Comments 22
UFO just landed and posted this here
В ядре COMPAT_ отключать не стал, так как где-то было написано, что эти опции много кода не привносят, и используются некоторыми программами. Без указания какими :)
Файловые системы — в минимальном ядре и так оставлено лишь по-минимуму — FFS, FAT, TMPFS и CD9660. Ну, можно было бы попробовать последнюю отключить, но как бы это сработало при загрузке с CD — не пробовал.
По src.conf — PAM отключилось безболезненно, насчёт INET я тоже колебался, в ранних версиях FreeBSD помнилось строгое предупреждение что отключение этой опции всё порушит. Но нет, все программы, вошедшие в комплект как минимум запускались номально, а openssl корректно работал, все функции ЦС выполнялись.
По sysctl — а что там тюнинговать? Чего-то сильно интересного не нашёл ))
tmpfs вкомпилено в минимальное ядро. А в GENERIC — нет. Поэтому модуль и грузится для него. И как раз на этапе загрузки он и нужен — когда ядро раскручивает mfs образ системы в память.
Файловые системы — в минимальном ядре и так оставлено лишь по-минимуму — FFS, FAT, TMPFS и CD9660. Ну, можно было бы попробовать последнюю отключить, но как бы это сработало при загрузке с CD — не пробовал.
По src.conf — PAM отключилось безболезненно, насчёт INET я тоже колебался, в ранних версиях FreeBSD помнилось строгое предупреждение что отключение этой опции всё порушит. Но нет, все программы, вошедшие в комплект как минимум запускались номально, а openssl корректно работал, все функции ЦС выполнялись.
По sysctl — а что там тюнинговать? Чего-то сильно интересного не нашёл ))
tmpfs вкомпилено в минимальное ядро. А в GENERIC — нет. Поэтому модуль и грузится для него. И как раз на этапе загрузки он и нужен — когда ядро раскручивает mfs образ системы в память.
UFO just landed and posted this here
За тюнинги спасибо, помедитирую.
А какие VM могут эмулировать загрузку с UEFI BIOS'ом, вы не в курсе? qemu вроде можно подсунуть такой rom, а кто ещё… А то всё доступное железо с обычным BIOS
LibreSSL имелось в виду (собственно, в OpenBSD оно и шло в комплекте), но всякие TLS улучшения не особо актуальны, а в части управления сертификатами каких-то прорывных преимуществ мне не озвучивали. Да и требования уйти с openssl не было. Работает же :)
48 Мб — это с дополнительным ядром и раздутым образом с пустым местом, а так — 7 с копейками. Да и то, можно было бы и дальше резать, но смысл… Совсем уж кастрированную систему делать не хотелось.
А вот иксы и прочее это свят-свят. Хорошо, что xca не глянулся, а то бы пришлось. Впрочем, тогда было бы проще. Взять какой-нибудь live-USB с функцией сохранения состояния системы — и всё, готово.
А какие VM могут эмулировать загрузку с UEFI BIOS'ом, вы не в курсе? qemu вроде можно подсунуть такой rom, а кто ещё… А то всё доступное железо с обычным BIOS
LibreSSL имелось в виду (собственно, в OpenBSD оно и шло в комплекте), но всякие TLS улучшения не особо актуальны, а в части управления сертификатами каких-то прорывных преимуществ мне не озвучивали. Да и требования уйти с openssl не было. Работает же :)
48 Мб — это с дополнительным ядром и раздутым образом с пустым местом, а так — 7 с копейками. Да и то, можно было бы и дальше резать, но смысл… Совсем уж кастрированную систему делать не хотелось.
А вот иксы и прочее это свят-свят. Хорошо, что xca не глянулся, а то бы пришлось. Впрочем, тогда было бы проще. Взять какой-нибудь live-USB с функцией сохранения состояния системы — и всё, готово.
Ссылочку бы на готовый образ для совсем ленивых и «обнаглевших» :)
Гм. Вряд ли кто-то рискнёт разворачивать PKI на столь недоверенном образе «из интернета»… Но вот все используемые рабочие файлы + скрипт, который отработает все этапы и сделает образы системы я запросто могу выложить. Попозже допишу в конце поста где лежит.
Да мне просто потыкать — удовлетворить праздное любопытство…
Мне ЦС пока не нужен.
Мне ЦС пока не нужен.
Пожалуйста — www.4shared.com/folder/OC4V-sNt/caBSD.html
Спасибо.
Только обменник требует регистрацию или доступ к соц.аккаунтам.
Сейчас что-нибудь «придумаю».
Только обменник требует регистрацию или доступ к соц.аккаунтам.
Сейчас что-нибудь «придумаю».
Смонтировал iso в VMplayer 6.0.1 (10). Что-то ошибки при монтировании вылезли.
При выборе первого пункта:
habrastorage.org/files/6be/647/88d/6be64788d51d4c42be040f357611d3d6.PNG
При выборе второго и третьего:
habrastorage.org/files/4f8/2d8/289/4f82d82893424eeda29270484ee861eb.PNG
Будет время поищу QEMU. Хотелось бы услышать варианты — чем могут быть вызваны ошибки.
При выборе первого пункта:
habrastorage.org/files/6be/647/88d/6be64788d51d4c42be040f357611d3d6.PNG
При выборе второго и третьего:
habrastorage.org/files/4f8/2d8/289/4f82d82893424eeda29270484ee861eb.PNG
Будет время поищу QEMU. Хотелось бы услышать варианты — чем могут быть вызваны ошибки.
А что мешало использовать виртуальную машину взамен флешки? Это сэкономило бы массу времени и сил.
Требование переносимости и возможности достаточно безопасной работы даже на чужом компьютере. Конечно, можно было бы использовать что-то вроде Portable VirtualBox, но это означало бы запуск из-под «недоверенного» windows, если на чужом компьютере (да и на своём...) + администраторские права.
И ресурсоёмкость. В качестве машины под этот походный ЦС предполагалось использовать и в том числе и нетбуки типа asus eee pc700 901, на которых разворачивать виртуальное окружение вряд ли бы получилось. Равно как и выделять отдельные компьютеры только под ЦС.
И ресурсоёмкость. В качестве машины под этот походный ЦС предполагалось использовать и в том числе и нетбуки типа asus eee pc
А чем вам mfsBSD-то не угодил? Его «исходный код», а на деле Makefile, по объему меньше этой статьи. Пересборка ядра не обязательна для использования vt (см мануал lavr'а), про world тоже не ясно зачем. Экономия пары мегабайт места на флэшках с современными объемами слегка архаична. И как будет работать после пересборки мира и ядра бинарное обновление через freebsd-update?
mfsBSD весьма хорош, и он подарил несколько идей, реализованных здесь. Но такое впечатление, что в развитии он остановился где-то на 8й версии FreeBSD. Это не плохо, но тем не менее.
Пересборка ядра и мира здесь используется как для получения системы с последними багфиксами (чего не получить, устанавливая систему из DVD1:/usr/freebsd-dist/base.txz, как это делает mfsBSD — или же всё равно накатывать freebsd-update), так и для минимизации получившегося образа, а то prunelist разросся бы до неприличных размеров :)
А бинарное обновление через freebsd-update работает отлично. Мир (в т.ч. openssl) обновляет корректно, GENERIC ядро тоже. Кастомное ядро естественно нет, но это не так уж часто бывает нужно. А апгрейдить флешку с 10й на 11ю версию FreeBSD планируется всё же путём пересборки системы.
Пересборка ядра и мира здесь используется как для получения системы с последними багфиксами (чего не получить, устанавливая систему из DVD1:/usr/freebsd-dist/base.txz, как это делает mfsBSD — или же всё равно накатывать freebsd-update), так и для минимизации получившегося образа, а то prunelist разросся бы до неприличных размеров :)
А бинарное обновление через freebsd-update работает отлично. Мир (в т.ч. openssl) обновляет корректно, GENERIC ядро тоже. Кастомное ядро естественно нет, но это не так уж часто бывает нужно. А апгрейдить флешку с 10й на 11ю версию FreeBSD планируется всё же путём пересборки системы.
По-моему пересборка системы из исходников — прошлый век даже для FreeBSD. Распакуйте base.txz, накатите UNAME_r=10.1-RELEASE freebsd-update -s <base.txz-dir> и получите обновленный дистрибутив. Сборка мира на вашей машине не гарантирует полностью идентичных файлов — думаю что freebsd-update IDS вам об этом и сообщит.
И я все же не понимаю, зачем вам кастомный конфиг ядра? FreeBSD вроде не 4.х, все делается через loader.conf
И я все же не понимаю, зачем вам кастомный конфиг ядра? FreeBSD вроде не 4.х, все делается через loader.conf
Спасибо за статью, большой труд :)
Вы упоминали флешки QUMO — как они по вашему опыту, не было проблем с надежностью?
Вы упоминали флешки QUMO — как они по вашему опыту, не было проблем с надежностью?
В результате в финал вышли два дистрибутива — Alpine Linux и OpenBSD. Всё бы хорошо, и не было бы смысла писать эту статью, как ВНЕЗАПНО уточнились требования к операционной системе — потребовалась полная поддержка русского текста в Unicode в системной консоли. [...] Однако это требование позволило иначе взглянуть на доступные дистрибутивы, и в фаворитах неожиданно оказалась FreeBSD.Скажите, почему фряхи изначально не было в претендентах? Мне кажется, что она вполне удовлетворяет исходным требованиям.
Про Alpine Linux я ничего не знаю, а вот увидеть в списке скорее нишевую OpenBSD и не увидеть более general-purpose FreeBSD было несколько странно.
Первоначальными критериями при подборе дистрибутивов были:
1. возможность минимальной инсталляции (именно инсталляции, а не live-CD)
2. не то, что бы ориентированность на безопасность, но как минимум не игнорирование её.
Поэтому изначально и вышли в лидеры те два дистрибутива, так как по п. 1 тот же Alpine Linux предполагает компактную установку, а по OpenBSD довольно много руководств (гуглится по «openbsd soekris»). И по п.2 оба они представляются как security oriented.
Массовость дистрибутива особой роли не играла, учитывая планируемую сферу применения — на тот момент я тоже про Alpine Linux ничего не знал, а FreeBSD вначале не рассматривалась, так по по предыдущему опыту использования, родным инсталлятором сделать компактную установку (сравнимую по размеру с alpine/openbsd) было нельзя, а picobsd и nanobsd уже тогда не впечатляли.
1. возможность минимальной инсталляции (именно инсталляции, а не live-CD)
2. не то, что бы ориентированность на безопасность, но как минимум не игнорирование её.
Поэтому изначально и вышли в лидеры те два дистрибутива, так как по п. 1 тот же Alpine Linux предполагает компактную установку, а по OpenBSD довольно много руководств (гуглится по «openbsd soekris»). И по п.2 оба они представляются как security oriented.
Массовость дистрибутива особой роли не играла, учитывая планируемую сферу применения — на тот момент я тоже про Alpine Linux ничего не знал, а FreeBSD вначале не рассматривалась, так по по предыдущему опыту использования, родным инсталлятором сделать компактную установку (сравнимую по размеру с alpine/openbsd) было нельзя, а picobsd и nanobsd уже тогда не впечатляли.
Sign up to leave a comment.
Компактная инсталляция FreeBSD 10 для центра сертификации