Объявлено об открытии исходных текстов всех наработок продукта Douane (http://www.douaneapp.com/), в рамках которого подготовлена реализация персонального интерактивного межсетевого экрана для Linux, поддерживающая интеграцию с GNOME. Douane предоставляет наглядный интерфейс для отслеживания сетевой активности пользовательских приложений и блокирования нежелательного сетевого трафика. При выявлении попытки сетевого соединения от приложения, не подпадающего под правила белого списка, программа выводит пользователю диалог с предложением принять решение о продолжении инициированной сетевой операции. Код открыт под лицензией GPLv2 и доступен (https://github.com/Douane/) на GitHub.
<center><a href="https://camo.githubusercontent.com/e02c9e400ccac983f632ff142... src="http://www.opennet.me/opennews/pics_base/0_1398661342.png" style="border-style: solid; border-color: #e9ead6; border-width: 15px;max-width:100%;" title="" border=0></a></center>
Douane состоит (https://github.com/Douane/Douane/wiki/Architecture) из четырёх базовых частей: модуля для ядра Linux, фонового процесса для мониторинга соединений, графического интерфейса для вывода уведомлений и конфигуратора.
- Модуль ядра douane-dkms (https://github.com/Douane/douane-dkms) написан на языке Си с использованием фреймворка Netfilter и предназначен для перехвата исходящего трафика, а также определения его связи с отдельными приложениями.
- Фоновый процесс douane-daemon (https://github.com/Douane/douane-daemon) отвечает за контроль за соблюдением ранее принятых решений о допустимости того или иного трафика от приложений и инициирования запроса пользователю в случае появления ранее не наблюдаемой сетевой активности. Демон написан на языке С++ и использует D-Bus для обмена данными.
- Интерфейс для вывода уведомлений (douane-dialog (https://github.com/Douane/douane-dialog)) отвечает за подтверждение или блокирование пользователем выявленной активности. Компонент написан на языке С++ и использует обвязку GTKmm (http://www.gtkmm.org/en/) для использования библиотеки GTK+ 3 в проектах на языке С++.
- Конфигуратор douane-configurator (https://github.com/Douane/douane-configurator) отвечает за управление работой межсетевого экрана и корректировку ранее добавленных правил. Интерфейс настройки написан на языке Python 3 с использованием библиотеки GTK+ 3 через биндинг PyGObject (https://wiki.gnome.org/action/show/Projects/PyGObject?action...).<center><a href="https://camo.githubusercontent.com/3e3e5c4e3ccb8f84319712c5a... src="http://www.opennet.me/opennews/pics_base/0_1398661369.png" style="border-style: solid; border-color: #e9ead6; border-width: 15px;max-width:100%;" title="" border=0></a></center>
URL: http://www.reddit.com/r/linux/comments/245i33/douane_persona.../
Новость: http://www.opennet.me/opennews/art.shtml?num=39654
А как-же KDE?
PyKDE4 is not ported yet to Python3, увы.
Зато PyQt4 fully supports all versions of Python v3.
> PyKDE4 is not ported yet to Python3, увы.Опять бидонисты своей несовместимостью гадят.
>PyKDE4 is not ported yet to Python3, увы.Да с фига ли?
[ebuild R ] kde-base/pykde4-4.11.5:4/4.11 [4.11.5:4/4] USE="examples semantic-desktop (-aqua) -debug -doc {-test}" PYTHON_TARGETS="python2_7 python3_3 -python2_6 -python3_2" 0 kB
вот бы випнет фаервол и керио ещё на линукс портировали
Керио вроде есть давно.
Зачем?
Випнет, скорее всего, для бумажки, без которой не дадут работать, нащот керио ничо не могу сказать, не пользовался.
> Випнет, скорее всего, для бумажки, без которой не дадут работать, нащот керио
> ничо не могу сказать, не пользовался.Кирюшу под вендами пользовал еще на 98 - тормозной убогий монстр, хотя работает. На XP сравнивал нагрузку на проц между керио и wipfw при активном трафике - ~40-50% и 3-4% соответственно. После чего забыл про эту гадость навсегда :) Накой ляд он в линуксах - непонятно ...
випнета фактически нету со времён rhel 4
> випнета фактически нету со времён rhel 4Хы, прикольно:
На компьютере должна быть установлена ОС Linux одного из следующих дистрибутивов:
Linux XP 2008 Desktop Secure Edition;
RedHat Enterprise Linux 4.0 AS;
Open SuSe Linux 11.1;
SuSe Linux 10.0;
SuSE Linux Enterprise Server 10.0;
SuSe Linux Enterprise Server 10.0 SP1, SP2;
Slackware Linux 10.2 (только ядро 2.4.31);
Slackware Linux 12.0 (только ядро 2.6.16.52 с ftp://kernel.org);
Ubuntu 8.04 LTS Desktop;
Debian Etch 4.0 r1.
(https://www.infotecs.ru/products/catalog.php?SECTION_ID=&ELE...)
Позорники :D
> випнета фактически нету со времён rhel 4как человек писавший его код - могу сказать что портировать VipNet на любое ядро - дело месяца.
К слову под Win32/Solaris/Linux жил один и тот же код..
Как человек, учившийся на курсах по випнету и потом по долгу работы использовавший это поделие, код у вас отвратный был. Эта хренотень роняла ядро в кернел-паник под нагрузкой. А техподдержке было глубоко наплевать. Продукт продан.
Адовый интерфейс управления всей этой байдой я вообще вспоминаю с ужасом.
это вопросы к москве :-) Нас к исправлению ошибок не допускали. Да и в то время когда его писал - 100мбит нагрузки он держал легко.А как восстанавливали код управления ключевой инфой - это была отдельная песня..
> это вопросы к москве :-) Нас к исправлению ошибок не допускали. Да
> и в то время когда его писал - 100мбит нагрузки он
> держал легко.
> А как восстанавливали код управления ключевой инфой - это была отдельная песня..шутка была не о пригодности вашего поделия к использованию, а о засирании линукса тоннами мутного дерьма лишь бы впарить лохам
> А как восстанавливали код управления ключевой инфой - это была отдельная песня..тут ещё писали про песню о коде на крестах в ядре
> это вопросы к москве :-) Нас к исправлению ошибок не допускали. Да
> и в то время когда его писал - 100мбит нагрузки он
> держал легко.
> А как восстанавливали код управления ключевой инфой - это была отдельная песня..О. А я задавался простым вопросом какого хрена оно такое. Кучка дос-говна на винде.
Ларчик просто открывался. :) спасибо.
З.Ы. Лет 10 уже прошло. Время летит, блин.
> Ларчик просто открывался. :) спасибо.А ты ожидал что линукс-хрип будет работать в нормальной конторе и к тому же будет делать работу качественно. Ты посмотри на эту рожу и сообщения оного и подумай, хочешь ли ты доверить свою тушку ТАКОМУ индивиду.
> Випнет, скорее всего, для бумажки, без которой не дадут работать,Без бумажки ты букашка, а с бумажкой - человек? Впрочем, да, у нас в старне все условия для ведения бизнеса. Вон пример Дурова подтверждает лишний раз.
Дуров продавал акции до тех пор, пока не потерял контрольный пакет и соотв. контроль над компанией. Новое руководство посчитало его кандидатуру неудобной на посту ген.дира. По прогнозам, доходы компании при новом руководстве вырастут в 3-5 раз. Так ли уж новый акционер не прав?
> По прогнозам, доходы компании при новом руководстве вырастут в 3-5 раз.Ну, то по прогнозам...
> Дуров продавал акции до тех пор, пока не потерял контрольный пакет и
> соотв. контроль над компанией.Если тебе зажать мягкие части тела в тиски и начать выживать - ты тоже будешь продавать акции, когда тебя задолбает.
> По прогнозам, доходы компании при новом руководстве вырастут
Э не, чувак! В таких вещах все эти бла-бла не котируются. Вот когда и если вырастут - вот тогда и приходите. Ну и вообще, учить ведению бизнеса создателя стартапа который из грязи в князи контору поднял - очень интересная идея. Вон в оригинале цукерберг живет себе. Потому что в странах с вменяемым правителством понимают что не надо лезть в дела бизнеса. А у нас как обычно - слон в посудной лавке. А потом и удивляются - как же так, денег в бюджете нет?!
Есть разница между стартапом и ведением построенного бизнеса. Период стартапа у ВК прошёл. Возможно, Дуров хороший стартапер (один раз не показателен), но как руководитель стабильной компании он слабый.Акции - страшная штука. Вот вы начали дело и у вас 100%, никто вам не указ. Вы продали немножко, у вас 80%. Акции дорожают в цене, соблазн заработать растёт. И вот у вас уже 60%, 40%, 20%... Чужие и неудобные вам люди выкупают 40% акций с рынка и ещё 10%+1 акцию у вашего лучшего друга по ОЧЕНЬ привлекательной для него цене. И в этот момент компания становится уже не ваша, а их. Что??? Как??? Когда??? Предатель!!! Это не честно!!! Меня обманули!!! Ну-ну... И вот уже эти люди диктуют вам что вы должны (именно должны) делать. Из лидера проекта и руководителя вы превратились в обычного наёмного сотрудника. Не все могут и готовы продолжать работать в изменившихся условиях. Вы допродаёте последние оставшиеся у вас акции, увольняетесь, уезжаете из страны... Прощай, Дуров.
И политики в этом никакой нет. Тупо бизнес, тупо деньги, тупо купил-продал.
да, как обычно вам бы только воду мутить.
Дуров сам сказал, что причина ухода - давление на него со стороны акционеров и ФСБ, в частности, требования закрыть группу Навального.
Будем считать что он наврал, найдем подтверждения.
1.Давление акционеров - пруфов даже искать не нужно, их полно.
2.Закрытие группы Навального - вот пруф. Группа не закрыта. http://vk.com/rospil?z=photo129244038_326295605%2Fwall-...А по поводу продажи доли. Наступает момент, когда нужно докупить еще 1000 серверов, нанять еще сисадминов и докупить место на площадке, а денег на балансе у стартапа (уже/еще) нет. Вот тогда остается только продавать.
Кроме того, если присмотреться к крупному бизнесу в нашей стране, то можно сделать вывод, что при достижении серьезного размера, уже нужна крыша, т.е. мажоритарный акционер, который будет решать дела с органами и прочими неприятностями и возможно откроет кампании новые возможности, и без такого акционера можно неожиданно спикировать вниз.
> уже нужна крыша, т.е. мажоритарный акционер, который будет решать дела с органами и прочими неприятностями и возможно откроет кампании новые возможностиМожно вывезти негра из гетто, но гетто из негра - никогда.
Как наёмный рабочий, вы даже представить не можете как можно не иметь руководителя.
Отсюда и ваше "когда нужно докупить". Есть цели, есть средства их достижения. Не все цели нужно достигать. Цена достижения некоторых целей может быть крайне завышена. Напр. купить авиабилет за 5 минут до вылета СИЛЬНО дороже, чем за 5 месяцев до вылета. Насколько это "нужно" решает руководитель. Если руководитель считает нужным потерять контроль над компанией ради достижения иных целей - это его выбор.
Про давление я уже написал: не все могут и готовы продолжать работать в качестве наёмного работника. Также как вы не понимаете как можно не иметь руководителя, другие не понимают как можно подчиняться руководителю.
я 8 лет был не наемным рабочим, а работодателем.
Ваши диванно-теоретические фантазии с целями, самолетами и прочим трэшем с переходом на личности лучше оставить при себе.
Я знаю, что значит "нужно докупить", в отличие от вас, и что этот момент, в случае стартапа, не всегда прогнозируем. И могу свидетельствовать, что присутствие некого лица, в качестве свадебного генерала, который ничего не делает кроме как числится в списке соучередителей ООО, уже дает +100 к любой деятельности по всей локации. Это наша российская действительность.
У Дурова, скорее всего не было выбора, даже будь у него деньги на развитие - глупо считать, что деньгами в нашей стране можно решить все проблемы.
Важно быть, а не занимать. Вы, судя по вашей болтовне, занимали. Поэтому и в прошедшем времени. Не ваше это. Ваше - подчиняться. И ещё жену найти требовательную. Жизни в которой над вами не висит скалки жены или дрюкалова руководства вы себе не представляете. И вы правы, "выбора у вас нет".То, что вы называете "свадебным генералом", официально называется "аппелированием к руководству". Это один из способов решения проблем у наёмного персонала, когда никчемная сущность ссылается на высший закон или решение руководителя или на сам факт наличия руководителя, который эту самую низшую сущность может размазать.
...
Очередной торгаш возомнил из себя бога. Пипец
> Очередной торгаш возомнил из себя бога. ПипецПрикольно смотреть как он свое лузерство пытается оправдывать.
> Есть разница между стартапом и ведением построенного бизнеса.Да, наши усвоили уже - построенный бизнес можно попытаться у *лоха* *ОТЖАТЬ*, по понятиям, если денег и/или властишки много. Главное чтобы кусок был жирный, а лох не мог дать эффективный отпор. И вот государство вместо того чтобы ЗАЩИЩАТЬ бизнес от посягательств и рейдеров ... занимается вещами, которые в других странах называют рэкетом, рейдерством, вымогательством, злоупотреблением служебным положением и просто коррупцией. Кстати, попробуй на досуге представить себе американского президента, роняющего акции гугла на миллиард путем заявлений о том что гугл, дескать, неправильно работает. Ну там невовремя партнерит с русскими и прочими китайцами, например.
> Период стартапа у ВК прошёл. Возможно, Дуров хороший стартапер
> (один раз не показателен), но как руководитель стабильной компании он слабый.Загвоздка только в том что с управленцами в РФ вообще все плохо. А Дурова ушли вовсе не за то какой он там руководитель. А за то что не пожелал превращать свое детище в очередной "первый канал", отказываясь удалять "неудобную" информацию и прочее. Т.к. видимо догадывался, что после этого бизнесу наступит крындец, ибо аудитория желает отнюдь не "первый канал, но в интернете", с репортажами с полей и рассказами про рост ввп. С таким управлением бизнес скорее всего постепенно загнется. На эффективность госкорпораций можно посмотреть - она никакая. Живут они только если есть сотни нефти которые добываются почти бесплатно а продаются по высокой цене, или если им вливают из бюджета, чтобы не окочурились окончательно.
> Акции - страшная штука.
В данном случае явно имел место нажим на акционеров со стороны государства, ну а акционеры показали что они - ссыкливые лузеры, так что стали давить на Дурова.
> вы превратились в обычного наёмного сотрудника.
Обрати внимание, Дуров продал свой пакет акций только недавно, когда его задолбало. При этом он и на компанию забил, и из страны сваливает. Резонно считая что в стране где государство ОТЖИМАЕТ бизнес, как только он становится успешным - вести бизнес нецелесообразно.
> И политики в этом никакой нет.
Оно и видно. Правда у Цукерберга почему-то бизнес никто не отжимает.
В своё время Джобса выперли из Apple при похожих обстоятельствах. И основателей Starbucks из созданной ими компании тоже.Президенты США акции не роняли, а глава ФРС (местный Центробанк) уже не раз и не два. Думаете компаниям есть разница из-за чьего базара их акции упали?
> РФ вообще все плохо
Так почему, почему вы всё ещё в РФ, если вам так плохо??? Или, может быть, вам нравится, когда вас унижают? Вы испытываете сексуальное удовольствие видя как грабят других людей на ваших глазах? Ничем иным, кроме вашего извращённого способа получения удовлетворения, ваши фантазии я объяснить не могу.
> В своё время Джобса выперли из Apple при похожих обстоятельствах.Похожих - это каких?! Джоббс отказался делать пакости своим пользователям под нажимом ЦРУ? А пруф? И где Джоббс вопил что в США невозможно вести бизнес? А старбаксы чего не так сделали? Отказались подсыпать крысиный яд наиболее неугодным гражданам в еду? И, конечно, их заявления о невозможности вести бизнес ты тоже как пруф найдешь? А то Дуров это заявил просто прямым текстом. Ты, конечно, извини, но его словам доверия как-то сильно больше чем всяким подстилкам и холуям. Все-таки он компанию создал и срубил на этом много денег. И стало быть знает толк в ведении бизнеса. В отличие от подстилок, которые на форум спамят за гроши.
