| 1.1, A.Stahl (ok), 07:55, 04/09/2017 [ответить] [﹢﹢﹢] [ · · · ]
| –21 +/– |
 >включен плагин к GCC для рандомизации раскладки структур данных
А БСДшники недавно с такой помпой сообщали о чём-то подобном, что казалось, что их секьюрити-шмукьюрити впереди планеты всей, а оказывается они просто раздули очередную муху до больших габаритов.
>Плагин портирован из патчей проекта grsecurity;
Ребята допрыгались -- сейчас их полезные наработки "раздеребанят", самые интересные включат в ядро на постоянной основе, а про grsecurity вообще забудут.
| | |
| |
| |
| 3.162, Аноним (-), 21:00, 05/09/2017 [^] [^^] [^^^] [ответить]
| +/– |
Дарю идею: если в startup ядра устроить deadlock, желательно еще до декомпрессии - систему вообще никто не взломает.
| | |
|
| 2.56, Аноним (-), 14:59, 04/09/2017 [^] [^^] [^^^] [ответить]
| +17 +/– |
>> включен плагин к GCC для рандомизации раскладки структур данных
> А БСДшники недавно с такой помпой сообщали о чём-то подобном,
Смотрит внимательно
https://marc.info/?l=openbsd-tech&m=149732026405941
> Over the last three weeks I've been working on a new randomization
feature which will protect the kernel
> That change is scaffolding to ensure you boot a newly-linked kernel
> upon every reboot. The base set now contains a "link-kit" of the .o's
> from the compile directory, so that a new random kernel can be linked
> together. It is linked automatically in the background by the rc scripts, and installed as /bsd
и правда, помпезность и схожесть
> рандомизации раскладки структур данных
аж зашкаливают!
Кстати, можно ли на опеннете фильтровать сообщения по нику?
| | |
|
| 1.2, zloykakpes (ok), 07:56, 04/09/2017 [ответить] [﹢﹢﹢] [ · · · ]
| –6 +/– |
 > В файловой системе ext4 реализована опция "largedir"
Интересно, а для чего это? Где может понадобиться хранение даже 10млн файлов в одной директории? Быстрее же доступ будет если как-то сортировать файлы по куче директорий, чем по одной с таким количеством.
| | |
| |
| 2.3, Аноним (-), 08:18, 04/09/2017 [^] [^^] [^^^] [ответить]
| +5 +/– | |
> Где может понадобиться хранение даже 10млн файлов в одной директории?
На серверах Гугля, например. Или какого-нибудь АНБ.
| | |
| |
| 3.4, Аноним (-), 08:36, 04/09/2017 [^] [^^] [^^^] [ответить]
| –5 +/– |
Зачем? Папки не просто так придумали, это реалньо удобно. Даже если у АНБ будет папка "Вася", в которой по нему будет вся инфа, как часто душ принимает, номера телефонов, кред. история и тп. все равно лучше по папкам распихивать, а еще лучше в БД. 10 миллионов звучит как оверкилл, а 2 мильярда как оверфакингкилл.
| | |
| |
| 4.6, A.Stahl (ok), 08:42, 04/09/2017 [^] [^^] [^^^] [ответить]
| –1 +/– | |
> в которой по нему будет вся инфа
Ты предлагаешь анализировать все данные, которые проходят через них? Они не идиоты, поэтому просто, скорее всего, сваливают всё на кучу, а если вдруг что-то нужно, то начинают эту кучу разгребать. Да и незаконно это -- анализировать данные безосновательно.
| | |
| |
| 5.145, Аноним (-), 14:19, 05/09/2017 [^] [^^] [^^^] [ответить]
| +2 +/– |
Вообще их и собирать безосновательно незаконно, не говоря даже о моральной стороне вопроса, но кого это когда останавливало?
| | |
|
| 4.7, Аноним (-), 08:48, 04/09/2017 [^] [^^] [^^^] [ответить]
| +2 +/– |
Приведу реальный пример. Из-за ограничений вроде "не более 1000 файлов в папке", писателям CMS для хранения файлов приходится выдумывать какие-то правила, типа "хранить файлы вида abcdefgh.jpg по пути /a/b/c/abcdefgh.jpg". А потом еще писать сложную логику вида "а не появилось ли в папке /a/b/c более, чем тысяча изображений, начинающихся с abc?" И нет, речь не идет о сложной инфраструктуре с хайлоадом и прочими штуками, которые нужны только в частопосещяемых сайтах. Речь идет об обычных сайтах обычных организаций, в который залили тысячу и одно изображение.
| | |
| |
| 5.12, Anonimus (??), 09:35, 04/09/2017 [^] [^^] [^^^] [ответить]
| +1 +/– |
подобные ограничения связанны исключительно с тем что обращение к файлам с небольшим количеством файлов в папке намного быстрее чем если все в куче. Плохо что не все "пИсатели CMS" вкурсе методов которые помогли бы ускорить работу их 7@внокода.
| | |
| |
| 6.51, mrd (??), 14:12, 04/09/2017 [^] [^^] [^^^] [ответить]
| +1 +/– |
Зависит от того, как доступ идет и все настроено. На "всяких" CMS обычно все включено, все, которые только есть, плагины apache например, которые читают все атрибуты.
А если файловая система использует деревья и доступ идет по имени файла (без чтения списка того, что в директории), то все будет быстро.
| | |
|
| 5.15, qq (??), 09:45, 04/09/2017 [^] [^^] [^^^] [ответить]
| +/– |
кстате да, захотелось как-то в видяшку добавить текст, под рукой тока ffmpeg, разбил на jpg, прошелся скриптом, собрал обратно, корячиться с папками, вот еще.
| | |
| |
| |
| 7.180, Аноним (-), 22:37, 05/09/2017 [^] [^^] [^^^] [ответить]
| +2 +/– | |
> "разбил на jpg" нет бы png но jpg???
Ну а что, здорово же. Было видео, уже пожатое каким-то кодеком с потерями. Он это распаковал и пожал еще раз, в жпег, потеряв качество опять. А потом сжал еще и это.
Разве не соблазнительно получить артефакты сжатия целых три раза, да еще разные и усиливающие друг друга? Жпегу понравится блочность MP4 (хотя-бы deblock ему сделать автор наверняка забыл). Он наартефактит по границам блоков. А потом все это вместе попробует прожевать mp4 или кто там еще, кодирующий результат. В общем врубаем это на полный экран на большом мониторе и понимаем как делать не надо...
| | |
| 7.192, Аноним (-), 12:47, 06/09/2017 [^] [^^] [^^^] [ответить]
| –1 +/– |
PNG не поддерживает цветовые модели кроме RGB, а преобразование из YUV и обратно может привести к потерям цветовой информации.
JPG позволяет хранить изображение без потерь, ffmpeg'у для этого нужно указать -q 0, наиболее подходящая цветовая модель будет выбрана автоматически.
| | |
|
|
|
| 4.10, Аноним (-), 09:15, 04/09/2017 [^] [^^] [^^^] [ответить]
| +9 +/– | |
> Папки не просто так придумали, это реалньо удобно.
Кликайте себе по "папкам" в своей венде. В линуксе совсем не обязательно что туда будет заходить человек.
| | |
| 4.22, paulus (ok), 10:29, 04/09/2017 [^] [^^] [^^^] [ответить]
| –3 +/– |
 >Зачем?
У гугеля все на ярлыках, типа каталоги альбомов или на почте, а в реале сплошные ярлыки по которым все сортируется у пользователя. Глубже наверное не лучше...
| | |
| |
| 5.143, Stax (ok), 14:07, 05/09/2017 [^] [^^] [^^^] [ответить]
| –2 +/– |
 Затем, что за редкими исключениями АНБ интересуют в первую очередь именно живущие в США. На 99.99% граждан РФ им по большому счету плевать - у них нет ни желания, ни ресурсов ими заниматься. В то время как наш родной товарищ майор заинтересован покопаться именно в данных жителя этой страны :)
| | |
| |
| 6.157, _ (??), 20:29, 05/09/2017 [^] [^^] [^^^] [ответить]
| +1 +/– |
АНБ-шные уши ловились в Германии, Великобритании и Франции. Не только политика, но и тупо бизнесс. Денюжки на пенсию офицеры майнили :)
Что уж говорить про партнёров пожиже?
| | |
| |
| 7.158, _ (??), 20:32, 05/09/2017 [^] [^^] [^^^] [ответить]
| +/– |
Это я не к тому что ФСБ - няшки. Все такие службы - $^%#@&@$!!!! Так было, так будет.(С)
| | |
|
|
|
|
|
| 2.8, номия (?), 08:53, 04/09/2017 [^] [^^] [^^^] [ответить]
| +/– |
иногда надо, но там все вроде давно убежали на бтрфс, зфс, xfs и прочие серверные фс
| | |
| |
| 3.45, Аноним (-), 13:36, 04/09/2017 [^] [^^] [^^^] [ответить]
| +/– |
> иногда надо, но там все вроде давно убежали на бтрфс, зфс, xfs
> и прочие серверные фс
Вероятно проблемы начинаются когда нужно выделить пачку по признаку и скопировать для обработки :)
| | |
|
| 2.11, Нанобот (ok), 09:22, 04/09/2017 [^] [^^] [^^^] [ответить]
| –2 +/– |
 >Быстрее же доступ будет если как-то сортировать файлы по куче директорий, чем по одной с таким количеством.
подозреваю, что разница в скорости будет незначительной
| | |
| |
| 3.18, пох (?), 10:06, 04/09/2017 [^] [^^] [^^^] [ответить]
| +/– | |
> подозреваю, что разница в скорости будет незначительной
для современных версий ext4 (dirindex на нас не с неба упал) - незначительной, при некоторых дополнительных условиях (ибо реализован плохо, и может давать массовые коллизии)
Писать программу в надежде, что под ней обязательно окажется ext4 с dirindex - плохой, негодный программист.
Все вменяемые уже десять лет перешли на древовидные структуры, поскольку роботу совершенно все равно, a/b/c/abcfile или abcfile искать, а для людей подобные помойки никогда и не предназначались.
| | |
| |
| 4.46, Аноним (-), 13:38, 04/09/2017 [^] [^^] [^^^] [ответить]
| +1 +/– |
>> подозреваю, что разница в скорости будет незначительной
> для современных версий ext4 (dirindex на нас не с неба упал) -
> незначительной, при некоторых дополнительных условиях (ибо реализован плохо, и может давать
> массовые коллизии)
> Писать программу в надежде, что под ней обязательно окажется ext4 с dirindex
> - плохой, негодный программист.
> Все вменяемые уже десять лет перешли на древовидные структуры, поскольку роботу совершенно
> все равно, a/b/c/abcfile или abcfile искать, а для людей подобные помойки
> никогда и не предназначались.
b-tree над фС, так это СУБД :)
| | |
| |
| 5.61, пох (?), 15:15, 04/09/2017 [^] [^^] [^^^] [ответить]
| –2 +/– | |
> b-tree над фС, так это СУБД :)
из субд очень неудобно, к примеру, делать sendfile()
Вообще, почти всюду, где стоит выбор субд или фс, следует выбирать - fs, как ни странно. Причина банальнейшая: fs обычно пишут и контролируют получившуюся писанину на порядки более грамотные ребята. А в субд на одного грамотного десять косоруких. (да еще и лежит это все все едино в fs, как правило, поэтому еще и требуется потом сопрягать одно с другим)
Идти за субд нужно либо когда нужно эффективное кэширование (fs'ы крайне фигово кэшируют _файлы_) либо когда нужны нетривиальные запросы, либо по каким-то еще причинам то, с чем приходится работать, не ложится в понятия файл/каталог.
| | |
| |
| 6.68, Crazy Alex (ok), 16:08, 04/09/2017 [^] [^^] [^^^] [ответить]
| –3 +/– |
 Да в понятие "файл" сейчас вообще мало что ложится, во всяком случае в отношении пользовательских данных. Остаётся обвешивать xattrs или добавлять дополнительный потоки как в NTFS, лепить кучу костылей вида RWH_WRITE_LIFE_xxx, создвавать каталоги вроде myfile.html.files и прочее. Уж лучше честно отползти к "ресурсам" с более-менее продуманным набором атрибутов и не пытаться имитировать статическими файлами динамический контент, состоящий из кучи различных чанков.
| | |
| |
| 7.164, Аноним (-), 21:04, 05/09/2017 [^] [^^] [^^^] [ответить]
| –1 +/– | |
> Да в понятие "файл" сейчас вообще мало что ложится,
Да почему, есть даже mmap. Получается что файл даже память. Но вот правда при ошибке ты получишь сразу SIGSEGV. И удачи тебе понять что это не крах в программе а ошибка чтения. Вот такая вот хреновая абстракция.
| | |
|
| 6.163, KonstantinB (ok), 21:02, 05/09/2017 [^] [^^] [^^^] [ответить]
| –2 +/– |
 [trollface on]
...а когда косорукие писатели субд, не знающие ничего, кроме btree, берутся писать фс, получается бтрфс!
[trollface off]
вообще, для разработки настоящих субд (а не хипстерских поделок) знаний надо не меньше, чем для разработки фс. А может, даже и больше.
| | |
| 6.208, лютый жабист__ (?), 17:38, 10/09/2017 [^] [^^] [^^^] [ответить]
| –1 +/– |
Эксперты локалхоста как обычно про масштабирование, кластеры и не слышали. Расскажи как ты из fs в 10 нод будешь файлы раздавать. Можно из десятка субд повыбирать, а с кластерными фс чо? Все кривые и косые, даже странно, их же крутыши пишут, не то что субдшники
| | |
|
| 5.159, _ (??), 20:35, 05/09/2017 [^] [^^] [^^^] [ответить]
| –1 +/– | |
> b-tree над фС, так это СУБД :)
Садись - два!
1) не СУБД, читай определение
2) не _b_-tree
| | |
|
|
| 3.72, Аноним (-), 16:32, 04/09/2017 [^] [^^] [^^^] [ответить]
| +/– |
в ext4 - переход за 2 уровня H-Tree (что дает large_dir) - вызывает посадку производительности на порядок и выше.
| | |
|
| 2.20, Аноним (-), 10:23, 04/09/2017 [^] [^^] [^^^] [ответить]
| +4 +/– | |
> Где может понадобиться хранение даже 10млн файлов в одной директории?
"It's better to have something you don't need than to need something you don't have." © не-помню-кто
Лучше пусть фича будет и останется лишней для 99.999% пользователей, чем понадобится — а её нет.
| | |
| |
| 3.28, Mihail Zenkov (ok), 10:55, 04/09/2017 [^] [^^] [^^^] [ответить]
| –1 +/– |
 Да, но при условии, что для 99.999% пользователей overhead от добавления опции будет 0.001%.
| | |
| 3.62, Аноним (-), 15:25, 04/09/2017 [^] [^^] [^^^] [ответить]
| +2 +/– |
> "It's better to have something you don't need than to need something
> you don't have." © не-помню-кто
> Лучше пусть фича будет и останется лишней для 99.999% пользователей, чем понадобится
> — а её нет.
Это типа встроенные QR коды, http сервачок, DNS, su, крон, netcat, календарь ... правда, до уровня нормальных, отдельных утилит и ПО оно никак не дотягивает, но зато встроенно и главный передовой комбайнер Леннарт гарантирует качество!
| | |
| |
| 4.98, Аноним (-), 23:44, 04/09/2017 [^] [^^] [^^^] [ответить]
| +1 +/– | |
> QR коды, http сервачок, DNS, su, крон, netcat, календарь
Перечисленное не имеет ничего общего с задачами PID 1, зато нормальная работа с большим количеством файлов в директориях иммет самое непосредственное отношение к функциональности ФС. Так что сравнение не совсем корректное.
| | |
|
|
| 2.36, Аноним (-), 12:27, 04/09/2017 [^] [^^] [^^^] [ответить]
| +/– | |
Тебе же в новости написали где это нужно
> Опция подготовлена разработчиками кластерной файловой системы Lustre
Да, они, вероятно, не правы нафигачивая много файлов в одну директорию.
| | |
| 2.40, Аноним (-), 12:37, 04/09/2017 [^] [^^] [^^^] [ответить]
| +/– | |
> Быстрее же доступ будет если как-то сортировать файлы по куче директорий, чем по одной с таким количеством.
Сделать быстрый доступ хешами и деревьями не проблема, проблема сделать быстрое обновление индекса. Например, переименование файла или добавление новых может потребовать перезаписи сразу всего индекса, а для 10 млн это минимум сотни мб.
| | |
| |
| 3.63, пох (?), 15:32, 04/09/2017 [^] [^^] [^^^] [ответить]
| +1 +/– |
> Сделать быстрый доступ хешами и деревьями не проблема, проблема сделать быстрое
> обновление индекса.
существующие реализации обычно просираются на удалении, а не на добавлении ;-) Что, во многих случаях, редкая или вовсе ненужная задача.
| | |
| |
| 4.96, Аноним (-), 23:21, 04/09/2017 [^] [^^] [^^^] [ответить]
| –1 +/– |
слова богу хоть хоть один нормальный программист. неистово плюсую.
| | |
| 4.111, all_glory_to_the_hypnotoad (ok), 01:38, 05/09/2017 [^] [^^] [^^^] [ответить]
| +/– |
 на уровне формата хранения индекса ещё нужно умудриться сделать резервирование для добавления записей, но не сделать gc. Наверняка тормозит не из-за вышеописанной причины.
| | |
|
|
| 2.42, anonymous (??), 13:10, 04/09/2017 [^] [^^] [^^^] [ответить]
| +/– |
Помню, в году 2006 один веб-сервер заказчика перестал работать из-за переполнения предельного размера файлов в каталоге. Выяснилось, что сайт писался подрядчиком для какого-то там госпроекта, и на все увещевания организации каталогов структурно или хотя бы по первым буквам названия файлов клал болт. Пришлось апгрейдить ядро и мигрировать на ext4 из-за этого криворука, чтобы хоть как-то сайт работал. Так что все возможно, человек - животина глупая, ему и 10 млн файлов в каталоге может не хватить.
| | |
| |
| 3.48, Аноним (-), 13:41, 04/09/2017 [^] [^^] [^^^] [ответить]
| –3 +/– |
> Помню, в году 2006 один веб-сервер заказчика перестал работать из-за переполнения предельного
> размера файлов в каталоге. Выяснилось, что сайт писался подрядчиком для какого-то
> там госпроекта, и на все увещевания организации каталогов структурно или хотя
> бы по первым буквам названия файлов клал болт. Пришлось апгрейдить ядро
> и мигрировать на ext4 из-за этого криворука, чтобы хоть как-то сайт
> работал. Так что все возможно, человек - животина глупая, ему и
> 10 млн файлов в каталоге может не хватить.
А в т.з. были ограничения?
ИМХО оптимально(хоть и дорого)для таких штук СУБД, у них лучше поставлен процесс обновления и новые версии обычно успевают под новые запросы.
| | |
|
| 2.115, Аноним (-), 02:38, 05/09/2017 [^] [^^] [^^^] [ответить]
| +/– |
Проверь, если парни из LANL протащили этот патч, то надо. Особенно, учитывая как люстра хранит файлы на OST. В общем, нужно. Особенно, на очень больших кластерах хранения. Да, типа как у самого LANL, у которых сотни софта, который написан в 80х на фортране и никто не собирается его переписывать ради работы с новомодными медленными фс типа s3 и экзабайты экспериментальных данных, которые надо пережёвывать сотнями тысяч процессоров. И да, дынные могут использоваться совместно.
Ну и да, парням из АНБ тоже пригодится.
| | |
| 2.132, bOOster (ok), 10:53, 05/09/2017 [^] [^^] [^^^] [ответить]
| –3 +/– |
 Да разумные люди давно переехали на файловые системы которые в своем принципе директорий не имеют. Вернее это логическая единица каталогизации. Может быть именем директории, может быть тегом для поиска и т.п. Теже яйца только в профиль. Я линуксоиды до сих пор костыли пристраивают к "покосившемуся и расжиревшему" ядру, со всех сторон утыканное идентичными костылями и архитектурой MSDOS 40 летней давности... Чтоб не рухнуло.
| | |
| |
| 3.151, пох (?), 17:45, 05/09/2017 [^] [^^] [^^^] [ответить]
| –1 +/– |
не "разумные" а "богатые" (и здоровые).
Это мордокнига может позволить себе "никогда ничего не удалять". А мы вынуждены использовать технологии, позволяющие особождать иногда место (в том числе место в этих ваших логических каталогизациях, оно тоже небесплатное)
Архитектуре vfs лет на двадцать больше чем этой вашей ms-dos. Скопировавшей, кстати, иерархичекое дерево догадайтесь, у кого.
| | |
|
| 2.154, анон (?), 18:33, 05/09/2017 [^] [^^] [^^^] [ответить]
| –1 +/– | |
бывают уникумы, которые восстанавливают данные после сбоя методом "слей все в кучу", а потом приходят к сапорту кровавого ынтырпрайза с слезными просьбами рассортировать им все.
Было такое уже не раз, ЛОЛ!
| | |
|
| 1.9, Аноним (-), 08:58, 04/09/2017 [ответить] [﹢﹢﹢] [ · · · ]
| –1 +/– |
хмм в ноувеи стереоскопическое это не 3д чтоли, и почему на моих 2 нвидиах экран всегда черный, и лечится только фирменными блобами, грустно както.
| | |
| 1.13, Аноним (-), 09:36, 04/09/2017 [ответить] [﹢﹢﹢] [ · · · ]
| +51 +/– | |
>реализованы пятиуровневые таблицы страниц памяти, которые позволяют адресовать до 16 эксабайт ОЗУ;
Обеспечена начальная поддержка Google Chrome
| | |
| |
| |
| 3.53, Аноним (-), 14:21, 04/09/2017 [^] [^^] [^^^] [ответить]
| +1 +/– | |
Серьёзно?
firefox-esr 527Мб - 13 вкладок, 8 аддонов
chromium 300Мб - 1 вкладка, 0 аддонов
| | |
|
|
| 1.25, Аноним (-), 10:38, 04/09/2017 [ответить] [﹢﹢﹢] [ · · · ]
| –4 +/– | |
> Без данной опции действует лимит на 10 млн
Графические обозреватели файлов тормозят уже на 10000. Спасибо С++ и бездарному программированию.
| | |
| |
| |
| |
| 4.165, Аноним (-), 21:10, 05/09/2017 [^] [^^] [^^^] [ответить]
| +/– |
>> там правит python!
> Electron!
Если вам нравится питон и электрон, попробуйте просмотреть с их помощью 10 миллионов файлов. Как раз и узнаете зачем нужны пятиуровневые таблицы и 16 экзабайтов.
| | |
| |
| 5.185, Аноним (-), 23:10, 05/09/2017 [^] [^^] [^^^] [ответить]
| +/– |
>>> там правит python!
>> Electron!
> Если вам нравится питон и электрон, попробуйте просмотреть с их помощью 10
> миллионов файлов. Как раз и узнаете зачем нужны пятиуровневые таблицы и
> 16 экзабайтов.
