systemd 253

Прилетело вот в ArchLinux только что. И что-то здорово снесло крышу в efi.automount сразу после обновления на 253.

dev-disk-by\x2ddiskseq-1\x2dpart1.device: Job dev-disk-by\x2ddiskseq-1\x2dpart1.device/start timed out.
Timed out waiting for device /dev/disk/by-diskseq/1-part1.
Dependency failed for File System Check on /dev/disk/by-diskseq/1-part1.

Тупо не мог зайти в примонтированный ESP раздел, пока не дошло его umount и потом обратно mount вручную. Видимо так уже с новым systemd монтируется и ему становится хорошо.

Мне оно надо, чтобы после изменений в ядре/образе переложить вручную из /boot в правильный путь к ESP. Иначе всё рухнет на перезагрузке.

Так просто, сообщаю на всякий случай.

«XMPP/IRC просто работает» только в том случае, если твои задачи сводятся к «сидеть весь день, попёрдывая, у подключенной к розетке коробки под столом» (и общаться со строго ограниченным кругом лиц с правильными™ серверами и клиентами).

Собственно, к чему и был референс.

В любом ином случае —

XMPP просто не работает

systemd --version
systemd 249 (249.11-0ubuntu3.6)

Мне больше симпатично вводить pin от yubikey

Можно вводить PIN от TPM. Дежурное напоминание, что yubikey есть не у всех, а все обсуждаемые приседания делаются в первую очередь в пользу тех, у кого его нет (т. е. у подавляющего большинства).

Вместо пароля на LUKS расшифровывать через TPM и вводить пароль только на юзера. Результат: пароль все равно вводить

Вместо пароля может быть любая другая аутентификация (биометрия, более простой/массовый/дешёвый токен, любые другие изобретения), причём ты не ограничен одним фактором или одним экземпляром.

дольше ждать

Короче, потому что меньшее количество работы оказывается заблокировано невведённым паролем.

Атакующий-дебил поимел рута удаленно и решил поменять мне initrd. Решительно не понимаю, зачем обсуждать этот сценарий

Я тоже.

Стандартный мямлинг про мифическую защиту от evil maid attack, которой нет и быть не может

Ты очень лихо противопоставляешь конкретным аргументам стандартный мямлинг «они ложны, потому что я так сказал».

Этот journalctl ужасно неудобен, и довольно трудно запомнить, что в нём там к чему

А то все остальные команды ты помнишь наизусть от рождения.

Удивляюсь, насколько сложной удалась такая простая операция – просмотр логов какой-то службы

«Просмотр логов какой-то службы» осуществляется одним ключом (journalctl -u СЛУЖБА). Кажется, сделать ещё проще в принципе нельзя.

Возможно, дело в IQ?

Использую XMPP с мобилы буквально каждый день, а вот ты, походу, только с напевов Рабиновичей.

См. ремарку про правильные серверы и клиенты. Твоё утверждение ложно; я перепробовал три сервера и два клиента и во всех случаях это были непрекращающиеся боль и страдание.

Возможно, нужно пользоваться правильной™ платформой (т. е. ведром, под которое есть единственный правильный™ мобильный клиент), но я не хочу подбирать телефон под мессенджер.

безопасность при утере ослаблена.

Ты пропустил.

Ты очень лихо противопоставляешь конкретным аргументам стандартный мямлинг «они ложны, потому что я так сказал».

Потому что это очевидно и я действительно уже много раз сказал, но я не гордый, я повторю. Берёшь ноут жертвы, если там нестандартно выглядит процесс загрузки, записываешь на видео процесс загрузки какой-нибудь HDMI-хваталкой. Меняешь на ту же модель ноута, которая проиграет эту запись при нажатии «вкл» и введённый пароль сольет через модем. Теперь у тебя есть и диск, и TPM, и пароль. Все, всем труба, контрмер нет.

Аааа, ты купил дамбфон, который не может держать открытым TCP-соединение? Там да, там ад. Виноват, конечно, XMPP. –sarcasm

Ты пропустил

Потому что не пытаюсь с этим спорить, она действительно ослаблена, именно столько стоит удобство.

Все, всем труба, контрмер нет

Дежурное напоминание о том, что абсолютной безопасности не бывает и безопасность не является булевым свойством. Если задаться целью, атаковать можно что угодно, задача в том, чтобы максимально усложнить задачу атакующего.

Если чуть более конкретно, установку буткита можно тривиально автоматизировать и заниматься этим, например, изъяв железку на 5 минут. То, что ты описываешь, тривиально автоматизировать нельзя (как минимум потому что «та же модель ноута» не подойдёт, тебе нужно кастомное железо).

Если ещё более конкретно, network evil maid, кажется, можно митигировать сочетанием внутреннего и внешнего факторов (e. g. TPM скрывает от анализа хранящийся на хосте challenge для юбикея, без правильно challenge юбикей не выдаст правильный response). Если юбикей — это единственный фактор, ты будешь подвержен той же атаке.

Виновата дерьмовая архитектура XMPP, которой нужно держать открытым TCP-соединение, конечно же.

На самом деле плевать на TCP-соединение. Без пушей я как-нибудь переживу, проблема в том, что всё остальное тоже разваливается.

hostnamectl показывает время окончания поддержки ОС

и что, в генту тоже покажет?

если выкинуть бессмысленный ненужный grub и пользоваться удобным современным systemd-uefi, то видно, что очень удобно, когда один вариант загрузки — это просто два файла (конфиг + ядро)

А то все остальные команды ты помнишь наизусть от рождения.

Cat, grep, tail -f. Я часто ими пользуюсь.

«Просмотр логов какой-то службы» осуществляется одним ключом (journalctl -u СЛУЖБА). Кажется, сделать ещё проще в принципе нельзя.

1. Почему u? При чём тут u вообще?
2. Less-подобный выхлоп.

В итоге там выходит что-то вроде

shitlikejournalctl -xe svc -f

И оно ещё тупит, если f передвинуть. Что-то такое там.

И не работает автодополнение по имени сервиса. Ну просто отстой.

и возможно ещё все модули, которые могли бы подгружаться динамически

С какого перепугу UEFI это должен подписывать? Ты chain-of-trust не осилил «в третьем тысячелетии нашей эры»?

Этот journalctl ужасно неудобен

Он очень удобен

и довольно трудно запомнить, что в нём там к чему, если не пользуешься им постоянно

Его делали не для голдонов с плохой памятью.

А я не пользуюсь им постоянно. Очень редко, когда что-нибудь работает не так.

Ленивые админы локалхостов должны страдать.

А как DRM этому помешает? Звук и картинку всё равно можно пиратить, ведь они выводятся на физическое устройство — а это значит, что сигнал можно перехватить. Тем более что производство сейчас на высоком уровне, любой желающий может начать клепать перехватывающие устройства для простых юзверей. Не удивлюсь, если они уже есть в продаже.

подключение корпорастов к разработке линуха уничтожит линух изнутри

Именно корпорасты из интела и межделмаша разработали линукс.

чё, реально кто-то считает, что секьюр-бут бесполезен? Алло, это линукс.орг.ру или спортлото?

Поверю, что есть подобные встраиваемые системы с кастомизированными настройками UEFI, чтобы пользователь не имел возможности модификации системы, но не в обычных десктопах и серверах.

так точно. В некоторых системах фирмварь, проверяющая подписи, часть SoC, у которого аппаратно на этапе пр-ва отключаются все интерфейсы отладки. На каждом чипе может быть свой ключ в ПЗУ, и общение между чипами шифруется. Ну и дальше успехов в прикладной микроскопии…

пульса всегда работала без нареканий

Хорошо быть вами. У меня почему-то вечно то пердит, то шипит, то тихий звук. Мне этот звук нужен на компе раз в год, но когда он нужен, обязательно приходится мочить пульсу. Вот только недавно понадобилось послушать фрагмент аудиокниги в тырнете, а вместо звука только пук-пук-пук в динамиках. Шел 2023 год. Модет быть оно все настраивается, но последнее, чем я хочу заниматься на компе, это настройка мутного звукового сервера. Статьи в арчевики по настройке этого ужоса наводят безнадежную тоску.

Возможно. Мне тут уже какие-то обновления только с pro-подпиской предложили.

убунту? Тоже видел такое теперь вот думаю а достаточно ли убунту безопасна?)) Ведь про подписки у меня не будет

Мне повезло, до сих пор на пульсе — вообще никаких проблем, правда я ничего кроме колонок не использую на компе, может потому не сталкивался.

Я уверен, что в случае разных девайсов могут быть трудности с переключением, но чтобы портился сам звук — вот вообще такого не встречал.

Хорошо быть вами.

Без ложной скромности, да.

С какого перепугу UEFI это должен подписывать? Ты chain-of-trust не осилил «в третьем тысячелетии нашей эры»?

Ядро не проверяет модули, которые загружает, на подпись каким-то там сертификатом из UEFI. Если есть возможность подменить образ ядра, его initrd, то динамические модули, которые ядро загрузит уже не из initrd, а после, останутся не проверенными.

Ленивые админы локалхостов должны страдать.

Ленив как раз тот, кому этот journalctl нужен постоянно на localhost. Потому что навести порядок на своей машине не может. Чтобы она работала.

Если разработчики посчитают нужным заполнить os-release, покажет.

Это не для стороны пиратов, я для юзеров. Например, если твой компьютер с DRM (то есть уже не твой), то ты в принципе не сможешь проиграть какой-то контент. В терминальной стадии - вообще не сможешь играть аудио/видео файлы, если у них нет подписи.

Это не так. Ядро проверяет модули, подписанные Debian, Ubuntu и пр.

остаточно вбить хэш образа в UEFI, и чтобы он только такие образы грузил. Подпись не нужна

Что ты несёшь?!

Зачем вообще пытаешься рассуждать о «корневых и прочих сертификатах» если ты ни бельмеса в PKI не смыслишь?

возвращение,уже официальное,в будку к хозяину только подтвердила

У тебя русский не родной или ты просто бухой в сопли?

hostnamectl показывает время окончания поддержки ОС

лучше бы кормил кота и ходил в магазин за пивом

Так от какого вектора атаки защищает этот бесполезный огород?

Это максимально подробно разжёвано в статье того же Леннарта например. Если ты не понял какое-то конкретное место в модели угроз - спрашивай. Если тебе лень читать и ты хочешь чтобы тебе пересказали - обратись к ChatGPT. Если ты просто не осиливаешь сложный текст - зачем комментируешь?

Мне эта хрень и даром не нужна,лишняя головная морока.

Ты даже не представляешь до какой степени всем насрать что тебе нужно, а что нет.

Evil Maid: neither online nor offline (i.e. “at rest”), physical access to a storage device should enable an attacker to read the user’s plaintext data on disk (confidentiality); neither online nor offline, physical access to a storage device should allow undetected modification/backdooring of user data or OS (integrity), or exfiltration of secrets.

Там написано, что есть TPM, и страсть как руки чешутся его применить, другие же применяют, а вместо модели угроз вот эта отмаза галимая. Мне, как пользователю зашифрованного ноутбука, давшемо кому-то физдоступ, эти пляски вприсядку полезных свойств не добавляют. Раскручивать ноут и вынимать SSD сложнее, чем тупо его заменить.

Это не так. Ядро проверяет модули, подписанные Debian, Ubuntu и пр.

До тех пор, пока в ядре включена эта функция. Что в ряде случаев очень неудобно.

Ну давайте расскажите, зачем что-то подписывать, если нужна зашита от подмены данных и можно просто проверить их хэш. Я весь внимание.

Ты даже не представляешь до какой степени всем насрать что тебе нужно

Фуфайка,всем насрать не только на твое мнение а и на твою тупую башку.

Вопрос уровня «зачем нужно срать, когда можно не срать».

Давай ты сходишь в википедию и почитаешь, зачем нужны PKI в принципе?

включите Bitlocker и посмотрите, насколько удобно могут быть реализованы меры безопасности без ограничений для пользователя

На редкость неудачный пример. Например при каждом обновлении прошивки диска винда требует recovery key - это очень неудобно.

если что-то начинает ломаться, то хрен поймешь где

У идиотов, игнорирующих документацию, жизнь вообще очень сложна и полна сюрпризов.

Зачем PKI, если нужно обезопаситься от подмены?

Я весь внимание.

подключение корпорастов к разработке линуха уничтожит линух изнутри

Это насколько же надо быть тупым чтобы до сих пор не знать кто разрабатывает линукс?

Хотя кто знает, что этот ко-ко-доверенный-бут значит.

Знают про это все, кто прочитал документацию. Соответственно ты о том, что «этот значит» не узнаешь никогда - тебе просто нечем. Голдон он и есть голдон - правильно ты ник выбрал.

и что, в генту тоже покажет?

А что, у них тоже есть поддержка?

Так можно далеко зайти. «Пароль на вход (права на файл и т.д., подставить нужное) работает, пока включена эта функция. Что в ряде случаев очень неудобно.»

Понятия не имею что такое эти ваши иниты, зачем они нужны, и что с ними делать.

Поставил ОС Убунту, вроде норм, посмотрел ютубчик в браузере, показал в вайбере девчонкам своего котика, потом позвонил кореш сказал что уже у порога, чтоб я выходил - стал выключать компутер, и увидел на черном фоне какую-то надпись A stop job for user чототам for UID чототам.

Спросил на профильном форуме (linux.org.ru) что делать, в ответ получил еще более непонятные слова: нуб, RTFM, УМВР.

Плюнул, достал макбук. Всьо почему-то просто работает.

Я часто ими пользуюсь.

Голдон, ты правда думаешь что кому-то не пофик чем ты пользуешься и как часто?

Что-то такое там.

Сразу видно настоящего профессионала :-D

реально кто-то считает, что секьюр-бут бесполезен? Алло, это линукс.орг.ру или спортлото?

Это ж ЛОР - тут всегда булькала небольшая, но вонючая популяция хейтеров под лозунгом «если я не осилил, значит это бесполезно», периодически пополняемая идиотами, не раздуплившими очередную технологическую новинку.

до сих пор не знать кто разрабатывает линукс

Судя по этому и предыдущим тредам линакс разрабатывает лично Заеббал вместе со своим любовником Леонардом. Непонятно только для кого, ведь юзеры идиоты и все равно не могут оценить гениальность решений.

Речь ведь о наборе файлов. Точнее о том, что тупое UEFI может только один файл проверить. Вместо 2-х, или более, произвольных.

А так да – ещё некоторые файлы, помимо модулей ядра тоже неплохо б проверить.