментарий от arkhnchul

Ну, насчет пульса я бы не был столь оптимистичен, хотя, больше тут синий зуб виноват, наверное. Но аудиовыходы перещелкивать худо-бедно научился. Хотя с микрофонами, по-прежнему, иногда траблы и блютус как не работал, так и не работает. То-то музыканты Джек по-прежнему юзают.

gns ★★★★★
()
Последнее исправление: gns (всего исправлений: 1)
Ответ на: комментарий от XOXO

Самое разумное возражение против систем-ди я слышал такое: когда все работает, то оно и хрен с ним, не замечаешь, но если что-то начинает ломаться, то хрен поймешь где. Сам я на грабли не налетал, но все впереди, видимо.

gns ★★★★★
()
Ответ на: комментарий от LINUX-ORG-RU

простых пользователей которые в чруте игрались, ядра собирали, модули к нему и инитрд отдельно

…отводя душу после рабочей смены грузчиком, вероятно.

Посмотрел бы я на этих «простых пользователей».

ivanov17
()
Ответ на: комментарий от gns

Музыканты юзают джек вовсе не потому что «траблы» и «не работает», а потому что у них совершенно другие требования к задержкам и реалтайму, противоречащие самой концепции пульсы.

intelfx ★★★★★
()
Ответ на: комментарий от ivanov17

Пойдешь смотреть, меня позови, мне тоже интересно :)

gns ★★★★★
()
Ответ на: комментарий от intelfx

Я в курсе зачем нужен джек. А траблы с пульсой все равно есть.

gns ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.