URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 93619
[ Назад ]

Исходное сообщение
"OpenBSD идёт в сторону использования цифровых подписей для п..."

Отправлено opennews , 20-Янв-14 07:40 
Тэо де Раадт (Theo de Raadt), лидер проекта OpenBSD, сообщил (http://marc.info/?l=openbsd-misc&m=138992613426488&w=2) в списке рассылки misc@openbsd "Мы идём в сторону подписанных пакетов".  Чуть позже, в рассылке tech@ была опубликована инструкции (http://marc.info/?l=openbsd-tech&m=139014288906188&w=2) по проверке подлинности релизов c использованием утилиты signify(1) (http://mdoc.su/o/signify.1), и призыв к тестированию нововведений.


Данные заявления поступили вслед недавнему внедрению новой утилиты signify (http://bxr.su/OpenBSD/usr.bin/signify/signify.c), которая была написана (http://www.tedunangst.com/flak/post/signify) из-за слишком большого размера пакета gnupg (http://ports.su/security/gnupg), так как в OpenBSD до сих пор поддерживается установка системы с одной дискеты.


В качестве системы для формирования цифровых подписей используется криптосистема с открытым ключом Ed25519 (http://ed25519.cr.yp.to/), разработанная небезызвестным D. J. Bernstein (http://cr.yp.to/djb.html), и его код (http://bxr.su/OpenBSD/usr.bin/signify/mod_ed25519.c) был опять добавлен в OpenBSD, всего через пару недель после того, как некоторые другие из его изобретений были интегрированы (http://www.opennet.me/opennews/art.shtml?num=38635) в близлежащий OpenSSH.


URL: http://bsd.slashdot.org/story/14/01/19/0124202/openbsd-movin...
Новость: http://www.opennet.me/opennews/art.shtml?num=38884


Содержание

Сообщения в этом обсуждении
"OpenBSD идёт в сторону использования цифровых подписей для п..."
Отправлено бедный буратино , 20-Янв-14 07:42 
неделя openbsd :)

ну, раз официально рекомендуется пользоваться бинарными пакетами - то, конечно, нужно их подписывать... а то мало ли, что там на зеркалах подмешают... сделаешь pkg_add -u - а у тебя, хоп, и linux завместо openbsd появился :) [шутка, базовую систему так не подменишь, только пакеты]


"OpenBSD идёт в сторону использования цифровых подписей для п..."
Отправлено Аноним , 20-Янв-14 13:31 
> а то мало ли, что там на зеркалах подмешают...

А потом мы задумаемся что с сорцами может получиться такая же фигня...


"OpenBSD идёт в сторону использования цифровых подписей для п..."
Отправлено бедный буратино , 20-Янв-14 13:34 
>> а то мало ли, что там на зеркалах подмешают...
> А потом мы задумаемся что с сорцами может получиться такая же фигня...

Левый сырец не подмешают :)

Ну а если нет доверия официальному сырцу от автора, то какая разница, в сырце он или в пакете? Сырец хотя бы даёт гарантию, что это именно с него собирали.


"OpenBSD идёт в сторону использования цифровых подписей для п..."
Отправлено Аноним , 20-Янв-14 19:42 
> Левый сырец не подмешают :)

И что этому помешает?


"OpenBSD идёт в сторону использования цифровых подписей для п..."
Отправлено Аноним , 21-Янв-14 21:21 
SSH. Гуглить по слову "AnonCVS"

"OpenBSD идёт в сторону использования цифровых подписей для п..."
Отправлено AlexAT , 20-Янв-14 10:13 
А полноценный криптографический аудит Ed25519 кем-нибудь когда-нибудь проводился? На сайте и в самой работе ни единого упоминания об аудите.

"OpenBSD идёт в сторону использования цифровых подписей для п..."
Отправлено metallica , 20-Янв-14 11:50 
У разрабов опенбсд гениальная стратегия безопасности всей системы
и отдельных её компонентов-околонулевая её популярность и восстребованность.
Тем самым достигается беспрецендентная защита от хакеров, средствами
наличия у них здравого смысла, согласно которому они никогда не будут тратить время
на ковыряние в ОС, которая нигде кроме шкафа у Тео и дешёвого нетбука у
деревянного не применяется.

"OpenBSD идёт в сторону использования цифровых подписей для п..."
Отправлено Аноним , 20-Янв-14 20:08 
Да, эта стратегия называется "elusive Joe".

"OpenBSD идёт в сторону использования цифровых подписей для п..."
Отправлено Аноним , 20-Янв-14 20:15 
И, между прочим, она вполне эффективна.

"OpenBSD идёт в сторону использования цифровых подписей для п..."
Отправлено Аноним , 20-Янв-14 14:32 
> А полноценный криптографический аудит Ed25519 кем-нибудь когда-нибудь проводился?

Смотря что понимать под "полноценный".

Сам по себе 25519 выглядит достаточно интересно, Берштейн в общем то известный параноик и специалист в ИБ, который временами даже выдвигает премии за взлом своих алгоритмов. Не помню касалось ли сие 25519, но за наиболее интересный криптоанализ алгоритма Salsa полагался килобакс не так давно. Тем не менее, даже самая слабая версия salsa не была сломана полностью, не говоря уж о полной. А жтот 25519 нынче применяется кучей народа и какой-то большой криминал пока не обнаружили. Более того, Берштейн вполне доходчиво описывает его свойства, например слабые ключи (каковых можно считать что нет, если для diffie-hellman'а).


"OpenBSD идёт в сторону использования цифровых подписей для п..."
Отправлено myhand , 20-Янв-14 17:09 
> Сам по себе 25519 выглядит достаточно интересно, Берштейн в общем то известный
> параноик и специалист в ИБ, который временами даже выдвигает премии за
> взлом своих алгоритмов. Не помню касалось ли сие 25519, но за
> наиболее интересный криптоанализ алгоритма Salsa полагался килобакс не так давно.

Килобакс как-то смишно выглядит, не находите?



"OpenBSD идёт в сторону использования цифровых подписей для п..."
Отправлено Аноним , 20-Янв-14 19:45 
> Килобакс как-то смишно выглядит, не находите?

Это скорее дань уважения. Криптографы все-равно изучают алгоритмы. Получить при этом такой бонус от создателя алгоритма врядли кто откажется. Ну а Берштейн все-таки академик а не магнат. Если вы хотите миллион - идите минет делать какому-нибудь Рокфеллеру, чтоли.


"OpenBSD идёт в сторону использования цифровых подписей для п..."
Отправлено myhand , 20-Янв-14 21:25 
>> Килобакс как-то смишно выглядит, не находите?
> Это скорее дань уважения.

Чек на стенку повесить?  Так тут сумма как бы и не важна - можно
и 2.56$ пообещать.

В чем прикол и великая ценность конкретно 1k$?  Как стоимость аудита
практически ценного криптографического алгоритма - она смешна, не менее чем 2$.

> Криптографы все-равно изучают алгоритмы. Получить при этом такой
> бонус от создателя алгоритма врядли кто откажется.

Для академиков - вполне достаточно и публикации.  А денюшки - есть
гранты, фонды и реальные призы...


"OpenBSD идёт в сторону использования цифровых подписей для п..."
Отправлено KBAKEP , 31-Янв-14 00:01 
"Штука" баксов примерно как миллион, имеет психологическое значение.

"OpenBSD идёт в сторону использования цифровых подписей для п..."
Отправлено myhand , 31-Янв-14 00:09 
Повторяю, с точки зрения реальной ценности работы: 2$ здесь неотличимы от 1k$.

"OpenBSD идёт в сторону использования цифровых подписей для п..."
Отправлено Аноним , 20-Янв-14 10:50 
20.000 баксов нашли, стало быть?

"OpenBSD идёт в сторону использования цифровых подписей для п..."
Отправлено Аноним , 20-Янв-14 11:28 
Гугл-пожертвования...

"OpenBSD идёт в сторону использования цифровых подписей для п..."
Отправлено Хвост , 20-Янв-14 12:14 
Румынский биткоин-миллионер оплатил долги OpenBSD.
http://habrahabr.ru/post/209660/

"OpenBSD идёт в сторону использования цифровых подписей для п..."
Отправлено бедный буратино , 20-Янв-14 12:19 
> Румынский биткоин-миллионер оплатил долги OpenBSD.
> http://habrahabr.ru/post/209660/

"Но нельзя отрицать и наличие преимущества: маленькая часть мировых финансов перешла в руки хакеров и инженеров-программистов, которые используют эти деньги так, как их никогда не потратит миллиардер с Уолл-Стрит, то есть правильным образом."


вот это мощно... вот это по-анонимовски... хотя ещё недавно у этих "инженеров-программистов" была ВСЯ власть, и они могли определять всё развитие...


"OpenBSD идёт в сторону использования цифровых подписей для п..."
Отправлено Аноним , 20-Янв-14 19:48 
> была ВСЯ власть, и они могли определять всё развитие...

Вся власть над чем? Над мировыми финансами? Ты ушибся, буратина. А биткоины хоть как-то контролируются только теми кто вносит изменения в клиент и общим консенсусом сети. Ты о чем?


"OpenBSD идёт в сторону использования цифровых подписей для п..."
Отправлено myhand , 20-Янв-14 11:04 
Может, потому что долги за лектричество побудили задуматься о миграции на стороннюю инфраструктуру?

"OpenBSD идёт в сторону использования цифровых подписей для п..."
Отправлено Andrey Mitrofanov , 20-Янв-14 11:23 
> Может, потому что долги за лектричество побудили задуматься о миграции на стороннюю
> инфраструктуру?

Конечно. Ведь у самой безопасной ОС не может быть долгов по безопасности инфраструктуры, инсталятора и пакеж менеджера.


"OpenBSD идёт в сторону использования цифровых подписей для п..."
Отправлено myhand , 20-Янв-14 11:53 
> Ведь у самой безопасной ОС не может быть долгов

Почему?  Да запросто.

PS: Если вы увидели в моем сообщении какой-то негатив или осуждение - то зря.  OpenBSD мы любим, причем не только за openssh.  Несмотря на упоротость (временами) Тео...

PPS: А еще там нет systemd.


"OpenBSD идёт в сторону использования цифровых подписей для п..."
Отправлено Аноним , 20-Янв-14 20:18 
> PPS: А еще там нет systemd.

В слаке его тоже нет, вообще-то.


"OpenBSD идёт в сторону использования цифровых подписей для п..."
Отправлено Аноним , 20-Янв-14 20:45 
А также в openwrt, дебиане, убунте, и еще куче дистров. Сложно всех под 1 гребенку 1 махом загнать.

"OpenBSD идёт в сторону использования цифровых подписей для п..."
Отправлено Аноним , 26-Фев-14 02:07 
> А также в openwrt, дебиане, убунте, и еще куче дистров. Сложно всех
> под 1 гребенку 1 махом загнать.

Двоих из перечисленных уже вычёркиваем...


"OpenBSD идёт в сторону использования цифровых подписей для п..."
Отправлено бедный буратино , 20-Янв-14 11:32 
> Может, потому что долги за лектричество побудили задуматься о миграции на стороннюю
> инфраструктуру?

На виндовые ботнеты. Их много.

Причём сама хостовая винда постепенно превращается в openbsd.


"OpenBSD идёт в сторону использования цифровых подписей для п..."
Отправлено Аноним , 20-Янв-14 19:50 
> Причём сама хостовая винда постепенно превращается в openbsd.

Ты намекаешь что там точно так же ничего не работает? Ну да, в опенке нет виртуализаторов, для начала. Так что если виртуализатор сдох - винда превращается в опенбзду :)


"OpenBSD идёт в сторону использования цифровых подписей для п..."
Отправлено dxd , 20-Янв-14 11:33 
Итак, самая безопасная ось в начале 2014 года начала думать о проверке подлинности. Я люблю этот мир.

"OpenBSD идёт в сторону использования цифровых подписей для п..."
Отправлено AlexAT , 20-Янв-14 11:41 
> Итак, самая безопасная ось в начале 2014 года начала думать о проверке
> подлинности. Я люблю этот мир.

Неплохо бы начать с того, что ни хрена она не самая безопасная. 99% атак идут на софт, а не на ядро ОС, а софт там вполне обычный. MAC, способного оградить софт от несвойственных ему действий, там тоже нет.


"OpenBSD идёт в сторону использования цифровых подписей для п..."
Отправлено Аноним , 20-Янв-14 11:43 
Виртуальные машины и банки на что?

"OpenBSD идёт в сторону использования цифровых подписей для п..."
Отправлено AlexAT , 20-Янв-14 11:52 
> Виртуальные машины и банки на что?

Речь об OpenBSD, авторы которой упорно игнорируют саму концепцию виртуализации. Так что в обсуждаемом случае - исключительно FHV, с безнадежной производительностью.


"OpenBSD идёт в сторону использования цифровых подписей для п..."
Отправлено Аноним , 20-Янв-14 12:53 
Ну так виртуалки и не нужны, если есть банки.

"OpenBSD идёт в сторону использования цифровых подписей для п..."
Отправлено Аноним , 20-Янв-14 20:07 
> Ну так виртуалки и не нужны, если есть банки.

Какие еще банки? Вы имеете в виду того миллионера который оплачивает долги Тео? Ну да, кто-то должен волочь на своем горбу неэффективную доистрическую инфраструктуру. А виртуализация как раз позволяет на 1-2 современных сервака набить сервисы поплотнее, почти не в ущерб изоляции относительно железных машин. А бздюки думали что ей чисто для прикола пользуются, чтоли? Ручник иногда полезно отпускать, господа!

Вон про подписи уже доползло. Не прошло и полувека...


"OpenBSD идёт в сторону использования цифровых подписей для п..."
Отправлено Аноним , 21-Янв-14 03:32 
Банка - софт изолирующий программу, запущенную в нём, от основной ОС, без полноценной эмуляции компьютера, как это происходит в виртуальных машинах.

"OpenBSD идёт в сторону использования цифровых подписей для п..."
Отправлено AlexAT , 21-Янв-14 10:17 
> Банка - софт изолирующий программу, запущенную в нём, от основной ОС, без
> полноценной эмуляции компьютера, как это происходит в виртуальных машинах.

Это называется "контейнер(ы)". В openbsd их, строго говоря, нет.


"OpenBSD идёт в сторону использования цифровых подписей для п..."
Отправлено Аноним , 21-Янв-14 12:01 
Нет, это называется банка.
И их много разных видов.

"OpenBSD идёт в сторону использования цифровых подписей для п..."
Отправлено Аноним , 20-Янв-14 13:18 
>> Виртуальные машины и банки на что?
> Речь об OpenBSD, авторы которой упорно игнорируют саму концепцию виртуализации. Так что
> в обсуждаемом случае - исключительно FHV, с безнадежной производительностью.

Не игнорируют, а всего лишь не ведутся на тренды. В качестве гостевой ОС опёнок работает неплохо, спецдрайвера для большинства распространённых гипервизоров имеются.


"OpenBSD идёт в сторону использования цифровых подписей для п..."
Отправлено бедный буратино , 20-Янв-14 13:29 
> Не игнорируют, а всего лишь не ведутся на тренды. В качестве гостевой
> ОС опёнок работает неплохо, спецдрайвера для большинства распространённых гипервизоров  имеются.

Аналог jail не помешал бы...


