Исследователи безопасности из группы Zero, созданной компанией Google для предотвращения атак, совершаемых с использованием ранее неизвестных уязвимостей, опубликовали (https://googleprojectzero.blogspot.ru/2017/05/exploiting-lin...) технику эксплуатации уязвимости (CVE-2017-7308 (https://security-tracker.debian.org/tracker/CVE-2017-7308)) в ядре Linux, позволяющей поднять свои привилегии в системе через передачу специально оформленных параметров при манипуляции с RAW-сокетами AF_PACKET. Опубликован (https://github.com/xairy/kernel-exploits/tree/master/CVE-201...) прототип эксплоита, работоспособного в Ubuntu 16.04.2 с ядром 4.8.0-41-generic с включенными механизмами защиты KASLR, SMEP и SMAP. Проблема была выявлена в результате fuzzing-тестирования системных вызовов ядра Linux.
Уязвимость вызвана целочисленным переполнением в функции packet_set_ring() для сокетов AF_PACKET. Примечательно, что это вторая уязвимость в packet_set_ring() за последнее время, похожая проблема (CVE-2016-8655) была выявлена (https://www.opennet.ru/opennews/art.shtml?num=45632) в конце прошлого года. Для атаки злоумышленник должен иметь полномочия CAP_NET_RAW, которые необходимы для создания сокетов AF_PACKET. В Ubuntu и Fedora данные полномочия можно получить через использование пространств имён идентификаторов пользователей (user namespace), которые включёны по умолчанию. Проблема проявляется в ядрах до 4.10.6.В Ubuntu (https://www.ubuntu.com/usn/usn-3256-1/) и Fedora (https://bugzilla.redhat.com/show_bug.cgi?id=1437406) проблема была устранена в апрельском обновлении пакетов с ялром. Для SUSE 12 и openSUSE исправление было выпущено (https://bugzilla.novell.com/show_bug.cgi?id=CVE-2017-7308) несколько дней назад. Red Hat Enterprise Linux 5/6 и SUSE 11, проблеме не подвержены, а в RHEL 7 и Debian для эксплуатации требуется (https://bugzilla.redhat.com/show_bug.cgi?id=CVE-2017-7308) явное предоставление полномочий CAP_NET_RAW. В Android право создавать сокеты AF_PACKET имеет процесс mediaserver, через который может быть эксплуатирована уязвимость.
URL: https://googleprojectzero.blogspot.ru/2017/05/exploiting-lin...
Новость: http://www.opennet.ru/opennews/art.shtml?num=46526
...и опять userns... (в альте подумали и перевели в вид "если хочешь сидеть на этой пороховой бочке, включай своей рукой" как бы не ещё при первом CVE на сей счёт, помнится)
Эти user namespaces, как и контейнеры со своим root-ом, просто раздолье для атак на системные вызовы, позволяя без назначения capabilities обращаться к любым подсистемам ядра.Итог: user namespaces и root-права в контейнере и без уязвимостей уже дыра в безопасности.
> Эти user namespaces, как и контейнеры со своим root-ом,
> просто раздолье для атак на системные вызовыИменно.
Причём тут namespaces, нехера преобразовывать типы в середине кода,
чтоб заткнуть компилятор про сравнение unsigned и signed> (int)(req->tp_block_size - BLK_PLUS_PRIV(req_u->req3.tp_sizeof_priv)) <= 0)
Для контейнеров задавать Capabilities таки нужно.
Я же говорил альт эта крута Шигорин обясни им
Спрашиваю не ради флейма а ради интереса: альт реально чем-то хуже десятка других дистров? Или ваше (и не только) отношение вызвано исключительно тем, что сотрудники альта тут пишут, а сотрудники вашей любимой федоры/убунты/дебиана/слаквари нет?
Иногда мне кажется, что Шигорин на самом деле сотрудник не альта, а какого-то другого конкурирующего дистрибутива, потому как никто не делает здесь для альта такую антирекламу, как Шигорин. Что касается технической части, то я также спрашивал у Шигорина, в чем преимущество у альта, на что он мне начал говорить про какое-то "договороспособное руководство". https://www.opennet.ru/openforum/vsluhforumID3/109979.html#6
Каким там годом помечены последние движения на сайте АлтЛинух?
вы зря так , там очень прикольные обои
Вы хотели сказать нескучные, нескучные обои.
Это же самое важное!!1 В моём дистрибутиве очень ОЧЕНЬ скучные обои. Срочно перехожу на Альт, там нескучно!
Ребята, давайте на чистоту: вы не любите Мишу. Альт тут вообще не при чём. :)
Сам Альт вообще не так уж плох. Сравнить с халтурой поделкой, типа Astra - так небо и земля.
Которую сравнить с поделкой попова, которую сравнить с результатом прыганья обезьян на клавиатуре.
Любой "национальный" дистр плох по определению, если это не проект по допиливанию чего-то более распространённого под нужды конкретной конторы/городской управы. И то грех такие штуки в виде отдельного дистрибутива организовывать.
> Любой "национальный" дистр плох по определениюПочему?
Вот федора, например, типичный американский национальный дистр, воплощающий американские народные заморочки типа патентов на ПО.
А типичный российский нациоанальный дистр должен воплощать заморочки на тему росспила ;)
Есть подозрение, что западные партнёры более продвинуты в этом (распил) вопросе.
Какой "типичный американский национальный дистр"? Вы о чём?"The Fedora Project is a partnership of Free software community members from around the globe." (https://fedoraproject.org/wiki/Overview)
All your globes are belong to US.
"Are" не надо, просто "belong". А то вероятный противник вас сразу раскусит ;)
> "Are" не надо, просто "belong". А то вероятный противник вас сразу раскуситНадо, Фёдор, надо.
http://lurkmore.to/All_your_base_are_belong_to_us
https://en.wikipedia.org/wiki/All_your_base_are_belong_to_us
"...popular Internet meme based on a broken English ("Engrish") phrase..."
>Вот федораFedora полигон для тестирования новых фич RHEL. Более того, сделан по индивидуальной инициативе (RH его поддерживает постольку-поскольку). И бабло Fedora не приносит в отличие от "нац. дистрибутивов".
Кроме того, по закону США все что делается в правительстве для масс -- национальное достояние. А у нас для попилов.
> Любой "национальный" дистр плох по определению,странное это у вас "определение".
> такие штуки в виде отдельного дистрибутива организовывать.
такие - и незачем, совершенно.
А универсальный - очень даже. Это даже оставляя в сторонке, как оно было во времена, когда alt только задумывали - из серии "хочешь в grep поддержку collate? Скопируй из дерева freebsd, и собери make _FreeBSD=1 , только те два изменения, которые на самом деле специфичны, а не патч для локали, не забудь назад откатить". И в ста местах - наоборот, оторвать странные идеи по поводу обработки старшего бита, придуманные кем-то, кто краем уха слышал про кодировки, отличные от ansi, но зачем-то полез код писать, не поинтересовавшись, как они на самом деле работают.
Правда, конкретно alt, насколько я знаю, никогда не задумывался как "национальный".
> Любой "национальный" дистр плох по определению, если это не проект по допиливанию
> чего-то более распространённого под нужды конкретной конторы/городской управы. И то грех
> такие штуки в виде отдельного дистрибутива организовывать.Национальный дистр должен быть сделан с нуля, используя уже имеющиеся наработки, страна большая, матерых спецов полно, нефти и газа, чтобы им зарплату платить - тоже, если бы государству нужна была такая ось - давно бы была.
> Любой "национальный" дистр плох по определению, если это не проект по допиливанию
> чего-то более распространённого под нужды конкретной конторы/городской управы.Нет, конечно. Если патентное право какой-либо страны запрещает распространение или использование кода, то международный дистрибутив не имеет возможности включить этот код, даже если он востребован на рынке. Однако "национальный" дистрибутив в стране, не признающей эти патенты, вполне может поставлять их. В том числе "из коробки".
Ну, насчет Астры я бы поспорил. Вот МСВС - другое дело.
Согласен с анонимом чуть выше.
Вот я лично ничего против ни Шигорина на Альта не имею. Альтом пользовался когда не было альтернатив (релиз 3), теперь не пользуюсь и пока не собираюсь.
Но когда в каждой новости мне пишут про "великий альт" - вот это раздражает и да - это самая настоящая антиреклама.
> Но когда в каждой новости мне пишут про "великий альт" - вот
> это раздражает и да - это самая настоящая антиреклама.Чего-чего, не видел здесь ни одной новости с упоминанием Alt Linux, кроме непосредственных новостей про релизы Alt. Написание в комментариях к новости не значит впаривание чего-то в самой новости.
> Написание в комментариях к новости не значит впаривание чего-то в самой новости.Karpov, залогинься.
> Иногда мне кажется, что Шигорин на самом деле сотрудник не альта, а какого-то другого
> конкурирующего дистрибутива, потому как никто не делает здесь для альта такую
> антирекламу, как Шигорин.Мне на утверждениях подобной степени категоричности (только более взвешенных, как мне кажется) некоторые люди здесь говорили, что стоит в явном виде прописывать "IMHO"; подумал и решил к ним прислушаться, могу и Вам предложить подумать.
> Что касается технической части, то я также спрашивал у Шигорина, в чем преимущество
> у альта, на что он мне начал говорить про какое-то "договороспособное руководство".
> https://www.opennet.ru/openforum/vsluhforumID3/109979.html#6Хорошо, что дали ссылку -- стоит пройти и прочесть контекст Вашего вопроса и моего ответа по ней. Кто знаком с повадками _руководства_ Русбитеха (поскольку Вы прямым текстом спрашивали и про Astra), тот поймёт, почему это не "какое-то", а критично важно.
Про остальное постарался ответить там же, не вижу сейчас смысла повторяться, кроме краткого "бывает полезней знать неочевидные недостатки, а не очевидные достоинства".
> > Иногда мне кажется, что Шигорин на самом деле сотрудник не альта
> стоит в явном виде прописывать "IMHO";По-моему, тут и так указано, что это имхо. "Мне кажется" имхо и есть.
> Спрашиваю не ради флейма а ради интереса: альт реально чем-то хуже десятка других дистров?Самое забавное, что нет. Местами даже лучше. Посмотрите на сизиф, hasher, gears. Ребята не фигнёй страдают - это точно.
> Или ваше (и не только) отношение вызвано исключительно тем, что сотрудники альта тут пишут
Сотрудники - сильно сказано. Тут пишет ровно один сотрудник Альта. )
> Посмотрите на сизиф, hasher, gears.Смотрю. 14-й год.
> Тут пишет ровно один сотрудник Альта. )Ну почему -- порой заглядывает cas@ (Skull), изредка видал boyarsh@, sem@ и aen@ со smi@. Но "пишу", пожалуй, и впрямь я.
> Спрашиваю не ради флейма а ради интереса: альт реально чем-то хуже
> десятка других дистров?десятка - нет, ничем не хуже.
Чем вообще отличаются нормальные (не узкоспециализированные и не болгеносные) дистрибутивы? Идеями, вызвавшими необходимость действовать в виде отдельного проекта, и качеством реализации (которое зависит сегодня не столько от вложенного труда, сколько от того, насколько далеко в сторону от мэйнстрима ушел проект).
Идея "влезть на 'вертикальные рынки' в одной ресурсной ფედერაცია" ничуть не хуже идей "героически истребим все непохожее на gnu" или "древнее африканское слово для тех, кто не может одолеть debian'овский установщик"Если говорить не о десятке, а о чем-то пригодном к коммерческой эксплуатации (во что там играет админ локалхоста, глубоко пох) - там "есть ньюансы".
btw, не включенные user namespaces - вряд ли сегодня особо хорошая идея в этом плане. Потому что всякие поделки уже привыкли на них полагаться.
В общем-то беда любого дистрибутива линyпса ровно в этом - поскольку ты только называешься разработчиком, а на самом деле ты собиратель пакетиков, разрабатываемых _не_тобой_, причем по кругу зависящих друг от друга - никуда особо деться с подводной лодки ты не можешь. Можно либо упорно избегать новых фич и версий - и останешься на обочине, прогресс уедет мимо, либо героически пилить и пилить форки _всего_, а прогресс все равно проедет мимо, потому что угнаться за стадом мелкой группой не выйдет.
Хотите изменить мир - вам в Free/NetBSD. Правда, лучше было это сделать уже лет десять назад.
> btw, не включенные user namespaces - вряд ли сегодня особо хорошая идея в этом плане.Их можно включить, но именно волевым движением принимающего за это ответственность (даже не знаю, стоит ли документировать ручку на вики).
> Потому что всякие поделки уже привыкли на них полагаться.
Это неплохой фильтр поделок, в своём роде. Примерно как Alpha на маршрутизаторе ;-)
> В общем-то беда любого дистрибутива линyпса ровно в этом - поскольку ты
> только называешься разработчиком, а на самом деле ты собиратель пакетиков,
> разрабатываемых _не_тобой_, причем по кругу зависящих друг от друга - никуда особо
> деться с подводной лодки ты не можешь.Не совсем любого -- федора пишет о принятой локомотивной роли прям на вывеске (сузя этот бой проиграла, разве что ещё сделав бросок и закрепившись на тематике OBS), скажем.
> Можно либо упорно избегать новых фич и версий - и останешься на обочине,
> прогресс уедет мимоВ целом бутстрап альта на эльбрусе показал, что жизнь --without selinux --without java --without systemd --without pulse _на данном этапе_ вполне возможна, хотя тенденции и впрямь нездоровые.
_Но_ тенденции такие в основном идут всё-таки из федоры и около, а не из того "длинного хвоста" самостоятельных апстримов собственно функционального ПО.
> либо героически пилить и пилить форки _всего_, а прогресс все равно проедет мимо,
> потому что угнаться за стадом мелкой группой не выйдет.Не, далеко не всего. Можно на LVEE обсудить отдельным workshop'ом ;-)
> Хотите изменить мир - вам в Free/NetBSD.
> Правда, лучше было это сделать уже лет десять назад.Ой не знаю, Dear Netch лет пять-семь тому не очень хорошо отзывался о вменяемости фрёвых разработчиков как сообщества -- мол, уж лучше net или open. Сейчас по вменяемому человеку из net и open всё так же знаю, но менять _тот_ мир всё так же не тянет.
Думаю, для этого MSFT 2.0 в виде RHAT с основными описанными тем же Спольски в "войне API" тяжёлыми вооружениями ключевым фактором всё-таки будет общее состояние штатовской экономики. Ну а мы пока на бережку и пакетики пособираем, и инфраструктурой продолжим заниматься. Потому как дистрибутивы -- это не только пакетная база per se, сами понимаете.
В общем же альт изначально был этаким сборищем перфекционистов и практиков, которые между собой умудряются найти точки соприкосновения, а вот с уже существующими major distros или даже не очень major, но всё-таки живыми -- не сложилось.
PS: тут на https://vk.com/wall-667081_22242 запросили перевод последней фразы -- Skull предложил такой:
---
Если изложить простым языком: «В Альте работают люди, которые хотят сделать не просто хорошо, а идеально. И умудряются при этом договариваться друг с другом. К сожалению, с разработчиками других активно развиваемых дистрибутивов договорится у них получается намного хуже.»
---Поправил его вот так:
---
Захар, Андрей перевёл "с шигоринского" почти точно, за исключением одного временнОго момента: не "получается", а "получилось" — т.е. когда такие люди разочаровываются в других проектах, зачастую более крупных и известных, то приходят со своими идеями и реализациями к нам.
Из примеров: https://bugzilla.redhat.com/195365
---Решил на всякий вернуть сюда.
> ключевым фактором всё-таки будет общее состояние штатовской экономики.
> Ну а мы пока на бережку и пакетики пособираем, и инфраструктурой продолжим заниматься.А что нам еще остается? Ведь с нашей экономикой уже все ясно (
> А что нам еще остается? Ведь с нашей экономикой уже все ясно (Да, с экономикой достаточно неплохо. И главное -- есть всё нужное, чтоб было не хуже.
Лоботрясов, которые стенают за "режим" и не в состоянии сравнить с "благословенными девяностыми" без специальных очков, всерьёз принимать не получается.
> Ой не знаю, Dear Netch лет пять-семь тому не очень хорошо отзывался о вменяемости фрёвых разработчиков как сообщества -- мол, уж лучше net или open.Dear Netch это Валя Нечаев? По поводу вменяемости сообществ, у net своих проблем не меньше: https://habrahabr.ru/post/201618 как и у open (достаточно почитать орхивы misc@). парни из фрёвых могут нахамить иногда, это да, и средний уровень разработчиков подупал -- но это лишь следствие большей популярности и желания привлечь "новую кровь".
>альт реально чем-то хуже десятка других дистров?И даже был бы лучше того другого десятка, если бы не повелись на НенужноД.
> И даже был бы лучше того другого десятка, если бы не повелись на НенужноД.для тех кто так и не понял, разжевываем: повелись не они, а разработчики прикладного софта - начиная от банального screen и заканчивая "десктопами". Без него - что-то с трудом собирается, что-то собирается но в нем что-нибудь не работает, или работает не так как привыкли. Судя по "блестящим" результатам деятельности проекта тухлыйдебиан http://www.opennet.ru/opennews/art.shtml?num=46504 - которые занимаются _только_ этим выпиливанием - из _готового_ проекта, где всего-то достаточно взять и пересобрать только то, что затронуто - задача уже не имеет решения в рамках универсального дистрибутива.
Вы же первыми и начнете ныть, что "все глючит, и ничего нет".
Вы могли бы уточнить, какой screen имеется ввиду?Использую app-misc/screen на Gentoo, даже в use-флагах у него нет systemd.
(сайт https://www.gnu.org/software/screen/)
Поддерживаю: во фре тоже есть sysutils/screen при том что (слава богу) нет никакой системды.
> Поддерживаю: во фре тоже есть sysutils/screen при том что (слава богу) нет
> никакой системды.там как бы и x11/gnome3 _пока_ есть.
А на мелочи типа тут отвалится, там не работает - немногие, кто еще и десктоп держат на фре, давно привыкли внимания не обращать. (впрочем, кто сервер - тоже. Я тут с удивлением изучаю патч имени slw@ - вероятно таки решающий мою проблему, если работает)Но обратите внимание, грабли: вам ведь обещали в 12 "асинхронный инит" ?
> А на мелочи типа тут отвалится, там не работает - немногие, кто
> еще и десктоп держат на фре, давно привыкли внимания не обращать.На самом деле, та же сёрфилка и проигрыватель ютубных котиков через HDMI на телевизоре, даже поспокойнее бубунт будет. Вот у тех регулярно то звук из-за пульсы, то тач-настройка после обновления/отключения отваливался, то еще что-то по мелочи, типа яркости освещения.
Чтобы воткнуть фряху, придется конечно немного повозиться (если все делать с нуля, но вот если уже настройки где-то есть и религиозные соображения не запрещают перекидывать на другой ящик, то не слишком-то и обременительно). А потом оно просто работает. Годами.
При этом, не норовит задолбать очередным недоведенным до ума автоматизмом (из свеженького: та же хубунта на T420, после каждого саспенда "забывает", что подключена к телеящику и радостно запускает диалог "новый экран, хозяина, че делать?", заодно теряя настройки "отключить LCD, пока есть подключение к телеку").
Да и кастомизация фри обычно не превращается в епический гуглеж с продиранием сквозь скриншоты, устаревшие (ведь прошло 2+ года) конфиги и пошаговые инструкции в стиле МС "для самых маленьких", которые еще и не всегда применимы.В общем, опыт и прямое сравнение бубунты с дебиянами и фрей на одном и том же азусе, высе^W асере и четверке тинкпадов как-то не дает согласиться с вами.
Но, конечно, наверняка все дело в том, что "дебиан/бунта какaшка, то ли дело дистр Х" и моих кривых руках, растущих не из того места :)
> Чтобы воткнуть фряху, придется конечно немного повозиться (если все делать с нуля,
> но вот если уже настройки где-то есть и религиозные соображения не
> запрещают перекидывать на другой ящик, то не слишком-то и обременительно). А
> потом оно просто работает. Годами.Именно. Настройка Фри сводится к нескольким строчкам в паре конфигов, и работает потом годами.
Отдельная фича это звук, тут линухам еще расти и расти: https://bsd.slashdot.org/comments.pl?sid=2514866&cid=37985112
Единственное, что периодически вызывает боль, это иксы, но опять же только лишь потому, что апстрим месы и прочего drm это линукс, от того и такое качество кода.
> На самом деле, та же сёрфилка и проигрыватель ютубных котиков через HDMI
> на телевизоре, даже поспокойнее бубунт будет. Вот у тех регулярно тону да - привыкаешь что ничего до конца не работает в принципе, и успокаиваешься.
> звук из-за пульсы, то тач-настройка после обновления/отключения отваливался, то еще
> что-то по мелочи, типа яркости освещения.а под bsd, конечно же, с яркостью все в порядке, регулируется? (это ж у нас acpi, надо полагать, а не видеодрайвер, соответственно, кривой dsdt он и в африке, в смысле, убунте кривой, и во фре таким же останется, если не заменить [хз на что])
> Чтобы воткнуть фряху, придется конечно немного повозиться (если все делать с нуля,
чтобы просто "воткнуть",возиться совершенно незачем - next,next,ok давным-давно уже точно такие же как для хоть убунты, хоть чего.
А найдет ли при этом оно твой телевизор - это уж как повезет. Напоминаю, что те же kms-драйвера у фряхи -плохой клон линуксовых пятилетней давности (в том числе - в виду мучительного цепляния за старую технологию, когда было не принято тащить видеодрайвер в ядро "как в windows" - то есть точное повторение истории).> Да и кастомизация фри обычно не превращается в епический гуглеж с продиранием
кастомизация как фри так и чего угодно - банальное ковыряние в паре конфигов. Можно, но совершенно необязательно - чем-то гуевым. Кастомизация Xorg, гнома или, упаси Б-же, какой юнити, не говоря уже о том что под ними работает - абсолютно одинаковая, потому что первое, второе и третье у нас те же самые. С поправкой вот на то, что нет (пока нет) libsystemd, и все что завязано на нее или на общение через правильный интерфейс, может внезапно и неодолимо глючить. Речь шла о том, что дальше эта тенденция, к сожалению, будет развиваться лавинообразно.
> Но, конечно, наверняка все дело в том, что "дебиан/бунта какaшка, то ли
> дело дистр Х" и моих кривых руках, растущих не из того места :)один раз я могу поставить и настроить (в том числе и отломав ненужный функционал) любой дистрибутив. Но времени на это тратить дюже жалко.
> ну да - привыкаешь что ничего до конца не работает в принципе,
> и успокаиваешься.Можно подумать, в окошках (стояли поначалу на азусе и одном из тинкпадов) все работает. Черный экран после автообновления вполне себе явление и хз. как залочить дрова, не отключая обновления полностью.
>> звук из-за пульсы, то тач-настройка
> а под bsd, конечно же, с яркостью все в порядке, регулируется?Значит, насчет проблем с пульсой возражений нет? )
На азусе под убунтой, яркость регулировалась только костылянием со скриптом и setpci велосипедизмом.
На бзде вроде бы работала, хотя точно не скажу - оно было просто подключено к телевизору в «закрытом» состоянии, пока полтора года назад не приказало долго жить.
На тинкпадах яркость регулируется еще при буте (на двух – точно), а отваливалось в бубунте сохранение яркости. После саспенда выставлялась на минимум. Хз. где там нужно было копать.
Ну и свелосипедить что-то типа
sysctl dev.acpi_ibm.0.lcd_brightness > /var/run/brightnesssysctl -f /var/run/brightness
в rc.suspend, rc.resume не сильно то и сложно.> чтобы просто "воткнуть",возиться совершенно незачем - next,next,ok давным-давно уже точно
> такие же как для хоть убунты, хоть чего.А что, уже иксы и прочее в дефолт завезли? Как и дефолты для десктопа, типа
kern.sched.preempt_thresh=224, включения powerd, вайфая и т.д.?> А найдет ли при этом оно твой телевизор - это уж как
> повезет. Напоминаю, что те же kms-драйвера у фряхи -плохой клон линуксовыхДа пока как-то везло. Даже на двух гибридах с интелем и невидией.
>> Да и кастомизация фри обычно не превращается в епический гуглеж с продиранием
> кастомизация как фри так и чего угодно - банальное ковыряние в паре
> конфигов. Можно, но совершенно необязательно - чем-то гуевым. Кастомизация Xorg, гнома
> или, упаси Б-же, какой юнити, не говоря уже о том что
> под ними работает - абсолютно одинаковая, потому что первое, второе иЧто вам во фразе "епический гуглеж" непонятно-то? Оно-то да, вроде как все должно везде быть одинаково, но вот мелкие детали в виде завелосипеженных автоматизмов, как и отсутствие нормальной документации, вкупе с усердным перепиливанием юзерлэнда раз в год могут причинить «некоторые» неудобства.
> Можно подумать, в окошках (стояли поначалу на азусе и одном из тинкпадов)УМВР, ЧЯДНТ?
> все работает. Черный экран после автообновления вполне себе явление и хз.
> как залочить дрова, не отключая обновления полностью.ну я вот - знаю, "как". Правда, никогда не требовалось.
> Значит, насчет проблем с пульсой возражений нет? )
нет пульсы - нет проблем. Заметим, в винде - работает (да, да, вы думали, откуда эта архитектура содрана?)
> На тинкпадах яркость регулируется еще при буте (на двух – точно), а
штатная фича, отключаемо, кажется, в биосе (в виду отсутствия линуксов на моем - управляется из леновского pm заодно с теми что не при буте)
> отваливалось в бубунте сохранение яркости. После саспенда выставлялась на минимум. Хз.
> где там нужно было копать.где-нибудь в laptop_scripts, вероятно, если их еще в системненужно не засосало с концами. afair, там был хук для wake.
>> чтобы просто "воткнуть",возиться совершенно незачем - next,next,ok давным-давно уже
>> точно такие же как для хоть убунты, хоть чего.
> А что, уже иксы и прочее в дефолт завезли? Как и дефолтынадо выбрать установку не с минимального CD-образа и где-то там да, нажать "хочу иксов". Гом, наверное, да, придется либо выбрать из уродливого списка, либо вовсе по старинке pkg install - ну вон в "тот-же-debian-только-неработает" вообще, говорят, выбрать нельзя теперь, только руками в адовом dselect ;-)
> для десктопа, типа
> kern.sched.preempt_thresh=224, включения powerd, вайфая и т.д.?я бы не назвал это правильным дефолтом для десктопа. Кстати, десктопу-то зачем powerd?
> Да пока как-то везло. Даже на двух гибридах с интелем и невидией.
ну а я вот наслушался страданий. Почему-то предложенный мной вариант - поставить винду и запустить в ней виртуалку, если уж прям получаешь оргазм от наличия фри на десктопе, страдальцы не оценили.
> Что вам во фразе "епический гуглеж" непонятно-то? Оно-то да, вроде как все
непонятно зачем. Я иногда случайно нахожу, и в ужасе закрываю окошко, чтоб не видеть это.
Нет, если ты пытаешься вернуть системе хоть немного предсказуемое поведение - то да, впрочем, не факт что поможет. А если просто чтоб пищалко-перделки срабатывали правильно, и при втыкании флэшки с порнухой она автоматически начинала показываться на телевизоре, то вряд ли для этого понадобится что-то трогать руками. Ну, апдейт еще после установки запустить, наверное. А то сам он может не сразу.
> должно везде быть одинаково, но вот мелкие детали в виде завелосипеженных
> автоматизмов, как и отсутствие нормальной документации, вкупе с усердным перепиливанием
> юзерлэнда раз в год могут причинить «некоторые» неудобства.просто наслаждайся, что перделка из левого нижнего угла переехала в верхний правый. В принципе-то, и похрен, где она, глаза б мои ее не видели. К тому же ms этой глупостью тоже заболели (и да, я тоже могу это отключить, и остаться на старой версии с апдейтами - но лучше я время на что-то менее отвратительное потрачу).
>> Можно подумать, в окошках (стояли поначалу на азусе и одном из тинкпадов)
> УМВР, ЧЯДНТ?Ну дык, было бы странно, если бы до сих пор не починили. Но идея была «гениальная», да. И правда, кто же мог подумать, что производители железок забьют на все, что старше двух-трех лет?
>> как залочить дрова, не отключая обновления полностью.
> ну я вот - знаю, "как". Правда, никогда не требовалось.Я ж и говорю, пользователи недовольны были. Странно было, если бы в редмонде не среагировали. А уж знание, какую гайку на сколько оборотов нужно повернуть у конкретно этого черного ящике ...
>> На тинкпадах яркость регулируется еще при буте (на двух – точно), а
> штатная фича, отключаемо, кажется, в биосе (в виду отсутствия линуксов на моем
> - управляется из леновского pm заодно с теми что не при
> буте)А на кой ее отключать, если оно делает то, что надо - регулирует яркость, да еще и независимо от ОСи?
>> отваливалось в бубунте сохранение яркости. После саспенда выставлялась на минимум. Хз.
>> где там нужно было копать.
> где-нибудь в laptop_scripts, вероятно, если их еще в системненужно не засосало с
> концами. afair, там был хук для wake.Во-во. Оно вроде как все кастомизируется, но вот черт прячется в деталях.
>> для десктопа, типа
>> kern.sched.preempt_thresh=224, включения powerd, вайфая и т.д.?
> я бы не назвал это правильным дефолтом для десктопа.Потому что?
> Кстати, десктопу-то зачем powerd?Чтоб не шумел зря, вестимо. Слипстейты слипстейтами, но дополнительны сброс частоты заметно понижает тепловыделение.
>> Да пока как-то везло. Даже на двух гибридах с интелем и невидией.
> ну а я вот наслушался страданий.А, ну тогда все ясно.
> На самом деле, та же сёрфилка и проигрыватель ютубных котиков через HDMI
> на телевизоре, даже поспокойнее бубунт будет. Вот у тех регулярно то
> звук из-за пульсы, то тач-настройка после обновления/отключения отваливался,
> то еще что-то по мелочи, типа яркости освещения.Необязательно же кидаться в крайности -- если не фря, так непременно убунта.
> Но, конечно, наверняка все дело в том, что "дебиан/бунта какaшка, то ли
> дело дистр Х" и моих кривых руках, растущих не из того места :)Дело во вкусах, а они заведомо из разных мест растут ;)
> обратите внимание, грабли: вам ведь обещали в 12 "асинхронный инит" ?Давно пора. Только причём здесь systemd?
>> обратите внимание, грабли: вам ведь обещали в 12 "асинхронный инит" ?
> Давно пора. Только причём здесь systemd?Так то ж Поттеринг изобрел! Все знают, что до него никакой асинхронщины не было!
> Так то ж Поттеринг изобрелнет, он просто ловко включился в тренд.
до него - да, не было, были runlevel'ы с четкой последовательностью запуска при загрузке - которая была _предсказуема_ и управляема, если надо. У bsd, в виду любви к уродливому иниту, все было существенно хуже, но, в принципе, один раз можно одолеть, а больше редко нужно.
Но вам не надо управляемо, вам надо вжух-работает.
>> обратите внимание, грабли: вам ведь обещали в 12 "асинхронный инит" ?
> Давно пора. Только причём здесь systemd?вот ровно при том, что если старательно делать "как в windows", то оно "как в windows" и получается. А у меня уже одна windows есть - и, в отличие от, прекрасно работает. С асинхронным "инитом"(bsd-style,кстати, без runlevels), бинарными логами оного, хитровыгнутой "регистрацией" сервисов(привет юнитам) и много чем еще, до боли напоминающем.
А вот системы с предсказуемым поведением, где не выскакивают внезапно-сервисы "асинхронно", и где не надо от всех болезней использовать перезагрузку - скоро не будет совсем. Патамушта в ей гом не работает (или, на первых порах, в нем не все работает).
> А вот системы с предсказуемым поведением, где не выскакивают внезапно-сервисы
> "асинхронно", и где не надо от всех болезней использовать перезагрузку - скоро
> не будет совсем. Патамушта в ей гом не работаетДа, затаскивание systemd как pid1 по умолчанию аргументируется именно им, насколько видел. "Коготок увяз".
> x11/gnome3Не нужно, как говорят на ЛОРе. Да и вообще, мало ли дерьма в портах. ;-)
> А на мелочи типа тут отвалится, там не работает - немногие, кто еще и десктоп держат на фре, давно привыкли внимания не обращать.
В том-то и дело, что отваливаются мелочи, в отличие от линукса, где отваливается полсистемы и непонятно как это всё чинить.
> патч имени slw@ - вероятно таки решающий мою проблему, если работает
Слава Ольховченков? Что за патч, что за проблема?
> Но обратите внимание, грабли: вам ведь обещали в 12 "асинхронный инит" ?
Кто обещал, так ли это нужно? УМВР и мне пофигу, синхронно или нет.
>> А на мелочи типа тут отвалится, там не работает - немногие, кто еще и десктоп держат
>> на фре, давно привыкли внимания не обращать.
> В том-то и дело, что отваливаются мелочи, в отличие от линукса, где
> отваливается полсистемы и непонятно как это всё чинить.ну снеси эти "полсистемы", и будет обратно почти фря. Все равно в ней ты гом не используешь - значит, тебе оно и не надо.
> Слава Ольховченков? Что за патч, что за проблема?
виснет оно нахрен. А надысь всплыло: https://reviews.freebsd.org/D7538 - предназначено совсем для другого, но, очень похоже, что заодно и мой мертвый вис устраняет (эмм...правильней, конечно, "загоняет мусор поглубже под коврик", поскольку было б все правильно - оно бы работало с трешингом, а не висло и без патча). И учтите, что лимиты на ARC нам пользовать нынче не велено.
Это вот у нас так _все_ нынче работает.>> Но обратите внимание, грабли: вам ведь обещали в 12 "асинхронный инит" ?
> Кто обещал, так ли это нужно? УМВР и мне пофигу, синхронно иливот для гома и ему подобных и нужно. (ну там еще сказка венского леса на тему "повышения скорости загрузки"[еще один жупел systemd], как обычно - зачем эти одаренные без конца что-то у себя перезагружают - я без понятия, крышку ноута закрыл и домой пошел)
> нет.а мне вот не пофигу - потому что у меня и в винде "все работает". Если не вдаваться в подробности, как оно внутри устроено. А зачем мне вторая винда? Обои скучные...
> Использую app-misc/screen на Gentoo, даже в use-флагах у него нет systemdтам utempter - который нынче, насколько я успел понять, уже совсем не то, что было раньше (в systemd-богатых системах, у остальных он тупо суидный враппер для записи в wtmp или вовсе отсутствует + набор из трех функций для собственно записи сессии)
поскольку, создавая сессию, уже практически невозможно избежать общения с этим чудом в виде его login-чтототам компоненты. Эх... всего десять лет назад я его удалял сразу после установки, без всяких последствий (разумеется, screen оставался suid root, designed to be)
В этой теме первой идёт ветка с обсуждением АльтЛинукса, так что мне показалось смешным:sys-apps/utempter не установлен.
установлен sys-libs/libutempter, у которого :)
Домашняя страница: http://altlinux.org/index.php?module=sisyphus&package=libute...
ls -la `which screen` ? дай угадаю - он окажется suid?
Или он там вообще сессий не создает?> Домашняя страница: http://altlinux.org/
похоже, это как раз порт freebsd'шной затычки вместо настоящего.
не, не смешно - но можно делать ставки, сколько и чего в результате отвалится при очередном мерже свежих пакетов (с наисвежайшими systemd-only-патчами) и кода им надоест.
> ls -la `which screen` ? дай угадаю - он окажется suid?
> Или он там вообще сессий не создает?
$ ls -la `which screen`
-rwx--s--x 1 root screen 438408 мар 9 19:47 /usr/bin/screen
$ rpm -qf =screen
screen-4.5.1-alt1.x86_64>> Домашняя страница: http://altlinux.org/
> похоже, это как раз порт freebsd'шной затычки вместо настоящего.Растёт он ещё от упакованного в шляпу jbj@, но изрядно допилен ldv@ -- можно его и спросить: https://packages.altlinux.org/ru/Sisyphus/srpms/libutempter/...
>> И даже был бы лучше того другого десятка, если бы не повелись на НенужноД.http://altlinux.org/starterkits
http://altlinux.org/sysvinitУМВР ;-)
> задача уже не имеет решения в рамках универсального дистрибутива.
Помимо эластичной составляющей, в этом сдвиге явно есть и упругая, сдаётся мне...
> http://altlinux.org/sysvinitну чего-то это как-то уже овердохрена "там подпилить, тут подрезать, и в результате все равно кое-что не выглядит идеально".
К тому же я бы предпочел не патчить конфиги polkit, а отправить его туда же, куда и то, чем это уродище было порождено (флэшку я как-нибудь без него смонтирую - если оно мне зачем-то надо)
Однако же ж: The following packages are going to be REMOVED:
ConsoleKit ConsoleKit-x11 (ну это и досведание)
[skip]
kdelibs4 kdelibs4-core (казалось бы, причем тут...)
pm-utils [здравствуйте, приехали] tightvnc [опа] xkeyboard-config xorg-x11 и так далее.windows, как он есть. Только "всем хуже".
>> http://altlinux.org/sysvinit
> ну чего-то это как-то уже овердохрена "там подпилить, тут подрезать,
> и в результате все равно кое-что не выглядит идеально".Да; усилиями непосредственно заинтересованных потихоньку допинываем: https://forum.altlinux.org/index.php?topic=36177.msg299358#m... (результат валится в квартальные сборки стартеркитов -- кстати, лето не за горами и если вдруг что из них глянете да покритикуете, было бы здорово).
> К тому же я бы предпочел не патчить конфиги polkit, а отправить
> его туда же, куда и то, чем это уродище было порождено
> (флэшку я как-нибудь без него смонтирую - если оно мне зачем-то надо)Ну вот я и монтирую.
> Однако же ж: The following packages are going to be REMOVED:
> ConsoleKit ConsoleKit-x11 (ну это и досведание)
> [skip]
> kdelibs4 kdelibs4-core (казалось бы, причем тут...)
> pm-utils [здравствуйте, приехали] tightvnc [опа] xkeyboard-config xorg-x11 и так далее.KDE, однако -- у меня на ноуте с E и WM выглядит так:
apt> remove polkit
Чтобы выполнить эту операцию необходимы изменения, которые не были запрошены.
Следующие пакеты будут УДАЛЕНЫ:
ConsoleKit ConsoleKit-x11 cpu-x entrance pcsc-lite pcsc-lite-ccid pcsc-tools polkit polkit-sysvinit> windows, как он есть. Только "всем хуже".
Зависит ;-)
>Исследователи безопасности из группы ... для предотвращения атак ... опубликовали технику эксплуатации уязвимостиОни точно понимают значение слова "предотвращение"?
Это ж гугл, им напару с мс не западло порасшатывать экосистему линуксов
Да, чувак, вот так вот предотвращают уязвимости: выявляют, сообщают разработчикам, а после исправления публикуют подробный отчёт, чтобы другие на те же грабли не наступали.
> Они точно понимают значение слова "предотвращение"?Вы точно понимаете значение слов "устранено", "выпущено"?
> В Ubuntu и Fedora проблема была устранена в апрельском обновлении пакетов с ядром. Для SUSE 12 и openSUSE исправление было выпущено несколько дней назад.
Принцип "security through obscurity" неочень работает.
Особенно, если это скрыто лично от тебя, но не от всех.
> Опубликован прототип эксплоита, работоспособного в Ubuntu 16.04.2 с ядром 4.8.0-41-generic с включенными механизмами защиты KASLR, SMEP и SMAP.А зачем тогда нужны механизмами защиты KASLR, SMEP и SMAP если они не защищают?
А они должны защитить вот прямо от всего? Для того, для чего они были придуманы - атаки затрудняют (некоторый и большой их класс делают невозможными), да, но предотвратить вообще всё - это нереально.
> должен иметь полномочия CAP_NET_RAW, которые необходимы для создания сокетов AF_PACKET. В Ubuntu и Fedora данные полномочия можно получить через использование пространств имён идентификаторов пользователей (user namespace)так, не понял.. эт что же получается? с какого-то чёрта user_ns разрешает использовать приложению raw-сокеты? не слишком ли жирно?
> так, не понял.. эт что же получается? с какого-то чёрта user_ns разрешает
> использовать приложению raw-сокеты? не слишком ли жирно?он для этого (и похожих вещей) как раз и предназначен. Сюрприз?
а мне то казалось user_ns нужен чтобы *имитировать* повышенные привелегии, в то время как по факту программа так и остаётся в рамках своих лимитов...например chroot сделанный через user_ns -- не способен навредить остальным (в отличии от обычного рутового chroot)..
но ведь raw-сокеты -- они то как раз *способны* навредить?!
> а мне то казалось user_ns нужен чтобы *имитировать* повышенные привелегииразумеется, нет - зачем тебе такая "имитация"?
Он именно для полноценных повышенных привиллегий (с сохранением возможности их делегировать или, наоборот, сбросить), но замкнутых внутри песочницы. Чтобы не давать каждому пользователю, которому приспичило, полноценного рута, хотя бы даже и в виртуалке, сохранив хотя бы видимость контроля за инфраструктурой. Или не бегать за ними всеми выполнять их работу самому, не потому что они с ней не справляются, а потому что побочные эффекты не могут предотвратить.Ну и как с любыми другими песочницами - песочек иногда высыпается сквозь дырки в бортиках. Поскольку именно эта a)новая b) модн...сложная - сыплется чаще, чем из примитивных.
> но ведь raw-сокеты -- они то как раз *способны* навредить?!
ну да. А без них - банальный ping не работает. И мы делаем его suid root, что, потенциально, способно навредить гораздо существенней, если вдруг в банальном парсере ключиков опять что-то прощелкали (а бывало). ping это, разумеется, утрированный пример - он простой, в нем проблем давно не видели. А когда задачка посложнее - неизвестно, какой подход окажется хуже.
> банальный ping не работаетраз в жизни для запуска ping -- можно и до настоящего root снизайти..
..а в контейнерах-всяких -- вообще ping не нужен.
> ping это, разумеется, утрированный пример - он простой, в нем проблем давно не видели. А когда задачка посложнее - неизвестно, какой подход окажется хуже.
других задачек где требовался бы сырой socket, кроме ping, особо и не выдумать
> других задачек где требовался бы сырой socket, кроме ping, особо и не
> выдуматьбанально не tcp и не udp, и подобных протоколов - мильен с тыщами и помимо icmp, вот сюрприз-то, елки-палки...
Можно использовать raw, можно - AF_PACKET, хрен редьки абсолютно не слаще (первое не очень переносимое, второе именно в линуксах может желать странного, что на совсем специфичных системах недоступно), обоим рута или CAP_эквивалент подавать.
>> так, не понял.. эт что же получается? с какого-то чёрта user_ns разрешает
>> использовать приложению raw-сокеты? не слишком ли жирно?
> он для этого (и похожих вещей) как раз и предназначен. Сюрприз?ты б ещё сказал что USER_NS предназначен чтобы эксплуатировать локальные уязвимости 😂😂😂🤣
хстате, скромно забыли, что баг привнесен в ядре 3.2 http://kernelnewbies.org/Linux_3.2 - см ссылки на конкретные коммиты для TPACKET_V3.Те, у кого 3.1 все еще считается "достаточно стабильным", ему не подвержены ни в каком виде.
> В Android право создавать сокеты AF_PACKET имеет процесс mediaserver, через который может быть эксплуатирована уязвимость.
> mediaserverБггг.
И действительно, непонятно зачем медиасерверу AF_PACKET ? Ему вполне должно быть достаточно AF_LOCAL, AF_INET, AF_INET6.
igmp, например. Вообще, принимать или выдывать мультикастовый медиа-поток - одно из основных функциональностей для мультимедиа сейчас.
> igmp, например. Вообще, принимать или выдывать мультикастовый медиа-поток - одно из основных
> функциональностей для мультимедиа сейчас.для мультикаста не нужен AF_PACKET
> для мультикаста не нужен AF_PACKETВставь сниффер перед цифровым теликом и удивись
У меня эксплоит не заработал: https://dpaste.de/Dcvj
Система Slackware64-14.2
Потребуй, чтобы заменили по гарантии.
> Опубликован прототип эксплоитаЧтоб заработало нужно добавить пару строк в алгоритм прокладки.