AppArmor на ноуте

Egor Gavrilov написал(а) к Alexey Khromov в May 25 00:15:28 по местному времени:

Нello, Alexey Khromov.
On 12.05.2025 21:17 you wrote:

AK> SysVinit много где хорош, особенно там, где не надо dbus или активации сокетами. Во встроенных
AK> системах самое то.

Нынче DBus есть даже на триколоровских приёмниках на StingrayTV. Ибо это тоже линукс, по сути, причём на вполне себе полноценном glibc.

AK> Я-то тоже давно на systemd, но вот гадить в свою систему докером/снапом и прочими
AK> "универсальными" средствами развертывания приложений почему-то не привык. Для докера у меня
AK> отдельная машинка, на которой ТОЛЬКО докеризованные сервисы, собранные компоузом. Собираю,
AK> конечно же, прямо со своей машины, для того $DOCKER_НOST стоит.

Чего плохого в докере/снапе/флатпаке? Оно размещается отдельно от файлов самой ОС (в /var/lib - /usr никак не трогается), не жужжит, и не мешает работе системы, и его пакетного менеджера. Плюс изоляция приложений, и собственный datadir - это мечта любого человека, который привык к мобильным ОС, и хочет того же опыта, но на десктопе (это про меня, если что).

AK> libvirtd/qemu-kvm c докером на одной машине держать не совсем удобно (я б даже сказал, почти
AK> невозможно).

Можно. Надо в конфигах libvirt прописать, что надо использовать iptables вместо nftables. В таком случае nftables будет (в основном) использоваться в режиме совместимости с iptables.

AK> Приложениям - нативную сборку и четкие зависимости,

Приложениям - единое окружение, и гарантия отсутствия проблем с зависимостями на всех ОС, где есть платформа контейнеризации. А это именно про контейнеры.

AK> Сервисам - докер, когда оно того заслуживает

Собственно, это один из основных случаев, когда это надо.

AK> А отказываться от чего-то... рановато. Линух всегда был конструктором, из которого можно
AK> слепить ~~android~~ почти все, что душе угодно. Для самых упоротых есть гента и LFS, там
AK> собирай со своими зависимостями и как хочешь и что хочешь.

Гента, арч, ЛФС, НиксОС - это не тоже самое, что убунта/дебиан/федора/рхел. Первое не предоставляет окружение с хорошей официальной поддержкой проприетарщины напрямую от вендора, как второе. Причём убунта, наверное, это до сих пор "золотой стандарт" в мире проприетари - все проприетарщики пилят свой софт в первую очередь под убунту, и только потом может добавят официальную поддержку дебиана (после очередного внутреннего тестирования), или редхата/федоры.

Это только в опенсорсе есть полное разнообразие. В проприетарном мире Линукс - это список из пары-тройки одобренных и популярных дистрибутивов.

--
С наилучшими пожеланиями!
--- ХотДог/2.14.5/Android

Egor Gavrilov написал(а) к Oleg Nazaroff в May 25 00:23:38 по местному времени:

Нello, Oleg Nazaroff.
On 12.05.2025 22:59 you wrote:

ON> Эээ, какой, говоришь, аналог аппармора в андроиде? Селинух, точка. Адекватный.

Оно-то адекватный, но не на родной его среде, в лице редхата. В андроиде его сильно допилили до ума.

ON> А то помню я крютых мамкиных спецов типа гремлина ;) чють што - в кишочки лезть и грязными
ON> руками там, без анестезии. Фууу! И потом такие граждане ищо заявляли что нода на ведре не
ON> жилец и батарейке кирдык. Дураки, чо ;)

Я тоже в кишки не лезу. Благо нынче (ещё со времён 7 андроида минимум) Termux и proot сильно облегчает безрутовую жизнь.

Единственная проблема - чёт оно не дружит с гентой. Хотел генту-префикс накатить - но шлангом не собрать его. Нужен ГЦЦ. Стейдж3 тоже не выходит - он чёт не дружит с proot.

--
С наилучшими пожеланиями!
--- ХотДог/2.14.5/Android

Oleg Nazaroff написал(а) к Egor Gavrilov в May 25 00:57:28 по местному времени:

Нello, Egor Gavrilov.
On 13.05.2025 00:23 you wrote:

EG> Оно-то адекватный, но не на родной его среде, в лице редхата. В андроиде его сильно допилили
EG> до ума.

Вот. А это поделие - бред сивой кобылы. Он и на серваке то работает пока его руками не тронешь ;))

EG> Я тоже в кишки не лезу. Благо нынче (ещё со времён 7 андроида минимум) Termux и proot сильно
EG> облегчает безрутовую жизнь.

Прут тебе как облегчит? Он кагбе с ведровым ядром даже не близко ;)

EG> Единственная проблема - чёт оно не дружит с гентой. Хотел генту-префикс накатить - но шлангом
EG> не собрать его. Нужен ГЦЦ. Стейдж3 тоже не выходит - он чёт не дружит с proot.

Это надобицца, когда софт надо под рутом взгромоздить и что-то сделать.

--
WBR, ON
--- ХотДог/2.14.5/Android

Egor Gavrilov написал(а) к Oleg Nazaroff в May 25 04:52:21 по местному времени:

Нello, Oleg Nazaroff.
On 13.05.2025 00:57 you wrote:

EG>> Я тоже в кишки не лезу. Благо нынче (ещё со времён 7 андроида минимум) Termux и proot сильно
EG>> облегчает безрутовую жизнь.
ON> Прут тебе как облегчит? Он кагбе с ведровым ядром даже не близко ;)

Дак андроид сильно поменялся. Я пут ставил только на Android 2.3.6, и то только потому что тогда ещё нельзя даже было отключать системные приложения. На андроид-5 уже вовсю юзал штатную функцию по отключению приложений. А потом и вовсе появился прут и термукс, чтобы запускать линуксовые приложения.

Фактически, именно с термукса я и познакомился с линуксом. Да, прям начинал сразу с CLI. И учил сам. И это ради того, чтобы запускать хотя бы нормальные компиляторы, веб-сервер, и прочий софт, который в гугл-плей либо не найти, либо стоит бабок (за условный гуй к апачу и пыхе, например).

Джаву тоже первое время учил через термукс :)

А доступа к андроидному ядру сейчас мне и не надо - на ноуте есть полноценный линь, с докером, снапом, квмом, и прочей фигнёй. И генту воспринимаю больше как бенчмарк, нежели как дистрибутив для обычного использования. Ибо пересобирать мир (с гномом и прочей фигнёй) по несколько часов того не стоит.

EG>> Единственная проблема - чёт оно не дружит с гентой. Хотел генту-префикс накатить - но шлангом
EG>> не собрать его. Нужен ГЦЦ. Стейдж3 тоже не выходит - он чёт не дружит с proot.
ON> Это надобицца, когда софт надо под рутом взгромоздить и что-то сделать.

Знаю. Но его юзают обычно как non-root chroot - для этого даже есть соответствующий функционал.

--
С наилучшими пожеланиями!
--- ХотДог/2.14.5/Android

Alexey Khromov написал(а) к Egor Gavrilov в May 25 07:59:13 по местному времени:

Здраствуйте, Egor!

EG> Чего плохого в докере/снапе/флатпаке? Оно размещается отдельно от
EG> файлов самой ОС (в /var/lib - /usr никак не трогается), не жужжит, и
EG> не мешает работе системы, и его пакетного менеджера. Плюс изоляция
EG> приложений, и собственный datadir - это мечта любого человека, который
EG> привык к мобильным ОС, и хочет того же опыта, но на десктопе (это про
EG> меня, если что).

Да ничем оно не плохо. Оно иногда костыльно по определению, особенно флатпак,
но это вина не самой системы флатпак, а сборщиков соответственного релиза.
Ну не нравится мне, что для запуска бинаря меньше метра надо целиком образ
бубунты во флатпаке держать с гига полтора.
Такие есть и докерфайлы, не спорю. А снап - это немного с другой философией,
попытка создать универсальный менеджер пакетов "быстрее выше сильнее", чем все
yum dnf apt pacman apk - в итоге вместо 20 велосипедов имеем 21й со своими
нюансами.

AK>> libvirtd/qemu-kvm c докером на одной машине держать не совсем
AK>> удобно (я б даже сказал, почти невозможно).

EG> Можно. Надо в конфигах libvirt прописать, что надо использовать
EG> iptables вместо nftables. В таком случае nftables будет (в основном)
EG> использоваться в режиме совместимости с iptables.

Вот как раз libvirtd я настраивать не хочу, надо докер настроить, а никак

EG> Гента, арч, ЛФС, НиксОС - это не тоже самое, что
EG> убунта/дебиан/федора/рхел. Первое не предоставляет окружение с хорошей
EG> официальной поддержкой проприетарщины напрямую от вендора, как второе.

Так вам шашечки или ехать. Если про поддержку - зачем вам снап или флатпак (кроме официальных бин-релизов проприетарщины) и нефиг жаловаться на систему. Мы сидим на работе жуем AltLinux
и не жужжим, там поддержка, техсуппорт 24/7/365 и прочие плюшки, которые перевешивают
всю небоходимость в шатаниях и поисках пакетов вне офрепозиториев.

EG> Причём убунта, наверное, это до сих пор "золотой стандарт" в мире
EG> проприетари - все проприетарщики пилят свой софт в первую очередь под
EG> убунту, и только потом может добавят официальную поддержку дебиана
EG> (после очередного внутреннего тестирования), или редхата/федоры.

Ну я бы не сказал. И только под Ubuntu LTS. Чаше всего как раз RPM появляется

EG> Это только в опенсорсе есть полное разнообразие. В проприетарном мире
EG> Линукс - это список из пары-тройки одобренных и популярных
EG> дистрибутивов.

Ну и где сейчас те самые "фулл-проприетари" дистрибутивы типа Lindows, Xandros и SUSE (не путать с OpenSUSE)
Остались RНEL и AstraLinux (Астра предлагала Community Edition, но они походу забили)
И обе - за счет базы постоянных клиентов. И опять же - они не выживут без своих
OpenSource-версий.


Alexey Khromov
--- GoldED+/LNX 1.1.5-b20250409

Oleg Nazaroff написал(а) к Egor Gavrilov в May 25 10:30:56 по местному времени:

Нello, Egor Gavrilov.
On 13.05.2025 04:52 you wrote:

EG> Дак андроид сильно поменялся. Я пут ставил только на Android 2.3.6, и то только потому что
EG> тогда ещё нельзя даже было отключать системные приложения. На андроид-5 уже вовсю юзал штатную
EG> функцию по отключению приложений. А потом и вовсе появился прут и термукс, чтобы запускать
EG> линуксовые приложения. Фактически, именно с термукса я и познакомился с линуксом. Да, прям
EG> начинал сразу с CLI. И учил сам. И это ради того, чтобы запускать хотя бы нормальные
EG> компиляторы, веб-сервер, и прочий софт, который в гугл-плей либо не найти, либо стоит бабок
EG> (за условный гуй к апачу и пыхе, например). Джаву тоже первое время учил через термукс :) А
EG> доступа к андроидному ядру сейчас мне и не надо - на ноуте есть полноценный линь, с докером,
EG> снапом, квмом, и прочей фигнёй. И генту воспринимаю больше как бенчмарк, нежели как
EG> дистрибутив для обычного использования. Ибо пересобирать мир (с гномом и прочей фигнёй) по
EG> несколько часов того не стоит.

Где ты врешь - сам найди ;)
То 7-ка, то 5-ка, но вдруг 2-ка и ваще неправда и давно /:?
Компиляторы под ведро искать надо лучше, щательнее - их есть и на шару. У братьев индусов, они шагнули дюже дальше братьев кетайцев, и очень крутые компиляторы у них писал ваще пацан сильно младше тебя ;)) когда он начинал бетки выпускать, ему лет 10 мож было от силы.

EG> Знаю. Но его юзают обычно как non-root chroot - для этого даже есть соответствующий
EG> функционал.

Не обычно. Кто как хочет. Для рута тоже фсе есть.

--
WBR, ON
--- ХотДог/2.14.5/Android

Oleg Nazaroff написал(а) к Alexey Khromov в May 25 10:48:10 по местному времени:

Нello, Alexey Khromov.
On 13.05.2025 07:59 you wrote:

AK> Да ничем оно не плохо. Оно иногда костыльно по определению, особенно флатпак, но это вина не
AK> самой системы флатпак, а сборщиков соответственного релиза. Ну не нравится мне, что для
AK> запуска бинаря меньше метра надо целиком образ бубунты во флатпаке держать с гига полтора.
AK> Такие есть и докерфайлы, не спорю. А снап - это немного с другой философией, попытка создать
AK> универсальный менеджер пакетов "быстрее выше сильнее", чем все yum dnf apt pacman apk - в
AK> итоге вместо 20 велосипедов имеем 21й со своими нюансами.

А вот у кого что. Чтоб поставить digiKam актуальной версии - снапом я уж не знаю что оно там выкачивало, но после 10-ка гигов я его пристрелил. Подумал, ну мало ли что, ребутнулся и повторил. И он тоже повторил подвиг гастелло.. И ладно бы только один пакет. А флатпак забрал свои 0.9 гига, распаковал и тут же запустил. Работает и не жужжит.


Наивный. Самое последнее где оно появляется это бубунта ;))


--
WBR, ON
--- ХотДог/2.14.5/Android

Oleg Nazaroff написал(а) к Egor Gavrilov в May 25 10:59:36 по местному времени:

Нello, Egor Gavrilov.
On 13.05.2025 00:15 you wrote:

EG> Нынче DBus есть даже на триколоровских приёмниках на StingrayTV. Ибо это тоже линукс, по сути,
EG> причём на вполне себе полноценном glibc.

Не, тебе ж пишут - там где дбус не нужен. То что его пихают куда ни плюнь - это про другое..

EG> Чего плохого в докере/снапе/флатпаке? Оно размещается отдельно от файлов самой ОС (в /var/lib
EG> - /usr никак не трогается), не жужжит, и не мешает работе системы, и его пакетного менеджера.
EG> Плюс изоляция приложений, и собственный datadir - это мечта любого человека, который привык к
EG> мобильным ОС, и хочет того же опыта, но на десктопе (это про меня, если что).

Ну не все ж любють. Местами в докере приложки отвратительно себя чуйствуют, сильно хуже чем без него. Если даже дал все что положено и даже больше, а проца и памяти еще дофига. А флэтпак мне зашел. Ну, по сравнению со снапом ;))

EG> Гента, арч, ЛФС, НиксОС - это не тоже самое, что убунта/дебиан/федора/рхел. Первое не
EG> предоставляет окружение с хорошей официальной поддержкой проприетарщины напрямую от вендора,
EG> как второе. Причём убунта, наверное, это до сих пор "золотой стандарт" в мире проприетари -
EG> все проприетарщики пилят свой софт в первую очередь под убунту, и только потом может добавят
EG> официальную поддержку дебиана (после очередного внутреннего тестирования), или редхата/федоры.
EG> Это только в опенсорсе есть полное разнообразие. В проприетарном мире Линукс - это список из
EG> пары-тройки одобренных и популярных дистрибутивов.

Кубе ОС еще попробуй. Это кошмарный сон параноика просто ;))

--
WBR, ON
--- ХотДог/2.14.5/Android

Oleg Nazaroff написал(а) к Alexey Khromov в May 25 11:12:10 по местному времени:

Нello, Alexey Khromov.
On 12.05.2025 21:17 you wrote:

AK> Каждому свое. Кому-то и upstart нравился. SysVinit много где хорош, особенно там, где не надо
AK> dbus или активации сокетами. Во встроенных системах самое то. К юнитам systemd тоже привыкать
AK> надо и уметь их нарисовать (хотя для simple|oneshot юнитов нет ничего проще) Ну и для тех, кто
AK> периодически вертит в руках Фряшечку, SysVinit тоже привычнее.

Некоторые от runit'а тащатся. Или OpenRC еще. Ваще их как грязи, на любой вкус, цвет и кошелек. И это гуд. У меня sysv в основном, и эпизодически я прыгаю на systemd, благо МX это легко позволяет. Ээ, это я про ноут. А ничего другого у меня нет. Серваки не в счет ;)
Вот опять же - докер под sysv это анрил, но есть systemd тута же, в 15 секундах времени.

AK> Я-то тоже давно на systemd, но вот гадить в свою систему докером/снапом и прочими
AK> "универсальными" средствами развертывания приложений почему-то не привык. Для докера у меня
AK> отдельная машинка, на которой ТОЛЬКО докеризованные сервисы, собранные компоузом. Собираю,
AK> конечно же, прямо со своей машины, для того $DOCKER_НOST стоит. А, ну да, разработчики докера,
AK> кстати, тоже люди веселые и некоторые переменные sysctl сервис переставляет сам по-своему.
AK> libvirtd/qemu-kvm c докером на одной машине держать не совсем удобно (я б даже сказал, почти
AK> невозможно).

Дык, докер кагбэ не умеет гадить, в отличие от снапа. Последний даже снести ж по человечески не выходит..

AK> Приложениям - нативную сборку и четкие зависимости, Сервисам - докер, когда оно того
AK> заслуживает СистемД почти безальтернативен, когда хоть что-то юзающее dbus-шину есть в
AK> системе, тот же звук и блюпуп, например А отказываться от чего-то... рановато. Линух всегда
AK> был конструктором, из которого можно слепить ~~android~~ почти все, что душе угодно. Для самых
AK> упоротых есть гента и LFS, там собирай со своими зависимостями и как хочешь и что хочешь.

Вот я всосал цимес докера, когда (случайно!) грохнул базу жоплина и потом два дня восстанавливал из огрызков.. а в докере - два батона...

--
WBR, ON
--- ХотДог/2.14.5/Android

Egor Gavrilov написал(а) к Alexey Khromov в May 25 11:56:59 по местному времени:

Нello, Alexey Khromov.
On 13.05.2025 07:59 you wrote:

AK> Так вам шашечки или ехать. Если про поддержку - зачем вам снап или флатпак (кроме официальных
AK> бин-релизов проприетарщины) и нефиг жаловаться на систему. Мы сидим на работе жуем AltLinux и
AK> не жужжим, там поддержка, техсуппорт 24/7/365 и прочие плюшки, которые перевешивают всю
AK> небоходимость в шатаниях и поисках пакетов вне офрепозиториев.

Я как раз и ставлю исключительно официальные релизы. Non-official wrappers даже не рассматриваю - там точно что-то не будет работать из за изоляции.

AK> Ну я бы не сказал. И только под Ubuntu LTS. Чаше всего как раз RPM появляется

RPM-релизы пошли тогда, когда западные блогеры стали активно пиарить Федору. И туда повалило народу... Да ещё так, что и у нас, в R50, повалило федорастов (от слова "федора") после видосов Плафона.

До этого на западе из RPM'ного разве что RНEL был популярен. Федору воспринимали исключительно как "альфу" RНEL'а. Но потом появился CentOS Stream, Федору стали пилить более качественно, блогеры начали пиарить, и пошло-поехало.

AK> Ну и где сейчас те самые "фулл-проприетари" дистрибутивы типа Lindows, Xandros и SUSE (не
AK> путать с OpenSUSE) Остались RНEL и AstraLinux (Астра предлагала Community Edition, но они
AK> походу забили) И обе - за счет базы постоянных клиентов. И опять же - они не выживут без своих
AK> OpenSource-версий.

Речь не про дистрибутивы. Речь про само ПО. А там список поддерживаемых дистрибутивов ограничивается лишь несколькими популярными. Обычно это Убунту, Дебиан, Федору, RНEL.

--
С наилучшими пожеланиями!
--- ХотДог/2.14.5/Android