LINUX.ORG.RU

Вышла версия 2012.1 live-дистрибутива Liberté Linux

 , , ,


2

2

11-го мая обновился Liberté Linux — легковесный (≈210 MiB), устанавливаемый в виде директории live-дистрибутив для анонимных пользователей, основанный на Hardened Gentoo.

В версии 2012.1 значительно улучшена поддержка периферийных устройств и добавлена экспериментальная возможность загрузки на платформах (U)EFI. Кроме того:

  • По пожеланиям трудящихся анонимное общение (cables communication) теперь обладает свойствами perfect forward secrecy и repudiability (аналогично OTR).
  • Большая часть файловой системы доступна только в режиме чтения.
  • Образ SquashFS файловой системы верифицируется при загрузке.
  • Добавлен образ .ova (Open Virtualization) для импорта в качестве виртуальной машины.
  • Значительно улучшена поддержка сред виртуализации. Так, в VirtualBox поддерживаются буфер обмена, интеграция указателя мыши, изменение размера экрана и общие папки.
  • Браузер Midori заменен на Epiphany.

Начиная с этой версии, обновления ориентировочно будут публиковаться ежемесячно.

>>> Подробности



Проверено: tazhate ()
Последнее исправление: thelonelyisland (всего исправлений: 5)
Ответ на: комментарий от Andrew

доживу до того дня, когда работать в (U)EFI-режиме из линуксов без танцов с бубном, будет не только Ubuntu.

О_О а что, абанта нормально грузится с УЕФИ?

Kompilainenn ★★★★★
()
Ответ на: комментарий от Kompilainenn

да, и с флешки и с сидюка, устанавливая и прописывая grub-efi во время установки в менеджер загрузок UEFI.

Andrew ★★★
()
Ответ на: комментарий от Kompilainenn

дебиан и генту грузится отлично с uefi. единственный геморой - нвидиа драйвер не запустится. уже 1.5 года обещают сделать - не делают

punya ★★
()
Ответ на: комментарий от Andrew

фигню несешь. я запускал debian squeeze с grub2 uefi. я уверен что все дистрибутивы запустяться без проблем если в ядре включена поддержка

punya ★★
()
Ответ на: комментарий от Andrew

А ставить вручную UEFI-загрузчик это отдельная история. Чтобы поставить его нужно уже иметь систему загруженную в UEFI-режиме и тогда ставить grub-efi и регестрировать его через efibootmgr, а как зарегестрировать efi-загрузчик из системы поставленной в bios-режиме? Никак. По крайней мере я не знаю как.

Andrew ★★★
()
Ответ на: комментарий от Andrew

А ставить вручную UEFI-загрузчик это отдельная история.

Если я правильно понял спецификацию (UEFI Spec 2.3.1 Err. A, §12.3.1.3, §3.4.1.1), то использования путей /EFI/BOOT/BOOT{IA32,x64}.EFI для отсоединяемых накопителей должно быть достаточно (опять же, теоретически). Для CD все еще прозрачнее: там эти файлы должны находиться на специальном разделе El-Torito. Вы могли бы протестировать, грузится ли у Вас Liberté?

liberte
() автор топика
Ответ на: комментарий от Andrew

все не так сложно. зырь статью: https://help.ubuntu.com/community/UEFIBooting фишка в том что если ты сидишь под биосом и установил пакет grub2 то в нем включен только режим bios. поэтому нужно собрать по этому мануалу grub2 с поддержкой efi-x86_64, создать раздел efi типа ef00 (не важно mbr или gpt) и установить туда grub2 с помощью автоматизированного скрипта grub-install. а дальше хозяин - барин. просто добавь по вкусу в /boot/efi/efi/grub.cfg параметры запуска системы или же воспользуйся скриптом grub-mkconfig

punya ★★
()
Ответ на: комментарий от Kompilainenn

у UEFI свой менеджер загрузок, ему надо через линуксовый efibootmgr сообщить где находится EFI-загрузчик, как обозвать его... и другие параметры

Andrew ★★★
()
Ответ на: комментарий от punya

нужно собрать по этому мануалу grub2 с поддержкой efi-x86_64

Вот скрипт, использующийся в Liberté для запиливания только необходимых модулей в memdisk — возможно, кому-то будет полезен. В Liberté используется GRUB 1.99, но скрипт должен корректно работать и с GRUB 2.00_beta (который использует другие пути — по крайней мере, в Gentoo).

liberte
() автор топика
Ответ на: комментарий от ktulhu666

Он с мака грузит?

Понятия не имею. Я уже написал: пока вменяемых отзывов про работоспособность (U)EFI не было.

liberte
() автор топика
Ответ на: комментарий от Kompilainenn

Вот если скачать образину где есть слово mac в имени файла, а потом проверить на наличие каталога efi - то вы таки не поверите... :-D

dv76 ★★★★
()
Ответ на: комментарий от punya

нвидиа драйвер не запустится.

А я-то дурак, уже 2 года как в Демьяне под UEFI и на GF9600GT с нвидиевым драйвером живу, а он оказывается не запускается, вона оно как... Nouveau в блоклисте? В /etc/default/grub строка GRUB_CMDLINE_LINUX_DEFAULT=nouveau.modeset=0 в наличии?

dv76 ★★★★
()
Ответ на: комментарий от punya

вместо того чтобы плодить ненужные скрипты дополните пожалуйста вики-статью

Я свое дело сделал — в рассылке gentoo-dev посоветовал сфокусироваться на (U)EFI при обсуждении создания руководства к GRUB2 в вики и его последующего размаскирования в portage. Без соответствующего железа, в вики я буду только мешать.

liberte
() автор топика
Ответ на: комментарий от Andrew

Да, привинчивание UEFI-загрузки к Дебиану - отдельная история, но вполне выполнимая (хотя я таки переполз на Aptosid). Чтоб не оффтопить и если у вас есть на то желание - стучите в аську (53семьчетыре82шестьдесят).

dv76 ★★★★
()
Ответ на: комментарий от punya

пфф... неужели дебиану и другим дистрам религия не позволяет сделать по человечески как в убунте - просто записать образ на диск или распаковать содержимое образа на флеху, загрузиться с носителя с пометкой UEFI и просто установить? Нет же, надо пересобирать grub2, вручную ставить, и то не факт что поставится. Недавно пробовал поставить арч и подружить его с UEFI, выбрал арчбут, загрузился в UEFI Mode, поставил без загрузчика, потом с лайва примонтировал и за биндил нужное, сделал чрут в установленную систему, поставил grub2-efi-x86_64 на EFI-Partition, казалось бы что уефи еще надо, ведь файлы .efi в EFI-partition появились с названием Arch? незнаю, но арч так и не появился в менеджере загрузок UEFI. Плюнул я на все это дело и поставил без плясок с бубном убунту. Что мешает другим дистрам сделать UEFI-загрузчик аналогично убунте и чтобы он ставился, когда производится установка с носителя загруженного в UEFI-Mode?

Andrew ★★★
()
Ответ на: комментарий от Andrew

потомучто grub2 очень свежая весщ. кто первый сделал hybrid iso того и тапки. то что вы установили систему с такого iso заслуга вот этих пацанов а не убунтоводов передвигающих кнопки: http://lists.debian.org/debian-cd/2012/02/msg00005.html

punya ★★
()
Ответ на: комментарий от Andrew

ничего что разработчики нвидиа сказали что их блоб не работает под uefi а вы д'артаньян значит ладно. скиньте пожалуйста dmesg и Xorg.0.log

punya ★★
()
Ответ на: комментарий от punya

потомучто grub2 очень свежая весщ


значит разрабы убунты эту вешь осилили, а другие нет?

кто первый сделал hybrid iso того и тапки.


они запантентовали эту фичу в линуксе чтоли? А как же Aptosid? они нарушают патент?

то что вы установили систему с такого iso заслуга вот этих пацанов а не убунтоводов


так что мешает этим пацанам запилить EFI-загрузчик в дебиане?

Andrew ★★★
()
Ответ на: комментарий от Andrew

так что мешает этим пацанам запилить EFI-загрузчик в дебиане

внимательно читаем ссылку которую я кинул

UEFI booting requires a GPT and a special partition, which would probably be impossible to implement along with the MBR hack for hybrid booting

чего удивляться-то. убунта это анстейбл дебиан же. она для того и придумана. через годик эти поцики сделают uefi и для стейбла

punya ★★
()
Ответ на: комментарий от punya

чего удивляться-то. убунта это анстейбл дебиан же. она для того и придумана. через годик эти поцики сделают uefi и для стейбла



ну-ну, подождем.

Andrew ★★★
()
Ответ на: комментарий от punya

UEFI booting requires a GPT and a special partition, which would probably be impossible to implement along with the MBR hack for hybrid booting

Это не совсем так:

UEFI Spec 2.3.1 Err. A, §12.3.3

UEFI implementations may allow the use of conforming FAT partitions which do not use the ESP GUID.

ibid., §12.3.1

The EFI firmware contains knowledge about the partition structure of various devices, and can understand legacy MBR, GPT, and “El Torito.”

ibid., §12.3.2

This specification requires the firmware to be able to parse the legacy master boot record (MBR) (see Section 5.2.1), GUID Partition Table (GPT) (see Section 5.3.2), and El Torito (see Section 12.3.2.1) logical device volumes.

Алсо, буду признателен холиварщикам, если протестируют (U)EFI в Liberté — я недели две корпел над реализацией.

liberte
() автор топика
Ответ на: комментарий от liberte

Загрузка с сидюка в UEFI Mode прошла успешно.

P.S у Liberte только i686-сборка (ее и пробовал) или есть еще amd64?

Andrew ★★★
()
Ответ на: комментарий от Andrew

Загрузка с сидюка в UEFI Mode прошла успешна.

Отлично, спасибо, а с USB не пробовали? Насколько я понимаю, достаточно просто распаковать .zip в корень флешки. Вывод в консоли при загрузке видно? Какой драйвер грузится в Xorg? Какая модель компьютера (чтобы я знал, что на ней работает)?

у Liberte только i686-сборка (ее и пробовал) или есть еще amd64?

На данный момент только i686, но при выключении / перезагрузке / внезапном выдергивании флешки грузится KEXEC-ядро (для очистки памяти) amd64 при возможности. Причем, насколько я понимаю, к IA32/x64 в EFI битность OS не имеет отношения?

liberte
() автор топика
Ответ на: комментарий от Andrew

у вас тот же варнинг что и у всех но при этом после него не отваливается нвидиа модуль как у меня «NVRM: RmInitAdapter failed! (0x27:0x38:1190)» но у меня 560 ti. хмм. ну значит на некоторых видюхах он палит а на некоторых нет =(

punya ★★
()
Ответ на: комментарий от liberte

Отлично, спасибо, а с USB не пробовали?


Пожалуйста, с USB завтра попробую.

Насколько я понимаю, достаточно просто распаковать .zip в корень флешки.



Да, причем если записать с помощью dd или unetbootin дистр не загрузиться с флешки в UEFI-режиме, а если просто архиватором распаковать то дистр грузиться в UEFI-режиме, но с обычным биосом, такая загрузочная флешка не работает.

Вывод в консоли при загрузке видно?



Да.

Какой драйвер грузится в Xorg?



Не посмотрел.

Какая модель компьютера (чтобы я знал, что на ней работает)


Компьютер самосборный:
Материнская плата: ASUS P8H67-M
BIOS/UEFI: 3604 (EFI v2.31 by American Megatrends)
Процессор: Intel Core i7 2600K
Видеокарта: NVIDIA GeForce GTX 470 1280MB
RAM: 4096MB
Также, есть ноутбук с UEFI, на нем тоже попробую.

Причем, насколько я понимаю, к IA32/x64 в EFI битность OS не имеет отношения?


вот, например на моем ноуте с UEFI Archboot с ядром i686 нормально стартует в UEFI-режиме, а archboot с ядром amd64 в UEFI-режиме на этом же ноуте не грузиться - только черный экран, такая же история с убунтой 64 бит - только черный экран на ноуте. Archboot нормально стартует на компе и с i686-ядром и с amd64-ядром. И убунту 64-бит тоже на компе нормально стартует.

Andrew ★★★
()
Ответ на: комментарий от Andrew

насколько я знаю этот баг был исправлен начинаю с версии 0901. линупс здесь не при чем 100%

punya ★★
()
Ответ на: комментарий от liberte

На ноуте тоже отлично загрузилось:
Ноутбук ASUS K53SV:
Процессор: Intel Core i7 2670QM
BIOS: 320
Видеокарта(ы): Intel HD Graphics 3000/NVIDIA GeForce GT 540M
Память: 6гб DDR3-1333

Andrew ★★★
()
Ответ на: комментарий от liberte

ан нет, в ноуте на линуксе проблемы с процом, lscpu кажет 1 ядро и два потока на ядро, хотя должно быть 4 ядра и два потока на каждое ядро. Это проблема во всех линуксах загруженных на моем ноуте в UEFI-режиме.

Andrew ★★★
()
Ответ на: комментарий от Andrew

lscpu кажет 2 ядра и один поток на каждое ядро

//fix

Andrew ★★★
()
Ответ на: комментарий от liberte

Я смогу с помощью этого дистрибутива выложить ролик очень неугодного характера для властей в сеть и быть уверенным, что мне ничего не будет?

merheaste
()
Ответ на: комментарий от merheaste

Скорее всего да, если Вас нельзя будет ассоциировать с Вашими действиями под обычными аккаунтами в сети. На данный момент не известно ни одного случая раскрытия личности из-за уязвимостей в сети Tor.

liberte
() автор топика
Ответ на: комментарий от Andrew

да. вы правы. у вас работает отлично без костылей

и мне повезло! пришел домой загуглил эту проблему в 9000-ый раз и наконецто НАШЕЛ костыль при котором работает нвидиа драйвер у меня на asus 990fx sabertooth & 560 ti.

iommu 64M в биос включить, поддержку iommu в ядре включить, параметры к ядру добавить:

vmalloc=256M iommu=pt
щас только напишу письмецо на багтрекер дебиана и генты и щасливо оставаться. я отбываю в сайлент хилл ^____^

ЗЫ видел что очень много людей имеют точно такую же проблему => прочитал & запости друзьям пожалуйста

punya ★★
()
Ответ на: комментарий от liberte

(U)EFI...бла-бла-бла... Без соответствующего железа, в вики я буду только мешать.

Что Вам мешает virtualbox поставить и EFI в настройках выбрать?

ktulhu666 ☆☆☆
()
Ответ на: комментарий от liberte

Не поймите меня неправильно, но Вы недостаточно теоретически подкованы. Либо я не правильно понимаю цель проекта. Я думаю, что Вам стоит прочесть статьи про

анонимизацию (в частности про работу JS, XXS, HTML5, CSS (последний, например, может отослать разрешение экрана, etag, DOM-storage, а также понять необходимость вообще защиты от запросов информации с внешний доменов страницы (даже лор лезет на googleapis, который всё про всех пишет)) и

безопасность системы (в частности PAX и hardened toolchain (ASLR, PIE, SSP + kernel heap protection, Kernel address randomization и другие технологии. Почему, например, программное управление доступа к страницам через PaX лучше NX-бита (подсказка: связано с буферами) ? Большую часть перделок по защите ядра от проблем переполнений и затирке памяти Вы найдёте в подпункте PaX пункта Security при настройке Hardened Kernel. Посмотрите также про контексты SELinux и про Linux IMA (использует TPM для подписи).

А также про защиту каналов. Особенно это касается снифферов от ФСБ и прочих гэбней у провайдеров, в датацентрах. Я уже молчу про снифферы на выходных точках TOR'а, и ssl-proxy на 1/4 из них.

Честно говоря для этого всего (особенно для новых фитч SELinux'а и PaX'а) сейчас вообще нет вменяемой документации, не говоря уже про туториалы для обычных админов-гентушников, а не для спецов по ИБ. Максимум, чтоб с текущей документацией обычный админ способен сделать - пересобрать систему с PIE и SSP, включить пару опций PaX'а.

Если Вы хотите заниматься реальной безопасностью, а не решать технически проблемы тех, у кого что-то там не завелось из-за кривого биоса, контроллера, рук и т.п., то изучите темы описанные выше. Дальше Вы уже сами решите, что делать, поняв, что Liberte к безопасности и анонимизации особого отношения не имеет (кроме защиты от простого переполнения, разве что). Сообществу Hardened Gentoo, PaX, SELinux сейчас, как никогда нужны альтруисты.

А лично меня больше всего интересует тема Linux IMA (от IBM, позволяет через чип TPM на матери (но, как я понял, часть функций может и эмулироваться) подписывать настройки биоса, ведро, загрузчик, бинарники, конфиги и файлы, не давая тем, у кого подпись не совпала (или у которых нет её, если так настроенно) использоваться), а также вопрос реальной анонимизации и защиты информации при условии наличия на выходной точке сниффера и использования http.

Выложите свой jabber/скайп/мыло/прочее, если Вам что-то из вышесказанного интересно. Могу предоставить (в следующем месяце) виртуалки под это дело, а также систему с TPM (могу даже физически её передать, если Вы в пределах кольца находитесь).

ktulhu666 ☆☆☆
()
Ответ на: комментарий от ktulhu666

Если Вы хотите заниматься реальной безопасностью, а не решать технически проблемы тех, у кого что-то там не завелось из-за кривого биоса, контроллера, рук и т.п., то изучите темы описанные выше.

Почему Вы решили, что я их не изучил? Вы сайт проекта вообще читали? Код, конфигурацию ядра смотрели? Не проецируйте на меня и проект представления, сложившиеся исключительно у Вас в голове безотносительно фактов.

Выложите свой jabber/скайп/мыло/прочее, если Вам что-то из вышесказанного интересно.

Общаться с энтузиастами без образования и реальных знаний мне неинтересно, без обид. В лучшем случае Вы разбираетесь в конфигурации Firefox для большей анонимности, но к Liberté это в данный момент имеет мало отношения, т.к. Firefox не используется. Для консультаций со специалистами у меня есть соответствующие налаженные контакты, подписки на рассылки, и т.д.

liberte
() автор топика
Ответ на: комментарий от liberte

Скажи, ты по каким соображениям подбирал софт? Логики не видно. Для каких задач твой дистр? Про FF ты уже ответил, поэтому можно считать, что он не для работы в вебе, тогда для чего?

anonymous
()
Ответ на: комментарий от hobbit

http://www.nvnews.net/vbulletin/showthread.php?t=179755

Please see http://www.nvnews.net/vbulletin/showthread.php?t=174006. The NVIDIA Linux graphics driver does not currently support native UEFI configurations.

официально - не поддерживает uefi. костыль vmalloc=256M iommu=pt это я туда уже успел запостить. выше чел отписался что у него и без костылей работает. у меня только с таким костылем работает. у кого-то может вообще никак не запускаться

punya ★★
()
Ответ на: комментарий от punya

выше чел отписался что у него и без костылей работает.

У Andrew в выводе dmesg все равно OOPS, как и по ссылке.

костыль vmalloc=256M iommu=pt это я туда уже успел запостить.

Эти параметры нужны только для проприетарного модуля? В syslinux.cfg и в grub.cfg поддерживается небольшой набор параметров, полезных при отладке проблем с загрузкой — возможно, стоит туда добавить iommu=pt.

liberte
() автор топика
Ответ на: комментарий от liberte

dmesg все равно OOPS

это небольшой варнинг с памятью возникает при использовании этого глюченного модуля. с ним можно жить. основная ошибка «RmInit failed». если ее нет - все пучком

да. параметры только для этого глюченного модуля. оба параметра vmalloc=256M и iommu=pt - костыли. методом научного тыка в grub.cfg оказалось что костыль + костыль = модуль заработал. их надо жэсточайшэ избегать если можно

punya ★★
()
Ответ на: комментарий от punya

это небольшой варнинг с памятью возникает при использовании этого глюченного модуля. с ним можно жить


можно поподробнее? этот варнинг как-то влияет на производительность и работу видеокарты? В чем вообще выражается это варнинг?

Andrew ★★★
()
Ответ на: комментарий от Andrew

сама функция прокомментирована как:

Remap an arbitrary physical address space into the kernel virtual address space. Needed when the kernel wants to access high addresses directly.
NOTE! We need to allow non-page-aligned mappings too: we will obviously have to convert them into an offset in a page-aligned mapping, but the caller shouldn't need to know that small detail.

а варнинг вываливается:

// Don't allow anybody to remap normal RAM that we're using..
last_pfn = last_addr >> PAGE_SHIFT;
for (pfn = phys_addr >> PAGE_SHIFT; pfn <= last_pfn; pfn++) {
    int is_ram = page_is_ram(pfn);
        if (is_ram && pfn_valid(pfn) && !PageReserved(pfn_to_page(pfn)))
            return NULL;
        WARN_ON_ONCE(is_ram);
}

исходя из того что ошибка появляется только при загрузке нвидиа модуля: он пытается перетянуть на себя одеяло память. эта проблема засветилась еще в 2010 https://lkml.org/lkml/2010/4/8/331 (у меня видюха тоже от MSI) также по этой теме интересно отписывались в 2008 году http://www.spinics.net/lists/linux-dvb/msg29645.html

не гарантирую что это правильно но я сделал такой вывод: это не может повлиять на производительность. либо модуль выделит себе сколько надо оперативки и стартанет либо отвалится. с опцией vmalloc=256M ядро говорит «че опять пришел стырить 33.5 метра моей оперативы? сегодня хозяин задолбался и выдал мне на 128 метров оперативы больше и мне пох: забирай & шатай». iommu в режиме passthrough опять же предназначен чтобы не конфликтовать с памятью которую занимают такие кривые модули

punya ★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.