forum.opennet.ru

Форум Разговоры, обсуждение новостей
Вариант для распечатки		Пред. тема \| След. тема
Режим отображения отдельной подветви беседы		[ Отслеживать ]

Оглавление

Итоги встречи разработчиков OpenBSD в Словении: nginx займет..., opennews (??), 24-Сен-11, (0) [смотреть все]

Давно пора , Аноним (-), 11:34 , 24-Сен-11, (1) +7
Не понял, в чем принципиальная разница нескольких экземпляров ntpd и одного, слу, Аноним (-), 11:39 , 24-Сен-11, (2) +1 //

Один процесс ntpd может слушать сразу на нескольких айпишниках, это-то ни разу н, PereresusNeVlezaetBuggy (ok), 12:19 , 24-Сен-11, (3) +2 //

А, имеется ввиду запуск процесса с альтернативной таблицей маршрутизации, вроде , НонАнон (?), 13:06 , 24-Сен-11, (4) //

Покруче чем Freebsd В openbsd в каком то виде MPLS уже есть Правда говорят что, Аноним (-), 13:08 , 24-Сен-11, (6)

Ну, когда только-только импортировали да Несколько разработчиков его используют, PereresusNeVlezaetBuggy (ok), 13:19 , 24-Сен-11, (8)

Может, проще будет сделать как у пингвинов, возможность выбора домена маршрутиза, Аноним (-), 16:16 , 25-Сен-11, (27) //

Эм Вот у вас два домена маршрутизации В одном из них ваш айпишник 192 168 0 4 , PereresusNeVlezaetBuggy (ok), 18:33 , 25-Сен-11, (30)

И они оба висят на одном сетевом интерфейсе, да , Аноним (-), 20:18 , 25-Сен-11, (35)

Позвольте процитировать ваши слова Слово интерфейс здесь отсутствует Что касае, PereresusNeVlezaetBuggy (ok), 02:27 , 26-Сен-11, (38)

Вы полагаете, мне стоило перечислить _все_ критерии, которые могут быть использо, Аноним (-), 14:02 , 26-Сен-11, (43)

Все, не все, но вы бы лучше уточнили сами сразу А то догадки бывают и ошибоч, PereresusNeVlezaetBuggy (ok), 14:40 , 26-Сен-11, (44)

Вместо доменов маршрутизации там используются отдельные таблицы маршрутизации, у, Аноним (-), 15:38 , 26-Сен-11, (47)

Гм А в чём принципиальное отличие от match rtable N смена таблицы мар, PereresusNeVlezaetBuggy (ok), 16:49 , 26-Сен-11, (49)

А я, вот, не понял Передача дескрипторов требует явного вызова send recvmsg 2 ,, коксюзер (?), 18:02 , 26-Сен-11, (53)

Для возможности принять сокеты - да, код нужно модифицировать Собственно, сейч, Аноним (-), 19:23 , 26-Сен-11, (58)

Вот про это я и говорил Еще бы добавить возможность тегирования непосредственно, Аноним (-), 19:40 , 26-Сен-11, (59)

Гм Для вас домены маршрутизации - это костыли Бывает Да, с момента появлени, PereresusNeVlezaetBuggy (ok), 22:58 , 26-Сен-11, (74)
В современном, жестком и дубовом их виде - да Да, точно Про аналог rtable было , Аноним (-), 00:16 , 27-Сен-11, (78)
Дубовом o_O А мужики-то и не знают Я-то думал, что когда получается быстрее п, PereresusNeVlezaetBuggy (ok), 01:41 , 27-Сен-11, (80)

sshd тоже можно было бы подправить Чтобы биндился на каждый интефейс в отдельном, Аноним (-), 13:09 , 24-Сен-11, (7) //

Для sshd проблемы нет, одновременная работа нескольких на одном компьютере пробл, PereresusNeVlezaetBuggy (ok), 13:21 , 24-Сен-11, (9) //

Мне кажется, или запуск _программы_ утилитой _маршрутизации_ это довольно криво , Аноним (-), 20:05 , 24-Сен-11, (19) +1

Наоборот, это позволяет избежать необходимости как-либо модифицировать код этих , PereresusNeVlezaetBuggy (ok), 20:32 , 24-Сен-11, (21)

Это такое закамуфлированное оправдание - мол, свое - не пахнет Такой подход - к, Аноним (-), 23:18 , 25-Сен-11, (36) –2

Это чистой воды прагматизм Или благородный дон предлагает переписывать ВЕСЬ вза, PereresusNeVlezaetBuggy (ok), 02:18 , 26-Сен-11, (37)

Мне кажется, для таких ребят в базовой системе надо иметь программу setfib как ж, kibab (?), 10:15 , 26-Сен-11, (40) +3
В каком месте документации представлены доказательстваслов proactively secure , vle (ok), 17:48 , 26-Сен-11, (50)

На больное место давите , коксюзер (?), 17:55 , 26-Сен-11, (51)

На самом деле нет Я не такой злобный Просто хочу ставнить сhttp netbsd gw co, vle (ok), 18:07 , 26-Сен-11, (54)

Ну и capsicum до кучи, vle (ok), 18:22 , 26-Сен-11, (55)
Солидно Верной дорогой идут товарищи Разве что kauth увлеклись, а из документи, коксюзер (?), 18:29 , 26-Сен-11, (56)

Как раз здесь кое-чего и не хватает IMHO Не понял Если даже реализованное нигде , vle (ok), 18:49 , 26-Сен-11, (57)
Да, но начало хорошее Они реализовали только защиту от одного из распространённы, коксюзер (?), 20:04 , 26-Сен-11, (61)
Я не понимаю, кто они NetBSD или OpenBSD Если первое, то хотелось бы глянуть на, vle (ok), 20:27 , 26-Сен-11, (63)
NetBSD Впрочем, OpenBSD тоже если только что-то не изменилось за последние пол, коксюзер (?), 21:01 , 26-Сен-11, (65) +1
Насколько помню, в OpenBSD W X есть и в ядре, если не забуду - уточню позже Мож, PereresusNeVlezaetBuggy (ok), 21:34 , 26-Сен-11, (69)
Уточните, пожалуйста Надо же Значит, я не застал Возможно В детали реализации , коксюзер (?), 21:48 , 26-Сен-11, (70)
Посмотрел Ничего похожего, на самозащиту ядра в виде W X не нашёл по крайней м, PereresusNeVlezaetBuggy (ok), 03:24 , 27-Сен-11, (82)
Вы лучше спросите А то все ищут, никто не находит, а вопрос повис Ядро не должн, коксюзер (?), 05:28 , 27-Сен-11, (85)
Да-да, хотя бы для того, чтобы хвастаться в следующий раз качеством документации, vle (ok), 12:42 , 27-Сен-11, (87)
Так насколько я понимаю, там тоже не всё перечислено Или всё От таких баек , PereresusNeVlezaetBuggy (ok), 05:08 , 28-Сен-11, (109)
Ну, не совсем все Например о том, что NetBSD - единственная система, гдезалатан, vle (ok), 10:01 , 28-Сен-11, (115)
Вот не поленился, прочитал их man - единственное упомянутое отличие от прочих си, guest (??), 12:30 , 28-Сен-11, (117)
fchdir 2 fchdir will fail and the current working directory will be unch, vle (ok), 13:05 , 28-Сен-11, (120)
Так при этом fd open chroot foo fchroot fd прекрасно отработает я не , guest (??), 13:29 , 28-Сен-11, (121)
work cat fchdir c include stdlib h include fcntl h include unistd h int ma, vle (ok), 14:23 , 28-Сен-11, (122)
Я вам верю, что fchdir работает как написано в man Но посмотрите вниматель, guest (??), 14:35 , 28-Сен-11, (123)
Про fchroot я уже ответил Он требует root-а Защищать fchroot при условии, что r, vle (ok), 14:53 , 28-Сен-11, (124)
Дошло, спасибо Здорово Единственное значимое отличие которое заметил - shmat , guest (??), 15:25 , 28-Сен-11, (125)
gt оверквотинг удален Ну вот и получается, что не всё в одном месте secure, PereresusNeVlezaetBuggy (ok), 17:35 , 28-Сен-11, (126)
На secmodel_securelevel 9 есть ссылка из security 7 AFAIK security 7 в NetBSD, vle (ok), 18:26 , 28-Сен-11, (127)
Intel Работает, включая 3D Сейчас отлаживают полноценную поддержку Sandy Bridg, PereresusNeVlezaetBuggy (ok), 01:55 , 29-Сен-11, (128)
Замечательно Ну, десктоп дома на статистику не тянет Нужен какой-то более менее, vle (ok), 12:47 , 29-Сен-11, (131)
o_O Надёжности - да что, в принципе, конечно, отчасти связано с безопасностью , PereresusNeVlezaetBuggy (ok), 21:18 , 26-Сен-11, (67)
Не вводите в заблуждение Ни у кого таких гонок нет и не было Нет, именно честн, коксюзер (?), 21:29 , 26-Сен-11, (68)
Гм Кстати да, чего-то я ступил Зато другой процесс сможет, посредством механизм, PereresusNeVlezaetBuggy (ok), 22:12 , 26-Сен-11, (71)
Я имел ввиду, что ни у кого не было таких race conditions с временным окном для , коксюзер (?), 23:22 , 26-Сен-11, (75)
По-моему тут набор взаимоисключающих параграфов написан Первое - главное Тольк, Аноним (-), 15:43 , 27-Сен-11, (94)
Если не будет параллельной работы userland-кода, то весь супер-пупер-быстрый вво, PereresusNeVlezaetBuggy (ok), 01:01 , 28-Сен-11, (101)
Если не будет возможности распараллелить I O для задачи, которая не CPU-bound а, Michael Shigorin (ok), 12:42 , 28-Сен-11, (118)
Ввод-вывод не может ни во что упереться, а программа ничего не должна , Аноним (-), 07:53 , 02-Окт-11, (141)
gt оверквотинг удален И-и-и Где я писал, что ядро упрётся в userland Я гово, PereresusNeVlezaetBuggy (ok), 04:36 , 08-Окт-11, (144)
Это на сейчас неверный подход и самоуспокоение Конкретно у меня на сборочном н, Michael Shigorin (ok), 12:50 , 08-Окт-11, (145)
Сборка как бы всегда нагружала в первую очередь процессор А в случае tmpfs г, PereresusNeVlezaetBuggy (ok), 19:30 , 08-Окт-11, (146)
Смотря какая, сишное барахлишко уже довольно давно летит струёй, не загружая ядр, Michael Shigorin (ok), 21:05 , 09-Окт-11, (147)

