Portál AbcLinuxu, 30. dubna 2025 16:49
25.8.2011 14:02
Marián Kyral | skóre: 29
| blog: Sem_Tam
| Frýdek-Místek
</flame>
LFS does not use an initrd
Viz http://www.linuxfromscratch.org/hints/downloads/files/kernel-configuration.txt
Co se týká jádra, tak problémem hlavně bylo to, že konfigurace obsahuje hrozně moc položek.
Veni vidi vici!!! (Kdo dohrál VVVVVV, chápe)+1! Ale je to vo nervy
25.8.2011 21:46
Václav "Darm" Novák | skóre: 26
| blog: Darmovy_kecy
| Bechyně / Praha
25.8.2011 21:03
Jendа | skóre: 78
| blog: Jenda
| JO70FB
25.8.2011 23:58
Jendа | skóre: 78
| blog: Jenda
| JO70FB
26.8.2011 08:14
Václav "Darm" Novák | skóre: 26
| blog: Darmovy_kecy
| Bechyně / Praha
26.8.2011 14:47
Václav "Darm" Novák | skóre: 26
| blog: Darmovy_kecy
| Bechyně / Praha
Mimochodem, nepadne ta bezúdržbovost trochu ve chvíli kdy se ona kritická bezpečnostní díra objeví v nějaké ze základních knihoven, kvůli čemuž je pak potřeba rekompilovat půl systému?Tak oprava nějaké bezpečnostní chyby moc často nezpůsobí rozbití ABI.
26.8.2011 16:02
Jendа | skóre: 78
| blog: Jenda
| JO70FB
Jo kdybych měl desktop s veřejnou IP a s nějakými kritickými věcmi tak se k tomu taky stavím jinak.Tak ono se hodí vždy zhodnotit riziko. Když jsem jediný uživatel, tak mě třeba local root trápit nemusí.
26.8.2011 21:35
Jendа | skóre: 78
| blog: Jenda
| JO70FB
nějak nechápu proč bych kvůli tomu měl překompilovávat půlku systému, od toho jsou ty knihovny přece sdílenéViz výše, změna ABI (opravu by se mi na koleně backportovat nechtělo).
Jo kdybych měl desktop s veřejnou IPStačí buffer overflow v libpng (ano, stalo se) a webová stránka nebo mail, do kterého někdo vložil „správný“ obrázek. A nemusí to být zrovna stránky s dětským pornem, klidně si ten obrázek může někdo nastavit jako avatara na AbcLinuxu. To je mj. důvod, proč jsem začal radši prohlížet web pod jiným uživatelem, který nemá přístup k mým soukromým klíčům a podobným datům.
a s nějakými kritickými věcmiTo jsem tu vážně jediný, kdo má na disku SSH klíče k docela kritickým serverům?
Já jsem obyčejný Franta uživatel obyčejného desktopu - tzn. internet, office, komunikace, multimédia. Žádné servery nespravuju, žádné tajné dokumenty neschraňuju. Takže si s bezpečností příliš hlavu nelámu, což je očividně ten hlavní rozdíl mezi námi. Já mám radši neměnné prostředí jednou nainstalovaného a vyladěného systému, než tu anarchii která se mi odehrává na notebooku před mýma očima při použití Archu :)
Kdybych měl vzdáleně spravovat nějaké kritické servery, bylo by vytvoření speciálního uživatele, určeného jenom k tomuto účelu to první co bych udělal. A pravděpodobně bych ten účet ani nepoužíval v prostředí X, ale pouze v klasické konzoli jen tak pro sichr. A samozřejmě bych "běžnému" účtu zamezil jakýkoliv přístup k datům tohoto speciálního účtu. Rozhodně bych s takovým účtem nelezl na web, ani na to Ábíčko :)
K tomu ABI, to je právě o tom zhodnocení rizika a rozhodnutí zda je to v tvém případě nutné či ne. Tvá situace mluví proti použití LFS, moje pro. Pokud chceš systém průbežně aktualizovat aspoň kvůli vychytávání kritických bezpečnostních bugů, nepoužívej LFS, opravdu bys z toho zmagořil...
27.8.2011 01:45
pavlix | skóre: 54
| blog: pavlix
Takže si s bezpečností příliš hlavu nelámuOšklivá otázka: Máš internetové bankovnictví?
28.8.2011 13:18
pavlix | skóre: 54
| blog: pavlix
Ano mám, zabezpečený rozhodně jinak než pouhou iluzí, že používám bezpečný, upgradovaný Linux...Jistě. K dispozici jsou i jiné iluze.
28.8.2011 14:23
Jendа | skóre: 78
| blog: Jenda
| JO70FB
Jakým způsobem mi chceš vybrakovat bankovní účet přes neupdatované knihovny v mém desktopu?Že by instalací backdooru a následným ukradením session?
hádám, že bys mi musel nějak odposlouchávat a dešifrovat komunikaci s bankouAno, to samozřejmě s backdoorem jde. Pokud používáš ještě SMS klíč nebo nějakou podobnou metodu nezávislou na počítači, pak bude nabourávání složitější. I když SMS se dají odposlechnout s rozpočtem pár tisícikorun (mobil s OsmocomBB), případně se dá rovnou podvrhnout číslo cílového účtu, pokud ti fakturační údaje chodí mailem nebo si je necháváš vystavit na webu.
A když se ti to přece povede tak prostě zajdu do banky a nahlásím zneužití účtu.Jsem toho názoru, že škodu za zneužití účtu by si měl řešit ten konkrétní postižený sám a neměli by mu to platit ostatní, kteří se chovají bezpečně.
Pokud používáš ještě SMS klíč nebo nějakou podobnou metodu nezávislou na počítači, pak bude nabourávání složitější.
Používám SecureKey, přihlašovací kód generující (není mu posílán žádnou formou SMS nebo něčím podobným, takže abys ten kód zjistil, musel bys mně o ten SecureKey fyzicky obrat. (nebo hacknout počítače v bance, zjistit sériové číslo mého SecureKey a podle něj si to nějspíš nějak dopočítat, a ještě zjistit moje osobní přihlašovací údaje)
A zapomínáš na limity u operací přes internetové bankovnictví, které případnému útočníkovi taky docela znemožní napáchat nějak významnou škodu.
A s tou škodou nemáš pravdu - banka je zodpovědná za to aby byli moje peníze u ní v bezpečí, to je její prvotní účel. Banka dělá zabezpečení a já jako uživatel jsem povinen jej používat, a v případě že jej používám a i přesto je můj účet nějak kompromitován, je to chyba banky, ne moje.
Používám SecureKey, přihlašovací kód generující (není mu posílán žádnou formou SMS nebo něčím podobným, takže abys ten kód zjistil, musel bys mně o ten SecureKey fyzicky obrat. (nebo hacknout počítače v bance, zjistit sériové číslo mého SecureKey a podle něj si to nějspíš nějak dopočítat, a ještě zjistit moje osobní přihlašovací údaje)A nebo prostě podvrhnu transakci, která se na ten SecureKey posílá.
A s tou škodou nemáš pravdu - banka je zodpovědná za to aby byli moje peníze u ní v bezpečí, to je její prvotní účel. Banka dělá zabezpečení a já jako uživatel jsem povinen jej používat, a v případě že jej používám a i přesto je můj účet nějak kompromitován, je to chyba banky, ne moje.Takže když nechám někde platební kartu, zezadu s napsaným pinem a někdo mi vybere účet, je to problém banky? LOL.
Na SecureKey se nic neposílám, kdybys četl co píšu tak by sis této informace všiml.
Takže když nechám někde platební kartu, zezadu s napsaným pinem a někdo mi vybere účet, je to problém banky? LOL.Pokud někde necháš kartu s napsaným pin, jsi zcela jednoznačně idiot a zároveň si porušil ona bezpečnostní pravidla nastavená bankou (o tom jak nakládat a nenakládat se svěřeným pinem býváš informován už když ten pin dostáváš). Tudíž nemáš nárok na žádnou kompenzaci a navíc by ses měl jít v zájmu celé společnosti dobrovolně nechat zpopelnit...
Pokud se chceš vměšovat do nějaké diskuse, prosím 1) čti pořádně příspěvky na které reaguješ 2) vyhni se argumentaci ad absurdum
Na SecureKey se nic neposílám, kdybys četl co píšu tak by sis této informace všiml.Tak jestli to je tenhle SecureKey pak jo, ale myslel jsem, že to je tenhle SecureKey. Nicméně, pokud to je ten od HSBC, je útok ještě jednodušší, protože pokud dobře koukám, HSBC tu hračku používá jen pro přihlášení. A transakcí po přihlášení pak můžu udělat kolik chci.
Pokud někde necháš kartu s napsaným pin, jsi zcela jednoznačně idiot a zároveň si porušil ona bezpečnostní pravidla nastavená bankou (o tom jak nakládat a nenakládat se svěřeným pinem býváš informován už když ten pin dostáváš). Tudíž nemáš nárok na žádnou kompenzaci a navíc by ses měl jít v zájmu celé společnosti dobrovolně nechat zpopelnit...Pokud necháš systém neaktualizovaný a děravý, jsi zcela jednoznačně idiot a zároveň si porušil ona bezpečnostní pravidla nastavená bankou (o tom že si máš zabezpečit počítač býváš informován už když si ebanking zřizuješ). Tudíž nemáš nárok na žádnou kompenzaci a navíc by ses měl jít v zájmu celé společnosti dobrovolně nechat zpopelnit...
A pokud věříš, že máš-li svůj Debian či ArchLinux up-to-date tak jsi v bezpečí víc než já tak jsi prostě naivní. Někdo kdo se tímto zabývá "profesionálně" a opravdu takto luxuje bankovní účty se takovému způsobu zabezpečení akorát tak vysměje. Myslím si, že v tomto případě prostě neexistuje nějaké více či méně bezpečný systém, pouze napadnutelný a nenapadnutelný. Přičemž nenapadnutelný není žádný a napadnutelné jsou všechny. Proto banka vymýšlí takové zabezpečení, která jsou na systému uživatele co nejméně závislá (jako třeba ten SecureKey)
Btw proč to dělat všechno tak složitě? Nestačilo by prostě kdyby útočník vnikl ke mně domů - SecureKey by našel v šuplíku u stolu, mně by mohl třeba mučením donutit vydat mu mé přihlašovací údaje a měl by to imho mnohem jednodušší a rychlejší (okno prakticky nezavírám tak by ani nemusel dělat kravál jeho rozbíjením). Toto se mi jeví jako daleko jednodušší způsob jak kompromitovat můj bankovní účet než všechno to hackování. Mám si snad začít na okno montovat mříže?
Myslím si, že v tomto případě prostě neexistuje nějaké více či méně bezpečný systém, pouze napadnutelný a nenapadnutelnýAle jo, existuje. Zatímco připojit dneska neaktualizované Windows k síti je poukázka na členství v botnetu, správně nakonfigurovaný a aktualizovaný systém odolá většině automatizovaných ale i cílených útoků.
Neříkám, že je neprůstřelný, ale bezpečnější je.Ale není doopravdy bezpečný, stejně jsou tam díry a myslím si že těch neobjevených bude daleko více než objevených. A na mně je tedy abych zvážil možnost rizika a posoudil zda se tím zabývat chci a nebo nechci. A já nechci.
a myslím si že těch neobjevených bude daleko více než objevenýchTo je možné (osobně si myslim, že jich bude asi tak stejně, no ale to je teď jedno), nicméně je potřeba si uvědomit tohle: Ty už objevené díry, pokud je nemáš zalepené, jsou mnohem nebezpečnější než ty neobjevené - protože se o nich ví.
28.8.2011 20:24
Jendа | skóre: 78
| blog: Jenda
| JO70FB
28.8.2011 15:18
Jendа | skóre: 78
| blog: Jenda
| JO70FB
Používám SecureKey, přihlašovací kód generujícíA ten kód opisuješ na klávesnici. A já ovládám tvoji klávesnici!
A s tou škodou nemáš pravdu - banka je zodpovědná za to aby byli moje peníze u ní v bezpečí, to je její prvotní účel. Banka dělá zabezpečení a já jako uživatel jsem povinen jej používat, a v případě že jej používám a i přesto je můj účet nějak kompromitován, je to chyba banky, ne moje.Moje banka má v podmínkách k IB, že mám používat legální OS, pravidelně aktualizovat, neklikat na e-maily které se tváří „jako od nich“ a nevím, co ještě.
a i přesto je můj účet nějak kompromitován, je to chyba banky, ne mojeJenže banka nemůže ovlivnit, jestli nemáš začervený počítač a mobil, jestli ti útočník nekouká přes rameno a kde co.
A ten kód opisuješ na klávesnici. A já ovládám tvoji klávesnici!To sice jo, ale kód přestane být takřka okamžitě aktuální :)
Btw co přesně tě vede k domněnce, že v pečlivě updatovaném Debianu/Ubuntu/Mandrivě/jánevímcopoužíváš jsi proti takovému útoku v bezpečí? Nedávno jsem četl článek o odposlouchávání klávesnice v Xorg ne díky žádné chyby či exploitu, ale prostým využitím nějaké featury Xorgu. Jakmile ten článek vyhrabu tak to sem hodím je to docela zajímavé čtení.
Nedávno jsem četl článek o odposlouchávání klávesnice v Xorg ne díky žádné chyby či exploitu, ale prostým využitím nějaké featury Xorgu. JakmileJasně, ale aktuální a bezpečný aplikace a knihovny přicházející do styku s vnějším světem by právě měly být aktuální z toho důvodu, aby útočník nemohl žádnou takovou škodlivou aplikaci spustit. A je jedno, jestli jde o backdoorovanou verzi prohlížeče nebo keylogger, důsledek je vždycky stejný.
28.8.2011 20:33
Jendа | skóre: 78
| blog: Jenda
| JO70FB
Takže najednou je prostá důvěra v úplně cizí lidi, kterým každý den po celou dobu co jseš online defacto svěřuješ svůj počítač s rootovskými oprávněními v pořádku? Ale když si dovolím dát přednost funkčnímu a stabilnímu ale holt nepříliš aktualizovanému systému, tak mám hned očekávat armádu zlých crackerů číhajících až se na minutku přihlásím jednou měsíčně do internetového bankovnictví abych zaplatil nájem, aby se mi tam hned vloupali?
Takže najednou je prostá důvěra v úplně cizí lidi, kterým každý den po celou dobu co jseš online defacto svěřuješ svůj počítač s rootovskými oprávněními v pořádku?1) v pořádku to není
28.8.2011 20:30
Jendа | skóre: 78
| blog: Jenda
| JO70FB
To sice jo, ale kód přestane být takřka okamžitě aktuální :)Už z principu s tím kódem lze provést alespoň jedna transakce → lze s ním tedy provést alespoň jedna podvodná transakce.
Btw co přesně tě vede k domněnce, že v pečlivě updatovaném Debianu/Ubuntu/Mandrivě/jánevímcopoužíváš jsi proti takovému útoku v bezpečí?Ale jo, to já taky vím, že tohle v Xkách jde. Bohužel se mi nepodařilo použitelně rozchodit nested X server
.
28.8.2011 23:08
Jendа | skóre: 78
| blog: Jenda
| JO70FB
A s tou škodou nemáš pravdu - banka je zodpovědná za to aby byli moje peníze u ní v bezpečí, to je její prvotní účel.A před kým má ty peníze chránit, před zloději i před tebou? To asi ne, spíš před zloději ano, před tebou ne. Takže musí nějak odlišit zloděje a tebe. No a od teho jsou právě ta bezpečnostní doporučení - když je nedodržuješ, nemůžeš mít bance za zlé, že tě považovala za zloděje, nebo naopak, považovala zloděje za tebe.
28.8.2011 21:31
pavlix | skóre: 54
| blog: pavlix
28.8.2011 21:24
pavlix | skóre: 54
| blog: pavlix
27.8.2011 01:50
pavlix | skóre: 54
| blog: pavlix
25.8.2011 17:55
Marián Kyral | skóre: 29
| blog: Sem_Tam
| Frýdek-Místek
Přesně tak. Orientovat se v tom množství položek a vědět co potřebuju pro sebe a svůj počítač je náročné.
No, zas tak moc náročné to není, i když dost záleží na to, do jaké distribuce se jádro překládá. Napříklat rozličná *butnu používají mohutně patchovaná jádra se spoustou vlastních vychytávek (a když něco zapomentente, tak se pomalu ani nedozvíte, co to bylo), zatímco například Debian běžně jede i s vanilla jádry (tedy pokuď není jádro vůči userspace příliš nové).
Nutnou podmínkou je znalost vlastního hardware. Pravý linuxák, co si překládá vlastní járo, sice nemusí znát nepostatné věci jako např. datumy svátků a narozenin svého příbuzenstva (od čeho jsou skritpy, ne? 
), ale pamatuje si, jaký čipset má na desce (včetně věcí jako I2C rozhraní soutbridge a typu SuperIO), okolo jakých čipů jsou postavené přídavné karty a hlavně jaké ovladače jsou třeba pro jejich funkčnost (obzvlášť u komplikovaných obludek typu analogové TV tunery).
Pokud nechcete používat initramdisk/initramfs, tak je důležité, aby v jádře bylo zakompilováno toto (z věcí, co mohou být modularizovány):
/dev/hd*)udevVelmi vhodné je zakompilovat minimálně částečnou poporu ACPI (některé desky bez toho nechodí nebo chodí divně), APIC (aby se netřískala přerušení), mimo toho jsou nutné "nezmodulovatelné" ovladače jako ovladač blokové vrstvy, PCI(e) sběrnice, zakladů power managementu (suspend/standby) a podobně.
Osobně doporučuju i podporu devtmpfs včetně automagické správy /dev, protože zaprvé udevu to nijak nevadí v činnosti a systém bude nějak fungovat, i pokud se místo initu použije třeba bash (optinmální je statické binárka busyboxu).
<flame> Imho v 90% je lepší initramfsPoužívám initramfs. Ale bez modulů. :)
25.8.2011 21:00
Jendа | skóre: 78
| blog: Jenda
| JO70FB
<flame> Imho v 90% je lepší initramfs/me approves :) Dříve či později stejně narazíš na situaci, kdy pro připojení / musíš něco zkonfigurovat z user-space - RAID, LVM, síť, šifrování…
initramfs? co to je ? za poslednich 15 let jsem to nepouzil ...
initramdisk je běžný sbalený image souborového systému, který se musí natáhnou zvlášť a jádro musí umět suborový systém na něm použitý (i když minimalistický romfs má na x86 jen cca. 4KB) a pokud se na něj má zapisovat, musí tam být vyhrazené místo (které, stejně jako u klasického ramdisku, nejde k ničemu jinému použít) a hlavně se chová (stejně jako ramdisk) jako blokové zařízení, tudíž jádro drží v paměti stránky dvakrát. Což je důležité obzvlášť na embedded systémech, kde jediný možný upgrade paměťi znamená opravdu dobře to umět s pájkou a horkovdušnou odpájovací soupravou
Oprotitomu initramfs je přímo součástí jádra a nepotřebuje žádný ovladač souborového systému, protože interně je to CPIO archiv "zakompilovaný" do samotného jádra, co se rozbalí při startu do ramfs (resp. rootfs), který je vždy přítomen. Protože ramfs (a tmpfs) jsou vlastně jen mountovatelné paměťové cache VFS, je bez problému libivolně zapisovatelný (dokud nedojde paměť), cokoliv smazaného okamžitě uvolní použitou paměť a žádná stránka není držena dvakrát.
Jo a není od věci se inspirovat některými částmi z projektů CLFS a CBLFS
Pro mě bylo svého času největší problém přeložit XFree86, musím uznat že to bylo opravdu maso.
Děkuju. Vynasnažím se -- BLFS už pročítám. Právě kompiluju X Window (Xorg).
Protože se to zatím spíš učím a není to systém, který bych potřeboval k práci, tak to "rvu rovnou někam do /usr". Přičemž se snažím o dodržování Filesystem Hierarchy Standard (FHS), protože *LFS tento standard dodržují.
Ale koketuju s tím, že bych použil správce balíčků ze Slackware nebo Arch Linuxu, přičemž balíčky bych si dělal sám (kdo jiný ).
Protože se to zatím spíš učím a není to systém, který bych potřeboval k práci, tak to "rvu rovnou někam do /usr".Windows-style
PřípadněAle koketuju s tím, že bych použil správce balíčků ze Slackware nebo Arch Linuxu, přičemž balíčky bych si dělal sám (kdo jiný
abs No ale, pradva, to už by jsi z teho měl napůl Arch...
Windows-style je "neorganizovaný bordel", zatímco toto je "organizovaný bordel".
Taky mě napadlo udělat si vlastní Arch Linux za pomocí abs.
Jinak je to super zábava! Lepší než jakákoli jiná hra.
Dungeon Master je lepší :)
Já jsem se v začátcích snažil dělat balíčky (deb), ale po čase mně to přestalo bavit. Nejvíc se mi osvědčil systém, kdy jsem takový ten základ co je v LFS dával rovnou do /usr a potom všechno navíc co už je v BLFS do vlastních adresářů v /opt a do /usr... to jenom linkoval podle potřeby.
Co nevidět budu kupovat nový desktop tak už se vyloženě těším jak se do LFS zase pustím a Arch pošlu do pryč :) Po tvém zápisku jsem chvíli koketoval s myšlenkou, že bych se do toho LFS pustil už teď na tom notebooku, který je momentálně mým jediným strojem, ale pak jsem si to rozmyslel. Přece jenom na té šunce bych to tvořil týden a to se mi fakt už nechce.
Co se týká formátu balíčků, tak je mi sympatický Slackware. Jeho balíčky jsou de facto prosté .tar.gz (.tgz) archivy. Nebo už se to změnilo?
Přeju ti hodně zábavy při kompilování na novém (budoucím) desktopu. A díky za reakce. Není nad to udělat si vlastní GNU/Linux kompletně ze zdrojových kódu.
Díky za reakci. Vím, že Xorg je modulární. KDE, Gnome apod. vynechám. Stačí mi úplně nějaký lehkotonážní správce oken typu pekwm.
Jinak to muselo bejt maso, když se to kompilovalo i půl dne.
Co se správce oken týče, hned po twm jsem začal používat FluxBox. Velmi malý, svižný správce oken. Vlastně jsem to dělal tak, že jsem zkompiloval LFS, následně několik základních knihoven (OpenSSL, jpeg, libpng, libtiff, libgif, alsa) a několik základních prográmků (OpenSSH, Lynx, Links, gpm) a pak šupky hupky na XFree86. S ním se nainstalovalo twm, což je poměrně zběsilý správce oken, ale hned potom jsem stáhnul binární verzi firefoxu a pustil se do stáhnutí a kompilace FluxBoxu. Po Fluxboxu pak už následovaly všechny základní knihovny pro Qt, KDE a Gnome.
No jestli se Tomík bude zajímat o počítače, určitě mu Linux a kouzelný svět UNIXu ukážu. Ale třeba se bude zajímat o něco úplně jiného
No jestli se Tomík bude zajímat o počítače, určitě mu Linux a kouzelný svět UNIXu ukážu.
To je určitě tvů syn, že jo? Tak přeju, aby ho svět Unix(-like) systémů chytil tak jako tátu. Já taky neteře nenásilně "zasvěcuju" do světa GNU/Linuxu.
Jinak tvůj postup se mi líbí a postupuju podobně.
Našel jsem zajímavý dokument, který velmi pomůže s pochopením LFS: Introduction to cross-compiling for Linux.
Tiskni
Sdílej:
ISSN 1214-1267, (c) 1999-2007 Stickfish s.r.o.