Ассоциация OpenELA (Open Enterprise Linux Association), в прошлом году образованная компаниями CIQ (Rocky Linux), Oracle и SUSE для объединения усилий по обеспечению совместимости с RHEL, представила проект kernel-lts, в рамках которого обеспечит дополнительное сопровождения для некоторых устаревших LTS-веток ядра, после прекращения их официальной поддержки...Подробнее: https://www.opennet.me/opennews/art.shtml?num=60794
А зачем? Создавать видимость полезной активности для продаж, допустим, но даже официально поддерживаемые лтс адово деградируют в самые короткие сроки. Не пора отойти от этих устаревших практик с ветками, всё равно их ломают направо и налево, да и стоимость сопровождения в нынешних реалиях не сопоставима стала?
postmarketos, ubports & куча плат на ARM только спасибо скажут.
юзать сразу SLTS ?
а производители могут апдейт между ними делать?
да нет, бред какой то. кто новое купит тогда?)
Мог бы и до декабря 24 года с 4.19 на 6.6 не переходить оказывается,но да ладно. 6.8 без дополнительных РТ патчей тоже норм. Хотя 4.19 с ними была конфеткой.
Мне uksm не хватает. Я переписывал патчи, переписывал, но их постоянно ломали. А в протухших ядрах всё же вечно какой-то функциональности не достаёт.
> какой-то функциональности не достаёт.Какой? Можно хотя бы 1 пример?
>> какой-то функциональности не достаёт.
> Какой? Можно хотя бы 1 пример?Сразу 3, того что появилось в 5 и не существовало в 4: cap_checkpoint_restore, futex2, ext4 casefold.
Можем поговорить о 6.
Надоело перекомпилировать приложения под каждую версию не то что ядра, а glibc. В Windows такой сложности не было.
А зачем ты это делаешь, занять себя нечем? В линуксе такого нет, любой прошлый софт работает с актуальной системной libc. В щиндоус баги в зависимости от имеющейся версии libc обычное дело, поэтому каждое приложение тащит свою совместимую libc, которая останется в системе и после его удаления. Именно так, если в той версии баги или уязвимости, она останется доступной для малвари в будущем.
> А зачем ты это делаешь, занять себя нечем? В линуксе такого нет,
> любой прошлый софт работает с актуальной системной libc. В щиндоус баги
> в зависимости от имеющейся версии libc обычное дело, поэтому каждое приложение
> тащит свою совместимую libc, которая останется в системе и после его
> удаления. Именно так, если в той версии баги или уязвимости, она
> останется доступной для малвари в будущем.Ты шизонулся, чувак.
В windows нет libc, проблемы, про которые ты говоришь, существовали в последний раз где-то в районе XP, лет так 20 назад.
Или ты не шаришь. Что такое, по-твоему, vcruntime? И зачем столько копий либ разных версий на диске? Они не удаляются после удаления пакета.
Я действительно хочу понять, без злобы и троллинга, объясните мне, пожалуйста, почему нельзя просто перейти на новейшее ядро версии LTS? Зачем поддерживать это старьё десятилетиями?
Например, проприетарные блобы пишутся под конкретное ядро и с другим ядром их не слинковать без переписывания и адаптации, а это время разработчиков, которые могли бы работать над новым продуктом приносящим деньги вместо поддержки старых. Актуально для встроек всяких. Того же андроида. Проблема в том, что сопровождающие ядер на редкость криворуки и могут сломать что-нибудь в минорном патче лишь бы нагадить проклятым конкурентам из соперничающих корпораций.
>могут сломать что-нибудь в минорном патчеBy design
Stable API is nonsense.
Не гони. Разработчики ванильного ядра в минорных релизах API не ломают.
>>могут сломать что-нибудь в минорном патче
> By design
> Stable API is nonsense.В минорном не встречал такого. Патчи на 5.4 накладываются без нареканий уже годами.
Более того, перенес их с мажорной версии на мажорную без изменений (5.3 -> 5.4), но полагаю, это всё же исключение :-D
> В минорном не встречал такого.В 6.7.3 сломали NVIDIA drivers, а так "не встречал".
Фанатики как всегда несут и не расплёскивают:
https://forums.developer.nvidia.com/t/linux-6-7-3-545-29-06-...
И это далеко не первый раз.
>> В минорном не встречал такого.
> В 6.7.3 сломали NVIDIA drivers, а так "не встречал".а, тот самый знаменитый "фак ю нвидия":
>> What a surprise? Not really. Some day the NVidia driver devs will
>> stop using internal API calls and interfaces that are really verboten
>> in the GPL world. Some day.
>>
>> Not today.
> Фанатики как всегда несут и не расплёскивают:
> https://forums.developer.nvidia.com/t/linux-6-7-3-545-29-06-...
> И это далеко не первый раз.здесь видно, что ядерщики знали что это сломает нвидию. И сломали намеренно, а не "несут и расплёскивают". Что ж, нвидию прогнут, не вижу в этом ничего плохого для обладателей карт нвидия. Ты видишь?
> ядерщики знали что это сломает нвидию. И сломали намеренно, а не "несут и расплёскивают".Только эти п####ы сломали не невидию.
А компы тысячам юзеров, которые по глупости обновили свой "стабильный и надежный" линукс.
И которые теперь подумают "а можно ли вообще доверять этим неадекватам?", которые в МИНОРНОЙ версии ломают нам ось.
>> ядерщики знали что это сломает нвидию. И сломали намеренно, а не "несут и расплёскивают".
> Только эти п####ы сломали не невидию.
> А компы тысячам юзеров, которые по глупости обновили свой "стабильный и надежный"
> линукс.
> И которые теперь подумают "а можно ли вообще доверять этим неадекватам?", которые
> в МИНОРНОЙ версии ломают нам ось.юзеры нвидии привыкли к поломкам, ничего сверхестественного для них не произошло.
вендор, которому платят деньги, своим клиентам врядли подкинули такое ядро.
а доверять или нет, ну... кто-то держит?
с недостаточно богатых скажем... пользователей арча, какой профит? Пусть тестят системд и радуются что могут пощупать ынтыпрайз нахаляву. А цели разрабов ядра ясны, нвидия в мейнлайне. Что там взбунтовались хомячки - ой, ну бога ради, мэн.
> И которые теперь подумают "а можно ли вообще доверять этим неадекватам?", которые в МИНОРНОЙ версии ломают нам ось.Вы, наверное, забили, как ServicePack для Windows 7 сломал работу драйвера Radion?
Вы, наверное забыли, как в Windows 10 2019H1 сломало драйвера для Xerox Wide?
Вы, наверное забыли, как в Windows 10 2020H2 сломало возможность работы Cuda?
Вы, наверное забыли, как в Windows 10 1017H1 сломали драйвера сканера Samsung?
Вы, наверное забыли, как в Windows 10 2022H2 сломало возможность устройствам, работающих по SMB и использующих для авторизации на ПК NTLMv1, сохранять данные или брать данные на ПК пользователей?Пользователи теперь подумают "а можно ли вообще доверять этим неадекватам?", которые в МИНОРНОЙ версии ломают нам ось.
> Это другое! Понимать Надо!
Это уже в который раз, причём, бекпортируют в прошлые ветки. А так, хотели подгадить nvidia, а проблемы в итоге у zfs.
Запретить таки блобы на корню нельзя?
Можно. Можно было ещё в начале 2000х. Правда тогда десктопный линукс был бы консольно-псевдографическим по типу турбо паскаля или борланд си. Оно, конечно, было бы неплохо. Но не для всех.
А мне интерфейс TurboVision нравится.
А мне Object Professional.
> Можно. Можно было ещё в начале 2000х. Правда тогда десктопный линукс был
> бы консольно-псевдографическим по типу турбо паскаля или борланд си.злые проприетарщики сломали бы иксы?
