Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"Леннарт Поттеринг представил run0, замену sudo, интегрированную в systemd"	+/–
Сообщение от opennews (??), 29-Апр-24, 22:02
Леннарт Поттеринг представил утилиту run0, позволяющую выполнять процессы под идентификаторами других пользователей. Новая утилита позиционируется как более безопасная замена программы sudo, реализованная в форме надстройки над командой systemd-run и позволяющая избавиться от применения исполняемого файла с флагом SUID. Утилита run0 включена в состав выпуска systemd 256, который  находится на стадии кандидата в релизы... Подробнее: https://www.opennet.ru/opennews/art.shtml?num=61088
Ответить | Правка | Cообщить модератору

Сообщения

[Сортировка по ответам | RSS]

1. Сообщение от Дмитрий (??), 29-Апр-24, 22:02	+64 +/–
Ну что, кто там ждал SystemdOS? +1 шаг сделан
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #3, #39, #111

3. Сообщение от tcpip (??), 29-Апр-24, 22:05	–4 +/–
Есть нормальные альтернативы systemd?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #7, #8, #16, #90, #120

4. Сообщение от Аноним (7), 29-Апр-24, 22:05	+4 +/–
> Для авторизации и определения возможностей пользователя в run0 используется Polkit Пф-ф-ф, читер
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #171

5. Сообщение от Chromium (ok), 29-Апр-24, 22:05	+1 +/–
На run0 работает патч Бармина?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #31

7. Сообщение от Аноним (7), 29-Апр-24, 22:06	+13 +/–
Полным полно, только ты все равно скажешь, что это не альтернативы
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3 Ответы: #12, #117, #189

8. Сообщение от Аноним (8), 29-Апр-24, 22:07	+1 +/–
Да, /bin/bash
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3 Ответы: #88

11. Сообщение от Аноним (7), 29-Апр-24, 22:09	+3 +/–
Только один момент непонятен - чей пароль то вводить надо: юзера или рута?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #24, #133, #215, #264

12. Сообщение от тыквенное латте (?), 29-Апр-24, 22:11	+5 +/–
у этих альтернатива - это клон сисьтемдэ, тока чтоб назывался иначе. и даже если бы такое ненужнодэ появилось, они бы ответили "уууу, поделка васяна, а здесь толстая насадка корпорэйт едишн: стильно, солидно".
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #7 Ответы: #18

15. Сообщение от Аноним (18), 29-Апр-24, 22:13	+/–
Интересно, надо потыкать. Пока остановился на sudo-rs.
Ответить | Правка | Наверх | Cообщить модератору

16. Сообщение от Аноним (7), 29-Апр-24, 22:14	+2 +/–
Есть не просто нормальные, а есть превосходящие альтернативы
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3 Ответы: #20

17. Сообщение от 3draven (ok), 29-Апр-24, 22:14	+1 +/–
Недавно мелькали эксперименты по использованию ссш как судо...так вотоноче Михалыч.
Ответить | Правка | Наверх | Cообщить модератору

18. Сообщение от Аноним (18), 29-Апр-24, 22:15	+1 +/–
Ну почему, если будет что-то более гибкое и функциональное - посмотрим, оценим, применим. Сугубо прагматичный подход должен быть.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #12 Ответы: #23

20. Сообщение от Аноним (18), 29-Апр-24, 22:15	+/–
Какие? Кроме sysv
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #16 Ответы: #27

21. Сообщение от Аноним (21), 29-Апр-24, 22:16	+6 +/–
Это всё замечательно. Но зачем это нужно в системе инициализации?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #84, #158

23. Сообщение от Аноним (23), 29-Апр-24, 22:16	+/–
Кто кому должен? Опять лозунги, вместо реальных действий.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #18 Ответы: #34

24. Сообщение от Аноним (24), 29-Апр-24, 22:16	+13 +/–
Хочешь сказать что у тебя они разные?!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #11 Ответы: #37, #92

26. Сообщение от oficsu (ok), 29-Апр-24, 22:19	+/–
> Для авторизации и определения возможностей пользователя в run0 используется Polkit. Классический язык описания правил (/etc/sudoers), применяемый в sudo, не поддерживается В чём конкретно отличие от pkexec?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #82, #141

27. Сообщение от Аноним (27), 29-Апр-24, 22:20	+5 +/–
Кроме SysVinit нет и не нужно альтернатив. BSD  и illumos живут без   systemd и нормально.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #20 Ответы: #30, #36, #210, #239

30. Сообщение от Аноним (-), 29-Апр-24, 22:23	–4 +/–
> Кроме SysVinit нет и не нужно альтернатив. > BSD и illumos живут без   systemd и нормально. Ахаха)) Ты вначале посмотри как они живут) И можно ли вообще назвать это жизнью, особенно солярка. Это в лучше случае додыхание, а не жизнь.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #27 Ответы: #33, #78

31. Сообщение от Аноним (33), 29-Апр-24, 22:25	+1 +/–
Это была вещь, которая покорила сердце одного человека. Он приложил этот патч на Маке, увидел как с рабочего стола исчезают ярлыки... И после душноты Венды он был покорён свежестью и силой таких возможностей, оставленных открытыми в *nix системах.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5 Ответы: #268

33. Сообщение от Аноним (33), 29-Апр-24, 22:27	+/–
Пока Ситемда ещё молода, то навороить в ней в конфигах можно не менее трешъ и угар, чем в тех "неразвитых" системах. Поэтому нам бы лучше без Системды, пока до конца не отполируют.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #30 Ответы: #43, #45, #48

34. Сообщение от Аноним (18), 29-Апр-24, 22:28	+/–
Каких действий ты хочешь? Если будут норм альтернативы - спецы их рассмотрят и  применят, если они действительно круче будут. Но нет же, всё какие-то тайные знания и секретные практики от домашних экспертов предлагаются.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #23 Ответы: #55

36. Сообщение от Аноним (18), 29-Апр-24, 22:29	+/–
Тебе не нужно, мне нужно. И вся остальная индустрия со мной согласна. BSD и иллюмос это не смешно - на локалхосте можешь хоть дос использовать, всем плевать.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #27 Ответы: #44, #191

37. Сообщение от Аноним (37), 29-Апр-24, 22:30	+3 +/–
да мне тоже в первую очередь интересно будет ли аналог Defaults rootpw
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #24

38. Сообщение от Самый умный аноним (?), 29-Апр-24, 22:30	–1 +/–
Взлетит
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #91

39. Сообщение от Аноним (39), 29-Апр-24, 22:31	+1 +/–
Кажется, или у этого Леннарта идеи какие-то сомнительные...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #81, #131

43. Сообщение от Аноним (-), 29-Апр-24, 22:33	+/–
> Пока Ситемда ещё молода, то навороить в ней в конфигах можно не > менее трешъ и угар, чем в тех "неразвитых" системах. Что-то меня терзают смутые сомнения. У меня пока наворотить ничего не получилось) > Поэтому нам бы лучше без Системды, пока до конца не отполируют. А как отполировать то, чем никто не пользуются. Оно уже готово к продакшену. Все таки дитрибутивы, в которых systemd установлен по умолчанию: Debian, RHEL, Ubuntu, Fedora, Mandriva, Rosa, openSUSE, Arch, и еще куча других По сути самые распространенные дистры десктопного линукса. А мелочи можно подправить и в процессе использования.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #33 Ответы: #79

44. Сообщение от Аноним (27), 29-Апр-24, 22:34	+/–
>И вся остальная индустрия Индустрии что с кормят, то она и проглотит.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #36 Ответы: #67

45. Сообщение от Аноним (45), 29-Апр-24, 22:35	+/–
От "полирования", говорят, волосы на ладонях вырастают... А скорее всего там как и во многих других приложениях: прикручивание новых фич, весьма нужных, конечно, и костыли, чтобы старые ещё поработали.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #33

46. Сообщение от kuraga (ok), 29-Апр-24, 22:35	–2 +/–
> Подобное поведение больше напоминает запуск при помощи ssh А `su - root` не так работает?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #263

48. Сообщение от Аноним (-), 29-Апр-24, 22:36	+/–
> Поэтому нам бы лучше без Системды, пока до конца не отполируют. Как ее отполировать без интеграции? Если ею пользоваться не будут, то там даже баги не найдут. А чтобы отполировать, то нужно внедрение на десятки тысяч работающих серваков и рабочих станций, чтобы проверить всевозможные конфигурации и краевые случаи. Так что все правильно делают.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #33 Ответы: #77

53. Сообщение от Аноним (53), 29-Апр-24, 22:41	–3 +/–
Всё правильно, только векторов атаки не стало меньше, а стало больше. Линукс не может быть безопасТным по своей концепции.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #175

55. Сообщение от дАнон (?), 29-Апр-24, 22:43	+2 +/–
как будто прод это про спецов, а не про бренды и ярлыки ваши спецы сидят на убенту со снапом и другим калом, сидят на клоунской шапке где для изменения строки чтобы догнать тот же Арч нужеен целый отдельный сответ, и конечно же сидят на навязанном в своё время системд назло всем сисадминам, и на навязанном вайленде, который ещё несколько лет будет якобы безопасной беткой
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #34

61. Сообщение от Аноним (61), 29-Апр-24, 22:52	+6 +/–
Мне больше нравится doas из openbsd, к которому я так привык, что даже в линуксе использую.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #87, #123

65. Сообщение от Асен Тотин (?), 29-Апр-24, 22:56	–5 +/–
Как там у этой поделки с управлением правами через схему LDAP/AD? А как насчет неинтерактивного повышения привилегий с использованием SSH ключей, публичная часть которых хранится в LDAP/AD? Никак нет, говорите? Тогда и не надо, спасибо. Играйте этим в своих песочницах и не лезьте в старшим.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #85

67. Сообщение от Аноним (-), 29-Апр-24, 23:04	–1 +/–
> Индустрии что с кормят, то она и проглотит. Индустрия как раз сама создает запрос. И принимает решение, если оно ее устраивает. Напр. - индустрии нужен СТАНДАРТНЫЙ инит. Но не древнее унылое дедовское, а нормальное. Чтобы можно было взять одного админа, и перевести в другой отдел. И ему не пришлось полдня ковыряться в баш-продуктах жизнедеятельности предшественника. И системД был как раз результатом такого запроса. Сделали стандартный инит. Добавили туда вещей, который для инита непосредственно не нужны, но требовались корпам. И индустрия это приняла. А мнение маргиналов и нетакусивов никто не спрашивал и не спрашивает. С вейландом ситуация повторяется.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #44 Ответы: #73

73. Сообщение от тыквенное латте (?), 29-Апр-24, 23:23	+1 +/–
>> Индустрии что с кормят, то она и проглотит. > Индустрия как раз сама создает запрос. И принимает решение, если оно ее > устраивает. в мире розовых поней разве что. > Напр. - индустрии нужен СТАНДАРТНЫЙ инит. индустрии нужен СТАНДАРТНЫЙ звуковой сервер. индустрии нужен СТАНДАРТНЫЙ пакетный менеджер. индустрии нужен СТАНДАРТНЫЙ xyz. А на самом деле индустрии пофиг, она жрёт что дают. Форд черного цвета. > Но не древнее унылое дедовское, а нормальное. Чтобы можно было взять одного > админа, и перевести в другой отдел. > И ему не пришлось полдня ковыряться в баш-продуктах жизнедеятельности предшественника. Юзер234 лопатит сисьтемде скрипты, будешь копаться в них. :-D > И системД был как раз результатом такого запроса. > Сделали стандартный инит. Добавили туда вещей, который для инита непосредственно не нужны, > но требовались корпам. > И индустрия это приняла. Как принимала до этого dart, artsd, hald, pulseaudio, etc. Легко приняла - легко выбросила. > А мнение маргиналов и нетакусивов никто не спрашивал и не спрашивает. > С вейландом ситуация повторяется. Лишь бы не повторилось как с пшшшаудио и остальными почившими красношапочными прожектами. А то столько ср@чей напрасно провели. :-D
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #67 Ответы: #155

76. Сообщение от wd (?), 29-Апр-24, 23:56	+/–
ну если об polkit, то чем оно лучше pkexec?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #83

77. Сообщение от Аноним (33), 29-Апр-24, 23:58	+/–
Отполировать для удобства системного оператора. А то рекламы много, а работать плохо.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #48

78. Сообщение от Аноним (78), 30-Апр-24, 00:09	+/–
> Ты вначале посмотри как они живут) Они может и не очень живут, но это точно не из-за инита. Инит так круче, чем самая последняя версия системд
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #30

79. Сообщение от Аноним (33), 30-Апр-24, 00:12	+/–
Тут как с шелл скриптами. Полно изяшных скриптов. Полно трэшь простынок. Разгребать автоматику выбора последовательности старта сервисов, если после убунтологов - такое себе. Раньше всё решалось проще. Вероятно, т.к. в тех "неразвитых" системах важное было лучше продумано. А беспорядочного месива так же другие могли натащить. И  снова, или опять, никто не стал писать на полновесных языках программирования сервисы. Как в шелл простынках месили, так и перешли месить так же в Системду причудливую вязь из чужих тулов. Но шелл для того больше годен Это ж не Венда или Ой-OS, где не выйдет по работе обойти написание нужного на соответствующем языке. Тут намесить могут. И тогда идея не работает. P.S. Про Росу улыбнуло. Она в этом списке как-то теряется в размере.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #43 Ответы: #190

80. Сообщение от jalavan (ok), 30-Апр-24, 00:12	+2 +/–
> в сложных SUID-программах, таких как sudo, продолжают регулярно находить уязвимости А в программах которые написал Леннарт Поттеринг их не находят?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #246

81. Сообщение от Аноним (33), 30-Апр-24, 00:15	+/–
Скорее, что не те люди купили...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #39

82. Сообщение от Аноним (33), 30-Апр-24, 00:16	+/–
В том, что это - сам сделал. :)))
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #26

83. Сообщение от Аноним (84), 30-Апр-24, 00:16	+1 +/–
Отсутствием SUID
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #76 Ответы: #160

84. Сообщение от Аноним (84), 30-Апр-24, 00:20	+1 +/–
В системе инициализации не нужно. В системном менеджере скорее нужно т.к. он уже и так единая точка создания сессий. Чес городить ssh на localhost, можно еще несколько тысяч строк отвратительного кода на отвратительном языке написать, а потом чинить годами. Еще и детям останется
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #21 Ответы: #109

