LINUX.ORG.RU

Безопасна ли ваниль?

 , ,


0

4

Возьмём простого хомячка (меня) который вместо далее-далее-далее-[x] создать ярлык на рабочем столе-готово зазубрил три команды ./configure && make && make DESTDIR=/usr/local install, но при этом как у всякого другого хомячка вдаваться в тонкости и ньюансы нет ни времени, ни особого желания, а хочется чтобы система просто работала и была безопасной, и при этом знать буквально каждый пакет в системе, с какими флагами тот собран — безопасность так же означает и полный контроль над системой.

Взглянуть на типичный дистрибутив Arch Linux, где самый простой пакет «linux» поставляется с несколькими патчами, а ещё с каким-то микрокодом intel в виде дополнительного образа подгружающегося при загрузке... надо ли оно всё? Это для безопасности предусмотрено или как? Хочется надеятся, что подобные сущности плодятся не из необходимости, а чтобы впоследствии исправлять ошибки в результате собственных же нагромождений, типа «тут мы захотели сделать так, но из-за этого вон та шняга отвалилась, но мы сделали для неё патч и теперь всё ок» — вот для этого делаются патчи, а не из реальной необходимости.

Хочется надеяться, что если использовать ваниль «как есть», то и проблем с ней не будет. Так ли это?

Вы знаете истории успеха, где LFS, Slackware или CRUX используются в интерпрайзе по причине, что они просты как пять копеек, разобраться в них не составляет труда, а значит исправлять ошибки (в т.ч. ошибки в безопасности) можно самостоятельно, не дожидаясь апстрима.

Или всё это фигня, хочешь безопаности — молись на Debian, Red Hat и всегда будь в курсе новостей, своевременно обновляй систему чтобы она была просто безопасной?

★★★★★

Вы знаете истории успеха, где LFS, Slackware или CRUX используются в интерпрайзе по причине, что они просты как пять копеек, разобраться в них не составляет труда, а значит исправлять ошибки (в т.ч. ошибки в безопасности) можно самостоятельно, не дожидаясь апстрима.

я знаю

ananas ★★★★★ ()

Безопасна ли ваниль?

Error "Безопасна" is not defined!

Всё небезопасно в этом суровом и непредсказуемом мире. А ваниль гарантирует лишь одно - известные версии, без левого гербалайфа, а соответственно, с известными багами/фичами. Что тебе даст больше защиты ваниль или неваниль? Если обратить своё рассеянное внимание на список из десяти последних дыр связанных с этими нашими GNU/Linux то как правило в большей их части в конце идет приписка "не подвержены rhel, suse и т.п" либо "уже выпущенны обновления устраняющие дыру в rhel, suse и т.п.". А LFS может помочь, в плане безопасности, только одним - заранее никому, кроме самого разработчика, неизвестно содержимое/версии/флаги сборки.

init_6 ★★★★★ ()

Хочется надеяться, что если использовать ваниль «как есть», то и проблем с ней не будет. Так ли это?

Нет

Или всё это фигня, хочешь безопаности — молись на Debian, Red Hat и всегда будь в курсе новостей, своевременно обновляй систему чтобы она была просто безопасной?

Если хомячок, то молись на иконы. О безопасности не думай.

xDShot ★★ ()

самый простой пакет «linux»

Ни фига не простой, взгляни на PKGBUILD

поставляется с несколькими патчами, а ещё с каким-то микрокодом intel в виде дополнительного образа подгружающегося при загрузке...

https://git.archlinux.org/svntogit/packages.git/tree/trunk?h=packages/linux

Патчи вижу, но не микрокод.

xDShot ★★ ()
Ответ на: комментарий от init_6

А LFS может помочь, в плане безопасности, только одним - заранее никому, кроме самого разработчика, неизвестно содержимое/версии/флаги сборки.

ну, на самом деле, дело не в неизвестности, а в том, что в самосборных и тщательно сконфигурированных системах нет ничего лишнего, как правило. а дыры чаще всего обнаруживаются в каких-то древних протоколах, которые вкомпилены в ядро мейнстримов по причине того, что «так всегда было». или в софте, который по умолчанию ставится на многих хомячковых сборках. на кастомных сборках ставят только то, что действительно нужно.

Iron_Bug ★★ ()
Ответ на: комментарий от Iron_Bug

На самом деле неизвестность это единственное преимущество LFS. Без пакетного манагера управлять системой на порядок сложнее. А уж следить за багами и подавно.

init_6 ★★★★★ ()
Ответ на: комментарий от init_6

я в курсе. и я написала про преимущества. кастомная сборка - это не неизвестность, а просто отсутствие ненужного. мейнстрим напичкан ненужным по самое небалуйся. так что количество дыр в нём потенциально значительно выше.

и, кстати, LFS не означает «отсутствие пакетного менеджера». любой менеджер на любой вкус. никто не запрещает.

Iron_Bug ★★ ()
Последнее исправление: Iron_Bug (всего исправлений: 1)

Ничто не безопасно, безопасности нет и не было и не будет. Уязвимо все, вопрос только в том, насколько ты кого то сверху сильно заинтересовал. Достаточно не палить свои данные в сети и думать головой, а вот эти попытки использования crux и lfs с постоянной паранойей больше похожи на психоз и задротство. пользуюсь виндой 10 в дуалбуте с 2015 года (ее я обрезал по самые уши, никуда она не стучит) и спокоен.

karton1 ★★★ ()

Вы знаете истории успеха, где LFS, Slackware или CRUX

Нет, я знаю истории успеха, где от этих поделий держатся на расстоянии пушечного выстрела.

Hertz ★★★★★ ()

Дыры есть еще до ОС. Проприетарные прошивки(бэкдоры через jtag'ы), микрокоды, гипервизоры. Учитывая то, что в ванильных сборках не используются патчи безопасности для ядра, софт предустановлен и собран с кучей легаси, то все очень безопасно, ога.

BceM_IIpuBeT ()

Вы знаете истории успеха, где LFS, Slackware или CRUX используются в интерпрайзе

Никто в здравом уме не станет это использовать даже на локалхосте, а ты тут про энтерпрайз.

redgremlin ★★★★★ ()

В подобных случаях Slackware либо применяет минорную версию от апстрима с устранением уязвимости, либо, если такой нет, добавляет устраняющий уязвимость патч и перевыпускает бинарный пакет.
Примеры см. в ChangeLog.txt по пометкам «Security Fix».

bormant ★★★★★ ()
Ответ на: комментарий от karton1

пользуюсь виндой 10 в дуалбуте с 2015 года (ее я обрезал по самые уши, никуда она не стучит)

Что, даже доступа к интернету лишил? Жду историю успеха.

hobbit ★★★★★ ()
Ответ на: комментарий от hobbit

Зачем? Доступ к интернету есть, я вырезал все приложения майкрософт и запретил доступ к их серверам и к тем серверам куда данные сливаются. Мне честно говоря не до задротства, мне развлекаться и работать надо.

karton1 ★★★ ()
Ответ на: комментарий от karton1

я вырезал все приложения майкрософт

Что ты понимаешь под приложениями майкрософт? Стук вполне может быть встроен на низкий уровень сетевого стека.

и запретил доступ к их серверам

Запретил средствами чего? Если внешнего роутера, то ладно, хотя...

и к тем серверам куда данные сливаются

А ты уверен, что у тебя полный список таких серверов?

Мне честно говоря не до задротства

Задротство — понятие туманное, кому-то и фаервол настроить — «задротство». Речь шла про твоё категоричное утверждение «ее я обрезал по самые уши, никуда она не стучит», вот мне интересно стало, как люди этого достигают. Не дай бог, придётся ЭТО на следующем ноутбуке использовать...

мне развлекаться и работать надо.

А какие у тебя программы для развлечения и работы, что им обязательно именно десятка нужна? Ну если не секрет, конечно, это уже вопрос сверх программы...

hobbit ★★★★★ ()
Ответ на: комментарий от hobbit

Игры (cs go, quake 3 arena). Музыка, интернет. Тот же foobar под виндой с кодировкой cue не заморачивается, да и он умеет в wasapi (побитовый вывод звука в обход всех микшеров windows), а под linux такого я не нашел, придется вручную cue перекодировать если не то, что то, да и еще через консоль. Хотя у линукса есть плюсы конечно, в той же cs go fps у меня выше почти в 2 раза, да и быстрее он.

Не дай бог, придётся ЭТО на следующем ноутбуке использовать...

А что не так? Единственное что взбесило, так это автоустановка драйверов.

karton1 ★★★ ()
Последнее исправление: karton1 (всего исправлений: 1)

Вы знаете истории успеха, где LFS, Slackware или CRUX используются в интерпрайзе по причине, что они просты как пять копеек

Таких историй успеха просто не существует. Эти дистрибутивы не подходят для серьёзного ведения дел. Даже у Gentoo/Arch доля в ынтерпрайзах гораздо больше.

EXL ★★★★★ ()
Последнее исправление: EXL (всего исправлений: 1)
Ответ на: комментарий от karton1

> Тот же foobar под виндой с кодировкой cue не заморачивается, да и он умеет в wasapi (побитовый вывод звука в обход всех микшеров windows), а под linux такого я не нашел

Продолжайте мыслить шаблонами Windows.
Вам положили на блюдце mpd - с аппаратным bit-perfect аудио декодингом Class 3, которого нет в Windows.

blitz ()
Ответ на: комментарий от blitz

Вам положили на блюдце mpd

ага, так положили, что нормально заставить это работать неподготовленному человеку надо потратить несколько часов. Конфиги править, права доступа, о май год! Клиент-сервер, зачееем?? Мне музыку послушать надо, еще и в htop лезть надо что бы узнать pid и прибить его, сам mpd не умеет завершаться и при новом открытии пытается подключиться к новому порту, а там старый висит.

karton1 ★★★ ()
Ответ на: комментарий от karton1

Тот же foobar под виндой с кодировкой cue не заморачивается, да и он умеет в wasapi (побитовый вывод звука в обход всех микшеров windows), а под linux такого я не нашел, придется вручную cue перекодировать если не то, что то, да и еще через консоль.

DeadBeef?

hobbit ★★★★★ ()
Ответ на: комментарий от karton1

<i>> и при новом открытии пытается подключиться к новому порту, а там старый висит.</i>

Порты - не нужны. Идеально в этом случае - unix sockets.

lor@lor ~/.config/mpd % cat mpd.conf | grep -Ei 'socket' 
# be disabled and audio files will only be accepted over ipc socket (using
# MPD to accept files over ipc socket (using file:// protocol) or streaming
# And for Unix Socket
bind_to_address		"~/.config/mpd/socket"

<i>> что нормально заставить это работать неподготовленному человеку надо потратить несколько часов.</i> 5 минут.
Скачать скрипт, исполнить и получить готовый mpd.conf в соответствии с железом на твоём ЭВМ.

wget https://lacocina.nl/mpd-configure -O - | tar --strip-components=1 -zxf -
blitz ()
Ответ на: комментарий от init_6

LFS с пакетным манагером это уже полноценный дистрибутив. А девушку танцует тот же кто и опакечивает пакеты в этом твоём пакетном манагере.

это казуистика. начнём с того, что пакетный менеджер - это просто некий способ контроля версий пакетов. это может быть текстовый файл с версиями, который заполняется скриптами на баше. и это тоже будет вариант пакетного менеджера. в зависимости от необходимости и хотелок того, кто поддерживает дистрибутив, может быть наворочено больше или меньше каких-то фич. существует огромное множество разных пакетных менеджеров. даже гит может быть пакетным менеджером. но нет никакой границы, где можно чётко отделить кастомную сборку от «полноценного дистрибутива». более того, нет никаких критериев «полноценности», потому что дистрибутив может быть не только десктопным, а, например, серверным или использоваться в эмбеддеде. и у всех свои пакеты (или их отсутствие) и свои пакетные менеджеры, если они вообще необходимы.

в LFS обычно человек сам сидит и собирает пакеты, которые нужны ему лично, и тем способом, который удобен ему лично. и в какой-то момент многие такие проекты стали дистрибутивами. к ним прибились юзеры и майнтейнеры и потихоньку эти наработки породили множество разных дистрибутивов. и новые дистрибутивы продолжают появляться. в том числе не просто школярские клоны мейнстрима, а по-настоящему интересные, продуманные новые дистрибутивы со своими подходами к сборке и контролю пакетов. так что нет никакой границы между LFS и прочими дистрибутивами. это просто варианты сборок.

Iron_Bug ★★ ()
Ответ на: комментарий от karton1

Вот только что открыл альбом «Навигатор» группы «Аквариум» в формате CUE+FLAC. Кодировка куя cp1251. DeadBeef 0.7.2 всё кажет нормально. Ищи проблему у себя.

Да, под винду Foobar 2000 — лучший плеер, но прибиваться из-за него гвоздями к винде слегка смешно, есть вполне полноценные альтернативы.

А с интернетом в твоём линуксе что не так?

hobbit ★★★★★ ()
Последнее исправление: hobbit (всего исправлений: 1)
Ответ на: комментарий от karton1

пользуюсь виндой 10 в дуалбуте с 2015 года (ее я обрезал по самые уши, никуда она не стучит) и спокоен.

Лол. А ничего, что после каждого обновления она все настройки взад возвращает?

Ну и как бы это винда, там даже драйвер видяхи (nvidia) сливает телеметрию. Про кейлогеры в дровах от уважаемых компаний я вообще молчу.

RazrFalcon ★★★ ()
Ответ на: комментарий от RazrFalcon

КМК, karton1 прав.

Обновлять windows, не зная, что и как будет обновлено - ниразу не приветствуется.

Единственное, что действительно необходимо - цветовые калибровочные профайлы мониторов, и они есть сугубо под windows.

Это XXI веек, и Блиц почему-то вынужден запускать windows, чтобы незатейливо слить файл ICC профайл монитора.
Для правильной конфигурации и калибровки монитора под GNU/Linux.

blitz ()

Безопасна ли ваниль?

Вопрос из серии: нужна ли нам брюква (тыква, дыня, арбуз, кукуруза, виноград, яблоко, картофель, морковь, лук репчатый и лук зелёный, чеснок, овес, рожь, пшеница)?...

anonymous ()

В свете последних событий актуально, как никогда.

хочешь безопаности — молись на Debian

Как выясняется, по этому критерию условно безопасными можно считать только Ъ-ынтерпрайс - ред хат и сусю.
Патчи для противодействия Spectre (CVE-2017-5715), не входящие в ванильные ветки, но без которых обновление микрокода бесполезно, не включили ни дебиан, ни арч, ни гента. В убунте пока только в тестовом ядре для 17.10 - 4.13.0-29.32, для qemu патчей нет. И это всё спустя почти 2 недели.

TheAnonymous ★★★★★ ()