LINUX.ORG.RU
ФорумTalks

AgiliaLinux 2010.05.21


0

0

Прошло ровно две недели с момента выпуска предыдущей сборки. Пора подводить итоги этого периода и ознаменовать это выпуском третьей сборки :)

Как вы уже обратили внимание, мы решили изменить систему именования версий. С этого момента все девелоперские сборки будут именоваться в стиле дата + порядковый номер снапшота, например 2010.05.21 (Snapshot 3). Во-первых, это позволит не вводить пользователей в заблуждение о степени приближения к релизу, во-вторых - позволяет не забывать, сколько прошло времени с момента предыдущей сборки.

Главная задача, которая ставилась при подготовке этого снапшота - по максимуму отладить инсталлятор, и надеюсь что это удалось.

Итак, что нового в этом снапшоте (основное):

  • Исправлены практически все известные на данный момент ошибки в инсталляторе
  • Вернулся текстовый инсталлятор (пока в экспериментальном виде)
  • Процесс установки пакетов был чуть чуть распараллелен, что дало заметный рост в скорости
  • Полная проверка целостности всех пакетов перед установкой (при желании можно пропустить)
  • Возможность установки из директории на жестком диске и с произвольного репозитория
  • Возможность смонтировать раздел с ISO или пакетами прямо из инсталлятора
  • Ядро 2.6.34
  • Драйвер nouveau для карт nvidia (пока что без 3D)
  • NVidia 195.36.24
  • Исправлены некоторые скрипты для openrc (но по прежнему далеко не все)

Задача этой сборки - отладить всё, что связано с OpenRC. Основные пакеты уже имеют корректные скрипты, однако надо проверить и поправить все остальные. Этим мы и займемся в процессе тестирования при подготовке к следующему: надо проверить каждый пакет, который имеет (или должен иметь) скрипт запуска при загрузке, и если есть хоть какие-то проблемы - сообщить об этом в багтрекер.

Кроме того, к следующей сборке нас ожидает ряд важных обновлений: в первую очередь, в планах имеется большое обновление иксов до 1.8.x.

Я хочу поблагодарить всех, кто участвовал в тестировании предыдущей сборки - количество и качество багрепортов выросло на порядок, а это - главное, что нужно для создания стабильного софта.

Присоединяйтесь к тестированию :) Скачать образ можно тут (доступны два зеркала, торренты будут чуть позже)

Планируется ли внедрение цифровых подписей мантейнеров для пакетов в AgiliaLinux?

Насколько я понял, дистрибутив собирается из множества пакетов, в сборке которых участвует множество людей. Было бы удобно иметь возможность отследить, например, кто внедрил троян в тот или иной пакет (или неправильно/криво собрал/скомпилировал).

Turbo_Mascal
()
Ответ на: комментарий от Turbo_Mascal

меинтейнеров у нас менее 10 человек :) при этом невозможно залить пакет от чужого имени, если неизвестен пароль этого маинтейнера. Так же пакеты без метки «кто собрал» в реп не принимаются. Так что это всё вполне контролируемо :)

DoctorSinus ★★★★★
()
Ответ на: комментарий от Turbo_Mascal

Как уже сказали выше - мейнтейнеров мало, и процесс добавления в репозиторий жестко контролируется как автоматикой, так и руками.

Сигнатуры - это модно и создают ощущение большей защищенности, но на деле они мало что дадут: если кто-то утащит пароль у мейнтейнера, то, во-первых, высока вероятность того, что и подпись утащат тоже, во-вторых - это станет мгновенно известно, и меры сразу же будут приняты.

aix27249
() автор топика
Ответ на: комментарий от DoctorSinus

Больше одного человека - это уже множество.

А контроль есть только у ограниченного круга лиц, что не есть гуд.

Вы рассматриваете только угрозу извне, не предполагая её пусть даже теоретическое наличие изнутри, что также не есть гуд.

Собрал пакет, подписал, залил. На главной - ЭЦП всех мантейнеров. Profit!

Turbo_Mascal
()
Ответ на: комментарий от aix27249

>если кто-то утащит пароль у мейнтейнера

Пароль от чего?

высока вероятность того, что и подпись утащат тоже

Ну так не надо делать «detached signature», никто и не утащит. Кроме того, man «сети доверия». Придётся скомпрометировать не только один ключ, но и вообще всех мантейнеров.

Turbo_Mascal
()
Ответ на: комментарий от Turbo_Mascal

Порядок в репозитории контролируется одним человеком: мной. Если мейнтейнер решит залить пакет с бякой - он может это сделать только от своего имени, что и сделает. Чем тут поможет ЭЦП? Ну будет ЭЦП, подпишет так же без проблем - никакой новой информации это не даст.

aix27249
() автор топика
Ответ на: комментарий от aix27249

Чем тут поможет ЭЦП? Ну будет ЭЦП, подпишет так же без проблем - никакой новой информации это не даст.

См. мой первый пост в теме. Дистрибутив был бы «прозрачнее» для людей «извне», imho.

Turbo_Mascal
()
Ответ на: комментарий от Turbo_Mascal

Дистрибутив был бы «прозрачнее» для людей «извне», imho.

Я правильно понимаю мысль, что главный смысл сего действия - придание внешней надежности?

aix27249
() автор топика
Ответ на: комментарий от aix27249

Я правильно понимаю мысль, что главный смысл сего действия - придание внешней надежности?

Можете считать это внешней надёжностью, если хотите. Я уже написал зачем это нужно.

Впрочем, с таким отношением лучше это вообще не реализовывать, чем реализовывать для галочки, ибо предвижу что реализация будет хромать.

Turbo_Mascal
()
Ответ на: комментарий от Turbo_Mascal

зачем реализовывать то чем не пользуются? любой начинающий мейнтейнер обязательно посетит конференцию дистра, если не с целью осведомления как собирать/заливать в реп, так просто поболтать. aix27249 там бывает часто, да и мы можем объяснить человеку нашу систему добавления пакетов в репозиторий. ЭЦП тут ни на что кардинально не повлияет. А для галочки и правда было бы глупо делать это.

В общем, пока такая система что есть сейчас всех устраивает - будем пользоваться ей, имхо.

Nomer_Uno
()
Ответ на: комментарий от Turbo_Mascal

Дело не в отношении, дело в том что мне уже не первый раз говорят про ЭЦП, но никто толком не может объяснить какой от этого будет профит на деле.

Почему-то никто не может привести в пример ни одного конкретного примера, когда наличие подписи чем-то поможет. Если вы можете - буду рад выслушать.

aix27249
() автор топика
Ответ на: комментарий от Turbo_Mascal

> А контроль есть только у ограниченного круга лиц, что не есть гуд.

всё контролирует Айк :)

> Вы рассматриваете только угрозу извне, не предполагая её пусть даже теоретическое наличие изнутри, что также не есть гуд.

если «крыса» попадёт в реп (что очень маловероятно, так как у нас хотя бы через Jabber все друг друга знают и знают, кто и что делает. Доверие, чо :)

> Собрал пакет, подписал, залил. На главной - ЭЦП всех мантейнеров. Profit!

и что эти ЭПЦ дадут? Я, когда пришёл в конфу Агилии, тоже заикнулся о ЭПЦ. Потом вкурил систему (пройдя весь контроль защиты) — при такой системе ЭЦП как собаке пятая нога :)

DoctorSinus ★★★★★
()
Ответ на: комментарий от DoctorSinus

забыл завершить второе предложение

> если «крыса» попадёт в реп...

...и сделает пакет с rm -rf / в постинстале, в течении оооочень короткого времени это будет выяснено, виновный будет экскомуницирован.

Но повторюсь — при текущей системе тесного взаимодействия такое невозможно. Каждый отвечает за свои действия.

DoctorSinus ★★★★★
()
Ответ на: комментарий от DoctorSinus

> и сделает пакет с rm -rf / в постинстале
Это ладно, а вдруг пакет при установке начнет неприличные аски-картинки в терминале рисовать!

sysmouse
()
Ответ на: комментарий от aix27249

Почему-то никто не может привести в пример ни одного конкретного примера, когда наличие подписи чем-то поможет. Если вы можете - буду рад выслушать.

Как известно, главное свойство ЭЦП - неизменяемость и сохранение авторства.

Это можно использовать для:

1. защиты от Man-in-the-Middle атак при скачивании пакетов из репозитариев;

2. (внезапно) для привлечения к уголовной ответственности за распространение вредоносного ПО (например, aix27249 не сможет определить какой-нибудь серьёзный руткит, и допустит пакет «в мир». ЭЦП послужит доказательством в расследовании);

3. прозрачность разработки дистрибутива для людей извне: можно гарантированно убедиться что пакет был собран именно Ивановым И.И., и этот пакет не был изменён (умышленно/неумышленно) во время подготовки образа дистрибутива; Или, например, Петров плохо собрал пакет x, - можно взять его «на галочку» и не устанавливать его пакеты в следующий раз (или тщательно проверять в вирт.машине прежде чем установить).

Turbo_Mascal
()
Ответ на: комментарий от DoctorSinus

>и сделает пакет с rm -rf / в постинстале

Пусть уж лучше rm -rf / делает, чем деньги из банка/платёжной_системы ворует.

Бэкапы рулят, да и переустановка более 30 минут не займёт.

Turbo_Mascal
()

Давно уже хочу посмотреть на нее, да забываю -_-

pevzi ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.