>> То есть это нормально добавлять дополнительную сущность напрямую взаимодействующую через хитрые механизмы с pid1, единственной функцией которой является вызов функции «syslog()», я правильно вас понял?
> Нет, но если хочешь получить логи от самого systemd, то пока придётся. Ну всё как я и сказал. Вы действительно создали машину Голдберга для логирования. Поздравляю.
>> IMHO, что чем больше интерфейсов и модулей имеет systemd, тем он бажнее и имеет большую поверхность для атаки.
> А куча отдельных решений, каждое со своим набором багов и глюков тебе
> кажется более надёжным?
Когда у меня есть свобода выбора? Другими словами, когда я могу выкидывать глючные реализации и заменять их менее глючными? Да, мне это кажется более надёжным. Честно.
>> А унификация такой хрени сквозь большниство популярных дистрибутивов Linux может сделать реально живым термин «вирус под linux». =\
> А то, что у них общее ядро и иксы тебя не смущает?
Начнём с того, что я на серверах на ставлю Xorg, не знаю, конечно, как вы. А то что Xorg - очень опасная хрень все вроде и так знают, сколько раз мы уже натыкались на серьёзные проблемы безопасности с ним связанными. На большинстве установок Linux в мире никакого Xorg не стоит.
Теперь по поводу ядра:
- Ядро сопровождают действительно грамотные специалисты с многоуровневой проверкой каждого коммита. Я бы даже сказал, элита свободного сообщества. А на самом верху находится Торвальдс.
- Системные администраторы обычно намного более тчательно следят за ядром, чем за всеми user-space приложениями.
- В силу того, что у ядра огроооомнеешее комьюнити, все найденные баги там очень быстро и грамотно исправляют.
- Разные дистрибутивы Linux используют весьма разные версии ядер.
- Забавную вещь вы заявлете, а именно, что в каждом дистрибутиве Linux используется Linux. Хм..
В общем, отвечая коротко на ваш вопрос — немного смущает, но лишь совсем немного.
> Ну да, у всех есть свой набор патчей, но это применимо
> и к systemd. Разные велосипеды это лишь иллюзия защиты и ничего
> хорошего в этом нет. Возможно они не позволят создать скринлокера, пригодного
> для всех, но зато если надо сломать конкретный сервер, то это
> может очень сильно облегчить задачу из-за дыр в конкретном одном решении.
> Ну и людей, которые качают из интернета фотографии с расширением exe
> под виндой и потом «открывают» их ты этим не вылечишь.
Согласен. Да, только что вредного сделает этот "exe" на системе, где он не знает как навредить? А вот если везде будет одна и та же дырка, то тогда очень просто понять как наверидить.
>> Кого «можно заменить»? «journald»? Киньте, пожалуйста, ссылку на HOWTO.
> Ну как я тебе кину ссылку на то, что никто ещё не
> написал?
Ок, тогда в принципе дальше не о чем говорить по данному вопросу, sorry. :)
> По крайней мере я не видел, чтоб написал. Возьми код
> journald (http://cgit.freedesktop.org/systemd/systemd/tree/src/journal) и выкинь
> оттуда всё, что не требуется для работы тех двух опций. Не
> думаю, что это займёт больше пары дней.
А я вот думаю это займёт порядком больше времени. А как же отладка? Проверка на всеразличных платформах во всеразличных ситуациях? Я не знаю как у вас, но у меня написание собственного стабильного journald займёт немало времени. А что ещё обиднее, мне journald вообще не нужен, это для меня лишняя сущность, единственная потенциальная функция которого — прослойка.
> Будет тебе минимальный демон-потребитель
> для сообщений журнала.
И будет отдельный специальный демон, который через какой-то сложный протокол сообщается с pid1 только лишь для того, чтобы вызывать функцию «syslog()». Спасибо, "очень нужно". Но я так, не совсем по теме. А по теме говоря, вы призвали меня проделать серьёзный труд (IMHO, вы очень сильно недооценили масштабы работ) ради очень простой вещи — заменить одну реализацию на другую. Такие проблемы не свойственны UNIX-way.
> Дальше можешь что угодно из него сделать. Или
> ты мне предлагаешь это сделать за тебя? Так мне ж это
> не нужно.
Нет, я просто предлагаю не отдавать приоритет самозапертым software-ные bundle-ам.