В выпуске Fedora 40 предложено включить настройки изоляции для включаемых по умолчанию системных сервисов systemd, а также сервисов с важными приложениями, такими как PostgreSQL, Apache httpd, Nginx и MariaDB. Предполагается, что изменение позволит значительно повысить защищённость дистрибутива в конфигурации по умолчанию и даст возможность блокировать неизвестные уязвимости в системных сервисах. Предложение пока не рассмотрено комитетом FESCo (Fedora Engineering Steering Committee), отвечающим за техническую часть разработки дистрибутива Fedora. Предложение также может быть отклонено в процессе рецензирования сообществом...Подробнее: https://www.opennet.me/opennews/art.shtml?num=60152
что опять( господи, я простой юзверь, сбежавший от добровольно-принудительной пыточной камеры копрорации ООО «МЕЛКОСОФТ», так меня и тут прогревают(((
А че, в виндовсе появилась изоляция? Раньше это была помойка, где у всех есть права на все.
>>Раньше это была помойка, где у всех есть права на все.Раньше - это с 1985 по 1993? Потому что с 1993 есть Windows NT 3.1, где это не так. Так что если сильно было нужно, это было реально.
На практике, конечно, мало кто ей пользовался на десктопе, а вот с 1996 года тем, кому реально это было нужно, уже была доступна очень стабильная и юзабельная на обычных машинах NT4.
Вы не застали эпидемии autorun-вирусов на "безопасной" XP, которая была потомком 2000, которая, в свою очередь, была потомком "безопасной" NT4?
А вот NT 3.5 / 3.5.1 была потомком многими забытой (но до сих пор существующей) OS/2. И вот у неё проблем с вирьём было/есть куда меньше, чем у потомков.
Преимущества Неуловимого Джо.
> Преимущества Неуловимого Джо.Соглашусь, что имеет место и это быть. Но всё таки не только.
Только. Я OS/2 успел напользоваться вдоволь. И вирусы там были, и все остальные приключения. Мифы про уникальную устойчивость и производительность OS/2 сильно преувеличены людьми, никогда OS/2 не использовавшими.
> Только. Я OS/2 успел напользоваться вдоволь. И вирусы там были, и все остальные приключения.Ну а про вирусы именно под OS/2 (не варианты под подсистему DOS, т.е. обычные DOS-овые), а именно под OS/2 расскажи поподробней. Там их было "1,5 землекопа" - одной руки для пересчёта хватит. И даже интересно, на какой помойке надо было брать софт, чтобы их найти.
Коллеги, обслуживающие банкоматы, с сильным недоумением бы на тебя посмотрели. Сейчас банкоматов на OS/2, наверное, и нет, а раньше были почти единственным вариантом и разницу ТП ощутила сразу после замены на виндовозные новые.> Мифы про уникальную устойчивость и производительность OS/2 сильно преувеличены людьми, никогда OS/2 не использовавшими.
Что же ты с нею делал, что она у тебя падала? У нас лет 15 проработала минимум - вообще проблем не помню (только с платами управления были проблемы). Я потом поставил подмену и работало ещё несколько лет до переезда. И не только у меня было нормально: коллеги, у которых OS/2 работала на банкоматах, 3D принтерах (не домашних современных), установке МРТ, управлении зданием в мед.учреждении. Проблемы с железом (поддержкой или поломкой) - да, бывало, но если всё настроено и настроено как надо - работало без нареканий.
Насчёт производительности не скажу (не сравнивал), но у меня она и на работе была и дома (некоторое время - основной системой, eComStation) - не могу припомнить проблем с устойчивостью. Даже при условии проблем (с наличием) с драйверами.
> А вот NT 3.5 / 3.5.1 была потомком многими забытой (но до
> сих пор существующей) OS/2. И вот у неё проблем с вирьём
> было/есть куда меньше, чем у потомков.Во всех NT-based видите ли без регалий админа софтом пользоваться почти невозможно, в том числе и потому что изначально писан под Win95 где всем можно все.
И если применить что-то типа *nix'ного подхода - круто. Только ничего не работает. На память оь этом начиная с висты появился сказочный костыль UAC и админ который как бы админо, но вроде и не админ. И страшные запросы-подтверждения правда ли вы админ. Работает это все понятно как - как обычно у майкрософта. Т.е. гимора больше для пользователей и админов чем вирмейкеров. Которым к тому же вот прям такие уж крутые права по жизни и не интересны в последнее время. Спамить, считать коины и ддосить можно и без всего этого. А от продвинутых руткитных выходок - только глюки лезут, пакость палится.
Иными словами, вирусне достаточно прав пользователя, под которым она запущена, чтобы украсть его крипту и т.д)
> Иными словами, вирусне достаточно прав пользователя, под которым она запущена, чтобы украсть
> его крипту и т.д)В принципе - да. Но если я софт ставил в линухе как рут, пакетником, а системные сервисы под совсем иными пользователями и с изоляцией от системы - переключить пользователя на вот этого и обойти изоляцию... если вы так можете, у вас вероятно правов - на двух рутов хватит. Или как вы без правов это организуете, интересно? Особенно в вон той конфиге?
>> Иными словами, вирусне достаточно прав пользователя, под которым она запущена, чтобы украсть
>> его крипту и т.д)
> В принципе - да. Но если я софт ставил в линухе как
> рут, пакетником, а системные сервисы под совсем иными пользователями и с
> изоляцией от системы - переключить пользователя на вот этого и обойти
> изоляцию... если вы так можете, у вас вероятно правов - на
> двух рутов хватит. Или как вы без правов это организуете, интересно?
> Особенно в вон той конфиге?А зачем зловреду права системных сервисов, если достаточно прав текущего пользователя, чтобы распоряжаться его файлами и мощностями его ПК?
>> Вы не застали эпидемии autorun-вирусов на "безопасной" XP, которая была потомком 2000, которая, в свою очередь, была потомком "безопасной" NT4?Эпидемии ауторан-вирусов были возможны потому, что подавляющее большинство юзеров постоянно сидели под учетками админа. Это не ограничение архитектуры ОС, это индикатор уровня среднестатистического пользователя. Сиди эти же люди под Linux под рутом, имели бы потребность запускать такое же количество разношерстного софта (иногда сомнительного происхождения) и запускали бы все, что запускается - была бы такая же история. Но под Линуксом эти люди не сидели, а сидели они под виндой.
Кстати, иногда я все еще наблюдаю похожий феномен среди некоторых пользователей FreeBSD - они делают всё от рута и с презрением смотрят на sudo или его аналоги. Но для этих 10 человек тоже никто вирусов не написал :D
А Windows XP (как и NT4) имеет все средства, чтобы не ловить аутораны, что многие опытные юзеры прекрасно делали. Отключение автозапуска и использование обычной учетки в принципе закрывало большую часть подобных проблем. А кто уж дочитывал гайды до разделов про применение политик безопасности...
> Эпидемии ауторан-вирусов были возможны потому, что подавляющее большинство юзеров постоянно
> сидели под учетками админа. Это не ограничение архитектуры ОС, это индикатор
> уровня среднестатистического пользователя.Да вот видите ли - под ограниченными учетками виндовый софт ломался чуть менее чем весь.
> Сиди эти же люди под Linux под рутом
А вот там софт изначально приучен к тому что права птичьи - и не ломается от этого. Чем они и отличаются. Так что в теории равны. На практике некоторые равнее.
Чушь. Вся "безопасность" Пинды на авторитетных обещаниях^W подписях держится.Даже настройки программ отдельно от бинарников начали хранить только с Висты. И сейчас многие под себя гадят из-под админа.
И правила для фаерволла программы тоже с собой носят под честное слово.
А уж autorun.exe, коли тут вспомнили, прописывающие себя в 500 мест реестра, и по сей день гуляют между офисами на флешках.
Ну, можетида - но она там определенно _есть_ и определенно "держится" - в отличие от, ниасиливших ни нормальный acl на файлы, ни возможность дать доступ к сети конкретной программе, ни... да ничего в общем ниасиливших "неуловимых Джо".
Кому нужно открыли для себя opensnitch. Открыли и тут же закрыли. Потому что application firewall - бесполезная игрушка в отсутствии других форм изоляции процессов (ФС, памяти). И, что характерно, в Линуксе такие решения есть, и они сразу фундаментальные (user namespaces, eBPF и т.п.). Конструкторы, из которых в прямых руках, звездолёты строят.
А что лично ты там "ниасилил", никого не волнует.
> Кому нужно открыли для себя opensnitch. Открыли и тут же закрыли. Потому
> что application firewall - бесполезная игрушка в отсутствии других форм изоляции
> процессов (ФС, памяти). И, что характерно, в Линуксе такие решения есть,
> и они сразу фундаментальные (user namespaces, eBPF и т.п.). Конструкторы, из
> которых в прямых руках, звездолёты строят.
> А что лично ты там "ниасилил", никого не волнует.Ну, да - как-то вот так оно все и выглядит. Мы тут рассуждаем, как в космос правильно летать надо, а портки перед дефекацией сымать - не барское дело; свое не пахнет, а это вот - не иначе как корпорасы из лютой ненависти наклали.
> Ну, можетида - но она там определенно _есть_ и определенно "держится" -
> в отличие от, ниасиливших ни нормальный acl на файлы, ни возможность
> дать доступ к сети конкретной программе, ни... да ничего в общем
> ниасиливших "неуловимых Джо".На фоне этих поделий мои конфиги тоже смотрятся просто звездолетами. С одной стороны - никакого факин микроменеджмента - вбил координаты назначения и варпнулся туда. С другой это все сильно проще, быстрее, предсказуемее. А силовые щиты еще и не такой threat level отфутболивают.
Пока вы там трахались с микроменеджментом, рискуя неверно понять эффективный набор прав, и молясь чтобы хаксоры не нашли обходной путь - я за 10% времени от этого нарулил куда более радикальную изоляцию под совсем другие допущения, где не то что мышь, блоха не проскочит.
...а если можно получить результат лучше и быстрее, надлежит признать вон то страданием фигней. Цель же не супер-абстракции нагородить, а достичь результатов. Как то - чтбы удобно было легитимному админу, а неудобно - интрудерам. В вон тех системах обычно все наоборот получается, #$%ться с настройкой дольше чем хаксору обходить. И зачем это в таком виде надо?!
В результате на маздае пользователь зажат между молотом и наковальней и ему с обоих сторон достается, и от вендора и от хаксоров. А чтоб хорошо, удобно, безопасно, с респектом приваси, и вообще - да вот сейчас. Достаточно EULA почитать чтобы все понять.
> На фоне этих поделий мои конфиги тоже смотрятся просто звездолетами. С одной стороны - никакого > факин микроменеджмента - вбил координаты назначения и варпнулся туда. С другой это все сильно проще, быстрее, предсказуемее. А силовые щиты еще и не такой threat level отфутболивают.
> Пока вы там трахались с микроменеджментом, рискуя неверно понять эффективный набор прав,
> и молясь чтобы хаксоры не нашли обходной путь - я за
> 10% времени от этого нарулил куда более радикальную изоляцию под совсем
> другие допущения, где не то что мышь, блоха не проскочит.И все это - не привлекая внимания санитаров. Неуловимого Джо - опять не поймали - шах-и-мат, скептики!
> И все это - не привлекая внимания санитаров. Неуловимого Джо - опять
> не поймали - шах-и-мат, скептики!Я так то еще до кучи умею Enterprise Admin быть. Поэтому имел возможность сравнить как мне оно.
...и пришел к выводу что можно сделать мои системы намного секурнее с в 20 раз меньше трахом. Что и заимплементил. И ощущения вот реально - как будто я из прогнившего фордфокусв в звездолет пересел.
>> И все это - не привлекая внимания санитаров. Неуловимого Джо - опять
>> не поймали - шах-и-мат, скептики!
> Я так то еще до кучи умею Enterprise Admin быть. Поэтому имел
> возможность сравнить как мне оно.
> ...и пришел к выводу что можно сделать мои системы намного секурнее с
> в 20 раз меньше трахом. Что и заимплементил. И ощущения вот
> реально - как будто я из прогнившего фордфокусв в звездолет пересел.Да не интересен твой локалхост примерно никому, узбагойся. Сделаешь ну если не ERP или там SCADA\MES какой - так хотя бы файлопомойку с правами доступа, корпоративный портал в 20% возможностей шарика или там почтовый сервер, умеющий в календари, интеграцию с сервером каталогов и отображение статусов - будешь интересен, но ты ж не сделаешь, тыр-дыр-прайс-админ. Предполагаю - что и стандартную охапку грабель-и-костылей на бубернетовской изоленте не соберешь, на этапе выбора дистрибутива и конпеляния ведра застрянешь.
systemd позволяет переопределить любой unit файл: просто скопируйте стандартные и отключите изоляцию в них ну или бубунту возьмите, там попроще отношение к безопасности
Бубунта движется в направлении Snap OS.
> Бубунта движется в направлении Snap OS.Никак не влияет на systemd и его настройки. А вот как ветеран-юниксы аналоги вон того делают - это да, вопрос.
Если это какой-то вид иронии, то звучит ещё глупее.
не ирония
я правда не понимаю, это забота о пользователях или "забота о пользователях"
У меня такое же ощущение.
Уже 11 лет на всех моих ПК - Linux.
Раньше он был офигенен. Ты указываешь, что нужно делать, Linux делает. Да, бывало приходилось подзаморочиться, но всё же.
Теперь здесь начинает происходить то же г..., что и в Windows, когда "система знает, как тебе будет лучше" или слишком ограничивает тебя, чтобы что-то сделать нестандартное.Один пример (самый близкий по времени): мне понадобилось в Ubuntu добавить 'options rotate timeout:1' в resolv.conf. Раньше - добавил ручками и норм.
Теперь мой любимый и обожаемый Поттеринг в своей поделке systemd-resolved не предусмотрел возможности добавления дополнительных options в resolv.conf (да действительно, кому это нужно!). Руками добавлять бесполезно - файл генерируется его поделкой "на лету". В результате чего пришлось устраивать марафон гуглежа и извращений. Выпилил systemd-resolved, поставил на его место dnsmasq и настроил, как хотел. Серьёзно!? И вот ЭТО Поттеринговское неконфигурируемое г... теперь основа для построения дистрибутива!?К чему эта простыня? Я свалил с Windows (кроме всего прочего) когда понял, что система слишком много на себя берёт и не позволяет много чего. А ОС для меня - инструмент, а не объект со своей волей. Теперь мой любимый Linux медленно, но верно начинает делать то же самое (((
Ставь слачельничек. И на работе тоже ставь слачельничек.
Никогда и нигде resolv.conf не правился вручную. Ты откуда-то из 90х вынырнул, видимо. И не проецируй свою убунту на линукс, пожалуйста. Такие дистрибутивы, как Убунту, всегда были себе на уме: имели кучу подверженной ошибкам логики, необходимой, чтобы удовлетворять самых неспособных пользователей.
такие дистрибутивы как Дебиан ты хотел сказать
Недееспособные пользователи дебианом не удовлетворены.
А вот убунта их периодически удовлетворяет (с ущербом для дееспособных пользователей).
> Один пример (самый близкий по времени): мне понадобилось в Ubuntu добавить 'options rotate timeout:1' в resolv.conf.А вы вообще понимаете физический смысл этих опций? Они означают - "последовательно отправлять запрос на все перечисленные резолверы, меняя их местами при каждом новом запросе, ожидать ответа одну секунду". Позволяет минимизировать проблемы при временной недоступности части резолверов (при недоступности одного из двух, например, половина запросов будет тупить на секунду больше).
Если resolv.conf является симлинком на stub-файл от resolved, то там будет только один сервер - сам resolved. А он, в отличии от glibc resolver, отправляет запросы на апстримные резолверы параллельно, а не последовательно, и возвращает первый успешный ответ. Соответственно, менять порядок и устанавливать таймаут смысла вообще никакого - результат будет выдан клиенту максимально быстро, даже если часть апстримов не ответила.
угу, а потом отгадайте какой из серверов вернул NOERROR и какую то хрень в поле ответа вместо адреса
> мне понадобилось в Ubuntudevuan и antix адекватно ответят на ваши запросы.
а африканскую поделку (ненавижу расизм и негров) - патчем Бармина.> свалил с Windows [...] когда понял, что система слишком много на себя берёт и не позволяет много чего
например ?
мне винда позволяет много чего из того что многие MS*E считают невозможным и/или вредным.
так у меня и инструменты не как у этих самых.
Можно же было просто спросить у знающих людей)Что делает resolved Поттеринга? Он создаёт сразу 2 разных варианта (но оба рабочие) resolv.conf в папке "/run/systemd/resolve/". И следит чтобы они не менялись. Что сделали разрабы вашего дистра? Они сделали /etc/resolv.conf симлинком на один из файлов в /run/systemd. Проверить это легко:
ls -lha /etc/resolv.confЕсли вас это положение не устраивает, просто сделайте unlink /etc/resolv.conf и напишите в новый файл что угодно. Например всё, что там уже было, но с доп опцией. Это работает, а resolved удалять не надо, он у нас - и кеш, и DoT (DNS over TLS), и mdns для бедных, и решение кучи проблем с DNS внутри VPN (при наличии).
> просто сделайте unlink /etc/resolv.conf и напишите в новый файл что угодно.и не забудьте sudo chattr +i /etc/resolv.conf
слишком много желающих переписать, почти все из них с правами root.
Стесняюсь спрашивать - а настройка статических адресов на сервере через network-manager не жмёт, не? :)
А мог почитать документацию. Мне как раз недавно было надо что-то подобное, так я прочитал man systemd-resolved и нашел там```
/ETC/RESOLV.CONF
Four modes of handling /etc/resolv.conf (see resolv.conf(5)) are
supported:
```много интересного, рекомендую.
Это ядерная изоляция. Она почти бесплатная.
Правильно, производительность - зло.
Это все на cgroups и бинд маунтах, ни холодно ни жарко от этого производительности
cgroups
производительностьАхтунг! Взаимоисключающие параграфы.
Более того, с net namespaces можно таки создать больше проблем, чем решить.
> Ахтунг! Взаимоисключающие параграфы.Где?
> Более того, с net namespaces можно таки создать больше проблем, чем решить.
Сдуру можно всё что угодно сломать.
Особенно если CVE почитать.
> Особенно если CVE почитать.Поэтому давайте сделаем как Win95 - нет подсистем безопасности нет вулнов в них. Заходи кто хошь, бери что хошь. И никаких CVE в полсистеме безопасности.
Извини, по дефолту в этом твоем классическом юниксе сервис может у тебя по хомяку шарахаться как ему угодно. Безопаснее только W95, так то, а то у этих CVE с записью в хомяк юзера и прочие shared темпы с симлинками и гонками случались. В W95 не было многопользовательской системы прав, так что и CVE тоже не было. Аргумент, да?!
> CVE в полсистеме безопасностиОпечаточка как раз про cgroups и network namespaces.
V2 правда получше. А с последними всё так же плохо - костыль на костыле.
>> CVE в полсистеме безопасности
> Опечаточка как раз про cgroups и network namespaces.Ну правильно, поэтому давайте сделаем проходной двор где всем можно все и не будем пытаться чинить. А так - да, линух не делали под ТАКИЕ абстракции. Как впрочем и все остальные более-менее живые и развитые ОС. Поэтому иногда ус у абстракций отклеивается а кернел неверно понимает пермиссии, что, конечно, чревато.
Но вот только если на чек пермиссий совсем забить - CVE конечно убавится но это будет классическое лечение головной боли при помощи гильотины. Если голову отрубить, то и болеть она не сможет. Логично.
> V2 правда получше. А с последними всё так же плохо - костыль на костыле.
Покажи решения лучше, чудик. Языком пиндеть - не мешки ворочать. Не, разрешить "всем" - "всё" это не "лучше" как раз. Даже если и избавит от CVE за отсутствием секуритифич.
В чем разница? Баги в секурити подсистемах и абстракциях постепенно починят. А проходной двор так и останется проходным двором. Этим подходы и отличаются.
> Правильно, производительность - зло.Достоинство ядра Linux - практически все эти ограничения идут с нулевым оверхедом.
Это не враппер, а просто отключение/навешивание дополнительных флагов на процесс.
Ды щаз, с нулевым оверхедом. Одних структур только на полкеша.
> Ды щаз, с нулевым оверхедом. Одних структур только на полкеша.Де факто на производительность не влияет с точностью до погрешности измерений как правило. Ну и у остальных с производительностью как правило хуже даже и без этого. Поэтому пингвин и получает свое в номинации EPIC WIN. А системд что, он интерфейс к этим фичам системы. Получше чем сборище спичек и желудей, имеющее неиллюзорные проблемы с изоляцией программы от - внезапно - СЕБЯ. Ну вот незачем какому там вебсерваку вообще bash вызывать. Легитимных причин для этого - ноль.
Где тут угроза производительности? Они же не в снапы/докеры/флътпаки/аппимэйджи это пихают, а просто настройки systemd включают. Я вообще удивлён, что это всё не идёт по-умолчанию. Вообще-то изоляция одна из ключевых фич systemd.
Ну как же, все эти проверки требуют помимо исполнения полезных команд ещё и условных переходов, то есть 1001 вместо 1000. На Pentium II такой переход в худшем случае требует целых 12 тактов против 5. Несложно прикинуть, что производительность просядет в разы.
> На Pentium II такой переход в худшем случае требует целых 12 тактов против 5. Несложно прикинуть, что производительность просядет в разы.Соболезную тем кто захочет поставить Fedora 40 на Pentium II. Советую им ещё раз покопаться на помойке, там полюбому отыщется Core 2 Duo, а может даже Pentium G нароют.
Зато мне тебя ни чуть не жаль. Не понятно лишь, что ты делаешь в этом своём IT с такими когнитивными способностями.
> Не понятно лишь, что ты делаешь в этом своём IT с такими когнитивными способностями.Получаю 100500 денег и радуюсь жизни, а что?
>> Не понятно лишь, что ты делаешь в этом своём IT с такими когнитивными способностями.
> Получаю 100500 денег и радуюсь жизни, а что?А ты это он?
> Зато мне тебя ни чуть не жаль. Не понятно лишь, что ты
> делаешь в этом своём IT с такими когнитивными способностями.Ну что делаю? Пользуюсь адекватным железом и софтом. Я не обладаю супер способностями которые мне бы позволяли сейчас использовать железо из 98 года.
> Советую им ещё раз покопаться на помойке, там полюбому отыщется Core 2 DuoУ меня домашний медиасервер крутится на Core2Duo под Fedora 39. Знатно всё крутится: торренты, файлы, AceStream
Это фича ядра. Можно и из портянки на Баше вызвать службу через какой-нибудь bwrap.
Что только не придумают, чтобы не использовать pledge(2)
Хорошая команда, но у нее есть фатальный недостаток...
какой? расскажи же нам, умоляем. пожалуйста-припожалуйста. открой нам тайну
NIH
Это же сискол, а не команда...
syscall - это как раз команда процессора.
Точно процессора?
Это в том числе и инструкция процессора."syscall" Assembly Instruction.
Хотя раньше системные вызовы работали без нее, насколько я помню.
Работали, но "прерываниями" называть не солидно, это же не ДОС.)
> Точно процессора?Абсолютно точно. Как и sysenter, и int 0x80...
pledge(2) - это сискол. Для таких умных, как ты, в скобках двойка. Но ты её, увы, в упор не видишь.
> pledge(2) - это сискол. Для таких умных, как ты, в скобках двойка.
> Но ты её, увы, в упор не видишь.Вижу, конечно. Как и неумелые попытки заняться буквоедством, тогда как по существу написавший про фатальный недостаток прав.
Если тебе интересно буквоедство, давай продолжим буквоедство:
2 System calls (functions provided by the kernel)
Видишь пробел? Смотри внимательно. Может быть в следующий раз не будешь выпячивать непонимание, чем отличается сискол от вызова системной функции.
Буквоедством первым начал заниматься не я. Можно было и сразу догадаться по первому сообщению, о чем идет речь, а не придираться к понятиям systemcall и system call.Зато теперь мы знаем, вы, дядя, серьезный и умный.
> Что только не придумают, чтобы не использовать pledge(2)Смотря какой. Их два.
OpenBSD - оверхед минимален, но каждую прогу нужно патчить, чтобы она сама для себя включала в ядре ограничения.
FreeBSD - запускается как враппер, соответственно, добавляет тормозов. Зато можно не патчить.А тут ограничения в ядре включаются системным менеджером. Соответственно, ни враппер не нужен, ни патчи.
> Что только не придумают, чтобы не использовать pledge(2)Ну покажи как ты это лихо запиливаешь своему сервису за 5 минут. Я то произвольному сервису в системд вон то вывешу по сути просто копипастой вон того в его юнит в /etc - на чем вопрос будет закрыт. И займет не более 5 минут.
А у вас это как выглядит для вот именно вашей кастомной программы?
В Федоре тестируют потом в Шапке внедрят и мы через лет 10 увидим в шапке то что уже есть и было в Солярисе лет 10 назад ... всё новое - хорошо забытое старое.
Нехорошие звоночки с явным привкусом копроративного aнaльного огораживания.
Сама система прав доступа этим привкусом отдаёт. Это что - руту можно все файлы править, а обычным пользователям нельзя? Явно заговор капиталистов.
> ProtectClock=yes - запрет изменения времени.Звучит шикарно, сначала повесить синхронизацию времени на systemd, потом отрезать доступ...
Правильно, защитим истинный юниксвей! Не дадим отнять у апача возможность менять системное время!
Вы путаете системд и юниты, которыми он управляет
Разобравшись с разницей между systemd и его юнитами, стоит перейти к понимаю разницы между systemd и systemd-timesyncd. Например, у меня практически на всех системах init-ом является systemd, а время синхронизирует chrony.
>> ProtectClock=yes - запрет изменения времени.
> Звучит шикарно, сначала повесить синхронизацию времени на systemd, потом отрезать доступ...А с какой бы легитимной целью допустим httpd, или кто там, мог бы захотеть мне системное время корежить?! Поэтому всем и зарубить - кроме сервисов синхронизаторов времени, разумеется.
Принцип файрволла по сути: DENY ALL, ALLOW (as needed).
Да, ладно, мою уже с 39 версии заизолировали, вылетает из сессии каждые 5 минут или после того как экран погаснет, вот это я понимаю забота о безопасности.
А ты форточку закрывай, чтобы не вылетало.
У меня нормально работает, уже месяц как стоит.
Переключи на классический gnome в окне входа и попробуй как работает
> уже месяц как стоитТак долго нельзя - некроз будет.
C беты всё бессбойно работает. Ты — мелкий лжец
Эти чудики диграются и будет как в серьезнный гайдах:
- а сейчас мы поставим Orace DB, но во первых сделайте selinux=disabled!!
> selinux=disabledНормальные люди его выкорчёвывают ещё на этапе установки. Со всем и насовсем.
Разочарую. Он является частью ядра.
И выкорчёвывешь ты только его политики (максимум - либы для их обработки). А SL как был в системе, так и остаётся
> Он является частью ядра.и что ?
делать свои ядра в деривативах редхата уже немодно ?
можно выиграть от 1% до 11% производительности.
или наоборот, потерять. смотря что и как делать.
Они и делают свои, по последнему писку моды. Скопировали конфиг и собрали своё.)
>> Он является частью ядра.
> и что ?
> делать свои ядра в деривативах редхата уже немодно ?
> можно выиграть от 1% до 11% производительности.
> или наоборот, потерять. смотря что и как делать.В нормальных местах запрещены в проде самосборные ядра от Васянов
если Васян сертифицированный специалист редхата, то можно ?
тоже нельзя
самособранное ядро (любое) => отказ в техподдержке
с одной стороны логично, с другой стороны шли бы они лесом.
Нормальные люди умеют его настраивать.
> PrivateTmp=yes - предоставление отдельных директорий со временными файлами.Кончался 2023 год.
Человеческая цивилизация доживала последние дни.
Приложения валили свои файлы в одну общую папку с правами на исполнение.
ух, щас бы тмп с такими правами монтировать, ух
Не надо этих полумер. Каждому сервису - персональный контейнер.
Уже есть такой дистр
Это тебе к мадам Рутковской (или мадмуазель ?). Ставь Qubes и каждому сервису будет своя виртуалочка.
Пани Рутковска полька, а потому во-первых "пани", а во-вторых "Рутковска", а не "Рутковская"Ну и да, она покинула основанный ей QubesOS достаточно давно, лет пять назад что ли и сейчас он развивается без нее
Сначала изолируют сервисы, потому будут фиксить ошибки обхода изоляции
Очередная новость о том, что корпарасы пилят, то что им нужно для своего бизнеса, - конец новости, расходимся!
Добро пожаловать в реальный мир опенсорса.
Люди не хотят объединяться и пилить без корпорастов к сожалению, ленивые какие-то...
Пускай Docker=yes внедрят, а то цены на сборки под 1151v2 всё ещё не падают.
Простите, у вас винда или мак?
(На линуксе докер нативный, поэтому проблем с производительностью нет, а вот под "труЪ unixЪ" операционками он работает в линуксовой виртуалке и поэтому подтормаживает)