Z brzytwą na repozytoria
Koncepcja linuksowych repozytoriów z oprogramowaniem przetrwała próbę czasu i z biegiem lat weszła na wyposażenie wszystkich systemów operacyjnych w których możemy decydować o posiadanym oprogramowaniu. Repozytoria (zwane sklepami) spotkamy dziś w Androidzie, iOS, OS X a nawet i w Windowsie. Podczas gdy użytkownicy wiodącego systemu czekali na proste i automatyczne instalowanie programów (a nie ręczne wydłubywanie ich z internetu), całe pokolenia użytkowników Linuksa przez dziesięciolecia walczyły o zgrabne, funkcjonalne oraz graficzne menadżery pakietów. Gdy w zasadzie już każda dystrybucja posiada takie narzędzia w zestawie, okazało się nagle, że… Tak naprawdę wielu osobom szkoda czasu na „klikalne” instalowanie lub usuwanie pakietów z systemu. Trend powrótu do korzeni i obsługa oprogramowania z poziomu terminala nie jest jakimś wyzwaniem, gdy dysponuje się poręczną ściągą z parametrami.
Obraz sielankowego instalowania programu za pomocą pojedynczego polecenia zakłóca jeden niuans – mianowicie mnogość menadżerów pakietów w dystrybucjach. Gdy jednak przyjrzeć się temu problemowi z bliska, okaże się, że tak naprawdę w świecie linuksowym funkcjonuje pięć – sześć podstawowym menadżerów paczek w ramach mainstreamowych dystrybucji. Wszystkie pozostałe systemy budowane z wykorzystaniem któregoś z liderów dziedziczą bowiem również system paczek. Zatem, wystarczy sprawnie poruszać się w realiach Debiana, Fedory, openSUSE, Arch Linuksa i dzięki tej wiedzy nie straszne nam będzie 90% obecnych na rynku dystrybucji.
Zasadniczo menadżery paczek (i same paczki) możemy podzielić na:
- Paczki deb – obsługiwane przez dpkg, apt. System paczek wywodzący się z Debiana, spotykany w dystrybucjach Ubuntu, Mint i pochodnych,
- Paczki rpm – obsługiwane przez rpm, dnf/yum (Fedora, CentOS, ReDHat), zypper (openSUSE) i pochodne,
- Paczki tar.xz – obsługiwane przez pacman, yaourt, przynależne dystrybucji Arch Linux i Manjaro, Antergos i pochodne.
Żeby było ciekawiej, system obsługujący np. paczki rpm niekoniecznie obsłuży paczki rpm z innej dystrybucji – oczywiście w przypadku, gdybyśmy próbowali taką paczkę na siłę i ręcznie wmontować w nasz system (np. rpm z RedHata w openSUSE). Jeżeli trzymamy się repozytoriów i zależności rozwiązywanych automatycznie przez menadżer pakietów możemy spać spokojnie (tzn. nic z Ubuntu nie trafi do naszego Debiana i tak dalej).
Zatem, jak poradzić sobie z podstawami takimi jak instalacja, wyszukiwanie, aktualizacja? Wystarczy wykuć na blachę poniższe tabele. Z racji ich skromnej przestrzeni pomijam obsługę paczek w Slackware i Gentoo, które to jednak są na tyle specjalistycznymi dystrybucjami, że żadnego z ich użytkowników raczej niczego nowego nie nauczę.
UWAGA – niskopoziomowe operacje na bazie paczek i samych paczkach (rpm, dpkg) wymagają konsultacji z bardziej fachowymi poradnikami, gdyż nieodpowiednio użyte mogą doprowadzić do niemocy systemu i stanów lękowych u użytkownika. Użytkowniku, pamiętaj – nic na siłę dopóki działa automatyka (apt, zypper, dnf, pacman).
Zarządzanie paczkami
Zadanie | apt (deb) | dnf (rpm) | zypper (rpm) | pacman (tar.xz) |
---|---|---|---|---|
Instalowanie | apt-get install nazwa | dnf install nazwa | zypper install nazwa | pacman -S nazwa |
Aktualizacja | apt-get install nazwa | dnf install nazwa | zypper update -t package nazwa | pacman -S nazwa |
Usuwanie | apt-get remove nazwa | dnf remove nazwa | zypper remove nazwa | pacman -R nazwa |
Lokalnie | dpkg -i plik | dnf install plik | zypper install plik | pacman -U plik |
Wyszukiwanie pakietów
Zadanie | apt (deb) | dnf (rpm) | zypper (rpm) | pacman (tar.xz) |
---|---|---|---|---|
Wg nazwy | apt-cache search nazwa | dnf search nazwa | zypper search nazwa | pacman -Ss nazwa |
Wg wzoru | apt-cache search wzór | dnf search wzór | zypper search -t pattern wzór | pacman -Ss wzór |
Wg nazwy pliku | apt-file search ścieżka | dnf provides plik | zypper wp plik | pkgfile plik |
Zainstalowane | dpkg -l | dnf list installed | zypper search -is | pacman -Q |
Informacje | apt-cache show nazwa | dnf info nazwa | zypper info nazwa | pacman -[Q|S]i nazwa |
Aktualizowanie systemu
Zadanie | apt (deb) | dnf (rpm) | zypper (rpm) | pacman (tar.xz) |
---|---|---|---|---|
Lista pakietów | apt-get update | dnf clean expire-cache && dnf check-update | zypper refresh | pacman -Sy |
System | apt-get upgrade | dnf upgrade | zypper update | pacman -Suy |
Zarządzanie repozytoriami
Zadanie | apt (deb) | dnf (rpm) | zypper (rpm) | pacman (tar.xz) |
---|---|---|---|---|
Lista | cat /etc/apt/sources.list | dnf repolist | zypper repos | cat /etc/pacman.conf |
Dodawanie | edytuj /etc/apt/sources.list | dodaj do /etc/yum.repos.d/ | zypper addrepo URI name | edytuj /etc/pacman.conf |
Usuwanie | edytuj /etc/apt/sources.list | usuń z /etc/yum.repos.d/ | zypper removerepo name | edytuj /etc/pacman.conf |
Bardzo Przydatny Artykuł w 100 % ! 🙂
Ja paczki w Fedorze aktualizuje zawsze poleceniem dnf update nazwa (dawniej yum update nazwa) a nie jak napisałeś dnf install nazwa, aktualizację całego systemu robię dnf update (dawniej yum update). Być może tak jak napisałeś (z install) też jest to możliwe.
