AppArmor на ноуте

Oleg Nazaroff написал(а) к All в May 25 20:19:48 по местному времени:

Нello, All.

Столкнулся вот в лоб.. ну и нафига оно тут? Я ж кагбэ не сервер, и так ресурсов в обрез... всего-то снес остатки после удаления snap, и тут он такой нарисовался, причем не сразу, а после ребута - это снесено, профиль не загружен, а тут пдф-принтер криво стоит, а тут nvidia.. вот прям откровением было - аказыицца оно решило что мне непременно необходимы драйвера nvidia. При том что у меня радеон и тот с трудом..
Нафига нужен сабж кроме сеяния своих ошибок и тормозов при загрузке???

--
WBR, ON
--- ХотДог/2.14.5/Android

Oleg Artemjev написал(а) к Oleg Nazaroff в May 25 22:48:10 по местному времени:

Привет, Oleg!

08 май 25 20:19, Oleg Nazaroff -> All:
ON> Нафига нужен сабж кроме сеяния своих ошибок и тормозов при загрузке???
Ну конечно. apparmor говно. патчи на ядро с noexec говно. Меня никто никогда не взломает - мои понты тому доказательство.

Где то я это уже читал. Сдается мне это пересказ твоего новояза.

С наилучшими пожеланиями, Oleg.

--- -Уютно у вас, а только странно. И солнца мало.

Oleg Nazaroff написал(а) к Oleg Artemjev в May 25 20:02:52 по местному времени:

Нello, Oleg Artemjev.
On 10.05.2025 22:48 you wrote:

OA> Ну конечно. apparmor говно. патчи на ядро с noexec говно. Меня никто никогда не взломает - мои
OA> понты тому доказательство.

Ну, расскажи нам, нахера он вперся. И как меня ломать планируешь тоже поделись, плиз, не тая!

Ты когда чего-то полезного закочешь рассказать - приходи.

PS: если apparmor для сервака адекватен как минимум тем, что под этот сервак заточен, то неуправляемый полуфабрикат для десктопа, 99% времени обеспечивающий лишь неадекватное торможение и без того не слишком быстрого ноута - архинеадекватен.


--
WBR, ON
--- ХотДог/2.14.5/Android

Egor Gavrilov написал(а) к Oleg Nazaroff в May 25 09:49:24 по местному времени:

Нello, Oleg Nazaroff.
On 11.05.2025 20:02 you wrote:

ON> PS: если apparmor для сервака адекватен как минимум тем, что под этот сервак заточен, то
ON> неуправляемый полуфабрикат для десктопа, 99% времени обеспечивающий лишь неадекватное
ON> торможение и без того не слишком быстрого ноута - архинеадекватен.

SELinux ещё геморнее. Поэтому когда ставят всякие федоры и рхелы, его первым делом вырубают нахрен. Либо изучают, как с ним работать.

--
С наилучшими пожеланиями!
--- ХотДог/2.14.5/Android

Oleg Nazaroff написал(а) к Egor Gavrilov в May 25 14:27:40 по местному времени:

Нello, Egor Gavrilov.
On 12.05.2025 09:49 you wrote:

EG> SELinux ещё геморнее. Поэтому когда ставят всякие федоры и рхелы, его первым делом вырубают
EG> нахрен. Либо изучают, как с ним работать.

Понимаешь, я на демьяне с ним живу и вполне успешно. Но на сервере. На десктопе - мишн импоссибле. Точней он какое-то время себя особо не проявлял, но потом я удалил snapd. Который сам же и поставил но мне не зашло. И началось... меня это так задрало что я его пристрелил к фигам. Не захотел он вести себя адекватно под sysvinit. Ну и черт с ним.

--
WBR, ON
--- ХотДог/2.14.5/Android

Egor Gavrilov написал(а) к Oleg Nazaroff в May 25 17:16:53 по местному времени:

Нello, Oleg Nazaroff.
On 12.05.2025 14:27 you wrote:

ON> Понимаешь, я на демьяне с ним живу и вполне успешно. Но на сервере. На десктопе - мишн
ON> импоссибле. Точней он какое-то время себя особо не проявлял, но потом я удалил snapd. Который
ON> сам же и поставил но мне не зашло. И началось... меня это так задрало что я его пристрелил к
ON> фигам. Не захотел он вести себя адекватно под sysvinit. Ну и черт с ним.

Аппармор, насколько я знаю, и является "основой" для снапа. Пришло оно с SUSE, потом его перехватила Canonical, и завертелось...

Во флатпаке для изоляции используется bubblewrap, который больше похож на докер (ибо также, как и докер, использует линуксовые неймспейсы).

--
С наилучшими пожеланиями!
--- ХотДог/2.14.5/Android

Oleg Nazaroff написал(а) к Egor Gavrilov в May 25 20:14:19 по местному времени:

Нello, Egor Gavrilov.
On 12.05.2025 17:16 you wrote:

EG> Аппармор, насколько я знаю, и является "основой" для снапа. Пришло оно с SUSE, потом его
EG> перехватила Canonical, и завертелось...

Да и пофек чо там является. Я снап снес, имею право. Если там кто-то зависимости криво расписал - мне что за дело? Кыш с пляжу и дело с концом.

EG> Во флатпаке для изоляции используется bubblewrap, который больше похож на докер (ибо также,
EG> как и докер, использует линуксовые неймспейсы).

Вот. Причем опять же. Если флатпак стоит под sуstemd. А если последнего нет - просто не работает, но при этом не агрится на хозяина и не выражается матерно, тем более на несколько экранов при загрузке.

--
WBR, ON
--- ХотДог/2.14.5/Android

Egor Gavrilov написал(а) к Oleg Nazaroff в May 25 20:37:40 по местному времени:

Нello, Oleg Nazaroff.
On 12.05.2025 20:14 you wrote:

ON> Вот. Причем опять же. Если флатпак стоит под sуstemd. А если последнего нет - просто не
ON> работает, но при этом не агрится на хозяина и не выражается матерно, тем более на несколько
ON> экранов при загрузке.

Я юзаю systemd, поэтому меня эта проблема не касается. У меня железо нормальное, плюс я любитель всяких контейнеризированных, атомарных, декларативных, и прочих модных технологий.

От "SysV init" надо было отказаться ещё во времена первых OS X, а также Solaris 10, но до Линукса это дошло только спустя 10 лет, и то за это надо быть благодарным исключительно Леннарту Поттерингу.

--
С наилучшими пожеланиями!
--- ХотДог/2.14.5/Android

Alexey Khromov написал(а) к Egor Gavrilov в May 25 21:17:44 по местному времени:

Здраствуйте, Egor!

12 май 25 20:37, Egor Gavrilov -> Oleg Nazaroff:

EG> Я юзаю systemd, поэтому меня эта проблема не касается. У меня железо
EG> нормальное, плюс я любитель всяких контейнеризированных, атомарных,
EG> декларативных, и прочих модных технологий.

EG> От "SysV init" надо было отказаться ещё во времена первых OS X, а
EG> также Solaris 10, но до Линукса это дошло только спустя 10 лет, и то
EG> за это надо быть благодарным исключительно Леннарту Поттерингу.

Каждому свое. Кому-то и upstart нравился.
SysVinit много где хорош, особенно там, где не надо dbus или активации сокетами. Во встроенных системах самое то.
К юнитам systemd тоже привыкать надо и уметь их нарисовать (хотя для simple|oneshot юнитов нет ничего проще)
Ну и для тех, кто периодически вертит в руках Фряшечку, SysVinit тоже привычнее.

Я-то тоже давно на systemd, но вот гадить в свою систему докером/снапом и прочими "универсальными" средствами развертывания приложений почему-то не привык. Для докера у меня отдельная машинка, на которой ТОЛЬКО докеризованные сервисы, собранные компоузом. Собираю, конечно же, прямо со своей машины, для того $DOCKER_НOST стоит. А, ну да, разработчики докера, кстати, тоже люди веселые и некоторые переменные sysctl сервис переставляет сам по-своему. libvirtd/qemu-kvm c докером на одной машине держать не совсем удобно (я б даже сказал, почти невозможно).

Приложениям - нативную сборку и четкие зависимости,
Сервисам - докер, когда оно того заслуживает
СистемД почти безальтернативен, когда хоть что-то юзающее dbus-шину есть в системе, тот же звук и блюпуп, например
А отказываться от чего-то... рановато. Линух всегда был конструктором, из которого можно слепить ~~android~~ почти все, что душе угодно. Для самых упоротых есть гента и LFS, там собирай со своими зависимостями и как хочешь и что хочешь.


Alexey Khromov
--- GoldED+/LNX 1.1.5-b20250409

Oleg Nazaroff написал(а) к Egor Gavrilov в May 25 22:59:45 по местному времени:

Нello, Egor Gavrilov.
On 12.05.2025 20:37 you wrote:

EG> Я юзаю systemd, поэтому меня эта проблема не касается. У меня железо нормальное, плюс я
EG> любитель всяких контейнеризированных, атомарных, декларативных, и прочих модных технологий. От
EG> "SysV init" надо было отказаться ещё во времена первых OS X, а также Solaris 10, но до Линукса
EG> это дошло только спустя 10 лет, и то за это надо быть благодарным исключительно Леннарту
EG> Поттерингу.

Ты не понимаешь цимесов ;)
Мне вот полуфабрикатов от больных воображением не надо, типа аппармора. Я его щаз пристрелил на одном из новых серверов, погляжу как пойдет. За ненадобностью, я так считаю. Это перебор уже просто. В своей безопасности я уверен - последний зуб даю! ;))
Вот тем, у кого единственный сервак торчащий прям в инет - тем надо (но это не точно! ;), а мне - точно ни к чему.
Эээ, какой, говоришь, аналог аппармора в андроиде? Селинух, точка. Адекватный. Да, не простой, но доведенный до ума. А не это, пардон, уебище. И то. Нахрен нужен. По тем же причинам. А, еще крамолу скажу - можно рпспрекрасно жить без рута ;) на 14-м ведре. Обладая сокровенным знанием как андроид устроен. Не костыли подставлять чтоб, а просто пользоваться и горя не знать.
А то помню я крютых мамкиных спецов типа гремлина ;) чють што - в кишочки лезть и грязными руками там, без анестезии. Фууу! И потом такие граждане ищо заявляли что нода на ведре не жилец и батарейке кирдык. Дураки, чо ;)

--
WBR, ON
--- ХотДог/2.14.5/Android