https://opennet.ru/openforum/vsluhforumID3/87083.html Увидел свет (http://marc.info/?l=openbsd-announce&m=135179064310905&w=2) релиз операционной системы OpenBSD 5.2 (http://openbsd.org/52.html), тридцать третий выпуск за восемнадцатилетнюю историю существования проекта. При развитии OpenBSD основное внимание уделяется переносимости (поддерживается (http://www.openbsd.org/plat.html) 17 аппаратных архитектур), стандартизации, корректной работе, активной безопасности и интегрированным криптографическим средствам. <br>Размер установочного iso-образа (http://ftp.eu.openbsd.org/pub/OpenBSD/5.2/i386/install52.iso) 230 Мб.<br><br><br><br><br>Кроме непосредственно операционной системы, проект OpenBSD известен своими компонентами, которые получили распространение в других системах и зарекомендовали себя как одни из наиболее безопасных и качественных решений. Среди них: OpenSSH (http://www.openssh.org/), пакетный фильтр PF (http://www.openbsd.org/faq/pf/index.html), демоны маршрутизации OpenBGPD и OpenOSPFD (http://www.openbgpd.org/), NTP-сервер OpenNTPD (http://www.openntpd.org/), поч https://opennet.ru/openforum/vsluhforumID3/87083.html#122 Thu, 15 Nov 2012 09:07:00 GMT &gt; Например, в FreeBSD в целях <br>&gt; той самой параллелизации перешли от дерева к хеш-таблицам для таблиц адресов, <br>&gt; забыв (или забив на) тот факт, что хеш-таблицы более уязвимы к <br>&gt; атакам. Честно скажу, что детально сорцы PF во фряхе не изучал, <br>&gt; но сомневаюсь, что там используется качественная (плохо предсказуемая) хеш-функция (типа <br>&gt; SHA1), так как она будет, очевидно, достаточно сильно нагружать ЦП. Впрочем, <br>&gt; оно понятно, что идеального решения нет.<br><br>Хеш таблица хеш-таблице рознь, никто не мешает <br>в случае коллизий использовать структуру данных с хорошей<br>гарантированной сложностью поиска в худшем случае.<br>http://en.wikipedia.org/wiki/Hash_table#Separate_chaining_with_other_structures<br><br>Другой вариант -- использовать еще одну хеш таблицу с другой хеш-функцией<br>для коллизий, чтобы не терять в скорости и в этом случае.<br><br>Да, sha1 для хеш-таблиц вменяемые люди применять не станут.<br> https://opennet.ru/openforum/vsluhforumID3/87083.html#121 Thu, 15 Nov 2012 07:26:23 GMT &gt;[оверквотинг удален]<br>&gt; gets expanded to: <br>&gt; block out on fxp0 from 192.168.0.1 to any <br>&gt; block out on fxp0 from 10.5.32.6 to any <br>&gt; очевидно, что: <br>&gt; block out on fxp0 from { 192.168.0.1, 10.5.32.6 <br>&gt; } to { 192.168.0.2, 10.5.32.4 } <br>&gt; будет развёрнуто в 4 правила. если там будет список портов(например, 10шт), то <br>&gt; правил будет 40.<br>&gt; хосты можно засунуть в таблицы, а вот с портами - такое не <br>&gt; получится. как и не получится, если надо хранить ip:port в таблице. <br><br>Гм. Не путайте сокращённую запись правил с самими правилами. Сам pf(4) знать не знает ни о каких фигурных скобках, это всё на совести pfctl(8). ;) Ну да не суть.<br><br>Насчёт портов - увы, замечание верное. Правда, отчасти спасает тот вышеописанный оптимизатор, но не в ситуации, когда отличия только по номеру порта.<br><br>Кстати, вы на интересную идею натолкнули, сделать skip steps ещё и на совпадения, а не только на различия, плюс запоминать, по какой причине был сделан пропуск и опустить лишние проверки...<br><br>&gt; плюс, таблицы в https://opennet.ru/openforum/vsluhforumID3/87083.html#120 Tue, 13 Nov 2012 23:03:52 GMT Много эмоций, но сказано хорошо. Возразить нечего.<br>Вообще складывается ощущение, что место свободной системы, которым был Линукс, занял OpenBSD.<br><br>&gt; может, моя позиция обречена с точки зрения эволюции;<br><br>Философский вопрос.<br>Она может быть обречена не только на неудачу.<br> https://opennet.ru/openforum/vsluhforumID3/87083.html#119 Tue, 13 Nov 2012 09:37:20 GMT &gt;&gt; Опять между строк читаете.<br>&gt; Это не чтение между срок. Это лишь капитанинг основанный на опыте администрирования. <br><br>Нет, вы действительно не читаете внимательно то, что вам пишут, а слушаете только себя. Вернее, может, и читаете, но в ваших комментариях это не отражается...<br><br>&gt;&gt; Нагрузка на сервер за счёт SSH _предсказуема_.<br>&gt; Вранье. Зависит от погоды на марсе и настроения ботов-брутфорсеров. Сегодня пусто, а <br>&gt; завтра 100500 ботов усиленно перебирают пароли - и ssh жрет ресурсы <br>&gt; как не в себя.<br><br>... А вот и наглядное доказательство. В третий раз, для самых маленьких: SSH даёт предсказуемую нагрузку для каждого клиента. Объём и характер вычислений на этапе установления соединения _одинаковый_ для любого клиента (с оговорками про разные виды ключей, перебор публичных ключей и т.д., но это в описываемой ситуации не принципиально). Как следствие, _можно_ прогнозировать, какое количество одновременных подключений можно держать максимально. В случае с тем же HTTP этого сделать _нельзя_: потому что усил https://opennet.ru/openforum/vsluhforumID3/87083.html#118 Tue, 13 Nov 2012 08:24:24 GMT &gt; А вот занапилить какой-нибудь драйвер карточек AMD HD7xxx в бсди - это да, солидная такая заявка на поработать.<br><br>Да это и намного интереснее, чем очередной Болгенос делать (читай мелкий напильник использовать)<br> https://opennet.ru/openforum/vsluhforumID3/87083.html#117 Tue, 13 Nov 2012 04:21:32 GMT &gt; Вот-вот. "Мне не нужно, значит, никому не нужно". Гениально. <br><br>Просто есть нужная вообще почти всем хрень типа отстрела уродов, а есть нужная раз в сто лет, типа извращенского vpn over ssh.<br><br>&gt;&gt; Особенно на серверах, где у меня никаких иксов нет.<br>&gt; 1. Сервера серверам рознь.<br><br>Да, но обычно на серваках все-таки иксов нет.<br><br>&gt; 2. На свете бывают не только сервера.<br><br>И даже так иксы по ssh - решение весьма на любителя.<br><br>&gt; 3. Если вы не в курсе, X-протокол работает в том числе между разными ОС.<br><br>Спасибо, Кэп.<br><br>&gt; То есть я совершенно спокойно из своего опёнка могу запустить какой-нибудь virt-manager в CentOS.<br><br>А еще можно левой пяткой правое ухо чесать. <br><br>&gt;&gt; вам особо не грозит.<br>&gt; "Это" - это что? Wayland?<br><br>Ага. Вы лучше будете за иксы цепляться. Хоть оно и тормозное и переросточное, если называть вещи своими именами.<br><br>&gt;&gt; Как впрочем и быстрая графическая подсистема с <br>&gt; Уже есть. Упс? Извинения будут? Не говоря о том, что вы опять соскакиваете с темы.<br><br>Не будут, потому что понятия опенбсдшник https://opennet.ru/openforum/vsluhforumID3/87083.html#116 Tue, 13 Nov 2012 03:55:57 GMT &gt; заинтересовал кого-то с коммерческой точки зрения <br><br>Да, если это чуть ли не единственная операционка которую тебе сватают да еще за деньги - ты поневоле заинтересуешься :). А потом еще народ удивляется - ой, а чего это финские студенты свои операционки пишут?! Ну вот наверное чтобы не покупать ТАКОЕ за деньги на таких условиях.<br> https://opennet.ru/openforum/vsluhforumID3/87083.html#115 Tue, 13 Nov 2012 03:53:41 GMT &gt; ssh хосты с нормальным соединением - вопрос 30 секунд...<br><br>Вот только все это впном делается не в пример прямее и проще и в целом менее криво получается.<br><br> https://opennet.ru/openforum/vsluhforumID3/87083.html#114 Tue, 13 Nov 2012 03:52:57 GMT &gt; безопасной передачи файлов в *nix? ;) <br><br>Да как г-на. От rsync в котором простейшее шифрование встроено до например HTTPS/WebDAV over https и еще туевой хучи вариантов. Или чтоугодно - over VPN, например. Почему такое средство должно быть именно в удаленной администрилке - вопрос интересный. А давайте туда встроим еще файрвол какой-нибудь и ядро операционки? :)<br>