> Repozytoria (zwane sklepami) spotkamy dziś w Androidzie, iOS, OS X a nawet i w Windowsie.
No jasne, że spotkamy, bo to świetna kontrola nad tym, co użytkownicy mogą, a czego im nie wolno używać. Jak ktoś jest “niekoszerny” to go wywalimy ze sklepu i luzik. A do tego jeszcze możemy zarobić za stawianie kogoś do sklepu, miodzik. Korpo są zadowolone.
ja też jestem zadowolony,a uzywam Linuxa.Repo oznacza tu kontrolę,ale w pozytywnym znaczeniu.Dlatego nie ma wirusów i podejrzanego oprogramowanie,w oficjalnych repo.
Google-tak,wzieli jądro,zamknęli,zrobili swój sklep-bez jakielkolwiek kontroli ze strony społeczności.Efekt-najbardziej zawirusowany system na świecie-to jest właśnie przykład korporacji,która jest zadowolona.
A debian ze swoimi repo ma się świetnie.
Fedora się wyrobiła 🙂 fajnie to wszystko zaczęło chodzić, z Gnome włacznie.
Na lenovo thinkpad t450s działa jakby była specjalnie pod lapka robiona. Trzeba tylko samemu TLP doinstlować, by nie żarło tak baterii i jest bajka
Pacman taki piękny 😀
dnf list installed !?? wystarczy rpm -qa?
dodatkowo przy aktualizacji wystarczy yum update && yum upgrade
teraz wiem czemu miałem takie problemy po przesiadce z OpenSUSE (zypper) na Debiana (apt)
W debianie wciąż używa się apt-get i apt-cache choć ostatnio coraz częściej wykorzystuje się polecenie apt
Usage: apt command [options]
apt help command [options]
Commands:
autoclean – Erase old downloaded archive files
autoremove – Remove automatically all unused packages
build – Build binary or source packages from sources
build-dep – Configure build-dependencies for source packages
changelog – View a package’s changelog
check – Verify that there are no broken dependencies
clean – Erase downloaded archive files
contains – List packages containing a file
content – List files contained in a package
deb – Install a .deb package
depends – Show raw dependency information for a package
dist-upgrade – Perform an upgrade, possibly installing and removing packages
download – Download the .deb file for a package
dselect-upgrade – Follow dselect selections
held – List all held packages
help – Show help for a command
hold – Hold a package
install – Install/upgrade packages
policy – Show policy settings
purge – Remove packages and their configuration files
recommends – List missing recommended packages for a particular package
rdepends – Show reverse dependency information for a package
reinstall – Download and (possibly) reinstall a currently installed package
remove – Remove packages
search – Search for a package by name and/or expression
show – Display detailed information about a package
source – Download source archives
sources – Edit /etc/apt/sources.list with nano
unhold – Unhold a package
update – Download lists of new/upgradable packages
upgrade – Perform a safe upgrade
version – Show the installed version of a package
This apt has Super Cow Powers
Ma się świetnie, do momentu, jak okazuje się, że grupka developerów nie nadąża za aktualizowaniem repo i programów albo nie ma w nim wcale albo są w wersjach przestarzałych. Wtedy trzeba korzystać z zewnętrznych repo (o ile są, co nie jest takie oczywiste) i narażać się na duuuuuuuuuuuużo większe niebezpieczeństwo niż pobranie instalatora EXE ze strony producenta.
Pomysł na paczki w repo to socjalistyczny pomysł na ujednolicenie tego, co ludzie używają i na zabicie małych, niepopularnych a może ciekawych projektów. To coś jak próg wyborczy… Za małyś, spadaj. Nawet jak ciekawie mówisz.
Coś Ci sie pomyliło,z całym szacunkiem,ale repozytoria Linuxa inaczej działają,niż windowy czy japkowy,nie mówiąc już o androidowym sklepie.
jeśli już to nie exe (bo to na winde),tylko deb,rpm itp,a po drugie ta ,jak to nazwałeś “grupka developerów nie nadąża za aktualizowaniem repo i programów albo nie ma w nim wcale albo są w wersjach przestarzałych”-sprawuje się na tyle dobrze,że Linux jest obecny na ponad 90% serwerów,zresztą w liscie 500 najwydajniejszych komputerów na świecie chyba są ze dwa czy trzy na windowsie.
Desktop?Ok,ale,jak pamietasz,nawet jeśli program w repo jest “przestarzały”,to i tak dalej spełnia swoją funkcję,tu nie ma potrzeby łatania go z powodu “dziur bezpieczeństwa”
Co do kororacyjnego wątku Twojej wypowiedzi (Pomysł na paczki w repo to socjalistyczny pomysł…),dowodzi on nieznajomości przez Ciebie podstawowych zasad,jakimi sie kierowali twórcy repo,i nosi znamiona trollowania,więc pominę go w komentarzu,aby nie uwłaczać własnemu intelektowi.
a urpmi?
Wiedziałem, że ktoś w końcu zauważy brak urpmi 🙂 Oficjalnie – brak miejsca w tabelce, ale postaram się to naprawić.
> nawet jeśli program w repo jest “przestarzały”,to i tak dalej spełnia swoją funkcję
No właśnie nie bardzo spełnia. Nieraz szukałem różnych rzeczy i przestarzałość z repo mnie dobijała.
Poza tym, omijasz starannie wątek rzeczy niszowych. Jak moja firma sprzedaje urządzenia specjalistyczne, to sobie dam płytkę (albo ostatnio coraz częściej linka) do softu pod Windowsa i mam z głowy. A przekonać Jaśnie Developerów Kilku Popularnych Distro (trochę sprawę ułatwił Mark i to, że teraz w zasadzie poza Ubuntu chyba linuksowy desktop nie istnieje, więc jest prościej, bo można metody ala windows stosować bardziej), żeby wrzucili (i aktualizowali) program używany przez 10 osób w Polsce to już raczej utopia.
> dowodzi on nieznajomości przez Ciebie podstawowych zasad,jakimi sie kierowali twórcy repo
tak, wiem, kierowali się tym, żeby nie obciążać łącz w latach 90 i żeby rozczłonkować paczki na drobiazgi. Ale teraz ludzie mają łącza takie, że naprawdę nawet 1GiB by nie zaszkodził.
tak, wiem, kierowali się jakością i starannością (a tak naprawdę chcieli mieć po prostu władzę i wszystko ułożyć po swojemu, najlepiej nieco inaczej niż inne distro, żeby pokazać, że moje jest mojsze i fajniejsze).
od 2000 roku używam Lajnyksów, od 2003 wyłącznie tego używam na osobistych maszynach i naprawdę wiem, jakim koszmarem są repozytoria, rozczłonkowanie paczek i jak chory to był pomysł.
Chyba jednak nie masz zielonego pojęcia o czym mówisz. Repozytoria nie są jedynym sposobem dystrybucji oprogramowania – jak masz firmę, która robi oprogramowanie dla 10 osób na świecie, to możesz:
a) stworzyć własne repozytorium, np jako PPA w Ubuntu
b) stworzyć paczkę deb/rpm/cokolwiek, która zainstaluje się jak windowsowy exe
c) udostępnić skompilowaną wersję, nawet ze wszystkimi bibliotekami, jako spakowane archiwum – niech sobie user sam instaluje (chyba że zadziała jako portable)
d) udostępnić źródła i niech user sobie sam kompiluje.
Sam korzystam z 2-3 większych programów spoza repozytorium, kilku z zewnętrznych repozytoriów bezpośrednio od producentów (gdzie teoretycznie może być wszystko i nie wiem co instaluję, a twórcy dystrybucji nie mają nic do gadania co tam trafi), i nie widzę tu żadnych problemów, bo większość rozwiązały repozytoria.
A co do podziału na paczki – polecam sytuację gdy masz 10 programów, które korzystają z tej samej biblioteki, w której nagle znajduje się poważną lukę bezpieczeństwa. Na Linuksie z paczkami i repozytoriami instalujesz jedna aktualizację i wszystkie 10 programów jest bezpiecznych. Na Windowsie czekasz aż twórcy 10 programów wydadzą kolejną wersję z nową, bezpieczną, wersją biblioteki i instalujesz wszystkie po kolei.
Polecam też poluzowanie aluminiowej czapeczki, bo wyskakiwanie tutaj z socjalizmem i władzą może świadczyć o poważnym niedotlenieniu mózgu. 😀
> Repozytoria nie są jedynym sposobem dystrybucji oprogramowania
To zależy, bo np. na androida już tak.
> a) stworzyć własne repozytorium, np jako PPA w Ubuntu
i pod każdy system osobno? Poza tym, takie coś jest bardzo niebezpieczne dla usera. Wolałbym jako user pobierać EXE ze strony producenta niż dodawać jego PPA.
> b) stworzyć paczkę deb/rpm/cokolwiek, która zainstaluje się jak windowsowy exe
Niestety przez koszmar paczek i zależności tak nie jest. Właśnie walczę z instalacją Greenfoot 3.0 pod Xubuntu i porażka. W końcu deb się zainstalował, ale i tak się nie odpala, bo nie widzi jawy…
> c) udostępnić skompilowaną wersję, nawet ze wszystkimi bibliotekami,
jako spakowane archiwum – niech sobie user sam instaluje (chyba że zadziała jako portable)
To też niestety nie jest takie proste, choć owszem, ta metoda jest najskuteczniejsza. Sęk w tym, że niestety mało kto ją stosuje i w efekcie user pozostaje na lodzie.
> A co do podziału na paczki – polecam sytuację gdy masz 10 programów,
które korzystają z tej samej biblioteki, w której nagle znajduje się
poważną lukę bezpieczeństwa. Na Linuksie z paczkami i repozytoriami
instalujesz jedna aktualizację i wszystkie 10 programów jest
bezpiecznych.
wiem, taka jest teoria. W praktyce biblioteki ze sobą konfliktują i dwa programy potrafią nie pójść na jednym sprzęcie. Albo aktualizacja takiej biblioteki rozwala ci system, a miałeś w dupie bezpieczenstwo, bo to np. offlinowa maszynka do sterowania mieszalnikiem farb.
> Na Windowsie czekasz aż twórcy 10 programów wydadzą kolejną wersję z
nową, bezpieczną, wersją biblioteki i instalujesz wszystkie po kolei.
Nieprawda. Windows posiada bardzo ciekawe mechanizmy współdzielenia bibliotek DLL. Tyle, że faktycznie wygodniej dla usera jest mieć niezależny program niż współdzielący biblioteki. Więc to nie tyle kwestia Windows/Linux, bo obydwa mają mechanizmy podobne w tym zakresie, co kwestia mentalności twórców systemu i oprogramowania.
> To zależy, bo np. na androida już tak.
Nie. Na adroida też możesz instalować paczki skądkolwiek (nawiasem mówiąc – najczęstsza przyczyna zainfekowania telefonu) albo zainstalować alternatywny sklep z oprogramowaniem. Tylko to jest niewygodne i potencjalnie niebezpieczne, ale technologiczni antysocjaliści nie muszą wcale korzystać z jednego słusznego repozytorium na adroidzie. Ba, mogą sobie nawet skompilować własnego adroida, który nie będzie miał żadnego sklepu z softem.
> i pod każdy system osobno? Poza tym, takie coś jest bardzo niebezpieczne
> dla usera. Wolałbym jako user pobierać EXE ze strony producenta niż
> dodawać jego PPA.
To bardzo głupio byś wolał. Korzystanie z zaufanego repozytorium jest dużo bezpieczniejsze niż korzystanie z zaufanej strony i pobieranie z niej binarek. Nie mówiąc o wygodzie.
Co do reszty komentarza – ja ci tylko pokazałem że nikt nie jest skazany na dystrybucję swojego softu przez oficjalne repozytoria. To że firma nie potrafi zrobić paczki deb, albo że user z kilkunastoletnim stażem nie jest w stanie odpalić multiplatformowego programu w Javie, to jest inna kwestia. Ale to dzięki repozytoriom i podziałom na paczki Linuksy są bezpieczniejsze oraz wygodniejsze w użytkowaniu i utrzymaniu.
>To bardzo głupio byś wolał. Korzystanie z zaufanego repozytorium jest
dużo bezpieczniejsze niż korzystanie z zaufanej strony i pobieranie z
niej binarek. Nie mówiąc o wygodzie.
A skąd wiesz, że ono zaufane? Że za chwilę komuś coś nie odbije albo ktoś im się nie włamie do repo?
>Ale to dzięki repozytoriom i podziałom na paczki Linuksy są bezpieczniejsze oraz wygodniejsze w użytkowaniu i utrzymaniu.
Tak, na serwerze, o ile lubisz koszerne paczki przygotowane przez developerów. Bo ja pamiętam jak walczyłem z kompilacją exima na debianie (inna sprawa, że koło 2002 roku, więc to prehistoria), bo paczkowy miał obcięte możliwości i nie miał autoryzacji SMTP (bo tak się developerom debiana zwidziało).
Na desktopie repozytoria i koszmar paczek z repo i zależności w ogóle jest porażką.
> A skąd wiesz, że ono zaufane? Że za chwilę komuś coś nie odbije albo ktoś im się nie włamie do repo?
A skąd wiesz, że strona z której pobierasz binarkę jest zaufana, że twórcy coś nie odbiło i nie dorzucił do binarki kilku niespodzianek? Skąd wiesz że strona główna nie została podmieniona i nie serwuje złośliwego softu pod płaszczykiem nowej wersji oprogramowania? Skąd wiesz że nie padłeś ofiarą ataku MITM i ktoś w locie nie podmienił ci pliku z instalką? Zagrożenia w obu przypadkach są takie same, ale repozytoria lepiej sobie z nimi radzą, poprzez szyfrowanie, podpisy binarek i separację usług – włamania na CMSy są dość powszechne i sytuacje gdy strona producenta serwowała złośliwe oprogramowanie miała już miejsce wiele razy.
> Na desktopie repozytoria i koszmar paczek z repo i zależności w ogóle jest porażką.
Nie lubisz – nie korzystaj. Zawsze możesz ręcznie budować wszystkie programy (a przynajmniej te otwarte) i olać zależności. Ja od ~8 lat korzystam z Linuksa i problemów z zależnościami prawie nie miałem, pewnie przez cały czas poświęciłem na temat mniej czasu i uwagi niż przez pół roku supportowania domowego komputera z Windowsem. 😀
> A skąd wiesz, że strona z której pobierasz binarkę jest zaufana, że
twórcy coś nie odbiło i nie dorzucił do binarki kilku niespodzianek?
Nie wiem, ale jest to bezpieczniejsze, bo jednorazowe. Tu i teraz mu muszę zaufać, a nie na przyszłość i cały czas. (mój problem z Greenfootem się rozwiązał, a winne było właśnie zewnętrzne repo PPA z jawą, które zaserwowało sobie optymistycznie Javę 9, a Greenfoot potrzebuje JDK 8, na szczęście nie był to atak, ale to jest właśnie ciągłe niebezpieczeństwo zewnętrznych PPA… ja to dodałem daaawno i nawet nie pamiętałem, że jest> A tu teraz zaschizowało i wrzuciło jawę 9… A PPA uznane, bo przez Web Upd8 dawane, nie jakiś szajs z warezów…)
> Skąd wiesz że nie padłeś ofiarą ataku MITM i ktoś w locie nie podmienił ci pliku z instalką?
A to już tak samo jak z innymi źródłami. Albo podpisane cyfrowo albo muszę się zdać na swoją intuicję. Nie ważne czy repo czy exe.
> Nie lubisz – nie korzystaj. Zawsze możesz ręcznie budować wszystkie programy (a przynajmniej te otwarte) i olać zależności.
Niestety tak to nie działa. Np. na moim systemie nowego Kadu być nie może, bo sam system nie ma najnowszych bibliotek. Podobnie kiedyś zabiłem się o brak nowego GIMPa na starym kubuntu i też specjaliści wypowiadali się, że Się Nie Da, bo biblioteki za stare, a ich wymiana znów rozłoży dla odmiany system.
Przy czym ,,stare” czytaj jako ,,rok/dwa lata”. A pod windows działa, nawet pod XP sprzed 15 lat.
> Ja od ~8 lat korzystam z Linuksa i problemów z zależnościami prawie nie miałem
No to podziwiam. Ja przez te 15 lat nakląłem się nieźle. Ostatnimi laty owszem, mniej. Ale nie wiem czy dlatego, że jest lepiej czy dlatego, że generalnie coraz mniej aktywnie koszystam z kompa, a i większość rzeczy przeniosła się do chmury, więc obecnie system sprowadza się głównie do odpalania firefoksa.
> Nie wiem, ale jest to bezpieczniejsze, bo jednorazowe. Tu i teraz mu muszę zaufać, a nie na przyszłość i cały czas.
Nie jednorazowe, bo ufać musisz przy każdej aktualizacji. No chyba że zwiększasz bezpieczeństwo swojego komputera przez nieinstalowanie aktualizacji i korzystanie z przestarzałego softu.
Poza tym jak dodajesz repozytoria na pałę i instalujesz wszystko jak leci, to nic dziwnego że masz problem z repozytoriami. 😀
> A to już tak samo jak z innymi źródłami. Albo podpisane cyfrowo albo
> muszę się zdać na swoją intuicję. Nie ważne czy repo czy exe.
Ilu twórców podpisuje binarki wrzucane na stronę? Greenfoot nawet httpsa nie ma…
> Niestety tak to nie działa. Np. na moim systemie nowego Kadu być nie może, bo sam system nie ma najnowszych bibliotek.
To sobie skompiluj linkując statycznie – przecież to takie proste w porównaniu do korzystania z repozytoriów. ;]
Macie dużo racji obywatelu, ale i się mylicie.
Repozytoria jako forma dystrybuowania oprogramowania to jedyna i przyszłościowa forma – bo tylko ona daje kontrolę nad tym, co się tam znajdzie i umożliwia szybką reakcję oraz usunięcie ew. szkodnika. Myślisz, że dlaczego Windows kombinuje z koncepcję sklepu? Z wersji na wersję Windowsa coraz trudniej jest zapanować nad śmieciem, które krąży w internecie i każdy może sobie przypadkowym kliknięciem takie coś zainstalować. Jest też oczywiście drugie dno, bo Win10 jak wiemy umożliwia instalowanie oprogramowania bez wiedzy usera, a jakie to stwarza możliwości do nadużyć, to chyba nie trzeba tłumaczyć. Zatem w repozytoriach zbieramy oprogramowanie, twórcy softu nie kombinują, tylko zgłaszają soft do repozytoriów – i jest miło i przyjemnie. Ale to teoria.
Praktyka pokazuje, ile nakładu czasu i sił potrzeba, aby zgłaszany program zrecenzować, obadać, sprawdzić i zezwolić na publikację. Vide repozytoria stabilnego Debiana – programy aby zostały w nich zatwierdzone jako stabilne siedzą w czyściu przez rok – dwa lata. Zatem tu się pojawia pierwszy problem – nadzór nad repozytoriami i to taki nadzór, który umożliwia na bieżąco aktualizowanie ofery lub wersji oprogramowania. Jak wiemy, to pozostaje w sferze naszych (linuksowych) marzeń, bowiem z dystrybucji ciągłych tylko Arch Linux (i pochodne) zapewniają w miarę stały i nieprzerwany dostęp do nowości – kosztem jednak nadzoru i zupełnej dowolności w przypadku repozytorium AUR – które jest odpowiednikiem PPA dla Ubuntu/Minta.
Kolejna kwestia to zależności na które się zżymasz – oczywiście, one mogą być upierdliwe, ale wyłącznie poprzez czynnik ludzki. Po pierwsze, dopuszczanie do systemu jakichkolwiek zewnętrzny repozytoriów (PPA) wymaga czujności i świadomości (Coś się zepsuło – aha, bo ja tu mam jakaś zależność w innej wersji spoza oficjalnych repozytoriów). Po drugie, tworzący paczki kompletnie zaniedbują (ja również, przyznaję się) dokładne opisanie, jakiej wersji danej biblioteki/programu dany program wymaga, co dostarcza, z czym może być konflikt, itp. Akurat w paczkach deb można to ładnie wszystko opisać – jednak znowu zderzamy się z argumentem braku czasu, szybkości działa (wrzucania nowości do repo) i brakiem automatyki, która przecież takie rzeczy mogłaby przewidzieć na etapie tworzenia paczki i ew. uzupełnić wspomniane pola opisujące pakiet. Niemniej, z drugiej strony, mając do wyboru wersje oprogramowania sprzed roku, a współczesne, ale z pewną dozą adrenaliny, że coś może pójść nie tak – wolę jednak wersję nr. 2 – bo przynajmniej mam wybór.
Kwestia wygody instalowania windowsowego exe pobranego ze strony producenta, a kliknięcie w paczkę deb z takiej samej strony chyba nie wymaga komentarza. Brak paczki deb jest podyktowany wiarą twórców w samodzielność userów linuksowych. Gdyby jednak brali sobie do serca jednakowe traktowanie osób z Windowsem/Linuksem/OS X, to nic nie stoi na przeszkodzi w takim samym dystrybuowania „klikalnych” binarek. Pomijając fakt archaiczności takiego rozwiązania, braku wygody i mitrężenia czasu na przekopywanie internetu w poszukiwaniu albo programu albo strony producenta softu i jego działu download.
Zatem, repozytoria tak, ale niech twórcy deweloperzy w końcu użyją komputerów do ułatwienia sobie i nam życia 🙂
> Nie jednorazowe, bo ufać musisz przy każdej aktualizacji.
To i tak rzadziej niż w przypadku dodanego na stałe repo. gdzie nawet chwilowy włam jest skrajnie niebezpieczny.
> Poza tym jak dodajesz repozytoria na pałę i instalujesz wszystko jak leci
Jak na razie dodałem tylko 2 zewnętrzne PPA. Jedno z LibreOffice drugie z Javą od web u8. A i tak wystąpił ZONK. Kiedyś se dodałem jedno z jakimiś programami multimedialnymi i to dopiero był ZONK, bo podmieniło mi część bibliotek i w ogóle zrobił się burdel.
> To sobie skompiluj linkując statycznie
Nie umiem, nie jestem developerem. Jestem userem. Dla Windows twórcy zrobili i jakoś się da. Dla Linuksa pisali na forumie, że się nie da, bo Zależności Paczkowe I Dupa.
>Ilu twórców podpisuje binarki wrzucane na stronę?
Nie wiem, nie liczyłem, ale wiem, że z rzadka pojawia mi się ostrzeżenie o niepodpisanej, więc wiem, że owszem, jakaś część tego nie robi.
> Repozytoria jako forma dystrybuowania oprogramowania to jedyna i przyszłościowa forma – bo tylko ona daje kontrolę
Tak, o tym właśnie pisałem. Daje korporacjom kontrolę nad tym, czego może, a czego nie może używać user.
> Myślisz, że dlaczego Windows kombinuje z koncepcję sklepu?
Bo MS też chce mieć tę kontrolę, tak jak Apple czy Google i nie chce pozwolić userom na swobodę wyboru.
>Zatem w repozytoriach zbieramy oprogramowanie, twórcy softu nie
kombinują, tylko zgłaszają soft do repozytoriów – i jest miło i
przyjemnie.
Ta, bardzo miło. Zwłaszcza jak masz jakąś kluczową poprawkę dla klienta. Ja wczoraj w nocy instalowałem właśnie taką do naszego oprogramowania księgowego. Zgłosiliśmy błąd, Producent dał w kilka godzin i już. A teraz wyobraź sobie drogę przez developerów, repozytoria itp. Masakra. Sam o tym piszesz zresztą dalej.
> Kwestia wygody instalowania windowsowego exe pobranego ze strony
producenta, a kliknięcie w paczkę deb z takiej samej strony chyba nie
wymaga komentarza.
Tyle, że paczka windowsowa jest samodzielna. Jak wspomniany przeze mnie Greenfoot. Nie ma tych nieszczęsnych zależności. Jak producent wymaga bibliotek, to jest tego świadom i je dołącza.
>Brak paczki deb jest podyktowany wiarą twórców w
samodzielność userów linuksowych.
I brakiem mocy przerobowych. 1 kadu na 1 windowsa można zrobić. A zrobienie debów nawet biorąc tylko Ubuntu, pod 10 wersji — misja niemożliwa, jak projekt jest mały i niszowy, jak kadu.
> To i tak rzadziej niż w przypadku dodanego na stałe repo. gdzie nawet chwilowy włam jest skrajnie
> niebezpieczny.
Widziałeś taki chwilowy włam do repo?
> Jak na razie dodałem tylko 2 zewnętrzne PPA. Jedno z LibreOffice drugie z Javą od web u8. A i tak wystąpił ZONK.
Dodajesz PPA z nową Javą, a później dziwisz się, że masz zainstalowaną nową Javę? No faktycznie ZONK…
> Nie umiem, nie jestem developerem. Jestem userem.
Czyli nie masz kompetencji, żeby sobie samodzielnie skompilować program, ale nie przeszkadza ci to w głoszeniu sądów na temat rozwiązań, dzięki którym nie musisz kompilować samodzielnie programów? “Nie znam się, ale się wypowiem”.
> Nie wiem, nie liczyłem, ale wiem, że z rzadka pojawia mi się ostrzeżenie
> o niepodpisanej, więc wiem, że owszem, jakaś część tego nie robi.
Jakie ostrzeżenie i gdzie? Kto ci sprawdza czy binarki ze strony są podpisane?
Przecież ci pisałem, że jako user możesz instalować oprogramowanie spoza repozytoriów, a jako producent nie musisz korzystać z oficjalnych repozytoriów. Skończ więc tą mantrę o korporacjach i kontroli…
Myślę,że nalezy dać spokój z pisaniem komentarzy na radosną,a raczej smutną wizję rzeczywistości,reprezentowaną przez pana(panią) KaCzka.
Etap,na jakim,dzięki własnej,daleko posuniętej interpretacji tego co działa,jest p.KaCzka,oraz wyciągane z tej interpretacji wnioski,dowodzą jakiejś chyba manii prześladowczej albo nerwicy natręctw.
Oczywiście mogę się mylić,bo w dziedzinie psychologii jestem amatorem.
Tak czy inaczej nie warto pisać,bo ani to uczy,ani tym bardziej bawi
> Jakie ostrzeżenie i gdzie? Kto ci sprawdza czy binarki ze strony są podpisane?
System.
> Czyli nie masz kompetencji, żeby sobie samodzielnie skompilować program,
ale nie przeszkadza ci to w głoszeniu sądów na temat rozwiązań, dzięki
którym nie musisz kompilować samodzielnie programów?
oczywiście, bo to całkowicie oddzielne kompetencje. Nie każdy na świecie jest developerem i programistą. Poza tym, znane mi źródła wiedzy (w tym sami developerzy) głoszą, że to niewykonalne, więc w czym problem?
A skąd system wie że podpis jest prawdziwy? Czy to nie sprawia, że to system decyduje które binarki są prawilne, a które nie? I to ci nie przeszkadza, w przeciwieństwie do repozytoriów, które możesz sobie dodawać sam?
Ale to jest dokładnie to samo. Nie umiesz zbudować sobie programu, a wypowiadasz o tym jak programy powinny być budowane i dystrybuowane.
Skompilować program linkując wszystkie biblioteki statycznie zawsze się da, to niczym nie różni się od budowania instalki na Windowsa.
Nie umiem zbudować auta, a jednak wiem jak nim jeździć. I jakie mechanizmy są wygodne i bezpieczne dla kierowcy, a jaie nie.
> Skompilować program linkując wszystkie biblioteki statycznie zawsze się da
No nie do końca chyba. Bo dochodzi się do libc i innych takich i chyba na jakimś poziomie się nie da. No ale tu nie wiem, więc się nie wypowiem. Ja tego nie umiem, a ludzie tego nie robią, zaś developerzy pytani o to, odpowiadają, że Se Ne Da. Więc “auto nie jedzie”. A czemu, to już mniej istotne dla mnie, kierowcy.
> A skąd system wie że podpis jest prawdziwy?
Poczytaj miszczu o PKI. A skąd przeglądarka wie, że podpis banku jest prawdziwy w HTTPS?
> Czy to nie sprawia, że to system decyduje które binarki są prawilne, a które nie?
No, tak działa każdy system. Musisz mieć zaufanie nie tyle do systemu, co do swojego repo centrów certyfikacji. Ostatnia afera z Lenovo i podkładaniem certów HTTPS to pokazuje. Ale tego nie przeskoczysz, w dowolnym systemie.
Ja wiem jak działa PKI, ale ten mechanizm zawsze działa na zasadzie zaufania do czegoś. W systemie repozytoriów sam decydujesz komu ufasz, a komu nie, bo to ty dodajesz repozytoria i klucze do nich. Nie wiem jak działa windowsowe sprawdzanie podpisów binarek, ale z tego co piszesz to MS decyduje co ma prawidłowy podpis, a co nie. W tym kontekście czepianie się repozytoriów i gloryfikowanie rozwiązań z Windowsa brzmi co najmniej niepoważnie.
>Nie umiem zbudować auta, a jednak wiem jak nim jeździć. I jakie mechanizmy są wygodne i bezpieczne
> dla kierowcy, a jaie nie.
Ale dalej nie wiesz jak powinno się budować auta i jak powinno się je dystrybuować. A mimo to wypowiadasz się.
>Ja wiem jak działa PKI, ale ten mechanizm zawsze działa na zasadzie zaufania do czegoś.
Oczywiście. W Linuksie także. I gdy łączysz się ze swoim ulubionym bankiem, również ufasz podpisom certyfikowanym przez rooty z twojego repo…
W Linuksie mogę sobie dodać repo jakie chce i zaufać kluczom, którym chcę, mogę też usunąć oficjalne repozytoria, a jak jestem paranoikiem, to wszystkie programu mogę kompilować samodzielnie wcześniej robiąc code review. W przeglądarce mogę sobie dodać certyfikaty, którym ufam (bo np sam je wystawiłem), mogę też zablokować certyfikaty i organy certyfikacji, którym nie ufam. Znowu wypowiadasz się o rzeczach, o których nie masz zielonego pojęcia. Szkoda mi na ciebie czasu, żegnam.
Udowodnij, że w Windows nie możesz tego robić. Bo ja znam narzędzie do zarządzania certyfikatami i wg mnie można nimi tym narzędziem zarządzać. Jeśli twierdzisz, że jest to inaczej, udowodnij.
Jak na razie, to nie masz bladego pojęcia o czymkolwiek, poza jedynie ci znaną metodą, której fanbojujesz, a która jest po prostu kulawa i która jest powodem np. tego, że choć mam system sprzed roku (14.04) o wieloletnim wsparciu (LTS), to najnowsze kadu jakie mam, to 1.5, bo developer wszędzie wokoło pisze, że sorry, ale się nie da kadu linii 2.x, bo niezgodność bibliotek. Jednocześnie mając bardzo stary Windows, nadal mogę mieć najnowsze kadu i to chyba nawet z linii beta (3.0), a na pewno stabilne.
Więc cała ta opowieść o superowości repozytoriów jest tak samo o kant dupy rozczaść, jak twoja znajość działania certyfikatów…
Sorry, że tak osobiście, bardzo tego nie lubię, ale jedziesz adpersonami już od pewnego czasu i wszystko ma swoje granice.
Ale ja w komentarzu, na który odpowiadasz, ani słowem nie wspomniałem o Windowsie. Napisałem ci że w systemie linuksowych repozytoriów i certyfikatów https możesz sobie sam zarządzać komu ufasz, a komu nie, więc twoje teorie o tym że to mechanizmy kontrolowane przez kogoś innego, są funta kłaków warte. A ty mi wyskakujesz z Windowsem… czytanie ze zrozumieniem się kłania.
A jak na Windowsie masz narzędzia do weryfikacji podpisów, to zweryfikuj sobie nimi binarkę Kadu albo Greenfoot. Jeśli ci się uda, żyj szczęśliwy na bezpiecznym Windowsie i instalkach z neta. Jeśli nie, to przestań się kompromitować dalszymi komentarzami i głupimi przytykami o działaniu certyfikatów, których niczym nie potrafisz podeprzeć.
> Nie wiem jak działa windowsowe sprawdzanie podpisów binarek, ale z tego
co piszesz to MS decyduje co ma prawidłowy podpis, a co nie. <
Tyle twojej mądrości…
Zawsze możesz wyrażać się precyzyjniej i wyprowadzić mnie z błędu, bo jak na razie nie powiedziałeś jak na Windowsie działa podpisywanie binarek ze strony producenta, ograniczasz się do lakonicznych stwierdzeń typu “przez PKI”, “system” i “jest do tego soft”, a na pytania o konkrety wykręcasz się zarzutami o niewiedzy rozmówcy. Tylko jak na razie to ty mówisz o mechanizmach, których działania nie potrafisz nawet opisać, o przykładach nie wspominając. Domyślam się też, że podpisów Kadu albo Greenfoot nie udało ci się jednak zweryfikować tymi enigmatycznymi mechanizmami których szczegółów tak mocno strzeżesz. ;]
No jak działa? jest podpis elektroniczny, autoryzowany przez CA. Jak jest podpisane niezaufanym podpisem, to wyskakuje alert. Masz narzędzie do zarządzania CA. Piszę — tak samo jak w przeglądarce i HTTPS.
Tak wygląda to przy instalacji VLC
https://drive.google.com/file/d/0B7uC5g7FTF5mTS05NWpxMmZmbFE/view?usp=sharing
O kadu i Greenfoocie pisałem o problemach pod Xubuntu, a nie pod windows, do tego nie mają one związku żadnego z fejkiem i podkładaną wersją, tylko z tym, że budowa linuksa jest tak zrypana, że twórcy Kadu nie są w stanie dostarczyć wersji 2.x na *buntu starsze niż 15.04.
podpisy pod instalkami to rzecz bez związku ze sposobem dystrybucji. Można mieć sposób tak skopany jak repa albo tak fajny jak w klasycznym windows i w obydwu używać podpisów. To bez związku.
Dodam jeszcze — w Windows super jest to, że są przenośne programy. Można tak zrobić katalog z programem, że po prostu działa z pendrajwa. Ja tak noszę program księgowy i wystawiam faktury z pendrajwa, gdziekolwiek jestem i jest Windows. Dowolny. Wiele programów nawet bardzo rozbudowanych, jak LibreOffice, ma swoje wersje Portable i można je po prostu nosić ze sobą. Super sprawa. W świecie linuksa takie ,,pożyczanie” komputera pod swój program niestety odpada, bo nawet jak program jako tako działa przenośnie, to i tak zaśmieci ~. Nie widziałem nigdzie wersji przenośnych pod linuksy niestety.
kolejny minus zależności i innych takich zabawek.
Pajacem można być z wyboru (za kasę) lubz wyrachowania (za kasę lub za przywileje).
Można też być PI (skrót od “Pożyteczny Idiota”),który broni praw czy to korporacji,czy też bardziej bogatych od siebie,czy też tych,którzy w mniemaniu jego poczucia wartości mu imponują-za darmo (za bezdurno-może to bardziej zrozumiałe w ojczystym języku).
Przestań trollować,lub zaczerpnij wiedzy (to trudniejsze i wymaga wysiłku,zwłaszcza intelektualnego.Nie chcę być złym prorokiem i osądzać,ale obawiam się ,że ten wysiłek będzie wymagał duzo wyższego zaangażowania środków,między innymi intelektualnych,których (nie osądzam,ale przypuszczam),niestety nie posiadasz).
O składni i zaletach Twych wypowiedzi pod względem logicznym,nie śmiem się wypowiadać,boć i moja wiedza za mała,a i za wysokie progi….
Co do merytoryki,sam wiesz (forma “Ty”,uzasadniona poprzednimi wypowiedziami,wydaje sie być jak najbardziej uzasadniona),co mówisz,wiec powstrzymam sie od niej.
Jest taki cytat,który być może,byłby właściwy:
“Lepiej uchodzić za idiotę,niż sie odezwać,i rozwiać co do tego wszystkie wątpliwości”
Ale jest jeszcze jeden,właściwie anegdota:
szedł drogą Konstanty Ildefons Gałczyński.W pewnym momencie,na wąskiej drodze spotkał krytyka literackiego,który go zawsze negatywnie osądzał.Krytyk nie chciał mu ustąpić (droga była wąska) i powiedział:
-Nigdy nie ustępuję z drogi idiotom!
Na co Gałczyński:
-A ja zawsze!
Po czym ustąpił z drogi krytykowi.
DNF podpowiada i dba o wszystko. Dodałem takie repozytoria RPMFusion ale nie znalazło mi pakietu v4l2loopback
nie wiem może źle coś wyszukuje?