Безопасна ли ваниль?

Безопасна ли ваниль?

Никак нет.

хочешь безопаности — молись на Debian, Red Hat и всегда будь в курсе новостей

Воистину

Безопасности нет. Совсем нет. Нигде. И никогда не было.

Вы знаете истории успеха, где LFS, Slackware или CRUX используются в интерпрайзе по причине, что они просты как пять копеек, разобраться в них не составляет труда, а значит исправлять ошибки (в т.ч. ошибки в безопасности) можно самостоятельно, не дожидаясь апстрима.

я знаю

Безопасна ли ваниль?

Error "Безопасна" is not defined!

Всё небезопасно в этом суровом и непредсказуемом мире. А ваниль гарантирует лишь одно - известные версии, без левого гербалайфа, а соответственно, с известными багами/фичами. Что тебе даст больше защиты ваниль или неваниль? Если обратить своё рассеянное внимание на список из десяти последних дыр связанных с этими нашими GNU/Linux то как правило в большей их части в конце идет приписка "не подвержены rhel, suse и т.п" либо "уже выпущенны обновления устраняющие дыру в rhel, suse и т.п.". А LFS может помочь, в плане безопасности, только одним - заранее никому, кроме самого разработчика, неизвестно содержимое/версии/флаги сборки.

Хочется надеяться, что если использовать ваниль «как есть», то и проблем с ней не будет. Так ли это?

Нет

Или всё это фигня, хочешь безопаности — молись на Debian, Red Hat и всегда будь в курсе новостей, своевременно обновляй систему чтобы она была просто безопасной?

Если хомячок, то молись на иконы. О безопасности не думай.

самый простой пакет «linux»

Ни фига не простой, взгляни на PKGBUILD

поставляется с несколькими патчами, а ещё с каким-то микрокодом intel в виде дополнительного образа подгружающегося при загрузке...

https://git.archlinux.org/svntogit/packages.git/tree/trunk?h=packages/linux

Патчи вижу, но не микрокод.

А LFS может помочь, в плане безопасности, только одним - заранее никому, кроме самого разработчика, неизвестно содержимое/версии/флаги сборки.

ну, на самом деле, дело не в неизвестности, а в том, что в самосборных и тщательно сконфигурированных системах нет ничего лишнего, как правило. а дыры чаще всего обнаруживаются в каких-то древних протоколах, которые вкомпилены в ядро мейнстримов по причине того, что «так всегда было». или в софте, который по умолчанию ставится на многих хомячковых сборках. на кастомных сборках ставят только то, что действительно нужно.

На самом деле неизвестность это единственное преимущество LFS. Без пакетного манагера управлять системой на порядок сложнее. А уж следить за багами и подавно.

я в курсе. и я написала про преимущества. кастомная сборка - это не неизвестность, а просто отсутствие ненужного. мейнстрим напичкан ненужным по самое небалуйся. так что количество дыр в нём потенциально значительно выше.

и, кстати, LFS не означает «отсутствие пакетного менеджера». любой менеджер на любой вкус. никто не запрещает.

Ничто не безопасно, безопасности нет и не было и не будет. Уязвимо все, вопрос только в том, насколько ты кого то сверху сильно заинтересовал. Достаточно не палить свои данные в сети и думать головой, а вот эти попытки использования crux и lfs с постоянной паранойей больше похожи на психоз и задротство. пользуюсь виндой 10 в дуалбуте с 2015 года (ее я обрезал по самые уши, никуда она не стучит) и спокоен.

Вы знаете истории успеха, где LFS, Slackware или CRUX

Нет, я знаю истории успеха, где от этих поделий держатся на расстоянии пушечного выстрела.

Какая именно безопасность тебе нужна?

Дыры есть еще до ОС. Проприетарные прошивки(бэкдоры через jtag'ы), микрокоды, гипервизоры. Учитывая то, что в ванильных сборках не используются патчи безопасности для ядра, софт предустановлен и собран с кучей легаси, то все очень безопасно, ога.

Или всё это фигня, хочешь безопаности — молись на Debian, Red Hat

Есть открытое железо, прошивки и полносью свободные дистры.

Вы знаете истории успеха, где LFS, Slackware или CRUX используются в интерпрайзе

Никто в здравом уме не станет это использовать даже на локалхосте, а ты тут про энтерпрайз.

В подобных случаях Slackware либо применяет минорную версию от апстрима с устранением уязвимости, либо, если такой нет, добавляет устраняющий уязвимость патч и перевыпускает бинарный пакет.
Примеры см. в ChangeLog.txt по пометкам «Security Fix».

пользуюсь виндой 10 в дуалбуте с 2015 года (ее я обрезал по самые уши, никуда она не стучит)

Что, даже доступа к интернету лишил? Жду историю успеха.

Зачем? Доступ к интернету есть, я вырезал все приложения майкрософт и запретил доступ к их серверам и к тем серверам куда данные сливаются. Мне честно говоря не до задротства, мне развлекаться и работать надо.

я вырезал все приложения майкрософт

Что ты понимаешь под приложениями майкрософт? Стук вполне может быть встроен на низкий уровень сетевого стека.

и запретил доступ к их серверам

Запретил средствами чего? Если внешнего роутера, то ладно, хотя...

и к тем серверам куда данные сливаются

А ты уверен, что у тебя полный список таких серверов?

Мне честно говоря не до задротства

Задротство — понятие туманное, кому-то и фаервол настроить — «задротство». Речь шла про твоё категоричное утверждение «ее я обрезал по самые уши, никуда она не стучит», вот мне интересно стало, как люди этого достигают. Не дай бог, придётся ЭТО на следующем ноутбуке использовать...

мне развлекаться и работать надо.

А какие у тебя программы для развлечения и работы, что им обязательно именно десятка нужна? Ну если не секрет, конечно, это уже вопрос сверх программы...

Игры (cs go, quake 3 arena). Музыка, интернет. Тот же foobar под виндой с кодировкой cue не заморачивается, да и он умеет в wasapi (побитовый вывод звука в обход всех микшеров windows), а под linux такого я не нашел, придется вручную cue перекодировать если не то, что то, да и еще через консоль. Хотя у линукса есть плюсы конечно, в той же cs go fps у меня выше почти в 2 раза, да и быстрее он.

Не дай бог, придётся ЭТО на следующем ноутбуке использовать...

А что не так? Единственное что взбесило, так это автоустановка драйверов.

Без пакетного манагера управлять системой на порядок сложнее

С чего Вы взяли, что в LFS нельзя использовать любой пакетный менеджер?

LFS с пакетным манагером это уже полноценный дистрибутив. А девушку танцует тот же кто и опакечивает пакеты в этом твоём пакетном манагере.

Вы знаете истории успеха, где LFS, Slackware или CRUX используются в интерпрайзе по причине, что они просты как пять копеек

Таких историй успеха просто не существует. Эти дистрибутивы не подходят для серьёзного ведения дел. Даже у Gentoo/Arch доля в ынтерпрайзах гораздо больше.

> Тот же foobar под виндой с кодировкой cue не заморачивается, да и он умеет в wasapi (побитовый вывод звука в обход всех микшеров windows), а под linux такого я не нашел

Продолжайте мыслить шаблонами Windows.
Вам положили на блюдце mpd - с аппаратным bit-perfect аудио декодингом Class 3, которого нет в Windows.

Вам положили на блюдце mpd

ага, так положили, что нормально заставить это работать неподготовленному человеку надо потратить несколько часов. Конфиги править, права доступа, о май год! Клиент-сервер, зачееем?? Мне музыку послушать надо, еще и в htop лезть надо что бы узнать pid и прибить его, сам mpd не умеет завершаться и при новом открытии пытается подключиться к новому порту, а там старый висит.

Тот же foobar под виндой с кодировкой cue не заморачивается, да и он умеет в wasapi (побитовый вывод звука в обход всех микшеров windows), а под linux такого я не нашел, придется вручную cue перекодировать если не то, что то, да и еще через консоль.

DeadBeef?

<i>> и при новом открытии пытается подключиться к новому порту, а там старый висит.</i>

Порты - не нужны. Идеально в этом случае - unix sockets.

lor@lor ~/.config/mpd % cat mpd.conf | grep -Ei 'socket' 
# be disabled and audio files will only be accepted over ipc socket (using
# MPD to accept files over ipc socket (using file:// protocol) or streaming
# And for Unix Socket
bind_to_address		"~/.config/mpd/socket"

<i>> что нормально заставить это работать неподготовленному человеку надо потратить несколько часов.</i> 5 минут.
Скачать скрипт, исполнить и получить готовый mpd.conf в соответствии с железом на твоём ЭВМ.

wget https://lacocina.nl/mpd-configure -O - | tar --strip-components=1 -zxf -

Да. Но ncmppcpp - всяко лучше.

LFS с пакетным манагером это уже полноценный дистрибутив. А девушку танцует тот же кто и опакечивает пакеты в этом твоём пакетном манагере.

это казуистика. начнём с того, что пакетный менеджер - это просто некий способ контроля версий пакетов. это может быть текстовый файл с версиями, который заполняется скриптами на баше. и это тоже будет вариант пакетного менеджера. в зависимости от необходимости и хотелок того, кто поддерживает дистрибутив, может быть наворочено больше или меньше каких-то фич. существует огромное множество разных пакетных менеджеров. даже гит может быть пакетным менеджером. но нет никакой границы, где можно чётко отделить кастомную сборку от «полноценного дистрибутива». более того, нет никаких критериев «полноценности», потому что дистрибутив может быть не только десктопным, а, например, серверным или использоваться в эмбеддеде. и у всех свои пакеты (или их отсутствие) и свои пакетные менеджеры, если они вообще необходимы.

в LFS обычно человек сам сидит и собирает пакеты, которые нужны ему лично, и тем способом, который удобен ему лично. и в какой-то момент многие такие проекты стали дистрибутивами. к ним прибились юзеры и майнтейнеры и потихоньку эти наработки породили множество разных дистрибутивов. и новые дистрибутивы продолжают появляться. в том числе не просто школярские клоны мейнстрима, а по-настоящему интересные, продуманные новые дистрибутивы со своими подходами к сборке и контролю пакетов. так что нет никакой границы между LFS и прочими дистрибутивами. это просто варианты сборок.

Ахах, неа. Он cue не в utf-8 кодировке читать нормально не умеет.

сам mpd не умеет завершаться

Canterlot$ man mpd | col -b | grep "kill"   
       --kill Kill the currently running mpd session.

УПРЛС?

Вот только что открыл альбом «Навигатор» группы «Аквариум» в формате CUE+FLAC. Кодировка куя cp1251. DeadBeef 0.7.2 всё кажет нормально. Ищи проблему у себя.

Да, под винду Foobar 2000 — лучший плеер, но прибиваться из-за него гвоздями к винде слегка смешно, есть вполне полноценные альтернативы.

А с интернетом в твоём линуксе что не так?

Аналогично. Даже уже забыл, что надо все это запускать вручную, т.к. mpd запускается автоматически при старте системы.

С интернетом все уже норм, там с dns что то не то было. И mpd я завел, вроде нормально, а там посмотрим.

пользуюсь виндой 10 в дуалбуте с 2015 года (ее я обрезал по самые уши, никуда она не стучит) и спокоен.

Лол. А ничего, что после каждого обновления она все настройки взад возвращает?

Ну и как бы это винда, там даже драйвер видяхи (nvidia) сливает телеметрию. Про кейлогеры в дровах от уважаемых компаний я вообще молчу.

А я и не обновляю.

Тогда решето.

КМК, karton1 прав.

Обновлять windows, не зная, что и как будет обновлено - ниразу не приветствуется.

Единственное, что действительно необходимо - цветовые калибровочные профайлы мониторов, и они есть сугубо под windows.

Это XXI веек, и Блиц почему-то вынужден запускать windows, чтобы незатейливо слить файл ICC профайл монитора.
Для правильной конфигурации и калибровки монитора под GNU/Linux.

Безопасна ли ваниль?

Вопрос из серии: нужна ли нам брюква (тыква, дыня, арбуз, кукуруза, виноград, яблоко, картофель, морковь, лук репчатый и лук зелёный, чеснок, овес, рожь, пшеница)?...

В свете последних событий актуально, как никогда.

хочешь безопаности — молись на Debian

Как выясняется, по этому критерию условно безопасными можно считать только Ъ-ынтерпрайс - ред хат и сусю.
Патчи для противодействия Spectre (CVE-2017-5715), не входящие в ванильные ветки, но без которых обновление микрокода бесполезно, не включили ни дебиан, ни арч, ни гента. В убунте пока только в тестовом ядре для 17.10 - 4.13.0-29.32, для qemu патчей нет. И это всё спустя почти 2 недели.