[devel] ALT 8.3 Workstation K RC4 20190419

[devel] ALT 8.3 Workstation K RC4 20190419

[Sergey]

Привет всем!

По адресам
http://ftp.altlinux.org/pub/people/zerg/p8/
rsync://rsync.altlinux.org/people/zerg/p8/
доступен 4-й кандидат в релизы ALT 8.3 Workstation K.

Основные изменения по сравнению с RC 20190322:

Примечания:.
- Если не будет найдено критичных проблем, эта версия станет релизом.
- В VirtualBox некорректно работает режим EFI. Не используйте его.
- Анонсы RC2,RC3 были пропущены для внесения дополнительных изменений
Обновлено:
- Ядро Linux 4.19.35 .
- Mesa 18.0.5 .
- Xorg-server 1.19.7 с видеодрайверами.
- LibreOffice 6.1 с файловыми диалогами KDE5.
Добавлено:
- Сервис rngd, включенный по умолчанию.
Исправлено:
- Подключение NTFS-разделов при установке.
- Загрузка Live-образов большого размера в 32-хбитных сборках.

-- 
Regards, Sergey

Re: [devel] ALT 8.3 Workstation K RC4 20190419

[Alexey V. Vissarionov]

On 2019-04-21 11:29:15 +0300, Sergey wrote:

 > Добавлено: - Сервис rngd, включенный по умолчанию.

Не надо его включать по умолчанию...


-- 
Alexey V. Vissarionov
gremlin ПРИ altlinux ТЧК org; +vii-cmiii-ccxxix-lxxix-xlii
GPG: 0D92F19E1C0DC36E27F61A29CD17E2B43D879005 @ hkp://keys.gnupg.net

Re: [devel] ALT 8.3 Workstation K RC4 20190419

[Anton Farygin]

21.04.2019 11:39, Alexey V. Vissarionov пишет:
> On 2019-04-21 11:29:15 +0300, Sergey wrote:
>
>   > Добавлено: - Сервис rngd, включенный по умолчанию.
>
> Не надо его включать по умолчанию...
>
>
А что надо, не расскажешь ? Интересно же.

Re: [devel] ALT 8.3 Workstation K RC4 20190419

[Andrey Savchenko]

[-- Attachment #1: Type: text/plain, Size: 802 bytes --]

On Sun, 21 Apr 2019 14:27:45 +0300 Anton Farygin wrote:
> 21.04.2019 11:39, Alexey V. Vissarionov пишет:
> > On 2019-04-21 11:29:15 +0300, Sergey wrote:
> >
> >   > Добавлено: - Сервис rngd, включенный по умолчанию.
> >
> > Не надо его включать по умолчанию...
> >
> >
> А что надо, не расскажешь ? Интересно же.

Нужно не включать.

Данный RC4, очевидно, нельзя применять на настройках по умолчанию ни
для каких задач, где необходима криптография, в т.ч. для
подписывания писем, тегов git и работы по ssh.

Best regards,
Andrew Savchenko

[-- Attachment #2: Type: application/pgp-signature, Size: 833 bytes --]

Re: [devel] ALT 8.3 Workstation K RC4 20190419

[Michael Shigorin]

On Sun, Apr 21, 2019 at 04:37:03PM +0300, Andrey Savchenko wrote:
> > >   > Добавлено: - Сервис rngd, включенный по умолчанию.
> > > Не надо его включать по умолчанию...
> > А что надо, не расскажешь ? Интересно же.
> Нужно не включать.

Хорошо бы пояснять для чайников вроде zerg@, rider@ и меня.

> Данный RC4, очевидно, нельзя применять на настройках по
> умолчанию ни для каких задач, где необходима криптография,
> в т.ч. для подписывания писем, тегов git и работы по ssh.

Это почти не пояснение, хотя я вот заподозрил плохое качество
(псевдо)случайных чисел, которые эта подпорка под systemd (так?)
лепит в пул.

-- 
 ---- WBR, Michael Shigorin / http://altlinux.org
  ------ http://opennet.ru / http://anna-news.info

Re: [devel] ALT 8.3 Workstation K RC4 20190419

[Andrey Savchenko]

[-- Attachment #1: Type: text/plain, Size: 1477 bytes --]

On Sun, 21 Apr 2019 16:50:50 +0300 Michael Shigorin wrote:
> On Sun, Apr 21, 2019 at 04:37:03PM +0300, Andrey Savchenko wrote:
> > > >   > Добавлено: - Сервис rngd, включенный по умолчанию.
> > > > Не надо его включать по умолчанию...
> > > А что надо, не расскажешь ? Интересно же.
> > Нужно не включать.
> 
> Хорошо бы пояснять для чайников вроде zerg@, rider@ и меня.

Мы это уже несколько раз обсуждали на devel или rebase

> > Данный RC4, очевидно, нельзя применять на настройках по
> > умолчанию ни для каких задач, где необходима криптография,
> > в т.ч. для подписывания писем, тегов git и работы по ssh.
> 
> Это почти не пояснение, хотя я вот заподозрил плохое качество
> (псевдо)случайных чисел, которые эта подпорка под systemd (так?)
> лепит в пул.

Да, дело в ненадлежащем качестве источника энтропии, что ставит под
удар все сгенерированные в такой системе ключи, в т.ч. сессионные.

Best regards,
Andrew Savchenko

[-- Attachment #2: Type: application/pgp-signature, Size: 833 bytes --]

Re: [devel] ALT 8.3 Workstation K RC4 20190419

[Leonid Krivoshein]

21.04.2019 17:07, Andrey Savchenko пишет:
> On Sun, 21 Apr 2019 16:50:50 +0300 Michael Shigorin wrote:
>> On Sun, Apr 21, 2019 at 04:37:03PM +0300, Andrey Savchenko wrote:
>>>>>    > Добавлено: - Сервис rngd, включенный по умолчанию.
>>>>> Не надо его включать по умолчанию...
>>>> А что надо, не расскажешь ? Интересно же.
>>> Нужно не включать.
>> Хорошо бы пояснять для чайников вроде zerg@, rider@ и меня.
> Мы это уже несколько раз обсуждали на devel или rebase

Когда я вижу, как один коллега пол дня генерирует энтропию руками на 
клавиатуре, другой паяет генератор для USB-порта, третий испытывает 
качество этого изделия, а все мои виртуалки ждут решительных действий 
уже сейчас и решение проблемы нужно уже вчера, вкорячил haveged и в ус 
не дую. :-) Да, не так безопасно, но хотя бы можно работать. А SSH-ключи 
-- да, лучше генерировать после исталляции или развёртывания, всегда так 
делаю, вот только энтропийный голод наступает на машинах с быстрым 
стартом графического сеанса отнюдь не из-за openssh. Таки давайте 
считать сие массовым и очень напрягающим багом и сколько бы мы его не 
обсуждали, он должен быть закрыт. Ну и, к слову, rngd, в отличии от 
haveged, берёт энтропию из всё же существующего аппаратного источника. 
Деталей не знаю, вроде TPM 1.0 и тот, что в CPU, к которым не у всех 
есть доверие.


>>> Данный RC4, очевидно, нельзя применять на настройках по
>>> умолчанию ни для каких задач, где необходима криптография,
>>> в т.ч. для подписывания писем, тегов git и работы по ssh.
>> Это почти не пояснение, хотя я вот заподозрил плохое качество
>> (псевдо)случайных чисел, которые эта подпорка под systemd (так?)
>> лепит в пул.
> Да, дело в ненадлежащем качестве источника энтропии, что ставит под
> удар все сгенерированные в такой системе ключи, в т.ч. сессионные.
>


-- 
Best regards,
Leonid Krivoshein.

Re: [devel] ALT 8.3 Workstation K RC4 20190419

[Michael Shigorin]

On Sun, Apr 21, 2019 at 06:11:56PM +0300, Leonid Krivoshein wrote:
> Таки давайте считать сие массовым и очень напрягающим багом
> и сколько бы мы его не обсуждали, он должен быть закрыт.

Гм, а чем же он был вызван?

-- 
 ---- WBR, Michael Shigorin / http://altlinux.org
  ------ http://opennet.ru / http://anna-news.info

Re: [devel] ALT 8.3 Workstation K RC4 20190419

[Leonid Krivoshein]

21.04.2019 19:08, Michael Shigorin пишет:
> On Sun, Apr 21, 2019 at 06:11:56PM +0300, Leonid Krivoshein wrote:
>> Таки давайте считать сие массовым и очень напрягающим багом
>> и сколько бы мы его не обсуждали, он должен быть закрыт.
> Гм, а чем же он был вызван?

Тем, что сначала присвоили CVE в ядре, потом и в QEMU данной проблеме, а 
при их закрытии систему сделали не совсем юзабельной. Но заметно это в 
двух случаях: графический сеанс неожиданно быстро стартует на некоторых 
системах и второе -- подряд запускается несколько виртуалок. В общем, с 
одной стороны потребители /dev/random, с другой -- радетели 
безопасности, что оттуда она должна браться только воистину окроплённая, 
а никак не из /dev/urandom, как это было раньше! :-)


-- 
Best regards,
Leonid Krivoshein.

Re: [devel] ALT 8.3 Workstation K RC4 20190419

[Anton Farygin]

21.04.2019 17:07, Andrey Savchenko пишет:
> On Sun, 21 Apr 2019 16:50:50 +0300 Michael Shigorin wrote:
>> On Sun, Apr 21, 2019 at 04:37:03PM +0300, Andrey Savchenko wrote:
>>>>>    > Добавлено: - Сервис rngd, включенный по умолчанию.
>>>>> Не надо его включать по умолчанию...
>>>> А что надо, не расскажешь ? Интересно же.
>>> Нужно не включать.
>> Хорошо бы пояснять для чайников вроде zerg@, rider@ и меня.
> Мы это уже несколько раз обсуждали на devel или rebase
И вот из этого самого обсуждения ничего не следует.
>
>>> Данный RC4, очевидно, нельзя применять на настройках по
>>> умолчанию ни для каких задач, где необходима криптография,
>>> в т.ч. для подписывания писем, тегов git и работы по ssh.
>> Это почти не пояснение, хотя я вот заподозрил плохое качество
>> (псевдо)случайных чисел, которые эта подпорка под systemd (так?)
>> лепит в пул.
> Да, дело в ненадлежащем качестве источника энтропии, что ставит под
> удар все сгенерированные в такой системе ключи, в т.ч. сессионные.
>
И ещё раз про качество источника, и если можно - с примерами.

Re: [devel] ALT 8.3 Workstation K RC4 20190419

[Anton Farygin]

21.04.2019 18:11, Leonid Krivoshein пишет:
>
> 21.04.2019 17:07, Andrey Savchenko пишет:
>> On Sun, 21 Apr 2019 16:50:50 +0300 Michael Shigorin wrote:
>>> On Sun, Apr 21, 2019 at 04:37:03PM +0300, Andrey Savchenko wrote:
>>>>>>    > Добавлено: - Сервис rngd, включенный по умолчанию.
>>>>>> Не надо его включать по умолчанию...
>>>>> А что надо, не расскажешь ? Интересно же.
>>>> Нужно не включать.
>>> Хорошо бы пояснять для чайников вроде zerg@, rider@ и меня.
>> Мы это уже несколько раз обсуждали на devel или rebase
>
> Когда я вижу, как один коллега пол дня генерирует энтропию руками на 
> клавиатуре, другой паяет генератор для USB-порта, третий испытывает 
> качество этого изделия, а все мои виртуалки ждут решительных действий 
> уже сейчас и решение проблемы нужно уже вчера, вкорячил haveged и в ус 
> не дую. :-) Да, не так безопасно, но хотя бы можно работать. А 
> SSH-ключи -- да, лучше генерировать после исталляции или 
> развёртывания, всегда так делаю, вот только энтропийный голод 
> наступает на машинах с быстрым стартом графического сеанса отнюдь не 
> из-за openssh. Таки давайте считать сие массовым и очень напрягающим 
> багом и сколько бы мы его не обсуждали, он должен быть закрыт. Ну и, к 
> слову, rngd, в отличии от haveged, берёт энтропию из всё же 
> существующего аппаратного источника. Деталей не знаю, вроде TPM 1.0 и 
> тот, что в CPU, к которым не у всех есть доверие. 

haveged vs rngd - по мне так последний интереснее.

