Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"В OpenSSH код аутентификации вынесен в отдельный процесс sshd-auth"	+/–
Сообщение от opennews (?), 15-Окт-24, 17:45
Разработчики OpenSSH продолжили разделение sshd на несколько отдельных исполняемых файлов. На реализованном в мае первом этапе разделения из sshd в отдельный процесс sshd-session были вынесены функции, связанные с обработкой сеансов, а в sshd оставлена лишь функциональность, необходимая для приёма нового сетевого соединения и запуска sshd-session для каждого нового сеанса. Вчера в кодовую базу OpenSSH было внесено изменение, добавляющее ещё один процесс -  sshd-auth, в который из sshd-session перенесён код, выполняющий аутентификацию... Подробнее: https://www.opennet.ru/opennews/art.shtml?num=62052
Ответить | Правка | Cообщить модератору

Сообщения

[Сортировка по ответам | RSS]

1. Сообщение от qweo (?), 15-Окт-24, 17:45	+7 +/–
Ещё немного, и повторят архитектуру inetd и иже с ним :-) Молодцы, на самом деле!
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #9, #53, #68

2. Сообщение от Аноним (2), 15-Окт-24, 17:47	–7 +/–
Здорово, ещё один левый процесс...
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #4, #11

3. Сообщение от Аноним (4), 15-Окт-24, 17:50	–4 +/–
Это жжжж не проста. Будут внедрять  в системд? Уверен что это сделано не для удобства пользователей.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #5, #35, #46

4. Сообщение от Аноним (4), 15-Окт-24, 17:52	–1 +/–
Ещё один вектор атаки.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2 Ответы: #8, #10

5. Сообщение от DeerFriend (?), 15-Окт-24, 18:06	+1 +/–
демона выкинут, оставят системд.сокет
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3 Ответы: #6, #15

6. Сообщение от DeerFriend (?), 15-Окт-24, 18:08	+/–
А энтузиасты будут прикручивать оставшееся к интетд, чтобы запускалось на диване.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5 Ответы: #25

7. Сообщение от Аноним (7), 15-Окт-24, 18:12	+2 +/–
Надо процессы запуска и остановки процессов выделить в отдельные процессы. И да поглотит все рекурсия в бесконечном цикле!
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #16

8. Сообщение от Имя (?), 15-Окт-24, 18:14	+7 +/–
Наоборот, старую кодяру разнесли по разным процессам ОС. Тем самым изолировали разные участки кода и данных друг от друга. Это может уменьшить неприятности от атаки, опирающейся уязвимость в коде.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4

9. Сообщение от Аноним (9), 15-Окт-24, 18:28	+/–
Кстати, очень  хоршая штука. Недавно работал только xinetd. Опция запуска с учетом времени суток вообще киллерфича.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1

10. Сообщение от Аноним (9), 15-Окт-24, 18:28	+/–
Ой ли, прям вертор...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4 Ответы: #19

11. Сообщение от Аноним (11), 15-Окт-24, 18:37	+/–
То тут идет онанирование «одна задача — один процесс», то тебе теперь не нравится, что задача вынесена в отдельный процесс Вы бы определились, блин!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2 Ответы: #12

12. Сообщение от Аноним (2), 15-Окт-24, 18:46	+/–
Так разные онанимы.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #11 Ответы: #29

14. Сообщение от Аноним (-), 15-Окт-24, 19:02	+/–
> В OpenSSH код аутентификации вынесен в отдельный процесс sshd-auth Это хорошо или плохо? Что меняет для конечных пользователей?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #20, #48, #51, #52, #54

15. Сообщение от Аноним (-), 15-Окт-24, 19:04	+/–
Это было бы великолепно в плане унификации и приведению к единому стандарту, а не каши из разношерстных утилит. Ещё бы так сделали с GUI, то авось пересилили бы те 0.01% на десктопе.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5 Ответы: #26

16. Сообщение от Аноним (16), 15-Окт-24, 19:04	+1 +/–
И чтоб каждый файл, каждый юзер -- всё в докере!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #7 Ответы: #18

17. Сообщение от Аноним (17), 15-Окт-24, 19:11    Скрыто ботом-модератором	+1 +/–
Как насчёт systemd-sshd? Кажется востребованной фичей для бесплатного десктопа.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #28

18. Сообщение от MaleDog (?), 15-Окт-24, 19:22	+/–
А потом еще придумать костыли как дать процессам доступ к файлам чужих пользователей. "Приложение sftpd pid 36489 просит доступ к фото". После разрешения предоставляем доступ ко всем jpg и png на разделе.  Андроид?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #16 Ответы: #23

19. Сообщение от MaleDog (?), 15-Окт-24, 19:27	–1 +/–
Мало до этого было атак с манипуляцией параметрами запуска приложений? Если код сложный, то почему просто не вынести в либы. Зачем новый процесс порождать?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #10 Ответы: #22, #24, #44

20. Сообщение от kusb (?), 15-Окт-24, 19:41	+/–
Может быть не взломают. Это и сделано для конечных пользователей, на самом деле.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #14

21. Сообщение от Аноним (21), 15-Окт-24, 19:51	+/–
ну блин, R^X не пробовали? Вообще всё ROP отрезает.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #27

22. Сообщение от Аноним (22), 15-Окт-24, 20:15	+/–
> Зачем новый процесс порождать? ща прибежит Мяю и пояснит, для МАС
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #19 Ответы: #40

23. Сообщение от Аноним (22), 15-Окт-24, 20:16	+1 +/–
> А потом еще придумать костыли как дать процессам доступ к файлам чужих пользователей. Так есть же - МАС.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #18 Ответы: #41

24. Сообщение от Аноним (24), 15-Окт-24, 20:37	+3 +/–
Как бы, отдельный процесс - отдельное адресное пространство.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #19

25. Сообщение от Аноним (24), 15-Окт-24, 20:40	+3 +/–
Лучше подумай, как оно тогда на OpenBSD должно работать.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #6 Ответы: #60

26. Сообщение от Аноним (24), 15-Окт-24, 20:42	+/–
>4% не считая ХромойОС.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #15

27. Сообщение от Аноним (24), 15-Окт-24, 20:47	+/–
Точно, RDX вообще всё напрочь отрезает.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #21

28. Сообщение от Аноним (24), 15-Окт-24, 20:50	+/–
Идёт в комплекте с systemd-gnomed
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #17

29. Сообщение от Аноним (29), 15-Окт-24, 21:12	+1 +/–
> Так разные онанимы. Да едины мы, едины - просто ты новенький, других пока не слышишь и считаешь что один-единственный в голове нашего общего тела ... Глянь на часы - куда две с половиной минуты делись? (а это я ответ писал, нашими общими руками) ...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #12

30. Сообщение от Аноним (30), 15-Окт-24, 21:16	+/–
Количество уязвимостей в программе зависит от количества ошибок в ней. А количество ошибок зависит от густоты ошибок в коде и объёма кода. А густота ошибок зависит от языка программирования. От разделения программы на несколько процессов объём кода и язык программирования не изменились. Какой вывод?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #31, #57

31. Сообщение от Аноним (60), 15-Окт-24, 21:32	+10 +/–
Вывод: ты не понимаешь, о чём говоришь.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #30

34. Сообщение от Аноним (34), 15-Окт-24, 22:37	+/–
Вопрос взаимодействия процессов и передачи данных между ними. Сколько багов возникает при передаче через аргументы при старте процесса...
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #37, #43

35. Сообщение от Аноним (35), 15-Окт-24, 23:00	+/–
какой systemd в openbsd?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3 Ответы: #38, #63

37. Сообщение от Аноним (35), 16-Окт-24, 00:49	+1 +/–
17. Возникает 17 багов. Раз вам так интересно.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #34 Ответы: #42

38. Сообщение от Аноним (38), 16-Окт-24, 03:54	+1 +/–
systemd-openbsd
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #35

39. Сообщение от Аноним (39), 16-Окт-24, 04:51	+/–
Они собираются убрать дефолтным поведение, которое позволяет логинится по паролю пользователя в любого пользователя? Кажется дибилизмом каждый раз при создании конфига отменять вайлдкард на все группы и пользователей и для каждого отдельного, который тебе нужен, вписывать его обратно.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #45, #49

40. Сообщение от мяв (?), 16-Окт-24, 06:17	+/–
а как MAC Вам поможет? как будете отличать штатный вызов нового процесса от внештатного? разве что, можно похвастаться "у меня ssh-session и ssh-auth не умеют лазать по хомяку, косяки в них не приведут к прочтению левых файлов", но такое себе. вот "MAC для памяти", может, защитил бы.. по-моему, SARA называется, но не уверена про принцип его работы, на этапе "abondoned", бросила читать.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #22 Ответы: #55

41. Сообщение от мяв (?), 16-Окт-24, 06:26	+/–
или bwrap. его в MAC, что б исключить выход из песочницы, а доступом через него рулить.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #23

42. Сообщение от мяв (?), 16-Окт-24, 06:28	+/–
было бы интересно еще и список посмотреть.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #37

43. Сообщение от мяв (?), 16-Окт-24, 06:29	+/–
никто не будет, условно, пароли в него передавать. запустится ssh-auth, спросит пароль, сам все обработает и выдаст, что надо.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #34 Ответы: #61

44. Сообщение от мяв (?), 16-Окт-24, 06:33	+/–
да, мало, по сравнению с использованием после очистки, двойной очисткой, выхода за границы и тп. что-то мне подсказывает, что это вообще внутренние процессы, не принимающие аргументов, бинари которых будут лежать в libexec, как session-helper у polkit.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #19 Ответы: #56

45. Сообщение от мяв (?), 16-Окт-24, 06:35	+/–
идите к ним в гит и сделайте репорт/почитайте, почему так.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #39

46. Сообщение от mos87 (ok), 16-Окт-24, 07:38	+1 +/–
взаимоисключающие параграфы
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3

48. Сообщение от mos87 (ok), 16-Окт-24, 07:40	–1 +/–
им будет труднее скачать бинарь openssh.tgz распаковать и запускать
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #14 Ответы: #66

49. Сообщение от а (?), 16-Окт-24, 07:40	+1 +/–
зачем вписывать каждого? создайте группу sshusers, пропишите ее в конфиг, и добавляйте нужных пользователей в нее.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #39 Ответы: #64

51. Сообщение от bOOster (ok), 16-Окт-24, 09:21	+/–
Растет количество методов авторизации/аутентификации. Причем бывает на статических библиотеках, которые компилируются внутрь процесса auth. Ребята сделали правильную вещь - отделили код OpenSSH от всякого другого.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #14

52. Сообщение от bOOster (ok), 16-Окт-24, 09:23	+/–
ПыСы Некоторые знающие толк в извращениях вообще через записи СУБД авторизуются/аутентифицируются.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #14 Ответы: #58

53. Сообщение от Соль земли (?), 16-Окт-24, 09:57	+4 +/–
Скорее postfix.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1

54. Сообщение от anonymmmeer (?), 16-Окт-24, 12:11	+/–
Увеличивается безопастность, уменьшается производительность. Но нынче такие времена, что одно приложение на электрон уже в сто раз эту производительность ухудшит.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #14 Ответы: #59

55. Сообщение от Аноним (55), 16-Окт-24, 14:15	+/–
> а как MAC Вам поможет? как будете отличать штатный вызов нового процесса от внештатного? а что есть штатный и внештатный вызов? > разве что, можно похвастаться вы серьезно? чем гранулярнее правила МАС тем он эффективнее, а не "такое себе". > вот "MAC для памяти" Защитой памяти процесса должен заниматься менеджер виртуальной памяти. И правила тут скорее - аксиомы. И МАС как таковой тут не нужен.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #40 Ответы: #69

56. Сообщение от Аноним (55), 16-Окт-24, 14:24	+/–
> что это вообще внутренние процессы, не принимающие аргументов что за внутренние процессы? кхммм Вон постфикс на такой архитектуре с основания.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #44 Ответы: #70

57. Сообщение от Аноним (55), 16-Окт-24, 16:21	+/–
> объём кода и язык программирования не изменились как не изменилось, если надо еще городить межпроцессное взаимодействие?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #30

58. Сообщение от Аноним (60), 16-Окт-24, 18:49	+/–
Дали им полный набор механизмов для аутентификации пользователей по ключам с любыми ограничениями, от конкретных учётных записей на конкретных хостах до времнного окна для логина без необходимости менеджмента индивидуальных ключей. Нет, всё равно костылят какую-то хтонь.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #52

59. Сообщение от Аноним (60), 16-Окт-24, 18:50	+/–
> одно приложение на электрон Зачем ты его ставишь на сервер?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #54

60. Сообщение от Аноним (60), 16-Окт-24, 18:55	–1 +/–
OpenSSH *должно* работать на мейнстримных Линуксах и 3½ недоеденных им Юниксах. На это Тео дают достаточно денег на его игрушечную ОС и закрывают глаза на его, скажем так, особенности характера. Если для этого вдруг понадобится тесная интеграция с systemd — Тео либо сделает что сказано, либо будет искать финансирование в другом месте, а проектом займутся другие люди. Работоспособность OpenSSH в OpenBSD в списке требований не присутствует и никогда не присутствовала, это просто счастливая случайность.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #25 Ответы: #67

61. Сообщение от Аноним (61), 16-Окт-24, 22:14	+/–
И всё-таки, можно механизм взаимодействия между процессами накидать. Кто и каким образом спавнит, как возвращают результат работы. А то тут dbus десяток лет хрен знает чем занимается, тормозит, что даже в ведро его пытались закинуть.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #43

63. Сообщение от _ (??), 17-Окт-24, 00:06	+/–
Корирайяу имя: OpenSystemD ! 8-D
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #35

64. Сообщение от _ (??), 17-Окт-24, 00:12	+/–
The Best Business Practice for ХЗ сколько лет ... но для некоторых шокирующие инновации(С) :)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #49

66. Сообщение от kusb (?), 17-Окт-24, 14:54	+/–
Придётся кликнуть правой кнопкой мышки и выбрать "Создать папку"
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #48

67. Сообщение от Аноним (-), 18-Окт-24, 09:32	+/–
> Работоспособность OpenSSH в OpenBSD в списке требований не присутствует > и никогда не присутствовала, это просто счастливая случайность. Ну вот нет. Ты недооцениваешь способность людей програмить себе по фану. Толи потому что унылый наймит, толи потому что в пирамиде Маслоу ты находишься ниже них. В общем, вот тут ты не прав, sshd появился себе по фану - и на линухи портируется по остаточному принципу. И таким манером он когда-нибудь допрыгается что его, таки, заменят на что-то более дружественное. А вот это вот будет - у полутора маргиналов. И спасибо если остальные вообще будут юзать ssh как протокол. Ибо у него накопилось немеряно легасипроблем. Вплоть до того что не такой уж он и секурный, утекает много инфо о том кто и что делал. И чинить это никто не собирается походу, безпасничкам из опенбсд и с такой "безопасностью" - норм.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #60

68. Сообщение от Аноним (-), 18-Окт-24, 09:34	+/–
> Ещё немного, и повторят архитектуру inetd и иже с ним :-) Больше на системд похоже. Тоже стало летающим спагетти с кучей wtfd, огромным кодом, и - довольно паршивой безопасностью протокола.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1

69. Сообщение от мяв (?), 18-Окт-24, 12:53	+/–
>а что есть штатный и внештатный вызов? легетимный, задуманный разработчиком и нелегетимный, ставший результатом его ошибки, если Вам так проще будет. >вы серьезно? чем гранулярнее правила МАС тем он эффективнее, а не "такое себе". а Вы? мало того, что я, судя по всему, у Вас в глазах двоюсь, так еще и бездумно пургу затираете. при чем тут "гранулированнее"? или Вам еще и какой-то неведомый никому контекст привиделся? или Вы вообще исходное сообщение от анонима не читали? >не "такое себе". много даст отсутствие возможности залезть в хомяк у 2х служебных процессов, когда рядом возможность рут-шелл получить из основного? >Защитой памяти процесса должен заниматься менеджер виртуальной памяти. И правила тут скорее - аксиомы. И МАС как таковой тут не нужен. речь шла об изоляции компонентов этого самого процесса друг от друга. собственно, что и подразумивает спавн отдельного процесса. запомнилось, мол sara именно это делает, но без спавна нового процесса. как сейчас оказалось, нет, это просто защита WX.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #55 Ответы: #71

70. Сообщение от мяв (?), 18-Окт-24, 12:54	+/–
те, что не предполагают пользовательского взаимодействия с собой.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #56

71. Сообщение от Аноним (71), 18-Окт-24, 14:52	+/–
> так еще и бездумно пургу затираете. ясно
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #69

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема