Выпуск NixOS 23.05 «Stoat»

Реализована поддержка secure boot

Реализован только Bootspec, Secure Boot только в планах:

As part of standardization efforts in RFC 125, also called "Bootspec", all new users have a boot.json file in their system top-level derivation, you can check the one on the system you are running in /run/current-system/boot.json for example.
The idea behind Bootspec is to enable new boot usecases in NixOS: UEFI Secure Boot, unifying bootloader installer scripts, multiple initrds or systemd system extensions and A/B schemas.

Я вот всё посматриваю на этот дистрибутив, интересная задумка. Но кажется он подходит тем у кого много свободного времени?

Тебе кажется. У меня он уже лет 5 и времени на ковыряние уходит сильно меньше чем с другими дистрами.

Спасибо, поправил.

Но кажется он подходит тем у кого много свободного времени?

Всё время на срачи на форумах уходит

Я не имею ввиду использования, а в плане первоначальной настройки системы, а уже затем последующим обновлением и использования системы. В плане софта, например модули ядра для того-же virtualbox, проприетарных дров на wifi?

Срачи на форумах не мешают работой заниматься в связи с нерабочим инструментом.

Настройка довольно проста: в мане по установке написано всё что нужно для первоначального использования. В принципе, даже Nix знать не нужно.

С софтом всё просто шикарно, гораздо лучше чем во всех дистрах что я видел. Количество может сравниться с арчевым AUR, но почти нет шансов нарваться на зловред. По крайней мере, я о таких случаях не знаю.

Ложка дёгтя: незапакованный софт запустить бывает нетривиально. Особенно с проприетарщиной это проблема. Есть всякие костыли типа steam-run (на самом деле, работает не только для стима) или appimage-run, но с ними тоже бывает сложно. Но опять же, это всё случается довольно редко, поэтому не считаю особой проблемой.

В том-то и дело, NixOS работает слишком хорошо, остаётся только на форумах сраться

Для тех, у кого NixOS работает очень хорошо, всегда есть Guix.

Чем это лучше GuixSD?

Что там под капотом? Иниты, сервисы, вот это все.

Его установить непросто из-за этих блокировок со всех сторон.

Всех никсосов с релизом. Держу за вас кулаки. Хоть какое-то развлечение в мире линукса.

Так, рассказывай, как его ставить и за сколько можно вкатиться.

подходит тем у кого много свободного времени

И места на диске.

Stoat

«енот-полоскун» ➡️ «горностай» ➡️ …
Будет ли голый землекоп?

Как там глобально прописываются CFLAGS? Есть что-то типо /etc/make.conf?!

реализована поддержка Bootspec, что позволит в будущем обеспечить совместимость с Secure Boot;

то есть дистр существует тыщу лет а они ещё SB не добавили? мдэ

Его установить непросто

да брось, 30 минут и ты в рабочей системе.

буквально месяц назад ставил, ради интересу, ускорение в браузере не заработало. посмотрел на флейки эти, тудым-сюдым потыкал, и удалил, мне оно без надобности, но как система сборки софта думаю интересное решение. Как дистрибутив на повседнев наверно не очень, черный ящик, или погружаешься до талого или без чужой помощи не решишь тривиальную(в классических дистрибутивах) проблему. Такое вот мнение сложилось

Есть что-то типо /etc/make.conf?

Насколько помню все нужно помещать в конфигурационный файл. Иначе после перезагрузки этот /etc/make.conf пропадет. Не помню точно что, но я какой-то конфиг целиком помещал в /etc/nixos/configuration.nix или в другой *.nix, который вызывался из главного.

Зато это единственный дистр, где кастомная разбивка zfs и btrfs работает из коробки и не ломается.

Сам временно ушёл с него, но в планах вернуться.

Ложка дёгтя: незапакованный софт запустить бывает нетривиально. Особенно с проприетарщиной это проблема. Есть всякие костыли типа steam-run (на самом деле, работает не только для стима) или appimage-run, но с ними тоже бывает сложно. Но опять же, это всё случается довольно редко, поэтому не считаю особой проблемой.

Главная пока для меня причина отказа от дистра.

Сраные ЭЦП запускать и в обычных дистрах геморройно + периодически нужно запустить какой-то кастомный бинарник, а потом любить мозг как его заставить работать.

А вот как предпоготовленная система - nixos выше всяких похвал.

Огромная репа, не помню никаких проблем, если нужное в них было.

Сраные ЭЦП запускать и в обычных дистрах геморройно + периодически нужно запустить какой-то кастомный бинарник, а потом любить мозг как его заставить работать.

Т.е. , когда дело дошло до реальной работы, дистрибутив показал свое истинное лицо? Я правильно понял ? :)

Так, рассказывай, как его ставить

https://nixos.org/manual/nixos/stable/index.html#sec-installation

Каких блокировок?

Российские ЭЦП — это ад и холокост. Да и нероссийские тоже. Софт, связанный с безопасностью, обычно набирают писать каких-то совсем отмороженных ушлёпков. Я такого ада вообще нигде не встречал ещё. Даже геймдев не настолько пристукнутый, хотя казалось бы.

SB не нужен, скорей бы он уже сдох. Сама идея verified boot ущербная, и не может быть применена ни для чего, кроме огораживания.

То есть, нельзя просто взять бинарник и запустить? Нафиг такая система вообще нужна?

А какие есть альтернативы для того, чтобы я мог огородить свой компьютер от запуска неподписанного мной кода? Я кроме Secure Boot только Heads знаю, но его готовить ещё сложнее.

А с какой именно libc (и с каким прочим окружением) должен работать этот бинарник? Если есть ответ на этот вопрос, то запустить его можно - patchelf –set-interpreter

Да, я про лялекс вот это каждый день думаю. Беру setup.exe, а он не запускается. Нахрен такая система вообще нужна?

Я про guix, а точнее их репозиторий или как его назвать. Где substitute -http://ci.guix.gnu.org/

hateyoufeel этих блокировок - http://ci.guix.gnu.org/

А где там блокировка? Ты про отсутствие https? Или ты задрочил их CI до такой степени, что тебя забанили?

нет, он про то, что guix хостится на немецком хостинге, а оне заблокировали российские айпи, я так понял

Я нашел только про то, что там бэкбон отключился от российских магистральщиков. Но это по идее должно максимум замедлить доступ.

А зачем огораживать свой компьютер? Если твой комп попал к постороннему - шифрование диска. А если речь про малварь, то если эскалация привилегий до такого уровня, что можно менять загрузчик, то поздно пить боржоми. Рассматривается, что ты сам не станешь умышленно ставить себе малварь.

УМВР ЧЯДНТ. Проверено на 010 editor и инсталляторе от Qt. Также проверено на нескольких варезных нативных играх.

Допустим я просто скачал код программы, запустил configure/cmake/meson и make. Могу ли я просто запустить бинарник, не создавая пакет?

Я про guix

пользовался месяца 3(задолго до nix, версия 1.1 вроде), тоже ради интереса, где-то статью в интернете увидел про повторяющие сборки и тп, пока диск не умер.

зело удивился, когда он мне в base+wm потянул кучу хаскел либ, видимо зависимости времени сборки, они же там идейные, за чистоту, все должно из сорцов ставиться, вот pandoc и вылез боком. странно что нет разделения на зависимости выполнения-сборки, сейчас может все поправили.

стим работал кстати, ядро правда собирать приходилось(сейчас есть кэш). Но какой же он все таки тормоз, ппц, этот гикс, очень долго считает

то есть можно убунту сменить, поставленную на ZFS?

не, там доступа к репе тупо нету, есть запасной хостинг bordeaux.gnu.org, но там , если я правильно понял, не все пакеты есть, будет собирать из сорцов

pandoc тянет 100500 либ и в арче, правда в последнем просто обожают динамическую линковку(причем настолько, что частенько из пакетов с библиотеками просто выпиливают их статические версии), и у pandoc просто прилинковали все динамически. Походу в гуиксе сделали так же.

ну это в арче так решили собирать, хз почему, можно было тупо кабалой или стаком собрать в tmp, там же один бинарник на выходе да? типа HOME=$PWD cabal build && install dist-upgrade/lala/lala/pandoc usr/bin/pandoc

далеко ходить не надо, кстати, достаточно посмотреть как они stack собирают)

https://gitlab.archlinux.org/archlinux/packaging/packages/stack/-/blob/main/PKGBUILD

а вот alpine

https://git.alpinelinux.org/aports/tree/testing/stack/APKBUILD

чувстуешь разницу? кто там арч ментейнит? иноплонетяни походу

Тогда configure всё сам найдёт, а линкер, вызванный make всё правильно слинкует относительно user environment. Никаких проблем не будет, пока не запустят nix-collect-garbage в тот момент, когда этот бинарник не запущен.

чувстуешь разницу? кто там арч ментейнит? иноплонетяни походу

Его клоуны мейнтейнят. В хацкелле нет стабильного ABI, и если одна из библиотек в зависимостях обновится, пересобирать придётся всё что от неё зависит, что убивает всю идею динамической линковки на корню. Для таких придурков как мейнтейнеры рача на ручных гранатах пишут «в рот не класть», и поэтому они их суют себе в жопу, а потом жалуются на взорванные пердаки.

Вот нашёл где обсуждали guix.gnu.org доступен только через vpn

А зачем огораживать свой компьютер? Если твой комп попал к постороннему - шифрование диска.

У тебя доверенная среда всё равно присутствует в виде груба и раздела /boot, либо раздела EFI, либо что у тебя там, и без Secure Boot их можно легко заменить.

УМВР ЧЯДНТ. Проверено на 010 editor и инсталляторе от Qt. Также проверено на нескольких варезных нативных играх.

А теперь сделай то же, но в Debian с предыдущей glibc.

Вот нашёл где обсуждалиguix.gnu.org доступен только через vpn

Там про причины ничего нет, вроде. Яхз в общем. Вполне допускаю, что они сами могли всех забанить, но хзхз. У Guix куча других проблем, на самом деле.