The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]



"Релиз ядра Linux 4.13"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Релиз ядра Linux 4.13"  +/
Сообщение от opennews (ok), 04-Сен-17, 07:55 
После двух месяцев разработки Линус Торвальдс представил (https://lkml.org/lkml/2017/9/3/155) релиз ядра Linux 4.13 (https://www.kernel.org/). Среди наиболее заметных изменений: встроенная реализация протокола TLS, плагин для рандомизации порядка полей в структурах данных,  функциональность "lifetime hints" в VFS, поддержка буферизированного ввода/вывода в неблокирующем режиме, модуль для зонированных блочных устройств, расширение лимита на число файлов в директории ext4, поддержка привязки BPF-программ к сокетам, средства оптимизации энергопотребления через прогнозирование следующего прерывания.

В новую версию принято более 12 тысяч исправлений от 1400 разработчиков, размер патча - 68 Мб (изменения затронули 10647 файлов, добавлено 824508 строк кода, удалено 228197 строк). Около 45% всех представленных в 4.13 изменений связаны с драйверами устройств, примерно 18% изменений имеют отношение к обновлению кода специфичного для аппаратных архитектур, 15% связано с сетевым стеком, 4% - файловыми системами и 3% c внутренними подсистемами ядра.

Основные (http://kernelnewbies.org/Linux_4.13) новшества (https://lwn.net/Articles/727852/):

-  
Дисковая подсистема, ввод/вывод и файловые системы


-  В виртуальную файловую систему и уровень блочных устройств добавлены признаки со сведениями о времени жизни данных ("lifetime hints"), которые могут быть привязаны к открытому файлу при помощи системного вызова fcntl(). Например, признак RWH_WRITE_LIFE_SHORT сигнализирует, что данные предназначены для хранения короткое время, а признак RWH_WRITE_LIFE_EXTREME  указывает на то, что данные останутся навсегда. Устройство хранения может использовать данные признаки для оптимизации размещения данных с учётом ожидаемого времени их хранения. В настоящее время только драйвер NVMe учитывает эти сведения;

-  Поддержка (https://lwn.net/Articles/724198/) буферизированного ввода/вывода на блочном уровне в неблокирующем режиме. Новая возможность позволяет улучшить поддержку асинхронного ввода/вывода в условиях, когда используется буферизированный ввод/вывод;

-  Для Device Mapper реализован новый модуль dm-zoned (https://www.kernel.org/doc/Documentation/device-mapper/dm-zo... позволяющий создавать зонированные блочные устройства в которых применяются разные правила записи в различные части устройства. Например, устройства в которых одна зона может допускать только запись в последовательно идущие блоки. Модуль  dm-zoned даёт возможность представить подобное зонированное устройство как обычное блочное устройство, скрывая применяемые в процессе работы ограничения записи;


-  В файловой системе ext4 реализована опция  "largedir", при указании которой увеличивается число файлов, которое может размещаться в одной директории. Без данной опции действует лимит на 10 млн файлов в одной директории, а при указании опции "largedir" лимит увеличивается до 2 миллиардов файлов;


-  Добавлена возможность увеличения хранилища расширенных атрибутов файлов в ФС ext4 для обеспечения хранения большего числа атрибутов для одного файла. Каждый атрибут может содержать до 64 Кб информации. В ext4 также добавлена поддержка дедупликации расширенных атрибутов, позволяющая фактически хранить только одну копию атрибута, применённого к нескольким файлам;

-  Добавлен механизм (https://lwn.net/Articles/724307/) для более надёжного информирования приложений в пространстве пользователя об ошибках, возникающих в процессе выполнения операций отложенной записи (writeback);

-  В F2FS, развиваемой компанией Samsung высокопроизводительной файловой системе для Flash-накопителей,  обеспечена поддержка дисковых квот;

-  В F2FS, UBIFS и Btrfs добавлена поддержка системного вызова statx() с реализацией более эффективного и функционального варианта stat(), возвращающего расширенную информацию о файле, включая время создания файла и специфичные для файловых систем флаги;

-  В XFS добавлена поддержка опций SEEK_HOLE и SEEK_DATA системного вызова lseek() для выявления пустых областей и блоков данных внутри файла;

-  В файловой системе OverlayFS добавлена поддержка индекса директории , позволяющая выполняь операции копирования между слоями без повреждения жестких ссылок;

-  Добавлена возможность повторного экспорта NFS-раздела поверх NFS;


-  
Виртуализация и безопасность

-  Добавлена реализация (https://lwn.net/Articles/666509/) протокола TLS на уровне ядра, использование которой позволяет добиться повышения производительности при обработке протоколов, подобных HTTPS;


-  В состав системы сборки включен плагин к GCC (http://www.openwall.com/lists/kernel-hardening/2017/04/06/14) для рандомизации раскладки структур данных, который на этапе сборки делает непредсказуемым следование полей в структурах и затрудняет проведение атак, базирующихся на знании раскладки структур в ядре. Плагин портирован из патчей проекта grsecurity;

-  В состав модуля AppArmor включен (https://lkml.org/lkml/2017/6/10/162) код обработки меток на процессы ("domain labeling"), разработанный и применяемый в Ubuntu. В будущих выпусках ожидается продолжение интеграции улучшений, разработанных командой  Ubuntu для AppArmor;

-  
Сетевая подсистема

-  Обеспечена раздельная обработка sysctl tcp_sack, tcp_window_scaling и tcp_timestamps  для каждого пространства имён сетевой подсистемы (network namespace);

-  В getsockopt()  добавлена поддержка новой команды SO_PEERGROUPS, возвращающей список всех групп, в которые входит сокет;
-  Представлен (https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/lin... новый тип BPF-программ -  BPF_PROG_TYPE_SOCK_OPS, который позволяет организовать вызов BPF-программы на различных стадиях обработки сокетов и применяться для корректировки параметров соединения, таких как размер буферов, начального окна,  SYN/SYN-ACK RTO и т.п.


-  
Память и системные сервисы

-  Добавлены средства (https://lwn.net/Articles/673641/) прогнозирования следующего прерывания, которые позволяют повысить эффективность принятия решений, связанных с управлением питанием;
-  В утилиту perf добавлена опция "--smi-cost", позволяющая оценить затраты на обработку прерываний системного управления (SMI - System Management Interrupt, для выполнения кода в режиме SMM (https://ru.wikipedia.org/wiki/System_Management_Mode));

-  Инициатива по оформлению (https://kernel.org/doc/html/latest/) документации к ядру  с использованием разметки  reStructuredText (https://ru.wikipedia.org/wiki/ReStructuredText) (RST) и пакета Sphinx (http://www.sphinx-doc.org/) достигла важного рубежа - все ранее доступные шаблоны DocBook преобразованы в reStructuredText. Компоненты для поддержки DocBook удалены;
-  Для каждой  BPF-программы теперь генерируется и назначается уникальный идентификатор, который может использоваться для получения файловых дескрипторов к объектам BPF из пространства пользователя;
-  Реализована первая стадия оптимизации процесса вытеснения в раздел подкачки больших страниц памяти (Transparent Huge-Pages). Если до сих пор первым этапом вытеснения в раздел подкачки было разбиение больших страниц не маленькие, то в ядре 4.13 подобное разбиение откладывается до момента распределения места в разделе подкачки и учёта кэша подкачки. Подобное изменение уменьшает конфликт блокировок, что отражается в росте производительности примерно на 15%. В будущих ядрах  разбиение больших страниц планируется отложить до момента фактической записи в раздел подкачки или чтения из него;

-  
Оборудование

-  Для архитектуры s390 реализованы пятиуровневые таблицы страниц памяти, которые позволяют адресовать до 16 эксабайт ОЗУ;


-  В DRM-драйвере (Direct Rendering Manager) Nouveau обеспечена поддержка средств HDMI для стереоскопического и 3D вывода;

-  В DRM-драйвере AMDGPU добавлена ограниченная начальная поддержка GPU  AMD Raven Ridge;...

URL: https://lkml.org/lkml/2017/9/3/155
Новость: http://www.opennet.dev/opennews/art.shtml?num=47126

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по времени | RSS]


1. "Релиз ядра Linux 4.13"  –21 +/
Сообщение от A.Stahl (ok), 04-Сен-17, 07:55 
>включен плагин к GCC для рандомизации раскладки структур данных

А БСДшники недавно с такой помпой сообщали о чём-то подобном, что казалось, что их секьюрити-шмукьюрити впереди планеты всей, а оказывается они просто раздули очередную муху до больших габаритов.
>Плагин портирован из патчей проекта grsecurity;

Ребята допрыгались -- сейчас их полезные наработки "раздеребанят", самые интересные включат в ядро на постоянной основе, а про grsecurity вообще забудут.

Ответить | Правка | Наверх | Cообщить модератору

27. "Релиз ядра Linux 4.13"  +12 +/
Сообщение от Крутой аноним (?), 04-Сен-17, 10:46 
> Ребята допрыгались -- сейчас их полезные наработки "раздеребанят"

ИМХО, после того как и патч уводил ядро в панику при выполнении
такой команды: `script /dev/null < /dev/zero`:
https://twitter.com/marcan42/status/724745886794833920

а на сообщение об ошибке они забанили человека, который это нашел,
я думаю туда им и дорога

Ответить | Правка | Наверх | Cообщить модератору

162. "Релиз ядра Linux 4.13"  +/
Сообщение от Аноним (-), 05-Сен-17, 21:00 
Дарю идею: если в startup ядра устроить deadlock, желательно еще до декомпрессии - систему вообще никто не взломает.
Ответить | Правка | Наверх | Cообщить модератору

56. "Релиз ядра Linux 4.13"  +17 +/
Сообщение от Аноним (-), 04-Сен-17, 14:59 
>> включен плагин к GCC для рандомизации раскладки структур данных
> А БСДшники недавно с такой помпой сообщали о чём-то подобном,

Смотрит внимательно
https://marc.info/?l=openbsd-tech&m=149732026405941
> Over the last three weeks I've been working on a new randomization

feature which will protect the kernel
> That change is scaffolding to ensure you boot a newly-linked kernel
> upon every reboot.  The base set now contains a "link-kit" of the .o's
> from the compile directory, so that a new random kernel can be linked
> together.  It is linked automatically in the background by the rc scripts, and installed as /bsd

и правда, помпезность и схожесть
> рандомизации раскладки структур данных

аж зашкаливают!

Кстати, можно ли на опеннете фильтровать сообщения по нику?

Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

117. "Релиз ядра Linux 4.13"  +3 +/
Сообщение от Пох (?), 05-Сен-17, 04:37 
Бедняга, БСД не дает ему покоя.
Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

2. "Релиз ядра Linux 4.13"  –6 +/
Сообщение от zloykakpes (ok), 04-Сен-17, 07:56 
> В файловой системе ext4 реализована опция "largedir"

Интересно, а для чего это? Где может понадобиться хранение даже 10млн файлов в одной директории? Быстрее же доступ будет если как-то сортировать файлы по куче директорий, чем по одной с таким количеством.

Ответить | Правка | Наверх | Cообщить модератору

3. "Релиз ядра Linux 4.13"  +5 +/
Сообщение от Аноним (-), 04-Сен-17, 08:18 
> Где может понадобиться хранение даже 10млн файлов в одной директории?

На серверах Гугля, например. Или какого-нибудь АНБ.

Ответить | Правка | Наверх | Cообщить модератору

4. "Релиз ядра Linux 4.13"  –5 +/
Сообщение от Аноним (-), 04-Сен-17, 08:36 
Зачем? Папки не просто так придумали, это реалньо удобно. Даже если у АНБ будет папка "Вася", в которой по нему будет вся инфа, как часто душ принимает, номера телефонов, кред. история и тп. все равно лучше по папкам распихивать, а еще лучше в БД. 10 миллионов звучит как оверкилл, а 2 мильярда как оверфакингкилл.
Ответить | Правка | Наверх | Cообщить модератору

5. "Релиз ядра Linux 4.13"  +7 +/
Сообщение от A.Stahl (ok), 04-Сен-17, 08:38 
Я так и не понял что же этот папка Вася придумал.
Ответить | Правка | Наверх | Cообщить модератору

6. "Релиз ядра Linux 4.13"  –1 +/
Сообщение от A.Stahl (ok), 04-Сен-17, 08:42 
> в которой по нему будет вся инфа

Ты предлагаешь анализировать все данные, которые проходят через них? Они не идиоты, поэтому просто, скорее всего, сваливают всё на кучу, а если вдруг что-то нужно, то начинают эту кучу разгребать. Да и незаконно это -- анализировать данные безосновательно.

Ответить | Правка | К родителю #4 | Наверх | Cообщить модератору

145. "Релиз ядра Linux 4.13"  +2 +/
Сообщение от Аноним (-), 05-Сен-17, 14:19 
Вообще их и собирать безосновательно незаконно, не говоря даже о моральной стороне вопроса, но кого это когда останавливало?
Ответить | Правка | Наверх | Cообщить модератору

7. "Релиз ядра Linux 4.13"  +2 +/
Сообщение от Аноним (-), 04-Сен-17, 08:48 
Приведу реальный пример. Из-за ограничений вроде "не более 1000 файлов в папке", писателям CMS для хранения файлов приходится выдумывать какие-то правила, типа "хранить файлы вида abcdefgh.jpg по пути /a/b/c/abcdefgh.jpg". А потом еще писать сложную логику вида "а не появилось ли в папке /a/b/c более, чем тысяча изображений, начинающихся с abc?" И нет, речь не идет о сложной инфраструктуре с хайлоадом и прочими штуками, которые нужны только в частопосещяемых сайтах. Речь идет об обычных сайтах обычных организаций, в который залили тысячу и одно изображение.
Ответить | Правка | К родителю #4 | Наверх | Cообщить модератору

12. "Релиз ядра Linux 4.13"  +1 +/
Сообщение от Anonimus (??), 04-Сен-17, 09:35 
подобные ограничения связанны исключительно с тем что обращение к файлам с небольшим количеством файлов в папке намного быстрее чем если все в куче. Плохо что не все "пИсатели CMS" вкурсе методов которые помогли бы ускорить работу их 7@внокода.
Ответить | Правка | Наверх | Cообщить модератору

51. "Релиз ядра Linux 4.13"  +1 +/
Сообщение от mrd (??), 04-Сен-17, 14:12 
Зависит от того, как доступ идет и все настроено. На "всяких" CMS обычно все включено, все, которые только есть, плагины apache например, которые читают все атрибуты.
А если файловая система использует деревья и доступ идет по имени файла (без чтения списка того, что в директории), то все будет быстро.
Ответить | Правка | Наверх | Cообщить модератору

15. "Релиз ядра Linux 4.13"  +/
Сообщение от qq (??), 04-Сен-17, 09:45 
кстате да, захотелось как-то в видяшку добавить текст, под рукой тока  ffmpeg, разбил на jpg, прошелся скриптом, собрал обратно, корячиться с папками, вот еще.
Ответить | Правка | К родителю #7 | Наверх | Cообщить модератору

44. "Релиз ядра Linux 4.13"  +3 +/
Сообщение от Аноним (-), 04-Сен-17, 13:35 
"разбил на jpg" нет бы png но jpg???
Ответить | Правка | Наверх | Cообщить модератору

180. "Релиз ядра Linux 4.13"  +2 +/
Сообщение от Аноним (-), 05-Сен-17, 22:37 
> "разбил на jpg" нет бы png но jpg???

Ну а что, здорово же. Было видео, уже пожатое каким-то кодеком с потерями. Он это распаковал и пожал еще раз, в жпег, потеряв качество опять. А потом сжал еще и это.

Разве не соблазнительно получить артефакты сжатия целых три раза, да еще разные и усиливающие друг друга? Жпегу понравится блочность MP4 (хотя-бы deblock ему сделать автор наверняка забыл). Он наартефактит по границам блоков. А потом все это вместе попробует прожевать mp4 или кто там еще, кодирующий результат. В общем врубаем это на полный экран на большом мониторе и понимаем как делать не надо...

Ответить | Правка | Наверх | Cообщить модератору

183. "Релиз ядра Linux 4.13"  –1 +/
Сообщение от Mihail Zenkov (ok), 05-Сен-17, 22:58 
Может у него исходный файл в mjpeg был?
Ответить | Правка | Наверх | Cообщить модератору

192. "Релиз ядра Linux 4.13"  –1 +/
Сообщение от Аноним (-), 06-Сен-17, 12:47 
PNG не поддерживает цветовые модели кроме RGB, а преобразование из YUV и обратно может привести к потерям цветовой информации.
JPG позволяет хранить изображение без потерь, ffmpeg'у для этого нужно указать -q 0, наиболее подходящая цветовая модель будет выбрана автоматически.
Ответить | Правка | К родителю #44 | Наверх | Cообщить модератору

58. "Релиз ядра Linux 4.13"  +4 +/
Сообщение от мимо_крокодил (?), 04-Сен-17, 15:01 
"разбил на jpg" нет бы -vf drawtext но "прошелся скриптом, собрал обратно"
Ответить | Правка | К родителю #15 | Наверх | Cообщить модератору

10. "Релиз ядра Linux 4.13"  +9 +/
Сообщение от Аноним (-), 04-Сен-17, 09:15 
> Папки не просто так придумали, это реалньо удобно.

Кликайте себе по "папкам" в своей венде. В линуксе совсем не обязательно что туда будет заходить человек.

Ответить | Правка | К родителю #4 | Наверх | Cообщить модератору

22. "Релиз ядра Linux 4.13"  –3 +/
Сообщение от paulus (ok), 04-Сен-17, 10:29 
>Зачем?

У гугеля все на ярлыках, типа каталоги альбомов или на почте, а в реале сплошные ярлыки по которым все сортируется у пользователя. Глубже наверное не лучше...

Ответить | Правка | К родителю #4 | Наверх | Cообщить модератору

71. "Релиз ядра Linux 4.13"  +/
Сообщение от аноно (?), 04-Сен-17, 16:22 
Зачем заменять фсб на анб? На имхоклабе так советуют?
Ответить | Правка | К родителю #4 | Наверх | Cообщить модератору

143. "Релиз ядра Linux 4.13"  –2 +/
Сообщение от Stax (ok), 05-Сен-17, 14:07 
Затем, что за редкими исключениями АНБ интересуют в первую очередь именно живущие в США. На 99.99% граждан РФ им по большому счету плевать - у них нет ни желания, ни ресурсов ими заниматься. В то время как наш родной товарищ майор заинтересован покопаться именно в данных жителя этой страны :)
Ответить | Правка | Наверх | Cообщить модератору

157. "Релиз ядра Linux 4.13"  +1 +/
Сообщение от _ (??), 05-Сен-17, 20:29 
АНБ-шные уши ловились в Германии, Великобритании и Франции. Не только политика, но и тупо бизнесс. Денюжки на пенсию офицеры майнили :)
Что уж говорить про партнёров пожиже?
Ответить | Правка | Наверх | Cообщить модератору

158. "Релиз ядра Linux 4.13"  +/
Сообщение от _ (??), 05-Сен-17, 20:32 
Это я не к тому что ФСБ - няшки. Все такие службы - $^%#@&@$!!!! Так было, так будет.(С)
Ответить | Правка | Наверх | Cообщить модератору

205. "Релиз ядра Linux 4.13"  +2 +/
Сообщение от pavlinux (ok), 09-Сен-17, 03:31 
Кэп, директория - это файл, ссылка - это файл... Unix - это файл.  
Ответить | Правка | К родителю #3 | Наверх | Cообщить модератору

8. "Релиз ядра Linux 4.13"  +/
Сообщение от номия (?), 04-Сен-17, 08:53 
иногда надо, но там все вроде давно убежали на бтрфс, зфс, xfs и прочие серверные фс
Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

45. "Релиз ядра Linux 4.13"  +/
Сообщение от Аноним (-), 04-Сен-17, 13:36 
> иногда надо, но там все вроде давно убежали на бтрфс, зфс, xfs
> и прочие серверные фс

Вероятно проблемы начинаются когда нужно выделить пачку по признаку и скопировать для обработки :)

Ответить | Правка | Наверх | Cообщить модератору

11. "Релиз ядра Linux 4.13"  –2 +/
Сообщение от Нанобот (ok), 04-Сен-17, 09:22 
>Быстрее же доступ будет если как-то сортировать файлы по куче директорий, чем по одной с таким количеством.

подозреваю, что разница в скорости будет незначительной

Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

14. "Релиз ядра Linux 4.13"  +2 +/
Сообщение от Anonimus (??), 04-Сен-17, 09:37 
значительной...
Ответить | Правка | Наверх | Cообщить модератору

23. "Релиз ядра Linux 4.13"  +/
Сообщение от Аноним (-), 04-Сен-17, 10:35 
Зависит от фс
Ответить | Правка | Наверх | Cообщить модератору

18. "Релиз ядра Linux 4.13"  +/
Сообщение от пох (?), 04-Сен-17, 10:06 
> подозреваю, что разница в скорости будет незначительной

для современных версий ext4 (dirindex на нас не с неба упал) - незначительной, при некоторых дополнительных условиях (ибо реализован плохо, и может давать массовые коллизии)

Писать программу в надежде, что под ней обязательно окажется ext4 с dirindex - плохой, негодный программист.

Все вменяемые уже десять лет перешли на древовидные структуры, поскольку роботу совершенно все равно, a/b/c/abcfile или abcfile искать, а для людей подобные помойки никогда и не предназначались.

Ответить | Правка | К родителю #11 | Наверх | Cообщить модератору

46. "Релиз ядра Linux 4.13"  +1 +/
Сообщение от Аноним (-), 04-Сен-17, 13:38 
>> подозреваю, что разница в скорости будет незначительной
> для современных версий ext4 (dirindex на нас не с неба упал) -
> незначительной, при некоторых дополнительных условиях (ибо реализован плохо, и может давать
> массовые коллизии)
> Писать программу в надежде, что под ней обязательно окажется ext4 с dirindex
> - плохой, негодный программист.
> Все вменяемые уже десять лет перешли на древовидные структуры, поскольку роботу совершенно
> все равно, a/b/c/abcfile или abcfile искать, а для людей подобные помойки
> никогда и не предназначались.

b-tree над фС, так это СУБД :)

Ответить | Правка | Наверх | Cообщить модератору

61. "Релиз ядра Linux 4.13"  –2 +/
Сообщение от пох (?), 04-Сен-17, 15:15 
> b-tree над фС, так это СУБД :)

из субд очень неудобно, к примеру, делать sendfile()

Вообще, почти всюду, где стоит выбор субд или фс, следует выбирать - fs, как ни странно. Причина банальнейшая: fs обычно пишут и контролируют получившуюся писанину на порядки более грамотные ребята. А в субд на одного грамотного десять косоруких. (да еще и лежит это все все едино в fs, как правило, поэтому еще и требуется потом сопрягать одно с другим)

Идти за субд нужно либо когда нужно эффективное кэширование (fs'ы крайне фигово кэшируют _файлы_) либо когда нужны нетривиальные запросы, либо по каким-то еще причинам то, с чем приходится работать, не ложится в понятия файл/каталог.

Ответить | Правка | Наверх | Cообщить модератору

68. "Релиз ядра Linux 4.13"  –3 +/
Сообщение от Crazy Alex (ok), 04-Сен-17, 16:08 
Да в понятие "файл" сейчас вообще мало что ложится, во всяком случае в отношении пользовательских данных. Остаётся обвешивать xattrs или добавлять дополнительный потоки как в NTFS, лепить кучу костылей вида RWH_WRITE_LIFE_xxx, создвавать каталоги вроде myfile.html.files и прочее. Уж лучше честно отползти к "ресурсам" с более-менее продуманным набором атрибутов и не пытаться имитировать статическими файлами динамический контент, состоящий из кучи различных чанков.
Ответить | Правка | Наверх | Cообщить модератору

164. "Релиз ядра Linux 4.13"  –1 +/
Сообщение от Аноним (-), 05-Сен-17, 21:04 
> Да в понятие "файл" сейчас вообще мало что ложится,

Да почему, есть даже mmap. Получается что файл даже память. Но вот правда при ошибке ты получишь сразу SIGSEGV. И удачи тебе понять что это не крах в программе а ошибка чтения. Вот такая вот хреновая абстракция.

Ответить | Правка | Наверх | Cообщить модератору

163. "Релиз ядра Linux 4.13"  –2 +/
Сообщение от KonstantinB (ok), 05-Сен-17, 21:02 
[trollface on]
...а когда косорукие писатели субд, не знающие ничего, кроме btree, берутся писать фс, получается бтрфс!

[trollface off]
вообще, для разработки настоящих субд (а не хипстерских поделок) знаний надо не меньше, чем для разработки фс. А может, даже и больше.

Ответить | Правка | К родителю #61 | Наверх | Cообщить модератору

208. "Релиз ядра Linux 4.13"  –1 +/
Сообщение от лютый жабист__ (?), 10-Сен-17, 17:38 
Эксперты локалхоста как обычно про масштабирование, кластеры и не слышали. Расскажи как ты из fs в 10 нод будешь файлы раздавать. Можно из десятка субд повыбирать, а с кластерными фс чо? Все кривые и косые, даже странно, их же крутыши пишут, не то что субдшники
Ответить | Правка | К родителю #61 | Наверх | Cообщить модератору

159. "Релиз ядра Linux 4.13"  –1 +/
Сообщение от _ (??), 05-Сен-17, 20:35 
> b-tree над фС, так это СУБД :)

Садись - два!

1) не СУБД, читай определение
2) не _b_-tree

Ответить | Правка | К родителю #46 | Наверх | Cообщить модератору

72. "Релиз ядра Linux 4.13"  +/
Сообщение от Аноним (-), 04-Сен-17, 16:32 
в ext4 - переход за 2 уровня H-Tree (что дает large_dir) - вызывает посадку производительности на порядок и выше.
Ответить | Правка | К родителю #11 | Наверх | Cообщить модератору

16. "Релиз ядра Linux 4.13"  –1 +/
Сообщение от Phozzy (?), 04-Сен-17, 09:53 
у Jfrog в bintray используется rich metadata file system.
Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

20. "Релиз ядра Linux 4.13"  +4 +/
Сообщение от Аноним (-), 04-Сен-17, 10:23 
> Где может понадобиться хранение даже 10млн файлов в одной директории?

"It's better to have something you don't need than to need something you don't have." © не-помню-кто

Лучше пусть фича будет и останется лишней для 99.999% пользователей, чем понадобится — а её нет.

Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

28. "Релиз ядра Linux 4.13"  –1 +/
Сообщение от Mihail Zenkov (ok), 04-Сен-17, 10:55 
Да, но при условии, что для 99.999% пользователей overhead от добавления опции будет 0.001%.
Ответить | Правка | Наверх | Cообщить модератору

62. "Релиз ядра Linux 4.13"  +2 +/
Сообщение от Аноним (-), 04-Сен-17, 15:25 
> "It's better to have something you don't need than to need something
> you don't have." © не-помню-кто
> Лучше пусть фича будет и останется лишней для 99.999% пользователей, чем понадобится
> — а её нет.

Это типа встроенные QR коды, http сервачок, DNS, su, крон, netcat, календарь ... правда, до уровня нормальных, отдельных утилит и ПО оно никак не дотягивает, но зато встроенно и главный передовой комбайнер Леннарт гарантирует качество!


Ответить | Правка | К родителю #20 | Наверх | Cообщить модератору

98. "Релиз ядра Linux 4.13"  +1 +/
Сообщение от Аноним (-), 04-Сен-17, 23:44 
> QR коды, http сервачок, DNS, su, крон, netcat, календарь

Перечисленное не имеет ничего общего с задачами PID 1, зато нормальная работа с большим количеством файлов в директориях иммет самое непосредственное отношение к функциональности ФС. Так что сравнение не совсем корректное.

Ответить | Правка | Наверх | Cообщить модератору

36. "Релиз ядра Linux 4.13"  +/
Сообщение от Аноним (-), 04-Сен-17, 12:27 
Тебе же в новости написали где это нужно

> Опция подготовлена разработчиками кластерной файловой системы Lustre

Да, они, вероятно, не правы нафигачивая много файлов в одну директорию.

Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

40. "Релиз ядра Linux 4.13"  +/
Сообщение от Аноним (-), 04-Сен-17, 12:37 
> Быстрее же доступ будет если как-то сортировать файлы по куче директорий, чем по одной с таким количеством.

Сделать быстрый доступ хешами и деревьями не проблема, проблема сделать быстрое обновление индекса. Например, переименование файла или добавление новых может потребовать перезаписи сразу всего индекса, а для 10 млн это минимум сотни мб.

Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

63. "Релиз ядра Linux 4.13"  +1 +/
Сообщение от пох (?), 04-Сен-17, 15:32 
> Сделать быстрый доступ хешами и деревьями не проблема, проблема сделать быстрое
> обновление индекса.

существующие реализации обычно просираются на удалении, а не на добавлении ;-) Что, во многих случаях, редкая или вовсе ненужная задача.

Ответить | Правка | Наверх | Cообщить модератору

96. "Релиз ядра Linux 4.13"  –1 +/
Сообщение от Аноним (-), 04-Сен-17, 23:21 
слова богу хоть хоть один нормальный программист. неистово плюсую.
Ответить | Правка | Наверх | Cообщить модератору

111. "Релиз ядра Linux 4.13"  +/
Сообщение от all_glory_to_the_hypnotoad (ok), 05-Сен-17, 01:38 
на уровне формата хранения индекса ещё нужно умудриться сделать резервирование для добавления записей, но не сделать gc. Наверняка тормозит не из-за вышеописанной причины.
Ответить | Правка | К родителю #63 | Наверх | Cообщить модератору

42. "Релиз ядра Linux 4.13"  +/
Сообщение от anonymous (??), 04-Сен-17, 13:10 
Помню, в году 2006 один веб-сервер заказчика перестал работать из-за переполнения предельного размера файлов в каталоге. Выяснилось, что сайт писался подрядчиком для какого-то там госпроекта, и на все увещевания организации каталогов структурно или хотя бы по первым буквам названия файлов клал болт. Пришлось апгрейдить ядро и мигрировать на ext4 из-за этого криворука, чтобы хоть как-то сайт работал. Так что все возможно, человек - животина глупая, ему и 10 млн файлов в каталоге может не хватить.
Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

48. "Релиз ядра Linux 4.13"  –3 +/
Сообщение от Аноним (-), 04-Сен-17, 13:41 
> Помню, в году 2006 один веб-сервер заказчика перестал работать из-за переполнения предельного
> размера файлов в каталоге. Выяснилось, что сайт писался подрядчиком для какого-то
> там госпроекта, и на все увещевания организации каталогов структурно или хотя
> бы по первым буквам названия файлов клал болт. Пришлось апгрейдить ядро
> и мигрировать на ext4 из-за этого криворука, чтобы хоть как-то сайт
> работал. Так что все возможно, человек - животина глупая, ему и
> 10 млн файлов в каталоге может не хватить.

А в т.з. были ограничения?
ИМХО оптимально(хоть и дорого)для таких штук СУБД, у них лучше поставлен процесс обновления и новые версии обычно успевают под новые запросы.

Ответить | Правка | Наверх | Cообщить модератору

70. "Релиз ядра Linux 4.13"  +/
Сообщение от Crazy Alex (ok), 04-Сен-17, 16:16 
Ну вот люстре и понадобилось
Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

115. "Релиз ядра Linux 4.13"  +/
Сообщение от Аноним (-), 05-Сен-17, 02:38 
Проверь, если парни из LANL протащили этот патч, то надо. Особенно, учитывая как люстра хранит файлы на OST. В общем, нужно. Особенно, на очень больших кластерах хранения. Да, типа как у самого LANL, у которых сотни софта, который написан в 80х на фортране и никто не собирается его переписывать ради работы с новомодными медленными фс типа s3 и экзабайты экспериментальных данных, которые надо пережёвывать сотнями тысяч процессоров. И да, дынные могут использоваться совместно.
Ну и да, парням из АНБ тоже пригодится.
Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

132. "Релиз ядра Linux 4.13"  –3 +/
Сообщение от bOOster (ok), 05-Сен-17, 10:53 
Да разумные люди давно переехали на файловые системы которые в своем принципе директорий не имеют. Вернее это логическая единица каталогизации. Может быть именем директории, может быть тегом для поиска и т.п. Теже яйца только в профиль. Я линуксоиды до сих пор костыли пристраивают к "покосившемуся и расжиревшему" ядру, со всех сторон утыканное идентичными костылями и архитектурой MSDOS 40 летней давности... Чтоб не рухнуло.
Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

151. "Релиз ядра Linux 4.13"  –1 +/
Сообщение от пох (?), 05-Сен-17, 17:45 
не "разумные" а "богатые" (и здоровые).
Это мордокнига может позволить себе "никогда ничего не удалять". А мы вынуждены использовать технологии, позволяющие особождать иногда место (в том числе место в этих ваших логических каталогизациях, оно тоже небесплатное)

Архитектуре vfs лет на двадцать больше чем этой вашей ms-dos. Скопировавшей, кстати, иерархичекое дерево догадайтесь, у кого.

Ответить | Правка | Наверх | Cообщить модератору

156. "Релиз ядра Linux 4.13"  +/
Сообщение от bOOster (ok), 05-Сен-17, 20:18 
ZFS? Не?
Ответить | Правка | Наверх | Cообщить модератору

154. "Релиз ядра Linux 4.13"  –1 +/
Сообщение от анон (?), 05-Сен-17, 18:33 
бывают уникумы, которые восстанавливают данные после сбоя методом "слей все в кучу", а потом приходят к сапорту кровавого ынтырпрайза с слезными просьбами рассортировать им все.

Было такое уже не раз, ЛОЛ!

Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

9. "Релиз ядра Linux 4.13"  –1 +/
Сообщение от Аноним (-), 04-Сен-17, 08:58 
хмм в ноувеи стереоскопическое это не 3д чтоли, и почему на моих 2 нвидиах экран всегда черный, и лечится только фирменными блобами, грустно както.
Ответить | Правка | Наверх | Cообщить модератору

19. "Релиз ядра Linux 4.13"  +2 +/
Сообщение от Аноним (-), 04-Сен-17, 10:17 
> ноувеи

Щито?

Ответить | Правка | Наверх | Cообщить модератору

29. "Релиз ядра"  +/
Сообщение от Andrey Mitrofanov (?), 04-Сен-17, 11:23 
>> ноувеи
> Щито?

Теперь, когда Вы спросили...

https://ru.wikipedia.org/wiki/%D0%A1%D0%...

http://www.opennet.dev/openforum/vsluhforumID3/44782.html#3

Ответить | Правка | Наверх | Cообщить модератору

43. "Релиз ядра Linux 4.13"  +/
Сообщение от Аноним (-), 04-Сен-17, 13:27 
>ноувеи

Это читается как нуво

Ответить | Правка | К родителю #9 | Наверх | Cообщить модератору

52. "Релиз ядра Linux 4.13"  –2 +/
Сообщение от Аноним (-), 04-Сен-17, 14:19 
Ах вот оно что, ну спасибо, теперь нет проблем.
Ответить | Правка | Наверх | Cообщить модератору

196. "Релиз ядра Linux 4.13"  –1 +/
Сообщение от Аноним (-), 06-Сен-17, 14:16 
А произносится как нуву http://www.translate.ru/dictionary/fr-ru/nouveau
Ответить | Правка | К родителю #43 | Наверх | Cообщить модератору

197. "Релиз ядра Linux 4.13"  +1 +/
Сообщение от Andrey Mitrofanov (?), 06-Сен-17, 15:37 
> А произносится как нуву http://www.translate.ru/dictionary/fr-ru/nouveau

"Никогда не доверяла этим `translated by PROMPT`."

From French-English Freedict dictionary [fd-fra-eng]:

  nouveau [nuvo]
     new; novel


Ответить | Правка | Наверх | Cообщить модератору

13. "Релиз ядра Linux 4.13"  +51 +/
Сообщение от Аноним (-), 04-Сен-17, 09:36 
>реализованы пятиуровневые таблицы страниц памяти, которые позволяют адресовать до 16 эксабайт ОЗУ;

Обеспечена начальная поддержка Google Chrome

Ответить | Правка | Наверх | Cообщить модератору

17. "Релиз ядра Linux 4.13"  –21 +/
Сообщение от Аноним (-), 04-Сен-17, 09:58 
Скорее, Mozilla Firefox. Но поржал, спасибо :D
Ответить | Правка | Наверх | Cообщить модератору

53. "Релиз ядра Linux 4.13"  +1 +/
Сообщение от Аноним (-), 04-Сен-17, 14:21 
Серьёзно?

firefox-esr 527Мб - 13 вкладок, 8 аддонов
chromium 300Мб - 1 вкладка, 0 аддонов

Ответить | Правка | Наверх | Cообщить модератору

227. "Релиз ядра Linux 4.13"  +/
Сообщение от Anonymoustus (ok), 18-Окт-17, 04:48 
Firefox ESR 52.4.0 (32-біт) c дополнением Suspend Tab (http://piro.sakura.ne.jp/xul/_suspendtab.html.en), 288 вкладок, ~800 МБ ОЗУ.
Ответить | Правка | Наверх | Cообщить модератору

21. "Релиз ядра Linux 4.13"  –1 +/
Сообщение от istepanemail (ok), 04-Сен-17, 10:25 
13 - счастливое число! >:D
Ответить | Правка | Наверх | Cообщить модератору

24. "Релиз ядра Linux 4.13"  +/
Сообщение от A.Stahl (ok), 04-Сен-17, 10:38 
А ещё -- простое.
Ответить | Правка | Наверх | Cообщить модератору

33. "Релиз ядра Linux 4.13"  +1 +/
Сообщение от Клыкастый (ok), 04-Сен-17, 11:51 
все простые числа - счастливые. будьте проще.
Ответить | Правка | Наверх | Cообщить модератору

25. "Релиз ядра Linux 4.13"  –4 +/
Сообщение от Аноним (-), 04-Сен-17, 10:38 
> Без данной опции действует лимит на 10 млн

Графические обозреватели файлов тормозят уже на 10000. Спасибо С++ и бездарному программированию.

Ответить | Правка | Наверх | Cообщить модератору

26. "Релиз ядра Linux 4.13"  +12 +/
Сообщение от A.Stahl (ok), 04-Сен-17, 10:42 
Срочно переписать на Лиспе: нет обозревателей -- нет проблемы.
Ответить | Правка | Наверх | Cообщить модератору

30. "Релиз ядра Linux 4.13"  –2 +/
Сообщение от Аномномномнимус (?), 04-Сен-17, 11:30 
Не за что, юзай даблкоммандер или мюкоммандер, если эти не устраивают
Ответить | Правка | К родителю #25 | Наверх | Cообщить модератору

32. "Релиз ядра Linux 4.13"  +2 +/
Сообщение от Аноним (-), 04-Сен-17, 11:49 
Нее, там не с++, там правит python!
Ответить | Правка | К родителю #25 | Наверх | Cообщить модератору

47. "Релиз ядра Linux 4.13"  +1 +/
Сообщение от Аноним (-), 04-Сен-17, 13:41 
> там правит python!

Electron!

Ответить | Правка | Наверх | Cообщить модератору

165. "Релиз ядра Linux 4.13"  +/
Сообщение от Аноним (-), 05-Сен-17, 21:10 
>> там правит python!
> Electron!

Если вам нравится питон и электрон, попробуйте просмотреть с их помощью 10 миллионов файлов. Как раз и узнаете зачем нужны пятиуровневые таблицы и 16 экзабайтов.

Ответить | Правка | Наверх | Cообщить модератору

185. "Релиз ядра Linux 4.13"  +/
Сообщение от Аноним (-), 05-Сен-17, 23:10 
>>> там правит python!
>> Electron!
> Если вам нравится питон и электрон, попробуйте просмотреть с их помощью 10
> миллионов файлов. Как раз и узнаете зачем нужны пятиуровневые таблицы и
> 16 экзабайтов.

Понимаю, что гнобить питон на опеннете стало модно, но все же хоть немного матчасть знать следует. Хотя ьы чтобы не сравнивать электрон с пальцем.
https://github.com/python/cpython/blob/75b961869a1184895c9d5...


static PyObject *
os_scandir_impl(PyObject *module, path_t *path)
.
.
Py_BEGIN_ALLOW_THREADS
iterator->dirp = fdopendir(fd);
Py_END_ALLOW_THREADS

Ответить | Правка | Наверх | Cообщить модератору

89. "Релиз ядра Linux 4.13"  +1 +/
Сообщение от Аноним (-), 04-Сен-17, 22:00 
> Нее, там не с++, там правит python!

А что, кто-то запускал?

Предлагаю добровольцам установить vifm и ranger, потом запустить echo {1..100500} > {1..100500} и mkdir {100500..200500} и поочередно открывая в этих ФМ, угадать, что из них на сишечке, а что на питончике. Если не получиться с ходу, можно включить предпросмотр файлов.

Ответить | Правка | К родителю #32 | Наверх | Cообщить модератору

65. "Релиз ядра Linux 4.13"  +4 +/
Сообщение от Аноним (-), 04-Сен-17, 15:51 
> Спасибо бездарному программированию.

Поправил тебя, не благодари. Если писать гoвнoкод на любом языке - он будет тормозить, даже если пишешь на ассемблере.

Ответить | Правка | К родителю #25 | Наверх | Cообщить модератору

31. "Релиз ядра Linux 4.13"  +/
Сообщение от Аноним (-), 04-Сен-17, 11:48 
Вроде как zstd в btrfs хотели запилить...
Ответить | Правка | Наверх | Cообщить модератору

83. "Релиз ядра Linux 4.13"  +1 +/
Сообщение от Аноним (-), 04-Сен-17, 20:02 
В следующем ядре будет
Ответить | Правка | Наверх | Cообщить модератору

34. "Релиз ядра Linux 4.13"  –2 +/
Сообщение от Аноним (-), 04-Сен-17, 11:52 
> ... для рандомизации раскладки структур данных, который на этапе сборки делает непредсказуемым следование полей в структурах и затрудняет проведение атак, базирующихся на знании раскладки структур в ядре.

Это уже на уровне вредительства, правильно говорят что grsecurity делают школьники.

Ответить | Правка | Наверх | Cообщить модератору

37. "Релиз ядра Linux 4.13"  –1 +/
Сообщение от gre (?), 04-Сен-17, 12:30 
>> ... для рандомизации раскладки структур данных, который на этапе сборки делает непредсказуемым следование полей в структурах и затрудняет проведение атак, базирующихся на знании раскладки структур в ядре.
> Это уже на уровне вредительства, правильно говорят что grsecurity делают школьники.
> Плагин портирован из патчей проекта grsecurity;

Ага, шапито в апстриме это нормально.

Ответить | Правка | Наверх | Cообщить модератору

39. "Релиз ядра Linux 4.13"  –1 +/
Сообщение от пох (?), 04-Сен-17, 12:36 
> Ага, шапито в апстриме это нормально.

это - привычно.

собственно, а чего вы хотите на фоне "TLS в ядре"? (интересно, сколько дырьев там всплывет в ближайшую пару лет, и о скольких из них мы узнаем хотя бы не на год позже хакеров)

да и прочие новости, увы, того же пошиба.

Ответить | Правка | Наверх | Cообщить модератору

49. "Релиз ядра Linux 4.13"  –1 +/
Сообщение от Аноним (-), 04-Сен-17, 13:53 
>> Ага, шапито в апстриме это нормально.
> это - привычно.
> собственно, а чего вы хотите на фоне "TLS в ядре"? (интересно, сколько
> дырьев там всплывет в ближайшую пару лет, и о скольких из
> них мы узнаем хотя бы не на год позже хакеров)
> да и прочие новости, увы, того же пошиба.

Надеюсь дистростроители по умолчания отключат "TLS в ядре", а то как то "неправильно" (например в Debian) делать make menuconfig.
А тем кому это действительно необходимо, сами для себя настроят "TLS в ядре".
Тем более, что после залатывания каждой дырки в ядре, необходимо будет тянут 30MB.

Ответить | Правка | Наверх | Cообщить модератору

57. "Релиз ядра Linux 4.13"  –2 +/
Сообщение от Crazy Alex (ok), 04-Сен-17, 14:59 
TLS в ядре - это правильно. Может хоть так допинают до того, что нешифрованного трафика быть не должно вообще - примерно как научилив  конце концов, что логин/пароль при входе в систему надо вводить всегда и что файрволл таки нужен везде.

И нет, это не от спецслужб и подобного, поэтому и не должно быть идеально защищённым. Это, наоборот, поднимают минимальный уровень - чтобы голым задом не светили.

Ответить | Правка | К родителю #39 | Наверх | Cообщить модератору

60. "Релиз ядра Linux 4.13"  +3 +/
Сообщение от пох (?), 04-Сен-17, 15:06 
> TLS в ядре - это правильно. Может хоть так допинают до того, что нешифрованного трафика
> быть не должно вообще

может. Я очень надеюсь к этому моменту успеть найти себе бизнес подальше от линуксов.

99% траффика шифровать совершенно _незачем_.
Пихание шифрования во все дырки, вместо грамотного ограничения ненужной сетевой активности и грамотных же средств AAA (которые к шифрованию совершенно боком), и особенно в виде совершенно безобразного и заведомо небезопасного монстра tls, только увеличивает риски. Потому что через это самое криво написанное шифрование вас и поломают, при случае.

