Разработчики Arch Linux объявили о смене применяемой по умолчанию схемы хеширования паролей с SHA512 на yescrypt, а также о переходе на хранение настроек параметра umask в файле конфигурации /etc/login.defs вместо /etc/profile. Yescrypt расширяет возможности классического scrypt поддержкой использования схем с большим расходом оперативной памяти и снижает эффективность атак, использующих GPU, FPGA и специализированные чипы. Безопасность Yescrypt обеспечивается благодаря применению уже проверенных криптографических примитивов SHA-256, HMAC и PBKDF2...Подробнее: https://www.opennet.dev/opennews/art.shtml?num=59801
> а также о переходе на хранение настроек параметра umask в файле конфигурации /etc/login.defs вместо /etc/profileНу и нафига ломать совместимость?
Совместимость с чем?
С самими собой
Очевидно же: с теми, кто использует /etc/profile. Не бросятся же все сразу вставлять if в свои продукты.
/etc/profile просто останется приоритетнее, зачем if?
Кстати кто знает где можно скачать готовые сборки Арча, Манджары с этими средами рабочего стола (СРС). Хочу потестировать.
https://manjaro.org/download/
Спасибо, но там делеко не все из списка ниже.
В Арч вики вроде написано, но не готов самостоятельно возиться с Арч.
https://wiki.archlinux.org/title/desktop_environment#List_of...
> Спасибо, но там делеко не все из списка ниже.
> В Арч вики вроде написано, но не готов самостоятельно возиться с Арч.
> https://wiki.archlinux.org/title/desktop_environment#List_of...
>не готов самостоятельно возиться с АрчНу раз не готов - не возись, во проблема-то! Для неосиляторов есть куча других дистров, та же бамжара, если шибко в вашей школе гнобят за убунтуйство и минтуйство ваши мамкины кулхацкили на арчах и на калилинyxax
Можно попробовать Garuda - интересный дистр..., хотя не совсем понял о какой среде идет речь...
Что такое СРС?
СРС — это сокращение от СРС ОСГНЮЛ ССОМГНЮ: Среда рабочего стола операционной системы «ГНЮ Не Юникс/Линукс» «Среда сетевой объектной модели ГНЮ Не Юникс».
>ОСГНЮЛ ССОМГНЮИмена собственные не переводятся.
Чтобы перевести UNIX (но делать этого не стоит), то сначала надо перевести Multics.
Multics — Multiplexed Information and Computing Service.
КИВС — Многосложная информационно-вычислительный сервис.
Unics — Uniplexed Information and Computing Service.
ОИВС — Односложная информационно-вычислительный сервис.
>Среда рабочего стола операционной системыСРС может быть не у POSIX совместимых.
Ставить 500 сборок не лень, а посмотреть какие пакеты ставить - лень.
Ну скажем так, в Арче не все из этой вики ставится и работает. А готовую сборку в лайв режиме проще.
> Ну скажем так, в Арче не все из этой вики ставится и
> работает. А готовую сборку в лайв режиме проще.а) что не ставится?
б) что ты надеешься увидеть?
Выбирайте, благо есть из чего:
https://distrowatch.com/search.php?basedon=Arch#simple
В Arch pambase с другим флагом собирать будут,такая новость..
Рекомендую umask 077 как самый безопасный. Какого-то хрена дистры не используют такой по умолчанию. Словно все только и делают, что делятся своими файлами с другими UNIX-пользователями на своей тачке. Ага.
Файлы пользователя обычно отдаются группе с именем пользователя. Смысла блочить группу нет. Other же да, по-хорошему стоит ставить в 7, но тогда надо будет перенастроить всю sysfs, procfs и в udev настроить все девайсы, чтобы их могли читать пользователи с нужной группой.
Ещё бы bsdgroups были включены по дефолту во всех файловых системах, цены бы не было этим группам. А так приходится 1. входить в группу, которой хочу дать права, 2. явно менять группу для каждого создаваемого файла.Линуксовый механизм работы с группами не особо для чего-то полезен. В результате на практике ugo рассматриваются как uo и какой-то странный доступ, непонятно зачем нужный.
Раньше, до systemd, системные группы использовались для разграничения доступа пользователей к устройствам. Сейчас программы редко обращаются к устройствам напрямую, доступ фильтруется через прокси-демоны и тулкит-прослойки.Также, общую группу можно использовать для расшаривания отдельных пользовательских файлов с другими пользователями на чтение или на запись. В последнем случае, обычно с SETGID на директориях.
Обычно, по умолчанию (/etc/login.defs), несистемный пользователь создается с одноименной группой, в которую входит только он. Тогда 007 для многопользовательской системы достаточно.
В некоторых дистрибутивах (видел такое давно в Убунте), вместо этого, иногда заводят специальную группу users и включают в неё всех новосозданных несистемных пользователей. Тогда, желательно, устанавливать маску 077 для многопользовательской системы.
>Yescrypt... но соревнование выиграла Argon2...
...и в оригинале написано почему не Argon2 - потому что его реализации нет в libxcrypt...
Argon2 победил в соревнованиях в 2015 году, а первая стабильная реализация yescrypt появилась с 2018.
Опять онанимы показывают свою экспертность в чтении текста. Тогда перефразирую:В библиотеке криптографических примитивов под названием libxcrypt, которая используется PAMом, есть реализация yescrypt, но не реализован Argon2 (тут в оригинале две ссылки на пулреквесты). Поэтому выбрали лучшее из имеющегося.
Спрашивается, что это за libxcrypt такой, раз в нем толком ничего нет?
Comparison to scrypt and Argon2yescrypt's advantages:
Greater resistance to offline attacks (increasing attacker's cost at same defender's cost)
Extra optional built-in features
Cryptographic security provided by NIST-approved primitives
SHA-256, HMAC, PBKDF2, and scrypt are usable from the same codebaseyescrypt's drawbacks:
Complex (higher risk of human error occurring and remaining unnoticed for long)
Cache-timing unsafe (like bcrypt, scrypt, and Argon2d, but unlike Argon2i)
Not the PHC winner (Argon2 is), but is a finalist with "special recognition"
Supported in fewer third-party projects (libxcrypt, Linux-PAM, shadow, mkpasswd)
Нормально. Не даром SteamOS именно на Arch.
Так SHA это же тупо хеш функция, а yescrypt - KDF, и по идее там должен быть переход с какой-нибудь scrypt или PBKDF2, не?
Debian перешёл на yescrypt еще в августе 2021 года. Что не так с Арчем?
Всё так. На дебиане потестили, потом выкатили на арч.
> На дебиане потестилиАга... И на федоре тоже.
А ещё Arch позже всех перешёл на Git.
Приоритеты расставлены правильно
Окончательно перешёл. То есть отказался от SVN-репозиториев. А поддержка Git была ещё до "перехода".
Всё так с Арчем. Арчеводы компьютерно-грамотные: они диск шифруют и не используют одинаковые пароли. Поэтому какая там функция хэширования у них используется на локальной машине им, по большому счёту, фиолетово.
А вот у тебя на Дебиане/Убунте/Федоре/Манджаре, установленном через Далее-Далее-инсталлятор, все файлы голяком лежат на диске - на всеобщем обозрении, зато топ-секретный пароль надежно захэширован. Лол. Кек.
Что за мода писать о том, чего не знаешь?В Fedora шифрование одной галкой в установщике включается, в Debian на пару действий больше в установшике.
> одной галкой в установщике включаетсяНе прошло и десять лет. И то, поди, под одну, самую бесполезную схему разбивки диска заточено.
> Что за мода писать о том, чего не знаешь?
Ну я-то на Линукс не вчера пересел. Помню, как эту несчастную галочку никак не могли в инсталляторы добавить. И та же история регулярно повторяется с каждой новой ФС.
Зато на "дружелюбных" дистрибутивах neoсиляторы фыркали и фыркают на консоль и отсутствие инсталлятора в "Рачике", а сами.. шаг влево, шаг вправо - переключались на VT-консоль за инсталлятором и делали ручками разбивку и шифрование. Кто умел в консоль, кто не умел - кушал, что дают.