Линуксы и ОС в целом, поток сознания

Что хотел сказать? Текст ни о чём.

Я спросить хотел, а не сказать.

ну так и используй docker, вот например http://fabiorehm.com/blog/2014/09/11/running-gui-apps-with-docker/

Я помешан на безопасности системы, устойчивости к уязвимостям. Есть ли дистрибутив с повышенной безопасностью, который обновляется без проблем и моего вмешательства.

возможно проблема именно в тебе а не в дистрибутивах операционных систем..

..давай поговорим об этом.. расскажи — почему ты так хочешь безопасную систему и устойчиваю к уязвимостям

(более безопасную чем у других людей)

Под этим вопросом я имею ввиду не травить меня файлами аля .pacnew, чтоб само оно справилось с конфигурационными файлами и не разваливалось.

кастую в тему искусственный интеллект!

если этот Искуственный Интеллект способен смерджить старую версию конфига с новой версией конфига (от произвольной программы) — то наверное этот ИИ и на форумах трындеть умеет :-)

Свои конфиги она тоже не удаляет

Портянку ты высрать осилил, а ман почитать не осилил. Непорядок.

В этих манах одна инструкция по конфигам/параментрам программы. Зачем у пакмана в арче был придуман модификатор "-n", который удаляет конфиги приложений? Удаляет он из /etc, а программа уже успела домашний каталог засрать, но где еще она могла постараться?..

В теме же расписал, что старый софт = уязвимый софт. Новый софт = уязвимый софт. Но вот только во втором случае у тебя обновления за обновлениями выходят и выходят, а в первом случае изнасилованный патчами труп. Вот обновился virtualbox с 4.3 до 4.4, часть заведомо уязвимого в какой-либо степени кода было переписано, повышен уровень изоляции. Пользователи дистрибутивов-слоупков сосут лапу и ждут, ждут, ждут.. А в это время ожиданий мало ли что может произойти.

я понял. и я согласен с тобой (по поводу: старое != безопасное)..

но я не понял — с чего вдруг тебе нужно какаю-то *ОСОБУЮ* повышенную безопасность?

являешься ли ты обладателем ценной информации на компьютере? (за которой охотятся *квалифицированные* злоумышленники, а не твои однокласники).

или быть может — являешься ли ты крайне ценным членом общества, и поэтому квалифицированный злоумышленник хочет тебя скомпрометировать? :)

или есть ещё какая причина, из-за которой стандартная безопасность\небезопасность тебя не устраивает?

Бессмысленная писанина.

Пользователи дистрибутивов-слоупков сосут лапу и ждут, ждут, ждут.. А в это время ожиданий мало ли что может произойти.

вся фишка в том что «безопасность» это не «состояние» а «процесс».

что это значит:

пользователи дистрибутивов-слоупуков — сидят на небезопасных версиях програм. это правда (я так тоже щитаю, но вопрос спорный).

но если у моего друга-линуксоида (невидимого друга, гы гы) — уязвимый слоупучный дистрибутив — это не значит что этот мой друг находится в небезопасности.

предположим злоумышленник хочет взломать моего друга. квалификации злоумышленника предположим что хватит за «ограниченное время» подготовить эксплоиты.

но вероятнее всего это «ограниченное время» натолько большое что мой друг уже успееет обновить свой слоупучный дистрибутив (быть может даже обновить на мажорную версию).

и хакер соснёт лапу.

# P.S.: предположим что ты (в отличии от моего невидимого друга) являешься ценным членом общества с ценной информацией на твоём компьютере. в этом случае быть может найдётся очень-очень квалифицированный хекер, который не просто сделает эксплоит, а сделает его ОЧЕНЬ БЫСТРО(!) и успеет его применить на тебе, ещё до того момента как ты обновился.. но если ты не являешься таковым как я тебя опсиал тут — то волноваться не стоит :-)

Да собственно всё движется к контейнерам приложений, полагаю, что через лет 5-7, а может и чуть раньше, приложения будут (во всех дистрибутивах) устанавливаться именно так, как ты хочешь.

Отвечу кратко: пароль от почты в 100 символов и я его помню.

Я помешан на безопасности системы
Как мне быть? Какому дистрибутиву я могу доверить свою безопасность? Какой дистрибутив обновляется полностью без моего участия во время установки ПО?

Какому дистрибутиву я могу доверить
без моего участия

NO COMENTS. ФЕЕРИЧЕСКИЙ ДЕБИЛ.

Qubes OS

Давай вспомним gentoo hardered. Я строю свою безопасность, различные взаимодействия между программами и так далее, но я 1, я могу накосячить. Любая мелочь, на которую я не обратил внимания может стоить многого. Я лучше доверюсь готовому стандартному ядру, которое работает, просто работает. Пускай оно может быть не на столько безопасно, как полностью настроенная и отлаженная gentoo hardered, но я просто не смогу добиться такого состояния, т.к. я не понимаю принципа работы всего этого. Я готов управлять кирпичиками, но не пылью.

Какой нафиг искусственный интеллект? Сделать просто базу дефолтных значений и обновлять эти значения в конфигах, а то, что пользователь поменял — не трогать. Если уж совсем без пользователя никак, то да, спросить.

Но это так, просто доработки существующей системы. Ничего революционного. ТСу рекомендую разобраться со всякими там docker/lxc, посношаться и успокоиться и научиться писать скрипты.

Мне лень читать. Что сказать-то хотел?

Полагаю, подходящими дистрибутивами являются gentoo, arch, fedora. Первый сложен и, как мне кажется, погибает. Второй и третий - подходящие кандидаты, но выбрать нужно одного. В каком из них наиболее прозрачные обновления пакетов? О арче наслышан, что тот рассыпаться может, команду обновления запускаю по несколько раз в день, а что с федорой?

Блин, да, такова жизнь! Напиши костыль к пакману, чтобы умел работать с вручную составленной базой мест, куда гадит приложение, или чруты используй. Да, если не чруты, то apparmor по-любому, а то ещё лиска твой домашний прон сольёт зарубеж.

NixOS

сейчас я поужинаю и буду вдумчиво читать много текста, который ты написал...

а что с федорой?

по мне так хороший дистрибутив.. но я (лично моё мнение) не знаю как его обновлять на мажорную версию :-)

инструкций по этому поводу написано очень много, однако, в этих инструкциях не сказано что делать с тем что список базового софта может различаться между мажорными версиями дистрибутива..

то есть — делая мажорное обновление — мне хотелось бы не просто увеличить версии пакетов, а именно *обновить* всё базовое окружение (если нужно — заменить список пакетов — на более актуальный список).. и при этом не трогать умышленно доустановленный пакеты.

такая же проблема могла бы быть и в Арчике (те кто переходил от sysvinit к systemd — наверное знают по себе).. но для Арчика я написал кастумную утилиту которая помогает следить за списками пакетов в моменты между обновлениями («pacman-what-installed»). а написать такую же утилиту для Федорушки — мне было бы слишком сложно, думаю..

Удаляет он из /etc, а программа уже успела домашний каталог засрать, но где еще она могла постараться?..

Встречный вопрос — а как pacman (да какой угодно инсталлятор чего бы то ни было) должен был об этом узнать? Вопрос риторический, ответ — никак, это не его дело. Если ты хочешь узнать, какие файлы создает та или иная программа, то запускай ее под strace'ом. Или делай find / > before.txt и find / after.txt до и после запуска соответственно, и сравнивай before.txt и after.txt. Не хочешь делать так на боевой системе — разверни виртуалку или chroot-среду на худой конец.

Или GoboLinux

И все-таки больше всего под твои требования подойдет дебиан стейбл. Уязвимости исправляются мейнтенерами пакетов - они готовят свои патчи, и довольно быстро. И обновление зачастую можно автоматизировать, за исключением каких-нибудь экзотических ситуаций.

LFS решит твою проблему.

Отвечу кратко: пароль от почты в 100 символов и я его помню.

ну вот! :-)

я же и говорю! :)

это проблема больше психологическая, чем техническая!

какой смысл лечить симптомы (пытаться найти нужный дистрибутив), когда можно вылечить само заболевание (избавить себя от паранойи) ? :-)

****************************** приступим ******************************

я конечно не психиатр, но думаю что первый шаг на пути лечения от паранойи — это понять её причины..

подумай — что именно заставляет тебя думать что тебе якобы нужна повышенная безопасность.. (может это СМИ так на тебя действуют? новости о взломах? в этом случае подумай, откуда у тебя может быть такая чувствительность к СМИ... и т д.. всё по рекурсии)

причина может быть также и в детстве, в этом случае попробуй вспомнить когда-именно всё-это началось.. какие были первые признаки проявления...

обычно конечно параноя это результат высокого эгоизма («я такой классный, все восхощаются мной.. мне требуется защита!»), но рубить с плеча я не буду, так как обвинение в эгоизме это слишком серъёзно и даже попахивает оскорблением.. так что я прсто привёл пример, не более того :-) . в-этом причина или не-в-этом — мы покачто не знаем

> а что с федорой?

по мне так хороший дистрибутив.. но я (лично моё мнение) не знаю как его обновлять на мажорную версию :-)

вообще по этому поводу надо было мне сразу alpha-bookwar спросить.. и почему я это до сих пор не сделал... %) %)

предположим злоумышленник хочет взломать моего друга. квалификации злоумышленника предположим что хватит за «ограниченное время» подготовить эксплоиты.

Его взломает не какой-то определенный злоумышленник, а случайный бот из интернета, который автоматом проверяет машину на наличие всех ему известных уязвимостей. И с момента обнародования уязвимости до момента обновления бота может пройти очень мало времени, т.к. информация о публичной уязвимости и о том, как ее использовать, обычно легко доступна.

Короче, если твой друг не имеет ничего относительно ценного, то регулярное обновление, вкупе с осторожностью и грамотностью, защитит его от всего.

Его взломает не какой-то определенный злоумышленник, а случайный бот из интернета, который автоматом проверяет машину на наличие всех ему известных уязвимостей.

ну примерно это я и имею ввиду. злоумышленник сделал бота. а бот начал пытаться взламывать всех подрят, кого смог найти (и у кого пароль «12345678» :))..

с момента обнародования уязвимости до момента обновления бота может пройти очень мало времени, т.к. информация о публичной уязвимости и о том, как ее использовать, обычно легко доступна.

всякие абсурдные уязвимости (абсурдно-допущенные ошибки) — тоже ведь мгновенно обновляются в слоупук дисрибутивах.. даже ждать мажорной версии не придётся для этого :-)

неисправленными остаются уязвимости потенциального характера (точнее говоря потенциальными их считают до тех пор пока кто-то не догадается как их превратить в «кинетические» :-))

неисправленными остаются уязвимости потенциального характера (точнее говоря потенциальными их считают до тех пор пока кто-то не догадается как их превратить в «кинетические» :-))

Уязвимость правят в тот же момент, как ее находят. Естественно, если ее нашли не люди с темной стороны силы :) . «Потенциальная уязвимость» в этом контексте - абсурдный термин.

«Потенциальная уязвимость» в этом контексте - абсурдный термин.

если уязвимость требует перестроения архитектуры программы (и быть может разработчики сделают заодно и небольшой рефакторинг) — то в «стабильной» версии программы могут исправить лишь некоторые частные случаи проявления уязвимости, но потенциально уязвимость останется.

а в developer branch (git master, или как это ещё назвать) — действительно исправят потенциальную уязвимость — полностью. но когда это выйдет в релиз ещё не известно, например через недельку или через месяц в новой мажорной версии программы. а когда это попадёт в слоупок-дистрибутив — вообще же долго ждать! :)

такое же часто бывает.. разве нет?

Ничего не ждут, а просто пользуются и не парятся.

если уязвимость требует перестроения архитектуры программы (и быть может разработчики сделают заодно и небольшой рефакторинг) — то в «стабильной» версии программы могут исправить лишь некоторые частные случаи проявления уязвимости, но потенциально уязвимость останется.

Хорошие программисты обычно не пишут программы с уязвимостями в архитектуре :) . Тем более, если программа предназначена для работы в агрессивной среде.

Хорошие программисты обычно не пишут программы с уязвимостями в архитектуре :) .

разве? (а красивые девочки — не пукают? :))

я же не говорю что выявленная уязвимость заставляет *полностью* менять архитектуру программы..

..но бывает такое что *часть* архитектуры приходится перестраивать.

популярные программы — обычно сложны, так как имеют хренову тучу функционала. (программы с низким количеством функционала — не получают распространения.. и пусть любители unix-way меня хоть тряпками закидают, но это факт). и архитектура популярных програм — тоже сложна, потому и ошибки случаются бывает что..

говорят в openbsd полторы дыры

разве?

Безопасную архитектуру проще разработать, чем написать безопасный код. Архитектуру придумывает один человек (ну или одна команда людей), а вот для реализации (то бишь, кода) могут использовать сторонние библиотеки, копипаст чьего-то чужого кода, плюс иногда могут быть трудности написать функционал на каком-то определенном языке (как пример - работа со строками в си). Вообще, если грамотно подходить к делу, то код надо писать в соответствии с архитектурой, поэтому при построении последней можно запросто указать граничные условия. Абстракция вообще проще для построения, чем реализация.

..но бывает такое что *часть* архитектуры приходится перестраивать.

Приведи пример, если не сложно. И не надо недооценивать мейнтейнеров, они, во-первых, умеют хотя бы написать хороший патч, а во-вторых, они читают рассылку разработчиков (в которой уже есть полезная инфа) и имеют возможность задать им вопрос.

популярные программы — обычно сложны, так как имеют хренову тучу функционала. (программы с низким количеством функционала — не получают распространения.. и пусть любители unix-way меня хоть тряпками закидают, но это факт). и архитектура популярных програм — тоже сложна, потому и ошибки случаются бывает что..

В инженерной практике есть обычай делать все максимально просто и доступно для понимания. С позиции диванного аналитика (^_^) я преставляю, что при построении архитектуры пользуются чем-то вроде ООП - т.е. выделяют большие задачи, их разбивают на подзадачи, их, в свою очередь, еще разбивают на составляющие, и т.д. В итоге архитектура становится проще для понимания и для внесения коррективов.

Если вдруг где-то обнаружится уязвимость - узнают об этом разработчики всех дистрибутивов, но быстрее всего она будет исправлена в тех, в которых быстрее выкатят обновления. Недавно говорили о баге в Самбе - уже через пару часов в Ubuntu 14.04 выкатили фикс. Ещё Арч и Гента славятся оперативностью.

CoreOS, rancheros. Решение твоих проблем.
http://rancher.com/announcing-rancher-os/

таким как ты нужна венда со включенными автообновлениями и отключенной учеткой админа. все. профит.

Я помешан на безопасности системы, устойчивости к уязвимостям.

Это помешательство. Вот тебе совет — заклей камеру на ноутбуке

погибает

Травой делись.

> погибает

Травой делись.

ну очевидно же! это всё потому что Джентушечка слишком медленно переходит на systemd :) [по дефолту и фатально!]

Лол. Ну systemd не является меркой прогресса.

Как жить дальше? Поставил сузю, во время обновления решил посмотреть скринсейверы и нажал просмотреть скринсейвер бсода, в этот момент система зависла и перезагрузилась. Как символично блин.

Ну systemd не является меркой прогресса.

я слышал страшные истории о том что портирование пакетов (появление новых версий пакетов) под Джентушечку бывает что сильно тормозиться, потому что мэйнтейнеры пытаются придумывать хитрые патчи, которые бы позволяли бы этому пакету работать бы и с systemd и без systemd..

то есть (судя по этим историям), если бы в Джентушечке было бы только systemd, то появление новых версий пакетов было бы ощутимо быстрее..

как-то-примерно-вот-так :-) .. а тормознутость в появлении новых пакетов — пораждает ощущение умирания Джентушечки. собственно и про Дебинчик ровно тоже самое можно сказать (но в Дебианчике есть меньше свободы чем в Джентушечке, потому Дебианцам и проще этот кризис переваривать)..

[[всё сказанное — на правах бабки, которая услышала пару сплетен от бабулек-подруг, сидя по дворе на лавочке :) ]]

Хах. Да суть не в этом, Генте попросту мейнтейнеров не хватает. Новые поколения идут уже на рач (я видел идиотов-фанатиков арча), притока новых мейнтейнеров нет. А те, кто мог бы поддержать, чаще держат оверлеи.

Как мне быть? Какому дистрибутиву я могу доверить свою безопасность? Какой дистрибутив обновляется полностью без моего участия во время установки ПО?

Какому дистрибутиву я могу доверить
без моего участия

Дистрибутив Maverick операционной системы Mac OS X от компании «Об пол» Apple!

Я помешан...
Думаю, все хором скажут - дебиан стейбл. Но стабильный ли дебиан стейбл?
Есть вероятность выйти из виртуализации.
версии всё выходят и выходят.
Как работает дебиан в моем видении:
клепаем свой патч и так до бесконечности.
пересмотрели свое видение на часть кода
продолжают насиловать заведомо уязвимый труп.
эта бесконечность останавливается:

Как мне быть?

Сходи к психологу.