Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"В Fedora 40 планируют включить изоляцию системных сервисов"	+/–
Сообщение от opennews (?), 20-Ноя-23, 23:20
В выпуске Fedora 40 предложено включить настройки изоляции для включаемых по умолчанию системных сервисов systemd, а также сервисов с важными приложениями, такими как PostgreSQL, Apache httpd, Nginx и MariaDB. Предполагается, что изменение позволит значительно повысить защищённость дистрибутива в конфигурации по умолчанию и даст возможность блокировать неизвестные уязвимости в системных сервисах. Предложение пока не рассмотрено комитетом FESCo (Fedora Engineering Steering Committee), отвечающим за техническую часть разработки дистрибутива Fedora. Предложение также может быть отклонено в процессе рецензирования сообществом... Подробнее: https://www.opennet.ru/opennews/art.shtml?num=60152
Ответить | Правка | Cообщить модератору

Сообщения

[Сортировка по ответам | RSS]

1. Сообщение от Ну я все же доем... (?), 20-Ноя-23, 23:20	–21 +/–
что опять( господи, я простой юзверь, сбежавший от добровольно-принудительной пыточной камеры копрорации ООО «МЕЛКОСОФТ», так меня и тут прогревают(((
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #33, #45, #69, #75, #90

2. Сообщение от Avririon (ok), 20-Ноя-23, 23:23	–9 +/–
Правильно, производительность - зло.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #3, #15, #22

3. Сообщение от Аноним (3), 20-Ноя-23, 23:28	+12 +/–
Это все на cgroups и бинд маунтах, ни холодно ни жарко от этого производительности
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2 Ответы: #7

4. Сообщение от Аноним (4), 20-Ноя-23, 23:45	+/–
Что только не придумают, чтобы не использовать pledge(2)
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #6, #16, #147

5. Сообщение от Аноним (5), 20-Ноя-23, 23:56	+3 +/–
В Федоре тестируют потом в Шапке внедрят и мы через лет 10 увидим в шапке то что уже есть и было в Солярисе лет 10 назад ... всё новое - хорошо забытое старое.
Ответить | Правка | Наверх | Cообщить модератору

6. Сообщение от Аноним (6), 20-Ноя-23, 23:58	+2 +/–
Хорошая команда, но у нее есть фатальный недостаток...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4 Ответы: #20, #82

7. Сообщение от Tron is Whistling (?), 20-Ноя-23, 23:59	–9 +/–
cgroups производительность Ахтунг! Взаимоисключающие параграфы. Более того, с net namespaces можно таки создать больше проблем, чем решить.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3 Ответы: #83

8. Сообщение от Аноним (8), 21-Ноя-23, 00:01	–4 +/–
Нехорошие звоночки с явным привкусом копроративного aнaльного огораживания.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #14

9. Сообщение от Аноним (9), 21-Ноя-23, 00:26	+1 +/–
> ProtectClock=yes - запрет изменения времени. Звучит шикарно, сначала повесить синхронизацию времени на systemd, потом отрезать доступ...
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #13, #98, #159

10. Сообщение от Oe (?), 21-Ноя-23, 00:44	+2 +/–
Да, ладно, мою уже с 39 версии заизолировали, вылетает из сессии каждые 5 минут или после того как экран погаснет, вот это я понимаю забота о безопасности.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #17, #81, #121

11. Сообщение от Аноним (11), 21-Ноя-23, 00:51	–2 +/–
Эти чудики диграются и будет как в серьезнный гайдах: - а сейчас мы поставим Orace DB, но во первых сделайте selinux=disabled!!
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #32

13. Сообщение от Аноним (87), 21-Ноя-23, 01:23	+7 +/–
Правильно, защитим истинный юниксвей! Не дадим отнять у апача возможность менять системное время!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #9

14. Сообщение от Аноним (87), 21-Ноя-23, 01:25	+6 +/–
Сама система прав доступа этим привкусом отдаёт. Это что - руту можно все файлы править, а обычным пользователям нельзя? Явно заговор капиталистов.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #8

15. Сообщение от Аноним (87), 21-Ноя-23, 01:27	+5 +/–
> Правильно, производительность - зло. Достоинство ядра Linux - практически все эти ограничения идут с нулевым оверхедом. Это не враппер, а просто отключение/навешивание дополнительных флагов на процесс.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2 Ответы: #151

16. Сообщение от Аноним (87), 21-Ноя-23, 01:31	+2 +/–
>  Что только не придумают, чтобы не использовать pledge(2) Смотря какой. Их два. OpenBSD - оверхед минимален, но каждую прогу нужно патчить, чтобы она сама для себя включала в ядре ограничения. FreeBSD - запускается как враппер, соответственно, добавляет тормозов. Зато можно не патчить. А тут ограничения в ядре включаются системным менеджером. Соответственно, ни враппер не нужен, ни патчи.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4

17. Сообщение от Аноним (17), 21-Ноя-23, 01:52	+/–
А ты форточку закрывай, чтобы не вылетало.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #10

20. Сообщение от Аноним (20), 21-Ноя-23, 02:06	+/–
какой? расскажи же нам, умоляем. пожалуйста-припожалуйста. открой нам тайну
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #6 Ответы: #123

22. Сообщение от Аноним (22), 21-Ноя-23, 02:09	+3 +/–
Где тут угроза производительности? Они же не в снапы/докеры/флътпаки/аппимэйджи это пихают, а просто настройки systemd включают. Я вообще удивлён, что это всё не идёт по-умолчанию. Вообще-то изоляция одна из ключевых фич systemd.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2 Ответы: #47, #92

28. Сообщение от Аноньимъ (ok), 21-Ноя-23, 02:29	–4 +/–
> PrivateTmp=yes - предоставление отдельных директорий со временными файлами. Кончался 2023 год. Человеческая цивилизация доживала последние дни. Приложения валили свои файлы в одну общую папку с правами на исполнение.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #122

32. Сообщение от Аноним (8), 21-Ноя-23, 02:34	–3 +/–
> selinux=disabled Нормальные люди его выкорчёвывают ещё на этапе установки. Со всем и насовсем.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #11 Ответы: #99, #129

33. Сообщение от Банан (?), 21-Ноя-23, 03:59	+2 +/–
А че, в виндовсе появилась изоляция? Раньше это была помойка, где у всех есть права на все.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #80

39. Сообщение от Meganonimus (?), 21-Ноя-23, 04:21	+/–
Не надо этих полумер. Каждому сервису - персональный контейнер.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #101, #103

45. Сообщение от leap42 (ok), 21-Ноя-23, 05:24	+2 +/–
systemd позволяет переопределить любой unit файл: просто скопируйте стандартные и отключите изоляцию в них ну или бубунту возьмите, там попроще отношение к безопасности
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #105

47. Сообщение от Аноним (47), 21-Ноя-23, 06:24	+/–
Ну как же, все эти проверки требуют помимо исполнения полезных команд ещё и условных переходов, то есть 1001 вместо 1000. На Pentium II такой переход в худшем случае требует целых 12 тактов против 5. Несложно прикинуть, что производительность просядет в разы.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #22 Ответы: #74

69. Сообщение от Аноним (69), 21-Ноя-23, 07:33	+/–
Если это какой-то вид иронии, то звучит ещё глупее.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #73

71. Сообщение от Аноним (71), 21-Ноя-23, 07:43	+/–
Сначала изолируют сервисы, потому будут фиксить ошибки обхода изоляции
Ответить | Правка | Наверх | Cообщить модератору

73. Сообщение от Ну я все же доем... (?), 21-Ноя-23, 08:08	–2 +/–
не ирония я правда не понимаю, это забота о пользователях или "забота о пользователях"
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #69

74. Сообщение от AleksK (ok), 21-Ноя-23, 08:23	+2 +/–
> На Pentium II такой переход в худшем случае требует целых 12 тактов против 5. Несложно прикинуть, что производительность просядет в разы. Соболезную тем кто захочет поставить Fedora 40 на Pentium II. Советую им ещё раз покопаться на помойке, там полюбому отыщется Core 2 Duo, а может даже Pentium G нароют.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #47 Ответы: #93, #120

75. Сообщение от Аноним (75), 21-Ноя-23, 08:52	+5 +/–
У меня такое же ощущение. Уже 11 лет на всех моих ПК - Linux. Раньше он был офигенен. Ты указываешь, что нужно делать, Linux делает. Да, бывало приходилось подзаморочиться, но всё же. Теперь здесь начинает происходить то же г..., что и в Windows, когда "система знает, как тебе будет лучше" или слишком ограничивает тебя, чтобы что-то сделать нестандартное. Один пример (самый близкий по времени): мне понадобилось в Ubuntu добавить 'options rotate timeout:1' в resolv.conf. Раньше - добавил ручками и норм. Теперь мой любимый и обожаемый Поттеринг в своей поделке systemd-resolved не предусмотрел возможности добавления дополнительных options в resolv.conf (да действительно, кому это нужно!). Руками добавлять бесполезно - файл генерируется его поделкой "на лету". В результате чего пришлось устраивать марафон гуглежа и извращений. Выпилил systemd-resolved, поставил на его место dnsmasq и настроил, как хотел. Серьёзно!? И вот ЭТО Поттеринговское неконфигурируемое г... теперь основа для построения дистрибутива!? К чему эта простыня? Я свалил с Windows (кроме всего прочего) когда понял, что система слишком много на себя берёт и не позволяет много чего. А ОС для меня - инструмент, а не объект со своей волей. Теперь мой любимый Linux медленно, но верно начинает делать то же самое (((
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #78, #79, #91, #117, #124, #126, #141

76. Сообщение от Аноним (76), 21-Ноя-23, 08:57	–2 +/–
Очередная новость о том, что корпарасы пилят, то что им нужно для своего бизнеса, - конец новости, расходимся!
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #108, #112

77. Сообщение от Аноним (78), 21-Ноя-23, 09:36	–1 +/–
Пускай Docker=yes внедрят, а то цены на сборки под 1151v2 всё ещё не падают.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #86

78. Сообщение от Аноним (78), 21-Ноя-23, 09:40	+/–
Ставь слачельничек. И на работе тоже ставь слачельничек.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #75

79. Сообщение от Аноним (79), 21-Ноя-23, 09:42	–1 +/–
Никогда и нигде resolv.conf не правился вручную. Ты откуда-то из 90х вынырнул, видимо. И не проецируй свою убунту на линукс, пожалуйста. Такие дистрибутивы, как Убунту, всегда были себе на уме: имели кучу подверженной ошибкам логики, необходимой, чтобы удовлетворять самых неспособных пользователей.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #75 Ответы: #109

80. Сообщение от Аноним (-), 21-Ноя-23, 09:43	+3 +/–
>>Раньше это была помойка, где у всех есть права на все. Раньше - это с 1985 по 1993? Потому что с 1993 есть Windows NT 3.1, где это не так. Так что если сильно было нужно, это было реально. На практике, конечно, мало кто ей пользовался на десктопе, а вот с 1996 года тем, кому реально это было нужно, уже была доступна очень стабильная и юзабельная на обычных машинах NT4.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #33 Ответы: #87, #89

81. Сообщение от Аноним (81), 21-Ноя-23, 09:58	+/–
У меня нормально работает, уже месяц как стоит.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #10 Ответы: #97, #107

82. Сообщение от Аноним (4), 21-Ноя-23, 10:41	+/–
Это же сискол, а не команда...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #6 Ответы: #94

83. Сообщение от Аноним (87), 21-Ноя-23, 11:08	+/–
> Ахтунг! Взаимоисключающие параграфы. Где? > Более того, с net namespaces можно таки создать больше проблем, чем решить. Сдуру можно всё что угодно сломать.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #7 Ответы: #139

86. Сообщение от Аноним (87), 21-Ноя-23, 12:12	+1 +/–
Простите, у вас винда или мак? (На линуксе докер нативный, поэтому проблем с производительностью нет, а вот под "труЪ unixЪ" операционками он работает в линуксовой виртуалке и поэтому подтормаживает)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #77

87. Сообщение от Аноним (87), 21-Ноя-23, 12:14	+3 +/–
Вы не застали эпидемии autorun-вирусов на "безопасной" XP, которая была потомком 2000, которая, в свою очередь, была потомком "безопасной" NT4?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #80 Ответы: #88, #118

88. Сообщение от Neandertalets (ok), 21-Ноя-23, 12:33	+1 +/–
А вот NT 3.5 / 3.5.1 была потомком многими забытой (но до сих пор существующей) OS/2. И вот у неё проблем с вирьём было/есть куда меньше, чем у потомков.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #87 Ответы: #96, #143

89. Сообщение от Аноним (89), 21-Ноя-23, 12:47	+1 +/–
Чушь. Вся "безопасность" Пинды на авторитетных обещаниях^W подписях держится. Даже настройки программ отдельно от бинарников начали хранить только с Висты. И сейчас многие под себя гадят из-под админа. И правила для фаерволла программы тоже с собой носят под честное слово. А уж autorun.exe, коли тут вспомнили, прописывающие себя в 500 мест реестра, и по сей день гуляют между офисами на флешках.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #80 Ответы: #102

90. Сообщение от Аноним (89), 21-Ноя-23, 12:48	+2 +/–
Это ядерная изоляция. Она почти бесплатная.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1

91. Сообщение от Аноним (87), 21-Ноя-23, 12:50	+3 +/–
> Один пример (самый близкий по времени): мне понадобилось в Ubuntu добавить 'options rotate timeout:1' в resolv.conf. А вы вообще понимаете физический смысл этих опций? Они означают - "последовательно отправлять запрос на все перечисленные резолверы, меняя их местами при каждом новом запросе, ожидать ответа одну секунду". Позволяет минимизировать проблемы при временной недоступности части резолверов (при недоступности одного из двух, например, половина запросов будет тупить на секунду больше). Если resolv.conf является симлинком на stub-файл от resolved, то там будет только один сервер - сам resolved. А он, в отличии от glibc resolver, отправляет запросы на апстримные резолверы параллельно, а не последовательно, и возвращает первый успешный ответ. Соответственно, менять порядок и устанавливать таймаут смысла вообще никакого - результат будет выдан клиенту максимально быстро, даже если часть апстримов не ответила.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #75 Ответы: #128

92. Сообщение от Аноним (89), 21-Ноя-23, 12:50	–1 +/–
Это фича ядра. Можно и из портянки на Баше вызвать службу через какой-нибудь bwrap.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #22

93. Сообщение от Аноним (47), 21-Ноя-23, 13:17	–1 +/–
Зато мне тебя ни чуть не жаль. Не понятно лишь, что ты делаешь в этом своём IT с такими когнитивными способностями.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #74 Ответы: #114, #140

94. Сообщение от Аноним (47), 21-Ноя-23, 13:21	+/–
syscall - это как раз команда процессора.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #82 Ответы: #106, #115

96. Сообщение от vvm13 (ok), 21-Ноя-23, 13:37	+4 +/–
Преимущества Неуловимого Джо.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #88 Ответы: #104

97. Сообщение от Oe (?), 21-Ноя-23, 13:50	+/–
Переключи на классический gnome в окне входа и попробуй как работает
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #81

98. Сообщение от Хрысь (?), 21-Ноя-23, 13:59	+/–
Вы путаете системд и юниты, которыми он управляет
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #9 Ответы: #116

99. Сообщение от Хрысь (?), 21-Ноя-23, 14:01	+/–
Разочарую. Он является частью ядра. И выкорчёвывешь ты только его политики (максимум - либы для их обработки). А SL как был в системе, так и остаётся
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #32 Ответы: #119

101. Сообщение от Хрысь (?), 21-Ноя-23, 14:02	+/–
Уже есть такой дистр
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #39

102. Сообщение от User (??), 21-Ноя-23, 14:11	+1 +/–
Ну, можетида - но она там определенно _есть_ и определенно "держится" - в отличие от, ниасиливших ни нормальный acl на файлы, ни возможность дать доступ к сети конкретной программе, ни... да ничего в общем ниасиливших "неуловимых Джо".
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #89 Ответы: #136, #157

103. Сообщение от 1 (??), 21-Ноя-23, 14:12	+/–
Это тебе к мадам Рутковской (или мадмуазель ?). Ставь Qubes и каждому сервису будет своя виртуалочка.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #39 Ответы: #164

104. Сообщение от Neandertalets (ok), 21-Ноя-23, 14:23	+/–
> Преимущества Неуловимого Джо.    Соглашусь, что имеет место и это быть. Но всё таки не только.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #96 Ответы: #161

105. Сообщение от Минона (ok), 21-Ноя-23, 15:10	+1 +/–
Бубунта движется в направлении Snap OS.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #45 Ответы: #144

106. Сообщение от Минона (ok), 21-Ноя-23, 15:22	+1 +/–
Точно процессора?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #94 Ответы: #110, #132

107. Сообщение от Минона (ok), 21-Ноя-23, 15:31	+/–
> уже месяц как стоит Так долго нельзя - некроз будет.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #81

108. Сообщение от Минона (ok), 21-Ноя-23, 15:36	+/–
Добро пожаловать в реальный мир опенсорса.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #76

109. Сообщение от Аноним (109), 21-Ноя-23, 15:39	–2 +/–
такие дистрибутивы как Дебиан ты хотел сказать
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #79 Ответы: #113

110. Сообщение от Анонимпс (?), 21-Ноя-23, 18:23	+/–
Это в том числе и инструкция процессора."syscall" Assembly Instruction.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #106 Ответы: #111

111. Сообщение от Анонимпс (?), 21-Ноя-23, 18:25	+/–
Хотя раньше системные вызовы работали без нее, насколько я помню.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #110 Ответы: #133

112. Сообщение от Анонимпс (?), 21-Ноя-23, 18:28	+/–
Люди не хотят объединяться и пилить без корпорастов к сожалению, ленивые какие-то...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #76

113. Сообщение от Аноним (87), 21-Ноя-23, 20:08	+/–
Недееспособные пользователи дебианом не удовлетворены. А вот убунта их периодически удовлетворяет (с ущербом для дееспособных пользователей).
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #109

114. Сообщение от Аноним (87), 21-Ноя-23, 20:10	+/–
> Не понятно лишь, что ты делаешь в этом своём IT с такими когнитивными способностями. Получаю 100500 денег и радуюсь жизни, а что?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #93 Ответы: #130

115. Сообщение от Аноним (4), 21-Ноя-23, 20:12	+/–
pledge(2) - это сискол. Для таких умных, как ты, в скобках двойка. Но ты её, увы, в упор не видишь.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #94 Ответы: #131

116. Сообщение от Аноним (87), 21-Ноя-23, 20:13	+/–
Разобравшись с разницей между systemd и его юнитами, стоит перейти к понимаю разницы между systemd и systemd-timesyncd. Например, у меня практически на всех системах init-ом является systemd, а время синхронизирует chrony.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #98

117. Сообщение от glad_valakas (?), 21-Ноя-23, 21:09	+/–
> мне понадобилось в Ubuntu devuan и antix адекватно ответят на ваши запросы. а африканскую поделку (ненавижу расизм и негров) - патчем Бармина. > свалил с Windows [...] когда понял, что система слишком много на себя берёт и не позволяет много чего например ? мне винда позволяет много чего из того что многие MS*E считают невозможным и/или вредным. так у меня и инструменты не как у этих самых.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #75

118. Сообщение от Аноним (-), 21-Ноя-23, 21:18	+1 +/–
>> Вы не застали эпидемии autorun-вирусов на "безопасной" XP, которая была потомком 2000, которая, в свою очередь, была потомком "безопасной" NT4? Эпидемии ауторан-вирусов были возможны потому, что подавляющее большинство юзеров постоянно сидели под учетками админа. Это не ограничение архитектуры ОС, это индикатор уровня среднестатистического пользователя. Сиди эти же люди под Linux под рутом, имели бы потребность запускать такое же количество разношерстного софта (иногда сомнительного происхождения) и запускали бы все, что запускается - была бы такая же история. Но под Линуксом эти люди не сидели, а сидели они под виндой. Кстати, иногда я все еще наблюдаю похожий феномен среди некоторых пользователей FreeBSD - они делают всё от рута и с презрением смотрят на sudo или его аналоги. Но для этих 10 человек тоже никто вирусов не написал :D А Windows XP (как и NT4) имеет все средства, чтобы не ловить аутораны, что многие опытные юзеры прекрасно делали. Отключение автозапуска и использование обычной учетки в принципе закрывало большую часть подобных проблем. А кто уж дочитывал гайды до разделов про применение политик безопасности...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #87 Ответы: #155

119. Сообщение от glad_valakas (?), 21-Ноя-23, 21:21	–1 +/–
> Он является частью ядра. и что ? делать свои ядра в деривативах редхата уже немодно ? можно выиграть от 1% до 11% производительности. или наоборот, потерять. смотря что и как делать.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #99 Ответы: #134, #135

120. Сообщение от Аноним (120), 21-Ноя-23, 21:53	+/–
> Советую им ещё раз покопаться на помойке, там полюбому отыщется Core 2 Duo У меня домашний медиасервер крутится на Core2Duo под Fedora 39. Знатно всё крутится: торренты, файлы, AceStream
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #74

121. Сообщение от Аноним (120), 21-Ноя-23, 21:56	+/–
C беты всё бессбойно работает. Ты — мелкий лжец
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #10

122. Сообщение от Пароним (?), 22-Ноя-23, 02:12	+/–
ух, щас бы тмп с такими правами монтировать, ух
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #28

123. Сообщение от ano (??), 22-Ноя-23, 04:01	+/–
NIH
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #20

124. Сообщение от leap42 (ok), 22-Ноя-23, 07:25	+1 +/–
Можно же было просто спросить у знающих людей) Что делает resolved Поттеринга? Он создаёт сразу 2 разных варианта (но оба рабочие) resolv.conf в папке "/run/systemd/resolve/". И следит чтобы они не менялись. Что сделали разрабы вашего дистра? Они сделали /etc/resolv.conf симлинком на один из файлов в /run/systemd. Проверить это легко: ls -lha /etc/resolv.conf Если вас это положение не устраивает, просто сделайте unlink /etc/resolv.conf и напишите в новый файл что угодно. Например всё, что там уже было, но с доп опцией. Это работает, а resolved удалять не надо, он у нас - и кеш, и DoT (DNS over TLS), и mdns для бедных, и решение кучи проблем с DNS внутри VPN (при наличии).
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #75 Ответы: #125

125. Сообщение от glad_valakas (?), 22-Ноя-23, 08:24	+1 +/–
> просто сделайте unlink /etc/resolv.conf и напишите в новый файл что угодно. и не забудьте sudo chattr +i /etc/resolv.conf слишком много желающих переписать, почти все из них с правами root.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #124

126. Сообщение от User (??), 22-Ноя-23, 09:21	+/–
Стесняюсь спрашивать - а настройка статических адресов на сервере через network-manager не жмёт, не? :)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #75

128. Сообщение от Anononononon (?), 22-Ноя-23, 11:42	+/–
угу, а потом отгадайте какой из серверов вернул NOERROR и какую то хрень в поле ответа вместо адреса
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #91

129. Сообщение от Dima (??), 22-Ноя-23, 11:55	+1 +/–
Нормальные люди умеют его настраивать.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #32

130. Сообщение от Аноним (47), 22-Ноя-23, 12:58	+/–
>> Не понятно лишь, что ты делаешь в этом своём IT с такими когнитивными способностями. > Получаю 100500 денег и радуюсь жизни, а что? А ты это он?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #114

131. Сообщение от Аноним (47), 22-Ноя-23, 13:10	+1 +/–
> pledge(2) - это сискол. Для таких умных, как ты, в скобках двойка. > Но ты её, увы, в упор не видишь. Вижу, конечно. Как и неумелые попытки заняться буквоедством, тогда как по существу написавший про фатальный недостаток прав. Если тебе интересно буквоедство, давай продолжим буквоедство: 2   System calls (functions provided by the kernel) Видишь пробел? Смотри внимательно. Может быть в следующий раз не будешь выпячивать непонимание, чем отличается сискол от вызова системной функции.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #115 Ответы: #142

132. Сообщение от Аноним (47), 22-Ноя-23, 13:11	+/–
> Точно процессора? Абсолютно точно. Как и sysenter, и int 0x80...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #106

133. Сообщение от Аноним (47), 22-Ноя-23, 13:13	+/–
Работали, но "прерываниями" называть не солидно, это же не ДОС.)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #111

134. Сообщение от Аноним (47), 22-Ноя-23, 13:17	+/–
Они и делают свои, по последнему писку моды. Скопировали конфиг и собрали своё.)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #119

135. Сообщение от Хрысь (?), 22-Ноя-23, 16:30	+1 +/–
>> Он является частью ядра. > и что ? > делать свои ядра в деривативах редхата уже немодно ? > можно выиграть от 1% до 11% производительности. > или наоборот, потерять. смотря что и как делать. В нормальных местах запрещены в проде самосборные ядра от Васянов
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #119 Ответы: #137

136. Сообщение от Аноним (136), 22-Ноя-23, 16:33	+/–
Кому нужно открыли для себя opensnitch. Открыли и тут же закрыли. Потому что application firewall - бесполезная игрушка в отсутствии других форм изоляции процессов (ФС, памяти). И, что характерно, в Линуксе такие решения есть, и они сразу фундаментальные (user namespaces, eBPF и т.п.). Конструкторы, из которых в прямых руках, звездолёты строят. А что лично ты там "ниасилил", никого не волнует.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #102 Ответы: #152

137. Сообщение от glad_valakas (?), 22-Ноя-23, 17:33	+/–
если Васян сертифицированный специалист редхата, то можно ?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #135 Ответы: #138

138. Сообщение от еропка (?), 22-Ноя-23, 18:08	+/–
тоже нельзя самособранное ядро (любое) => отказ в техподдержке
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #137 Ответы: #148

