Forum Debian Users Gang

Eeee, zainstaluj Debiana stable, tam wszystkie aktualizacje to tylko poprawki. ;)

551

Ostatnio edytowany przez uzytkownikubunt (2016-12-01 00:47:14)

loop napisał(-a):

I co najważniejsze możesz naprawdę zbudować system od podstaw.

No, nie zgodzę się. Prawdziwe od podstaw to tylko z Linux From Scratch.

uzytkownikubunt napisał(-a):

a po drugie jednak Stable jest nawet na Sandy Bridge za stary.

Od czego są backporty. Możesz z nich zainstalować najnowsze wersję wybranych pakietów (np. kernel), a cała reszta zostanie dalej w XIV w.

Poza tym zastanawiam się czemu Debian nie może być "systemem od podstaw". Można postawić minimalnego Debiana przez debootstrap albo netinstall i pozmieniać dosłownie wszystko. GRUB => extlinux, dowolny init system, dowolny desktop :-P

Ostatnio edytowany przez Kaleson (2014-03-10 22:23:03)

No, nie zgodzę się. Prawdziwe od podstaw to tylko z Linux From Scratch.

Racja, ale autorowi chodziło raczej o coś co ma pochodzić dłużnej niż tydzień od momentu zbudowania ;)

nie trać czasu na kompilowanie paczek

I to mówi użytkownik freebsd - wstyd ;)

Argument z marnowaniem czasu przy kompilacji mógł mieć racje bytu 10lat temu jak królowały Celerony 333A ;)
Teraz sprzęt z dolnej pólki (core 2 duo i 2GB ramu) pozwolą postawić gentoo z LXDE/KDE base w ~3-4h (razem z partycjonowaniem dysku i ustawieniem konfiga kernela).
Co do aktualizacji to w przypadku gentoo stable mozna puscić w crona raz na tydzień i przekompilować te kilka/kilkanaście paczek w trakcie oglądania filmu i mieć 99% pewności, że system wstanie i będzie działał.

Grsec na desktopie? Da się ale będą jaja ze sterownikami do grafiki - ale w tym specem jest Jacekalex ;)

@loop
Co do FreeBSD są też gotowe binarne paczki - jak lubisz możesz kompilować (ale jest to trochę mniej przyjemne jak na Gentoo) a możesz pociągnąć binarke i mieć z głowy.

Kaleson napisał(-a):

uzytkownikubunt napisał(-a):

a po drugie jednak Stable jest nawet na Sandy Bridge za stary.

Od czego są backporty. Możesz z nich zainstalować najnowsze wersję wybranych pakietów (np. kernel), a cała reszta zostanie dalej w XIV w.

W backportach wszystkiego nie ma. A przechodząc do konkretów: dla Sandy Bridge — poza kernelem — nie ma zupełnie nic.

loop napisał(-a):

No, nie zgodzę się. Prawdziwe od podstaw to tylko z Linux From Scratch.

Racja, ale autorowi chodziło raczej o coś co ma pochodzić dłużnej niż tydzień od momentu zbudowania ;)

Tego da się używać "dłużej niż tydzień". Można nawet spróbować zbudować kompletny system pod siebie. Ale fakt, za dużo z tym zabawy.

Z drugiej strony warto poznać takie dystrybuje oparte na źródłach (Gentoo, LFS) i odpocząć trochę od Debiana i jego polityki... ;)

Jeśli chodzi o dostosowanie systemu pod siebie, tam dużo łatwiej to zrobić niż w Debianie.

Ostatnio edytowany przez pioki (2014-03-11 07:40:48)

Postawić jakieś lxde przy pomocy portów też nie jest dużo. Swego czasu na atomie 270 kompilowałem gcc pod FreeBSD i też się dało, więc nie mówcie że środowisko to jest dużo.

Wszystkie.

System jest tak bezpieczny, jak jego najsłabszy element.
Dziurawa może być biblioteka libjpeg, libpng, dziurawa może być  biblioteka zlib (jakiś czas temu miała dziurę wielką jak drzwi do stodoły), dziury mogą być w bibliotekach ffmpeg, potężna dziura była niedawno w grepie.

Praktycznie nie ma czegoś takiego, jak ważniejsza z z punktu widzenia bezpieczeństwa, jak jest w użyciu jakaś biblioteka czy program, ze znaną dziurą, to prędzej czy później zaczną się próby wykorzystania tej dziury.

Właśnie dlatego w systemie, w którym się poważnie traktuje kwestie bezpieczeństwa, aktualizacje bezpieczeństwa obejmują wszystkie elementy składowe systemu, a nie jakiś base system wewnętrzny.

Z punktu widzenia bezpieczeństwa, dziura w javie, przeglądarce  czy flashu albo komunikatorze  jest tak samo poważna, jak w bibliotece openssl czy jakimś sterowniku.

Zwłaszcza, ze wszystkie prywatne informacje, klucze ssh i gpg, i hasła do setki różnych usług sieciowych  masz na koncie użyszkodnika, a nie na koncie root.

Dlatego szukanie ważniejszego i mniej ważnego elementu nie ma większego sensu.

Jedyna ocena ryzyka może dotyczyć tego, czy dany program łączy się z netem bądź otwiera jakieś pliki z netu.
Np poważna luka w bibliotece poppler może spowodować ryzyko skutecznego włamania przez odpowiednio spreparowany plik PDF.
Całkiem sporo Iphonów można zrootować takim spreparowanym PDFem,
choć IOS podobno bazuje na super bezpiecznym BSD.

Właśnie dlatego nie ma co szukać ważniejszych i mniej ważnych elementów, nie ma to większego sensu przy aktualizacji systemu, jedynie przy tworzeniu profili Apparmora czy Selinuxa można brać pod uwagę różne grupy ryzyka, bo po prostu nie da się każdego zainstalowanego programu z osobna chronić profilami do systemu ACL, bo taki system ACL by zajął za duży procent procka na zwykłym desktopie.

Dlatego zawsze w projektowaniu systemu ACL bierze się pod uwagę kompromis między bezpieczeństwem a funkcjonalnością i kosztem zapewnienia takiego czy innego poziomu bezpieczeństwa.

Zresztą spróbuj postawić np Debiana czy CentOSa (desktop) chroniony SElinuxem w trybie strict, to zobaczysz, co jest grane. :D

Pozdro
;-)

561

Ostatnio edytowany przez uzytkownikubunt (2016-12-01 00:47:27)