systemd 255

Я бы вообще FHS перелопатил. В своём будущем дистрибутиве так и сделаю.

Зашифрованный рут

Зачем это? Боишься, что компетентные органы обнаружат твою переписку с москалями в /etc?

Как оно в сравнении с openRC?

не использовал OpenRC

я сам не сварщик, просто недавно интересовался про иниты, что запомнилось – на C++, опакечено в OpenBSD, параллельный запуск сервисов, мягкие/жесткие зависимости – сервис продолжит запуск если мягкая зависимость отвалится, декларативная конфигурация, пользовотельские сервисы, не зависит от PID 1 можно использовать в контейнерах. тут у автора есть пример инита. cgroups, монтирование разделов не поддерживает, опять скрипты, черт побери!

где-то была ссылка на сравнение с другими инитами, не могу найти :( тут есть интересное

Вот теряешь ты свой ноутбук - а там все твои данные и коллекция фурри-порно.

Лично я бы не хотел, чтобы на моих фуррей дрочил какой-то левый хер. Они только мои.

… Чтобы не запускать fsck на корне? Только не говори, что можно запускать его на ридонли, потому что на самом деле нельзя.

Прогресс неумолим, но на самом деле можно.

Вот теряешь ты свой ноутбук…

Хера се так упиться.

На самом деле нельзя. Когда ты запускаешь fsck на смонтированном разделе, возможна ситуация гонки между fsck и драйвером смонтированной ФС.

Да, на вопрос про нужность отдельного /usr ему действительно нечего ответить. Мне он тоже клоуна поставил

А я хитрожопый, и не держу данные на ноутбуке даже в хомяке. Только унылый говнокод.

Вот! Тебе не нужно шифрование, а разработчикам systemd не нужен отдельный /usr. Ненужность этой фичи обосновать очень просто: «Хера се так упится, чтобы захотеть /usr на отдельном разделе!»

:)

Кто-то хранит файлы на корне? Как мне кажется, шифрование корня — не более, чем способ усложнить себе жизнь. Тогда как шифрование данных вполне может быть оправдано.

… возможна ситуация гонки между fsck и драйвером смонтированной ФС.

В первый раз слышу. Ссылочкой не поделитесь? Естественно, желательно, чтобы это на уровне sysinit было, а не тогда, когда init уже процессы форкать начал.

Если файловая система подключена – fsck и драйвер могут попытатся одновременно модифицировать один и тот же ресурс. Например, запись в журнале

Может у кого-то /home не на отдельном разделе. Как у меня например, мне так удобнее. Правда шифровать я ниче не собираюсь. Зашифрованные разделы это кмк само по себе уже повод для набутыливания.

На ноуте это абсолютно стандартный способ, чтобы не трахаться с разметкой. Может сложиться ситуация, когда тебе нужно больше места, чем есть в хомяке, и доступное место есть в корне с запасом, но использовать ты его не можешь.

Я раньше тоже делал всякие разметки по феншую, потом просто хер забил и делаю /boot и /, всё.

Я об этом узнал от intelfx. Беглый поиск показал, что это действительно так, но почему-то об этом мало кто знает. Чтобы избежать этой ситуации, на своих встраиваемых системах я специально делал хуки для проверки несмонтированного корня именно из initrd.

… fsck и драйвер могут попытатся одновременно модифицировать один и тот же ресурс. Например, запись в журнале

Я, конечно, не настоящий сварщик, но… В режиме чтения… Все лезут в журнал на запись… Да ну нафиг. Ссылочку дадите?

На счет журнала в ro я могу ошибаться, но с инодами такое точно может возникнуть. Даже в ro файловая система будет обновлять время доступа к файлу

Если система в ридонли, в журнал ничего не пишется. Точнее, это зависит от драйвера ФС, но в целом не должна. По крайней мере для ext4 и других мейнстримных ФС можно считать, что это так.

Это не обязанности инита. Для этого есть другие программы.

Так и в systemd это делает не инит :)

systemd is a suite of basic building blocks for a Linux system. It provides a system and service manager that runs as PID 1 and starts the rest of the system.

Это уже и не init. Init лишь часть

В первый раз слышу. Ссылочкой не поделитесь?

Ссылочкой на что? На определение race condition? Пожалуйста: https://en.wikipedia.org/wiki/Race_condition#Data_race

Естественно, желательно, чтобы это на уровне sysinit было, а не тогда, когда init уже процессы форкать начал.

Осталось только узнать, что такое «sysinit», особенно противопоставляемый «тому, когда init уже процессы форкать начал», потому что fsck — это, внезапно, процесс в юзерспейсе, а стало быть он может быть запущен только путём форка init’ом или его потомком.

А ну запусти networkd без systemd.

Сейчас по факту да. Однако в начале заявлялся как инит.

А ну запусти модуль ядра линукса без линукса.

Ну в начале и был. А сейчас.

А ну запусти networkd без systemd.

Элементарно, Ватсон:

$ sudo docker run -it --rm --privileged archlinux
Trying to pull docker.io/library/archlinux...
Getting image source signatures
Copying blob 94012c774717 done
Copying blob bb303f4daf31 done
Copying blob 611e91f2fbf8 done
Copying blob d71957b4d7f7 done
Copying blob c003ccab720b done
Copying config b389db977f done
Writing manifest to image destination
Storing signatures
[root@e0fcdf3b3973 /]# pgrep systemd
[root@e0fcdf3b3973 /]# mkdir /run/systemd
[root@e0fcdf3b3973 /]# /usr/lib/systemd/systemd-udevd --daemon
Starting version 243.51-1-arch
[root@e0fcdf3b3973 /]# udevadm trigger --action=add
[root@e0fcdf3b3973 /]# /usr/lib/systemd/systemd-networkd &
[1] 52
[root@e0fcdf3b3973 /]# eth0: Gained IPv6LL
Enumeration completed

[root@e0fcdf3b3973 /]# networkctl
IDX LINK TYPE     OPERATIONAL SETUP
  1 lo   loopback carrier     unmanaged
  3 eth0 ether    routable    unmanaged

2 links listed.

(ref.)

Однако в начале заявлялся как инит

Unix вообще поначалу был запускалкой игры.

А GTK - тулкитом для графического редактора.

в общем, это не аргумент, а ерунда.

Я об этом узнал от intelfx…

Угу. Рабинович по телефону насвистел. :)

… Беглый поиск показал…

Мне не показал.

… на своих встраиваемых системах я специально делал хуки для…

Проще никак? Ну геморрой же каждый раз initrd новый и образ системы больше. Вот если даже приспичило так, создал диск tmpfs, скопировал туда /lib, /sbin, смонтировл туда /proc и /dev, сделал pivot_root на этот диск, размонтировал старый root, проверил, перешёл на старый root, освободил tmpfs. Строчек двадцать всего-то. Один раз сделал и дальше само работает.

Проще никак?

Тот вариант, который ты описал, точно не проще

Вот если даже приспичило так, создал диск tmpfs, скопировал туда /lib, /sbin, смонтировл туда /proc и /dev, сделал pivot_root на этот диск, размонтировал старый root

Если у тебя накрылся основной суперблок – ты просто не сможешь смонтировать корень и система не загрузится. А fsck из initramfs проверит файловую систему и восстановит суперблок.

… fsck — это, внезапно, процесс в юзерспейсе, а стало быть он может быть запущен только путём форка init’ом или его потомком…

Да, конечно, но есть нюанс - init может ожидать его завершения больше ничего не запуская.

Я тебе только что объяснил, как это работает. Хватит отрицать реальность.

Мне не показал.

Плохо искал.

Ссылочкой на что? На определение race condition? Пожалуйста: https://en.wikipedia.org/wiki/Race_condition#Data_race

Угу. Спасибо. Но это немного не то, что я просил. Вопрос уточнить? Ссылка на гонку при проверке файловой системы смонтированной в режиме только для чтения при условии, что в системе только один активный процесс - fsck.

Во-первых, ты не контролируешь, что и в какой момент драйвер ФС решит прочесть с диска.

Во-вторых, ни один fsck из известных мне не способен самостоятельно перезагружать систему. Следовательно, управление должно вернуться в то, из чего он вызван, после чего должен быть запущен ещё как минимум один процесс, в то время как содержимое диска уже непредсказуемо изменено.

Дальше продолжать?

что в системе только один активный процесс - fsck

Ты не можешь это контролировать

… Даже в ro файловая система будет обновлять время доступа к файлу

man 8 mount

Искать по ключевому слову «atime».

Если у тебя накрылся основной суперблок – ты просто не сможешь смонтировать корень и система не загрузится. А fsck из initramfs проверит файловую систему и восстановит суперблок.

Офигенно. Но есть один вопрос. А откуда система загрузит initramfs если накрылся суперблок?

С отдельного раздела. Сюрприз, блджад, да?

Я тебе только что объяснил, как это работает…

Что работает, как работает, где объяснил?

… Дальше продолжать?

Да. Это действительно интересно.

Что-то я ничего не нашел про несовместимость atime и ro

Но даже если так, одновременное чтение драйвером инода и модификация fsck того же инода – это уже race conditions

Еще раз: это зависит от реализации файловой системы. Общим правилом является отсутствие операции записи при ro. Более подробно читай не в мане, а в руководстве к используемой ФС. Искать пункт про ro.

Я объяснил тебе про гонку и про драйвера. Если ты продолбился в глаза - прочитай объяснения еще раз. А потом еще раз, и повторяй, пока не поймешь.

Драйвер ФС не ожидает, что файловая система будет изменена, пока он с ней работает. Даже если она в ридонли, никакой записи в процессе доступа к ней производится не будет, вопреки твоим домыслам при atime. Результатом запуска fsck будет непредсказуемое поведение из-за изменения файловой системы.

Или по-твоему какие-то волшебные гномики из fsck должны по слуховой трубе постоянно сообщать в ядро, что там на диске что-то поменялось?

С отдельного раздела. Сюрприз, блджад, да?

А отдельный раздел root (да ещё ro, да ещё в squashfs или в iso9660) это как? Сюрприз, нет?

Я как пользоатель slackware не понимаю всех этих страстей по systemd.

Я объяснил тебе про гонку и про драйвера…

Где! Там тупые домыслы. Где реальная ссылка?

… Если ты продолбился в глаза - прочитай объяснения еще раз. А потом еще раз, и повторяй, пока не поймешь.

Это не объяснения, а херня высосанная из швабры, которой Рабинович дверь подпирал. Хотя, конечно, ага, «джентльменам верят наслово».

Если сам продолбился в мозг, не надо на мои глаза стрелки переводить.

Где! Там тупые домыслы. Где реальная ссылка?

Где там домыслы? Драйвер фаловой системы может прочитать конкретный инод, даже если файловая система смонтирована в ro? Может. А может ли fsck модифицировать инод, пока драйвер его читает? Может. Может ли fsck надежно блокировать доступ к иноду во время модификации? Нет. Вывод сам сделаешь, или подсказать?