>>Скорей бы уж запили хотя бы до состояния фри (которая тоже
>>не сахар).
>
>Пилу вам в руки. K сожалению, 2-ю одновременно не потяну :(
>[оверквотинг удален]
>>Отвечаю на невысказанные тут вопросы:
>>1) PF - основное достоинство - вменяемый парсер конфиг, на этом достоинства
>>заканчиваются и начинается полная фигня:
>>а) в новой версии оно уже научилось через машину с NAT
>>больше 1 коннекта к айпишке по PPtp?
>
>У меня работало больше одного коннекта по PPTP. Сто лет назад поднимал
>обычный pptpd из портов и подключал к нему несколько машин из-за
>NAT'а. Может, вы что-то в pf.conf перемудрили?
>
Может вы не поняли вопроса ?
>обычный pptpd из портов и
прчем здесь pptp из портов - итак. за натом из pf'a сидят N юзеров и коннектятся на __1__ айпи снаружи по пптп - правила pf в студию :)
>>б) как ни станно, у меня пров дает TV по IGMP
>>- как, фейл с пропуском на 2 машинки через нат уже
>>закончился ?
>
>В смысле, какой фэйл?
в смысле, как раздать IGMP траффик через нат на pf :)
>
>>в) Совсем пушной зверек - опенок все еще гоняет транзитный FTP
>>трафф через юзерспейс?
>
>Да, и будет гонять (официальная позиция разработчиков), т.к. современный FTP не настолько
>простой протокол, чтобы рисковать его засовывать в ядро.
А так же GRE,CIFS,H232,SCTP,SIP и еще пол-сотни протоколов, с которыми как я понимаю в pf никак
> А чем вам
>не угодил ftp-proxy? Я тормозов не заметил. Передача файлов ведь без
>его участия происходит, он в pf просто добавляет правила.
/me может быть и не осилил, тут я спорить не буду, но как, по вашему, решается задача
пары-тройки фтп серверов ( они внутри сети за натом, опять таки на pf).
>>2) авторизация - пам уже есть ? нет ? нуу, вобщем надо
>>авторизоватся через SQL ? а по блутузному донглу ( да,
>>это мой пароль на ноуте),
>
>PAM нет и не планируется. А чем BSD auth не устраивает?
Отсутствием вменяемой многофакторной ААА, в том числе и на удаленном сервере - домашнюю диру юзеру все так же ручками надо создавать ? passwd уже научился писать пассворды куда то кроме файликов в /etc ?
Kак пример - есть AAA через LDAP&&Kerberos (и это нотбук).Как залогинить юзера без сети ( кеширование и TTL пассвордов ) ?
>>Тут не в курсе , но ядрЁный keychain уже есть ? :)
>
>Нет, и эта тема на моей памяти ни разу не поднималась в
>списках рассылки — видимо, никому из пользователей OpenBSD и в голову
>не приходило этим пользоваться. :)
Это не юзерская фича :) Чтобы тут не разводить холивары про гентоо - http://sisyphus.ru/ru/srpm/pam_keystore.
И столь нелюбимый здесь IBM: http://www.ibm.com/developerworks/ru/library/l-key-retention...
>>3) Порты - вобщем такая вещь в себе - можно мне версию
>>проги поновее ( там появились нужные мне фичи) ? Что, че
>>порты никак ? только __все__ дерево - мне надо всего
>>то libxml
>
>Экгхм. А то, что libxml завязан с кучей… Нет, не так: КУЧЕЙ
>других программ, вас не смущает? Разработчики стараются проверять весь возможный fallout
>до коммита.
Поддерживая в кое где около 50 пакетов - я в курсе подобных проблем :)
> Если вы предпочитаете вечно наполовину поломанное дерево портов, пользуйтесь
>фряхой, никто не мешает.
Спасибо, там все аналогично - слотами только попахивает, но не больше.
Мне лично не в лом написать спек,порт,ебилд... ( нужное подчеркнуть) - но к возможностям системы пакетного менеджмента это никакого отношения иметь не будет.
>Если же вы знаете, что вы делаете, пожалуйста, никто не мешает обновить
>только конкретный порт.
угу, и это будет совсем не офф. способ - вопрос скорее был не из серии "как сделать",
а "как при этом не сломать систему". configure,make,make install в начале хорошо - в конце этот процесс приносит понимание того, что ставить что то мимо портов,портежей,юма,dpkg,msi,etc - это верный путь выстрелить себе в пятку
>> 4) сендмаил в базе уже из коробки научился STARTTLS и лазить в
>>sasl ? опять компилить ? - спасибо, я как нибудь
>>на постфиксе.
>
>pkg_add postfix прекрасно работает.
>
>А компиляция, ессесно, нужна, т.к. sendmail в базе, а SASL — нет.
>В OpenBSD с этим строго.
Т.е, как я понимаю, исходя из логики поставки base ,по мнению девов опенка, отсутсвие
SMTP AUTH && STARTTLS, равно как и засирания системы реальными юзерами, конкретно повышают безопасность системы ? :)
И предача пассвордов на поп3 ( из базовой поставки) открытум текстом - тоже супер безопастна ?
Как бы все мануалы всегда говорили, что девы в ответе только за базовую систему, и порты
не аудитятся на предмет секюрити - я прав ?
>[оверквотинг удален]
>
>Для особо недоверчивых есть systrace.
это все ??? что может предложить опенок в этом плане ? MAC && RBAS не заканчивается на прикручивании дескрипторов безопасности на все сисколлы - он там только начинается.
В опенке уже можно сильно извратится и отдать пароль рута кому нибудь ?
С выставленнум наржу рутом видел FC, Debian видел, даже Gentoo и та была ( ну работает pebenito@ в одной практически комнате с Dan Walsh) , в фрее недавно ( давно не юзал)
с удивлением обнаружил зачатки MAC -как провернуть подобное на опенке не представляю даже торетически.
> следствие — ошибки админов — ошибки в безопасности.
т.е девы априори подозревают админов в отсутствии квалификации ?? Может все проще - они сами с трудом понимают всю эту машинерию ?
>>6) какой велосипед изобретет компания Тео для прикручивания >Xorg-1.8 ?
>>MAKEDEV наверно ?
>
>Не понял шутки? Смотрим в http://www.openbsd.org/cgi-bin/cvsweb/xenocara/MODULES?rev=1... , последняя строчка: xserver 1.8.1. И
>причём тут MAKEDEV?
Притом, что мне тупо интересно, как опенок будет подрубать после запуска Xorga и логина
юзера вакомовский планшет - динамического /dev нет и как я понимаю не будет?
>>7) мм, без minisendmail уже есть жизнь в чруте ?
>>Что то кроме чрута система может предложить ?
>
>jail нету, это да. :( На это тупо не хватает сил.
Вы не поверите, но сил не хватает на все задумки в любом комьюнити дистре любой OS.
Тогда за обычно берутся юзера данной системы - куча реп,портов,оверлеев и просто своих сборок тому пример. В данном случае, как я понимаю, несколько факторов просто на корню срубает желание заниматся чем то подобным.
И на jail все на заканчиваете - легкой виртуализации в смысле продакшена в BSD нет.
В опенке ее нет совсем - и к чему бы это ?
П.С В свое время все висело на опенке, и он был единственной системой, которую мы ставили для наших клиентов.
Уход с него был тяжел и мрачен :). С тех пор я предпочитаю болеть за развитие данного проекта издалека.
