The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]



"Архитектура набора команд BPF получила статус предложенного стандарта"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Архитектура набора команд BPF получила статус предложенного стандарта"  +/
Сообщение от opennews (??), 06-Ноя-24, 15:06 
Комитет IETF (Internet Engineering Task Force), занимающийся развитием протоколов и архитектуры интернета, завершил формирование RFC для архитектуры набора команд BPF и опубликовал связанную с ним спецификацию под идентификатором RFC 9669. RFC получил статус "Предложенного стандарта", после чего начнётся работа по приданию RFC статуса чернового стандарта (Draft Standard), фактически означающего полную стабилизацию и учёт всех высказанных замечаний...

Подробнее: https://www.opennet.dev/opennews/art.shtml?num=62187

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по времени | RSS]


1. "Архитектура набора команд BPF получила статус предложенного ..."  +16 +/
Сообщение от Аноним (1), 06-Ноя-24, 15:06 
ну вот и сбылась мечта бекдощиков, виртуальная машина в контексте ядра.
Ответить | Правка | Наверх | Cообщить модератору

18. "Архитектура набора команд BPF получила статус предложенного ..."  +9 +/
Сообщение от inklesspen (ok), 06-Ноя-24, 17:54 
Так eBPF в ядре с 2011 года 😀
Ответить | Правка | Наверх | Cообщить модератору

24. "Архитектура набора команд BPF получила статус предложенного ..."  +/
Сообщение от Аноним (24), 06-Ноя-24, 18:35 
  Ну во-первых, пока что широкого применения не замечено, не очень распространено. Во-вторых, можно ограничить загрузку программ только одним рутом.
  Дальше, может появиться юзерспейсная проприетарщина, которая тащит с собой байткод и требует, чтобы для работы приложения этот байткод загрузили в ядро. Железки вот уже с собственной виртуальной машиной на подходе. Пока сетевые и NVMe, но потом и видяхи также. Соответственно, появятся и игрульки с приложенным таким байткодом, которые захотят, чтоб это код предварительно вгрузили.
  А поскольку байткод аппаратно независим, вот тут-то и расцветут байткодобекдоры, байткодовирусы, байткодочерви от x86_64 до роутеров и Малинок с Апельсинками. Эпоха Linux-вирусов, о которой так долго говорили, наконец наступит! Да что там Linux-вирусов - межсистемных (ага. и FreeBSD c OpenBSD) и аппаратно кроссархитекурных.
Ответить | Правка | Наверх | Cообщить модератору

29. "Архитектура набора команд BPF получила статус предложенного ..."  +1 +/
Сообщение от Аноним (-), 06-Ноя-24, 18:57 
>   Ну во-первых, пока что широкого применения не замечено, не очень
> распространено. Во-вторых, можно ограничить загрузку программ только одним рутом.

Угу, пример ХЗ отлично показал, что ты можешь скачать официальную либу из официальной репы и там будет бекдор от анона.
И помог тебе твой рут?

> А поскольку байткод аппаратно независим, вот тут-то и расцветут байткодобекдоры, байткодовирусы, байткодочерви от x86_64 до роутеров и Малинок с Апельсинками.

Эпоха бекдоров в линуксе уже - вон Bvp47 жил в ядре 10 лет.
И это не считая всяких Miraiʼи, Rexobʼы, Xor DDoSʼы и прочую "радость".


Ответить | Правка | Наверх | Cообщить модератору

31. "Архитектура набора команд BPF получила статус предложенного ..."  +/
Сообщение от Аноним (24), 06-Ноя-24, 19:08 
Если официальном репозитории вашего нынешнего дистра лежат пакеты с бекдорами от васянов - меняйте дистр.
Ответить | Правка | Наверх | Cообщить модератору

37. "Архитектура набора команд BPF получила статус предложенного ..."  +2 +/
Сообщение от Аноним (-), 06-Ноя-24, 19:58 
> Если официальном репозитории вашего нынешнего дистра лежат пакеты с бекдорами от васянов - меняйте дистр.

А если васяном оказался сам разработчик)?
Или кто-то просто ошибся в коде (чесно-чесно верим))?


Ответить | Правка | Наверх | Cообщить модератору

101. "Архитектура набора команд BPF получила статус предложенного ..."  +/
Сообщение от Аноним (-), 08-Ноя-24, 10:36 
> Эпоха бекдоров в линуксе уже - вон Bvp47 жил в ядре 10  лет.

Какое эпичное ламерство! Это вообще отдельный бэкдор. Догружаемый извне. И вообще - почему в описании этой штуки упоминается какой-то шифрованный powershell скрипт? Это точно про бэкдор в ядре Linux? Ух да, если кто хочет посмеяться с этого ламера - загуглите что такое Bvp47, чтоли. Неплохо ищется. Только, конечно, это совсем не то что нам тут эксперт рассказал.

> И это не считая всяких Miraiʼи, Rexobʼы, Xor DDoSʼы и прочую "радость".

ИЧСХ оригинал mirai использовал офигенный "бэкдор" в виде логина admin:admin на девайс, где раздолбаи так пароль и оставили а в инет - вывесили. Ну он и собирал халяву оптом.

Ответить | Правка | К родителю #29 | Наверх | Cообщить модератору

35. "Архитектура набора команд BPF получила статус предложенного ..."  –1 +/
Сообщение от Аноним (35), 06-Ноя-24, 19:28 
>  пока что широкого применения не замечено,

Так может именно потому...

Или не сильно и хотели...
Линукс хакеры по понятной причине... А, линукс программисты в ч.н.ядра, например из-за типичной позорной вечной неудобности и т.б.невыгодности поднимать крик и вой о том в среде линукс разработчиков да ещё и тут же на весь мир, ту тот многие и в компании предпочитают незамечать ничего и даже порой в отношении себя чего то, опасаясь вызвать неудовольства руководства и слыть идеальным (зачёркнуто)терпилой(/зачёркнуто)на хорошем счету, и т.б.что, допустим на руках из доказательств только подозрения... (да даже если и не только - см.п.1.), подозрения по сути то в нечистоплотности т.е.тут уже надо идти против течения в коллективе... а, большинство предпочитают по течению, т.б.может опасаться что выпрут из разработчиков ядра и конец суперзарплате от компании, по кр.мере так могут мыслить
- и делать вид что они стул, или точней половичёк прихожей для вытирания ног т.б.в подобных случаях. Тут ещё и менталитет, конечно влияет и 70+уже40 лет [скрытого] геноцида самых решительных.

> Эпоха Linux-вирусов, о которой так долго говорили, наконец наступит!

Зачем вирусы в трояне, почитайте что ли хакерских статеек или даже целых книжек о никсах, начиная с приснопамтного поконого Мышх, пусть уже наверняка(и устаревшее?), но не только. В то время как весь мир включая линуксоидов в каждую щель в виндах в дизассемблере заглядывал всю историю - в других ОСях, в т.ч.и как менее популярных, это же делать уже почти некому. Да и надо же всем вещать что линукс защищённая более чем другие и ососбенно винда(которая и правда тоже троянище и втройне было на заре становления, правда потом и в лицензии и ещё ранее в лицензиях .NET'ах уже прописанно что она фактически легализированное троянище, и т.о. даже с официальным автообновлением, которые вы как пользователь даже не имеете права отключать, максимум врменно для отладочных целей самого обновление с/без - пока никто не земетил,а иначе вы уже преступник, - моими словами можно сказать дословный пересказ с дополнением неявного в официальном ответа на оф.форуме про выключения обновлений, только крики их я не перевёл... но, до сих пор в ушах звенит;
но, как видим и линуксы туда же... только с лицензией не так всё гладко но, ведь для этого есть над-законный и значит над-GPL/BSD/ипрч - DMCA и прч.,
Впрочем это в нато&гопкомпания а, у вас в светлом РФ - своё вам лучше знать, ну там СОРМЫ прмяо в заднцу или что ещё пока нето, но думается что и DMCA будет иметь силу особенно - когда уже вас сольют, в конце концев именно это же предвидел как то даже Стрелков... Да, красиво его сняли с голосований в презика, вы там в рф вообще знали о его попытке выдвижении? или типично тишина в СМИ а, то я пропустил тогда этот момент теперь гадаю).

Ответить | Правка | К родителю #24 | Наверх | Cообщить модератору

60. "Архитектура набора команд BPF получила статус предложенного ..."  +1 +/
Сообщение от Аноним (1), 07-Ноя-24, 02:22 
In 2010, Torvalds became a United States citizen and registered to vote in the United States. As of that year, he was unaffiliated with any U.S. political party, saying, "I have way too much personal pride to want to be associated with any of them, quite frankly."

April 2011 - The first in-kernel Linux just-in-time compiler (JIT compiler) for the classic Berkeley Packet Filter got merged.

Linus Torvalds said, "BPF has actually been really useful, and the real power of it is how it allows people to do specialized code that isn't enabled until asked for".

Ответить | Правка | К родителю #18 | Наверх | Cообщить модератору

63. "Архитектура набора команд BPF получила статус предложенного ..."  +/
Сообщение от Аноним (1), 07-Ноя-24, 02:31 
понятие "бекдор" появилось раньше чем понятие "баг".
Ответить | Правка | К родителю #18 | Наверх | Cообщить модератору

80. "Архитектура набора команд BPF получила статус предложенного ..."  +/
Сообщение от Аноним (-), 07-Ноя-24, 12:58 
> понятие "бекдор" появилось раньше чем понятие "баг".

Которое по отношению к вычислительной технике было применено при обслуживагнии Mark II Aiken Relay Calculator...
А бекдор это что? Секретный ход в хранилище спирта "для протирки контактов"?

Ответить | Правка | Наверх | Cообщить модератору

81. "Архитектура набора команд BPF получила статус предложенного ..."  –1 +/
Сообщение от Аноним (81), 07-Ноя-24, 13:29 
> А бекдор это что?

это то, для чего создавался ваш Calculator, и не говорите, что знаете для чего он создавался, ибо не вы его создавали и не у вас зародилась идея об его создании.

Ответить | Правка | Наверх | Cообщить модератору

97. "Архитектура набора команд BPF получила статус предложенного ..."  +/
Сообщение от Анонимemail (97), 07-Ноя-24, 19:37 
Вы пишите с каким-то налётом пафоса такую дичайшую жуть. Вы считаете это чем-то крутым или реально не осознаёте, что позоритесь?
Ответить | Правка | Наверх | Cообщить модератору

98. "Архитектура набора команд BPF получила статус предложенного ..."  +/
Сообщение от Аноним (81), 07-Ноя-24, 23:38 
> Вы пишите с каким-то налётом пафоса такую дичайшую жуть.

А вы не можете ответить на вопрос "А бекдор это что?" даже "дичью".

Ответить | Правка | Наверх | Cообщить модератору

99. "Архитектура набора команд BPF получила статус предложенного ..."  +/
Сообщение от Аноним (81), 07-Ноя-24, 23:54 
> налётом пафоса

а пафос бы я заменил на - презрение (эт не по отношению к вам, а по отношению к понятию бекдор)

Ответить | Правка | К родителю #97 | Наверх | Cообщить модератору

34. "Архитектура набора команд BPF получила статус предложенного ..."  +/
Сообщение от Аноним (-), 06-Ноя-24, 19:26 
> виртуальная машина в контексте ядра

А по моему это прекрасно.

Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

61. "Архитектура набора команд BPF получила статус предложенного ..."  +/
Сообщение от Аноним (1), 07-Ноя-24, 02:25 
Линус с вами согласен.
Ответить | Правка | Наверх | Cообщить модератору

41. "Архитектура набора команд BPF получила статус предложенного ..."  +1 +/
Сообщение от Аноним (41), 06-Ноя-24, 20:29 
> ну вот и сбылась мечта бекдощиков, виртуальная машина в контексте ядра.

И номер стандарта то какой хороший. Толи 96, толи 69... а впрочем разве между этими позами есть разница?! :)

Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

62. "Архитектура набора команд BPF получила статус предложенного ..."  +/
Сообщение от Аноним (1), 07-Ноя-24, 02:26 
> есть разница?

вопрос надо адресовать Мяв, ибо она способна понять разницу между х**ом и пальцем.

Ответить | Правка | Наверх | Cообщить модератору

67. "Архитектура набора команд BPF получила статус предложенного ..."  +/
Сообщение от Аноним (67), 07-Ноя-24, 08:15 
Разница есть, но они обе базовые :)
Ответить | Правка | К родителю #41 | Наверх | Cообщить модератору

2. "Архитектура набора команд BPF получила статус предложенного ..."  +/
Сообщение от аНОНИМemail (?), 06-Ноя-24, 15:11 
В нетбсд вообще луа в ядре, и ничо.
Ответить | Правка | Наверх | Cообщить модератору

4. "Архитектура набора команд BPF получила статус предложенного ..."  +6 +/
Сообщение от Аноним (4), 06-Ноя-24, 15:18 
Нетбсд - это неуловимый Джо. Они могут хоть бэйсик в ядро встрить.
Ответить | Правка | Наверх | Cообщить модератору

3. "Архитектура набора команд BPF получила статус предложенного ..."  +6 +/
Сообщение от Аноним (4), 06-Ноя-24, 15:14 
>более широкому внедрению подобных возможностей до сих пор мешали риски, связанные с нарушением совместимости и необходимостью отслеживания состояния eBPF в ядре

Ждем первый вирус. Интересно, это будет шифровальщик или майнер?

Ответить | Правка | Наверх | Cообщить модератору

9. "Архитектура набора команд BPF получила статус предложенного ..."  –2 +/
Сообщение от Жироватт (ok), 06-Ноя-24, 15:54 
> ЕГГОГ: This eBPF module need kernel version 7.1.1-RC1 or more. You 7.0.1 is too old to run this module
> ЕГГОГ: Этот модуль требует наличие флага компиляции -iSCISIv13.199.1
> Для того чтобы запустить наш вирос, вам нужно: перенести файл wetpussy.ebpf по адресу /local/share/ebpf; выставить права как указано на картинке через утилиту пакет ebpf_chmod (обычный chmod не работает); три раза на промт ввести пароль su; отключить проверку подписи, добавив в гроб параметр ядра FukinSingCHECKPleaseDoNotSetZero=0; поскакать на одной ножке; найти под подушкой красный айфон и тогда, возможно, если процесс не упадет, не найдя пакетов из core, мы вам зашифруем всю систему.
Ответить | Правка | Наверх | Cообщить модератору

11. "Архитектура набора команд BPF получила статус предложенного ..."  +4 +/
Сообщение от crypt (ok), 06-Ноя-24, 16:15 
я думаю, это будет какой-нибудь проприетарный сетевой драйвер от китайцев или nsa, который будет заодно подгружать свой payload.
Ответить | Правка | К родителю #3 | Наверх | Cообщить модератору

25. "Архитектура набора команд BPF получила статус предложенного ..."  –2 +/
Сообщение от товарищ майор (?), 06-Ноя-24, 18:41 
А мы вам предложим резидентный BPF-антивирус. Конечно же, от Касперского, а вы что подумали?
Ответить | Правка | К родителю #3 | Наверх | Cообщить модератору

36. "Архитектура набора команд BPF получила статус предложенного ..."  +1 +/
Сообщение от Анон36 (?), 06-Ноя-24, 19:49 
тов. майёр, зайдите завтра в отдел кадров, распишитесь в выговоре о НСС

# ll /opt/kaspersky/kesl/lib64/ | grep 'libbpf'
-rw-r--r--  2 root root   376128 ноя  4 19:02 libbpf.so
lrwxrwxrwx  2 root root        9 ноя  4 19:02 libbpf.so.1 -> libbpf.so

Ответить | Правка | Наверх | Cообщить модератору

59. "Архитектура набора команд BPF получила статус предложенного ..."  +1 +/
Сообщение от Аноним (35), 07-Ноя-24, 00:40 
Если это легальный аналог Windows-inject&hook идейно
- было бы даже странно антивирусу, с типичной самозащитой от атак зловредами, не использвоать ВСЕ средства для перехвата контроля ОС...
В общем, будет не мимо - когда будут дизассемблирванный дамп + комментарии что там именно зловредное.
Ответить | Правка | Наверх | Cообщить модератору

75. "Архитектура набора команд BPF получила статус предложенного ..."  +/
Сообщение от Анон36 (?), 07-Ноя-24, 12:09 
Легальный конечно. Нет там ничего зловредного, я к тому что давно уже используется, а тов майор прогуливает.
Ответить | Правка | Наверх | Cообщить модератору

5. "Архитектура набора команд BPF получила статус предложенного ..."  +12 +/
Сообщение от Аноним (5), 06-Ноя-24, 15:39 
Новость умалчивает, что продвижением eBPF как стандарта для всех ОС среди прочих является Microsoft.
https://github.com/microsoft/ebpf-for-windows#architectural-...

Тут нужно вспомнить, что в Windows 2003 была добавлена отдалённо-схожий набор технологий, который позволял определять собственные куски сетевого стека NDIS еще старых версий, кастомные отладчики, а в последствии хуки на антивирусы и прочие фильтры. Он выполнял примерно те же задачи, то есть позволял кастомному коду встроиться в пайплайны в ядре. И эти технологии даже работали, но с ними была тонна проблем.
1. Отсутствие вменяемой документации и стабильного API. То есть если ты не вендор-партнёр, то написать такое не выйдет.
2. Технические ограничения, которые они вводили в развитие сетевого стека NDIS.
3. Абсолютная несовместимость с какими бы то ни было способами разгрузки (offload) для IO на ASIC-ах.
4. Нынешнее состояние minifilter drivers и Virtual File System в целом в Windows весьма плачевное

Вот посмотрите, будет как с Kerberos, который придумали для UNIX, но массово он применяется именно в Windows.

Ответить | Правка | Наверх | Cообщить модератору

17. "Архитектура набора команд BPF получила статус предложенного ..."  +1 +/
Сообщение от Аноним (1), 06-Ноя-24, 17:42 
> среди прочих является Microsoft.

ща Нах попросит вас понюхать кое-что :)

Ответить | Правка | Наверх | Cообщить модератору

19. "Архитектура набора команд BPF получила статус предложенного ..."  +/
Сообщение от Аноним (19), 06-Ноя-24, 17:56 
Антивирусы штатно встраивают свои фильтры в сетевой стек Windows уже давно.
Ответить | Правка | К родителю #5 | Наверх | Cообщить модератору

68. "Архитектура набора команд BPF получила статус предложенного ..."  +1 +/
Сообщение от Аноним (5), 07-Ноя-24, 08:17 
Прежде всего они встраиваются в любое IO, на самом деле. И с это нужно знать каждому разработчику прикладного пользовательского ПО, который:
- что-то пишет под Windows
- что-то соберется писать под Linux, когда начнут массово применять eBPF

Всё просто:
1. Процесс в пространстве пользователя работал с файлами (читал, писал, добавлял)
2. Процесс решил, что больше не хочет работать с файлом и подал команду на закрытые.
3. Антивирус делает хук на процедуру закрытия файлового дескриптора и не даёт завершиться функциям типа fclose до тех пор, пока не выполнит свои проверки.
4. По завершению файл закрывается, а приложение (или ОС, если закрывался вообще весь процесс пользовательского приложения) думает, что fclose у нас медленный.

От разработчиков на Windows на любых языках и фреимворках требуется, чтобы любые операции освобождения памяти, закрытия файлов и сокетов производились в отдельном треде, чтобы не блокировать основной. А если у вас скрипт, например, который массово открывает и закрывает файлы на Windows, нужно предусмотреть несколько тредов и логику размещения операций закрытия по потокам. От таких изменений производительность растёт в разы!

Если eBPF начнёт активно применяться в десктопных редакциях Linux для организации безопасности. Если дистрибутивы начнут внедрять средства безопасности, используя eBPF именно для таких задач, придётся оптимизировать чуть ли не весь юзерспейсный софт.

Ответить | Правка | Наверх | Cообщить модератору

73. "Архитектура набора команд BPF получила статус предложенного ..."  +/
Сообщение от n00by (ok), 07-Ноя-24, 12:03 
Единственное, что проверки при вызове NtClose делать уже слишком поздно - создано 10 копий и каждая запущена. Потому проактивка пытается предугадать возможные последствия уже в момент открытия, а сигнатуры могут искаться при записи.
Ответить | Правка | Наверх | Cообщить модератору

78. "Архитектура набора команд BPF получила статус предложенного ..."  +1 +/
Сообщение от Аноним (81), 07-Ноя-24, 12:47 
это же современные ХДРщики у них детект возможен только после запуска, сбора тонны трейсов, оправки на "анализ" в клауд, и только после ручной верификации мы пришлем вам апдейт, который как показывает практика валит всю систему :)
Ответить | Правка | Наверх | Cообщить модератору

82. "Архитектура набора команд BPF получила статус предложенного ..."  +/
Сообщение от Аноним (82), 07-Ноя-24, 15:36 
нет не пришлём... максимум если не нами сделанно.

Ответить | Правка | Наверх | Cообщить модератору

6. "Архитектура набора команд BPF получила статус предложенного ..."  +/
Сообщение от Аноним (6), 06-Ноя-24, 15:41 
Как это отключить?
Ответить | Правка | Наверх | Cообщить модератору

8. "Архитектура набора команд BPF получила статус предложенного ..."  +3 +/
Сообщение от Аноним (8), 06-Ноя-24, 15:53 
Отключить стандарт? Найти всех, кто за него топит и сделать им предложение, от которого они не смогут отказаться.
Ответить | Правка | Наверх | Cообщить модератору

10. "Архитектура набора команд BPF получила статус предложенного ..."  –1 +/
Сообщение от scriptkiddis (?), 06-Ноя-24, 15:56 
В этом и пичаль в последних ядрах это уже сильно увязло и фиг отключишь
Ответить | Правка | К родителю #6 | Наверх | Cообщить модератору

43. "Архитектура набора команд BPF получила статус предложенного ..."  +/
Сообщение от Аноним (41), 06-Ноя-24, 20:35 
> В этом и пичаль в последних ядрах это уже сильно увязло и фиг отключишь

Да вроде отключается себе. Опять тут какие-то теоретики опеннетовские вещают, которые это даже на картинке не видели.

Ответить | Правка | Наверх | Cообщить модератору

12. "Архитектура набора команд BPF получила статус предложенного ..."  +2 +/
Сообщение от Аноним (4), 06-Ноя-24, 16:23 
Самому компилять ядро с выключенной поддержкой всего не нужного
Ответить | Правка | К родителю #6 | Наверх | Cообщить модератору

20. "Архитектура набора команд BPF получила статус предложенного ..."  +/
Сообщение от Аноним (19), 06-Ноя-24, 17:59 
И отлаживать. И бросить все остальные дела.
Ответить | Правка | Наверх | Cообщить модератору

48. "Архитектура набора команд BPF получила статус предложенного ..."  +1 +/
Сообщение от Аноним (-), 06-Ноя-24, 20:58 
> И отлаживать. И бросить все остальные дела.

Что вы там отлаживать собрались в отключенной фиче? Если что-то вырубить - там совершенно точно багов не будет, чисто технически :)

Ответить | Правка | Наверх | Cообщить модератору

65. "Архитектура набора команд BPF получила статус предложенного ..."  +1 +/
Сообщение от Аноним (65), 07-Ноя-24, 03:58 
Оно не отключается полностью, умник.
Ответить | Правка | К родителю #12 | Наверх | Cообщить модератору

66. "Архитектура набора команд BPF получила статус предложенного ..."  +/
Сообщение от Аноним (67), 07-Ноя-24, 08:10 
Но если не будет загрузчика байткода, то толку от остального?
Ответить | Правка | Наверх | Cообщить модератору

21. "Архитектура набора команд BPF получила статус предложенного ..."  +1 +/
Сообщение от Аноним (19), 06-Ноя-24, 18:00 
И уйти в маргиналы. Как systemd?
Ответить | Правка | К родителю #6 | Наверх | Cообщить модератору

69. "Архитектура набора команд BPF получила статус предложенного ..."  +/
Сообщение от Аноним (67), 07-Ноя-24, 08:18 
Без systemd полёт нормальный.
Ответить | Правка | Наверх | Cообщить модератору

72. "Архитектура набора команд BPF получила статус предложенного ..."  +/
Сообщение от 12yoexpert (ok), 07-Ноя-24, 11:19 
в арче это сделали неотключаемым. для твоей же безопасности, разумеется, куда без этого

https://bugs.archlinux.org/task/79573

Ответить | Правка | К родителю #6 | Наверх | Cообщить модератору

77. "Архитектура набора команд BPF получила статус предложенного ..."  +/
Сообщение от Аноним (77), 07-Ноя-24, 12:45 
Вот именно, значительная доля безопасности будет обеспечиваться eBPF, не ядром. И как это отрубать? К чему анализ исходников ядра, если есть динамические вставки кода?
Ответить | Правка | Наверх | Cообщить модератору

14. "Архитектура набора команд BPF получила статус предложенного ..."  +/
Сообщение от Аноним (14), 06-Ноя-24, 17:28 
Зачем пакетому фильтру виртуальная машина?
Ответить | Правка | Наверх | Cообщить модератору

16. "Архитектура набора команд BPF получила статус предложенного ..."  +2 +/
Сообщение от Аноним (16), 06-Ноя-24, 17:41 
Нужны динамические правила и трафика там бегает на гигабиты на системе уровня core2. Как-то надо решать.
Ответить | Правка | Наверх | Cообщить модератору

114. "Архитектура набора команд BPF получила статус предложенного ..."  +/
Сообщение от Аноним (114), 14-Ноя-24, 01:42 
Бред.
Ответить | Правка | Наверх | Cообщить модератору

15. "Архитектура набора команд BPF получила статус предложенного ..."  –4 +/
Сообщение от Аноним (15), 06-Ноя-24, 17:41 
Неплохо-неплохо.
Опять корпы (судя по нытью анонов в этот раз Мелкомягкие) делают для опенсорса и ядра больше, чем "сообщество какиров одиночек".
Не то чтобы я сильно удивился...
Ответить | Правка | Наверх | Cообщить модератору

26. "Архитектура набора команд BPF получила статус предложенного ..."  +1 +/
Сообщение от Аноним (24), 06-Ноя-24, 18:49 
Чего в данном случае они больше делают? Больше коричневой субстанции добавляют?
Ответить | Правка | Наверх | Cообщить модератору

58. "Архитектура набора команд BPF получила статус предложенного ..."  +/
Сообщение от Аноним (58), 06-Ноя-24, 23:32 
Ор
Ответить | Правка | Наверх | Cообщить модератору

23. "Архитектура набора команд BPF получила статус предложенного ..."  +1 +/
Сообщение от Аноним (23), 06-Ноя-24, 18:24 
А что за нытье про вирусы?
Если кому-то хватит привилегий запустить пэйлоад BPF, то и .ko он без проблем запустит.
Ответить | Правка | Наверх | Cообщить модератору

27. "Архитектура набора команд BPF получила статус предложенного ..."  +/
Сообщение от Аноним (58), 06-Ноя-24, 18:52 
Это значит что для вирей можно делать более удобный и близкий к ядру вход?
Ответить | Правка | Наверх | Cообщить модератору

30. "Архитектура набора команд BPF получила статус предложенного ..."  +/
Сообщение от Аноним (30), 06-Ноя-24, 19:01 
Ничем он не более удобен, а наоборот. Людей, пишущих на Си на порядки больше, чем знающих BPF на таком уровне. Если у тебя в системе кто-то левый может запустить такие команды, не умеет уже никакого значения, BPF это или нет
Ответить | Правка | Наверх | Cообщить модератору

32. "Архитектура набора команд BPF получила статус предложенного ..."  +/
Сообщение от Аноним (32), 06-Ноя-24, 19:12 
> знающих BPF на таком уровне

На каком, простите, уровне? Книжка про BPF бесплатно в интернете доступна даже из-за забора. Если знаешь английский хоть немного, то не составит труда прочитать. Сам же BPF прост, даже примитивен. Если умеешь не только кодить на Си, но ещё и немного программировать, то разберёшься за пару дней, максимум за неделю.

Ответить | Правка | Наверх | Cообщить модератору

39. "Архитектура набора команд BPF получила статус предложенного ..."  +/
Сообщение от nuclight (??), 06-Ноя-24, 20:14 
Разбежался, лол. Там сходу же будет, что твой код не пройдет ядерный верификатор. А потом еще, и еще, и вот еще таким способом тоже не пройдет. Хотя код на Си вполне валидный. У меня в итоге до заведения тикета (https://github.com/iovisor/bcc/issues/5062) в clang дошло, между прочим.

А когда пройдет верификатор, столкнешься с тем, что предоставляемый инструментарий дичайше кастрирован. Нее, обычного Си-человека за этот отстой писать не посадишь - дофига усилий, включая дизассемблер этого самого BPF.

Ответить | Правка | Наверх | Cообщить модератору

47. "Архитектура набора команд BPF получила статус предложенного ..."  +/
Сообщение от Аноним (47), 06-Ноя-24, 20:54 
> А когда пройдет верификатор, столкнешься с тем, что предоставляемый
> инструментарий дичайше кастрирован. Нее, обычного Си-человека за этот отстой
> писать не посадишь - дофига усилий, включая дизассемблер этого самого BPF.

Типичному сишнику - давно надо настучать в бубен за то что кодит аки раздолбай, делает фиг знает что с указателями, вешает вулны и прочий UB. И прописать два года принудительных работ под asan+ubsan, со всеми статическими анализаторами, с расстрелом через повешение за нарушение правил MISRA. Особенно ежели он в кернел лезть удумает.

Хотя можно и чисто капиталистическими методами - просто заставить оплатить ущерб от очередного CVE. Тоже нормальненько будет, даже почки продать не поможет.

Ответить | Правка | Наверх | Cообщить модератору

57. "Архитектура набора команд BPF получила статус предложенного ..."  +/
Сообщение от Аноним (57), 06-Ноя-24, 23:13 
А прочитал бы книжку — не было бы «ещё и ещё». Там весьма подробно описано как работает верификация и почему так. И как это дебажить. А ещё там написано как понять, нужно тебе BPF использовать или что-то другое. Но вместо этого ты комментарий на опеннете оставил.
Ответить | Правка | К родителю #39 | Наверх | Cообщить модератору

85. "Архитектура набора команд BPF получила статус предложенного ..."  +/
Сообщение от nuclight (??), 07-Ноя-24, 16:44 
Анонимы на опеннете умеют только лужи газифицировать. В отличие от тебя, я читал, и не книжку, а исходники этого самого верификатора. И пишу на этом сраном XDP/eBPF систему защиты от DDoS-атак, тот еще отстой.
Ответить | Правка | Наверх | Cообщить модератору

96. "Архитектура набора команд BPF получила статус предложенного ..."  +/
Сообщение от Аноним (32), 07-Ноя-24, 19:03 
Молодец, что исходники читал, теперь почитай книжку, там немного больше информации, чем можно почерпнуть из исходников. Особенно в том, что касается причин поведения и опыта других людей.

> пишу на этом сраном XDP/eBPF систему защиты от DDoS-атак

И что тебе конкретно не нравится? Мои девелоперы наоборот, нахваливают, говорят, что с ядерными модулями до сих пор возились бы. Очень похоже на твоё окружение: DPDK, XDP, eBPF, по локти в сетевом стеке и дисковой подсистеме. Да и сам я на BPF писал кое-какую телгметрию на стадии PoC, только хорошие впечатления остались. Решительно не понимаю причин такого отношения.

Ответить | Правка | Наверх | Cообщить модератору

33. "Архитектура набора команд BPF получила статус предложенного ..."  +/
Сообщение от Аноним (24), 06-Ноя-24, 19:15 
>Людей, пишущих на Си на порядки больше, чем знающих BPF на таком уровне.
>Программы BPF обычно создаются на подмножестве языка Си, после чего компилируются в байткод, пригодный для выполнения в виртуальной машине.

Так что, уметь достаточно в кодинг на C.

Ответить | Правка | К родителю #30 | Наверх | Cообщить модератору

28. "Архитектура набора команд BPF получила статус предложенного ..."  +/
Сообщение от Аноним (24), 06-Ноя-24, 18:54 
.ko ещё нужно собрать из исходников. Для этого сами исходники должны быть, во-первых. Во-вторых, есть хороший сдерживающий фактор - Stable API/ABI is nonsence.
Ответить | Правка | К родителю #23 | Наверх | Cообщить модератору

46. "Архитектура набора команд BPF получила статус предложенного ..."  +1 +/
Сообщение от Аноним (-), 06-Ноя-24, 20:46 
> Во-вторых, есть хороший сдерживающий фактор - Stable API/ABI is nonsence.

У нормальных людей сдерживающий фактор - подписи модулей ядра уж давно. При том для себя любимого, с своим то ключом - можно врубить и force проверки, а не просто tainted kernel при таком. И хрен вы вообще левый ko загрузите тогда.

Более того - если вам кажется что рут излишне всемогущ, есть такая штука как режим lockdown. На хомячках им будут, конечно, доступ в их лопатники закрывать. Но ежели для себя - так довольно злая секурити фича.

Ответить | Правка | Наверх | Cообщить модератору

70. "Архитектура набора команд BPF получила статус предложенного ..."  +/
Сообщение от Аноним (67), 07-Ноя-24, 08:25 
>подписи модулей ядра

OK, добавим это как п.3.

Ответить | Правка | Наверх | Cообщить модератору

45. "Архитектура набора команд BPF получила статус предложенного ..."  +/
Сообщение от Аноним (-), 06-Ноя-24, 20:42 
> Если кому-то хватит привилегий запустить пэйлоад BPF, то и .ko он без проблем запустит.

А где он мой ключ подписи модулей возьмет, интересно?! Без подписи ядро его пошлет в пешее эротическое.

Ответить | Правка | К родителю #23 | Наверх | Cообщить модератору

49. "Архитектура набора команд BPF получила статус предложенного ..."  +/
Сообщение от Аноним (49), 06-Ноя-24, 21:54 
Ну если у вас действительно все так серьезно и ваша система существует не только в вашем воображении, то вы и ещё 0.001% пользователей можете по поводу модулей не переживать. Но это вряд ли вам поможет, если кто-то уже имеет доступ к системе, достаточный для установки eBPF. Ни модулей ядра, ни BPF в таком случае особо не надо
Ответить | Правка | Наверх | Cообщить модератору

55. "Архитектура набора команд BPF получила статус предложенного ..."  –1 +/
Сообщение от Аноним (-), 06-Ноя-24, 22:28 
> Ну если у вас действительно все так серьезно и ваша система существует
> не только в вашем воображении,

Я действительно умею в сбор ядра своим ходом. И много чего еще. У меня богатое воображение. Достаточно богатое чтобы не нуждаться в хозяевах над моей головой, знающих лучше меня как мне збс. Поэтому я просто иду и делаю что считаю нужным, забыв у вас спросить. Опенсорс - про культуру самообслуживания. А кто так не умеет, тем хуже для него.

> то вы и ещё 0.001% пользователей можете по поводу модулей не переживать. Но это вряд ли вам
> поможет, если кто-то уже имеет доступ к системе, достаточный для установки eBPF.

В целом это может создать проблем. Но их масштаб в принципе уже можно контролировать. Конечно вон то делали "мобильщики" чтобы обуть хомяков на права, даже с рутом, но польза пушки очень зависит от того в какую сторону ее крутанешь :)

> Ни модулей ядра, ни BPF в таком случае особо не надо

Ну я и не понимаю в каких сценариях именно BPF так уж сильно все упростит. Непривилегированым пользакам его вывешивать конечно - упаси Ктулху.

Впрочем у меня есть и ядра без BPF. Системд там ноет что не смог зафайрволить сервисв (так что как видим подтяг секурити в 1 месте вылезает боком в другом) - но ни к чему такому это все не ведет.

Ответить | Правка | Наверх | Cообщить модератору

74. "Архитектура набора команд BPF получила статус предложенного ..."  +/
Сообщение от n00by (ok), 07-Ноя-24, 12:08 
Задача не запустить, а скрыть присутствие.
Ответить | Правка | К родителю #23 | Наверх | Cообщить модератору

86. "Архитектура набора команд BPF получила статус предложенного ..."  +/
Сообщение от Аноним (82), 07-Ноя-24, 16:46 
ми скрываем не столько присутствие, ибо присутсвуем на любом устройстве с завода, а возможность оперативнего обновления в т.ч.даже в opensource ос
Ответить | Правка | Наверх | Cообщить модератору

40. "Архитектура набора команд BPF получила статус предложенного ..."  +/
Сообщение от Аноним (19), 06-Ноя-24, 20:15 
Всё идет по плану
https://en.wikipedia.org/wiki/EBPF
Ответить | Правка | Наверх | Cообщить модератору

50. "Архитектура набора команд BPF получила статус предложенного ..."  +3 +/
Сообщение от Вы забыли заполнить поле Name (?), 06-Ноя-24, 22:01 
Не дальновидные они, нужно было WASM встраивать. Тогда можно было прям из браузера ядро патчить.
Ответить | Правка | Наверх | Cообщить модератору

91. "Архитектура набора команд BPF получила статус предложенного ..."  +/
Сообщение от Аноним (82), 07-Ноя-24, 17:00 
EBPF именно для того
а, привелегии - дело наживное
Ответить | Правка | Наверх | Cообщить модератору

51. "Архитектура набора команд BPF получила статус предложенного ..."  +3 +/
Сообщение от Аноним (49), 06-Ноя-24, 22:04 
Пишущие тут про шифровальщики - а слабо дать ссылку на PoC хотя бы в лабораторных условиях?
Ответить | Правка | Наверх | Cообщить модератору

64. "Архитектура набора команд BPF получила статус предложенного ..."  +/
Сообщение от Аноним (1), 07-Ноя-24, 02:41 
слабо отвалить за этот лям?
Ответить | Правка | Наверх | Cообщить модератору

71. "Архитектура набора команд BPF получила статус предложенного ..."  –1 +/
Сообщение от Аноним (71), 07-Ноя-24, 10:09 
А за что тут давать лям? Тут пишут, что eBPF - это чуть ли не SDK для разработки вирусов, значит проще простого должно быть.
Ответить | Правка | Наверх | Cообщить модератору

76. "Архитектура набора команд BPF получила статус предложенного ..."  +/
Сообщение от n00by (ok), 07-Ноя-24, 12:15 
"Слабо написать" работает в детском саду. В криптологии надёжность доказывает автор. Так и признаёт: подобрать ключ можно, но потребуется вычислительная мощность эквивалентная 100500 Вселенных.
Ответить | Правка | Наверх | Cообщить модератору

84. "Архитектура набора команд BPF получила статус предложенного ..."  +/
Сообщение от Аноним (84), 07-Ноя-24, 16:44 
При чем тут «криптология»? Бремя доказательства лежит на утверждающем. Тут на каждом углу орут, что это отличный источник бэкдоров, это они должны доказывать.
Ответить | Правка | Наверх | Cообщить модератору

88. "Архитектура набора команд BPF получила статус предложенного ..."  –1 +/
Сообщение от nuclight (??), 07-Ноя-24, 16:49 
А что там доказывать, достаточно погуглить число дыр в этом eBPF. Так что теперь он по умолчанию только руту доступен, иначе, как минимум - привет спектры с мелтдаунами.
Ответить | Правка | Наверх | Cообщить модератору

94. "Архитектура набора команд BPF получила статус предложенного ..."  +2 +/
Сообщение от Аноним (84), 07-Ноя-24, 18:07 
Если смотреть по количеству дыр, то большую часть Линукс-окружения пришлось бы выбрасывать. Есть нетривиальный код на Си, будет и CVE с большой вероятностью.
Ответить | Правка | Наверх | Cообщить модератору

100. "Архитектура набора команд BPF получила статус предложенного ..."  +/
Сообщение от Аноним (100), 08-Ноя-24, 10:07 
> Если смотреть по количеству дыр, то большую часть Линукс-окружения пришлось бы выбрасывать.
> Есть нетривиальный код на Си, будет и CVE с большой вероятностью.

Как показала практика - он в любом достаточно нетривиальном коде будет с большой вероятностью, и пофиг на язык. Вон даже на питоне и пыхе налепили CVEшек, вплоть до ремотного выполнения кода. А уж CVE в gitlab (этот вроде бы на Ruby?) - по 2-3 штуки в месяц валят, только успевай переставлять. Да что там - даже bash помог рута по DHCP огрести.

Конечно можно что-то пробурчать про хруст, но список CVE неумолим - он и это в нем тоже есть. Начиная прям с стдлибы хруста :)

Ответить | Правка | Наверх | Cообщить модератору

92. "Архитектура набора команд BPF получила статус предложенного ..."  +/
Сообщение от Аноним (82), 07-Ноя-24, 17:03 
> При чем тут «криптология»? Бремя доказательства лежит на утверждающем.

это ми так внушаем, и не только про это
теперь скептики наши биороботы

Ответить | Правка | К родителю #84 | Наверх | Cообщить модератору

110. "Архитектура набора команд BPF получила статус предложенного ..."  +/
Сообщение от n00by (ok), 10-Ноя-24, 19:14 
> При чем тут «криптология»? Бремя доказательства лежит на утверждающем.

Верно.

> Тут на
> каждом углу орут, что это отличный источник бэкдоров, это они должны
> доказывать.

Программное обеспечение первично. Доказательство его корректности докажет и отсутствие бэкдоров.

Ответить | Правка | К родителю #84 | Наверх | Cообщить модератору

79. "Архитектура набора команд BPF получила статус предложенного ..."  +1 +/
Сообщение от Аноним (81), 07-Ноя-24, 12:51 
> А за что тут давать лям?

как за что? за труд конечно, или вы и за меньшее готовы написать, слабо?

Ответить | Правка | К родителю #71 | Наверх | Cообщить модератору

87. "Архитектура набора команд BPF получила статус предложенного ..."  +/
Сообщение от Аноним (84), 07-Ноя-24, 16:46 
Понятно, то есть только слова, которые не мешки ворочить. Не буду изображать удивление, никто тут и не ждал, что среди админов локалхостов найдутся способные на большее.
Ответить | Правка | Наверх | Cообщить модератору

93. "Архитектура набора команд BPF получила статус предложенного ..."  –3 +/
Сообщение от Аноним (82), 07-Ноя-24, 17:06 
Какая разумная мысль!
Ответить | Правка | Наверх | Cообщить модератору

95. "Архитектура набора команд BPF получила статус предложенного ..."  +/
Сообщение от Аноним (81), 07-Ноя-24, 18:42 
> Не буду изображать удивление

Вас должно удивлять, что никто за дарма вам ничего не сделает?

> Понятно, то есть только слова, которые не мешки ворочить.

Понятно, что на ваш понт поведется дурак. Вы иной раз собственную неспособность доказали. Слабо вам показать результаты ваших попыток "создать PoC хотя бы в лабораторных условиях"? А вот я способен - условие огласил выше, а понты свои "на слабо" оставьте внукам, может они когда-нибудь будут способны на это,

"""
Пусть даже через сто веков
В страну не дураков, а гениев!
"""

И. Тальков

Ответить | Правка | К родителю #87 | Наверх | Cообщить модератору

102. "Архитектура набора команд BPF получила статус предложенного ..."  +/
Сообщение от Аноним (102), 08-Ноя-24, 21:55 
Список никсов без этого зонда и всяких скриптов в ядре ?
Ответить | Правка | Наверх | Cообщить модератору

103. "Архитектура набора команд BPF получила статус предложенного ..."  +/
Сообщение от Аноним (103), 09-Ноя-24, 03:34 
Заодно и вот это объясните кто в курсе:
- "Тебе сегодня нужны исходники патчей к ядру Linux-2 ? Будеш у них копатся? Лично забросил помойное ведро где-то на версии ~2.4.16, сразу как редхет засунули в него свои С-групс и наймспасес"(2023-11, с форума)
- за у автора так не любимы эти некие С-групс и наймспасес и что это, лаконично.
Ппоисковик - не предлагать, нет столько времени и сил читать простыни алиенских манов ещё и ан недоязы англоsuxxов и потом искать простыни багов или что там с ними.
Ответить | Правка | Наверх | Cообщить модератору

105. "Архитектура набора команд BPF получила статус предложенного ..."  +/
Сообщение от Аноним (-), 09-Ноя-24, 04:54 
> - за у автора так не любимы эти некие С-групс и наймспасес
> и что это, лаконично.
> Ппоисковик - не предлагать, нет столько времени и сил читать простыни алиенских
> манов ещё и ан недоязы англоsuxxов и потом искать простыни багов
> или что там с ними.

У автыря brain damage и жуткая аллергия на будущее вообще и пингвинов в частности. А BPF вообще беркелейщики клятые придумали, так что напихано этого и в BSD всякие, и куда там еще. По злой иронии судьбы нормальный фаер им это сделать не помогло.

А так cgroups всего лишь механизм полисовки ресурсов. Если вы видели VDS на OpenVZ то понимаете про что это. Можно порезать ос на субконтейнеры и - отполисовать ресурсы. Namespaces - собссно обеспечение изоляции.

Т.к. нарезка на VDS не была частью ядра изначально - ессно прикручено на синюю изоленту и желуди. Особенно изначально. Cgroups уже так то v2 и v1 дропнут скоро, по крайней мере системд уже собирается. Namespaces более-менее зашпаклевали. И в целом - работает. Если кто думал что может лучше - пусть покажет. Но пока они почему-то не с нами. И даже доскер глуповатый запустить - напрягаются. Не говоря уж про полисовку ресурсов в стиле "для хостеров вдсок". Быковать - ума много не надо. Вот сделать лучше - это да.

Ответить | Правка | Наверх | Cообщить модератору

106. "Архитектура набора команд BPF получила статус предложенного ..."  +/
Сообщение от Аноним (106), 09-Ноя-24, 20:09 
> Если вы видели VDS на OpenVZ то понимаете про что это.

Не видел, но я вас понял.
Хоть я вообще не с никс мира(и т.б.серверного), просто пришлось поглядеть его...

[spoiler] Это скажу вам жутко печально - на удивление: кроме поддержки более новых виндовс игр няшных картинок на сайтах и раб.экране: почти никаких изменений в плане стабильности и usability в сравнении с 15 лет назад, а ну ещё добавили значит а.альных-зондов под предлогом необходимости ядро-3.x+ главное под косвенным предлогом ддя расширения поддерживаемого оборудования и ускорения игр; а, в некоторых вопросах стало даже внешне видно и по usability - даже хуже, у тех же самых сборок линукс. Например, где то полезные boot-опции выпилили, ПО замененны на менее функциональные зато более именно что тоже няшные, и после ~3-ей версии ядра жуткие лаги можно наблюдать(хоть и во 2.6.х было лагучее тормозище уже, уровня тех же времён xp [с убер-залаггерром её sp3]) и тонну новых просто издевательски броских и порой жутко достающих багов включая гарантировнные зависоны (а, старые баги - "исправленны" методом замены того самого упомянутого ПО), в общем прогресс на месте не стоит... один шаг вперед минимум один шаг назад - это не только про у нас...
Особенно "порадовала" мода на выпиливания 32бит (интел подсуетился явно, по кр.мере у крупных дистрибюторов никса которым его поддерживать не проблема). Или тот же арч, на который ранее было возлагал надежды судя по отзывам сравнительно, хоть я и даже достал и 32 битный - при установке выкинув в консоль предложил для продолжения установки прочитать документацию... и даже ...из сети, при том он даже не дошол до настройки её, не говоря уже про хоть на vesa X для браузера, в общем, это - ДИАГНОЗ разрабам!....... И потому - что, будет там далее - я решил не испытывать судьбой свои (уже и так расшатанные только одним миром никсов)нервы...  Приходится на чтонибудь другое ориентироваться, пишу вот с зависающего Минта (уже несколько раз с потерей за раз десятков незаписанных открытых вкладок... и просто в неподходящий критичный момент) в определённых ситуацих(в других нек.линуксах нету, но и зато даже и firewall'a... речь про всё на livecd), с багами у каждого своими - кажется давно пора запретить им всем именоваться Linuxами, этим васяно-поделиям, без исключения корпораций! А, уж если ядро пропатченно - то, это уже и не Linux вообще, т.е.нарушение (L) именоваться Linux'ом, FSF как обычно сквозь пальцы смотрит. Да и какие они Linux если то - только ядро... максимум LinuxKernel-based. Впрочем, хоть и само ядро тут мало того что такое же, васяноподелие фактически как без всякой ответвенности, так ещё и с западлами в виде гарантированных постоянных дыр судя по chglog так и легализированными западлами вроде топика. В общем, я не разделяю что то вашей эйфории от него, Линуса ядра, ибо получается что кроме якобы безплатности(что давно доказанно что это только на первый взгляд) оно и по безопасности сливает всё и даже винде(а, с сколько то серьёзным антивирусом с настсройком - даже жостко сливает, а ставить тот же закрытый антвирус сюда в opensource...) сливая как неявно, так и по легализации телеметрии(ака теленадзор, вообще то допустимый - только в тюрьме... вдобавок, ведь даже с вредительских врагами стран(ы) целей любому пользователю).[/spoiler]
И вы меня про *BSD  не порадовали...
Да и реактосовцы тоже, за столько лет так и не порадовали, а сколько понту, скорей наоборот не ОС - а, позорище особенно же в вопросах безопасности, даже MD нет на сайте в загрузках при том что скачка с (к тому же как подозреваю по ряду наблюдений - трояно-распространителя и просто не своего сервера)sf net... не говоря даже про безопасность внутри тут незакладываемую изначально,  но, явно не там где нужней сама ОСь как замена виндам, и т.б.из соображений безопасности у неё даже так и не поставленной как цель (в линукс обычно не многим лучше, лишь условно и если и была лучше только относительно w9x... впрочем и ныне смотреть на gufw GUI firewall'a слёз не хватит, защиты вообще нет, тем кто не на livecd могут конечно даже с контейнерами помудохаться, как хаком дизайна архитектуры ОС но, с такой дырявостью не вижу смысда как и в доп.аккакнте для браузера - толко себя обманывать, для чего их и делают похоже), хоть в реактос всё реальней сделать несравнимо лучше никсов во всём, сколько возможностей упущенно, лчше бы свой велосипед пилили глядишь сейчас продавалибы как импортозамещение).
В общем, потому всему - ещё помучаю тему никсов, хоть за полгода уже был серьёзно в них атакован так что даже что то его внутри повредили (хоть уже наверняка вирусятины прямиков в BIOS налезло раз такое), т.б.у меня в виндах ряд проблем с совместимостью уже, да и с новыми версиями браузеров, хоть это и чаще почти решаемо, почти.
Т.о.если т.о.проссуммирвоав и вернуться к исходному вопросу получается следующие:

1) точно ли все *BSD с этой BPF дрянью (или л.скриптами в ядре)?

1.5) и с каких версий в каждой?

2.5) аналогично  с какой версии в линукс ядре? (выше сказали что с ~2010 гг, т.е.это подозреваю с 3.0 - но, мало ли. 2010 год - фигово конечно но, лично мне даже подходит :)
[spoiler](а, для XP у меня - больше сильно и не нужно, как и памяти больше 4GB, - такие вот доп.плюсы от неё оказались бонусом и очень рад что прошедшие десять+ лет не был озабочен засиранием мозга постоянно периодическими Обновлениями всего как белка в колесе
хоть в той же 1-ой 32-х битной винде w95 даже с жручим браузером или офиссом или играми - ещё долго хватало в x250 меньше... 16MB! и в x20... относительно ЦП ук.годов,; кстати, ни один линукс там не рабол в GUI т.б.полноценном экв-ом (не говоря уже про ПО/игры) - даже как то смотрел запросы у разных линуксов с ядро-1.х; потому, никс какой бы он там нибыл безплатный, ой шутите? он же требовал просто золотое DialUp Internet соединение! причём, желательно безлимитное... даже просто чтобы тратить всё время на вникание в этот радужный "безплатный" мир никса, в общем он тогда в сухую просрал в массах время его разцвета - начало и середину 1990-тых :[, пока не вышли w9x и т.б.w2K в оффисах и дома массово у дизайнеров MSом заблоченных на него 3DMax'ом, чуть позже XP соединившая их совместимостью, а зачем нужны последующие ОС кроме дешовых понтов [себе] я так и не понял, ну да много позже стали давить несовместимостью и ещё позже и у браузеров - это уже террор/рэкет именуется - что же идти на поводу?!; ну и по usability эх просрал тогда ещё как  и  ещё оч.долго, до ныне, одни эти чудовичные видом и вдобавок исчезающие скроллабары с неадекватным функционирванием чего стоят, или просто бесячие исчезающие ключевые пункты в RMB-меню в файлменеджерах вроде создать каталог/файл... или отсутвие полноценного редактора изображений  причём на LiveCD где не доустановить, или отсутвие Firewall тут же(да и как без него выйти в сети его же скачать...), или отсутвие %...%, как будто места на уже ведь DVD нету! - как же они все меня %достали%! Даже каждый раз после перезагрузки диалог смены видеорежима невлазиющего не много ни мало даже в нужный мне 1024x768... и не спашивайте почему я вынужден в нём сидеть в линуксах на широкоформатном мониторе...  причём, с наличием поддержки нативного FullHD  но, не ниже, какого то! и даже если выбрать вручную при загрузке ОС! В общем, уж не знаю что вам в Linux'ах вообще может нравиться при таком отношении........ М.б.вы скажете что у них нет времени подерживать LiveCD версию - ну какого тогда было её делать - халтурщики?! (риторический вопрос, так как тогда бы я и сам не качал их поделие - ведь уже 20 лет как публично известно как их делать, мне вот непонятно зачем делать версии без этой поддержки).  К тому же, LiveCD проблемы чётко всвечивают кучу общих проблем и это у меня - как LTS версии!.... так и даже не-LTS -  т.е.можно было бы и оперативно давно исправлять всё броское со старта а, они даже в ядре даже ранее имеющуюся опцию ramdiska  в boot-меню, видать когдато работавшую, вместо починки зависаний с ней(что, разок запустив с ней - тоже сложно было заметить?!...) "починили" - методом выпиливания... притом, что я вижу по уже просто несчатному DVD что и кэширование ранее считанных данных с CD/DVD - полноценно не осилили; возможно именно потому в минте - и GIMP отсутвует уч.тормозность его загрузки, у других, зато в якобы имеющемся редакторе картинок вы только вдумайтесь - нет даже заливки области другим цветом!... совсем неиспользуемая ф-ция... при этом, я даже перегрузиться в другой форк сейчас не могу - потому что (не ситаю убить открытые вкладки) тот грузить минуть 15 минимм и этот повторно(т.к.в той нет Firewall) ещё 25+  минут! и всё только чтобы залить цветом НА САМОЙ (и нескажу что лживо)считающейся USERFRIENDLY Linux'e!
И это всё броское уже только сразу после загрузки ОСи, а что там вглубь.... Не понимаю как вы линуксоды вообще не опасаетесь свои данные доверять этой васяно-поделке! Тут же даже вместо проверки диска - этот FSCK, одно название чего стоит - попробуй вспомнить!, или он же спрятанный под GUI, - чудовищен настолько что O_o............................................ В общем, - дополнительно перегружаюсь в XP!... Где вдобавок, кроме GUI версии есть тоже консольная - но, она как и полагается притом что абсолютно вменяема как параметрами, выводом и функционированием, так и всё же полноценно проверяет элементы каталога что, видно по времени тут отс-ем на тех же дисках, как и может [скрыто]автовосстанавливать/проверять диск физически на ошибки (например у меня после постоянно периодически трясок от взрывов - появляющихся в немалых количествах на всех дисках, обычно автоисправляемые но, это только при проверке), в никсах же значит - второго отсутвие как тип возможной проверки и [авто]восстановления... а, первого - вовсе вводящее в заблуждение ЗАГЛУШКА! похоже автор FSCK да и сборок "линуксов" - у производителей дисков на "пособии"...) [/spoiler]
возвращаюсь к теме вопроса: инетерсуюсь про версии - может даже кто то из крупных "линукса" в рф захочет сделать форк и продолжит развитие 2.x(возможно стоит взять даже какойнибудь ядро-1.х или вовсе миникс, впрочем не факт что он безопасней т.б.точно сложней и т.б.станет ещё менее безопасней при расширении. Но, тут мне кажется всё в специалистов упирается и кончено на полной ставке, но судя по прошедшему времни с 2014 г...) - ну да, ценой потери совместимости со всем зоопарком оборудование лет уже через пять после даты релиза версии ядра, а кто вам виноват - как будто у вас в рф времени небыло до войны и даже с 2014 года - всё сделать знатокам никсов?...  Тут тот ещё плюс то что, в РФ современные процы - всёрвно не производятся же... а, скоро прийдётся и по домам ходить конфисковывать - на военную технику, хоть я поражаюсь и транжирству их военпромом - взрывать их вместе с безпилотником или ракетой, при отсутвии то легкой и дешовой замены, ещё один идиотизм... впрочем, на фоне горящих складов и даже воен-заводов и спецназ-академий это всё отношу лично для себя к саботажу под видом халатности и т.п.).

2.6) если с 3.0 - какие известны патчи и Issue оставшиеся и исправленные в версиях >=3.0

2.9) из ваших слов как раз складывается впечатление что, с "cgroups" и "Namespaces" в случае использования ~ <3.0 - будут таки проблемы безопасности, т.к.ранее значит были - до правки в более новых версиях, потому вопрос (всем) - с каких версий или хотя бы года они введенны в ядро Торвальдса? Да и про *BSD если там есть.

Ответить | Правка | Наверх | Cообщить модератору

109. "Архитектура набора команд BPF получила статус предложенного ..."  +/
Сообщение от Аноним (109), 10-Ноя-24, 04:52 
> Хоть я вообще не с никс мира(и т.б.серверного), просто пришлось поглядеть его...

OpenVZ - решение как порезать жирный сервак на контейнеры претендующие что это независимые машины. Достаточно ОК чтобы продавать клиентам, которые ставят что хотели и рулят как хотели. Со скоростью практически хоста, если ресурсы не выжраны, минимальным оверхедом и проч. А если душняк с ресурсами, полисовка до гарантий тарифа. Крутая штука по своим временам.

Траблов у технологии лишь 2. Зато какие...
1) Завязано на немайнлайновые самопальные ядра. Со временем Parallels перестал успевать за темпом разработки майнлайна. Желающие ЭТО были обречены отвисать на древних, кривых, а потом и просто глючных ядрах. Это всех задолбало. Платить за гемор?!

2) Это не VM. Ядро создает иллюзию, но гуесты-контейнеры юзают ядро хоста. Это означает что вгрузить тот модуль? Вы так не можете. Даже если надо. Идете писать в саппорт, и молиться чтобы они вгрузили, а не послали. Неудобно, иллюзия не полная.

По мере пришествия в каждый Linux KVM виртуализации и virtio с которым скорость виртуалки почти как у железки - про вон то как хостинги все просто забыли.

> usability - даже хуже, у тех же самых сборок линукс. Например,
> где то полезные boot-опции выпилили,

Лично мне пофиг. Я посмотрел кто и как делал. И научился не хуже. Зачем нужны боги, если можно самому сходить на пантеон? :)

> общем, это - ДИАГНОЗ разрабам!....... И потому - что, будет там
> далее - я решил не испытывать судьбой свои (уже и так

В этом мире никто никому ничего не должен. Так просто и банально.

> пишу вот с зависающего Минта (уже несколько раз с потерей за
> раз десятков незаписанных открытых вкладок...

...up 49 days, 10:40... (но я научился готовить этих кошек)

> в определённых ситуацих(в других нек.линуксах нету, но и зато даже и
> firewall'a... речь про всё на livecd),

Я же не уповаю на "богов" и просто генерю себе системные образа сам. По своему прикольно. Хоть и не для всех.

> уже и не Linux вообще, т.е.нарушение (L) именоваться Linux'ом, FSF как
> обычно сквозь пальцы смотрит.

При чем тут FSF хз. Linux - (tm) Linus Torvalds'а. Да и патчат обычно по мелочи.

> мало того что такое же, васяноподелие фактически как без всякой ответвенности,
> так ещё и с западлами в виде гарантированных постоянных дыр судя по chglog

Можно подумать в проприетарном софте как-то иначе. EULA читайте, и списки патчей.

> неявно, так и по легализации телеметрии(ака теленадзор, вообще то допустимый -

Именно поэтому в моей системе главная ауторити - я. Подписи модулей - мой ключ. Это МОЯ система. И те потуги - без шансов, имхо.

> И вы меня про *BSD  не порадовали...

BSD - Berkeley Software Distribution. BPF - Berkeley Packet Filter. Это ОНИ придумали.

> Да и реактосовцы тоже, за столько лет так и не порадовали,

Когда-то я был фаном оной. Но они ядро 2 раза с ноля переписывали.

> лучше только относительно w9x... впрочем и ныне смотреть на gufw GUI
> firewall'a слёз не хватит, защиты вообще нет,

Я далек от этого. У меня свои технологии защиты, GUI мне не надо.

> В общем, потому всему - ещё помучаю тему никсов, хоть за полгода
> уже был серьёзно в них атакован

Вы настолько кому-то насолили? А так это - контейнер. С браузером. В VM. Зачем мне при этом "гуй файрвола"? Софт тут вообще пикнуть по дефолту не сможет.

> Т.о.если т.о.проссуммирвоав и вернуться к исходному вопросу получается следующие:
> 1) точно ли все *BSD с этой BPF дрянью (или л.скриптами в ядре)?

За _все_ я не могу поручиться. Но скажу что у себя в ряде инстансов ОС я его вырубил на уровне конфига ядра - и хрен оспоришь. Просто потому что идея давать user'у грузить в kernel mode контролируемые user'ом данные лишний раз - мне не нравится. На самом деле это больше перестраховка, и имеет и минусы, в виде скажем неработы изоляции сервисов от сети системдой. Но у меня это решено радикальнее, на иных уровнях, так что не проблема.

> 1.5) и с каких версий в каждой?

То что беркелеевские системы юзают беркелеевский пакетный фильтр - довольно логично, не? Я не эксперт во ВСЕХ оных. Нельзя быть экспертом во ВСЕМ.

> 2.5) аналогично  с какой версии в линукс ядре? (выше сказали что
> с ~2010 гг, т.е.это подозреваю с 3.0 - но, мало ли.
> 2010 год - фигово конечно но, лично мне даже подходит :)

У меня BPF местами основательно выпилен и в 6.12-RC который добилдовывается вооон там. Но это я. Я так могу. И решил что достигну сравнимых вещей иными способами, и кто мне запретит то? Линух достаточно конфигуряемая штука так то.

...
> и этот повторно(т.к.в той нет Firewall) ещё 25+  минут! и
> всё только чтобы залить цветом НА САМОЙ (и нескажу что лживо)считающейся
> USERFRIENDLY Linux'e!

Как говорится "but its picky in its friends". Я то с ним примерно на "эй ты, к@зел" :)

> этот FSCK, одно название чего стоит - попробуй вспомнить!,

Я про него просто забыл. Ибо предпочитаю btrfs. Но мой менеджмент систем порвал бы ваш мозг.

> же полноценно проверяет элементы каталога что, видно по времени тут отс-ем
> на тех же дисках, как и может [скрыто]автовосстанавливать/проверять диск физически на ошибки

Представьте что вы привыкли дергать ручку любимого жигуля. А я привые вводить координатыв в консольку звездолета. Вжик! Я в ...цати световых годах от вас. Примерное описание отличий в уровне предпочитаемых технологий.

> возвращаюсь к теме вопроса: инетерсуюсь про версии - может даже кто то
> из крупных "линукса" в рф захочет сделать форк и продолжит развитие 2.x

Я желаю им удачи в этом нелегком деле и все такое...

> г...) - ну да, ценой потери совместимости со всем зоопарком оборудование

И что с ним тогда делать? Впрочем вы явно недооцениваете обхем улучшений с того момента.

> никсов?...  Тут тот ещё плюс то что, в РФ современные
> процы - всёрвно не производятся же...

В РФ хоть что-то крупнее микроконтроллеров производится сейчас вообще в товарных количествао?

> домам ходить конфисковывать - на военную технику,

Хорошо что все это не у меня уже...

> отношу лично для себя к саботажу под видом халатности и т.п.).

Военные вообще господа специфичные. Но реально - кремния на планете много.

> 2.6) если с 3.0 - какие известны патчи и Issue оставшиеся и
> исправленные в версиях >=3.0

У меня не настолько хорошая память.

> 2.9) из ваших слов как раз складывается впечатление что, с "cgroups" и
> "Namespaces" в случае использования ~ <3.0 - будут таки проблемы безопасности,
> т.к.ранее значит были - до правки в более новых версиях, потому
> вопрос (всем) - с каких версий или хотя бы года они
> введенны в ядро Торвальдса? Да и про *BSD если там есть.

Ядро Linux не делалось изначально с прицелом на косплей одним компом сразу множества виртуальных контейнеров с как бы независимым управлением. Когда его начали писать, компы были хилые и о таком никто не задумывался еще.

Это имеет свою цену. Приделывать такую абстракцию на проволоку - дурно, но какие еще варианты есть? С ноля реархитектить? Будет как с реактосом тогда. Мир не идеален.

Трабл в том что усы иногда - отклеиваются. Особенно с User Namespace. По идее user NS, у контейнера может быть виртуальный рут (и свои юзеры), его рут рулит только своим закоулком. Но было несколько случаев когда ядро все же путало виртуального рута - который должен уметь только свой закуток - с глобальным настоящим. И тот мог порулить куда большим куском системы чем изначально планировалось. Т.е. это нарушение задумки - это вулн.

Только если у вас контейнеров вообще не было - у вас вообще этого слоя безопсности нет. Ну и дыр в этом слое - тоже. Вместо этого сплощной проходной двор :). А в MSDOS всем можно было все - и вулнов было мизер. Ибо если нет системы прав, то и обходить нечего! :)

На практике в основном - user namespace без острой нужды лучше не юзать. Остальное не настолько стремное. А какой-нибудь net namespace гарантирует что по дефолту у меня вообще у программ сети нет. Круто, да? Это немного радикальнее фаера, чтобы хоть какой-то конеективити был - программу надо весьма отдельно запускать/конфигурять. Это мой персональный подарок любителям теле-фигни и бэкдоров. Интересно же, как им такое :)

Ответить | Правка | Наверх | Cообщить модератору

111. "Архитектура набора команд BPF получила статус предложенного ..."  +/
Сообщение от Аноним (111), 11-Ноя-24, 05:59 
Да уж... Для последне-указанного - под виндой, даже уже 20-ти летней давности, достаточно всеголишь поставить почти любой совместимый Firewall... всего то,и управлять куда проще.
И там ещё куча всего чего, хоть лично мне нужно минимум проактивная защита, ну и в идеале AdBlock с ручным упавлением, ибо видите ли - ни FF, ни Хром, такое не умеют к своему позору, а пользоваться сторонными скриптовыми AdBlock не пойми как составлеными... (н, даже официально не всё скрипты блокирующими) да ещё и самим вылазиющими в сеть с доступом ко всем адресам переходов... и даже контенту страниц... я в шоке от таких защитников приватности переходов и особенно от их пользователей.

>> общем, это - ДИАГНОЗ разрабам!....... И потому - что, будет там
>> далее - я решил не испытывать судьбой свои (уже и так
> В этом мире никто никому ничего не должен. Так просто и банально.

Тоже самое навязывают и разработчики проприетарного, as is, это не повод самому так мыслить, т.б.они все - минимум воруют время и нервы.
Да и в случае же Арча причём тут обязаны, просто разочаровался в поставленном диагноз ибо думал его ставить, а они такие вот впрочем и systemd прикрутили...
К сожаления, я так понимаю *BSD схожи в usability с ним, никак не гляну т.б.что те немногие из немногих кто мне сколько  то подходит - не имеют LiveCD.

>> пишу вот с зависающего Минта (уже несколько раз с потерей за
>> раз десятков незаписанных открытых вкладок...
>...up 49 days, 10:40... (но я научился готовить этих кошек)

"речь про всё на livecd"...  я и в нём могу хоть год, мин.в теории, крутить пока не начать нагружать своппинг всеголишь несколькими страничками с ютуба, в отл.от др.(правда на новей ядре, тут почему то древнючее от 21 г!... скачал и поновей но думаю там тоже прокисший LTS - что может всё объяснять, но и в прочих - такой же баг) свопинг как то совсем быстро/резко сходит с ума, завешивая. (и не спрашивайте меня почему на LiveCD своппинг идёт на  сам CD... +портя его)

>> в определённых ситуацих(в других нек.линуксах нету, но и зато даже и
>> firewall'a... речь про всё на livecd),
> Я же не уповаю на "богов" и просто генерю себе системные образа сам. По своему прикольно. Хоть и не для всех.

1) Смотря где, есть линуксы где это сделать - (почти)парой кликов...
Но, в известных мне там это не с самого LiveCD и нет предустановленного firewall а, как без него выходить в сеть устанавливать ОС закачивая пакеты - знают только РФские авторы его... впрочем, у которых и MDшки на сайте что то, неработают или это прокси(врядли т.к.2 разных) их режет, приходится верить на слово китайцам... беря на их зеркалах, чтобы не качать сам дистр через прокси с нато... Но, могу вас "порадовать": после него - минт отстой, как и того набор ПО из коробки на liveCD. Но, зато и со своими жосткими недостатками - в ч.н.глюююченый, хоть и о минт - я тут  только за последние полгода достающих - не упомянул и десятой части его багов (это точно т.к.на листки заношу - многие же общие у дистров и в надежде отправить разрабам разного, сомнительной).
2) я рад за вас, что вы там намастерили себе костылей, но это не решение для всех, про что была речь, т.о. почти все ваши подобные пункты безполезны...
3) Я бы не называл майнтернеров линуксов богами, ну разве что, как могущие легко получать полный доступ к любым данным на ПК, т.б.делая соединения к своему серверу и куда вздумается, ok - но, тогда лже-боги. Да это таки позорнейшая проблема у "безопсных" линуксов.

Судя по тому что, я задавал вопрос анону под прокси а, вы нет, - вы не он надо полагать? Ну в общем то вопрос(ы) ко всем т.б.касаются всех.

Ответить | Правка | Наверх | Cообщить модератору

104. "Архитектура набора команд BPF получила статус предложенного ..."  +/
Сообщение от Аноним (-), 09-Ноя-24, 04:37 
> Список никсов без этого зонда и всяких скриптов в ядре ?

Так то BPF - очень древняя хреновина. Изначально сие означало Berkeley Packet Filter так то, насколько я помню. И кстати почему-то тогда в *bsd сваталось как что-то хорошее.

Правда, по иронии, с файрволами в BSD почему-то таки, швах.

Ответить | Правка | К родителю #102 | Наверх | Cообщить модератору

108. "Архитектура набора команд BPF получила статус предложенного ..."  +/
Сообщение от Аноним (106), 09-Ноя-24, 22:21 
Не оч.ясно челоеку непробововашему *bsd. Поясните вкратце - сравнительно с линуксами
(в них же тоже - куда уж хуже... В GUI добавляю входящий процесс вроде torrent'a по порту  - в firewall gui же выведенный - и пофиг... даже из списка не убрал. Так и не понял - он или провайдер или оба блочат входящие - т.к.проверка входящих непроходит. Но, зато при добавлении аж два правила на каждый порт создаёт(ip4 и ip6)... клиника. Или включил режим блокировать исходящие - в списке том: а, никого... даже браузера с кучей страничек. Сами добавления любых правил - глокодром, в т.ч.и часто не то добавляющий, или отказывающий добавлять то что указываешь. Выдать диалог запроса - даже в gui похоже считается ненужным пользователю линукса... Да и сам firewall тоже т.к.по умолчанию соотвующая галочка выключенна, правда ниже аж если прокрутить заявляенно мелким шрифтом в подсказке что всё же включен... якобы блоча только входящие - а, почему было не включить по умолчанию... и никак полностью же не выключить... это только за 10 минут общения с ним,
соотв-но теперь даже не запускаю...
но, подозреваю что это и была цель авторов сборки, мин.минта)
Ответить | Правка | Наверх | Cообщить модератору

112. "Архитектура набора команд BPF получила статус предложенного ..."  +/
Сообщение от Аноним (111), 11-Ноя-24, 15:42 
* мин.минта и всего мин.на gufw... GUI Firewall, а частью ук.глюки и у самого backend'a ufw  
Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру