The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

В Fedora 40 намечена реализация второй стадии внедрения универсальных образов ядра

06.12.2023 09:23

В выпуске Fedora Linux 40 планируют реализовать вторую стадию перехода на модернизированный процесс загрузки, предложенный Леннартом Поттерингом. Отличия от классической загрузки сводятся к использованию вместо образа initrd, формируемого на локальной системе при установке пакета с ядром, унифицированного образа ядра UKI (Unified Kernel Image), генерируемого в инфраструктуре дистрибутива и заверенного цифровой подписью дистрибутива. Предложение пока не рассмотрено комитетом FESCo (Fedora Engineering Steering Committee), отвечающим за техническую часть разработки дистрибутива Fedora.

Образ UKI объединяет в одном файле обработчик для загрузки ядра из UEFI (UEFI boot stub), образ ядра Linux и загружаемое в память системное окружение initrd. При вызове образа UKI из UEFI предоставляется возможность проверки целостности и достоверности по цифровой подписи не только ядра, но и содержимого initrd, проверка достоверности которого важна, так как в данном окружении осуществляется извлечение ключей для расшифровки корневой ФС.

Первая стадия внедрения UKI была выполнена в Fedora Linux 38 и привела к добавлению поддержки UKI в загрузчик, реализации инструментария для установки и обновления UKI, а также формированию экспериментального образа UKI для загрузки виртуальных машин с ограниченным набором компонентов и драйверов.

На второй стадии намерены добавить возможность прямой загрузки UKI из UEFI-модуля shim.efi без привлечения отдельного загрузчика (grub, sd-boot), реализовать возможность использования UKI на системах с архитектурой Aarch64 и подготовить вариант UKI-образа для облачных окружений и защищённых виртуальных машин.

  1. Главная ссылка к новости (https://www.mail-archive.com/d...)
  2. OpenNews: Релиз дистрибутива Fedora Linux 39
  3. OpenNews: Леннарт Поттеринг предложил новую архитектуру верифицированной загрузки Linux
  4. OpenNews: В Fedora рассматривают возможность применения шифрования ФС по умолчанию
  5. OpenNews: В Fedora 38 планируют реализовать поддержку универсальных образов ядра
  6. OpenNews: Выпуск системного менеджера systemd 252 с поддержкой UKI (Unified Kernel Image)
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/60244-fedora
Ключевые слова: fedora, ukm, kernel, boot
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (195) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Werwolf (ok), 09:34, 06/12/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +13 +/
    > Отличия от классической загрузки сводятся к использованию вместо образа initrd, формируемого на локальной системе при установке пакета с ядром, унифицированного образа ядра UKI (Unified Kernel Image), генерируемого в инфраструктуре дистрибутива и заверенного цифровой подписью дистрибутива

    учитывая как часто приходится модифицировать initrd появляются вопросики..
    вот например хочу я туда sshd засунуть чтобы LUKS разделы по сети анлочить, какие варианты они придлагают:
    1) изначально в их UKI будет все 100500 инструментов нужных и он будет весить тонну?
    2) будет 100500 разных комбинаций UKI в репе на выбор?
    3) "вамэтанинужна" и хрен вам а не кастомный образ, юзайте минимальный дефолт?
    ткните носом, а то я ответа не нашёл..

     
     
  • 2.2, llolik (ok), 09:51, 06/12/2023 [^] [^^] [^^^] [ответить]  
  • +7 +/
    Ну, по стандарту, как я понял, UEFI должен уметь прописывать собственные ключи. Инструмент для создания вот этого самого UKI тоже есть. Т.е., опять-же если я правильно понял, берёшь собираешь этот самый UKI из нужного тебе загрузчика-ядра-initrd -> подписываешь его СВОИМ ключом -> заносишь этот ключ в доверенные UEFI. И, по идее, должно работать. Ну, как-минимум, я так понял.

    upd. Собственно, от автора https://0pointer.de/blog/brave-new-trusted-boot-world.html (раздел UKI Generation)

     
     
  • 3.5, Werwolf (ok), 09:55, 06/12/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > собираешь этот самый UKI из нужного тебе загрузчика-ядра-initd -> подписываешь его СВОИМ ключом -> заносишь этот ключ в доверенные UEF

    ну тоесть всё так же как и было.. и в чём тогда новшество кроме того что в /boot будет лежать один файл а не два.. вернее сказать на один файл для каждого ядра меньше..

     
     
  • 4.7, llolik (ok), 10:04, 06/12/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Так борются с подменой initrd-образа, вроде как. Теперь если и он ключём не заверен, в составе UKI образа, то загрузка обломится. На сейчас, насколько я понимаю, он не валидируется от слова никак.
     
     
  • 5.8, Werwolf (ok), 10:07, 06/12/2023 [^] [^^] [^^^] [ответить]  
  • +/
    насколько я помню сенйчас валидируется не образ а то что из образа дёргает ядро, т.е. модули и бинарники..
    только вот пишу я это и уверенность пропадает, надо бы почитать..
     
  • 5.15, tty0 (?), 10:19, 06/12/2023 [^] [^^] [^^^] [ответить]  
  • +5 +/
    Подскажите, а когда было что то крупное с атакой с подменой образа на компьютеры с т. линуксом?
     
     
  • 6.30, Васисуалий (?), 10:29, 06/12/2023 [^] [^^] [^^^] [ответить]  
  • +15 +/
    Никогда. Но кому-то же надо имитировать бурную деятельность типа этого коллективного «поттеринга», который то и дело, что изобретает велосипеды с подачи миллиардных корпораций.
     
     
  • 7.57, Аноним (57), 12:01, 06/12/2023 [^] [^^] [^^^] [ответить]  
  • +5 +/
    Или искусственно ограничивает платформу, чтобы все ждали очередной systemd-initpackd и не рыпались дёргать cpio. В GNOME уже давно такое сплошь и рядом.
     
  • 6.111, Аноним (111), 17:23, 06/12/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Обязательно нужно что-то крупное? А если по тихому ломают зашифрованные диски то это по вашему не считается?
     
  • 6.215, Аноним (-), 14:18, 08/12/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > Подскажите, а когда было что то крупное с атакой с подменой образа
    > на компьютеры с т. линуксом?

    Вообще - недавно стал летать буткит - который - тадам! загружается используя какую-то хтонь подписаную валидным ключом майкрософта :)). Видимо вот и стали чесаться - блестящий замок висел на калитке. Вася не заметил замок, пнул калитку, ржавая дужка и отвалилась, вместе с замком.

     
  • 5.68, Аноним (68), 12:25, 06/12/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Так борются с подменой initrd-образа, вроде как. Теперь если и он ключём не заверен, в составе UKI образа, то загрузка обломится. На сейчас, насколько я понимаю, он не валидируется от слова никак.

    ты не брат поттеринга ?

    https://wiki.gentoo.org/wiki/Custom_Initramfs#Embedding_into_the_Kernel

     
     
  • 6.84, Ананимус (?), 13:20, 06/12/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > Now compile the kernel it will automatically put the files into a cpio archive and embed it into the kernel image.

    Тебе ядро пересобирать каждый раз нужно.

     
     
  • 7.91, Аноним (68), 13:38, 06/12/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > ядро пересобирать каждый раз нужно

    если не удалять результат сборки - нет, если нужные модули известны и статически слинкованы проблем ещё меньше - никакой initrd/initramfs вообще не нужны

     
     
  • 8.115, Ананимус (?), 17:50, 06/12/2023 [^] [^^] [^^^] [ответить]  
  • +/
    То есть ты предлагаешь тащить непожатые объектники в пакете чтобы что ... текст свёрнут, показать
     
     
  • 9.118, Аноним (68), 18:25, 06/12/2023 [^] [^^] [^^^] [ответить]  
  • +/
    нет... текст свёрнут, показать
     
     
  • 10.152, Ананимус (?), 23:19, 06/12/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Тогда смысл твоего предложения не ясен Собирать ядро на пользовательских машина... текст свёрнут, показать
     
     
  • 11.153, Аноним (68), 23:42, 06/12/2023 [^] [^^] [^^^] [ответить]  
  • +/
    сходи по ссылке, прочитай, может дойдёт что не нужен никакой отдельный initrd ко... текст свёрнут, показать
     
     
  • 12.196, Ананимус (?), 14:04, 07/12/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Ещё раз Чтобы влинковать initramfs в ядро тебе нужно перелинковывать ядро, по... большой текст свёрнут, показать
     
     
  • 13.200, Аноним (68), 15:20, 07/12/2023 [^] [^^] [^^^] [ответить]  
  • +/
    достаточно через dd впердолить новый имидж фс обратно по тому же адресу где было... большой текст свёрнут, показать
     
     
  • 14.202, Ананимус (?), 15:52, 07/12/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Не, недостаточно, если он стал больше UKI это просто vmlinuz initramfs ... текст свёрнут, показать
     
     
  • 15.203, Аноним (68), 16:12, 07/12/2023 [^] [^^] [^^^] [ответить]  
  • +/
    изначальный смысл этого initrd initramfs - держать там модули ядра которые нужны... текст свёрнут, показать
     
     
  • 16.204, Ананимус (?), 16:43, 07/12/2023 [^] [^^] [^^^] [ответить]  
  • +/
    UKI собирается на твоей машине из vmlinuz и того что дракут нагенерил То есть о... текст свёрнут, показать
     
     
  • 17.205, Аноним (68), 16:57, 07/12/2023 [^] [^^] [^^^] [ответить]  
  • +/
    тогда расходимся, на новость не тянет... текст свёрнут, показать
     
  • 13.209, Аноним (-), 12:51, 08/12/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Ты чего-то не понял в этой жизни initrd можно пристыковать за кернелом в тот же... большой текст свёрнут, показать
     
  • 5.104, penetrator (?), 14:50, 06/12/2023 [^] [^^] [^^^] [ответить]  
  • +/
    засунь /boot на шифрованный раздел

    все уже давно придумали

    осталось контролировать целостность /boot/efi

    а для этого нужно доверять железу и прошивкам, а ему доверия 0

    так зачем изобретать колесо?

     
  • 3.6, Аноним (6), 09:56, 06/12/2023 [^] [^^] [^^^] [ответить]  
  • +9 +/
    > подписываешь его СВОИМ ключом

    Для запуска для себя на своем железе? Уже звучит как сюр.

     
     
  • 4.9, Werwolf (ok), 10:10, 06/12/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    В Tumbleweed с недавних пор так с гейвидией. модуль собирается и подписывается после установки конечно сам, но после ребута сам в mokmanager ручками будь добр заверь что ты ему доверяешь или хрен тебе а не видеодрайвер и графика..
    там был долгий спор в багзилле в результате которого решили что лучше так.
     
     
  • 5.105, penetrator (?), 14:51, 06/12/2023 [^] [^^] [^^^] [ответить]  
  • +2 +/
    достаточно не включать secureboot и все будет нормально ничего не надо будет подписывать
     
  • 4.12, llolik (ok), 10:17, 06/12/2023 [^] [^^] [^^^] [ответить]  
  • –6 +/
    >> подписываешь его СВОИМ ключом
    > Для запуска для себя на своем железе? Уже звучит как сюр.

    На входной двери в ТВОЮ квартиру замок с ТВОИМИ ключами есть?

     
     
  • 5.16, tty0 (?), 10:21, 06/12/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Ну если у тебя компьютер размером с квартиру, тогда да, тебе такое решение подходит
     
     
  • 6.31, llolik (ok), 10:31, 06/12/2023 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > Ну если у тебя компьютер размером с квартиру, тогда да, тебе такое
    > решение подходит

    Ну, я так понял, RH хочет создать полностью доверенную цепочку загрузки. Не то, чтобы меня сильно радовало усложнение процесса (как по треду может показаться). Но, как-минимум, возможность контроля не отнимают и в закрытую прошивку сабж не превращается.

    Вначале, когда тему представили, у меня тоже нормально так подгорело. Потом почитал, пощупал - вроде не всё так страшно, как казалось, и стул перестал обугливаться.

     
     
  • 7.135, Аноньимъ (ok), 20:24, 06/12/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Для доверенной цепочки нужно вначале uefi выкинуть к чертям собачим.

    Дальше ничто не мешает подписать что угодно, хоть тот же груб. Который может верефецировать что он там дальше грузит.

    Проблемы то нет как таковой.

    Кроме той что uefi оказалась не совсем unified. А вернее совсем не unified. А скорее вендорлокед. И unified только в смысле гигансткой дыры безопасности когда ос и юзер спейс может в этот uefi писать произвольную дичь.

     
     
  • 8.220, Аноним (-), 15:34, 08/12/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Ага, кроме того что изначально кернелу было вообше довольно пофиг что запускать ... текст свёрнут, показать
     
  • 4.65, Бывалый смузихлёб (?), 12:14, 06/12/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Огораживание хомяков в линуксах истинными его владельцами( собсно, жирнющие корпорации-"спонсоры" ) идёт прямо-таки по плану
    Постепенно доработают системы контроля целостности во время исполнения, ещё пару плюх подсыпят

    И "вдруг" на основных устройствах пропадёт возможность добавлять свой ключ. Вроде бы мелочь, а вроде бы - огороженность превысит даже яблочную
    И, при кажущейся открытости исходников, толку с них окажется немного, ведь вдруг станет крайне важно кто заверяет и проверят результат, или не делает этого ведь система не соответствует неназванным критериям. А с жалобами об этом - можно будет в спортлото идти

     
  • 4.70, а што не так (?), 12:30, 06/12/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Вы по ssh тоже без авторизации заходите? А то звучит как сюр авторизоваться на своем компьютере.
     
     
  • 5.85, Аноним (-), 13:25, 06/12/2023 [^] [^^] [^^^] [ответить]  
  • +3 +/
    > Вы по ssh тоже без авторизации заходите? А то звучит как сюр авторизоваться на своем компьютере.

    А нафига на домашнем компе пароли и вся эта хрень, если к компу кроме меня физически никто не имеет доступ? Ведь выше речь именно про домашнее железо и домашнее использование.

     
     
  • 6.124, Аноним (68), 19:25, 06/12/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > А нафига на домашнем компе пароли и вся эта хрень, если к компу кроме меня физически никто не имеет доступ?

    подклчение к инету есть значит не ты один имеешь доступ.

     
     
  • 7.156, Свидетель секты коры дуба (?), 00:26, 07/12/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Инет у 99% юзверей за nat провайдера + nat вайфай роутера, и у тебя тоже, так что спи спокойно.
     
     
  • 8.160, Аноним (68), 01:10, 07/12/2023 [^] [^^] [^^^] [ответить]  
  • +/
    и как это должно помочь - nat определит вредный код или не вредный устанавливает... текст свёрнут, показать
     
  • 4.94, Аноним (94), 13:41, 06/12/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Это касается только юзеров с включенным secureboot, к коим ты явно не относишься.
     
  • 3.93, _oleg_ (ok), 13:39, 06/12/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    И в чём смысл такой "защиты"? У кого есть доступ к системе, могут всё это проделать и организовать загрузку вредоносного initrd без проблем.
     
  • 2.11, Аноним (11), 10:15, 06/12/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Для таких как ты придумали поиск по "rhel luks clevis tang"
     
     
  • 3.24, Werwolf (ok), 10:27, 06/12/2023 [^] [^^] [^^^] [ответить]  
  • +/
    поправьте если я что-то путаю, но емнип это автоматическая разблокировка а не ручная, что меня не сильно то устраивает..
     
  • 2.26, Аноним (26), 10:27, 06/12/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Деревня, открой для себя update-initramfs
     
     
  • 3.29, Werwolf (ok), 10:28, 06/12/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    и как update-initramfs по вашему сможет подписать новый образ ключём дистрибутива хранящимся на серверах самого дистра?
    а если подписывание своим ключём то в чём тогда разница?
     
     
  • 4.126, Аноним (26), 19:40, 06/12/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Стандартный образ и так будет подписан ключем MS, а если ты такой умный и хочешь менять initrams, то разберешся как его подписать своим ключем, если тебе конечно нужен secure boot.
     
     
  • 5.134, Werwolf (ok), 20:17, 06/12/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > Стандартный образ и так будет подписан ключем MS, а если ты такой
    > умный и хочешь менять initrams, то разберешся как его подписать своим
    > ключем, если тебе конечно нужен secure boot.

    сейчас я пересобираю initrd не меняя стандартной подписи, и не парюсь о подмене потому что оно лежит на luks разделе. и секурябут работает и всё отлично, что блин планируется выиграть переходом на UKI - вот что меня интересует. сейчас всё это выглядит как странный новомодный костыль придуманный просто чтобы имитировать бурную деятельность.

     
  • 3.56, Аноним (56), 11:54, 06/12/2023 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Фу, какая-то хрень бубуняче-дебиановая. Отуда ты вылез?
     
  • 2.66, Аноним (68), 12:14, 06/12/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > ткните носом, а то я ответа не нашёл

    очевидно первая часть номера 3 - эта федора нафиг не нужна

     
  • 2.71, Аноним (71), 12:34, 06/12/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > в их UKI будет все 100500 инструментов нужных и он будет весить тонну?

    Угу, не вижу другого логического решения.

    Fedora не будет иметь 100500 образов для разных машин - слишком много maintenance.

     
  • 2.90, Пряник (?), 13:35, 06/12/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Подводишь идею под сомнение очевидно бредовыми вариантами. Но логичным вариантом будет отказ от Fedora!
     
     
  • 3.100, Werwolf (ok), 14:09, 06/12/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > Подводишь идею под сомнение очевидно бредовыми вариантами. Но логичным вариантом будет
    > отказ от Fedora!

    та я то от федоры отказался в тот день когда её попробовал, но це ж красношляпа, то что они рожают потом в остальные мейнтстримные дистры быстро попадает.

     
     
  • 4.103, llolik (ok), 14:49, 06/12/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > то что они рожают потом в остальные мейнтстримные дистры быстро попадает.

    Да если-бы. Я вот dbus-broker уже фиг знает сколько жду. А он всё никак.
    Хотя, с другой стороны, pipewire тоже долго ждали.

     
  • 2.109, Тот_ещё_аноним (ok), 16:08, 06/12/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Freebsd + дрова от линукса?
     
     
  • 3.133, Werwolf (ok), 20:15, 06/12/2023 [^] [^^] [^^^] [ответить]  
  • +/
    а в вашем комментарии осмысленность изначально не планировалась? что за рандомный набор слов не обременённых общим смыслом??
     
     
  • 4.229, Аноним (229), 11:35, 10/12/2023 [^] [^^] [^^^] [ответить]  
  • +/
    как и во всех твоих, потому что ты читать не умеешь, а все, что не понял называешь имитацией бурной деятельности
     

     ....большая нить свёрнута, показать (55)

  • 1.3, Аноним (3), 09:51, 06/12/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Федора превращается в андроид(
     
     
  • 2.10, Васисуалий (?), 10:11, 06/12/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Главное чтобы все остальное не потянула за собой. А то останется только openbsd, который нормально работает только на некрожелезе. Но помойки давно уже опустели и ноут с корой дуба в не_убитом состоянии найти большая редкость.
     
     
  • 3.13, Аноним (11), 10:18, 06/12/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Она уже умеет в уникод или всё так де в утилитах аски?
     
     
  • 4.19, Васисуалий (?), 10:23, 06/12/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Зачем тебе юникод в голой консоли?
     
     
  • 5.73, Аноним (11), 12:36, 06/12/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    А подумать никак?

    Для примера...

    Есть файл сервер с 100500 файлами работников из 100500 стран, нет правила давать название только в аски, поэтому можно встретить слово "отчет" на этих 100500 языках.

    Зашел по ssh в "голую консоль", а там квадратики, вопросики и прочие символы)

    И это один из примеров.

     
     
  • 6.79, User (??), 12:42, 06/12/2023 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Файловый сервер? На linux'е? Не, не верю...
     
     
  • 7.211, Аноним (-), 14:05, 08/12/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > Файловый сервер? На linux'е? Не, не верю...

    Там про openbsd было. Вот на нем это было бы уже странновато. А какие у него фс есть? Потомок FFS какого-нибудь ажно?

     
     
  • 8.221, User (??), 15:47, 08/12/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Ну, про опенка не скажу, а вот freebsd лет несколько назад был более адекватным ... текст свёрнут, показать
     
  • 6.87, Аноним (-), 13:26, 06/12/2023 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > Есть файл сервер с 100500 файлами работников из 100500 стран,

    Чел, ты выше вообще читал о чем пишут? Какие нафиг "работники" из 100500 стран? Речь про домашний комп.

     
     
  • 7.110, Прыгающий Ленивец (?), 17:01, 06/12/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Так редхату глубоко фиолетово до домашних компов. Они делают промышленный дистрибутив. В корп сфере secure boot на машинах сотрудников это стандарт
     
     
  • 8.137, Аноньимъ (ok), 20:30, 06/12/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Ну вот знакомому из одной крупной конторы выдали ноут с убунтой и полнодисковым ... текст свёрнут, показать
     
     
  • 9.212, Аноним (-), 14:07, 08/12/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Ну ты сравнил тоже свое болото с нормальным энтерпрайзом ... текст свёрнут, показать
     
  • 8.172, Аноним (172), 08:18, 07/12/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Но в новости речь о Федоре 40, которая как раз и позиционируется для домашних ко... текст свёрнут, показать
     
     
  • 9.199, rinat85 (ok), 15:03, 07/12/2023 [^] [^^] [^^^] [ответить]  
  • +/
    она позиционируется как тестовый дистрибутив, в котором обкатываются новые пакет... текст свёрнут, показать
     
  • 7.132, Аноним (11), 20:00, 06/12/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Для особо одарённых написано "один из случаев".

    И да, на домашней машинке уникод тоже нужен.

    Или ты сознательно ограничел себя только английским?

     
  • 5.117, Аноним (117), 18:11, 06/12/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Действительно, KOI8-R хватит всем.
     
  • 4.82, крокодил мимо.. (?), 13:02, 06/12/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    it depends есть лишь две системных локали C POSIX и UTF-8 но если вам н... большой текст свёрнут, показать
     
     
  • 5.138, Аноньимъ (ok), 20:34, 06/12/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > если какое-то (консольное) приложение не умеет на лету перекодировку в koi8-r, то это повод его заменить..

    Эээ. Ничесе. Казалось четверть 21 века почти минула, и многое ПО ничего кроме utf-8 не ждёт давно. Протоколы текстовые прямо пишут что utf-8 и точка.

    Но оказывается, это повод ПО заменить.

     
     
  • 6.161, крокодил мимо.. (?), 01:23, 07/12/2023 [^] [^^] [^^^] [ответить]  
  • +/
    на самом деле, когда мы говорим о ядерной консоли мультиплексорах терминалов и... большой текст свёрнут, показать
     
     
  • 7.216, Аноним (-), 14:22, 08/12/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > bom-ом, чтобы уж наверняка).. для кириллицы, кмк, koi8 - оч хорошая
    > кодировка.. помню когда-то sendmail при отправке резал 8-ой бит и письма
    > приходили с транслитом (в 7-ми битной кодировке)..

    Сейчас бы только вот биты и резать. На уникоде таких граждан поимеют в 6 секунд, так что проблема давно отпала.

     
     
  • 8.223, крокодил мимо.. (?), 16:11, 08/12/2023 [^] [^^] [^^^] [ответить]  
  • +/
    юникод - это по большей части от безысходности для интересующихся можно озна... текст свёрнут, показать
     
  • 5.194, Аноним (194), 13:57, 07/12/2023 [^] [^^] [^^^] [ответить]  
  • +/
    >если вам надо в "нативные" иксовые утилиты (а-ля xclipboard) с поддержкой кириллицы, то сперва нужно утилите дать шрифт с iso-8859-5

    А современную DE, которая насквозь с UTF-8, использовать, религия не велит?

     
     
  • 6.201, крокодил мимо.. (?), 15:40, 07/12/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > А современную DE, которая насквозь с UTF-8, использовать, религия не велит?

    вы, видимо, что-то не поняли.. в системе 2 (две) локали.. всего.. из короба.. одна из которых - UTF-8.. никаких препятствий к использованию.. в Х-ах..

    в ядерной консоли (которая tty), всё гораздо проще..

    man 1 locale:
         With respect to locale support, most libraries and programs in the
         OpenBSD base system, including the locale utility, implement a subset of
         the IEEE Std 1003.1-2008 (POSIX.1) specification.

     
  • 3.37, Tita_M (ok), 10:43, 06/12/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >А то останется только openbsd

    Останется, как минимум еще и Haiku, а для настольного компьютера она по перспективней будет, чем эта бсд. Ну и openbsd это форчановский мем.

     
     
  • 4.40, Аноним (6), 10:49, 06/12/2023 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > Haiku

    Если уж решил набрасывать, то хотя бы про reactos пиши.

     
     
  • 5.195, Аноним (194), 13:59, 07/12/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Про Redox
     
  • 5.198, Akteon (?), 14:52, 07/12/2023 [^] [^^] [^^^] [ответить]  
  • +/
    если reactos дать половину бюджета города-героя Севатополя - там в 3 года все импортозаместят !
     
  • 3.186, Штыбель (?), 11:55, 07/12/2023 [^] [^^] [^^^] [ответить]  
  • +/
    >А то останется только openbsd

    А как же NetBSD?

     
  • 3.189, Аноним (189), 12:22, 07/12/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Есть FreeBSD, illumos, кошерный Linux никуда не денется.
     
  • 2.59, Фёдор робот (?), 12:02, 06/12/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Федройд.
     
  • 2.72, birdie (ok), 12:36, 06/12/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Fedora becomes secure.

    Evil maid никто не отменял.

    Все ваши secure boot и шифрование бессмысленны, если можно подменить initrd.

    Те, кто грузится с flash'ки - не в счёт.

     
     
  • 3.106, penetrator (?), 14:54, 06/12/2023 [^] [^^] [^^^] [ответить]  
  • +/
    а если можно подменить /boot/efi то что уже безопасно? )))))))
     
     
  • 4.128, Аноним (71), 19:49, 06/12/2023 [^] [^^] [^^^] [ответить]  
  • +/
    В EFI все подписано уже лет 5.

    С разморзкой.

     
     
  • 5.129, Аноним (71), 19:51, 06/12/2023 [^] [^^] [^^^] [ответить]  
  • +/
    В случае windows - больше 10 лет.

    Первая ОС с подписанным загрузчиком была windows 8.

     
  • 5.139, Аноньимъ (ok), 20:37, 06/12/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Ага, прям таак подписанно что ух как подписанно.

    Недавно с fwupdate прилетело удаление "не безопасных" ключей, и оно просто казуально, несмотря на то что биос пол паролем, взяло и удалилр эти плохие видимо очень безопасные ключи из супер подписанного uefi.

    Я на этот цирк смотрю и не понимаю они это серьёзно что ли?

     
     
  • 6.213, Аноним (-), 14:11, 08/12/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > Недавно с fwupdate прилетело удаление "не безопасных" ключей, и оно просто казуально,
    > несмотря на то что биос пол паролем, взяло и удалилр эти
    > плохие видимо очень безопасные ключи из супер подписанного uefi.
    > Я на этот цирк смотрю и не понимаю они это серьёзно что ли?

    А что удивляет? Там профакали энное количество ключей. И еще майкрософт смог подписать какой-то откровенный левак, через который секурбут можно обойти. А когда все эти факапы всплыли - майкрософт пробубнил "блин если мы отзовем ключи, винды грузиться перестанут! так что и хрен с ним с этим секурбутом!"

    Может, вот - хоть кому-то не совсем хрен и хотя-бы частично все ж аннулируют совсем уж откровенные известные дыры.

     
  • 5.143, penetrator (?), 20:54, 06/12/2023 [^] [^^] [^^^] [ответить]  
  • +/
    а разве шим не запускает все что угодно? раньше так было...

    и внезапно

    sbverify --list grubx64.efi
    No signature table present

     
     
  • 6.181, Аноним (71), 11:21, 07/12/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Нет, shim не может физически запустить всё что угодно, если secure boot включен.
     

     ....большая нить свёрнута, показать (37)

  • 1.4, Аноним (6), 09:54, 06/12/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +11 +/
    Боже храни Slackware.
     
     
  • 2.14, Аноним (11), 10:18, 06/12/2023 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Патрик скоро в другой мир уйдет, что делать будут?
     
     
  • 3.18, Аноним (18), 10:22, 06/12/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Патрик не старше Линуса?
     
  • 3.20, Васисуалий (?), 10:24, 06/12/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Форум никто не отменял. Благо, что у этого дистрибутива полно идейных фанатов.
     
     
  • 4.21, Васисуалий (?), 10:25, 06/12/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Форки*
     
  • 4.76, Аноним (11), 12:40, 06/12/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Не нужно переоценить идейных фанатов. Вон у Gtk2, Gnome2 сколько таких было и толку ноль, потому что нужно не только фанатеть, но и усердно работать, писать код, поддерживать.
     
     
  • 5.88, Аноним (-), 13:29, 06/12/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Вон у Gtk2, Gnome2 сколько таких было и толку ноль

    Они умерли по совсем другим причинам. По примерно тем же, что и Windows 98.

     
  • 3.35, Аноним (6), 10:38, 06/12/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Я раньше уйду судя по возрасту. А после хоть потоп. Этот мир все равно неизлечимо болен.
     
  • 2.17, Аноним (18), 10:22, 06/12/2023 [^] [^^] [^^^] [ответить]  
  • –3 +/
    Боже, храни Devuan.
     
     
  • 3.23, Васисуалий (?), 10:25, 06/12/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Это тот же дебиан но с другой системой инициализации.
     
  • 3.27, ryoken (ok), 10:27, 06/12/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    и Gentoo.
     
     
  • 4.38, Аноним (-), 10:44, 06/12/2023 Скрыто ботом-модератором     [к модератору]
  • +/
     
  • 4.42, Аноним (42), 10:54, 06/12/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Ту самую генту, основатель которой сам не пользуется линуксом.
     
     
  • 5.45, Аноним (6), 11:02, 06/12/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Линус тоже пользуется линепсом исключительно в виртуалке на своем макпук про. Линепс это про сервера и встроенные решения, или о десктопе а-ля макось для бедных.
     
     
  • 6.58, User (??), 12:01, 06/12/2023 [^] [^^] [^^^] [ответить]  
  • +/
    ... да и там его стараются обмазать *цатью слоями абстракции, чтобы с этой хтонью дела не иметь. Если крутить аппликуху в distroless-контейнерах под управлением кубера-шмубера развернутого на атомарно обновляемых дистрах даже без ssh и трогать это через уеб-интерфейс какого гитляпа, в который коммитишь декларативные портянки - оно и ничосе так, нормальненько. Или вот ораслю с табличкой на сервере: "не обновлять до Страшного Суда" обслуживать можно.
    А вот так, чтобы что-то прям большое-тяжелое-развесистое прям вот чтобы на серверах с этим самым линексом - г-дь лет пяток как миловал.
     
     
  • 7.97, Аноним (-), 13:46, 06/12/2023 Скрыто ботом-модератором     [к модератору]
  • –2 +/
     
  • 7.113, Аноним (113), 17:41, 06/12/2023 [^] [^^] [^^^] [ответить]  
  • +/
    На роутерах Линукс без контейнеров. Контейнеры - это у proприерастов-тыртырпрайзников. Но у них всё так - через-опу, ради гонору. Просто на админах экономят - нанимают всяких лохов-пиндусятников, которые Линукс только в виртуалку видели, эксперды г-пди, уеб-интерфейсами всюду тронутые.
     
     
  • 8.125, User (??), 19:27, 06/12/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Угу Вот только на роутерах его трогают через метровую палку уеб-интерфейса или ... текст свёрнут, показать
     
     
  • 9.136, Аноним (113), 20:27, 06/12/2023 [^] [^^] [^^^] [ответить]  
  • +/
    ssh, telnet Именно Линукс, без ГНУ , с busybox вместо привычных для десктопа cor... текст свёрнут, показать
     
     
  • 10.147, User (??), 21:40, 06/12/2023 [^] [^^] [^^^] [ответить]  
  • +/
    или какого сильно-кастомного-cli забыли, да Фигурное цитирование такое фигурн... текст свёрнут, показать
     
     
  • 11.214, Аноним (-), 14:14, 08/12/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Да вон в опенврт - обычный бизибокс, чего в нем такого уж кастомного На всяких ... текст свёрнут, показать
     
     
  • 12.218, User (??), 15:28, 08/12/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Так кому этот опенврот нужен-то А цепляешься по ссх к какому прости осспыдя зух... текст свёрнут, показать
     
  • 6.63, my_name_is_Mud (ok), 12:06, 06/12/2023 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Ты если генерируешь бред, то генерируй хоть что-нибудь смешное...
    Можешь найти его интервью, где он рассказывал как патчил федору для её запуска на новых маках. Какие виртуалки?
     
  • 6.107, penetrator (?), 14:56, 06/12/2023 [^] [^^] [^^^] [ответить]  
  • +/
    не помню я чтобы фредриппер в маки завезли
     
  • 6.114, Аноним (113), 17:44, 06/12/2023 [^] [^^] [^^^] [ответить]  
  • +/
    У меня Арч на ноуте дцать лет работает. Всё настроил, автоматизировал - прелесть. Комп работает, я отдыхаю. Это макось и пинда - для бедных. Умом.
     
     
  • 7.122, Аноним (-), 18:52, 06/12/2023 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > У меня Арч на ноуте дцать лет работает. Всё настроил, автоматизировал - прелесть. Комп работает, я отдыхаю. Это макось и пинда - для бедных. Умом.

    Прям так хорошо набросил, что даже троллить лень.

     

     ....большая нить свёрнута, показать (25)

  • 1.22, Аноним (26), 10:25, 06/12/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    На удивление полезная инициатива. Уже и так использую такой uefi образ.
     
     
  • 2.64, vlad1.96 (ok), 12:07, 06/12/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Жму руку! Тоже дивишься от "уровня" тех. подкованности местных анонимусов? :)
     

  • 1.28, ryoken (ok), 10:28, 06/12/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Подскажите, с целью повышения уровня образованности. А вроде же можно собссно весь initrd вкрутить в ядро..?
     
     
  • 2.41, Аноним (41), 10:50, 06/12/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Можно,но будет медленно работать.
     
     
  • 3.48, ryoken (ok), 11:09, 06/12/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > Можно,но будет медленно работать.

    А что именно будет медленно? Запускаться..? Ну это терпимо, современные накопители довольно-таки быстрые.

     
  • 2.77, Аноним (11), 12:41, 06/12/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Можно, но не нужно.

    Так же можно зуб выдернуть через разрез в щеке)

     
  • 2.92, Пряник (?), 13:39, 06/12/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Так вроде так и есть в некоторых дистрибутивах. По крайней мере точно помню, что не везде используется initrd/dracut. Да и не сразу они появились.
     
  • 2.207, anonymos (?), 20:30, 07/12/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Не только можно, но и нужно!
    Правда нужно уметь "готовить" ядро линукс, и понимать как устроен initram )))
    Я даже больше скажу.
    Если initramfs впилить в ядро, а само ядро сделать efiboot, то загрузчики типа grub нафиг становятся не нужны )))
     
     
  • 3.208, ryoken (ok), 08:28, 08/12/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > Я даже больше скажу.
    > Если initramfs впилить в ядро, а само ядро сделать efiboot, то загрузчики
    > типа grub нафиг становятся не нужны )))

    EFI Stub поддерживается с 3.10 версии.
    Если взять мой любимый rEFInd в качестве бут-менеджера - груб вообще сильно опционален (ну, это если у вас фирмваре на материнке не двинутое на всю голову, как на моей S5520SC :D ).

     

  • 1.32, Ю.Т. (?), 10:35, 06/12/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    Ну если ключи, то выгодополучатели понятны. Смотрю, они эти овладения как бы в розницу рассыпают по дистрам. Потом кааак в одну кучу.
     
     
  • 2.33, Аноним (6), 10:37, 06/12/2023 [^] [^^] [^^^] [ответить]  
  • +4 +/
    > выгодополучатели понятны

    Этот кажется о чем-то догадывается…

     
  • 2.46, Аноним (46), 11:02, 06/12/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Да да ты понял что такое окно Овертона.
     
  • 2.230, Аноним (229), 11:37, 10/12/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    о, типичный иксперт вылез, для которого любая криптография - непонятная хрень
     

  • 1.34, Аноним (34), 10:37, 06/12/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +5 +/
    Контроль хомячков он такой.
    Сначала типа фишка, потом принудиловка, а потом неудобная страна просто не загрузится.
    Бедное "Федорино коре", как над ним только не издеваются.
     
     
  • 2.36, Аноним (6), 10:41, 06/12/2023 [^] [^^] [^^^] [ответить]  
  • +4 +/
    А ты думаешь почему в американской военке до сих пор используют 8 дюймовые дискеты? На новый макпук про уж явно могут наскрести.
     
     
  • 3.43, Аноним (46), 11:00, 06/12/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Потому что переделывать систему ядерного щита дорого. А результат обороноспособности особо не добавит. Ракета все же достаточно тупое устройство там особо нечего вычислять.
     
     
  • 4.47, Аноним (6), 11:04, 06/12/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > Ракета все же достаточно тупое устройство там особо нечего вычислять.

    Ракеты и ПВО это вечная гонка меча и щита.

     
     
  • 5.49, Аноним (46), 11:13, 06/12/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Ну допустим 8 дискеты убрали в 2019 году, но единственная межконтинентальная ракета США которая сейчас есть разработана в 1970 году.
     
     
  • 6.222, Аноним (-), 15:51, 08/12/2023 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > Ну допустим 8 дискеты убрали в 2019 году, но единственная межконтинентальная ракета
    > США которая сейчас есть разработана в 1970 году.

    Не в обиду, но как показали натурные испытания, PAC-3 какого там года - сносит "несбиваемые" кинжалы более других годов разработки и выпуска.

    С другой стороны, вооооон в телеге матюки экспертов что С-400 kinetic kill в отличие от не умеет - и когда оказывается что в ту игру могут играть и двое, взяв atacms, оказывается, С400 с ней как раз ничего особо сделать и не может. А даты разработки, опять же... когда С400 разработали, а когда ту раннюю модификацию atacms которую и утилизируют своим ходом.

     
  • 4.78, anonymous (??), 12:41, 06/12/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    не совсем так, разрядность данных нужна огромная и скорость обработки плюс очевидно надежность. До сих пор это умеют "не только лишь все".
     
     
  • 5.142, Аноньимъ (ok), 20:45, 06/12/2023 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Не выдумывайте.

    Там не скорость а система реального времени. Многое "считает" аналогавая электроника.

    Ракете нужно попасть по цели, и это вот очень тяжело, но совсем не невероятными объёмами вычислений, а сложностью полёта и навигации в экстремальных условиях.

    При этом на всякий жпс полагаться нельзя. Спутники могут и сбить.

    Крылатые ракеты тоже большими мозгами не блещут.

    Короче нет там никаких объёмов данных от слова совсем.

     
     
  • 6.224, Аноним (-), 16:12, 08/12/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Прикольная опечатка И таки нет - ЭТО амеры давно уже выкинули нафиг В силу ник... большой текст свёрнут, показать
     
     
  • 7.226, Аноньимъ (ok), 16:51, 08/12/2023 [^] [^^] [^^^] [ответить]  
  • +/
    По спутникам есть жёсткие соглашения Но вообще, могут грохнуть От конкретных ц... большой текст свёрнут, показать
     
  • 2.44, FF (?), 11:01, 06/12/2023 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Ну вы же уже не собираете из исходников, а качаете из репов бинари в пакетах?
     
     
  • 3.60, Аноним (60), 12:04, 06/12/2023 [^] [^^] [^^^] [ответить]  
  • +/
    кое-кто сделал сборку из исходников ресурсозатратным и неподъёмным занятием.
     
  • 2.75, birdie (ok), 12:37, 06/12/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Это контроль лютого решета, которым является initrd на данный момент.

    Fedora оставляет возможность его использовать, если вам нравится.

     
  • 2.146, Аноним (-), 21:23, 06/12/2023 [^] [^^] [^^^] [ответить]  
  • +/
    >а потом неудобная страна просто не загрузится

    Я вообще удивляюсь, что неудобная страна вообще как-то существует: то сборки на десятилетних зионах без половины новых инструкций считаются в ней перспективными, то цена банана падает ниже цены моркови и то при том, что в стране климаты сугубо с умеренного по арктический и бананы в ней не растут, а морковь - таки да.

     

  • 1.61, Витюшка (?), 12:05, 06/12/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Ещё один бред для десктопной системы. Переписать эти образы, без root нельзя. И непонятна ценность.

    А вот то что все приложения пользователя имеют доступ ко всем данным других приложений и ключам SSH, так это...и тааак сойдёт;))

     
     
  • 2.67, pic (?), 12:23, 06/12/2023 [^] [^^] [^^^] [ответить]  
  • +/
    flatpak, snap, appimage
     
     
  • 3.69, vitalif (ok), 12:27, 06/12/2023 [^] [^^] [^^^] [ответить]  
  • +/
    и всё кривое и вендорлочное, ага, спасибо
     
     
  • 4.74, pic (?), 12:36, 06/12/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > и всё кривое и вендорлочное, ага, спасибо

    Не благодари, сам бы ты не смог, да и за 30 лет тоже мало кто захотел.

     
  • 4.98, emdash (?), 13:53, 06/12/2023 [^] [^^] [^^^] [ответить]  
  • +/
    никто не запрещает поднимать свои репозитории флатпака, а аппимадж вообще просто сквошфс образ с библиотеками и исполняемым файлом, там просто никакого вендоиа нет
     
     
  • 5.159, vitalif (ok), 01:01, 07/12/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > никто не запрещает поднимать свои репозитории флатпака, а аппимадж вообще просто сквошфс
    > образ с библиотеками и исполняемым файлом, там просто никакого вендоиа нет

    ну да, про аппимейдж я конечно загнул, он норм

    но всю систему в него если запихнуть один хрен получишь винду, так что всё равно толку мало

     
  • 2.130, Прыгающий Ленивец (?), 19:53, 06/12/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > все приложения пользователя имеют доступ ко всем данным других приложений и ключам

    Кто же вам виноват что вы ключи в нешифрованом виде держите

     
     
  • 3.192, Витюшка (?), 13:48, 07/12/2023 [^] [^^] [^^^] [ответить]  
  • +/
    А при чём тут это?)
    А остальные данные? Или вы предлагаете хранить 100500 паролей в голове чтобы расшифровывать данные?
    И что я должен зашифровать чтобы у меня из хрома не свистнули все пароли? Или из Файрфокса?
     
  • 2.141, Аноним (113), 20:44, 06/12/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Про пространства имен в ядре не слышал? Про eBPF? Хочешь, хоть обызолируйся, даром, никто не уйдет обиженным.

    Покажи мне такое в Пинде, где программы до сих пор под себя гадят из-под админа.


     
     
  • 3.191, Витюшка (?), 13:33, 07/12/2023 [^] [^^] [^^^] [ответить]  
  • +/
    "Про медь и железо слышал? Хоть обстройся космических кораблей и самолётов! Где ты такое видел?".

    И где это всё есть чтобы работало из коробки, а не было где-то внутри системных вызовов ядра?

    Или ты предлагаешь написать несколько десятков тысяч строк кода, а может и сотен чтобы это всё заработало?)))

     
     
  • 4.225, Аноним (225), 16:21, 08/12/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > И где это всё есть чтобы работало из коробки, а не было где-то внутри системных вызовов ядра?

    https://github.com/containers/bubblewrap/
    https://github.com/flatpak/flatpak/
    https://github.com/netblue30/firejail/
    https://github.com/evilsocket/opensnitch/

     
  • 3.193, Витюшка (?), 13:51, 07/12/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Это как сказать что для построения базы данных всё есть - функции read и write.
     

  • 1.62, Аноним (57), 12:06, 06/12/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +5 +/
    Утром встанешь - /usr/ набок ,а /sbin/ взъерошена.
     
  • 1.80, Аноним (-), 12:43, 06/12/2023 Скрыто ботом-модератором [﹢﹢﹢] [ · · · ]     [к модератору]
  • +/
     
  • 1.83, Аноним (83), 13:07, 06/12/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Это как-то поможет с проблемами с неподписанными модулями Virtualbox при использовании Secure Boot?
     
  • 1.108, Tron is Whistling (?), 15:14, 06/12/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Я во всём этом вижу единственный плюс.
    Образ можно будет стартануть прямо из UEFI shell без всяких прокладок вида GRUB.
     
     
  • 2.116, Аноним (113), 17:55, 06/12/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Вот прям сейчас можешь собрать dracut'ом (--hostonly --uefi /boot/EFI/linux.efi) initrd в efi-программу и стартануть systemd-boot'ом. Унификация и подписи тебе зачем?
     
     
  • 3.157, Tron is Whistling (?), 00:30, 07/12/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Ну так это и есть унифицированный UKI внезапно.

    Что до подписей, подписи сбоку, если секурбута нет - то и нафиг они не упёрлись.

     
     
  • 4.162, Аноним (113), 01:26, 07/12/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Унифицированным он будет, когда из пакетного менеджера для всех одинаковый прилетать будет. А когда я сам собрал, модулей туда напихал на свой вкус, то он мой уникальный, собственный, "кастомный". И этот вариант уже много лет доступен.

     
     
  • 5.177, Tron is Whistling (?), 10:35, 07/12/2023 [^] [^^] [^^^] [ответить]  
  • +/
    В принципе тоже давно пора - в образ таки запихивать все модули, как минимум для десктопов и серверов оправдано, не для эмбедовки конечно. А какие модули грузить на взлёте - подавать собственно конфигурацией. То, что драцут делает - это редкостное извращение. Всё остальное можно подхватить с корневой FS после загрузки модулей.
     
  • 2.155, Свидетель секты коры дуба (?), 00:20, 07/12/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Ты это можешь сделать прямо сейчас. Ядро поддерживает загрузку прямо из uefi. У меня так запускается система, правда выигрыша никакого нет в скорости если юзать grub с нулевой задержкой.
     
     
  • 3.158, Tron is Whistling (?), 00:35, 07/12/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Ядро загрузку из UEFI давно поддерживало.
    Проблема всегда была в выносном initr(d|amfs), который внедрить можно было только при сборке ядра.
    UKI как раз помимо всякой околосекурной шелухи именно эту проблему и решает.
     

  • 1.112, Аноним (112), 17:36, 06/12/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    > на модернизированный процесс загрузки, предложенный Леннартом Поттерингом.

    Во как! Целая корпорация слушается и идёт на поводу у какого-то энтузиаста! Это правда, 1000%

     
     
  • 2.149, crypt (ok), 23:11, 06/12/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    я до сих пор не понимаю, откуда взялся этот человек и почему всего его слушают, включая даже комитет дебиан:(
     
     
  • 3.231, Аноним (229), 11:43, 10/12/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    потому что этот человек предлагает и главное, реализует отличные идеи, в отличие от тебя и местных икспердов-лузеров с корой дуба, способных только ныть и $рать в комментариях
     

  • 1.120, Аноним (120), 18:50, 06/12/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Как ради интересов нескольких корпорастов усложнить жизнь всем пользующим ОС не для загрузок со Стима. Ждем восторженных возгласов опеннетовских Табаки как в Линукс стало еще лучше, чем у других.
     
  • 1.131, Аноним (71), 19:58, 06/12/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Удивительно, как полные ид-ты в безопасности не хотят ее.

    И после этого меня уверяют, что де Линукс - более безопасен. Ржу.

    Initrd evil maid - пожалуйста.

    Sudo без пароля - пожалуйста.

    Ввод пароля не защищен от sniffing - пожалуйста.

    Ядро не защищено от evil user space - пожалуйста. В windows есть VBS/HVCI для этого.

    "Я хочу использовать virtualbox, как меня бесит secure boot, отключу ка его" - пожалуйста.

    И ещё десятка два примеров, когда псевдо-интеллектуалы ИТ'ки намеренно либо отключают механизмы безопасности, либо не используют их, либо их нет вообще.

    Линукс, сказали они.

    Безопасность, сказали они.

    Посмешище. Стыд и срам.

     
     
  • 2.140, Аноним (113), 20:37, 06/12/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Зачем линуксоиду самому от себя защищаться? Он пока в здравом уме. И железо использует по назначению, а не для прогревания атмосферы ради чувства ложной безопафосности.

    Это в Пинде ты весь такой защищенный, только без антивиря с закрытым исходным кодом, работающем на магии, из дому выходить страшно, а твои данные плейнтекстом копируются на сервера M$ и производителя антивира.

     
  • 2.144, Аноним (113), 20:54, 06/12/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Тем, кому надо, шифруют диск и где попало его не бросают, а загрузчик на отдельное устройство выносят. А все твои патентованные, для-кого-надо-дырявые, средства защиты загрузки идут в Пинду за ключами и дозволениями от господ.

    А пароль вводить можно и без Иксов, и графического сервера вообще. А удаленный логин зарубить совсем. Или сделать парой ключей. Хотя псевдо-интеллектуалы не догадаются, ведь они слышали звон, да не знают где он. Потому что с закрытой Пинды с бэкдором не слезают, пока бэкдор не заболит.

     
     
  • 3.232, Аноним (229), 11:46, 10/12/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > за ключами и дозволениями от господ

    то есть ты не понял суть UKI вообще, ноль, зиро

     
  • 2.150, crypt (ok), 23:18, 06/12/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Забавно. Линуксоиды жалуются, потому что их ограничили. Виндузнятники - потому что защита от дурака недостаточно мощная. Посижу-ка я на FreeBSD, где меня никто не трогает.

    p.s.

    А я 10 лет назад говорил, что человек, который любит мак и виндовс, сделает из линукса еще один виндовс только хуже.

     
     
  • 3.154, Свидетель секты коры дуба (?), 00:17, 07/12/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > сделает из линукса еще один виндовс

    Пока что даже в первом приближении не сделали. Линепс как был неюзабельным на десктопе, так и остаётся таковым. Уж молчу про вырвиглазный неуклюжий дизайн мейнстримовых DE и отсутствие профессионального софта.

     
     
  • 4.197, crypt (ok), 14:04, 07/12/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    ну что значит не сделал в первом приближении..? BSOD есть? есть!

    https://www.opennet.ru/opennews/art.shtml?num=60248

     
     
  • 5.233, Аноним (229), 11:47, 10/12/2023 [^] [^^] [^^^] [ответить]  
  • +/
    ты дальше названия-то хоть прочитал, трепло?
     
  • 3.163, Аноним (113), 01:28, 07/12/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Я линуксоид, не жалуюсь, всем доволен. А виндузятники всё время стонут, у них кактус, который они всё это время ели-ели, ели-ели, теперь назад выходит. Хотя мы их предупреждали...
     
     
  • 4.173, crypt (ok), 08:30, 07/12/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > Я линуксоид, не жалуюсь, всем доволен. А виндузятники всё время стонут, у
    > них кактус, который они всё это время ели-ели, ели-ели, теперь назад
    > выходит. Хотя мы их предупреждали...

    ну жди, когда тебе Поттер очередной д-сервис впиндюрит...

     
     
  • 5.234, Аноним (229), 11:48, 10/12/2023 [^] [^^] [^^^] [ответить]  
  • +/
    пока что все, что он сделал - прекрасно работает и делает жизнь линуксоида лучше, а ноют местные ретрограды на коре дуба
     
  • 4.217, Аноним (-), 14:41, 08/12/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > Я линуксоид, не жалуюсь, всем доволен. А виндузятники всё время стонут, у
    > них кактус, который они всё это время ели-ели, ели-ели, теперь назад
    > выходит. Хотя мы их предупреждали...

    Дык как видишь, за какие-нибудь btrfs/zfs/что там - лучше всего знают те кто ими не пользуется. В бсде эксперты те кто ее в лучшем случае через putty.exe ковыряет. Как лучше в линухе - лучше всего знают эксперты с нтфс и прочими маками.

    В общем не зря говорится что в пустой бочке - звона больше. А до того как верить информации в интернете, независимо от того насколько официально или пафосно оно смотрится - ее нужно трижды перепроверить самому.

     
  • 3.190, mos87 (ok), 12:56, 07/12/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Сиди Джо, сиди.
     
  • 2.151, Аноним (68), 23:18, 06/12/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Удивительно, как полные ид-ты в безопасности не хотят ее.

    да много вас таких - даже не знаете что Linux спокойно работает без initrd

     
     
  • 3.165, Аноним (165), 03:03, 07/12/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Линyпс и на втором пне «работает». Только работой это можно назвать весьма условно.
     
  • 3.171, User (??), 07:53, 07/12/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Иииии какое отношение этот факт имеет к вопросам безопасности в linux, озвученным выше?
     
  • 2.175, Аноним (68), 09:57, 07/12/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > В windows есть VBS/HVCI для этого.

    аналог для linux

    https://github.com/heki-linux

    > И после этого меня уверяют, что де Линукс - более безопасен. Ржу.

    как отключить в венде

    https://www.techspot.com/news/97963-default-windows-setting-can-restrict-gamin

     
     
  • 3.182, Аноним (71), 11:23, 07/12/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Спасибо, а когда в mainline? Через 15 лет?
     
     
  • 4.185, Аноним (68), 11:48, 07/12/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > а когда в mainline?

    зачем тебе майнлайн ? на гитхабе корпорации сотрудниками корпорации написано, безопасно значит

     

  • 1.206, Kuromi (ok), 18:48, 07/12/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    "При вызове образа UKI из UEFI предоставляется возможность проверки целостности и достоверности по цифровой подписи не только ядра, но и содержимого initrd, проверка достоверности которого важна, так как в данном окружении осуществляется извлечение ключей для расшифровки корневой ФС. "

    То ради чего все затевается. Больше подписей, больше проверок. Пользователь не должен иметь даже мысли о том чтобы обмануть железку за которую сам заплатил, ведь мы все понимаем, что на самом деле и эта железка и он сам - чья-то собственность, а вещь вещью владеть не может.

     
     
  • 2.228, крокодил мимо.. (?), 13:11, 09/12/2023 Скрыто ботом-модератором     [к модератору]
  • +/
     
  • 2.235, Аноним (229), 11:50, 10/12/2023 [^] [^^] [^^^] [ответить]  
  • +/
    кто тебе мешает своим ключом подписать, трепло?
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру