LINUX.ORG.RU

Fedora 30

 ,


4

2

30 апреля 2019 года, точно в запланированный срок, вышел новый выпуск Fedora 30

Из основных новшеств GNOME 3.32 следующие особенности:

  • Обновленная тема оформления, включая значки приложений, элементы управления, новая цветовая палитра.
  • Удаление «меню приложений» с переносом функционала в окно приложения.
  • Увеличение скорости анимаций интерфейса.
  • Возвращение возможности размещения значков на рабочем столе, при помощи стороннего расширения «Desktop icons»
  • Возможность настройки прав приложений на ресурсы системы
  • Обновленный раздел настройки звука
  • Настраиваемая цветовая температура Night Light


Классический консольный метод обновления с 29 до 30 версии:

    sudo dnf upgrade --refresh
    sudo dnf install dnf-plugin-system-upgrade
    sudo dnf system-upgrade download --releasever=30
    sudo dnf system-upgrade reboot

>>> Подробности обновления

★★★

Проверено: Shaman007 ()
Ответ на: комментарий от mogwai

Если ты ноешь и хочешь сделать фигню, не значит, что не будет людей у которых доступ будет настроен корректно.

Открывать файло в браузере — фигня? Ну ты понел, кто ты.

Ты хочешь творить фигню,

Вставлять изображения в документы — фигня? Ну ты знаешь.

Речь о том, что приложение даже не узнает о существовании ~/.ssh, пока ты ему явно разрешение на чтение этого каталога не дашь.

Речь идёт о том, что ты топишь за кучу никому не нужных, нерабочих костылей. И аргументируешь всё это проблемой, которая давно решена селинуксом.

anonymous
()
Ответ на: комментарий от anonymous

Чудо ты анонимное, во-первых SELinux решил не все проблемы (тебе всё ещё надо дать браузеру доступ к ~/Photo, что бы фотографию в инстаграм загрузить), во-вторых, ты прослепошарил моё предложение про то, что SELinux базовый функционал дал намеренно, или специально, чтобы передёрнуть?

mogwai ★★★★★
()
Ответ на: комментарий от mogwai

Чудо ты анонимное, во-первых SELinux решил не все проблемы

Ёптить, я тебе второй день талдычу, что всех проблем ничтно не решает. Это и есть причина, по которой твоя очередная куча костылей никому нафиг не нужна — ничего нового кроме геморройных шишек она в плане безопасности не даст.

тебе всё ещё надо дать браузеру доступ к ~/Photo, что бы фотографию в инстаграм загрузить

Селинукс решает проблему с доступом к ~/.ssh. Всё остальное нинужно.

во-вторых, ты прослепошарил моё предложение про то, что SELinux базовый функционал дал намеренно, или специально, чтобы передёрнуть?

Ты мне где-то про селинукс писал? Линк в студию.

anonymous
()
Ответ на: комментарий от anonymous

Ты мне где-то про селинукс писал? Линк в студию.

в своём же комментарии нажми на ссылку «ответ на комментарий от mogwai 03.05.19 04:53:22»

Всё остальное нинужно.

Какое авторитетное и обоснованное мнение.

mogwai ★★★★★
()
Ответ на: комментарий от mogwai

Какое авторитетное и обоснованное мнение.

Я тебе выше всё обосновал. Полное огораживание юзерских программ делает из системы нихуя не работающее дерьмо. Неполное огораживание делает из системы очередной дырявый андроид.

Нужно авторитетное мнение — сделай ls -aZ ~.

anonymous
()

Куда копать?

error: .././grub-core/fs/help.c:257:file '/loader/entries/' not found

Такое сообщение проскакивает до загрузки системы, но загружается нормально, в 29 такого не было, ошибка выскакивает независимо от установки в режиме efi или bios. Гуголь молчит.

papin-aziat ★★★★★
()
Ответ на: комментарий от anonymous

Про идею запускать на сервере демонов под различными пользователями ты тоже самое скажешь? Цель-то ведь та же, чтобы программа А не имела доступа к файлам программы Б.

mogwai ★★★★★
()
Ответ на: комментарий от anonymous

Проблема оказалась в BLS: https://fedoramagazine.org/setting-kernel-command-line-arguments-with-fedora-30/
Пару решений есть.
Первое — выключить скрытие выбора загрузки

# grub2-editenv - unset menu_auto_hide
Второе — закомментировать GRUB_ENABLE_BLSCFG=true в /etc/default/grub.
https://bugzilla.redhat.com/show_bug.cgi?id=1699761

papin-aziat ★★★★★
()
Последнее исправление: papin-aziat (всего исправлений: 1)
Ответ на: комментарий от mogwai

Про идею запускать на сервере демонов под различными пользователями ты тоже самое скажешь?

