Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Режим отображения отдельной подветви беседы		[ Отслеживать ]

Вышел релиз OpenBSD 4.6, opennews (ok), 19-Окт-09, (0) [смотреть все] Тео ваще молодец OpenBGPD, OpenOSPFD круть, Vitaly_loki (ok), 00:49 , 19-Окт-09, (1) как-то она совсем медленно развивается, да и как-то неуклюже с одной стороны - , shutdown now (?), 00:53 , 19-Окт-09, (2) +1 // Если брать глубже, то вообще становится не совсем понятно для чего развивается э, tr (?), 03:37 , 19-Окт-09, (5) +1 // А если взять еще глубже то не понятно откуда берутся такие суждения , mma (?), 04:48 , 19-Окт-09, (8) +1 Да ясно для чего Безопасность ради безопасности, ценой замораживания развития п, anonymous (??), 07:50 , 19-Окт-09, (15) +1   // если подумать, то не сама ОС определяет безопасность системы в целом, а приложен, shutdown now (?), 20:28 , 19-Окт-09, (34)   Тем не менее они автоматически используют те или иные технологии, общие для всей, PereresusNeVlezaetBuggy (ok), 20:59 , 19-Окт-09, (35)   мне тоже её всякие простые фишки вроде strlcpy нравятся gt оверквотинг удален с, shutdown now (?), 23:12 , 20-Окт-09, (97)   gt оверквотинг удален Большинство нормальных программ уже так написано 8212 , PereresusNeVlezaetBuggy (ok), 23:27 , 20-Окт-09, (99)   Вообще то они наоборот друг от друга отделились а еще раньше от NetBSD потому , Vitaly_loki (ok), 07:50 , 19-Окт-09, (16) // для затравки ftp ftp netbsd org pub NetBSD NetBSD-current src share misc bsd-f, 999 (??), 09:53 , 19-Окт-09, (24) devfs нет принципиально, это архитектурное решение Потоки 8212 можно включить, PereresusNeVlezaetBuggy (ok), 10:47 , 19-Окт-09, (30) // речь про многое, в том числе про giant lock Вот есть, например, роутер с openbs, Добрый Дохтур (?), 22:52 , 19-Окт-09, (37) // gt оверквотинг удален Пока что только на CPU0 Впрочем, i7 способен справиться, PereresusNeVlezaetBuggy (ok), 23:22 , 19-Окт-09, (42) вы хотите сказать, что одно ядро core i7 прожует 6Гбит с трафика эээ у core , Добрый Дохтур (?), 00:04 , 20-Окт-09, (44) Ну, кэш-то тут не сдался, чай, не MPEG сжимаем 8230 Один из разработчиков pf, H, PereresusNeVlezaetBuggy (ok), 01:05 , 20-Окт-09, (46) Если RIB умещается в кэш, то очень даже сдался надеюсь, почему так - объяснять , Добрый Дохтур (?), 15:18 , 20-Окт-09, (70) Боюсь, что на серьёзном канале оно в кэш не поместится А вы не видите моего отве, PereresusNeVlezaetBuggy (ok), 15:26 , 20-Окт-09, (72) Вообще-то влегкую , аноним (?), 02:29 , 20-Окт-09, (47) А почему, извините мне мой французский, не поставить и не запустить по разу tmux, Щекн Итрч (ok), 01:19 , 19-Окт-09, (3) +1 // Вот возьми и запусти для начала , anonymous (??), 05:22 , 19-Окт-09, (10) –1 А на страницу собственную tmux прогуляться слабо tmux во-первых, имеет лицензию, PereresusNeVlezaetBuggy (ok), 09:35 , 19-Окт-09, (22) –1 // Вопрос был в том чем они похожи, а не в том чем они отличаются, ig0r (??), 10:26 , 19-Окт-09, (26) +1 // Сорри, утренний какао ещё не выпил перед ответом , PereresusNeVlezaetBuggy (ok), 10:42 , 19-Окт-09, (29) +1 Я не аффтар, но напишу http tmux sourceforge net Welcome