https://opennet.ru/openforum/vsluhforumID3/122256.html Представлен выпуск дистрибутива NixOS 20.09, основанного на пакетном менеджере Nix и предоставляющего ряд собственных разработок, упрощающих настройку и сопровождение системы. Например, в NixOS используется единый файл системной конфигурации (configuration.nix), предоставляется возможность быстрого отката обновлений, присутствует поддержка переключения между различными состояниями системы, поддерживается установка индивидуальных пакетов отдельными пользователями (пакет ставится в домашний каталог), возможна одновременная установка нескольких версий одной программы, обеспечены воспроизводимые сборки. Размер полного установочного образа с KDE 1.2 ГБ, GNOME - 1.3 ГБ, сокращённого консольного варианта - 571 МБ...<br><br>Подробнее: https://www.opennet.ru/opennews/art.shtml?num=53986<br> https://opennet.ru/openforum/vsluhforumID3/122256.html#32 Sat, 31 Oct 2020 20:07:00 GMT noexec не защищает ни от чего по факту. Добрый вечер.<br> https://opennet.ru/openforum/vsluhforumID3/122256.html#31 Sat, 31 Oct 2020 19:57:42 GMT &gt; В нормальных дистрах /home монтируют с опциями nodev,noexec,nosuid специально, чтобы юзвери ничего себе не ставили и не запускали.<br><br>Ну и кому они нужны эти "нормальные" дистры? Хрен с ним с запуском скомпилированных бинарей -- не все занимаются разработкой, но ведь даже скрипт себе в $PATH не закинуть, не запустить.<br><br>И главное -- ради чего? Чтобы малварь не могла бы выполнить код? У тебя в $HOME есть куча файликов/директорий с именами, начинающимися с точки, ты проверял сколько среди них таких, которые позволяют вписать в них произвольные команды шелла и потом с радостью запускают их?<br> https://opennet.ru/openforum/vsluhforumID3/122256.html#30 Sat, 31 Oct 2020 18:39:45 GMT Лет 5 назад просидел на нем полгода на ноуте.<br>Все работало нормально до определенного момента. История закончилась тем, что что-то поломалось и пакеты я вообще не мог ставить. Сыпались ошибки.<br>Никакие шаманства и советы не помогли и в итоге снес.<br>Дистр для тех, кто осознает какие плюшки можно получить используя его.<br>Ставить его взамен классического дистра нет смысла, если не предполагается использование фич.<br> https://opennet.ru/openforum/vsluhforumID3/122256.html#29 Fri, 30 Oct 2020 12:55:22 GMT &gt; По умолчанию пользователь может ставить в свой профиль что угодно, но выполнять - только от своего имени.<br><br>Это и есть самый настоящий рассадник вирей.<br><br>В нормальных дистрах /home монтируют с опциями nodev,noexec,nosuid специально, чтобы юзвери ничего себе не ставили и не запускали. Даже дополнения в бровзере надо запретить устанавливать.<br> https://opennet.ru/openforum/vsluhforumID3/122256.html#28 Fri, 30 Oct 2020 07:31:47 GMT &gt; Да мне и на guix'е нормально, ежжи.<br><br>А можете порекомендовать какой-нибудь более чайникоориентированную инструкцию по установки этого дистрибутива?<br> https://opennet.ru/openforum/vsluhforumID3/122256.html#27 Fri, 30 Oct 2020 02:10:04 GMT Кстати, если кто-то подумал про установку setuid бинарника: нельзя. Это могут только nix модули, выполняемые посредством nixos-rebuild, пересобирающим всю систему по глобальному конфигу, который может запускать только root.<br><br>По умолчанию пользователь может ставить в свой профиль что угодно, но выполнять - только от своего имени.<br> https://opennet.ru/openforum/vsluhforumID3/122256.html#26 Fri, 30 Oct 2020 01:56:56 GMT Как уже написали, все пакеты ставятся в /nix/store. Суть установки в пользовательский профиль в том, что генерится новый метапакет user-environment, на который переключается симлинк текущего профиля пользователя /nix/var/nix/profiles/per-user/${username}/profile . В результате этого:<br>- установленные пакеты защищаются от удаления сборщиком мусора (наподобие добавления в файл world в генте или apt-mark manual в дебиане)<br>- их бинари добавляются в $PATH пользователя (т. к. симлинки на них собраны в поддиректории bin/ метапакета user-environment, на который ссылается симлинк, который добавлен в $PATH)<br><br>По идее, нет проблем лишить непривелигированных пользователей возможности ставить пакеты, или оставить им возможность ставить только из системной коллекции nixpkgs .<br> https://opennet.ru/openforum/vsluhforumID3/122256.html#25 Thu, 29 Oct 2020 19:09:29 GMT Ага, можноб еще было вменяемо работать с nix файлами как с ebuild то да, ценыб не было. А так супер запутаные файлы, с супер запутанным и неконсистентным синтаксисом. Да и каждый разраб пакета разную ахинею творит с пакетами как хочет. Мнда... а идея стстемы хорошая.<br> https://opennet.ru/openforum/vsluhforumID3/122256.html#24 Thu, 29 Oct 2020 19:04:21 GMT Ущербные вы.<br>