Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!
Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.
1321
Ostatnio edytowany przez uzytkownikubunt (2016-12-01 01:04:17)
Offline
Mógłbyś mi wytłumaczyć w jakim celu? Ja zawsze starałem się zminimalizować ilość partycji.
Offline
Np. dla bezpieczeństwa czy dla swobody operowania na plikach -- raczej nie zamontujesz / z opcją noexec, a /tmp już tak. xD Wiadomo, że logi się ostro fragmentują, a przez nie będą się inne pliki fragmentować, więc by to nieco ograniczyć, to sobie wrzucasz, /var/log na osobną partycję i tyle. oddzielny /usr , np. by zamontować wszystkie programiki w trybie RO, bo i tak raczej tam nic nie zapisujesz, jedynie co to przy instalacji via apt, trzeba by przemontować to na RW, ale jest regułka by apt robił to automatycznie. Do tego /home /boot /var/cache/apt albo i cały cache -- więcej partycji nie pamiętam ale im bardziej jest podzielony dysk, tym szybciej operacje odczytu/zpisu na nim przebiegają, bo zamiast jednej dużej przestrzeni masz szereg mniejszych, ciągłych i głowica nie lata jak pojebana po całym talerzu, o ile to HDD. xD Z tym, że ja tam wolę trzymać to wszystko na jednej fizycznej partycji i dorobić do tego lvm -- zasada działania jest taka sama, tyle, że mogę zwyczajnie zrobić backup jednej partycji i mieć zwarty system na niej, zamiast robić kopie binarne każdej z nich i przywracać je po kolei. xD
Offline
Od wydzielanego katalogu /usr się już odchodzi.
Początkującym osobom bym odradzał tworzenie osobnej partycji.
https://fedoraproject.org/wiki/Features/UsrMove
http://www.freedesktop.org/wiki/Software/systemd/Th … rTheUsrMerge/
http://freedesktop.org/wiki/Software/systemd/separate-usr-is-broken/
Defragmentacja dla użytkowników Linuksa to jeden z najmniej ważnych problemów.
Offline
1323
Ostatnio edytowany przez uzytkownikubunt (2016-12-01 01:04:20)
Offline
Użytkownik zainteresowany grami długo na stable nie wytrzyma.
W kolejnym testingu mogą zacząć się problemy.
Z ewentualnych plusów takiego rozwiązania raczej i tak nie skorzysta osoba, która zadaje takie pytania.
Offline
uzytkownikubunt, mam dysk HDD 1 TB, z czego tylko ~350 GB na chwilę obecną zajmą dane, i to z dużym zapasem. Dotychczas miałem kilka dysków 80 GB więc nie rozrastało się to tak.
I dzięki wszystkim za wytłumaczenie. Czyli najlepiej zrobić jak miało być, tzn 40-50 GB na root reszta na home?
Offline
Nigdy też nie załapię idei tworzenia wielkiej partycji /home . U mnie na tej partycji jest około 50k plików -- głównie konfiguracja programów. Cała partycja ma 5G, zajęte z tego około 2, choć muszę porządki zrobić, bo zwykle nie wychodzę poza 1G. I tak jak pisałem wyżej, przy małym obszarze, ruch głowicy będzie niewielki przy ładowaniu kolejnych programów. Jeśli teraz wrzucisz sobie XXX GiB na /home , to ci czasy dostępu do plików wzrosną i system ci zacznie mulić.
Offline
1327
Ostatnio edytowany przez uzytkownikubunt (2016-12-01 01:04:25)
Offline
Ja tylko podałem scenariusz czytania sporej ilości plików, np. podczas ładowania się środowiska graficznego, odpalania przeglądarki itp, itd. Im większe pliki tym mniej to jest odczuwalne ale odpal 1k małych plików (parę KiB) rozrzuconych na 1TiB partycji i porównaj to z kopiowaniem tych samych plików na 1GiB partycji. Jestem przekonany, że zobaczysz różnicę. xD Ja pamiętam jak mi się pofragmentowała partycja z torrentami i musiałem sobie przekopiować wszystko jeszcze raz. Prędkość kopiowania obrazu iso 3,5GiB niecałe 1,5MiB/s i tak musiałem przekopiować blisko 500GiB Używalność systemu podczas tej operacji praktycznie zerowa. Duże partycje ssą. xD
Offline
Tutaj o grach czy partycjach?
Ja mam na steamie linuxowym X-Com:EU/EW oraz X3: Terran Conflict. Wszystko śmiga pięknie :) Wersje natywne pod linucha.
X-Com mam pomodowany i też działa (tylko trzeba pilnować, aby czasami steam nie "updejtnął" gry (czyli wywalił mody poinstalowane....).
Na to sposób mój - ustawione aktualizacje tylko od 4 do 5 rano ;P Wtedy zawsze śpię smacznie, a komp wyłączony.
Offline
A wyłączenie auto aktualizacji po prostu nie da rady?
Offline
1439
Ostatnio edytowany przez uzytkownikubunt (2016-12-01 01:06:57)
Offline
Zaczynam widzieć sens selinuxa na desktopie :d ukrywanie świata przed steamem
Offline
thomsson napisał(-a):
Zaczynam widzieć sens selinuxa na desktopie :d ukrywanie świata przed steamem
SElinuxa? przyjemnej zabawy. :D
Ja widzę sens dużo prostszego rozwiązania, osobne konto użytkownika do takich podejrzanych wynalazków, jak Steam, Desura i Wine.
Konfigurowanie chroota to może z 5-10 minut bardzo ciężkiej pracy, :D
a w ten sposób, o ile $HOME ma uprawnienia 700 lub 750, to taki podejrzany program Ci niczego nie rozpieprzy, i nie ukradnie żadnych haseł czy kluczy SSH.
Można też pobawić się Apparmorem, ale to w przypadku takiego "horroru" jak Steam grubsza gimnastyka.
Natomiast SELinux do Steama?
Próbowałeś kiedyś pisać profile SELinuksa (choćby tylko dla profili targeted i strict) dla programu o podobnej strukturze wymagań, jak Steam?
oczyście pomijając tryby "Multi Level Security" i "Multi Domain Securiy".
Jeśli nie, to przyjemniej zabawy. :DDD
Na początek spróbuj Debiana (desktop) podnieść do poziomu umożliwiającego zalogowanie, na swoje konto użyszkodnika, odpalenie przeglądarki i napisanie posta, z SELinuksem włączonym w trybie strict.
Potem chętnie poczytam Twoje kolejne opinie na temat SELinuksa. xD
Offline
W sumie do domowych zastosowań i apparmor czy już tym bardziej SElinux to może być katorga i droga przez mękę.
Chroot nie uchroni przed wszystkim, ale dobry początek. Przydałby się w sumie jakiś mechanizm sandboxingu z łatwą konfiguracją. Takie coś pomiędzy chroot, a SElinux. Chyba że jest tylko ja mam zaległości ;)
Offline
Panowie spokojnie, tamten uśmieszek, miał wywołać u was usmieszek :d Jacku ja wiem mniej a więcej czym jest Selinux, a nawet kiedyś udało mi się usłyszeć, (to chyba radio wolna Europa była czy cuś...) o takich zabawkach jak wspomniany App Armor, chroot, czy nawet lxc (my knowledge, so huge) XD ale w życiu nie chciałoby mo się tego pchać na desktop, bo zwyczajnie jestem za leniwy (pomijając już całą katorżniczość tej operacji) to miała być tylko taka mała humorystyczna wstawka :) z resztą spójrz na to jeszcze raz :d pakować na desktop Selinuxa, biorąc pod uwagę upierdliwość tego rozwiązania tylko dlatego by zabezpieczyć Steama :D
I tak masz racje nie potrafię go skonfigurować, z tego co pisałeś na forum nawet ty unikasz go jak ognia i raczej jak masz wchodzić w tego typu hardening, to wtedy idziesz w stronę chroota, apparmora i grseca (całego podkładu z gentoo zhardeningiem na poziomie kompilatora pomijam juz zupełnie), czego stosowanie w tym wypadku podchodziloby pod podobny poziom
A paranoizmu
B katorzniczosci
(Ofcoz jak mówisz można to po prostu zamknąć do chroota)
Nom, zatem skoro wyjasniłem juz kwestie mojego mniej lub bardziej dziwnego humoru i niejako wykazałem ze cos tam jednak słyszałem (właśc. Czytałem i to w dużej mierze z twoich postów), to życzę miłego dnia, a co do Selinuxa, to kto wie :p może nie na desktopie, ale na VMce z centem może się skuszę na podstawową konfiguracje i utwardzenie jej, tak edukacyjnie...
Parafrazując, to by było na tyle ;)
Offline
1442
Ostatnio edytowany przez uzytkownikubunt (2016-12-01 01:07:01)
Offline
W Gentusiu konfigurację robisz raz, potem już chodzi, ja poświęciłem trochę czasu na zabawę z konfiguracją Gentusia w zimie 2009-2010 i jakoś chodzi do dzisiaj bez wiekszych problemów na tej konfiguracji, choć przeszedł po drodze kilka reinkarnacji na nowych kompilatorach.
Apparmor? wystarczy poszukać na necie profilu do aplikacji, i wrzucić go do /etc/apparmor.d/. i aktywować, czasem jakieś kosmetyczne zmiany są potrzebne.
SElinux - ma tyle "nadbudowy" w postaci milionów opcji, kontekstów nawet dla pakietów sieciowych i podobnych cudów na kiju, że oczywiście można go używać pod warunkiem, że dostaniesz gotowy i skonfigurowany system z SElinuxem, jak np Fedora czy CentOS.
Jakbyś chciał od zera konfigurować system, w którym SELinux nie jest domyślnie używany, to już w Debianie jest niezła jazda, a Gentoo 3/4 roboty Hardened-teamu, to są błędy polityk SELinuxa.
Polityka SELinuxa nawet na prostym serwerze, który ma trzy demony na krzyż, to jest więcej, zabawy, niż Apparmor+Grsec-RBAC, i to dużo trudniejszej.
99,9% użytkowników SELinuxa bierze gotowe systemy z gotową polityką, i nie zmienia w nich ani przecinka.
SELinux to fajna zabawka dla RHEL czy SLES, gdzie korpo bierze abonament za roczne wsparcie, ale dla administratora, który miałby konfigurować to w systemach bez wsparcia takiej korpo, to ciężka katorga, zwłaszcza, że SELinux nie pokazuje wszystkich błędów, jakich pod jego polityką doznają aplikacje.
A kto ma czas bawić się debugerrem, żeby zobaczyć, dlaczego np GDM się wysypuje, bez śladu w logach? albo Nautilus wiesza, też beż śladu w logu?
To wszystko przeżyłem na Gentusiu z włączonym profilem targeted SELinuxa.
Pozdro
;-)
Ostatnio edytowany przez Jacekalex (2015-06-26 17:08:59)
Offline
1703
Ostatnio edytowany przez uzytkownikubunt (2016-12-01 01:12:42)
Offline
2017
Ostatnio edytowany przez uzytkownikubunt (2016-12-01 01:19:33)
Offline
2019
Ostatnio edytowany przez uzytkownikubunt (2016-12-01 01:19:36)
Offline
Wiecie może z czego może wynikać brak polskich znaków na Steamie? Znaczy są ale pisane inną czcionką, za to w wiadomościach w ogóle nie mogę ich używać. Debian Stretch Cinnamon.
//Google nic mi nie chce powiedzieć, chyba że źle się pytam
Ostatnio edytowany przez Hepita (2015-08-23 22:45:04)
Offline
2503
Ostatnio edytowany przez uzytkownikubunt (2016-12-01 01:30:02)
Offline