139. Сообщение от Tron is Whistling (?), 22-Ноя-23, 21:52	+/–
Особенно если CVE почитать.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #83 Ответы: #146

140. Сообщение от AleksK (ok), 22-Ноя-23, 23:59	+/–
> Зато мне тебя ни чуть не жаль. Не понятно лишь, что ты > делаешь в этом своём IT с такими когнитивными способностями. Ну что делаю? Пользуюсь адекватным железом и софтом. Я не обладаю супер способностями которые мне бы позволяли сейчас использовать железо из 98 года.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #93

141. Сообщение от Zulu (?), 23-Ноя-23, 00:30	+/–
А мог почитать документацию. Мне как раз недавно было надо что-то подобное, так я прочитал man systemd-resolved и нашел там ``` /ETC/RESOLV.CONF        Four modes of handling /etc/resolv.conf (see resolv.conf(5)) are        supported: ``` много интересного, рекомендую.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #75

142. Сообщение от Аноним (4), 23-Ноя-23, 03:32	+/–
Буквоедством первым начал заниматься не я. Можно было и сразу догадаться по первому сообщению, о чем идет речь, а не придираться к понятиям systemcall и system call. Зато теперь мы знаем, вы, дядя, серьезный и умный.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #131

143. Сообщение от Аноним (-), 23-Ноя-23, 06:21	+/–
> А вот NT 3.5 / 3.5.1 была потомком многими забытой (но до > сих пор существующей) OS/2. И вот у неё проблем с вирьём > было/есть куда меньше, чем у потомков. Во всех NT-based видите ли без регалий админа софтом пользоваться почти невозможно, в том числе и потому что изначально писан под Win95 где всем можно все. И если применить что-то типа *nix'ного подхода - круто. Только ничего не работает. На память оь этом начиная с висты появился сказочный костыль UAC и админ который как бы админо, но вроде и не админ. И страшные запросы-подтверждения правда ли вы админ. Работает это все понятно как - как обычно у майкрософта. Т.е. гимора больше для пользователей и админов чем вирмейкеров. Которым к тому же вот прям такие уж крутые права по жизни и не интересны в последнее время. Спамить, считать коины и ддосить можно и без всего этого. А от продвинутых руткитных выходок - только глюки лезут, пакость палится.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #88 Ответы: #149

144. Сообщение от Аноним (-), 23-Ноя-23, 06:22	+/–
> Бубунта движется в направлении Snap OS. Никак не влияет на systemd и его настройки. А вот как ветеран-юниксы аналоги вон того делают - это да, вопрос.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #105

146. Сообщение от Аноним (-), 23-Ноя-23, 06:33	+/–
> Особенно если CVE почитать. Поэтому давайте сделаем как Win95 - нет подсистем безопасности нет вулнов в них. Заходи кто хошь, бери что хошь. И никаких CVE в полсистеме безопасности. Извини, по дефолту в этом твоем классическом юниксе сервис может у тебя по хомяку шарахаться как ему угодно. Безопаснее только W95, так то, а то у этих CVE с записью в хомяк юзера и прочие shared темпы с симлинками и гонками случались. В W95 не было многопользовательской системы прав, так что и CVE тоже не было. Аргумент, да?!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #139 Ответы: #150

147. Сообщение от Аноним (-), 23-Ноя-23, 06:36	+/–
> Что только не придумают, чтобы не использовать pledge(2) Ну покажи как ты это лихо запиливаешь своему сервису за 5 минут. Я то произвольному сервису в системд вон то вывешу по сути просто копипастой вон того в его юнит в /etc - на чем вопрос будет закрыт. И займет не более 5 минут. А у вас это как выглядит для вот именно вашей кастомной программы?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4

148. Сообщение от glad_valakas (?), 23-Ноя-23, 07:34	+/–
с одной стороны логично, с другой стороны шли бы они лесом.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #138

149. Сообщение от X86 (ok), 23-Ноя-23, 09:26	+/–
Иными словами, вирусне достаточно прав пользователя, под которым она запущена, чтобы украсть его крипту и т.д)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #143 Ответы: #154

150. Сообщение от Tron is Whistling (?), 23-Ноя-23, 09:51	+/–
> CVE в полсистеме безопасности Опечаточка как раз про cgroups и network namespaces. V2 правда получше. А с последними всё так же плохо - костыль на костыле.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #146 Ответы: #156

151. Сообщение от Tron is Whistling (?), 23-Ноя-23, 09:52	–1 +/–
Ды щаз, с нулевым оверхедом. Одних структур только на полкеша.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #15 Ответы: #158

152. Сообщение от User (??), 23-Ноя-23, 12:00	+/–
> Кому нужно открыли для себя opensnitch. Открыли и тут же закрыли. Потому > что application firewall - бесполезная игрушка в отсутствии других форм изоляции > процессов (ФС, памяти). И, что характерно, в Линуксе такие решения есть, > и они сразу фундаментальные (user namespaces, eBPF и т.п.). Конструкторы, из > которых в прямых руках, звездолёты строят. > А что лично ты там "ниасилил", никого не волнует. Ну, да - как-то вот так оно все и выглядит. Мы тут рассуждаем, как в космос правильно летать надо, а портки перед дефекацией сымать - не барское дело; свое не пахнет, а это вот - не иначе как корпорасы из лютой ненависти наклали.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #136

154. Сообщение от Аноним (-), 23-Ноя-23, 17:49	+/–
> Иными словами, вирусне достаточно прав пользователя, под которым она запущена, чтобы украсть > его крипту и т.д) В принципе - да. Но если я софт ставил в линухе как рут, пакетником, а системные сервисы под совсем иными пользователями и с изоляцией от системы - переключить пользователя на вот этого и обойти изоляцию... если вы так можете, у вас вероятно правов - на двух рутов хватит. Или как вы без правов это организуете, интересно? Особенно в вон той конфиге?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #149 Ответы: #166

155. Сообщение от Аноним (-), 23-Ноя-23, 17:51	+/–
> Эпидемии ауторан-вирусов были возможны потому, что подавляющее большинство юзеров постоянно > сидели под учетками админа. Это не ограничение архитектуры ОС, это индикатор > уровня среднестатистического пользователя. Да вот видите ли - под ограниченными учетками виндовый софт ломался чуть менее чем весь. > Сиди эти же люди под Linux под рутом А вот там софт изначально приучен к тому что права птичьи - и не ломается от этого. Чем они и отличаются. Так что в теории равны. На практике некоторые равнее.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #118

156. Сообщение от Аноним (156), 23-Ноя-23, 17:57	+/–
>> CVE в полсистеме безопасности > Опечаточка как раз про cgroups и network namespaces. Ну правильно, поэтому давайте сделаем проходной двор где всем можно все и не будем пытаться чинить. А так - да, линух не делали под ТАКИЕ абстракции. Как впрочем и все остальные более-менее живые и развитые ОС. Поэтому иногда ус у абстракций отклеивается а кернел неверно понимает пермиссии, что, конечно, чревато. Но вот только если на чек пермиссий совсем забить - CVE конечно убавится но это будет классическое лечение головной боли при помощи гильотины. Если голову отрубить, то и болеть она не сможет. Логично. > V2 правда получше. А с последними всё так же плохо - костыль на костыле. Покажи решения лучше, чудик. Языком пиндеть - не мешки ворочать. Не, разрешить "всем" - "всё" это не "лучше" как раз. Даже если и избавит от CVE за отсутствием секуритифич. В чем разница? Баги в секурити подсистемах и абстракциях постепенно починят. А проходной двор так и останется проходным двором. Этим подходы и отличаются.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #150

157. Сообщение от Аноним (-), 23-Ноя-23, 21:07	+/–
> Ну, можетида - но она там определенно _есть_ и определенно "держится" - > в отличие от, ниасиливших ни нормальный acl на файлы, ни возможность > дать доступ к сети конкретной программе, ни... да ничего в общем > ниасиливших "неуловимых Джо". На фоне этих поделий мои конфиги тоже смотрятся просто звездолетами. С одной стороны - никакого факин микроменеджмента - вбил координаты назначения и варпнулся туда. С другой это все сильно проще, быстрее, предсказуемее. А силовые щиты еще и не такой threat level отфутболивают. Пока вы там трахались с микроменеджментом, рискуя неверно понять эффективный набор прав, и молясь чтобы хаксоры не нашли обходной путь - я за 10% времени от этого нарулил куда более радикальную изоляцию под совсем другие допущения, где не то что мышь, блоха не проскочит. ...а если можно получить результат лучше и быстрее, надлежит признать вон то страданием фигней. Цель же не супер-абстракции нагородить, а достичь результатов. Как то - чтбы удобно было легитимному админу, а неудобно - интрудерам. В вон тех системах обычно все наоборот получается, #$%ться с настройкой дольше чем хаксору обходить. И зачем это в таком виде надо?! В результате на маздае пользователь зажат между молотом и наковальней и ему с обоих сторон достается, и от вендора и от хаксоров. А чтоб хорошо, удобно, безопасно, с респектом приваси, и вообще - да вот сейчас. Достаточно EULA почитать чтобы все понять.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #102 Ответы: #160

158. Сообщение от Аноним (-), 23-Ноя-23, 21:11	+/–
> Ды щаз, с нулевым оверхедом. Одних структур только на полкеша. Де факто на производительность не влияет с точностью до погрешности измерений как правило. Ну и у остальных с производительностью как правило хуже даже и без этого. Поэтому пингвин и получает свое в номинации EPIC WIN. А системд что, он интерфейс к этим фичам системы. Получше чем сборище спичек и желудей, имеющее неиллюзорные проблемы с изоляцией программы от - внезапно - СЕБЯ. Ну вот незачем какому там вебсерваку вообще bash вызывать. Легитимных причин для этого - ноль.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #151

159. Сообщение от Аноним (-), 23-Ноя-23, 21:14	+/–
>> ProtectClock=yes - запрет изменения времени. > Звучит шикарно, сначала повесить синхронизацию времени на systemd, потом отрезать доступ... А с какой бы легитимной целью допустим httpd, или кто там, мог бы захотеть мне системное время корежить?! Поэтому всем и зарубить - кроме сервисов синхронизаторов времени, разумеется. Принцип файрволла по сути: DENY ALL, ALLOW (as needed).
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #9

160. Сообщение от User (??), 23-Ноя-23, 21:36	+/–
> На фоне этих поделий мои конфиги тоже смотрятся просто звездолетами. С одной стороны - никакого > факин микроменеджмента - вбил координаты назначения и варпнулся туда. С другой это все сильно проще, быстрее, предсказуемее. А силовые щиты еще и не такой threat level отфутболивают. > Пока вы там трахались с микроменеджментом, рискуя неверно понять эффективный набор прав, > и молясь чтобы хаксоры не нашли обходной путь - я за > 10% времени от этого нарулил куда более радикальную изоляцию под совсем > другие допущения, где не то что мышь, блоха не проскочит. И все это - не привлекая внимания санитаров. Неуловимого Джо - опять не поймали - шах-и-мат, скептики!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #157 Ответы: #162

161. Сообщение от Аноним (161), 24-Ноя-23, 04:12	+/–
Только. Я OS/2 успел напользоваться вдоволь. И вирусы там были, и все остальные приключения. Мифы про уникальную устойчивость и производительность OS/2 сильно преувеличены людьми, никогда OS/2 не использовавшими.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #104 Ответы: #163

162. Сообщение от Аноним (-), 24-Ноя-23, 06:02	+/–
> И все это - не привлекая внимания санитаров. Неуловимого Джо - опять > не поймали - шах-и-мат, скептики! Я так то еще до кучи умею Enterprise Admin быть. Поэтому имел возможность сравнить как мне оно. ...и пришел к выводу что можно сделать мои системы намного секурнее с в 20 раз меньше трахом. Что и заимплементил. И ощущения вот реально - как будто я из прогнившего фордфокусв в звездолет пересел.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #160 Ответы: #165

163. Сообщение от Neandertalets (ok), 24-Ноя-23, 08:40	+/–
> Только. Я OS/2 успел напользоваться вдоволь. И вирусы там были, и все остальные приключения. Ну а про вирусы именно под OS/2 (не варианты под подсистему DOS, т.е. обычные DOS-овые), а именно под OS/2 расскажи поподробней. Там их было "1,5 землекопа" - одной руки для пересчёта хватит. И даже интересно, на какой помойке надо было брать софт, чтобы их найти. Коллеги, обслуживающие банкоматы, с сильным недоумением бы на тебя посмотрели. Сейчас банкоматов на OS/2, наверное, и нет, а раньше были почти единственным вариантом и разницу ТП ощутила сразу после замены на виндовозные новые. > Мифы про уникальную устойчивость и производительность OS/2 сильно преувеличены людьми, никогда OS/2 не использовавшими. Что же ты с нею делал, что она у тебя падала? У нас лет 15 проработала минимум - вообще проблем не помню (только с платами управления были проблемы). Я потом поставил подмену и работало ещё несколько лет до переезда. И не только у меня было нормально: коллеги, у которых OS/2 работала на банкоматах, 3D принтерах (не домашних современных), установке МРТ, управлении зданием в мед.учреждении. Проблемы с железом (поддержкой или поломкой) - да, бывало, но если всё настроено и настроено как надо - работало без нареканий. Насчёт производительности не скажу (не сравнивал), но у меня она и на работе была и дома (некоторое время - основной системой, eComStation) - не могу припомнить проблем с устойчивостью. Даже при условии проблем (с наличием) с драйверами.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #161

164. Сообщение от Второй из Кукуева (?), 24-Ноя-23, 09:35	+/–
Пани Рутковска полька, а потому во-первых "пани", а во-вторых "Рутковска", а не "Рутковская" Ну и да, она покинула основанный ей QubesOS достаточно давно, лет пять назад что ли и сейчас он развивается без нее
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #103

165. Сообщение от User (??), 24-Ноя-23, 09:39	+/–
>> И все это - не привлекая внимания санитаров. Неуловимого Джо - опять >> не поймали - шах-и-мат, скептики! > Я так то еще до кучи умею Enterprise Admin быть. Поэтому имел > возможность сравнить как мне оно. > ...и пришел к выводу что можно сделать мои системы намного секурнее с > в 20 раз меньше трахом. Что и заимплементил. И ощущения вот > реально - как будто я из прогнившего фордфокусв в звездолет пересел. Да не интересен твой локалхост примерно никому, узбагойся. Сделаешь ну если не ERP или там SCADA\MES какой - так хотя бы файлопомойку с правами доступа, корпоративный портал в 20% возможностей шарика или там почтовый сервер, умеющий в календари, интеграцию с сервером каталогов и отображение статусов - будешь интересен, но ты ж не сделаешь, тыр-дыр-прайс-админ. Предполагаю - что и стандартную охапку грабель-и-костылей на бубернетовской изоленте не соберешь, на этапе выбора дистрибутива и конпеляния ведра застрянешь.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #162

166. Сообщение от X86 (ok), 25-Ноя-23, 09:43	+/–
>> Иными словами, вирусне достаточно прав пользователя, под которым она запущена, чтобы украсть >> его крипту и т.д) > В принципе - да. Но если я софт ставил в линухе как > рут, пакетником, а системные сервисы под совсем иными пользователями и с > изоляцией от системы - переключить пользователя на вот этого и обойти > изоляцию... если вы так можете, у вас вероятно правов - на > двух рутов хватит. Или как вы без правов это организуете, интересно? > Особенно в вон той конфиге? А зачем зловреду права системных сервисов, если достаточно прав текущего пользователя, чтобы распоряжаться его файлами и мощностями его ПК?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #154

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема