|
2.21, Дон Ягон (ok), 03:44, 25/02/2020 [^] [^^] [^^^] [ответить]
| +1 +/– |
> понятно. обратно на postfix.
При всём уважении к разработчикам OpenSMTPD, если бы у меня в продакшене уже был бы postfix, я не стал бы просто так, без наличия каких-то очень сильных причин (которые я сходу придумать не могу) менять его на OpenSMTPD.
Зачем, если не секрет, вообще было уходить с postfix на OpenSMTPD?
| |
|
3.34, zurapa (ok), 09:08, 25/02/2020 [^] [^^] [^^^] [ответить] | +2 +/– | За тем, что конфигурация OpenSMTPD на порядке проще и удобней в общем ключе конф... большой текст свёрнут, показать | |
|
4.44, лютый жабби (?), 09:57, 25/02/2020 [^] [^^] [^^^] [ответить]
| +5 +/– |
"конфигурация OpenSMTPD на порядке проще и удобней"
"вы не эстет,"
Отправить бы тебя, эстета, sendmail настраивать ))) постфикс ему сложный. Ну и времена настали...
| |
|
5.47, пох. (?), 10:11, 25/02/2020 [^] [^^] [^^^] [ответить]
| +1 +/– |
> Отправить бы тебя, эстета, sendmail настраивать
настройка sendmail (если его вообще надо зачем-то "настраивать" на васян-хосте) обычно заключается в правке файла из пяти строк не считая комментариев. Но обычно с этим справляется установщик. Если это для вас сложно - вам лучше докер в докере в докере поднимать, а ни в какие bsd не лазить.
И да, в так настроенном сендмэйле не будет open relay, в отличие от васян-настроенных поцфиксов, так и поставляемых по сей день с тщательно замаскированной миной.
Сегодня в очередной раз спам пришел с такого.
| |
|
6.54, evkogan (?), 10:36, 25/02/2020 [^] [^^] [^^^] [ответить]
| +3 +/– |
Если все что Вам надо в sendmaill - это настроить отправку писем от локальных сервисов на подконтрольный Вам почтовый сервер, причем без любых проверок на стороне сервера, то Вам достаточно поправить всего 1 строчку.
Но Вот если использовать sendmaill как почтовый релай на шлюзе, я на Вас посмотрю с простотой конфигурации.
Не надо сравнивать теплое и твердое.
Сделать openrelay из postfix можно, но это можно сделать с абсолютно любым почтовым сервером.
Мне в свое время очень понравился постфикс сочетанием безопасности, работе под нагрузкой и гибкости (безопасность не потому что нельзя сломать все в конфиге, а для умеющих админить).
| |
|
7.59, привет (ok), 10:46, 25/02/2020 [^] [^^] [^^^] [ответить]
| –1 +/– |
а что там сложного? мейлертейбл раскоментировать/добавить,
отредактировать там релеи-домены.
ну и пару строк с простейшими проверками раскоментировать...
сейчас крайне редко надо лезть уже в cf, нет необхадимости
а опен-релай из постфикса, вроде, из коробки распространялся
пофиксили уже?
| |
|
8.71, пох. (?), 12:18, 25/02/2020 [^] [^^] [^^^] [ответить] | +/– | в тех версиях, что идут в актуальных дистрибутивах у меня, понятно, ни малейшег... текст свёрнут, показать | |
8.77, Аноним (77), 12:46, 25/02/2020 [^] [^^] [^^^] [ответить] | +1 +/– | Не порите чушь,ей больно В постфиксе опенрелей никогда не был разрешен по умолч... текст свёрнут, показать | |
8.130, 2Lazy (?), 17:47, 25/02/2020 [^] [^^] [^^^] [ответить] | +/– | Кстати сказать, в моем sendmail mc для почтового шлюза на несколько доменов осмы... текст свёрнут, показать | |
|
9.140, пох. (?), 20:30, 25/02/2020 [^] [^^] [^^^] [ответить] | +/– | чорт, у меня 99 - И это не считая того, что в LOCAL_RULESETS только какой-то с... текст свёрнут, показать | |
|
|
7.75, пох. (?), 12:34, 25/02/2020 [^] [^^] [^^^] [ответить] | +/– | тоже ничего особенного - использую Перенести весь трэш, накопившийся там за три... большой текст свёрнут, показать | |
|
8.84, Аноним (84), 13:04, 25/02/2020 [^] [^^] [^^^] [ответить] | +1 +/– | Ты postfix изучил по комментам здешних гуру Или openrelay для тебя просто мод... текст свёрнут, показать | |
|
9.93, пох. (?), 13:27, 25/02/2020 [^] [^^] [^^^] [ответить] | –2 +/– | перепись местных дурачков 18 лет работает , про дыру - не в курсе А можете сп... текст свёрнут, показать | |
|
|
11.120, пох. (?), 15:57, 25/02/2020 [^] [^^] [^^^] [ответить] | +/– | а, блин, беру свои слова назад - установленный на не воткнутый в сеть хост поцфи... текст свёрнут, показать | |
|
|
13.134, пох. (?), 18:33, 25/02/2020 [^] [^^] [^^^] [ответить] | +/– | да, да, васян зуб дает - он во всех дистрибах лично проверил, тыщах их По _дефо... текст свёрнут, показать | |
|
|
|
|
|
|
9.135, пох. (?), 18:52, 25/02/2020 [^] [^^] [^^^] [ответить] | +/– | из какой еще коробки С конфигами, настроенными за тебя Да, не опен Ну так э... большой текст свёрнут, показать | |
|
|
|
6.66, anonymous (??), 11:33, 25/02/2020 [^] [^^] [^^^] [ответить]
| +/– |
Когда последний раз работал с sendmail, конфиг там был вовсе не 5 строчек. А там было куча m4-файлов из которых генерировался весьма себе нехилый конфиг.
| |
|
7.74, пох. (?), 12:23, 25/02/2020 [^] [^^] [^^^] [ответить]
| +/– |
там еще "куча" си файлов - их ты тоже каждый раз лезешь ковырять?
(И что характерно - там предусмотрен удобный механизм для этого, для тех кто понимает, что делает)
Твой конфиг - _один_ файл, sendmail.mc - и в нем именно пять строк (в лучшем случае).
| |
|
|
5.88, zurapa (ok), 13:13, 25/02/2020 [^] [^^] [^^^] [ответить]
| +/– |
> "конфигурация OpenSMTPD на порядке проще и удобней"
> "вы не эстет,"
> Отправить бы тебя, эстета, sendmail настраивать ))) постфикс ему сложный. Ну и
> времена настали...
А вот это уже извращением попахивает. За что вы так со мной?
А вообще да, надо было остановиться ещё на перфокартах, а то понаделали тут технлогий - устанешь изучать.
| |
5.129, 2Lazy (?), 17:37, 25/02/2020 [^] [^^] [^^^] [ответить]
| +/– |
Кстати сказать, я всю дорогу живу на сендмейле и даже худо-бедно могу разобраться в правилах не только m4, но и основного языка конфигурации - а вот осилить конфиги postfix у меня тяму так и не хватило...
| |
|
6.136, пох. (?), 18:56, 25/02/2020 [^] [^^] [^^^] [ответить]
| +/– |
> Кстати сказать, я всю дорогу живу на сендмейле и даже худо-бедно могу
> разобраться в правилах не только m4, но и основного языка конфигурации
Ну, ты же, наверное, ради этого - op.me когда-то прочитал? Современному админу - не потянуть, да и времени столько у него нет. В принципе, ему и незачем - мир стал сильно проще за последние 25 лет, такой сложной многостадийной обработки уже давно не надо.
> - а вот осилить конфиги postfix у меня тяму так и
> не хватило...
так их не надо осиливать - за это горе-админы его и любят.
Каждый параметр в доках ищется раздельно - по мере надобности, если она вообще возникает. Обычно - не возникает. А когда у тебя хитрый релей с миллионами проверок и специальных случаев - ты ставишь exim ;-)
| |
|
|
|
5.86, zurapa (ok), 13:11, 25/02/2020 [^] [^^] [^^^] [ответить]
| +/– |
Благодарю. Вы мне льстите. Я не столь молод. Хотя, если брать возваст в этой индустрии, то я совсем дитя ещё. Не судите строго, дяденька.
| |
|
4.154, Аноним (154), 11:47, 26/02/2020 [^] [^^] [^^^] [ответить]
| +/– |
> В то время, как в Postfix, это дичайшая куча файлов конфигурации и вариаций
вообще то всего два - main.cf и master.cf
> А OpenSMTPD имеет команды позволяющие сразу смотреть очередь
postqueue не осилил?
> В Postfix авторизация, это вообще костыль со стороны прикручиваемый отдельно
и правильно, зачем ее пихать в smtp сервер?
| |
|
5.161, zurapa (ok), 05:36, 27/02/2020 [^] [^^] [^^^] [ответить]
| +/– |
Я тут много оправданий придумал. Но в общем ты прав. Ты меня уиграл!
| |
|
|
|
|
1.2, Аноним (2), 23:54, 24/02/2020 [ответить] [﹢﹢﹢] [ · · · ]
| –1 +/– |
> уязвимость в почтовом сервере OpenSMTPD, развиваемом проектом OpenBSD
> Уязвимость в гипервизоре VMM, развиваемом OpenBSD
S in BSD stands for Security.
| |
1.3, Аноним (3), 00:00, 25/02/2020 [ответить] [﹢﹢﹢] [ · · · ]
| +8 +/– |
При таком качестве кода OpenBSD, боюсь, что Qualys доберётся до аудита OpenSSH и бежать станет некуда.
| |
|
2.7, fske (?), 00:20, 25/02/2020 [^] [^^] [^^^] [ответить]
| +1 +/– |
Ну а ты представь, на минуту, что твоя теория верна про качество openssh. А еще представь, что вход(ы) с задней стороны уже давно найдены (не)хорошими людями. Стоит бежать или ну ее нах.. эту экстраполяцию?
| |
|
3.10, Аноним (-), 00:27, 25/02/2020 [^] [^^] [^^^] [ответить]
| +5 +/– |
> с задней стороны уже давно найдены (не)хорошими людями
Ну так Сноуден же где-то в своих интервью говорил, что у них там в АНБ специальный отдел занимается поиском багов в разных ОС и копит себе материал (типа эксплойты, 0-day и тп). Если OpenBSD такое рeшeтo, то поди у них много чего накопилось на неуловимых джо.
| |
|
4.76, пох. (?), 12:39, 25/02/2020 [^] [^^] [^^^] [ответить]
| –2 +/– |
если бы он был только у них - я бы и спал спокойно, но, подозреваю, такой "специальный отдел" у любого васяна, пока вуз не закончил, пама с мамой кормят, и кроме сессии других занятий нет.
И кто-то уже вполне мог отложить себе найденную 0day на будущее.
| |
|
3.52, пох. (?), 10:22, 25/02/2020 [^] [^^] [^^^] [ответить] | +1 +/– | к сожалению, можно не представлять - его теория абсолютно верна, качество кода ... большой текст свёрнут, показать | |
|
4.100, крок (?), 13:32, 25/02/2020 [^] [^^] [^^^] [ответить]
| +/– |
Вот только нинада тут про божественный код от создателя ссш!
Я и оригинал смотрел на момент выхода в опенсорц, там косяков хватает, которые до сих пор в том же кейгене не вычистили.
| |
|
|
|
3.15, Аноним (-), 01:41, 25/02/2020 [^] [^^] [^^^] [ответить]
| +/– |
Ну если посмотреть на код виртуализатора, там как-то "не очень": в коротком куске кода аж три бага подряд, если не четыре, при том они позволяют виртуалке устраивать адские лулзы, пролезая через изоляцию от хоста, да еще аж в ядро.
| |
|
|
1.4, pin (??), 00:16, 25/02/2020 [ответить] [﹢﹢﹢] [ · · · ]
| –1 +/– |
У меня были мысли использовать опенок в микроисталяциях по принципу "только система, поставил и забыл". Но блин, нельзя же так.
| |
|
2.26, б.б. (?), 08:24, 25/02/2020 [^] [^^] [^^^] [ответить]
| –1 +/– |
не бывает надёжных систем, бывают плохо проаудиченные :)
| |
2.35, zurapa (ok), 09:20, 25/02/2020 [^] [^^] [^^^] [ответить] | –1 +/– | Ну и зря Весьма хорошо конфигурируется PXE boot настраивается очень просто и м... большой текст свёрнут, показать | |
|
3.36, б.б. (?), 09:27, 25/02/2020 [^] [^^] [^^^] [ответить]
| +/– |
> Ну и зря. Весьма хорошо конфигурируется. PXE boot настраивается очень просто и можно сделать так, что у вас голая виртуальная машина пудет по PXE грузить инсталлятор,
кстати, вопрос. как запустить OpenBSD pxeboot в EFI?
| |
3.40, pin (??), 09:44, 25/02/2020 [^] [^^] [^^^] [ответить]
| +/– |
Так с qemu все понятно. Не стоит же вопрос по безопасности: openbsd vs qemu. Просто информационное поле зашумлено такими вещами как: openbsd, безопасность, аудит, никакого спагетти-кода, академичность и все такое. За это как бы прощается техническое отставания от мейнстрима. А выходит так, что это всё бла-бла и реальность иная.
| |
|
4.55, zurapa (ok), 10:36, 25/02/2020 [^] [^^] [^^^] [ответить]
| +/– |
Да, всё верно. Бла-бла-бла... Проотвечались. В мусорку. (сарказм)
| |
|
|
6.82, zurapa (ok), 12:58, 25/02/2020 [^] [^^] [^^^] [ответить]
| +/– |
Нет же! Не обиделся. Просто цепляясь к фразе безопасный и с нахождением дырки в каком то из компонентов, выводы вполне логичны ваши. Можно много оправданий найти. Но за слова нужно отвечать.
| |
|
|
4.95, zurapa (ok), 13:28, 25/02/2020 [^] [^^] [^^^] [ответить] | +/– | Тут как бы вот ещё какая мысль возникла qemu тоже ставится с OpenBSD можно тоже... большой текст свёрнут, показать | |
|
5.113, pin (??), 14:40, 25/02/2020 [^] [^^] [^^^] [ответить]
| +/– |
Давай про апликейшен. Хотя можно и про сеть, сетевые фичи ядра обоих систем сравнить. И так, приложения. Что есть в openbsd, чего нет в linux? Web? Почта (хотя с почтой прокололись, и не раз)? Все поднимаемо на линуксах. Хрен с ним с интерпрайзом. Опустимся с небес на землю. В чем надо себя убедить, что бы поставить openbsd вмето linux, хотя бы на 5-10 серверов для среднего интернет магазина (ну там, телефония, почта, веб, devel, cd/ci и т.п). А потом через полгода не смочь запилить задачу по поднятию какой-нить жаба-хрени именно на oracle jre.
Если коротко - все, что поднимается на openbsd, так же поднимается на linux. А вот наоборот - нет.
Киллер-фича безопасность? Ну вот уже нет. А в свете grsec,selinux тем более.
| |
|
6.122, zurapa (ok), 16:17, 25/02/2020 [^] [^^] [^^^] [ответить] | +/– | Так с этим и не поспоришь Всё верно сказал Но телефонию, почту, веб можно легк... большой текст свёрнут, показать | |
6.123, zurapa (ok), 16:38, 25/02/2020 [^] [^^] [^^^] [ответить] | +1 +/– | Вот на это отдельно по вопросу отвечу Убеждение само приходит, даже не нужно ст... большой текст свёрнут, показать | |
|
7.127, pin (??), 17:11, 25/02/2020 [^] [^^] [^^^] [ответить]
| +/– |
Не убедительно. Сопровождая xBSD, тоже надо и с дебагером сидеть и в багзиле.
> выскакивает и на тебе! SystemD по самые гланды!
Опять эмоции. Если в релизе небыло systemd, то его не будет до EOL. Не?
> Только опять же с вашим подходом, вы столкнётесь с ситуацией, когда конкретно ваш linux дистрибутив, будет не хорош, для решения вашей задачи, и вы возьмёте другой linux,
Вероятность, что ваш xBSD будет не хорош для решения ващей задачи и вы возьмёте linux, близка к единице. Привет.
| |
|
8.128, pin (??), 17:18, 25/02/2020 [^] [^^] [^^^] [ответить] | +1 +/– | Я вообще к чему Я к тому, что мое желание ипользовать openbsd куда-то пропало, ... текст свёрнут, показать | |
|
9.149, ssh (ok), 01:25, 26/02/2020 [^] [^^] [^^^] [ответить] | +/– | TTL релиза декларирован, никто не обещал какой-либо особенной поддержки после ... текст свёрнут, показать | |
|
10.155, pin (??), 12:11, 26/02/2020 [^] [^^] [^^^] [ответить] | +1 +/– | Суть в том, что я был готов забить на TTL с пониманием того, что openbsd не проб... текст свёрнут, показать | |
|
11.158, ssh (ok), 16:42, 26/02/2020 [^] [^^] [^^^] [ответить] | +/– | Я из таких решений только MS DOS 3 х видел, без какого-либо коннективити вовсе ... текст свёрнут, показать | |
|
12.159, pin (??), 20:38, 26/02/2020 [^] [^^] [^^^] [ответить] | +/– | ЕМНИП видел под ДОС tcp стек И кстати, какие-то кассы ну там, чеки пробивать ... текст свёрнут, показать | |
|
|
|
|
|
|
|
|
|
3.65, Аноним (65), 11:14, 25/02/2020 [^] [^^] [^^^] [ответить]
| +/– |
Ставиться по PXE с нужной конфигурацией умеет любой приличный линукс.
| |
3.85, Аноним (-), 13:10, 25/02/2020 [^] [^^] [^^^] [ответить]
| +1 +/– |
> гениальных решений в разрез с сообществом, решили подзасрать репутацию OpenBSD.
Ну вообще, козырять секурити а потом обнаружить что баг отрепорченый 5 лет назад не починен портит репутацию независимо от того решил кто-то ее подзасрать или нет. Гамнокод с примерно 4 багами в мизерном фрагменте, позволяющий юзерской виртуалке патчить нахрапом аж сразу кернельную память, кстати, тоже.
| |
|
4.97, юникснуб (?), 13:29, 25/02/2020 [^] [^^] [^^^] [ответить]
| –1 +/– |
не "отрепорченный" (хоть бы никто из НИИ им. Виноградова сюда никто не заходил, удар же хватить может от такого издевательства над языком) пять лет назад, а появившийся. Зачем врать-то на ровном месте? Чтобы вам потом меньше верили? Хитрый ход.
| |
4.147, ssh (ok), 01:16, 26/02/2020 [^] [^^] [^^^] [ответить]
| +/– |
> Гамнокод с примерно 4 багами в мизерном фрагменте,
Экраном выше было 3, а в соседней теме 2, или примерно у вас это между 0 и 1000?. :D
| |
|
5.156, Аноним (-), 12:56, 26/02/2020 [^] [^^] [^^^] [ответить]
| +/– |
> Экраном выше было 3, а в соседней теме 2, или примерно у
> вас это между 0 и 1000?. :D
Maxime в оригинале видит от 3 до 4 проблем в том коде. Так что 2 - это кто-то поскромничал.
| |
|
|
3.148, Ананимас008 (?), 01:16, 26/02/2020 [^] [^^] [^^^] [ответить]
| +/– |
>Судя по всему ноги у виртуализации на BSD
Что не так с bhyve?
Недавно погонял и был впечатлен, думал пилиться еще лет 10 будет, а тут уже для моих целей все готово и можно забыть про виртаулбокс.
| |
|
|
1.5, pin (??), 00:18, 25/02/2020 [ответить] [﹢﹢﹢] [ · · · ]
| +7 +/– |
> Проблема является следствием неполного устранения проблем, озвученных в процессе аудита, проведённого Qualys в 2015 году.
ППЦ.
| |
|
|
3.103, пох. (?), 13:36, 25/02/2020 [^] [^^] [^^^] [ответить]
| –1 +/– |
> Всю ночь гребли, а лодку отвязать забыли...
да тут пять лет гребут, не приходя в сознание, похоже - а лодка вообще на берегу лежит, да и то кверху дном.
| |
|
|
|
2.11, Ivan_83 (ok), 00:46, 25/02/2020 [^] [^^] [^^^] [ответить]
| +/– |
Не нужно проверять длину строки, потому что это подразумевает strlen() над данными полученными извне, что легко даст результаты ещё хуже.
В данном случае нужно оперировать буферами, и размерами как буферов так и использованной в них части, потому что информация по наполнению буферов возращается теми же recv()/read() и ей можно доверять.
| |
|
|
4.19, leap42 (ok), 03:01, 25/02/2020 [^] [^^] [^^^] [ответить]
| +/– |
не думал что напишу такое, но Аноним дело говорит! а за strlen надо по рукам бить.
| |
4.96, Аноним84701 (ok), 13:29, 25/02/2020 [^] [^^] [^^^] [ответить]
| +/– |
> Как насчёт strnlen?
в котором n = размер буфера/возвращаемое значение recv (что вообще-то, по-моему и подразумевается под "… оперировать буферами, и размерами как …") ?
| |
4.167, Ivan_83 (ok), 17:03, 10/03/2020 [^] [^^] [^^^] [ответить]
| +/– |
Зачем!?
Если что, оно примерно эквивалентно (memchr(buf, 0x00, buf_size) - buf).
Если ты и так знаешь размер буфера и сколько там использовано то к чему это бесполезное действие?
| |
|
3.17, Аноним (-), 01:44, 25/02/2020 [^] [^^] [^^^] [ответить]
| +/– |
> Не нужно проверять длину строки
А что если атакуюший строку в 20 гигабайт накидает? Или такие подарки ловятся в другом месте?
| |
|
4.30, КО (?), 08:43, 25/02/2020 [^] [^^] [^^^] [ответить]
| –2 +/– |
Благодаря наследству, чтобы узнать длину 0-terminated строки, надо сначала ее всю вычитать (в память, например,) и там может быть и 4TB. :)
| |
|
5.91, Аноним (-), 13:19, 25/02/2020 [^] [^^] [^^^] [ответить]
| +/– |
> Благодаря наследству, чтобы узнать длину 0-terminated строки, надо сначала ее всю вычитать
> (в память, например,) и там может быть и 4TB. :)
Ну как бы доверять тому что декларирует ремота мы всяко не можем, наследство там или уж нет. Есть целый отдельный класс багов когда задекларено одно, а прислано другое, и совсем не факт что это лучше, потому что позволяет поприкалываться.
Однако получение данных вообще должно бы в какой-то момент рещить что слишком дофига для всего лишь строки, чтоли.
| |
|
6.142, пох. (?), 21:45, 25/02/2020 [^] [^^] [^^^] [ответить]
| +/– |
> Однако получение данных вообще должно бы в какой-то момент рещить что слишком дофига для всего
> лишь строки, чтоли.
и добавить в конец (пооверрайдив последний байт буфера) \0, что решает проблемы с бестолковым использованием strlen.
Кстати, вспоминая опять же openssh - _одна_ off-by-one error, за все время. _без_ использования strn*, которые могли запросто отсутствовать на половине систем, поддерживавшихся ssh1.
(и чудовищная с remote root в syslog, но это претензия к автору syslog() все же. Никто тогда не ожидал этой подставы, вляпались все, кроме использовавших sprintf с померянным буфером по каким-то вовсе другим соображениям)
| |
|
|
4.48, Аноним (48), 10:11, 25/02/2020 [^] [^^] [^^^] [ответить]
| +1 +/– |
не проблема совсем. вызову read передается дисриптор, указатель на буфер, размер элемента и максимальное кол-во элементов, которые можно поместить в буфер. если дескриптор готов вернуть больше, то read прочитает ровно по размеру буфера. а дальше приложение уже должно само решать - посылать такого толстого клиента нафиг или расширять буфер чтобы прочитать новые данные. и так после каждой операции чтения.
| |
|
5.92, Аноним (-), 13:26, 25/02/2020 [^] [^^] [^^^] [ответить]
| +/– |
> нафиг или расширять буфер чтобы прочитать новые данные. и так после
> каждой операции чтения.
Вот мне и интересно что они сделали. Надуть именно read можно только если програмер совсем уж лох, а вот чего со строками делают в этом плане...
| |
|
4.166, Ivan_83 (ok), 17:01, 10/03/2020 [^] [^^] [^^^] [ответить]
| +/– |
Куда накидает!?
На приёме обычно примерно так (чуть упрощённо):
received = 0;
for (;received < buf_size;) {
rv = recv(skt, (buf + received), (buf_size - received));
received += rv;
}
ну вот больше buf_size у нормальных адекватных людей не примется данных.
А неадекваты конечно могут юзать strlen() и дальше на таких данных.
Я вообще не представляю куда тут strlen() можно пристроить будучи в адеквате.
| |
|
|
2.99, Аноним84701 (ok), 13:32, 25/02/2020 [^] [^^] [^^^] [ответить]
| +/– |
> они что, не проверяют длину строки О_о?
А как тогда делают:
>> спользуемый для определения текста, устанавливается на байт, следующий за символом '\0'
?
Скорее "логическая ошибка" при обработке входных данных.
| |
2.102, Аноним (102), 13:34, 25/02/2020 [^] [^^] [^^^] [ответить]
| +/– |
У них просто хреновый парсер. Делают неявные предположения, не обрабатывают всех возможностей по ходу перебора байт буфера от первого и до терминирующего. Надеются, что входящий набор байтов будет таким, и никаким другим (и какой в тестах накидан). Типичная ошибка ничинающих.
| |
|
3.108, Аноним84701 (ok), 13:58, 25/02/2020 [^] [^^] [^^^] [ответить]
| +/– |
> Надеются, что входящий набор байтов будет таким, и никаким другим (и какой в тестах накидан). Типичная ошибка ничинающих.
*SCNR*
https://www.opennet.dev/opennews/art.shtml?num=45244
> Процесс PID 1 зависает на системном вызове pause() при поступлении в сокет уведомлений systemd сообщения нулевой длины
> Атака сводится к выполнению команды
> NOTIFY_SOCKET=/run/systemd/notify systemd-notify "" | |
|
|
|
2.22, ssh (ok), 04:25, 25/02/2020 [^] [^^] [^^^] [ответить]
| +/– |
> Мда уж.
Ну так себе, ну. Сейчас тред посетит мр. пох. и сообщит, что он же говорил!
А особенно обидно, что и возразить нечего. :D
| |
2.56, Аноним (-), 10:37, 25/02/2020 [^] [^^] [^^^] [ответить]
| +9 +/– |
> Qualys - респект.
Респектовать не только им надо. Ты читал как несколько дней назад профи из NetBSD - Maxime Villard выпорол хворостиной опенбздшников за бестолковый идиотизм?
https://marc.info/?l=openbsd-tech&m=158176939604512&w=2
https://marc.info/?l=openbsd-tech&m=158237030723610&w=2
Вам вообще (юзерам OpenBSD) не зазорно пользоваться такой бестлковой ос, которую, судя по всему, пишут не совсем грамотные программисты? Это ж чистой воды неуловимые джо, которые к тому же не могут с первого раза баги прикрывать или не догоняют техническую суть (как в случае с гипервизором vmm).
Я не хэйтер, но доверия к такой ОС нет никакого, честно говоря. Какая-нибудь центос и то будет защищённее, так как на базе рхела разрабатывается, а там аудиты не пару раз в год, а каждый месяц и целая армия тестеров - кто на зарплате, а кто и по доброте душевной.
| |
|
3.72, Аноним (72), 12:19, 25/02/2020 [^] [^^] [^^^] [ответить]
| +/– |
> Какая-нибудь центос и то будет защищённее, так как на базе рхела разрабатывается, а там аудиты не пару раз в год, а каждый месяц и целая армия тестеров - кто на зарплате, а кто и по доброте душевной.
И в ней на порядок больше находят серьезных проблем уже после релиза.
| |
|
4.90, Аноним (-), 13:18, 25/02/2020 [^] [^^] [^^^] [ответить]
| +1 +/– |
> И в ней на порядок больше находят серьезных проблем уже после релиза.
Не спорю. И они исправляются. Но если всю эту армию и возможности натравить на OpenBSD картина будет ещё более удручающей. Вот и получается, что пользователи OpenBSD живут по принципу неуловимых Джо. Это не самая безопасная ОС, это ОС которую мало изучают. А если и изучают, то фэйспалм на фэйспалме.
| |
|
5.101, юникснуб (?), 13:33, 25/02/2020 [^] [^^] [^^^] [ответить]
| +1 +/– |
> Не спорю. И они исправляются
Ну так и разработчики OpenBSD исправляются. Це факт. Не бачу рiзницы.
> Но если всю эту армию и возможности натравить на OpenBSD картина будет ещё более удручающей.
А это уже догадки.
| |
|
6.109, Аноним (-), 14:20, 25/02/2020 [^] [^^] [^^^] [ответить]
| +2 +/– |
> Ну так и разработчики OpenBSD исправляются
Согласно техническим простыням от Макса из нетки - разработчики OpenBSD не исправляются, а наоборот - деградируют.
> А это уже догадки.
Вот только убогое качество кода и примитивные ошибки в OpenBSD - это уже тенденция. Так что "догадка", как вы говорите, об удручающей _возможной_ картине при увеличении аудиторов, совсем уже и не догадка, а аналитический вывод.
> Не бачу рiзницы
Значит спорить не о чем. Пользуйтесь OpenBSD на здоровье. Ведь это самая безопасная ось. Ку-ка-ре-ку онли ремоут хоулз ин э хэк оф а лоyг тайм Ку-ка-ре-ку.
| |
|
5.116, zurapa (ok), 14:47, 25/02/2020 [^] [^^] [^^^] [ответить] | +4 +/– | Слушай, ты сейчас только по одному инциденту с виртуализацией OpenBSD шной говор... большой текст свёрнут, показать | |
|
|
|
|
1.23, suffix (ok), 07:44, 25/02/2020 [ответить] [﹢﹢﹢] [ · · · ]
| –4 +/– |
Злорадствовать не буду, но опять как и после случая нахождения уязвимости в postfix - хотел бы спросить:
Не стыдно ли тем хейтерам что с пеной у рта кричали "ре*ето"" в адрес exim ?
| |
|
|
3.43, suffix (ok), 09:55, 25/02/2020 [^] [^^] [^^^] [ответить]
| –3 +/– |
> Так "ре*ето" же. Давно не новость.
Не более "ре*ето" чем любые другие МТА.
А хейтят именно exim массово.
| |
|
4.60, evkogan (?), 10:49, 25/02/2020 [^] [^^] [^^^] [ответить]
| +1 +/– |
Exim конечно очень удобен, тем что конфигурабилен, по этому параметру он лучше postfix.
Но с уязвимостями и работой под нагрузкой у него похуже.
Ну чаще и страшнее дырки.
Хотя дырки есть у всех.
А про хейтить, Вы не застали времена sendmail. Вот тогда хейтили и заслужено.
Ну так потому он и почти вымер (ну и конфиг у него был, дай бог больше не видеть).
А при сравнении всего 2 postfix и exim. Нагрузка не всех интересует остается хвалить за удобство конфигурирования и ругать за безопасность.
| |
|
5.61, suffix (ok), 10:55, 25/02/2020 [^] [^^] [^^^] [ответить]
| +/– |
>Вы не застали времена sendmail
1.
Я Ленина видел :) (На PDP-11/70 на фортране зачёт сдавал :) )
2.
Согласен в остальном - всё правильно пишите - просто за exim мне обидно стало - ведь 90+% его хейтящих к профе постмастер и близко отношения не имеют.
| |
|
6.69, pin (??), 12:12, 25/02/2020 [^] [^^] [^^^] [ответить]
| +/– |
Хейтят за то, что фанбои на очердную дырку отвечаю "за-то вexim есть такая уникальная фича...".
| |
|
7.70, suffix (ok), 12:15, 25/02/2020 [^] [^^] [^^^] [ответить]
| +/– |
> Хейтят за то, что фанбои на очердную дырку отвечаю "за-то вexim есть
> такая уникальная фича...".
Ну то фанбои - вменяемые люди накатывают обновление и продожают пользоваться exim-ом дальше.
| |
|
8.79, pin (??), 12:50, 25/02/2020 [^] [^^] [^^^] [ответить] | +/– | Поэтому, если нужно, что бы все же безопасно, то postfix Нет жизни без фич - то... текст свёрнут, показать | |
|
|
6.144, Ю.Т. (?), 23:04, 25/02/2020 [^] [^^] [^^^] [ответить]
| +/– |
>>Вы не застали времена sendmail
> Я Ленина видел :) (На PDP-11/70 на фортране зачёт сдавал :)
Внутривенно?
(IV, хаха)
| |
|
|
4.73, Аноним (72), 12:21, 25/02/2020 [^] [^^] [^^^] [ответить]
| +/– |
> Не более "ре*ето" чем любые другие МТА.
Более. И поверхность атаки менее разграничена.
| |
|
|
2.115, Аноним (3), 14:47, 25/02/2020 [^] [^^] [^^^] [ответить]
| +/– |
Про уязвимость в postfix давайте подробнее, там за всю историю только какие-то несущественные мелочи были. Серьёзных уязвимостей пока не раскрывали.
| |
|
1.24, б.б. (?), 08:23, 25/02/2020 [ответить] [﹢﹢﹢] [ · · · ]
| –2 +/– |
как знал, всегда opensmtpd отключаю :) хотя данную уязвимость у меня и не поэксплуатируешь...
| |
1.25, б.б. (?), 08:24, 25/02/2020 [ответить] [﹢﹢﹢] [ · · · ]
| –1 +/– |
а нельзя сразу всё нааудитить и пачкой выложитЬ, а то каждый день - новости :)
| |
|
2.94, Аноним (-), 13:28, 25/02/2020 [^] [^^] [^^^] [ответить]
| +1 +/– |
> а нельзя сразу всё нааудитить и пачкой выложитЬ, а то каждый день - новости :)
Можно, я разрешаю - аудить! И чтоб завтра всей пачкой выложил.
| |
|
1.27, Ю.Т. (?), 08:29, 25/02/2020 [ответить] [﹢﹢﹢] [ · · · ]
| –1 +/– |
А кстати, наловили ли подобных вещей по пресловутому qmail? Из номера 2 он превратился в шум, но ведь не из-за этого?
| |
|
2.62, evkogan (?), 11:01, 25/02/2020 [^] [^^] [^^^] [ответить] | +1 +/– | qmail никогда не был безопасным Могу обосновать Мне уже скоро 20 лет назад дос... большой текст свёрнут, показать | |
|
3.64, Ю.Т. (?), 11:10, 25/02/2020 [^] [^^] [^^^] [ответить]
| +/– |
> qmail никогда не был безопасным. Могу обосновать. Мне уже скоро 20 лет
...
> А чтобы сделать с этим безобразием хоть что-то реальное на шлюзе, ну
> вообще хоть что-то надо его патчить.
> И вот тут начинается треш. Потому что никто те патчи на безопасность
> уже не проверял и на их сочетание между собой тоже. Нет
Благодарю, но я это знаю, я когда-то работал с qmail, и именно в нелокальной конфигурации.
Не красная ковровая дорожка, но и не шахта и забой )).
Меня интересует -- так поймал кто-нибудь что-нибудь в qmail?
Вот в djbdns вроде бы отловили 1 или 2 проблемы. А в qmail? Так-то в поисках не видно.
| |
|
|
5.125, Ю.Т. (?), 16:40, 25/02/2020 [^] [^^] [^^^] [ответить]
| +/– |
> Там вроде и ловить негде. Да и не ловит никто, не интересно.
А когда был номер 2 после sendmail, то было-таки поинтереснее?
| |
|
|
3.78, пох. (?), 12:49, 25/02/2020 [^] [^^] [^^^] [ответить]
| +/– |
> Он совершенно безопасен в базе, но только по тому что не умеет ничего.
о, смотрите-ка - хоть один это понял.
Автор гордо заявлял что это проблема - не его проблема, как и то, к чему приводит попытка эксплуатации его поделки в реальных условиях - "а это не мои патчи, я за них не отвечаю". Даром что без них она бесполезна абсолютно.
Когда-то у меня именно qmail занимал в логах второе место после поцфиксов по количеству беспроверочно прорелееного спама - потому что ставившие его васяны обламывались о выключенный релеинг, получали по заду за то что сломали всю почту и включали - ну а чо, оно же суперсикьюрна-супирсикьюрна. Голову при этом - не включали, она у них едой занята.
Было его все же поменьше, но в основном потому, что поцфикс везде уже был изкоробки, а qmail еще где-то взять надо, про это догадывался только каждый второй васян.
P.S. а зачем, кстати, было 20 лет страдать-то?
| |
|
4.126, Ю.Т. (?), 16:49, 25/02/2020 [^] [^^] [^^^] [ответить]
| +/– |
> Когда-то у меня именно qmail занимал в логах второе место после поцфиксов
> по количеству беспроверочно прорелееного спама - потому что ставившие его васяны
Ну так его популярность пришлась на годы, когда спам уже был, а толковых антиспамовых систем ещё не было.
| |
|
5.137, пох. (?), 19:07, 25/02/2020 [^] [^^] [^^^] [ответить]
| +/– |
> Ну так его популярность пришлась на годы, когда спам уже был, а
> толковых антиспамовых систем ещё не было.
толковых не было, но релеить 0/0 все же было уже не принято - соответствующий патч к сендмэйлу - 97й, вроде, год (или 96й?), штатные механизмы на его основе - чуть позже.
Популярность среди васянов пришлась на 99-2005 - когда все уже было, но васяны с qmail бодро релеили любой мусор.
Васяны с поцфикс отставали, поскольку его э... особенность не позволяет релеить любой, даже в сочетании с багом (который если и исправили, то сильно позже).
Сейчас они вырвались далеко вперед - qmail и поставить непросто, и "особенность" в свете массхостингов перестала быть невинной, даже без бага, который на массхостингах не проявится.
| |
|
6.143, Ю.Т. (?), 23:01, 25/02/2020 [^] [^^] [^^^] [ответить]
| +/– |
>> Ну так его популярность пришлась на годы, когда спам уже был, а
>> толковых антиспамовых систем ещё не было.
> толковых не было, но релеить 0/0 все же было уже не принято
[...]
> Популярность среди васянов пришлась на 99-2005 - когда все уже было, но
> васяны с qmail бодро релеили любой мусор.
А в чём там было дело? Я даже в 90-х не видел в наших далеко-не-столичных краях систем, релеящих для всех. Только читал о них, однажды, мол, в Америке.
| |
|
|
|
3.83, Тот самый (?), 13:03, 25/02/2020 [^] [^^] [^^^] [ответить]
| –2 +/– |
>qmail никогда не был безопасным. Могу обосновать
Необоснованное и слишком категоричное заявление!
Для qmail действительно требовался один патч - QMAILQUEUE (он всего лишь изменял имя вызываемого файла очереди, например, на qmail-queue.real) Уязвимость добавить таким патчем не реально!
После этого с qmail можно было делать что угодно: smtp авторизация, антивирусная проверка, проверка наличия получателя через LDAP/AD, greylist, etc. И это все в то время, когда postfix еще не планировался, а exim был еще Smail-3
| |
|
2.157, Аноним (-), 13:02, 26/02/2020 [^] [^^] [^^^] [ответить]
| –1 +/– |
> А кстати, наловили ли подобных вещей по пресловутому qmail? Из номера 2
DJB таки дотошный типок, найти в его коде баг - редкость.
> он превратился в шум, но ведь не из-за этого?
Абсолютно. DJB просто подзабил на развитие своих проектов, не став обмазывать их новомодными гов^W фичами. Это сделало его проекты достаточно маргинальными.
К сожалению, это весьма фундаментальный tradeoff софтостроения: если вы хотите стабильный и предсказуемый софт без багов (в том числе и багов приводящих к проблемам безопасности) - софт должен быть как можно более простым.
| |
|
3.163, xm (ok), 14:32, 27/02/2020 [^] [^^] [^^^] [ответить]
| +/– |
> софт должен быть как можно более простым
Ну вот пример из топика в частности, и OpenBSD в целом ярко, иллюстрирует, тот факт, что безопасность через ограниченность функций тоже не работает.
| |
|
|
1.33, Нанобот (ok), 09:02, 25/02/2020 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Opensmtpd? Это который используется на 0.05% серверов? Да это же Тот Самый Неуловимый Джо!
| |
1.37, ryoken (ok), 09:37, 25/02/2020 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Хмм, хмм... Кто-то капитально взялся за опёнка? Если судить по последним местным известиям :). Кстати, а как оно на PowerMac-е живёт? :D
| |
|
|
3.57, Аноним (-), 10:44, 25/02/2020 [^] [^^] [^^^] [ответить]
| +5 +/– |
> это аудит. он достаточно часто проходит.
Я бы так не сказал, ибо тут есть небольшая тонкость. Тут никогда не было _ПОСТОЯННЫХ_ аудитов. Всё происходит довольно _эпизодически_. Просто Qualys в последнее относительно недавнее время занялось этим вопросом более плотно. Так или иначе это плюс, так как реальное положение дел далеко от совершенства и в глазах публики OpenBSD уже не асоциируется с самой безопасной ОС. Безопасность в этой ОС, скажем так, самая обыкновенная, типовая и ошибки довольно типичны.
Постоянный аудит - это вам к операционным системам типа RHEL, где сидит целая армия на зарплате + тестеры, кто по доброте душевней сам этим занимается.
| |
|
|
1.42, DerRoteBaron (ok), 09:52, 25/02/2020 [ответить] [﹢﹢﹢] [ · · · ]
| –2 +/– |
Странно, что ни одного переписывателя на раст/го/питон. Как раз от этой ошибки безопасный язык бы защитил.
| |
|
2.49, б.б. (?), 10:17, 25/02/2020 [^] [^^] [^^^] [ответить]
| +/– |
если ещё и в базовую систему rust/go/python тащить... нее. можно на perl переписать, он в базовой системе есть :)
| |
|
3.80, пох. (?), 12:52, 25/02/2020 [^] [^^] [^^^] [ответить]
| +/– |
Вы опоздали - на awk netch@ когда-то написал. (если кто вдруг разыщет гуглем - учтите, в первой версии вроде RCE. Но он потом поправил это место.)
| |
|
2.81, пох. (?), 12:53, 25/02/2020 [^] [^^] [^^^] [ответить]
| +/– |
Надо срочно завести проект на гитхабе, ой, простите, на гитлабе, пока другие не сперли идею!
У меня уже и CoC.md готов!
| |
|
1.50, б.б. (?), 10:21, 25/02/2020 [ответить] [﹢﹢﹢] [ · · · ]
| +2 +/– |
а вообще, как только песенки перестали выпускать, так всякая фигня начала твориться. верните песенки!
| |
|
|
3.98, Аноним (-), 13:30, 25/02/2020 [^] [^^] [^^^] [ответить]
| +/– |
> она как друг нас зовёт и ведёт к торжеству раста
А потом смузихлебам вгрузят какой-нибудь крап прямо в репу - и они дружно подавятся смузи.
| |
|
4.105, пох. (?), 13:39, 25/02/2020 [^] [^^] [^^^] [ответить]
| +/– |
> А потом смузихлебам вгрузят какой-нибудь крап прямо в репу - и они
память о leftpad намекает, что можно даже не вгружать, а выгрузить уже сто лет назад вгруженный - результат немного фееричен, и прикопаться к автору не получится.
| |
|
|
|
1.87, xm (ok), 13:13, 25/02/2020 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– |
Объявляю 2020 годом похорон мифа об особенной безопасности OpenBSD
| |
|
2.104, юникснуб (?), 13:38, 25/02/2020 [^] [^^] [^^^] [ответить]
| +/– |
Если что, разработчики OpenBSD никогда не называли свою ОС _самой_ безопасной, это само по себе обывательский миф. Ну, вроде того, что чем больше мегапикселей у камеры, тем она лучше.
| |
|
3.106, пох. (?), 13:43, 25/02/2020 [^] [^^] [^^^] [ответить]
| +2 +/– |
> Если что, разработчики OpenBSD никогда не называли свою ОС _самой_ безопасной, это
доо, доо, и херни про "ни одной уязвимости за n+1 лет" (для невоткнутой в розетку) не несли, и fud про "тотальный code review" не было, и прочих баек.
Мы ж все вчера родились, и никогда писем Тео не читали.
Возможно, конечно, что в прошлом таких громких факапов и не было (а не не нашли, потому что никому не был интересен неуловимый джо), а нынче бароны постарели. Но это прошлое - очень далекое прошлое, больше десяти лет назад уж точно.
| |
|
4.150, ssh (ok), 01:36, 26/02/2020 [^] [^^] [^^^] [ответить]
| +/– |
>> Если что, разработчики OpenBSD никогда не называли свою ОС _самой_ безопасной, это
> доо, доо, и херни про "ни одной уязвимости за n+1 лет" (для невоткнутой в розетку) не несли, и fud про "тотальный code review" не было, и прочих баек.
Ты подменяешь понятия -- "Самой самой" != "Only two remote holes in the default install, in a heck of a long time!"
Что касается остальной части твоего пассажа, так это глупый фуд, видимо обусловленный личной неприязнью. Ты ведь понимаешь, что найдись сейчас спонсоры аудита кода от единственно-правильного сообщества, найдут и не такое.
| |
|
5.152, пох. (?), 10:56, 26/02/2020 [^] [^^] [^^^] [ответить]
| +/– |
>>> Если что, разработчики OpenBSD никогда не называли свою ОС _самой_ безопасной, это
>> доо, доо, и херни про "ни одной уязвимости за n+1 лет" (для невоткнутой в розетку) не несли, и fud про "тотальный code review" не было, и прочих баек.
> Ты подменяешь понятия -- "Самой самой" != "Only two remote holes in
нет, я говорю что fud и пропаганда, не подтвержденная ни качеством кода, ни аудитом - были.
И первое время - имели успех. Чем и вызвана моя личная неприязнь, я потратил время на то, что даже в защитных перчатках не надо было трогать руками. Потом началось виляние ужом про, сперва, "default install" (главное - в розетку не втыкать) а потом и про "only two" (найденных, причем третьими лицами)
> личной неприязнью. Ты ведь понимаешь, что найдись сейчас спонсоры аудита кода
> от единственно-правильного сообщества, найдут и не такое.
Такого п-ца - навряд ли найдут, потому что спонсоры находились, и неоднократно.
Это ж только неуловимый джо нахрен никому не нужен. А тут люди бабки свои доверяют этим поделкам.
Даже дыры в exim (вызванные не только тем что до кода дорвались, похоже, студенты недоучки, но и сложностью решаемых этим кодом задач, к которым open даже близко не стоял) не были такими позорными - надо было запилить весьма странный конфиг, чтобы от них пострадать, и можно было - запилить куда менее странный с типовыми для юнис-систем методами изоляции (хотя и не принятыми по умолчанию).
| |
|
6.153, ssh (ok), 11:11, 26/02/2020 [^] [^^] [^^^] [ответить]
| +1 +/– |
> нет, я говорю что fud и пропаганда, не подтвержденная ни качеством кода,
> ни аудитом - были.
Ты преувеличиваешь, мне жалко времени на строительство ретроспективы, но там и аудиты были и много чего.
> И первое время - имели успех. Чем и вызвана моя личная неприязнь,
Давай резюмируем, мне честно, без стёба жаль потраченного тобой времени, но никаких обещаний, кроме скромных утверждений (мы в соседнем топике так и не пришли к единому мнению была пр/реклама или нет) никто не давал и собственную печень в подтверждение не закладывал.
>> личной неприязнью. Ты ведь понимаешь, что найдись сейчас спонсоры аудита кода
>> от единственно-правильного сообщества, найдут и не такое.
> Такого п-ца - навряд ли найдут, потому что спонсоры находились, и неоднократно.
Какие продукты ты сейчас подразумеваешь?
> Это ж только неуловимый джо нахрен никому не нужен. А тут люди бабки свои доверяют этим поделкам.
Люди в основной своей массе слишком доверчивы. В противном случае МММы бы дохли еще на старте.
> Даже дыры в exim (вызванные не только тем что до кода дорвались,
> похоже, студенты недоучки, но и сложностью решаемых этим кодом задач, к
> которым open даже близко не стоял)
Вот это и называется двойными стандартами на мой взгляд. Т.е. exim со своими студентами - OK, а OpenBSD уже фу-фу-фу. Это нечестно, не находишь?
Что-то мне сейчас не приходит в голову задач решаемых exim, но недоступных для OpenSMTPd.
| |
|
|
|
3.110, Аноним (-), 14:30, 25/02/2020 [^] [^^] [^^^] [ответить]
| +/– |
> OpenBSD никогда не называли свою ОС _самой_ безопасной
> это само по себе обывательский миф
Если прикапываться к словам, то - да, они никогда не называли себя самыми безопасными.
Но, тем не менее, они сами многое сделали для создания этого мифа.
Хорошо, что миф разрушен.
| |
|
4.112, Аноним (112), 14:38, 25/02/2020 [^] [^^] [^^^] [ответить]
| +/– |
> Хорошо, что миф разрушен.
С некоторых пор считаю, что русскому хорошо, то немцу смерть. Утрировано, и естественно в частностях.
Внимание! А теперь вопрос. Кому "Хорошо, что миф разрушен."?
| |
|
|
2.117, zurapa (ok), 15:07, 25/02/2020 [^] [^^] [^^^] [ответить]
| +/– |
> Объявляю 2020 годом похорон мифа об особенной безопасности OpenBSD
Можно подумать, её безопасность ранее привлекала миллионы пользователей по всей планете. Да и сейчас не убавится. Большинство пионеров, запускающих OpenBSD, настраивает в нём Postfix, если настраивает вообще почтовый сервер. А знаете почему? Так же как и веб-сервер, скорей всего nginx будет на нём настраиваться. А знаете почему?
Потому что, любой пионер понимает, что если завтра выстрелит, какая-то более крутая операционная система, да тот же docker, его работодателю приспичет, то Postfix там скорей всего очень даже будет актуален, и специалиста на Postfix найти будет проще. А OpenSMTPD поставить в прод, потому что ты впечатлён OpenBSD, ну это как бы совсем по детски. Начальство тебе точно спасибо за это не скажет. Особенно если ты назовёшься DevOps'ом, попросишь зарплату в три раза больше и свалишь от них не оставив ни одной записочки, как это OpenSMTPD работает. А Postfix вполне заслужено популярен, стабилен. Ну хрен, что он костыльно извращённый, не монолит, за то прочтный, КАК СКАЛА! И любой школьник его сможет настроить по 100500 инструкциям в интернете на хабре, да даже на опеннете сможет найти инструкцию по нём и сделать кровавый энтерпрайз счастливым.
И OpenBSD хорошо известный в узких кругах по прежнему будет прекрасно работать на том же уровне, что и раньше, и ни кто не станет переделывать всю инфраструктуру. Потому как дыр везде хватает.
У меня только один вопрос. Почему хоронить его пытаются те, кто с ним никоим образом не связывал свою жизнь?
| |
|
3.121, xm (ok), 16:14, 25/02/2020 [^] [^^] [^^^] [ответить]
| +/– |
> Почему хоронить его пытаются те, кто с ним никоим образом не связывал свою жизнь?
Вы путаете похороны мифа с похоронами тела...
А так да - в сектах не состою.
| |
3.151, ssh (ok), 06:20, 26/02/2020 [^] [^^] [^^^] [ответить]
| +/– |
> У меня только один вопрос. Почему хоронить его пытаются те, кто с ним никоим образом не связывал свою жизнь?
Отличный вопрос. Похоже большая часть бойцов систему даже не устанавливали!
| |
|
|
1.138, snmp agent (?), 20:02, 25/02/2020 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
ASAP - as secure as possible
$ apt show opensmtpd
........................
Description: secure, reliable, lean, and easy-to configure SMTP server
The OpenSMTPD server seeks to be
* as secure as possible, and uses privilege separation to mitigate
possible security bugs
........................
| |
1.146, Denis Fateyev (ok), 01:08, 26/02/2020 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
> Примечательно, что в Fedora 31 уязвимость позволяет сразу получить
> привилегии группы root, так как процесс smtpctl снабжён флагом setgid
> root, вместо setgid smtpq. Получив доступ к группе root можно
> перезаписать содержимое /var/lib/sss/mc/passwd и получить полный
> root-доступ в системе.
Чуваки просто не могут пользоваться обновлениями. Уже опровергли:
> Last-minute note: on February 9, 2020, opensmtpd-6.6.2p1-1.fc31 was
> released and correctly made smtpctl set-group-ID smtpq, instead of
> set-group-ID root.
https://www.qualys.com/2020/02/24/cve-2020-8793/local-information-disclosure-o
| |
|
2.164, юникснуб (?), 16:29, 01/03/2020 [^] [^^] [^^^] [ответить]
| +/– |
Всё куда "веселее", к сожалению:
>[оверквотинг удален]
>>
>> https://bodhi.fedoraproject.org/updates/?packages=opensmtpd
>
> I have edited the update and flagged it as security.
>
> However, without feedback from community testing (karma), this update
> cannot be pushed at this time.
>
> The package also failed to build on Fedora 32 and 33/rawhide due to C
> conformance issues, so there are no updates available there.
(из oss-security)
| |
|
3.165, Denis Fateyev (ok), 20:00, 03/03/2020 [^] [^^] [^^^] [ответить]
| +/– |
Ничего там особенного нет, кроме самого факта уязвимости в апстриме (я мейнтейнер пакета opensmtpd).
Поставили флаг "security", но кармы по апдейту никто не добавил — это частый случай при апдейтах.
Фейл билда под F32/F33 — это печально, конечно, но учитывая, что релизов этих в природе ещё нет — проблема не такая уж большая.
Впрочем, это уже пофикшено и апдейты в этих ветках собраны.
И в целом, даже без кармы (никто не проверял апдейт) пакеты с апдейтами заедут в F30-33 и EPEL8 в ближайшие дни, по истечению времени нахождения в testing.
| |
|
|
1.168, zurapa (ok), 07:33, 06/05/2020 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Поставил OpenSMTPD, сложил туда все свои «яйца». Ломайте меня полностью!
Теперь можно спать спокойно.
| |
|