forum.opennet.ru

Составление сообщения

Исходное сообщение

"Релиз FreeBSD 11.3"
Отправлено анонн, 10-Июл-19 13:50

> После прочтения https://vez.mrsk.me/freebsd-defaults.html желание что-то пропало.
Ух ты, та пафосная портянка в новом оформлении, с темным фоном и рамочками!
Ну, возьмем второй пункт:
> Mailer Daemon
> FreeBSD includes Sendmail in the base system and enables it by default.
> рассуждения о том, как плох sendmail
Там нагнетается впечатление, что по умолчанию запускается готовый толстый мейлер, но:

% grep sendmail /etc/defaults/rc.conf
# Settings for /etc/rc.sendmail and /etc/rc.d/sendmail:
sendmail_enable="NO" # Run the sendmail inbound daemon (YES/NO).
sendmail_flags="-L sm-mta -bd -q30m" # Flags to sendmail (as a server)
sendmail_cert_create="YES" # Create a server certificate if none (YES/NO)
sendmail_submit_enable="YES" # Start a localhost-only MTA for mail submission
sendmail_submit_flags="-L sm-mta -bd -q30m -ODaemonPortOptions=Addr=localhost"
    # Flags for localhost-only MTA
sendmail_outbound_enable="YES" # Dequeue stuck mail (YES/NO).
sendmail_outbound_flags="-L sm-queue -q30m" # Flags to sendmail (outbound only)

А на самом деле запускается по умолчанию ровно то, что описано в мане:
> If the rc.conf sendmail_enable option is set to "NO", a sendmail daemon will still be started and bound only to the localhost interface in order to accept command line submitted mail
Далее по списку идет
> Since I'm more familiar with PF, that's what I use. Unfortunately, the version of PF included with FreeBSD hasn't been synced with upstream since 2009. Do you want such a critical component of your OS (or network device) left largely unmaintained?
То, что это форк, с другим развитием
> This implementation is derived from OpenBSD 4.5.
> It has been heavily modified to be capable of running in multithreaded FreeBSD kernel and scale its performance on multiple CPUs.
и соотв. трудностями синка с апстримом автор то ли умалчивает, то ли вообще не знает.
"largely unmaintained"

hselasky        Fri Jul 5 10:31:37 2019 +0000   MFC r349369: Convert all IPv4 and IPv6 multicast memberships into using a STAILQ instead of a linear array.
kp      Fri Apr 26 13:00:22 2019 +0000  MFC r346349:
rgrimes Thu Apr 25 21:28:28 2019 +0000  MFC: r345888: Use IN_foo() macros from sys/netinet/in.h inplace of handcrafted code
kp      Wed Apr 24 14:08:14 2019 +0000  MFC r346319:
kp      Fri Mar 29 14:34:51 2019 +0000  MFC r345177:
kp      Sat Mar 23 07:07:44 2019 +0000  MFC r345223:
kp      Thu Mar 21 14:17:10 2019 +0000  MFC r345366:
kp      Fri Mar 15 11:01:49 2019 +0000  MFC r344921:
kp      Sun Mar 10 00:56:38 2019 +0000  pf: Small performance tweak
kp      Sat Mar 9 10:28:36 2019 +0000   MFC r340073, r341359:
kp      Fri Mar 1 18:12:05 2019 +0000   MFC r344691:
pkelsey Mon Feb 11 23:33:16 2019 +0000  MFC r343534: Don't re-evaluate ALTQ kernel configuration due to events on non-ALTQ interfaces
pkelsey Mon Feb 11 23:30:30 2019 +0000  MFC r343995: Reduce the time it takes the kernel to install a new PF config containing a large number of queues
kp      Fri Feb 1 10:04:53 2019 +0000   MFC r343418:
kp      Tue Jan 29 17:49:38 2019 +0000  MFC r343295:
kp      Tue Jan 22 01:07:18 2019 +0000  MFC r343041

если брать год написания сего опуса:

marcel  Sat Dec 10 03:31:38 2016 +0000  Improve upon r309394
glebius Fri Dec 9 18:00:45 2016 +0000   Backout accidentially leaked in r309746 not yet r
eviewed patch :(
glebius Fri Dec 9 17:59:15 2016 +0000   Use counter_ratecheck() in the ICMP rate limiting
.
kp      Mon Dec 5 21:52:10 2016 +0000   pflog: Correctly initialise subrulenr
marcel  Fri Dec 2 06:15:59 2016 +0000   Fix use-after-free bugs in pfsync(4)
kp      Thu Oct 13 20:34:44 2016 +0000  pf: port extended DSCP support from OpenBSD
kp      Tue Oct 4 19:35:14 2016 +0000   pf: remove fastroute tag

Т.е. по простонародному - вранье.
Далее идет портянка о недостаточной секурности обновлений и портов и приводится возможность атаки с помощью подмены архива при скачивании и использовать уязвимости libarchiv (ничего похожего в пингвинах конечно же никогда не было, особенно не было в дебиане ))
И опять пафосное:
> These bugs and poor design choices have left FreeBSD users vulnerable to root-level compromise every time they update their system or ports tree. Think about that for a second.
Как будто единственная возможность запустить portsnap из под рута.
А то, что обновлять порты можно через svn/git, что еще и удобнее - скромно умалчивается.
> So how many of these actually need to be done as root? Only the last one. And how many of these are done as root by default in FreeBSD? All of them.
Тут и далее вообще непонятные претензии - билд софта, видите ли, можно запускать из под рута да еще и на хосте. Подписанные пакеты скачиваются не по секурному HTTPS.
> Swap
> I think swap should always be encrypted. FreeBSD developers disagree.
> Now here's the same thing with the swap automatically encrypted:
> # Device                Mountpoint      FStype  Options         Dump    Pass#
> /dev/ada0p3.eli         none            swap    sw              0       0
> All you need to do is add ".eli" to the device name. A one-time key will be generated and destroyed when swap is unmounted, so the swap contents should be unrecoverable. If you had unencrypted swap previously, consider using dd to write random data over it before encrypting.
Придирка на ровном месте - это вот так. Свап видите ли не зашифрован по умолчанию злобными разработчиками.
А то, что шифрование включается добавлением .eli (это подразумевает подгрузку модуля, монтирование) совсем не магией, а из-за реализованой как раз разработчиками поддержки ...

Исходное сообщение
"Релиз FreeBSD 11.3" Отправлено анонн, 10-Июл-19 13:50
> После прочтения https://vez.mrsk.me/freebsd-defaults.html желание что-то пропало. Ух ты, та пафосная портянка в новом оформлении, с темным фоном и рамочками! Ну, возьмем второй пункт: > Mailer Daemon > FreeBSD includes Sendmail in the base system and enables it by default. > рассуждения о том, как плох sendmail Там нагнетается впечатление, что по умолчанию запускается готовый толстый мейлер, но: % grep sendmail /etc/defaults/rc.conf # Settings for /etc/rc.sendmail and /etc/rc.d/sendmail: sendmail_enable="NO" # Run the sendmail inbound daemon (YES/NO). sendmail_flags="-L sm-mta -bd -q30m" # Flags to sendmail (as a server) sendmail_cert_create="YES" # Create a server certificate if none (YES/NO) sendmail_submit_enable="YES" # Start a localhost-only MTA for mail submission sendmail_submit_flags="-L sm-mta -bd -q30m -ODaemonPortOptions=Addr=localhost" # Flags for localhost-only MTA sendmail_outbound_enable="YES" # Dequeue stuck mail (YES/NO). sendmail_outbound_flags="-L sm-queue -q30m" # Flags to sendmail (outbound only) А на самом деле запускается по умолчанию ровно то, что описано в мане: > If the rc.conf sendmail_enable option is set to "NO", a sendmail daemon will still be started and bound only to the localhost interface in order to accept command line submitted mail Далее по списку идет > Since I'm more familiar with PF, that's what I use. Unfortunately, the version of PF included with FreeBSD hasn't been synced with upstream since 2009. Do you want such a critical component of your OS (or network device) left largely unmaintained? То, что это форк, с другим развитием > This implementation is derived from OpenBSD 4.5. > It has been heavily modified to be capable of running in multithreaded FreeBSD kernel and scale its performance on multiple CPUs. и соотв. трудностями синка с апстримом автор то ли умалчивает, то ли вообще не знает. "largely unmaintained" hselasky Fri Jul 5 10:31:37 2019 +0000 MFC r349369: Convert all IPv4 and IPv6 multicast memberships into using a STAILQ instead of a linear array. kp Fri Apr 26 13:00:22 2019 +0000 MFC r346349: rgrimes Thu Apr 25 21:28:28 2019 +0000 MFC: r345888: Use IN_foo() macros from sys/netinet/in.h inplace of handcrafted code kp Wed Apr 24 14:08:14 2019 +0000 MFC r346319: kp Fri Mar 29 14:34:51 2019 +0000 MFC r345177: kp Sat Mar 23 07:07:44 2019 +0000 MFC r345223: kp Thu Mar 21 14:17:10 2019 +0000 MFC r345366: kp Fri Mar 15 11:01:49 2019 +0000 MFC r344921: kp Sun Mar 10 00:56:38 2019 +0000 pf: Small performance tweak kp Sat Mar 9 10:28:36 2019 +0000 MFC r340073, r341359: kp Fri Mar 1 18:12:05 2019 +0000 MFC r344691: pkelsey Mon Feb 11 23:33:16 2019 +0000 MFC r343534: Don't re-evaluate ALTQ kernel configuration due to events on non-ALTQ interfaces pkelsey Mon Feb 11 23:30:30 2019 +0000 MFC r343995: Reduce the time it takes the kernel to install a new PF config containing a large number of queues kp Fri Feb 1 10:04:53 2019 +0000 MFC r343418: kp Tue Jan 29 17:49:38 2019 +0000 MFC r343295: kp Tue Jan 22 01:07:18 2019 +0000 MFC r343041 если брать год написания сего опуса: marcel Sat Dec 10 03:31:38 2016 +0000 Improve upon r309394 glebius Fri Dec 9 18:00:45 2016 +0000 Backout accidentially leaked in r309746 not yet r eviewed patch :( glebius Fri Dec 9 17:59:15 2016 +0000 Use counter_ratecheck() in the ICMP rate limiting . kp Mon Dec 5 21:52:10 2016 +0000 pflog: Correctly initialise subrulenr marcel Fri Dec 2 06:15:59 2016 +0000 Fix use-after-free bugs in pfsync(4) kp Thu Oct 13 20:34:44 2016 +0000 pf: port extended DSCP support from OpenBSD kp Tue Oct 4 19:35:14 2016 +0000 pf: remove fastroute tag Т.е. по простонародному - вранье. Далее идет портянка о недостаточной секурности обновлений и портов и приводится возможность атаки с помощью подмены архива при скачивании и использовать уязвимости libarchiv (ничего похожего в пингвинах конечно же никогда не было, особенно не было в дебиане )) И опять пафосное: > These bugs and poor design choices have left FreeBSD users vulnerable to root-level compromise every time they update their system or ports tree. Think about that for a second. Как будто единственная возможность запустить portsnap из под рута. А то, что обновлять порты можно через svn/git, что еще и удобнее - скромно умалчивается. > So how many of these actually need to be done as root? Only the last one. And how many of these are done as root by default in FreeBSD? All of them. Тут и далее вообще непонятные претензии - билд софта, видите ли, можно запускать из под рута да еще и на хосте. Подписанные пакеты скачиваются не по секурному HTTPS. > Swap > I think swap should always be encrypted. FreeBSD developers disagree. > Now here's the same thing with the swap automatically encrypted: > # Device Mountpoint FStype Options Dump Pass# > /dev/ada0p3.eli none swap sw 0 0 > All you need to do is add ".eli" to the device name. A one-time key will be generated and destroyed when swap is unmounted, so the swap contents should be unrecoverable. If you had unencrypted swap previously, consider using dd to write random data over it before encrypting. Придирка на ровном месте - это вот так. Свап видите ли не зашифрован по умолчанию злобными разработчиками. А то, что шифрование включается добавлением .eli (это подразумевает подгрузку модуля, монтирование) совсем не магией, а из-за реализованой как раз разработчиками поддержки ...

Ваше сообщение
Имя*:
EMail:	Для отправки ответов на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email). Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.
Заголовок*:
Сообщение*:	>> После прочтения https://vez.mrsk.me/freebsd-defaults.html желание что-то пропало. > Ух ты, та пафосная портянка в новом оформлении, с темным фоном и > рамочками! > Ну, возьмем второй пункт: >> Mailer Daemon >> FreeBSD includes Sendmail in the base system and enables it by default. >> рассуждения о том, как плох sendmail > Там нагнетается впечатление, что по умолчанию запускается готовый толстый мейлер, но: > [code] > % grep sendmail /etc/defaults/rc.conf > # Settings for /etc/rc.sendmail and /etc/rc.d/sendmail: > sendmail_enable="NO" # Run the sendmail inbound daemon (YES/NO). > sendmail_flags="-L sm-mta -bd -q30m" # Flags to sendmail (as a server) > sendmail_cert_create="YES" # Create a server certificate if none (YES/NO) > sendmail_submit_enable="YES" # Start a localhost-only MTA for mail submission > sendmail_submit_flags="-L sm-mta -bd -q30m -ODaemonPortOptions=Addr=localhost" > # Flags for localhost-only MTA > sendmail_outbound_enable="YES" # Dequeue stuck mail (YES/NO). > sendmail_outbound_flags="-L sm-queue -q30m" # Flags to sendmail (outbound only) > [/code] > А на самом деле запускается по умолчанию ровно то, что описано в > мане: >> If the rc.conf sendmail_enable option is set to "NO", a sendmail daemon will still be started and [b]bound only to the localhost interface[/b] in order to accept command line submitted mail > Далее по списку идет >> Since I'm more familiar with PF, that's what I use. Unfortunately, the version of PF included with FreeBSD hasn't been synced with upstream since 2009. Do you want such a critical component of your OS (or network device) left largely unmaintained? > То, что это форк, с другим развитием >> This implementation is derived from OpenBSD 4.5. >> It has been heavily modified to be capable of running in multithreaded FreeBSD kernel and scale its performance on [b]multiple CPUs[/b]. > и соотв. трудностями синка с апстримом автор то ли умалчивает, то ли > вообще не знает. > "largely unmaintained" > [code] > hselasky Fri Jul 5 10:31:37 > 2019 +0000 MFC r349369: Convert all IPv4 and IPv6 > multicast memberships into using a STAILQ instead of a linear array. > kp Fri Apr 26 13:00:22 2019 +0000 > MFC r346349: > rgrimes Thu Apr 25 21:28:28 2019 +0000 MFC: r345888: Use IN_foo() > macros from sys/netinet/in.h inplace of handcrafted code > kp Wed Apr 24 14:08:14 2019 +0000 > MFC r346319: > kp Fri Mar 29 14:34:51 2019 +0000 > MFC r345177: > kp Sat Mar 23 07:07:44 2019 +0000 > MFC r345223: > kp Thu Mar 21 14:17:10 2019 +0000 > MFC r345366: > kp Fri Mar 15 11:01:49 2019 +0000 > MFC r344921: > kp Sun Mar 10 00:56:38 2019 +0000 > pf: Small performance tweak > kp Sat Mar 9 10:28:36 2019 +0000 > MFC r340073, r341359: > kp Fri Mar 1 18:12:05 2019 +0000 > MFC r344691: > pkelsey Mon Feb 11 23:33:16 2019 +0000 MFC r343534: Don't re-evaluate > ALTQ kernel configuration due to events on non-ALTQ interfaces > pkelsey Mon Feb 11 23:30:30 2019 +0000 MFC r343995: Reduce the > time it takes the kernel to install a new PF config > containing a large number of queues > kp Fri Feb 1 10:04:53 2019 +0000 > MFC r343418: > kp Tue Jan 29 17:49:38 2019 +0000 > MFC r343295: > kp Tue Jan 22 01:07:18 2019 +0000 > MFC r343041 > [/code] > если брать год написания сего опуса: > [code] > marcel Sat Dec 10 03:31:38 2016 +0000 Improve upon r309394 > glebius Fri Dec 9 18:00:45 2016 +0000 Backout accidentially leaked > in r309746 not yet r > eviewed patch :( > glebius Fri Dec 9 17:59:15 2016 +0000 Use counter_ratecheck() in > the ICMP rate limiting > . > kp Mon Dec 5 21:52:10 2016 +0000 > pflog: Correctly initialise subrulenr > marcel Fri Dec 2 06:15:59 2016 +0000 Fix use-after-free > bugs in pfsync(4) > kp Thu Oct 13 20:34:44 2016 +0000 > pf: port extended DSCP support from OpenBSD > kp Tue Oct 4 19:35:14 2016 +0000 > pf: remove fastroute tag > [/code] > Т.е. по простонародному - вранье. > Далее идет портянка о недостаточной секурности обновлений и портов и приводится возможность > атаки с помощью подмены архива при скачивании и использовать уязвимости libarchiv > (ничего похожего в пингвинах конечно же никогда не было, особенно не > было в дебиане )) > И опять пафосное: >> These bugs and poor design choices have left FreeBSD users vulnerable to root-level compromise every time they update their system or ports tree. Think about that for a second. > Как будто единственная возможность запустить portsnap из под рута. > А то, что обновлять порты можно через svn/git, что еще и удобнее > - скромно умалчивается. >> So how many of these actually need to be done as root? Only the last one. And how many of these are done as root by default in FreeBSD? All of them. > Тут и далее вообще непонятные претензии - билд софта, видите ли, можно > запускать из под рута да еще и на хосте. Подписанные пакеты > скачиваются не по секурному HTTPS. >> Swap >> I think swap should always be encrypted. FreeBSD developers disagree. >> Now here's the same thing with the swap automatically encrypted: >> # Device Mountpoint FStype Options Dump Pass# >> /dev/ada0p3.eli none swap sw 0 0 >> All you need to do is add ".eli" to the device name. A one-time key will be generated and destroyed when swap is unmounted, so the swap contents should be unrecoverable. If you had unencrypted swap previously, consider using dd to write random data over it before encrypting. > Придирка на ровном месте - это вот так. Свап видите ли не > зашифрован по умолчанию злобными разработчиками. > А то, что шифрование включается добавлением .eli (это подразумевает подгрузку модуля, монтирование) > совсем не магией, а из-за реализованой как раз разработчиками поддержки ...
	Введите код, изображенный на картинке:

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру