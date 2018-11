Jiří Eischmann: Silverblue: neměnný OS v linuxovém desktopu

Silverblue je pokus udělat neměnný linuxový desktopový systém. Neměnný znamená, že systémové části nejsou standardně zapisovatelné. Tradiční přístup nabízejí balíčkovací systémy, které umožňují poskládat systém tak, že jde vlastně o unikátní kolekci balíčků. Výchozí instalace je určitá podmnožina balíčků, ale distribuci definují balíčky v repozitářích.

Dvacet let se pracovalo na tom, aby integrita balíčkovacích systémů byla co nejlepší, ale stále to má své limity. Především co se týče předvídatelnosti, replikovatelnosti a stability. Například při testování aktualizace se zkouší jen výchozí instalace, kterou ale v praxi nikdo v produkci nepoužívá. Každý uživatel si vytvoří unikátní set balíčků v nekonečných kombinacích, který ale nikdo nedokáže otestovat. Pokud se vývojáři chtějí posunout na stoprocentní úspěšnost aktualizace systému, je potřeba se od tradiční metody odklonit.

Silverblue je vlastně varianta Fedora Workstation s neměnným systémem založeným na OSTree. Historie projektu se píše od roku 2016, kdy se Fedora Atomic Hosts stala oficiální edicí Fedory. Na jeho základě vznikl desktopový systém Fedora Atomic Workstation, ale pořád to bylo vše schované někde na wiki. V roce 2018 pak vznikl projekt Silverblue, který už má své logo, pracovní skupinu, plánování a podobně. Postupně se to dostalo na cestu, která by během několika vydání mohla vést k variantě, která bude navrhována uživatelům. Cesta k tomu je ale ještě dlouhá.

Základem Silverblue je OSTree, který se nově jmenuje libostree. Ve zkratce jde o git pro operační systém. Představte si, že celý systém máte v gitu a můžete si ho celý verzovat. Výhodou je, že můžete mít různé větve a provádět atomické aktualizace mezi vydáními. Můžeme pak dělat třeba i denní aktualizace. Pokud proběhne nějaká změna, rozbalí se do stromu nové balíčky a proběhne commit do repozitáře. Uživatel pak má jasný přehled o tom, jak se systém mění a může si snadno pořídit jinou verzi.

To umožňuje transakční aktualizace, takže je možné se velmi jednoduše vrátit k předchozímu stavu, pokud něco nefunguje. To není s balíčkovacími systémy jednoduše možné, pokud neverzujete na úrovni souborového systému. Z uživatelského hlediska příliš mnoho rozdílů není, prostě se stáhne aktualizace a po restartu je k dispozici novější verze. Přesouvání mezi různými větvemi je neskutečně jednoduché, s dobrým připojením je to otázka minut. Toho s balíčkovacím systémem jen tak nedosáhnete.



Autor: Dáša Sukopová Jiří Eischmann, OpenAlt 2018

Součástí Fedory je také rpm-ostree , což je systém řešící doplnění základního systému o vlastní balíčky. Vy si vlastně ‚patchnete‘ základní systém a s dalším vydáním se systém snaží vaše změny opět doplnit. To funguje jen při malém množství balíčků, pokud je jich více, může se něco snadno rozbít. Pokud chcete doplnit do systému vlastní software, je lepší to udělat v odděleném prostředí například pomocí Flatpaku. V balíčkovacím systému není možné oddělit uživatelské a systémové balíčky. Navíc část uživatelů chce mít ‚dvourychlostní‘ systém: základ stabilní a aplikace vždy nejnovější.

Flatpak je distribučně nezávislý formát pro distribuci aplikací na Linuxu, aplikace běží v kontejnerech a mají k dispozici běhová prostředí nezávislá na distribuci. Připravuje se sestavování flatpaků z RPM balíčků, aby aplikace mohly běžet v Silverblue. Umožňuje to divoce měnit různé verze software v různých verzích systému a aplikace si toho prakticky nevšimnou. V základu Silverblue je v tuto chvíli jen velmi málo aplikací, zbytek je potřeba si nějakým způsobem doinstalovat bokem.

Novinkou je Fedora Toolbox, který by měl nabídnout vývojářům flexibilitu standardní linuxové distribuce v neměnném systému. Není to vlastně nic jiného než další kontejner, který zjednoduší vývojářům život. Jde o velmi jednoduchý nástroj postavený nad nástroji Podman a Buildah. Výhodou je, že si můžete velmi snadno vytvořit třeba deset úplně odlišných prostředí, která si můžete různě rozbít a neovlivní to zbytek systému. Nástroj byl uveden před dvěma týdny, takže zatím je jeho funkcionalita velmi jednoduchá – lze vytvořit nový „box“ a vstoupit do něj. Zatím to podporuje jen Fedoru, ale v budoucnu si tam budete moci přidat jakoukoliv distribuci.

Vladimír Smitka: Co ukázal globální sken přístupných .git adresářů

Když nasadíte nový web na svůj server, často se přehlíží to, že se na web server dostane také adresář .git . Většinou se to přehlédne, protože cesta do tohoto adresáře vrátí kód 403. To je ale jen proto, že chybí index.html. Pokud se ale zeptáte na konkrétní soubory, dostanete je. Tím se často velmi zjednodušuje život útočníkům, protože je možné se o vnitřnostech webu dozvědět mnoho podrobností.