это не коала, а такой ядовитый примат - лори. в случае опасности он обмазывается слюной (на картинке как раз изображён момент обмазывания) и в химической реакции с выделениями из специальных желёз на лапах зверька слюна даёт сильный яд, который лори намазывает на себя. таким образом лори защищается от попыток его сожрать. сам он маленький и слабый, но смертельно ядовит, когда обмажется.

я вот не знаю, зачем они так назвали выпуск и чем они там обмазываются :)

-- А вам говорили, что вы зануда?

-- «разг., презр. надоедливый человек, тот, чьи действия вызывают тоску и раздражение». Это из Википедии. Понимаю, ичточник не полностью заслуживает доверия, но всё же. Я правильно понял смысл ваших слов?

Я думаю выбрали тупо по внешнему виду и никто ни о чем ну думал. Ну это как линуксовый пингвин, который утка.

Но да, с точки зрения безопасности gentoo действительно лучше, чем nixos.

balsoft ты в адекватном состоянии? Если что безопасность/количество дыр никак не зависит от дистра. А уж назвать генту более безопасной скажем так несколько опрометчиво. Бывалые гентушники подтвердят про разброд, шатания и примерные числа не закрытых дыр в гентах.

Я имею в виду то, что в генте можно получить гораздо больший контроль над тем, что же именно установлено в систему и избежать разбродов и шатаний с помощью USE-флагов. Под nixos в теории тоже можно, но я не пробовал (и не хочу, если честно)

Алгоритм определения «заведомо обратно совместимых» изменений в студию.

Если такого алгоритма нет, то обмазаться костылями с nix-store --restore и nix-store --clear-failed можно и сейчас. В апстриме так делать скорее всего никто не будет, гигабайты не считают.

Я имею в виду то, что в генте можно получить гораздо больший контроль над тем, что же именно установлено в систему и избежать разбродов и шатаний с помощью USE-флагов.

Найденные уязвимости в Генте зачастую «исправляют» дожидаясь новую версию из аппстрима. Для понимания этот процесс может и годы занимать, если что. Не редки случаи когда либа/по с дырой ещё и остаётся без разработчиков из своего аппстрима а в Генте же, не смотря на юзе флаги и прочие её ништяки, просто висит себе прописанная в системный профиль либо зависимостью того что прописано в профиль... Если не дошло то да такую дырявую штуку ещё и не удалить так просто. Да и количество багов про cve заведенных в багзилле генты не говорит ни о чем. В реальности дыр гарантированно больше чем этих багов на порядок минимум. И это разговор просто про уже открытые cve в которых зачастую даже заплатки готовые есть.

И вот тебе ещё на подумать - когда конкретно конечный пользователь в гентах узнает о наличии дырявого софта/либы?

Gentoo лишь предоставляет инструменты для сборки системы, сама же система собирается из исходников к которым в 99.9% случаев gentoo не имеет никакого отношения.

Прикол в том, что любой дистр предоставляет подобные инструменты, причем порой они гораздо проще (что даже арчешкольники справляются). Просто никто кроме гентушников не догадался устроить из этого культ пересборки мира на локалхосте.

Алгоритм определения «заведомо обратно совместимых» изменений в студию

Алгоритм:

• спросить апстрим проекта

гигабайты не считают

Ну вот пока они не начнут считать гигабайты, так и останутся полуакадемической поделкой для 3.5 хипстеров.

-- А вам говорили, что вы зануда?

-- «разг., презр. надоедливый человек, тот, чьи действия вызывают тоску и раздражение». Это из Википедии. Понимаю, ичточник не полностью заслуживает доверия, но всё же. Я правильно понял смысл ваших слов?

А может ты тупой, или не можешь в иронию?

спросить апстрим проекта

«Нэ ламал, мамой клянус!» Лучше лично тебя спросить, ты такой умный. Но ты один, а пакетов много, поэтому приходится пересобирать.

Вот как тут не вспомнить дяденьку Лаврова? =)))

Если что безопасность/количество дыр никак не зависит от дистра.

Вообще-то, да. Но вот только дистрибутивы с поддержкой (условно) профиля hardened имеют защиту от некорректного поведения софта. И защиту от основных видов атак.

