LINUX.ORG.RU
ФорумAdmin

Сравнение SysV и systemd

 , ,


1

3

По большей части вижу критику в область багов, проблем безопасности, недокументированных частей кода, юникс философи вайоленс(!) и даже личности создателя. (за качество скринов прощу прощения)

Но как можно аргументировать это? Я не «против» и не «за» systemd, просто хочется понять как люди раньше жили и живут, ограждая себя от таких фишек.



Последнее исправление: Cirno (всего исправлений: 2)

Ответ на: комментарий от anc

2. А точно будет робить? Я не пробовал, поэтому и спрашиваю.

В ALT это дефолт много лет:

$ ls -l /etc/mtab
lrwxrwxrwx 1 root root 12 Apr  4  2018 /etc/mtab -> /proc/mounts

AS ★★★★★
()
Ответ на: комментарий от AS

В ALT это дефолт много лет:

Спасибо! Т.е. получаеться вполне норм робит. Отлично, век живи век учись.

anc ★★★★★
()
Ответ на: комментарий от anc

У меня /etc/mtab -> /proc/mounts. Но у меня и systemd нет, использую openrc, это в документации к / ro написано.

Работоспособность с systemd конечно не гарантирую, это и есть моим основным аргументом против.

anonymous
()
Ответ на: комментарий от anc

Выше приведённые опции монтирования защитщают от 99% детских вирусов. Надо помнить что по умолчанию в Linux разрешается сделать:

mount -o remount,dev,exec,suid /dev/*

Борьба с этим это следующий уровень. Также главное правило построения безопасной ОС касается оперативной памяти: области оперативной памяти должны строго разделяются на исполняемые неизменяемые, изменяемые неисполняемые и неизменяемые неисполняемые. Изменения режимов выделения памяти тоже должно быть запрещено. В стандартном ядре Linux этого нет, необходимо патчить и пересобирать.

anonymous
()
Ответ на: комментарий от anonymous

правильные, безопасные опции монтирования

noexec не защитит от выполнения скриптов, не защитит от создания виртуальных fs через fuse и запуск файла оттуда, не защитит от виртуалок. noexec не добавляет безопасности, это миф.

/run/users/${USER} монтируется с опциями exec,rw, это сделано в недрах программы

Это сделано не в программе, а в стандарте. И именно для того, чтобы тебе подобные могли монтировать свой хомяк с какими угодно флагами, и это бы не ломало работу программ.

So when we standardized XDG_RUNTIME_DIR we did so because of the broken semantics of /home, where there's no guarantee that file locking, mmapping, unix sockets, fifos, exec, ... would work correctly. Hence for local runtime stuff we came up with XDG_RUNTIME_DIR, which should clean all this up, have a clear lifecycle and be the much better place for doing all these things.

gremlin_the_red ★★★★★
()
Ответ на: комментарий от anonymous

systemd какое-то время вообще отказывался грузить систему, если mtab был файлом, а не симлинком :)

deadNightTiger ★★★★★
()
Ответ на: комментарий от gremlin_the_red

/etc/sysctl.conf

kernel.grsecurity.rmount_protect = 1

Гарантирует невозможность монтирования и перемонтирования дисков в режиме exec,rw. Делать только на настроенных системах, изменить что либо будет уже невозможно, придётся грузится с LIVECD/DVD.

Откуда ты возьмёшь виртуалку на компе где её нет? И сторонние бинари не запустить никак?

Скрипты режутся дёшево простым chown и chmod. Два юзера одному даёшь скрипты - для работы, другому не даёшь - для инета:

chown root:scriptgroup ....

chmod o-rwxst ....

usermod -a -G scriptgroup programist

Программы и стандарты которые не удовлетворяют главному правилу построения безопасной ОС - сжечь вместе с их авторами! А их пользователям проповедовать отречение от этих прграм.

Покайтесь и отречитесь от systemd.

anonymous
()
Ответ на: комментарий от anonymous

Вижу только мучения с чтением (и пониманием) документации. На что автору уже указали.

gremlin_the_red ★★★★★
()
Ответ на: комментарий от anonymous

kernel.grsecurity.rmount_protect

На fuse распространяется?

Откуда ты возьмёшь виртуалку на компе где её нет?

То есть, noexec тебя не спасает, тебе приходиться и другие меры принимать. ЧИТД.

Скрипты режутся дёшево простым chown и chmod

echo «echo Hello world!» | bash

главному правилу построения безопасной ОС

И правило, и безопасность, существуют исключительно в твоём воображнии. А для безопасности используют изоляцию, ACL, SElinux и прочее, а вот noexec — не используют.

gremlin_the_red ★★★★★
()
Ответ на: комментарий от gremlin_the_red

Мне крайне не удобно и нет возможности отвечать.

Есть недостаток в вашем образовании который должны ликвидировать сами.

Есть возможность дать ГАРАНТИИ безопасности.

Вы проги для удобства администрирования используете для безопасности.

Начните с https://en.m.wikibooks.org/wiki/Grsecurity/Appendix/Grsecurity_and_PaX_Config...

anonymous
()

нуда,очень многие люди пишут плохо про системд , в противопоставлении этого , слабые специалисты пишут что-то хорошее про системд. анализируя это я пришел к выводу что системд еще неготово, сыро.

niolijke
()
8 сентября 2019 г.
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.