Patche „lockdown“ na cestě do Linuxu 5.4

„Lockdown“ je funkcionalita jádra operačního systému, která znemožňuje provádění vybraných operací i superuživateli (root). V upstreamu Linuxu doposud chyběla, ale Linus Torvalds nyní v rámci začleňovacího okna vývojového cyklu 5.4 přijal patche, které ji implementují skrze bezpečnostní modul (Linux Security Module). Přehledový popis poskytují např. ZDNet či Linux Weekly News.

Komentáře

A WireGuard zas nic :-/ Ne ze bych byl nedockavej, ale je potreba uvazit, ze po zacleneni do jadra bude trvat 15 let nez se to dostane do mikrotiku, tak bych se toho rad jeste dozil :-D

http://wiki.spoje.net/

30.9.2019 22:46 Fluttershy, yay! | skóre: 93 | blog:
Rozbalit Rozbalit vše Re: WireGuard

Visí to na Zincu, resp. upstream chce, aby WireGuard používal stávající jaderné API a Zinc se řešil zvlášť.

🇵🇸 ✊ Touch grass ✊ 🇺🇦 ✊ ani boha, ani pána

30.9.2019 22:59 Harvie.CZ | skóre: 8
Rozbalit Rozbalit vše Re: WireGuard

To reseni se mi libi. Neni potreba zdrzovat WireGuard kvuli Zincu.

Aspon bude vic casu doladit Zinc ke spokojenosti vsech stran a bude tak vetsi sance, ze se casem ujme i v dalsich castech kernelu, nez jen ve WG. Mezitim uz muze WG ziskavat usery a zabezpecovat nasi infrastrukturu.

http://wiki.spoje.net/

30.9.2019 23:00 Harvie.CZ | skóre: 8
Rozbalit Rozbalit vše Re: WireGuard

A popravde i na ten prehistorickej kernel co udajne pouziva Mikrotik se to bude nejspis snadneji backportovat, kdyz to bude pouzivat starsi crypto api.

http://wiki.spoje.net/

1.10.2019 02:06 Max | skóre: 72 | blog: Max_Devaine
Rozbalit Rozbalit vše Re: WireGuard

Mikrotik používá v RoS 6 kernel 3.3.5, nedávno vyšel RoS 7 beta a ten je založen na poslední LTS verzi kernelu 4.14.131, který má podporu do roku 2024. Takže za 5 let, až skončí support, budeme asi moci očekávat RoS 8 a další LTS verzi kernelu, tzn., za nějakých 6-7let.
Zdar Max

Měl jsem sen ... :(

1.10.2019 08:19 Michal Kubeček | skóre: 72 | Luštěnice
Rozbalit Rozbalit vše Re: WireGuard

Zdá se, že došlo k průlomu, Jason Donenfeld připustil, že bude lepší nejdřív přepracovat wireguard, aby fungoval se současným crypto API, a sloučení crypto API a zinc řešit samostatně.

Na druhou stranu to neznamená, že teď už půjde všechno hladce a wireguard bude hned v 5.5. Je potřeba si uvědomit, že síťová část wireguardu ještě neprošla prakticky žádným review a že ještě minule byla celá poslaná jako jeden ~8000 řádků dlouhý megapatch, což se obvykle považuje za nepřijatelné.

1.10.2019 10:43 dustin | skóre: 63 | blog: dustin
Rozbalit Rozbalit vše Re: WireGuard

Takhle se to má dělat, postupné menší kroky. Velký třesk snad nikdy nefunguje.

1.10.2019 21:44 Harvie.CZ | skóre: 8
Rozbalit Rozbalit vše Re: WireGuard

Přesně tak, salámová metoda. Stačí se podívat, jak daleko to s ní dotáhnou někteří z našich zákonodárců :-)

http://wiki.spoje.net/

Uz Kernel 5.3.1 ktery dnes pristal v Tumbleweedu je pro mne prulomovy. Konecne funguje HDMI/DP zvukovka u GP104 :-)

2.10.2019 16:40 Michal Kubeček | skóre: 72 | Luštěnice
Rozbalit Rozbalit vše Re: Patche „lockdown“ na cestě do Linuxu 5.4

Pro dobrodružné povahy už máme i 5.4-rc1. :-)

3.10.2019 02:04 531
Rozbalit Rozbalit vše Re: Patche „lockdown“ na cestě do Linuxu 5.4

Zkousel jsem pred tim i jine repo jako kernel-stable, brad-x i s predinstalovanim nvidia driveru ale nedarilo se nabootovat, sice zadny kernel panic ale nekde u nacitani sluzeb se to zaseklo. Takze jsem tam zase vratil 5.2.X. Ted asi nema cenu nijak upgradovat dokud tam nepribudou optimisticke zlepsovaky k Wine, laptop je herni povahy. Jinak u tech repo jsem se snazil zjistit jak jsou konfigurovana ale to se mi moc zjistit nedarilo, ze ma pridomek desktop jeste asi neznamena ze pobezi na kazdem laptopu jako ten vychozi.