Выпуск NixOS 23.05 «Stoat»

Потому что идеальных систем защиты не бывает, и все эти шифрования, TPM, Secure Boot и прочие огораживания - про увеличение стоимости для атакующего. Редко бывают ситуации, когда «поздно пить боржоми» - что-то может замедлить атакующего до того момента, когда незаметная атака станет невозможна, что-то другое может удорожать её настолько, что она станет невыгодной.

Представь, что ты рабочий ноут на столе оставил и пошёл обедать, а в это время он попал к постороннему. Он увидел, что всё зашифровано, и закинул малварь в /boot, которая поймает ключ шифрования. Если у тебя есть пароль на биосе и включен Secure Boot, то без подмены машины или вскрытия корпуса ему уже не обойтись.

Другой сценарий - злодей сломал твою машину удалённо, получил рута и хочет закрепиться в ней, чтобы собрать не только те секреты, которые доступны прямо сейчас, но и те, которые появятся потом, а заодно и использовать твою машину для атаки на соседей по сети. Если используются verified boot и lockdown, то сделать это незаметно будет гораздо сложнее.

можно легко заменить

Мне реально сложно представить ситуацию, когда к компьютеру есть физический доступ, и у тебе его потом вернут обратно(лично я не виду смысла в краже ноутбука и его последующем возвращении). А если тебе компьютер не вернут, то смысл править загрузчик. Нужно слить все данные, что не защищены и потом все отформатировать и пользоваться.

и включен Secure Boot

Последнее здесь лишнее, без пароля в бут меню не зайти, а достать диск без вскрытия корпуса не выйдет.

Чем ситуация с офисом и сотрудником, который уходя на обед оставляет ноут на столе нереалистична?

Хм, не ужели что-то не на базе Фидора/редхэт/дебиан/убунту!?😳 Вау, ну просто вау!

Что-то на базе упомянутых дистров вообще нельзя считать дистрибутивом, это получится BolgenOS.

когда к компьютеру есть физический доступ, и у тебе его потом вернут обратно(лично я не виду смысла в краже ноутбука и его последующем возвращении)

Да легко. Оставил ты ноутбук в отеле, шлялся полдня где-то, а потом вернулся.

На работе сотрудник рассказывал про китайские гостинницы. Когда уходил, ему настойчиво рекомендовали забирать лаптоп с собой. А он оставил. Потом включает, а комп не включается, поврёждён загрузчик. А на компе куча нужного. Повезли в мастерскую, там не смогли восстановить, предложили переустановку. Ему потом объяснили, что у них такое в норме. На компы ставят шпионящее ПО в гостинницах. Не знаю, верить или нет, но вот такой случай.

И как тут Secure Boot поможет? Тут скорее нужна механическая защита с помещением ноутбука в чемодан с замком или сейф.

И как тут Secure Boot поможет? Тут скорее нужна механическая защита с помещением ноутбука в чемодан с замком или сейф.

Secure Boot поможет тебе узнать, заменили тебе загрузчик или нет.

Не, я не спорю, секурбут - это чисто для проталкивания контроллируемой мелкомягкими системы. Вся эта рекламная лабуда на меня не подействовала. Если и надо было обновлять биосы, то вот эта вся байда не про защиту пользователей. Но систему можно взломать легко, а можно сложнее. Класс хакера должен быть выше. Видимо моего сотрудника ломал хреновый хакер.

Да дело не в том, кого там набирают писать, а в том, что люди, которые его пишут, обязаны следовать определенным стандартам.

И тут, стоит заметить, Российские стандарты ИБ еще одни из самых что ни на есть вменяемых.

Да дело не в том, кого там набирают писать

Нет, в этом в том числе дело. Потому что…

а в том, что люди, которые его пишут,обязаныследовать определенным стандартам.

эти стандарты полны анального говна, поэтому писать это – тем более, за те довольно скромные деньги что там платят – готовы те, кто не нашёл более оплачиваемой работы. То есть, так себе специалисты.

И тут, стоит заметить, Российские стандарты ИБ еще одни из самых что ни на есть вменяемых.

Ага. Я до сих пор помню, как один из моих предыдущих работодателей получал сертификат в ФСТЭК за чемодан денег, а вместо софта там было наколеночное говно, которое писал 19-летний я за 30к деревянных в месяц в перерывах между универом и сексом с подружкой. Но я продвинулся дальше, а российский софт по части безопасности, судя по всему, нет.

А как там запускать бинарники? Меня вот этот момент оттолкнул

Рандомные из интернета? Есть враппер для этого.

Рандомные из интернета?

Допустим игры или Телеграм, скачанный с оф. сайта

Рандомные из интернета?

Допустим игры

Я бы Lutrix взял и не парился. Он тут есть. Как и Steam.

или Телеграм, скачанный с оф. сайта

Он есть в пакетах.

Но вообще, есть враппер. Поэтому это не проблема.

Я до сих пор помню, как один из моих предыдущих работодателей получал сертификат в ФСТЭК за чемодан денег

В реальности «сертификат ФСТЭК» никогда не стоил «чемодан денег». При достаточном желании денежные затраты ограничиваются официальными. Вы выбрали в моем лице крайне неблагодарную публику, рассказывая подобные басни. Получить что-то от ФСТЭК НЕВПРИМЕР ПРОЩЕ, чем получить ЭЦП от Казначейства РФ, для участия в процессе работы над бюджетом.

а вместо софта там было наколеночное говно, которое писал 19-летний я за 30к деревянных в месяц

Как я понимаю, учитывая «высокий слог» изложения вы не сильно продвинулись, несмотря на то, что утверждаете обратное. Тем не менее, несмотря на то, что, действительно, достаточно много всякого «легаси» ПО в данной сфере, дела там обстоят много лучше того, что вы тогда понаписали.

Secure Boot не повышает уровень сложности взлома. Ибо в ситуации, когда он осмысленный(есть пароль на уефи, шифрование диска стоит), он слоя защиты не добавляет. А на вскрытие корпуса можно поставить пломбу.

Хехе, я за всю жизнь видел только одну компанию в которой был защищён паролем загрузчик, была блокирована загрузка с usb и прочее. Кого защищает эта система? Только Майкрософт. От куркуренции.

А как там запускать бинарники? Меня вот этот момент оттолкнул

Это нормально для данной системы. На самом деле, несмотря на мою иронию про «истинное лицо» данного дистрибутива, ее не стоит использовать в качестве обычной рабочей станции, так скажем. Т.е. для обычной работы скорее подойдет абстрактная убунту, или красношапка.

Практическое применение данного-же дистрибутива скорее в плоскости работы с защищенными данными. А вот в обычном офисе, или дома - сильно вряд ли. Это будет сродни мазохизму. Глупее использовать в офисе только арч :)

Хехе, я за всю жизнь видел только одну компанию в которой был защищён паролем загрузчик, была блокирована загрузка с usb и прочее.

Ну их (таких компаний) достаточно много. Особенно в финансовой и медицинской сферах. Пару раз наблюдал в торговых сетях, но не на всех машинах.

Я до сих пор помню, как один из моих предыдущих работодателей получал сертификат в ФСТЭК за чемодан денег

В реальности «сертификат ФСТЭК»никогдане стоил «чемодан денег».

Ты не понял. Я тут описал старинную русскую забаву: попилить деньги, выделенные на разработку, сертификацию пройти за взятку, а код писать посадить студентов.

а вместо софта там было наколеночное говно, которое писал 19-летний я за 30к деревянных в месяц

Как я понимаю, учитывая «высокий слог» изложения вы не сильно продвинулись,

Да нет, раньше в моей профессиональной речи из цензурного были только предлоги. И то не все. Плюс, сиськи подружки стали больше :3

Это нормально для данной системы. На самом деле, несмотря на мою иронию про «истинное лицо» данного дистрибутива, ее не стоит использовать в качестве обычной рабочей станции, так скажем.

Не говори так. У меня тут половина конторы задротов на NixOS сидят и радуются жизни.

Практическое применение данного-же дистрибутива скорее в плоскости работы с защищенными данными.

Ты это сам придумал? Для работы с защищёнными данными в NixOS нет ровно ничего в сравнении с другими дистрами. Весь софт в NixOS ровно тот же самый, разница только в способе его установки и конфигурации.

Ты это сам придумал? Для работы с защищёнными данными в NixOS нет ровно ничего.

Я предположил. Но раз так, то я тогда не совсем понимаю на кой художник себе усложнять жизнь?

Ты это сам придумал? Для работы с защищёнными данными в NixOS нет ровно ничего.