И эта хрень (модель защиты) организована довольно просто — от патчей ядра, позволяющих ограничить софт и до... Да дохрена всего. В общем, и сами запомните и другим передайте что «безопасность это не состояние, это процесс». И софт всегда и был и есть и глючный и косячный. Вопрос только что Вы с этим софтом можете сделать в системе, а где система Вас пошлёт в пешее эротическое.

Плюс один.

Я имею в виду то, что в генте можно получить гораздо больший контроль над тем, что же именно установлено в систему и избежать разбродов и шатаний с помощью USE-флагов. Под nixos в теории тоже можно, но я не пробовал (и не хочу, если честно)

Именно. Даже RH не даёт такого контроля в большем, нежели гента объёме.

Вообще-то, зависит от области применения.

И вот тебе ещё на подумать - когда конкретно конечный пользователь в гентах узнает о наличии дырявого софта/либы?

И внутреннего контроля. В конторе. Есть места где такой контроль производится быстро, качественно и профессионально.

Вот только это денег стоит — мама не горюй. И патчи в апстрим отдаются не всегда. Тут причины разные. От сбора своей базы сплоитов и до банального «некогда».

Вообще-то, да. Но вот только дистрибутивы с поддержкой (условно) профиля hardened имеют защиту от некорректного поведения софта. И защиту от основных видов атак.

Полноценная защита на условном профиле hardened зависит от тулчейна (соответственно и все остальное должно быть собрано этим необычным тулчейном) и ядра с заплатками. И если с тулчейном ещё более менее то в ванильное ядро изменения из grsecurity недопортировано. Мало того официальная hardened gentoo больше не поддерживает grsecurity и pax. Соответственно вся эта твоя hardened затея это либо газификация малых водоемов либо двойной идиотизм потому как надо денег ублюдкам из grsecurity заносить и потом ещё и свои ядра велосипедить.

Благодаря животворной деятельности жолхифа, царствие ему небесное, лор превратился в имиджборду, где анонимусы беседуют с делетедами.

Почему в заголовке нет слова Linux? Это же не NixOS а NixOS Linux!

Сабж... Я то подумал правда что то появилось...
А это всё тот же Линух густо обрастающий свистелками и перделками...

Полноценная защита на условном профиле hardened зависит от тулчейна (соответственно и все остальное должно быть собрано этим необычным тулчейном) и ядра с заплатками.

Да, Адмирал Ясен Хер (разжаловать Вас до капитана было бы очевидной глупостью)! Именно так! =)))

И если с тулчейном ещё более менее то в ванильное ядро изменения из grsecurity недопортировано.

И, Вы мне не поверите, хер бы с ним.

Мало того официальная hardened gentoo больше не поддерживает grsecurity и pax.

Если бы за официальную hardened gentoo платили бы денег (я не зря это слово выделил в комменты выше), то тогда это было бы что-то типа вламывания в открытые двери.

Нет. За официальную не платят, мой недорогой и не далёкий «коллега». Гордые одмины локалхоста тут строем, в колонну по-три лесом. =)))

Дальше я этого обсуждать не буду (что именно и как именно), т.к. смысла особого не вижу, но чисто намекнуть могу — подумайте что и зачем сделали в Astra Linux SE с ядром. Дойдёт намёк — хорошо. Не дойдёт — ещё лучше. =)))

Вам не нужна - не пользуйтесь. Мне нужна.

Чем бы ни маялись, лишь бы Gobo-linux не изучать!
Хотя чё там изучать... всё проще пареной репы - идеальный дистр без мозгозавихрений. Почему линуксоиды такие альтернативщики? Почему им вечно надо что-то своё? А потом ещё смеются над NIH-сидромом в микрософте... сами-то что, лучше?

Если бы за официальную hardened gentoo платили бы денег (я не зря это слово выделил в комменты выше), то тогда это было бы что-то типа вламывания в открытые двери.

А если бы бабушке половой член то она стала бы дедушкой.

подумайте что и зачем сделали в Astra Linux SE с ядром.

Ты там выше за генты топил. Такша не соскакивай. А за эту твою Гента денег не берут.

Вот интересно, им окупилось создание своего нескучного языка, вместо применения чего-то, по чему можно найти книгу? Конечно с этим тоже можно перебдеть, например ebuild тоже формально баш-скрипт, но мы то знаем что там уже ничего почти от баша не осталось

Ты там выше за генты топил. Такша не соскакивай. А за эту твою Гента денег не берут.

Лавров прав. Долб... ээээ... дуракам не платят. И платить не будут.

А астру я привёл в пример только потому, что люди пошли сознательно на расходы, связанные с модификацией ядра и с созданием и проверкой мат. модели полученного решения. Уж поправить userspace при таких раскладах, это вообще ноль проблем.

Но да. Дураков учить — только портить.

Если такого алгоритма нет

то что сейчас делает NixOS тоже обратной совместимости не добавляет. Вся соль же на стволах, которые склеивает линковщик, если они есть, то программа соберется, а будет ли работать зависит уже от кода, который nix никак проверить не может. А значит лучшее в такой ситуации это проверка версии библиотеки, если она не изменилась - не пересобирать. Хеш тут никакой пользы не несёт, он был бы хорош только при статической линковке, но glibc на такое не способна

Так я по прежнему не в курсе как ты по сервису, где школьники с винды статистику накручивают, делаешь далеко идущие выводы о судьбах генты и приводишь его как аргумент. Мог бы и глобальное потепление упомянуть...

ЛОЛШТО? =)))

Так я по прежнему не в курсе как ты по сервису, где школьники с винды статистику накручивают, делаешь далеко идущие выводы о судьбах генты и приводишь его как аргумент. Мог бы и глобальное потепление упомянуть...

Вы вообще в курсе как дистровоч статистику собирает?

школьники с NixOS статистику накручивают

Пофиксил, не благодарите. Правда, раньше всё больше с арчика, но теперь у них есть NixOS. О чём я собственно и сказал. Школиё «делом занято», в генточке и арчике полегчало. =)))

в каждом разделе ЛОРа свой Царь..

А ты хотел бы Hurd?

Потому что gobo Linux это бессмыслица. А nixos осмысленный дистр

Nixos ровесник арчика есличо. Да и мозгов не хватит у школия софт для никсос опакетить, не говоря уж про написание модуля

Не уверен.

Разработка с его использованием отличается от «обычной», но она очень часто гораздо удобнее благодаря повторяемости и простоте распределения сборки.

Уж с чем - с чем, а с повторяемостью и простотой сборки в генточке всё нормально. Сотни компов по всему миру это подтверждают.

Если говорить об «ынтырпрайзе» и «продукшоне», то тут надо просто держать своё зеркало (на сайте там описано) для общесистемных сборок и свой оверлей для своего софта.

Тогда ненужно таскать по сети терабайты, вполне можно выделить по серверу каждого типа под сборку, собирать на нём, проверять качество, налагать свои патчи и, далее, в бинарном виде натягивать на остальные сервера. Свой софт, кстати, тоже и так же. Иначе смысла нет — что-нибудь, да отъехать может.

Делать это приходится где-то раз в неделю, т.к. всегда есть ненулевой шанс что что-то где-то сломается (покажите мне систему, где при апдейтах не ломается ничего?) и сказки про то, что раз в полгода обновился и всё живёт, это сказки. Можно в конец охренеть от того, что половину мира придётся снести, а во второй половине придётся зависимости разруливать. Проще уж тогда заново. Но кто даст на это время?

Да, Генточка это роллинг релиз. Тут нет жесточайшей необходимости собирать мир с -е (empty tree) всякий раз. Это, если угодно, то баланс между полнотой сборки и затрачиваемых и усилиями/трафиком. Но, если невтерпёж, то можно и с -е мир емерджить.

Так что, с полнотой и воспроизводимостью тут всё очень хорошо. И уровень и того и другого регулируются потребностями.

NixOS позволяет админу легко интегрировать проект на никс прям в дистр, легко кататься туда-сюда между версиями проекта, не напрягаясь раскатывать в облако с помощью nixops (ну ладно, иногда напрягаясь из-за странностей libcloud).

О, Госссподи! Виртуализации уже аж 12 платформ придумали, хотя, рулить ими можно через одну libvirtd, но да ладно. Даже контейниризацию придумали в виде докера и кубернетикса, чтоб хоть как-то докер на плаву поддерживать.

И всё мало... И всё мало... =( Может, хорош уже велосипедов?

Это всё прям рай, но к сожалению мы платим за него лишними пересборками и необходимостью перестраивать workflow.

Угу. И вот после этого гентарей попрекают глобальным потеплением?

Понятно, что если уже выстроен процесс с джентой, то переделывать под что-либо другое никто уже не будет, даже если было бы настолько же секурно.

