The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Технический комитет утвердил изменение поведения systemd в Debian

14.10.2025 14:52

Технический комитет, принимающий конечные решения в отношении спорных технических вопросов в проекте Debian, утвердил внесение изменения в пакет с systemd, меняющего поведение при работе с каталогом /var/lock. Системный менеджер systemd начиная с выпуска 258 ограничил возможность записи в каталог /var/lock только для пользователей с правами root, в то время как технический комитет Debian одобрил оставление старого поведения, разрешающего запись в /var/lock любым пользователям.

Правила проекта Debian предписывают сохранение исходного поведения приложений (настроек, выставленных в upstream) при формировании пакетов. Для внесения в пакеты специфичных для Debian изменений в обход правил проекта, требуется получение специального разрешения от технического комитета.

В случае с systemd комитет поддержал предложение не следовать изменению, меняющему права доступа к /var/lock с целью усиления безопасности, так как возможность общедоступной записи в каталог /var/lock упоминается в спецификации FHS (Filesystem Hierarchy Standard) и необходима для продолжения работы некоторых существующих программ. Например, приложения для работы в последовательными портами, такие как uucp, minicom, mgetty+sendfax и hylafax, используют каталог /var/lock для разделения доступа к устройствам /dev/ttyS* через создание файлов-блокировок.

Необходимость ограничения доступа к каталогу /var/lock объясняется разработчиками systemd защитой от DoS-атак. Каталог /var/lock является символической ссылкой на каталог /run/lock. Раздел c каталогом /run обычно монтируется отдельно через tmpfs и наличие возможности бесконтрольной записи в него может использоваться для переполнения раздела и блокирования создания новых файлов в иерархии /run.

Чтобы исключить совершение подобных атак при наличии неограниченного доступа ранее в Debian использовался патч, монтирующий /run/lock в отдельном небольшом tmpfs-разделе. В прошлом году данный патч был заменён на юнит run-lock.mount, а этим летом данный юнит удалён, после чего /run/lock оказался в разделе /run. В комментариях к решению технического комитета бывший мэйнтейнер systemd рекоменовал не забывать об отмеченном изменении и вернуться к отдельному монтированию /run/lock, а в долгосрочной перспективе перевести все приложения, завязанные на /run/lock, на блокировки при помощи механизма flock.

  1. Главная ссылка к новости (https://lists.debian.org/debia...)
  2. OpenNews: Известные участники проекта Debian не выдерживают противостояния, связанного с systemd
  3. OpenNews: Разработчики Debian обсуждают переход по умолчанию на systemd или upstart
  4. OpenNews: Уязвимости в apport и systemd-coredump, позволяющие извлечь хэши паролей пользователей системы
  5. OpenNews: В GNOME будет усилена зависимость от systemd
  6. OpenNews: Доступен системный менеджер systemd 258
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/64050-systemd
Ключевые слова: systemd, debian
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (59) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.2, User (??), 15:03, 14/10/2025 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +4 +/
    Сколько раз голосовали?
     
     
  • 2.4, Аноним (4), 15:05, 14/10/2025 [^] [^^] [^^^] [ответить]  
    		• +2 +/
    Столько, сколько нужно.
     
  • 2.23, Аноним (23), 15:58, 14/10/2025 [^] [^^] [^^^] [ответить]  
    		• +1 +/
    - Да, хочу.
    - Нет, не против.
     
  • 2.57, Аноним (57), 18:29, 14/10/2025 [^] [^^] [^^^] [ответить]  
    		• –1 +/
    Вот неправильно дебиановцы поступили. Надо было не принимать systemd, и стать никому ненужным дистром, после чего исчезнуть окончательно.
     

  • 1.3, Аноним (3), 15:05, 14/10/2025 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +7 +/
    > так как возможность общедоступной записи в каталог /var/lock упоминается в спецификации FHS

    systemd клал на эти ваши стандарты.

     
     
  • 2.10, Минона (ok), 15:24, 14/10/2025 [^] [^^] [^^^] [ответить]  
    		• +7 +/
    На этот FHS уже все клали.

    /bin /sbin это ссылки на /usr/bin.
    /lib* это ссылки на соответствующие каталоги в /usr.

    Осталось переименовать /usr в /system.
    И оставить только /system и /home реальными каталогами.
    А остальное в / засимлинкать в /system/{etc,bin,lib,...}

     
     
  • 3.11, kravich (ok), 15:26, 14/10/2025 [^] [^^] [^^^] [ответить]  
    		• +1 +/
    Давно пора
     
  • 3.14, Аноним (14), 15:28, 14/10/2025 [^] [^^] [^^^] [ответить]  
    		• +1 +/
    А как это сделано в BSD?
     
     
  • 4.16, Аноним (3), 15:31, 14/10/2025 [^] [^^] [^^^] [ответить]  
    		• +/
    Там всё отлично сделано - https://man.netbsd.org/hier.7
     
  • 3.15, Аноним (3), 15:29, 14/10/2025 [^] [^^] [^^^] [ответить]  
    		• +2 +/
    Дак всё перечисленное - это из-за systemd
     
     
  • 4.20, Минона (ok), 15:40, 14/10/2025 [^] [^^] [^^^] [ответить]  
    		• +/
    Нет, все глубже.
     
     
  • 5.30, freehck (ok), 16:23, 14/10/2025 [^] [^^] [^^^] [ответить]  
    		• +1 +/
    >> Дак всё перечисленное - это из-за systemd
    > Нет, все глубже.

    Да оба правы.

    Дистрибутивы всегда местами отходили от FHS, но отходили относительно несильно. Сильно отходили -- в RHEL/Fedora. Леннарт писал systemd в первую очередь для RHEL, а потому ложно постулировал, что "FHS уже давно никто не соблюдает", заложившись на то, чтобы сделать стандартом то, что было на тот момент в RHEL. В 2014м, когда systemd протолкнули дефолтом в Debian, это распространилось уже по всем мейнстримным дистрибутивам.

    Так что да, дистрибутивы и до systemd отходили от FHS. И да, текущее повальное отхождение от стандарта -- это из-за systemd.

    Вполне очевидно, что мы сейчас переживаем момент перехода к новому стандарту. Можете смело считать, что systemd -- это FHS 2.0, а Debian состроил сейчас козью морду и отошёл от него.

    PS: хотя не; с учётом того, что последний стандарт FHS был версии 3.0, давайте лучше считать, что systemd -- это FHS 3.14

     
  • 5.62, Аноним (62), 19:06, 14/10/2025 [^] [^^] [^^^] [ответить]  
    		• +/
    Куда ещё глубже-то В старые давние времена в lib bin sbin лежала базовая сис... большой текст свёрнут, показать
     
  • 2.32, User (??), 16:37, 14/10/2025 [^] [^^] [^^^] [ответить]  
    		• +/
    Ну, ты конечно назовешь еще три-четыре операционные системы, совместимость с которыми необходимо обеспечивать в 2025 году? Ах, да - "обеспечивать" именно на стороне linux'а, а не наоборот...
     
     
  • 3.43, Аноним (3), 17:25, 14/10/2025 [^] [^^] [^^^] [ответить]  
    		• +/
    А причем тут я и почему я должен что-то называть? В новости написано, что в неком FHS написано, что /var/lock может быть доступен на запись для любого. Если не нужно обеспечивать совместимость с этим стандартом в линуксе, то пиши в Дебиан чтоб запретили запись в /var/lock для всех кроме рута, а не меняли поведение systemd.
     
     
  • 4.50, User (??), 18:00, 14/10/2025 [^] [^^] [^^^] [ответить]  
    		• +/
    > А причем тут я и почему я должен что-то называть? В новости
    > написано, что в неком FHS написано, что /var/lock может быть доступен
    > на запись для любого. Если не нужно обеспечивать совместимость с этим
    > стандартом в линуксе, то пиши в Дебиан чтоб запретили запись в
    > /var/lock для всех кроме рута, а не меняли поведение systemd.

    Ну, ты же пишешь, что "systemd клал"?
    Я отвечаю, что "fhs" нужен примерно как "стандарт деревенской кузницы, привязанный к пальцу кузнеца"...

     
  • 2.52, Аноним (57), 18:16, 14/10/2025 [^] [^^] [^^^] [ответить]  
    		• +/
    >systemd клал на эти ваши стандарты.

    На стандарты, придуманные дидами, у которых ОС на один диск не помещалась. /bin, /sbin, /usr/bin, /usr/sbin - маленькая часть первородного хаоса.

     
     
  • 3.60, Аноним (3), 18:47, 14/10/2025 [^] [^^] [^^^] [ответить]  
    		• +/
    Да всё может быть. А может быть чтобы разные опции монтирования применять для разных разделов. Но вот в дебиане утверждают, что из-за новой systemd, к-й кладёт на стандарт, может что-то не работать и потому эта новость появилась, разве нет?
     

  • 1.5, Аноним (4), 15:06, 14/10/2025 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +5 +/
    systemd - это вендорлок.
     
  • 1.6, Аноним (6), 15:17, 14/10/2025 [ответить] [﹢﹢﹢] [ · · · ]  
    		• –2 +/
    debian - скандалы, интниги, расследования
     
  • 1.7, Соль земли2 (?), 15:18, 14/10/2025 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +4 +/
    /var/lock - прикольное имя для мага в RPG
     
     
  • 2.9, Аноним (9), 15:23, 14/10/2025 [^] [^^] [^^^] [ответить]  
    		• –2 +/
    Уже занято, warlock - чернокнижник
     
     
  • 3.26, Аноним (-), 16:03, 14/10/2025 Скрыто ботом-модератором     [к модератору]
    		• –1 +/
     
  • 3.59, Аноним (59), 18:39, 14/10/2025 [^] [^^] [^^^] [ответить]  
    		• +/
    Он про имя, а ты про класс.
     
  • 2.54, Аноним (54), 18:28, 14/10/2025 [^] [^^] [^^^] [ответить]  
    		• +/
    «Варлок» — не просто убийца. Это ещё и туннель, буравящий глубину. — Чтобы вернуться! — кричу я, вталкивая Неудачника в синее пламя,
     

  • 1.8, Аноним (8), 15:23, 14/10/2025 [ответить] [﹢﹢﹢] [ · · · ]  
    		• –1 +/
    А как там девуан поживает?
    Инсталляций 15 есть уже?
     
     
  • 2.13, Аноним (13), 15:28, 14/10/2025 [^] [^^] [^^^] [ответить]  
    		• +3 +/
    С него пишу, всё норм. Стабильно. Ощущение довольно чистой от шлака системы. Обновляется чаще Слаки, и то хорошо.
     
     
  • 3.38, IdeaFix (ok), 16:56, 14/10/2025 [^] [^^] [^^^] [ответить]  
    		• +/
    Но есть пакеты в химере, которые не обновлялись с момента релиза. И обновились только по просьбе после EOL 11-го деба. Там не так много пакетов на самом деле пересобрано, но тем не менее.
     

  • 1.12, Аноним (13), 15:27, 14/10/2025 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +/
    Сами перешли, сами напоролись. Какой-нибудь бэкдор в systemd это вопрос времени. Сам systemd постепенно захватывает систему и не считается ни с какими дистрибутивами.
    Из GNU/Linux дистров остались только Gentoo, Void, Slackware, Artix, CRUX, antiX. Остальное это просто ненужные наборы пакетов для systemd/Linux.
     
     
  • 2.18, Аноним (18), 15:40, 14/10/2025 [^] [^^] [^^^] [ответить]  
    		• +/
    Alpine забыл.
     
  • 2.39, Аноним (-), 17:07, 14/10/2025 [^] [^^] [^^^] [ответить]  
    		• –1 +/
    > Из GNU/Linux дистров остались только Gentoo, Void, Slackware, Artix, CRUX, antiX.

    Гента поддерживает системд. Еще забыл девуан.

    А вообще - Прям список 60mжей, дидов, нетакусей и прочих шизей))
    И главное - нет ни одного нормального дистра в списке.

     
     
  • 3.44, Ан339ним (?), 17:31, 14/10/2025 [^] [^^] [^^^] [ответить]  
    		• –1 +/
    Потому что никому, кроме фанатиков-маргиналов, нафиг не уперлось ковыряться с системой. Тем более с каким то там init-ом. Половину юзеров убунты и хромоси спроси, они и не знают, что это. И есть ли у них это вообще. Им главное, чтобы работало. Но задpotы целые дистры клепают "без системд".
     
     
  • 4.49, Аноним (-), 17:50, 14/10/2025 Скрыто ботом-модератором     [к модератору]
    		• –1 +/
     
     
  • 5.51, Ан339ним (?), 18:02, 14/10/2025 Скрыто ботом-модератором     [к модератору]
    		• +/
     
  • 2.53, Аноним (53), 18:24, 14/10/2025 [^] [^^] [^^^] [ответить]  
    		• +1 +/
    Дистрибутивы свободны перейти на одну из доступных альтернатив. Такие даже есть, и ты их сам перечислил. Только они никому не нужны, кроме полутора калек.
     
  • 2.55, Аноним (57), 18:28, 14/10/2025 [^] [^^] [^^^] [ответить]  
    		• +1 +/
    >Какой-нибудь бэкдор в systemd это вопрос времени.

    Можно подумать, что вы в состоянии отревьювить хотя-бы один init.
    >Из GNU/Linux дистров остались только Gentoo, Void, Slackware, Artix, CRUX, antiX. Остальное это просто ненужные наборы пакетов для systemd/Linux.

    О, список дистрибутивов для не0силят0ров. Вот который раз прошу повторить хотя бы малую часть systemd: поместить процесс в отдельное пространство имён, дать ему определённые capabilities, запустить от определённого пользователя, настроить cgroup, и сделать это декларативно, чтобы можно было свободно переопределить на конченой машине, вплоть до команды запуска. И ни разу неосиляторы, столь рьяно ругающие systemd не 0силили написать башпортянку, которая давала бы эквивалентное поведение.

     

  • 1.17, gc (?), 15:39, 14/10/2025 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +2 +/
    я надеюсь systemd-antidosd уже в процессе написания и это только первый шаг? ещё можно какойнито systemd-antispamd, systemd-antivirusd etc
     
  • 1.19, Аноним (19), 15:40, 14/10/2025 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +1 +/
    лучше занялись бы переносом настроек кучи и кучи программ в ~/.config
    уже 2025 год, прошли уже десятки лет, а большинство все так же хранят настройки не в ~/.config
     
     
  • 2.21, Минона (ok), 15:42, 14/10/2025 [^] [^^] [^^^] [ответить]  
    		• +3 +/
    Не-не.
    Будет systemd-configd.
     
     
  • 3.27, Аноним (23), 16:03, 14/10/2025 [^] [^^] [^^^] [ответить]  
    		• +1 +/
    и обязательно в бинарном непотребном виде всё в одной куче.
     
     
  • 4.37, Аноним (37), 16:54, 14/10/2025 [^] [^^] [^^^] [ответить]  
    		• +2 +/
    И тут винда на три десятка лет и опередила
     
     
  • 5.46, Аноним (46), 17:40, 14/10/2025 [^] [^^] [^^^] [ответить]  
    		• +1 +/
    systemd-regeditd
     
     
  • 6.58, Аноним (53), 18:36, 14/10/2025 Скрыто ботом-модератором     [к модератору]
    		• +/
     
  • 2.56, Аноним (53), 18:29, 14/10/2025 [^] [^^] [^^^] [ответить]  
    		• +/
    Некоторые из .config устраивают свалку и кладут туда вообще всё, а не только конфиги. Отдельное спасибо тем, кто создаёт подпапку, вместо создания 100500 файлов а-ля kcal, kmocha и т.д.
     

  • 1.22, Хачикян Рубик (?), 15:43, 14/10/2025 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +1 +/
    Еще пару таких "изменений" и наконец-то в техническом комитете "сообразят", что лучше совсем этот системный Ди выкинуть за забор. Я так думаю.
     
     
  • 2.29, Аноним (29), 16:14, 14/10/2025 [^] [^^] [^^^] [ответить]  
    		• +/
    Пока им не заплатят (или припугнут), не "сообразят".
     

  • 1.28, Аноним (28), 16:08, 14/10/2025 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +2 +/
    Надо ещё убрать нехарактерные для инициализатора функции: монтирование без спросу раздела /home, удалить функцию dns-резолвера, dhcp-клиента, ntp-клиента.


    Передайте комитету Дебиан о моей инициативе!

    systemd не должен заниматься защитой от ddos атак это не её дело. Пусть не суёт свой сопливый нос куда не попадя.

     

  • 1.33, Аноним (33), 16:37, 14/10/2025 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +/
    Ох, напугали.
    Подумал, было, что решили зафорсить тот функционал для маркировки (блокировки?) софта, разработанного без применения достаточного объёма woke-повесточки.
     
     
  • 2.45, Ан339ним (?), 17:34, 14/10/2025 Скрыто ботом-модератором     [к модератору]
    		• –1 +/
     
  • 2.48, Аноним (-), 17:46, 14/10/2025 [^] [^^] [^^^] [ответить]  
    		• +/
    > зафорсить тот функционал для маркировки (блокировки?) софта,
    > разработанного без применения достаточного объёма woke-повесточки.
    > Подумал

    Знаете, вам к психиатру пора, раз вам такие мысли в голову приходят.
    Причем очень-очень давно.

     

  • 1.34, Аноним (34), 16:39, 14/10/2025 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +/
    > Раздел c каталогом /run обычно монтируется отдельно через tmpfs и наличие возможности бесконтрольной записи в него может использоваться для переполнения раздела и блокирования создания новых файлов в иерархии /run.

    Сколько ж костылей в этих ваших линуксах. А уж что куда монтируется в андроидах - не помнят и сами разработчики. Только дунешь - все начнет рассыпаться как карточный домик.

     
  • 1.35, RM (ok), 16:42, 14/10/2025 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +/
    какой смелый ход!

    сарказм если что...

     
  • 1.36, Имя (?), 16:48, 14/10/2025 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +2 +/
    Этим куколдам думать надо было раньше - когда выбирали систему инициализации. А теперь будут жрать то, что им предлагают RH и Поттеринг, никуда не денутся, спектакль про самостоятельное принятие технических решений - бесполезен.
     
  • 1.40, Аноним (40), 17:17, 14/10/2025 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +1 +/
    > DoS

    Мы хотим шареную фс, но не шареную фс... Что мешает отдельную аппу загнать вообще в свой собственный mount namespace и примонтировать ей там свой tmpfs? В докере кнопочку не завезли?

    А линковать /var к хоть чему-то из /run (т.е. в tmpfs) это ошибка. Есть задачи, которым может понадобиться lock файл даже при умершем процессе и после перезагрузки. Из-за ненадёжности /var приходиться выдумывать свои собственные lock в какой-нибудь /var/lib/*

     
     
  • 2.61, нах. (?), 19:02, 14/10/2025 [^] [^^] [^^^] [ответить]  
    		• +/
    > Мы хотим шареную фс, но не шареную фс... Что мешает отдельную аппу загнать вообще в свой
    > собственный mount namespace

    например то, что некоторые авторы до сих пор не желают писать lin000ps only поделки.

    (Мелким шрифтиком - причем совместимые непременно с вчера вышедшим ведром)

    > А линковать /var к хоть чему-то из /run (т.е. в tmpfs) это ошибка.

    не ошибка, а системная функция. Как и сам /run в tmpfs вместо /var/run

    > Есть задачи, которым может понадобиться lock файл даже при умершем процессе и после
    > перезагрузки.

    но это не те задачи за которые получает бонусы ныне-сотрудник Microsoft Леня Потный.

     

  • 1.41, Аноним (41), 17:20, 14/10/2025 Скрыто ботом-модератором [﹢﹢﹢] [ · · · ]     [к модератору]
    		• –1 +/
     
  • 1.42, Аноним (42), 17:25, 14/10/2025 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +/
    А я щытаю нужно заменить /var/lock на /let/lock
     
     
  • 2.47, Аноним (46), 17:42, 14/10/2025 [^] [^^] [^^^] [ответить]  
    		• +/
    /const/lock. Чтобы константно заблокировать, без побочных эффектов
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:

    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей     		Created 1996-2025 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру