Александр Ларсон (Alexander Larsson), активный разработчик GNOME и мантейнер таких проектов, как Nautilus, Gnome-vfs и Dia, рассказал (http://blogs.gnome.org/alexl/2015/02/17/first-fully-sandboxe.../) об успехах в реализации самодостаточных контейнеров (http://www.opennet.me/opennews/art.shtml?num=41514) для запуска графических приложений, не привязанных к конкретному дистрибутиву Linux. На примере игры Neverball (http://neverball.org/) сформирована первая полноценная сборка приложения, демонстрирующего возможности поставки графических приложений в форме контейнеров.Сформированное для приложения изолированное окружение полностью независимо от используемого дистрибутива, не имеет доступа к файлам и процессам пользователя или основной системы, не может напрямую обращаться к оборудованию, за исключением вывода через DRI, и сетевой подсистеме. Подготовленный контейнер пока пригоден для запуска в Fedora 21, так как требует наличия в системе таких ещё не получивших повсеместного распространения технологий как протокол Wayland и система обмена сообщениями kdbus (http://www.opennet.me/opennews/art.shtml?num=41478), которые применяются для организации взаимодействия начинки контейнера с внешней средой. Вывод графики и организация ввода производится только через Wayland (X11 не поддерживается). Для вывода звука применяется PulseAudio. Обеспечение изоляции контейнера основывается на использовании cgroups, пространств имён (namespaces) и SELinux.
Из ограничений, которые планируется устранить в будущем, отмечается отсутствие API для предоставления пользователем выборочного доступа к внешним файлам и устройствам, а также организация разделения между собой клиентов PulseAudio.<center><iframe width="640" height="360" src="https://www.youtube.com/embed/h679usZUn4U?rel=0" frameborder="0" allowfullscreen></iframe></center>
URL: http://blogs.gnome.org/alexl/2015/02/17/first-fully-sandboxe.../
Новость: http://www.opennet.me/opennews/art.shtml?num=41682
> For instance, we have to use Wayland instead of X11, because X11 is impossible to secure.Сильно.
Но правда.Рутковска писала, почему Qubes Domains не пользуются X-протоколом для вывода изображений на экран.
Мне эта тема интересна. Поделитесь, пожалуйста информацией.
да чо там долго думать, наберите в терминале `xev` чтобы просматривать нажатия клавиш в любом окне. Или, если вы хотели текст об qubes, то ищите "qubes os".
>Сформированное для приложения изолированное окружение полностью независимо от используемого дистрибутива
>Подготовленный контейнер пока пригоден для запуска в Fedora 21
Подозреваю, что скоро и в арче будет работать.
Ага, никак не зависит от того, когда и кто скачал Fedora 21 и установил :)
>Сформированное для приложения изолированное окружение полностью независимо от используемого дистрибутива если этот дистрибутив Fedora 21 //fixed
>>Сформированное для приложения изолированное окружение полностью независимо от используемого дистрибутива если этот дистрибутив Fedora 21 //fixedВы можете купить машину любую машину, если она будет марки Ford. Классика.
"Any customer can have a car painted any color that he wants as long as it is black"
Приписывается Г.Форду (сам он грамоту не осилил afaik).
+100500WayLand работает во FreeBSD вместе с kdbus'om?
Гномовцы скрестили .dmg с Андроидом?Мне одному кажется, что это бред — запаковывать все программы в такой изолированный контейнер? Поясню. Вы видели среднесферическую программу камеры в андроид-маркете? Вы видели сколько привилегий она запрашивает? Как вы думаете: какой смысл в этой изолированности, если десктопные программы все равно будут запрашивать все, до чего дотянутся? Я не против изоляции (докер в помощь), но её нужно применять с умом, а не пихать все в контейнеры.
А .dmg — это круто, да.
>Мне одному кажетсяДа.
Контейнерами проще управлять.
> Контейнерами проще управлять.Эт если глаза зажмурить и не думать о том, что сложность никуда не делась, просто её запихали под газетку.
Т.е. слой абстракции действительно помогает управлять получившимися объектами, но происходящее внутри них становится менее досягаемым (технически или по нежеланию).
Плавал, знаю.
> Т.е. слой абстракции действительно помогает управлять получившимися объектами, но происходящее
> внутри них становится менее досягаемым (технически или по нежеланию).Ну и пусть! Этот микроменеджмент не только полезен, но и вреден. При наличии соответствующей системы обновлений это допустимо.
p.s.
Все дальше и дальше ухожу в контейнеры.
> Ну и пусть! Этот микроменеджмент не только полезен, но и вреден.
> При наличии соответствующей системы обновлений это допустимо.Так в том-то и вопрос -- запихнутая вниз проблема в итоге обкладывается инструментально или просто игнорируется.
>> Ну и пусть! Этот микроменеджмент не только полезен, но и вреден.
>> При наличии соответствующей системы обновлений это допустимо.
> Так в том-то и вопрос -- запихнутая вниз проблема в итоге обкладывается
> инструментально или просто игнорируется.Я думаю, мне нечего ответить "в общем". Я так думаю, у нас у каждого своя проблема в приоритете, которую мы решаем.) Лично я просто очень давно уже жду такого стандартного механизма. Я думаю о нем так: контейнер позволяет локализовать хаос - а хаос это моя основная проблема. Если внутри контейнера есть проблема, то она локализована и для меня вторично буду я ее решать, проигнорирую или оставлю до тех пор, пока ее решит кто-то другой.
>> Ну и пусть! Этот микроменеджмент не только полезен, но и вреден.
>> При наличии соответствующей системы обновлений это допустимо.
> Так в том-то и вопрос -- запихнутая вниз проблема в итоге обкладывается
> инструментально или просто игнорируется.И еще, я рассматриваю сабж как простой способ решения проблемы dependancy hell.
см. http://www.opennet.me/openforum/vsluhforumID3/101515.html#97
>> Контейнерами проще управлять.
> Эт если глаза зажмурить и не думать о том, что сложность никуда
> не делась, просто её запихали под газетку.
> Т.е. слой абстракции действительно помогает управлять получившимися объектами, но происходящее
> внутри них становится менее досягаемым (технически или по нежеланию).
> Плавал, знаю.Ну я так понял контейнеру нельзя выйти в сеть и писать напрямую на хард, так что тут ничего страшного.
Так и есть в случае с докером тоже. Если софт который ты прячешь под газетку очень большой и тяжело настраиваемый его приходится оборачивать в скрипты. Чтобы написать красивые/рабочие/проверенные скрипты приходится ну ООчень долго возиться. Как правило этого того не стоит.
Для серверов это плохо. Для казуальных десктопов это лучше чем супер.
Для серверов есть централизованные системы управления конфигурацией.
Вот как раз для десктопа, особенно казуального - это даски плохо. Потому что мы даём руль некомпетентному юзеру и поощряем распространение крапа, который в дистрибутивах в жизни бы не выжил.Насчёт серверов - я там контейнеры не застал, но, в конце концов, не старшнее же это вполне общепринятых виртуалок с заранее подготовленными образами.
> Потому что мы даём руль некомпетентному юзеру и поощряем распространение крапа, который в дистрибутивах в жизни бы не выжил.И что в этом плохого? Пусть расцветают все цветы. Пользователь должен иметь свободу выбора - ставить из реп или бандлом. Если репы проиграют - что ж, значит, они были объективно хуже.
Проще выкидывать мусор в окно, а не носить в контейнеры. Давате свободу дадим населению и отменим законы о мусоре. Если контейнеры проиграют, что же - они были хуже.
Смысл в том что выживет сильнейший. Текущее состояние стагнации с играми уже тысячу раз подтвердило что никто не будет делать правильно.
Вообще конечно задачи надо разделать и умело использовать разный инструментарий. Если игрушке проще контейнер - пусть будет контейнер.
И как же техническая реализация связана с тем, что игорь попросту не выходит?
> И как же техническая реализация связана с тем, что игорь попросту не выходит?А вы действительно не видите связи?
Нет. Не вижу.
> Нет. Не вижу.А она есть.
>Смысл в том что выживет сильнейший.Наиболее приспосабливающийся.
Двоечники.
>>Смысл в том что выживет сильнейший.
> Наиболее приспосабливающийся.Кто лучше приспособился, тот и сильнее, не?
В чем сила, анон?
> В чем сила, анон?В ньютонах же!
В динах.
а по мне так и в HP вполне айс
У вас просто не было в детстве книжки "Палеонтология в картинках".
Там была иллюстрация: тиранозаурус рекс смотрит на свой последний закат, а у него под ногами шуршат предки млекопитающих, больше смахивающие на волосатых крыс...
> Вы видели сколько привилегий она запрашивает? Как вы думаете: какой смысл
> в этой изолированности, если десктопные программы все равно будут запрашивать все,
> до чего дотянутся?При возможности самому выбирать, что разрешать, а что нет, это будет не важно.
При возможности использовать свободный софт - на фиг все эти игры с привилегиями
> При возможности использовать свободный софт - на фиг все эти игры с привилегиямиПравильно, даешь все программы от рута!
Вот в том-то и дело, что есть уже достаточно механизмов, которыми софтина может себя ограничить. user, capabilities, selinux'ы всякие... А если мы видим попытки внешних ограничений - то совершенно очевидно, что это подкготовка к подключению магазинов с проприетарщиной, которой доверия никакого.
> Вот в том-то и дело, что есть уже достаточно механизмов, которыми софтина
> может себя ограничить. user, capabilities, selinux'ы всякие... А если мы видим
> попытки внешних ограничений - то совершенно очевидно, что это подкготовка к
> подключению магазинов с проприетарщиной, которой доверия никакого.Точно, LXC - часть тайного заговора производителей проприетарщины, чтобы завоевать бедный линукс!
Ведь user, capabilities, selinux и т.д. на приприетарных программах не работают...
dmg это просто формат образов как iso, зачем вы его сюда приплели непонятно
> dmg это просто формат образов как iso, зачем вы его сюда приплели непонятноНаверное, попутал с apk.
> Гномовцы скрестили .dmg с Андроидом?
> Мне одному кажется, что это бред — запаковывать все программы в такой
> изолированный контейнер? Поясню. Вы видели среднесферическую программу камеры в андроид-маркете?
> Вы видели сколько привилегий она запрашивает? Как вы думаете: какой смысл
> в этой изолированности, если десктопные программы все равно будут запрашивать все,
> до чего дотянутся? Я не против изоляции (докер в помощь), но
> её нужно применять с умом, а не пихать все в контейнеры.
> А .dmg — это круто, да.я не фанат андройда, мне не нужно 10 программ фонариков 6 из которых - платные
Андройд - фонарь с большой буквы ФФФ
И я не хочу платить за использование фонарика, так-как я его уже купил.Жадный андройд - в изолятор!!!!
В лоллипопе встроенный фонарь, а они всё покупают и покупают... :)
я всё жду, когда systemd с gnome сольются в экстазе
Нафиг ему гном, он курс на ядро держит!
Ага, а пишет сплошную прикладуху. У него квалификации не хватит, чтоб на ведро курс держать.
> Ага, а пишет сплошную прикладуху. У него квалификации не хватит, чтоб на
> ведро курс держать.Тссс, сейчас принято говорить, что он смотрит вперёд сквозь время и видит будущее.
>> Ага, а пишет сплошную прикладуху. У него квалификации не хватит, чтоб на
>> ведро курс держать.
> Тссс, сейчас принято говорить, что он смотрит вперёд сквозь время и видит
> будущее.В приличные фирмы-разработчики линукса без этого не берут :)
Например: https://jolla.com/jobs/
> You are the person we are looking for, if you
> ...
> - consider Lennart Poettering your personal hero
>> - consider Lennart Poettering your personal heroТо есть ёлочники так и не поняли, почему грохнули нокию -- ну ладно...
> То есть ёлочники так и не поняли, почему грохнули нокию -- ну ладно...Ну у вас видимо какая-то инсайдерская инфа есть. Поделитесь, пожалуйста!
>> То есть ёлочники так и не поняли, почему грохнули нокию -- ну ладно...
> Ну у вас видимо какая-то инсайдерская инфа есть. Поделитесь, пожалуйста!Некоторые прямые и косвенные данные тогда из бывшей нокии и пришли.
Уже делился в профильных темах -- ещё тогда возникло предположение, что похороны нокии как ведущей европейской технологичной лавки были вполне в ключе подминания остатков европ под штатовский титаник (плюс-минус тактические мелочи вроде пристраивания некрософтовских денег, которые они не хотели светить родной налоговой). При этом то, что в редхате прорезаются черты аналогичного титаника -- не все, но некоторые, зато такие же характерные и systemd аккурат среди них -- наивных финских юношев будто не волнует.
А в качестве развлекательного чтива можно глянуть раздел "Две силы в Microsoft" из записок бывшего сотрудника уже этой лавки -- ссылки тоже давал не раз и не два, процитирую ключевое:
--- http://www.joelonsoftware.com/articles/APIWar.html
Лагерь Реймонда Чена полагает, что разработчикам будет проще, если создать условия, когда однажды написанный код запускается везде (хорошо, на любой Windows платформе). Лагерь журнала MSDN полагает, что разработчикам будет проще, если им дать мощные куски кода, которые можно использовать для достижения собственных целей, если они хотят заплатить за это головной болью от невероятно сложной установки, про огромную кривую обучения даже не упоминаю. Лагерь Реймонда Чена за консолидацию. Пожалуйста, не делайте хуже, пусть то, что уже создано, продолжает работать. Лагерю журнала MSDN нужна раскрутка новых гигантских кусков технологии, с которыми никто не сможет справиться.
[...]
Лагерь журнала MSDN выиграл битву внутри Microsoft.
--- http://russian.joelonsoftware.com/articles/howmicrosoftlostt...
В некрософтае моют мозги???Торвальдс вроде не жаловался....
И гдеэто не гоже с немытыми мозгами гулять? В силикон Plane?
> В приличные фирмы-разработчики линукса без этого не берут :)
> Например: https://jolla.com/jobs/
>> You are the person we are looking for, if you
>> ...
>> - consider Lennart Poettering your personal heroО! прикол!
> Ага, а пишет сплошную прикладуху. У него квалификации не хватит, чтоб на
> ведро курс держать.В системды уже встроили поцтеринга и он теперь пишет сам себя?
> В системды уже встроили поцтеринга и он теперь пишет сам себя?Поттеринг - это только прикрытие. На самом деле, systemd пишет его текстовый редактор, осознавший себя и решивший захватить мир. Думаю, можно и не говорить, что это emacs.
> Ага, а пишет сплошную прикладуху. У него квалификации не хватит, чтоб на ведро курс держать.Ага, kdbus - таки сплошная прикладуха.
На март 2014 был запланирован выпуск ГномОС.
Так что можешь уже и не ждать особо)
Это просто полный фак ап."Мы не можем реализовать полноценную совместимость на уровне API/ABI, поэтому давайте каждую утилиту превратим в ОС, зато можно будет запускать везде."
Мрак.
// b.
Не везде. Пока что только на Федоре ;)
Самое забавное, что на моей системе (сильно переработанный lfs) без проблем работают различные бинарники, но это работать не будет - нет у меня wayland и pulseaudio.Хотите переносимость - есть статическая линковка. Хотите изолировать - в контейнер. На кой городить новые стандарты завязанные не пойми за что ...
зачем статическая линковка, когда мы любы может с собой утащить?
> зачем статическая линковка, когда мы любы может с собой утащить?1. Удобно - приложение может быть одним единственным файлом.
2. Меньше размер приложения на диске/меньше качать из сети.
3. Меньше потребление памяти.
4. Большая производительность (inline + больше вероятность попадания в кэш).
5. более быстрый запуск.
> Самое забавное, что на моей системе (сильно переработанный lfs) [...] это работать не будет - нет у меня wayland и pulseaudio."Я собрал свой "кукурузник" с мотором от "запорожца", почему у меня не работает ваша панель от боинга 787?"
Универсальность -- хорошая штука, но не всегда достижимая.
>> Самое забавное, что на моей системе (сильно переработанный lfs) [...] это работать не будет - нет у меня wayland и pulseaudio.
> "Я собрал свой "кукурузник" с мотором от "запорожца", почему у меня не
> работает ваша панель от боинга 787?"Так то и удивительно, что работает все, что пробовал из закрытого (Opera, Unreal2004, ET:QW, Pianoteq).
У вас то "панель от боинга 787" заработала? Ресурсов наверное ест как целый самолет?
>"Мы не можем реализовать полноценную совместимость на уровне API/ABI, поэтому давайте каждую утилиту превратим в ОС, зато можно будет запускать везде."Все так. И это грустно
Не так. "мы не хотим соблюдать простейшую дисциплину и не совать в систему что попало. Поэтому обеспечим, чтобы в ней работала любая дрянь, избежавшая проверки любых компетентных людей - от маинтайнеров до местного админа".
> Не так. "мы не хотим соблюдать простейшую дисциплину и не совать в
> систему что попало. Поэтому обеспечим, чтобы в ней работала любая дрянь,
> избежавшая проверки любых компетентных людей - от маинтайнеров до местного админа".А что, мейнтейнеры, местные админы и прочие работают аудиторами на полставки, вычитывая каждую строчку сорцов в поисках зловредного функционала?
> А что, мейнтейнеры, местные админы и прочие работают аудиторами на полставки,
> вычитывая каждую строчку сорцов в поисках зловредного функционала?Не каждую, но кое-что удавалось заметить даже мне.
> "Мы не можем реализовать полноценную совместимость на уровне API/ABIА все потому, что свобода выбора. Между десятком разных проектов, у каждого из которых свое API/ABI и своя пользовательская база.
> А все потому, что свобода выбора. Между десятком разных проектов, у каждого
> из которых свое API/ABI и своя пользовательская база.ИМХО проблема сильно преувеличена. Opera работала практически на любом дистрибутиве. Сборка LO4 для debian прекрасно работает на сильно переработанном lfs, как и многое другое. Достаточно просто жестко не привязываться к конкретному DE и спорным вещам типа systemd/pulseaudio.
>> А все потому, что свобода выбора. Между десятком разных проектов, у каждого
>> из которых свое API/ABI и своя пользовательская база.
> ИМХО проблема сильно преувеличена.не, аноним, имхо прав. вот я недавно озадачился обновлением софта на, скажем, centos 6 с их стабильным API/ABI. Обновил glib2, какой-то софт заработал, какой-то отвалился. причем я не могу пересобрать старый с новой либо, т.к. api устарели и не могу собрать новый со старой либо, т.к. api еще не поддерживается. предлагаемое решение с бандлами вполне бы меня устроило.
> не, аноним, имхо прав. вот я недавно озадачился обновлением софта на, скажем,
> centos 6 с их стабильным API/ABI. Обновил glib2, какой-то софт заработал,
> какой-то отвалился. причем я не могу пересобрать старый с новой либо,
> т.к. api устарели и не могу собрать новый со старой либо,
> т.к. api еще не поддерживается.Конкретно с glib никогда такого не видел - API они там плавно меняют. Новый gtk почти всегда требует новый glib. Но вот чтобы что-то отвалилось да так что не собрать ... Обычно даже ABI сохраняется. Вот авторы libpng ломали api так, что сходу и не починишь.
> предлагаемое решение с бандлами вполне бы
> меня устроило.Конкретно для вашего случая - идеально подходит статическая линковка и будет не медленнее, а быстрее (выше по пунктам расписал).
Другой вариант - поставить две версии библиотеки и указывать софту конкретные версии при сборке.
> Конкретно с glib никогда такого не виделВсе зависит от того, как часто смотреть и куда;)
> Новый gtk почти всегда требует новый glib.точно. вот что меня абсолютно достает, так это что в проекте Gnome делают полный бамп версий в зависимостях каждый релиз.
> Но вот чтобы
> что-то отвалилось да так что не собрать ... Обычно даже ABI
> сохраняется.я за все случае не отвечу, но такое абсолютно точно бывает. нету у них этой обратной совместимости, к сожалению.
> Конкретно для вашего случая - идеально подходит статическая линковка и будет не медленнее, а быстрее (выше по пунктам расписал).
Забываете про пакетный менеджер. Он попытается снести всё, что считает несовместимым с новыми версиями библиотек. А провернуть то, что вы предлагает не просто в виде make, make install, а в виде пакетов - это чуть более трудоемкая задача.:)
При этом мне что-то подсказывает, что не все и не вседа линкуется статически с первой попытки.> Другой вариант - поставить две версии библиотеки и указывать софту конкретные версии
> при сборке.Очевидный вариант. И единственное, что меня останавливает, это отсутствие времени и желания собирать и пакетировать все зависимости GTK, Gnome3 и прочее-прочее.
Решение с готовым бандлом предпочтительнее.
>> Конкретно с glib никогда такого не видел
> Все зависит от того, как часто смотреть и куда;)14 лет на самосборной системе, так что смотрю постоянно :)
>> Но вот чтобы
>> что-то отвалилось да так что не собрать ... Обычно даже ABI
>> сохраняется.
> я за все случае не отвечу, но такое абсолютно точно бывает. нету
> у них этой обратной совместимости, к сожалению.Вы хотели сказать не бывает? Обычно если обновляешь glib или gtk, то сами gtk приложения (даже такие как gimp) пересобирать не нужно - все отлично работает.
>> Конкретно для вашего случая - идеально подходит статическая линковка и будет не медленнее, а быстрее (выше по пунктам расписал).
> Забываете про пакетный менеджер. Он попытается снести всё, что считает несовместимым с
> новыми версиями библиотек.Так и не важно - в этом то и прелесть статической линковки - приложения (их бинари) работают без библиотек (по крайней мере без тех, что удалось статически линковать).
> А провернуть то, что вы предлагает не просто
> в виде make, make install, а в виде пакетов - это
> чуть более трудоемкая задача.:)В большинстве случаев проще, чем при линковке с конкретной версией динамической библиотеки. Обычно хватает "LDFLAGS=-Wl,-static". Естественно в системе должны быть установлены статические версии библиотек, иначе при их отсутствии будут линковаться динамические.
> При этом мне что-то подсказывает, что не все и не вседа линкуется
> статически с первой попытки.Не без этого, но не так уж часто.
> вот я недавно озадачился обновлением софта на, скажем, centos 6 с их стабильным API/ABI.Зачем?
> Обновил glib2, какой-то софт заработал, какой-то отвалился.
Верните всё на место, засуньте ядро openvz и рассовывайте нужное по контейнерам с centos7 или там дебианом.
>> вот я недавно озадачился обновлением софта на, скажем, centos 6 с их стабильным API/ABI.
> Зачем?Что зачем? Зачем новый софт?
>> Обновил glib2, какой-то софт заработал, какой-то отвалился.
> Верните всё на место, засуньте ядро openvz и рассовывайте нужное по контейнерам
> с centos7 или там дебианом.Дада, openvz знаем и любим. Тред, на который я отвечал, начинался с того, что придумают тут всякие бандлы и контейнеры, потому что "Мы не можем реализовать полноценную совместимость на уровне API/ABI"
>>> вот я недавно озадачился обновлением софта на,
>> скажем, centos 6 с их стабильным API/ABI.
>> Зачем?
> Что зачем? Зачем новый софт?...на старой платформе.
> Дада, openvz знаем и любим. Тред, на который я отвечал, начинался с
> того, что придумают тут всякие бандлы и контейнеры, потому что "Мы
> не можем реализовать полноценную совместимость на уровне API/ABI"А -- я-то влез не по части [незабора] бандлов, а если вдруг получится по конкретной ситуации чего полезного подсказать :) Сам ровно так порой и выкручивался.
А Mir собирается поддерживать протокол Wayland?
> А Mir собирается поддерживать протокол Wayland?Ничего об этом не слышно.
Те, кто поддерживает подобное - предатели свободного софта.
> Те, кто поддерживает подобное - предатели свободного софта.Правильно. В мире свободного ПО
- должна быть свобода выбора между множеством реализаций одного и того же, каждая из которых имеет свое API
- все попытки стандартизации должны пресекаться во избежание vendor lock-in™
- все попытки ввести слой абстракции над этими API, типа контейнеров, должны преследоваться, так как нарушают Великую Свободу
В мире свободного софта попытки сделать удобно проприерастам должны нарываться на противодействие.А здесь - соврешенно явный подарок проприерастам - решение проблемы ABI (которой нет для свободного софта) и совершенно параноидальное недоверие к коду. Если настолько не доверяешь софтине, что вместо того, чтобы дать разработчику сбросить ненужные привилегии и полномочия, клепаешь сандбоксы - то почти гарантированно речь идёт о проприетарщине.
И да, как ни странно - множество реализаций одного и того же, имеющих свой API или еще чем-то различающихся - это норма. Называется эволюция и конкуренция.
А вот попытки впихнуть контейнеры в десктоп это совершенно явный прогиб под приприетарщиков с их магазинами приложений. Для свободного софта есть дистрибутивы и их системы управления пакетами.
> А здесь - соврешенно явный подарок проприерастам - решение проблемы ABI (которой нет для свободного софта)Наличие у каждого дистра своих реп - индикатор наличия этой проблемы. Пусть некоторые пакеты, по мнению разработчиков дистра, требуют дистрибутивно-зависимых патчей (хотя это в большинстве случаев неправильно), но не все же!
> и совершенно параноидальное недоверие к коду. Если
> настолько не доверяешь софтине, что вместо того, чтобы дать разработчику сбросить
> ненужные привилегии и полномочия, клепаешь сандбоксы - то почти гарантированно речь
> идёт о проприетарщине.А вы в курсе, что сброс привилегий и sandbox - технологии не взаимоисключающие, а взаимодополняющие?
> И да, как ни странно - множество реализаций одного и того же,
> имеющих свой API или еще чем-то различающихся - это норма. Называется
> эволюция и конкуренция.Вот только почему-то системы, в недрах которых происходит эволюция и конкуренция, занимают 1% от рынка десктопов, проигрывая системам, которые предоставляют решения "it just works!".
> А вот попытки впихнуть контейнеры в десктоп это совершенно явный прогиб под
> приприетарщиков с их магазинами приложений. Для свободного софта есть дистрибутивы и
> их системы управления пакетами.А что, из реп проприетарщину поставить нельзя?
> Вот только почему-то системы, в недрах которых происходит эволюция и конкуренция, занимают 1% от рынка десктопов, проигрывая системам, которые предоставляют решения "it just works!".Зато, как только они перестанут грызться и воевать между собой , легко сметут всех мягкокодых, раздутых, избалованных за широкой юбкой пользователя, совращенных индусами NETоложных "джаст воркеров", завоюют весь мир и потрясут вселенную!
> Для свободного софта есть дистрибутивы и их системы управления пакетами.Где всегда доступны свежие стабильные версии нужного софта, ага. Ой, нет, это же я про макось сейчас, а в линуксе апдейтов к дистрибутиву полугодовой давности можно и не дождаться. А уже если вдруг понадобилось собрать что-то из анстейбла с повысившимися требованиями к версиям библиотек, тут и вовсе аус ден гит репозиториен ди программе инсталлирен ист ферботен.
> а в линуксе апдейтов к дистрибутиву полугодовой давности можно и не дождатьсяЕсли нужны -- значит, это был не тот дистрибутив.
Где-то долгоиграющие относительно живые ветки плюс-минус внешние репозитории, где-то вечнозелёности пытаются высаживать, где-то держат бэкпорты, где-то с ними ещё и роботы помогают: http://altlinux.org/autoports
> Те, кто поддерживает подобное - предатели свободного софта.да нет же, http://www.opennet.me/openforum/vsluhforumID3/101515.html#97
> Те, кто поддерживает подобное - предатели свободного софта.Только массовые расстрелы спасут Linux! На баррикады, товарищи! За веру, за антилопу, за Столлмана!
Obscurity is not security.
я был удивлён, что не увидел по тексту упоминания о зависимости от SystemD
"бла бла бла ... приложение для GNOME"
> "бла бла бла ... приложение для GNOME"Ну, гном и под фрей запускается. Теперь что, фря тоже от systemd зависит?
А как будут лицензироваться контейнеры?
Так же, как сейчас лицензируются дистрибутивы.
Я таки правильно понимаю, что IT все больше развивается по следующему принципу:
Ой, мы уже наделали столько разных костылей, что уже не можем разобраться, как разрулить накопившиеся проблемы. Так давайте же все это хозяйство завернем в контейнер, чтобы в нем изолировать все трудно разрешимые проблемы. Ой, у нас получилась новая порция костылей, в них еще сложнее разобраться. А давайте сделаем еще один контейнер, что бы не разруливать старые проблемы ...
Любая проблема решается введением нового уровня абстракции. Кроме слишком большого количества уровней абстракции.
нужна стандартизация уровней абстракции (пример - FUSE)
Проблема слишком большого количества уровней абстракций решается введением метаабстракций.
> Я таки правильно понимаю, что IT все больше развивается по следующему принципу:
> Ой, мы уже наделали столько разных костылей, что уже не можем разобраться,
> как разрулить накопившиеся проблемы.Да не, разрулить их можно. Только для этого придется что-то поменять. Отношение сообщества к тем, кто что-то меняет, хорошо видно на примере Поттеринга. Так что нафиг-нафиг, пусть будет тыща костылей в сотне контейнеров, зато ничего старого выкидывать не надо, а значит, все по юниксвею.
> зато ничего старого выкидывать не надо, а значит, все по юниксвею.Причем тут юниксвей?
> Отношение сообщества к тем, кто что-то меняет
Вангую наличиеобратной связи ;)
http://lists.freedesktop.org/archives/systemd-devel/2015-Feb...
> * When the user presses Ctrl-Alt-Del more than 7x within 2s an immediate reboot is triggered.Я не буду упоминать SysRq http://www.linuxhowtos.org/Tips and Tricks/sysrq.htm -- ладно уж.
Но зачем, зачем так изгаляться на пользователем "presses Ctrl-Alt-Del more than 7x within 2s"?
> Причем тут юниксвей?Юниксвей - это когда все остается так, как было 30 лет назад.
> Я не буду упоминать SysRq http://www.linuxhowtos.org/Tips and Tricks/sysrq.htm -- ладно уж.
> Но зачем, зачем так изгаляться на пользователем "presses Ctrl-Alt-Del more than 7x within 2s"?Если не секрет, как это относится к теме дискуссии? Поттеринга не любят _только_ за какую-то там комбинацию клавиш, которая глубоко по барабану 99% пользователей?
> Юниксвей - это когда все остается так, как было 30 лет назад.Это упоринвей, а юникс ни при чем
> _только_ за какую-то там комбинацию клавиш, которая глубоко по барабану 99%Нет, но этокак бы отлично иллюстрирует отношение Л. к этим самым пользователям. А ведь давно известно - как аукнется, так и откликнется!
Не неси фигню. Отношение к тем, кто меняет там, ге надо менять - хорошее. Плохое - отношение к тем, кто меняет без оглядки на совместимость даже там, где её можно было отлично оставить (пример - DBus-демоны, не отслеживающие изменения соответствующих файлов на FS или бинарный лог), пытается проипхнуть базовые вещи с кривой архитектурой (100500 параметров в ini чего стоят!) без широкого обсуждения, и, разрабатывая то, что крутится под pid 1, не понимает, что такое стабильная и экспериментальная ветки.А что до контейнеров - то там да, в консерватории менять надо. От маразма Гвидо и прочих, лепящих свои менеджеры модулей, до влажных мечтаний гномовцев/убунтоидов/подставить_нужное о своём магазине приложений и денежках от проприетарщиков.
Вас послушать - так в линуксе все вообще просто супер, лучше и сделать нельзя. И зачем вообще что-то менять?
>самодостаточных контейнеров для запуска графических приложений, не привязанных
>к конкретному дистрибутиву Linux. На примере игры Neverball сформирована первая
>полноценная сборка приложения, демонстрирующего возможности поставки
>графических приложений в форме контейнеров.
>Сформированное для приложения изолированное окружение полностью независимо от
>используемого дистрибутива, не имеет доступа к файлам и процессам пользователя
>или основной системы, не может напрямую обращаться к оборудованию, за
>исключением вывода через DRI, и сетевой подсистеме.чрезвычайно полезная штука. мне ежедневно необходимо запускать графические приложения, не привязанные к конкретному дистрибутиву Linux, которые не умеют ничего, кроме как рисовать картинки и гадить через eth0 или lo. при этом содрогаясь от их скромной ресурсоемкости и чудовищной производительности.
вот xterm например в контейнер высадить удобно будет или тормозиллу.
рассказал об успехах в реализации самодостаточных контейнеров для запуска графических приложений, не привязанных к конкретному дистрибутиву.....пригоден для запуска в Fedora 21, так как требует наличия...
На протяжении 00-х годов игра имела незначительные изменения. На протяжении 10-х не менялась. Это извращение - прибивать её гвоздями в kdbus :-) Это как Quake III, который ругается что твоя видеокарта недостаточно мощная.
> На протяжении 00-х годов игра имела незначительные изменения. На протяжении 10-х не
> менялась. Это извращение - прибивать её гвоздями в kdbus :-)Это уже не говоря о том, чтобы линковать с современными версиями glibc.
Мне кажется, или Neverball невозможно скомпильнуть так, чтобы он хотел новый GLIBC? Тот, что ниже, я компилял в Debian 6, потом сделалstrings neverball | grep LIB
...и офигел. GLIBC 2.3. Не 2.4 даже, а 2.3. В системе был 2.12.
Дядя изобрёл LSB :-) Совпадение, но в 2011 году я делал универсальный бинарь именно Neverball. Вот тот самый бинарник: https://yadi.sk/d/gSMvl_ioekZPZ В Debian/Ubuntu/Mint системные требования - https://packages.debian.org/ru/wheezy/lsb-desktop в 64-битных ОС ia32-libs
> не может напрямую обращаться к оборудованию, за исключением вывода через DRI, и сетевой подсистемеОтсюда как-то не понятно всё-таки может обращаться к сетевой подсистеме (т.е. она - исключение как и DRI) или не может.
Вопрос по-моему очень интересный т.к. чего всегда не хватало под Linux - так это удобного (без запуска всех приложений под разными пользователями и прочих громоздких костылей) application level firewall, позволяющего контроллировать доступ в Сеть каждого отдельного приложения, IMHO это - одна из "killer-фич" Windows.
> запуска графических приложений, не привязанных к конкретному дистрибутиву Linux
> пока пригоден для запуска в Fedora 21Ржачно.
Скорее бы уже Gnome 3 изолировали от мира open source.