1.1, netc (ok), 16:52, 16/04/2009 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
а как же любимая фраза опенбсд-ов
что мол за восемь лет не было найдено не одной уязвимости ;(
ну ни кто не ангел конечно
| |
|
2.2, Аноним (-), 16:55, 16/04/2009 [^] [^^] [^^^] [ответить]
| +/– |
> мол за восемь лет не было найдено не одной уязвимости ;(
Опенбсд - это такой неуловимый Джо.Никому нахрен не нужен - потому и неуловим.А юзали б это на 50% серверов - вы бы узнали о ней много нового, не с лучшей стороны.А редкая экзотичная система хакерам малоинтересна - траха много а ради чего?Сервер с этим найти?!Проще в лотерею миллион выиграть наверное.
| |
|
3.7, PereresusNeVlezaetBuggy (ok), 17:47, 16/04/2009 [^] [^^] [^^^] [ответить]
| +/– |
>> мол за восемь лет не было найдено не одной уязвимости ;(
>
>Опенбсд - это такой неуловимый Джо.Никому нахрен не нужен - потому и
>неуловим.А юзали б это на 50% серверов - вы бы узнали
>о ней много нового, не с лучшей стороны.А редкая экзотичная система
>хакерам малоинтересна - траха много а ради чего?Сервер с этим найти?!Проще
>в лотерею миллион выиграть наверное.
Я пишу эти строки из-под OpenBSD. У меня на работе используется OpenBSD. На прошлой работе тоже используется OpenBSD. Некоторые мои друзья-коллеги в России, я бы даже сказал в Москве, тоже юзают OpenBSD. И если вы не в курсе, среди BSD-систем OpenBSD занимает второе место после FreeBSD: http://en.wikipedia.org/wiki/File:Bsd_distributions_usage.svg . Вы когда-нибудь использовали OpenSSH? Ведь использовали наверняка. А он тоже разрабатывается в рамках OpenBSD. sudo тоже сейчас курируется одним из разработчиков OpenBSD (Todd Miller). Ну а собственно PF был портирован даже на Windows. Да-да.
| |
|
4.23, cvsup (ok), 08:19, 17/04/2009 [^] [^^] [^^^] [ответить]
| +/– |
Ты им все равно ничего не докажешь. Они же чуваки (см. соседнюю ветку) и фанатично влюблены в свою промывающую мозг священную корову.
| |
4.31, Аноним (-), 20:35, 20/04/2009 [^] [^^] [^^^] [ответить]
| +/– |
>я бы даже сказал в Москве, тоже юзают OpenBSD.
Вспомнился анекдот про войну чукч и китайцев, там где одних сто а других миллиард.
P.S. кстати если следить за дырами то можно заметить что и в sudo и в openssh дыры находили, при том последние - не так уж и давно.С чего вы взяли что дыр нет в менее популярных а потому менее изученных кусках кода - вам виднее, а со стороны выглядит необоснованно и неубедительно.
P.P.S. А как ищут баги опенбсдшники - известно. Вот так: http://www.securitylab.ru/news/352795.php
| |
|
5.32, PereresusNeVlezaetBuggy (ok), 01:03, 21/04/2009 [^] [^^] [^^^] [ответить]
| +/– |
>>я бы даже сказал в Москве, тоже юзают OpenBSD.
>
>Вспомнился анекдот про войну чукч и китайцев, там где одних сто а
>других миллиард.
… Миллионы мух не могут ошибаться…
>P.S. кстати если следить за дырами то можно заметить что и в
>sudo и в openssh дыры находили, при том последние - не
>так уж и давно.С чего вы взяли что дыр нет в
>менее популярных а потому менее изученных кусках кода - вам виднее,
>а со стороны выглядит необоснованно и неубедительно.
