https://opennet.dev/openforum/vsluhforumID3/130944.html В ядре Linux выявлены три уязвимости:...<br><br>Подробнее: https://www.opennet.ru/opennews/art.shtml?num=59409<br> https://opennet.dev/openforum/vsluhforumID3/130944.html#107 Tue, 11 Jul 2023 19:16:45 GMT &gt; При чём тут это? &#171;Поделка&#187; вызывает ровно тот же iptables и загружает в него совершенно обычные<br>&gt; правила<br><br>нет. На этом, действительно, можно было бы и закончить. То есть ты темой не владеешь абсолютно.<br><br>&gt; Что там было ты не знаешь, как работало не присматривался. <br><br>я знаю что там было, но меня не интересовали замеры с секундомером. Вот число правил я знаю, потому что да, с некоторой опаской периодически пересчитывал - многовато будет. И присматривался я к работе системы, по ее основному профилю. Она работала, остальное - совершенно неинтересно.<br><br>Траффик в килобитах - это вот _твой_ уровень экспертизы, потому что я назвал область применения.<br><br>Да, тогда в целом было лучше почти все - наследие тех времен когда код писали (да и все остальное делали) еще свободные люди для себя или для самовыражения, а не галерные индусы. Сейчас оно практически полностью прое...но.<br><br><br> https://opennet.dev/openforum/vsluhforumID3/130944.html#106 Tue, 11 Jul 2023 18:38:45 GMT &gt; поделки <br><br>При чём тут это? &#171;Поделка&#187; вызывает ровно тот же iptables и загружает в него совершенно обычные правила, ровно так же, как ты это на баше делал в 2012.<br><br>&gt; Сколько оно там загружалось (в one true iptables, разумеется, а не в новой модной поделке) - не могу сказать<br><br>На этом, в общем-то, можно и закончить. Что там было ты не знаешь, как работало не присматривался. А там того гляди выяснится, что правил у тебя было на два порядка меньше, и трафик измерялся в килобитах. Вся суть экспертизы поха: что-то как-то где-то было, но как именно, где и что за давностью лет уже не помнит, но по ощущениям &#8212; точно было лучше, чем сейчас, потому что тогда вообще всё было лучше.<br> https://opennet.dev/openforum/vsluhforumID3/130944.html#105 Tue, 11 Jul 2023 17:31:21 GMT Жир аж стекает с экрана.<br>В очередной раз удивляюсь, почему все так любят троллить в комментах. Да, в них более мощные средства мета-коментирования и клевая оптимизация. Но его меньшая дружелюбность до сих пор аукается кучей проблем. Да, не все могут нормально в них писать. Я в школе писал на доске без спеллчекера. Я могу. У меня словарь в голове. А индусы пусть дальше пишут в прощающих все возможные ошибки социалках.<br> https://opennet.dev/openforum/vsluhforumID3/130944.html#104 Mon, 10 Jul 2023 18:59:47 GMT Ну я не знаю чем там ебеме страдал - у меня оно было в 2012м и это ни разу не были поделки подобного типа. Возможно в этом и причина.<br><br>Причем на железе казавшемся ретро уже в том 12м. (какой красочки украли...)<br><br>Сколько оно там загружалось (в one true iptables, разумеется, а не в новой модной поделке) - не могу сказать, но ни разу не было поводов присматриваться.<br>Проблемы со скоростью прохода по цепочке при желании можно было бы увидеть, но это надо было бы загрузить хост совершенно ему несвойственной деятельностью, а на том чем он был занят оно не отражалось, там своих совершенно других проблем хватало. <br><br>(софтсвитчи у нас с такими правилами были, если что, т.е. это не результат деятельности fail2ban или еще чего безмозглого)<br><br> https://opennet.dev/openforum/vsluhforumID3/130944.html#103 Mon, 10 Jul 2023 18:48:57 GMT Одно из достоинств Гарвардской архитектуры заключается в том, что повреждение памяти данных не приводит к повреждению данных команд.<br> https://opennet.dev/openforum/vsluhforumID3/130944.html#102 Mon, 10 Jul 2023 17:51:05 GMT &gt; скорее так - в районе 10k правил на цепочку _можно_ ухитриться вляпаться в проблемы.<br><br>С 10k правил на цепочку получаешь практически гарантированные проблемы и с тем, что пакеты матчатся уже заметно долго, особенно для правил в хвосте цепочки, и с тем, что загрузка фаерволла в память занимает заметное на глаз время. IBM про это рассказывал ещё в 2019, в контексте массивных деплоев кубернетеса у их клиентов с тысячами и десятками тысяч сервисов на кластер.<br> https://opennet.dev/openforum/vsluhforumID3/130944.html#101 Mon, 10 Jul 2023 13:14:52 GMT &gt;смысла нет, один фиг находят достаточно быстро<br><br>а у меня не находят, десятки серверов торчат в инет годами. никто ничего не перебирает на портах в духе 43854<br><br>&gt;Переход на ключи позволяет полностью избежать угрозы брутфорса<br><br>"угрозы брутфорса" нет в любом случае с несловарными паролями. есть дискомфорт от сообщений о "ххх неверных попыток"<br> https://opennet.dev/openforum/vsluhforumID3/130944.html#100 Mon, 10 Jul 2023 13:09:26 GMT &gt;видимо в раче единственный школьник не справился<br><br>понтующийся бабуановец, пытающийся убедить себя в том, что насильно впаренный ему nft не гuано.<br><br>в арче и то и то можно поставить. это конечно школьник-way<br><br>&gt;кажется и в 7ом уже это nftables<br><br>нюню<br> https://opennet.dev/openforum/vsluhforumID3/130944.html#99 Mon, 10 Jul 2023 09:49:24 GMT &gt; прадеды <br><br>Не-не! Там выше все ходы записаны - "и деды, и прадеды" - это pf\ipfw, а я еще через ipf ftp пропихивал - видимо, совсем уж былинные времена, до слезания с пальмы...<br>