Леннарт Поттеринг (Lennart Poettering) предложил включить в системный менеджер systemd изменение, позволяющие загружать систему с использованием образа корневой ФС, получаемого c внешнего хоста по протоколу HTTP. Изменение сводится к расширению systemd возможностью не только скачивать дисковый образ по HTTP на начальной стадии загрузки, но и распаковывать загруженный образ, связывать с блочным устройством в loopback-режиме, монтировать блочное устройство как /sysroot и загружать с него систему...Подробнее: https://www.opennet.dev/opennews/art.shtml?num=62711
Не понял. Вообще ничего не понял. В Uefi выставляется опция агрузит всё системд???
Линукс -- это запускалка инита. В данном случае - системды. Всегда так было. Дефолтный линукс без ничего показывает строку "инит не найден, гуляй, вася".
дефолтный это какой? а тругие оси как? а че тогда?
В других "ОС" инит часть "ОС". В линуксе кто-то должен дать приказ что запускать. Например запустить баш чтобы мигала каретка ввода.
>В линуксе кто-то должен дать приказ что запускать.Смею предположить, что в случае ядер xBSD, всё точно также.
Не совсем. В FreeBSD сначала грузится loader (интересно Forth с польской нотацией выпилили уже ?). А потом он ищет и загружает ядро, которое, в свою очередь, запускает init.
Ну мы же про то, когда ядро уже стартануло.
все верно.
если уточнить, boot0 из MBR, загружает boot1 с первого сектора диска, который передает загрузку boot2, далее boot3 , который заканчивает работу по загрузке операционной системы.
А дальше уже init0, монтирование дисковых систем, запуск демонов и вашей любимой шелловской консольки.
Т.е. свой иниь присобачить нельзя?
Можно, конечно. И даже нужно, ибо как водится всё что стоковое во FreeBSD - из прошлго века. Был даже форк systemd, правда ретроградам он оказался не особо нужен.
Будто т.н. "ретрограды" из БСД чем- то отличаются в этом плане от родных, линуксовских
> если уточнить, boot0 из MBR, загружает boot1Если уточнить, никакого boot0 у нормальных людей давно нет. Его заменил gptboot, потом gptzfsboot, а потом и efi. Допускаю конечно что есть извращенцы до сих пор на MBR.
> А дальше уже init0, монтирование дисковых систем, запуск демонов и вашей любимой шелловской консольки.
Что ещё за init0? Бинарник называется /sbin/init.
>есть извращенцы до сих пор на MBR.Ты прав, есть!
У многих еще есть и c2d, и MBR даже IDE.
Например, я в прошлом году перегонял один AD с P3\512Mb\20 Gb IDE, на 2019 сервер.
А еще есть станки. И не на всех из них даже поддержка PCI шины есть - у меня например в уголку стоял управляющий комп с управляющей платой на ISA.>Бинарник называется /sbin/init.
ты абсолютно прав!
> У многих еще есть и c2d, и MBR даже IDE.Не думаю что прям "у многих".
> Например, я в прошлом году перегонял один AD с P3\512Mb\20 Gb IDE, на 2019 сервер.
Исключение подтверждающее правило.
Если бы было у многих, то ты бы написал "три раза только за последнюю неделю".> А еще есть станки. И не на всех из них даже поддержка PCI шины есть - у меня например в уголку стоял управляющий комп с управляющей платой на ISA.
Но зачем ему новейший софт?
Если он сертифицирован, но на 99% там прибита одна версия системы, либ и управляющего софта.
Извращенцы? ЕFI и GPT мне с практической точки зрения не нужно вот и не пользуюсь. Понадобится воспользуюсь. С прошлого года стал ЕFI и GPT использовать в виртуализации только по тому, что установив разновидность Ubuntu с БИОС в втртуалитзацию, игнорируя как и раньше предупреждение нет раздела EFI переделай иначе рискуешь что не заработает. Проигнорировал и на этот раз не запустилась операционная систем.
вы в курсе, какой сейчас год?
Где бы почитать подробно, с расстановкой, как грузится современный EFI? Лет мнадцать назад в одном из дистрибутивов OpenBSD были файлы HOWITWORKS, где подробно описывалась структура MBR и порядок загрузки операционной системы. Хотелось бы что-то похожее по EFI + GPT.
Гугли UEFI spec
Правда непонятно зачем тебе, пользы от этого как читать про acpi — знаний много а выхлопа на 5 минут
> Где бы почитать подробно, с расстановкой, как грузится современный EFI? Лет мнадцать
> назад в одном из дистрибутивов OpenBSD были файлы HOWITWORKS, где подробно
> описывалась структура MBR и порядок загрузки операционной системы. Хотелось бы что-то
> похожее по EFI + GPT.Гугли, как устроено efi-stub'овое ядро. Ну и вообще как устроен исполняемый файл EFI.
Grub больше не нужен -- сразу снёс его за ненадобностью после установки Арча. Теперь ядра на загрузку можно прописать прямо в EEPROM материнки утилитой efibootmgr и выбирать из бут-меню материнки, зажав F11 (или что у вас там). И виндовый загрузчик тоже ей же прописать можно. И любой другой, если знать параметры.
> В линуксе кто-то должен дать приказ что запускать. Например запустить баш
> чтобы мигала каретка ввода.И он есть. Это тред ядра. После того как система достаточно инициализирована, ядро пытается найти и запустить init. У ядра есть некий список кандидатов на то что оно считает потребным в этом качестве, оно и перебирает пути в порядке приоритета.
Если вообще совсем ничего нет - извините, но это kernel panic с причиной "unable to find init". Ведь в этом случае загрузку системы продолжить невозможно.
я, по молодости лет, линукс(32 бита) грузил из мсдос(16 бит) и даже c мсдосовского раздела (FAT16).
Но лучше конечно было подцеплять другой раздел, форматированный уже под линуксами (EXT2).
> я, по молодости лет, линукс(32 бита) грузил из мсдос(16 бит) и даже
> c мсдосовского раздела (FAT16).Loadlin чтоли, или как там его? Я в свое время ухитрился "RIP Linux" (стебное название, означало - Recovery Is Possible) - загнать на 1 флоп. Пришлось, правда, отформатить флоп нестандартно с немного расширенной емкостью и юзануть freeldr из реактоса за то что относительно мелкий и умеет грузить линь.
Linux можно грузить хоть с бельевых веревок. Лишь бы...
1) Ядро и initrd "как-то" попало в RAM. Не важно как, это ващи проблемы.
2) Это было запущено.Все остальное оно может в общем то сделать само. Особенно с initrd. И в общем то из initrd нет никакой проблемы утащить образ хоть по HTTP, хоть по бельевым веревкам, или что там кто напрогать сумел.
> Но лучше конечно было подцеплять другой раздел, форматированный уже под линуксами (EXT2).
FAT не больно какой rootfs, за отсутствием на нем правов и линуксных фич типа xattrs. Весьма недоделанный Linux получается - полноценной многоюзерской системой это не является. И либо проходной двор в стиле MSDOS, либо много горя с доступом в ФС.
> Линукс -- это запускалка инита. В данном случае - системды. Всегда так было.
> Дефолтный линукс без ничего показывает строку "инит не найден, гуляй, вася".Вообще-то он в этом случае в панику брякается, если СОВСЕМ ничего не было. Но обычно у вас есть хотя-бы интерпретатор шелла, чтоли. В который он и вываливается, если ничего лучше совсем не оказалось.
Если разделы не подмонтированы, то боюсь, загрузчик может и не найти интерпретатор шелла.
Во FreeBSD, по крайней мере есть rescue, с минимальным набором системных утилит.
> Во FreeBSD, по крайней мере есть rescue, с минимальным набором системных утилит.в Linux всю систему можно в initramfs сложить, можно его слинковать с ядром в один имидж. Просто в дистрибутивах так не делают.
> Если разделы не подмонтированы, то боюсь, загрузчик может и не найти интерпретатор шелла.Логично. Поэтому есть такая штука как initrd. В нем могут быть и модули для драйверов блочных или каких там девайсов, и модули ФС для rootfs - так что это все не надо вкомпиливать в основную тушку ядра. А заодно - можно и юзермод раскочегарить прямо оттуда, сделать все что надо для цепляния rootfs по любому протоколу.
> Во FreeBSD, по крайней мере есть rescue, с минимальным набором системных утилит.
А вон там - есть generic механизм. Если кому надо rescue, они делают его, разместив утилиты в initrd, штуки типа busybox тому очень способствуют. А если оно нахрен надо - соответственно и не делают это. А зачем мне допустим на одноплатнике - этот ваш rescue? Кто им там будет командовать в ТОМ виде какой оно - в freebsd?
>> Во FreeBSD, по крайней мере есть rescue, с минимальным набором системных утилит.
> А вон там - есть generic механизм. Если кому надо rescue, ониЭээ, Великий Знаток (по собственным заверениям, "начинавший с бзды", ага), с чего ты решил, что вон там - того нет? Называется M(emory)FS_ROOT/MFS_IMAGE. Вкомпиливаетя в ядро.
Я уж не говорю о том, что rescue тоже вполне опционально.
Но только при наличии TPM
> Не понял. Вообще ничего не понял. В Uefi выставляется опция агрузит всё
> системд???Что тут непонятного? Поцтеринг очередной раз двигает в линуксы очередную бредоидею, которую протолкнут, хотя он УЖУ давно работает в microsoft но его всё равно почему-то слушают?!
Идея в том, чтобы эти ваши линухи грузились через /sysroot, образ системы будет подгружаться с доверенных кого надо серверов, завязано всё будет наглухо с UEFI и соответственно с системдой...
А потом, когда лягушка доварится до нужной кондиции и платную авторизованную подписочку вкорячат, и нет больше свободных линуксов. ¯\_( ´•︵•` )_/¯¯\_(╥_╥)_/¯
каким образом efi связан с "системдой"?
правильно, __вообще никаким__.
то, что Вы описали реализуется без проблем уже тыщу лет. и активно практикуется во встраеваемых системах, за исключением части с сетевой загрузкой.
да так, что даже неподписанный бинарник исполнить нельзя(спасибо IMA).
> каким образом efi связан с "системдой"?Таким, что это всё этапы добавления переусложнённого омнокода то тут то там в систему. Чем сложнее и запутаннее система, тем больше в ней точек отказа и мест где можно нагадить.
> правильно, __вообще никаким__.
> то, что Вы описали реализуется без проблем уже тыщу лет. и активно
> практикуется во встраеваемых системах, за исключением части с сетевой загрузкой.
> да так, что даже неподписанный бинарник исполнить нельзя(спасибо IMA).А вы умный, плюс за ум ;)
> Таким, что это всё этапы добавления переусложнённого омнокода то тут то там в системуя надеюсь вы тогда не используете x86 компьютеры производства последних лет 15-20, и избегаете новых arm и risc-v машин, потому что они ВСЕ с uefi (у x86 нативно, у arm/risc-v поверх u-boot)
Да. В том числе и Windows.
И все ОС будут по подписке грузиться!
наверно кому то надо...
какая только будет задержка запуска при скачивании каждый раз нового образа.(даже в локалке)
Ну судя по всему, это расчет на ультратонкие клиенты, где размеры не превышают 100-200 Мб, задержка более чем терпимая - 10-20 секунд. Но зачем Поттеринг упарывается под такой сверхузкий кейс - вообще загадка.
> Ну судя по всему, это расчет на ультратонкие клиенты, где размеры не
> превышают 100-200 Мб, задержка более чем терпимая - 10-20 секунд. Но
> зачем Поттеринг упарывается под такой сверхузкий кейс - вообще загадка.А ответ прост, волшебное слово - В-Е-Н-Д-О-Р-Л-О-К-И-Н-Г! ))
Вот к нему, родимому, и стремятся всякими окольными путями.
