А всё-таки Леннарт Поттеринг знает своё дело

Что-то у тебя кроме надменности аргументов не видно. Ты действительно осознаёшь смысл мантры «не собирай от рута» или просто слепо ей следуешь?

Что-то у тебя кроме надменности аргументов не видно

Зато ты привел много убедительных аргументов.

Ты действительно осознаёшь смысл мантры «не собирай от рута» или просто слепо ей следуешь?

Я следую ей. И мантре «не работай под рутом» я тоже следую.

Что ты понимаешь под словом «довольно шустро»?

Казалось бы, при чём тут wchar.

да неважно под каким пользователем, главное, что изолированно все по принципу - «всех пускать, никого не выпускать»

Ну дык. Ни разу не секурные 644. Выполните «chmod 640 /etc/login.defs», как в дистрибутивах для домохозяек, а потом попробуйте пересобрать systemd не от root'а.

При том, что glibc работает с юникодом через wchar_t или wint_t. Все эти getwchar(), putwchar(), fgetwc(), getwc(),... и т.д.

Не всем программам нужны (c) unicode функции из glibc.

Попробовал. Собралось.

Значит, Ваш ебилд делает meson.build неванильным. Ванильный meson.build читает этот файл, и если не может прочитать, то сборка падает с ошибкой.

Кстати, сборка последних версий переведена на meson + ninja. Пакет требует сборки от root'а.

Годно набросил. Видел тред на трех страницах.

ТСа взломали !

Выполните «chmod 640 /etc/login.defs», как в дистрибутивах для домохозяек

Это в каких например дистрибутивах?

Зато ты привел много убедительных аргументов.

Whataboutism (also known as whataboutery) is a variant of the tu quoque logical fallacy that attempts to discredit an opponent's position by charging them with hypocrisy without directly refuting or disproving their argument—

Я тоже методичку читал. :-D

Я тоже методичку читал. :-D

Это очевидно.

Никогда не встречал баш-скриптов с rm -rf /$tmpname при том что tmpname определено только в bashrc-файле разработчика?

Сборка не от рута защищает от такого?

Да.

На самом деле, нет. rm не сможет удалить файлы, не принадлежащие пользователю, но вот файлы, принадлежащие пользователю, вполне себе удалит.

Не знаю, как тебе, но мне файлы пользователя важнее системных. Системные даже можно не бекапить.

rm не сможет удалить файлы, не принадлежащие пользователю

Серьезно?

В более-менее современных дистрибутивах rm -rf / вообще выдаст предложение использовать --no-preserve-root и ничего не сделает. Но суть в не в rm, а в что ошибки бывают, и могут быть другие команды, которые тоже могут хорошенько подосрать (особенно под рутом).

Прочитай цепочку.

Видимо, читает он его не во всех случаях.

system_uid_max = get_option('system-uid-max')
if system_uid_max == ''
        system_uid_max = run_command(
                awk,
                '/^\s*SYS_UID_MAX\s+/ { uid=$2 } END { print uid }',
                '/etc/login.defs').stdout().strip()
        if system_uid_max == ''
                system_uid_max = '999'
        endif
endif

А в некоторых дистрибутивах ещё и safe-rm можно поставить, в котором конфигурируются защищённые пути. Но не суть. А суть в том, что «поднасрать под рутом» и «поднасрать под пользователем» не сильно по степени ущерба отличаются.

Но в любом случае, «подосрать под пользователем» — подмножество «подосрать под рутом». Так что лучше не подливать масла в огонь.

https://xkcd.com/1200/

Понятно. Однако, внезапно, у юзера может быть именно такой случай.

Жиза :D

Именно потому я открываю вот все утето в «incognito mode» а на дропбоксе ничего идентифицирующего.

выпасть из окна и упасть с моста «не отличаются по степени ущерба»

значит ли это что перила на мосту не нужны?

А у меня из под обычного юзера сборка падает с такой строчкой в логе:

awk: cmd. line:1: fatal: cannot open file `/etc/login.defs' for reading (Отказано в доступе)

У тебя что-то сломано, так быть не должно:

└► stat /etc/login.defs 
  File: /etc/login.defs
  Size: 2028      	Blocks: 8          IO Block: 4096   regular file
Device: fd00h/64768d	Inode: 798050      Links: 1
Access: (0644/-rw-r--r--)  Uid: (    0/    root)   Gid: (    0/    root)
Access: 2018-09-18 23:00:02.344315101 +0300
Modify: 2018-06-05 14:45:35.000000000 +0300
Change: 2018-06-10 09:03:18.373882516 +0300
 Birth: -

Это в каких например дистрибутивах

ALT, OpenMandriva, ROSA, PCLinuxOS, Mageia,... и т.д.

Access: (0644

Нет, в ряде дистрибутивов именно 0640 для секурности.

Что за шелл?

meson

Однако, внезапно, у юзера может оказаться и ведро 2.2.
А shadow у тебя вообще ванильный?

Я не понял, в системд завезли новые настройки резолва локалхоста?

Как выясняется, таки да. systemd-resolved.

кеширующий systemd-resolved. До 233 его выключали, потому что там была удалённая уязвимость. В 234 уязвимость починили, и стало возможным его включать.

система сразу стала реактивной

При чем тут система инициализации к отзывчивости системы?

А shadow у тебя вообще ванильный?

Нет. С патчами. И в .spec файле есть строчки

install -m 0644 %{SOURCE1} %{buildroot}%{_sysconfdir}/login.def
...
%attr(0640,root,shadow) %config(noreplace) %{_sysconfdir}/login.defs

Вот в 28-й Федоре, например, systemd версии 238, и система работает довольно шустро.

да неее, это не ядро, это системд ускорило систему, инфа 150%.

Уже выяснили, что, по ходу, суть была в systemd-resolved и в /etc/resolv.conf на который я не обратил внимания.

О, а можно подробнее? Как его включить/выключить?

Мне оказалось достаточно обновиться до 234-й версии systemd и перезагрузить систему. И он запустился сам. До 234-й версии его выключали из за уязвимости (см. выше).

А отключить можно как обычный сервис:

# systemctl list-unit-files | grep resolved
systemd-resolved.service                                         enabled

В лёгком? Да тут ahui.exe!

Тоже в лёгком недоумении)

Решил пересмотреть свои проекты и стать ближе к обычным пользователям. В т.ч. и отказаться и от KOI8-R в пользу юникода и от ядерной консоли в пользу иксов.

и стать ближе

Тебя потеринг в лоб поцеловал. Патрик не простит...

Патрик не так уж и плохо относится к systemd, просто, как он говорит, он не перезагружается целыми днями, а потому система инициализации ему просто параллельна. При этом он знает, что Слаку юзают консервативные юзеры, многим из которых не нравится systemd. А всё остальное либо уже в Слаке, либо уже на пути туда. Включая PulseAudio и PAM.

выпасть из окна и упасть с моста «не отличаются по степени ущерба»

Использованный тобой приём спора называется «доведение до абсурда». Пожалуйста, не надо так. Это низменный трюк, не стоит его использовать без крайней необходимости.

Давай сравним выполнение удалить -рекурсивно-принудительно /* от рута и от пользователя. От пользователя удаляются все файлы пользователя. От рута — все файлы пользователя и все системные файлы. Допустим, у пользователя нет бекапов части файлов, или бекапа свежих актуальных версий файлов. В обоих случаях он данные теряет. А система... ну раскатали из бекапа, обнаружилось, что она устарела на неделю. Обновили и готово. А новые версии личных файлов потеряны. Разница будет в максимум пару часов раскатки, в которые пользователь может заниматься другими делами. Чай пить, например.

Так что нет, нет особых отличий. Не вижу я их, по крайней мере.

А всё-таки Леннарт Поттеринг знает своё дело

ну так сходите с ним на ночной сеанс... ЛП как раз скоро приезжает...

система сразу стала реактивной

При чем тут система инициализации к отзывчивости системы?

да ты не поооняяял... у него турбииина появииилась... и систеема стааала реактиивннооой! поняятноо?

Вот делать мне больше нечего кроме как по разным конференциям по другим городам разъезжать.

Это точно саахрикту?