LINUX.ORG.RU

Линуксы и ОС в целом, поток сознания

 


0

3

Всех привествую. У меня появились некоторые вопросы о линуксе и ОС в целом. Вот возьмем винду, иналляторы программ ставят различные библиотеки, программы разбрасываются направо и налево папками и файлами, засирают файловую систему, а поставляемые ими удаляторы не справляются со своими обязанностями: зачастую удаляют папку из program files и ярлыки из пуска, всё. В линуксе же обитает пакетный менеджер! Единственная панацея от хлама, как я думал. Полазив по лору, мне удалось выяснить, что установив и удалив пакет - система не станет такой же девственно чистой. Записав в какой-нибудь общий файл свои параментры, она их не удалит. Свои конфиги она тоже не удаляет. А что находится на уровне глубже? Может в этом новомодном systemd, dbus или еще где-нибудь тоже остаются какие-нибудь следы? Я хочу полную независимость программ от системы и друг дружки.

Я помешан на безопасности системы, устойчивости к уязвимостям. Есть ли дистрибутив с повышенной безопасностью, который обновляется без проблем и моего вмешательства. Дистрибутив, который я бы установил, поставил пакеты и оно бы работало, просто работало. Думаю, все хором скажут - дебиан стейбл. Но стабильный ли дебиан стейбл? Давайте-ка вспомним основную проблему виндовса: старый софт = уязвимый софт. Старый виртуалбокс? Есть вероятность выйти из виртуализации. Старое ядро линукс? Не безопасно, не зря версии всё выходят и выходят. Как работает дебиан в моем видении: видимых багов нет - пользуемся мамонтом, нашелся сурьезный баг - обновляем мамонта на следующую версию/клепаем свой патч и так до бесконечности. А если в новой версии разработчики ПО пересмотрели свое видение на часть кода в плане безопасности и изменили его, а дебионовцы всё еще продолжают насиловать заведомо уязвимый труп. Да, в обновлениях есть баги, но они тут же исправляются следующей версией этого софта и так до бесконечности, а в случае дебиана и большинства других дистрибутивов эта бесконечность останавливается: нет обновлений, есть уязвимости.

Идеальной для меня системой будет та, программы которой будут работать в контейнерах. Есть каталог с общими библиотеками, есть программы, которые сами по себе - каждая срет в строго отведенное ей место.

Как мне быть? Какому дистрибутиву я могу доверить свою безопасность? Какой дистрибутив обновляется полностью без моего участия во время установки ПО? Под этим вопросом я имею ввиду не травить меня файлами аля .pacnew, чтоб само оно справилось с конфигурационными файлами и не разваливалось.


Я помешан на безопасности системы, устойчивости к уязвимостям. Есть ли дистрибутив с повышенной безопасностью, который обновляется без проблем и моего вмешательства.

возможно проблема именно в тебе а не в дистрибутивах операционных систем..

..давай поговорим об этом.. расскажи — почему ты так хочешь безопасную систему и устойчиваю к уязвимостям

(более безопасную чем у других людей)

user_id_68054 ★★★★★
()

Под этим вопросом я имею ввиду не травить меня файлами аля .pacnew, чтоб само оно справилось с конфигурационными файлами и не разваливалось.

кастую в тему искусственный интеллект!

если этот Искуственный Интеллект способен смерджить старую версию конфига с новой версией конфига (от произвольной программы) — то наверное этот ИИ и на форумах трындеть умеет :-)

user_id_68054 ★★★★★
()

Свои конфиги она тоже не удаляет

Портянку ты высрать осилил, а ман почитать не осилил. Непорядок.

entefeed ☆☆☆
()
Ответ на: комментарий от entefeed

В этих манах одна инструкция по конфигам/параментрам программы. Зачем у пакмана в арче был придуман модификатор "-n", который удаляет конфиги приложений? Удаляет он из /etc, а программа уже успела домашний каталог засрать, но где еще она могла постараться?..

lajate
() автор топика
Ответ на: комментарий от user_id_68054

В теме же расписал, что старый софт = уязвимый софт. Новый софт = уязвимый софт. Но вот только во втором случае у тебя обновления за обновлениями выходят и выходят, а в первом случае изнасилованный патчами труп. Вот обновился virtualbox с 4.3 до 4.4, часть заведомо уязвимого в какой-либо степени кода было переписано, повышен уровень изоляции. Пользователи дистрибутивов-слоупков сосут лапу и ждут, ждут, ждут.. А в это время ожиданий мало ли что может произойти.

lajate
() автор топика
Ответ на: комментарий от lajate

я понял. и я согласен с тобой (по поводу: старое != безопасное)..