to the tmux website, , AdVv (??), 02:43 , 19-Окт-09, (4) +2 Русская локаль по-прежнему указывает на la_LN US-ASCII , прххффф (?), 03:45 , 19-Окт-09, (6) +1 А песенка , Геймер (?), 04:03 , 19-Окт-09, (7) +1 // Песенка тоже есть и она, имхо, охрененна, не хуже прошлой http www openbsd org, foster (?), 05:27 , 19-Окт-09, (11) –1 // Думается для наших рэперов, перевод через гуглю самое оно Ёйо-Ёйо-Ёйо-кккамонн, pavlinux (ok), 07:23 , 19-Окт-09, (14) +2 вот только нахрена это делать, так и не пойму вспоминается дибильная, asdasd (?), 05:20 , 19-Окт-09, (9) // А в чем прикол держать вюключенной поддержку ipv6, если оно ниразу не использует, anonym (?), 06:43 , 19-Окт-09, (12) // Есть мнение, что ipv6 стек пока молод, мало освоен и довольно дыряв Теперь вопро, stan (??), 08:35 , 19-Окт-09, (19) +1 // Теперь вопрос, если я его не пользую, зачем ждать пока прелетит хитро-фрагме, v987 (ok), 09:17 , 19-Окт-09, (21) +1 вспоминается дибильная привычка Win-лузеров -- оставлять включенным IPv6 и , Аноним (-), 07:19 , 19-Окт-09, (13) +1 // Очень хорошая привычка, CENSORED , pavlinux (ok), 08:08 , 19-Окт-09, (17) –1 // узнать, для чего феньки, и если не нужны, отключить Доброе , Аноним (-), 08:39 , 19-Окт-09, (20) –1 Данное действие отключение ненужного для Форточек чревато глюками, т к прис, Fomalhaut (?), 23:17 , 19-Окт-09, (40) На форточках разумеется, потому что помойка Поэтому человек вдвойне глупость ля, аноним (?), 14:32 , 20-Окт-09, (55) В случае с IPv6 не такая уж дебильная, кстати Уже не раз в самых разных ОС в т, PereresusNeVlezaetBuggy (ok), 09:40 , 19-Окт-09, (23) –1 // Если так подумать - в IPv4 тоже находили уязвимости, достаточно крутые Давайте , User294 (ok), 17:39 , 21-Окт-09, (122) // Всё же IPv4 больше вылизан И по ситуации админ решает сам помогать всему миру , PereresusNeVlezaetBuggy (ok), 18:42 , 21-Окт-09, (123) Мне не нравится как некоторые вещи в IPv6 сделаны и я не понимаю зачем оно так , User294 (ok), 18:57 , 21-Окт-09, (124) gt оверквотинг удален Не, в IPv6 у меня сугубо локалка Раньше, когда у единст, PereresusNeVlezaetBuggy (ok), 19:09 , 21-Окт-09, (125) С чего бы это она дебильная и почему win-админов Любой вменяемый админ отключае, аноним (?), 17:24 , 19-Окт-09, (31) +2 ну почему ж такая некрофилия то Было бы 2 28 и 4 3 поставил бы на ноут, а так , Аноним (-), 10:09 , 19-Окт-09, (25) –1 // Gnome 2 26 не стали портировать из-за большого количества проблем 2 28 вышел сл, PereresusNeVlezaetBuggy (ok), 10:37 , 19-Окт-09, (27) +1 когда из пакаджей исчезнет кде3 5 10 - начну осваивать другой менеджер з ы об, yason (?), 22:42 , 19-Окт-09, (36) Кстати, релиз изначально планировался на 1 октября, чтобы предрелизная заморозка, PereresusNeVlezaetBuggy (ok), 10:40 , 19-Окт-09, (28) Извините, но сразу до свидания , аноним (?), 17:27 , 19-Окт-09, (32) // Честно говоря, уже надоедает всяким лентяям объяснять, что их любимый GCC имеет , PereresusNeVlezaetBuggy (ok), 18:39 , 19-Окт-09, (33) // потому что анахронизмы никому не нужны не подскажете, где нынче можно купить SG, Добрый Дохтур (?), 22:54 , 19-Окт-09, (38) // Если вам не нужны, это не значит, что никому не нужны Вас использовать GCC 2 95, PereresusNeVlezaetBuggy (ok), 23:19 , 19-Окт-09, (41) Если они нужны десятку извращенцев на всю планету, это не значит что надо в сист, аноним (?), 02:40 , 20-Окт-09, (49) –1 От того, что эта вусмерть устаревшая версия компилятора доступна а не выкинута , PereresusNeVlezaetBuggy (ok), 09:47 , 20-Окт-09, (52) Перечитайте последнее предложение моего поста Для вас это, вероятно, просто циф, аноним (?), 14:35 , 20-Окт-09, (56) Вы про C За другие языки я не скажу, с C наверняка всё не слишком гладко, сог, PereresusNeVlezaetBuggy (ok), 14:46 , 20-Окт-09, (61) Ну да, теперь еще и фокр gcc поддерживать Вообще замечательно Динамично Пруфлин, аноним (?), 18:00 , 20-Окт-09, (76) Вообще-то так не только в OpenBSD делают И причины вполне понятны например, то, PereresusNeVlezaetBuggy (ok), 20:41 , 20-Окт-09, (82) Боюсь правда что если кто всучит мне проприетарный клон опенка с блобами и помаш, User294 (ok), 21:19 , 22-Окт-09, (140) Почему, будет Его код будет доступен по-прежнему А что там кто-то ещё предлага, PereresusNeVlezaetBuggy (ok), 23:54 , 22-Окт-09, (143) А еще он имеет тенденцию приобретать поддержку новых платформ И зачем мне подде, User294 (ok), 23:24 , 19-Окт-09, (43) –1 // Ну не надо вам этот музейный хлам - не пользуйте, насильно на 2 95 вас никто н, PereresusNeVlezaetBuggy (ok), 00:56 , 20-Окт-09, (45) Давайте расскажите же что у вас там в продакшне за система, которую не поддержив, аноним (?), 02:42 , 20-Окт-09, (50) Не у меня, а у разработчиков Если вы ещё не в курсе, OpenBSD делается разработч, PereresusNeVlezaetBuggy (ok), 09:46 , 20-Окт-09, (51) понимаешь, человек должен соответствовать какому-то имиджу, и в случае с User254, sverdlov (?), 13:42 , 20-Окт-09, (53) gt оверквотинг удален вы так-же фанатичны как и User294 а по делу подскажи, pavel_simple (ok), 13:56 , 20-Окт-09, (54) gt оверквотинг удален Да любая NetBSD на этом вообще специализируется, да и O, PereresusNeVlezaetBuggy (ok), 14:41 , 20-Окт-09, (58) gt оверквотинг удален можно ссылку на мануал по обкорнации или хотя-бы ссылк, pavel_simple (ok), 14:44 , 20-Окт-09, (59) gt оверквотинг удален В NetBSD сейчас всё немного по-другому, а в OpenBSD, есл, PereresusNeVlezaetBuggy (ok), 14:58 , 20-Окт-09, (62) gt оверквотинг удален посмотрел но остались вопросы1 установочный RAMDISK , pavel_simple (ok), 15:05 , 20-Окт-09, (64) gt оверквотинг удален Неверно ifconfig, ftp умеет HTTP и FTP , dhclient и т , PereresusNeVlezaetBuggy (ok), 15:12 , 20-Окт-09, (67) ну что-же будем надеяться что увидим роутеры с xxxBSD, причем хотя-бы в качестве, pavel_simple (ok), 15:18 , 20-Окт-09, (69) В другой жизни, Luke , User294 (ok), 23:15 , 20-Окт-09, (98) OpenBSD, есть несколько версий, погуглите, Павел (??), 10:43 , 22-Окт-09, (132) gt оверквотинг удален Да мы с ним уже с год, наверное, переругиваемся каждый р, PereresusNeVlezaetBuggy (ok), 14:39 , 20-Окт-09, (57) +1 Но я за вами признаю неглупого человека которому не чужды порой конструктивные к, User294 (ok), 23:52 , 20-Окт-09, (104) Вот когда все лампочки у себя в квартире поменяете на люминисцентные или светоди, Aesthetus Animus (?), 01:37 , 21-Окт-09, (105) Как ни странно - я это сделал И вы знаете, они еще и бабло экономят Ващет тупо, User294 (ok), 03:21 , 21-Окт-09, (107) Так Вы заменили на светодиодные или люминисцентные Если первое, то с радостью п, Aesthetus Animus (?), 15:10 , 21-Окт-09, (115) Увы, пока - второе Как временную меру Хотя честно говоря - предпочел бы п, User294 (ok), 21:23 , 21-Окт-09, (126) Не всегда адекватная замена Если вы разобьёте обычныю лампу накаливания, то нич, PereresusNeVlezaetBuggy (ok), 12:59 , 21-Окт-09, (112) Люминисцентные лампы я категорически не приемлю также из-за мерцания хотя возмо, Aesthetus Animus (?), 15:21 , 21-Окт-09, (116) Лампы накаливания тоже, сволочи, мерцают Я иногда замечаю Чтобы не мерцали, на, PereresusNeVlezaetBuggy (ok), 15:38 , 21-Окт-09, (117) В КЛЛ стоит высокочастотный преобразователь и никакого мерцания вы не увидите А, User294 (ok), 21:38 , 21-Окт-09, (127) вот это ты здря -- у нас 90 сооружений не соответствует нашим-же новым нормам ,, pavel_simple (ok), 22:02 , 21-Окт-09, (130) Тоже верно Ну, пожары-то и от таких коробочек бывают Если уж что-то закоротит, , PereresusNeVlezaetBuggy (ok), 09:47 , 21-Окт-09, (108) Отож Вот только коротить в нормальных условиях там особо нечему БП и вся схема , User294 (ok), 15:47 , 22-Окт-09, (133) В нормальных условиях и обычный БП коротить не будет Необязательно должен бы, PereresusNeVlezaetBuggy (ok), 16:04 , 22-Окт-09, (134) Механический вентилятор - проблемная в плане отказов штука Особенно если бп - m, User294 (ok), 21:14 , 22-Окт-09, (138) gt оверквотинг удален Так я и не спорю, что риск ниже Но всё равно есть Насч, PereresusNeVlezaetBuggy (ok), 00:05 , 23-Окт-09, (145) Кстати, а чего она не умеет, если не секрет Скорее всего - слабый аргумент, н, PereresusNeVlezaetBuggy (ok), 00:07 , 23-Окт-09, (146) Не анализировал в деталях но веселостей на которых грабель можно отхватить в emb, User294 (ok), 07:17 , 23-Окт-09, (147) Дальнейшее развитие идеи опущено Насчёт файловых систем замечание отчасти верно, PereresusNeVlezaetBuggy (ok), 09:03 , 23-Окт-09, (148) Ну и какие ФС там сделаны спецом под флеш Название в студию Чтоб выравнивание , User294 (ok), 02:09 , 26-Окт-09, (150) http en wikipedia org wiki Log-structured_File_System_ BSD На всякий случай , PereresusNeVlezaetBuggy (ok), 15:32 , 26-Окт-09, (151) BTW, не совсем аналог OpenWRT, но, думаю, в копилку сгодится http www nmedia , PereresusNeVlezaetBuggy (ok), 16:33 , 26-Окт-09, (152) У кого и какая именно Нет, вы все-таки приведите число людей, ради которых Open, аноним (?), 14:45 , 20-Окт-09, (60) Каким реалиям В дерево портов загляните, сколько там софта, который почти весь , PereresusNeVlezaetBuggy (ok), 15:05 , 20-Окт-09, (63) нууууу очень спорно , pavel_simple (ok), 15:11 , 20-Окт-09, (66) Современным Это вы посмотрите сколько в нормальных системах софта FreeBSD ports, аноним (?), 18:23 , 20-Окт-09, (77) Сравнение некорректно Во-первых, учтите, что в OpenBSD есть такая вещь как MULT, PereresusNeVlezaetBuggy (ok), 20:47 , 20-Окт-09, (83) И это хорошо Как-то назад на него совсем не хочется нифига И почему бы Для , User294 (ok), 23:30 , 20-Окт-09, (100) Ну почему Просто портирование на новую платформу, по их мнению, лишним редко бы, PereresusNeVlezaetBuggy (ok), 23:50 , 20-Окт-09, (103) Я в целом согласен с этой точкой зрения Но есть некоторые нюансы Да, кривой к, User294 (ok), 23:02 , 22-Окт-09, (141) Кто ж спорит Поспрашивайте на misc openbsd org это общий список рассылки и , PereresusNeVlezaetBuggy (ok), 23:49 , 22-Окт-09, (142) Давайте, покажите где эти платформы вообще используются Гораздо важнее, что gc, аноним (?), 02:35 , 20-Окт-09, (48) // В портах уже много лет есть рабочий GCC 4 Глухим по два раза обедню не служат Э, PereresusNeVlezaetBuggy (ok), 15:09 , 20-Окт-09, (65) 1 никто вас не заставляет использовать программы с GPL32 никто вас не заставля, pavel_simple (ok), 15:13 , 20-Окт-09, (68) Так я и не возражаю против их существования Просто из-за изменений в лицензи, PereresusNeVlezaetBuggy (ok), 15:20 , 20-Окт-09, (71) gt оверквотинг удален как вы наверное помните, gcc, тот который был под GPLv2 , pavel_simple (ok), 15:26 , 20-Окт-09, (73) gt оверквотинг удален Речь вовсе не об этом Речь об интеграции в базовую сист, PereresusNeVlezaetBuggy (ok), 15:31 , 20-Окт-09, (74) Это типичная тактика упертых BSD-шников, вообще говоря Осознав свой полный слив, anonymous (??), 03:17 , 21-Окт-09, (106) Перевожу на человеческий тему прочесть ниасилил, но BSD - г о Спасибо за ц, PereresusNeVlezaetBuggy (ok), 13:38 , 21-Окт-09, (114) Вы даже насчет этого не в курсе Там все абсолютно, полностью совместимо, и Free, аноним (?), 18:37 , 20-Окт-09, (79) Я бы не сказал, что OpenBSD любят корпорации, учитывая регулярные конфликты опён, PereresusNeVlezaetBuggy (ok), 21:58 , 20-Окт-09, (94) Проблема только в том что BSDL делает АБСОЛЮТНО ТО ЖЕ САМОЕ Набор ограничен, User294 (ok), 18:56 , 22-Окт-09, (135) Нет и еще раз нет Лицензия BSD налагает ограничения на свой код, на исходный ва, Aesthetus Animus (?), 19:36 , 22-Окт-09, (136) Да и еще раз да Я может быть не хочу рекламировать Васю Пупкина И вообще, хочу, User294 (ok), 21:13 , 22-Окт-09, (137) Да-да, я слышал Поставь систему - собери gcc - пересобери систему другим gcc З, аноним (?), 18:29 , 20-Окт-09, (78) Вы таки явно не в курсе Да, по возможности софт собирается GCC 3 x А если что-, PereresusNeVlezaetBuggy (ok), 20:53 , 20-Окт-09, (84) Еще раз да, я знаю Вы мои посты читаете или вас желание написать очередную чуш, аноним (?), 21:24 , 20-Окт-09, (85) Вы писали, что после установки GCC 4 x надо всю систему им пересобирать Постав, PereresusNeVlezaetBuggy (ok), 21:56 , 20-Окт-09, (93) а зачем пересобирать систему другим gcc что именно это даст давай, покажи тест, idkfa (?), 00:27 , 26-Окт-09, (149) А законы которые запрещают вам стрелять в окружающих - ну вообще форменный фашиз, User294 (ok), 23:36 , 20-Окт-09, (101) То есть вы со мной согласны, ура , PereresusNeVlezaetBuggy (ok), 23:45 , 20-Окт-09, (102) +1 Я не люблю ограничения свобод Но иногда, глядя на результаты - я в состоянии пр, User294 (ok), 17:19 , 21-Окт-09, (120) gt оверквотинг удален Тут отчасти соглашусь GPL и подобные ей удобнее крупным, PereresusNeVlezaetBuggy (ok), 17:24 , 21-Окт-09, (121) Интересно, а чат-скрипты в штатном getty в этом релизе появились , Alexander (??), 23:04 , 19-Окт-09, (39) Опенбсдшники почему-то всех зомбируют, что SMP якобы не нужен, т к не хотят пил, anonymous (??), 15:53 , 20-Окт-09, (75) // Почитал Тестер сам сказал, что там были проблемы с железом, вплоть до kernel pa, PereresusNeVlezaetBuggy (ok), 20:24 , 20-Окт-09, (80) // И конкретно по этому пункту 1 SMP не нужен, если UP хорошо справляется Будете , PereresusNeVlezaetBuggy (ok), 20:29 , 20-Окт-09, (81) // Вам понятие масштабируемость знакомо Вот в том то и дело, что давно и в процес, аноним (?), 21:27 , 20-Окт-09, (86) Хорошо, выражусь по-другому если UP-системы хватает за глаза для решения конкре, PereresusNeVlezaetBuggy (ok), 21:49 , 20-Окт-09, (91) gt оверквотинг удален Однопроцессорные системы, конечно, намного проще, особен, shutdown now (?), 21:33 , 20-Окт-09, (87) gt оверквотинг удален Так с обычными процессами и проблем нет Речь шла именно, PereresusNeVlezaetBuggy (ok), 21:48 , 20-Окт-09, (90) У вас обычные процессы к системным вызовам не обращаются Ну давайте про роути, pazke (?), 10:14 , 21-Окт-09, (109) Обращаются Но если я верно сейчас бегло анализировал исходники big kernel loc, PereresusNeVlezaetBuggy (ok), 12:59 , 21-Окт-09, (111) UP хорошо справляется только в железе SOHO-сегмента Даже у мелких провайдеров н, anonymous (??), 21:36 , 20-Окт-09, (88) Рад за вас, что вы усердно читаете Луркморе А теперь расскажите, какое отношени, PereresusNeVlezaetBuggy (ok), 22:42 , 20-Окт-09, (96) Что-ж вы так зацепились за этот шрифт Bы лучше замечание про NAPI прокомментир, pazke (?), 10:21 , 21-Окт-09, (110) gt оверквотинг удален За него не я зацепился Собеседник отказался изучить пре, PereresusNeVlezaetBuggy (ok), 13:37 , 21-Окт-09, (113) С человеком, не отличающим polling и NAPI от interrupt mitigation, вести какие-л, anonymous (??), 16:46 , 21-Окт-09, (118) Да-а New API also referred to as NAPI is an interface to use interrupt mitiga, PereresusNeVlezaetBuggy (ok), 16:52 , 21-Окт-09, (119) Этим не ограничиваются все функции NAPI Interrupt mitigation -- лишь одна из те, anonymous (??), 21:51 , 21-Окт-09, (128) gt оверквотинг удален Угу, в OpenBSD это есть Бр-р-р, что-то не понял драйвер, PereresusNeVlezaetBuggy (ok), 22:00 , 21-Окт-09, (129) А чойта в стартовых сообщениях драйвера forcedeth c вы ж про него сказано что, User294 (ok), 21:16 , 22-Окт-09, (139) // И про него тоже Впрочем, надо бы освежить память Может, я и путаю Linux с кем-, PereresusNeVlezaetBuggy (ok), 23:56 , 22-Окт-09, (144) 1,2,3,4,6,7,9,25,28,32,39,75

Сообщения

[Сортировка по времени | RSS]

	15. "Вышел релиз OpenBSD 4.6"	+1 +/–
	Сообщение от anonymous (??), 19-Окт-09, 07:50
	Да ясно для чего. Безопасность ради безопасности, ценой замораживания развития подсистем ядра, нуждающихся в модернизации и устранении блокировок. Иначе нельзя будет тыкать пальцами в security reports об уязвимостях в Linux, где пишут и переписывают по нескольку миллионов строк в год.
	Ответить | Правка | К родителю #5 | Наверх | Cообщить модератору

	34. "Вышел релиз OpenBSD 4.6"	+/–
	Сообщение от shutdown now (?), 19-Окт-09, 20:28
	если подумать, то не сама ОС определяет безопасность системы в целом, а приложения, большинство из них не входит в состав дерева исходников OpenBSD, т.е. не проходят жёсткий аудит. В классическом unix модель разделения привилегий очень слабая - есть root и все остальные. Программы работающие с uid == 0 не такая уж и редкость, напрмер, для того чтобы демон смог слушать на порту < 1024 его нужно запускать с uid == 0 и это даёт ему неограниченный доступ ко всей системе. Есть и другие примеры - у /sbin/ping стоит setuid для использования raw sockets. Любая ошибка и система скомпрометирована. Для безопасной системы нужно что-то более мощное, вроде мандатного доступа или виртуальных окружений.
	Ответить | Правка | Наверх | Cообщить модератору

	35. "Вышел релиз OpenBSD 4.6"	+/–
	Сообщение от PereresusNeVlezaetBuggy (ok), 19-Окт-09, 20:59
	>если подумать, то не сама ОС определяет безопасность системы в целом, а >приложения, большинство из них не входит в состав дерева исходников OpenBSD, >т.е. не проходят жёсткий аудит. Тем не менее они автоматически используют те или иные технологии, общие для всей системы. Например, включённый ProPolice для GCC, различные опции malloc(3) и т.д. >В классическом unix модель разделения привилегий очень слабая - есть root и >все остальные. Слабая, зато простая. А чем сложнее, тем легче ошибиться. > Программы работающие с uid == 0 не такая уж >и редкость, напрмер, для того чтобы демон смог слушать на порту >< 1024 его нужно запускать с uid == 0 и это >даёт ему неограниченный доступ ко всей системе. Пардон, а вы про privilege revocation слышали? > Есть и другие примеры >- у /sbin/ping стоит setuid для использования raw sockets. Любая ошибка >и система скомпрометирована. >Для безопасной системы нужно что-то более мощное, вроде мандатного доступа или виртуальных >окружений. Для безопасной системы нужны прозрачность, устойчивость к любым некорректным входным данным, строгая аутентификация, а также наиболее полное исключение возможностей самих пользователей нечаянно разрушить безопасность (включая удобство работы с системой безопасности - иначе её будут банально "обходить" сами пользователи).\ Мандатный доступ это красиво, но в гипертрофированном виде ещё более чревато. Посмотрите, какой зоосад развели в той же Винде поначалу: SYSTEM, Administrators, Power Users, Users, Guests... И к чему это привело? Power Users, наконец-то, убрали, т.к. они всё равно могли провести эскалацию прав до практически Administrators. Administrators в реальности ничем от SYSTEM не отличаются. И это только верхушка айсберга. Виртуальные окружения отнюдь не панацея - дырки в собственно ПО зачастую дополняются дырками в виртуализаторах; да и не спасают они от собственно взлома - в случае со всякими Web-сервисами это обычно уже означает кражу и/или порчу ценной информации.
	Ответить | Правка | Наверх | Cообщить модератору

	97. "Вышел релиз OpenBSD 4.6"	+/–
	Сообщение от shutdown now (?), 20-Окт-09, 23:12
	>>если подумать, то не сама ОС определяет безопасность системы в целом, а >>приложения, большинство из них не входит в состав дерева исходников OpenBSD, >>т.е. не проходят жёсткий аудит. > >Тем не менее они автоматически используют те или иные технологии, общие для >всей системы. Например, включённый ProPolice для GCC, различные опции malloc(3) и >т.д. мне тоже её всякие простые фишки вроде strlcpy нравятся >[оверквотинг удален] >>все остальные. > >Слабая, зато простая. А чем сложнее, тем легче ошибиться. > >> Программы работающие с uid == 0 не такая уж >>и редкость, напрмер, для того чтобы демон смог слушать на порту >>< 1024 его нужно запускать с uid == 0 и это >>даёт ему неограниченный доступ ко всей системе. > >Пардон, а вы про privilege revocation слышали? слышал, но это ж надо приложения переписывать я и про POSIX.1E знаю, но этого нет на OpenBSD >[оверквотинг удален] >аутентификация, а также наиболее полное исключение возможностей самих пользователей нечаянно разрушить >безопасность (включая удобство работы с системой безопасности - иначе её будут >банально "обходить" сами пользователи).\ > >Мандатный доступ это красиво, но в гипертрофированном виде ещё более чревато. Посмотрите, >какой зоосад развели в той же Винде поначалу: SYSTEM, Administrators, Power >Users, Users, Guests... И к чему это привело? Power Users, наконец-то, >убрали, т.к. они всё равно могли провести эскалацию прав до практически >Administrators. Administrators в реальности ничем от SYSTEM не отличаются. И это >только верхушка айсберга. в гипертрофированном виде всё уродство. >Виртуальные окружения отнюдь не панацея - дырки в собственно ПО зачастую дополняются >дырками в виртуализаторах; да и не спасают они от собственно взлома >- в случае со всякими Web-сервисами это обычно уже означает кражу >и/или порчу ценной информации. jail на FreeBSD достаточно неплох и securelevel для каждого jail свой, можно в приложение добавить, как например, сделано в портах для isc-dhcpd
	Ответить | Правка | Наверх | Cообщить модератору

	99. "Вышел релиз OpenBSD 4.6"	+/–
	Сообщение от PereresusNeVlezaetBuggy (ok), 20-Окт-09, 23:27
	>[оверквотинг удален] >>Слабая, зато простая. А чем сложнее, тем легче ошибиться. >> >>> Программы работающие с uid == 0 не такая уж >>>и редкость, напрмер, для того чтобы демон смог слушать на порту >>>< 1024 его нужно запускать с uid == 0 и это >>>даёт ему неограниченный доступ ко всей системе. >> >>Пардон, а вы про privilege revocation слышали? > >слышал, но это ж надо приложения переписывать Большинство нормальных программ уже так написано — Apache HTTPd Server, BIND, PostgreSQL… А если такая защита грамотно реализована, то получается практически непробиваемая для всяких injection'ов стена, от чего тот же MAC не спасёт. >я и про POSIX.1E знаю, но этого нет на OpenBSD Нет, и, AFAIK, не будет по вышеупомянутым причинам: слишком много сложностей вносит, значительно увеличивая вероятность ошибки (как минимум; как максимум — это ещё и куча дополнительного кода, который тоже надо тщательно исследовать). >>Виртуальные окружения отнюдь не панацея - дырки в собственно ПО зачастую дополняются >>дырками в виртуализаторах; да и не спасают они от собственно взлома >>- в случае со всякими Web-сервисами это обычно уже означает кражу >>и/или порчу ценной информации. > >jail на FreeBSD достаточно неплох и securelevel для каждого jail свой, можно >в приложение добавить, как например, сделано в портах для isc-dhcpd Да, jail, как и OpenVZ — вещь приятная. sysjail, к сожалению, загнулся после нахождения критичных проблем в systrace. :(
	Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема