1.1, Аноним (-), 20:50, 30/04/2018 [ответить] [﹢﹢﹢] [ · · · ]
| –6 +/– |
Тоже мне безопасники. Вернулись на дырявый openssl, потому что не осилили написать патчи для портов.
| |
|
2.16, Аноним (-), 03:05, 01/05/2018 [^] [^^] [^^^] [ответить]
| –6 +/– |
> Тоже мне безопасники. Вернулись на дырявый openssl, потому что не осилили написать
> патчи для портов.
Ну блин написано - на безопасность нет ресурсов. Видимо, корпоративщики как всегда показали фигу и с коммитами/рабочей силой и с деньгами. Лицензия позволяет, ниипер.
| |
|
3.29, Аноним (-), 15:31, 01/05/2018 [^] [^^] [^^^] [ответить]
| +6 +/– |
> Ну блин написано - на безопасность нет ресурсов.
Харденед разрабы вообще-то всегда больше ограничивались ядром, внося в базу только мнинимальные дополнения. А мейнейнить в два-три рыла еще и не сильно маленькую репу в 30к портов немного перебор.
Но, конечно же глупо ждать от анонима хоть какого-то знания предмета - ему лишь бы вcпyкнуть при виде знакомых слов )
> Видимо, корпоративщики как всегда показали фигу и с коммитами/рабочей силой и с деньгами. Лицензия позволяет, ниипер.
А не хочет ли дорогой наш эксперт всего и вся поведать нам, какая лицензия заставляет спонсировать деньгами или рабочей силой любой форк какого-то проекта? И что там со спонсированием майками QoS, например, репы арчика?
И самое главное: какие именно проприетарщики показали фигу дебиану с коммитами/рабочей силой и с деньгами, так что там даже не пытались перейти на либру?
| |
|
4.32, Аноним (-), 16:55, 01/05/2018 [^] [^^] [^^^] [ответить]
| –5 +/– |
В отличие от этой поделки дебианом пользуется сильно больше людей, а ломать все значит превратится в такую же поделку - никому не нужную. Этим ребятам явно пофиг, либраводам пофиг, почему кому-то должно быть не пофиг на агонию престарелого бомжа.
| |
|
5.33, Аноним (-), 17:17, 01/05/2018 [^] [^^] [^^^] [ответить]
| +5 +/– |
>>> Вернулись на дырявый openssl, потому что не осилили написать патчи для портов.
>> Ну блин написано - на безопасность нет ресурсов
> В отличие от этой поделки дебианом пользуется сильно больше людей, а ломать все значит превратится в такую же поделку - никому не нужную.
> этой поделки
> в такую же поделку
Получается, дебиану можно использовать "дырявый openssl", потому что им пользуются больше людей и дебиан "не поделка". Наоборот - если перейдут на либру, то сломают все и станут поделкой.
А вот сабжу неможно переходить обратно, потому что они поделка, а невозможность втроем мейнтенить здоровенную репу просто отговорка неосиляторов?
В общем, внятно аргуменировать и логично обосновать свою точку зрения ты не осилил. Так бы сразу и писал "Дибиан лудьший и рулит! Так воть!".
| |
|
6.35, Аноним (-), 17:29, 01/05/2018 [^] [^^] [^^^] [ответить]
| –3 +/– |
> Получается, дебиану можно использовать "дырявый openssl"
Думаю ребятам из дебиана виднее, и риски они оценивают правильно, имено потому их продуктом пользуются.
и эта фраза неоспорима
> А вот сабжу неможно переходить обратно, потому что они поделка, а невозможность
> втроем мейнтенить здоровенную репу просто отговорка неосиляторов?
их трое, потому что никто не видит смысла в их шатаниях -> их шатания следствие...
за них этот круг никто не разорвет.
> В общем, внятно аргуменировать и логично обосновать свою точку зрения ты не осилил.
Да что ты говоришь, редко приходится констатировать чтото более логичное.
> Так бы сразу и писал "Дибиан лудьший и рулит!
честно тебе скажу, дебиан 3-й с конца в моем личном рейтинге.
| |
|
|
|
|
|
1.3, 33333333 (?), 21:17, 30/04/2018 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
еще один повод для меня пересобрать libressl с git pull после обновления 16.04.4 ЛТС до 18.04 :)
| |
1.7, Ivan_83 (ok), 22:59, 30/04/2018 [ответить] [﹢﹢﹢] [ · · · ]
| +2 +/– |
Поторопился.
Во фре тоже перешли на эту версию, щас порты допилят за неделю/месяц.
А ISC NTP просто какое то днище.
Мне вот не нужно предоставлять сервис времени другим, поэтому я нашёл в хз какой документации параметры и сделал чтобы он биндился только на lo.
Проверил, работает.
Прошло немного времени и после апдейта ОС вместе с этим демоном работа сломалась.
Притом сломалась настолько, что ntpd должен обязательно слушать и обязательно обрабатывать пакеты на том интерфейсе на котором он общается с апстримами.
Те смотреть голой жопой в инет обязательно. Про фаер я слышал, но это костыльное решение ля купирования проблемы, а на рабочих станциях я фаер не держу.
Поставил OpenNTPd.
Конфиг простейший и понятный.
Не хочешь предоставлять точно время другим - не биндишься к интерфейсам и оно спокойно себе работает.
Ещё раз убедился что в ISC сплошные плохие кодеры, всегда обходил ихний дхцп и днс (бинд) стороной, знал бы про ntp - избежал бы траты кучи времени.
| |
|
2.9, Michael Shigorin (ok), 23:05, 30/04/2018 [^] [^^] [^^^] [ответить]
| –2 +/– |
Просто к сведению: на линуксе isc-шный умеет пользоваться "подкруткой времени" в ядре и плавно его выводить на точное, ну а openntpd лупит кувалдой, как умеет, не заморачиваясь ерундой вроде монотонности системных часов.
| |
|
3.11, Ivan_83 (ok), 23:25, 30/04/2018 [^] [^^] [^^^] [ответить]
| –1 +/– |
Я в курсе, но мне оно не критично.
Монотонность обеспечивается в таймерах, там аптайм считается.
| |
3.13, PereresusNeVlezaetBuggy (ok), 23:59, 30/04/2018 [^] [^^] [^^^] [ответить]
| +5 +/– |
> Просто к сведению: на линуксе isc-шный умеет пользоваться "подкруткой времени" в ядре
> и плавно его выводить на точное, ну а openntpd лупит кувалдой,
> как умеет, не заморачиваясь ерундой вроде монотонности системных часов.
Откуда дровишки? Плавная подстройка (при поддержке ядра) в OpenNTPd есть давно, может, это где-то сборка криво происходит?
| |
3.15, Аноним (-), 03:02, 01/05/2018 [^] [^^] [^^^] [ответить]
| –1 +/– |
Зато весь ISCшный софт являет собой пример монструозного энтерпрайзного оверинжиниринга. Наиболее эпично они конечно в BIND 10 оттянулись, но и остальной софт - очень в духе. И поэтому "радует" огромным attack surface и багодромом, кучей зависимостей, уроном для приваси и прочими характерными "прелестями".
А openntpd - выгодно отличается мелким кодом и "security in mind". Мелкая прожка, которая делает только то что обещала. И как максимум - ну может через нее систему накрайняк левым временам накормят. Что наверное лучше чем remote code execution, которым по жизни отличается софт от ISC из-за смеси монструозности и увлечения наворачиванием фич с пофигом на безопасность. Что для сетевого софта все-таки критично.
| |
|
4.22, Аноним (-), 09:37, 01/05/2018 [^] [^^] [^^^] [ответить]
| +/– |
Вот еще прекрасная NTP-реализация:
DragonFly has its own from-scratch time daemon. After pulling our hair out over the many issues with open source time daemons we decided to write one by ourselves and add new system calls to support it. dntpd(8) uses a double staggered linear regression and correlation to make time corrections. It will also properly deal with network failures (including lack of connectivity on boot), duplicate IPs resolved by DNS, and time source failures (typically 1 second off) when multiple time sources are available. The linear regression and correlation allows dntpd(8) to make rough adjustments and frequency corrections within 5 minutes of boot and to make more fine-grained adjustments at any time following when the linear regression indicates accuracy beyond the noise floor.
| |
|
5.46, Аноним (-), 10:15, 02/05/2018 [^] [^^] [^^^] [ответить]
| +/– |
> Вот еще прекрасная NTP-реализация:
Она работает в Linux?
И описание - довольно странное, чтоли. Какие-то "5 minutes after boot". А почему не минуту? Или не полчаса? И почему именно "after boot"? Это их "properly deal" включает в себя например сетку в ауте первые два часа после загрузки? Или wakeup из suspend to RAM вместо "boot"? Ну там лаптоп какой-нибудь с intermittent connectivity и спячкой - как на него такая логика ложится? Ну вот вообще совсем нихрена не очевидно из такого описания.
Openntpd не пытается сильно умничать, поэтому и сильных сюрпризов вроде не подкидывает. У NTPD именно алгоритмы синхронизации и коррекции часов довольно крутые. Но он в результате перерос в огромного монстра. С какими там еще керберосами, всякой полудекоративной "типа-секурити" и чем там еще. Явно лишним для выполнения задачи подкорректировать часы.
| |
|
|
3.31, Аноним (-), 16:32, 01/05/2018 [^] [^^] [^^^] [ответить]
| +/– |
а когда isc-шный научится НЕ переводить время в давнее прошлое (делая невалидные взломанные сертификаты снова валидными)?
это ведь простейшее действие -- спросить у гугл-сервера текущее время
| |
|
|
5.47, Аноним (-), 10:19, 02/05/2018 [^] [^^] [^^^] [ответить]
| –1 +/– |
> В наших краях время положено спрашивать у серверов ВНИИФТРИ.
Да что уж там, у ВНИИ Химических Удобрений и Ядохимикатов.
| |
5.49, Аноним (-), 23:11, 02/05/2018 [^] [^^] [^^^] [ответить]
| +/– |
> В наших краях время положено спрашивать у серверов ВНИИФТРИ.
Кем положено?
| |
|
|
|
2.10, xm (ok), 23:22, 30/04/2018 [^] [^^] [^^^] [ответить]
| +2 +/– |
Короче, ещё один не осилил конфиг NTP и понаписал кучу ерунды, которую даже разбирать желания нет.
| |
|
3.12, Ivan_83 (ok), 23:30, 30/04/2018 [^] [^^] [^^^] [ответить]
| +1 +/– |
Осилил и пользовался много лет.
Но встал вопрос что на рабочих станциях я не желаю предоставлять сервис точного времени и использовать фаер.
В конфиге кое как нашлись опции для этого, но вскоре сломались.
В общем я не хочу и не будут тратить больше своё время на поделия ISC, оно того не стоит.
| |
|
4.14, angra (ok), 02:33, 01/05/2018 [^] [^^] [^^^] [ответить]
| +2 +/– |
Ты так хорошо его осилил, что даже не заметил в документации раздел ACL и пошел сразу рубить бинды?
| |
|
5.19, Ivan_83 (ok), 05:27, 01/05/2018 [^] [^^] [^^^] [ответить]
| +1 +/– |
Если ставить игнорировать запросы - синхронизация тоже отваливается.
ACL подразумевает обработку запросов, это как возможность для DoS так и потенциальная дырка, если там в очередной раз уязвимость найдут.
Уязвимости в ntpd за последние 10 лет находили более 10 раз, притом там часто за раз была не одна узявимость а несколько.
Это одна из лидирующих по дыркам служб во фре.
| |
|
4.28, xm (ok), 15:03, 01/05/2018 [^] [^^] [^^^] [ответить]
| +1 +/– |
Десятки инсталляций годами работают с NTP и без файерволов для чего надо было всего лишь поправить ntp.conf в разделе security. А последние несколько лет так и вообще его трогать нет необходимости. По-крайней мере во FreeBSD.
| |
|
|
6.42, xm (ok), 20:43, 01/05/2018 [^] [^^] [^^^] [ответить]
| +/– |
Обновляться своевременно не пробовали?
Софт ISC 25 лет поддерживает инфраструктуру сети, в том числе и ключевую, как бы кто к нему не относился. Количество дыр соразмерно истории и наследию.
| |
|
7.44, Ivan_83 (ok), 01:50, 02/05/2018 [^] [^^] [^^^] [ответить]
| –2 +/– |
На стабле сижу.
А если ставить свежее с портов то я вот альтернативу и выбрал.
Ничего он уже давно не поддерживает, так, всякие маргиналы ещё юзают бинд, дхцп и апач в придачу (знаю что не их), потому что с молодости привыкли и всё никак не переучатся.
По пачке дыр каждый год последние 10 лет в простом демоне синхронизации времени это как то чересчур.
| |
7.48, Аноним (-), 10:26, 02/05/2018 [^] [^^] [^^^] [ответить]
| +/– |
> Софт ISC 25 лет поддерживает инфраструктуру сети, в том числе и ключевую,
> как бы кто к нему не относился. Количество дыр соразмерно истории и наследию.
Количество дыр соразмеримо блоатварности и оверинжинирингу их софта, внезапно. Потому что чем больше программа - тем больше в ней багов. Включая и проблемы безопасности.
И поэтому хакер не сможет часы мне сбить, зато код выполнит, дааа? Это конечно прикольное понимание безопасности, но нет.
| |
|
|
|
|
|
2.26, artemrts (ok), 13:07, 01/05/2018 [^] [^^] [^^^] [ответить]
| +/– |
О, а подскажи замену isc dhcpd, а то как то сам задумался свалить с него.
| |
2.27, Fyjybv755 (?), 13:34, 01/05/2018 [^] [^^] [^^^] [ответить]
| +4 +/– |
> Не хочешь предоставлять точно время другим - не биндишься к интерфейсам и оно спокойно себе работает.
Не хочу вас огорчать, но NTP - это UDP, а там нельзя отправлять пакеты, не забиндив сокет (ну, если не говорить про AF_RAW, которые тут явно не используются).
Так что биндится он как миленький.
| |
|
3.39, Ivan_83 (ok), 19:08, 01/05/2018 [^] [^^] [^^^] [ответить]
| +/– |
А ещё на UDP сокете можно вызвать connect() и тогда он будет принимать пакеты только от одного ip:port.
Даже без этого фильтрация на одном сокете левых пакетов заметно проще.
ISC я не доверяю принципиально, они писать программы не умеют.
| |
3.50, PereresusNeVlezaetBuggy (ok), 15:32, 03/05/2018 [^] [^^] [^^^] [ответить]
| +/– |
>> Не хочешь предоставлять точно время другим - не биндишься к интерфейсам и оно спокойно себе работает.
> Не хочу вас огорчать, но NTP - это UDP, а там нельзя
> отправлять пакеты, не забиндив сокет (ну, если не говорить про AF_RAW,
> которые тут явно не используются).
> Так что биндится он как миленький.
Отправлять можно. Вот с получением будут проблемы.
| |
|
|
1.8, Michael Shigorin (ok), 23:04, 30/04/2018 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
> Как следствие возвращения на OpenSSL, в качестве
> NTP-сервера по умолчанию будет возвращён ISC NTP
> вместо OpenNTPd.
Гм, а в чём связь? В альте, скажем, сейчас штатно поставляются именно openssl и openntpd (но есть и LibreSSL, и ntp).
| |
1.21, Бывалый (?), 09:32, 01/05/2018 [ответить] [﹢﹢﹢] [ · · · ]
| –3 +/– |
> сложность сопровождения решения на базе LibreSSL ... большое число несовместимостей в портах
В этом вся суть модно-молодёжных форков, спонсируемых корпорастами для атаки на базовые библиотеки и поломку инфраструктуры OpenSource.
| |
1.23, ыы (?), 10:19, 01/05/2018 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– |
(1) >спустя более года после миграции на LibreSSL
(2)> при обновлении LibreSSL с версии 2.6.4 до 2.7.2
Раз в год обновляют?
| |
|
2.25, Andrey Mitrofanov (?), 12:02, 01/05/2018 [^] [^^] [^^^] [ответить]
| +/– |
> (1) >спустя более года после миграции на LibreSSL
> (2)> при обновлении LibreSSL с версии 2.6.4 до 2.7.2
> Раз в год обновляют?
Написано же 12-CURRENT втащили. ??
| |
2.30, Аноним (-), 15:42, 01/05/2018 [^] [^^] [^^^] [ответить]
| +/– |
> (2)> при обновлении LibreSSL с версии 2.6.4 до 2.7.2
> Раз в год обновляют?
[CODE]
/usr/src]$ git log crypto/libressl
Date: Sun Dec 31 16:41:10 2017 +0100
crypto/libressl: Update to 2.6.4
Date: Sat Nov 11 19:23:27 2017 +0100
HBSD: crypto/libressl: Update to 2.6.3
Date: Tue Jul 18 19:03:55 2017 +0200
hBSD: Complete merge of LibreSSL 2.5 changes
Date: Wed Feb 1 09:48:58 2017 +0100
HBSD: Import LibreSSL 2.4.5 from upstream
[/CODE]
| |
|
|