Так уж получилось, что, вроде бы, в последних выпусках ядра Linux или в каком-то другом компоненте что-то сломали, из-за чего на последней Fedora с Intel HD 4000 производительность графики просто отвратительная. Мне было влом разбираться, из-за чего такая регрессия на вполне известном старом железе (Thinkpad X230) и поэтому опытным путём было выяснено, что на Ubuntu 20.04 всё в порядке — на ней сейчас и пытаюсь жить.

Я избегаю использование LTS-дистрибутивов на рабочем железе, т.к. понятия не имею, откуда брать для них программы. Для Fedora это практически не является проблемой, т.к. инструменты разработки там поддерживаются хорошо и всё нужное можно найти в основных (или не очень, вроде полуофициального RPM Fusion) репозиториях. С Ubuntu это не так: из-за заморозки пакетов, пожалуйста, ешь устаревшие программы и на каждый чих подключай дополнительный репозиторий/PPA, что на самом деле не очень вариант, т.к. они не всегда есть, а если и есть — поддерживаются какими-то левыми людьми (что не плохо само по себе, просто не ясно, как долго и как качественно оно будет поддерживаться).

Ubuntu неплохой дистрибутив, но управление пакетами с помощью Apt — последнее, чем мне бы хотелось заниматься. Слава Богиням, практически все графические программы поставляются в виде Flatpak/Snap/AppImage, чего не сказать о CLI, демонах и средствах разработки. Но и тут повезло: и эту нишу закрывает ещё один пакетный менеджер — Nix, не заставляя устанавливать целую NixOS, разработчики которой сами признают, что оно пока непригодно для десктопа. Nix прекрасен: опакечено и собрано всё на свете, а чего нет — скорее всего присутствует в оверлеях (практически как в Gentoo!).

Установка буквально в одну команду (в этом примере для единственного пользователя):

sh <(curl -L https://nixos.org/nix/install) --no-daemon

Что нам сразу установит Nix с нестабильным каналом пакетов.

А чтобы не возиться с nix-env -Ai package вручную, есть Nix Home Manager:

nix-channel --add https://github.com/nix-community/home-manager/archive/master.tar.gz home-manager
nix-channel --update home-manager
nix-shell '<home-manager>' -A install`

После установки которого у нас в $HOME/.config/nixpkgs/home.nix появляется нечто похожее на configuration.nix из NixOS, где можно централизованно описать состояние своей домашней директории. Моя свежеустановленная конфигурация выглядит так:

{ config, pkgs, ... }:


let
  nixGLIntel = (pkgs.callPackage "${builtins.fetchTarball {
    url = https://github.com/guibou/nixGL/archive/master.tar.gz;
  }}/nixGL.nix" {}).nixGLIntel;
  pkgsNixOS = import <nixos> {};
in
{
  # Let Home Manager install and manage itself.
  programs.home-manager.enable = true;

  home.packages = with pkgs; [
    youtube-dl
    fd
    ripgrep
    docker-compose
#    emacs
  ];

  programs.mpv = {
    enable = true;
    package =
      pkgs.writeShellScriptBin "mpv" ''
        #!/bin/sh

        ${nixGLIntel}/bin/nixGLIntel ${pkgs.mpv}/bin/mpv "$@"
      '';
  };

  programs.emacs = {
    enable = true;
    package = pkgsNixOS.emacsPgtkGcc;
  };

  services.syncthing.enable = true;

  # Home Manager needs a bit of information about you and the
  # paths it should manage.
  home.username = "commagray";
  home.homeDirectory = "/home/commagray";

  # This value determines the Home Manager release that your
  # configuration is compatible with. This helps avoid breakage
  # when a new Home Manager release introduces backwards
  # incompatible changes.
  #
  # You can update Home Manager without changing this value. See
  # the Home Manager release notes for a list of state version
  # changes in each release.
  home.stateVersion = "21.05";
}

В ней можно отметить несколько моментов.

• Наличие nixGL. К сожалению, Nix всё ещё плохо работает с программами, которым нужно графическое ускорение. Этот небольшой враппер чинит GPU-ускорение, позволяя программам, вроде mpv, корректно использовать GPU и VA-API.
• Странный пакет Emacs под названием emacsPgtkGcc. PGTK и native-comp — это патчи для Emacs, превращающие Emacs в правильную GTK-программу и включающие компилирование Elisp-кода в натив с помощью libgccjit. Мой выбор пал на Nix именно из-за того, что с помощью него можно легко установить данный патчсет, даже ничего не компилируя.
  • Установите Cachix — с помощью этой программы можно указать адрес кэша уже собранных Nix-пакетов.
    • nix-env -iA cachix -f https://cachix.org/api/v1/install
  • Добавьте оверлей для Emacs, где хэш — последний удачно собранный коммит.
  • Включите нужные репозитории с кэшем пакетов для оверлея.
    • cachix use nix-community
    • cachix use mjlbach
  • После очередного home-manager switch у вас появится Emacs.
  • Для отображения ярлыков в меню добавьте export XDG_DATA_DIRS="$HOME/.nix-profile/share:$XDG_DATA_DIRS" в свой $HOME/.profile.

commagray@Cloudsdale:~$ cat ~/.config/nixpkgs/overlays/emacs.nix 
import (builtins.fetchTarball {
  url = https://github.com/nix-community/emacs-overlay/archive/2438466b9a4f496191838457d208c09ebbe97991.tar.gz;
})

• Сервис Syncthing. Home Manager умный и умеет управлять systemd-юнитами. Список поддерживаемых демонов тут.
• Home Manager умеет управлять настройками отдельных программ. Список поддерживаемых программ тут.

В таком виде у меня практически девственно чистая Ubuntu, коротая вряд ли сломается из-за конфликта установленных пакетов. Такой способ сработает со всеми дистрибутивами и даже macOS. Пользоваться приятно, не говоря уже о таких великих вещах, как nix-shell.

К чему я это всё вообще пишу? Управление программами в Linux в заднице, но компромиссные варианты вроде Flatpak и Nix упрощают жизнь.

RunaWFE Free — это свободная российская система управления бизнес-процессами и административными регламентами. Написана на Java, распространяется под открытой лицензией LGPL. RunaWFE Free использует как собственные решения, так и некоторые идеи проектов JBoss jBPM и Activiti, содержит большое количество компонентов, задача которых обеспечить удобную работу конечного пользователя.

Изменения после версии 4.3.0:

• Добавлены глобальные роли.
• Добавлены источники данных.
• Выполнен рефакторинг подсистемы полномочий.
• Изменён алгоритм генерации текстового регламента БП.
• В среду разработки добавлена возможность обновления и установки расширений.
• Добавлен обработчик Генератор-отчётов.
• Добавлена возможность восстановления ошибочно завершённого БП.
• Улучшена сборка редактора для MacOS.

>>> Подробности

Решил немного написать о моём опыте перехода на MicroG и про небольшой список свободных аналогов софта.

TL;DR: жить на MicroG можно

Но сначала немного дополню статью от derlafff про XPosed.

Не доступен для свежих андроидов

Доступен вплоть до версии 8.1, на тот момент был то ли в альфе, то ли в бете, уже не помню. Для 9 версии есть под названием EdXposed (поддерживает ещё и 8.1).

Переход на MicroG

Существует форк NanoDroid (зеркало на гитхабе). Основные отличия от MicroG:

• Собран как priv-app
• Более новая версия сервисов Google
• Заменяет системный WebView на BromiteWebView (свободный форк хрома, ungoogled, но как пишут авторы, сложно проверить, насколько) с автоматической блокировкой рекламы
• Поддержка покупок и микроплатежей в Play Store

Прочитать про все отличия можно здесь.

С приложениями, использующими карты Google, могут возникнуть проблемы (например, Runtastic падает, хотя карты установлены). Читать дополнение в конце поста.

Очень желательно иметь Magisk вместо Superuser.

Скачиваем последнюю версию отсюда. Берём самую жирную. Распаковываем архив, редактируем .nanodroid-setup (описание настроек лежит здесь). FakeStore обязателен к установке.

Обязательно сделайте бэкап следующих приложений, т.к. иногда они по ошибке удаляются:

• DeskClock (заменяется на OmniClock из архива)
• messaging (заменяется на QKSMS из архива)
• Gallery2 (замеяется на Simple Gallery из архива)
• Camera (заменяется на Open Camera из архива)
• Calendar (заменяется на Simple Calendar из архива)

Приложения заменяются только если в .nanodroid-setup включена установка приложений, в противном случае они просто удаляются.

Скорее всего заменяются ещё клавиатура от Google, Gmail и Google Music (не пользуюсь, поэтому не могу проверить).

Обязательно проверьте, поддерживает ли прошивка SignatureSpoofing, список есть здесь. Процитирую пост по ссылке выше:

Коротко говоря, это обход защитного механизма, не позволяющего прикидываться gapps'ами кому попало. Для этого необходимо либо патчить прошивку при помощи Xposed/Needle/Haystack, либо использовать совместимую прошивку

Прошиваем архив (желательно перед этим сделать бэкап), вычищаем остатки гугловых приложений (если они есть, я ставил с удалением GAPPS).

Для обновления компонентов без прошивки архива добавьте этот репозиторий в F-Droid.

Получение приложений

Я решил обойтись без установки Google Play Store. Тем не менее, он должен заработать. Для получения пакетов из Google Play я использую Aurora. Можно использовать аккаунт Google или анонимный. Некоторые приложения не устанавливаются, и я понятия не имею, почему. В основном это гугловые приложения и зависимые от них (к примеру, использующие Google Maps). Через Yalp и файловый менеджер такие приложения устанавливаются. Минимальная версия системы - 5.0. Есть проверка приложений на предмет известных трекеров в базе Exodus Privacy. Для более старых систем есть Yalp Store, который поддерживает версии Android от 2.0 и выше.

Для свободного софта конечно же F-Droid. Ещё существуют M-Droid с более приятным интерфейсом (и вроде как исправленной загрузкой скриншотов, но у меня оно не заработало), и G-Droid (лучше интерфейс, но нет поддержки сторонних репозиториев).

Немного про навигацию

Навигация по GPS работает. С навигацией по мобильной сети есть косяки. В MAPS.ME и некотором софте работает только MozillaNlpBackend, но показывает, будто телефон на другом конце города. Déjà Vu Location Service работает в другом софте (Карты Google, Яндекс.Карты, ЕСТ Такси), с погрешностью в 30-50 метров.

Карты Google работают. Яндекс.Карты тоже. Приложения, использующие OSM и Яндекс.Карты - работают.

Свободные аналоги разного софта

• Maps - форк MAPS.ME с вырезанной рекламой и трекерами
• Замена YouTube - YouTube Vanced (поддержка авторизации через MicroG, фоновый режим, тёмная тема и ещё всякие плюшки, есть в репозитории Magisk), NewPipe (не поддерживает авторизацию, есть импорт подписок, экспортировать оные можно здесь). Есть ещё много других, но я знаю только про эти, лол.
• Fennec F-Droid - Firefox с вырезанной телеметрией и проприетарными компонентами. Базируется на последних сборках официального Firefox. Для любителей ESR есть IceCatMobile.
• Chrome - Bromite - форк хромиума, нацеленный на приватность и блокировку рекламы. Синхронизация, экономия данных и прочее - вырезано. Репозиторий для F-Droid - здесь.
• Аутентификатор - Aegis. Поддерживает импорт из других аутентификаторов (нужен root). Попроще и для более старых версий системы - FreeOTP и FreeOTP+ (добавлен импорт и экспорт)
• SSH клиент - ConnectBot
• oandbackup - замена TitaniumBackup
• Scarlet Notes FD - замена Google Keep. Есть синхронизация (как я понял, для включения облачной синхронизации нужно установить версию из Google Play).
• K-9 Mail - почтовый клиент, поддерживает шифрование OpenPGP (требуется OpenKeychain)

Разный годный открытый софт

• Nextcloud
• DAVx⁵ - синхронизация (вместо гуглокалендаря)
• KDE Connect - интеграция телефона с Plasma (в какой-то момент ещё и с Gnome)
• OsmAnd~ - навигация, использует OpenStreetMap, и насколько я помню, может использовать и другие источники карт. Приложение платное, полная версия находится в магазинах, ссылки на сайте. Переход на MicroG и немного свободного софта (комментарий)
• andOTP - простой аутентификатор с возможностью экспорта/импорта и шифрования бэкапов
• EDS Lite - клиент для работы с криптоконтейнерами VeraCrypt, TrueCrypt, LUKS. Полная версия находится здесь.
• Password Store - клиент для pass
• Shelter - песочница для изоляции приложений
• Forecastie - прогноз погоды, использует OSM
• Gadgetbridge - подключение умных часов и браслетов
• Scrambled Exif - удаление EXIF из фотографий
• Kiwix - выкачивание Википедии и других вики-сайтов и чтение их оффлайн
• Vanilla Music - музыкальный плеер. Насколько я знаю, единственный поддерживающий теги в OGG Opus. По запросу «vanilla» в F-Droid находятся полезные дополнения.
• Simple Mobile Tools - простые открытые реализации галереи, календаря, файлового менеджера, контактов, заметок, музыкального плеера, фонарика, калькулятора и других приложений
• GameDealz - неофициальный клиент для сайта IsThereAnyDeal. Вкратце - поиск скидок на игры.
• Phoenix for VK - открытый клиент для ВКонтакте

Напишите, если знаете годные аналоги свободного софта (и любой годный открытый софт), добавлю в список.

Всякие мелочи

ClassyShark3xodus - сканирование всех приложений в системе на предмет трекеров. Использует базу Exodus Privacy.

Komoot - не открытое, но использует OSM. Аналог приложений вроде Runtastic (хоть и умеет меньше). Судя по Exodus Privacy, трекеров нет.

UPD: дополнение от ma1uta

UPD2: Хорошая статья на habr.com

Посоветуйте, пожалуйста, психоделического рока.
Из ранее прослушанного и понравившегося: Pink Floyd, Anathema, Opeth(альбом Damnation), Green Carnation(акустический альбом), Stone Roses, Moby, Travis, RPWL. Или что-нибудь даже в стиле Godspeed you! black Emperor.

заранее спасибо

p.s. King Crimson, Jethro Tull, Genesis, VDGG, Yes, In the woods, Arena, Porcupine Tree, Flower Kings, Pain of salvation, Gratefull Dead, Camel, Caravan уже слышал

Вот, что получается, если некоторое время потратить на настройку nixos. Мне нравится KDE, я люблю тайлинг, и поэтому решил сделать вот такую смесь. Получилось по мнению некоторых «тяжело», по мнению других «неудобно» (жду вашего мнения), но тем не менее меня всё устраивает, а благодаря NixOS + home-manager одна и та же конфигурация оказывается на всех моих машинах автоматически, каждый день в 19:00 (Да, совсем вся, включая приложения, сервисы, темы, расширения и даже список доступных хостов в Dolphin и SSH).

( читать дальше... )

>>> Просмотр (1920x1080, 320 Kb)

Привет

Достаточно часто создаются темы, где люди думают переходить на Gentoo и хотят уточнить некоторые моменты. Чтобы сэкономить время себе и другим, решил создать этот топик, в котором буду собирать ответы на частые вопросы.

TL; DR: Для тех, кто думает перейти на Gentoo (комментарий)

Преимущества
#1 Gentoo очень гибкая и всенастраиваема
Пример того что в Gentoo делается просто:
- Использовать openrc вместо systemd или наоборот; pulseaudio или без него
- Наложить кастомный патч; пример когда это нужно
- Подключить или отключить такие вещи как vaapi, vdpau, opencv и т. п.
- Иметь несколько веток софта; уточню, что это работает только для определённых пакетов; например можно одновременно установить python 2.7, 3.4, 3.5 или qt4 и qt5, но нельзя одновременно установить qt 5.7 и 5.8

#2 Очень удобный и функциональный пакетный менеджер
Примеры удобных фич:
- Прервать установку (вплоть до перегрузки компьютера), а потом ее продолжить. Можно продолжить с последнего пакета (emerge --resume), продолжить но пропустить последний пакет, например, если его установка прервалась с ошибкой (emerge --resume --skipfirst, некоторые нюансы); для больших пакетов можно продолжить саму компиляцию (ebuild <полный путь и имя файла>.ebuild merge).
- Когда при установке обновляется конфиг приложения, определяется редактировался ли предыдущий конфиг пользователем. Если да, конфиг не перезаписывается, а кладётся радом, и выводится сообщение пользователю с предложением обновить конфиг.
- Обновить всю систему, но исключить некоторые пакеты (удобно для исключения больших пакетов из ежедневного обновления)
- Почистить зависимости - удалить те пакеты, которые больше никому не нужны.
- Поскольку ebuild - текстовый файл, то можно пропарсить на предмет требований к количеству ресурсов для установки:

$ for F in $(find /usr/portage -name "*.ebuild") ; do REQ=$(grep "CHECKREQS" "$F") ; if [[ -n "$REQ" ]]; then echo -e "\n$F\n$REQ" ; fi; done

#3 Хорошая документация, по крайней мере на английском. Более того, поскольку Gentoo-специфичные утилиты являются лишь надстройкой на generic механизмами, документация от других дистрибутивов (например от Arch) в большинстве случаев тоже подходит.
Опрос 2014: У какого дистрибутива лучшая документация

#4 Достаточно свежий софт, много сторонних репозиториев.
Список сторонних репозиториев
Gentoo - rolling release, а значит как только новая версия конкретного софта появилась в репозитории, её можно установить. Но здесь не имеется ввиду, что как только новая версия зарелизилась, она моментально становится доступна в основном дереве; лаг есть, но он как правило не большой, хотя зависит от пакета. В тестинг ветке новые версии появляются раньше. Кроме того мейнтейнеры Gentoo могут маскировать некоторые версии, если в них обнаруживаются серьезные баги. Однако всегда можно размаскировать нужную версию. Кроме того для некоторых пакетов есть -live версии, когда исходники скачиваются напрямую из github или аналога.
Пример когда «у меня не самый свежий софт в Gentoo»

#5 Полный порядок в системе, ничего лишнего - эстетическое удовольствие, плюс возможно можно немного улучшить перформанс

#6 В процессе установки и эксплуатации получаешь полное понимание как работает система, а значит возникающие проблемы решаются быстро. На самом деле без должного знания Линукса (или желания его узнать в процессе) Gentoo нормально не установить.

Недостатки
#1 Сложная и долгая первичная установка. Если устанавливать в первый раз, нужно готовиться потратить несколько дней. Для опытных - несколько часов + компиляция.
Время установки (компиляции) Gentoo, еще немного цифр по большим пакетам

#2 Пакетный менеджер хоть и удобный, но очень медленный

#3 Если не обновлять систему долго (полгода и более), то сложность обновления сопоставима с установкой новой системы. Есть мнение, что emerge-webrsync --revert=yyyymmdd должен помочь (лично я не проверял).

Особенности
#1 Высокий порог входа; дистрибутив не для новичков. Если человек не комфортно чувствует себя в командной строке, никогда не компилировал ядро, не разбивал диски на разделы, не привык изучать докуменацию, вчитываться в сообщения и анализировать логи, то Gentoo покажется сложной в обслуживании, а возникающие проблемы будут списываться на дистрибутив.

#2 Обновляться нужно часто.

#3 Основные фичи - в командной строке. Для тех, кто не привык работать в командной строке, это будет минусом. А для тех, кто комфортно чувствует себя в командной строке, это будет плюсом, так как работа в командной строке более эффективна, а типовые сценарии можно обернуть в скрипты и еще больше сократить время на обслуживание системы.

#4 Есть две ветки: stable и testing. В stable меньше шансов встретить проблему, но в testing более свежий софт. Ветки можно комбинировать.

Мифы
Миф #1 Gentoo даст прирост производительности за счет того, что весь софт компилируется под конкретное железо.
Краткий ответ: В 99% случаев при смене дистрибутива X на Gentoo вы не заметите какого-либо улучшения в плане скорости работы. Если вы зададитесь целью сравнить свежеустановленный дистрибутив X с свежеустановленной Gentoo, то в 90% вы не увидите значительной разницы.

Детальный ответ.
Не следует ожидать что просто скомпилировав систему из исходников вы получите сколько-нибудь заметное улучшение перформанса.
Для большинства приложений компиляции под конкретное железо даст прирост производительности в районе 1-2%.
Ложка дегтя: в некоторых случаях даже может быть замедление. Например Firefox, можно ускорить с помощью PGO. В Gentoo по умолчанию это отключено, так как PGO увеличивает время компиляции почти в два раза. В бинарных дистрибутивах соотв. софт может быть скомпилирован с PGO.
Так как добиться улучшения производительности? Узкий круг приложений может быть значительно ускорен при компиляции под конкретную платформу - на 30%-50% и больше. В основном это приложения которые активно занимаются вычислениями. Но для этого требуется соотв. настройки. Например, активация SIMD инструкций, даст прирост производительности в мультимедиа приложениях. Некоторые процессоры имеют аппаратную поддержку шифрования AES. В бинарных дистрибутивах подобные фичи будут отключены, так как не все процессоры это поддерживают, а бинарные дистрибутивы в первую очередь заботятся о совместимости.
Небольшое улучшения перформанса возможно если убрать из системы всё лишнее (мнение 1, мнение 2).
Еще интересный случай

Миф #2 Обновления занимают много времени
Краткий ответ: 5-10 минут на фоне, не мешая основной работе.

Детальный ответ.
Обновления не занимают много времени, но опять же, при правильном подходе.
Во-первых, как было сказано выше, обновляться нужно часто. Для testing ветки это каждый день, или по крайней мере не реже чем в раз 2-3 недели. Для стабильной ветки - раз в неделю достаточно (на стабильной ветке намного реже выпускаются обновления)
Во-вторых, есть пакеты которые правда очень долго компилятся: libreoffice, firefox, chromium... Их всего 10-15. Я их исключаю из ежедневного обновления, а обновляю раз в несколько месяцев.
Еще нужно сказать, что на этом вопросе часто заостряют неоправданно много внимания. Обычно обновления происходят на фоне, и не сильно влияют на работу; так какая разница как долго они выполняются?
В итоге, у меня обновления занимают примерно 5-10 мин ежедневно (у меня тестинг-ветка).
К тому же всё происходит на фоне, в любой момент можно поставить на паузу (Ctrl+Z, fg), продолжить после прерывания (умышленного или случайного).
Мой скрипт ежедневного обновления

Миф #3 Gentoo требует много времени на обслуживание
Краткий ответ: Может быть больше, может быть меньше по сравнению с другими дистрибутивами. Очень зависит от того, насколько вы будете вчитываться в то, что пишет вам пакетный менеджер, и разбираться первопричинах.

Детальный ответ.
Обслуживание Gentoo занимает меньше времени по сравнению с другими дистрибутивами, но только при грамотном обращении, конечно. Достигается это за счет следующего:
- хороший пакетный менеджер: маскировки, глобальные и индивидуальные установки для пакетов (USE флаги, опции компиляции, каталоги), хуки, приоритеты (чтобы компиляция происходила на фоне и можно было работать), много опций для установки и анализа, подсказки после установки.
- всё происходит в CLI, а значит типовые операции можно обернуть в скрипты/алиасы.
- уже существуют много утилит для облегчения обслуживания: eselect, equery, eix, eclean, euse, genlop и др.
Грамотное обращение означает, что вы правильно и регулярно обновляете систему, исполняете предписания emerge, которые он выдает после установки, держите в порядке конфигурационные файлы, а если таки возникает проблема, которую решить вы не можете, то вы обращаетесь в форумы, а не просто жалуетесь на жизнь.
Что до проблем с обновлениями - см. следующий пункт «Миф #4 Установка, обновление постоянно падают; частые блокировки»

Миф #4 Установка, обновление постоянно падают; частые блокировки
Краткий ответ: Не чаще чем в других дистрибутивах

Детальный ответ.
Если говорить про «часто» и «постоянно», то проблемы с обновлением/установкой могут быть если:
- система давно не обновлялась
- система неправильно обслуживается (см. выше про Грамотное обращение)

В редких случаях пакет просто не компилируется. На самом деле это проблема не Gentoo, а тех, кто писал этот софт. И в подавляющим большинстве случаев это не является проблемой, и вот почему. Если это обновление, то можно продолжить процесс запустив emerge с параметрами --resume --skipfirst - он обойдет проблемный пакет, пересчитает зависимости чтобы система осталась консистентной, и продолжит обновление (а можно изначально передать параметр --keep-going, тогда это будет происходить автоматически, прерываний вообще не будет). Если пакет критичен, можно установить предыдущую версию, которая компилировалась (а проблемную замаскировать чтобы пакетный менеджер ее не видел).

Что может заблокировать обновление полностью:
- просьба пакетного менеджера поменять флаги пакета. При этом emerge предлагает сделать это автоматически, но лично я предпочитаю делать вручную. Для ручного способа, решается добавлением строчки в package.use
- просьба пакетного менеджера задать лицензию. Это валидно только для не-свободных лицензий, например EULA, Skype, Adobe Flash и т. п. Если мы говорим имено про обновление, то такое бывает только когда лицензия обновляется, что бывает очень редко (как много у вас пакетов под не-свободной лицензией, и как часто они меняют лицензию?). Решается добавлением одного слова в make.conf
- просьба пакетного менеджера размаскировать пакет. По моему опыту нужно не размаскировывать, а наоборот замаскировывать пакеты, которые тянут замаскированные зависимости. Это, да, требует минут 5-10 на разобраться. Но, если только у вас нет смешения веток и live пакетов, такой вариант случается раз в пятилетку.
- сложные блокировки. Большинство блокировок пакетный менеджер разрешает сам; по моим наблюдениям, качество данного механизма значительно улучшилось пару лет назад. Из своего опыты скажу, что (учитывая частые обновления) блокировок, которые бы совсем останавливали обновление я уже не видел года 1.5. Но если они есть, то это действительно сложный кейс.

Иными словами, при порядке в системе, кейсы, которые требуют значительного времени и напряжения уственых усилий (сложные блокировки, замаскированные зависимости) случаются раз в несколько лет; кейсы, которые решаются за пару минут - раз в несколько месяцев.

Миф #5 В Gentoo нет бинарных пакетов
Краткий ответ: Есть там, где это действительно нужно.

Детальный ответ
Во-первых есть Calculate Linux - полностью бинарный форк Gentoo.
Во-вторых даже в самом Gentoo в основном репозитории есть несколько бинарных пакетов: libreoffice-bin, firefox-bin, некоторые другие. Связано это с тем, что из исходников они очень долго компилируются, и иногда проще поставить бинарник.
Бинарный пакет можно сделать самому командой quickpkg --include-config y <установленный пакет> - удобно для бекапов.

FAQ

#1 Установка на слабый компьютер
Смотря что есть слабый компьютер.
Из собственного опыта: Intel Core2 Duo 6600 @ 2.40GHz, 2Gb RAM + 4Gb swap хватало для комфортной работы в Gentoo.
Зачастую ebuld'ы содержат информацию о том, сколько нужно памяти для компиляции пакета. TOP 5:
16G - chromium
8G - ledger, isabelle
7G - ceph
6G - firefox x64 (для x32 нужно 3G), pypy x64 (для x32 нужно 3G)
5G - electron
Если компьютер и вправду слабый, то лучше выбрать не Gentoo (точнее не-source-based дистрибутив). Альтернатива - можно вынести компиляцию на другой «не-слабый» компьютер с помощью distcc.

Опрос 2021: Какую операционную систему и/или дистрибутив GNU/Linux вы используете на ПК?
Опрос 2018: Какой ОС вы пользуетесь на основном ПК?
Опрос 2017: Какую ОС вы используете на основном ПК?
Опрос 2014: Какой дистрибутив вы используете на десктопе?
W3Tech стастика дистрибутивов на серверах
Отличия дистрибутивов, время работы ноутбука
Чем удобны USE флаги
Сколько памяти нужно для РАБОТЫ Gentoo (сколько нужно для компиляции было указано выше)
Сколько места на диске нужно для Gentoo
Правильное полное обновление Gentoo, Мой скрипт ежедневного обновления, Еще вариант
Gentoo для девелоперов
Практика инсталляции Gentoo: в двух словах простым языком
Небольшой скрипт - сборка livecd

Скоро будет вот уже 2 года, как я поведал свою историю о том, как я за $350 собрал мощный и практичный ноутбук, но как не крути, время идёт — 220/420/520 серия уже морально и отчасти технически устарела и отстала, простой пример: поддержка OpenGL для встроенного в Sandy Bridge видео остановилась на версии 3.3, хотя для Ivy Bridge доступен 4.2, а версия 4.5 доступна на Haswell и выше. AVX2 тоже не помешает для некоторых задач. HD+ матрица норм, но в 2017 уже нужен FHD.

Хотя деньги свои мощный и практичный T420 отбил полностью, но на новый Thinkpad P50/P70 денег у меня нет, поэтому я решил не тянуть время, а уже сейчас начинать лазить по помойкам апгрейдиться.

Слегка разобравшись в той катастрофе, которая произошла после 220/420 и 230/430 серии, а именно гомнотачпад безкнопочный, перепрошивка (wlan/wwan whitelist) биоса только через программатор, а в более новых моделях вообще и это пофикшено леновой, т.е. никак и прочие прочие проблемы, я так понял и решил, что стоит остановить свой выбор на Thinkpad T440p — как последнем нормальном, да-да, последнем нормальном синкпаде, практически идеальной базе для апгрейда, с наличием некоторых важных особенностей, которые нужны были и использовались на ранних поколениях, а именно:

почему Thinkpad T440p

• цена: новые/refurbished в районе ~$300
• сокет: возможность замены процессора, широкая линейка Haswell 4/8 i7 с Intel® HD Graphics 4600 видео и AVX2.
• ультрабей: последняя линейка, где он присутствует, т.е. +1 место для ssd/hdd
• биос: еще можно почистить, но уже только с программатором (нужно купить CH341A + SOIC8 clip и задонатить на bios-mods)
• матрица: нативная поддержка качественной FullHD IPS матрицы
• тючпад: «нативная» установка классического кнопочного тачпада от 450/550 линейки, они взаимозаменяемые
• корпус: всё тот же магниевый сплав, идеальная сборка/разборка и быстрый доступ к cpu/memory через 2 болта

Итак, теперь это моя новая история о том, как я за $470 собрал мощный и практичный ноутбук.


Я купил Thinkpad T440p за $300, состояние нового, все было новым: корпус, батарея, клавиатура, матрица, внутренности, ни тачпадом, ни даже винчестером не пользовались никогда (29 циклов вкл.выкл).

Конфигурация на момент покупки была такова:

• i5-4200M (2 ядра, 4 потока), 37W
• 4GB RAM (1х4GB)
• 540 GB HDD (7200 rpm)
• 1366x768 14" матовая

Я продал: 2х-ядерный i5-4200M ($72), матрицу (10$), а также память (8$) и клавиатуру (10$) благодаря чему выручил: ровно $100.

Я купил: 4х-ядерный i7-4702MQ ($150), качественную IPS FullHD матрицу AUO B140HAN01.2 / FRU 04X0436 ($62 с доставкой), кнопочный тачпад ($17 с доставкой), клавиатуру с подсветкой FRU 04X0101 ($42 с доставкой), в сумме затраты: $271.

Итак, за ~$470 я получил:

• i7-4702MQ (4 ядра, 8 потоков), 37W
• 3 свободных места для HDD/SSD (hdd-слот, ультрабей, M.2 2242 в wwan)
• 1920x1080 14" матовая IPS anti-glare
• кнопочный тачпад + трекпоинт (5 кнопок)
• клавиатура с подсветкой (как альтернатива ThinkLight)

память и ssd я снял с T420, т.е. не платил в этот раз:

• 16GB RAM (2х8GB)

Уже заказал с али фирменный ленововский M.2 2242 ssd, хоть у меня и нет whitelist'а, но эти получаются самые дешевые, так что пока пользуюсь тем ssd диском, что достал также с T420.

Можно ли купить ноутбук с 4х-ядерным i7 не ниже Haswell, 37W теплопакетом, FullHD IPS матрицей, 3 местами для дисков, тючпадом+трекпоинтом, корпусом не хуже thinkpad'ов T/X/W/P-серии за $470 — я не в курсе, уверен что со времен такого же апргрейда T420 мало что изменилось.

Disclaimer1: Проблема с данным маном в том, что местной аудитории, например, плевать на ведроид, а тому же 4pda наплевать на фанатичный СПО и избавление от зондов. Рискнем и запостим здесь.

Disclaimer2: Все описанное является суммой наклопленного мной опыта вперемешку с моим личным мнением. Пишите комменты, будем улучшать-дополнять-чинить

Уровень прошивки

Практически все стоковые прошивки на сегодняшний день идут с gapps (Google Apps). Что же это за зверь:

• Любое приложение (даже не требуещее никаких прав) может с ним общаться.
• Gapps имеют доступ к сети.
• Gapps позволяют Google в любой момент установить/удалить с вашего телефона любое приложение.
• Gapps постоянно держат открытое сетевое соединение с серверами гугла (для нужд push-нотификаций).
• Gapps — нереальное огромное количество кода. Стоковый образ (если верить opengapps) будет весить около 700Мб.

ААААА, как это удолить этот рассадник потенциальных уязвимостей и жора батарейки?

Сложный вопрос, на самом деле. Есть три варианта действий:

• Новый и простой, и профитный способ. Появилась прошивка «LingeageOS for microG». Если ваше устройство поддерживает её, просто ставьте её и наслаждайтесь. Fdroid+MicroG+пуши+signature spoofing+unlp+OTA-обновления из коробки
• Самый простой способ. Если ваш андроид достаточно старый (на достаточно новом не удастся отключить самый главный компонент gapps), из Настройки->Приложения отключите все, связанное с Google (особенно, Google Service Frameworks):
  • root не требуется;
  • push-уведомления работать не будут;
  • на устройстве останется огромная и потенциальная куча гугловского дерьма, хоть и менее активная.
• Способ посложнее. Накатываем root и вручную удаляем все пакеты и библиотеки, требуемые гуглу:
  • требуется root и разблокировка загрузчика;
  • минимальное количество зондов без смены прошивку на полностью опенсорсную;
  • увы, в последних версиях андроида вам, скорее всего, придется оставить несколько пакетов (вроде GoogleSetupWizard), иначе система не загрузится.
• Самый профитный способ. Ставим альтернативную прошивку (или мотаем до следующей секции и покупаем устройство с пгавославной прошивкой без зондов из коробки). Наслаждаемся.
  • Требуется root, разблокировка загрузчика, шаманство и местами смена устройства.

Я тут начал наслаждаться, но вдруг понадобились пуши, да и Uber требует зонды. Что делать?

Вдоль

Попробовать поставить MicroG, свободную реализацию клиентской части гуглозондов. Самая больная часть: помимо собственно MicroG вам нужно будет запилить себе Signature Spoofing. Коротко говоря, это обход защитного механизма, не позволяющего прикидываться gapps'ами кому попало. Для этого необходимо либо патчить прошивку при помощи Xposed/Needle/Haystack, либо использовать совместимую прошивку (смотрите список, по ссылке, их стало очень много). Все подробности по той ссылке.

MicroG позволяет завести пуши, сервисы геолокации (со множеством бекендов, ищите nlp location backend в f-droid) и большое количество софта (когда я в последний раз тыкал, работали даже покемоны).

Уровень софта

Без гуглозондов жить есть!

https://f-droid.org/ — каталог с опенсорсным софтом.

Предлагаю вам следующий список приложений, способный заменить типичный набор проприетари из типичной вендорской прошивки. Аналогичный список: https://github.com/Datenschutz/awesome-FOSS-apps

• Yalp store. Позволяет ставить приложения из Google Play (да, иногда это все-таки нужно), в том числе через общий аккаунт. Не требует зондов.
  • Позволяет так же выкачивать купленные приложения (но не факт, что они заработают: они при работе могут проверять лиценизию через gapps, возможно, тут может помочь microg).
  • Альтернативно, воспользуйтесь моим решением для выкачивания софта прямо в свой репозиторий f-droid.
• K-9 Mail. Почтовый клиент.
• DAVDroid. Синхронизация контактов с owncloud/nextcloud.
• Gadgetbridge. Синхронизация с умными часами и браслетами (pebble, mi band и некоторые другие)
• NewPipe. Клиент для YouTube. Умеет воспроизводить видео в фоновом режиме как музыку, загружать файлы.
• Odyssey. Просто материальный музыкальный плеер, но в последнее время очень нужный, т.к. вендоры повадились заменять в прошивке плеер на Google Music.
• Набор простых и красивых затычек для различных приложений — simple mobile tools.
• Файрволл AFWall+ файрволл (имеет Xposed модуль для расширения возможностей)
• Amplify Battery Extender.
• DNS66.
• KDE Connect.
• OpenKeychain.
• OpenVPN FOSS.
• Картография и навигация: Maps.Me (приз симпатий от комментаторов), OsmAnd (приз глюкалова от меня, но щито поделать).
• Список стал очень жирным. Пока новые элементы не добавляю, думаю над критериями включения в него софта.

Если вы будете ставить проприетарный софт, помните о следующем:

• Желательно зайти в настройки приложения и вручную запретить доступ ко всем ненужным разрешениям, дабы не промахнуться в нужный момент.
• Отключите приложению фоновый доступ к сети (если у вас свежий Android) или вообще доступ к сети (если у вас стоит файрволл).
• Малвари вроде «Сбербанк Онлайн» вообще лучше создать отдельный аккаунт на телефоне.
• Яндексовским приложениям нельзя давать доступ к местоположению. Вообще никаким — все сливают.
• Проприетарь может читать названия аккаунтов, даже не принадлежащих ей. Называйте их максимально обще, т.е. вместо «sportloto@syncserver.com» делайте «contacts sync».

Права суперпользователя

Читая васянский 4pda вы часто можете увидеть «ну и накатываем SuperSU.zip». Не делайте этого. Есть прекрасный опенсорсный superuser, совместимый со свежими ведроидами. Нужно лишь поставить zip (используйте beta на android >=6) и apk.

Если ваша прошивка основана на LineageOS, то все еще проще. Где-то рядом с загрузками в директории extra должен валяться zip, включающий встроенные и интегрированные в прошивку права суперпользователя. Профит.

XPosed

XPosed — опенсорсный фреймворк для низкоуровневых хаков.

• Не доступен для свежих андроидов.
• Позволяет заставить не увидеть root всякие «Сбербанки Онлайн».
• Имеет кучу некрофильских и неопенсорсных модулей. Осторожнее.
• Легким движением руки может окирпичить прошивку.
• Полезные модули:
  • PlayPermissionsExposed
  • YouTubeAdAway (но все-таки советую использовать NewPipe, LightTube, WebTube, SkyTube или MiniTube. Тысячи их!)
  • XPrivacy — по своей сути это «песочница» для любого, даже системного, ПО. Xprivacy применяет правила ко всему ПО. Эти правила можно создавать самому или качать готовые. То есть, к примеру, если установлено нечто местами полезное, но попутно показывающее свою рекламу, Xprivacy можно просто запретить этому ПО доступ в сеть. Или если очередная косынка хочет интернет, список контактов, доступ к микрофону и камере, то с Xprivacy это легко и просто запрещается конкретно этой гадости и она даже будет при этом работать не имея доступа к тому, что ей будет запрещено.

Уровень устройства

Тут тоже всё плохо. Выбор:

• Рандомный флагман с хорошей поддержкой LineageOS (CyanogenMod). Поддержка, вероятно, будет хорошей, секьюрити-апдейты будут приходить долго (например, для htc desire hd цианоген обновлялся до самого конца — декабря 2016 года), но вот версия андроида, скорее всего, застрянет. Обычно дорого. Можно искать по списку официально поддерживаемых линейкой устройств.
• OneplusOne / Wileyfox Swift 1. Поставлялись с CyanogenOS, имеют хорошее коммьюнити разработчиков, будут долго обновляться в софтовой части. В железной — все плохо. 1+1 уже довольно старый и хорошие запчасти купить сложно. Wileyfox изначально имел несколько проблем, в т.ч. слабенькую батарейку. Компенсируется ценой, местами можно найти новое в продаже. Довольно бюджетно.
• Fairphone 2. Очень дорого, очень хорошо. Но это в теории, как там на практике — хз, не пользовался, отпишитесь.
• Рандомный телефон с официальным портом los. Сойдет, главное, чтобы фатальных багов в порте не было. Долгой жизни порта не ждите.
• Рандомный телефон с васянским los. Совсем плохо, но если телефон уже куплен, ничего не поделать.
• Рандомный телефон с васянским ведроидом, основанным на стоковой прошивке / без исходников / проч. Лучше такое не ставить, а подготовить прошивку самостоятельно, смотрите выше и ниже.

Следует также заметить, что:

• Существует несколько устройств с CyanogenOS, без доступной Cyanogenmod. В комплекте идут сервисы microsoft, gapps и много разной другой блотвари. Исходники обычно зажабены. Пример устройств: Wileyfox Spark, Wileyfox Swift 2(|+|x).
• Выбирая устройство, так же загляните на его страничку на 4pda. Ресурс хоть и васянский, но очень полезный: можно увидеть список доступных прошивок, FAQ по типичным проблемом, список самых вероятных заводских проблем (которые можно проверить еще перед покупкой).

Уровень физической безопасности

Для чего нужна физическая безопасность:

Допустим, ваш девайс попал в руки злоумышленнику.

• Во-первых, вы хотите, чтобы он не имел никакой возможности прочитать важные файлы с вашего телефона (кейз ФБ-1).
• Во-вторых, вы хотите узнать, не добавил ли он кейлоггеров в ваш загрузчик (кейз ФБ-2).

Сразу скажу: всё плохо. Вам может показаться, что заботливые производители позаботились о вас, залочив загрузчик вашего телефона и не позволяя его разблокировать, не удалив все данные с телефона.

Я бы на вашем месте на это не рассчитывал.

• Аппаратные защиты часто не надежны и опираются на принципах безопасности через неясность, в них переодически находят уязвимости
• На прекрасных, казалось бы, телефонах Xiaomi вы не сможете разблокировать загрузчик, если с Xiaomi что-либо случится: разблокировка производится с участием интернета при помощи (работающей только под Windows) программы, требующей их аккаунта и доступа к интернету. У HTC похожая ситуация, но в несколько более мягких условиях.
  • Скорее всего, это доставит неудобств именно вам, а не злоумышленнику
• Всякие проприетарные системы полнодискового шифрования тоже не выдерживают проверок специалистами.

Выводы:

• Для хранения ваших секретных файлов в безопасности от ФБ-1 используйте, к примеру, Secrecy.
• «Таблеток» от ФБ-2 на сегодняшний день нет. Промбируйте телефон при помощи скотча и волос и не расставайтесь с ним.
• Лучше все-таки не хранить никакие важные данные на телефоне.

Модули сотовой связи

В каждом мобильном телефоне, почти каждом планшете есть GSM-модуль мобильной связи. Это —

• Фактически отдельное устройство, обычно имеющее максимальный доступ к процессору, памяти и переферии. Зачем это делают — черт знает. Возможны исключения, нужно уточнять в каждом отдельном случае.
• Идентифиционный модуль, который постоянно разговаривает с воздухом.
• Куча проприетарного кода, который никто не анализировал. В тех немногих случаях, когда анализировали — находили кучу всего интересного.
• Работает это все на протоколах, местами разработанные в 80-х годах.

Так что тут все настолько плохо, что я даже предложить ничего не могу. Страдайте.

Вроде, все, что хотел сказать. Выдыхаю