Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"Уязвимости в пакетах с Kea DHCP и cyrus-imapd, позволяющие повысить привилегии в системе"	+/–
Сообщение от opennews (?), 29-Май-25, 12:04
В применяемых различными дистрибутивами  конфигурациях DHCP-сервера Kea, развиваемого консорциумом ISC в качестве замены классического ISC DHCP, выявлены уязвимости, в некоторых ситуациях позволяющие локальному пользователю выполнить код с правами root или перезаписать любой файл в системе:... Подробнее: https://www.opennet.dev/opennews/art.shtml?num=63324
Ответить | Правка | Cообщить модератору

Сообщения

[Сортировка по ответам | RSS]

3. Сообщение от Аноним (3), 29-Май-25, 12:12	+/–
>с правами root практикуется в дистрибутивах Linux,......, FreeBSD, NetBSD и OpenBSD. Справедливости ради, бестпрактикс, в BSD подобные сервисы принято запускать минимум в чруте, максимум в джайле. И это практикуется уже не первое десятилетие.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #131, #140

5. Сообщение от Аноним (5), 29-Май-25, 12:13	+/–
Арч для декстопа норм дистр?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #7, #14, #15, #24, #38

7. Сообщение от Аноним (3), 29-Май-25, 12:16	+1 +/–
Если не хочешь разбираться обновление какого софта в очередной раз поломало тебе всю систему. Ну зато скиллов наберешь, как какую нибудь самбу дебажить.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5 Ответы: #23, #28, #55

9. Сообщение от Аноним (9), 29-Май-25, 12:19	+1 +/–
Этот ведь вроде бы dns-сервер, переписанный на каком-то безопасном языке, чтоб не быть дырявым как bind?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #16, #17

10. Сообщение от Аноним (9), 29-Май-25, 12:26	+1 +/–
Автор, ты откуда этот бред берешь про NetBSD/OpenBSD?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #11

11. Сообщение от Аноним (-), 29-Май-25, 12:29	–3 +/–
Бред несешь ты. Если бы не поленился и сходил по ссылке в статье, то вопросов не задавал security.opensuse.org/2025/05/28/kea-dhcp-security-issues.html#68-netbsd-pkgsrc-binary
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #10 Ответы: #27

14. Сообщение от Афроним (?), 29-Май-25, 13:04	+1 +/–
Поговаривают, что лучший, но они просто не распробовали гениальную простоту Манджары.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5 Ответы: #56, #57, #93

15. Сообщение от Аноним (15), 29-Май-25, 13:08	–2 +/–
Каждую из программ ты будешь настраивать в нём. Ну вот посчитай сколько у тебя пакетов, в районе 1000, и ни один ты не сможешь использовать из коробки, половину будешь компилировать. О каком десктопе может быть речь с такими вводными?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5 Ответы: #18

16. Сообщение от Ivan_83 (ok), 29-Май-25, 13:12	–3 +/–
В целом там так. Сидели какие то деды ещё годов чуть ли не с 1980 и пилили ISC DNS (bind) и ISC DHCP. Году в 2005 (после решения проблемы 10к соединений и появления kqueue/epoll) уже стало понятно что код тухлый и тормозной, однако этим продолжали пользоватся, потому как святая референсная реализация того что описано в RFC. Потом году где то в 2015 деды умерли/ушли на пенсию и набрали более адекватную молодёж которая решила расчистить авгеевы конюшни и они налабали KEA - короче это типа своей libev, который умеет современные штуки. И по тихоньку переписали DNS (bind) и DHCP на это. Язык там никто не менял - да и незачем.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #9 Ответы: #21, #30

17. Сообщение от Аноним (17), 29-Май-25, 13:20	–2 +/–
Это у Вас си++ безопасный язык? Хотя, для опеннетовского универсума супербезопасный. Только Настоящих Программистов под него не найти. Хотя, в этих вот ошибках, "тех самых ошибок" нет, все "логические" - может вот как-раз и нашлись эти мифические программисты, которые за памятью следят? На остальное, как видно из новости, внимания и концентрации не осталось.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #9 Ответы: #19, #25, #26, #42, #50

18. Сообщение от Аноним (18), 29-Май-25, 13:45	+/–
Мягко говоря, это большое преувеличение, что придётся настраивать все 1000 пакетов. Вот у меня Gentoo with KDE, всего 1447 пакетов. Неужели вы думаете, что я их все как-то настраивал?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #15 Ответы: #22

19. Сообщение от Аноним (18), 29-Май-25, 13:49	+/–
С++ разумно безопасный язык, если польоваться современными стандартами. Разумно потому, что безопасный без фанатизма, в отличие от Раст.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #17

20. Сообщение от нах. (?), 29-Май-25, 14:00	+/–
ну безусловно ж dhcp-сервер не может жыть без нескучного rest api. Кто бы мог подумать и было ли ему - чем?! Зато старый isc'шный ну совсем небезопастный, мамой клянутцо (кстати, умеет сбрасывать привиллегии, и делает это - правильно, в отличие от по(д)делки)
Ответить | Правка | Наверх | Cообщить модератору

21. Сообщение от нах. (?), 29-Май-25, 14:03	+2 +/–
> Потом году где то в 2015 деды умерли/ушли на пенсию и набрали более адекватную молодёж и вот вам remote root. Которых в дидовых нимодных-нимодных-нибизопастных-нирабочих поделках давненько уже в таком вот рафинированном виде не видали. Подозреваю, с модными-молодежными dns серверами все будет совсем плохо, когда кто-то неленивый наконец-то найдет время покопаться в их "secure" частях.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #16 Ответы: #40

22. Сообщение от Аноним (15), 29-Май-25, 14:05	+/–
В генту большинство конфигов норм из коробки, а пакеты поставляются с необходимыми патчами.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #18 Ответы: #33

23. Сообщение от 1 (??), 29-Май-25, 14:06	+/–
Ну если перед обновлением делать снапшот ...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #7

24. Сообщение от Вы забыли заполнить поле Name. (?), 29-Май-25, 14:14	+1 +/–
Slackware получше будет.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5

25. Сообщение от Вы забыли заполнить поле Name. (?), 29-Май-25, 14:15	+/–
В Си++ ты просто подключаешь Boehm GC, и 90% проблем с памятью исчезают.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #17 Ответы: #98

26. Сообщение от Аноним (9), 29-Май-25, 14:22	+10 +/–
А зачем вы тогда плюсовый LLVM используете в расте, если там все небезопасно? Неужели так сильно хочется чтоб из-за ошибки в плюсовом коде LLVM-IR сгенерировался в код, в котором боров чеккер сработает некорректно?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #17 Ответы: #31, #39

27. Сообщение от Аноним (9), 29-Май-25, 14:28	+2 +/–
Сейчас про NetBSD на сайте opensuse читать. Я то использую NetBSD и вот в pkgsrc даже сервис после сборки не запустить без ручного копирования скрипта в /etc/rc.d/. С конфигами еще лучше - их нет, есть просто официальные примеры из тарбола, которые надо открыть и под себя адаптировать, а затем скопировать в /etc/. Никого "по-умолчанию" в NetBSD/pkgsrc нет, кроме случаев когда сервис может стартовать вообще без конфига.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #11 Ответы: #29, #46, #100

28. Сообщение от trolleybus (?), 29-Май-25, 14:46	+4 +/–
У меня на арче сейчас ничего не ломается. Это было актуально, может быть, лет 10 назад.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #7

29. Сообщение от Аноним (29), 29-Май-25, 14:46	–1 +/–
> With PKG_RCD_SCRIPTS=YES, rc.d scripts will be copied into /etc/rc.d when a package is installed, but only if the target does not already exist. Но таки да, там без понимания как и что работает, без настройки под свои нужды, к работе не допустят. И правильно.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #27

30. Сообщение от Аноним (30), 29-Май-25, 14:53	+4 +/–
>набрали более адекватную молодёж .... и они налабали KEA Ты называешь "адекватностью" то, что они вхреначили REST API в DHCP сервер? Ну, ну. В итоге получили перезапись произвольных файлов и подъем до рута. А по мне эта болезнь называется JSON головного мозга.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #16 Ответы: #41, #92, #107

31. Сообщение от Аноним (31), 29-Май-25, 15:13	+1 +/–
> А зачем вы тогда плюсовый LLVM используете в расте, если там все > небезопасно? Неужели так сильно хочется чтоб из-за ошибки в плюсовом коде > LLVM-IR сгенерировался в код, в котором боров чеккер сработает некорректно? А зачем "спицы" и кексперты опеннета[1] пишут свои случайные наборы вумных слов? [1] "боров чеккер" отрабатывает _до_ генерации LLVM-биткода, а хитровымученная возможная "ашипка" типа выше - скорее будет просто генерировать код, пишуший "куда-то" в память ...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #26 Ответы: #34, #37

33. Сообщение от 12yoexpert (ok), 29-Май-25, 15:27	+/–
ты всё перепутал. всё наоборот
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #22 Ответы: #48

34. Сообщение от Аноним (-), 29-Май-25, 15:30	–1 +/–
> А зачем "спицы" и кексперты опеннета[1] пишут свои случайные наборы вумных слов? Потому что могут (с) Тут половина не читала стандарт С99, а ты про такие тонкости)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #31

36. Сообщение от User (??), 29-Май-25, 15:41	+1 +/–
Ну, видел бы кто его в живой природе - могло бы быть проблемой, а так... Вот ms dhcp + dns примерно у всех крупняков, dhcp-пулы на цисках - видел, dnsmasq на васянороутерах - нивапрос, выдача адресов из пулов VPN'ами - тысячи их! А вот kea... неа.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #49, #68, #72

37. Сообщение от Аноним (9), 29-Май-25, 15:48	+/–
> скорее будет просто генерировать код, пишуший "куда-то" в память ... приемлемо
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #31 Ответы: #60

38. Сообщение от myster (ok), 29-Май-25, 15:54	+1 +/–
> Арч для декстопа норм дистр? Зависит от твоего опыта и желание решать с ним проблемы. Сразу успокою, что их кот наплакал, и что Arch постоянно ломается это миф. Если опыта мало или просто лень (в хорошем смысле, просто не охота тратить время на чтение wiki и ручные правки конфигов), то ставь CachyOS, EndeavourOS или Manjaro. Они представляют собой хорошо настроенный Arch, как если бы ты сам настаривал, читая Wiki. ЗЫ: не то чтобы Arch нужно много настраивать, это всё тоже мифы от нубов, но сэкономишь какое-то время и получишь удовольствие от преднастроенного кем-то дистрибутива с красивыми темами.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5 Ответы: #53

39. Сообщение от Аноним (17), 29-Май-25, 15:55	+/–
Это больше "философская" проблема. Если Вы предполагаете, что "ненадежный" LLVM из-за ошибки работы с памятью ( НЕ из-за "логической" ошибки! ) не упав, тихо и без ошибок, запросто сгенерирует РАБОЧИЙ код тоже с внедренной ошибкой по памяти - то это (отдаленно) попахивает той самой вероятностью, с которой миллион обезьян за миллион лет напишут "Войну и мир". Если же LLVM'ом ты собираешь компилятор раста, которым потом компилируешь свои хелловроты, то, чтобы ошибка работы с памятью как-то тихо "мигрировала" из LLVM в раст-компилятор, а затем с него "передалась" в твою программу - это просто магия какая-то. Даже магическое мышление. Из разряда "а вдруг, если съем зайчатину, то стану зайцем?"
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #26

40. Сообщение от Ivan_83 (ok), 29-Май-25, 15:56	+2 +/–
Расчехляйте память, в старом BIND регулярно что то находили. Здесь же продолбали на уровне логики, которой в старом bind/dhcp не было.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #21 Ответы: #44

41. Сообщение от Ivan_83 (ok), 29-Май-25, 16:01	+/–
Если бы вы пользовались этим то знали бы что от DHCP сервера уже очень давно хоть немного больше чем обслуживать полторы статических зоны записанных в текстовых файлах позапрошлым админом 15 лет назад. Поэтому ещё 10+ лет назад люди пытались юзать FreeRADIUS в качестве DHCP сервера, а потом и я свой DHCP написал на перле. И в общем то проблема управления устройствами в сети до сих пор не решена ни кем, так чтобы в одном месте можно было назначать IPv4+IPv6+DNS имя регать + иметь какой то человечий гуй. Вот рест апи - это попытка интеграции в такие системы, учитывая что у них есть и днс сервер свой то очевидно что где то и какой то вебгуй к этому есть = система управления хостами в сети.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #30 Ответы: #45

42. Сообщение от Ivan_83 (ok), 29-Май-25, 16:07	+/–
Здался вам этот безопасный язык, как будто он сам всё напишет в плане функционала...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #17 Ответы: #43, #110

43. Сообщение от Аноним (-), 29-Май-25, 16:36	–1 +/–
> Здался вам этот безопасный язык, как будто он сам всё напишет в плане функционала... Конечно сдался. Я же хочу писать функционал, а не фиксить бесконечные регрессии. Поэтому взял современный С++. Правда пришлось добавить санитайзеров, но это приемлемый трейдофф.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #42 Ответы: #66, #76

44. Сообщение от нах. (?), 29-Май-25, 16:40	+/–
последние серьезные проблемы в нем не связанные ОПЯТЬ с dnssec - 2010го года. (ну и нехрен разумеется включать совершенно ненужные xml фичи) > Здесь же продолбали на уровне логики, которой в старом bind/dhcp не было. нет. Продолб дающий именно рута а не юзера dhcpd - это продолб на уровне логики дятла, не умеющего в юникс-программирование вообще. И отдельно - о том что ее там не было именно потому что ей НЕЧЕГО делать в критичном инфраструктурном софте. Дятлы неспособные в настройки не через интуитивно-приятные хрусь-апи - могут поставить себе такую хрень отдельно. Возможно даже им удастся при этом ограничить ущерб перехватом управления хренью, а не рутом на всей системе. (хотя конечно вряд ли)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #40 Ответы: #65, #117

45. Сообщение от нах. (?), 29-Май-25, 16:42	+2 +/–
> не решена ни кем, так чтобы в одном месте можно было > назначать IPv4+IPv6+DNS имя регать + иметь какой то человечий гуй. Вы не поверите, но в винде это давно уже можно. В том числе - БЕЗ "человеческого гуя" для альтернативно-одаренных. > то и какой то вебгуй к этому есть = система управления Как мы живем без вебгуя - ума не приложу. (у нас правда есть нормальный, виндовый, но он весьма ограничен в возможностях)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #41 Ответы: #64

46. Сообщение от нах. (?), 29-Май-25, 16:44	+/–
> Сейчас про NetBSD на сайте opensuse читать. Я то использую NetBSD и > вот в pkgsrc даже сервис после сборки не запустить без ручного Какое ж удивительное гy@но это ваша нетбесде. Впрочем, там уточняют что без ручного таки можно, но как обычно, сперва надо исполнить национальный танец с граблями. В общем, от админов локалхостов и подкроватных стоек ничего другого и не ждешь. > копирования скрипта в /etc/rc.d/. С конфигами еще лучше - их нет, вообще прекрасно. Действительно, зачем...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #27 Ответы: #54, #69

48. Сообщение от Аноним (15), 29-Май-25, 18:13	–1 +/–
Правда, что ли? Хуже пакетов, чем в арче, ты не найдёшь. И это те самые ребята, которые "собирается=работает".
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #33

49. Сообщение от нах. (?), 29-Май-25, 18:46	+/–
> Ну, видел бы кто его в живой природе а куда ты денешься, его пихают с упорст...отостью достойной премии дарвина. Ну и скорее всего - баги в iscшном просто перестанут исправлять. К тому же он и правда устарел со своими незамысловатыми особенностями (начиная от банального неумения в перечитывание конфигурации) лет на двадцать. А ничего более приличного, как обычно, новая поросль неспособна родить. Жрите этот вот. Лет через пять основные дыры в нем наверное даже перестанут так вот удивлять на ровном месте. > Вот ms dhcp + dns примерно у всех крупняков ну, в целом, да. Потому что простые вещи делаются просто, как и должны бы, сложные - автоматизируются понятным путем. Свои недостатки есть, но по крайней мере ничего внезапно не меняется на несовместимые конфиги и поведение. > dhcp-пулы на цисках - видел ооооочень медленно. Мы в свое время отказались от них в пользу ms, просто потому что банально сбой электричества в отдельном офисе - 200 телефонов резко перезагружаются и оно...ниуспиваит их обилетить. > выдача адресов из пулов VPN'ами там радиус обычно (тоже та еще дрянь), dhcp очень редко В общем, где не помещается по объективным причинам виндовый сервер - будешь ставить kea, хрен ты куда от него денешься.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #36 Ответы: #80

50. Сообщение от Аноним (50), 29-Май-25, 18:50	+1 +/–
Тут все уязвимости логические, от них Rust бы не спас.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #17

53. Сообщение от 12yoexpert (ok), 29-Май-25, 19:47	+/–
манжару не ставь, она ломается с первым же обновлением пакетов
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #38 Ответы: #63, #67

54. Сообщение от Аноним (29), 29-Май-25, 20:06	+/–
"Не гуано" это значит где система неподконтрольна админу тысяч серверов, который только и умеет docker pull делать, а сам даже не представляет как оно работает? Ну да, не гуано. Для мистера капрала, который ради вашего же блага построил вам systemd и Гуантанамо.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #46 Ответы: #62

55. Сообщение от Аноним (55), 29-Май-25, 20:10	+/–
Пользуясь третий год, единственное что отваливалось, это суспенд. И то по моей вине, ибо зачем-то тестинг подрубил...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #7

56. Сообщение от Аноним (55), 29-Май-25, 20:15	+/–
Пробовал когда-то, не зашло. А с момента появления archinstall в стандартной поставке, смысла в Manjaro заметно поубавилось. Её изменения только гемора добавляют, да и AUR ломают.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #14

57. Сообщение от Аноним (57), 29-Май-25, 20:18	+/–
Простенько так взял и как отмотал время до отвала сертификатов
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #14

60. Сообщение от Аноним (31), 29-Май-25, 22:21	+/–
>> ... код, пишуший "куда-то" в память ... > приемлемо Кто бы сомневался. "Пусть у меня корова сдохнет, лишь бы у соседа сдохли две!". Только вот незадача: такой же код оно вполне cможет генерировать и для шланга. В дополнение к обыкновенному и банальному результату погроммизьма на плюсо-сях "я точно знаю, что я делаю с указателем!Ведь я Настоящий Погроммист!".
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #37

62. Сообщение от нах. (?), 29-Май-25, 22:54	+/–
> "Не гуано" это значит где система неподконтрольна админу тысяч серверов, который только > и умеет docker pull делать, а сам даже не представляет как > оно работает? ты-то много представляешь, а не научился копировать файлик с одного места на другое, ага, как же. > Ну да, не гуано. Для мистера капрала, который ради вашего же блага > построил вам systemd и Гуантанамо. ой, носитель шапочек из фольги и борец с американским импириализьмом пожаловал. Ныкаемся, ныкаемся, пацаны!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #54

63. Сообщение от нах. (?), 29-Май-25, 22:58	+/–
> манжару не ставь, она ломается с первым же обновлением пакетов тру мажары ничего не обновляют. Им, в общем, и не надо - "уязвимость в dhcp? А что такое это ваше дешесепе?"
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #53

64. Сообщение от Ivan_83 (ok), 29-Май-25, 23:07	+/–
Да, я видел вендовый DHCP ещё во времена 2008r2 последний раз. Ну оно такое себе, скажем по функционалу близкое к dnsmasq - типа для локалок с относительно фиксированной и простой конфигурацией сгодится. Вебгуй - ну вот так получилось что сейчас нарисовать вебгуй проще чем делать приложение которое бы работало больше чем на компе на котором его написали. Я не сказать чтобы фонат, особенно в текущей ситуации когда гугоол стал практическаи монополистом браузеров, но пока поляна относительно хотя бы выглядит свободной то браузер удобнейшее средство чтобы давать универсальный гуй для управления с разных клиентских терминалов.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #45 Ответы: #75, #97

65. Сообщение от Ivan_83 (ok), 29-Май-25, 23:11	+/–
Да ладно, я легко представляю как это получилось. Сам недавно писал демона который делает raw midi устройства которые программно выводят звук в обычные звуковухи. И про дроп привелегий я вспомнил в самый распоследний момент, можно сказать уже после первого релиза, потому что думал совсем о другом. Насчёт ограничения ущерба - скажем достаточно просто иметь авторизацию на входе в такое API чтобы минимизировать примерно до нуля возможности случайных проходимцев.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #44 Ответы: #96

66. Сообщение от Ivan_83 (ok), 29-Май-25, 23:18	+/–
Кресты вообще какой то мутант, смысла их юзать около нуля. Если хочется сосредоточится на функционале/бизнесслогике - то это высокоуровневые языки, луа, питон.... Для низкого уровня лучше взять С и не упарыватся лишней фигнёй. Я лично кресты не люблю - там очень часто можно встретить очень корявый код, который случается от того что люди переусложнили и сами не понимают что происходит. У одних архитектура корявая и каждый мелкий чих ведёт к огромным простыням рефакторинга проекта, у других на вид безобидные конструкции которые на самом деле внутри делают тонны нафиг ненужной работы.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #43 Ответы: #99

67. Сообщение от нейм (?), 29-Май-25, 23:18	–1 +/–
Вечно сломан, но никогда не убит (а вообще, обновляется спокойно, пару раз за 5 лет с зависимостями к пользовательскому софту продалбывались, в пределах погрешности)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #53 Ответы: #94

68. Сообщение от Ivan_83 (ok), 29-Май-25, 23:24	+/–
У каких таких крупняков!? У которых на пару тыщ хостов чтоли? Смешно же. Крупняки в плане количества хостов это провайдеры, там от пары тыщ хостов это самая мелочь можно сказать. Никаких MS DHCP там и близко не бывает, у них совсем другие хотелки от DHCP серверов. Из того что я знаю провайдеры юзают: - мой DHCP на perl, который из БД достаёт адреса пибитые к мак+опт82. - DHCP kea который делает примерно тоже самое - DHCP @ FreeRADIUS - опять же достаёт из базы Наверное есть и какие то решения от циски, куавея и кого то ещё. Основная проблема MS DHCP и dnsmasq - в том что они нифига не гибкие в плане выдачи адресов и внешнего управления, свою логику туда так просто не упихаешь.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #36 Ответы: #73, #78

69. Сообщение от Аноним (9), 30-Май-25, 00:42	+1 +/–
Я ваще нафиг ты тут кривляешься. Просто повторю: 1. в NetBSD скрипт запуска демона не копируется в /etc/rc.d по-умолчанию. 2. Даже если ты выставишь переменную для этого, он все равно не будет стартовать, потому что его надо прописать для автозапуска в /etc/rc.conf 3. Конфиги лежат в pkg/share/examples. Бери оттуда любой и настраивай под себя. Такого бреда из описания новости тут точно нет.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #46

71. Сообщение от Аноним (117), 30-Май-25, 03:55	–2 +/–
А всего-то нужно было бросить эти костыли с привилегированными портами и никому в голову бы не пришло запускать это от рута в принципе. Но нет, поломается написанная дидами бизапаснасть. Unix воинстину свалка костылей.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #74, #91

72. Сообщение от abu (?), 30-Май-25, 05:34	+/–
Так вот же недавняя новость про RedHat 10: = Добавлены новые пакеты: tuned-ppd (вместо power-profiles-daemon), libcpuid и dnsconfd (фоновый процесс для кэширования DNS). В связи с переводом кодовой базы СУБД Redis на проприетарную лицензию вместо Redis предложен форк Valkey. >>> Вместо DHCP-сервера ISC DHCP задействован Kea DHCP. Вместо zlib задействован пакет zlib-ng-compat. =
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #36 Ответы: #79

73. Сообщение от Аноним (73), 30-Май-25, 05:51	+/–
> Основная проблема MS DHCP и dnsmasq - в том что они нифига не гибкие в плане выдачи адресов и внешнего управления, свою логику туда так просто не упихаешь. Примеры дай, про негибкость msdhcp
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #68 Ответы: #77, #87

74. Сообщение от 0xdeadbee (-), 30-Май-25, 07:04	+/–
> бросить эти костыли с привилегированными портами бросайте. я разрешаю, можно на меня ссылаться: net.ipv4.ip_unprivileged_port_start = 53
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #71 Ответы: #115

75. Сообщение от _ (??), 30-Май-25, 07:11	+/–
> Ну оно такое себе, скажем по функционалу близкое к dnsmasq - типа для локалок с относительно фиксированной и простой конфигурацией сгодится. ???? Ну а конкретно - чего тебе нужно, а оно не может? А то мы ещё в 18-19 кошкин дхцп на это вот променяли :) может мучаемся и не знаем?! %-)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #64 Ответы: #86

76. Сообщение от _ (??), 30-Май-25, 07:15	+/–
> Я же хочу писать функционал, Не волнуйся - ты и не сможешь! Причём не потому что у тебя - лапки, а потому что чтобы быть даже уеб-программером нужно быть не на 146% овощем ... а ты тест прошёл - отквочено выше :-р
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #43

77. Сообщение от _ (??), 30-Май-25, 07:19	+1 +/–
Да не - всё так. Оно мощное и умеет всё чё токо ынтерпрайсу надо, но в провайдера его ставить ... я лично пас!(С)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #73 Ответы: #84

78. Сообщение от User (??), 30-Май-25, 07:32	+2 +/–
> У каких таких крупняков!? > У которых на пару тыщ хостов чтоли? > Смешно же. Ну, если автор dhcp server'а на perl'е, которым пользуются все провайдеры, кроме пары неудачников вот с kea так говорит - то РАЗУМЕЕТСЯ, так оно и есть, смешно. > Крупняки в плане количества хостов это провайдеры, там от пары тыщ хостов > это самая мелочь можно сказать. > Никаких MS DHCP там и близко не бывает, у них совсем другие > хотелки от DHCP серверов. Ну, я почему-то думал, что DHCP - решение вот вообще нифига не операторского уровня - работа на l2, всякая там ограниченная масштабируемость в рамках broadcast-домена, дiдоугодное отсутствие каких-либо средств обеспечения безопасности с уязвимостью к spoofing'у и dos'ам, не то, чтобы хорошие отношения с отказоустойчивостью, привяка адреса ко "времени", а не к "сессии" и вот это всё - а оно она как! Это у нас в зауралье все PPP-сессию поверх оптики поднимают "и алга!" дальше RADIUS разберется, что кому выдать, а на самом деле-то, оказывается, dhcp-сервер на perl'е через гирлянду релеев-по-vlan'ам адреса пользакам раздаёт. Ну чо - буду знать. Доберусь до цивилизованных мест - глядишь, своими глазами эти чудеса узрю... > Из того что я знаю провайдеры юзают: > - мой DHCP на perl, который из БД достаёт адреса пибитые к > мак+опт82. > - DHCP kea который делает примерно тоже самое > - DHCP @ FreeRADIUS - опять же достаёт из базы Ну, в тех 2х местах где я своими глазами видел - раздачей адресов занимался вот RADIUS. Впрочем, 20 лет назад дело было - может и поменялось всё. > Наверное есть и какие то решения от циски, куавея и кого то > ещё. > Основная проблема MS DHCP и dnsmasq - в том что они нифига > не гибкие в плане выдачи адресов и внешнего управления, свою логику > туда так просто не упихаешь. Ну ок. Если вы так говорите...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #68 Ответы: #89

79. Сообщение от User (??), 30-Май-25, 07:35	+/–
> Так вот же недавняя новость про RedHat 10: > = > Добавлены новые пакеты: tuned-ppd (вместо power-profiles-daemon), libcpuid и dnsconfd > (фоновый процесс для кэширования DNS). В связи с переводом кодовой базы > СУБД Redis на проприетарную лицензию вместо Redis предложен форк Valkey. >>>> Вместо DHCP-сервера ISC DHCP задействован Kea DHCP. > Вместо zlib задействован пакет zlib-ng-compat. > = Так я и ISC'шный-то видел ээээ... считай "не видел" (Сам по дури ставил - но это другое, это нищитова), даже в филиале РОСАТОМа после импортозмещения этим делом "она, поганая!" занималась.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #72 Ответы: #81

80. Сообщение от User (??), 30-Май-25, 07:52	+/–
>> Ну, видел бы кто его в живой природе > а куда ты денешься, его пихают с упорст...отостью достойной премии дарвина. > Ну и скорее всего - баги в iscшном просто перестанут исправлять. К > тому же он и правда устарел со своими незамысловатыми особенностями (начиная > от банального неумения в перечитывание конфигурации) лет на двадцать. Ээээ... ойпивэ6 не предлагать? :) Не то, чтобы я всерьёз надеялся дожить (Тут географию менять надо), но... > А ничего более приличного, как обычно, новая поросль неспособна родить. Жрите этот > вот. > Лет через пять основные дыры в нем наверное даже перестанут так вот > удивлять на ровном месте. >> Вот ms dhcp + dns примерно у всех крупняков > ну, в целом, да. Потому что простые вещи делаются просто, как и > должны бы, сложные - автоматизируются понятным путем. Свои недостатки есть, но > по крайней мере ничего внезапно не меняется на несовместимые конфиги и > поведение. Ээээ... если не ошибаюсь - меняется, грабли при обновлении кластеризованного (Причем LB, а не hot-standby) сервера видел и слышал. Но в доке (Кто ж её ДО читает?) писано. >> dhcp-пулы на цисках - видел > ооооочень медленно. Мы в свое время отказались от них в пользу ms, > просто потому что банально сбой электричества в отдельном офисе - 200 > телефонов резко перезагружаются и оно...ниуспиваит их обилетить. А вот не помню уже - может адресами ACS\ISE заведовал, но вот именно эту проблему - не видел. Ну или просто на заводе плотность потребителей низкая, а электрогенерация - собственная, и даже если пара корпусов отрубалась - проблемы это не создавало. >> выдача адресов из пулов VPN'ами > там радиус обычно (тоже та еще дрянь), dhcp очень редко Угу. RADIUS видел, dhcp нет. > В общем, где не помещается по объективным причинам виндовый сервер - будешь > ставить kea, хрен ты куда от него денешься. по "субъективным", скорее. Там, где "по объективным" не пролазит - там dnsmasq какой за глаза.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #49 Ответы: #149

81. Сообщение от abu (?), 30-Май-25, 08:33	+/–
Ну, я к тому, что понасуют сейчас этого всего, раз сам RedHat взялась продвигать. Сам я в свое время настраивал DDNS + DHCP от ISC на десяток локальных сеток, это было давно, но работало хорошо. Да и сейчас предпочитаю то, что работает, не смотря на =новизну=, в таких делах новизна не нужна без явных причин.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #79 Ответы: #85, #95

84. Сообщение от Аноним (73), 30-Май-25, 10:53	+/–
Так ты прочти сначала. Человек передернул. Первое сообщение что у крупняков ms dhcp. В ответе два передрuа: вместо крупняков переводим обсуждение на операторов пишем тождественность с dmsmasq У меня собственно вопрос что это ему не хватило в msdhcp что аж прямо совсем никак.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #77 Ответы: #88

85. Сообщение от User (??), 30-Май-25, 12:06	+/–
> Ну, я к тому, что понасуют сейчас этого всего, раз сам RedHat > взялась продвигать. > Сам я в свое время настраивал DDNS + DHCP от ISC на > десяток локальных сеток, это было давно, но работало хорошо. Да и > сейчас предпочитаю то, что работает, не смотря на =новизну=, в таких > делах новизна не нужна без явных причин. Да вот хрен его знает, нафига. Грубо до полста машин - тебе любой SOHO-роутер раздаст, считай "забесплатно", а больше 100 - скорее всего уже домен окажется, в котором это все опять таки "забесплатно" и в хорошем качестве будет. Наверное, есть\будут кейсы где именно такое вот оправдано (Импортозамещение?) - но "абстрактно-вакуумно" надо уже сову на глобус натягивать, чтоб оно осмысленно было.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #81 Ответы: #104

86. Сообщение от Ivan_83 (ok), 30-Май-25, 12:25	+/–
Считай что отношение к DHCP уже примерно как к HTTP запросу на получение адреса, и хочется в ответ выдавать что придёт в голову и описать это на каком то языке, который ещё и в БД умеет кастомные запросы слать. И там хочется не только DHCP но и RA тоже.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #75 Ответы: #111

87. Сообщение от Ivan_83 (ok), 30-Май-25, 12:27	+/–
Попробуй добавить на любом языке логику которая срабатывает при разборе запроса/ответе. Ну и там особенности разбора той же опции 82.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #73 Ответы: #137

88. Сообщение от Ivan_83 (ok), 30-Май-25, 12:29	–1 +/–
А в чём передёргивание? Мы говорим про DHCP сервера, и крупняк тут считается исключительно по поголовью хостов, и вот эти ваши корпораты сильно отстают от провайдеров. Да, MS DHCP server не сказать чтобы сильно отличался от dnsmasq по функционалу и гибкости.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #84

89. Сообщение от Ivan_83 (ok), 30-Май-25, 12:34	+1 +/–
PPP - жуткий остой, оно там по наследству от телефонистов осталось. В GPoN есть и IPoE - когда ты на медном порту можешь воткнуть свой комп или роутер и он по DHCP получит все адреса/настройки. DHCP сервер на перле я написал когда работал в одном провайдере в сибири, выложил в инет. Потом переехал в мск и узнал что у провайдера к которому я подключён используется мой DHCP сервер :) Насколько помню у них до этого был PPPoE, они на IPoE как раз переползли и его заюзали. И в общем те кто уходил от FreeRADIUS DCHP - им как раз проще на мой сервер переполти.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #78 Ответы: #101

90. Сообщение от Аноним (93), 30-Май-25, 12:36	+/–
>Запуск Kea с правами root практикуется в дистрибутивах Arch Linux, Gentoo, openSUSE Tumbleweed (до 23 мая), FreeBSD, NetBSD (pkgsrc) и OpenBSD. Лови не0Cилят0р0в. А теперь давайте посмотрим на ультимативный Nix. https://github.com/NixOS/nixpkgs/blob/nixos-25.05/nixos/modu...       commonServiceConfig = {         ExecReload = "${pkgs.coreutils}/bin/kill -HUP $MAINPID";         DynamicUser = true;         User = "kea";         ConfigurationDirectory = "kea";         RuntimeDirectory = "kea";         RuntimeDirectoryPreserve = true;         StateDirectory = "kea";         UMask = "0077";       }; А всё почему? По-тому, что во-первых, на него снизошла благодать systemd, а во-вторых, система очень гибко описывается языком nix, позволяя композировать сложность не скатываясь в нечитаемые полотна. Кстати как там у староверов systemd ненависников обстоят дела? Как они будут в своих баш портянках делать DynamicUser = true; ?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #103

91. Сообщение от Ivan_83 (ok), 30-Май-25, 12:36	+/–
А ты просто про безопасность в венде или маке или андройде ничего не знаешь :)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #71 Ответы: #114

92. Сообщение от User (??), 30-Май-25, 12:37	+/–
>>набрали более адекватную молодёж .... и они налабали KEA > Ты называешь "адекватностью" то, что они вхреначили REST API в DHCP сервер? > Ну, ну. В итоге получили перезапись произвольных файлов и подъем до > рута. > А по мне эта болезнь называется JSON головного мозга. ЭЭэээто у вас какая-то фобия, если честно. Чем принципиально REST API для управления отличается ну вот от какого-нибудь XML-RPC, или за что вы там топите? Вариант текущего ISC DHCP - "вообще не управлять, перезапустил - оно и перечитало" не предлагать )
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #30

93. Сообщение от Аноним (93), 30-Май-25, 12:38	+/–
Manjaro тоже может разваливаться, ничуть не хуже арча.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #14 Ответы: #135

94. Сообщение от Аноним (93), 30-Май-25, 12:40	+/–
>(а вообще, обновляется спокойно, пару раз за 5 лет с зависимостями к пользовательскому софту продалбывались, в пределах погрешности) Я тоже пару раз восстанавливал, правда не помню, за сколько лет. Но хороший дистр не должен ломаться, и должен хорошо переживать обновления. То есть ошибки могут быть только от апстрима.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #67

95. Сообщение от Ivan_83 (ok), 30-Май-25, 12:42	+/–
А причём тут новизна? unbound отлично работает как кеширующий днс с рекурсером, и настраивается проще. dnsmasq тоже в качестве DHCP отлично работает, для простых локалок его более чем достаточно. И nginx вместо апача тоже просто супер. Никогда не трогал софт от ISC и апач и очень рад, уже 17 лет без их софта прекрасно обхожусь новинками :))))
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #81 Ответы: #105

96. Сообщение от Аноним (93), 30-Май-25, 12:44	+/–
>И про дроп привелегий я вспомнил в самый распоследний момент Хороший сишник всегда признайт свои ошибки. Чем меньше вещей нужно помнить, тем лучше.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #65

97. Сообщение от User (??), 30-Май-25, 12:45	+/–
> Вебгуй - ну вот так получилось что сейчас нарисовать вебгуй проще чем > делать приложение которое бы работало больше чем на компе на котором > его написали. Даже забавней - это самое "приложение" скорее всего будет работать через тот же самый HTTP REST, ибо использовать всякие XML\RPC, JSON\RPC, gRPC или городить что-нибудь свое поверх mqtt или там websocket'ов несут сильно больше боли ).
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #64 Ответы: #125

98. Сообщение от Аноним (93), 30-Май-25, 12:49	+/–
За исключением выхода за границы массивов, взаимодействия с любыми чужими библиотеками, наличия арифметики указателей, приведения типов и так далее. А если уж есть сборщик мусора, тогда почему сразу не взять тот же go, ocaml, любой другой язык, где всё это из коробки?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #25 Ответы: #108

99. Сообщение от Аноним (93), 30-Май-25, 12:54	+/–
>Если хочется сосредоточится на функционале/бизнесслогике - то это высокоуровневые языки, луа, питон.... Есть две крайности: либо си, где всё ломается, либо питон с тормозами интерпретации, ошибками типизации прямо в рантайме. Почему все остальные языки так старательно обходятся стороной? Взять тот же ocaml - типизация есть, скорость - намного лучше питона. Golang - типизация будет гораздо хуже, скорость - намного лучше питона. Да даже ту же жабу или котлин.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #66 Ответы: #102, #109

100. Сообщение от Аноним (93), 30-Май-25, 12:56	–1 +/–
>С конфигами еще лучше - их нет, есть просто официальные примеры из тарбола, которые надо открыть и под себя адаптировать, а затем скопировать в /etc/. В этих конфигах есть изоляция из коробки или нет? Откуда пользователь про это должен догадаться? >Никого "по-умолчанию" в NetBSD/pkgsrc нет Конфиг из коробки, даже как пример, это и есть "по умолчанию".
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #27

101. Сообщение от User (??), 30-Май-25, 12:58	+/–
> PPP - жуткий остой, оно там по наследству от телефонистов осталось. Кто бы спорил... > В GPoN есть и IPoE - когда ты на медном порту можешь > воткнуть свой комп или роутер и он по DHCP получит все > адреса/настройки. Угу. Только вот у нас ростелик поверх GPON фигачит как раз таки pppoe, "после чего задача сводится к предыдущему варианту" ).
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #89 Ответы: #161

102. Сообщение от Ivan_83 (ok), 30-Май-25, 13:41	+/–
На С ничего не ломается. Кроме питона есть замечательная LUA да и много чего ещё, хотя бы JS - это всё можно прикрутить поверх С для написания бизнесс логики. Golang - у меня пока впечатления от продуктов на нём положительные, как у меинтейнера и пользователя программ.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #99

103. Сообщение от Ivan_83 (ok), 30-Май-25, 13:42	+/–
А зачем делать динамик юзер?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #90 Ответы: #106, #118

104. Сообщение от abu (?), 30-Май-25, 14:18	+/–
Краткий ответ - админ должен быть сам себе хозяин. Длинный ответ - см. ниже (прошу за него прощения): А давайте взглянем с другой стороны. В наличии: - 27-30 локалок на 5-30 хостов плюс пара-тройка головных офисов по 50-100 хостов; - хочется испытать себя, да и как-то сделать все нормально по этим локалкам, а именно: -- чтобы все хосты пинговались по доменным именам в локалке; -- чтобы =сделал и забыл=; -- чтобы все было спокойно и предсказуемо, без васянов -- чтобы без SOHO-роутеров, которые тоже ведь придется изучать, чтобы хорошо все настроить и которые, например, могут гореть от перепада электричества, а следующий SOHO-роутер тупо может не понимать спецсимволы в пароле или еще что-нибудь; - на дворе, как раз, 2000 - 2009 годы, а в Сети не все что попало, как сейчас, с призывами срочно утилизировать =старье=, потому что, дескать, тут кому-то надо самоутвердиться и влезть со всеми этими своими поделиями к вам в огород, где вы хотите стабильности и предсказуемости, например, лет на 10; - на Опеннете пара-тройка достойных мануалов; - на тогда только встающем во весь рост Альт Линуксе (примерно - 2005 год) - мануал, как настроить bind9 и DDNS, но, как водится, ничего там не получается (кстати - с чрутом почему-то не получалось) - кажется, в ту же пору, примерно, уже начинаются все вот эти шашни - nginx лучше, чем Апач, но мы тут на это смотреть не будем (: хотя - это первые ласточки вот этого всего трэшака про Раст и прочее, что творится сегодня. И есть организация, допустим, внезапно, ISC. которая, несмотря на баги (они у всех есть), делает продукт и документирует его. Примеры работы понятны, а старые, уже на тот момент, админы, успешно этот продукт используют, вы применяете их опыт - все получается и тоже - работает. Работает годами. И сегодня у меня все это работает. Спокойно, без пены. Миллионы SOHO-роутеров сгорели за это время дотла, на их смену пришли миллиарды других таких же. Десятки васянов напилили на сотнях языков свои DNS и DHCP. Эволюция - бессердечна. Чтобы их заметили, васяны полезли везде, показывая и доказывая, какие они молодцы. Они пишут с ошибками по-русски, но почему-то считают, что их код безупречен и лучше многих других. Апелляция этих васянов лично к вам, обычно, тупая и смешная - вы не в мейнстриме. Вы админ локалхоста. Вы отстали от жизни. Вы используете программу, написанную на С++, а не на Расте. Они ведут себя не как программисты или админы. Они ведут себя как торговцы. Вы виноваты в их глазах. Всегда. И вы обязаны сомневаться. В себе. Не в них, безграмотных петухах. А ваша проблема за все эти годы лишь одна, если она вообще была - из бэкапа восстановить линуксовый офисный шлюз, если что-то прям вообще случилось там в нем. А если, вдруг, люто-бешенно-внезапно вы выперли свой огород куда-то наружу - жестко следить за обновами. А если вы какой-то мега-провайдер - то не тут нам с вами место (: Но и там, открою секрет средней руки провайдеров, все там без васянов давным-давно. Да вы это и без меня понимаете.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #85

105. Сообщение от abu (?), 30-Май-25, 14:32	+/–
Да ваше дело. Мой подход прост - никогда не трогаю однажды настроенный и отлично зарекомендовавший себя в _моей_ работе софт. Это просто дешевле выходит по всем статьям. А если софт перестает быть годным для меня, то я не бегаю по округе и не кричу, что он плох (я не настолько крутой эксперт, чтобы об этом судить за всех и для всех). И понимаю, что просто в моем случае настало время этот софт менять и, уж точно, не на что-то офигенно новое, а на то, что решит мои проблемы с прежним софтом. Оно даже, внезапно, может оказаться старее прежнего. А кому-то этот старый софт и далее будет нормально служить, под его задачи. И, блин, что - в сомнения его загонять всеми этими вскукареками базарными? Спорно это все, на самом-то деле. При этом, я вас понимаю, что есть единство и борьба противоположностей, есть отрицание отрицания, то есть - на смену старому должно приходить новое. Без этого не было б вообще ничего. Но, как по мне, хороший админ за новыми тапками не спешит, если старые не стерлись. Тем не менее, вашему подходу желаю удачи.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #95 Ответы: #127

106. Сообщение от Аноним (93), 30-Май-25, 14:34	+/–
Можно делать по старинке, и при установке софта заводить отдельного пользователя и группу. Но, проблема в том, что тогда можно будет поставить только 999 программ, и пользователи закончатся. А с учётом того, что эти 999 программ сразу на весь дистрибутив, то проблемы начнутся относительно скоро.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #103 Ответы: #129

107. Сообщение от Аноним (-), 30-Май-25, 15:18	+/–
> Ты называешь "адекватностью" то, что они вхреначили REST API в DHCP сервер? > Ну, ну. В итоге получили перезапись произвольных файлов и подъем до рута. Ну так свое название выполнило на отлично - RESTroom для хакеров получился шикарный. Теперь прямо у всех кто это оверинженернутое нечто юзал. ISC вообще как-то стал перебарщивать с оверинженерией. Вон Bind 10 делали. И наворотили столько - что ЭТО по моему вообще никто не хочет юзать теперь.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #30

108. Сообщение от Аноним (-), 30-Май-25, 15:19	+/–
> За исключением выхода за границы массивов, В C++ можно заоверлоадить operator[] и делать по этому поводу что угодно. Хоть паниковать как хруст. > взаимодействия с любыми чужими библиотеками, Вы это все и в других ЯП огребете, внезапно. Или не сможете эти либы юзать, на выбор. А какие еще варианты есть? :)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #98 Ответы: #112

109. Сообщение от Аноним (-), 30-Май-25, 15:29	+/–
> Взять тот же ocaml - типизация есть, скорость - намного лучше питона. Ацкая эзотерика на которой полтора проекта, с 1 землекопом. После чего остальное уже и не важно. Это и не low entry barrier, и не системное/шистрое. И его ниша - примерно нихрена. > Golang - типизация будет гораздо хуже, скорость - намного лучше питона. Ну так он в вебе питона и выпиливает методично. Гугл для этого его и сделал. > Да даже ту же жабу или котлин. Энтерпрайзные монстры с невъ....м рантаймом и VM, такое только махровому энтерпрайзу с "докупите оперативки, а заодно и серверов" заходит.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #99 Ответы: #113

110. Сообщение от Аноним (93), 30-Май-25, 15:56	+/–
Почти на любом языке кода нужно писать меньше, чем на си. По крайней мере не нужно отдельно считать размер строк. А если брать функциональные языки, то там вообще можно конвеер сделать. Что-то вроде let _ = String.trim "  ab " |> String.uppercase_ascii |> print_endline; Хотя бы в десять строк кода на си уложитесь? И насколько много там будет велосипедов, типа ручной реализации trim?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #42 Ответы: #116, #126

111. Сообщение от _ (??), 30-Май-25, 17:02	+/–
Провайдер? Ясно тогда. А я - их бин энтер прайс (С) :) Для нас - вполне себе всё что надо было со фар - виндовый тащил.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #86 Ответы: #124

112. Сообщение от Аноним (93), 30-Май-25, 17:07	+/–
>В C++ можно заоверлоадить operator[] Вы так каждую проблему по одиночке будете решать? >Вы это все и в других ЯП огребете, внезапно. Или не сможете эти либы юзать, на выбор. Почему? В c++ нужно к каждой строке относится подозрительно - а нет ли там висячих указателей, двойных освобождений и так далее. В других языках такие проблемы возникают только при взаимодействии с сишными библиотеками. Сюда стоит приплюсовать, когда на таких языках встречаются pure $langName implementation. И если условному python нужна сишная библиотека, для парсинга html, то ocaml, golang могут реализовать парсер на родном языке. Вплоть до того, что tls будет реализован на том же языке. Таким образом, гарании ocmal-а или golang-а распространяются не только на приложение, но и на парсер html.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #108 Ответы: #154

113. Сообщение от Аноним (93), 30-Май-25, 17:15	+/–
>Ацкая эзотерика на которой полтора проекта, с 1 землекопом. Python тоже не родился популярным. >Это и не low entry barrier Куда ещё проще? Ну возьмите Standard ML, хотя как по моему, фич всё же нужно больше. >и не системное/шистрое Ничуть не хуже golang-а. >Ну так он в вебе питона и выпиливает методично. Гугл для этого его и сделал. Python много где засел. Вот в арче https://archlinux.org/packages/core/x86_64/python/ Required By (3080). Кто его из от туда уберёт? >Энтерпрайзные монстры с невъ....м рантаймом и VM, такое только махровому энтерпрайзу с "докупите оперативки, а заодно и серверов" заходит. Python не превосходит java в этом отношении. Хотя бы потому, что он динамичеси типизирован. Разве что по времени холодного старта, но это нужно очень внимательно проверять.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #109 Ответы: #155

114. Сообщение от Аноним (117), 30-Май-25, 17:21	+/–
Когда винду, мак и андроид надо будет ставить на сервера с публичными адресами — тогда и буду узнавать. А до тех пор, приходится с костылями бороться.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #91 Ответы: #128

115. Сообщение от Аноним (117), 30-Май-25, 17:24	+/–
Когда будет дефолтом 0 во всех мейнстримных дистрибутивах — тогда и будешь разрешения давать. Так-то я и ядро попатчить могу, но хочется чтобы сразу хорошо было, а не бегать дефолты семидесятых годов менять.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #74

116. Сообщение от _ (??), 30-Май-25, 17:31	+/–
Ты сначала свою реализацию trim покажи, Ыпический!(С) :) А то выходит твоя ЯП лучше Си потому что какие то дяденьки trim для тебя уже написали? Ыпический!(С) :) В Сях никто не запрещает юзать готовые имплементайии тоже, СЮРПРИЗ! :) А умные дяди даже так могут: echo " ab " | tr -d " " | tr "[:lower:]" "[:upper:]" и вот заметь - тут на Си вообще _всё_, даже баш :-D
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #110 Ответы: #122

117. Сообщение от Аноним (117), 30-Май-25, 17:56	–1 +/–
> неспособные в настройки не через интуитивно-приятные хрусь-апи Ну не все ж вручную админят две стойки и пять виртуалок. Кому-то приходится и автоматизацией датацентров заниматься. У нас тоже раньше было двадцать человек в Индии чтобы по ssh конфиги в vi править, пока они обходились по пять копеек пучок. Кто-то улицы метёт, кто-то баш-скриптом работает. Как говорится, кто на что учился. Но ты не переживай, ты ещё долго не будешь дороже скрипта, так что до пенсии так-сяк дотянешь, а там сразу в рай.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #44

118. Сообщение от Аноним (117), 30-Май-25, 18:04	+/–
А зачем выделять какого-то отдельного постоянного пользователя демонам? Легаси всякое понятно, там дидовая надёжность™ у которой при смене порта или UID/GID сразу же деление на ноль с выполнением памяти за пределами массива случается by design. Но для более-менее современного софта зачем айдишники менеджить? ОС тогда зачем?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #103 Ответы: #119, #130

119. Сообщение от Аноним (93), 30-Май-25, 19:45	+/–
Отделить один софт от другого. Например, чтобы условный php не смог забрать сертификат от nginx. Насколько мне известно, в андроиде для каждого приложения выделяется свой собственный пользователь. Тут работает модель швейцарского сыра - даже если взломали софтину, всё равно не получили полный доступ к системе. И чем больше слоёв будет, тем меньше опасны ошибки в каждом отдельном слое.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #118 Ответы: #120

120. Сообщение от Аноним (117), 30-Май-25, 19:58	+/–
> Отделить один софт от другого. Например, чтобы условный php не смог забрать сертификат от nginx. Ты точно понимаешь как динамические UID/GID работают? Ну и заодно, отдельный юзер никак не мешает условному php забрать сертификат от nginx. Это определяется битами прав на доступ к файлу, а не айдишником пользователя (если это только не magic value, которыми так славится юникс). В Андроиде безопасность построена вокруг SELinux, которому точно так же до лампочки UID/GID. Вообще, система разделения привелегий в юниксах — и в современном линуксе — одна из наиболее примитивных. И до, и после было достаточно куда более удачных решений. Но нет, магические значения портов и айдишников всё равно с нами, по заветам дидов.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #119 Ответы: #121

121. Сообщение от Аноним (93), 30-Май-25, 20:15	+/–
>Это определяется битами прав на доступ к файлу, а не айдишником пользователя (если это только не magic value, которыми так славится юникс). И как вы правами доступа к файлам разрешите доступ для nginx, но запретите для php? >Вообще, система разделения привелегий в юниксах — и в современном линуксе — одна из наиболее примитивных. И до, и после было достаточно куда более удачных решений. Например?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #120 Ответы: #144

122. Сообщение от Аноним (93), 30-Май-25, 21:52	+/–
>В Сях никто не запрещает юзать готовые имплементайии тоже, СЮРПРИЗ! :) Да? А почему тогда в сишных программах столько велосипедов?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #116

124. Сообщение от Ivan_83 (ok), 30-Май-25, 23:30	+/–
В энтерпрайзе тоже бывает надо извращатся, со всякими VoIP фуфлонами, иногда загрузку по сети делать и тп. Но это всё же относительно статическая конфигурация из серии раз настроил и годами ничего не меняется. Так то мне и дома и на работах хватало что вендового DHCP что dnsmasq.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #111

125. Сообщение от Ivan_83 (ok), 30-Май-25, 23:31	+/–
Это вы зря. Есть джаббер клиенты полностью на JS. Есть аналогичное дла матрикса.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #97 Ответы: #134

126. Сообщение от Ivan_83 (ok), 30-Май-25, 23:38	+/–
Забавно. Вам рядом уже указали что за вас уже реализовали string в котором есть trim. Насчёт строк кода - ещё забавнее, учитывая что синтаксис С позволяет почти всю программу сделать в несколько строк :) А если trim взять готовый из библиотеки? А если библиотеку самому написать? У вас эта граница где? Чтобы было понятно - примерно так на си писать можно, достаточно взять тот же LUA и нагородить любой синтаксис. Или набрать/сделать какие то либы которые реализуют всё нужное. Просто С это изначально конструктор где ты сам решаешь что и как будет. А вам слабо на вашем языке накодить прогу исполняемый бинарник которой будет 1-2кб? Я вот таким промышлял раньше на венде, и не сказать чтобы это вызывало сложности.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #110 Ответы: #141

127. Сообщение от Ivan_83 (ok), 30-Май-25, 23:52	+/–
Да я тоже не сказать что гонюсь за всем новым-модным, если смотреть на это с позиции админства. - lighhttpd поменял на nginx - dnsmasq (dns) на unbound - squid на nginx а потом на unbound :) - isc ntpd на openntp а его на chrony - ppp на mpd5 - win2k3+isa2006 на dragonflybsd+pf а потом на freebsd+pf Это за последние 20 лет. И я никогда не стремался выкидывать старые и работающие решения от предыдущих админов в пользу аналогов которые мне привычны. Собственно часто дешевле выкинуть старое и настроить своё чем изучать этот мусор. Но иногда и проще оставить как оно есть ибо сделано и работает вполне годно, такое тоже бывало. Плюс прежде чем влезать на какой то софт я обычно проводил исследование и выбирал то что мне лучше подходит и что вообще более адекватное, так и отсеились продукты ISC для dhcp, dns, и апач туда же. А насчёт старый софт - да, это современна шиза: если в гит проекта не коммити два дня то он уже считается устарвшим, с кучей уязвимостей и тп %) Не вижу ничего плохого в коде который не меняли десятки лет.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #105 Ответы: #133, #142

128. Сообщение от Ivan_83 (ok), 30-Май-25, 23:53	+/–
Так они уже давно такие же публичные сервера как и ваше чего то там. IPv6 и вот это всё, да и опсосы не редко дают белые IPv4/
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #114 Ответы: #143

129. Сообщение от Ivan_83 (ok), 31-Май-25, 00:15	+/–
И откуда же вы взяли число 999? Вот андройд спокойно 10к+рандом делает иденты прогам. Да и опять же, не так много софта требует запуска под отдельным юзером, и некоторые софтины прекрасно юзают совместно одну учётку. Потом как вы себе представляете админство тазика у которого только сервисов 999? Это в современном то мире где на каждый ping создают если не виртуалку то докер контейнер.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #106 Ответы: #147, #157

130. Сообщение от Ivan_83 (ok), 31-Май-25, 00:21	–1 +/–
Не, давайте разделим. 1. Я не припоминаю софта который бы имел захардкоженные UID/GID, кроме xorg который ругается когда его под рутом запускают. Большинство софта либо умеет принимать UID/GID и сбрасывать привелегии либо изначально запускается под нужными UID/GID и вообще в это не лезет. 2. А какой смысл динамически создавать/удалять UID/GID для сервисов? Вот я поставил 16 лет назад lighttpd, он создал пользователя www, я удалил lighttpd и перешёл на nginx и теперь он под www работает - в чём тут проблема? Нулевой оверхэд, всё просто и понятно, заодно понятно какие файлы оно создало и не приходится искать кто же был запущен под UID 12345 25 марта 2016 года чтобы понять откуда взялся файл.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #118 Ответы: #132, #146, #156

131. Сообщение от Sumynona (?), 31-Май-25, 00:32	+/–
> BSD подобные сервисы принято запускать минимум в чруте... Расскажите это pfSense, где ICS деприкейнтнули в пользу  Кеа
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3

132. Сообщение от мяв (?), 31-Май-25, 02:13	+/–
>2 смысл в том, что когда я сношу dnscrypt-proxy в deb12, поставив его в deb10, пост-рм скрипт ломается ибо с тех времен поменяли имя пользователя по умолчанию. и мусорный пользователь все еще в системе. в итоге я лезу на сервер подчищать за меинтейнерами.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #130 Ответы: #136

133. Сообщение от abu (?), 31-Май-25, 02:19	+/–
Я с вами, в целом, согласен, спасибо!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #127

134. Сообщение от User (??), 31-Май-25, 06:13	+/–
> Это вы зря. > Есть джаббер клиенты полностью на JS. > Есть аналогичное дла матрикса. Ээээ... Не понял, как связан выбор технологии клиент-северного управляющего взаимодействия с языком реализации.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #125

135. Сообщение от Афроним (?), 31-Май-25, 15:06	+/–
Тут много арчеводов,кедоносцев,наверное что-то знают. Как слышал самый простой на базе Рачика это Манджаро. Как оно там разваливается,я хз на самом деле.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #93

136. Сообщение от Ivan_83 (ok), 31-Май-25, 17:15	+/–
У нас на фре такого бардака нет :)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #132 Ответы: #145

137. Сообщение от Аноним (137), 31-Май-25, 17:58    Скрыто ботом-модератором	+1 +/–
Возьми перл и напиши, тыжпрограммист https://learn.microsoft.com/en-us/previous-versions/windows/...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #87

140. Сообщение от Аноним (-), 31-Май-25, 23:07	+/–
> Справедливости ради, бестпрактикс, в BSD подобные сервисы принято запускать минимум в чруте, > максимум в джайле. И это практикуется уже не первое десятилетие. А какой-нибудь дистр с системд их в отдельный namespace еще и по дефолту засунет и придушит сисколы и доступ в ос, так что вон то чего доброго еще и обломается. Но все равно, такое себе. Лучше не создавать проблему чем героически ее решать. А эти зачем-то наоверинженерили, черти что и сбоку rest(room) api зачем-то.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3

141. Сообщение от Аноним (93), 01-Июн-25, 00:27	+/–
>Вам рядом уже указали что за вас уже реализовали string в котором есть trim. И это говорит человек, который велосипедил xml парсер. >А вам слабо на вашем языке накодить прогу исполняемый бинарник которой будет 1-2кб? Ценность бинарника в 2 Кб - весьма сомнительна, в 2025 году. У меня один только curl весит более двухсот Кб, не говоря уже про разделяемые библиотеки.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #126

142. Сообщение от Аноним (117), 01-Июн-25, 02:26	–1 +/–
> - lighhttpd поменял на nginx > […] > Это за последние 20 лет. Ты реально админишь 20 лет и до сих пор не стал менеджером или архитектором? Надо было не lighhttpd на nginx менять, а карьеру строить.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #127 Ответы: #148, #163

143. Сообщение от Аноним (117), 01-Июн-25, 02:44	+/–
Ну дают, у меня такой. И дома тоже на всех устройствах публичные IPv6, даже у кофеварки. Толку-то, если внутри андроида порты слушать некому? Инкарнацию легендарного ping of death в линуксах давно починили, а дома вообще фаерволл.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #128

144. Сообщение от Аноним (117), 01-Июн-25, 03:31	+/–
> И как вы правами доступа к файлам разрешите доступ для nginx, но запретите для php? Ты, видимо, не понял что я написал. Права на _доступ_ и UID/GID — ортогональные сущности. Первая очень примтивно определяет _что_ можно и какой _категории_ пользователей (u/g/o), вторая — просто идентификатор пользователя, не несущий никакой смысловой нагрузки (ну, кроме магических значений, это ж юникс визардз делали, куда ж без магии-то?). Расскажи лучше как ты будешь решать проблему с выдачей этого самого сертификата. Из-под рута запускать — плохо (и новость в общем-то об этом). Из-под юзера веб-сервера — ещё хуже. Как быть? > Например? Посмотри как привилегии организованы в Solaris, Windows, HP MPE, VAX/VMS/OpenVMS, AIX, z/OS, OS/400 (вообще у IBM были разные и интересные реализации по которым видно эволюцию их понимания проблематики и требований их клиентов, если интересуешься темой — рекомендую поизучать) — это из того, с чем приходилось на практике иметь дело. Ну и SELinux конечно же, тот самый, который все эникеи рекомендуют выключать первым делом, даже комиксы не помогают.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #121 Ответы: #151

145. Сообщение от Аноним (117), 01-Июн-25, 03:33	+/–
У вас другой есть, точно такой же.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #136

146. Сообщение от Аноним (117), 01-Июн-25, 04:04	+/–
> 1. Я не припоминаю софта который бы имел захардкоженные UID/GID, кроме xorg который ругается когда его под рутом запускают. Большинство софта либо умеет принимать UID/GID и сбрасывать привелегии либо изначально запускается под нужными UID/GID и вообще в это не лезет. Сбрасывать привилегии — это доверять безопасность тем же самым программистам, которые за пределы массива не умеют не вываливаться. Предложи сразу писать программы правильно и можно будет просто™ вернуться в то сладкое время, когда в юниксах не было вообще никаких привилегий. Захардкоженных айдишников в софте навалом, и не только в xorg. Обычно это волшебные 0 и 65535, но я и другие встречал. Например, > 1000 и < 1000 (видимо, история с привилегированными портами кого-то ничему не научила). Весь софт без исключений должен «изначально запускается под нужными UID/GID и вообще в это не лезет», а не заниматься менеджментом безопасности. > 2. А какой смысл динамически создавать/удалять UID/GID для сервисов? Они не создаются и не удаляются нигде, кроме памяти. При запуске выбирается случайный UID/GID из пула и по завершении работы забывается как не было. Такого пользователя не существует в системе на системном уровне. Ты предлагаешь для примитивной задачи — отдача байтов в IP-сокет — заниматься менеджментом пользователей в системе. Пока это один локалхост и один веб-сервер это не проблема, на локалхосте вообще что угодно работает и можно всё из-под рута запускать примерно с тем же успехом (но не нужно, конечно же). И владение файлами через UID/GID — типичное локалхостное решение. Раз уж ты так любишь веб-серверы, может вспомнишь заодно как решали такую простую задачу: есть юникс, на нём пару тысяч пользователей, каждый пользователь хочет возможность опубликовать свои файлы по адресу univercity.edu/~username прямо из своего домашнего каталога? Чтобы было проще понять суть проблемы, представь себе, что у тебя два десятка разных веб-серверов, каждый со своим профилем безопасности и привилегиями, каждый со своим UID/GID, и надо каждому дать доступ к публикуемым файлам. А про то, чем люди занимаются чтобы дать возможность десяти разным юзерам менеджить бэкапы не имея прямого доступа к данным на ночь глядя рассказывать не буду.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #130 Ответы: #150

147. Сообщение от Аноним (117), 01-Июн-25, 04:14	+/–
> Потом как вы себе представляете админство тазика у которого только сервисов 999? Мне инженер IBM когда-то рассказывал, что у них проблемы с производительностью kube-proxy в режиме iptables начинаются где-то от 10 тысяч сервисов. Дальше надо объяснять? У меня в проде есть физические машины, где запущено параллельно несколько десятков тысяч процессов, каждый  под отдельным пользователем. Это очень необычный случай, я понимаю, но не понимаю в чём принципиальная разница — один процесс или миллион процессов. Принцип и подход один и тот же, разница только в потребляемых ресурсах. > Это в современном то мире где на каждый ping создают если не виртуалку то докер контейнер. Иван, уже в который раз замечаю как ты держишь в руках все части ответа, но не можешь сложить целое. Интересно, почему же «каждый ping создают если не виртуалку то докер контейнер»? Уж не потому ли, что чего-то важного в системе не хватает?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #129

148. Сообщение от abu (?), 01-Июн-25, 09:56	+/–
Да для архитекторов средней руки, внезапно, завезли все эти докеры и k8s, да сосватали все эти курсы про =питон за три часа=. Потому в архитекторы вряд ли админы теперь уйдут (:
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #142

149. Сообщение от нах. (?), 01-Июн-25, 16:25	+/–
> Не то, чтобы я всерьёз надеялся дожить (Тут географию менять надо) тут планетку менять надо, но на единственного кто на такое замахивался - надежды уже никакой, он сторчался на почве невиданных успехов. > Ну или просто на заводе плотность потребителей низкая, или они жаловаться не привыкли, подумаешь телефон не с первой попытки после включения энергии загрузился а с пятнадцатой - иди вон пока посмотри почему у нас расплавленный метал протек. >>> выдача адресов из пулов VPN'ами >> там радиус обычно (тоже та еще дрянь), dhcp очень редко > Угу. RADIUS видел, dhcp нет. иногда надо раздать что-то кроме голого ip - специфические маршруты или метрики к ним, например. Тогда поверх vpn вешают еще и dhcp.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #80

150. Сообщение от Аноним (150), 01-Июн-25, 16:57	+/–
>вернуться в то сладкое время, когда в юниксах не было вообще никаких привилегий Это когда же в UNIX не было root и обычных пользователей?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #146 Ответы: #152

151. Сообщение от Аноним (93), 01-Июн-25, 22:21	+/–
>Права на _доступ_ и UID/GID — ортогональные сущности. Права привязываются к владельцу, же. >Посмотри как привилегии организованы в Solaris, Windows, HP MPE, VAX/VMS/OpenVMS, AIX, z/OS, OS/400 И где я половину этих систем найду? А системы вроде винды - как-то не хочется ставить. Вы лучше скажите, куда именно нужно смотреть? >Ну и SELinux конечно же, Я selinux особо не изучал, но разве там у файла может быть несколько контекстов безопасности?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #144 Ответы: #153

152. Сообщение от Аноним (117), 01-Июн-25, 23:27	+/–
Каким боком пользователи относятся к привилегиям? Это ортогональные понятия. Привилегии описывают _что_ можно, но не говорят _кому_. Пользователь определяет идентичность (== _кто_), но ничего не говорит о разрешениях (если только это не юникс с его волшебными значениями, как пример плохого дизайна). Для того чтобы связать _что_ и _кому_ используются полиси. На примере юникса: биты доступа к файлам это пример (пусть и очень примитивных) полиси. Так вот, в ранних релизах юникса из привилегий существовал только suid bit, позволявший программе делать либо всё, либо не всё. Известную сегодня функциональность setuid и ACL добавили сильно потом.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #150

153. Сообщение от Аноним (117), 01-Июн-25, 23:40	+/–
> Права привязываются к владельцу, же. То Отношения пользователь-права опереляются полиси, котрые вообще могут не оперировать конкретными UID/GID, а основываться на весьма абстрактных и динамических метриках. Иногда у пользователя даже идентификатора может не быть своего. > системы вроде винды - как-то не хочется ставить. А почему? Она доступна бесплатно с сайта Майкрософта, для изучения хватит. > Вы лучше скажите, куда именно нужно смотреть? Я сказал куда, но тебе же шашечки, а не ехать. > Я selinux особо не изучал, но разве там у файла может быть несколько контекстов безопасности? Нет, не может. Но там есть другие интересные возможности, позволяющие несколько облегчить этот серьёзный недостаток.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #151 Ответы: #160

154. Сообщение от Аноним (-), 02-Июн-25, 03:59	–1 +/–
> Вы так каждую проблему по одиночке будете решать? Зачем, сделать класс а то и темплейт и загвоздить все и вся квадратно-гнездовым способом, как си++ и завещал. Я встречал программы где именно так и сделали. > Почему? В c++ нужно к каждой строке относится подозрительно - а нет > ли там висячих указателей, двойных освобождений и так далее. Потому что если не юзать те самые C-шные либы - это нагреть себя на дофига возможностей. И таки вот именно на ++ нет именно либ. И таки другие ЯП умеют цеплять либы - с сишным API/ABI, а не API/ABI C++/хруста/whatever. Что хотите с этим то и делайте. Не хотите эти? Значит без либ будете. А все API типа сисколов ос опять же - сишные. > В других языках такие проблемы возникают только при взаимодействии с > сишными библиотеками. Т.е. почти везде. Ибо без этих либ - а что оно и где будет ловить? А, перепишет более 50 лет софта? Переписывалка не сломается? А что до c++ бывают программы где вон тем таки неплохо форсят безопасный подход. Плюсы достаточно гибкие для такого. > Сюда стоит приплюсовать, когда на таких языках встречаются pure > $langName implementation. Оно встречается, но как правило это уродливые NIH фиговины, с единственным достоинством "зато на %s". Зачастую от ушибленных на всю голову авторов и/или без майнтенанса. Оказывается девелопать софт всерьез - это не про гребаный хайп. И время и силы жрет, особенно со времнем. Особенно если в тулчейне хайпанут и попросят переписать на новый диалект, теперь банановй, а то вы тут вообще - уже пять минут как легаси. > И если условному python нужна сишная библиотека, для парсинга html, то ocaml, > golang могут реализовать парсер на родном языке. Могут. Но при ocaml вообще никому никуда не вперся, а go при активной нагрузке... вон там в фоторамках драйвер на Fat - реализовали. А он и начни тормозить и жрать RAM оптом. Они и промямлили что-то про "перепишем на хрусте". Пока переписывали, у менеджмента гугля кончилось терпение, тиму децимировали а планы по захвату мира ограничили парой фоторамок. Это то чего реально стоят заявления вон тех про перфоманс. > Вплоть до того, что tls будет реализован на том же языке. С просадкой в пару раз и жором памяти это все мало кому надо. Потому что докупитесерверов - довольно дорогое удовольствие. > Таким образом, гарании ocmal-а или golang-а распространяются не только на приложение, > но и на парсер html. Гарантии ocaml распостраняются на примерно нифига - ибо где оно все вообще? А гарантии игого - вон там в фуксии были. И перфоманс вместе с ними. Провальный. Потому что неотключаемый GC это таки - заявка на залет. В этом смысле Go не конкурент ни плюсам, ни хрусту, ни сям. Он в принципе не дает этот уровень контроля - и для системщины, high-peformance и реалтайм/управляющих систем - не того. Из-за общей непредсказуемости перфоманса и как алго GC vs реальная нагрузка себя будет вести.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #112 Ответы: #158

155. Сообщение от Аноним (-), 02-Июн-25, 05:02	+/–
> Python тоже не родился популярным. Он видите ли популярен потому что... 1) Low entry barrier. Такой себе BASIC 2.0 (или скорее 4.0 наверное) 2) Всякие академики-научники которые вообще не программисты как таковые но хотят посчитать какую-то хрень - юзают это вместо чего там у них раньше было, фортран, чтоли какой. > Куда ещё проще? Ну возьмите Standard ML, хотя как по моему, фич > всё же нужно больше. Вы вообще программы на питоне видели? Половина оных так писаны что даже на си было бы лучше, нахрен. Потому что корябано дилетантом в режиме "что первое пришло в голову то и написал", в режиме программиста на васике. Для одноразовой лабуды, в принципе, пойдет. Проблемы начинаются когда пытаются вместо этого хреначить большие проекты, вдолгую. >>и не системное/шистрое > Ничуть не хуже golang-а. Golang не является системным ЯП, от слова вообще. Фуксики думали иначе. Это и стало крахом их проекта. Махровая апликушнятина с неотключаемым GC. >>Ну так он в вебе питона и выпиливает методично. Гугл для этого его и сделал. > Python много где засел. Вот в арче https://archlinux.org/packages/core/x86_64/python/ > Required By (3080). Кто его из от туда уберёт? Это не отменяет того факта что в вебе его много кто и откуда - ушли, особенно нагруженные. А вон то 3080 это в основном - одноразовая лабуда с периодом полураспада пару лет. Если хайп скиснет, оно вымрет за несколько лет само. В свое время BASIC был просто топчик. Примерно как питон сейчас. Часто вы имеете дело с софтм на BASIC? А там еще авторы питона помогают, вечно ломая совместимость. По поводу чего пользуясь случаем передаем приветы HG например. > Python не превосходит java в этом отношении. ...поэтому Go дал мастеркласс обоим, а ему дают мастеркласс плюсы и хруст. При том второй его таки выносит из веба местами. В хайлоаде и реалтайм коммуникациях в основном.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #113 Ответы: #159

156. Сообщение от Аноним (93), 02-Июн-25, 12:55	+/–
>2. А какой смысл динамически создавать/удалять UID/GID для сервисов? Ну вообще, в анонимные определения очень хороши. Во-первых, они занимают мало места. Во-вторых, они прозрачно ложаться на систему. Если у вас будет захардкожен uid, то он будет именно что захардкожен. Просто сравните uid www для разных дистрибутивов, типа alpine, debian - они будут разные. Имя пользователя - тоже. Если вам особо повезёт, то в вашей системе уже будет пользователь с uid-ом, но другой. В-третьих, если вы добавите в юнит User=, то вместо анонимного пользователя привяжете к существующему. >я удалил lighttpd и перешёл на nginx и теперь он под www работает - в чём тут проблема? Добавьте User= и пользуйтесь как обычно.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #130

157. Сообщение от Аноним (93), 02-Июн-25, 13:00	+/–
>И откуда же вы взяли число 999? 0 - root, 1000 - первый живой пользователь. >Вот андройд спокойно 10к+рандом делает иденты прогам. Там так изначально сделано. >Потом как вы себе представляете админство тазика у которого только сервисов 999? Я же вам писал, что это ограничение на дистрибутив, а не на установку. Поскольку пользователей типа www-data создают мейнтеры дистрибутива, которые потом хардкодят эти id во всяких конфигах. >Это в современном то мире где на каждый ping создают если не виртуалку то докер контейнер. Докер контейнеры получают своё простанство пользователей, в которых и будут иметь уникальные для хоста uid-ы. Только делать это на уровне systemd дешевле, так как за раз будет браться 1 uid, а не 65536.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #129

158. Сообщение от Аноним (93), 02-Июн-25, 13:16	+/–
>Зачем, сделать класс а то и темплейт и загвоздить все и вся квадратно-гнездовым способом, как си++ и завещал. Почему сишники/плюсовики так любят велосипеды? >Потому что если не юзать те самые C-шные либы - это нагреть себя на дофига возможностей. Ну не знаю. Это разве что для графики нужно. Все остальные вещи, типа взаимодействия с сетью, парсинга, работы с файлами и подобного - решаются на нужном языке. Ну может взаимодействие с базой данных будет иметь тонкий слой сишной логики, щедро обвёрнутый в нужный язык. Я без проблем работал с сокетами, не написав ни строчки на си. >А, перепишет более 50 лет софта? Переписывалка не сломается? Зачем 50 лет? Работа с сокетами давным давно изобретена. >Оно встречается, но как правило это уродливые NIH фиговины, с единственным достоинством "зато на %s". У него родные для языка возможности, например, поддержка ADT, что очень многого стоит. Вменяемая обработка ошибок, а не код возврата функции. >вон там в фоторамках драйвер на Fat - реализовали. А он и начни тормозить и жрать RAM оптом Не знаю, не смотрел. А вот с парсингом html лично взаимодействовал. >Потому что неотключаемый GC это таки - заявка на залет. В этом смысле Go не конкурент ни плюсам, ни хрусту, ни сям. Он в принципе не дает этот уровень контроля - и для системщины, high-peformance и реалтайм/управляющих систем - не того. Драйвер файловой системы, это несколько особенная задача, хотя нескольк fuse файловых систем на go я видел. Тот же докер на go себя вполне отлично чувствует. Я не думаю, что условные find, ls или mkdir будут чувствовать себя хуже.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #154

159. Сообщение от Аноним (93), 02-Июн-25, 13:30	+/–
>2) Всякие академики-научники которые вообще не программисты как таковые Не думаю, что стоит их принимать во внимание. Когда в минте пишут меню на питоне, это явно не учёные-дилетанты в программировании. >Половина оных так писаны что даже на си было бы лучше, нахрен. Потому что корябано дилетантом Не было бы. Си очень недружелюбен даже к невнимательности, не говоря уже про дилетантов. Условный ocaml ещё хоть как-то может присматривать за таким - си, точно нет. >Golang не является системным ЯП, от слова вообще. Фуксики думали иначе. Драйвер файловой системы - это несколько особенный случай. Докер как контрпример. >А вон то 3080 это в основном - одноразовая лабуда с периодом полураспада пару лет. Если хайп скиснет, оно вымрет за несколько лет само. Ну возьмём тот же wesnoth - вполне себе солидная игра, для проекта с свободным исходным кодом, или kitty - терминал с поддержкой gpu, или qtile - wm на питоне. >В свое время BASIC был просто топчик. Примерно как питон сейчас. Единственный плюс этих языков - низкий порог входа. Но проблема в том, что для того, чтобы понять тот же Ocaml или StandardML требуется не на много больше усилий. А к тому моменту, когда новичёк в проде будет сталкиваться со всякими линтерами и прочим - скорее даже меньше. >А там еще авторы питона помогают, вечно ломая совместимость. По поводу чего пользуясь случаем передаем приветы HG например. Я не думаю, что это помогает избавится от питона. Проект либо забросят, либо будут старательно переписывать.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #155

160. Сообщение от Аноним (93), 02-Июн-25, 13:42	+/–
>А почему? Она доступна бесплатно с сайта Майкрософта, для изучения хватит. Современные видны тормозные, у меня не особо много ресурсов. >Я сказал куда, но тебе же шашечки, а не ехать. Что именно они позволяют сделать, что не позволяет unix. >Нет, не может. Но там есть другие интересные возможности, позволяющие несколько облегчить этот серьёзный недостаток. Например?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #153 Ответы: #162

161. Сообщение от нах. (?), 02-Июн-25, 17:10	+/–
поверх gpon там ходит скорее pppoatm, несколько другая конструкция. И да, тяжкое наследие телефонистов, как и весь gpon. Затобесплатное.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #101

162. Сообщение от Аноним (162), 03-Июн-25, 00:17	+/–
> Что именно они позволяют сделать, что не позволяет unix. А не расскажешь как в стандартном unix несколькоим пользователям раздать разные права на несколько файлов?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #160

163. Сообщение от _oleg_ (ok), 06-Июн-25, 11:45	+/–
> Ты реально админишь 20 лет и до сих пор не стал менеджером или архитектором? Да ты знаток технических карьер, я смотрю :-). Для админа это скорее выглядит так: админ -> начальник отдела -> главный инженер -> тех.дир. Какой нахер менеджер :-D? Какой, блин, ещё архитектор? Менеджер это какое-то сильное понижение для админа.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #142

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема