Проект Gentoo объявил (https://www.gentoo.org/support/news-items/2017-08-19-hardene...), что в связи с прекращением (https://www.opennet.ru/opennews/art.shtml?num=46457) бесплатного распространения патчей grsecurity, разработчики Gentoo больше не имеют возможности поддерживать hardened-сборки ядра Linux. Так как для hardened-ветки теперь невозможно обеспечить регулярный выпуск обновлений и, соответственно, невозможно поддерживать на должном уровне безопасность данной кодовой базы, принято решение 27 августа скрыть пакет sys-kernel/hardened-sources и полностью удалить его до конца сентября.
Пользователям hardened-сборок рекомендуется перейти на обычное ядро sys-kernel/gentoo-sources и использовать SELinux и средства усиления безопасности при сборке компонентов пространства пользователя. В качестве альтернативы на свой страх и риск пользователи могут воспользоваться ядром Linux 4.9, самостоятельно применив к нему неофициальные патчи grsecurity (https://github.com/minipli/linux-unofficial_grsec) или вариант патчей (https://github.com/copperhead/linux-hardened) от проекта Copperhead OS.
URL: https://www.gentoo.org/news/2017/08/19/hardened-sources-remo...
Новость: https://www.opennet.ru/opennews/art.shtml?num=47055
>в связи с прекращением бесплатного распространения патчей grsecurityНе могу прочитать между строк, кто закрутил гайки и подмял под себя? И с какой целью?
Газеты читать надо!
Не читайте за завтраком газет. Вообще никаких не читайте.
> Не могу прочитать между строк, кто закрутил гайки и подмял под себя? И с какой целью?Внезапно, сами разработчики grsecurity. Они сказали, что им не хватает на новый бентли и вообще "opensource sucks".
что плохого в том что разработчики хотят заработать даже если они зарабатывают на бентли?
Плохо в том что вот такие вот деятели - используют OpenSource как средство наращивания аудитории, аля - "сядут, потом никуда не денутся" а потом хоп появляется закрытое решение, и вся аудитория понимает - их поимели..
Форк же!
Согласен, с коллегой Анонимом.В этом и смысл open source. Что каждый свободен как войти, так и выйти. В том числе "капитализировать" результаты своих усилий и способностей, если способен на это.
Open Source - это обмен среди равных. Если же кто-то способен вырваться вперед - он достоин награды, а не уравниловки.
А насчет "подсели" - это уже проблема "сообщества" что в нем нет достойных кандидатов для продолжения поддержки какого-то узко-специфичного решения.
А также это проблема самого ядра Linux, если для поддержания его безопасности требуется "подсесть" на зависимость от одной мелкой группы людей.
Сразу не спроектировали в Linux нормальную безопасность - вот и приходится метаться между сложнючим SELinux и уже давно де-факто проприетарным grsecurity.
Отличная позиция.
я говорит - "Хозяин своего слова, захотел дал, захотел забрал". Были у меня пару таких поставщиков - вылетели сразу пинком под зад, вместе с решением.. Так как после забрал слово - начинается шантаж.А "входить и выходить" можно только на берегу. А не на середине реки. Насчет капитализировать - есть толпа методов капитализировать OpenSource, не меняя условий поставки OpenSource программного обеспечения.
ПыСы. Жаль у нас не "дикий запад" - там за такое отношение к своему слову пулю в башку пускали и все. :)
> Отличная позиция.
> я говорит - "Хозяин своего слова, захотел дал, захотел забрал". Были у меня пару таких поставщиков - вылетели сразу пинком под зад, вместе с решением.. Так как после забрал - начинается шантаж.Необъективно. Может они у вас вылетели. А может вы сами вылетели, а теперь фантазируете.
При чем тут open source? И при чем тут "дал слово"? Кто вам "дает слово" в СПО?> А "входить и выходить" можно только на берегу. А не на середине реки.
Пустая игра слов без понимания предмета.
>> В том числе "капитализировать" результаты своих усилий и способностей, если способен на это.
>
> Насчет капитализировать - есть толпа методов капитализировать OpenSource, не меняя условий поставки OpenSource программного обеспечения.То есть для вас OpenSource - это прежде всего "условия поставки". Только получается, что вы как раз и есть один из тех, кто пытался капитализировать OpenSource, и вас что-то не получилось, потому вы сами по себе далеки от OpenSource, как и большинство "поставщиков" результатов чужой деятельности.
Вы даже не понимаете разницу между фразой "капитализировать результаты" и "капитализировать OpenSource". Вот из-за таких как вы "поставщиков" сообщество и подсело на дырявое ядро Linux, а затем и на других "поставщиков" волшебных "заплаток".
Им устраивающие вас условия не подошли. И они это сделали на условиях, от которых вы не смогла отказаться. Вероятнее всего это ваша проблема, что вы оказались к этому не готовы. Поскольку видите только то, что подобно вашей собственной деятельности.
> Необъективно. Может они у вас вылетели. А может вы сами вылетели, а
> теперь фантазируете.Вот это реальные фантазии и стремление к передернуть с "больной головы на здоровую"
> То есть для вас OpenSource - это прежде всего "условия поставки".
Ты вообще понимаешь о чем речь идет то? Какие "условие поставки"? Хочешь капитализировать разработку - договорись с бизнесом об использовании этих разработок. А бизнесу на%рать на твои проблемы, бизнесу нужен запуск продукта и продуктивное его использование. За это он платит деньги. И главное здесь разруливает договор между поставщиком и потребителем. Не выполнил условия договора, выпнули. И бизнес сейчас, закрывает глаза на то что оплаченные патчи попадают в OpenSource. Разумный "симбиоз" в наше время, так как и бизнес понимает что иногда решение из openSource могут появиться быстрее чем в официальном саппорте.
Так работает практически весь OpenSource, патчи оплачиваются бизнес-потребителями, по платному Support, а затем попадают в OpenSource.Ну и исходя из "Условий поставки" останое написанное - либо чистый бред, непонимая сути, либо тролинг.
>между сложнючим SELinuxЕсть же прекрасный дружелюбный TOMOYO Linux
А он делает dirty cow неэксплуатируемой?
Он делает dirty cow неэксплуатируемой для приложений, которые защищены должным образом с использованием tomoyo.
Форк монолитного патча на ядро? Ну-ну.
> Форк монолитного патча на ядро? Ну-ну.Половину технологий grsec'ов портанули в майнлайновое ядро. При том мимо них. Они на это громко и публично обижались, потому что деньги в результате тоже пронесли мимо. Странные люди - сделали нечто, неюзабельное в продакшне и игнорили апстрим а потом плюются когда берут общую идею но делают сами, в виде который возьмет апстрим и который реально использовать и поддерживать в продакшне. Не понятно на что grsec'и надеялись с их методами.
> Форк же!а вот для форка нужны скиллы и время (которое, кстати, деньги)
поэтому форка не будет - будет копипаста без понимания как работало.
>> Форк же!
>а вот для форка нужны скиллы и время (которое, кстати, деньги)Ну дык всё по чесноку!
Если нет ни скиллов ни времени, а - надо!, тогда - купи ...
> Плохо в том что вот такие вот деятели - используют OpenSource как
> средство наращивания аудитории, аля - "сядут, потом никуда не денутся" а
> потом хоп появляется закрытое решение, и вся аудитория понимает - их
> поимели..Тебя силком, взяли и посадили!?!?!? А так как своих мозгов нет "сядут, потом никуда не денутся". Поковыряй в носу...
Это при коммунизме каждому по потребностям, а при свободной руке рынка употребляется та лапа, которая есть :)
Ничего. Как и нет ничего плохого в том, что никто не счёл их возню настолько важной, чтобы продолжить её самостоятельно. Туда и дорога, в принципе.
> Как и нет ничего плохого в том, что никто не счёл их возню настолько важной, чтобы
> продолжить её самостоятельно.да ну нах? А что это у нас такое "неважное" тырит и продолжает тырить KSPP, причем за деньги работодателя?
http://openwall.com/lists/kernel-hardening/2017/06/09/14 (на дату обратите внимание, ага)Очень плохо то, что по прежнему предпочитают - тырить. Не "продолжить самостоятельно" отдельно-стоящий от ядра проект (что grsec формально благословил, попросив выкинуть ровно три вещи - лого из загрузчика, слово из версии в Makefile и из имен пакетов), заметьте.
Причем - не имея возможности действительно разобраться в чужом очень сложном коде, да еще кусками, показавшимися то-ли нужными, то-ли понятными, без оглядки на остальное, что работало с ними в связке - соответственно - от этого тыренья один вред.кстати, харденед-генте и ее разработчикам там в прощальном письме, наоборот, спасибо, поименное. Видимо, какой-то полезный фидбэк от них все же был.
Что значит ТЫРИТЬ? Ты вообще в курсе, под какой лицензией grsecurity продается?
Для тех, кто последние годы провел в танке, сообщу - gpl v2.
> Что значит ТЫРИТЬ?то и значит - ничего не давая проекту (который без тебя прекрасно обходился и обходился бы дальше, если бы ты прошел мимо), тащить кусками в свой. Помимо прочих проблем, еще и заставляя оригинального разработчика тратить время на анализ и откат твоих кривых патчей.
впрочем, вы все равно не поймете, у вас gplv2 вместо мозга.
ответ был на "да оно никому не нужно". Ага, ненужно - то-то позитивы позволяют своему сотруднику в рабочее время заниматься этим ненужным.
Ну одни психи возятся с продуктами жизнедеятельности других психов. Возможно, даже иногда выковыривая что-то полезное. И чёрт бы с ними. Перестанут - тоже чёрт бы с ними. Впрочем, у вас паранойя на порядок больше моей - и, понятно, отношение другое - ок, мы тут сто раз во мнениях расходились.
> Ну одни психи возятся с продуктами жизнедеятельности других психов.ну вот не полезли бы они в чужие продукты при явном нежелании их авторов, чтобы туда совались грязными руками - у нас с тобой был бы патч grsecurity для неправильного ядра и hardened gentoo впридачу.
Была бы нам с тобой от этого польза - хз, поскольку жить со всем этим неудобно в принципе, там где вообще уместны подобные танцы с бубнами - неудобно вдвойне, ибо гента, но, во всяком случае, был бы выбор.
А теперь - только если в irc клянчить, годами доказывая что ты не конь в пальто, и вручную потом солнце закатывать в масштабах своего дистрибутива.Будет ли нам польза от копипащеных в мейнстрим патчей - очень сомнительно, учитывая предыдущий печальный опыт.
В форки я не верю, поскольку максимум, на что хватит делателя форка при наличии времени (которое деньги), желания и умения - подтянуть древний патч под современное ядро, остальное без сотрудничества с авторами и не по силам, и бесполезно.
> ну вот не полезли бы они в чужие продукты при явном нежелании их авторов,Все что желают авторы изложено в лицензии. Все остальное - опционально и не гарантировано.
> чтобы туда совались грязными руками - у нас с тобой был бы патч grsecurity
> для неправильного ядра и hardened gentoo впридачу.С другой стороны grsecurity не отдельная операционка а лишь патчики к ядру. Писали бы свое ядро и там диктовали всем что и как, имея право как авторы всего кода. А то они хотят срезать угол и бесплатно пользоваться чужим трудом, а когда другие делают то же самое по той же причине - им что-то не нравится.
Заметьте, существование KSPP намекает что денег за это готовы дать. Но - не на тех принципах которые исповедует grsecurity, когда это почти невозможно в майнстрим внедрить и в продакшне использовать.
ИМХО участники grsecurity сами создали ситуацию так что иных вариантов развития событий не осталось. На что им теперь обижаться?
> не конь в пальто, и вручную потом солнце закатывать в масштабах
> своего дистрибутива.Напиши жалобу в лигу сексуальных реформ.
> Будет ли нам польза от копипащеных в мейнстрим патчей - очень сомнительно,
> учитывая предыдущий печальный опыт.KSPP методично работают над определенной проблематикой. В отличие от grsecurity они не живут в сферическом вакууме с розовыми пони и учитывают проблемы апстрима и майнтенанса. Да, иногда приходится идти на компромиссы что делает их несколько менее эффективными. Зато более юзабельными на практике. Grsecurity это здорово, но - неюзабельно в большинстве применений.
> KSPP методично работают над определенной проблематикой.Методично "портируют" отдельные части Grsecurity без получения глубокого понимания того, как они устроены. Над углублением понимания никто из участников KSPP не работает, после "портирования" очередной части сразу приступая к "портированию" следующей. Закономерно, что и качество сопровождения "портированных" частей соответствующее.
> В отличие от grsecurity они не живут в сферическом вакууме с розовыми пони и учитывают проблемы апстрима и майнтенанса.
Продолжайте рассказывать это тем, кто не проверяет факты и готов верить вам на слово. И отдайте себе отчёт, что пока вы и вам подобные в комментах на жёлтых ресурсах рассуждаете о том, в чём ничего не понимаете и чем никогда не пользовались (или в лучшем случае - на локалхосте, плюс-минус), за Grsecurity стоит сообщество профессионалов, признающее ценность и применимость Grsecurity на практике, равно как и нелепость особой (по отношению практически ко всей остальной ИТ-индустрии) позиции вашего вожда Торвальдса по вопросам касаемо безопасности.
>> Не могу прочитать между строк, кто закрутил гайки и подмял под себя? И с какой целью?
> Внезапно, сами разработчики grsecurity. Они сказали, что им не хватает на новый
> бентли и вообще "opensource sucks".первого они не говорили, а второе не просто сказали, а неоднократно демонстрировали.
"This is but one of many examples that seriously raise the question of how security functionality will be properly implemented and maintained upstream if the maintainers don't understand what the code they've copy+pasted from grsecurity does in the first place."
(со ссылками на патчи, забытые линусом куски кода, копипастеров, не сумевших разобраться и постеснявшихся спросить и т д)в конце-концов им надоело.
>[оверквотинг удален]
>> Внезапно, сами разработчики grsecurity. Они сказали, что им не хватает на новый
>> бентли и вообще "opensource sucks".
> первого они не говорили, а второе не просто сказали, а неоднократно демонстрировали.
> "This is but one of many examples that seriously raise the question
> of how security functionality will be properly implemented and maintained upstream
> if the maintainers don't understand what the code they've copy+pasted from
> grsecurity does in the first place."
> (со ссылками на патчи, забытые линусом куски кода, копипастеров, не сумевших разобраться
> и постеснявшихся спросить и т д)
> в конце-концов им надоело.И вот именно по этому, на ответственных обьектах, где требуется хороший уровень безопасности, реальные специалисты, понимающие все плюсы и минусы, а не толпа школьников первый раз установивших unix совместимую ось и возомнивших себя администраторами - используют xBSD.
И много таких мест осталось, где используют xBSD?
>по этому... обьектах...Откуда ему, школьнику, впервые установившему БСД, знать? До школы неделя осталась, а училка обещала задать большое сочинение по "литературе на лето". А тут ты со своими странными вопросами. Не до тебя сейчас:)
Внезапно, на промышленных хранилках просто засилие бзды.
Ну если один netapp это по вашему засилие, то да.А так на хранилках засилие vxworks'a и линукса.
> Ну если один netapp это по вашему засилие, то да.А EMC и PanaSAS уже за хранилки не катят? Плюс ребрендинговые линейки как, например, у IBM
> А EMC и PanaSAS уже за хранилки не катят?а где в emc линукс?
> Плюс ребрендинговые линейки
то ись всякий entry-level shit, который побрезговали даже самостоятельно собрать, перепродают чужой?
> а где в emc линукс?Когда OneFS разрабатывался еще самостоятельным Isilon-ом ЕМНИС, линуксовая версия его существовала.
> то ись всякий entry-level shit, который побрезговали даже самостоятельно собрать, перепродают чужой?
Сам IBM свою N-серию преподносит как "на все случаи жизни", от 3000-х, которые Entrу, до 7000-х которые HiEnd.
В entry-level shit'e вcе больше engenio c vxworks.
> Внезапно, на промышленных хранилках просто засилие бзды.аналогичный вопрос - каких, Б-же ж мой?
А то вот промышленную хранилку на линуксах я знал - coraid. Но что-то последние пять лет они темнят, на что с них сбежали (роняя кал).
> аналогичный вопрос - каких, Б-же ж мой?OneFS, PanFS и WAFL/ONTAP. Такого достаточно?
> OneFSnas-переросток, зато-от-emc (скромно забудем, что они тупо купили израильскую лавочку).
> PanFSеще один (afaik - живьем не видел)
и остается один netapp. Те самые ребята, которые пытались убедить мир, что это они изобрели zfs.
>и остается один netapp. Те самые ребята, которые пытались убедить мир, что это они изобрели zfs.Ыгсперд NetApp c iXsystems случайно не попутал? ;-)
> И много таких мест осталось, где используют xBSD?да хрен с ним "много", одно хоть дайте. Я мож туда резюм зашлю!
("неоднократный опыт успешного перевода сложных конфигураций с *bsd на linux-based платформы...")
... слоник в домике? Тогда тебя не возьмут :-))))
> И вот именно по этому, на ответственных обьектахПроксик на антресолях, что ли?
FreeSwitch + openLdap как каталог, в том числе, телефонных номеров для реально большой в 8000 чел. территориально-разделенной компании. Га%но под названием Linux где нибудь - да поднасрет, отвалится, либо еще какой-то катаклизм. А OpenLDAP нагружается хорошо, так как тел. региться в сети через FreeSwitch, а FreeSwitch вяжет телефон в LDAP с определенным текущим сервером в какой нибудь точке мира. Так что миграция телефонов работает абсолютно автоматически и прозрачно. Ну и конечно все эти изменения реплицируются между толпой LDAP серверов в кластере.
Ну линукс все ровно то же.
Все никак не мог понять, для чего этот hardened нужен. Может кто-нибудь пояснить?
Чтобы жизнь мёдом не казалась. По крайней мере тем, что попытается эксплуатировать уязвимости ядра.
> Все никак не мог понять, для чего этот hardened нужен. Может кто-нибудь пояснить?Примерно для того же, что и Kali. В 95% случаев - понтоваться перед одноклассниками, в 5% может действительно _немного_ облегчить работу профессионалу-безопаснику (не тому, которые бумажки пишет, а тому, кто реально о ней заботится).
>> Все никак не мог понять, для чего этот hardened нужен. Может кто-нибудь пояснить?
> Примерно для того же, что и Kali. В 95% случаев - понтоватьсяот Кали больше толку. То есть это неудобный и ненадежный, но - инструмент. Для понятных целей, и, при некоторой аккуратности, может быть использован. Инструментом чего, по вашему, является харденед-гента?
> в 5% может действительно _немного_ облегчить работу профессионалу-безопаснику
нормальный профессионал от генты убежит, как чёрт от ладана. Вылизывать тщательно локалхосты - не работа профессионала, а для нормального продакшна гента и малопригодна, и бессмысленна - автоматизируя ту деятельность, которая там просто не нужна.
> (не тому, которые бумажки пишет, а тому, кто реально о ней заботится).
кстати,вы не поверите - но реальная забота начинается и заканчивается - бумажками. Потому что основа безопасности - человеческий фактор, а не какие-то там патчи.
А что подходит для продакшена? Я конечно не отношу себя к нормальным профессионалам, но считаю, что профессионал должен уметь работать со всем, что ему попадется и понимать процесс досконально. В чем вообще принципиальная разница между дистрами? Ядро одно же. Где в юзер френдли все делается автоматически, здесь нужно полное понимание. Зато потом не появляется сюрпризов от всяких хуков.
Фраза "реальная забота начинается и заканчивается - бумажками" говорит, что высказавшееся лицо считает реально подходящим для продакшена Windows Server 2xxx.
Нет, она говорит что вы читать не умеете.
> А что подходит для продакшена?ну как минимум, то что можно один раз на билдхосте собрать, и по стойкам автоматически раскатать.
В генте, когда я это пытался к себе примерить, этому мешало аж два ключевых момента (мелкие грабли не в счет) - неумение бинарных пакетов того, чего нет в portage (то есть хочешь поставить готовую сборку - нивапрос, но сперва поставь локальный кусок portage - мы там ищем какие-то детали, которых нет в архиве с пакетом), и неумение собрать бинарный пакет, с именем, отличающимся от дефолтного (если нам нужны две версии одного и того же, различающиеся флагами сборки- привет, приплыли. Вот тебе и система "позволяющая точно подогнуть софт под задачу". На локалхосте - да.)> профессионалам, но считаю, что профессионал должен уметь работать со всем, что
"с IIS'ом работали? Да! Сносил."
> ему попадется и понимать процесс досконально. В чем вообще принципиальная разница
> между дистрами?я рекомендую задуматься о том, для чего мы _вообще_ используем дистрибутивы. Профессионал (или деятельный идиот, знаний тут не нужно, только время) может и с нуля поставиться - не то о чем вы подумали (lfs,да?) а именно с нуля - развернуть сборочную систему под чем угодно, и вручную поразбивать/поразмечать/пособирать ВСЕ. Но зачем?
> Ядро одно же.
ядра, что характерно, тоже разные. Вот, например, у генты было еще hardened, под ним у жабиста жаба не ква (потому что надо было sysctl'ем отодвинуть guard gap)
> Где в юзер френдли все делается автоматически, здесь нужно полное понимание.
не, не нужно. Любой идиот способен выполнить копипастом пять пунктов для бутстрапа и освоить команду emerge "все" (если там еще чего надо сделать - ему emerge скажет).
К сожалению, мне попадались исключительно генты, собранные и настроенные подобными идиотами. Предпоследний, например, собрал всю систему для установки на хостинговый сервак (единичный, мелкая контора, у нее все помещалось в два юнита) с супер-пупер-оптимизацией под его процессор. Года через три кондеры на плате полопались, нате вам интересный квест - оно не то что не загружается, ладно, оно ж блин /bin/ls не может запустить на более современном (!) камушке (а самоучки-с-мотором, конечно же, след простыл)
А вот oracle на генту взгромоздить он ниасилил (не завезли ебилдов-то), поэтому второй юнит был с sles, там все поднялось легко.
> Вот, например, у генты было еще hardened, под ним у жабиста жаба не ква (потому что надо было sysctl'ем отодвинуть guard gap)Так и без жабы граблей было разложено предостаточно. Как-то видел очередную погадку харденедгентухацкеров, на которой категорически не работали виланы. Грузишь эту же систему с ядром от дебиана - работает, с харденед - хрен.
Это кстати еще и демонстрация реальных скиллов разработчегов grsecurity и уровня оттестированности их поделий.
> Это кстати еще и демонстрация реальных скиллов разработчегов grsecurity и уровняили вашего скилла? "ведро от дебиана" у меня на генте не образуется - если я захочу проверить, не в grsec-ли дело, я пересоберу именно то ядро, которое в генте - но без патчей. (и, возможно, выяснится, что этой версии нужен другой vconfig или в ней просто сломан драйвер вашей сетевухи, или надо отключить offload)
учитывая, что их патчи обычно не затрагивают ни драйвера, ни пляски вокруг skbuf - скорее всего именно этим вопрос и будет закрыт.
Если у нормального человека не работает харденедгента, она отправляется на помойку, что собственно и произошло, благо ничего экзотического на ней не крутилось.Разбираться где именно (в очередной раз) обос.ались разработчеги grsecurity у меня нет ни времени, ни желания. И да ioctl'ы, которыми пользуется vconfig, не менялись с незапамятных времен, и мне совершенно не верится в столь убийственный баг в драйвере распространенейшего броадкома.
> Если у нормального человека не работает харденедгента, она отправляется на помойкуа, ну-ну.
> и мне совершенно не верится в столь убийственный баг в драйвере распространенейшего
> броадкома.а мне запросто (как, впрочем, и в наступание гуано-драйвером на guard page из-за неумения уследить за указателями, но это было бы видно в логах).
И самое главное - проверить это можно было за 15 минут, что пересобирается гентино ведро.
> Если у нормального человека не работает харденедгента, она отправляется на помойку, что
> собственно и произошло, благо ничего экзотического на ней не крутилось.Ога ога - харденедгента для харденедпипл.
> Разбираться где именно (в очередной раз) обос.ались разработчеги grsecurity у меня нет
> ни времени, ни желания. И да ioctl'ы, которыми пользуется vconfig, не
> менялись с незапамятных времен, и мне совершенно не верится в столь
> убийственный баг в драйвере распространенейшего броадкома.Распространеннейшего броадкома с проприетарнейшими драверами, Не работающими нормально и ломающимися каждый раз при выходе нового ядра.
>> А что подходит для продакшена?неумение бинарных
> пакетов того, чего нет в portage (то есть хочешь поставить готовую
> сборку - и
> неумение собрать бинарный пакет, с именем, отличающимся от дефолтного (если нам
> нужны две версии одного и того же, различающиеся флагами сборки-
> привет, приплыли.не вижу зачем вообще нужны бинарники на генте. все есть в исходниках. может задерживаться на несколько дней, но обычно есть. если не прав, ткните меня рылом в пакет.
что значит две версии с разными флагами сборки?
флаги сборки (use, если вы об этом) кажется прерогатива портейдж. где еще они есть?
разве где то можно переименовать готовую программу?
вы меня конечно извините, но это похоже на фантазии.>> профессионалам, но считаю, что профессионал должен уметь работать со всем, что
> "с IIS'ом работали? Да! Сносил."речь не об мс.
>> ему попадется и понимать процесс досконально. В чем вообще принципиальная разница
>> между дистрами?
> я рекомендую задуматься о том, для чего мы _вообще_ используем дистрибутивы. Профессионал
> (или деятельный идиот, знаний тут не нужно, только время) может и
> с нуля поставиться - не то о чем вы подумали (lfs,да?)
> а именно с нуля - развернуть сборочную систему под чем угодно,
> и вручную поразбивать/поразмечать/пособирать ВСЕ. Но зачем?лично я не вижу смысла качать сборку для шлюза, сборку для почтовика итд.
> ядра, что характерно, тоже разные.тоесть не вот это да?
https://www.kernel.org/>> Где в юзер френдли все делается автоматически, здесь нужно полное понимание.
> не, не нужно. Любой идиот способен выполнить копипастом пять пунктов для бутстрапа
> и освоить команду emerge "все" (если там еще чего надо сделать
> - ему emerge скажет).тут с вами спорить бессмысленно.
> К сожалению, мне попадались исключительно генты, собранные и настроенные подобными идиотами.
> Предпоследний, например, собрал всю систему для установки на хостинговый сервак (единичный,
> мелкая контора, у нее все помещалось в два юнита) с супер-пупер-оптимизацией
> под его процессор. Года через три кондеры на плате полопались, нате
> вам интересный квест - оно не то что не загружается, ладно,
> оно ж блин /bin/ls не может запустить на более современном (!)
> камушке (а самоучки-с-мотором, конечно же, след простыл)
> А вот oracle на генту взгромоздить он ниасилил (не завезли ебилдов-то), поэтому
> второй юнит был с sles, там все поднялось легко.знаете, мне тоже попадались девушки б***и, но это не значит, что они все такие.
> не вижу зачем вообще нужны бинарники на генте. все есть в исходниках. может задерживаться на несколько дней, но обычно есть. если не прав, ткните меня рылом в пакет.
> что значит две версии с разными флагами сборки?
> флаги сборки (use, если вы об этом) кажется прерогатива портейдж. где еще они есть?
> разве где то можно переименовать готовую программу?
> вы меня конечно извините, но это похоже на фантазии.Я переформулирую анонима выше: если у вас есть у вас два мешка серверов с Gentoo, как вы будете на них выкатывать софт с разными флагами (не важно, USE то или CFLAGS) и при этом не компилировать по двести раз одно и то же на каждой машине? Как вы будете катить такой же софт (без зоопарка даже patchlevel-версий), если вам потом понадобится добавить ещё несколько серверов? Неужтоль без binpkg обойдётесь?
CFLAGS="-O2 -pipe" и все.
С разными USE это какими?
Спасибо вам. И вопрос выше- давайте без общих слов. Можно немного аргументации?
Если можно одинаковый cflags, то можно одинаковый use. Где не понятно?
Не забудьте ответить, как уложиться в двухчасовой мейнтенанс. Ну хорошо, в 4хчасовой. Большего вам никто не даст на нормальном проде.
Это что-то из личного опыта?
На нормальном есть резерные сервера и балансировка нагрузки! ;)
Выводишь нужный из онлайна и ковыряешь...
Кстати, 2-4 часов обычно более, чем достаточно, ибо бинарные пакеты обычно уже подготовлены на теневых серверах.
>На нормальном есть резерные сервера и балансировка нагрузки! ;)... и нет генты
Поправил, не благодари! :)
>[оверквотинг удален]
>> флаги сборки (use, если вы об этом) кажется прерогатива портейдж. где еще они есть?
>> разве где то можно переименовать готовую программу?
>> вы меня конечно извините, но это похоже на фантазии.
> Я переформулирую анонима выше: если у вас есть у вас два мешка
> серверов с Gentoo, как вы будете на них выкатывать софт с
> разными флагами (не важно, USE то или CFLAGS) и при этом
> не компилировать по двести раз одно и то же на каждой
> машине? Как вы будете катить такой же софт (без зоопарка даже
> patchlevel-версий), если вам потом понадобится добавить ещё несколько серверов? Неужтоль
> без binpkg обойдётесь?Вы плохо формулируете. Давайте своими словами и с примерами. Вряд ди вообще что то способно соответствовать вашему вакууму, чтобы обеспечить такие требования.
Пдзц. Воробья вам на вертеле не подать? Давайте карты на стол, без вашего блефа. Где в какой ситуации вам нужно было два одновременно работающих пакета с разными сфф и юз флагами, чтобы один из н х назывался вашим именем, чтобы это работало в паре на двух серверах, чтобы такое было возможно в бинарниках, а еще лучше давайте такой пример в вашем любимом майкрософт.
> неумение собрать бинарный пакет, с именем, отличающимся от дефолтного (если нам
> нужны две версии одного и того же, различающиеся флагами сборки-
> привет, приплыли. Вот тебе и система "позволяющая точно подогнуть софт под
> задачу". На локалхосте - да.)binpkg-multi-instance и оверлеи эту задачу не решают?
> binpkg-multi-instance и оверлеи эту задачу не решают?ну чем оверлей-то поможет, когда хосты под разные задачи? multi-instance, когда я с этим пытался как-то жить, был нерабочий, ну и опять же - как мы это раздавать и ставить-то будем?
ну и ковыряться с раздачей на всех хосты еще и ненужного локального дерева portage - это как-то показалось мне совсем за гранью добра и зла.
девелоперы генты решали одну-единственную задачу: сделать систему, способную в любой момент пересобрать саму себя из наисвежайших исходников. Как ни удивительно (учитывая разношерстность и не всегда прямые способы установки) - решили. Ну, отлично, если тебе тоже нужен именно этот троллейбус из буханки. Но денег работодатель почему-то платит не за это.
А вот никакие другие их не занимали - например, хотя бы механизмы подтверждения идентичности тех исходников (учитывая что они тянутся хз откуда, да и дерево portage тоже).за это время все остальные (начавшие во многом тоже с треша и кабздеца) научились, к примеру, собираться в изолированных окружениях, чтобы не притащить, ненароком, внутрь пакета зависимость от чего-то, что у тебя в системе оказалось случайно.
>[оверквотинг удален]
> - как мы это раздавать и ставить-то будем?
> ну и ковыряться с раздачей на всех хосты еще и ненужного локального
> дерева portage - это как-то показалось мне совсем за гранью добра
> и зла.
> девелоперы генты решали одну-единственную задачу: сделать систему, способную в любой момент
> пересобрать саму себя из наисвежайших исходников. Как ни удивительно (учитывая разношерстность
>
> кабздеца) научились, к примеру, собираться в изолированных окружениях, чтобы не притащить,
> ненароком, внутрь пакета зависимость от чего-то, что у тебя в системе
> оказалось случайно.Да блин. Что значит хз откуда. Какую репу вы указали оттуда и тянутся даже мне нубу это понятно ипф иптэблс ваершарк если черные вертолеты за окном. Ппц. Ну по существу.. Что хорощо а что пдохо? Аргументы в студию
> Да блин. Что значит хз откуда. Какую репу вы указали оттуда и
> тянутся даже мне нубу это понятноОн просто не увидел
DIST fltk-1.3.3-source.tar.gz 4986376 SHA256 f8398d98d7221d40e77bc7b19e761adaf2f1ef8bb0c30eceb7beb4f2273d0d97 SHA512 277ba27e35c20e2d4fc5296bf418c5ab78c821870476e21d49f723765b99b3a559eed4ecd5215ac26d53a1091ada003e17f1553194cebaa97dd854809dd2885d WHIRLPOOL 876a92e44dac20e6a2d86e4339a87185e708718d4cc59983bd81d5c3f0100d52230ef34d9c92800a2a07f6e7ed26e2ba9212c01ce898e7a184a7a35c40837761
DIST fltk-1.3.4-source.tar.gz 5284217 SHA256 c8ab01c4e860d53e11d40dc28f98d2fe9c85aaf6dbb5af50fd6e66afec3dc58f SHA512 92c236e426ad9b2a2954a6fc401bc9bf4c4c46d47b08f8c9b879da6031ac158ef9b944f28a8bea64d18072d1af8ceaa09c00abebd745fb76dd628636424446c2 WHIRLPOOL 6824c69615cd268d5f75cf65ee7f789d3e42ebda18cfe40b7d6444f4c4b1d8706dece616fbdb43341b492f2dd8019483e82677e9efe8828391532687994a945aв манифесте.
> Он просто не увиделувидел, что дальше? манифест-то у вас откуда?
очередная бесполезная трата невосполнимых ресурсов на подсчет ненужных символов - скопипащенная, помнится, у *bsd (у которой к 15му году еще и появились подписи бинарных пакетов, к 17му возможность бинарно-идентичных сборок, но смысла в этом все равно нет, потому что в итоге все упирается в svn. Ну и чиста поржать, да. 2015й год, а мы гланды научились вырезать...)
>> Он просто не увидел
> увидел, что дальше? манифест-то у вас откуда?От верблюда. Что сказать-то хотел? Что о DNSSEC и прочем - не слышал?
> помнится, у *bsd (у которой к 15му году еще и появились
> подписи бинарных пакетов,Плохо помнится. Хотя конечно главный принцип опеннета соблюдается - делать умный и уверенный вид, а там хоть что от балды придумывай …
https://lists.freebsd.org/pipermail/freebsd-pkg/2014-January...
> Does pkg check signatures?
> What is signed is the catalog which contains the hash of all the available packages.
> So the signature is only checked during pkg update in case the database is being
> updated not during package installation because it the not needed, the fetched
> packages are tested agains their hash.https://github.com/freebsd/freebsd/commit/bd4bf7cc91369274db...
> committed on Oct 26, 2013
> Support checking signature for pkg bootstrap.
> If the pkg.conf is configured with SIGNATURE_TYPE: FINGERPRINTS,Ой, да?
> этом все равно нет, потому что в итоге все упирается в
> svn. Ну и чиста поржать, да. 2015й год, а мы гланды
> научились вырезать...)Что там у вас куда упирается и над чем вы решили "поржать" - нам не очень интересно.
% svn info /usr/ports
Path: /usr/ports
Working Copy Root Path: /usr/ports
URL: https://svn.freebsd.org/ports/head
и в догоночку:
drill -S svn.freebsd.org
;; Number of trusted keys: 2
;; Chasing: svn.freebsd.org. A
DNSSEC Trust tree:
svn.freebsd.org. (CNAME)
|---freebsd.org. (DNSKEY keytag: 17253 alg: 8 flags: 256)
;; Chase successful
Это насчет svn. А в базовой обновлялке portsnap уже 12 лет как есть такая замечательная вещь:
> A line of the form
> KEYPRINT=0123456789abc ... 456789abcdef
> (64 characters in total) specifies the SHA-256 hash of the OpenSSL public
> key file belonging to an RSA keypair which is trusted to sign updates.Так что, смех, кагбэ, без причины ...
>> даже мне нубу
> Он просто не увиделВы просто оба вообще не поняли, о чём разговор.
Вот сюда почитайте и подумайте ещё раз: http://ftp.altlinux.org/pub/people/ldv/hasher/thesis-2004.html
>>> даже мне нубу
>> Он просто не увидел
> Вы просто оба вообще не поняли, о чём разговор.
> Вот сюда почитайте и подумайте ещё раз: http://ftp.altlinux.org/pub/people/ldv/hasher/thesis-2004.htmlХех,
Миша,когда я спросил ( году так в 12-м ) в ирке про нужность - половина разрабов генты тоже не поняли :)П.С - в портаге нет законченного дерева доверия,были идеи,что гит поможет,но на разговорах ( как это обычно в генте и бывает),закончились.
П.П.С - идиотам с манифестом - он криптографически не защищен от подмены,поэтому получив доступ к репе,я впарю вам все что угодно.
И да,впаривал же,и прямо в дерево ;).
Причастные поймут :)
Маны не читай @ ненависть изливай> А вот никакие другие их не занимали - например, хотя бы механизмы
> подтверждения идентичности тех исходников (учитывая что они тянутся хз откуда, да
> и дерево portage тоже).https://wiki.gentoo.org/wiki/Handbook:AMD64/Working/Features...
> А что подходит для продакшена?
> ну как минимум, то что можно один раз на билдхосте собрать, и по стойкам автоматически раскатать.Именно. А если ещё немного продолжить мысль, то приходишь к мысли, что для продакшена нужны стабильные, хорошо отлаженные бинарные дистрибутивы. Так потихонечку доходишь до Debian/Devuan/RHEL/Centos.
> я рекомендую задуматься о том, для чего мы _вообще_ используем дистрибутивы.
В продакшене -- для того, чтобы запускать сервисы, которые будут работать 24/7 и выполнять полезную работу. Причём по возможности без нашего участия: ну разве что для обновления.
> К сожалению, мне попадались исключительно генты, собранные и настроенные подобными идиотами. Предпоследний, например, собрал всю систему для установки на хостинговый сервак (единичный, мелкая контора, у нее все помещалось в два юнита) с супер-пупер-оптимизацией под его процессор. Года через три кондеры на плате полопались, нате вам интересный квест - оно не то что не загружается, ладно, оно ж блин /bin/ls не может запустить на более современном (!) камушке (а самоучки-с-мотором, конечно же, след простыл)
Вот-вот. Именно поэтому я и сполз в своё время с генты. Ни одно обновление без приключений не проходит, софт работает нестабильно... А система вообще-то нужна, чтобы работать с программами в ней, а не для того, чтобы в ней ковыряться постоянно.
>> А что подходит для продакшена?
>> ну как минимум, то что можно один раз на билдхосте собрать, и по стойкам автоматически раскатать.
> Именно. А если ещё немного продолжить мысль, то приходишь к мысли, что
> для продакшена нужны стабильные, хорошо отлаженные бинарные дистрибутивы. Так потихонечку
> доходишь до Debian/Devuan/RHEL/Про Debian я тоже вижу комменты-не подходит для продакшена, не реже чем про все остальное. Зато вот убунту десктоп судя по комментам самый продакшеновый дистр.
> Про Debian я тоже вижу комменты-не подходит для продакшена, не реже чем про все остальное.Ну и продолжайте судить о качестве продукта по *количеству* комментов pro et contra.
> А что подходит для продакшена?
> В чем вообще принципиальная разница
> между дистрами? Ядро одно же.В количестве проблем, которые вылезают при эксплуатации.
Чем ближе окружение разработки к проду, тем меньше багов вылезает на проде.
Гента в этом смысле не оптимальна - она собирается под каждый сервер, потому каждый сервер может иметь свои грабли. Для разработке ПО может иметь, означает точно будут проблемы с такой то частотой.
Можно на генте собирать пакеты на одной системе, затем ставить бинари на CI, UAT, Prod. Но и это решение выдает траблемы.PS В среде разработки, на CI, UAT и Prod используем только binary-based ОС одной версии. Это заметно снижает количество багов на Prod.
вот так уже понятней. спасибо. у меня гента под десктоп и все проблемы только из-за моей невнимательности и лени. пакеты компилю штатным образом, в бинарниках пока просто не было нужды. На сервак я бы конечно наверное не рискнул ее ставить, ровно как и арч. Но вот эту фразу - "не подходит для продакшена", я уже миллион раз видел и все никак не пойму, что же подходит для продакшена. обычно ответ всегда такой- рхел. почему? - там поддержка..
> "не подходит для продакшена", я уже миллион раз видел и все никак не поймуи не поймете, пока "гента под десктоп".
как начнете _работать_, за деньги (не "получать" в кассе, независимо от результатов работы), начнете и понимать, в чем разница. Это вам сейчас объяснять бесполезно, потому что "а, подумаешь, пара лишних движений". А когда серверов много, и задач много - и ты вместо того чтоб расслабляться на опеннете в очередной раз автоматизируешь (или хуже, делаешь руками 500 раз) то, что должен был за тебя сделать любой другой дистрибутив, объяснять уже ничего не приходится.
> почему? - там поддержка..
логичный следующий вопрос - "и чем именно вам она помогла". На этом месте неудачливые агенты ЦРУ/рептилоидов/проклятых проприетарастов пытаются выбить лбом стекло, так что вопрос задавайте в подвальном помещении с надежной металлической дверью.
потому что, как правило, когда уже привяжешь нормальненько к привинченному к полу стулу и паяльник засунешь в ноздрю, отвечают однообразно - либо помогла в чем-то таком, что достаточно было прочитать в книжке, причем Эви Немет, десятилетней давности (но смузи-не-ждет), либо "не приходилось обращаться, но искренне верим". "в мусоропровод!"(c)
там прикол совершенно в другом, и он не для всех - многим совершенно достаточно того же центоса, и нет никакого смысла платить даже не своих денег редхату.
Многие прекрасненько сидят и на дебиане, и даже на убунте-lts.но вот на генте - я видел пару раз, и оба раза сбежал со словами "чур меня". (надо заметить, что оба были карликовые)
десктоп только с одной целью - максимум информации и действий за короткое время. я же говорю на сервер такое не буду ставить. мои попоболи касаются моего личного времени. автоматизация да. это и есть цель. теперь питон для дурачков.
>>>там прикол совершенно в другом,так в чем прикол то? ОТКРОЙ ТАЙНУ.
я не хочу оскорбить тут чувства верующих или свидетелей майкрософта и иже с ним. все это хорошо. но действующий одмин мне сказал, что разница между 2008р2 и 2012 это новый интерйес в хайперви. что заставляет задуматься. и вто каждый раз, когда я слышу эту фразу - "не для продакшена итд" мне хочется спросить. вот и спрашиваю. в чем сила брэт?
опенсолярис я могу понять. и сап я могу понять( для особо придирчивых не юзать одминить или настроить. понимаю я. спасибо) а это нет.
> так в чем прикол то? ОТКРОЙ ТАЙНУ.да нет никакой тайны - пошарь по списку продуктов окромя el, прикинь, как выглядит контора, которая за это платит - чего в ней и сколько, и какими методами удается добиться, чтобы это все не вылилось в бесконечный незатихающий звонок телефона админа, 24x7.
> с ним. все это хорошо. но действующий одмин мне сказал, что
> разница между 2008р2 и 2012 это новый интерйес в хайперви. чтону пичалька, что он не удосужился прочитать даже ms'овскую тощую брошюрку (там переломали все что можно и нельзя, кое-как и не с того конца починив в 16, но вот этого в брошюрке не будет. Но хотя бы про refs в ней точно есть. Правда, его тоже доделали только к (в?) 12R2, как, кстати,и hyper-v (не умевший, помнится, даже live migration) - то есть вот после R2 начали уже задавать вопросы типа "а точно ли мы хотим апгрейдить вмварь", "а нужна ли нам самопальная хранилка" и т д. IIS, по-моему, именно там научился SNI, а я уж думал, эта музыка будет вечной, а первая 2012 была для либо отважных, либо слабоумных, как обычно) Мало ли точно таких же линуксных админов?
Сам вот сможешь рассказать, что изменилось хотя бы только в ядре с 3.0.1x до 3.10 (примерно те годы) ?> опенсолярис я могу понять. и сап я могу понять( для особо придирчивых
> не юзать одминить или настроить. понимаю я. спасибо) а это нет.странно, я вот опенсоляриса в нынешней обстановке понять не могу.
Это ж исключительно исследовательская система, ровно твоя гента-на-десктопе, только этот на сервере. "приколись, как я могу".
При этом правильно его готовить умеют единицы, равно как и "стабильные" клоны иллюмоса.
Дык и дело то в этом. В крутой конторе не работал. Сёрты не получил. Выбираю и ищу оптималпрайм. Откровенную чушь пытаюсь фильтровать. Варе лишь помог мне убедится в интеловском сговоре.(особенно, когда пришлось собирать имейдж под бродкомы) Зачем поддержку ксеонов убирать, если прирост за 5 лет только 30%. Курю ксен и докер. Вобщем учусь. Не утверждаю ничего. Спрашиваю. Но мсовский спиннер я пожалуй в гробу предпочту.
> Дык и дело то в этом. В крутой конторе не работал. Сёртычтобы в них работать, сертов не надо (там, если что, сдашь. Или поймешь что тебе они уже без надобности).
Надо уметь что-то, что там хотят, и при этом есть не у каждого второго (с докером - вы припозднились). Например, много работать за мало денег и стоять в очереди в сортир (реальная фича - и нет, это, действительно очень крутая контора. Единственное чего не гарантирую - что из той очереди можно дорасти до тех, кому в ней стоять уже не надо и вообще в тот офис он не заходит, а не быть уволенным через пару лет, когда подустанешь. Все мои знакомые уходили туда уже с другими умениями)Если в них не работать в принципе - увы, кругозор будет неизбежно ограничен, потому что доступа к реально большим системам, большим данным и сложным железкам у вас не будет, а если и будет, то как у местного фаната хепе - "ни шагу без саппорта, а то ж сломаешь что-нибудь".
Хех. Картина ясна.ty
Да там поддержка и там можно делать yum update не опасаясь что на сервере отвалится что-нибудь совершенно неожиданное.
Та ладно? То-то ваш брат постоянно плакается в жилетку - то epel отвалится, то еще какая овнопомойка. А уж когда ваши на новую версию обновляются - можно закупать попкорн мешками.
Насколько я помню, а HPC её кое-кто любил, там довольно экзотичные сборки нужны.Ну и интересно, как вы файрволл бумажками замените. Это как простейший пример
Эще один нечитатель. Ну ниче-ниче со временем поймете о чем там написано.
Бумажки не работают. Либо это полтора тупых правила либо их никто не выполняет. Хочешь что-то энфорсить так, чтобы это исполнялось - энфорси кодом. А бумажки - только зад подтереть. Ну, или прикрыть на случай чего.
> нормальный профессионал от генты убежит, как чёрт от ладана. Вылизывать тщательно локалхосты - не работа профессионала, а для нормального продакшна гента и малопригодна, и бессмысленна - автоматизируя ту деятельность, которая там просто не нужна.Да-да, держите нас в курсе, товарищ профэссионал.
В комментах к этому посту проводится перепись негодующих админов локалхоста.
Чтобы жаба (и некоторые другие прожки) не запускалась. Для местных жабофобов это очень важно 8)))
> Чтобы жаба (и некоторые другие прожки) не запускалась. Для местных жабофобов это очень важно 8)))Судя по
https://www.opennet.ru/opennews/art.shtml?num=46414 (Апрель)
> В выпуске Java SE 8u131 устранено 8 проблем с безопасностью, 7 из которых могут быть эксплуатированы удалённо без проведения аутентификацииhttps://www.opennet.ru/opennews/art.shtml?num=46878 (Июнь)
> В выпуске Java SE 8u141 устранено 32 проблемы с безопасностью, 28 из которых могут быть эксплуатированы удалённо без проведения аутентификации. 10 уязвимостям присвоен критический уровень опасности (CVSS Score 9 и выше).Вполне себе здравая мысля.
Тем более, JIT без доработки (как в огнелисе после настойчивого пинания и даже засылания патчей) позволяет атакующему прекрасно обходить всякие новомодные (еще 15 лет нет, полный блидинг эдж!) штучки типа W^X (Write or eXecute) технологий защиты.
Оплатите им доступ к патчам! Будут ебилды для пользователей платных аккаунтов grsecurity
> Оплатите им доступ к патчам! Будут ебилды для пользователей платных аккаунтов grsecurityвладельца платного акаунта, которому нужны какие-то еще ебилды, и который не способен сам собрать себе ведро - никакой grsecurity не спасет, к сожалению.
да и угроза для локалхостов, если честно, довольно эфемерная. Гораздо чаще к ним просто подбирают пароль.
Так там же не только ядро
> Так там же не только ядрону там по хорошему, конечно, всю систему надо пересобирать, правильным gcc, и гента за тебя бы это сделала, с некоторым скрипом. Но обычно достаточно правильный gcc/правильное ядро/ключевые сервисы, ничего такого, что нельзя с небольшим количеством ручного труда запихнуть в любой работающий дистрибутив с хоть какой пакетной системой.
(если у тебя на ней не локалхост, ты уже все равно научился быстро пересобирать штатные пакеты нужным тебе образом или дособирать нештатные)
Мммда gentoo очень хорошая операционка но настраивать долго с 2007 года на ней.
я с прошлого года уже всё настроил.
> я с прошлого года уже всё настроил.+
; )
Лучше один раз настроить, чем терять время и портить себе нервы со всякими неудобными мелочами. В итоге в плюс выходишь.
прелесть Gentoo в том, что поставил, настроил под себя и забыл. Зато понимаешь что делаешь и где искать выход из возникшей проблемы. Gentoo рулит - это дистро для настоящих профи.
А тем временем CVE все появлялись и появлялись.
> А тем временем CVE все появлялись и появлялись.emerge -u @world
ничего специфически-дистрибутивного "перенастраивать" не требует - любой васян справится.
(пакеты, разумеется, могут поменять что-то в своих конфигах, как в любом "rolling" дистрибутиве)
> (пакеты, разумеется, могут поменять что-то в своих конфигах, как в любом "rolling" дистрибутиве)Вот именно. Ну и нафига это надо ?
Как ни странно, обычно сюрпризов очень мало. В основном потому, что изменения прячутся под use-флаги. Впрочем, в продакшн на сервер я бы и сам её пихать не стал. А вот как рабочая машина - отлично. Можно запинать в любую удобную тебе форму и оно так и остаётся очень долго.
>> (пакеты, разумеется, могут поменять что-то в своих конфигах, как в любом "rolling" дистрибутиве)
> Вот именно. Ну и нафига это надо ?ну у тебя всегда есть выбор - сидеть на дистрибутиве с тухлыми версиями всего, пересобирая вручную и поштучно (либо таская из левых или полуподдерживаемых, как у rh, repo) ради новых фич...уп-с, как раз самые критичные именно для тебя пакеты - потому что новая фича в том, чем ты не пользуешься, тебе точно нафиг не нужна, а dependency hell никуда не девается и растет (и вот у тебя уже три пихона и четыре gcc, не говоря уже про пять php - и на проде тоже, и да, следи за апдейтами). Либо рисковать что что-то рутинно обновится так, что придется потом чинить.
для генты-на-десктопе это, собственно, сам десктоп и его запчасти - всему остальному вполне можно позволить иногда обновиться, а эти можно и зафиксировать надолго - надоест скорее всего раньше, чем те версии объявят неподдерживаемыми.Что выбирает публика - мы видим по бесконечным "leap" и прочим rolling-чудесам в решете, гента в этом давным-давно уже не уникальна.
Ну кстати вы не правы. ГЦЦ должен быть только один. Без glib. На чем я воочию убедился. Имея либ под олд и гцц новый и цылку на среднее ядро и прое* кмэйка в старом. А всего то намучался каждый раз писать или писать файл под юз. И решил папку поменять на файл но пролюбил я пэкэджмаск. Короче спасибо, что бэкапы писались на ваш любимый рхел.
> Что выбирает публика - мы видим по бесконечным "leap" и прочим rolling-чудесам
> в решете, гента в этом давным-давно уже не уникальна.Ну мы вон размышляем, не перетащить ли стабильный бранч следом за сизифом с libav, на который по странности тогдашнего майнтейнера перетащились, назад на ffmpeg. Разумеется, именно по стабильности/поддерживаемости у такого мероприятия есть как минусы, так и плюсы.
UvDNa же! И time еще. Кстати откуда тайм не знаете?
>> А тем временем CVE все появлялись и появлялись.
> emerge -u @worldтогда уж
emerge -uDN --with-bdeps=y --backtrack=30 @world --keep-going
но в производстве все-таки реально лучше
glsa-check -e affected
> emerge -uDN --with-bdeps=ybdeps на CVE не влияют, зачем их-то пересобирать каждый раз?
> glsa-check -e affected
тут ты начинаешь зависеть не только от аккуратности и скорости работы авторов софта (которые могут замазать дырку не заметив ее существования, в том числе), но и от аккуратности работы авторов glsa.
я бы оставил ее себе в качестве напоминалки, но и только.
Живя на, по сути, rolling дистрибутиве, нет смысла с этим всерьез бороться, лучше этим пользоваться. (в конце-концов, масса сил и времени разработчиков как раз вгроханы в то, что оно в общем и целом практически всегда умудряется пересобраться в рабочем состоянии)
Фиксируешь те несколько пакетов, ради которых он у тебя установлен, остальное обновляешь раз в неделю или когда у тебя там сервисное окошко, ну и отдельно по cve-праздникам.(мну матерится, обнаружив что у него недостаточно продвинутый cmake для сборки современного encfs. Без тестов и с парой грязных хаков оно,конечно, собираетсо, но осадочек...)
> любой васян справится.даже я справляюсь
> А тем временем CVE все появлялись и появлялись.glsa-check -e affected ;)
>> А тем временем CVE все появлялись и появлялись.
> glsa-check -e affected ;)Сорри,но ты наверное не в курсе,что glsa из cve не самозарождаются :)
И что опоздание доходит до полугода :-D,и что в secyritu@ любят спорить,кто же именно подпишет сообщуху - они там были заняты очень важным делом - подсчетом кто сколько коммитнул glsa.Не вспоминая уж того,что за последние 8 лет проект glsa лежал 2 года - совсем.
Так "настраивать долго с 2007 года" или "с 2007 года на ней" ?
казнить нельзя помиловать
У меня так.
CFLAGS="-march=native -O2 -pipe"
CXXFLAGS="${CFLAGS}"
# WARNING: Changing your CHOST is not something that should be done lightly.
# Please consult http://www.gentoo.org/doc/en/change-chost.xml before changing.
CHOST="x86_64-pc-linux-gnu"
# These are the USE flags that were used in addition to what is provided by the
# profile used for building.
USE="bindist python anacron libinput jpeg2k raw odf gmp lzo lzma gsm libsamplerate speex alisp wavpack uvm cpudetection fontconfig minizip rar conntrack openal djvu ffmpeg theora aacplus bluray faac faad x265 matroska fdk -xcb -classic -gallium -static-analyzer -libffi -llvm -emboss -pppd -scanner -pulseaudio -modemmanager -wifi -wext -ppp -prelink -wayland -gnome -kde -qt5 -qt4 -qt3support -gpm -ipv6 -cups -xinerama -glamor -bluetooth -xscreensaver -gdbm -cron"
MAKEOPTS="-j9"
#EMERGE_DEFAULT_OPTS="--jobs=2"
CPU_FLAGS_X86="aes avx fma3 fma4 mmx mmxext popcnt sse sse2 sse3 sse4_1 sse4_2 sse4a ssse3 xop"
LINGUAS="ru en"
L10N="ru"
INPUT_DEVICES="libinput"
VIDEO_CARDS="nvidia"
ALSA_CARDS="hda-intel snd-ctxfi usb-audio"
И какое это имеет отношение к сабжу?
Да и процессора не хватает постоянно при сборке.Счас fx-9590 а надо threadripper или эпик а это ой-е-йой.За проц 50т.р мама 30т.р память еще 20т.р короче при зарплате в 650 у.е забил я на это.Да убеженца из сирии 1280 мавриков пособие в немке.
дык а тебе кто мешает? Обмажься ваксой, три дня не брейся, старайся не материться громко, и сойдешь за убеженца. Язык знать необязательно, они сами друг-друга не понимают.в Швейцарию только не бегай - мабилу отожмут!
Denes, ты?
Райзен 5. На всепровсе 20к. А вообще у меня на кор2дуо все отлично работает. Правда кде часов 12 собиралась. Мозила 55 вообще порадовала. 700метров рам теперь всего задействовано.
> вариант патчей от проекта Copperhead OSКто-нибудь пользовал?
Selinux морально устарел и нет развития профилей. вместо nginx там профиль httpd от апатча
Вывод - так сильно нужен...
Legacy Security Subsystem Linux? конечно не нужон!
А что, у двух HTTP-серверов должны быть разные профили?
Да, http-client и http-server - Апатч не нужен в ядре профилем с забитыми внутрь гвоздями и папками.
> Selinux морально устарел и нет развития профилей.в селинуксе нет никаких "профилей".
Есть targets, но они не в "селинуксе", а в _redhat_ targeting policy.
Ничего "развивать" там нафиг не надо.> вместо nginx там профиль httpd от апатча
потому что пакет httpd в редхатах, сюрприз, содержит апач. Редхат устарел? Ну, вообще-то, может быть...
Отличная новость, на самом деле. Hardened здорово тормозил развитие генты.
> Отличная новость, на самом деле. Hardened здорово тормозил развитие генты.Где?
Конкретно - не помню. Но на причины "сломает hardened" для вполне интнресных фич нарывался.
> Отличная новость, на самом деле. Hardened здорово тормозил развитие генты.согдасен, особого грандиозного смысла в нем не было. Он забирал время и человеческие руки, которые могли бы ментейнить более интересные фронтовые вещи.
Хех, я так и не успел попробовать его поюзать. Жаль. Впрочем, ничто не мешает взять старые версии, которыми я и так на не-hardened пользуюсь.
А вот что пишет сам ЛинусDon't bother with grsecurity.
Their approach has always been "we don't care if we break anything, we'll just claim it's because we're extra secure".
The thing is a joke, and they are clowns. When they started talking about people taking advantage of them, I stopped trying to be polite about their bullshit.
Their patches are pure garbage.
Linus
Ну говорят, что ядро не его юзают все. Так, что наверное пофиг, что он там говорит.
Резюмирую. Гента не устраивает либо тех кто не может чего-то сделать либо не хочет. Все аргументы сводятся к одному- одна бабка сказала и на редхате трава зеленее. Один VoDA по существу аргументированно заставил задуматься. Все остальные из разряда- купи ковер, чтобы выглядело побогаче.
Резюмирую: вы восторженный нуб.
А еще варианты будут?
> А еще варианты будут?А як же - что админы локалхостов,восторженно ее ставящие на любой девайс,что админы линукса, бегающие от нее,одинаково не правы.
Но рассказ почему так,зачем нужна гента,кто ее юзает и где,и кто кормит разрабов ,какие сейчас проблемы в этом типа дистрибутиве и куда он идет выходит за рамки опеннета - в желтом овне диссеры не обсуждают.
> Но рассказ [...] выходит за рамки опеннетаИ тут выходите Вы, весь в белом и полный таинственности.
Здесь рядом вики есть, между прочим. Некоторые там накропали что-нить вроде http://wiki.opennet.ru/DistroImhoMike
С продом становится более-менее ясно. Спасибо Вам. А то ощущение, что если нечего сказать, скажи - не подходит для продакшена. А времени заниматься всеми возможными дистрами нет.
Может Вы ответите, тут заявляли, что у дистрибутивов ядро не одно и то же, это так?
> вариант патчей от проекта Copperhead OSНарод, кто-нибудь пробовал эти патчи?
Какое еще формирование сборок? Это генту. Они ебилд выкидывают из репы. Рукалицо.