>
>P.P.S. А как ищут баги опенбсдшники - известно. Вот так: http://www.securitylab.ru/news/352795.php
Именно. Только эта бага существовала задолго до появления на свет OpenBSD (а также Linux), и относилась практически ко всем BSD-системам. Так что факт находки и исправления данной проблемы как раз OpenBSD'шниками, ИМХО, им в плюс. Не они авторы этого кода (автор кода сейчас трудится в первую очередь на благо FreeBSD и вообще стоял у её истоков).
| |
5.33, PereresusNeVlezaetBuggy (ok), 01:11, 21/04/2009 [^] [^^] [^^^] [ответить]
| +/– |
>P.S. кстати если следить за дырами то можно заметить что и в
>sudo и в openssh дыры находили, при том последние - не
>так уж и давно.С чего вы взяли что дыр нет в
>менее популярных а потому менее изученных кусках кода - вам виднее,
>а со стороны выглядит необоснованно и неубедительно.
Находили, и что? Вы хотите кому-то открыть глаза, что нет совершенных программ? Открою вам великую тайну: открывать глаза здесь особо некому. Мы живём в мире несовершенных программ. Доверять нельзя никому.
И покажите мне, пожалуйста, с чего вы взяли, что я утверждаю, что в OpenBSD, OpenSSH, sudo и т.д. нет дыр. Ткните меня пальцем и я стыдливо умолкну.
| |
|
|
|
2.10, PereresusNeVlezaetBuggy (ok), 18:00, 16/04/2009 [^] [^^] [^^^] [ответить]
| +/– |
>а как же любимая фраза опенбсд-ов
>что мол за восемь лет не было найдено не одной уязвимости ;(
>
>
>ну ни кто не ангел конечно
Читайте внимательно: "Only two remote holes in the default install, in more than 10 years!"
Во-первых, "в установке по умолчанию". PF в установке по умолчанию не включён. Хотя бы потому, что прикрывать им нечего, по дефолту (идея которого хоть и не была придумана опёнковцами, но явно с их примера пошла в жизнь) в OpenBSD включён только sshd, да и то не обязательно. :)
Во-вторых, к сожалению, две уязвимости таки найдено. :( И вторая была тоже связана с IPv6 и ICMP…
В-третьих, уже в течение десяти лет. ;)
| |
|
1.3, xxx (??), 16:59, 16/04/2009 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Сейчас у них на сайте: "Only two remote holes in the default install, in more than 10 years!".
Поэтому ничего страшного, они либо просто отмажутся, либо добавят +1 к числу дырок.
| |
|
2.6, Аноним (-), 17:09, 16/04/2009 [^] [^^] [^^^] [ответить]
| +/– |
>Сейчас у них на сайте: "Only two remote holes in the default
>install, in more than 10 years!".
"Нет безбажных программ.Есть недообследованные." (c) мне неизвестен.
| |
2.8, PereresusNeVlezaetBuggy (ok), 17:48, 16/04/2009 [^] [^^] [^^^] [ответить]
| +/– |
>Сейчас у них на сайте: "Only two remote holes in the default
>install, in more than 10 years!".
>Поэтому ничего страшного, они либо просто отмажутся, либо добавят +1 к числу
>дырок.
Не путайте DoS с Remote code execution.
| |
|
1.4, netc (ok), 17:05, 16/04/2009 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
не ну вообще поражает как так простым сканированием выбить фаер
а вообще у кого какое мнение по поводу pf
често скажу прешел на него с iptables, синтаксис - крут ни чего не скажешь
Но как то не так все понятно как с iptables - там ты царь, а тут даже схемы нет как пакеты обрабатываються
ИМХО Ну вообщем iptables очень наворочен, и очень гидок в отличии от pf
мне так показалось
| |
|
2.9, PereresusNeVlezaetBuggy (ok), 17:53, 16/04/2009 [^] [^^] [^^^] [ответить]
| +/– |
>[оверквотинг удален]
>
>често скажу прешел на него с iptables, синтаксис - крут ни чего
>не скажешь
>
>Но как то не так все понятно как с iptables - там
>ты царь, а тут даже схемы нет как пакеты обрабатываються
>
>ИМХО Ну вообщем iptables очень наворочен, и очень гидок в отличии от
>pf
>мне так показалось
Посмотрите внимательно diff, трабла (в очередной раз) связана с обработкой IPv6. Может, это смерть одного из KAME'овцев так влияет до сих пор, может, ещё что.
Схема обработки пакетов детально разжёвана в man'e, равно как и в доступной в Сети книге "Building Firewalls with OpenBSD and PF". Кстати, в CURRENT произошли заметные изменения, о которых я, кажется, так и забыл новость сюда накатать, сейчас исправлюсь.
| |
2.12, Аноним (-), 18:51, 16/04/2009 [^] [^^] [^^^] [ответить]
| +/– |
>не ну вообще поражает как так простым сканированием выбить фаер
>
Что тебя поражает то? А если б изощренный способ был, тебя это не поразило? Все равно нихера не понимаешь смысла этой атаки и ее механизма (природы ее, так сказать). Будто ты бы такой баги не допустил, можно подумать
Такие умные все, блин, пошли... Что не коммент, то обязательно мнение от гипер-мега-крутого программера
| |
|
3.14, netc (??), 19:32, 16/04/2009 [^] [^^] [^^^] [ответить]
| +/– |
>>не ну вообще поражает как так простым сканированием выбить фаер
>>
>
>Что тебя поражает то? А если б изощренный способ был, тебя это
>не поразило? Все равно нихера не понимаешь смысла этой атаки и
>ее механизма (природы ее, так сказать). Будто ты бы такой баги
>не допустил, можно подумать
>
>Такие умные все, блин, пошли... Что не коммент, то обязательно мнение от
>гипер-мега-крутого программера
если честно, то я себя мега программером не считаю
я вообще начинающий сис. админ
я просто удивлен, тому, что с каждым днем мне хоть и сложнее работать, но в то же время и интересней работая, каждый день заходить на любимый опеннет и следить за тем, что происходит в мире опенсорс;)
а вот по теме того, что меня поражает как раз таки что ни кому верить нельзя. полагаться можно только на себя ;) - просто факт.
вообщем то о опенбсд я узнал пытавшись устроиться на работу в одну контору сисадмином
причем там много спрашивали а знаете ли вы о таких аттаках, а о таких знаете
и вот настал тот час, когда я смело и абсолютно без зазрения совести могу послать ссылку на эту дыру, тому кто со мной вел собеседование и рассказывал мне, что у нас все под контролем
;)
да хочу сказать, что сейчас у меня два сервака именно с pf.
и замечу, что установив pf я понял очень много вещей, о которых раньше мог только догадываться
во всем есть свои плючы и минусы
| |
|
4.28, Faceconrol (?), 19:55, 17/04/2009 [^] [^^] [^^^] [ответить]
| +/– |
>если честно, то я себя мега программером не считаю
>я вообще начинающий сис. админ
Народная мудрость гласит что иногда тебе надо МНОГО читать, слушать и спрашивать и МАЛО выражать своё мнение. И тогда со временем начнут спрашивать у тебя :)
По делу - ошибка в IPv6. Оно ещё принесет не одну и не две проблемы ... но двигаться все же нада :(
| |
|
|
2.13, iZEN (ok), 18:55, 16/04/2009 [^] [^^] [^^^] [ответить]
| +/– |
>Но как то не так все понятно как с iptables - там ты царь, а тут даже схемы нет как пакеты обрабатываються
Правила PF имеют структуру описания из 7 разделов. В IPTABLES пишешь — как бог на душу положит.
Почти как отличия C от Asm.
| |
|
1.5, netc (ok), 17:07, 16/04/2009 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
много раз пытался переписать правила которые у меня работали в iptables на pf
ни фига - тут блин философия другая совершенно
причем дай бог чтобы философия не мешала реальным нуждам ;)
| |
|
|
|
4.16, PereresusNeVlezaetBuggy (ok), 20:26, 16/04/2009 [^] [^^] [^^^] [ответить]
| +/– |
>[оверквотинг удален]
>>
>>Вторая ссылка гугла:
>>http://secunia.com/advisories/9429/
>>
>>И т.д.
>
>т.е. ты хочешь сказать, что у iptables все запущено пуще pf-а
>
>ну в принципе как ниже заметили c и asm, соглашусь, на asm
>легче допустить ошибку ;)
Насчёт того, запущеннее или нет — не возьмусь быть беспристрастным судьёй, а сравнение C и Asm, ИМХО, действительно довольно удачное, именно с такими выводами. :)
| |
|
5.17, netc (??), 20:36, 16/04/2009 [^] [^^] [^^^] [ответить]
| +/– |
вообщем то единственное, что меня не устраивает в подходе к изучению pf так это то, что перевыв уже кучу мануалов и статей я ни где не нащел схемы как обрабатываються пакеты
т.е. как в iptables
я конечно понимаю, что она будет принципиальна иная
я имею в виду что то типа схемы а третей главе вот этого мануала
http://www.opennet.me/docs/RUS/iptables/
или вот позамороченней
http://jengelh.medozas.de/images/nf-packet-flow.svg
ну вообще у меня раньше была средняя схемка, ну там было все понятно
что касаеться openBSD то ни в man pf, ни в faq на сайте, ни в man pf.conf ни чего такого я не нашел
хоть бы главу что ли посвятили схеме, - ни фига только словестно, я конечно все понимаю, но блин собрать словестные вещи воедино ИМХО - это сложно.
причем до сих пор из за этого страдаю
т.е. как то все по отдельности описано, ну не нашел я еще полного мана, видимо прийдеться искать ту книжку про PF типа Understanding PF помоему. может там что то подобное будет
| |
|
|
|
|
1.21, Dorlas (??), 22:28, 16/04/2009 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Схема прохождения пакета...Ну тут вошел, оттуда вышел :)
Принципы простые:
1) Список правил проверяется и применяется на пакет на каждой сетевой, через которую он пройдет
2) NAT на сетевой применяется первый (т.е. меняются заголовки) - и после список правил проверяется уже на пакет с измененным адресом/портом.
Вот и вся схема.
PS: Недавно мигрировал сервер с iptables/shorewall - около 600 правил на PF - получилось: 7 таблиц + 10 макросов + 40 правил.
| |
|
2.25, netc (ok), 09:35, 17/04/2009 [^] [^^] [^^^] [ответить]
| +/– |
а че вполне реальная статистика
у меня на iptables было куча непонятного бреда
причем когда настраивал уже тогда понял
что пройдет время и как все буду вспоминать и камменты не помогут
так и есть почти ;)
хотя конечно с iptables больше провозился, с pf пока сложно
но ни чего тяжело в учении , легко в бою
| |
|
1.26, rm (??), 09:48, 17/04/2009 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Dorlas
даже добавлю что, если ты не верно написал порядок правил в pf,то pf просто не загрузит правила:))
наверное поэтому у народа не часто возникают вопросы "как проходит пакет" :)
| |
1.27, Dorlas (??), 16:55, 17/04/2009 [ответить] [﹢﹢﹢] [ · · · ] | +/– | Если внимательно прочитать документацию на PF хотя бы один раз - то сразу будет ... большой текст свёрнут, показать | |
|
2.29, xeonvs (ok), 20:23, 17/04/2009 [^] [^^] [^^^] [ответить]
| +/– |
>Если внимательно прочитать документацию на PF хотя бы один раз - то
>сразу будет формироваться правильный список правил и их порядок.
>
>Пример:
>
>
> ### Разрешить любые пакеты по loopback-интерфейсу ###
>pass quick on lo0 all
>
зачем нагружать PF фильтрацией заведомо разрешенного траффика?
правельнее это правило переписать так: set skip on { lo0 }
т.е если условия задачи позволяют не фильтровать трафик на определенном интерфейсе, то его надо добавить в skip
| |
|
3.30, PereresusNeVlezaetBuggy (ok), 20:28, 17/04/2009 [^] [^^] [^^^] [ответить]
| +/– |
>[оверквотинг удален]
>>
>>
>> ### Разрешить любые пакеты по loopback-интерфейсу ###
>>pass quick on lo0 all
>>
>
>зачем нагружать PF фильтрацией заведомо разрешенного траффика?
>правельнее это правило переписать так: set skip on { lo0 }
>т.е если условия задачи позволяют не фильтровать трафик на определенном интерфейсе,
>то его надо добавить в skip
Строго говоря, опция skip появилась в PF не сразу. У меня до сих пор на работе стоят две машины с фряхой (в свете определённых событий обновлять их нет смысла), которые эту опцию не поддерживают. Хотя вообще трудно приветствовать такую геронтофилию. :) Кстати, лучше писать обычно "set skip on { lo }", т.к. иногда удобно создавать дополнительные loopback-интерфейсы.
| |
|
|
|