LINUX.ORG.RU
ФорумAdmin

Сравнение SysV и systemd

 , ,


1

3

По большей части вижу критику в область багов, проблем безопасности, недокументированных частей кода, юникс философи вайоленс(!) и даже личности создателя. (за качество скринов прощу прощения)

Но как можно аргументировать это? Я не «против» и не «за» systemd, просто хочется понять как люди раньше жили и живут, ограждая себя от таких фишек.



Последнее исправление: Cirno (всего исправлений: 2)
Ответ на: комментарий от delightfish

Обосновывай, каким образом эта херня является доказательством.

Очевидно, что ты не осилишь доказательство, раз ты не знаешь основ. Потому, чтобы что-то доказать, тебе надо сначала прочитать лекцию про разделяемые библиотеки, потом принять у тебя экзамен. И только потом, может быть, ты поймёшь что-то.

AS ★★★★★
()
Последнее исправление: AS (всего исправлений: 1)
Ответ на: комментарий от AS

Очевидно, что ты не осилишь доказательство, раз ты не знаешь основ. Потому, чтобы что-то доказать, тебе надо сначала прочитать лекцию про разделяемые библиотеки, потом принять у тебя экзамен. И только потом, может быть, ты поймёшь что-то.

delightfish
()
Ответ на: комментарий от delightfish

Займись лекциями, а после сформулируешь мне доказательство. Я подожду.

Я не преподаватель, я уже писал. Но могу завести какой-нибудь яндекс-кошелёк, куда ты перечислишь денег за обучение, а я тогда стисну зубы и чему-нибудь тебя обучу. ;-)

На самом деле информации в сети достаточно, дерзай. И удаление/правку сообщений осиль, а то попугайство у тебя какое-то вышло. ;-)

AS ★★★★★
()
Последнее исправление: AS (всего исправлений: 2)
Ответ на: комментарий от AS

Я не преподаватель, я уже писал.

Нет, эникей. Лекциями для себя. У тебя же какие-то проблемы с формулированием доказательства.

Но могу завести какой-нибудь яндекс-кошелёк, куда ты перечислишь денег за обучение, а я тогда стисну зубы и чему-нибудь тебя обучу. ;-)

Я тебя, эникея, ещё и обучать должен? Нет, иди маздайку других домохозяйкам ставить. Я думаю, что ты скопишь на лекции, где тебя объяснял про библиотеки.

На самом деле информации в сети достаточно, дерзай.

Ну дак я тебе отправлял дерзать. Чего не дерзаешь? Ты там ссылался, что ты необучен и не можешь доказательство мне в связи с этим предоставить, т.к. неспособен его сформулировать. Вот обучись, сформулируй и приходи.

И удаление/правку сообщений осиль, а то попугайство у тебя какое-то вышло. ;-)

Эникей, во-первых я не могу ничего править. Во-вторых это не попугайство. Это критерий твоей несостоятельности.

Когда эникей пишет какую-то херню, то в связи с тем, что эникей - есть бот, а бот ретранслирует неперсонифицированные лозунги из методички, то слить этого бота очень просто. Эту херню можно писать ему в ответ и т.к. это просто рандомные лозунги - они работают всегда.

В этом проблема ботов.

delightfish
()
Ответ на: комментарий от ugoday

Обидно, что вместо всей этой эпопеи с жырнодэ можно было сделать примитивный конфигуратор. На входе декларативное описание юнита, на выходе — шелл скрипт. И неосиляторы баша довольны простым инструментом, и у профессионалов никто мощь скриптов не отобрал.

Ну был же upstart например, который не лез куда не надо, мирно сосуществовал с башелапшой и вполне себе был декларативным. Так что тут на волне притока вендузятников RH решил не только их удовлетворить, но и захапать себе максимум экосистемы.

А потом ты такой приходишь красивы на новую работу, а там корпоративная политика — все серверы на ubuntu 18.04.

Ну пока что всё наоборот, ко мне приходят красивые такие на работу, а тут кругом Slackware 14.2. :) Хотя то, что пытается придти, неспособно даже в системдэшную декларативщину. У них ща модно найти в инетах готовый левый образ для докера от васяна и в продакшен. И они искренне и незамутнённо предполагают что в этом и заключается весь смысл всех этих наших линуксов - где-то скачать и запустить васянский образ для докера где заявлена нужная функциональность. Что-то там настраивать и допиливать под задачу - это выше их понимания. Даже то, что банальный опач с похапе можно просто запустить без всяких докеров и скачиваний васянских образов - это для них открытие и магия.

Stanson ★★★★★
()
Ответ на: комментарий от Stanson

Пассажиру две недели от роду

Да какие две недели, это ж царь. Больше пяти лет здесь, емнип. Но всё так же молод душой :D

anonymous
()
Ответ на: комментарий от anonymous

Не, царь про сишечку мощно задвигал, и ничего против башелапши не имел, да и в секте системдешников вроде не состоял. Хотя течение болезни может быть весьма причудливым...

Stanson ★★★★★
()
Ответ на: комментарий от Stanson

Царь про всё мощно задвигал.

и ничего против башелапши не имел

Про башлапшу я никогда ничего не говорил, как и про systemd.

Но, если бы ты внимательно меня читал, то бы знал моё отношение к скриптухе. Я никогда не считал, что писать какие-то глобальные вещи на скриптухе - хорошо.

К тому же, я всегда определял любой текст говно. Всегда выступал за бинарные логи, трансляцию тулзами, унификацию и глобальные настройки.

Т.е. systemd явилось тем, что я всегда считал хорошим. Оно ни в чём в разрез с моими представлениями ни шло. Да, я был против текстовых говноконфигов всегда. Но, что поделать. Рядовые паиценты должны как-то мочь в конфиграцию, хотя я не понимаю чем конфигурация чем интерфейс вида sysctl отличается от конфигурации в конфигах дерьма.

К тому же, всё это появилось. Как в systemd, как и в линукс(хотя там это всегда было, но предоставляло плебейский файловый интефрейс).

Поэтому даже тут systemd не особо ушло от моих желаний. Допустим, я как человек могу написал systemctl cat name и посмотреть конфиг, а не рыскать в поисках его.

И таких примеров тысячи. Именно так всё и должно работать, не быть помойкой нелепой каким было всегда.

К тому же, если бы ты ещё внимательнее следил, то ты бы видел мой тред про cleanup, где я хвалил код systemd. Не полностью, конечно, но хвалил.

delightfish
()
Ответ на: комментарий от Stanson

Я не понимаю, почему вы цепляетесь и кичитесь своим примитивных башиком и прочим говном. Какая у тебя мотивация хейтить systemd? Та, которую я уже называл? Ты боишься, что все твои знания станут пылью? Ну дак не бойся, развивайся.

Подобные тебе, наверное, хейтили всякие тулзы и рассказывали, что «негоже пацанам юзать тулзы - надо парсить /proc|sys руками». Действительно, это очень удобно. Помойка говна всегда, по вашему, удобней нормальной систематизации.

Мне нахрен не упёрлось гуглил/запоминать то, где что-то лежит. Хрен ты нормально разберёшься в мане по про proc. Хотя и тут, наверное, ваши братья отрицают ссылки в манах и прочее. Зачем, давай текст.

Копаться в бесполезном дерьме - бесполезно. Да, это просто. Поэтому всё это дерьмо любят короли помойки. Но нормальный человек не приспособлен быть королём помойки. Человек понимает принципы организации, а не занимается заучиванием какой-то херни. Заучивание херни - удел школоты.

Уйди от своей говнозависимости. Король помойки - это не круто, это не «я могу», «я знаю». Нельзя знать хаос, можно знать только примитивный хаос. Всё это примитивная херня. В ней нет сложности, нет ничего. Есть отсутствие порядка.

И как только в неё порядок придёт - хаос уйдёт, а в месте с ней все те, кто на нём паразитируют. И тебе же лучше. Ты сможешь заняться более адекватными вещами, чем искать/запоминать где в помойке что-то лежит.

delightfish
()
Ответ на: комментарий от delightfish

Я никогда не считал, что писать какие-то глобальные вещи на скриптухе - хорошо.

С каких это пор запуск какого-нибудь демона или там настройка интерфейса - глобальная вещь?

Именно так всё и должно работать, не быть помойкой нелепой каким было всегда.

Вот только нихрена не работает, и является ещё большей помойкой чем десяток башепортянок.

Я не понимаю, почему вы цепляетесь и кичитесь своим примитивных башиком и прочим говном.

Башик (да хоть #!/usr/bin/tcc) позволяет то, что systemd никогда уметь не будет.

Какая у тебя мотивация хейтить systemd? Та, которую я уже называл? Ты боишься, что все твои знания станут пылью? Ну дак не бойся, развивайся.

Я забыл уже больше, чем ты будешь когда-нибудь знать. Так что этого мне опасаться не приходится. Да и бояться мне нечего. Просто испытываю омерзение от решений пропихиваемых в линуксы. Жду когда линуксы разделятся окончательно на две ветки - для хомячков с системгэ, вялендом и пр и для обычных людей.

Stanson ★★★★★
()
Ответ на: комментарий от Stanson

С каких это пор запуск какого-нибудь демона или там настройка интерфейса - глобальная вещь?

Управление демонами - это глобальная вещь. То, что ты её рассувал по тыще говн ничего изменило.

Вот только нихрена не работает, и является ещё большей помойкой чем десяток башепортянок.

Всё работает. Да и в чём помойка. У тебя кроме лозунгов из убогой методички нихрена нет.

Башик (да хоть #!/usr/bin/tcc) позволяет то, что systemd никогда уметь не будет.

Ничего он тебе не позволяет. Тебе никто не мешает насрать баш-говно через которое запускать своё говно, как это было раньше. Не запускай демоны из инита напрямую. Запускай сприпты, а из них демоны. Правда это ненужно.

Я забыл уже больше, чем ты будешь когда-нибудь знать.

Эникей, ты нихрена не знал. Я тебя умножу на ноль левой пяткой. Ты не пытайся бахвалится передо мною - ты пыль под моими ногами.

Так что этого мне опасаться не приходится.

Приходится, зачем ты ссышься? Ссуться убогие, ссыкливые. Если бы у тебя были реальные претензии - ты бы их декларировал, а не кидался в меня мусорными лозугами.

Да и бояться мне нечего.

Есть чего.

Просто испытываю омерзение от решений пропихиваемых в линуксы.

Понимаешь, ты пыль. А не они. Пыль всегда ненавидит сильных. Это свойство пыли.

Жду когда линуксы разделятся окончательно на две ветки - для хомячков с системгэ, вялендом и пр и для обычных людей.

Вот ты и спалился. Пыль всегда ждёт, ждёт пока сильный даст ей жить так, как она хочет. Но то уже воля не пыли.

delightfish
()
Ответ на: комментарий от Stanson

Ничего нового. 20 лет назад программисты на Delphi считали, что разработка сводится к поиску компонента TDoIt и помещения его на форму.

ugoday ★★★★★
()
Ответ на: комментарий от Stanson

Ну пока что всё наоборот, ко мне приходят красивые такие на работу, а тут кругом Slackware 14.2. :) Хотя то, что пытается придти, неспособно даже в системдэшную декларативщину. У них ща модно найти в инетах готовый левый образ для докера от васяна и в продакшен. И они искренне и незамутнённо предполагают что в этом и заключается весь смысл всех этих наших линуксов - где-то скачать и запустить васянский образ для докера где заявлена нужная функциональность.

Перевожу это на-русский. Я мамкин гений сижу на Slackware, меня дядя-хозяин заставляет конфигрировать бубунту. Но ещё, меня на галерах угнетают хипстеры, которые тащат какой-то докер и прочее. Я в говне, хозяин орёт «где настройки», а я ничего не могу. Хозяин не признаёт мою слакварь и моё башговно и считает меня плебеев, хотя я повелитель.

Буквально вчера я ещё мог разводить хозяина на бабки и говорил, что я чего-то стою. Но сейчас хипстеры всё делают лучше и круче. А хозяин в меня не верит, полы мыть отправляет.

Но я могу прийти на лор и ныть, оскорблять этих хипстеров, которых завтра на галерах буду умолять научить меня гуглить.

История стара как мир.

delightfish
()
Ответ на: комментарий от voltmod

Дык dconf же уже есть, и systemd, чего уж злиться на реестр?

Deleted
()
Ответ на: комментарий от delightfish

К тому же, я всегда определял любой текст говно.

Самонадеянно и бездоказательно. Впрочем, ничего нового.

ugoday ★★★★★
()
Ответ на: комментарий от voltmod

Реестр винды видимо для тебя идеал.

Это такое же текстовое-гуй-плебейское говно.

Кстати, для тебя будет новостью, но ядро - это такой же реестр. Если ты думаешь, что это плебейское /dev|sys набор конфигов, то ты ошибаешься.

delightfish
()
Ответ на: комментарий от delightfish

Нет, эникей.

Да знают уже все, что ты эникей, знают. Не усугубляй. :-)
Ты уже и так слился на библиотеках и неумении читать, а этого достаточно.

AS ★★★★★
()
Ответ на: комментарий от ugoday

Самонадеянно и бездоказательно. Впрочем, ничего нового.

Что значит бездоказательно? Текст убогий, ненадёжный, сложно разбирается, занимает место, требует мусорной фс.

Текст это говно, которое тянет за собою миллиарды проблем. И я сомневаюсь, что ты представляешь себе даже часть тех костылей, которые обеспечивают работу этого говна в экосистеме. Это миллионы строк бесполезного кода. Это потенциальные дыры, ненадёжность, избыточность. Мало того, что сам текст говно - он ещё и делает говном всё, к чему прикасается. Это фекалдас.

А вот бинарь, как абсолют - он находится выше. А знаешь что это значит? Любой бинарь можно представить в текстовом виде, бинарь первичен, а текст вторичен.

Поэтому никогда не стоит вопроса - что выбрать. Выбора попросту нет. Бинарь - это текст+бинарь, а текст - это текст. Т.е. бинарь уже включает в себя текст.

Поэтому те же бинарные логи ВСЕГДА лучше. Они обладают всеми преимуществами бинаря, но и могут являться текстом. Т.е. ты ничего не теряешь. Ты всегда можешь, если хочешь, преобразовать их обратно в текст.

delightfish
()
Ответ на: комментарий от AS

Да знают уже все, что ты эникей, знают. Не усугубляй. :-) Ты уже и так слился на библиотеках и неумении читать, а этого достаточно.

delightfish
()
Ответ на: комментарий от delightfish

Что значит бездоказательно?

Бездоказательно, значит, что вы не утруждаете себя доказательствами. А вместо этого предпочитаете говорить о своих чувствах, которые вызывают у вас те или иные явления окружающего мира. «текст убогий, текст говно, а бинарь как абсолют» и всё такое прочее.

ugoday ★★★★★
()
Ответ на: комментарий от AS

Да ну нет же. sysvinit - это такой же бинарник

Который обновляется «раз в год по обещанию», в отличии от... :)

А обвязка из init-скриптов - это вспомогательная штука для запуска сервисов при старте системы (ну или там при переходе между ранлевелами)

Они вроде как и являлись «аргументом» «почему нужен systemd», «баш лапша уг», а у нас «все будет хорошо». :)

anc ★★★★★
()
Последнее исправление: anc (всего исправлений: 1)
Ответ на: комментарий от anc

Они вроде как и являлись «аргументом» «почему нужен systemd», «баш лапша уг», а у нас «все будет хорошо». :)

Так-то да, оно, может, и было бы хорошо, если бы не натащили всего остального и не сделали бы этим кучу других приложений зависимым от этого, так сказать, init.

AS ★★★★★
()
Ответ на: комментарий от ugoday

А веберы чем-то от них отличаются? Все так же, задача 2+2, мы найдем жирный говноскрипт про который писали что он умеет выполнять действие 2+2. Когда понадобиться 3+2, мы найдем еще один потому, что про него писали что он умеет 3+2. А то что сами скрипты совсем про другое никого не волнует. Вот и получаем современный вэб, где страница на которой «полтора слова текста» весит как «чугунный мост» а ресурсов жрет как «боинг777 на взлете».

anc ★★★★★
()
Ответ на: комментарий от delightfish

меня дядя-хозяин заставляет

Вот только дядя-хозяин это я. :) И, соответсвенно, весь твой публичный обсёр не имеет вообще никакого смысла.

Stanson ★★★★★
()
Ответ на: комментарий от anc

А веберы чем-то от них отличаются?

У них есть извиняющее обстоятельство: они вынуждены иметь дело с вэбом. Меня бы к такому жизнь принудила, я бы тоже обмазывался метровым слоем абстракций, лишь бы сохранить свой разум и *** девственность.

ugoday ★★★★★
()
Ответ на: комментарий от ugoday

У них есть извиняющее обстоятельство

Какое? Или lor уже не торт? Да возьмем тот же youtube, вот уж казалось что должно жрать как не в себя, куда там, сейчас новостной сайт, на котором текстовая! информация, кушает в разы больше.

anc ★★★★★
()
Ответ на: комментарий от delightfish

Я лично видел генту даже на локальных чпушках 90/00 годов.

Интерестно, как это генту попала в девяностые? Или это станкок выпуска 1998 года, а генту туда поставили неделю назад?

mky ★★★★★
()
Ответ на: комментарий от mky

Или это станкок выпуска 1998 года, а генту туда поставили неделю назад?

Выпуска конца 90/начала нулевых как я и написал. Гента там была изначально. Судя по твоей отсылке на «02» год, к которому ты придираешься - значит производство было не конца 90. Значит год 3-4. Но явно не позже середины нулевых. Может до генты у них было что иное. Но выпускались они точно ещё до нулевых.

delightfish
()
Ответ на: комментарий от delightfish

Выпуска конца 90/начала нулевых как я и написал. Гента там была изначально. Судя по твоей отсылке на «02» год, к которому ты придираешься

Настоящие торлли, кстати, так не палятся. Очевидно, второе...

AS ★★★★★
()
Ответ на: комментарий от gnu_linux

Опции монтирования дисков: noexec,nodev,nosuid,ro,rw.

Классическая безопасность Юникс систем требует монтирование разделов со следующими опциями:

/ /opt /usr nodev,ro

/home /proc /sys /tmp /var nodev,noexec,nosuid,rw

/dev noexec,nosuid,rw

Главным правилом построения безопасной ОС запрещено монтирование дисков или выделение памяти одновременно в режиме изменения и исполнения. По этому монтировать диски в режиме exec,rw и выделять память в режиме RWX запрещено.

Все программы,для работы которых, необходимо выделять память в режиме RWX или монтировать диски в режиме exec,rw надо удалить из системы которая претендует называется безопасной.

anonymous
()
Ответ на: Опции монтирования дисков: noexec,nodev,nosuid,ro,rw. от anonymous

systemd, polkitd, elogind - умышленно спроектированы так чтобы или монтировать диски в режиме exec,rw и/или требовать выделения памяти в режиме RWX. Соответственно не должны использовался в ОС согласно главному правилу построения безопасной ОС.

anonymous
()
Ответ на: комментарий от anonymous

расскажи подробно в каком месте системд требует разрешение на запись в каталоги с исполняемыми файлами или библиотеками исполняемого кода ??

ваапче требовать ro от корня без дополнительных ухищрений в виде rw-допуска для того же /var как-то примитивно и желтовато :) развивай мысль дальше.

pfg ★★★★★
()
Последнее исправление: pfg (всего исправлений: 1)
Ответ на: комментарий от pfg

systemd, когда я его последний раз палочкой тыкал и elogind сегодня, монтируют некоторые диски с опциями exec,rw. И сие безобразие пролить в их недрах, без возможности изменения настройками. Выполнить команду mount и посмотри вывод.

polkitd требует выделение памяти в режиме RWX, иначе не работает.

anonymous
()
Ответ на: комментарий от pfg

Необходимые для безопасности опции монтирования дисков:

/ /opt /usr nodev,ro

/home /proc /sys /tmp /var nodev,noexec,nosuid,rw

/dev noexec,nosuid,rw

anonymous
()
Ответ на: комментарий от pfg

Для безопасного монтирования дисков в режиме noexec,rw или exec,ro никаких ухищрений в нормальной ОС не требуется. Классическое разбиение дисков для системы / /home /tmp /var на отдельных разделах вполне достаточно.

Внимание systemd, elogind монтируют дополнительные разделы, которые в fstab нет в режиме exec,rw.

anonymous
()
Ответ на: комментарий от anonymous

глянул к себе - большинство записей вообще rw,noexec. исключил их получил

pfg@srv3:~$ mount | grep rw | grep -v noexec
udev on /dev type devtmpfs (rw,nosuid,relatime,size=457664k,nr_inodes=114416,mode=755)
/dev/sda2 on / type ext4 (rw,noatime,nodiratime,errors=remount-ro)
tmpfs on /dev/shm type tmpfs (rw,nosuid,nodev)
debugfs on /sys/kernel/debug type debugfs (rw,relatime)
mqueue on /dev/mqueue type mqueue (rw,relatime)
hugetlbfs on /dev/hugepages type hugetlbfs (rw,relatime,pagesize=2M)
systemd-1 on /proc/sys/fs/binfmt_misc type autofs (rw,relatime,fd=33,pgrp=1,timeout=0,minproto=5,maxproto=5,direct,pipe_ino=11458)
fusectl on /sys/fs/fuse/connections type fusectl (rw,relatime)
configfs on /sys/kernel/config type configfs (rw,relatime)
binfmt_misc on /proc/sys/fs/binfmt_misc type binfmt_misc (rw,relatime)
не скажу что вот понял всю енту простынку но ничего лишнего вроде бы нет. за корень тыкай в меня. не парился секурностью. емнип часть ситемных разделов вообще монтируется еще в инитраме.

в любой системе надо уметь работать и тогда она тебе подчинится. если привык к старой системе то просто так и скажи.
и также каждая система делает ровно то на что она настроена создателями. машины пока не научились фантазировать и даже выявлять ошибки с последующей самоконфигурацией.

за polkitd и elogind ничего не скажу - не тыкал. но и не соотносятся они к системд или нет.

системд не то, чтобы монтируют что-то помимо fstab. он вообще формат fstab считает устаревшим. набор записей из fstab преобразуется в юниты *.mount и только потом исполняется. так что надо было просто разобраться что у тебя натворено в *.mount и привести к желаемому. после чего вообще отключить fstab-генератор.

pfg ★★★★★
()
Ответ на: комментарий от pfg

Это беда сегодняшней системы образования в РФ.

Меня давно научили правилу: «все что исполняется не должно изменятся и что изменяется исполнятся».

Без строгого соблюдения этого правила невозможно дать хоть какие-то гарантии безопасности в любых *NIX. Для опровержения жду от Вас математический алгоритм другой модели дающей гарантии безопасности.

В ОС должно быть строгое разграничение на неизменяемым исполняемые программы и изменяемые неисполняемые данные.

Исходя из выше сказанного зачем держать /dev, /dev/shm,... в режиме exec, а /,... в режиме rw? Ядру можно передать опцию ro через загрузчик и корневой раздел будет смонтирован в режиме только для чтения, но плохая система инициализации может его перемонтировать в режим записи.

elogind - попытка с плохо спроектированного в плане безопасности systemd путём жёсткой кастрации сделать безопасное приложение с API systemd. И каков результат? Оно далее монтирует в /run/users/${USER} файловую систему в режиме exec,rw.

Как кульминацию деятельности «уважаемого» Потеринга привожу пример polkitd. Это уникальное поделие на диске имеет один исполняемый код, а загрузившись в оперативную память код внезапно изменяется и становится другим!!! И это ещё не весь фокус, сканирование антивирусником загруженного в оперативку исполняемого кода polkitd матерится на ВИРУС...

anonymous
()
Ответ на: комментарий от anonymous

С 1970 по 2010 все так и было, изначально в математическую UNIX модели безопасности с R, W, X заложено разделение: или W - данные, или X - программы.

Выше привёл правильный пример разбиения дисков и опций их монтирования.

Выше также указал на то что systemd, elogind лишают вас возможности устанавливать правильные, безопасные опции монтирования: /run/users/${USER} монтируется с опциями exec,rw, это сделано в недрах программы, без возможности изменить пользователю в настройках. Можно принудительно монтировать в fstab перед запуском elogind, но после выхода и повторного входа пользователя elogind перемонтирует диск с опциями exec,rw. С этим есть возможность боротся только на уровне ядра ОС - запрещать монтирование дисков в режиме exec,rw, но кто с пользователей сможет пропатчить и собрать такое ядро? Тогда systemd c elogind будут сильно ущемлены.

Лет 10 назад, во время знакомства с systemd, сразу заметил невозможность устанавливать безопасные опции монтирования, он просто с ними не работал. Общаясь с другими стало ясно что systemd спроектирован чтобы максимально затруднить безопасное монтирование дисковых разделов - а это краеугольный камень безопасности UNIX тех времён. Сегодня тоже, но можно также использовать криптографическую верификацию целостности и неизменности исполняемых файлов и настроек.

Ответ сегодня задать и использовать правильные опции монтирования дисков мешают systemd и его ассоциированная версия без явных троянов elogind.

Вывод не использовать systemd, elogind, polkitd,... в своей системе. Предлагаю всем дружно бойкотировать эти программы. Пока побеждает тьма, дистры ставят раком и вставляют в *опу systemd так им удобнее за вами приглядывать.

anonymous
()
Ответ на: комментарий от pfg

Если вас будут обманывать что до systemd безопасно монтировать диски возможности не было, не верьте:

https://mirror.yandex.ru/mirrors/ftp.linux.kiev.ua/Linux/CD/Dystryk/

Это пример дистрибутива который безопасно монтировал диски и работал с ядром которое безопасно использовало память. Главное правило построения безопасной ОС строго соблюдалось до появления systemd.

anonymous
()
Ответ на: комментарий от anc
cd /etc
rm -f mtab
ln -s /proc/mounts mtab
[\code]
Есть пару плохих приложений, вы наверно встретить только cups. Можете написать Cisco что изменяемые данные в *NIX принято в /var держать, а не в /etc, решение или симлинком или так:

cp -pRPd /etc/cups /var/lib/
mount -o bind /var/lib/cups /etc/cups
[\code]
И прописать соответствующую строку в fstab.

По аналогии решаете проблемы с другими приложениями, но я ещё одно встречал и то не в портах, которое в /etc во время работы данные изменяет.
anonymous
()
Ответ на: комментарий от anonymous
cd /etc
rm -f mtab
ln -s /proc/mounts mtab


1. Странно слышать такие «сложности» от человека который предлагает перевести корень в ro
2. А точно будет робить? Я не пробовал, поэтому и спрашиваю. А то /proc/mounts != /etc/mtab обычно.

anc ★★★★★
()
Последнее исправление: anc (всего исправлений: 1)
Ответ на: комментарий от LongLiveUbuntu

Используйте штатный пакетный менеджер для установки програм. Все штатные пакетные менеджеры нормально устанавливают программы: неизменяемые исполняемые файлы в /usr (системные в /), изменяемые неисполняемые файлы данных в /var/lib.

Есть понятие «Энтерпрайз» которое хочет особого внимания и устанавливается в /opt в этом каталоге могут подкаталоги отличатся названиями от классики, но соблюдение главного правила построения безопасной ОС должно строго соблюдался.

Свои проги и установленные не пакетным менеджером принято ставить в /usr/local который монтируется в режиме только для чтения как и /usr.

anonymous
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.