Есть еще одно интересное слово УЯЗВИМОСТЬ.
Давай предположим, что злоумышленник решил подменить
- адрес местонахождения образов
- сами образы
- придумай свой метод
И не всегда это будут бравые парни из вашингтонского обкома, пытающиеся получить доступ на гипотетическую иранскую АЭС.
Вы момент пропустили .. скачивается подписанный UKI.
"небравым парням" сначала нужно будет стырить ключи у поставщиков образа.
Я чтото подобное делал по PXE в целом в зависимости от требований, можно в 5-15 секунд на загрузку укладываться. Но с другой стороны это PXE этож гавно мамонта, а тут Systemd
1 человек будет грузить по сети образы, а миллионы людей держат на компьютере переусложненное и небезопасное решение. Удивительные дела происходят!
> а миллионы людей держат на компьютере переусложненное... которое даже так лучше, чем заношенные башпортянки
> и небезопасное решение.
Необоснованный наброс.
таки все твои .service-файлы это конфиги для запуска баш-портянок
Use gentoo, мой падаван
Проблема не в дистре, а в Поттеринге.
системдешнутые дистры обычно не дают возможности выбора, так что и в дистрах тоже
Проблема, как минимум, в IBM, а может и ещё глубже!
Бесмысленно обсуждать работу крупных фирм. Он делают что хотят. Если бы у кого-то из нас были связи там...
> Бесмысленно обсуждать работу крупных фирм. Он делают что хотят. Если бы у
> кого-то из нас были связи там...Я согласен, что именно в этом смысла нет.
Смысл есть в том, чтобы объяснить недалёкого ума обывателям, что любой отдельно взятый человек, особенно в крупной компании НИКОГДА не является ключевой решающей фигурой!
Он лишь исполнитель, а не инициатор.
И даже если он продвигает свои идеи, значит они не противоречат целям "партии".
> Он делают что хотят. Если бы у кого-то из нас были связи там...Казалось бы, сообщество, миллионы глаз!
Он уже давно в MS. Он только Qr-коды внедрял в загрузку.
> Проблема не в дистре, а в Поттеринге.Проблема не в дистре и не в Поттеринге, а отличии потребностей.
Бизнесу не интересны эти копошения в песочнице, прдлинг и гентитальные идеи "а давайте я к этому иниту прикручу вот такое ДЕ для особенных и все это обмажу самодельным пакетником, а лучше двумя". Их не интересует свободка "вот сегодня проснулся и подумал 'а не сменит бы мне инит?'".
Им нужна максимальная унификация и предсказуемость.
Чтобы тех же админов было как тараканов, причем они все были взаимозаменяемые.
Вот представьте, что каждый автопроизводитель ставил бы руль и педали в случайном месте, да еще и порядок педалей менял.
Так ведь и есть на самом деле. Одни ставят руль слева, другие справа, и как минимум два особо одаренных - посередине. Аналогично с педалями - есть четыре, три, две и даже одна. Кто-то вообще в своих вожделенных фантазиях предлагает отказаться и от первого и от второго.
В чем суть Вашего высказывания в итоге то? Что разнообразие и выбор это замечательно? Или, как обычно, неудачно высосанный из пальца пример?
> Одни ставят руль слевавинда
> другие справа
макось
> и как минимум два особо одаренных - посередине
С этими мы тоже знакомы))
Но руля нет на боковой двери, на потолке, на заднем сиденье.> Аналогично с педалями - есть четыре, три, две и даже одна.
Каких-то педалей может не быть, но порядок всегда один. Даже в праворульках.
> Что разнообразие и выбор это замечательно?
Что стандартизация это прекрасно! А разнообразие ради разнообразия - это бесполеная трата ресурсов.
>> Но руля нет на .... на заднем сиденье.А вот тут вы ошибаетесь
Нет никакого "бизнеса". Есть куча хозяйчиков-самодуров, каждый со своими закидонами.
или Void, если есть личная жизнь
ipxe давно умеет, и что?
Скоро системды начнёт ещё и зарплату начислять.
- И что же, и расходовать тоже?
- Ага.
Евгений Вахтангович, Вас везде легко узнать по Вашим шуткам, вытащенным из нафталина.
"Отличная шутка!" ©
> Скоро системды начнёт ещё и зарплату начислять.Да, вы правильно поняли - BSDшникам зарплату начислять как раз перестанут, впрочем - большинству как раз таки уже, и s-d сделал это все значительно более быстрым процессом.
>> Скоро системды начнёт ещё и зарплату начислять.
> Да, вы правильно поняли - BSDшникам зарплату начислять как раз перестанут, впрочем
> - большинству как раз таки уже, и s-d сделал это все значительно более быстрым процессом.*Угадай по характерной вспышке двестидевяносточетвертого*
Покажешь на этой кукле, где тебя трогали злобные BSDшники?
"Они в мой rc.local залезали, кучу скриптов там на чистом shell написали!"
Сначала я нежно снял его файрвол. Его ядро от этого уже начало трястись и тихо постанывать в сислог. После чего я достал свой шелл... Ох, какой у меня умелый шелл - все может - и единым движение чрутнулся в его систему...но потом увидел системду, понял, что он из этих, как там их АБВГДЖЗD+ и вырубил секурный шелл. Ну его нахрен, я всё таки правильной, традиционной init-ориентации.
Интересно, что же может пойти не так?
Мммм...?
А норм. Отличное решение!
Ждём systemd-ai
Дождёшься, дождёшься.
А какой простор для systemd-творчества возможен для Astra Linux!
от Астры никаких инноваций в мире Linux нет, это просто пиявки-паразиты
Ну как же, как же!
А убунтушные ядра в системе?
ну и будет демон systemd-aid, а в логах systemd-aid's failure
> Ждём systemd-aiТак то systemd-aid тогда уж, чтобы канонично. Впрочем, чатгоп и так подскажет "как сделать %s с системд"
Не подсказывай им!
systemd-aids(d)
systemd-kav
UEFI HTTP chainloading + iPXE оказывается имели фатальный недостаток.
с ними было сложно распространять зонды. а сейчас пользователь даже не узнает
Вы ничего не поняли
Зачем? Можно же просто положить HTTP-клиент в initramfs и прописать ему чтобы при старте качал что захочет и kexec'ал куда захочет. Бюррократ +бучий
Как и в прочем зачем systemd.
>kexec'алkexec невозможен при включенном sb, lockdown, ибо открывает огромный простор для атак.
как, в прочем, и вся Ваша схема.
> kexec невозможен при включенном sbС каких пор secure boot влияет хоть на что-то после того, как CPU начнёт исполнять код ядра?
> открывает огромный простор для атакКак и любая другая схема, где код и/или данные поступают из неаутентифицированного источника. Решение проблемы точно такое же, как и в secure boot: проверять криптой скачанный образ. Скорее всего через подписи, ибо с простой проверкой хэша можно будет загрузить только один образ, хотя и у этого может быть применение. Плюс такой схемы, в отличие от secure boot: не надо паяльником выпаивать чип, чтобы поменять код, когда производитель опрокинет вас со своей закрытой фирмварью.
Если вы так сильно боитесь, что кто-то украдёт вашу серверную стойку и вы перезагрузитесь в неправильное ядро, то secure boot вас тут вообще никак не спасёт, если вами заинтересован Моссад.
>с какихс давних. идите читайте, что такое klockdown и когда его ядро форсирунт.
>Как и любая
нет, не как "любая". емнип, это тоже описано в man'е по локдауну.
> если вами заинтересован Моссад.басни, куда реальнее u8200
То о чём так долго говорили все на опеннет наконец случилось. Системд официально и открыто стал трояном.
Это ты ещё не видел чем пакетный менеджер под одеялом ночью занимается. Системд только ядра из интернета таскает, а пакетник — вообще любой софт, включая системд! Вот уж где троян.
Только вот у systemd прав побольше чем у пакетного менеджера
У пакетника куда больше прав. Он ставит и удаляет системд, ядра и весь прикладной софт. Системд пакетником не заведует совершенно, и молча грузит что сказали.
> У пакетника куда больше прав. Он ставит и удаляет системд, ядра и
> весь прикладной софт. Системд пакетником не заведует совершенно, и молча грузит
> что сказали.У пакетика эти права появляются в ручном режиме, systemd гоняет с высокими привелегиями с самого запуска
> У пакетика эти права появляются в ручном режиме, systemd гоняет с высокими
> привелегиями с самого запускаПакетник by design может перезаписывать все части системы. Включая системду. Без такого набора прав он тупо работать не сможет.
да ну?! что, прям не заведует?!!
>systemd.offline-updates
Они оба от рута запущены вы какую-то мракобесь несёте. Плюс, пакетник запускается с привилегиями никак не выше, чем systemd, потому что systemd - это PID 1. Какая-то у вас странная эскалация привилегий получается, если пакетник внезапно больше прав имеет, чем то, что этот пакетник запустило. Вы там suid на apt вешаете что-ли?
как это будет работать на практике? американская гебуха может загрузить ко мне на комп образ системы который будет втихую дудосить госуслуги или спамить призывами за которые меня товарищ майор оформит на десятку строгача? они отчитаются об успешно проведённом противодействии рашн агрешн, "наши" отчитаются об успешном противодействии загнивающим нацптеродактилям а мы по этапу пойдём?
Загрузить твой образ системы себе на комп
поправил
Да он все правильно говорит - кто тебе даст гарантию что никто другой свой образ не сможет загрузить на твой компьютер без твоего уведомления? Система может? Может, даже если ты этим не пользуешься. Компьютер в сети и в розетке или на аккумуляторе? Загрузился в тихую какой-нибудь дистр без включения дисплея и тихо у тебя шерстит по файлам. Только тут оговорка - сам товарищ майор этому не будет рад.
Или ещё круче - во время работы компьютера загружается ещё одна ОС, удаленно. И никакое программное обеспечение его не увидит, потому что это отдельная ОС. А жёсткий диск может быть и общим, да и другие ресурсы типа сети.
Ну, поскольку доля Линуха на десктопах выросла до значимых величин, надо и эту аудиторию как-то охватить, и предложить хомякам установку персонального бэкдора.
> американская гебуха может загрузить ко мне на комп образ системы который будет втихую дудосить госуслуги или спамитьТвой тостер утюг и чайник могут следить за тобой и втихую дудосить или спамить.
Больше гуляй на природе.
Офигенная тема для датацентров!
А что это за датацентры без PXE-boot серваков?
Да практически все в наше время, за вычетом какой-то древности, на iPXE перешли. Пока современная ОС по TFTP скачается, так быстрее в ДЦ самому слетать на другой континент и с флешки загрузить.
да-да, как в старые добрые времена КАМАЗ цд-дисков быстрее, чем твой канал в сеть
Нормально качается ... Не видел никогда проблем. "Современная ОС" это сколько в байтах ?(Hint. Увеличь размер блока tftp сервера)
Увеличение размера блока (и MTU over 9000 на всём пути от TFTP бокса до целевой системы тоже) слабо помогает от фатального недостатка TFTP — подтверждений приёма каждого пакета. Это имело какой-то смысл на PSTN по мокрым шнуркам и микроволновых радиолинках в сильный снегопад, но в ДЦ у меня оптика между двумя ToRами и смысла в TFTP ноль. iPXE скачивается дольше, чем полгига гига загрузочного образа по HTTP. Вопрос остаётся открытым: если можно без промежуточных звеньев из TFTP и iPXE, зачем делать с ними?
А чем ipxe который по http тащит не устраивает?
Тем, что нужно содержать под него отдельный TFTP сервер, который, кстати, можно легко подменить, так что о доверенной загрузке e2e можно забыть. Сертификатов-то не завезли, в те годы вообще про такое не думали, вся безопасность строилась на доступе у знаниям и честном слове. И не в каждую сетевую карту его можно прошить. При этом скорость загрузки всего этого добра просто изумительная, можно состариться пока дождёшься.
> Тем, что нужно содержать под него отдельный TFTP сервер, который, кстати, можно
> легко подменить, так что о доверенной загрузке e2e можно забыть. Сертификатов-то
> не завезли, в те годы вообще про такое не думали, вся
> безопасность строилась на доступе у знаниям и честном слове. И не
> в каждую сетевую карту его можно прошить. При этом скорость загрузки
> всего этого добра просто изумительная, можно состариться пока дождёшься.Может я ошибаюсь, давно дело было, но PXE boot загружает только минимально необходимый образ мегабайтиков в 5 и потом монтирует ro root по сети, где нет никаких ограничений tftp, что там такого радикально поменялось?
Ошибаешься. Есть люди что в ipxe приносили зайчатки от безопасности, скорости и т.д. Было никому не интересно.
Они сейчас под себя делают ипхе везде. И там сертификаты везде. Можно пробовать подменять по дороге, рассказывать про скорости и прочее. Но оно работает. За деньги естественно.
И вот в чём ситуация. При наличии в локалке многих компов их ипхе протащит с удаленных серверов файлы в несколько раз быстрее и уж точно защищеннее чем остальные по тфтп, или по системд-хттп.
Тут просто люди в пузыре живут из Лин+Лён, не смотрят что есть ещё в мире.
> фатального недостатка TFTP — подтверждений приёма каждого пакетаВы хоть википедию откройте, посмотрите, что там пишут. Можно пачкой отправить кучу udp пакетов, и так же пачкой вернуть номера пакетов, которые долетели. TCP, кстати, так же умеет. Не читайте за столом рекламные брошуры гугла про QUIC, это вредно для пищеварительной системы.
>Леннарт Поттеринг (Lennart Poettering) предложил включить в системный менеджер systemd изменение, позволяющие загружать систему с использованием образа корневой ФС, получаемого c внешнего хоста по протоколу HTTP.Этим внешним хостом, конечно же, предполагается облако Azure.
И нахрена это надо? И кому?
А я отвечу, почему и зачем: поттерингу в угарном бреду приснилась очередная "офигенно нужная фича", которую он поспешил представить начальству, ведь так важно создавать видимость работы, не то попрут же.А на деле огроменная дырень и бекдор. Инит это просто запускалка процессов, не больше. Да, а баш портянки у меня на своем личном компе, видны только мне и никуда в сеть они не "светят", в отличии от этого монстра, который и ссш в себя сожрал(вспоминаем историю с хзутилс), и вот теперь еще и по сети малварь любую будет всасывать.
Вообще, очередное доказательство того, насколько ит отрасль прогнила. Если бы не вся эта "видимость бурной деятельности" в офисах, сейчас софт не был бы настолько раздут и языков было бы всего пара(си и какой нибудь интерпретируемый).
>доказательство того, насколько ит отрасль прогнилаНе все так плохо! Когда Маск уволил 80% айтишников, все истошно вопили, что пришел Твиттеру капец. Но оказалось, что он жив и совсем не плохо себя чувствует.
Сейчас айтишники об этом скромно молчат в тряпочку, а вот по ИТ миру началась волна массовых увольнений (по примеру Маска). Надеюсь, когда-нибудь дойдут и до Поттеринга.
> Но оказалось, что он жив и совсем не плохо себя чувствует.Если для тебя потеря половины revenue это "неплохо чувствует"...
Хорошо что ты не врач)И Маску сейчас не до твиттера будет, он же глава целого Департамента.
Надо срочно увольнять всяких ленивых Джонов и завозить индусов с китайцами.
>Если для тебя потеря половины revenue это "неплохо чувствует"...
>Хорошо что ты не врач)Ты действительно думаешь, что "потеря половины revenue" случилась по причине увольнения 80% ИТ-дармоедов?
Хорошо, что ты не финансовый аналитик)
> Ты действительно думаешь, что "потеря половины revenue" случилась по причине увольнения 80% ИТ-дармоедов?Нет конечно, в первую очередь это случилось из-за длинного языка нашего космического мальчика.
То он зиги кидает, то на евреев наезжает..Но кол-во уволенных сказалось на том, что в Х-е прон прямо в открытую лежит.
Так что нормальный рекламодатель трижды подумает "а ставить свою рекламу на такой площадке?".> Хорошо, что ты не финансовый аналитик)
Я тоже рад.
Меня устраивает быть программистом.
Если ты под проном имеешь ввиду арты художников из Азии, то они там всегда обитали
И вообще, для подобного давно существует ipxe, там где оно нужно, а именно терминалы и тонкие клиенты в офисах и на производствах, скорее всего и используется. Решение хорошо тем что оно отдельное, и дома такой херней никто не страдает в здравом уме. Нет лишнего переусложнения, в отличии от этого вот поделия.
Изобретение велосипедов в самом плохом смысле, зато еще одна дырень будет, буд-то мало таких.
Так станет ещё лучше, можно выбросить iPXE и грузиться напрямую с того же самого HTTP-сервера, с котого до этого грузил iPXE. Меньше серверов админить и бэкапить. Сплошные плюсы.
Вы даже не представляете, как много разных весёлых и не очень вещей обозначается словом HTTP. Бинарный протокол, который раньше притворялся текстовым, а теперь вообще хрен поймёшь, как правильно URL request-line парсить.
Для каких-то юзкейсов тема, может быть, и полезная (хотя загрузка по сети существует сто лет в обед, но пусть будет ещё один способ). Главное - не подпускать к её реализации самого Поттеринга.
Скоро система будет решать имеешь ли ты право загружать что либо по сети. Или если ты неугодный то тебе будет догружаться то что ты не заказывал.
Дальше само ядро включат в systemd, типа секьюрнее?
>http://Надеюсь в systemd не заинлайнили заново написанную, неспецифицированную, раздутую, глючную, уязвимую и медленную реализацию половины библиотеки libcurl? Зная Лёню - I won't hold breath.
он уже начал пилить самопальный парсер адресов, скоро всё будет!
https://github.com/systemd/systemd/pull/36314/files#diff-296...
> char16_tИспользовать в 2025-м году UTF-16 без необходимости взаимодействия с завязанным на эту кодировку легаси может только сотрудник Microsoft.
Спасибо, что хоть предупредили. А то я тут недавно открываю /etc/ssh/ssh_config.d/, а там @20-systemd-ssh-proxy.conf - После обновления systemd проверяйте все свои каталоги. Он уже лезет везде, не спрашивая даже.
Надеюсь в дебиан это говно не потащат, как и ssh через ситемд сокет.
Зря надеешься. Обязательно потащат :(
Будут голосовать. Сколько надо будут.
Можете прописать отдельные папки или вообще целиком весь etc (вроде пакман умеет в вайлдкарды) в NoUpgrade и NoExtract. Поттеринг и мейнтейнеры, которые содержат все его пакеты - это натуральные вредители.
Что тут может пойти не так? Какой широкий душевный простор для русских хакеров. А как же приятно мелкософту завязки на UEFI. Поттеринг как всегда.
GNU/Linux постепенно превращается в Systemd/Linuxда и пора уже какие нибудь акронимы придумывать по типу "Systemd Not Linux"
Систембзда -- прекрасная операционная система, которой не хватает только своего собственного ядра)))(Перефразирую бородатую шутку про Емакс)
> GNU/Linux постепенно превращается в Systemd/LinuxТак отлично! Меньше васянтва, разброда и шатания.
> да и пора уже какие нибудь акронимы придумывать по типу "Systemd Not Linux"
"Акронимы придумывать - не код писать"
Так что придумывайте, что вам еще остается))
Поставь Винду, там нет никакого разброда и шатания.
> Поставь Винду, там нет никакого разброда и шатания.Я лучше помогу тем кто делает, а "не мешки ворочает" превратить линукс в виндовс.
Ну чтобы хотя бы процентов 20 аудитории на дестопах, чтобы не было 100500 костылей, чтобы на дистровотче остались десять дистрибутивов... а все нетакусики пошли работать на завод.
Уверен, что твоя помощь кому-то упёрлась?Миру не нужна вторая Винда, как и второй Папа Римский. Одного достаточно, и он свят, и святее не нужно.
поможете .. притащить 1000-летний кривой svc с созданием служб через записи в реестре и регистрацией сервисов через пень-колоду, лол?
"хейтеры" систембди и то больше понимают, о чем пишут.
Ты не поверишь. На Реддите уже ныли, что "как жаль, что в Линукс нет реестра, это ведь так классно".
как нет?
а dconf?
он вполне и рутовым может быть.
Кто сказал слово "комбайн"?!
> объединяющих в одном файле загрузчик для UEFI (UEFI boot stub), образ ядра Linux и загружаемое в память системное окружение initrd.Так, я не понял, а systemd и в initrd будет? Или там как обычно только busybox?
Вместо initrd. Systemd будет везде.
история_игрушек.jpg
То есть, nfs /usr/ низя, а http / мона. Пожелания платинового спонсора - сперва ломаем, потом сорт оф чиним.
Полностью поддерживаю и одобряю))) Доставка из интернета малвари и руткитов на дом, легко и непринуждённо. Да здравствует систембзда, любимая-ненаглядная! Разве на ентих ваших дидовых портянках такое реализуешь?
Реализуешь ещё как! Запихиваешь wget в initramfs и качаешь малварь на любой вкус.
Это вгет ещё надо скачать права дать в лог записать все что он сделает.
Скоро в каждом домашнем роутере...
Для того и делают.
Юзер и не будет знать, что в его коробке уже совсем не та система, что при покупке была. А с сюрпризами
Сейчас мода на атомарщину в ней от системд уже не отвязаться.
вот бы системд на хруст переписать. эксперты опеннета были бы в восторге
О, а это идея! :-))) И "бизипасно" будет.В ядро хруст не продолкнули, но можно же в системду, это намного эффективнее!
> В ядро хруст не продолкнули, но можно же в системду, это намного эффективнее!Пока не протолкнули.
Думаю копья будут ломаться еще пару лет.
А потом корпы надавят на нужные рычажки и бац, без хрустца ядро и не собирается.
без него уже браузер не собирается. десктоп захватили
Ага, безопасно - через http
Сферический эталон безопасности в вакууме, ещё и pжавый.
Такое нужно сразу в палату мер и весов)
> Ага, безопасно - через httpподписанный хеш образа, в чем проблема?
>> Ага, безопасно - через http
> подписанный хеш образа, в чем проблема?В том, что систембзда очень навряд ли будет ещё и *.md5 грузить, и что-то ещё потом там проверять.
Ну или если будет, то через какую-нибудь дырку, спомпоновав "правильно" скармливаемый образ, можно заставить её ничего не проверять.
попытка была
https://github.com/KillingSpark/rustysdможно форкнуть и продолжить
> вот бы системд на хруст переписать. эксперты опеннета были бы в восторгеБольше похоже на продвижение самого rust, потому что он такой замечательный,
Это как yandex сервисы, которые везде пихают себя без просу.
Это как goolang, который в основном только интересен google.
Чем на улучшение ядра.
И wayland композитор встроить, без возможности запустить иксы, прям из космоса можно было бы увидеть это сияние.
Да ваще непонятно, чего работодатель не надавит на Поттермнга? M$ же за Хрустишку.
Все дыры пофиксили, нужны 100500 новых -- в хттп парсере.
Для хттпс достаточно сделать умный реверс-прокси и присвоить себе IP в нужной сети. И дело в шляпе. И это реально проблема сегодняшней маршрутизации. По моему это называется недетерминированным поведением, но многим нравится - удобно, конфигурируемо.
> И дело в шляпе.нет, если хеш от образа подписан
Ну в принципе хорошее решение, https://vasyan.net/haxxor/kitforyourpwnednetwork.efi и образ к нему можно будет загружать сразу прямо из UEFI.
Главное что будет как разработчик системд захочет. А не как безопасно или как хочет какое-то там сообщество.
> Главное что будет как разработчик системд захочет.А точно сам разработчик, а не его работодатель?
> [...] или как хочет какое-то там сообщество.не какое-то там, а сообщество Платиновых Спонсоров в целом и "Самый Лудьший Друг Опенсорца" (и платящий зарплату, как минимум, 2 разрабам системды) в частности.
"Сообщество" может "хотеть" примерно чего угодно, но пока оно не готово что-нибудь делать или хотя бы платить тем, кто делает... Вы понимаете, да?
Платить разработчикам systemD? Ни в коем случае. Эти люди пилят Зло.
> Платить разработчикам systemD? Ни в коем случае. Эти люди пилят Зло.Тогда чего удивляться, что "разработчики systemd" игнорируют интересы некоего "подdevuan'ного сообщества", не желающего участвовать в совместной работе?
Я уже такое делал под винду, но в качестве дополнительной файловой системы для определенных устройств, для хаба картинок и видео если точнее, а не для загрузки самой ОС. С одной стороны ничего особо сложного в этом нет. С другой, при быстрой работе сети особо медленнее работать не будет. Весьма интересно - вставляешь флешку в компьютер и грузишь свою ОС с другого компьютера, может за рубежом. И подключаешь обычную файловую систему (если не зашифрована, а в ином случае - вводишь или подбираешь ключик). HTTPS вроде бы как защищен, как некоторые рассказывают. Хотя после работы с ним - я в этом не уверен. Более того грамотное использование протокола позволяет указывать на важность, доступность ресурсов. Что-то важное можно указать как кешировать на некоторое время, если знаешь или предполагаешь когда будет обновление.
Единственно как будет выглядеть результирующая файловая система? ФС флешки + ФС сервера как оверлей или как отдельный раздел в какой-нибудь папке? А с компьютерами будет что? Каждому мини-мейнфрейм в каждый дом? Ставишь такой себе роутер и все устройства к нему обращаются за ОС. А если даже в гостях - просишь доступ и всё-равно сидишь в своей домашней ОС. Попросил друг читалку почитать или фильм какой посмотреть - даешь в долг устройство вместо копии файлов - авторские права соблюдены. Хе-хе, фантастика!
На сегодняшний день это всё никому не нужно, поэтому мне кажется что идея не взлетит. Даже если вы подключаетесь к устройству с супер-пупер-умным ИИ. Если это часть плана по такому развитию их технологий. А вот для гибридных облачных технологий - достаточно обычной ОС и специального ПО которое к нему подключится и это реально нужно.
> Каждому мини-мейнфрейм в каждый дом?cdn с эталоннным образом в ближайшем датацентре, остальное качать из облака.
О траффике, как и о остальных технических деталях, предложенцы подумают потом.
Интересно как скоро до дистров допрет, что от systemd пора избавляться?
Пока вы там пять лет подпиралкой допираете, systemd уже даже в цисковских роутерах надёжно прописался.
> Пока вы там пять лет подпиралкой допираете, systemd уже даже в цисковских
> роутерах надёжно прописался.И что из этого следует?
Из этого следует, что оно юзабельно даже в масштабе крупного энтерпрайза, и у дистров не будет никаких предпосылок для выпиливания.
> Из этого следует, что оно юзабельно даже в масштабе крупного энтерпрайза, и
> у дистров не будет никаких предпосылок для выпиливания.Оно не "даже", оно "только". Как раз именно в энтерпрайзе системда и имеет смысл. Где надо для кучи отделов конфигурировать и администрировать овердoxpeнадцать машин для десятков отделов. И в Цисках, как роутерах для энтерпрайза, системда более чем уместна.
А на рабочие станции, домашние машины и встройку нечего эту дрянь ставить.
> Интересно как скоро до дистров допрет, что от systemd пора избавляться?Избавиться от систембзды -- это только полдела. Избавляться надо также от её хвостов и системные пакеты перестать собирать с учётом требований совместимости с ней.
Вот Артикс -- яркий пример, где систембзду выпилили, а всё остальное от неё так и осталось. Некоторые системные пакеты так и собираются с префиксом=/usr, что не даёт вынести /usr на отдельный раздел, как было раньше, в былые времена. Поэтому лично я пока продолжаю сидеть на Арче, и с перекатыванием тяну -- просто не хочу получить "тот же Арч, только хуже".
>> Интересно как скоро до дистров допрет, что от systemd пора избавляться?
> Избавиться от систембзды -- это только полдела. Избавляться надо также от её
> хвостов и системные пакеты перестать собирать с учётом требований совместимости с
> ней.Не обязательно: можно сделать совместимую с ней, только урезать все лишнее.
> Не обязательно: можно сделать совместимую с ней, только урезать все лишнее.Ага, и сделать систембзду Васян-стайл. :-)))
Ну так можешь приступать уже сейчас -- качни с Гитхаба и начинай ковырять. Если после твоих манипуляций она соберётся -- дай знать, выложи патч где-нибудь.
>> Не обязательно: можно сделать совместимую с ней, только урезать все лишнее.
> Ага, и сделать систембзду Васян-стайл. :-)))
> Ну так можешь приступать уже сейчас -- качни с Гитхаба и начинай
> ковырять. Если после твоих манипуляций она соберётся -- дай знать, выложи
> патч где-нибудь.Если будете мне платить фул тайм, то зовите.
> Если будете мне платить фул тайм, то зовите.У меня 0 интереса донатить на заведомо бесполезную и дурную работу.
А Васяны сами должны свои билды ваять, иначе это беспонтово и нещитово.
>> Если будете мне платить фул тайм, то зовите.
> У меня 0 интереса донатить на заведомо бесполезную и дурную работу.
> А Васяны сами должны свои билды ваять, иначе это беспонтово и нещитово.Вам бы выступать на арене, а то такой талант пропадает. Даже без большого красного носа вас не спутают.
"Смешно дураку, что рот на боку." (русская пословица)И что именно Вас, любезнейший, так развеселило?
Встречный вопрос что лучше fat32 или vfat.
Очень удобно увеличивать какую-нить статистику в вебе. Вместо образа диска прописал путь к счётчику, а пользователи пущай накручивают.
Ну сделайте любое открытое ПО и будете накручивать на пользователях, пока не обнаружат и вообще забанят ваш сайт.
Много забаненых? Уже ведете статистику?)
Сайт понижается в ранжировании при обнаружении такой накрутки без всякого уведомления. Да, я знаю такие сайты. И чтобы это исправить, нужно сильно постараться, потому что гугл их содержание помнит.
Ну да, ведь проще накрутку никак не сделать.
все накрутки хороши, все накрутки нам нужны
Ну если вам не нужна возможность загрузки по http то не пользуйтесь.
А почему не https? Сертификаты оказались небезопасненько?
Вспомнил про спо где всё должно быть можно?)
там достаточно верифицировать хеш образа, то есть проверить подпись
Сертификат могут подделать а хеш, crc32 - нет. Пнятненько.
алё какой сертификат? какой подделать?вы хоть понимаете разницу между понятиями "конфиденциальность" и "целостность"?
https нужен для "конфиденциальность", для загрузки образа ОС достаточна проверка "целостности" этого образа, скаченного по http (без оверхеда), а как проверить целостность? - подписать хеш этого образа. Как проверить подпись? - догадайтесь сами. Если не "Пнятненько", могу пояснить.
> Сертификат могут подделать а хеш, crc32 - нет. Пнятненько.Контрольную сумму подделать можно, но это заведомо бессмысленно. Ну, найдёшь ты мусор из рандомных байт, у которого контрольная сумма совпадёт с загружаемым образом. Скормишь кому-то этот мусор вместо образа. У кого-то упадёт ровно одна машина, причём ты об этом скорее всего даже не узнаешь.
Но вопрос в другом: что-то мне кажется, что систембзда не будет никак проверять загруженное.
> Но вопрос в другом: что-то мне кажется, что систембзда не будет никак проверять загруженное.нет смысла городить такую хрень, когда не будет верификации загружаемого образа. Да даже хоть по https пускай образ, если нет верификации образа по цифровой подписи - курам на смех это все, Мявуся не даст соврать :)
> нет смысла городить такую хрень, когда не будет верификации загружаемого образа.Ну это как бы и ежу понятно.
У меня есть предположение, что это будет попытка реализовать фичу загрузки ядра через Интернет, которая 30 лет назад появилась у Эппла, и позже (вроде бы) была реализована в МакОСь-евском launchd, который является историческим предком системды.
В биосе древних маков 90-х годов был терминал, которым можно открыть последовательный порт и позвонить модемом куда-нибудь на ББС-ку, почитать Юзнет и ФИДО)))) Вполне актуально для 1990-х. Ну, для тех немногих, кто мог позволить себе отвалить за мак пару штук вечнозелёных. Но предназначалась эта фича для того, чтобы позвонить на местный эппловский модемный пул, и стянуть оттуда ядро, если система на винте посыпалась (что случалось крайне редко, только если посыпался сам винт). После загрузки ядра система грузилась с раздела для аварийного восстановления.
В маках на PowerPC начала 00-х можно было загрузиться по локалке, если в ней есть другой работающий мак, поддерживающий AppleTalk. Потом, когда был переход на х86, эту фичу собирались выпилить.
Сейчас, конечно, это уже всё давным-давно не актуально. Даже для корпоратов.
> Сейчас, конечно, это уже всё давным-давно не актуально. Даже для корпоратов.Почему же, бездисковые рабочие станции, зеро траст и т.д. особенно в разработке коммерческой.
> Почему же, бездисковые рабочие станции, зеро траст и т.д. особенно в разработке
> коммерческой.Нет, я не про это. Возможно, я не так выразился.
Стянуть ядро ОС для загрузки через Интернет с сервера производителя, или забрать модемом по телефону с ББС производителя -- это было актуально в эпоху неолита, когда купленная за 3-4 килобакса рабочая станция была единственными электронными "мозгами" на (небольшом) предприятии. Альтернатива была -- отправить курьера с дискетами или отправить админа в командировку за несколько десятков километров. Со всеми сопутствующими расходами и временем ожидания. Или ждать, пока к тебе приедет мастер из техподдержки.
Сейчас же можно просто скачать загрузочный образ, хоть на телефон, если под руками ничего другого нет. И телефоном же закатать его на подключённую через переходник флешку, которую можно купить в отделе электронной лабуды ближайшего супермаркета. И вставить её в упавшую машину.
А для бездисковых станций существует PXEBoot, который появился ещё в начале 1990-х вместе с TFTP. Только тогда этот протокол поддерживали только некоторые модели сетевых карт с биосом на борту, а сейчас загрузка по сети есть в каждой материнке.
> crc32Так попробуйте sha512.
Потому, что https это подмножество http.
А http, это единство https.
Действительно, зачем доводить до ума то, что навалено в модулях dracut, давайте сделаем ещё раз внутри systemd
Редхат реально в помойку линукс превращает.
Леннарт работает не в редхат, а в Microsoft, причем уже давно.
Хм, ну это объясняет. Всё идёт по плану...