юзерских программ

Нет, очевидно.

Цель-то ведь та же, чтобы программа А не имела доступа к файлам программы Б.

Иксперды в треде.

anonymous
()
Ответ на: комментарий от anonymous

На десктопе есть «не юзерские» программы? Или ты заранее посчитал, что ущерб от утечки с любого десктопа априори меньше ущерба нанесёт, чем утечка с любого сервера?

mogwai ★★★★★
()
Ответ на: комментарий от mogwai

На десктопе есть «не юзерские» программы?

Внезапно на десктопе тоже есть демоны. А ты не знал?

Или ты заранее посчитал, что ущерб от утечки с любого десктопа априори меньше ущерба нанесёт, чем утечка с любого сервера?

Нет, я ущерба от утечек не считал. Я не понял к чему ты это спросил, но не надо приписывать мне своего бреда.

anonymous
()
Ответ на: комментарий от anonymous

От того, что syncthing демоном запущен, он перестал быть «юзерской» программой? А для кого он на десктопе крутится?)

Я не понял

В том и дело, что ты нифига не понял, но мнение имеешь.

Вот представь ситуацию: SELinux по дефолту ни одному приложению в сессии пользователя не даёт доступ к содержимому ~ до тех пор, пока ей не будет явно указано, что браузер может читать и писать в ~/Downloads, музыкальному проигрывателю - в ~/Music и т. д. и т. п. У наутилуса есть разрешение читать писать везде в ~. В GNOME Settings, для каждого приложения можно указать список директорий и уровень доступа к ним. Если ты хочешь открыть в программе файл к которому у программы доступа нет, можно или создать временное правило «к конкретному объекту ФС конкретному процессу», или добавить постоянное правило для «этого приложения». Спрашивать каждый раз, или автоматически выбирать разово\не разово можно в настройках оболочки выбрать.

Для пользователя внешне оно не изменится, он так же будет диалогами открыть\сохранить пользоваться. А на деле он получит спокойствие, что расширение браузера с жёсткого диска у него не сопрёт home video до тех пор, пока он явно не выберет этот файл в диалоге «открыть».

Не хочешь этого - выключи selinux и живи по старому. Плохо спишь от того, что nextCloud client у тебя сопрёт ~/.ssh - не выключай. Хочешь предоставить nextCloud доступ к ~/.ssh - вот тебе интерфейс для этого.

mogwai ★★★★★
()
Ответ на: комментарий от anonymous

и можно будет идти дальше.

Для импорта фотографий в документ не надо ходить по ФС руками, можно воспользоваться content provider установленного в систему фото каталогизатора. Тогда необходимость просить доступ к ~/Photo у LO Writer отпадёт вообще.

mogwai ★★★★★
()
Ответ на: комментарий от mogwai

От того, что syncthing демоном запущен, он перестал быть «юзерской» программой? А для кого он на десктопе крутится?)

Что ты опять жопой юлишь? Ты спрашивал про демонов на сервере, я тебе ответил про демонов на сервере.

В том и дело, что ты нифига не понял, но мнение имеешь.

Не передёргивай. Я ясно написал, что не понял, что за тараканы в твоей голове певомай ещё не отпраздновали.

Вот представь ситуацию:

Вот представь ситуацию, тебе какой-то дурачок с лора описывает райские кущи с нектаром и амброзией. А ты знаешь, что попыток организовать этот сраный рай было больше девяти тысяч. И каждый раз всё было просрато. И дурачок этот в проблеме походу не разобрался, а когда его носом тыкнешь, он тебе начинает заливать что ми-ми-ми, ты делаешь не правильно, там так ни будит и прочую лабуду.

anonymous
()
Ответ на: комментарий от anonymous

Ты спрашивал про демонов на сервере

Пруф или 4.2.

А ты знаешь

Ты нифига не знаешь) Проблема решена технически. SELinux. Нет гуя для управления ей.

а когда его носом тыкнешь

Пока что ты только передёргивал и нёс чепуху в ответ на своё же передёргивание.

mogwai ★★★★★
()
Ответ на: комментарий от mogwai

selinux неюзабелен на десктопе. Только отдельные сетевые демоны опесочивать, чтобы их взлом не приводил к сливу вообще всего. И то говноадмины не осиливают.

d_a ★★★★★
()
Ответ на: комментарий от d_a

Потому что нет нормального интерфейса для него. Будет интерфейс для пользователя - мейтейнеры смогут порезать доступ по дефолту. Задачу «не дать приложению доступ к объекту, если нет правила разрешающего этот доступ, даже если приложение работает от имени владельца объекта» SELinux выполняет.

mogwai ★★★★★
()
Ответ на: комментарий от mogwai

Ты спрашивал про демонов на сервере

Пруф или 4.2.

Fedora 30 (комментарий)

Про идею запускать на сервере демонов под различными пользователями ты тоже самое скажешь?

---------------------------------------

И дурачок этот в проблеме походу не разобрался, а когда его носом тыкнешь, он тебе начинает заливать что ми-ми-ми, ты делаешь не правильно, там так ни будит и прочую лабуду.

Пока что ты только передёргивал и нёс чепуху в ответ на своё же передёргивание.

Fedora 30 (комментарий)

Значит разреши ему доступ на чтение ко всему ~ и жди, когда из-за бага в браузере у тебя ~/.ssh/* уведут.

зачем я буду в документ вставлять фотографию, утечка в сеть которой мне может навредить?

У тебя срач в ФС. У меня в Downloads нет фотографий.

Ты балаболка

anonymous
()
Ответ на: комментарий от mogwai

Ты нифига не знаешь) Проблема решена технически. SELinux. Нет гуя для управления ей.

Чтобы огородить доступ к ~/.ssh никакого гуя не нужно. Downloads и прочие xdg_*_dir никому, кроме упоротых дурачков, нахуй не сдалось огораживать, ибо бесполезно.

anonymous
()
Ответ на: комментарий от alwayslate

Ну пока до остальных дойдет, у меня уже дети появятся.

ZERG ★★★★★
()
Ответ на: Куда копать? от papin-aziat

Куда копать?

В сторону blscfg. Подробностей не знаю, увы.

dexpl ★★★★★
()
Ответ на: комментарий от mogwai

Тут есть 2 крайности:

1) система полностью открыта для всех программ (как windows 95/98);

2) система по умолчанию закрыта, а юзерские программы могут читать там и писать туда, где/куда им явно разрешено.

В первом случае работать ужасно удобно, но совершенно не безопасно. Любая мальварь сделает с системой и данными всё что угодно. Во втором случае нужно немного париться с правилами и настройками, зато это обеспечивает достаточно высокий уровень защищённости системы и данных. Иными словами безопасность никогда не бывает бесплатной. Отсюда и такой жёсткий спор.

Поэтому разработчики флатпаков решают практически неразрешимую задачу: найти оптимальное соотношение между удобством пользователя и безопасностью ОС и пользовательских данных. Лично я предпочёл бы, чтобы по дефолту предлагались разумные настройки (а лучше разные уровни безопасности) и всё это можно было настроить под себя.

vold ★★★★★
()
Последнее исправление: vold (всего исправлений: 1)
Ответ на: комментарий от vold

Во втором случае нужно немного париться с правилами и настройками, зато это обеспечивает достаточно высокий уровень защищённости системы и данных. Иными словами безопасность никогда не бывает бесплатной. Отсюда и такой жёсткий спор.

Во втором случае у тебя есть два варианта.

Ты можешь заизолировать приложение полностью. Запретить любой доступ к другим приложениям, запретить доступ в интернет, запретить дотрагиваться до файлов вне своей директории и запретить лезть другим приложениям в эту директорию. Это рабочий вариант, который ты можешь использовать где нибудь на сервере. Для пользовательской программы, которая должна уметь открывать файлы этот вариант не приемлем, поскольку даже если она сможет работать, то ей невозможно будет нормально пользоваться.

Другой вариант — это встать на путь компромиссов. Тут доступ разрешить, а тут запретить. Этот вариант, тем более на десктопе, во первых мешает работать, очевидно. А во вторых бесполезен чуть менее чем полностью, потому что программы могут между собой коммуницировать с непредсказуемыми последствиями. Смотреть пример с браузером.

А настоящая проблема в том, что эту фигню теперь начали бездумно насаждать её фанатики, обещая людям мнимую безопасность.

anonymous
()
Ответ на: комментарий от anonymous

Другой вариант — это встать на путь компромиссов.

С моей точки зрения в данном случае нужно дать выбор пользователю. И предложить на выбор 3 уровня защиты (примерно как в selinux: Enforcing, Permissive, Disabled). Вопрос лишь какой предложить по умолчанию (может быть даже Disabled, а юзеры, которые хотят большей безопасности должны выбрать себе подходящий им режим).

А настоящая проблема в том, что эту фигню теперь начали бездумно насаждать её фанатики, обещая людям мнимую безопасность.

Думаю, её предложили корпорации, чтобы поставлять в линукс закрытый софт (а заодно и открытый). И именно поэтому эта технология будет внедрена.

vold ★★★★★
()
Последнее исправление: vold (всего исправлений: 1)
Ответ на: комментарий от vold

С моей точки зрения в данном случае нужно дать выбор пользователю. И предложить на выбор 3 уровня защиты (примерно как в selinux: Enforcing, Permissive, Disabled).

Ну и будет как в селинукс:

Инструкция по установке приложения "Фонарик"
============================================

1. Выключите селинукс
...

anonymous
()
Ответ на: комментарий от vold

Думаю, её предложили корпорации, чтобы поставлять в линукс закрытый софт (а заодно и открытый). И именно поэтому эта технология будет внедрена.

В линуксе проблема для проприетарщиков, что они не знают, какое окружение ожидать и куда «стандартно» устанавливаться. Тут встаёт другой вопрос, может ли проприетарщик тупо выложить у себя на сайте *.flatpack-файл или им надо идти на поклон к редхату в аппстор?

anonymous
()
Ответ на: комментарий от anonymous

Вы боретесь со следствием, а не с причиной. Приложениям в репозитории дистрибутива в принципе нужно доверять, иначе мейнтейнеры не добавили бы его, чай не андроид стор. Проприетарщина не в счет, ее можно загнать в песочницу.

anonymous
()
Ответ на: комментарий от anonymous

Вы боретесь со следствием, а не с причиной. Приложениям в репозитории дистрибутива в принципе нужно доверять, иначе мейнтейнеры не добавили бы его, чай не андроид стор. Проприетарщина не в счет, ее можно загнать в песочницу.

Ты откуда такой чудак?

Приложениям в репозитории дистрибутива в принципе нужно доверять, иначе мейнтейнеры не добавили бы его

Спорно, но в принципе да.

Только мы здесь не о репозитории дистрибутива, а о репозитории флатпаков спорим. И доверия к ним никакого нет.

Проприетарщина не в счет, ее можно загнать в песочницу.

Я второй день тут распинаюсь, что песочница для десктопного софта работает херово.

anonymous
()
Ответ на: комментарий от anonymous

Это от недостатка знаний или от лени. Проще вырубить selinux, чем ковыряться в его настройках. Вот почему для юзеров лучше делать удобочитаемые гуи (типа: разрешить то-то и то-то, запретить то-то и то-то).

vold ★★★★★
()
Ответ на: комментарий от anonymous

Вроде как флатпаки ставятся отовсюду. В федоре он просто подхватывается Software-центром и устанавливается как приложение (впрочем, как и сторонний rpm-пакет). Как раз смысл флатпака — ставиться в контейнер отовсюду. Контейнер по идее должен обеспечивать оптимальный уровень изоляции приложения. Отсюда и проблема, чтобы не было как в винде — поставил прогу и она лезет куда хочет.

vold ★★★★★
()
Ответ на: комментарий от vold

Как ты себе это представляешь?

Типа окно
=========

Разрешить запустить приложению Фонарик команду:
xdg-open https://example.org/ZnVybnJ4ZWJyYmxhYmpqeGJrbXBkYXppdGVpaW5nbGdsYWNzemlhbG11Y3hia2twbndub2N4anJ2
Y3V0YnFrdGd4cmNnd3ZmamVrcGNxYXdtcWxyeWd3eWtmZnhodXZnbmxiY2FsdXRscXFtd3Ntandu
bGhnamptamdqd3NidHlqd2N5cXNjYXFwemZvamxpcXJzbGpmcm5mcmdodWFpd2FteWF2dnFvYm1t
emR3d3dpZ3VsYWZubG9oYW14eGFkeGx5bGxmZ28g0J/RgNC40LLQtdGCLCBWb2xkISDQotGD0YIg
0LzQvtCz0LvQuCDQsdGLINCx0YvRgtGMINCy0LDRiNC4INCz0L7Qu9GL0LUg0YTQvtGC0LrQuCEK

|----|   |-----|   |----------|
| Да |   | Нет |   | Наверное |
|----|   |-----|   |----------|

И так на каждый чих?

anonymous
()
Ответ на: комментарий от eR

Расскажите про историю успеха Федора+Оптимус? А то из последних примеров помню как с лёгкой руки актуальный драйвер nvidia влепили, в котором вдруг половина карт устаревших стала, здравствуй черный экран - откаты, закаты )

HarDX ★★
()
Ответ на: комментарий от anonymous

Как ты себе это представляешь?

Реализовать можно по-разному. Например, так: сделай 2 режима Passive (по умолчанию), в котором всё будет работать как прежде (все проги могут читать и писать из/в /home/user) и режим Active, в котором приложения будут получать доступ в соответствие с разрешениями.

В режиме Active для данного класса программ (например, браузеров) будут заранее определены права доступа к папкам, а разрешение на доступ к новым папкам будет запрашиваться у пользователя. Примерно также может быть реализовано взаимодействие программ, если какая-либо прога хочет открыть url в браузере. Для программ также заранее определены разрешения. Например, агрегатор новостей liferea может открывать ссылки в браузере. А если твоя самописная прога полезет в браузер, тогда дай ей разрешение.

vold ★★★★★
()
Последнее исправление: vold (всего исправлений: 1)
Ответ на: комментарий от anonymous

о репозитории флатпаков спорим. И доверия к ним никакого нет

Значит флатпаки не нужны, обойдемся без них.

anonymous
()
Ответ на: комментарий от vold
Типа окно
=========

Хозяина, сматри у меня обновления новые!

Разрешить запустить приложению Фонарик команду:
xdg-open https://example.org/ZnVybnJ4ZWJyYmxhYmpqeGJrbXBkYXppdGVpaW5nbGdsYWNzemlhbG11Y3hia2twbndub2N4anJ2
Y3V0YnFrdGd4cmNnd3ZmamVrcGNxYXdtcWxyeWd3eWtmZnhodXZnbmxiY2FsdXRscXFtd3Ntandu
bGhnamptamdqd3NidHlqd2N5cXNjYXFwemZvamxpcXJzbGpmcm5mcmdodWFpd2FteWF2dnFvYm1t
emR3d3dpZ3VsYWZubG9oYW14eGFkeGx5bGxmZ28g0J/RgNC40LLQtdGCLCBWb2xkISDQotGD0YIg
0LzQvtCz0LvQuCDQsdGLINCx0YvRgtGMINCy0LDRiNC4INCz0L7Qu9GL0LUg0YTQvtGC0LrQuCEK

|----|   |-----|   |----------|
| Да |   | Нет |   | Наверное |
|----|   |-----|   |----------|

Твои действия? И как ты думаешь, какая будет статистика по нажатию кнопок?

anonymous
()
Ответ на: комментарий от anonymous

Твои действия? И как ты думаешь, какая будет статистика по нажатию кнопок?

Сделать по умолчанию режим Passive и не мучить большинство юзеров запросами и кнопками.

А для избранных сделать режим Active, в котором права доступа программ настраиваются.

В итоге ты выберешь режим Passive, а я — режим Active. На домашнем десктопе я запускаю от силы десяток программ. Для каждой из них я подкорректирую стандартные правила под мои нужды. В результате безопасность моей системы взлетит на порядок, а настройка займёт не более 10 минут.

;) и все будут довольны. И ты, и я.

vold ★★★★★
()
Ответ на: комментарий от HarDX

Оптимус

я ж в игры играю - у меня амд.

eR ★★★★★
()
Ответ на: комментарий от vold

Сделать по умолчанию

Нет-нет, я спрашиваю именно про тебя, когда ты настроил активный режим. Просит у тебя какая-нибудь программа запустить свою страничку в браузере. Причина любая: посмотреть обновления, открыть документацию. Разрешишь?

anonymous
()
Ответ на: комментарий от mogwai

Вообще - анон прав. Нагромождение вот таких причуд, да и сам по себе флатпак - конкретная помойка и куча костылей. Которая нахер никому вменяемому не упёрлась. Особенно про изоляцию приложений ты мне доставил. Самые проблемные вещи - покрываются Selinux, остальное - ну бред же сивой кобылы. Особенно про 10 минут настройки. Можно не обязательно SELinux использовать, можно AppArmor настроить. А, ты думаешь, в Андрюше система прав идеальная? Да там тоже костыль на костыле, потому как доверия софту никакому сейчас нет. Особенно из FlatPak. Если софту в дистре как-то можно доверять, мейнтейнеры, коммьюнити, то-сё... А во флатпаке - извини, доверять нельзя впринципе. Да и вообще помойка конкретная. Я вижу два подхода: сборка из сорцев системы - но тут не каждая железка (про юзверя молчу) потянет. Либо то же самое, что раньше было. Как-то же жили? Адекватные люди будут бойкотировать флатпак пока это возможно.

Deleted
()
Ответ на: комментарий от Deleted

Вообще - что фатпак, что аппимадж нужны только на случай, если тебе надо софтинку, которой нет в репе, и чтоб можно было её потыкать, отдельно обернув в песочницу. Т.е. чтобы можно было потыкать не парясь о зависимостях, версиях либ и сборке. Остальное - не тот случай.

Deleted
()
Ответ на: комментарий от Deleted

Вообще - что фатпак, что аппимадж нужны только на случай, если тебе надо софтинку, которой нет в репе

А вот у этого человека дохрена пакетов в репе (в его дистрибутиве самый большой репозитарий), но он почему-то не счастлив:

https://www.opennet.ru/openforum/vsluhforumID3/117223.html#72

vold ★★★★★
()
Последнее исправление: vold (всего исправлений: 1)
Ответ на: комментарий от vold

Как бы этот человек использует дистр не по назначению. И вообще, много чего он не понимает. Ну пусть ставит флатпак, если его волнуют только циферки в версии. Или если хочет сделать доброе дело - пусть сам сопровождает пакет (Дебиан делает это для него бесплатно, может и жопу оторвать от стула). И много чего еще может сделать, вплоть до смены дистра. Ну нравится ему жрать говно, это его личные проблемы.

Deleted
()
Ответ на: комментарий от Deleted

Бред. Он все верно описал.

Как бы этот человек использует дистр не по назначению.

Какое такое назначение?

Посмотри на Eclipse. Одна и та же версия представлена в Jessie и Stretch. Пять лет без обновления и все из-за того, что автор не успел к выходу Stretch подготовить обновления пакетов, от которых зависит Eclipse. Debian style - это когда одиночную программу разбивают за 100500 пакетов и впоследствии не понимают как это обновлять. Они так и не осилили опакетить Eclipse и удалили его из Buster.

Такая же история и с другим софтом. За примерами идём на Reddit и им подобные сайты.

Особенно меня поражает «стабильность» основных компонентов Debian. Так в установщик около 10 лет не могут добавить поддержку двоичных префиксов в раздел «разметка дискового пространства». Десятичные ушли в историю, но Debian он и в Африке Debian.

anonymous
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.