Проект OpenBSD празднует своё двадцатилетие. В честь этого события релиз OpenBSD 5.8 (http://www.openbsd.org/58.html) сформирован на две недели раньше обычного для осенних релизов срока. Операционная система OpenBSD была основана Тэо де Раадтом (Theo de Raadt) в 1995 году, после конфликта (http://zeus.theos.com/deraadt/coremail.html) с разработчиками NetBSD, в результате которого для Тэо был закрыт доступ к CVS репозиторию NetBSD. После этого Тэо де Раадт с группой единомышленников создал на базе дерева исходных текстов NetBSD новую открытую операционную систему, главными целями развития которой стали переносимость (поддерживается (http://www.openbsd.org/plat.html) 21 аппаратная платформа), стандартизация, корректная работа, активная безопасность и интегрированные криптографические средства. Размер полного установочного ISO-образа (http://ftp.eu.openbsd.org/pub/OpenBSD/5.8/i386/install58.iso) базовой системы OpenBSD 5.8 составляет 210 Мб.Кроме непосредственно операционной системы, проект OpenBSD известен своими компонентами, которые получили распространение в других системах и зарекомендовали себя как одни из наиболее безопасных и качественных решений. Среди них: LibreSSL (http://www.libressl.org/) (форк (https://www.opennet.me/opennews/art.shtml?num=39617) OpenSSL), OpenSSH (http://www.openssh.com/), пакетный фильтр PF (http://www.openbsd.org/faq/pf/index.html), демоны маршрутизации OpenBGPD и OpenOSPFD (http://www.openbgpd.org/), NTP-сервер OpenNTPD (http://www.openntpd.org/), почтовый сервер OpenSMTPD (http://www.opensmtpd.org/), мультиплексор текстового терминала (аналог GNU screen) tmux (http://tmux.sourceforge.net/), демон identd (https://www.opennet.me/opennews/art.shtml?num=36442) с реализацией протокола IDENT, BSDL-альтернатива пакету GNU groff - mandoc (http://mdocml.bsd.lv/), протокол для организации отказоустойчивых систем CARP (Common Address Redundancy Protocol), легковесный http-сервер (https://www.opennet.me/opennews/art.shtml?num=40232).
Основные улучшения (http://www.openbsd.org/58.html):
- Усиление безопасности:
- Утилита sudo заменена на программу doas (http://www.openbsd.org/cgi-bin/man.cgi/OpenBSD-current/man1/... предоставляющую средства для запуска команд от имени другого пользователя. В качестве причины замены отмечается значительное устаревание версии sudo помещённой в базовую систему и достаточно большое усложнение современных выпусков, которые не отвечают требованиям OpenBSD по безопасности и зависимостям. Свежий выпуск sudo можно установить из портов, в том числе задействовать в sudo поддержку LDAP;
- Началась работа над новой технологией изоляции процессов tame (http://www.openbsd.org/cgi-bin/man.cgi/OpenBSD-5.8/man2/tame... позволяющей разрешить приложению выполнение только выбранных групп системных вызовов, определённых в форме флагов "TAME_*" (например, TAME_MALLOC разрешает все системные вызовы, связанные распределением памяти, TAME_INET разрешает операции сокетами, TAME_DNS разрешает резолвинг по DNS);- Утилита file заменена на новую реализацию (http://www.openbsd.org/cgi-bin/man.cgi?query=file&sektion=1), примечательную использованием разделения привилегий и sandbox-изоляции;
- В pax, tar и cpio добавлены изменения, запрещающие выход за пределы текущей директории при обработке символических ссылок;
- В ядре усилена проверка корректности заголовков исполняемых файлов ELF;
- Для архитектуры i386 реализована поддержка процессорных флагов NX (No-eXecute), что позволило применить на CPU с поддержкой NX механизм защиты памяти W^X (https://en.wikipedia.org/wiki/W%5EX) (Write XOR Execute) для ядра и приложений в пространстве пользователя;
- Расширение сетевых возможностей:
- Представлен новый демон radiusd с реализацией системы аутентификации, авторизации и аккаунтига с использованием протокола RADIUS;
- Проведена подготовка к избавлению сетевого стека от глобальной блокировки, мешающей распараллеливанию операций на многоядерных системах;
- Добавлено псевдоустройство mpw (http://www.openbsd.org/cgi-bin/man.cgi/OpenBSD-current/man4/... для создания туннелей MPLS. Внесены многочисленные улучшения и упрощения в демон ldpd (Label Distribution Protocol Daemon), в том числе поддержка псевдоустройств mpw;
- Возможность привязки одного сетевого диапазона к разным интерфейсам, выбор которых производится на основе выставленных приоритетов;
- В bgpd добавлена возможность привязки правил к номерам автономных систем пиров. Для прерванных сеансов BGP утилита bgpctl теперь отображает число префиксов, полученных в прошлом сеансе;
- В ospfd добавлена корректная поддержка резервных интерфейсов carp.
- Улучшение инсталлятора:
- В системе автоматической установки (autoinstall) обеспечена возможность задания произвольного файла с ответами и использования шаблонов для разбивки диска;
- Во время установки по умолчанию активируется ntpd;- Улучшение поддержки оборудования:
- В ядре на процессорах с архитектурой x86 реализована поддержка инструкций AVX;
- Новый драйвер rtwn для беспроводных карт Realtek RTL8188CE;
- Новый драйвер hpb для шины HyperTransport (https://ru.wikipedia.org/wiki/HyperTransport), используемой в IBM CPC94;
- В драйвере re добавлена поддержка новых чипов, в том числе RTL8111GU;
- В драйвере ehci частично реализована поддержка изохронных USB-устройств (позволяет использовать звуковые USB-устройства на системах с контроллером EHCI);
- В acpicpu добавлены средства снижения энергопотребления во время простоя CPU через задействование информации C-состояния в ACPI;
- Расширены возможности http-сервера от проекта OpenBSD:
- Добавлена поддержка сопоставления и редиректов c использованием Lua-шаблонов;
- Реализована поддержка заголовка If-Modified-Since для запросов GET и HEAD (RFC 7232);
- Добавлена поддержка заголовка Range для отдачи частей файлов;
- Возможность привязки разных MIME-типов к разным путям;
- Поддержка HSTS (HTTP Strict Transport Security);
- По умолчанию для HTTPS используется только TLSv1.2;- Обновлена версия почтового сервера OpenSMTPD в которой устранена порция уязвимостей, выявленных (https://www.opennet.me/opennews/art.shtml?num=43090) в результате аудита безопасности кода;
- Расширены возможности Syslogd от проекта OpenBSD: поддержка приёма сообщений через UDP- или TCP-сокет, обработка нехватки файловых дескрипторов;- Обновлён пакет OpenSSH 7.0, подробный обзор улучшений можно посмотреть здесь (https://www.opennet.me/opennews/art.shtml?num=42765);
- Обновлён пакет LibreSSL 2.2.2, подробный обзор улучшений можно посмотреть в анонсах выпусков 2.2.0 (https://www.opennet.me/opennews/art.shtml?num=42412), 2.2.1 (https://www.opennet.me/opennews/art.shtml?num=42586) и 2.2.2 (https://www.opennet.me/opennews/art.shtml?num=42738).- Число портов (http://ports.openbsd.su) для архитекткры AMD64 составило 8866, для i386 - 8839. Из находящихся в портах приложений, отмечены:
- Chromium 44.0.2403.125
- Emacs 21.4 и 24.5
- GCC 4.8.4 и 4.9.3
- GHC 7.8.4
- GNOME 3.16.2
- Go 1.4.2
- Groff 1.22.3
- JDK 1.7.0.80 и 1.8.0.45
- KDE 3.5.10 и 4.14.3
- LLVM/Clang 3.5 (20140228)
- LibreOffice 4.4.4.3
- MariaDB 10.0.20
- Mono 3.12.1
- Mozilla Firefox 38.1.1esr и 39.0.3
- Mozilla Thunderbird 38.1.0
- Node.js 0.10.35
- OpenLDAP 2.3.43 и 2.4.41
- PHP 5.4.43, 5.5.27 и 5.6.11
- Postfix 3.0.2
- PostgreSQL 9.4.4
- Python 2.7.10 и3.4.3
- R 3.2.1
- Ruby 1.8.7.374, 1.9.3.551, 2.0.0.645, 2.1.6 и 2.2.2
- Sendmail 8.15.2
- Sudo 1.8.14.3
- Tcl/Tk 8.5.18 и 8.6.4
- TeX Live 2014
- Vim 7.4.769
- Xfce 4.12- Компоненты от сторонних разработчиков, входящие в состав OpenBSD 5.8:
- Графическ...URL: http://marc.info/?l=openbsd-misc&m=144518039211050&w=2
Новость: http://www.opennet.me/opennews/art.shtml?num=43156
Поздравляю всех сопричастных!
Букаф много и ни одного скриншота - непорядок.
> Букаф много и ни одного скриншота - непорядок.
> http://bb.51t.ru/s/obsd58stable.pngЭто второгном что ли? А где пятокеды?
>> http://bb.51t.ru/s/obsd58stable.png
> Это второгном что ли? А где пятокеды?это xfce
пятокедами Вадим потихоньку
Ура! Я так ждала этого дня! Спасибо маме и папе, спасибо тренеру, спасибо продюссерам, спасибо Вадиму и Кириллу, хвала Тео, и спасибо всем вам!И специально для вас - четыре новых песенки!
Буратино, а вы правда используете OpenBSD как настольную систему? Если да, то как выглядит у вас типичная установка для получения минимально работоспособной системы (с сетью и графической оболочкой)?
> Буратино, а вы правда используете OpenBSD как настольную систему?да. позавчера вон Xonotic 0.8.1 собрал :) побегал немного с ботами :)
> Если да, то как выглядит у вас типичная установка для получения минимально работоспособной системы (с сетью и графической оболочкой)?
Энтэр Энтэр имя хоста Энтэр Энтэр Энтэр a a Энтэр Энтэр Энтэр / Энтэр w q Энтэр Энтэр, подождать три минуты, Энтэр Рибут
cd /srv/obsd/packages
pkg_add mc xfce seamonkey firefox шрифты тема-иконок gnome-themes-standard несколько-игрушек
симлинк для 10-rgb в /etc/fonts
cp /usr/local/share/examples/xfce4-session/xinitrc ~/.xinitrc
chmod +x .xinitrc
startx
Меня аж просто тянет проверить. :)
> Меня аж просто тянет проверить. :)у меня локальный реп пакетов, получаемый по rsync
для сетевого - вместо
cd /srv/obsd/packages
следует читать
export PKG_PATH=http://mirror.yandex.ru/openbsd/5.8/packages/amd64/
Учитывая, что теперь доступны шаблоны при установке, то даже стадию enter enter enter можно упростить
дочку хоть поздравить не забыл?
> дочку хоть поздравить не забыл?Обижаете. Не забыл, даже привёз ей подарок из Швеции (бездарно выступил там на EuroBSDCon).
> Послушать песню, приуроченную к выходу нового релиза, можно здесь.ша? нет song58, есть song58a, song58b, song58c и song58d. а будете себя плохо вести - будет ещё и song58e и f.
На прошлой неделе кто-то предлагал отметить повторным изгнанием Тео.
Ноно, Тео конечно своеобразный мужик, впрочем как и Линус. Но ведь на таких всё и держится!
Прямо мем.
Ноно, Медведев конечно своеобразный мужик, впрочем как и Путин. Но ведь на таких всё и держится!
Ноно, Балмер конечно своеобразный мужик, впрочем как и Джобс. Но ведь на таких всё и держится!
Ноно, Васька конечно своеобразный мужик, впрочем как и Петька. Но ведь на таких всё и держится!
Дарю!
> На прошлой неделе кто-то предлагал отметить повторным изгнанием Тео.Я далёк от дел программистки, но не понимаю:
Почему все так злорадствуют по поводу мужика? Make fork и все дела. Нет же надо написать, что кто-то лишний и всё делает не так.
>> На прошлой неделе кто-то предлагал отметить повторным изгнанием Тео.
> Я далёк от дел программистки, но не понимаю:
> Почему все так злорадствуют по поводу мужика? Make fork и все дела.
> Нет же надо написать, что кто-то лишний и всё делает не
> так.Если ты не понимаешь, то я тебе расскажу. В тексте новости есть ссылка на историю конфликта. Я не поленился пройти по ссылке и почитать. Это архив из 134 мэйлов, так или иначе связанных с его изгнанием из NetBSD, последовавшим бурлением и созданием форка. Подборку составил сам Тео и в симпатии к оставшимся NetBSD-шникам его упрекнуть нельзя. Так вот, по прочтении этой истории у меня создалось стойкое убеждение, что Тео редкостный кусок дерьма, а его оппоненты нормальные люди. Я бы на их месте тоже его выпер.
>нормальные людикак просто обмануть опеннетовских хомячков, не способных даже открыть ссылку.
After my access was revokes, I struggled for 7 months to get access to
the CVS tree back. I was told to agree to things others did not have
to, to wait for an agreement document -- it's all in the archive. It
was suggested that I merge my 19,000 lines of diffs by mailing them to
an individual who would merge them. The entire affair was ridiculous.
>>нормальные люди
> как просто обмануть опеннетовских хомячков, не способных даже открыть ссылку.
>>нормальные люди
> как просто обмануть опеннетовских хомячков, не способных даже открыть ссылку.Повторяю специально для тебя, аноним: "у меня создалось стойкое убеждение". Это моё личное, частное, партикулярное мнение и я им делюсь с общественностью.
> After my access was revoked
Ага, все вокруг [censored], один Тео дартаньян.
> I struggled for 7 months to get access to
> the CVS tree backДа нихрена он не боролся. Рассказывал всем, как он на них сердит. Жаловался, что из-за них заболел. Пытался шантажировать тем кодом, который он написал и не смержил. Отказывался слать патчи, требуя права смержить лично своей барской рукой. Плакал, что его заставляют вести себя профессионально, и как ребёнок тыкал пальцем на других ("а вот он тоже плохой, почему его тоже не поставили в угол?!"). Обещал согласиться на любые разумные требования, а потом сказал, что ни на что соглашаться не будет. И вот эту тягомотину он разводил 7 месяцев.
Я никого не обманываю и ничего не скрываю. Открывайте, читайте, думайте.
Я раньше тоже думал, что башковитому парню можно простить многое. А потом понял, что если парень башковитый, но душой говно, то он виноват вдвойне. Дурак может не понимать, что он ведёт себя по-свински, а умный точно отдаёт себе отчёт в своих поступках и предвидит их последствия.
Спешите видеть. Анонимный психоанализ именитого хакера. Аноним не прощает, бог простит. Драма на опеннет.
Я раньше тоже думал, что люди должны иметь норму поведения. А потом понял, что норма поведения у меня в голове. Как умный человек может залезть в мою голову и узнать как себя вести?
>>нормальные люди
> как просто обмануть опеннетовских хомячков, не способных даже открыть ссылку.на пятый год острый глаз заметил, что многие тут живут в альтернативной реальности
> Так вот, по прочтении этой истории у меня создалось стойкое убеждение,
> что Тео редкостный кусок дерьма,Ну, а ты думаешь почему он притягивает таких ...индивидов как буратина?
>[оверквотинг удален]
>> Нет же надо написать, что кто-то лишний и всё делает не
>> так.
> Если ты не понимаешь, то я тебе расскажу. В тексте новости есть
> ссылка на историю конфликта. Я не поленился пройти по ссылке и
> почитать. Это архив из 134 мэйлов, так или иначе связанных с
> его изгнанием из NetBSD, последовавшим бурлением и созданием форка. Подборку составил
> сам Тео и в симпатии к оставшимся NetBSD-шникам его упрекнуть нельзя.
> Так вот, по прочтении этой истории у меня создалось стойкое убеждение,
> что Тео редкостный кусок дерьма, а его оппоненты нормальные люди. Я
> бы на их месте тоже его выпер.Не, у каждого своя "канистра", у кого-то переливается или дырявая протекает. Я о принципе говорю. Человек может и побузил (поленился читать) забил и сделал своё. А все обычно просто словами ограничиваются. "Если хочешь что-то сделать, сделай это сам"
> На прошлой неделе кто-то предлагал отметить повторным изгнанием Тео."Здравствуй Тео! Я, авторитетный аноним одного из форумов рунета, изгоняю тебя из твоего проекта! Если не уйдёшь из проекта до начала следующей недели сам, я буду вынужден оставить это сообщение ещё в трёх форумах и на своей странице вконтакте. Трепещи, твою дивизию!."
Что? В file добавлена поддержка сандбокса? А они echo и cat в сандбокс засунуть не хотят? Это же самые уязвимые приложения. Лезут непонятно куда, требуют кучу привилегий...
Уже засунули.
> Что? В file добавлена поддержка сандбокса? А они echo и cat в
> сандбокс засунуть не хотят? Это же самые уязвимые приложения. Лезут непонятно
> куда, требуют кучу привилегий...Одного не пойму, как это лично вам мешает? ;D
Возможно, это разработчик утилиты file в OpenBSD - узнал, что он должен был сделать на прошлой неделе.
> Что? В file добавлена поддержка сандбокса?Работа с недоверенными данными, а что?
> Что? В file добавлена поддержка сандбокса? А они echo и cat в
> сандбокс засунуть не хотят? Это же самые уязвимые приложения. Лезут непонятно
> куда, требуют кучу привилегий...А вы как работает file вообще в курсе? По сложности не уступает tcpdump (который в OpenBSD уже много лет как с разделением/ограничением привилегий бегает). Никогда не слышали об уязвимостях в file/libfile класса "code execution"? Тогда поздравляю с разморозкой.
Опять на опеннет пакеты из параллельной вселленной приходят?Уважаемый собрат по разуму, к сожалению, у нас тут все совсем не так ...
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-8116
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-8117
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-1943
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-2270
https://lwn.net/Articles/589936/
> A malicious PE file could cause the file utility to crash or, potentially, execute arbitrary code
Как тухлые браузеры согласуются с "активной безопасностью". Или основа их безопасности - неуловимость?
> Как тухлые браузеры согласуются с "активной безопасностью". Или основа их безопасности
> - неуловимость?Идущее с релизом != идущее в -STABLE. Чтобы подготовить мастер-диск, отпечатать конечне диски и разослать их требуется достаточно времени, чтобы в Mozilla выпустили очередной релиз с исправлением уязвимостей. Обновления уже доступны в CVS, а также есть пакеты от добрых ребят из M:Tier: https://stable.mtier.org/updates/5.8/amd64/
>> Как тухлые браузеры согласуются с "активной безопасностью". Или основа их безопасности
>> - неуловимость?
> Идущее с релизом != идущее в -STABLE. Чтобы подготовить мастер-диск, отпечатать конечне
> диски и разослать их требуется достаточно времени, чтобы в Mozilla выпустили
> очередной релиз с исправлением уязвимостей. Обновления уже доступны в CVS, а
> также есть пакеты от добрых ребят из M:Tier: https://stable.mtier.org/updates/5.8/amd64/firefox-esr регулярно обновляется, я уже два обновления собирал
обычный - не обновляются
но основа безопасности - это всё же различные техники и грамотные дефолты
Тео типичный админ локалхоста. В своем подвале админит 20 железок с помойки.
Простите, если задел тут чьи то религиозные чувства
Только вот openbsd.org недоступен по https. Неизвестно, что вынырнет из коллектора траффика (прозрачного прокси)...Провайдер: ньюкомпорт=(
> Только вот openbsd.org недоступен по https.зато доступен по cvs, можно получить срез на любую дату
а потом к 127.0.0.1 цепляйся хоть http, хоть https :)
>> Только вот openbsd.org недоступен по https.Наверное, надо было указать на _подпись_ релиза? =>
Index of /pub/OpenBSD/5.8/i386
[ ] SHA256 16-Aug-2015 11:35 1.7K
[ ] SHA256.sig 16-Aug-2015 11:35 1.8K> зато доступен по cvs
Мне не надо, но вдруг. Оно умеет подписанные релизы?!
> Мне не надо, но вдруг. Оно умеет подписанные релизы?!кто оно? какие подписанные релизы? почему умеет? кто разрешил?
>>> Только вот openbsd.org недоступен по https.
> Наверное, надо было указать на _подпись_ релиза? =>
> Index of /pub/OpenBSD/5.8/i386
> [ ] SHA256 16-Aug-2015 11:35 1.7K
> [ ] SHA256.sig 16-Aug-2015 11:35 1.8K
>> зато доступен по cvs
> Мне не надо, но вдруг. Оно умеет подписанные релизы?!И не первый год. Вас тоже поздравляю с разморозкой.
>>>cvs
>>Оно умеет подписанные релизы?!
> И не первый год. Вас тоже поздравляю с разморозкой.Уф, отлегло. //чем же их тролить-то теперь?
> Уф, отлегло. //чем же их тролить-то теперь?нет bluetooth (было, но сломали)
нет pptp (было, но сломали)
нет hdmi-аудио (и никогда не было)
нельзя воткнуть мабилку и получить интернет (зато можно получить ребут с некоторой долей вероятностью, этакий хардварный ребутер)но лучше всего - это всё починить
> нет pptp (было, но сломали)Здрасьте. А npppd? В портах ещё net/poptop есть.
>> нет pptp (было, но сломали)
> Здрасьте. А npppd? В портах ещё net/poptop есть.Привет. :) npppd это демон, а не клиент
pptp из портов удалили
>>> нет pptp (было, но сломали)
>> Здрасьте. А npppd? В портах ещё net/poptop есть.
> Привет. :) npppd это демон, а не клиентДемону никто не мешает быть клиентом...
> pptp из портов удалили
... но по сути верно, да, штатного PPTP-клиента больше нет. :-\ Видимо, он никому и не нужен пока что. Но можно спросить yasuoka@, есть ли надежда в ближайшее время...
>>>> нет pptp (было, но сломали)
>>> Здрасьте. А npppd? В портах ещё net/poptop есть.
>> Привет. :) npppd это демон, а не клиент
> Демону никто не мешает быть клиентом...пример можно? я и ман весь читал, и пэйпер смотрел - так и не понял, как это делать клиентом
>> pptp из портов удалили
> ... но по сути верно, да, штатного PPTP-клиента больше нет. :-\ Видимо,
> он никому и не нужен пока что. Но можно спросить yasuoka@,
> есть ли надежда в ближайшее время...я уже не помню, что там была за история
с тех пор, как мой провайдер перешёл с pptp на авторизацию по mac-адресу, мне это и не особо интересно стало. придётся вернуться к pptp-провайдеру - придётся вспоминать :)
> с тех пор, как мой провайдер перешёл с pptp на авторизацию по
> mac-адресу, мне это и не особо интересно стало. придётся вернуться к
> pptp-провайдеру - придётся вспоминать :)Желаю, чтобы не пришлось. Этот пережиток с псевдо-VPN-авторизацией давно должен сдохнуть...
> нельзя воткнуть мабилку и получить интернет (зато можно получить ребут с некоторой
> долей вероятностью, этакий хардварный ребутер)Какую именно мобилку, как определяется в dmesg? mpi@ в курсе?
>> нельзя воткнуть мабилку и получить интернет (зато можно получить ребут с некоторой
>> долей вероятностью, этакий хардварный ребутер)
> Какую именно мобилку, как определяется в dmesg? mpi@ в курсе?проблема у многих, с разными мобилками
> Уф, отлегло. //чем же их тролить-то теперь?Тем, что ключ для (первой) проверки все равно придется тянуть через либастрал?
>> Уф, отлегло. //чем же их тролить-то теперь?
> Тем, что ключ для (первой) проверки все равно придется тянуть через либастрал?Он на дисках напечатан. В буквальном смысле. Хотя, конечно, можно и диски на почте перехватить при желании...
Но всё же это есть отличие от немалой части других ОС, которые существуют сугубо в цифровой реальности, и для которых, как вы выразились, действительно нужен libastral. Но и это лечится как минимум сверкой из множества разных источников.
> Он на дисках напечатан. В буквальном смысле. Хотя, конечно, можно и диски
> на почте перехватить при желании...Вы не поверите!
Equation Group помнится, харды перехватывала и фирмварь патчила, а тут какие-то диски.> Но всё же это есть отличие от немалой части других ОС, которые
> существуют сугубо в цифровой реальности,У вас, очевидно, другая реальность. Даже ту же NetBSD или Стрекозу на дисках можно заказать, тем более фряху или пингвина. Или вы на реактось с хаику равняетесь? Тогда да, тогда вы впереди планеты всей!
> Но и это лечится как минимум сверкой из
> множества разных источников.Понятно – неуловимость Джо, она такая!
> У вас, очевидно, другая реальность. Даже ту же NetBSD или Стрекозу на дисках можно заказать, тем более фряху или пингвина.официально, от авторов и ещё до публичного релиза? где конкретно.
>> Уф, отлегло. //чем же их тролить-то теперь?
> Тем, что ключ для (первой) проверки все равно придется тянуть через либастрал?дарю
base: RWQNNZXtC/MqP3Eiu+6FBz/qrxiWQwDhd+9Yljzp62UP4KzFmmvzVk60
fw: RWTpkvg4fhJCDx9yL4bUCou/vtAecPVTfcaaGESQeBruwX/qHToMvWh6
pkg: RWRlkI2aFHvL/XGqD+lFerD/xUi/jnAXKwdFQwZDekYwDrEPSpSWgpI9
Этот б.б фальшивка и вообще, работник спецслужб! Не верьте ему!
Зато я настоящий!
base: RWQNNZXtC/MqP3Eiu+6FBz/qrxiWQwDhd+9Yljzp62UP4KzFmmvzVk61
тебя папа Карло ещё в первой бете забраковалкыш отседова
> И не первый год.А аж второй ;)
https://www.opennet.me/opennews/art.shtml?num=38884
> Для архитектуры i386 реализована поддержка процессорных флагов NXПриветствуем опенят в новом тысячелетии!
Хорошоя система, но не для сисадминов к сожалению.
Оп-па...А для кого?-) Для домохозяек?-)
Для гиков, очевидно.
> Для гиков, очевидно.для гиков арчи, генты и прочее
а когда надо с минимальными телодвижениями за 5 минут развернуть хоть десктоп, хоть сервер с разумными дефолтами - OpenBSD нашё всё и немного больше
Это не показатель полезности.
это показатель пригодности
> Хорошоя система, но не для сисадминов к сожалению./me ушёл переквалифицироваться в управдомы
В том то и дело, что для себя любимого:
adsh@Launcher:~>uname -a
OpenBSD Launcher 5.4 GENERIC#0 i386
adsh@Launcher:~>uptime
2:20AM up 57 days, 23:31, 2 users, load averages: 0.06, 0.09, 0.08
adsh@Launcher:~> 2:20AM up 57 days, 23:31, 2 users, load averages: 0.12, 0.10, 0.08
adsh@Launcher:~>ps ax
PID TT STAT TIME COMMAND
1 ?? Is 0:01.46 /sbin/init
207 ?? I 0:46.78 /usr/sbin/syslogd -a /var/www/dev/log -a /var/named/dev/log -a /var/empty/dev/log
1315 ?? Is 0:00.94 syslogd: [priv] (syslogd)
25561 ?? Is 0:00.01 pflogd: [priv] (pflogd)
22785 ?? S 4:13.71 pflogd: [running] -s 160 -i pflog0 -f /var/log/pflog (pflogd)
16409 ?? S 10:32.25 /usr/sbin/named -4
31075 ?? Is 0:00.01 named: [priv] (named)
23544 ?? Is 0:00.24 ntpd: [priv] (ntpd)
22066 ?? I 0:03.21 ntpd: ntp engine (ntpd)
11680 ?? I 0:00.01 ntpd: dns engine (ntpd)
754 ?? Ss 1:49.73 npppd: main (npppd)
12232 ?? Is 0:00.02 npppd: [priv] (npppd)
6123 ?? Is 0:03.54 /usr/sbin/sshd -4
5702 ?? Is 0:00.35 /usr/sbin/dhcpd xl0
7827 ?? Ss 3:40.87 httpd: parent [chroot /var/www] (httpd)
22289 ?? Is 0:00.90 /usr/sbin/ftp-proxy -T ftp_data
4091 ?? Is 0:07.63 /usr/sbin/popa3d -D -4
22174 ?? Is 6:07.00 /usr/local/sbin/apcupsd
4681 ?? I 0:01.07 /usr/local/sbin/smartd -l local3
8255 ?? Is 0:13.36 /usr/local/sbin/stunnel
29366 ?? Ss 3:51.10 sendmail: accepting connections (sendmail)
4327 ?? Is 0:43.50 /usr/local/libexec/smbd -D
22041 ?? Ss 2:23.41 /usr/local/libexec/nmbd -D
11827 ?? I 0:01.34 /usr/local/libexec/smbd -D
16727 ?? Is 0:00.01 /usr/local/sbin/squid -D
32372 ?? S 216:38.46 (squid) -D (squid)
6573 ?? Ss 12:40.10 /usr/local/libexec/symon -u
25283 ?? I 2:08.26 (unlinkd) (unlinkd)
142 ?? Ss 538:15.52 /usr/local/libexec/symux
1874 ?? Is 0:23.72 /usr/local/sbin/noip2
17523 ?? Is 0:00.45 sshwatchd: watching for /var/log/authlog (sshwatchd)
25604 ?? Is 1:55.05 /usr/sbin/cron
17272 ?? Is 1:20.37 sshd: adsh [priv] (sshd)
1850 ?? S 5:22.48 sshd: adsh@ttyp0 (sshd)
18176 ?? I 0:01.26 httpd: child (httpd)
32496 ?? I 0:01.00 httpd: child (httpd)
10457 ?? I 0:01.04 httpd: child (httpd)
31514 ?? I 0:00.10 httpd: child (httpd)
452 ?? I 0:00.09 httpd: child (httpd)
5040 ?? I 0:00.02 httpd: child (httpd)
21911 ?? I 0:00.02 httpd: child (httpd)
29450 ?? I 0:00.02 httpd: child (httpd)
5538 ?? I 0:00.02 httpd: child (httpd)
28150 ?? Is 0:00.21 sshd: adsh [priv] (sshd)
26319 ?? S 0:00.25 sshd: adsh@ttyp1 (sshd)
6956 p0 Is 0:00.02 -ksh (ksh)
10920 p0 I 0:00.02 ksh
22733 p0 I+ 0:00.62 bash
29937 p1 Is 0:00.02 -ksh (ksh)
18909 p1 S 0:00.05 bash
1140 p1 R+ 0:00.00 ps -ax
9168 C0- I 0:00.09 /bin/sh /usr/local/bin/mysqld_safe
6845 C0- I 0:25.02 /usr/local/libexec/mysqld --basedir=/usr/local --datadir=/var/mysql --user=_mysql --log-error=/var/
13703 C0- I 1:42.15 /usr/bin/perl -T /root/dyn_dns.pl
29837 C0- I 0:00.57 /usr/bin/perl -T /root/web_abuse.pl
20457 C0- I 0:00.22 /usr/bin/tail -f /var/www/logs/access_log
28778 C0 Is+ 0:00.01 /usr/libexec/getty std.9600 ttyC0
17881 C1 Is+ 0:00.01 /usr/libexec/getty std.9600 ttyC1
4517 C2 Is+ 0:00.01 /usr/libexec/getty std.9600 ttyC2
11550 C3 Is+ 0:00.01 /usr/libexec/getty std.9600 ttyC3
9398 C5 Is+ 0:00.01 /usr/libexec/getty std.9600 ttyC5Машинка локалку и Wi-Fi PCI карту кормит. По процессам понятно, что там крутится... Там ещё и шейпинг с гарантированной нарезкой скорости по протоколам и разными приоритетами. И всякая статистика. Ресурсов жрёт совсем немного. Поставил, настроил и забыл про проблемы ;-).
Хочу напомнить, что, в отличие от большинства ОС, в опёнке очень качественная документация. Много лучше чем во FreeBSD, которую тоже с удовольствием использую.
Это всё делается роутером-мыльницей за 500 рублей (с openwrt).
> Это всё делается роутером-мыльницей за 500 рублей (с openwrt).Это только так кажется. Да и не тянет такая мыльница больше десятка клиентов. Там нет _нормального_ DNS кеша, файерволла, шейпера, sshd (sftp), VPN, почтового релея и POP3 (IMAP) сервера, прокси (с кешем), мониторинга, веб сервера в chroot для основного сайта небольшой фирмы или служебных сайтов с поддержкой PHP / MySQL, автоматических сервисов для борьбы с кулхацкерами (httpd / sshd). Нет возможности заменить / добавить сетевой или Wi-Fi адаптер. Даже нормального шелла со стандартными утилитами и средствами диагностики нет. Не говоря уже о том, что в нормальной ОС можно настроить буквально всё "из коробки".
И что с этим делать при EOL?
> И что с этим делать при EOL?Ни кто не мешает удалённо обновиться до актуальной версии - на официальном сайте есть подробные инструкции "для роботов". В большинстве же случаев - не париться. 5.4 - давно EOL. В интернет там мало, что выставлено. Обычно система живёт вместе с железом и умирает с железом. В критичных случаях - можно пересобрать уязвимое приложение. Я знаю людей, у которых такие задачи выполняет FreeBSD 4.11. Да - они иногда что-то пересобирают критичное из приложений: http://dadv.livejournal.com/tag/некромантия - почитайте, там интересно написано.
Ну а порты? Пакеты? Если core еще предендует на безопасность, то обвес - это лотерея. И средств проверить это хозяйство на предмет CVE просто нет.
> Ну а порты? Пакеты? Если core еще предендует на безопасность, то обвес
> - это лотерея. И средств проверить это хозяйство на предмет CVE
> просто нет.Пакеты в опёнке проверяются точно так же. И поддерживаются в течение срока жизни релиза. Порты - нет (в них больше софта, чем идёт в пакетах). Иногда подходят пакеты от более свежих релизов, если сделать им симлинки на старые библиотеки. Обычно критичного, выставленного в интернет софта - 1-2 штуки, по этому это не сложно.
В моём примере выше - критичным могут быть лишь PHP / MySQL. Но это висит в httpd chroot, изменение которого легко вычисляется через diff и лечится пересозданием chroot (есть скрипты). Но обычно сайты ломают через кривые скрипты, через движок - много реже. Только служебные сайты с HTTP авторизацией - вообще не ломаются.
можно просто житьактивные средства безопасности помноженные на редкость платформы делают вероятность взлома близкой к нулю
в отличие от роутеров, где хрен пойми что, где и как
ну и возможности - даже рядом не лежали.
> Хочу напомнить, что, в отличие от большинства ОС, в опёнке очень качественная
> документация. Много лучше чем во FreeBSD, которую тоже с удовольствием использую.Ба, так ты нынче и опёнковод? :)
> Ба, так ты нынче и опёнковод? :)Давно, Миша. Он напоминает FreeBSD 4.x, но имеет свою реализацию многих привычных вещей. Даже маны в нём немного другие - более качественно написанные. Пока не начинаешь читать - не заметно.
Все там есть из каробки
