Подготовлен альтернативный репозиторий с исходными кодами Red Hat Enterprise Linux

Ты лишь предложил свой вариант нестабильной схемы обхода с малым риском огрести проблем.

Но итогом, если приводить в пример телегу как практическую реализацию этой схмеы, сами знайте что ...

RHEL же требует подписки только для обновлений, технически его можно и без подключенных репозиториев использовать и даже ставить, это не Windows с её активацией.

Так что схема эта никуда не годится. Дать тебе возможность использовать RHEL без доступа к репозиториям у хостера есть все возможности, так даже проще.

Я думаю, они так и делают. Хочешь исходники — покупай подписку RH сам, пока не купил, у тебя прав требовать их нет.

Тем временем у RHEL даже воспроизводимой сборки нет. По очевидным причинам.

Все тут норовят видеть клоунство Оракла, ну а я склонен видеть перспективы для передела рынка. Удастся ли их реализовать, посмотрим.

Марку тоже пора бы подсуетиться.

Шапка их раздавит как тараканов. Запомни этот твит.

Oracle-то? Ну-ну. Они себе такое позволяют давно публиковать:

https://linux.oracle.com/switch/centos/

С ехидной улыбочкой «и что ты сделаешь»? И Шапка давно уже ничего не может сделать, только вставлять палки в колёса:

• CentOS => CentOS Alpha Beta ZverCD Stream Edition
• Red Hat изменила политику доступа к исходному коду RHEL, поставив под угрозу AlmaLinux и Rocky Linux

Так что схема эта никуда не годится. Дать тебе возможность использовать RHEL без доступа к репозиториям у хостера есть все возможности, так даже проще.

Ещё раз, смотря для чего. Если цель получить исходники, то может быть вариант с левыми клиентами и лучше. Но если цель аналогична цели телеги, а именно проломать шапку и свести ее борьбу с открытыми исходниками к роскомнадзорству в отношении себя (иными словами заставить свое же ELUA сожрать на глазах у всех), то тут ещё вопрос, как действовать.

Поработай админом энтерпрайза в изолированных сетях, сразу поймешь, чем плох Debian и прекрасен RHEL.

Я использую его на личном десктопе с 8 по 12 версию включительно, мой любимый дистрибутив для себя, но боже мой, как я его ненавижу по работе…

С RHEL и клонами благодать — развернул зеркало с примонтированного .iso, и работай себе… а с Debian эти придурки не доперли всё самое нужное для серверов положить в DVD1-3, качай непременно всё зеркало, чтобы просто работать…

А пакеты руками качать адская морока, пути до них мега-кривые… вот путь до пакета в Debian 12: http://ftp.ru.debian.org/debian/pool/main/libt/libtool/libltdl7_2.4.7-5_amd64.deb

В RHEL и клонах пути до файлов пакетов проще в разы, и вдобавок они не лежат в одних директориях с соседями от прочих версий.

Обычно достаточно по имени пакета проверить в 2 директориях (пример с Oracle Linux 9):

• https://yum.oracle.com/repo/OracleLinux/OL9/baseos/latest/x86_64/index.html
• https://yum.oracle.com/repo/OracleLinux/OL9/appstream/x86_64/index.html

И всё, никакой мороки с кучей поддиректорий и соседями из других версий дистрибутива. Так что когда знаешь только имя пакета — его нет проблемы найти, в отличии от Debian.

Особенно, когда нужно поставить 1 пакет на уже неподдерживаемую версию, скажем на Debian 7 (сеть изолированна, так что риск взлома крайне мал) — поди найди его в https://archive.debian.org/ … я обычно смотрю путь до современной инкарнации на https://packages.debian.org/ , а потом по аналогии, но боже мой, какая морока…

С тем же CentOS 6 мне нужно проверить 1 директорию всего: https://vault.centos.org/6.10/os/x86_64/Packages/

Пакеты не надо качать руками, это должна делать программа, которая в том числе проверит у них подписанный хэш (например apt-get download).

