LINUX.ORG.RU

Сравнение SysV и systemd

 , ,


1

3

По большей части вижу критику в область багов, проблем безопасности, недокументированных частей кода, юникс философи вайоленс(!) и даже личности создателя. (за качество скринов прощу прощения)

Но как можно аргументировать это? Я не «против» и не «за» systemd, просто хочется понять как люди раньше жили и живут, ограждая себя от таких фишек.


Ответ на: комментарий от anc

У меня /etc/mtab -> /proc/mounts. Но у меня и systemd нет, использую openrc, это в документации к / ro написано.

Работоспособность с systemd конечно не гарантирую, это и есть моим основным аргументом против.

anonymous ()
Ответ на: комментарий от anc

Выше приведённые опции монтирования защитщают от 99% детских вирусов. Надо помнить что по умолчанию в Linux разрешается сделать:

mount -o remount,dev,exec,suid /dev/*

Борьба с этим это следующий уровень. Также главное правило построения безопасной ОС касается оперативной памяти: области оперативной памяти должны строго разделяются на исполняемые неизменяемые, изменяемые неисполняемые и неизменяемые неисполняемые. Изменения режимов выделения памяти тоже должно быть запрещено. В стандартном ядре Linux этого нет, необходимо патчить и пересобирать.

anonymous ()

правильные, безопасные опции монтирования

noexec не защитит от выполнения скриптов, не защитит от создания виртуальных fs через fuse и запуск файла оттуда, не защитит от виртуалок. noexec не добавляет безопасности, это миф.

/run/users/${USER} монтируется с опциями exec,rw, это сделано в недрах программы

Это сделано не в программе, а в стандарте. И именно для того, чтобы тебе подобные могли монтировать свой хомяк с какими угодно флагами, и это бы не ломало работу программ.

So when we standardized XDG_RUNTIME_DIR we did so because of the broken semantics of /home, where there's no guarantee that file locking, mmapping, unix sockets, fifos, exec, ... would work correctly. Hence for local runtime stuff we came up with XDG_RUNTIME_DIR, which should clean all this up, have a clear lifecycle and be the much better place for doing all these things.

gremlin_the_red ()
Ответ на: комментарий от gremlin_the_red

/etc/sysctl.conf

kernel.grsecurity.rmount_protect = 1

Гарантирует невозможность монтирования и перемонтирования дисков в режиме exec,rw. Делать только на настроенных системах, изменить что либо будет уже невозможно, придётся грузится с LIVECD/DVD.

Откуда ты возьмёшь виртуалку на компе где её нет? И сторонние бинари не запустить никак?

Скрипты режутся дёшево простым chown и chmod. Два юзера одному даёшь скрипты - для работы, другому не даёшь - для инета:

chown root:scriptgroup ....

chmod o-rwxst ....

usermod -a -G scriptgroup programist

Программы и стандарты которые не удовлетворяют главному правилу построения безопасной ОС - сжечь вместе с их авторами! А их пользователям проповедовать отречение от этих прграм.

Покайтесь и отречитесь от systemd.

anonymous ()
Ответ на: комментарий от anonymous

kernel.grsecurity.rmount_protect

На fuse распространяется?

Откуда ты возьмёшь виртуалку на компе где её нет?

То есть, noexec тебя не спасает, тебе приходиться и другие меры принимать. ЧИТД.

Скрипты режутся дёшево простым chown и chmod

echo «echo Hello world!» | bash

главному правилу построения безопасной ОС

И правило, и безопасность, существуют исключительно в твоём воображнии. А для безопасности используют изоляцию, ACL, SElinux и прочее, а вот noexec — не используют.

gremlin_the_red ()
Ответ на: комментарий от gremlin_the_red

Мне крайне не удобно и нет возможности отвечать.

Есть недостаток в вашем образовании который должны ликвидировать сами.

Есть возможность дать ГАРАНТИИ безопасности.

Вы проги для удобства администрирования используете для безопасности.

Начните с https://en.m.wikibooks.org/wiki/Grsecurity/Appendix/Grsecurity_and_PaX_Config...

anonymous ()

нуда,очень многие люди пишут плохо про системд , в противопоставлении этого , слабые специалисты пишут что-то хорошее про системд. анализируя это я пришел к выводу что системд еще неготово, сыро.

niolijke ()