> Президенты США акции не роняли, а глава ФРС (местный Центробанк) уже не раз и не два.
Что-то не припоминаю в штатах в последние десятилетия грубых дефолтов наподобие того на котором я 2/3 бабла потерял за отсутствием денег в банке.
> Так почему, почему вы всё ещё в РФ, если вам так плохо???
Хороший вопрос. Я над ним подумаю. Ибо текущие закручивания гаек все больше нагибают возможности сколь-нибудь комфортно и результативно работать. ИМХО дальше станет только хуже.
> Или, может быть, вам нравится, когда вас унижают?
Нет, мне не нравится. Поэтому меня уже посещают подобные мысли. Ибо за последние пару лет уважаемое правительство сделало абсолютно все, чтобы сделать мою жизнь сложнее и менее комфортной.
> удовольствие видя как грабят других людей на ваших глазах?
Нет, мне это не нравится, однако у меня нет какого либо действенного метода остановить это. Тех кто пытается что-то вякать - беспринципно гасят с использованием админресурса и бешеного принтера. В результате такой "деятельности" если ты не газпром - в самом лучшем случае тебя просто игнорируют. В хучшем - делают какие-нибудь гадости по законодательной линии или вообще отжимают бизнес, если он того стоит.
VipNet (если мы говорим о продукции Infotecs) - портирован на Linux еще в 2001-2003 году.
включая поддержку iplir sockets для IDS, и криптуху Домен-К.Если они это похерили - можно порыться по старым винчестерам найти исходники. Но кто их сертифицироваться будет?
Живее всех живых. Для ГИС ГМП юзается тока так. Сто штук одна железка стоит для консьюмера.
> VipNet (если мы говорим о продукции Infotecs) - портирован на Linux еще
> в 2001-2003 году.
> включая поддержку iplir sockets для IDS, и криптуху Домен-К.
> Если они это похерили - можно порыться по старым винчестерам найти исходники.
> Но кто их сертифицироваться будет?VipNet поставляется в т.ч. и на линуксе. Координатор, например. А випнет терминал - коробочный ПАК на линуксе.
>> VipNet (если мы говорим о продукции Infotecs) - портирован на Linux еще
>> в 2001-2003 году.
>> включая поддержку iplir sockets для IDS, и криптуху Домен-К.
>> Если они это похерили - можно порыться по старым винчестерам найти исходники.
>> Но кто их сертифицироваться будет?
> VipNet поставляется в т.ч. и на линуксе. Координатор, например. А випнет терминал
> - коробочный ПАК на линуксе.ну и лана :) а iplir sockets они запустили таки или нет?
> VipNet (если мы говорим о продукции Infotecs) - портирован на Linux еще
> в 2001-2003 году.нy-ка сканпелируй его на чём-то вышедшем после 2010-го года. Или пакеты предъяви. Вышел и сгинул. Слава Торвальцу и его нестабильному апи.
На сколько знаю, Керио с восьмой версии ТОЛЬКО под линукс делается и распространяется в виде Virtual Appliance. Речь о сервисе, а не о клиентах.
На хабре было упоминание недавно http://habrahabr.ru/company/kerio/blog/220859/
Там в комментариях это обсуждается.
Теперь у нового поколения администраторов будет основание для того, чтобы держать графику на сервере. Вин кору выкладывает, а линукс наоборот в графику лезет....
А еще за серверами будут сидеть специально обученные мартышки, которые будут динамически менять правила фаервола
fail2ban например?динамически менять правила фаервола???
ой-ёй-ёй!!!
Нет, надо ручками и через графический интерфейс
ага, админы с автоматом за спиной каждого сотрудника :))) - система то не серверная!
>>Теперь у нового поколения администраторовНет. Теперь обычные юзеры получат инструмент контроля за своей системой. Раньше либо все запрещай либо все разрешай, а о безопасности и приватности позаботились те, кто напихал в твой дистр "все эти программы".
Ну и что сделает обычный стиральный^W пользователь глядя на первую картинку в новости? Разрешить или запретить надо?
Зависит от контекста.Если картинка выскочила просто так, во время серфинга, набора документа или копирования порно с Васиной флешки - то должен нажать "Запретить". Если юзер качал, собирал и запустил spotify - то должен нажать "Разрешить". Так что мозг никто не отменял: только лишь удобней стали ручки управления системой.
Обычные пользователи уже качают-запускают-компилируют софт? Это что-то оригинальное. Текст картинки наверху, пользователь баба-маня которая может сказать что компьютер что-то хочет а что я не понимаю и яничегонетрогала. Что эта баба-маня может сделать осмысленное в данной ситуации?
Задолбали бабы-няни. Они всеравно не используют линукс, сидят на windowsXP "потому что так привычней", sims 2 запускаются, и там вордик правильно открывает кучу каких-то документов типа "сводка за работы по плану 2001.xls" или "vtb24_tariffs.xls", а либра открывает неправильно. И вирусы-локеры и всякое ад-спай-мал-варя там кочуют через флешки, эти самые вордики-макросы и дырявый аутлук; и все уже с этим смирились, все просто фигачат на непонятные кнопки, никто не заморачивается на deny и allow, в угаре делают дефрагментацию и ставят по два антивируса. Зачем в эту атмосферу вносить линукс с фаерволом, кто-то объыяснит?А там, где поставят линукс, захотят файервол - то удобный интерфейс управления маст хев
Отлично. Теперь у нас дистр с нормальными репами, и не бабкой, а каким-то не совсем обычным пользователем(средненьким таким). Где собирают-проверяют ментейнеры софт и ничего лишнего в систему не тащится. Зачем в этом случае такой красивый фаервол? либо пользователь туп и он не знает что жать, либо он сам тащит всякую бяку^W ppa к себе в систему и понимает что делает.
Ну это как с apparmor и selinux, я думаю. Предустановленные правила, плюс возможность настройки. Дополнительный способ защиты (или геморроя, как поглядеть). В репах всеравно не положишь все, ибо религия и лицензии.
если человек способен нормально собирать себе софт, то ему тем более сабж нафиг не упёрся: он в курсе, как для новой софтины сделать песочницу, откуда она никуда не вылезет.
Я умею делать песочницы для софта, но всё-равно предпочёл бы на десктопе такой вот удобный графический интерактивный интерфейс.
А вот полез ты в интернет через фирефокса и он тебе подряд несколько таких окошек с разными ипшниками выдал. Что делать будем? Разрешать все? Открывать хтмлку и все скрипты с страницы и проверять надо ему туда или нет?
> Обычные пользователи уже качают-запускают-компилируют софт? Это что-то оригинальное.Чувствуется тяжелая судьба эникейщика... Но да, обычные пользователя умеют качаь и запускать софт, знают что такое файл папка и сайт. Те, с кем тебе приходится мучаться - не пользователи. Это как обычный водитель и тот, кто умеет только завести машину, но че делать дальше не знает.
Пускай будет.
Джва года, да какие два -- гораздо больше, ждал такого в линуксе.
> Джва года, да какие два -- гораздо больше, ждал такого в линуксе.С третьего класса?
и зачем эта фигня нужна? O_O
> и зачем эта фигня нужна? O_OМожно вспомнить молодость, агнитум виндозный :)
я года три, мало четыре (а может и больше) назад решил повспоминать. сделал PoC на основе LD_PRELOAD, простые гуя на Qt, отладил и выкинул. оно таки работало, и работало неплохо, но было совершенно бесполезно.впрочем, для юзеров всяких бубунт, где что ни попадя куда попало данные сливает, может, и будет полезно. хотя лучше бы они шли назад в любимую винду.
> сделал PoC на основе LD_PRELOAD,Так не пойдет, это довольно просто обойти. У нормальных фаеров энфорсмент в ядре, чтобы халявных методов дурилова не было. И, кстати, как там с оверхедом? А то когда какой-нить торрент на хренадцати мегабитах вольет несколько тысяч PPSов, вопрос станет достаточно интересным.
> выкинул. оно таки работало, и работало неплохо, но было совершенно бесполезно.
Ну вот это пожалуй главная проблема.
> сливает, может, и будет полезно. хотя лучше бы они шли назад
> в любимую винду.Не, спасибо, кэп, но хоть я и использую хубунту, что-то не хочется мне в винду. Сам туда иди, имхо (да, MS может собой гордиться - "туда посылают").
> Так не пойдетну да, вот всё бросил и сразу начал ядерный драйвер писать. ;-) говорю же, что PoC. мне, собственно, более интересно было тогда с LD_PRELOAD поиграться, а не фаер наваять.
> хоть я и использую хубунту
но прилюдно-то зачем в этом признаваться?!
> LD_PRELOAD поиграться, а не фаер наваять.А, понял :). Я тоже так поигрался, написав нечто типа логгера/обрубалки файловых операций, только гуй мне в таких вещах совсем ни к чему, чисто тулза посмотреть "а что эта прога в ФС хотела сделать".
Еще ради прикола научился чертыхаться в библиотеке при ее запуске как исполняемого файла, как это glibc делает (да, glibc можно запустить как исполняемый файл и получить некий вполне осмысленный отлуп). На самом деле мне было интересно проверить один древний трюк, который в винде приводил в определенных условиях к созданию процесса-невидимки, так что можно было озадачить даже опытного админа, выкидывая что-нибудь типа мсгбоксов из процесса которого категорически нет в таскманагере. Заметьте, никаких руткитов, никакого хака. Сугубо закидоны в работе системы, нечто между багом и фичой, приводит к созданию процесса который нигде явно не числится, но - выполняется. Что очень удобно в некоторых случая :). Пингвин не винды, на дешевые уловки не покупается.
> но прилюдно-то зачем в этом признаваться?!
Затем что слов из песни не выкинешь :). Да и в конечном результате один фиг с дебианом, только меньше костылить надо.
> да, glibc можно запустить как исполняемый
> файл и получить некий вполне осмысленный отлупугу, я знаю. забавно иногда народ удивлять.
> Пингвин не винды, на дешевые уловки не покупается.
ну да, если что-то есть в системе, то оно есть в /proc (руткитованость не считаем, конечно).
на винде иногда чертовски не хватает такого. это ж надо: чтобы посмотреть, кем открыто файло, надо аж целую софтину ваять, которая дёргает недокументированое апи. не говоря уж о том, что апдейт библиотеки без закрытия софтины — шишки с две.
то есть, можно, конечно: заюзаную dll переименовать, положить новую, при следующем запуске софтины проверить, если ли переименованная, удалить. и это у них НОРМАЛЬНО, йопт.
а ещё они там аж целый атрибут «удалить файло по закрытию» придумали (который тоже работает через задницу, кстати). вместо обычного unlink() — и дальше система сама.
временные файлы, кстати, полезно сразу unlink()ать. чтобы даже если софтина рухнет, за ней в /tmp срача не оставалось. на винде затрахаешься это нормально сделать.
и fork() там нет тоже.
> угу, я знаю. забавно иногда народ удивлять.Ну вот мне стало интересно как такое делать, чтобы "dll" еще и как нормальный исполняемый файл засчитывалась :).
> ну да, если что-то есть в системе, то оно есть в /proc
> (руткитованость не считаем, конечно).Ну да. Простыми дешевыи трюками обмануть не получилось.
> на винде иногда чeртовски не хватает такого. это ж надо: чтобы посмотреть,
> кем открыто файло, надо аж целую софтину ваять, которая дёргает недокументированое
> апи. не говоря уж о том, что апдейт библиотеки без закрытия
> софтины — шишки с две.Ну да. А я себе мониторинг частот GPU вообще примитивным циклом на шеллскрипте накoлхозил - опенсорсный драйвер вывешивает частоты и вольтажи как просто файлик. Так что можно из г-на и палок сделать мониторинг GPU за ...цать секунд и без спецутилит. Это я баг с реклоком относительно старых GPU от AMD изучал. Правда, как оказалось, надо было кернел посвежее взять - там баг уже починили, быстрее чем я его зарепортил. Лол.
> то есть, можно, конечно: заюзаную dll переименовать, положить новую, при следующем
> запуске софтины проверить, если ли переименованная, удалить. и это у них НОРМАЛЬНО, йoпт.Ага, гeмор. В пингвине достаточно снести файл и записать поверх свой. ФС сама отпустит стертую копию когда та перестанет использоваться. Кстати, упоминавшийся тут sysdig просекает такое - я в его трассировке чесал репу, что за deleted файл? Оказывается, я версию проги проапдейтил, но одна старая копия работала и в памяти болталась. Sysdig достаточно умный чтобы это распознать и честно написать - стертый файл.
> а ещё они там аж целый атрибут «удалить файло по закрытию» придумали
> (который тоже работает через зaдницy, кстати). вместо обычного unlink() — и
> дальше система сама.Да я в курсе что там это через ж. Вообще удивительно как можно на ровном месте столько проблем сделать.
> временные файлы, кстати, полезно сразу unlink()ать. чтобы даже если софтина рухнет,
А новые модные O_TMPFILE сносятся сами без такого "хинтинга"? А то фича интересная, но не проверял как оно в таких случаях работает.
> за ней в /tmp сpaча не оставалось. на винде затpaхaешься это нормально сделать.
Там вообще все что связано с установкой софта - совершенно нездоровый тpах на ровном месте. MSI installer например - вроде бы почти как пакетный манагер. Но попросить у него "а я вот хочу zlib, версии не менее чем N" - фигвам. Ну и толку с такого "пакетного манагера"? Зато програмится так люто что есть отдельный класс разработчиков - "сетаперы". Они, кстати, MS обычно не любят. "Ну вы же понимаете что это - Microsoft" :)).
> и fork() там нет тоже.
А это вообще прикол. Хочешь усложнить портировнаие программы на винду - форкайся :). Я как-то не очень представляю себе как его полный аналог сделать из того что есть. А цыгвин его реализует, кстати?
>> и fork() там нет тоже.
> А это вообще прикол. Хочешь усложнить портировнаие программы на винду - форкайся
> :). Я как-то не очень представляю себе как его полный аналог
> сделать из того что есть. А цыгвин его реализует, кстати?Если правильно помню, то форкнуться в винде можно, но это за пределами Win32 API, надо системные вызовы напрямую дёргать.
> Если правильно помню, то форкнуться в винде можно, но это за пределами
> Win32 API, надо системные вызовы напрямую дёргать.толком всё равно не получится. Небет в своё время в книге показывал косой и кривой неполный эмулятор форка на native API, но оно имело ограничений и было напрямую зависимо даже от сервиспака, а не просто от версии винды, потому что недокументированые системные структуры правило.
> Ну вот мне стало интересно как такое делать, чтобы "dll" еще и
> как нормальный исполняемый файл засчитывалась :).chmod +x libmylib.so ;-)
на второй и сложный не отвечаю! (ц)> А новые модные O_TMPFILE сносятся сами без такого "хинтинга"? А то фича
> интересная, но не проверял как оно в таких случаях работает.я не в курсе, относительно новые фичи не использую, жду, пока везде расползётся. а то ifdef'ы не радуют.
>> и fork() там нет тоже.
> А цыгвин его реализует, кстати?только в виде «fork() и сразу exec()», насколько помню, другое API звать не стоит.
>> сделал PoC на основе LD_PRELOAD,
> Так не пойдет, это довольно просто обойти. У нормальных фаеров энфорсмент в
> ядре, чтобы халявных методов дурилова не было.это не про сей модуль, например он игнорирует фильтры всего акромя tcp/udp
И, кстати, как там
> с оверхедом? А то когда какой-нить торрент на хренадцати мегабитах вольет
> несколько тысяч PPSов, вопрос станет достаточно интересным.ядерный модуль даёт профит в данном случае _только_ для трафика проходящего мимо машины -- потому-что обработка (в случае torrent-клиента) пакета будет происходить всё-равно в userspace и контекст всё равно будет меняться -- поэтому можно сделать вывод что при прочих равных обработка трафика на уровне ядра и через LD_PRELOAD будет занимать одинаковые ресурсы.
