Почему мы в жопе на Distrowatch?

Ахахахаха, Иксы в надёжных руках!

в отличии от арча у войда нет аура (спорный недостаток), а так же глючные пакеты обновляют долго. арч используется steam, поэтому пакеты заменяют оперативно - на сл день буквально, а то и раньше. но отказ от systemd в пользу говна всякого вкупе с глючными пакетами дает незабываемую атмосферу старого доброго арча, где нихера не работало

а дистровотч - это не показатель. реальная статистика использования дистрибутивов есть у разрабов программ типа vs code, где с телеметрией эта информация отправляется, но опять же это ничего не покажет кроме предпочтений части программистов

гошные синьоры вообще не знают про битовые флаги. я не удивлен

Ну если ветка и версия — одно и то же…

Писал с телефона, ну прости.

Одновременно собирают несколько версий, так надо читать?

Да.

Здесть табличка есть

Есть такая табличка:

 $ update-kernel --list | grep -v installed
List of available kernels:
  *  (13 d) kernel-image-6.12-6.12.43-alt1
  *  (13 d) kernel-image-6.15-6.15.11-alt1
  *  (13 d) kernel-image-6.16-6.16.2-alt1 <--- upgrade
  *  (16 d) kernel-image-6.17-6.17.0-alt0.rc2
  *  (13 d) kernel-image-rt-6.12.43-alt1
  * (888 d) kernel-image-std-kvm-5.10.176-alt1
  *  (35 d) kernel-image-talos-6.12.40-alt1
[*] Latest available in repo. (d) Package age in days.

Да, в воиде версий будет побольше, но мы же про техническую необходимость, а не пипськомерку, правда?

а почему ты решил, что проприетарное говнище вроде vs code вообще используется? мы говорим про Linux и опенсорц, насколько я понимаю. какую статистику собирают мелкомягкие (а они воруют данные у юзеров, это факт) - абсолютно по барабану.

я не вижу технической необходимости хранения на серверах кучи собранных ядер. ну, разве что места и серверных ресурсов слишком дофига и от нечего делать можно собирать все варианты всех ядер. но обычно у дистрибутивов с местом на серверах всё совсем не так. ядра собирают обычно только для тестирования софта с ними. а юзер, если ему приспичит собрать какое-то специфическое или старое ядро, может собрать его сам, для этого и создаются пакеты с готовыми настройками. пакет много места на сервере не занимает.

А можно где-то ознакомиться с тем что патчили так сильно в своём сетапе, может репа есть

vs code опенсорц. альтернатива ему была до недавнего времени только как раз проприетарщина типа идеи и ее производных

Ну, во-первых, теперь, с появлением p11, kernel-image-6.12, kernel-image-6.15, kernel-image-6.16, kernel-image-6.17 — это и есть ветки (flavour). Если верить вики. Уточни у товарищей.

Во вторых, три последних ветки — это sisyphus, а 6.15 и оттуда удалён.

Уточню. А в void это что?

Судя по тому, что пишет amd_amd, это аналог веток (6.12 series, например). Сам я void не использую и никогда в него не вникал.

Ну тогда ответ на вопрос «назови кто так же может?» правильный.

А терминологию надо уточнить.

нет, майнтейнерством я не заниматься не планирую. это моя сборка. например, в ней начисто вырезан весь пистон. на моих машинах его нет и даже при сборке его практически не осталось. я планомерно его уничтожаю. плюс патчи для LibreSSL, потому что я оставила у себя LibreSSL, мне у него код гораздо больше нравится, чем у OpenSSL. плюс некоторые патчи для musl, но их я обычно отправляю в апстримы софта, к которому их пишу. потому что такие вещи сложно отлавливаются и они полезны для всех.

но некоторые пакеты, которые я написала для Void, у меня выложены здесь: https://git.ironbug.org/void-linux-pckgs/tree/

это, конечно, далеко не всё. всё мне выкладывать лень и я забываю это делать, потому что это не моя основная задача. возможно, когда-нибудь я выложу больше, но это дополнительная возня, на которую нет ни времени, ни желания.

это поделка мелкомягких. оно не может быть «опенсорцем». я никогда не поверю, что мелкомягкие сделали лицензию GPL. последнее, что я помню от этих гадов, ещё на маздае, когда они подложили троян в код и эта самая «студия» вставляла в чужой код свои модули для слежки, не предупреждая разработчиков. такая вот у них мораль и политика. и никогда не надо использовать софт от подобных «доброжелателей», даже если он формально якобы опенсорц. мелкософт - это зло. они пытаются подсадить всех на свою поделку с целью потом её впаривать. это нихрена не альтруизм.

А пакетики gcc или llvm для сборки используешь?

Ядро компилишь с поддержкой IBT на уровне компиляции?

Пакетики поддерживают SHSTK?

Просто если начинать то тот же ssl надо брать и начисто вырезать оттуда юникод по понятным причинам

Вот патчи на musl я бы посмотрел =)

я использую gcc. собираю из сорцов, как и весь тулчейн, понятное дело. потом тулчейном собирается ядро и всё прочее. в общем, обычная сборка софта.

непонятно, зачем мне может понадобиться IBT или SHSTK. я не запускаю у себя левый софт. атаковать систему просто некому, а паранойей я не страдаю. собрать можно всё, что угодно. выставить любые параметры. но дурью маяться от нефиг делать не стоит. всякие сырые фичи компиляторов на своей системе я тестировать точно не хочу.

и при чём тут SSL и юникод? у меня вообще кроме юникода нет локалей в системе. просто не было необходимости в других кодировках. меня UTF-8 устраивает на все сто процентов. причём я использую несколько языков, но пока что юникода хватало на всё.

Это далеко не сырые фичи а дефакто стандарт в железе Intel CET компилятор лишь реализует взаимодействие с этими аппаратными возможностями

так оно мне не нужно. я сказала, что не запускаю малварь на своих машинах. весь код собран мной лично. какие там «атаки» могут быть? это, возможно, актуально для хостеров, у которых на машинах может быть всякое. а на частном сервере и рабочем компе это нафига?

и да, чтобы фичи харда поддерживались, нужно, чтобы они как минимум у него были. у моего харда их один фиг нет. но даже если бы были, я бы не стала заморачиваться. хотя вообще я с подозрением отношусь к новым процам. там всё больше багов, глюков и бэкдоров. так что не спешу ничего обновлять, пока нет прямо острой необходимости.

если вы запускаете у себя на машине малварь и имеете необходимость ставить какое-то мощное железо, которое будет оборонять систему от этой малвари - это ваши проблемы. у меня таких проблем никогда не было. я их просто не создаю, чтобы потом не страдать фигнёй.

не запускаю малварь на своих машинах

А вдруг кто-то издалека запустит? Это-же сервер, так? А всё собранное из исходников ничего не гарантирует. В открытых исходниках уязвимости находятся достаточно периодически.

это бред. как «запустит»? что запустит? нормальная Linux система не подразумевает, чтобы кто попало что-то «снаружи запускал».

я ещё раз напоминаю, что паранойи у меня нет. поэтому истерить и заниматься фигнёй, как какой-то пионер, я не стану.

я практически не видела (а я мнооого лет работаю с сорцами) каких-либо уязвимостей, которые могли бы эксплуатироваться снаружи. обычно вонь поднимают странные личности, которые «нашли баг», который можно использовать локально, сидя под рутом. но локально и под рутом можно вообще что угодно делать.

если на машине не запускается левый софт, то вероятность какой-то угрозы практически нулевая. проблемы в основном касаются хостеров, у которых на серверах запускается чужое ПО. там да, там помойка и там стоит ставить навороты на всякий случай, чтобы ничего не случилось. а на юзерском компе это всё будет только жрать ресурсы, греть проц и тормозить.

и да, никогда не надо ставить самый свежий софт последних версий. софту нужно время, чтобы любители тестирования сырого кода успели наступить на все грабли и чтобы их пофиксили. после этого можно уже ставить.

А баги в прошивках сетевок ?)

А баги в tcpip нет не существует?

А баги в фильтрации пакетов (nf_…)

И всё это вызывает rce у кого нужно всё есть, просто вам же не интересно и живут эти уязвимости по 5-10 лет =)

Тут явно без ibt ядра и shstk в юзерспейсе не обойтись

Я тоже неуловимый Джо, и у меня тоже не дырявый wordpress, но я хотя бы стандартные порты переназначаю на рандомные.

https://www.cve.org/ Наверное, всё-же не зря существует.

нет. таких, чтобы было что-то опасное, точно нет. и да, на той карте, которая торчит у меня в сеть, прошивки не нужны. она очень древняя. я вообще не люблю железо с прошивками и новое железо. оно сильно корявое и глючное. и да, всё, что не опенсорцное, я тоже не использую. никаких проприетарных дров и прочего такого.

паранойя - это не моё. если есть проблемы обратитесь к врачу, что ли. а я программист, а не психиатр. я не занимаюсь лечением психозов.

Получается https://www.cve.org/ создали люди которым нужно лечиться?

Вы прям в каком то идеальном мире в розовых очках живете =)

Про автоматизированный захват и перебор всех ipv4 диапазонов корпорациями и autopwn вы не слышали или у вас стоит dpi и вы на лету весь трафик анализируете и в нём нету аномали которые не отражает система логирования событий вашей идеальной системы и вы настолко уверены?)

я в курсе про этот сайт. но реально опасных уязвимостей за десятилетия там было пару штук от силы.

уязвимости в софте, который я не юзаю, меня вообще не волнуют. я использую минимальный набор софта, который необходим для моих задач. этих задач не так много и софта не так много. никакие чужие бинари на машинах не запускаются. по умолчанию все порты закрыты. доступ только по ключам и прочее. обычная дежурная безопасность в Linux. никакой Америки открывать не нужно.

наружу торчит разве что nginx и почтовик на сервере. но и они огорожены, запускаются от ограниченных юзеров и не имеют прав на машине, кроме строго ограниченных ресурсов, которые им необходимы. это самая обычная практика администрирования сервера. хотя я не админ, а программист, но я много лет поднимала и поддерживала серверы и сети. кое-что про них знаю.

А браузер у вас тоже безгрешен?)

За последние два года с десяток rce было zeroclick

https://googleprojectzero.blogspot.com/2025/08/from-chrome-renderer-code-exec-to-kernel.html

...если пробовали, почему отказадись?

Тому що вин не стартанув.

нет, но его читают некоторые люди, которым нужно лечиться. ваша паранойя - не моя проблема. больше не надо мне писать про ваши страхи и боязнь софта. я с софтом работаю много лет, я его понимаю. он для меня не «чёрный ящик» с какой-то скрытой угрозой, а самый обычный код, написанный людьми. но я не использую проприетарщину. это существенно для безопасности.

и да, я _настолько_ уверена. и даже намного больше, чем вы можете представить. потому что я знаю, что и как собрано и работает на моих машинах.

я вам конкретные примеры а вы про лечить)

а я его не чешу без необходимости. последний раз я его собирала лет пять назад. работает - и ладно. вообще, хромиум я использую крайне редко, только если нужно для работы. и его я тоже патчу. вырезаю оттуда всякое, что гугл туда напихал. скрипты отключены, поддержки т.н. «вебасма» (руки бы оторвать макакам, которые так опошлили достойное слово ассемблер, который не имеет к их поделкам отношения от слова совсем) вообще нет, я его убрала при сборке. ненужные мне протоколы тоже не поддерживаются. всякие соцсети, многие копрорастические ресурсы, рекламные CDNы и прочее такое забанены уже лет цать как. в общем, я пользуюсь очень немногим количеством сайтов и в основном они все работают без скриптов. но если есть скрипты, я их проверяю и разрешаю поштучно для конкретных серверов.

ваши «конкретные примеры» ко мне не имеют ни малейшего отношения. в чём ваша проблема? занимайтесь своей системой.

тем, кто любит ставить свежий софт и собирать все грабли, я ничем помочь не могу. я так никогда не делаю и предпочитаю, чтобы все уязвимости были найдены и пофикшены до того, как я начну использовать какую-то версию ядра или, тем более, прикладного софта. торопиться мне некуда. зудом обновляторства не страдаю. я меняю софт только если я вижу в этом объективную необходимость. если её нет, трогать софт не нужно.

Что ж так?

предпочитаю, чтобы все уязвимости были найдены и пофикшены до того, как я начну использовать какую-то версию ядра или, тем более, прикладного софта

Походит на Debian stable?

ничего не имею против Дебиана. единственная ошибка, которую они совершили - это переход на ненужно-д. когда умер Мёрдок, они протащили эту гадость. пока он был жив, он был радикально против ненужно-д. и именно тогда я ушла с Дебиана. хотя Дебиан у меня тоже был отчасти самосборный, патченный и переделанный. но в плане самого кода пакетов у меня к нему претензий не было.

ничего не имею против Дебиана. единственная ошибка, которую они совершили - это переход на ненужно-д.

Сейчас хотя бы можно об этом спокойно говорить в открытую, а раньше ведь даже мысли такие жёстко пресекались на форумах и в чатах.

когда умер Мёрдок, они протащили эту гадость. пока он был жив, он был радикально против ненужно-д.

Он бы и Solaris ядро возможно затащил в Debian аналогично kFreeBSD, собственно, по слухам отчасти вероятно поэтому его и нет с нами?

и именно тогда я ушла с Дебиана. хотя Дебиан у меня тоже был отчасти самосборный, патченный и переделанный. но в плане самого кода пакетов у меня к нему претензий не было.

Как можно уйти из релизного дистра на роллинг?

Кстати, Debian v12 позволяет выпилить systemd в качестве инита и заменить на OpenRC, к сожалению часть оригинальных пакетов типа docker.io в Debian по прежнему прибиты к systemd.

Но к счастью их легко заменить пакетами из Devuan или вообще проще перейти на Devuan и не мучаться.

непонятно, зачем мне может понадобиться IBT или SHSTK. я не запускаю у себя левый софт. атаковать систему просто некому, а паранойей я не страдаю...

Ну да, ну да...

Как можно уйти из релизного дистра на роллинг?

если ты его собираешь из сорцов, то без разницы, на самом деле. ты когда сам решишь собрать сорцы - тогда и обновляешь пакеты или систему. на самом деле, роллинг-дистрибутивы также зависят от мажорных версий кернела, от версии libc. так что их также надо пересобирать целиком, когда они меняются. это мало чем отлично от «релиза». также есть библиотеки, от которых многое зависит. например, криптография. если они меняются, то надо пересобирать не всё, но очень многое.

и да, я сначала перешла на Devuan. но проблемы моих патчей и сборки из сорцов остались. Devuan их не решал, он был просто побегом от ненужно-д, быстрым решением. я искала варианты и уже через год я открыла для себя Void и перешла на него. сначала в бинарном виде, потом перенесла туда патчи для отдельных пакетов и в конце концов стала полностью собирать всё из сорцов, потому что это единственный способ полной кастомизации системы, как хочется.

руки бы оторвать макакам, которые так опошлили достойное слово ассемблер

Справедливости ради, webasm - это не assembler, а assembly. Т.е. «сборка». В дотнете так уже лет… ну больше 15, думаю.

возможно. но это явно вредительская техология. она не позволяет анализировать контент и проверять, что там выполняется. а выполнение непроверенного кода на машине должно быть заблокировано, естественно. поэтому я такое убираю прямо на уровне сборки.

по сути, это малварь. натуральная.

есть диаметрально противоположный подход: когда скрипты выполняются на стороне сервера, а браузеру отдаётся уже сформированный DOM. есть даже проект, который успешно это реализует. к сожалению, я не помню, как они называются. у них был сайт и там можно было прямо посмотреть примеры. это работает. но это ещё больший минус с точки зрения юзера: тогда блокировать рекламу и прочее станет намного сложнее. так что тут палка о двух концах. заблокировать скрипт или какую-то бинарную срань можно. вырезать куски DOM по непонятным критериям (а они обфусцируют названия элементов, конечно) гораздо сложнее. вероятно, борьбу с вредительскими скриптами и рекламой нужно встраивать прямо в браузер и на уровне парсера это делать, но получится сложно.

пока что я думаю, что фильтр безопасного жабаскрипта от RMS, LibreJS -самое лучшее решение. но в идеале на стороне юзера можно было бы выполнять только заранее идвестные скрипты, которые проверены и не наносят ущерб системе. чтобы скрипты были у юзера и только безопасные.

А почему бы вам не сделать свой паблик дистрибутив, где убрана вся малварь?

Такие труды на этом поприще, а общественность только сейчас узнаёт?

я люблю возиться с софтом, но терпеть не могу общаться с юзерами. поэтому не хочу заморачиваться с любыми пабликами.

Репозитории... Дебианокуколды удалили из букворма астериск. Вы там совсем ох...ли? Вы ещё nginx выпилите.

взлетает, просто на десктопе я юзаю Арч и искал что-то наиболее близкое по философии. а Void уже к тому моменту пробовал и на виртуалке, и на железе, так что решил выбрать его

Void

жесть