Re: [devel] ALT 8.3 Workstation K RC4 20190419

[Anton Farygin]

21.04.2019 16:50, Michael Shigorin пишет:
> On Sun, Apr 21, 2019 at 04:37:03PM +0300, Andrey Savchenko wrote:
>>>>    > Добавлено: - Сервис rngd, включенный по умолчанию.
>>>> Не надо его включать по умолчанию...
>>> А что надо, не расскажешь ? Интересно же.
>> Нужно не включать.
> Хорошо бы пояснять для чайников вроде zerg@, rider@ и меня.
>
>> Данный RC4, очевидно, нельзя применять на настройках по
>> умолчанию ни для каких задач, где необходима криптография,
>> в т.ч. для подписывания писем, тегов git и работы по ssh.
> Это почти не пояснение, хотя я вот заподозрил плохое качество
> (псевдо)случайных чисел, которые эта подпорка под systemd (так?)
> лепит в пул.
>
Ну опять же - наверное нет никаких доказательств качества 
псевдослучайных чисел, которые лепятся в пул.

Я скачал свободные инструменты, проверяющие коллизии пула и с их помощью 
не заметил проблем c rngd.

Да и если у вас есть устройство, предоставляющее hwrng, то rngd сможет 
его использовать. Без него - будет наполнять энтропию из менее надёжных 
источников.

А что вы там подсунете ему в качестве hwrng - это ваша проблема. Будет 
хороший источник - будет качественная энтропия. Будет плохой источник - 
будет плохая энтропия.


У меня вот, на ноуте, например - hwrng отсутствует.

Re: [devel] ALT 8.3 Workstation K RC4 20190419

[Konstantin Lepikhov]

Hi Andrey!

On 04/21/2019, at 04:37:03 PM you wrote:

> On Sun, 21 Apr 2019 14:27:45 +0300 Anton Farygin wrote:
> > 21.04.2019 11:39, Alexey V. Vissarionov пишет:
> > > On 2019-04-21 11:29:15 +0300, Sergey wrote:
> > >
> > >   > Добавлено: - Сервис rngd, включенный по умолчанию.
> > >
> > > Не надо его включать по умолчанию...
> > >
> > >
> > А что надо, не расскажешь ? Интересно же.
> 
> Нужно не включать.
> 
> Данный RC4, очевидно, нельзя применять на настройках по умолчанию ни
> для каких задач, где необходима криптография, в т.ч. для
> подписывания писем, тегов git и работы по ssh.
>
А не флейма ради, вот на главной странице BaseALT красуется баннер про
какой-то сервер 8 с сертификатом ФСТЭК, что там в качестве источника
энтропии? ) Просто интересно стало, после такого обсуждения.

-- 
WBR et al.

Re: [devel] ALT 8.3 Workstation K RC4 20190419

[Leonid Krivoshein]

23.04.2019 12:18, Konstantin Lepikhov пишет:
> Hi Andrey!
>
> On 04/21/2019, at 04:37:03 PM you wrote:
>
>> On Sun, 21 Apr 2019 14:27:45 +0300 Anton Farygin wrote:
>>> 21.04.2019 11:39, Alexey V. Vissarionov пишет:
>>>> On 2019-04-21 11:29:15 +0300, Sergey wrote:
>>>>
>>>>    > Добавлено: - Сервис rngd, включенный по умолчанию.
>>>>
>>>> Не надо его включать по умолчанию...
>>>>
>>>>
>>> А что надо, не расскажешь ? Интересно же.
>> Нужно не включать.
>>
>> Данный RC4, очевидно, нельзя применять на настройках по умолчанию ни
>> для каких задач, где необходима криптография, в т.ч. для
>> подписывания писем, тегов git и работы по ssh.
>>
> А не флейма ради, вот на главной странице BaseALT красуется баннер про
> какой-то сервер 8 с сертификатом ФСТЭК, что там в качестве источника
> энтропии? ) Просто интересно стало, после такого обсуждения.

Первородные Теодоровские нули и единицы, совершенно случайные, как во 
всех дистрах с ядрами до 4.11 (8СП с ядром 4.4). Мы этим нулям и 
единицам ВЕРИМ и Теодору Тцу тоже! :-)


-- 
Best regards,
Leonid Krivoshein.