И до кучи оно максимально затрудняет траблшутинг. И чем глубже зарыто, тем сложнее найти проблему.

Ответить | Правка | Наверх | Cообщить модератору

69. "Релиз ядра Linux 4.13"  +/
Сообщение от Crazy Alex (ok), 04-Сен-17, 16:15 
Во-первых, оно с "грамотным ограничением сетевой активности" вообще не связано. И лучше уж один "монстр" (кстати, сильно почищенный в последнее время и уже собранным абсолютным большинством граблей) чем зоопарк кастомных решений на любой чих.

И ещё раз - это не "чтоб не поломали", а "чтоб любой скрипт-кидди не видел трафик". Ну и DPS усложнит - тоже дело хорошее. Как минимум, для этого стоит шифровать всё подряд (благо, сейчас это практически ничего не стоит).

Ну да, любителям "всё поснифать вайршарком" вместо траблшутинга там, где, собственно проблемы (то есть в приложении) - усложнит.

Вы просто упорно не хотите смириться с тем, что нынче компьютер без сети, в общем-то, смысла не имеет от слова "вообще".

Ответить | Правка | Наверх | Cообщить модератору

76. "Релиз ядра Linux 4.13"  –1 +/
Сообщение от zanswer CCNA RS and S (?), 04-Сен-17, 17:29 
Эм, не вижу нечего плохого в использование Wireshark при поиске неисправности связанной с обменом через сеть. К слову никто не запрещает при необходимости расшифровывать пакеты Transport Layer Security протокола при анализе в Wireshark, если это требуется и реализация TLS в ядре, этому не помеха.

И ещё, я не вижу не какой проблемы в том, что инженеры Facebook совместно с инженерами Red Hat, реализовали TLS в ядерном пространстве. Судя по PDF, они добились очень не плохих результатов и продолжат их совершенствовать, в сторону работы с аппаратными крипто акселераторами.

Ответить | Правка | Наверх | Cообщить модератору

104. "Релиз ядра Linux 4.13"  +1 +/
Сообщение от Влад (??), 05-Сен-17, 00:43 
> я не вижу не какой проблемы в том, что инженеры Facebook совместно с инженерами Red Hat, реализовали TLS в ядерном пространств

даешь heatbleed в ядре?

Ответить | Правка | Наверх | Cообщить модератору

119. "Релиз ядра Linux 4.13"  +/
Сообщение от zanswer CCNA RS and S (?), 05-Сен-17, 05:48 
То есть наличие TCP/IP стека и ещё прицепа сетевых протоколов в ядре вас не беспокоит? Или в их реализации не было найдено уязвимостей?

TLS, является одним из наиболее часто используемых протоколов для обеспечения безопасности соединений, если не самым часто используемым. И перенос его в ядерное пространство позволили снизить латентность и повысить производительность. Более того, в ядерном пространстве реализована только часть протокола, но вы конечно же это уже знаете, вы ведь прочитали отчёт инженеров Facebook и Red Hat в оригинале.

А для тех кто не прочитал, вот цитата из него, кратко описывающая схему работы ядерной реализации TLS.

"Facebook, in collaboration with RedHat, have implemented a Linux kernel TLS socket. To avoid putting unnecessary complexity in the kernel, the TLS handshake is kept in user space. A full TLS connection using the socket is done using the following scheme:
• Call connect() or accept() on a standard TCP file descriptor.
• A user space TLS library is used to complete a handshake.
We have tested with both GnuTLS and OpenSSL.
• Create a new KTLS socket file descriptor.
• Extract the TLS Initialization Vectors (IVs), session keys, and sequence IDs from the TLS library. Use setsockopt on the KTLS fd to pass them to the kernel.
• Use standard read(), write(), sendfile() and splice() system calls on the KTLS fd.
Upon receipt of a non-data TLS message (a control message), the KTLS socket returns an error, and the message is instead left on the original TCP socket. The KTLS socket is automatically unattached. Transfer of control back to the original encrypted FD is done by calling getsockopt to receive the current sequence numbers, and inserting them in to the TLS library."

Ответить | Правка | Наверх | Cообщить модератору

181. "Релиз ядра Linux 4.13"  –1 +/
Сообщение от пох (?), 05-Сен-17, 22:47 
> То есть наличие TCP/IP стека и ещё прицепа сетевых протоколов в ядре вас не беспокоит?

разумеется беспокоит. Включая омерзительное пихание дыры-v6 куда ни попадя, с отключением только через блэклистинг модуля.

А теперь добавили еще одну.

> TLS, является одним из наиболее часто используемых протоколов для обеспечения
> безопасности соединений

по причине неумения горе-программистов ничего делать руками. Как только я вижу, что в программе вместо собственного или взятого из нормальной библиотеки auth (encryption - ненужен!) тупо используется openssl - я сразу же делаю выводы о том, что пользоваться этим не следует - и ни разу не ошибался. См. тот же постгрез.

единственное правильное место для tls - web (и тоже не от хорошей жизни, а потому что альтернативы нет)

Ответить | Правка | Наверх | Cообщить модератору

135. "Релиз ядра Linux 4.13"  +/
Сообщение от Аноним (-), 05-Сен-17, 11:21 
Читать не умеете ?

Установка соединения, завершение его и прочая служебная мутота остаются в юзерспейсе.

Ответить | Правка | К родителю #104 | Наверх | Cообщить модератору

166. "Релиз ядра Linux 4.13"  +/
Сообщение от Аноним (-), 05-Сен-17, 21:17 
> может. Я очень надеюсь к этому моменту успеть найти себе бизнес подальше от линуксов.

В майкрософт устройся.

> 99% траффика шифровать совершенно _незачем_.

Учитывая современные тенденции и повальное увлечение синдром вахтера, все с точностью до наоборот.

> Пихание шифрования во все дырки, вместо грамотного ограничения ненужной сетевой активности

Ограничение сетевой активности - одно. Защита от копания в данных посторонних лиц - совсем другое.

> И до кучи оно максимально затрудняет траблшутинг. И чем глубже зарыто, тем
> сложнее найти проблему.

Знаем мы этих любителей траблшутинга. Кто номера кред ворует, кто пароли от почт и социалок.

Ответить | Правка | К родителю #60 | Наверх | Cообщить модератору

184. "Релиз ядра Linux 4.13"  +/
Сообщение от пох (?), 05-Сен-17, 23:08 
>> может. Я очень надеюсь к этому моменту успеть найти себе бизнес подальше от линуксов.
> В майкрософт устройся.

как бы им тоже окончательный линукс не пришел в ближайшие лет пять.

>> 99% траффика шифровать совершенно _незачем_.
> Учитывая современные тенденции и повальное увлечение синдром вахтера, все с точностью
> до наоборот.

учитывая современные тенденции держать всю свою личную жизнь вместе с котиками и боевыми наградами за наемничество в виде "ихтамнета" не только в подконтрольном фсб, но еще и публично-доступном вконтактике, в крайнем случае - мордокнижечке, все обстоит еще хуже.

> Ограничение сетевой активности - одно. Защита от копания в данных посторонних лиц

нет сетевой активности - не в чем копаться.
Есть сетевая активность...ой, котики. Или вот тредик на опеннете - который и так паблик, если злые модераторы не сотрут. И ваш ip,между нами, записан в логе. И зачем вы тратите невосполнимые ресурсы планеты, шифруя эту муру?

Или вон - торренты. Помогает их шифрование (заметим, для авторизации/контроля целостности оно не нужно) от iknowwhatyoudownload ? Очевидно, нет. А провайдеру, тов.майору и мне - нахрен твоя порнуха не сдалась. Майор будет тебя брать - свою на флэшечке принесет, у него много.

> Знаем мы этих любителей траблшутинга. Кто номера кред ворует, кто пароли от
> почт и социалок.

ну так вот чем больше будешь потворствовать дурачкам, хранящим и гоняющим по сети твои пароли клиртекстом (даже md5 уже немодно, нужно ж непременно аякс и вебформочку, а то ж юзер пугается безобразного окошка authentication-required), тем больше шансов что их сопрут, не смотря на все супер-внутриядерные tls'ы.
И не говорите мне, что вы видели хоть один банчок, использующий в уеббанк-клиенте нормальную аутентификацию (а, ну да, райфф жеж в прежней инкарнации. Но она была жабская и это ее погубило)

Ответить | Правка | Наверх | Cообщить модератору

81. "Релиз ядра Linux 4.13"  +1 +/
Сообщение от angra (ok), 04-Сен-17, 18:40 
> примерно как научили в конце концов, что логин/пароль при входе в систему надо вводить  всегда и что файрволл таки нужен везде.

Ну а теперь попробуй доказать необходимость обоих _везде_. Только сразу учти, что доказываешь ты не юзверю, а админу. Можешь даже ограничиться аргументацией их нужности на моей рабочей машине, вдруг я чего-то не знаю и ты откроешь мне глаза.


Ответить | Правка | К родителю #57 | Наверх | Cообщить модератору

82. "Релиз ядра Linux 4.13"  +/
Сообщение от пох (?), 04-Сен-17, 19:52 
> Только сразу учти, что доказываешь ты не юзверю

юзверю с головой на плечах доказать еще сложнее, чем админу - потому что у него нет админской паранойи, зато есть юзверьская - например, не является ли это требование подставой со стороны админов, вольной или невольной.

Ответить | Правка | Наверх | Cообщить модератору

87. "Релиз ядра Linux 4.13"  +/
Сообщение от Crazy Alex (ok), 04-Сен-17, 21:41 
На юзверя есть полиси, не надо ему ничего доказывать - один хрен у него скорее всего квалификации понять не хватит.

Если юзер не корпоративный - то тоже ничего ему доказывать не надо - сам себе буратино, злобный или нет - зависит от обстоятельств.

Ответить | Правка | Наверх | Cообщить модератору

127. "Релиз ядра Linux 4.13"  +/
Сообщение от пох (?), 05-Сен-17, 09:26 
> На юзверя есть полиси, не надо ему ничего доказывать

потом ты наталкиваешься впервые в жизни (интересно, как не удалось до сих пор? В сферическом вакууме обитаем, или все это - прекрасные мечты?) на юзера с мозгом и широкими полномочиями - и пытаешься что-то жалобно вякать на ковре у руководства - и хорошо, если покидаешь помещение с горящими ушами и взмыленной задницей, а не идешь в отдел кадров сдавать ключи и логины.

результат у нормальных админов - они чему-то учатся. У бестолковых - жжение пониже спины и набор исключений и дополнений к полиси в двуста местах - каждый раз, как он чувствует это ощущение в разговоре с очередным пользователем рангом повыше уборщицы, появляются новые.

Потому что далеко не всякий пользователь "обожает терпеть мелкие неудобства". И вполне может тебе лично устроить - крупные.

Ответить | Правка | Наверх | Cообщить модератору

167. "Релиз ядра Linux 4.13"  +/
Сообщение от Аноним (-), 05-Сен-17, 21:21 
Нормальные админы уже давно кое-чему научились. И теперь называются девопсами. Жжение пониже спины привилегия эникеев-переростков.
Ответить | Правка | Наверх | Cообщить модератору

186. "Релиз ядра Linux 4.13"  –1 +/
Сообщение от пох (?), 05-Сен-17, 23:14 
> Нормальные админы уже давно кое-чему научились. И теперь называются девопсами.

ты не поверишь, но работал я в конторе, где девопсы в одном углу, админы - в другом. И, увы, у вторых ни синдром вахтера, ни желание сделать все через задницу от сидения в общем помещении никуда не девалось :-(

Ответить | Правка | Наверх | Cообщить модератору

86. "Релиз ядра Linux 4.13"  +1 +/
Сообщение от Crazy Alex (ok), 04-Сен-17, 21:38 
Очень просто - проще прикрываться логином/паролем всегда, чем в каждом конкретно случае думать - а нельзя ли ну вот на этот раз без них обойтись. Может можно, может нет, может сейчас можно, а завтра что-то поменялось... Проще сразу поставить и не париться.
Ответить | Правка | К родителю #81 | Наверх | Cообщить модератору

90. "Релиз ядра Linux 4.13"  +/
Сообщение от angra (ok), 04-Сен-17, 22:02 
То есть из-за того, что ты не хочешь всего один раз подумать, ты каждый день вбиваешь логин и пароль. Молодец, нечего сказать.
Ответить | Правка | Наверх | Cообщить модератору

93. "Релиз ядра Linux 4.13"  +/
Сообщение от Crazy Alex (ok), 04-Сен-17, 22:42 
Думать придётся не один раз, а каждый раз, когда ты притаскиваешь какие-то новые данные на машину, или к ней получает доступ новый человек (постоянно или временно). Нет уж, на фиг. У меня внимание не резиновое, легче минимальные меры предосторожности принять сразу. Благо вбить пароль - это секунды три максимум. даже если десять раз в день (в среднем где-то так) - мелочи это.
Ответить | Правка | Наверх | Cообщить модератору

123. "Релиз ядра Linux 4.13"  +/
Сообщение от angra (ok), 05-Сен-17, 08:27 
> Думать придётся не один раз, а каждый раз, когда ты притаскиваешь какие-то новые данные на машину

У меня там изначально есть конфиденциальные данные. От того, что появятся новые, уже ничего не изменится.

> или к ней получает доступ новый человек

У меня не каждый день в семье рождается новый ребенок, да и от имеющихся не вижу смысла закрывать.

Ответить | Правка | Наверх | Cообщить модератору

126. "Релиз ядра Linux 4.13"  +/
Сообщение от пох (?), 05-Сен-17, 09:19 
> Думать придётся не один раз, а каждый раз, когда ты притаскиваешь какие-то новые данные
> на машину, или к ней получает доступ новый человек

вы все еще живете во временах ОС Демос? Компьютеры ныне - персональные, двадцать лет уже как. К моим машинам не получает доступ левый человек - он туда всунет флэшку, на которой, вполне возможно, троян в контроллере, и никакие средства на уровне операционной системы от него не защитят. И да, вот это - "минимальные меры предосторожности". А не шифрование котиков и лайков чохом.

думать таки придется, не один раз, если ваши данные представляют для вас хоть какую-то ценность, а не быть тупoй обезьянкой, в пятисотый раз за день вбивающей никому не нужные  пароли (которые, кстати, поимевший рукожопых безопасников чувак давно увидел через камеру над ее столом)

Ответить | Правка | К родителю #93 | Наверх | Cообщить модератору

168. "Релиз ядра Linux 4.13"  +/
Сообщение от Аноним (-), 05-Сен-17, 21:28 
Кроме котиков и лайков там еще логины-пароли летают к этим котикам. Спамеры это очень любят. А вот обладатели котиков очень расстраиваются когда им потом аккаунт блокируют.

Упомянутая же технология скорее для тех кто хочет котиков и лайки собирать, они за увеличение производительности даже неудобства потерпеть могут. В конце концов, если им сломают фронтэнд, там ничего интересного нет а починка сведется к автоматическому редеплою образа.

Ответить | Правка | Наверх | Cообщить модератору

187. "Релиз ядра Linux 4.13"  –1 +/
Сообщение от пох (?), 05-Сен-17, 23:21 
> Кроме котиков и лайков там еще логины-пароли летают к этим котикам.

ну вот у меня нет пароля к опеннету. Нет акаунта - нечего заблокировать.

> Упомянутая же технология скорее для тех кто хочет котиков и лайки собирать,
> они за увеличение производительности даже неудобства потерпеть могут. В конце концов,

не-е-е, потерпеть придется нам всем ;-) Как и новый-чудный веб с оверрайдом понимания что такое If-Modified-Since (их же ж изобретение), и много чего еще. А общественно-полезного от них- покамест только уродливый бэкэнд для mysql.

> если им сломают фронтэнд, там ничего интересного нет а починка сведется

так там как раз твои пароли бегают ;-) Не их, поэтому да- для них ничего интересного, "починка" сведется к блокировкам акаунтов, как мы любим.

А систему, да, автоматически переустановят и может быть через некоторое время автоматически попатчат, если что.

Ответить | Правка | Наверх | Cообщить модератору

99. "Релиз ядра Linux 4.13"  +/
Сообщение от Mihail Zenkov (ok), 04-Сен-17, 23:59 
> Очень просто - проще прикрываться логином/паролем всегда,

Постоянно сижу под рутом примерно 16 лет. Последние 10 лет еще и с автологином. Аналогично на машине у жены, тоже примерно 10 лет. Проблем из-за этого не было.

ИМХО все зависит от условий использования. У меня - домашние машины, доступ к ним только у меня и жены.

> чем в каждом конкретно случае думать - а нельзя ли ну вот на этот раз без
> них обойтись.

Очень утрирую, но вы же не ставите пароль на слив в унитазе? Все же в каждом конкретном случае лучше выбрать наиболее подходящие решения исходя из условий и задачи.

> Может можно, может нет, может сейчас можно, а завтра
> что-то поменялось... Проще сразу поставить и не париться.

Всего на перед не учтешь - наставишь всего про запас, будет overhead и overkill, а того, что реально понадобится, может просто не существовать на текущий момент.  

Ответить | Правка | К родителю #86 | Наверх | Cообщить модератору

101. "Релиз ядра Linux 4.13"  +1 +/
Сообщение от Crazy Alex (ok), 05-Сен-17, 00:12 
вы же понимаете, что "у меня никогда проблем не было" - не особо сильный аргумент? Так говорят про всё - не пристёгнутый ремень, отсутствие обновлений, полумёртвую проводку и так далее. И везде ответ один - есть best practices и статистика. Например, в один прекрасный день пригласить мастера-ремонтника или какого-то дурака в гости (или ребёнка), отойти на 10 минут и потом заметить, что в твой компьютер влезли - невелика радость.

С другой стороны - пока это home user, и от него не зависит кто-то ещё - ну, сам себе хозяин. Обычно, правда, зависит, даже если на это не обратил внимания - от спама "пришли денег" с уведенного IM до разглашения доверенных вам чьих-то секретов. И, возвращаясь к исходной теме, собственно, когда с двух сторон канала - ваши системы - обычно нет особой проблемы настроить открытое соединение без шифрования. Но дефолты выбираются на более общий случай, и если на другой стороне - не вы, то решать за кого-то другого, что ему защищаться не нужно - нехорошо. А наоборот - хорошо, потому что оверхед, собственно, минимален.

P.S. Если оказется, что унитаз можно тривиальным образом (а то и случайно) превратить, например, в шпионское устройство - то я доступ к нему контролировать очень даже начну.

Ответить | Правка | Наверх | Cообщить модератору

114. "Релиз ядра Linux 4.13"  +/
Сообщение от Mihail Zenkov (ok), 05-Сен-17, 02:09 
> вы же понимаете, что "у меня никогда проблем не было" - не
> особо сильный аргумент?

Согласен. Просто есть миф, что под рутом работать нельзя. Я привел те факты, которые у меня есть. Если у кого есть достоверная статистика или личный опыт - пишите.

> Так говорят про всё - не пристёгнутый ремень,

Если едешь по проселку 10-20 км в час это одно, но если едешь 100 по трассе - совершенно другое. Так что опять же - зависит от условий.

> пригласить мастера-ремонтника

В моей ситуации - исключено.

> или какого-то дурака в гости

Гости редко и друков среди них нет.

> (или ребёнка), отойти на
> 10 минут

Ребенка нельзя без пересмотра оставлять принципиально - может физически повредить дорогую аппаратуру.

> И,
> возвращаясь к исходной теме, собственно, когда с двух сторон канала -
> ваши системы - обычно нет особой проблемы настроить открытое соединение без
> шифрования. Но дефолты выбираются на более общий случай, и если на
> другой стороне - не вы, то решать за кого-то другого, что
> ему защищаться не нужно - нехорошо. А наоборот - хорошо, потому
> что оверхед, собственно, минимален.

Да, но хорошо когда это опция и есть выбор.
Я долгое время сидел на gprs/edge/3g. Для экономии трафика и ускорения загрузки использовал локальный кэширующий прокси. С массовым переходом на https польза от кэширующего прокси стала быстро падать, а толку от "https everywhere" для меня лично не было. И overhead можно было измерить не только в мегабайтах, но и в рублях ...

Сейчас - безлимитка, но даже на ней я бы оставил локальный прокси, если бы https использовался только там, где он реально нужен.

> P.S. Если оказется, что унитаз можно тривиальным образом (а то и случайно)
> превратить, например, в шпионское устройство - то я доступ к нему
> контролировать очень даже начну.

Да, но вы же не поставили его сейчас, а ждете кода появится реальная необходимость.

Ответить | Правка | Наверх | Cообщить модератору

170. "Релиз ядра Linux 4.13"  –2 +/
Сообщение от Аноним (-), 05-Сен-17, 21:35 
> Сейчас - безлимитка, но даже на ней я бы оставил локальный прокси,
> если бы https использовался только там, где он реально нужен.

Он везде нужен. Потому что провайдеры обнаглели и не гнушаются врезки в траффик своего контента, не говоря об элементарном шпионаже. Я не позволю врезать в мой сайт моим пользователям чей-то левый контент.

Кроме того, шифровать все вообще полезно с точки зрения attack surface. Если шифрования мало - шифрование будет как красная тряпка для атакующих. А так есть шанс разломав увидеть всего лишь фотки котиков и лайки. Здорово снижает мотивацию активных/ресурсоемких атак, делая в целом несколько безопаснее. Потому что вероятность взлома понижается - атакующий плохо видит цель.

Ответить | Правка | Наверх | Cообщить модератору

182. "Релиз ядра Linux 4.13"  +/
Сообщение от Mihail Zenkov (ok), 05-Сен-17, 22:52 
>> Сейчас - безлимитка, но даже на ней я бы оставил локальный прокси,
>> если бы https использовался только там, где он реально нужен.
> Он везде нужен. Потому что провайдеры обнаглели и не гнушаются врезки в
> траффик своего контента,

Это проблема недобросовестного провайдера и решать ее нужно иначе - по-возможности сменой провайдера или все тем же прокси, но уже режущим лишнее.

> не говоря об элементарном шпионаже.

Как уже отмечали выше - https это защита весьма условная. Если бы у меня была действительно секретная информация, то я бы не стал на него полагаться.

> Кроме того, шифровать все вообще полезно с точки зрения attack surface. Если
> шифрования мало - шифрование будет как красная тряпка для атакующих. А
> так есть шанс разломав увидеть всего лишь фотки котиков и лайки.
> Здорово снижает мотивацию активных/ресурсоемких атак, делая в целом несколько безопаснее.
> Потому что вероятность взлома понижается - атакующий плохо видит цель.

Домен видит? Вот и цель, а остальное отбросит и смысл тогда все подряд шифровать?

Ответить | Правка | Наверх | Cообщить модератору

189. "Релиз ядра Linux 4.13"  –1 +/
Сообщение от Пох (?), 06-Сен-17, 08:41 
Попробуйте сменить любого из большой тройки мобильных.
мой местный тоже не гнушался, пока видимо не пошла волна жалоб и не сткунули по лбу очередному эффективному менеджеру. Но с тех пор практика прекратилась.

Мне вот другое интересно. Вот сидят в метро куча людей и даже не задумывается, что через халявный файфай, который привязывается к телефону, можно утянуть кучу данных. И ведь даже сопоставлять ничего не надо. Сам зарегился на телефонный номер.

Ответить | Правка | Наверх | Cообщить модератору

195. "Релиз ядра Linux 4.13"  –1 +/
Сообщение от Mihail Zenkov (ok), 06-Сен-17, 13:59 
> Попробуйте сменить любого из большой тройки мобильных.
> мой местный тоже не гнушался, пока видимо не пошла волна жалоб и
> не сткунули по лбу очередному эффективному менеджеру. Но с тех пор
> практика прекратилась.

Я живу в Беларуси - у нас три оператора (mts, velcom, life). На протяжении 15 лет активно использовал мобильный интернет как основной домашний, периодически менял операторов. Подобных проделок не видел. А вот загнать клиента в глубокий ... минус они все горазды: мтс даже судом грозил, хотя я был уверен, что все оплатил и второй месяц ужу их услугами не пользовался. Оказалось, что отказаться от их услуг не так просто: пополняешь баланс, что бы рассчитаться за минус, а он при появлении положительного баланса включает автопродление услуги и ты опять в глубоком ... А главное - все законно.

Справедливости ради стоит отметить, что life отказался от подобной практики и призвал последовать его примеру других операторов - но они не спешат :)

Ответить | Правка | Наверх | Cообщить модератору

191. "Релиз ядра Linux 4.13"  +1 +/
Сообщение от Michael Shigorinemail (ok), 06-Сен-17, 12:37 
>> если бы https использовался только там, где он реально нужен.
> Он везде нужен.

Недавно тащил какой-то тарбол метров на ...сто или ...ста.  Он неспешно полз откуда-то с той стороны планеты.  Заметил, что по https, ^C, убрал лишнюю буковку, получил на канальной скорости.

Так это хорошо, что отборные дятлы с такими мантрами не влепили на той стороне принудительную перекидку на :443.

А ещё так и хочется стравить их с "экологами-активистами" и пусть хоть сожрут друг друга -- энергия-то на это всё тоже уходит и вовсе не в никуда рассеивается.

Ответить | Правка | К родителю #170 | Наверх | Cообщить модератору

199. "Релиз ядра Linux 4.13"  +1 +/
Сообщение от AlexYeCu_not_logged (?), 06-Сен-17, 17:57 
>Просто есть миф, что под рутом работать нельзя

Это не миф.

Ответить | Правка | К родителю #114 | Наверх | Cообщить модератору

200. "Релиз ядра Linux 4.13"  +/
Сообщение от Led (ok), 06-Сен-17, 23:50 
>>Просто есть миф, что под рутом работать нельзя
> Это не миф.

У них там даже картошку сортируют под "рутом".

Ответить | Правка | Наверх | Cообщить модератору

201. "Релиз ядра Linux 4.13"  –1 +/
Сообщение от Mihail Zenkov (ok), 07-Сен-17, 00:09 
> Это не миф.

У вас есть обоснование (применительно к домашней системе с одним пользователем) и достоверная статистика?

P.S. Как показывает опрос (https://www.linux.org.ru/polls/polls/11444227) под рутом работает много людей. Если это не миф, то как же все они работают?

Ответить | Правка | К родителю #199 | Наверх | Cообщить модератору

209. "Релиз ядра Linux 4.13"  +/
Сообщение от AlexYeCu_not_logged (?), 11-Сен-17, 13:10 
>под рутом работает много людей

8% по приведённой тобой же ссылке.

>Если это не миф, то как же все они работают?

До поры, до времени.

Ответить | Правка | Наверх | Cообщить модератору

211. "Релиз ядра Linux 4.13"  –1 +/
Сообщение от Mihail Zenkov (ok), 11-Сен-17, 16:21 
> До поры, до времени.

Так сколько мне еще ждать? Еще 15 лет?

Ответить | Правка | Наверх | Cообщить модератору

210. "Релиз ядра Linux 4.13"  +/
Сообщение от AlexYeCu_not_logged (?), 11-Сен-17, 13:17 
> У вас есть обоснование (применительно к домашней системе с одним пользователем)

Есть. Систем с одним пользователем не существует, по крайней мере более-менее современных и более-менее распространённых.

Зато существуют программисты-раздолбаи, и, как следствие, программные баги. Уязвимости и терабайты вредоносного хлама в интернете. Разработка своих скриптов и программ.

Ваш Кэп.

Ответить | Правка | К родителю #201 | Наверх | Cообщить модератору

212. "Релиз ядра Linux 4.13"  –1 +/
Сообщение от Mihail Zenkov (ok), 11-Сен-17, 16:27 
>> У вас есть обоснование (применительно к домашней системе с одним пользователем)
> Есть. Систем с одним пользователем не существует, по крайней мере более-менее современных
> и более-менее распространённых.

Это не обоснование. Во всех современных системах есть виртуализация/контейнеры, шифрование дисков и еще много чего. Но это не говорит о том, что это нужно использовать всегда.

> Зато существуют программисты-раздолбаи, и, как следствие, программные баги. Уязвимости
> и терабайты вредоносного хлама в интернете. Разработка своих скриптов и программ.

И? На машине с одним пользователем самое ценное - пользовательские данные. Они по-определению доступны из под логина пользователя.

Ответить | Правка | Наверх | Cообщить модератору

213. "Релиз ядра Linux 4.13"  –1 +/
Сообщение от лютый жабист__ (?), 11-Сен-17, 18:29 

> И? На машине с одним пользователем самое ценное - пользовательские данные. Они
> по-определению доступны из под логина пользовате

С фига ли? Например у меня все фоточки и видео  для юзера в ро, изменять только рут может.  бэкап в паре мест. И браузер запускается из под третьего юзера ;) а браузер для финансов из под четвертого. При этом никакого дискомфорта такая схема не доставляет

Ответить | Правка | К родителю #212 | Наверх | Cообщить модератору

214. "Релиз ядра Linux 4.13"  –1 +/
Сообщение от Mihail Zenkov (ok), 11-Сен-17, 20:11 
>> И? На машине с одним пользователем самое ценное - пользовательские данные. Они
>> по-определению доступны из под логина пользовате
> С фига ли? Например у меня все фоточки и видео  для
> юзера в ро, изменять только рут может.

То есть, что бы удалить/отредактировать фотографию, каждый раз нужен повышать привилегии до рута? А если я постоянно работаю с фото и 3d графикой, видео и звуком?

Обычно пользователь не просто хранит файлы, а постоянно создает и редактирует их.

>  бэкап в паре мест.

Вот если бы говорили о необходимости бэкапа - я бы слова против не сказал.

> При этом никакого дискомфорта такая схема
> не доставляет

Рад за вас. Но лично для меня - вдалбливать каждый раз рутовый пароль и следить за правами доступа - пустая трата времени, реально ничего не дающая, в отличии от бэкапа.

Я могу привести десятки случаев, когда бакап спас. Но не знаю ни одного, когда спасло бы разделение на пользователя и рута в домашней системе.

Ответить | Правка | К родителю #213 | Наверх | Cообщить модератору

215. "Релиз ядра Linux 4.13"  –1 +/
Сообщение от лютый жабист__ (?), 12-Сен-17, 11:29 
> То есть, что бы удалить/отредактировать фотографию, каждый раз нужен повышать привилегии до рута? А если я постоянно работаю с фото и 3d графикой, видео и звуком?

Все свои 50-100-500-5000 ГБ фото/видео надо постоянно редактировать? И ещё хранить в 1 каталоге, чтобы нельзя было права разные настроить?

> Обычно пользователь не просто хранит файлы, а постоянно создает и редактирует их.

Обычно пользователь всё добро хранит в 100500 разных "новая папка n" на забитом на 99% диске С. Потом приходит шифровальщик или карачун железу. Пользователь пускает крокодилью слезу и всё по новой.

Ответить | Правка | К родителю #214 | Наверх | Cообщить модератору

216. "Релиз ядра Linux 4.13"  –1 +/
Сообщение от Mihail Zenkov (ok), 12-Сен-17, 11:47 
> Все свои 50-100-500-5000 ГБ фото/видео надо постоянно редактировать? И ещё хранить в
> 1 каталоге, чтобы нельзя было права разные настроить?

Можно настроить разные права. Но это:
1. не удобно - так как постоянно нужно думать, где у тебя какие права и менять их
2. есть вероятность запутаться/забыть/неверно выставить права
3. если что - мы все равно теряем последние данные над которыми работали
4. права все равно не могут заменить бэкап, особенно если "приходит карачун железу"

Только бэкап дает почти 100% гарантию от потери данных. При этом он практически не требует дополнительного внимания.

P.S. раньше и сам практиковал что-то подобное - был отдельный раздел music, который при загрузке монтировался в ro, но позже отказался.

Ответить | Правка | К родителю #215 | Наверх | Cообщить модератору

217. "Релиз ядра Linux 4.13"  –1 +/
Сообщение от лютый жабист__ (?), 12-Сен-17, 13:27 
> Можно настроить разные права. Но это:
> 4. права все равно не могут заменить бэкап, особенно если "приходит карачун
> железу"

Только с бэкапом может случиться такой конфуз: ты бэкапишь побитые/неполные данные, потому что ребенок подошёл и потыкал в mc (ну или набрал случайно rm -r /home/photo/2014... а ты не заметил что 1 год пропал :) через год заметил, а у тебя версии только за полгода.

Ответить | Правка | К родителю #216 | Наверх | Cообщить модератору

218. "Релиз ядра Linux 4.13"  –1 +/
Сообщение от Mihail Zenkov (ok), 12-Сен-17, 18:00 
> Только с бэкапом может случиться такой конфуз: ты бэкапишь побитые/неполные данные, потому
> что ребенок подошёл и потыкал в mc (ну или набрал случайно
> rm -r /home/photo/2014... а ты не заметил что 1 год пропал
> :) через год заметил, а у тебя версии только за полгода.

Как я уже сказал - у меня эта ситуация исключена физическим ограничением доступа всех посторонних.

Если есть вероятность физического доступа к машине вредителей/дураков/детей - то естественно нужно этот доступ ограничить/контролировать.

Ответить | Правка | К родителю #217 | Наверх | Cообщить модератору

219. "Релиз ядра Linux 4.13"  +1 +/
Сообщение от Аноним84701 (ok), 12-Сен-17, 22:47 
> С фига ли? Например у меня все фоточки и видео  для юзера в ро, изменять только рут может.

Напуркуа? Это же надо редактор фоток и прочее из под рута запускать или права доступа менять, нет?
Не проще ли добавить пользователя "fotomaster" с umask 022/027 (т.е. rw-r--r/rw-r---)?
Ну  или наоборот – запускать дыро-браузеры от пользователя "websurfer" с возможностью записи только в своем хомяке/tmpfs (+ возможна еще целая куча "извращений" на вкус и цвет, см. firejail).

Ответить | Правка | К родителю #213 | Наверх | Cообщить модератору

228. "Релиз ядра Linux 4.13"  +/
Сообщение от Anonymoustus (ok), 18-Окт-17, 05:47 
Хорошая практика — для работы копировать нужные файлы в какое-нибудь постоянное выделенное «рабочее место», а обратно возвращать только готовый результат, не удаляя исходники, отдельной вдумчивой rw-сессией.
Ответить | Правка | К родителю #219 | Наверх | Cообщить модератору

125. "Релиз ядра Linux 4.13"  +/
Сообщение от llolik (ok), 05-Сен-17, 08:59 
> собственно, а чего вы хотите на фоне "TLS в ядре"?

Как я понимаю, туда перенесли только блочный шифр, чтоб sendfile(), например, в TLS-соединение делать без кучи копирований kernel-userspace. Handshake и всё остальное всё равно делается в userspace также, как и раньше.

Ответить | Правка | К родителю #39 | Наверх | Cообщить модератору

130. "Релиз ядра Linux 4.13"  +/
Сообщение от пох (?), 05-Сен-17, 09:53 
>> собственно, а чего вы хотите на фоне "TLS в ядре"?
> Как я понимаю, туда перенесли только блочный шифр, чтоб sendfile(), например, в
> TLS-соединение делать без кучи копирований kernel-userspace. Handshake и всё остальное
> всё равно делается в userspace также, как и раньше.

угу - и имеем кучу каллбэков в user-space из ядерного контекста, со всеми вытекающими из этого.
Понятна цель факинбука, они уже весь мир под себя прогнули, что там какое-то ведро, но нам с вами радости от этого решительно никакой.

Ответить | Правка | Наверх | Cообщить модератору

150. "Релиз ядра Linux 4.13"  +/
Сообщение от Аноним (-), 05-Сен-17, 16:46 
> имеем кучу каллбэков в user-space из ядерного контекста

Нет, не имеем. Идите читайте пдфку.

Ответить | Правка | Наверх | Cообщить модератору

171. "Релиз ядра Linux 4.13"  +/
Сообщение от Аноним (-), 05-Сен-17, 21:39 
> Понятна цель факинбука, они уже весь мир под себя прогнули, что там
> какое-то ведро, но нам с вами радости от этого решительно никакой.

У факингбука цель простая, как и у почти всех кто сервера содержит: получить с своего железа максимум. Подобные фичи нацелены именно на это. Рассуждения о том что зелен виноград натыкаются на график в новости и опции сборки.

Ответить | Правка | К родителю #130 | Наверх | Cообщить модератору

188. "Релиз ядра Linux 4.13"  +/
Сообщение от пох (?), 05-Сен-17, 23:29 
>> Понятна цель факинбука, они уже весь мир под себя прогнули, что там
>> какое-то ведро, но нам с вами радости от этого решительно никакой.
> У факингбука цель простая, как и у почти всех кто сервера содержит:

у моих серверов нет проблемы с ssl - потому что они в диски и cpu на пехепе упираются, гораздо раньше.
Поэтому мне, как и большинству держателей серверов, довольно мало пользы от сендфайла в ssl'ный сокет.

У меньшинства - вам же уже тут такое, хехе, ...меньшинство писало - "ssl на фронтендах", там никаких файлов при правильной настройке вообще нет.

Ответить | Правка | Наверх | Cообщить модератору

133. "Релиз ядра Linux 4.13"  –2 +/
Сообщение от bOOster (ok), 05-Сен-17, 11:02 
>>> ... для рандомизации раскладки структур данных, который на этапе сборки делает непредсказуемым следование полей в структурах и затрудняет проведение атак, базирующихся на знании раскладки структур в ядре.
>> Это уже на уровне вредительства, правильно говорят что grsecurity делают школьники.
>> Плагин портирован из патчей проекта grsecurity;
> Ага, шапито в апстриме это нормально.

Конечно нормально. Сейчвс вспылвет куча "оптимизированного" в кавычках г%внокода, которые к структурам обращались по вычисленному фиксированному адресу внутри структуры.  А после приведения софта в порядок, вдруг линь начнет работать медленнее BSD в данном контексте….

Ответить | Правка | К родителю #37 | Наверх | Cообщить модератору

172. "Релиз ядра Linux 4.13"  +/
Сообщение от Аноним (-), 05-Сен-17, 21:44 
> Конечно нормально. Сейчвс вспылвет куча "оптимизированного" в кавычках г%внокода,

Если какой-то код в юзермоде вообще ориентировался на структуры ядра - авторы скорее всего делали что-то не так. А если они при этом еще и предполагали конкретные адреса - кто им доктор? Реально что-то такое может быть в паре глубоко системных программ. Остальным в внутренних структурах ядра делать нечего.

Ответить | Правка | Наверх | Cообщить модератору

38. "Релиз ядра Linux 4.13"  –8 +/
Сообщение от пох (?), 04-Сен-17, 12:35 
> Это уже на уровне вредительства,

к счастью, этот бесполезный хлам можно отключить.

> Это уже на уровне вредительства, правильно говорят что grsecurity делают школьники.

нет, школьники засели в KSPP - и тырят кусочки кода grsec, которые во-первых, вовсе не предназначены для использования отдельно от комплекса остальных мер, во-вторых, никогда и не позиционировались как решение "для всех". Что, собственно, авторов grsec и затрахало неимоверно. Но школота продолжает твердить что они лучше знают и тащить в ядро всякую дрянь, плохо при этом понимая ее работу - "мы требуем со6лядения GPL!!!".

Ответить | Правка | К родителю #34 | Наверх | Cообщить модератору

67. "Релиз ядра Linux 4.13"  +1 +/
Сообщение от Аноним (-), 04-Сен-17, 16:06 
Но факт того, что они GPL нарушают ты не отрицаешь? К тому же "школота" не тащит это в ядро, таки наоборот.
Ответить | Правка | Наверх | Cообщить модератору

173. "Релиз ядра Linux 4.13"  +/
Сообщение от Аноним (-), 05-Сен-17, 21:49 
С другой стороны, авторы grsec тоже затрахали немало народа своим илитизмом, снобизмом, нулевым юзабилити, диким неадекватом (в твиттере разок было просто сказочное шоу). Наверное логично что появился неплохой спрос на то чтобы кто-то делал более юзабельно. И таки упомянутая фича юзабельна сама по себе. Если адреса структур будут перемешаны, атакующему будет очень неудобно а у эксплойта будет лишний шанс не сработать.
Ответить | Правка | К родителю #38 | Наверх | Cообщить модератору

35. "Релиз ядра Linux 4.13"  –1 +/
Сообщение от Андрей (??), 04-Сен-17, 11:57 
> В ext4 добавлена возможность хранения расширенных атрибутов файлов (Xattr) в отдельных inode

И как она активируется? Нужно ли переформативать?

> В XFS добавлена поддержка опций SEEK_HOLE и SEEK_DATA системного вызова lseek() для выявления пустых областей и блоков данных внутри файла

Вот это да! В XFS этого не было!?

Ответить | Правка | Наверх | Cообщить модератору

54. "Релиз ядра Linux 4.13"  –1 +/
Сообщение от saahriktu (ok), 04-Сен-17, 14:25 
Новые опции ядра:
Expose irq internals in debugfs (GENERIC_IRQ_DEBUGFS) [N/y/?] (NEW)
Allow slab caches to be merged (SLAB_MERGE_DEFAULT) [Y/n/?] (NEW)
Perform full reference count validation at the expense of speed (REFCOUNT_FULL) [N/y/?] (NEW)
Collect percpu memory statistics (PERCPU_STATS) [N/y/?] (NEW)
Transport Layer Security support (TLS) [N/y/?] (NEW)
Microchip KSZ series switch support (MICROCHIP_KSZ) [N/y/?] (NEW)
  Cortina EDC CDR 10G Ethernet PHY (CORTINA_PHY) [N/y/?] (NEW)
  Marvell Alaska 10Gbit PHYs (MARVELL_10G_PHY) [N/y/?] (NEW)
  Quantenna wireless cards support (WLAN_VENDOR_QUANTENNA) [Y/n/?] (NEW)
  D-Link DIR-685 touchkeys support (KEYBOARD_DLINK_DIR685) [N/y/?] (NEW)
Microchip MCP23xxx I/O expander (PINCTRL_MCP23S08) [N/y/?] (NEW)
Intel Cannon Lake PCH pinctrl and GPIO driver (PINCTRL_CANNONLAKE) [N/y/?] (NEW)
  Update boot-enabled watchdog until userspace takes over (WATCHDOG_HANDLE_BOOT_ENABLED) [Y/n/?] (NEW)
Support for Intel Cherry Trail Whiskey Cove PMIC (INTEL_SOC_PMIC_CHTWC) [N/y/?] (NEW)
ITE devices (HID_ITE) [Y/n/?] (NEW)
Retrode (HID_RETRODE) [N/y/?] (NEW)
USB Type-C Connector System Software Interface driver (TYPEC_UCSI) [N/y/?] (NEW)
  RTC non volatile storage support (RTC_NVMEM) [Y/n/?] (NEW)
  Faraday Technology FTRTC010 RTC (RTC_DRV_FTRTC010) [N/y/?] (NEW)
  Virtual Box Graphics Card (DRM_VBOXVIDEO) [N/y/?] (NEW)
    WMI embedded Binary MOF driver (WMI_BMOF) [Y/n/?] (NEW)
    PEAQ 2-in-1 WMI hotkey driver (PEAQ_WMI) [N/y/?] (NEW)
Hardware Spinlock drivers (HWSPINLOCK) [N/y] (NEW)
Qualcomm RPM Glink driver (RPMSG_QCOM_GLINK_RPM) [N/y/?] (NEW)
  Overlayfs: turn on inodes index feature by default (OVERLAY_FS_INDEX) [N/y/?] (NEW)
Detect Soft Lockups (SOFTLOCKUP_DETECTOR) [N/y/?] (NEW)
Detect Hard Lockups (HARDLOCKUP_DETECTOR) [N/y/?] (NEW)
Warn for all uses of unseeded randomness (WARN_ALL_UNSEEDED_RANDOM) [N/y/?] (NEW)
  Show eval mappings for trace events (TRACE_EVAL_MAP_FILE) [N/y/?] (NEW)
Interval tree test (INTERVAL_TREE_TEST) [N/y/?] (NEW)
sysctl test driver (TEST_SYSCTL) [N/y/?] (NEW)
Harden common str/mem functions against buffer overflows (FORTIFY_SOURCE) [N/y/?] (NEW)
  Support for Cavium CNN55XX driver (CRYPTO_DEV_NITROX_CNN55XX) [N/y/?] (NEW)
CRC4 functions (CRC4) [N/y/?] (NEW)
Ответить | Правка | Наверх | Cообщить модератору

147. "Релиз ядра Linux 4.13"  –1 +/
Сообщение от Аноним (-), 05-Сен-17, 15:03 
А где можно такие списки с новыми опциями разных версий найти?
Ответить | Правка | Наверх | Cообщить модератору

149. "Релиз ядра Linux 4.13"  +/
Сообщение от saahriktu (ok), 05-Сен-17, 16:09 
Лично я, собирая себе новое ядро, копирую конфиг от предыдущей версии и запускаю "make oldconfig". Конфигуратор начинает спрашивать по поводу новых опций, а я копирую куски его вывода. И получаются вот такие вот списки.

Для последних ядер (4.4-4.10, 4.13) такие списки можно взять здесь: http://saahriktu.org/linuxnewopts.tar.lzma .

Ответить | Правка | Наверх | Cообщить модератору

152. "Релиз ядра Linux 4.13"  +1 +/
Сообщение от пох (?), 05-Сен-17, 17:48 
> Лично я, собирая себе новое ядро, копирую конфиг от предыдущей версии и
> запускаю "make oldconfig". Конфигуратор начинает спрашивать по поводу новых опций, а
> я копирую куски его вывода. И получаются вот такие вот списки.

это далеко не полный набор - многие вопросы конфигуратора иерархические, и если на верхнем уровне иерархии застрял дефолтный 'N', то узнать, что изменялось под ними, таким образом не получится.

Ответить | Правка | Наверх | Cообщить модератору

155. "Релиз ядра Linux 4.13"  –1 +/
Сообщение от saahriktu (ok), 05-Сен-17, 19:33 
Тем не менее, полученные таким образом опции точно являются новыми.
Ответить | Правка | Наверх | Cообщить модератору

175. "Релиз ядра Linux 4.13"  +1 +/
Сообщение от Аноним (-), 05-Сен-17, 22:01 
> Тем не менее, полученные таким образом опции точно являются новыми.

Опции сборки бывают условными. Ты не увидишь опций для архитектур отличных от твоей или для случаев когда выбор сделанный ранее конфликтует с опцией. Поэтому то что ты видишь - какой-то частный случай, зависящий от архитектуры и ранее выбранных опций. И зачем его вываливать сюда? Те кому надо - все-равно на вопросы билдсистемы ответят, так как актуально в их конфигурациях.

Ответить | Правка | Наверх | Cообщить модератору

190. "Релиз ядра Linux 4.13"  –1 +/
Сообщение от saahriktu (ok), 06-Сен-17, 12:06 
Далеко не все опции ядра архитектуроспецифичны. Да, если какие-то подсистемы драйверов отключены, то связанные с ними опции в список не попадут. Однако, базовые подсистемы включены в любом случае. А потому опции, которые связаны с разного рода планировщиками, управлением памятью, процессорами и питанием, базовые сетевые опции,... и т.д. в список попадут точно. И это может быть интересно тем, кто хочет знать какие серьёзные измения произошли в базовых подсистемах ядра.
Ответить | Правка | Наверх | Cообщить модератору

174. "Релиз ядра Linux 4.13"  +/
Сообщение от Аноним (-), 05-Сен-17, 21:55 
> А где можно такие списки с новыми опциями разных версий найти?

git diff, хоть и не очень удобно. А у предыдущего автора не все новые опции ядра показаны, только то что актуально для его системы и архитектуры. Там есть еще всякие условные опции, специфичные для платформ/архитектур. Которых у автора в списке конечно же быть не обязано. Не будет билдсистема работающая на x86(_64) показывать новые опции сборки какого-нибудь MIPSа или ARM. Но это не означает что эти опции не доабвили. Они неактуальны для авторской конфигурации. Но автор об этом видимо не знает, он занят компилированием - некогда билдсистему изучать.

Ответить | Правка | К родителю #147 | Наверх | Cообщить модератору

55. "Релиз ядра Linux 4.13"  –1 +/
Сообщение от Аноним (-), 04-Сен-17, 14:41 
> от 1400 разработчиков

А сколько линуксоидов в мире?

Ответить | Правка | Наверх | Cообщить модератору

64. "Релиз ядра Linux 4.13"  +/
Сообщение от A.Stahl (ok), 04-Сен-17, 15:32 
~120 млн.
Ответить | Правка | Наверх | Cообщить модератору

73. "Релиз ядра Linux 4.13"  +/
Сообщение от Аноним (-), 04-Сен-17, 16:55 
А вы считаете линускоидами дилетантов вроде меня?
Я не компьютерщик, а просто пользователь, но умею ставить некоторые дистрибутивы Линукса, настраивать их и обслуживать.
Спрашиваю абсолютно серьезно и сам стараюсь понять.
Ответить | Правка | Наверх | Cообщить модератору

74. "Релиз ядра Linux 4.13"  +/
Сообщение от Аноним (-), 04-Сен-17, 16:58 
линуксоидами, извините за описку
Ответить | Правка | Наверх | Cообщить модератору

75. "Релиз ядра Linux 4.13"  +2 +/
Сообщение от A.Stahl (ok), 04-Сен-17, 17:11 
Конечно. Линукс есть? Ну значит всё, не отмажешься уже:)
Ответить | Правка | К родителю #73 | Наверх | Cообщить модератору

92. "Релиз ядра Linux 4.13"  –1 +/
Сообщение от lucentcode (ok), 04-Сен-17, 22:39 
Чем-то ваш комментарий напомнил мне один анекдот, про самогонный аппарат, где полицейский уверял что если у человека аппарат есть, значит он его активно использует...
Ответить | Правка | Наверх | Cообщить модератору

88. "Релиз ядра Linux 4.13"  +/
Сообщение от Аноним (-), 04-Сен-17, 21:52 
Пользователей андроида почему не посчитал? Да, они в нём не разбираются, но пользуются же!
Ответить | Правка | К родителю #64 | Наверх | Cообщить модератору

66. "Релиз ядра Linux 4.13"  +/
Сообщение от mumu (ok), 04-Сен-17, 16:01 
> TLS: AES GCM

А почему нет CBC, XTS и т.п.? Я вечно в этих аббревиатурах путаюсь и не до конца понимаю что где и когда используется.

Ответить | Правка | Наверх | Cообщить модератору

77. "Релиз ядра Linux 4.13"  +/
Сообщение от Передний конец разработки (?), 04-Сен-17, 17:30 
XTS обычно используют в linux-luks и freebsd-geom
Ответить | Правка | Наверх | Cообщить модератору

78. "Релиз ядра Linux 4.13"  +1 +/
Сообщение от zanswer CCNA RS and S (?), 04-Сен-17, 17:41 
Потому, что GCM лучше всего подходит для шифрования сетевых пакетов. В конечном счёте цель инженеров Facebook и Red Hat была низкая латентность, и высокая производительность. А не реализация всех возможных режимов работы AES.
Ответить | Правка | К родителю #66 | Наверх | Cообщить модератору

80. "Релиз ядра Linux 4.13"  +1 +/
Сообщение от Stax (ok), 04-Сен-17, 18:17 
CBC нельзя параллельно считать, а GCM можно.
У XTS есть потенциальные проблемы с безопасностью и он вообще не для сетевой передачи.

Для текущего стандарта TLS актуален в первую очередь GCM, CBC считается небезопасным, поэтому нет смысла делать что-либо кроме GCM.

Ответить | Правка | К родителю #66 | Наверх | Cообщить модератору

85. "Релиз ядра Linux 4.13"  –1 +/
Сообщение от забыл пароль (?), 04-Сен-17, 20:17 
Вроде насколько я помню, CBC это как-раз дефолтный режим для ipsec и GCM скорее всего не заработает на всяких вин7, старых цисках и т.п. (может даже вин10 тоже не умеет GCM, l2tp/ipsec он устанавливает всегда в режиме CBC).
Ответить | Правка | Наверх | Cообщить модератору

95. "Релиз ядра Linux 4.13"  –4 +/
Сообщение от Аноним (-), 04-Сен-17, 23:20 
ipsec сдох и плохо пахнет.
Ответить | Правка | Наверх | Cообщить модератору

109. "Релиз ядра Linux 4.13"  +1 +/
Сообщение от h31 (ok), 05-Сен-17, 01:31 
IPsec и мелкософт - это особая история. GCM вроде как поддерживается, но только вместе с IKEv1. В случае IKEv2 там максимум CBC.
А для TLS у них всё в порядке, GCM отлично работает и включен как самый приоритетный.
Ответить | Правка | К родителю #85 | Наверх | Cообщить модератору

121. "Релиз ядра Linux 4.13"  +/
Сообщение от zanswer CCNA RS and S (?), 05-Сен-17, 08:03 
Microsoft утверждает, что их реализация IKEv2 гарантирует следующие возможности:

"Supports IPsec end-to-end transport mode connections
Provides interoperability for Windows with other operating systems that use IKEv2 for end-to-end security
Supports Suite B (RFC 4869) requirements
Coexists with existing policies that deploy AuthIP/IKEv1
Uses the Windows PowerShell interface exclusively for configuration. You cannot configure IKEv2 through the user interface.
Uses certificates for the authentication mechanism"

Хотя RFC 4869 сейчас в статусе Obsoleted by: RFC 6379, тем не менее, мы можем обратится к нему за разъяснением, что же именно там Microsoft реализовала:

"3.1.  Suite "Suite-B-GCM-128"

   This suite provides ESP integrity protection and confidentiality
   using 128-bit AES-GCM (see [RFC4106]).  This suite or the following
   suite should be used when ESP integrity protection and encryption are
   both needed.

   ESP:
     Encryption     AES with 128-bit keys and 16-octet Integrity
                      Check Value (ICV) in GCM mode [RFC4106]
     Integrity      NULL

   IKEv2:
     Encryption                   AES with 128-bit keys in CBC mode
                                    [RFC3602]
     Pseudo-random function       HMAC-SHA-256 [RFC4868]
     Integrity                    HMAC-SHA-256-128 [RFC4868]
     Diffie-Hellman group         256-bit random ECP group [RFC5903]

3.2.  Suite "Suite-B-GCM-256"

   This suite provides ESP integrity protection and confidentiality
   using 256-bit AES-GCM (see [RFC4106]).  This suite or the preceding
   suite should be used when ESP integrity protection and encryption are
   both needed.

   ESP:
     Encryption     AES with 256-bit keys and 16-octet ICV in GCM mode
                      [RFC4106]
     Integrity      NULL

   IKEv2:
     Encryption                   AES with 256-bit keys in CBC mode
                                    [RFC3602]
     Pseudo-random function       HMAC-SHA-384 [RFC4868]
     Integrity                    HMAC-SHA-384-192 [RFC4868]
     Diffie-Hellman group         384-bit random ECP group [RFC5903]"

Как видим, для IPSec Phase 2, для протокола ESP поддерживается AES в GCM режиме, для IPSec Phase 1, для протокола IKEv2 нет.

Ответить | Правка | Наверх | Cообщить модератору

220. "Релиз ядра Linux 4.13"  +/
Сообщение от pavlinux (ok), 12-Сен-17, 23:49 
>[оверквотинг удален]
>   [RFC3602]
>      Pseudo-random function      
>  HMAC-SHA-384 [RFC4868]
>      Integrity      
>            
>   HMAC-SHA-384-192 [RFC4868]
>      Diffie-Hellman group      
>    384-bit random ECP group [RFC5903]"
> Как видим, для IPSec Phase 2, для протокола ESP поддерживается AES в
> GCM режиме, для IPSec Phase 1, для протокола IKEv2 нет.

Ответить | Правка | Наверх | Cообщить модератору

222. "Релиз ядра Linux 4.13"  +/
Сообщение от zanswer CCNA RS and S (?), 13-Сен-17, 13:33 
>[оверквотинг удален]
>>   [RFC3602]
>>      Pseudo-random function
>>  HMAC-SHA-384 [RFC4868]
>>      Integrity
>>
>>   HMAC-SHA-384-192 [RFC4868]
>>      Diffie-Hellman group
>>    384-bit random ECP group [RFC5903]"
>> Как видим, для IPSec Phase 2, для протокола ESP поддерживается AES в
>> GCM режиме, для IPSec Phase 1, для протокола IKEv2 нет.

IKEv2 SA может использовать только AES-CBC, но IPSec SA может использовать и AES-GCM, данные клиентов будут шифроваться уже с помощью AES-GCM. Иными словами, не вижу не какой проблемы, что IKEv2 SA использует AES-CBC.

Ответить | Правка | Наверх | Cообщить модератору

122. "Релиз ядра Linux 4.13"  +1 +/
Сообщение от zanswer CCNA RS and S (?), 05-Сен-17, 08:17 
Если верить Microsoft kb325158, то по умолчанию L2TP over IPSec вообще использует DES в CBC режиме, даже не AES.

Что касается того, поддерживается ли AES в GCM режиме или нет, в Windows 10 мне пока найти не удалось, есть таблица для более старых версий: https://technet.microsoft.com/en-us/library/dd125380(v=ws.10...

И в ней указано, что Windows 7 поддерживает AES в режиме GCM, но, только при использовании IKE в Quick режиме. Изменилось ли, что-то для Windows 10 в этом направлении, сказать сложно.

Ответить | Правка | К родителю #85 | Наверх | Cообщить модератору

91. "Релиз ядра Linux 4.13"  –1 +/
Сообщение от Андрей (??), 04-Сен-17, 22:02 
> CBC считается небезопасным, поэтому нет смысла делать что-либо кроме GCM.

Но стоит волею случая использовать тот же IV с одним KEY для шифрования, и GCM мгновенно взламывается.

Ответить | Правка | К родителю #80 | Наверх | Cообщить модератору

94. "Релиз ядра Linux 4.13"  +/
Сообщение от Аноним (-), 04-Сен-17, 23:19 
Это какой-то уж очень неслучайный случай.
Ответить | Правка | Наверх | Cообщить модератору

112. "Релиз ядра Linux 4.13"  +1 +/
Сообщение от h31 (ok), 05-Сен-17, 01:41 
AES-GCM работает заметно быстрее на современных процессорах. Имеет встроенный MAC, что опять же снижает нагрузку и упрощает процесс. Параллелится, как уже выше говорили. При его реализации меньше мест, где можно накосячить и ловить потом уязвимости.
CBC сейчас используется только как legacy.
Ответить | Правка | К родителю #66 | Наверх | Cообщить модератору

113. "Релиз ядра Linux 4.13"  +/
Сообщение от забыл пароль (?), 05-Сен-17, 01:55 
Спасибо за пояснения! Не просветите ещё насчет CTR? Он как к остальным относится и как и когда используется?
Ответить | Правка | Наверх | Cообщить модератору

146. "Релиз ядра Linux 4.13"  +1 +/
Сообщение от Stax (ok), 05-Сен-17, 14:24 
> Спасибо за пояснения! Не просветите ещё насчет CTR? Он как к остальным
> относится и как и когда используется?

Не совсем относится, это потоковый, а не блочный режим шифрования. Там нет никакой аутентификации, нужно прикручивать внешнюю. Голый поток CTR некий MiTM может изменить таким образом, чтобы после расшифровки мы получили другие данные и ничего не заметили - при этом MiTM'у совершенно даже не нужно знать, что там было исходно зашифровано. Также появляется уязвимость, если атакующий добудет исходные данные до шифрования и шифрованный поток.

CCM и GCM используют в своей основе CTR, добавляя аутентификацию (если совсем грубо упрощать).

Ответить | Правка | Наверх | Cообщить модератору

97. "Релиз ядра Linux 4.13"  –2 +/
Сообщение от Аноним (-), 04-Сен-17, 23:29 
Где улучшения для Ext2? Ибо мне нафиг не упало бесполезное журналирование, которое только и умеет, что дрюкать диск. А по сути, не наблюдаю никакого развития, с ядра 2.6*, один лишь продакшен для Красной Шляпы.
Ответить | Правка | Наверх | Cообщить модератору

110. "Релиз ядра Linux 4.13"  +/
Сообщение от анонист (?), 05-Сен-17, 01:35 
А разве нельзя журналирование отключить?
Ответить | Правка | Наверх | Cообщить модератору

129. "Релиз ядра Linux 4.13"  +1 +/
Сообщение от пох (?), 05-Сен-17, 09:50 
> Где улучшения для Ext2?

в гугле

> Ибо мне нафиг не упало бесполезное журналирование, которое

mkfs.ext4 -O '^has_journal' ниасилил? Тогда, к сожалению, тебе противопоказано использовать что-то немейнстримное - чтобы писать против ветра, штаны расстегивать уметь надо заранее, причем это не гарантирует от мокрых штанов, это pre-requirement.

> только и умеет, что дрюкать диск. А по сути, не наблюдаю
> никакого развития, с ядра 2.6*, один лишь продакшен для Красной Шляпы.

его и не будет.

У ext2 сегодня только одно преимущество - несколько большая компактность кода. Для неумеющих пользоваться mkfs пользы от него никакой, они просpут гигабайты там, где сэкономят килобайт, потому что еще много чем пользоваться не умеют.

Ответить | Правка | К родителю #97 | Наверх | Cообщить модератору

179. "Релиз ядра Linux 4.13"  +2 +/
Сообщение от Аноним (-), 05-Сен-17, 22:18 
> Где улучшения для Ext2? Ибо мне нафиг не упало бесполезное журналирование,

Бесполезное? Блаародного сэра не напрягает время fsck на диске пару терабайт? Вместо нескольких секунд реплея журнала при монтировании?

Ответить | Правка | К родителю #97 | Наверх | Cообщить модератору

100. "Релиз ядра Linux 4.13"  +/
Сообщение от Аноним (-), 05-Сен-17, 00:11 
Зачем такие ядра что ломают поддержку старых дров? Почему я не могу использовать линукс с видеокартой амд R9 270? Зачем ломать поддержку ABI, что они выиграли? Они только потеряли пользователей.
Ответить | Правка | Наверх | Cообщить модератору

103. "Релиз ядра Linux 4.13"  +2 +/
Сообщение от fidaj (ok), 05-Сен-17, 00:43 
кто-то потерял пользователей - а кто-то поимел бабло за новокупленное железо быстрее старого аж на 1,3421453544367% !
Ответить | Правка | Наверх | Cообщить модератору

118. "Релиз ядра Linux 4.13"  +/
Сообщение от Аноним (-), 05-Сен-17, 05:42 
> Почему я не могу использовать линукс с видеокартой амд R9 270?

Можете

Ответить | Правка | К родителю #100 | Наверх | Cообщить модератору

178. "Релиз ядра Linux 4.13"  +/
Сообщение от Аноним (-), 05-Сен-17, 22:14 
> Почему я не могу использовать линукс с видеокартой амд R9 270?

Это кто сказал такое? Под нее в ядре линукса аж целых ДВА драйвера. Так получилось. Amdgpu, который пока в экспериментальном режиме (с ним даже -PRO заработает) и обычный radeion.

> Зачем ломать поддержку ABI, что они выиграли?

Вы что, сами писали проприетарный драйвер GPU, что вас ABI интересует? И как, получилось обставить AMD в деле написания драйверов?

Ответить | Правка | К родителю #100 | Наверх | Cообщить модератору

102. "Релиз ядра Linux 4.13"  –5 +/
Сообщение от Аноним (-), 05-Сен-17, 00:14 
Вся эта глупорылая борьба с проприетарщиной - дикое безумие! Бинарные блобы это такой неотъемлемый элемент аппаратуры как и её составные части вроде микросхем и конденсаторов.
Ответить | Правка | Наверх | Cообщить модератору

105. "Релиз ядра Linux 4.13"  +1 +/
Сообщение от saahriktu (ok), 05-Сен-17, 00:46 
Никто не заставляет обновляться. Выбирая проприетарщину юзер соглашается с теми ограничениями, которые вводят её разработчики. А они просто не желают бегать и выпускать блобы под каждую новую версию. Поэтому эти блобы если и являются частью чьей-то системы, то только в рамках тех версий, для которых их выпустили проприетарщики. При этом рано или поздно они всё равно выкинут поддержку конкретного оборудования. Даже если оно ещё живо у юзеров.

Но, не всем нужны блобы.

Ответить | Правка | Наверх | Cообщить модератору

106. "Релиз ядра Linux 4.13"  +3 +/
Сообщение от Влад (??), 05-Сен-17, 00:46 
> Вся эта глупорылая борьба с проприетарщиной - дикое безумие! Бинарные блобы это
> такой неотъемлемый элемент аппаратуры как и её составные части вроде микросхем
> и конденсаторов.

С чего это вдруг?

Ответить | Правка | К родителю #102 | Наверх | Cообщить модератору

176. "Релиз ядра Linux 4.13"  +/
Сообщение от Аноним (-), 05-Сен-17, 22:05 
> такой неотъемлемый элемент аппаратуры как и её составные части вроде микросхем и конденсаторов.

Вот кстати микросхемы опенсорсные как раз появляются. Хорошо.

Ответить | Правка | К родителю #102 | Наверх | Cообщить модератору

116. "Релиз ядра Linux 4.13"  –1 +/
Сообщение от Аноним (-), 05-Сен-17, 04:04 
Ну когда же линукс сможет полноценно работать на нетбуках чери трейл?
Ответить | Правка | Наверх | Cообщить модератору

120. "Релиз ядра Linux 4.13"  –1 +/
Сообщение от Аноним (-), 05-Сен-17, 07:24 
> Без данной опции действует лимит на 10 млн файлов в одной директории, а при указании опции "largedir" лимит увеличивается до 2 миллиардов файлов

Как их потом удалить одной командой из баша без скриптования

Ответить | Правка | Наверх | Cообщить модератору

124. "Релиз ядра Linux 4.13"  –4 +/
Сообщение от iPony (?), 05-Сен-17, 08:49 
> find папка -name "*" -exec rm {} \;
Ответить | Правка | Наверх | Cообщить модератору

128. "Релиз ядра Linux 4.13"  +/
Сообщение от пох (?), 05-Сен-17, 09:33 
>> find папка -name "*" -exec rm {} \;

мда, я всегда подозревал альтернативную одаренность понийопов... exec... ага, в каталоге с 10000 записей.

find -type f -print0 | xargs -0 rm
(и вон из профессии, если a) не видите разницы b) это не первое, о чем вы подумали)

Ответить | Правка | Наверх | Cообщить модератору

131. "Релиз ядра Linux 4.13"  –4 +/
Сообщение от iPony (?), 05-Сен-17, 10:29 
> мда, я всегда подозревал альтернативную одаренность понийопов... exec... ага, в каталоге с 10000 записей.

Да, ты даже на самом слабом ПК моргнуть не сможешь.

PS: а про профессию - сам иди куда хочешь, а я не сисадмин

Ответить | Правка | Наверх | Cообщить модератору

136. "Релиз ядра Linux 4.13"  –2 +/
Сообщение от iPony (?), 05-Сен-17, 11:29 
И да. Лимит в xargs по аргументам в 2МБ - мы тупо в него упремся при 10 млн файлов
Ответить | Правка | К родителю #128 | Наверх | Cообщить модератору

137. "Релиз ядра Linux 4.13"  +1 +/
Сообщение от Andrey Mitrofanov (?), 05-Сен-17, 11:53 
> И да. Лимит в xargs по аргументам в 2МБ - мы тупо
> в него упремся при 10 млн файлов

# find / -delete

тебе в помощь.

Ответить | Правка | Наверх | Cообщить модератору

138. "Релиз ядра Linux 4.13"  –1 +/
Сообщение от iPony (?), 05-Сен-17, 11:56 
Оно по моему же только в GNU-том есть.
Ответить | Правка | Наверх | Cообщить модератору

139. "Релиз ядра Linux 4.13"  +4 +/
Сообщение от Andrey Mitrofanov (?), 05-Сен-17, 12:13 
> Оно по моему же только в GNU-том есть.

Я задел Ваши религиозные? Отлично.

Ответить | Правка | Наверх | Cообщить модератору

148. "Релиз ядра Linux 4.13"  +/
Сообщение от Аноним (-), 05-Сен-17, 15:31 
> Оно по моему же только в GNU-том есть.

C чего бы это?

> Author: peter <peter@FreeBSD.org>
> Date:   Fri Oct 4 12:54:07 1996 +0000
>    Implement a -delete option to find.  The code is extremely paranoid and
>    goes to a fair degree of trouble to enable something like this to
>    be safe:  cd /tmp && find . -mtime +7 -delete

Ответить | Правка | К родителю #138 | Наверх | Cообщить модератору

140. "Релиз ядра Linux 4.13"  +/
Сообщение от пох (?), 05-Сен-17, 12:47 
> И да. Лимит в xargs по аргументам в 2МБ

у xargs нет никаких лимитов по аргументам (точнее, они у нее не имеют ни малейшего отношения к описанному применению - аргумент там один, из двух байт - rm)

она вызовет этот rm столько раз, сколько понадобится, чтобы уместиться в системные лимиты на exec.

Ответить | Правка | К родителю #136 | Наверх | Cообщить модератору

193. "Релиз ядра Linux 4.13"  +/
Сообщение от Michael Shigorinemail (ok), 06-Сен-17, 12:48 
> find -type f -print0 | xargs -0 rm

find -type f -delete тогда уж.

Хотя да, всякие -0 из https://www.altlinux.org/Secure_Packaging_Policy некоторым выше могут и ныне быть в новинку...

Ответить | Правка | К родителю #128 | Наверх | Cообщить модератору

194. "Релиз ядра Linux 4.13"  +/
Сообщение от пох (?), 06-Сен-17, 13:59 
мои клавиатурные привычки - много старше -delete
(и универсальнее, ибо не всегда надо именно rm)

-0, правда, тоже недавнее изобретение, раньше приходилось еще и tr вставлять в цепочку.

Ответить | Правка | Наверх | Cообщить модератору

206. "Релиз ядра Linux 4.13"  +2 +/
Сообщение от pavlinux (ok), 09-Сен-17, 03:39 
>> find -type f -print0 | xargs -0 rm
> find -type f -delete тогда уж.
> Хотя да, всякие -0 из https://www.altlinux.org/Secure_Packaging_Policy некоторым выше
> могут и ныне быть в новинку...

touch ' ..  .\+Xy \+\8 Уда ли Мен\!!я '

Ответить | Правка | К родителю #193 | Наверх | Cообщить модератору

207. "Релиз ядра Linux 4.13"  +1 +/
Сообщение от pavlinux (ok), 09-Сен-17, 03:54 
find -type f -print0 | xargs -0 unlink

---

А ваще, руxками потереть иноду каталога и пошли всё нафег :)

Ответить | Правка | К родителю #193 | Наверх | Cообщить модератору

177. "Релиз ядра Linux 4.13"  +1 +/
Сообщение от Аноним (-), 05-Сен-17, 22:08 
>> find папка -name "*" -exec rm {} \;

А ты представляешь себе что будет при 10 000 000 файлов? Можешь создать и посмтреть как твоя конструкция отработает. Ты наверное удивишься увиденному.

Ответить | Правка | К родителю #124 | Наверх | Cообщить модератору

141. "Релиз ядра Linux 4.13"  +2 +/
Сообщение от пох (?), 05-Сен-17, 12:50 
> ionice -c 3 rm  -rf /* &

не работает же - задает глупые вопросы в новых-модных системах?
И зачем, кстати, ionice? Там тормоза не от io. (то есть не от того io которым управляет ionice)

Ответить | Правка | К родителю #124 | Наверх | Cообщить модератору

142. "Релиз ядра Linux 4.13"  –1 +/
Сообщение от anonimus (?), 05-Сен-17, 13:59 
Просто nice?
Ответить | Правка | Наверх | Cообщить модератору

144. "Релиз ядра Linux 4.13"  –2 +/
Сообщение от anonimus (?), 05-Сен-17, 14:07 
О, знаю. Shell вместо звёздочки влепит километровый список файлов и будет больно
Ответить | Правка | К родителю #141 | Наверх | Cообщить модератору

153. "Релиз ядра Linux 4.13"  +2 +/
Сообщение от пох (?), 05-Сен-17, 17:50 
> О, знаю. Shell вместо звёздочки влепит километровый список файлов и будет больно

почему километровый ? Или ты стамиллионами файлов в / нагадил? А чо, изобретательно ;-)

echo /* | wc
       1      21     136


Ответить | Правка | Наверх | Cообщить модератору

198. "Релиз ядра Linux 4.13"  –2 +/
Сообщение от Аноним (-), 06-Сен-17, 16:49 
Теперь драйвер gpu для vbox интегрирован в ядро, что в теории избавит от установки guest addition и позволит использовать полноценное 3д ускорение гостевой ос, правда не 17.10 разницу не увидел
Ответить | Правка | Наверх | Cообщить модератору

202. "Релиз ядра Linux 4.13"  –2 +/
Сообщение от докemail (?), 07-Сен-17, 14:36 
Обеспечено использование по умолчанию протокола SMB 3 (Server Message Block) при обращении к файлам на серверах Samba и Windows при помощи CIFS

-- что это значит вообще?)

Ответить | Правка | Наверх | Cообщить модератору

203. "Релиз ядра Linux 4.13"  +1 +/
Сообщение от Andrey Mitrofanov (?), 07-Сен-17, 16:46 
> Обеспечено использование по умолчанию протокола SMB 3 (Server Message Block) при обращении
> к файлам на серверах Samba и Windows при помощи CIFS
> -- что это значит вообще?)

"Технологии Майкрософт."  ==Не заморачивайтесь.

Ответить | Правка | Наверх | Cообщить модератору

204. "ядра Linux -- это Торвальдс виноват"  +/
Сообщение от Andrey Mitrofanov (?), 08-Сен-17, 11:02 
>> Обеспечено использование по умолчанию протокола SMB 3 (Server Message Block) при обращении
>> к файлам на серверах Samba и Windows при помощи CIFS
>> -- что это значит вообще?)
> "Технологии Майкрософт."  ==Не заморачивайтесь.

:( Или да.

"Earlier this year, widespread use of SMB1 in Linux servers helped fuel the expansion of the WannaCry ransomware." --http://linuxgizmos.com/android-oreo-adds-linux-kernel-reqs-d.../

Ответить | Правка | Наверх | Cообщить модератору

221. "Релиз ядра Linux 4.13"  –1 +/
Сообщение от Аноним (-), 13-Сен-17, 08:31 
Не перестаю удивляться эпичности фантазии придумавшего включать поддержку всех устройств прямо в ядро... По-моему это как каждого, желающего сдать на права заставлять тут же сдавать сразу на все категории, плюс на пилотирование вертолётов и подводных лодок и обязывать регулярно для продления прав выходить в финалы ЧМ по разным видам спорта.
Ответить | Правка | Наверх | Cообщить модератору

231. "Релиз ядра Linux 4.13"  +/
Сообщение от Феномен (?), 06-Дек-17, 01:33 
Это хорошие и добрые фантазии, благодаря которым мы можем вытащить HDD с пингвином из компьютера и не заморачиваясь подключить его к микроволновке, кофеварке, стиральной машине и т.п.
Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру