помогите определиться

А ты попробуй (с)

Генту конечно.

Столько вопросов... Чем они по-твоему отличаются?

гента

автоматизированный патчинг определённого пакета кастомным патчем на лету во время обновления пакетным менеджером?

http://megabaks.blogspot.com/2011/02/portage.html#more первый же кусок кода

какая система наиболее защищена от того, что какой-нибудь вася пупкин добавит в дерево ебилд, содержащий rm -rf /media/*?

это дело пакет-манагера - только на нескольких уровнях отключена песочница по дефолту, а вообще...ни одного такого ебилда не видел никогда

Gentoo

а по поводу

ебилд, содержащий rm -rf /media/*? как вообще осуществляется проверка? (да я нуб-параноик)

и как реализовать автоматизированный патчинг определённого пакета кастомным патчем на лету во время обновления пакетным менеджером?

в какой более тонкая настройка пакетов?

какая наиболее секьюрная?

Проще потратить по вечеру на каждое, чем слушать очередных диванных авторитетов.

только на нескольких уровнях отключена песочница по дефолту

не понял. что за это за песоцница тоже не знаю

ни одного такого ебилда не видел никогда

террористов-смертников я тоже не видел никогда. но это не является теорией, доказывающей, что их не может быть

Глазами осуществляется и бекапами ;)

google gentoo+portage+sandbox

поддержка юзер патчей возможна через bashrc, а в последнем EAPI на уровне ебилда, но такая необходимость почти никогда не возникает.

Про секурность в генте есть hardened selinux + их комбинация, + проект integrity, который новый, должно хватить да и это побольше, чем в любом другом дистре.

По funtoo и exheribo действительно пни nCdy, он их по очереди тестил :)

за вечер не разберёшься, что к чему если подготовки и базовых знаний нет :)

не понял. что за это за песоцница тоже не знаю

так прочитай: gentoo sandbox,

коротко - пакет не может менять систему за границами каталога в котором он собирается.

в какой более тонкая настройка пакетов?

Gentoo|Funtoo используют portage, exherbo — paludis. Разница будет в этом. Хотя в любой из тих систем можно поставить и то, и другое.

какая наиболее секьюрная?

Та, что hardened.

ээ эксербо это который с палудисом?

а так вроде одинаково, но у дженты комьюнити поболе

пакет не может менять систему за границами каталога в котором он собирается

но после сборки в песочнце ведь происходит модификация уже реальной системы - есть гарантия что не произойдёт команды, случайно подменяющей файлы в /media/DATA?
есть ли возможность конфигурировать песочницу так, чтоб действия emerdge ни при каких обстоятельствах не затрагивали определённые файлы и каталоги? и чтоб пакет a при установке не мог затрагивать файлы пакетов b и с ... ?

не подключай сомнительные оверлеи. не ставь то, что не нужно. кури код.

а если такой параноик, то запрети rm запускать не из-под рута.

сть гарантия что не произойдёт команды, случайно подменяющей файлы в /media/DATA?

Смотри команды, выполняемые при установке, в самом ebuild. *_install() и *_postinst()

Funtoo

Генту

Смотри команды, выполняемые при установке, в самом ebuild. *_install() и *_postinst()

эх, это перед каждой установкой и перед каждым обновлением каждый пакет проыверять

Для этого и существуют майнтейнеры.

Есть, называется chroot.

debian

но после сборки в песочнце ведь происходит модификация уже реальной системы - есть гарантия что не произойдёт команды, случайно подменяющей файлы в /media/DATA?

прямой — нет, но в media вроде как ебилду никто лезть не позволит (проверить надо).

есть ли возможность конфигурировать песочницу так, чтоб действия emerdge ни при каких обстоятельствах не затрагивали определённые файлы и каталоги?

можно замаскировать пути, и все действия emerge с ними будут игнорироваться.

и чтоб пакет a при установке не мог затрагивать файлы пакетов b и с ... ?

это всегда так, по умолчанию.

эх, это перед каждой установкой и перед каждым обновлением каждый пакет проыверять

в других дистрибутивах вы deb-ы, rpm-ы, слакбилды, msi^W тоже просматриваете? там ведь ровно те же гарантии.

Hardened Gentoo.

Ну, что ты как маленький!
Debian Stable же!

Ubuntu или Debian. Затраты времени на перечисленные поделки красноглазиков для красноглазиков себя никогда не оправдают.

Ubuntu или Debian. Затраты времени на перечисленные поделки красноглазиков для красноглазиков себя никогда не оправдают

Слюшай дарагой, а ты её пробовал уася? Что ти будешь делать уася, если мейнтейнер твоего бебияна курнёт/соснёт? Тожи будеш красноглазить, собирать пакеты, уася.

Вот что творится с твоим бебияном : Миграция багов из sid'а в testing. Часть этих багов всё равно всплывёт в stable, от былой стабильности ничего не осталось. Вот только софт протухший, да и годится он для старого подержанного железа с комиссионок..

Gentoo.

Вот что творится с твоим бебияном : Миграция багов из sid'а в testing. Часть этих багов всё равно всплывёт в stable, от былой стабильности ничего не осталось.

У дебиана есть оправдание — они пытаются заменить костыль ia32-libs на настоящую многоархитектурность. Действительно настоящую, а не тот огрызок, что есть в той же федоре. Для этого пришлось пересмотреть почти все пакеты в архиве и в процессе этого что-то поломалось, но это ремонтируется. А что вы можете рассказать про генту и про установку wine на 64-битной системе?

PS: справедливости ради, автоматическое наложение патча и пересборка пакета при его обновлении в дебиане — нетривиальная задача, хоть и возможная.

что выбрать: Exherbo, Funtoo, Gentoo?

Из этого «Exherbo, Funtoo, Gentoo» конечно же gentoo.

можно замаскировать пути, и все действия emerge с ними будут игнорироваться.

вот это уже похоже на то что нужно.

только это не нужно чуть менее, чем всегда.

в хендбуке об этом есть?

Gentoo, ибо апстрим, а все доп. пакеты можно притянуть с оверлеев. У Exherbo апстрим упоротый, а Funtoo - это полигон нововведений, если хочется острых ощущений(без bleeding edge и фанатизма) - тогда ставь.

Насчет п.4 - ты главное FEATURES="-sandbox" не делай - и всё будет хорошо

есть ли возможность конфигурировать песочницу так, чтоб действия emerge ни при каких обстоятельствах не затрагивали определённые файлы и каталоги?

Upon startup, initial settings are taken from these files / directories:
        /etc/sandbox.conf
        /etc/sandbox.d

я тут уже миллионный раз упоминал что для моих задач мне бы пришлось потратить в 100500 раз больше времени на binary-based дистрибутиве(да так, что проще было б LFS освоить), так что отучаемся говорить за всех, окда?

FEATURES="-sandbox" не делай - и всё будет хорошо

после сборки в песочнмце ведь могут затереться файлы в реальной системе, а вот про то что qnikst говорил походу именно то что нужно

sandbox.conf

# SANDBOX_PREDICT - respective paths are not writable, but no access violation
#                   will be issued in the case of a write

спасибо. а что значит фраза but no access violation - но нет нарушения доступа??

значит что при попытке записи туда, sandbox скажет: «да, ок, канешна», но ничего не запишет. Там есть и простой SANDBOX_DENY - тогда установка будет прервана с ошибкой, мол, караул - кто-то ломится в запрещенный путь

Собственно в генте следует различать стадии install - это когда используются скрипты пакета(Makefile и т.д.) и запись происходит в DESTDIR вида /var/tmp/portage/category/package-version/image(в этой директории будут поддиректории usr,var и т.д., содержимое которых потом и будет положено в нужное место) и qmerge - это когда происходит запись в ФС непосредственно на те места, где должны лежать файлы. За подробностями отсылаю тебя к Gentoo Development Guide, ибо это уже вопрос далеко не уровня простого пользователя

Мне больше Funtoo понравился. Доводы: синхронизация основного дерева через git, возможность поставить сразу ~arch ветку.

он имеет в ввиду если в src_install кто-то положит файлы в ${D}/media/my-secret-file, а там уже будет юзерский файл.

Доводы: синхронизация основного дерева через git

интересно только в случае внезапного появления косяков в дереве. а они в funtoo неизбежны.

и да калькулэйт ведет зеркало портежей в гите без всяких изменений если чо

возможность поставить сразу ~arch ветку

в генте кто то запрещает наверное.

Самая сильная сторона Funtoo которую ты не озвучил это её разносторонняя поддержка десктоп{а/ов}. Смотреть к примеру темы про udev* на форуме funtoo.

1. Ну так быстрее же. Знаю про Кальку.

2. Будь так добр, поставь самую базовую систему gentoo (ту, что в stage3) с ~arch. Не обновляясь. Так, чтобы начал установку- весь софт сразу ~arch.

1. Ну так быстрее же.

Ну так спорно же.

2. Будь так добр

Это возможно для кого то и есть хорошо.

Однако не всегда и не для всех.