| 1.1, anonymous (??), 19:03, 25/07/2011 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– |
Хорошо, что openssh развивается. А в линухах такая радость появится? И когда, если да?
| | |
| |
| 2.2, Xasd (ok), 19:07, 25/07/2011 [^] [^^] [^^^] [ответить]
| +/– |
 > В будущих выпусках OpenBSD представленная опция будет использована по умолчанию. | | |
| 2.4, Аноним (-), 19:17, 25/07/2011 [^] [^^] [^^^] [ответить]
| +1 +/– | |
Насколько я знаю, в Linux абсолютно точно такой же технологии - нет. Поэтому на портирование данной конкретной фичи за пределы OpenBSD рассчитывать не стоит.
Но у пингвинов есть куда более мощный и гибкий SELinux, и система ограничений основных серверных демонов (а не только sshd) там существует уже давно.
| | |
| |
| 3.5, Аноним (-), 19:22, 25/07/2011 [^] [^^] [^^^] [ответить]
| +1 +/– | |
>Но у пингвинов есть куда более мощный и гибкий SELinux, и система ограничений основных серверных демонов (а не только sshd) там существует уже давно.
И это в то время, когда разработчики OpenBSD, позиционирующие свою ОС как "самую безопасную", до сих пор не могут реализовать мандатный контроль доступа.
| | |
| |
| |
| 5.8, Аноним (-), 22:11, 25/07/2011 [^] [^^] [^^^] [ответить]
| –1 +/– | |
> Шифрованные ФС тоже не освоили.
Более того, этот секурный шелл, будучи вывешенным на серваке в датацентре начинает вскоре жрать процессорное время оптом - автоматические брутфорсеры с удовольствием пытаются проверить пароли на секурность. При том нет никаких встроенных средств для автобана хотя-бы наиболее наглых, долбящих десятками потоков с одного айпи. Приходится постоянно городить костыли, защищающие этого "секурного" от наиболее наглых автобрутфорсеров :(.
| | |
| |
| 6.9, nbw (?), 22:30, 25/07/2011 [^] [^^] [^^^] [ответить]
| +6 +/– | |
> Более того, этот секурный шелл, будучи вывешенным на серваке в датацентре начинает вскоре жрать процессорное время оптом - автоматические брутфорсеры с удовольствием пытаются проверить пароли на секурность. При том нет никаких встроенных средств для автобана хотя-бы наиболее наглых, долбящих десятками потоков с одного айпи. Приходится постоянно городить костыли, защищающие этого "секурного" от наиболее наглых автобрутфорсеров :(
Ежели у вас на "серваке в датацентре" ssh висит без всякой защиты да ещё и на стандартном порту, то вы ССЗБ. iptables для кого придумали? Или файрволы нынче не в моде? А если есть файрвол, зачем его функциональность пихать в другие демоны?
И не надо "городить костыли" - достаточно написать несколько шаблонов конфигурации, всё равно от этого никуда не деться.
| | |
| 6.19, Аноним (-), 00:06, 26/07/2011 [^] [^^] [^^^] [ответить]
| +/– | |
Пытаться засунуть в сервер удаленного доступа IDS/IPS - не юниксвейно. Может, туда еще танцующих свинок запихнуть?
Юниксвейно - юзать его в связке со специализированной IDS/IPS, например fail2ban. Настраивается легко и быстро.
| | |
| 6.22, nuclight (ok), 02:04, 26/07/2011 [^] [^^] [^^^] [ответить]
| +1 +/– |
 >> Шифрованные ФС тоже не освоили.
> Более того, этот секурный шелл, будучи вывешенным на серваке в датацентре начинает
> вскоре жрать процессорное время оптом - автоматические брутфорсеры с удовольствием пытаются
> проверить пароли на секурность. При том нет никаких встроенных средств для
> автобана хотя-бы наиболее наглых, долбящих десятками потоков с одного айпи. Приходится
> постоянно городить костыли, защищающие этого "секурного" от наиболее наглых автобрутфорсеров
> :(.
294, да залогинься уже
| | |
| |
| 7.24, 1 (??), 04:49, 26/07/2011 [^] [^^] [^^^] [ответить]
| +/– |
он пароль потерял, уже полгода не ходит под своим логином
| | |
|
|
| 5.16, yason (?), 23:57, 25/07/2011 [^] [^^] [^^^] [ответить]
| +/– |
 Кто вам это сказал? Почитайте man softraid. Хотя бы на сайте проекта, т.к. виртуалку вы врядли будете поднимать, а больше вам посмотреть негде, как я понимаю.
| | |
| |
| 6.20, Аноним (-), 00:11, 26/07/2011 [^] [^^] [^^^] [ответить]
| +/– |
>>Шифрованные ФС
>man softraid
А про программные рейды, видимо, придется смотреть в man cryptofs? :)
| | |
| |
| 7.43, yason (?), 16:40, 26/07/2011 [^] [^^] [^^^] [ответить]
| +/– |
Судя по всему писать вы любите больше, чем читать. Ну удачи. Может все мы доживём до появления вашего опуса по шифрованию ФС в OpenBSD.
| | |
|
|
| |
| |
| |
| 8.37, ананим (?), 13:38, 26/07/2011 [^] [^^] [^^^] [ответить] | +/– | ой, да бросьте уже большой выбор проверенных решений никому и никогда не мешал ... текст свёрнут, показать | | |
|
| 7.42, PereresusNeVlezaetBuggy (ok), 15:57, 26/07/2011 [^] [^^] [^^^] [ответить]
| +/– |
 > а у линуха и так, и так и разэдак:
> http://www.nixp.ru/articles/%D0%A8%D0%B8%D1%84&
> но речь про шифрование фс.
Шифрование блочного устройства проще и надёжнее, вот и всё. А через vnd(4) вы можете поиметь псевдодиск из любого обычного файла — по сути, придёте к тому же.
Вы ФС зачем шифруете? Чтобы враг, если что, не прочёл, так? Через шифрование диска вы добьётесь того же самого. В чём для вас принципиальна разница?
| | |
|
|
|
| 4.27, PereresusNeVlezaetBuggy (ok), 07:49, 26/07/2011 [^] [^^] [^^^] [ответить]
| +/– |
>>Но у пингвинов есть куда более мощный и гибкий SELinux, и система ограничений основных серверных демонов (а не только sshd) там существует уже давно.
> И это в то время, когда разработчики OpenBSD, позиционирующие свою ОС как
> "самую безопасную", до сих пор не могут реализовать мандатный контроль доступа.
Не «не могут», а «не собираются». Листать через «next in thread»: http://marc.info/?l=openbsd-misc&m=126412951221902&w=2
Не путайте безопасность и фичастость.
| | |
| |
| 5.34, nuclight (ok), 11:56, 26/07/2011 [^] [^^] [^^^] [ответить]
| +/– |
>>>Но у пингвинов есть куда более мощный и гибкий SELinux, и система ограничений основных серверных демонов (а не только sshd) там существует уже давно.
>> И это в то время, когда разработчики OpenBSD, позиционирующие свою ОС как
>> "самую безопасную", до сих пор не могут реализовать мандатный контроль доступа.
> Не «не могут», а «не собираются». Листать через «next in thread»:
> http://marc.info/?l=openbsd-misc&m=126412951221902&w=2
> Не путайте безопасность и фичастость.
Безопасность - не сущность, а атрибут. Первично решение задач, фокус может быть на безопасности способа её решения, но не отказе от решения как такового во имя некоей "безопасности". Какая ОС безопаснее? Та, где больше, например, способов решения задач, обладающих атрибутом безопасности.
Таким образом, как бы ни парадоксально звучало, отказываясь от безопасных способов решения ряда задач, типа того же мандатного контроля, "самая безопасная" ОС OpenBSD начинает проигрывать другим в области безопасности же.
| | |
| |
| 6.41, PereresusNeVlezaetBuggy (ok), 15:53, 26/07/2011 [^] [^^] [^^^] [ответить]
| –1 +/– |
> Какая ОС безопаснее? Та, где больше,
> например, способов решения задач, обладающих атрибутом безопасности.
Ну бред же. :) Вот в той же Windows NT всякие ACL и MAC имеются с рождения. И даже используются везде и повсюду, в отличие от всяких там grsecurity. Что, Windows NT от этого становится безопаснее? :)
От количества способов безопасность сама по себе не улучшится. Можно говорить «вероятнее, там, где больше способов, будет лучше реализация», но не более того.
И ещё, не стоит забывать, что каждая система защита тоже может быть уязвима. Поэтому, как ни парадоксально, чем больше систем защиты, тем потенциально уязвимее ОС. Системы защиты должны быть — да. Но в меру: их должно быть мало, они должны быть просты и эффективны в работе. MAC с этой точки зрения весьма и весьма неоднозначен, так как вероятность ошибки администратора или программиста возрастает многократно. При этом ложное чувство защищённости зачастую провоцирует пренебрежение другими системами защиты (только не говорите, что «это неправильные админы» — покажите мне человека, который никогда и ничем не пренебрегает), и в конечном счёте зачастую приводит к появлению дыр в защите — которых просто не было бы без этих систем защиты.
И на всякий случай: речь не о том, что MAC — это однозначно плохо. Речь о том, что его недостатки зачастую недооценивают.
А если кто-то придумает грамотное развитие идеи MAC, нивелирующее его недостатки, то patches are always welcome. :)
| | |
| |
| 7.44, nuclight (ok), 17:16, 26/07/2011 [^] [^^] [^^^] [ответить] | +/– | Ничуть Что, есть какой-то иной способ сравнивать безопасность _инструментов_ ... большой текст свёрнут, показать | | |
| |
| |
| 9.47, nuclight (ok), 19:32, 26/07/2011 [^] [^^] [^^^] [ответить] | –3 +/– | Чего Я ж четко сказал - безопасность инструментов А не удобство, пригодность... большой текст свёрнут, показать | | |
| |
| 10.49, mixac (?), 23:22, 26/07/2011 [^] [^^] [^^^] [ответить] | +/– | ох уж эти безопасники придут, психологией задавят вумными словами с панталыку ... текст свёрнут, показать | | |
|
|
|
|
|
| 5.52, Аноним (-), 14:08, 27/07/2011 [^] [^^] [^^^] [ответить]
| +/– | |
> Не «не могут», а «не собираются». Листать через «next in thread»:
Все как обычно. "Если у нас чего-то нет, значит, нам это не нужно"
А объяснить, почему именно не нужно - дело штатных демагогов.
Вот не люблю я, когда вместо программистов работают демагоги.
> Не путайте безопасность и фичастость.
MAC - это безопасность. А то, что в сабже - костыли от неимения MAC.
Никогда еще не видел, чтобы нагромождение костылей с закономерным запутыванием всего и вся повышало безопасность.
| | |
| |
| 6.55, PereresusNeVlezaetBuggy (ok), 14:52, 27/07/2011 [^] [^^] [^^^] [ответить]
| +/– |
>> Не «не могут», а «не собираются». Листать через «next in thread»:
> Все как обычно. "Если у нас чего-то нет, значит, нам это не
> нужно"
> А объяснить, почему именно не нужно - дело штатных демагогов.
Если быть более точным, текущие реализации MAC опёнковцев не особо устраивают. Видел комментарии от разработчиков о возможности прикручивания ACL к файловой системе. В целом же классический UNIX-контроль доступа звучит как: «это твоя сфера ответственности и делай здесь, что тебе нужно, а это не твоя», а MAC — «вот это можно, вот это нельзя, здесь можно только это, за исключением ещё вот того и того...». И единственно правильного выбора здесь нет. :)
> Вот не люблю я, когда вместо программистов работают демагоги.
Плодами трудов этих демагогов почему-то пользуются люди далеко за пределами OpenBSD. ;)
>> Не путайте безопасность и фичастость.
> MAC - это безопасность.
MAC — это способ раздачи и ограничения прав доступа. Один из.
> А то, что в сабже - костыли от неимения MAC.
Кому костыли, а кому и нет. Потенциал у systrace вообще довольно большой.
> Никогда еще не видел, чтобы нагромождение костылей с закономерным запутыванием всего и
> вся повышало безопасность.
Это вы про MAC, да? ;)
| | |
|
|
|
| 3.7, Аноним (-), 22:04, 25/07/2011 [^] [^^] [^^^] [ответить]
| +1 +/– |
> Насколько я знаю, в Linux абсолютно точно такой же технологии - нет.
> Поэтому на портирование данной конкретной фичи за пределы OpenBSD рассчитывать не
> стоит.
Там для ограничений и постановки в загон есть куда как более крутой cgroups и ряд очень вкусных флагов у сискола clone() который в конечном итоге и стартует на самом деле процессы. Можно буквально одним сисколом загнать процесс в персональное стойло, откуда он не вылезет в остальную систему нифига. Очень удобно и не надо геморроиться с мандатным контролем доступа.
| | |
| |
| 4.11, Аноним (-), 23:10, 25/07/2011 [^] [^^] [^^^] [ответить]
| +/– | |
Да, cgroups и namespaces - это реально круто, можно городить джейлы с гибким ограничением по лимитам. Но это типично линуксовые фичи, никак не оговоренные в POSIX и не имеющие аналогов в BSD и UNIX.
Поэтому здесь мы сталкиваемся с "проблемой systemd" - чтобы сделать что-либо реально крутое, нужно сосредоточиться именно на линуксе, не пытаясь тянуть совместимость с отстающими в развитии платформами.
| | |
| |
| 5.12, ы (?), 23:18, 25/07/2011 [^] [^^] [^^^] [ответить]
| +1 +/– |
> сосредоточиться именно на линуксе, не пытаясь
> тянуть совместимость с отстающими в развитии
вы так пишите, как будто это что-то плохое.
| | |
| |
| 6.13, Аноним (-), 23:22, 25/07/2011 [^] [^^] [^^^] [ответить]
| +/– |
Для многих разработчиков это неприемлемо, в основном из-за стереотипности мышления.
| | |
| |
| 7.30, ананим (?), 11:37, 26/07/2011 [^] [^^] [^^^] [ответить]
| +/– |
да глупости всё это.
все никсы всегда отличались - посикс+что-то_своё.
и всегда серьёзные проекты поддерживали все специфичные фичи каждой будь то doors в соляре и ещё что.
а opennssh - вполне себе серьёзный проект.
Зы
кстати, тут всегда про бсд говорят, дескать это у них был, а линух позаимствовал.
Вот интересный факт:
>lsh Niels Möller Active 1999-05-23 [2]
>OpenSSH The OpenBSD project Active 1999-12-01
http://en.wikipedia.org/wiki/Comparison_of_SSH_servers
| | |
| |
| 8.36, xz (??), 13:23, 26/07/2011 [^] [^^] [^^^] [ответить] | +/– | ахаха почитайте внимательно как появился на свет OpenSSH если коротко - была т... текст свёрнут, показать | | |
| |
| 9.38, ананим (?), 13:43, 26/07/2011 [^] [^^] [^^^] [ответить] | +/– | да хоть ухаха факт остается фактом - сам проект OpenSSH - The OpenBSD project ... текст свёрнут, показать | | |
|
|
|
|
| 5.15, Аноним (-), 23:32, 25/07/2011 [^] [^^] [^^^] [ответить]
| +/– | |
> не пытаясь тянуть совместимость с отстающими в развитии платформами.
А почему вы _другую_ реализацию называете отстающей? На основании какой причины? Просто потому что она - другая? Это глупо.
| | |
| |
| 6.17, Аноним (-), 23:59, 25/07/2011 [^] [^^] [^^^] [ответить]
| +/– | |
>А почему вы _другую_ реализацию называете отстающей? На основании какой причины? Просто потому что она - другая? Это глупо.
Отстающими были названы не другие реализации существующих технологий, а платформы, не имеющие технологий, сравнимых по возможностям с cgroups и namespaces.
| | |
| 6.18, Аноним (-), 00:01, 26/07/2011 [^] [^^] [^^^] [ответить]
| +/– |
> А почему вы _другую_ реализацию называете отстающей? На основании какой причины? Просто
> потому что она - другая? Это глупо.
Иметь другую реализацию технологии (схожую по возможностям) и не иметь вообще никакой реализации - это два принципиально разных случая. В данном случае речь идет именно о втором.
| | |
| |
| 7.21, nuclight (ok), 02:03, 26/07/2011 [^] [^^] [^^^] [ответить]
| +/– |
>> А почему вы _другую_ реализацию называете отстающей? На основании какой причины? Просто
>> потому что она - другая? Это глупо.
> Иметь другую реализацию технологии (схожую по возможностям) и не иметь вообще никакой
> реализации - это два принципиально разных случая. В данном случае речь
> идет именно о втором.
И будет этот второй случай враньем, проистекающим от незнания других систем.
| | |
| |
| 8.51, Аноним (-), 14:02, 27/07/2011 [^] [^^] [^^^] [ответить] | +/– | Вы так говорите, как будто можете действительно назвать технологии аналогичного ... текст свёрнут, показать | | |
|
|
|
|
|
|
|
|
