помогите определиться

а внутри ебилда может быть добавление каталога в список sandboxa, доступных для записи (http://devmanual.gentoo.org/function-reference/sandbox-functions/index.html)? если есть контроль песочницы посредством ебилда - то о какой вообще защите может идти речь? или я что-то не так понял? так есть контроль песочницы в ебилде или нет?

ну речь шла о самом ебилде, но конечно в идеале хочу иметь 1000% гарантии что установка очередного пакета или обновление системы мне нее навредит

А sandbox придумали не для этого - это защита от криворукого апстрима. Если ты параноик - тебя спасет только мандатный контроль доступа. Все логично и по старой формуле - «безопасность=1/удобство»

2. Будь так добр, поставь самую базовую систему gentoo (ту, что в stage3) с ~arch. Не обновляясь. Так, чтобы начал установку- весь софт сразу ~arch.

И опять же в чем именно по твоему преимущество ~arch в funtoo если в её же профиле замаскано все и тулчейн и udev… По твоему обновить стабильную gentoo stage3 до любого состояния нестабильности выйдет дольше по времени?

хочу иметь 1000% гарантии что установка очередного пакета или обновление системы мне нее навредит

да пожалуйста - пиши правила на grsec/selinux и поддерживай их сам :-D

поставь самую базовую систему gentoo (ту, что в stage3) с ~arch. Не обновляясь.

легко - man catalyst

вариант за подключением тиндербокса и быстрым бинарным обновлением не рассматривается?

src_install это одна из фаз установки ебилда.

ну как уже сказали безопасность обратно пропорциональна удобству, как и в любом другом дистре (может кроме nixos, puppylinux и прочих систем где каждый пакет в своей песочнице).

?

А речь сейчас не о преимуществах. Просто если хочется ставить ~arch, то и ставим ~arch, а не обычное и обновляем.

А речь сейчас не о преимуществах. Просто если хочется ставить ~arch, то и ставим ~arch, а не обычное и обновляем.

Да нет речь сейчас о том, что ~тулчейн и ~udev в funtoo по сравнению с gentoo не такие уж и ~.

Ибо в funtoo замаскано много чего. А на фоне этого даже вся возня по обновлению стабильной gentoo до любого состояния нестабильности просто ничто.

тебе нужна сборка сразу ~arch - будь добрым, собирай со stage1

что вы можете рассказать про генту и про установку wine на 64-битной системе?

А тут нечего расказывать. Всё просто работает... до тех пор, пока какой-то упоротый мейнтейнер не сломает своими пакетами.

Для этого и существуют майнтейнеры

они проверяют КАЖДЫЙ ебилд, и в дерево попадают только проверенные?

в exherbo то же нет защиты от ебилдов?

Каждый? Наврядли. У них идет нехватка.

Тссс, только никому не говори. В репозитарий gentoo-x86, где находится главное дерево портажей Gentoo имеют коммит-доступ только, ВНЕЗАПНО, разработчики Gentoo. То есть ебилды попадают туда после проверки ими

минимальная проверка - сборка/тесты/установка/проверка работоспособности проводится при добавлении пакета как минимум для arch(а лучше - для arch и ~arch), на которых он добавляется.

было бы здорово, если б в портаже была фича по проверке ебилдов перед началом установки на наличие действий с определённым списком файлов. никто интересно подобный патч/скрипт не писал?

а sandbox тогда для чего? Хотя было б нелохо иметь FEATURES=«check-ebuilds» если конечно это не велосипед.

ебилд же может его игнорировать

Ниразу такого не было, хотя писал свои самопальные ебилды.

http://devmanual.gentoo.org/function-reference/sandbox-functions/index.html
я имел ввиду что такая возможность есть, или я чего-то неправильно понял в мануале? в статье имеется ввиду какие-то другие функции?

adddeny 	Add one single additional item to the sandbox deny write list. 

Может то, что нужно.

я походу неверно понял написанное. я с ебилдами дел не имел и не знаю об их устройстве. увидел addwrite и подумал что это может присутствовать в ебилде. т.е. там речь не о функциях ебиода а просто про sandbox?

Зевая: Угу...

хотелось бы понять, что ты реально хочешь. От различных rm -rf тебя портаж защищает, от конфликтов файлов от пакетов тоже, убедиться что всякие каталоги типа /media не трогать будет.. Ну как совсем жестокий вариант:

INSTALL_MASK = [space delimited list of file names]
              Use this variable if you want to selectively prevent certain files from being copied into your file system tree.  This does not work on  symlinks,  but
              only  on  actual  files.   Useful  if  you wish to filter out files like HACKING.gz and TODO.gz. The INSTALL_MASK is processed just before a package is
              merged.  Also supported is a PKG_INSTALL_MASK variable that behaves exactly like INSTALL_MASK except that it is processed just  before  creation  of  a
              binary package.

Я планирую перебраться как будет больше времени ну или попробовать перебраться на exherbo. Но сейчас просто лень. К слову, как десктоп я использую windows (server 2012 (бесплатно студентам же))

1) Одинаково, единственное, gentoo (funtoo) может быть немного менее из-за того, что сам проект гораздо больше и далеко не все пишут качественные инструкции. Скажем от того, что zmedico не использует mercurial в багтрэкере уже давно висит баг, касаемый hg сертификатов, и в то же время, есть много инструкций, которые используют mercurial.

2) Идентично. В gentoo более удобная из-за наличия огромного количества еклассов, в которых, честно говоря, чёрт ногу сломит, порой они чрезмерно сложны, как мне кажется. Многие пакеты в gentoo включают еклассы, которые не используют - это не есть хорошо.

3) идентично

4) и в gentoo и в exherbo есть защита от этого.

По поводу gentoo vs funtoo, я советую начать с gentoo, потом посмотри на funtoo, внимательно оцени, и если тебе действительно нужны какие-то вещи от туда, то или переноси их в свою систему ну или уж тогда переходи на Funtoo. Я аргументирую: Gentoo оценивают в той или иной мере разработки Funtoo, и есть аргументированные причины, что бы не имплементировать эти «фичи». Нужно понимать, что Funtoo - это не только git дерево, это весь funtoo overlay, и я, честно говоря, не знаю почему им нужны все их изменения во всех этих пакетах, поэтому мне они не нужны. А про git дерево, это просто сервер делает rsync (по аналогу emerge --sync в gentoo) и заливает изменения в git, лично меня огорчает то, что я не вижу кто какое изменение внёс как и не вижу комментариев к изменениям, разве дерево не в cvs? почему не git --bare cvsimport? Видимо, на это тоже есть свои причины, но я повторю, я просто их не знаю, и вам советую прежде чем что-то использовать узнать зачем.

По поводу exherbo у меня слишком мало опыта, но вот этот человек - http://ivanmiljenovic.wordpress.com/ говорит, что возвращаться в gentoo он не хочет и он даже говорил, что подумает написать об этом в блоге. Так что советую, как минимум, попробовать.

тут Pinkbyte опровергает, намекая на то, что в ебилдах могут присутствовать команды, добавляющие исключения в список sandbox. он не прав? т.е ебилды всё-таки никак не могут модифицировать sandbox?

в funtoo я так и не смог установить grub2, его походу вообще в дереве нету.
в exherbo мизерная документация и отсутствие wiki. также непонятно почему они рекомендуют использовать systemd - о котором много нелестных отзывов о неудобстве его конфигурированя. так же не понятно, почему они заместо openvz предлогают baselayout. могу ли я установить openvz?

в funtoo я так и не смог установить grub2, его походу вообще в дереве нету.

:D ошибаешься, там grub = grub2, там нет grub1.

в exherbo мизерная документация

Есть всё необходимое (а это доки по палудису) + irc канал, спрашивай, очень вежливое сообщество.

http://www.exherbo.org/docs/exheres-for-smarties.html - тут большая часть

непонятно почему они рекомендуют использовать systemd

Как раз таки понятно. Вы больше этих «отзывов» слушайте.

могу ли я установить openvz

я думаю, что это просто никому не нужно и никто не пробовал.

:D ошибаешься, там grub = grub2, там нет grub1.

а почему тагда emerge говорит что будет установлен первограб?

ну иожет и действительно стоит дать эксербо второй шанс. хотя местами оно внушает неадекватность: советовать unetbootin - это что-то. хотя может это у них такой юмор - ведь exherbo расчитана на людей, которые знают что делать...

кстати за что создателя exherbo турнули из gentoo? я смотрел видео-презентацию - какая-то у него дикция странная - толи просно накурен, толи какой-то *инщик

а почему тагда emerge говорит что будет установлен первограб?

https://github.com/funtoo/funtoo-overlay/blob/master/sys-boot/grub/grub-1.99.... - этот?

ну иожет и действительно стоит дать эксербо второй шанс.

Сначала дай первый, потом говори о втором.

хотя местами оно внушает неадекватность: советовать unetbootin - это что-то.

Не понимаю, а что в этом плохого-то? Довольно удобно. Опять религия?

*инщик

? не понимаю

кстати за что создателя exherbo турнули из gentoo?

Pinkbyte хранит где-то link на обсуждение в багтрекере. Как я понимаю был чересчур экспрессивен.

Не понимаю, а что в этом плохого-то? Довольно удобно.

ты наверное счасливчик, у котороно оно всё-таки заработало. у бОльшей чпсти народу на лоре после него записанный образ не загружался. в том числе и у меня.

*инщик

?> не понимаю

метамфето геро. я ничего против него не имею, просто напоминает дикция, хотя может просто человек такой

Pinkbyte хранит где-то link на обсуждение в багтрекере. Как я понимаю был чересчур экспрессивен.

странная причина. что в этом плохого?

ты наверное счасливчик, у котороно оно всё-таки заработало. у бОльшей чпсти народу на лоре после него записанный образ не загружался. в том числе и у меня.

Windows Power \o/

а в последнем EAPI на уровне ебилда

уж не про user_epatch ли ты (или как оно там)?
кривая наполовину рабочая херня
ещё и требует от поддерживающего ебилд следить за работоспособностью

странная причина. что в этом плохого?

он делал что хотел и не советовался ни по одному вопросу, который касался других разработчиков. Подробности

чем тебе не угодил epatch_user?
Берет патчи из /etc/portage/patches/category/package[-version] (в зависимости от наличии [-version] - берет для конкретной версии пакета или для всех)

ещё и требует от поддерживающего ебилд следить за работоспособностью

Много еклассов ее используют уже. Она есть по умолчанию в base eclass. И да, это user-patches, они видны в выхлопе build.log и их использование целиком на совести юзера

тем, что работает далеко не всегда
когда это всё допилят - хер их знает
потому пока так - всё работает всегда и на любых ебилдах, в отличии от

Много еклассов ее используют уже.

много != все
потому вертел я эту херь на причинном месте

тем, что работает далеко не всегда

приведи пример, когда не работает, мне реально интересно - не хочется наступить на грабли

я не помню уже - не пользуюсь я это недоделкой
у меня велосипед работает уже пару лет без проблем
погугли темы - на генту.ру были треды, там некий утырок слепнога пытался защитить эту херню, просто закрывая глаза не её неработоспособность

были треды, там некий утырок слепнога

Да, есть такой наркоман.

я не помню уже - не пользуюсь я это недоделкой

учитывая, что полная проработка user_patch, подтверждение консульством и последующие корректировки и добавление его в pms было меньше месяца назад, то твоё мнение может не отражать текущую действительность.

меньше месяца назад

о чём и речь