Гм Какое отношение это имеет к обсуждаемой теме Ну да ладно Единого списка, AF, PereresusNeVlezaetBuggy (ok), 20:39 , 26-Сен-11, (64)

Ну, темы тут обсуждаются всё-таки разные, не только новость Не остальное, а куцы, коксюзер (?), 21:11 , 26-Сен-11, (66)

Если уж делать нормальное ревью, то всё равно надо лезть в код А то, например, , PereresusNeVlezaetBuggy (ok), 22:21 , 26-Сен-11, (72)

gt оверквотинг удален Да я уже устал повторять И не я один В IRC эта тема за, коксюзер (?), 23:45 , 26-Сен-11, (76)
gt оверквотинг удален http marc info l openbsd-misc m 117404837006368 w 2Ош, PereresusNeVlezaetBuggy (ok), 03:47 , 28-Сен-11, (105)
gt оверквотинг удален http pwnies com archive 2007 winners lamestvendorhttp, коксюзер (?), 06:31 , 28-Сен-11, (112)

Скажите, а где можно почитать подробнее про все эти интересные и увлекательные и, Аноним (-), 22:32 , 26-Сен-11, (73)

В комментах на опеннете я неоднократно описывал ситуацию Можете почитайть таймл, коксюзер (?), 00:12 , 27-Сен-11, (77)
Хм Складывается такое впечатление, что разработчики OpenBSD среди профессиональ, Аноним (-), 00:41 , 27-Сен-11, (79)
Ничего не делают - слишком громко сказано Но многое для существенной защиты ОС , коксюзер (?), 02:30 , 27-Сен-11, (81)
Аффтар местами, конечно, по делу прошёлся с PaX действительно по-дурацки вышло,, PereresusNeVlezaetBuggy (ok), 03:41 , 27-Сен-11, (83)
Это как раз не главное Не программа, а skilled attacker Эту критику нужно воспр, коксюзер (?), 05:13 , 27-Сен-11, (84)
В плане, невнимания к защите ядра Сначала разработали технологию, потом начали , PereresusNeVlezaetBuggy (ok), 14:01 , 27-Сен-11, (89)
Это всего лишь защита от линейных переполнений, которая на тот момент была а мо, коксюзер (?), 19:06 , 27-Сен-11, (95)
Проверил сейчас GCC в базе, канарейка генерится уникальная для каждой функции на, PereresusNeVlezaetBuggy (ok), 03:23 , 28-Сен-11, (103)
Уязвимость к утечке может быть где угодно Главное, чтобы утечка произошла с адр, коксюзер (?), 05:12 , 28-Сен-11, (110)
Люди, занимающиеся безопасностью в NetBSD, с большим уважением относятсяк проект, vle (ok), 09:52 , 28-Сен-11, (114)
Интерес есть, но этого мало, пока среди разработчиков нет ни одного высококлассн, коксюзер (?), 04:17 , 29-Сен-11, (129)
Вот это да Сделать такие выводы даже не познакомившисьи не пообщавшись с народо, vle (ok), 12:37 , 29-Сен-11, (130)
Зря вырываете слова из контекста Будь он хоть трижды гуру, работает он не в том, коксюзер (?), 12:59 , 29-Сен-11, (132)
http www stihi-rus ru 1 Mayakovskiy 66 htmФункции kauth в другом, совсем в дру, vle (ok), 13:32 , 29-Сен-11, (133)
Не понимаю, к чему Давайте без намёков В другом по сравнению с чем Если разрабо, коксюзер (?), 14:12 , 29-Сен-11, (134)
kauth - не для зашиты от rootkit-ов, а для реализациикастомных политик бьезопасн, vle (ok), 14:59 , 29-Сен-11, (136)
О руткитах речи не шло Наличие в системе руткита - следствие её полной компроме, коксюзер (?), 18:10 , 29-Сен-11, (137)
Повторять не надо, я не глухой и не слепой - Но kauth 9 - бесполезен мы обсу, vle (ok), 19:00 , 29-Сен-11, (138)
http pax grsecurity net docs index html - здесь документация по PAGEEXEC, MPRO, коксюзер (?), 14:21 , 29-Сен-11, (135)
Можете мя закапывать - я сослепу перепутал в листинге запись константы и обращен, PereresusNeVlezaetBuggy (ok), 21:24 , 30-Сен-11, (139)
Для её считывания достаточно утечки неинициализированной переменной или неинициа, paxuser (ok), 07:14 , 02-Окт-11, (140)
Имелся ввиду общий стек системных вызовов Чтение произвольного адреса бывает р, paxuser (ok), 12:20 , 02-Окт-11, (142)
Имена перепутал Вася, который ядро, сдался раньше , paxuser (ok), 16:36 , 02-Окт-11, (143)
Придумал, как наглядно пояснить проблему с разделением привилегий Внимательно чи, коксюзер (?), 03:21 , 28-Сен-11, (102)
Понятнее будет сказать, не защищено механизмами защиты в отличие от пользователь, коксюзер (?), 03:25 , 28-Сен-11, (104)
gt оверквотинг удален Вы зациклились на одном направлении защита ядра Д, PereresusNeVlezaetBuggy (ok), 03:59 , 28-Сен-11, (106)
facepalm jpgДа, уважаемый, всё дело в защите ядра И я, и PaX Team, просто зацик, коксюзер (?), 05:24 , 28-Сен-11, (111)

Это чистой воды извращение и смешивание ужей и ежей А давайте оно будет еще и с, Аноним (-), 15:35 , 27-Сен-11, (91) –1

Как у них там идет работа над многопроцессорностью , ато много нареканий по это, Аноним (-), 13:06 , 24-Сен-11, (5) +1 //

Зависит от архитектуры конечных программ Если они как тот же nginx используют п, PereresusNeVlezaetBuggy (ok), 13:35 , 24-Сен-11, (10) //

Как будет в случае с erlang Я так понимаю его, так называемые, легковесные проце, Аноним (-), 15:49 , 24-Сен-11, (15) //

Нет, его процессы реализованы на уровне ВМ Но рантайм эрланга использует нити д, коксюзер (?), 16:14 , 24-Сен-11, (16) +1

Эээ а можно с офтопиком, который и про nix, и про эрланг - Через неделю бу, Michael Shigorin (ok), 16:31 , 24-Сен-11, (18)

Свой Apache опенбсдешники теперь забросят , dimqua (ok), 14:34 , 24-Сен-11, (11) //

Да давно пора - 1 3 протух ужасно , anonymous (??), 15:04 , 24-Сен-11, (12)
Только после того как nginx полностью войдёт в строй Скорее всего но это лишь , PereresusNeVlezaetBuggy (ok), 16:23 , 24-Сен-11, (17)

Ребяты Свершилось , Augurov (?), 15:26 , 24-Сен-11, (13)
ждём когда nginx начнут встраивать в soho роутеры за 35 баксов успехов сысоеву , mitiok (ok), 15:43 , 24-Сен-11, (14) //

Да он там в общем то спокойно работает Но есть httpd полегче, которыми и пользу, Аноним (-), 20:07 , 24-Сен-11, (20) +1

Ну не понимаю яЗачем в стандартную поставку опенка нужен веб серверэто примерно , фклфт (ok), 05:52 , 25-Сен-11, (22) //

Тебя никто запускать его не заставляет, более того по дефолту оно не запущеноТы , mma (?), 09:11 , 25-Сен-11, (24) //

Ага А еще nsd , nanonymous (?), 13:49 , 25-Сен-11, (26) //

BIND в базовой системе будет жить, пока nsd и unbound не приведут к виду, удобн, PereresusNeVlezaetBuggy (ok), 18:18 , 25-Сен-11, (29)

1 Не понимаю, зачем в базе такие вещи держать, есть же порты пакеты, которые пр, nanonymous (?), 13:48 , 25-Сен-11, (25) //

Дискляймер для потенциальных троллей ниже следует объяснение ответ на заданный, PereresusNeVlezaetBuggy (ok), 18:13 , 25-Сен-11, (28) //

Да просто вообще не вижу смысла в минимальную установку впендюривать какой либо , фклфт (ok), 18:41 , 25-Сен-11, (31)

сендмыло вообще уже достало в минимальной поставке это я про FreeBSD , фклфт (ok), 18:43 , 25-Сен-11, (32)

Какой-то почтовый сервер нужен в любом случае Если вы не знаете, зачем, то прям, PereresusNeVlezaetBuggy (ok), 19:12 , 25-Сен-11, (34)

На роутере шлюзе он нафиг не нужен, фклфт (ok), 06:26 , 26-Сен-11, (39) –1

Обойтись без него можно, да Как и без браузера для того, чтобы читать Опеннет , PereresusNeVlezaetBuggy (ok), 12:44 , 26-Сен-11, (42) +1

Ну не видите, и хорошо Кто-то другой видит, и пользуется подходящей ему системо, PereresusNeVlezaetBuggy (ok), 18:55 , 25-Сен-11, (33)
Прости, троллюшко, но я тебе не верю Даже в Debian, не самом минималистичном ди, Василий (??), 10:30 , 26-Сен-11, (41)

Нет В большинстве систем именно так и происходит Сначала собирается бинарь -- п, vle (ok), 18:01 , 26-Сен-11, (52)

Вы не поняли возможно, я некорректно выразился Во многих системах пакет собир, PereresusNeVlezaetBuggy (ok), 20:26 , 26-Сен-11, (62)

Все я прекрасно понял В NetBSD pkgsrc, например, пакет инсталлируется во временн, vle (ok), 12:23 , 27-Сен-11, (86)

В OpenBSD аналогично В OpenBSD это не отключается by design Ибо нефиг А зач, PereresusNeVlezaetBuggy (ok), 13:32 , 27-Сен-11, (88)

Лично мне не нужно, я выставлял USE_DESTDIR в YES задолго до того,как он стал та, vle (ok), 14:23 , 27-Сен-11, (90)

Шо значит кое-где , шо значит бегает Ты сперва расскажи, с какими привилеги, Michael Shigorin (ok), 20:08 , 27-Сен-11, (96) –2

Конкретно в моих bulk build setups используется обычный или hardened chroot,пред, vle (ok), 22:36 , 27-Сен-11, (97)

Ну разве что с высоты твоего всеведения, о Лёша А так кое-что всё же приходитс, Michael Shigorin (ok), 22:56 , 27-Сен-11, (99)

В отличие от тебя, дорогой, я стараюсь не лезть в темы, в которых не тяну И уж т, vle (ok), 23:51 , 27-Сен-11, (100)
Лёш, я немного понимаю в системах сборки программного обеспечения И как ты мог, Michael Shigorin (ok), 12:28 , 28-Сен-11, (116)
Ты даже читать не умеешь О чем с тобой можно вообще говорить Твой технический у, vle (ok), 12:56 , 28-Сен-11, (119)

Гм Плохо По-моему, плохо, например, это когда в порте deb, ebuild etc скр, PereresusNeVlezaetBuggy (ok), 04:33 , 28-Сен-11, (108)

Я имел в виду вообще в pkgsrc оно зачем бывает нужно Есть проблемные пакеты Ил, PereresusNeVlezaetBuggy (ok), 04:16 , 28-Сен-11, (107)

В pkgsrc переход на destdir шел постепенно, в отличие от OpenBSD ports,где непра, vle (ok), 09:13 , 28-Сен-11, (113)

Это такая загадка природы от BSDшников Которая сильно портит им карму в ряде пр, Аноним (-), 15:37 , 27-Сен-11, (92) //

А в ряде применений облегчает Например, установочный диск NetBSD под любую архит, vle (ok), 22:52 , 27-Сен-11, (98)

Я таки не понимать А apache и nginx с каких пор стали взаимозаменяемы Nginx с , Ку (?), 15:23 , 26-Сен-11, (45) //

Тяжёлая динамика на FastCGI бегает приемлемо оно, конечно, медленнее, чем отдел, PereresusNeVlezaetBuggy (ok), 15:32 , 26-Сен-11, (46) //

Может я опять чего не понимать, но под FastCGI код надо переписывать, что не все, Ку (?), 15:40 , 26-Сен-11, (48) //

Не понимать Не надо ничего переписывать С тех пор написали php-fpm И даже в, cadmi (?), 19:41 , 26-Сен-11, (60)

Сообщения [Сортировка по времени | RSS]

27. "Итоги встречи разработчиков OpenBSD в Словении: nginx займет..." +/–

Сообщение от Аноним (-), 25-Сен-11, 16:16

>Но в пределах одного домена маршрутизации, так как он устанавливается в рамках процесса.
Может, проще будет сделать как у пингвинов, возможность выбора домена маршрутизации на основании некоторой логики (в частности, собственного айпишника)?

Ответить | Правка | К родителю #3 | Наверх | Cообщить модератору

30. "Итоги встречи разработчиков OpenBSD в Словении: nginx займет..." +/–

Сообщение от PereresusNeVlezaetBuggy (ok), 25-Сен-11, 18:33

>>Но в пределах одного домена маршрутизации, так как он устанавливается в рамках процесса.
> Может, проще будет сделать как у пингвинов, возможность выбора домена маршрутизации на
> основании некоторой логики (в частности, собственного айпишника)?
Эм. Вот у вас два домена маршрутизации. В одном из них ваш айпишник 192.168.0.4. Во втором ваш айпишник... 192.168.0.4. Как вы будете их отличать? :)
А вообще, я выразился неправильно выше (в который раз говорю себе не выпускать в свет написанное на сон грядущий...): не несколько экземпляров ntpd теперь будет работать, а именно что один, но слушающий в нескольких доменах маршрутизации. В файле конфигурации это может выглядеть, например, так:

listen on *
listen on 192.168.5.9 rtable 5
servers ru.ntp.pool.org rtable 3

Ответить | Правка | Наверх | Cообщить модератору

35. "Итоги встречи разработчиков OpenBSD в Словении: nginx займет..." +/–

Сообщение от Аноним (-), 25-Сен-11, 20:18

>Эм. Вот у вас два домена маршрутизации. В одном из них ваш айпишник 192.168.0.4. Во втором ваш айпишник... 192.168.0.4.
И они оба висят на одном сетевом интерфейсе, да?

Ответить | Правка | Наверх | Cообщить модератору

38. "Итоги встречи разработчиков OpenBSD в Словении: nginx займет..." +/–

Сообщение от PereresusNeVlezaetBuggy (ok), 26-Сен-11, 02:27

>>Эм. Вот у вас два домена маршрутизации. В одном из них ваш айпишник 192.168.0.4. Во втором ваш айпишник... 192.168.0.4.
> И они оба висят на одном сетевом интерфейсе, да?
Позвольте процитировать ваши слова:
>>> Может, проще будет сделать как у пингвинов, возможность выбора домена маршрутизации на
>>> основании некоторой логики (в частности, собственного айпишника)?
Слово "интерфейс" здесь отсутствует.
Что касается новой версии вашего предложения - в OpenBSD можно указать таблицу маршрутизации для конкретного сокета (опция SO_RTABLE для setsockopt(2)). Но это уже требует изменения кода программы - равно как, впрочем, и в случае любой другой "логики".
Если я вас понял неправильно, пожалуйста, поясните, о чём вы вообще говорите, какой конкретно момент вам кажется спорным.

Ответить | Правка | Наверх | Cообщить модератору

43. "Итоги встречи разработчиков OpenBSD в Словении: nginx займет..." +/–

Сообщение от Аноним (-), 26-Сен-11, 14:02

>Слово "интерфейс" здесь отсутствует.
Вы полагаете, мне стоило перечислить _все_ критерии, которые могут быть использованы в этой самой логике, не ограничиваясь одним примером? Боюсь, это была бы работа на полчаса как минимум.
>Что касается новой версии вашего предложения - в OpenBSD можно указать таблицу маршрутизации для конкретного сокета (опция SO_RTABLE для setsockopt(2)). Но это уже требует изменения кода программы - равно как, впрочем, и в случае любой другой "логики".
Пингвины используют более универсальную логику: у них есть возможность тегировать пакеты для конкретного сокета (опция SO_MARK), и на основании этих тегов обрабатывать пакеты в дальнейшем (сюда входит маршрутизация, шейпинг, фильтрация, нат, модификация заголовков и т.д.)
Кстати, инновационный пингвиний systemd позволяет использовать тегированные сокеты без модификации кода приложения (один из немногих проектов, использующих самые вкусные возможности POSIX IPC).
>Если я вас понял неправильно, пожалуйста, поясните, о чём вы вообще говорите, какой конкретно момент вам кажется спорным.
Мне кажется, механизм прямой привязки rtable к сокету несколько дубов. Возможно, достаточно было бы обеспечить поддержку тегирования трафика на сокетах, чтобы потом средствами pf выполнять дальнейшую обработку?

Ответить | Правка | Наверх | Cообщить модератору

44. "Итоги встречи разработчиков OpenBSD в Словении: nginx займет..." +/–

Сообщение от PereresusNeVlezaetBuggy (ok), 26-Сен-11, 14:40

>>Слово "интерфейс" здесь отсутствует.
> Вы полагаете, мне стоило перечислить _все_ критерии, которые могут быть использованы в
> этой самой логике, не ограничиваясь одним примером? Боюсь, это была бы
> работа на полчаса как минимум.
Все, не все, но вы бы лучше уточнили сами сразу. :) А то догадки бывают и ошибочными.
>>Что касается новой версии вашего предложения - в OpenBSD можно указать таблицу маршрутизации для конкретного сокета (опция SO_RTABLE для setsockopt(2)). Но это уже требует изменения кода программы - равно как, впрочем, и в случае любой другой "логики".
> Пингвины используют более универсальную логику: у них есть возможность тегировать пакеты
> для конкретного сокета (опция SO_MARK), и на основании этих тегов обрабатывать
> пакеты в дальнейшем (сюда входит маршрутизация, шейпинг, фильтрация, нат, модификация
> заголовков и т.д.)
Тегирование в PF делается внутри него самого (см. опции правил фильтрации "tag" и "tagged"), в остальном тот же самый принцип вполне работоспособен. ИМХО, тегировать в самом фаерволе несколько секурнее, хотя это и убирает какую-то долю гибкости.
Зато отсутствие доменов маршрутизации в Linux заметно усложняет работу, а некоторые вещи становятся чрезвычайно трудными или даже невозможными, когда в разных доменах маршрутизации используются одинаковые локальные и/или удалённые адреса. Так что OpenBSD суммарно оказывается более гибкой.
> Кстати, инновационный пингвиний systemd позволяет использовать тегированные сокеты без
> модификации кода приложения (один из немногих проектов, использующих самые вкусные возможности
> POSIX IPC).
А можно, пожалуйста, поподробнее?
>>Если я вас понял неправильно, пожалуйста, поясните, о чём вы вообще говорите, какой конкретно момент вам кажется спорным.
> Мне кажется, механизм прямой привязки rtable к сокету несколько дубов. Возможно, достаточно
> было бы обеспечить поддержку тегирования трафика на сокетах, чтобы потом средствами
> pf выполнять дальнейшую обработку?
Ну почему дубов, он скорее более очевиден для логики программы: указывая домен роутинга, программа гарантированно получает то, чего хочет. А указывая некий абстрактный тег, программа начинает зависеть от того, что там в фаерволе наконфигурировано, то есть образуется вынужденная дополнительная связь между конфигурируемыми вручную компонентами. Не смертельно, конечно, но всё же.

Ответить | Правка | Наверх | Cообщить модератору

47. "Итоги встречи разработчиков OpenBSD в Словении: nginx займет..." +/–

Сообщение от Аноним (-), 26-Сен-11, 15:38

>Зато отсутствие доменов маршрутизации в Linux заметно усложняет работу, а некоторые вещи становятся чрезвычайно трудными или даже невозможными, когда в разных доменах маршрутизации используются одинаковые локальные и/или удалённые адреса.
Вместо доменов маршрутизации там используются отдельные таблицы маршрутизации, управляемые через таблицу правил. Решение не менее фичастое, и даже более гибкое.
Приходилось иметь дело с ситуациями, когда нужно было поддерживать несколько интерфейсов с одинаковыми или пересекающимися адресными пространствами - на мой взгляд, пингвин предоставляет больше всего возможностей. А после введения conntrack zones вообще лафа пошла.
> Так что OpenBSD суммарно оказывается более гибкой.
На мой взгляд, очень спорное утверждение.
> А можно, пожалуйста, поподробнее?
Процессы могут передавать друг другу открытые fd. Такая прекрасная идея, а воспользовались ею только в launchd и в systemd (который во многом скопирован с launchd).
>А указывая некий абстрактный тег, программа начинает зависеть от того, что там в фаерволе наконфигурировано, то есть образуется вынужденная дополнительная связь между конфигурируемыми вручную компонентами.
Это называется unix way: каждый инструмент решает свою задачу -> в результате имеем максимальную гибкость.

Ответить | Правка | Наверх | Cообщить модератору

49. "Итоги встречи разработчиков OpenBSD в Словении: nginx займет..." +/–

Сообщение от PereresusNeVlezaetBuggy (ok), 26-Сен-11, 16:49

>>Зато отсутствие доменов маршрутизации в Linux заметно усложняет работу, а некоторые вещи становятся чрезвычайно трудными или даже невозможными, когда в разных доменах маршрутизации используются одинаковые локальные и/или удалённые адреса.
> Вместо доменов маршрутизации там используются отдельные таблицы маршрутизации, управляемые
> через таблицу правил. Решение не менее фичастое, и даже более гибкое.
Гм. А в чём принципиальное отличие от "match <...> rtable N"? (смена таблицы маршрутизации для пакета средствами PF)
> Приходилось иметь дело с ситуациями, когда нужно было поддерживать несколько интерфейсов
> с одинаковыми или пересекающимися адресными пространствами - на мой взгляд, пингвин
> предоставляет больше всего возможностей. А после введения conntrack zones вообще лафа
> пошла.
Ну да в PF нет conntrack zones, так как у PF изначально не было проблем, которые conntrack zones решают. :)
>> Так что OpenBSD суммарно оказывается более гибкой.
> На мой взгляд, очень спорное утверждение.
Ну вот, собственно, мы и спорим. :)
>> А можно, пожалуйста, поподробнее?
> Процессы могут передавать друг другу открытые fd. Такая прекрасная идея, а воспользовались
> ею только в launchd и в systemd (который во многом скопирован
> с launchd).
Понял, спасибо.
>>А указывая некий абстрактный тег, программа начинает зависеть от того, что там в фаерволе наконфигурировано, то есть образуется вынужденная дополнительная связь между конфигурируемыми вручную компонентами.
> Это называется unix way: каждый инструмент решает свою задачу -> в результате
> имеем максимальную гибкость.
Правильно. Таблица маршрутизации и фаервол - немного разные инструменты. В вашем случае обе функции ложатся на фаервол. Что вы там говорили про unix way? ;)
Всё то, что вы пока что описываете как фичи netfilter, в PF имеется (что-то давным-давно, что-то не очень). Поэтому реализовать ваш вариант можно и на OpenBSD (да и на FreeBSD как минимум тоже, ipfw местный в последнее время становится всё более человеческим). Но зачем, если есть нормально работающие домены маршрутизации? :)

Ответить | Правка | Наверх | Cообщить модератору

53. "Итоги встречи разработчиков OpenBSD в Словении: nginx займет..." +/–

Сообщение от коксюзер (?), 26-Сен-11, 18:02

>> Процессы могут передавать друг другу открытые fd. Такая прекрасная идея, а воспользовались
>> ею только в launchd и в systemd (который во многом скопирован
>> с launchd).
> Понял, спасибо.
А я, вот, не понял. Передача дескрипторов требует явного вызова send/recvmsg(2), и как это сделать без  изменений в коде, не используя рантайм-враппер?

Ответить | Правка | Наверх | Cообщить модератору

58. "Итоги встречи разработчиков OpenBSD в Словении: nginx займет..." +/–

Сообщение от Аноним (-), 26-Сен-11, 19:23

> как это сделать без  изменений в коде, не используя рантайм-враппер?
Для возможности принять сокеты - да, код нужно модифицировать :)
Собственно, сейчас эта работа уже идет, как на уровне отдельных дистрибутивов, так и в апстримных проектах.
Важно то, что после завершения этого процесса, свойства сокетов можно менять без вмешательства в код программы.

Ответить | Правка | Наверх | Cообщить модератору

59. "Итоги встречи разработчиков OpenBSD в Словении: nginx займет..." +/–

Сообщение от Аноним (-), 26-Сен-11, 19:40

> Гм. А в чём принципиальное отличие от "match <...> rtable N"? (смена
> таблицы маршрутизации для пакета средствами PF)
Вот про это я и говорил. Еще бы добавить возможность тегирования непосредственно из приложения или хотя бы из враппера - и костыли можно будет спокойно отбросить.
> Ну да в PF нет conntrack zones, так как у PF изначально
> не было проблем, которые conntrack zones решают. :)
Он всегда умел отслеживать соединения в нескольких доменах маршрутизации? Не знал.
> Правильно. Таблица маршрутизации и фаервол - немного разные инструменты. В вашем случае
> обе функции ложатся на фаервол. Что вы там говорили про unix
> way? ;)
Авторы netfilter позиционируют его не просто как фаервол, а как "фреймворк для фильтрации и модификации пакетов". Присвоение пакету тегов - чем не модификация?
Этот же подход, кстати, справедлив и для pf. Ведь он тоже умеет не только блокировать/пропускать пакеты, правда?
Кстати, одно занудное замечание: netfilter, в отличие от pf, не имеет возможности напрямую вмешаться в процесс маршрутизации. Когда-то существовало патч, вводящий действие ROUTE, аналогичное rtable в pf, но его так и не приняли в ядро. Логика выбора таблицы реализована в самой системе маршрутизации. netfilter может лишь менять теги, являющиеся одним из критериев этой логики. Но он не является монополистом в этой области - вот в чем весь цимес.
> Всё то, что вы пока что описываете как фичи netfilter, в PF
> имеется (что-то давным-давно, что-то не очень). Поэтому реализовать ваш вариант можно
> и на OpenBSD (да и на FreeBSD как минимум тоже, ipfw
> местный в последнее время становится всё более человеческим).
В OpenBSD и FreeBSD приложения могут выставлять для своего трафика теги, которые понимает система маршрутизации?
> Но зачем, если есть нормально работающие домены маршрутизации? :)
Зачем делать гибкое модульное решение, если костыли неплохо подпирают другие костыли?
Ну, считайте меня перфекционистом :)

Ответить | Правка | К родителю #49 | Наверх | Cообщить модератору

74. "Итоги встречи разработчиков OpenBSD в Словении: nginx займет..." +/–

Сообщение от PereresusNeVlezaetBuggy (ok), 26-Сен-11, 22:58

>> Гм. А в чём принципиальное отличие от "match <...> rtable N"? (смена
>> таблицы маршрутизации для пакета средствами PF)
> Вот про это я и говорил. Еще бы добавить возможность тегирования непосредственно
> из приложения или хотя бы из враппера - и костыли можно
> будет спокойно отбросить.
Гм. Для вас домены маршрутизации - это костыли? Бывает. :)
>> Ну да в PF нет conntrack zones, так как у PF изначально
>> не было проблем, которые conntrack zones решают. :)
> Он всегда умел отслеживать соединения в нескольких доменах маршрутизации? Не знал.
Да, с момента появления доменов маршрутизации в OpenBSD. Хотя, справедливости ради, скажу, что несколько багов (именно багов) было пофиксено позднее. Ну да кто без греха...
>> Правильно. Таблица маршрутизации и фаервол - немного разные инструменты. В вашем случае
>> обе функции ложатся на фаервол. Что вы там говорили про unix
>> way? ;)
> Авторы netfilter позиционируют его не просто как фаервол, а как "фреймворк для
> фильтрации и модификации пакетов". Присвоение пакету тегов - чем не модификация?
> Этот же подход, кстати, справедлив и для pf. Ведь он тоже умеет
> не только блокировать/пропускать пакеты, правда?
Я всего лишь запустил ответную шпильку. ;)
> Кстати, одно занудное замечание: netfilter, в отличие от pf, не имеет возможности
> напрямую вмешаться в процесс маршрутизации. Когда-то существовало патч, вводящий действие
> ROUTE, аналогичное rtable в pf, но его так и не приняли
> в ядро. Логика выбора таблицы реализована в самой системе маршрутизации. netfilter
> может лишь менять теги, являющиеся одним из критериев этой логики. Но
> он не является монополистом в этой области - вот в чем
> весь цимес.
ROUTE, по-моему, скорее соответствовал route-to в PF, которая опция по сути "перекрывает" стандартную маршрутизацию для данного пакета/соединения. Это параллельная доменам маршрутизации фича.
>> Всё то, что вы пока что описываете как фичи netfilter, в PF
>> имеется (что-то давным-давно, что-то не очень). Поэтому реализовать ваш вариант можно
>> и на OpenBSD (да и на FreeBSD как минимум тоже, ipfw
>> местный в последнее время становится всё более человеческим).
> В OpenBSD и FreeBSD приложения могут выставлять для своего трафика теги, которые
> понимает система маршрутизации?
Я уже говорил, что в PF напрямую можно тегировать только его средствами. Это как-то более надёжно, ИМХО, чем позволять приложениям выставлять теги. Что будет, если через взлом одного приложения атакующий получит возможность отправлять трафик от имен доверенного?
С другой стороны, в PF можно динамически добавлять-удалять правила, не мешая друг другу,  недавно даже появилась возможность задания одноразовых правил, которые самоудаляются после первого срабатывания. Можно и напрямую добавлять-удалять стейты. Так что аналогичная функциональность, повторюсь, вполне доступна.
Что до FreeBSD, то вроде бы там ситуация аналогичная, но утверждать это со 100% уверенностью не буду.
>> Но зачем, если есть нормально работающие домены маршрутизации? :)
> Зачем делать гибкое модульное решение, если костыли неплохо подпирают другие костыли?
> Ну, считайте меня перфекционистом :)
Затем же, зачем существуют не-универсальные отвёртки. ;) То, что потребует больших усилий и аккуратности при реализации на фаерволе, может легко решаться посредством доменов роутинга. При желании можно любую задачу фильтрации пакетов свести к тегированию и последующему разбору по тегам. Но практичным этот подход назвать никак нельзя. Это не перфекционизм, это идеализм. :)

Ответить | Правка | Наверх | Cообщить модератору

78. "Итоги встречи разработчиков OpenBSD в Словении: nginx займет..." +/–

Сообщение от Аноним (-), 27-Сен-11, 00:16

> Для вас домены маршрутизации - это костыли?
В современном, жестком и дубовом их виде - да.
> ROUTE, по-моему, скорее соответствовал route-to в PF
Да, точно. Про аналог rtable было в другом обсуждении, не имевшем практических последствий.
>Я уже говорил, что в PF напрямую можно тегировать только его средствами. Это как-то более надёжно, ИМХО, чем позволять приложениям выставлять теги. Что будет, если через взлом одного приложения атакующий получит возможность отправлять трафик от имен доверенного?
В случае с systemd, выставлением тегов занимается процесс init, работающий от рута. Вы полагаете, что в случае исполнения кода в контексте init будет существенной проблемой модифицировать правила фаервола?
>Так что аналогичная функциональность, повторюсь, вполне доступна.
Не вполне понимаю. Не могли бы вы привести пример реализации тегирования пакетов, связанных с заданным сокетом (порт и PID процесса заранее не известны)?
>То, что потребует больших усилий и аккуратности при реализации на фаерволе, может легко решаться посредством доменов роутинга.
Костыль обычно всегда проще прямого решения, поэтому костыли столь популярны.
>Но практичным этот подход назвать никак нельзя.
Да, пусть лучше костыль на костыле сидит и костылем погоняет. Не слушайте старого идеалиста, он бредит.

Ответить | Правка | Наверх | Cообщить модератору

80. "Итоги встречи разработчиков OpenBSD в Словении: nginx займет..." +/–

Сообщение от PereresusNeVlezaetBuggy (ok), 27-Сен-11, 01:41

>> Для вас домены маршрутизации - это костыли?
> В современном, жестком и дубовом их виде - да.
Дубовом? o_O А мужики-то и не знают. Я-то думал, что когда получается быстрее (пробежаться по таблице роутинга быстрее, чем по правилам фаервола), надёжнее (меньше ручной работы = меньше вероятность ошибки конфигурирования) и проще (каждая задействованная сущность проста доступнее в изучении, чем комплексное решение на фаерволе), то оно лучше, ан вот оно как... :)
Я не спорю, что какие-то ситуации наоборот, кроме как тегированием решить нельзя. Но то, что как минимум ситуации с одноимёнными маршрутами в контексте доменов маршрутизации решаются лучше - отрицать, мягко говоря, странно. Ну да то не мои проблемы, что я буду переубеждать. :)
>>Я уже говорил, что в PF напрямую можно тегировать только его средствами. Это как-то более надёжно, ИМХО, чем позволять приложениям выставлять теги. Что будет, если через взлом одного приложения атакующий получит возможность отправлять трафик от имен доверенного?
> В случае с systemd, выставлением тегов занимается процесс init, работающий от рута.
> Вы полагаете, что в случае исполнения кода в контексте init будет
> существенной проблемой модифицировать правила фаервола?
Гм. systemd использует тегирование пакетов для эмуляции доменов маршрутизации? o_O
Давайте мух отдельно, котлеты отдельно (это я в свете грядущих выборов, ага). Я говорил про ситуацию, когда произвольное приложение (не-рутовое) имеет возможность фактически отправить трафик от имени рутового. Понимаете? Получается, надо всё равно давать возможность фаерволу проверять источник пакета. Что приводит в итоге к, фактически, тегированию силами фаервола.
Кстати, если не секрет, а чего это SO_MARK до сих пор не документирован? Я нашёл было ссылку на багзиллу, датированную ещё 2010-м годом, да вот беда: kernel.org-то до сих пор не реанимирован (полностью)... Может, именно из-за описанных выше причин?
Теперь о systemd и других рутовых процессах. Использование тегов сокета в рутовом приложении ничего не даст для этого приложения с точки зрения безопасности. Но:
По-хорошему, логику работы в таких процессах разделяют: основные действия, в том числе обработку данных, совершает непривилегированный процесс, а привилегированный только выполняет какие-то команды. Более того, если программе не требуется использовать критичные (доступные только в привилегированном режиме) ресурсы, то она может банально сбросить привилегии после их, ресурсов, получения безо всяких форков. В обоих случаях возможные эксплоиты не получают рутовый доступ к системе, а могут лишь пакостить в пределах уязвимого приложения.
То есть всё для того, чтобы не было _необходимости_ (не возможности) использовать именно тегирование, по-хорошему уже должно быть. А если нет, то у вас уже есть проблема с угрозой безопасности. И, возможно, не одна.
>>Так что аналогичная функциональность, повторюсь, вполне доступна.
> Не вполне понимаю. Не могли бы вы привести пример реализации тегирования пакетов,
> связанных с заданным сокетом (порт и PID процесса заранее не известны)?
Первый пришедший в голову пример, статика:
match out on <...> user my_daemon_user tag i_want_special_handling
Более сложный, динамика (для понятности даю командами шелла, в Си суть аналогичная):
echo "match from $my_addr port $my_port user $my_daemon_user to $peer_addr port $peer_port once tag i_want_special_handling" | \
pfctl -a myprog/$PPID -f -
Разумеется, вместо tag может быть и любое другое действие, но коли уж говорим о тегировании, то примеры именно с опцией "tag".
>>То, что потребует больших усилий и аккуратности при реализации на фаерволе, может легко решаться посредством доменов роутинга.
> Костыль обычно всегда проще прямого решения, поэтому костыли столь популярны.
Господи, ну хотите, считайте костылём, жалко, что ли. :)
>>Но практичным этот подход назвать никак нельзя.
> Да, пусть лучше костыль на костыле сидит и костылем погоняет. Не слушайте
> старого идеалиста, он бредит.
Да делайте как хотите. Вы же себе жизнь усложняете, а не мне. :)

Ответить | Правка | К родителю #78 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру


	27. "Итоги встречи разработчиков OpenBSD в Словении: nginx займет..."	+/–
	Сообщение от Аноним (-), 25-Сен-11, 16:16
	>Но в пределах одного домена маршрутизации, так как он устанавливается в рамках процесса. Может, проще будет сделать как у пингвинов, возможность выбора домена маршрутизации на основании некоторой логики (в частности, собственного айпишника)?
	Ответить \| Правка \| К родителю #3 \| Наверх \| Cообщить модератору


	30. "Итоги встречи разработчиков OpenBSD в Словении: nginx займет..."	+/–
	Сообщение от PereresusNeVlezaetBuggy (ok), 25-Сен-11, 18:33
	>>Но в пределах одного домена маршрутизации, так как он устанавливается в рамках процесса. > Может, проще будет сделать как у пингвинов, возможность выбора домена маршрутизации на > основании некоторой логики (в частности, собственного айпишника)? Эм. Вот у вас два домена маршрутизации. В одном из них ваш айпишник 192.168.0.4. Во втором ваш айпишник... 192.168.0.4. Как вы будете их отличать? :) А вообще, я выразился неправильно выше (в который раз говорю себе не выпускать в свет написанное на сон грядущий...): не несколько экземпляров ntpd теперь будет работать, а именно что один, но слушающий в нескольких доменах маршрутизации. В файле конфигурации это может выглядеть, например, так: listen on * listen on 192.168.5.9 rtable 5 servers ru.ntp.pool.org rtable 3
	Ответить \| Правка \| Наверх \| Cообщить модератору


	35. "Итоги встречи разработчиков OpenBSD в Словении: nginx займет..."	+/–
	Сообщение от Аноним (-), 25-Сен-11, 20:18
	>Эм. Вот у вас два домена маршрутизации. В одном из них ваш айпишник 192.168.0.4. Во втором ваш айпишник... 192.168.0.4. И они оба висят на одном сетевом интерфейсе, да?
	Ответить \| Правка \| Наверх \| Cообщить модератору


	38. "Итоги встречи разработчиков OpenBSD в Словении: nginx займет..."	+/–
	Сообщение от PereresusNeVlezaetBuggy (ok), 26-Сен-11, 02:27
	>>Эм. Вот у вас два домена маршрутизации. В одном из них ваш айпишник 192.168.0.4. Во втором ваш айпишник... 192.168.0.4. > И они оба висят на одном сетевом интерфейсе, да? Позвольте процитировать ваши слова: >>> Может, проще будет сделать как у пингвинов, возможность выбора домена маршрутизации на >>> основании некоторой логики (в частности, собственного айпишника)? Слово "интерфейс" здесь отсутствует. Что касается новой версии вашего предложения - в OpenBSD можно указать таблицу маршрутизации для конкретного сокета (опция SO_RTABLE для setsockopt(2)). Но это уже требует изменения кода программы - равно как, впрочем, и в случае любой другой "логики". Если я вас понял неправильно, пожалуйста, поясните, о чём вы вообще говорите, какой конкретно момент вам кажется спорным.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	43. "Итоги встречи разработчиков OpenBSD в Словении: nginx займет..."	+/–
	Сообщение от Аноним (-), 26-Сен-11, 14:02
	>Слово "интерфейс" здесь отсутствует. Вы полагаете, мне стоило перечислить _все_ критерии, которые могут быть использованы в этой самой логике, не ограничиваясь одним примером? Боюсь, это была бы работа на полчаса как минимум. >Что касается новой версии вашего предложения - в OpenBSD можно указать таблицу маршрутизации для конкретного сокета (опция SO_RTABLE для setsockopt(2)). Но это уже требует изменения кода программы - равно как, впрочем, и в случае любой другой "логики". Пингвины используют более универсальную логику: у них есть возможность тегировать пакеты для конкретного сокета (опция SO_MARK), и на основании этих тегов обрабатывать пакеты в дальнейшем (сюда входит маршрутизация, шейпинг, фильтрация, нат, модификация заголовков и т.д.) Кстати, инновационный пингвиний systemd позволяет использовать тегированные сокеты без модификации кода приложения (один из немногих проектов, использующих самые вкусные возможности POSIX IPC). >Если я вас понял неправильно, пожалуйста, поясните, о чём вы вообще говорите, какой конкретно момент вам кажется спорным. Мне кажется, механизм прямой привязки rtable к сокету несколько дубов. Возможно, достаточно было бы обеспечить поддержку тегирования трафика на сокетах, чтобы потом средствами pf выполнять дальнейшую обработку?
	Ответить \| Правка \| Наверх \| Cообщить модератору


	44. "Итоги встречи разработчиков OpenBSD в Словении: nginx займет..."	+/–
	Сообщение от PereresusNeVlezaetBuggy (ok), 26-Сен-11, 14:40
	>>Слово "интерфейс" здесь отсутствует. > Вы полагаете, мне стоило перечислить _все_ критерии, которые могут быть использованы в > этой самой логике, не ограничиваясь одним примером? Боюсь, это была бы > работа на полчаса как минимум. Все, не все, но вы бы лучше уточнили сами сразу. :) А то догадки бывают и ошибочными. >>Что касается новой версии вашего предложения - в OpenBSD можно указать таблицу маршрутизации для конкретного сокета (опция SO_RTABLE для setsockopt(2)). Но это уже требует изменения кода программы - равно как, впрочем, и в случае любой другой "логики". > Пингвины используют более универсальную логику: у них есть возможность тегировать пакеты > для конкретного сокета (опция SO_MARK), и на основании этих тегов обрабатывать > пакеты в дальнейшем (сюда входит маршрутизация, шейпинг, фильтрация, нат, модификация > заголовков и т.д.) Тегирование в PF делается внутри него самого (см. опции правил фильтрации "tag" и "tagged"), в остальном тот же самый принцип вполне работоспособен. ИМХО, тегировать в самом фаерволе несколько секурнее, хотя это и убирает какую-то долю гибкости. Зато отсутствие доменов маршрутизации в Linux заметно усложняет работу, а некоторые вещи становятся чрезвычайно трудными или даже невозможными, когда в разных доменах маршрутизации используются одинаковые локальные и/или удалённые адреса. Так что OpenBSD суммарно оказывается более гибкой. > Кстати, инновационный пингвиний systemd позволяет использовать тегированные сокеты без > модификации кода приложения (один из немногих проектов, использующих самые вкусные возможности > POSIX IPC). А можно, пожалуйста, поподробнее? >>Если я вас понял неправильно, пожалуйста, поясните, о чём вы вообще говорите, какой конкретно момент вам кажется спорным. > Мне кажется, механизм прямой привязки rtable к сокету несколько дубов. Возможно, достаточно > было бы обеспечить поддержку тегирования трафика на сокетах, чтобы потом средствами > pf выполнять дальнейшую обработку? Ну почему дубов, он скорее более очевиден для логики программы: указывая домен роутинга, программа гарантированно получает то, чего хочет. А указывая некий абстрактный тег, программа начинает зависеть от того, что там в фаерволе наконфигурировано, то есть образуется вынужденная дополнительная связь между конфигурируемыми вручную компонентами. Не смертельно, конечно, но всё же.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	47. "Итоги встречи разработчиков OpenBSD в Словении: nginx займет..."	+/–
	Сообщение от Аноним (-), 26-Сен-11, 15:38
	>Зато отсутствие доменов маршрутизации в Linux заметно усложняет работу, а некоторые вещи становятся чрезвычайно трудными или даже невозможными, когда в разных доменах маршрутизации используются одинаковые локальные и/или удалённые адреса. Вместо доменов маршрутизации там используются отдельные таблицы маршрутизации, управляемые через таблицу правил. Решение не менее фичастое, и даже более гибкое. Приходилось иметь дело с ситуациями, когда нужно было поддерживать несколько интерфейсов с одинаковыми или пересекающимися адресными пространствами - на мой взгляд, пингвин предоставляет больше всего возможностей. А после введения conntrack zones вообще лафа пошла. > Так что OpenBSD суммарно оказывается более гибкой. На мой взгляд, очень спорное утверждение. > А можно, пожалуйста, поподробнее? Процессы могут передавать друг другу открытые fd. Такая прекрасная идея, а воспользовались ею только в launchd и в systemd (который во многом скопирован с launchd). >А указывая некий абстрактный тег, программа начинает зависеть от того, что там в фаерволе наконфигурировано, то есть образуется вынужденная дополнительная связь между конфигурируемыми вручную компонентами. Это называется unix way: каждый инструмент решает свою задачу -> в результате имеем максимальную гибкость.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	49. "Итоги встречи разработчиков OpenBSD в Словении: nginx займет..."	+/–
	Сообщение от PereresusNeVlezaetBuggy (ok), 26-Сен-11, 16:49
	>>Зато отсутствие доменов маршрутизации в Linux заметно усложняет работу, а некоторые вещи становятся чрезвычайно трудными или даже невозможными, когда в разных доменах маршрутизации используются одинаковые локальные и/или удалённые адреса. > Вместо доменов маршрутизации там используются отдельные таблицы маршрутизации, управляемые > через таблицу правил. Решение не менее фичастое, и даже более гибкое. Гм. А в чём принципиальное отличие от "match <...> rtable N"? (смена таблицы маршрутизации для пакета средствами PF) > Приходилось иметь дело с ситуациями, когда нужно было поддерживать несколько интерфейсов > с одинаковыми или пересекающимися адресными пространствами - на мой взгляд, пингвин > предоставляет больше всего возможностей. А после введения conntrack zones вообще лафа > пошла. Ну да в PF нет conntrack zones, так как у PF изначально не было проблем, которые conntrack zones решают. :) >> Так что OpenBSD суммарно оказывается более гибкой. > На мой взгляд, очень спорное утверждение. Ну вот, собственно, мы и спорим. :) >> А можно, пожалуйста, поподробнее? > Процессы могут передавать друг другу открытые fd. Такая прекрасная идея, а воспользовались > ею только в launchd и в systemd (который во многом скопирован > с launchd). Понял, спасибо. >>А указывая некий абстрактный тег, программа начинает зависеть от того, что там в фаерволе наконфигурировано, то есть образуется вынужденная дополнительная связь между конфигурируемыми вручную компонентами. > Это называется unix way: каждый инструмент решает свою задачу -> в результате > имеем максимальную гибкость. Правильно. Таблица маршрутизации и фаервол - немного разные инструменты. В вашем случае обе функции ложатся на фаервол. Что вы там говорили про unix way? ;) Всё то, что вы пока что описываете как фичи netfilter, в PF имеется (что-то давным-давно, что-то не очень). Поэтому реализовать ваш вариант можно и на OpenBSD (да и на FreeBSD как минимум тоже, ipfw местный в последнее время становится всё более человеческим). Но зачем, если есть нормально работающие домены маршрутизации? :)
	Ответить \| Правка \| Наверх \| Cообщить модератору


	53. "Итоги встречи разработчиков OpenBSD в Словении: nginx займет..."	+/–
	Сообщение от коксюзер (?), 26-Сен-11, 18:02
	>> Процессы могут передавать друг другу открытые fd. Такая прекрасная идея, а воспользовались >> ею только в launchd и в systemd (который во многом скопирован >> с launchd). > Понял, спасибо. А я, вот, не понял. Передача дескрипторов требует явного вызова send/recvmsg(2), и как это сделать без изменений в коде, не используя рантайм-враппер?
	Ответить \| Правка \| Наверх \| Cообщить модератору


	58. "Итоги встречи разработчиков OpenBSD в Словении: nginx займет..."	+/–
	Сообщение от Аноним (-), 26-Сен-11, 19:23
	> как это сделать без изменений в коде, не используя рантайм-враппер? Для возможности принять сокеты - да, код нужно модифицировать :) Собственно, сейчас эта работа уже идет, как на уровне отдельных дистрибутивов, так и в апстримных проектах. Важно то, что после завершения этого процесса, свойства сокетов можно менять без вмешательства в код программы.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	59. "Итоги встречи разработчиков OpenBSD в Словении: nginx займет..."	+/–
	Сообщение от Аноним (-), 26-Сен-11, 19:40
	> Гм. А в чём принципиальное отличие от "match <...> rtable N"? (смена > таблицы маршрутизации для пакета средствами PF) Вот про это я и говорил. Еще бы добавить возможность тегирования непосредственно из приложения или хотя бы из враппера - и костыли можно будет спокойно отбросить. > Ну да в PF нет conntrack zones, так как у PF изначально > не было проблем, которые conntrack zones решают. :) Он всегда умел отслеживать соединения в нескольких доменах маршрутизации? Не знал. > Правильно. Таблица маршрутизации и фаервол - немного разные инструменты. В вашем случае > обе функции ложатся на фаервол. Что вы там говорили про unix > way? ;) Авторы netfilter позиционируют его не просто как фаервол, а как "фреймворк для фильтрации и модификации пакетов". Присвоение пакету тегов - чем не модификация? Этот же подход, кстати, справедлив и для pf. Ведь он тоже умеет не только блокировать/пропускать пакеты, правда? Кстати, одно занудное замечание: netfilter, в отличие от pf, не имеет возможности напрямую вмешаться в процесс маршрутизации. Когда-то существовало патч, вводящий действие ROUTE, аналогичное rtable в pf, но его так и не приняли в ядро. Логика выбора таблицы реализована в самой системе маршрутизации. netfilter может лишь менять теги, являющиеся одним из критериев этой логики. Но он не является монополистом в этой области - вот в чем весь цимес. > Всё то, что вы пока что описываете как фичи netfilter, в PF > имеется (что-то давным-давно, что-то не очень). Поэтому реализовать ваш вариант можно > и на OpenBSD (да и на FreeBSD как минимум тоже, ipfw > местный в последнее время становится всё более человеческим). В OpenBSD и FreeBSD приложения могут выставлять для своего трафика теги, которые понимает система маршрутизации? > Но зачем, если есть нормально работающие домены маршрутизации? :) Зачем делать гибкое модульное решение, если костыли неплохо подпирают другие костыли? Ну, считайте меня перфекционистом :)
	Ответить \| Правка \| К родителю #49 \| Наверх \| Cообщить модератору


	74. "Итоги встречи разработчиков OpenBSD в Словении: nginx займет..."	+/–
	Сообщение от PereresusNeVlezaetBuggy (ok), 26-Сен-11, 22:58
	>> Гм. А в чём принципиальное отличие от "match <...> rtable N"? (смена >> таблицы маршрутизации для пакета средствами PF) > Вот про это я и говорил. Еще бы добавить возможность тегирования непосредственно > из приложения или хотя бы из враппера - и костыли можно > будет спокойно отбросить. Гм. Для вас домены маршрутизации - это костыли? Бывает. :) >> Ну да в PF нет conntrack zones, так как у PF изначально >> не было проблем, которые conntrack zones решают. :) > Он всегда умел отслеживать соединения в нескольких доменах маршрутизации? Не знал. Да, с момента появления доменов маршрутизации в OpenBSD. Хотя, справедливости ради, скажу, что несколько багов (именно багов) было пофиксено позднее. Ну да кто без греха... >> Правильно. Таблица маршрутизации и фаервол - немного разные инструменты. В вашем случае >> обе функции ложатся на фаервол. Что вы там говорили про unix >> way? ;) > Авторы netfilter позиционируют его не просто как фаервол, а как "фреймворк для > фильтрации и модификации пакетов". Присвоение пакету тегов - чем не модификация? > Этот же подход, кстати, справедлив и для pf. Ведь он тоже умеет > не только блокировать/пропускать пакеты, правда? Я всего лишь запустил ответную шпильку. ;) > Кстати, одно занудное замечание: netfilter, в отличие от pf, не имеет возможности > напрямую вмешаться в процесс маршрутизации. Когда-то существовало патч, вводящий действие > ROUTE, аналогичное rtable в pf, но его так и не приняли > в ядро. Логика выбора таблицы реализована в самой системе маршрутизации. netfilter > может лишь менять теги, являющиеся одним из критериев этой логики. Но > он не является монополистом в этой области - вот в чем > весь цимес. ROUTE, по-моему, скорее соответствовал route-to в PF, которая опция по сути "перекрывает" стандартную маршрутизацию для данного пакета/соединения. Это параллельная доменам маршрутизации фича. >> Всё то, что вы пока что описываете как фичи netfilter, в PF >> имеется (что-то давным-давно, что-то не очень). Поэтому реализовать ваш вариант можно >> и на OpenBSD (да и на FreeBSD как минимум тоже, ipfw >> местный в последнее время становится всё более человеческим). > В OpenBSD и FreeBSD приложения могут выставлять для своего трафика теги, которые > понимает система маршрутизации? Я уже говорил, что в PF напрямую можно тегировать только его средствами. Это как-то более надёжно, ИМХО, чем позволять приложениям выставлять теги. Что будет, если через взлом одного приложения атакующий получит возможность отправлять трафик от имен доверенного? С другой стороны, в PF можно динамически добавлять-удалять правила, не мешая друг другу, недавно даже появилась возможность задания одноразовых правил, которые самоудаляются после первого срабатывания. Можно и напрямую добавлять-удалять стейты. Так что аналогичная функциональность, повторюсь, вполне доступна. Что до FreeBSD, то вроде бы там ситуация аналогичная, но утверждать это со 100% уверенностью не буду. >> Но зачем, если есть нормально работающие домены маршрутизации? :) > Зачем делать гибкое модульное решение, если костыли неплохо подпирают другие костыли? > Ну, считайте меня перфекционистом :) Затем же, зачем существуют не-универсальные отвёртки. ;) То, что потребует больших усилий и аккуратности при реализации на фаерволе, может легко решаться посредством доменов роутинга. При желании можно любую задачу фильтрации пакетов свести к тегированию и последующему разбору по тегам. Но практичным этот подход назвать никак нельзя. Это не перфекционизм, это идеализм. :)
	Ответить \| Правка \| Наверх \| Cообщить модератору


	78. "Итоги встречи разработчиков OpenBSD в Словении: nginx займет..."	+/–
	Сообщение от Аноним (-), 27-Сен-11, 00:16
	> Для вас домены маршрутизации - это костыли? В современном, жестком и дубовом их виде - да. > ROUTE, по-моему, скорее соответствовал route-to в PF Да, точно. Про аналог rtable было в другом обсуждении, не имевшем практических последствий. >Я уже говорил, что в PF напрямую можно тегировать только его средствами. Это как-то более надёжно, ИМХО, чем позволять приложениям выставлять теги. Что будет, если через взлом одного приложения атакующий получит возможность отправлять трафик от имен доверенного? В случае с systemd, выставлением тегов занимается процесс init, работающий от рута. Вы полагаете, что в случае исполнения кода в контексте init будет существенной проблемой модифицировать правила фаервола? >Так что аналогичная функциональность, повторюсь, вполне доступна. Не вполне понимаю. Не могли бы вы привести пример реализации тегирования пакетов, связанных с заданным сокетом (порт и PID процесса заранее не известны)? >То, что потребует больших усилий и аккуратности при реализации на фаерволе, может легко решаться посредством доменов роутинга. Костыль обычно всегда проще прямого решения, поэтому костыли столь популярны. >Но практичным этот подход назвать никак нельзя. Да, пусть лучше костыль на костыле сидит и костылем погоняет. Не слушайте старого идеалиста, он бредит.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	80. "Итоги встречи разработчиков OpenBSD в Словении: nginx займет..."	+/–
	Сообщение от PereresusNeVlezaetBuggy (ok), 27-Сен-11, 01:41
	>> Для вас домены маршрутизации - это костыли? > В современном, жестком и дубовом их виде - да. Дубовом? o_O А мужики-то и не знают. Я-то думал, что когда получается быстрее (пробежаться по таблице роутинга быстрее, чем по правилам фаервола), надёжнее (меньше ручной работы = меньше вероятность ошибки конфигурирования) и проще (каждая задействованная сущность проста доступнее в изучении, чем комплексное решение на фаерволе), то оно лучше, ан вот оно как... :) Я не спорю, что какие-то ситуации наоборот, кроме как тегированием решить нельзя. Но то, что как минимум ситуации с одноимёнными маршрутами в контексте доменов маршрутизации решаются лучше - отрицать, мягко говоря, странно. Ну да то не мои проблемы, что я буду переубеждать. :) >>Я уже говорил, что в PF напрямую можно тегировать только его средствами. Это как-то более надёжно, ИМХО, чем позволять приложениям выставлять теги. Что будет, если через взлом одного приложения атакующий получит возможность отправлять трафик от имен доверенного? > В случае с systemd, выставлением тегов занимается процесс init, работающий от рута. > Вы полагаете, что в случае исполнения кода в контексте init будет > существенной проблемой модифицировать правила фаервола? Гм. systemd использует тегирование пакетов для эмуляции доменов маршрутизации? o_O Давайте мух отдельно, котлеты отдельно (это я в свете грядущих выборов, ага). Я говорил про ситуацию, когда произвольное приложение (не-рутовое) имеет возможность фактически отправить трафик от имени рутового. Понимаете? Получается, надо всё равно давать возможность фаерволу проверять источник пакета. Что приводит в итоге к, фактически, тегированию силами фаервола. Кстати, если не секрет, а чего это SO_MARK до сих пор не документирован? Я нашёл было ссылку на багзиллу, датированную ещё 2010-м годом, да вот беда: kernel.org-то до сих пор не реанимирован (полностью)... Может, именно из-за описанных выше причин? Теперь о systemd и других рутовых процессах. Использование тегов сокета в рутовом приложении ничего не даст для этого приложения с точки зрения безопасности. Но: По-хорошему, логику работы в таких процессах разделяют: основные действия, в том числе обработку данных, совершает непривилегированный процесс, а привилегированный только выполняет какие-то команды. Более того, если программе не требуется использовать критичные (доступные только в привилегированном режиме) ресурсы, то она может банально сбросить привилегии после их, ресурсов, получения безо всяких форков. В обоих случаях возможные эксплоиты не получают рутовый доступ к системе, а могут лишь пакостить в пределах уязвимого приложения. То есть всё для того, чтобы не было _необходимости_ (не возможности) использовать именно тегирование, по-хорошему уже должно быть. А если нет, то у вас уже есть проблема с угрозой безопасности. И, возможно, не одна. >>Так что аналогичная функциональность, повторюсь, вполне доступна. > Не вполне понимаю. Не могли бы вы привести пример реализации тегирования пакетов, > связанных с заданным сокетом (порт и PID процесса заранее не известны)? Первый пришедший в голову пример, статика: match out on <...> user my_daemon_user tag i_want_special_handling Более сложный, динамика (для понятности даю командами шелла, в Си суть аналогичная): echo "match from $my_addr port $my_port user $my_daemon_user to $peer_addr port $peer_port once tag i_want_special_handling" \| \ pfctl -a myprog/$PPID -f - Разумеется, вместо tag может быть и любое другое действие, но коли уж говорим о тегировании, то примеры именно с опцией "tag". >>То, что потребует больших усилий и аккуратности при реализации на фаерволе, может легко решаться посредством доменов роутинга. > Костыль обычно всегда проще прямого решения, поэтому костыли столь популярны. Господи, ну хотите, считайте костылём, жалко, что ли. :) >>Но практичным этот подход назвать никак нельзя. > Да, пусть лучше костыль на костыле сидит и костылем погоняет. Не слушайте > старого идеалиста, он бредит. Да делайте как хотите. Вы же себе жизнь усложняете, а не мне. :)
	Ответить \| Правка \| К родителю #78 \| Наверх \| Cообщить модератору