Увидел свет (http://marc.info/?l=openbsd-announce&m=135179064310905&w=2) релиз операционной системы OpenBSD 5.2 (http://openbsd.org/52.html), тридцать третий выпуск за восемнадцатилетнюю историю существования проекта. При развитии OpenBSD основное внимание уделяется переносимости (поддерживается (http://www.openbsd.org/plat.html) 17 аппаратных архитектур), стандартизации, корректной работе, активной безопасности и интегрированным криптографическим средствам.
Размер установочного iso-образа (http://ftp.eu.openbsd.org/pub/OpenBSD/5.2/i386/install52.iso) 230 Мб.
Кроме непосредственно операционной системы, проект OpenBSD известен своими компонентами, которые получили распространение в других системах и зарекомендовали себя как одни из наиболее безопасных и качественных решений. Среди них: OpenSSH (http://www.openssh.org/), пакетный фильтр PF (http://www.openbsd.org/faq/pf/index.html), демоны маршрутизации OpenBGPD и OpenOSPFD (http://www.openbgpd.org/), NTP-сервер OpenNTPD (http://www.openntpd.org/), почтовый сервер OpenSMTPD (http://www.opensmtpd.org/), мультиплексор текстового терминала (аналог GNU screen) tmux (http://tmux.sourceforge.net/), BSDL-альтернатива пакету GNU groff - mandoc (http://mdocml.bsd.lv/), протокол для организации отказоустойчивых систем CARP (Common Address Redundancy Protocol).
Из улучшений (http://www.openbsd.org/52.html), добавленных в OpenBSD 5.2, можно отметить:
- В состав включена новая реализация нитей pthreads (http://www.openbsd.org/cgi-bin/man.cgi?query=pthreads&sektion=3), выполненная на базе работающей на уровне ядра подсистемы rthreads (http://www.openbsd.org/papers/eurobsd2012/guenther-rthreads/...), заменившей собой ранее используемую библиотеку uthreads, работающую на уровне пользователя. Ключевым достоинством новой реализации pthreads является поддержка реального распараллеливания выполнения многопоточных программ на многоядерных системах.
Из других связанных с поддержкой многопоточности изменений можно отметить: добавление в gdb возможности отладки работающих многопоточных программ; реализацию нового системного ограничения kern.maxthread, задающего максимально допустимое число нитей; адаптация утилит ps, top и fstat для отображения выполнения многопоточных программ.- В состав базовой системы включены БД SQLite,
HTTP-сервер nginx и утилита libtool. Удалены драйвер
raid(4) и утилита raidctl(8), вместо которых следует использовать softraid(4);- Обеспечение поддержки перехода в спящий режим (hibernation) для архитектуры i386. В настоящее время засыпание возможно только для дисковых контроллеров, поддерживаемых в драйверах pciide (http://www.openbsd.org/cgi-bin/man.cgi?query=pciide&sektion=4) и wd (http://www.openbsd.org/cgi-bin/man.cgi?query=wd&sektion=4);
- Улучшения в сетевой подсистеме:
- В пакетном фильтре PF добавлена поддержка балансировки нагрузки с учетом весов состояний; в блоке "set { }" теперь можно использовать опции prio и tos; допустимо создание более 16 интерфейсов pflog(4); добавлена возможность установки tos для пакетов IPv6;
- Обеспечена поддержка создания сетевого моста между двумя IPv4-сетями поверх IPv6-линка (с использованием gif(4));
- В IPsec-стек и iked(8) добавлена поддержка ESN (Extended Sequence Numbers);
- Размер начального окна TCP увеличен до 14600 в соответствии с рекомендациями в draft-ietf-tcpm-initcwnd;
- Улучшена обработка sockaddrs для типичных ситуаций, улучшена обработка ошибок и ограничений в процессе работы с файловыми дескрипторами, устранена утечка файловых дескрипторов в процессе обработки сообщений, улучшена работа кода буферизации для сокетов AF_UNIX;
- Улучшения в системных приложениях:
- В программы sndiod(1) (http://www.openbsd.org/cgi-bin/man.cgi?query=aucat&sektion=1),
bgpd(8) (http://www.openbsd.org/cgi-bin/man.cgi?query=bgpd&sektion=8),
dvmrpd(8) (http://www.openbsd.org/cgi-bin/man.cgi?query=dvmrpd&sektion=8),
ftp-proxy(8) (http://www.openbsd.org/cgi-bin/man.cgi?query=ftp-proxy&sekti...),
iked(8) (http://www.openbsd.org/cgi-bin/man.cgi?query=iked&sektion=8),
iscsid(8) (http://www.openbsd.org/cgi-bin/man.cgi?query=iscsid&sektion=8),
ldapd(8) (http://www.openbsd.org/cgi-bin/man.cgi?query=ldapd&sektion=8),
ldpd(8) (http://www.openbsd.org/cgi-bin/man.cgi?query=ldpd&sektion=8),
nsd(8) (http://www.openbsd.org/cgi-bin/man.cgi?query=nsd&sektion=8),
ospf6d(8) (http://www.openbsd.org/cgi-bin/man.cgi?query=ospf6d&sektion=8),
ospfd(8) (http://www.openbsd.org/cgi-bin/man.cgi?query=ospfd&sektion=8),
relayd(8) (http://www.openbsd.org/cgi-bin/man.cgi?query=relayd&sektion=8),
ripd(8) (http://www.openbsd.org/cgi-bin/man.cgi?query=ripd&sektion=8),
snmpd(8) (http://www.openbsd.org/cgi-bin/man.cgi?query=snmpd&sektion=8),
spamd(8) (http://www.openbsd.org/cgi-bin/man.cgi?query=spamd&sektion=8),
sshd(8) (http://www.openbsd.org/cgi-bin/man.cgi?query=sshd&sektion=8),
tcpbench(1) (http://www.openbsd.org/cgi-bin/man.cgi?query=tcpbench&sektion=1) и
tmux(1) (http://www.openbsd.org/cgi-bin/man.cgi?query=tmux&sektion=1) добавлена поддержка ограничения интенсивности приёма новых соединений (rate limit);- В команду route(8) добавлена поддержка сиснтаксиса destination/prefixlen при определении маршрутов IPv6;
- В tcpdump(8) добавлена поддержка вывода дампов пакетов в ASCII-режиме и улучшена поддержка протоколов etherip и BGP
- Переписан tftpd(8), который теперь реализован в форме самодостаточного демона, работающего в неблокирующем режиме и поддерживающего IPv6;
- В snmpd(8) добавлена поддержка PF-MIB, UCD-DISKIO-MIB и дополнительных OID в категории HOST-RESOURCES-MIB;
- В bgpd(8) улучшена работа в условиях нестабильного состояния сети; в код принятия решения о выборе маршрутов добавлены дополнительные проверки; обеспечена поддержка RFC 6608; улучшено информирование о возникающих ошибках. В bgpctl(8) для отладки добавлена возможность загрузки MRT-дампов в bgpd(8), а также добавлена опция "selected" для показа только избранных маршрутов по команде "show rib";
- В ospfd(8) обеспечена корректная поддержка типов LSA_TYPE_AREA_OPAQ и LSA_TYPE_AS_OPAQ;
- В relayd(8) обеспечена возможность обработки транзакций, размером больше 2 Гб;
- В утилите ftp(1) добавлена возможность выбора IP-адреса, с которого будет установлено соединение;
- В функции inet_net_pton(3) и inet_net_ntop(3) добавлена поддержка IPv6 (AF_INET6);
- В OpenSSL по умолчанию отключено использование SSLv2;
- Добавлена возможность использования AMT для проброса консоли поверх Ethernet (amtterm (http://www.openbsd.org/cgi-bin/cvsweb/ports/comms/amtterm/);
- Многочисленные улучшения в smtpd(8): увеличение надёжности, новая реализация MTA-клиента и планировщика разбора очередей, упрощение синтаксиса smtpd.conf и улучшение соответствия RFC;
- Расширение возможностей утилиты tmux(1): для выбора сессий и окон добавлено новое унифицированное древовидное представление; новые команды для смены номеров окон; изменение организации работы режима просмотра истории состояния окна; поддержка ограничения интенсивности вывода на экран;
- Улучшение поддержки FAT-разделов и обеспечение работы fsck_msdos на накопителях с размером сектора, отличающегося от 512 байт;
- Обновлён пакет OpenSSH 6.1, обзор улучшений можно посмотреть здесь (http://www.opennet.me/opennews/art.shtml?num=34692);
- В sysconf(3) (http://www.openbsd.org/cgi-bin/man.cgi?query=sysconf&sektion=3) и
pathconf(2) (http://www.openbsd.org/cgi-bin/man.cgi?query=pathconf&sektion=2) добавлены дополнительные переменные конфигурирования;
- В системную библиотеку добавлена поддержка функций posix_spawn(3) (http://www.openbsd.org/cgi-bin/man.cgi?query=posix_spawn&sek...), mbsnrtowcs(3) (http://www.openbsd.org/cgi-bin/man.cgi?query=mbsnrtowcs&sekt...), wcsnrtombs(3) (http://www.openbsd.o...URL: http://marc.info/?l=openbsd-announce&m=135179064310905&w=2
Новость: http://www.opennet.me/opennews/art.shtml?num=35223
Великолепные проги,отлаженная,отточенная,продуманная система.Вот только никому
не нужная.и нигде в серьёз не воспринимаемая.Разрабы могли бы податься к IT
гигантам на разработку,но продолжают долбиться в стену.
Благодаря им у нас есть и openssh, и многое другое.У вас странные понятия о разделении ролей. Как в примитивных стратегиях, когда из 100 ягод можно построить солдата, нужно только активно производить эти ягоды. Или если в науке всем уйти в самую модную и прибыльную науку, и развивать только её.
> Благодаря им у нас есть и openssh, и многое другое.Заметим, что переусложенный и навороченный (и поэтому фигово поддающийся аудиту) комбайн OpenSSH, хотя и сделан опенбсдшниками, не очень-то соответствует их идеологии. Но народ любит комбайны, потому что они удобны.
А "многое другое" (всякие openntpd, openbgp) очень малопопулярно за пределами мира {Free,Open}BSD.
> Заметим, что переусложенный и навороченный (и поэтому фигово поддающийся аудиту) комбайн
> OpenSSH, хотя и сделан опенбсдшниками, не очень-то соответствует их идеологии.Да, что-то перенаворатили они его. В результате если его просто вывесить на стандартный порт - его конечно не сломают с нормальным паролем, но проц он начинает жрать конкретно когда ботики сканируют и долбятся брутфорсом.
fail2ban?
pf
> pfУ меня iptables. Он конечно справляется с отстрелом уродов, но если уж в этот мегакомбайн можно засовывать sdtp и впн то наверное и автоотстрел брутфорсеров сделать можно? В общем какая-то странная логика развития у них. Пир во время чумы, как обычно.
>> pf
> У меня iptables. Он конечно справляется с отстрелом уродов, но если уж
> в этот мегакомбайн можно засовывать sdtp и впн то наверное и
> автоотстрел брутфорсеров сделать можно? В общем какая-то странная логика развития у
> них. Пир во время чумы, как обычно.Это уже обсуждалось много раз, и, по-видимому, до вас никогда не дойдёт. Но для тех, кто пока ещё плохо разбирается в теме и поэтому может поверить пропагандируемой вами ахинее:
Глупо пытаться встроить логику контроля подключений в каждое приложение, если только к этому не вынуждает логика протокола (например, виртуальный хостинг в случае HTTP, где разные значения заголовка Host могут определять совсем разные действия и разную нагрузку). Именно фаервол отвечает за контроль над установлением соединений. Поэтому логичнее, проще, естественнее, быстрее и надёжнее в конце концов - контролировать входящие подключения к SSH-серверу именно им.
Но нет, это не по-нашему. Если для NetFilter нет mod_banextrasshload (нет ли?); если в NetFilter самом нет аналога "max-src-conn ... max-src-conn-rate ... overload ..." из PF (нет ли?), то это означет не то, что NetFilter несовершеннен - это означает, что следует использовать костыли вроде fail2ban и упрекать авторов популярных программных серверов, что они не смеют изобретать велосипеды.
Вот, скажем, логика избегания нехватки файловых дескрипторов должна, увы, реализовываться в каждом приложении по-своему, да. По крайней мере, об изящных универсальных решениях этой проблемы для C лично мне пока не известно. И в этом случае таки да, разработчики OpenSSH, равно как и других компонентов OpenBSD, проделали соответствующую работу.
... Ну а теперь можно ждать очередных попыток сменить тему в духе: "а зато в вашем опёнке...". :)
> Глупо пытаться встроить логику контроля подключений в каждое приложение, если только к
> этому не вынуждает логика протоколаВ данном случае она и вынуждает как раз: расход му...ком-брутфорсером ресурсов на его деятельность IIRC ниже чем расход серваком своих ресурсов на обслуживание этой деятельности.
> ... Ну а теперь можно ждать очередных попыток сменить тему в духе: "а зато в вашем опёнке...". :)
Зачем? Я вам вашим же вооружением и выдам. Вы сами про протоколы сказали. Как раз вполне уместно относительно SSH, ибо для сервера криптография IIRC более ресурсозатратна чем для клиента в этой схеме. Не говоря уж о том что иной раз припирается сразу несколько брутфорсеров, которые работают на взломанных хостах. И потому совсем не парятся расходом ресурсов, в отличие от НЕвзломанного сервера который активно брутфорсят.
Ну да, подумаешь плохо катается на своих квадратных колесах. Зато кондей в салоне есть!
>> Глупо пытаться встроить логику контроля подключений в каждое приложение, если только к
>> этому не вынуждает логика протокола
> В данном случае она и вынуждает как раз: расход му...ком-брутфорсером ресурсов на
> его деятельность IIRC ниже чем расход серваком своих ресурсов на обслуживание
> этой деятельности.Опять между строк читаете.
Нагрузка на сервер за счёт SSH _предсказуема_. В отличие от приведённого мною примера с HTTP (и то, кстати, с оным не всегда всё так плохо). Поэтому на фаерволе переборщики паролей прекрасно отстреливаются. Если, конечно, выполняются следующие два условия:
1) Речь идёт о переборе паролей с одного или нескольких, но не многих IP-адресов. Однако в противном случае сдуется и fail2ban, и сам SSH-сервер, как и любой другой. Если, конечно, кто-то не придумал способ до прохождения аутентификации отличать "хороших" пользователей от "плохих". ;) Есть, конечно, компромиссные решения, но они так же логичнее рулятся фаерволом, а не изобретаются заново в каждой софтине.
2) Фаервол позволяет производить оный отстрел. PF - родной для проекта OpenBSD, а, следовательно, и для OpenSSH - позволяет. Легко. Жду возмущений "а как же Linux?!".
>> ... Ну а теперь можно ждать очередных попыток сменить тему в духе: "а зато в вашем опёнке...". :)
> Зачем? Я вам вашим же вооружением и выдам.... и попали себе в ногу.
> Опять между строк читаете.Это не чтение между срок. Это лишь капитанинг основанный на опыте администрирования.
> Нагрузка на сервер за счёт SSH _предсказуема_.
Вранье. Зависит от погоды на марсе и настроения ботов-брутфорсеров. Сегодня пусто, а завтра 100500 ботов усиленно перебирают пароли - и ssh жрет ресурсы как не в себя.
> В отличие от приведённого мною примера с HTTP
Вот знаете, убедить нжинкс или lighttpd так же нагрузить проц у меня вообще ни разу не получалось. Там настолько хардкорно CPU жрать просто нечему. Зато блин всякие качалки файлов, недо-впн и портфорвардеры. Для чего навалом отдельных утилит есть. Более удобных.
> 1) Речь идёт о переборе паролей с одного или нескольких, но не многих IP-адресов.
Вот, начались галимые отмазки. Не, ну понятно что впн намного круче встроить чем например порткнокер простенький, который бы не давал делать ресурсоемкие операции для автоматизированных уродцев "с улицы".
> Однако в противном случае сдуется и fail2ban, и сам SSH-сервер,
Вот как раз штуки типа fail2ban могут в принципе посчитать что "идет атака" и вынести всех ее участников понизив порог раздачи банхаммером на время.
> как и любой другой. Если, конечно, кто-то не придумал способ
> до прохождения аутентификации отличать "хороших" пользователей от "плохих". ;)Portknocking называется, но почему-то народ вынужден его делать на местечковых платформозависимых костылях сам, в то время когда разработчики ssh страдают фигней с впнами и прочим портфорвардом.
> Есть, конечно, компромиссные решения, но они так же логичнее рулятся фаерволом, а не
> изобретаются заново в каждой софтине.Если софтину приходится защищать файрволом - это индикатор того что софтиан ненадежная. Нет, лишний рубеж обороны это хорошо. Просто за ним не должны быть неженки и лузеры.
> 2) Фаервол позволяет производить оный отстрел. PF - родной для проекта OpenBSD,
> а, следовательно, и для OpenSSH - позволяет. Легко. Жду возмущений "а как же Linux?!".Да он тоже позволяет, но с таким же успехом у меня и утилиты для передачи файлов и создания впнов есть, знаете ли, без всяких костылей в ssh.
>> Зачем? Я вам вашим же вооружением и выдам.
> ... и попали себе в ногу.Чего бы это ради?
>> Опять между строк читаете.
> Это не чтение между срок. Это лишь капитанинг основанный на опыте администрирования.Нет, вы действительно не читаете внимательно то, что вам пишут, а слушаете только себя. Вернее, может, и читаете, но в ваших комментариях это не отражается...
>> Нагрузка на сервер за счёт SSH _предсказуема_.
> Вранье. Зависит от погоды на марсе и настроения ботов-брутфорсеров. Сегодня пусто, а
> завтра 100500 ботов усиленно перебирают пароли - и ssh жрет ресурсы
> как не в себя.... А вот и наглядное доказательство. В третий раз, для самых маленьких: SSH даёт предсказуемую нагрузку для каждого клиента. Объём и характер вычислений на этапе установления соединения _одинаковый_ для любого клиента (с оговорками про разные виды ключей, перебор публичных ключей и т.д., но это в описываемой ситуации не принципиально). Как следствие, _можно_ прогнозировать, какое количество одновременных подключений можно держать максимально. В случае с тем же HTTP этого сделать _нельзя_: потому что усилия, которые прилагает сервер для отдачи статической картинки не сравнимы с теми, которые нужны для переработки тяжёлого скрипта.
>> В отличие от приведённого мною примера с HTTP
> Вот знаете, убедить нжинкс или lighttpd так же нагрузить проц у меня
> вообще ни разу не получалось. Там настолько хардкорно CPU жрать просто
> нечему. Зато блин всякие качалки файлов, недо-впн и портфорвардеры. Для чего
> навалом отдельных утилит есть. Более удобных.Это вы тоже говорите, основываясь на опыте администрирования? Если вы не видели, как может быть перегружен (на абсолютно легальной нагрузке) nginx, то говорить об опыте просто сме-шно. Ещё раз: User294, вы сме-шны. Причём смешны в самом противном смысле. Вы даже про HTTPS не подумали и сравниваете нешифрованный трафик с шифрованным... Сме-шно. И противно.
>> 1) Речь идёт о переборе паролей с одного или нескольких, но не многих IP-адресов.
> Вот, начались галимые отмазки. Не, ну понятно что впн намного круче встроить
> чем например порткнокер простенький, который бы не давал делать ресурсоемкие операции
> для автоматизированных уродцев "с улицы".Про port knocking мы с вами тоже не раз беседовали. И до вас так же до сих пор не дошло, что это одна из худших идей, которые приходили когда-либо кому-то в голову. Ещё раз (не для вас - это явно бесполезно - а для других) объясняю, почему:
1. Port knocking заметно сужает класс устройств, которыми вы можете воспользоваться. Не говоря о том, что в некоторых случаях у вас может не быть возможности стучаться на сторонние порты.
2. Даже если принять его за эффективную меру (а в случае целенаправленной атаки это не совсем так), опять-таки, вы предлагаете реализовывать его в каждом сетевом приложении? Ведь ЛЮБОЕ приложение может, при соответствующем использовании, нагрузить систему. Отстрел лишних подключений - задача фаервола, это он работает на L3 OSI.
>> Однако в противном случае сдуется и fail2ban, и сам SSH-сервер,
> Вот как раз штуки типа fail2ban могут в принципе посчитать что "идет
> атака" и вынести всех ее участников понизив порог раздачи банхаммером на
> время.Ага, щаз. И как fail2ban отличит легального админа от зомбо-компа из того же города? Ещё раз: пока не прошла аутентификация, вы не можете наверняка сказать, кто это подключается, легальный пользователь или нет. А если можете, то только на основании IP-адреса. А резать коннекты по IP-адресам, опять-таки, логичнее и удобнее на фаерволе.
>> Есть, конечно, компромиссные решения, но они так же логичнее рулятся фаерволом, а не
>> изобретаются заново в каждой софтине.
> Если софтину приходится защищать файрволом - это индикатор того что софтиан ненадежная.Кажется, вы всё-таки не прикидываетесь. Увы.
Фаервол должен выполнять свои обязанности, софт - свои. Задача софта - обеспечивать требуемую функциональность, отвечая за неё. Задача фаервола (среди прочего) - не заставлять софт заниматься посторонними делами.
> Нет, лишний рубеж обороны это хорошо. Просто за ним не должны
> быть неженки и лузеры.Вот только подтвердить свои слова про неженок и лузеров у вас не получается. Ну или записать в них весь софт на свете.
>> 2) Фаервол позволяет производить оный отстрел. PF - родной для проекта OpenBSD,
>> а, следовательно, и для OpenSSH - позволяет. Легко. Жду возмущений "а как же Linux?!".
> Да он тоже позволяет, но с таким же успехом у меня и
> утилиты для передачи файлов и создания впнов есть, знаете ли, без
> всяких костылей в ssh.Это какие? Про передачу файлов - rsync, авторы которого сами не рекомендуют открывать доступ по "родному" протоколу в недоверенной сети? Сме-шно.
>>> Зачем? Я вам вашим же вооружением и выдам.
>> ... и попали себе в ногу.
> Чего бы это ради?Может, вы мазохист. Или, что более очевидно, унылый тролль. Который никак не хочет понять, что слил по-крупному.
Счастливо оставаться.
> если в NetFilter самом нет аналога "max-src-conn ... max-src-conn-rate ... overloadесть это всё. просто автор исходного сообщения либо не знает/не умеет, либо троллит.
> ..." из PF (нет ли?), то это означет не то, что
> NetFilter несовершеннен - это означает, что следует использовать костыли вроде fail2ban
> и упрекать авторов популярных программных серверов, что они не смеют изобретать
> велосипеды.а чего костыли? я бы предпочёл отдельный лог, в который падают сообщения, допустим, в json
{"host": "10.55.44.23", "type": "bforce", "user": "vasya"}вполне очевидно, что нужен какой-то протокол для взаимодействия с пакетным фильтром.
пока всё это выражается в костыли типа fail2ban вокруг логов.конечно, неплохо туда timestamp добавить, pid процесса.
> fail2ban?Ну да, ну да, встроить файлтрансфер и какие там еще пробросы портов с впн, нужные спасибо если раз в год в суперкомбайн можно, а вот защиту от уродов сделать, чтобы можно было безопасно вывешивать на стандартный порт - не, ну что вы, юзайте внешний костыль на питонятине или что у нас там еще.
>> fail2ban?
> Ну да, ну да, встроить файлтрансфер и какие там еще пробросы портов
> с впн, нужные спасибо если раз в годПо себе других не судите. Проброс портов - жизненноважная вещь. Между прочим, посредством такого же проброса вы на халяву имеете возможность _защищённого_ терминального запуска любого X-приложения на удалённой машине при работе с окнами этого приложения локально... Ну, то есть, имели, до прихода Wayland. :-\
А VPN - да, бывает нужен раз в год. Зато когда нужен - спасает огромное количество времени и сил.
Впрочем, вы же этим не пользуетесь - значит, это никому не нужно, да...
> запуска любого X-приложения на удалённой машине при работе с окнами этого
> приложения локально...Мне это нужно как рыбке зонтик в водной среде. Особенно на серверах, где у меня никаких иксов нет. А вот процессор жрать в неуемных количествах оно начинает просто "по дефолту".
> Ну, то есть, имели, до прихода Wayland. :-\
Что-то мне подсказывает что в опенке с их махровой некрофилией все это вам особо не грозит. Как впрочем и быстрая графическая подсистема с шустрыми, стабильными и фичастыми опенсорсными драйверами для существующего ассортимента видеокарт.
> А VPN - да, бывает нужен раз в год. Зато когда нужен
> - спасает огромное количество времени и сил.Меня обычно openvpn спасает. Намного менее через задницу сделано. Хотя любители гасить гвозди микроскопом не одобряют.
> Впрочем, вы же этим не пользуетесь - значит, это никому не нужно, да...
Да, я считаю что когда программа хреново выполняет прямые обязанности, зато своими перделками лезет в 100500 смежных областей, где и так навалом программ на все вкусы - это довольно странно выглядит. Как минимум это ну совсем не юниксвэйно. Это что-то типа FatRat, NeroBurningRom и подобных монстров, только консольное.
>> запуска любого X-приложения на удалённой машине при работе с окнами этого
>> приложения локально...
> Мне это нужно как рыбке зонтик в водной среде.Вот-вот. "Мне не нужно, значит, никому не нужно". Гениально. То, что другим это нужно, вас не интересует?
> Особенно на серверах, где у меня никаких иксов нет.
1. Сервера серверам рознь.
2. На свете бывают не только сервера.
3. Если вы не в курсе, X-протокол работает в том числе между разными ОС. То есть я совершенно спокойно из своего опёнка могу запустить какой-нибудь virt-manager в CentOS.>> Ну, то есть, имели, до прихода Wayland. :-\
> Что-то мне подсказывает что в опенке с их махровой некрофилией все это
> вам особо не грозит."Это" - это что? Wayland?
> Как впрочем и быстрая графическая подсистема с
Уже есть. Упс? Извинения будут? Не говоря о том, что вы опять соскакиваете с темы.
> шустрыми, стабильными и фичастыми опенсорсными драйверами для существующего ассортимента видеокарт.
Не для всего, увы. Пока что в фаворе Intel, как самый адекватный. Впрочем, ни одна ОС не может тем же похвастаться. И опять-таки, к SSH и даже X-протоколу это не имеет никакого отношения.
>> А VPN - да, бывает нужен раз в год. Зато когда нужен
>> - спасает огромное количество времени и сил.
> Меня обычно openvpn спасает. Намного менее через задницу сделано.Ну, это ещё бабушка надвое сказала. У OpenVPN свои родовые травмы присутствуют. Но кто без греха...
> Хотя любители гасить гвозди микроскопом не одобряют.
Только OpenVPN ещё развернуть надо. Зачем лишний геморрой для временного решения? Если бы вы хотя бы руководство по ssh(1) прочитали, то, скорее всего, запомнили бы, что там и не рекомендуется VPN через SSH для постоянного использования. Это специфический инструмент. Можно и без него. Как без перфоратора, например, при ремонте.
>> Впрочем, вы же этим не пользуетесь - значит, это никому не нужно, да...
> Да, я считаю что когда программа хреново выполняет прямые обязанности,Пруф, что OpenSSH плохо реализует RFC? Покажете, что и как надо исправить?
> зато своими
> перделками лезет в 100500 смежных областей, где и так навалом программ
> на все вкусы - это довольно странно выглядит. Как минимум это
> ну совсем не юниксвэйно. Это что-то типа FatRat, NeroBurningRom и подобных
> монстров, только консольное.Не лезет. Разработчики выжимают всё, что можно, из протокола SSH. И одновременного работают над улучшением последнего, да. Не больше и не меньше.
Задача SSH как протокола - обеспечить надёжный, безопасный канал для передачи команд и данных через недоверенную среду. VPN - это не смежная область. Это ТА ЖЕ область. Просто с другой стороны. С помощью OpenVPN можно организовать удалённый шелл. И - верю! - в какой-то ситуации это окажется удобнее, чем поднимать SSH. Вот и всё.
> Вот-вот. "Мне не нужно, значит, никому не нужно". Гениально.Просто есть нужная вообще почти всем хрень типа отстрела уродов, а есть нужная раз в сто лет, типа извращенского vpn over ssh.
>> Особенно на серверах, где у меня никаких иксов нет.
> 1. Сервера серверам рознь.Да, но обычно на серваках все-таки иксов нет.
> 2. На свете бывают не только сервера.
И даже так иксы по ssh - решение весьма на любителя.
> 3. Если вы не в курсе, X-протокол работает в том числе между разными ОС.
Спасибо, Кэп.
> То есть я совершенно спокойно из своего опёнка могу запустить какой-нибудь virt-manager в CentOS.
А еще можно левой пяткой правое ухо чесать.
>> вам особо не грозит.
> "Это" - это что? Wayland?Ага. Вы лучше будете за иксы цепляться. Хоть оно и тормозное и переросточное, если называть вещи своими именами.
>> Как впрочем и быстрая графическая подсистема с
> Уже есть. Упс? Извинения будут? Не говоря о том, что вы опять соскакиваете с темы.Не будут, потому что понятия опенбсдшников о быстроте графики - что-то типа понятий улиток о болидах F1.
> Не для всего, увы. Пока что в фаворе Intel, как самый адекватный.
Интел, как самый адекватный, тоже выпускает все современные драйвера для своего добра KMS-only и на бсдшников давно забил болт. Их разработчики вот прямо так и сказали что не собираются клинить развитие линуксного кода из-за всяких слоупоков. Конечно можно пользоваться версией из доKMSной эры, но оно не выдерживает никакого сравнения с современными версиями. И насколько она поддерживает современное оборудование, выпущенное недавно?
> Впрочем, ни одна ОС не может тем же похвастаться.
Какие-то отмазки. Я конечно понимаю что некоторым неудобно замечать что интель открытый драйвер только под линухи откровенно пилит в последнее время, но собственно страусиный подход в этом и виноват. Мир идет вперед. Требования к графике заметно выросли в среднем по больнице. А то что в отдельно взятой резервации до сих пор кто-то пашет на лошадях - вовсе не отменяет трактора.
> И опять-таки, к SSH и даже X-протоколу это не имеет никакого отношения.
Это имеет отношение к состоянию графической подисстемы в ОС.
>> Меня обычно openvpn спасает. Намного менее через задницу сделано.
> Ну, это ещё бабушка надвое сказала. У OpenVPN свои родовые травмы присутствуют.Ну по крайней мере оно умеет юзать и tcp и udp на любой порт а для TCP может еще и шарить порт 443 с HTTPS сервером, что позволяет оному пробиваться через почти любые файрволлы и прокси, не узурпируя 443 порт полностью если тот нужен для собственно HTTPS.
> Но кто без греха...
Просто в openssh брутально поклали на unix-way сделав какого-то монстра. Ну я бы еще понял если бы оформили это как несколько наборов утилиток - что понадобилось то и взял. Но оформили как именно 1 перенавороченный монстр.
>> Хотя любители гасить гвозди микроскопом не одобряют.
> Только OpenVPN ещё развернуть надо.По минимуму разворачивается парой команд и строчек конфига.
> Зачем лишний геморрой для временного решения?
Все-равно пригодится в свете текущих трендов рунета...
> постоянного использования. Это специфический инструмент. Можно и без него. Как без
> перфоратора, например, при ремонте.Перфоратор как раз инструмент нацеленный на серьезный юзеж в своей области. А это - дрель встроенная в соковыжималку, пардон. С аргументацией что раз мотор есть - пусть до кучи и сверло умеет крутить. Хоть это и явно не основной функционал прибора и усложняет прибор почем зря.
> Пруф, что OpenSSH плохо реализует RFC? Покажете, что и как надо исправить?
Какой именно RFC? На угребищный встроенный VPN? Или самопальный файлтансфер? Ну, могу показать по этому поводу RFC1149. Его вроде не реализует. Ну или где оно голубятню заныкало? :)
> Не лезет. Разработчики выжимают всё, что можно, из протокола SSH.
Это маразм. То же самое что "разработчики TCP выжимают все что возможно из своего протокола". Во был бы номер если б в ядро ОС встроили все вплоть до MySQL сервера с таким аргументом :)
> И одновременного работают над улучшением последнего, да. Не больше и не меньше.
Как по мне так они сделали какой-то переросточный комбайн.
> Задача SSH как протокола - обеспечить надёжный, безопасный канал для передачи команд
> и данных через недоверенную среду.И вот это оно должно делать хорошо. В том числе не страдая от атакующих и ботов. Ибо когда задницу "безопасного" надо фаером защищать - это ЛОЛ.
> VPN - это не смежная область. Это ТА ЖЕ область.
Ну тогда создатели TCP стэка были просто обязаны впихать VPN, передачу файлов и секурный шелл прямо в ядро ОС. Сделав openssh ненужным duplicate функционалом.
> Просто с другой стороны. С помощью OpenVPN можно организовать удалённый шелл.
> И - верю! - в какой-то ситуации это окажется удобнее, чем поднимать SSH. Вот и всё.С другой стороны, нафиг не упало микроскопом гвозди забивать. Да, через OpenVPN можно было бы и файлы передавать и ремотный шелл юзать и прочая. Но его авторы в отличие от - еще немного в здравом уме и делают впн. Который делает 1 дело и делает его хорошо.
>> fail2ban?
> Ну да, ну да, встроить файлтрансферBTW, а какие вы знаете альтернативные адекватные (т.е., FTPS не предлагать) средства безопасной передачи файлов в *nix? ;)
> безопасной передачи файлов в *nix? ;)Да как г-на. От rsync в котором простейшее шифрование встроено до например HTTPS/WebDAV over https и еще туевой хучи вариантов. Или чтоугодно - over VPN, например. Почему такое средство должно быть именно в удаленной администрилке - вопрос интересный. А давайте туда встроим еще файрвол какой-нибудь и ядро операционки? :)
кретин какой-то ... и socks и проброс портов в обе стороны используется не то что каждый день, а каждый час...
доступ к удаленной БД, веб-серверу ... моменты с геотаргетингом при отладке проектов ...
да тупо обойти поломанный роутинг где-нибудь в недрах рашковании, прокинув порты через ssh хосты с нормальным соединением - вопрос 30 секунд...
> ssh хосты с нормальным соединением - вопрос 30 секунд...Вот только все это впном делается не в пример прямее и проще и в целом менее криво получается.
А не просветит кто-нибудь знающий, код драйверов и общие улучшения в разных подсистемах берут из OpenBSD в FreeBSD и наоборот?
Иногда, по мере интереса/необходимости. pf, например,
во FreeBSD синхронизируют с OpenBSD'шным. Сейчас правда
не знаю, ибо nuclight собирался ipfw переписывать. Посмотрим,
чем дело закончится.
> Иногда, по мере интереса/необходимости. pf, например,
> во FreeBSD синхронизируют с OpenBSD'шным. Сейчас правдауже нет. и pf сейчас по fbsd по ядрам масштабируется (в head)
> не знаю, ибо nuclight собирался ipfw переписывать. Посмотрим,
> чем дело закончится.а причем тут ipfw ?;-)
> а причем тут ipfw ?;-)Притом, что если fbsd развивает что-то свое, то
логично предположить, что от стороннего они откажутся.
>> а причем тут ipfw ?;-)
> Притом, что если fbsd развивает что-то свое, то
> логично предположить, что от стороннего они откажутся.я надеюсь, что для Вас не является Тайной то, ipfw развивается давно, однако это не мешает людям использовать pf. желающие "откажутся" могли это сделать кучу раз (а некоторые и отказались)
> уже нет. и pf сейчас по fbsd по ядрам масштабируется (в head)когда 10ку зарелизят - посмотрим. покаpf smp-friendly у народа паникует.
это как с btrfs в linux: оно вроде как есть(и я даже использую), но в продакшн страшно(не смотря на то, что проблем с ней у меня нет).
Тащемта на сайте опенбсдшников идеология разработки подробно и в деталях выражена Тео. Кто более знающ, чем лично глава проекта?
> Тащемта на сайте опенбсдшников идеология разработки подробно и в деталях выражена Тео.
> Кто более знающ, чем лично глава проекта?Да.Вот только идеологии ORACLов,судя по распространённости и комерческому успеху их продуктов,как-то ближе к реальности.
> Да.Вот только идеологии ORACLов,судя по распространённости и комерческому успеху их продуктов,как-то ближе к реальности.Мера успешности не-BSD проекта - собственный успех.
Мера успешности BSD проекта - успех основанных на нем не-BSD проектов.
Чьей реальности? И у OpenBSD нет целей стать коммерчески успешным проектом.
> Чьей реальности? И у OpenBSD нет целей стать коммерчески успешным проектом.Он и некомерчески не особо успешен.Нет,действительно,для чего разрабы
тратят время?Чтобы было?Им больше заняться нечем?
> Он и некомерчески не особо успешен.Нет,действительно,для чего разрабы
> тратят время?Чтобы было?Им больше заняться нечем?Ну, нравится людям программировать. У Тео есть свои взгляды. Ну на что-то такое и тратят.
> Он и некомерчески не особо успешен.С чего Вы так решили? ;)
>> Чьей реальности? И у OpenBSD нет целей стать коммерчески успешным проектом.
> Он и некомерчески не особо успешен.Нет,действительно,для чего разрабы
> тратят время?Чтобы было?Им больше заняться нечем?Он "некомерчески не особо успешен" уже 17 лет. Ничо так загнивание. Даже катастройка в нашей стране продлилась меньше.
Ну вон Minix тоже (не)коммерческий успех уже который год ловит. Замечу что поначалу даже продавать получалось слегка, а хоть и студентам. А теперь попробуйте это продать в 2012 году :)
> Ну вон Minix тоже (не)коммерческий успех уже который год ловит. Замечу что
> поначалу даже продавать получалось слегка, а хоть и студентам. А теперь
> попробуйте это продать в 2012 году :)Дык Minix и позиционируется как полигон для студентов и научных работников (бр-р-р, до чего же дурацкое словосочетание... но это оффтопик). То, что Minix заинтересовал кого-то с коммерческой точки зрения лишь свидетельствует о высоком качестве подготовки в месте работы Танненбаума. :) Это не говоря о том, что востребованность микроядерных ОС сейчас низкая. Хотя, подозреваю, со временем будет расти, когда накладные расходы на микроядро станут приемлемыми - как это произошло с виртуализацией.
OpenBSD же является ОС общего назначения с более близким к монолитному ядром. Сравнивать её с Minix как-то... странно. :)
> заинтересовал кого-то с коммерческой точки зренияДа, если это чуть ли не единственная операционка которую тебе сватают да еще за деньги - ты поневоле заинтересуешься :). А потом еще народ удивляется - ой, а чего это финские студенты свои операционки пишут?! Ну вот наверное чтобы не покупать ТАКОЕ за деньги на таких условиях.
Песня посвященная выпуску:
http://www.openbsd.org/lyrics.html#52Linux, the one and only true Unix
We are in every way Posix
We voice our yearning "Someday soon"
We won't need any other.Then, tomorrow brings a new distro
It's better than the last you know
Another million bits that changed
All the hacks and tweaks we conjure up
They just get pushed into Posix
There's one thing that I know
The world will love it, all LinuxThen, there's other stuff we push as well
Others can work around this hell
With just a million lines of Shell
Now, as standards ape the one Linux
Everyone else just gets stuffed
There's one thing that I'm certain of
The world will love it, all Linux
We are Posix
World, you'll love my Linux
Linux, Linux
http://www.openbsd.org/songs/song52.mp3
то ли детство, то ли батхерт, то ли зависть... то ли всё вместе.примерно как в сырцах своей проги написать коммент - Сидоров дурак.
и только с возрастом поймут, что такая запись характеризует написавшего, а не Сидорова.
> то ли детство, то ли батхерт, то ли зависть... то ли всё
> вместе.
> примерно как в сырцах своей проги написать коммент - Сидоров дурак.
> и только с возрастом поймут, что такая запись характеризует написавшего, а не
> Сидорова.Бессмысленно объяснять такие вещи бедным обиженным детям.
Тем более, что очевидность их инфантилизма и обиженности на мир для окружающих - это скорее плюс.
Нормальная такая ирония, классная песня. Это вам не обезьяны. Только я не понял, почему ссылку дали на mp3, а не на ogg?
Ирония?
Странно что она не про мс, эппл,.. андроид наконец.зыж
Дело то не в "песенке", дело в том "заборе", на котором она написана.
> Странно что она не про мс, эппл,.. андроид наконец.Зачем им создавать лишнюю рекламу? Microsoft даже "этот... ну как его там... Linux" без отвращения на лице сказать не может. Чем мы хуже, нужно вообще слова ms и эппл из лексикона убирать, а то уж больно много мы им внимания оказываем, сами же их и ставя в ранг лидеров, таким вот восприятием.
А с openbsd мы конкуренты-друзья. :) Не вижу в песенке ничего плохого, мне очень нравится, 4 раза уже прослушал, сейчас поставлю пятый. :)
> почему ссылку дали на mp3, а не на ogg?Да уж, незачет. А они этот обложенный патентами кодек у себя по дефолту в системе поставляют? И если да то как они это разрулили? Или это они так намекают что на десктопе из них свою же систему все-равно никто не пользует?
На их сайте две ссылки, mp3 и ogg. Непонятно, почему автор сообщения выбрал mp3?
> На их сайте две ссылки, mp3 и ogg. Непонятно, почему автор сообщения выбрал mp3?Потому что дали дураку выбор, он и выбрал. Правда накукуй ему эта бсд при таком выборе - категорически не понятно :). Пользоваться опенком может только настоящий зилот который за свободу порвет на молекулы, молекулы - на атомы, а будет надо - и атомы на отдельные составляющие раздраконит. А тут вдруг патентованный MP3. Epic fail!
Я оставил ссылку на mp3 потому как она шла на сайте первой. Вот и все.
> Я оставил ссылку на mp3 потому как она шла на сайте первой. Вот и все."Я поюзал винду потому что она на ноуте шла по дефолту". Чья логика? :)
> может только настоящий зилот который за свободу порвет на молекулы, молекулы
> - на атомы, а будет надо - и атомы на отдельные
> составляющие раздраконит.Так у кого там баттхерт???
>Только я не понял, почему ссылку дали на mp3, а не на ogg?бсд и вантуз - близнецы-братья судя по фонатам бсд, а оттуда и любовь ко всяким проприетарным форматам.
Доброго времени!
Большая просьба читать первоисточники, по мере возможностей!
Спасибо!Just as the original song professed its love for Brazil, "World, you'll love my Linux" is the passionate call of an idealistic dreamer who can't bear the thought of software that will only run under Windows, and yet loves the situation with software that will only run under particular Linux distributions.
This problem has proliferated itself into the standards bodies, with Posix adopting Linuxisms ahead of any other variant of Unix.
Posix and Unix have made it where you can write reasonably portable software and have it compile and run across a multitude of platforms. Now this seems to be changing as the love for Linux drives the standards bodies into accepting everything Linux, good and bad.
We also are faced with groups writing software that only works with particular distributions of Linux. From this we get software that not only isn't very portable, but often not particularly stable. Our idealistic dreamer in the song loves running one, or more than one distribution of Linux for a particular purpose. Unfortunately, the rest of us are left with the unattractive choice of doing the same, or relying on herculean efforts to port software that is being actively developed in a way to discourage porting it to other platforms.
Когда уже в этой "самой безопасной системе" появится нормальный мандатный контроль доступа?
А то пока на security-critical задачах приходится использовать UNIX (Solaris) и Linux, в которых оно есть.
> Когда уже в этой "самой безопасной системе" появится нормальный мандатный контроль доступа?
> А то пока на security-critical задачах приходится использовать UNIX (Solaris) и Linux,
> в которых оно есть.Когда придумают такую реализацию MAC, которая не будет создавать проблем более сложных, нежели классическая UNIX-like система контроля доступа. Что не отменяет, конечно, того факта, что в определённых ситуациях MAC удобнее. А так - patches are welcome...
>> Когда уже в этой "самой безопасной системе" появится нормальный мандатный контроль доступа?
>> А то пока на security-critical задачах приходится использовать UNIX (Solaris)
> Когда придумают такую реализацию MAC, которая не будет создавать проблем более сложных,
> нежели классическая UNIX-like система контроля доступа.Разверни-ка.
Где это реально применяется?
Нет, ну я много слышал что это самая безопасная система и так далее.
Но кроме идеи... Где OpenBSD находит практическое прменение, или это только чисто академический проект?P.S. Я не хейтер BSD систем.
> Где это реально применяется?
> Нет, ну я много слышал что это самая безопасная система и так далее.На самом деле, безопасности OpenBSD - примерно как стабильность Ubuntu. Заклинание, повторяемое и поддерживаемое необъективными (в силу различных причин) людьми. Но серьезной технической работы за ним не стоит.
Вам бы лишь бы сказать. Помимо тестирования, все нормальные люди просто вспомнят вброс Тэо про бэкдор ФСБ, когда знающие люди просто из интереса перепахали стек вдоль, поперек и по диагонали :D
> На самом деле, безопасности OpenBSD - примерно как стабильность Ubuntu.Как стабильность дебиана. Много легенд, но рекеить машины все-таки пришлось... да и иные баги случаются.
>> На самом деле, безопасности OpenBSD - примерно как стабильность Ubuntu.
> Как стабильность дебиана. Много легенд, но рекеить машины все-таки пришлось... да и
> иные баги случаются.В какой операционной системе меньше ошибок чем в stable срезе Debian GNU/Linux? Есть данные?
> В какой операционной системе меньше ошибок чем в stable срезе Debian GNU/Linux?
> Есть данные?Есть данные что в дебиане бывают всякие беспонтовые ошибки. Если хотите по больной мозоли огрести лишний раз - могу припомнить еще и живший фиг знает сколько кривой скрипт деинсталляции нжинкса.
С точки зрения юзера это как-то так: ставим прогу. Понимаем что она какой-то ископаемой версии и не умеет половину нужного нам. Деинсталлим. FAIL. Понимаем что такое соотношение стабильности к некромансии не всегда хорошо для пользователя.
Вот сейчас например стабильный дебиан - протух на три с гаком года. Это само по себе убер-баг, зачастую перевешивающий все 100500 экземпляров в багтрекере. Когда новый выйдет - неизвестно. И он будет уже устаревшим - сразу на старте! Потому что пока эту карету стабилизировали, полировали и красили, на дороги уже вышли автомобили и мотоциклы. И спрос на кареты как-то стал скисать.
Чем меньше - тем безопасней!
IMHO.
http://www.openbsd.org/users.htmlТам всё есть. В краткой форме кто и для чего.
обычно делают с OpenBSD фаерволл, а так я ставил OpenBSD и ставил XFCE4 & браузер мидори, программ мало за философии дистрибутива, все должно быть открыто и по лицензии доступной, и никаких блобов
> обычно делают с OpenBSD фаерволл,...чтобы при росте нагрузки узнать что он не умеет масштабироваться на несколько процессоров и надо все переделывать.
>> обычно делают с OpenBSD фаерволл,
> ...чтобы при росте нагрузки узнать что он не умеет масштабироваться на несколько
> процессоров и надо все переделывать.Для крупного ISP - да, это может быть проблемой. Для прочих - как-то не очень.
> Для крупного ISP - да, это может быть проблемой. Для прочих - как-то не очень.Как бы от набора правил и их количества зависит. Хотя конечно можно утверждать что три простых правила в фаере на 10 Мбит хватит всем. Но в эпоху когда 4-ядерные процы даже в смартах и планшетах - все это звучит как-то очень уж неубедительно.
>> Для крупного ISP - да, это может быть проблемой. Для прочих - как-то не очень.
> Как бы от набора правил и их количества зависит. Хотя конечно можно
> утверждать что три простых правила в фаере на 10 Мбит хватит
> всем. Но в эпоху когда 4-ядерные процы даже в смартах и
> планшетах - все это звучит как-то очень уж неубедительно.В PF как раз есть такая штука, как встроенный оптимизатор. Который после загрузки набора правил изучает, скажем так, зависимости между правилами, и уменьшает (порой на порядки!) количество проверок. Ну и плюс - при использовании состояний (stateful-фильтрация, нечто вроде аналог conntrack в iptables; в pf.conf используются по умолчанию, если не указать no-state) - до проверки правил вообще не доходит.
У PF в OpenBSD затык в совсем другом месте - ядро ОС работает на одном физическом процессоре (ядре). Подвижки в решении этой проблемы пока что идут, увы, "за сценой".
> В PF как раз есть такая штука, как встроенный оптимизатор. Который после
> загрузки набора правил изучает, скажем так, зависимости между правилами, и уменьшает
> (порой на порядки!) количество проверок.или увеличивает:
When pfctl(8) encounters a list during loading of the ruleset, it creates multiple rules, one for each item in the list. For example:
block out on fxp0 from { 192.168.0.1, 10.5.32.6 } to any
gets expanded to:
block out on fxp0 from 192.168.0.1 to any
block out on fxp0 from 10.5.32.6 to anyочевидно, что:
block out on fxp0 from { 192.168.0.1, 10.5.32.6 } to { 192.168.0.2, 10.5.32.4 }будет развёрнуто в 4 правила. если там будет список портов(например, 10шт), то правил будет 40.
хосты можно засунуть в таблицы, а вот с портами - такое не получится. как и не получится, если надо хранить ip:port в таблице.
плюс, таблицы в pf хранятся в radix tree и 65к хостов будут занимать уже прилично памяти.
> У PF в OpenBSD затык в совсем другом месте - ядро ОС
> работает на одном физическом процессоре (ядре). Подвижки в решении этой проблемы
> пока что идут, увы, "за сценой".думаю, glebius раньше доведёт до ума:
http://lists.freebsd.org/pipermail/freebsd-pf/2012-June/0066...
PF в freebsd теперь будет свой.
в netbsd - NPF.
>[оверквотинг удален]
> gets expanded to:
> block out on fxp0 from 192.168.0.1 to any
> block out on fxp0 from 10.5.32.6 to any
> очевидно, что:
> block out on fxp0 from { 192.168.0.1, 10.5.32.6
> } to { 192.168.0.2, 10.5.32.4 }
> будет развёрнуто в 4 правила. если там будет список портов(например, 10шт), то
> правил будет 40.
> хосты можно засунуть в таблицы, а вот с портами - такое не
> получится. как и не получится, если надо хранить ip:port в таблице.Гм. Не путайте сокращённую запись правил с самими правилами. Сам pf(4) знать не знает ни о каких фигурных скобках, это всё на совести pfctl(8). ;) Ну да не суть.
Насчёт портов - увы, замечание верное. Правда, отчасти спасает тот вышеописанный оптимизатор, но не в ситуации, когда отличия только по номеру порта.
Кстати, вы на интересную идею натолкнули, сделать skip steps ещё и на совпадения, а не только на различия, плюс запоминать, по какой причине был сделан пропуск и опустить лишние проверки...
> плюс, таблицы в pf хранятся в radix tree и 65к хостов будут
> занимать уже прилично памяти.Отнюдь. Для элементов дерева, точнее даже для записей каждого вида, используется свой собственный пул, поэтому фрагментация памяти отсутствует. 65 тыщ элементов выразится примерно в 12 мегабайт памяти, плюс примерно 8 килобайт накладных расходов в пуле. Много?
>> У PF в OpenBSD затык в совсем другом месте - ядро ОС
>> работает на одном физическом процессоре (ядре). Подвижки в решении этой проблемы
>> пока что идут, увы, "за сценой".
> думаю, glebius раньше доведёт до ума:
> http://lists.freebsd.org/pipermail/freebsd-pf/2012-June/0066...
> PF в freebsd теперь будет свой.Только это будет уже не OpenBSD'шный PF. Например, в FreeBSD в целях той самой параллелизации перешли от дерева к хеш-таблицам для таблиц адресов, забыв (или забив на) тот факт, что хеш-таблицы более уязвимы к атакам. Честно скажу, что детально сорцы PF во фряхе не изучал, но сомневаюсь, что там используется качественная (плохо предсказуемая) хеш-функция (типа SHA1), так как она будет, очевидно, достаточно сильно нагружать ЦП. Впрочем, оно понятно, что идеального решения нет.
> в netbsd - NPF.
С PF он имеет мало общего "внутри", но выглядит вкусно. Жаль только, что выглядит давно, а поюзать в деле пока никак. :(
> Например, в FreeBSD в целях
> той самой параллелизации перешли от дерева к хеш-таблицам для таблиц адресов,
> забыв (или забив на) тот факт, что хеш-таблицы более уязвимы к
> атакам. Честно скажу, что детально сорцы PF во фряхе не изучал,
> но сомневаюсь, что там используется качественная (плохо предсказуемая) хеш-функция (типа
> SHA1), так как она будет, очевидно, достаточно сильно нагружать ЦП. Впрочем,
> оно понятно, что идеального решения нет.Хеш таблица хеш-таблице рознь, никто не мешает
в случае коллизий использовать структуру данных с хорошей
гарантированной сложностью поиска в худшем случае.
http://en.wikipedia.org/wiki/Hash_table#Separate_chaining_wi...Другой вариант -- использовать еще одну хеш таблицу с другой хеш-функцией
для коллизий, чтобы не терять в скорости и в этом случае.Да, sha1 для хеш-таблиц вменяемые люди применять не станут.
> обычно делают с OpenBSD фаерволл, а так я ставил OpenBSD и ставил
> XFCE4 & браузер мидори, программ мало за философии дистрибутива, все должно
> быть открыто и по лицензии доступной, и никаких блобовФранцузская команда коммитеров (они же поддерживают порты GNOME 3 и XFCE на опёнок, например) работает на компанию, которая занимается внедрениями "под ключ". Они поставляют решения на OpenBSD, включая как сервера, так и рабочие станции. Инфа с http://undeadly.org/ , там как минимум один рассказ Antoine Jacquote был на эту тему.
>Ключевым достоинством новой реализации pthreads является поддержка реального распараллеливания выполнения многопоточных программ на многоядерных системах.кхм-кхм, а раньше что, потоки однопоточные были что ли?
> кхм-кхм, а раньше что, потоки однопоточные были что ли?Шедулинг тредов в одном процессе какой-то внутренней механикой в принципе ничему не противоречит. А то что с точки зрения оси это будет одним потоком команд - так откуда ж ось знает про такой шедулинг?
>>Ключевым достоинством новой реализации pthreads является поддержка реального распараллеливания выполнения многопоточных программ на многоядерных системах.
> кхм-кхм, а раньше что, потоки однопоточные были что ли?Раньше, с точки зрения ядра, один фактический поток выполнения равнялся одному процессу, а фактическое управление "потоками" осуществлялось библиотекой pthreads. Это требовало, среди прочего, ещё и сборку ПО со специальным флагом -pthread. В то время как теперь достаточно использовать обычный -lpthread, библиотека librthread уже не настолько "магическая", как старая. В принципе, работы над librthread велись давно, а само волевое переключение на librthread произошло чуть ли не первым коммитом после заморозки OpenBSD 5.1, чтобы успеть протестировать (и пофиксить выловленные баги) не только ОС, но и всю коллекцию портов.
Обалдеть, оказывается более-менее нормальная реализация потоков для кого-то еще инновация в 2012 году.
> Обалдеть, оказывается более-менее нормальная реализация потоков для кого-то еще инновация
> в 2012 году.Не судите, да не судимы будете. Сколько реализаций pthreads на вашей совести?
> Обалдеть, оказывается более-менее нормальная реализация потоков для кого-то еще инновация
> в 2012 году.Вдогонку, кому интересно: http://www.openbsd.org/papers/eurobsd2012/guenther-rthreads/...
Респект разработчикам, огромную работу проделали! Не то что FreeBSD :)Отдельный респект Opennet'у за как всегда отличный обзор новшеств.
> Респект разработчикам, огромную работу проделали! Не то что FreeBSD :)а что не так в FreeBSD ?
> Отдельный респект Opennet'у за как всегда отличный обзор новшеств.
еще вчера была новость на лоре, а на опеннете как всегда, иногда новости про BSD выходят с опозданиями
> новости про BSD выходят с опозданиямиНу так вы же их не пишете? "Если все вокруг в г-не, может быть это ты обосрался?"
//Человек который в отличие от вас пишет новости на опеннет. Но *BSD совершенно вне моих интересов.
ага, да тут бывают новости как и ваш постесли я не интересуюсь атомной физикой, то я мало того про нее не вспоминаю, я даже новости про нее не пишу.
> ага, да тут бывают новости как и ваш постТак у вас все карты на руках. Если вам нравится нечто и вы мониторите развитие этого - вы можете прийти и написать вашу новость, дабы оно появилось тут оперативно. Не тормозя и не разводя нытье. А вот просто ныть и ничего не делать - наименее конструктивное поведение из возможного.
> если я не интересуюсь атомной физикой, то я мало того про нее
> не вспоминаю, я даже новости про нее не пишу.Ну в общем понятно - как ныть так вы тут. А как до дела, чтоб самому немного поработать - так сразу в кусты. Известное дело :)
>а что не так в FreeBSD ?На фоне Net/Open/DragonflyBSD фрибсдшники стали делать менее всего работы, кроме повышения версии веток. Поглядите Release Notes их и сравните с "конкурентами" :)
>еще вчера была новость на лоре, а на опеннете как всегда, иногда новости про BSD выходят с опозданиями
В курсе, ЛОР каждый день читаю) Но тут дело не в скорости, а качестве. На Опеннете новости всегда куда более приятнее читать из-за содержательности.
> На фоне Net/Open/DragonflyBSD фрибсдшники стали делать менее всего работы, кроме повышения версии веток. Поглядите Release Notes их и сравните с "конкурентами" :)у них там сейчас идет все к стабильности, и так если почитать про изменения то тоже много полезного делают, сами почитайте, clang, ZFS, pkgng, за то они усовершенствуют то что есть и добавляют, вот сравните: http://www.opennet.me/opennews/art.shtml?num=32749
к тому же я использую FreeBSD на десктопе, еще есть желание установить и NetBSD, OpenBSD но когда это будет.
> у них там сейчас идет все к стабильности,Пацан к успеху шел :)
>поддержка аппаратного деглюкера (watchdog)Наконец-то! Отличный перевод.
Вообще-то по-русски watchdog - сторожевой таймер.
> GNOME 3.4.2
> KDE 3.5.10....
>> GNOME 3.4.2
>> KDE 3.5.10
> ....KDE 4.9.2 и TDE 3.5.13.1 доступны в "полуофициальном" дереве портов openbsd-wip: https://github.com/jasperla/openbsd-wip/tree/master/x11
> аппаратного деглюкера (watchdog)Нифига себе название сторожевого пса^W таймера. Оно даже на русском языке жуткий жаргонарий :)
Тут по-быстрому просканировал nmap-ом все известнейшие сайты-OpenBSD
встречается в большинстве из них,причём и там,где netcraft выдаёт Linux.
Например,oracle.com.Что за фигня?
Может сканировал их периметровые OpenBSD файрволы, за которыми спрятан, защищен сервер?
> Может сканировал их периметровые OpenBSD файрволы, за которыми спрятан, защищен сервер?Выходит,что так.Вообще,к слову,nmap ведёт себя странно.Но то,что выдавался именно
OpenBSD удивило.
> OpenBSD удивило.Вообще, надежность детектирования операционки у нмапа - невысокая, скажем так. Оно использует довольно своеобразные методы которые точностью не страдают. Поэтому случаи когда оно там что-то странное надетектило - норма жизни. Стопроцентно доверять этому я бы не стал. Хоть может быть что там и стоит например какая-то железка-апплианс куда опенка запихнули.
nmap -sV -O -v oracle.comStarting Nmap 5.00 ( http://nmap.org ) at 2012-11-04 00:00 YEKT
NSE: Loaded 3 scripts for scanning.
Initiating Ping Scan at 00:00
Scanning 137.254.16.101 [4 ports]
Completed Ping Scan at 00:00, 0.50s elapsed (1 total hosts)
Initiating Parallel DNS resolution of 1 host. at 00:00
Completed Parallel DNS resolution of 1 host. at 00:00, 0.59s elapsed
Initiating SYN Stealth Scan at 00:00
Scanning bigip-ocoma-cms-adc.oracle.com (137.254.16.101) [1000 ports]
Discovered open port 80/tcp on 137.254.16.101
SYN Stealth Scan Timing: About 45.33% done; ETC: 21:01 (0:00:37 remaining)
Completed SYN Stealth Scan at 00:00, 45.02s elapsed (1000 total ports)
Initiating Service scan at 00:00
Scanning 1 service on bigip-ocoma-cms-adc.oracle.com (137.254.16.101)
Completed Service scan at 21:03, 126.10s elapsed (1 service on 1 host)
Initiating OS detection (try #1) against bigip-ocoma-cms-adc.oracle.com (137.254.16.101)
Retrying OS detection (try #2) against bigip-ocoma-cms-adc.oracle.com (137.254.16.101)
NSE: Script scanning 137.254.16.101.
NSE: Script Scanning completed.
Host bigip-ocoma-cms-adc.oracle.com (137.254.16.101) is up (0.71s latency).
Interesting ports on bigip-ocoma-cms-adc.oracle.com (137.254.16.101):
Not shown: 998 filtered ports
PORT STATE SERVICE VERSION
80/tcp open http?
443/tcp closed https
1 service unrecognized despite returning data. If you know the service/version, please submit the following fingerprint at http://www.insecure.org/cgi-bin/servicefp-submit.cgi :
SF-Port80-TCP:V=5.00%I=7%D=11/4%Time=50968332%P=i686-pc-linux-gnu%r(GetReq
SF:uest,79,"HTTP/1\.0\x20301\x20Moved\x20Permanently\r\nLocation:\x20http:
SF://www\.oracle\.com/\r\nServer:\x20BigIP\r\nConnection:\x20close\r\nCont
SF:ent-Length:\x200\r\n\r\n")%r(HTTPOptions,79,"HTTP/1\.0\x20301\x20Moved\
SF:x20Permanently\r\nLocation:\x20http://www\.oracle\.com/\r\nServer:\x20B
SF:igIP\r\nConnection:\x20close\r\nContent-Length:\x200\r\n\r\n")%r(RTSPRe
SF:quest,79,"HTTP/1\.0\x20301\x20Moved\x20Permanently\r\nLocation:\x20http
SF:://www\.oracle\.com/\r\nServer:\x20BigIP\r\nConnection:\x20close\r\nCon
SF:tent-Length:\x200\r\n\r\n")%r(FourOhFourRequest,9C,"HTTP/1\.0\x20301\x2
SF:0Moved\x20Permanently\r\nLocation:\x20http://www\.oracle\.com/nice%20po
SF:rts%2C/Tri%6Eity\.txt%2ebak\r\nServer:\x20BigIP\r\nConnection:\x20close
SF:\r\nContent-Length:\x200\r\n\r\n")%r(SIPOptions,7E,"HTTP/1\.0\x20301\x2
SF:0Moved\x20Permanently\r\nLocation:\x20http://www\.oracle\.comsip:nm\r\n
SF:Server:\x20BigIP\r\nConnection:\x20close\r\nContent-Length:\x200\r\n\r\
SF:n");
OS fingerprint not ideal because: Didn't receive UDP response. Please try again with -sSU
No OS matches for host
Uptime guess: 76.386 days (since Mon Aug 20 11:47:41 2012)
TCP Sequence Prediction: Difficulty=263 (Good luck!)
IP ID Sequence Generation: RandomizedRead data files from: /usr/share/nmap
OS and Service detection performed. Please report any incorrect results at http://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 187.89 seconds
Raw packets sent: 3091 (139.432KB) | Rcvd: 87 (4936B)
>Тут по-быстрому просканировал nmap-ом все известнейшие сайты-OpenBSD встречается в большинстве из них,причём и там,где netcraft выдаёт Linux. Например,oracle.com.Что за фигня?Вероятно сканируешь близлежащие хосты Akamai, которые неспециально оказались OpenBSD.
вот линуходы наезжают на бзди, но у самих линуксы то один фиг пальцем деланы. поставил ваш суперхваленый минт, сходу захотело обновиццо, ок, и местами выдает зондер окошки - 5 строк текста, при этом показывает только одну и скролл сбоку. офигенно чо. бери напильник и
> только одну и скролл сбоку. офигенно чо. бери напильник иЭто довольно мелкий напильник. А вот занапилить какой-нибудь драйвер карточек AMD HD7xxx в бсди - это да, солидная такая заявка на поработать.
xf86-video-ati и xf86-video-vesa кто-нибудь уже запретил в *BSD?
> xf86-video-ati и xf86-video-vesa кто-нибудь уже запретил в *BSD?Да, с HD7XXX они не работают.
> xf86-video-atiВо первых они там доKMSной эпохи и поэтому то как оно работает - оставляет желать много лучшего.
Во вторых с картами на основе GCN сие работать не будет: GCN это другая архитектура GPU.> и xf86-video-vesa
Бу! Веса с турбинами - это круто!
> А вот занапилить какой-нибудь драйвер карточек AMD HD7xxx в бсди - это да, солидная такая заявка на поработать.Да это и намного интереснее, чем очередной Болгенос делать (читай мелкий напильник использовать)
Почему-то автор статьи пропустил в списке программ сторонних разработчиков Nginx 1.2.2 (+ patches). Этот пункт значительно повышает привлекательность OpenBSD как защищённой, надёжной, производительной web-платформы. Сам использую опёнка на личном web+mail сервере. Система легко пережила 2 удалённых апгрейда с 4.9 по 5.1 версию. В самое ближайшее время заценю и 5.2. Подтверждаю слова автора первого коммента: "отлаженная, отточенная, продуманная система"!
>В состав базовой системы включены БД SQLite, HTTP-сервер nginx и утилита libtool.
Виноват, не заметил. Обратил внимание на то, что nginx отсутствует в списке ПО последнего абзаца статьи...
Ну да, сборка nginx из портов - ключевое свойство OpenBSD.
> Ну да, сборка nginx из портов - ключевое свойство OpenBSD.??? nginx по-прежнему есть и в портах, т.к. для базового компонента отключен ряд опций. Но он сейчас и в базе, прекрасно работает. Вот SQLite 3 из портов был убран, так как ничего отключать не пришлось.
Решил посмотреть, тявкнули ли они что нибудь в адрес Линукса (их комплекс неполноценности всем известен) - и таки не ошибся. Не ребят, пока серьезными и самодостаточными не станете, больше щупать опенок не буду, такие дела.
> Решил посмотреть, тявкнули ли они что нибудь в адрес Линукса (их комплекс
> неполноценности всем известен) - и таки не ошибся. Не ребят, пока
> серьезными и самодостаточными не станете, больше щупать опенок не буду, такие
> дела.На официальный комментарий к песне возразить (т.е., по существу) нечего? Речь уже не об обидах - речь идёт ни много, ни мало, как о потенциальной смерти всей среды *nix. Потому что как только в стандартах (!) начинаются преференции какой-то из реализаций, о здоровом развитии можно забывать. Почему вам это нужно объяснять - непонятно. Давно ли линуксоиды возмущались гегемонией MS на рынках ОС, браузеров и т.д.? Но стоило ветру чуть подуть в другую сторону - и они становятся точно такими же эгоистами. А это значит, что ничего не изменилось. Просто пришло добро, победило зло, поставило его на колени и вот-вот жестоко убьёт. Добрее некуда.
Ну какая может быть кооперация с другими *nix... В стане Linux-дистрибутивов бал правят Red Hat и Canonical. За заднем плане ещё Novell и Oracle. Debian? Увы, при всём моём уважении к этому проекту, он для Canonical - та корова, которую надо пореже кормить и почаще доить, чтобы давала побольше молока. "Локальные" дистрибутивы не имеют заметного влияния, сужу об этом по наблюдаемым мною спискам рассылки и багтрекерам различных свободных проектов: отрыв Fedora и *buntu огромен. В итоге имеем что? - правильно, олигополию. Не монополия, но немногим лучше. Олигархам (sic!) не нужны лишние конкуренты. И теперь в POSIX продвигаются уродства вроде stpcpy(). А почему бы не, например, kqueue?
Linux (ядро или дистрибутивы, не важно) можно не любить с технической точки зрения. Хотя это будет скорее "тут хорошо, тут плохо". Повод дружески пофлеймить. Причина для выбора той или иной ОС.
Linux можно не любить просто за то, что его стало много. Ну, это уже подростковое-переходное что-то. :)
Лично я не люблю Linux из-за чрезмерного эгоизма многих людей в его экосистеме. Может, я неправ; может, моя позиция обречена с точки зрения эволюции; может, я просто чего-то не понимаю... Но на данный момент дело обстоит именно так. И то же изложено в уже приводившемся выше комментарии к искомой песне: http://www.openbsd.org/lyrics.html#52 (слева).
> Linux можно не любить просто за то, что его стало много. Ну,
> это уже подростковое-переходное что-то. :)
> Лично я не люблю Linux из-за чрезмерного эгоизма многих людей в его
> экосистеме. Может, я неправ; может, моя позиция обречена с точки зрения
> эволюции; может, я просто чего-то не понимаю... Но на данный момент
> дело обстоит именно так. И то же изложено в уже приводившемся
> выше комментарии к искомой песне: http://www.openbsd.org/lyrics.html#52 (слева).А что Linux?Это созданная IBM дубинка для конкурентов.Досталось sco,sun,microsoft.
И та же не допустит его совершенствования и выравнивания его по возможностям с
проприетарными UNIX,прежде всего ИБМовскими.И Ларри пробует эту дубинку отобрать,
чтоб навешать самой ИБМ.
А BSD здесь как-то нипричём и поэтому вне внимания тех кто действует в Linux.
Хотят разрабы *BSD внимания welcome in fedoraproject.
> И та же не допустит его совершенствования и выравнивания
> его по возможностям с проприетарными UNIX,прежде всего ИБМовскими.Кто не допустит? IBM?
Глупости.
http://www-03.ibm.com/systems/hardware/browse/linux/index.html
Не читал, но осуждаю?
>> И та же не допустит его совершенствования и выравнивания
>> его по возможностям с проприетарными UNIX,прежде всего ИБМовскими.
> Кто не допустит? IBM?
> Глупости.
> http://www-03.ibm.com/systems/hardware/browse/linux/index.html
> Не читал, но осуждаю?А вы поищите System p с Linux aka PowerLinux в продакшене.Везде AIX.С чего бы так?
>> Кто не допустит? IBM?
>> http://www-03.ibm.com/systems/hardware/browse/linux/index.html
> А вы поищите ... aka PowerLinux в продакшене.Везде AIX.С
> чего бы так?Поискал:
http://ua.opennet.ru/openforum/vsluhforumID3/85620.html
http://www-01.ibm.com/common/ssi/cgi-bin/ssialias?infotype=a...Расширяют потихоньку ассортимент.Не всё ж сразу.
Любая прихоть за ваши деньги.
Это ж не поттеринги у которых в fc17 systemd в v44, а в fc18 уже 195.
Авторизованные реселлеры по критериям 'По всему миру'+'Power Systems'+'IBM System with Linux'+'Авторизованные реселлеры: Аппаратное обеспечение' есть в США и Индии.
http://www-304.ibm.com/partnerworld/wps/bplocator/search.jsp
Но России не до PowerLinux.
Много эмоций, но сказано хорошо. Возразить нечего.
Вообще складывается ощущение, что место свободной системы, которым был Линукс, занял OpenBSD.> может, моя позиция обречена с точки зрения эволюции;
Философский вопрос.
Она может быть обречена не только на неудачу.
kde 3.5.10, качать и ставить