Более того, есть много дистрибутивов (причем даже таких, которыми пользуется много пользователей), где systemd по умолчанию отсутствует или доступен опционально (Devuan, Gentoo, Artix, Slackware, Calculate, GuixSD и др.).

Ты в курсе что дистрибутивы без сисямдэ были сделаны для борьбы с тотальным насаждением? И не прогнулись только Джента и Слака(Слава Патрику).

Я перешел на systemd меньше недели назад самостоятельно.

Молодец, держи нас в курсе.

1. Система загружается быстрее (у меня нет SSD).

ЛПП. Дальше можешь не продолжать.

вы предлагаете всем юзерам пердолится с ручной настройкой? И делать это каждый раз, когда, например, новый монитор цепляешь?

Не обязательно что-то делать руками. Предлагаю просто разделить графику на две части:

1. Системный сервис, запускается под root и имеет необходимый доступ для настройки в связи с изменением видях и мониторов, внесением изменений в конфиг.

2. Сам нрафический сервер запускается с правами обычного пользователя находящегося в группе video, имеет права считать настройки с созданого (возможно автоматически) конфига и доступ к видео девайсам для отображения графики. А лазить в /sys пользователь прав не имеет.

прям как в «старые добрые времена», когда обязательно надо было насиловать конфиги, чтобы Х-ы запустить :)

В старые добрые времена X настраивался сам, причём для «многоголовой» многопользовательской конфигурации (один системник с несколькими видяхами, несколько мониторов, клав, мышек - одновременная работа нескольких пользователей на одном системнике) и без всяких проблем генерил себе конфиг без необходимости в ручной настройке: https://mirror.yandex.ru/mirrors/ftp.linux.kiev.ua/Linux/CD/Dystryk/

Проблемы в безопасности - следствие пробелов в образовании!!!

Я тебе больше того скажу, ядро вообще информацию в /sys предоставляет для того, чтобы слить все серийные номера твоего оборудования.

Вот ты, очень надеюсь, что понимаешь назначение разных подсистем *NIX и необходимость их разделения, изоляции и ограничения доступа для обеспечения безопасности:

/dev система, которая, при наличии прав доступа у пользователя, предоставляет ему доступ к оборудованию и разным устройствам.

/proc система для управления процессами, пользовательский интерфейс для управления его процессами. Ядро должно обеспечивать должную изоляцию процессов пользователя, каждый пользователь должен видить только свои процессы! Всю необходимую, для управления своими процессами, информацию ядро предоставляет через этот интерфейс.

/sys специальная система для изменения рабочего ядра OS, предназначена для конфигурации самого ядра OS и ниодин пользователь не должен иметь права туда лазить!!! Слить через доступ к /sys серийный номер моника это ещё самое «безобидные» чего стоит ожидать от wayland.

Информация с /sys бывает очень полезна, лично использую для программы инвентаризации, антивирусной защиты.

/sys при настройках ядра можно запретить, ограничить в функционале и предоставляемой информации для увеличения безопасности и конфиденциальности.

Предлагаю просто разделить графику на две части:
1. Системный сервис, запускается под root и имеет необходимый доступ для настройки в связи с изменением видях и мониторов, внесением изменений в конфиг.

да хоть на 10 дели - та часть что к оборудованию лезет из юзерспейс будет иметь доступ ко всем аппаратным ресурсам системы, так было в иксах до появления DRM/KMS. Прочитать серийник и прочитать/изменить память любого процесса и ядра в том числе - чувствуешь разницу, ослик ?

В systemd нет «недокументированных опций».

Сравнение SysV и systemd (комментарий)

Сравнение SysV и systemd (комментарий)

та часть что к оборудованию лезет из юзерспейс будет иметь доступ ко всем аппаратным ресурсам системы

Ни ко всем, а только к тем к которым ему дано доступ в /dev

Если пользователь находится в группах: audio,cdrw,video он будет иметь права пользовался ресурсами видеокарты для графики, звуком и приводом оптических дисков. Пользователь не принадлежит к группе disk и по этому не может напрямую обращался к дискам и.т.п.

Здесь не рассматривается расширение прав доступа пользователя через su, sudo, suid, ... Проги которые дают пользователю права root - должны искоренятся с рабочих систем (лучше глобально использовать опцию монтирования nosuid).

1. Системный сервис, запускается под root
Ни ко всем, а только к тем к которым ему дано доступ в /dev

и к каим ты сможешь запретить доступ руту ? root иксам нужен был для доступа к /dev/mem потому что драйверы у него работали в юзерспейс - а это полный доступ ко всем ресурсам системы

https://unix.stackexchange.com/a/126612

1. root графике не нужен. root нужен только для создания/изменения настройки графики.

2. Пользователю для запуска и использования графического интерфейса, необходимо и достаточно, принадлежать к группе video. В наличии suid на графическом сервере сегодня необходимости нет. X нормально работает под обычным пользователем без повышения привелегий и необходимости лазить в ядро. Как доказательство можно запустить xorg с раздела смонтированого с опцией:

nosuid

CONFIG_GRKERNSEC_KMEM=y
CONFIG_GRKERNSEC_IO=y

1. root графике не нужен. root нужен только для создания/изменения настройки графики.

root вообще не нужен

X нормально работает под обычным пользователем

это я и без тебя знаю

root вообще не нужен

Для автоматической настройки видях и мониторов надо root. Ибо пущей безопасности и конфиденциальности выполнили:

chmod -R go-rwxst /sys

Для автоматической настройки видях и мониторов надо root. Ибо пущей безопасности и конфиденциальности

ты какой-то непробиваемо тупой. Если хочешь скрыть серийник монитора можешь просто загрузить свой EDID профиль без серийника

Если хочешь скрыть серийник монитора можешь просто загрузить свой EDID профиль без серийника.

Я хочу на много больше, для начала:

1. systemd, elogind, udisk2, и другие поделки - должны по умолчанию монтировать свои разделы в режиме nodev,noexec,nosuid и предоставлять пользователю интерфейс для изменения этих опций на случай такой необходимости.

2. Ни одна прога, которая запускается пользователем, не должна лазить в /sys, даже если это wayland, mongodb, ...

3. Ни одна прога не должна модифицировать себя в памяти исполняясь на процессоре. Каждая прога в памяти должна строго разграничивать исполняемую неизменяемую область и изменяемую неисполняемую процессором, посегментно или постранично. Даже если это polkitd от потеринга или chrome от гугла, ... Технология JIT должна быть запрещена, или как минимум иметь возможность отключается на этапе выполнения «configure --no-jit».

Выполните этот минимум позовите, я вам ещё накидаю.

Я хочу на много больше ... Ни одна прога... Ни одна прога

да просто выключи компьютер и не еби мозг

Дитя.

Если пользователь лезет в /сис, то это ретовато.

сплит, группировка вкладок, пины

Люто плюсую! Всё перечисленное в жентельменски набор стандартных фич почти каждого окна!

не еби мозг

Поверьте я не мозгоебщик. Я не имею абсолютно никакого отношения к тем существам которые думают что безопасность достигается за счёт мозгоебства. Я человек понимающий что безопасность может дать только строгое соблюдение математических моделей дающих определенные гарантии. Выше написал 3 простых пункта соблюдение которых даст всем определённые гарантии безопасности не зависимо от наличия/отсутствия мозгоебства.

Потому что при мужиках плазма падала

Вот почему оно вечно у меня падает!

Чтобы не падало, надо сделать:

pacman -S sildenafil

Одень платье.

Или

plasmashell -nofall=true

Я человек понимающий что безопасность может дать только строгое соблюдение математических моделей

давать root кому попало чтобы скрыть серийник - это математическая модель такая ? Если уж на то пошло модель безопасности юниксов - говно, никакая математика тут не нужна чтобы понять это. Вот что нужно современному человеку

https://en.wikipedia.org/wiki/Capability-based_operating_system

Предлагаете утопию, предлагайте и антиутопию. И тогда синтезом в этой диалектической тройке и будет линупс без вялого и систе д.

предлагайте и антиутопию

https://en.wikipedia.org/wiki/Google_Fuchsia

Fuchsia is an open source capability-based operating system

будет линупс

Zircon это там Linux + libc +/-

А upwork team app сделает?

Звучит как троян.

Который начисляет владельцу зараженного компьютера деньги.

Кому и кобыла невеста.

Одень платье.

На кого?

На кого?

Надевают НА что-либо, а одевают ВО что-либо.

Правильный вопрос звучит как «во что».

Опередил, негодяй.

Правильный вопрос звучит как «Кого одеть в платье?». Оба не угадали.

Да ты поехавший. Если соединение шифруется, то это грузит цпу. А сжатие и без потерь бывает. Например, когда неизменная часть не отправляется снова.

Вэйпайп — это не сетевая прозрачность. И даже битмапы иксы шлют быстрее, ты врушка.

Привет, непоехавший. А зачем шифровать соединение и сжимать картинку без потерь и грузить цпу, если целевое железо: небольшая локалка на 1-2-3 человек?

А для случаев, когда нужно шифровать, есть вариант с пробросом приложения через ssh и ещё куча других, более хороших протоколов с шифрованием, сжатием и дедупликацией кадра.

Нет, и не будут

Вэйпайп — это не сетевая прозрачность.

1. Никто не пользуется сетевой прозрачностью в 2019 году, все гоняют битмапы, в том числе и иксы.

И даже битмапы иксы шлют быстрее, ты врушка.

2. Нет, не быстрее.

давать root кому попало чтобы скрыть серийник

Где я такое писал? Наоборот говорил что надо всем сделать:

chmod -R go-rwxst /sys

Сервис настройки видео, он запускается под root, это не пользователь, и после создания/изменения настроек сразу завершает свою работу. Он может запускается только ОДИН раз при первом включении, если не меняется видяха/моник потребности его запускать при каждом старте системы нет. В место него можно настроить видео под root в ручную.

У меня активно используется система Linux capabilities в сервисах где она есть. Это не панацея, просто дополнительная защита, одна из многих, которая сама еще нуждается в защите от EVM. Технология дорогая я ещё ею пользуясь принудительно через:

CONFIG_GRKERNSEC_CHROOT_CAPS=y

К разрабам KDE багрепорт:

1. Ниодна пользовательская прога не должна лазить в /sys, включая wayland!

2. Ниодна прога не должна изменять исполняемую область оперативной памяти во время своей работы или пытается исполнить на процесс код размещённый в области данных, включая kwin_wayland!

3. Ни одна системная прога не должна монтировать диски в режиме rw,exec, включая systemd и elogind которые необходимы для работы wayland.

Без этого нельзя дать хоть какие-то гарантии безопасности.

По поводу падения плазмы. Как пользователь кед с незапамятных времён, утверждаю что падения плазмы в 5 кедах было в том числе, в некоторых случаях, обусловлено вирусной атакой, и являлось правильным и естественным её следствием: приложение выполнившие не допустимое действие должно быть убито ядром!

Plasma 5.18 будет LTS и выйдет в феврале 2020 года, будет использовать Qt 5.12/5.13 и KDE Frameworks 5.66. После этого следующий LTS-релиз, скорее всего, выйдет одновременно с Plasma 6.

https://community.kde.org/Schedules/Plasma_5#LTS_releases

Также начато обсуждение планов на KDE Frameworks 6. Планируется чистка от устаревших зависимостей, ликвидация дублирующейся функциональности, приведение структуры блиблиотек к более логичному и стройному виду.

Отличные планы. Надеюсь реализуют их в полной мере!