Ingvin
эксперименты с "весь софт в контейнеры" уже был, теперь это выродилось во флатпак, ждем что дальше будет и как получится это улучшить чтобы было поменьше проблем и оверхэда
shadowchain
ну вот поэтому и зашел разговор что rpm нужно тоже как-то огораживать разрешениями, т.е. по умолчанию у любого даже системного приложения не должно быть доступа к чему то что не описано в его "манифесте"
К rpm такое никогда не прикрутят, потому что невозможно by design. А тот же GNOME Software предупреждает, если пользователь хочет ставить rpm не из реп, что оно potentially unsafe.
Поэтому только Flatpak и варнинги на RPM
Sergei
эксперименты с "весь софт в контейнеры" уже был, теперь это выродилось во флатпак, ждем что дальше будет и как получится это улучшить чтобы было поменьше проблем и оверхэда
"весь софт в контейнеры" это про серверы и Docker, и IMO эксперимент вполне удачный. Во всяком случае, маргиналы теперь те, кто всякие веб-сервисы запускает не в контейнере.
shadowchain
Ingvin
"весь софт в контейнеры" это про серверы и Docker, и IMO эксперимент вполне удачный. Во всяком случае, маргиналы теперь те, кто всякие веб-сервисы запускает не в контейнере.
о том и речь что попробовали всякие coreos, саму концепцию обкатали и появилась идея флатпака как я помню
Max
Ребят, переходить на wayland на nvidia или ещё рановато?
Ingvin
shadowchain
Ребят, переходить на wayland на nvidia или ещё рановато?
Если на ноутбуке, то точно нет. На десктопе можно потестить и решить самому
Sergei
К rpm такое никогда не прикрутят, потому что невозможно by design. А тот же GNOME Software предупреждает, если пользователь хочет ставить rpm не из реп, что оно potentially unsafe.
Поэтому только Flatpak и варнинги на RPM
Я бы как минимум запретил скриптлеты в rpm, хотя бы в сторонних - это уже сделало бы их существенно безопаснее.
Ingvin
Ребят, переходить на wayland на nvidia или ещё рановато?
лучше переходить на амд, а так я пробовал nvidia и wayland на десктопе, проблемы были только с фирефоксом основные, остальной софт у меня работал, хотя и не везде аппаратное ускорение работает
shadowchain
Я бы как минимум запретил скриптлеты в rpm, хотя бы в сторонних - это уже сделало бы их существенно безопаснее.
Боюсь, что это много чего поломает
shadowchain
если бы такое еще dnf выдавал :)
я gnome-software даже не открываю потому что лагает ппц, я помню когда он даже не мог открыться у меня)
GNOME Software за последние три релиза очень сильно причесали
Sergei
Боюсь, что это много чего поломает
Ой, если какой-нибудь Zoom сломается из-за того, что ему больше нельзя выполнять произвольный код от рута при установке - туда ему и дорога.
Ingvin
Я бы как минимум запретил скриптлеты в rpm, хотя бы в сторонних - это уже сделало бы их существенно безопаснее.
тебе придется тогда научить rpm делать оооочень много сторонних вещей, тем более что сам rpm и так внутри себя вызывает шел команды вроде
Ingvin
Ой, если какой-нибудь Zoom сломается из-за того, что ему больше нельзя выполнять произвольный код от рута при установке - туда ему и дорога.
никто не мешает совершенно легально сделать от рута добавление файла в /etc/sudoers.d/ пока тебя ставят, скриптлеты тут ничем не помогают
Ingvin
любая команда от рута опасна, всегда можно придумать разные способы воспользоваться этим)
shadowchain
никто не мешает совершенно легально сделать от рута добавление файла в /etc/sudoers.d/ пока тебя ставят, скриптлеты тут ничем не помогают
Ну или сервис в систему поставить, который будет enabled по умолчанию. Вариантов много
Sergei
никто не мешает совершенно легально сделать от рута добавление файла в /etc/sudoers.d/ пока тебя ставят, скриптлеты тут ничем не помогают
Да, но без скриптлетов нельзя будет сразу же воспользоваться созданной дырой.
Ingvin
Да, но без скриптлетов нельзя будет сразу же воспользоваться созданной дырой.
почему? ты положил файл через install внутри пакета, а при запуске софта пользователем вызвал себе шелл с sudo
shadowchain
Да, но без скриптлетов нельзя будет сразу же воспользоваться созданной дырой.
Сервисом можно будет сразу же после ребута
Дима
Ну или сервис в систему поставить, который будет enabled по умолчанию. Вариантов много
Иногда при установке пакета происходит миграция данных приложения. Запрещать такое не очень хорошо (как и такая практика).
Sergei
Сервисом можно будет сразу же после ребута
Хотя бы после ребута, а не сразу в момент установки.
Sergei
почему? ты положил файл через install внутри пакета, а при запуске софта пользователем вызвал себе шелл с sudo
Ты можешь передумать и удалить пакет ни разу не запустив, например.
