Gentoo compromesso su GitHub

Gentoo, fino a qualche anno fa, era una delle distribuzioni più calde nel panorama Linux. La sua natura estremamente didattica data anche dalla community, insieme alla sua malleabilità e possibilità data dal fatto che, fondamentalmente, si compila tutto il software installato con opzioni che ci si può ritagliare sul proprio hardware, ne è un punto di forza che, negli anni, si è andato un pochino a perdere per via dell’uso meno “approfondito” che molti utenti richiedono.

Il funzionamento di Gentoo si basa su Portage, un sistema ispirato ai Port di FreeBSD che tiene conto delle dipendenze e delle informazioni relative ai sorgenti, così da poter compilare ed installare il software correttamente.

Questo Portage si appoggia, come i vari apt o yum, a repository pubblici che però, a differenza dei sistemi basati su binari che contengono anche i pacchetti che vengono installati sul sistema, contengono le istruzioni su dove scaricare i sorgenti e come compilarli ed installarli sul sistema.

Qualche giorno fa, il 28 del mese scorso, pare che uno di questi repository pubblici, e per l’esattezza quello mantenuto su GitHub, i pacchetti siano stati modificati, rendendo non più affidabile quanto presente su quel mirror.

Unknown individuals have gained control of the Github Gentoo organization, and modified the content of repositories as well as pages there. We are still working to determine the exact extent and to regain control of the organization and its repositories. All Gentoo code hosted on GitHub should for the moment be considered compromised.

Individui sconosciuti hanno preso il controllo dell’organizzazione Gentoo su GitHub, e modificato il contenuto del repository così come alcune pagine qui. Stiamo lavorando per determinare l’estensione esatta e riprendere il controllo dell’organizzazione e dei suoi repository. Tutto il codice Gentoo disponibile su GitHub dovrebbe al momento essere considerato compromesso.

Fortunatamente si tratta solo di un mirror, e nel caso utilizziate i repository principali (disponibili su gentoo.org) non avete subito alcun danno. Inoltre, al momento il mirror rimane comunque spento, quindi anche per sbaglio non potrete più utilizzarlo.

La community sta lavorando costantemente per chiudere il discorso al più presto e per assicurarsi che la cosa non accada più, nel frattempo potete seguire le evoluzioni dei lavori sulla pagina dedicata messa a disposizione.

Utente Linux/Unix da più di 20 anni, cerco sempre di condividere il mio know-how; occasionalmente, litigo con lo sviluppatore di Postfix e risolvo piccoli bug in GNOME. Adoro tutto ciò che può essere automatizzato e reso dinamico, l’HA e l’universo container. Autore dal 2011, provo a condividere quei piccoli tips&tricks che migliorano il lavoro e la giornata.

10 risposte a “Gentoo compromesso su GitHub”

  1. Avatar sabayonino
    sabayonino

    I repository Gentoo , oltre quelli ufficiali ospitati nella struttura Gentoo Org sono sparpagliati sui vari mirrors sparsi per il pianeta e , principalmente, sono aggiornabili via rsync

    Per il repository GIT Hub compromesso , queste sono le ultime news disponibili (in buona parte il problema è stato risoltoin pochissimo tempo)
    https://infra-status.gentoo.org/notice/20180629-github

    https://gentoo.org/news/2018/06/28/Github-gentoo-org-hacked.html

  2. Avatar Kernelio Linusso
    Kernelio Linusso

    Ho adorato questa distro, è stata una palestra incredibile.
    Penalizzata (purtroppo devo dire giustamente) non tanto per la complessità di manutenzione e gestione, quanto per i tempi eterni di compilazione (ad esempio un upgrade dell’intera suite KDE può richiedere anche decine di ore su macchine poco preformanti) che fanno preferire distro come Arch altrettanto flessibili ma senza la penalizzazione della compilazione dei pacchetti

  3. Avatar Kim ALLAMANDOLA

    La forza di Gentoo non era nel desktop, ovvero nella compilazione locale, ma nella possibilità di “deployare la TUA distro” come ti serviva con una flessibilità incomparabile. In questo scenario la compilazione la facevi su macchine dedicate e le altre si limitavano ad emergere i binari pronti del tuo “overlay/repo/mirror” privato… Su desktop era giusto per l’appassionato curioso o chi voleva “spremere” ogni flops dalla CPU 🙂

  4. Avatar Kim ALLAMANDOLA

    Sarebbe bello un articolo su Nix, in particolare sul progetto in corso da un po’ (usabile ma mortalmente lento e scomodo e tutt’ora in divenire) di distribuire NixOS (source e cache binarie) via IPFS.

    La parte interessante è sia il fatto di NON dipendere da un server di qualcuno ma da ogni utente “volenteroso” di un dato progetto, ovvero una sicurezza che sino a quando il progetto è attivo si potrà usare senza dipendere da chi può permettersi di ospitare codice e binari (che magari è parte attiva del progetto ma è sempre una frazione della community) sia sul piano della sicurezza delle source e dei binari: abbiamo già diffusa una certa “chain of trust” sui generis con i commit hashati di alcuni dCVS (git per dirne uno famoso), coi build hashati, coi pkg firmati ecc ma non abbiamo ancora su nessuna distro o OS mainstream al mondo una soluzione completa dallo sviluppatore all’utente finale.

    NixOS su IPFS è il solo tentativo “completo” che conosco 🙂

  5. Avatar Ivan Guerreschi
    Ivan Guerreschi

    +1 sugli articoli su Nix sarebbe un modo per farlo conoscere a molte più persone. Io adesso sto sperimentando NixOS che è più stabile di GuixSD in questo momento, l’unica cosa è la sintassi del suo DSL che non mi piace rispetto a scheme ma per il resto è tutto ottimo, come è davvero bello tutto l’ecosistema da NixOPS, Hydra e la stessa idea di utilizare IPFS per distribuire NixOS

  6. Avatar Ivan Guerreschi
    Ivan Guerreschi

    Io con Gentoo mi sono divertito molto ma come giustamente dici per il desktop è solo per l’appasionato o il curioso perchè puo diventare una trappola 🙂 bello i primi mesi ma poi perdi interesse, sicuramente il suo uso è in ambiti dove ci sono molti pc con le stesse richieste software dove si ha un reale vantaggio nel configurare ogni opzione

  7. Avatar Kim ALLAMANDOLA

    Io smisi quando cominciai ad aver problemi di emerge a causa di un make.conf non più gestibile, il suo punto forte però è proprio questo: troppo complicato nel desktop ma perfetto lato server dove alla fine hai pochi ebuild ma molto, molyto, molto “personalizzati”. Con emerge un tempo potevi di fatto fare la “tua” distro facilmente, tirare su una piccola build-farm senza dover metter su una valanga di servizi e distribuire il tuo overlay senza fatica.

    Qualcosa che solo NixOS/GuixSD ti danno oggi e pur superiori a Gentoo per molti aspetti, primo tra tutti replicabilità, resilienza (ogni aggiornamento/pkg è isolato nel nix/guix store) e flessibilità (n configurazioni solo con manciate di symlink) mancano della naturale flessibilità di Gentoo: sono source based, a differenza di Gentoo con cache binarie sempre presenti e aggiornate, ma cambiare qualcosa richiede la scrittura di una derivation (file di testo) che può anche risultare farraginosa e complessa, mentre con make.conf era un attimo…

  8. Avatar Kim ALLAMANDOLA

    E mi permetto di aggiungere homeManager che è fantastico per gestire il proprio desktop integrando pure gconf/dconf&c, anni luce avanti a GNU Stow e simili!

  9. Avatar Ivan Guerreschi
    Ivan Guerreschi

    Interessante homeManager, da quello che ho capito ti permette di configurare il tuo user environment di programmi con la loro configurazione e servizi con un file .nix, mi viene in mente per similitudine req-package per Emacs

  10. Avatar Kim ALLAMANDOLA

    Volendo si, essenzialmente completa /etc/nixos, questa è per configurare il sistema ovvero cose globali, homeManager per configurazioni “private” del singolo utente. Ad es. nulla vieta di preconfigurare a livello di sistema delle reti wifi con relativa chiave in NetworkManager, ma puoi anche avere un sistema con più utenti e reti o vpn diverse quindi può esser opportuno avere anche reti configurate per il solo utente (si, Nix gestisce anche la configurazione di nm), puoi avere delle impostazioni dconf/gconf personali (es. un tema GTk) specifiche dell’utente ecc la parte “software packages” deriva dal fatto che nix permette di installare software nella home senza privilegi di root quindi se un utente ha bisogno di software non fornito dal sistema può aggiungerlo senza dover esser amministratore.

    Diciamo che alla fine tutti prima o poi sentiamo il bisogno di automatizzare, c’è chi crea collezioni di script (il sottoscritto, tanto tempo fa ad es.) chi li evolve in veri e propri software ben fatti (es. github. com/justbuchanan/dotfiles) e alla fine troviamo alcuni che c’han lavorato più e meglio di noi e han partorito una soluzione generica&comoda… Il bello di homeManager è che con NixOS completa lo stack: un unico linguaggio, un piccolo set di comandi e gestisci in codice abbastanza semplice (si il DSL nix non è proprio il mio preferito…) l’intera distro, sotto ogni aspetto. Mettici NixOps e hai praticamente un’infrastruttura completa IaC e “immutabile”, senza VM o mostri giganti (Puppet, Cacti, Chef) o comunque complicati e limitati come Salt o Ansible.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *