The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

В рамках проекта TinyWare подготовлена новая сборка Slackware

23.06.2019 20:37

Подготовлены сборки проекта TinyWare, основанные на 32-разрядной версии Slackware-Current и поставляемые с 32- и 64-разрядными вариантами ядра Linux 4.19. Размер iso-образа 800 Мб.

Основные изменения, по сравнению с оригинальным Slackware:

  • Установка на 4 раздела "/", "/boot", "/var" и "/home". Разделы "/" и "/boot" монтируются в режиме только для чтения, а "/home" и "/var" в режиме noexec (запрет исполнения);
  • Патч к ядру CONFIG_SETCAP. Модуль setcap может отключать заданные системные возможности (capabilities), или включать их для всех пользователей. Модуль настраивается суперпользователем во время работы системы через интерфейс sysctl или файлы /proc/sys/setcap и может замораживаться от внесения изменений до следующей перезагрузки. В штатном режиме в системе отключены CAP_CHOWN(0), CAP_DAC_OVERRIDE(1), CAP_DAC_READ_SEARCH(2), CAP_FOWNER(3) и 21(CAP_SYS_ADMIN). В обычное состояние система переводится командой tinyware-beforeadmin (монтирование и capabilities). На основе модуля можно развить обвязку securelevels.
  • Патч к ядру PROC_RESTRICT_ACCESS. Данная опция ограничивает доступ к каталогам /proc/pid в файловой системе /proc c 555 на 750, при этом группа у всех каталогов назначается root. Поэтому пользователи видят командой "ps" только свои процессы. Root по прежнему видит все процессы в системе.
  • Патч к ядру CONFIG_FS_ADVANCED_CHOWN, позволяющий рядовым пользователям изменять владение файлами и подкаталогами внутри своих каталогов.
  • Некоторые изменения настроек по умолчанию (например, UMASK установлен в 077).


  1. Главная ссылка к новости (http://www.tinyware.ru/...)
  2. OpenNews: Выпуск дистрибутива Slax 9.7
  3. OpenNews: Выпуск дистрибутива Slackel 7.1
  4. OpenNews: Slackware Linux исполнилось 25 лет
  5. OpenNews: Релиз дистрибутива Slackware 14.2
Автор новости: Анкх
Тип: Программы
Ключевые слова: linux, slackware, tinyware
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (33) Ajax | 1 уровень | Линейный | Раскрыть всё | RSS
  • 1.1, Аноним (1), 00:13, 24/06/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • –6 +/
    О! Там в документации всё на русском. Привет соотечественникам! Молодцы, конечно... А можно всё тоже самое, только на основе Arch Linux? :)
     
     
  • 2.2, Аноним (2), 00:27, 24/06/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Привет соотечественникам!

    Не соотечественникам, а соотечественнику.

     
     
  • 3.3, Аноним (1), 00:29, 24/06/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Тем более! ;)
     
  • 3.33, Michael Shigorin (ok), 22:10, 24/06/2019 [^] [^^] [^^^] [ответить]  
  • –3 +/
    > Не соотечественникам, а соотечественнику.

    Сперва подумал -- уж не Хоттабыч ли :-)

    > Патч к ядру PROC_RESTRICT_ACCESS

    Напомнило активные деньки -ow patch.

    > UMASK установлен в 077

    Тоже чё-то знакомое, но уж не помню, где...

     
  • 2.4, неарчевод (?), 00:29, 24/06/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > А можно всё тоже самое, только на основе Arch Linux? :)

    Можно: https://wiki.archlinux.org/index.php/Remastering_the_Install_ISO

     
     
  • 3.5, Аноним (1), 00:32, 24/06/2019 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Опять всё сам? Эх... :))
     
  • 3.12, Annoynymous (ok), 05:46, 24/06/2019 [^] [^^] [^^^] [ответить]  
  • –2 +/
    И ALT Linux, пожалуйста )
     
     
  • 4.34, Michael Shigorin (ok), 22:15, 24/06/2019 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Ну если совсем всё то же самое -- то это разве что ядро собирать (у нас варианты "32-битный юзерспейс с 64-битным ядром" никогда не поддерживались именно в репозитории, хотя руками, конечно, можно было и так накрутить).

    Что-то на тему ограничения доступа к /proc в альте бывало достаточно долго, но примерно после kernel-fix-security-altsec имени lakostis@ (когда -ow для 2.6 так и не появилось, что ли, а подмножество функциональности ему хотелось) вроде никто не делал.

    Если интересно -- думаю, стоит повесить FR на kernel-image-un-def в багзилу.

     
  • 4.36, vantoo (ok), 07:17, 25/06/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Мсье знает толк в извращениях.
     

  • 1.8, Аноним (1), 00:45, 24/06/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Видел еще какую-то unique partitioning scheme тут: https://www.resilientlinux.com/. Кто знает, что там уникального?
     
     
  • 2.17, Аноним (2), 10:23, 24/06/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Мышкой клац-клац: https://liveng.readthedocs.io/en/latest/
     

  • 1.9, gsdh (?), 01:44, 24/06/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    > Однако для администрирования системы, например для установки новых программ, необходимо перемонтировать разделы в rw режим. Для этого в TinyWare требуется выполнить в Терминале или в текстовой консоли команду sudo tinyware-beforeadmin. По завершении административной работы следует выполнить команду sudo tinyware-afteradmin.