Grivamor
Marat
Grivamor
Да
Grivamor
Результат тот же
Ingvin
Grivamor
olegon.ru
Ingvin
Grivamor
предлагаю вспомнить, после чего точно это случилось и посмотреть less /var/log/Xorg.0.log
Я удалил QT designer, который устанавливал через run файл взятый с официального сайта. После этого вышел из рабочего профиля и появилось это
Дима
Уууу
olegon.ru
Я удалил QT designer, который устанавливал через run файл взятый с официального сайта. После этого вышел из рабочего профиля и появилось это
ооуууу... тогда предлагаю переустановить систему и больше никогда не связываться с run
Grivamor
Понял)
Grivamor
Можно будет сохранить хотя бы часть файлов?
olegon.ru
да можно все, вопрос только в твоей готовности разбираться
проблема сейчас в том, что никто из нас не угадает, что тебе испохабил скрипт, запущенный тобой из под рута
Дима
да можно все, вопрос только в твоей готовности разбираться
проблема сейчас в том, что никто из нас не угадает, что тебе испохабил скрипт, запущенный тобой из под рута
Да ладно тебе , скорее всего с пользовательскими файлами все ок
olegon.ru
я и говорю, что можно все сохранить вообще
olegon.ru
а потом такую вот магию
rpm -qf $(rpm -Va 2>&1 | grep -vE '^$|prelink:' | sed 's|.* /|/|') | sort -u | xargs dnf -y reinstall
olegon.ru
а потом ребут
olegon.ru
в самом начале работы этого скрипта может быть невнятная ругань на отсутствующие файлы, что, на самом деле, является руганью на отсутствующие пакеты, которые необходимо доставить ручками, выделив названия пакетов из вороха ругани.
Grivamor
а потом такую вот магию
rpm -qf $(rpm -Va 2>&1 | grep -vE '^$|prelink:' | sed 's|.* /|/|') | sort -u | xargs dnf -y reinstall
Это всё в одну строчку вводить?
Ingvin
Это всё в одну строчку вводить?
ага и я советую попробовать разобраться потом что эта команда делает, бывает что команды с ошибками или еще что не так бывает и хорошо бы уметь хотя бы бегло вычленять команды которые используются :)
olegon.ru
Это всё в одну строчку вводить?
да, желательно не ошибиться :) команда проверенная, я копипастил не раз
olegon.ru
она тут https://olegon.ru/showthread.php?t=28546
так что можешь сделать curl https://olegon.ru/showthread.php?t=28546>file.sh потом file.sh отредактировать и запустить :)
Grivamor
Ееее
Grivamor
Спасибо, ребят)
Grivamor
Всё работает
Андрей
запускаешь как LC_TIME=C telegram-desktop
Андрей
офигеть
Андрей
а вы знали ?
Андрей
Vasiliy Glazov
Андрей
как показывать в тг секунды, ну т.е по умолчанию показывает только час:минуты
olegon.ru
забавно, но я предпочту штатный режим
Андрей
странно шо в самом тг нельзя эт в настройках менять
Андрей
кто из админов того чата онлайн
Андрей
забаньте там спам
Mi
Андрей
я тг на английском юзаю
olegon.ru
я тоже (пришлось даже меню открыть, чтобы вспомнить), но локаль не трогал
KWATERMAN
всем привет, скажите пожалуйста вам тоже пишут всякие "успешные" трейдеры и прочие шарлатаны с предложением подзаработать? просто возникла такая проблема именно после того как подключился к чатам по федоре
olegon.ru
всем привет, скажите пожалуйста вам тоже пишут всякие "успешные" трейдеры и прочие шарлатаны с предложением подзаработать? просто возникла такая проблема именно после того как подключился к чатам по федоре
мне не пишут, хотя какой-то период был, просто сразу бань их с жалобой на спам и все
olegon.ru
в телеге достаточно сурово учетка огребает за это, вплоть до бана
Ingvin
всем привет, скажите пожалуйста вам тоже пишут всякие "успешные" трейдеры и прочие шарлатаны с предложением подзаработать? просто возникла такая проблема именно после того как подключился к чатам по федоре
приватность в телеге покрути, это боты, ко мне например не приходят почти, но у меня заблокировано почти все
KWATERMAN
мне не пишут, хотя какой-то период был, просто сразу бань их с жалобой на спам и все
просто есть подозрение что кто-то отсюда слил пользователей
KWATERMAN
olegon.ru
просто есть подозрение что кто-то отсюда слил пользователей
скорее всего не отсюда, а из основного чата, в любом чате, где больше 1000 пользователей трутся боты, которые пользователей собирают
olegon.ru
вот как бы запретить любому в группы добавлять... :)
Ingvin
просто не добавляй людей в контакты :)
Ingvin
ну там можно все контакты засунуть в список never allow еще