Пакеты не надо качать руками, это должна делать программа, которая в том числе проверит у них подписанный хэш (например apt-get download).

Да, именно это и называется «удобство» — чтобы скачать 1 пакет, нужно поднять виртуалку с ОС, подключить в ней нужные репозитории и ключи, запустить apt-get download, потом ещё извлечь этот пакет из виртуалки. Я так и делаю, кстати — это муторно, блин!

А уж с не самыми последними в линейке версиями… нужен допустим пакет строго для Oracle Linux 7.2, потому что на 7.3 и выше не работают драйвера на хитрое железо — да нет проблем, ищи тут: https://yum.oracle.com/repo/OracleLinux/OL7/2/base/x86_64/index.html

Хочешь пакет для Debian 8.4, но не 8.5 и выше? Или качай через jigdo нужный CD, предварительно выяснив какой:

• https://cdimage.debian.org/mirror/cdimage/archive/8.4.0/amd64/jigdo-cd/
• https://cdimage.debian.org/mirror/cdimage/archive/8.4.0/amd64/list-cd/

или качай CD1, поднимай виртуалку с ним и подключай репозитории машины времени с нужными датами: https://snapshot.debian.org/

Короче, тоже можно, но такая морока…

Какая ещё виртуалка? В обычной своей системе качаешь и всё. Если версия другая - в chroot-е. chroot делается с помощью debootstrap в одну команду. Хотя подозреваю apt можно как-то настроить чтоб работало без остальной системы чисто по кастомному несистемному sources.list.

А ещё можно в том же chroot-е просто установить нужный софт и потом забрать все пакеты из /var/cache/apt/archives - уже с посчитанными автоматически зависимостями.

Хочешь пакет для Debian 8.4, но не 8.5 и выше? Или качай через jigdo нужный CD, предварительно выяснив какой:

Очень сомнительная ситуация, учитывая что они стараются в рамках мажорного релиза не допускать никаких несовместимостей. Только мозилловский софт может так поломаться.

Кстати, напоминаю сообществу о существовании отличного и уместного слова «паразиторий».

Слушай, вот ты сейчас сидишь и жалуешься, что сообщество разработчиков свободного софта не слишком сильно напряглось забесплатно сделать товарищам в погонах жизнь в их Безопасных Изолированных Сетях максимально удобной. Ай-яй-яй, вот же сволочи.

Да нет, изолированные сети это вполне разумная мера и для обычных людей.

У обычных людей всегда есть щель наружу.
Да епт, и у необычных есть, просто эникея туда не пустят.
Видел я, как в банке строят Защиту Периметра. Оборудование закупили? Софт установили? Настроили? Протестировали? Внедрили? Работает? Отлично, теперь руководство и вот этот вот отдел должны иметь доступ внутрь в любое время и отовсюду. Выполняйте.

Не в погонах, я на госструктуры не работаю. Изолированные сети много где бывают.

Далеко не всегда. Что совершенно разумно, когда у тебя куча незаменимого легаси без поддержки.

вот отдел должны иметь доступ внутрь в любое время и отовсюду. Выполняйте.

Ага, такое есть. Вот только это не означает доступ изнутри сети к интернет-репозиториям.

Что совершенно разумно

Взять, к примеру, стокгольмский синдром.

Вот только это не означает доступ изнутри сети к интернет-репозиториям.

И что именно в Изолированной Сети сломалось бы от наличия прокси к зеркалу демьяна?

Ничего, просто пойди это согласуй с безопасниками.

ТЫ, лично ты только что сказал, что это РАЗУМНО. Вот давай, лично ты и поясни мне с позиций РАЗУМА, а не чужого авторитета.

А ты в курсе, что мы не живем в идеальном мире, и нам приходится работать с тем, что есть, а не с тем, что разумно?

Я совсем не был бы против бы жить в мире, где все разумно. Вот только приходится жить тут.

Так разумно или нет?

Разумно, конечно. Иметь локальное полное зеркало тоже разумно.

Да и бюджет на то, чтобы выкинуть всё старье и заменить новым разумно… вот только этого нет.

Работать всегда приходится с тем, что есть, а не с идеально возможным вариантом.

Клоунски выглядит дебиан со своим пустым пафосом, а эти ребята раздают бесплатно то, что корпорастские крысы пытаются огородить.

Я канэшна ламер, но Debian живёт по GPL, а красная шапка пытается навариться на GPL со всеми вытекающими. Они над GPL создают подсистему где за деньги можно получить результат.
В итоге кто то другой тоже хочет дать результат за деньги...
Такая мая ИМХА... Я за Дебиан. Шапка меня бесит...

В обычной своей системе качаешь и всё.

Делать мне нечего, основную ОС засорять левыми репозиториями. Я в курсе об /etc/apt/preferences.d/, что поможет избежать dependency hell в таком конфиге, но это все равно неудобно в том плане, что требует времени на нормальную настройку.

в chroot-е. chroot делается с помощью debootstrap в одну команду

Так и виртуалку завести не проблема. Не считая того, что это всё ещё сложнее и дольше, чем зайти на сайт в браузере! Я же не говорил, что нельзя. Можно, я даже подробно описал как. Просто труднее, а мне очень «приятно» тратить 30 минут на задачу, что на RHEL-based занимает 1.

А ещё можно в том же chroot-е просто установить нужный софт и потом забрать все пакеты из /var/cache/apt/archives - уже с посчитанными автоматически зависимостями.

К сожалению, это работает только тогда, когда набор пакетов на сервере и у тебя в chroot/виртуалке идентичен. Если у тебя стоит нужный пакет libchoto-2.3, то он не скачается (уже стоит же), а так как на сервере его нет, то твой набор просто выдаст ошибку при установке. И таких ошибок может быть не одна, но это иная история.

Я лично такую задачу решал, скачивая вывод dpkg-query --list с сервера и приводя набор пакетов на виртуалке к идентичному и выполняя то, что ты написал. Возможно конечно, но муторно.

Очень сомнительная ситуация, учитывая что они стараются в рамках мажорного релиза не допускать никаких несовместимостей. Только мозилловский софт может так поломаться.

Даже если так, есть такая штука, как ответственность и перестраховка. Если из-за поставленных мной библиотек из версии дистрибутива N+1 сломается софт, где указана совместимость с версией N, мне дадут по шапке. Да, я в курсе, что риск мал — но зачем рисковать?

На самом деле для безопасной сети разумно не только отсутствие прокси к каким бы то ни было зеркалам, но и запрет на челночное прокси, описанное Vsevolod-linuxoid. Как и вообще запрет на установку любого софта, не прошедшего предварительный аудит безопасниками (аудит означает детальный разбор всей логики работы программы и создание её бинарников в безопасной среде без воздействия внешнего мира).

Челночное прокси безопаснее прямого, а установка только после аудита исходников - безопаснее чем челночное прокси.

вот только этого нет.

Ага. А ты так почтовым голубем и летаешь. Домой и обратно, спрятав в самом надежном месте флэшку с выкачанными из собственноручно оплаченного домашнего интернета пакетами.
И называешь этот подход «разумным», а то иначе дядя безопасник не согласовывает.
Б***ь, тошнота, я там выше написал и удалил камент про ЛОР, надо было не удалять, а дополнять.

разумно

Еще один.

Челночное прокси безопаснее прямого

О господи. За что.

Так и виртуалку завести не проблема.

Виртуалку заводить явно муторнее и более того ты сам жаловался на это. А chroot-apt это просто запустил программу и берёшь сгенерированные ей файлы в своей обычной файловой системе.

это всё ещё сложнее и дольше, чем зайти на сайт в браузере

Браузер не годится - он не проверяет хеш. А ручная проверка будет явно сложнее чем chroot-apt и наверно даже сложнее чем виртуалка.

тратить 30 минут на задачу, что на RHEL-based занимает 1

chroot-apt это как раз 1 минута

К сожалению, это работает только тогда, когда набор пакетов на сервере и у тебя в chroot/виртуалке идентичен.

Если в chroot стоит минимальный debootstrap то этого не случится.

Чувак, я аутсорсер. Я не работаю в идеальных условиях, где все по уму.

Есть программисты, что пишут прекрасный код в грамотных проектах. А есть те, что правят говнокод в древнем, но очень нужном легаси.

Добро пожаловать в реальный мир. Нет, если ты всегда работал в близких к идеальным условиях, я рад за тебя — это редкая привилегия.

Опа опа опа, у нас аутсорсер в изолированную сеть носит пакеты на флэшке, я ничего не упускаю?

Через прямое прокси можно провести такую атаку: на сервер сидит злонамеренный софт, который подключается типа к адресу зеркала, а снаружи сидит злонамеренный сообщник, который перехватывает это соединение и заворачивает на свой злонамеренный сервер. Таким образом организуя туннель до себя, замаскированный под коннект к дебиановскому зеркалу. Да, если такое случилось - значит внутри уже проблемы (туда проник посторонний софт), но тем не менее если б не твоё прямое прокси - он не смог бы связаться со своим хозяином.

Какой еще хэш, там же подписанные пакеты, не?

Вообще конечно за этим нужно адекватное зеркало, чтобы ставить подписанные пакеты, а не непойми что вручную.

Подписаны не пакеты а список хешей пакетов релиза. Подписывание самих deb-файлов поддерживается в dpkg но не используется и никогда не использовалось в официальных репах.

Ну физически удаленная локация. Нет там инета. Бывает и такое.

А чувак, приносящий малварь на флэшке и пихающий ее в сервер - не, слишком сложно.

Госпидя. А подписи на что. Если у тебя зловред уже на целевом хосте сидит и прописал тебе свои ключи, то поздно пить боржоми.

Если админ злонамеренный то ничего не поможет, он найдёт способ сделать своё дело и без инета. А с прямым прокси такое соединение делается без ведома обслуживающего персонала.

Да, остаётся способ атаки «заразим комп админа и подсунем ему на флешку вирусы». Но это другая история.

Заорал))

Так это не из категории «разумно» или «неразумно». Это просто убогая дикая пердь, а не проектом задумано.

Подписи чего? На tcp-соединении подпись навешана что «обещшаем, это соединение сделано добросовестным apt в целях добросовестного скачивания пакетов»?

Я где-то оспаривал, что это не идеальные условия?

Ты называл это «разумным».

Пятнциццо: новость про ассоциацию создателей клонов :-)

Я об изолированных сетях в целом говорил. Они могут быть полезны.

Пакетов репы, епта.

Причём тут пакеты репы? Ты цитатой не промахнулся? Речь была про имитацию коннекта к репе для на самом деле подключения к управляющему серверу трояна через прокси где разрешена репа.

Ты просто себе там какую-то свободу придумал, которой никогда не было.

Чтобы дома запускать гимп и персональный говнокод, есть божественный Арч с хорошим уровнем поддержки от сообщества и свежим софтом.

А для ынтырпрайза, нужна совсем другая среда и требования. Там шляпа всегда рулила. И будет рулить, если только сама себя не выпилит из-за управленческих ошибок.

Но не бывают ггг. Потому что "...а теперь руководству надо дать доступ" и прочий фарс и профанация.
Я тебе еще раз говорю, стокгольмский синдром можно преодолеть, просто вспомни, что ты одмин, и ЛИЧНО ДЛЯ ТЕБЯ изоляция = дефект и геморрой, а не что-то полезное и разумное. А апологетику оставь погонам, они сами справятся.