В следующем релизе systemd 237 запланирована (https://github.com/systemd/systemd/pull/4191) интерграция с WireGuard (https://www.wireguard.com/), VPN-туннелем нового поколения. Ключевой характеристикой проекта является (https://www.opennet.ru/opennews/art.shtml?num=44695) сочетание применения проверенных современных методов шифрования с предоставлением минималистичной реализации, лишённой усложнений, наблюдаемых в таких системах, как xfrm и OpenVPN. WireGuard поставляется в виде модуля ядра Linux, пока не принятого в основной состав, но нацеленного на плотную интеграцию с главными компонентами ядра.
На прошлой неделе в основную ветку systemd-networkd были включены (https://github.com/systemd/systemd/commit/e5719363f54c8c4523...) изменения для поддержки WireGuard, находившиеся в стадии разработки с сентября 2016 года. С точки зрения systemd, изменения содержат новый сетевой интерфейс "wireguard", а также инструментарий для управления ключами шифрования.
Что примечательно, изменения прошли через много этапов ревизии и итераций, в том числе из-за довольно скромной первоначальной серии патчей. Глубина интеграции systemd и WireGuard наращивалась по мере ревизии изменений в коде.
URL: https://www.phoronix.com/scan.php?page=news_item&px=Systemd-...
Новость: http://www.opennet.ru/opennews/art.shtml?num=47928
> Глубина интеграции systemd и WireGuard наращивалась по мере ревизии изменений в коде.и такое бывает? :-0
А ты ещё не заметил, что systemd норовят интегрировать со всем по самые гланды?
Потом какая-то уязвимость в одной из частей и полетели к чертям все ваши данные.
> Потом какая-то уязвимость в одной из частей и полетели к чертям все
> ваши данные.Придется тебе тогда освоить make menuconfig в линуксном кернеле. И будет у тебя в ядре только то что ты хотел.
>> Глубина интеграции systemd и WireGuard наращивалась по мере ревизии изменений в коде.
> и такое бывает? :-0По крайней мере, в этом случае да
Я так понял, systemd начнёт "понимать" (появится синтаксис для) особенности wireguard?
Скоро systemd начнёт понимать человеческий язык и обзаведется интелектом.
А потом "не шмогла" начнем слышать.
А затем будет skynetd.
Кхм... https://github.com/skynetservices/skynetd-archive
> Скоро systemd начнёт понимать человеческий язык и обзаведется интелектом.Научиться бухать и болеть с похмелья.
> Научиться бухать и болеть с похмелья.Ты к чему призываешь посетителей, такой-сякой?!
Я так понимаю будут вичи навроде:
- настраивать все сети и интерфейсы на раннем этапе загрузки
- Пущать весь трафик через впн с самого старта системы
- звгрузка большей части системы откуда то еще через этот впнВ иделае хотеть:
- сферический обходчик нат с наличием внешнего имени для узла, чтобы к любому настроенному компу можно было подрубиться с интернета и залогиниться, в т ч войти в текущую сессию.По факту же будет нефункциональная хрень для энтузиастов, как и большинство фич сабжа.
"подрубиться с интернета" (через VPN) и "залогиниться, в т ч войти в текущую сессию" это как тёплое и мягкое. Последнее к VPN не имеет отношения.
Это как технология и инструмент. Первое без последннего нафиг не сдалось.
Ну можно и не логиниться а какие-то ресурсы заюзать.
А systemd надо переписывать/доделовать для запуска каждой новой апплиухи?
Нет. Просто разработчики systemd считают, что пользоваться его возможностями, как запускалки сервисов, для их использования, не удобно. Поэтому предпочитают, чтобы все рервисы были в него интегрированы, а запуск независимого от systemd сервиса - это для лохов. :)
Нет. Каждую аппликуху надо переписывать, чтобы она не работала без systemd.
Это в планах.
> Это в планах.Лёнчик, не надо лукавить.
Ты своиим др-ст-релизеором поломал/заменил все системные библиотеки/механизмы.
Приложения после такого сами "вскакивают" на уходящий поезд. "Чтобы работало."(TM)
Ты их не патчишь и не планируешь. Врунишка.
Во-первых, networkd, а не systemd.
Во-вторых, да, если хочется интеграции с networkd, то нужно добавлять в него поддержку нового типа интерфейса. Захотят добавить поддержку OpenVPN - могут и для него конфигурялку прикрутить. Не нужна интеграция - пользуйся wg-quick, который прекрасно работает как обычный сервис.
а что там с ipv6?
systemd- ipv6d?
> systemd- ipv6d?Увы, его опередили:
root 150 2 0 0 0 3 Jan12 ? 00:00:00 [ipv6_addrconf]
Если кто не понял, это ядерный тред. Поляна занята, срите в кустах.
Всё хорошо с IPv6.
systemd-wireguardd
compgen -c | sed "s/.*/systemd-&d/"
> systemd-lsd
> systemd-c++d
> systemd-ping6d
> systemd-LICENSE.txtdэто шедеврально
> systemd-lsdПо-моему это у Лёни давно уже есть, но он не делится.
"По-моему это у Лёни давно уже есть, но он не делится."Как это не делится? Всем заливает без-воз-мезд-но! Одни пользователи Amazon AMI Linux Upstart-ом как лохи забрасываются. :)
> Как это не делится? Всем заливает без-воз-мезд-но! Одни пользователи Amazon AMI Linux
> Upstart-ом как лохи забрасываются. :)Лох ведь есть является Loch?
О да, мы с Красный Шляпа будем скоро Loch ваш часто, регулярно и с удовольствием иметь! О да, это будет быть фантастиш!
Телеметрию когда собирать начнёт?
Чуть ли не с первого релиза
Wat?
Когда в качестве хранилища для systemd-journald укажешь какой-нибудь rsyslogd с включённым сетевым журналированием: сам journald поддерживает только локальное.
А рекламу показывать?
Вот и чудненько.
Мндяяяя. Видимо что б навернулось если так всё и сразу? Слава богу есть CentOS с 10ти летней поддержкой!
если ты не используешь виртаулизацию то ты используешь ILOподобные, а если нет то что ты делаешь с продакшене?
А когда systemd-machinelearningd ?
> А когда systemd-machinelearningd ?сразу после "systemd-warD" && "systemd-KillAllHomesD",
а перед этим стадия "systemd-programmingD"
>> "systemd-KillAllHomesD"KillAllHomiesD тогда
>>> "systemd-KillAllHomesD"
> KillAllHomiesD тогдаНет, KillAllHomosD
>> А когда systemd-machinelearningd ?
>
> сразу после "systemd-warD" && "systemd-KillAllHomesD",
> а перед этим стадия "systemd-programmingD"Надеюсь обучать они это будут на основе systemd-tic-tac-toeD
Реквестирую systemd-machinegund, для интерфейса к хейтерам, ибо задолбали.
> Реквестирую systemd-machinegund, для интерфейса к хейтерам, ибо задолбали.Поплачь. У зеркала. Не поймёшь, так полегчает хоть.
>WireGuard поставляется в виде модуля ядра LinuxА можно вкратце, что он в ядре забыл и чем не угодил TUN/TAP?
> что он в ядре забылПроизводительность же.
Ну что ты как маленький, в самом деле! У существующих решений есть Фатальный Недостаток.
Это не шутка, если вы хотели пошутить. Коммерческий OpenVPN поставляется с собственным модулем ядра, т.к. TUN/TAP в текущем виде слишком медленный. Даже на i7 последнего поколения TUN/TAP в чистом виде, без какого-либо шифрования, выдает максимум 2 ГБ/с на локальной петле (не в OpenVPN, а вообще TUN/TAP), в то время как какой-нибудь IPsec с шифрованием(!) — за 30.IPsec как протокол переусложнен, просто так «взять и настроить VPN», обычно, не выходит, нужно сидеть и разбираться, настраивать с учетом особенностей и ошибок отдельно взятого оборудования.
Wireguard, если сделают клиенты для других платформ (без модуля ядра), вполне себе имеет право на жизнь, и, вероятно, будет конкурировать с OpenVPN.
> выдает максимум 2 ГБ/с на локальной петлеЭтого мало?
> Этого мало?Да. Потому что на серверах он крепко грузит проц, на мелких устройствах он просто тормозит, а секурно его настроить - целый отдельный гемор. Дефолтная конфигурация openvpn сертификат не проверяет нормально. И толку от навороченного TLS-а оказывается ноль целых, фиг десятых: в дефолтном виде любой клиент может закатить MITM. Особо прошареные клиенты конечно могут это заткнуть, но даже это не гарантирует что очередной heartbleed в openssl все не испортит...
>но
> даже это не гарантирует что очередной heartbleed в openssl все не
> испортит...Слава Гейцу, теперь у нас есть Ленарт и вирехуард. Гарантии!
> Слава Гейцу, теперь у нас есть Ленарт и вирехуард. Гарантии!Олл Хайль Леннарт!
>> выдает максимум 2 ГБ/с на локальной петле
> Этого мало?Если тебе много, то с kpti ещё меньше будет.
OpenVPN медленный из-за методов шифрования, которые не опираются на аппаратные криптографические инструкции. — Из-за этого он и проц грузит, и батарею садит, и работает медленно.
Он медленный еще и потому что между кернелом и юзером все время телепается, гоняя пакеты из ядра в юзермод и обратно. WireGuard так не телепается, потому что в ядре.
> OpenVPN медленный из-за методов шифрования, которые не опираются на аппаратные криптографические
> инструкции. — Из-за этого он и проц грузит, и батарею садит,
> и работает медленно.Сказки малых народов СССР? Он использует openssl, в котором всё аппаратное давно уже есть.
> Сказки малых народов СССР? Он использует openssl, в которомВ котором кривая лицензия, куча дыр и если хочется хардварное ускорение, эти умники напрямую завернули вывод аппаратного "рандом" генератора проца в приложения, не парясь мелочами "а что если АНБ засунуло в этот генератор рандома бэкдор?". Нате вам то что отгружает мутная интелская хня напрямую. Чтобы если уж поимели то наверняка.
И вообще, в openssl много чего есть. Включая доисторические методы шифрования и нетривиальную логику проверки сертификатов, так что шансы все это секурно настроить у большинства людей в районе плинтуса.
> Сказки малых народов СССР? Он использует openssl, в котором всё аппаратное давно
> уже есть.Запусти OpenVPN на телефоне, yмник. Потом отчитаешься, насколько оно у тебя аппаратно "есть".
Есть на Штеуде и АМД, но нет на всяких MIPSах и ARMах. И даже если оно "есть" то работает очень уп0рото.
>> Сказки малых народов СССР? Он использует openssl, в котором всё аппаратное давно
>> уже есть.
> Запусти OpenVPN на телефоне, yмник. Потом отчитаешься, насколько оно у тебя аппаратно
> "есть".Как оно в сравнении WireGuard на телефоне?
> Как оно в сравнении WireGuard на телефоне?Как на телефоне - не знаю, а вот на роутере рвет, как тузик грелку. И по скорости, и по ресурсам, и по легкости настройки.
IPsec работает лучше во много раз. А про вайергвард я вообще ничего не говорил.
> IPsec работает лучше во много раз. А про вайергвард я вообще ничего
> не говорил.с телефона-то IPSec? Особенно через сотовых операторов и НАТы с фаерволами хорошо проходит
Если оператор не ставит перед собой цели заблокировать IPSec специально, то особых проблем я не вижу. Классический IPSec NAT-Traversal, реализующий инкапсуляцию IPSec ESP в UDP, прекрасно справляется с NAT, с IPSec AH сложнее, да, но его никто для VPN не использует.Под никто не использует IPSec AH для VPN, я имею ввиду те VPN провайдеры, что встроены в телефоны и прочие Windows PC. В чистом Linux/Cisco/Juniper/etc конечно никто не может запретить выстрелить себе в ногу, только зачем, у AH перед ESP никаких преисуществ нет, если не нужно шифрование, в ESP можно использовать Null алгоритм.
Я могу сказать за себя, что я не разу не испытывал проблем с L2TP over IPSec при подключении с моего iOS телефона, не в одной сети, как мобильной, так и стационарной.
Относительно лучше IPSec или нет Wireguard, я знаю только одно, IPSec это Internet Standard Protocol, поддерживаемый всеми производителями устройств, если и когда, появится RFC по Wireguard буду рад с ним ознакомиться, в пока вижу только восхваления последнего на сайте Wireguard, за счёт принижения достоинств конкурентов.
>>WireGuard поставляется в виде модуля ядра Linux
> А можно вкратце, что он в ядре забыл и чем не угодил
> TUN/TAP?Поттеринг prod-ит ядро. Новая попытка.
>что он в ядре забыл и чем не угодил TUN/TAP?
> А можно вкратце, что он в ядре забыл и чем не угодил TUN/TAP?Переключениями контекста, разумеется. Как угодно но частое телепание между ядром и юзермодом тормозит даже в монолите и в вещах типа vpn это сильно вылезает.
Openvpn проходил аудит, это не гарантия полной безопасности но все же, а что с WireGuard?
> Openvpn проходил аудит, это не гарантия полной безопасности но все же, а
> что с WireGuard?Леннарта же прошёл.
> Леннарт уже прошёл.fixed
PS: все мы знаем результаты аудита Леннарта... ;)
А что Ленартушка прошел? Обследование в дурке? Что-то непохоже....
#>>> Openvpn проходил аудит
#>>>а что с WireGuard?
#>> [WireGuard] Леннарта же прошёл[, это молодёжнее и радужнее любого аудита.]> А что Ленартушка прошел? Обследование в дурке? Что-то непохоже....
</зачтомне></откудавывсе></трудновпадежи>
Когда WireGuard примут в ядро?
Трудно сказать. Это как палец ляжет.
> Когда WireGuard примут в ядро?Когда дойдет до кондиции, тогда и примут. Так с всеми фичами в линукс.
Сколько % до кондиции осталось?
> Сколько % до кондиции осталось?146
> Сколько % до кондиции осталось?Спроси в рассылке, чо.
>> Сколько % до кондиции осталось?
> Спроси в рассылке, чо.--Шеф, клиент дошёл до кондиции!
[,,,]
--А теперь - песня про зайцев!
https://www.youtube.com/results?search_query=%D0%B...
Дело не столько в кондиции, сколько в том, что автор хочет убедиться в качестве протокола. Когда модуль попадет в ядро, менять протокол уже будет поздно.Сама реализация уже давно работает отлично. Пользуюсь год, такой же простой в настройке и отладке VPN-системы я не видел. Что OpenVPN, что IKEv2, приходилось морочиться с конфигами. А тут как с SSH - сгенерировал ключик одной командой, скинул публичную часть на сервер, и оно всё сразу заработало. В репозиториях большинства дистрибутивов уже всё опакечено, нужно только ядро 3.10+.
> приходилось морочиться с конфигами. А тут как с SSH - сгенерировал
> ключик одной командой, скинул публичную часть на сервер, и оно всё
> сразу заработало.Как-то так оно и должно работать. А IKE и TLS/SSL пожелаем скорейшей кончины. Переусложненные дефективные протоколы с кучей ненужностей, которые вечно вызывают проблемы и дыры. Сконфигурять OpenVPN секурно - почти рокетсайнс.
> такой же простой в настройке и отладке VPN-системы я не видел.Простой это peervpn, а WireGuard создан рептилоидоми для силиконовых разумных пауков.
А когда будет systemd-desktop-kde ? systemd-kernel ? А то это уже ни в какие ворота не лезет... Нужно больше SYSTEMD и отдельную ось SYSTEMD, зачем нам этот GNU/Linux !? Да зачем нам вообще Linux ядро, у нас же всё SYSTEMD будет уметь :D:D:D:D:D:D
> Ключевой характеристикой проекта является сочетание применения проверенных современных методов шифрования с предоставлением минималистичной реализации, лишённой усложнений, наблюдаемых в таких системах, как xfrm и OpenVPN.Ага, и вместо того, чтобы сделать упрощающую обвязочку над openvpn, они делают новую реализацию. Какой хороший Поттеринг человек, так активно продвигает вело-спорт и здоровый образ жизни.
> WireGuard поставляется в виде модуля ядра Linux, пока не принятого в основной состав, но нацеленного на плотную интеграцию с главными компонентами ядра.
А, пардон, поторопился. Похоже, суть инновации в том, что Лёня опять в ядро хочет залезть. Интересно, насколько терпения Линуса хватит в этот раз.
Ну смотрите, к одному дебиановскому разработчику уже выезжал карательный отряд НКВД, так что думаю Линусу отправят Большой Грузовик Истребления ...
systemd-nkvd же!
Этож не Лёня
Причём тут "упрощающая обвязочка"? Обвязочка — это дополнительный код, дополнительное поле для ошибок. Суть WireGuard — минималистичная реализация VPN, где места для ошибок и закладок предельно мало. И Лёня тут просто примазаться решил, это вовсе не его проект.
Адекватный аноним, два чая тебе.
> Ага, и вместо того, чтобы сделать упрощающую обвязочку над openvpn, они делают новую реализацию. Какой хороший Поттеринг человек, так активно продвигает вело-спорт и здоровый образ жизни.Полистайте слайды про WireGuard. Его разрабатывает один из основных разработчиков ядра, который знает, что делает. OpenVPN архитектурно переусложнен. WireGuard решает те же задачи, но содержит в 20 раз меньше строк кода и работает в 10 раз быстрее (это факт).
Поттеринг тут ни при чем, он просто добавил к networkd (даже не к самому systemd) удобую конфигурялку.
Зачем оно нужно когда нормальные админы юзают openVPN уже очень давно и успешно?
По-видимому они специально добавляют дополнительные возможности для бекдоров...
Железная логика. Если работает, то зачем менять? Может потому что он в ряде задач справляется лучше? https://www.opennet.ru/opennews/art.shtml?num=44695
Меньше код - меньше вероятность ошибки и , как следствие, какой-нибуть дыры.
Пройтись бритвой Оккама по сущиствующим решениям - хорошее начинание.
> Поттеринг тут ни при чем, он просто добавил к networkd (даже не к самому systemd) удобую конфигурялку.О, тогда звучит неплохо.
Ну так, проформы ради, дабы уточнить: стало быть новость о том, что Леннарт добавил к networkd конфигурялку, и всё? Весело.
До поттеринга дошло примерно то же что и до разработчиков openwrt. У них нечто похожее тоже есть, при том не только для впнов, они из своей конфигурационной системы даже более прозаичные программы настривают. Типа того же трансмишна. Парсят свой "цискообразный" конфигурационный блок ("UCI") и на основе этого генерят (!!!) трансмишну конфиг. И такая фигня много с чем еще.
> До поттеринга дошлоНе. Может? Быть! Вывсёврёти.
> примерно то же что и до
>генерят (!!!) трансмишну конфиг. И такая фигня много с чем еще.
> Не. Может? Быть! Вывсёврёти.Да там на самом деле довольно кондовый обмен идеями. Хоть у каждого и в своей перепевке.
А чтобы ты не расслаблялся, сообщу что openvpn с системдой дружит не хуже. Для него в демьяне и деривативах запилили коронную фишку системды - сервисы с инстансами. И поэтому системд может одной левой пустить пяток инстансов опенвпн-а с разными конфигами. Что довольно удобно. А в sysv init и это тоже без геморроя не получалось. Но, конечно же, что за система такая, если с ней трахаться не надо и настраивается любым ламером за 5 минут в навороченную конфигурацию...
> и настраивается любым ламером за 5 минут в навороченную конфигурацию...Сказал человек, который ниразу не ловил галюнов на ровном месте с SystemD, там порой такие приключения бываю, что с ума начинаешь сходить.
> Сказал человек, который ниразу не ловил галюнов на ровном месте с SystemD,
> там порой такие приключения бываю, что с ума начинаешь сходить.Не, ну почему. Один раз попался баг с очень медленной инициализацией рандома в системе которую я собирал. Пришлось подраспереться и починить. При том systemd-analyze по крайней мере нормальный инструмент, который показывает что тупит. А в случае башпортян я должен сам кодить весь инструментарий отладки, логинга и замеров. Всю жизнь мечтал заняться именно этим, аж два раза.
> Ага, и вместо того, чтобы сделать упрощающую обвязочку над openvpn, они делают
> новую реализацию.WireGuard вообще делают другие люди. Поттеринг лишь поддержал настройку их фиговины.
> Какой хороший Поттеринг человек, так активно продвигает вело-спорт и
> здоровый образ жизни.А знаешь, тормоза опенвпн от переключения контекста упрощающей обвязкой не лечатся.
> А, пардон, поторопился. Похоже, суть инновации в том, что Лёня опять в
> ядро хочет залезть. Интересно, насколько терпения Линуса хватит в этот раз.Леня вообще относится к WireGuard тем что его настройки в системд запилил. OpenWRT с своим демоном конофигурации такое и для много кого еще делало. Хипстоватый поттеринг просто вовремя сориентировался на хайп - мелкий, легкий и скоростной впн в ядре все-таки симпатичнее переросточного тормозного openvpn, да и зависимость от TLS это фи. И таки это сильная фича хипстеров - вовремя фишку просекать, что хорошо работает, в отличие от очередного окаменелого помета мамонта у которого одно достоинство - "уже к нему привыкли".
>> Ага, и вместо того, чтобы сделать упрощающую обвязочку над openvpn, они делают
>> новую реализацию.
> WireGuard вообще делают другие люди. Поттеринг лишь поддержал настройку их фиговины.Это и надо было написать в заголовке новости. #мопеднемой
> А знаешь, тормоза опенвпн от переключения контекста упрощающей обвязкой не лечатся.
А вот это Правильно! Наконец-то хоть кто-то делает всё по науке!!
Молоццы разрабы w-g, что выкинули эти поганые переключения контекстов из своего модуля ядра. Хоть и не ленарты, а молоццы же! >/<
> Это и надо было написать в заголовке новости. #мопеднемойА может не надо? Иногда полезно видеть истинные цвета. Рефлексия павловских собачек доставила.
> Молоццы разрабы w-g, что выкинули эти поганые переключения контекстов из своего модуля ядра.
> Хоть и не ленарты, а молоццы же! >/<Они не первые.
>>> Ага, и вместо того, чтобы сделать упрощающую обвязочку над openvpn, они делают
>>> новую реализацию.
>> WireGuard вообще делают другие люди. Поттеринг лишь поддержал настройку их фиговины.
> Это и надо было написать в заголовке новости. #мопеднемойНет! Одепты должны твёрдо верить, что всё, что есть лучшего в системе, написано Поттерингом!
Серьёзный вопрос!По ссылке написано:
>Why I want to include support for WireGuard into systemd-networkd:
>WireGuard implements a new interface type called "wireguard".
>WireGuard itself ships a command line util called wg for key management,
>but lacks of support to configure ip addresses and routes on the interface.
>My pull request intend to close this gap by implementing key management as
>well as the new interface type in systemd-networkd.ИМХО звучит как "потому что гладиолус"
Вопрос: только я не вижу абсолютно никакой логики в этом объяснении?
Или таки у них (смстемдэшников) действительно расстройство мышления?
потому что не осилил пофиксить wg утилитку.
> Или таки у них (смстемдэшников) действительно расстройство мышления?По-моему, это было очевидно райт фром зи старт.
Оно, мышление, у них есть. Но оно, помоему, детское или однобокое,
явно не в рамках UNIX. Я так понимаю, в UNIX всё пытаются
разбить на части в разумных пределах. И каждая часть "грамотно"
выполняет свою, может и маленькую, работу. А у них, явно,
диаметрально противоположный подход.
Им трудно понять бритву Оккама. Альберт Эйнштейн пересказал её:
"Всё необходимо упрощать до тех пор, пока это возможно.
Но не более того."
Они, видимо, упрощают в "другую" сторону.
Чем сложнее архитектура и организация объекта,
тем больше у него заходов. В UNIX сложность явно
не приветствуется. Она вызывает осложнения. :)
>but lacks of support to configure ip addresses and routes on the interface.ФАТАЛЬНЫЙ НЕДОСТАТОК!!!11
>>but lacks of support to configure ip addresses and routes on the interface.
> ФАТАЛЬНЫЙ НЕДОСТАТОК!!!11И так будет с каждым, кто решит [,что может] обойтись без bash-а !11
> И так будет с каждым, кто решит [,что может] обойтись без bash-а !11Спасибо, башевики-затейники уже сконфигуряли ремотный рут-доступ по DHCP. Добавки что-то не хочется.
>> И так будет с каждым, кто решит [,что может] обойтись без bash-а !11
> Спасибо, башевики-затейники уже сконфигуряли ремотный рут-доступ по DHCP. Добавки что-то
> не хочется.А что так? Слишком сложно и сразу закрыли?
По учетке 0day получить рут конечно и проще и как-то колоритнее.
> А что так? Слишком сложно и сразу закрыли?Сразу после того как нашли. А сколько оно до этого всех позволяло поиметь и сколько систем которые не патченые и до сих пор можно поиметь - вопрос открытый.
> По учетке 0day получить рут конечно и проще и как-то колоритнее.
Какой еще учетке? В конкретно этом случае я могу как максимум представить remote kernel, что забористее, но ядерщики прошареные и с ними такой номер провернуть не так то просто. Легенды гласят что так вроде было в стародавние времена, но реально ping of death и проч мало кто помнит.
>> По учетке 0day получить рут конечно и проще и как-то колоритнее.
> Какой еще учетке? В конкретно этом случае я могу как максимум представить
> remote kernel, что забористее, но ядерщики прошареные и с ними такой
> номер провернуть не так то просто. Легенды гласят что так вроде
> было в стародавние времена, но реально ping of death и проч
> мало кто помнит.Как можно пропустить такое событие?! https://www.cvedetails.com/cve/CVE-2017-1000082/
Свою десяточку Леннарт достойно заработал, можно очередную звезду лепить фюзеляж. Хотя некуда уже.
Негров, говорите, линчуют? Какой этот поттеринг нехороший. Но ремотного рута по сети жившего хрен знает сколько из-за стремных методов передачи внешних недоверяемых данных все это не отменяет.
> Негров, говорите, линчуют? Какой этот поттеринг нехороший. Но ремотного рута по сети
> жившего хрен знает сколько из-за стремных методов передачи внешних недоверяемых данных
> все это не отменяет.Поттеринг тоже говорит, что в баше все стремное, а он по определению все правильно делает. https://github.com/systemd/systemd/issues/6237
Почитай перед сном как линчуют индуса.
Удаленное выполнение тоже было, сам найдешь. И под какой учеткой не сложно догадаться не глядя.
Здорово было бы, если бы там обмен был ключами по принципу доверительной сети, тогда можно было бы построить приватную глобальную сеть с полным шифрованием .Время бы некоторые ушло на обмен ключами, но потихоньку бы сеть выстроилась как надо.
Хотя бы на Линукс компьютерах, а там глядишь и винда подтянулась
Это можно сделать поверх. WG спроектирован в духе UNIX-way, как кубик для лего. Конечно, от s-d при этом следует держаться подальше.
Хмм, это уже не было?
http://sites.inka.de/~W1011/devel/cipe.html
> Хмм, это уже не было?
> http://sites.inka.de/~W1011/devel/cipe.htmlНадо же, об этом новость была в 2001 году https://www.opennet.ru/opennews/art.shtml?num=439
ИМЕЮТСЯ ВОПРОСЫ:1. WireGuard сможет на***ть DPI? На днях узнал, что мой пров установил DPI и теперь анализирует пакетики даже через VPN... Я так понял что OpenVPN здесь уже не поможет. А что WireGuard?
2. WireGuard мало просто иметь в ядре же, так? Это просто поддержка протоколов? Все-равно нужно покупать VPN и доверять какому-то VPN-провайдеру?
3. Какая текущая версия systemd в Kubuntu 16.04 lts?
И да, появится ли встроенный WireGuard в Kubuntu 18.04 или еще нет?
> анализирует пакетики даже через VPNДяденька, вы дурак?
Современные DPI умеют классифицировать трафик внутри VPN, используя размер пакета, характерные особенности протоколов и задержки между передачами данных в качестве входных данных.
«Умеют» — зыбкое утверждение.
Да, в случае изкоробочного OpenVPN можно с какой-то достоверностью сказать, мол, «вот это торренты, а вот это — веб, наверное». Есть такое, но и не более.Тут же сказали так, словно DPI умеет чуть ли не в реальном времени смотреть внутрь этих пакетов.
> Да, в случае изкоробочного OpenVPN можно с какой-то достоверностью сказатьпрактически со 100%
даже конкретные сайты, на которые ты ходишь, угадываются по характерным паттернам.> Тут же сказали так, словно DPI умеет чуть ли не в реальном времени
> смотреть внутрь этих пакетов.естественно, в реальном, кому б он иначе был нужен. Ну и избирательно дропать-шейпить, разумеется.
А хрен ли вы думали, от товарища майора спрятались?
Ну это уже перебор по толстоте.
> даже конкретные сайты, на которые ты ходишь, угадываются по характерным паттернам.Тебя послушать так ты корову из котлет восстанавливать умеешь. Живую.
> естественно, в реальном, кому б он иначе был нужен. Ну и избирательно
> дропать-шейпить, разумеется.
> А хрен ли вы думали, от товарища майора спрятались?Придется показать товарищ майорам немного системной магии и чудес абстракций. За пределами их понимания.
>> даже конкретные сайты, на которые ты ходишь, угадываются по характерным паттернам.
> Тебя послушать так ты корову из котлет восстанавливать умеешь. Живую.
>> естественно, в реальном, кому б он иначе был нужен. Ну и избирательно
>> дропать-шейпить, разумеется.
>> А хрен ли вы думали, от товарища майора спрятались?
> Придется показать товарищ майорам немного системной магии и чудес абстракций. За пределами
> их понимания.Не майор, а в лучшем случае синьор (пиар менеджер) поработал над гражданином из 3-х букв.
Синьор-помидор судя по его надутости. Но на каждого синьора-помидора как известно найдется свой чипполино.
Я хренею.. А в чем суть шифрования трафика?
Ключи зачем?
> «Умеют» — зыбкое утверждение.
> Да, в случае изкоробочного OpenVPN можно с какой-то достоверностью сказать, мол, «вот
> это торренты, а вот это — веб, наверное».А если вперемежку идут пакеты нескольких соединений?
> А если вперемежку идут пакеты нескольких соединений?Псст, хочешь подсказку? Если немного заPADD'ить и немного фонового траффика накинуть... ну ты уже наверное начинаешь догадываться, да?
Цензор включает ручной режим
и как Золушка все перебирает руками!
> Современные DPI умеют классифицировать трафик внутри VPN, используя размер пакета, характерные
> особенности протоколов и задержки между передачами данных в качестве входных данных.КАК ???
Тот же openvpn все в UDP инкапсулирует, весь трафик на один тот же порт шлет, я не в курсе насчет размеров пакетов, но не думаю что по ним можно содержание определить.
Бред вообщем.
А вот так )))
Да может, если ВПН от F-S-B
> Тот же openvpn все в UDP инкапсулирует, весь трафик на один тот
> же порт шлет, я не в курсе насчет размеров пакетов, но
> не думаю что по ним можно содержание определить.Расскажи это GFW, который вложенные SSL/TLS сессии так определяет. Это лечится, но при наивном лобовом подходе великий китайский фаер таки засекает новый, неизвестный сервер, может быть с впн, и если он соответствует ожиданиям (например, отвечает китайскому зонду по предполагаемому протоколу) - добро пожаловать в баню.
> Дяденька, вы дурак?Нельзя так говорить. Нало говорить "альтернативно... ну, в общем, что-то там альтернативно", инче оно сначала перестанет учить уроки, а потом - с 20-го этажа спрыгнет.
Клиентская и Серверная часть целиком в ядре!Я бы не сказал что OpenVPN и WireGuard это одно и тоже, WireGuard можешь сравнивать с маршрутизатором по типу BGP/VPN.
> а днях узнал, что мой пров установил DPI и теперь анализирует пакетики даже через VPNЕсли VPN через шифрованный канал, то DPI прову не особо помогает. Там остаётся весьма узкий набор атак, от которых результат почти нулевой. Тайминги там всякие, размер пакетов и т.п.
> Если VPN через шифрованный канал, то DPI прову не особо помогает. Там
> остаётся весьма узкий набор атак, от которых результат почти нулевой. Тайминги
> там всякие, размер пакетов и т.п.Как ни странно, GFW именно так и определяет HTTPS/TLS сессии вложенные в шифрованный тунель. Он не знает что это шифрованный туннель и что в нем. Но если ты откроешь https:// сайт, при лобовой реализации впна в туннеле после некоторой неактивности полетит довольно характерное сочетание размеров пакетов. GFW этим не ограничивается, конечно, но это первый шаг палива.
>> Если VPN через шифрованный канал, то DPI прову не особо помогает. Там
>> остаётся весьма узкий набор атак, от которых результат почти нулевой. Тайминги
>> там всякие, размер пакетов и т.п.
> Как ни странно, GFW именно так и определяет HTTPS/TLS сессии вложенные в
> шифрованный тунель. Он не знает что это шифрованный туннель и что
> в нем. Но если ты откроешь https:// сайт, при лобовой реализации
> впна в туннеле после некоторой неактивности полетит довольно характерное сочетание размеров
> пакетов. GFW этим не ограничивается, конечно, но это первый шаг палива.Палево, да не палево. За открытие сайта к уголовной ответственности не привлекают. К тому же, это необходимое, но не достаточное доказательство, что Вы действительно были именно на этом сайте. Короче, если использовать его как в Китае для блокировки, то GFW -- вполне действенный метод. Обязательно рубанёт то, что нужно, плюс ещё возможно чего лишнего захватит, ну да кого оно волнует.
> Палево, да не палево. За открытие сайта к уголовной ответственности не привлекают.
> К тому же, это необходимое, но не достаточное доказательство, что Вы
> действительно были именно на этом сайте.Таким манером сложно получить доказательства чего либо, много глюков будет. Но GFW все это не надо, он изучает не похоже ли это на VPN сервер. Даст зонду задание - сходить и проверить. Зонд сходит. Опа, оно говорит по протоколу openvpn. А вот порежем ему скорость. А будет часто срабатывать, у бани левелап будет.
В результате попсовые сервисы с опенвпн засекуются довольно быстро и становятся неюзабельны. Цензор радуется, юзеры негодуют. Более приватный сервак может немного поработать, но потом начнет барахлить и постепенно уйдет в аут если продолжить им пользоваться, вызывая икоту у GFW.
Но на самом деле все это лечится, конечно же. Даже довольно примитивными сетевыми фокусами. Проверено китайцами. Достаточно немного padd'ить пакеты - чудо аналитика отправляется в лес.
> рубанёт то, что нужно, плюс ещё возможно чего лишнего захватит, ну
> да кого оно волнует.Наученные горьким опытом китайозы сделали автоматическую амнистию. Над ними япы довольно жестко прикалывались, кормя цербера айпишниками виндусапдейта и прочих интересных серверов. А когда цензоры замечали что весь китай теперь не патченый, на радость АНБ, они откладывали кирпичей, сам понимаешь.
паяльник спецслужбы не отучились ещё применять! Так что ждите в гости их.
> паяльник спецслужбы не отучились ещё применять! Так что ждите в гости их.Не, ну правильно. DPI лишь даёт наводку на то, что ты вероятно посещаешь что-то очень-очень нехорошее. А вот чтобы получить доказательство, нужно прийти к тебе домой и изъять диск.
А если речь идет о защите корпоративной инфы от продажных ментов, спецслужб, конкурентов, мошенников, ОПГ???
Или мозг повернут только в сторону ментов и противоправного контента?
> А если речь идет о защите корпоративной инфы от продажных ментов, спецслужб,
> конкурентов, мошенников, ОПГ???Если в твоей стране менты, спецслужбы и суды продажные, то DPI никому не нужен, ибо есть более простые способы поставить тебя раком.
> Или мозг повернут только в сторону ментов и противоправного контента?
Да, именно.
Короче, всем жертвам "модераторского произвола":
Я мненью вашему вращенье придавал, и осью был мой детородный орган.
> Короче, всем жертвам "модераторского произвола":
> Я мненью вашему вращенье придавал, и осью был мой детородный орган.Характерный уровень культуры опеннета. И эти люди смеют что-то вякать про обработку багов поттерингом...
>> Короче, всем жертвам "модераторского произвола":
>> Я мненью вашему вращенье придавал, и осью был мой детородный орган.
> Характерный уровень культуры опеннета.Мда, надо, наверное, пояснить, если кто сюда случайно зайдёт почитать. Тут какой-то тип порядка 50 раз перепечатывал свои удалённые сообщения с руганью, кричал о "модераторском произволе", и о том, что мы должны уважать его нецензурное "мнение", хоть бы оно и провоцировало флейм.
Я хочу сказать, что мнение должно быть аргументированно. Треды в новости -- это площадка для обсуждений и споров, а не соревнование "кто кого перекричит".
Мнение, пусть даже с лёгкой руганью, но содержащее понятную и обоснованную позицию -- останется невырезанным. Без аргументации -- под нож без вариантов. И спорить с этим бесполезно.
> И эти люди смеют что-то вякать про обработку багов поттерингом...
Ну-ну. Не можешь понять, за что тебя вырезали -- твои трудности. Объясняли тебе это достаточно долго.
> о "модераторском произволе", и о том, что мы должны уважать его
> нецензурное "мнение", хоть бы оно и провоцировало флейм.На опеннете и модераторы не гнушаются провокации и разжигания флейма, если уж на то пошло. Требовать от других выполнять правила на которые положил модсостав - так мило.
> Я хочу сказать, что мнение должно быть аргументированно.
А теперь попробуй перечитать хотя-бы свои коменты в этой новости. Офигенная там аргументация - ты даже не разобрался в сути новости, но мнение уже заимел и конечно же не в пользу системд, а заодно и wireguard досталось. Отличный образец аргументации получился.
> -- останется невырезанным. Без аргументации -- под нож без вариантов.
Что-то к себе эти стандарты господа модераторы не применяют.
> Ну-ну. Не можешь понять, за что тебя вырезали -- твои трудности. Объясняли
> тебе это достаточно долго.К счастью не мне. Но если кто-то решил надрать задницу таким модераторам и заставил попотеть - я его в этом понимаю. Вот лично ты по итогам высказанного тобой в этом тредике порцию гемора честно заработал. И респекты тому анонимусу который тебе его закатил. Потому что ты сам не прошел по своим же критериям, мистер лицемер.
>> о "модераторском произволе", и о том, что мы должны уважать его
>> нецензурное "мнение", хоть бы оно и провоцировало флейм.
> На опеннете и модераторы не гнушаются провокации и разжигания флейма, если уж
> на то пошло. Требовать от других выполнять правила на которые положил
> модсостав - так мило.Нас тут несколько человек модераторов, и мы не разделяем этого мнения довольно-таки единогласно. Мы все ошибаемся? Чудно. Безусловно, возможно, но маловероятно. Факт таков, что мы вряд ли поменяем своё мнение без особых на то оснований.
У меня же обычный вопрос, который я без устали задаю уже который год людям, вроде тебя: если тут такие плохие модераторы, то что вас тут тогда держит? Есть тьма других новостных ресурсов, где модераторы наверняка более хорошие. Валите на них, нефиг нам количество работы увеличивать. И вам хорошо -- и нам неплохо. :)
>> Я хочу сказать, что мнение должно быть аргументированно.
> А теперь попробуй перечитать хотя-бы свои коменты в этой новости. Офигенная там
> аргументация - ты даже не разобрался в сути новости, но мнение
> уже заимел и конечно же не в пользу системд, а заодно
> и wireguard досталось. Отличный образец аргументации получился.Людям свойственно ошибаться. Аргументация может оказаться не правильной, и изложить её -- хороший способ выяснить этот момент. Для того люди и разговаривают. Это называется "диалог".
>> -- останется невырезанным. Без аргументации -- под нож без вариантов.
> Что-то к себе эти стандарты господа модераторы не применяют.Ага, как же. Применяем, разумеется. Если один модератор превышает свои полномочия, другой модератор его вырезает. За доказательствами далеко идти не надо: список моих сообщений посмотрите, и сравните количество обозначенных комментариев в новости с реально присутствующими в ней. Найдёте, и немало.
>> Ну-ну. Не можешь понять, за что тебя вырезали -- твои трудности. Объясняли
>> тебе это достаточно долго.
> К счастью не мне. Но если кто-то решил надрать задницу таким
> модераторам и заставил попотеть - я его в этом понимаю. Вот лично ты
> по итогам высказанного тобой в этом тредике порцию гемора честно
> заработал.Да не, гемора не больше обычного. Все вырезаемые сообщения в одном месте, да к тому же с уведомлением по почте, ибо мне в ответ. Вот в 2014м новости про systemd были гемором. А сейчас уже проще. Адекватные люди заходят, глумятся немного, и уходят. Апологеты же солнцеликого тоже нынче не особо активны.
> И респекты тому анонимусу который тебе его закатил. Потому что ты
> сам не прошел по своим же критериям, мистер лицемер.Да мне в общем-то пофиг, один ты человек, или несколько. Вы все люди без имени, и ко слову вашему прислушиваться повода нет ни у меня, ни у других читателей. Вот есть у нас 80% комментариев адекватных анонимов, написанных по делу -- и хорошо. А то, что мы 20% комментов анонимных флудеров и флеймеров вырезаем, так это только во благо, нето бы опеннет скатился до состояния какой-нибудь борды, и приличных людей тут бы уже не было.
> 1. WireGuard сможет на***ть DPI? На днях узнал, что мой пров установилнет
> DPI и теперь анализирует пакетики даже через VPN... Я так понял
> что OpenVPN здесь уже не поможет. А что WireGuard?ну, можно осторожно надеяться, что пока индусов не озадачили наляпать паттернов и для его распознавания. То что это "какой-то vpn", разумеется, провайдер увидит. То что ты качаешь именно cp - нет.
> 2. WireGuard мало просто иметь в ядре же, так? Это просто поддержка
> протоколов? Все-равно нужно покупать VPN и доверять какому-то VPN-провайдеру?если ничего больше не умеешь - да. Правда, провайдеры такого пока не предоставляют, и не будут ;-)
> если ничего больше не умеешь - да. Правда, провайдеры такого пока не
> предоставляют, и не будут ;-)Я уже где-то видел. В смысле, у какого-то VPN провайдера.
Приятно, что системд развивается успешно.
Да, все эти нытики ему не помеха
Выглядит как !@#$%^& архитектурное решение.
Но на то я и диванный аналитик. Надеюсь они знают что делают.
> Выглядит как !@#$%^& архитектурное решение.
> Но на то я и диванный аналитик. Надеюсь они знают что делают.ifupdown, initscripts, etcnet, иприпр -- без bash-а!!
Любо дорого -- на паркнсона, конвульсии.
Объясните мне, плиз, чайнику, что означает параметр:
AllowedIPs =
И в нём нужно указывать подсеть, IP или можно как то, так и другое?
> Объясните мне, плиз, чайнику, что означает параметр:
> AllowedIPs =
> И в нём нужно указывать подсеть, IP или можно как то, так
> и другое?В нем указываются подсети локальных адресов, которые можно пропускать через туннель с той стороны (т.е. со стороны пира). Задаются, как я помню, именно подсети, но одиночный IP можно задать в CIDR /32:
AllowedIPs = 10.192.122.3/32, 10.192.124.1/24
Спасибо за ответ. Уже стало несколько яснее.
хорошо, что есть runit, который просто_работает
BSD-style init system тоже хороша.
> хорошо, что есть runit, который просто_работаетПлюсую!
" На el6 использовал, на el7 сервисы в нём же перенёс -- рад как слон, всё запустилось _без_ изменений "внутри". " -- http://www.opennet.ru/openforum/vsluhforumID3/108006.html#88
задолбал этот systemd. Верните only голые скрипты в /etc/init