>> выкинул. оно таки работало, и работало неплохо, но было совершенно бесполезно.
> Ну вот это пожалуй главная проблема.
>> сливает, может, и будет полезно. хотя лучше бы они шли назад
>> в любимую винду.
> Не, спасибо, кэп, но хоть я и использую хубунту, что-то не хочется
> мне в винду. Сам туда иди, имхо (да, MS может собой
> гордиться - "туда посылают").
потенциально мой вариант был даже быстрее, потому что общался по нормальному unix socket, а не через идиотский дбас.
> это не про сей модуль, например он игнорирует фильтры всего акромя tcp/udpА остальное можно вообще зарезать КЕМ на фаере без особых потерь. MS вон в приступах паранои RAW сокеты вообще в винде пристрелил совсем. Правда избавление от головной боли методом гильотины понравилось не всем и теперь продвинутый сетевой софт появляется больше под пингвинов и т.п, где raw сокеты можно.
> машины -- потому-что обработка (в случае torrent-клиента) пакета будет происходить
> всё-равно в userspaceНе понял. Где обработка в юзерспейсе будет? У обычного айпитаблеса+нетфильтра вроде все в ядре, юзермод пакет покинет когда прога его отправить захочет. После чего его возьмет в оборот ядро и там уже нетфильтр может что-то с ним сделать. Или не сделать.
> и контекст всё равно будет меняться --
В каком месте? Я не допираю.
> и через LD_PRELOAD будет занимать одинаковые ресурсы.
Что-то у меня нет такой уверенности. Наиболее логичным и прямым видится иметь дело с пакетами в нетфильтре или где-то рядом.
он говорил про сабж, а не про нормальные механизмы. ;-)
> Что-то у меня нет такой уверенности. Наиболее логичным и прямым видится иметь
> дело с пакетами в нетфильтре или где-то рядом.294, вот смотри
есть два случая обработки прафика - два флоу
1. L2 + L3 + netfilter + этот модуль фильтрации -> (передача в юзерспэйс проге) c library socket syscall
2. L2 + L3 + netfilter + (передача в юзерспэйс проге) c library socket syscall + LD_PRELOADт.е длина обработки одинакова по шагам, контекст переклюается и в 1-ом и втором случае один раз.
при прочих равных -- имеется ввиду что код для обработки фильтрации один и тот-же , хотя на самом деле обработка на уровне userspace значительно проще -- плюс нет странных вызовов с целью получиnь fd->socket->pid->path
причём нет проблем обрабатывать socket любого рода, вплоть до того-же netlink, плюс сам netlink насколько я знаю до сих пор не гарантирует гарантированную доставку (хотя не встречался с потерями при работе с ним)
Автор pohmelfs в своё время что-то такое вертел. Можно в его проектах посмотреть.
не прошло и двадцати лет, как осилили прикрутить к iptables функцию обучения
> не прошло и двадцати лет, как осилили прикрутить к iptables функцию обученияПочему к iptables? к сотруднику ее прикрутили, для его обучения паранойи :)))
> не прошло и двадцати лет, как осилили прикрутить к iptables функцию обученияпшёл вон обратно на вантуз
А шейпера такого нету случайно?
ТАКОГО, нет и не надо. Пусть на ncurses ваяют.
Насчет не надо - есть разные мнения.
А на ncurses неудобно будет.
> А шейпера такого нету случайно?Домохозяйкам не требуется шейпер. А тем кому требуется - обычно могут его и как правила в виде текста накидать.
> Домохозяйкам не требуется шейперЕще как требуется.
Только удобный, динамический и наглядный, а не man tc.
> Только удобный, динамический и наглядный, а не man tc.у тебя здесь противоречивые требования
>> Домохозяйкам не требуется шейпер
> Еще как требуется.
> Только удобный, динамический и наглядный, а не man tc.Хм. Стесняюсь спросить а где посмотреть этот клёвый шейпер в виде готового к употреблению? В цисках как-то развели вагон очередей, маркировок, hqf, cbwfq, llq, fifo и прочие wrr. И простенького-наглядного как-то не получается.
Виндовый немецкий cfosspeed
Это всё что есть?Хочется более удобно управляемого, но не это даже главное.
Главное - сам шейпер должен [в первую очередь] находиться в роутере, а в систем трее одной (или нескольких) из клиентских машин сети - только им рулилка (а-ля transmission). Хотя и на клиентских машинах шейпер не помешает тоже - но это не так принципиально.Я уж обрадовался увидев там "список стран, провайдеров и роутеров-модемов", а это просто тупо перечисление "наши клиенты успешно пользуются нашим софтом даже в горно-алтайске".
>Главное - сам шейпер должен [в первую очередь] находиться в роутере, а в систем трее одной (или нескольких) из клиентских машин сети - только им рулилка (а-ля transmission)Ставь машину с виндой и делай сеть, проблемы-то какие? Документации тоже хватает, когда есть желание тонкой настройки http://www.cfos.de/en/cfosspeed/reference/filter.htm
Есть режим кооператива, когда cfos стоит на конечных клиентах одной сети и в зависимости от нагрузки на сеть шейпит их всех (p2p, да)
>Хотя и на клиентских машинах шейпер не помешает тоже - но это не так принципиально.Моя позиция в случаи домашнего применения - шейпинг на клиентах это 60% юзкейсов. Хотите гибче - покупайте нормальный роутер с развитой вебмордой и настраивайте шейпинг. Мало? Делайте из дохложелеза роутер и пердольте его как вам угодно. Чудес-то не бывает. Но cfos со своей задачей (vpn/pppoe на машине юзера) справляется на отлично. Как пример, во времена моего adsl (128/128kbit) играя не сервера моего прова в q3 имел задержку ~25 мс. Включал закачки в модных тогда dc-клиентах, забивая полностью канал, и без лагов играл, правда задержка возрастала до 90 мс. После такого примера у меня отпали вопросы о нужности шейпера. И да, из настроек для перестраховки перетянул ползунок слайдер правее напротив автоматически созданного правила для кваки, дабы повысить приоритет до максимума. Больше настроек не делал. А вот теперь представьте себе в какой геморрой выльется обычному пользователю настроить шейпер в linux в случаи такого применения
>Ставь машину с виндой и делай сеть, проблемы-то какие?А простой и удобной рулилки нет даже в этом гипотетическом случае.
>Документации тоже хватает, когда есть желание тонкой настройки
Это смех один. тот man tc, только чуть в профиль и для гиков, только чуть менее умных.
Приоритетами разных приложений как мне порулить, если они через те же порты по тому же http ходят?>Моя позиция в случаи домашнего применения - шейпинг на клиентах это 60% юзкейсов
И торрентокачалка тут же убивает всех.
>Хотите гибче - покупайте нормальный роутер с развитой вебмордой и настраивайте шейпинг
А нету. В лучшем случае там в вебморде будет ручка к tc, только урезанная.
>Мало? Делайте из дохложелеза роутер и пердольте его как вам угодно
Нам угодно слайдер подвинуть в трее - "вот этому приложению" сейчас дать чуть побольше.
>А простой и удобной рулилки нет даже в этом гипотетическом случае.
>И торрентокачалка тут же убивает всех.Сообщения читаем выборочно по словам?
>Приоритетами разных приложений как мне порулить, если они через те же порты по тому же http ходят?Как обычно в винде. Фаерволы, фильтрующие по приложениям тебя не смущают? Ну и тут также. Двигай ползунки напротив нужной апликухи, выставляй приоритет. Не хочешь по приложениям, ну фильтруй layer-7, cfosspeed их умеет много и разные протоколы
>А нету. В лучшем случае там в вебморде будет ручка к tc, только урезанная.Серебренную пулю никто не придумал, что поделать. Но вот немцы, на мой взгляд, к ней вполне приблизились
> Ставь машину с виндой и делай сеть, проблемы-то какие?Что он вам такого сделал что вы ему винду для сетевых вещей советуете?
А просто и наглядно сделать как раз непросто.
> Только удобный, динамический и наглядный, а не man tc.Я как-то не совсем хорошо понимаю как должен работать динамический наглядный шейпер. Шейперы даже на уровне базовой логики могут являть кластерфак, а если еще и динамический - и подавно.
Простой вопрос: допустим суммарная емкость канала 10 Мбит. Пусть я разрешил одной проге при запросе жрать 7 мегабит. А второй - 8. А что если я их вместе запущу - что шейпер должен при этом сделать? Каков ожидаемый результат? В статических схемах распихивания траффика по классам я еще могу понять что должно быть. А вот так - чего ожидается и как это должно работать?
>Пусть я разрешил одной проге при запросе жрать 7 мегабитНе надо так. Приоритеты выставляются относительные, этого будет достаточно пользователю.
В вашем примере - доступная полоса поделится между вашими двумя приложениями (если они оба запущены и оба упираются в трафик, разумеется) приложениями в соотношении семь к восьми.
А нафига это?
> А нафига это?так мало ли, какое говно из всяких «ppa» накачаешь. получается как в винде — натасканая из интернетов помойка. вот и делают для идиотов иллюзию защиты.
Ну вон openssl - вроде не откуда попало скачан, а таки свинью может подложить огого какую. Слив память процесса в сеть. Что у клиента, что у сервера.
К чему этот пример? Он к теме никакого отношения не имеет.
Мож чего просмотрел, но
тут
https://github.com/Douane/douane-dkms/blob/master/douane.c#L849
и тут
https://github.com/Douane/douane-dkms/blob/master/douane.c#L867утечка памяти, размером sizeof(struct network_activity)
---И если присылать коннекты с битыми хередарами
switch(ip_header->protocol)
if (udp_header == NULL)
...
if (tcp_header == NULL)
...А структура-то жирная ... более 16 кило на один коннект
struct network_activity {
int kind; // 4
char process_path[PATH_MAX * 4]; // 4 раза по 4096 (нахера?!!!)
int allowed; // 4
char devise_name[16]; // 16
int protocol; // 4
char ip_source[16]; // 16
int port_source; // 4
char ip_destination[16]; //16
int port_destination; // 4
int size; //4
};
То заДоСить можно быстро ...
ну так вантузоиды же, руки из жопы.
> (нахeра?!!!)И правда. Не проще было хранить PID и ресольвить оный в путь только если юзеру надо показать и/или 1 раз при применении логики можно/нельзя, если уж им хочется ее по "путь к процессу" считать?
>[оверквотинг удален]
> char devise_name[16]; // 16
> int protocol; // 4
> char ip_source[16]; // 16
> int port_source; // 4
> char ip_destination[16]; //16
> int port_destination; // 4
> int size; //4
> };
>
да через жопу написано, во первых ipv4 , во вторых только tcp и udp -- т.е. остальные пропускает.
изпользуется не netfilter, как фреймворк -- а прямой хук.
а как же firewalld?
Наконец то что то подобное появилось. Десктоп становится все юзабельнее.
> Наконец то что то подобное появилось. Десктоп становится все юзабельнее."Десктоп" давно уже никому не нужен. А кому нужен -- есть Мак.
Как обычно диванные аналитики говорят за всех.
> есть Мак.И кому он нужен кроме гламурных кpeтинов с сомнительными сексуальными предпочтениями? Для разработчиков и продвинутых пользователей там нет ничего интересного, в отличие от пингвинов, где и либы/хидеры просто вкатить, и куча открытого софта и исходников всегда под рукой, и с автоматизацией и возможностями кастомизации все на высоте, так что можно подогнать рабочее окружение для эффективной работы. А у эппла ничего этого нет. Есть только корпорастивное жлобство и желание всем рулить. Ничем принципиально от MS с виндой не отличается.
>> есть Мак.
> Для разработчиков и продвинутых пользователей там нет ничего интересногонадеюсь, ты никогда не узнаешь, сколько весьма нехилых разработчиков используют маки. это просто разрушит весь твой мир.
> надеюсь, ты никогда не узнаешь, сколько весьма нехилых разработчиков используют маки.
> это просто разрушит весь твой мир.И сколько? Ты посчитал? :)
> И сколько? Ты посчитал? :)нет, не посчитал. но частота, с которой я натыкаюсь на фразы типа «на моём макбуке» от людей, которые занимаются некислыми вещами (в том числе разработкой компиляторов и всякими другими «не особо прикладными блокнотами с медиаплеером»), вгоняет меня в беспросветное уныние.
>> И сколько? Ты посчитал? :)
> нет, не посчитал. но частота, с которой я натыкаюсь на фразы типа
> «на моём макбуке» от людей, которые занимаются некислыми вещами (в том
> числе разработкой компиляторов и всякими другими «не особо прикладными блокнотами
> с медиаплеером»), вгоняет меня в беспросветное уныние.верим на слово.
> верим на слово.у тебя есть точно такие же интернеты, как и у меня, ничего секретного.
>> верим на слово.
> у тебя есть точно такие же интернеты, как и у меня, ничего
> секретного.эти интернеты рассказывают что факты расходятся с твоими заявлениями, от того и верим :)
> эти интернеты рассказывают что факты расходятся с твоими заявлениямиах, если бы… а то ведь в последние несколько лет читаешь-читаешь умного человека, а тут он «на моём макбуке»… и всё, дальше читать невозможно, противно.
>> эти интернеты рассказывают что факты расходятся с твоими заявлениями
> ах, если бы… а то ведь в последние несколько лет читаешь-читаешь умного
> человека, а тут он «на моём макбуке»… и всё, дальше читать
> невозможно, противно.прекрати пытать и выложи этого мерзафца сюда)))
> прекрати пытать и выложи этого мерзафца сюда)))как будто я сохраняю линки на макофилов.
> «на моём макбуке» от людей, которые занимаются некислыми вещамиВон у торвальдса тоже "на моем макбуке". Правда там федора.
> (в том числе разработкой компиляторов и всякими другими «не особо
> прикладными блокнотами с медиаплеером»), вгоняет меня в беспросветное уныние.Это наверное какие-то высокопарные академики в основном, из которых хорошие теоретики но хреновые практики. Такие запросто могут быть спецом в своей сфере и полным ламо во всех остальных смежных областях. Видал таких. Печальная картина - один "крутой про" почтарем MS аутглюк использовал. Не, не офисный, экспресс из винды. Ломающий цитирование в перепеписке. И я уж не знаю какой они компилер пишут, но это явно не gcc, ибо там objective C эппловский вообще где-то задвинут и развивается по остаточному принципу.
> Это наверное какие-то высокопарные академики в основном, из которых хорошие теоретики но
> хреновые практики.вообще-то с точностью до наоборот, гыг.
> И я уж не знаю какой они компилер пишут
D. ну, и LDC, само собой.
> вообще-то с точностью до наоборот, гыг.Ну я видел таких индивидов - они хороши в теории в какой-то узкой области. И полные лузеры во всех остальных областях, так что зачастую для них самые простые вещи, известные даже виндовому эникею - внезапность и рокетсайнс. Типа упомянутого случай, когда гражданин не мог цитирование нормально настроить в своем аутлук экспрессе и гадил в список рассылки дико кривыми сообщениями, чем всех задолбал. Т.е. вполне можно быть вроде как ценным кадром, но при этом - вполне себе инвалидом интернета, хуже чем виндовый эникей (неглупый эникей знает где аутлук эксспресс подкручивать).
> D. ну, и LDC, само собой.
А, ну мне он как-то пока индифферентен. Тогда понятно почему он так хило развивается - на маке оно никому не надо, у них там свой objective C, а кто не согласен с мнением фюрера - расстрел. А иметь дело с макофагами со стороны линуха и прочее - удовольствие сильно ниже среднего, имхо. Т.к. большинство макинтошников довольно долбанутые товарищи, имхо. Они или просто дуралеи как наш кирилл, или упомянутые "инвалиды интернета" и прочие, которые за пределами своей узкой области шагу ступить не могут, что делает общение с ними крайне мучительным и неприятным процессом.
