From mboxrd@z Thu Jan  1 00:00:00 1970
Return-Path: <asheplyakov@basealt.ru>
X-Spam-Checker-Version: SpamAssassin 3.4.1 (2015-04-28) on
 sa.local.altlinux.org
X-Spam-Level: 
X-Spam-Status: No, score=-4.3 required=5.0 tests=ALL_TRUSTED,BAYES_00,
 RP_MATCHES_RCVD autolearn=unavailable autolearn_force=no version=3.4.1
To: devel@lists.altlinux.org
References: <20210416133032.GA30219@imap.altlinux.org>
 <2ac98cff-3728-8c79-b3ed-d14747f6a5aa@basealt.ru>
 <20210418102023.1415c29b@homerun.localdomain>
 <0a314ad36a1c6c091c6caef6e323370d@altlinux.ru>
 <20210427083233.5934e62a@homerun.localdomain> <m3o8e0rtj6.fsf@altlinux.ru>
 <20210427133633.601d0fa7@boyarsh.office.basealt.ru>
From: Alexey Sheplyakov <asheplyakov@basealt.ru>
Message-ID: <d09217ee-6b5f-4980-6c26-8e6043a87dca@basealt.ru>
Date: Thu, 29 Apr 2021 13:13:19 +0400
User-Agent: Mozilla/5.0 (X11; Linux x86_64; rv:78.0) Gecko/20100101
 Thunderbird/78.7.1
MIME-Version: 1.0
In-Reply-To: <20210427133633.601d0fa7@boyarsh.office.basealt.ru>
Content-Type: text/plain; charset=koi8-r
Content-Language: en-US
Content-Transfer-Encoding: 8bit
Subject: Re: [devel] =?utf-8?b?0L/QvtGA0YPQsdC60LAgZmlybXdhcmUtbGludXg=?=
X-BeenThere: devel@lists.altlinux.org
X-Mailman-Version: 2.1.12
Precedence: list
Reply-To: ALT Linux Team development discussions <devel@lists.altlinux.org>
List-Id: ALT Linux Team development discussions <devel.lists.altlinux.org>
List-Unsubscribe: <https://lists.altlinux.org/mailman/options/devel>,
 <mailto:devel-request@lists.altlinux.org?subject=unsubscribe>
List-Archive: <http://lists.altlinux.org/pipermail/devel>
List-Post: <mailto:devel@lists.altlinux.org>
List-Help: <mailto:devel-request@lists.altlinux.org?subject=help>
List-Subscribe: <https://lists.altlinux.org/mailman/listinfo/devel>,
 <mailto:devel-request@lists.altlinux.org?subject=subscribe>
X-List-Received-Date: Thu, 29 Apr 2021 09:13:23 -0000
Archived-At: <http://lore.altlinux.org/devel/d09217ee-6b5f-4980-6c26-8e6043a87dca@basealt.ru/>
List-Archive: <http://lore.altlinux.org/devel/>
List-Post: <mailto:devel@altlinux.org>

Добрый день!

On 27.04.2021 14:36, Anton V. Boyarshinov wrote:
> 
>>  >> И всё-таки, почему бы не пожать модули ядра и firmware? В zstd.
>>  >> 
>>  >> И хорошо бы при этом перейти на zstd для сжатия initrd.
>>  >> 
>>  >> https://www.phoronix.com/scan.php?page=news_item&px=Zstd-V8-For-Linux-Kernel-Comp
>>  >>   
>>
>>  > Потому что не будет работать подписывание модулей ядра для целостности.  
>>
>> Будет, если не жать врукопашную, как это было у нас, а использовать
>> инфраструктуру сборки ядра.
> 
> Денис, если я правильно понимаю, имеет в виду другое подписывание:
> IMA/EVM

Не очень понятно, почему ради какой-то сомнительной ерунды, которую используют
0 человек, нужно отключать что-то полезное и нужное (например сжатые модули)?

Может, лучше собрать отдельное ядро с этими SELinux, IMA, и прочими НЕНУЖНО,
и не мучить нормальных людей?

https://www.altlinux.org/IMA_EVM

> Запустить инициализацию системы контроля целостности:
> /usr/bin/integrity-applier
> Необходимо дождаться завершения работы команды (система будет перезагружена четыре раза)
> Выполнение этой команды может занять довольно продолжительное время (подписываются все файлы системы).

За это время можно не только напиться и протрезветь, но и состариться.