LINUX.ORG.RU

помогите определиться

 , , , ,


0

1

что выбрать: Exherbo, Funtoo, Gentoo?

1) какая наиболее секьюрная?

2) в какой более тонкая настройка пакетов?

3) в какой системе будет адекватнее реализовать автоматизированный патчинг определённого пакета кастомным патчем на лету во время обновления пакетным менеджером?

4) какая система наиболее защищена от того, что какой-нибудь вася пупкин добавит в дерево ебилд, содержащий rm -rf /media/*? как вообще осуществляется проверка? есть ли скрипты или механизмы в пакетном менеджере, которые выполняют проверку на содержание действий из blacklist, который я могу изменять?

nCdy, кого ещё скастовать?

★★★★★

Последнее исправление: teod0r (всего исправлений: 1)
Ответ на: комментарий от Pinkbyte

а внутри ебилда может быть добавление каталога в список sandboxa, доступных для записи (http://devmanual.gentoo.org/function-reference/sandbox-functions/index.html)? если есть контроль песочницы посредством ебилда - то о какой вообще защите может идти речь? или я что-то не так понял? так есть контроль песочницы в ебилде или нет?

teod0r ★★★★★
() автор топика
Ответ на: комментарий от qnikst

ну речь шла о самом ебилде, но конечно в идеале хочу иметь 1000% гарантии что установка очередного пакета или обновление системы мне нее навредит

teod0r ★★★★★
() автор топика
Ответ на: комментарий от teod0r

А sandbox придумали не для этого - это защита от криворукого апстрима. Если ты параноик - тебя спасет только мандатный контроль доступа. Все логично и по старой формуле - «безопасность=1/удобство»

Pinkbyte ★★★★★
()
Последнее исправление: Pinkbyte (всего исправлений: 1)
Ответ на: комментарий от Anret

2. Будь так добр, поставь самую базовую систему gentoo (ту, что в stage3) с ~arch. Не обновляясь. Так, чтобы начал установку- весь софт сразу ~arch.

И опять же в чем именно по твоему преимущество ~arch в funtoo если в её же профиле замаскано все и тулчейн и udev… По твоему обновить стабильную gentoo stage3 до любого состояния нестабильности выйдет дольше по времени?

init_6 ★★★★★
()
Ответ на: комментарий от teod0r

хочу иметь 1000% гарантии что установка очередного пакета или обновление системы мне нее навредит

да пожалуйста - пиши правила на grsec/selinux и поддерживай их сам :-D

Pinkbyte ★★★★★
()
Ответ на: комментарий от Anret

вариант за подключением тиндербокса и быстрым бинарным обновлением не рассматривается?

qnikst ★★★★★
()
Ответ на: комментарий от teod0r

src_install это одна из фаз установки ебилда.

ну как уже сказали безопасность обратно пропорциональна удобству, как и в любом другом дистре (может кроме nixos, puppylinux и прочих систем где каждый пакет в своей песочнице).

qnikst ★★★★★
()
Ответ на: комментарий от init_6

А речь сейчас не о преимуществах. Просто если хочется ставить ~arch, то и ставим ~arch, а не обычное и обновляем.

Anret
()
Ответ на: комментарий от Anret

А речь сейчас не о преимуществах. Просто если хочется ставить ~arch, то и ставим ~arch, а не обычное и обновляем.

Да нет речь сейчас о том, что ~тулчейн и ~udev в funtoo по сравнению с gentoo не такие уж и ~.

Ибо в funtoo замаскано много чего. А на фоне этого даже вся возня по обновлению стабильной gentoo до любого состояния нестабильности просто ничто.

init_6 ★★★★★
()
Ответ на: комментарий от Anret

тебе нужна сборка сразу ~arch - будь добрым, собирай со stage1

Pinkbyte ★★★★★
()
Ответ на: комментарий от anonymous

что вы можете рассказать про генту и про установку wine на 64-битной системе?

А тут нечего расказывать. Всё просто работает... до тех пор, пока какой-то упоротый мейнтейнер не сломает своими пакетами.

PaxtonFettel
()
Ответ на: комментарий от anonymous

Для этого и существуют майнтейнеры

они проверяют КАЖДЫЙ ебилд, и в дерево попадают только проверенные?

teod0r ★★★★★
() автор топика
Ответ на: комментарий от teod0r

Тссс, только никому не говори. В репозитарий gentoo-x86, где находится главное дерево портажей Gentoo имеют коммит-доступ только, ВНЕЗАПНО, разработчики Gentoo. То есть ебилды попадают туда после проверки ими

Pinkbyte ★★★★★
()
Ответ на: комментарий от PaxtonFettel

минимальная проверка - сборка/тесты/установка/проверка работоспособности проводится при добавлении пакета как минимум для arch(а лучше - для arch и ~arch), на которых он добавляется.

Pinkbyte ★★★★★
()
Ответ на: комментарий от PaxtonFettel

было бы здорово, если б в портаже была фича по проверке ебилдов перед началом установки на наличие действий с определённым списком файлов. никто интересно подобный патч/скрипт не писал?

teod0r ★★★★★
() автор топика
Ответ на: комментарий от PaxtonFettel

http://devmanual.gentoo.org/function-reference/sandbox-functions/index.html
я имел ввиду что такая возможность есть, или я чего-то неправильно понял в мануале? в статье имеется ввиду какие-то другие функции?

teod0r ★★★★★
() автор топика
Ответ на: комментарий от PaxtonFettel

я походу неверно понял написанное. я с ебилдами дел не имел и не знаю об их устройстве. увидел addwrite и подумал что это может присутствовать в ебилде. т.е. там речь не о функциях ебиода а просто про sandbox?

teod0r ★★★★★
() автор топика
Ответ на: комментарий от teod0r

хотелось бы понять, что ты реально хочешь. От различных rm -rf тебя портаж защищает, от конфликтов файлов от пакетов тоже, убедиться что всякие каталоги типа /media не трогать будет.. Ну как совсем жестокий вариант:

INSTALL_MASK = [space delimited list of file names]
              Use this variable if you want to selectively prevent certain files from being copied into your file system tree.  This does not work on  symlinks,  but
              only  on  actual  files.   Useful  if  you wish to filter out files like HACKING.gz and TODO.gz. The INSTALL_MASK is processed just before a package is
              merged.  Also supported is a PKG_INSTALL_MASK variable that behaves exactly like INSTALL_MASK except that it is processed just  before  creation  of  a
              binary package.
qnikst ★★★★★
()

Я планирую перебраться как будет больше времени ну или попробовать перебраться на exherbo. Но сейчас просто лень. К слову, как десктоп я использую windows (server 2012 (бесплатно студентам же))

1) Одинаково, единственное, gentoo (funtoo) может быть немного менее из-за того, что сам проект гораздо больше и далеко не все пишут качественные инструкции. Скажем от того, что zmedico не использует mercurial в багтрэкере уже давно висит баг, касаемый hg сертификатов, и в то же время, есть много инструкций, которые используют mercurial.

2) Идентично. В gentoo более удобная из-за наличия огромного количества еклассов, в которых, честно говоря, чёрт ногу сломит, порой они чрезмерно сложны, как мне кажется. Многие пакеты в gentoo включают еклассы, которые не используют - это не есть хорошо.

3) идентично

4) и в gentoo и в exherbo есть защита от этого.

По поводу gentoo vs funtoo, я советую начать с gentoo, потом посмотри на funtoo, внимательно оцени, и если тебе действительно нужны какие-то вещи от туда, то или переноси их в свою систему ну или уж тогда переходи на Funtoo. Я аргументирую: Gentoo оценивают в той или иной мере разработки Funtoo, и есть аргументированные причины, что бы не имплементировать эти «фичи». Нужно понимать, что Funtoo - это не только git дерево, это весь funtoo overlay, и я, честно говоря, не знаю почему им нужны все их изменения во всех этих пакетах, поэтому мне они не нужны. А про git дерево, это просто сервер делает rsync (по аналогу emerge --sync в gentoo) и заливает изменения в git, лично меня огорчает то, что я не вижу кто какое изменение внёс как и не вижу комментариев к изменениям, разве дерево не в cvs? почему не git --bare cvsimport? Видимо, на это тоже есть свои причины, но я повторю, я просто их не знаю, и вам советую прежде чем что-то использовать узнать зачем.

По поводу exherbo у меня слишком мало опыта, но вот этот человек - http://ivanmiljenovic.wordpress.com/ говорит, что возвращаться в gentoo он не хочет и он даже говорил, что подумает написать об этом в блоге. Так что советую, как минимум, попробовать.

nCdy
()
Ответ на: комментарий от PaxtonFettel

тут Pinkbyte опровергает, намекая на то, что в ебилдах могут присутствовать команды, добавляющие исключения в список sandbox. он не прав? т.е ебилды всё-таки никак не могут модифицировать sandbox?

teod0r ★★★★★
() автор топика
Ответ на: комментарий от nCdy

в funtoo я так и не смог установить grub2, его походу вообще в дереве нету.
в exherbo мизерная документация и отсутствие wiki. также непонятно почему они рекомендуют использовать systemd - о котором много нелестных отзывов о неудобстве его конфигурированя. так же не понятно, почему они заместо openvz предлогают baselayout. могу ли я установить openvz?

teod0r ★★★★★
() автор топика
Ответ на: комментарий от teod0r

в funtoo я так и не смог установить grub2, его походу вообще в дереве нету.

:D ошибаешься, там grub = grub2, там нет grub1.

в exherbo мизерная документация

Есть всё необходимое (а это доки по палудису) + irc канал, спрашивай, очень вежливое сообщество.

http://www.exherbo.org/docs/exheres-for-smarties.html - тут большая часть

непонятно почему они рекомендуют использовать systemd

Как раз таки понятно. Вы больше этих «отзывов» слушайте.

могу ли я установить openvz

я думаю, что это просто никому не нужно и никто не пробовал.

nCdy
()
Ответ на: комментарий от nCdy

:D ошибаешься, там grub = grub2, там нет grub1.

а почему тагда emerge говорит что будет установлен первограб?

ну иожет и действительно стоит дать эксербо второй шанс. хотя местами оно внушает неадекватность: советовать unetbootin - это что-то. хотя может это у них такой юмор - ведь exherbo расчитана на людей, которые знают что делать...

teod0r ★★★★★
() автор топика
Ответ на: комментарий от nCdy

кстати за что создателя exherbo турнули из gentoo? я смотрел видео-презентацию - какая-то у него дикция странная - толи просно накурен, толи какой-то *инщик

teod0r ★★★★★
() автор топика
Ответ на: комментарий от teod0r

а почему тагда emerge говорит что будет установлен первограб?

https://github.com/funtoo/funtoo-overlay/blob/master/sys-boot/grub/grub-1.99.... - этот?

ну иожет и действительно стоит дать эксербо второй шанс.

Сначала дай первый, потом говори о втором.

хотя местами оно внушает неадекватность: советовать unetbootin - это что-то.

Не понимаю, а что в этом плохого-то? Довольно удобно. Опять религия?

nCdy
()
Ответ на: комментарий от teod0r

*инщик

? не понимаю

кстати за что создателя exherbo турнули из gentoo?

Pinkbyte хранит где-то link на обсуждение в багтрекере. Как я понимаю был чересчур экспрессивен.

nCdy
()
Ответ на: комментарий от nCdy

Не понимаю, а что в этом плохого-то? Довольно удобно.

ты наверное счасливчик, у котороно оно всё-таки заработало. у бОльшей чпсти народу на лоре после него записанный образ не загружался. в том числе и у меня.

teod0r ★★★★★
() автор топика
Ответ на: комментарий от nCdy

*инщик

?> не понимаю

метамфето геро. я ничего против него не имею, просто напоминает дикция, хотя может просто человек такой

Pinkbyte хранит где-то link на обсуждение в багтрекере. Как я понимаю был чересчур экспрессивен.

странная причина. что в этом плохого?

teod0r ★★★★★
() автор топика
Ответ на: комментарий от teod0r

ты наверное счасливчик, у котороно оно всё-таки заработало. у бОльшей чпсти народу на лоре после него записанный образ не загружался. в том числе и у меня.

Windows Power \o/

nCdy
()
Ответ на: комментарий от qnikst

а в последнем EAPI на уровне ебилда

уж не про user_epatch ли ты (или как оно там)?
кривая наполовину рабочая херня
ещё и требует от поддерживающего ебилд следить за работоспособностью

megabaks ★★★★
()
Последнее исправление: megabaks (всего исправлений: 1)
Ответ на: комментарий от teod0r

странная причина. что в этом плохого?

он делал что хотел и не советовался ни по одному вопросу, который касался других разработчиков. Подробности

Pinkbyte ★★★★★
()
Ответ на: комментарий от megabaks

чем тебе не угодил epatch_user?
Берет патчи из /etc/portage/patches/category/package[-version] (в зависимости от наличии [-version] - берет для конкретной версии пакета или для всех)

Pinkbyte ★★★★★
()
Ответ на: комментарий от megabaks

ещё и требует от поддерживающего ебилд следить за работоспособностью

Много еклассов ее используют уже. Она есть по умолчанию в base eclass. И да, это user-patches, они видны в выхлопе build.log и их использование целиком на совести юзера

Pinkbyte ★★★★★
()
Ответ на: комментарий от Pinkbyte

тем, что работает далеко не всегда
когда это всё допилят - хер их знает
потому пока так - всё работает всегда и на любых ебилдах, в отличии от

megabaks ★★★★
()
Ответ на: комментарий от Pinkbyte

Много еклассов ее используют уже.

много != все
потому вертел я эту херь на причинном месте

megabaks ★★★★
()
Ответ на: комментарий от megabaks

тем, что работает далеко не всегда

приведи пример, когда не работает, мне реально интересно - не хочется наступить на грабли

Pinkbyte ★★★★★
()
Последнее исправление: Pinkbyte (всего исправлений: 1)
Ответ на: комментарий от Pinkbyte

я не помню уже - не пользуюсь я это недоделкой
у меня велосипед работает уже пару лет без проблем
погугли темы - на генту.ру были треды, там некий утырок слепнога пытался защитить эту херню, просто закрывая глаза не её неработоспособность

megabaks ★★★★
()
Ответ на: комментарий от megabaks

были треды, там некий утырок слепнога

Да, есть такой наркоман.

PaxtonFettel
()
Ответ на: комментарий от megabaks

я не помню уже - не пользуюсь я это недоделкой

учитывая, что полная проработка user_patch, подтверждение консульством и последующие корректировки и добавление его в pms было меньше месяца назад, то твоё мнение может не отражать текущую действительность.

qnikst ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.