    Убожество

     
     
  • 2.10, gsdh (?), 01:57, 24/06/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Зачем превращать чистую - безкостыльную систему в убунтуподобною лажу
     
     
  • 3.18, Аноним (2), 10:24, 24/06/2019 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Где ты в убунте подобную лажу видел?
     
  • 2.11, VINRARUS (ok), 04:03, 24/06/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > необходимо перемонтировать разделы в rw режим
    > sudo tinyware-afteradmin

    А обычного mount -o remount,rw / недостаточно уже?

     
     
  • 3.14, Павел Отредиез (?), 07:19, 24/06/2019 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Там ещё капы включаются и отключаются. Много часто набирать.
     
     
  • 4.19, тщт (?), 10:30, 24/06/2019 [^] [^^] [^^^] [ответить]  
  • +/
    беспонятия что за капы
    своя скриптина будет эффективнее в любом случае, хоть снапшоты делай, хоть перемонтируй, хоть что.
     
     
  • 5.20, Аноним (20), 10:54, 24/06/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Capabilities
     
  • 5.25, Павел Отредиез (?), 13:09, 24/06/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Ды? А я думал надо все в рот положить :)
     
  • 2.32, Аноним (32), 20:22, 24/06/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Почему?
     

  • 1.13, Ю.Т. (?), 06:35, 24/06/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Сомнительно. По сути изменений это предназначено для "единственных пользователей машины", которые "почти никогда ничего не ставят" ("и не должны"). Но раз линукс, то хоть раз, но понадобится рутовский пароль, зачем "огород" с перемонтированием? Тот же liveslak делает "корень без записи" изящнее.
     
     
  • 2.22, _kp (ok), 12:14, 24/06/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Именно потому и сделано, что это система не для десктопов, а различных автономно работающих устройств.
    Видимо так реализован упор на неубиваемость в ущерб привычным методам управления.
     
     
  • 3.27, Ю.Т. (?), 14:05, 24/06/2019 [^] [^^] [^^^] [ответить]  
  • +3 +/
    > Именно потому и сделано, что это система не для десктопов, а различных
    > автономно работающих устройств.
    > Видимо так реализован упор на неубиваемость в ущерб привычным методам управления.

    Сомнительно. На эти случаи на основе slackware есть liveslak без persistence, и он даёт более общее решение. Кроме того, 800М в установочном образе это уже не "устройства".

     

  • 1.15, Павел Отредиез (?), 07:42, 24/06/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Переводится в классический режим одной командой, если не заперто на замок.
     
     
  • 2.16, Ю.Т. (?), 09:10, 24/06/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Переводится в классический режим одной командой, если не заперто на замок.

    Ну вот если и классический режим есть, то вообще цель непонятна. Опять же, изменённое ядро, не по слаковским понятиям. Для такой установки неплохо бы мультилиб, так он выведет образ за 900М.

     
     
  • 3.21, Павел Отредиез (?), 11:30, 24/06/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Ну как цель непонятна. Securelevel ами в Linux как в BSD и раньше занимались некоторые люди. Вот пожалуйста отключай любые capabilities  и  лочь.
     

  • 1.23, Аноним (23), 12:44, 24/06/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    >Патч к ядру PROC_RESTRICT_ACCESS. Данная опция ограничивает доступ к каталогам /proc/pid в файловой системе /proc c 555 на 750, при этом группа у всех каталогов назначается root. Поэтому пользователи видят командой "ps" только свои процессы.

    Ужасный костыль. В любом дистре это делается намного проще. Просто добавляем в fstab:

    proc /proc proc hidepid=2 0 0

    https://sysadmin.pm/hidepid/

     
     
  • 2.24, Павел Отредиез (?), 12:56, 24/06/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Не знал, надо будет потестить.
     
     
  • 3.26, Павел Отредиез (?), 13:47, 24/06/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Не очевидно. Было, да. У них пермишены одни, а не пускает. Костылевато, хоть и было и работает. Останусь на своём.
     
  • 2.28, Аноним (28), 14:45, 24/06/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Polkit отрубается при таком fstab для обычного юзера. :(
     
     
  • 3.31, анонимус (??), 20:14, 24/06/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Создаётся специальная группа, пользователь polkitd добавляется в неё, файловая система proc монтируется с опцией gid=<GID>
     
     
  • 4.35, Аноним (28), 22:59, 24/06/2019 [^] [^^] [^^^] [ответить]  
  • +/
    То-то и оно, что потом обычный пользователь видит процессы других. Не выход. А polkit ему нужен, хотя бы, чтобы выключить комп.
     

  • 1.29, Павел Отредиез (?), 15:01, 24/06/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Раз люди хорошо восприняли. Тогда песенка Openbsd https://youtu.be/0fOjsIxinDk
     
     
  • 2.37, Павел Отредиез (?), 23:35, 25/07/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Стоит переделать все на Debian? Или оставить Slackware? Или вообще не нужно и нефиг заморачивться?


     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Слёрм
    Inferno Solutions
    Hosting by Ihor
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2019 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру