| 1.1, Аноним (-), 11:04, 23/12/2017 [ответить] [﹢﹢﹢] [ · · · ]
| –5 +/– |
А ведь eBPF почти продвинули как адекватную альтернативу DTrace, но видно не судьба и после такого никто в трезвом уме не будет unprivileged bpf оставлять. С безопасностью там, судя по всему, всё очень плохо, если в первый же заход 9 уязвимостей нашли.
| | |
| |
| 2.2, Аноним (-), 11:19, 23/12/2017 [^] [^^] [^^^] [ответить]
| +3 +/– |
Отладкой всё равно занимаются на локалхосте, где повышение привилегий не страшно. А вот по умолчанию лучше бы отключить, пока не вылижут.
| | |
| |
| 3.7, Аноним (-), 13:59, 23/12/2017 [^] [^^] [^^^] [ответить]
| +/– |
Цимес DTrace именно в том, что он был создан для анализа проблем в продакшене, т.е. гарантирует что что бы ты ни сделал, никакие приложения не грохнутся, не изменят своего состояния, и вообще система не уйдет в паник. Это все на солярке конечно, на линуксе я слышал он работает не лучше других трассировочных поделок
| | |
| |
| 4.16, Аноним (-), 18:20, 23/12/2017 [^] [^^] [^^^] [ответить]
| +4 +/– |
Цимес любого дебагера - в том что им можно поиметь всех по самые гланды.
| | |
| 4.27, EHLO (?), 19:26, 23/12/2017 [^] [^^] [^^^] [ответить]
| +/– |
> Цимес DTrace именно в том, что он был создан для анализа проблем
> в продакшене, т.е. гарантирует что что бы ты ни сделал, никакие
> приложения не грохнутся, не изменят своего состояния, и вообще система не
> уйдет в паник. Это все на солярке конечно, на линуксе я
> слышал он работает не лучше других трассировочных поделок
В Солярисе DTrace можно было(sic!) пользоваться без повышения привилегий?
| | |
| |
| 5.56, Знаток (?), 12:53, 24/12/2017 [^] [^^] [^^^] [ответить]
| +/– | |
> В Солярисе DTrace можно было(sic!) пользоваться без повышения привилегий?
Да, и во FreeBSD тоже. Всё, что доступно тебе для отладки, доступно и для DTrace.
| | |
| |
| 6.58, EHLO (?), 13:24, 24/12/2017 [^] [^^] [^^^] [ответить]
| +1 +/– |
>> В Солярисе DTrace можно было(sic!) пользоваться без повышения привилегий?
> Да, и во FreeBSD тоже. Всё, что доступно тебе для отладки, доступно
> и для DTrace.
Не знаток проприетари, но простое гугление подсказывает, что в Оракле с тобой не согласны: https://docs.oracle.com/cd/E26502_01/html/E28556/gkygl.html "Users need at least one of the three DTrace privileges in order to use any of the DTrace functionality."
ну поскольку начинается юление, давай уточнять. Возможно профилирование внутри ядра для непривилегированного юзера без повышения привилегий?
| | |
| 6.64, Аноним (-), 17:05, 24/12/2017 [^] [^^] [^^^] [ответить] | +1 +/– | CODE анон bsd usr share dtrace watch_execve dtrace failed to initialize... большой текст свёрнут, показать | | |
| |
| 7.72, Аноним (-), 21:07, 24/12/2017 [^] [^^] [^^^] [ответить]
| +/– | |
> root@bsd # sysctl security.bsd.unprivileged_proc_debug:1
По-моему, в сабже как раз и написано популярным языком что после этого ожидать...
| | |
| |
| 8.73, Аноним (-), 02:51, 25/12/2017 [^] [^^] [^^^] [ответить] | +1 +/– | Сабж про пингвина Это разрешает неруту запускать дебагер в бзде А отвечал я в... текст свёрнут, показать | | |
| |
| 9.77, Аноним (-), 00:09, 26/12/2017 [^] [^^] [^^^] [ответить] | +/– | И там как раз написано что случается после того как нерут что-нибудь основательн... текст свёрнут, показать | | |
|
|
|
|
|
|
|
|
| 1.5, Аноним (-), 11:44, 23/12/2017 [ответить] [﹢﹢﹢] [ · · · ]
| +5 +/– |
Целый год радовали уязвимости, доступные через user namespace, а теперь настал черёд eBPF. Кому вообще в голову пришло по дефолту включать их для обычных пользователей.
| | |
| |
| 2.10, Нанобот (ok), 14:13, 23/12/2017 [^] [^^] [^^^] [ответить]
| –1 +/– |
 > Кому вообще в голову пришло по дефолту включать их для обычных пользователей?
Если не ошибаюсь, оно используется песочницой хромиума для изоляции рабочих процессов
| | |
| 2.14, пох (?), 16:53, 23/12/2017 [^] [^^] [^^^] [ответить]
| +/– | |
> Кому вообще в голову пришло по дефолту включать их для обычных пользователей.
тем, разумеется, кто ни разу не жаждал давать программистам для отладки рутовый доступ на прод.
| | |
| |
| 3.30, EHLO (?), 20:45, 23/12/2017 [^] [^^] [^^^] [ответить]
| +2 +/– |
>> Кому вообще в голову пришло по дефолту включать их для обычных пользователей.
> тем, разумеется, кто ни разу не жаждал давать программистам для отладки рутовый
> доступ на прод.
То есть программисты, занимающиеся отладкой в проде без рутового доступа -- это нормально? =))
| | |
| |
| 4.57, Знаток (?), 12:55, 24/12/2017 [^] [^^] [^^^] [ответить]
| +/– |
> То есть программисты, занимающиеся отладкой в проде без рутового доступа -- это
> нормально? =))
Нормально, если они занимаются выяснением проблемы, где именно тормозит вот этот вот JOIN шести уровней.
Вообще говоря, Sun Microsystems презентовала DTrace как инструмент для решения проблемы с тормозами Oracle.
| | |
| |
| 5.59, EHLO (?), 13:30, 24/12/2017 [^] [^^] [^^^] [ответить]
| +2 +/– |
>> То есть программисты, занимающиеся отладкой в проде без рутового доступа -- это
>> нормально? =))
> Нормально, если они занимаются выяснением проблемы, где именно тормозит вот этот вот
> JOIN шести уровней.
> Вообще говоря, Sun Microsystems презентовала DTrace как инструмент для решения проблемы
> с тормозами Oracle.
Соболезную эксплуататорам и разработчикам проприетари. Что еще могу сказать, для нас отладка в проде, как и разработчики ковыряющиеся в проде, это как минимум нештатная ситуация.
| | |
| |
| 6.60, Аноним (-), 14:29, 24/12/2017 [^] [^^] [^^^] [ответить]
| +2 +/– |
соболезную авторам Hello-world. Которым не приходится собирать данные о работе программы в продакшене, из-за какого нить рейса в коде.
| | |
| |
| 7.62, EHLO (?), 15:24, 24/12/2017 [^] [^^] [^^^] [ответить]
| +2 +/– |
> соболезную авторам Hello-world. Которым не приходится собирать данные о работе программы
> в продакшене, из-за какого нить рейса в коде.
Не соболезную анонимам, которые не знают что такое отладка. "продакшену" в котором разработчиком и админом работает один и тот же анонимный эникей-переросток продолжаю соболезновать.
| | |
|
|
|
|
| 3.39, Аноним (-), 03:20, 24/12/2017 [^] [^^] [^^^] [ответить]
| +1 +/– |
> тем, разумеется, кто ни разу не жаждал давать программистам для отладки рутовый
> доступ на прод.
Тяжела и неказиста участь тех кто не смог в контейнеры и виртуалки. А чего такого ужасного если прогер получит рут в виртуалке? Хостеры такого рута вообще каждому встречному раздают.
| | |
|
|
| 1.6, Аноним (-), 13:04, 23/12/2017 [ответить] [﹢﹢﹢] [ · · · ]
| +/– | |
>Уязвимости вызваны восемью ошибками (CVE-2017-16996), появившимися в ядре 4.14
По ссылке уязвимости в 8-ми разных версиях ядра в разных версиях Debian, откуда взята информация про 8-мь ошибок появившихся в ядре 4.14?
