LINUX.ORG.RU

systemd 253

 ,


1

1

Cвободный (GPLv2+) системный менеджер GNU/Linux породил очередной релиз и, опосредовано, новость для LOR.

В данной версии:

  • мультикаст DNS включён по умолчанию на всех интерфейсах
  • утилита ukify для работы с UKI (Unified Kernel Image)
  • опция юнита LogFilterPatterns= для фильтрации логов юнита с помощью регулярных выражений
  • опция юнита OpenFile= позволяющая открыть произвольный файл (или unix-сокет) и передать файловый дескриптор процессу, запущенному юнитом
  • systemd-boot напрямую инициализирует RNG ядра
  • systemd-dissect обзавёлся опцией --discover для поиска DDI (Discoverable Disk Images)
  • hostnamectl показывает время окончания поддержки ОС, используя данные из /etc/os-release
  • systemd-sysusers автоматически создаёт /etc в случае его отсутствия

Спеки для UKI, DDI и других малознакомых аббревиатур из данной новости можно почитать в UAPI Group Specifications

Кроме того, анонсировано удаление поддержки cgroup v1 и split-usr (использование отдельных каталогов /usr/lib и /lib и т.п.) до конца этого года.

В выпуске есть и множество других новшеств, достойных эмоционального комментария завсегдатаев :)

>>> Подробности

★★★★★

Проверено: hobbit ()
Последнее исправление: cetjs2 (всего исправлений: 4)

Прилетело вот в ArchLinux только что. И что-то здорово снесло крышу в efi.automount сразу после обновления на 253.

dev-disk-by\x2ddiskseq-1\x2dpart1.device: Job dev-disk-by\x2ddiskseq-1\x2dpart1.device/start timed out.
Timed out waiting for device /dev/disk/by-diskseq/1-part1.
Dependency failed for File System Check on /dev/disk/by-diskseq/1-part1.

Тупо не мог зайти в примонтированный ESP раздел, пока не дошло его umount и потом обратно mount вручную. Видимо так уже с новым systemd монтируется и ему становится хорошо.

Мне оно надо, чтобы после изменений в ядре/образе переложить вручную из /boot в правильный путь к ESP. Иначе всё рухнет на перезагрузке.

Так просто, сообщаю на всякий случай.

Toxo2 ★★★★
()
Ответ на: комментарий от t184256

«XMPP/IRC просто работает» только в том случае, если твои задачи сводятся к «сидеть весь день, попёрдывая, у подключенной к розетке коробки под столом» (и общаться со строго ограниченным кругом лиц с правильными™ серверами и клиентами).

Собственно, к чему и был референс.

В любом ином случае —

XMPP просто не работает

intelfx ★★★★★
()
Последнее исправление: intelfx (всего исправлений: 1)
systemd --version
systemd 249 (249.11-0ubuntu3.6)
targitaj ★★★★★
()
Ответ на: комментарий от t184256

Мне больше симпатично вводить pin от yubikey

Можно вводить PIN от TPM. Дежурное напоминание, что yubikey есть не у всех, а все обсуждаемые приседания делаются в первую очередь в пользу тех, у кого его нет (т. е. у подавляющего большинства).

Вместо пароля на LUKS расшифровывать через TPM и вводить пароль только на юзера. Результат: пароль все равно вводить

Вместо пароля может быть любая другая аутентификация (биометрия, более простой/массовый/дешёвый токен, любые другие изобретения), причём ты не ограничен одним фактором или одним экземпляром.

дольше ждать

Короче, потому что меньшее количество работы оказывается заблокировано невведённым паролем.

Атакующий-дебил поимел рута удаленно и решил поменять мне initrd. Решительно не понимаю, зачем обсуждать этот сценарий

Я тоже.

Стандартный мямлинг про мифическую защиту от evil maid attack, которой нет и быть не может

Ты очень лихо противопоставляешь конкретным аргументам стандартный мямлинг «они ложны, потому что я так сказал».

intelfx ★★★★★
()
Последнее исправление: intelfx (всего исправлений: 2)
Ответ на: комментарий от thegoldone

Этот journalctl ужасно неудобен, и довольно трудно запомнить, что в нём там к чему

А то все остальные команды ты помнишь наизусть от рождения.

Удивляюсь, насколько сложной удалась такая простая операция – просмотр логов какой-то службы

«Просмотр логов какой-то службы» осуществляется одним ключом (journalctl -u СЛУЖБА). Кажется, сделать ещё проще в принципе нельзя.

Возможно, дело в IQ?

intelfx ★★★★★
()
Последнее исправление: intelfx (всего исправлений: 1)
Ответ на: комментарий от t184256

См. ремарку про правильные серверы и клиенты. Твоё утверждение ложно; я перепробовал три сервера и два клиента и во всех случаях это были непрекращающиеся боль и страдание.

Возможно, нужно пользоваться правильной™ платформой (т. е. ведром, под которое есть единственный правильный™ мобильный клиент), но я не хочу подбирать телефон под мессенджер.

intelfx ★★★★★
()
Последнее исправление: intelfx (всего исправлений: 2)
Ответ на: комментарий от intelfx

безопасность при утере ослаблена.

Ты пропустил.

Ты очень лихо противопоставляешь конкретным аргументам стандартный мямлинг «они ложны, потому что я так сказал».

Потому что это очевидно и я действительно уже много раз сказал, но я не гордый, я повторю. Берёшь ноут жертвы, если там нестандартно выглядит процесс загрузки, записываешь на видео процесс загрузки какой-нибудь HDMI-хваталкой. Меняешь на ту же модель ноута, которая проиграет эту запись при нажатии «вкл» и введённый пароль сольет через модем. Теперь у тебя есть и диск, и TPM, и пароль. Все, всем труба, контрмер нет.

t184256 ★★★★★
()
Ответ на: комментарий от intelfx

Аааа, ты купил дамбфон, который не может держать открытым TCP-соединение? Там да, там ад. Виноват, конечно, XMPP. –sarcasm

t184256 ★★★★★
()
Ответ на: комментарий от t184256

Ты пропустил

Потому что не пытаюсь с этим спорить, она действительно ослаблена, именно столько стоит удобство.

Все, всем труба, контрмер нет

Дежурное напоминание о том, что абсолютной безопасности не бывает и безопасность не является булевым свойством. Если задаться целью, атаковать можно что угодно, задача в том, чтобы максимально усложнить задачу атакующего.

Если чуть более конкретно, установку буткита можно тривиально автоматизировать и заниматься этим, например, изъяв железку на 5 минут. То, что ты описываешь, тривиально автоматизировать нельзя (как минимум потому что «та же модель ноута» не подойдёт, тебе нужно кастомное железо).

Если ещё более конкретно, network evil maid, кажется, можно митигировать сочетанием внутреннего и внешнего факторов (e. g. TPM скрывает от анализа хранящийся на хосте challenge для юбикея, без правильно challenge юбикей не выдаст правильный response). Если юбикей — это единственный фактор, ты будешь подвержен той же атаке.

intelfx ★★★★★
()
Последнее исправление: intelfx (всего исправлений: 3)
Ответ на: комментарий от t184256

Виновата дерьмовая архитектура XMPP, которой нужно держать открытым TCP-соединение, конечно же.


На самом деле плевать на TCP-соединение. Без пушей я как-нибудь переживу, проблема в том, что всё остальное тоже разваливается.

intelfx ★★★★★
()
Последнее исправление: intelfx (всего исправлений: 4)
Ответ на: комментарий от HerbertHoover

если выкинуть бессмысленный ненужный grub и пользоваться удобным современным systemd-uefi, то видно, что очень удобно, когда один вариант загрузки — это просто два файла (конфиг + ядро)

max_lapshin ★★★★★
()
Ответ на: комментарий от intelfx

А то все остальные команды ты помнишь наизусть от рождения.

Cat, grep, tail -f. Я часто ими пользуюсь.

«Просмотр логов какой-то службы» осуществляется одним ключом (journalctl -u СЛУЖБА). Кажется, сделать ещё проще в принципе нельзя.

  1. Почему u? При чём тут u вообще?
  2. Less-подобный выхлоп.

В итоге там выходит что-то вроде

shitlikejournalctl -xe svc -f

И оно ещё тупит, если f передвинуть. Что-то такое там.

И не работает автодополнение по имени сервиса. Ну просто отстой.

thegoldone ★★
()
Ответ на: комментарий от thegoldone

и возможно ещё все модули, которые могли бы подгружаться динамически

С какого перепугу UEFI это должен подписывать? Ты chain-of-trust не осилил «в третьем тысячелетии нашей эры»?

zabbal ★★★★★
() автор топика
Ответ на: комментарий от thegoldone

Этот journalctl ужасно неудобен

Он очень удобен

и довольно трудно запомнить, что в нём там к чему, если не пользуешься им постоянно

Его делали не для голдонов с плохой памятью.

А я не пользуюсь им постоянно. Очень редко, когда что-нибудь работает не так.

Ленивые админы локалхостов должны страдать.

zabbal ★★★★★
() автор топика
Ответ на: комментарий от liksys

А как DRM этому помешает? Звук и картинку всё равно можно пиратить, ведь они выводятся на физическое устройство — а это значит, что сигнал можно перехватить. Тем более что производство сейчас на высоком уровне, любой желающий может начать клепать перехватывающие устройства для простых юзверей. Не удивлюсь, если они уже есть в продаже.

InterVi ★★★★★
()
Ответ на: комментарий от bernd

подключение корпорастов к разработке линуха уничтожит линух изнутри

Именно корпорасты из интела и межделмаша разработали линукс.

beck ★★★★
()

чё, реально кто-то считает, что секьюр-бут бесполезен? Алло, это линукс.орг.ру или спортлото?

seiken ★★★★★
()
Ответ на: комментарий от ValdikSS

Поверю, что есть подобные встраиваемые системы с кастомизированными настройками UEFI, чтобы пользователь не имел возможности модификации системы, но не в обычных десктопах и серверах.

так точно. В некоторых системах фирмварь, проверяющая подписи, часть SoC, у которого аппаратно на этапе пр-ва отключаются все интерфейсы отладки. На каждом чипе может быть свой ключ в ПЗУ, и общение между чипами шифруется. Ну и дальше успехов в прикладной микроскопии…

seiken ★★★★★
()
Ответ на: комментарий от papin-aziat

пульса всегда работала без нареканий

Хорошо быть вами. У меня почему-то вечно то пердит, то шипит, то тихий звук. Мне этот звук нужен на компе раз в год, но когда он нужен, обязательно приходится мочить пульсу. Вот только недавно понадобилось послушать фрагмент аудиокниги в тырнете, а вместо звука только пук-пук-пук в динамиках. Шел 2023 год. Модет быть оно все настраивается, но последнее, чем я хочу заниматься на компе, это настройка мутного звукового сервера. Статьи в арчевики по настройке этого ужоса наводят безнадежную тоску.

bread
()
Ответ на: комментарий от gns

Возможно. Мне тут уже какие-то обновления только с pro-подпиской предложили.

убунту? Тоже видел такое теперь вот думаю а достаточно ли убунту безопасна?)) Ведь про подписки у меня не будет

Sapetuko ★★
()
Ответ на: комментарий от bread

Мне повезло, до сих пор на пульсе — вообще никаких проблем, правда я ничего кроме колонок не использую на компе, может потому не сталкивался.

Я уверен, что в случае разных девайсов могут быть трудности с переключением, но чтобы портился сам звук — вот вообще такого не встречал.

Хорошо быть вами.

Без ложной скромности, да.

papin-aziat ★★★★★
()
Ответ на: комментарий от zabbal

С какого перепугу UEFI это должен подписывать? Ты chain-of-trust не осилил «в третьем тысячелетии нашей эры»?

Ядро не проверяет модули, которые загружает, на подпись каким-то там сертификатом из UEFI. Если есть возможность подменить образ ядра, его initrd, то динамические модули, которые ядро загрузит уже не из initrd, а после, останутся не проверенными.

thegoldone ★★
()
Ответ на: комментарий от zabbal

Ленивые админы локалхостов должны страдать.

Ленив как раз тот, кому этот journalctl нужен постоянно на localhost. Потому что навести порядок на своей машине не может. Чтобы она работала.

thegoldone ★★
()
Ответ на: комментарий от slyjoeh

Если разработчики посчитают нужным заполнить os-release, покажет.

undef ★★
()
Ответ на: комментарий от InterVi

Это не для стороны пиратов, я для юзеров. Например, если твой компьютер с DRM (то есть уже не твой), то ты в принципе не сможешь проиграть какой-то контент. В терминальной стадии - вообще не сможешь играть аудио/видео файлы, если у них нет подписи.

liksys ★★★★
()
Ответ на: комментарий от thegoldone

остаточно вбить хэш образа в UEFI, и чтобы он только такие образы грузил. Подпись не нужна

Что ты несёшь?!

Зачем вообще пытаешься рассуждать о «корневых и прочих сертификатах» если ты ни бельмеса в PKI не смыслишь?

zabbal ★★★★★
() автор топика
Ответ на: комментарий от Vadim59

возвращение,уже официальное,в будку к хозяину только подтвердила

У тебя русский не родной или ты просто бухой в сопли?

zabbal ★★★★★
() автор топика

hostnamectl показывает время окончания поддержки ОС

лучше бы кормил кота и ходил в магазин за пивом

Rost ★★★★★
()
Ответ на: комментарий от t184256

Так от какого вектора атаки защищает этот бесполезный огород?

Это максимально подробно разжёвано в статье того же Леннарта например. Если ты не понял какое-то конкретное место в модели угроз - спрашивай. Если тебе лень читать и ты хочешь чтобы тебе пересказали - обратись к ChatGPT. Если ты просто не осиливаешь сложный текст - зачем комментируешь?

zabbal ★★★★★
() автор топика
Ответ на: комментарий от Vadim59

Мне эта хрень и даром не нужна,лишняя головная морока.

Ты даже не представляешь до какой степени всем насрать что тебе нужно, а что нет.

zabbal ★★★★★
() автор топика
Ответ на: комментарий от zabbal

Evil Maid: neither online nor offline (i.e. “at rest”), physical access to a storage device should enable an attacker to read the user’s plaintext data on disk (confidentiality); neither online nor offline, physical access to a storage device should allow undetected modification/backdooring of user data or OS (integrity), or exfiltration of secrets.

Там написано, что есть TPM, и страсть как руки чешутся его применить, другие же применяют, а вместо модели угроз вот эта отмаза галимая. Мне, как пользователю зашифрованного ноутбука, давшемо кому-то физдоступ, эти пляски вприсядку полезных свойств не добавляют. Раскручивать ноут и вынимать SSD сложнее, чем тупо его заменить.

t184256 ★★★★★
()
Ответ на: комментарий от undef

Это не так. Ядро проверяет модули, подписанные Debian, Ubuntu и пр.

До тех пор, пока в ядре включена эта функция. Что в ряде случаев очень неудобно.

thegoldone ★★
()
Ответ на: комментарий от zabbal

Ну давайте расскажите, зачем что-то подписывать, если нужна зашита от подмены данных и можно просто проверить их хэш. Я весь внимание.

thegoldone ★★
()
Последнее исправление: thegoldone (всего исправлений: 1)
Ответ на: комментарий от zabbal

Ты даже не представляешь до какой степени всем насрать что тебе нужно

Фуфайка,всем насрать не только на твое мнение а и на твою тупую башку.

Vadim59
()
Ответ на: комментарий от thegoldone

Вопрос уровня «зачем нужно срать, когда можно не срать».

Давай ты сходишь в википедию и почитаешь, зачем нужны PKI в принципе?

intelfx ★★★★★
()
Ответ на: комментарий от ValdikSS

включите Bitlocker и посмотрите, насколько удобно могут быть реализованы меры безопасности без ограничений для пользователя

На редкость неудачный пример. Например при каждом обновлении прошивки диска винда требует recovery key - это очень неудобно.

zabbal ★★★★★
() автор топика
Ответ на: комментарий от gns

если что-то начинает ломаться, то хрен поймешь где

У идиотов, игнорирующих документацию, жизнь вообще очень сложна и полна сюрпризов.

zabbal ★★★★★
() автор топика
Ответ на: комментарий от intelfx

Зачем PKI, если нужно обезопаситься от подмены?

Я весь внимание.

thegoldone ★★
()
Последнее исправление: thegoldone (всего исправлений: 1)
Ответ на: комментарий от bernd

подключение корпорастов к разработке линуха уничтожит линух изнутри

Это насколько же надо быть тупым чтобы до сих пор не знать кто разрабатывает линукс?

zabbal ★★★★★
() автор топика
Ответ на: комментарий от thegoldone

Хотя кто знает, что этот ко-ко-доверенный-бут значит.

Знают про это все, кто прочитал документацию. Соответственно ты о том, что «этот значит» не узнаешь никогда - тебе просто нечем. Голдон он и есть голдон - правильно ты ник выбрал.

zabbal ★★★★★
() автор топика
Ответ на: комментарий от slyjoeh

и что, в генту тоже покажет?

А что, у них тоже есть поддержка?

zabbal ★★★★★
() автор топика
Ответ на: комментарий от thegoldone

Так можно далеко зайти. «Пароль на вход (права на файл и т.д., подставить нужное) работает, пока включена эта функция. Что в ряде случаев очень неудобно.»

undef ★★
()

Понятия не имею что такое эти ваши иниты, зачем они нужны, и что с ними делать.

Поставил ОС Убунту, вроде норм, посмотрел ютубчик в браузере, показал в вайбере девчонкам своего котика, потом позвонил кореш сказал что уже у порога, чтоб я выходил - стал выключать компутер, и увидел на черном фоне какую-то надпись A stop job for user чототам for UID чототам.

Спросил на профильном форуме (linux.org.ru) что делать, в ответ получил еще более непонятные слова: нуб, RTFM, УМВР.

Плюнул, достал макбук. Всьо почему-то просто работает.

windows10 ★★★★★
()
Ответ на: комментарий от thegoldone

Я часто ими пользуюсь.

Голдон, ты правда думаешь что кому-то не пофик чем ты пользуешься и как часто?

Что-то такое там.

Сразу видно настоящего профессионала :-D

zabbal ★★★★★
() автор топика
Ответ на: комментарий от seiken

реально кто-то считает, что секьюр-бут бесполезен? Алло, это линукс.орг.ру или спортлото?

Это ж ЛОР - тут всегда булькала небольшая, но вонючая популяция хейтеров под лозунгом «если я не осилил, значит это бесполезно», периодически пополняемая идиотами, не раздуплившими очередную технологическую новинку.

zabbal ★★★★★
() автор топика
Ответ на: комментарий от zabbal

до сих пор не знать кто разрабатывает линукс

Судя по этому и предыдущим тредам линакс разрабатывает лично Заеббал вместе со своим любовником Леонардом. Непонятно только для кого, ведь юзеры идиоты и все равно не могут оценить гениальность решений.

bread
()
Ответ на: комментарий от undef

Речь ведь о наборе файлов. Точнее о том, что тупое UEFI может только один файл проверить. Вместо 2-х, или более, произвольных.

А так да – ещё некоторые файлы, помимо модулей ядра тоже неплохо б проверить.

thegoldone ★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.