Kva kan enkle distribusjonar læra av exherbo?

Kva kan enkle distribusjonar læra av exherbo?

Innleggav QtanJ » lør 21.08.2010 14:52

I innlegget Linux Mandriva er mye enklere å raskere enn win7 hadde eg store planar om å skriva ein god del om korleis linux kunne verta enklare. Derimot fann eg ut at denne del-diskusjonen var betre å ta for seg. Difor skriv eg heller eit eige blogginnlegg om dette.

Exherbo er ein forholdsvis ny linuxdistribusjon som eg gjennom paludis-fasinasjonen min bestemte meg for å testa. Meir om exherbo generelt kjem når eg anten har fått til distribusjonen eller gitt han opp. No vil eg berre konsentrere meg om nokre få konsept eg trur kan vera nyttige for enklare distribusjonar.

Exherbo er ikkje for alle, berre for eit fåtals brukarar(kanskje ikkje for meg ein gong), men måten dei har unwritten og unavailable packages i pakkehandsamaren meiner eg er ein god ide som eg trur fleire andre distribusjonar burde vurdert.

Det gjer at dersom ein vil installere ei pakke som berre ligg i ein pakkebrønn som ikkje er lagt til vil denne informasjonen koma fram. Eventuelt med spørsmål: Vil du leggje til denne pakkebrønnen for interaktive pakkehandsamarar(grafiske eller kommandolinje). Dersom pakkane vert bygde med eit automatisk verktøy(t.d. makepkg og PKGBUILD i Arch Linux) vert det enkelt å kvalitetssikra pakkane før dei kjem med i oversikten.

Utilgjengeleg pakke i exherbo:

#cave show minitube
* media-video/minitube
::unavailable-unofficial (1.0 (in ::codejunky))X* {:0}
media-video/minitube-1.0:0::unavailable-unofficial (in ::codejunky)
Description Minitube is a native YouTube client.
Owning repository codejunky
Repository description Some exheres for some packages
Repository homepage http://www.codejunky.org
Masked
unavailable In a repository which is unavailable

Forslag til utilgjengeleg pakke i t.d. apititude

#aptitude install minintube
Found minitube in unavailable repository. Do you want to add unofficial repository: mediaapps (Y/N)?


Uskriven pakke i exherbo

#cave show genesis
* sys-apps/genesis
::unwritten (1.0)X* {:0}
sys-apps/genesis-1.0:0::unwritten
Description The daddy of all init systems
Comment We need an init system.
Added by Ciaran McCreesh
Masked
unwritten Package has not been written yet



Forslag til uskriven pakke i t.d. aptitude(beklager mangel på fantasi)

#aptitude install kde-4.7 --developer
Error: Found kde-4.7 in unwritten repository. We don't have any package for this yet, maybe you want to write it?


Nokon som har innspel?
Sist endret av QtanJ den lør 21.08.2010 16:09, endret 2 ganger.
medlem i 209 måneder
 

Re: Kva kan enkle distribusjonar læra av exherbo

Innleggav omaha » lør 21.08.2010 15:56

Korriger meg gjerne på følgende:

De fleste "selvstendige distribusjoner" har egne pakkelager hvor det foregår en form for kontroll. Hvordan denne kontrollen utøves varierer mellom distribusjoner og mellom pakker i samme offisielle repo.

Enkelte pakker i en distro pakkes av utvikleren mens andre går via "en pakker". Når pakker ikke blir akseptert i dette systemet faller de også utenfor distroens kontrollsystemer. En vil uansett finne brukere som henter slike pakker og da er det bedre om det gjøres innenfor en "halvoffisiell ramme" med en form for kontroll eller en grad av tillit (fortjent eller ei).

Ubuntu har en rekke ppa + f.eks medibuntu, Opensuse har packman og obs, Arch har AUR, Mandriva har easy URMPI og PLF osv osv. Kontrollen på pakkene som ligger tilgjengelig via 3.part vil variere sterkt.

Slik jeg ser det kan en dele opp kvalitetssikringen i en rekke deler:
- Utviklerene (kredibilitet/kodekvalitet/funksjonalitet/innovasjon/osv)
- Applikasjonens/kodens opprinnelige kvalitet (sikkerhetrelaterte bugs osv)
- Sikkerhet mht hvordan utvikleren lagrer/håndterer koden (sikker server osv)
- Overføringen fra utvikler til repo (SSL osv)
- Distibusjonens patching og modding av koden
- Kvalitetssikring av pakking/distribusjon (sikker server og begrenset adgang)
- Sikring av selve pakken (md5 osv)
- Sikring av overføring mellom distro/repo og bruker (SSL osv)

Om en legger til grunn at koden i seg selv er OK og den er trygg hos utvikler så blir neste punkt overførsel enten til distro+pakking, eller via installasjonsskript som henter koden direkte fra utvikler og lager en installerbar pakke utav den.

Jeg benytter enkelte pakker fra AUR i Arch, og hvor mye jeg stoler på pakkene varierer. Jeg leser alltid "pakkebeskrivelsen/build" for pakker jeg ikke har hentet derfra tidligere og jeg unngår helst pakker som er helt ferske. Det er ingen garanti for at en pakkebygger går i spinn og legger inn ulumskheter etter å ha levert bra saker i 3-4 år, men det er også en gruppe på 21 "trusted users" som røkter AUR.

Det er om å gjøre å hente så få pakker som mulig fra uoffisielle repo. Men av og til kan det være nødvendig og da er f.eks Medibuntu eller AUR ok utgangspunkt om man ikke skal hente direkte fra utvikler og kompilere selv.

Hva jeg håper brer mer om seg er bruk av "sikret overføring" og "verifserte pakker (ex MD5). Om man får økt bruk av dette i offisielle repo hos distribusjonene så vil det også bli et trykk på uoffisielle repo osv for å ta ibruk slikt.
medlem i 204 måneder
 

Re: Kva kan enkle distribusjonar læra av exherbo?

Innleggav Tertitten » lør 21.08.2010 16:44

Bra tråd som tar opp noen av mine poenger i nevnte tråd, ett potensielt stort problem for Linux, hvem vet egentlig hva man installerer fra uoffisielle repos, eller til og med offisielle for den del, vi husker vel omahas blog om virus funnet i ubuntus (?) offisielle (?) repo ?

Sikkerheten i Linux er i utgangspunktet sterk, men PPA, obs osv som omaha nevner, er dette sikkert ?

Selv bygger jeg pakker for suse i obs, mens jeg bygger tenker jeg ofte på hvor enkelt det skulle være og gjøre skade om jeg så ønsket.. Ett eksempel er pakker som ikke tilbys i andre repos, alsaequal er en slik pakke som ikke finnes i obs, mange bruker alsaequal, hva om jeg pakker denne pakken med skadelige instruksjoner og distribuerer denne, får utvikleren av alsaequal til å linke til rpm filen som jeg har bygd osv, alle forstår scenarioet.

Linux er sikkert, men kun fordi interessen ikke er stor nok for å utvikle virus ?
Eller hva tror dere om det ?
Om interessen skulle bli større for å herje med Linux, hva skjer da ? hvor stort kan omfanget bli ? hva skjer med obs, ppa AUR osv på lang sikt da ?

Sitter det folk som tror at dette ikke potensielt kan skje og sannsynligvis vil skje ?
Er Linux minst like sårbart som andre operativsystemer ved uforsiktig bruk ?

Jeg har mange spørsmål om dette, mye jeg ikke har svar på og muligens antagelser som er feil eller riktig, men interessant er det å tenke på

Brukerens avatar
medlem i 172 måneder
 

Re: Kva kan enkle distribusjonar læra av exherbo?

Innleggav marxleni » lør 21.08.2010 16:53

Ingen tvil om at man er inne på noe her. Det er klart at når som helst så kan Linux virusfrie system være en fortid. Men pr i dag så er den grei. Man bør derfor heller diskutere hvordan man eventuelt skal møte en slik trussel, dersom den kommer? Er Linuxmiljøene klar for en slik trussel? Er det noen som forbereder seg? m,m. :rolls eyes:

Slik jeg har fått det med meg, så er Linux hellig for alle hackere, dersom det er gratis. Så da må problemene komme fra en hatsk windowsbruker? eller en som bare vil teste ut Linux sikkerheten? Eller bare en gal individ? Men vedrørende bør kjenne til oppbygningen i Linux.
Sist endret av marxleni den lør 21.08.2010 16:57, endret 2 ganger.

Brukerens avatar
medlem i 233 måneder
 

Re: Kva kan enkle distribusjonar læra av exherbo?

Innleggav Tertitten » lør 21.08.2010 17:04

Ikke vet jeg ihvertfall, jeg føler jeg ikke har nok kunnskap om Linux-sikkerhet og er antageligvis noe på viddene med mine spekulasjoner, om linux var så sårbart som jeg maler det hadde vel muligens Linux vært utsatt for mer angrep en hva det har vært ?

Eller kommer det tilbake til interesse ? status, coolness factor og alt det andre som motiverer virus utviklere ?



Jeg føler meg rett og slett veldig usikker på dette og kan hverken konstantere med a eller b.

Edit: uansett, til slutt kommer det an på din egen forsiktighet, det er litt skyld deg selv faktor over det hele, ihvertfall om man virkelig kan "stole" på de offisielle pakkebrønnene (kan man det?)
Så langt leder mine spekulasjoner til en konklusjon for meg selv: Linux kan og vil sannsynligvis hærpes slik som vi kjenner Linux i dag.... før eller senere....


Sist endret av Tertitten den lør 21.08.2010 17:10, endret 1 gang

Brukerens avatar
medlem i 172 måneder
 

Enkelt Ubuntu sin PPA var eg

Innleggav QtanJ » lør 21.08.2010 17:28

Enkelt

Ubuntu sin PPA var eg ikkje klar over. Ei slik løysing har stort potensial for kvalitetssikring. Derimot betyr ikkje potensialet at arbeidet vert gjort. Svært ofte finst det andre distribusjonar(ein kan stole på) som gjer pakka offisiell og kvalitetssikrer koden. Då er det berre oppskriftfila for byggjing som er nødvendig å kvalitetssikre i tillegg. Kombinert med eit "unavailable"-repositoriy, og at ein kan installere repositories som andre pakkar(gjerne interaktivt med spørsmål) trur eg tredjepartsprogram vert enklare å få tak i for nye brukarar.

AUR i Arch er svært bra, men eg meiner det er litt tungvint å henta PKGBUILDS som ligg i AUR i forhold til dei som ligg i ABS. Når eg hentar pakkar frå AUR les eg PKGBUILD og vurderer då om PKGBUILD-fila skapar farlege pakkar eller ikkje. Eg meiner det er tungvint å gå inn på aur.archlinux.org, søkje fram ein pakke og så laste ned PKGBUILD og eventuelle patcher. Kom gjerne med forslag til korleis ein lastar ned heile AUR(helst i revisjonskontroll) dersom det er mogleg. Er det mogleg å lasta ned AUR med abs?. Eg ser no AUR_Helpers, men sidan desse verktøya er uoffisielle er eg noko kritisk til dei.

Å integrere søkjefunksjonen for AUR i pacman ser eg på som ein god ide. Derimot er det viktig å merke resultatet som ikkje-kvalitetssikra så lenge det ikkje er godkjent av TU/Utviklar. Eg følgte med på AUR-epostlista ei veke, men gjekk lei av då eg leste kva enkelte meiner Arch-filosofien inneber. Eg trur dette viser at skilnaden på Arch- og Gentoo-/Exherbo-filosofien er ganske stor. Det eg meiner er enkelt er nok noka heilt anna enn det Arch-filosofien skildrar. Det kan rett og slett bety at det eg meiner er ein god ide, er smart berre for dei som liker gentoo-/exherbo-filosofien betre enn Arch-filosofien.

Mandriva sin Easy Urpmi og PLF har eg ikkje kunnskap om og var noko vanskelegare enn Ubuntu sin PPA å få tak i kunnskap om.

Sikkert
Å gjera eit system sikkert og brukarvenleg samtidig er vanskelegare enn kvar av desse kvar for seg. Dersom ein vil gjera linux sikkert er sjansene for at det går utover nye brukarar ganske stor.

Dersom ein gjer linux brukarvenleg er det nok mange som opnar fleire hol som eigentleg ikkje er nødvendig rett og slett fordi dei ikkje veit betre. Tryggleik er tungvindt.

For at linux skal utvikla seg til å verta stort er eg overbevist om at kvalitetssikring er svært viktig. Det må også verta ein heilskap på enkelte område.

Det er klart at linux får nye og fleire problem di fleire brukarar distribusjonen får. For å auka talet på brukarar er det viktig at god praksis er enkelt(i enkle distribusjonar) og at det samtidig vert sikrare.

Difor er eg overbevist om at linux treng distribusjonar som Exherbo med 24±10 faste utviklarar og ein del uoffisielle utviklarar. Dette gjer at distribusjonen kan endra retning fort, men gjer også distribusjonen uaktuell for late eller nye brukarar. Linux treng fleire sandkassar for å prøve ut nye idear. Dette er hovudgrunnen til at eg støtter ideen med 1000+ linux-distribusjonar.
medlem i 209 måneder
 

Re: Kva kan enkle distribusjonar læra av exherbo?

Innleggav omaha » lør 21.08.2010 17:34

Tertitten skrev:Sikkerheten i Linux er i utgangspunktet sterk, men PPA, obs osv som omaha nevner, er dette sikkert?
Det er ikke sikrere enn håndteringen av den enkelte pakke tilsier. Det hender det er en grunn til at pakker ikke er en del av offisielle repo. På den annen side - de befinner seg i det minste innenfor et system hvor det er mulig å føre kontroll enten det nå er praktisert eller ei.

Tertitten skrev:Selv bygger jeg pakker for suse i obs, mens jeg bygger tenker jeg ofte på hvor enkelt det skulle være og gjøre skade om jeg så ønsket..

Opensuse offisielle repo er sannsynligvis de sikreste mht å hente pakker.

Kjenner ikke detaljene mht OBS så jeg er på tynn is, men jeg ser i utgangspunktet på det som et "frislepp" i forhold til at "hvemsomhelst" bygger pakker for hva som helst. I vanlige repo slipper man vel ikke til uten å bygge seg et renome eller ha referanser som sikrer NOE. Faren er vel at en studio/obs pakke/instance får en form for kvalitetsstempel mens de også kan fikses på i etterkant?

Tertitten skrev:Er Linux minst like sårbart som andre operativsystemer ved uforsiktig bruk ?
Min oppfatning er at Linux er bedre sikret i utgangspunktet og at trusselnivået er lavere. Men det er ikke mulig å beskytte alle brukere mot seg selv og de dumheter som brukere begår. I Linux er det tross alt reposystemer hvor man kan kontrollere mye, mens det i andre OS hentes fra adskillig flere kilder.

Den største trusselen er vel at folk har et tonn med cookies/flash cookies eller ukritisk publiserer detaljert informasjon om seg selv og sine venner via sosiale medier... OG sender livshistorien sin på usikret Epost som sveiver innom hotmail eller gmail +++........
medlem i 204 måneder
 

AUR

Innleggav omaha » lør 21.08.2010 17:41

Du kan jo kontrollere pakkene i terminal om du benytter Yaourt (archlinux.fr). Der kan du både lese build, kommentarer til pakken og redigere de med Vi eller lignende.

[archlinuxfr]
Server = http://repo.archlinux.fr/i686/
medlem i 204 måneder
 


Returner til Blogginnlegg (Linux1)



Hvem er i Forumene

Registrerte brukere: Google [Bot]