Здесь дело не в этом. Ни кто не дурак просто так, из каких-то непонятных побуждений тратить деньги. Но если гешефт не очевиден, то зачем вся эта беготня? Было бы оно лучше в разы, то я бы первый был в очереди на установку. А так... выгода сомнительна, а проблемы очевидны.

Nixos ровесник арчика есличо. Да и мозгов не хватит у школия софт для никсос опакетить, не говоря уж про написание модуля

Дададад! Есть много древних вещей, поражающих своей, доказанной временем, ненужностью. Вон, великолепнейший, надёжнейший, безопаснейший язык — хаскель. Создали аж в 1987г., ЕМНИП. Ну и?

Для яростного соача на Лоре сойдёт (я сознательно набросил), а так-то... Практическая ценность какова?

Вот так и здесь. Арчик хоть наотличненько канализировал школиё из генточки в своё время...

Вот интересно, им окупилось создание своего нескучного языка, вместо применения чего-то, по чему можно найти книгу?

Книга: https://nixos.org/nix/manual/

Откройте для себя DSL

Не отменяет вопроса, какая польза от DSL в данном случае? Не повысили ли они наоборот порог вхождения? Не лучше ли было строить DSL в рамках другого языка общего назначения?

Не очень понял. Вы про то, что nix не фиксирует версию ядра? Так nixos именно это и делает.

Если вы про конкретные библиотеки, то их хэши жёстко зашиваются в RPATH бинарников, так что эта воспроизводимость гарантируется и статическая линковка ничего бы не поменяла с точки зрения воспроизводимости.

https://guix.gnu.org/

NixOS и Nix просто позволяют делать то же самое с меньшими затратами человеко-часов. Ну по моему опыту, возможно у вас как-то по другому получилось.

Угу. И вот после этого гентарей попрекают глобальным потеплением?

За мной такого вроде бы не было замечено.

если гешефт не очевиден,

Профит от nixos в некоторых ситуациях очевиден. Там, где нужна воспроизводимость и атомарность, он собственно и применяется.

Впрочем, как я и писал, перелезать на nixos может быть дороже, чем терпеть проблемы Gentoo.

Спрашивалка отвалится у каждого апстрима спрашивать про каждое обновление, насколько оно реально ломает совместимость. К тому же очень часто изменения, которые вроде бы ни на что не влияют, на самом деле критичны и ломают совместимость.

Кстати, да. Но это ещё большой вопрос, во что проще «врубиться» не знающему Scheme человеку.

Что я знаю о схеме, то врубаться заново нужно в каждую функцию. Нету никаких стандартов как нужно передавать данные, они могут жрать любую магию, выдавать любую магию в любой форме и делать еще больше магии внутри.

Вот вы и ответили на свой вопрос)

Но я же только о схеме. Если что, то Guix я тоже считаю бредом только из-за одной скобятины

Ну тогда остаётся только визуалбэйсик, ибо питон и баш уже были в этой роли. хи-хи

Я если что, то я за языки конфигов со схемой. Без средств реального программирования. Например Thrift/Protobuf - в их текстовой форме.

Выбор можно делать только после поедания устриц, поверьте. Попробуйте поюзать nixos и поймёте, что все не так очевидно.

Thrift'а не знаю, а протобуф совсем не из этой оперы

Textproto же, вполне заменяет yaml/json для ручного писания

Просто ты не показал всем, как надо делать, вот в NixOS/Guix и наворотили фигни. Пора тебе уже брать дело под свой контроль, мир ждёт хороших дистрибутивов!

Хорошая система, удобная для конфигурации. Но не соответствие FHS приносит неудобства пользователю. Ну и софт, он оутофдейт, а шаг в сторону требует дополнительных знаний, причем узкоспециализированных, которые не имеют смысла в другом дистрибутиве.

Попробуйте поставить, например, doublecmd. В Nixpkgs его нет. Значит либо собирай, либо ельф-патч бинарники, а это не просто пара-тройка команд, а целая история на Nix-языке (еще бы синтаксис был привычным).

Но для тех, кого устраивает предлагаемое и он не хочет ковыряться с настройками, а просто декларативно указать нужные параметры, это идеал, все сделают за тебя, хоть монтирование, хоть правила sudo, хоть что. Ну и документация хорошая, причем не только онлайн, но и локально.