Леннарт Поттеринг (Lennart Poettering) представил (PDF) на конференции All Systems Go 2019 новый компонент системного менеджера systemd - systemd-homed, нацеленный на обеспечение переносимости домашних каталогов пользователей и их отделения от системных настроек. Основная идея проекта в создании самодостаточных окружений для данных пользователя, которые можно переносить между разными системами, не заботясь о синхронизации идентификаторов и конфиденциальности...Подробнее: https://www.opennet.dev/opennews/art.shtml?num=51532
>"memberOf" : [ "wheel" ]Вот так чики-брики и в дамки. И никаких больше уязвимостей искать не надо. Спасибо, Леонид.
Осталось только убедить администратора подписать профиль или подделать подпись.
кстати, если тебе пароль нужно будет сменить, то теперь это тоже к нему? password hash у нас в этом же файле.
Очевидно у профиля должны быть части которые требуют подписи и части которые подписи не требуют, напомню, что в профиле также хранятся персональные данные (как например профиль firefox) которые часто изменяются и в подписании не нуждаются.
иии это поттер так сказал? я что-то не заметил этого в видеовыступлении. то есть мы имеем json-лапшу в .identity, часть из которой верифицируется, а часть нет? может, наоборот у нас утилита для смены пароля будет с привилегиями?
Я не смотрел, видео выступление, я сделал вывод о том что часть профиля верифицируется а часть нет на основании того что сама подпись это часть json файла, подписание которой было бы рекурсивной задачей.
Не обязательно, обычно это делается через вырезание или заполнение нулями подписи при подписывании и проверке.
Чем это отличается от "не верифицируется"?
про профиль файрфокс в .identity я не слышал. откуда это?
Пардон, это я погорячился, я почему то подумал речь идёт о всём профиле включая персональные данные
> Пардон, это я погорячился, я почему то подумал речь идёт о всём
> профиле включая персональные данныену да, у меня тоже появилось чувство, что поттеринг так глубоко задачу не обдумывал. systemd-homed похоже очень местечковое решение. я так понимаю, что админский ключ для подписи уникален для каждой машины и это делает нереальным использование этого добра в масштабах предприятия.
Я не поттеринг, поэтому мои ошибки в понимании не говорят о том насколько он обдумал задачу. Я думаю, то админский ключ не должен быть уникальным для каждой машины, скорее уникальным в пределах домена (организация, дом, и т.п.)
потеринг хоть раз об этом сказал? зачем додумывать за него.
Я не знаю, я не смотрел, что поттрениг сказал, Я думаю для того чтобы иметь своё собственное мнение о том как должно быть.
"Очевидно у профиля должны быть..." - кажется первое слово в этом предложении тут совсем лишнее.
Все идеи Пёттеринга слишком не очевидные.
Мне вот не очевидно, почему в systemd замечательного дистрибутива Debian 10 происходит race condition сервиса nftables и сетевых интерфейсов, и почему бывает от загрузки к загрузки файрволл тупо не стартанул и система оказалась голенькой.
там подпись идет к этому файлу. т.е. профиль подписывается администратором системы. если ты просто поменяешь, то работать не будет.
Как же я тогда подключу свою флешку к "любому компьютеру", например, своему домашнему, если система ничего не знает об администраторе?
Если системя ничего не знает о вашем профиле и ничего не знает о подписи которой подписан профиль, значит такое профиль не принадлежит этой системе и не должен быть использован.
А. То есть вначале администратор должен как-то синхронизировать данные на всех ПК куда пользователь захочет ткнуть свой профиль? И только потом пользователь сможет его таскать туда-сюда. А смысл тогда в этом?
Это взято из виндовс. Все компьютеры подключены по сети к серверу. При первом залогинивании компьютер обращается к серверу. Сервер разрешает создать пользователя.
Без сети и сервера не создать нового пользователя .
все компьютеры не хранят информации о пользователе. Разрешение профиля - на сервере. Данные каждого профиля находится на одном компьютере. Так в винде.Но винда ещё умеет подключаться к конкретному компьютеру по сети. Думаю системД в будущем позволит подключиться к каждому компьютеру по сети и каждому пользователю получить доступ к своим данным на всех компьютерах. А админу к данным на всех компьютерах.
> Но винда ещё умеет подключаться к конкретному компьютеру по сети. Думаю системД
> в будущем позволит подключиться к каждому компьютеру по сети и каждому
> пользователю получить доступ к своим данным на всех компьютерах. А админу
> к данным на всех компьютерах.Описание varlink не хватило? Что-то такое они им и пытаются провернуть. Странно что бимеры не взяли для этого стандарт CIM и всё рядом с ним.
> Это взято из виндовс. Все компьютеры подключены по сети к серверу. При
> первом залогинивании компьютер обращается к серверу. Сервер разрешает создать пользователя.
> Без сети и сервера не создать нового пользователя .Ещё раз обращу внимание. По предложенному решению пользователь все системные настройки с собой таскает. В винде большинство их хранится в домене. Здесь я не наблюдаю: серверную часть, механизм раздачи прав на местах, отзыва прав, механизм кеширования(да, как в винде когда можно залогиниться и работать без сети) и наверняка много чего ещё упущено.
Мне показалось (да и судя по названию), что это сделано исключительно для переноса home, и не претендует на фичи домена.
Типа вынул флешку. Пришел домой - воткнул и работай. Администратор - ты и сам себе подтвердишь. Или пришел к другу и он тебе своим рутовым паролем подтвердил.
Таки да. Смысла мало.
Если система специально настраивается, чтобы иметь возможность запустить именно этот профиль, то на кой хрен этот велосипед вообще нужен?
Очевидно чтобы легко переносить свои настройки. Как например перенос аккаунта в винде или андроиде. Только без сторонних проприетарных серверов. Простым копированием.
Сейчас же чтобы перенести пользователя, надо его создавать на новой системе.P.S. на самом деле компьютеры как правило - персональные. И имеют кучу настроек в etc, как бы печально это не звучало. А еще и данные в var хранятся.
я хз на самом деле. так говорит Поттер в своем видеообращении. логично предположить, что профиль должен быть подписан ключами от нескольких систем? но как это будет работать, если он зашифрован? его сначала расшифровывают юзерским паролем, а потом, видимо, пытаются импортировать в систему.
Ждем systemd-PE32, systemd-winehq и systemd-darlinghq
windowsd всё ближе
Ничего не понял. Зачем все это? Кидаю файлы и папки из домашней директории на флешку, а потом кидаю обратно или на другой комп. Что этот чувак замутил?
Ты работаешь в конторе, где вместо венды внедрили linux. Твой комп ломается. Тебя сажают за соседний, ты вводишь свой логин/пароль и немедленно получаешь свой рабочий стол, с твоими нескучными обоями, с твоими ключами ssh, с твоим-что-угодно. Тут тебя отправляют в командировку. Ты вводинь на выданном ноуте свой логин/пароль и... Ну ты понял.
Так Поттеринг гений?
Напомните когда переносимые профили появились в офтопике?
Помню вроде еще в NT что-то такое зародилось?
наверное с первым контроллером доменавы не представляете как нервничают админы контор, где нет закрепленного компа, а очередная бухгалтерша скопировала пару десятков гигов видео на рабочий стол
Квоты спасут нервные клетки таких админов )
Внезапно введенные квоты добавят входящих звонков/писем/сообщений админу с вопросом: "Ой, что-то не получается скопировать файл записи вебинара (учебного) на рабочий стол. Какая-то квота действует! Что это такое? Вы нас ограничиваете?".
А если введение квот было согласовано с начальством, то через некоторое время квота всё равно будет исчерпана, а чувство (у бухгалтеров и др.) того, что админы пытаются ставить палки в колёса своими ограничения, останется. И в один прекрасный день главбухша пойдёт к начальству жаловаться на вас.
Я не говорю, что всё именно так и должно так случиться, но не исключаю и такого варианта.
Да, запросто, а еще вариант когда коллеги решили поменяться местами, и оба льют свои жирные профиля на локальные тачки укладывая сеть на серваке.Нехер хранить данные на локальной мишине, которая в любой момент может превратится в тыкву. Есть сеть, сетевые шары с рейдами и бэкапами.
Поттериг в очередной раз изобрел велосипед 20ти летней давности и пытается его продать, почему я не удивлен.
> Да, запросто, а еще вариант когда коллеги решили поменяться местами, и оба льют свои жирные
> профиля на локальные тачки укладывая сеть на серваке.(1)
> Нехер хранить ЛИЧНЫЕ данные на локальной мишине, которая в любой момент может превратится в тыкву.
поправил, не благодари. Действительно, где ж еще хранить личные данные пользователю, к ним лучше лазить по сети, 10 мегабит с потерями и на гнилой "сервер" с ide-диском украденым еще у позапрошлого директора из его игрового компа, который он все равно не знал где включается.
> Есть сеть, сетевые шары с рейдами и бэкапами.
(2)
на фоне 1 ("укладывается на серваке" от всего лишь копирования профиля) - это не сеть, а полное г-но. Разумеется, пользователь тyпой, и не догадается сложить 1 и 2, чтоб зарвавшийся админчег-я-лучше-вас-знаю-как-надо побежал с взмыленной задницей чинить дерьмосеть вместо чинить проблемы пользователям._всегда_ когда я видел последствия деятельности подобных горе-админов - у пользователей были проблемы на пустом месте. В отличие от нормальных roaming profiles или банальной покупки софта, бэкапающего рабочие места, если пользователи не склонны к бродяжничеству.
> Поттериг в очередной раз изобрел велосипед 20ти летней давности
к сожалению, нет. Тот велосипед изобретали инженеры - а это - дятел.
И не пытается продать, а вы уже купили (поскольку выбросить его поделки и вернуться на нормальный юникс вам начальство не дасть - даже если вы очень захотите)
К сожалению, все что удобно, весь этот комфорт, но он, к сожалению, ведет нас тихо в ад.На практике, так и есть: перемещаемые профиля должны быть удобны, но на практике, они удобны только админу:
1. люди любят свое рабочее место и не бегают между компами каждый день. 2. сеть не резиновая и она страдает. 3. одно "удобство" порождает ненужную цепочку других "удобств": квоты, запреты, системные политики и пр. пр. А всего этого можно избежать обычным бэкапом важных файлов в сеть.Вообще, Windows не нужен. И домен его не нужен. Хотя нет, пусть будет. Без ада рай не сладок )
> На практике, так и есть: перемещаемые профиля должны быть удобны, но на практике, они удобны
> только админу:админу они неудобно - именно потому что надо без конца бить по рукам мариванну, тащащую на свой десктоп фотки любимого котика в 56mp в количестве пиццот штук.
исправляется в больших и сильно застроенных конторах, где у мариванны нет возможности положить туда котика вообще - внешние устройства заблокированы и отбираются злыми сбшниками с показательной поркой, хипстаграм тоже, на работе заставляют работать, да еще и бдят чтоб работал, а не в опеннеты тупил.
> люди любят свое рабочее место и не бегают между компами каждый день.
это тоже актуально для подвальчиков (ну там можно и просто бэкап рабочей станции целиком наладить на какой-нибудь гoвн-нас, заодно диски серверные сэкономить, они для подвальных дороги). А мне вот иногда надо что-то поделать из офиса на другом конце дефаулт-сити. Желательно не меняя привычек, ибо десктоп у меня - с фокусами.
> сеть не резиновая и она страдает.
сеть, тянущая всякие видеоконференции на стописят персон и раздачу всяких адских сканов документов нашего любимого всего (сфотканы все той же мобилкой на 56mp) - даже не чихает. Вот неудачно migrate datastore сделать через эту самую сеть вместо san - это да, эпикфейл (сеть-то выдержала бы, сдох фиревал).
Поверьте, мариванна, ваши котики напрягают только вас же саму, поскольку диск у вас в десктопе, к сожалению, сильно дохлее чем в полках стоят.> А всего этого можно избежать обычным бэкапом важных файлов в сеть.
ты не хочешь за каждым юзером в несколькитысячной компании выяснять, что у него важное, а где котик написал. И огребать потом, проимев что-то, оказавшееся важным - тоже не хочешь. Поэтому проще и спокойнее - предоставить винде самой этой фигней заниматься. А особо ценных граждан бэкапать целиком, чтоб не возиться потом восстанавливая по одному файлу.
квоты, системные политики - они не для этого. И тоже нужны, иначе замучаешься за каждой мариванной подтирать.
>А мне вот иногда надо что-то поделать из офиса на другом конце дефаулт-сити. Желательно не меняя привычек, ибо десктоп у меня - с фокусами.В общем любое хорошее дело можно заболтать админским флеймом. Мне надо, начальнику надо, Марии Ивановне, ведь она...
Хорошо, что есть выбор. Делайте как можете, как нравится, насколько хватает просчетов.
В бытность моего посещения офиса Хабра, там все сидели на Маках без блэкджеков и девочек. Как они живут без АДа и перемещаемых профилей? Ну не тысячи, но десятки модных гиков. Говорят, почти весь Гугел с IBM и Red Hat живут без этих самых админских неудобств от офтопиков. Это, кажется, тысячи сотрудников.
Перемещаемый профиль у них перемещается вместе с ноутом! Какая святая симплиситас! )
> Хорошо, что есть выбор. Делайте как можете, как нравится, насколько хватает просчетов.а кто вам сказал, что у вас будет выбор?
> В бытность моего посещения офиса Хабра, там все сидели на Маках без
> блэкджеков и девочек. Как они живут без АДа и перемещаемых профилей?
> Ну не тысячи, но десятки модных гиков. Говорят, почти весь Гугелвот в том и дело - что десятки. Ну и если что ценное накрывается у модного гика вместе с маком - ну, бывает, ничего, переживут. Все равно кроме торговли рекламой там ничего ценного не производят.
> с IBM и Red Hat живут без этих самых админских неудобств
> от офтопиков. Это, кажется, тысячи сотрудников.а эти - да, живут, наклепав на коленках своих админских неудобств. Совершенно в паблик их не отдают, да и ты не хочешь. Там новопришедшим сотрудникам приходится две недели обучаться прежде чем банальные вещи удастся cделать - потому что все с ног на голову. Зато за ними не шпионит проклятая майкрософт! За ними шпионит их собственный шпионский отдел.
> Перемещаемый профиль у них перемещается вместе с ноутом! Какая святая симплиситас! )
ну вот и таскай с собой повсюду свой перемещаемый ноут, и ипись работать на нем вместо нормального компьютера, заодно.
Если звонок застал тебя дома, а ноут забыт на работе - ну прыгай в такси и звиздуй на работу. В тот офис где забыл, а не в тот до которого пешком за 20 минут можно было бы дойти - там у всех мак, и тебе там поработать никто не даст, у него с изоляцией пользователей не все идеально.
> Если звонок застал тебя дома, а ноут забыт на работе -
> ну прыгай в такси и звиздуй на работу.я еще в первом ответе сомневался, а слышал ли ты про VPN, RDP, VNC и тому подобное? )
угу, прямо вот на макбучек. Как, говоришь, у него с rdp?Отдельных успехов тебе через vpn починять развалившуюся сетевую инфраструктуру, кстати, предоставляющую этот самый vpn.
Про vnc сразу вижу что ты только "слышал", пользовать-то явно не приходилось? Это не работа, это сплошное страдание.
C rdp чуть полегче, но ровно до момента, когда откроешь в нем что-нибудь типа вмварьской или iloшной коносли (тут он ничего поделать не может, начинает гонять битмэпы, превращаясь в vnc - особенно "приятен" в этом плане неродной линуксный, с ms'овским чуть проще)
В общем, если надо работать, несколько часов, а не какое-нибудь банальное "any key" один раз нажать - я лучше уж до офиса доберусь. Заодно и соединение не отвалится в самый неподходящий момент.
по VNC я даже играл в rfonline, много лет назад
> вы не представляете как нервничают админы контор, где нет закрепленного компа, а очередная бухгалтерша скопировала пару десятков гигов видео на рабочий столX Admins and Accountant adult video
Annual report fuсkup edition.
> Окружение домашнего каталога поставляется в форме монтируемого файла-образаЭто ближе к User Profile Disks в RDS от Microsoft. А поддержка UPD появилась в Windows Server 2012.
Да никуя не в винде, а в нетваре! Оттуда ноги растут.
а то ты чё сомнтевлся, шклаотрн чё ли?
Мы таки делали это с /home на NFS ещё с начала девяностых. Ну, не считая ноутбука в командировке, пушо это медленно.
Не совсем, ибо пароль в системе хранился в другом месте.
Для этого нужен был отдельный сервер авторизации.
Теперь же достаточно просто расшарить эту папку. И не надо внешней авторизации.
Все рады!P.S. Правда чтобы это заработало любой комп должен уметь примонтировать эти хомяки и прочитать этот файл - а значит, в большинстве случаев, и просто прочеcть весь ~ любого пользователя. :)
При устройстве сразу говоришь чтобы со своими флешками приходили. Только выше уже задумались как это добро всё подписывать без единого центра
есть один маленький нюанс: NFS в 90-х вообще не умел в шифрование трафика. ни сам NFS, ни протоколы, на которые он опирался. поэтому за пределами одной локальной сетки (и то не каждой) был вообще бесполезен.ну, а 10-мбитные хабы, на которых X11 тормозил, а VNС/RDP были глотком свежего воздуха, я тоже помню.
ipsec это 95 год по моему.
ну, уже не то, чтобы сильно начало 90-х.
линуксоидная имплементация только началась в 96, где-то к 99 году можно было пользоваться.OpenVPN, который появился аж в 2001, был тоже большим глотком воздуха после разных странных и не всегда совместимых имплементаций ipsec. именно чтобы ipsec циско-циско был у меня последний раз в 2006 году, и да, там ещё были проблемы разных не совсем совместимых имплементаций.
... а между этими делами успеваешь строить n-этажные матерные слова в моменты подвисания системы.
Технологии квантовых связей уже в systemd!
Это уже 100 лет как изобретено и называется "тонкий клиент".
тонкий клиент - это совершенно не о том. Тонкий клиент - это обычно - как сэкономить копейки на обслуживании рабочих мест, где стоит (по мощности) такое же точно железо, как на нормальном рабочем месте (потому что основные деньгозатраты - видео и сеть, да и процессор обычно примерно такой же - дешевый, все равно вся серьезная работа идет на серверной стороне) ценой лагов и неудобства юзверю (потому что там где на локальный комп ты бы просто поставил ему нужную пепяку, особо не парясь - тут ты будешь пол-дня совещания проводить - выдержат ли образы добавления и раскатывание по всем юзверям этой пепяки, помимо уже стасорока имеющихся для других юзверей)имеет смысл либо когда пользователи совсем уж альтернативно-одаренные, что им ничего доверить нельзя, либо когда там что-то, что лучше бы действительно у себя на компе не видеть - я так работаю с поделками 1С, и хрен с ними, честно, с лагами и неудобством (даже клавиатурный переключатель ломается, поскольку приезжает с сервера, а не мой) - у себя мне ЭТО точно не хочется.
а это, как вам правильно подсказывают - банальный roaming profile. Тоже сто лет назад изобретенный, но его на флэшке с собой как-то носить не принято было. До такого прогресса поцтеринг, конечно, первым додумался.
А чего в этой конторе Линукс внедрили, а централизованное хранение данных о юзерах нет?
Ниасилили ldap?
> Тебя сажают за соседний, ты вводишь свой логин/пароль и немедленноосознаешь, что на новом вместо твоего i3 установлен gnome, которым ты отродясь не пользовался
> Тут тебя отправляют в командировку. Ты вводинь на выданном ноуте свой логин/пароль и..
тебя бросает в окно ввода пароля опять. Потому что помнишь, когда-то тебя посадили за новый комп и там был gnome? Так вот тогда был 3.11. Ты его с тех пор и не запускал ни разу. Но а сейчас — гном 3.142. И так как разработчики гнома — криворукие смузехлебы, умеющие только рисовать декорации окна, то новый гном валится, если ему скормить настройки в старом формате.
Труъ линукс экспириенс ага.
// кому интересна судьба нашего воображаемего сотрудника, он вручную развернул 3-дневный бекап хомяка (в котором .config, .local и парочка дотфайлов из корня хомяка) на новый комп поверх той еб*лы, что придумали в редхет, и дальше продложил комфортно пользоваться линуксом, который вот уже 10 лет не готов для десктопа, и который так старательно пытаются в десктоп превратить.
> // кому интересна судьба нашего воображаемего сотрудника, он вручную развернул 3-дневный
> бекап хомяка (в котором .config, .local и парочка дотфайлов из корняа я смотрю, некоторые любят преодолевать трудности-то.
P.S. а я отвоевал себе в свое время таки виндовую систему. Пара попыток начальства и сильнопро-двинутых в области затобешплатна коллег показать мне как легко и приятно поделки типа dia заменят мне визию, легко и просто этому поспособствовали ;-)
Комфортно пользоваться линухом я и через putty могу. Без подобных приключений.
> P.S. а я отвоевал себе в свое время таки виндовую систему. Пара
> попыток начальства и сильнопро-двинутых в области затобешплатна коллег показать мне как
> легко и приятно поделки типа dia заменят мне визию, легко и
> просто этому поспособствовали ;-)
> Комфортно пользоваться линухом я и через putty могу. Без подобных приключений.ох уж эти фантазии пользователей винды... Линукс используют не потому, что бесплатно, а потому, что удобно.
А вместо visio можно использовать всякий веб софт. И кстати, ни разу не видел человека, использующего visio.
[написал - стер. Не в коня корм]> И кстати, ни разу не видел человека, использующего visio.
то есть ни разу из подвальной конторы с тремя ржавыми компьютерами у бюстгальтерши и сынка гендиректора не выбирался? Cочувствую.
Документацию оформлять или чужую изучать - тоже ни разу не приходилось? Но гузку оттопыриваешь, да, знаешь "почему используют линукс" и что "удобно". А на практике админ локалхоста, как обычно на опеннете и бывает.
> [написал - стер. Не в коня корм]да все ж ответил :)
> то есть ни разу из подвальной конторы с тремя ржавыми компьютерами у
> бюстгальтерши и сынка гендиректора не выбирался? Cочувствую.
> Документацию оформлять или чужую изучать - тоже ни разу не приходилось? Но
> гузку оттопыриваешь, да, знаешь "почему используют линукс" и что "удобно". А
> на практике админ локалхоста, как обычно на опеннете и бывает.Покажешь мне человека из facebook, google, amazon или netflix, который пользуется visio, тогда и поговорим.
> бюстгальтерши
Фу, какая низкосортная шутка.
> да все ж ответил :)ну я пытался сперва разжевывать, что если за сохранение винды на своем рабочем месте приходится побороться - то речь явно не о том что "линух удобнее". Но потом понял что бестолку на васяна из подвала время переводить.
> Покажешь мне человека из facebook, google, amazon или netflix, который пользуется visio, тогда
> и поговорим.ты уже во всех четырех поработал, или пока только в амазоне, коробки по складу бодро таскаешь?
> ну я пытался сперва разжевывать, что если за сохранение винды на своем
> рабочем месте приходится побороться - то речь явно не о том
> что "линух удобнее".проблема твоей конторы. В любой из 4-х названых компаний дают ноут хоть с виндой, хоть с линуксом, хоть с макосью. И с любым софтом при должном обосновании (вот только ни разу не видел, чтоб кто-то- просил visio, винду видел как просили — для какого-то мессенджера кажется). И из 4-х только в гугле линукс — основная система для сотрудников.
Но виноват в твоих проблемах, конечно же, линукс.
Это не для локалхоста.
сделали бы уже свой дистрибутив linuksd-potterd и отстали бы от unixway, а все бы системдхейтеры бы плакали от зависти на своих отсталых дистрах.
так я и сделал - SystemD/Linux называется.Он оказался настолько хорош и замечателен, что все остальные дистрибутивы стали его жалкими клонами. А любители unixway пошли найух, потому что наши дорогие пользователи не хотят никакой шумнихвей, они хотят "как в винде, только НАХАЛЯВУ!"
Вот, roaming profiles им изобрел!
Systemd-linuxd, linuxd - процесс поверх гипервизора systemd :)
Сделай свой диск с юникс-вэем и не страдай.
Или возьми любой из уже имеющихся
Почему профиль пользователя не бинарный?
> luks-over-loopbackТаки бинарный
кстати да, а еще должен затираться при повреждении
Учитывая, что он шифрованный - так и есть.
таки да, только повреждать можно не только сам контейнер.Да и нешифрованный вариант там тоже упомянут.
Нынешние кулхакеры уже не могут ничего кроме json.
> Нынешние кулхакеры уже не могут ничего кроме json.пиши фичреквест, что нужен yaml - мне кажется, у тебя есть неплохие шансы на поддержку! Ну не забудь всяких слов только правильных вставить - про ущемленных, диверсити и поддержку альтернативной одаренности, конечно.
Жду пачку CVE
Вот именно.
Дыры будут у миллионов.
А фича нужна полутора человекам и ХЗ зачем.
Запускать свои данные на чужом компе? Увольте.
А если заверять профиль подписью, то почему не использовать просто ldap?
Линукс тоже нужен полутора человекам.
А фича полезная, вопрос в реализации. Куча фич системд не используется в популярных дистрах. Поттеринг изобретает что-то для себя одного, видимо.
Тут он что-то бодро начал, но до практического применения сабжа (сетевые профили в домене) он так и не дошел. Так гикам на флешках свои порномультики носить (хотя, зачем, ведь единственный комп в природе, который может запустить этот профиль его же гика домашний комп)
> А фича полезная, вопрос в реализации. Куча фич системд не используется в популярных дистрах. Поттеринг изобретает что-то для себя одного, видимо.Тут он что-то бодро начал, но до практического применения сабжа (сетевые профили в домене) он так и не дошел.
This.
LDAP ...
systemd-ldapd ?
Это только технология а не готовый продукт.
Фича как раз таки очень неплохая. Но, зная Поттеринга, можно быть уверенным, что он перекорёжит всё, что связано с домашними каталогами пользователя, так чтобы профиль можно было подмонтировать только из его поделия и никак иначе.
lastGoodAuthenticationUSec, enforcePasswordPolicy, hashedPassword - как я смотрю то что мс содержит в домене тут решено напихать каждому. Очень интересно как они это будут увязывать с глобальной системой авторизации.
Кстати RedHat там параллельно мутит Clevis/Tang там тоже json LUKS2
;)Не лучше вопрос задать так, а как ограничить не желательного юзера ?
Ну типа создали юзера а потом его решили не пускать(удалить).
Видимо, профили будут подписываться, а сертификаты юзверей отзываться. Ну или белый список сертификатов держать.
Какой альтернативный взгляд у Лёньки на всё вокруг. В мске-то большинство этих данных лежит в домене. И пользователь до него не доберется так просто. А вот это в пользовательском профиле зачем?"memberOf" : [
"wheel"
],Или теперь каждый может получить группу рутовую, нужно только захотеть? Ах да, у нас же всё только на чтение подцеплено и поломать ничего нельзя. Получается однозадачная система для одного суперпользователя. Где-то я такое уже видал.
Да это вообще редкая дичь. С какой стати принадлежность к группам - свойство пользователя, а не машины? Он что, везде, где доступ есть, должен одни и те же права иметь?
> Да это вообще редкая дичь. С какой стати принадлежность к группам -
> свойство пользователя, а не машины? Он что, везде, где доступ есть,
> должен одни и те же права иметь?Тс-с! Про будущие CVE уже провозвестили.
В домене windows так оно и есть, и всё крутится. Что какбе намекает о целевой аудитории этого рукоделия.
> В домене windows так оно и есть, и всё крутится. Что какбе
> намекает о целевой аудитории этого рукоделия.Может ты мне покажешь где в мсовской среде все параметры хранятся у пользователя, а не в домене? Что как бы намекает о мозгах самого Лёни и его целевой аудитории.
По крайней мере, кеширыется локально + локальный админ может быть и ломануть его не проблема.
Поттеринг черновик показал, но довести до ума можно при желании. Юзвер хочет судо, а сервер/декстоп ему дает либо нет в зависимости от своих политик.
> По крайней мере, кеширыется локально + локальный админ может быть и ломануть
> его не проблема.
> Поттеринг черновик показал, но довести до ума можно при желании. Юзвер хочет
> судо, а сервер/декстоп ему дает либо нет в зависимости от своих
> политик.И что там кешируется локально кроме хеша пароля? Ещё раз поинтересуюсь где это мсовцы локально у пользователя хранят все его уиды, принадлежность к группам, enforcePasswordPolicy, lastGoodAuthenticationUSec - вот это вот всё?
> И что там кешируется локально кроме хеша пароля?Самое интересное я забыл написать. Если я правильно помню по умолчанию это выключено. Надо политиками в домене включать. А локального админа обычно выключают и делают локальными админами только доменную группу. Ну иди - поломай без проблем.
> Да это вообще редкая дичь. С какой стати принадлежность к группам -
> свойство пользователя, а не машины? Он что, везде, где доступ есть,
> должен одни и те же права иметь?дичь, да. у меня давно впечатление, что у поттера какой-то не тот бекграунд. он постоянно хочет быть архитектором, но выходит просто не в теме как будто.
проблема в том, что профиль подписывается уникальным ключом конкретной машины. отсутствует инфраструктура управления такими ключами. это местечковое решение для двух лептопов, а не для предприятия. и опять же нет единой службы, чтобы отзывать сертификат.
> отсутствует инфраструктура управления такими ключамиЗагонят во freeipa...
> Загонят во freeipa...ну только если вследствие коментов на опеннете... by design там даже мысли такой нет.
Не монтируй его папку в /home - делов то. :)
Страшно подумать сколько потенциальных уязвимостей для получения local root может таить подобная штука.
ну я надеюсь это будет выключатся
я надеюсь что это будет даже не включаться
Ну раз уже по умолчанию юзер член группы wheel, то уже включено. А, кстати, с shadow и passwd понятно, а что с group? Пересел на другой комп, получил случайный UID и ни тебе флешки, ни камеры, ни микрофона? Как раздавать права на оборудование? Всех тащить в wheel?
> Пересел на другой комп, получил случайный UID и ни тебе флешки, ни камеры, ни микрофона?Этим уже давно systemd-logind заведует, динамически расставляя ACL на устройства в /dev/ при локальном входе. См. man 3 sd-login, getfacl /dev/dri/card0 /dev/snd/pcmC0D0p.
Что касается флешек, то они монтируются через udisks без непосредственных прав на блочные устройства.
ну и решение. свалка г-кода а не системный манагер:)
ну да, а еще будут системд не будет единственным поддерживаемым инитом в популярных дистрах. И, вообще, он будет только инитом, чтобы система грузилась на 2 секунды быстрее. Не нравится системд? Не беда, ты всегда сможешь переключиться на другой инит, ведь софт не будет прибит гвоздями.Ой, подождите, сейчас ведь уже 2019...
волков бояться - в лес не ходить
> волков бояться - в лес не ходитьсказала себе Красная Шапочка (Red Hat)
винда наступает
А где такое в винде ?
https://en.wikipedia.org/wiki/Roaming_user_profile
Ну там уже 100 лет назад была возможность хранить домашнюю папку в AD. Логинясь своим паролем на любой машине, домашняя папка скачивается с сервера и ты можешь работать на этой машине как на своей.
> Логинясь своим паролем на любой машине,На любой машине, членом этого АД. Это совсем другое.
Еще задолго до АД, даже до самой винды, в юнихе можно было грузить систему с сервера и монтировать по nfs его домашнюю диру находящуяся на сервере и что ?Не сабж совсем про другое.
домашняя папка скачивается с сервера - посмотрел сейчас сколько у меня занимает домашняя папка без какого-либо анализа того что там хранится. 790ГиБ (наверное ни разу ничего не удалял с момента покупки ПК в 2009).
roaming многие не юзают из-за этого, групповыми политиками мапят каталоги в сетевые директории (хотя апликэйшн дэйта поддерживается наполовину, лично я его оставляю локально и периодически синхроню для бэкапа)
> винда наступаетИли солярка. В ней-же нельзя в /home директории создавать. Только монтировать с сети или лупбэка.
Но в солярке как-то все попроще. Одна строка в конфиге автомонтировщика, причем можно сразу для всех, и никаких json-ов.
Опять мусорят в корне домашней директории.
https://habr.com/ru/post/440620/
Поэтому свои файлы нужно держать в таком месте, которое система не использует.
как-то не понятно, чей комп... мой или системы?!
Система называет его "мой компьютер".
произошла подмена понятий. путь /home - это расположение текщего залогиненого юзера, в теории. более понятно было бы, если бы был отдельный каталог/бинарь/фс с данными юзера (конфигами, папками, короче что угодно) при логине монтировался в /home, а не хранился на диске как сборник впринципе всех пользователей, это странно.
ну и где хранить этот
> отдельный каталог/бинарь/фс с данными юзерадля
> впринципе всех пользователей?
> более понятно было бы, если бы был отдельный каталог/бинарь/фс с данными юзера (конфигами, папками, короче что угодно) при логине монтировался в /home, а не хранился на диске как сборник впринципе всех пользователей, это странно.Ой, а если вдруг так внезапно случится (непонятно, конечно, зачем кому-нибудь это может понадобиться...) что в системе больше одного пользователя?
> Назначение и обработка UID/GID производится динамически в каждой локальной системе, к которой подключается домашний каталог.;))))
Пристыковался пользователь1 ему дали UID последний свободный к примеру 1001, он на общей шаре создал файл и отвалил UID освободился.
Пристыковался пользователь2 ему дали первый свободный UID ... 1001
;)
> отсутствие необходимости синхронизации идентификаторов (UID/GID) между системамиа если два пользователя подключились с одинаковыми uid в их homed имидже тоже непонятно что будет.
Это только если нормальную FS использовать.
Следующий шаг - миграция папки home на NTFS, это решит проблему с UID-ами!!!!
да да, и старую проблему элементарно сменить пароль локал юзеру после поднятия на хосте dc на самба4, из-за рэнжей... впрочем юзер для судо д.б. один и пароль сразу сложный, на хосте dc держать обычных юзверей такое себе :)
> Это только если нормальную FS использовать.
> Следующий шаг - миграция папки home на NTFS, это решит проблему с
> UID-ами!!!!а, вот для чего MS разрешила использовать exfat-то.
(ntfs это, по-моему, слишком сложно, там какие-то acl'и все время ломаются)
А нехрен на общей шаре хранить информацию доступа в uid/gid файла и флагах. Для этого есть ACL. uid/gid должны быть выставлены серверным процессом шары в uid/gid процесса. А в ACL можно хранить хоть публичный ключ пользователя для идентификации.
Объясните недалёкому, для чего нужен systemd-homed?
Для корпораций, в будущем твой домашний каталог будет на их серверах в облаке, а локальный компьютер будет тивоизирован и у тебя не будет к нему root доступа.
Зачем? Ведь уже есть андроид и эпл!
Ну как-то срвнивают и тут линух как-то уступает ...
В далёком прошлом уже были сетевые монтировки... НенужноД изобрело велосипед.
systemd-velosiped? :)
Потому что это только в убогой винде все настройки лежат кучкой, в папке c:\windows\system32\config и ещё шести файлах профиля, которые суммарно составляют "реестр Windows". В гениальной же Linux настройки равномерно размазаны тонким слоем по всей системе. И если пользователь захочет просто скопировать окружение на другой комп, он затрахается собирать конфиги по всему диску, ибо где только они не разбросаны... Разве что в своп-разделе нет, и то ещё не уверен - не удивлюсь, если есть и такие компоненты системы, которые их даже там хранят.
Вот для того, чтоб прошерстить весь диск и собрать всё это барахло в единую кучку, и предназначена данная штука.
Какой бред.
Лично я переезжаю на новую версию ОСи просто создав юзера с таким же именем и копируя домашнюю папку. Нигде никакие настройки и конфиги у меня больше НЕ лежат. Юзерам вообще противопоказано писАть/пИсать в другие папки.
И все у меня работает.
А вот на винде я разве что могу нужные файлы сложить в отдельную папку, а на новой системе начинать пляски с инсталляциями.
Про "c:\windows\system32\config и ещё шести файлах профиля" - это очень веселая шутка. Хотел бы я посмотреть, как выглядит практически перенос юзера по такой методе.
Настройки cron у вас тоже в хомке лежат? А настройки VPN для обхода блокировок? А может, у вас и apparmor все настройки в профиле хранит? Или системы вёрстки типа LaTeX и asciidoc вдруг перестали распихивать настройки где попало, а начали цивилизованно складывать всё только в хомку?
А может, и настройки шрифтов (особенно для консоли) теперь все только в хомке?
Параметры сборки ведра и прог не забудьте. Он же переехал на другой дистр или версию, а значит поведение системы уже изменилось.
Кроны нормальные люди хранят в домашней папке и после редактирования делают crontab
Если вы компилите себе ядро - это не юзерская задача. И ХЗ как вы шрифты мучаете - у меня почему-то с ними нет проблем уже много-много лет. Вообще, речь идет о переносе юзера на РАБОТАЮЩУЮ систему.
Лично у меня 99% просто ставится из пакетов и благополучно работает с моими данными.
Что за люнукс юзер, что не поднял на своем декстопе кучу служб, не настроил ипэтаблицы вручную и маршрутизацию и т д?
> Какой бред.Это не бред. Вы просто говорите о разных вещах.
Ты рассказываешь про обновление и перенос при переезде на новую версию ОС. А предыдущий оратор говорит о смене компьютера с той же версией ОС и с тем же софтом.
В Linux, не в твоём конкретном локалхосте, а в общем случае, перенос локальных параметров пользователя между компьютерами - это ад и Израиль, поэтому их лучше сразу все хранить в каком-нибудь внешнем git-е и накатывать каким-нибудь удобным для тебя оркестратором. В Windows это проще.> А вот на винде я разве что могу нужные файлы сложить в отдельную папку, а на новой системе начинать пляски с инсталляциями.
Эникейщик детектед.
> Хотел бы я посмотреть, как выглядит практически перенос юзера по такой методе.
https://docs.microsoft.com/en-us/windows-server/storage/fold...
Если же нужно просто перетащить без доменов, Roaming Profiles, DFS и прочего энтерпрайза, можно просто переместить Roaming конфигурацию самостоятельно, то есть стандартные варианты
https://superuser.com/questions/1344893/how-to-backup-a-loca...
Или если мозгов не хватает, купи вот это: https://pcmover-10.laplink.com/> просто создав юзера с таким же именем
А вот с этого я просто в голос ору. Никогда не делай так в Windows. Имя пользователя в ней не так много значит как GUID и SID. SAM смотрит на них, а не на имя. Если ты создашь пользователя vasya, удалишь его, выдашь ему особенные права, например на какую-то папку. Удалишь пользователя vasya, а потом снова создашь пользователя с тем же именем, то права не вернутся, потому что этот пользователь другой. И не важно, что это одно и то же имя.
Мой тебе совет... если ты не разобрался с windows, это не она плохая, это просто ты некомпетентен. Если в Linux у тебя что-то получается сделать простыми методами, это не значит, что в нём всё просто. Например, та технология, которую Поттеринг хочет добавить в systemd нужна многим и она упростит жизнь в крупных развёртываниях. Но меинтейнеры, эникейщики и прочие вахтёрши будут от неё в истерике.
Утилиты, многобукаф, оскорбления, а хомяк юзера в линухе уже лет 20 переносится за три команды как:
cp -ra /mnt/backup/vasya /home/
useradd vasya
chown -R vaysa.vasya /home/vasyaВ линуксе все просто и логично в отличие от вашей винды не нужно ничего знать про какие то программы для каких то простых действий.
Та фича, которую пилит Леня уперлась пол-проценту корпорастов, просто они видимо за нее заплатили.
З.Ы. У эникейщиков с линуксами нет проблем в крупных развертываниях, совсем. Т.к. в крупных развертываниях большая половина проблем связана с лицензиями. А тут бери один образ, раскатывай его dd, хоть даже через pxe, потом ансиблом накатится при первом старте окружение в зависимости от выбранной роли. Работает как часы годами, не забывай лишь обновлять уязвимости.
> Утилиты, многобукаф, оскорбления, а хомяк юзера в линухе уже лет 20 переносится за три команды...Да что это вообще значит "переносится"? Типа когда по 40 раз переустанавливаешь дистрибутивы на локалхосте, или когда надо пользователя пересадить между компами. А если компов 1500+?
Оно и в винде переносилось бы за 3 команды, если бы она не была рассчитана на корпоративного пользователя, компьютеры которого управляются службой каталогов. А так нужно сделать экспорт-импорт профиля, экспорт-импорт реестра, чтобы это был юзер с другим SID. То что в линуксе каталоги и керберос с боку пришит - это жирный минус. Надеюсь это исправят.
> У эникейщиков с линуксами нет проблем в крупных развертываниях, совсем. Т.к. в крупных развертываниях большая половина проблем связана с лицензиями.
Потому что крупных развёртываний нет, совсем. И с лицензиями тоже нет проблем мне кажется ты просто windows в корпоративной среде никогда не видел.
> А тут бери один образ, раскатывай его dd, хоть даже через pxe, потом ансиблом накатится при первом старте окружение в зависимости от выбранной роли.
А винда значит не через PXE ставится что ли? Но как я и сказал в линуксе оркестраторы нужны, без них оно не работает, ансибл, паппет или что там больше нравится.
>Linux, .... пользователя между компьютерами - это адВот и выросло....поколение.
Все давно было изобретенно давно, сейчас через системd пытаются просто сделать виндрподобный велосипед.
Nfs + Nis тогда в 80, сейчас Ldap.В конце концов можно даже на самбе профили перемещаемые иметь, если включить потдерку Unix acl + Posix smb .Было в системном администратора описание такой схемы, но там просто для унификации использовали самбу, у
клиетов должна стоять настроенная библиотека и служба кербиос
Это карточный домик на костылях и подпорках. Попробуй сделать такую систему на большое количество компьютеров раскиданных по всей стране. Потом отпишись. Эта задача любого заставит полюбить MS.
> Попробуй сделать такую систему на большое количество компьютеров
> раскиданных по всей стране. Потом отпишись.
> Эта задача любого заставит полюбить MS....передёрнув затвор?
К нам тут одни люди приходили. Им какой-то настолько же "светлый ум" (хотя больше подходит упоминание другой части негра почему-то) "наархитектурил" один ад на всю страну.
Дальше для этого гнойника почему-то понадобилась поддержка какого-то совершенно эксклюзивного уровня с ежегодным десантом чуть ли не разработчиков из некрософта.
А затем наступил 2014.
Сами догадаетесь, где Ваши сказки, а где сермяжный первый этаж?
Твое анекдотический случай не меняет картину мира. Всегда можно настроить один ад на всю страну так, что проще застрелиться. Тем не менее я не наблюдаю тотального перехода на Linux Workstation у крупняка в этой стране ни тогда, ни после 2014.Но раз ты так любишь единичные случаи, может назовешь мне хотя бы 3 федеральные конторы, которые добровольно ушли на Linux без государственного давления, потому что так было удобно? Желательно еще и чтобы профили там ездили по NFS. Прямо интересно стало.
> Но раз ты так любишь единичные случаи, может назовешь мне хотя бы
> 3 федеральные конторы, которые добровольно ушли на Linux без государственного давления,
> потому что так было удобно? Желательно еще и чтобы профили тамя согласен на одну, можно полу-частную, можно без профилей по nfs - чтобы занести ее в свой черный список, куда никогда не пытаться ходить работать, каким бы медом там не было намазано?
> ездили по NFS. Прямо интересно стало.
неинтересно, поверь.
та что я знаю - уже банкрот, к счастью.
>можно без профилей по nfsСлужба приставов в Петропавловске-Камчатском, живёт на Кубинти уже 8 год, не жалуются,винда только у главного бухгалтера для банка(клиент, там какие- то сложности с сертификатом)
ну там-то понятно ловить нечего, какая разница на чем косынку раскладывать (а главбуху и некогда, ей отчет надо сдавать)хотя запустить туда ssh'ного червяка, подозреваю, будет несложно, но и особого ущерба он не нанесет...
Нам бы кого-нибудь, у кого все же хоть что-то от тех сидящих за убунтами зависит, и которые реально могут попасться на жизненном пути. Дабы предвидеть и обойти за семь верст ;-)
А то мне в резюме "опыт восстановления кластера баз данных целиком с нуля после вирусной атаки" совсем не хочется записать. (реальная цитата. Причем - мы этого кандидата не возьмем из-за overqualification, а не почему еще)
>Попробуй сделать такую систему на большое количество компьютеров раскиданных по всей стране.Но МегаФон же сделал, у них распределённый атказоустойчевый реопелдап (собственноручно падченый openldap).Правда там лдап схема используется не для компьютеров а для биллинга клиентов, но несколько миллионом учетных записей тоже внушает уважение.
Дорогуша моя, я никогда не сделаю в виндовсе ничего плохого. Не переживайте ))
Да, я не разобрался и не собираюсь разбираться в системе, которая живет своей жизнью ;)
И таки да, в Линуксе у меня практически ВСЕ получается сделать простыми путями и оно все работает.
Удачи тебе с systemd, сладенький. :)
> Лично я переезжаю на новую версию ОСи просто создав юзера с таким
> же именем и копируя домашнюю папку.в "замечательной" венде вы можете спокойно переместить профиль (при наличии корп версии клиента, сервера и домена), но вы не можете переместить систему с одной машины на другую без танцев, бубна, русского слова и Акрониса.
В Linux я могу просто взять свой SSD-диск со всем моим, включая систему, программы, кроны и что тут еще упоминалось и воткнуть его в любой комп. Хоть через док, хоть по USB.
Неудобно? SquashFS + AuFS как в puppy Linux когда все мое становится верхним слоем над системой. То есть мой /etc/crontab если он есть в моем save-контейнере заместит собой тот кронтаб, который есть в системе. Аналогично для любого файла в системе /etc/passwd, к примеру. Если файла в моей сессии нет -- будет виден файл той системы, к которой я подключился.
Это означает, что и все проргаммы, которые я привезу с собой в контейнере моей сессии тоже будут на целевой машине и работать., в случае, если машины бинарно совместимы.
что бы когда будет нужно (уже не в столь далёком будущем), отправить "товарищу майору" (или сэру мэйджору?) всё, что можно найти в "домике". Естественно, предварительно открыв канал через уже придуманный systemd. А кто не согласится - отключим газ. Ну или комп. Или хотя бы домик - что бы доказуху не потёрли.
Чует моё сердце, что этот sd довром не кончится - нас ждут весёлые времена и масса открытий. И, возможно, в самое ближайшее время.
То же самое с корпоративными гугло-мылами, когда гугл предлагает хранить корпоративку у себя.
> "товарищу майору" (или сэру мэйджору?) всё, что можно найти в "домике".
> Естественно, предварительно открыв канал через уже придуманный systemd. А кто не
> согласится - отключим газ. Ну или комп. Или хотя бы домик
> - что бы доказуху не потёрли.товарищмайор приходют со своей, на собственной флэшке - оттуда хрен потрешь, у него запасная есть.
А у гуглоебеме другие цели - не настолько, полагаю, далекоидущие, но и слить тебя по дороге разным господам для них дело плевое, их индусы не видят в этом совершенно ничего плохого, поэтому совершенно и не парятся.
> Чует моё сердце, что этот sd довром не кончится - нас ждут
ну вы же хотели вeндекапеца, вот он так примерно и будет выглядеть.
Надеюсь это будет опционально, кому надо тот устанавливает и использует.
угу. Примерно как и со всем systemd - "мы можем вам покрасить машину в любой цвет, при условии, что он будет чёрным" (с) Генри Форд.
ЗЫ. Надежды юношей питают. Если линукс нельзя сделать платным, то ничто не мешает его сделать подконтрольным и порзрачным (для тех, кому надо)
Зачем платный? Ещё лучше -- это теперь рынок рабочей силы за копеечки.
В systemd многое в теории опционально, но по факту нет - как тот же dbus, к которому все прибивают молотком.В данном случае не вижу, что мешает ему быть опциональным. Но я в Леню верю, что-нибудь придумает :-)
Наивный... "вы всегда сможете заменить ненужноД на другую систему инициализации". А по факту - ненужноД прибили гвоздями даже к apt, из-за чего менеджер пакетов ломается, если удалить ненужноД.
есть много разных мененджеров, и неужели ни один из них не прибит гвоздями к страшнодэ?
С одной стороны по идее должна быть паника что sysdemd лезит в домашние каталоги. Но с другой стороны, блин ну годно же
ты хочешь чтоб в твой линух с флешкой залезть можно было? это ж никаких chroot и прочих заморочек. воткнул флешку, прошерстил каталоги копирнул и свалил. да нужен доступ к компу. но в фирмах случается отлучаются. и системд будет приветствовать каждого в твоей системе)) это ж порнография прямо)))
Так пароль же ещё нужно знать.. или домашняя папка просто так шифруется?
Ну так пароль тут же на флешке ;)
тебе радостно объяснил шеф системд, что он примет тебя с распростертыми объятиями, а ты про пароль.потом другой придет за тобой вставит флешку и вуаля все следы прибывания в системе потеряны. ну просто супер удача для локального хака хоста. фишка в том , что пока есть реальный пользователь в системе есть возможность проверить и остановить определенный уровень вторжения, а этим гостевым как? в системд полно дыр недокументированных и еще больше их в других программах на системе, а сколько их открывается при совместной работе этих программ)) короче эта флешка просто открытая дверь в систему.
Зря минусуете. Товарищ правильно говорит.
Даже если это доступ с "гостевыми" правами, в системе можно очень много интересных дел натворить. Например, замутить привышение превилегий.
> привышение превилегийпрЕвышение прИвилегий
Это должно настраиваться. (кому можно заходить, а кому нет) Другой вопрос, что это очередной гемор, если не нужно пользователю.
Настраивать локальный центр сертификации и подписывать профили? Ну можно все для людей сделать в 2 клика, но это не линукс вей.
> воткнул флешку, прошерстил каталоги копирнул и свалил.Ну скопирнул ты /etc, который в любой федоре будет одинаковый, поскольку в ro, дальше что?
никогда локальный руткит не видел?)) я бы оч сомневался в безопасности такой вот доступной системы.)) все что имеет локальный доступ жутко опасно. а тут такая удача подфортила. вы батенька слишком доверчивый.
> никогда локальный руткит не видел?)) я бы оч сомневался в безопасности такой
> вот доступной системы.)) все что имеет локальный доступ жутко опасно. а
> тут такая удача подфортила. вы батенька слишком доверчивый.Во-первых, куда вешать локальный руткит, если у тебя вся система в ro, кроме зашифрованного хомяка? Ты пришёл со своей флешкой, запустил руткит, при условии, что хомяк без noexec, а дальше? Вынул флешку — нет руткита.
Во-вторых, локальный руткит можно и без этой системы повесить. В убунте, например, есть гостевой доступ безо всякого пароля. Не вижу эпидемии руткитов.
Ну и да, это нужно в корпоративном окружении, там другие проблемы, в обычных системах можно размещение хомяка на флешках вообще запретить.
Зато. Зато наконец-то локальный рут не будет иметь доступа в хомяки пользователей. Зато наконец будут работать полностью перемещаемые профили без NIS, между NIS. Скорее всего, под это дело будет заведена и стандартная схема LDAP, а не как сейчас в каждом дистрибутиве своя схема каталогов.
а это реально нужно объяснять?. вмешательство в работу программ при условии , что у тебя есть право запуска программ? тут невозможность что то записать напрямую в систему даже плюс. никаких следов. во вторых ты хоть раз видел программы без ошибок? я нет. разве что хелло ворды. провести локально атаку на работающее окружение с использованием дыры в работе приложения. это все еще надо объяснять? все останется в оперативной памяти. и все будет просто замечательно. а поднятие прав в системе через приложения думаю все слышали. и это только в случае если требуется особый доступ к рутовым папкам, а если просто другой пользователь? даже зашифрованный раздел копирнул, а потом играй с ним дома. самое смешное , что можно использовать 2 флешки, одну с окружением, а вторую с атакой на железо компа, вызывая особые эффекты. ты же умный человек должен понимать, что то что я сказал вполне реализуемо, впрочем даже сейчас с отсутствием такого доступа к системе.
>[оверквотинг удален]
> ворды. провести локально атаку на работающее окружение с использованием дыры в
> работе приложения. это все еще надо объяснять? все останется в оперативной
> памяти. и все будет просто замечательно. а поднятие прав в системе
> через приложения думаю все слышали. и это только в случае если
> требуется особый доступ к рутовым папкам, а если просто другой пользователь?
> даже зашифрованный раздел копирнул, а потом играй с ним дома. самое
> смешное , что можно использовать 2 флешки, одну с окружением, а
> вторую с атакой на железо компа, вызывая особые эффекты. ты же
> умный человек должен понимать, что то что я сказал вполне реализуемо,
> впрочем даже сейчас с отсутствием такого доступа к системе.Это вполне реализуемо уже сейчас, безо всяких homed.
с homed будет проще и легче замести следы. система сама все сделает. без этой дряни тоже можно, но усилий больше. намного. хотя при доступе к машине никто не говорил, что вообще нужен такой тип взлома. можно с той же эффективностью просто грузануться со своего лайв и забрать все , что нужно. но факт есть факт эта технология открытая дверь в систему.
шифрование раздела - хорошо. всё остальное лишь нагромождение всевозможных костылей для тех кто не осилил LDAP
Шифрование раздела и так можешь сделать.А эта штука работать не будет никогда, так как главное в passwd это не пароль и не домашняя дира а перечисление uid чтобы кто то другой его не занял.
Судя по всему на форуму ВЫ один такой кто не понимает.Ладно попытаюсь по попроще объяснить.
1. Что бы проверять уникальность UID нужно иметь список этих UID.
2. Чтобы разные юзера бегая между системами не попали на чужой UID нужно иметь таблицу
соответствия UID и логину.
3. И чем эта таблица отличается от /etc/passwd ?Надеюсь так дойдет.
имея UID 1000 пользователь vasya скачал коллекцию фотографий котиков и пошёл себе домой, его зашифрованный раздел (образ) отмонтировался. пришёл пользователь fedya чтоб скачать порнухи, и даже если ему без проверки был присвоен тот-же UID (1000)... и даже если его пароль qwerty123 как и у пользователя vasya... ещё не означает что образы их домашних директорий были зашифрованы идентичным ключом и все остальные уникальные атрибуты (из JSON) совпали настолько чтоб фото котиков перемешались с порнухой. а вот тебе действительно к доктору надо срочно
> имея UID 1000 пользователь vasya скачал коллекцию фотографий котиков и пошёл себе
> домой, его зашифрованный раздел (образ) отмонтировался. пришёл пользователь fedya чтоб
> скачать порнухи, и даже если ему без проверки был присвоен тот-же
> UID (1000)... и даже если его пароль qwerty123 как и у
> пользователя vasya... ещё не означает что образы их домашних директорий были
> зашифрованы идентичным ключом и все остальные уникальные атрибуты (из JSON) совпали
> настолько чтоб фото котиков перемешались с порнухой. а вот тебе действительно
> к доктору надо срочноНа компьютере есть директория куда могут писать разные пользователи (ОБЩАЯ). В эту директорию vasya положил свой файл. Как феди не дать изменить этот файл если он при логине (потом после ухода vasya) тоже получил UID 1000 ?
И не забудь еще объяснить как сделать чтобы с такого то времени перестали пускать пользователя вася. Ну типа решили его удалить ...
> имея UID 1000 пользователь vasya скачал коллекцию фотографий котиков и пошёл себе домой, его зашифрованный раздел (образ) отмонтировался. . пришёл пользователь fedya чтоб скачать порнухи, и даже если ему без проверки был присвоен тот-же UID (1000)... и даже если его пароль qwerty123 как и у пользователя vasya... ещё не означает что образы их домашних директорий были зашифрованы идентичным ключом и все остальные уникальные атрибуты (из JSON) совпали настолько чтоб фото котиков перемешались с порнухой.А тааарищ майор ставивший ОС на этот ПК поимел и котиков и порнуху и пароли от обоих дуриков. На какие "левые" общие компы ты собирался таскать свой зашифрованный хоум? На кой тогда тебе зашифрованный раздел если ты его расшифровываешь на компе где проходной двор?
Шифрование и сейчас есть, причем не обязательно только домашнего каталога.
LDAP, надо заметить, дико оверинжиниренная штука. Я, конечно, разобрался, когда понадобилось, но немножечко о...балдел.
LDAP вещь бесппорно удобная. продумана в плане масштабируемости (репликация). никто не мешает прочесть доступную в огромном количестве документацию что написана за почти уже 3 десятилетия. никто не крутит руки когда вдруг возникает необходимость создавать свои схемы со своими атрибутами/значениями и пользоваться ими в своём или чужом ПО, создав мудрёный фильтр с атрибутами. хотите - группу серверов (скажем одного домена) к отдельной ветке привяжите (ограничив доступ с помощью ACL) и будет у этих пользоветелей SSO, хотите - хоть каждый сервер и тогда каждый vasya и fedya будет с разным паролем, но если нужно то с одной и той-де индивидуальной домашней директорией монтируемой по NFS (autofs-ldap). хотите - пускайте пользователя vasya лишь на 2 сервера из 5. возможности ограничиваются лишь фантазией
> тех кто не осилил LDAPКоторый именно LDAP? Fedora Directory Server? Novell eDirectory? Lotus Directory? Apache DS? Голый openLDAP со своей кастомной схемой? Calculate Directory Server? 389 Directory Server?
Видите, вас так много, а меня так мало…
Если RH сделает всем хорошо, то этот зоопарк наконец вымрет.
ждем systemd-humand для управления людьми, пора бы уже
Ну вот. Опять он создал что-то прикольное, но бесполезное.
Как полезность определять будем?
по возможности выпиливания с компа. Нельзя удалить - ненужноД.
боюсь разочарую. с момента появления системд я не помню чтобы что то можно было выпилить.)) все так привязано к системе и даже приложения переписываются с учетом системд. что теперь многие программы невозможно использовать без него.
Поттеринг опять пытается указывать как нам жить, продвигая очередную свою поделку через системд, вместо того чтобы представлять ее как отдельный софт и озаботится поддержкой других инит-систем\ОС.
Как там было? Embrace, Extend, and Extinguish?
Указывает и все будут ему следовать. Для меня линукс умер. В ближайшем будущем перейду либо на винду обратно, либо на мак. Когда 10 лет назад я переходил на линукс, то думал что развитие пойдет в правильном направлении. А сейчас это кусок уавна.
перейди на MS-DOS, там нет и никогда уже не будет подобных проблем
Кто это все? У меня, например, системдой и не пахнет. А хомячье пусть психует и валит на винду )
Да чего ноете взяли ядро собрали и живите себе ... ну можно там немного гну-ного накомпилить что б не скучно было ...
Плюсую.
Нахрена мне куча его говноидей в комплекте к иниту? Если мне нужен просто инит.
Выпиливай/не трогай, изи же. Напиши скрипт, который это будел делать, выложи его на гитхаб какой-нибудь, пускай народ порадуется. Или выбери дистр, где его мейнтейнеры решили эту проблему за тебя. Щвабодка ж, все дела. Да и гента всегда без проблем собирается как тебе надо, а не как хочет какой-то Лёня.
> Поттеринг опять пытается указывать как нам житьну не знаю, лично мне он не указывает, как жить
а если тебе кажется, что поттеринг тебе (и другим твоим личностям, о которых ты говоришь, называя себя словом "нам") указывает, то это исключительно твоя проблема с восприятием реальности
embraceD, enhanceD, extinguisheD.
всё как билли прописал.
Аааа! Горшочек не вари!
поздно xD
Debian, верни все как было.
лет 10 назад не ты ли здесь ныл по поводу udev? всё ещё пользуешься статической /dev и mknod чтоб подмонтировать / при загрузке 1000 серверов?
> лет 10 назад не ты ли здесь ныл по поводу udev?Как ты меня вычислил, шайтан?!! Срочно меняю ник!
да, да - подобные тебе полезные идиоты, думающие что для этого надо руками что-то делать при каждой загрузке каждого из тысячи серверов, очень помогли продвижению моего ненужноD.К моему большому счастью, тех кто был в курсе, что mknod - такая же подкапотная штука как и udev, и запускать его руками могло понадобиться только при катастрофической поломке системы (с моим прекрасным udev ты просто переустановишь ее заново - "как в винде!") было мало и их жалкие писки что "одна винда уже есть" никто не услышал.
Поэтому нет - не пользуется, я позаботился чтобы это было невозможно в принципе.
> Параметры учётных данных пользователя привязаны к домашнему каталогу, а не к системным настройкам - вместо /etc/passwd и /etc/shadow используется профиль в формате JSON, хранимый в каталоге ~/.identity.Вспомнил про tcb (https://www.openwall.com/tcb/).
Лучше бы его внедряли повсеместно (для тех, кто не ходил по ссылке, tcb не аналог homed, даже не рядом. к счастью), а не очередной systemd-unneededd пилили. Впрочем, о чём это я, чтобы поттеринг сделал что-то полезное, а не переполненый оверинжинирингом велосипед? Да от него тогда все фанбои отвернутся и шапка платить перестанет.
Да я вот тоже не пойму чего мужику не ймется хочет написать систему пусть пишет но зачем ее пихать в ситему когда можно ее сделать сервисом отдельным а остальное дергать через апи
>Лучше бы его внедряли повсеместноТак есть же дистрибутивы которые его используют: православный Альт и Мандрива, правда не помню какая- опен или коммерческая.
В дибиане до какой-то версии тоже в экспериментальной ветке было,не внедрили.
>>Лучше бы его внедряли повсеместно
> Так есть же дистрибутивы которые его используютВсё так. Но это не "повсеместно".
Чего всполошились-то? Почти с самого начала было понятно, что с systemd не все ладно. Но все такие: "но раз кругом его используют, то что ж тут делать.." Только нельзя немножко забеременеть, теперь вот жрите)) Или меняйте свои дистрибутивы.
да эта болезнь все нормальные дистры заразила уже :(
такое ощущение что Лёня единственный кто пишет линукс, а остальные так, на подхвате
А не легче просто скопировать папку .config и перенести все настройки?
.config и прочий POSIX для слабаков же,
Лёня пользуется только теми стандартами, которые сам выдумал.
И тут сразу возникает вопрос...Ну, допустим, из /usr/local можно кое-что перенести в /home/user/.local и будет работать. Но не всё, как показывает практика. И в /etc почти в каждом файле изменения по сравнению с умолчаниями необходимы для конкретных нужд.
Есть ли способ СЕЙЧАС заставить систему подхватывать в первую очередь изменённую конфигурацию из /home/user/.local/etc, например, а потом уж из системных каталогов, в случае отсутствия соответствующих конфигов в домашнем каталоге? Environment изменить? Как это сделать можно в настоящее время?
множество программ в течение уже многих десятилетий ищут конфигурационный файл в ~/ и только не найдя таковой лезут за ним в /etc. поздравляю, для тебя комментарии к каждой новости здесь полны массы удивитильных открытый. чтоб не было дополнительной вони, приведу некоторые примеры:- bash (~/.bashrc)
- gnupg (директория ~/.gnupg)
- клиент mysql (~/.my.cnf)
- mutt (~/.muttrc)
- nano (~/.nanorc)
- iftop (~/.iftoprc)
- ssh (директория ~/.ssh)есть так-же /etc/skel что позволяет посредством pam навязать все эти локальные конфигурашки (например pam_mkhomedir для новых пользователей)
Так как множество программ, но не все почему-то, в течение уже многих десятилетий ищут конфигурационный файл в ~/ и только не найдя таковой лезут за ним в /etc, ты мне сейчас показал только дырку от бублика. Покажи мне тогда еще домашние аналоги /etc/conf.d/* /etc/default/* /etc/security/* /etc/sysctl.d/* /etc/fstab хотя бы... Цель: не вносить, вообще, никаких изменений в системные каталоги, понимаешь... А пока надо...
/etc/fstab и /etc/sysctl.d/ - это чтоб любой савка и гришка могли запросто сделать "ду-ду" всему серверу которым пользуется ещё 1000 человек? могли поменять опции монтирвоания / и работы все системы (ну там сетевой стек индивидуально для себя поднастроить)? тебе правда этого хочется? а /etc/default/ - чтоб они моги решить запускать тот или иной сервис при старте сервера, даже если сервисом пользуется ещё 1000 пользователей? ты не в своём уме или у тебя shared hosting?
> 1000 пользователей.. ты не в своём уме или у тебя shared hosting?..Очевидно же, что админит локалхост с 1 пользователем.
> Покажи мне тогда еще домашние аналоги /etc/conf.d/* /etc/default/* /etc/security/*
> /etc/sysctl.d/* /etc/fstab хотя бы... Цель: не вносить, вообще, никаких изменений
> в системные каталоги, понимаешь... А пока надо...Используй aufs с корнем в ro, не будешь вносить изменений в системные каталоги.
> Как это сделать можно в настоящее время?Use ${PATH}, luke!
export PATH=$PATH:/your/binary/location
Иногда в общем пути уже присутствует ссылка на ${HOME}/bin/ или ${HOME}/.local/bin/, например.
Глупо использовать оболочку и переменные оболочки, которые сами по себе разные между системой и разными пользователями. Скорее всего объявят какой-нибудь масштабный перенос всего и вся по новым каталогам.
Вот и выросло поколение... (с)
/usr/local для всех пользователей, а /home/user/.local для одного
Леня переизобрел ActiveDirectory?
В смысле, Леня переизобрел AD с перемещаемыми профилями?
Не изобрел а реализовал (not to invent but implement)
Ад он изобрёл уже давно, теперь чертей понемногу деплоит.
Какая-то абсолютно бессмысленная хрень. Молим провидение, чтобы он это обязательным не сделал и потом на это Гном с КДЕ не завязали. )))> "memberOf" : [ "wheel" ],
autorun.inf, ты пришёл! Это вот это вот само будет подключаться в систему при подключении флешки?
Не, блин, а серьёзно. Я надеюсь logind не будет на это дерьмо завязан?
> это вот само будет подключаться в систему при подключении флешки?ой, зря ты это написал...
Я на самом деле не понимаю 2 вещи: а) как он ещё не встроил в системд изоляцию приложений наподобие андроида б) как он ещё РЕЕСТР не изобрёлИ то и то мысли раз в 20 очевиднее, чем "переносимые домашние каталоги". Это как накуриться-то надо...
...пакетный менеджер кстати ещё мог встроить, тоже было бы забавно. В общем работы вроде как непочатый край, а он всё ерундой занимается...
погоди, скоро для изоляции компонентов systemd в него запилят docker вместе с kubernetes для удобства управления. очкасто-бородатые глотатели смузи уже потирают голые щиколотки от нетерпения - когда же они наконец получать упоительную возможность управлять всем процессом загрузки при помощи мышки
> пакетный менеджер кстати ещё мог встроитьapt-get прибит гвоздями к libsystemd.so
Спасибо тебе, Леонид Портянкин, за то, что всё больше людей начинают интересоваться BSD системами. У нас в конторе уже 70% процетов машин перевели на фрю. Ещё раз огромное тебе человеческое спасибо! Здоровья тебе, счастья и конечно успехов в твоём нелёгком деле.
Это как-то странно выбирать целую систему лишь из-за pid1. Мне самому systemd не нравится, но это не является достаточным техническим основанием для миграции на FreeBSD на работе (где тонны серверов стоят тонны денег).
То есть, та самая новость, под которой ты оставляешь свой комментарий, не наводит тебя ни на какие размышления? То, что начиналась, как "правильный инит" (самый правильный, ага), уже мутировало в "системный менеджер" (что бы это ни значило), а теперь лезет в твоего хомячка и хочет зОхавать твои конфиги. А ты такой: -- "Ребята, я не могу понять, в чём проблема-то? Какой БСД, вы о чём, вообще?".
Меня systemd наводил на размышления ещё до захвата Debian-а. И я всячески сопротивлялся, пока это ещё казалось осмысленным.Но всё же нужно оставаться профессионалом и выбирать решение исходя из целесообразности. То есть отталкиваться нужно от решаемой задачи, а не от "с этим я работать не буду". И зачастую для решения задачи нужны хорошая производительность или inotify/fanotify, или docker, или ceph-сервер (который формально есть во FreeBSD, но лучше не использовать) и т.п. И разводить по своей системе под каждую задачу тоже плохо. Поэтому даже есть и есть где применить FreeBSD, но в 80% случаев нужен Linux, то есть смысл во всех 100% использовать Linux.
Тогда твой выбор - это Gentoo. Очень не плохой выбор, между прочим. Можно и поздравить с ним.
Я когда-то пробовал использовать Gentoo для работы. Но, к сожалению, съедает слишком много времени на пустом месте. Под Debian/Ubuntu я просто выполняю задачи быстрее в большинстве случаев.
Именно, что из целесообразности. Зачастую же инструмент выбирается по принципу "Надо брать линукс, его же все используют". Линукс-специфичных use-case'ов не так уж и много: оракл, цеф да докер, и по факту мы имеем ситуацию, когда в 20% случаев нужен линукс, а развертывают под ним 100%.
Я не знаю как у вас, но у меня работа очень даже Linux-specific. Притом область деятельности немного постоянно менялась, но уже много лет всегда оставалась Linux-specific.А когда езжу на конференции и общаюсь с людьми, то вижу, что вполне немало людей использует FreeBSD (или другое BSD). Но у них и задачи совсем другие.
То есть скажу очевидное, но где-то лучше приживается Linux (несмотря на systemd), а где-то нет.
Под *BSD можно сделать всё то же самое, что и под линуксом (за исключением специфичных вещей, вроде оракла, цефа, drbd да докера). Вопрос тут только в синдроме утенка и маркетинге. Множество людей выбирают линукс не потому, что он такой весь классный, а потому что яндекс перешол жи и самые дешевые виртуалочки, на которых он клепал свои г-носайтики, были под линуксом.Если разбираться по существу, то по фронтам *BSD заметно лучше, чем линукс. По базам отличий нет. По пакетированию/деплою отличий нет. При этом *BSD предлагают совместимость со старыми бинарями через COMPAT_XX и стабильное окружение, не меняющееся по велению левой пятки спонсора.
Поэтому нет ничего удивительного в том, что люди переводят сервера под *BSD. Удобная система, аналогичные и лучшие возможности и отсутствие давления со стороны "спонсоров", делающих из ОС игрушку в собственных руках - всё это привлекает людей.
> Под *BSD можно сделать всё то же самое, что и под линуксом (за исключением специфичных вещей, вроде оракла, цефа, drbd да докера).Я пользовался FreeBSD несколько лет (да и периодически до сих пор сталкиваюсь). И, вроде как, я нормально понимаю границы возможностей FreeBSD.
Хотя всё же вопрос в контексте того, чем я занимаюсь последние две недели. CUDA на FreeBSD всё так же не завезли? Мне конкретно сейчас нужна CUDA 10.1 (ну или в худшем случае CUDA 10.0).
> Если разбираться по существу, то по фронтам *BSD заметно лучше, чем линукс.
Это не объективно.
> По базам отличий нет.
Что такое базы?
> По пакетированию/деплою отличий нет.
Да вообще-то пакетирование во FreeBSD происходит сильно иначе. Хотя можно использовать какой-нибудь Debian/kFreeBSD и/или Gentoo FreeBSD, но это такое себе решение...
По деплою чего отличий нет? Если речь про деплой системы, то для Linux (в отличие от FreeBSD) есть огромное количество софта (а-ля MAAS). Если речь про деплой конечных приложений, то сейчас обычно в разных развёрнутых CI/CD используют в конечном итоге Docker:
https://wiki.freebsd.org/Docker
> Docker's currently broken. We are working on a current, executable version. Help is welcome.
> При этом *BSD предлагают совместимость со старыми бинарями через COMPAT_XX и стабильное окружение, не меняющееся по велению левой пятки спонсора.Вот я много лет работаю с Linux и пишу под него ПО, но мне помнится только один раз, когда мне пришлось вносить существенную правку из-за изменения API ядра. Это было из-за смены API cgroups. Но, кстати, это приложение использует inotify, поэтому FreeBSD тут всё равно не помог бы :)
> Поэтому нет ничего удивительного в том, что люди переводят сервера под *BSD.
Это правда.
> Удобная система
Это правда.
> аналогичные и лучшие возможности
Это не правда.
> и отсутствие давления со стороны "спонсоров",
Хм. Ну да, просто весь Core Team (как и всё остальное) живёт на деньги спонсоров и реализует именно то, что им (спонсорам) надо. А в остальном давление спонсоров отсутствует.
> делающих из ОС игрушку в собственных руках
Это уже какая-то пропаганда, а не аргументы.
--
Просто поймите, что не у всех задачи такие, как у вас. Тут речь не про какой-то там "синдром утёнка" или ещё что, а про соответствие системы поставленным задачам.
И я говорю не только про возможности системы, но и про её производительность тоже. Ещё в 2006-ом году я производил тесты между FreeBSD и GNU/Linux по производительности (написал небольшой сетевой сервис на Си и замерял, как он работает), и FreeBSD тогда показал результаты ощутимо хуже. Но тут я уже ничего предъявить не смогу, поэтому сошлюсь на другой аргумент: как много кластеров на FreeBSD в top500 вы знаете? Ну или в российском top50? Когда я занимался HPC мы там выжимали производительность любыми возможными способами. Кстати про HPC, просто любопытства ради, LustreFS во FreeBSD есть? Если будете предлагать альтернативу, то помните, что речь про огромный кластер с InfiniBand (в качестве основной сети).
Но и с возможностями системы тоже бывают проблемы. И я не пытаюсь сказать, что FreeBSD -- это плохая система. Мне нравился FreeBSD своей упорядоченностью и лаконичностью (где, например, не нужно иметь 100500 утилит и разных API, чтобы тупо настроить беспроводную сеть и shaper+firewall). Однако от FreeBSD пришлось отказаться по вполне себе техническим причинам. Я вот уже последние лет ~12 я завязан на Linux по техническим причинам, а не "синдрому утёнка". Работа меняется, а FreeBSD всё никак не подходит (хотя мне с ним работать приятнее). Вот, например, следующая моя задача (после того, как закончу свою текущую задачу с CUDA) будет связана с разработкой под Ceph. И так вот много лет (от одной задачи под Linux к другой задаче под Linux).
но одно могу сказать в пользу бсд - у них очень стабильный апи. ломают конечно, но не так как в линукс. и там если уж что то работало 10 лет назад оно в большей части и будет работать. в линукс же частые скачки и оч мало доступной документации кроме мана. но из за этого бсд системы развиваются оч медленно.относительно линукс. но все же это не та фряха, что была скажем в 2007.
ABI. В портах есть такие misc/compat* предоставляющие слой совместимости с предыдущими версиями, которые позволят запускать собранное 20 лет назад на какой-нибудь 4.x на нынешней 12.x
Да-да, вот именно из-за PID1.
а для меня является. потому что с изменениями во всей базовой системе+системе виртуализации с redhat 6 проще на freebsd перейти, чем на новый редхат.
Поддерживаю. Сначала переводил с фряхи на линух, а теперь обратно ). "Судьба не лишена иронии" (с)
Даже и не знаю. С одной стороны вроде бы и нужно, а с другой стороны Лёнина реализация опять будет такой, что лучше бы оставить всё как сейчас...Надежда на то, что лет через пять допишут до нормального вида, как это обычно с Лёниными инициативами происходит.
Но не могу не выразить восхищения. Человек поставил себе целью не просто переписать юникс, а ещё и заставить всех этим пользоваться, и он таки шаг за шагом идёт к своей цели. Билл Гейтс и Стив Джобс занервничали, похоже, что Лёня подвинет их канонiчные образы.)))
Вот согласен вроде бы идеи крутые но реализации все как-то страдают может ему лучше куда-то в административеые работники идти пусть пишут те кто умеет
Нет, Леню если только в "кодеры" - писать реализации конкретных функции по чужим спецификациям. И отдел тестировщиков проверять за ним соответствие результата спецификациям.
Вы его код видели? Я примерчики приводил когда-то - и там жесть
Сам хотел как бы похвалить в духе третьего абзаца, только ещё прибавил бы "хуцпа что надо".
То есть мало-помалу вырисовывается программа Поттеринга, на которую все работают, и ядерщики, и гномщики.
Но, конечно, ничего бы у него не вышло, не будь сообщество свободного ПО в глубоком кризисе.
> вроде бы и нужно, а с другой стороны......ненужноД
Неюниксвейнинько
Чего все ноют про юниксвей? Забыли, что "GNU" означает?
> Забыли, что "GNU" означает?А причём тут ГНУ? Это РедХэт жжот напалмом.
Выжигает все что не АЙБИЭМ. Научились у условно бесплатных гугла, фейсбука денежки зарабатывают теперь делают тот же финт с системд.
После внедрения этой штуки, внедрять Linux на предприятии станет комфортнее. Но я уже вижу сколько всего нужно привести в порядок. Истерики будет порядочно.Переносимая пользовательская конфигурация.
В идеале, /etc нужно раздробить на 4 типа конфигураций:
1. Системная конфигурация
2. Стандартная пользовательская конфигурация
3. Локальная пользовательская конфигурация
4. Переносимая пользовательская конфигурацияСетевой вход в систему. В идеале systemd должен съесть PAM или в крайнем случае предложить специальный обязательный pam-модуль имени systemd.
Шифрование параметров аутентификации и кэширование сетевой аутентификации. В идеале должно быть ещё API для службы каталогов, которая всем этим управляет.
Локальные политики квотирования. В идеале подконтрольные внешним системам через API.
Это нужно не просто в systemd 244. Это нужно уже 20 лет, но конечно не пользователям и не админам-энтузиастам.
Уважаемый аноним с госпредприятия, тонкие клиенты ещё в 80х придумали, подключаемые сетевые фс тоже не сегодня, разделению конфигурации на уровне каталогов 100 лет в обед (там правда бардак, но исключительно по вине разработчиков софта и поттеринг это не исправит), LDAP и Kerberos тоже из 80х, и даже до картирования в 2к00х добрались.
Все эти возможности давно есть и ими давно и успешно пользуются, а раз вы о них не знаете, то мб позвать специалиста по внедрению (ну который админ энтузиаст).
> Все эти возможности давно есть и ими давно и успешно пользуютсяТы што делаешь, сейчас же у поттеринго-фанбоя картина мира рухнет.
> тонкие клиенты ещё в 80х придумали, подключаемые сетевые фс тоже не сегодня, разделению конфигурации на уровне каталогов 100 лет в обедВот только тут не про тощики речь.
> там правда бардак, но исключительно по вине разработчиков софта и поттеринг это не исправит
бардак в системных компонентах - залог однопроцентности.
> Все эти возможности давно есть и ими давно и успешно пользуются, а раз вы о них не знаете, то мб позвать специалиста по внедрению (ну который админ энтузиаст).
Мне о них прекрасно известно. Они все есть. Но работают они сбоку, требуют костылей и дополнительного энтузиаста, который это будет собирать воедино на предприятии. И вот если это всё стандартизировать на базе systemd, что собственно и делает поттеринг, то работать станет проще, а очередного сноба-костылеписателя можно будет уволить с работы.
> И вот если это всё стандартизировать на базе systemd, что собственно и делает поттеринг, то работать станет проще, а очередного сноба-костылеписателя можно будет уволить с работы.У костылеписателя есть какая-никакая архитектура в голове. У лёнькиных фанатиков, как и у него самого, в голове ничего нет.
Ещё раз спрошу - где в архитектуре этой системы описание серверной части? Или следующим делом сюда лёньчик впилит блокчейн своего собственного изготовления?
FreeIPA
> FreeIPAВ курсе этой системы. Где именно описано что этот сервис системд будет использовать freeipa? Судя по всему не очень то и хочется автору такого. Ничем иным хранение всего и вся в локальном профиле я не объясню. Вы ещё в его исходниках почитайте документашки на всё это безобразие. Что в джсоне мы полностью не описали, это постоянно меняющаяся система, хотите добавить что-то пишите запросы. Так и представляю регулярный перколбас схемы всего предприятия под очередной релиз системд.
> Где именно описано что этот сервис системд будет использовать freeipa?Не нужно путать причину и следствие. Это freeipa сможет воспользоваться новым функционалом для более удобного управления профилями в своём каталоге.
Чем, чем она может воспользоваться, простите? Не хватило написанного автором в "документации" что можете присылать что ещё хотите увидеть в профиле хоумед - я добавлю? Это возможность поломки всей схемы работы на новом релизе. Плюс там частично описаны зависимости когда и что срабатывает и как выбирается из кучи настроек. И тоже не скрижаль - может поменять в любой момент.
А там же рядом есть прекрасная мысль от него. Если параметры хранятся в нескольких местах то будем использовать тот параметр что новее по времени.
Ну и как вы собрались пользоваться из фриипа непонятным куском жсона? Это можно сделать только если втянуть в системд целиком фриипа и при каждой проблеме кричать: обновите всё на новую версию. Так и вижу как корпорации радуются непрерывной работе итшников и не работе нормальных работников. Обновлять же надо всё, зачем работать.
> У костылеписателя есть какая-никакая архитектура в голове. У лёнькиных фанатиков, как и у него самого, в голове ничего нет.Спор об авторитетности это заведомо не технический спор, это гуманитарный
Если руководствоваться гуманитарным понятием авторитета, образование Леннарта Поттеринга и других разработчиков Red Hat, а также их программисткое портфолио явно выше среднестатичического админа-энтузиаста доступного на рынке труда, скажем, в РФ. Так почему нужно доверять костылеписателю?К моему огромному сожалению, тут даже мнение российского разработчика / меинтейнера дистрибутива идёт лесом.
Ведь даже при наличии квалификации, образования и портфолио, его репутацию и авторитет на международной арене портит протекционистская политика российского государства, ведь все его продукты являются в РФ автоматически более выгодными, а иногда и обязательными в рамках импортозамещения вне зависимости от качества. Как следствие, эти продукты не несут значимости в портфолио, а личная репутация страдает от факта сотрудничества в этой сфере. Как бы громко, отчётливо, взвешенно и аргументировано ни звучало мнение российского эксперта в вопросах ПО, оно не будет услышано вне государственного протектората.
> Если руководствоваться гуманитарным понятием авторитета, образование Леннарта Поттеринга
> и других разработчиков Red Hat, а также их программисткое портфолио явнопростите, а что они - админят?
А то завтра к вам генеральным разработчиком придет авторитетнейший специалист по гендерным штудиям, обучавшийся в лучших университетах США (все равно других нет)
> выше среднестатичического админа-энтузиаста доступного на рынке труда, скажем, в РФ. Так
> почему нужно доверять костылеписателю?например, потому что он шкурно заинтересован в том чтобы у него было поменьше тyпой работы, и пользователи пореже вспоминали о его существовании.
В отличии от великих разработчиков ненужно, шкурно заинтересованных ровно в обратном - обеспечить себе регулярные транши денег доверчивых лохов и без малейшей возможности от их поделок и их самих отделаться.
Потом они сбегают в intel, microsoft или орацл на нажористые менеджерские места - а вы остаетесь с понапложенным ими мусором.
>> Если руководствоваться гуманитарным понятием авторитета, образование Леннарта Поттеринга
>> и других разработчиков Red Hat, а также их программисткое портфолио явно
> простите, а что они - админят?Разве непонятно? Лохов они админят. Лох-админ не мамонт, не вымрет.
как раз и вымрет - дЭффехтивный его уволит, начитавшись про zero brain administration.
И наймет четырех девляпсов на сэкономленные средства.деньги придется потом отдать редгаду, за поддержку, без которой эксплуатация этого немыслимого клубка невероятной хни уже давно обречена на постоянные факапы, но их проведут по другой статье, а по зарплатной выйдет экономия, ему еще и премию дадут.
> как раз и вымрет - дЭффехтивный его уволит, начитавшись про zero brain
> administration.
> И наймет четырех девляпсов на сэкономленные средства.Ну как же. Мы прямо здесь регулярно читаем про башпортянки, дворников и неспособность освоить прогрессивное. Вот их и разводят.А уж как они будут в отделе кадров проходит(админы, девляпсы, перверсивные юниксоиды) это не нашего ума дело.
так эти прогрессивные первыми под нож и пойдут. Они-то даже в дворники не годятся.Я еще задержусь ненадолго, в областях где быстроподнятое таки считается упавшим, а вариант "перезалить со вчерашнего бэкапа" - вообще не вариант, но, поскольку работать не из дерьма - скоро просто будет не из чего - свалю выгуливать собачек, это-то пока еще кое-как можно без "приложений" и "облачных решений", просто расклейкой бумажек по столбам.
Немного досадно что инженерная культура вымирает как класс. Там один авторитет что-то накропал - да как же мы жили без этого!!! За углом компания выпустила новость что их акробатические занятия в гамаке на лыжах подходят всем и каждому лучше чем обычный секис - вот они то да, сделали, не могут же соврать, я себе две пару возьму что бы в два раза удобней было. Протокол ЙЙЙ не может быть хуже протокола УУУ - он же примитивней, значит лучше так и пишет фирма ХХХ. Ни капли критического мышления и сомнений.
Перемещаемые профили, это очень удобно. Настолько удобно, что даже в домашней сети на два компа есть смысл поднимать для винды AD.Но вот вопрос по этой реализации
"Пример JSON-профиля пользователя:
"autoLogin" : true,"А если у меня несколько пользователей, заавтологинятся все одновременно?
А в чём собственно проблема? Как будто линукс не позволяет залогиниться в систему нескольким пользователям одновременно, какая разница если это произойдёт автоматически?
> А в чём собственно проблема? Как будто линукс не позволяет залогиниться в
> систему нескольким пользователям одновременно, какая разница если это произойдёт автоматически?Проблема в том, что у _персонального_ компьютера (даже корпопротивного), один дисплей, один мыш, один клавиатур.
И что? разве вы не можете залогиниться на копьютере с одним дисплеем, одной мишью и одной клавиатурой, где кто-то уже залогинен?
> И что? разве вы не можете залогиниться на копьютере с одним дисплеем,
> одной мишью и одной клавиатурой, где кто-то уже залогинен?"autoLogin" : true,"
На _персональном_ компьютере это означает полный монопольный доступ к консоли(дисплею,мыше,клаве).
Чтобы на _персональном_ компьютере залогиниться второму человеку, ему нужно вначале -стукнуть табуретом-^W прогнать предыдущего.
Я не знаю, что у вас за компьютер и система, не понимаю почему это означает полный монопольный доступ к консоли(дисплею,мыше,клаве). У меня на компьютере несколько пользователей могут быть залогинены одновременно. Действительно в случае если им нужны клавиатура, мышь или монитор, то им приходиться пользоваться поочереди, но залогинены они одновременно, и могут одновременно выполнять приложения. Вы видимо путаете понятия "одновременно использовать клавиатуру и мышь" с понятием "одновременны выполнять приложения".
> Я не знаю, что у вас за компьютер и система, не понимаюЭто видно.
> почему это означает полный монопольный доступ к консоли(дисплею,мыше,клаве). У меня на
> компьютере несколько пользователей могут быть залогинены одновременно.Возьмем для примера такой же частный случай, как твой локалхост:
На большинстве вебсерверов одновременно залогинено больше одного пользователя, а на многих выполняются приложения и от пользователя.
Значит ли это, что каждого для залогиненого пользователя переносится его ~/home? (включая документы, фотки, музыку, фильмы, прочее г)
Переносится с опцией "autoLogin" : true,"?В каких случаях нужно переносить на другую систему ~/home? (включая документы, фотки, музыку, фильмы, прочее г)
С опцией "autoLogin" : true,"?
Можете нормально объяснить проблему без перехода на личности? Я не один здесь, котрый Вас не понимает.
> Можете нормально объяснить проблему без перехода на личности? Я не один здесь,
> котрый Вас не понимает.Тут нет перехода на личности. Есть объяснение что не нужно экстраполировать свой один частный (ограниченный (_вероятно_ условиями одного компа=localhost)) случай на все остальные.
Либо мы имеем дело с сервером (терминальным/RDP), тогда нет вопросов про профили пользователей (но есть про автологин).
Либо мы имеем дело с условно _персональным_ компьютером, на котором одновременно работает один пользователь (и _иногда_ работают другие). Предположим это корпоративная (или кооперативная) среда (небольшая фирма или домашняя семейная сетка) в которой пользователи иногда пересаживаются за другие рабочие места, но в основном работают за своими персональными.Перемещаемые профили тянут с собой кучу _персональных_ документов пользователя и настройки ПО.
Хорошо, натянем сову на глобус - дополнительные копии документов, могут быть рассмотрены как дополнительные бэкапы. (вопрос как будут синхронизироваться профили, если пользователь владелец профиля на одном из компов удалит или изменит документ - в остальных _залогиненных_ профилях на других компах что произойдет?). Бэкапы профилей как делаются? Один пользователь - один бэкап (с какого компа берется акутальный?), или один комп - один бэкап (Сотни десятков копий одного и того же. И забудь про дедупликацию. они шифрованные).Софт, ПО не требующее установки в систему, автоматически запускающееся при логине и работающее в фоне, (например IM асько/irc/skype/voip) оно как себя будет вести?
На какой компьютер, в какую сессию прилетит входящее событие? а voip вызов?
Сервер этого (IM асько/irc/skype/voip) куда пришлет сообщение? А он умеет множественные коннекты одного логина (даже skype и xmpp/jabber _как_бы_ поддерживающие это by designe делают это "не очень хорошо")?
А pop3 почтовые клиенты, при получении письма удаляющие его с почтового сервера? Да даже imap отмечающий письма как прочтенные.Пользователь сядет залогинится на новый комп N+1, какой из уже залогиненых профилей будет перенесен (скопирован)? тот который ближе, или тот за которым пользователь работал час назад?
А синхронизация открытых документов и изменений в них?И есть еще множество других вопросов, на опыте практической эксплуатации многопользовательских систем в продакшене за ХХ лет. (нет, я не давлю своим опытом и "авторитетом", как пытаются делать тут /некоторые/).
Мне _просто_ _интересно_, ЗАЧЕМ СДЕЛАН АВТОЛОГИН?
Ни один из комментаторов даже не попытался рассмотреть вопрос по существу, все аргументировали только тем что могут это делать.
- Зачем собака (себе) balls лижет?
- Потому что может!На практике "один комп = несколько пользователей", "несколько компов = несколько пользователей" и "несколько компов несколько ПЕРЕМЕАЮЩИХСЯ пользователей" ОЧЕНЬ разные ситуации, и с последним случаем комментаторы сталкивались чуть реже чем никогда.
Отдельный вопрос - автологин профиля принесенного на флешке. Это же получается что добрый хакер придет "в гости", воткнет "заряженную" флешку и сразу получит доступ? КАК В КИНО?
> Чтобы на _персональном_ компьютере залогиниться второму человеку,
> ему нужно вначале -стукнуть табуретом-^W прогнать предыдущего.Нет.
>> Чтобы на _персональном_ компьютере залогиниться второму человеку,
>> ему нужно вначале -стукнуть табуретом-^W прогнать предыдущего.
> Нет.
> https://sdelanounas.ru/blogs/119017/Все эти пользователи работают на/в одной системе. Не соответствует условию^W цели.
"Основная идея проекта в создании самодостаточных окружений для данных пользователя, которые можно _переносить_ между _разными_ _системами_, не заботясь о синхронизации идентификаторов и конфиденциальности."
> Все эти пользователи работают на/в одной системе.Да.
> Не соответствует условию^W цели.
Ну я-то на Ваше утверждение предложил возражение, а не на неизвестные мне цели Шляпперинга и Полосочек. :)
>> Все эти пользователи работают на/в одной системе.
> Да.
>> Не соответствует условию^W цели.
> Ну я-то на Ваше утверждение предложил возражение, а не на неизвестные мне
> цели Шляпперинга и Полосочек. :)Новость не читай, коммент набивай!
Ну что тут такого. У первого пользователя всплывет окошко - к вашему ПК хочет подключиться васяпупкин. Разрешить да/нет? А одноврменная работу удаленно может быть только у одного, ну ладно, двух пользователей. А для работы нескольких человек надо писать systemd-terminald. Но это тема версии 264 или 265. Но это не точно.
> Ну что тут такого. У первого пользователя всплывет окошко - к вашему
> ПК хочет подключиться васяпупкин. Разрешить да/нет? А одноврменная работу удаленно может
> бытьА.. эээ... кхм. Какое окошко? Какое такое удаленно? Логин на _персональном_ компьютере - это полный монопольный доступ к физической консоли (дисплею,мыше,клаве).
Новость про то, что если удаленный васяпупкин внезапно захочет поработать в любимом окружении, оно к нему ТУДА в удаленную даль приедет, и он ТАМ вдали залогинится локально.
Совершенно не понятно, зачем профили будут _авто_логиниться на всех компьютерах, где пользователь бывал раз в жизни (и возможно больше никогда больше).
Эхх, не ходил по рдп на ПК пользователей? Вот то самое окошко у них и всплывает про попытке нескольких пользователей залогиниться одновременно. А на серверах по умолчанию 2 логина одновременно. Для остального надо у мс использовать терминальный сервер.> Логин на _персональном_ компьютере - это полный монопольный доступ к физической консоли (дисплею,мыше,клаве).
Ну да, ссш то у нас отменили. Если не совсем то с этим новым системд-хомед уж точно. Теперь это действительно персональный компьютер. Надо бы ещё как в продвинутых системах запретить несколько приложений на экране показывать. Только одно приложение фуллскрин. Заживем тогда.
> если удаленный васяпупкин внезапно захочет поработать в любимом окружении, оно к нему ТУДА в удаленную даль приедет, и он ТАМ вдали залогинится локально.
Откуда оно приедет? Каким образом? И лицензионный КАД с одного места к нему туда приедет, для примера?
> Эхх, не ходил по рдп на ПК пользователей? Вот то самое окошко
> у них и всплывает про попытке нескольких пользователей залогиниться одновременно. А
> на серверах по умолчанию 2 логина одновременно. Для остального надо у
> мс использовать терминальный сервер.вот именно что "сервер". сервер это какая ни какая корпорация, там свои правила.
>> Логин на _персональном_ компьютере - это полный монопольный доступ к физической консоли (дисплею,мыше,клаве).
> Ну да, ссш то у нас отменили. Если неэто уже не персональный компьютер.
>> если удаленный васяпупкин внезапно захочет поработать в любимом окружении, оно к нему ТУДА в удаленную даль приедет, и он ТАМ вдали залогинится локально.
> Откуда оно приедет? Каким образом? И лицензионный КАД с одного места к
> нему туда приедет, для примера?Про лицензионный софт вопрос интересный но не ко мне вопрос.
>>> Логин на _персональном_ компьютере - это полный монопольный доступ к физической консоли (дисплею,мыше,клаве).
>> Ну да, ссш то у нас отменили. Если не
> это уже не персональный компьютер.Все линухи - не персональные ПК. Все винды 10ки в будущем - не персональные ПК. Потому что все содержат ssh. Самому-то не смешно?
> Про лицензионный софт вопрос интересный но не ко мне вопрос.
Хорошо, не лицензионный а просто открытый софт. Откуда он возьмется на первой попавшейся машине, что бы пользователь поработал "в любимом окружении"?
>>>> Логин на _персональном_ компьютере - это полный монопольный доступ к физической консоли (дисплею,мыше,клаве).
>>> Ну да, ссш то у нас отменили. Если не
>> это уже не персональный компьютер.
> Все линухи - не персональные ПК. Все винды 10ки в будущем -
> не персональные ПК. Потому что все содержат ssh. Самому-то не смешно?Не вижу как ssh отменяет персональность. А вот автологин нескольких профилей _одновременно_ персональность ставит под очень большой вопрос.
>> Про лицензионный софт вопрос интересный но не ко мне вопрос.
> Хорошо, не лицензионный а просто открытый софт. Откуда он возьмется на первой
> попавшейся машине, что бы пользователь поработал "в любимом окружении"?Открытый софт легко ставится пакетом при логине из репозиториев. Кроме ширины канала связи легко решаемый вопрос.
> Не вижу как ssh отменяет персональность. А вот автологин нескольких профилей _одновременно_
> персональность ставит под очень большой вопрос.Ещё разик.
--
> Ну да, ссш то у нас отменили.это уже не персональный компьютер.
--Это твой ответ на мой комментарий или нет?
Так вот к твоему сожалению большому этот ссш пропихивается везде. Раньше он был только в линухах, но его тянут и в десяточку. Теперь ты ещё будешь рассказывать что это не персональный ПК, если есть ссш?
И если ты не в курсе то давным-давно люди используют ssh user@comp1,
Enter-PSSession -ComputerName comp1, psexec.exe \\comp1 CMD -u user1 в зависимости от того что удобней. И на ПК получается логин в несколько профилей одновременно.>>> Про лицензионный софт вопрос интересный но не ко мне вопрос.
>> Хорошо, не лицензионный а просто открытый софт. Откуда он возьмется на первой
>> попавшейся машине, что бы пользователь поработал "в любимом окружении"?
> Открытый софт легко ставится пакетом при логине из репозиториев. Кроме ширины канала
> связи легко решаемый вопрос.А, ну да. Осталось понять кто права этому пользователю даст в чужой системе что-то ставить. У него вон даже /etc только для чтения должно быть. Ты лёнину презенташку и его ответы смотрел?
Совсем забыл. Права то у нас тут же в профиле лежат - там группу wheel можно самому себе прикатать. Ну и осталось понять что делать когда приедет не та версия ПО, с другим файлом конфигурации.Не надоело ещё бедную сову на глобус натягивать?
>> Не вижу как ssh отменяет персональность. А вот автологин нескольких профилей _одновременно_
>> персональность ставит под очень большой вопрос.
> Ещё разик.Потрудись пояснить, как ssh отменяет персональность?
> --
>> Ну да, ссш то у нас отменили.
> это уже не персональный компьютер.
> --
> Это твой ответ на мой комментарий или нет?это мой ответ на бессмысленный комментарий.
> Так вот к твоему сожалению большому этот ссш пропихивается везде. Раньше он
Раньше не было интернетов. У некоторых был сеансовый модемный доступ, потом низкие скорости и провайдерский NAT мешали. Сейчас "высокоскоростной" широкополосный а ipv6 адресов хватит каждой пуговице на подштаниках.
> был только в линухах, но его тянут и в десяточку. Теперь
> ты ещё будешь рассказывать что это не персональный ПК, если есть
> ссш?
> И если ты не в курсе то давным-давно люди используют ssh user@comp1,ssh извращение^W не для _пользователей_. Как ходить браузером в фейсбук без GUI ?
ок. у тебя есть комп, с которого ты по ssh заходишь на другой комп, там логинишся (при этом туда подтаскивается твой ~/home с твоего компа)...
Но стоп!
А зачем, так делать?Вот подтаскивать весь ~/home на другой комп, когда _пользователь_ туда ножками пришел, сел за клавиатуру и видит GUI на мониторе - я понимаю. А когда ты по сети, по ssh занимаешся redглазием, ЗАЧЕМ?
>> Открытый софт легко ставится пакетом при логине из репозиториев. Кроме ширины канала
>> связи легко решаемый вопрос.
> А, ну да. Осталось понять кто права этому пользователю даст в чужой
> системе что-то ставить.systemd-homed
> Не надоело ещё бедную сову на глобус натягивать?
Надоело на это смотреть. Оставь сову, глобусу больно.
99% потенциальных пользователей на которых ориентирован systemd-homed обычные домохозяйки и их подружки, они пользуются только GUI (и не используют осознанно ssh).
> Потрудись пояснить, как ssh отменяет персональность?Ай маладца. Сам объяснил что ПК с ссш это не персональный. А теперь от меня требуешь объяснить как же это ссш отменяет персональность. Больше жару, больше.
> это мой ответ на бессмысленный комментарий.
Какой бессмысленный комментарий? Ты в курсе что логиниться, и использовать профиль, в системе можно разными способами? В том числе по ссш. И получается несколько профилей задействованы одновременно.
> Раньше не было интернетов. У некоторых был сеансовый модемный доступ, потом низкие скорости и провайдерский NAT мешали. Сейчас "высокоскоростной" широкополосный а ipv6 адресов хватит каждой пуговице на подштаниках.
Это ты по книжкам федорчука и башоргам начитался что-ли? Мне не надо втирать эту мазь. Собственно я не то что бы это застал, я даже местами это строил с нуля. По поводу широколосности и ипв6 хватит всем сильно посмеялся. Что ипв6 у большинства за горизонтом, что "широкополосность" и "высокоскоростность" там же. Выйди из интернетов и походи по реальному миру. Мне хватило тестирования одного здания. И по результатам развертывания пикосот LTE. Где в кабинет зайдешь связи нет. В коридор выйдешь - регулярные прыжки 4g-3g и нормального интернета нет из-за этого. Хотя в вашей смузишной бесплатный вайфай, о чём это я.
> ssh извращение^W не для _пользователей_. Как ходить браузером в фейсбук без GUI ?
Поддай жару, поддай. Тебе примеры привели как несколько профилей может использоваться одновременно. Хочешь что-то новенькое узнать? Жми с шифтом правой кнопой мыши по ярлыку приложения. А там выполнить от другого пользователя. Програмка поиспользует профиль другого пользователя.
> ок. у тебя есть комп, с которого ты по ssh заходишь на другой комп, там логинишся (при этом туда подтаскивается твой ~/home с твоего компа)...
> Но стоп!
> А зачем, так делать?
> Вот подтаскивать весь ~/home на другой комп, когда _пользователь_ туда ножками пришел, сел за клавиатуру и видит GUI на мониторе - я понимаю. А когда ты по сети, по ssh занимаешся redглазием, ЗАЧЕМ?А это у тебя и у лёньки надо спросить. Что за болезнь у вас такая - сами придумали проблему, сами героически решили.
И не сползай с темы. Мы говорили про профиль пользователя, а не весь хоум. Хочешь считать вместе с лёней что надо его тянуть везде - да ради бога. Некоторые художники и в баночки закатывают своё, родное на продажу. У вас это искусством кличут.> systemd-homed
С какой радости он это разрешит?
> Надоело на это смотреть. Оставь сову, глобусу больно.
Проекции, проекции как это всё однообразно у вашего брата.
> 99% потенциальных пользователей на которых ориентирован systemd-homed обычные домохозяйки и их подружки, они пользуются только GUI (и не используют осознанно ssh).
Ты только с своими друзьями то договорись для чего это всё. А то они тут неподалеку кричат что это энтерпайз и для корпораций. Ты что только для домашнего ПК. Вы уж как-нибудь выберете ориентацию свою.
И ты так и не прояснил что тебе мешает сейчас флешку с хоумом перетащить на другой ПК. Команду chown не знаешь?
Вот совершенно не интересно общаться с персонажем, который из своего частного случая выводит глобальные глупости.
Живи в своем ограниченном мире и будь счастлив.
Вот такие фанатики лёни немощные. Им обычный вариант работы предлагаешь, и получаемые грабли, они в ответ в голубя играют. Рассказывают про частный случай и глобальные глупости. Надеюсь ты понял как запустить ПО от другого пользователя так что бы оно взяло данные из соответствующего профиля?
> вот именно что "сервер". сервер это какая ни какая корпорацияИкс-сервер особенно.
есть сомнения, что systemd пытаются сделать незаменимой, иначе говоря, поставить всю систему в зависимость от systemd, а когда нужно будет заменить systemd на другую систему инициализации, это будет трудно сделать из-за зависимостей от systemd
>есть сомненияУже давно всё так!
Больше того само ядро теперь нельзя заменить. Ни на бсдешное ни на какое другое, которое напишет гугл или даже хуавей.
Давно уже ждем конференцию на которой Леня наконец представит "systemd-kerneld".
Привязка системд к ядру такая что теперь нельзя будет поменять ядро и будущему создателю другого ядроа придется переписывать даже уже написанный софт под своё ядро.
дурацкиеПараметрыСМаленькойБуквы!Х Хуже придумать уже не могли, видимо.Когда в линуксе уже реестр появится??
Уже давно. man dconf
Идея может была бы здравой, будь она реализована в каком-нибудь nix/guix, но натягивать её на классические линукс-системы...
Подключил, допустим, флешку к другой машине, а там ВНЕЗАПНО КДЕ вместо моего xmonad, хром вместо браузера, емакс 24, а не 26, а средств разработки отродясь не было установлено, потому что компьютер дизайнера, а не программиста. И что тогда? Шиш, а не "рабочее окружение на любом компьютере"? Или предполагается, что я всю систему ношу с собой? К чему тогда эти костыли, если можно просто загрузиться с флешки?
Не переживай так, в json запихнут ссылки на snap пакеты твоего окружения и всё будет как обычно ... только система дизайнера потом будет чувствовать себя изнасилованной.
А вот кстати это единственный вариант развития этой хммм системы. По задумке пользователь таскает свой хомяк с настройками всего. Представим что он пришел в комп с отсутствующим ПО, либо с ПО более новой версии(которая настройки ему перепишет). Получим либо невозможность работы, либо, при втыкании в ПК с более старым ПО, ругань(как минимум). Единственный выход что бы всегда работало - таскать пользователю и флетпаки с собой в этом домашнем каталоге. Тогда всё логично.
С такой флешки?Intel® Compute Stick
https://www.intel.ru/content/www/ru/ru/products/boards-kits/...
лёня с гномосеками уже работает над этим, уже скоро у тебя на линукс не сможет оказаться ВНЕЗАПНО ничего кроме гнома.
> Из достоинств предложенной системы отмечается возможность управления пользователями при монтировании каталога /etc в режиме только для чтения, отсутствие необходимости синхронизации идентификаторов (UID/GID) между системами, независимость пользователя от конкретного компьютера, блокировка данных пользователя во время перехода в спящий режим, применение шифрования и современных методов аутентификации. Systemd-homed планируется включить в основной состав systemd в выпуске 244 или 245.У нас так же неадекватные люди когда свой велосипед хотят пропихнуть, про его преимущества песни поют
А адекватные как-то иначе пропихивают свои поделия?
Новость нормальная, не надо связывать свою нелюбовь к Поттерингу с автором новости и минусовать новость.Это все давно есть в семействе puppy linux. А именно -- полноценная сессия в виде отдельного файла, которую находит система при загрузке. Велосипед изобретен при помощи SquashFS и AuFS еще в 2003 году. При этом все системные файлы остаются на своих местах. Но да, когда у вас Ubuntu или Fedora с системой "Д" на борту, надо изобретать велосипед заново. С тремя колесами и пропеллером.
Ну так и делал бы как в puppy, а поттеринг то все через одно место делает - через монолитный системд
> Ну так и делал бы как в puppy, а поттеринг то все
> через одно место делает - через монолитный системдчерез это самое одно место и делает...
на соляре уж и забыли когда это уже было новинкой
Как это реализовано там? Как решена проблема различающего ПО на разных системах?
не поверишь, usr на NFS
Ну, это и в линуксе можно. Тут же идея, насколько я понял этого неуёмного изобретателя колёсных транспортных средств, в автономности решения.
Не проще ли и безопасней грузится с внешнего USB диска, если тебе нужна автономность?Вопрос ведь не только в данных и конфигах, но и в установленном софте.
При использовании загрузочного диска нет возможности одновременной работы нескольких пользователей, хотя, проще эту проблему решить кониейнеризацией, чем городить такую кучу костылей для довольно-таки узкой области применения.
> Не проще ли и безопасней грузится с внешнего USB диска, если тебе
> нужна автономность?С USB, если это не специальный дистр (puppy, papyrus, porteus) -- все будет грузиться и работать довольно медленно.
По-моему, вполне логично для решения специфичной проблемы использовать специфичный дисьрибутив, разве нет?
> По-моему, вполне логично для решения специфичной проблемы использовать специфичный дисьрибутив,
> разве нет?по-моему тоже. я использую и люблю puppy linux
~~~~~~~
каждый человек по-своему прав, а по-моему нет...
USB3 использовать религия не позволяет?
Найдешь в моем компьютере USB3, я тебе 10$ подарю.
Значит, тебя устраивает эта медленная скорость, не жалуйся.
Хочу заметить, что от данной идеи несет махровой корпоративщиной. Так что нефиг обсуждать, как это может работать, лучше думайте, как это выпилить ;) Или вообще избежать. Чо там, в вашем системдэ отдельные компоненты не отключаются, и все это выглядит как монолитный кусок г-на?
Естественно, не отключаются, для это и толкают всё в PID 1.
Скоро там не то что отключить самому что-либо написать без системд будет невозможно. Будет платная лицензия для написания софта для системд.
С самого начала именно так и выглядит. При этом основная фича - инифайлы вместо /etc/init.d - там в общем-то неплохо реализованаНу хоть kdbus видимо уже не светит, они теперь с varlink носятся. Всё лучше, чем dbus в ядро тащить
Кстати расскажите им кто-нибудь про семвер. Еще можно было представить такого монстра, который растет по версиям раз в год. Но такой ролинг и непонятно какая версия стабильная и какую можно оставить в дистре на несколько лет.
systemd, стабильная версия. Найди лишнее.
>Найди лишнее.systemd?
Традиционный вопрос: как это отключить навсегда?
> PID 1 - динамически создаёт пользователейхинто: никак
Видимо, только сменив свой дистрибутив (на любой без systemd). Причем чем раньше ты это сделаешь, тем проще тебе будет потом..
походу - уже никак. И дальше будет только хуже (имхо). Возмлжно настолько, что масдайка сказкой покажется (о! А не засланный ли Лёня казачёк? Ну как это было когда-то с "нокией")
Так что вариантов немного - или ставить, что старое и неподдерживаемое (типа -бунты 14й), что для десктопа не так уж и страшно - лет 5 ещё можно будет просуществовать. Или переходить на дистр без sd - благо они пока есть. Другой вопрос, что не все они дружелюбны, а многие не хотят прятаться в помидорах с красными глазами - очень удобно). Лично просматривю сейчас 19й МХ - даже бета у меня вполне нормально работает. Да - sd в нём есть, то пока лежит трупиком, а как будет дальше - "будем посмотреть". Может и правда на какую бсдю начать смотреть?ЗЫ. Тут проблема не столько в sd, сколько в том, что он становится почти безальтернеативным. Вроде Хоромого Гугля, который, точно так же, под радостные возгласы "прогрессоров" сожрал практически всё вокруг себя.
А какую проблему это решает?
В новостях про systemd правильнее спрашивать: "а какие проблемы это создаёт?"
Правильнее - "А какие проблемы это не создает?"
> А какую проблему это решает?это создает проблему. решать будут другие. Red Hat? HatRed!
Когда уже systemd-*d
systemdnix
Осталось только флешки научить монтироваться автоматом
Хмм.. бубунта же умеет - разве нет?. По крайней мере с 14й. И флешки и внешние диски. Разве что exFAT доставлять надо (один раз одна строчка в терминале).
Во всяком случае, у меня это срабатывает - воткнул и получил открытое окно с файлами флешки.
Размонтировать - это да. Это надо (как и везде).
Но может Лёня придумает какой flashd с подключением ИИ (что бы только за флешку взялся, а она уже отмонтировалась) - одна надёжа на него. Только он прогресс и двигает.ЗЫ. Кстати, в порядке бреда - а почему бы и нет? Только не через лёню, а через емкостной сенсор на самой флешке и какую простейшую утилитку, что считывает сигнал с этого самого сенсора: пока флешку держишь, она не монтируется (размонтируется). Пальцы убрал - она подмонтировалась.
>включая данные об имени, хэше пароляНо зачем? Разве нельзя действовать по принципу "профиль расшифровался ключом, выведенным из пароля с помощью argon2 - значит данные верны"?
Нет, нельзя. Лёня делает всё как в мире корпораций. Но так как он не делал ничего подобного - делает как умеет. Он слышал что хранится всё, вплоть до номеров телефонов. Вот и запихал в профиль пользователю.
Да там вообще бред, включая путь к хомяку, атрибуты монтировки и членство в группах О_о...
Пора бы уже какой-то Linux Core сделать без всех этих свистелок-перделок.
Ну так сделай
>>> Основная идея проекта в создании самодостаточных окружений для данных пользователя, которые можно переносить между разными системами, не заботясь о синхронизации идентификаторов и конфиденциальности.И кто запретит мне на ПеКа, за котором будут работать эти "портабельные" пользователи, установить троян копирующий их профили?
Совесть? Пользователям и так не сладко приходится
ну это сугубо их вина, что не хотят учится к.грамотности. да и государства тоже.
Nobody nogroup все движется все вертится , пере изобретается. А , как насчёт того что бы убунту пересобрать с /usr/local/bin полностью что бы при компиле не править линки glib2.0 у меня такой уже есть , ядро есть что осталось подскажите иксы , всякие хорг устроиства клавы , пады итд.
А не проще ли все выкинуть, оставить только гипервизор, систему авторизации, систему синхронизации, а после авторизации пользователя запускать его виртуальную машинку и пофиг где она лежит, в сети, на флешке или локально...
Свободный ефи и что потом с ним делать ? /usr/local/etc /usr/local/bin я вот предлагаю делать новую систему в которой вот так будет и сделаем ее на системд которая утянет гном с зависимостями только из usr/bin потом когда там всё будет готово делаем в убунте apt purge systemd в итоге получаем оголенную систему из которой потом выбросим костыли , пока названо так https://github.com/Griggorii/glib_18042019-1_amd64-lag-new-t... на самом деле это не лаг это рабочии глиб который работает из /usr/local/ и по этому дконф на него не действует по тому что тогда и дконф должен быть приблизительно в тех местах по пути /usr/local/bin
Вообще не нужно! Есть LDAP! Я так понял Поттеринг прогнулся, хотя уже давно является шестеркой у корпоративных воротил которые все думают как быстрее заработать и легче просунуть бекдор для АНБ.
А тут тебе на, прям благодать для CVE и бекдоров...
Я считаю опен сорс сообщество должно блокировать данные инициативы, так как они деструктивны!
Очень полезная вещь homed.
Как ее через sysinit запустить?
man mount
Про "фатальный недостаток" уже шутили?
Тут уже не до шуток, молодой человек
Как же мы жили раньше без этого! Спасибо тебе, Леннарт!
"не заботясь о синхронизации идентификаторов и конфиденциальности"Это вин. Слов нет просто.