Понимаю, что гнобить питон на опеннете стало модно, но все же хоть немного матчасть знать следует. Хотя ьы чтобы не сравнивать электрон с пальцем.
https://github.com/python/cpython/blob/75b961869a1184895c9d5bf41a57f3c98562266
[CODE]
static PyObject *
os_scandir_impl(PyObject *module, path_t *path)
.
.
Py_BEGIN_ALLOW_THREADS
iterator->dirp = fdopendir(fd);
Py_END_ALLOW_THREADS
[/CODE]
| | |
|
|
| 3.89, Аноним (-), 22:00, 04/09/2017 [^] [^^] [^^^] [ответить]
| +1 +/– | |
> Нее, там не с++, там правит python!
А что, кто-то запускал?
Предлагаю добровольцам установить vifm и ranger, потом запустить echo {1..100500} > {1..100500} и mkdir {100500..200500} и поочередно открывая в этих ФМ, угадать, что из них на сишечке, а что на питончике. Если не получиться с ходу, можно включить предпросмотр файлов.
| | |
|
| 2.65, Аноним (-), 15:51, 04/09/2017 [^] [^^] [^^^] [ответить]
| +4 +/– | |
> Спасибо бездарному программированию.
Поправил тебя, не благодари. Если писать гoвнoкод на любом языке - он будет тормозить, даже если пишешь на ассемблере.
| | |
|
| 1.34, Аноним (-), 11:52, 04/09/2017 [ответить] [﹢﹢﹢] [ · · · ]
| –2 +/– | |
> ... для рандомизации раскладки структур данных, который на этапе сборки делает непредсказуемым следование полей в структурах и затрудняет проведение атак, базирующихся на знании раскладки структур в ядре.
Это уже на уровне вредительства, правильно говорят что grsecurity делают школьники.
| | |
| |
| 2.37, gre (?), 12:30, 04/09/2017 [^] [^^] [^^^] [ответить]
| –1 +/– |
>> ... для рандомизации раскладки структур данных, который на этапе сборки делает непредсказуемым следование полей в структурах и затрудняет проведение атак, базирующихся на знании раскладки структур в ядре.
> Это уже на уровне вредительства, правильно говорят что grsecurity делают школьники.
> Плагин портирован из патчей проекта grsecurity;
Ага, шапито в апстриме это нормально.
| | |
| |
| 3.39, пох (?), 12:36, 04/09/2017 [^] [^^] [^^^] [ответить]
| –1 +/– | |
> Ага, шапито в апстриме это нормально.
это - привычно.
собственно, а чего вы хотите на фоне "TLS в ядре"? (интересно, сколько дырьев там всплывет в ближайшую пару лет, и о скольких из них мы узнаем хотя бы не на год позже хакеров)
да и прочие новости, увы, того же пошиба.
| | |
| |
| 4.49, Аноним (-), 13:53, 04/09/2017 [^] [^^] [^^^] [ответить]
| –1 +/– |
>> Ага, шапито в апстриме это нормально.
> это - привычно.
> собственно, а чего вы хотите на фоне "TLS в ядре"? (интересно, сколько
> дырьев там всплывет в ближайшую пару лет, и о скольких из
> них мы узнаем хотя бы не на год позже хакеров)
> да и прочие новости, увы, того же пошиба.
Надеюсь дистростроители по умолчания отключат "TLS в ядре", а то как то "неправильно" (например в Debian) делать make menuconfig.
А тем кому это действительно необходимо, сами для себя настроят "TLS в ядре".
Тем более, что после залатывания каждой дырки в ядре, необходимо будет тянут 30MB.
| | |
| 4.57, Crazy Alex (ok), 14:59, 04/09/2017 [^] [^^] [^^^] [ответить]
| –2 +/– | |
TLS в ядре - это правильно. Может хоть так допинают до того, что нешифрованного трафика быть не должно вообще - примерно как научилив конце концов, что логин/пароль при входе в систему надо вводить всегда и что файрволл таки нужен везде.
И нет, это не от спецслужб и подобного, поэтому и не должно быть идеально защищённым. Это, наоборот, поднимают минимальный уровень - чтобы голым задом не светили.
| | |
| |
| 5.60, пох (?), 15:06, 04/09/2017 [^] [^^] [^^^] [ответить]
| +3 +/– |
> TLS в ядре - это правильно. Может хоть так допинают до того, что нешифрованного трафика
> быть не должно вообще
может. Я очень надеюсь к этому моменту успеть найти себе бизнес подальше от линуксов.
99% траффика шифровать совершенно _незачем_.
Пихание шифрования во все дырки, вместо грамотного ограничения ненужной сетевой активности и грамотных же средств AAA (которые к шифрованию совершенно боком), и особенно в виде совершенно безобразного и заведомо небезопасного монстра tls, только увеличивает риски. Потому что через это самое криво написанное шифрование вас и поломают, при случае.
И до кучи оно максимально затрудняет траблшутинг. И чем глубже зарыто, тем сложнее найти проблему.
| | |
| |
| 6.69, Crazy Alex (ok), 16:15, 04/09/2017 [^] [^^] [^^^] [ответить]
| +/– | |
Во-первых, оно с "грамотным ограничением сетевой активности" вообще не связано. И лучше уж один "монстр" (кстати, сильно почищенный в последнее время и уже собранным абсолютным большинством граблей) чем зоопарк кастомных решений на любой чих.
И ещё раз - это не "чтоб не поломали", а "чтоб любой скрипт-кидди не видел трафик". Ну и DPS усложнит - тоже дело хорошее. Как минимум, для этого стоит шифровать всё подряд (благо, сейчас это практически ничего не стоит).
Ну да, любителям "всё поснифать вайршарком" вместо траблшутинга там, где, собственно проблемы (то есть в приложении) - усложнит.
Вы просто упорно не хотите смириться с тем, что нынче компьютер без сети, в общем-то, смысла не имеет от слова "вообще".
| | |
| |
| 7.76, zanswer CCNA RS and S (?), 17:29, 04/09/2017 [^] [^^] [^^^] [ответить]
| –1 +/– | |
Эм, не вижу нечего плохого в использование Wireshark при поиске неисправности связанной с обменом через сеть. К слову никто не запрещает при необходимости расшифровывать пакеты Transport Layer Security протокола при анализе в Wireshark, если это требуется и реализация TLS в ядре, этому не помеха.
И ещё, я не вижу не какой проблемы в том, что инженеры Facebook совместно с инженерами Red Hat, реализовали TLS в ядерном пространстве. Судя по PDF, они добились очень не плохих результатов и продолжат их совершенствовать, в сторону работы с аппаратными крипто акселераторами.
| | |
| |
| |
| |
| 10.181, пох (?), 22:47, 05/09/2017 [^] [^^] [^^^] [ответить] | –1 +/– | разумеется беспокоит Включая омерзительное пихание дыры-v6 куда ни попадя, с от... текст свёрнут, показать | | |
|
|
|
|
| 6.166, Аноним (-), 21:17, 05/09/2017 [^] [^^] [^^^] [ответить]
| +/– | |
> может. Я очень надеюсь к этому моменту успеть найти себе бизнес подальше от линуксов.
В майкрософт устройся.
> 99% траффика шифровать совершенно _незачем_.
Учитывая современные тенденции и повальное увлечение синдром вахтера, все с точностью до наоборот.
> Пихание шифрования во все дырки, вместо грамотного ограничения ненужной сетевой активности
Ограничение сетевой активности - одно. Защита от копания в данных посторонних лиц - совсем другое.
> И до кучи оно максимально затрудняет траблшутинг. И чем глубже зарыто, тем
> сложнее найти проблему.
Знаем мы этих любителей траблшутинга. Кто номера кред ворует, кто пароли от почт и социалок.
| | |
| |
| 7.184, пох (?), 23:08, 05/09/2017 [^] [^^] [^^^] [ответить] | +/– | как бы им тоже окончательный линукс не пришел в ближайшие лет пять учитывая сов... большой текст свёрнут, показать | | |
|
|
| 5.81, angra (ok), 18:40, 04/09/2017 [^] [^^] [^^^] [ответить]
| +1 +/– |
 > примерно как научили в конце концов, что логин/пароль при входе в систему надо вводить всегда и что файрволл таки нужен везде.
Ну а теперь попробуй доказать необходимость обоих _везде_. Только сразу учти, что доказываешь ты не юзверю, а админу. Можешь даже ограничиться аргументацией их нужности на моей рабочей машине, вдруг я чего-то не знаю и ты откроешь мне глаза.
| | |
| |
| 6.82, пох (?), 19:52, 04/09/2017 [^] [^^] [^^^] [ответить]
| +/– | |
> Только сразу учти, что доказываешь ты не юзверю
юзверю с головой на плечах доказать еще сложнее, чем админу - потому что у него нет админской паранойи, зато есть юзверьская - например, не является ли это требование подставой со стороны админов, вольной или невольной.
| | |
| |
| 7.87, Crazy Alex (ok), 21:41, 04/09/2017 [^] [^^] [^^^] [ответить]
| +/– | |
На юзверя есть полиси, не надо ему ничего доказывать - один хрен у него скорее всего квалификации понять не хватит.
Если юзер не корпоративный - то тоже ничего ему доказывать не надо - сам себе буратино, злобный или нет - зависит от обстоятельств.
| | |
| |
| 8.127, пох (?), 09:26, 05/09/2017 [^] [^^] [^^^] [ответить] | +/– | потом ты наталкиваешься впервые в жизни интересно, как не удалось до сих пор В... большой текст свёрнут, показать | | |
| |
| |
| 10.186, пох (?), 23:14, 05/09/2017 [^] [^^] [^^^] [ответить] | –1 +/– | ты не поверишь, но работал я в конторе, где девопсы в одном углу, админы - в дру... текст свёрнут, показать | | |
|
|
|
|
| 6.86, Crazy Alex (ok), 21:38, 04/09/2017 [^] [^^] [^^^] [ответить]
| +1 +/– |
Очень просто - проще прикрываться логином/паролем всегда, чем в каждом конкретно случае думать - а нельзя ли ну вот на этот раз без них обойтись. Может можно, может нет, может сейчас можно, а завтра что-то поменялось... Проще сразу поставить и не париться.
| | |
| |
| 7.90, angra (ok), 22:02, 04/09/2017 [^] [^^] [^^^] [ответить]
| +/– |
То есть из-за того, что ты не хочешь всего один раз подумать, ты каждый день вбиваешь логин и пароль. Молодец, нечего сказать.
| | |
| |
| |
| 9.123, angra (ok), 08:27, 05/09/2017 [^] [^^] [^^^] [ответить] | +/– | У меня там изначально есть конфиденциальные данные От того, что появятся новые,... текст свёрнут, показать | | |
| 9.126, пох (?), 09:19, 05/09/2017 [^] [^^] [^^^] [ответить] | +/– | вы все еще живете во временах ОС Демос Компьютеры ныне - персональные, двадцать... большой текст свёрнут, показать | | |
| |
| |
| 11.187, пох (?), 23:21, 05/09/2017 [^] [^^] [^^^] [ответить] | –1 +/– | ну вот у меня нет пароля к опеннету Нет акаунта - нечего заблокировать не-е-е... большой текст свёрнут, показать | | |
|
|
|
|
| |
| |
| |
| |
| |
| 12.189, Пох (?), 08:41, 06/09/2017 [^] [^^] [^^^] [ответить] | –1 +/– | Попробуйте сменить любого из большой тройки мобильных мой местный тоже не гнуша... текст свёрнут, показать | | |
|
|
|
|
|
|
|
|
| 4.125, llolik (ok), 08:59, 05/09/2017 [^] [^^] [^^^] [ответить]
| +/– |
 > собственно, а чего вы хотите на фоне "TLS в ядре"?
Как я понимаю, туда перенесли только блочный шифр, чтоб sendfile(), например, в TLS-соединение делать без кучи копирований kernel-userspace. Handshake и всё остальное всё равно делается в userspace также, как и раньше.
| | |
| |
| 5.130, пох (?), 09:53, 05/09/2017 [^] [^^] [^^^] [ответить]
| +/– |
>> собственно, а чего вы хотите на фоне "TLS в ядре"?
> Как я понимаю, туда перенесли только блочный шифр, чтоб sendfile(), например, в
> TLS-соединение делать без кучи копирований kernel-userspace. Handshake и всё остальное
> всё равно делается в userspace также, как и раньше.
угу - и имеем кучу каллбэков в user-space из ядерного контекста, со всеми вытекающими из этого.
Понятна цель факинбука, они уже весь мир под себя прогнули, что там какое-то ведро, но нам с вами радости от этого решительно никакой.
| | |
| |
| 6.150, Аноним (-), 16:46, 05/09/2017 [^] [^^] [^^^] [ответить]
| +/– | |
> имеем кучу каллбэков в user-space из ядерного контекста
Нет, не имеем. Идите читайте пдфку.
| | |
| 6.171, Аноним (-), 21:39, 05/09/2017 [^] [^^] [^^^] [ответить]
| +/– |
> Понятна цель факинбука, они уже весь мир под себя прогнули, что там
> какое-то ведро, но нам с вами радости от этого решительно никакой.
У факингбука цель простая, как и у почти всех кто сервера содержит: получить с своего железа максимум. Подобные фичи нацелены именно на это. Рассуждения о том что зелен виноград натыкаются на график в новости и опции сборки.
| | |
| |
| 7.188, пох (?), 23:29, 05/09/2017 [^] [^^] [^^^] [ответить]
| +/– |
>> Понятна цель факинбука, они уже весь мир под себя прогнули, что там
>> какое-то ведро, но нам с вами радости от этого решительно никакой.
> У факингбука цель простая, как и у почти всех кто сервера содержит:
у моих серверов нет проблемы с ssl - потому что они в диски и cpu на пехепе упираются, гораздо раньше.
Поэтому мне, как и большинству держателей серверов, довольно мало пользы от сендфайла в ssl'ный сокет.
У меньшинства - вам же уже тут такое, хехе, ...меньшинство писало - "ssl на фронтендах", там никаких файлов при правильной настройке вообще нет.
| | |
|
|
|
|
| 3.133, bOOster (ok), 11:02, 05/09/2017 [^] [^^] [^^^] [ответить]
| –2 +/– |
>>> ... для рандомизации раскладки структур данных, который на этапе сборки делает непредсказуемым следование полей в структурах и затрудняет проведение атак, базирующихся на знании раскладки структур в ядре.
>> Это уже на уровне вредительства, правильно говорят что grsecurity делают школьники.
>> Плагин портирован из патчей проекта grsecurity;
> Ага, шапито в апстриме это нормально.
Конечно нормально. Сейчвс вспылвет куча "оптимизированного" в кавычках г%внокода, которые к структурам обращались по вычисленному фиксированному адресу внутри структуры. А после приведения софта в порядок, вдруг линь начнет работать медленнее BSD в данном контексте….
| | |
| |
| 4.172, Аноним (-), 21:44, 05/09/2017 [^] [^^] [^^^] [ответить]
| +/– | |
> Конечно нормально. Сейчвс вспылвет куча "оптимизированного" в кавычках г%внокода,
Если какой-то код в юзермоде вообще ориентировался на структуры ядра - авторы скорее всего делали что-то не так. А если они при этом еще и предполагали конкретные адреса - кто им доктор? Реально что-то такое может быть в паре глубоко системных программ. Остальным в внутренних структурах ядра делать нечего.
| | |
|
|
| 2.38, пох (?), 12:35, 04/09/2017 [^] [^^] [^^^] [ответить]
| –8 +/– | |
> Это уже на уровне вредительства,
к счастью, этот бесполезный хлам можно отключить.
> Это уже на уровне вредительства, правильно говорят что grsecurity делают школьники.
нет, школьники засели в KSPP - и тырят кусочки кода grsec, которые во-первых, вовсе не предназначены для использования отдельно от комплекса остальных мер, во-вторых, никогда и не позиционировались как решение "для всех". Что, собственно, авторов grsec и затрахало неимоверно. Но школота продолжает твердить что они лучше знают и тащить в ядро всякую дрянь, плохо при этом понимая ее работу - "мы требуем со6лядения GPL!!!".
| | |
| |
| 3.67, Аноним (-), 16:06, 04/09/2017 [^] [^^] [^^^] [ответить]
| +1 +/– |
Но факт того, что они GPL нарушают ты не отрицаешь? К тому же "школота" не тащит это в ядро, таки наоборот.
| | |
| 3.173, Аноним (-), 21:49, 05/09/2017 [^] [^^] [^^^] [ответить]
| +/– |
С другой стороны, авторы grsec тоже затрахали немало народа своим илитизмом, снобизмом, нулевым юзабилити, диким неадекватом (в твиттере разок было просто сказочное шоу). Наверное логично что появился неплохой спрос на то чтобы кто-то делал более юзабельно. И таки упомянутая фича юзабельна сама по себе. Если адреса структур будут перемешаны, атакующему будет очень неудобно а у эксплойта будет лишний шанс не сработать.
| | |
|
|
| 1.35, Андрей (??), 11:57, 04/09/2017 [ответить] [﹢﹢﹢] [ · · · ]
| –1 +/– | |
> В ext4 добавлена возможность хранения расширенных атрибутов файлов (Xattr) в отдельных inode
И как она активируется? Нужно ли переформативать?
> В XFS добавлена поддержка опций SEEK_HOLE и SEEK_DATA системного вызова lseek() для выявления пустых областей и блоков данных внутри файла
Вот это да! В XFS этого не было!?
| | |
| |
| |
| 3.149, saahriktu (ok), 16:09, 05/09/2017 [^] [^^] [^^^] [ответить]
| +/– |
 Лично я, собирая себе новое ядро, копирую конфиг от предыдущей версии и запускаю "make oldconfig". Конфигуратор начинает спрашивать по поводу новых опций, а я копирую куски его вывода. И получаются вот такие вот списки.
Для последних ядер (4.4-4.10, 4.13) такие списки можно взять здесь: http://saahriktu.org/linuxnewopts.tar.lzma .
| | |
| |
| 4.152, пох (?), 17:48, 05/09/2017 [^] [^^] [^^^] [ответить]
| +1 +/– |
> Лично я, собирая себе новое ядро, копирую конфиг от предыдущей версии и
> запускаю "make oldconfig". Конфигуратор начинает спрашивать по поводу новых опций, а
> я копирую куски его вывода. И получаются вот такие вот списки.
это далеко не полный набор - многие вопросы конфигуратора иерархические, и если на верхнем уровне иерархии застрял дефолтный 'N', то узнать, что изменялось под ними, таким образом не получится.
| | |
| |
| |
| 6.175, Аноним (-), 22:01, 05/09/2017 [^] [^^] [^^^] [ответить]
| +1 +/– | |
> Тем не менее, полученные таким образом опции точно являются новыми.
Опции сборки бывают условными. Ты не увидишь опций для архитектур отличных от твоей или для случаев когда выбор сделанный ранее конфликтует с опцией. Поэтому то что ты видишь - какой-то частный случай, зависящий от архитектуры и ранее выбранных опций. И зачем его вываливать сюда? Те кому надо - все-равно на вопросы билдсистемы ответят, так как актуально в их конфигурациях.
| | |
| |
| 7.190, saahriktu (ok), 12:06, 06/09/2017 [^] [^^] [^^^] [ответить]
| –1 +/– |
Далеко не все опции ядра архитектуроспецифичны. Да, если какие-то подсистемы драйверов отключены, то связанные с ними опции в список не попадут. Однако, базовые подсистемы включены в любом случае. А потому опции, которые связаны с разного рода планировщиками, управлением памятью, процессорами и питанием, базовые сетевые опции,... и т.д. в список попадут точно. И это может быть интересно тем, кто хочет знать какие серьёзные измения произошли в базовых подсистемах ядра.
| | |
|
|
|
|
| 3.174, Аноним (-), 21:55, 05/09/2017 [^] [^^] [^^^] [ответить]
| +/– | |
> А где можно такие списки с новыми опциями разных версий найти?
git diff, хоть и не очень удобно. А у предыдущего автора не все новые опции ядра показаны, только то что актуально для его системы и архитектуры. Там есть еще всякие условные опции, специфичные для платформ/архитектур. Которых у автора в списке конечно же быть не обязано. Не будет билдсистема работающая на x86(_64) показывать новые опции сборки какого-нибудь MIPSа или ARM. Но это не означает что эти опции не доабвили. Они неактуальны для авторской конфигурации. Но автор об этом видимо не знает, он занят компилированием - некогда билдсистему изучать.
| | |
|
|
| |
| |
| 3.73, Аноним (-), 16:55, 04/09/2017 [^] [^^] [^^^] [ответить]
| +/– |
А вы считаете линускоидами дилетантов вроде меня?
Я не компьютерщик, а просто пользователь, но умею ставить некоторые дистрибутивы Линукса, настраивать их и обслуживать.
Спрашиваю абсолютно серьезно и сам стараюсь понять.
| | |
| |
| |
| 5.92, lucentcode (ok), 22:39, 04/09/2017 [^] [^^] [^^^] [ответить]
| –1 +/– |
 Чем-то ваш комментарий напомнил мне один анекдот, про самогонный аппарат, где полицейский уверял что если у человека аппарат есть, значит он его активно использует...
| | |
|
|
| 3.88, Аноним (-), 21:52, 04/09/2017 [^] [^^] [^^^] [ответить]
| +/– |
Пользователей андроида почему не посчитал? Да, они в нём не разбираются, но пользуются же!
| | |
|
|
| 1.66, mumu (ok), 16:01, 04/09/2017 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
 > TLS: AES GCM
А почему нет CBC, XTS и т.п.? Я вечно в этих аббревиатурах путаюсь и не до конца понимаю что где и когда используется.
| | |
| |
| 2.78, zanswer CCNA RS and S (?), 17:41, 04/09/2017 [^] [^^] [^^^] [ответить]
| +1 +/– |
Потому, что GCM лучше всего подходит для шифрования сетевых пакетов. В конечном счёте цель инженеров Facebook и Red Hat была низкая латентность, и высокая производительность. А не реализация всех возможных режимов работы AES.
| | |
| 2.80, Stax (ok), 18:17, 04/09/2017 [^] [^^] [^^^] [ответить]
| +1 +/– |
CBC нельзя параллельно считать, а GCM можно.
У XTS есть потенциальные проблемы с безопасностью и он вообще не для сетевой передачи.
Для текущего стандарта TLS актуален в первую очередь GCM, CBC считается небезопасным, поэтому нет смысла делать что-либо кроме GCM.
| | |
| |
| 3.85, забыл пароль (?), 20:17, 04/09/2017 [^] [^^] [^^^] [ответить]
| –1 +/– |
Вроде насколько я помню, CBC это как-раз дефолтный режим для ipsec и GCM скорее всего не заработает на всяких вин7, старых цисках и т.п. (может даже вин10 тоже не умеет GCM, l2tp/ipsec он устанавливает всегда в режиме CBC).
| | |
| |
| 4.109, h31 (ok), 01:31, 05/09/2017 [^] [^^] [^^^] [ответить]
| +1 +/– |
 IPsec и мелкософт - это особая история. GCM вроде как поддерживается, но только вместе с IKEv1. В случае IKEv2 там максимум CBC.
А для TLS у них всё в порядке, GCM отлично работает и включен как самый приоритетный.
| | |
| |
| |
| 6.220, pavlinux (ok), 23:49, 12/09/2017 [^] [^^] [^^^] [ответить]
| +/– |
 >[оверквотинг удален]
> [RFC3602]
> Pseudo-random function
> HMAC-SHA-384 [RFC4868]
> Integrity
>
> HMAC-SHA-384-192 [RFC4868]
> Diffie-Hellman group
> 384-bit random ECP group [RFC5903]"
> Как видим, для IPSec Phase 2, для протокола ESP поддерживается AES в
> GCM режиме, для IPSec Phase 1, для протокола IKEv2 нет.
| | |
| |
| 7.222, zanswer CCNA RS and S (?), 13:33, 13/09/2017 [^] [^^] [^^^] [ответить]
| +/– |
>[оверквотинг удален]
>> [RFC3602]
>> Pseudo-random function
>> HMAC-SHA-384 [RFC4868]
>> Integrity
>>
>> HMAC-SHA-384-192 [RFC4868]
>> Diffie-Hellman group
>> 384-bit random ECP group [RFC5903]"
>> Как видим, для IPSec Phase 2, для протокола ESP поддерживается AES в
>> GCM режиме, для IPSec Phase 1, для протокола IKEv2 нет.
IKEv2 SA может использовать только AES-CBC, но IPSec SA может использовать и AES-GCM, данные клиентов будут шифроваться уже с помощью AES-GCM. Иными словами, не вижу не какой проблемы, что IKEv2 SA использует AES-CBC.
| | |
|
|
|
| 4.122, zanswer CCNA RS and S (?), 08:17, 05/09/2017 [^] [^^] [^^^] [ответить]
| +1 +/– | |
Если верить Microsoft kb325158, то по умолчанию L2TP over IPSec вообще использует DES в CBC режиме, даже не AES.
Что касается того, поддерживается ли AES в GCM режиме или нет, в Windows 10 мне пока найти не удалось, есть таблица для более старых версий: https://technet.microsoft.com/en-us/library/dd125380(v=ws.10).aspx
И в ней указано, что Windows 7 поддерживает AES в режиме GCM, но, только при использовании IKE в Quick режиме. Изменилось ли, что-то для Windows 10 в этом направлении, сказать сложно.
| | |
|
| 3.91, Андрей (??), 22:02, 04/09/2017 [^] [^^] [^^^] [ответить]
| –1 +/– | |
> CBC считается небезопасным, поэтому нет смысла делать что-либо кроме GCM.
Но стоит волею случая использовать тот же IV с одним KEY для шифрования, и GCM мгновенно взламывается.
| | |
|
| 2.112, h31 (ok), 01:41, 05/09/2017 [^] [^^] [^^^] [ответить]
| +1 +/– |
AES-GCM работает заметно быстрее на современных процессорах. Имеет встроенный MAC, что опять же снижает нагрузку и упрощает процесс. Параллелится, как уже выше говорили. При его реализации меньше мест, где можно накосячить и ловить потом уязвимости.
CBC сейчас используется только как legacy.
| | |
| |
| 3.113, забыл пароль (?), 01:55, 05/09/2017 [^] [^^] [^^^] [ответить]
| +/– |
Спасибо за пояснения! Не просветите ещё насчет CTR? Он как к остальным относится и как и когда используется?
| | |
| |
| 4.146, Stax (ok), 14:24, 05/09/2017 [^] [^^] [^^^] [ответить]
| +1 +/– |
> Спасибо за пояснения! Не просветите ещё насчет CTR? Он как к остальным
> относится и как и когда используется?
Не совсем относится, это потоковый, а не блочный режим шифрования. Там нет никакой аутентификации, нужно прикручивать внешнюю. Голый поток CTR некий MiTM может изменить таким образом, чтобы после расшифровки мы получили другие данные и ничего не заметили - при этом MiTM'у совершенно даже не нужно знать, что там было исходно зашифровано. Также появляется уязвимость, если атакующий добудет исходные данные до шифрования и шифрованный поток.
CCM и GCM используют в своей основе CTR, добавляя аутентификацию (если совсем грубо упрощать).
| | |
|
|
|
| 1.97, Аноним (-), 23:29, 04/09/2017 [ответить] [﹢﹢﹢] [ · · · ]
| –2 +/– |
Где улучшения для Ext2? Ибо мне нафиг не упало бесполезное журналирование, которое только и умеет, что дрюкать диск. А по сути, не наблюдаю никакого развития, с ядра 2.6*, один лишь продакшен для Красной Шляпы.
| | |
| |
| 2.129, пох (?), 09:50, 05/09/2017 [^] [^^] [^^^] [ответить]
| +1 +/– | |
> Где улучшения для Ext2?
в гугле
> Ибо мне нафиг не упало бесполезное журналирование, которое
mkfs.ext4 -O '^has_journal' ниасилил? Тогда, к сожалению, тебе противопоказано использовать что-то немейнстримное - чтобы писать против ветра, штаны расстегивать уметь надо заранее, причем это не гарантирует от мокрых штанов, это pre-requirement.
> только и умеет, что дрюкать диск. А по сути, не наблюдаю
> никакого развития, с ядра 2.6*, один лишь продакшен для Красной Шляпы.
его и не будет.
У ext2 сегодня только одно преимущество - несколько большая компактность кода. Для неумеющих пользоваться mkfs пользы от него никакой, они просpут гигабайты там, где сэкономят килобайт, потому что еще много чем пользоваться не умеют.
| | |
| 2.179, Аноним (-), 22:18, 05/09/2017 [^] [^^] [^^^] [ответить]
| +2 +/– | |
> Где улучшения для Ext2? Ибо мне нафиг не упало бесполезное журналирование,
Бесполезное? Блаародного сэра не напрягает время fsck на диске пару терабайт? Вместо нескольких секунд реплея журнала при монтировании?
| | |
|
| 1.100, Аноним (-), 00:11, 05/09/2017 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Зачем такие ядра что ломают поддержку старых дров? Почему я не могу использовать линукс с видеокартой амд R9 270? Зачем ломать поддержку ABI, что они выиграли? Они только потеряли пользователей.
| | |
| |
| 2.103, fidaj (ok), 00:43, 05/09/2017 [^] [^^] [^^^] [ответить]
| +2 +/– |
 кто-то потерял пользователей - а кто-то поимел бабло за новокупленное железо быстрее старого аж на 1,3421453544367% !
| | |
| 2.118, Аноним (-), 05:42, 05/09/2017 [^] [^^] [^^^] [ответить]
| +/– | |
> Почему я не могу использовать линукс с видеокартой амд R9 270?
Можете
| | |
| 2.178, Аноним (-), 22:14, 05/09/2017 [^] [^^] [^^^] [ответить]
| +/– | |
> Почему я не могу использовать линукс с видеокартой амд R9 270?
Это кто сказал такое? Под нее в ядре линукса аж целых ДВА драйвера. Так получилось. Amdgpu, который пока в экспериментальном режиме (с ним даже -PRO заработает) и обычный radeion.
> Зачем ломать поддержку ABI, что они выиграли?
Вы что, сами писали проприетарный драйвер GPU, что вас ABI интересует? И как, получилось обставить AMD в деле написания драйверов?
| | |
|
| 1.102, Аноним (-), 00:14, 05/09/2017 [ответить] [﹢﹢﹢] [ · · · ]
| –5 +/– |
Вся эта глупорылая борьба с проприетарщиной - дикое безумие! Бинарные блобы это такой неотъемлемый элемент аппаратуры как и её составные части вроде микросхем и конденсаторов.
| | |
| |
| 2.105, saahriktu (ok), 00:46, 05/09/2017 [^] [^^] [^^^] [ответить]
| +1 +/– | |
Никто не заставляет обновляться. Выбирая проприетарщину юзер соглашается с теми ограничениями, которые вводят её разработчики. А они просто не желают бегать и выпускать блобы под каждую новую версию. Поэтому эти блобы если и являются частью чьей-то системы, то только в рамках тех версий, для которых их выпустили проприетарщики. При этом рано или поздно они всё равно выкинут поддержку конкретного оборудования. Даже если оно ещё живо у юзеров.
Но, не всем нужны блобы.
| | |
| 2.106, Влад (??), 00:46, 05/09/2017 [^] [^^] [^^^] [ответить]
| +3 +/– |
> Вся эта глупорылая борьба с проприетарщиной - дикое безумие! Бинарные блобы это
> такой неотъемлемый элемент аппаратуры как и её составные части вроде микросхем
> и конденсаторов.
С чего это вдруг?
| | |
| 2.176, Аноним (-), 22:05, 05/09/2017 [^] [^^] [^^^] [ответить]
| +/– | |
> такой неотъемлемый элемент аппаратуры как и её составные части вроде микросхем и конденсаторов.
Вот кстати микросхемы опенсорсные как раз появляются. Хорошо.
| | |
|
| 1.120, Аноним (-), 07:24, 05/09/2017 [ответить] [﹢﹢﹢] [ · · · ]
| –1 +/– | |
> Без данной опции действует лимит на 10 млн файлов в одной директории, а при указании опции "largedir" лимит увеличивается до 2 миллиардов файлов
Как их потом удалить одной командой из баша без скриптования
| | |
| |
| |
| 3.128, пох (?), 09:33, 05/09/2017 [^] [^^] [^^^] [ответить]
| +/– | |
>> find папка -name "*" -exec rm {} \;
мда, я всегда подозревал альтернативную одаренность понийопов... exec... ага, в каталоге с 10000 записей.
find -type f -print0 | xargs -0 rm
(и вон из профессии, если a) не видите разницы b) это не первое, о чем вы подумали)
| | |
| |
| 4.131, iPony (?), 10:29, 05/09/2017 [^] [^^] [^^^] [ответить]
| –4 +/– | |
> мда, я всегда подозревал альтернативную одаренность понийопов... exec... ага, в каталоге с 10000 записей.
Да, ты даже на самом слабом ПК моргнуть не сможешь.
PS: а про профессию - сам иди куда хочешь, а я не сисадмин
| | |
| 4.136, iPony (?), 11:29, 05/09/2017 [^] [^^] [^^^] [ответить]
| –2 +/– |
И да. Лимит в xargs по аргументам в 2МБ - мы тупо в него упремся при 10 млн файлов
| | |
| |
| 5.137, Andrey Mitrofanov (?), 11:53, 05/09/2017 [^] [^^] [^^^] [ответить]
| +1 +/– |
> И да. Лимит в xargs по аргументам в 2МБ - мы тупо
> в него упремся при 10 млн файлов
# find / -delete
тебе в помощь.
| | |
| |
| |
| 7.148, Аноним (-), 15:31, 05/09/2017 [^] [^^] [^^^] [ответить]
| +/– | |
> Оно по моему же только в GNU-том есть.
C чего бы это?
> Author: peter <peter@FreeBSD.org>
> Date: Fri Oct 4 12:54:07 1996 +0000
> Implement a -delete option to find. The code is extremely paranoid and
> goes to a fair degree of trouble to enable something like this to
> be safe: cd /tmp && find . -mtime +7 -delete | | |
|
|
| 5.140, пох (?), 12:47, 05/09/2017 [^] [^^] [^^^] [ответить]
| +/– | |
> И да. Лимит в xargs по аргументам в 2МБ
у xargs нет никаких лимитов по аргументам (точнее, они у нее не имеют ни малейшего отношения к описанному применению - аргумент там один, из двух байт - rm)
она вызовет этот rm столько раз, сколько понадобится, чтобы уместиться в системные лимиты на exec.
| | |
|
| |
| 5.194, пох (?), 13:59, 06/09/2017 [^] [^^] [^^^] [ответить]
| +/– |
мои клавиатурные привычки - много старше -delete
(и универсальнее, ибо не всегда надо именно rm)
-0, правда, тоже недавнее изобретение, раньше приходилось еще и tr вставлять в цепочку.
| | |
| 5.207, pavlinux (ok), 03:54, 09/09/2017 [^] [^^] [^^^] [ответить]
| +1 +/– | |
find -type f -print0 | xargs -0 unlink
---
А ваще, руxками потереть иноду каталога и пошли всё нафег :)
| | |
|
|
| 3.177, Аноним (-), 22:08, 05/09/2017 [^] [^^] [^^^] [ответить]
| +1 +/– | |
>> find папка -name "*" -exec rm {} \;
А ты представляешь себе что будет при 10 000 000 файлов? Можешь создать и посмтреть как твоя конструкция отработает. Ты наверное удивишься увиденному.
| | |
| 3.141, пох (?), 12:50, 05/09/2017 [^] [^^] [^^^] [ответить]
| +2 +/– | |
> ionice -c 3 rm -rf /* &
не работает же - задает глупые вопросы в новых-модных системах?
И зачем, кстати, ionice? Там тормоза не от io. (то есть не от того io которым управляет ionice)
| | |
| |
| 4.144, anonimus (?), 14:07, 05/09/2017 [^] [^^] [^^^] [ответить]
| –2 +/– |
О, знаю. Shell вместо звёздочки влепит километровый список файлов и будет больно
| | |
| |
| 5.153, пох (?), 17:50, 05/09/2017 [^] [^^] [^^^] [ответить]
| +2 +/– | |
> О, знаю. Shell вместо звёздочки влепит километровый список файлов и будет больно
почему километровый ? Или ты стамиллионами файлов в / нагадил? А чо, изобретательно ;-)
echo /* | wc
1 21 136
| | |
|
|
|
|
| 1.198, Аноним (-), 16:49, 06/09/2017 [ответить] [﹢﹢﹢] [ · · · ]
| –2 +/– |
Теперь драйвер gpu для vbox интегрирован в ядро, что в теории избавит от установки guest addition и позволит использовать полноценное 3д ускорение гостевой ос, правда не 17.10 разницу не увидел
| | |
| 1.202, док (?), 14:36, 07/09/2017 [ответить] [﹢﹢﹢] [ · · · ]
| –2 +/– |
 Обеспечено использование по умолчанию протокола SMB 3 (Server Message Block) при обращении к файлам на серверах Samba и Windows при помощи CIFS
-- что это значит вообще?)
| | |
| |
| 2.203, Andrey Mitrofanov (?), 16:46, 07/09/2017 [^] [^^] [^^^] [ответить]
| +1 +/– |
> Обеспечено использование по умолчанию протокола SMB 3 (Server Message Block) при обращении
> к файлам на серверах Samba и Windows при помощи CIFS
> -- что это значит вообще?)
"Технологии Майкрософт." ==Не заморачивайтесь.
| | |
|
| 1.221, Аноним (-), 08:31, 13/09/2017 [ответить] [﹢﹢﹢] [ · · · ]
| –1 +/– |
Не перестаю удивляться эпичности фантазии придумавшего включать поддержку всех устройств прямо в ядро... По-моему это как каждого, желающего сдать на права заставлять тут же сдавать сразу на все категории, плюс на пилотирование вертолётов и подводных лодок и обязывать регулярно для продления прав выходить в финалы ЧМ по разным видам спорта.
| | |
| |
| 2.231, Феномен (?), 01:33, 06/12/2017 [^] [^^] [^^^] [ответить]
| +/– |
Это хорошие и добрые фантазии, благодаря которым мы можем вытащить HDD с пингвином из компьютера и не заморачиваясь подключить его к микроволновке, кофеварке, стиральной машине и т.п.
| | |
|
|
