Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"Анонсирована внутриядерная реализация WireGuard для OpenBSD"	+/–
Сообщение от opennews (??), 12-Май-20, 07:50
В твиттере компании EdgeSecurity, основателем которой является автор  WireGuard, сообщили о создании нативной и полностью поддерживаемой реализации VPN WireGuard под OpenBSD. В подтверждение словам опубликован скриншот с демонстрацией работы. Готовность патчей для ядра OpenBSD также подтверждена     Джейсоном Доненфилдом (Jason A. Donenfeld),  автором WireGuard, в анонсе обновления утилит wireguard-tools... Подробнее: https://www.opennet.dev/opennews/art.shtml?num=52929
Ответить | Правка | Cообщить модератору

Сообщения

[Сортировка по ответам | RSS]

2. Сообщение от Аноним (2), 12-Май-20, 08:24	–9 +/–
> станет второй ОС (после Linux) с полной и интегрированной поддержкой WireGuard "из коробки" Ну вот наконец и в BSD завезли. Технологическое отставание BSD от Linux слегка сократилось.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #9, #30

3. Сообщение от Anonymou (?), 12-Май-20, 08:49	+/–
Извините, но где видно что это в ядре?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #4, #5

4. Сообщение от Анони м (?), 12-Май-20, 08:51	+/–
В новости написано же.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3

5. Сообщение от Аноним (5), 12-Май-20, 09:13	+/–
Последняя ссылка в первом параграфе.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3

6. Сообщение от б.б. (?), 12-Май-20, 09:16	+/–
масленница пришёл. ух, заживём теперь :)
Ответить | Правка | Наверх | Cообщить модератору

7. Сообщение от Анончик (?), 12-Май-20, 09:28	–5 +/–
Надеюсь на разумность разработчиков openbsd и они не будут включать это в ядро.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #65

8. Сообщение от Аноним (9), 12-Май-20, 10:06	–3 +/–
Тащат годноту под свою недолицензию.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #23, #115

9. Сообщение от Аноним (9), 12-Май-20, 10:07	+8 +/–
Быстрый ВПН шлюз единственная сфера применения OpenBSD.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2 Ответы: #24

10. Сообщение от Ivan_83 (ok), 12-Май-20, 10:08	+1 +/–
https://git.zx2c4.com/wireguard-openbsd/tree/src/patches/mbu... Странное изменение: это они GIF так решили выкинуть?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #11, #12

11. Сообщение от Аноним (11), 12-Май-20, 10:10	+4 +/–
В LibreGuard много чего выкинут
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #10

12. Сообщение от Ананимус (?), 12-Май-20, 10:15	+/–
Он не использовался в дереве, они, видимо, решили его зарецайклить.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #10 Ответы: #13

13. Сообщение от Ананимус (?), 12-Май-20, 10:16	+/–
Плохо, что cover letter такой неподробный. Патч явно заслуживает быть разбитым на отдельные куски с хорошими, детальными комментариями.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #12 Ответы: #19

15. Сообщение от Сергей (??), 12-Май-20, 11:07	+/–
И как все это согласуется с лицензионной точки зрения, часть  кода WireGuard что ли  опубликуют под BSD лицензией
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #16, #17

16. Сообщение от Аноним (16), 12-Май-20, 11:09	+3 +/–
ты видимо путаешь копирование-портирование кода и с нуля написанная реализация.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #15

17. Сообщение от Аноним (17), 12-Май-20, 11:11	+1 +/–
Изначальный автор WireGuard'а  с нуля написал wireguard специально для OpenBSD. Хм-м-м-м, как это согласуется с лицензионной точки зрения...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #15 Ответы: #27, #132

19. Сообщение от Анотолей (?), 12-Май-20, 11:34	+3 +/–
С проектами, где засветился Доненфилд вообще нужно быть очень аккуратным. Быстрый впн и разнообразие продуктов - штука хорошая, но всегда нужно обращать внимание на то, кто годноту завозит. Этот перчик - кадровый офицер МО уже больше 5 лет. Одна из особенностей забэкдоривания от АНБ заключается в том, чтобы распределять бэкдор в нескольких продуктах, то есть по отдельности, каждый софт/драйвер/блоб могут быть безобидны, но в условиях продакшена, с той или иной вероятностью формируется среда и условия для отработки бэкдоров. Обычно есть центральный «имплант» и несколько разных коннекторов (через которые инициируется связь с имплантом). Не могу сказать наверняка, но по всем признакам (постоянство, связь, работа на уровне ядра, полное доверие) - именно ваер может быть частью-имплантом.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #13 Ответы: #21, #22, #36

21. Сообщение от Ананимус (?), 12-Май-20, 12:00	–2 +/–
Откуда дровишки про кадрового офицера? В гугле ничего нет. Аудит сторонними криптографами ничего не выявил. Curve25519 используется в SSH по дефолту. Я уверен, что проатировать 3 тыщи строк openbsd сможет.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #19 Ответы: #25

22. Сообщение от Аноним (11), 12-Май-20, 12:00	+1 +/–
Кашмар-то какой, кругом импланты. А ничего что OpenBSD в свое время разрабатывался на деньги МО
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #19 Ответы: #33

23. Сообщение от Аноним (23), 12-Май-20, 12:04	+2 +/–
Так не они тащат, а авторы WireGuard им сами запилили и просят взять под недолицензией. Под православной не возьмут же.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #8

24. Сообщение от пох. (?), 12-Май-20, 12:11	–7 +/–
Быстрый что-либо - это вообще не про openbsd. Вот интересно, почему автор выбрал самую маргинальную и ненужную из всех *bsd?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #9 Ответы: #39, #44, #114, #125

25. Сообщение от Аноним (25), 12-Май-20, 12:26	+2 +/–
Гугл тебе взял и выдал всех агентов под прикрытием
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #21 Ответы: #28

26. Сообщение от Lockywolf (ok), 12-Май-20, 12:36	+/–
А чем он лучше strongSwan?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #31, #40

27. Сообщение от iPony129412 (?), 12-Май-20, 12:36	–2 +/–
А вообще странно. В чём был смысл не использовать сразу открытую лицензию, а не вирусно прикрытую?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #17 Ответы: #29

28. Сообщение от Ананимус (?), 12-Май-20, 12:40	+/–
То есть тебе рептилоиды с Марса по секрету рассказали или что?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #25 Ответы: #32

29. Сообщение от Ананимус (?), 12-Май-20, 12:41	+1 +/–
Потому что засунуть ISC в Linux довольно тяжело :)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #27

30. Сообщение от expert (??), 12-Май-20, 12:53	+4 +/–
жаль что разрабы плюют на их поклоников. 2020 год, до сих пор нет поддержки SSD. они просто не могут 20 лет включить TRIM.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2

31. Сообщение от Ананимус (?), 12-Май-20, 13:00	+1 +/–
IPSec большой и сложный, WG влезает в три тыщи строк на OpenBSD.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #26 Ответы: #41, #56

32. Сообщение от Анотолей (?), 12-Май-20, 13:06	+/–
Вы не в состоянии различать разных комментаторов, ищите инфу об АНБ в гугле, ограничиваете поле закладки только лишь криптой.. Уверены, что вы в правильную и понятную для себя тему залезли? Для других интересантов сделаю уточнение. Информация о Доненфилде в прошлом служебная, верить ей или нет, тут как хотите. Лучше не верить, доказать публичными источниками/ссылками я не могу. Ключевой же темой в моем раннем комментарии было описание  принципиальной схемы софтбэкдоринга в постсноуденовскую эпоху, дополнительно интересной в контексте последних событий с включением в ядро линуха вг.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #28 Ответы: #42

33. Сообщение от Анотолей (?), 12-Май-20, 13:09	+/–
Не только МО и не только лишь тогда)) До сих пор КСРБ рядом с Тео трется. Но что это меняет в случае с ваергардом? И зачем тему в сторону уводите?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #22

36. Сообщение от Дон Ягон (ok), 12-Май-20, 13:21	+/–
Такой себе ремэйк наброса про бэкдор ФБР в опенбсдшной реализации ipsec. (https://www.opennet.dev/opennews/art.shtml?num=28998)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #19

37. Сообщение от Котовшив (?), 12-Май-20, 13:22	+2 +/–
Что скажет дядя Тео?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #85, #98

39. Сообщение от Аноним (39), 12-Май-20, 13:28	+/–
самая маргинальная и ненужная-fragonfly, чуть менее netbsd. Опенок частенько встречается.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #24 Ответы: #43, #48, #53

40. Сообщение от пох. (?), 12-Май-20, 13:29	+1 +/–
ну, типа, для установки соединения и rekeying не нужен здоровенный невменяемый и к тому же сто раз уже ломанный демон в юзерспейсе. Линуксные измеризмы еще показали, до кучи, чуть лучшую скорость на идеальном тестовом примере без потерь, но это может у них в линуксе ipsec такой.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #26 Ответы: #57

41. Сообщение от пох. (?), 12-Май-20, 13:31	+/–
in-kernel ipsec в разы проще. И вряд ли занимает 3000 строк, да и тех половина общая - криптографические библиотеки ядра. Все сложное и ненадежное там предусмотрительно вынесено в userspace. Кстати, open помнится единственная система, вообще не умеющая ipsec без юзерспейс демона. (кроме, конечно, венды, но это неточно)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #31 Ответы: #45, #55

42. Сообщение от Аноним (42), 12-Май-20, 13:32	+1 +/–
> доказать публичными источниками/ссылками я не могу Тогда зачем вы это публикуете? Очевидно же что вас попросят предоставить доказательства этой информации.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #32 Ответы: #49

43. Сообщение от пох. (?), 12-Май-20, 13:35	+1 +/–
dragonfly вообще-то вполне себе нужная - а то так и останетесь с мертвыми по лицензионным причинам zfs и btrfs, но да, более маргинальная. netbsd и более нужная, и менее маргинальная. Но вообще-то есть еще free, которая в отличие от этих всех по сей день используется мелкими провайдерами сэкономившими на сетевом оборудовании - и, подозреваю, число только таких использований на пару порядков выше чем вообще всех юзеров openbsd (да, всех пятерых ;-)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #39 Ответы: #71, #87, #129, #130, #133

44. Сообщение от Дон Ягон (ok), 12-Май-20, 13:36	+3 +/–
> Вот интересно, почему автор выбрал самую маргинальную и ненужную из всех *bsd? От любви большой. "On a personal note, I've kind of gazed enviously at OpenBSD for years, and gladly devoured its general philosophy of programming simple and secure systems. In many ways, WireGuard itself was inspired by the simplicity of approaches found in OpenBSD and the elegance of those interfaces so fastidiously documented in the man pages. So, you might regard it as just a weird historical accident of my own kernel development that this was on Linux, because the influence of the project has clearly been from OpenBSD."
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #24 Ответы: #81, #84

45. Сообщение от Ананимус (?), 12-Май-20, 13:38	+/–
$ cloc net/ipv4/esp4*.c net/ipv6/esp6*.c net/xfrm/*.c       18 text files.       18 unique files.        0 files ignored. github.com/AlDanial/cloc v 1.84  T=0.08 s (238.9 files/s, 252342.2 lines/s) ------------------------------------------------------------------------------- Language                     files          blank        comment           code ------------------------------------------------------------------------------- C                               18           3245            675          15094 ------------------------------------------------------------------------------- SUM:                            18           3245            675          15094 ------------------------------------------------------------------------------- И это без крипты.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #41 Ответы: #46

46. Сообщение от Ананимус (?), 12-Май-20, 13:39	+/–
Правда это линукс, щас в open посмотрю.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #45 Ответы: #47

47. Сообщение от Ананимус (?), 12-Май-20, 13:44	+/–
$ cloc sys/netinet/ipsec_*.c sys/netinet/*psp*.c sys/net/pfkeyv2*        7 text files.        7 unique files.        0 files ignored. github.com/AlDanial/cloc v 1.84  T=0.04 s (182.8 files/s, 213075.4 lines/s) ------------------------------------------------------------------------------- Language                     files          blank        comment           code ------------------------------------------------------------------------------- C                                6           1060            935           5723 C/C++ Header                     1             49             42            349 ------------------------------------------------------------------------------- SUM:                             7           1109            977           6072 -------------------------------------------------------------------------------\ Ну тоже немало. И это без учета размазанных по стеку кусков.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #46 Ответы: #80

48. Сообщение от Дон Ягон (ok), 12-Май-20, 13:45	+4 +/–
"Маргинальная ОС" - это TempleOS, например. Применять эту характеристику по отношению к любой из четырёх известных *BSD - унылый троллинг и провокация. Все хороши, по своему. И Free, и Net, и Open, и Dragonfly.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #39

49. Сообщение от Анотолей (?), 12-Май-20, 13:53	+/–
Опеннет посещают не только redeye’и, но и действующие сотрудники, просто интересующиеся реальной ИБ, люди любопытные. Я не могу высказывать реальную практику под видом гипотезы, без хотя бы такой ссылки на «факты», требующие внимательного подхода, НО. Для тех, кто когда-либо искал закладки, проектировал их, те кто беспокоится о безопасности не потому что неуловимый, а по реальной необходимости и пр. причастные - вот все эти люди обратят внимание именно на схему. Остальные - мимокрокодил. Я бы рад просветить всех, даже Ананимусов, но не имею на это возможностей, к сожалению.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #42

52. Сообщение от Анотолей (?), 12-Май-20, 14:07	+/–
Чтд. Вся жизнь по гуглу?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #143

53. Сообщение от expert (??), 12-Май-20, 14:16	+3 +/–
между прочим стрекоза используют собственную FS HAMMER. может ли этим похвастаться какой-нибудь убунту линукс?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #39 Ответы: #60

55. Сообщение от bOOster (ok), 12-Май-20, 14:36	+/–
Ну как бэ механизмы обмена ключами к IPSEC относиться весьма косвенно. IPSEC и на симметричных ключах без механизмов обмена в целом работает.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #41 Ответы: #82

56. Сообщение от bOOster (ok), 12-Май-20, 14:42	+/–
ЧЕ там большого и сложного? IKE?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #31 Ответы: #59

57. Сообщение от Lockywolf (ok), 12-Май-20, 14:42	+/–
> ну, типа, для установки соединения и rekeying не нужен здоровенный невменяемый и > к тому же сто раз уже ломанный демон в юзерспейсе. > Линуксные измеризмы еще показали, до кучи, чуть лучшую скорость на идеальном тестовом > примере без потерь, но это может у них в линуксе ipsec > такой. Ну, демон наверняка появится. Просто к гадалке не ходи, вся эта пки просто так не делается.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #40 Ответы: #58, #63

58. Сообщение от Ананимус (?), 12-Май-20, 14:52	+1 +/–
В Wireguard нет PKI, нет revocation листов и прочей ерунды. Просто два чувака обмениваются ключами, как в SSH.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #57 Ответы: #66, #74, #88

59. Сообщение от Ананимус (?), 12-Май-20, 14:54	+/–
В StrongSwan примерно 350 тысяч строк кода _только_ на C.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #56 Ответы: #61

60. Сообщение от _MadeInRussia_ (?), 12-Май-20, 15:01	–4 +/–
А за чем этим хвастаться? Я бы, скорее, сказал, что ФС Dragonfly не нашла применений за рамками самого дистрибутива (в отличии от той же zfs и прочих).
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #53

61. Сообщение от bOOster (ok), 12-Май-20, 15:03	+/–
> В StrongSwan примерно 350 тысяч строк кода _только_ на C. Ты мух то от котлет отдели, там напихано все что только можно. А в реальной эксплуатации ты пользуешь процентов 10% из всего что там напихано.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #59 Ответы: #62

62. Сообщение от Ананимус (?), 12-Май-20, 15:05	+1 +/–
Ну так это и называется "большой и сложный". Шансов обосраться с очередным zero day на кодовой базе в 350 тысяч строк значительно проще, чем на кодовой базе в 3.5 тыщи строк.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #61 Ответы: #72

63. Сообщение от bOOster (ok), 12-Май-20, 15:06	+/–
>> ну, типа, для установки соединения и rekeying не нужен здоровенный невменяемый и >> к тому же сто раз уже ломанный демон в юзерспейсе. >> Линуксные измеризмы еще показали, до кучи, чуть лучшую скорость на идеальном тестовом >> примере без потерь, но это может у них в линуксе ipsec >> такой. > Ну, демон наверняка появится. Просто к гадалке не ходи, вся эта пки > просто так не делается. Любит народ изобретением велосипедов заниматься, а так то и Kerberos за PKI весьма неплохо пойдет.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #57 Ответы: #64, #68

64. Сообщение от bOOster (ok), 12-Май-20, 15:06	+/–
> Любит народ изобретением велосипедов заниматься, а так то и Kerberos за PKI > весьма неплохо пойдет. Сорри IKE :)))
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #63

65. Сообщение от НяшМяш (ok), 12-Май-20, 15:06	–1 +/–
> разумность > openbsd Неплохая шутка
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #7

66. Сообщение от Аноним (66), 12-Май-20, 15:07	+/–
> В Wireguard нет PKI, нет revocation листов и прочей ерунды. Просто два чувака обмениваются ключами, как в SSH. Кто тебе мешает самому написать свой интерфейс управления conf файла wireguard? > нет revocation листов Удаляешь пир и конфига вот тебе и revocation, больше он не подключится.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #58 Ответы: #67

67. Сообщение от Ананимус (?), 12-Май-20, 15:08	+/–
А зачем мне все это писать если он и так отлично работает?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #66

68. Сообщение от Ананимус (?), 12-Май-20, 15:09	+/–
НО ЗАЧЕМ? Весь профит Wireguard в том, что он тупой как валенок. Это же прекрасно!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #63 Ответы: #69, #91, #117

69. Сообщение от bOOster (ok), 12-Май-20, 15:12	+1 +/–
> НО ЗАЧЕМ? Весь профит Wireguard в том, что он тупой как валенок. > Это же прекрасно! Не спорю - прекрасно, но ключики - стоящие годами на VPN - это очень плохая практика :)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #68 Ответы: #70

70. Сообщение от Ананимус (?), 12-Май-20, 15:15	+/–
Почему? Для публичных сертификатов критически важно иметь expiration date, потому что сертификат валиден до тех пока, пока валиден CA, и revocation list лопнет, если пихать туда ВСЕ сертификаты выпущенные CA. А с ключами-то в чем проблема?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #69 Ответы: #90

71. Сообщение от анонимуслинус (?), 12-Май-20, 15:32	+/–
опенка в штатах крепко припрягла одна компания занимающаяся разработкой дронов безопасности. пока квадрокоптеры и прочее, но они переводят все свое оборудование на опенбсд. хотя от линя тоже не отказываются. так что точно не пять пользователей. и да опенка используют много людей и фирм , только в ограниченных отраслях. если ось не очень подходит для широкого промышленного или домашнего использования это не значит, что она совсем бесполезна, но да во всем остальном линух лидирует и это понятно. даже фряха потеряла много своих пользователей с улучшением линуха, но она все равно так же часто используется.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #43

72. Сообщение от lockywolf (ok), 12-Май-20, 15:40	+/–
https://cve.mitre.org/cgi-bin/cvekey.cgi?keyword=strongswan 29 эксплоитов с 2004 года? И сколько из них zero-day?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #62 Ответы: #73

73. Сообщение от Ананимус (?), 12-Май-20, 15:54	+/–
Сколько из них ещё не нашли? Сколькими из них не поделились?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #72 Ответы: #75

74. Сообщение от lockywolf (ok), 12-Май-20, 15:58	+1 +/–
В SSH есть CA, revocation lists и всё такое.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #58 Ответы: #78

75. Сообщение от lockywolf (ok), 12-Май-20, 16:02	+/–
> Сколько из них ещё не нашли? Сколькими из них не поделились? Ну так и в wireguard непонятно сколько.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #73 Ответы: #76

76. Сообщение от Ананимус (?), 12-Май-20, 16:03	+/–
Wireguard? В котором 3.5k строк? Который можно целиком за вечер прочитать?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #75 Ответы: #77

77. Сообщение от lockywolf (ok), 12-Май-20, 16:06	+/–
> Wireguard? В котором 3.5k строк? Который можно целиком за вечер прочитать? Ну, ниже уже написали, что в ядерном ipsec те же самые 3000 строк. А для того, чтобы уязвимости в юзерспейсе играли роль, надо, чтобы уязвимыми местами тоже кто-то пользовался. Ну, то есть, я не утверждаю, что wireguard плох, но пока его триумфальность не очевидна.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #76 Ответы: #79

78. Сообщение от Ананимус (?), 12-Май-20, 16:08	+/–
Это нужно только для подписанных ключей.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #74 Ответы: #97

79. Сообщение от Ананимус (?), 12-Май-20, 16:09	+/–
> А для того, чтобы уязвимости в юзерспейсе играли роль, надо, чтобы уязвимыми местами тоже кто-то пользовался. Ты думаешь там 400 тыщ строк кода, которыми никто не пользуется? :)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #77 Ответы: #83

80. Сообщение от пох. (?), 12-Май-20, 17:09	+/–
ну так чудо-вайргад-то тоже поди без udp померян - без которого он не жизнеспособен.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #47 Ответы: #89

81. Сообщение от Bob (??), 12-Май-20, 17:20	+/–
ни х... не понял. Но очень интересно.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #44

82. Сообщение от пох. (?), 12-Май-20, 17:23	+/–
в целом - работает, только как его включить в именно open? ;-) (мне на самом деле гораздо интереснее - как это сделать в винде, но, похоже, ответ - никак)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #55 Ответы: #111

83. Сообщение от пох. (?), 12-Май-20, 17:26	+/–
ну, вообще-то, в целом.... ДА! ;-) Во всяком случае, этих удивительных особей ученые в природе практически не обнаружили. Такое впечатление, что стандарт делали нарочно чтоб надежную реализацию написать было невозможно. Но, разумеется, Хэнлон подсказывает, что нет.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #79

84. Сообщение от пох. (?), 12-Май-20, 17:38	+/–
Вот оно че, Михалыч! Даа, чую под более распространенные системы ждать не приходится.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #44

85. Сообщение от Аноним (85), 12-Май-20, 17:50	+3 +/–
Не нужно!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #37

86. Сообщение от Аноним (85), 12-Май-20, 17:51	+2 +/–
Теперь црушный зонд и в опёнке будет, если примут.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #119

87. Сообщение от Аноним (87), 12-Май-20, 17:52	+/–
Ты до сих пор не осилил администрирование OpenBSD? А как надувал щеки!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #43

88. Сообщение от OpenEcho (?), 12-Май-20, 18:26	+/–
> нет PKI, нет revocation листов и прочей ерунды. Ерунды говоришь? А если у тебя клиентов размером в четыре циферки? С PKI админ подписывает CSR и отдает клиенту CRT для пользования, не дотрагиваясь ни до одного сервaка... в случае же с новой игрушкой, необходимо передергивать конфиги на всех серваках.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #58 Ответы: #94

89. Сообщение от Ананимус (?), 12-Май-20, 18:37	+/–
А без него типа UDP кода в ядре не будет, лол.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #80

90. Сообщение от OpenEcho (?), 12-Май-20, 18:51	+1 +/–
>revocation list лопнет А вы пробывали ? CRL держит только подписанные CN имена, и если у вас CRL больше чем мегабайт, то вы скорее всего админ у гугла :)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #70 Ответы: #92

91. Сообщение от OpenEcho (?), 12-Май-20, 19:02	+2 +/–
Для малого бизнеса и для "дома" пойдет, но не для серьезного бизнеса. Управлять nameless ключами - это вообще не серьезно... Передергивать конфиги на всех серваках при добавлении/удалении клиентов на большой сети - это просто дурдом. Плюс, нет верификации серверов и клиентов относительно СА, что есть потенциальный MITM
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #68 Ответы: #93, #131

92. Сообщение от Ананимус (?), 12-Май-20, 19:13	+/–
Представь, что у сертификата нет expiration date и тебе нужно хранить все сертификаты Let's Encrypt, котоорые протухают каждые три месяца.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #90 Ответы: #102

93. Сообщение от Ананимус (?), 12-Май-20, 19:18	+1 +/–
>  Для малого бизнеса и для "дома" пойдет, но не для серьезного бизнеса. Для site2site туннелей это вообще идеальная штука. Для b2b тоже. >Управлять nameless ключами - это вообще не серьезно... Ну да, ну да, SSH в интерпрайзе нет. > Передергивать конфиги на всех серваках при добавлении/удалении клиентов на большой сети - это просто дурдом. Hint: именно это самое делает OpenAccess, когда ты юзера блокируешь :D > Плюс, нет верификации серверов и клиентов относительно СА, что есть потенциальный MITM Какой к чертям MITM? Верификация относительно CA нужна тогда, когда у тебя есть сертификт, полученный через недостоверный источник (ты зашел на https://yandex.ru и он сам отдал тебе свой сертификат). Если у тебя и клиент, и сервер, шарят ключи заранее по доверенному каналу, никакая валидация относительно CA не нужна, лол.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #91 Ответы: #120

94. Сообщение от Ананимус (?), 12-Май-20, 19:53	+/–
> С PKI админ подписывает CSR и отдает клиенту CRT для пользования, не дотрагиваясь ни до одного сервaка... в случае же с новой игрушкой, необходимо передергивать конфиги на всех серваках. В случае с новой игрушкой админ пишет в git репозиторий и нажимает 'git push', после чего за него все делает Ansible.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #88 Ответы: #95

95. Сообщение от OpenEcho (?), 12-Май-20, 20:26	+/–
>после чего за него все делает Ansible. Вот именно -> привлечение кучи (git, ansible/python) стороннего софта, открывающего дополнительные векторы атак. Плюс, каждый новый админ придумывает новую систему, - "а кому же принадлежит ентот килючик"
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #94 Ответы: #96

96. Сообщение от Ананимус (?), 12-Май-20, 20:32	+/–
> Вот именно -> привлечение кучи (git, ansible/python) стороннего софта, открывающего дополнительные векторы атак. Плюс, каждый новый админ придумывает новую систему, - "а кому же принадлежит ентот килючик" Если у вас нет в конторе нет системы деплоя (ansible, chef, puppet, whatever), то ключики в WG добавить это далеко не самая большая проблема :D
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #95 Ответы: #99

97. Сообщение от OpenEcho (?), 12-Май-20, 20:36	+/–
> Это нужно только для подписанных ключей. Именно, - подписанные теми кто авторизует доступ к куче ресурсов с возможностью ограничивать даже "root"-oв через principal механизм в зависимости куда одним можно лазить а другим нет и удобством управления стандартизированного, проверенного временем механизма.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #78 Ответы: #113

98. Сообщение от Anonymous Coward (?), 12-Май-20, 20:41	+1 +/–
Тео первым делом потроллил на тему инструкции по установке вида "ftp|sh": https://marc.info/?l=openbsd-tech&m=158926552405950&w=2
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #37

99. Сообщение от OpenEcho (?), 12-Май-20, 20:47	+1 +/–
> Если у вас нет в конторе нет системы деплоя (ansible, chef, puppet, > whatever), то ключики в WG добавить это далеко не самая большая > проблема :D Деплой и контроль над доступом - принципиально разные вещи! Деплоить ключи через механизмы деплоя - это все равно, что посылать баксы в конверте через обычную почту. Именно поэтому, теми кто шарит в криптографии давно был придуман очень простой и эффективный PKI, в котом -НЕ НУЖНО ничего деплоить, тем более через софт который переодически "0-day"
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #96 Ответы: #100, #101

100. Сообщение от Ананимус (?), 12-Май-20, 21:03	+/–
> Деплой и контроль над доступом - принципиально разные вещи! Шта? Какая тебе разница, что деплоить на сервера?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #99 Ответы: #104

101. Сообщение от Ананимус (?), 12-Май-20, 21:03	+/–
Если у тебя дыра в деплое, то на твои торчащие наружу вебсервера зальют telnet и никакой VPN тебя уже не спасет :D
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #99 Ответы: #105

102. Сообщение от OpenEcho (?), 12-Май-20, 21:20	+1 +/–
> Представь, что у сертификата нет expiration date и тебе нужно хранить все > сертификаты Let's Encrypt, котоорые протухают каждые три месяца. Вы о чем? "Представь что ты птица, но ты не птица и тебе надо учитывать таких птиц..." LetsEncrypt сертификаты - все без исключения с expiration. Выдавать безсрочные сертификаты - глупо. Это не проблема PKI, а двоечника админа. Еще раз, CN(common name) махимум 64 символа. CRL держит только эти именна. Для примера, VerySign CRL файл всего навсего размером в 125Кб, что при нынешнем оборудовании  - меньше чем самая поганая фотка
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #92 Ответы: #103

103. Сообщение от Ананимус (?), 12-Май-20, 21:25	+/–
О господи... ты вообще прочитал на что отвечаешь? По-моему, нет.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #102

104. Сообщение от OpenEcho (?), 12-Май-20, 21:28	+/–
Разница только в том, что меня немедленно попрут с работы, если я начну деплоить ключи доступа через ansible
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #100 Ответы: #107

105. Сообщение от OpenEcho (?), 12-Май-20, 21:30	+1 +/–
> Если у тебя дыра в деплое, то на твои торчащие наружу вебсервера > зальют telnet и никакой VPN тебя уже не спасет :D Ок, я все понял, деплойте дальше доступ через ansible ;)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #101 Ответы: #106

106. Сообщение от Ананимус (?), 12-Май-20, 21:39	+/–
Ты так говоришь, как будто это что-то плохое.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #105 Ответы: #108

107. Сообщение от Ананимус (?), 12-Май-20, 21:40	+/–
>  Разница только в том, что меня немедленно попрут с работы, если я начну деплоить ключи доступа через ansible Ну так это проблемы твоей работы, что я могу сказать.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #104

108. Сообщение от OpenEcho (?), 12-Май-20, 21:49	+/–
> Ты так говоришь, как будто это что-то плохое. Я уже ответил, - чем это плохо, не знаю , что еще добавить...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #106 Ответы: #109, #110, #112

109. Сообщение от Ананимус (?), 12-Май-20, 21:51	+/–
> Я уже ответил, - чем это плохо, не знаю , что еще добавить... Нет, не ответил. Кроме ААААА МЕНЯ УВОЛЯТ аргументов как-то не было особо.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #108 Ответы: #121

110. Сообщение от Ананимус (?), 12-Май-20, 21:56	+/–
Не знаю, боишься ansible? Ну сливай файлик с ключами wget'ом раз в 5 секунд с If-Modified и раскатывай скриптом. Проблема реально придуманая.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #108

111. Сообщение от Дон Ягон (ok), 12-Май-20, 21:58	+/–
> как его включить в именно open? ;-) Тут http://www.openbsd.org/faq/faq17.html написано, как, примерно, это делается. Али не работает что?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #82 Ответы: #141

112. Сообщение от Дон Ягон (ok), 12-Май-20, 22:03	+1 +/–
Добавлять, имхо, и нечего, ты всё правильно сказал.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #108 Ответы: #116

113. Сообщение от Ананимус (?), 12-Май-20, 22:09	+/–
> Именно, - подписанные теми кто авторизует доступ к куче ресурсов с возможностью ограничивать даже "root"-oв через principal механизм в зависимости куда одним можно лазить а другим нет и удобством управления стандартизированного, проверенного временем механизма. Правда SSH не умеет шарить все это самостоятельно и все публичные CA ключи все равно раскидываются по нодам тем же Ansible, но какая разница :D
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #97

114. Сообщение от Я (??), 12-Май-20, 22:10	+/–
потому что авторы нужных и немаргинальных пока жуют сопли.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #24 Ответы: #138

115. Сообщение от Я (??), 12-Май-20, 22:12	+2 +/–
такая штука должна быть под всеми лицензиями чтоб даже майкрософт её в винду встроила.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #8 Ответы: #140

116. Сообщение от Ананимус (?), 12-Май-20, 22:17	+/–
Кроме того, что публичный ключ CA и revocation list все равно придется раскидывать по тем же нодам тем же Ansible :D
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #112 Ответы: #123

117. Сообщение от Аноним (117), 12-Май-20, 22:29	–1 +/–
Похоже Линус любит тупые вещи. Сначала линукс, потом гит, теперь и эту поделку.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #68 Ответы: #118

118. Сообщение от Ананимус (?), 12-Май-20, 22:31	+/–
Тео тоже нравится.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #117

119. Сообщение от Аноним (119), 12-Май-20, 22:50	+/–
А то у них до этого момента там не было зонда. Зонды и бэкдоры есть в каждой ОС. Сноуден подтверди...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #86 Ответы: #127

120. Сообщение от OpenEcho (?), 12-Май-20, 22:58	+/–
> Для site2site туннелей это вообще идеальная штука. Для b2b тоже. Все зависит от необходимости уровня защиты сети, размера сети, похеризма и параноии... Новомодные 32 байтовые ключи на элиптических кривых - это эквивалент 2048-3072бит RSA что не считается уже давно достаточным уровнем(после того, как гугля достигла квантумной супримаси). >>Управлять nameless ключами - это вообще не серьезно... > Ну да, ну да, SSH в интерпрайзе нет. Не понял иронии... SSH поддерживает PKI, где можно создавать имеенованные сертификаты, которые хорошо видны в логах... >> Передергивать конфиги на всех серваках при добавлении/удалении клиентов на большой сети - это просто дурдом. > Hint: именно это самое делает OpenAccess, когда ты юзера блокируешь :D Какой OpenAccess? На серваках лежит только публичный ключ СА. Все. Все что подписанно им, - истина. Никто ничего не передергивает/рестартует/добавляет/удаляет на серваках. Никахих добавлений в authorized_keys и их родствеников в других протоколах. Клиент присылает мне CSR, я его верифицирую через как миниум 3 независимых канала, подписываю его, и отправляю обратно CRT(или если ресурс очень важный, то из рук в руки под подпись). Теперь он может заходить туда где есть наш публичный СА и делать только то, что ему разрешили через principal(прописанный в сертификате) Никаких конектов к сервакам или мороки с деплоями (через стороний софт тем более). Единственное что должно быть на серваках - публичный СА ключ. >> Плюс, нет верификации серверов и клиентов относительно СА, что есть потенциальный MITM > Какой к чертям MITM? Если у тебя и > клиент, и сервер, шарят ключи заранее по доверенному каналу, никакая валидация > относительно CA не нужна, лол. Такое впечатление, что мы с разных планет. Технология работает не только на просторах хттп. Доверенный канал - это что ? гмэйл, яндекс? Может ssh ? И вы правда по телефону сравнивали фингерпринты? Со всеми сотнями серверов? Если есть канал, он может быть МИТМ. Если нет верификации ключей, то МИТМ  можно организовать. Лолайте дальше ;)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #93 Ответы: #122

121. Сообщение от OpenEcho (?), 12-Май-20, 23:08	+/–
>> Я уже ответил, - чем это плохо, не знаю , что еще добавить... > Нет, не ответил. Кроме ААААА МЕНЯ УВОЛЯТ аргументов как-то не было особо. Читай выше, если тебе коненчо это надо...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #109

122. Сообщение от Ананимус (?), 12-Май-20, 23:08	+/–
> Все зависит от необходимости уровня защиты сети, размера сети, похеризма и параноии... > Новомодные 32 байтовые ключи на элиптических кривых - это эквивалент 2048-3072бит RSA что не считается уже давно достаточным уровнем(после того, как гугля достигла квантумной супримаси). В Wireguard есть опциональный Preshared Key на этот случай. Учитывая, что нет готового решения для пост-квантовой криптографии (кроме PSK), я не понимаю, чего ты конкретно хочешь :D > Не понял иронии... SSH поддерживает PKI, где можно создавать имеенованные сертификаты, которые хорошо видны в логах... Логи SSH? Глазами? Серьезно? :D > Какой OpenAccess? OpenVPN Access. Ынтырпрайз для любителей OpenVPN. > Никто ничего не передергивает/рестартует/добавляет/удаляет на серваках. Никахих добавлений в authorized_keys и их родствеников в других протоколах. Клиент присылает мне CSR, я его верифицирую через как миниум 3 независимых канала, подписываю его, и отправляю обратно CRT(или если ресурс очень важный, то из рук в руки под подпись). Теперь он может заходить туда где есть наш публичный СА и делать только то, что ему разрешили через principal(прописанный в сертификате) Никаких конектов к сервакам или мороки с деплоями (через стороний софт тем более). Единственное что должно быть на серваках - публичный СА ключ. Правда есть три маленькие детали. Во-первых, на публичный ключ CA на сервера должен как-то попасть. На _каждый_ SSH сервер. Вы его туда руками добавляете? :D Во-вторых, revocation list должен попадать на сервера ASAP. На _каждый_ SSH сервер. Вы его туда руками добавляете? Ну и политики в /etc/ssh тоже должны как-то попадать :D Если вы добавляете это все руками, то это просто комедия. Если вы пушите это через Ansible/Puppet/Chef, то расскажи мне САКРАЛЬНУЮ РАЗНИЦУ В БЕЗОПАСНОСТИ между записью файликов в /etc/ssh, и записью файликов в /root/.ssh/authorized_keys, ~user1/.ssh/authorized_keys. Учитывая, что делать это нужно на тех же самых SSH хостах :) > Доверенный канал - это что ? гмэйл, яндекс? Может ssh ? И вы правда по телефону сравнивали фингерпринты? Со всеми сотнями серверов? Какой сотней серверов, если речь про Wireguard? Который VPN? У тебя сто VPN серверов? :D > Если есть канал, он может быть МИТМ. Если нет верификации ключей, то МИТМ  можно организовать. Тока ты забыл про одну маленькую деталь. Сертификат для проверки CA тоже нужно как-то доставить клиенту :D
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #120 Ответы: #126

123. Сообщение от OpenEcho (?), 12-Май-20, 23:09	+/–
> Кроме того, что публичный ключ CA и revocation list все равно придется > раскидывать по тем же нодам тем же Ansible :D Публичный ключ и crl - не есть секрет !
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #116 Ответы: #124

124. Сообщение от Ананимус (?), 12-Май-20, 23:13	+/–
> Публичный ключ и crl - не есть секрет ! Публичный ключ (в authorized_keys добавлются публичные ключи, лол) ВНЕЗАПНО тоже не секрет :D
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #123

125. Сообщение от Аноним (125), 12-Май-20, 23:27	–1 +/–
Потому что среди пользователей OpenBSD нашелся человек, который взял и сделал.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #24 Ответы: #139

126. Сообщение от OpenEcho (?), 12-Май-20, 23:58	+/–
> В Wireguard есть опциональный Preshared Key на этот случай. Канал передачи ключей проверенный??? >Логи SSH? Глазами? Серьезно? :D Я все никак догнать не могу, что смешного??? # cat /var/log/secure | grep 'user_root12' May 12 16:31:44 ХОСТ sshd[23637]: Accepted publickey for root from хх.хх.хх.хх port 7266 ssh2: RSA-CERT ID user_root12 (serial хххххххх) CA RSA SHA512:хххххххххххххххххххххххххх >Правда есть три маленькие детали. Во-первых, на публичный ключ CA на сервера должен как-то попасть. На _каждый_ SSH сервер. Вы его туда руками добавляете? :D Ну да, руками, на первой исталяции, приходит/приезжает/прилетает технарь, ему под подпись выдаются публичные ключи, которые они уже устанавливают через иммиджинг систему. Я же уже сказал, все зависит от систем, которые вы обслуживаете, если это вордпрессы на AWS, это дело одно, а если это военка, финансы, электростанции и т.д. и т.п. то это совсем другое дело... >Во-вторых, revocation list должен попадать на сервера ASAP. На _каждый_ SSH сервер. Вы его туда руками добавляете? Когда система уже доверенная, то доставка идет через проверенный, верифицированный канал и CRL в этом случае уже не есть секрет, т.к. он это просто публичный ключ подписанный тем же СА...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #122 Ответы: #128

127. Сообщение от мацад (?), 13-Май-20, 03:29	+/–
да ты прав бро, радужные курвы25519 от рубинштейнера много куда запихали, вычистить нереально, миллионам мух все равно куда и сколко вставлено а полтора по ехавших шизика для строителей третьего храма опасности не представляют.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #119 Ответы: #146

128. Сообщение от Ананимус (?), 13-Май-20, 07:11	+/–
> Когда система уже доверенная, то доставка идет через проверенный, верифицированный канал и CRL в этом случае уже не есть секрет, т.к. он это просто публичный ключ подписанный тем же СА... Какой верифицированный канал, лол? Как ты CRL на сервер доставляешь?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #126

129. Сообщение от Аноним (129), 13-Май-20, 07:22	+/–
Пох, ты все знаешь. Подскажи что-то умное. Есть мать на чипсете Intel G41. Хотелось бы из нее сделать легкую юниксовую рабочую станцию или домашний сервер. Но она не хочет. Я ее могу загрузить чуть ли не с чего угодно, но только не с FreeBSD. Успешно на ней загружал и на нее устанавливал OpenBSD, NetBSD и Windows XP, загружал Solaris (пишу с него: Live-CD OpenSolaris 2009.06, кто бы мог подумать такое), DOS, разный Linux, наверняка загрузятся даже Plan 9 и QNX. Но FreeBSD -- ни в какую. Ни один релиз из 11-й и 12-й серий. Ни 32-, ни 64-разрядный. Ни с болванок, ни с винта внешнего, ни с сидирома внешнего. Тупо вот не грузится и все. Иногда ругается при загрузке на панику, иногда не ругается, но дальше загрузчика не грузится. Не знаю о чем и думать, о чем гуглить и в какую сторону смотреть. Более старые релизы Фри не пробовал. // Anonymoustus // Вахтеры ради безопастносТе сломали форум, я теперь не могу ничего писать, как раньше: выбрасывает на страницу предупреждения о безопастносте. Чтоб им так зарплату платили, как они работают.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #43 Ответы: #137

130. Сообщение от БреттонВудс (?), 13-Май-20, 08:37	–3 +/–
netbsd вообще не используется и служит толька для обкатки бредовых идей
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #43

131. Сообщение от факен (?), 13-Май-20, 08:38	+/–
серьёзный бизнос - это там кде админ в танчики играет, вместо того чтобы работать?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #91

132. Сообщение от IRASoldier_registered (ok), 13-Май-20, 10:36	+1 +/–
А кому какая разница, что там с лицензионными тонкостями? Главное, что 1) работает 2) бесплатно 3) патчи будут.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #17

133. Сообщение от Аноним (87), 14-Май-20, 07:42	+/–
Есть ещё вопросы к опытным собаководам. В настройках pkg предусмотрены пути следующего вида: http://pkg.freebsd.org/FreeBSD:8:i386/latest На pkg.freebsd.org есть пакеты только для последних релизов. Для упомянутой FreeBSD 8 пакетов там нету, а её pkg, естественно, не работает. Как быть? На фришном форуме тамошние авторитетные анонимы глубокомысленно вещают, что, дескать, если такой-то релиз EOL, то спешите обмазаться свежим, ароматным. Но это не ответ на данный вопрос. Нет, их ценное мнение о моей безопасТносте меня не интересует никак и никогда. Мне просто надо пакетов для восьмой фри, например. Мне чтобы работало в дальнем шкафу, а не чтобы модно и молодёжно. Где в интернетах лежат пакеты для старых фрибздей? Пох, ты же знаешь?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #43 Ответы: #134, #151

134. Сообщение от пох. (?), 14-Май-20, 08:19	+1 +/–
>  Есть ещё вопросы к опытным собаководам. ну ты бы еще на кружке любителей анального рестлинга эти вопросы задавал, в паузах между раундами. Есть же форум здесь, если ты даже до freebsd@uafug.org.ua (он на русском) ты не в силах дотянуться. > На pkg.freebsd.org есть пакеты только для последних релизов. для *поддерживаемых* релизов. Что не так? Поддержка осуществляется силами комьюнити и для комьюнити. Поддерживать неподдерживаемые давно мертвые ветки у него ресурсов нет. Я бы мог понять плевки в сторону 11.0, но десять лет?! > Для упомянутой FreeBSD 8 пакетов там нету, а её pkg, естественно, не работает. Как быть? никак не быть - с разбегу и апстену. > Пох, ты же знаешь? знаю - см выше. Откуда возьмутся такие пакеты? Допустим я даже выложу тебе свои (они протухли точно так же и сравнительно безопасны только на моей 8 - где a) их никто не видит b) они собраны с моими специфическими настройками (например я не переживаю за свой древний bind, поскольку ни одна опубликованная увизгвизьмость его не касалась - там нет дырявых dnssec и xml)  - во-первых, их два десятка, а не двадцать тысяч (нахрена мне надо все это собирать?), во-вторых - ты рискнешь доверять моему васян-репо? Хотя бы даже в том плане, а не налажал ли я в своих патчах, не говоря уже о том не добавил ли чего интересного. Тебе никто не запрещает cd /usr/ports ; make Ну или настраивать poudriere, как у взрослых мальчиков. Если тебе при этом еще и хочется не версий портов 2012го года - то придется обновлять pkg (это очень непросто, он завязан на изменения в _ядре_), мэйк (возможно достаточно ln bmake pmake, но я не гарантирую что оно там уже было и что работает) и самому сражаться с устаревшим компилятором и неподдерживаемыми версиями зависимостей. Лично я два года назад при переносе с дохлого диска потерял src от последней восьмерки, и не планирую восстанавливать - при необходимости апгрейда чего бы то ни было я повздыхаю,  и поставлю вместо нее 12 - никакой специальной необходимости жить на малонагруженной древней системе с фиксированной версией - нет. (смысла апгрейдить ради апгрейда, понятно, тоже, поэтому она стояла и стоять будет) P.S. напоминаю что у тебя там два local root, для одного есть патч, для второго нет и не сбэкпортишь, дыра в sshd, неработающий при отключенном в ядре (дырявом!) ipv6 pcap/tcpdump (c remote root), и еще так по мелочи. Поэтому тратить силы и время на самостоятельную поддержку настолько древней системы - по меньшей мере иррационально. Нет, если тебе просто нравятся раритеты - ну так за ретро приходится платить, причем в основном своим временем и силами - на ретро-автомобиле образца 52го года на автосервисы не ездют, там их чинить все равно не умеют. И бесполезно возмущаться отсутствием такового.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #133 Ответы: #135

135. Сообщение от Аноним (87), 14-Май-20, 08:49	+/–
> для *поддерживаемых* релизов. Что не так? Поддержка осуществляется силами комьюнити и для комьюнити. Поддерживать неподдерживаемые давно мертвые ветки у него ресурсов нет. Я бы мог понять плевки в сторону 11.0, но десять лет?! То не так, что архивы пакетов и всего -- где? Я могу тебе сказать, где живут архивы OpenBSD за всю её историю. Или Дебиана (ну это и так все знают). А ты мне скажи, где пакеты для FreeBSD 4.11^W^W релизов старше десятого. И что там поддерживать? Оно лежит на дисках и даже не занимает много места. Поддерживать… > Откуда возьмутся такие пакеты? Ты прикалываешь или придуриваешься? Куда они оттуда делись? У меня только один этот вопрос. Зачем бздуны так с нами поступают? > Нет, если тебе просто нравятся раритеты - ну так за ретро приходится платить, причем в основном своим временем и силами - на ретро-автомобиле образца 52го года на автосервисы не ездют, там их чинить все равно не умеют. И бесполезно возмущаться отсутствием такового. Меня возмущает то, что старые релизы уничтожают. Какое кому дело, что я с ними буду делать? Может я их коллекционировать хочу.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #134 Ответы: #136

136. Сообщение от пох. (?), 14-Май-20, 11:24	+/–
> То не так, что архивы пакетов и всего -- где? в помойке - сколько их хранить и на чьи деньги? Но тебе никто не мешал смиррорить сразу в тот день, когда объявили EOL - чай не интел, он заранее был известен. Лично мне было просто неинтересно - зачем мне архив устаревших дырявых сборок абсолютно всего на свете с не теми настройками которые мне актуальны? При этом в distfiles все еще лежит масса интересного тех времен (хотя и не все - его в какой-то момент очень удачно "улучшили", заодно сделав неиндексируемым). Но опять же - ценность этого сомнительна. Если нет какого-то важного и нужного патча для софтины 2011го года - вероятно, надо опомниться, и перейти на софтину 2017го хотя бы - к ней патчи еще доступны. > Или Дебиана (ну это и так все знают). вообще-то _архивы_ дебиана лежат на сайте совершенно не имеющих отношения к проекту людей, героически разведших несколько провайдеров оплачивать им хостинг и терабайты (там реально десятки тер) места. Причем польза от этой коллекции хлама весьма сомнительна. Но ты мог бы сделать свою такую же для freebsd. На нее даже был бы небольшой спрос - иногда чтобы собрать что-то ненужное, приходится понаставить два десятка ненужных дев-зависимостей, и вот про них часто все равно - кем и как они собраны и сколько там увизгвизмостей - после сборки они будут удалены вметсе со всем сборочным мусором. (Но в какой-нибудь astro десятилетней давности - гарантирую, никто и никогда не заглянет. А место оно будет занимать.) Но ты ж не хочешь из своего кармана и своим временем заплатить? Вот и я не хочу - не настолько заинтересован. Ну пересоберу если очень понадобится, машина - она железная. > Меня возмущает то, что старые релизы уничтожают. они действительно дорого обходились, все эти мегатонны ненужных бинарников. При этом уверен, что процентов 70 не скачал никогда в жизни ни один человек - все кому оно на самом деле было надо, собирали себе так, как им было надо - в конце-концов, легкость подобных настроек (и тиражируемость их на свои сети, сколько б там ни было систем) является одним из преимуществ портов. А уж особенно - когда порт устарел и ставить что попало как попало может быть реально опасно. > Может я их коллекционировать хочу. ну так займись - того гляди 11й ветке придет конец. Для экономии - можно коллекционировать только исходники (вдруг какой gnu.org сдохнет, как уже,кстати, было с гуглекодом) и патчи (это важно, их никто не обещал хранить вечно), собирать необязательно, пока не понадобится. Я, повторю, не вижу смысла - даже в старой системе мне вряд ли хочется таких же тухлых портов.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #135 Ответы: #142

137. Сообщение от пох. (?), 14-Май-20, 11:39	+/–
> Тупо вот не грузится и все. Иногда ругается при загрузке на панику, иногда не ругается, но > дальше загрузчика не грузится. включаешь дебаг загрузки (гугли), лучше - перенаправив всю ботву в serial port, он надежнее изуродованной linux'ным kms консоли. Результат несешь в send-pr...упс, да, его ж отменили, много вас таких тут ходют, а нам потом читай о ваших проблемах... В bugs.freebsd.org несешь, в интуитивно-приятный интерфейс. И ждешь - лет через десять, вполне возможно, дождешься. (есть смысл в тутошнем форуме хотя бы скинуть ссылку на баг, только не в комментах к новости даже не о фре, а в форуме ;) Грузиться при этом лучше не с установочного образа (кто еще вообще и зачем им пользуется) а с полноценной системы, установленной на флэшке (и не забыв при этом предусмотреть место для крэшдампа, он пригодится, если там и правда паника - это хорошо, это легко чинить) Попутно можно подсунуть свое минималистичное ведро вместо generic, вдруг какой-то драйвер тебе не стоило и пытаться загружать - только не увлекись минимализмом и не отключай дебаг.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #129 Ответы: #155, #156

138. Сообщение от пох. (?), 14-Май-20, 11:43	+/–
> потому что авторы нужных и немаргинальных пока жуют сопли. авторы open тоже пальцем не пошевелили - за них все сделал собственно изобретатель вайргада. Но тут уже ответили, в freebsd мы можем не ждать.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #114

139. Сообщение от пох. (?), 14-Май-20, 11:45	+/–
> Потому что среди пользователей OpenBSD нашелся человек, который взял и сделал. чисто случайно им оказался человек-разработчик оригинального проекта. Взяли и сделал теперь еще и под openbsd. А под более разумные - не сделал, потому что не хочет. Ну ок, его поделка, ему и решать ее судьбу. Теперь она не "linups only", а "linups only + используемая полутора маргиналами bsd". Ооок. Такая любофф - никто не поймет...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #125

140. Сообщение от пох. (?), 14-Май-20, 11:47	+1 +/–
> такая штука должна быть под всеми лицензиями чтоб даже майкрософт её в > винду встроила. в винде все нормально с 3dparty софтом, включая такой который требует ядерных драйверов. И такой порт - написали, только вот афтырь аригинала покрыл х-ями его разработчиков, заявил что те хотят украсть его суперсекретных котиков и он никому не велит им доверять. Это в этих ваших 6ешплатных системах 3dparty driver - вещь нереалистичная, потому что stable api is nonsense.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #115

141. Сообщение от пох. (?), 14-Май-20, 11:50	+/–
Не работает то что ты не смог прочитать: работа ipsec без ike в принципе. Насколько я вижу - фак по настройке iked, зачем он мне? Между линуксом и фрей - работает. Между циской и линуксом - работает. В проклятой, имени корпорации зла - не работает. Ну так корпорация - зла!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #111 Ответы: #144

142. Сообщение от Аноним (87), 14-Май-20, 11:59	+/–
> сколько их хранить и на чьи деньги? Вообще-то хранить надо навсегда. Для этого, в конце концов, даже специальные файловые системы были изобретены. И это не стоит каких-то больших денег. У опенсосиев на фуршеты и банкеты ежегодно расходуется больше, чем было бы надо, чтоб купить и поставить в углу пару полок дисков чисто для архива. Диски в наше время дешевые как никогда, грандиозных мощностей для обслуживания не требуют. > Но тебе никто не мешал смиррорить сразу в тот день, когда объявили EOL - чай не интел, он заранее был известен. Мне и в голову раньше бы не пришло, что архивы софта могут быть просто стёрты с дисков или сделаны труднодоступными или вовсе недоступными. Причём сами-то пакеты там на серверах лежат -- см. ниже ссылки для первого релиза и для 4.11: http://ftp-archive.freebsd.org/pub/FreeBSD-Archive/ports/i38.../ http://ftp-archive.freebsd.org/pub/FreeBSD-Archive/ports/i38.../ По FTP тоже доступны. К ним только уже нету на серверах инфраструктуры для pkg в твоей машине. А с толкача, вручную -- устанавливай сколько хошь. > вообще-то _архивы_ дебиана лежат на сайте совершенно не имеющих отношения к проекту людей, героически разведших несколько провайдеров оплачивать им хостинг и терабайты (там реально десятки тер) места. Причем польза от этой коллекции хлама весьма сомнительна. Спешу тебя обрадовать официальной репой: http://archive.debian.org/debian-archive/debian/dists/ Ладно, я проблему ещё раз сформулирую, чтобы меня всё-таки правильно здесь поняли: пакеты на серверах Фрибзды есть, лежат кучками в архивном разделе, но доступа к ним из pkg уже списанных релизов -- нету.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #136 Ответы: #143

143. Сообщение от пох. (?), 14-Май-20, 12:37	+/–
> Вообще-то хранить надо навсегда. ну, храни! > И это не стоит каких-то больших денег. и где же твое зеркало? Опачки - из твоего личного-то кишенька оказывается - не такие уж и небольшие, да? У меня вот есть личное зеркало дорогого мне opensuse 11.4 и ненавидимого 12.1 (который угораздило поставить на "десктоп"). Не такое уж и бесплатное. Напоминаю, что без него ты не поставишься вообще - в том числе если сейчас сдохнет диск в том "десктопе", это не бесполезная свалка ненужного хлама. Даже если сразу после установки половину поменять на современное (что я и делаю). Но я не готов сделать его публичным - потому что мне придется поддерживать не только древнюю свалку, но и современную инфраструктуру (и защищать от роботов-е6оботов, пытающихся ее проломить, включая и zeroday - им похрен, что там старый софт, шерстяные не дадут соврать - дома при закрытых дверях я _уверен_ что софт не подменен, даже если ключей pgp давно уже нет). > Диски в наше время дешевые как никогда, грандиозных мощностей для обслуживания не требуют. ну так что же ж ты?! > Мне и в голову раньше бы не пришло, что архивы софта могут быть просто стёрты с дисков об этом предупреждали за два года до часа хе. И вон - архивы мусорного софта даже валяются по сей день - просто сервера для них нет. http://ftp-archive.freebsd.org/pub/FreeBSD-Archive/ports/i38.../ качай, на здоровье. Рассказать тебе, куда это скопировать, чтобы pkg add работал? > http://archive.debian.org/debian-archive/debian/dists/ это бесполезный мусор - мне нужны не пакеты на текущий момент, мне нужны пакеты до обновления, которое все сломало (сгодятся на момент релиза - раз я его поставил, значит все работало). И где они? (Они хранятся, но не трудами дебиана) > серверах Фрибзды есть, лежат кучками в архивном разделе, ну видишь, как тебе повезло! Мне вот не приходило в голову туда даже заглянуть, за бесполезностью. > но доступа к ним из pkg уже списанных релизов -- нету. потому что pkg-репо у нас один, и версия протокола там двадцать раз поменялась. А отдельный для любителей старья держать и _латать_ бесконечно, и следить чтоб не поломали - желающих, видимо, не нашлось. Ну подними свой, у тебя ж время и вдохновение, и тебе оно надо. Можешь даже не кэшировать бинарники - просто пробрасывать прокси на архив.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #142 Ответы: #152, #52

144. Сообщение от Дон Ягон (ok), 14-Май-20, 13:14	+/–
> Не работает то что ты не смог прочитать: работа ipsec без ike > в принципе. Насколько я вижу - фак по настройке iked, зачем > он мне? Я действительно пропустил про "без ike" и обратил внимание только на симметричные ключи. Судя по /etc/examples/ipsec.conf и https://man.openbsd.org/ipsec.conf.5 то, что ты хочешь, таки возможно (но я не проверял на практике). Что-то типа такого (пример из examples выше): # Set up a tunnel using static keying: # # The first rule sets up the flow; the second sets up the SA.  As default # transforms, ipsecctl(8) will use hmac-sha2-256 for authentication # and aes for encryption.  hmac-sha2-256 uses a 256-bit key; aes # a 128-bit key. flow esp from 192.168.7.0/24 to 192.168.8.0/24 peer 192.168.3.2 esp from 192.168.3.1 to 192.168.3.2 spi 0xabd9da39:0xc9dbb83d \        authkey 0x54f79f479a32814347bb768d3e01b2b58e49ce674ec6e2d327b63408c56ef4e8:0x7f48ee352c626cdc2a731b9d90bd63e29db2a9c683044b70b2f4441521b622d6 \        enckey 0xb341aa065c3850edd6a61e150d6a5fd3:0xf7795f6bdd697a43a4d28dcf1b79062d А если не секрет, чем хуже вариант с IKEv2?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #141 Ответы: #145

145. Сообщение от пох. (?), 14-Май-20, 15:14	+/–
тем что демон дыряв by design. И там где я могу не бояться одновременно гугля, nsa и cia, шпионящих за мной, от васяна я вполне надежно защищен статическим никогда не меняемым ключом. > Судя по /etc/examples/ipsec.conf а его кроме интерфейсной оболочки для iked кто-то читать-то вообще собирался? У остальных-то есть setkey для ручного управления sa, который никаких демонов не будит.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #144 Ответы: #147

146. Сообщение от пох. (?), 14-Май-20, 15:19	–1 +/–
> по ехавших шизика для строителей третьего храма опасности не представляют. тебе же почтальон Печкин из небезызвестного опуса - на практике показал, как именно абсолютно надежно предотвратить постройку третьего храма. Вперед!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #127

147. Сообщение от Дон Ягон (ok), 14-Май-20, 15:56	+/–
"Security Associations can be set up manually with ipsecctl(8) or automatically with the isakmpd(8) or iked(8) key management daemons." ( https://man.openbsd.org/ipsec.4 ) Раскрой мысль плиз, про пресловутую "дырявость by design" или посоветуй, где почитать?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #145 Ответы: #148

148. Сообщение от пох. (?), 14-Май-20, 16:05	+/–
описания ipsec почитать, вероятно. Ну или просто оценить количество ручек-глючек-вариаций настроек, и понять, что этот дремучий ентерпрайс не может в принципе быть реализован целиком, совместимо и надежно - даже если выбрать любые два. Хотя сам по себе, без ike - прост как палка в руках неандертальца.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #147 Ответы: #149

149. Сообщение от Дон Ягон (ok), 14-Май-20, 16:46	+/–
А, ты об этом. В этом я с тобой скорее согласен. Но я думал у тебя какие-то конкретные претензии именно к iked/isakmpd.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #148 Ответы: #150

150. Сообщение от пох. (?), 14-Май-20, 17:13	+/–
Нет, я даже вполне мог бы поверить (до недавних детских ошибок) что он не хуже и не ненадежнее racoon{,2} не говоря уж про strongswan
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #149

151. Сообщение от анонн (ok), 14-Май-20, 18:43	+/–
> В настройках pkg предусмотрены пути следующего вида: > > http://pkg.freebsd.org/FreeBSD:8:i386/latest > > На pkg.freebsd.org есть пакеты только для последних релизов. Для упомянутой FreeBSD > 8 пакетов там нету, А если, поклацав по зеркалам, найду? http://pkg0.nyi.freebsd.org/FreeBSD:8:i386/latest/ Это помимо вполне официальных архивов релизов: http://ftp-archive.freebsd.org/pub/FreeBSD-Archive/ports/i38.../ > На фришном форуме тамошние авторитетные анонимы глубокомысленно вещают, что, дескать, если такой-то релиз EOL, то спешите обмазаться свежим, ароматным. Погодите, я не расслышал - сколько-сколько вы задонатили на нужды проекта?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #133 Ответы: #153

152. Сообщение от Аноним (87), 14-Май-20, 19:02	+/–
> и где же твое зеркало? Опачки - из твоего личного-то кишенька оказывается - не такие уж и небольшие, да? Если не знаешь ответа на мой вопрос, то и напиши прямо, а столь многословное «ой, не шмагла я!» -- ни к чему. > http://archive.debian.org/debian-archive/debian/dists/ > это бесполезный мусор - мне нужны не пакеты на текущий момент, мне нужны пакеты до обновления, которое все сломало (сгодятся на момент релиза - раз я его поставил, значит все работало). И где они? (Они хранятся, но не трудами дебиана) И эти люди запрещают нам винду. Ты в пулы-то дебиановские хоть разик заглядывал за десятилетия трудовой деятельности? Для примера пусть будет Bash для двух с половиной архивных пулов: http://archive.debian.org/debian-archive/debian/pool/main/b/.../ http://archive.debian.org/debian-archive/debian-amd64/pool/m.../ http://archive.debian.org/debian-archive/debian-backports/po.../ В наличии входившие в релизы сборки для всех архитектур, плюс исходники и диффы, где надо. Потому мы и любили Дебиан, пока его не захватили красношляпые SJW-антифашисты. > Ну подними свой, у тебя ж время и вдохновение, и тебе оно надо. Можешь даже не кэшировать бинарники - просто пробрасывать прокси на архив. Если бы у меня было время и вдохновение, я бы сделал свой личный совершенный Юникс с шахматами и официантками, а сюда вообще бы не заглядывал задавать вопросы анониму, который позиционирует себя как видный специалист по фрям, бздам и ещё множеству дисциплин собаководства.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #143 Ответы: #158

153. Сообщение от Аноним (87), 14-Май-20, 22:02	+/–
> Погодите, я не расслышал - сколько-сколько вы задонатили на нужды проекта? Вы там на кассе, а я у вас что-то покупаю? Если нет -- не задавайте незнакомым людям такие вопросы, это запредельное хамство.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #151 Ответы: #154

154. Сообщение от Аноним (154), 14-Май-20, 23:28	–2 +/–
>> На фришном форуме тамошние авторитетные анонимы глубокомысленно вещают, что, дескать, если такой-то релиз EOL, то спешите обмазаться свежим, ароматным. > Вы там на кассе, а я у вас что-то покупаю? Если нет > -- не задавайте незнакомым людям такие вопросы, это запредельное хамство. Эталон двойных стандартов из палаты мер и весов.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #153

155. Сообщение от Аноним (87), 16-Май-20, 03:52	+/–
Десять лет, говоришь? Нагуглил нотабуг, подозрительно напоминающий то, что вижу я: http://bugs.freebsd.org/bugzilla/show_bug.cgi?id=151122 Только у меня не HP Compaq 6005 Pro, где процессоры AMD: https://support.hp.com/us-en/product/hp-compaq-6005-pro-micr... а вовсе даже Штеуда процессор и чипсет. Однако таки есть одно совпадение: у меня тоже видеокарта Ненавидия Квадро, хоть и другая. Попробую поставить вместо неё игровую и посмотрю, что из этого получится. Если загрузится, то, значит, проблема в Ненавидии.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #137

156. Сообщение от Аноним (87), 16-Май-20, 16:49	+/–
Переписал на бумажку сообщения загрузчика: FreeBSD/x86 bootstrap loader, Revision 1.1 panic: zfree(0x********,8224): wild pointer --> Press a key on the console to reboot <-- Нотабуг, увы, гуглится и находится: https://bugs.freebsd.org/bugzilla/show_bug.cgi?id=242106 Проблема в инсталляторе. Установочный образ 20200514-r361020 (из снапшотов: download.freebsd.org/ftp/snapshots/amd64/amd64/ISO-IMAGES/12.1/) загрузился как надо. Не та уже Фря, не та…
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #137 Ответы: #157, #159

157. Сообщение от пох. (?), 16-Май-20, 17:07	+/–
Ну, вообще-то, не notabug, а исправлено, но пока не попало в релизы. Вполне допустимый сценарий для необычного железа или vm, не вижу поводов для печали. И да, стоит отписаться в этот баг, что вот на таком железе было такое же, но исправлено. Людям, которые исправили - как минимум, может пригодиться.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #156 Ответы: #161

158. Сообщение от пох. (?), 16-Май-20, 17:19	+/–
>> и где же твое зеркало? Опачки - из твоего личного-то кишенька оказывается - не такие уж и небольшие, да? > Если не знаешь ответа на мой вопрос, то и напиши прямо, а я знаю ответ на твой вопрос - стерто нахрен, потому что денег из воздуха - нет. Тебе повезло, и какой-то (совершенно мне ненужный и неинтересный) миррор все еще не почистили от старья - это временно. Но ты же позволяешь себе вякать, что кто-то, видите-ли, тебе _должен_ хранить этот мусор, и это якобы дешево - угу, пока ТЕБЯ не просят за это заплатить - даже ради себя же, любимого, ты на такие жертвы, ну надо же, не готов. Пусть дядя платит, да? > Ты в пулы-то дебиановские хоть разик заглядывал за десятилетия трудовой деятельности? Для причем тут пулы? В пулах лежат ровно последние сборки (для всех версий, включая неподдерживаемые, поэтому их там больше одной). Мне нужна сборка под мою версию дистрибутива (а не позапрошлую) - но не та что там сейчас. Где? Правильный ответ: snapshot.debian.org (в упор не видишь разницы между ним и archive?) Но за это скажи спасибо немцам из Leaseweb. Если бы их не было (а вот для ubuntu таких щедрых не нашлось) - точно так же сидел бы ты с кучей мусора "времен релиза". > В наличии входившие в релизы сборки для всех архитектур, плюс исходники и мне не нужна "входившая в релиз" - он три года назад был. Мне нужна та, что только позавчера автоматически заменилась на новую-модную, только поломанную. В силу особенностей де6иллиановых индексов - ее невозможно там сохранить. (У rpm-based дистрибутивов - возможно и сохраняется, и автоматически устанавливаема штатным образом без ненужных приседаний) > Если бы у меня было время и вдохновение, я бы сделал свой > личный совершенный Юникс с шахматами и официантками разницу между личным юниксом и тривиальным миррором сделанным вовремя - ты, конечно же, старательно не видишь. Ну надейся что какой-то шитхостер в NY (если я правильно угадываю) не сотрет послезавтра же лишний мусор - или просто не навернется у него диск.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #152 Ответы: #162

159. Сообщение от Аноним (-), 16-Май-20, 18:07	+/–
> Нотабуг, увы, гуглится и находится: > https://bugs.freebsd.org/bugzilla/show_bug.cgi?id=242106 -- Status:    New Reported:    2019-11-20 12:03 UTC by Dave Cottlehuber Modified:    2020-04-07 20:48 UTC (History) Andy Mender 2020-03-26 20:05:35 UTC (In reply to Andy Mender from comment #3) Image FreeBSD-12.1-STABLE-amd64-20200326-r359308-bootonly.iso no longer shows the error and boots properly. -- Ни разу не встречается "notabug" > Не та уже Фря, не та… Зато перепончатые на опеннете в комментах к Фре - все так же верны себе.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #156 Ответы: #160

160. Сообщение от Аноним (87), 16-Май-20, 18:40	–1 +/–
> Зато перепончатые на опеннете в комментах к Фре - все так же > верны себе. Ты хоть немножко догадываешься, клоун, кому ты это пишешь?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #159 Ответы: #163

161. Сообщение от Аноним (87), 16-Май-20, 18:50	+/–
> Вполне допустимый сценарий для необычного железа или vm, не вижу поводов для > печали. Что необычного в чипсете Intel G41 + ICH7 и процессоре Intel Core 2? Проблема была в загрузчике Фри, не в моём железе.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #157

162. Сообщение от Аноним (87), 16-Май-20, 19:33	+/–
> я знаю ответ на твой вопрос - стерто нахрен, потому что денег > из воздуха - нет. Тебе повезло, и какой-то (совершенно мне ненужный > и неинтересный) миррор все еще не почистили от старья - это > временно. Ну раз так, то туда ей и дорога. Надеюсь, ты догадываешься, какие в мире чистогана радужные перспективы у программных проектов, так относящихся к потребителю их продукта? Ресурсов будет становиться всё меньше -- вот так чудеса! > Но ты же позволяешь себе вякать, что кто-то, видите-ли, тебе _должен_ хранить > этот мусор, и это якобы дешево - угу, пока ТЕБЯ не > просят за это заплатить - даже ради себя же, любимого, ты > на такие жертвы, ну надо же, не готов. Пусть дядя платит, > да? Ты бы не хамил, а подсказал, показал личным примером доброжелательность сообщества. Фряшное русскоговорящее сообщество, похоже, такое же сектантское и токсичное, как и лап4чатое. Напомню ещё раз, что для всех программных проектов главная ценность -- пользователи их программных продуктов. Если пользователи недовольны, надо их выслушать и услышать, а не делать морду кирпичом. Иначе пользователи отвернутся в сторону других программных продуктов. Особенно если начинают вымогать и клянчить деньги даже не разработчики, а посторонние форумные бездельники. Срамота. > мне не нужна "входившая в релиз" - он три года назад был. > Мне нужна та, что только позавчера автоматически заменилась на новую-модную, только > поломанную. В силу особенностей де6иллиановых индексов - ее невозможно там сохранить. > (У rpm-based дистрибутивов - возможно и сохраняется, и автоматически устанавливаема штатным > образом без ненужных приседаний) Никак не могу понять, что тебе надо. У _правильно_ настроенного для продакшына Дебиана без твоего разрешения ничего автоматически не заменится на новое-модное. Или опиши в деталях свой случай, когда такое случилось.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #158 Ответы: #164

163. Сообщение от Аноним (-), 16-Май-20, 20:14	+/–
>> Зато перепончатые на опеннете в комментах к Фре - все так же >> верны себе. > Ты хоть немножко догадываешься, клоун, кому ты это пишешь? Очередному эталону двойных стандартов, хамлу "вы мне все должны, патамушта я такой красивый!" и лгунишке-Нарциссу?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #160

164. Сообщение от пох. (?), 17-Май-20, 13:13	+/–
> Ну раз так, то туда ей и дорога. Надеюсь, ты догадываешься, какие в мире чистогана радужные > перспективы у программных проектов, так относящихся к потребителю их продукта? абсолютно нормальные. В те времена, когда "don't ask what linux can do for you, ask what you can do for linux" - им и пользоваться можно было без тошноты. Без всего этого inclusive и так далее. Я могу возмущаться чем-то вроде r193999 | jhb | 2009-06-11 17:07:42 +0400 (Thu, 11 Jun 2009) | 3 lines MFC: Add a feature_present(3) function which checks to see if a named kernel feature is present by checking the kern.features sysctl MIB. это архинужный и полезный комит в _четвертую_ версию спустя годы после EOL - и такого добра там - полно, при этом заставить их принять бэкпорт патчей, убирающих local root или чинящих tcpdump в восьмерке невозможно - под предлогом EOL. При том что тут не нужны ни материальные затраты, ни сверхусилия. (А комиты сомнительной нужности от нужных-и-полезных-людей с битиком туда идут по сей день) Но решительно не понимаю претензий предоставлять тебе любимому на халяву ресурсы для десять лет мертвой системы и обслуживать их, храня гигабайты вредного и опасного мусора - хотя сам ты мог бы это сделать (и даже часть мусора обновить на менее вредный и опасный, просто поменяв цифирки) - все инструменты тебе предоставлены, отлично документированы и в целом система заточена на такое самообслуживание. > Ты бы не хамил, а подсказал, показал личным примером доброжелательность сообщества. я тебе вполне доброжелательно показал пальцем, что там все гнилое и дырявое, и надо не бережно хранить посреди квартиры труп мертвой бабушки, выражая свое фе что жек не снабжает тебя на халяву дезодорантом, а побыстрее предать ее земле. > Никак не могу понять, что тебе надо. то есть чем отличаются snapshots от кладбища пакетов-на-дату-релиза ты так и не понял? > У _правильно_ настроенного для продакшына Дебиана это который вообще не обновляется? Спасибо, но с моей точки зрения, правильно настроенная система таки должна обновляться, и лучше бы - автоматически, а не мое время жрать. Но оставляя возможность вернуть как было до обновления, если что-то сломали и оно умудрилось просочиться мимо тестирования (которое должно быть, и не уровня "собирается, а если не - откатим последний комит через 40 минут"). По каким-то неведомым причинам особенности дебиановских реп это не позволяют.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #162 Ответы: #165

165. Сообщение от Аноним (87), 17-Май-20, 22:03	+/–
>> Ну раз так, то туда ей и дорога. Надеюсь, ты догадываешься, какие в мире чистогана радужные >> перспективы у программных проектов, так относящихся к потребителю их продукта? > абсолютно нормальные. В те времена, когда "don't ask what linux can do > for you, ask what you can do for linux" - им > и пользоваться можно было без тошноты. Без всего этого inclusive и > так далее. Сейчас это затруднительно сказать, пожалуй, даже о Слаквари. Патрик, вроде, ещё держится, но нового релиза вот уже четыре года как нету (хотя лично меня, замечу, это нисколько не напрягает, даже наоборот). Со всех сторон подбираются системдауны, прикладной софт (как sudo) портят. Рано или поздно они могут проникнуть и в Слаку и начать её изменять изнутри. Они уже работают на этом поприще ( https://github.com/Dlackware/systemd ; https://www.linux.org.ru/gallery/screenshots/13702531 ). Когда сдалась даже команда NetBSD и перешла на новую модную бессмысленную нумерацию релизов, уже стало совсем некуда бечь. Не на MINIX же... Упадок повсеместно. Я не раз писал на страницах этого печального форума, что стратегия Майкрософта, описанная Спольским ( https://www.joelonsoftware.com/2002/01/06/fire-and-motion/ ), оправданна только для коммерческого софтописательства и только для борьбы с конкурентами. Больше ни для кого она не годится (что более чем убедительно показала сама Майкрософт после 2010 года). Для СПО она вообще противопоказана, поскольку убивает всё живое. СПО не должно ни с кем соревноваться в гонке версий, оно вообще не ради этого было создано, а чтобы дать людям высококачественную и недорогую (даже бесплатную) замену коммерческим юниксам. Ключевое слово -- высококачественную. Это никак не вяжется с тактикой ляп-ляп-и-в-продакшын, лишь бы рос номер версии. И никак не может быть объяснено дороговизной труда программистов: программисты вроде как не за деньги пишут СПО (линукс не считается), а по зову души и для того, чтобы сделать мир лучше. Как с этим сообразуется гонка версий и болтовня о стоимости труда программиста? Да никак. СПО выродилось и, скорее всего, сдохнет в обозримом будущем. Ибо в нём прохудилась его идейная часть, в нём умерла философия и ушёл прочь разум. Даже Ногоед не такой кретин, как молодое пополнение СПО. Им не нужен Юникс, они его не понимают и не интересуются. Им нужна бесплатная винда и бело-серые на бело-сером приложения в браузере. Когда умрут последние зубры из поколения Ритчи, Кнута, Вирта, на смену им не придёт никто... > Я могу возмущаться чем-то вроде > r193999 | jhb | 2009-06-11 17:07:42 +0400 (Thu, 11 Jun 2009) | > 3 lines > MFC: Add a feature_present(3) function which checks to see if a named > kernel > feature is present by checking the kern.features sysctl MIB. > это архинужный и полезный комит в _четвертую_ версию спустя годы после EOL Я придерживаюсь другой точки зрения. Вместо того, чтобы часто выпускать новые релизы системы, было бы лучше изначально продумать такую системную инфраструктуру, которая бы позволяла обновлять или добавлять отдельные компоненты, не нарушая целостности общего. Хочешь свежее ядро? На. Хочешь других библиотек? На тебе вторичную, третичную иерархию и там внутри балуйся на здоровье (да так же и было ведь задумано с первых лет Юникса). Обнаружены баги и дыры в программах? Обнови только _эти_ программы, ни к чему менять всю систему... Для новой функциональности надо писать новые программы, а не добавлять её в старые. Иначе нарушается консистентность опыта человека, а его знания и навыки обесцениваются, из-за чего приходится бесконечно изобретать велосипеды, «облегчающие» рутину, которую изменили «инновации». Если не ошибаюсь, так были устроены AIX и HP-UX, но я опыта с ними не имею. Представь себе, что у кого-то таки работает четвёртая версия и вдруг в неё приезжают обновления -- за такое можно и нужно заслать донатов. > Но решительно не понимаю претензий предоставлять тебе любимому на халяву ресурсы для > десять лет мертвой системы и обслуживать их, храня гигабайты вредного и > опасного мусора - хотя сам ты мог бы это сделать (и > даже часть мусора обновить на менее вредный и опасный, просто поменяв > цифирки) - все инструменты тебе предоставлены, отлично документированы и в целом > система заточена на такое самообслуживание. Ты не понимаешь потребителя, который использует софт не для создания другого софта, а для бизнеса, к примеру. Бизнес и его деньги -- любит тишину и предсказуемость рутины. Если в своё время продукт рекламировали как надёжный, безопасный и так далее -- помогающий бизнесу решать его задачи, а спустя какое-то время к продукту внезапно не находятся его репозитории -- бизнес немножечко напрягается. Вдруг у меня этот софт на производственной линии работает и понадобилась какая-то программа или библиотека спустя 10 (20, 30) лет после наладки и пуска? У Межделмаша и подобных ему вендоров старой школы на такие случаи заведены отдельные склады с окаменевшими продуктами динозавров и мамонтов. Ибо клиенту может понадобиться, например, процессор i8086 или планка памяти тех времён или ещё что-то, а останавливать или менять станок или даже целый завод -- невозможно (и нынешним программистам это чрезвычайно трудно объяснить, они слишком тупые). И там вообще DOS крутится. И КОБОЛ, и Фортран, и другие неведомы зверушки... Нет ничего хуже перемен в налаженном бизнесе. Не, я помню, что во Фре есть порты. Но кто этим хочет заниматься в свободное от отдыха время? > я тебе вполне доброжелательно показал пальцем, что там все гнилое и дырявое, > и надо не бережно хранить посреди квартиры труп мертвой бабушки, выражая > свое фе что жек не снабжает тебя на халяву дезодорантом, а > побыстрее предать ее земле. Я ж специально пишу: проблемы моей безопастносте -- это _моя_ головная боль. Мне не надо, чтоб меня кутали в одеялко и прятали от опасного мира в детскую кроватку заботливые чужие дяди, которые якобы лучше меня знают, какие мне снятся кошмары по ночам. >> Никак не могу понять, что тебе надо. > то есть чем отличаются snapshots от кладбища пакетов-на-дату-релиза ты так и не > понял? Я не понимаю, какой тебе оттуда может быть нужен софт, и почему. Если ты точно знаешь о каких-то увизгвимостях в специфической сборке, причём не вошедшей в репу, то возьми в гитхлюпе исходники того времени, поправь руками и собери свой пакет. Накой тебе эти бестолковые снапшоты, собранные кем попало на чём попало? Чем они лучше твоего самосбора? >> У _правильно_ настроенного для продакшына Дебиана > это который вообще не обновляется? Обновляется же. Можно ж настроить получение обновлений только из репозитория обновлений сесурити, даже бэкпорты не подключать. И годков пять инсталляция вполне отходит, не меняя мажорные версии ядра и системных потрохов, а там уж и переехать на что-то новее можно, если очень хочется. > Но оставляя возможность вернуть как было до > обновления, если что-то сломали и оно умудрилось просочиться мимо тестирования (которое > должно быть, и не уровня "собирается, а если не - откатим > последний комит через 40 минут"). По каким-то неведомым причинам особенности дебиановских > реп это не позволяют. Если исходить из предположения, что там пакеты ещё и тестируют, а не только собирают, то логично в репах держать только проверенные сборки, а не все подряд. Не? Вот я для общего развития смотрю, что показывает aptitude в Devuan 2.1 ASCII для libc6: 2.24-11+deb9u1    stable-security 2.24-11+deb9u4    stable Установлена вторая. При желании можно вернуться на первую. По зависимостям произойдёт откат ещё для пары связанных пакетов. Хотя, вот честно, без помощи гугла я не знаю, чем одна отличается от второй. В крайнем случае -- начну читать бюллетень безопастносте, чтоб не так страшно жить было. Если тебе нужны какие-то специфические гарантии, которых я не понимаю, то, наверное, только к Красной Шапке, если она их даёт. И то -- как пишут отдельные анонимы, на удалённой поддержке у Шапки копченые из индостанских джунглей, а не белые люди в костюмах и при галстуках.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #164 Ответы: #166

166. Сообщение от пох. (?), 17-Май-20, 23:14	+/–
> Представь себе, что у кого-то таки работает четвёртая версия и вдруг в неё приезжают обновления и ломают ее к хренам. Потому что это обновление сделано васяном для своей единственноверной конторы и никем вообще не тестировалось. О нем вообще никто не знает - EOL системе, пять лет как. И вот ты сидишь, пытаясь понять - какого хрена?! А-а-а, вот оно чо - тут резвился васян-с-комит-битом! А нужные и важные обновления при этом выкидывают в помойку closed, wontfix, EOL. (я пытался, да. С кишками и кровищей удалось протолкнуть после EOL хотя бы медведовское вечное лето - банальное исправление таймзон тоже намертво отказывались принимать, при том что возможности поставить их из левого порта тогда еще не было, да и порты тоже быстро поломали - напоминаю, у портов нет веток, они всегда ".") > Ты не понимаешь потребителя, который использует софт не для создания другого софта, а для > бизнеса, к примеру. Бизнес и его деньги -- любит тишину и предсказуемость рутины. я не понимаю - _потребителей_ в мире шв...бесплатного софта. Мне нужна предсказуемость (gwdg.de рано или поздно сотрет мои любимые архивы, сколько можно) - я делаю себе зеркало и пару бэкапов про запас. Мне нужна возможность откатывать deb пакеты не смотря на убогость реп (и попутно некоторая независимость от внедрения чебурнетов) - я держу зеркало с эпизодическими снапшотами (у меня выйдет меньше чем у snapshots.debian.org, потому что я не храню пятьдесят версий мурзилы и сорок ведра для всех активных релизов, мне нужен только один). Да, это будет неудобно, но консистентность системы сохранится. Если бы я верил в то что это нужно еще кому-то - я возможно что-то из этого даже сделал бы публичным. Ровно до тех пор, пока это нужно мне самому. > 2.24-11+deb9u1    stable-security > 2.24-11+deb9u4    stable обрати внимание, за счет чего это сделали - вторую положили в другой репо. А цифирки как бы намекают, что было еще минимум две. Где они? А нигде - репо всего два, и еще можно одну версию держать в backports, но у них у каждой свое специальное назначение, поэтому на самом деле нельзя, и если бы эта u4 была не просто багфиксом, а исправлением безопасности - u1 ты бы уже не нашел. > Хотя, вот честно, без помощи гугла я не знаю, чем одна отличается от второй. об этом узнаешь когда оно тебе что-то поломает. И вот тут у тебя начинаются проблемы, потому что не всегда и с помощью гугла легко откатить как было. > Если тебе нужны какие-то специфические гарантии, которых я не понимаю мне нужно чтобы поставленный неделю назад дистрибутив в точности соответствовал тому, что я ставлю сегодня, например. Включая даже глюки - что-то может быть завязано именно на неправильное поведение, и не поменяешь быстро. А это в принципе невозможно - тех версий нет, нигде (кроме snapshots, но повторяю, это добрая воля leaseweb, и у них уже пару раз все падало, и с зеркалами такого монстра - туго). В любом (кроме, вероятно, alt) rpm-based дистрибутиве старые пакеты не удаляются - их репо не завязаны на единственно-верную версию. Иногда это обидно (когда там лежит пятьдесят версий той же мурзилы, причем вместе с исходниками и отладочной информацией, вообще неизвестно кому нужной, гигабайты мусора), но иногда оказывается очень ценно.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #165 Ответы: #167

167. Сообщение от Аноним (87), 18-Май-20, 11:15	+/–
>> Ты не понимаешь потребителя, который использует софт не для создания другого софта, а для >> бизнеса, к примеру. Бизнес и его деньги -- любит тишину и предсказуемость рутины. > я не понимаю - _потребителей_ в мире шв...бесплатного софта. Тогда для кого всё это СПО? Только для программистов? Или я чего-то не понимаю? Ногоед всея опенсоссии вроде писал, что речь о свободе доступа к информации для всех. На сайтах xBSD и хороших линуксов не наезжают на посетителей и не надуваются от важности, а уведомляют о том, что ты можешь помочь проекту -- если сочтёшь возможным и нужным: > please _consider_ donating if you would like to see more of this work (NetBSD) > If you love FreeBSD like we do, please help us spread the word and, if you haven’t already done so, make a donation today. > Please do consider a donation today: the funds contribute to the stability of this effort and are a good reality check for everyone involved, telling us how much we are all investing in this project to ensure its sustainability (Devuan). и т.п. И только в русскогорящем секторе на форумах бесконечно тошнят о том, дал ли ты донатов. Да не ваше это дело, ребята. Никто не обязан отчитывать об этом даже перед теми, кому задонатил. Даже налоговая понимает, что это не сокрытие доходов и не какой-то схематоз. > Мне нужна предсказуемость (gwdg.de рано или поздно сотрет мои любимые архивы, сколько > можно) - я делаю себе зеркало и пару бэкапов про запас. Тебе никогда не приходило в голову, зачем люди всё-таки создают все эти архивы и зеркала? Нет ли у них какой-то высокой и благотворительной цели. > Если бы я верил в то что это нужно еще кому-то - > я возможно что-то из этого даже сделал бы публичным. Ровно до > тех пор, пока это нужно мне самому. Что есть только у тебя, того нет больше ни у кого. Следовательно, эту информацию можно считать утраченной для рода человеческого. Сомнительное достижение, не? >> 2.24-11+deb9u1    stable-security >> 2.24-11+deb9u4    stable > обрати внимание, за счет чего это сделали - вторую положили в другой > репо. > А цифирки как бы намекают, что было еще минимум две. Где они? > А нигде - репо всего два, и еще можно одну версию держать > в backports, но у них у каждой свое специальное назначение, поэтому > на самом деле нельзя, и если бы эта u4 была не > просто багфиксом, а исправлением безопасности - u1 ты бы уже не > нашел. Я доверяю проекту и надеюсь, что они знают своё дело. У меня просто нет варианта -- не доверять: я физически не смогу отслеживать изменения софта, не говоря уж о каких-то исправлениях. Даже собрать LFS по мануалу -- это сверхзадача для одного человека, если он не юноша бледный со взором горящим и избытком свободного времени.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #166

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема