LINUX.ORG.RU

Разработчики Debian не приняли правило о поддержке нескольких систем инициализации

 , , ,


0

4

В ноябре состоялось голосование разработчиков Debian о принятии правила, обязывающего в принудительном порядке сохранять в пакетах возможность использования нескольких систем инициализации.

Референдум был инициирован членом технического комитета Яном Джексоном, который является сторонником системы инициализации upstart. Ян считает, что необходимо предотвратить зависимость пакетов от какой-либо конкретной системы инициализации, в частности - рост числа пакетов, зависимых от systemd.

Наибольшее число голосов набрал вариант, гласящий, что необходимость в изменении правил отсутствует.

>>> Подробности

anonymous

Проверено: Shaman007 ()
Ответ на: комментарий от intelfx

Производительность фильтрации по запросу, естественно — речь шла о противопоставлении бинарной БД утилитам для работы с текстом (sed/grep/awk).

у тебя есть бенчмарки, или ты как всегда? :-D

В данном случае лог-файлу сопоставляется некая инкрементально вычисляемая хэш-сумма. Если подменить одну или более записей в логе, сумма не сойдётся

что мешает подменить сумму?

Deleted
()
Последнее исправление: Deleted (всего исправлений: 1)
Ответ на: комментарий от Deleted

у тебя есть бенчмарки, или ты как всегда?

$ journalctl -o verbose > journal-dump

$ l journal-dump 
-rw-r--r-- 1 intelfx users 82M ноя 26 15:02 journal-dump

$ time egrep 'PRIORITY=[012]' journal-dump > /dev/null

real 0.067      user 0.052      sys 0.014       pcpu 98.66

$ time journalctl -p err > /dev/null

real 0.034      user 0.033      sys 0.000       pcpu 98.28

что мешает подменить сумму?

То же, что мешает подменить криптографическую подпись. Вычислить её, исходя только из сообщения и имеющейся подписи — NP-полная задача.

intelfx ★★★★★
()
Последнее исправление: intelfx (всего исправлений: 1)
Ответ на: комментарий от intelfx

круто) Чуваки, у кого системде, закиньте, если не лень по примеру intelfx бенчи с ваших машин.

То же, что мешает подменить криптографическую подпись. Вычислить её, исходя только из сообщения и имеющейся подписи — NP-полная задача.

зачем вычислять? Просто подменить. Капец, панацея.

Deleted
()
Ответ на: комментарий от Deleted

Отмечу, что у меня в логе мало данных + очень простой запрос.

зачем вычислять? Просто подменить. Капец, панацея.

Чем подменить? Допустим, мы подменили сообщение в логе. Оно подписано. Что делать с подписью?

intelfx ★★★★★
()
Последнее исправление: intelfx (всего исправлений: 1)
Ответ на: комментарий от Deleted

Равноценно. -p err выбирает сообщения с приоритетом err или выше.

intelfx ★★★★★
()
Ответ на: комментарий от Deleted

А, нет, прошу прощения, на единичку ошибся. err = 3, а не 2.

$ time egrep 'PRIORITY=[0123]' journal-dump > /dev/null

real 0.063      user 0.048      sys 0.015       pcpu 99.38
intelfx ★★★★★
()
Ответ на: комментарий от intelfx

Верифицировать всегда можно (и нужно) на другой машине.

как часто будешь сохранять проверочные ключи и верифицировать подпись? =)

Да, именно.

тогда почему не перечисляешь в journalctl -p emerg,alert,crit?

Deleted
()
Ответ на: комментарий от Deleted

как часто будешь сохранять проверочные ключи и верифицировать подпись? =)

Что значит «сохранять проверочные ключи»? Verification key всегда один и тот же. А «как часто» — это вопрос не ко мне, а к тем, кому нужна безопасность такого уровня.

В любом случае, схема journald является оптимальной: forward security есть, а как её будут применять (где верифицировать, как бороться с руткитами, способными подменить результаты верификации, etc) — уже другой вопрос.

тогда почему не перечисляешь в journalctl -p emerg,alert,crit?

Говорю же: -p err эквивалентно -p emerg..err.

intelfx ★★★★★
()
Ответ на: комментарий от intelfx

А «как часто» — это вопрос не ко мне, а к тем, кому нужна безопасность такого уровня.

и как эта верификация поможет определить источник взлома кроме самого факта взлома? Логов нет, зато есть ключи! :-D

схема journald является оптимальной: forward security есть

защита от дурака.

Говорю же: -p err эквивалентно -p emerg..err.

а как глянуть только err?

Deleted
()
Ответ на: комментарий от Deleted

и как эта верификация поможет определить источник взлома кроме самого факта взлома?

Никак. Тем не менее, эта схема — лучшее, что можно сделать без постоянной отправки логов на другую машину.

защита от дурака.

Защита от дурака — это защита от неосознанного нанесения вреда. Очевидно, в данном случае это не так: подделать хэш нельзя при всём желании.

а как глянуть только err?

-p err..err или PRIORITY=3.

intelfx ★★★★★
()
Последнее исправление: intelfx (всего исправлений: 1)
Ответ на: комментарий от Deleted

круто) Чуваки, у кого системде, закиньте, если не лень по примеру intelfx бенчи с ваших машин.

 $ journalctl -o verbose > journal-dump
 $ ls -l journal-dump 
-rw-r--r-- 1 galym users 6599904 ноя 26 19:14 journal-dump
 $ time egrep 'PRIORITY=[012]' journal-dump > /dev/null

real    0m0.124s
user    0m0.006s
sys     0m0.005s

 $ time journalctl -p err > /dev/null

real    0m0.151s
user    0m0.043s
sys     0m0.005s
Deleted
()
Ответ на: комментарий от devl547

Первое сомнительно, а вот второе вполне допускаю.

kernelpanic ★★★★★
()
Ответ на: комментарий от devl547

Сейчас поттеринголюбы тебе расскажут, где ты не прав.

Меня это не волнует =)

Deleted
()
Ответ на: комментарий от intelfx

Тем не менее, эта схема — лучшее, что можно сделать без постоянной отправки логов на другую машину.

эта схема бесполезна для тех случаев, защитой от которых она предлагается. А повторить её можно на любой машине, с любой unix-like осью, с системде или без. Можно самому скрипт написать, можно использовать готовое ПО. Только неэффективно это.

Защита от дурака — это защита от неосознанного нанесения вреда. Очевидно, в данном случае это не так: подделать хэш нельзя при всём желании.

я не имел в виду известную фразу. Это именно защита от дурака.

P.S. Еще бы бенчей от других системдешников. А то выигрыш в скорости (хотя тут противоречивые данные) не окупается пока что сложностью реализации.

Deleted
()
Последнее исправление: Deleted (всего исправлений: 1)
Ответ на: комментарий от Deleted

спасибо. в последнем grep, говорят увеличили производительность. Хотя, всё равно какая-то экономия на спичках...

Deleted
()
Ответ на: комментарий от Deleted
$ journalctl -o verbose > journal-dump

$ ls -l journal-dump
-rw-r--r-- 1 user users 875034 ноя 26 20:23 journal-dump

$ time egrep 'PRIORITY=[012]' journal-dump > /dev/null

real	0m0.051s
user	0m0.020s
sys	0m0.000s

$ time journalctl -p err > /dev/null

real	0m0.082s
user	0m0.003s
sys	0m0.007s
Marlboro
()
Последнее исправление: Marlboro (всего исправлений: 1)
Ответ на: комментарий от Marlboro

Ничего, что ты сравниваешь разные вещи? egrep захватит PRIORITY=[012] в любом поле.

//в этом ITT треде меряются милисекундами. Совсем делать нечего?

x3al ★★★★★
()
Ответ на: комментарий от targitaj

Понятно. То есть, в работающей системе должен быть journalctl. Что делать если его там нет? Дистр такой.

Установить. Прекратить детские отмазки по поводу дистра. Ты — сам себе хозяин как минимум в пределах ~ и пакетный менеджер с ментейнерами и репозиториями тебе не указ.

Сами man файлы, естественно, перевести в бинарный вид.

file /usr/share/man/man1/man.1.gz
/usr/share/man/man1/man.1.gz: gzip compressed data, max 
compression, from Unix

Понятно. То есть, в работающей системе должен быть gunzip. Что делать, если его там нет? Дистр такой.

x3al ★★★★★
()
Последнее исправление: x3al (всего исправлений: 1)
Ответ на: комментарий от intelfx

awk и искать по полю, элементарно и с более заметными тормозами. Но кого волнует скорость поиска по логам такого смешного размера? Тем более задача io-bound по определению.

x3al ★★★★★
()
Ответ на: комментарий от x3al

Никого. Но гигабайтных массивов логов у меня нет.

intelfx ★★★★★
()

А я сторонник systemv, только кто меня будет слушать?

grey_color
()
Ответ на: комментарий от anonymous

У этого «школьника» уж точно больше мозгов, чем у анонистмуса.

Marlboro
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.