>гражданин не мог цитирование нормально настроить в своем аутлук экспрессеА что, его там таки можно было по-человечески настроить?
Fidolook появился просто так, от нечего делать?
> знаю какой они компилер пишут, но это явно не gcc, ибо
> там objective C эппловский вообще где-то задвинут и развивается по остаточному
> принципу.Эпл был основным спонсором gcc )))
> Эпл был основным спонсором gcc )))А, вот почему gcc 4.7...4.9 так в развитии втопили - от спонсора избавились.
Да что там фразы, на Опеннете примеров уйма - новость о каком-нибудь открытом ПО, а скриншот из Мака.
> открытом ПО, а скриншот из Мака.Скриншоты тут самые разные бывают. И из винды, и из мака, и из линя. А мак - не открытое ПО сам по себе. Их система вполне себе проприерасия не хуже винды.
> И сколько? Ты посчитал? :)Все.
> Все.Вас в детстве не учили что врать нехорошо? Хотя чего желать от всяких маковых пи....
Как бы помягче -- ВСЕ. Буквально. Это основная платформа раб. места нормально оплачиваемого разраба.
> Как бы помягче -- ВСЕ. Буквально. Это основная платформа раб. места нормально
> оплачиваемого разраба.ну да, проприетарщик любит проприетарщину.
> ну да, проприетарщик любит проприетарщину.Я люблю то, что мне удобней. А так, разрабатываем мы на Питоне, Яве, Оракле и Си. Мак как готовая платформа то, что мне надо. Как серверная платформа, конечно же, для наших задач лучше всего Линукс, но тут уж заказчик диктует свои условия, которые чаще всего не отличаются здравостью.
> Мак как готовая платформа то, что мне надо.вообще, удивляюсь людям, у которых такие унифицированные потребности.
> вообще, удивляюсь людям, у которых такие унифицированные потребности.Мечта корпораса: потребитель который кушает ровно то что производится и взаимозаменимый человеко-винтик на рабочем месте.
Есть только одна проблема: это удобно для корпораса, но очень плохо для, собственно, винтика. Потому что приходится ходить строем и трястись как осиновый лист что вышибут с работы.
А что вам такого уникального нужно от компа? Просто интересно. Мак, как железка, удобен в моём случае. И Мак ОС меня полностью устраивает. Венда в своё время -- нет. А Мак то, что надо: надёжно, никогда не сбоит, всё работает идеально, стоит дёшево.
> А что вам такого уникального нужно от компа?нормальная рабочая среда. собственно, мак не подходит уже по самому первому признаку: наличию удобного оконного менеджера. это я ещё даже не добрался до кучки софта и скриптов, некоторые из которых написаны на моих скриптовых языках, каковые (интерпретаторы скриптовых языков и софт) на маке не собираются вообще. и пихать туда маковые ifdef'ы я не хочу.
> А Мак то, что надо:
> надёжно, никогда не сбоит, всё работает идеально, стоит дёшево.чтобы у меня сбоил пингвинус… дай припомню… да, с годик назад один раз иксы рухнули из-за кривых нвидиевых дравйверов, да лет так десять назад ядро запаниковало из-за того, что я учился писать ядерные модули и посчитал, что мой модуль можно уже совать не в виртуалку, а в рабочую систему.
вот я и удивляюсь, насколько у людей унифицированные предпочтения, что их устраивает почти «стоковая» система. меня — не устраивает. я отчего-то уверен, что это техника должна подстраиваться под мои привычки, пусть даже самые дурацкие, а не я должен подстраиваться под то, что авторы ОС посчитали удобным.
Хотя бы нормальную клавиатуру.
Хотел продолжить "с трекпойнтом", но мак отпадает уже на предыдущей строчке..
> А что вам такого уникального нужно от компа? Просто интересно.Мне вот пингвин сильно упрощает
1) Все что связано с установкой и обновлением софта. Мощный пакетный менеджер - это хорошо. Мои затраты времени на поддержание софта в актуальном состоянии, без дыр и прочее сократились в разы.
2) В пингвине можно вкатить опенсорсные либы и хидеры считанными командами пакетному манагеру. Это очень удобно.
3) И сорцы "вот этой программы" можно посмотреть в момент. Очень удобно: если я вижу нужную мне фичу в другой программе, я могу немедленно глянуть "как оно сделано".
4) Система не враждебна к подгонке под себя и модификациям. Если надо что-то изменить - это по крайней мере можно. А не как у эппла и мс, где пересобрать системные компоненты из сорцов вообще не вариант в общем случае.
5) Разрабатывать под пингвин логично и удобно из пингвина.
6) Только Linux версия libusb умеет детачить ядерные драйвера от устройства. А виндовая и маковые версии данной чудной либы делаются вообще по остаточному принципу. Откуда вытекает простой момент: разрабатывать всякий кастом работающий с USB в пингвине проще всего.> Мак, как железка, удобен в моём случае. И Мак ОС меня полностью устраивает.
> Венда в своё время -- нет. А Мак то, что надо:Не вижу принципиальных отличий - подход к делу у обоих контор довольно одинаковый.
> надёжно, никогда не сбоит, всё работает идеально, стоит дёшево.
А вот это что такое, не знаешь? https://trac.transmissionbt.com/ticket/5668#comment:1
Свежак на тему "ничего не сбоит". И вот такой дребедени "ваша программа роняет систему" (во тyпые фаготы!) в багтрекеры приезжает регулярно.
> Мак как готовая платформа то, что мне надо.Обуеть какое обоснованное мнение - какой-то один Кирилл единомоментно за всех решил как им должно быть удобнее. Я что-то не помню чтобы вы меня спрашивали. А поскольку я работаю не бесплатно, но мака у меня нет, я имею все основания заявить что вы, сударь, ЛЖЕЦ.
> Как серверная платформа, конечно же, для наших задач лучше всего Линукс,
А вот вы знаете, мне например удобнее хорошо знать 1 систему чем средне-паршиво 2 напрочь разных. И вообще, у ваших яблок гнилая сердцевина. Постоянно в багтрекеры программ яблочники гадят "ваша программа роняет систему!!!1111".
> но тут уж заказчик диктует свои условия, которые чаще всего
> не отличаются здравостью.Как раз использование линукса - здравомыслящему человеку вполне может прийтись по вкусу, ибо там нет единого рабовладельца который всем будет диктовать единственно верную точку зрения, систему можно изогнуть под совершенно разные задачи, так что ее освоение очень здорово воздается, целым букетом новых возможностей. Которые ни на каких маках и виндах в жизни не реализуешь. Ну я вот например запускаю вполне полноценный линух на платах размерами с кредитную карту. Где ваши маки и маздаи будут на таком оборудовании? Правильно, гусары, молчать!
> Это основная платформа раб. места нормально оплачиваемого разраба.А вон та толпа оплачиваемых разработчиков линукса, например, это что, мой глюк? Я, кстати, тоже не бесплатно работаю и получаю скорее всего здорово поболее вашего. Но ваш сocyчий мак мне нафиг не упал. Потому что огороженная система, с очередным рабовладельцем, решения которого just in case хрен оспоришь. Да еще опенсорс называют презрительным homebrew, выродки.
> А вон та толпа оплачиваемых разработчиков линукса, например, это что, мой глюк?Но они тоже предпочитают Маки. Я уже пару лет не видел ни одного разраба без Макбука.
Это многое говорит о вашем круге общения. А больше мало о чем.
> Но они тоже предпочитают Маки.Это наглый пиндеж, ибо разрабатывать под линух не из линуха - дикий изврат и куча мучений на ровном месте. Как максимум разработчики линя могут использовать железку от эппла, но крутиться там будет пингвин, по упомянутым причинам. Эталонный пример - Торвальдс.
А вон автор фороникса юзал мак, но DE у него была убунта в виртуалочке, т.к. DE мака ему не нравилось. А теперь перец перешел на асусовый ноут и убунту с юнити без всяких виртуалочек как основную машину. Что, макофаг, поистекай батхертом по этому поводу?
> Я уже пару лет не видел ни одного разраба без Макбука.
Зато я видел навалом. И?
>> есть Мак.
> И кому он нужен кроме гламурных кpeтинов с сомнительными сексуальными предпочтениями? Для
> разработчиков и продвинутых пользователей там нет ничего интересного, в отличие от
> пингвинов, где и либы/хидеры просто вкатить, и куча открытого софта и
> исходников всегда под рукой, и с автоматизацией и возможностями кастомизации все
> на высоте, так что можно подогнать рабочее окружение для эффективной работы.
> А у эппла ничего этого нет. Есть только корпорастивное жлобство и
> желание всем рулить. Ничем принципиально от MS с виндой не отличается.БСД ничем не отличается от Венды?
> БСД ничем не отличается от Венды?А мак - не бсд. Они надергали кода из оной, но не более того. В целом же макось - некий довольно самобытный гибрид ужа с ежом. И тоже клозетт-сорс, как и винда. Так что по большому счету отличие в основном в замене рабовладельца. И человек с мозгом и самоуважением никогда не согласится на рабовладельца над собой, который за него будет решать что и как должно быть в его системе, без права оверрайда и с всяким западлом типичным для проприетарщиков.
сделали бы оповещения через dbus и можно было бы клепать гуи на любом тулките.
> сделали бы оповещения через dbus и можно было бы клепать гуи на
> любом тулките.Да сделают наверняка. Но, опять же, это нужно сферическому пользователю в вакууме.
> сделали бы оповещения через dbus и можно было бы клепать гуи на любом тулките.«Реализация достаточно проста и сводится к инициированию диалога по D-Bus и отправке обратно сделанного пользователям выбора»
А мне понравилась архитектура самого проекта. Модульность и разумный подход для средств реализации. Критичные к скорости и отзывчивости вещи на С, чуть менее критичные на плюсах и некритичные на питоне. Не очень, правда, понятна привязка плюсов к Gnom'у...Но возникает вопросы - а с помощью AppArmor это нельзя решить?Ну или SELinux?
А помещение запроса от программы в NF_QUEUE не может никак стек тормознуть?
Интересно ещё - от кого запускается диалог запроса правил и конфигуратор.
Т.е. темы интерфейса рута нужно будет синхронизировать с основной?Для распространения линукса вещь полезная.Плюсик им.
нормальные люди это решают так, например: для довереного софта — обычный пользователь. для недоверенного, если захотелось — или вообще песочница, или пользователь, которому выход в интернеты обрезан iptables'ом, пусть сидит в локалхосте.а сабжевая перделка бесполезна чуть менее, чем полностью: чайник всё равно не поймёт, что она от него хочет, а продвинутый пользователь на машине бардака не разводит.
> нормальные люди это решают так, например: для довереного софта — обычный пользователь.
> для недоверенного, если захотелось — или вообще песочница,Вообще отдельная VM :). Если даже все сгорит синим пламенем - чертыхнусь и откачу на снапшот. Заодно может наздоровье все данные с VM тырить. С таким же успехом можно стырить данные с нулевой инсталляции системы и без вламывания ко мне :)
> Вообще отдельная VM :). Если даже все сгорит синим пламенем - чертыхнусь и откачу на снапшот. Заодно может наздоровье все данные с VM тырить. С таким же успехом можно стырить данные с нулевой инсталляции системы и без вламывания ко мне :)Читали про L3 cache side-channel attack-и? :)
Давно уж. С тех пор что же, противоядия так и не нашли?
Можно. Был где-то платный gui к selinux делающий примерно тоже самое.
Теперь можно запретить игропрогам из вайна посещять интернет (включая 80) ?
> Теперь можно запретить игропрогам из вайна посещять интернет (включая 80) ?а что, до этого никак? хинтую: заводишь юзера wine. запускаешь вайн только под ним. в стартовые системные скрипты вписываешь:
iptables -A OUTPUT --match owner --uid-owner wine --destination 127.0.0.1/8 --jump ACCEPT
iptables -A OUTPUT --match owner --uid-owner wine --protocol tcp --jump DROP
iptables -A OUTPUT --match owner --uid-owner wine --protocol udp --jump DROP
iptables -A OUTPUT --match owner --uid-owner wine --jump DROP
наслаждаешься тем, что юзер wine имеет доступ только к няшному локалхосту.делов-то, тьфу…
p.s. тьфу, йопт. не надо брать пасту из своих конфигов и чистить с устатку.
Бесспорно в линуксе в консоли можно сделать все, и намного лучше гуев. Но свобода выбора между убогим и простым гуем и всевластным, но требующим знаний скриптом, меня радует. Каждому свое. Прибивать гвоздями хотелки фанатиков это не наш метод.
кагбэ сабж — вообще из другой оперы.
протокол матчить не нужно, достаточно последней строчки
Еще проще - Wine не нужно.
> протокол матчить не нужно, достаточно последней строчкия ж говорю — на скорую руку выдернул. у меня в скрипте правила сильно сложнее, матч протокола остался от того, что некоторые порты открыты.
но перемудрил конечно, да.
"предоставляет интерфейс" ?
да таких проектов/пактов в линукс - вагон ?
чем FireStarter не угодил, к примеру ?
или слаковские или мандировские/rosa/magei-овские фронтэнды, популярные ? :)p.s.
чем-то оно лучше zorp ? fwsnort ?
в плане митигации и адаптабельности(а не в стиле касперски файрвол и ко - замянять свою работу - ручной работой(мышкой !! :) пользователя).
не думаю.
почем вы после каждой строчки ставите знак вопроса, вы семит с лишней хромосомой?
> почем вы после каждой строчки ставите знак вопроса, вы семит с лишней
> хромосомой?Вы сами с собой разговариваете?
>> почем вы после каждой строчки ставите знак вопроса, вы семит с лишней
>> хромосомой?
> Вы сами с собой разговариваете?Да.
очевидно-неочевидные/спорные моменты для автора :)
хромосомы семитов - оставьте в покое, несемитская морда !
Тем что речь это не динамические фаерволы, а лишь конфигураторы для iptables, программы-посредники или просмотрщики логов ? Ни один из них не приостанавливает запрос до согласия пользователя.
так о том и речь.
этих DE-фронтэндов - МОРЕ.
«динамический фаервол» — это ублюдочное порождение винды. в винде всегда помойка, запускают что попало, бедная программа не может сама решить, что кому можно — и задалбывает пользователя. в пингвинусе это бесполезно. разве что для «тупых свитчеров», которые любую систему мгновенно в винду превращают.
Под Linux разной гадости, требующей контроля, всё больше и больше. Проприетарные мессанджеры, софт из PPA и левых репозиториев, наводнение играми, которые молча пытаются что-то отправлять по сети, плагины которые пытаются сами тянуть обновления.
но зачем ставить всё это говно? я и говорю: любую систему в винду превращают.
> Проприетарные мессанджеры,Ну разрешил ты скайпу все вообще. Ибо отдельные рулесы устанешь прописывать. А он потом возьмет и сопрет /etc/passwd в пользу АНБ "for teh greater good". И чем тебе фаер с такими правилами поможет? Ни ты, ни фаер не знаете как выглядит левый пакет с стыреным файлом, ибо протокол недокументированный.
да нету там никаких "динамических файрволов" в винде-то )
в ХР - пародия на файрвол была а до него - ВООБЩЕ не было.
а с Висты начиная и дальше - скорее клон netfilter чем что-нить актуальное.
вот в ISA и Endpoint и десктопных версиях - там да и адаптивно и все свистелки, включая DPI, есть.
так я ж не про то, что там из коробки идёт.
аааа. так такой проприетарь - и под Линукс есть. увы. и даже пара GPL2 софтин, есть.
А можно ссылочек?
так в том и беда с новостью.
в заголовке "динамический межсетевой экран" а в теле - описание релиза фронт-энда(одного из сотни) к NetFilter, ни разу не динамического, кстати :) динамика кликанья, пользователем в UI этого монстра - не в счет :-)