но я не понял — с чего вдруг тебе нужно какаю-то *ОСОБУЮ* повышенную безопасность?

являешься ли ты обладателем ценной информации на компьютере? (за которой охотятся *квалифицированные* злоумышленники, а не твои однокласники).

или быть может — являешься ли ты крайне ценным членом общества, и поэтому квалифицированный злоумышленник хочет тебя скомпрометировать? :)

или есть ещё какая причина, из-за которой стандартная безопасность\небезопасность тебя не устраивает?

user_id_68054 ★★★★★
()
Последнее исправление: user_id_68054 (всего исправлений: 2)

Бессмысленная писанина.

Dontes ★★
()
Ответ на: комментарий от lajate

Пользователи дистрибутивов-слоупков сосут лапу и ждут, ждут, ждут.. А в это время ожиданий мало ли что может произойти.

вся фишка в том что «безопасность» это не «состояние» а «процесс».

что это значит:

пользователи дистрибутивов-слоупуков — сидят на небезопасных версиях програм. это правда (я так тоже щитаю, но вопрос спорный).

но если у моего друга-линуксоида (невидимого друга, гы гы) — уязвимый слоупучный дистрибутив — это не значит что этот мой друг находится в небезопасности.

предположим злоумышленник хочет взломать моего друга. квалификации злоумышленника предположим что хватит за «ограниченное время» подготовить эксплоиты.

но вероятнее всего это «ограниченное время» натолько большое что мой друг уже успееет обновить свой слоупучный дистрибутив (быть может даже обновить на мажорную версию).

и хакер соснёт лапу.

# P.S.: предположим что ты (в отличии от моего невидимого друга) являешься ценным членом общества с ценной информацией на твоём компьютере. в этом случае быть может найдётся очень-очень квалифицированный хекер, который не просто сделает эксплоит, а сделает его ОЧЕНЬ БЫСТРО(!) и успеет его применить на тебе, ещё до того момента как ты обновился.. но если ты не являешься таковым как я тебя опсиал тут — то волноваться не стоит :-)

user_id_68054 ★★★★★
()
Последнее исправление: user_id_68054 (всего исправлений: 1)

Да собственно всё движется к контейнерам приложений, полагаю, что через лет 5-7, а может и чуть раньше, приложения будут (во всех дистрибутивах) устанавливаться именно так, как ты хочешь.

redhat
()
Ответ на: комментарий от Hertz

Я помешан на безопасности системы
Как мне быть? Какому дистрибутиву я могу доверить свою безопасность? Какой дистрибутив обновляется полностью без моего участия во время установки ПО?

Какому дистрибутиву я могу доверить
без моего участия

NO COMENTS. ФЕЕРИЧЕСКИЙ ДЕБИЛ.

anonymous
()
Ответ на: комментарий от anonymous

Давай вспомним gentoo hardered. Я строю свою безопасность, различные взаимодействия между программами и так далее, но я 1, я могу накосячить. Любая мелочь, на которую я не обратил внимания может стоить многого. Я лучше доверюсь готовому стандартному ядру, которое работает, просто работает. Пускай оно может быть не на столько безопасно, как полностью настроенная и отлаженная gentoo hardered, но я просто не смогу добиться такого состояния, т.к. я не понимаю принципа работы всего этого. Я готов управлять кирпичиками, но не пылью.

lajate
() автор топика
Ответ на: комментарий от user_id_68054

Какой нафиг искусственный интеллект? Сделать просто базу дефолтных значений и обновлять эти значения в конфигах, а то, что пользователь поменял — не трогать. Если уж совсем без пользователя никак, то да, спросить.

Но это так, просто доработки существующей системы. Ничего революционного. ТСу рекомендую разобраться со всякими там docker/lxc, посношаться и успокоиться и научиться писать скрипты.

batekman ★★★
()

Мне лень читать. Что сказать-то хотел?

ee1337a
()
Ответ на: комментарий от user_id_68054

Полагаю, подходящими дистрибутивами являются gentoo, arch, fedora. Первый сложен и, как мне кажется, погибает. Второй и третий - подходящие кандидаты, но выбрать нужно одного. В каком из них наиболее прозрачные обновления пакетов? О арче наслышан, что тот рассыпаться может, команду обновления запускаю по несколько раз в день, а что с федорой?

lajate
() автор топика
Ответ на: комментарий от lajate

Блин, да, такова жизнь! Напиши костыль к пакману, чтобы умел работать с вручную составленной базой мест, куда гадит приложение, или чруты используй. Да, если не чруты, то apparmor по-любому, а то ещё лиска твой домашний прон сольёт зарубеж.

batekman ★★★
()

сейчас я поужинаю и буду вдумчиво читать много текста, который ты написал...

Deleted
()
Ответ на: комментарий от lajate

а что с федорой?

по мне так хороший дистрибутив.. но я (лично моё мнение) не знаю как его обновлять на мажорную версию :-)

инструкций по этому поводу написано очень много, однако, в этих инструкциях не сказано что делать с тем что список базового софта может различаться между мажорными версиями дистрибутива..

то есть — делая мажорное обновление — мне хотелось бы не просто увеличить версии пакетов, а именно *обновить* всё базовое окружение (если нужно — заменить список пакетов — на более актуальный список).. и при этом не трогать умышленно доустановленный пакеты.

такая же проблема могла бы быть и в Арчике (те кто переходил от sysvinit к systemd — наверное знают по себе).. но для Арчика я написал кастумную утилиту которая помогает следить за списками пакетов в моменты между обновлениями («pacman-what-installed»). а написать такую же утилиту для Федорушки — мне было бы слишком сложно, думаю..

user_id_68054 ★★★★★
()
Последнее исправление: user_id_68054 (всего исправлений: 4)
Ответ на: комментарий от lajate

Удаляет он из /etc, а программа уже успела домашний каталог засрать, но где еще она могла постараться?..

Встречный вопрос — а как pacman (да какой угодно инсталлятор чего бы то ни было) должен был об этом узнать? Вопрос риторический, ответ — никак, это не его дело. Если ты хочешь узнать, какие файлы создает та или иная программа, то запускай ее под strace'ом. Или делай find / > before.txt и find / after.txt до и после запуска соответственно, и сравнивай before.txt и after.txt. Не хочешь делать так на боевой системе — разверни виртуалку или chroot-среду на худой конец.

dexpl ★★★★★
()

И все-таки больше всего под твои требования подойдет дебиан стейбл. Уязвимости исправляются мейнтенерами пакетов - они готовят свои патчи, и довольно быстро. И обновление зачастую можно автоматизировать, за исключением каких-нибудь экзотических ситуаций.

anonymous
()

LFS решит твою проблему.

toney ★★★★★
()
Ответ на: комментарий от lajate

Отвечу кратко: пароль от почты в 100 символов и я его помню.

ну вот! :-)

я же и говорю! :)

это проблема больше психологическая, чем техническая!

какой смысл лечить симптомы (пытаться найти нужный дистрибутив), когда можно вылечить само заболевание (избавить себя от паранойи) ? :-)

****************************** приступим ******************************

я конечно не психиатр, но думаю что первый шаг на пути лечения от паранойи — это понять её причины..

подумай — что именно заставляет тебя думать что тебе якобы нужна повышенная безопасность.. (может это СМИ так на тебя действуют? новости о взломах? в этом случае подумай, откуда у тебя может быть такая чувствительность к СМИ... и т д.. всё по рекурсии)

причина может быть также и в детстве, в этом случае попробуй вспомнить когда-именно всё-это началось.. какие были первые признаки проявления...

обычно конечно параноя это результат высокого эгоизма («я такой классный, все восхощаются мной.. мне требуется защита!»), но рубить с плеча я не буду, так как обвинение в эгоизме это слишком серъёзно и даже попахивает оскорблением.. так что я прсто привёл пример, не более того :-) . в-этом причина или не-в-этом — мы покачто не знаем

user_id_68054 ★★★★★
()
Ответ на: комментарий от user_id_68054

> а что с федорой?

по мне так хороший дистрибутив.. но я (лично моё мнение) не знаю как его обновлять на мажорную версию :-)

вообще по этому поводу надо было мне сразу alpha-bookwar спросить.. и почему я это до сих пор не сделал... %) %)

user_id_68054 ★★★★★
()
Ответ на: комментарий от user_id_68054

предположим злоумышленник хочет взломать моего друга. квалификации злоумышленника предположим что хватит за «ограниченное время» подготовить эксплоиты.

Его взломает не какой-то определенный злоумышленник, а случайный бот из интернета, который автоматом проверяет машину на наличие всех ему известных уязвимостей. И с момента обнародования уязвимости до момента обновления бота может пройти очень мало времени, т.к. информация о публичной уязвимости и о том, как ее использовать, обычно легко доступна.

Короче, если твой друг не имеет ничего относительно ценного, то регулярное обновление, вкупе с осторожностью и грамотностью, защитит его от всего.

anonymous
()
Ответ на: комментарий от anonymous

Его взломает не какой-то определенный злоумышленник, а случайный бот из интернета, который автоматом проверяет машину на наличие всех ему известных уязвимостей.

ну примерно это я и имею ввиду. злоумышленник сделал бота. а бот начал пытаться взламывать всех подрят, кого смог найти (и у кого пароль «12345678» :))..

с момента обнародования уязвимости до момента обновления бота может пройти очень мало времени, т.к. информация о публичной уязвимости и о том, как ее использовать, обычно легко доступна.

всякие абсурдные уязвимости (абсурдно-допущенные ошибки) — тоже ведь мгновенно обновляются в слоупук дисрибутивах.. даже ждать мажорной версии не придётся для этого :-)

неисправленными остаются уязвимости потенциального характера (точнее говоря потенциальными их считают до тех пор пока кто-то не догадается как их превратить в «кинетические» :-))

user_id_68054 ★★★★★
()
Ответ на: комментарий от user_id_68054

неисправленными остаются уязвимости потенциального характера (точнее говоря потенциальными их считают до тех пор пока кто-то не догадается как их превратить в «кинетические» :-))

Уязвимость правят в тот же момент, как ее находят. Естественно, если ее нашли не люди с темной стороны силы :) . «Потенциальная уязвимость» в этом контексте - абсурдный термин.

anonymous
()
Ответ на: комментарий от anonymous

«Потенциальная уязвимость» в этом контексте - абсурдный термин.

если уязвимость требует перестроения архитектуры программы (и быть может разработчики сделают заодно и небольшой рефакторинг) — то в «стабильной» версии программы могут исправить лишь некоторые частные случаи проявления уязвимости, но потенциально уязвимость останется.

а в developer branch (git master, или как это ещё назвать) — действительно исправят потенциальную уязвимость — полностью. но когда это выйдет в релиз ещё не известно, например через недельку или через месяц в новой мажорной версии программы. а когда это попадёт в слоупок-дистрибутив — вообще же долго ждать! :)

такое же часто бывает.. разве нет?

user_id_68054 ★★★★★
()
Последнее исправление: user_id_68054 (всего исправлений: 4)
Ответ на: комментарий от lajate

Ничего не ждут, а просто пользуются и не парятся.

WRG ★★★★
()
Ответ на: комментарий от user_id_68054

если уязвимость требует перестроения архитектуры программы (и быть может разработчики сделают заодно и небольшой рефакторинг) — то в «стабильной» версии программы могут исправить лишь некоторые частные случаи проявления уязвимости, но потенциально уязвимость останется.

Хорошие программисты обычно не пишут программы с уязвимостями в архитектуре :) . Тем более, если программа предназначена для работы в агрессивной среде.

anonymous
()
Ответ на: комментарий от anonymous

Хорошие программисты обычно не пишут программы с уязвимостями в архитектуре :) .

разве? (а красивые девочки — не пукают? :))

я же не говорю что выявленная уязвимость заставляет *полностью* менять архитектуру программы..

..но бывает такое что *часть* архитектуры приходится перестраивать.

популярные программы — обычно сложны, так как имеют хренову тучу функционала. (программы с низким количеством функционала — не получают распространения.. и пусть любители unix-way меня хоть тряпками закидают, но это факт). и архитектура популярных програм — тоже сложна, потому и ошибки случаются бывает что..

user_id_68054 ★★★★★
()

говорят в openbsd полторы дыры

ii343hbka ★★★
()
Ответ на: комментарий от user_id_68054

разве?

Безопасную архитектуру проще разработать, чем написать безопасный код. Архитектуру придумывает один человек (ну или одна команда людей), а вот для реализации (то бишь, кода) могут использовать сторонние библиотеки, копипаст чьего-то чужого кода, плюс иногда могут быть трудности написать функционал на каком-то определенном языке (как пример - работа со строками в си). Вообще, если грамотно подходить к делу, то код надо писать в соответствии с архитектурой, поэтому при построении последней можно запросто указать граничные условия. Абстракция вообще проще для построения, чем реализация.

..но бывает такое что *часть* архитектуры приходится перестраивать.

Приведи пример, если не сложно. И не надо недооценивать мейнтейнеров, они, во-первых, умеют хотя бы написать хороший патч, а во-вторых, они читают рассылку разработчиков (в которой уже есть полезная инфа) и имеют возможность задать им вопрос.

популярные программы — обычно сложны, так как имеют хренову тучу функционала. (программы с низким количеством функционала — не получают распространения.. и пусть любители unix-way меня хоть тряпками закидают, но это факт). и архитектура популярных програм — тоже сложна, потому и ошибки случаются бывает что..

В инженерной практике есть обычай делать все максимально просто и доступно для понимания. С позиции диванного аналитика (^_^) я преставляю, что при построении архитектуры пользуются чем-то вроде ООП - т.е. выделяют большие задачи, их разбивают на подзадачи, их, в свою очередь, еще разбивают на составляющие, и т.д. В итоге архитектура становится проще для понимания и для внесения коррективов.

anonymous
()

Если вдруг где-то обнаружится уязвимость - узнают об этом разработчики всех дистрибутивов, но быстрее всего она будет исправлена в тех, в которых быстрее выкатят обновления. Недавно говорили о баге в Самбе - уже через пару часов в Ubuntu 14.04 выкатили фикс. Ещё Арч и Гента славятся оперативностью.

Valdor ★★
()

таким как ты нужна венда со включенными автообновлениями и отключенной учеткой админа. все. профит.

dk-
()

Я помешан на безопасности системы, устойчивости к уязвимостям.

Это помешательство. Вот тебе совет — заклей камеру на ноутбуке

TGZ ★★★★
()
Ответ на: комментарий от DeadEye

> погибает

Травой делись.

ну очевидно же! это всё потому что Джентушечка слишком медленно переходит на systemd :) [по дефолту и фатально!]

user_id_68054 ★★★★★
()

Как жить дальше? Поставил сузю, во время обновления решил посмотреть скринсейверы и нажал просмотреть скринсейвер бсода, в этот момент система зависла и перезагрузилась. Как символично блин.

YLoS ★★★
()
Ответ на: комментарий от DeadEye

Ну systemd не является меркой прогресса.

я слышал страшные истории о том что портирование пакетов (появление новых версий пакетов) под Джентушечку бывает что сильно тормозиться, потому что мэйнтейнеры пытаются придумывать хитрые патчи, которые бы позволяли бы этому пакету работать бы и с systemd и без systemd..

то есть (судя по этим историям), если бы в Джентушечке было бы только systemd, то появление новых версий пакетов было бы ощутимо быстрее..

как-то-примерно-вот-так :-) .. а тормознутость в появлении новых пакетов — пораждает ощущение умирания Джентушечки. собственно и про Дебинчик ровно тоже самое можно сказать (но в Дебианчике есть меньше свободы чем в Джентушечке, потому Дебианцам и проще этот кризис переваривать)..

[[всё сказанное — на правах бабки, которая услышала пару сплетен от бабулек-подруг, сидя по дворе на лавочке :) ]]

user_id_68054 ★★★★★
()
Ответ на: комментарий от user_id_68054

Хах. Да суть не в этом, Генте попросту мейнтейнеров не хватает. Новые поколения идут уже на рач (я видел идиотов-фанатиков арча), притока новых мейнтейнеров нет. А те, кто мог бы поддержать, чаще держат оверлеи.

DeadEye ★★★★★
()

Как мне быть? Какому дистрибутиву я могу доверить свою безопасность? Какой дистрибутив обновляется полностью без моего участия во время установки ПО?

Какому дистрибутиву я могу доверить
без моего участия

Дистрибутив Maverick операционной системы Mac OS X от компании «Об пол» Apple!

Deleted
()

Я помешан...
Думаю, все хором скажут - дебиан стейбл. Но стабильный ли дебиан стейбл?
Есть вероятность выйти из виртуализации.
версии всё выходят и выходят.
Как работает дебиан в моем видении:
клепаем свой патч и так до бесконечности.
пересмотрели свое видение на часть кода
продолжают насиловать заведомо уязвимый труп.
эта бесконечность останавливается:

Как мне быть?

Сходи к психологу.

mr_fff
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.