> Ну у тебя просто сложных случаев нет, я уже ниже написал про
> них. На самом деле systemd ничего такого не делает, чтобы не делал любой init.Вообще-то делает. Например разумное вачдоговое апи. И позволяет вкручивать нетривиальную комбинацию системных настроек без диких мучений или сборки контейнеров с половиной копии системы для вон того сервиса, которые майнтайнить слишком канительно потом. Любой инит этого не делал, класть хотев на возможности Linux.
> Ну разве что пытается заменить собой операционную систему.
Не заменить а дополнить. При том лично мне чего-то такого и не хватало. Я имею наглость фичами Linux еще и пользоваться.
> Всё жду когда Ленарт запилит systemd-kerneld и свалит на него.
Офигенная попытка потроллить, возьми с полки пирожок.
> А вот и не ущемляет, потому что демон должен всё решать а не скрипты.
Вообще-то я всегда думал что решать в моей системе должен я. А кто там on my behalf будет это решение имплементить, демон или скрипты - не так уж принципиально. Главное чтобы мне было сухо и комфортно. А вот это не про кривой код с конфигурацией по всей площади на 3 страницах, при постоянном покладании на диагностику и прочую обработку ошибок.
> Но б ыдлoкодеры так не считают.
Во ты любителей sysv приложил. В systemd если что конфигурирование а не кодинг :)
> Хоть бы почитали как должен на самом деле работаеть демон в sysvinit, а не писали бы длoкод.
Так я теперь и не пишу б.ыдлокод. Десяток строк в конфиге системды делают больше чем три страницы стремного кода. И все это менее криво. А если какие-то ошибки - они еще и в лог записаны. Вместе с сообщением программы, если оно было. А в sysv init удобства почему-то традиционно были во дворе.
> Кстати, так и родился systemd, на самом деле. Попытка покрывательства
> быдлoкодеров под налётом автоматизации, которой на самом деле нет.
Системд родился когда всех затрахал кривой быллокод и увольняющиеся герои которые писали эти шедевры, вместо простой и прозрачной конфигурации, в которой можно без поллитра разобраться и чтобы в случае отклонений от идеала были логи и обработка сбоев.
> Смотря что хакеру нужно. Иногда плевать на это.
Ну тут уж ой, при наличии рута хакер может dd в системный девайс сделать и вынести всю систему. При том логи всяко read-write, поэтому антихакерские диверсии с наглухо readonly сторажем в этом случае не прокатят. Так можно как максимум систему защитить и сделать наглухо неизменной (нечто типа secure boot, только без подписей). Но с логами так не выйдет.
> Система то скомпрометированна, но что конкретно случилось ты уже никогда не узнаешь.
Пойнт в том что хакер или оставит запись с своим присутствием или будет вынужден устроить масштабную диверсию которая его демаскирует. А у ветеранов хакер просто вытирал неугодную запись, это действие не является аномалией в системе которую легко поймать автоматикой, поэтому никто не заметит. Так что многие ветераны дооооолго не замечали что у них оказывается потусовались.
> А если на диск записать ещё пару сотен файлов, то и восстановить не сможешь.
Вообще-то у journald логи сделаны так что если не идиотничать и разложить их нормально, без фрагментации, они будут лежать одним фрагментом. И можно хоть хексэдитором вынуть. При том легко локализовать по характерной сигнатуре в начале файла, достаточно уникальной для именно логов именно системды. Так что легко накорябать кастомную парсилку диска которая вынет именно логи системды. Если админ не был идиотом - даже целыми.
А вот с кусками текста которые дико фрагментированы и не имеют опознавательных маркеров - такой номер рещительно не катит. И вылавливать в паре терабайт рассыпавшегося диска кусочки текста которые будут именно логами - затейка так себе.
> Так что тут смотря как посмотреть.
Это я посмотрел под углом data recovery в случаях развала диска.
> отделить его от этого комбайна всё-равно нельзя, поэтому он теряет свою ценность.
Я соглашусь что это и проклятье и благословление. Благословление - потому что они играют совместно и делают это хорошо. Лучше чем два полностью независимых компонента когда либо смогут. Проклятье потому что ... ну ты сам сказал.
Если бы сложились какие-то апи попродвинутее обычного syslog() - могло бы быть и иначе. Но их не сложилось. Поцтер сделал как умел. Большинство народа устроило. Получился такой вот консенсус. Не идеальный и можно улучшить, спору нет.
> Правильно, поэтому в первую очередь надо пытаться не дать хакеру рут,
Одно другому не мешает - защита системы должна имхо быть комплексной. Хорошо, знашь ли, когда система удобна для легитимного владельца но минное поле и куча проблем для хакеров.
> помогут. Их можно подменить, их можно изменить, точно так же как
> и текстовые. И это тоже будет безпалевно при наличии рук, головы и времени.
Именно подменить, именно без палива - все же не получится. Читаем paper, это таки ВУЗовский тезис был и там человек весьма серьезно задался проблемой.
> Отличный аргумент! Прям, ух! Даже не знаю что на это ответить... /s
Ну а что, работает этот мир так. Вон тут ветеран юникс^W фрибсд тигар кичился что на его помо^W хостинге вирусы кишат, но дескать не срабатывают потому что фрибсда а гамнокодеры дескать линукс ожидали. Зарисовка из жизни чудо-адинов такого разлива.
> Кстати, ещё один вариант записать в логи пару рандомных бит, после чего
> они перестают читаться. И гадай потом, что случилось. Толи взломали тебя,
> толи диск посыпался. А анамалии можешь и не сразу заметить.
Если админ не может отличить посыпавшийся диск от изменения файла - его гнать надо с волчьим билетов. Потому что ламер это, а не админ. Эникейщик такого уровня только на протирку мышек годится.
Вариант для распечатки
