forum.opennet.ru

"Итоги встречи разработчиков OpenBSD в Словении: nginx займет..."

Форум Разговоры, обсуждение новостей
Версия для распечатки	Пред. тема \| След. тема

Исходное сообщение

[ Отслеживать ]

Подсказка: Для слежения за появлением новых сообщений в нити, нажмите "Проследить за развитием треда".

. "Итоги встречи разработчиков OpenBSD в Словении: nginx займет..."	+/–
Сообщение от PereresusNeVlezaetBuggy (ok), 27-Сен-11, 14:01
>> Но почему-то решил, например, что разделение привилегий между процессами - бесполезная >> вещь. То ли он решил, что программа от имени пользователя обязательно >> найдёт уязвимость в ядре, то ли ещё что-то странное... Так что > Не программа, а skilled attacker. Эту критику нужно воспринимать в контексте полного > (на тот момент) невнимания команды OpenBSD к защите ядра, В плане, невнимания к защите ядра? Сначала разработали технологию, потом начали внедрять. Тот же SSP в ядре появился тогда, в 2003: revision 1.6 date: 2003/05/13 06:11:11; author: tedu; state: Exp; lines: +10 -1 support for propolice in the kernel. some style input itojun@ tdeval@ toby@ tested, mostly by deraadt, on i386, macppc, vax, sparc64 ok deraadt@ miod@ Поясните, что вы подразумеваете под защитой ядра? И в чём конкретно претензия? > полной тишины > на эту тему в слайдах, а также слишком поверхностной и потому > некорректной оценки эффективности упомянутых защит. В конкретно отмеченном мною случае более поверхностным _местами_ показал себя именно этот эксперт. > Смысл в разделении привилегий существует только при условии надлежащей защиты ядра. Спорить > на эту тему можно только с неуловимыми джо, однако презентация явно > рассчитана не только на них. Погодите, погодите. Эффект любой защиты в конкретной ситуации может быть нивелирован брешью "на соседнем участке". Это действительно, понятно даже ёжику. Но по вашей логике, получается, вообще ничего делать не надо, если только не всё сразу? Была произведена подмена темы, вы разве не видите? Вместо защитного механизма речь зашла о совсем другом участке кода. Из серии: "Ну и что, что 4x4, всё равно задних сидений нет". Это был банальный софизм, а вы его ещё и защищаете почему-то. >> о его квалификации лично я в итоге ещё менее высокого мнения. >> :) > Этот не очень квалифицированный аффтар недавно получил Pwnie for Lifetime Achievement. > ;) > http://pwnies.com/winners/#lifetime Не лично, прошу заметить. ;)
Ответить \| Правка \| Наверх \| Cообщить модератору

Оглавление

Итоги встречи разработчиков OpenBSD в Словении: nginx займет..., opennews, 24-Сен-11, 11:34 [смотреть все]

Давно пора , Аноним, 24-Сен-11, 11:34 (1)
Не понял, в чем принципиальная разница нескольких экземпляров ntpd и одного, слу, Аноним, 24-Сен-11, 11:39 (2) //
- Один процесс ntpd может слушать сразу на нескольких айпишниках, это-то ни разу н, PereresusNeVlezaetBuggy, 24-Сен-11, 12:19 (3) //
  - А, имеется ввиду запуск процесса с альтернативной таблицей маршрутизации, вроде , НонАнон, 24-Сен-11, 13:06 (4) //
    - Покруче чем Freebsd В openbsd в каком то виде MPLS уже есть Правда говорят что, Аноним, 24-Сен-11, 13:08 (6)
      - Ну, когда только-только импортировали да Несколько разработчиков его используют, PereresusNeVlezaetBuggy, 24-Сен-11, 13:19 (8)
  - Может, проще будет сделать как у пингвинов, возможность выбора домена маршрутиза, Аноним, 25-Сен-11, 16:16 (27) //
    - Эм Вот у вас два домена маршрутизации В одном из них ваш айпишник 192 168 0 4 , PereresusNeVlezaetBuggy, 25-Сен-11, 18:33 (30)
      - И они оба висят на одном сетевом интерфейсе, да , Аноним, 25-Сен-11, 20:18 (35)
        
        Позвольте процитировать ваши слова Слово интерфейс здесь отсутствует Что касае, PereresusNeVlezaetBuggy, 26-Сен-11, 02:27 (38)
        
        Вы полагаете, мне стоило перечислить _все_ критерии, которые могут быть использо, Аноним, 26-Сен-11, 14:02 (43)
        
        Все, не все, но вы бы лучше уточнили сами сразу А то догадки бывают и ошибоч, PereresusNeVlezaetBuggy, 26-Сен-11, 14:40 (44)
        
        Вместо доменов маршрутизации там используются отдельные таблицы маршрутизации, у, Аноним, 26-Сен-11, 15:38 (47)
        
        Гм А в чём принципиальное отличие от match rtable N смена таблицы мар, PereresusNeVlezaetBuggy, 26-Сен-11, 16:49 (49)
        
        А я, вот, не понял Передача дескрипторов требует явного вызова send recvmsg 2 ,, коксюзер, 26-Сен-11, 18:02 (53)
        
        Для возможности принять сокеты - да, код нужно модифицировать Собственно, сейч, Аноним, 26-Сен-11, 19:23 (58)
        
        Вот про это я и говорил Еще бы добавить возможность тегирования непосредственно, Аноним, 26-Сен-11, 19:40 (59)
        
        Гм Для вас домены маршрутизации - это костыли Бывает Да, с момента появлени, PereresusNeVlezaetBuggy, 26-Сен-11, 22:58 (74)
        В современном, жестком и дубовом их виде - да Да, точно Про аналог rtable было , Аноним, 27-Сен-11, 00:16 (78)
        Дубовом o_O А мужики-то и не знают Я-то думал, что когда получается быстрее п, PereresusNeVlezaetBuggy, 27-Сен-11, 01:41 (80)
- sshd тоже можно было бы подправить Чтобы биндился на каждый интефейс в отдельном, Аноним, 24-Сен-11, 13:09 (7) //
  - Для sshd проблемы нет, одновременная работа нескольких на одном компьютере пробл, PereresusNeVlezaetBuggy, 24-Сен-11, 13:21 (9) //
    - Мне кажется, или запуск _программы_ утилитой _маршрутизации_ это довольно криво , Аноним, 24-Сен-11, 20:05 (19)
      - Наоборот, это позволяет избежать необходимости как-либо модифицировать код этих , PereresusNeVlezaetBuggy, 24-Сен-11, 20:32 (21)
        
        Это такое закамуфлированное оправдание - мол, свое - не пахнет Такой подход - к, Аноним, 25-Сен-11, 23:18 (36)
        
        Это чистой воды прагматизм Или благородный дон предлагает переписывать ВЕСЬ вза, PereresusNeVlezaetBuggy, 26-Сен-11, 02:18 (37)
        
        Мне кажется, для таких ребят в базовой системе надо иметь программу setfib как ж, kibab, 26-Сен-11, 10:15 (40)
        В каком месте документации представлены доказательстваслов proactively secure , vle, 26-Сен-11, 17:48 (50)
        
        На больное место давите , коксюзер, 26-Сен-11, 17:55 (51)
        
        На самом деле нет Я не такой злобный Просто хочу ставнить сhttp netbsd gw co, vle, 26-Сен-11, 18:07 (54)
        
        Ну и capsicum до кучи, vle, 26-Сен-11, 18:22 (55)
        Солидно Верной дорогой идут товарищи Разве что kauth увлеклись, а из документи, коксюзер, 26-Сен-11, 18:29 (56)
        
        Как раз здесь кое-чего и не хватает IMHO Не понял Если даже реализованное нигде , vle, 26-Сен-11, 18:49 (57)
        Да, но начало хорошее Они реализовали только защиту от одного из распространённы, коксюзер, 26-Сен-11, 20:04 (61)
        Я не понимаю, кто они NetBSD или OpenBSD Если первое, то хотелось бы глянуть на, vle, 26-Сен-11, 20:27 (63)
        NetBSD Впрочем, OpenBSD тоже если только что-то не изменилось за последние пол, коксюзер, 26-Сен-11, 21:01 (65)
        Насколько помню, в OpenBSD W X есть и в ядре, если не забуду - уточню позже Мож, PereresusNeVlezaetBuggy, 26-Сен-11, 21:34 (69)
        Уточните, пожалуйста Надо же Значит, я не застал Возможно В детали реализации , коксюзер, 26-Сен-11, 21:48 (70)
        Посмотрел Ничего похожего, на самозащиту ядра в виде W X не нашёл по крайней м, PereresusNeVlezaetBuggy, 27-Сен-11, 03:24 (82)
        Вы лучше спросите А то все ищут, никто не находит, а вопрос повис Ядро не должн, коксюзер, 27-Сен-11, 05:28 (85)
        Да-да, хотя бы для того, чтобы хвастаться в следующий раз качеством документации, vle, 27-Сен-11, 12:42 (87)
        Так насколько я понимаю, там тоже не всё перечислено Или всё От таких баек , PereresusNeVlezaetBuggy, 28-Сен-11, 05:08 (109)
        Ну, не совсем все Например о том, что NetBSD - единственная система, гдезалатан, vle, 28-Сен-11, 10:01 (115)
        Вот не поленился, прочитал их man - единственное упомянутое отличие от прочих си, guest, 28-Сен-11, 12:30 (117)
        fchdir 2 fchdir will fail and the current working directory will be unch, vle, 28-Сен-11, 13:05 (120)
        Так при этом fd open chroot foo fchroot fd прекрасно отработает я не , guest, 28-Сен-11, 13:29 (121)
        work cat fchdir c include stdlib h include fcntl h include unistd h int ma, vle, 28-Сен-11, 14:23 (122)
        Я вам верю, что fchdir работает как написано в man Но посмотрите вниматель, guest, 28-Сен-11, 14:35 (123)
        Про fchroot я уже ответил Он требует root-а Защищать fchroot при условии, что r, vle, 28-Сен-11, 14:53 (124)
        Дошло, спасибо Здорово Единственное значимое отличие которое заметил - shmat , guest, 28-Сен-11, 15:25 (125)
        gt оверквотинг удален Ну вот и получается, что не всё в одном месте secure, PereresusNeVlezaetBuggy, 28-Сен-11, 17:35 (126)
        На secmodel_securelevel 9 есть ссылка из security 7 AFAIK security 7 в NetBSD, vle, 28-Сен-11, 18:26 (127)
        Intel Работает, включая 3D Сейчас отлаживают полноценную поддержку Sandy Bridg, PereresusNeVlezaetBuggy, 29-Сен-11, 01:55 (128)
        Замечательно Ну, десктоп дома на статистику не тянет Нужен какой-то более менее, vle, 29-Сен-11, 12:47 (131)
        o_O Надёжности - да что, в принципе, конечно, отчасти связано с безопасностью , PereresusNeVlezaetBuggy, 26-Сен-11, 21:18 (67)
        Не вводите в заблуждение Ни у кого таких гонок нет и не было Нет, именно честн, коксюзер, 26-Сен-11, 21:29 (68)
        Гм Кстати да, чего-то я ступил Зато другой процесс сможет, посредством механизм, PereresusNeVlezaetBuggy, 26-Сен-11, 22:12 (71)
        Я имел ввиду, что ни у кого не было таких race conditions с временным окном для , коксюзер, 26-Сен-11, 23:22 (75)
        По-моему тут набор взаимоисключающих параграфов написан Первое - главное Тольк, Аноним, 27-Сен-11, 15:43 (94)
        Если не будет параллельной работы userland-кода, то весь супер-пупер-быстрый вво, PereresusNeVlezaetBuggy, 28-Сен-11, 01:01 (101)
        Если не будет возможности распараллелить I O для задачи, которая не CPU-bound а, Michael Shigorin, 28-Сен-11, 12:42 (118)
        Ввод-вывод не может ни во что упереться, а программа ничего не должна , Аноним, 02-Окт-11, 07:53 (141)
        gt оверквотинг удален И-и-и Где я писал, что ядро упрётся в userland Я гово, PereresusNeVlezaetBuggy, 08-Окт-11, 04:36 (144)
        Это на сейчас неверный подход и самоуспокоение Конкретно у меня на сборочном н, Michael Shigorin, 08-Окт-11, 12:50 (145)
        Сборка как бы всегда нагружала в первую очередь процессор А в случае tmpfs г, PereresusNeVlezaetBuggy, 08-Окт-11, 19:30 (146)
        Смотря какая, сишное барахлишко уже довольно давно летит струёй, не загружая ядр, Michael Shigorin, 09-Окт-11, 21:05 (147)
        
        Гм Какое отношение это имеет к обсуждаемой теме Ну да ладно Единого списка, AF, PereresusNeVlezaetBuggy, 26-Сен-11, 20:39 (64)
        
        Ну, темы тут обсуждаются всё-таки разные, не только новость Не остальное, а куцы, коксюзер, 26-Сен-11, 21:11 (66)
        
        Если уж делать нормальное ревью, то всё равно надо лезть в код А то, например, , PereresusNeVlezaetBuggy, 26-Сен-11, 22:21 (72)
        
        gt оверквотинг удален Да я уже устал повторять И не я один В IRC эта тема за, коксюзер, 26-Сен-11, 23:45 (76)
        gt оверквотинг удален http marc info l openbsd-misc m 117404837006368 w 2Ош, PereresusNeVlezaetBuggy, 28-Сен-11, 03:47 (105)
        gt оверквотинг удален http pwnies com archive 2007 winners lamestvendorhttp, коксюзер, 28-Сен-11, 06:31 (112)
        
        Скажите, а где можно почитать подробнее про все эти интересные и увлекательные и, Аноним, 26-Сен-11, 22:32 (73)
        
        В комментах на опеннете я неоднократно описывал ситуацию Можете почитайть таймл, коксюзер, 27-Сен-11, 00:12 (77)
        Хм Складывается такое впечатление, что разработчики OpenBSD среди профессиональ, Аноним, 27-Сен-11, 00:41 (79)
        Ничего не делают - слишком громко сказано Но многое для существенной защиты ОС , коксюзер, 27-Сен-11, 02:30 (81)
        Аффтар местами, конечно, по делу прошёлся с PaX действительно по-дурацки вышло,, PereresusNeVlezaetBuggy, 27-Сен-11, 03:41 (83)
        Это как раз не главное Не программа, а skilled attacker Эту критику нужно воспр, коксюзер, 27-Сен-11, 05:13 (84)
        В плане, невнимания к защите ядра Сначала разработали технологию, потом начали , PereresusNeVlezaetBuggy, 27-Сен-11, 14:01 (89)
        Это всего лишь защита от линейных переполнений, которая на тот момент была а мо, коксюзер, 27-Сен-11, 19:06 (95)
        Проверил сейчас GCC в базе, канарейка генерится уникальная для каждой функции на, PereresusNeVlezaetBuggy, 28-Сен-11, 03:23 (103)
        Уязвимость к утечке может быть где угодно Главное, чтобы утечка произошла с адр, коксюзер, 28-Сен-11, 05:12 (110)
        Люди, занимающиеся безопасностью в NetBSD, с большим уважением относятсяк проект, vle, 28-Сен-11, 09:52 (114)
        Интерес есть, но этого мало, пока среди разработчиков нет ни одного высококлассн, коксюзер, 29-Сен-11, 04:17 (129)
        Вот это да Сделать такие выводы даже не познакомившисьи не пообщавшись с народо, vle, 29-Сен-11, 12:37 (130)
        Зря вырываете слова из контекста Будь он хоть трижды гуру, работает он не в том, коксюзер, 29-Сен-11, 12:59 (132)
        http www stihi-rus ru 1 Mayakovskiy 66 htmФункции kauth в другом, совсем в дру, vle, 29-Сен-11, 13:32 (133)
        Не понимаю, к чему Давайте без намёков В другом по сравнению с чем Если разрабо, коксюзер, 29-Сен-11, 14:12 (134)
        kauth - не для зашиты от rootkit-ов, а для реализациикастомных политик бьезопасн, vle, 29-Сен-11, 14:59 (136)
        О руткитах речи не шло Наличие в системе руткита - следствие её полной компроме, коксюзер, 29-Сен-11, 18:10 (137)
        Повторять не надо, я не глухой и не слепой - Но kauth 9 - бесполезен мы обсу, vle, 29-Сен-11, 19:00 (138)
        http pax grsecurity net docs index html - здесь документация по PAGEEXEC, MPRO, коксюзер, 29-Сен-11, 14:21 (135)
        Можете мя закапывать - я сослепу перепутал в листинге запись константы и обращен, PereresusNeVlezaetBuggy, 30-Сен-11, 21:24 (139)
        Для её считывания достаточно утечки неинициализированной переменной или неинициа, paxuser, 02-Окт-11, 07:14 (140)
        Имелся ввиду общий стек системных вызовов Чтение произвольного адреса бывает р, paxuser, 02-Окт-11, 12:20 (142)
        Имена перепутал Вася, который ядро, сдался раньше , paxuser, 02-Окт-11, 16:36 (143)
        Придумал, как наглядно пояснить проблему с разделением привилегий Внимательно чи, коксюзер, 28-Сен-11, 03:21 (102)
        Понятнее будет сказать, не защищено механизмами защиты в отличие от пользователь, коксюзер, 28-Сен-11, 03:25 (104)
        gt оверквотинг удален Вы зациклились на одном направлении защита ядра Д, PereresusNeVlezaetBuggy, 28-Сен-11, 03:59 (106)
        facepalm jpgДа, уважаемый, всё дело в защите ядра И я, и PaX Team, просто зацик, коксюзер, 28-Сен-11, 05:24 (111)
        
        Это чистой воды извращение и смешивание ужей и ежей А давайте оно будет еще и с, Аноним, 27-Сен-11, 15:35 (91)
Как у них там идет работа над многопроцессорностью , ато много нареканий по это, Аноним, 24-Сен-11, 13:06 (5) //
- Зависит от архитектуры конечных программ Если они как тот же nginx используют п, PereresusNeVlezaetBuggy, 24-Сен-11, 13:35 (10) //
  - Как будет в случае с erlang Я так понимаю его, так называемые, легковесные проце, Аноним, 24-Сен-11, 15:49 (15) //
    - Нет, его процессы реализованы на уровне ВМ Но рантайм эрланга использует нити д, коксюзер, 24-Сен-11, 16:14 (16)
      - Эээ а можно с офтопиком, который и про nix, и про эрланг - Через неделю бу, Michael Shigorin, 24-Сен-11, 16:31 (18)
Свой Apache опенбсдешники теперь забросят , dimqua, 24-Сен-11, 14:34 (11) //
- Да давно пора - 1 3 протух ужасно , anonymous, 24-Сен-11, 15:04 (12)
- Только после того как nginx полностью войдёт в строй Скорее всего но это лишь , PereresusNeVlezaetBuggy, 24-Сен-11, 16:23 (17)
Ребяты Свершилось , Augurov, 24-Сен-11, 15:26 (13)
ждём когда nginx начнут встраивать в soho роутеры за 35 баксов успехов сысоеву , mitiok, 24-Сен-11, 15:43 (14) //
- Да он там в общем то спокойно работает Но есть httpd полегче, которыми и пользу, Аноним, 24-Сен-11, 20:07 (20)
Ну не понимаю яЗачем в стандартную поставку опенка нужен веб серверэто примерно , фклфт, 25-Сен-11, 05:52 (22) //
- Тебя никто запускать его не заставляет, более того по дефолту оно не запущеноТы , mma, 25-Сен-11, 09:11 (24) //
  - Ага А еще nsd , nanonymous, 25-Сен-11, 13:49 (26) //
    - BIND в базовой системе будет жить, пока nsd и unbound не приведут к виду, удобн, PereresusNeVlezaetBuggy, 25-Сен-11, 18:18 (29)
- 1 Не понимаю, зачем в базе такие вещи держать, есть же порты пакеты, которые пр, nanonymous, 25-Сен-11, 13:48 (25) //
  - Дискляймер для потенциальных троллей ниже следует объяснение ответ на заданный, PereresusNeVlezaetBuggy, 25-Сен-11, 18:13 (28) //
    - Да просто вообще не вижу смысла в минимальную установку впендюривать какой либо , фклфт, 25-Сен-11, 18:41 (31)
      - сендмыло вообще уже достало в минимальной поставке это я про FreeBSD , фклфт, 25-Сен-11, 18:43 (32)
        
        Какой-то почтовый сервер нужен в любом случае Если вы не знаете, зачем, то прям, PereresusNeVlezaetBuggy, 25-Сен-11, 19:12 (34)
        
        На роутере шлюзе он нафиг не нужен, фклфт, 26-Сен-11, 06:26 (39)
        
        Обойтись без него можно, да Как и без браузера для того, чтобы читать Опеннет , PereresusNeVlezaetBuggy, 26-Сен-11, 12:44 (42)
      - Ну не видите, и хорошо Кто-то другой видит, и пользуется подходящей ему системо, PereresusNeVlezaetBuggy, 25-Сен-11, 18:55 (33)
      - Прости, троллюшко, но я тебе не верю Даже в Debian, не самом минималистичном ди, Василий, 26-Сен-11, 10:30 (41)
    - Нет В большинстве систем именно так и происходит Сначала собирается бинарь -- п, vle, 26-Сен-11, 18:01 (52)
      - Вы не поняли возможно, я некорректно выразился Во многих системах пакет собир, PereresusNeVlezaetBuggy, 26-Сен-11, 20:26 (62)
        
        Все я прекрасно понял В NetBSD pkgsrc, например, пакет инсталлируется во временн, vle, 27-Сен-11, 12:23 (86)
        
        В OpenBSD аналогично В OpenBSD это не отключается by design Ибо нефиг А зач, PereresusNeVlezaetBuggy, 27-Сен-11, 13:32 (88)
        
        Лично мне не нужно, я выставлял USE_DESTDIR в YES задолго до того,как он стал та, vle, 27-Сен-11, 14:23 (90)
        
        Шо значит кое-где , шо значит бегает Ты сперва расскажи, с какими привилеги, Michael Shigorin, 27-Сен-11, 20:08 (96)
        
        Конкретно в моих bulk build setups используется обычный или hardened chroot,пред, vle, 27-Сен-11, 22:36 (97)
        
        Ну разве что с высоты твоего всеведения, о Лёша А так кое-что всё же приходитс, Michael Shigorin, 27-Сен-11, 22:56 (99)
        
        В отличие от тебя, дорогой, я стараюсь не лезть в темы, в которых не тяну И уж т, vle, 27-Сен-11, 23:51 (100)
        Лёш, я немного понимаю в системах сборки программного обеспечения И как ты мог, Michael Shigorin, 28-Сен-11, 12:28 (116)
        Ты даже читать не умеешь О чем с тобой можно вообще говорить Твой технический у, vle, 28-Сен-11, 12:56 (119)
        
        Гм Плохо По-моему, плохо, например, это когда в порте deb, ebuild etc скр, PereresusNeVlezaetBuggy, 28-Сен-11, 04:33 (108)
        
        Я имел в виду вообще в pkgsrc оно зачем бывает нужно Есть проблемные пакеты Ил, PereresusNeVlezaetBuggy, 28-Сен-11, 04:16 (107)
        
        В pkgsrc переход на destdir шел постепенно, в отличие от OpenBSD ports,где непра, vle, 28-Сен-11, 09:13 (113)
- Это такая загадка природы от BSDшников Которая сильно портит им карму в ряде пр, Аноним, 27-Сен-11, 15:37 (92) //
  - А в ряде применений облегчает Например, установочный диск NetBSD под любую архит, vle, 27-Сен-11, 22:52 (98)
Я таки не понимать А apache и nginx с каких пор стали взаимозаменяемы Nginx с , Ку, 26-Сен-11, 15:23 (45) //
- Тяжёлая динамика на FastCGI бегает приемлемо оно, конечно, медленнее, чем отдел, PereresusNeVlezaetBuggy, 26-Сен-11, 15:32 (46) //
  - Может я опять чего не понимать, но под FastCGI код надо переписывать, что не все, Ку, 26-Сен-11, 15:40 (48) //
    - Не понимать Не надо ничего переписывать С тех пор написали php-fpm И даже в, cadmi, 26-Сен-11, 19:41 (60)

Форумы | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру