URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 117714
[ Назад ]
Исходное сообщение
"В рамках проекта TinyWare подготовлена новая сборка Slackware"
Отправлено opennews , 24-Июн-19 00:13 
Подготовлены сборки проекта TinyWare (http://www.tinyware.ru/), основанные на 32-разрядной версии Slackware-Current и поставляемые с  32- и 64-разрядными вариантами ядра Linux 4.19. Размер iso-образа (http://www.tinyware.ru/iso/) 800 Мб.


Основные изменения (http://www.tinyware.ru/documentation/features.html), по сравнению с оригинальным Slackware:


-  Установка на 4 раздела "/", "/boot", "/var" и "/home". Разделы "/" и "/boot" монтируются в режиме только для чтения, а "/home" и "/var" в режиме noexec (запрет исполнения);

-  Патч к ядру CONFIG_SETCAP. Модуль setcap может отключать заданные системные возможности (capabilities), или включать их для всех пользователей. Модуль настраивается суперпользователем  во время работы системы через интерфейс sysctl или файлы /proc/sys/setcap и может замораживаться от внесения изменений до следующей перезагрузки.
В штатном режиме в системе отключены CAP_CHOWN(0), CAP_DAC_OVERRIDE(1), CAP_DAC_READ_SEARCH(2), CAP_FOWNER(3) и 21(CAP_SYS_ADMIN). В обычное состояние система переводится командой tinyware-beforeadmin (монтирование и capabilities). На основе модуля можно развить обвязку securelevels.

-  Патч к ядру PROC_RESTRICT_ACCESS. Данная опция ограничивает доступ к каталогам /proc/pid в файловой системе /proc c 555 на 750, при этом группа у всех каталогов назначается root. Поэтому пользователи видят командой "ps" только свои процессы. Root по прежнему видит все процессы в системе.

-  Патч к ядру CONFIG_FS_ADVANCED_CHOWN, позволяющий рядовым пользователям изменять владение файлами и подкаталогами внутри своих каталогов.

-  Некоторые изменения настроек по умолчанию (например, UMASK установлен в 077).


URL: http://www.tinyware.ru/
Новость: https://www.opennet.me/opennews/art.shtml?num=50940

Содержание
Сообщения в этом обсуждении
"В рамках проекта TinyWare подготовлена новая сборка Slackwar..."
Отправлено Аноним , 24-Июн-19 00:13 
О! Там в документации всё на русском. Привет соотечественникам! Молодцы, конечно... А можно всё тоже самое, только на основе Arch Linux? :)
"В рамках проекта TinyWare подготовлена новая сборка Slackwar..."
Отправлено Аноним , 24-Июн-19 00:27 
> Привет соотечественникам!

Не соотечественникам, а соотечественнику.

"В рамках проекта TinyWare подготовлена новая сборка Slackwar..."
Отправлено Аноним , 24-Июн-19 00:29 
Тем более! ;)
"В рамках проекта TinyWare подготовлена новая сборка Slackwar..."
Отправлено Michael Shigorin , 24-Июн-19 22:10 
> Не соотечественникам, а соотечественнику.

Сперва подумал -- уж не Хоттабыч ли :-)

> Патч к ядру PROC_RESTRICT_ACCESS

Напомнило активные деньки -ow patch.

> UMASK установлен в 077

Тоже чё-то знакомое, но уж не помню, где...

"В рамках проекта TinyWare подготовлена новая сборка Slackwar..."
Отправлено неарчевод , 24-Июн-19 00:29 
> А можно всё тоже самое, только на основе Arch Linux? :)

Можно: https://wiki.archlinux.org/index.php/Remastering_the_Install...

"В рамках проекта TinyWare подготовлена новая сборка Slackwar..."
Отправлено Аноним , 24-Июн-19 00:32 
Опять всё сам? Эх... :))
"В рамках проекта TinyWare подготовлена новая сборка Slackwar..."
Отправлено Annoynymous , 24-Июн-19 05:46 
И ALT Linux, пожалуйста )
"(offtopic) 'то же самое'"
Отправлено Michael Shigorin , 24-Июн-19 22:15 
Ну если совсем всё то же самое -- то это разве что ядро собирать (у нас варианты "32-битный юзерспейс с 64-битным ядром" никогда не поддерживались именно в репозитории, хотя руками, конечно, можно было и так накрутить).

Что-то на тему ограничения доступа к /proc в альте бывало достаточно долго, но примерно после kernel-fix-security-altsec имени lakostis@ (когда -ow для 2.6 так и не появилось, что ли, а подмножество функциональности ему хотелось) вроде никто не делал.

Если интересно -- думаю, стоит повесить FR на kernel-image-un-def в багзилу.

"В рамках проекта TinyWare подготовлена новая сборка Slackwar..."
Отправлено vantoo , 25-Июн-19 07:17 
Мсье знает толк в извращениях.
"В рамках проекта TinyWare подготовлена новая сборка Slackwar..."
Отправлено Аноним , 24-Июн-19 00:45 
Видел еще какую-то unique partitioning scheme тут: https://www.resilientlinux.com/. Кто знает, что там уникального?
"В рамках проекта TinyWare подготовлена новая сборка Slackwar..."
Отправлено Аноним , 24-Июн-19 10:23 
Мышкой клац-клац: https://liveng.readthedocs.io/en/latest/
"В рамках проекта TinyWare подготовлена новая сборка Slackwar..."
Отправлено gsdh , 24-Июн-19 01:44 
> Однако для администрирования системы, например для установки новых программ, необходимо перемонтировать разделы в rw режим. Для этого в TinyWare требуется выполнить в Терминале или в текстовой консоли команду sudo tinyware-beforeadmin. По завершении административной работы следует выполнить команду sudo tinyware-afteradmin.

Убожество

"В рамках проекта TinyWare подготовлена новая сборка Slackwar..."
Отправлено gsdh , 24-Июн-19 01:57 
Зачем превращать чистую - безкостыльную систему в убунтуподобною лажу
"В рамках проекта TinyWare подготовлена новая сборка Slackwar..."
Отправлено Аноним , 24-Июн-19 10:24 
Где ты в убунте подобную лажу видел?
"В рамках проекта TinyWare подготовлена новая сборка Slackwar..."
Отправлено VINRARUS , 24-Июн-19 04:03 
> необходимо перемонтировать разделы в rw режим
> sudo tinyware-afteradmin

А обычного mount -o remount,rw / недостаточно уже?

"В рамках проекта TinyWare подготовлена новая сборка Slackwar..."
Отправлено Павел Отредиез , 24-Июн-19 07:19 
Там ещё капы включаются и отключаются. Много часто набирать.
"В рамках проекта TinyWare подготовлена новая сборка Slackwar..."
Отправлено тщт , 24-Июн-19 10:30 
беспонятия что за капы
своя скриптина будет эффективнее в любом случае, хоть снапшоты делай, хоть перемонтируй, хоть что.
"В рамках проекта TinyWare подготовлена новая сборка Slackwar..."
Отправлено Аноним , 24-Июн-19 10:54 
Capabilities
"В рамках проекта TinyWare подготовлена новая сборка Slackwar..."
Отправлено Павел Отредиез , 24-Июн-19 13:09 
Ды? А я думал надо все в рот положить :)
"В рамках проекта TinyWare подготовлена новая сборка Slackwar..."
Отправлено Аноним , 24-Июн-19 20:22 
Почему?
"В рамках проекта TinyWare подготовлена новая сборка Slackwar..."
Отправлено Ю.Т. , 24-Июн-19 06:35 
Сомнительно. По сути изменений это предназначено для "единственных пользователей машины", которые "почти никогда ничего не ставят" ("и не должны"). Но раз линукс, то хоть раз, но понадобится рутовский пароль, зачем "огород" с перемонтированием? Тот же liveslak делает "корень без записи" изящнее.
"В рамках проекта TinyWare подготовлена новая сборка Slackwar..."
Отправлено _kp , 24-Июн-19 12:14 
Именно потому и сделано, что это система не для десктопов, а различных автономно работающих устройств.
Видимо так реализован упор на неубиваемость в ущерб привычным методам управления.
"В рамках проекта TinyWare подготовлена новая сборка Slackwar..."
Отправлено Ю.Т. , 24-Июн-19 14:05 
> Именно потому и сделано, что это система не для десктопов, а различных
> автономно работающих устройств.
> Видимо так реализован упор на неубиваемость в ущерб привычным методам управления.

Сомнительно. На эти случаи на основе slackware есть liveslak без persistence, и он даёт более общее решение. Кроме того, 800М в установочном образе это уже не "устройства".

"В рамках проекта TinyWare подготовлена новая сборка Slackwar..."
Отправлено Павел Отредиез , 24-Июн-19 07:42 
Переводится в классический режим одной командой, если не заперто на замок.
"В рамках проекта TinyWare подготовлена новая сборка Slackwar..."
Отправлено Ю.Т. , 24-Июн-19 09:10 
> Переводится в классический режим одной командой, если не заперто на замок.

Ну вот если и классический режим есть, то вообще цель непонятна. Опять же, изменённое ядро, не по слаковским понятиям. Для такой установки неплохо бы мультилиб, так он выведет образ за 900М.

"В рамках проекта TinyWare подготовлена новая сборка Slackwar..."
Отправлено Павел Отредиез , 24-Июн-19 11:30 
Ну как цель непонятна. Securelevel ами в Linux как в BSD и раньше занимались некоторые люди. Вот пожалуйста отключай любые capabilities  и  лочь.
"В рамках проекта TinyWare подготовлена новая сборка Slackwar..."
Отправлено Аноним , 24-Июн-19 12:44 
>Патч к ядру PROC_RESTRICT_ACCESS. Данная опция ограничивает доступ к каталогам /proc/pid в файловой системе /proc c 555 на 750, при этом группа у всех каталогов назначается root. Поэтому пользователи видят командой "ps" только свои процессы.

Ужасный костыль. В любом дистре это делается намного проще. Просто добавляем в fstab:

proc /proc proc hidepid=2 0 0

https://sysadmin.pm/hidepid/

"В рамках проекта TinyWare подготовлена новая сборка Slackwar..."
Отправлено Павел Отредиез , 24-Июн-19 12:56 
Не знал, надо будет потестить.
"В рамках проекта TinyWare подготовлена новая сборка Slackwar..."
Отправлено Павел Отредиез , 24-Июн-19 13:47 
Не очевидно. Было, да. У них пермишены одни, а не пускает. Костылевато, хоть и было и работает. Останусь на своём.
"В рамках проекта TinyWare подготовлена новая сборка Slackwar..."
Отправлено Аноним , 24-Июн-19 14:45 
Polkit отрубается при таком fstab для обычного юзера. :(
"В рамках проекта TinyWare подготовлена новая сборка Slackwar..."
Отправлено анонимус , 24-Июн-19 20:14 
Создаётся специальная группа, пользователь polkitd добавляется в неё, файловая система proc монтируется с опцией gid=<GID>
"В рамках проекта TinyWare подготовлена новая сборка Slackwar..."
Отправлено Аноним , 24-Июн-19 22:59 
То-то и оно, что потом обычный пользователь видит процессы других. Не выход. А polkit ему нужен, хотя бы, чтобы выключить комп.
"В рамках проекта TinyWare подготовлена новая сборка Slackwar..."
Отправлено Павел Отредиез , 24-Июн-19 15:01 
Раз люди хорошо восприняли. Тогда песенка Openbsd https://youtu.be/0fOjsIxinDk
"В рамках проекта TinyWare подготовлена новая сборка Slackwar..."
Отправлено Павел Отредиез , 25-Июл-19 23:35 
Стоит переделать все на Debian? Или оставить Slackware? Или вообще не нужно и нефиг заморачивться?