Xfce c Sysv

[Speccyfighter]

Видеопоток 360p в полный экран
в otter-browser на Pentium M 770 с SAMSUNG HM160HC под p8:
достаточный запас по idle, но высокий iowait

Код: [Выделить]

$ sleep 60; sar -P ALL 1 5
Linux 4.9.86-std-def-alt0.M80P.1 (pentium-m.localdomain) 08.07.2023 _i686_ (1 CPU)

14:59:13        CPU     %user     %nice   %system   %iowait    %steal     %idle
14:59:14        all     40,00      0,00     20,00     19,00      0,00     21,00
14:59:14          0     40,00      0,00     20,00     19,00      0,00     21,00

14:59:14        CPU     %user     %nice   %system   %iowait    %steal     %idle
14:59:15        all     43,43      0,00     18,18     18,18      0,00     20,20
14:59:15          0     43,43      0,00     18,18     18,18      0,00     20,20

14:59:15        CPU     %user     %nice   %system   %iowait    %steal     %idle
14:59:16        all     40,59      0,00     19,80     18,81      0,00     20,79
14:59:16          0     40,59      0,00     19,80     18,81      0,00     20,79

14:59:16        CPU     %user     %nice   %system   %iowait    %steal     %idle
14:59:17        all     42,86      0,00     24,49     15,31      0,00     17,35
14:59:17          0     42,86      0,00     24,49     15,31      0,00     17,35

14:59:17        CPU     %user     %nice   %system   %iowait    %steal     %idle
14:59:18        all     47,00      0,00     19,00     26,00      0,00      8,00
14:59:18          0     47,00      0,00     19,00     26,00      0,00      8,00

Среднее:     CPU     %user     %nice   %system   %iowait    %steal     %idle
Среднее:     all     42,77      0,00     20,28     19,48      0,00     17,47
Среднее:       0     42,77      0,00     20,28     19,48      0,00     17,47

И этот iowait в 0.25-1.03 проскальзывает даже на Core i3-5005U.

[Speccyfighter]

Схватился за голову:
- Чиво-чиво не делать?!

Вынимается из штанов, а устройство извлекается или отключается.
Что программистам не понятно во фразе:
Please do not remove the media or disconnect the drive

Убрать из X-сессии Xfce это позорище:

Код: [Выделить]

$ cat .dmrc


[Desktop]
Session=default
Language=en_US.utf8


[Speccyfighter]

А вы точно уверены что это клавиатура?

Код: [Выделить]

$ xinput list | grep 'Virtual core\|COMPANY  USB Device' | grep -v XTEST
⎡ Virtual core pointer                    id=2 [master pointer  (3)]
⎜   ↳ COMPANY  USB Device                      id=10 [slave  pointer  (2)]
⎜   ↳ COMPANY  USB Device  Keyboard            id=11 [slave  pointer  (2)]
⎣ Virtual core keyboard                    id=3 [master keyboard (2)]
    ↳ COMPANY  USB Device                      id=9 [slave  keyboard (3)]


Код: [Выделить]

$ xinput list-props 11
Device 'COMPANY  USB Device  Keyboard':
Device Enabled (178): 1
Coordinate Transformation Matrix (180): 1.000000, 0.000000, 0.000000, 0.000000, 1.000000, 0.000000, 0.000000, 0.000000, 1.000000
Device Accel Profile (298): 0
Device Accel Constant Deceleration (299): 1.000000
Device Accel Adaptive Deceleration (300): 1.000000
Device Accel Velocity Scaling (301): 10.000000
Device Product ID (289): 2522, 30931
Device Node (290): "/dev/input/event4"
Evdev Axis Inversion (331): 0, 0
Evdev Axes Swap (333): 0
Axis Labels (334): "Rel X" (188), "Rel Y" (189), "Rel Horiz Wheel" (330), "None" (0)
Button Labels (335): "Button 0" (329), "Button Unknown" (328), "Button Unknown" (328), "Button Wheel Up" (184), "Button Wheel Down" (185), "Button Horiz Wheel Left" (186), "Button Horiz Wheel Right" (187)
Evdev Scrolling Distance (336): 1, 1, 1
Evdev Middle Button Emulation (337): 0
Evdev Middle Button Timeout (338): 50
Evdev Middle Button Button (339): 2
Evdev Third Button Emulation (340): 0
Evdev Third Button Emulation Timeout (341): 1000
Evdev Third Button Emulation Button (342): 3
Evdev Third Button Emulation Threshold (343): 20
Evdev Wheel Emulation (344): 0
Evdev Wheel Emulation Axes (345): 0, 0, 4, 5
Evdev Wheel Emulation Inertia (346): 10
Evdev Wheel Emulation Timeout (347): 200
Evdev Wheel Emulation Button (348): 4
Evdev Drag Lock Buttons (349): 0

Вообще-то, это мышь A4Tech X89. с аппаратной настройкой чувствительности и 160 килобайт памяти для сохранения текущих аппаратных настроек.

[Speccyfighter]

Схватился за голову:
- Чиво-чиво не делать?!

Вынимается из штанов, а устройство извлекается или отключается.
Что программистам не понятно во фразе:
Please do not remove the media or disconnect the drive

Безграмотная локализация, затрагивает два модуля:

Код: [Выделить]

# grep -r 'Не вынимайте его до окончания' $(find /usr/ -name "*.mo")
grep: /usr/share/locale/ru/LC_MESSAGES/xfdesktop.mo: двоичный файл совпадает
grep: /usr/share/locale/ru/LC_MESSAGES/thunar.mo: двоичный файл совпадает


Код: [Выделить]

# grep -r 'Не вынимайте его до окончания выполнения операции' $(find /usr/ -name "*.mo")
grep: /usr/share/locale/ru/LC_MESSAGES/thunar.mo: двоичный файл совпадает


Код: [Выделить]

# rpm -qf /usr/share/locale/ru/LC_MESSAGES/{xfdesktop.mo,thunar.mo}
xfdesktop-4.18.1-alt1.x86_64
thunar-4.18.6-alt1.x86_64


[YYY]

Ну, если мне кто поможет с патчами для i586 для палемуна, то можно и добавить

там не надо патчить исходники - там нужно спек подкорректировать и мозконфиг...


у меня мозконфиг
+++++

ac_add_options --disable-crashreporter
ac_add_options --disable-mozril-geoloc
ac_add_options --disable-safe-browsing
ac_add_options --disable-parental-controls
ac_add_options --disable-dbus
ac_add_options --disable-gio
ac_add_options --disable-pulseaudio
ac_add_options --enable-alsa
ac_add_options --enable-release
ac_add_options --enable-install-strip
ac_add_options --enable-optimize="-O2 -march=pentium3 -mtune=pentium3 -msse -mno-sse2"
ac_add_options --target=i386-pc-linux-gnu
ac_add_options --host=i386-pc-linux-gnu

+++++

а сборка как

LDFLAGS=-Wl,--no-keep-memory make -f client.mk build

[Speccyfighter]

Ломал голову на предмет наличия p7zip p7zip-standalone в образе xfce-sysv.
Но долго не спешил. Носом чую неприятность.
И нарвался на засаду:

- При наличии в системе p7zip p7zip-standalone, xarchiver неверно распаковывает fdi-образы из zip-архива. Он распакует fdi-образ не как файл, а как пустой каталог:

Берём архив:

Код: [Выделить]

$ unzip -v file.zip
Archive:  file.zip
 Length   Method    Size  Cmpr    Date    Time   CRC-32   Name
--------  ------  ------- ---- ---------- ----- --------  ----
  826011  Defl:N   223606  73% 2020-10-02 03:58 6f9462d5  B02D09.FDI
--------          -------  ---                            -------
  826011           223606  73%                            1 file

Распаковываем zip-архив через xarchiver.
Распаковка прошла удачно:

Код: [Выделить]

# ls -lF /tmp/B*
-rw-r--r-- 1 user user 826011 окт  2  2020 /tmp/B02D09.FDI


Код: [Выделить]

# file /tmp/B02D09.FDI
/tmp/B02D09.FDI: data

Устанавливаем p7zip p7zip-standalone

Код: [Выделить]

# rm -f /tmp/B02D09.FDI


Код: [Выделить]

# apt-get install p7zip p7zip-standalone

Распаковываем тот же zip-архив через xarchiver.
И нарываемся на засаду:
fdi-образ распаковался не как файл, а как пустой каталог

Код: [Выделить]

# file /tmp/B02D09.FDI
/tmp/B02D09.FDI: directory


Код: [Выделить]

# ls -1 /tmp/B02D09.FDI | wc -l
0

С p7zip* возникает патовая ситуация:
При существующих 7z-архивах, и без него и с ним нельзя.

Что тут ещё забавного?
Забавно тут то, что при установленной опции 'Отдавать предпочтение unzip при распаковке zip-файлов', с установленным p7zip, предпочтение не отдаётся ни разу.
Потому шо только p7zip спотыкается об это:

Код: [Выделить]

Would you like to replace the existing file:
  Path:     /tmp/B02D09.FDI
  Size:     0 bytes
  Modified: 2023-08-03 11:13:00
with the file from archive:
  Path:     B02D09.FDI
  Size:     826011 bytes (807 KiB)
  Modified: 2020-10-01 23:58:24
? (Y)es / (N)o / (A)lways / (S)kip all / A(u)to rename all / (Q)uit?

И через xarchiver распаковывает файл как пустой каталог.
Навскидку по-быстрому, альтернативой p7zip*, может быть 7-zip. С ним, распаковка *.fdi не ломается.
Всё это, в плане расширения функционала xfce-sysv из коробки, но чтобы всё было без неожиданностей.

[Speccyfighter]

Отказ xarchiver 0.5.4.18 открытия rpm-пакета p10 как архива:
https://forum.altlinux.org/index.php?topic=10540.msg385081#msg385081

Код: [Выделить]

Команда: dd if=/home/user/htop_3.0.5-alt1%3asisyphus+279027.100.1.2@1626370953_x86%5f64.rpm ibs=18446744073355035080 skip=1 of=/tmp/xa-FBP791/xa-tmp.cpio_z

dd: неверный номер: «18446744073355035080»: Значение слишком велико для такого типа данных


[Speccyfighter]

Отказ xarchiver 0.5.4.18 открытия rpm-пакета p10 как архива:
https://forum.altlinux.org/index.php?topic=10540.msg385081#msg385081

Код: [Выделить]

Команда: dd if=/home/user/htop_3.0.5-alt1%3asisyphus+279027.100.1.2@1626370953_x86%5f64.rpm ibs=18446744073355035080 skip=1 of=/tmp/xa-FBP791/xa-tmp.cpio_z

dd: неверный номер: «18446744073355035080»: Значение слишком велико для такого типа данных


Отказ xarchiver 0.5.4.18 открытия rpm-пакетов как архивов начиная с p8/branch
https://bugzilla.altlinux.org/show_bug.cgi?id=47358

[Speccyfighter]

В Lenovo G50-80 (80E5), система ни с того ни с сего, дёргает каретку пустого DVD привода. Периодичность рандомная.
К sysvinit, никакого отношения никаким боком не имеет.

[Speccyfighter]

Релизные образы alt-p10-xfce-sysv-20230910-{x86_64,i586}.iso использовать не рекомендуется:
- На загрузке, на этапе входа в X-сессию пользователя и сканирования локальных fs, на Рабочий стол выводятся значки не локальных файловых, а proc tmp pts

Рекомендуется использовать октябрьскую бета, которая отвечает критериям стабильного выпуска xfce-sysv:

Что-то там в udisks2 исправляли. Если не в напряг, чтобы не ждать декабрьскую бету, можешь собрать тестовую альфа xfce-sysv-x86_64 на текущем p10? Как там с этим proc pts tmp на текущем p10.

http://nightly.altlinux.org/p10/beta/alt-p10-xfce-sysv-20231026-x86_64.iso

Норма. Загрузка прошла как и обязана.
beta alt-p10-xfce-sysv-20231026-x86_64.iso объявляется стабильным.

Антон, собери в beta и i586. Будет полноценным комплектом.
С выпуском декабрьской бета, образы alt-p10-xfce-sysv-20231026-{x86_64,i586}.iso можно будет удалить.

http://nightly.altlinux.org/p10/beta/MD5SUM
http://nightly.altlinux.org/p10/beta/alt-p10-xfce-sysv-20231026-i586.iso
http://nightly.altlinux.org/p10/beta/alt-p10-xfce-sysv-20231026-x86_64.iso

[Speccyfighter]

Антону Мидюкову:

Антон, удали из профиля xfce-sysv пакет:
polkit-rule-admin-root

Пакет polkit-rule-admin-root в xfce-sysv, как и во всех альтовых на sysvinit, абсолютно бессмысленен.
Полиси безопасности xfce-sysv, по-умолчанию запрещает выполнение pkexec всем кроме root. К тому же в альтовых на sysvinit, права доступа для соадминистраторов wheel не ломаются.
polkit-rule-admin-root имеет смысл только для альтовых на systemd. По причине #35763 #37516
В альтовых на sysvinit, угроза безопасности #35763 #37516 никогда не была актуальна.

[Антон Мидюков]

Антон, удали из профиля xfce-sysv пакет:

А чем-то мешает?
Если вдруг заработает polkit-agent, пригодится.

[Speccyfighter]

Антон, удали из профиля xfce-sysv пакет:

А чем-то мешает?
Если вдруг заработает polkit-agent, пригодится.

В смысле если авторизация в альтовых на sysv заработает? Не дай бог! 
polkit-rule-admin-root тут же вылетит из xfce-sysv. Без разговоров. И это не подлежит обсуждению. Его заменит другой рулез.
polkit-rule-admin-root требует пароля root от всех wheel.
polkit-rule-admin-root приемлем для домашних компьютеров в танчики поиграть и для небольших организаций. Но в непрерывном производстве, в котором требуется админов больше одного, это неприемлемо совсем.
И в альтовых на systemd, он вдребезги разломал принцип соадминимистаторов.
Последние суток трое это и смотрел: а что если в sysv авторизация заработает? Ну хотя бы гипотетически.
Понятно, что в данной ситуации для альтовых на systemd, это решение лучше чем никакого с двумя уязвимостями сразу.
И Дима Левин говорил, что получать окружение root по паролю wheel, это неправильно.
И здесь есть концептуальная вещь:
wheel 500:500, это root.
wheel 501:501, это соадминистратор, но не root.

В комментарии 4, shaba@ предложил дельную вещь:
https://bugzilla.altlinux.org/show_bug.cgi?id=35763#c4
Собсно она как концепция и реализована в xfce-sysv двумя-тремя годами раньше.

Т.е. концепция xfce-sysv состоит в том, что если какой-то файл создаёт проблему безопасности, то правило должно быть направлено только на него. При этом это не будет ломать концепцию соадминистраторов и права доступа.
Для pkexec (#37516), экшн лежит тут:
/usr/share/polkit-1/actions/org.freedesktop.policykit.policy
Правило для pkexec, набросал года 4 назад:
https://bugzilla.altlinux.org/show_bug.cgi?id=37516#c1
Это правило, с безусловным YES для root, можно набросать и сейчас в пять минут. Но в текущий момент в sysv, оно лишено смысла. В альтовых на sysvinit, оно безусловно отрабатывает только для root.

Но в его следующем комментарии 5, мысль shaba@ была очень неудачной.
Это и сделал polkit-rule-admin-root. Уязвимости через pkexec и systemd-run он закрыл. Но одновременно ударил сразу по всей системе и угробил права доступа соадминистраторов wheel с UID:GID от 501:501 и выше.

Выжимка из этой простыни:

- Из системы с авторизацией, удаляем polkit-rule-admin-root.
- Для pkexec через экшн:
/usr/share/polkit-1/actions/org.freedesktop.policykit.policy
пишем рулез и закрываем #37516:
https://bugzilla.altlinux.org/show_bug.cgi?id=37516#c1
- Для систем на systemd, перевешиваем баг на systemd и через полиси, прибиваем systemd-run в правах:
https://bugzilla.altlinux.org/show_bug.cgi?id=35763#c4
- Уязвимости #35763 #37516 устраняются, но система остаётся гибкой.
- #18344, который там же упоминается мимоходом, в контексте потенциальной возможности получения окружения root, это отдельная история. В альтах через sudowheel disabled, это правильное умолчание. И это никак не зависит от наличия/отсутствия polkit-rule-admin-root.

Шутка:
Антон, ты умеешь задавать вопросы
Когда небольшой вопрос, требует объёмного развёрнутого ответа.

[Антон Мидюков]

И в альтовых на systemd, он вдребезги разломал принцип соадминимистаторов.

Из коробки в Альт никогда не было настроено по этому принципу. wheel - это пользователи, которым позволено авторизоваться как root, вводя его пароль. Если кому-то сдались ваши соадминистраторы, то пусть он и откручивает гайки сам.

[Speccyfighter]

wheel - это пользователи, которым позволено авторизоваться как root, вводя его пароль.

Сам-то понял что сказал? Т.е. у вас root разбазаривает свой пароль?

Из коробки в Альт никогда не было настроено по этому принципу.

Да не придумывай.
До 20211227, polkit делал только то, что прописано в его правилах и для тех, кто указан в его man. Не больше.
Или вы не отличаете administrative user от administrative super user?
Какой файл компонента в багрепорте был указан?
Вы не знаете что pkexec особенно в альтовой реализации крайне опасен? Про этот дефолт он сам в своём man прямым текстом говорит. И именно его надо было прибивать в правах.
А вы что сделали? Врезали root only по всей системе?