> Прошу прощения, а сам пакетник чем не угодил?Сам пакетник как раз нормальный. Приветы редхату ;)
> образ размером около 30MБ
Вполне вменяемая цифря, btw. Только у мну примерно такой размер - одной командой. А до скольких он сжимался - у вас что, есть ФС с прозрачным сжатием? В пингвинах такого добра - на все оказии. Только не надо про ZFS, там где размер образа колышет - и оперативки обычно мало.
> А вот если сама система в / и /usr и все что ставится дополнительно,
> идет в /usr/local, то ощущения помойки как-то не возникает.
Я конечно понимаю что local можно снести без последствий для системы, но мне не нравится такое "управление" софтом и останутся хвосты, например в /home. И мусор будет накапливаться.
> Всерьез пытаться обнаружить руткиты с помощью пакетника? Гм, удачи Вам.
Основная проблема руткитов - в том что качественно подделать свое отсутствие в системе крайне сложная задача. Пакетник с чексумами задачу дополнительно усложняет. Хотя надеяться на один пакетник против серьезного руткита глупо. Поэтому я люблю небольшие системные лулзы :)
> Э ... очень пластичное мировозрение и вообще, интересный подход.
Подход простой: сделать все просто, быстро и удобно для себя любимого. А что до rollback пакетником... эээ... возможно и неплохая фича. Но идея с снапшотом файлухой мне больше нравится: вообще нет стремноватой операции rollback как таковой.
> Видимо, к сожалению, вам все же желателен визит к окулисту.
Ок, я смотрю, jails более-менее прокачали. Ну чтож поздравляю, тогда у вас контейнеры вполне приличные стали, если все это без факапов и недоговорок.
> Хотя да, наверное все же слишком сложно и несколько запутанно.
По сравнению с например firejail? Пожалуй. Он вообще лаконичный по сравнению с тем что он делает (правда путем жульничества с профилями программ в конфигах).
>
> int
> socreate(int dom, struct socket **aso, int type, int proto,
> ...
> if (prison_check_af(cred, prp->pr_domain->dom_family) != 0)
>
> return (EPROTONOSUPPORT);
>
> достаточно убедительны?
Интересная виртуалзация. Может и TCP/IP так виртуализовать? :) А более вменяемые варианты типа отдельного namespace каждому контейнеру там есть?
> то как и кто собирает самый первый репозиторий?
Самый первый репозиторий собрали когда-то давно и вопрос из разряда "если сишный компилятор собирают сам собой, как же собрали первый компилятор?". Если честно я не знаю как выглядел bring-up первых репов. Наверное чем-то напоминало создание первых компиляторов.
Говоря за себя - я могу скроить пакет дебиана "голыми руками". Любой текстовый редактор, xz (или gzip) и ar. Ну еще всякие shasum/md5sum. Но это слегка в духе ассемблирования программы-загрузчика на тетрадном листке.
> И в чем, кроме зеркалирования, смысл такого репозитория, если берутся уже готовые пакеты?
Debootstrap не создает репозитории. Он лишь разворачивает из pre-existing реп с пакетами минимальный debian (иерархию ФС, которая может стать rootfs), способный дальше себя менять своим пакетником. Фокус в том что к хосту очень скромные требования по софту (по сути любое *nix-образное) и архитектура назначения может отличаться. Бонусом - система развернутая им минималистична донельзя. Это позволяет скроить нестандартный образ системы и даже используя как host машину другой архитектуры. Еще оно путем хитрых хаков решает проблему с тем что если у меня host x86-64, а target rootfs для ARM - даже если допустить что у меня было что-то дебианобразное и пакетник в нативном виде и он даже понял пакеты чужой архитектуры - не факт что скрипты post-install ARMовских пакетов отработает на x86 хосте сколь-нибудь разумно (да и запускать ремотные скрипты на хосте - не лучшая идея в плане факапов). Прелесть debootstrap в том что он не зависит от наличия местного пакетника и его способности прожевать пакеты foreign архитектуры и выполнить post-install. На самом деле ничего сверхъестественного, но сочетание простоты и педальности с чертовски полезным результатом и решением ряда хитрых проблем - почти гениальное.