Неа, просто бы перестали финансировать.
И с иксами произошло бы то что присхожит сейчас, но на 20 лет раньше)Линукс для проприетарщиков удобен, пока удовлетворяет их требованиям.
Как только поехавшие фанатики взбрыкнутся, то они свалят.
Корпам это конечно обойдется в копеечку, но сами виноваты.
> Неа, просто бы перестали финансировать.Дык и не финансировали они особо иксы. Xfree хз если вообще еще пашет.
Впрочем, неважно. И? Нашли б кого финансировать, какой-нибудь линпус. И все равно бы в линукс перетёк. Как сейчас DragonFlyBSD: держится на трёх землекопах, без финансирования корпов, но всё у неё есть: и иксы, и 3д ускорение... десятой свежести правда.> И с иксами произошло бы то что присхожит сейчас, но на 20
> лет раньше)И что бы продавали корпы? дос, лицензированный у мс, или винду?
> Линукс для проприетарщиков удобен, пока удовлетворяет их требованиям.
Более того, и мне удобен, потому что удовлетворяет мои требования.
И всем, вцелом более удобен и удовлетворяет их требования :-D> Как только поехавшие фанатики взбрыкнутся, то они свалят.
Куда? На BSD? Винду? :-D
> Корпам это конечно обойдется в копеечку, но сами виноваты.
В копеечку, лол. Корпы ищут выгоды, линукс им выгоден. Перестанет - бросят. Видишь альтернативу на горизонте? При всей той кодовой базе, что уже есть в линуксе, и доступна им в копеечку. Скажи какой, чо уж.
>Куда? На BSD? Винду? :-DFreeBSD, illumos. Своё напишут Вообще сильно переоценивают важность Линукса.
> Дык и не финансировали они особо иксы. Xfree хз если вообще еще пашет.X.Org создали как форк XFree86, причем уже вполне зрелой версии (что-то типа 4.4, ЕМНИП).
Он вырос из Project Athena (корпорации DEC и IBM) и для его написания был даже сделан XConsortium.Давай посмотрим кто были его создатели, и ты преестанешь заливать про сообщество и какиеров одиночек.
www.x.org/wiki/XConsortium/
Full Members: Adobe, Cray, Hewlett-Packard, IBM, Motorola, Novell, Sony, Sun ... и куча других.> И что бы продавали корпы? дос, лицензированный у мс, или винду?
Какие именно корпы)?
Если всякие редхаты и тд., то они к линуксу привязаны, тк их бизнес - это продажа поддержки.
А остальные, BSD например. В составе с приставкой как Сони.> Как только поехавшие фанатики взбрыкнутся, то они свалят.
Да куда угодно, если это будет дешевле.
Вот обяжут линуксоиды нвидии полностью открыть дрова, те подумают и будут поставлять свои про видяхи с какой-то версией бзди.
Или форкнутся раньше коммита 09baa839d415a938b8db9e4230934f2d1356d9d0 и скажут "наши видяхи поддерживают ядро только такое".> В копеечку, лол. Корпы ищут выгоды, линукс им выгоден. Перестанет - бросят. Видишь альтернативу на горизонте? При всей той кодовой базе, что уже есть в линуксе, и доступна им в копеечку. Скажи какой, чо уж.
Так я ж с тобой не спорю.
Но если поехавшие начнут стрелять себе в ногу, например полностью запретив блобы, то у корпов выхода не останется.
И БСД будет отличным решением. Они в последнее время научились даже использовать линуксячть дрова, запуская их через "микровиртуалку".
>> Дык и не финансировали они особо иксы. Xfree хз если вообще еще пашет.
> X.Org создали как форк XFree86, причем уже вполне зрелой версии (что-то типа
> 4.4, ЕМНИП).
> Он вырос из Project Athena (корпорации DEC и IBM) и для его
> написания был даже сделан XConsortium.
> Давай посмотрим кто были его создатели, и ты преестанешь заливать про сообщество
> и какиеров одиночек.
> www.x.org/wiki/XConsortium/
> Full Members: Adobe, Cray, Hewlett-Packard, IBM, Motorola, Novell, Sony, Sun ... и
> куча других.Ты не заливай мне тут про своих хозяев, знаем. Лучше покажи как они вливали бабло в XFree86.
>> И что бы продавали корпы? дос, лицензированный у мс, или винду?
> Какие именно корпы)?эти например
https://www.linuxfoundation.org/about/membersи остальные, вроде Visio и TiVo :-D
> Если всякие редхаты и тд., то они к линуксу привязаны, тк их
> бизнес - это продажа поддержки.
> А остальные, BSD например. В составе с приставкой как Сони.так у них и сейчас есть эта возможность. Но все бросили бзди, и юзают линукс.
>> Как только поехавшие фанатики взбрыкнутся, то они свалят.
> Да куда угодно, если это будет дешевле.
> Вот обяжут линуксоиды нвидии полностью открыть дрова, те подумают и будут поставлять
> свои про видяхи с какой-то версией бзди.
> Или форкнутся раньше коммита 09baa839d415a938b8db9e4230934f2d1356d9d0 и скажут "наши
> видяхи поддерживают ядро только такое".видел ваш разговор об этом с юзером294. Я вот искренне, как владелец многих карт нвидия, чтоб это сбылось. Потому что придется выкидывать нвидию, и брать амд. а ведь я денег за них дал немалые :-D
> Но если поехавшие начнут стрелять себе в ногу, например полностью запретив блобы,
> то у корпов выхода не останется.каких корпов? %) что пишут закрытые дрова? охотно верю. интересно общее их число.
> И БСД будет отличным решением. Они в последнее время научились даже использовать
> линуксячть дрова, запуская их через "микровиртуалку".так если они уйдут с линукса на бсд-с-линуксячими-дровами, кто ж будет развивать линуксячи дрова? Или, ладно это, откуда бсд будет брать код?! это если представить. а вообще, не будет, потому что куколд-лицензия. сэд бат тру, как грится.
Но ты еси чо, не унывай. Жить Net/OpenBSD будет, с корпами или без, потому что там люди любят юникс. В отличие от массы линуксоидов.
> Как только поехавшие фанатики взбрыкнутся, то они свалят.на fuschia, точно. Или sailfish. или palmos. тысяча их.
Sailfish OS
Операционная система основывается на Mer и на фреймворке Qt.
Mer — форк MeeGo, созданный Open Source-сообществом в 2011 году для развития этой мобильной Linux-платформы после того, как угас интерес оригинального разработчика (компании Nokia)[3].
А смысл?
МиГо это та же GPL. Завтра поклонники толстого комми решат что пора вести крестовый поход против блобов и начнут вонять.
И что тогда? Снова переезжать?Можно конечно просто крутить кукиши со словами "и чо? и что ты мне сделаешь?"
Это возможно только в некоторых юрисдикциях, типа как у нас.
> А смысл?
> МиГо это та же GPL. Завтра поклонники толстого комми решат что пора
> вести крестовый поход против блобов и начнут вонять.
> И что тогда? Снова переезжать?разумеется. или на хайку. но тоже GPL. В общем, бегать между GPL придётся. Потому что поклонники толстого комми уже сделали работу, которую вы делать в БСД не хотите. Вы ж не комми. :-D
> Можно конечно просто крутить кукиши со словами "и чо? и что ты
> мне сделаешь?"
> Это возможно только в некоторых юрисдикциях, типа как у нас.это если не запомнят еще тя. и не впишут в список, после которого твоя любимая юрисдикция будет единственной и... единственной.
>проприетарные блобы пишутся под конкретное ядро и с другим ядром их не слинковатьА что, с ядром уже линковаться стали? А я всё думал, что с библиотеками линкуются.