"OpenBSD идёт в сторону использования цифровых подписей для п..."
Отправлено metallica , 20-Янв-14 14:23 
На спарках объявлена поддержка  аппаратных LDOM-ов.
Есть здесь кто проверял, работает или нет?

"OpenBSD идёт в сторону использования цифровых подписей для п..."
Отправлено Miha , 20-Янв-14 19:29 
Ну какой нафиг тренд. Тут даже для самой жлобской конторы выставлять сайт в мир на базовой системе страшно. Ну ифиг с ним, что система типа безопасная, взломали php-приложение и тю-тю.

"OpenBSD идёт в сторону использования цифровых подписей для п..."
Отправлено бедный буратино , 20-Янв-14 19:35 
> Ну какой нафиг тренд. Тут даже для самой жлобской конторы выставлять сайт
> в мир на базовой системе страшно. Ну ифиг с ним, что
> система типа безопасная, взломали php-приложение и тю-тю.

В openbsd хотя бы из базового сервера из дефолтного чрута хрен сбежишь. Secure by default, чё уж там.


"OpenBSD идёт в сторону использования цифровых подписей для п..."
Отправлено Аноним , 20-Янв-14 19:51 
> В openbsd хотя бы из базового сервера из дефолтного чрута хрен сбежишь.

Чрут вообще не есть средство безопасности и позволяет программе делать уйму нежелательных действий. По идее те кто интересуется безопасностью это знает. Но у тебя же безопасность - слоган, а не фактическое состояние дел...



"OpenBSD идёт в сторону использования цифровых подписей для п..."
Отправлено бедный буратино , 20-Янв-14 19:54 
>> В openbsd хотя бы из базового сервера из дефолтного чрута хрен сбежишь.
> Чрут вообще не есть средство безопасности и позволяет программе делать уйму нежелательных
> действий. По идее те кто интересуется безопасностью это знает. Но у
> тебя же безопасность - слоган, а не фактическое состояние дел...

Хорошо, сделаю поправку - chroot есть средство безопасности для всех, кроме теоретиков с Уолл-стрит.


"OpenBSD идёт в сторону использования цифровых подписей для п..."
Отправлено Аноним , 20-Янв-14 20:09 
Моя поправка лучше: чрут - средство безопасности. Для сам себе злобных буратин. Потому что кроме файловой системы в операционке есть уйма других вещей, который chroot вообще никак не затрагивает.

"OpenBSD идёт в сторону использования цифровых подписей для п..."
Отправлено бедный буратино , 20-Янв-14 20:20 
> Моя поправка лучше: чрут - средство безопасности. Для сам себе злобных буратин.
> Потому что кроме файловой системы в операционке есть уйма других вещей,
> который chroot вообще никак не затрагивает.

Ну так сломай "другие вещи" с помощью дырявого php, теоретик.


"OpenBSD идёт в сторону использования цифровых подписей для п..."
Отправлено Аноним , 20-Янв-14 20:23 
> Ну так сломай "другие вещи" с помощью дырявого php, теоретик.

Не знаю, как насчет теоретиков, а практики вполне себе ломают. Иногда очень интересно почитать отчеты аудита. Другое дело, что не каждому это дают.


"OpenBSD идёт в сторону использования цифровых подписей для п..."
Отправлено Аноним , 20-Янв-14 20:54 
> Ну так сломай "другие вещи" с помощью дырявого php, теоретик.

Дырявая вебня как правило позволит выполнить произвольный код. А вот дальше я могу основательно поразвлекаться, дергая самые разные системные вызовы с самыми разнообразными последствиями.

Прикол в том что дерг сисколов и библиотечных функций в чруте ничем не отличается от дерга таковых вне чрута. В этом месте у тех кто понимает как работают операционки и как с ними взаимодействуют программы должно появиться очень нехорошее подозрение насчет того что хаксорская программа может откалывать уйму нежелательных действий. Но ламакам типа буратины вещающим фанатский булшит задумываться о таких мелочах совершенно ни к чему. За тебя подумает питон и опенбсд.


"OpenBSD идёт в сторону использования цифровых подписей для п..."
Отправлено Аноним , 20-Янв-14 21:14 
> Речь идет не про chroot, как таковой, а про дефолтный httpd, который
> патчен-проперепатчен, и под который вся система патчена-проперепатчена

Это, конечно, абсолютная гарантия защиты. Патчи, переставляющие отступы и переименовывающие переменные, гораздо важнее патчей, добавляющих MAC, namespaces, контейнеры, виртуализацию, и прочие бесполезные финтифлюшки.

> (фактически, это всё - единое велое).

Да, без велосипедов явно не обошлось.

> jail мне нужен не для httpd, и даже не для безопасности, а для удобства.

Ну, когда взломали, это неудобно, да.
И единственный способ защитить свой опенок от этого - стараться не привлекать к себе внимание серьезных дядек.


"OpenBSD идёт в сторону использования цифровых подписей для п..."
Отправлено бедный буратино , 21-Янв-14 05:46 
> Это, конечно, абсолютная гарантия защиты. Патчи, переставляющие отступы и переименовывающие
> переменные, гораздо важнее патчей, добавляющих MAC, namespaces, контейнеры, виртуализацию,
> и прочие бесполезные финтифлюшки.

Это теоретикам нужны громкие маркетинговые слова, чтобы производить впечатление на девочек. Практикам главное - чтобы не ломали на практике.


>> jail мне нужен не для httpd, и даже не для безопасности, а для удобства.
> И единственный способ защитить свой опенок от этого - стараться не привлекать
> к себе внимание серьезных дядек.

Чё, киддис, не подошёл твой эксплоит к openbsd? И от этого обида на всю жизнь? Да, знатно тебя, видимо, openbsd припустил, раз у тебя такая истерика.


"OpenBSD идёт в сторону использования цифровых подписей для п..."
Отправлено Аноним , 20-Янв-14 21:28 
> Речь идет не про chroot, как таковой, а про дефолтный httpd,

Начались отмазки. А я разве говорил про httpd? Я сказал - пролезут через дырявую вебню. Там в отличие от httpd код пишут такие как ты. Поэтому секурность - в районе плинтуса. А вот дальше будет интересно. И чрут - это не непреодолимая преграда а лишь досадная помеха. Ну да, кидисов типа тебя оно может и обломает.

> jail мне нужен не для httpd, и даже не для безопасности, а для удобства.

Жги еще, буратина.


"OpenBSD идёт в сторону использования цифровых подписей для п..."
Отправлено Michael Shigorin , 20-Янв-14 22:53 
> Хорошо, сделаю поправку - chroot есть средство безопасности

Нет.

Другое дело, если это не только смена области видимости в пространстве имён файловой системы.


"OpenBSD идёт в сторону использования цифровых подписей для п..."
Отправлено бедный буратино , 21-Янв-14 05:38 
>> Хорошо, сделаю поправку - chroot есть средство безопасности
> Нет.
> Другое дело, если это не только смена области видимости в пространстве имён
> файловой системы.

То есть, я правильно понял кинутую предъяву, что вот это

http://www.openbsd.org/faq/faq10.html#httpdchroot

не для безопасности, а для понта?


"OpenBSD идёт в сторону использования цифровых подписей для п..."
Отправлено исчо_адын_аноним , 21-Янв-14 12:01 
>>> Хорошо, сделаю поправку - chroot есть средство безопасности
>> Нет.
>> Другое дело, если это не только смена области видимости в пространстве имён
>> файловой системы.
> То есть, я правильно понял кинутую предъяву, что вот это
> http://www.openbsd.org/faq/faq10.html#httpdchroot
> не для безопасности, а для понта?

Да, в данный момент ( 2014-год ) это именно так


"OpenBSD идёт в сторону использования цифровых подписей для п..."
Отправлено Аноним , 21-Янв-14 21:27 
>>> Хорошо, сделаю поправку - chroot есть средство безопасности
>> Нет.
>> Другое дело, если это не только смена области видимости в пространстве имён
>> файловой системы.
> То есть, я правильно понял кинутую предъяву, что вот это
> http://www.openbsd.org/faq/faq10.html#httpdchroot
> не для безопасности, а для понта?

Сам по себе chroot мало что даёт. А вот в сочетании с отказом от привилегий (Apache в базе OpenBSD работает не от рута, роняя привилегии после открытия всего, что нужно) - уже да.


"OpenBSD идёт в сторону использования цифровых подписей для п..."
Отправлено Michael Shigorin , 22-Янв-14 02:20 
>>> Хорошо, сделаю поправку - chroot есть средство безопасности
>> Нет.
> То есть, я правильно понял кинутую предъяву, что вот это [...]
> не для безопасности, а для понта?

Как совершенно справедливо заметили в #204, "это" -- не чрут, а другой комплекс мероприятий.  И я про него давно в курсе, в т.ч. применительно к опёнку, если что.

ldv@altlinux вон тоже известен неравнодушием к пустым readonly чрутам ;-]


"OpenBSD идёт в сторону использования цифровых подписей для п..."
Отправлено Аноним , 20-Янв-14 20:22 
> В openbsd хотя бы из базового сервера из дефолтного чрута хрен сбежишь.

До многих вещей в системе можно добраться и не сбегая из чрута.

> Secure by default, чё уж там.

Bullshit идет во все поля.


"OpenBSD идёт в сторону использования цифровых подписей для п..."
Отправлено Аноним , 20-Янв-14 20:59 
> До каких вещей ты добираться собрался?

Сисколы и библиотечные функции. Ну да, бидонисты о такой мелочи не знают. За них бидон думает. А их собственный котелок - пустой. И основ работы своей системе эти скрипткидевые ламаки не знают. В противном случае ты бы догадывался какого хрена в линуксе запилили флаги clone() откусывающие разные namespace-ы, ибо кроме файловой системы есть много иных интересных вещей. Вот так оно уже несколько более секурно. И то не полностью айс. Например чувак из LXC контенера перевел часы, а они во всей системе - оба-на! Так что даже там как видишь не все порезали. А перевод часов может доставить немало лулзов...


"OpenBSD идёт в сторону использования цифровых подписей для п..."
Отправлено бедный буратино , 20-Янв-14 21:03 
>> До каких вещей ты добираться собрался?
> Сисколы и библиотечные функции. Ну да, бидонисты о такой мелочи не знают.
> За них бидон думает. А их собственный котелок - пустой. И
> основ работы своей системе эти скрипткидевые ламаки не знают. В противном
> случае ты бы догадывался какого хрена в линуксе запилили флаги clone()

Мсье теоретику предложили конкретный вопрос - как он будет убегать из чрута дефолтового openbsd-шного httpd. Хоть бы на страничку конкретной реализации бы зашёл... хотя зачем это теоретикам, они только пафосно вещают об общих вещах... что-то типа гороскопа - "всё будет плохо, если, конечно, не будет хорошо".

А про "потенциально у нас две тысячи долларов, а реально - две шлюхи" - это мы уже слышали. Чё-нить новое, более практичное, будет?


"OpenBSD идёт в сторону использования цифровых подписей для п..."
Отправлено Аноним , 20-Янв-14 21:32 
> Мсье теоретику предложили конкретный вопрос - как он будет убегать из чрута
> дефолтового openbsd-шного httpd.

А зачем "убегать из чрута"? Многие вещи будут работать и там. Да, некоторые файловые операции отвалятся. Но дергать системные вызовы и библиотечные функции с правами текущего юзера это не помешает.

> Хоть бы на страничку конкретной реализации бы зашёл...

А смысл? Не могу же с заменить бидонисту-скрипткидису мозги на нормальные, способные к осознанию того как софт <-> OS вообще взаимодействуют.

> хотя зачем это теоретикам, они только пафосно вещают об общих вещах...

Теоретик тут ты, вещающий про супербезопасность и при этом не понимающий самых базовых основ на которых все это зиждется. За это мы и презираем скрипткидисов.


"OpenBSD идёт в сторону использования цифровых подписей для п..."
Отправлено chinarulezzz , 21-Янв-14 04:27 
>Теоретик тут ты, вещающий про супербезопасность и при этом не понимающий самых базовых основ на которых все это зиждется. За это мы и презираем скрипткидисов.

аж отсвечивает 31337тарностью.

По факту, тех принципов безопасности которых придерживается фуга, я не видел ни в какой другой системе. И линукс-разработчики часто пренебрегают этими http://www.openbsd.org/ru/security.html принципами.


"OpenBSD идёт в сторону использования цифровых подписей для п..."
Отправлено бедный буратино , 21-Янв-14 05:44 
> По факту, тех принципов безопасности которых придерживается фуга, я не видел ни
> в какой другой системе. И линукс-разработчики часто пренебрегают этими http://www.openbsd.org/ru/security.html принципами.

Они медленнее.

Массовый продукт из скорости и безопасности почти всегда выбирает скорость. Скорость можно продать (хотя "Продают лошадиные силы, а выигрывает крутящий момент"), а по безопасности теоретики объяснят, что это всё не нужно, потому что мы все умрём. :)


И только старый опытный openbsd никуда не спешит, и поэтому всё успевает. :)


"OpenBSD идёт в сторону использования цифровых подписей для п..."
Отправлено бедный буратино , 20-Янв-14 11:57 
Если не ставить php, который небезопасен by design, и который ломают даже девочки-дошкольницы, то многим софт-ошибкам openbsd успешно противостоит. Безотносительно ядра.

"OpenBSD идёт в сторону использования цифровых подписей для п..."
Отправлено исчо_адын_аноним , 20-Янв-14 12:01 
> Если не ставить php, который небезопасен by design, и который ломают даже
> девочки-дошкольницы, то многим софт-ошибкам openbsd успешно противостоит. Безотносительно
> ядра.

А если не ставить ОС на комп, то тут даже деревянная затычка будет бессильна.


"OpenBSD идёт в сторону использования цифровых подписей для п..."
Отправлено бедный буратино , 20-Янв-14 12:06 
> А если не ставить ОС на комп, то тут даже деревянная затычка будет бессильна.

Смотря, что хочешь получить. Возможно, в твоём случае, не ставить ОС на комп - это лучший выбор.



"OpenBSD идёт в сторону использования цифровых подписей для п..."
Отправлено Аноним , 20-Янв-14 20:10 
В твоем случае компьютеры вообще лучше даже не включать. Я помню как ты месяц пытался вику раскатать на ноут. При таком феерическом уровне ламерства лучше не использовать ничего сложнее палки-копалки.

"OpenBSD идёт в сторону использования цифровых подписей для п..."
Отправлено бедный буратино , 20-Янв-14 20:22 
> В твоем случае компьютеры вообще лучше даже не включать. Я помню как
> ты месяц пытался вику раскатать на ноут. При таком феерическом уровне
> ламерства лучше не использовать ничего сложнее палки-копалки.

Чувак, если указана вполне конкретная инструкция, и она не работает, то единственный косячник - это тот, кто её делал. Кстати, и авторы, и сама жизнь признали, что этот вариант не работает. В принципе. Вообще. Уж не знаю, потому что php, или нет, это не ко мне вопросы.


"OpenBSD идёт в сторону использования цифровых подписей для п..."
Отправлено Аноним , 20-Янв-14 20:25 
>> В твоем случае компьютеры вообще лучше даже не включать. Я помню как
>> ты месяц пытался вику раскатать на ноут. При таком феерическом уровне
>> ламерства лучше не использовать ничего сложнее палки-копалки.
> Чувак, если указана вполне конкретная инструкция, и она не работает, то единственный
> косячник - это тот, кто её делал.

"Неча на зеркало пенять, коли рожа крива". У других работает, у тебя нет, а причина, конечно же, в плохой инструкции.


"OpenBSD идёт в сторону использования цифровых подписей для п..."
Отправлено Miha , 20-Янв-14 19:31 
> Если не ставить php, который небезопасен by design, и который ломают даже
> девочки-дошкольницы, то многим софт-ошибкам openbsd успешно противостоит. Безотносительно
> ядра.

Осмелюсь предположить, что вы даже код не видели. Небезопасен от кривых рук пишущих его, от растущих с неправильного места использующих его.


"OpenBSD идёт в сторону использования цифровых подписей для п..."
Отправлено бедный буратино , 20-Янв-14 19:37 
>  Осмелюсь предположить, что вы даже код не видели. Небезопасен от кривых
> рук пишущих его, от растущих с неправильного места использующих его.

Чей код я не видел?

В php даже сама идеология "маскировать ошибки, насколько это возможно" просто вынуждает чаще ошибаться... тут на соседнем форуме смешную картинку показывали: http://c.51t.ru/pyphp.png


"OpenBSD идёт в сторону использования цифровых подписей для п..."
Отправлено Аноним , 20-Янв-14 20:03 
Да, бидонисты только и умуют что других грязью поливать. Потому что сами вообще нормальные продукты выкатить не в состоянии. Вот и остается других поливать...

"(offtopic) ...идёт в сторону..."
Отправлено Michael Shigorin , 20-Янв-14 23:02 
> Вот и остается других поливать...

Ребята, я понимаю, что у вас обострение рановато началось, но предлагаю всё же знать меру.


"(offtopic) ...идёт в сторону..."
Отправлено Led , 21-Янв-14 02:53 
>> Вот и остается других поливать...
> Ребята, я понимаю, что у вас обострение рановато началось, но предлагаю всё
> же знать меру.

Ты посмотри сначала процент постов о буратины (от общего числа на опеннете), причём, по ЛЮБОМУ поводу (такое ощущение, что раз он деревянный, то для любой бочки - затычка), а потом уже решай у кого "обострение":)


"(offtopic) ...идёт в сторону..."
Отправлено бедный буратино , 21-Янв-14 06:07 
>> Вот и остается других поливать...
> Ребята, я понимаю, что у вас обострение рановато началось, но предлагаю всё же знать меру.

То есть, вы отрицаете, что люди, у которых тот факт, что кто-то где-то выпускает операционную систему openbsd вызывает истеричную ненависть и обильное выделение лжи - это всесезонно больные люди?


"OpenBSD идёт в сторону использования цифровых подписей для п..."
Отправлено тигар , 21-Янв-14 13:13 
>>  Осмелюсь предположить, что вы даже код не видели. Небезопасен от кривых
>> рук пишущих его, от растущих с неправильного места использующих его.
> Чей код я не видел?
> В php даже сама идеология "маскировать ошибки, насколько это возможно" просто вынуждает
> чаще ошибаться... тут на соседнем форуме смешную картинку показывали: http://c.51t.ru/pyphp.png

а может там рассказывается о том, как ошибку "мускл лежит" (например) спрятать?


"OpenBSD идёт в сторону использования цифровых подписей для п..."
Отправлено бедный буратино , 21-Янв-14 14:36 
>>>  Осмелюсь предположить, что вы даже код не видели. Небезопасен от кривых
>>> рук пишущих его, от растущих с неправильного места использующих его.
>> Чей код я не видел?
>> В php даже сама идеология "маскировать ошибки, насколько это возможно" просто вынуждает
>> чаще ошибаться... тут на соседнем форуме смешную картинку показывали: http://c.51t.ru/pyphp.png
> а может там рассказывается о том, как ошибку "мускл лежит" (например) спрятать?

То есть "mysql лежит, но страница должна продололжать генерироваться дальше? есть же такой неиссякаемый источник данных, как random!"

Ну, может быть. Потому что я так и не вспомню ни одного языка, где "mysql лежит, но мы продолжаем дальшеупорно генерировать страницу, как будто ничего не произошло" является штатной, кроме как в php.


"OpenBSD идёт в сторону использования цифровых подписей для п..."
Отправлено тигар , 21-Янв-14 14:43 
>>> чаще ошибаться... тут на соседнем форуме смешную картинку показывали: http://c.51t.ru/pyphp.png
>> а может там рассказывается о том, как ошибку "мускл лежит" (например) спрятать?
> То есть "mysql лежит, но страница должна продололжать генерироваться дальше? есть же
> такой неиссякаемый источник данных, как random!"

на странице может быть и статика, которую можно/нужно отдать. олсо гламурное "окошечко" с текстом "ой, миленькие наши, у нас сервер заболел, мы его чаем с малиной отпаиваем! придите завтра" всяко лучше чем написаная красными буковками надпись can't connect to mysql server blablabla, которое в особо запущеных случаях оторвет админа от игрушки телефонным звонком с "у меня интернет не работает!" от какой-нить светловолосой бухгалтерши.



"OpenBSD идёт в сторону использования цифровых подписей для п..."
Отправлено бедный буратино , 21-Янв-14 14:53 
> на странице может быть и статика, которую можно/нужно отдать. олсо гламурное "окошечко"
> с текстом "ой, миленькие наши, у нас сервер заболел, мы его
> чаем с малиной отпаиваем! придите завтра" всяко лучше чем написаная красными
> буковками надпись can't connect to mysql server blablabla, которое в особо
> запущеных случаях оторвет админа от игрушки телефонным звонком с "у меня
> интернет не работает!" от какой-нить светловолосой бухгалтерши.

Ну так эта ситуация любым языком нормально отрабатывается. Именно ОТРАБАТЫВАЕТСЯ, а не сначала шпарит без данных, и только потом, особым повелением, можно заставить вести себя ЛОГИЧНО. А до этого - нет данных, не беда, ща напишем "видимость нулевая, иду по приборам, через 40 копеек поворот направо", и дальше поедем.

Именно этим отличаются handling errors и hiding errors :)


"OpenBSD идёт в сторону использования цифровых подписей для п..."
Отправлено тигар , 21-Янв-14 14:58 
>[оверквотинг удален]
>> с текстом "ой, миленькие наши, у нас сервер заболел, мы его
>> чаем с малиной отпаиваем! придите завтра" всяко лучше чем написаная красными
>> буковками надпись can't connect to mysql server blablabla, которое в особо
>> запущеных случаях оторвет админа от игрушки телефонным звонком с "у меня
>> интернет не работает!" от какой-нить светловолосой бухгалтерши.
> Ну так эта ситуация любым языком нормально отрабатывается. Именно ОТРАБАТЫВАЕТСЯ, а не
> сначала шпарит без данных, и только потом, особым повелением, можно заставить
> вести себя ЛОГИЧНО. А до этого - нет данных, не беда,
> ща напишем "видимость нулевая, иду по приборам, через 40 копеек поворот
> направо", и дальше поедем.

у тебя уже веки сгорели от света из глаз;(
пиши на ПХП чтобы было ЛОГИЧНО. оно и будет работать предсказуемо и логично.
это примерно как винить дорожников в плохо почищеной/не посыпаной дороге летая 100+ км/ч на лысой летней резине.
> Именно этим отличаются handling errors и hiding errors :)


"OpenBSD идёт в сторону использования цифровых подписей для п..."
Отправлено бедный буратино , 21-Янв-14 15:09 
> пиши на ПХП чтобы было ЛОГИЧНО. оно и будет работать предсказуемо и логично.
> это примерно как винить дорожников в плохо почищеной/не посыпаной дороге летая 100+
> км/ч на лысой летней резине.

Нет, не примерно. Если пришли неоднозначные данные, оно не должно пытаться додумать за других. Потому что иначе разработчик может даже что-то не знать, что что-то пошло не так - это раз. И в случае непредсказуемой ситуации поведение может стать СОВСЕМ непредсказуемым - это два (включая конфиденциальные утечки). (кстати, с php ещё один смешной случай связан - если что-то не так отработает, вместо результатов выводов может выводиться исходный код .php. Ситуация редкая, но от того ещё более смешная).


Нормальное поведение - в случае непредсказуемой ситуации мы не знаем, что делать.

Поведение php - в случае непредсказуемой ситуации мы делаем вид, что ничего не произошло.


"OpenBSD идёт в сторону использования цифровых подписей для п..."
Отправлено тигар , 21-Янв-14 15:13 
> конфиденциальные утечки). (кстати, с php ещё один смешной случай связан -
> если что-то не так отработает, вместо результатов выводов может выводиться исходный
> код .php. Ситуация редкая, но от того ещё более смешная).

ты меня конечно прости... но настроить php пригласи того, кто это делать умеет (случай когда ты в браузере вбиваешь http://domain.tld/ololo.php и видишь код на пхп)


"OpenBSD идёт в сторону использования цифровых подписей для п..."
Отправлено бедный буратино , 21-Янв-14 15:45 
>> конфиденциальные утечки). (кстати, с php ещё один смешной случай связан -
>> если что-то не так отработает, вместо результатов выводов может выводиться исходный
>> код .php. Ситуация редкая, но от того ещё более смешная).
> ты меня конечно прости... но настроить php пригласи того, кто это делать
> умеет (случай когда ты в браузере вбиваешь http://domain.tld/ololo.php и видишь код на пхп)

Я говорю о ситуации "внезапно отвалилось", например при какой-нибудь ошибке обновления. В нормальных случаях так - если не работает, значит не работает. Если работает - значит работает. А в случае файлов, которые размазаны там же, где и все остальные файлы, которые нужно отдавать, ситуация такая - если работает, значит работает, а если не работает - значит ты можешь посмотреть все сырцы.

Не, ну понятно, для всех пыхеров это самый нормальный путь. Ведь он заставляет чувствовать себя сапёрами, где каждая ошибка - смертельна. А вот нормальные люди всё таки предпочтут, если что-то пошло не так, чтобы их сырцы не были достоянием общественности.

Я такую ошибку однажды, лет 10 назад, даже на хостинге видел. Где не было никакой возможности "перенастроить самому" - что хостер выдал, то и произошло.


"OpenBSD идёт в сторону использования цифровых подписей для п..."
Отправлено Аноним , 20-Янв-14 19:54 
> Если не ставить php,

Ну вон гитхаб на руби - сломали. И moinmoin на бидоне - тоже. Не работает чего-то твой совет нифига. Вебня пишется всякими специалистами по вьюжлвасику типа тебя, при этом не так уж важно, питон там, пых, руби, нода.жс или что там еще. Вы такие хорошие все-равно лажаетесь в самых базовых вещах совершенно одинаково, не будучи в состоянии предусмотреть самые простые и очевидные ляпы.


"OpenBSD идёт в сторону использования цифровых подписей для п..."
Отправлено бедный буратино , 20-Янв-14 20:00 
>> Если не ставить php,
> Ну вон гитхаб на руби - сломали. И moinmoin на бидоне - тоже.

Это имеет такое же отношение к дизайну языка, как Аноним - к адекватности.

Когда в языке дозволено, несмотря на критические ошибки, продолжать дальше производить расчёты, впору вешать табличку "п...дец" и ползти на кладбище. А не выискивать единичные случаи у других.


"OpenBSD идёт в сторону использования цифровых подписей для п..."
Отправлено Аноним , 20-Янв-14 13:21 
> Итак, самая безопасная ось в начале 2014 года начала думать о проверке
> подлинности. Я люблю этот мир.

Не "начала думать" а "заканчивает реализовывать". Цифровые подписи - это чуть сложнее, чем openssl -genrsa. Сделать процесс простым, надёжным и безопасным - это совсем не то же, что отрапортовать о внедрении технологии.

А подписывать пакеты, собираемые из портов, можно было уже N лет назад.


"OpenBSD идёт в сторону использования цифровых подписей для п..."
Отправлено Аноним , 20-Янв-14 19:58 
> Не "начала думать" а "заканчивает реализовывать".

"...а 22-е лезвие заканчивает полировку вашей челюсти".

> Цифровые подписи - это чуть сложнее, чем openssl -genrsa.

Именно - ЧУТЬ. Вот реально - цифровые подписи это цифровые подписи. В конкретно 25519 юзеж публичной криптографии прост как топор. Берштейн специально это сделал, как контраст с SSL который секурно заюзать и нигде не стрельнуть себе в пятку - семь потов сойдет.

> совсем не то же, что отрапортовать о внедрении технологии.

Тем не менее, у того же дебиана или редхатов за годы использования ими подписей прецедентов с именно подделкой подписей не зафиксировано.

> А подписывать пакеты, собираемые из портов, можно было уже N лет назад.

А "бы" в этом мире не считается. Это называется "упущенные возможности".



"OpenBSD идёт в сторону использования цифровых подписей для п..."
Отправлено chinarulezzz , 21-Янв-14 04:38 
>Тем не менее, у того же дебиана или редхатов за годы использования ими подписей прецедентов с именно подделкой подписей не зафиксировано.

в среде kernel-хакеров была замечена привычка умалчивать об уязвимостях.

>Это называется "упущенные возможности".

для кого? "фатальный недостаток", да. Аноним по причине отсутствия подписей - не выбрал опёнка. Недостаточно секюрна для него :-D Какая упущенная возможность. А ведь если б он ею пользовался, возможно он за электричество уплатил бы Тео, и опёнок не имел таких материальных проблем.


"OpenBSD идёт в сторону использования цифровых подписей для п..."
Отправлено Аноним , 26-Фев-14 02:24 
>> Не "начала думать" а "заканчивает реализовывать".
> "...а 22-е лезвие заканчивает полировку вашей челюсти".
>> Цифровые подписи - это чуть сложнее, чем openssl -genrsa.
> Именно - ЧУТЬ. Вот реально - цифровые подписи это цифровые подписи. В
> конкретно 25519 юзеж публичной криптографии прост как топор. Берштейн специально это
> сделал, как контраст с SSL который секурно заюзать и нигде не
> стрельнуть себе в пятку - семь потов сойдет.

Нет, не чуть. Наиболее распространённые схемы вроде X.509 подразумевают наличие цепочек доверия. И эти схемы уже благополучно зарекомендовали себя, как сводящие реальный уровень безопасности, для достаточно сильного противника, к нулю.

>> совсем не то же, что отрапортовать о внедрении технологии.
> Тем не менее, у того же дебиана или редхатов за годы использования
> ими подписей прецедентов с именно подделкой подписей не зафиксировано.

Ложь. Контрпример: http://www.opennet.me/opennews/art.shtml?num=17510

Кстати, если правильно помню, dpkg (в отличие от apt*) не проверяет подписи. А ведь админы порой пользуются именно dpkg по причине поломки базы пакетов или ещё какой особой нужде (мне самому повезло, а вот некоторым знакомым - нет).

>> А подписывать пакеты, собираемые из портов, можно было уже N лет назад.
> А "бы" в этом мире не считается. Это называется "упущенные возможности".

Где вы увидели "бы"? "Можно было" означает, что эта технология УЖЕ работала. Кому надо - тот собирал и подписывал пакеты для себя, в рамках организации, например. Благо, в OpenBSD сборка пакетов весьма предсказема и редко ломается от появления чего-то незапланированного в зоне доступа (неучтённые зависимости и т.д.).

Возможностей никто не упускал. Ну, кроме отдельных диванных аналитиков.


"OpenBSD идёт в сторону использования цифровых подписей для п..."
Отправлено Аноним , 20-Янв-14 12:34 
Я не понял, они ещё их не подписывали до сих пор? Фигасе, самая безопасная ОС. Даже в Арче уже достаточно давно есть.

"OpenBSD идёт в сторону использования цифровых подписей для п..."
Отправлено бедный буратино , 20-Янв-14 12:37 
> Я не понял, они ещё их не подписывали до сих пор? Фигасе,
> самая безопасная ОС. Даже в Арче уже достаточно давно есть.

Теперь будут. Если хотел внедрить что-то на левое зеркало - ты опоздал. :)

Вообще, механизм был доступен очень давно:

http://www.openbsd.org/faq/faq15.html#PkgSig

Но на официальных зеркалах этим никто не занимался - на дискету не влезало :) Теперь нашли способ :) Да и народ как-то больше на портах висел, чем на пакетах.


ps. Достаточно давно - это год назад? :)


"OpenBSD идёт в сторону использования цифровых подписей для п..."
Отправлено Аноним , 20-Янв-14 12:57 
Да, всего-то было на LZMA перейти.

"OpenBSD идёт в сторону использования цифровых подписей для п..."
Отправлено Аноним , 20-Янв-14 13:22 
> Да, всего-то было на LZMA перейти.

AFAIK, это убьёт старые системы, из-за повышенных требований к размеру словаря, особенно для упаковки.


"OpenBSD идёт в сторону использования цифровых подписей для п..."
Отправлено Аноним , 20-Янв-14 15:27 
>> Да, всего-то было на LZMA перейти.
> AFAIK, это убьёт старые системы, из-за повышенных требований к размеру словаря, особенно
> для упаковки.

Да прям.....


"OpenBSD идёт в сторону использования цифровых подписей для п..."
Отправлено Аноним , 20-Янв-14 20:00 
> AFAIK, это убьёт старые системы, из-за повышенных требований к размеру словаря,
> особенно для упаковки.

Насколько старые? Если кто не может выкроить себе 2 мега на словарь - это не просто старье, это какой-то ZX-спектрум уже.


"OpenBSD идёт в сторону использования цифровых подписей для п..."
Отправлено Аноним , 21-Янв-14 21:36 
>> AFAIK, это убьёт старые системы, из-за повышенных требований к размеру словаря,
>> особенно для упаковки.
> Насколько старые? Если кто не может выкроить себе 2 мега на словарь
> - это не просто старье, это какой-то ZX-спектрум уже.

2 метра? А 32 метра не хотите? Не говоря о том, что разница даже в скорости самой распаковки между GZip и XZ на каком-нибудь m68k вполне ощутима.

А "старьё", как неоднократно уже объяснялось, нужно для вылавливания тех багов, которые на других архитектурах ловятся крайне плохо. Слетело выравнивание в структуре из-за ошибки в указательной арифметике, например, и SPARC моментально даст SIGBUS, в то время как i386 позволит проблемам копиться и проявиться самым неожиданным образом. Или, скажем, баг может почти не проявляться на amd64 из-за того, что какой-то лок успевает освободиться, а на vax'е он будет висеть достаточно для устойчивого отлавливания. И т.д.


"OpenBSD идёт в сторону использования цифровых подписей для п..."
Отправлено metallica , 20-Янв-14 15:42 
*BSD в атаке ftp.freebsd.org/pub/FreeBSD/releases/ISO-IMAGES/10.0/

"OpenBSD идёт в сторону использования цифровых подписей для п..."
Отправлено Аноним , 20-Янв-14 20:11 
Нетка тоже немного участвует:
http://ftp.netbsd.org/pub/NetBSD/NetBSD-6.1.3/images/

"OpenBSD идёт в сторону использования цифровых подписей для п..."
Отправлено lucentcode , 20-Янв-14 20:28 
Рад, что финансовые проблемы проекта разрешились. Хоть и не пользуюсь OpenBSD, но всегда симпатизировал данному проекту.

"OpenBSD идёт в сторону использования цифровых подписей для п..."
Отправлено бедный буратино , 21-Янв-14 06:35 
Кстати, пацаны, есть одна проблема, кто знает, как разобраться?

Есть роутер, по-моему, dlink dir 320. не мой, как мне его дали, так он и шуршит, я там ничего не настраивал.

Есть линаксы, много разных линаксов, и есть openbsd 5.5beta. В линаксах всё нормально - скорость до сервера в районе 250 кбайт-сек.

Если же запустить rsync или wget c openbsd, то скорость стабильно 60 кбайт-сек. Хоть по сети подключайся, хоть по вай-фаю. Один раз его всё-таки прорвало на номинал, но я не понял - как.

При этом, если запустить при этом что-то с другого linux, то скорость будет мизерная-мизерная. Т.е., толи оно весь канал жрёт, то ли провайдер тупит.

Скорость внутри дома, по лану - нормальная, никаких ограничений.

В чём может быть проблема?


Вообще, у меня тут самый неадекватный провайдер (у него всё на генте!), и там постоянно какие-то проблемы (аптайм 80% - это норма. больше - это большое счастье) - помнится, даже было такое, что запуск даже двух вгетов не проходил - т.е. запускаешь один вгет - скорость 500 кбайт.сек, запускаешь второй - минуту к сети коннектится...


"OpenBSD идёт в сторону использования цифровых подписей для п..."
Отправлено cnst , 21-Янв-14 08:30 
Где у тебя сервер?  Есть такое понятие, как bandwidth delay product, у OpenBSD есть ограничение в 256KB.

"OpenBSD идёт в сторону использования цифровых подписей для п..."
Отправлено бедный буратино , 21-Янв-14 08:54 
> Где у тебя сервер?

Это не сервер, это мой домашний компьютер.


>  Есть такое понятие, как bandwidth delay product, у OpenBSD есть ограничение в 256KB.

Ничё не понял. В роутер оно уходит одинаково. А там уже мальчики налево, девочки направо. И когда оно по комнате бегает, нет никаких лимитов. А когда в интернет - 60 кб с занятием всего канала напрочь. Внимание, вопрос - ОТКУДА ОНО ЗНАЕТ? :)


"OpenBSD идёт в сторону использования цифровых подписей для п..."
Отправлено бедный буратино , 21-Янв-14 09:18 
это из openbsd

re0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500
        lladdr 00:01:2e:3a:ec:b0
        priority: 0
        groups: egress
        media: Ethernet autoselect (100baseTX full-duplex,rxpause,txpause)
        status: active
        inet6 fe80::201:2eff:fe3a:ecb0%re0 prefixlen 64 scopeid 0x2
        inet 192.168.0.120 netmask 0xffffff00 broadcast 192.168.0.255


"OpenBSD идёт в сторону использования цифровых подписей для п..."
Отправлено Neus , 21-Янв-14 15:06 
А причем тут BDP и как оно объясняет указанное поведение?

"OpenBSD идёт в сторону использования цифровых подписей для п..."
Отправлено Neus , 21-Янв-14 15:11 
> Вообще, у меня тут самый неадекватный провайдер (у него всё на генте!), и там постоянно какие-то проблемы

О! у нас такой был провайдер, походу его техдиректор к вам сбежал :)


"OpenBSD идёт в сторону использования цифровых подписей для п..."
Отправлено бедный буратино , 21-Янв-14 15:46 
>> Вообще, у меня тут самый неадекватный провайдер (у него всё на генте!), и там постоянно какие-то проблемы
> О! у нас такой был провайдер, походу его техдиректор к вам сбежал :)

Боюсь, никакого техдиректора тут нет. Как было настроено один раз 15 лет назад, так оно до сих пор "методом живтительного ребута" и реставрируется. :)

ps. Почему сбежал? Почему не расстреляли? :)



"OpenBSD идёт в сторону использования цифровых подписей для п..."
Отправлено Andrey Mitrofanov , 21-Янв-14 15:56 
> ps. Почему сбежал? Почему не расстреляли? :)

Да, твоё творчество ведт к этой мысли.


"OpenBSD идёт в сторону использования цифровых подписей для п..."
Отправлено бедный буратино , 21-Янв-14 16:00 
>> ps. Почему сбежал? Почему не расстреляли? :)
> Да, твоё творчество ведт к этой мысли.

То колобок был. Мой брат двоюродный.



"OpenBSD идёт в сторону использования цифровых подписей для п..."
Отправлено Аноним , 21-Янв-14 21:47 
>[оверквотинг удален]
> Есть линаксы, много разных линаксов, и есть openbsd 5.5beta. В линаксах всё
> нормально - скорость до сервера в районе 250 кбайт-сек.
> Если же запустить rsync или wget c openbsd, то скорость стабильно 60
> кбайт-сек. Хоть по сети подключайся, хоть по вай-фаю. Один раз его
> всё-таки прорвало на номинал, но я не понял - как.
> При этом, если запустить при этом что-то с другого linux, то скорость
> будет мизерная-мизерная. Т.е., толи оно весь канал жрёт, то ли провайдер
> тупит.
> Скорость внутри дома, по лану - нормальная, никаких ограничений.
> В чём может быть проблема?

Покажи вывод:

1) sysctl -a
2) netstat -ni  (во время проблемной закачки)
3) pfctl -vsr


"OpenBSD идёт в сторону использования цифровых подписей для п..."
Отправлено бедный буратино , 22-Янв-14 05:57 
> Покажи вывод:
> 1) sysctl -a
> 2) netstat -ni  (во время проблемной закачки)
> 3) pfctl -vsr

http://ob.51t.ru/n/

Это, конечно, смешно звучит, но после второй команды у меня скорость закачки поднялась с 60 до 150 кбайт. Секретный код? :) А коды на бессмерть есть? :)


"OpenBSD идёт в сторону использования цифровых подписей для п..."
Отправлено бедный буратино , 21-Янв-14 09:39 
Тээкс, интересненько...

обновление на снэпшоте от 18 января высветило новое поведение...

(обновление с диска, как это выглядит при сетевом обновлении, я не знаю)

сначала взяло SHA256 (файл SHA256.sig я не ложил, поэтому не знаю, проверяло бы оно его), хотя раньше - не брало, и все суммы, по-моему, были прошиты в bsd.rd (впрочем, я не уверен). и потом написало Installing sets, но при этом не выводило графиков установки - я даже не понял, что это с ним, чего оно просто так висит...

Ждём новых снапшотов, и буду экспериментировать с ними уже в виртуалке, ставить до обновлять туда-сюда...


"OpenBSD идёт в сторону использования цифровых подписей для п..."
Отправлено Аноним , 21-Янв-14 21:50 
>[оверквотинг удален]
> обновление на снэпшоте от 18 января высветило новое поведение...
> (обновление с диска, как это выглядит при сетевом обновлении, я не знаю)
> сначала взяло SHA256 (файл SHA256.sig я не ложил, поэтому не знаю, проверяло
> бы оно его), хотя раньше - не брало, и все суммы,
> по-моему, были прошиты в bsd.rd (впрочем, я не уверен). и потом
> написало Installing sets, но при этом не выводило графиков установки -
> я даже не понял, что это с ним, чего оно просто
> так висит...
> Ждём новых снапшотов, и буду экспериментировать с ними уже в виртуалке, ставить
> до обновлять туда-сюда...

Оно теперь пробует, если есть возможность, сначала сливать сеты в /home на системе, делать им проверку подписи (это не то же, что проверка контрольных сумм) и уже потом устанавливать. На лету проверить и тут же установить по определению, нельзя - подпись проверить можно только получив файл полностью, но и устанавливать из ещё не проверенного файла тоже как-то глупо. В случае установки с диска это, действительно, излишне - думаю, скоро это исправят.


"OpenBSD идёт в сторону использования цифровых подписей для п..."
Отправлено Аноним , 21-Янв-14 23:10 
> Оно теперь пробует, если есть возможность, сначала сливать сеты в /home на
> системе, делать им проверку подписи (это не то же, что проверка
> контрольных сумм) и уже потом устанавливать. На лету проверить и тут
> же установить по определению, нельзя - подпись проверить можно только получив
> файл полностью, но и устанавливать из ещё не проверенного файла тоже
> как-то глупо. В случае установки с диска это, действительно, излишне -
> думаю, скоро это исправят.

А, нет, при установке с диска делаются симлинки. Так что лишнего копирования не происходит, но "полосок прогресса" мы на данный момент лишены, увы.


"OpenBSD идёт в сторону использования цифровых подписей для п..."
Отправлено бедный буратино , 22-Янв-14 05:59 
> А, нет, при установке с диска делаются симлинки. Так что лишнего копирования
> не происходит, но "полосок прогресса" мы на данный момент лишены, увы.

Надо хотя бы написать "донтвори, би хеппи, это займёт несколько минут, не мучайте клавиатуру и не дуйте в мышку"... и хотя бы "Copying base55.tgz"... а то я уже начал волноваться, чего это он такое делает....


"OpenBSD идёт в сторону использования цифровых подписей для п..."
Отправлено бедный буратино , 24-Янв-14 05:34 
>> А, нет, при установке с диска делаются симлинки. Так что лишнего копирования
>> не происходит, но "полосок прогресса" мы на данный момент лишены, увы.
> Надо хотя бы написать "донтвори, би хеппи, это займёт несколько минут, не
> мучайте клавиатуру и не дуйте в мышку"... и хотя бы "Copying
> base55.tgz"... а то я уже начал волноваться, чего это он такое
> делает....

О, свежесобранный снапшот уже индикаторы показывает. Правда, напрочь пропало 3д ускорение... короче говоря, если постоянно обновлять снапшоты - ничего хорошего не будет :) жду релиза, будем ставить начисто :)


ps. А почему про OpenBSD уже два дня нет никаких новостей. Что-то случилось? :)


"OpenBSD идёт в сторону использования цифровых подписей для п..."
Отправлено Аноним , 26-Фев-14 02:28 
>>> А, нет, при установке с диска делаются симлинки. Так что лишнего копирования
>>> не происходит, но "полосок прогресса" мы на данный момент лишены, увы.
>> Надо хотя бы написать "донтвори, би хеппи, это займёт несколько минут, не
>> мучайте клавиатуру и не дуйте в мышку"... и хотя бы "Copying
>> base55.tgz"... а то я уже начал волноваться, чего это он такое
>> делает....
> О, свежесобранный снапшот уже индикаторы показывает. Правда, напрочь пропало 3д ускорение...

Стоит проверить права на /dev/drm0. Если для входа в систему используется *dm, проблем не должно быть, они сами выставляют нужные.


"OpenBSD идёт в сторону использования цифровых подписей для п..."
Отправлено бедный буратино , 22-Янв-14 05:10 
> Оно теперь пробует, если есть возможность, сначала сливать сеты в /home на
> системе, делать им проверку подписи (это не то же, что проверка
> контрольных сумм) и уже потом устанавливать. На лету проверить и тут
> же установить по определению, нельзя - подпись проверить можно только получив
> файл полностью, но и устанавливать из ещё не проверенного файла тоже
> как-то глупо. В случае установки с диска это, действительно, излишне -
> думаю, скоро это исправят.

ну дысь, я так и понял, логично...

/altroot2? :)

хотя я и первый не использовал никогда. :)