Сформирован выпуск динамически управляемого межсетевого экрана firewalld 2.1, реализованного в форме обвязки над пакетными фильтрами nftables и iptables. Firewalld запускается в виде фонового процесса, позволяющего динамически изменять правила пакетного фильтра через D-Bus, без необходимости перезагрузки правил пакетного фильтра и без разрыва установленных соединений. Проект уже применяется во многих дистрибутивах Linux, включая RHEL 7+, Fedora 18+ и SUSE/openSUSE 15+. Код firewalld написан на языке Python и распространяется под лицензией GPLv2...Подробнее: https://www.opennet.dev/opennews/art.shtml?num=60397
> "Код firewalld написан на языке Python "Всё таки предлагаем переписать на более безопасном языке, который умеет безопасно работать с памятью.
Уже написан на Python
Надо переписать на Mojo.
"Безопасного языка"? Такого нет. Есть проблемы с базовой подготовкой программиста. А если ты просто кодер выращенный на курсах, то это твои проблемы.
Что ж вам мешало качественно
готовить программистов? Гранты забугорные? )))
Дедов-системщиков хватает. Сидя на своих местах и отъедут в лучший мир,а вот остальное отдано на откуп вебсеминарщикам.
Чего же тогда элитные деды раз за разом выходят за границы буфера?
Это другое!
Дедушка старый, ему всё равно
Чего вы тут снова антимонию про выходы за границы буфера разводите? Чётко сказано, Код firewalld написан на языке Python. В Python границы массивов проверяются.
А , чё эт буква в кинце не будет если ? А , ты не подумал что это язык d ?
Почему не f*?
В каком кинце ты это видел, какую букву.P.S. С Рождеством! ;)
Потому что по другому софта не напишешь. Если брать любой безопастный язычек для реальных задач он всегда на выброс.
Без выхода за границу буфера, use-after-free и целочисленного переполнения нельзя выполнить реальную задачу? Серьезно?
а гугл уже миллионы строк кода на нем написал и планирует писАть больше. Декларируют намерения сокращать использование дыряшки и увеличивать растишки. Наверное они не знают чего-то, что знаешь ты. Иди, объясни им насколько они неправы. Думаю, тебе за это даже денег отвалят, если докажешь.
С такими деньгами можно хоть на какой вариант перейти скринь вот только что у griggorii появился язык zdisassembler , zjit и все такое в новом компиляторе и его могут начать подкрадывать или ты думаешь что этот человек шутит тебе что ли про lz и все остальное?
Ты вот тут слюной брызжешь, а в то же самое время гугл для исправления Go нанял гуру создателя C чтобы из Go хоть что-то не убогое получилось.
А в итоге в оси Fuchsia , которая гуглом готовится на смену андроиду линуксом запускаемому и звук обрабатывающему, почему собственно ALSA развивалась под это дело признали убогость Go и пошли переписывать сетевой стек с Go на Сишечку воен ты недоделанный.
Хоть бы поинтересовался тем о чем пишешь.
libvirt поддерживает. Даже в багтрекинге отвечают сравнительно быстро и приемлемо. Иш ты.
Чем он лучше ufw ?
Проще найти в интернете чем United Farm Workers
Ну хотя бы тем, что поддерживает зоны, а в ufw приходится городить костыли, если тебе нужны разные уровни доверия для разных мест.
firewall-cmd -- реально удобная утилита
Главнoе забыли - есть поддержка в OpenWrt)
на данный момент единственная адекватная ОС для т.н. Desktop PC это, безусловно, Windows 10
Чё как попугаи знаете же что хорошую операционку может изготовить только только griggorii , нет надо мешать и решать в пользу каких то копираитеров , для сведения его ядро 5.6.0 до сих пор самое быстрое в мире в бенчах и есть sandbox и все остальное. Писал ему в телегу говорит что готовит дистрибутив для разработчиков как раз на самом быстром ядре и версии убунту 22.04 , очень быстрая система выходит будет новый llvm , clang в придачу Угловский компилятор с gold кросс компилчтором и оставлен gcc-9 как самый стабильный на сегодня , ваша задача лишь ждать.
Спасибо, но уже есть ЗоринОС.
Спасибо, но уже есть Hackintosh)
Для сведения его ядро 5.6.0, судя по номеру версии, не самое бездырявое.
Все ядра которые от корпорации это все равно уже уязвимость. Свое если начнёшь делать то станешь теми же что и они почитателями sync чужой дистр и новый релиз с новыми библиотеками у корпорации на выходе , что то типа трекера только теперь наоборот корпорация крадёт библиотеки пользователя и делает за счёт этого дистрибутив , а разработчик пользователь ну всего то лишь пересобрал тысячу пакетов и не спал одну ночь.
Полноценных аналогов программ от Adobe и Microsoft ещё нет, но за то дистрибутивов от таких рода васян +100500.
Некоторые васянские дистрибы запускают желаемый вами софт в виртуалках.
Вы прям представляете себе, профессионала который этом зарабатывает, ставит linux и костылями запускает FL Studio, потом обрабатывает обложку в Photoshop, считает смету в Exel и с чувством выполненного долга начинает торговать на бирже? Мисье знает толк...
Ну вот я торгую на бирже. Основная система - Debian, в виртуалках с Квиком и Метатрейдером - он же. Винды дома нет уже много лет.
И да, никакими надстройками над iptables/nftables не пользуюсь, и, думается, моя конфигурация с двумя каналами, pbr, автопереключением каналов и динамическими чёрными списками будет для таких надстроек сложновата.
Смету в LO Calc никак не посчитать. Бяда-бяда.
Это не дистрибы позволяют, это виртуалки позволяют. Правда, зачем эти промежуточные костыли — непонятно.
Полноценных аналогов чтобы именно как запатентовано и быть не должно. В этом суть избавления от конкурентов, а не то что никто так неспособен наляпать и бренд разрекламировать для тупых обывателей чтобы потом вещать что вот мол видите? Нет аналогов программам на слуху! (лапше на ушах).
Твое убожество не позволяет признать что есть студии которые пользуются не адобом и есть именитые влогеры типа LTT на тытрубе что считали какова разница в их производственном цикле и насчитали 10% для их нужд сравнив это с каким-то калом в вакууме и повещав что так дешевле будет когда на деле все упирается в расходы на зряплаты, аренду и электричество в сэшэёпии. 10% тогда не значит что не выгоднее вкинуть больше в качество железа и отказаться от платных аналогов программ.
> Нет аналогов программам на слуху!Аналоги есть. Но опять же линукс в пролёте.
Опять васянская сборка с Gnome и SystemD?
>для открытия доступа к SSH нужно выполнить "firewall-cmd --add --service=ssh",И оно вам откроет вход как из внутренней сети, так и снаружм. Захоти, кто хочет! Брутфорсь, плз!
>для закрытия SSH - "firewall-cmd --remove --service=ssh")
А тут засада, пользователи локалки на ваш сервер перестанут попадать.
Вот такое оно упрощение.
Для нужных людей явное упрощение.
"Документацию не читай - каменты строчи"В статье приведен самый простой вариант команды.
firewall-cmd --add-service=ssh --zone=internal -- так понятнее?
>так понятнее?правда ssh у нормальных людей висит НЕ на 22м порту.... в общем, у меня первым делом делается
dnf -y remove firewalld-filesystem firewalld ebtables
)
Открою секрет. Только тссс-с. Никому!Для firewalld это не проблема.
>Для firewalld это не проблема.я во времена релиза 0.3.14 вашего фиреволд уже 15 лет как админил, ещё ipchains застал. очень рад за ваше $"ненужно", что оно даже умеет нестандартные порты.
>>Для firewalld это не проблема.
> я во времена релиза 0.3.14 вашего фиреволд уже 15 лет как админил,
> ещё ipchains застал. очень рад за ваше $"ненужно", что оно даже
> умеет нестандартные порты.Ещё секретик: знания в сфере айти имеют свойство протухать. И за гораздо более короткий чем 15 лет период. Да-с
Скока ставишь на фраерволд?А то я как-то успел пережить и халд, и артс, и пульсу так и не тронув палкой. Монтирую как диды на палках что бсд, что линуксы через терминал, альсу настроил хз сколько лет назад на 5.1, так и живёт. А за это время уже три звуковых сервера сдохли. Страшно жить, с такими протухшими знаниями. Когда там очередной тухес? >_<
> правда ssh у нормальных людей висит НЕ на 22м портуОткройте же секрет, в чем смысл, сего бесполезного действа?
Я понимаю fail2ban, я понимаю спрятать за port-knocking/single-packet-auth, я понимаю спрятать во внутренней сети за vpn. В конце концов я понимаю (и призываю) использовать ключи вместо паролей даже, если не «прятать» порт ssh и открыто оставлять снаружи. Я не понимаю смысла переноса порта, сканер портов также легко его найдет, будь он хоть 22, хоть 443 (чтобы никто не догадался), хоть 53221
Тогда уже лучше вешай на ipv6-адрес, а не занимайся ерундой
>> правда ssh у нормальных людей висит НЕ на 22м порту
> Откройте же секрет, в чем смысл, сего бесполезного действа?
> Я понимаю fail2ban, я понимаю спрятать за port-knocking/single-packet-auth, я понимаю
> спрятать во внутренней сети за vpn. В конце концов я понимаю
> (и призываю) использовать ключи вместо паролей даже, если не «прятать» порт
> ssh и открыто оставлять снаружи. Я не понимаю смысла переноса порта,
> сканер портов также легко его найдет, будь он хоть 22, хоть
> 443 (чтобы никто не догадался), хоть 53221
> Тогда уже лучше вешай на ipv6-адрес, а не занимайся ерундойСмысл есть, хоть и незначительный. Существует огромное количество каких-то тупых ботов, которые ничего не сканируют, а ломятся именно на 22. Простейший способ их отшить - перевесить порт, тем более, что это не несёт никаких трудозатрат.
>Смысл есть, хоть и незначительный.Я кажется понял, более чистые логи, с меньшим количеством ошибок аутентификации.
>Откройте же секрет, в чем смысл, сего бесполезного действа?лично на моих серваках на выбранном порту в диапазоне 4ххххх брутфорсов НЕТ ВООБЩЕ.
по второй части вопроса, вижу, что тебе ответ не нужен. как и мне твои советы
> лично на моих серваках на выбранном порту в диапазоне 4ххххх брутфорсов НЕТ ВООБЩЕ.Много бы набрутфорсили при выключенной аутентификации по паролю? Или твои серваки - это esp32 и даже десяток обычных запросов к ним - их положит?
У меня тоже нет брутфорса на ssh, не смотря на то что я не занимаюсь ерундой в надежде что никто таки не просканит порты для своих целей. Смена порта ssh - это не про защиту сервера, подходи к задаче соответственно. Ах да, тебе же не нужны советы…
>Много бы набрутфорсили при выключенной аутентификации по паролюты идийот. даже 5-символьный несловарный пароль по ssh никогда в жизни не подберешь. речь вообще не про опасность подбора....
Речь не про опасность подбора, речь про фикцию, которую ты считаешь средством безопасности. Ты, кстати, так и не озвуЧил от чего же ты таким образом защищаешься переопределением порта ssh, поэтому я могу и буду доводить до абсурда твои предыдущие сообщения таким образом, которым только захочу
Смысл, например, в том, что сканер сначала стукнется на 22 или любой другой закрытый порт и тут же попадёт в бан на несколько часов.
ebtables и без firewald живёт. Чем он тебе помешал?
А чем он лучше/хуже ufw, который идет по умолчанию в Ubuntu?
> динамически изменять правила пакетного фильтра через D-BusА эта штуковина (D-Bus) уже доступна на серверных дистрибутивах без графической оболочки? Тут у многих фиксация на systemd, но меня именно этот момент коробит. Если оно чисто для пользовательских дистрибутивов - то я не понимаю зачем оно?
Системд не пашет без дбаса. Так что вполне годится для системных администраторов системд иметь и такой фаервол на питоне. В духе линукса.
икспертиза опеннет во всей красе
Так чтоб firewall-cmd или NetworkManager могли команды по D-Bus посылать firewald'у. Inter Process Communication (IPC) это называется.
Что-то не видно убунты в списках.
> Что-то не видно убунты в списках.Потому что он на шляпообразных дистрах живёт
На Ubuntu можно поставить из реп. Старую версию, но можно.
Чисто серверная приблуда, это не application firewall.
Если кому нужен фаервол для десктопа - попробуйте Opensnitch
> попробуйте Opensnitchв репах то его не виднео
>Если кому нужен фаервол для десктопа - попробуйте WindowsПоправил, не благодари. За одним "desktop" получишь - вместо "троллейбуса-из-буханки".
Ну раз тебя именно офтоп-десктоп устраивает лучше, так чего ты тут делаешь?
> Ну раз тебя именно офтоп-десктоп устраивает лучше, так чего ты тут делаешь?Ну, онтоп _десктоп_ меня не устраивает примерно "совсем" - но "десктопом" этот самый "онтоп" не ограничивается. Не то, чтобы в серверном сегменте оно сильно лучше было - но штош...
Под дулом автомата заставляют злые столманогевары ;)
> Под дулом автомата заставляют злые столманогевары ;)Не, сначала с доскерами\шмоскерами\бубернетесами и мелкософта как-то... не задалось, потом у 1\6 части суши с мелкосоптом не сложилось - в итоге маемо шо маемо.
Лет 20 на shorewall сижу. Очень нравится, привык. Но только обновлений с 2020 нет. Так что возможно придётся переползать.
Лучший фронтенд для фаерволла. Но из минусов - нельзя один и тот же IP источника в две разные зоны добавить. Например, создаёшь зону для Zabbix серверов и зону для Bareos серверов. И они не могут пересекаться.