Модули ядра - это фактически библиотеки, которые именно что динамически или статически линкуются с ядромЭто не совсем такая же линковка, как в случае с исполняемыми файлами, но концептуально это оно и есть
Модули ядра _с_ядром_. А не проприетарные исполняемые файлы с ядром.
Модули ядра это вполне себе исполняемые файлы, Executable and Linkable Format. А в какое время происходит связывание импортируемых модулем функций и экспортируемых ядром или другими модулями - это уже другой вопрос. В данном случае он не важен, поскольку в новом ядре изменят сигнатуру функций или вообще переименуют, и работать модуль не будет, даже если слинкуется динамически.
> Я действительно хочу понять, без злобы и троллинга, объясните мне, пожалуйста, почему
> нельзя просто перейти на новейшее ядро версии LTS? Зачем поддерживать это
> старьё десятилетиями?Посмотри на пул компаний. Подумай кто все эти люди и чем они занимаются по жизни. Так найдёшь просветление.
а ну что не так? а у них клон старушки центос и принцип "работает не трожь".
Принцип работает не трожь у очень многих админов, паталогически ничего не обновляют никогда, приходится чуть ли не пытками заставлять.
Даже когда уже все протестировано, по пол года работает на новом без нареканий а поддержка старого закончилась лет N назад.
> Зачем поддерживать это старьё десятилетиями?Закрытые блобы, работающие с конкретной версией ядра.
> Закрытые блобы,Само по себе это проблема, когда речь идет о сертификации рабочего места, как по стандартам NATO, ЕС, США или России.
> работающие с конкретной версией ядра.Это уже конкретное зло.
Гуманитарная причина одна: чтобы быть уверенным, что всё работает и ничего не сломается с таким обновлением. Технических причин несколько.Операционная система Linux не имеет инструментария динамической подгрузки модулей собранных одновременно под несколько версий ядра. Сама идея некого framework-а, обеспечивающего переносимость драйверов и других модулей на хоть сколько-нибудь вразумительный срок упирается в:
1) монолитность ядра, всё должно быть слинковано в одном ядре
2) отсутствие стандартизации ABI, его просто нет как класса
3) идеологические причины, это позволит разработчикам распространять модули и драйверы под лицензией отличной от GPL
4) отсудив объектной шины данных, если таковой, конечно, не считать netlink, или, простите, UNIX pipes.Ванильное ядро Linux имеет крайне раздутую кодовую базу. Внутри него содержится:
- внушительное количество кода поддержки драйверов устройств, несмотря на наличие оригинальных драйверов, но под неподходящей лицензией
- поддержка заброшенных файловых систем, которая, по сути, историческая. Вообще количество ФС в ядре Linux высоко, прежде всего, потому что блочная абстракция написана из рук вон плохо. И это отдельный разговор...
- множество функциональных модулей, особенно частей сетевой подсистемы, которые прекрасно можно было бы оформить в качестве демонов в пространстве пользователя, но которые представлены как драйверы, потому что нет в Linux никакой стандартизации пространства пользователя.
- поддержка неактуальных процессорных архитектур.Там в 2024-ом году такая вундервафля, что вспоминается детский анекдот: "Уважаемые пассажиры! В нашем самолете находится два кинозала,
бар, ресторан, детский и взрослый бассейны, библиотека, 2 теннисных корта и поле для гольфа... А теперь со всей этой хренью мы попробуем взлететь!"
И это было бы смешно, если бы не было так грустно.Это ядро настолько сложное, что уже очень давно принято делать собственную урезанную редакцию и поддерживать её в рамках дистрибутива. При этом обновления безопасности - самая страшная боль (особенно из-за драйверов устройств).
Операционная система хоть сколько-то пригодная к установке на сервер предприятия (платная или бесплатная) должна там проработать ну хотя бы 10 лет. Ванильное ядро не поддерживает такие сроки обратной совместимости. Там даже API (святая святых!) меняют за такой срок. Поддержкой из-за этого занимаются корпорации продающие Linux, потому что Just4fun-community не способно тащить поддержку legacy ввиду отсутствия денег, отсутствия клиентов/пользователей, которым она нужна, и как следствие отсутствия денег. Это замкнутый круг. Если же этого не делать у вас сломается и перестанет работать что-то в пространстве пользователя. Не обязательно у вас лично, но у кого-то.
Компании выбирают сколько-то вменяемую версию и начинают её поддерживать несколько лет, бекпортируя не только исправления безопасности, но также и поддержку устройств, которые опять привязаны к версии ядра. Отдельно нужно понимать, что бесконечные комитеты не смогли договориться про версии... Это мрак.
Вопросы о том, что нужно бы всё-же добавить переносимость драйверов и вынести часть подсистем из ядра, озвучивались многократно. Воз и ныне там, потому что людей способных это сделать в мире Linux нету. Там люди не мыслят в архитектурном смысле. Они мыслят патчами, переживают за EXPORT_SYMBOL_GPL, устраивают мракобесные войны вокруг совместимости с другими ОС, и презирают любую стандартизацию, выбирая diversity в самом плохом смысле этого слова. Ведь проявить себя, создав собственный дистрибутив, который меняет пару дефолтных утилит и ставит нескучные обои - это разнообразие, ценность. А стандартизировать пространство пользователя, пусть даже через systemd, - жечь ведьму.
Комментаторы тут, видимо, не достаточно стары и бородаты, чтобы оценить иронию новости.
Кто бы мог подумать, что Oracle, создавшая дистрибутив в укор Red Hat, прежде всего для себя самой и своих продуктов, из вредности и для того чтобы не дать Red Hat зарабатывать деньги, спустя 15 лет объединится с теми, кто создавал открытый CentOS, чтобы абсолютно бесплатно поддерживать LTS-редакции ядра и гарантировать бесплатный доступ этого самого сообщества к хоть сколько-то стандартизированной редакции корпоративного Linux, таща на себе своими силами бинарную совместимость даже с пространством пользователя. И что туда примкнет SUSE, а Red Hat наоборот... Если бы вы 15 лет назад такое кому-то сказали, вам бы не поверили.
> Операционная система Linux не имеет инструментария динамической подгрузки модулей собранных
> одновременно под несколько версий ядра.экспертиза опеннета, с-ка ты беспощадная...
Она не то что под несколько версий - она умеет ПРОВЕРЯТЬ что в штабильном нонсенсе не сломаны апи именно для этого модуля. Больше двадцати лет уже.
Но все это оказалось сведено к х-ю одним решением одного "очень успешного менеджера", внезапно объявившего что "стабильное ядро - в вашем дистрибутиве".
Так этого мало. Там предлагается внедрить в Linux аналог KMDF. А что? Народу вон нравится. Не им же кодить. Предлагаю назвать KMFDM, что бы не как в Венде. :)
Исключительно верное описание ситуации!Подпишусь под каждым словом.
1С
Жизненный цикл ит-системы в энтерпрайзе. Грубо говоря при смене ядра тебе придется ее заново сдавать, проходить ПСИ и т.д. Никто с эти заморачиваться не хочет - вот амортизируется сервер (это 5-7 лет), его спишут и заменят на новый - с новой ос и т.д. И пройдут весь этот гиморой.
А пока списать нельзя - должен работать и получать обновления безопасности.
> это 5-7 летНа текущий момент с выхода ядра 4.14 прошло 7,5 лет.
Капитан Очевидность негодуэ
Но ведь SUSE и RHEL используют/поддерживают версию 5.14.x
Зачем вообще обновлять ядро, разве есть случаи взлома через ядро на десктопе?
проходи, путник, здесь творятся энтерпрайзные дела
Вы не поверите, но Линукс на рабочем столе - это 1% его инсталляций.А 99% - это сервера и Android, а вот на серверах часто многопользовательские среды, где безопасность ядра критически важна, чтобы, например, взломав систему через какой-нибудь сервис, вы не получили полный контроль над системой.
А на рабочем столе Линукс - это эпитомия небезопасности. Левые PPA, софт не имеет цифровую подпись, тучи скомпрометированных реп. Secure Boot поддерживается только в 4 дистрах, так ещё его и отключают большинство.
Да, кстати для Android, где безопасность на очень высоком уровне, безопасность ядра то же критически важна, чтобы apps вас не поимели. Android позволяет native code, через который ядро ломается на 1-2-3.
Всё ждём Fuchsia.
> Всё ждём Fuchsia.Судя по всему, её/его закопали.
Хотя по git commits это не скажешь, что дальше простецких очень ограниченных nest devices дело не сдвинулось.
Поддержку Chrome выкинули о чём тут недавно писали.
Как-то всё печально, а я так сильно надеялся на микроядро.
Почему Google тупо не лицензировали и не форкнули QNX - неясно. Поди дешевле бы было, чем писать это с нуля.
Пообщался с Gemini, последний ответ похож на правду: https://g.co/gemini/share/3e28e2a4cb5e
LLM AI всё-таки убог до невозможности.Даёт сходу крайне неверные ответы, заставляешь его "задуматься", потом получаешь что-то похожее на правду.
Что-то кажется, что вероятность увидеть мировые девайсы на ОС Аврора намного выше, чем на Fuchsia.
> Вы не поверите, но Линукс на рабочем столе - это 1% его
> инсталляций.
> А 99% - это сервера и Android, а вот на серверах часто
> многопользовательские среды, где безопасность ядра критически важна, чтобы, например,
> взломав систему через какой-нибудь сервис, вы не получили полный контроль над
> системой.
> Левые PPAзачем тебе на сервере левые PPA?
> софт не имеет цифровую подпись
тогда каким образом он устанавливается на сервер?
> тучи скомпрометированных реп
которые попадают на сервер
> Secure Boot поддерживается только в 4 дистрах
и те, для сервера
в общем, 99% линукса для серверов имеют те же проблемы что и линукс для десктопа по твоему описанию. Как же всё это работает, если ты не звездишь, ума не приложу.
> зачем тебе на сервере левые PPA?Потому что компании ненавидят обновлять ОСи, растут требования, надо ставить свежий софт, а его нет в репах.
> тогда каким образом он устанавливается на сервер?
какой-то бред, не знаю что ответить. В Windows все бинарники и либы имеют цифровую подпись, в Линуксе этого нет нигде.
> которые попадают на сервер
Да, когда разрабы закидывают новый backend код.
> и те, для сервера
На серверах вообще Secure Boot нет, кроме как у Google. Покажите мне ходь одного хостера, который его предлагает. Подавляющее большинство инсталляций Линукс в наше время - это rented (VPS/colocation/etc).
Ах, да, и вменяемых software policies в Линукс нет. Welcome заниматься сексом с SeLinux/AppArmor.
>> зачем тебе на сервере левые PPA?
> Потому что компании ненавидят обновлять ОСи, растут требования, надо ставить свежий софт,
> а его нет в репах.Пишите тикеты в редхат.
>> тогда каким образом он устанавливается на сервер?
> какой-то бред, не знаю что ответить. В Windows все бинарники и либы
> имеют цифровую подпись, в Линуксе этого нет нигде.лол, когда вам пакетный менеджер завезли там? в десятых годах?
>> которые попадают на сервер
> Да, когда разрабы закидывают новый backend код.из скомпрометированной репы? бей разраба по лицу. хотя нет, тимлида. хотя нет, обоих. и себя заодно.
>> и те, для сервера
> На серверах вообще Secure Boot нет, кроме как у Google.так пользуйся, раз тебе нужен, чего воротишь нос?
> Ах, да, и вменяемых software policies в Линукс нет. Welcome заниматься сексом
> с SeLinux/AppArmor.запускаете недоверенное по на серверах? не умеете настроить для него SL/AppArmor? блин, вот из за этого, что не дали мышевозникам вебморду рулить selinux/apparmor для своего крапа, доля линуксов на серверах падает. Стой здесь, я побегу решать проблемы виндузятников, никуда не уходи. Ща зделою вам збс.
> лол, когда вам пакетный менеджер завезли там? в десятых годах?Видимо, комменты выше от этого же Де Билла. Причём тут пакетный менеджер, дубина?
Ты вообще знаешь что такое цифровая подпись? Какая, х*р, разница, что RPM'ки подписаны, если бинарники нет, и RPMDB нет? Любой хакер, вломившись, переписывает тебе контрольные суммы в RPMDB и меняет бинарник, и ты ничего не знаешь и не заметил.
Ровно такая же х*рня в Debian, только там ещё проще, ибо debian "database" вообще никакой нет - там тупо текстовые файлы с контрольными суммами. Поправить - 2 пальца обо*сать.
Да даже это х*ня - никто никогда контрольные суммы в Линукс не проверяет. Что-то там поставили, какие-то репы подключили, sudo без пароля у каждого разраба - полная красота, туча демонов под рутом крутятся, потому что непонятно какие пермиссии нужны, а без рута отваливается. Типичный Линукс сервер. А потом получаем парня из Lapsus (увы, нашли и посадили), который одним пальцем выкачивает over 80GB данных из NVIDIA.
Нет никакой безопасности в Линукс, если ты её не _создашь_. По умолчанию там е*ное ре-шето, которое делают ещё большим ре шетом ещё до установки (отключение secure boot). Из всех известных мне компаний, только Google этим занимается. У них immutable signed server images и никакой свободы. Причём сервер даже не запустит образ, если он не подписан. Никто на сервера не ходит, там такого нет.
По факту каждый год минимум десяток high profile cases со взломом Линукс инфраструктуры - последний Cloudflare!, но никто об этом не вспоминает, потому что "де они виноваты", а не те, кто создал ре шето.
За*бал этот спор. Бабушке своей расскажи про "безопасность" в Линукс. Вышел к чертям.
>> лол, когда вам пакетный менеджер завезли там? в десятых годах?
> Видимо, комменты выше от этого же Де Билла.ты какой-то злой. запор?
> Причём тут пакетный менеджер, дубина?
мне подписанные пакеты приходят через пакетный менеджер.
> Ты вообще знаешь что такое цифровая подпись? Какая, х*р, разница, что RPM'ки
> подписаны, если бинарники нет, и RPMDB нет?лол, мамкин параноик ворвался в тред. ну подпиши, чё. туча (h)ids к твоим услугам. На моей прошлой работе работала связка samhain и suricata, но ровно в той мере, в которой это было потребно бизнесу (считай инвесторам).
А так, ну башляй сам деньги, если идиот.
> Любой хакер, вломившись, переписывает
> тебе контрольные суммы в RPMDB и меняет бинарник, и ты ничего
> не знаешь и не заметил.какстрашножить! любой хакир!!!! опасносте, опасносте!
> Ровно такая же х*рня в Debian, только там ещё проще, ибо debian
> "database" вообще никакой нет - там тупо текстовые файлы с контрольными
> суммами. Поправить - 2 пальца обо*сать.мамкин хакир, прикрати! мне страшно.
> Да даже это х*ня - никто никогда контрольные суммы в Линукс не
> проверяет. Что-то там поставили, какие-то репы подключили, sudo без пароля у
> каждого разраба - полная красота, туча демонов под рутом крутятся, потому
> что непонятно какие пермиссии нужны, а без рута отваливается. Типичный Линукс
> сервер.серьезно, мне жаль что у вас такая беда. незнаю чем вам помочь, кроме как гильотины. ну не срослось, у вас, не срослось с линуксом. Брось эту затею. Видно в понедельник вас мама родила (с)
> А потом получаем парня из Lapsus (увы, нашли и посадили),
> который одним пальцем выкачивает over 80GB данных из NVIDIA.нвидиепроблемы.
> Нет никакой безопасности в Линукс, если ты её не _создашь_.
Плати тому кто умеет. Чо возбух-то? Где-то есть бесплатная безопасность?
Остальной бред поскипан, там одни эмоции. Хотя, непонятно, че ты так возбух. Линукс безопасен ровно в той мере, в которой он подходит для большинства серверов. Хочешь подписывать каждый бинарник? Какие проблемы?
> ну подпиши, чё. туча (h)ids к твоим услугам.И вы читаете логи этого или просто никогда не обновляете сервера, потому что после каждого обновления пакетов контрольные суммы в пе рде?
> Где-то есть бесплатная безопасность?
Бесплатной нет нигде, но Windows из коробки куда безопасней, чем Ля Лих дистрибутивы.
> нвидиепроблемы.
nvidia проблемы, cloudflare проблемы, ещё чьи-то проблемы, но не Ля Лиха.
То, что я, как пользователь, даже не могу использовать VirtualBox _без_ отключения Secure Boot, потому что _ни один_ дистр (а с secure boot их всего 4, причём два от RedHat - Fedora, RHEL, Ubuntu, SLES) не собирает и не подписывает модули ядра - это чьи проблемы?
Кроме Vbox, есть ещё туча модулей, тот же ZFS, и для тучи железок, потому что людям жить хочется, а не е*аться, чтобы пытаться засунуть свой модуль в ядро, потому что там code style и requirements.
А в убогой Windows ты за*бёшься, прежде чем она тебе даст использовать неподписанный модуль.
Одна из черт фана тик ов - это убийственная приверженность мифологии. Им даёшь миллион примеров, что их мифология несостоятельна, они миллион и одну отмазку, что де проблема в чём-то другом.
Смешно и печально. IT "специалист".
Для меня "специалист" - это человек, который, получая новую информацию, аргументы, исследования, может поменять своё мнение и признать правоту оппонента. У вас этого ничего нет. Догмы и half-assed надстройки, которыми как-то где-то пользуются, а потом узнаешь, что логи H(IDS), никто никогда не читает, потому что их слишком много и инфраструктуры месяцами/годами под контролем хакеров, которые нежно выкачивают все секреты.
> Бесплатной нет нигде, но Windows из коробки куда безопасней, чем Ля Лих дистрибутивы.Да, кстати, Microsoft проделала монументальную работу между XP и Vista.
Изначально цифровых подписей в Windows не было, это появилось только в XP SP2.
>> ну подпиши, чё. туча (h)ids к твоим услугам.
> И вы читаете логи этого или просто никогда не обновляете сервера, потому
> что после каждого обновления пакетов контрольные суммы в пе рде?Найми того кто знает что делать. Не придётся попрошайничать на форумах.
> Бесплатной нет нигде, но Windows из коробки куда безопасней, чем Ля Лих
> дистрибутивы.лол, лидер по количеству cve в год из каропки. xD
>> нвидиепроблемы.
> nvidia проблемы, cloudflare проблемы, ещё чьи-то проблемы, но не Ля Лиха.я тебе гарантирую, проблемы безопасности невидии исключительно её проблемы, и может быть, инвесторов. остальному миру ни холодно ни жарко.
> То, что я, как пользователь, даже не могу использовать VirtualBox _без_ отключения
> Secure Boot, потому что _ни один_ дистр (а с secure boot
> их всего 4, причём два от RedHat - Fedora, RHEL, Ubuntu,
> SLES) не собирает и не подписывает модули ядра - это чьи
> проблемы?твои. тебе ж нужно. так? ну вот и решай свою проблему: плати шляпе, сюзе, рхелу, майкрософту, да кому угодно, по$6ать вообще.
> Кроме Vbox, есть ещё туча модулей, тот же ZFS, и для тучи
> железок, потому что людям жить хочется, а не е*аться, чтобы пытаться
> засунуть свой модуль в ядро, потому что там code style и
> requirements.дык в чем проблема, лол? :-D купи у майкрософт винду, установи туда свою ZFS, тучи железок. Плати майкрософту. Ну или шляпе. Или канониклу.
> А в убогой Windows ты за*бёшься, прежде чем она тебе даст использовать
> неподписанный модуль.Ну, заплати мс-у, чтоб ты не $6ался, лол.
> Одна из черт фана тик ов - это убийственная приверженность мифологии. Им
> даёшь миллион примеров, что их мифология несостоятельна, они миллион и одну
> отмазку, что де проблема в чём-то другом.Дык я знаю в чем проблема: вы хотите нахаляву, а вам водят по губам. Вы злитесь, петушитесь, ищите козла отпущения, и находите линукс (который использует туева хуча корпораций) и каких-то школьников на форумах, на которых можно вылить желчь. Но жизнь от этого не изменится, вам никто ничего не должен, вы свободны. Не забудьте закрыть за собой дверь. ;)
> Смешно и печально. IT "специалист".
> Для меня "специалист" - это человек, который, получая новую информацию, аргументы, исследования,
> может поменять своё мнение и признать правоту оппонента. У вас этого
> ничего нет. Догмы и half-assed надстройки, которыми как-то где-то пользуются, а
> потом узнаешь, что логи H(IDS), никто никогда не читает, потому что
> их слишком много и инфраструктуры месяцами/годами под контролем хакеров, которые нежно
> выкачивают все секреты.ох уж эти хакеры, зогхватившие инфрастуктуру годами.
колись, какой фильм тебя вдохновил про хакеров?
> лол, лидер по количеству cve в год из каропки. xDДе Билл, когда же ты перестанешь так сливаться.
2017 год:
Одно только Linux ядро, 453:
https://www.cvedetails.com/vulnerability-list/vendor_id-33/p...
Вся Windows 10, 264!
https://www.cvedetails.com/vulnerability-list/vendor_id-26/p...
Ядро против всей ОС.
Конечно, это определённый промежуток, когда такое безобразие творилось, но я тя уверяю, ты жиденько обд ристался, потому что ты не указал когда. И такое было несколько лет.
А если посчитать среднюю бубунту v. Windows Server, то у меня для тебя плохие новости. И бубунта не так много софта содержит, в сравнении, например, с дебиан.
Но ты оперируешь CVE != взломам, поэтому _сотни тысяч_ похаканых линукс устройств без обновлений, потому что IoT и routers дай бог 2-3 года поддерживаются, ибо ядро поддерживать за*бёшься, из-за его "красивой" рахитектуры, не в счёт.
И заметь, как ты сразу влепил whataboutism, а не предоставил контраргумент.
Ты не поверишь, почти всё, что ты нас рал здесь - это чистый whataboutism. Я пишу про отсутствие цифровой подписи у системных файлов, а ты мне несёшь де "включи HIDS с checksums", но это выс ер, а не аргумент.
Это то же самое, что, если бы мы говорили про машины, я бы сказал, что модельный ряд X в среднем служит без поломок 5 лет, а ты говоришь, что модельный ряд Y, который ломается в течение года, можно ... успешно чинить! Вот это поворот! Вот это да! Ничего, что чинить Y стоит до х*я денег, но можно ведь! Ничего, что в Линуксе нет ни в каком виде VBS - ты напишешь! Да хуже того, уже репа есть на github, только никто в ядро это не хочет посылать. Лень щас искать.
Да мне плевать, что ты мастер костылей. Речь в теме про ОС их коробки, а не твои фантастические костыли и "найми отдельного" человека. Что ещё сделать, убогий, чтобы Ля Лих дорос до серьёзной ОС? Какие у тебя ещё гениальные решения?
Эти ссылки, кстати, в ghetto не открываются.
>> лол, лидер по количеству cve в год из каропки. xD
> Де Билл, когда же ты перестанешь так сливаться.
> 2017 год:
> Одно только Linux ядро, 453:
> https://www.cvedetails.com/vulnerability-list/vendor_id-33/p...
> Вся Windows 10, 264!
> https://www.cvedetails.com/vulnerability-list/vendor_id-26/p...вся!!!! какой апломб, лол, сравнивать 6 SLTS версий ядра с одной десяткой :-D
а че 2017 год тока? страшно, да? А чо не 2022 (310 vs 521)? Ммм? Может 2021 (162 vs 486)? Может 2020 (129 vs 806)? А давай 2019 (291 vs 448)? Сколько там в запасе уже? Может посчитаем как ядро всех версий, так и винду всех версий, ммм? :-DКлован, дешевый ты клован. Держи еще ссылку:
Лидер по CVE, за всё время: https://www.cvedetails.com/top-50-vendors.php?year=0
Microsoft, первое место. ;-)> Ядро против всей ОС.
Фсеееей ОС. :-D Чувак, я даже не начал сравнивать по годам ОС+продукты мелкомягких, потому что виндузятники пихают всё вместе обычно. Впрочем, кому это надо?)))
> Конечно, это определённый промежуток, когда такое безобразие творилось, но я тя уверяю,
> ты жиденько обд ристался, потому что ты не указал когда. И
> такое было несколько лет.видим мы кто здесь обдристался :-D
> А если посчитать среднюю бубунту v. Windows Server, то у меня для
> тебя плохие новости. И бубунта не так много софта содержит, в
> сравнении, например, с дебиан.откровения, о которых невозможно молчать.
> Но ты оперируешь CVE
ты тоже ими оперировал вон там, выше, даже радовался что нашел 2017 год, небось скролил и чшорт, чшорт, чшорт. Где? Где? О, вот оно! :-D
> CVE != взломам поэтому _сотни тысяч_ похаканых линукс устройств
> без обновлений, потому что IoT и routers дай бог 2-3 года
> поддерживаются, ибо ядро поддерживать за*бёшься, из-за его "красивой" рахитектуры, не
> в счёт.а все равно ломают винду в основном:
https://www.cybersecuritydive.com/news/microsoft-exploited-c.../да что ж такое то?
> И заметь, как ты сразу влепил whataboutism, а не предоставил контраргумент.
какой контраргумент? кому? на что? чувак, ты клоунаду завёл вон там выше с статистикой. Чо ты от меня хочешь вообще? :-D
> Ты не поверишь, почти всё, что ты нас рал здесь - это
> чистый whataboutism. Я пишу про отсутствие цифровой подписи у системных файлов,
> а ты мне несёшь де "включи HIDS с checksums", но это
> выс ер, а не аргумент.вроде ответил, но повторю: мужчииииинааа, всем на-с-%@-tb! никто не будет делать тебе бесплатный линукс с всеми этими приседаниями в гамаке, что ты описал. Да и зачем? Как видим, угроз не так много, все ломают винду в основном. Так что зачем платить всем своим временем, если нужно только одному извращенцу? Бери и пили. Или дай бабки спецу. Всё.
> Это то же самое, что, если бы мы говорили про машины, я
> бы сказал, что модельный ряд X в среднем служит без поломок
> 5 лет, а ты говоришь, что модельный ряд Y, который ломается
> в течение года, можно ... успешно чинить! Вот это поворот! Вот
> это да! Ничего, что чинить Y стоит до х*я денег, но
> можно ведь!чувак, то что ты заплатил за винду тебя не убережет. статистика показывает что риск выше быть хакнутым чем в линуксе. всё, что тут еще обсуждать? :-D
> Ничего, что в Линуксе нет ни в каком виде
> VBSЭто визуал бейсик чтоле? Щ_щ огосспади
> - ты напишешь! Да хуже того, уже репа есть на
> github, только никто в ядро это не хочет посылать. Лень щас
> искать.не трудись, реально. нужда виндузятников в vbs в ядре линукса переоценена, скажем.
> Да мне плевать, что ты мастер костылей.
Каких костылей, кловн? Смотри кто за suricata: https://suricata.io/our-story/consortium/
> Речь в теме про ОС
> их коробки,да никто не будет прыгать в мешке, чтоб защитить твою параною. Всем пох, чувак, всем -п-о-х-.
> а не твои фантастические костыли и "найми отдельного" человека.
ну, заплати какой-нибудь саппорт/консалтинговой фирме. они тебе установят, настроят. причем тот же софт, лол, но ты будешь причмокивать и кувыркаться зайчиком от щястя и тырпрайза :-D
> Что ещё сделать, убогий, чтобы Ля Лих дорос до серьёзной ОС?
серьёзной, это чтоб вытеснил венду с десктопа? хз-хз, да и на6%@tb, честно говоря.
> Какие у тебя ещё гениальные решения?
чувак, мне не интересно сделать линукс удобным тебе, или другим виндузятникам. я реально не знаю что вам делать, кроме как сделать сепукку на каком-нибудь фестивале linux foundation. С криками: вы зоставели нас пердолеться, а мы хотим клац-клац-клац.
> вся!!!! какой апломб, лол, сравнивать 6 SLTS версий ядра с одной десяткой :-DТы реально думаешь, что уязвимости в разных LTS ядрах считается раздельно?
CVE выделяется на одну отдельную уязвимость, даже если она касается 100500 софтин.
А ещё ты ржёшь и сравниваешь _целую ОС c сотнями компонентов_ с _одним ядром_ - полный показатель клинической иди отии.
Свою сурикану засунь куда не светит - ты уже опозорился 100 раз.
Твои знаки восклицания выдают неуравновешенного человека, который не знает тему, пытается переорать собеседника и меняет показания сразу же, когда ловишь тебя на жидко обос рался: "CVE де больше в уиндоуз".
Иди поори на улице или на маму - ты же с ней живешь до сих пор, эксперт в "безопасности" Ля Лиха.
На этом этот аргумент с тобой можно закончить, потому что ты даже базовые азы безопасности и софта не понимаешь. В голове мусор и мифы.
>> вся!!!! какой апломб, лол, сравнивать 6 SLTS версий ядра с одной десяткой :-D
> Ты реально думаешь, что уязвимости в разных LTS ядрах считается раздельно?SLTS закрался опечаткой из другой мысли. думал было сказать тебе, что вон, CVE найденную в 2019 в ядре 2.6.24 сравниваешь с уязвимостью в десятке, но потом подумал... ну покормлю я тебя DRMом с лопаты, затем ты меня, затем снова я тебя, затем снова ты меня. А зачем? Мы ж оба знаем что винда чепуха полная. Уйдём спать, накормив друг друга с лопаты... Нафига это всё? Почему я не могу провести время иначе? Вон, поиграть, например.
Открыл для себя мод "Ashes 2063" для gzdoom, например. Играл?
CS2: > 4K hours. Больше практически ничего.
> Ты вообще знаешь что такое цифровая подпись? Какая, х*р, разница, что RPM'ки
> подписаны, если бинарники нет, и RPMDB нет? Любой хакер, вломившись, переписывает
> тебе контрольные суммы в RPMDB и меняет бинарник, и ты ничего
> не знаешь и не заметил.Самое забавное, что термин "руткит" возник в ОС УНИХ, но тут добрая половина экспертов лезет в Википедию, а злая козыряет аргументом "я их не видел, значит их нет". Потому RedHat не задаёт подобных вопросов, а добавляет молча. Но ещё смешнее, что в Windows цифровые подписи работают, потому что есть PathGuard, а эта штука должна быть обязательно закрыта. Возникает дилемма: как это сделать, когда исходники ядра открыты? :)
> а эта штука должна быть обязательно закрыта.а вот тут по-прдробней плиз
Суть в том, что PG обходят грубо говоря так: проводят деобфускацию исполняемого мусора, получают аналог исходников в понятном для изучения виде, после придумывают как обойти, пишут, тестируют. На всё это требуется время, оптимистично допустим, неделя. Если после этого новым модным руткитом зомбировать миллион хостов - Микрософт выкатит следующую версию PG. Буквально сразу же. Если у кого вдруг перестанет загружаться ОС, те просто её переустановят, и миллионный ботнет устремится к нулю. Теперь хэккер должен потратить ещё неделю на разбор, но сценарий повторится. Микрософт здесь всегда на шаг впереди, они даже могут заранее подготовить несколько версий.
> Если после этого новым модным руткитом зомбировать миллион хостовТакой руткит проще продать за хорошие деньги в одни руки, чем пытаться собрать из него ботнет. Примеры, всякие гаммаг-руппы, хакингтимы и нсо.
> Микрософт выкатит следующую версию PG. Буквально сразу же.сразу выкатила микрософт, когда стюкснет попал на иранские машины? Микрософту пофиг на безопасность конечных юзеров.
>> Если после этого новым модным руткитом зомбировать миллион хостов
> Такой руткит проще продать за хорошие деньги в одни руки, чем пытаться
> собрать из него ботнет. Примеры, всякие гаммаг-руппы, хакингтимы и нсо.Так продай, в чём у тебя проблема?
>> Микрософт выкатит следующую версию PG. Буквально сразу же.
> сразу выкатила микрософт, когда стюкснет попал на иранские машины? Микрософту пофиг на
> безопасность конечных юзеров.Тебе лишь бы что-то написать? Когда и что атаковал твой Stuxnet и когда и где появился PG?
> Тебе лишь бы что-то написать? Когда и что атаковал твой Stuxnet и
> когда и где появился PG?ну ну, или мы не об этом?
It was first introduced in 2005 with the x64 editions of Windows XP and Windows Server 2003 Service Pack 1.
https://en.wikipedia.org/wiki/Kernel_Patch_Protection
На эту тему есть анекдот про "гипотетически" и "фактически", сокращённый в Сети до фразы "мосье теоретик".Раз уж первый вопрос оказался слишком сложен, отвечу сам.
Идём вот сюда https://github.com/uraninite/stuxnet/tree/main/Win32.Stuxnet...качаем например 0d8c2bcb575378f6a88d17b5f6ce70e794a264cdc8556c8e812f0b5f9c709198
и видим в заголовке IMAGE_FILE_MACHINE_I386
> и видим в заголовке IMAGE_FILE_MACHINE_I386xpsp_sp2, ну и ответьте на вопрос - спас вас PG?
>> и видим в заголовке IMAGE_FILE_MACHINE_I386
> xpsp_sp2, ну и ответьте на вопрос - спас вас PG?Ты уже забыл, что сам написал в предыдущем ответе? Перечитай его.
Или тебе не понятно, что означает MACHINE_I386? Тогда забудь вообще эту тему, она не для тебя.
> А потом получаем парня из Lapsus (увы, нашли и посадили), который одним пальцем выкачивает over 80GB данных из NVIDIA.Если у соседа дверь открыта, то все равно влазить к нему и тырить мелочь по карманам это мадацтво чистой воды.
Так что правильно посадили.
Жаль мало дали.
> В Windows все бинарники и либы имеют цифровую подпись, в Линуксе этого нет нигде.Что за бред?
Во-первых, далеко не все софтины имеют подпись.
99% мелких программ не имеют подписи. Раз. Откуда у мелкого программиста деньги на регистрацию своей ЦП подписью MS? Два. Сходи скачай софтину от Васяна, скажем ту же сборку MSО. Три. Та же Krita, Okular, Gimp, Notepad++, VLC под Windows не имеют цифровой подписи. И главное - ЭП MS регулярно утекает в сеть, и ей регулярно подписывают шифровальщики.
Во-вторых, все официальные репозитории Linux имеют ЦП на пакеты, а сами пакеты содержат контрольные суммы файлов в них.
>> В Windows все бинарники и либы имеют цифровую подпись, в Линуксе этого нет нигде.
> Что за бред?Да обычный бред, понимание вопроса стремится к нулю, но что-то триггерит и надо обязательно оспорить.
> Во-вторых, все официальные репозитории Linux имеют ЦП на пакеты, а сами пакеты
> содержат контрольные суммы файлов в них.Читайте его сообщения целиком, он дальше разжёвывает:
>>> Ты вообще знаешь что такое цифровая подпись? Какая ... разница, что RPM'ки подписаны,
>>> если бинарники нет, и RPMDB нет? Любой хакер, вломившись,
>>> переписывает тебе контрольные суммы в RPMDB и меняет бинарник,
>>> и ты ничего не знаешь и не заметил.Другое дело, что тут вообще не понимают, о каких сценариях атаки он пишет.
n00by, как всегда, написал бред и запретил на него отвечать.> если бинарники нет, и RPMDB нет?
Все файлы в пакете подписаны пакетом.
RPMDB имеет подпись для того репозитория, с которого ставится пакет.Поменять ключи в реестре Windows может любой придурок, который имеет доступ к SAM-файлу. Методы, как подменить ключи, можно посмотреть на десятках сервисах, начиная с Ютуба и заканчивая Дзеном.
Как n00by мог заниматься сборкой пакетов, если его уровень знаний RPM на уровне человека, который называет монитор компьютером, системный блок - процессором, клавиатуру - печатной машинкой.
>Вы не поверите, но Линукс на рабочем столе - это 1% его инсталляций.Конечно, не поверим https://www.opennet.me/opennews/art.shtml?num=60783
Я уж лет 10, как не верю однопроцентщикам.
Мне StatCounter вообще не вставляет.Я щас приведу какую-нибудь другую "удобную" статистику, и что?
Среди моих знакомых (больше 200 человек) 0 использует Линукс. И что? Где ваши 4%?
Не в ИТ среде Линукс не существует. Точка. Никому не сдался этот кривой комбайн без поддержки и гарантий (кроме RHEL, который в основном для серверов).
> Среди моих знакомых (больше 200 человек) 0 использует Линукс. И что? Где ваши 4%?Среди работников Weta FX только 2% использует Windows и MacOS. А там более 3000 человек работает. И что дальше?
Ах, да. Ведь, IT-компаний в мире где-то 80%
Скажи мне, кто твой друг и я скажу, кто ты.
> Среди моих знакомых (больше 200 человек) 0 использует Линукс. И что? Где
> ваши 4%?Ну чего, бывает заповедник гоблинов.
Я вот недавно обнаружил контору, где гоняют MS-DOS. У них прилада на dBase-III, платили серьёзные деньги чтобы продолжать гонять её хоть в Linux, хоть в Windows на современном железе, где MS-DOS не встаёт.
>Левые PPA, софт не имеет цифровую подпись, тучи скомпрометированных реп.А кто тебе в серьёзных конторах это позволит? Тебе вообще не позволят самому любой софт устанавливать. Рута тебе не дадут.
а кто тогда софт устанавливает?
За настройкой окружений стучатся к девопсу
В "серьёзных" конторах разрабы на 1-2-3 подключают всякие NPM/ruby/python/etc. репы после 10 секунд поиска, не проверяя вообще ничего.А уж как популярно ставить всё подряд через pip - это просто ржака.
Или как любая поделка на python требует установки в систему - ржу.
Линукс и "безопасность" - мифы и легенды.
Просто ужас.
Не забывайте минусовать - верования и конспирологии среди групп фанатиков особенно сильны.
Т.е. ты правда веришь, что сотрудники рандомного Боинга по своей глупости подключают малварь с того же npm? Ржи больше.
Глядя как у них двери в полёте отрываются, это кажется очень похожим на правду.Мне не надо "верить" - верить - это к фанатикам. Линукс или что угодно.
Я люблю факты, исследования и научный метод.
На рандомном Боинге винда
А что ты проверять-то собрался, и как?Допустим даже что серьезная контора отпустит тебе цепь на такую длинну.
Вот недавно понадобилась поделка, да, на пихоне. Ну только на единственноверном пихоне, а то ж разработчик никак не мог прожить без последней наимоднявейшей фички.
Но пихона мало - там еще модуль. Который просто не собирается никаким pip (он на самом деле собирается, но не работает - я, кстати, хз как питоняши этого добиваются и что она там такое тогда "собирает") сам по себе - нужна определенная версия определенных .so где-то там где в единственноверном опять же месте без настроек он их поищет и не найдет.К моему великому счастью неведомый васян обо мне позаботился и выложил васян-репо.
Что они туда навыкладывал - Элоким один ведает. Но другого нету.
Безопастно! Конечно же куда безопастнее чем поставить ту версию что под винду (там вот все ок, там пихон и все запчасти вбандлены в экзешник) - у которой хотя бы защита ядра и uac в наличии, обойти которые далеко не каждому васяну дано.
P.S. чота слабо минусят. Наверное все заняты - на выборах голым суют.
Во-первых, вполне себе юзается аппаратная СДЗ. Во-второых никто левые репы на рабочем АРМ не использует, софт тоже по присмотром, это базовый сценарий использования для работы, а для экспериментов требований к безопасности особых нет.
Возрадуйтесь, любители копроиксов! Воланд не зафурычит на старом ведре.
он вообще не зафурычит, так как не готов
Не, ну ещё же чуть-чуть и будет готов ;)
> Не, ну ещё же чуть-чуть и будет готов ;)Ну, я подожду еще чуть-чуть, лет 10, когда воланд достигнет паритета (ну как паритета, разумеется ни Xpra, ни {multi,}Xnest, и тд, а просто будет стабилен как TinyX хоть), и с удовольствием посмотрю как он станет депрекейтед, а бравые парни из Intel/IBM/etc, осознав что вейланд морально устарел, и пилился всё это время дидами из Xorg, начнут пилить DirectFB3, на расте, под удобной им MIT лицензией. :-D
А я просто соберу себе Xenoraca когда шляпа бросит Xorg, благо чуваки из Hyperbola успешно перенесли его на линукс. Ну или подожду 2-3 релиза RHELa, пока шляпа протестирует на хомячках вдоль и поперек воланд. Ой, там или шах или падишах в общем ^_^
И в чем же его неготовность?
Использую на своем десктопе без каких-либо проблем
Как по мне, проблема, сейчас, только в разработчиках прикладного ПО. Например, почти весь софт для захвата изображений с экрана написан под иксы и, либо,не работает вообще, либо работает не весь функционал. И это уже проблема разработчиков ПО, а не вяленного.
Вяленый проблема разработчиков окружения. Если он не захотят поддерживать вяленый никакой разработчик стороннего ПО им не поможет.
Ну дак разработчики самых крупных окружений либо уже перешли либо в процессе.
> Если он не захотят поддерживать вяленый никакой разработчик стороннего ПО им не поможет.Уже все адекватные захотели.
Ну или их заставили захотеть, что мне как пользователю без разницы.А маргинальщина которая не сможешь даже wlroots заадоптить... просто нежизнеспособна.
Сдохнет, ну и фиг с ней.
> А маргинальщина которая не сможешь даже wlrootsмаргинальщина, лол. 4% на десктопе, где в основном иксы, а столько гонору, столько гонору. :-D
> маргинальщина, лол. 4% на десктопе, где в основном иксыНе, фреон или чо там у гугла в хромоси.
Но работы по переходу на вейланд "ведутся", да.
Так что скоро (как только, так сразу) будет и на опеннете праздник: "Наш вейланд побидил копроиксы! Ура товарищи! Теперь заживем! В сторону пользователей овноиксов - дружный, громкий, победный: ПУУУУК!".Ну а вне опеннета будет все как обычно - принудительно выпилят поддержку иксов из всего, до чего донятутся, а юзабельность вяленого подтянут лет через 8-10, как раз перед дропом его самого и переходом на следующую, "более лучшую и не такую окаменелую" технологию ...
>> маргинальщина, лол. 4% на десктопе, где в основном иксы
> Не, фреон или чо там у гугла в хромоси.и иксы. и какая-то часть маргинального меньшинства, еще более маргинальное меньшинство - вобланд.
> Но работы по переходу на вейланд "ведутся", да.
лол, тут уже на опеннете есть школьники, успевшие родиться, вырости и стать совершеннолетними. а "работы" всё "ведутся".
> Так что скоро (как только, так сразу) будет и на опеннете праздник:
скоро-скоро, и ты накатишь. держись, тока держись! ай, чшорт, не удержался, да? ^_^
> Ну а вне опеннета будет все как обычно - принудительно выпилят поддержку
> иксов из всего, до чего донятутся, а юзабельность вяленого подтянут лет
> через 8-10, как раз перед дропом его самого и переходом на
> следующую, "более лучшую и не такую окаменелую" технологию ...У меня стойкое ощущение, что как пульсу, так и пипварю, так и вейланд переживу, так и не потыкав палкой. Но поживём - увидим. ;-D
> 4% на десктопеЭто и есть маргинальщина.
Причем последние 1.5-2% они получили за счет стимдеска.> где в основном иксы
Пока. Но гном и кеды уже перешли на вейланд. А они - 60-70% ДЕ.
Даже менее распространенные типа xfce, cinnamon, mint,... тоже заявили что будут переходить.
Поэтому да, останется самое социальное днище.
> Пока. Но гном и кеды уже перешли на вейланд. А они - 60-70% ДЕ.Гном-то понятно, а вот до 7 версии кед, где иксы могут выпилить - еще лет 8-10, так что да, "ещенемногоужепочтисовсем" ...
>> Пока. Но гном и кеды уже перешли на вейланд. А они - 60-70% ДЕ.
> Гном-то понятно, а вот до 7 версии кед, где иксы могут выпилить
> - еще лет 8-10, так что да, "ещенемногоужепочтисовсем" ...щащащайланд! ^_^
> вот до 7 версии кед, где иксы могут выпилитьА зачем их выпиливать? Не, ну это дело богоугодное и всё такое..
Но достаточно просто чтобы они каждый день работали хуже и хуже.
Так и так почти 800 багов, и это без xwayland.Просто потихоньку ломать обратную совместимость.
Не специально разумеется! Там так всё так прекрасно написано, что достаточно не тестить и не фиксить баги иксов.
И за год-два они станут неюзабельные.
Адекваты допереходят на вейланд, неадекваты останутся сидеть на древних версиях и пованивать в комментах "как корпы убили ИХ линукс, плак-плак"
Тогда и поржем. Пока наблюдаем.
Осталось узнать, а зачем все это
2.6 ?
/dev/hands
Сейчас хоть есть замена той самой Cent OS, или всё вообще скатилось в самопальные поделия в виде микса из Cent OS Stream и Fedora и прочей самодеятельности?
а чем тебе роки плох?
Замена той самой это Роки Линукс. А самая нормальная замена это Оракл Линукс.
А не известно - скоро ли будет объявлено о переходе Роки под патронаж RH?
Вообще пофиг опыт спрыга с цента на Роки у народа уже есть. А то что клон сделают и для Роки факт вполне медицинский. А обновляется рано или поздно придётся.
Вам пофиг. А людям, у которых тысячи инсталляций настроенных - не пофиг
Если у них тысячи инсталляций ещё на седьмом центе. То дело не в центе.
Конечно, есть. Red OS.
А зачем корпам держатся за старые версии ядер?
А пользовате...пользуемым LTSной убунточкой 18 - опять неповезло. Потому что их пользователи (в смысле - владельцы убунты) т-пые и жадные и не хотели делиться патчами. Поэтому выбрав неподдерживаемое ведро.
Каноникл подержит ядро за яйки, на расширенной поддержке.
buster все? до 12.2024?