| | |
| |
| 2.8, Аноним (-), 14:00, 23/12/2017 [^] [^^] [^^^] [ответить]
| +1 +/– |
The following bug was introduced in 4.9:
* fixed by "bpf: fix incorrect sign extension in check_alu_op()"
The following bugs were introduced in 4.14:
* fixed by "bpf/verifier: fix bounds calculation on BPF_RSH"
* fixed by "bpf: fix incorrect tracking of register size truncation"
* fixed by "bpf: fix 32-bit ALU op verification"
* fixed by "bpf: fix missing error return in check_stack_boundary()"
* fixed by "bpf: force strict alignment checks for stack pointers"
* fixed by "bpf: don't prune branches when a scalar is replaced with
* fixed by "bpf: fix integer overflows"
| | |
|
| |
| 2.15, dasrfatwet (?), 18:09, 23/12/2017 [^] [^^] [^^^] [ответить]
| –2 +/– |
да конечно чтобы рутануть, чтобы майнера установить скрытного в системе так и скажи.
| | |
| |
| 3.18, Аноним (-), 18:24, 23/12/2017 [^] [^^] [^^^] [ответить]
| +6 +/– | |
> да конечно чтобы рутануть, чтобы майнера установить скрытного в системе так и скажи.
Чтобы майнер был незаметным - требуется чемодан-невидимка с батарейками :)
| | |
| |
| 4.32, Аноним (-), 22:04, 23/12/2017 [^] [^^] [^^^] [ответить]
| +1 +/– | |
> Чтобы майнер был незаметным - требуется чемодан-невидимка с батарейками :)
Кстати, если у кого такой чемодан есть - дайте два! И черт с ним, с майнером.
| | |
| |
| 5.54, Аноним (-), 12:32, 24/12/2017 [^] [^^] [^^^] [ответить]
| +/– |
>> Чтобы майнер был незаметным - требуется чемодан-невидимка с батарейками :)
> Кстати, если у кого такой чемодан есть - дайте два! И черт
> с ним, с майнером.
И чёрт с ним, с невидимкой. Пусть будет просто невесомка.
| | |
|
|
|
|
| 1.11, Ilya Indigo (ok), 14:49, 23/12/2017 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– |
 Линус, как всегда, был прав!
Очень плохо, когда заранее объявляют, что данное ядро будет LTS.
Все, кому не лень, а как раз именно те кому лень тщательно тестировать, постараются запихнуть в него по-скорее всё что можно без должного тестирования.
| | |
| 1.12, Аноним (-), 15:28, 23/12/2017 [ответить] [﹢﹢﹢] [ · · · ]
| –1 +/– |
""приведёт к невозможности использования обычными пользователями средств трассировки и анализа производительности на базе eBPF. ""
А обычные пользователи это точно использовали? Описание столь же нелепое как в половины сервисов в оффтопе.
| | |
| 1.13, Аноним (-), 15:54, 23/12/2017 [ответить] [﹢﹢﹢] [ · · · ]
| –1 +/– |
Есть ли где внятное сравнение на счёт пользы от внедрения JIT-та в ядро, мол поставили его себе и у нас маршутизатор на 146% ускорился, ну или там реально системные вызовы залетали, а до этого каждый по одной миллисекунде на вход в ядро тратил?
| | |
| 1.19, Аноним (-), 18:27, 23/12/2017 [ответить] [﹢﹢﹢] [ · · · ]
| –7 +/– | |
>некорректным преобразованием типов и отсутствием должных проверок
c-проблемы "гениальных" программистов
| | |
| |
| 2.21, Michael Shigorin (ok), 19:11, 23/12/2017 [^] [^^] [^^^] [ответить]
| +/– |
 >>некорректным преобразованием типов и отсутствием должных проверок
> c-проблемы "гениальных" программистов
Вы забыли ссылку на своё беспроблемное, хоть и ни разу не гениальное, ядро. Даже необязательно в исходниках.
PS @ 20190213: *своё*, о "преподаватель" _чужой_ матчасти.
| | |
| |
| 3.33, Аноним (-), 23:15, 23/12/2017 [^] [^^] [^^^] [ответить]
| –5 +/– |
>>>некорректным преобразованием типов и отсутствием должных проверок
>> c-проблемы "гениальных" программистов
> Вы забыли ссылку на своё беспроблемное, хоть и ни разу не гениальное,
> ядро. Даже необязательно в исходниках.
вы забыли (если вообще знали) матчасть, Мишенька.
Plan9, Inferno, clive, gopher-os
| | |
| |
| 4.34, ыы (?), 23:49, 23/12/2017 [^] [^^] [^^^] [ответить]
| +2 +/– |
Уточните пожалуйста:
Вы утверждаете что все эти вещи написали Вы?
или же
Вы утверждаете что эти вещи не содержат проблемных мест?
| | |
| |
| 5.36, Аноним (-), 00:49, 24/12/2017 [^] [^^] [^^^] [ответить]
| –6 +/– | |
> Уточните пожалуйста:
пропущена запятая
> Вы утверждаете что все эти вещи написали Вы?
а что, о на этом форуме комментировать могут только те, кто пишут свои собственные ядра?
> Вы утверждаете что эти вещи не содержат проблемных мест?
я утверждаю, что C/C++ и подобные - это априори дыра в безопасности кода, и никакая "гениальность", как любят себя величать программизты этих языков, не помогает почему-то.
| | |
| |
| 6.37, Аноним (-), 01:04, 24/12/2017 [^] [^^] [^^^] [ответить]
| +1 +/– | |
> пропущена запятая
А у вас точно в конце предложения. Кстати.. предложения начинаются с большой буквы. Дальше продолжать будем?
> я утверждаю, что C/C++ и подобные - это априори дыра в безопасности кода
С чего Вы так решили? Или у вас <<ржавчина>> начала проявляться?
| | |
| |
| 7.38, Аноним (-), 01:34, 24/12/2017 [^] [^^] [^^^] [ответить]
| –3 +/– |
>> я утверждаю, что C/C++ и подобные - это априори дыра в безопасности кода
> С чего Вы так решили?
#. статистика;
#. С банально устарел с тех пор как он был придуман;
#. когда язык не загнан насильно в определённые рамки, это чревато последствиями - простая логика;
#. работа с памятью и указателями - проблема создателей реализация языка, и не должна становиться проблемой программиста. инкапсуляция - слышали, нет?;
#. в результате, C - не последний язык который придумали Ричи и Керниган;
> Или у вас <<ржавчина>> начала проявляться?
что-что??
| | |
| |
| 8.41, Аноним (-), 03:28, 24/12/2017 [^] [^^] [^^^] [ответить] | +/– | Статистика ЧЕГО На си написано дофига кода Наверное логично что в дофига кода ... большой текст свёрнут, показать | | |
| |
| 9.43, Аноним (-), 03:55, 24/12/2017 [^] [^^] [^^^] [ответить] | –1 +/– | в том и проблема сколько уже было критических уязвимостей в линуксе и других фу... большой текст свёрнут, показать | | |
| |
| 10.66, Аноним (-), 19:57, 24/12/2017 [^] [^^] [^^^] [ответить] | +2 +/– | Я бы понял эти претензии, если бы за тот же интервал времени не нашлось 100500 к... большой текст свёрнут, показать | | |
|
|
|
|
| 6.40, Аноним (-), 03:22, 24/12/2017 [^] [^^] [^^^] [ответить]
| +/– |
> я утверждаю, что C/C++ и подобные - это априори дыра в безопасности
> кода, и никакая "гениальность", как любят себя величать программизты этих языков,
> не помогает почему-то.
Видный специалист в криптографии и безопасности DJB готов с вами поспорить. Он как раз таки на си написал несколько вполне безопасных программ и даже формально обосновал как делать программы безопаснее. И почему именно так.
| | |
| |
| 7.42, Аноним (-), 03:33, 24/12/2017 [^] [^^] [^^^] [ответить]
| –2 +/– |
>Видный специалист в криптографии и безопасности DJB готов с вами поспорить
да что вы говорите.. и сколько лет у него уйдёт, чтобы переписать Linux и выложить результат в свободный доступ?
> Он
> как раз таки на си написал несколько вполне безопасных программ и
> даже формально обосновал как делать программы безопаснее.
что это за программы, сколько в них строк кода, сколько времени у него на это ушло и кто проверял его код на безопасность?
---
да все вы разглагольствовать мастера. целый зоопарк пыхтит над несчастным пингвином, а из него, подлеца, продолжают лезть букашки..
| | |
| |
| 8.45, . (?), 07:20, 24/12/2017 [^] [^^] [^^^] [ответить] | +1 +/– | Наверное много Но весь прикол в том что на чём то другом - не напишут вообше ... текст свёрнут, показать | | |
| 8.68, Аноним (-), 20:48, 24/12/2017 [^] [^^] [^^^] [ответить] | +/– | Проект размером с Linux неизбежно будет содержать много багов Часть из них окаж... большой текст свёрнут, показать | | |
|
|
| 6.47, Аноним (-), 07:49, 24/12/2017 [^] [^^] [^^^] [ответить]
| +2 +/– |
> я утверждаю, что C/C++ и подобные - это априори дыра в безопасности кода
> Plan9, Inferno, clive, gopher-os
Plan9 - ANSI C
Inferno - C
clive - Что это вообще? Даже гугл ответ не даёт.
gopher-os - Написано на GO, да, но примеры реального применения можно?
| | |
| |
| 7.48, Аноним (-), 09:24, 24/12/2017 [^] [^^] [^^^] [ответить] | –1 +/– | молодец читай дальше спойлер для ленивых там написано что отменено в пользу I... большой текст свёрнут, показать | | |
| |
| 8.49, Аноним (-), 10:11, 24/12/2017 [^] [^^] [^^^] [ответить] | +/– | Я даже спорить не буду, потому что в любом случае в любых ядрах используется асс... текст свёрнут, показать | | |
| |
| 9.52, Ordu (ok), 12:10, 24/12/2017 [^] [^^] [^^^] [ответить] | +/– |  https lesswrong ru w D0 A1 D0 BE D1 84 D0 B8 D0 B7 D0 BC_ D1 81 D0 B5 D1 80 D... текст свёрнут, показать | | |
| |
| |
| 11.63, Ordu (ok), 16:57, 24/12/2017 [^] [^^] [^^^] [ответить] | +/– | Ну я и говорю софизм серого В попытке казаться взрослым и умудрённым опытом ци... большой текст свёрнут, показать | | |
| |
| |
| 13.67, Ordu (ok), 20:45, 24/12/2017 [^] [^^] [^^^] [ответить] | –1 +/– | Очевидно Но ты ведь закончил этим выводом И я не вижу каким образом из этой то... большой текст свёрнут, показать | | |
|
|
|
|
|
| 8.50, Аноним (-), 10:14, 24/12/2017 [^] [^^] [^^^] [ответить] | +/– | Понимаешь в чём проблема, тем, что ты тут перечислил пользуются 2 5 гика Осталь... текст свёрнут, показать | | |
|
|
|
|
|
| 3.86, Джон Ленин (?), 23:09, 23/02/2018 [^] [^^] [^^^] [ответить]
| +/– | |
>Вы забыли ссылку на своё беспроблемное, хоть и ни разу не гениальное, ядро. Даже необязательно в исходниках.
Он какой-то левый утюг запакует щаз, и будет наблюдать как вы его тщетно загрузить пытаетесь.
| | |
|
| 2.51, Ordu (ok), 12:08, 24/12/2017 [^] [^^] [^^^] [ответить]
| +1 +/– |
Ты б в описание багов заглянул, прежде чем утверждать подобное.
| | |
|
| |
| 2.78, Аноним (-), 00:15, 26/12/2017 [^] [^^] [^^^] [ответить]
| +/– | |
> Это eBPF оно мне вообще надо?
Кто тебя знает? Не надо - выключи.
> И почему оно включено по умолчанию?
Потому что разработчикам ядра или майнтайнерам дистра было надо, очевидно.
| | |
| 2.82, EHLO (?), 01:21, 26/12/2017 [^] [^^] [^^^] [ответить]
| +/– | |
> Это eBPF оно мне вообще надо? И почему оно включено по умолчанию?
А где [было написано что] оно включено по умолчанию?
На первый вопрос ответ "нет".
| | |
|
| 1.79, Аноним (-), 00:34, 26/12/2017 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Ну так какой прок от eBPF (где цифры, слайды, видео)?
История успеха, так сказать...
| | |
|
