URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 67696
[ Назад ]

Исходное сообщение
"Обзор развития проекта OpenBSD"

Отправлено opennews , 04-Июн-10 10:50 
За последний месяц в OpenBSD (http://www.openbsd.org/) произошли следующие изменения (помимо упомянутого недавно отдельно частичного перехода (http://www.opennet.me/opennews/art.shtml?num=26737) на GCC 4):


-  Убрана платформа moko (OpenMoko). Причины — отсутствие разработчиков (проект изначально делался в рамках Google Summer of Code, да так с тех пор толком и не развивался) и отсутствие документации на видеодрайвер.
-  Новый демон ldapd (http://marc.info/?l=openbsd-cvs&m=127532743713967&w=2), представляющий собой простую реализацию LDAP-протокола. Буквально только что включён (http://marc.info/?l=openbsd-cvs&m=127558753922513&w=2) в общую сборку ОС.

-  Новый демон iked (http://marc.info/?l=openbsd-cvs&m=127558341114984&w=2), представляющий собой реализацию IKEv2. Он дополняет собой isakmpd, реализующий IKEv1/ISAKMP. Возможно, в будущем в iked будет добавлена реализация этих протоколов, а пока что работа сконцетрирована на IKEv2. Демон уже работает в качестве responder'а ...

URL: http://www.openbsd.org/plus.html
Новость: http://www.opennet.me/opennews/art.shtml?num=26839


Содержание

Сообщения в этом обсуждении
"Обзор развития проекта OpenBSD"
Отправлено аноним , 04-Июн-10 10:50 
Радует. Удобнее системы ни на десктопе, ни на сервере я еще не видел.

"Обзор развития проекта OpenBSD"
Отправлено metallic , 04-Июн-10 13:26 
На десктопе? Мусье знает толк в извращениях.

"Обзор развития проекта OpenBSD"
Отправлено аноним , 04-Июн-10 13:31 
Аргументов, как обычно не будет - типичное мнение mainstream-хомячка.

"Обзор развития проекта OpenBSD"
Отправлено User294 , 04-Июн-10 14:13 
А чем мнение майнстрим-хомячка отличается от мнения не-майнстрим-хомячка? Я вижу только одно отличие двух соседних мнений хомячков: в одном еще банальный и унылый "илитизм" из всех щелей прет. Ну да, когда больше нечем выделиться - остается выделяться используемой операционкой. Только хреново как-то, если операционка - это единственное чем вы можете козырнуть. Как говорится - не место красит человека...

"Обзор развития проекта OpenBSD"
Отправлено аноним , 04-Июн-10 14:30 
Майнстрим хомячек не видел других систем кроме своей и ему удивительно, что OpenBSD десктоп как минимум не хуже, только и всего. А "илитизм" - это вы других по себе судите, не более.

"Обзор развития проекта OpenBSD"
Отправлено Michael Shigorin , 04-Июн-10 17:18 
Я этот ваш опёнок видел ещё тогда, когда размер дискового кэша при сборке ядра задавался...

Тогда как десктоп он субъективно даже на хлам не тянул -- в этом направлении рывок произошёл где-то около 2006 или 2007 года, помнится.

Общаться с Тео желания нет никакого и сейчас, равно как и уверенности в том, что заработает звуковая карточка 24/96 (snd-ice1724 в терминологии ALSA), файрвайрная видеокамера или слайд-сканер Nikon, который под линуксом работает как минимум с VueScan.  Ну и BSD-комьюнити/модель/лицензия со всеми вытекающими, что для себя нахожу минусом.

(это всё при том, что давно уж порой общаемся с одним из киевских опёнкоразработчиков, который порой делает зажигательные доклады на наших осенних конференциях)

> "илитизм"

Так всё-таки можно ль попросить обе уважаемые стороны высказаться предметно -- чем "удобнее" и чем "неудобнее", и какие иные ОС видел original poster? :)


"Обзор развития проекта OpenBSD"
Отправлено PereresusNeVlezaetBuggy , 04-Июн-10 18:06 
>Я этот ваш опёнок видел ещё тогда, когда размер дискового кэша при
>сборке ядра задавался...

Хм, сколько помню, он через config(8) настраивался, так что пересобирать ядро не было необходимости.

>Тогда как десктоп он субъективно даже на хлам не тянул -- в
>этом направлении рывок произошёл где-то около 2006 или 2007 года, помнится.

Смотря какие запросы, это понятно.

>Общаться с Тео желания нет никакого и сейчас, равно как и уверенности
>в том, что заработает звуковая карточка 24/96 (snd-ice1724 в терминологии ALSA),

Видимо, вы про это? http://www.openbsd.org/cgi-bin/man.cgi?query=envy&sektion=4&... Вообще, должен сказать, что звуковая подсистема в OpenBSD сейчас мне нравится больше, чем во всех других ОС. Хотя четыре года назад с этим было действительно грустно. :)

>файрвайрная видеокамера

Не заработает. :(

>или слайд-сканер Nikon, который под линуксом работает как минимум
>с VueScan.

SANE работает, uscanner(4) тоже, ну а конкретнее сказать по имеющимся сведениям не получится. :)

>> "илитизм"
>
>Так всё-таки можно ль попросить обе уважаемые стороны высказаться предметно -- чем
>"удобнее" и чем "неудобнее", и какие иные ОС видел original poster?
>:)


"Обзор развития проекта OpenBSD"
Отправлено Michael Shigorin , 06-Июн-10 18:35 
>>когда размер дискового кэша при сборке ядра задавался...
>Хм, сколько помню, он через config(8) настраивался, так что пересобирать ядро не
>было необходимости.

Дело было году в 2002 и, кажется, 2.x.

>>в том, что заработает звуковая карточка 24/96 (snd-ice1724 в терминологии ALSA),
>Видимо, вы про это?

Драйвер да, а карта -- Mad Dog Entertainer 5.1:

01:09.0 Multimedia audio controller [0401]: VIA Technologies Inc. VT1720/24 [Envy24PT/HT] PCI Multi-Channel Audio Controller [1412:1724] (rev 01)
        Subsystem: VIA Technologies Inc. Albatron PX865PE 7.1 [1412:1724]
        Kernel driver in use: ICE1724
        Kernel modules: snd-ice1724

Под альсой удалось завести и вольфсоновский DAC (через который собсно 96/24 в стерео с заметно другими гармониками и можно засылать на 150АС-002М).

Koba>А какая именно карта? Если она еще не поддерживается и есть желание
Koba>потестировать патчики, то можно добавить поддержку и для вашей карты.
Разве что с LiveCD/flash (напряжно) или ненадолго одолжить кому в Киеве (изрядно напряжно).

>>файрвайрная видеокамера
>Не заработает. :(

Родители не поймут. :)

>>или слайд-сканер Nikon, который под линуксом работает как минимум
>>с VueScan.
>SANE работает, uscanner(4) тоже, ну а конкретнее сказать по имеющимся сведениям не
>получится. :)

Забыл сказать -- он тоже IEEE1394, это Nikon Super Coolscan 4000ED.  В SANE поддерживается теоретически, как-то пару лет назад писал им (когда железка ещё здесь в гостях была, а не на ПМЖ) -- может, не дошло или не дошли, но и сейчас в бэкендах coolscan2/coolscan3 не наблюдается.  Вот у Хэмрика да, работает.


"Обзор развития проекта OpenBSD"
Отправлено PereresusNeVlezaetBuggy , 06-Июн-10 19:45 
>>>когда размер дискового кэша при сборке ядра задавался...
>>Хм, сколько помню, он через config(8) настраивался, так что пересобирать ядро не
>>было необходимости.
>
>Дело было году в 2002 и, кажется, 2.x.

47 - (2010 - 2002) x 2 = 31. Хм, я на опёнок перелез только в 3.6. :) Проверил в CVS — эта настройка появилась в феврале 2002 года, в релизах начиная с 3.1.

>[оверквотинг удален]
>01:09.0 Multimedia audio controller [0401]: VIA Technologies Inc. VT1720/24 [Envy24PT/HT] PCI Multi-Channel
>Audio Controller [1412:1724] (rev 01)
>        Subsystem: VIA Technologies Inc.
>Albatron PX865PE 7.1 [1412:1724]
>        Kernel driver in use:
>ICE1724
>        Kernel modules: snd-ice1724
>
>Под альсой удалось завести и вольфсоновский DAC (через который собсно 96/24 в
>стерео с заметно другими гармониками и можно засылать на 150АС-002М).

Утверждать на 100%, конечно, не могу, но, похоже, это полный аналог другой карты, с теми же PCI ID, и которая envy(4) поддерживается.

>>>файрвайрная видеокамера
>>Не заработает. :(
>
>Родители не поймут. :)

Понимаю. :( Вообще с FireWire всё как-то непонятно; насколько помню, IEEE1394 даёт возможность устройству полностью сканить память хоста, даже если ОС сдохла. А это как-то не комильфо (хотя приятно для тех, кто в ядре любит поковыряться, конечно). :-\ За точность сведений не ручаюсь, так что это на уровне новостей агентства ОБС.

>>>или слайд-сканер Nikon, который под линуксом работает как минимум
>>>с VueScan.
>>SANE работает, uscanner(4) тоже, ну а конкретнее сказать по имеющимся сведениям не
>>получится. :)
>
>Забыл сказать -- он тоже IEEE1394, это Nikon Super Coolscan 4000ED.

:(


"Обзор развития проекта OpenBSD"
Отправлено Michael Shigorin , 06-Июн-10 19:59 
>насколько помню, IEEE1394 даёт возможность устройству полностью сканить память хоста

AFAIK да.

>даже если ОС сдохла.

А вот про такое знаю только насчёт макового железа, про иное не слышал.


"Обзор развития проекта OpenBSD"
Отправлено Koba , 06-Июн-10 20:37 
>[оверквотинг удален]
>>        Kernel driver in use:
>>ICE1724
>>        Kernel modules: snd-ice1724
>>
>>Под альсой удалось завести и вольфсоновский DAC (через который собсно 96/24 в
>>стерео с заметно другими гармониками и можно засылать на 150АС-002М).
>
>Утверждать на 100%, конечно, не могу, но, похоже, это полный аналог другой
>карты, с теми же PCI ID, и которая envy(4) поддерживается.
>

Неа, не поддерживается, все проблема в DAC и ADC, для разных карт используются разные DAC и ADC, их нужно инициализировать каждый по своему.


"Обзор развития проекта OpenBSD"
Отправлено Koba , 06-Июн-10 17:43 
А какая именно карта? Если она еще не поддерживается и есть желание потестировать патчики, то можно добавить поддержку и для вашей карты.

"Обзор развития проекта OpenBSD"
Отправлено metallic , 04-Июн-10 18:45 
А что тут аргументировать нужно? По-моему, все очевидно. Десктоп - значит прикладной софт, мультимедиа, зоопарк оборудования. Кто из производителей десктопного железа будет из-за 0.00001% пользователей пилить дрова? ТВ-тюнеры, звуковухи, видеокарты, переферия и т.д. Что в этой опенбсд можно делать на десктопе кроме как серфить инет и серфить инет?
Смысл в ней есть только на серваке(роутере), да и то, после того как портировали PF во фряху, опербсд можно закапывать и продолжать пилить PF

"Обзор развития проекта OpenBSD"
Отправлено PereresusNeVlezaetBuggy , 04-Июн-10 19:36 
>А что тут аргументировать нужно? По-моему, все очевидно. Десктоп - значит прикладной
>софт, мультимедиа, зоопарк оборудования. Кто из производителей десктопного железа будет из-за
>0.00001% пользователей пилить дрова? ТВ-тюнеры, звуковухи, видеокарты, переферия и т.д.

Да никто и не просит производителей оборудования пилить дрова. Пусть просто выкладывают документацию, а дрова напишут. Вон, подразделение, отвечающее за Ethernet-технологии Intel выкладывает толковые спеки — как результат, драйвера fxp(4) и em(4) в OpenBSD прекрасно поддерживаются самими разработчиками, и пользователи довольны.

>Что в этой опенбсд можно делать на десктопе кроме как серфить инет
>и серфить инет?

Некоторые используют для работы со звуком, кто-то в игры играется (DRI/DRM для Intel и ATI на x86, а также ряда карт на платформе UltraSPARC давно работоспособен) и так далее.

>Смысл в ней есть только на серваке(роутере), да и то, после того
>как портировали PF во фряху, опербсд можно закапывать и продолжать пилить
>PF

Угу. Вы забыли про OpenSSH, OpenBGPD, OpenSPFD и многое другое. Да и PF во фряхе постоянно протухший… Скажите честно, что не пробовали, а говорите по слухам, и всё будет понятно. :)


"Обзор развития проекта OpenBSD"
Отправлено metallic , 04-Июн-10 20:47 
>> Некоторые используют для работы со звуком, кто-то в игры играется (DRI/DRM для Intel и >> ATI на x86, а также ряда карт на платформе UltraSPARC давно работоспособен) и так далее.

Сомневаюсь, что кто-то серъезно работает со звуком под опенком. Оспаривать факт, что в нем куда меньше софта и поддержки железа, чем в линуксе - глупо.

>> Угу. Вы забыли про OpenSSH, OpenBGPD, OpenSPFD и многое другое

О том и речь, что в опенке фич максимум на сервис пак для фряхи. Фряхи и линукса нам за глаза, зачем нам этот зоопарк?

>> Да и PF во фряхе постоянно протухший…

Я о том и говорю, зачем код туда-сюда гонять.

>> Скажите честно, что не пробовали

Скажу честно: на десктопе - нет. Мне такое и в голову прийти не могло. А что там, другие кеды или гном?


"Обзор развития проекта OpenBSD"
Отправлено PereresusNeVlezaetBuggy , 05-Июн-10 00:27 
>>> Некоторые используют для работы со звуком, кто-то в игры играется (DRI/DRM для Intel и >> ATI на x86, а также ряда карт на платформе UltraSPARC давно работоспособен) и так далее.
>
>Сомневаюсь, что кто-то серъезно работает со звуком под опенком.

Вам прямым текстом говорят, что работают, а вы как будто не замечаете. :-P Надоедает уже, если честно, каждый раз в архивы списков рассылки *@openbsd.org залезать, чтобы ткнуть носом: http://marc.info/?l=openbsd-misc&m=125328188907348&w=2 . Собственно, фреймворк sndio родился именно из желания поиметь удобную систему для работы со звуком: с низкой латентностью, простую в использовании и, само собой, безопасную.

> Оспаривать факт, что
>в нем куда меньше софта и поддержки железа, чем в линуксе
>- глупо.

Меньше софта != меньше возможностей, между прочим. Да, в портах OpenBSD нет кучи говна, или просто дублирующих уже имеющийся функционал пакетов. Зато там проще ориентироваться, проще собственно выполнять конкретные задачи. Какой-то софт есть только под Linux да. А какой-то только под Опёнок. ;) И если Опёнок выполняет все возлагаемые на него задачи, и выполняет хорошо, то поводов использовать что-то другое не вижу. Разумеется, то же относится и к любой другой ОС.

>>> Угу. Вы забыли про OpenSSH, OpenBGPD, OpenSPFD и многое другое
>
>О том и речь, что в опенке фич максимум на сервис пак
>для фряхи. Фряхи и линукса нам за глаза, зачем нам этот
>зоопарк?

Дорогой тролль, никогда не видевший OpenBSD вживую: пожалуйста, поищите в себе чувство стыда, и больше не пишите такой ахинеи, а?

>>> Да и PF во фряхе постоянно протухший…
>
>Я о том и говорю, зачем код туда-сюда гонять.

Разработчики FreeBSD и OpenBSD вас спросить забыли.

>>> Скажите честно, что не пробовали
>
>Скажу честно: на десктопе - нет. Мне такое и в голову прийти
>не могло. А что там, другие кеды или гном?

В том-то и дело, что те же самые. :) Поэтому десктоп получается, где-то слабее, где-то сильнее, а в целом вполне юзабельный.


"Обзор развития проекта OpenBSD"
Отправлено nuclight , 07-Июн-10 17:43 
>[оверквотинг удален]
>>зоопарк?
>
>Дорогой тролль, никогда не видевший OpenBSD вживую: пожалуйста, поищите в себе чувство
>стыда, и больше не пишите такой ахинеи, а?
>
>>>> Да и PF во фряхе постоянно протухший…
>>
>>Я о том и говорю, зачем код туда-сюда гонять.
>
>Разработчики FreeBSD и OpenBSD вас спросить забыли.

Ну почему, вообще-то, он прав. Например, портирование pf - доставляет большую головную боль майнтейнерам. При этом они не могут как-то вменяемо адаптировать pf к родным фичам FreeBSD. Почему? Потому что он импортируется, а добавление собственных фич - многократно увеличивает геморрой. Был бы он проектом для ядра FreeBSD - было бы куда проще. Недаром идет уже брожение умов сделать свой форк pf.

И верно это не только для ядра, но и для перечисленного выше юзерлэндного софта. Да, OpenBSD по сути - поставщик ряда проектов для других юниксов. Но сфокусировались бы на этом, все бы только спасибо говорили - так нет же, разбазаривают свои ресурсы на совершенную чухню. Вот, например, OpenCVS - какой был смысл реимплементить заново "как есть" давно идеологически протухший CVS, когда можно было создать пристойный конкурент SVN (паршивый ведь!) под BSD-лицензией?.. И, к сожалению, это не единственный пример...


"Обзор развития проекта OpenBSD"
Отправлено PereresusNeVlezaetBuggy , 08-Июн-10 12:13 
>[оверквотинг удален]
>>>Я о том и говорю, зачем код туда-сюда гонять.
>>
>>Разработчики FreeBSD и OpenBSD вас спросить забыли.
>
>Ну почему, вообще-то, он прав. Например, портирование pf - доставляет большую головную
>боль майнтейнерам. При этом они не могут как-то вменяемо адаптировать pf
>к родным фичам FreeBSD. Почему? Потому что он импортируется, а добавление
>собственных фич - многократно увеличивает геморрой. Был бы он проектом для
>ядра FreeBSD - было бы куда проще. Недаром идет уже брожение
>умов сделать свой форк pf.

Как раз об этом я и говорил. Что разработчики FreeBSD как-нибудь сами разберутся, что им нужно, равно как и разработчики OpenBSD разберутся, как им писать свой продукт. Если надо, форкайте на здоровье. :) Да, pf не пишется изначально с целью облегчить портирование — звиняйте. Впрочем, если у вас есть патчи, не усложняющие код, но при этом облегчающие портирование в FreeBSD — попробуйте отослать на tech@openbsd.org. Ничего обещать, конечно, не могу. Но если ко всему этому вы ещё что-то интересное предложите — думаю, ваши патчи охотно примут. :)

А насчёт «был бы он проектом ядра FreeBSD» — простите, смешно. Где FreeBSD была, когда pf писали? А?

>И верно это не только для ядра, но и для перечисленного выше
>юзерлэндного софта. Да, OpenBSD по сути - поставщик ряда проектов для
>других юниксов. Но сфокусировались бы на этом, все бы только спасибо
>говорили - так нет же, разбазаривают свои ресурсы на совершенную чухню.

Они делают систему для себя. Это написано везде, где только можно. :)

>Вот, например, OpenCVS - какой был смысл реимплементить заново "как есть"
>давно идеологически протухший CVS, когда можно было создать пристойный конкурент SVN
>(паршивый ведь!) под BSD-лицензией?.. И, к сожалению, это не единственный пример...

1. CVS, если помните, GPL-ный.
2. Переход на другую VCS, AFAIK, пока что не рассматривается, так как весомого резона переезжать с CVS нет. FreeBSD переехали? Молодцы, я за вас рад. Но всех по себе мерять не надо, а? :)
3. Те разработчики, которым милы идеи DVCS, используют cvsync; оно работает, ну и don't fix it if it's not broken.
4. Завидовать грешно.


"Обзор развития проекта OpenBSD"
Отправлено nuclight , 08-Июн-10 15:16 
>>Ну почему, вообще-то, он прав. Например, портирование pf - доставляет большую головную
>>боль майнтейнерам. При этом они не могут как-то вменяемо адаптировать pf
>>к родным фичам FreeBSD. Почему? Потому что он импортируется, а добавление
>>собственных фич - многократно увеличивает геморрой. Был бы он проектом для
>>ядра FreeBSD - было бы куда проще. Недаром идет уже брожение
>>умов сделать свой форк pf.
>
>Как раз об этом я и говорил. Что разработчики FreeBSD как-нибудь сами
>разберутся, что им нужно, равно как и разработчики OpenBSD разберутся, как
>им писать свой продукт.

То есть Вы считаете, что разбазаривание ресурсов разработчиков - это нормально? Это ведь не есть "как-нибудь разберутся", а "вынужденная мера ввиду неадекватности вендора".

>Если надо, форкайте на здоровье. :) Да,
>pf не пишется изначально с целью облегчить портирование — звиняйте. Впрочем,
>если у вас есть патчи, не усложняющие код, но при этом облегчающие портирование в FreeBSD

Вы, видимо, не в курсе, что форки - беда опенсорса. А еще - вот именно такое отношение и отбивает всякое желание что-то делать для pf. В том числе поэтому я предпочитаю им даже не пользоваться.

>А насчёт «был бы он проектом ядра FreeBSD» — простите, смешно. Где
>FreeBSD была, когда pf писали? А?

"Президент Туркменистана Сапармурад Ниязов в великой книге "Рухнама" с гордостью пишет, что туркмены изобрели колесо, письменность, выплавку металлов. Никто этого не отрицает. Просто другие народы в это время изобрели компьютеры и полетели в космос" (с) анекдот

FreeBSD в это время создавала GEOM, netgraph, обеспечивала хоть как-то работающую поддержку SMP.

>>И верно это не только для ядра, но и для перечисленного выше
>>юзерлэндного софта. Да, OpenBSD по сути - поставщик ряда проектов для
>>других юниксов. Но сфокусировались бы на этом, все бы только спасибо
>>говорили - так нет же, разбазаривают свои ресурсы на совершенную чухню.
>
>Они делают систему для себя. Это написано везде, где только можно. :)

Да. И это плохо.

>>Вот, например, OpenCVS - какой был смысл реимплементить заново "как есть"
>>давно идеологически протухший CVS, когда можно было создать пристойный конкурент SVN
>>(паршивый ведь!) под BSD-лицензией?.. И, к сожалению, это не единственный пример...
>
>1. CVS, если помните, GPL-ный.

Я и сказал, написать новое под BSD-лицензией. В чем возражение?

>2. Переход на другую VCS, AFAIK, пока что не рассматривается, так как
>весомого резона переезжать с CVS нет. FreeBSD переехали? Молодцы, я за
>вас рад. Но всех по себе мерять не надо, а? :)

Вы, видимо, не в курсе, что это была вынужденная мера. Сильно вынужденная - потому что адекватной альтернативы под потребности проекта среди существующих DVCS нет. Тут бы родственный проект с родственными потребностями мог помочь, но он почему-то предпочел переизобрести то же говно мамонта в точности как есть, без адаптации к современным реалиям.

>3. Те разработчики, которым милы идеи DVCS, используют cvsync; оно работает, ну
>и don't fix it if it's not broken.

DVCS - это прежде всего не sync/offline, а много веток и вменяемый merge.

>4. Завидовать грешно.

А это Вы вообще к чему? Проецируете?


"Обзор развития проекта OpenBSD"
Отправлено PereresusNeVlezaetBuggy , 09-Июн-10 00:39 
>[оверквотинг удален]
>>>собственных фич - многократно увеличивает геморрой. Был бы он проектом для
>>>ядра FreeBSD - было бы куда проще. Недаром идет уже брожение
>>>умов сделать свой форк pf.
>>
>>Как раз об этом я и говорил. Что разработчики FreeBSD как-нибудь сами
>>разберутся, что им нужно, равно как и разработчики OpenBSD разберутся, как
>>им писать свой продукт.
>
>То есть Вы считаете, что разбазаривание ресурсов разработчиков - это нормально? Это
>ведь не есть "как-нибудь разберутся", а "вынужденная мера ввиду неадекватности вендора".

Вендор честно заявляет, что не позиционирует pf как отдельный продукт. С тем же успехом можно жаловаться на MySQL, что они MyISAM не дают легко портировать. :-P

>>Если надо, форкайте на здоровье. :) Да,
>>pf не пишется изначально с целью облегчить портирование — звиняйте. Впрочем,
>>если у вас есть патчи, не усложняющие код, но при этом облегчающие портирование в FreeBSD
>
>Вы, видимо, не в курсе, что форки - беда опенсорса. А еще
>- вот именно такое отношение и отбивает всякое желание что-то делать
>для pf. В том числе поэтому я предпочитаю им даже не
>пользоваться.

Понимаете, вы (не только вы лично) ведёте себя как будто вам что-то обещали. Это выглядит точно так же как когда приходит Вася Пупкин на форум/лист рассылки/багтрекер и сообщает, что ему не нравится, как окно программы выглядит в его суперкастомизированном оконном менеджере — и обижается, когда его запрос, ничем не подкреплённый, игнорируется. Если разработчик делает свой продукт не ради денег, а просто в удовольствие, то он никому ничего не обязан! Разработчик _может_ выполнить просьбу. А может не выполнить. Это его дело, и обижаться, как это обычно делают такие Васи, не на что. Если Вася придёт с патчами или коммерческим предложением — это другой разговор. А так — это, простите, тупой whining.

>>А насчёт «был бы он проектом ядра FreeBSD» — простите, смешно. Где
>>FreeBSD была, когда pf писали? А?
>
>"Президент Туркменистана Сапармурад Ниязов в великой книге "Рухнама" с гордостью пишет, что
>туркмены изобрели колесо, письменность, выплавку металлов. Никто этого не отрицает. Просто
>другие народы в это время изобрели компьютеры и полетели в космос"
>(с) анекдот
>
>FreeBSD в это время создавала GEOM, netgraph, обеспечивала хоть как-то работающую поддержку
>SMP.

Да я не в этом смысле. Речь о том, что если кто-то хотел поучаствовать в разработке pf на ранних этапах, и, возможно, изменить его OpenBSD-ориентированность, то ему никто не мешал. Ну а сейчас — простите.

>>>И верно это не только для ядра, но и для перечисленного выше
>>>юзерлэндного софта. Да, OpenBSD по сути - поставщик ряда проектов для
>>>других юниксов. Но сфокусировались бы на этом, все бы только спасибо
>>>говорили - так нет же, разбазаривают свои ресурсы на совершенную чухню.
>>
>>Они делают систему для себя. Это написано везде, где только можно. :)
>
>Да. И это плохо.

Зато честно. А то многие, бывает, заявляют, что вот, я делаю крутой проект для всех, а юзеры в итоге получают обратной связи ноль без палочки.

>>>Вот, например, OpenCVS - какой был смысл реимплементить заново "как есть"
>>>давно идеологически протухший CVS, когда можно было создать пристойный конкурент SVN
>>>(паршивый ведь!) под BSD-лицензией?.. И, к сожалению, это не единственный пример...
>>
>>1. CVS, если помните, GPL-ный.
>
>Я и сказал, написать новое под BSD-лицензией. В чем возражение?

Формулировка вашего вопроса заставил упомянуть этот пункт. Да, я зануда, и это гены — мать корректором работает. :-P

>>2. Переход на другую VCS, AFAIK, пока что не рассматривается, так как
>>весомого резона переезжать с CVS нет. FreeBSD переехали? Молодцы, я за
>>вас рад. Но всех по себе мерять не надо, а? :)
>
>Вы, видимо, не в курсе, что это была вынужденная мера. Сильно вынужденная
>- потому что адекватной альтернативы под потребности проекта среди существующих DVCS
>нет. Тут бы родственный проект с родственными потребностями мог помочь, но
>он почему-то предпочел переизобрести то же говно мамонта в точности как
>есть, без адаптации к современным реалиям.

Может, и мог бы помочь, только что-то я не помню, чтобы кто-то о помощи просил. Хотя, конечно, личную переписку разработчиков OpenCVS я не читал. :)

>>3. Те разработчики, которым милы идеи DVCS, используют cvsync; оно работает, ну
>>и don't fix it if it's not broken.
>
>DVCS - это прежде всего не sync/offline, а много веток и вменяемый
>merge.

Ветки тем же cvsync'ом эмулируются. По моему опыту всё равно удобнее на каждую свою ветку разработки отдельный репозитарий заводить, даже в «честных» DVCS (правда, говорят, в git с этим получше, но у меня с ним как-то не сложилось любви, уж не знаю, почему).

>>4. Завидовать грешно.
>
>А это Вы вообще к чему? Проецируете?

Так… показалось… надеюсь. ;)


"Обзор развития проекта OpenBSD"
Отправлено nuclight , 15-Июн-10 14:33 
>>То есть Вы считаете, что разбазаривание ресурсов разработчиков - это нормально? Это
>>ведь не есть "как-нибудь разберутся", а "вынужденная мера ввиду неадекватности вендора".
>
>Вендор честно заявляет, что не позиционирует pf как отдельный продукт. С тем
>же успехом можно жаловаться на MySQL, что они MyISAM не дают
>легко портировать. :-P

Они коммерческая фирма, прежде всего. Но Вы на вопрос не ответили: Вы считаете, разбазаривание ресурсов - это нормально?
(да, я тоже зануда)

>>Вы, видимо, не в курсе, что форки - беда опенсорса. А еще
>>- вот именно такое отношение и отбивает всякое желание что-то делать
>>для pf. В том числе поэтому я предпочитаю им даже не
>>пользоваться.
>
>Понимаете, вы (не только вы лично) ведёте себя как будто вам что-то
>обещали. Это выглядит точно так же как когда приходит Вася Пупкин
>на форум/лист рассылки/багтрекер и сообщает, что ему не нравится, как окно
>программы выглядит в его суперкастомизированном оконном менеджере — и обижается, когда его запрос, ничем не подкреплённый, игнорируется.

Нет, не точно так же. Есть проекты, которые доброжелательно относятся к посторонним (и к пользователям), и есть те, которые не очень.

>[оверквотинг удален]
>не обязан! Разработчик _может_ выполнить просьбу. А может не выполнить. Это
>его дело, и обижаться, как это обычно делают такие Васи, не
>на что. Если Вася придёт с патчами или коммерческим предложением —
>это другой разговор. А так — это, простите, тупой whining.
>
>>Да. И это плохо.
>
>Зато честно. А то многие, бывает, заявляют, что вот, я делаю крутой
>проект для всех, а юзеры в итоге получают обратной связи ноль
>без палочки.

Проблема с этим часто встречающимся в опенсорсе размышлением - в том, что оно просто неверно. Разработчик делает что-то либо сугубо для себя, либо для себя и еще кого-то, либо целиком для кого-то (коммерческий заказ). Так вот случай "сугубо для себя" бывает только в одном варианте: разработчик сделал проект _целиком_ под свои нужды, а затем просто отдал сообществу - кто хочет, может подпиливать.

Все остальные случаи - это "и еще для кого-то". Возникает оно потому, что один человек не может сделать себе всё потребное. Один, скажем, пишет ядро в обмен на то, что другой, к примеру, майнтейнит порты. Или в широком смысле, чтобы другой писал какое-нибудь нужное ему прложение. Проблема здесь в том, что такой софт бесплатен, и границы, кто кому сколько должен, размыты, и вообще не озвучиваются явно. Но они есть - разработчик из примера выше пишет не только для своего удовольствия, но и в обмен на репутацию, славу etc. моральные вознаграждения. Статьи по психологии и философии OpenSource на эту тему в сети есть.

>Да я не в этом смысле. Речь о том, что если кто-то
>хотел поучаствовать в разработке pf на ранних этапах, и, возможно, изменить
>его OpenBSD-ориентированность, то ему никто не мешал. Ну а сейчас —
>простите.

А кто бы об этом знал, пока они его не сделали? Странное возражение.

>>>>Вот, например, OpenCVS - какой был смысл реимплементить заново "как есть"
>>>>давно идеологически протухший CVS, когда можно было создать пристойный конкурент SVN
>>>>(паршивый ведь!) под BSD-лицензией?.. И, к сожалению, это не единственный пример...
>>>
>>>1. CVS, если помните, GPL-ный.
>>
>>Я и сказал, написать новое под BSD-лицензией. В чем возражение?
>
>Формулировка вашего вопроса заставил упомянуть этот пункт. Да, я зануда, и это
>гены — мать корректором работает. :-P

Вам померещилось. Формулировка корректна.

>Может, и мог бы помочь, только что-то я не помню, чтобы кто-то
>о помощи просил. Хотя, конечно, личную переписку разработчиков OpenCVS я не
>читал. :)

Так а уже поздно просить было - родственный проект вместо чего-то нормального к тому времени уже делал OpenCVS. Не посмотрели в будущее -увы. Хотя проблемы CVS тоже на себе прочувствовали, раз переписать взялись.

>>DVCS - это прежде всего не sync/offline, а много веток и вменяемый
>>merge.
>
>Ветки тем же cvsync'ом эмулируются. По моему опыту всё равно удобнее на
>каждую свою ветку разработки отдельный репозитарий заводить, даже в «честных» DVCS
>(правда, говорят, в git с этим получше, но у меня с
>ним как-то не сложилось любви, уж не знаю, почему).

Что, и вменяемый merge эмулируется? Не верю, в CVS нужных метаданных просто нет :) Дело-то отнюдь не в самих ветках...

>>>4. Завидовать грешно.
>>
>>А это Вы вообще к чему? Проецируете?
>
>Так… показалось… надеюсь. ;)

Что-то Вам много кажется.


"Обзор развития проекта OpenBSD"
Отправлено PereresusNeVlezaetBuggy , 15-Июн-10 15:33 
>>>То есть Вы считаете, что разбазаривание ресурсов разработчиков - это нормально? Это
>>>ведь не есть "как-нибудь разберутся", а "вынужденная мера ввиду неадекватности вендора".
>>
>>Вендор честно заявляет, что не позиционирует pf как отдельный продукт. С тем
>>же успехом можно жаловаться на MySQL, что они MyISAM не дают
>>легко портировать. :-P
>
>Они коммерческая фирма, прежде всего.

Хорошо, mod_rewrite из Apache HTTP Server — примеров огромное количество, думаю, вы и сами это понимаете.

>Но Вы на вопрос не ответили: Вы считаете, разбазаривание ресурсов - это нормально?
>(да, я тоже зануда)

Само по себе — разумеется нет. В данном случае разработчики OpenBSD не стали разбазаривать _свои_ ресурсы.

>[оверквотинг удален]
>>>для pf. В том числе поэтому я предпочитаю им даже не
>>>пользоваться.
>>
>>Понимаете, вы (не только вы лично) ведёте себя как будто вам что-то
>>обещали. Это выглядит точно так же как когда приходит Вася Пупкин
>>на форум/лист рассылки/багтрекер и сообщает, что ему не нравится, как окно
>>программы выглядит в его суперкастомизированном оконном менеджере — и обижается, когда его запрос, ничем не подкреплённый, игнорируется.
>
>Нет, не точно так же. Есть проекты, которые доброжелательно относятся к посторонним
>(и к пользователям), и есть те, которые не очень.

OpenBSD доброжелательно относится к тем, кто выполняет два простых условия: 1. Что-то сам делает для проекта; 2. Относится с уважением к труду разработчиков и не пытается изображать из себя самого умного.

>[оверквотинг удален]
>>Зато честно. А то многие, бывает, заявляют, что вот, я делаю крутой
>>проект для всех, а юзеры в итоге получают обратной связи ноль
>>без палочки.
>
>Проблема с этим часто встречающимся в опенсорсе размышлением - в том, что
>оно просто неверно. Разработчик делает что-то либо сугубо для себя, либо
>для себя и еще кого-то, либо целиком для кого-то (коммерческий заказ).
>Так вот случай "сугубо для себя" бывает только в одном варианте:
>разработчик сделал проект _целиком_ под свои нужды, а затем просто отдал
>сообществу - кто хочет, может подпиливать.

OpenBSD — именно такой случай. Это можно прочесть у них на сайте. Только почему-то почти никто этого не может сделать… А потом удивляются.

>Все остальные случаи - это "и еще для кого-то". Возникает оно потому,
>что один человек не может сделать себе всё потребное. Один, скажем,
>пишет ядро в обмен на то, что другой, к примеру, майнтейнит
>порты. Или в широком смысле, чтобы другой писал какое-нибудь нужное ему
>прложение. Проблема здесь в том, что такой софт бесплатен, и границы,
>кто кому сколько должен, размыты, и вообще не озвучиваются явно. Но
>они есть - разработчик из примера выше пишет не только для
>своего удовольствия, но и в обмен на репутацию, славу etc. моральные
>вознаграждения. Статьи по психологии и философии OpenSource на эту тему в
>сети есть.

Это уже дело разработчика, ради чего он пишет и что хочет получить взамен. Не нам с вами (если говорить о ком-то третьем) ему указывать, у него свои мозги имеются. Вы любите, когда к вам приходят, и начинают рассказывать, что вы нарушаете тринадцатую заповедь программиста и вообще неправильно комментарии оформляете? Может, это повышает ваш энтузиазм? Если да, то я могу вам только позавидовать, в вашем распоряжении целый интернет, состоящий в немалой своей части из любителей поучать.

>>Да я не в этом смысле. Речь о том, что если кто-то
>>хотел поучаствовать в разработке pf на ранних этапах, и, возможно, изменить
>>его OpenBSD-ориентированность, то ему никто не мешал. Ну а сейчас —
>>простите.
>
>А кто бы об этом знал, пока они его не сделали? Странное
>возражение.

Ну так и претензия странная, дескать, кого-то там спросить забыли. :)

>[оверквотинг удален]
>>>>>(паршивый ведь!) под BSD-лицензией?.. И, к сожалению, это не единственный пример...
>>>>
>>>>1. CVS, если помните, GPL-ный.
>>>
>>>Я и сказал, написать новое под BSD-лицензией. В чем возражение?
>>
>>Формулировка вашего вопроса заставил упомянуть этот пункт. Да, я зануда, и это
>>гены — мать корректором работает. :-P
>
>Вам померещилось. Формулировка корректна.

Формулировка может звучать по-разному в зависимости от логического ударения во фразе. Во избежание двусмысленности я и предпочёл упомянуть этот пункт.

>>Может, и мог бы помочь, только что-то я не помню, чтобы кто-то
>>о помощи просил. Хотя, конечно, личную переписку разработчиков OpenCVS я не
>>читал. :)
>
>Так а уже поздно просить было - родственный проект вместо чего-то нормального
>к тому времени уже делал OpenCVS. Не посмотрели в будущее -увы.
>Хотя проблемы CVS тоже на себе прочувствовали, раз переписать взялись.

Ну вот опять двадцать пять: Вася что-то сделал, а Петя стоит и бухтит: «ты неправильно сделал, и вообще надо было меня спросить». Смешно же, право слово.

>>>DVCS - это прежде всего не sync/offline, а много веток и вменяемый
>>>merge.
>>
>>Ветки тем же cvsync'ом эмулируются. По моему опыту всё равно удобнее на
>>каждую свою ветку разработки отдельный репозитарий заводить, даже в «честных» DVCS
>>(правда, говорят, в git с этим получше, но у меня с
>>ним как-то не сложилось любви, уж не знаю, почему).
>
>Что, и вменяемый merge эмулируется? Не верю, в CVS нужных метаданных просто
>нет :) Дело-то отнюдь не в самих ветках...

Кто как, я вот merge стараюсь избегать, ибо история коммитов загаживается. Коммиты я стараюсь делать относительно атомарными и не ломающими сборку и выполнение программы. Как следствие — удобно искать источник проблем, в случае возникновения оных.

>>>>4. Завидовать грешно.
>>>
>>>А это Вы вообще к чему? Проецируете?
>>
>>Так… показалось… надеюсь. ;)
>
>Что-то Вам много кажется.

Может, это вам кажется, что другим кажется? ;)


"Обзор развития проекта OpenBSD"
Отправлено nuclight , 15-Июн-10 16:29 
>[оверквотинг удален]
>>>>ведь не есть "как-нибудь разберутся", а "вынужденная мера ввиду неадекватности вендора".
>>>
>>>Вендор честно заявляет, что не позиционирует pf как отдельный продукт. С тем
>>>же успехом можно жаловаться на MySQL, что они MyISAM не дают
>>>легко портировать. :-P
>>
>>Они коммерческая фирма, прежде всего.
>
>Хорошо, mod_rewrite из Apache HTTP Server — примеров огромное количество, думаю, вы
>и сами это понимаете.

Разве mod_rewrite и другие подобные примеры создавались в условиях наличия родственного проекта с очень похожей архитектурой и прецедентами портирования?

>>Но Вы на вопрос не ответили: Вы считаете, разбазаривание ресурсов - это нормально?
>>(да, я тоже зануда)
>
>Само по себе — разумеется нет. В данном случае разработчики OpenBSD не
>стали разбазаривать _свои_ ресурсы.
>OpenBSD доброжелательно относится к тем, кто выполняет два простых
>условия: 1. Что-то сам делает для проекта;

Вот смотрите. Есть аудитория пользователей, у опенка X пользователей, у FreeBSD - Y пользователей. Допустим (цифра для простоты), что 1% пользователей становятся разработчиками или присылают патчи, т.е. вклад в ресурсы получается. Теперь, если аудитория pf расширяется на FreeBSD в полном виде, то проект pf к имевшимся ресурсам 0.01X получает еще +0.01Y ресурсов. И с ними может развиться, скажем, за год до уровня N фич.
Теперь допустим, произошел форк, и аудитория Y отсоединилась от проекта. В распоряжении разработчиков pf осталось 0.01X ресурсов, и до уровня N фич они доползут не за год, а куда дольше. Налицо это самое разбазаривание ресурсов тех, что может "что-то сам делать для проекта".

>>Нет, не точно так же. Есть проекты, которые доброжелательно относятся к посторонним
>>(и к пользователям), и есть те, которые не очень.

А чего не прокомментировали-то?

>[оверквотинг удален]
>>
>>Проблема с этим часто встречающимся в опенсорсе размышлением - в том, что
>>оно просто неверно. Разработчик делает что-то либо сугубо для себя, либо
>>для себя и еще кого-то, либо целиком для кого-то (коммерческий заказ).
>>Так вот случай "сугубо для себя" бывает только в одном варианте:
>>разработчик сделал проект _целиком_ под свои нужды, а затем просто отдал
>>сообществу - кто хочет, может подпиливать.
>
>OpenBSD — именно такой случай. Это можно прочесть у них на сайте.
>Только почему-то почти никто этого не может сделать… А потом удивляются.

Да вот ни разу. Это не такой случай, а следующий, я описал ниже различия. А выдавать его за первый - надо бы подобрать термин, как бы это назвать?.. Лукавство? Ложь? Лицемерие? Затрудняюсь выбрать :)

>[оверквотинг удален]
>>вознаграждения. Статьи по психологии и философии OpenSource на эту тему в
>>сети есть.
>
>Это уже дело разработчика, ради чего он пишет и что хочет получить
>взамен. Не нам с вами (если говорить о ком-то третьем) ему
>указывать, у него свои мозги имеются. Вы любите, когда к вам
>приходят, и начинают рассказывать, что вы нарушаете тринадцатую заповедь программиста и
>вообще неправильно комментарии оформляете? Может, это повышает ваш энтузиазм? Если да,
>то я могу вам только позавидовать, в вашем распоряжении целый интернет,
>состоящий в немалой своей части из любителей поучать.

Мотивационную психологию никто не отменял, вот в чем загвоздка :) Чьим бы это делом ни было, факт остается фактом. Закрывать на них глаза - сильно страусиная политика.

>>>Да я не в этом смысле. Речь о том, что если кто-то
>>>хотел поучаствовать в разработке pf на ранних этапах, и, возможно, изменить
>>>его OpenBSD-ориентированность, то ему никто не мешал. Ну а сейчас —
>>>простите.
>>
>>А кто бы об этом знал, пока они его не сделали? Странное
>>возражение.
>
>Ну так и претензия странная, дескать, кого-то там спросить забыли. :)

Пардон, так это на Ваша претензию было, дескать, "где же FreeBSD была".

>>>Формулировка вашего вопроса заставил упомянуть этот пункт. Да, я зануда, и это
>>>гены — мать корректором работает. :-P
>>
>>Вам померещилось. Формулировка корректна.
>
>Формулировка может звучать по-разному в зависимости от логического ударения во фразе. Во
>избежание двусмысленности я и предпочёл упомянуть этот пункт.

Озвучьте это самое ударение тогда и вариант двусмысленности, что ли.

>>Так а уже поздно просить было - родственный проект вместо чего-то нормального
>>к тому времени уже делал OpenCVS. Не посмотрели в будущее -увы.
>>Хотя проблемы CVS тоже на себе прочувствовали, раз переписать взялись.
>
>Ну вот опять двадцать пять: Вася что-то сделал, а Петя стоит и
>бухтит: «ты неправильно сделал, и вообще надо было меня спросить». Смешно
>же, право слово.

Не так. Вася показывает изобретенный велосипед с шестиугольными колесами. Так что Петя бухтит кое-что другое. Смешно, да.

>[оверквотинг удален]
>>>(правда, говорят, в git с этим получше, но у меня с
>>>ним как-то не сложилось любви, уж не знаю, почему).
>>
>>Что, и вменяемый merge эмулируется? Не верю, в CVS нужных метаданных просто
>>нет :) Дело-то отнюдь не в самих ветках...
>
>Кто как, я вот merge стараюсь избегать, ибо история коммитов загаживается. Коммиты
>я стараюсь делать относительно атомарными и не ломающими сборку и выполнение
>программы. Как следствие — удобно искать источник проблем, в случае возникновения
>оных.

Вот именно поэтому Вы стараетесь из избегать, потому что инструменты не позволяют делать это удобно. Столь долгое использование и привычка накладывают отпечаток на мышление.

>>>>>4. Завидовать грешно.
>>>>
>>>>А это Вы вообще к чему? Проецируете?
>>>
>>>Так… показалось… надеюсь. ;)
>>
>>Что-то Вам много кажется.
>
>Может, это вам кажется, что другим кажется? ;)

Вы хотите об этом поговорить? А то ведь я могу, из фразы

>2. Относится с уважением к труду разработчиков
>и не пытается изображать из себя самого умного.

и других реплик можно много чего вытащить.


"Обзор развития проекта OpenBSD"
Отправлено PereresusNeVlezaetBuggy , 15-Июн-10 23:58 
>[оверквотинг удален]
>>>>же успехом можно жаловаться на MySQL, что они MyISAM не дают
>>>>легко портировать. :-P
>>>
>>>Они коммерческая фирма, прежде всего.
>>
>>Хорошо, mod_rewrite из Apache HTTP Server — примеров огромное количество, думаю, вы
>>и сами это понимаете.
>
>Разве mod_rewrite и другие подобные примеры создавались в условиях наличия родственного проекта
>с очень похожей архитектурой и прецедентами портирования?

Вы издеваетесь? Ну возьмите тогда тот же самый злосчастный netgraph, пройдитесь по его коду… Или, скажем, те же jails. OpenBSD они нравятся, но вырезать их из FreeBSD просто так не выйдет. Почему? Да потому что это не отдельные проекты. В отличие от тех же Open*, которые как раз успешно живут и за пределами OpenBSD. Многим подобным может похвастаться FreeBSD?

>[оверквотинг удален]
>>стали разбазаривать _свои_ ресурсы.
>>OpenBSD доброжелательно относится к тем, кто выполняет два простых
>>условия: 1. Что-то сам делает для проекта;
>
>Вот смотрите. Есть аудитория пользователей, у опенка X пользователей, у FreeBSD -
>Y пользователей. Допустим (цифра для простоты), что 1% пользователей становятся разработчиками
>или присылают патчи, т.е. вклад в ресурсы получается. Теперь, если аудитория
>pf расширяется на FreeBSD в полном виде, то проект pf к
>имевшимся ресурсам 0.01X получает еще +0.01Y ресурсов. И с ними может
>развиться, скажем, за год до уровня N фич.

Вы забыли одно: проект OpenBSD не гонится за цифрами.

>Теперь допустим, произошел форк, и аудитория Y отсоединилась от проекта. В распоряжении
>разработчиков pf осталось 0.01X ресурсов, и до уровня N фич они
>доползут не за год, а куда дольше. Налицо это самое разбазаривание
>ресурсов тех, что может "что-то сам делать для проекта".

Это не разбазаривание: если произошёл полноценный форк, то теперь это два разных проекта. И те самые фичи, как вы выражаетесь, в каждом проекте нужны явно свои, или по-своему сделанные. В FreeBSD сделали Netgraph, молодцы, весьма занятная система. В OpenBSD сделали pf, молодцы, весьма занятный фаервол. Вот только скажите, а netgraph легко портируем за пределы FreeBSD? Только честно.

>>>Нет, не точно так же. Есть проекты, которые доброжелательно относятся к посторонним
>>>(и к пользователям), и есть те, которые не очень.
>
>А чего не прокомментировали-то?

Не имело смысла, ответил ниже.

>[оверквотинг удален]
>>>Так вот случай "сугубо для себя" бывает только в одном варианте:
>>>разработчик сделал проект _целиком_ под свои нужды, а затем просто отдал
>>>сообществу - кто хочет, может подпиливать.
>>
>>OpenBSD — именно такой случай. Это можно прочесть у них на сайте.
>>Только почему-то почти никто этого не может сделать… А потом удивляются.
>
>Да вот ни разу. Это не такой случай, а следующий, я описал
>ниже различия. А выдавать его за первый - надо бы подобрать
>термин, как бы это назвать?.. Лукавство? Ложь? Лицемерие? Затрудняюсь выбрать :)

Вы читать умеете? Ещё раз: разработчики OpenBSD позиционируют проект, как делаемый ими для себя. За аудиторией они не гонятся. Вы это можете понять, или маркетинговая отрава «дайте таблеток от жадности, и побольше, побольше!» вас прочно зацепила, и вы не можете поверить, что так может быть?

>[оверквотинг удален]
>>взамен. Не нам с вами (если говорить о ком-то третьем) ему
>>указывать, у него свои мозги имеются. Вы любите, когда к вам
>>приходят, и начинают рассказывать, что вы нарушаете тринадцатую заповедь программиста и
>>вообще неправильно комментарии оформляете? Может, это повышает ваш энтузиазм? Если да,
>>то я могу вам только позавидовать, в вашем распоряжении целый интернет,
>>состоящий в немалой своей части из любителей поучать.
>
>Мотивационную психологию никто не отменял, вот в чем загвоздка :) Чьим бы
>это делом ни было, факт остается фактом. Закрывать на них глаза
>- сильно страусиная политика.

А никто глаза и не закрывает. Просто не нужно лезть в чужой монастырь (в данном случае, в чужие помыслы) со своим уставом. Призывники присягу зачастую дают тоже не потому, что так хотят Родину защищать, но тем не менее дают, и как-то следуют (за известными исключениями, ну так за них и ответственность имеется).

Вы почему-то упорствуете в своём понимании того, для чего и как делается OpenBSD, игнорируя то, что до вас пытаются донести. Это уже даже не смешно. Последняя попытка, цитирую пример озвучивания официальной позиции:

The fact that you have to not be lazy to use OpenBSD is important to
us. Unlike a commercial OS, or linux, we don't measure our success in how popular it is, or if we're going to replace the evil microsoft any time soon. we *WANT* needy lazy users to use those other OS's so we can concentrate on making something that works and is stable for people who really need it, like ourselves.

Источник: http://marc.info/?l=openbsd-misc&m=125313957921685&w=2

>[оверквотинг удален]
>>>>хотел поучаствовать в разработке pf на ранних этапах, и, возможно, изменить
>>>>его OpenBSD-ориентированность, то ему никто не мешал. Ну а сейчас —
>>>>простите.
>>>
>>>А кто бы об этом знал, пока они его не сделали? Странное
>>>возражение.
>>
>>Ну так и претензия странная, дескать, кого-то там спросить забыли. :)
>
>Пардон, так это на Ваша претензию было, дескать, "где же FreeBSD была".

Правильно, потому что перед этим была ваша претензия, почему разработчики OpenBSD не спросили у FreeBSD-шников, как им было бы удобнее, а также не воспользовались телепатией для угадывания их потребностей в портировании.

>>>>Формулировка вашего вопроса заставил упомянуть этот пункт. Да, я зануда, и это
>>>>гены — мать корректором работает. :-P
>>>
>>>Вам померещилось. Формулировка корректна.
>>
>>Формулировка может звучать по-разному в зависимости от логического ударения во фразе. Во
>>избежание двусмысленности я и предпочёл упомянуть этот пункт.
>
>Озвучьте это самое ударение тогда и вариант двусмысленности, что ли.

Тогда сначала цитирую спорный момент:

«Вот, например, OpenCVS - какой был смысл реимплементить заново "как есть" давно идеологически протухший CVS, когда можно было создать пристойный конкурент SVN (паршивый ведь!) под BSD-лицензией?.. И, к сожалению, это не единственный пример...»

Можно понять не только так, как вы имели в виду, но и как «Зачем реимплементить протухший CVS под BSD-лицензией, когда можно было создать пристойный конкурент SVN». Повторюсь, я всего лишь постарался на всякий случай избежать двусмысленности, а вы накинулись зачем-то. Неужели больше придраться не к чему? :)

>>>Так а уже поздно просить было - родственный проект вместо чего-то нормального
>>>к тому времени уже делал OpenCVS. Не посмотрели в будущее -увы.
>>>Хотя проблемы CVS тоже на себе прочувствовали, раз переписать взялись.
>>
>>Ну вот опять двадцать пять: Вася что-то сделал, а Петя стоит и
>>бухтит: «ты неправильно сделал, и вообще надо было меня спросить». Смешно
>>же, право слово.
>
>Не так. Вася показывает изобретенный велосипед с шестиугольными колесами. Так что Петя
>бухтит кое-что другое. Смешно, да.

Если этот велосипед Васе удобен, то Петя с его бухтением идёт в лес. Помните, например, мультфильм «Следствие ведут колобки», последнюю часть? Там, где они по железной дороге на велосипеде ехали? :)

Вот если бы Петя попросил помочь ему с велосипедом, и у них начался диалог, это была бы совсем другая история. А так — да, Петя сделал всё сам, никого не беспокоя. Он ездит на своём велосипеде и более чем доволен. Язва желудка, которую зарабатывает Петя своим бухтением, это проблема Пети. Бухтение неконструктивно. Конструктивна только конкретная помощь в создании велосипеда. Умничать все горазды, на этом форуме тоже, вот только что-то большинство (не все, к счастью) умников ничем особым не отличилось — только юзают обсуждаемые технологии, а не создают.

>[оверквотинг удален]
>>>нет :) Дело-то отнюдь не в самих ветках...
>>
>>Кто как, я вот merge стараюсь избегать, ибо история коммитов загаживается. Коммиты
>>я стараюсь делать относительно атомарными и не ломающими сборку и выполнение
>>программы. Как следствие — удобно искать источник проблем, в случае возникновения
>>оных.
>
>Вот именно поэтому Вы стараетесь из избегать, потому что инструменты не позволяют
>делать это удобно. Столь долгое использование и привычка накладывают отпечаток на
>мышление.

Я часто пользуюсь Mercurial (для личных проектиков), и сначала часто делал merge. Потом это надоело. Да, это немного убыстряет разработку конкретной фичи. А вот собственно дерево из-за этого — ИМХО — страдает. Кому-то удобно — я рад за них и своё мнение не навязываю.

>[оверквотинг удален]
>>>>>
>>>>>А это Вы вообще к чему? Проецируете?
>>>>
>>>>Так… показалось… надеюсь. ;)
>>>
>>>Что-то Вам много кажется.
>>
>>Может, это вам кажется, что другим кажется? ;)
>
>Вы хотите об этом поговорить? А то ведь я могу, из фразы

И не только вы здесь что-то можете, поверьте. ;)

>>2. Относится с уважением к труду разработчиков
>>и не пытается изображать из себя самого умного.
>
>и других реплик можно много чего вытащить.

Можно. При желании можно связать неудой во Флориде с аварией на электроподстанции в Вязьме. :) Только это уже, боюсь, будет совсем оффтопик. Если вам не нравятся мои тараканы, то хотя бы своих не натравливайте в ответ. ;)


"Обзор развития проекта OpenBSD"
Отправлено nuclight , 19-Июн-10 18:51 
>>Разве mod_rewrite и другие подобные примеры создавались в условиях наличия родственного проекта
>>с очень похожей архитектурой и прецедентами портирования?
>
>Вы издеваетесь? Ну возьмите тогда тот же самый злосчастный netgraph, пройдитесь по его коду…

Сделал egrep -r '\bng_' /sys/* - завязок на netgraph в коде остального ядра практически нет - только на конкретные модули, но они на то и модули. То есть сам netgraph как фреймворк достаточно обособлен. Прошелся по-быстрому и по коду самого netgraph - и чего? На Linux, конечно, его не портировать, mbuf'ы там не используются. А вот в родственных BSD-системах - вполне. Прежде всего там активно используются блокировки и прочее, связанное с SMP - ну так это было началось во времена FreeBSD 5.x, а так-то самому нетграфу более 10 лет, он еще под 2.x писался. Портируйте при желании старую версию, удивляться развитию за такой срок как-то странно :) Чего-нибудь другого, сходу мешающего портированию, я там не нашел, стало быть, мелочи.

>Или, скажем, те же jails. OpenBSD они нравятся,

Как, уже нравятся? Последний раз, когда я об этом слышал, опенковцы на них плевались, мол, не нужны.

>но вырезать их из FreeBSD просто так не выйдет. Почему?

Потому что это изменение поведения ряда подсистем - код размазан по куче мест ядра. Тем не менее, исходная публикация о Jail говорит, что его удалось реализовать очень небольшим добавлением кода, порядка 400 строк. что ли. Так что вполне могли бы сделать уже давно сделать, не напрямую портировать, так по аналогии под свои структуры данных. Было бы желание.

>Да потому что это не отдельные проекты. В отличие от тех же Open*,
>которые как раз успешно живут и за пределами OpenBSD.

Я о том речь и веду, что Open* распространены даже больше, чем сама OpenBSD, и собственно и составляют основной смысл её существования.

>Многим подобным может похвастаться FreeBSD?

FreeBSD в основном отличается (и экспортирует) фичами ядра. Вот тот же kqueue быстро адаптировали все *BSD. Но есть и примеры юзерленда - например, новый jemalloc был взят в Firefox 3, на всех платформах, где тот работает (включая Windows), одна из причин, по которой новый файрфокс работает гораздо быстрее старого. Или вот контора Juniper - в качестве базы для своей JUNOS взяли почему-то именно FreeBSD, а не Net или Open. Или Mac OS X/Darwin - они брали код из NetBSD и несколько раз из FreeBSD, но почему-то им совсем не нужен был OpenBSD.

>[оверквотинг удален]
>>>условия: 1. Что-то сам делает для проекта;
>>
>>Вот смотрите. Есть аудитория пользователей, у опенка X пользователей, у FreeBSD -
>>Y пользователей. Допустим (цифра для простоты), что 1% пользователей становятся разработчиками
>>или присылают патчи, т.е. вклад в ресурсы получается. Теперь, если аудитория
>>pf расширяется на FreeBSD в полном виде, то проект pf к
>>имевшимся ресурсам 0.01X получает еще +0.01Y ресурсов. И с ними может
>>развиться, скажем, за год до уровня N фич.
>
>Вы забыли одно: проект OpenBSD не гонится за цифрами.

В контексте вышесказанного это не просто цифры, а скорость развития. Вы сейчас так договоритесь до того, что OpenBSD предпочитает почти не развиваться.

>>Теперь допустим, произошел форк, и аудитория Y отсоединилась от проекта. В распоряжении
>>разработчиков pf осталось 0.01X ресурсов, и до уровня N фич они
>>доползут не за год, а куда дольше. Налицо это самое разбазаривание
>>ресурсов тех, что может "что-то сам делать для проекта".
>
>Это не разбазаривание: если произошёл полноценный форк, то теперь это два разных
>проекта. И те самые фичи, как вы выражаетесь, в каждом проекте
>нужны явно свои, или по-своему сделанные.

Что такое "полноценный форк" ? Если четкая разница в фичах и прочей специфике именно нужна (и будет), то за всю историю опенсорса подавляющее большинство "полноценными форками" не были. То есть, разбазаривание ресурсов.

>В FreeBSD сделали Netgraph, молодцы,
>весьма занятная система. В OpenBSD сделали pf, молодцы, весьма занятный фаервол.
>Вот только скажите, а netgraph легко портируем за пределы FreeBSD? Только
>честно.

Выше сказал. На родственные BSD - принципиальных препятствий не вижу. Ах да, в OpenBSD всё плохо с SMP... но это уже не проблема нетграфа :р

>[оверквотинг удален]
>>>
>>>OpenBSD — именно такой случай. Это можно прочесть у них на сайте.
>>>Только почему-то почти никто этого не может сделать… А потом удивляются.
>>
>>Да вот ни разу. Это не такой случай, а следующий, я описал
>>ниже различия. А выдавать его за первый - надо бы подобрать
>>термин, как бы это назвать?.. Лукавство? Ложь? Лицемерие? Затрудняюсь выбрать :)
>
>Вы читать умеете? Ещё раз: разработчики OpenBSD позиционируют проект, как делаемый ими
>для себя.

Я-то умею :) А вот вы не хотите подумать и осознать, о чем речь. А разница очень простая - есть строгое различие между "делаю для себя" и "делаю для кого-то еще", граница между "Я" и миром. Между группой же и кем-то еще столь строгого различия нет. И это подтверждается Вашей же цитатой ниже: "The fact that you ... use OpenBSD is important to us." - именно что обращение разработчиков к пользователям. К кому-то кроме себя.

>За аудиторией они не гонятся. Вы это можете понять,
>или маркетинговая отрава «дайте таблеток от жадности, и побольше, побольше!» вас
>прочно зацепила, и вы не можете поверить, что так может быть?

Р.  Докинз, известный биолог написал в свое время книгу: http://warrax.net/51/dawkins/cover_dawkins.html - там популярно рассматриваются современные воззрения на эволюцию и естественный отбор. В главе 11 этой уже относительно старой (до массовости Интернета) книги он вводит широко известный ныне термин "мем" и объясняет, каким образом понятия эволюции применимы и к ним. Кроме того, он там делает задел и на другие носители - в частности, к компьютерным вирусам. К сожалению, книга всё-таки старовата, чтобы применить подобные выводы к программному обеспечению в целом (оно еще не было столь массовым для наблюдения эффектов). Вы почитайте, почитайте.

Так вот, к ПО применимы всё те же выводы: отдельные куски кода - "гены", проект - "организм", "вид". И критерием биологической успешности вида является именно его успешность к самовоспроизведению, что впрямую связано с распространенностью. Да, не является ею самою, потому что есть понятие "экологической ниши" - если в ней нет конкурентов, может существовать долго даже при небольшом размере популяции. Проблема в размерах этой ниши - если туда приходят конкуренты, такой вид скорее всего вымрет. О чем речь и шла - ниша для OpenBSD всё сокращается.

Отличие же от слепой биологии в том, что разработчики - люди, которые умеют думать (хотя иногда я в этом сомневаюсь). И вместо разбазаривания ресурса впустую могут делать что-то лучшее.

А вот то, что Вы почему-то заговорили о маркетинге и жадности, хотя этого не имел в виду ни собеседник, ни тема (ПО-то бесплатное), наводит на мысли. Оговорочки по Фрейду?..

>>>то я могу вам только позавидовать, в вашем распоряжении целый интернет,
>>>состоящий в немалой своей части из любителей поучать.
>>
>>Мотивационную психологию никто не отменял, вот в чем загвоздка :) Чьим бы
>>это делом ни было, факт остается фактом. Закрывать на них глаза
>>- сильно страусиная политика.
>
>А никто глаза и не закрывает. Просто не нужно лезть в чужой
>монастырь (в данном случае, в чужие помыслы) со своим уставом.

Расскажите это психиатрам :)

>[оверквотинг удален]
>не смешно. Последняя попытка, цитирую пример озвучивания официальной позиции:
>
>The fact that you have to not be lazy to use OpenBSD
>is important to
>us. Unlike a commercial OS, or linux, we don't measure our success
>in how popular it is, or if we're going to replace
>the evil microsoft any time soon. we *WANT* needy lazy users
>to use those other OS's so we can concentrate on making
>something that works and is stable for people who really need
>it, like ourselves.

Я не игнорирую, я Вас на шаг вперед вижу :) А вот Вы меня понимаете плохо. Эта цитата - просто перефраз того, что уже раньше было сказано. И да, именно про это я и говорил выше, подбирая этические термины (ложь и пр.). Потому что иначе придется подбирать термины из категории неврозов и психологических защит.

Ибо эта позиция конфликтует с жизнью, поскольку целью любого подобного проекта является распространение в какой-то степени. Просто для выживания.

>>>Ну так и претензия странная, дескать, кого-то там спросить забыли. :)
>>
>>Пардон, так это на Ваша претензию было, дескать, "где же FreeBSD была".
>
>Правильно, потому что перед этим была ваша претензия, почему разработчики OpenBSD не
>спросили у FreeBSD-шников, как им было бы удобнее, а также не
>воспользовались телепатией для угадывания их потребностей в портировании.

Так то можно было сделать и после факта портирования. К моменту начала разработки Вы прицепились совершенно необоснованно, претензия-то чуток про другое была.

>>>Формулировка может звучать по-разному в зависимости от логического ударения во фразе. Во
>>>избежание двусмысленности я и предпочёл упомянуть этот пункт.
>>
>>Озвучьте это самое ударение тогда и вариант двусмысленности, что ли.
>
>Тогда сначала цитирую спорный момент:
>
>«Вот, например, OpenCVS - какой был смысл реимплементить заново "как есть" давно
>идеологически протухший CVS, когда можно было создать пристойный конкурент SVN (паршивый
>ведь!) под BSD-лицензией?.. И, к сожалению, это не единственный пример...»

Так где ударение-то?

>Можно понять не только так, как вы имели в виду, но и

Ну, так и как я имел в виду?

>как «Зачем реимплементить протухший CVS под BSD-лицензией, когда можно было создать
>пристойный конкурент SVN». Повторюсь, я всего лишь постарался на всякий случай
>избежать двусмысленности, а вы накинулись зачем-то.

И в чем в этой фразе разница с тем, что я имел в виду? :)

>Неужели больше придраться не к чему? :)

Я просто наблюдаю, что Вы меня плохо понимаете, не только в этом месте, но и в цитатах выше. Так что распишите хоть тут, что ли - ибо придрались-то к этому месту Вы, а не я.

>[оверквотинг удален]
>Если этот велосипед Васе удобен, то Петя с его бухтением идёт в
>лес. Помните, например, мультфильм «Следствие ведут колобки», последнюю часть? Там, где
>они по железной дороге на велосипеде ехали? :)
>
>Вот если бы Петя попросил помочь ему с велосипедом, и у них
>начался диалог, это была бы совсем другая история. А так —
>да, Петя сделал всё сам, никого не беспокоя. Он ездит на
>своём велосипеде и более чем доволен. Язва желудка, которую зарабатывает Петя
>своим бухтением, это проблема Пети. Бухтение неконструктивно. Конструктивна только конкретная помощь
>в создании велосипеда.

Бгы. Ситуация совсем не такая, на самом деле. Вася изобрел велосипед, Петя подивился на несуразности, но заюзал его для таскания мелких грузов на заводе, потому что у этого трехколесного монстра был кузов от тачки - быстрее самой тачки получается. За это время технологии шагнули вперед, как и потребности. А Вася продолжает упрямствовать в изобретении велосипеда. На заводе нужен уже электрокар, и вполне естественна реакция Пети дать непутевому брату пинка под сраку, чтоб не страдал херней, а учился и делал уже полезные вещи - ибо коли смог сделать игрушку полезной, может и серьезные вещи делать. Если повзрослеет и перестанет упорствовать в невежестве. А Вася взрослеть отказывается, и лопочет про конструктивность только помощи в создании велосипеда. Разумеется, Петя прав.

>>Вот именно поэтому Вы стараетесь из избегать, потому что инструменты не позволяют
>>делать это удобно. Столь долгое использование и привычка накладывают отпечаток на
>>мышление.
>
>Я часто пользуюсь Mercurial (для личных проектиков), и сначала часто делал merge.
>Потом это надоело. Да, это немного убыстряет разработку конкретной фичи. А
>вот собственно дерево из-за этого — ИМХО — страдает. Кому-то удобно
>— я рад за них и своё мнение не навязываю.

Чем страдает-то?

>[оверквотинг удален]
>>>
>>>Может, это вам кажется, что другим кажется? ;)
>>
>>Вы хотите об этом поговорить? А то ведь я могу, из фразы
>
>И не только вы здесь что-то можете, поверьте. ;)
>Умничать все горазды, на этом форуме тоже, вот только что-то большинство (не все, к счастью) умников ничем особым не
>отличилось — только юзают обсуждаемые технологии, а не создают.
>>>2. Относится с уважением к труду разработчиков
>>>и не пытается изображать из себя самого умного.

Вас так сильно напрягает критика, что вы её сразу записываете в умничание? Не лучше ли пользу извлечь и измениться? А почему, кстати, умничание? У Вас комплексы насчет уровня интеллекта, что ли?

>>и других реплик можно много чего вытащить.
>
>Можно. При желании можно связать неудой во Флориде с аварией на электроподстанции
>в Вязьме. :) Только это уже, боюсь, будет совсем оффтопик. Если
>вам не нравятся мои тараканы,

Проблема в том, что они такие у всего проекта OpenBSD. Точнее, у всех представителей, с которыми я общался.

>то хотя бы своих не натравливайте в ответ. ;)

Оу. Какие же у меня тараканы? Озвучьте что ли.


"Обзор развития проекта OpenBSD"
Отправлено PereresusNeVlezaetBuggy , 19-Июн-10 20:32 
>>>Разве mod_rewrite и другие подобные примеры создавались в условиях наличия родственного проекта
>>>с очень похожей архитектурой и прецедентами портирования?
>>
>>Вы издеваетесь? Ну возьмите тогда тот же самый злосчастный netgraph, пройдитесь по его коду…
>
>Сделал egrep -r '\bng_' /sys/* - завязок на netgraph в коде остального
>ядра практически нет - только на конкретные модули, но они на
>то и модули.

Ага, и без netgraph его модули работают, да? :)))

> То есть сам netgraph как фреймворк достаточно обособлен.
>Прошелся по-быстрому и по коду самого netgraph - и чего? На
>Linux, конечно, его не портировать, mbuf'ы там не используются. А вот
>в родственных BSD-системах - вполне. Прежде всего там активно используются блокировки
>и прочее, связанное с SMP - ну так это было началось
>во времена FreeBSD 5.x, а так-то самому нетграфу более 10 лет,
>он еще под 2.x писался. Портируйте при желании старую версию, удивляться
>развитию за такой срок как-то странно :)

О, шикарный аргумент! Вот, видимо, и во фряхе портировали старый pf — всё честно, получается, не?

> Чего-нибудь другого, сходу мешающего
>портированию, я там не нашел, стало быть, мелочи.
>
>>Или, скажем, те же jails. OpenBSD они нравятся,
>
>Как, уже нравятся? Последний раз, когда я об этом слышал, опенковцы на
>них плевались, мол, не нужны.

Не знаю, от кого вы это слышали, вот пример полуположительного ответа одного из разработчиков, ответственных за часть ядра, занимающуюся работой с процессами:

http://marc.info/?l=openbsd-misc&m=109432792224800&w=2

Я помню, был ответ и от де Раадта по теме, но долго искать лень, простите. :)

>>но вырезать их из FreeBSD просто так не выйдет. Почему?
>
>Потому что это изменение поведения ряда подсистем - код размазан по куче
>мест ядра. Тем не менее, исходная публикация о Jail говорит, что
>его удалось реализовать очень небольшим добавлением кода, порядка 400 строк. что
>ли.

Угу, тот же Ted Unganst об этом говорил.

> Так что вполне могли бы сделать уже давно сделать, не
>напрямую портировать, так по аналогии под свои структуры данных. Было бы
>желание.

Есть (был?) такой проект sysjail, аналог jail на основе systrace. К сожалению, если помните, в своё время в systrace нашли принципиальную уязвимость, которая поставила крест на его использовании как средства обеспечения безопасности. Как следствие, интерес к sysjail тоже был потерян.

>>Да потому что это не отдельные проекты. В отличие от тех же Open*,
>>которые как раз успешно живут и за пределами OpenBSD.
>
>Я о том речь и веду, что Open* распространены даже больше, чем
>сама OpenBSD, и собственно и составляют основной смысл её существования.

Для тех, кто не работает в OpenBSD, разумеется. :)

>[оверквотинг удален]
>
>FreeBSD в основном отличается (и экспортирует) фичами ядра. Вот тот же kqueue
>быстро адаптировали все *BSD. Но есть и примеры юзерленда - например,
>новый jemalloc был взят в Firefox 3, на всех платформах, где
>тот работает (включая Windows), одна из причин, по которой новый файрфокс
>работает гораздо быстрее старого. Или вот контора Juniper - в качестве
>базы для своей JUNOS взяли почему-то именно FreeBSD, а не Net
>или Open. Или Mac OS X/Darwin - они брали код из
>NetBSD и несколько раз из FreeBSD, но почему-то им совсем не
>нужен был OpenBSD.

То есть кроме kqueue и jemalloc (в OpenBSD, кстати, собственный хитрый и достаточно быстрый, а главное — хорошо помогающая рано ловить проблемы реализация malloc) похвастаться нечем? Эдак я тоже начну вспоминать те же strlcat/strlcpy(). ;)

А части ядра и из OpenBSD берут. Те же сенсоры (которые именно в FreeBSD тоже не прижились так как не вписались, благодаря чему пользователи FreeBSD явно в выигрыше, да). Или тот же lagg(4), который в девичестве trunk(4). Ну и так далее. :)

Впрочем, это уже пустой разговор. :)

>[оверквотинг удален]
>>>Y пользователей. Допустим (цифра для простоты), что 1% пользователей становятся разработчиками
>>>или присылают патчи, т.е. вклад в ресурсы получается. Теперь, если аудитория
>>>pf расширяется на FreeBSD в полном виде, то проект pf к
>>>имевшимся ресурсам 0.01X получает еще +0.01Y ресурсов. И с ними может
>>>развиться, скажем, за год до уровня N фич.
>>
>>Вы забыли одно: проект OpenBSD не гонится за цифрами.
>
>В контексте вышесказанного это не просто цифры, а скорость развития. Вы сейчас
>так договоритесь до того, что OpenBSD предпочитает почти не развиваться.

В OpenBSD не променяют одну хорошо сделанную фичу на сто сделанных кое-как. Так понятно? Если вас это не устраивает — это, поверьте, не проблемы OpenBSD. ;)

>>>Теперь допустим, произошел форк, и аудитория Y отсоединилась от проекта. В распоряжении
>>>разработчиков pf осталось 0.01X ресурсов, и до уровня N фич они
>>>доползут не за год, а куда дольше. Налицо это самое разбазаривание
>>>ресурсов тех, что может "что-то сам делать для проекта".
>>
>>Это не разбазаривание: если произошёл полноценный форк, то теперь это два разных
>>проекта. И те самые фичи, как вы выражаетесь, в каждом проекте
>>нужны явно свои, или по-своему сделанные.
>
>Что такое "полноценный форк"?

Две разные системы разработки, с разными её участниками и поставленными целями. К слову, FreeBSD и NetBSD в своё время форкались вообще от разных версий BSD…

> Если четкая разница в фичах и прочей
>специфике именно нужна (и будет), то за всю историю опенсорса подавляющее
>большинство "полноценными форками" не были. То есть, разбазаривание ресурсов.

Ваше право так думать. А ещё конкуренция — это тоже разбазаривание ресурсов. В здоровой капиталистической стране, если мои скудные познания в экономике мне не изменяют, около 30% усилий пропадают втуне. Чем, собсно, и прельщает наивных командно-административная система… но это уже совсем оффтопик. :)

>>В FreeBSD сделали Netgraph, молодцы,
>>весьма занятная система. В OpenBSD сделали pf, молодцы, весьма занятный фаервол.
>>Вот только скажите, а netgraph легко портируем за пределы FreeBSD? Только
>>честно.
>
>Выше сказал. На родственные BSD - принципиальных препятствий не вижу. Ах да,
>в OpenBSD всё плохо с SMP... но это уже не проблема
>нетграфа :р

Ну тогда и другая архитектура сетевого стека — не проблема pf.

>[оверквотинг удален]
>
>Р.  Докинз, известный биолог написал в свое время книгу: http://warrax.net/51/dawkins/cover_dawkins.html -
>там популярно рассматриваются современные воззрения на эволюцию и естественный отбор. В
>главе 11 этой уже относительно старой (до массовости Интернета) книги он
>вводит широко известный ныне термин "мем" и объясняет, каким образом понятия
>эволюции применимы и к ним. Кроме того, он там делает задел
>и на другие носители - в частности, к компьютерным вирусам. К
>сожалению, книга всё-таки старовата, чтобы применить подобные выводы к программному обеспечению
>в целом (оно еще не было столь массовым для наблюдения эффектов).
>Вы почитайте, почитайте.

Спасибо, почитаю.

>Так вот, к ПО применимы всё те же выводы: отдельные куски кода
>- "гены", проект - "организм", "вид". И критерием биологической успешности вида
>является именно его успешность к самовоспроизведению, что впрямую связано с распространенностью.
>Да, не является ею самою, потому что есть понятие "экологической ниши"
>- если в ней нет конкурентов, может существовать долго даже при
>небольшом размере популяции. Проблема в размерах этой ниши - если туда
>приходят конкуренты, такой вид скорее всего вымрет. О чем речь и
>шла - ниша для OpenBSD всё сокращается.

Наверное, именно поэтому количество разработчиков в проекте и не думает уменьшаться, да?

А ниша для OpenBSD пока что наоборот растёт. Сейчас OpenBSD — это не только неплохой сетевой шлюз, но вполне юзабельна в роли десктопа, не во всех 100% задач, конечно (некоторым, скажем, до зарезу нужен Adobe Flash, именно родной), но для бытового использования вполне хватает. Некоторые держат на ней Web-cервера — идущий в базе улучшенный Apache, уже в chroot, весьма удобен. Ещё можно глянуть на http://www.openbsd.org/users.html — список не слишком свежий, но общее представление позволяет получить.

>Отличие же от слепой биологии в том, что разработчики - люди, которые
>умеют думать (хотя иногда я в этом сомневаюсь). И вместо разбазаривания
>ресурса впустую могут делать что-то лучшее.
>
>А вот то, что Вы почему-то заговорили о маркетинге и жадности, хотя
>этого не имел в виду ни собеседник, ни тема (ПО-то бесплатное),
>наводит на мысли. Оговорочки по Фрейду?..

Ваше упорное желание приписать мне тот или другой комплекс не может не… удивлять.

Про маркетинг я заговорил потому, что это в духе (горе-)маркетологов — измерять любой успех цифрами. Чем лучше выбранные показатели, тем лучше. К чему это приводит, думаю, не надо рассказывать, коли уж вы книжки про естественный отбор читали? :)

>[оверквотинг удален]
>>>>состоящий в немалой своей части из любителей поучать.
>>>
>>>Мотивационную психологию никто не отменял, вот в чем загвоздка :) Чьим бы
>>>это делом ни было, факт остается фактом. Закрывать на них глаза
>>>- сильно страусиная политика.
>>
>>А никто глаза и не закрывает. Просто не нужно лезть в чужой
>>монастырь (в данном случае, в чужие помыслы) со своим уставом.
>
>Расскажите это психиатрам :)

Вы таки имеете богатый опыт общения с оными? ;)

>[оверквотинг удален]
>>The fact that you have to not be lazy to use OpenBSD
>>is important to
>>us. Unlike a commercial OS, or linux, we don't measure our success
>>in how popular it is, or if we're going to replace
>>the evil microsoft any time soon. we *WANT* needy lazy users
>>to use those other OS's so we can concentrate on making
>>something that works and is stable for people who really need
>>it, like ourselves.
>
>Я не игнорирую, я Вас на шаг вперед вижу :)

Уже смешно.

> А вот
>Вы меня понимаете плохо. Эта цитата - просто перефраз того, что
>уже раньше было сказано. И да, именно про это я и
>говорил выше, подбирая этические термины (ложь и пр.). Потому что иначе
>придется подбирать термины из категории неврозов и психологических защит.
>
>Ибо эта позиция конфликтует с жизнью, поскольку целью любого подобного проекта является
>распространение в какой-то степени. Просто для выживания.

Так прочтите ещё раз приведённую цитату! OpenBSD _достаточно_ распространена для обеспечения своего существования. Новые разработчики регулярно появляются (буквально на днях прибыло ещё двое или трое) — процесс идёт.

Linux и FreeBSD ставят перед собой задачу максимального распространения, дескать, чтобы выжить (и вытеснить остальных). OpenBSD не ставит. Почему это так трудно осознать? Почему вам в голову никак не может придти, что кто-то может мыслить другими категориями, чем вы? Пусть они по-вашему будут бесполезны, вредны, и так далее — лживыми они от этого не становятся.

А вот ваши высокомерные (а они именно такие, так как вы судите о проекте, не будучи с ним знакомым «изнутри» и базируясь во многом на собственных домыслах, идущих от вашего опыта с другими проектами, существующими по другим принципам) замечания выдают (у вас проблемы? Давайте мы о них поговорим!) какие-то ваши личные комплексы, вроде необходимости самоутверждаться за счёт других.

>>>>Ну так и претензия странная, дескать, кого-то там спросить забыли. :)
>>>
>>>Пардон, так это на Ваша претензию было, дескать, "где же FreeBSD была".
>>
>>Правильно, потому что перед этим была ваша претензия, почему разработчики OpenBSD не
>>спросили у FreeBSD-шников, как им было бы удобнее, а также не
>>воспользовались телепатией для угадывания их потребностей в портировании.
>
>Так то можно было сделать и после факта портирования. К моменту начала
>разработки Вы прицепились совершенно необоснованно, претензия-то чуток про другое была.

Можно. Только кому это было надо? Разработчикам OpenBSD, повторюсь, это НЕ БЫЛО надо. Они никогда не позиционировали pf как отдельный продукт, никогда не заботились о возможности его портирования. pf хватает тех программистских сил, которые прикладываются к нему сейчас. И главное, повторюсь: я НЕ ВИДЕЛ за те пять лет, что пользуюсь Опёнком, в списках рассылки OpenBSD НИ ОДНОГО письма из @freebsd.org, в котором хоть как-то обсуждались вопросы облегчения портирования pf на другие системы. То есть разработчики FreeBSD НИКАК не указывали свою заинтересованность в этом вопросе.

В системе портов и FreeBSD, и OpenBSD есть среди прочих рекомендаций такая: отсылать локальные патчи в апстрим и добиваться их принятия. Почему же к портируемым извне частям ядра это не относится, м-м-м? Двуличие? Лень? В любом случае, сами виноваты. Хотите кооперации — делаете шаги; бегать за вами, повторюсь, никто не будет. Это взрослый мир, а не детский сад с заботливыми воспитателями.

>[оверквотинг удален]
>>>
>>>Озвучьте это самое ударение тогда и вариант двусмысленности, что ли.
>>
>>Тогда сначала цитирую спорный момент:
>>
>>«Вот, например, OpenCVS - какой был смысл реимплементить заново "как есть" давно
>>идеологически протухший CVS, когда можно было создать пристойный конкурент SVN (паршивый
>>ведь!) под BSD-лицензией?.. И, к сожалению, это не единственный пример...»
>
>Так где ударение-то?

И это вы говорите, что я вас не понимаю. Может, всё наоборот? ;)

>>Можно понять не только так, как вы имели в виду, но и
>
>Ну, так и как я имел в виду?

Вы имели в виду «Зачем реимплементить протухший CVS когда можно было создать пристойный конкурент SVN, под BSD-лицензией». Теперь-то разницу чувствуете?

>>как «Зачем реимплементить протухший CVS под BSD-лицензией, когда можно было создать
>>пристойный конкурент SVN». Повторюсь, я всего лишь постарался на всякий случай
>>избежать двусмысленности, а вы накинулись зачем-то.
>
>И в чем в этой фразе разница с тем, что я имел
>в виду? :)

Если вы не понимаете, то, боюсь, я вряд ли смогу объяснить. Если вы школу без этого понимания окончили, то что могу скромный я сделать?

>>Неужели больше придраться не к чему? :)
>
>Я просто наблюдаю, что Вы меня плохо понимаете, не только в этом
>месте, но и в цитатах выше. Так что распишите хоть тут,
>что ли - ибо придрались-то к этому месту Вы, а не
>я.

Первая придирка, если вы забыли, была с вашей стороны, дескать, чего это я повторяюсь. Я просто подстраховался, на всякий случай, без вопросов, придирок и намёков в ваш адрес.

>[оверквотинг удален]
>
>Бгы. Ситуация совсем не такая, на самом деле. Вася изобрел велосипед, Петя
>подивился на несуразности, но заюзал его для таскания мелких грузов на
>заводе, потому что у этого трехколесного монстра был кузов от тачки
>- быстрее самой тачки получается. За это время технологии шагнули вперед,
>как и потребности. А Вася продолжает упрямствовать в изобретении велосипеда. На
>заводе нужен уже электрокар, и вполне естественна реакция Пети дать непутевому
>брату пинка под сраку, чтоб не страдал херней, а учился и
>делал уже полезные вещи - ибо коли смог сделать игрушку полезной,
>может и серьезные вещи делать.

Прошу заметить, Петя сам ниасилил изобрести этот велосипед, равно как и тот, которым Вася в своё время вдохновился (ipf) но всё равно считает себя вправе указывать Васе, что и как он должен делать.

Хотя на самом деле Петя сидит и бухтит про себя, с Васей он даже не разговариает (см. выше про отсутствие патчей от @freebsd.org).

> Если повзрослеет и перестанет упорствовать в невежестве.

По-вашему, невежа — тот, кто изобрёл, а ведун — тот, кто сидит и бухтит, что всё не так как надо? А по-моему, второй — просто лентяй-зануда.

> А Вася взрослеть отказывается, и лопочет про конструктивность только помощи
>в создании велосипеда. Разумеется, Петя прав.

Если для вас это разумеется, то предлагаю разговор окончить. Потому что он бессмысленнен. Если для вас правы не те, кто что-то делает, а те, кто стоит рядом и бухтит, то нам вами попросту не о чем разговаривать.

>>>Вот именно поэтому Вы стараетесь из избегать, потому что инструменты не позволяют
>>>делать это удобно. Столь долгое использование и привычка накладывают отпечаток на
>>>мышление.
>>
>>Я часто пользуюсь Mercurial (для личных проектиков), и сначала часто делал merge.
>>Потом это надоело. Да, это немного убыстряет разработку конкретной фичи. А
>>вот собственно дерево из-за этого — ИМХО — страдает. Кому-то удобно
>>— я рад за них и своё мнение не навязываю.
>
>Чем страдает-то?

Мусором в истории, я уже говорил. И ещё повторюсь в очередной раз: если вас этот мусор не напрягает, то я за вас могу только порадоваться.

>[оверквотинг удален]
>>>
>>>Вы хотите об этом поговорить? А то ведь я могу, из фразы
>>
>>И не только вы здесь что-то можете, поверьте. ;)
>>Умничать все горазды, на этом форуме тоже, вот только что-то большинство (не все, к счастью) умников ничем особым не
>>отличилось — только юзают обсуждаемые технологии, а не создают.
>>>>2. Относится с уважением к труду разработчиков
>>>>и не пытается изображать из себя самого умного.
>
>Вас так сильно напрягает критика, что вы её сразу записываете в умничание?

Одно другому не мешает.

>Не лучше ли пользу извлечь и измениться? А почему, кстати, умничание?
>У Вас комплексы насчет уровня интеллекта, что ли?

Если только завышенное мнение о собственных способностях; впрочем, смею надеяться, последние несколько лет я достаточно адекватен.

А вот вы явно напрашиваетесь на аналогичный вопрос.

>>>и других реплик можно много чего вытащить.
>>
>>Можно. При желании можно связать неудой во Флориде с аварией на электроподстанции
>>в Вязьме. :) Только это уже, боюсь, будет совсем оффтопик. Если
>>вам не нравятся мои тараканы,
>
>Проблема в том, что они такие у всего проекта OpenBSD. Точнее, у
>всех представителей, с которыми я общался.

Разумеется, это все остальные сходят с ума, а не вы. ;)

>>то хотя бы своих не натравливайте в ответ. ;)
>
>Оу. Какие же у меня тараканы? Озвучьте что ли.

Заранее только оговорюсь, что сужу сугубо по результатам бесед с вами здесь, на этом форуме, и не претендую на полноту картины.

1. Уверенность в себе у вас зашкаливает все мыслимые нормы. Это отчасти компенсируется тем, что ваши внутренние нормы более-менее соответствуют распространённым в обществе, и с вами мирятся. Тогда же, когда где-то что-то оказывается не так, как вам кажется правильным, вам даже в голову не приходит, что эту точку зрения тоже можно принять — как же, она ведь НЕПРАВИЛЬНАЯ!

2. Установка «или ты, или тебя»: мирное сосуществование для вас нонсенс, мир для вас — арена непрекращающейся борьбы за выживание; других граней человеческой реальности как будто не существует. Это очень хорошо вписывается в защищаемую вами концепцию «кооперации», когда Петя сидит в своём уголке и тихо жалуется сам себе на то, что Вася делает всё неправильно, но помочь Васе даже не приходит в голову.


"Обзор развития проекта OpenBSD"
Отправлено nuclight , 21-Июн-10 22:07 
>>>Вы издеваетесь? Ну возьмите тогда тот же самый злосчастный netgraph, пройдитесь по его коду…
>>
>>Сделал egrep -r '\bng_' /sys/* - завязок на netgraph в коде остального
>>ядра практически нет - только на конкретные модули, но они на
>>то и модули.
>
>Ага, и без netgraph его модули работают, да? :)))

Странное очень возражение - про сам netgraph ниже написано.

>[оверквотинг удален]
>>Прошелся по-быстрому и по коду самого netgraph - и чего? На
>>Linux, конечно, его не портировать, mbuf'ы там не используются. А вот
>>в родственных BSD-системах - вполне. Прежде всего там активно используются блокировки
>>и прочее, связанное с SMP - ну так это было началось
>>во времена FreeBSD 5.x, а так-то самому нетграфу более 10 лет,
>>он еще под 2.x писался. Портируйте при желании старую версию, удивляться
>>развитию за такой срок как-то странно :)
>
>О, шикарный аргумент! Вот, видимо, и во фряхе портировали старый pf —
>всё честно, получается, не?

Нет, разница в том, что pf во FreeBSD - всё-таки портировали, а вот OpenBSD и не собиралось, видимо. Поэтому насчет pf отношения де-факто сущестуют, можно было бы пойти навстречу - а про netgraph вы даже ничего и не спрашивали за 10 лет. Отставание pf во FreeBSD всё-таки не 10 лет составляет, и оно относительно линейное, без переломных скачков типа SMP.

>[оверквотинг удален]
>>Как, уже нравятся? Последний раз, когда я об этом слышал, опенковцы на
>>них плевались, мол, не нужны.
>
>Не знаю, от кого вы это слышали, вот пример полуположительного ответа одного
>из разработчиков, ответственных за часть ядра, занимающуюся работой с процессами:
>
>http://marc.info/?l=openbsd-misc&m=109432792224800&w=2
>
>Я помню, был ответ и от де Раадта по теме, но долго
>искать лень, простите. :)

Гм, пост от 2004 года. Слышал я это значительно позже. Видать, у вас там внутреннего согласия по этому поводу между разработчиками нет, если до сих пор jail нет.

>> Так что вполне могли бы сделать уже давно сделать, не
>>напрямую портировать, так по аналогии под свои структуры данных. Было бы
>>желание.
>
>Есть (был?) такой проект sysjail, аналог jail на основе systrace. К сожалению,
>если помните, в своё время в systrace нашли принципиальную уязвимость, которая

Кстати, не помню. Не напомните?

>поставила крест на его использовании как средства обеспечения безопасности. Как следствие,
>интерес к sysjail тоже был потерян.

Ну, а что мешало похже сделать нативно, как во FreeBSD?..

>[оверквотинг удален]
>>работает гораздо быстрее старого. Или вот контора Juniper - в качестве
>>базы для своей JUNOS взяли почему-то именно FreeBSD, а не Net
>>или Open. Или Mac OS X/Darwin - они брали код из
>>NetBSD и несколько раз из FreeBSD, но почему-то им совсем не
>>нужен был OpenBSD.
>
>То есть кроме kqueue и jemalloc (в OpenBSD, кстати, собственный хитрый и
>достаточно быстрый, а главное — хорошо помогающая рано ловить проблемы реализация
>malloc) похвастаться нечем? Эдак я тоже начну вспоминать те же strlcat/strlcpy().  ;)
>Впрочем, это уже пустой разговор. :)

Вот именно, пустой - потому что Вы выдрали пару фич из контекста и представили дело так, будто бы ими всё дело и ограничивается. Да и несравнимы функции на несколько десятков строк типа strlcat с серьезно влияющими на производительность kqueue и malloc. Кстати, быстрота jemalloc отличается от быстроты старого заточенностью на условия SMP. Я сомневаюсь, что ваш хитрый malloc сможет в таких же условиях быть столь же быстрым - иначе бы, чай, его заимствовали, а не фревый.

>А части ядра и из OpenBSD берут. Те же сенсоры (которые именно
>в FreeBSD тоже не прижились так как не вписались, благодаря чему
>пользователи FreeBSD явно в выигрыше, да).

Не вписались они сугубо из-за тараканов в голове phk@. Увы.

>Или тот же lagg(4), который  в девичестве trunk(4). Ну и так далее. :)

А вот с этим портом я, кстати, не согласен. Более кошерно было бы расширить ng_one2many, а не плодить устройства. OpenBSD вообще такими анахронизмами любит страдать.

>[оверквотинг удален]
>>>>развиться, скажем, за год до уровня N фич.
>>>
>>>Вы забыли одно: проект OpenBSD не гонится за цифрами.
>>
>>В контексте вышесказанного это не просто цифры, а скорость развития. Вы сейчас
>>так договоритесь до того, что OpenBSD предпочитает почти не развиваться.
>
>В OpenBSD не променяют одну хорошо сделанную фичу на сто сделанных кое-как.
>Так понятно? Если вас это не устраивает — это, поверьте, не
>проблемы OpenBSD. ;)

Опять передергиваете. Или не понимаете. Потраченные ресурсы - есть потраченные ресурсы. Не было в контексте никакой "сотни кое-как". Или "хорошая фича" делается за год, или за два - есть разница?..

>[оверквотинг удален]
>>>>доползут не за год, а куда дольше. Налицо это самое разбазаривание
>>>>ресурсов тех, что может "что-то сам делать для проекта".
>>>
>>>Это не разбазаривание: если произошёл полноценный форк, то теперь это два разных
>>>проекта. И те самые фичи, как вы выражаетесь, в каждом проекте
>>>нужны явно свои, или по-своему сделанные.
>>
>>Что такое "полноценный форк"?
>
>Две разные системы разработки, с разными её участниками и поставленными целями.

Ага, то есть форк pf в данном случае полноценным не будет - цели-то одни и теже, да и база одна. О чем я и говорю.

>К слову, FreeBSD и NetBSD в своё время форкались вообще от разных
>версий BSD…

В таких случаях, когда старый проект умирал - это уже даже не совсем форк. Это еще и, ээ, exec :)

>> Если четкая разница в фичах и прочей
>>специфике именно нужна (и будет), то за всю историю опенсорса подавляющее
>>большинство "полноценными форками" не были. То есть, разбазаривание ресурсов.
>
>Ваше право так думать. А ещё конкуренция — это тоже разбазаривание ресурсов.

Конкуренция бывает разная. Бывает полезная, а бывает вредная. Современное общество потребления как-то всё больше тяготеет к последней, с большим количеством ненужного.

>В здоровой капиталистической стране, если мои скудные познания в экономике мне
>не изменяют, около 30% усилий пропадают втуне. Чем, собсно, и прельщает
>наивных командно-административная система… но это уже совсем оффтопик.

В грамотно построенной командно-административной системе работают внерыночные заменители конкуренции/естественного отбора, обеспечивающие прогресс. Как только они отменяются (с 53 года) - система обречена, это лишь вопрос времени. Впрочем да, это оффтопик :)

>>>В FreeBSD сделали Netgraph, молодцы,
>>Выше сказал. На родственные BSD - принципиальных препятствий не вижу. Ах да,
>>в OpenBSD всё плохо с SMP... но это уже не проблема
>>нетграфа :р
>
>Ну тогда и другая архитектура сетевого стека — не проблема pf.

Что такое другая архитектура? Что, не mbuf'ы, что ли? Она в основе такая же, просто расширена SMP.

>>эволюции применимы и к ним. Кроме того, он там делает задел
>>и на другие носители - в частности, к компьютерным вирусам. К
>>сожалению, книга всё-таки старовата, чтобы применить подобные выводы к программному обеспечению
>>в целом (оно еще не было столь массовым для наблюдения эффектов).
>>Вы почитайте, почитайте.
>
>Спасибо, почитаю.

Как, почитали? :)

>>Так вот, к ПО применимы всё те же выводы: отдельные куски кода
>>- "гены", проект - "организм", "вид". И критерием биологической успешности вида
>>является именно его успешность к самовоспроизведению, что впрямую связано с распространенностью.
>>Да, не является ею самою, потому что есть понятие "экологической ниши"
>>- если в ней нет конкурентов, может существовать долго даже при
>>небольшом размере популяции. Проблема в размерах этой ниши - если туда
>>приходят конкуренты, такой вид скорее всего вымрет. О чем речь и
>>шла - ниша для OpenBSD всё сокращается.
>
>Наверное, именно поэтому количество разработчиков в проекте и не думает уменьшаться, да?

А динамика прироста по годам Вы построили? Вторую производную посчитали? ВВП СССР тоже после 53 года продолжал расти: во всех таких больших вещах - большая и инерционность. Тем не менее, потом пришла разруха. Почти 3 года назад я приходил к администрации IRC-сети RusNet с жалобами, что у них слишком закрытый подход к решению проблем и разработке (не улавливаете схожесть с OpenBSD, а?) - меня послали с формулировкой в духе "число пользователей сети растет, доктор, что мы делаем неправильно?". Сейчас я гляжу на графики - год назад оно уже было меньше, чем тогда, и продолжает падать. А ведь тогда росло. Вот и Вы перспективы плохо видите.

>А ниша для OpenBSD пока что наоборот растёт. Сейчас OpenBSD — это
>не только неплохой сетевой шлюз, но вполне юзабельна в роли десктопа,
>не во всех 100% задач, конечно (некоторым, скажем, до зарезу нужен
>Adobe Flash, именно родной), но для бытового использования вполне хватает.

Десктоп? :))) Без флэша-то? И без поддержки SMP, коий уже и на рынок десктопов вошел? Думаю, и с периферией напряги есть.

>[оверквотинг удален]
>>
>>А вот то, что Вы почему-то заговорили о маркетинге и жадности, хотя
>>этого не имел в виду ни собеседник, ни тема (ПО-то бесплатное),
>>наводит на мысли. Оговорочки по Фрейду?..
>
>Ваше упорное желание приписать мне тот или другой комплекс не может не…
>удивлять.
>
>Про маркетинг я заговорил потому, что это в духе (горе-)маркетологов — измерять
>любой успех цифрами. Чем лучше выбранные показатели, тем лучше.

Кхе... Ладно, если Вы переводите на маркетинг, то пример будет такой: вот есть у обычного человека доход, да? Вовсе необязательно тот, у кого 50 тысяч, живет лучше того, у кого 40 - есть еще куча показателей. И он может нормально жить, без дальнейшего повышения. Однако совершенно однозначно хуже живет тот, кому банально на еду едва хватает. Вы же почему-то речь ведете о миллионерах, судя по пассажу о жадности.

>К чему
>это приводит, думаю, не надо рассказывать, коли уж вы книжки про
>естественный отбор читали? :)

Расскажите лучше, а то щас опять взаимонепонимае как развернется...

>>>>Мотивационную психологию никто не отменял, вот в чем загвоздка :) Чьим бы
>>>>это делом ни было, факт остается фактом. Закрывать на них глаза
>>>>- сильно страусиная политика.
>>>
>>>А никто глаза и не закрывает. Просто не нужно лезть в чужой
>>>монастырь (в данном случае, в чужие помыслы) со своим уставом.
>>
>>Расскажите это психиатрам :)
>
>Вы таки имеете богатый опыт общения с оными? ;)

Доводилось навещать пациентов.

>>Я не игнорирую, я Вас на шаг вперед вижу :)
>
>Уже смешно.

Ну так Вы ходите по кругу с одним и тем же, немудрено :)

>[оверквотинг удален]
>>уже раньше было сказано. И да, именно про это я и
>>говорил выше, подбирая этические термины (ложь и пр.). Потому что иначе
>>придется подбирать термины из категории неврозов и психологических защит.
>>
>>Ибо эта позиция конфликтует с жизнью, поскольку целью любого подобного проекта является
>>распространение в какой-то степени. Просто для выживания.
>
>Так прочтите ещё раз приведённую цитату! OpenBSD _достаточно_ распространена для обеспечения своего
>существования. Новые разработчики регулярно появляются (буквально на днях прибыло ещё двое
>или трое) — процесс идёт.

Я выше уже про динамику прибытия и статистику спрашивал. То, что они по инерции продолжают прибывать, мало что значит.

>Linux и FreeBSD ставят перед собой задачу максимального распространения, дескать, чтобы выжить
>(и вытеснить остальных).

Нет, вытеснить остальных - не ставит, к счастью. А вот иметь приличный кусок рынка - лучше, чем сейчас.

>OpenBSD не ставит. Почему это так трудно осознать?
>Почему вам в голову никак не может придти, что кто-то может
>мыслить другими категориями, чем вы? Пусть они по-вашему будут бесполезны, вредны,
>и так далее — лживыми они от этого не становятся.

Почему Вы думаете, что не понимаю? Доктор всё-всё понимает :) Но "понимаю" - не значит "принимаю". Если кто-то думает, что Земля плоская, и Солнце вокруг неё вертятся, эти категории как называть? :) И да, когда такому человеку приводят доказательства обратного, он всё твердит про чужой монастырь со своим уставом - это как называть? Вот и я затрудняюсь :) "OpenBSD _достаточно_ распространена" == "Земля _достаточно_ плоская". И т.п.

>А вот ваши высокомерные (а они именно такие, так как вы судите
>о проекте, не будучи с ним знакомым «изнутри» и базируясь во
>многом на собственных домыслах, идущих от вашего опыта с другими проектами,
>существующими по другим принципам)

Это звучит как "существующими по другой физике" или "другой химии". В контексте треда речь о достаточно общих (универсальных) принципах идет.

>>Так то можно было сделать и после факта портирования. К моменту начала
>>разработки Вы прицепились совершенно необоснованно, претензия-то чуток про другое была.
>
>Можно. Только кому это было надо? Разработчикам OpenBSD, повторюсь, это НЕ БЫЛО
>надо. Они никогда не позиционировали pf как отдельный продукт, никогда не
>заботились о возможности его портирования. pf хватает тех программистских сил, которые

Дык "не было" - это про тот момент, создания. А портирование - оно и сейчас.

>[оверквотинг удален]
>ОДНОГО письма из @freebsd.org, в котором хоть как-то обсуждались вопросы облегчения
>портирования pf на другие системы. То есть разработчики FreeBSD НИКАК не
>указывали свою заинтересованность в этом вопросе.
>
>В системе портов и FreeBSD, и OpenBSD есть среди прочих рекомендаций такая:
>отсылать локальные патчи в апстрим и добиваться их принятия. Почему же
>к портируемым извне частям ядра это не относится, м-м-м? Двуличие? Лень?
>В любом случае, сами виноваты. Хотите кооперации — делаете шаги; бегать
>за вами, повторюсь, никто не будет. Это взрослый мир, а не
>детский сад с заботливыми воспитателями.

Да, есть (Вы думаете, я не знаю что ли? :) я в том числе поэтому и говорю, собсно). Но она упирается в проблемы. Вот первая попавшаяся цитата по теме из гугля, от хостера:

"Find a firewall with jail match support. As we didn’t want to use anything else but pf, we looked into the source and found that an actual support for matching jails could be added easily. We even got to the stage where we had beta patches, but due to the fact that we needed a stable solution in our production environment we dropped the idea. Not to mention that it would have never been merged into pf, as OpenBSD has no jails and FreeBSD has no pf fork. (They treat pf as a port, so feature additions have to go through OpenBSD first. Uh good luck with that.)"

Как Вы предполагаете такой запрос в апстрим от @freebsd.org? "Ребята, реализуйте пожалста джэйлы" ?

Еще к теме форков - вот в http://www.thejemreport.com/content/view/239/1/ наоборот против того, чтобы другой проект из OpenBSD был форкнут. А здесь защищаете форки. Двулично как-то :)

>[оверквотинг удален]
>>>Тогда сначала цитирую спорный момент:
>>>
>>>«Вот, например, OpenCVS - какой был смысл реимплементить заново "как есть" давно
>>>идеологически протухший CVS, когда можно было создать пристойный конкурент SVN (паршивый
>>>ведь!) под BSD-лицензией?.. И, к сожалению, это не единственный пример...»
>>
>>Так где ударение-то?
>
>И это вы говорите, что я вас не понимаю. Может, всё наоборот?
>;)

Ну так а выделение-то где? Вижу такой же текст, ударение не проставлено.

>>>Можно понять не только так, как вы имели в виду, но и
>>
>>Ну, так и как я имел в виду?
>
>Вы имели в виду «Зачем реимплементить протухший CVS когда можно было создать
>пристойный конкурент SVN, под BSD-лицензией». Теперь-то разницу чувствуете?

Э, то есть я должен почувствовать разницу между фразой
"Зачем реимплементить протухший CVS когда можно было создать пристойный конкурент SVN, под BSD-лицензией" и фразой "Зачем реимплементить протухший CVS когда можно было создать пристойный конкурент SVN, под BSD-лицензией" ? Представляете, как-то между одинаковыми фразами разницы не чувствую :)

>>>как «Зачем реимплементить протухший CVS под BSD-лицензией, когда можно было создать
>>>пристойный конкурент SVN». Повторюсь, я всего лишь постарался на всякий случай
>>>избежать двусмысленности, а вы накинулись зачем-то.
>>
>>И в чем в этой фразе разница с тем, что я имел
>>в виду? :)
>
>Если вы не понимаете, то, боюсь, я вряд ли смогу объяснить. Если
>вы школу без этого понимания окончили, то что могу скромный я
>сделать?

Знаете, я как-то школу окончил с пониманием, что такое курсив и полужирный, и как их за сотни лет применяют :) Потому что уже в те времена для выделения пользовались именно ими - порядка слов как-то не всегда хватает. Если же у Вас проблемы с кодами этого форума, то можно кусок обрамить в _подчеркивания_ или вообще выписать то словосочетание, где ударение, отдельно.

>[оверквотинг удален]
>>брату пинка под сраку, чтоб не страдал херней, а учился и
>>делал уже полезные вещи - ибо коли смог сделать игрушку полезной,
>>может и серьезные вещи делать.
>
>Прошу заметить, Петя сам ниасилил изобрести этот велосипед, равно как и тот,
>которым Вася в своё время вдохновился (ipf) но всё равно считает
>себя вправе указывать Васе, что и как он должен делать.
>
>Хотя на самом деле Петя сидит и бухтит про себя, с Васей
>он даже не разговариает (см. выше про отсутствие патчей от @freebsd.org).

Петя вообще-то в это время занимался кучей других вещей - наладил на заводе функционирование технологической схемы вместо старого кустарного способа, например. Про патчи я уже выше комментировал: непутевому братцу бы не сидеть в своей комнате, а смотреть, чем завод живет - у Пети не до всего руки доходят.

>> Если повзрослеет и перестанет упорствовать в невежестве.
>
>По-вашему, невежа — тот, кто изобрёл, а ведун — тот, кто сидит
>и бухтит, что всё не так как надо? А по-моему, второй
>— просто лентяй-зануда.

Остальной частью завода занимается - это теперь "сидит и бухтит" называется. Ну-ну.

>> А Вася взрослеть отказывается, и лопочет про конструктивность только помощи
>>в создании велосипеда. Разумеется, Петя прав.
>
>Если для вас это разумеется, то предлагаю разговор окончить. Потому что он
>бессмысленнен. Если для вас правы не те, кто что-то делает, а
>те, кто стоит рядом и бухтит, то нам вами попросту не
>о чем разговаривать.

Ну, если Вы предпочитаете не замечать, что он делом занимается, и думаете только, что бухтит, то действительно не о чем. И что в семьях (это ниже про другие грани у Вас) друг другу помогать - норма, для Вас, видимо, тоже в новинку.

>>>И не только вы здесь что-то можете, поверьте. ;)
>>>Умничать все горазды, на этом форуме тоже, вот только что-то большинство (не все, к счастью) умников ничем особым не
>>>отличилось — только юзают обсуждаемые технологии, а не создают.
>>>>>2. Относится с уважением к труду разработчиков
>>>>>и не пытается изображать из себя самого умного.
>>
>>Вас так сильно напрягает критика, что вы её сразу записываете в умничание?
>
>Одно другому не мешает.

Ну, допустим даже, что это так. Однако Вы при этом отрицаете конструктивную часть. И вообще игнорируете неудобные для Вас вещи - вот насчет "для себя" и "is important to us" не стали цитировать. Ну я понимаю, возразить-то по существу нечего. Зато можно обидеться на приписанное собеседнику "умничание".

>>Не лучше ли пользу извлечь и измениться? А почему, кстати, умничание?
>>У Вас комплексы насчет уровня интеллекта, что ли?
>
>Если только завышенное мнение о собственных способностях; впрочем, смею надеяться, последние несколько
>лет я достаточно адекватен.
>
>А вот вы явно напрашиваетесь на аналогичный вопрос.

О, и с чего же? :)

>замечания выдают (у вас проблемы? Давайте мы
>о них поговорим!) какие-то ваши личные комплексы, вроде необходимости самоутверждаться за
>счёт других.

Давайте! Очень интересно послушать, как это стыкуется с зашкаливающей уверенностью в себе, о которой Вы написали ниже :)

>>Проблема в том, что они такие у всего проекта OpenBSD. Точнее, у
>>всех представителей, с которыми я общался.
>
>Разумеется, это все остальные сходят с ума, а не вы. ;)

Как Вы ловко передергиваете с подмножества разработчиков на вообще всех остальных. Но Вы впредь так не делайте, некрасиво, знаете ли.

>[оверквотинг удален]
>1. Уверенность в себе у вас зашкаливает все мыслимые нормы. Это отчасти
>компенсируется тем, что ваши внутренние нормы более-менее соответствуют распространённым в обществе,
>и с вами мирятся. Тогда же, когда где-то что-то оказывается не
>так, как вам кажется правильным, вам даже в голову не приходит,
>что эту точку зрения тоже можно принять — как же, она
>ведь НЕПРАВИЛЬНАЯ!
>
>2. Установка «или ты, или тебя»: мирное сосуществование для вас нонсенс, мир
>для вас — арена непрекращающейся борьбы за выживание; других граней человеческой
>реальности как будто не существует. Это очень хорошо вписывается в защищаемую

Видите ли, мы здесь общаемся на некоторые относительно узкие темы, а Вы обобщаете здесь на поведение в целом. К примеру, нету у меня такой уверенности в себе, скажем, в музыке - ну не разбираюсь я в ней. Акцент же в вопросе же мирного сосуществования как-то странен - вот фирмы в стране существуют вполне себе в мирное время, однако конкуренция и борьба за выживание между ними при этом есть. Странно отрицать природу.

>вами концепцию «кооперации», когда Петя сидит в своём уголке и тихо
>жалуется сам себе на то, что Вася делает всё неправильно, но
>помочь Васе даже не приходит в голову.

Это я уже выше расписывал. Странное это дело - "помогать помощнику", когда своих дел много. И еще более странно, что помощник этого сам не понимает, и ему приходится это разжевывать.


"Обзор развития проекта OpenBSD"
Отправлено PereresusNeVlezaetBuggy , 22-Июн-10 11:22 
>>О, шикарный аргумент! Вот, видимо, и во фряхе портировали старый pf —
>>всё честно, получается, не?
>
>Нет, разница в том, что pf во FreeBSD - всё-таки портировали, а
>вот OpenBSD и не собиралось, видимо.

Вы говорите, что если сложно — мол, портируйте старую версию. Шикарная помощь, должен сказать. И почему при таком отношении разработчики OpenBSD должны поступать по-другому?

> Поэтому насчет pf отношения де-факто
>сущестуют, можно было бы пойти навстречу - а про netgraph вы
>даже ничего и не спрашивали за 10 лет. Отставание pf во
>FreeBSD всё-таки не 10 лет составляет, и оно относительно линейное, без
>переломных скачков типа SMP.

Вот и про PF ничего не спрашивали. Только разработчики OpenBSD насчёт netgraph (или, если угодны примеры портированного из FreeBSD кода, тех же ix(4), kqueue(9) и т.д.) не бухтят, понимая, что каждая ОС извращается по-своему. А вот фряшникам, получается, надо подать всё на блюдечке.

>[оверквотинг удален]
>>из разработчиков, ответственных за часть ядра, занимающуюся работой с процессами:
>>
>>http://marc.info/?l=openbsd-misc&m=109432792224800&w=2
>>
>>Я помню, был ответ и от де Раадта по теме, но долго
>>искать лень, простите. :)
>
>Гм, пост от 2004 года. Слышал я это значительно позже. Видать, у
>вас там внутреннего согласия по этому поводу между разработчиками нет, если
>до сих пор jail нет.

Тут не возьмусь говорить уверенно за неимением достаточных данных, но насколько могу судить, разработчики сейчас занимаются более важными, по их мнению, вещами. В частности, rthreads, UTF-8 в консоли/libc (да-да), переработка кода ACPI (планируется на ближайшем хакатоне), ну и ещё с ворох всякого.

>>Есть (был?) такой проект sysjail, аналог jail на основе systrace. К сожалению,
>>если помните, в своё время в systrace нашли принципиальную уязвимость, которая
>
>Кстати, не помню. Не напомните?

http://www.watson.org/~robert/2007woot/20070806-woot-concurr...

>>поставила крест на его использовании как средства обеспечения безопасности. Как следствие,
>>интерес к sysjail тоже был потерян.
>
>Ну, а что мешало похже сделать нативно, как во FreeBSD?..

См. выше.

>>То есть кроме kqueue и jemalloc (в OpenBSD, кстати, собственный хитрый и
>>достаточно быстрый, а главное — хорошо помогающая рано ловить проблемы реализация
>>malloc) похвастаться нечем? Эдак я тоже начну вспоминать те же strlcat/strlcpy().  ;)
>>Впрочем, это уже пустой разговор. :)
>
>Вот именно, пустой - потому что Вы выдрали пару фич из контекста
>и представили дело так, будто бы ими всё дело и ограничивается.

:-P Да шутю я, шутю.

>Да и несравнимы функции на несколько десятков строк типа strlcat с
>серьезно влияющими на производительность kqueue и malloc.

Во-во, наш бог — производительность…

> Кстати, быстрота jemalloc отличается
>от быстроты старого заточенностью на условия SMP. Я сомневаюсь, что ваш
>хитрый malloc сможет в таких же условиях быть столь же быстрым
>- иначе бы, чай, его заимствовали, а не фревый.

А я и не спорю, что большинство гонится за скоростью. Иначе бы пропиетарные дрова от двух известных производителей графических чипов в том же Linux давно вымерли. Вообще, можно было бы попробовать сравнить производительность, конечно. Только на это у меня точно сейчас времени не хватит.

>>Или тот же lagg(4), который  в девичестве trunk(4). Ну и так далее. :)
>
>А вот с этим портом я, кстати, не согласен. Более кошерно было
>бы расширить ng_one2many, а не плодить устройства. OpenBSD вообще такими анахронизмами
>любит страдать.

Вот, опять же, свой подход к вопросу. В OpenBSD как раз предпочитают не плодить сущности без необходимости, ну а во FreeBSD сочли, что netgraph нужен. У каждой точки зрения свои разумные доводы…

>>В OpenBSD не променяют одну хорошо сделанную фичу на сто сделанных кое-как.
>>Так понятно? Если вас это не устраивает — это, поверьте, не
>>проблемы OpenBSD. ;)
>
>Опять передергиваете. Или не понимаете. Потраченные ресурсы - есть потраченные ресурсы. Не
>было в контексте никакой "сотни кое-как". Или "хорошая фича" делается за
>год, или за два - есть разница?..

Хорошая фича, прежде всего, должна сделаться. Миллион кодеров-индусов не напишет ядро той же FreeBSD даже за миллион часов. Проект OpenBSD не заинтересован в тупом увеличении числа юзеров, ему интересны, повторюсь, только те, кто сам может что-то сделать на том же уровне, что принят для проекта. Силы разные бывают. Теперь понимаете?

>>>Что такое "полноценный форк"?
>>
>>Две разные системы разработки, с разными её участниками и поставленными целями.
>
>Ага, то есть форк pf в данном случае полноценным не будет -
>цели-то одни и теже, да и база одна. О чем я
>и говорю.

Цели разные: у разработчиков OpenBSD — иметь свой, надёжный и удобный фаервол; у разработчиков FreeBSD — заиметь _ещё_один_, фаервол.

База тоже разная, вы сами тут раскатываете килобайты об SMP, netgraph и так далее. Да, что-то общее есть. У тягача и автокрана тоже что-то общее есть — колёса, двигатель, кабина водителя. Но всё-таки они разные. ;)

>Конкуренция бывает разная. Бывает полезная, а бывает вредная. Современное общество потребления как-то
>всё больше тяготеет к последней, с большим количеством ненужного.

И как вы отличаете вредную от полезной? :) Конкуренция суть по определению соревнование, при котором имеет место быть дублирование усилий. То есть некоторая неэффективность.

>>Ну тогда и другая архитектура сетевого стека — не проблема pf.
>
>Что такое другая архитектура? Что, не mbuf'ы, что ли? Она в основе
>такая же, просто расширена SMP.

Что-то вы путаетесь: разговор начался с истории про то, как тяжело PF интегрируется с netgraph. Или netgraph не относится к сетевому стеку? А к чему он тогда относится — к SCSI-стеку, что ли? :)

>Как, почитали? :)

Ещё нет. Сегодня время свободное будет, поищу.

>>Наверное, именно поэтому количество разработчиков в проекте и не думает уменьшаться, да?
>
>А динамика прироста по годам Вы построили? Вторую производную посчитали?

Динамика проседала года три-четыре назад, сейчас улучшилась. Можно и конкретно посчитать, но не сейчас, я спать хочу, а не CVS-логи грепать. :)

>А ведь тогда росло. Вот и Вы перспективы плохо видите.

А вы, заведомо не делавший того, что предложили мне (построение графика f''(t)), стало быть, видите их хорошо, да?

>>А ниша для OpenBSD пока что наоборот растёт. Сейчас OpenBSD — это
>>не только неплохой сетевой шлюз, но вполне юзабельна в роли десктопа,
>>не во всех 100% задач, конечно (некоторым, скажем, до зарезу нужен
>>Adobe Flash, именно родной), но для бытового использования вполне хватает.
>
>Десктоп? :))) Без флэша-то?

Видеоролики, когда бывает надо, я просто выдираю (парой щелчков мыши или одной консольной командой, по вкусу). Флеш-игры не интересуют, как и игры вообще; максимум — KNetWalk в перерыве. А от отсутствия Flash-рекламы я точно не страдаю. :)

> И без поддержки SMP,

Чего-чего?!

> коий уже и на рынок десктопов вошел? Думаю, и с периферией напряги есть.

Как и везде. Но мне как-то везёт, за последние пару лет не видел ни одного компа, где опёнок бы не завёлся, вместе с иксами и без танцов с бубном. Хотя такие попадаются, да; в основном грешат ноуты от Acer и HP, из-за кривых BIOS, некорректно работающих с ACPI. Из принципиального же могу назвать разве что отсутствие FireWire; если правильно помню, это принципиальное решение, связанное с безопасностью данной шины.

>>Ваше упорное желание приписать мне тот или другой комплекс не может не…
>>удивлять.

Так и не прокомментировали. ;)

>>Про маркетинг я заговорил потому, что это в духе (горе-)маркетологов — измерять
>>любой успех цифрами. Чем лучше выбранные показатели, тем лучше.
>
>Кхе... Ладно, если Вы переводите на маркетинг, то пример будет такой: вот
>есть у обычного человека доход, да? Вовсе необязательно тот, у кого
>50 тысяч, живет лучше того, у кого 40 - есть еще
>куча показателей. И он может нормально жить, без дальнейшего повышения. Однако
>совершенно однозначно хуже живет тот, кому банально на еду едва хватает.
>Вы же почему-то речь ведете о миллионерах, судя по пассажу о
>жадности.

Не понял, к чему вы это. Честно. Может, вечерний тупняк.

>>К чему
>>это приводит, думаю, не надо рассказывать, коли уж вы книжки про
>>естественный отбор читали? :)
>
>Расскажите лучше, а то щас опять взаимонепонимае как развернется...

А приводит это к тому, что развитие одних параметров влечёт за собой ухудшение, или замедленное развитие других. Погоню производителей микропроцессоров за мегагерцами помните? Очень яркий пример. Теперь вот всех убеждают (и небезуспешно), что счастье — не в мегагерцах, а в ядрах. Потом ещё что-нибудь придумают (или вернутся к мегагерцам). Суть же в том, что результатом гонки мегагерцев, ядер и на-чём-ещё-свет-клином-сойдётся, становится чрезмерное как усложнение технологических процессов, так и увеличение потребностей самих камушков (суммарный TDP, количество ножек в сокетах и т.д.). Конечно, когда ситуация накалится, будет предложена новая панацея — в том же Intel не дураки сидят, и довольно точно просчитывают ход развития индустрии лет на 5 вперёд минимум. Но уже сейчас растёт число людей, которые устали от x86. Тут спасибо надо сказать никсам, что позволяют безболезненно перелезать на другие аппаратные платформы… Если бы не тоталитаризм Windows, у производителей компьютеров изначально были бы заметно больше развязаны руки в плане выбора аппаратных платформ. И сейчас всё идёт к тому, что другие платформы начинают вытеснять Wintel. Вот вам и мегагерцы маркетологов.

Погоня за числом пользователей неизбежно приводит к ухудшению среднего «качества» оных. Слышали, что такое ARPU? :) Вот и здесь похожая (не идентичная, разумеется) ситуация..

>>>Я не игнорирую, я Вас на шаг вперед вижу :)
>>
>>Уже смешно.
>
>Ну так Вы ходите по кругу с одним и тем же, немудрено :)

А за собой то же самое не замечаете? Или опять «нет-нет, это я умный»? :)

>>Так прочтите ещё раз приведённую цитату! OpenBSD _достаточно_ распространена для обеспечения своего
>>существования. Новые разработчики регулярно появляются (буквально на днях прибыло ещё двое
>>или трое) — процесс идёт.
>
>Я выше уже про динамику прибытия и статистику спрашивал. То, что они
>по инерции продолжают прибывать, мало что значит.

Выше и озвучил.

>>Linux и FreeBSD ставят перед собой задачу максимального распространения, дескать, чтобы выжить
>>(и вытеснить остальных).
>
>Нет, вытеснить остальных - не ставит, к счастью. А вот иметь приличный
>кусок рынка - лучше, чем сейчас.

Рынок — там, где продают. OpenBSD как таковая — не продаётся. То есть дистрибутивы её продаются, но любители халявы, которые ничего не дают (и ленятся даже PR написать, вместо чего бухтят на форумах и в блогах, как в OpenBSD всё плохо), всё равно их покупать не будут.

>[оверквотинг удален]
>>Почему вам в голову никак не может придти, что кто-то может
>>мыслить другими категориями, чем вы? Пусть они по-вашему будут бесполезны, вредны,
>>и так далее — лживыми они от этого не становятся.
>
>Почему Вы думаете, что не понимаю? Доктор всё-всё понимает :) Но "понимаю"
>- не значит "принимаю". Если кто-то думает, что Земля плоская, и
>Солнце вокруг неё вертятся, эти категории как называть? :) И да,
>когда такому человеку приводят доказательства обратного, он всё твердит про чужой
>монастырь со своим уставом - это как называть? Вот и я
>затрудняюсь :) "OpenBSD _достаточно_ распространена" == "Земля _достаточно_ плоская". И т.п.

Вы смешиваете даже не тёплое с мягким, а мягкое с письменным столом. OpenBSD достаточно распространена, чтобы поддерживать своё существование.

К слову, на тему «Земля достаточно плоская»: скажем, для автомобилиста это зачастую именно так. Его совершенно не волнует, шар она или нет: объехать по дороге всю целиком всё равно не выйдет из-за океанов, а так он едет себе и едет.

Ну или более научная аналогия: ньютоновская механика действительна только в определённых ситуациях, являясь статистическим обобщением законов микромира. То есть в общем случае она некорректна. Но по отношению к, скажем, полёту компакт-диска из окна пятого этажа вполне применима.

>>А вот ваши высокомерные (а они именно такие, так как вы судите
>>о проекте, не будучи с ним знакомым «изнутри» и базируясь во
>>многом на собственных домыслах, идущих от вашего опыта с другими проектами,
>>существующими по другим принципам)
>
>Это звучит как "существующими по другой физике" или "другой химии". В контексте
>треда речь о достаточно общих (универсальных) принципах идет.

Правильно, только эти общие принципы в частных случаях могут быть заменены заметно более простыми. Вы ведь, чтобы умножить 478 на 100 не складываете в уме девяносто девять раз число 478, а просто дописываете справа от него два нуля.

>>>Так то можно было сделать и после факта портирования. К моменту начала
>>>разработки Вы прицепились совершенно необоснованно, претензия-то чуток про другое была.
>>
>>Можно. Только кому это было надо? Разработчикам OpenBSD, повторюсь, это НЕ БЫЛО
>>надо. Они никогда не позиционировали pf как отдельный продукт, никогда не
>>заботились о возможности его портирования. pf хватает тех программистских сил, которые
>
>Дык "не было" - это про тот момент, создания. А портирование - оно и сейчас.

Угу. И разработчики FreeBSD явно знали о существовании PF, раз решили его портировать. Но всё равно играют в молчанку.

>[оверквотинг удален]
>easily. We even got to the stage where we had beta
>patches, but due to the fact that we needed a stable
>solution in our production environment we dropped the idea. Not to
>mention that it would have never been merged into pf, as
>OpenBSD has no jails and FreeBSD has no pf fork. (They
>treat pf as a port, so feature additions have to go
>through OpenBSD first. Uh good luck with that.)"
>
>Как Вы предполагаете такой запрос в апстрим от @freebsd.org? "Ребята, реализуйте пожалста
>джэйлы" ?

Если их реализация настолько тривиальна, то уместным будет соответствующим патч. Тем паче, что разработчики FreeBSD наверняка знают о каких-то подводных камнях. Иначе это действительно будет некрасиво смотреться.

>Еще к теме форков - вот в http://www.thejemreport.com/content/view/239/1/ наоборот против того, чтобы
>другой проект из OpenBSD был форкнут. А здесь защищаете форки. Двулично
>как-то :)

Я не то чтобы защищаю форки, я считаю, что это личное дело каждого (каждой ОС). А OpenSSH, между прочим, действительно portable изначально. Так что сравнивать с PF, который, повторюсь, никто в OpenBSD как отдельный продукт не позиционировал, некорректно.

>[оверквотинг удален]
>>>Ну, так и как я имел в виду?
>>
>>Вы имели в виду «Зачем реимплементить протухший CVS когда можно было создать
>>пристойный конкурент SVN, под BSD-лицензией». Теперь-то разницу чувствуете?
>
>Э, то есть я должен почувствовать разницу между фразой
>"Зачем реимплементить протухший CVS когда можно было создать пристойный конкурент SVN, под
>BSD-лицензией" и фразой "Зачем реимплементить протухший CVS когда можно было создать
>пристойный конкурент SVN, под BSD-лицензией" ? Представляете, как-то между одинаковыми фразами
>разницы не чувствую :)

Devil is in details, в данном случае, в запятых.

>Знаете, я как-то школу окончил с пониманием, что такое курсив и полужирный,
>и как их за сотни лет применяют :) Потому что уже
>в те времена для выделения пользовались именно ими - порядка слов
>как-то не всегда хватает. Если же у Вас проблемы с кодами
>этого форума, то можно кусок обрамить в _подчеркивания_ или вообще выписать
>то словосочетание, где ударение, отдельно.

Спасибо, дорогой К.О. Каким же глупым был, и по сторонам смотреть не умел; за несколько лет пребывания на форуме так и не научился. Теперь я просвещён!

>[оверквотинг удален]
>>
>>Прошу заметить, Петя сам ниасилил изобрести этот велосипед, равно как и тот,
>>которым Вася в своё время вдохновился (ipf) но всё равно считает
>>себя вправе указывать Васе, что и как он должен делать.
>>
>>Хотя на самом деле Петя сидит и бухтит про себя, с Васей
>>он даже не разговариает (см. выше про отсутствие патчей от @freebsd.org).
>
>Петя вообще-то в это время занимался кучей других вещей - наладил на
>заводе функционирование технологической схемы вместо старого кустарного способа, например.

Угу. Только про это он с братом не беседовал. Насчёт кустарщины вообще разговор отдельный.

> Про патчи я уже выше комментировал: непутевому братцу бы не сидеть в своей
>комнате, а смотреть, чем завод живет - у Пети не до
>всего руки доходят.

Братец делает свои велосипеды, Петя — свои. Вот Пете понравился велосипед, который сделал Вася, и он начал делать их так же. Заводы тут вообще ни при чём.

>>> Если повзрослеет и перестанет упорствовать в невежестве.
>>
>>По-вашему, невежа — тот, кто изобрёл, а ведун — тот, кто сидит
>>и бухтит, что всё не так как надо? А по-моему, второй
>>— просто лентяй-зануда.
>
>Остальной частью завода занимается - это теперь "сидит и бухтит" называется. Ну-ну.

Своего завода в таком случае. Не забывайте, что Вася и Петя вместе не живут. Чем он там ещё занимается — его личное дело. Петя может сколько угодно считать, что поступает умнее всех, но это не даёт ему права указывать Васе, как ему делать его велосипеды.

Может, хватит уже ратовать за всеобщее счастье, особенно если винить в своих проблемах особо некого, кроме себя самих. Легко обозвать другого ретроградом, гораздо сложнее уважать чужое право иметь собственное мнение.

>>> А Вася взрослеть отказывается, и лопочет про конструктивность только помощи
>>>в создании велосипеда. Разумеется, Петя прав.
>>
>>Если для вас это разумеется, то предлагаю разговор окончить. Потому что он
>>бессмысленнен. Если для вас правы не те, кто что-то делает, а
>>те, кто стоит рядом и бухтит, то нам вами попросту не
>>о чем разговаривать.
>
>Ну, если Вы предпочитаете не замечать, что он делом занимается, и думаете
>только, что бухтит, то действительно не о чем.

Я не говорил, что он _вообще_ не занимается делом. Если вы вспомните, я говорил про FreeBSD прямо противоположное, что они тоже что-то делают, молодцы.

Я говорил, что применительно к ситуации с велосипедами Петя ведёт себя несколько странно. Если он хочет, чтобы Вася как-то подстроил велосипед под Петины нужды, Пете было бы неплохо для начала с Васей поговорить. А так Петя сидит и бухтит.

> И что в семьях (это ниже про другие грани у Вас) друг другу помогать
>- норма, для Вас, видимо, тоже в новинку.

Помогают обычно тем, кто просит. Может, вы думаете по-другому, а я не люблю навязываться со своей помощью. Предупреждая ваши фантазии на тему моих комплексов: не потому что я люблю, чтобы передо мной унижались, а потому что у меня есть и собственные дела (важные не только и не столько для меня самого, сколько для моей семьи, моих близких), и бегать искать, кому помочь, как-то некогда.

>[оверквотинг удален]
>>>>>>и не пытается изображать из себя самого умного.
>>>
>>>Вас так сильно напрягает критика, что вы её сразу записываете в умничание?
>>
>>Одно другому не мешает.
>
>Ну, допустим даже, что это так. Однако Вы при этом отрицаете конструктивную
>часть. И вообще игнорируете неудобные для Вас вещи - вот насчет
>"для себя" и "is important to us" не стали цитировать. Ну
>я понимаю, возразить-то по существу нечего.

Просто не хотел повторяться. Если конструктивной частью вы считаете позицию «FreeBSD изобрела что-то интересное, поэтому оно правильно, и те, кто не идут следом за ней — ретрограды», то, по-моему, это у вас что-то не в порядке с конструктивностью.

>Зато можно обидеться на приписанное собеседнику "умничание".

Если бы я всерьёз обиделся, то просто прекратил бы разговор.

>>>Не лучше ли пользу извлечь и измениться? А почему, кстати, умничание?
>>>У Вас комплексы насчет уровня интеллекта, что ли?
>>
>>Если только завышенное мнение о собственных способностях; впрочем, смею надеяться, последние несколько
>>лет я достаточно адекватен.
>>
>>А вот вы явно напрашиваетесь на аналогичный вопрос.
>
>О, и с чего же? :)

С того, что вы первый об этом подумали.

>>замечания выдают (у вас проблемы? Давайте мы
>>о них поговорим!) какие-то ваши личные комплексы, вроде необходимости самоутверждаться за
>>счёт других.
>
>Давайте! Очень интересно послушать, как это стыкуется с зашкаливающей уверенностью в себе,
>о которой Вы написали ниже :)

Прекрасно стыкуется у нормально развивающихся детей лет пятнадцати, например.

>>>Проблема в том, что они такие у всего проекта OpenBSD. Точнее, у
>>>всех представителей, с которыми я общался.
>>
>>Разумеется, это все остальные сходят с ума, а не вы. ;)
>
>Как Вы ловко передергиваете с подмножества разработчиков на вообще всех остальных. Но
>Вы впредь так не делайте, некрасиво, знаете ли.

Согласен, не слишком изящно вышло. Но всё-таки суть, надеюсь, вы поняли: то, что верно для вас, не обязательно верно для остальных. Потому что всё-таки речь не о том, круглая ли Земля, а о том, что исходит из личных желаний, и, следовательно, весьма субьективно.

>[оверквотинг удален]
>>для вас — арена непрекращающейся борьбы за выживание; других граней человеческой
>>реальности как будто не существует. Это очень хорошо вписывается в защищаемую
>
>Видите ли, мы здесь общаемся на некоторые относительно узкие темы, а Вы
>обобщаете здесь на поведение в целом. К примеру, нету у меня
>такой уверенности в себе, скажем, в музыке - ну не разбираюсь
>я в ней. Акцент же в вопросе же мирного сосуществования как-то
>странен - вот фирмы в стране существуют вполне себе в мирное
>время, однако конкуренция и борьба за выживание между ними при этом
>есть. Странно отрицать природу.

«И целого мира мало». Я и говорю, жадность, выходящая из страха забвения. Только если к каким-нибудь хордовым ещё можно приписывать наличие инстинкта самосохранения, то к проектам операционных систем уже нет. Все их «инстинкты» заключаются в идеях, продвигаемых руководством проектов. Разработчики Linux и FreeBSD считают, что надо максимально обезопасить своё существование, для чего нужно максимально распространиться. Разработчики OpenBSD так не считают. Вот и всё.

>>вами концепцию «кооперации», когда Петя сидит в своём уголке и тихо
>>жалуется сам себе на то, что Вася делает всё неправильно, но
>>помочь Васе даже не приходит в голову.
>
>Это я уже выше расписывал. Странное это дело - "помогать помощнику", когда
>своих дел много.

1. Вася не помощник Пети, они равноправные субъекты. Или вы уже все *BSD-проекты записываете в сателлиты FreeBSD, которые ей должны помогать?

2. То же самое в первую очередь следует спросить FreeBSD-шников, почему им должны помогать, когда своих дел много.

> И еще более странно, что помощник этого сам
>не понимает, и ему приходится это разжевывать.

Вот-вот, я это вам уже сколько постов пытаюсь донести, а, оказывается, вы и сами так думаете. Только почему-то в обратном направлении. Хотя как раз опёнковцы не бухтят, что разработчики FreeBSD им в чём-то там не помогают, а либо идут, если надо, на контакт, либо сами справляются, без бухтежа. Так что ваш выстрел мимо.


"Обзор развития проекта OpenBSD"
Отправлено Zert , 22-Июн-10 15:39 
Выскажусь за VCS.
Итак, реимплементить CVS — дурацкая затея, я объясню, почему.
Во-первых, эта vcs морально устарела.
Во-вторых, там нет бранчей.
В-третьих, нет мержей (вытекает из отсутствия бранчей)
В-четвёртых (-пятых, -шестых и т.д.) даже писать не буду, уже этого хватает.

CVS можно с успехом использовать в случаях, когда в нём лежит большой и толстый проект с миллионами строк кода, когда в нём не делается больших глобальных изменений, не добавляются новые фичи, а лишь фиксятся баги небольшим количеством людей. Можно ли отнести OpenBSD к такому виду проекта? Если разработчики решили оставаться на CVS, то им виднее.

Говорить о ненужности бранчей и мержек можно лишь тогда, когда имел опыт их использования в полной мере, когда был большой проект с интенсивной разработкой несколькими командами. Можно ли интенсивно вести разработку, используя CVS? Можно, но зачем? Какая цель приследуется? В случае с OpenBSD мне видится лишь такой недомаркетинговый ход, как якобы отсутствие погони за всем новым, использование только старых проверенных технологий, консерватизм, тоска, уныние, погибель... Об этом говорят и девизы типа "I'm still here", и логотип в виде супермена с лицом победителя параолимпиады, мол, я победил, я полноценный, наплевать, что нету ног и член не стоит.


"Обзор развития проекта OpenBSD"
Отправлено PereresusNeVlezaetBuggy , 22-Июн-10 16:19 
>Выскажусь за VCS.
>Итак, реимплементить CVS — дурацкая затея, я объясню, почему.

А почему вы это, кстати, пишете мне, а не на misc@openbsd.org? Боитесь, что не удастся отбрехаться, а уж одного-то опёнковода апломбом задавить получится?

>Во-первых, эта vcs морально устарела.

А уж как устарела команда cat, вообще страшно сказать.

>Во-вторых, там нет бранчей.

Это кто вам сказал? Вы вообще CVS в глаза видели, или чужие слова пересказываете? Только честно. Про себя могу сказать, что достаточно много работал с CVS, SVN и Mercurial, ещё вертел в руках Git и VSS, и сравнивать могу не на пустом месте.

>В-третьих, нет мержей (вытекает из отсутствия бранчей)

Есть cvsync, например, и ещё команда import. И кому как, конечно, но по мне merge'и уместны только в локальном репозитории, ибо сильно засоряют историю коммитов. Хотя кому-то пофиг, конечно.

>В-четвёртых (-пятых, -шестых и т.д.) даже писать не буду, уже этого хватает.

Сочувствую. Идеала вообще нет.

>CVS можно с успехом использовать в случаях, когда в нём лежит большой
>и толстый проект с миллионами строк кода, когда в нём не
>делается больших глобальных изменений, не добавляются новые фичи, а лишь фиксятся
>баги небольшим количеством людей. Можно ли отнести OpenBSD к такому виду
>проекта? Если разработчики решили оставаться на CVS, то им виднее.

А вам не приходило в голову, что разработчики могут не хуже вашего знать о других VCS? Почитайте историю боли, как FreeBSD переезжало на SVN, сколько там было проблем.

Более того, никто не запрещает использовать мосты из любимой VCS в CVS, об этом уже не раз говорилось.

>Говорить о ненужности бранчей и мержек можно лишь тогда, когда имел опыт
>их использования в полной мере, когда был большой проект с интенсивной
>разработкой несколькими командами. Можно ли интенсивно вести разработку, используя CVS? Можно,
>но зачем? Какая цель приследуется?

Довод «так исторически сложилось, потому что когда-то и альтернативы особой не было» вам в голову не приходил? :) Опять же, есть лицензионные соображения: менять один не-BSDшный кусок в базовой ОС на другой не-BSDшный опёнковцы не собираются. Mercurial тянет Python, его в базу вносить никто не собирается, слишком много геммороя с аудитом. Выбора-то особого и нет.

А CVS — он работает. Тьфу-тьфу-тьфу.

> В случае с OpenBSD мне видится
>лишь такой недомаркетинговый ход, как якобы отсутствие погони за всем новым,

Погони — нет, но вообще ОС развивается, несмотря на постоянно появляющиеся уже не первый десяток лет подобные вашим высказывания. Иначе бы она действительно умерла.

>использование только старых проверенных технологий, консерватизм, тоска, уныние, погибель... Об этом
>говорят и девизы типа "I'm still here", и логотип в виде
>супермена с лицом победителя параолимпиады, мол, я победил, я полноценный, наплевать,
>что нету ног и член не стоит.

Кто чего боится, о том и говорит?


"Обзор развития проекта OpenBSD"
Отправлено Добрый Дохтур , 05-Июн-10 16:16 
>Вон, подразделение, отвечающее за Ethernet-технологии Intel выкладывает
>толковые спеки — как результат, драйвера fxp(4) и em(4) в OpenBSD
>прекрасно поддерживаются самими разработчиками, и пользователи довольны.

ча-ча-ча. про стомегабитные карточки в принципе можно забыть. это прошлый век.
лучше расскажите про поддержку современных 1G/10G карточек(т.е. не на уровне воткнул - появился сетевой интерфейс, а про поддержку в openbsd таких вещей как tso/lso и заканчивая ToE и intel i/o at).
Кстати, а сколько аппаратных очередей видит openbsd у сетевой карточки на чипе 82576EB и знает ли openbsd про такую вещь как RSS(Receive Side Scaling)?
(про чип тут написано:  http://www.intel.com/products/ethernet/resource.htm#s1=Gigab... )


>Некоторые используют для работы со звуком, кто-то в игры играется (DRI/DRM для
>Intel и ATI на x86, а также ряда карт на платформе
>UltraSPARC давно работоспособен) и так далее.

ультраспарк? играть? зачем? чтобы только тешить свое самолюбие словами "у меня не x86"??

Сейчас intel atom производительнее, чем спарки, доступные на барахолках.
А на более производительное железо в здравом уме openbsd никто ставить не будет - есть solaris. Так же как и не будут туда ставить linux.

>Угу. Вы забыли про OpenSSH, OpenBGPD, OpenSPFD и многое другое.

а что, их нет в freebsd/netbsd/linux?

>Да и PF во фряхе постоянно протухший… Скажите честно, что не пробовали, а
>говорите по слухам, и всё будет понятно. :)

pf в принципе не нужен. я понимаю, что у openbsd просто выбора нет, в отличие от freebsd и linux(туда ipfw портировали). Когда pf появится нечто, аналогичное tablearg и не надо будет рисовать развесистое дерево для altq, чтобы каждому хосту из сети /20 дать скорость в 1Мбит/с - тогда можно будет воспринимать pf всерьез.
Ещё опенковцам надо выпилить из ядра giant lock и научить pf обрабатывать трафик на нескольких cpu одновременно.



"Обзор развития проекта OpenBSD"
Отправлено PereresusNeVlezaetBuggy , 05-Июн-10 17:59 
>>Вон, подразделение, отвечающее за Ethernet-технологии Intel выкладывает
>>толковые спеки — как результат, драйвера fxp(4) и em(4) в OpenBSD
>>прекрасно поддерживаются самими разработчиками, и пользователи довольны.
>
>ча-ча-ча. про стомегабитные карточки в принципе можно забыть. это прошлый век.

Вообще-то эти драйвера приводились для примера о документации для написания драйверов. Читать научитесь, а?

>лучше расскажите про поддержку современных 1G/10G карточек(т.е. не на уровне воткнул -
>появился сетевой интерфейс, а про поддержку в openbsd таких вещей как
>tso/lso и заканчивая ToE и intel i/o at).
>Кстати, а сколько аппаратных очередей видит openbsd у сетевой карточки на чипе
>82576EB и знает ли openbsd про такую вещь как RSS(Receive Side
>Scaling)?

Насколько я успел пробежаться по драйверу ix(4), умеет.

>(про чип тут написано:  http://www.intel.com/products/ethernet/resource.htm#s1=Gigab... )
>
>
>>Некоторые используют для работы со звуком, кто-то в игры играется (DRI/DRM для
>>Intel и ATI на x86, а также ряда карт на платформе
>>UltraSPARC давно работоспособен) и так далее.
>
>ультраспарк? играть? зачем? чтобы только тешить свое самолюбие словами "у меня не
>x86"??

Во-первых, их и спросите. Люди пользуют, у людей это работает. Речь была только об этом. Я тоже не могу понять людей, которые netfilter хвалят за удобство, но им виднее.

Во-вторых, читайте внимательнее, UltraSPARC была упомянута до кучи, на x86 DRI точно такой же.

>Сейчас intel atom производительнее, чем спарки, доступные на барахолках.

Вы не поверите, UltraSPARC (не путать со старыми 32-битными SPARC) ещё и новые производят. Да-да.

>А на более производительное железо в здравом уме openbsd никто ставить не
>будет - есть solaris. Так же как и не будут туда
>ставить linux.

Что ж, значит, разработчики OpenBSD и иже с ними — полные психи и идиоты. Ваше самолюбие удовлетворено?

>>Угу. Вы забыли про OpenSSH, OpenBGPD, OpenSPFD и многое другое.
>
>а что, их нет в freebsd/netbsd/linux?

И снова: учитесь читать! Речь шла о том, что эти программные продукты разрабатываются в рамках (sic!) OpenBSD. А уже оттуда их с различной степенью регулярности портируют; некоторое исключение — OpenSSH, существующий в специальной portable-версии

>>Да и PF во фряхе постоянно протухший… Скажите честно, что не пробовали, а
>>говорите по слухам, и всё будет понятно. :)
>
>pf в принципе не нужен. я понимаю, что у openbsd просто выбора
>нет, в отличие от freebsd и linux(туда ipfw портировали).

Эм, что значит выбора нет? Выбор разработчиков OpenBSD — разработанный ими pf. Да, в каждом соверменном пакетном фильтре хотя одна своя особенная фича, которой не умеют остальные. Если вам так сдался tablearg…

> Когда pf появится нечто, аналогичное tablearg и не надо будет рисовать развесистое дерево
>для altq, чтобы каждому хосту из сети /20 дать скорость в
>1Мбит/с - тогда можно будет воспринимать pf всерьез.

… то да, конечно, только из-за одной единственной недостающей лично вам фичи pf нужно отправить на помойку. OpenBSD'шники посыпают голову пеплом из-за суровой правды, поведанной им добрым дохтуром, Тео де Раадт на следующий день обнаруживают повесившимся на SCSI-шлейфе.

Кстати, прикрутить к pf эту фичу, если я хорошо помню сорцы, довольно легко. Видимо, просто никому не было надо. Готов выполнить эту работу за, скажем, 300$.

>Ещё опенковцам надо выпилить из ядра giant lock и научить pf обрабатывать
>трафик на нескольких cpu одновременно.

Надо — вам, выпиливать — опёнковцам, да? А фразу «don't fix it if it's not broken» когда-нибудь слышали? OpenBSD сейчас успешно справляется с высокими нагрузками на линках. Тот же OpenBGPD не просто так появился, как вы думаете? Просто никто об этом не кричит, в отличие от FreeBSD, ибо кричать там никому не нужно. OpenBSD не стремится завоевать мир.


"Обзор развития проекта OpenBSD"
Отправлено PereresusNeVlezaetBuggy , 05-Июн-10 19:10 
>Кстати, прикрутить к pf эту фичу, если я хорошо помню сорцы, довольно
>легко. Видимо, просто никому не было надо. Готов выполнить эту работу
>за, скажем, 300$.

На всякий случай уточню, что речь о том, чтобы можно было прикручивать дополнительные данные к таблицам в pf и использовать эти данные для создания «мультиправил» с queue в pf.


"Обзор развития проекта OpenBSD"
Отправлено Добрый Дохтур , 06-Июн-10 01:11 
>>Кстати, прикрутить к pf эту фичу, если я хорошо помню сорцы, довольно
>>легко. Видимо, просто никому не было надо. Готов выполнить эту работу
>>за, скажем, 300$.
>
>На всякий случай уточню, что речь о том, чтобы можно было прикручивать
>дополнительные данные к таблицам в pf и использовать эти данные для
>создания «мультиправил» с queue в pf.

ага. только ещё надо не забыть реализовать аналог динамических пайпов в dummynet.


"Обзор развития проекта OpenBSD"
Отправлено Добрый Дохтур , 06-Июн-10 01:10 
>Насколько я успел пробежаться по драйверу ix(4), умеет.

дадад. только не умеет оно не более 1й аппаратной очереди.

>Во-первых, их и спросите. Люди пользуют, у людей это работает.

некоторые reactos и haiku пользуют. но это все на уровне just for fun.

>Я тоже не могу понять людей, которые netfilter
>хвалят за удобство, но им виднее.

pf имеет другую идеологию, отличную от ipfw & netfilter. выпустить офис в интернеты итп - просто. Что-то тривиальное в нем делается крайне просто. Однако, достаточно вспомнить недавние проблемы с uTP, когда обладатели ipfw/netfilter просто добавили правило, дропающее negotiation между двумя клиентами и все у стало как раньше(до изобретения криворукими авторами utorrent нового протокола).

>Вы не поверите, UltraSPARC (не путать со старыми 32-битными SPARC) ещё и
>новые производят. Да-да.

вы о каких именно? T2+ ? так они заточены под агрессивную многопоточность(а с kernel threads, в openbsd все плохо, как и с fine grain locking).


>Что ж, значит, разработчики OpenBSD и иже с ними — полные психи
>и идиоты. Ваше самолюбие удовлетворено?

причем тут это? Прелесть сановского железа в связке с солярисом. остальное - от лукавого или же какой-то странной и редкой необходимости.

>>>Угу. Вы забыли про OpenSSH, OpenBGPD, OpenSPFD и многое другое.
>>
>>а что, их нет в freebsd/netbsd/linux?
>И снова: учитесь читать! Речь шла о том, что эти программные продукты
>разрабатываются в рамках (sic!) OpenBSD. А уже оттуда их с различной
>степенью регулярности портируют;

ну и что вы хотите этим сказать? ;) что если проект openbsd умрет, то все резко перестанут пользоваться openssh и развивать его будет некому?

OpenBGPD & OpenOSPFD? нет, спасибо. Уж лучше quagga. Их в последнее время Sun активно спонсировала(как деньгами, так и железом) + ещё и патчи слали. Тем более, что quagga штатно в 10й солярке и аудитория тестеров большая и достаточно квалифицированная.

Или XORP. Там тоже со спонсорами проблем нет.


>Эм, что значит выбора нет? Выбор разработчиков OpenBSD — разработанный ими pf.

ненене. вы же сами должны помнить историю с ipf и выпиливаением его из openbsd, когда несколько недель ОС была без какого-либо пакетного фильтра вообще.

>Да, в каждом соверменном пакетном фильтре хотя одна своя особенная фича,
>которой не умеют остальные. Если вам так сдался tablearg…
>Кстати, прикрутить к pf эту фичу, если я хорошо помню сорцы, довольно
>легко. Видимо, просто никому не было надо. Готов выполнить эту работу
>за, скажем, 300$.

Спасибо, я пешком постою. Всмысле, буду использовать те ОС, где нужный мне фичесет уже есть.


>OpenBSD сейчас успешно справляется с
>высокими нагрузками на линках.

высокие - это сколько? 10G хотя бы в одну сторону прожуем?
А то я ради интереса засетапил 4.7 amd64 на тестовый dualcore, сказал ping -f openbsd.hostname и interrupts ушли в 99% на одном из cpu.

>Тот же OpenBGPD не просто так появился,
>как вы думаете?

ага. а свой mta тоже просто так появился? а своя реализация аудиосистемы тоже?
и они конечно же лучше и функциональнее своих предшественников?

>Просто никто об этом не кричит, в отличие
>от FreeBSD, ибо кричать там никому не нужно.

вы удивительно правы. некому - потому что разработчиков мало. а ещё - не о чем.



"Обзор развития проекта OpenBSD"
Отправлено PereresusNeVlezaetBuggy , 06-Июн-10 02:53 
>>Насколько я успел пробежаться по драйверу ix(4), умеет.
>
>дадад. только не умеет оно не более 1й аппаратной очереди.

Драйвер ix(4) пришёл в опёнок из фряхи, я с ним не разбирался ввиду отсутствия соответствующего железа под руками. Если вы _проверяли_, что ж, верю на слово. Заодно расскажите, пожалуйста, в деталях, что это означает на практике каков profit и каковы подводные камни, если вы так хорошо в этом разбиретесь (без сарказма говорю).

>>Во-первых, их и спросите. Люди пользуют, у людей это работает.
>
>некоторые reactos и haiku пользуют. но это все на уровне just for
>fun.

Угу. Такой for fun, что годами сидят и радуются (я про OpenBSD). С другой стороны, если от использования ОС сплошной негатив, где-то что-то явно надо подправить, согласитесь.

>>Я тоже не могу понять людей, которые netfilter
>>хвалят за удобство, но им виднее.
>
>pf имеет другую идеологию, отличную от ipfw & netfilter. выпустить офис в
>интернеты итп - просто. Что-то тривиальное в нем делается крайне просто.
>Однако, достаточно вспомнить недавние проблемы с uTP, когда обладатели ipfw/netfilter просто
>добавили правило, дропающее negotiation между двумя клиентами и все у стало
>как раньше(до изобретения криворукими авторами utorrent нового протокола).

Хм. Я на работе тупо режу торренты (потому что безлимитный канал в конторе уже с 50+, а у меня много больше, машин забивают на раз, а лимитный тем паче не вариант), дома Transmission на сервере cтоит. То есть необходимости что-то резать банально не возникало… На работе делаю:

block drop on $ext_if proto udp from port >1024 to port >1024

Затем добавляю исключения для всяких OpenVPN, и радуюсь. Верите, нет, жалобы отсутствуют.

Теоретически инспектирование пакетов прикрутить можно, канеш, благо архитектура у pf вполне понятная…

А насчёт «тривиальное делается просто» — оно и должно делаться просто, по определению. Только почему-то у многих оно всё же делается сложно. ;)

>>Вы не поверите, UltraSPARC (не путать со старыми 32-битными SPARC) ещё и
>>новые производят. Да-да.
>
>вы о каких именно? T2+ ? так они заточены под агрессивную многопоточность(а
>с kernel threads, в openbsd все плохо, как и с fine grain locking).

Вам про Фому, вы про Ерёму. Речь шла о том, что там DRI/DRM работают, вы опять в многопоточность лезете. Лишь бы доказать, что OpenBSD вам не сдалось — не волнуйтесь, все и так это давно поняли.

>>Что ж, значит, разработчики OpenBSD и иже с ними — полные психи
>>и идиоты. Ваше самолюбие удовлетворено?
>
>причем тут это? Прелесть сановского железа в связке с солярисом. остальное -
>от лукавого или же какой-то странной и редкой необходимости.

А ещё некоторые предпочитают использовать открытое ПО. Понимаю, это для вас новость, даром что сей замечательный сетевой ресурс называется OpenNet.

>>>>Угу. Вы забыли про OpenSSH, OpenBGPD, OpenSPFD и многое другое.
>>>
>>>а что, их нет в freebsd/netbsd/linux?
>>И снова: учитесь читать! Речь шла о том, что эти программные продукты
>>разрабатываются в рамках (sic!) OpenBSD. А уже оттуда их с различной
>>степенью регулярности портируют;
>
>ну и что вы хотите этим сказать? ;) что если проект openbsd
>умрет, то все резко перестанут пользоваться openssh и развивать его будет
>некому?

В N-ый раз говорю: учитесь читать! Перечитайте, к чему я упоминал эти продукты — речь шла о том, что OpenBSD нужен якобы только для pf (который вы упорно пытаетесь закопать, как будто он вас работы лишил). Я в ответ упомянул ещё целый ряд продуктов, которые существуют благодаря и в рамках OpenBSD. Вы же, не осилив прочесть и осмыслить коммент, сразу принялись как котёнок тыкаться. Это было бы забавно, не будь столь печальным.

И да, если убрать разработчиков OpenBSD, то и проекты-сателлиты так или иначе пострадают, как это бывает везде в open source.

>OpenBGPD & OpenOSPFD? нет, спасибо. Уж лучше quagga. Их в последнее время
>Sun активно спонсировала(как деньгами, так и железом) + ещё и патчи
>слали. Тем более, что quagga штатно в 10й солярке и аудитория
>тестеров большая и достаточно квалифицированная.
>
>Или XORP. Там тоже со спонсорами проблем нет.

Ну так юзайте, кто вам мешает, если они вам больше нравятся. У кого-то OpenBGPD & Co. исправно работает, это, ИМХО, лучшая и единственно возможная рекомендация для его использования.

И главное: OpenBSD предоставляет готовую _платформу_ для решений класса «роутер». Всё, что надо, здесь есть, подогнанно друг к другу, отлажено и работает с пол-пинка. Скажем, связка pf + pfsync + CARP + relayd прекрасно себя зарекомендовала. Думаю, не нужно вам объяснять, чем это лучше сборной солянки.

>>Эм, что значит выбора нет? Выбор разработчиков OpenBSD — разработанный ими pf.
>
>ненене. вы же сами должны помнить историю с ipf и выпиливаением его
>из openbsd, когда несколько недель ОС была без какого-либо пакетного фильтра
>вообще.

Помню прекрасно, была трабла с лицензированием — аффтар ipf поступил круче, чем аффтар cdrtools в своё время. Ну и последствия тоже сильнее — ipf теперь используют всё меньше, а pf набирает обороты. Несмотря на ваши убедительнийшие доказательства неадекватности последнего.

>>OpenBSD сейчас успешно справляется с
>>высокими нагрузками на линках.
>
>высокие - это сколько? 10G хотя бы в одну сторону прожуем?

Пока что не на чем проверять, к сожалению. Завтра посмотрю в архиве, вроде, Henning Brauer что-то по этому поводу рассказывал. Гигабит у меня проскакивал на раз, проверено.

>А то я ради интереса засетапил 4.7 amd64 на тестовый dualcore, сказал
>ping -f openbsd.hostname и interrupts ушли в 99% на одном из
>cpu.

Хм. Попробовал сейчас с домашнего шлюза на старый десктоп, за которым в этот момент сижу (Sempron 2600+, VIA RhineII-2), у последнего interrupts поднялся с 0 до 20%, +/-3%; тормозов в иксах, а я юзаю KDE, практически нет, только в FireFox текстовый курсор иногда притормаживает. При этом block return или block drop в pf — всё равно. Может, вы запустили тест зайдя через SSH с той же машины, вследствие чего ещё и точки у ping -f бешенно отрисовывались?

Да, и вы, часом, не путаете мегабиты в секунду с пакетами в секунду? А то ping -f скорее из второй области, чем из первой…

>>Тот же OpenBGPD не просто так появился,
>>как вы думаете?
>
>ага. а свой mta тоже просто так появился?

Кстати, можно сказать, что и «просто так». Сначала Gilles Chehade набросал его скелет во время какой-то посиделки в кафе, потом несколько дней усердно над ним корпел, потом показал кому-то из разработчиков OpenBSD (уже не помню, кому, искать лень). Тот заинтересовался, помог прилизать код… И через какое-то время в репозитории появилась папка src/usr.sbin/smtpd. :)

> а своя реализация аудиосистемы тоже?

Тут историю возникновения помню плохо, кажись, там было что-то связанное с MIDI и синхронизацией звука; требования полностью не удовлетворялись ни одной из имеющихся звуковых open source систем.

>и они конечно же лучше и функциональнее своих предшественников?

OpenSMTPD, например, AFAIK, единственный, кроме Postfix и qmail, кто использует priviledge separation. Насчёт лучше — понятие субъективное, но по крайней мере в обслуживании OpenSMTPD точно прост.

Что же до sndio — советую действительно присмотреться к этой системе. Будучи написанная в unix-way, она позволяет, напрмер, очень просто транслировать звук по сети и вообще через любой стандартный поток безо всякого jack; как правило, не требует вообще никакого конфигурирования, но при этом можно самыми дикими способами перенаправлять и отображать звуковые каналы. Например, продублировать стереосигнал со второго джека вашей azalia-карты на первый и пятый, причём пятый смикшировать с выходным сигналом основной системы, и всё это сихнронизировав через MIDI. При всём при этом sndio архитектурно не настолько крепко прикручена к Опёнку, как, скажем, ALSA к Linux'у, поскольку реализована сугубо в userland, и одновременно обладает довольно низкой латентностью.

>>Просто никто об этом не кричит, в отличие
>>от FreeBSD, ибо кричать там никому не нужно.
>
>вы удивительно правы. некому - потому что разработчиков мало.

«Мало» — не значит «плохие». Один хороший разработчик стоит целого стада недоучившихся индусов, которые не знают, что длина структуры может отличаться от суммы длин входящих в неё членов.

> а ещё - не о чем.

Угу, угу. Разработчикам OpenBSD нечего кричать о защите стека в GCC, о добытой _документации_ (не под NDA, а открытой для всех) на RAID- и 802.11-чипсеты, о том же pf (который, например, на моей прошлой работе в одной из крупнейших хостинговых компаний Рунета легко и быстро заменил ipfw) и о многом, многом другом. Им нужно просто утереться, что их так раскритиковали и пойти работать дворниками.

Вы чего хотите? Беседы в стиле «а у вашей ОС биты ещё кривее»? За этим по другому адресу, пожалуйста. Можно к зеркалу.


"Обзор развития проекта OpenBSD"
Отправлено Michael Shigorin , 06-Июн-10 19:52 
>>>OpenBSD сейчас успешно справляется с высокими нагрузками на линках.
>>высокие - это сколько? 10G хотя бы в одну сторону прожуем?
>Пока что не на чем проверять, к сожалению. [...] Гигабит у меня
>проскакивал на раз, проверено.

Тем временем на наших линуксах проскакивает и десятка (MT26448), и Infiniband (MT26428). :) (кстати, последнего на опёнках тоже ждать не приходится, да и не сдался он там, где водится IB, по куче остальных причин -- начиная с SMP)


"Обзор развития проекта OpenBSD"
Отправлено Добрый Дохтур , 06-Июн-10 21:57 
>>>Насколько я успел пробежаться по драйверу ix(4), умеет.
>>
>>дадад. только не умеет оно не более 1й аппаратной очереди.
>Драйвер ix(4) пришёл в опёнок из фряхи, я с ним не разбирался
>ввиду отсутствия соответствующего железа под руками. Если вы _проверяли_, что ж,
>верю на слово. Заодно расскажите, пожалуйста, в деталях, что это означает
>на практике каков profit и каковы подводные камни, если вы так
>хорошо в этом разбиретесь (без сарказма говорю).

думаю, стоит начать тут: http://download.intel.com/network/connectivity/products/whit...

(Improving Network Performance in Multi-Core Systems)

>Хм. Я на работе тупо режу торренты (потому что безлимитный канал в
>конторе уже с 50+, а у меня много больше, машин забивают
>на раз, а лимитный тем паче не вариант),

вы не пробовали мыслить в рамках интернет-провайдера с клиентской базой 30-40к юзеров?

>Теоретически инспектирование пакетов прикрутить можно, канеш, благо архитектура у pf >вполне понятная…

дык если кто сделал бы такое - сразу захватил мир(потому как с DPI в опенсорсе все весьма печально).


>Вам про Фому, вы про Ерёму. Речь шла о том, что там
>DRI/DRM работают, вы опять в многопоточность лезете.

ну не я же говорил про то, что ультраспарки ещё производятся.
Да и что-то не припомню видеокарточек в t2000 и Netra T5220.

>А ещё некоторые предпочитают использовать открытое ПО. Понимаю, это для вас новость,
>даром что сей замечательный сетевой ресурс называется OpenNet.

а что, solaris для вас таковым не является? А открытое ПО - это конечно хорошо. Главное, чтобы было рабочим.


>И да, если убрать разработчиков OpenBSD, то и проекты-сателлиты так или иначе
>пострадают, как это бывает везде в open source.

Сомнительно. Сколько страданий было насчет XFree86("Все, конец графики на *nix" итп).

>И главное: OpenBSD предоставляет готовую _платформу_ для решений класса «роутер». Всё, что
>надо, здесь есть, подогнанно друг к другу, отлажено и работает с
>пол-пинка. Скажем, связка pf + pfsync + CARP + relayd прекрасно
>себя зарекомендовала. Думаю, не нужно вам объяснять, чем это лучше сборной
>солянки.

сходу - freebsd + то же самое. Из linux можно взять vyatta(да-да, там есть аналог carp+pfsync в вариантах master/backup и multimaster).


>Пока что не на чем проверять, к сожалению. Завтра посмотрю в архиве,
>вроде, Henning Brauer что-то по этому поводу рассказывал. Гигабит у меня
>проскакивал на раз, проверено.

Гигабит у меня через мой домашний роутер с linux и sempron 3000+, когда я кино соседу заливаю. А оно у вас 700kpps входящего трафика(т.е. просто поймайли и дропнули) выдержит(чтобы не уложило машину интерраптами)?


>Хм. Попробовал сейчас с домашнего шлюза на старый десктоп, за которым в
>этот момент сижу (Sempron 2600+, VIA RhineII-2), у последнего interrupts поднялся
>с 0 до 20%, +/-3%;

linux/freebsd даже не замечают ping -f


>Тут историю возникновения помню плохо, кажись, там было что-то связанное с MIDI
>и синхронизацией звука; требования полностью не удовлетворялись ни одной из имеющихся
>звуковых open source систем.

больше похоже на NIH-синдром.


>Насчёт лучше — понятие субъективное, но по крайней мере в обслуживании
>OpenSMTPD точно прост.

а спроизводительностью как? в кач-ве почтового релея для большой компании(например, газпрома) выдержит?

>Угу, угу. Разработчикам OpenBSD нечего кричать о защите стека в GCC, о
>добытой _документации_ (не под NDA, а открытой для всех) на RAID-
>и 802.11-чипсеты, о том же pf (который, например, на моей прошлой
>работе в одной из крупнейших хостинговых компаний Рунета легко и быстро
>заменил ipfw) и о многом, многом другом. Им нужно просто утереться,
>что их так раскритиковали и пойти работать дворниками.

Они конечно молодцы, что для сообщества спеки достают, но лучше openbsd от этого не становятся. Как 3 года назад была поддержка smp(о, боже, я даже не говорю о numa) в месте, о котором в приличном обществе и говорить то не принято, так в 2010 оно и осталось.

Учитывая повальную многоядерность(даже в embedded со всякими Cortex A9 и blackfin) проект openbsd верно движется к стагнации.

>Вы чего хотите? Беседы в стиле «а у вашей ОС биты ещё
>кривее»? За этим по другому адресу, пожалуйста. Можно к зеркалу.

Мне нравятся некоторые вещи, которые делаются в рамках проекта. Но зашкаливающее эго Theo&Co и то, с какой помпой подаются новые свистелки вызывают раздражение с недоумением.



"Обзор развития проекта OpenBSD"
Отправлено PereresusNeVlezaetBuggy , 06-Июн-10 23:02 
>[оверквотинг удален]
>>>дадад. только не умеет оно не более 1й аппаратной очереди.
>>Драйвер ix(4) пришёл в опёнок из фряхи, я с ним не разбирался
>>ввиду отсутствия соответствующего железа под руками. Если вы _проверяли_, что ж,
>>верю на слово. Заодно расскажите, пожалуйста, в деталях, что это означает
>>на практике каков profit и каковы подводные камни, если вы так
>>хорошо в этом разбиретесь (без сарказма говорю).
>
>думаю, стоит начать тут: http://download.intel.com/network/connectivity/products/whit...
>
>(Improving Network Performance in Multi-Core Systems)

Спасибо, сейчас прямо и почитаю.

>>Хм. Я на работе тупо режу торренты (потому что безлимитный канал в
>>конторе уже с 50+, а у меня много больше, машин забивают
>>на раз, а лимитный тем паче не вариант),
>
>вы не пробовали мыслить в рамках интернет-провайдера с клиентской базой 30-40к юзеров?

Не люблю думать за других. Я по опыту прошлой работы могу помыслить рамками хостинг-провайдера со сравнимой базой юзеров, там немного другие требования. Скажу сразу, основные свичи там были Cisco и Allied Telesyn, вот сами сервисы в основном на фряхе — но там понятно, исторически сложилось. Когда компания начиналась, ни фряха, ни линух даже не удостаивались сравнения с кошками. :)

>>Теоретически инспектирование пакетов прикрутить можно, канеш, благо архитектура у pf >вполне понятная…
>
>дык если кто сделал бы такое - сразу захватил мир(потому как с
>DPI в опенсорсе все весьма печально).

Хм-хм-хм. Можете формализовать требования (что конкретно реально нужно)? Можно в личку.

>>Вам про Фому, вы про Ерёму. Речь шла о том, что там
>>DRI/DRM работают, вы опять в многопоточность лезете.
>
>ну не я же говорил про то, что ультраспарки ещё производятся.
>Да и что-то не припомню видеокарточек в t2000 и Netra T5220.

http://www.openbsd.org/sparc64.html#status

>>А ещё некоторые предпочитают использовать открытое ПО. Понимаю, это для вас новость,
>>даром что сей замечательный сетевой ресурс называется OpenNet.
>
>а что, solaris для вас таковым не является?

Только-только начинает. Насколько я помню (вопрос не отслеживал), там до полного открытия ой как далеко.

> А открытое ПО - это конечно хорошо. Главное, чтобы было рабочим.

Разумеется.

>>И да, если убрать разработчиков OpenBSD, то и проекты-сателлиты так или иначе
>>пострадают, как это бывает везде в open source.
>
>Сомнительно. Сколько страданий было насчет XFree86("Все, конец графики на *nix" итп).

Да, но было больно. При этом аудитория Xfree86 по определению больше, чем у несколько специфических вещей (сомневаюсь, что хотя бы 0,01% людей на Земле слышал про BGP вообще, к примеру).

>>И главное: OpenBSD предоставляет готовую _платформу_ для решений класса «роутер». Всё, что
>>надо, здесь есть, подогнанно друг к другу, отлажено и работает с
>>пол-пинка. Скажем, связка pf + pfsync + CARP + relayd прекрасно
>>себя зарекомендовала. Думаю, не нужно вам объяснять, чем это лучше сборной
>>солянки.
>
>сходу - freebsd + то же самое.

… тухлое. Оно и понятно, тот же pf в OpenBSD делают «под себя», ибо часть ядра.

> Из linux можно взять vyatta(да-да,
>там есть аналог carp+pfsync в вариантах master/backup и multimaster).

Читал, но руки не дошли побаловаться.

>[оверквотинг удален]
>
>Гигабит у меня через мой домашний роутер с linux и sempron 3000+,
>когда я кино соседу заливаю. А оно у вас 700kpps входящего
>трафика(т.е. просто поймайли и дропнули) выдержит(чтобы не уложило машину интерраптами)?
>
>>Хм. Попробовал сейчас с домашнего шлюза на старый десктоп, за которым в
>>этот момент сижу (Sempron 2600+, VIA RhineII-2), у последнего interrupts поднялся
>>с 0 до 20%, +/-3%;
>
>linux/freebsd даже не замечают ping -f

Я сейчас в отпуске, до работы доберусь — поэкспериметирую на одной хорошей простаивающей машине. Вообще странное поведение, конечно.

>>Тут историю возникновения помню плохо, кажись, там было что-то связанное с MIDI
>>и синхронизацией звука; требования полностью не удовлетворялись ни одной из имеющихся
>>звуковых open source систем.
>
>больше похоже на NIH-синдром.

Does it matter now? :)

>>Насчёт лучше — понятие субъективное, но по крайней мере в обслуживании
>>OpenSMTPD точно прост.
>
>а спроизводительностью как? в кач-ве почтового релея для большой компании(например, газпрома) выдержит?

В «Газпроме» не работал, а производительность можно будет померять, когда я соберусь на работе почту с CGP на него перевести (о причинах, если позволите, не буду распространяться, скажу лишь, что переход на другой почтовик мера практически вынужденная). Чужих тестов я пока не видел, народ очень аккуратно к OpenSMTPD относится. Думаю, когда он пойдёт включённым по дефолту в опёнке, тогда и можно будет об этом поговорить.

>[оверквотинг удален]
>>и 802.11-чипсеты, о том же pf (который, например, на моей прошлой
>>работе в одной из крупнейших хостинговых компаний Рунета легко и быстро
>>заменил ipfw) и о многом, многом другом. Им нужно просто утереться,
>>что их так раскритиковали и пойти работать дворниками.
>
>Они конечно молодцы, что для сообщества спеки достают, но лучше openbsd от
>этого не становятся. Как 3 года назад была поддержка smp(о, боже,
>я даже не говорю о numa) в месте, о котором в
>приличном обществе и говорить то не принято, так в 2010 оно
>и осталось.

Кстати, про поддержку NUMA что-то в почте с *@openbsd.org проскакивало ещё прошлой осенью, если память не врёт. Но о текущем состоянии наработок я не в курсе. :( В OpenBSD обычно коммитят уже готовое, а до тех пор разработчики обычно стараются не светить намерения, чтобы им не мешали работать.

>Учитывая повальную многоядерность(даже в embedded со всякими Cortex A9 и blackfin) проект
>openbsd верно движется к стагнации.

Ой, сколько вас таких уже было, вы не поверите. ;)

>>Вы чего хотите? Беседы в стиле «а у вашей ОС биты ещё
>>кривее»? За этим по другому адресу, пожалуйста. Можно к зеркалу.
>
>Мне нравятся некоторые вещи, которые делаются в рамках проекта. Но зашкаливающее эго
>Theo&Co и то, с какой помпой подаются новые свистелки вызывают раздражение
>с недоумением.

Ганс Рейзер, помнится, вообще человека убил. Не думаю, что его файловая система стала от этого факта хуже или лучше. ;)


"Обзор развития проекта OpenBSD"
Отправлено Michael Shigorin , 06-Июн-10 23:19 
>>Мне нравятся некоторые вещи, которые делаются в рамках проекта. Но зашкаливающее эго
>>Theo&Co и то, с какой помпой подаются новые свистелки вызывают раздражение
>>с недоумением.

Очень точно сформулировано, спасибо.

>Ганс Рейзер, помнится, вообще человека убил. Не думаю, что его файловая система
>стала от этого факта хуже или лучше. ;)

Тут как... его неуравновешенность и доброе отношение к себе (вместо других) и до того стоили Namesys более чем одного спонсора.  С одним из бывших (и кстати, выкинутых потом из credits) как-то общались, а ещё это были SuSE, которые потом развернулись и ушли на ext3 by default, поддерживая остающихся на reiser3 клиентов своими силами.

Так что от именно этого факта его файловая система потеряла шанс на развитие с изначальным архитектором, а от первообразной -- и ещё много чего.


"Обзор развития проекта OpenBSD"
Отправлено User294 , 09-Июн-10 19:50 
>OpenSMTPD, например, AFAIK, единственный, кроме Postfix и qmail,

Интересный подход. Особенно с словом "кроме" :-) Похоже у некоторых мания - изобрести велосипед именно под BSDL и именно свой собственный. Оно, безусловно, можно, но история показала что это неэффективно. Если хочется - флаг в руки ессно. Только если уж переизобретать велосипед^W систему контроля версий, переписывая с нуля под расово верной лицензией - то наверное лучше не ориентироваться на ископаемый CVS с его кучей дебилизмов, который уже почти все повыбросили, а взять за эталон хотя-бы GIT, чтоли? На кой фиг тратить силы на реализацию под расово верной лицензией старинной системы контроля версий которую ... перестают использовать уже?


"Обзор развития проекта OpenBSD"
Отправлено PereresusNeVlezaetBuggy , 09-Июн-10 21:06 
>>OpenSMTPD, например, AFAIK, единственный, кроме Postfix и qmail,
>
>Интересный подход. Особенно с словом "кроме" :-)

Понимаете, это ещё и чуть ли не единственные приложения с честным разделением привилегий (не путать с их простым дропанием). А почтовиков на свете действительно много разных. Я могу сходу могу перечислить полтора десятка только тех, что на слуху, да и вы, думаю, тоже. Хотя в итоге, конечно, выразился несколько криво, признаю.

> Похоже у некоторых мания -
>изобрести велосипед именно под BSDL и именно свой собственный. Оно, безусловно,
>можно, но история показала что это неэффективно.

Ага, а изобретать свои велосипеды под другими лицензиями эффективно… Вообще, может, хватит разговор на эту тему уводить? Всё равно же ни до чего не договоримся.

> Если хочется - флаг
>в руки ессно. Только если уж переизобретать велосипед^W систему контроля версий,
>переписывая с нуля под расово верной лицензией - то наверное лучше
>не ориентироваться на ископаемый CVS с его кучей дебилизмов, который уже
>почти все повыбросили, а взять за эталон хотя-бы GIT, чтоли? На
>кой фиг тратить силы на реализацию под расово верной лицензией старинной
>системы контроля версий которую ... перестают использовать уже?

Потому что (я это уже здесь писал) разработчики OpenBSD прекрасно обходятся CVS + cvsync. Более того, никто не мешает использовать тот же git через мост с CVS. Кому-то очень захотелось иметь BSDL CVS, вдобавок избавленный от ряда глюков исходной системы (и действительно, я помню ситуацию, когда что-то из X.org чекаутилось исключительно через OpenCVS), и он это сделал. Почему они не сделали так, как считаете правильным вы? Потому что они считали по-другому, вот и всё. :) Повторюсь, в OpenBSD несколько другой подход, чем во многих проектах: здесь все решения принимают разработчики, а пользователи являются именно пользователями. Если не устраивает — пожалуйста; повторюсь, никакой принудиловки нет.


"Обзор развития проекта OpenBSD"
Отправлено gara , 06-Июн-10 10:23 

>высокие - это сколько? 10G хотя бы в одну сторону прожуем?
>А то я ради интереса засетапил 4.7 amd64 на тестовый dualcore, сказал
>ping -f openbsd.hostname и interrupts ушли в 99% на одном из
>cpu.

Подтверждаю.



"Обзор развития проекта OpenBSD"
Отправлено PereresusNeVlezaetBuggy , 05-Июн-10 22:42 
>pf в принципе не нужен. я понимаю, что у openbsd просто выбора
>нет, в отличие от freebsd и linux(туда ipfw портировали).

К слову, PF умудрились портировать даже под Windows; правда, проект в итоге забросили, кажись — видимо, сползли с винды. ;)

> Когда pf
>появится нечто, аналогичное tablearg и не надо будет рисовать развесистое дерево
>для altq, чтобы каждому хосту из сети /20 дать скорость в
>1Мбит/с - тогда можно будет воспринимать pf всерьез.

И на закуску: когда в ipfw появятся именованные таблицы, отдельные (также именованные и вложенные) блоки правил, умение роутить (не форвардить, а именно роутить) пакеты и их копии, аналог "keep state (max-src-conn-rate 10/5 overload flush <bruteforcers>)" — тогда его тоже можно будет воспринимать всерьёз, да? Это я так, лишь что первое на ум пришло упомянул.


"Обзор развития проекта OpenBSD"
Отправлено nuclight , 07-Июн-10 17:37 
>И на закуску: когда в ipfw появятся именованные таблицы, отдельные (также именованные и вложенные) блоки правил,

Именованность - вредна. Так, как она сделана в pf, она не позволяет доверить управление машине (автоматизировать). Когда мы делали ipfw tag/tagged, мы честно хотели сделать их совместимыми с pf tag/tagged. Не получилось - потому что внутреннее представление в ядре - уже не строка, а число, и оно может меняться при каждой перекомпиляции рулесета. В результате их нельзя использовать в конфигурировании другой подсистемы ядра (нужнее всего в netgraph). То есть pf - это вещь в себе. Не unix way, с чем-то еще его подружить - почти нереально.

>умение роутить (не форвардить, а именно роутить) пакеты

А это зачем? И в чем именно, кстати, отличие? :)

BTW, умеет ли pf аналог fwd tablearg ?

>и их копии,

ng_tee

>аналог "keep state (max-src-conn-rate 10/5 overload flush <bruteforcers>)" — тогда его тоже можно будет воспринимать всерьёз, да? Это я так, лишь что первое на ум пришло упомянул.

А толку с всего этого, если pf NAT не умеет фиксап протоколов на L7, если сам он не масштабируется с ростом числа процессоров и на определенной нагрузке просто затыкается?.. Узкая ниша?..


"Обзор развития проекта OpenBSD"
Отправлено PereresusNeVlezaetBuggy , 08-Июн-10 11:57 
>>И на закуску: когда в ipfw появятся именованные таблицы, отдельные (также именованные и вложенные) блоки правил,
>
>Именованность - вредна. Так, как она сделана в pf, она не позволяет
>доверить управление машине (автоматизировать).

Можно поподробнее, что не получается автоматизировать?

>Когда мы делали ipfw tag/tagged, мы честно
>хотели сделать их совместимыми с pf tag/tagged. Не получилось - потому
>что внутреннее представление в ядре - уже не строка, а число,
>и оно может меняться при каждой перекомпиляции рулесета.

Правильно, это именование — для юзерленда. Например, dhclient(8) умеет заполнять три таблицы, которые можно использовать в наборе правил, или ещё где-то. Да и мониторить человеческие названия таблиц как-то проще, чем пустые номера. Так что мимо кассы.

Если вы делаете что-то в ядре, то это совсем другой разговор. И да, согласен, pf никогда не делался с целью быть совместимым с ipfw. Так ведь это и фаерволы изначально разные по сути; хорька с крокодилом скрещивать занятие изначально бесполезное. :)

>В результате их
>нельзя использовать в конфигурировании другой подсистемы ядра (нужнее всего в netgraph).
>То есть pf - это вещь в себе. Не unix way,
>с чем-то еще его подружить - почти нереально.

Эм, а что мешает, коли уж речь о ковырянии в ядре, на релоад рулесета навесить хук, обновляющий номера тегов; или, скажем, добавить подсчёт ссылок. В самом pf(4) это несколько строчек всего.

>>умение роутить (не форвардить, а именно роутить) пакеты
>
>А это зачем? И в чем именно, кстати, отличие? :)

Различие называется L2 vs. L3.

Например, у вас два канала: быстрый лимитный и медленный безлимитный. По быстрому пускаете SSH, DNS, ещё что-нибудь; по медленному — всё остальное:

unlimit_if=1.1.1.2
limit_if=2.2.2.2
limit_gw=2.2.2.1
match out on $unlimit_if to port { domain, ssh } route-to ($limit_if $limit_gw)

Или, скажем, чтобы траффик извне, приходящий на некий интерфейс, уходил обратно на него, а не на шлюз по умолчанию:

pass in on $extra_if to ($extra_if) port { $extra_ports } reply-to ($extra_if $extra_gw)

А ещё pf умеет перебрасывать пакеты между доменами роутинга… Ой, я и забыл, во фряхе ж их нет. :-P

>BTW, умеет ли pf аналог fwd tablearg ?

Это уже обсуждалось. Не умеет, хотя при желании это легко скриптуется благодаря тем же anchor'ам.

>>аналог "keep state (max-src-conn-rate 10/5 overload flush <bruteforcers>)" — тогда его тоже можно будет воспринимать всерьёз, да? Это я так, лишь что первое на ум пришло упомянул.
>
>А толку с всего этого, если pf NAT не умеет фиксап протоколов
>на L7,

pf не пытается делать чужую работу. L5-L7 — по определению для специализированных приложений. Вы ещё SOAP предложите в ядре разбирать.

>если сам он не масштабируется с ростом числа процессоров

Вы производительность pf с ipfw измеряли? На нормальном, рабочем ruleset'е.

>и на определенной нагрузке просто затыкается?.. Узкая ниша?..

На какой загрузке у вас затыкается pf (не OpenBSD)? Узкой нишей я бы его не торопился называть. Скорее уж фаервол (в смысле программно-аппаратный комплекс целиком), которому одного ядра не хватает, есть нишевая система. :-P


"Обзор развития проекта OpenBSD"
Отправлено nuclight , 08-Июн-10 14:54 
>[оверквотинг удален]
>>доверить управление машине (автоматизировать).
>>Когда мы делали ipfw tag/tagged, мы честно
>>хотели сделать их совместимыми с pf tag/tagged. Не получилось - потому
>>что внутреннее представление в ядре - уже не строка, а число,
>>и оно может меняться при каждой перекомпиляции рулесета.
>
>Правильно, это именование — для юзерленда. Например, dhclient(8) умеет заполнять три таблицы,
>которые можно использовать в наборе правил, или ещё где-то. Да и
>мониторить человеческие названия таблиц как-то проще, чем пустые номера. Так что
>мимо кассы.

То есть в коде dhclient(8) специально сделано сопряжение с pf, чтобы можно было использовать с ним, я правильно понимаю? И любой произвольный софт надо будет подпиливать? Именно против этого я и возражаю, см. ниже пример.

>Можно поподробнее, что не получается автоматизировать?

Ну вот пример решения задачи, в том числе с расчетом на которую (на подобные) создавались теги в ipfw: http://www.freebsd.org/cgi/man.cgi?query=ng_tag#EXAMPLES

Здесь видно, что они используются в совсем другой подсистеме ядра как есть, и их не надо дергать по отдельности друг от друга - всё конфигурирование выполняется в юзерлэнде. Точно так же их можно будет использовать в еще какой-нибудь другой, о которой я, автор, понятия не имел. Unix way.

>Если вы делаете что-то в ядре, то это совсем другой разговор. И
>да, согласен, pf никогда не делался с целью быть совместимым с
>ipfw. Так ведь это и фаерволы изначально разные по сути; хорька
>с крокодилом скрещивать занятие изначально бесполезное. :)

Нет, не с ipfw, а "с любой другой подсистемой". Открытое API. По иронии судьбы, в названии системы есть слово Open, а вот реальной открытости-то...

>>В результате их
>>нельзя использовать в конфигурировании другой подсистемы ядра (нужнее всего в netgraph).
>>То есть pf - это вещь в себе. Не unix way,
>>с чем-то еще его подружить - почти нереально.
>
>Эм, а что мешает, коли уж речь о ковырянии в ядре, на
>релоад рулесета навесить хук, обновляющий номера тегов; или, скажем, добавить подсчёт
>ссылок. В самом pf(4) это несколько строчек всего.

Вы понимаете, что такое Unix way? Это принципы "каждая программа делает только одну вещь, и делает её хорошо" и "средства сопряжения программ друг с другом". Например, когда вы пишете grep | sort | wc, вы не правите код каждой из них, а _комбинируете_. И пример выше с тегами ipfw - я просто скомбинировал, в роли "шелла" выступил юзерлэнд. А вы предлагаете делать хак на каждый случай.

Правильная реализация именованности для человека - это:
1) либо имена присутствуют только в обвязке для человека (макросы, например), и юзерлэндный скрипт может получить доступ к номерам, буде необходима автоматизация/сопряжение,
2) либо имена присутствуют во всем интерфейсе, и в ядре тоже, и есть API для их манипуляции, позволяющий автоматизацию.

У pf - ни один из этих двух. Это вещь в себе, не рассчитанная на взаимодействие. Народ ведь не только теги хотел и netgraph, а и dummynet, и divert, и открытость для чего-нибудь еще.

>[оверквотинг удален]
>Различие называется L2 vs. L3.
>
>Например, у вас два канала: быстрый лимитный и медленный безлимитный. По быстрому
>пускаете SSH, DNS, ещё что-нибудь; по медленному — всё остальное:
>
>unlimit_if=1.1.1.2
>limit_if=2.2.2.2
>limit_gw=2.2.2.1
>match out on $unlimit_if to port { domain, ssh } route-to ($limit_if
>$limit_gw)

Гм, простите, а в чем здесь различие L2 vs L3, и чем это отличается от
ipfw add fwd $limit_gw xmit $unlimit_if dst-port 22,53
?

>А ещё pf умеет перебрасывать пакеты между доменами роутинга… Ой, я и
>забыл, во фряхе ж их нет. :-P
>
>>BTW, умеет ли pf аналог fwd tablearg ?
>
>Это уже обсуждалось. Не умеет, хотя при желании это легко скриптуется благодаря
>тем же anchor'ам.

Зато fwd tablearg есть, да и setfib уже тоже :) Кстати, Вы не нарисуете этот самый скрипт-аналог для fwd tablearg? Я что-то не совсем улавливаю, как, да и народу пригодится, думаю.

>>>аналог "keep state (max-src-conn-rate 10/5 overload flush <bruteforcers>)" — тогда его тоже можно будет воспринимать всерьёз, да? Это я так, лишь что первое на ум пришло упомянул.
>>
>>А толку с всего этого, если pf NAT не умеет фиксап протоколов
>>на L7,
>
>pf не пытается делать чужую работу. L5-L7 — по определению для специализированных
>приложений. Вы ещё SOAP предложите в ядре разбирать.

А зачем Вы передергиваете? Разве SOAP открывает вторичные коннекты ипередает в своем теле IP-адреса?

Работа эта не является чужой. Без фиксапа у клиента не работают нормально FTP/IRC DCC/PPTP, и фревые наты их умеют, как самые часто используемые. Линуксовый conntrack - еще и разные другие умеет, более редкие.

>>если сам он не масштабируется с ростом числа процессоров
>
>Вы производительность pf с ipfw измеряли? На нормальном, рабочем ruleset'е.
>
>>и на определенной нагрузке просто затыкается?.. Узкая ниша?..
>
>На какой загрузке у вас затыкается pf (не OpenBSD)?

Лично я pf не использую. Где-то в сети пролетало. Народ сообщал, что pf действительно затыкается там, где ipfw/libalias еще живет (и вообще от ipfw нагрузка меньше). Начиная от 300 тысяч стейтов, кажется.

>Узкой нишей я бы его не торопился называть. Скорее уж фаервол (в смысле программно-аппаратный
>комплекс целиком), которому одного ядра не хватает, есть нишевая система. :-P

Файрвол+NAT+шейпер. На дворе 2010 год, а не 1999, сейчас такие нагрузки и необходимость многоядерных систем для них - это уже не ниша, а норма. А нагрузки, где одного ядра хватает - уже ниша, пусть пока относительно широкая, но всё более сужающаяся.


"Обзор развития проекта OpenBSD"
Отправлено Добрый Дохтур , 08-Июн-10 16:09 

>Лично я pf не использую. Где-то в сети пролетало. Народ сообщал, что
>pf действительно затыкается там, где ipfw/libalias еще живет (и вообще от
>ipfw нагрузка меньше). Начиная от 300 тысяч стейтов, кажется.

да, есть такое дело. на forum.nag.ru народ профайлил ipfw & pf на одинаковой задаче(nat).
pf там был хуже в плане производительности и это было одним из аргументов, почему человек отказался от него.

pf начинает вести себя странно на nat'е при 200-300тыс стейтов и каких-то 100-130kpps.
Т.е. до какого-то момента он работает(пока не нажрется стейтов), а потом начинаются затыки в обработки трафика и на выходе уже имеем 5-7kpps со всплесками до 50-60kpps.


>Файрвол+NAT+шейпер. На дворе 2010 год, а не 1999, сейчас такие нагрузки и
>необходимость многоядерных систем для них - это уже не ниша, а
>норма. А нагрузки, где одного ядра хватает - уже ниша, пусть
>пока относительно широкая, но всё более сужающаяся.

циферки:  q9400, 8Gb RAM карточки - 2шт:
Marvell Technology Group Ltd. 88E8053 PCI-E Gigabit Ethernet Controller (rev 19)

1млн стейтов, трафик - udp пакеты минимальной длины из сети 10/8 на 1 хост с адресом 192.168.30.2

итог: 800kpps на выходе и 70-80% загрузка по всем ядрам в si.
Карточки не умеют несколько аппаратных очередей и с rx-дескрипторами там туго.
На более правильных картах, более быстрой шине и памяти с процессором, у которого больше кеш - результат будет ещё лучше. Идеально под цели подходит core i7.

PS: ядро 2.6.35-rc2 + немного ручного тюнинга.


"Обзор развития проекта OpenBSD"
Отправлено PereresusNeVlezaetBuggy , 08-Июн-10 23:52 
>[оверквотинг удален]
>да, есть такое дело. на forum.nag.ru народ профайлил ipfw & pf на
>одинаковой задаче(nat).
>pf там был хуже в плане производительности и это было одним из
>аргументов, почему человек отказался от него.
>
>pf начинает вести себя странно на nat'е при 200-300тыс стейтов и каких-то
>100-130kpps.
>Т.е. до какого-то момента он работает(пока не нажрется стейтов), а потом начинаются
>затыки в обработки трафика и на выходе уже имеем 5-7kpps со
>всплесками до 50-60kpps.

Странно это, конечно. Какая версия ОС, к слову, использовалась? Механизм стейтов в OpenBSD 4.5 и 4.6 основательно подкручивали, где-то была интересная презентация на эту тему от разработчиков… А, вот она: http://quigon.bsws.de/papers/2009/eurobsdcon-faster_packets/ . Самое интересное там в середине, но лучше, конечно, читать по порядку. :)


"Обзор развития проекта OpenBSD"
Отправлено Добрый Дохтур , 09-Июн-10 17:10 

>Странно это, конечно. Какая версия ОС, к слову, использовалась? Механизм стейтов в
>OpenBSD 4.5 и 4.6 основательно подкручивали, где-то была интересная презентация на
>эту тему от разработчиков… А, вот она: http://quigon.bsws.de/papers/2009/eurobsdcon-faster_packets/ . Самое интересное
>там в середине, но лучше, конечно, читать по порядку. :)

читал я эту презенташку - интересного ноль. тестировал на freebsd 7.2 и openbsd 4.5.
На первой были вышеописанные эффекты, вторая умирала по интерраптам.


"Обзор развития проекта OpenBSD"
Отправлено PereresusNeVlezaetBuggy , 08-Июн-10 23:47 
>[оверквотинг удален]
>>
>>Правильно, это именование — для юзерленда. Например, dhclient(8) умеет заполнять три таблицы,
>>которые можно использовать в наборе правил, или ещё где-то. Да и
>>мониторить человеческие названия таблиц как-то проще, чем пустые номера. Так что
>>мимо кассы.
>
>То есть в коде dhclient(8) специально сделано сопряжение с pf, чтобы можно
>было использовать с ним, я правильно понимаю? И любой произвольный софт
>надо будет подпиливать? Именно против этого я и возражаю, см. ниже
>пример.

Чтобы использовать ту или иную фичу, так или иначе надо что-то где-то подпиливать. :) Либо эта фича — суть некий side-effect, прозрачный для программы. Но хотелось бы мне знать в таком случае, какой магией должен обладать тот же dhclient, чтобы проинформировать окружающих об изменениях в списках? Таблицы в pf — едва ли не самое удобное средство, см. ioctl DIOCADDADDR и иже с ним. Ну и pfctl(8) тоже умеет с ними работать. С anchor'ами аналогично.

>>Можно поподробнее, что не получается автоматизировать?
>
>Ну вот пример решения задачи, в том числе с расчетом на которую
>(на подобные) создавались теги в ipfw: http://www.freebsd.org/cgi/man.cgi?query=ng_tag#EXAMPLES
>
>Здесь видно, что они используются в совсем другой подсистеме ядра как есть,
>и их не надо дергать по отдельности друг от друга -
>всё конфигурирование выполняется в юзерлэнде. Точно так же их можно будет
>использовать в еще какой-нибудь другой, о которой я, автор, понятия не
>имел. Unix way.

Хм. Пример не совсем удачный, конечно, но, надеюсь, суть я понял. Да, теги снаружи недоступны. Всё остальное, что я перечислял, доступно. Можно сделать и теги доступными — опять же, очевидно, это просто никому не было надо.

>>Если вы делаете что-то в ядре, то это совсем другой разговор. И
>>да, согласен, pf никогда не делался с целью быть совместимым с
>>ipfw. Так ведь это и фаерволы изначально разные по сути; хорька
>>с крокодилом скрещивать занятие изначально бесполезное. :)
>
>Нет, не с ipfw, а "с любой другой подсистемой". Открытое API. По
>иронии судьбы, в названии системы есть слово Open, а вот реальной
>открытости-то...

Повторюсь, pf никогда не позиционировался как отдельный продукт. Он — часть ядра OpenBSD. То, что при этом его можно _относительно_ легко выкусить — целиком и полностью следствие идеологии проекта.

>[оверквотинг удален]
>>Эм, а что мешает, коли уж речь о ковырянии в ядре, на
>>релоад рулесета навесить хук, обновляющий номера тегов; или, скажем, добавить подсчёт
>>ссылок. В самом pf(4) это несколько строчек всего.
>
>Вы понимаете, что такое Unix way? Это принципы "каждая программа делает только
>одну вещь, и делает её хорошо" и "средства сопряжения программ друг
>с другом". Например, когда вы пишете grep | sort | wc,
>вы не правите код каждой из них, а _комбинируете_. И пример
>выше с тегами ipfw - я просто скомбинировал, в роли "шелла"
>выступил юзерлэнд. А вы предлагаете делать хак на каждый случай.

Ни в коей степени не предлагаю. Повторюсь: в Опёнке, родине pf, нет и не планируется других фаерволов. Поэтому логично, что какие-то утилиты (тот же dhclient, systat, spamd и так далее) работают с pf через его ioctl. И ни я, ни разработчики OpenBSD ни в коей степени не стараются принизить труд тех людей, которые pf портируют.

>Правильная реализация именованности для человека - это:
>1) либо имена присутствуют только в обвязке для человека (макросы, например), и
>юзерлэндный скрипт может получить доступ к номерам, буде необходима автоматизация/сопряжение,
>2) либо имена присутствуют во всем интерфейсе, и в ядре тоже, и
>есть API для их манипуляции, позволяющий автоматизацию.
>
>У pf - ни один из этих двух. Это вещь в себе,
>не рассчитанная на взаимодействие. Народ ведь не только теги хотел и
>netgraph, а и dummynet, и divert, и открытость для чего-нибудь еще.

Всё, что вы сказали верно исключительно для тегов. Которые в pf(4) никогда не рассматривались как основной инструмент. Идеология pf(4) изначально не goto-style, в котором метки действительно необходимы.

>[оверквотинг удален]
>>unlimit_if=1.1.1.2
>>limit_if=2.2.2.2
>>limit_gw=2.2.2.1
>>match out on $unlimit_if to port { domain, ssh } route-to ($limit_if
>>$limit_gw)
>
>Гм, простите, а в чем здесь различие L2 vs L3, и чем
>это отличается от
>ipfw add fwd $limit_gw xmit $unlimit_if dst-port 22,53
>?

xmit — это условие. А route-to — это, скажем так, override таблицы роутинга. То есть вы насильственно отправите пакет не на гейтвей, вычисленного через таблицу роутинга, а туда, куда скажете. В примере подразумевалось, что default gateway == $unlimit_gw. Давайте я распишу заново, подробнее:

Интерфейс em0: 1.1.1.2/30, за ним живёт шлюз анлимного провайдера 1.1.1.1

Интерфейс em1: 2.2.2.2/30, за ним живёт шлюз лимитного провайдера 2.2.2.1

В таблице роутинга шлюзом по умолчанию ставим 1.1.1.1.

В pf.conf:

# макросы
unlimit_if=1.1.1.2
unlimit_gw=1.1.1.1
limit_if=2.2.2.2
limit_gw=2.2.2.1

# собсно правила
pass out on $unlimit_if
    nat-to ($unlimit_if:0)
pass out on $unlimit_if to port { domain, ssh } \
    nat-to ($limit_if:0) \
    route-to ($limit_if $limit_gw)

>>>BTW, умеет ли pf аналог fwd tablearg ?
>>
>>Это уже обсуждалось. Не умеет, хотя при желании это легко скриптуется благодаря
>>тем же anchor'ам.
>
>Зато fwd tablearg есть, да и setfib уже тоже :) Кстати, Вы
>не нарисуете этот самый скрипт-аналог для fwd tablearg? Я что-то не
>совсем улавливаю, как, да и народу пригодится, думаю.

Ну, для описанной мне ранее ситуации, с многоэтажным altq (необходимость tablearg для других команд в pf я пока не увидел), получается что-то вроде такого. Я взял для наглядности самый простой случай — данные в простом файле, так как откуда брать данные клиентов, понятно, дело десятое. На сам скрипт ушло минут десять где-то, включая исправление ошибок компиляции. Писать собственно релоадер было лениво, это несколько строк на шелле, а сама идея, думаю, ясна. :)

=====================================================
# cat /etc/pf.conf
<...>
include "pf.conf.client-queues"
altq on $clients_if cbq bandwidth 950Mb queue clients
<...>
anchor client-rules
load anchor client-rules from "/etc/pf.conf.client-rules"
# cat /etc/clients/list
Vasya    10.1.1.10    1000Kb
Petya    10.1.1.11    3000Kb
<...>
# cat /site/sbin/upd-clients-queues
#!/usr/bin/perl
use strict;
use feature "switch";

$\ = "\n";

sub usage() {
    print STDERR "usage: ".basename($0)." source queues rules";
    exit 1;
}

sub bad_source($) {
    print STDERR "Bad source line: ".$_[0];
    exit 1;
}

usage if $#ARGV != 3;

open(SOURCE, '<', $ARGV[0]) or die "Cannot open source file $ARGV[0]";
my (@qnames, @queues, @rules);
my ($addr, $bw, $l, $name);
my $sumBandwith = 0;
while (<SOURCE>) {
    chomp;
    next if /^([\s]*#|[\s]*)$/;
    ($name, $addr, $bw) = split /\t/;
    bad_source $_
        if (length($name) == 0 or length($addr) == 0 or length($bw) == 0);
    $l = $_;
    given ($bw) {
    when (/^[0-9]+b?$/)    { }
    when (/^[0-9]+Kb$/)    { $bw *= 1000; }
    when (/^[0-9]+Mb$/)    { $bw *= 1000000; }
    when (/^[0-9]+Gb$/)    { $bw *= 1000000000; }
    default            { bad_source $l; }
    }
    $sumBandwith += $bw;
    $name = 'client_'.$name;
    push(@qnames, $name);
    push(@queues, 'queue '.$name.' bandwidth '.$bw);
    push(@rules, 'pass out on $clients_if from '.$addr.' queue '.$name);
}
close SOURCE;
exit 0 unless @qnames;

open(QUEUES, '>', $ARGV[1]) or die "Cannot open queues file $ARGV[1]";
print QUEUES "queue clients {\n\t".join("\n\t", @qnames)."\n}";
@qnames = ();
foreach $l (@queues) {
    print QUEUES $l;
}
close QUEUES;
@queues = ();

open(RULES, '>', $ARGV[2]) or die "Cannot open rules file $ARGV[2]";
foreach $l (@rules) {
    print RULES $l;
}
close RULES;
exit 0;
=====================================================

>[оверквотинг удален]
>>
>>pf не пытается делать чужую работу. L5-L7 — по определению для специализированных
>>приложений. Вы ещё SOAP предложите в ядре разбирать.
>
>А зачем Вы передергиваете? Разве SOAP открывает вторичные коннекты ипередает в своем
>теле IP-адреса?
>
>Работа эта не является чужой. Без фиксапа у клиента не работают нормально
>FTP/IRC DCC/PPTP, и фревые наты их умеют, как самые часто используемые.
>Линуксовый conntrack - еще и разные другие умеет, более редкие.

Этот фиксап может прекрасно делать userland-прокси, создавая по необходимости правила в своих anchor'ах. И это, согласитесь, гораздо секурнее, т.к. в реализации всех этих хитрозадых протоколов ошибиться весьма легко, и ошибка в модуле ядра будет весьма череповата; с тем же conntrack, помнится, был далеко не один прецедент. Посмотрите man по ftp-proxy из Опёнка, наглядная демонстрация принципа: http://www.openbsd.org/cgi-bin/man.cgi?query=ftp-proxy&sekti... .

>Лично я pf не использую. Где-то в сети пролетало. Народ сообщал, что pf действительно
>затыкается там, где ipfw/libalias еще живет (и вообще от ipfw нагрузка меньше). Начиная
>от 300 тысяч стейтов, кажется.
>
>>Узкой нишей я бы его не торопился называть. Скорее уж фаервол (в смысле программно-аппаратный
>>комплекс целиком), которому одного ядра не хватает, есть нишевая система. :-P
>
>Файрвол+NAT+шейпер. На дворе 2010 год, а не 1999, сейчас такие нагрузки и необходимость
>многоядерных систем для них - это уже не ниша, а норма. А нагрузки, где одного ядра
>хватает - уже ниша, пусть пока относительно широкая, но всё более сужающаяся.

Мне вот одно интересно, если pf так плох, что ж его портируют-то? :)


"Обзор развития проекта OpenBSD"
Отправлено nuclight , 15-Июн-10 16:02 
>[оверквотинг удален]
>>>мимо кассы.
>>
>>То есть в коде dhclient(8) специально сделано сопряжение с pf, чтобы можно
>>было использовать с ним, я правильно понимаю? И любой произвольный софт
>>надо будет подпиливать? Именно против этого я и возражаю, см. ниже
>>пример.
>
>Чтобы использовать ту или иную фичу, так или иначе надо что-то где-то
>подпиливать. :) Либо эта фича — суть некий side-effect, прозрачный для
>программы.

Вовсе нет. Вы же не подпиливаете код grep и awk в пайплайне grep string file | awk -f some_rewriting | anotherfilter

>Но хотелось бы мне знать в таком случае, какой магией
>должен обладать тот же dhclient, чтобы проинформировать окружающих об изменениях в
>списках? Таблицы в pf — едва ли не самое удобное средство,
>см. ioctl DIOCADDADDR и иже с ним. Ну и pfctl(8) тоже
>умеет с ними работать. С anchor'ами аналогично.

Ну так в коде dhclient жестко зашиты три таблицы и DIOCADDADDR, так? Именно против чего я и возражаю. Немодульно.

>[оверквотинг удален]
>>(на подобные) создавались теги в ipfw: http://www.freebsd.org/cgi/man.cgi?query=ng_tag#EXAMPLES
>>
>>Здесь видно, что они используются в совсем другой подсистеме ядра как есть,
>>и их не надо дергать по отдельности друг от друга -
>>всё конфигурирование выполняется в юзерлэнде. Точно так же их можно будет
>>использовать в еще какой-нибудь другой, о которой я, автор, понятия не
>>имел. Unix way.
>
>Хм. Пример не совсем удачный, конечно, но, надеюсь, суть я понял. Да,
>теги снаружи недоступны. Всё остальное, что я перечислял, доступно.

Было бы совсем плохо, коли и якоря и таблицы не были бы доступны. Но тегами-то дело не ограничивается. Ведь _вся_ идеология pf - закрытая система.

>Можно сделать и теги доступными — опять же, очевидно, это просто
>никому не  было надо.

Ну, я понимаю, что в вашем сообществе серьезных задач просто не возникает, потому и не надо было. Но это не оправдание же.

>>Нет, не с ipfw, а "с любой другой подсистемой". Открытое API. По
>>иронии судьбы, в названии системы есть слово Open, а вот реальной
>>открытости-то...
>
>Повторюсь, pf никогда не позиционировался как отдельный продукт. Он — часть ядра
>OpenBSD. То, что при этом его можно _относительно_ легко выкусить —
>целиком и полностью следствие идеологии проекта.

Еще раз повторяю. С _подсистемой_ любой другой. Это не зависит от того, портируется он, выкусывается или нет. Вон, ipfw тоже никогда для портирования за пределы ядра FreeBSD не позиционировался (недавно нашлись энтузиасты, но это другой вопрос) - ничего, всю жизнь открытый.

>>Вы понимаете, что такое Unix way? Это принципы "каждая программа делает только
>>одну вещь, и делает её хорошо" и "средства сопряжения программ друг
>>с другом". Например, когда вы пишете grep | sort | wc,
>>вы не правите код каждой из них, а _комбинируете_. И пример
>>выше с тегами ipfw - я просто скомбинировал, в роли "шелла"
>>выступил юзерлэнд. А вы предлагаете делать хак на каждый случай.
>
>Ни в коей степени не предлагаю. Повторюсь: в Опёнке, родине pf, нет
>и не планируется других фаерволов.

Видимо, придется еще раз повторить, чтобы дошло. Не с другим _файрволом_, а другой _подсистемой_. В примере выше комбинация была не с файрволом, а с netgraph. Кроме того, он может взаимодействовать с divert. И с dummynet. И с altq. И с любой другой подсистемой, которую завтра какой-нибудь доброволец придумает

>Поэтому логично, что какие-то утилиты (тот
>же dhclient, systat, spamd и так далее) работают с pf через его ioctl.

Нет. Не логично. Логично и unixway-но им было бы всем (ну кроме может совсем системных вещей типа systat) работать не через бинарный, а через _текстовый_ интерфейс к pfctl. Дабы последний мог меняться более свободно и в меньшем числе мест, ежели что.

>И ни я, ни разработчики OpenBSD ни в коей
>степени не стараются принизить труд тех людей, которые pf портируют.

Вы в соседней ветке (да и тут тоже) утверждали, что pf для портирования не предназначен. Может, не стоит сразу на двух стульях сидеть и выбрать уж, или помочь этим людям, или сказать "нам на ваш труд пофиг, трахайтесь как хотите"?

>[оверквотинг удален]
>>2) либо имена присутствуют во всем интерфейсе, и в ядре тоже, и
>>есть API для их манипуляции, позволяющий автоматизацию.
>>
>>У pf - ни один из этих двух. Это вещь в себе,
>>не рассчитанная на взаимодействие. Народ ведь не только теги хотел и
>>netgraph, а и dummynet, и divert, и открытость для чего-нибудь еще.
>
>Всё, что вы сказали верно исключительно для тегов. Которые в pf(4) никогда
>не рассматривались как основной инструмент. Идеология pf(4) изначально не goto-style, в
>котором метки действительно необходимы.

Ничего не понял. Причем тут goto-style и метки? В каких еще местах pf открыт, кроме якорей и таблиц (про это уже слышал)? Я выше перечислял ведь, чего хотят.

>>>match out on $unlimit_if to port { domain, ssh } route-to ($limit_if $limit_gw)
>>
>>Гм, простите, а в чем здесь различие L2 vs L3, и чем
>>это отличается от
>>ipfw add fwd $limit_gw xmit $unlimit_if dst-port 22,53
>>?
>
>xmit — это условие.

Да, и on - тоже условие, "out on $unlimit_if" эквивалентно "xmit $unlimit_if", в чем проблема?

>А route-to — это, скажем так, override таблицы роутинга. То есть
>вы насильственно отправите пакет не на гейтвей, вычисленного
>через таблицу роутинга, а туда, куда скажете.

Ну да, то же самое, что делает fwd, в чем разница-то? Где это самое различие L2 vs L3?

>В примере подразумевалось, что
>default gateway == $unlimit_gw. Давайте я распишу заново, подробнее:

Ну да, это всё понятно, я именно для этого случая и писал.

>[оверквотинг удален]
>unlimit_gw=1.1.1.1
>limit_if=2.2.2.2
>limit_gw=2.2.2.1
>
># собсно правила
>pass out on $unlimit_if
>    nat-to ($unlimit_if:0)
>pass out on $unlimit_if to port { domain, ssh } \
>    nat-to ($limit_if:0) \
>    route-to ($limit_if $limit_gw)

Ах, у Вас еще нат. Ну, тогда придется чуть-чуть усложнить правила (переменные такие же, как у вас, точнее, я _if и _ip разделю), но суть fwd ведь от этого не меняется:


ipfw nat 1 config ip $unlimit_ip
ipfw nat 2 config ip $limit_ip
ipfw add nat 2 out xmit $unlimit_if dst-port 22,53
ipfw add fwd $limit_gw out xmit $unlimit_if src-ip $limit_ip
ipfw add nat 1 out xmit $unlimit_if
ipfw add pass src-ip $unlimit_ip

>[оверквотинг удален]
>На сам скрипт ушло минут десять где-то, включая исправление ошибок компиляции.
>Писать собственно релоадер было лениво, это несколько строк на шелле, а
>сама идея, думаю, ясна. :)
>
># cat /etc/clients/list
>Vasya 10.1.1.10 1000Kb
>Petya 10.1.1.11 3000Kb
><...>
> push(@queues, 'queue '.$name.' bandwidth '.$bw);
> push(@rules, 'pass out on $clients_if from '.$addr.' queue '.$name);

Эээ. Я правильно понимаю, что у Вас получается куча плоских правил совсем без таблиц? Это же ощутимая потеря в производительности при большом числе клиентов.

>[оверквотинг удален]
>>
>>Работа эта не является чужой. Без фиксапа у клиента не работают нормально
>>FTP/IRC DCC/PPTP, и фревые наты их умеют, как самые часто используемые.
>>Линуксовый conntrack - еще и разные другие умеет, более редкие.
>
>Этот фиксап может прекрасно делать userland-прокси, создавая по необходимости правила в своих
>anchor'ах. И это, согласитесь, гораздо секурнее, т.к. в реализации всех этих
>хитрозадых протоколов ошибиться весьма легко, и ошибка в модуле ядра будет
>весьма череповата; с тем же conntrack, помнится, был далеко не один
>прецедент. Посмотрите man по ftp-proxy из Опёнка, наглядная демонстрация

Спасибо, К.О., этот принцип мне известен, именно с ним я и спорю. Насколько я помню сообщения, он затыкался уже на сотне с небольшим сессий, что ли. И к тому же только для ftp, остальным - лапу сосать?

Что касается, секурности юзерлэнда - ну так напишите модуль ядра секурно, у вас же весь проект этому посвящен, нет? В конце концов, во фре ранее вообще весь нат в юзерлэнде делался, так это еще секурнее ведь - если досят большим количеством соединений, то ядро могло бы запаниковать от нехватки ядерной памяти на количество стейтов, юзерлэнду же на это пофиг (я слышал о преценеднте с процессом natd в 400 Мб, ядро бы не выдержало). Или вообще взлом, всё ядро или один процесс, что секурнее? Почему pf одну часть ната делает в ядре, а другую в юзерлэнде, на каком основании проведена такая граница?

>>Файрвол+NAT+шейпер. На дворе 2010 год, а не 1999, сейчас такие нагрузки и необходимость
>>многоядерных систем для них - это уже не ниша, а норма. А нагрузки, где одного ядра
>>хватает - уже ниша, пусть пока относительно широкая, но всё более сужающаяся.
>
>Мне вот одно интересно, если pf так плох, что ж его портируют-то?
>:)

Потому что покупаются на простоту решения типовых задач, и на некоторые фичи, отсутствующие у конкурентов. А чуть в сторону - начинаются стоны. Посмотрите, сколько вопросов о том, как во фре включить сразу и ipfw, и pf, и в каком порядке пакеты пойдут. Не от хорошей жизни же оба сразу заводят.


"Обзор развития проекта OpenBSD"
Отправлено PereresusNeVlezaetBuggy , 15-Июн-10 22:03 
>>Но хотелось бы мне знать в таком случае, какой магией
>>должен обладать тот же dhclient, чтобы проинформировать окружающих об изменениях в
>>списках? Таблицы в pf — едва ли не самое удобное средство,
>>см. ioctl DIOCADDADDR и иже с ним. Ну и pfctl(8) тоже
>>умеет с ними работать. С anchor'ами аналогично.
>
>Ну так в коде dhclient жестко зашиты три таблицы и DIOCADDADDR, так?
>Именно против чего я и возражаю. Немодульно.

Только хотел ткнуть носом, как понял, что и сам дурак: перепутал dhclient с dhcpd. М-да. Отпуск мне явно не на пользу. :) Тем не менее, вот то, о чём я говорю:

DHCPD(8)                OpenBSD System Manager's Manual               DHCPD(8)

NAME
     dhcpd - Dynamic Host Configuration Protocol Server

SYNOPSIS
     dhcpd [-dfn] [-A abandoned_ip_table] [-C changed_ip_table] [-c config-
     file] [-L leased_ip_table] [-l lease-file] [-Y synctarget] [-y
     synclisten] [if0 [... ifN]]

<...>

     The options are as follows:

     -A abandoned_ip_table
             When an address is abandoned for some reason, add it to the pf(4)
             table named abandoned_ip_table.  This can be used to defend
             against machines "camping" on an address without obtaining a
             lease.  When an address is properly leased, dhcpd will remove the
             address from this table.

     -C changed_ip_table
             When an address is leased to a different hardware address, delete
             it from the pf(4) table named changed_ip_table.  This feature
             complements the overload table in a stateful pf(4) rule.  If a
             host appears to be misbehaving, it can be quarantined by using
             the overload feature.  When the address is leased to a different
             machine, dhcpd can remove the address from the overload table,
             thus allowing a well-behaved machine to reuse the address.

<...>
     -L leased_ip_table
             When an address is leased dhcpd will insert it into the pf(4)
             table named leased_ip_table.  Addresses are removed from the
             table when the lease expires.  Combined with the table of
             abandoned addresses, this can help enforce a requirement to use
             DHCP on a network, or can place DHCP users in a different class
             of service.  Users are cautioned against placing much trust in
             Ethernet or IP addresses; ifconfig(8) can be used to trivially
             change the interface's address, and on a busy DHCP network, IP
             addresses will likely be quickly recycled.

Как видите, ничего не зашито, пользуйте что хотите. Или вот другой пример, spamd:

     An example pf.conf(5) fragment is given below.  In the example, the file
     /etc/mail/nospamd contains addresses of hosts who should be passed
     directly to the SMTP agent (thus bypassing spamd).

         table <spamd-white> persist
         table <nospamd> persist file "/etc/mail/nospamd"
         pass in on egress proto tcp from any to any port smtp \
             rdr-to 127.0.0.1 port spamd
         pass in on egress proto tcp from <nospamd> to any port smtp
         pass in log on egress proto tcp from <spamd-white> to any port smtp
         pass out log on egress proto tcp to any port smtp

Здесь название таблицы <spamd-white> зашито, но кому и когда это мешало — не могу представить, зачем нужно держать два белых списка почтовых серверов для грейлистинга. :)

В любом случае, вероятность конфликтов имён стремится к нулю. А вот числовых идентификаторов — очень даже высока. Да вы и сами знаете. :)

>[оверквотинг удален]
>>>всё конфигурирование выполняется в юзерлэнде. Точно так же их можно будет
>>>использовать в еще какой-нибудь другой, о которой я, автор, понятия не
>>>имел. Unix way.
>>
>>Хм. Пример не совсем удачный, конечно, но, надеюсь, суть я понял. Да,
>>теги снаружи недоступны. Всё остальное, что я перечислял, доступно.
>
>Было бы совсем плохо, коли и якоря и таблицы не были бы
>доступны. Но тегами-то дело не ограничивается. Ведь _вся_ идеология pf -
>закрытая система.

«Огласите весь список, пожалуйста!» ©

>>Можно сделать и теги доступными — опять же, очевидно, это просто
>>никому не  было надо.
>
>Ну, я понимаю, что в вашем сообществе серьезных задач просто не возникает,
>потому и не надо было. Но это не оправдание же.

:-P Вот про серьёзные задачи не надо. Какие задачи возникают, такие и решаются, так весь опен-сорс живёт, вообще-то. :)

>[оверквотинг удален]
>>>открытости-то...
>>
>>Повторюсь, pf никогда не позиционировался как отдельный продукт. Он — часть ядра
>>OpenBSD. То, что при этом его можно _относительно_ легко выкусить —
>>целиком и полностью следствие идеологии проекта.
>
>Еще раз повторяю. С _подсистемой_ любой другой. Это не зависит от того,
>портируется он, выкусывается или нет. Вон, ipfw тоже никогда для портирования
>за пределы ядра FreeBSD не позиционировался (недавно нашлись энтузиасты, но это
>другой вопрос) - ничего, всю жизнь открытый.

Что-то я не понял, что вы понимаете под открытостью. Модель «кишки наружу»? Это не открытость, это хреновая абстракция, ведущая к путанице. Впрочем, ipfw в этом плане ещё не так плох. Так что я действительно не понимаю суть данной вашей претензии.

>[оверквотинг удален]
>>>выступил юзерлэнд. А вы предлагаете делать хак на каждый случай.
>>
>>Ни в коей степени не предлагаю. Повторюсь: в Опёнке, родине pf, нет
>>и не планируется других фаерволов.
>
>Видимо, придется еще раз повторить, чтобы дошло. Не с другим _файрволом_, а
>другой _подсистемой_. В примере выше комбинация была не с файрволом, а
>с netgraph. Кроме того, он может взаимодействовать с divert. И с
>dummynet. И с altq. И с любой другой подсистемой, которую завтра
>какой-нибудь доброволец придумает

Про altq я скромно промолчу. Про divert я просто процитирую divert(8) из FreeBSD 8:

BUGS
     This is an attempt to provide a clean way for user mode processes to
     implement various IP tricks like address translation, but it could be
     cleaner, and it is too dependent on ipfw(8).

То есть разработчики FreeBSD сами признают, что _их_ divert реализован не портабельно. «И эти люди запрещают мне ковыряться в носу» © анекдот. К слову, в OpenBSD тоже есть divert, он прекрасно интегрирован с PF — но при этом, насколько помню, код там достаточно прозрачный, чтобы обобщить на что-то ещё. Хотя не уверен, что netgraph есть такой случай, идеология сильно другая. Но уж в этом, простите, не разработчики OpenBSD виноваты. :)

Ну а dummynet, вроде, никуда и не портировали, так что разговор вообще ни о чём получается.

>>Поэтому логично, что какие-то утилиты (тот
>>же dhclient, systat, spamd и так далее) работают с pf через его ioctl.
>
>Нет. Не логично. Логично и unixway-но им было бы всем (ну кроме
>может совсем системных вещей типа systat) работать не через бинарный, а
>через _текстовый_ интерфейс к pfctl. Дабы последний мог меняться более свободно
>и в меньшем числе мест, ежели что.

1. Вы слово «транзакция» знаете? Вы вообще в курсе, что в PF реализованы транзакции (вернее, некое их функциональное подобие, но не суть) для таких операций, как, например, добавление ruleset'ов, оперирование altq и так далее? Как вы средствами текстового интерфейса в рамках одной операции запросите состояние altq, добавите правило в набор и отредактируете таблицу?

2. Смена интерфейса приходит вместе с капитальной сменой ядра (обновление системы). В ходе этой операции обновляются и остальные программы. Как следствие, всё работает. Не ищите проблем там, где их нет. :)

>>И ни я, ни разработчики OpenBSD ни в коей
>>степени не стараются принизить труд тех людей, которые pf портируют.
>
>Вы в соседней ветке (да и тут тоже) утверждали, что pf для
>портирования не предназначен. Может, не стоит сразу на двух стульях сидеть
>и выбрать уж, или помочь этим людям, или сказать "нам на
>ваш труд пофиг, трахайтесь как хотите"?

Да, не предназначен. Но хаять их за то, что они это делают, никто не собирается. Попросят помочь — думаю, даже помогут. Не просят, типа, гордые — ну так простите, бегать и нянчиться тоже никто не будет. Детский сад был в детстве.

>[оверквотинг удален]
>>>
>>>У pf - ни один из этих двух. Это вещь в себе,
>>>не рассчитанная на взаимодействие. Народ ведь не только теги хотел и
>>>netgraph, а и dummynet, и divert, и открытость для чего-нибудь еще.
>>
>>Всё, что вы сказали верно исключительно для тегов. Которые в pf(4) никогда
>>не рассматривались как основной инструмент. Идеология pf(4) изначально не goto-style, в
>>котором метки действительно необходимы.
>
>Ничего не понял. Причем тут goto-style и метки?

Притом, что теги в ipfw-подобных фаерволах несут значительно большую нагрузку. Поэтому там и требуется большая гибкость работы с оными.

> В каких еще местах pf открыт, кроме якорей и таблиц (про это уже слышал)?

man 4 pf :-P. Конкретно: altq, собсно правила, state'ы, статистика по всему вышеперечисленному, ф-ции NAT lookup, управление параметрами (лимиты, интерфейсы для пропуска, TCP-флаги state'ов по умолчанию и т.д.), OS fingerprinting, может, ещё чего пропустил. :) То есть, по сути, всё, что возможно. Ну и pfctl(8) не отстаёт.

> Я выше перечислял ведь, чего хотят.

Угу, возможность свободно манипулировать тегами — как я понял, всё упёрлось в них.

>[оверквотинг удален]
>
>Да, и on - тоже условие, "out on $unlimit_if" эквивалентно "xmit $unlimit_if",
>в чем проблема?
>
>>А route-to — это, скажем так, override таблицы роутинга. То есть
>>вы насильственно отправите пакет не на гейтвей, вычисленного
>>через таблицу роутинга, а туда, куда скажете.
>
>Ну да, то же самое, что делает fwd, в чем разница-то? Где
>это самое различие L2 vs L3?

Да, различия нет, ступил. Вот только:

A fwd rule will not match layer-2 packets (those received on ether_input, ether_output, or bridged).

<...>

To enable fwd a custom kernel needs to be compiled with the option options IPFIREWALL_FORWARD.

Хотя вообще да, давненько я к ipfw не притрагивался.

>[оверквотинг удален]
>># cat /etc/clients/list
>>Vasya 10.1.1.10 1000Kb
>>Petya 10.1.1.11 3000Kb
>><...>
>> push(@queues, 'queue '.$name.' bandwidth '.$bw);
>> push(@rules, 'pass out on $clients_if from '.$addr.' queue '.$name);
>
>Эээ. Я правильно понимаю, что у Вас получается куча плоских правил совсем
>без таблиц? Это же ощутимая потеря в производительности при большом числе
>клиентов.

Согласен. Ну так речь-то шла о наличии фичи. :)

>[оверквотинг удален]
>>Этот фиксап может прекрасно делать userland-прокси, создавая по необходимости правила в своих
>>anchor'ах. И это, согласитесь, гораздо секурнее, т.к. в реализации всех этих
>>хитрозадых протоколов ошибиться весьма легко, и ошибка в модуле ядра будет
>>весьма череповата; с тем же conntrack, помнится, был далеко не один
>>прецедент. Посмотрите man по ftp-proxy из Опёнка, наглядная демонстрация
>
>Спасибо, К.О., этот принцип мне известен, именно с ним я и спорю.
>Насколько я помню сообщения, он затыкался уже на сотне с небольшим
>сессий, что ли. И к тому же только для ftp, остальным
>- лапу сосать?

Кому что нужно. Кому-то производительность дороже, кому-то надёжность.

>Что касается, секурности юзерлэнда - ну так напишите модуль ядра секурно, у
>вас же весь проект этому посвящен, нет?

Нет. Проект старается делать безопасно. Безопасно — это сплавлять сложную логику в юзерленд. FUSE тоже не просто так появился, между прочим (который не эмулятор, а ФС в userland).

> В конце концов, во
>фре ранее вообще весь нат в юзерлэнде делался, так это еще
>секурнее ведь - если досят большим количеством соединений, то ядро могло
>бы запаниковать от нехватки ядерной памяти на количество стейтов, юзерлэнду же
>на это пофиг (я слышал о преценеднте с процессом natd в
>400 Мб, ядро бы не выдержало).

Экгхм, а лимит на кол-во стэйтов использовать не судьба??? Заметьте, это будет ещё более живучим решением — как-то будет работать вместо того, чтобы быть полностью прибитым.

> Или вообще взлом, всё ядро
>или один процесс, что секурнее? Почему pf одну часть ната делает
>в ядре, а другую в юзерлэнде, на каком основании проведена такая
>граница?

NAT делается в ядре. ftp-proxy лишь отдаёт команды, базируясь на разборе кривого по современным меркам протокола. Более того, ftp-proxy нужен лишь для активного режима, а также для реверсного проксирования. :)

>>>Файрвол+NAT+шейпер. На дворе 2010 год, а не 1999, сейчас такие нагрузки и необходимость
>>>многоядерных систем для них - это уже не ниша, а норма. А нагрузки, где одного ядра
>>>хватает - уже ниша, пусть пока относительно широкая, но всё более сужающаяся.
>>
>>Мне вот одно интересно, если pf так плох, что ж его портируют-то?
>>:)
>
>Потому что покупаются на простоту решения типовых задач, и на некоторые фичи,
>отсутствующие у конкурентов.

Да-да, особенно последнее — пустяк.

> А чуть в сторону - начинаются стоны.
> Посмотрите, сколько вопросов о том, как во фре включить сразу и ipfw,
>и pf, и в каком порядке пакеты пойдут. Не от хорошей
>жизни же оба сразу заводят.

Понятно, что ситуации разные бывают. Wine тоже не от хорошей жизни появился. ;)


"Обзор развития проекта OpenBSD"
Отправлено Добрый Дохтур , 08-Июн-10 16:30 
>Например, у вас два канала: быстрый лимитный и медленный безлимитный. По быстрому
>пускаете SSH, DNS, ещё что-нибудь; по медленному — всё остальное:

setfib и никаких гвоздей.


>Или, скажем, чтобы траффик извне, приходящий на некий интерфейс, уходил обратно на
>него, а не на шлюз по умолчанию:

setfib

>А ещё pf умеет перебрасывать пакеты между доменами роутинга… Ой, я и
>забыл, во фряхе ж их нет. :-P

есть.


>pf не пытается делать чужую работу. L5-L7 — по определению для специализированных
>приложений. Вы ещё SOAP предложите в ядре разбирать.

это как раз его работа и гонять в юзерспейс данные на каждый чих крайне плохо.

цитата:

PF разрабатывается в рамках проекта OpenBSD. Во фрю его только портируют. Я как-то интересовался позицией разработчиков PF по поводу PPTP и прочих несовместимых с NAT вещей. Они считают, что такой трафик нужно проксировать через юзерлэнд-демоны. О производительности там думают в последнюю очередь, главное "безопасность" и вылизанные исходники.

:конец цитаты.

взято тут http://forum.nag.ru/forum/index.php?showtopic=55025&st=780&p...

>>если сам он не масштабируется с ростом числа процессоров
>Вы производительность pf с ipfw измеряли? На нормальном, рабочем ruleset'е.

я измерял. аж плакать хочется. 4 ядра, 1 загружено - остальные простаивают. и при этом тихо дропаем трафик.

>На какой загрузке у вас затыкается pf (не OpenBSD)? Узкой нишей я
>бы его не торопился называть. Скорее уж фаервол (в смысле программно-аппаратный
>комплекс целиком), которому одного ядра не хватает, есть нишевая система. :-P

ага. попробуйте стерминировать 2k pppoe клиентов, попутно порезав им скорость до тарифной + тривиальные фильтры от спамботов и червяков.


"Обзор развития проекта OpenBSD"
Отправлено PereresusNeVlezaetBuggy , 08-Июн-10 21:18 
>[оверквотинг удален]
>
>>Или, скажем, чтобы траффик извне, приходящий на некий интерфейс, уходил обратно на
>>него, а не на шлюз по умолчанию:
>
>setfib
>
>>А ещё pf умеет перебрасывать пакеты между доменами роутинга… Ой, я и
>>забыл, во фряхе ж их нет. :-P
>
>есть.

Упс, мой прокол. Прозевал. Я проверялся через man route, в голову не пришло, что отдельную утилиту сделают… Виноват, каюсь.

>>pf не пытается делать чужую работу. L5-L7 — по определению для специализированных
>>приложений. Вы ещё SOAP предложите в ядре разбирать.
>
>это как раз его работа и гонять в юзерспейс данные на каждый
>чих крайне плохо.

Ну вот у вас такое мнение, а разработчики OpenBSD считают, что L5-L7 в ядре не место. Не нравится — что ж, вас, опять же, никто не принуждает соглашаться.

>[оверквотинг удален]
>
>PF разрабатывается в рамках проекта OpenBSD. Во фрю его только портируют. Я
>как-то интересовался позицией разработчиков PF по поводу PPTP и прочих несовместимых
>с NAT вещей. Они считают, что такой трафик нужно проксировать через
>юзерлэнд-демоны. О производительности там думают в последнюю очередь, главное "безопасность" и
>вылизанные исходники.
>
>:конец цитаты.
>
>взято тут http://forum.nag.ru/forum/index.php?showtopic=55025&st=780&p...

Именно так. Для OpenBSD неприемлемо, когда качеством жертвуют ради скорости. Не любят разработчики сидеть на пороховой бочке. Дополнительную скорость можно получить, взяв железку получше, или позднее что-то оптимизировав. А так это напоминает геймерскую болезнь: больше FPS, больше эффектов, больше всего… эффект только не шибко отличается от игр десятилетней (и более) давности. Впрочем, кому как, конечно, и своё мнение я не навязываю.


"Обзор развития проекта OpenBSD"
Отправлено slepnoga , 09-Июн-10 19:02 

>разработчики сидеть на пороховой бочке. Дополнительную скорость можно получить, взяв железку
>получше, или позднее что-то оптимизировав. А так это напоминает геймерскую болезнь:

исчо раз, специально для опенбсдешников - изменение числа процессоров в случае pf  не ведет
к увеличению производительности, в отличие от .....
поэтому железка не спасет - ибо путь увеличения частоты процев уже в прошлом.
Пора вылезать из анабиоза - 10 Гб карты уже рядом.



"Обзор развития проекта OpenBSD"
Отправлено Аноним , 04-Июн-10 13:36 
>Радует. Удобнее системы ни на десктопе, ни на сервере я еще не видел.

а обосновать? ну и какие у этого плюсы как десктопа? в чем удобство то?


"Обзор развития проекта OpenBSD"
Отправлено PereresusNeVlezaetBuggy , 04-Июн-10 15:27 
>>Радует. Удобнее системы ни на десктопе, ни на сервере я еще не видел.
>
>а обосновать? ну и какие у этого плюсы как десктопа? в чем
>удобство то?

Надёжно работает. :-P А вы что ожидали?


"Обзор развития проекта OpenBSD"
Отправлено redixin , 04-Июн-10 16:48 
>>>Радует. Удобнее системы ни на десктопе, ни на сервере я еще не видел.
>>а обосновать?
>Надёжно работает. :-P А вы что ожидали?

Таки надёжно, или удобно?


"Обзор развития проекта OpenBSD"
Отправлено PereresusNeVlezaetBuggy , 04-Июн-10 17:20 
>>>>Радует. Удобнее системы ни на десктопе, ни на сервере я еще не видел.
>>>а обосновать?
>>Надёжно работает. :-P А вы что ожидали?
>
>Таки надёжно, или удобно?

Надёжность тоже создаёт свои удобства. Нет геммороя (хотя, если постараться, то можно чего угодно добиться, конечно…) с зависимостями, пакеты хорошо стыкуются друг с другом, десктоп стабильно работает при самом причудливом сочетании компонентов, иксы не имеют тенденции вываливаться или не стартовать по непонятным причинам… В общем, работает так, как надо. :)


"Обзор развития проекта OpenBSD"
Отправлено FSA , 04-Июн-10 15:20 
>Радует. Удобнее системы ни на десктопе, ни на сервере я еще не видел.

Хм. Я держу FreeBSD на десктопе только по причине, что разбирался в ней как серверной системе и теперь могу легко поддерживать её стабильность. Накатывать те же обновления на Ubuntu иногда чревато. А тут знаешь что и как. Но ставить OpenBSD - это уж точно большее извращение чем FreeBSD :-D


"Обзор развития проекта OpenBSD"
Отправлено PereresusNeVlezaetBuggy , 04-Июн-10 15:26 
>>Радует. Удобнее системы ни на десктопе, ни на сервере я еще не видел.
>
>Хм. Я держу FreeBSD на десктопе только по причине, что разбирался в
>ней как серверной системе и теперь могу легко поддерживать её стабильность.
>Накатывать те же обновления на Ubuntu иногда чревато. А тут знаешь
>что и как. Но ставить OpenBSD - это уж точно большее
>извращение чем FreeBSD :-D

Скажите, а вы пробовали? Или как User294, будете спорить о вкусе устриц с теми, кто их ел? :)


"Обзор развития проекта OpenBSD"
Отправлено FSA , 04-Июн-10 16:49 
Да в принципе думаю, что это примерно то же самое, что и FreeBSD, с той лишь разницей, что разработчики с некоторого времени стали внимание обращать на desktop.
А что пробовал. Множество линуксов, но на впечатлили. Остановился на FreeBSD на стационарнике (напрягает только отсутствие полной поддержки UTF-8, в том числе из-за linux на ноуте) и Ubuntu на ноутбуке (нормально задействует энергосберегающие функции, что на FreeBSD у меня так и не получилось).

"Обзор развития проекта OpenBSD"
Отправлено anonimus , 04-Июн-10 17:15 
>Да в принципе думаю, что это примерно то же самое, что и
>FreeBSD, с той лишь разницей, что разработчики с некоторого времени стали
>внимание обращать на desktop.
>А что пробовал. Множество линуксов, но на впечатлили. Остановился на FreeBSD на
>стационарнике (напрягает только отсутствие полной поддержки UTF-8, в том числе из-за
>linux на ноуте) и Ubuntu на ноутбуке (нормально задействует энергосберегающие функции,
>что на FreeBSD у меня так и не получилось).

http://wiki.freebsd.org/TuningPowerConsumption


"Обзор развития проекта OpenBSD"
Отправлено PereresusNeVlezaetBuggy , 04-Июн-10 17:26 
>Да в принципе думаю, что это примерно то же самое, что и
>FreeBSD, с той лишь разницей, что разработчики с некоторого времени стали
>внимание обращать на desktop.

Пропасть между OpenBSD и FreeBSD достаточно велика, и с каждым годом всё увеличивается. А вообще разработчики OpenBSD просто делают продукт для себя, сами и пользуются, соответственно, и делают его удобным, в меру своего понимания. FreeBSD же открыто признаётся, что старается максимально распространиться по свету. Соответственно, и приоритеты в разработке несколько различные. Не то чтобы, одна или другая точка зрения была неправильной, они просто разные. :)

Можно начать перечислять технические различия между OpenBSD и FreeBSD, но это будет большой список…

>А что пробовал. Множество линуксов, но на впечатлили. Остановился на FreeBSD на
>стационарнике (напрягает только отсутствие полной поддержки UTF-8, в том числе из-за
>linux на ноуте) и Ubuntu на ноутбуке (нормально задействует энергосберегающие функции,
>что на FreeBSD у меня так и не получилось).

Кстати, есть хороший шанс, что в Опёнке энергосбережение как раз заработает.


"Обзор развития проекта OpenBSD"
Отправлено Аноним , 04-Июн-10 10:58 
Напиши статью, как ты добился удобства?

"Обзор развития проекта OpenBSD"
Отправлено бедный буратино , 04-Июн-10 11:06 
А где главное? "Вышло 3 альбома и 7 синглов, 3 из них платиновые. Попутно была изобретена новая операционная система" :)

Вот если серьёзно, вот знал бы кто про OpenBSD без песенки? :)


"Обзор развития проекта OpenBSD"
Отправлено Богатый папа Карло , 04-Июн-10 11:14 
>
>Вот если серьёзно, вот знал бы кто про OpenBSD без песенки? :)
>

Знал бы, и давно знают, а вот про песенки я лично не слышал, похоже ваш фольклор развивался отдельно от сообщества долгие годы, но это не порок, скорее недостаток общения.

Вы про демон sshd слышали? так вот этот самый secure shell server был разработан группой OpenBSD.


"Обзор развития проекта OpenBSD"
Отправлено redactor , 04-Июн-10 11:27 
И еще много сделали для поддержки WIFI в *nix
А сколько секьюрити патчей для того же апача!
А без песенки и картинок - никак. Горяча кровь у Тео.

"Обзор развития проекта OpenBSD"
Отправлено Andrey Mitrofanov , 04-Июн-10 11:31 
>И еще много сделали для поддержки WIFI в *nix

И http://digitalvampire.org/blog/index.php/2010/06/03/was-it-s.../ продолжают!
Молодцы!

>Горяча кровь у Тео.

А он ещё помимл MPLS, WiFi ещё и донор? А, наверноеЮ крестиком вышивает -- как б-г!


"Обзор развития проекта OpenBSD"
Отправлено PereresusNeVlezaetBuggy , 04-Июн-10 15:03 
>>И еще много сделали для поддержки WIFI в *nix
>
http://digitalvampire.org/blog/index.php/2010/06/03/was-it-s.../ продолжают!
>Молодцы!

1. Если бы прошли дальше по ссылкам, то увидели бы, что патч не был принят из-за того, что взамен одного бага добавлял другой.

2. Именно разработчики OpenBSD добивались открытия документации по многим чипсетам, когда в Linux добавляли драйвера, написанные под NDA.


"Обзор развития проекта OpenBSD"
Отправлено User294 , 04-Июн-10 14:20 
>Вы про демон sshd слышали? так вот этот самый secure shell server
>был разработан группой OpenBSD.

Да, он самый, при том все больше обрастает свистелками и перделками и все более тяжелеет, а при атаках - если специально не прикрывать жопу "секурного" шелла фаером или нестандартными выходками - секурный плодит процессы и кушает проц, что как-то неприятненько. Ну и скажите, а накой в ШЕЛЛ пхать по дефолту всякие портфорварды, впны, сфтп и прочая? И почему он более-менее секурен к атакам типа интенсивных многопоточных брутфорсов только с прикрытием его жопы фаером и прочими fail2ban-ами, а без них форкает процессы и жрет проц так что мама не горюй? Как по мне - если они секурными хотят называться, пусть лучше автоотстрел брутфорсеров сделают + контроль нагрузки от себя на систему вместо всех этих перделок и свистелок, для которых и так один фиг есть 100500 куда более фичастых и удобных утилит.


"Обзор развития проекта OpenBSD"
Отправлено PereresusNeVlezaetBuggy , 04-Июн-10 14:41 
>>Вы про демон sshd слышали? так вот этот самый secure shell server
>>был разработан группой OpenBSD.
>
>Да, он самый, при том все больше обрастает свистелками и перделками и
>все более тяжелеет, а при атаках - если специально не прикрывать
>жопу "секурного" шелла фаером или нестандартными выходками - секурный плодит процессы
>и кушает проц, что как-то неприятненько.

Лимит количества подключений в единицу времени логично как раз централизовано на фаерволе делать, а не в каждой проге логику прикручивать, не?

> Ну и скажите, а накой
>в ШЕЛЛ пхать по дефолту всякие портфорварды, впны, сфтп и прочая?

Затем, что это удобно и очень облегчает жизнь. Каждый день пользуюсь этими фичами. Насчёт названия не заморачиваюсь, вон, некоторые музыкальные плееры обзывают DeadbeeF, и ничего, живут.

>И почему он более-менее секурен к атакам типа интенсивных многопоточных брутфорсов
>только с прикрытием его жопы фаером и прочими fail2ban-ами, а без
>них форкает процессы и жрет проц так что мама не горюй?

См. выше. У каждой программы есть своя сфера ответственности. И в своей сфере OpenSSH на данный момент безусловный лидер.

А насчёт fail2ban — не вижу вообще повода заморачиваться. Нормальный пароль и так не подберут, а плохой — ну через месяц вместо недели, разница для вас будет велика?

>Как по мне - если они секурными хотят называться, пусть лучше
>автоотстрел брутфорсеров сделают + контроль нагрузки от себя на систему вместо
>всех этих перделок и свистелок, для которых и так один фиг
>есть 100500 куда более фичастых и удобных утилит.

Примеры более фичастых и удобных (а ещё — надёжных, вы об этом скромно забыли) утилит в студию.


"Обзор развития проекта OpenBSD"
Отправлено User294 , 04-Июн-10 16:35 
>Лимит количества подключений в единицу времени логично как раз централизовано на
>фаерволе делать, а не в каждой проге логику прикручивать, не?

Вообще-то мое глубокое убеждение что хорошему демону костыли со стороны фаерволла просто не требуются. То есть, если на него ломится 100500 потоков - он должен или их обслужить без проблем или как-то затроттлить нагрузку на систему до вменяемой величины/послать на йух тех кто абузивно использует ресурс и т.п.. При том файрвол не знает в отличие от демона какое использование ресурсов демона приемлимо, а какое - нет. И обучать фаер защищать задницу каждого демона - довольно геморно, вообще-то, и попахивает костылестроением. Посему я резонно полагаю что демон который этого требует - не очень качественный, и это как бы некоторая проблема секурити, что демону вообще нужны услуги защитника-файрвола чтобы он не жрал ресурсы.

Исключения по жрачу ресурсов допустимы только в случае когда система чисто ради этого конкретно демона и поставлена в основном (например, на сервере баз данных процессам БД допустимо выюзать ресурсы машины, etc). И то - такие демоны чаще всего недоступны снаружи, ибо нефиг и проблем с нагрузкой извне - нет. Но для секур шелла так не катит - если его снаружи совсем закрыть, сам же при случае без ручек управления и сосанешь. И как бы не прикольно нифига что openssh без проблем жрет 30% атлона 3000+ и форкает процессы "только потому что какой-то козел решил сегодня побрутфорсить". Козел, конечно, своей цели не достигает, но какого хрена такая нагрузка на систему в дефолтном состоянии, а?!

>>в ШЕЛЛ пхать по дефолту всякие портфорварды, впны, сфтп и прочая?
>Затем, что это удобно и очень облегчает жизнь.

Как ни странно, все свистелко-перделки именно так к софту и привинчиваюся. Именно с такой аргументацией. Вот только знаете, если я хотел поюзать ШЕЛЛ - это еще не значит что я хотел возможность файлы лить или порты форвардить и впны поднимать. Более того - в ситуации когда кому-то хочется предоставить ОГРАНИЧЕННЫЙ шелл, субъект не-совсем-доверяемый и прочая - с опенссх имеется некий геморрой на этот счет. Потому как в дефолтовом состоянии он как-то сильно дохрена всего умеет. Нахрена?

>Каждый день пользуюсь этими фичами.

А я пользуюсь ими раз в сто лет (ну, еще sftp - изредка и не везде, мля). Хотя-бы потому что какойнить опенвпн как впн - в сто раз забористее все-равно, разумнее сделан как VPN, лучше работает и возможностей потребных именно впн-туннелю у него явно больше. Скажите, ну и зачем мне кой-как сделаный впн? С какими-то дебильными ппп, нахреннужными по большому счету, злибами грузящими проц сильнее чем лзо буквально в разы, да еще и по TCP линку, что как бы грабельное начинание. Зачем мне вообще какой-то недоношенный впн втюхивать в демоне СЕКУРНОГО ШЕЛЛА, а? Если мне надо будет впн - я себе нормальный, блин, поставлю. Сделанный не через задний проход.

>Насчёт названия не заморачиваюсь, вон, некоторые музыкальные плееры обзывают DeadbeeF,
>и ничего, живут.

Насчет названия - не вижу ничего такого страшного в названии DeadbeeF - звучное и колоритное, юзерам имхо понравится :).

>См. выше. У каждой программы есть своя сфера ответственности. И в своей
>сфере OpenSSH на данный момент безусловный лидер.

Вот только оно зачем-то лезет еще в 100500 сфер, которые по логике вещей вообще не сфера ответственности секурного шелла + собственно с секурти себя любимого не очень хорошо справляется, раз уж требует защиты своей жопы фаером.

>А насчёт fail2ban — не вижу вообще повода заморачиваться. Нормальный пароль и
>так не подберут, а плохой — ну через месяц вместо недели, разница для вас будет велика?

А разница - в том что если уродов не банить или не лимитить на фаере (с риском самому сосануть от лимита при распределенно атаке, мля) - опенссх ресурсы жрет при активном бруте как свинья помои. В итоге "секурный" шелл приходится костылями огораживать от хакеров. И вместо того чтобы, блин, вот такие грабельные и общеизвестные аспекты пролечить - вместо этого городят какие-то дебильненько сделанные недовпн-ы, файлокачалки и прочую побочную муть.По-моему, их вектор развития попер куда-то не туда и они уже забыли ради чего писалась эта байда.Обожествлять эту штуку я бы не стал, уж извините.У опенбсдшников есть прикольные демоны, но вот sshd от них мне нравится все меньше и меньше, т.к. есть грабли с прямыми обязанностями а вместо улучшения этого аспекта почему-то пилят какие-то левые побочные фичи которые мне нафиг не сдались.

>Примеры более фичастых и удобных

А от секурного шелла не требуется быть адски фичастым. От него требуется быть нормальным СЕКУРНЫМ ШЕЛЛОМ. А не каким-то там качальщиков файлов, портфорвардером и недовпном, строго говоря. Если мне надо будет впн или портфорвардер - их отдельных на разные вкусы и задачи есть.

>(а ещё — надёжных, вы об этом скромно забыли) утилит в студию.

Ну вот о надежности я уже сказал - когда жрется 30% проца и висит пачка левых процессов только потому что хацкер Вася видите ли вышел побрутфорсить - насчет надежности возникают некоторые предъявы.


"Обзор развития проекта OpenBSD"
Отправлено PereresusNeVlezaetBuggy , 04-Июн-10 17:46 
>[оверквотинг удален]
>Вообще-то мое глубокое убеждение что хорошему демону костыли со стороны фаерволла просто
>не требуются. То есть, если на него ломится 100500 потоков -
>он должен или их обслужить без проблем или как-то затроттлить нагрузку
>на систему до вменяемой величины/послать на йух тех кто абузивно использует
>ресурс и т.п.. При том файрвол не знает в отличие от
>демона какое использование ресурсов демона приемлимо, а какое - нет. И
>обучать фаер защищать задницу каждого демона - довольно геморно, вообще-то, и
>попахивает костылестроением. Посему я резонно полагаю что демон который этого требует
>- не очень качественный, и это как бы некоторая проблема секурити,
>что демону вообще нужны услуги защитника-файрвола чтобы он не жрал ресурсы.

Весь «гемморой» заключается в одной строчке:

pass in to <local-addrs> port ssh keep state (max-src-conn-rate 10/5)

Это не «защита», а разделение обязанностей. Да, к слову, login.conf тоже никто не отменял. Или в Linux до сих пор всё печально с login-классами?..

К слову, в sshd встроена защита от брутфорса, но другого плана — задержки и лимит количества попыток ввода пароля / подбора ключа, так как это уже, ессесно, на фаерволе не реализуется.

>[оверквотинг удален]
>этого конкретно демона и поставлена в основном (например, на сервере баз
>данных процессам БД допустимо выюзать ресурсы машины, etc). И то -
>такие демоны чаще всего недоступны снаружи, ибо нефиг и проблем с
>нагрузкой извне - нет. Но для секур шелла так не катит
>- если его снаружи совсем закрыть, сам же при случае без
>ручек управления и сосанешь. И как бы не прикольно нифига что
>openssh без проблем жрет 30% атлона 3000+ и форкает процессы "только
>потому что какой-то козел решил сегодня побрутфорсить". Козел, конечно, своей цели
>не достигает, но какого хрена такая нагрузка на систему в дефолтном
>состоянии, а?!

Вот и спросите об этом тех, кто преднастраивал ваш фаервол.

>>>в ШЕЛЛ пхать по дефолту всякие портфорварды, впны, сфтп и прочая?
>>Затем, что это удобно и очень облегчает жизнь.
>
>Как ни странно, все свистелко-перделки именно так к софту и привинчиваюся. Именно
>с такой аргументацией. Вот только знаете, если я хотел поюзать ШЕЛЛ
>- это еще не значит что я хотел возможность файлы лить
>или порты форвардить и впны поднимать. Более того - в ситуации
>когда кому-то хочется предоставить ОГРАНИЧЕННЫЙ шелл, субъект не-совсем-доверяемый и прочая -
>с опенссх имеется некий геморрой на этот счет. Потому как в
>дефолтовом состоянии он как-то сильно дохрена всего умеет. Нахрена?

Какой ещё геморрой? Раскомментировать несколько строчек в конфиге и сделать sudo pkill -HUP sshd? Вообще, ситуация, когда дают шелл недоверенному человеку уже изначально заставляет всё в системе перепроверять, а не только конфиг SSH. Магии тут никакой нет. Если же все аккаунты на машине более-менее доверенные, то смысла ограничивать тут нет — нехороший юзер всё равно сможет сделать тот же форвард, просто чуть больше усилий ручками придётся приложить.

>>Каждый день пользуюсь этими фичами.
>
>А я пользуюсь ими раз в сто лет (ну, еще sftp -
>изредка и не везде, мля). Хотя-бы потому что какойнить опенвпн как
>впн - в сто раз забористее все-равно, разумнее сделан как VPN,
>лучше работает и возможностей потребных именно впн-туннелю у него явно больше.

Да сколько угодно. Зато SSH-VPN быстрее и легче поднимается. Разработчики сами позиционируют его как решение «когда надо быстро, но надёжно».

>Скажите, ну и зачем мне кой-как сделаный впн? С какими-то дебильными
>ппп, нахреннужными по большому счету, злибами грузящими проц сильнее чем лзо
>буквально в разы, да еще и по TCP линку, что как
>бы грабельное начинание. Зачем мне вообще какой-то недоношенный впн втюхивать в
>демоне СЕКУРНОГО ШЕЛЛА, а? Если мне надо будет впн - я
>себе нормальный, блин, поставлю. Сделанный не через задний проход.

Ну так и ставьте, вам что, кто-то мешает?

>>См. выше. У каждой программы есть своя сфера ответственности. И в своей
>>сфере OpenSSH на данный момент безусловный лидер.
>
>Вот только оно зачем-то лезет еще в 100500 сфер, которые по логике
>вещей вообще не сфера ответственности секурного шелла + собственно с секурти
>себя любимого не очень хорошо справляется, раз уж требует защиты своей
>жопы фаером.

SSH от большого количества детей ломается? Нет? Значит, с _его_ защитой всё в порядке. Резать же лишние коннекты на фаерволе не только логичнее и удобнее (ибо централизовано), но ещё и быстрее (т.к. дело до юзерленда тупо не доходит) и надёжнее (т.к. реализация кода одна на всех, её проще вылизать).

>>Примеры более фичастых и удобных
>
>А от секурного шелла не требуется быть адски фичастым. От него требуется
>быть нормальным СЕКУРНЫМ ШЕЛЛОМ.

Вы сказали сами, что есть более удобные и фичастые. Сами себе противоречите теперь.

> А не каким-то там качальщиков файлов, портфорвардером
>и недовпном, строго говоря. Если мне надо будет впн или портфорвардер
>- их отдельных на разные вкусы и задачи есть.

Верю, что есть (правда, вы так и поленились привести хорошие примеры). Зато здесь всё удобно интегрировано. Не нравится — не пользуйтесь, в конце-то концов.

>>(а ещё — надёжных, вы об этом скромно забыли) утилит в студию.
>
>Ну вот о надежности я уже сказал - когда жрется 30% проца
>и висит пачка левых процессов только потому что хацкер Вася видите
>ли вышел побрутфорсить - насчет надежности возникают некоторые предъявы.

От того, что вы десять раз продемонстрируете кривость своих рук, прямее они не станут. «Извините» © Слонёнок :)


"Обзор развития проекта OpenBSD"
Отправлено User294 , 07-Июн-10 21:30 
>Весь «гемморой» заключается в одной строчке:
>pass in to <local-addrs> port ssh keep state (max-src-conn-rate 10/5)

Скажите пожалуйста, а если с разных хостов меня брутит пачка ботов - это как? Да, боты в курсе что за активный долбеж - банят. Поэтому в пересчете на бота - количество запросов в единицу времени небольшое. Зато самих ботов - предостаточно, поэтому нагрузка от них случается и довольно приличная временами на некоторые хосты. В итоге при потугах лимитировать число соединений или запросто пролезают распределенные боты типа этих, или просасывает сам админ которого его же файер и зарубит. А боты в последнее время что-то поумнели и брутят нынче распределенно. В пересчете на 1 бота - медленно. Чтобы не попадать под всякие fail2ban-ы, лимиты соединений и прочая как раз. Или вы думаете что все ботмастеры - тупые, а вы один - в белом?

>Это не «защита», а разделение обязанностей.

Это именно подстановка костылей. Когда демон начинает жрать 30% проца, его зад приходится оборонять.

>Да, к слову, login.conf тоже никто не отменял.

Развейте эту мыслю? Дано: есть машина с доступом в инет. На ней sshd. На него должен ходить админ. Ремотно. Откуда угодно. Есть боты. Узнать о том что они не админ можно только после того как боты подконектятся к sshd и некорректно авторизуются, что логично. Есть только одна проблема: на это будет сожрано прилично ресурсов, в общем то. И если припирается орава ботов которые медленно (в пересчете на рыло) но ощутимо (по суммарному эффекту) грузят демон - как-то не очень то и понятно как их цивильно отбить чтобы админ сам потом не сосанул. Единственное более-менее эффективное, но немного страусиное решение - порткнокинг разве что. Так что боты до ресурсоемких операций не добираются. Но, блин, это было так сложно на уровень демона загнать? Или это недостаточно полезная свистелка?

>Или в Linux до сих пор всё печально с login-классами?..

Не понял честно говоря к чему вы это. См. выше.

>К слову, в sshd встроена защита от брутфорса, но другого плана —
>задержки и лимит количества попыток ввода пароля / подбора ключа, так
>как это уже, ессесно, на фаерволе не реализуется.

Это все круто. Кроме того что пачка ботов припершихся на sshd начинает неторопливо в пересчете на одного бота брутить. Не попадая под бан но создавая приличную нагрузку от кучки ботов в целом. Что самое обидное - даже если бы они лупили на полной скорости, они бы не подобрали пароль до погасания солнца :). А вот проц почем зря - жрется.

>Вот и спросите об этом тех, кто преднастраивал ваш фаервол.

А почему я это должен у файрвола вообще спрашивать? Файрвол 30% CPU не жрет. Или будем искать ключи не там где потеряли а там где светлее?

>Какой ещё геморрой? Раскомментировать несколько строчек в конфиге и сделать sudo pkill
>-HUP sshd? Вообще, ситуация, когда дают шелл недоверенному человеку уже изначально
>заставляет всё в системе перепроверять, а не только конфиг SSH.

Ну вообще да, тут вы правы - недоверяемый человек потенциально может делать много всяских действий и портфорвард... ну если шелл есть то уж и данные с порта в него пхнуть можно, если уж приперло. Тут я тупанул.

>сделать тот же форвард, просто чуть больше усилий ручками придётся приложить.

Угу, тут уже какой-то аноним менее культурно объяснил мне что я туплю.

>Да сколько угодно. Зато SSH-VPN быстрее и легче поднимается.

Зато менее универсально, менее фичасто и т.п.. А так - я вот еще почтовик и браузер каждый день использую. Почему бы на засунуть какиенить простенькие в sshd? А что, зато быстрее и легче поднимается - не надо софт никакой ставить. Зашел по шеллу  и бац - вот те и браузер и почтовик сразу. Можно и жаббер встроить. И клиент и сервер. А то мало ли, вдруг понадобится?

>Разработчики сами позиционируют его как решение «когда надо быстро, но надёжно».

Только не совсем понятно почему этим надо по дефолту озадачить тулсу для секурного шелла. А скажем браузер в ней - нужен? А почтовик? А жаббер-клиент простенький?

>Ну так и ставьте, вам что, кто-то мешает?

Дык. Только зачем мне какой-то недо сватать?

>SSH от большого количества детей ломается? Нет? Значит, с _его_ защитой всё
>в порядке. Резать же лишние коннекты на фаерволе не только логичнее
>и удобнее

См. выше - расскажите как мне удобно порезать ботнетец медленных брутфорсеров чтобы и ботов отстрелить и самому под раздачу не попасть. Я как-то не вижу однозначной логики которая бы принципиально отличала меня от неторопливого бота. А если ботов много - я один из этой пачки получаюсь. При это я или должен чем-то отличаться или сам попаду под раздачу вместе с ними. На уровне файера отличение меня от ботов без раскочегарки крутой криптографии немилосердно грузящей проц реализуется, конечно, но относительно геморройненько, скажем порткноком. Безусловно, есди жизнь прижмет - еще и не так раскорячишься, настроив айпитаблес, но было бы лучше если бы демон позволял настройку этого в каком-то простом универсальном виде одинаковом для всех систем. Тем более что сделать порткнок на уровне демона ни разу не проблема а последовательность кнока можно было бы удобно кодировать например в относительно простую для запоминания строку (рулесы для фаера и номера портов как цифры запоминаются сильно хуже). Единственное что порткнок создает ощущение слегка страусиного метода

>здесь всё удобно интегрировано.

Блин, по такой логике винды сделаны. Ну и что что почтовик хреновый, IM годен только на свалку, почтовик убогий, файрвол никакрй, etc? Зато все удобно интегрировано.

>От того, что вы десять раз продемонстрируете кривость своих рук,

Вы мне трухина напоминаете при этом. Да, безусловно, окультурить можно что угодно. Но чем меньше танцев с бубном - тем лучше система для админов. Ибо расстановка костылей оптом для грабельных демонов - не совсем то о чем мечтают админы...


"Обзор развития проекта OpenBSD"
Отправлено PereresusNeVlezaetBuggy , 08-Июн-10 12:47 
>[оверквотинг удален]
>это как? Да, боты в курсе что за активный долбеж -
>банят. Поэтому в пересчете на бота - количество запросов в единицу
>времени небольшое. Зато самих ботов - предостаточно, поэтому нагрузка от них
>случается и довольно приличная временами на некоторые хосты. В итоге при
>потугах лимитировать число соединений или запросто пролезают распределенные боты типа этих,
>или просасывает сам админ которого его же файер и зарубит. А
>боты в последнее время что-то поумнели и брутят нынче распределенно. В
>пересчете на 1 бота - медленно. Чтобы не попадать под всякие
>fail2ban-ы, лимиты соединений и прочая как раз. Или вы думаете что
>все ботмастеры - тупые, а вы один - в белом?

Прекрасно. А теперь скажите, как sshd должен отличить админа? По логину admin? Он его зарубит точно так же.

>>Это не «защита», а разделение обязанностей.
>
>Это именно подстановка костылей. Когда демон начинает жрать 30% проца, его зад
>приходится оборонять.

Вам пример с "GET /" уже привели. И nginx, к слову, работает по тому же принципу, что и sshd — неблокируемый ввод-вывод. fork() делается сугубо в интересах безопасности, и это вы должны, надеюсь, понимать: чтобы при наихудшем развитии событий был по возможности хакнут не master-процесс, работающий от рута, а процесс с дропнутыми привилегиями.

Да, и ещё в sshd ещё криптографии дофига. Если говорить об обслуживании nginx HTTPS, а не просто HTTP, ляжет он точно так же.

>[оверквотинг удален]
>Узнать о том что они не админ можно только после того
>как боты подконектятся к sshd и некорректно авторизуются, что логично. Есть
>только одна проблема: на это будет сожрано прилично ресурсов, в общем
>то. И если припирается орава ботов которые медленно (в пересчете на
>рыло) но ощутимо (по суммарному эффекту) грузят демон - как-то не
>очень то и понятно как их цивильно отбить чтобы админ сам
>потом не сосанул. Единственное более-менее эффективное, но немного страусиное решение -
>порткнокинг разве что. Так что боты до ресурсоемких операций не добираются.
>Но, блин, это было так сложно на уровень демона загнать? Или
>это недостаточно полезная свистелка?

port-knocking отклонён как фича к реализации. Во-первых, далеко не всегда админ его может вообще сделать (мне, например, приходилось не раз через MIDPSSH что-то экстренно фиксить). Во-вторых, админская память имеет тенденцию забывать номера — или вы будете одинаковую комбинацию на все сервера ставить?

>>К слову, в sshd встроена защита от брутфорса, но другого плана —
>>задержки и лимит количества попыток ввода пароля / подбора ключа, так
>>как это уже, ессесно, на фаерволе не реализуется.
>
>Это все круто. Кроме того что пачка ботов припершихся на sshd начинает
>неторопливо в пересчете на одного бота брутить. Не попадая под бан
>но создавая приличную нагрузку от кучки ботов в целом. Что самое
>обидное - даже если бы они лупили на полной скорости, они
>бы не подобрали пароль до погасания солнца :). А вот проц
>почем зря - жрется.

Ну и чем, чем здесь поможет лимит? Он точно так же помешает пролезть админу!

>>Вот и спросите об этом тех, кто преднастраивал ваш фаервол.
>
>А почему я это должен у файрвола вообще спрашивать? Файрвол 30% CPU
>не жрет. Или будем искать ключи не там где потеряли а
>там где светлее?

Ещё раз: подключение как таковое есть уровень L3. Поэтому лишние подключения должны резаться на уровне L3. То есть, в данном случае, фаерволом.

Это у пропиетарщиков есть тенденция комбайны всё-в-одном реализовывать. То ли потому что не умеют / не хотят подстраивать своё ПО под смежное, то ли потому что рассчитывают, что пользователь купится на их «антивирус с функциями фаервола» и только за счёт этого предпочтёт комбинации «антивирус + фаервол»…

>>Да сколько угодно. Зато SSH-VPN быстрее и легче поднимается.
>
>Зато менее универсально, менее фичасто и т.п.. А так - я вот
>еще почтовик и браузер каждый день использую. Почему бы на засунуть
>какиенить простенькие в sshd? А что, зато быстрее и легче поднимается
>- не надо софт никакой ставить. Зашел по шеллу  и
>бац - вот те и браузер и почтовик сразу. Можно и
>жаббер встроить. И клиент и сервер. А то мало ли, вдруг
>понадобится?

Современный sshd — это секурный транспорт. Который умеет хорошо делать shell и передавать файлы, и кое-как (но всё же умеет, и достаточно надёжно) — VPN, который тоже разновидность транспорта.

>>Ну так и ставьте, вам что, кто-то мешает?
>
>Дык. Только зачем мне какой-то недо сватать?

Да никто и не сватает, используйте, что вам удобно. Это вы на него сами взъелись, мол, зачем… Затем, что это оправданно по мнению разработчиков. Можете им не доверять, конечно, а я предпочитаю следовать словам великого персидского поэта и учёного (и пьяницы, ну да это мы опустим ;) ): «Яд, мудрецом предложенный, прими; Брать от глупца не стоит и бальзама».

>>здесь всё удобно интегрировано.
>
>Блин, по такой логике винды сделаны. Ну и что что почтовик хреновый,

Зато не жрёт ресурсы как тот же ThunderBird, и все базовые функции на месте. Кому надо больше — ставьте, что хотите, Microsoft не запрещает. ;)

>IM годен только на свалку,

В Америке, кстати, пользователей не так уж мало. Специфика регионов, панимашь. У нас вот, наоборот, ICQ настолько популярная, что её наши в итоге и купили… Глядя на то, что происходит с купленным нашими же ЖЖ, думаю, теперь скоро все сами перейдут на Jabber. ;)

> почтовик убогий,

Вы повторяетесь. Чем лично вам отравил жизнь OE? :)

> файрвол никакрй, etc? Зато все удобно интегрировано.

Фаервол действительно нулевой. Только вы что, думаете, что я винду рьяно защищать буду? :) Ну говно фаервол в клиентских машинах, говно. Спасибо, что хоть такой есть. Можно успеть поставить нормальный, пока червяки не пробрались. :-P

>>От того, что вы десять раз продемонстрируете кривость своих рук,
>
>Вы мне трухина напоминаете при этом. Да, безусловно, окультурить можно что угодно.
>Но чем меньше танцев с бубном - тем лучше система для
>админов. Ибо расстановка костылей оптом для грабельных демонов - не совсем
>то о чем мечтают админы...

Вы не поверите, именно этому принципу следуют опёнковцы. При этом стараясь не подменять одни танцы другими, а именно что избавляясь от них. Магии здесь, увы, никакой нет: все имеющиеся решения, кроме как повысить производительность машины или ограничить доступ по белому списку IP-адресов (да и это не всегда приемлемо), чреваты другими неприятными последствиями.


"Обзор развития проекта OpenBSD"
Отправлено nuclight , 07-Июн-10 18:21 
>>Лимит количества подключений в единицу времени логично как раз централизовано на
>>фаерволе делать, а не в каждой проге логику прикручивать, не?
>
>Вообще-то мое глубокое убеждение что хорошему демону костыли со стороны фаерволла просто
>не требуются. То есть, если на него ломится 100500 потоков -
>он должен или их обслужить без проблем или как-то затроттлить нагрузку
>на систему до вменяемой величины/послать на йух тех кто абузивно использует ресурс и т.п.

Молодой человек, а Вы в курсе, какую цену имеет порождение процесса, а какую - обработка пакета файрволом? Вы пробовали проверять Ваши убеждения на соответствие реальности?

>При том файрвол не знает в отличие от
>демона какое использование ресурсов демона приемлимо, а какое - нет. И
>обучать фаер защищать задницу каждого демона - довольно геморно, вообще-то, и

Зато системный администратор знает, ибо именно это и является его работой.

>попахивает костылестроением. Посему я резонно полагаю что демон который этого требует
>- не очень качественный, и это как бы некоторая проблема секурити,
>что демону вообще нужны услуги защитника-файрвола чтобы он не жрал ресурсы. [...]
>Ну вот о надежности я уже сказал - когда жрется 30% проца
>и висит пачка левых процессов только потому что хацкер Вася видите
>ли вышел побрутфорсить - насчет надежности возникают некоторые предъявы.

Молодой человек, Вы в курсе, чем отличаются понятия "надежность" (reliability), "безопасность" (security) и "производительность" (performance)? Вы в курсе, что они зачастую выдвигают противоречивые требования?

>Исключения по жрачу ресурсов допустимы только в случае когда система чисто ради
>этого конкретно демона и поставлена в основном (например, на сервере баз
>данных процессам БД допустимо выюзать ресурсы машины, etc). И то -
>такие демоны чаще всего недоступны снаружи, ибо нефиг и проблем с
>нагрузкой извне - нет.

DDoS-атака на веб-сервер запросами "GET /" - вполне легитимные юзеры запрашивают это же. В файрволе юзеры с такии запросами при превышении количества фильтруются с небольшой затратой ресурсов, сервер продолжает работать. Анализ в демоне потребует куда больших затрат в ресурсах. Тому, кто предложит увеличить нагрузку на сервер в условиях атаки, стоит подумать об увольнении.

>openssh без проблем жрет 30% атлона 3000+ и форкает процессы "только
>потому что какой-то козел решил сегодня побрутфорсить". Козел,
>конечно, своей цели не достигает,

Следовательно, свойство "безопасность" (security) не нарушено, демон свою задачу выполнил. Обеспечение свойства "производительность" выполняется другими путями, см. учебники.

>>>в ШЕЛЛ пхать по дефолту всякие портфорварды, впны, сфтп и прочая?
>>Затем, что это удобно и очень облегчает жизнь.
>>Каждый день пользуюсь этими фичами.
>
>А я пользуюсь ими раз в сто лет (ну, еще sftp -
>изредка и не везде, мля).

Это показывает только то, что Ваши задачи - недалеки от песочницы. У меня на работе обеспечение шифрованной (безопасной) передачи файлов (scp, иногда для пользователей sftp) и проброса TCP-соединений является _необходимым_ - эта функциональность используется каждый день.

>>См. выше. У каждой программы есть своя сфера ответственности. И в своей
>>сфере OpenSSH на данный момент безусловный лидер.
>
>Вот только оно зачем-то лезет еще в 100500 сфер, которые по логике
>вещей вообще не сфера ответственности секурного шелла + собственно с секурти
>себя любимого не очень хорошо справляется, раз уж требует защиты своей
>жопы фаером.

Молодой человек, еще раз перечитайте учебники на предмет определений, что такое security и что такое performance.

>>Примеры более фичастых и удобных
>
>А от секурного шелла не требуется быть адски фичастым. От него требуется
>быть нормальным СЕКУРНЫМ ШЕЛЛОМ. А не каким-то там качальщиков файлов, портфорвардером
>и недовпном, строго говоря. Если мне надо будет впн или портфорвардер
>- их отдельных на разные вкусы и задачи есть.

Молодой человыек, меня берут сомнения, что Вы в состоянии представить более удобные утилиты для портфорвардинга, нежели применение ключей -L, -R, -D в ssh. Которые, заметим, кроме собственно форвардинга обеспечивают _безопасную_ (secure) передачу данных. Назовите хотя бы парочку.


"Обзор развития проекта OpenBSD"
Отправлено User294 , 07-Июн-10 20:27 
>Молодой человек,

Давайте без таких фамильярностей? А то я вам забыл мой возраст сообщить, и может так оказаться что я постарше вас. Получится весьма по идиотски тогда.

>а Вы в курсе, какую цену имеет порождение процесса, а какую - обработка
>пакета файрволом?

По логике вещей - обработка пакета сильно легче чем форк процесса. Переключений контекста в юзермод нет, копировать ничего никуда не нужно. Поэтому пакеты молотятся миллионами, а вот форк процесса... хоть форк в *никсах и довольно эффективная и красивая операция, на примере опача прекрасно видно что форкать по процессу на сущность - в целом все-таки весьма дурное начинание.

>Вы пробовали проверять Ваши убеждения на соответствие реальности?

Специально бенчами - нет. Но по логике вещей фаер в ядре - сильно быстрее, если сделан не слишком через задницу и рулесов не миллион и в дурном порядке. Наблюдения за поведением систем вроде это подтверждают и общесистемный здравый смысл это подсказывает.

>Зато системный администратор знает, ибо именно это и является его работой.

Да, конечно, можно все дебилизмы софта выправлять системными администраторами, мотивируя что они для этого и предназначены. А по факту если какой-то сервис нельзя вывесить в интернет без злостных костылей - он не такой уж и секурный, как минимум подверженный атакам специально нагружающим систему, например.

>Молодой человек,

А вы уже старый дед чтобы так говорить? А не боитесь что я окажусь старше вас ненароком? Или у вас комплексы какие-то насчет возраста? А то два раза какое-то странное для форума обращение.

>Вы в курсе, чем отличаются понятия "надежность" (reliability),
>"безопасность" (security) и "производительность" (performance)?

Да, я в курсе. И в частности в security есть такой вид атак - атака на исчерпание ресурсов атакуемого. Или на снижение его качества сервиса. Чем проще и халявнее делается такая атака - тем проще испортить жизнь атакуемому имея под рукой сильно меньше ресурсов чем он сам, специально вызывая наиболее "дорогие" операции в атакуемой системе. Ну и например опач отличается от нжинксы тем что если нжинксе вдуть пару тыщ соединений (не особо забивающих канал, допустим) - оно особо и не озадачится по этому поводу. А если опачу - то сам факт постоянного форкания тысяч процессов, жрача ими памяти и т.п. - может испортить весь компот. Засрав список процессов, нагрузив процессор и сожрав память. А если лимитировать число процессов - тогда легитимные юзеры не дождутся своей очережи. Такой вот хреновый выбор получается.

>Вы в курсе, что они зачастую выдвигают противоречивые требования?

В принципе вы тут отчасти правы, но в конечном итоге - общий вектор развития sshd как-то не радует. Вместо того чтобы оптимизировать жрач ресурсов на атаках и усложнить эти атаки (цифры взяты не с потолка а с реального сервака если что) - наворачивают каких-то свистелок.

>DDoS-атака на веб-сервер запросами "GET /" - вполне легитимные юзеры запрашивают это
>же. В файрволе юзеры с такии запросами при превышении количества фильтруются
>с небольшой затратой ресурсов, сервер продолжает работать. Анализ в демоне потребует
>куда больших затрат в ресурсах.

Да бросьте вы, какойнить нжинкс спокойно отгружает статику тысячам и тысячам бакланов без всякой защиты фаером. Можно просто вывесить в инет и не париться. И хрен его кто положит с разумными затратами сил при нормальных настройках (кеш динамики в статику хоть на несколько секунд например). Все эти сюсюкания нужны для неповоротливых демонов сделанных через известное место, у авторов которых хватило ума форкать по процессу на какую-то внешнюю активность. Что само по себе очень грабельное и небезопасное начинание позволяющее удаленному атакующему неплохо поабузить жрач ресурсрв на атакуемом хосте. Собссно классический метод атаки на ресурсы: на апач шлется куча соединений и медленно и печально качается. Воркер-процессы или засирают собой все вокруг и начинается коллапс, вплоть до невозможности зайти по ssh (это кстати к вопросу о надежности оного, если что - видал бакланов которым приходилось просить стафф ресетнуть хост, т.к. ssh не работает в таких условиях, да) или, если сервер настроен - ну, легитимные юзеры просто сосут полчаса и не дождавшись пока воркер раздуплится их обслужить отхватят таймаут.

>Тому, кто предложит увеличить нагрузку на сервер в условиях атаки,
>стоит подумать об увольнении.

Почему-то все в условиях таких атак ставят нжинксу и забывают о проблеме. Давить ботов? Их много - задолбаетесь в файр рулесы вносить, а автоматически отсеять ботов от юзеров без геморроя возможно не всегда. А вот openssh в подобных ситуациях как-то не очень, при том даже не целенаправленных атаках на ресурсы а при просто банальном бруте пассвордов какими-то лабухами.

>Следовательно, свойство "безопасность" (security) не нарушено, демон свою задачу
>выполнил.

Кроме случая "атака на ресурсы". Ага?

>Обеспечение свойства "производительность" выполняется другими путями, см. учебники.

Слово производительность применительно к демону ремотного управления звучит как-то похабно. Ну не имеет права такой демон жрать кучу ресурсов. По определению просто.

>Это показывает только то, что Ваши задачи - недалеки от песочницы.

Ой, сколько апломба.

>У меня на работе обеспечение шифрованной (безопасной) передачи файлов (scp,
>иногда для пользователей sftp) и проброса TCP-соединений является
>_необходимым_ - эта функциональность используется каждый день.

Если мне это будет необходимо - я поставлю себе отдельный впн, сделанный не через задний проход и портфорвардер/нат/прокси/что там мне угодно. Нахрен мне все это в секурном шелле то? Я конечно понимаю что круто лупить все гвозди одним микросокопом, ноне понимаю почему бы не взять молоток если им задача решается куда лучше.

>Молодой человек, еще раз перечитайте учебники на предмет определений,
>что такое security и что такое performance.

А по делу то есть что сказать? Или язык никак не поворачивается признать что с перфомансом - не фонтан и поэтому надо потроллить? А как следствие, страдает и секурити. Скажем позволяя атаки на исчерпание ресурсов или деградацию качества сервиса. Да, конечно, их можно отбить фаером. И жопу апача можно огораживать фаером. И что там еще. Вот только лишний гемор то - не рулит...

>Молодой человыек, меня берут сомнения, что Вы в состоянии представить более удобные
>утилиты для портфорвардинга, нежели применение ключей -L, -R, -D в ssh.

А зачем их представлять? Их вон готовых есть. Как пример - хоть тот же 3proxy. Умеет сильно дофига всего и в разных позах. В общем имхо если кто и шнец и жнец и на дуде игрец, есть шанс что далеко не все из этого делается хорошо.

>Которые, заметим, кроме собственно форвардинга обеспечивают _безопасную_ (secure)
>передачу данных. Назовите хотя бы парочку.

OpenVPN+3roxy например. Первое секурный транспортный уровень, второе может взять на себя прокси/портфорварды. При том - если например к окружению может хотеть доступ несколько юзеров и не все из них сильно доверяемые - так как-то сильно проще и подконтрольнее получается. И настраиваемость просто на порядок лучше. Ну и нахрена козе боян, спрашивается? А то давайте еще веб-браузер и почтовик туда встроим? А то я ими тоже каждый день пользуюсь. Почему бы не встроить их в этот демон?!


"Обзор развития проекта OpenBSD"
Отправлено nuclight , 08-Июн-10 14:00 
>>Молодой человек,
>
>Давайте без таких фамильярностей? А то я вам забыл мой возраст сообщить,
>и может так оказаться что я постарше вас. Получится весьма по
>идиотски тогда.

Действительно, может получиться - Вы ведь знаете, каким образом в определении IQ участвует возраст? Сообщите, очень интересно, что же будет.

>[оверквотинг удален]
>
>По логике вещей - обработка пакета сильно легче чем форк процесса. Переключений
>контекста в юзермод нет, копировать ничего никуда не нужно. Поэтому пакеты
>молотятся миллионами, а вот форк процесса... хоть форк в *никсах и
>>Вы пробовали проверять Ваши убеждения на соответствие реальности?
>
>Специально бенчами - нет. Но по логике вещей фаер в ядре -
>сильно быстрее, если сделан не слишком через задницу и рулесов не
>миллион и в дурном порядке. Наблюдения за поведением систем вроде это
>подтверждают и общесистемный здравый смысл это подсказывает.

Теперь выпишите Ваше убеждение сообщением выше по треду и сравните его с процитированным.

>довольно эффективная и красивая операция, на примере опача прекрасно видно что
>форкать по процессу на сущность - в целом все-таки весьма дурное
>начинание.

Идите, почитайте Стивенса на предмет разницы между блокируемым и неблокируемым вводом-выводом. А заодно посмотрите внимательнее на архитектуру Апача и сравните её с архитектурой sshd, прежде чем делать столь скоропалительные заявления.

>[оверквотинг удален]
>[...]
>Ну и нахрена козе боян, спрашивается? А то давайте еще веб-браузер
>и почтовик туда встроим? А то я ими тоже каждый день
>пользуюсь. Почему бы не встроить их в этот демон?!
>
>>Молодой человек,
>
>А вы уже старый дед чтобы так говорить? А не боитесь что
>я окажусь старше вас ненароком? Или у вас комплексы какие-то насчет
>возраста? А то два раза какое-то странное для форума обращение.

Затем, что это обращение более чем адекватно Вашему состоянию, и рассуждени выше о "дебилизмах" это полностью подтверждает. Здесь как нельзя более уместна цитата из классика:

  - Вы стоите на самой низшей ступени развития, [...] вы еще только
  формирующееся, слабое в умственном отношении существо, все ваши поступки чисто
  звериные, и вы в присутствии двух людей с университетским образованием
  позволяете себе с развязностью совершенно невыносимой подавать какие-то советы
  космического масштаба и космической же глупости [...] вам нужно молчать и
  слушать, что вам говорят. Учиться и стараться стать хоть сколько-нибудь
  приемлемым членом [...] общества. Кстати, какой негодяй снабдил вас этой
  книжкой?

>>Вы в курсе, чем отличаются понятия "надежность" (reliability),
>>"безопасность" (security) и "производительность" (performance)?
>
>Да, я в курсе. И в частности в security есть такой вид
>атак - атака на исчерпание ресурсов атакуемого. Или на снижение его
>качества сервиса.

Молодой человек, ткните, пожалуйста пальцем, где написано, что в перечень задач SSH входит защита от DoS-атак? Кстати, почему Вы не дали конкретные названия типов атак? Вы не владеете терминологией?

>и не озадачится по этому поводу. А если опачу - то
>сам факт постоянного форкания тысяч процессов,

Молодой человек, пойдите же и ознакомьтесь с архитектурой Апача, наконец! Зачем Вы несете такую чушь о pre-forked модели?

>>Вы в курсе, что они зачастую выдвигают противоречивые требования?
>
>В принципе вы тут отчасти правы, но в конечном итоге - общий
>вектор развития sshd как-то не радует. Вместо того чтобы оптимизировать жрач
>ресурсов на атаках и усложнить эти атаки (цифры взяты не с

Молодой человек, Вы в курсе, на _что_, собственно уходят эти самые ресурсы? Распишите. А заодно ознакомьтес с предметом поближе и узнайте, что sshd по мере сил их усложняет. Насколько это в его силах.

>Да бросьте вы, какойнить нжинкс спокойно отгружает статику тысячам и тысячам бакланов
>без всякой защиты фаером. Можно просто вывесить в инет и не

Вывесите. Динамику на главной по SSL. А потом создайте нагрузку ботнетом. Результат сообщите.
Вы вообще пробовали подумать на тему, для каких условий выбирается та или иная архитектура, дабы проводить адекватное сравнение?

>Все эти сюсюкания нужны для неповоротливых демонов сделанных через известное место,
>у авторов которых хватило ума форкать по процессу на какую-то внешнюю
>активность. Что само по себе очень грабельное и небезопасное начинание позволяющее

Молодой человек, идите прочитайте man setuid.

>>Тому, кто предложит увеличить нагрузку на сервер в условиях атаки,
>>стоит подумать об увольнении.
>
>Почему-то все в условиях таких атак ставят нжинксу и забывают о проблеме.
>Давить ботов? Их много - задолбаетесь в файр рулесы вносить, а
>автоматически отсеять ботов от юзеров без геморроя возможно не всегда. А

Если бы Вы имели реальный опыт эксплуатации, Вы бы знали, что случаев "поставил и забыл" - на практике мало. И nginx тоже бывает необходимо настраивать (или ядро тюнить), не говоря уже о том, что здесь - совсем другой сервис, а интеллектуальную работу софт за админа не сделает.

>>Следовательно, свойство "безопасность" (security) не нарушено, демон свою задачу
>>выполнил.
>
>Кроме случая "атака на ресурсы". Ага?

Идите еще раз подумайте над тем, от каких атак защищает SSH.

>>Обеспечение свойства "производительность" выполняется другими путями, см. учебники.
>
>Слово производительность применительно к демону ремотного управления звучит как-то похабно. Ну не
>имеет права такой демон жрать кучу ресурсов. По определению просто.

Определение в студию. А заодно вычислительные потребности криптографических алгоритмов с открытым ключом.

>>У меня на работе обеспечение шифрованной (безопасной) передачи файлов (scp,
>>иногда для пользователей sftp) и проброса TCP-соединений является
>>_необходимым_ - эта функциональность используется каждый день.
>
>Если мне это будет необходимо - я поставлю себе отдельный впн, сделанный
>не через задний проход и портфорвардер/нат/прокси/что там мне угодно. Нахрен мне
>все это в секурном шелле то? Я конечно понимаю что круто
>лупить все гвозди одним микросокопом, ноне понимаю почему бы не взять
>молоток если им задача решается куда лучше.

Вам недостаточно будет одного лишь VPN, а потребуются еще средства передачи самих файлов. Приведите сравнительный анализ Вашего решения (кстати, где оно? Вы не озвучили полный комплект) и scp/sftp.

>[оверквотинг удален]
>признать что с перфомансом - не фонтан и поэтому надо потроллить?
>
>>Молодой человек, меня берут сомнения, что Вы в состоянии представить более удобные
>>утилиты для портфорвардинга, нежели применение ключей -L, -R, -D в ssh.
>>Которые, заметим, кроме собственно форвардинга обеспечивают _безопасную_ (secure)
>>передачу данных. Назовите хотя бы парочку.
>
>А зачем их представлять? Их вон готовых есть. Как пример - хоть
>тот же 3proxy. Умеет сильно дофига всего и в разных позах.
>OpenVPN+3roxy например. Первое секурный транспортный уровень, второе может взять на себя прокси/портфорварды.

По делу здесь пока ничего здесь пока ничего не говорите именно Вы, зато разражаетесь многословными тирадами по поводу двух слов обращения к Вам. Лично я использую 3proxy только на одной машине, а scp/sftp - на семи десятках. Именно что молоток - для гвоздей. Под каждую задачу свой инструмент. Сомневаюсь, что Вы следуете этому принципу. Приведите конкретику: как именно Вы настраиваете 3proxy, чем он удобнее ssh -L/-R/-D.


"Обзор развития проекта OpenBSD"
Отправлено User294 , 08-Июн-10 18:28 
>Сообщите, очень интересно, что же будет.

Если бы меня интересовали такие вопросы - я бы пошел на более тематические форумы с более адекватными специалистами. Так что в сад, увы :)

>Теперь выпишите Ваше убеждение сообщением выше по треду и сравните его с
>процитированным.

Что за бред? А, кажется я понимаю (telepathy mode active). Правильно ли я вас понял, уважаемый сэр, что вы считаете "как бы нормальным" когда нечто типа форка процесса и/или прочие сравнительно тяжелые действия (скажем, некислый юзеж криптографии) возникают в ответ на любой внешнее воздействие при том что эти воздействия заведомо идут из внешней среды в произвольных количествах? Полагаете что так писать демоны - это так и надо? Я так понимаю что фэйлы дизайна демона предлагается вытягивать сугубо администраторам на своем горбу, путем траходрома с фаерами и чем там еще, да? Это если уж называть вещи своими именами (напросились однако).

Хинт: рассказывать тестеру о качестве софта - неблагодарное занятие, тестер на то и тестер что найдет фэйл и обругает его. Какие убеждения у тестеров - сами знаете: лажа называется лажей и никак иначе. И если кто-то обладает проблемами - он обладает проблемами. И да, resource-intensive действия в ответ на любое внешнее воздействие потенциально валящееся в анлимном количестве - это проблема, да. А скиллы системного администрирования конкретных индивидуалов, их факин ЧСВ, возможности всяких там фаеров конкретных систем и прочая - вообше перпендикулярны к качеству реализации демона (как бы намек для тех кто в бронепоезде).

>Идите, почитайте Стивенса на предмет разницы между блокируемым и неблокируемым вводом-
>выводом.

Знаете, кто-то из великих ученых сказал: если вы не можете в двух словах рассказать даже кухарке чем вы занимаетесь - вы и сами не понимаете чем вы занимаетесь. А с вами говорит даже не кухарка а имеющий наглость считать себя системщиком субъект. Уж наверное подозреваюший чем отличаются эти виды I/O. Поэтому можно как бы и развить свою мыслю. А тупо сказать RTFM - удел ламерья да отморозков с ЧСВ до небес.

>А заодно посмотрите внимательнее на архитектуру Апача и сравните
>её с архитектурой sshd, прежде чем делать столь скоропалительные заявления.

У sshd и опача есть одно общее с точки зрения юзера свойство: ресурсы жрет как свинья помои под нагрузкой. Нет, я понимаю что у sshd есть одна весьма базовая проблемка: чтобы понять что за фрукт приконектился и не послать ли его - надо раскочегарить нехилую криптографию. Проблема только в том что это не тепличные условия а интернет, мля. Где вот распределенные ботнетики на много машин попадаются, например. И они хотят бесплатные шеллы, да. И как-то я не вижу удобного метода отстрела медленных брутфорсерных ботиков на фаере, при котором я бы сам при случае не сосанул бы. Единственное разумное решение которое я знаю - порткнок. Вот только знаете, sshd типа портабельный а порткнок в разных системах настраивается весьма по разному. Учтя нативное свойство демона жрать оптом ресурсы на приличную криптографию - ну наверное можно уже озаботиться прикрытием жопы демона его же собственными средствами, избавив админов от построения системы костылей и подпорок, а не спихивать проблемы демона на его юзеров. Вместо этого наворачивают какие-то свистелки в то время как столь базовая и анноящая проблема выполнения прямых обязанностей ака секурного шелла для ремотного управления - вот она. И, кстати, с большой пачкой костылей я как бы даже телнет могу поюзать, если что. Даже секурно.

>Затем, что это обращение более чем адекватно Вашему состоянию,

Ну, тогда я пожалуй даже порадуюсь тому что еще не стал старым пер^W бздуном и сохранил молодость духа. Это позитивно :-).

(цитата скипнута)
О, какой клевый оффтопик. Какое ЧСВ :). А потом бздуны еще и удивляются что их систему и их самих не любят. Да, показной "илитизм" - ничего хорошего. Хорошего специалиста видно по грамотному спичу, конкретным делам и прочая. А пальцы гнут только придурки. Скромнее надо быть (да, я знаю что мой совет следует применять и ко мне самому, если что).

>Молодой человек, ткните, пожалуйста пальцем, где написано, что в перечень задач SSH
>входит защита от DoS-атак?

А нет никаких специальных DoS атак. Кстати, если уж претендовать на гурость - это все-таки DDoS. Только вот это не есть какая-то специальная атака. Это совершенно крейсерский режим машины выставленный в интернет.

Где это написано? А нигде. Для лично меня - есть один забавный критерий "идеальной" программы: если программа взаимодействует с внешним миром, никакие воздействия из оного по штатным каналам не должны вызывать ощутимых проблем у качественно задизайненой, реализованной и протестированной программы. Если я вижу проблемы - значит есть какой-то flaw. Интернет - это мир. И никто и никогда не обещает что поступающие оттуда данные - удобные. Они какие угодно. Я могу взять и прислать мег рандома на произвольный порт, например. Знаете сколько нового можно узнать проделав такие фокусы? Это если что fuzzy testing называется. И надо сказать что заметная часть программ безжалостно сливает оный :).А могу и 100500 коннекций открыть. Поскольку протокол и программа позволяют - это не является какой-то недопустимой операцией. Хорошо написанная программа - выкрутится. Плохо написанная - обосрется и забрызгает все вокруг. Конечно, идеал недостжим, но стремиться то наверное надо? Особенно там где вопросы касаются секурити. Да, атака на ресурсы - это тоже атака.

>Кстати, почему Вы не дали конкретные названия типов атак? Вы не владеете терминологией?

Не, безусловно, можно буквоедствовать, а можно по сути. Если первое - в /dev/null, ибо это скучно. Если второе - камон, можете поругаться наздоровье. Только конструктвно и по делу. Троллоты тут и без вас хватает.

>Молодой человек, пойдите же и ознакомьтесь с архитектурой Апача, наконец! Зачем Вы

Я собссно знаком с основными моделями серверных процессов, правда, буду честен: читал маны весьма давно и если где-то в силу склероза нагнал - лучше поправьте а не растопыривайте пальцы. Какашками покидаться и какойнить изен сможет. А вот по делу сказать - всякая мелкая троллота от бсдей обычно ничего не осиливает. Кто в силу незнания, кто в силу деревянности. Хотите выглядеть как эти унылые тролли? Продолжайте в том же духе, у вас неплохо получается. Только чур потом не удивляться в духе "откуда у вас столько ненависти к *bsd*".

>несете такую чушь о pre-forked модели?

Да вроде если и прогнал то не сильно. Общий смысл этой модели я понимаю и мне он эффективным не кажется. Дурная модель. Хотя вы правы в том что мне надо бы освежить склероз и перечитать кой-какие маны заново (помню что основные модели серверов рассмотрены на паге с проблемой C10K).

>Молодой человек, Вы в курсе, на _что_, собственно уходят эти самые ресурсы?

Хотя и не проводил детального анализа (пусть авторы и проводят, они это лучше сделают), но если пальцем в небо - думаю что в основном на криптографию. Которая достаточно увесиста и гоняется на каждый пшик. И чтобы просто послать олуха - надо крипторграфию раскочегарить. На это наверное и жрется.

>Распишите. А заодно ознакомьтес с предметом поближе и узнайте, что sshd
>по мере сил их усложняет. Насколько это в его силах.

Знаете, лично я бы предпочел чтобы авторы не городили всякие недовпны и прочая (коих и без них есть) а сделали бы нормально выполнение прямых обязанностей. А то когда "секурный" демон жрет больше ресурсов чем все остальное вместе взятое просто потому что его секурную задницу видете ли выставили в интернет - это как-то странно и не очень хорошо дружит со здравым смыслом. Какая ж это секурность если атаки на ресурсы возможны? В автоматическом режиме, блин! Ну, видимо у авторов этой штуки другие goals-ы.

>Вывесите. Динамику на главной по SSL. А потом создайте нагрузку ботнетом. Результат
>сообщите.

Динамику почти всегда можно закешить до статики (хотя-бы на секунды, чего вполне хватит - перегенерять пагу раз в 5 секунд явно лучше чем 5000 раз в секунду, совсем разные ресурсы нужны а результат практически такой же). А SSL конечно проц нагрузит, но, знаете, HTTPS сервер ставится для массового обслуживания юзеров и выполняет свои прямые обязанности. И это тот случай когда он может с чистой совестью жрать отведенные для этого ресурсы. А вот sshd не ставится для массового обслуживания юзеров и ботов, прикинте?! И вообще используется раз в сто лет. Поэтому пожирн оным 30% проца - unrequested и unwanted activity.

>Вы вообще пробовали подумать на тему, для каких условий выбирается та или
>иная архитектура, дабы проводить адекватное сравнение?

См.выше. В глубине души я считаю что то что вывешивается в интернет не имеет права допускать что в сети активность будет "удобная" и не злонамеренная. Игнорировать проблемные сценарии - раздолбайство. И если "секурный" протокол и его демон сам нуждается в защите его жопы от хакеров и ботов - это, строго говоря, ЛОЛ. Интересные понятия о секурити у бздунов. Знаете, мне нахрен не впились бумажки на которых написано. Мне всего-то хочется безгеморной работы серверов.

>Молодой человек, идите прочитайте man setuid.

Это как-то поможет снизить нагрузку на CPU от левых ботов? Интересно, каким хреном? oO Не догоняю как suid связан с сильной нагрузкой на проц.

>Если бы Вы имели реальный опыт эксплуатации, Вы бы знали, что случаев
>"поставил и забыл" - на практике мало.

Может быть, я просто нагеморроился поначалу и будучи ленивым бастардом сделал все чтобы иметь минимум геморроя? Я был в этом не прав? А то черт возьми - да, как правило все просто работает. Что собссно кажется мнем большим плюсом *никсообразных систем. Как минимум некоторых :)

>И nginx тоже бывает необходимо настраивать (или ядро тюнить),

Обычно это единоразовая возня. А потом - просто работает. Да и строго говоря - чтобы настолько пришлось заморочиться - надо попасть под какую-то очень нетривиальную атаку или загреметь на слэшдот.

>не говоря уже о том, что здесь - совсем другой сервис, а интеллектуальную
>работу софт за админа не сделает.

Прикрытие задниц демонов от их косяков дизайна, не предусматривающих работу в реальном недружественном интернете а не идеальном добром мире - это не интеллектуальная работа всего лишь а разгребание граблей от одних людей другими людьми. Да, приходится и это делать: жизнь прижмет, еще и не так раскорячишься. Вот только подверженность граблям демонов не красит...

>Идите еще раз подумайте над тем, от каких атак защищает SSH.

Если кто-то берется чего-то защищать - пусть для начала себя защищать осиливает, чтоли. А то когда ПОБОЧНЫЙ демон не предназначенный для массового обслуживания вдруг начинает с помпой обслуживать брутерский ботнет хавая треть ресурсов машины на какой-то левак так что его самого в пору защищать - это очень интересное такое видение секурити. Так и запишем: бсдшникам похрен на атаки на нагрузку. Интересный подход, ага.

>>Слово производительность применительно к демону ремотного управления звучит как-то
>>похабно. Ну не имеет права такой демон жрать кучу ресурсов. По определению просто.
>Определение в студию.

Легко. Сервер ставится для обслуживания клиентов. Поэтому жрать ресурсы на оном в заметном количество имеют право только те кто для этого необходим. Sshd - побочная служебная сущность, а раз так - не имеет оно права жрать ресурсы оптом и баста. Особенно из-за просто факта вывешивания в интернет.

>А заодно вычислительные потребности криптографических алгоритмов с открытым ключом.

Ну так если тяжелые операции вызываются ремотно - значит надо предусматривать средства для кардинального усложнения масштабных автоматических дерганий таких операций.

>Вам недостаточно будет одного лишь VPN, а потребуются еще средства передачи самих файлов.
>Приведите сравнительный анализ Вашего решения (кстати, где оно? Вы не озвучили
>полный комплект) и scp/sftp.

Да хоть тот же wget+http демоны (если надо секурити то можно по секурному впн, хоть это и изврат уже слегка). Благо http и wget как правило один фиг есть. Тем более что на больших скоростях шифрование может прилично пригрузить проц или даже посадить скорость, а шифровать какойнить общедоступный файл - нафиг не надо, строго говоря. Хотя именно sftp все-таки временами бывает полезен. Но только временами и местами.

>зато разражаетесь многословными тирадами по поводу двух слов обращения к Вам.

Ну вы тоже не паинька. Поругаться горазды, при том не только по делу, к сожалению. Я совсем не против если мне вправят мозг на технических моментах. Но для обсуждения персон оппонентов в развернутом виде по-моему, этот форум не подходит.

>Лично я использую 3proxy только на одной машине, а scp/sftp -
>на семи десятках.

Поздравляю. И что это доказывает? Что файлтрансферы нужны чаще чем портфорварды и впны?  И если файлтрансферы в демоне секурного шелла я еще как-то могу понять то остальная масса свистелок - перебор, имхо. Иначе так можно и браузер по ровно той же логике запихать в этого демона. Так, чтоб под рукой был.

>Именно что молоток - для гвоздей. Под каждую задачу свой инструмент.

И как в эту логику вписывается пхание в демон для секурного ШЕЛЛА стопицот прочих сущностей? Молоток получается с открывашкой, перочинным ножиком, отверткой, ножницами и прочей хренью. Которая не так уж и нужна в молотке, строго говоря.

>как именно Вы настраиваете 3proxy, чем он удобнее ssh -L/-R/-D.

Тем что умеет ACLы, шейпинг траффа, лимит траффа и еще 100500 фич, полезных в именно таком виде демонов, например. Типа редиректа из одной своей части в другую, фэйковый ресольв днс и прочая. А потому можно скажем частично пропускать через свою машину некий трафф для "не совсем доверяемых" юзерей (вплоть до условно-публичного сервиса), заранее оговорив ToS (например, убив порт 25, или оставив только HTTP, etc). При нужде это сделать еще и секурно - ну, впн-линк это не шелл доступ, его давать не так ссыкотно. Один из используемых вариантов - "секурный прокси": впн-линк где ремотный конец наглухо удавлен фаером кроме доступа на один айпи и порт - к проксе, которая выступает "гейтвеем". Тоже вид динамической конективити запрашиваемой юзером (вплоть до слушания портов через сокс5), только относительно контролируемый и вроде как более-менее безопасный (в том плане что я не вижу очевидных методов обхода этой штуки размышляя как недружественный пользователь).


"Обзор развития проекта OpenBSD"
Отправлено nuclight , 15-Июн-10 13:41 
>>Теперь выпишите Ваше убеждение сообщением выше по треду и сравните его с
>>процитированным.

Окей, я выпишу за Вас:

1) "Вообще-то мое глубокое убеждение что хорошему демону костыли со стороны фаерволла просто не требуются. То есть, если на него ломится 100500 потоков - он должен или их обслужить без проблем или как-то затроттлить нагрузку на систему до вменяемой величины/послать на йух тех кто абузивно использует ресурс и т.п."
2) "По логике вещей - обработка пакета сильно легче чем форк процесса. Переключений контекста в юзермод нет, копировать ничего никуда не нужно. Поэтому пакеты молотятся миллионами, а вот форк процесса... "

И то, и другое - Ваши слова. Вы всё еще глубоко убеждены, что должно быть 100500 переключений контекста (не считая другой ненужной работы) для обслуживания совершенно паразитной нагрузки именно демоном?

>Что за бред? А, кажется я понимаю (telepathy mode active). Правильно ли

[...словесный понос скипнут...]

Ваш телепатический модуль сломался, выбросьте его.

>Я так понимаю что фэйлы дизайна демона предлагается вытягивать сугубо администраторам

Ваше утверждение о фэйле дизайна данного демона - глупость несусветная. Которой Вы даже прилично выглядящих обоснований подобрать не можете.

>возможности всяких там фаеров конкретных систем и прочая
>- вообше перпендикулярны к качеству реализации демона

Именно. Сравните это с утверждением (2) выше.

>>Идите, почитайте Стивенса на предмет разницы между блокируемым и неблокируемым вводом-выводом.
>
>Знаете, кто-то из великих ученых сказал: если вы не можете в двух
>словах рассказать даже кухарке чем вы занимаетесь - вы и сами
>не понимаете чем вы занимаетесь. А с вами говорит даже не
>кухарка а имеющий наглость считать себя системщиком субъект. Уж наверное подозреваюший
>чем отличаются эти виды I/O. Поэтому можно как бы и развить
>свою мыслю.

То есть "имеющий наглость считать себя системщиком субъект" не в состоянии сам продолжить логическую цепочку всего на одно звено? И не знает, что в Апаче выполняется неподконтрольный автору сервера код с блокирующимися операциями, вроде запроса к БД, а значит, а значит, непригодный для сервера с однопроцессной FSM? Что ж, значит этот субъект системщиком не является, а просто "имеет наглость".

>>А заодно посмотрите внимательнее на архитектуру Апача и сравните
>>её с архитектурой sshd, прежде чем делать столь скоропалительные заявления.
>
>У sshd и опача есть одно общее с точки зрения юзера свойство:
>ресурсы жрет как свинья помои под нагрузкой. Нет, я понимаю что

Молодой человек, вопрос был об архитектуре, а не о точке зрения юзера. И Вы речь вели тоже об архитектуре. Не передергивайте, за это в приличном обществе канделябром по пальцам бьют.

[...словесный понос скипнут...]
>И как-то я не вижу
>удобного метода отстрела медленных брутфорсерных ботиков на фаере, при котором я
>бы сам при случае не сосанул бы. [...] ну наверное можно
>уже озаботиться прикрытием жопы демона его же собственными средствами, избавив админов
>от построения системы костылей и подпорок, а не спихивать проблемы демона
>на его юзеров. Вместо этого наворачивают какие-то свистелки в то время
>как столь базовая и анноящая проблема выполнения прямых обязанностей

Молодой человек, если Вы, в силу возраста, еще не знакомы с теми методами, которые применяются на практике, а те обрывки, которые нахватались по верхам, считаете костылями - это Ваши проблемы, а не реального мира. Вам следует идти и учиться дальше, а не поливать грязью то, что Вы не понимаете.

>>Молодой человек, ткните, пожалуйста пальцем, где написано, что в перечень задач SSH
>>входит защита от DoS-атак?
>

[...словесный понос скипнут...]
>где вопросы касаются секурити. Да, атака на ресурсы - это тоже
>атака.

Вы ничего по делу не написали, хотя продемонстрировали, что терминологией не владеете. Повторяю вопрос. Ткните пальцем, где в перечень задач SSH входят "защита от атак на ресурсы" ?

>>Кстати, почему Вы не дали конкретные названия типов атак? Вы не владеете терминологией?
>
>Не, безусловно, можно буквоедствовать, а можно по сути. Если первое - в
>/dev/null, ибо это скучно. Если второе - камон, можете поругаться наздоровье.
>Только конструктвно и по делу. Троллоты тут и без вас хватает.

Я от Вас уже которое сообщение добиваюсь ответов на конкретно поставленные вопросы. Но, видимо, не дождусь, если Вы буквоедство путаете с четкими определениями.

>>Молодой человек, пойдите же и ознакомьтесь с архитектурой Апача, наконец! Зачем Вы
>
>Я собссно знаком с основными моделями серверных процессов, правда, буду честен: читал
>маны весьма давно и если где-то в силу склероза нагнал -
>лучше поправьте а не растопыривайте пальцы.

[...]
>>несете такую чушь о pre-forked модели?
>
>Да вроде если и прогнал то не сильно. Общий смысл этой модели
>я понимаю и мне он эффективным не кажется. Дурная модель.

Бремя доказательства лежит на утверждающем. Мы здесь не в школе, чтобы каждую чушь поправлять. Более того, учитывая то, что Вы несете, я сомневаюсь, что Вы вообще понимаете её смысл, а пока он не озвучен, даже и поправлять-то нечего.

>>Молодой человек, Вы в курсе, на _что_, собственно уходят эти самые ресурсы?
>
>Хотя и не проводил детального анализа (пусть авторы и проводят, они это
>лучше сделают), но если пальцем в небо - думаю что в
>основном на криптографию. [...] На это
>наверное и жрется.

Этот анализ - первое же, что Вы должны были сделать в обоснование своих утверждений. Вы что, в университете курс системного анализа (а также раздел гносеологии и научного метода курса философии) весь прогуляли?

>>Распишите. А заодно ознакомьтес с предметом поближе и узнайте, что sshd
>>по мере сил их усложняет. Насколько это в его силах.
>
>Знаете, лично я бы предпочел чтобы авторы не городили всякие недовпны и
>прочая (коих и без них есть) а сделали бы нормально выполнение
>прямых обязанностей.

Я от Вас выше уже не первое сообщение пытаюсь добиться списка прямых обязанностей и перечня атак, от которых защищает SSH.

>>Вы вообще пробовали подумать на тему, для каких условий выбирается та или
>>иная архитектура, дабы проводить адекватное сравнение?
>
>См.выше.
>[...словесный понос скипнут...]

Где выше? Списка всё еще нет.

>>Вывесите. Динамику на главной по SSL. А потом создайте нагрузку ботнетом. Результат
>>сообщите.
>Динамику почти всегда можно закешить до статики

[...словесный понос скипнут...]

Вы уже провели тест? Показывайте результат.

>>Молодой человек, идите прочитайте man setuid.
>
>Это как-то поможет снизить нагрузку на CPU от левых ботов? Интересно, каким
>хреном? oO Не догоняю как suid связан с сильной нагрузкой на
>проц.

И этот человек называет себя системщиком? Ладно, даю подсказку в виде упражнения для второго класса: составьте предложение из терминов - процесс, fork, setuid.

>>Если бы Вы имели реальный опыт эксплуатации, Вы бы знали, что случаев
>>"поставил и забыл" - на практике мало.
>
>Может быть, я просто нагеморроился поначалу и будучи ленивым бастардом сделал все
>чтобы иметь минимум геморроя? Я был в этом не прав? А

Просто Вы имели дело лишь с небольшими системами, где достаточно настроек "из коробки". И не имели дело с настоящими большими системами. А о том, кто такие системные интеграторы, думаю, даже и не подозреваете.

>>И nginx тоже бывает необходимо настраивать (или ядро тюнить),
>
>Обычно это единоразовая возня. А потом - просто работает. Да и строго
>говоря - чтобы настолько пришлось заморочиться - надо попасть под какую-то
>очень нетривиальную атаку или загреметь на слэшдот.

С понятием HighLoad вы явно незнакомы.

>>Идите еще раз подумайте над тем, от каких атак защищает SSH.
>
>Если кто-то берется чего-то защищать - пусть для начала себя защищать осиливает,
>чтоли. А то когда ПОБОЧНЫЙ демон не предназначенный для массового

Для админа SSH - лишь один из многих сервисов, каждый из которых выполняет свои задачи, и защищать их следует соответственно. Разницы тут нет. Ах да, Вы же до сих пор не соизволили включить мозг и перечислить задачи SSH...

>>>похабно. Ну не имеет права такой демон жрать кучу ресурсов. По определению просто.
>>Определение в студию.
>
>Легко. Сервер ставится для обслуживания клиентов. Поэтому жрать ресурсы на оном в
>заметном количество имеют право только те кто для этого необходим. Sshd
>- побочная служебная сущность,

Здесь две логические ошибки, дальше можно не читать. Кстати, это не определение - определение (сюрприз!) определяет, а не содержит цепочки выводов.

>Ну так если тяжелые операции вызываются ремотно - значит надо предусматривать средства
>для кардинального усложнения масштабных автоматических дерганий таких операций.

Файрвол с баном ботнета удовлетворяет определению "средства для кардинального усложнения масштабных автоматических дерганий таких операций".

>>Вам недостаточно будет одного лишь VPN, а потребуются еще средства передачи самих файлов.
>>Приведите сравнительный анализ Вашего решения (кстати, где оно? Вы не озвучили
>>полный комплект) и scp/sftp.
>
>Да хоть тот же wget+http демоны (если надо секурити то можно по

[...словесный понос скипнут...]

Так сравнительный анализ где?

>Поздравляю. И что это доказывает? Что файлтрансферы нужны чаще чем

[...словесный понос скипнут...]

>>Именно что молоток - для гвоздей. Под каждую задачу свой инструмент.
>
>И как в эту логику вписывается пхание в демон для секурного ШЕЛЛА

[...словесный понос скипнут...]

>>как именно Вы настраиваете 3proxy, чем он удобнее ssh -L/-R/-D.
>
>Тем что умеет ACLы, шейпинг траффа, лимит траффа и еще 100500 фич,
>полезных в именно таком виде демонов, например.

[...словесный понос скипнут...]

Вам следовало привести конкретную конфигурацию 3proxy для решения той же задачи, которую решает ssh, привести эту же конкретную конфигурацию ssh (ключи и пр.), а затем показать, чем для этой задачи 3proxy удобнее, нежели ssh. Засчитываем слив, или таки приведете?

>[оверквотинг удален]
>
>Ну, тогда я пожалуй даже порадуюсь тому что еще не стал старым
>пер^W бздуном и сохранил молодость духа. Это позитивно :-).
>
>(цитата скипнута)
>О, какой клевый оффтопик. Какое ЧСВ :). А потом бздуны еще и
>удивляются что их систему и их самих не любят. Да, показной
>"илитизм" - ничего хорошего. Хорошего специалиста видно по грамотному спичу, конкретным
>делам и прочая. А пальцы гнут только придурки. Скромнее надо быть
>А тупо сказать RTFM - удел ламерья да отморозков с ЧСВ до небес.

Давайте посчитаем. В предыдущем сообщении Вы:
* 9 раз выдали кучу рассуждений ("словесный понос") вместо прямого ответа
* 6 раз не ответили на вопрос о списке прямых задач SSH
* 2 раза противоречили своим же утверждениям ранее по треду
* 3 раза передергивали или допускали логические ошибки
* 2 раза не смогли сделать элементарные для системщика выводы
* 2 раза не привели конкретные практические результаты (анализ)

"Хорошего специалиста видно по грамотному спичу" ? Ну так Ваш "спич", с его "юзежами", "пердежами" и "свистелками" грамотностью не блещет.

"Хорошего специалиста видно по конкретным делам" ? Ну так Вы здесь никакими конкретными делами не отличились, более того, даже в базовых знаниях пробелы. Может быть, вы имеете право пальцы гнуть, чем-то отличившись? Я Вам уже давно задавал вопрос (хотите продолжение той дискуссии?) - что конкретно Вы сделали для опенсорса. Давайте ткнем в Ваш профиль на опеннете - что мы там увидим? А ровным счетом ни-че-го.

Предупреждая вопрос - нет, новости не являются чем-либо полезным для опенсорса. Абсолютно. Это лишь причина, по которой с Вами вообще разговаривают, и даже всё еще как с приличным человеком. В то время как Вы - оскорбляете собеседника, не говоря уже о другом вреде этому форуму.

Подытоживая, можно было бы сказать, что Вы обычный некомпетентный тролль, но, к сожалению, дело обстоит несколько хуже. Ваша склонность к многословным рассуждениям в ответ на простые вопросы, причем без ответа на них, в психиатрии называется "резонёрство". Причины же этого нарушения мышления... учитывая то, что Вы отказываетесь назвать свои конкретные дела и даже возраст, предполагаю наличие невроза. Если возраст не очень велик, это относительно легко лечится трудом и образованием, но точно сможет сказать только местный оффлайновый специалист. Советую не затягивать с обращением.


":)"
Отправлено Michael Shigorin , 09-Июн-10 02:55 
>Молодой человек

Вадим, Вы вроде были ещё не так седы и плешивы, как может показаться. :)

--
бумеранг в соседний огород


":)"
Отправлено PereresusNeVlezaetBuggy , 09-Июн-10 06:34 
>>Молодой человек
>
>Вадим, Вы вроде были ещё не так седы и плешивы, как может
>показаться. :)
>
>--
>бумеранг в соседний огород

Бумеранг имеет тенденцию возвращаться. Хм. Что скажет по этому поводу Кальтенбрунер?


":)"
Отправлено nuclight , 15-Июн-10 13:53 
>Бумеранг имеет тенденцию возвращаться. Хм. Что скажет по этому поводу Кальтенбрунер?

Что "Кальтенбруннер" пишется с двумя "н"? :)

Но лучше, конечно, было бы, если б Вы возражали по сути.


":)"
Отправлено PereresusNeVlezaetBuggy , 15-Июн-10 15:38 
>>Бумеранг имеет тенденцию возвращаться. Хм. Что скажет по этому поводу Кальтенбрунер?
>
>Что "Кальтенбруннер" пишется с двумя "н"? :)

По-моему, в каком-то пиратском издании известной книги Асса и Бегемотова, которая мне попала в руки в детстве, была одна «н». Хотя, конечно, это не оправдание моей непозволительной безграмотности. :)

>Но лучше, конечно, было бы, если б Вы возражали по сути.

Взаимно. ;) Не забывайте, что разные люди порой обращают внимание в первую очереди на разные вещи, и поэтому зачастую кажутся друг другу «на своей волне». Будьте терпимее, ведь все люди изначально стараются поступать хорошо…


":)"
Отправлено nuclight , 15-Июн-10 17:19 
>>Но лучше, конечно, было бы, если б Вы возражали по сути.
>
>Взаимно. ;) Не забывайте, что разные люди порой обращают внимание в первую
>очереди на разные вещи, и поэтому зачастую кажутся друг другу «на
>своей волне». Будьте терпимее, ведь все люди изначально стараются поступать хорошо…

Гнилых проповедей, пожалуйста, тоже не надо.


":)"
Отправлено nuclight , 15-Июн-10 13:50 
Сравнительно с ним - вполне :)

"Обзор развития проекта OpenBSD"
Отправлено Добрый Дохтур , 08-Июн-10 16:48 

>Да бросьте вы, какойнить нжинкс спокойно отгружает статику тысячам и тысячам бакланов
>без всякой защиты фаером. Можно просто вывесить в инет и не
>париться. И хрен его кто положит с разумными затратами сил при
>нормальных настройках (кеш динамики в статику хоть на несколько секунд например).

повторяйте каждый раз это перед обедом как мантру.

примерные схемы атаки(весь трафик генерируется через raw-сокеты):

1.1 устанавливаем соединение(syn, syn+ack, ack)
1.2 выставляем размер окна в 1 октет.
1.3 шлем GET /

повторяем так много раз. запрашивать лучше файлик побольше(желательно mp3/flv/avi)

2.1 устанавливаем соединение(syn, syn+ack, ack)
2.2 выставляем размер окна в 0

повторяем много раз.

>метод атаки на ресурсы: на апач шлется куча соединений и медленно
>и печально качается. Воркер-процессы или засирают собой все вокруг и начинается
>коллапс,
>Почему-то все в условиях таких атак ставят нжинксу и забывают о проблеме.
>Давить ботов? Их много - задолбаетесь в файр рулесы вносить, а
>автоматически отсеять ботов от юзеров без геморроя возможно не всегда.

вполне можно. боты, повторяющие человека достаточно редкие.



"Обзор развития проекта OpenBSD"
Отправлено User294 , 08-Июн-10 19:33 
>повторяйте каждый раз это перед обедом как мантру.
>примерные схемы атаки(весь трафик генерируется через raw-сокеты):
>1.1 устанавливаем соединение(syn, syn+ack, ack)
>1.2 выставляем размер окна в 1 октет.
>1.3 шлем GET /
>повторяем так много раз. запрашивать лучше файлик побольше(желательно mp3/flv/avi)
>2.1 устанавливаем соединение(syn, syn+ack, ack)
>2.2 выставляем размер окна в 0
>повторяем много раз.

И что будет? Пачка полудохлых соединений? Кстати а не на эту ли ситуацию линуксный кернель бухтит в dmesg про "peer IP:port has unexpectedly shrunk window. Repaired"? ("Treason uncloaked" в более старых ядрах, IIRC).

А, собственно, что будет проблемой? Нжинкса без особых проблем тыщщи соединений держит вроде. Я нае...сь на какие-то лимиты TCP/IP стека? Или чего? Как минимум в теории - атацкер ограничен 65К соединений с хоста (по числу его портов). При том на 1 конекцию жрется явно меньше ресурсов чем на 1 форк апача например. При случае повторю вашу "мантру", но хорошо бы понимать - какую именно часть механики атакуем, какая цель и ожидаемый результат.

>вполне можно. боты, повторяющие человека достаточно редкие.

Я бы так не сказал - быстрые боты пропали, в основном теперь припирается стадо медленных, в пересчете на айпи - скорость небольшая и особо не поудавливаешь (иначе сам под раздачу попадешь при случае). Пришлось настроить порткнок от засранцев. Неудобно слегка но лучше чем периодический жрач трети проца на левую активность.


"Обзор развития проекта OpenBSD"
Отправлено не наш , 04-Июн-10 15:26 
>Да, он самый, при том все больше обрастает свистелками и перделками и все более тяжелеет, а при атаках - если специально не прикрывать жопу "секурного" шелла фаером или нестандартными выходками - секурный плодит процессы и кушает проц, что как-то неприятненько. Ну и скажите, а накой в ШЕЛЛ пхать по дефолту всякие портфорварды, впны, сфтп и прочая? И почему он более-менее секурен к атакам типа интенсивных многопоточных брутфорсов только с прикрытием его жопы фаером и прочими fail2ban-ами, а без них форкает процессы и жрет проц так что мама не горюй? Как по мне - если они секурными хотят называться, пусть лучше автоотстрел брутфорсеров сделают + контроль нагрузки от себя на систему вместо всех этих перделок и свистелок, для которых и так один фиг есть 100500 куда более фичастых и удобных утилит.

Судя по вашему традиционному сленгу, вы один из тех, кто не умеет пользоваться профессиональными инструментами. Все за что вы ни возметесь, у вас "свестит", "пердит", "форкает процессы", и открывают вашу ... эту самую..., ваш backdoor, короче.

Хотя скорее всего, у вас просто система плохо настроена в целом, и вообще полный бардак. Вот вы и тонете все время под грудой логов, с которыми не знаете, что делать.

А вот ваши любимые "фичастные и удобные" вам ошибок не показывают, и молчат как партизаны, пока их имеют во все дыры. Вот вам и кажется, что у вас все спокойно и ничего не происходит.


"Обзор развития проекта OpenBSD"
Отправлено User294 , 04-Июн-10 16:39 
>логов, с которыми не знаете, что делать.

А где в моем посте вообще что-то про логи? Мне не нравится адский жрач проца при активных атаках, в итоге приходится адски извращаться с защитой задницы "секурного" демона. Инихренасебе у некоторых понятия о секурити. Атаки на выжирон ресурсов - тоже к секурити относятся. И если кто их плоховато держит - это как бы ему не в плюс.

>А вот ваши любимые "фичастные и удобные" вам ошибок не показывают,

Это вы о ком?Если что мне в ссхд не нравится как раз наличие в нем по дефолту стопицот левых побочных фич, которые ... очень мешаются когда надо скажем предоставить шелл-аккаунт какому-то не особо доверяемому фрукту. Еще не хватало чтобы фрукт порты форвардил, впны кидал и прочая, ага.


"Обзор развития проекта OpenBSD"
Отправлено аноним , 04-Июн-10 18:11 
>Это вы о ком?Если что мне в ссхд не нравится как раз
>наличие в нем по дефолту стопицот левых побочных фич, которые ...

Которые _очень_ облегчают жизнь _админу_ !

>очень мешаются когда надо скажем предоставить шелл-аккаунт какому-то не особо доверяемому фрукту.

А вот танцуешь ты хорошо - и ничего не мешает :)
Если у тебя задача давать шелл аккаунты фруктам и овощам при чём тут ssh? Ты вообще в курсе всей механики - что такое login shell к примеру знаешь? И от чего sshd - _S_shd ? От каких таких угроз он _S_?

Хотя - винтузятнегам откуда про такие "тонкости" знать ... вот и юзают микроскоп для забивания гвоздей, и возмущаются что гвозди гнутся ... А глотка у господ типа юзера - лужённая, и время есть - мама с папой кормят ...


>Еще не хватало чтобы фрукт порты форвардил, впны кидал и прочая, ага.

АААААА! Ну чего же ты _ТАК_ тупишь то?! Я вот все тоже самое (и даже на HP-UX'е!) вообще без sshd делаю ... всё что нужно - сессия, и пофиг через что.  


Причём ведь и в самом деле - да, надо уже вводить анти-брутфорс\троттлинг в сам демон. Но ведь вот что характерно - народ обсуждает как да что ---> сделают.



"Обзор развития проекта OpenBSD"
Отправлено User294 , 07-Июн-10 20:43 
>Которые _очень_ облегчают жизнь _админу_ !

В мире есть 100500 разных задач. Это не значит что один единственный демон должен отвечать за их решение.

>самое (и даже на HP-UX'е!) вообще без sshd делаю ... всё
>что нужно - сессия, и пофиг через что.

Да тут вы правы на самом деле - в принципе, шелл сессии достаточно для прокидывания каких угодно данных, я и правда тупанул. Именно овощи это конечно не осилят но все-таки я признаю что ступил и помыслил в контексте безопасности "по страусиному", т.е. что овощ не допрет это поюзать - вот это действительно позорно, да.

>ведь вот что характерно - народ обсуждает как да что ---> сделают.

Вот это было бы хорошо, скажем какая-то knock-последовательность по портам прямо на уровне демона до начала любых потенциально ресурсоемких операций - рулила бы неимоверно. Просто долбеж по портам на который ресурсов не уходит почти - одно, а 30% CPU на хзчто с дефолтными настройками и без костылей - другое.


"Обзор развития проекта OpenBSD"
Отправлено Michael Shigorin , 04-Июн-10 17:22 
>Вы про демон sshd слышали? так вот этот самый secure shell server
>был разработан группой OpenBSD.

Надо же, а я-то думал -- одним простым финским парнем.

Вы только всё-таки почитайте историю возникновения openssh, циферки 1.2.27 и буковки iki.fi в помощь.

(вот уж не думал, что доживу до чайников-пропагандистов openbsd)


"Обзор развития проекта OpenBSD"
Отправлено PereresusNeVlezaetBuggy , 04-Июн-10 17:50 
>>Вы про демон sshd слышали? так вот этот самый secure shell server
>>был разработан группой OpenBSD.
>
>Надо же, а я-то думал -- одним простым финским парнем.
>
>Вы только всё-таки почитайте историю возникновения openssh, циферки 1.2.27 и буковки iki.fi
>в помощь.
>
>(вот уж не думал, что доживу до чайников-пропагандистов openbsd)

Да это везде бывает, что давно кругом на слуху, то и воспринимается как «единственное». Некоторые кагбэ юниксоиды вообще удивляются: «А что, бывает другой SSH кроме OpenSSH?!». :) Рассказываешь им историю возникновения, удивляются ещё больше. :)


"Обзор развития проекта OpenBSD"
Отправлено Carrier cant be lost , 04-Июн-10 11:16 
баалин! И не думал что Тео за MPLS че то понимает, надо поднять -- посмотреть

"Обзор развития проекта OpenBSD"
Отправлено gara , 04-Июн-10 11:27 
позволю себе пару критических замечаний.
syslogd - кривой, не удалось выключить прослушивание порта 514/UDP (4.6)
newsyslog - кривой не умеет работать с масками  /var/log/nginx/*.log не отработает, надо на каждый файл писать отдельное правило.
нет (по крайне мере не я нашел) системы rc.d или init.d скриптов :(

Зато есть такая редкая вещ как CARP IP BALANCING, которой нет нигде (больше нигде не нашел)

В общем OpenBSD хорошая система для конкретной задачи, на парке из 10-20-50-100 машин яб ее не использовал, неудобно.


"Обзор развития проекта OpenBSD"
Отправлено аноним , 04-Июн-10 11:54 
> CARP IP BALANCING, которой нет нигде

Во FreeBSD есть.


"Обзор развития проекта OpenBSD"
Отправлено gara , 04-Июн-10 12:03 
>> CARP IP BALANCING, которой нет нигде
>
>Во FreeBSD есть.

Ну давайте теперь поспорим на эту тему :)

Он там есть но работает только на базе ARP адреса клиента. То есть только внутри ethetnet сегмента. А мне надо балансировать на базе IP адреса клиента а такое может только OpenBSD CARP ip balansing, и там  3 варианта его:)

:)


"Обзор развития проекта OpenBSD"
Отправлено не наш , 04-Июн-10 13:49 
>нет (по крайне мере не я нашел) системы rc.d или init.d скриптов :(

И не найдете. Зато там есть все, чтобы написать самому такую систему инит-скриптов, какую захочется. А не ждать, когда кто-то это сделает за вас.

Открою вам один секрет. В мире существует достаточно пользователей *nix-ов, которые самостоятельно переписывают скрипты для себя. Это не сложнее, чем любой другой программный проект, чуть боле сложный, чем тривиальный.

Трудно не скрипты написать, а написать такие скрипты, которые угодили бы всем сразу. Другой вопрос, что для этого нужно уметь программировать, а не только значения переменных в конфигах менять.

Просто разработчики OpenBSD не пытаются угодить скриптами всем. И без скриптов задач хватает - система сборки и качество кода системы. Многие дистрибьютеры эти задачи решают гораздо хуже, и прикрывают внутренний бардак красивыми менеджерами пакетов и инит-скриптами.

>В общем OpenBSD хорошая система для конкретной задачи, на парке из 10-20-50-100 машин яб ее не использовал, неудобно.

Интересно ваше понимание "конкретных задач". То ли использование "на парке машин" вы конкретной задачей не считаете, то ли не знаете как "конкретно озадачить" свой "парк машин".

OpenBSD - это полуфабрикат, который надо уметь готовить. Для тех, кто умеет программировать. Хоть для "парка машин". Делаете свои доработки - и вперед. Там все для этого есть.

А если не умете готовить, тогда либо учитесь, либо пользуйте то, что приготовили другие. Существуют ведь дистры "для парка машин" - кнопочку нажал, и оно типа развернулось. И скрипты там сложнючие и на любой вкус.


"Обзор развития проекта OpenBSD"
Отправлено gara , 04-Июн-10 14:31 
>>нет (по крайне мере не я нашел) системы rc.d или init.d скриптов :(
>И не найдете. Зато там есть все, чтобы написать самому такую систему
>инит-скриптов, какую захочется. А не ждать, когда кто-то это сделает за
>вас.

Не надо нервничать, мир вам :)

конечно я написал себе nginx.sh start|stop|reload

Но просто во многих системах оно есть - и это удобно.


>
>>В общем OpenBSD хорошая система для конкретной задачи, на парке из 10-20-50-100 машин яб ее не использовал, неудобно.
>
>Интересно ваше понимание "конкретных задач".

Роутер+firewall.
Failover nginx сервер - вот такой я себе сделал.

>OpenBSD - это полуфабрикат, который надо уметь готовить.

Совершенно верно вы заметили - это высококачественный полуфабрикат. Но я бы сказал полуфабрикат в плане всякого сервисного ПО, ядро там на высшем уровне.

> Хоть для "парка машин". Делаете свои доработки - и вперед.
>Там все для этого есть.

Ну да, кто-то и Slackware юзает.


>А если не умете готовить, тогда либо учитесь, либо пользуйте то....

Не надо нервничать:) Все будет хорошо:) все будут живы. Скоро построят дата центры  и начнут разрабатывать Российский линукс и будет всем счастье :)


"Обзор развития проекта OpenBSD"
Отправлено не наш , 04-Июн-10 14:51 
>Не надо нервничать, мир вам :)

У кого что болит, тот о том и говорит :)

>конечно я написал себе nginx.sh start|stop|reload
>
>Но просто во многих системах оно есть - и это удобно.

Т.е. вы все-таки можете скрипты писать, но вам это не удобно.
И вы нервничаете, что кому-то писать скрипты удобнее, а вам нет.

>Роутер+firewall.
>Failover nginx сервер - вот такой я себе сделал.

Ну и?

>Совершенно верно вы заметили - это высококачественный полуфабрикат. Но я бы сказал
>полуфабрикат в плане всякого сервисного ПО, ядро там на высшем уровне.
>
>Ну да, кто-то и Slackware юзает.

Видимо основную идею вы уже начали понимать.


"Обзор развития проекта OpenBSD"
Отправлено аноним , 04-Июн-10 14:35 
> А не ждать, когда кто-то это сделает за вас.
> Трудно не скрипты написать, а написать такие скрипты, которые угодили бы всем сразу.

Это все ваши детские выдумки. Никто не ждет, потому что все написано. И уж что-то, а startup скрипты не такая уж многогранная штука, чтобы всем сразу нельзя было угодить. Наличие стартап скриптов в XXI веке как-бы само собой разумеется, и отсутствие из - минус, и не надо выдавать его за плюс - красноглазием попахивает. Уж что-то, а OpenBSD - не система для задротов, пишущих полсистемы с нуля.


"Обзор развития проекта OpenBSD"
Отправлено Аноним , 04-Июн-10 14:57 
>> А не ждать, когда кто-то это сделает за вас.
>> Трудно не скрипты написать, а написать такие скрипты, которые угодили бы всем сразу.
>
>Это все ваши детские выдумки. Никто не ждет, потому что все написано.
>И уж что-то, а startup скрипты не такая уж многогранная штука,
>чтобы всем сразу нельзя было угодить. Наличие стартап скриптов в XXI
>веке как-бы само собой разумеется

да уж а в 22 веке им не место, нафига плодить 100 скриптов для запуска или остановки, когда функциональность данных скриптов на 99% сводится к exec|kill -HUP|kill и куча конструкций case и esac.

Проще если нужен рестарт просто послать kill -HUP - я так думаю. А остальное это для ленивых :)


"Обзор развития проекта OpenBSD"
Отправлено не наш , 04-Июн-10 15:07 
>Это все ваши детские выдумки. Никто не ждет, потому что все написано.

Я и говорю. Кто-то пользует то, что есть, а кто-то делает для себя.

>И уж что-то, а startup скрипты не такая уж многогранная штука, чтобы всем сразу нельзя было угодить.

Если вы считаете, что угодить всем - это "не такая уж многоранная штука", тогда пользуйтесь дистрами, которые пытаются угодить всем. Они ведь должны угодить и вам. Зачем вам тогда OpenBSD? Если она не может вам угодить наличием нужных вам скриптов.

А если вы считаете, что стартап-скрипты "не такая уж многоранная штука", тогда что мешает написать свои. Ах, ну да. Писать свои скрипты вы ведь считаете "красноглазием" (см. ниже).

>Наличие стартап скриптов в XXI веке как-бы само собой разумеется, и отсутствие из - минус, и не надо выдавать его за плюс - красноглазием попахивает.

Ну да, с вашей точки зрения, в XXI веке уметь программировать автоматику, которая могла бы работать вместо вас - это по-вашему "красноглазие". А вот быть исполняющим придатком того, что написали другие - это для вас самое то.

А значит, те кто умеют писать, то что вы потом пользуете, в том числе скрипты и дистры "XXI века" - это для вас никто иные, как "красноглазики".

Ну продолжайте в том же духе. Никто не возражает. Другим больше достанется.

>Уж что-то, а OpenBSD - не система для задротов, пишущих полсистемы с нуля.

Т.е. написать свои инит-скрипты - это для вас то же, что написать пол-системы. Значит по-вашему все остальное, кроме скриптов - это всего лишь другая половина.



"Обзор развития проекта OpenBSD"
Отправлено Аноним , 04-Июн-10 11:42 
gara, просто не умеете готовить, syslogd по умолчанию на 514 порту не слушает
init.d - убожество и бесполезность

В опене надо читать маны вдумчиво :)


"Обзор развития проекта OpenBSD"
Отправлено gara , 04-Июн-10 11:51 
>gara, просто не умеете готовить, syslogd по умолчанию на 514 порту не
>слушает
>В опене надо читать маны вдумчиво :)

Читал вдумчиво, в версии 4.6 amd64, слушает 514, зуб даю !!!! и не выключается !!!!

-u по идее его должен начинать слушать 514 а без него не должен... только "хренушки" слушает всегда.

Поверьте я долго проверял и так и эток :)

Под FreeBSD прослушивание 514/UDP отключается флагом -ss. (так для информации)


>init.d - убожество и бесполезность

Ну оно конечно "убожество и бесполезность ", но хочется иметь скрипты stop|start|restart...


"Обзор развития проекта OpenBSD"
Отправлено Аноним , 04-Июн-10 12:43 
он там не слушает, он отправляет логи используя данный сокет

"Обзор развития проекта OpenBSD"
Отправлено Аноним , 04-Июн-10 12:44 
>он там не слушает, он отправляет логи используя данный сокет

вот тут написано http://marc.info/?l=openbsd-misc&m=110817759325986&w=2


"Обзор развития проекта OpenBSD"
Отправлено gara , 04-Июн-10 12:52 
>>он там не слушает, он отправляет логи используя данный сокет
>
>вот тут написано http://marc.info/?l=openbsd-misc&m=110817759325986&w=2

да да, открывает порт для передачи логов на другой хост если в syslog.conf в качестве пути и имени лог файла указан хост

например
вместо
  kern.debug;syslog,user.info                             /var/log/messages
пишут
  kern.debug;syslog,user.info                             @hostname

в данном случае такой строки нет. тоесть в syslog.conf нет строки содержащей @some_host_name

И даже если она была открыта я думаю слушающий порт syslogd не открыл бы...

$netstat -nat
...
Active Internet connections (including servers)
Proto Recv-Q Send-Q  Local Address          Foreign Address        (state)
udp        0      0  *.514                  *.*                  
...


"Обзор развития проекта OpenBSD"
Отправлено Аноним , 04-Июн-10 13:02 
>>>он там не слушает, он отправляет логи используя данный сокет
>>
>>вот тут написано http://marc.info/?l=openbsd-misc&m=110817759325986&w=2
>
>да да, открывает порт для передачи логов на другой хост если в
>syslog.conf в качестве пути и имени лог файла указан хост
>

это такая баго-фича, а вдруг понадобится отправлять, а тут уже сокет есть :)

по моему глупо создавать и удалять сокет при каждой отправке сообщения, поэтому оно так и есть, имхо.


"Обзор развития проекта OpenBSD"
Отправлено gara , 04-Июн-10 13:10 
>это такая баго-фича, а вдруг понадобится отправлять, а тут уже сокет есть

Это бага с чего я и начал !!!
кстати в 4.7 тожесамое

>по моему глупо создавать и удалять сокет при каждой отправке сообщения, поэтому
>оно так и есть, имхо.

блин не надо открывать порты если они не нужны - это раз.  на то и есть конфиг чтоб указать что открывать а чего нет.

И что самое страшное если и открывать syslog то открывать на не на всех сетевых интерфейсах !!!
В общем syslogd в openbsd слаб, точнее левый какой-то:)


"Обзор развития проекта OpenBSD"
Отправлено Аноним , 04-Июн-10 13:16 
>>это такая баго-фича, а вдруг понадобится отправлять, а тут уже сокет есть
>
>Это бага с чего я и начал !!!
>кстати в 4.7 тожесамое

не вы первый, кто это нашел :)
http://marc.info/?l=openbsd-misc&m=110817759325986&w=2

если бага попробуйте исправить, или составить pr, хотя ответ будет такой же.
в каждой системе свой сислог. Хотите лучше, напишите лучше.

Все тема закрыта.


"Обзор развития проекта OpenBSD"
Отправлено gara , 04-Июн-10 13:31 
>если бага попробуйте исправить, или составить pr, хотя ответ будет такой же.
>в каждой системе свой сислог. Хотите лучше, напишите лучше.
>Все тема закрыта.

:)))) не обижайтесь.

я поставил syslog-ng ;)


"Обзор развития проекта OpenBSD"
Отправлено Michael Shigorin , 05-Июн-10 11:27 
>init.d - убожество и бесполезность

...а каждый хост надо пилить до изнеможения вручную, потому как bsd-style надёжно автоматически править невозможно.

Пилите, Шура -- правда, они не золотые.


"Обзор развития проекта OpenBSD"
Отправлено PereresusNeVlezaetBuggy , 05-Июн-10 15:17 
>>init.d - убожество и бесполезность
>
>...а каждый хост надо пилить до изнеможения вручную, потому как bsd-style надёжно
>автоматически править невозможно.

Если хосты однотипные, я просто копирую /etc, исправляя лишь имя хоста и убирая SSH-ключ машины (чтобы sshd сам его перегенерил). Если хосты разнотипные, то всё равно подход нужен. Впрочем, /etc/rc.local, если он пишется грамотно, можно тупо раскидывать везде одинаковый, отличия будут только в /etc/rc.conf.local. Да, runlevel'ов в OpenBSD тоже нет (и, честно говоря, ни разу от этого не страдал, а вот в Linux порой об это спотыкался), так что ещё часть функционала init.d попросту невостребована.

Что же до stop/restart — вот сколько раз поднимал production-сервера на системах с init.d, столько приходилось всё равно лезть в те или иные init.d-скрипты и смотреть, чего они делают, как передавать им доп. параметры и т.д. — то есть вместо запоминания специфичных для программы ключей и переменных окружения приходится изучать специфичные для данных скриптов. Шило на мыло менять — нафиг, нафиг. Да, изначальная идея красивая, но конкретная реализация, увы, в основном заменяет одни костыли другими. Хотя, может, это я не умею их готовить, конечно.


"Обзор развития проекта OpenBSD"
Отправлено slepnoga , 05-Июн-10 23:11 
>>init.d - убожество и бесполезность

Согласен
Только вот т.н бсд стиль - убожество еще больше.
Ни то , ни другое не могуть таки отледить зависимости толком - бсд даже и не пытается
Причем, как ни странно, Рой Марпл - бсдешник - а сделалает вполне вменяемую систему.

Как я понимаю, Михаил,Альту да и половине систем на rc.d тоже слабо сделать так:

gw ~ # rc-update add mysql default
* mysql added to runlevel default
gw ~ # /etc/init.d/postfix restart
* Stopping postfix (/etc/postfix) ...                                                                                                 [ ok ]
* Starting mysql ...
* MySQL datadir is empty or invalid
* Please check your my.cnf : /etc/mysql/my.cnf                                                                                        [ !! ]
gw ~ # rc-update del mysql default
* 'mysql' removed from the following runlevels: default
gw ~ # /etc/init.d/postfix restart
* Starting postfix (/etc/postfix) ...                                                                                                 [ ok ]
gw ~ #

P.S openrc и гентоо не одно и тоже :)


"(offtopic) инитскрипты: BSD-style, SysV, или с зависимостями"
Отправлено Michael Shigorin , 06-Июн-10 16:18 
>Как я понимаю, Михаил,Альту да и половине систем на rc.d тоже слабо
>сделать так:

Вы про межсервисные зависимости?  В альте тут так:
- по факту -- старый умеренно добрый SysVinit, бишь "слабо" по умолчанию
- обдумывали -- http://samba.org/~ab/initscripts-replacement-proposal.txt
- смотрели -- upstart, застопорилось

Кстати, в PLD тоже не спешат:
http://www.mail-archive.com/pld-devel-en@lists.pld-linu...

PS: я-то поддерживаю, применяю и рекомендую для управления сервисами monit, которому не слабо много того, что скорее всего слабо всем этим вашим новомодным великам. :)

PPS 2 PNVB: линуксовые дистрибутивы отличаются в том числе и по количеству высунутых хуков/ручек, и в инитскриптах тоже :)  Не стоит смотреть на один редхат.


"Обзор развития проекта OpenBSD"
Отправлено nuclight , 07-Июн-10 17:48 
>>>init.d - убожество и бесполезность
>
>Согласен
>Только вот т.н бсд стиль - убожество еще больше.
>Ни то , ни другое не могуть таки отледить зависимости толком -
>бсд даже и не пытается

Что, правда? А вот это мне тогда приснилось что ли?

$ head /etc/rc.d/ntpd
#!/bin/sh
#
# $FreeBSD: src/etc/rc.d/ntpd,v 1.13.2.2.2.1 2009/04/15 03:14:26 kensmith Exp $
#

# PROVIDE: ntpd
# REQUIRE: DAEMON ntpdate cleanvar devfs
# BEFORE:  LOGIN
# KEYWORD: nojail shutdown

И обрабатывает это и выстраивает порядок rcorder(8) автоматически, во FreeBSD и NetBSD.


"Обзор развития проекта OpenBSD"
Отправлено тигар , 07-Июн-10 18:43 
>Что, правда? А вот это мне тогда приснилось что ли?

нет, не приснилось, просто специалист на ответ которого ты отвечал ниразу не открывал rc.d скрипт даже ради "посмотреть что внутри":-) у меня от таких осталось доооофига старт-стоповых скриптов на машинах:)


"Обзор развития проекта OpenBSD"
Отправлено slepnoga , 08-Июн-10 01:11 
И обрабатывает это и выстраивает порядок rcorder(8) автоматически, во FreeBSD и NetBSD.

И что, уже и сервисы по депендам перезагружает, и контроль есть ?
т.е если . как пример, на старует по каким то причинам постгрей, то потфикс тоже не старует ? :)


"Обзор развития проекта OpenBSD"
Отправлено nuclight , 08-Июн-10 12:53 
Хе, а это вообще хоть в одной системе RC на базе /bin/sh есть? В том же SysV еще хуже ведь.

"Обзор развития проекта OpenBSD"
Отправлено V , 04-Июн-10 11:43 
hmmm.. а как же iscsi?

"Обзор развития проекта OpenBSD"
Отправлено PereresusNeVlezaetBuggy , 04-Июн-10 14:51 
>hmmm.. а как же iscsi?

Claudio Jeker работает над этим. В начале мая, если верить логам CVS web-сайта, ему выдали целую стойку для этих целей. Может, к 4.8 что-то успеет. Если есть желание и возможность помочь, свяжитесь с ним: claudio@openbsd.org .


"Обзор развития проекта OpenBSD"
Отправлено xxx , 04-Июн-10 14:13 
http://quigon.bsws.de/papers/2010/bsdcan/index.html

Вот так надо переполнение буфера объяснять! Надо будет посоветовать знакомым преподам.


"Обзор развития проекта OpenBSD"
Отправлено Аноним , 04-Июн-10 16:25 
По поводу юзанья как десктоп системы: стояла на ноуте где-то года 2. флехи и прочую юсб херню надо монтировать по-старинке: sudo mount, можно и через hotplug (правда, придется писать скрипты для монтирования), но в любом случае отмонтировать придется все равно вручную. Если два и больше камня на производительности это мало скажется, с SMP в OBSD туго. По поводу юзеровильных приложений, хотите новый фаерфокс - ставьте current, хотите обновления - ставьте current. То есть, чтобы заиметь новый фаерфокс надо обновить ВСЮ(!) систему до current, потому что у них, блин, порты привязаны к самой системе (это в противоположность pkgsrc, где такого нет и не было). Тут еще говорили про стартовые скрипты, скажу одно - rc.d в NetBSD и FreeBSD намного лучше и удобней, хоть и кажется сложнее. Что проще: /etc/rc.d/sendmail start или /usr/sbin/sendmail -C/etc/mail/sendmail.conf -bd -q30m ???

"Обзор развития проекта OpenBSD"
Отправлено PereresusNeVlezaetBuggy , 04-Июн-10 17:03 
>По поводу юзанья как десктоп системы: стояла на ноуте где-то года 2.
>флехи и прочую юсб херню надо монтировать по-старинке: sudo mount, можно
>и через hotplug (правда, придется писать скрипты для монтирования), но в
>любом случае отмонтировать придется все равно вручную.

Уже эн лет как unmount автоматически срабатывает. Видимо, вы совсем давно это пробовали. :) Хотя да, в винде и Linux это появилось раньше (насчёт FreeBSD и NetBSD не скажу, по-моему, примерно одновременно).

> Если два и больше
>камня на производительности это мало скажется, с SMP в OBSD туго.

В threading-приложениях мало, т.к. kernel threads пока не включены по дефолту. А так — юзерленд хорошо параллелится. Ядро — да, работает на одном CPU, но веских причин это менять пока нет, а вот проблем можно огрести по полной. Впрочем, patches are always welcome.

>По поводу юзеровильных приложений, хотите новый фаерфокс - ставьте current, хотите
>обновления - ставьте current.

Security-фиксы выходят для -STABLE. Зато это действительно -STABLE, предсказуемый. Впрочем, кому что удобнее, конечно.

Кстати, -CURRENT в Опёнке — это благодаря жёсткости цикла разработки очень даже жизнеспоспособная ветка; у меня шлюзы и десктопы в production на нём сейчас бегают (i386 и amd64), по необходимости обновляю и всё. -CURRENT для десктопа вообще больше подходит (иначе бы столько людей не сидело на Ubuntu и Fedora Core ;) ). А на application-серверах, там да, лучше -STABLE. Ну так и Firefox там тоже не живёт обычно. :)

> То есть, чтобы заиметь новый фаерфокс надо
>обновить ВСЮ(!) систему до current, потому что у них, блин, порты
>привязаны к самой системе (это в противоположность pkgsrc, где такого нет
>и не было).

Угу, это тяжело тянуть, согласен.

> Тут еще говорили про стартовые скрипты, скажу одно
>- rc.d в NetBSD и FreeBSD намного лучше и удобней, хоть
>и кажется сложнее. Что проще: /etc/rc.d/sendmail start или /usr/sbin/sendmail -C/etc/mail/sendmail.conf -bd
>-q30m ???

Ну, если вам так часто приходится перезапускать sendmail, то:

. rc.conf && /usr/sbin/sendmail $sendmail_flags

К слову, собственные демоны в Опёнке обычно не требуют никаких ключей для запуска. Просто:

# sshd
# smtpd
# ripd

и так далее. Sendmail — тот ещё монстр, может, где-нибудь в районе 5.0 его и выпилят, заменив OpenSMTPD…

А вообще правильно тут уже говорили: не нравится — не пользуйтесь. Берите ту систему, которая вам подходит больше всего (с init-cкриптами и т.д.) и пользуйтесь на здорвовье.


"Обзор развития проекта OpenBSD"
Отправлено Аноним , 04-Июн-10 17:59 
> В threading-приложениях мало, т.к. kernel threads пока не включены по дефолту. А так —
> юзерленд хорошо параллелится. Ядро — да, работает на одном CPU, но веских причин это
> менять пока нет, а вот проблем можно огрести по полной. Впрочем, patches are always
>  welcome.

NetBSD однозначно работает быстрее (FreeBSD я тоже думаю быстрее будет), ставилась ради эксперимента на тоже железо. Эндрю Доран там проделал нехилый объем работ. Но как известно опеновцы настолько гордые что тот код никогда не возьмут и заплюют ...шутка :)

> Security-фиксы выходят для -STABLE. Зато это действительно -STABLE, предсказуемый.
> Впрочем, кому что удобнее, конечно.

Я НИ РАЗУ не видел для -STABLE в Security-фиксах firefox, только в current. В принципе, это так, лишь бы прицепиться :)

> Ну, если вам так часто приходится перезапускать sendmail

sendmail это только пример. samba, fetchmail, clamav их нужно вручную прописывать в rc.local :)
И, кстати, sendmail я очень люблю.

> не нравится — не пользуйтесь.

уже не пользуюсь. есть системы намного адекватней этой. я просто удивляюсь, какой на дворе год, в опене до сих пор FFS, со всеми вытекающими. Психанутый и неадекватный лидер, особенно помнится история с ComixWall и уход Марка Балмера (http://www.vnode.ch/byebye_openbsd)


"Обзор развития проекта OpenBSD"
Отправлено PereresusNeVlezaetBuggy , 04-Июн-10 18:27 
>> В threading-приложениях мало, т.к. kernel threads пока не включены по дефолту. А так —
>> юзерленд хорошо параллелится. Ядро — да, работает на одном CPU, но веских причин это
>> менять пока нет, а вот проблем можно огрести по полной. Впрочем, patches are always
>>  welcome.
>
>NetBSD однозначно работает быстрее (FreeBSD я тоже думаю быстрее будет), ставилась ради
>эксперимента на тоже железо. Эндрю Доран там проделал нехилый объем работ.
>Но как известно опеновцы настолько гордые что тот код никогда не
>возьмут и заплюют ...шутка :)

Хм, в каких приложениях? Фряха, скорее всего, действительно быстрее будет, они на эту тему больше всех заморачиваются.

>> Security-фиксы выходят для -STABLE. Зато это действительно -STABLE, предсказуемый.
>> Впрочем, кому что удобнее, конечно.
>
>Я НИ РАЗУ не видел для -STABLE в Security-фиксах firefox, только в
>current. В принципе, это так, лишь бы прицепиться :)

Первый попавший пример, ткнул наугад: http://www.openbsd.org/cgi-bin/cvsweb/ports/www/mozilla-fire...

>> Ну, если вам так часто приходится перезапускать sendmail
>
>sendmail это только пример. samba, fetchmail, clamav их нужно вручную прописывать в
>rc.local :)

К слову, делается это обычно через копи-паст из вывода pkg_add или, на худой конец, /usr/local/share/doc/$program/README.OpenBSD — тоже невеликий труд ;) , и при этом не скрывается схема запуска, рекомендованная разработиками самой софтины (а рекомендации эти тоже не на пустом месте берутся обычно).

>> не нравится — не пользуйтесь.
>
>уже не пользуюсь. есть системы намного адекватней этой. я просто удивляюсь, какой
>на дворе год, в опене до сих пор FFS, со всеми
>вытекающими.

Ну так работает ведь. Кому не хватает, так пожалуйста, ставьте ту же Соляру. :)

>Психанутый и неадекватный лидер, особенно помнится история с ComixWall и
>уход Марка Балмера (http://www.vnode.ch/byebye_openbsd)

Тео порой резковат, согласен. Первое моё с ним общение заключалась в, скажем так, резкой критике моего письма на misc@openbsd.org. Только спустя какое-то время я осознал, что это было ещё мягко. Зато потом как-то лучше пошло, и с ним, и с другими разработчиками, особенно когда к письмами прилагались работоспособные патчи. ;) Ни в коей мере не пытаюсь себя представить здесь корешем всея команды, нет — просто не на что, объективно говоря, жаловаться, кроме как на собственную глупость. :)

С ComixWall тоже, в общем-то, понятно: последний уменьшал часть и без того не слишком многочисленных средств, получаемых от продажи официальных CD. Было бы как раз весьма странным хвалить за то, что тебя лишают возможности разрабатывать систему, лежащую в основе этого самого ComixWall. :) ИМХО, обе стороны хороши.


"Обзор развития проекта OpenBSD"
Отправлено Michael Shigorin , 05-Июн-10 11:17 
>Ядро — да, работает на одном CPU, но веских причин это менять пока нет

Нудапрям -- например, разгрести кучку гигабитов или дисков сильно помогает, если разложить по камушкам.

>а вот проблем можно огрести по полной. Впрочем, patches are always welcome.

Не, спасибо, мы не гордые -- в линуксе это давно и всерьёз окучено.  Возвращаться в 1996 по части ОС никакого желания (и смысла) для себя не вижу.

>А вообще правильно тут уже говорили: не нравится — не пользуйтесь. Берите
>ту систему, которая вам подходит больше всего (с init-cкриптами и т.д.)
>и пользуйтесь на здорвовье.

Тут какой нюанс: когда набегают расхваливающие и говорят о субъективных _достоинствах_ и скромно молчат о недостатках, то они берут на себя ответственность за тех, кто купится на их красивые сказки, не понимая всей картинки даже в той мере, в какой её видят оные расхваливающие.

Ну, "ах, Москва, Москва", а про цены и пробки скромно молчим.  Кто-нить наслушался, понаехал, и попал по наивности аки кур в ощип.  Если уж восторгаться вслух, то при _обсуждении_ хотя бы стоит упомянуть и осознанность своего выбора с учётом и плюсов, и минусов.


"Обзор развития проекта OpenBSD"
Отправлено PereresusNeVlezaetBuggy , 05-Июн-10 15:08 
>>Ядро — да, работает на одном CPU, но веских причин это менять пока нет
>
>Нудапрям -- например, разгрести кучку гигабитов или дисков сильно помогает, если разложить
>по камушкам.

Насчёт дисков не скажу: хотя никогда высокой загрузки на CPU из-за дискового I/O наблюдать не приходилось, но капитальных тестирований в соответствующих условиях (много-много дисков с одновременным чтением и записью по всем ним) не проводил. Гигабиты же сетевые раскидываются одним ядром вполне успешно, я уже не раз примеры приводил.

>>а вот проблем можно огрести по полной. Впрочем, patches are always welcome.
>
>Не, спасибо, мы не гордые -- в линуксе это давно и всерьёз
>окучено.  Возвращаться в 1996 по части ОС никакого желания (и
>смысла) для себя не вижу.

Дык я вас лично и не тяну, у вас своя песочница. ;) Линукс тоже найдётся за что попинать; разумеется, рано или поздно это всё будет исправлено/улучшено, ну так и Опёнок к этом плане ничем не хуже.

>>А вообще правильно тут уже говорили: не нравится — не пользуйтесь. Берите
>>ту систему, которая вам подходит больше всего (с init-cкриптами и т.д.)
>>и пользуйтесь на здорвовье.
>
>Тут какой нюанс: когда набегают расхваливающие и говорят о субъективных _достоинствах_ и
>скромно молчат о недостатках, то они берут на себя ответственность за
>тех, кто купится на их красивые сказки, не понимая всей картинки
>даже в той мере, в какой её видят оные расхваливающие.

Ну как сказать расхваливающие. Если меня кто-то попросит перечислить текущие больные места опёнка, я это перечислю лучше всяких User294, которые опёнок полчаса в жизни на экране видели, и то в лучшем случае. Но просят почему-то редко (на моей памяти на Опеннете такое всего два раза было, кажется, один раз даже спрашивали как раз вы, или кто-то ещё из Альта). Всё чаще пустые, необоснованные или слабо обоснованные заявления, из-за которых у незнакомых с ситуацией людей и складывается понятие «OpenBSD работоспособна только как роутер». А я заинтересован в том, чтобы OpenBSD-коммюнити пополнялось хорошими людьми, которые есть и среди этих, незнакомых с ситуацией. ;)

>Ну, "ах, Москва, Москва", а про цены и пробки скромно молчим.  
>Кто-нить наслушался, понаехал, и попал по наивности аки кур в ощип.
> Если уж восторгаться вслух, то при _обсуждении_ хотя бы стоит
>упомянуть и осознанность своего выбора с учётом и плюсов, и минусов.

Во-первых, если грамотный (а другие, если честно, меня мало волнуют, такой вот я эгоист) человек действительно заинтересуется, то сможет и сам покопать вопрос. А во-вторых, повторюсь, в лоб меня же спросить: «Где подвох?», — что мешает? :)


"Обзор развития проекта OpenBSD"
Отправлено СуперАноним , 04-Июн-10 17:04 

единственно, где я могу представить OpenBSD в продакшене - это файрфолл\vpn-шлюз.
но и то это вариант для совсем мальньких и бедных контор. средний и большой бизнес для этоих целей использует решения Cisco и прочих. и на то есть причины.

и да, OpenBSD ставил. ни разу в продакшене правда. в домашних условиях игрался только. как дектопная система вполне юзабельна. GNOME, Firefox, VLC итп - всё как в любом современном linux-дистре и сетапится в целом легко. только поддержки любого хость сколько-нибудь современного качественного железа десктопного - почти 0. + конечно никаких вкусностей типа нормальных современных файловых систем, нормальных современных средств виртуализации...


"Обзор развития проекта OpenBSD"
Отправлено PereresusNeVlezaetBuggy , 04-Июн-10 17:14 
>
>единственно, где я могу представить OpenBSD в продакшене - это файрфолл\vpn-шлюз.
>но и то это вариант для совсем мальньких и бедных контор. средний
>и большой бизнес для этоих целей использует решения Cisco и прочих.
>и на то есть причины.

Смотря где и какой бизнес. Разработчики OpenBSD и сопутствующих проектов тоже на жизнь как-то зарабатывают. В том числе благодаря OpenBSD. ;)

>и да, OpenBSD ставил. ни разу в продакшене правда. в домашних условиях
>игрался только. как дектопная система вполне юзабельна. GNOME, Firefox, VLC итп
>- всё как в любом современном linux-дистре и сетапится в целом
>легко. только поддержки любого хость сколько-нибудь современного качественного железа десктопного -
>почти 0.

Хм. Конкретно? Ну, с 3D от NVIDIA понятно, всё упирается в nouveau. FireWire тоже нету, да. Больше на ум ничего из более-менее mainstream не приходит. А что у вас не заработало, если не секрет?

> + конечно никаких вкусностей типа нормальных современных файловых систем,

Отчасти соглашусь, хотя мне пока что FFS/FFS2 + NFS хватает за глаза… FUSE не хватает, конечно.

>нормальных современных средств виртуализации...

На sparc64 контейнеры поддерживаются, причём и в качестве хоста, и в качестве гостя. На x86 — да, фактически только qemu, да ещё, вроде, VMWare. Xen'ы и VirtualBox'ы не хотят связываться с OpenBSD — возможно, из-за не лишённой логики позиции разработчиков «если что-то работает на реальном железе, но не работает при виртуализации, то это плохая виртуализация».


"Обзор развития проекта OpenBSD"
Отправлено о , 04-Июн-10 22:47 
после недели перебора, именно Openbsd у меня встала на netra t2000.
За что спасибо разработчикам!

"Обзор развития проекта OpenBSD"
Отправлено PereresusNeVlezaetBuggy , 05-Июн-10 00:09 
>после недели перебора, именно Openbsd у меня встала на netra t2000.
>За что спасибо разработчикам!

Если вы этого ещё не сделали и это вас не затруднит, пожалуйста, выполните что-то вроде:

dmesg | mail -s "Netra T2000, OpenBSD `uname -r` works fine" dmesg@openbsd.org

(ну или упомяните, что не работает вместо "works fine"). Разработчикам пригодится. :)


"Обзор развития проекта OpenBSD"
Отправлено о , 05-Июн-10 00:18 
done


"1 вакансия"
Отправлено Анонимыч , 05-Июн-10 21:35 
просто ради интереса зашёл сейчас (5 июня 2010, 21:15 по Москве) на
hh.ru и сделал поиск по "OpenBSD" - 1 вакансия.
на monster.com (кто не в курсе - крупнейшая в мире база вакансий) по слову "OpenBSD" тоже 1 вакансия.


продолжаем эксперимент:

QNX: hh.ru - 5 вакансий, monster.com - 19.
HP-UX: hh.ru выдал 24 вакансии, monster.com - 190.
AIX: hh.ru - 43, monster.com - 595.
FreeBSD: 176,  monster.com - 40.   (! что говорит о том, что популярность FreeBSD в продакшене это чисто российская "особенность" )

ну и  Linux - hh.ru выдал 920 ваканчий, monster.com - >1000.


итого, делаю вывод что место OpenBSD там же где и место Minix, ReactOS итп.


"hh"
Отправлено shpsn , 05-Июн-10 22:35 
"свободное", "открытое", а меряется все оказывается баблом...

"hh"
Отправлено Анонимыч , 06-Июн-10 16:35 
shpsn'у:

> "свободное", "открытое", а меряется все оказывается баблом...

не баблом, а зарплатой. мне знаете ли дывно не 16, мама с папой не кормят.
приходится знаете ли как-то самому выкручиватся и зарабатывать деньги.


PereresusNeVlezaetBuggy'у:

> И что это доказывает? Что OpenBSD для гиков, а не для работников HR?

это констатирует факт - OpenBSD нафиг никому не нужна в продакшене. и место её там же где и место например Minix сейчас - научно-исследовательские проекты.


> Кстати, запустите поиск по Windows и связанным с ней вакансиям.

я рассмотрел Unix-like системы. не надо мне вашей вендой в лицо тыкать.


Аноним'му:

>Вообще то FreeBSD очень распространена в США.

пруфлинк или не было. не, ну конечно про фрю хорошо знают в usa, хотя бы потому что
она там появилась и потому что BSD код есть в Solaris, Mac OS X и даже немного в AIX.
вы мне дайне пруфлинк на то как "FreeBSD очень распространена в США" в продакшене.


> Вы не там статистику смотрите:)
> http://www.google.com/trends?q=netbsd,+openbsd,+freebsd&ctab=0&geo=all&date=all&sort=1

так и что вы мне хотели показать этой ссылкой? что популярность NetBSD\OpenBSD\FreeBSD
c 2004'го стремительно падает и что в колонках Regions\Cities\Languages - 100% в лидерах русские? так это я прекрано знаю сам и чёрт возьми об этом уже писал выше.

> http://www.opennet.me/openforum/vsluhforumID3/35941.html

ага, новость от 2006'го года. опять же, показывающее что FreeBSD в продакшене это сугубо российская особенность. как например медведи, балалайки, водка, лапти итп.


> И не надо нервничать :)

как уже было написанно выше на этой странице - y кого что болит, тот о том и говорит.

> Вы правы. Просто каждому свое. Слава богу есть разнообразие.

да, за разнообразие я как раз обеими руками.


> Если вы такой дотошный, покажите мне решение на linux - аналогичное
> CARP IP BALANSE (based jn clients ip), которое есть в OpenBSD.

я не занимаюсь сетью и как там в Linux c CARP IP BALANCE я не в курсе. но я думаю что у той же Cisco есть решения, которые рвут этот CARP IP BALANCE в клочья как Тузик грелку.


"hh"
Отправлено gara , 06-Июн-10 18:02 

>> Если вы такой дотошный, покажите мне решение на linux - аналогичное
>> CARP IP BALANSE (based jn clients ip), которое есть в OpenBSD.
>
>я не занимаюсь сетью и как там в Linux c CARP IP BALANCE я не в курсе.

Я занимался - не нашел.
> но я думаю что у той же Cisco есть решения, которые рвут этот CARP IP BALANCE в
>клочья как Тузик грелку.

И сколько стоит такая cisco? а их наверное надо поставить 2? параллельно?

А OpenBSD бесплатно :)

у MS Тоже есть бесплатный web сервер :)

У всего есть экономическая эффективность. И пока что-то кому-то нужно будут ее делать:)



"hh"
Отправлено Анонимыч , 06-Июн-10 19:15 
>И сколько стоит такая cisco? а их наверное надо поставить 2? параллельно?
> А OpenBSD бесплатно :)

я хоть сам сетью не занимаюсь, но по долгу службы знаю сколько стоят решения Cisco.
а так же очень хорошо знаю что в эту сумму входит. и поэтому понимаю почему в нормальном продакшене юзаются очень не дешёвые решения Cisco а не бесплатный OpenBSD.


"hh"
Отправлено PereresusNeVlezaetBuggy , 06-Июн-10 19:59 
>[оверквотинг удален]
>>> Если вы такой дотошный, покажите мне решение на linux - аналогичное
>>> CARP IP BALANSE (based jn clients ip), которое есть в OpenBSD.
>>
>>я не занимаюсь сетью и как там в Linux c CARP IP BALANCE я не в курсе.
>
>Я занимался - не нашел.
>> но я думаю что у той же Cisco есть решения, которые рвут этот CARP IP BALANCE в
>>клочья как Тузик грелку.
>
>И сколько стоит такая cisco? а их наверное надо поставить 2? параллельно?

Есть ещё один нюанс: в OpenBSD (как и в других open source решениях) можно что угодно подкрутить: поставить необходимый софт, доработать имеющийся и так далее. В случае с Cisco вам начнут либо впаривать дополнительные модули, стоящие каждый как вся ваша сеть, либо просто пошлют в направлении на Антарктиду (конечно, если вы не супермегаплатиновый партнёр; nothing personal, just business). Так что не всё так просто, при всех достоинствах продукции этой конторы. :-\


"hh"
Отправлено Michael Shigorin , 06-Июн-10 20:02 
>Есть ещё один нюанс: в OpenBSD (как и в других open source
>решениях) можно что угодно подкрутить

Хихикс, мы как раз не шибко давно вывели Draytek-овскую коробку из эксплуатации ровно по этой причине.  Юмор ситуации в том, что унутре reportedly как раз навсю открытый опёнок. :) (дружески предлагаю минутку поразмыслить над этим, косясь на тень Столмана)


"hh"
Отправлено PereresusNeVlezaetBuggy , 06-Июн-10 20:11 
>>Есть ещё один нюанс: в OpenBSD (как и в других open source
>>решениях) можно что угодно подкрутить
>
>Хихикс, мы как раз не шибко давно вывели Draytek-овскую коробку из эксплуатации
>ровно по этой причине.  Юмор ситуации в том, что унутре
>reportedly как раз навсю открытый опёнок. :) (дружески предлагаю минутку поразмыслить
>над этим, косясь на тень Столмана)

Хм, а это факт интересный. Можно чуть подробнее, что конкретно за модель и, если известно, что за версия Опёнка? Обязательно настучу Тео. ;)


"hh"
Отправлено Michael Shigorin , 06-Июн-10 20:34 
>>Draytek-овскую коробку [...] унутре reportedly [...] опёнок. :)
>Хм, а это факт интересный. Можно чуть подробнее, что конкретно за модель

А это вроде по линейке Vigor 2xxx.  Точных данных в своё время при паре подходов к выяснению не вышло нарыть, это буквально недавно пробегало на словах.

>и, если известно, что за версия Опёнка? Обязательно настучу Тео. ;)

Неизвестно.  Могу дать выхлоп nmap, но он довольно неинтересный.  Шелл у них совсем свой.

В общем, перед тем, как стучать -- лучше придумать хороший тест. :)

Вендор: http://draytek.co.uk
Ещё косвенные следы: http://forums.whirlpool.net.au/forum-replies.cfm?t=905341&r=...


"hh"
Отправлено PereresusNeVlezaetBuggy , 06-Июн-10 20:46 
>[оверквотинг удален]
>А это вроде по линейке Vigor 2xxx.  Точных данных в своё
>время при паре подходов к выяснению не вышло нарыть, это буквально
>недавно пробегало на словах.
>
>>и, если известно, что за версия Опёнка? Обязательно настучу Тео. ;)
>
>Неизвестно.  Могу дать выхлоп nmap, но он довольно неинтересный.  Шелл
>у них совсем свой.
>
>В общем, перед тем, как стучать -- лучше придумать хороший тест. :)

Спасибо большое, думаю, этого пока хватит.

>Вендор: http://draytek.co.uk
>Ещё косвенные следы: http://forums.whirlpool.net.au/forum-replies.cfm?t=905341&r=...

Ага, уже видел. :)


"hh"
Отправлено тигар , 07-Июн-10 18:50 
>я не занимаюсь сетью и как там в Linux c CARP IP
>BALANCE я не в курсе. но я думаю что у той
>же Cisco есть решения, которые рвут этот CARP IP BALANCE в
>клочья как Тузик грелку.

развеселили, спасибо, Вы кстати (если не секрет) сколько откатами получаете когда подобные решения советуете?;)


"1 вакансия"
Отправлено PereresusNeVlezaetBuggy , 05-Июн-10 22:47 
>[оверквотинг удален]
>AIX: hh.ru - 43, monster.com - 595.
>FreeBSD: 176,  monster.com - 40.   (! что говорит о
>том, что популярность FreeBSD в продакшене это чисто российская "особенность" )
>
>
>ну и  Linux - hh.ru выдал 920 ваканчий, monster.com - >1000.
>
>
>итого, делаю вывод что место OpenBSD там же где и место Minix,
>ReactOS итп.

И что это доказывает? Что OpenBSD для гиков, а не для работников HR? Так этого никто никогда и не скрывал.

Кстати, запустите поиск по Windows и связанным с ней вакансиям. Ваша логика, боюсь, вас же больно ударит.


"1 вакансия"
Отправлено Аноним , 05-Июн-10 23:00 
>просто ради интереса зашёл сейчас (5 июня 2010, 21:15 по Москве) на  hh.ru и сделал поиск по "OpenBSD" - 1 вакансия.

А почему не искали windows?

>FreeBSD: 176,  monster.com - 40.   (! что говорит о
>том, что популярность FreeBSD в продакшене это чисто российская "особенность" )

Вообще то FreeBSD очень распространена в США.

>ну и  Linux - hh.ru выдал 920 ваканчий, monster.com - >1000.
>итого, делаю вывод что место OpenBSD там же где и место Minix,
>ReactOS итп.

Вы не там статистику смотрите:)

http://www.google.com/trends?q=netbsd,+openbsd,+freebsd&ctab=0&geo=all&date=all&sort=1

http://www.opennet.me/openforum/vsluhforumID3/35941.html


И не надо нервничать :) Вы правы. Просто каждому свое. Слава богу есть разнообразие.


Если вы такой дотошный, покажите мне решение на linux - аналогичное CARP IP BALANSE (based jn clients ip), которое есть в OpenBSD.


"smtpd"
Отправлено tophy , 06-Июн-10 22:28 
Хотел спросить, новый smtp, от разработчиков OpenBSD, уже присутствует?  

"smtpd"
Отправлено PereresusNeVlezaetBuggy , 06-Июн-10 23:08 
>Хотел спросить, новый smtp, от разработчиков OpenBSD, уже присутствует?

SMTP или smtpd?

Если первое, то нет. :)

Если второе, то да, присутствует, но по умолчанию по-прежнему включён Sendmail. Инструкция по включению (для тех, кому она вообще нужна) есть в smtpd(8).


"Обзор развития проекта OpenBSD"
Отправлено slepnoga , 08-Июн-10 01:34 
Скорей бы уж запили хотя бы до состояния фри ( которая тоже не сахар ).
Отвечаю на невысказанные тут вопросы:
1) PF - основное достоинство - вменяемый парсер конфиг, на этом достоинства заканчиваются и начинается полная фигня:
а) в новой версии оно уже научилось через машину с NAT  больше 1 коннекта к айпишке по PPtp ?
б) как ни станно, у меня пров дает TV  по IGMP - как, фейл с пропуском на 2 машинки через нат уже закончился ?
в) Совсем пушной зверек - опенок все еще гоняет транзитный FTP  трафф через юзерспейс ?
2) авторизация - пам уже есть ? нет ? нуу, вобщем надо авторизоватся через SQL ?  а по блутузному донглу ( да, это мой пароль на ноуте),
Тут не в курсе , но ядрЁный keychain уже есть ? :)
3) Порты - вобщем такая вещь в себе - можно мне версию проги поновее ( там появились нужные мне фичи) ? Что, через порты никак ? только __все__  дерево - мне надо всего то libxml
4) сендмаил в базе уже из коробки научился STARTTLS и лазить в sasl  ? опять компилить ? - спасибо, я как нибудь на постфиксе.


5) - Секурная система ? типа приоритет ? Ну и как там с RBAC, MAC, etc ?

6) какой велосипед изобретет компания Тео для прикручивания >Xorg-1.8 ?
MAKEDEV наверно ?
7) мм, без minisendmail  уже есть жизнь в чруте ?
Что то кроме чрута система может предложить ?


"Обзор развития проекта OpenBSD"
Отправлено PereresusNeVlezaetBuggy , 08-Июн-10 09:08 
>Скорей бы уж запили хотя бы до состояния фри (которая тоже
>не сахар).

Пилу вам в руки.

>Отвечаю на невысказанные тут вопросы:
>1) PF - основное достоинство - вменяемый парсер конфиг, на этом достоинства
>заканчиваются и начинается полная фигня:
>а) в новой версии оно уже научилось через машину с NAT  
>больше 1 коннекта к айпишке по PPtp?

У меня работало больше одного коннекта по PPTP. Сто лет назад поднимал обычный pptpd из портов и подключал к нему несколько машин из-за NAT'а. Может, вы что-то в pf.conf перемудрили?

>б) как ни станно, у меня пров дает TV  по IGMP
>- как, фейл с пропуском на 2 машинки через нат уже
>закончился ?

В смысле, какой фэйл?

>в) Совсем пушной зверек - опенок все еще гоняет транзитный FTP  
>трафф через юзерспейс?

Да, и будет гонять (официальная позиция разработчиков), т.к. современный FTP не настолько простой протокол, чтобы рисковать его засовывать в ядро. А чем вам не угодил ftp-proxy? Я тормозов не заметил. Передача файлов ведь без его участия происходит, он в pf просто добавляет правила.

>2) авторизация - пам уже есть ? нет ? нуу, вобщем надо
>авторизоватся через SQL ?  а по блутузному донглу ( да,
>это мой пароль на ноуте),

PAM нет и не планируется. А чем BSD auth не устраивает?

>Тут не в курсе , но ядрЁный keychain уже есть ? :)

Нет, и эта тема на моей памяти ни разу не поднималась в списках рассылки — видимо, никому из пользователей OpenBSD и в голову не приходило этим пользоваться. :)

>3) Порты - вобщем такая вещь в себе - можно мне версию
>проги поновее ( там появились нужные мне фичи) ? Что, через
>порты никак ? только __все__  дерево - мне надо всего
>то libxml

Экгхм. А то, что libxml завязан с кучей… Нет, не так: КУЧЕЙ других программ, вас не смущает? Разработчики стараются проверять весь возможный fallout до коммита. Если вы предпочитаете вечно наполовину поломанное дерево портов, пользуйтесь фряхой, никто не мешает.

Если же вы знаете, что вы делаете, пожалуйста, никто не мешает обновить только конкретный порт.

>4) сендмаил в базе уже из коробки научился STARTTLS и лазить в
>sasl  ? опять компилить ? - спасибо, я как нибудь
>на постфиксе.

pkg_add postfix прекрасно работает.

А компиляция, ессесно, нужна, т.к. sendmail в базе, а SASL — нет. В OpenBSD с этим строго.

>5) - Секурная система ? типа приоритет ? Ну и как там
>с RBAC, MAC, etc ?

Нет и не будет. Потому что это ад в настройке в хоть сколько-то сложной сети, как следствие — ошибки админов — ошибки в безопасности.

Для особо недоверчивых есть systrace.

>6) какой велосипед изобретет компания Тео для прикручивания >Xorg-1.8 ?
>MAKEDEV наверно ?

Не понял шутки? Смотрим в http://www.openbsd.org/cgi-bin/cvsweb/xenocara/MODULES?rev=1... , последняя строчка: xserver 1.8.1. И причём тут MAKEDEV?

>7) мм, без minisendmail  уже есть жизнь в чруте ?
>Что то кроме чрута система может предложить ?

jail нету, это да. :( На это тупо не хватает сил.


"Обзор развития проекта OpenBSD"
Отправлено slepnoga , 08-Июн-10 15:05 
>>Скорей бы уж запили хотя бы до состояния фри (которая тоже
>>не сахар).
>
>Пилу вам в руки.

K сожалению, 2-ю одновременно не потяну :(

>[оверквотинг удален]
>>Отвечаю на невысказанные тут вопросы:
>>1) PF - основное достоинство - вменяемый парсер конфиг, на этом достоинства
>>заканчиваются и начинается полная фигня:
>>а) в новой версии оно уже научилось через машину с NAT  
>>больше 1 коннекта к айпишке по PPtp?
>
>У меня работало больше одного коннекта по PPTP. Сто лет назад поднимал
>обычный pptpd из портов и подключал к нему несколько машин из-за
>NAT'а. Может, вы что-то в pf.conf перемудрили?
>

Может вы не поняли вопроса ?
>обычный pptpd из портов и

прчем здесь pptp из портов - итак. за натом из pf'a  сидят N юзеров и коннектятся на __1__ айпи снаружи по пптп - правила pf  в студию   :)

>>б) как ни станно, у меня пров дает TV  по IGMP
>>- как, фейл с пропуском на 2 машинки через нат уже
>>закончился ?
>
>В смысле, какой фэйл?

в смысле, как раздать IGMP траффик через нат на pf :)
>
>>в) Совсем пушной зверек - опенок все еще гоняет транзитный FTP  
>>трафф через юзерспейс?
>
>Да, и будет гонять (официальная позиция разработчиков), т.к. современный FTP не настолько
>простой протокол, чтобы рисковать его засовывать в ядро.

А так же GRE,CIFS,H232,SCTP,SIP и еще пол-сотни протоколов, с которыми как я понимаю в pf никак
> А чем вам
>не угодил ftp-proxy? Я тормозов не заметил. Передача файлов ведь без
>его участия происходит, он в pf просто добавляет правила.

/me может быть и не осилил, тут я спорить не буду, но как, по вашему, решается задача
пары-тройки фтп серверов ( они внутри сети за натом, опять таки на pf).

>>2) авторизация - пам уже есть ? нет ? нуу, вобщем надо
>>авторизоватся через SQL ?  а по блутузному донглу ( да,
>>это мой пароль на ноуте),
>
>PAM нет и не планируется. А чем BSD auth не устраивает?

Отсутствием вменяемой многофакторной ААА, в том числе и на удаленном сервере - домашнюю диру юзеру все так же ручками надо создавать ? passwd  уже научился писать пассворды куда то кроме файликов в /etc ?
Kак пример - есть AAA через LDAP&&Kerberos (и это нотбук).Как залогинить юзера без сети ( кеширование и TTL  пассвордов ) ?
>>Тут не в курсе , но ядрЁный keychain уже есть ? :)
>
>Нет, и эта тема на моей памяти ни разу не поднималась в
>списках рассылки — видимо, никому из пользователей OpenBSD и в голову
>не приходило этим пользоваться. :)

Это не юзерская фича :) Чтобы тут не разводить холивары про гентоо - http://sisyphus.ru/ru/srpm/pam_keystore.
И столь нелюбимый здесь IBM:  http://www.ibm.com/developerworks/ru/library/l-key-retention...

>>3) Порты - вобщем такая вещь в себе - можно мне версию
>>проги поновее ( там появились нужные мне фичи) ? Что, че
>>порты никак ? только __все__  дерево - мне надо всего
>>то libxml
>
>Экгхм. А то, что libxml завязан с кучей… Нет, не так: КУЧЕЙ
>других программ, вас не смущает? Разработчики стараются проверять весь возможный fallout
>до коммита.

Поддерживая в кое где около 50 пакетов - я в курсе подобных проблем :)
> Если вы предпочитаете вечно наполовину поломанное дерево портов, пользуйтесь
>фряхой, никто не мешает.

Спасибо, там все аналогично - слотами только попахивает, но не больше.
Мне лично не в лом написать спек,порт,ебилд... ( нужное подчеркнуть) - но к возможностям системы пакетного менеджмента это никакого отношения иметь не будет.
>Если же вы знаете, что вы делаете, пожалуйста, никто не мешает обновить
>только конкретный порт.

угу, и это будет совсем не офф. способ - вопрос скорее был не из серии "как сделать",
а "как при этом не сломать систему". configure,make,make install в начале хорошо - в конце этот процесс приносит понимание того, что ставить что то мимо портов,портежей,юма,dpkg,msi,etc -  это верный путь выстрелить себе в пятку

>> 4) сендмаил в базе уже из коробки научился STARTTLS и лазить в
>>sasl  ? опять компилить ? - спасибо, я как нибудь
>>на постфиксе.
>
>pkg_add postfix прекрасно работает.
>
>А компиляция, ессесно, нужна, т.к. sendmail в базе, а SASL — нет.
>В OpenBSD с этим строго.

Т.е, как я понимаю, исходя из логики поставки base ,по мнению девов опенка, отсутсвие
SMTP AUTH && STARTTLS, равно как и засирания системы реальными юзерами, конкретно повышают безопасность системы ? :)
И предача пассвордов на поп3 ( из базовой поставки) открытум текстом - тоже супер безопастна ?
Как  бы все мануалы всегда говорили, что девы в ответе только за базовую систему, и порты
не аудитятся на предмет секюрити - я прав ?
>[оверквотинг удален]
>
>Для особо недоверчивых есть systrace.

это все ??? что может предложить опенок в этом плане ? MAC && RBAS  не заканчивается на прикручивании дескрипторов безопасности на все сисколлы - он там только начинается.
В опенке уже можно сильно извратится и отдать пароль рута кому нибудь ?
С выставленнум наржу рутом видел FC, Debian видел, даже Gentoo и та была ( ну работает pebenito@ в одной практически комнате с   Dan Walsh) , в фрее недавно ( давно не юзал)
с удивлением обнаружил зачатки MAC -как провернуть подобное на опенке не представляю даже торетически.
> следствие — ошибки админов — ошибки в безопасности.

т.е девы априори подозревают админов в отсутствии квалификации ?? Может все проще - они сами с трудом понимают всю эту машинерию ?
>>6) какой велосипед изобретет компания Тео для прикручивания >Xorg-1.8 ?
>>MAKEDEV наверно ?
>
>Не понял шутки? Смотрим в http://www.openbsd.org/cgi-bin/cvsweb/xenocara/MODULES?rev=1... , последняя строчка: xserver 1.8.1. И
>причём тут MAKEDEV?

Притом, что мне тупо интересно, как опенок будет подрубать после запуска Xorga и логина
юзера вакомовский планшет - динамического /dev  нет и как я понимаю не будет?
>>7) мм, без minisendmail  уже есть жизнь в чруте ?
>>Что то кроме чрута система может предложить ?
>
>jail нету, это да. :( На это тупо не хватает сил.

Вы не поверите, но сил не хватает на все задумки в любом комьюнити дистре любой OS.
Тогда за обычно берутся юзера данной системы - куча реп,портов,оверлеев и просто своих сборок тому пример. В данном случае, как я понимаю, несколько факторов просто на корню срубает желание заниматся чем то подобным.
И на jail все на заканчиваете - легкой виртуализации в смысле продакшена в BSD  нет.
В опенке ее нет совсем - и к чему бы это ?

П.С В свое время все висело на опенке, и он был единственной системой, которую мы ставили для наших клиентов.
Уход с него был тяжел и мрачен :). С тех пор я предпочитаю болеть за развитие данного проекта издалека.


"Обзор развития проекта OpenBSD"
Отправлено PereresusNeVlezaetBuggy , 10-Июн-10 00:19 
>[оверквотинг удален]
>>обычный pptpd из портов и подключал к нему несколько машин из-за
>>NAT'а. Может, вы что-то в pf.conf перемудрили?
>>
>
>Может вы не поняли вопроса ?
>>обычный pptpd из портов и
>
>прчем здесь pptp из портов - итак. за натом из pf'a  
>сидят N юзеров и коннектятся на __1__ айпи снаружи по пптп
>- правила pf  в студию   :)

Кажется, я понял, в чём дело. Надо _отключить_ псевдоустройство gre в ядре (через config). Ну и для чистоты проверить, что sysctl, с GRE связанные, не дёргаются при загрузке. После этого должно забегать нормально.

>>>б) как ни станно, у меня пров дает TV  по IGMP
>>>- как, фейл с пропуском на 2 машинки через нат уже
>>>закончился ?
>>
>>В смысле, какой фэйл?
>
>в смысле, как раздать IGMP траффик через нат на pf :)

М-м-м... mrouted(8)?

>>>в) Совсем пушной зверек - опенок все еще гоняет транзитный FTP  
>>>трафф через юзерспейс?
>>
>>Да, и будет гонять (официальная позиция разработчиков), т.к. современный FTP не настолько
>>простой протокол, чтобы рисковать его засовывать в ядро.
>
>А так же GRE,CIFS,H232,SCTP,SIP и еще пол-сотни протоколов, с которыми как я
>понимаю в pf никак

Ну, во-первых, GRE и SCTP — это L4 протокол, остальные — более высокого уровня. Для SIP и H232 в портах есть прокси. CIFS вроде как сквозь NAT нормально пролезает. GRE тоже (см. выше). SCTP нету, да — как я догадываюсь, повлияла смерть itojun@. :(

>> А чем вам
>>не угодил ftp-proxy? Я тормозов не заметил. Передача файлов ведь без
>>его участия происходит, он в pf просто добавляет правила.
>
>/me может быть и не осилил, тут я спорить не буду, но
>как, по вашему, решается задача
>пары-тройки фтп серверов ( они внутри сети за натом, опять таки на
>pf).

ftp-proxy в реверсном режиме. Почитайте man, что я его буду пересказывать, там всё понятно написано, настраивается с пол-пинка; обычно хватает одной строчки в /etc/rc.local, ну и в pf одно правило. :)

>[оверквотинг удален]
>>>это мой пароль на ноуте),
>>
>>PAM нет и не планируется. А чем BSD auth не устраивает?
>
>Отсутствием вменяемой многофакторной ААА, в том числе и на удаленном сервере -
>домашнюю диру юзеру все так же ручками надо создавать ? passwd
> уже научился писать пассворды куда то кроме файликов в /etc
>?
>Kак пример - есть AAA через LDAP&&Kerberos (и это нотбук).Как залогинить юзера
>без сети ( кеширование и TTL  пассвордов ) ?

Либо я что-то опять недопонял, либо вот цитата из login_krb5(8):

     If the notickets argument is equal to ``no'', the default value, and the
     login argument is equal to ``yes'', then the ticket will be saved in a
     credentials cache.

>>>Тут не в курсе , но ядрЁный keychain уже есть ? :)
>>
>>Нет, и эта тема на моей памяти ни разу не поднималась в
>>списках рассылки — видимо, никому из пользователей OpenBSD и в голову
>>не приходило этим пользоваться. :)
>
>Это не юзерская фича :) Чтобы тут не разводить холивары про гентоо
>- http://sisyphus.ru/ru/srpm/pam_keystore.
>И столь нелюбимый здесь IBM:  http://www.ibm.com/developerworks/ru/library/l-key-retention...

Не юзерская, но суть сводится к тому, что не надо вводить много раз пароли. :)

>[оверквотинг удален]
>
>>Если же вы знаете, что вы делаете, пожалуйста, никто не мешает обновить
>>только конкретный порт.
>
>угу, и это будет совсем не офф. способ - вопрос скорее был
>не из серии "как сделать",
>а "как при этом не сломать систему". configure,make,make install в начале хорошо
>- в конце этот процесс приносит понимание того, что ставить что
>то мимо портов,портежей,юма,dpkg,msi,etc -  это верный путь выстрелить себе в
>пятку

Это понятно. Скажем так: если сильно надо кастомизацию на много машин, то проще самому мэйнтейнить порты; на прошлой моей работе (фряшные сервера) так и делали. /usr/ports/mystuff для таких вещей и предназначен. ;)

>[оверквотинг удален]
>>
>>pkg_add postfix прекрасно работает.
>>
>>А компиляция, ессесно, нужна, т.к. sendmail в базе, а SASL — нет.
>>В OpenBSD с этим строго.
>
>Т.е, как я понимаю, исходя из логики поставки base ,по мнению девов
>опенка, отсутсвие
>SMTP AUTH && STARTTLS, равно как и засирания системы реальными юзерами, конкретно
>повышают безопасность системы ? :)

Не самое приятное решение, согласен. Но вынужденное. Если нагрузка не очень большая, можно уже сейчас попробовать OpenSMTPD…

>И предача пассвордов на поп3 ( из базовой поставки) открытум текстом -
>тоже супер безопастна?

Ну, вообще-то, там не только открытым текстом можно. Все нормальные клиенты по дефолту пробуют авторизацию прямым текстом в последнюю очередь. Зато PLAIN полезен для отладки, например.

>Как  бы все мануалы всегда говорили, что девы в ответе только
>за базовую систему, и порты
>не аудитятся на предмет секюрити - я прав?

Скажем так: аудит остаётся на совести maintainter'ов, ну и собственно разработчиков софта. Это не значит, что весь софт в портах плох. :)

>>[оверквотинг удален]
>>
>>Для особо недоверчивых есть systrace.
>
>это все ??? что может предложить опенок в этом плане ? MAC
>&& RBAS  не заканчивается на прикручивании дескрипторов безопасности на все
>сисколлы - он там только начинается.
>В опенке уже можно сильно извратится и отдать пароль рута кому нибудь?

В опёнке изначально есть sudo, с которым поводов давать пароль рута становится заметно меньше.

>С выставленнум наржу рутом видел FC, Debian видел, даже Gentoo и та
>была ( ну работает pebenito@ в одной практически комнате с  
> Dan Walsh) , в фрее недавно ( давно не юзал)
>
>с удивлением обнаружил зачатки MAC -как провернуть подобное на опенке не представляю
>даже торетически.

И не представите. Если нужен удалённый рут — то, очевидно, для выполнения каких-то автоматических или полуавтоматических задач. Для этого можно использовать: а) sudo; б) авторизацию по ключу в SSH (позволяет накладывать различные ограничения). Ну а абстрактное «можно ограничить рута» само по себе чистой воды академичность. :) Так или иначе, администратору _нужен_ полный доступ к его системе, и далеко не всегда возможно для этого каждый раз перезагружать машину с консольным доступом (чтобы отрубить MAC в ядре перед загрузкой ОС).

>> следствие — ошибки админов — ошибки в безопасности.
>
>т.е девы априори подозревают админов в отсутствии квалификации? Может все проще
>- они сами с трудом понимают всю эту машинерию?

Разработчики (простите, но слово «девы» у меня ассоциируется исключительно с девушками и духами) априори полагают, что люди делают ошибки: в коде, в конфигурационных файлах и т.д. Поэтому они пишут параноидальный, по мнению некоторых, код, который защищается от «собственных» ошибок (privilege revocation & revocation, рандомизация работы с памятью и процессами, и т.д.). И поэтому ищут те решения, которые:

Во-первых, будут реально использоваться. MAC зачастую в итоге отключают, затр...сь искать «да что этой долбаной программе не хватает?!». Говорю не понаслышке, я видел, например, как несколько специалистов, по сравнению с которыми я сосунок, так и не смогли его безглючно прикрутить за несколько недель на машину, архитектуру которой знали, казалось бы, вдоль и поперёк). MAC _иногда_ хорош, не спорю. Но ниша таких решений всё же слишком преувеличена.

Во-вторых, будут достаточно простыми, чтобы минимизировать риск _случайной_ ошибки. Яркий пример — утилита ipsecctl(8), здорово облегчающая жизнь при настройке IPSec по сравнению с конфигурированием isakmpd & Co. вручную.

>>>6) какой велосипед изобретет компания Тео для прикручивания >Xorg-1.8 ?
>>>MAKEDEV наверно ?
>>
>>Не понял шутки? Смотрим в http://www.openbsd.org/cgi-bin/cvsweb/xenocara/MODULES?rev=1... , последняя строчка: xserver 1.8.1. И
>>причём тут MAKEDEV?
>
>Притом, что мне тупо интересно, как опенок будет подрубать после запуска Xorga
>и логина
>юзера вакомовский планшет - динамического /dev  нет и как я понимаю
>не будет?

Вы не поверите — Xorg вообще о нём знать не будет. :) Мыши и мышеподобные устройства мультиплексируются в /dev/wsmouse — можете хоть десять USB-мышей подключить после запуска иксов. И это работает, и работает очень давно, проверено. С клавиатурами аналогично. (само собой, желающие могут и прописать в xorg.conf себе конкретные устройства, по дефолту же используется /dev/wsmouse).

>[оверквотинг удален]
>>jail нету, это да. :( На это тупо не хватает сил.
>
>Вы не поверите, но сил не хватает на все задумки в любом
>комьюнити дистре любой OS.
>Тогда за обычно берутся юзера данной системы - куча реп,портов,оверлеев и просто
>своих сборок тому пример. В данном случае, как я понимаю, несколько
>факторов просто на корню срубает желание заниматся чем то подобным.
>И на jail все на заканчиваете - легкой виртуализации в смысле продакшена
>в BSD  нет.
>В опенке ее нет совсем - и к чему бы это ?

Можете додумывать что угодно, несколько лет назад было обсуждение, и собсно сам Тео прямо заявил, что вообще jail — это круто, но грамотно сделать очень сложно (вскоре после этого во фряшном jail нашли крупную уязвимость). Был проект sysjail, но он, AFAIK, теперь заброшен, после того как в systrace обнаружили неисправимый race condition. Если кто-то осилит сделать адекватную замену systrace (может, уже делают, я не в курсе), будет действительно круто. :)

>П.С В свое время все висело на опенке, и он был единственной
>системой, которую мы ставили для наших клиентов.
>Уход с него был тяжел и мрачен :). С тех пор я
>предпочитаю болеть за развитие данного проекта издалека.

Каждому своё. Я прекрасно помню, как матерился, настраивая Linux-сервера и, в меньшей степени — благодаря наличию pf, фряшные. :) Кому что удобнее — хорошо, что есть выбор. :)