Представлен (http://www.openbsd.org/61.html) новый выпуск свободной, кросс-платформенной UNIX-подобной операционной системы OpenBSD 6.1 (http://www.openbsd.org/61.html). Проект OpenBSD был основан Тэо де Раадтом (Theo de Raadt) в 1995 году, после конфликта (http://zeus.theos.com/deraadt/coremail.html) с разработчиками NetBSD, в результате которого для Тэо был закрыт доступ к CVS репозиторию NetBSD. После этого Тэо де Раадт с группой единомышленников создал на базе дерева исходных текстов NetBSD новую открытую операционную систему, главными целями развития которой стали переносимость (поддерживается (http://www.openbsd.org/plat.html) 13 аппаратных платформ), стандартизация, корректная работа, активная безопасность и интегрированные криптографические средства. Размер полного установочного ISO-образа (http://ftp.eu.openbsd.org/pub/OpenBSD/6.1/i386/install61.iso) базовой системы OpenBSD 6.1 составляет 199 Мб.
Кроме непосредственно операционной системы, проект OpenBSD известен своими компонентами, которые получили распространение в других системах и зарекомендовали себя как одни из наиболее безопасных и качественных решений. Среди них: LibreSSL (http://www.libressl.org/) (форк (https://www.opennet.me/opennews/art.shtml?num=39617) OpenSSL), OpenSSH (http://www.openssh.com/), пакетный фильтр PF (http://www.openbsd.org/faq/pf/index.html), демоны маршрутизации OpenBGPD и OpenOSPFD (http://www.openbgpd.org/), NTP-сервер OpenNTPD (http://www.openntpd.org/), почтовый сервер OpenSMTPD (http://www.opensmtpd.org/), мультиплексор текстового терминала (аналог GNU screen) tmux (http://tmux.sourceforge.net/), демон identd (https://www.opennet.me/opennews/art.shtml?num=36442) с реализацией протокола IDENT, BSDL-альтернатива пакету GNU groff - mandoc (http://mdocml.bsd.lv/), протокол для организации отказоустойчивых систем CARP (Common Address Redundancy Protocol), легковесный http-сервер (https://www.opennet.me/opennews/art.shtml?num=40232).Основные улучшения (http://www.openbsd.org/61.html):
- Добавлена поддержка новой платформы ARM64 (https://www.openbsd.org/arm64.html) и основанных на ней плат Pine64, Raspberry Pi 3 и Opteron A1100. В качестве системного компилятора на ARM64 используется Clang;
- Значительно улучшена поддержка платформы ARMv7, в том числе осуществлён переход на EABI и обеспечена поддержка разнообразных плат;
- Для платформы loongson обеспечена поддержка систем с процессорами Loongson 3A и чипсетом RS780E;
- Прекращена поддержка платформ armish, sparc и zaurus.
- Представлена новая утилита syspatch (http://man.openbsd.org/syspatch), позволяющая выполнить бинарное обновление базовой системы. Бинарные обновления пока поддерживаются только для stable-веток amd64 и i386;
- В состав включена утилита acme-client, представляющая собой вариант штатного клиента для работы с сертификатами Let's Encrypt, расширенного средствами для разделения привилегий;- Для архитектур amd64 и i386 включён по умолчанию
гипервизор VMM, который развивается командой OpenBSD, учитывает в своей работе технические особенности данной ОС и акцентирует первоочередное внимание на вещах, которым в других системах не уделяется должного внимания. Например, VMM может работать на системах i386, использует механизм теневых страниц (shadow paging), развивает средства вложенной виртуализации и обеспечивает поддержку устаревших периферийных устройств. Поддерживается запуск виртуальных окружений с любыми операционными системами для которых имеются драйверы virtio, т.е. все системы, которые поддерживаются в KVM. Для работы гипервизора требуется наличие процессора AMD или Intel, поддерживающего расширения аппаратной виртуализации AMD-V/SVM (Secure Virtual Machine) или VT-x/VMX (Virtual Machine eXtensions). Поддержка расширений RVI (Rapid Virtualization Indexing) и EPT (Extended Page Table) не обязательна, вместо них может применяться программная техника изоляции страниц памяти виртуальных окружений.
- В основной состав включены компоненты LLVM и компилятор Clang (импортирован выпуск LLVM 4.0);- Значительно улучшены средства для работы на многопроцессорных системах, особенно в плане оптимизации сетевого стека. В частности в сетевом стеке полностью переработана система блокировок и обработки прерываний;
- В сетевом стеке представлено новое псевдоустройство switch (http://man.openbsd.org/switch.4) для создания программных коммутаторов на базе протокола OpenFlow 1.3. В псевдо-устройство gre добавлена поддержка режима mobileip (http://man.openbsd.org/mobileip.4). В vxlan (http://man.openbsd.org/vxlan.4) добавлена поддержка режима Multipoint-to-multipoint. Для сокетов listen добавлена поддержка флага TCP_NOPUSH.- Модернизирован инсталлятор. Загрузка и проверка установочных наборов теперь выполняется отдельным обработчиком с разделением привилегий. Для загрузки установочных наборов по умолчанию используется HTTPS;
- В iked добавлена возможность отправки ответов на IKEv2 cookies, а также поддержка ECDSA и аутинтификации по цифровым подписям RFC 7427;
- В bgpd(8) (http://man.openbsd.org/bgpd.8) добавлена поддержка BGP Large Communities
(RFC 8092 (https://www.rfc-editor.org/rfc/rfc8092.txt)) и BGP Administrative Shutdown Communication
(draft-ietf-idr-shutdown (https://www.ietf.org/id/draft-ietf-idr-shutdown.txt));- В состав включен новый дисплейный менеджер xenodm (http://man.openbsd.org/xenodm) (X Display Manager), предоставляющий средства для управления графическими сеансами, подключенными к разным X-серверам (форк xdm).
- Внесена большая порция улучшений в беспроводной стек IEEE 802.11. В драйвере ral появилась поддержка чипов Ralink RT3900E (RT5390, RT3292). Добавлена реализация алгоритма MiRa для адаптивной установки полосы пропускания в 802.11n. В драйверы iwm и athn добавлена поддержка 802.11n MIMO. Из-за недостаточно защищённости по умолчанию отключена (https://www.opennet.me/opennews/art.shtml?num=45728) поддержка протоколов TKIP/WPA1;- Во всех разделяемых библиотеках, динамически и статически скомпонованных исполняемых файлах PIE и компоновщике ld.so задействован механизм RELRO (RElocation Read-Only, позволяет предотвратить перезапись глобальной таблицы смещений GOT);
- В syslogd добавлена возможность проверки TLS-соединения по клиентскому сертификату;
- Добавлена новая функция распределения памяти recallocarray() (http://man.openbsd.org/recallocarray.3), которая теперь используется вместо reallocarray() в некоторых подсистемах, таких как CBB и BUF_MEM_grow. Новая функция отличается тем, что производит очистку содержимого выделяемых блоков памяти, по аналогии с calloc(), а также обнуляет или отдаёт системе (unmap) не распределённые блоки памяти;
- В системную библиотеку libc добавлено семейство фунуций для работы с хэшами SHA512_256;
- В функциях форматирования строки обеспечен вывод предупреждений в лог при использовании модификатора "%s" с нулевым указателем;
- В malloc(3) расширены механизмы для определения переполнений буферов. Увеличена производительность функций malloc в многопоточных приложениях;- Удалена поддержка монтирования файловых систем непривилегированными пользователями;
- Для доставки ключей к шифрованным разделам softraid в bioctl задействован (http://man.openbsd.org/bcrypt_pbkdf.3) bcrypt PBKDF. В softraid реализовано распараллеливание операций при перестроении RAID5;
- В httpd добавлена поддержка SNI, позволяющая привязывать несколько разных HTTPS-сайтов к одному IP, а также возможность возобновления сеансов TLS при помощи TLS session tickets.- В dhclient, dhcpd и dhcrelay добавлена поддержка RFC 6842 (Client Identifier Option in DHCP Server Replies) и обеспечен запрос опций DHO_BOOTFILE_NAME и DHO_TFTP_SERVER по умолчанию;
- Обновлена версия почтового сервера OpenSMTPD, в котором добавлена поддержка альтернативных разделителей адресов, улучшен код для работы с вводом/выводом, добавлена поддержка выделения аутентифицированных сеансов в н...
URL: http://undeadly.org/cgi?action=article&sid=20170411132956
Новость: http://www.opennet.me/opennews/art.shtml?num=46360
Поддержку LDAP + Radius бы допилили и с поддержкой TLS.
Песня где? Нет песни -- нет релиза. Точка.
Вот же https://www.openbsd.org/lyrics.html#61
(will be released around April 25)
Некрофилы и копрофаги негодуют. Где шарпозавр? Где спарк_не64? Ну почемууу....?:)
а им так необходим именно релиз 6.1? :) на 6.0 и жизнь не та? :)а вообще - просто Канада не резиновая, новые архитектуры добавляются, и старые просто девать некуда
Это так, сарказм... но я не удивлюсь если причина банальна - для нормального тестирования просто не осталось ни шарпозавров ни спарков. Да и потенциальная ЦА ничтожно мала. А вот половинчатость поддержки PA-RISC угнетает :(
> для нормального тестирования просто не осталось ни шарпозавров ни спарков.скорее всего именно так - села prom-микросхемка в том древнем спарке, и он больше не грузится, а другой взять негде - это корпоративное оборудование, его на ebay редко тащат (потому что надо сперва украсть), чаще сразу на свалку. А для дома для семьи купленные, видимо, уже все кончились, 20 лет машинкам, и стоили они больше зарплаты программиста.
> А вот половинчатость поддержки PA-RISC угнетает
то же самое, полагаю - купить нельзя, не хватит никаких денег, hp не подарит (они там вообще удивительно тyпые и жадные, имел я когда-то дело с русским hp, и, судя по некоторым признакам, отбирали туда по принципам, тем же , что и в штаб-квартиру), и даже документацию не допросишься.
Есть у кого-то в банчке выведенная уже из эксплуатации старая тумбочка - он, злоупотребляя служебным положением, ее и использует для тестов. Полетит диск, отличающийся двумя байтами прошивки (буковками хе и пе в id, проверяемыми контроллером) - и кончится.Это древний-древний vax в подвале у Тео можно было бесконечно ремонтировать с помощью паяльника и замены родных чипов на самодельные plm'ки.
vax ещё до этого прикрыли
урра! но да, присоединяюсь - без песни и радость не та :(
Меломан. :\
так то 6.1 я с 6-го числа юзаю :)
Ну и как гипервизор? Юзабельный?
Поставил её, есть вот такие проблемы:1. Мышка при загрузке не опознаётся, только если её достать и воткнуть в другой USB-разъём будет работать.
2. Проблемы с уровнем громкости в нормальных браузерах(Firefox, Seamonkey, Otter), например ВКонтакте при включение другого трэка он то опускается до нуля, то до примерно 20 %, при её регулировке в плеере ВК он становится снова в нормальное значение.
3. Хромой падает при запуске с ошибкой
chrome(23139) in free(): use after free 0x1d2051bb4740
Abort trap (core dumped), хотя иногда запускается и 2-ой проблемы в нём нет.
А зачем вы используете ее как десктоп?
> А зачем вы используете ее как десктоп?Just for fun, у меня кстати на этом десктопе стоят 4 BSD(Free, Net, DragonFly и теперь ещё Open), OpenIndiana, 2 Linux'а(Kubuntu и Void).
> у меня кстати на этом десктопе стоят 4 BSD(Free, Net, DragonFly и теперь ещё Open), OpenIndiana, 2 Linux'а(Kubuntu и Void).А пацаны с района знают?
и какими загрузчиками это всё склеили?
GRUB'ом, но он только Linuxы грузит, для остальных ОС он грузит их загрузчик.
> А зачем вы используете ее как десктоп?я спокойно играл в OpenBSD в Xonotic, Red Eclipse, 0ad, не считая разных мелких jag и me and my shadow, которых изкоробки там в изобилии. а теперь ещё и urban terror завезли
> А зачем вы используете ее как десктоп?Прям интересно стало. А как оно себя позиционирует вообще? Её принципиально нельзя под десктопные нужды ставить?
> Прям интересно стало. А как оно себя позиционирует вообще?как образцовое ненужно. Образцы иногда потом копируют и развивают другие проекты.
> Её принципиально нельзя под десктопные нужды ставить?
если разово десктопную нужду справить - можно. Если работать, для работы есть более подходящая обстановка.
> Её принципиально нельзя под десктопные нужды ставить?можно, но не всем. любителям разных мелких игрушек точно могу порекомендовать - их там валом :)
Оно позизионирует себя как исследовательская операционная система.
Теоретически - можно. А практически встречаются сложности почище в сравнении с обычным пингвинами. Вот я и спросил о целесообразности этакой возни, кроме как just for fun. Внятных логических объяснений не увидел, но минусов напихали. Показательно.
Есл у вас x86_64 то для десктопа лучше подойдет OpenVMS.
разве OpenVMS уже запускается на интел-совместимых?x64 (он же итаниум) точно умеет.
Пару месяцев назад установил на ноут(Lenovo G780), для just for fun так сказать.Фана было мало, а гемороя вышло много.
2 раза сносил MBR на рабочем винте, но удавалось воcстановить.
BSD-ишный disklabel специфическая штука с ограничениями. Надо привыкать после пингвина.
Имелось 12 разделов на винте и хотел установить в хвост диска. С пингвином тут проблем нет, а опенок этого тупо не умеет. Не ожидал, что такая проблема всплывет. В итоге установил на отдельный диск.Возникла проблема создания совместного раздела с пингвином. Пингвинских ФС(чтение/запись) опенок не умеет и оставался вариант сделать фат32. И опять не прокатило из-за ограничений disklabel, тк. место было только после 12 раздела и он тупо не видел фат32 разделов.
Возможно если бы был GPТ вместо MBR, то такого трабла бы не было.На отдельном винте завелось. Дрова все встали исправно, хотя особо не расчитывал на это. Пару дней посидел на нем на выходных. Фаерфокс периодически распухал и падал. Видео драйвер на глаз видно было как работает медленней. Работать на опенке не реально из-за отсутствия нужного мне софта.
Несколько дней просидел на IRC канале опенка стараясь не задавать тупых вопросов.
Народ вполне культурно все подсказывал и направлял.Из плюсов:
Возможно все секьюрно, ты как неуловимый Джо.Из минусов:
Процесс апгрейда системы не тривиален. Ядро как в пингвине отдельно не обновишь, система обновляется монолитно. Насколько я понял, даже если хочешь обновить 1 пакет, то рекомендуется обновлять все вместе с ядром. Поправьте если не прав. Получается, с одной стороны система заточена на безопасность, с другой - усложненый процесс поддерживать в актуальном состоянии. Все же обновление с релиза на релиз, раз в полгода, как-то не секурно.Итого: установить - осилил, ежедневное использование - не осилил.
> Фана было мало, а гемороя вышло много.Имхо радости и веселья в установке и настройке ОС не больше чем в установке и запуске браузера.
> Процесс апгрейда системы не тривиален. Ядро как в пингвине отдельно не обновишь,
> система обновляется монолитно. Насколько я понял, даже если хочешь обновить 1
> пакет, то рекомендуется обновлять все вместе с ядром. Поправьте если не
> прав. Получается, с одной стороны система заточена на безопасность, с другой
> - усложненый процесс поддерживать в актуальном состоянии. Все же обновление с
> релиза на релиз, раз в полгода, как-то не секурно.Процесс обновления -stable очень прост, согласен занимает некоторое время, но он хорошо документирован и сложностей не вызывает, а начиная с текущего релиза можно использовать http://man.openbsd.org/syspatch
Обновления пакетов для -stable можно получать у https://stable.mtier.org> Итого: установить - осилил, ежедневное использование - не осилил.
Нужно несколько больше времени, чтобы оценить все плюсы. ;)
На отдельный диск было не проблема поставить, заняло минут 10. Но я сопротивлялся до последнего, что отняло много времени.На самом деле очень годная системка. Хорошая документация. Просматривается некий минимализм и аккуратность. Видно, что разработчики профессионалы и любят свое детище.
Но десктопного софта, к сожалению, для меня мало. Без того же Palemoon мне полная печаль. Нет BOINC клиента.
Возможно vmm спасет ситуацию. Можно было бы какой-нить легковесный Alpine или Tiny Core Linux поднимать и там крутить недостающий софт.
ext2 openbsd точно умеет, так что с fat все-таки можно не связываться
> ext2 openbsd точно умеет, так что с fat все-таки можно не связыватьсяfat32 _значительно_ надежнее и его ограничения существенно расширены по сравнению с доисторической fs двадцатого века. Не говоря уже о внимании, уделяемом _сейчас_ их коду.
Но, разумеется, разумнее в XXIм использовать ntfs, fuse и ntfs3g есть в портах те же самые, что и в линуксе. (как жаль, что exfat не повезло с автором)
> fat32 _значительно_ надежнее и его ограничения существенно расширены по сравнению с доисторической fs двадцатого векажжош
ps. а ты вообще вкурсе, что в старых системах linux, где ext2 ver 0.0, ты систему ext2 ver 1.0 даже не смонтируешь?
> а ты вообще вкурсе, что в старых системах linux, где ext2 ver 0.0
> , ты систему ext2 ver 1.0 даже не смонтируешь?Молодец,ман ты прочитал, возьми с полки пирожок. Только руки помой от вековой пылищи, прежде чем его жрать.
ver1.0 - это где-то 99й год. Забудь уже о бедняжке, и закoпай стюардессу. Даже у меня, любителя коллекционировать старье, таких дисков если и осталось, их в современном компьютере подцепить не к чему. ext2 жила (в смысле, кто-то регулярно выгребал за ней лоток) до 2009го года, силами гугля, обнаружившего, что ext3 непригодна к эксплуатации вовсе, но гугль, разумеется, использовал ее не для межцивилизационного обмена, а просто как загрузочную fs. Благо, много от нее не требовалось, /sbin/mount как-то помещался, и ладно.
Потом гуглю надоело, и он этот окаменелый хлам тоже бросил.fat32 и ntfs-3g - живые и активно поддеживаемые системы. Существенно более надежные, эффективные и широко используемые (MS, наверное, по поводу последней все локти сгрызла - в каждом самсунь телевизоре, а ей отчислений не платят). Впрочем, это если работать, конечно, а др.чить на опенотсосе на 112м партишне можно и с ext2, чем бы дите не тешилось.
> Молодец,ман ты прочитал, возьми с полки пирожокя не ман читал, я делал на базе baslinux систему, с локализацией, умеющую работать с любого fat-раздела, выходить в интернет через ppp через links, и даже пользовался ей на ноутбуке 486 с 4 мб ram :)
> троллейбус-из-буханки.jpgа, да, если кто из опоздавших родиться не понял - во времена актуальности ноутбуков 486 с 4мб рам не было совершенно никаких поводов самому выпливать троллейбусы из буханок - на такой ноут ставилась та же openbsd тех же времен, или линукс а-ля rh4.2, второе попроще, дохлый ноут долгонько пересобирает миры, я, помнится, специально ради таких случаев завел переходник mini-нормальный ide, и в интернет можно было ходить вполне себе в иксах, нетскейпом 3.чтонибудь. Оно, конечно, свопилось и тормозило, но в целом как-то работало.
то есть мало того что тщательно вручную лобзиком выпилено ненужное, так еще и до среднего на то время функционала не дотянуло.
> Пару месяцев назад установил на ноут(Lenovo G780), для just for fun так
> сказать.мысль поставить сперва хотя бы в virtualbox, чтобы разобраться с базовыми понятиями - в голову приходила, но никого там не застала?
> 2 раза сносил MBR на рабочем винте, но удавалось воcстановить.
> BSD-ишный disklabel специфическая штука с ограничениями.bsd'шный disklabel не имеет _ни_малейшего_ отношения к твоей MBR. Документация, вероятно, ниасилена. На книжку Немет не хватило денег, а в библиотеку с паспортом ДыРы не пускают?
> Надо привыкать после пингвина.
а уж после винды-то как надо... даже netsh нет.
> Имелось 12 разделов на винте и хотел установить в хвост диска. С
мда... в общем-то, показатель дрочера само по себе.
Я вот даже и представить себе не могу, зачем такое может понадобиться.> Возникла проблема создания совместного раздела с пингвином. Пингвинских
> ФС(чтение/запись) опенок не умеет и оставался вариант сделать фат32. И опять не
> прокатило из-за ограничений disklabel, тк. место было только после 12 разделаdislabel не имеет никакого отношения к твоим "разделам". (ну кроме того что хоть один
primary ему нужно оставлять, а винда не понимает шуток с primary после extended)> Возможно если бы был GPТ вместо MBR, то такого трабла бы не
> было.понятия не имею, как у опенка ныне создаются устройства под дисковые разделы, возможно, столько minor там вообще не предусмотрено.
> распухал и падал. Видео драйвер на глаз видно было как работает
> медленней. Работать на опенке не реально из-за отсутствия нужного мне софта.интересно, какого "нужного софта" не хватает герою с двенадцатью разделами на диске и в чем заключается его "работа" - курсовик писал?
> Из плюсов:
> Возможно все секьюрно, ты как неуловимый Джо.неуловимый локалхостоадмин нафиг никому не нужен хоть с опенком, хоть с десяткой.
> Процесс апгрейда системы не тривиален. Ядро как в пингвине отдельно не обновишь,
процесс апгрейда любой системы нетривиален, если тебя интересует результат, а не сам процесс. То есть то, чем собственно апгрейд отличается от "зачистить и переустановить".
Ядро, как и в пингвине, вообще-то не существует само по себе, просто в пингвине тебе никогда не приходилось обновлять ядра по настоящему (скажем, с 2.4 на 2.6), когда, к
примеру, ломался gnu make. Рекомендую как-нибудь, на досуге, это самое ядро распаковать не из собранного за тебя теми, кто умеет, пакета, и прочитать Documentation/Changes, в разделе Minimal Requirements.> система обновляется монолитно.
нет, ты просто не умеешь - в том числе читать документацию.
> Насколько я понял, даже если хочешь обновить 1 пакет, то рекомендуется обновлять
> все вместе с ядром. Поправьте если непоправляю: ты не понял ничего. В том числе что такое пакеты в понимании *bsd и для чего вообще нужны.
> прав. Получается, с одной стороны система заточена на безопасность, с другой
> - усложненый процесс поддерживать в актуальном состоянии. Все же обновление с
> релиза на релиз, раз в полгода, как-то не секурно.и так никто не делает. Но документацию читать или книжки хороших авторов ДО начала работы с совершенно незнакомой системой - не наш путь, мы привыкли мышкой нехт-нехт-ок, да?
в целом, это хорошо. Это значит админов не next-next-ok систем чем дальше, тем будет меньше, у меня еще есть шансы на пенсию, дачу, рыбалку...
Прочитал только первый твой ответ, далее не читал.Бесплатный совет №1 - пиши комменты как будто ты стоишь перед тем, кому пишешь, и твое раздутое самомнение поубавится.
Бесплатный совет №2 - обратись к психологу, серьезно.С уважением.
> Прочитал только первый твой ответ, далее не читал.все как обычно.
Бро, людей с психическими расстройствами содержат в спец. учреждениях, а не выпускают в люди чтобы они демонстрировали свое "красноречие". Это я, конечно, утрирую. Твоя агрессия и передергивание ненормальны. Ты занял позицию воспитателя. С чего вдруг? Подумай об этом. Удачи.
> Ты занял позицию воспитателя. С чего вдруг?с чего это "воспитателя"? еще не хватало.
Подумать тебе рекомендую ровно твой совет номер раз - представить себе, что ты не в пустоту писал свою цидульку о том как ты героически поборол установку openbsd, только вот немного не туда и не так, и ниасилил то и это, а реально - влетел весь такой потный-самодовольный в кафешку напротив недавно покинутого тобой универа, или в столовую на работе (если уже работаешь нормально, что, хехе, вряд ли) - где тусят люди в свой обеденный перерыв, разные - по большей части стажеры, конечно или студни младшие, но где-то в уголку и пара профессоров притаилась, полет научной мысли тихонько у них там происходит ("так, о чем бишь я, коллега...закидываю я это ее ноги себе на плечи..."), за соседним столиком тихо раскладывают бутеры на сложный проект видавшие виды инженеры, начинавшие еще когда компьютеры были большие и т д - и начинаешь громко, так что профессора оторвались от своей научной фантазии, а инженеры от удивления поперхнулись бутером, излагать ровно то, что ты тут с гордостью запостил. Ну вот прикрой глазки и представь, что вся эта братия на тебя смотрит. С прищуром таким, недобро заинтересованным.
Вероятность, что все просто пожмут плечами и вернутся к своим междусобойчикам, тем ниже, чем пространнее твое заявление (то есть если какой-то пробегая мимо ляпает "bsd -гуано, и вообще не гплный отcтой" - скорее всего, в его сторону и голову не повернут), ага.
Да ты и вправду совсем в плохом состоянии. Мдя.
Ты себя ясновидящим считаешь? Рисуешь в своей голове какую-то хрень не имеющей к реальности никакого отношения.Специально для тебя - мне уже ближе к 40 и я отец 4-х детей, трое из которых приемные из детдома. Живу в собственном доме недалеко от Питера на который заработал самостоятельно. В Питер приехал из провинции голеньким. Работаю в ИТ больше 15 лет. Был сисадмином, тестировщиком, потом перебрался в разработчики. Последние 4 года летаю вольной птицей как ИП и меньше 1000р в час(160т.р. в мес) не беру. Проекты из России, США и Великобритании. Паралельно учусь в Восточно-Европейском институте психоанализа.
Надеюсь этого достаточно, чтобы ты(и остальные опеннет фантазеры подобные тебе) уяснил себе какую адскую чепуху ты себе нафантазировал. Но сдается мне, что твое уязвленное самолюбие кинется в отрицалово.
Бегом к психологу пока он еще тебе может помоч.
> Специально для тебя - мне уже ближе к 40 и я отец 4-х детейиногда лучше лишний раз этим не гордиться.
быть (вчерашним)студентом, слишком уверенным в собственной непогрешимости и нужности своих лабораторных исследований для мира - одно, это с возрастом проходит, когда понимаешь, что даже когда над тобой не смеялись, а одобрительно похлопывали по плечу, одобряли вовсе не результат, а Машкиным Эдельвейсом Захаровичем - значительно хуже.
> уяснил себе какую адскую чепуху ты себе нафантазировал
для этого тебе сперва надо стереть ту адскую чепуху, которую ты написал про свои страдания с openbsd. Потому что пока стало только хуже - воинствующая некомпетентность вкупе с "меньше тыщи за час не беру", и возраст, в котором, увы, критичность мышления у большинства напрочь теряется.
Гордости нет.
Это написано только для того, чтобы ты осознал масштаб своих заблуждений насчет того, с кем ты переписываешся и поубавил пыл своих фантастических разоблачений.Ты очень сильно перенервничал еще на первом моем посте и хочешь меня втоптать в дерьмо потому что твоя гордость была уязвлена.
Но мне это глубоко поверху. Я совершенно спокоен. Ты не являешся для меня авторитетом и зря истираешь клавиши, скрипя зубами от злости. Сама жизнь нам показывает кто и что и себя представляет, а не яростные разоблачения анонимов в интернете.
Успехов.
> Это написано только для того, чтобы ты осознал масштаб своих заблужденийосозна-а-ал. На мой взгляд, лучше быть (хотя бы в глазах окружающих) студентом-торопыгой, чем Эдельвейсом Машкиным с вечной неонкой и "заменьше тыщи не работаю".
> поубавил пыл своих фантастических разоблачений.
каких, в пень, разоблачений? Ты уже саморазоблачился, вот тут:
http://www.opennet.me/openforum/vsluhforumID3/110926.html#13
к этому было сложно что-то добавить, чтобы еще ухудшить впечатление о себе, но тебе удалось.> скрипя зубами от злости
Б-же мой... ну как можно злиться на Эдельвейса? Это ж даже не Выбегалло (хотя тут, конечно, гибрид - "Но тот, не растерявшись, представил две справки, из коих следовало, во-первых, что трое лаборантов его лаборатории ежегодно выезжают работать в подшефный совхоз, и, во-вторых, что он, Выбегалло, некогда был узником царизма..." )
главное, во время испытаний его "титанов духа" подальше стоять.
Ничего не может быть лучше, как быть самим собой.
Я смотрю в тебе так и не утихает натуга указывать кому кем быть. От твоих указов, ни от твоих впечатлений о обо мне, мне ни холодно, ни жарко. Пока ты ковыряешь недостатки других, то забываешь о своих. Хочешь изменить этот мир - начни с себя.
Покажи психологу(или хотя бы психически здоровому человеку) свой ответ, на мой первый пост и узнаешь много нового о себе.
Может это заставит тебя задуматься о своем душевном состоянии.
> Ядро, как и в пингвине, вообще-то не существует само по себе, просто в пингвине тебе никогда не приходилось обновлять ядра по настоящему (скажем, с 2.4 на 2.6), когда, к примеру, ломался gnu make. Рекомендую как-нибудь, на досуге, это самое ядро распаковать не из собранного за тебя теми, кто умеет, пакета, и прочитать Documentation/Changes, в разделе Minimal Requirements.с 2.4 на 2.6 перейдёт любая институтка.. ты попробуй сейчас на топовом Ъ systemd, 4.git-ведро собери и стартани linux-2.4.37.11 ..
> с 2.4 на 2.6 перейдёт любая институткаинститутка-то да, ее читать научили. А Эдельвейс - не факт (в форумах давно уже не знают, что ответить на чайниковские вопросы по такой теме, гугль не помнит, а по другому оне не умеют - man config и то ниасилен, хотя у опенка оно чуть ли не в motd воткнуто).
> ты попробуй сейчас на топовом Ъ systemd, 4.git-ведро собери и
> стартани linux-2.4.37.11 ..э... а чо не так? gcc можно откатить, если вдруг там в си-стандарте проблема.
(сорри за дурацкий вопрос, но нету у меня ни тру-systemd системы, ни тем более 4git ведра, и ставить не хочется, как потом этих ужасов развидеть-то... )
> э... а чо не так? gcc можно откатить, если вдруг там в
> си-стандарте проблема.не, всё так.. всё просто збсЪ.. сперва (кто-то в несколько стадий) откатываем gcc. лучше сразу приготовить 4.1.2 и какой-нить из 3-ей версии.. если есть старые сырцы 2.95.3 со всеми патчами - пытаемся тоже собрать (фейлим на x86_64).. потом ищем "те самые"(ц)(тм) depmod/mkinitrd, которые апгрейдили при смене с 2.4 на 2.6. пытаемсо собрать.. ищем compat-libs, не находим, но на во-он том ftp.. ну, ты понел, да? но со сборкой всё равно "что-то идёт не так"(ц)(тм). ок. решаем, что монолитное ведро - наше фсё и конпеляем linux-2.4.37.11... bzImage "сам"(ц) ессно не конпеляетсо, чсбх. но есть zImage.. да.. после того, как из конфига выпилили всё, что по какой-то загадочной причине валило сборку.. ну а потом пытаемсо "взлететь" на том, что получилось.. grub2 не видит vmlinux: чешем репу, вспоминаем, что может загрузить zImage.. обнаруживаем (внезапно, ога) новое неподдерживаемое оборудование.. после того, как фейлим на монтировании рута, вспоминаем о gpt и uefi+csm. мужественно превозмогаем. заодно выделяем отдельно /boot и форматируем в ext2/ext3. вни-ма-тель-но перепроверяем опции сборки "монолита", тыкаем MOAR в надежде, что "повезёт"(ц) и таки взлетит.. параллельно ищем и ставим в виртуалке что-то типа SuSE-8.0/8.2 "тех самых"(ц) лет. находим SuSE-8.2-x86_64.. бурно множественно и длительно оргазмируем.. со-би-ра-ем (ессно в qemu, Ъ bzImage, SMP, фсё как у взрослых).. стар-ту-ем.. смотрим в tty и идём за бухлом и просить другое железо.. постарше.. и желательно рабочее..
это если кратко в общем и целом..
> это если кратко в общем и целом..ох ничо себе... (про правильные modutils я подумал, но решил, что это еще 2.2)
Похоже, зря я не сохранил на память что-нибудь тех времен. (если вдруг - opensuse 5.3 у меня есть, но это ядро 2.0 и libc5, хороших, то есть поздних, вылизанных версий ;)
С тамошней ext3, кстати, советую особо не баловаться - скрытые filesystem corruption во всей красе где-то именно тогда, барьеров и контроля целостности журнала нет в помине - при крэше в удачном раскладе fs откатывается на недельку-другую в прошлое, в неудачном - на нее автоматически и _неизбежно_ накатывается мусор, оказавшийся в журнале. Так что ext2 или reiser.
>> про правильные modutils я подумал, но решил, что это еще 2.2у linux-2.4.* старый формат модулей (*.o)
>> С тамошней ext3, кстати, советую особо не баловаться..
эт же ж был 2003-ий весёлый год. reiser был хорош (особенно на rm -rf /), но он (3.6) до сих пор не может extended attr. ext2 был "годен", но не имел журнала. ext3 журнал имел, но был "негоден". xfs блистал и перетирал любую открытую иноду в нуль при обрыве питания (а порно в то весёлое время заливали на CD, и при обрыве питания.. случались пичальные вещи..). поэтому пользовали jfs, который даже при высоких нагрузках меньше нагружал cpu. вернее в зависимости от задач пользовали весь этот "зоопарк"..
> Похоже, зря я не сохранил на память что-нибудь тех времен. (если вдруг
> - opensuse 5.3 у меня есть, но это ядро 2.0 и
> libc5, хороших, то есть поздних, вылизанных версий ;)Во времена S.U.S.E-5.3 "opensuse" еще не существовало ;-)
Даже не буду начинать говорить кто прав, а кто нет. Но с чего вдруг такая агрессия? Нельзя корректно ответ написать, вместо тыкания, поливания грязью и выпячивания собственного превосходства? Адепт Анонима прав, у вас какие то проблемы.
> Из плюсов:
> Возможно все секьюрно, ты как неуловимый Джо.И что браузеры OpenBSD "пишут" в параметрах UserAgent и Referrer?
> И что браузеры OpenBSD "пишут" в параметрах UserAgent и Referrer?Murzilka/6.1 (Xare_V_Logi_Podglyadivat_Vuaierist_Negodyaiskiy)
>> И что браузеры OpenBSD "пишут" в параметрах UserAgent и Referrer?
> Murzilka/6.1 (Xare_V_Logi_Podglyadivat_Vuaierist_Negodyaiskiy)Я так и думал...
Я думал безопасность пользователя на высоте. Сейчас все личные данные утекают, через однозначность юзерагента, referrer, суперкуки и тд. Но и взломоустойчивость системы конечно тоже важна, но так как многие домашние и рабочие системы стоять за всякими фареволлами и нат серверами, то на первый план выступает безопасность браузеров и их приватность.
> Я думал безопасность пользователя на высоте. Сейчас все личные данные утекают, через
> однозначность юзерагента, referrer, суперкуки и тд. Но и взломоустойчивость системынаивное дитя. Суперкуки лично я видел ровно те два раза, когда знакомился с технологией.
Рефереры не проверяют даже там, где их вообще-то неплохо бы проверять.
А личные данные твои утекают в кучу непонятных индусских бездонных бигдейта цистерн совершенно иным способом, причем там не какие-то шаткие критерии, а имя с фамилием и датой рождения.> тоже важна, но так как многие домашние и рабочие системы стоять
> за всякими фареволлами и нат серверами, то на первый план выступаетто можно поиметь еще фиревол и нат недосервер, потому что настраивали их "великие профессионалы", наивно полагавшие, что нат вообще защищает от чего-то, и вообще по wccp завернуть весь твой траффик в трубочку.
А главное, ну причем тут openbsd? Ее совершенно не как средство защиты твоих личных данных писали, да и фиреволл в ней не для этого.
>> И что браузеры OpenBSD "пишут" в параметрах UserAgent и Referrer?
> Murzilka/6.1 (Xare_V_Logi_Podglyadivat_Vuaierist_Negodyaiskiy)А параметры тцп стека подкрутил под $что-нибудь-дркгое ?
А отпечаток шрифтов под $что-нибудь-третье?
А список плагинов? ...расширений брозёра? ...историю просмотров...
А руку сменил -- чтоб кликать по сцылкам, как .... $ну-кто-нибудь-другой?мэтрикс хэз ю. ...хэз ас. ...ХЭЗ АС ОЛЛЛ!!11
>>> И что браузеры OpenBSD "пишут" в параметрах UserAgent и Referrer?
>> Murzilka/6.1 (Xare_V_Logi_Podglyadivat_Vuaierist_Negodyaiskiy)
> А параметры тцп стека подкрутил под $что-нибудь-дркгое ?
> А отпечаток шрифтов под $что-нибудь-третье?
> А список плагинов? ...расширений брозёра? ...историю просмотров...
> А руку сменил -- чтоб кликать
> по сцылкам, как .... $ну-кто-нибудь-другой?
> мэтрикс хэз ю. ...хэз ас. ...ХЭЗ АС ОЛЛЛ!!11я вообще в Юзерагенте номер телефона пишу, чтобы люди хернёй не маялись
>> мэтрикс хэз ю. ...хэз ас. ...ХЭЗ АС ОЛЛЛ!!11
> я вообще в Юзерагенте номер телефона пишу, чтобы люди хернёй не маялисьПиши номер и пин зарплатной карты. И URL своиз голых фоточек. И домашний адрес. И скан паспорта. Не останавливайся на полум-рах.
позвонят - спросят, в чём проблема?
:1
#>>>чтобы люди хернёй не маялись
> позвонят - спросят, в чём проблема?loop :1
> :1
> #>>>чтобы люди хернёй не маялись
>> позвонят - спросят, в чём проблема?
> loop :1если ты такой бедный - почему ты такой умный?
>>> И что браузеры OpenBSD "пишут" в параметрах UserAgent и Referrer?
>> Murzilka/6.1 (Xare_V_Logi_Podglyadivat_Vuaierist_Negodyaiskiy)
> А параметры тцп стека подкрутил под $что-нибудь-дркгое ?
> А отпечаток шрифтов под $что-нибудь-третье?
> А список плагинов? ...расширений брозёра? ...историю просмотров...
> А руку сменил -- чтоб кликать
> по сцылкам, как .... $ну-кто-нибудь-другой?
> мэтрикс хэз ю. ...хэз ас. ...ХЭЗ АС ОЛЛЛ!!11вот поэтому и нефиг всю инфу лить из браузера, ничего не должно сообщаться веб-серверам.
Только такие диалоги:
"эй сайт, дай такую страничку html
"на держи",сам парсь
Парни, а там иксы так же как и раньше ставятся с тучей WM?
> Парни, а там иксы так же как и раньше ставятся с тучей WM?Как это вы такого добились или туча это twm, fvwm, cwm?
Они, да. А что, три WM это мало? Ни одним не пользуюсь, если что.
> Они, да. А что, три WM это мало? Ни одним не пользуюсь, если что.twm - это часть иксов, и оно есть везде, где есть полный набор иксов
fvwm - это и есть дефолтный wm
а cwm - это лёгонькая альтернатива, он, наверное, занимает меньше, чем его man-страница, а все вместе они занимают меньше, чем твои посты на эту тему
а теперь расскажи, как они тебе мешают
changelog вдохновляет, молодцы. был бы я помоложе и имей столько времени сколько раньше, возможно, попробовал бы вместо фри на ноуте его, сейчас как-то уже лень экспериментировать :(
>>пакетный фильтр PFЕсли PF лучший или самый безопасный, то зачем в OpenBSD и FreeBSD держат по три фильтра в базовой системе-то? Не поймут за много лет какой лучше?
> Если PF лучший или самый безопасный, то зачем в OpenBSD и
> FreeBSD держат по три фильтра в базовой системе-то? Не поймут за
> много лет какой лучше?нет, не потому. Гадайте дальше.
>> Если PF лучший или самый безопасный, то зачем в OpenBSD и
>> FreeBSD держат по три фильтра в базовой системе-то? Не поймут за
>> много лет какой лучше?
> нет, не потому. Гадайте дальше.и гадал и спрашивал, нет ответа, никто не знает. На сайте FreeBSD в хандбуке было написано, что какой-кто хочет, тот и использует...
Причём фильтр по умолчанию во Фре 10 начисто отключен, ни один из трёх не работает после установки. В OpenBSD кажется тоже не один по умолчанию не установлен-система из коробки не настроена!!! Это уровень WinXP сервиспак1 !
>>> Если PF лучший или самый безопасный, то зачем в OpenBSD и
>>> FreeBSD держат по три фильтра в базовой системе-то? Не поймут за
>>> много лет какой лучше?
>> нет, не потому. Гадайте дальше.
> и гадал и спрашивал, нет ответа, никто не знает. На сайте FreeBSD
> в хандбуке было написано, что какой-кто хочет, тот
> и использует...Вот, это же Свобода BSD.
> по умолчанию не установлен-система из коробки не настроена!!! Это уровень WinXP
> сервиспак1 !А это, возможно [привет закону о рекламе], её заветная цель и путеводная з---да?...
>> нет, не потому. Гадайте дальше.
> и гадал и спрашивал, нет ответа, никто не знает. На сайте FreeBSDну или никто не хочет тратить на тебя время. Не догадываешься, почему?
> в хандбуке было написано, что какой-кто хочет, тот и использует...
эх... я вот iptables хочу... c ipsec handling от ipfw.
> Причём фильтр по умолчанию во Фре 10 начисто отключен, ни один из
> трёх не работает после установки. В OpenBSD кажется тоже не один
> по умолчанию не установлен-система из коробки не настроена!!!система из коробки - настроена правильно. В ней нет ничего, что следовало бы героически защищать фильтрами. А вот если ты что-то добавляешь - то это уже твоя ответственность и это тебе надо думать, не пора ли и фильтрами обзавестись, и какими, в зависимости от.
По умолчанию все установлено, что характерно, но не включено.> Это уровень WinXP сервиспак1 !
это уровень мозгов.
security by obscurity создает только видимость безопасности. Причем эта видимость вредна, поскольку отучает тебя думать головой, как и большинство пользователей winxp своего времени, от которых ты почему-то считаешь себя отличающимся.
обычно, первое что я делаю на свеженастроенном линуксе - сношу к чертям тот бред, который его авторы считали "файрволлом", вместе со всем тем хламом, который он героически прикрывает (в случаях, отличных от redhat - еще и со всем тем хламом, который норовит это дерьмо "асинхронно", как нынче модно, запускать), заменяя его своим наколенным скриптиком.
> обычно, первое что я делаю на свеженастроенном линуксе - сношу к чертям тот бред, который его авторы считали "файрволлом", вместе со всем тем хламом, который он героически прикрывает (в случаях, отличных от redhat - еще и со всем тем хламом, который норовит это дерьмо "асинхронно", как нынче модно, запускать), заменяя его своим наколенным скриптиком.Да, хорошо, конечно, когда у тебя только два сервера, да и те с LA 0.0. Можно вручную оба админить, каждый файл, каждый байтик там знать в лицо и давать им имена.
> Да, хорошо, конечно, когда у тебя только два сервера, да и теу тебя, похоже, три или четыре? ;-) (ну ладно, ладно, я верю что два десятка)
> с LA 0.0. Можно вручную оба админить, каждый файл, каждый байтик
> там знать в лицо и давать им имена.наоборот же ж - когда серверов сильно за тыщу, и все в общем одинаковые, можно позволить себе еще много дистрибутивных недоразумений ликвидировать на корню, заменим своими собственными [кто сказал "недоразумениями"?! ;-) ] - оно окупается. А имена будешь давать в svn репо, откуда оно все и раскладывается (а в связанном с ним trac - описывать зачем и от чего так, правда, один хрен потом никто не читает).
При этом для *bsd и в этом случае замена заключается в чем-нибудь типа авто-rdist'инга pf.conf вместе с остальными конфигами и незабывания pf_enable="YES" при генерации rc.conf (мы же не руками собираемся стейджить тысячи, да?), редхатоидам можно плюнуть и подменить /etc/sysconfig/iptables (не забывая про существование iptables-config, который так вот просто не меняется ;) а вот с остальными, увы, пичаль и страдание, особенно у тех, где пакеты не могут автоматически оверрайдить чужие файлы.
Когда их два десятка, все разные, файрволлы тюнятся индивидуально поскольку la нифига не 0, и быстро новую стойку не введешь, и еще надо помнить что "все мы временные", чтобы не создать опасных грабель тому кто после тебя придет - там сложнее, все время приходится выбирать между диверсионингом и времязатратами.
C опенком в этом месте все довольно неплохо - тот кто умеет его готовить, первым делом посмотрит в rc.conf (или не посмотрит, если знает что "у нас принято делать на ipfw"), следом - соответствующий конфиг.
Учитывая что опенок (да и free) нынче скорее встретится тебе именно в виде отдельного вручную выпиленного под специальный сорт задачи экземпляра, чем в виде фермы на энцать сотен, это хорошо.
>>>пакетный фильтр PF
> Если PF лучший или самый безопасный, то зачем в OpenBSD и
> FreeBSD держат по три фильтра в базовой системе-то? Не поймут за
> много лет какой лучше?Что, поттеринг потихоньку приучил обратно к виндузо-мако-вею - "есть только один правильный тул, а остальное от демонов!"?
> Что, поттеринг потихоньку приучил обратно к виндузо-мако-вею - "есть только один
> правильный тул, а остальное от демонов!"?честно-то говоря, конкретно в этом месте очень бы хотелось если не "один правильный", то хотя бы 'один, в общем случае правильный', но имеем что имеем.
Впрочем, единственный в моей карьере случай существенного ввода опенка в продакшн был связан именно с уникальными фичами его файрволла. Все остальное лучше бы было делать на чем-то еще.
Песни к 6.1 пока нет ссылок, к 6ке есть, есть перевод песен OpenBSD?
Думаю Тео начал понимать что ждут не выход OpenBSD в песню
На десктоп Опенок не подходит (как выше пишут сами апологеты).На сервере ОС, где в любой момент может измениться версия почтового сервера, жабы, СУБД итд (т.к. в портах, не имеющих среза -SECURITY), тоже не подходит.
Что остаётся? Честно, не понимаю.... микросерверы, где весь функционал обеспечивается базовой системой?
> На десктоп Опенок не подходит (как выше пишут сами апологеты).подходит, главное чтобы железо поддерживалось
> На сервере ОС, где в любой момент может измениться версия почтового сервера,
> жабы, СУБД итд (т.к. в портах, не имеющих среза -SECURITY), тоже
> не подходит.что?
> На десктоп Опенок не подходит (как выше пишут сами апологеты).Это только от части правда. FYI у всех разные требования к десктопу, уже пару лет использую как единственную ОС на рабочем ноуте: ssh, emacs, cu, браузер, ну музычку еще послушать. А в трудные времена запускаю xfreerdp. ;)
Опёнок как сетевой экран, маршрутизатор, шифровальщик, просто песня!Серверы и рабочие станции лучше Hardened Linux.
> Опёнок как сетевой экран, маршрутизатор, шифровальщик, просто песня!Да, и железо под него есть: http://www.cavium.com/OCTEON_MIPS64.html
> Опёнок как сетевой экран, маршрутизатор, шифровальщик, просто песня!унылая. Для админов локалхоста онли.
Сколько pps выдерживает этот ваш "маршрутизатор", как у него с распределением прерываний от современной мультиядерной интеловской 4x10G сетевки (хотя бы 4 и хотя бы 10)?
И кому он такой в этом свете нужен... Линукс кроет его как бык овцу (и не падает в kernel panic на ровном месте, от того что где-то по сей день текут какие-то статические структуры, память под которые ограничена чем-то смешным для современного мира)."сетевой экран" на основе банальной фильтрации пакетов (ок, pf, небанальной, но все еще - фильтрации пакетов, а не deep inspection) в XXI веке - это тоже только для самоуспокоения. А когда для полноценной работы ната в обоих двух вариантах нужны неадекватные и, в случае pf, просто недоделанные user-space запчасти, а какой-нибудь sip правильно пронатить в принципе невозможно, ибо нечем - можно спокойно перелистнуть и эту страницу.
С шифровальщиком тоже все как-то так себе, пытался я ЭТО приспособить к делу терминации (массовых, понятно, не локалхостовых) l2tp - что-то как-то ниасилил. То ли в виду недостатка времени (ибо сделано все перпендикулярно общепринятому kame), то ли все же оно в принципе было нерабочее.
Так что, увы и ах. Опенок сегодня - эталонное ненужно, все более-менее осмысленные и частью - бессмысленные технологии из него много лет назад скопированы или воспроизведены с чистого листа (carp, фильтры по os fingerprint, отдельные детали ipsec-стека). За последние годы ничего полезного, кроме мертворожденных проектов, они в этот мир не принесли. "В httpd добавлена поддержка SNI"... поздравляю, братцы, XXI век на дворе...
>> Опёнок как сетевой экран, маршрутизатор, шифровальщик, просто песня!
> Сколько pps выдерживает этот ваш "маршрутизатор",Ынтель Опёнка дровами не балует. В целом "A lot of code has been removed or simplified to make the transition to multi-processor easier. Redesign the interrupt and multi-processor locks in the network stack." использования современных многоядерных процессоров в сетевом стеке улучшается.
Если мерится письками то уж брать нормальное железо для сетей, с поддержкой 40G: http://www.cavium.com/OCTEON-III_CN7XXX.html И что? Теперь у Линукса дров нормальных нет и тормоза появились?
> "сетевой экран"
PF очень крут в умелых руках. Да его сегодня недостаточно. DPI желательно аппаратное и ОС играет уже второстепенную роль.
Хоть можно для HTTP, HTTPS прикрутить просто squid c MITM и clamav с дополнительными базами. Плюс для правки на лету вирусных html/JS/.. использовать privoxy. Такое решение (распределено по нескольким серверам) вполне сеть с ~10 000 клиентов будет очень хорошо фильтровать.
> а какой-нибудь sip правильно пронатить в принципе невозможно, ибо нечем - можно спокойно перелистнуть и эту страницу.
используй TOX поверху TCP и нать PF
страницу с sip телефонией все уже перелистнули. ;)
> С шифровальщиком тоже все как-то так себе,
А мне с ipsec опёнок показался очень простым, удобным и надёжным
> Так что, увы и ах. Опенок сегодня - эталонное ненужно,
Медленно развивается в сравнении с другим - это да! Но когда речь пойдёт о качестве и безопасности, то Опёнок уже становится более привлекательным.
Рекомендую использовать OpenBSD именно из-за безопасности на внешних шлюзах где аппаратные решения с DPI очень дороги или не удовлетворяют требованиям безопасности.
А сервера и рабочие станции внутри сети лучше на Hardened Linux.
> Ынтель Опёнка дровами не балуетну вон фрю побаловал - итого в какой-то момент мы их вертели на х... э...в руках вертели аж четыре штуки - один интеловский, второй интеловский более новый, яндексовый и еще какой-то там. И угадай что окажется в новой коробке - igb, em, или кто-то еще - тоже очень приятно.
А потом мы выкинули восемь фронтендов и поставили два, но линуксных, с штатным не самым свежим драйвером из поставки не самого распоследнего ядра.> использования современных многоядерных процессоров в сетевом стеке улучшается.
э... кто-то не понял: интеловская сетевуха _сама_, внутри себя, тоже уже многоядерная. Очереди внутри нее - привязаны к ядрам, и к прерываниям (нетривиальным запутанным образом). В момент, когда эти прерывания развешиваются по ядрам системного процессора - начинается трэш, содомия, ручной тюнинг и резня бензопилой в опенспейсе, потому что все восемь ядер норовят повиснуть на одном.
> Если мерится письками то уж брать нормальное железо для сетей, с поддержкой 40G:
> http://www.cavium.com/OCTEON-III_CN7XXX.html И что?и ничего, это процессор. Где (и, кстати, когда) ты купишь платформу в сборе, и сколько она тебе будет стоить по сравнению с типичным шедевром линухостроения для бед...для тех кого циски тоже затрахали, на базе банальной супермикровской помойки с четырьмя многоголовыми интелами внутри (нет, она тоже ни разу не по карману студенту, но разница будет, думаю, в десятки раз)? И в эксплуатации оно сколько потянет (учитывая что те помойки - даже если у них от перегрузки перегрелся и отпаялся нахрен sfp-модуль, упав и закоротив потроха - все еще можно оживить сравнительно занедорого)? Сколько грабель ты соберешь на только-что-из-печки разработке? Нет, может F5 какие-нибудь и поведутся, но им, по-моему, опена не нать...
> PF очень крут в умелых руках.
расскажи мне про то, как там работает нат ftp, для начала.
(про попытку заменять современные файрволы поделкой на базе сквида - даже обсуждать не буду, ты явно не в теме, извини уж)> используй TOX поверху TCP и нать PF
еще одно эталонное ненужно, написанное не людьми а тюленями. (да, я заглядывал в код)
Поверх тцп - разговаривать будешь с соседней комнатой (иногда заглядывая в дверь, потому что ой, опять пакетик пропал)
> страницу с sip телефонией все уже перелистнули. ;)админы локалхоста - наверное да. А операторы как зарабатывали деньги на сипе, так и зарабатывают (и проблемы твоего ната их ни в малейшей степени не колебут, что характерно, альтернативно ориентированный кастомер с воза, кобыле легче и волки сыты).
> Медленно развивается в сравнении с другим - это да!
это была бы хорошая фраза в каком-нибудь 1998-м.
> Но когда речь пойдёт о качестве и безопасности
то даже беглый анализ говорит о том, что ни качества, ни безопасности там в помине нет.
"20 лет без удаленных уязвимостей в условиях отключенного от сети интерфейса", да, Тео?
> "20 лет без удаленных уязвимостей в условиях отключенного от сети интерфейса", да,
> Тео?как ни прискорбно, в общем и целом согласен с "nox". говорю от лица тех самых "нuщeбрoдов", на роутерах которых OpenBSD (по идее) может заменить "сиськи". в нашем случае Linux сделал это лучше. как бы не в разы. тупо потому, что умеет mp/smp. "лучшее - враг хорошего"(ц)
глупо, но вижу нишу OpenBSD на десктопе. с однообразной красивой gtk2 темой. система достаточно проста и логична (со своими нюансами, куда уж без них), чтобы желать проекту всех благ и долгие лета.
> Enforcement of userland W^X on OCTEON Plus and later.http://www.cavium.com/Table.html#OcteonIII
А эти октеоны от кавиум, тихо и незаметно, сильно похорошели. И сабж для них подтянулся.
Кто на этом:http://www.cavium.com/OCTEON-III_CN7XXX.html Опёнка запускал? Есть тесты, отзывы, как с масштабированием SMP дела?
>Представлена новая утилита syspatch, позволяющая выполнить бинарное обновление базовой системы.То есть они добрались до базового функционала Линукса образца 2000 года? То есть у меня ещё есть примерно 15 лет до того, как они изобретут свой systemd и внедрят его всем без спроса?
пляшем, бабы, пляшем
Что можно сказать по поводу быстродействия этой ОСи по сравнению с Linux? Как она вообще дружит с многоядерными процессорами, например, Intel Core i5?