https://opennet.dev/openforum/vsluhforumID3/124593.html В ядре Linux выявлена уязвимость (CVE-2021-33624), позволяющая использовать подсистему еBPF для обхода защиты от уязвимостей класса Spectre, дающих возможность определить содержимое памяти в результате создания условий для спекулятивного выполнения определённых операций. Для атаки Spectre требуется наличие в привилегированном коде определённой последовательности команд, приводящих к спекулятивному выполнению инструкций. Через манипуляцию с передаваемыми для выполнения BPF-программами можно добиться генерации подобных инструкций в еBPF и добиться утечки по сторонним каналам содержимого памяти ядра и произвольных областей физической памяти...<br><br>Подробнее: https://www.opennet.ru/opennews/art.shtml?num=55371<br> https://opennet.dev/openforum/vsluhforumID3/124593.html#189 Fri, 25 Jun 2021 09:08:04 GMT curl https://make-linux-fast-again.com<br> https://opennet.dev/openforum/vsluhforumID3/124593.html#188 Thu, 24 Jun 2021 22:22:06 GMT Пора переходить на RISC-V.<br> https://opennet.dev/openforum/vsluhforumID3/124593.html#187 Thu, 24 Jun 2021 20:18:02 GMT Отличный пример перехода от синтаксиса iptables к синтаксису nft получился :D<br><br>Так-то да, согласен, там не чистая императивность, и не чистая декларативность.<br><br>Участие conntrack например явно декларативно, "мы тут NAT сделали, а теперь паши, родимый".<br><br>Для декларативности же правил конкретно не хватает того, что я уже написал в примере tcpdump vs iptables, в iptables нам приходится конкретику описывать. Вида "если до роутинга (PREROUTING) пришло на порт UDP 1234 (-p udp -m udp --dport 1234) нас самих, заменить назначение на 1.2.3.4 (-j DNAT --to 1.2.3.4)", и ещё с дополнением - "пропуская трафик (FORWARD), разрешить пакеты отовсюду в сторону 1.2.3.4:1234 (-d 1.2.3.4 -p udp -m udp --dport 1234)", которое обязано учитывать поменявшуюся в первом императиве ситуацию.<br><br>Чисто декларативным аналогом правил выше является например функция "проброс портов" в интерфейсах роутеров: "пробросить порт 1234 на сервер 1.2.3.4" - там есть это самое "как-нибудь", которое декларативный интерфейс разбирает в императив тог https://opennet.dev/openforum/vsluhforumID3/124593.html#186 Thu, 24 Jun 2021 20:04:04 GMT &gt; Я бы сравнил цепочки iptables с <br>&gt; function some_chain(packet) <br>&gt; { <br>&gt; if (condition1) some_cool_action_1; <br>&gt; if (condition2) { packet.action = J_ACCEPT; return true; } <br>&gt; if (condition3) { packet.action = J_REJECT; return true; } <br>&gt; if (condition4) { if (some_subchain(packet)) return true; } <br>&gt; ...<br>&gt; return false; <br>&gt; } <br><br>Ну это и есть декларативное программирование. То что оно в C оно синтаксически не отличается -- это лишь ограничения C'шного синтаксиса. Хотя, с другой стороны, даже в C ты не будешь так делать, потому что написанное не позволяет тебе собирать цепочки в рантайме. Ты будешь делать примерно так:<br><br>struct Rule {<br> bool (*condition)(struct Packet *p, struct Environment *e);<br> enum ActionReturns (*action)(struct Packet *p, struct Environment *e);<br>};<br><br>Потом ты напишешь что-то типа:<br><br>void netfiler_do_chain(struct Rule chain[], size_t n, struct Packet *p) {<br> struct Environment e = make_environment();<br> for(i = 0; i &lt; n; i ++) {<br> switch(chain[i].cond https://opennet.dev/openforum/vsluhforumID3/124593.html#185 Thu, 24 Jun 2021 19:41:58 GMT То, да не то.<br>Многие -j являются заодно эквивалентом return, после чего flow прерывается, в этом очень существенное отличие от декларативного варианта.<br>Сложные вещи строятся на gosub'ах, но они являются частью императивного flow, не образуя законченных цепочек исполнения, и могут вывалиться в return на любом этапе.<br>И т.д. и т.п.<br><br>Я бы сравнил цепочки iptables с<br><br>function some_chain(packet)<br>{<br> if (condition1) some_cool_action_1;<br> if (condition2) { packet.action = J_ACCEPT; return true; }<br> if (condition3) { packet.action = J_REJECT; return true; }<br> if (condition4) { if (some_subchain(packet)) return true; }<br> ...<br> return false;<br>}<br> https://opennet.dev/openforum/vsluhforumID3/124593.html#184 Thu, 24 Jun 2021 18:19:23 GMT Отличительная черта императивщины, от декларативщины ведь в наличии control-flow, iptables позволяет настраивать data-flow.<br><br>Скажем такие штуки, как:<br><br>Window::new()<br> .title("My Window")<br> .width(800)<br> .height(600)<br>...<br><br>считаются функциональщиной, так же как, я не знаю:<br><br>let result = my_array.iter()<br> .filter(&#124;x&#124; x &lt; 42)<br> .map(&#124;x&#124; x*x)<br> .collect();<br><br>В императивном стиле то же самое будет выглядеть как:<br><br>let mut result = Vec::new();<br>for x in my_array {<br> if x &lt; 42 {<br> result.push(x*x)<br> }<br>}<br><br>Во втором случае явно описывается control-flow, в первом описывается data-flow. А в первом случае, это ведь почти цепочка фильтров-преобразований как в iptables.<br> https://opennet.dev/openforum/vsluhforumID3/124593.html#183 Thu, 24 Jun 2021 14:26:36 GMT &gt; как обычно, промахнуться своими фантазиями мимо реальности <br>&gt; (или где там на скрине можно путти с десяточкой увидеть?) <br><br>Как на чужом компе это можно было разглядеть?))<br><br><br> https://opennet.dev/openforum/vsluhforumID3/124593.html#182 Thu, 24 Jun 2021 13:00:55 GMT Чисто для сравнения.<br><br>tcpdump тебе на port 1234 отдаст и tcp и udp и чёрта лысого<br>Вот это - декларативщина. Где он сам разберётся, где у него порт.<br>А в iptables тебе надо -p tcp или -p udp эксплицитно, да ещё и -m tcp / -m udp загрузить, чтобы --dport сработал. А если диапазон, то уже multiport отдельным указанием.<br> https://opennet.dev/openforum/vsluhforumID3/124593.html#181 Thu, 24 Jun 2021 12:59:02 GMT Ну вот MASQUERADE как раз и "не рецепт". Точнее, на половину "не рецепт".<br>А SNAT и DNAT - вполне себе "рецепты".<br>ACCEPT, REJECT - 100% рецепты.<br>И много чего прочего.<br>Ну и матчи - абсолютные рецепты по пакету, просто оформленные человеческим языком - в любом случае тебе к порту придётся протокол указывать :D Да ещё и какой модуль вгрузить.<br>