Вышла версия 2012.1 live-дистрибутива Liberté Linux

Попытался пройти по ссылке

You have asked Firefox to connect securely to forum.dee.su, but we can't confirm that your connection is secure.

Отличное начало, секрьюрное.

Сейчас попробуем на виртуалке, вместе с Frenzy, с которого и начал серьезное знакомство с иксами в конце 90-х, начале 2000-х. :) Кто уже смотрел?

Если бы ты хоть раз попробовал изменить настройки в своем поделии и после этого перезагрузиться, то не задавал бы таких глупых вопросов.

Это не баг, а feature. Persistence реализуется только для директорий ~/persist (шифрованный том OTFE), и для ~/config с исключениями (архив в ~/persist).

Если ты думаешь, что делать из жесткого диска livecd - это гениальная идея, у меня очень плохие новости для тебя.

Непонятна суть претензий. Liberté — это live-дистрибутив, а не установщик для дистрибутива с пакетным менеджером, например. Распаковывайте SquashFS на жесткий диск, если так хочется, только толку от этого будет немного, а угроза безопасности и анонимности при эксплойте, например — серьезная.

Кривульку на кривульку? Лопата, копать.

Это неконструктивная критика. Liberté — легковесный дистрибутив, и Firefox'у там не место. Алсо, какие претензии? Видео в HTML5 работает, например (включая YouTube), а флеша в любом случае не будет.

Отличное начало, секрьюрное.

Все претензии к разработчикам браузеров, которые не понимают, что CNAME на хост с нормальным сертификатом — не повод для паники. Chrome, кстати, дает более понятный warning.

Подробности

Это соединение является недоверенным Вы попросили Firefox установить защищённое соединение с forum.dee.su, но мы не можем гарантировать, что это соединение является защищённым. Обычно, когда вы пытаетесь установить защищённое соединение, сайты предъявляют проверенный идентификатор, служащий доказательством того, что вы направляетесь в нужное место. Однако идентификатор этого сайта не может быть проверен.

Что мне делать? Если вы обычно без проблем соединяетесь с данным сайтом, эта ошибка может означать, что кто-то пытается подменить этот сайт другим. В этом случае вам не следует продолжать соединение.

Технические детали

forum.dee.su использует недействительный сертификат безопасности.

Сертификат действителен только для *.zoho.com

Ага, и сам дистрибутив с глистами, вводите через него данные своих кредитных карт.

Ложечки то нашлись, а осадочек остался.

Это не баг, а feature. Persistence реализуется только для директорий ~/persist (шифрованный том OTFE), и для ~/config с исключениями (архив в ~/persist).

А, то есть, когда меняешь разрешение экрана, перезагружаешься и внезапно видишь старое разрешение,- это фича. И то, что новое разрешение таки сохраняется в упомянутый тобой архив, но не восстанавливается как положено, из-за кривых симлинков,- это тоже фича? Да-да, я не поленился и заглянул в кишки.

Непонятна суть претензий. Liberté — это live-дистрибутив, а не установщик для дистрибутива с пакетным менеджером, например. Распаковывайте SquashFS на жесткий диск, если так хочется, только толку от этого будет немного, а угроза безопасности и анонимности при эксплойте, например — серьезная.

Суть претензий в том, что невозможно исправить плоды криворукости создателей сего чуда. Перепаковкой сквоша сам занимайся, нормальные люди просто возьмут нормальный дистрибутив. Про експлоит насмешил.

Liberté — легковесный дистрибутив, и Firefox'у там не место.

Ты вообще в курсе, что есть сайты, где нужен только FF или IE? А твои легковесные наколенные поделки сосут. Ты для кого дистр делаешь, для школоло напоиграцца? И да, вот сюда зайди своим прекрасным браузером, ощути всю его красоту.

Для непонятливых: HTTPS and CNAMEs, Zoho CNAMEs. Конкретно Вам я бы посоветовал заменить в ссылке схему https: на http: — warning пропадет, проблема решена, можно оплачивать интернеты маминой кредитной картой.

И то, что новое разрешение таки сохраняется в упомянутый тобой архив, но не восстанавливается как положено, из-за кривых симлинков,- это тоже фича?

Если речь о config/autostart/lxrandr-autostart.desktop (который корректно восстанавливается), то его поддержка сейчас в TODO, причем я не уверен, что ее стоит реализовывать из-за потенциальных проблем при смене компьютера. Там всего-навсего запуск xrandr — пропишите его в config/x11/xsession — будет тот же эффект.

Перепаковкой сквоша сам занимайся, нормальные люди просто возьмут нормальный дистрибутив.

Не перепаковкой, а распаковкой. Что конкретно Вы понимаете под установкой на жесткй диск? Liberté устанавливается на жесткий диск — чего именно не хватает?

Ты вообще в курсе, что есть сайты, где нужен только FF или IE?

Заходите на них из-под Windows XP с Internet Explorer 6.0 — причем здесь Liberté?

И да, вот сюда зайди своим прекрасным браузером, ощути всю его красоту.

Что конкретно не так? Опять же, какие будут конструктивные предложения для легковесного дистрибутива?

У меня не грузит процессор, правда интерфейс gtk2 и net-libs/webkit-gtk-1.6.1-r201 + www-client/midori-0.4.3

Проблема только с GTK+ 3, можете посмотреть в предпоследнем снапшоте, например. В Gentoo #409697 утверждают, что проблемы больше нет в gtk+-3.4.0 — но с другой стороны, Samuli Suominen уверждал там же, что проблемы вообще нет, а причина в конспирации против миграции на GTK+ 3. Мне надоело с ним препираться, а Epiphany действительно лучше и стабильнее, по моим впечатлениям. Если правильно помню, то 2 года назад, когда в Liberté запиливался Midori, Epiphany еще не был годной альтернативой (только-только мигрировал на WebKit, и тянул много зависимостей).

Если речь о config/autostart/lxrandr-autostart.desktop (который корректно восстанавливается)

Не звезди. У меня стоит 2012.1-RC, и в ней не работает. Поэтому я и спросил, а ты юлить начал.

Liberté устанавливается на жесткий диск — чего именно не хватает?

Я тебе уже объяснил, что livecd на харде - это педерастия. На жестком диске (и на флэшке) файловая система должна быть r/w, а не эта хуерга. И не лечи про експлоиты, просто признайся, что в лом было делать нормальную установку на хард.

Заходите на них из-под Windows XP с Internet Explorer 6.0 — причем здесь Liberté?

Liberté ни при чем, ибо практически непригоден. Ты сэкономил 200 мегов (в век 16 гиговых флешек по 3 копейки это очень актуально, гы-гы), но сделал дистр бесполезным хламом.

Что конкретно не так? Опять же, какие будут конструктивные предложения для легковесного дистрибутива?

Что конкретно не так, там красным и оранжевым отмечено.

dmesg

Xorg.0

За подробностями можете обратиться к Навальному: он теперь знает.

В треде стоял звон фейспалмов.

Не звезди. У меня стоит 2012.1-RC, и в ней не работает.

Проверил — файл восстанавливается. Liberté не запускает автоматически XDG_CONFIG_*/autostart/*.desktop, на что намекают первые строки в ~/config/x11/xsession. Вот lxappearance неправильно сохраняет конфигурацию (особенно GTK+ 3), если правильно помню (на что есть открытые баги в SourceForge), но он хотя бы позволяет посмотреть темы, а конфигурацию всегда можно подправить вручную, поэтому lxappearance не был выпилен.

На жестком диске (и на флэшке) файловая система должна быть r/w, а не эта хуерга.

Поэтому я и спрашивал про распаковку SquashFS. Причем файловая система раньше и была r/w, но изменения не сохранялись, а сейчас она стала r/o для большей безопасности, что было непросто реализовать.

И не лечи про експлоиты, просто признайся, что в лом было делать нормальную установку на хард.

Не вижу никакого смысла, можно просто сделать persistence на весь /, но опять же — не вижу смысла. Liberté — live-дистрибутив.

Ты сэкономил 200 мегов (в век 16 гиговых флешек по 3 копейки это очень актуально, гы-гы), но сделал дистр бесполезным хламом.

Меньше кода — меньше взломов, меньше распыления внимания при разработке, быстрее интеграция фиксов для эксплойтов — это основные причины. Кроме того, при загрузке с CD, например, образ SquashFS загружается в память, при загрузке верифицируется, в будущем, возможно, будет загрузка по сети, и т.д. По поводу бесполезного хлама — раньше на странице мотивации было подробно расписано, для кого данный дистрибутив не предназначен, но я убрал описание, чтобы никто не чувствовал себя ущербным (вот архив). Если Liberté Linux Вам не нужен — не пользуйтесь им, всё просто.

Что конкретно не так, там красным и оранжевым отмечено.

IP check — реклама для JonDonym. Иллюзия анонимности от заголовков, схожих с Tor Browser Bundle уже обсуждалась ITT. В остальном не увидел серьезных проблем, особенно в контексте live-дистрибутива. Хотя, конечно, некоторые патчи для Epiphany, аналогичные TBB, были бы желательны — но уверен, что дело не за горами (причем патчи, скорее всего, пойдут сразу в WebKit).

Загрузка с сидюка в UEFI Mode прошла успешно.

P.S у Liberte только i686-сборка (ее и пробовал) или есть еще amd64?

Загрузка с сидюка в UEFI Mode прошла успешна.

Отлично, спасибо, а с USB не пробовали? Насколько я понимаю, достаточно просто распаковать .zip в корень флешки. Вывод в консоли при загрузке видно? Какой драйвер грузится в Xorg? Какая модель компьютера (чтобы я знал, что на ней работает)?

у Liberte только i686-сборка (ее и пробовал) или есть еще amd64?

На данный момент только i686, но при выключении / перезагрузке / внезапном выдергивании флешки грузится KEXEC-ядро (для очистки памяти) amd64 при возможности. Причем, насколько я понимаю, к IA32/x64 в EFI битность OS не имеет отношения?

у вас тот же варнинг что и у всех но при этом после него не отваливается нвидиа модуль как у меня «NVRM: RmInitAdapter failed! (0x27:0x38:1190)» но у меня 560 ti. хмм. ну значит на некоторых видюхах он палит а на некоторых нет =(

Отлично, спасибо, а с USB не пробовали?

Пожалуйста, с USB завтра попробую.

Насколько я понимаю, достаточно просто распаковать .zip в корень флешки.

Да, причем если записать с помощью dd или unetbootin дистр не загрузиться с флешки в UEFI-режиме, а если просто архиватором распаковать то дистр грузиться в UEFI-режиме, но с обычным биосом, такая загрузочная флешка не работает.

Вывод в консоли при загрузке видно?

Да.

Какой драйвер грузится в Xorg?

Не посмотрел.

Какая модель компьютера (чтобы я знал, что на ней работает)

Компьютер самосборный:
Материнская плата: ASUS P8H67-M
BIOS/UEFI: 3604 (EFI v2.31 by American Megatrends)
Процессор: Intel Core i7 2600K
Видеокарта: NVIDIA GeForce GTX 470 1280MB
RAM: 4096MB
Также, есть ноутбук с UEFI, на нем тоже попробую.

Причем, насколько я понимаю, к IA32/x64 в EFI битность OS не имеет отношения?

вот, например на моем ноуте с UEFI Archboot с ядром i686 нормально стартует в UEFI-режиме, а archboot с ядром amd64 в UEFI-режиме на этом же ноуте не грузиться - только черный экран, такая же история с убунтой 64 бит - только черный экран на ноуте. Archboot нормально стартует на компе и с i686-ядром и с amd64-ядром. И убунту 64-бит тоже на компе нормально стартует.

uefi черный экран

известный баг asus ami bios. обнови биос и попробуй заново

насколько я знаю этот баг был исправлен начинаю с версии 0901. линупс здесь не при чем 100%

биос на ноуте (ASUS K53SV) последний: ver 320

На ноуте тоже отлично загрузилось:
Ноутбук ASUS K53SV:
Процессор: Intel Core i7 2670QM
BIOS: 320
Видеокарта(ы): Intel HD Graphics 3000/NVIDIA GeForce GT 540M
Память: 6гб DDR3-1333

Отлично — выходит, не зря я возился с отладкой на TianoCore OVMF в QEMU и в VirtualBox.

ан нет, в ноуте на линуксе проблемы с процом, lscpu кажет 1 ядро и два потока на ядро, хотя должно быть 4 ядра и два потока на каждое ядро. Это проблема во всех линуксах загруженных на моем ноуте в UEFI-режиме.

lscpu кажет 2 ядра и один поток на каждое ядро

//fix

В треде стоял звон фейспалмов.

Очень интересно, почему? Ты хоть подробности истории-то знаешь?

Оффтоп, но сразу вспомнилась строчка из песни Death In June: «Liberté c'est un rêve...»

Я смогу с помощью этого дистрибутива выложить ролик очень неугодного характера для властей в сеть и быть уверенным, что мне ничего не будет?

значит у меня проприетарный драйвер на UEFI таки работает, вопреки вашим высказыванием?

Скорее всего да, если Вас нельзя будет ассоциировать с Вашими действиями под обычными аккаунтами в сети. На данный момент не известно ни одного случая раскрытия личности из-за уязвимостей в сети Tor.

да. вы правы. у вас работает отлично без костылей

и мне повезло! пришел домой загуглил эту проблему в 9000-ый раз и наконецто НАШЕЛ костыль при котором работает нвидиа драйвер у меня на asus 990fx sabertooth & 560 ti.

iommu 64M в биос включить, поддержку iommu в ядре включить, параметры к ядру добавить:

vmalloc=256M iommu=pt

ЗЫ видел что очень много людей имеют точно такую же проблему => прочитал & запости друзьям пожалуйста

А настройки iptables на что?

Несколькими постами выше я ему уже про них говорил. Ещё (для пущей безопасности) предлагал один комп под шлюз тор-юзать, а второй под основную систему.

(U)EFI...бла-бла-бла... Без соответствующего железа, в вики я буду только мешать.

Что Вам мешает virtualbox поставить и EFI в настройках выбрать?

Это не является достаточно реалистичным тестированием.

Не поймите меня неправильно, но Вы недостаточно теоретически подкованы. Либо я не правильно понимаю цель проекта. Я думаю, что Вам стоит прочесть статьи про

анонимизацию (в частности про работу JS, XXS, HTML5, CSS (последний, например, может отослать разрешение экрана, etag, DOM-storage, а также понять необходимость вообще защиты от запросов информации с внешний доменов страницы (даже лор лезет на googleapis, который всё про всех пишет)) и

безопасность системы (в частности PAX и hardened toolchain (ASLR, PIE, SSP + kernel heap protection, Kernel address randomization и другие технологии. Почему, например, программное управление доступа к страницам через PaX лучше NX-бита (подсказка: связано с буферами) ? Большую часть перделок по защите ядра от проблем переполнений и затирке памяти Вы найдёте в подпункте PaX пункта Security при настройке Hardened Kernel. Посмотрите также про контексты SELinux и про Linux IMA (использует TPM для подписи).

А также про защиту каналов. Особенно это касается снифферов от ФСБ и прочих гэбней у провайдеров, в датацентрах. Я уже молчу про снифферы на выходных точках TOR'а, и ssl-proxy на 1/4 из них.

Честно говоря для этого всего (особенно для новых фитч SELinux'а и PaX'а) сейчас вообще нет вменяемой документации, не говоря уже про туториалы для обычных админов-гентушников, а не для спецов по ИБ. Максимум, чтоб с текущей документацией обычный админ способен сделать - пересобрать систему с PIE и SSP, включить пару опций PaX'а.

Если Вы хотите заниматься реальной безопасностью, а не решать технически проблемы тех, у кого что-то там не завелось из-за кривого биоса, контроллера, рук и т.п., то изучите темы описанные выше. Дальше Вы уже сами решите, что делать, поняв, что Liberte к безопасности и анонимизации особого отношения не имеет (кроме защиты от простого переполнения, разве что). Сообществу Hardened Gentoo, PaX, SELinux сейчас, как никогда нужны альтруисты.

А лично меня больше всего интересует тема Linux IMA (от IBM, позволяет через чип TPM на матери (но, как я понял, часть функций может и эмулироваться) подписывать настройки биоса, ведро, загрузчик, бинарники, конфиги и файлы, не давая тем, у кого подпись не совпала (или у которых нет её, если так настроенно) использоваться), а также вопрос реальной анонимизации и защиты информации при условии наличия на выходной точке сниффера и использования http.

Выложите свой jabber/скайп/мыло/прочее, если Вам что-то из вышесказанного интересно. Могу предоставить (в следующем месяце) виртуалки под это дело, а также систему с TPM (могу даже физически её передать, если Вы в пределах кольца находитесь).

mk@dee.su рабочее?

там же Tor используется. По идее браузер должен быть защищён только от:

1) Обращения к сети минуя Tor

2) Утечка истории посещений (в том числе гугла с помощью его кнопок +1 на сайте, которые способны учитывать посетителей с помощью куки)

3) Определение местоположения с помощью API браузера

4) Определение аппаратной начинки и идентификаторов машины

4) Экспойты, потому что они могут выполнить все предыдущие пунты вопреки настройкам браузера.

При этом даже скрывать факт использования этого дистрибутива для сайта не нужно.

Не нужно. Каждый параноик должен сам собирать для себя линукс. Пример с подсовкой anonymous linux показателен здесь.

Если Вы хотите заниматься реальной безопасностью, а не решать технически проблемы тех, у кого что-то там не завелось из-за кривого биоса, контроллера, рук и т.п., то изучите темы описанные выше.

Почему Вы решили, что я их не изучил? Вы сайт проекта вообще читали? Код, конфигурацию ядра смотрели? Не проецируйте на меня и проект представления, сложившиеся исключительно у Вас в голове безотносительно фактов.

Выложите свой jabber/скайп/мыло/прочее, если Вам что-то из вышесказанного интересно.

Общаться с энтузиастами без образования и реальных знаний мне неинтересно, без обид. В лучшем случае Вы разбираетесь в конфигурации Firefox для большей анонимности, но к Liberté это в данный момент имеет мало отношения, т.к. Firefox не используется. Для консультаций со специалистами у меня есть соответствующие налаженные контакты, подписки на рассылки, и т.д.

Сборка образа.

Что за масонско-либерастическое название?

Внезапно: Liberté в переводе с французского - свобода.

Скажи, ты по каким соображениям подбирал софт? Логики не видно. Для каких задач твой дистр? Про FF ты уже ответил, поэтому можно считать, что он не для работы в вебе, тогда для чего?

Внезапно: Liberté в переводе с французского - свобода.

Спасибо, капитан очевидность.

Внезапно: Liberté в переводе с французского - свобода.

Внезапно: Liberté — масонско-либерастический лозунг.

Единственный геморой - нвидиа драйвер не запустится

Пруф, пожалуйста.

Внезапно: Liberté — масонско-либерастический лозунг.

А Золушка - это не только героиня сказки, но и средство для мытья посуды.

– И совершенно напрасно, – сказал Корейко, с любопытством поглядывая на борщ, в котором плавали золотые медали жира. Было в этом борще что-то заслуженное, что-то унтер-офицерское. – «В борьбе обретешь ты право свое» – это эсеровский лозунг. Для печати не годится.

– Ах ты, боже мой! – застонал старик. – Царица небесная! Опять маху дал! Слышишь, Зосенька? Маху дал! Что же теперь делать?

http://www.nvnews.net/vbulletin/showthread.php?t=179755

Please see http://www.nvnews.net/vbulletin/showthread.php?t=174006. The NVIDIA Linux graphics driver does not currently support native UEFI configurations.

официально - не поддерживает uefi. костыль vmalloc=256M iommu=pt это я туда уже успел запостить. выше чел отписался что у него и без костылей работает. у меня только с таким костылем работает. у кого-то может вообще никак не запускаться

Хороший дистр. Очень полезная вещь.

Хороший дистр. Очень полезная вещь.

В чем его польза, бро?