В твиттере компании EdgeSecurity, основателем которой является автор WireGuard, сообщили о создании нативной и полностью поддерживаемой реализации VPN WireGuard под OpenBSD. В подтверждение словам опубликован скриншот с демонстрацией работы. Готовность патчей для ядра OpenBSD также подтверждена Джейсоном Доненфилдом (Jason A. Donenfeld), автором WireGuard, в анонсе обновления утилит wireguard-tools...Подробнее: https://www.opennet.me/opennews/art.shtml?num=52929
> станет второй ОС (после Linux) с полной и интегрированной поддержкой WireGuard "из коробки"Ну вот наконец и в BSD завезли. Технологическое отставание BSD от Linux слегка сократилось.
Быстрый ВПН шлюз единственная сфера применения OpenBSD.
Быстрый что-либо - это вообще не про openbsd.Вот интересно, почему автор выбрал самую маргинальную и ненужную из всех *bsd?
самая маргинальная и ненужная-fragonfly, чуть менее netbsd. Опенок частенько встречается.
dragonfly вообще-то вполне себе нужная - а то так и останетесь с мертвыми по лицензионным причинам zfs и btrfs, но да, более маргинальная.
netbsd и более нужная, и менее маргинальная.Но вообще-то есть еще free, которая в отличие от этих всех по сей день используется мелкими провайдерами сэкономившими на сетевом оборудовании - и, подозреваю, число только таких использований на пару порядков выше чем вообще всех юзеров openbsd (да, всех пятерых ;-)
опенка в штатах крепко припрягла одна компания занимающаяся разработкой дронов безопасности. пока квадрокоптеры и прочее, но они переводят все свое оборудование на опенбсд. хотя от линя тоже не отказываются. так что точно не пять пользователей. и да опенка используют много людей и фирм , только в ограниченных отраслях. если ось не очень подходит для широкого промышленного или домашнего использования это не значит, что она совсем бесполезна, но да во всем остальном линух лидирует и это понятно. даже фряха потеряла много своих пользователей с улучшением линуха, но она все равно так же часто используется.
Ты до сих пор не осилил администрирование OpenBSD? А как надувал щеки!
Пох, ты все знаешь. Подскажи что-то умное.Есть мать на чипсете Intel G41. Хотелось бы из нее сделать легкую юниксовую рабочую станцию или домашний сервер. Но она не хочет. Я ее могу загрузить чуть ли не с чего угодно, но только не с FreeBSD. Успешно на ней загружал и на нее устанавливал OpenBSD, NetBSD и Windows XP, загружал Solaris (пишу с него: Live-CD OpenSolaris 2009.06, кто бы мог подумать такое), DOS, разный Linux, наверняка загрузятся даже Plan 9 и QNX. Но FreeBSD -- ни в какую. Ни один релиз из 11-й и 12-й серий. Ни 32-, ни 64-разрядный. Ни с болванок, ни с винта внешнего, ни с сидирома внешнего. Тупо вот не грузится и все. Иногда ругается при загрузке на панику, иногда не ругается, но дальше загрузчика не грузится. Не знаю о чем и думать, о чем гуглить и в какую сторону смотреть.
Более старые релизы Фри не пробовал.
// Anonymoustus// Вахтеры ради безопастносТе сломали форум, я теперь не могу ничего писать, как раньше: выбрасывает на страницу предупреждения о безопастносте. Чтоб им так зарплату платили, как они работают.
> Тупо вот не грузится и все. Иногда ругается при загрузке на панику, иногда не ругается, но
> дальше загрузчика не грузится.включаешь дебаг загрузки (гугли), лучше - перенаправив всю ботву в serial port, он надежнее изуродованной linux'ным kms консоли. Результат несешь в send-pr...упс, да, его ж отменили, много вас таких тут ходют, а нам потом читай о ваших проблемах... В bugs.freebsd.org несешь, в интуитивно-приятный интерфейс.
И ждешь - лет через десять, вполне возможно, дождешься. (есть смысл в тутошнем форуме хотя бы скинуть ссылку на баг, только не в комментах к новости даже не о фре, а в форуме ;)
Грузиться при этом лучше не с установочного образа (кто еще вообще и зачем им пользуется) а с полноценной системы, установленной на флэшке (и не забыв при этом предусмотреть место для крэшдампа, он пригодится, если там и правда паника - это хорошо, это легко чинить)
Попутно можно подсунуть свое минималистичное ведро вместо generic, вдруг какой-то драйвер тебе не стоило и пытаться загружать - только не увлекись минимализмом и не отключай дебаг.
Десять лет, говоришь? Нагуглил нотабуг, подозрительно напоминающий то, что вижу я:http://bugs.freebsd.org/bugzilla/show_bug.cgi?id=151122
Только у меня не HP Compaq 6005 Pro, где процессоры AMD:
https://support.hp.com/us-en/product/hp-compaq-6005-pro-micr...
а вовсе даже Штеуда процессор и чипсет. Однако таки есть одно совпадение: у меня тоже видеокарта Ненавидия Квадро, хоть и другая.
Попробую поставить вместо неё игровую и посмотрю, что из этого получится. Если загрузится, то, значит, проблема в Ненавидии.
Переписал на бумажку сообщения загрузчика:
FreeBSD/x86 bootstrap loader, Revision 1.1
panic: zfree(0x********,8224): wild pointer
--> Press a key on the console to reboot <--
Нотабуг, увы, гуглится и находится:https://bugs.freebsd.org/bugzilla/show_bug.cgi?id=242106
Проблема в инсталляторе. Установочный образ 20200514-r361020 (из снапшотов: download.freebsd.org/ftp/snapshots/amd64/amd64/ISO-IMAGES/12.1/) загрузился как надо.
Не та уже Фря, не та…
Ну, вообще-то, не notabug, а исправлено, но пока не попало в релизы.Вполне допустимый сценарий для необычного железа или vm, не вижу поводов для печали.
И да, стоит отписаться в этот баг, что вот на таком железе было такое же, но исправлено. Людям, которые исправили - как минимум, может пригодиться.
> Вполне допустимый сценарий для необычного железа или vm, не вижу поводов для
> печали.Что необычного в чипсете Intel G41 + ICH7 и процессоре Intel Core 2?
Проблема была в загрузчике Фри, не в моём железе.
> Нотабуг, увы, гуглится и находится:
> https://bugs.freebsd.org/bugzilla/show_bug.cgi?id=242106--
Status: New
Reported: 2019-11-20 12:03 UTC by Dave Cottlehuber
Modified: 2020-04-07 20:48 UTC (History)Andy Mender 2020-03-26 20:05:35 UTC
(In reply to Andy Mender from comment #3)
Image FreeBSD-12.1-STABLE-amd64-20200326-r359308-bootonly.iso no longer shows the error and boots properly.
--
Ни разу не встречается "notabug"
> Не та уже Фря, не та…Зато перепончатые на опеннете в комментах к Фре - все так же верны себе.
> Зато перепончатые на опеннете в комментах к Фре - все так же
> верны себе.Ты хоть немножко догадываешься, клоун, кому ты это пишешь?
>> Зато перепончатые на опеннете в комментах к Фре - все так же
>> верны себе.
> Ты хоть немножко догадываешься, клоун, кому ты это пишешь?Очередному эталону двойных стандартов, хамлу "вы мне все должны, патамушта я такой красивый!" и лгунишке-Нарциссу?
netbsd вообще не используется и служит толька для обкатки бредовых идей
Есть ещё вопросы к опытным собаководам.В настройках pkg предусмотрены пути следующего вида:
http://pkg.freebsd.org/FreeBSD:8:i386/latest
На pkg.freebsd.org есть пакеты только для последних релизов. Для упомянутой FreeBSD 8 пакетов там нету, а её pkg, естественно, не работает. Как быть?На фришном форуме тамошние авторитетные анонимы глубокомысленно вещают, что, дескать, если такой-то релиз EOL, то спешите обмазаться свежим, ароматным. Но это не ответ на данный вопрос. Нет, их ценное мнение о моей безопасТносте меня не интересует никак и никогда. Мне просто надо пакетов для восьмой фри, например. Мне чтобы работало в дальнем шкафу, а не чтобы модно и молодёжно. Где в интернетах лежат пакеты для старых фрибздей?
Пох, ты же знаешь?
> Есть ещё вопросы к опытным собаководам.ну ты бы еще на кружке любителей анального рестлинга эти вопросы задавал, в паузах между раундами. Есть же форум здесь, если ты даже до freebsd@uafug.org.ua (он на русском) ты не в силах дотянуться.
> На pkg.freebsd.org есть пакеты только для последних релизов.
для *поддерживаемых* релизов. Что не так? Поддержка осуществляется силами комьюнити и для комьюнити. Поддерживать неподдерживаемые давно мертвые ветки у него ресурсов нет. Я бы мог понять плевки в сторону 11.0, но десять лет?!
> Для упомянутой FreeBSD 8 пакетов там нету, а её pkg, естественно, не работает. Как быть?
никак не быть - с разбегу и апстену.
> Пох, ты же знаешь?
знаю - см выше. Откуда возьмутся такие пакеты? Допустим я даже выложу тебе свои (они протухли точно так же и сравнительно безопасны только на моей 8 - где a) их никто не видит b) они собраны с моими специфическими настройками (например я не переживаю за свой древний bind, поскольку ни одна опубликованная увизгвизьмость его не касалась - там нет дырявых dnssec и xml) - во-первых, их два десятка, а не двадцать тысяч (нахрена мне надо все это собирать?), во-вторых - ты рискнешь доверять моему васян-репо? Хотя бы даже в том плане, а не налажал ли я в своих патчах, не говоря уже о том не добавил ли чего интересного.
Тебе никто не запрещает cd /usr/ports ; make
Ну или настраивать poudriere, как у взрослых мальчиков.Если тебе при этом еще и хочется не версий портов 2012го года - то придется обновлять pkg (это очень непросто, он завязан на изменения в _ядре_), мэйк (возможно достаточно ln bmake pmake, но я не гарантирую что оно там уже было и что работает) и самому сражаться с устаревшим компилятором и неподдерживаемыми версиями зависимостей.
Лично я два года назад при переносе с дохлого диска потерял src от последней восьмерки, и не планирую восстанавливать - при необходимости апгрейда чего бы то ни было я повздыхаю, и поставлю вместо нее 12 - никакой специальной необходимости жить на малонагруженной древней системе с фиксированной версией - нет. (смысла апгрейдить ради апгрейда, понятно, тоже, поэтому она стояла и стоять будет)
P.S. напоминаю что у тебя там два local root, для одного есть патч, для второго нет и не сбэкпортишь, дыра в sshd, неработающий при отключенном в ядре (дырявом!) ipv6 pcap/tcpdump (c remote root), и еще так по мелочи. Поэтому тратить силы и время на самостоятельную поддержку настолько древней системы - по меньшей мере иррационально.
Нет, если тебе просто нравятся раритеты - ну так за ретро приходится платить, причем в основном своим временем и силами - на ретро-автомобиле образца 52го года на автосервисы не ездют, там их чинить все равно не умеют. И бесполезно возмущаться отсутствием такового.
> для *поддерживаемых* релизов. Что не так? Поддержка осуществляется силами комьюнити и для комьюнити. Поддерживать неподдерживаемые давно мертвые ветки у него ресурсов нет. Я бы мог понять плевки в сторону 11.0, но десять лет?!То не так, что архивы пакетов и всего -- где? Я могу тебе сказать, где живут архивы OpenBSD за всю её историю. Или Дебиана (ну это и так все знают). А ты мне скажи, где пакеты для FreeBSD 4.11^W^W релизов старше десятого.
И что там поддерживать? Оно лежит на дисках и даже не занимает много места. Поддерживать…
> Откуда возьмутся такие пакеты?Ты прикалываешь или придуриваешься?
Куда они оттуда делись? У меня только один этот вопрос. Зачем бздуны так с нами поступают?
> Нет, если тебе просто нравятся раритеты - ну так за ретро приходится платить, причем в основном своим временем и силами - на ретро-автомобиле образца 52го года на автосервисы не ездют, там их чинить все равно не умеют. И бесполезно возмущаться отсутствием такового.Меня возмущает то, что старые релизы уничтожают. Какое кому дело, что я с ними буду делать? Может я их коллекционировать хочу.
> То не так, что архивы пакетов и всего -- где?в помойке - сколько их хранить и на чьи деньги?
Но тебе никто не мешал смиррорить сразу в тот день, когда объявили EOL - чай не интел, он заранее был известен.
Лично мне было просто неинтересно - зачем мне архив устаревших дырявых сборок абсолютно всего на свете с не теми настройками которые мне актуальны?При этом в distfiles все еще лежит масса интересного тех времен (хотя и не все - его в какой-то момент очень удачно "улучшили", заодно сделав неиндексируемым). Но опять же - ценность этого сомнительна. Если нет какого-то важного и нужного патча для софтины 2011го года - вероятно, надо опомниться, и перейти на софтину 2017го хотя бы - к ней патчи еще доступны.
> Или Дебиана (ну это и так все знают).
вообще-то _архивы_ дебиана лежат на сайте совершенно не имеющих отношения к проекту людей, героически разведших несколько провайдеров оплачивать им хостинг и терабайты (там реально десятки тер) места. Причем польза от этой коллекции хлама весьма сомнительна.
Но ты мог бы сделать свою такую же для freebsd. На нее даже был бы небольшой спрос - иногда чтобы собрать что-то ненужное, приходится понаставить два десятка ненужных дев-зависимостей, и вот про них часто все равно - кем и как они собраны и сколько там увизгвизмостей - после сборки они будут удалены вметсе со всем сборочным мусором. (Но в какой-нибудь astro десятилетней давности - гарантирую, никто и никогда не заглянет. А место оно будет занимать.)
Но ты ж не хочешь из своего кармана и своим временем заплатить? Вот и я не хочу - не настолько заинтересован. Ну пересоберу если очень понадобится, машина - она железная.
> Меня возмущает то, что старые релизы уничтожают.
они действительно дорого обходились, все эти мегатонны ненужных бинарников. При этом уверен, что процентов 70 не скачал никогда в жизни ни один человек - все кому оно на самом деле было надо, собирали себе так, как им было надо - в конце-концов, легкость подобных настроек (и тиражируемость их на свои сети, сколько б там ни было систем) является одним из преимуществ портов.
А уж особенно - когда порт устарел и ставить что попало как попало может быть реально опасно.> Может я их коллекционировать хочу.
ну так займись - того гляди 11й ветке придет конец.
Для экономии - можно коллекционировать только исходники (вдруг какой gnu.org сдохнет, как уже,кстати, было с гуглекодом) и патчи (это важно, их никто не обещал хранить вечно), собирать необязательно, пока не понадобится.Я, повторю, не вижу смысла - даже в старой системе мне вряд ли хочется таких же тухлых портов.
> сколько их хранить и на чьи деньги?Вообще-то хранить надо навсегда. Для этого, в конце концов, даже специальные файловые системы были изобретены.
И это не стоит каких-то больших денег. У опенсосиев на фуршеты и банкеты ежегодно расходуется больше, чем было бы надо, чтоб купить и поставить в углу пару полок дисков чисто для архива. Диски в наше время дешевые как никогда, грандиозных мощностей для обслуживания не требуют.
> Но тебе никто не мешал смиррорить сразу в тот день, когда объявили EOL - чай не интел, он заранее был известен.Мне и в голову раньше бы не пришло, что архивы софта могут быть просто стёрты с дисков или сделаны труднодоступными или вовсе недоступными.
Причём сами-то пакеты там на серверах лежат -- см. ниже ссылки для первого релиза и для 4.11:
http://ftp-archive.freebsd.org/pub/FreeBSD-Archive/ports/i38.../
http://ftp-archive.freebsd.org/pub/FreeBSD-Archive/ports/i38.../
По FTP тоже доступны.
К ним только уже нету на серверах инфраструктуры для pkg в твоей машине. А с толкача, вручную -- устанавливай сколько хошь.
> вообще-то _архивы_ дебиана лежат на сайте совершенно не имеющих отношения к проекту людей, героически разведших несколько провайдеров оплачивать им хостинг и терабайты (там реально десятки тер) места. Причем польза от этой коллекции хлама весьма сомнительна.Спешу тебя обрадовать официальной репой:
http://archive.debian.org/debian-archive/debian/dists/
Ладно, я проблему ещё раз сформулирую, чтобы меня всё-таки правильно здесь поняли: пакеты на серверах Фрибзды есть, лежат кучками в архивном разделе, но доступа к ним из pkg уже списанных релизов -- нету.
> Вообще-то хранить надо навсегда.ну, храни!
> И это не стоит каких-то больших денег.
и где же твое зеркало? Опачки - из твоего личного-то кишенька оказывается - не такие уж и небольшие, да?
У меня вот есть личное зеркало дорогого мне opensuse 11.4 и ненавидимого 12.1 (который угораздило поставить на "десктоп"). Не такое уж и бесплатное. Напоминаю, что без него ты не поставишься вообще - в том числе если сейчас сдохнет диск в том "десктопе", это не бесполезная свалка ненужного хлама. Даже если сразу после установки половину поменять на современное (что я и делаю).
Но я не готов сделать его публичным - потому что мне придется поддерживать не только древнюю свалку, но и современную инфраструктуру (и защищать от роботов-е6оботов, пытающихся ее проломить, включая и zeroday - им похрен, что там старый софт, шерстяные не дадут соврать - дома при закрытых дверях я _уверен_ что софт не подменен, даже если ключей pgp давно уже нет).
> Диски в наше время дешевые как никогда, грандиозных мощностей для обслуживания не требуют.
ну так что же ж ты?!
> Мне и в голову раньше бы не пришло, что архивы софта могут быть просто стёрты с дисков
об этом предупреждали за два года до часа хе. И вон - архивы мусорного софта даже валяются по сей день - просто сервера для них нет.
http://ftp-archive.freebsd.org/pub/FreeBSD-Archive/ports/i38.../
качай, на здоровье. Рассказать тебе, куда это скопировать, чтобы pkg add работал?
> http://archive.debian.org/debian-archive/debian/dists/
это бесполезный мусор - мне нужны не пакеты на текущий момент, мне нужны пакеты до обновления, которое все сломало (сгодятся на момент релиза - раз я его поставил, значит все работало). И где они? (Они хранятся, но не трудами дебиана)
> серверах Фрибзды есть, лежат кучками в архивном разделе,
ну видишь, как тебе повезло! Мне вот не приходило в голову туда даже заглянуть, за бесполезностью.
> но доступа к ним из pkg уже списанных релизов -- нету.
потому что pkg-репо у нас один, и версия протокола там двадцать раз поменялась. А отдельный для любителей старья держать и _латать_ бесконечно, и следить чтоб не поломали - желающих, видимо, не нашлось.
Ну подними свой, у тебя ж время и вдохновение, и тебе оно надо. Можешь даже не кэшировать бинарники - просто пробрасывать прокси на архив.
> и где же твое зеркало? Опачки - из твоего личного-то кишенька оказывается - не такие уж и небольшие, да?Если не знаешь ответа на мой вопрос, то и напиши прямо, а столь многословное «ой, не шмагла я!» -- ни к чему.
> http://archive.debian.org/debian-archive/debian/dists/
> это бесполезный мусор - мне нужны не пакеты на текущий момент, мне нужны пакеты до обновления, которое все сломало (сгодятся на момент релиза - раз я его поставил, значит все работало). И где они? (Они хранятся, но не трудами дебиана)И эти люди запрещают нам винду.
Ты в пулы-то дебиановские хоть разик заглядывал за десятилетия трудовой деятельности? Для примера пусть будет Bash для двух с половиной архивных пулов:
http://archive.debian.org/debian-archive/debian/pool/main/b/.../
http://archive.debian.org/debian-archive/debian-amd64/pool/m.../
http://archive.debian.org/debian-archive/debian-backports/po.../
В наличии входившие в релизы сборки для всех архитектур, плюс исходники и диффы, где надо.
Потому мы и любили Дебиан, пока его не захватили красношляпые SJW-антифашисты.
> Ну подними свой, у тебя ж время и вдохновение, и тебе оно надо. Можешь даже не кэшировать бинарники - просто пробрасывать прокси на архив.Если бы у меня было время и вдохновение, я бы сделал свой личный совершенный Юникс с шахматами и официантками, а сюда вообще бы не заглядывал задавать вопросы анониму, который позиционирует себя как видный специалист по фрям, бздам и ещё множеству дисциплин собаководства.
>> и где же твое зеркало? Опачки - из твоего личного-то кишенька оказывается - не такие уж и небольшие, да?
> Если не знаешь ответа на мой вопрос, то и напиши прямо, ая знаю ответ на твой вопрос - стерто нахрен, потому что денег из воздуха - нет. Тебе повезло, и какой-то (совершенно мне ненужный и неинтересный) миррор все еще не почистили от старья - это временно.
Но ты же позволяешь себе вякать, что кто-то, видите-ли, тебе _должен_ хранить этот мусор, и это якобы дешево - угу, пока ТЕБЯ не просят за это заплатить - даже ради себя же, любимого, ты на такие жертвы, ну надо же, не готов. Пусть дядя платит, да?
> Ты в пулы-то дебиановские хоть разик заглядывал за десятилетия трудовой деятельности? Для
причем тут пулы? В пулах лежат ровно последние сборки (для всех версий, включая неподдерживаемые, поэтому их там больше одной). Мне нужна сборка под мою версию дистрибутива (а не позапрошлую) - но не та что там сейчас. Где? Правильный ответ: snapshot.debian.org (в упор не видишь разницы между ним и archive?)
Но за это скажи спасибо немцам из Leaseweb. Если бы их не было (а вот для ubuntu таких щедрых не нашлось) - точно так же сидел бы ты с кучей мусора "времен релиза".> В наличии входившие в релизы сборки для всех архитектур, плюс исходники и
мне не нужна "входившая в релиз" - он три года назад был. Мне нужна та, что только позавчера автоматически заменилась на новую-модную, только поломанную. В силу особенностей де6иллиановых индексов - ее невозможно там сохранить.
(У rpm-based дистрибутивов - возможно и сохраняется, и автоматически устанавливаема штатным образом без ненужных приседаний)> Если бы у меня было время и вдохновение, я бы сделал свой
> личный совершенный Юникс с шахматами и официанткамиразницу между личным юниксом и тривиальным миррором сделанным вовремя - ты, конечно же, старательно не видишь.
Ну надейся что какой-то шитхостер в NY (если я правильно угадываю) не сотрет послезавтра же лишний мусор - или просто не навернется у него диск.
> я знаю ответ на твой вопрос - стерто нахрен, потому что денег
> из воздуха - нет. Тебе повезло, и какой-то (совершенно мне ненужный
> и неинтересный) миррор все еще не почистили от старья - это
> временно.Ну раз так, то туда ей и дорога. Надеюсь, ты догадываешься, какие в мире чистогана радужные перспективы у программных проектов, так относящихся к потребителю их продукта? Ресурсов будет становиться всё меньше -- вот так чудеса!
> Но ты же позволяешь себе вякать, что кто-то, видите-ли, тебе _должен_ хранить
> этот мусор, и это якобы дешево - угу, пока ТЕБЯ не
> просят за это заплатить - даже ради себя же, любимого, ты
> на такие жертвы, ну надо же, не готов. Пусть дядя платит,
> да?Ты бы не хамил, а подсказал, показал личным примером доброжелательность сообщества. Фряшное русскоговорящее сообщество, похоже, такое же сектантское и токсичное, как и лап4чатое.
Напомню ещё раз, что для всех программных проектов главная ценность -- пользователи их программных продуктов. Если пользователи недовольны, надо их выслушать и услышать, а не делать морду кирпичом. Иначе пользователи отвернутся в сторону других программных продуктов. Особенно если начинают вымогать и клянчить деньги даже не разработчики, а посторонние форумные бездельники. Срамота.
> мне не нужна "входившая в релиз" - он три года назад был.
> Мне нужна та, что только позавчера автоматически заменилась на новую-модную, только
> поломанную. В силу особенностей де6иллиановых индексов - ее невозможно там сохранить.
> (У rpm-based дистрибутивов - возможно и сохраняется, и автоматически устанавливаема штатным
> образом без ненужных приседаний)Никак не могу понять, что тебе надо.
У _правильно_ настроенного для продакшына Дебиана без твоего разрешения ничего автоматически не заменится на новое-модное. Или опиши в деталях свой случай, когда такое случилось.
> Ну раз так, то туда ей и дорога. Надеюсь, ты догадываешься, какие в мире чистогана радужные
> перспективы у программных проектов, так относящихся к потребителю их продукта?абсолютно нормальные. В те времена, когда "don't ask what linux can do for you, ask what you can do for linux" - им и пользоваться можно было без тошноты. Без всего этого inclusive и так далее.
Я могу возмущаться чем-то вроде
r193999 | jhb | 2009-06-11 17:07:42 +0400 (Thu, 11 Jun 2009) | 3 linesMFC: Add a feature_present(3) function which checks to see if a named kernel
feature is present by checking the kern.features sysctl MIB.это архинужный и полезный комит в _четвертую_ версию спустя годы после EOL - и такого добра там - полно, при этом заставить их принять бэкпорт патчей, убирающих local root или чинящих tcpdump в восьмерке невозможно - под предлогом EOL. При том что тут не нужны ни материальные затраты, ни сверхусилия. (А комиты сомнительной нужности от нужных-и-полезных-людей с битиком туда идут по сей день)
Но решительно не понимаю претензий предоставлять тебе любимому на халяву ресурсы для десять лет мертвой системы и обслуживать их, храня гигабайты вредного и опасного мусора - хотя сам ты мог бы это сделать (и даже часть мусора обновить на менее вредный и опасный, просто поменяв цифирки) - все инструменты тебе предоставлены, отлично документированы и в целом система заточена на такое самообслуживание.
> Ты бы не хамил, а подсказал, показал личным примером доброжелательность сообщества.
я тебе вполне доброжелательно показал пальцем, что там все гнилое и дырявое, и надо не бережно хранить посреди квартиры труп мертвой бабушки, выражая свое фе что жек не снабжает тебя на халяву дезодорантом, а побыстрее предать ее земле.
> Никак не могу понять, что тебе надо.
то есть чем отличаются snapshots от кладбища пакетов-на-дату-релиза ты так и не понял?
> У _правильно_ настроенного для продакшына Дебиана
это который вообще не обновляется? Спасибо, но с моей точки зрения, правильно настроенная система таки должна обновляться, и лучше бы - автоматически, а не мое время жрать. Но оставляя возможность вернуть как было до обновления, если что-то сломали и оно умудрилось просочиться мимо тестирования (которое должно быть, и не уровня "собирается, а если не - откатим последний комит через 40 минут"). По каким-то неведомым причинам особенности дебиановских реп это не позволяют.
>> Ну раз так, то туда ей и дорога. Надеюсь, ты догадываешься, какие в мире чистогана радужные
>> перспективы у программных проектов, так относящихся к потребителю их продукта?
> абсолютно нормальные. В те времена, когда "don't ask what linux can do
> for you, ask what you can do for linux" - им
> и пользоваться можно было без тошноты. Без всего этого inclusive и
> так далее.Сейчас это затруднительно сказать, пожалуй, даже о Слаквари. Патрик, вроде, ещё держится, но нового релиза вот уже четыре года как нету (хотя лично меня, замечу, это нисколько не напрягает, даже наоборот). Со всех сторон подбираются системдауны, прикладной софт (как sudo) портят. Рано или поздно они могут проникнуть и в Слаку и начать её изменять изнутри. Они уже работают на этом поприще ( https://github.com/Dlackware/systemd ; https://www.linux.org.ru/gallery/screenshots/13702531 ).
Когда сдалась даже команда NetBSD и перешла на новую модную бессмысленную нумерацию релизов, уже стало совсем некуда бечь. Не на MINIX же... Упадок повсеместно.
Я не раз писал на страницах этого печального форума, что стратегия Майкрософта, описанная Спольским ( https://www.joelonsoftware.com/2002/01/06/fire-and-motion/ ), оправданна только для коммерческого софтописательства и только для борьбы с конкурентами. Больше ни для кого она не годится (что более чем убедительно показала сама Майкрософт после 2010 года). Для СПО она вообще противопоказана, поскольку убивает всё живое. СПО не должно ни с кем соревноваться в гонке версий, оно вообще не ради этого было создано, а чтобы дать людям высококачественную и недорогую (даже бесплатную) замену коммерческим юниксам. Ключевое слово -- высококачественную. Это никак не вяжется с тактикой ляп-ляп-и-в-продакшын, лишь бы рос номер версии. И никак не может быть объяснено дороговизной труда программистов: программисты вроде как не за деньги пишут СПО (линукс не считается), а по зову души и для того, чтобы сделать мир лучше. Как с этим сообразуется гонка версий и болтовня о стоимости труда программиста? Да никак. СПО выродилось и, скорее всего, сдохнет в обозримом будущем. Ибо в нём прохудилась его идейная часть, в нём умерла философия и ушёл прочь разум. Даже Ногоед не такой кретин, как молодое пополнение СПО. Им не нужен Юникс, они его не понимают и не интересуются. Им нужна бесплатная винда и бело-серые на бело-сером приложения в браузере.
Когда умрут последние зубры из поколения Ритчи, Кнута, Вирта, на смену им не придёт никто...
> Я могу возмущаться чем-то вроде
> r193999 | jhb | 2009-06-11 17:07:42 +0400 (Thu, 11 Jun 2009) |
> 3 lines
> MFC: Add a feature_present(3) function which checks to see if a named
> kernel
> feature is present by checking the kern.features sysctl MIB.
> это архинужный и полезный комит в _четвертую_ версию спустя годы после EOLЯ придерживаюсь другой точки зрения. Вместо того, чтобы часто выпускать новые релизы системы, было бы лучше изначально продумать такую системную инфраструктуру, которая бы позволяла обновлять или добавлять отдельные компоненты, не нарушая целостности общего. Хочешь свежее ядро? На. Хочешь других библиотек? На тебе вторичную, третичную иерархию и там внутри балуйся на здоровье (да так же и было ведь задумано с первых лет Юникса). Обнаружены баги и дыры в программах? Обнови только _эти_ программы, ни к чему менять всю систему... Для новой функциональности надо писать новые программы, а не добавлять её в старые. Иначе нарушается консистентность опыта человека, а его знания и навыки обесцениваются, из-за чего приходится бесконечно изобретать велосипеды, «облегчающие» рутину, которую изменили «инновации». Если не ошибаюсь, так были устроены AIX и HP-UX, но я опыта с ними не имею.
Представь себе, что у кого-то таки работает четвёртая версия и вдруг в неё приезжают обновления -- за такое можно и нужно заслать донатов.
> Но решительно не понимаю претензий предоставлять тебе любимому на халяву ресурсы для
> десять лет мертвой системы и обслуживать их, храня гигабайты вредного и
> опасного мусора - хотя сам ты мог бы это сделать (и
> даже часть мусора обновить на менее вредный и опасный, просто поменяв
> цифирки) - все инструменты тебе предоставлены, отлично документированы и в целом
> система заточена на такое самообслуживание.Ты не понимаешь потребителя, который использует софт не для создания другого софта, а для бизнеса, к примеру. Бизнес и его деньги -- любит тишину и предсказуемость рутины. Если в своё время продукт рекламировали как надёжный, безопасный и так далее -- помогающий бизнесу решать его задачи, а спустя какое-то время к продукту внезапно не находятся его репозитории -- бизнес немножечко напрягается. Вдруг у меня этот софт на производственной линии работает и понадобилась какая-то программа или библиотека спустя 10 (20, 30) лет после наладки и пуска? У Межделмаша и подобных ему вендоров старой школы на такие случаи заведены отдельные склады с окаменевшими продуктами динозавров и мамонтов. Ибо клиенту может понадобиться, например, процессор i8086 или планка памяти тех времён или ещё что-то, а останавливать или менять станок или даже целый завод -- невозможно (и нынешним программистам это чрезвычайно трудно объяснить, они слишком тупые). И там вообще DOS крутится. И КОБОЛ, и Фортран, и другие неведомы зверушки... Нет ничего хуже перемен в налаженном бизнесе.
Не, я помню, что во Фре есть порты. Но кто этим хочет заниматься в свободное от отдыха время?
> я тебе вполне доброжелательно показал пальцем, что там все гнилое и дырявое,
> и надо не бережно хранить посреди квартиры труп мертвой бабушки, выражая
> свое фе что жек не снабжает тебя на халяву дезодорантом, а
> побыстрее предать ее земле.Я ж специально пишу: проблемы моей безопастносте -- это _моя_ головная боль. Мне не надо, чтоб меня кутали в одеялко и прятали от опасного мира в детскую кроватку заботливые чужие дяди, которые якобы лучше меня знают, какие мне снятся кошмары по ночам.
>> Никак не могу понять, что тебе надо.
> то есть чем отличаются snapshots от кладбища пакетов-на-дату-релиза ты так и не
> понял?Я не понимаю, какой тебе оттуда может быть нужен софт, и почему. Если ты точно знаешь о каких-то увизгвимостях в специфической сборке, причём не вошедшей в репу, то возьми в гитхлюпе исходники того времени, поправь руками и собери свой пакет. Накой тебе эти бестолковые снапшоты, собранные кем попало на чём попало? Чем они лучше твоего самосбора?
>> У _правильно_ настроенного для продакшына Дебиана
> это который вообще не обновляется?Обновляется же. Можно ж настроить получение обновлений только из репозитория обновлений сесурити, даже бэкпорты не подключать. И годков пять инсталляция вполне отходит, не меняя мажорные версии ядра и системных потрохов, а там уж и переехать на что-то новее можно, если очень хочется.
> Но оставляя возможность вернуть как было до
> обновления, если что-то сломали и оно умудрилось просочиться мимо тестирования (которое
> должно быть, и не уровня "собирается, а если не - откатим
> последний комит через 40 минут"). По каким-то неведомым причинам особенности дебиановских
> реп это не позволяют.Если исходить из предположения, что там пакеты ещё и тестируют, а не только собирают, то логично в репах держать только проверенные сборки, а не все подряд. Не?
Вот я для общего развития смотрю, что показывает aptitude в Devuan 2.1 ASCII для libc6:
2.24-11+deb9u1 stable-security
2.24-11+deb9u4 stableУстановлена вторая. При желании можно вернуться на первую. По зависимостям произойдёт откат ещё для пары связанных пакетов. Хотя, вот честно, без помощи гугла я не знаю, чем одна отличается от второй. В крайнем случае -- начну читать бюллетень безопастносте, чтоб не так страшно жить было.
Если тебе нужны какие-то специфические гарантии, которых я не понимаю, то, наверное, только к Красной Шапке, если она их даёт. И то -- как пишут отдельные анонимы, на удалённой поддержке у Шапки копченые из индостанских джунглей, а не белые люди в костюмах и при галстуках.
> Представь себе, что у кого-то таки работает четвёртая версия и вдруг в неё приезжают обновленияи ломают ее к хренам. Потому что это обновление сделано васяном для своей единственноверной конторы и никем вообще не тестировалось. О нем вообще никто не знает - EOL системе, пять лет как.
И вот ты сидишь, пытаясь понять - какого хрена?! А-а-а, вот оно чо - тут резвился васян-с-комит-битом!
А нужные и важные обновления при этом выкидывают в помойку closed, wontfix, EOL.
(я пытался, да. С кишками и кровищей удалось протолкнуть после EOL хотя бы медведовское вечное лето - банальное исправление таймзон тоже намертво отказывались принимать, при том что возможности поставить их из левого порта тогда еще не было, да и порты тоже быстро поломали - напоминаю, у портов нет веток, они всегда ".")> Ты не понимаешь потребителя, который использует софт не для создания другого софта, а для
> бизнеса, к примеру. Бизнес и его деньги -- любит тишину и предсказуемость рутины.я не понимаю - _потребителей_ в мире шв...бесплатного софта.
Мне нужна предсказуемость (gwdg.de рано или поздно сотрет мои любимые архивы, сколько можно) - я делаю себе зеркало и пару бэкапов про запас.
Мне нужна возможность откатывать deb пакеты не смотря на убогость реп (и попутно некоторая независимость от внедрения чебурнетов) - я держу зеркало с эпизодическими снапшотами (у меня выйдет меньше чем у snapshots.debian.org, потому что я не храню пятьдесят версий мурзилы и сорок ведра для всех активных релизов, мне нужен только один). Да, это будет неудобно, но консистентность системы сохранится.Если бы я верил в то что это нужно еще кому-то - я возможно что-то из этого даже сделал бы публичным. Ровно до тех пор, пока это нужно мне самому.
> 2.24-11+deb9u1 stable-security
> 2.24-11+deb9u4 stableобрати внимание, за счет чего это сделали - вторую положили в другой репо.
А цифирки как бы намекают, что было еще минимум две. Где они?
А нигде - репо всего два, и еще можно одну версию держать в backports, но у них у каждой свое специальное назначение, поэтому на самом деле нельзя, и если бы эта u4 была не просто багфиксом, а исправлением безопасности - u1 ты бы уже не нашел.> Хотя, вот честно, без помощи гугла я не знаю, чем одна отличается от второй.
об этом узнаешь когда оно тебе что-то поломает.
И вот тут у тебя начинаются проблемы, потому что не всегда и с помощью гугла легко откатить как было.> Если тебе нужны какие-то специфические гарантии, которых я не понимаю
мне нужно чтобы поставленный неделю назад дистрибутив в точности соответствовал тому, что я ставлю сегодня, например. Включая даже глюки - что-то может быть завязано именно на неправильное поведение, и не поменяешь быстро.
А это в принципе невозможно - тех версий нет, нигде (кроме snapshots, но повторяю, это добрая воля leaseweb, и у них уже пару раз все падало, и с зеркалами такого монстра - туго).В любом (кроме, вероятно, alt) rpm-based дистрибутиве старые пакеты не удаляются - их репо не завязаны на единственно-верную версию. Иногда это обидно (когда там лежит пятьдесят версий той же мурзилы, причем вместе с исходниками и отладочной информацией, вообще неизвестно кому нужной, гигабайты мусора), но иногда оказывается очень ценно.
>> Ты не понимаешь потребителя, который использует софт не для создания другого софта, а для
>> бизнеса, к примеру. Бизнес и его деньги -- любит тишину и предсказуемость рутины.
> я не понимаю - _потребителей_ в мире шв...бесплатного софта.Тогда для кого всё это СПО? Только для программистов? Или я чего-то не понимаю? Ногоед всея опенсоссии вроде писал, что речь о свободе доступа к информации для всех.
На сайтах xBSD и хороших линуксов не наезжают на посетителей и не надуваются от важности, а уведомляют о том, что ты можешь помочь проекту -- если сочтёшь возможным и нужным:
> please _consider_ donating if you would like to see more of this work (NetBSD)
> If you love FreeBSD like we do, please help us spread the word and, if you haven’t already done so, make a donation today.
> Please do consider a donation today: the funds contribute to the stability of this effort and are a good reality check for everyone involved, telling us how much we are all investing in this project to ensure its sustainability (Devuan).и т.п.
И только в русскогорящем секторе на форумах бесконечно тошнят о том, дал ли ты донатов. Да не ваше это дело, ребята. Никто не обязан отчитывать об этом даже перед теми, кому задонатил. Даже налоговая понимает, что это не сокрытие доходов и не какой-то схематоз.
> Мне нужна предсказуемость (gwdg.de рано или поздно сотрет мои любимые архивы, сколько
> можно) - я делаю себе зеркало и пару бэкапов про запас.Тебе никогда не приходило в голову, зачем люди всё-таки создают все эти архивы и зеркала? Нет ли у них какой-то высокой и благотворительной цели.
> Если бы я верил в то что это нужно еще кому-то -
> я возможно что-то из этого даже сделал бы публичным. Ровно до
> тех пор, пока это нужно мне самому.Что есть только у тебя, того нет больше ни у кого. Следовательно, эту информацию можно считать утраченной для рода человеческого. Сомнительное достижение, не?
>> 2.24-11+deb9u1 stable-security
>> 2.24-11+deb9u4 stable
> обрати внимание, за счет чего это сделали - вторую положили в другой
> репо.
> А цифирки как бы намекают, что было еще минимум две. Где они?
> А нигде - репо всего два, и еще можно одну версию держать
> в backports, но у них у каждой свое специальное назначение, поэтому
> на самом деле нельзя, и если бы эта u4 была не
> просто багфиксом, а исправлением безопасности - u1 ты бы уже не
> нашел.Я доверяю проекту и надеюсь, что они знают своё дело. У меня просто нет варианта -- не доверять: я физически не смогу отслеживать изменения софта, не говоря уж о каких-то исправлениях. Даже собрать LFS по мануалу -- это сверхзадача для одного человека, если он не юноша бледный со взором горящим и избытком свободного времени.
> В настройках pkg предусмотрены пути следующего вида:
>
> http://pkg.freebsd.org/FreeBSD:8:i386/latest
>
> На pkg.freebsd.org есть пакеты только для последних релизов. Для упомянутой FreeBSD
> 8 пакетов там нету,А если, поклацав по зеркалам, найду?
http://pkg0.nyi.freebsd.org/FreeBSD:8:i386/latest/Это помимо вполне официальных архивов релизов:
http://ftp-archive.freebsd.org/pub/FreeBSD-Archive/ports/i38.../> На фришном форуме тамошние авторитетные анонимы глубокомысленно вещают, что, дескать, если такой-то релиз EOL, то спешите обмазаться свежим, ароматным.
Погодите, я не расслышал - сколько-сколько вы задонатили на нужды проекта?
> Погодите, я не расслышал - сколько-сколько вы задонатили на нужды проекта?Вы там на кассе, а я у вас что-то покупаю? Если нет -- не задавайте незнакомым людям такие вопросы, это запредельное хамство.
>> На фришном форуме тамошние авторитетные анонимы глубокомысленно вещают, что, дескать, если такой-то релиз EOL, то спешите обмазаться свежим, ароматным.
> Вы там на кассе, а я у вас что-то покупаю? Если нет
> -- не задавайте незнакомым людям такие вопросы, это запредельное хамство.Эталон двойных стандартов из палаты мер и весов.
"Маргинальная ОС" - это TempleOS, например. Применять эту характеристику по отношению к любой из четырёх известных *BSD - унылый троллинг и провокация.
Все хороши, по своему. И Free, и Net, и Open, и Dragonfly.
между прочим стрекоза используют собственную FS HAMMER. может ли этим похвастаться какой-нибудь убунту линукс?
А за чем этим хвастаться? Я бы, скорее, сказал, что ФС Dragonfly не нашла применений за рамками самого дистрибутива (в отличии от той же zfs и прочих).
> Вот интересно, почему автор выбрал самую маргинальную и ненужную из всех *bsd?От любви большой.
"On a personal note, I've kind of gazed enviously at OpenBSD for years, and gladly devoured its general philosophy of programming simple and secure systems. In many ways, WireGuard itself was inspired by the simplicity of approaches found in OpenBSD and the elegance of those interfaces so fastidiously documented in the man pages. So, you might regard it as just a weird historical accident of my own kernel development that this was on Linux, because the influence of the project has clearly been from OpenBSD."
ни х... не понял. Но очень интересно.
Вот оно че, Михалыч! Даа, чую под более распространенные системы ждать не приходится.
потому что авторы нужных и немаргинальных пока жуют сопли.
> потому что авторы нужных и немаргинальных пока жуют сопли.авторы open тоже пальцем не пошевелили - за них все сделал собственно изобретатель вайргада.
Но тут уже ответили, в freebsd мы можем не ждать.
Потому что среди пользователей OpenBSD нашелся человек, который взял и сделал.
> Потому что среди пользователей OpenBSD нашелся человек, который взял и сделал.чисто случайно им оказался человек-разработчик оригинального проекта. Взяли и сделал теперь еще и под openbsd. А под более разумные - не сделал, потому что не хочет. Ну ок, его поделка, ему и решать ее судьбу. Теперь она не "linups only", а "linups only + используемая полутора маргиналами bsd". Ооок. Такая любофф - никто не поймет...
жаль что разрабы плюют на их поклоников. 2020 год, до сих пор нет поддержки SSD.
они просто не могут 20 лет включить TRIM.
Извините, но где видно что это в ядре?
В новости написано же.
Последняя ссылка в первом параграфе.
масленница пришёл. ух, заживём теперь :)
Надеюсь на разумность разработчиков openbsd и они не будут включать это в ядро.
> разумность
> openbsdНеплохая шутка
Тащат годноту под свою недолицензию.
Так не они тащат, а авторы WireGuard им сами запилили и просят взять под недолицензией. Под православной не возьмут же.
такая штука должна быть под всеми лицензиями чтоб даже майкрософт её в винду встроила.
> такая штука должна быть под всеми лицензиями чтоб даже майкрософт её в
> винду встроила.в винде все нормально с 3dparty софтом, включая такой который требует ядерных драйверов. И такой порт - написали, только вот афтырь аригинала покрыл х-ями его разработчиков, заявил что те хотят украсть его суперсекретных котиков и он никому не велит им доверять.
Это в этих ваших 6ешплатных системах 3dparty driver - вещь нереалистичная, потому что stable api is nonsense.
https://git.zx2c4.com/wireguard-openbsd/tree/src/patches/mbu...
Странное изменение: это они GIF так решили выкинуть?
В LibreGuard много чего выкинут
Он не использовался в дереве, они, видимо, решили его зарецайклить.
Плохо, что cover letter такой неподробный. Патч явно заслуживает быть разбитым на отдельные куски с хорошими, детальными комментариями.
С проектами, где засветился Доненфилд вообще нужно быть очень аккуратным. Быстрый впн и разнообразие продуктов - штука хорошая, но всегда нужно обращать внимание на то, кто годноту завозит. Этот перчик - кадровый офицер МО уже больше 5 лет. Одна из особенностей забэкдоривания от АНБ заключается в том, чтобы распределять бэкдор в нескольких продуктах, то есть по отдельности, каждый софт/драйвер/блоб могут быть безобидны, но в условиях продакшена, с той или иной вероятностью формируется среда и условия для отработки бэкдоров. Обычно есть центральный «имплант» и несколько разных коннекторов (через которые инициируется связь с имплантом). Не могу сказать наверняка, но по всем признакам (постоянство, связь, работа на уровне ядра, полное доверие) - именно ваер может быть частью-имплантом.
Откуда дровишки про кадрового офицера? В гугле ничего нет. Аудит сторонними криптографами ничего не выявил. Curve25519 используется в SSH по дефолту. Я уверен, что проатировать 3 тыщи строк openbsd сможет.
Гугл тебе взял и выдал всех агентов под прикрытием
То есть тебе рептилоиды с Марса по секрету рассказали или что?
Вы не в состоянии различать разных комментаторов, ищите инфу об АНБ в гугле, ограничиваете поле закладки только лишь криптой.. Уверены, что вы в правильную и понятную для себя тему залезли?Для других интересантов сделаю уточнение. Информация о Доненфилде в прошлом служебная, верить ей или нет, тут как хотите. Лучше не верить, доказать публичными источниками/ссылками я не могу. Ключевой же темой в моем раннем комментарии было описание принципиальной схемы софтбэкдоринга в постсноуденовскую эпоху, дополнительно интересной в контексте последних событий с включением в ядро линуха вг.
> доказать публичными источниками/ссылками я не могуТогда зачем вы это публикуете? Очевидно же что вас попросят предоставить доказательства этой информации.
Опеннет посещают не только redeye’и, но и действующие сотрудники, просто интересующиеся реальной ИБ, люди любопытные. Я не могу высказывать реальную практику под видом гипотезы, без хотя бы такой ссылки на «факты», требующие внимательного подхода, НО. Для тех, кто когда-либо искал закладки, проектировал их, те кто беспокоится о безопасности не потому что неуловимый, а по реальной необходимости и пр. причастные - вот все эти люди обратят внимание именно на схему. Остальные - мимокрокодил. Я бы рад просветить всех, даже Ананимусов, но не имею на это возможностей, к сожалению.
Чтд. Вся жизнь по гуглу?
Кашмар-то какой, кругом импланты. А ничего что OpenBSD в свое время разрабатывался на деньги МО
Не только МО и не только лишь тогда)) До сих пор КСРБ рядом с Тео трется. Но что это меняет в случае с ваергардом? И зачем тему в сторону уводите?
Такой себе ремэйк наброса про бэкдор ФБР в опенбсдшной реализации ipsec.
И как все это согласуется с лицензионной точки зрения, часть кода WireGuard что ли опубликуют под BSD лицензией
ты видимо путаешь копирование-портирование кода и с нуля написанная реализация.
Изначальный автор WireGuard'а с нуля написал wireguard специально для OpenBSD. Хм-м-м-м, как это согласуется с лицензионной точки зрения...
А вообще странно. В чём был смысл не использовать сразу открытую лицензию, а не вирусно прикрытую?
Потому что засунуть ISC в Linux довольно тяжело :)
А кому какая разница, что там с лицензионными тонкостями? Главное, что 1) работает 2) бесплатно 3) патчи будут.
А чем он лучше strongSwan?
IPSec большой и сложный, WG влезает в три тыщи строк на OpenBSD.
in-kernel ipsec в разы проще. И вряд ли занимает 3000 строк, да и тех половина общая - криптографические библиотеки ядра.Все сложное и ненадежное там предусмотрительно вынесено в userspace. Кстати, open помнится единственная система, вообще не умеющая ipsec без юзерспейс демона. (кроме, конечно, венды, но это неточно)
$ cloc net/ipv4/esp4*.c net/ipv6/esp6*.c net/xfrm/*.c
18 text files.
18 unique files.
0 files ignored.github.com/AlDanial/cloc v 1.84 T=0.08 s (238.9 files/s, 252342.2 lines/s)
-------------------------------------------------------------------------------
Language files blank comment code
-------------------------------------------------------------------------------
C 18 3245 675 15094
-------------------------------------------------------------------------------
SUM: 18 3245 675 15094
-------------------------------------------------------------------------------И это без крипты.
Правда это линукс, щас в open посмотрю.
$ cloc sys/netinet/ipsec_*.c sys/netinet/*psp*.c sys/net/pfkeyv2*
7 text files.
7 unique files.
0 files ignored.github.com/AlDanial/cloc v 1.84 T=0.04 s (182.8 files/s, 213075.4 lines/s)
-------------------------------------------------------------------------------
Language files blank comment code
-------------------------------------------------------------------------------
C 6 1060 935 5723
C/C++ Header 1 49 42 349
-------------------------------------------------------------------------------
SUM: 7 1109 977 6072
-------------------------------------------------------------------------------\Ну тоже немало. И это без учета размазанных по стеку кусков.
ну так чудо-вайргад-то тоже поди без udp померян - без которого он не жизнеспособен.
А без него типа UDP кода в ядре не будет, лол.
Ну как бэ механизмы обмена ключами к IPSEC относиться весьма косвенно. IPSEC и на симметричных ключах без механизмов обмена в целом работает.
в целом - работает, только как его включить в именно open? ;-)(мне на самом деле гораздо интереснее - как это сделать в винде, но, похоже, ответ - никак)
> как его включить в именно open? ;-)Тут http://www.openbsd.org/faq/faq17.html написано, как, примерно, это делается.
Али не работает что?
Не работает то что ты не смог прочитать: работа ipsec без ike в принципе. Насколько я вижу - фак по настройке iked, зачем он мне?Между линуксом и фрей - работает. Между циской и линуксом - работает. В проклятой, имени корпорации зла - не работает. Ну так корпорация - зла!
> Не работает то что ты не смог прочитать: работа ipsec без ike
> в принципе. Насколько я вижу - фак по настройке iked, зачем
> он мне?Я действительно пропустил про "без ike" и обратил внимание только на симметричные ключи.
Судя по /etc/examples/ipsec.conf и https://man.openbsd.org/ipsec.conf.5 то, что ты хочешь, таки возможно (но я не проверял на практике).
Что-то типа такого (пример из examples выше):
# Set up a tunnel using static keying:
#
# The first rule sets up the flow; the second sets up the SA. As default
# transforms, ipsecctl(8) will use hmac-sha2-256 for authentication
# and aes for encryption. hmac-sha2-256 uses a 256-bit key; aes
# a 128-bit key.flow esp from 192.168.7.0/24 to 192.168.8.0/24 peer 192.168.3.2
esp from 192.168.3.1 to 192.168.3.2 spi 0xabd9da39:0xc9dbb83d \
authkey 0x54f79f479a32814347bb768d3e01b2b58e49ce674ec6e2d327b63408c56ef4e8:0x7f48ee352c626cdc2a731b9d90bd63e29db2a9c683044b70b2f4441521b622d6 \
enckey 0xb341aa065c3850edd6a61e150d6a5fd3:0xf7795f6bdd697a43a4d28dcf1b79062dА если не секрет, чем хуже вариант с IKEv2?
тем что демон дыряв by design.И там где я могу не бояться одновременно гугля, nsa и cia, шпионящих за мной, от васяна я вполне надежно защищен статическим никогда не меняемым ключом.
> Судя по /etc/examples/ipsec.conf
а его кроме интерфейсной оболочки для iked кто-то читать-то вообще собирался?
У остальных-то есть setkey для ручного управления sa, который никаких демонов не будит.
"Security Associations can be set up manually with ipsecctl(8) or automatically with the isakmpd(8) or iked(8) key management daemons."( https://man.openbsd.org/ipsec.4 )
Раскрой мысль плиз, про пресловутую "дырявость by design" или посоветуй, где почитать?
описания ipsec почитать, вероятно.Ну или просто оценить количество ручек-глючек-вариаций настроек, и понять, что этот дремучий ентерпрайс не может в принципе быть реализован целиком, совместимо и надежно - даже если выбрать любые два.
Хотя сам по себе, без ike - прост как палка в руках неандертальца.
А, ты об этом. В этом я с тобой скорее согласен.
Но я думал у тебя какие-то конкретные претензии именно к iked/isakmpd.
Нет, я даже вполне мог бы поверить (до недавних детских ошибок) что он не хуже и не ненадежнее racoon{,2} не говоря уж про strongswan
ЧЕ там большого и сложного? IKE?
В StrongSwan примерно 350 тысяч строк кода _только_ на C.
> В StrongSwan примерно 350 тысяч строк кода _только_ на C.Ты мух то от котлет отдели, там напихано все что только можно. А в реальной эксплуатации ты пользуешь процентов 10% из всего что там напихано.
Ну так это и называется "большой и сложный". Шансов обосраться с очередным zero day на кодовой базе в 350 тысяч строк значительно проще, чем на кодовой базе в 3.5 тыщи строк.
https://cve.mitre.org/cgi-bin/cvekey.cgi?keyword=strongswan29 эксплоитов с 2004 года? И сколько из них zero-day?
Сколько из них ещё не нашли? Сколькими из них не поделились?
> Сколько из них ещё не нашли? Сколькими из них не поделились?Ну так и в wireguard непонятно сколько.
Wireguard? В котором 3.5k строк? Который можно целиком за вечер прочитать?
> Wireguard? В котором 3.5k строк? Который можно целиком за вечер прочитать?Ну, ниже уже написали, что в ядерном ipsec те же самые 3000 строк. А для того, чтобы уязвимости в юзерспейсе играли роль, надо, чтобы уязвимыми местами тоже кто-то пользовался.
Ну, то есть, я не утверждаю, что wireguard плох, но пока его триумфальность не очевидна.
> А для того, чтобы уязвимости в юзерспейсе играли роль, надо, чтобы уязвимыми местами тоже кто-то пользовался.Ты думаешь там 400 тыщ строк кода, которыми никто не пользуется? :)
ну, вообще-то, в целом.... ДА! ;-)Во всяком случае, этих удивительных особей ученые в природе практически не обнаружили. Такое впечатление, что стандарт делали нарочно чтоб надежную реализацию написать было невозможно. Но, разумеется, Хэнлон подсказывает, что нет.
ну, типа, для установки соединения и rekeying не нужен здоровенный невменяемый и к тому же сто раз уже ломанный демон в юзерспейсе.Линуксные измеризмы еще показали, до кучи, чуть лучшую скорость на идеальном тестовом примере без потерь, но это может у них в линуксе ipsec такой.
> ну, типа, для установки соединения и rekeying не нужен здоровенный невменяемый и
> к тому же сто раз уже ломанный демон в юзерспейсе.
> Линуксные измеризмы еще показали, до кучи, чуть лучшую скорость на идеальном тестовом
> примере без потерь, но это может у них в линуксе ipsec
> такой.Ну, демон наверняка появится. Просто к гадалке не ходи, вся эта пки просто так не делается.
В Wireguard нет PKI, нет revocation листов и прочей ерунды. Просто два чувака обмениваются ключами, как в SSH.
> В Wireguard нет PKI, нет revocation листов и прочей ерунды. Просто два чувака обмениваются ключами, как в SSH.Кто тебе мешает самому написать свой интерфейс управления conf файла wireguard?
> нет revocation листов
Удаляешь пир и конфига вот тебе и revocation, больше он не подключится.
А зачем мне все это писать если он и так отлично работает?
В SSH есть CA, revocation lists и всё такое.
Это нужно только для подписанных ключей.
> Это нужно только для подписанных ключей.Именно, - подписанные теми кто авторизует доступ к куче ресурсов с возможностью ограничивать даже "root"-oв через principal механизм в зависимости куда одним можно лазить а другим нет и удобством управления стандартизированного, проверенного временем механизма.
> Именно, - подписанные теми кто авторизует доступ к куче ресурсов с возможностью ограничивать даже "root"-oв через principal механизм в зависимости куда одним можно лазить а другим нет и удобством управления стандартизированного, проверенного временем механизма.Правда SSH не умеет шарить все это самостоятельно и все публичные CA ключи все равно раскидываются по нодам тем же Ansible, но какая разница :D
> нет PKI, нет revocation листов и прочей ерунды.Ерунды говоришь?
А если у тебя клиентов размером в четыре циферки?
С PKI админ подписывает CSR и отдает клиенту CRT для пользования, не дотрагиваясь ни до одного сервaка... в случае же с новой игрушкой, необходимо передергивать конфиги на всех серваках.
> С PKI админ подписывает CSR и отдает клиенту CRT для пользования, не дотрагиваясь ни до одного сервaка... в случае же с новой игрушкой, необходимо передергивать конфиги на всех серваках.В случае с новой игрушкой админ пишет в git репозиторий и нажимает 'git push', после чего за него все делает Ansible.
>после чего за него все делает Ansible.Вот именно -> привлечение кучи (git, ansible/python) стороннего софта, открывающего дополнительные векторы атак. Плюс, каждый новый админ придумывает новую систему, - "а кому же принадлежит ентот килючик"
> Вот именно -> привлечение кучи (git, ansible/python) стороннего софта, открывающего дополнительные векторы атак. Плюс, каждый новый админ придумывает новую систему, - "а кому же принадлежит ентот килючик"Если у вас нет в конторе нет системы деплоя (ansible, chef, puppet, whatever), то ключики в WG добавить это далеко не самая большая проблема :D
> Если у вас нет в конторе нет системы деплоя (ansible, chef, puppet,
> whatever), то ключики в WG добавить это далеко не самая большая
> проблема :DДеплой и контроль над доступом - принципиально разные вещи!
Деплоить ключи через механизмы деплоя - это все равно, что посылать баксы в конверте через обычную почту. Именно поэтому, теми кто шарит в криптографии давно был придуман очень простой и эффективный PKI, в котом -НЕ НУЖНО ничего деплоить, тем более через софт который переодически "0-day"
> Деплой и контроль над доступом - принципиально разные вещи!Шта? Какая тебе разница, что деплоить на сервера?
Разница только в том, что меня немедленно попрут с работы, если я начну деплоить ключи доступа через ansible
> Разница только в том, что меня немедленно попрут с работы, если я начну деплоить ключи доступа через ansibleНу так это проблемы твоей работы, что я могу сказать.
Если у тебя дыра в деплое, то на твои торчащие наружу вебсервера зальют telnet и никакой VPN тебя уже не спасет :D
> Если у тебя дыра в деплое, то на твои торчащие наружу вебсервера
> зальют telnet и никакой VPN тебя уже не спасет :DОк, я все понял, деплойте дальше доступ через ansible ;)
Ты так говоришь, как будто это что-то плохое.
> Ты так говоришь, как будто это что-то плохое.Я уже ответил, - чем это плохо, не знаю , что еще добавить...
> Я уже ответил, - чем это плохо, не знаю , что еще добавить...Нет, не ответил. Кроме ААААА МЕНЯ УВОЛЯТ аргументов как-то не было особо.
>> Я уже ответил, - чем это плохо, не знаю , что еще добавить...
> Нет, не ответил. Кроме ААААА МЕНЯ УВОЛЯТ аргументов как-то не было особо.Читай выше, если тебе коненчо это надо...
Не знаю, боишься ansible? Ну сливай файлик с ключами wget'ом раз в 5 секунд с If-Modified и раскатывай скриптом. Проблема реально придуманая.
Добавлять, имхо, и нечего, ты всё правильно сказал.
Кроме того, что публичный ключ CA и revocation list все равно придется раскидывать по тем же нодам тем же Ansible :D
> Кроме того, что публичный ключ CA и revocation list все равно придется
> раскидывать по тем же нодам тем же Ansible :DПубличный ключ и crl - не есть секрет !
> Публичный ключ и crl - не есть секрет !Публичный ключ (в authorized_keys добавлются публичные ключи, лол) ВНЕЗАПНО тоже не секрет :D
>> ну, типа, для установки соединения и rekeying не нужен здоровенный невменяемый и
>> к тому же сто раз уже ломанный демон в юзерспейсе.
>> Линуксные измеризмы еще показали, до кучи, чуть лучшую скорость на идеальном тестовом
>> примере без потерь, но это может у них в линуксе ipsec
>> такой.
> Ну, демон наверняка появится. Просто к гадалке не ходи, вся эта пки
> просто так не делается.Любит народ изобретением велосипедов заниматься, а так то и Kerberos за PKI весьма неплохо пойдет.
> Любит народ изобретением велосипедов заниматься, а так то и Kerberos за PKI
> весьма неплохо пойдет.Сорри IKE :)))
НО ЗАЧЕМ? Весь профит Wireguard в том, что он тупой как валенок. Это же прекрасно!
> НО ЗАЧЕМ? Весь профит Wireguard в том, что он тупой как валенок.
> Это же прекрасно!Не спорю - прекрасно, но ключики - стоящие годами на VPN - это очень плохая практика :)
Почему? Для публичных сертификатов критически важно иметь expiration date, потому что сертификат валиден до тех пока, пока валиден CA, и revocation list лопнет, если пихать туда ВСЕ сертификаты выпущенные CA. А с ключами-то в чем проблема?
>revocation list лопнетА вы пробывали ? CRL держит только подписанные CN имена, и если у вас CRL больше чем мегабайт, то вы скорее всего админ у гугла :)
Представь, что у сертификата нет expiration date и тебе нужно хранить все сертификаты Let's Encrypt, котоорые протухают каждые три месяца.
> Представь, что у сертификата нет expiration date и тебе нужно хранить все
> сертификаты Let's Encrypt, котоорые протухают каждые три месяца.Вы о чем?
"Представь что ты птица, но ты не птица и тебе надо учитывать таких птиц..."
LetsEncrypt сертификаты - все без исключения с expiration.Выдавать безсрочные сертификаты - глупо. Это не проблема PKI, а двоечника админа.
Еще раз, CN(common name) махимум 64 символа. CRL держит только эти именна.
Для примера, VerySign CRL файл всего навсего размером в 125Кб, что при нынешнем оборудовании - меньше чем самая поганая фотка
О господи... ты вообще прочитал на что отвечаешь? По-моему, нет.
Для малого бизнеса и для "дома" пойдет, но не для серьезного бизнеса.
Управлять nameless ключами - это вообще не серьезно... Передергивать конфиги на всех серваках при добавлении/удалении клиентов на большой сети - это просто дурдом. Плюс, нет верификации серверов и клиентов относительно СА, что есть потенциальный MITM
> Для малого бизнеса и для "дома" пойдет, но не для серьезного бизнеса.Для site2site туннелей это вообще идеальная штука. Для b2b тоже.
>Управлять nameless ключами - это вообще не серьезно...
Ну да, ну да, SSH в интерпрайзе нет.
> Передергивать конфиги на всех серваках при добавлении/удалении клиентов на большой сети - это просто дурдом.
Hint: именно это самое делает OpenAccess, когда ты юзера блокируешь :D
> Плюс, нет верификации серверов и клиентов относительно СА, что есть потенциальный MITM
Какой к чертям MITM? Верификация относительно CA нужна тогда, когда у тебя есть сертификт, полученный через недостоверный источник (ты зашел на https://yandex.ru и он сам отдал тебе свой сертификат). Если у тебя и клиент, и сервер, шарят ключи заранее по доверенному каналу, никакая валидация относительно CA не нужна, лол.
> Для site2site туннелей это вообще идеальная штука. Для b2b тоже.Все зависит от необходимости уровня защиты сети, размера сети, похеризма и параноии...
Новомодные 32 байтовые ключи на элиптических кривых - это эквивалент 2048-3072бит RSA что не считается уже давно достаточным уровнем(после того, как гугля достигла квантумной супримаси).>>Управлять nameless ключами - это вообще не серьезно...
> Ну да, ну да, SSH в интерпрайзе нет.Не понял иронии... SSH поддерживает PKI, где можно создавать имеенованные сертификаты, которые хорошо видны в логах...
>> Передергивать конфиги на всех серваках при добавлении/удалении клиентов на большой сети - это просто дурдом.
> Hint: именно это самое делает OpenAccess, когда ты юзера блокируешь :DКакой OpenAccess?
На серваках лежит только публичный ключ СА. Все. Все что подписанно им, - истина.
Никто ничего не передергивает/рестартует/добавляет/удаляет на серваках. Никахих добавлений в authorized_keys и их родствеников в других протоколах. Клиент присылает мне CSR, я его верифицирую через как миниум 3 независимых канала, подписываю его, и отправляю обратно CRT(или если ресурс очень важный, то из рук в руки под подпись). Теперь он может заходить туда где есть наш публичный СА и делать только то, что ему разрешили через principal(прописанный в сертификате) Никаких конектов к сервакам или мороки с деплоями (через стороний софт тем более). Единственное что должно быть на серваках - публичный СА ключ.>> Плюс, нет верификации серверов и клиентов относительно СА, что есть потенциальный MITM
> Какой к чертям MITM? Если у тебя и
> клиент, и сервер, шарят ключи заранее по доверенному каналу, никакая валидация
> относительно CA не нужна, лол.Такое впечатление, что мы с разных планет. Технология работает не только на просторах хттп.
Доверенный канал - это что ? гмэйл, яндекс? Может ssh ? И вы правда по телефону сравнивали фингерпринты? Со всеми сотнями серверов? Если есть канал, он может быть МИТМ. Если нет верификации ключей, то МИТМ можно организовать. Лолайте дальше ;)
> Все зависит от необходимости уровня защиты сети, размера сети, похеризма и параноии...
> Новомодные 32 байтовые ключи на элиптических кривых - это эквивалент 2048-3072бит RSA что не считается уже давно достаточным уровнем(после того, как гугля достигла квантумной супримаси).В Wireguard есть опциональный Preshared Key на этот случай. Учитывая, что нет готового решения для пост-квантовой криптографии (кроме PSK), я не понимаю, чего ты конкретно хочешь :D
> Не понял иронии... SSH поддерживает PKI, где можно создавать имеенованные сертификаты, которые хорошо видны в логах...
Логи SSH? Глазами? Серьезно? :D
> Какой OpenAccess?
OpenVPN Access. Ынтырпрайз для любителей OpenVPN.
> Никто ничего не передергивает/рестартует/добавляет/удаляет на серваках. Никахих добавлений в authorized_keys и их родствеников в других протоколах. Клиент присылает мне CSR, я его верифицирую через как миниум 3 независимых канала, подписываю его, и отправляю обратно CRT(или если ресурс очень важный, то из рук в руки под подпись). Теперь он может заходить туда где есть наш публичный СА и делать только то, что ему разрешили через principal(прописанный в сертификате) Никаких конектов к сервакам или мороки с деплоями (через стороний софт тем более). Единственное что должно быть на серваках - публичный СА ключ.
Правда есть три маленькие детали. Во-первых, на публичный ключ CA на сервера должен как-то попасть. На _каждый_ SSH сервер. Вы его туда руками добавляете? :D
Во-вторых, revocation list должен попадать на сервера ASAP. На _каждый_ SSH сервер. Вы его туда руками добавляете?
Ну и политики в /etc/ssh тоже должны как-то попадать :D
Если вы добавляете это все руками, то это просто комедия. Если вы пушите это через Ansible/Puppet/Chef, то расскажи мне САКРАЛЬНУЮ РАЗНИЦУ В БЕЗОПАСНОСТИ между записью файликов в /etc/ssh, и записью файликов в /root/.ssh/authorized_keys, ~user1/.ssh/authorized_keys. Учитывая, что делать это нужно на тех же самых SSH хостах :)
> Доверенный канал - это что ? гмэйл, яндекс? Может ssh ? И вы правда по телефону сравнивали фингерпринты? Со всеми сотнями серверов?
Какой сотней серверов, если речь про Wireguard? Который VPN? У тебя сто VPN серверов? :D
> Если есть канал, он может быть МИТМ. Если нет верификации ключей, то МИТМ можно организовать.
Тока ты забыл про одну маленькую деталь. Сертификат для проверки CA тоже нужно как-то доставить клиенту :D
> В Wireguard есть опциональный Preshared Key на этот случай.Канал передачи ключей проверенный???
>Логи SSH? Глазами? Серьезно? :D
Я все никак догнать не могу, что смешного???
# cat /var/log/secure | grep 'user_root12'
May 12 16:31:44 ХОСТ sshd[23637]: Accepted publickey for root from хх.хх.хх.хх port 7266 ssh2: RSA-CERT ID user_root12 (serial хххххххх) CA RSA SHA512:хххххххххххххххххххххххххх
>Правда есть три маленькие детали. Во-первых, на публичный ключ CA на сервера должен как-то попасть. На _каждый_ SSH сервер. Вы его туда руками добавляете? :DНу да, руками, на первой исталяции, приходит/приезжает/прилетает технарь, ему под подпись выдаются публичные ключи, которые они уже устанавливают через иммиджинг систему.
Я же уже сказал, все зависит от систем, которые вы обслуживаете, если это вордпрессы на AWS, это дело одно, а если это военка, финансы, электростанции и т.д. и т.п. то это совсем другое дело...>Во-вторых, revocation list должен попадать на сервера ASAP. На _каждый_ SSH сервер. Вы его туда руками добавляете?
Когда система уже доверенная, то доставка идет через проверенный, верифицированный канал и CRL в этом случае уже не есть секрет, т.к. он это просто публичный ключ подписанный тем же СА...
> Когда система уже доверенная, то доставка идет через проверенный, верифицированный канал и CRL в этом случае уже не есть секрет, т.к. он это просто публичный ключ подписанный тем же СА...Какой верифицированный канал, лол? Как ты CRL на сервер доставляешь?
серьёзный бизнос - это там кде админ в танчики играет, вместо того чтобы работать?
Похоже Линус любит тупые вещи. Сначала линукс, потом гит, теперь и эту поделку.
Тео тоже нравится.
Что скажет дядя Тео?
Не нужно!
Тео первым делом потроллил на тему инструкции по установке вида "ftp|sh":
https://marc.info/?l=openbsd-tech&m=158926552405950&w=2
Теперь црушный зонд и в опёнке будет, если примут.
А то у них до этого момента там не было зонда. Зонды и бэкдоры есть в каждой ОС. Сноуден подтверди...
да ты прав бро, радужные курвы25519 от рубинштейнера много куда запихали, вычистить нереально, миллионам мух все равно куда и сколко вставлено а полтора по ехавших шизика для строителей третьего храма опасности не представляют.
> по ехавших шизика для строителей третьего храма опасности не представляют.тебе же почтальон Печкин из небезызвестного опуса - на практике показал, как именно абсолютно надежно предотвратить постройку третьего храма.
Вперед!