- Mini-ITX
- Milyen billentyűzetet vegyek?
- AMD Navi Radeon™ RX 9xxx sorozat
- NVIDIA GeForce RTX 5080 / 5090 (GB203 / 202)
- NTFS, exFAT, FAT32 – Melyiket válaszd és miért?
- AMD K6-III, és minden ami RETRO - Oldschool tuning
- Gaming notebook topik
- Steam Deck
- OLED TV topic
- Multimédiás / PC-s hangfalszettek (2.0, 2.1, 5.1)
Új hozzászólás Aktív témák
-
sh4d0w
félisten
Bizony. A Red Hat megiratta ezzel a felkegyelmuvel azt a rendszert, ami a corporate iranyba viszi a Linuxot, Debianek, meg meg egy valag masik disztribucio meg csak annyit lattal belole, hogy mar nem nekik kell init scripteket irogatniuk es karbantartaniuk, hanem a systemd-vel kapnak egy jo adagnyit. Ami persze igaz, csak egy kalap szar az egesz.
-
sh4d0w
félisten
Pedig lenne ra ok boven, amiert le kellene csukatni - a tobbi vadpontot megtalaljuk azutan is, hogy mar ul.
A systemd egy mindent felzabalo, ostoba operacios rendszer az operacios rendszeren belul. Eloszor egy parhuzamos init rendszernek indult, de mara mar bezabalta a service managementet, az alkalmazas managementet, a userek kezeleset, a rendszer beallitasait, session managementet, device managementet. A KISS filozofiat hirbol sem ismeri es valoszinuleg a problemak nagy resze is ebbol fakad - tul a szerzoje ostobasagan es hozza nem ertesen. A csavo egyebkent a Red Hattol atment a Microsofthoz - ott nem fog kilogni a sorbol.
Miket "tud" a systemd? Nos, tudja azt, ha screenben inditasz el egy tavoli munkamenetet, mert mondjuk egy sokaig futo script es nem akarod, hogy megszakadjon a melo, ha kilepsz, akkor o elozekenyen azt a tavoli munkamenetet is lezarja. "Tudja" azt, ha nem sikerul valamiert a tuzfal szabalyokat ervenyesiteni, akkor is felhuzza a halozatot, de ertesitest legalabb nem kuld arrol, hogy gaz van a tuzfallal, igy az admin hiheti, hogy minden rendben van... amig eszre nem veszi, hogy az ssh portra, vagy a web portra omlenek a requestek. Mi tudja elcseszni a tuzfal konfigot? El tudja kefelni az admin... vagy az, hogy felveszel a rendszerbe CUPS-on keresztul egy nyomtatot... Termeszetesen arra is van lehetoseg, hogy egyszer, s mindenkorra hazavagd az alaplapod, mert az EFI ertekeket nem konstansokba olvassa be a laprol, hanem sima valtozokba, amiket akar veletlenul is felulirhatsz. Allitolag a systemd olyat is tud, hogy barmilyen alkalmazast, scriptet service-kent futtasson, de egeszen biztosan allithatom, hogy ez nem igy van, nagyonsok evvel ezelott volt valami, amit nem tudtam igy megoldani, pedig a systemd nagykonyve szerint csinaltam. Nyilvan azota nem probaltam, mert ha 1-2 alkalommal kell ez a funkcio es ebbol egyszer nem sikerul, akkor nem baszodik vele az ember, keres mas megoldast. Ezenkivul magara teszi az 1-es PID-et, aminek normal esetben a kernelnel kellene lennie, igy ha a systemd ledoglik, akkor ledoglik a teljes rendszered - hipiszupi. A logolas binaris, tehat eleve kell egy futo rendszer, hogy tudd olvasni... A halozati interface-eket eloszeretettel nevezgeti at, allitolag hardvercimeknek megfeleloen, de nem mindig sikerul neki, tehat azt a feladatot, amire ezt az atnevezosdit kitalalta herr pocstering... hat azt mersekelt sikerrel sikerult megoldania. Evtizedes vagy idosebb konvenciokat rugott fel a parancsok hasznalatat tekintve - es meg szerintem napestig lehetne sorolni a hibakat.
A systemd iroja meg egy ostoba, arrogans es agressziv f.sz, aki nem tudta elviselni a kritikakat es minosithetetlen stilusban reagalt a jelzett problemakra, amit vegul odaig sikerult tolnia, hogy Torvalds kozolte vele: vagy fixalja a szarjat, vagy egyetlen commitot sem fogad be tole, amig nincs fix.
Szoval boven van ok utalni a systemd-t.
-
sh4d0w
félisten
"Elnézve az Linux ~4% körüli asztali részesedését, amit 30 (!) év alatt össze tudott hozni... hát annyira nagyon nem rémálom a Windows hozzá képest. Pont ezaz, hogy a Linuxot kellene versenyképessé tenni."
A Linux 4% asztali reszesedese pont jo, nem kell, hogy Windows-za varazsoljak, de egyebkent tenyleg remalom a Windows kezelese. Kattints ide, kattints oda, legelabb ketfele felulet, ahol a beallitasokat tudod maceralni, egyseges hotkey-t felejtsd el. Tele van mindenfele csillogo-villogo kutyuvel, ami elvonjak a figyelmet es nem hagyjak, hogy a dolgodra koncentralj, de legalabb meg mindig eroforras-igenyesebb, mint egy Linux (Ubuntut kiveve). Mindezek tetejebe egy update lassu, mert meg mindig nem sikerult azt felgyorsitani, belepes utan meg mindig sok ideig szarozik a rendszer, mielott hasznalhatova valik. A power userek kezebol is kivettek a kulonbozo telepitesi es management eszkozoket es ugy garazdalkodik a Microsoft a gepen, mintha a sajatja lenne - nincs full kontrollod felette.
Meg nagyobb baj, hogy az alkalmazasok egy resze is a magaeva tette ezt a filozofiat, pl. egy Symantec Endpoint scan-t elinditani parancssorbol olyan korulmenyes, amivel nagyjabol a DOS korszakban talalkoztam utoljara.
-
sh4d0w
félisten
válasz
urandom0
#181
üzenetére
Mondtam mar, hogy kerdezd meg oket. Nemigen ertem egyebkent ezt a fajta bizalmatlansagot a Debian fele, mikor vakon bizol a Flathubban, pedig ott nincs biztonsagi ellenorzes, raadasul a Debian repository-k 1st party, a Flathub meg akarmilyen disztribucion 3rd party - teljesen mellekes, hogy Te mit gondolsz rola. Code review eseten egyebkent sokat lehet optimalizalni a folyamaton, plane, hogy a csomagok egy resze alig 1-2 KB terjedelmu, egy bevizsgalt csomag eseten meg utana eleg a diff-eket megnezni.
-
sh4d0w
félisten
válasz
urandom0
#151
üzenetére
Aligha hiszem, hogy van okod ilyesmit kijelenteni. A megbizhatosag magaban foglalja a biztonsagot is es nem veletlenul letezik a Debian Security Team. Termeszetesen soha senki nem jelentette ki - ebben a topicban sem -, hogy nincs es nem lesz a Debianban sebezhetoseg, mindazonaltal szeretnek ramutatni, mekkora ostobasag volt a linked: 2023. junius 10-en jelent meg a jelenlegi stable es belinkeltel tobbnyire 2024-es CVE-ket. Kabe nagyjabol 1-2 lehet ezekbol a CVE-kbol olyan, ami a kiadas idejen tenylegesen detektalhato lett volna. Mindezeken tul az sem mindegy, hogy egy sebezhetoseg CVSS score-ja mondjuk 4.0 alatt van, vagy sem. Nagyon sok helyen a medium besorolast kapott serulekenysegek nem showstopperek, hanem a javitas megerkezeseig mitigalandok vagy security sign-off-ot igenylok.
Nemcsak a csomagok/modulok, hanem a teljes szoftverek biztonsagat sem lehet garantalni, de vannak olyan eszkozok, amelyek meg forraskod formaban kepesek ramutatni vagy a programozasbol szarmazo kozvetlen biztonsagi hibakra (pl. c kodban hianyzik a user controlled valtozo hosszanak ellenorzese), vagy a mar bejegyzett serulekenyseggel hasznalt komponensekre - mindezt automatikusan a CI/CD pipeline-ban, human beavatkozas nelkul. Nem kerek arra valo hivatkozast, hogy a Linuxra fejleszto hobbiprogramozoknak nem telik CI/CD pipeline-ra, vagy Sonarqube-ra, mert mindegyik kivitelezheto ingyen, vagy tenyleg gombokert, masreszt egy reszuk biztosan nem hobbiprogramozo, hanem professzionalis, aki a munkahelyen csinalja az uzleti szoftver, a szabad idejeben meg Linuxra ir valamit.
Megkerdeztem tobb, egymastol fuggetlen AI-t is, milyen biztonsagi ellenorzeseket vegeznek a Debian Projectben: code review, dependency CVE check, vulnerability scanning - a teljesseg igenye nelkul.
"Milyen egy biztonsági ellenőrzés egyébként?
Hát ez az, pont erre várom én is a választ tőletek
"Nem, nem ezt kerdezted, hanem azt, hogy Debianek milyen ellenorzeseket vegeznek - nem biztos, hogy egy altalanos ellenorzes es a DB altal elvegzettek teljesen fedik egymast.
Az altalad leirtak alapjan en nem latom biztositottnak, hogy a Flathub megbizhato csomagokat kinal es tovabbra is fenntartom azt a velemenyemet, hogy nagyjabol az utolso megoldas legyen barmelyik 3rd party csomagforras hasznalata, beleertve a PPA-kat is.
Ettol fuggetlenul felolem mindenki azt hasznal, amit akar es meg csak karorvendeni sem fogok, ha valaki emiatt bekap valami tamadast, azt viszont nagyon is szeretnem elerni, hogy aki ebbe a topicba teved, vagy mar itt van, tisztan lassa a veszelyeket, a mukodesi mechanizmusokat, veszelyeket.
-
sh4d0w
félisten
válasz
urandom0
#146
üzenetére
Pont nem, pl. Debian alatt. Stable-be csak biztonsági oldalról is megvizsgált csomagok kerülhetnek be. Ez persze nem jelenti azt, hogy időnként nem csúszik át ez-az, de az esélye sokkal kisebb, mint más esetekben, ahol egyáltalán nincs vizsgálat.
Kiváló példa az xz backdoor.
-
sh4d0w
félisten
Az sem világos, miért kell olyanokat becsomagolni bármibe, ami webapp? Discord, Teams, Zoom, Slack stb. mind webapp, böngészőből használható. Csomagolva kapsz egy electronjs alkalmazást, ami pont ugyanazt a felületet jeleníti meg, amit a böngészőben is látna a user.
-
sh4d0w
félisten
"A legtöbb flatpak csomag közvetlenül a Github repóból készül a Flathub infráján, teljesen nyitott manifest fájllal. Az ilyenek visszaellenőrizhetők."
Nem az a lenyeg, hogy visszaellenorizheto-e, hanem hogy megteszi-e valaki, mielott a userhez eljut a file es nem, nem teszi meg senki.
"Ez kb. ugyanaz a szituáció, mint ha fognál valakit, leültetnéd a géped elé, adnál neki root jogokat és kijelentenéd, hogy a Linux nem biztonságos, mert bárki feltörheti.
Ha valaki random dolgokat tölt le a netről, és vakon ad nekik futtatási jogosultságokat, és le is futtatja őket, akkor ne csodálkozzon, ha lyukas a rendszere, mint az ementáli."Ezzel most nem mondasz ellen, hanem pont egyetertesz velem a sandbox semmilyenseget illetoen.
"Igen, azt a pillanatot várom én is, amikor az átlagos Linux felhasználó SELinux policyket fog írkálni."
Javasolnam, hogy ne menjunk egy bizonyos szint ala.
/.local es tarsai: iden aprilisi a bejegyzes a Fedora project foruman.
Meg egy szo a Flatsealrol, mert korabban nem olvastam azt az oldalt. Ez a masik olyan alkalmazas, ami ebben az egesz okoszisztemaban iszonyu veszelyes - ha valami, hat ez a root jelszo a sima usernek, mert nem csak a jogosultsagok szukebbre vonasara alkalmas, hanem azok kitejesztesere is.
Mindezek melle koszonom, hogy jobban kitertel a security-re is, meg ha az by design nem is jo.
-
sh4d0w
félisten
Meg mindig nem erted. A fejleszto sajat maga rakja bele az arto kodot a fejlesztesebe, miutan az installbase eleg nagy lett. Itt aztan alairhatsz barmit.
Biztonsag szempontbol egy olyan platform, ami egy egyszeru dotfile-lal torheto, az minden, csak nem biztonsagos, ennel meg a normal csomagokra vonatkozo ACL-ek (SELinux, AppArmor) es filesystem jogosultsagok is nagyobb vedelmet nyujtanak.
De az utolso mondattal legalabb egyet lehet erteni.
-
sh4d0w
félisten
Speciel Debian eseten van biztonsagi ellenorzes a csomagokra, mielott a stable-be kerul. Az olyan slendrian disztribuciok, mint az Ubuntu, persze futyulnek erre, tobbek kozott ezert kaptak be az xz-alapu ssh backdoort.
A verified flatpak az egvilagon semmilyen biztonsagot nem ad, mert artalmas kod kesobb is belekerulhet az appba, hiaba egy a fejleszto es a koder. Megint visszautalok az xz-re, ahol egy uj fejleszto vette at a csomag karbantartasat, majd idovel becsempeszte a backdoort.
A usernek pedig nem olyan szoftvert kell adni, amirol reklamozzuk, hogy secure es kozben egy mozdulattal megsemmisitheto a vedelmi vonala, hanem olyat, ami tenylegesen biztonsagos.
-
sh4d0w
félisten
Koszi az irast, szep munka, hogy utana mentel - azt viszont sajnalom, hogy a biztonsagrol szolo resz csak egy ocska marketing duma, semmi tobb.
Eloszor is, a flatpak nem fog frissulni, tehat biztonsagi hiba eseten meg kell varni, mig a csomag karbantartoja elkesziti a friss flatpeket - ha egyaltan megtortenik. Masodszor, a flatpak annyira biztonsagos, amennyire azza tette a fejleszto. Harmadszor, a sandbox sem ugy igaz, ahogy azt az egyszeru halando kepzeli, mert a flatpak meg mindig nem szabalyozza az appok jogosultsagait, hanem az appokra hagyja, hogy elkeszitsek a sajat policy-juket. Ha egy flatpak alkalmazas filesystem=host vagy filesystem=home jogosultsagokkal van konfiguralva, akkor meg ebbol a gyengen vedett sandboxbol is eleg egyszeruen ki lehet torni.
"
Új hozzászólás Aktív témák
Hirdetés
- BESZÁMÍTÁS! Apple MacBook Pro 14 M2 Pro - M2 Pro 16GB 512GB SSD garanciával hibátlan működéssel
- Honor 400 Lite 256GB Kártyafüggetlen 1Év Garanciával
- ÁRGARANCIA! Épített KomPhone Ryzen 5 7600X 32/64GB RTX 5070 12GB GAMER PC termékbeszámítással
- LG 65C2 - 65" OLED evo - 4K 120Hz 1ms - NVIDIA G-Sync - FreeSync Premium - HDMI 2.1 - PS5 és Xbox!
- AKCIÓ! AMD Ryzen 9 7950X 16 mag 32 szál processzor garanciával hibátlan működéssel
Állásajánlatok
Cég: Promenade Publishing House Kft.
Város: Budapest
Cég: PCMENTOR SZERVIZ KFT.
Város: Budapest