Я предположил. Но раз так, то я тогда не совсем понимаю на кой художник себе усложнять жизнь?

Потому что этот дистр упрощает жизнь, а не усложняет. Одни атомарные обновления чего только стоят.

patchelf –set-interpreter $(patchelf –print-interpreter /bin/sh) /path/to/binary

Но в других дистрибутивах запускать левые бинарники не сильно проще - разница с NixOS только в том, что динамический загрузчик лежит не в /lib64/ld-linux-x86-64.so.2, а где-то в /nix/store/. И даже эту разницу можно правкой activation script устранить - достаточно научить его создавать симлинку в /lib64/.

Но после этого всё равно нужно доустанавливать зависимости. И в традиционных дистрибутивах это может вызвать проблемы, если бинарнику нужна библиотека некоторой версии, которая отличается по ABI от установленной средствами пакетного менеджера.

Поэтому для общего случая - либо steam-run, либо просто в докере запустить.

что не так с эцп в нормальных странах?

в Debian ставится одной командой (apt install open-eid), в рачике немного попердоолиться, но тоже можно: https://viki.pingviin.org/ID-kaart_Manjaro_Linuxis


к счастью, времена, когда нужно было патчить opensc и pcsk11 прошли, и все вменяемые страны перешли на опенсорс.

«вечно тормознутая» Эстония, внезапно, оказалась впереди планеты всей, и пропихнула на самый верх Гейропы открытые стандарты, так что скоро наступит светлое будущее (по крайней мере, на этом континенте) и никаких проблем с цифроподписью не будет.

мир, пони, радуги.

extra: https://github.com/open-eid
https://marksign.eu

5 лет.. слишком долго для того чтобы настроить систему..

И тут, стоит заметить, Российские стандарты ИБ еще одни из самых что ни на есть вменяемых.

У меня тут служба безопасности уже год загоняет, что компьютер в домене - безопасно, а не в домене - нет. На вопрос, согласны ли они заводить линукс/макос машины в домен, отвечают, что это небезопасно, потому что на линуксе/маке не применятся gpo. Всех удаленщиков заставляют ходить через терминалы, причем исключительно виндовые, потому что rdp с доменным логином - это безопасно, а ssh - нет. На просьбу хотя бы поставить на терминал wsl отвечают отказом, потому что админить несколько тысяч серваков через putty быстро и удобно, а через ansible - небезопасно, потому что они такого слова на лекциях по ИБ не слышали - значит не нужно.

Довольно вменяемый стандарт.

Хорошо, что не debian - только настроил и обновлять.

У меня ещё года три назад с opensc была лотерея: либо всё работает из коробки (~5-10% шанс), либо пиши пропало и проще застрелиться. Если сейчас всё стало ползти в лучшую сторону, это конечно хорошо и замечательно, но меня всё ещё гложат сомнения.

Я не имею ввиду использования, а в плане первоначальной настройки системы, а уже затем последующим обновлением и использования системы.

Если использовать как классический дистрибутив с настройками по умолчанию, то отличий практически нет. Поставить и начать пользоваться проще какой-нибудь федоры. Но и даёт в этом случае nixos не много, только периодические проблемы с запуском и диагностикой из-за врапперов. Вот использовать отличительные функции системы с пользой и не сойти при этом сума достаточно сложно.

Посмотрел поиск пакетов онлайн, действительно появилось то, о чем несколько лет назад даже не было речи.

Мне реально сложно представить ситуацию, когда к компьютеру есть физический доступ, и у тебе его потом вернут обратно

Когда ты студент и в ноуте для тебя самая большая ценность железо, тогда ты прав. А когда ты директор компании, то у кого-то(конкурентов например или даже полиции), может быть большое желание поставить(через подкупленную секретаршу например) тебе следящее ПО и на протяжении продолжительного времени сливать всё интересующее.

Норм, обновил все машины. Но смешно, что nix-command и flakes до сих пор экспериментальные фичи

Проверено на 010 editor и инсталляторе от Qt. Также проверено на нескольких варезных нативных играх.

Ну так ссзб

допустим я хочу использовать никс в своем дистрибутиве для установки среды программирования и разных библиотек, как будет выглядеть конечный файл project.nix с использованием flakes? в guix будет примерно так:

;; manifest.scm
(specifications->manifest '("gcc-toolchain" "make" "git"))

запускать так - guix shell -m /path/to/manifest.scm

так же просто держать список пакетов, guix package -m /path/to/my-package.scm

Кто именно? Я?

Не самый минимальный вариант, но я для своих проектов использую что-то такое

flake.nix:

{
  description = "TODO";

  # В данном случае inputs можно опустить, так как они есть в registry.
  # Но оставил для наглядности.
  inputs = {
    nixpkgs.url = "github:NixOS/nixpkgs";
    systems.url = "github:nix-systems/default";
  };

  outputs = { self, systems, nixpkgs }:
    let
      eachSystem = fun:
        nixpkgs.lib.genAttrs (import systems) (system:
          let
            pkgs = import nixpkgs {
              inherit system;
              config.allowUnfree = true;
            };
          in fun system pkgs);
    in {
      devShells = eachSystem (system: pkgs: {
        default = pkgs.mkShell {
          name = "myapp";

          # Зависимости сборки для shell-а
          buildInputs = with pkgs; [
            elixir
            elixir_ls
            inotify-tools
            erlang
            ngrok
            flyctl
          ];

          ERL_AFLAGS = "-kernel shell_history enabled";
          TERM = "xterm-256color";
        };
      });
    };
}

Сюда же можно напихать другие outputs типа packages, checks, etc.

Это скорее к релизам Nix комментарий, чем NixOs.

(ну и к flakes есть вопросы по-прежнему; правда, решить их, видимо, уже нельзя в связи с распространенностью)

О, спасибо, что напомнили.

Лет пять назад попробовал поставить на ноут просто, чтоб посмотреть и снести. За это время перешел и на десктоп на нем и вообще не думаю возвращаться на «более другие» дистрибутивы. Отлично один раз конфигурируемая система, которая вообще не требует никаких вмешательств в свою работу, то есть совсем. При наличии одного нормально настроенного конфига вообще не требует никаких плясок с бубном при переходе на новый комп. Пробую использовать и на некоторых серверах, причем разворачиваю свои веб-проекты тоже при помощи nix-окружения. Это, конечно, не совсем чистый NixOps (не в полной мере все осилил тонкости языка Nix — лень уж очень сильно закапываться в предметную область). Не страшно что-то сломать при обновлении или конкретной перенастройке — бэкап конфига решает, и всегда можно откатиться к старой версии билда системы без риска потерять что-то без возврата. Очень радует возможность иметь разные окружения для разных приложений — можно иметь в доступности хоть все возможные версии всяких python, haskell или php, или любой библиотеки, и ни одна из версий не будет ничего ломать в окружениях остальных — можно при помощи системы оверлеев, а можно просто при помощи собственного форка репозитория nixpkgs и создании своих кастомных независимых пакетов.

Количество сэкономленного времени просто фантастическое.

Количество сэкономленного времени просто фантастическое.

Волшебство!

То есть, нельзя просто взять бинарник и запустить? Нафиг такая система вообще нужна?

Вообще конкретно в nixos с этим хуже, чем в других дистрах, из-за отсутствия FHS по умолчанию. Но обычно просто взять бинарик и запустить - это не про линукс. В разных дистрах разные версии библиотек, с разными названиями, по разным путям. То что у тебя удачно запустилось 1.5 приложения - это не показатель.

просто взять бинарик и запустить

это вообще не про линукс) тут by-design оно не работает

То что у тебя удачно запустилось 1.5 приложения - это не показатель.

В теории да, случайные бинарники под линуксом с высокой вероятностью не запустятся на случайном дистрибутиве.

На практике же пользователь запускает приложения, которые рассчитаны на такое использование. Тут чаще всего проблем либо нет, либо они очевидны и легко решаются.

В nixos приходится использовать обходные пути и запускать через врапперы, затем решать связанные с этим нюансы (которые даже в никс пакетах годами не решаются).

Да, я в свое время не смог запустить Double Commander и XnView MP, оба статически собранные. Но справедливости ради сейчас они уже есть в списке пакетов.

Что-то на базе упомянутых дистров вообще нельзя считать дистрибутивом, это получится BolgenOS.

Эх, помню время когда я Ubuntu считал таким, а сейчас на ней сборки всякие делают.

Убунта не перестала таковой быть. А пересборки убунты - это BolgenBolgenOSы.

В хацкелле нет стабильного ABI

Мда… Сколько лет он уже существует? И до сих пор нет ABI, который бы не ломался при любом обновлении?