85. Сообщение от Аноним (33), 30-Апр-24, 00:21	+1 +/–
Вообще-то, это не должно быть в составе оркестратора запуска. Больше похоже, что пилится монолит. В рамках какго-то своего видения и опыта. Когда-нибдуь что-то выкристализуется. Может даже совсем отдельное от остального. Но, типа - да, пора десктоп на FreeBSD, пора.  В эти годы на Linux стрёмная движуха.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #65 Ответы: #128, #248

86. Сообщение от RootKiiit (?), 30-Апр-24, 00:23	–1 +/–
Пульса,сисьемдя... Там ушла юность, тут проходит зрелость... Стареем... Годы летят стрелою... Добавим ещё одного юзера в систему - рута можно задать и забыть, у судоера нет прав рута (кто нибудь пробовал под судоером поменять что нибудь в /proc, /sys ?). А этот будет висеть сервисом "ещё до загрузки ядра", если уже не висит... Не делается это так, "с кондачка"...
Ответить | Правка | Наверх | Cообщить модератору

87. Сообщение от пауел (?), 30-Апр-24, 00:30	+1 +/–
главное слово **привык** !!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #61

88. Сообщение от OpenEcho (?), 30-Апр-24, 00:37	+1 +/–
> /bin/bash не секьюрно, т.к. он в сеть умеет, лучше уж плэйн /bin/sh ака /bin/dash
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #8 Ответы: #113

89. Сообщение от dynoslug (?), 30-Апр-24, 00:46	+1 +/–
Больше похоже на первоапрельскую шутку.
Ответить | Правка | Наверх | Cообщить модератору

90. Сообщение от Ноним (?), 30-Апр-24, 00:51	+/–
Зачем systemd альтернативы? Идиотическая задача запускать сервисы из init процесса в 2024-ом. Единственная задача init'а — запустить containerd, с этим справится любой однострочник типа minit'а
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3

91. Сообщение от pic (?), 30-Апр-24, 00:57	+1 +/–
Ещё как, попробуйте сопротивляться IBM. Не можешь остановить, возглавь. Старая истина работает. Печально.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #38 Ответы: #127, #272

92. Сообщение от Аноним (7), 30-Апр-24, 01:00	+1 +/–
Конечно они у меня разные: мой обычный юзеры для работы, рут и пароль на шифрованный раздел - все разные пароли
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #24

93. Сообщение от Аноним (109), 30-Апр-24, 01:04	+/–
Разве кто-то сомневался, что дело systemd-xxxd и дальше пойдёт?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #96

95. Сообщение от Skullnet (ok), 30-Апр-24, 01:08	+/–
Зачем? Есть же pkexec.
Ответить | Правка | Наверх | Cообщить модератору

96. Сообщение от dynoslug (?), 30-Апр-24, 01:09	–2 +/–
Всем этим можно не пользоваться.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #93 Ответы: #102, #194

98. Сообщение от Аноним (111), 30-Апр-24, 01:14	+/–
Помимо всего прочего в сборке systemd используется  meson. Раньше кроскомпилился, а теперь затык какой-то с новой версией meson, даже старую версию systemd собрать невозможно, синтаксис поменялся.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #149, #165

101. Сообщение от Аноним (109), 30-Апр-24, 01:19	+/–
А что мешает тому же sudo начать вести себя аналогичным образом, не копировать окружение пользователя, а создавать временное для выполнения требуемого дествия с чистого листа?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #110, #154

102. Сообщение от Аноним (109), 30-Апр-24, 01:20	+3 +/–
Да можно и самим systemd не пользоваться.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #96 Ответы: #203

103. Сообщение от Lyrix (ok), 30-Апр-24, 01:20	+2 +/–
Блин, да когда уже сделают "правый клик -> run as Admin"? :)
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #143

105. Сообщение от Аноним (105), 30-Апр-24, 01:22	+2 +/–
Нагородили в этих ваших линуксах столько, что теперь уже никогда не разгрести. А ведь говорил Танненбаум Торвальдсу, что тот фигней занимается.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #107, #166

106. Сообщение от RootKiiit (?), 30-Апр-24, 01:23	–1 +/–
В процессе исполнения команд пользователя права рута могут потребоваться для некоторых из них. Только для этого.
Ответить | Правка | Наверх | Cообщить модератору

107. Сообщение от Аноним (109), 30-Апр-24, 01:27	+1 +/–
Поттерингу нужно было говорить. А Торвальдс, в своё время, таки показал Поттерингу палец, когда тот попытался впендюрить в ядро каку-то часть системды.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #105 Ответы: #136, #157

109. Сообщение от Аноним (109), 30-Апр-24, 01:31	+1 +/–
Поправил: т.к. он уже и так единая точка отказа.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #84

110. Сообщение от vdb (?), 30-Апр-24, 01:32	+1 +/–
Глупый вопрос. Очевидно, что обратная совместимость мешает. Если sudo начнёт себя вести так, как описано, это будет уже не sudo.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #101 Ответы: #114

111. Сообщение от Аноним (111), 30-Апр-24, 01:36	+1 +/–
Ждем не SystemdOS, а System DOS.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #138

113. Сообщение от dollybell (?), 30-Апр-24, 01:45	+1 +/–
не секьюрно, так как он исполнять скрипты умеет. лучше уж плэйн /dev/null.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #88 Ответы: #118

114. Сообщение от Аноним (109), 30-Апр-24, 01:56	+/–
Ну пусть будет sudo2. И кому в нём обратная совместимость нужна? Привыкнут к новому поведению.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #110 Ответы: #187

115. Сообщение от Аноним (115), 30-Апр-24, 02:27	+/–
"Не-ве-рю". Вместо того чтобы предложить патч для судо предлагают навесить больше функционала к итак неподъемному systemd, в котором _тоже_ находят баги. Почему-то _исправленные_ баги в проверенном sudo это _прям_беда_ а новое непойми что с модным красным терминальчиком и завязкой на системд это якобы решение.
Ответить | Правка | Наверх | Cообщить модератору

116. Сообщение от Аноним (116), 30-Апр-24, 02:48	+1 +/–
ssh root@localhost и никаких polkit'ов
Ответить | Правка | Наверх | Cообщить модератору

117. Сообщение от noc101 (ok), 30-Апр-24, 02:55	+1 +/–
Можно насыпать аргументов и название альтернатив? А то, сухо както.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #7 Ответы: #162

118. Сообщение от noc101 (ok), 30-Апр-24, 02:56	+1 +/–
Уверен и тут найдутся опасности. Тогда уж сразу в окно комп!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #113 Ответы: #126

119. Сообщение от Аноним (119), 30-Апр-24, 03:13	+/–
NIH во всей красе)
Ответить | Правка | Наверх | Cообщить модератору

120. Сообщение от Аноним (120), 30-Апр-24, 03:40	+3 +/–
> Есть нормальные альтернативы systemd? OpenRC, runit, s6, dinit.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3 Ответы: #130

121. Сообщение от Аноним (120), 30-Апр-24, 03:42	+4 +/–
SystemG по-прежнему не комбайн, да?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #240

123. Сообщение от Аноним (120), 30-Апр-24, 03:49	+/–
Я так привык к opendoas, что даже sudo удалил. Но теперь не работает монтирование в veracrypt. Эти ребята жестко привязали veracrypt к sudo.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #61 Ответы: #209

124. Сообщение от Аноним (-), 30-Апр-24, 03:49	+/–
> В run0 вместо использования SUID осуществляется обращение к системному менеджеру > с запросом запуска командной оболочки или процесса с указанным идентификатором пользователя, Ну наконец кто-то сделал это не через джепу. Хотя за polkit конечно незачет, да...
Ответить | Правка | Наверх | Cообщить модератору

125. Сообщение от Аноним (125), 30-Апр-24, 04:00	–3 +/–
О, шикарно, можно свои костыли с systemd-run выкинуть. Обожаю systemd, удобнейший софт.
Ответить | Правка | Наверх | Cообщить модератору

126. Сообщение от Аноним (126), 30-Апр-24, 04:52	+4 +/–
Тоже несекьюрно, может на голову кому-нибудь прилететь.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #118 Ответы: #174

127. Сообщение от Podman (?), 30-Апр-24, 05:08	+/–
В контейнерах даже процессы из пакетов RHEL прекрасно стартуют без системдна, прикольно да?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #91 Ответы: #142

128. Сообщение от Podman (?), 30-Апр-24, 05:11	+/–
Для работы использую хорошо защищённый ARMv7 одноплатник с readonly BootROM, работающий только в текстовой консоли без Xorg, с профилями AppArmor для всех используемых сетевых приложений, запускаемыми под ограниченными учётными записями. На нём установлены только свободные приложения, нужные для работы в роли DevOps инженера. Для аутентификации к нему подключены аппаратные криптографические токены  с неизвлекаемыми приватными ключами RSA4096. Кроме того часть моего оборудования защищена от РЭБ подавления и частично от утечек по побочным каналам типа ПЭМИН.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #85 Ответы: #135, #245

130. Сообщение от FedoraUser (?), 30-Апр-24, 05:13	–7 +/–
Приведённый список - это простые "пускалки". Всё на что они способны: запуск, остановка, перезапуск. systemd даже на этапе проектирования не разрабатывался как очередная простая "пускалка“. На текущий момент нет полного аналога systemd, отчасти его можно заменить на подборку нескольких костылей соединённых изолентой.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #120 Ответы: #132, #137

131. Сообщение от FedoraUser (?), 30-Апр-24, 05:15	+/–
Предложи свою идею и покажи ее реализацию на практике.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #39

132. Сообщение от anonymos (?), 30-Апр-24, 05:20	+5 +/–
Именно этим они и хороши!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #130 Ответы: #211

133. Сообщение от FedoraUser (?), 30-Апр-24, 05:22	–4 +/–
Зачем тебе на локалхосте активная учётная запись root? Заблокируй root, добавь своего единственного пользователя в группу wheel и после  sudo бла-бла с вводом пароля пользователя.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #11 Ответы: #148, #151, #199, #235

135. Сообщение от FedoraUser (?), 30-Апр-24, 05:32	+7 +/–
Больше смахивает на речи представителя палаты №6
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #128 Ответы: #182, #202

136. Сообщение от FedoraUser (?), 30-Апр-24, 05:36	+/–
Тем не менее часть нужного кода в ядро внедрили.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #107

137. Сообщение от Аноним (120), 30-Апр-24, 05:56	+2 +/–
>Приведённый список - это простые "пускалки". Это самые настоящие init системы, в отличии от. >Всё на что они способны: запуск, остановка, перезапуск. А что еще нужно? Пол помыть, покушать приготовить? >systemd даже на этапе проектирования не разрабатывался как очередная простая "пускалка“. И это плохо. >На текущий момент нет полного аналога systemd, отчасти его можно заменить на подборку нескольких костылей соединённых изолентой. Какого еще полного аналога?! Такого же комбайна, который рулит сетью, dns, пользователями, хомяками и еще кучей всего?! Инит должен быть маленьким и простым, а не лезть туда куда не нужно! В этом плане каждый из списка уделывает всухую у этого комбайна в миллион строк и горой уязвимостей.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #130 Ответы: #144

138. Сообщение от Аноним (120), 30-Апр-24, 05:58	+/–
Пусть уже добавит systemG в виндовс и отстанет от линукса.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #111

139. Сообщение от Аноним (139), 30-Апр-24, 07:31	+2 +/–
> В run0 вместо использования SUID осуществляется обращение к системному менеджеру хаха, вспоминается работа системд, когда упал dbus.
Ответить | Правка | Наверх | Cообщить модератору

141. Сообщение от BrainFucker (ok), 30-Апр-24, 08:24	+1 +/–
У pkexec тоже стоит suid.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #26

142. Сообщение от BrainFucker (ok), 30-Апр-24, 08:25	+/–
А в контейнерах systemd и отказывается работать по дефолту.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #127 Ответы: #244

143. Сообщение от BrainFucker (ok), 30-Апр-24, 08:30	+/–
Так до Поттеринга это было. Помню даже когда устанавливался Krusader, одновременно в меню появлялись две иконки, одна дефолтная, другая красная, которая запускалачь от рута через kdesu. Но потом в современных линуксах что-то сломали и графические приложения перестали толком запускаться под рутом.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #103 Ответы: #196

144. Сообщение от FedoraUser (?), 30-Апр-24, 08:37	–2 +/–
systemd не является и не проектировался как простой init! Я тебе больше скажу: в недалекой перспективе он ещё больше на себя замкнет.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #137

147. Сообщение от Легивон (?), 30-Апр-24, 09:06	+4 +/–
Интересно будет ли эта тулза для безопасности линковаться с libsystemd (или еще каким-то монстром)?
Ответить | Правка | Наверх | Cообщить модератору

148. Сообщение от Аноним (228), 30-Апр-24, 09:18	+/–
> добавь своего единственного пользователя в группу wheel С учетом все более широкого применения Polkit'а (вон как в сабже), этот совет уже не кажется таким хорошим. Лучше для админки отдельного пользователя завести (или нескольких), и его добавить в группу wheel/admin.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #133

149. Сообщение от Аноним (228), 30-Апр-24, 09:22	+/–
Для того на с autoottools на meson повсеместно и переходят. Чтобы у хозяина была возможность плевать на совместимость и ломать всё по любому поводу. Он ведь на "поддержке" зарабатывает. Чего детишкам непонятно?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #98

151. Сообщение от helloworld (?), 30-Апр-24, 09:23	+1 +/–
В итоге дырень ещё больше, если подумать.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #133 Ответы: #216

153. Сообщение от Аноним (153), 30-Апр-24, 09:29	+/–
GNU/Linux => SystemD/Linux => SystemD
Ответить | Правка | Наверх | Cообщить модератору

154. Сообщение от Аноним (228), 30-Апр-24, 09:29	+1 +/–
Он почти так себя и ведёт (только без PID1). С белым списком переменных окружения. Но им сам sudo с SETUID'ом не нравится, поэтому от него пытаются избавиться, заменив его на Polkit.. Который тоже с SETUID'ом.. Погодите-ка.. Oh, shi~ Выходит, разница только в том, что у sudo другой разработчик, с которым нужно договариваться о приёме закладок, а Polkit уже под Redhat'ом, бэкдорь как хочешь.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #101 Ответы: #188

155. Сообщение от Аноним (-), 30-Апр-24, 09:39	+1 +/–
> индустрии нужен СТАНДАРТНЫЙ xyz Разуй глаза. Бизнесу не нужны 100500 звуковых серверов или пакетных менеджеров. Это развлекалавка для нетакусиков - сегодня поковыряю конфиги тут, а завтра там. Оно должно просто предсказуемо работать, чтобы сегодня уволил одну обслугу и заменил на другую. > А на самом деле индустрии пофиг, она жрёт что дают. Да-да)) Именно поэтому на каждый успешно внедренный проект сотни или тысячи фейлов. > Форд черного цвета. Но почему-то древнее омнище под названием sysV выкинули на мороз и заменили на системд. Когда системд перестанет удовлетворять требованиям - на мороз пойдет она, как только ей появится соответствующая замена. > Лишь бы не повторилось как с пшшшаудио и остальными почившими красношапочными прожектами. А если повторится как к системд, то ты, как обычно, побежишь переобуваться? Вообще не важно взлетит вейланд или нет. Даже если нет, то его заменят на что-то другое. Важно выкинут иксы. Потому что это окаменелое откатило линукс десктоп лет на десять по сравнению с виндой и макосью.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #73 Ответы: #159, #267

156. Сообщение от Аноним (240), 30-Апр-24, 09:44	+1 +/–
Читающим советую использовать doas - легче и проще, чем sudo.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #167, #168, #181

157. Сообщение от Аноним (-), 30-Апр-24, 09:47	+/–
Торвальдс в последнее время может решать только "табы против пробелов")) Т.к понимает, что если наезжать на уважаемых платиновых спонсоров, то можешь увидеть форк только от корпов, где рулить будут совершенно другие люди. ps и кстати часть предложенных изменений в ядро таки приняли
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #107 Ответы: #195

158. Сообщение от Аноним (198), 30-Апр-24, 09:47	+/–
Так оно не в системе инициализации, это отдельная утилита из комплекта systemd.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #21

159. Сообщение от тыквенное латте (?), 30-Апр-24, 09:58    Скрыто ботом-модератором	+/–
>> индустрии нужен СТАНДАРТНЫЙ xyz > Разуй глаза. И что-нибудь из библии накати, пжалста, для образа. > Бизнесу не нужны 100500 звуковых серверов или пакетных менеджеров. Бизнесу пох на эти твои звуковые сервера и пакетные менеджеры. Один их или пять, или сто пять. > Это развлекалавка для нетакусиков - сегодня поковыряю конфиги тут, а завтра там. или там, накачу вейланд, проверю пропал ли тиринг, лол. > Оно должно просто предсказуемо работать, чтобы сегодня уволил одну обслугу и заменил > на другую. чо сказать-то хотел? вейланд еще не работает, у системд предсказуемость русской рулетки. Причем здесь твой бизнес?)) в шапке вейланд появится через десять лет. А перейдут с семерки на восьмерку через двадцать. :-D >> А на самом деле индустрии пофиг, она жрёт что дают. > Да-да)) > Именно поэтому на каждый успешно внедренный проект сотни или тысячи фейлов. каждый успешно внедренный проект это сотни и тысячи фейлов. И только их сведут до десятка, в линуксе внедряют новый проект. >> Форд черного цвета. > Но почему-то древнее омнище под названием sysV выкинули на мороз и заменили > на системд. и пшшаудио выкинули на мороз и заменили на пайпварю. И халд на удав. И гном2 на гном3. Бизнесу пох на эти трения. > Когда системд перестанет удовлетворять требованиям - на мороз пойдет она, как только > ей появится соответствующая замена. лол, хочу видеть эту замену сисьтемде. >> Лишь бы не повторилось как с пшшшаудио и остальными почившими красношапочными прожектами. > А если повторится как к системд, то ты, как обычно, побежишь переобуваться? я как обычно подожду пока оно накроется медным тазом, как и всё предыдущее в линуксе. в т.ч. и сам сисьтемде. > Вообще не важно взлетит вейланд или нет. Даже если нет, то его > заменят на что-то другое. > Важно выкинут иксы. Потому что это окаменелое откатило линукс десктоп лет на > десять по сравнению с виндой и макосью. тут рассказывали что винда до сих пор поддерживает винапи и дос-эмуляцию. это достаточно окаменелое? беги к мракософту, срочно, рассказывай им что надо выкидывать на мороз. не забудь еще прочитать им лекцию про "бизнесу надо стабильно и предсказуемо", чтоб они увидели сразу с кем имеют дело. ;)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #155

160. Сообщение от тыквенное латте (?), 30-Апр-24, 10:02	+1 +/–
> Отсутствием SUID а так, зачем suid, если systemd уже запускается от рута, да. Удобно. И главное - безопасно.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #83 Ответы: #256

162. Сообщение от Аноним123 (?), 30-Апр-24, 10:09	+/–
Альтернатива какому именно функционалу systemd вам нужна?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #117

165. Сообщение от Аноним (165), 30-Апр-24, 10:36	+/–
У меня все впорядке между 0.9 и 1.4 все работает. Давай конкретнее в чем проблема?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #98

166. Сообщение от Аноним (165), 30-Апр-24, 10:37	+/–
Эх... И где теперь Танненбаум?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #105 Ответы: #197

167. Сообщение от Аноним (165), 30-Апр-24, 10:38	+/–
А как оно работает? Как-то иначе?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #156 Ответы: #177

168. Сообщение от Аноним (120), 30-Апр-24, 10:42	+/–
Хорошая штука, использую около года. Спустя какое-то время подумал, а зачем мне su, sudo и doas в системе? И удалил sudo... Столкнулся с проблемой при попытке монтирования контейнера veracrypt от своего пользователя. Как оказалось veracrypt привязан к sudo прям в исходниках. О проблеме знают, но решать не будут. Может и какой-другой софт тоже привязан к нему, не знаю.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #156 Ответы: #178

171. Сообщение от Аноним (171), 30-Апр-24, 11:17	+1 +/–
Правила контроля доступа к polkitd пишутся на JS...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4 Ответы: #192, #198, #212

174. Сообщение от noc101 (ok), 30-Апр-24, 11:29	+/–
> Тоже несекьюрно, может на голову кому-нибудь прилететь. Ну это уже не мои проблемы))
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #126 Ответы: #266

175. Сообщение от Аноним (171), 30-Апр-24, 11:31	+1 +/–
> Всё правильно, только векторов атаки не стало меньше, а стало больше. polkitd c контролем доступа на JS сам по себе дырень. > Линукс не может быть безопасТным по своей концепции. Может, в плоть до уровня "B3" можно безопасность подтянуть. Для начала надо выпилить: systemd, dbus, polkitd+JS, JIT, BPF, ...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #53 Ответы: #200

177. Сообщение от Аноним (240), 30-Апр-24, 11:48	+/–
Он портирован в линуксы из bsd. конфиг проще, бинарник меньше, список зависимостей короче.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #167

178. Сообщение от Аноним (240), 30-Апр-24, 11:50	+/–
А если симлинк на sudo привязать?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #168 Ответы: #185

181. Сообщение от Аноним (181), 30-Апр-24, 12:01	+/–
Не все так просто будет с некоторым софтом типа veracrypt и т.д. Завязано на sudo и хоть ты тресни.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #156

182. Сообщение от Podman (?), 30-Апр-24, 12:22	+/–
Твой ответ больше смахивает на ответ тех, кто опечален, когда им мешают вредить свои софтовыми закладками.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #135

183. Сообщение от zog (??), 30-Апр-24, 12:25	+/–
Постепенно systemd вытеснит собой все binutils.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #257

185. Сообщение от Аноним (120), 30-Апр-24, 12:27	+/–
Да, вероятно, это сработало бы, если бы я не удалил sudo из системы. Зачем мне аж три способа для повышения прав? И это не сработает, если софт использует sudo с флагом, которого нет в doas.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #178 Ответы: #186, #219

186. Сообщение от Аноним (120), 30-Апр-24, 12:37	+/–
Нашел багрепорт на sourceforge. Тс говорит, что с симлинком не работает.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #185

187. Сообщение от errandrunner (?), 30-Апр-24, 13:24	+/–
а зачем плодить сущности тогда?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #114 Ответы: #205

188. Сообщение от errandrunner (?), 30-Апр-24, 13:26	+/–
он не предлагает на pkexec все менять, а просто использовать существующие правила policykit для работы с run0 в целом, это самый адекватный вариант. и не нужно заново все переписывать, и нет дурацких проблем с suid но нытики на этом форуме будут продолжать ныть
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #154 Ответы: #214

189. Сообщение от Аноним (189), 30-Апр-24, 13:29	+/–
Отказ от Линукс?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #7

190. Сообщение от Аноним (189), 30-Апр-24, 13:32	+/–
Разве Мандрива не завершила своё существование распродажей?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #79

191. Сообщение от Аноним (189), 30-Апр-24, 13:35	+/–
Не всем. Иначе на форумах так громмко не кричали бы )
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #36

192. Сообщение от Аноним (192), 30-Апр-24, 13:36	+1 +/–
Действительно? Мир никогда не будет прежним...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #171

193. Сообщение от Аноним (193), 30-Апр-24, 13:41	+/–
Теперь ждём systemd-unboring-wallpapers
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #222

194. Сообщение от Аноним (192), 30-Апр-24, 13:54	+/–
Теоретически да, но нет.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #96 Ответы: #201

195. Сообщение от Аноним (192), 30-Апр-24, 13:58	+/–
Поправочка: Торвальдс мешает другим решать "табы против пробелов", а то один умник свое видение хотел пропихнуть поломав совместимость с остальным. Сам он выступил с нейтральной точки зрения. Все было в статье здесь же.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #157

196. Сообщение от Lyrix (ok), 30-Апр-24, 14:12	+1 +/–
Да, kde-rootactions-servicemenu до сих пор есть, через polkit работает.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #143

197. Сообщение от BrainFucker (ok), 30-Апр-24, 14:16	+/–
> Эх... И где теперь Танненбаум? Там https://www.opennet.ru/opennews/art.shtml?num=47539#r_title
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #166 Ответы: #238

198. Сообщение от Аноним (198), 30-Апр-24, 14:33	–2 +/–
И что…
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #171

199. Сообщение от Аноним (199), 30-Апр-24, 14:35	+/–
> и после  sudo бла-бла с вводом пароля пользователя ты новость читал, на которую отвечаешь? Это обсуждение run0 на замену sudo
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #133

200. Сообщение от Аноним (189), 30-Апр-24, 14:45	+/–
> до уровня "B3" Это сколько в дюймах?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #175

201. Сообщение от Zitz (?), 30-Апр-24, 14:47	+/–
Почему?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #194

202. Сообщение от Аноним (189), 30-Апр-24, 14:49    Скрыто ботом-модератором	+/–
МИ№6?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #135

203. Сообщение от Zitz (?), 30-Апр-24, 15:06	+/–
Каким образом? Она же является стандартом для обоих дистров.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #102

205. Сообщение от Аноним (189), 30-Апр-24, 15:16	+/–
Только в полёти живут самолёти… ?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #187

209. Сообщение от Аноним (209), 30-Апр-24, 16:03	+/–
Нафига тебе в линуксе веракрипт?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #123

210. Сообщение от Аноним (-), 30-Апр-24, 16:15	+/–
> Кроме SysVinit нет и не нужно альтернатив. BSD  и illumos живут > без   systemd и нормально. Солярка так живет что аж кошмар с XML нагородила. А когда оказалось что это тормозно - и с кешированием этого в скулайт. На этом фоне systemd - просто masterpiece of engineering. Во всяком случае обошелся без энтерпрайзятины типа XML и потом костылирования ее тормозов. А BSD - в них вообще нет ничего сравнимого с systemctl. За что и пострадают.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #27 Ответы: #225

211. Сообщение от Аноним (211), 30-Апр-24, 16:17	+/–
> Именно этим они и хороши! Угу. Пока тебе в управление сервак с такими художествами не подвалит по наследству. После чего начинаешь ценить вещи типа systemd-delta, чтобы хотя-бы понимать что именно тебе вообще подсунули. А у тех, педальных, этого разумеется нету и в проекте. Так что угрохайте-ка полчасика на колупание по всем закоулкам системы для получения этого же знания. Которое на системе с системдой вот так, списочком, по пунктикам.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #132 Ответы: #226, #228

212. Сообщение от Аноним (211), 30-Апр-24, 16:18	+/–
> Правила контроля доступа к polkitd пишутся на JS... Возможно, ты имел в виду JSON? Есть некоторая разница как бы.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #171 Ответы: #220

213. Сообщение от Аноним (213), 30-Апр-24, 16:28	–1 +/–
Серьёзный проект. Глобальный и надёжный. Ждём с нетерпением новых фич!
Ответить | Правка | Наверх | Cообщить модератору

214. Сообщение от Аноним (228), 30-Апр-24, 16:41	–1 +/–
> просто использовать существующие правила policykit Ага, просто использовать JS-движок для чтения десятков файлов конфигураций на JS, в которых привилегии направо и налево раздаются. Вместо очень сложного текстового файлика sudoers с системными функциями для разбора регулярок, в тех редких случаях, когда они вообще нужны. Надеюсь, я "просто" и "сложно" местами не перепутал, дорогой куратор из Redhat/IBM/NSA? > и нет дурацких проблем с suid Ну как же. pkexec как поставлялся с polkit'ом, с setuid-битом, так и осанется. Хотя, какие с sudo ещё проблемы? Если пользователя в sudoers или привилегированные группы не добавлять, то он и так не может повышать привилегии, даже с помощью sudo.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #188 Ответы: #223

215. Сообщение от Аноним (228), 30-Апр-24, 16:51	+/–
> чей пароль то вводить надо: юзера или рута? Ничей. Проверка неинтерактивная. В каком-нибудь правиле в одном из сотен скриптов на JS будет написано что-то вроде "разрешить всё всем, кто в группе reddoor", и всех избранных автоматически начнут пускать без фейс-контроля, никто не заметит.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #11 Ответы: #242

216. Сообщение от Аноним (228), 30-Апр-24, 16:54	+/–
> В итоге дырень ещё больше, если подумать. С учётом, что пользователь сёрфит веб, а в системе установлен Polkit и куча правил, разрешающих всякое всем, кто в группе wheel, то да. Дырень.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #151

218. Сообщение от Аноним (228), 30-Апр-24, 17:02	+3 +/–
> в сложных SUID-программах Толи дело простецкий javascript-движок только для разбора правил в Polkit'е. > sudo, продолжают регулярно находить уязвимости, вызванные неаккуратным обращением с внешними данными Толи дело в Polkit, количество аргументов подсчитать правильно не могут: https://access.redhat.com/security/vulnerabilities/RHSB-2022...
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #229, #270

219. Сообщение от Аноним (228), 30-Апр-24, 17:05	+/–
Подсунь вместо sudo шелл-скрипт, где отрежь/подмени невалидные аргументы и вызови doas (или что там у тебя).
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #185

220. Сообщение от Аноним (228), 30-Апр-24, 17:11	+/–
$ cat /usr/share/polkit-1/rules.d/org.gtk.vfs.file-operations.rules // Allows users belonging to privileged group to start gvfsd-admin without // authorization. This prevents redundant password prompt when starting // gvfsd-admin. The gvfsd-admin causes another password prompt to be shown // for each client process using the different action id and for the subject // based on the client process. polkit.addRule(function(action, subject) {         if ((action.id == "org.gtk.vfs.file-operations-helper") &&             subject.local &&             subject.active &&             subject.isInGroup ("wheel")) {             return polkit.Result.YES;         } });
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #212 Ответы: #221, #247

221. Сообщение от Аноним (228), 30-Апр-24, 17:16	+/–
Этот GVFS Admin, кстати, через лазейку в Polkit позволял любому локальному GTK-приложению поднять привилегии до рута. Что-то не найду CVE, опять Редхат информацию про раскрытый бэкдор под ковер спрятал, попутно распространяя антипиар про sudo, но на Опеннете новость есть.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #220 Ответы: #230, #271

222. Сообщение от Аноним (120), 30-Апр-24, 17:30	+/–
Они моментально удаляют любые "просьбы" сделать что-то подобное как и просьбы убрать рученки от линукса. К большому сожалению там еще большие сектанты, чем противники системг.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #193

223. Сообщение от errandrunner (?), 30-Апр-24, 17:50	+/–
> Ага, просто использовать JS-движок для чтения десятков файлов конфигураций на JS, в которых привилегии направо и налево раздаются. ну, как напишешь - так и будут раздаваться. поттеринг что-ли тебе их поставляет? тем более, что формат sudoers так и вовсе какая-то страшная эзотерика, там точно черт поймет кто какие пермишены получает > pkexec как поставлялся с polkit'ом, с setuid-битом, так и осанется. pkexec необязательная часть policykit
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #214 Ответы: #227

225. Сообщение от тыквенное латте (?), 30-Апр-24, 18:08	+1 +/–
> А BSD - в них вообще нет ничего сравнимого с systemctl. За > что и пострадают. они уже страдают. нетбсдшный миксер и/или опенбсдшный sndiod уже перестрадали и артсд, и пшшшаудио, и пайпварю перестрадают. нет ничего сравнимого. :-D
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #210

226. Сообщение от тыквенное латте (?), 30-Апр-24, 18:12	+/–
>> Именно этим они и хороши! > Угу. Пока тебе в управление сервак с такими художествами не подвалит по > наследству. После чего начинаешь ценить вещи типа systemd-delta, чтобы хотя-бы понимать > что именно тебе вообще подсунули. но ведь системде, стандартизайция, куда х куда х... > А у тех, педальных, этого разумеется нету и в проекте. Так что > угрохайте-ка полчасика на колупание по всем закоулкам системы для получения этого > же знания. Которое на системе с системдой вот так, списочком, по > пунктикам. У тех давно всё архитектурно разнесено на host и local, что diff'ом можно и разницу глянуть, и патч создать, и раскатать его потом на другой машине чтоб повторить конфигурацию, пока ты будешь дуплиться в бесполезный выхлоп системг-дельта.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #211

227. Сообщение от Аноним (228), 30-Апр-24, 18:26	+/–
> поттеринг что-ли тебе их поставляет? В том числе. А так же его друзья, коллеги и руководители. Правила, так-то, с пакетами прилетают, аккурат из редхатовских реп собраные. Я-то разберусь, что с этим делать, конечно, но другие скушают не глядя, а потом сюрприз-сюрприз. > формат sudoers так и вовсе какая-то страшная эзотерика Ну как разобрался, такая и эзотерика. У меня всё в `man 5 sudoers` понятно написано. Правила даже указаны на языке формальной грамматики, чтобы не только человек, но и коробка с гайками разобралась. > pkexec необязательная часть policykit Зато policykit теперь обязательная часть systemd. А тот обязательная часть.. А вместе они принадлежат..
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #223

228. Сообщение от Аноним (228), 30-Апр-24, 19:09	–2 +/–
В systemd с каждым релизом куча всяких внутренних изменений. Если за ним постоянно не следить, то он не многим понятнее шеллскриптов. Даже наоборот. Шеллскрипт понять легче, чем пробиться через типичную редхатовскую "документацию", где портянки сгенерированного текста раскиданы по сотням файликов с едва отличимыми названиями, а информация без конкретики в духе "икс делает икс, а игрек это потому что игрек". А чтобы тривиально поменять поведение, нужно сразу на Си-разработчика обучаться и разворачивать окружение под разработку, сборку и деплой. > начинаешь ценить вещи типа systemd-delta Дельту настроек (измененные и новые файлы), причем не только файлы инита, можно посмотреть с помощью любого пакетника. За тебя мама, чтоль, всегда сервер обновляет? Или ты вообще никогда не обновляешься? Или, может, переустановками, как в Винде? Как, вообще, админ может этого не знать? > у тех, педальных, этого разумеется нету и в проекте У "педальных" (виндузятников, зашедших погостить через виртуалочку) ничего нету даже под носом. А нормальные админы командами шелла любые задачи тривиально решают, включая получение информации. > угрохайте-ка полчасика на колупание по всем закоулкам системы Только имена директорий отличаются. Ничем не хуже, чем: $ find /{etc,usr/share}/systemd/ -type f,l |wc -l 62
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #211

229. Сообщение от FedoraUser (?), 30-Апр-24, 19:11	+/–
>Толи дело простецкий javascript-движок только для разбора правил в Polkit'е Для actions используют xml и это можно принять, но для rules тянуть js engine полный бред. Никогда этого не понимал.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #218 Ответы: #236

230. Сообщение от Аноним (230), 30-Апр-24, 19:54	+/–
Можете тут показать, о чем речь: https://www.cvedetails.com/vulnerability-list/vendor_id-1290...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #221 Ответы: #231, #232, #234

231. Сообщение от Аноним (231), 30-Апр-24, 21:32	+/–
Access denied
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #230

232. Сообщение от Аноним (231), 30-Апр-24, 21:38	+/–
Вот коммит, который закрывает дыру: https://gitlab.gnome.org/GNOME/gvfs/-/commit/d8d0c8c40049cfd... Связанную issue с подробностями, они удалили/скрыли. Я ошибся, не любому пользователю, а только из wheel/admin группы. Что, впрочем, в некоторых десктопных дистрибутивах равносильно.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #230 Ответы: #233

233. Сообщение от Аноним (231), 30-Апр-24, 21:51	+/–
> The agents can't be simply disabled without root permissions and are automatically respawned. А вот это вообще враньё. Агент всегда и везде запускается от пользователя by design. Его элементарно убить с пользовательскими правами. А respawn происходит через .desktop-файл и легко отключается переопределением этого файла в ~/.local/share/application/ с теми же правами. Единственный случай, когда уязвимость неопасна, если gvfsd-admin не установлен в систему. Например, в Debian он (и другие расширения) упакован отдельно от пакета с gvfs. Короче, просто прикинулись, что ничего страшного не случилось и избежали скандала и шумихи.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #232

234. Сообщение от Аноним (231), 30-Апр-24, 22:05	+/–
Нашёл ссылку в merge-request: https://nvd.nist.gov/vuln/detail/CVE-2019-3827 По описанию похоже.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #230

235. Сообщение от василий без диска (?), 30-Апр-24, 22:11	+/–
> Заблокируй root ... Когда у тебя initrd не сможет по какой-либо причине смонтировать rootfs, и вывалится в login shell с вопросом о вводе пароля рута.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #133 Ответы: #237

236. Сообщение от разработчик (?), 30-Апр-24, 22:12	+/–
на чем умел, на том и написал! Зато у меня софтскиллы а тебе в rhbm не берут!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #229

237. Сообщение от Аноним (231), 30-Апр-24, 22:46	+/–
Если вывалится до монтирования корня (/), то пароль (/etc/{passwd,shadow}) он, очевидно, не спросит. А если после, можно зайти пользователем.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #235

238. Сообщение от Аноним (231), 30-Апр-24, 22:55	+/–
> Было бы отлично, если бы Intel опубликовала свои изменения в MINIX, но он не будет держать зла, если имеются какие-то причины не делать этого. Эх, было бы. Но придётся попридержать бздла.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #197

239. Сообщение от Анонус (?), 30-Апр-24, 23:00	+/–
А разве в Illumos не https://en.wikipedia.org/wiki/Service_Management_Facility вместо init?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #27

240. Сообщение от Аноним (240), 30-Апр-24, 23:27	+1 +/–
Конечно не комбайн. Это завод, изготавливающий комбайны - пожалуйста, не путайте.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #121

242. Сообщение от scriptkiddis (?), 01-Май-24, 15:06	+/–
Звучит как что-то очень секурное. Нужно ставить!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #215 Ответы: #254

244. Сообщение от scriptkiddis (?), 01-Май-24, 15:08	+/–
Уже нет.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #142

245. Сообщение от scriptkiddis (?), 01-Май-24, 15:12	+/–
И пох что железо не свободное и фирмварь за тобой палит. Но ты веруй дальше.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #128

246. Сообщение от scriptkiddis (?), 01-Май-24, 15:13	+/–
Нееееттт что ты. Случай с xz? Уххх да когда это было пффф.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #80

247. Сообщение от Аноним (247), 01-Май-24, 15:50	+/–
> $ cat /usr/share/polkit-1/rules.d/org.gtk.vfs.file-operations.rules ... > the subject > // based on the client process. > polkit.addRule(function(action, subject) { >         if ((action.id == "org.gtk.vfs.file-operations-helper") Хе, забавно. Реально через libduktape - мелкий движок JS приделали. Но вообще мелкая и не страшная либа так то.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #220 Ответы: #253

248. Сообщение от Аноним (247), 01-Май-24, 15:54	–1 +/–
> Но, типа - да, пора десктоп на FreeBSD, пора.  В эти > годы на Linux стрёмная движуха. Ога, без дров GPU, вафли, с никаким управлением питанием на ноутах - будет вам десктоп... в виртуалочке. На маздайке или маке поди, как обычно.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #85

253. Сообщение от Аноним (253), 01-Май-24, 20:17	+/–
Тут заявляют, что fnmatch(3) и regexec(3) из sudoers - это сложнА и нИпАнятнА. А тут чуть ли не Тьюринг-полный язык и интерпретатор на Си, в котором один только заголовок на полторы тыщи строк.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #247

254. Сообщение от Аноним (253), 01-Май-24, 20:25	+/–
Не нужно, оно уже установлено как зависимость systemd.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #242

256. Сообщение от Аноним (256), 01-Май-24, 20:42	+/–
>> Отсутствием SUID > а так, зачем suid, если systemd уже запускается от рута, да. Удобно. > И главное - безопасно. Если учесть что в SUDO было штуки три вулнов в этом их sudoedit'e (блин, зачем он вообше нужен, до этого даже поттер не допер?!) - там уж чья бы мычала.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #160

257. Сообщение от Аноним (-), 01-Май-24, 20:45	+/–
> Постепенно systemd вытеснит собой все binutils. Вот прям - binutils? А это ему зачем? Он программы компилить и линковать собрался?!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #183

260. Сообщение от Аноним (260), 01-Май-24, 22:42	+/–
вот как так? Есть вот у нас ИКсы, которые только ленивый не обосрал за их монструозное количество функционала, что аж ИКота начинается у особенно переживающих за безопасность. Главный и железный аргумент: 98% пользования идет по одной функции, остальное лишняя площадь для маневров атаки. Есть вот у нас систеМДЯ, которая обросла функционалом не менее ИКсов, аж ИКота пробирает от масштаба если понесет туда разбираться, При этом по первоначальной функции от нее требуется не то что там городят. Но тут эта площадь для маневров атак мало кого смщает. какойто Уиндов$ с платной RGBt-подсветкой сооружается...
Ответить | Правка | Наверх | Cообщить модератору

262. Сообщение от Аноним (262), 02-Май-24, 05:52	+1 +/–
Читайте о systemd,dbus,polkitd+JS: https://www.linux.org.ru/forum/security/17549375?cid=17582833
Ответить | Правка | Наверх | Cообщить модератору

263. Сообщение от 1 (??), 02-Май-24, 10:23	+/–
su - утилита админа sudo - юзверя В этом их коренное отличие.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #46

264. Сообщение от Пряник (?), 02-Май-24, 10:32	+1 +/–
sudo спрашивает пароль пользователя, чтобы не сообщать всем вокруг рутовский пароль
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #11

265. Сообщение от Пряник (?), 02-Май-24, 10:33	+/–
неудобно, что отдельно это нельзя поставить, прибито гвоздями к версии systemd
Ответить | Правка | Наверх | Cообщить модератору

266. Сообщение от Аноним (266), 02-Май-24, 11:57	+/–
Есть более простое решение просто тогда отнести комп на помойку, чтобы исключить бэкдоры в случае окна.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #174

267. Сообщение от Елыпалы (?), 02-Май-24, 18:55	+/–
> Но почему-то древнее омнище под названием sysV выкинули на мороз Потому что корпы решили под себя подмять Линукс. И индустрия, долго не раздумывая приняла главный "аргумент" в пользу сыстемды: скорость загрузки на секунду уменьшилась. То что по факту загрузка стала менее прозрачной, было просто сьедено. А сейчас с удовольствием кушает то, что системды уже давно не является лишь менеджером загрузки системЫ. И людей здравого смысла называет маргиналами.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #155

268. Сообщение от Sem (??), 02-Май-24, 20:07	+/–
Вообще-то, он предлагал прикладывать этот патч к SCO UNIX
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #31

269. Сообщение от randomize (?), 02-Май-24, 20:57	+1 +/–
Пора уже systemd встроить в ядро, чего стесняться-то. Есть su, а все остальное - от лукавого.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #273

270. Сообщение от fuggy (ok), 02-Май-24, 21:28	+/–
Ведь в run0 не будет уязвимостей? Правда ведь?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #218

271. Сообщение от mikhailnov (ok), 03-Май-24, 12:31	+/–
А там никто не делал CVE
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #221

272. Сообщение от myster (ok), 06-Май-24, 13:02	+/–
> попробуйте сопротивляться IBM. Поттеринг давно в Microsoft работает уже
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #91

273. Сообщение от myster (ok), 06-Май-24, 13:05	+/–
> чего стесняться-то А вот это здравая мысль, так как мейнтейнеры Linux ядра здорово "почикают" разросшегося монстра и он будет выглядесть более опрятно. И даже такие дистрибутивы, как Gentoo и Artix перестанут считать systemd зашкваром. И может даже FreeBSD скопирует код для своих нужд
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #269

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема