The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги | ]

20.03.2013 09:25  Проект OpenBSD представил собственную реализацию identd

В дерево исходных текстов OpenBSD интегрирован код нового демона identd с реализацией протокола IDENT (RFC 1413), предназначенного для организации идентификации пользователя, устанавливающего TCP-соединение. Новый identd разработан в недрах проекта OpenBSD в качестве безопасной и высокопроизводительной замены штатного BSD identd, вызываемого через inetd.

Новая реализация сама обрабатывает соединения и запускается в форме фонового процесса, при этом соединения обрабатываются в неблокирующем режиме с использованием libevent. За счёт грамотной организации обработки сетевых соединений и ухода от дополнительной нагрузки, связанной с запуском нового процесса на каждый запрос при использовании inetd, новая реализация позволяет кардинально увеличить производительность работы сервиса IDENT. Кроме того, в новом identd обеспечена возможность параллельной обработки клиентских соединений.

Для обеспечения безопасности в новом identd поддерживаются такие дополнительные механизмы, как разделение и аннулирование привилегий. Обработка запроса производится после перехода в изолированное chroot-окружение и сброса привилегий. Для проверки наличия пользователя используется непривилегированный процесс, при этом выполнение проверки не блокирует обработку других запросов.

Из пока не реализованных возможностей старого identd отмечается отсутствие поддержки загрузки информации об идентификаторе пользователя из размещённых в домашней директории файлов ".ident". Кроме того пока недостаточно полно обрабатываются ошибки. В настоящее время новый identd доступен только для использования в OpenBSD, но можно рассчитывать на скорое появление переносимых версий, поддерживаемых для других популярных проектов OpenBSD, таких как OpenSSH, пакетный фильтр PF, демоны маршрутизации OpenBGPD и OpenOSPFD, NTP-сервер OpenNTPD, почтовый сервер OpenSMTPD, мультиплексор текстового терминала (аналог GNU screen) tmux, BSDL-альтернатива пакету GNU groff - mandoc, протокол для организации отказоустойчивых систем CARP (Common Address Redundancy Protocol).

  1. Главная ссылка к новости (http://permalink.gmane.org/gma...)
  2. OpenNews: Представлен OpenSMTPD 5.3, первый стабильный релиз SMTP-сервера от проекта OpenBSD
Лицензия: CC-BY
Тип: Программы
Ключевые слова: openbsd, identd
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Ajax/Линейный | Показать все | RSS
 
  • 1.1, Клыкастый, 09:36, 20/03/2013 [ответить] [смотреть все]    [к модератору]
  • +4 +/
    ident кроме как в роле некоей необязательности на IRC ещё где-то используется?
     
     
  • 2.2, YetAnotherOnanym, 10:00, 20/03/2013 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]
  • +1 +/
    Мало ли, какой-нибудь корпорастический софт, бегающий в доверяемой среде в интра... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.7, Михрютка, 15:16, 20/03/2013 [^] [ответить] [смотреть все]    [к модератору]  
  • +15 +/
    > бухши и манагеры работают на огороженных персоналках с опёнком. Сложно

    однажды осенью, обходя окрестности офиса, одмин Онуфрий обнаружил OpenBSD

     
     
  • 4.9, YetAnotherOnanym, 17:26, 20/03/2013 [^] [ответить] [смотреть все]    [к модератору]  
  • +9 +/
    "Однако, откуда окаянная операционка оказалась?" - ошеломлённо озадачился одмин Онуфрий
    :)
     
     
  • 5.10, Михрютка, 18:04, 20/03/2013 [^] [ответить] [смотреть все]    [к модератору]  
  • +10 +/
    "Опенсорсный оазис!" - остолбенел Онуфрий. "Окончательно обнаглели, охальники!"

     
     
  • 6.13, YetAnotherOnanym, 00:01, 21/03/2013 [^] [ответить] [смотреть все]     [к модератору]  
  • +4 +/
    Однако, отключать опасно, - осёкся осторожный одмин, - обрабатывает огромные ... весь текст скрыт [показать]
     
     
  • 7.23, Михрютка, 20:51, 21/03/2013 [^] [ответить] [смотреть все]     [к модератору]  
  • +1 +/
    Обойдется общественность Осведомленные особи огромные объемы обрабатывают Оракл... весь текст скрыт [показать]
     
  • 2.5, saNdro, 12:40, 20/03/2013 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +/
    Может штатно использоваться postgresql для идентификации конектящихся пользовате... весь текст скрыт [показать] [показать ветку]
     
  • 1.14, Zulu, 00:19, 21/03/2013 [ответить] [смотреть все]    [к модератору]  
  • +6 +/
    Главное вовремя.
    Ждем собственной имплементации gopher, причем обязательно разработанной _В НЕДРАХ_
     
     
  • 2.16, Andrey Mitrofanov, 09:36, 21/03/2013 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +/
    И, кстати, я где-то слышал, что telnet не безопасен ... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.18, Аноним, 11:44, 21/03/2013 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    openBSD и так для тебя уже написали OpenSSH, больше тебе нет необходимости польз... весь текст скрыт [показать]
     
     
  • 4.22, Michael Shigorin, 17:42, 21/03/2013 [^] [ответить] [смотреть все]     [к модератору]  
  • +1 +/
    Надеюсь, помните, что openssh не на пустом месте вырос ... весь текст скрыт [показать]
     
     
  • 5.27, ooo, 19:41, 23/03/2013 [^] [ответить] [смотреть все]    [к модератору]  
  • –1 +/
    И что это меняет?
     
  • 3.19, Grammar Nazi, 14:22, 21/03/2013 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    небезопасен
     
     
  • 4.21, YetAnotherOnanym, 15:54, 21/03/2013 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    Гоняйте внутри ESP, если не доверяете :)
     
  • 3.20, Аноним, 14:24, 21/03/2013 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    А если с керберосом?
     
  • 3.24, vle, 00:25, 22/03/2013 [^] [ответить] [смотреть все]     [к модератору]  
  • –1 +/
    Вот тебе, митрофаныч, задача Есть у нас некий кластер на проводах , состоящий,... весь текст скрыт [показать]
     
     
  • 4.25, vle, 00:27, 22/03/2013 [^] [ответить] [смотреть все]     [к модератору]  
  • –1 +/
    А, забыл сказать code paexec -t ssh -t code не пойдет, во-первых... весь текст скрыт [показать]
     
     
  • 5.28, anonymous, 21:42, 25/03/2013 [^] [ответить] [смотреть все]     [к модератору]  
  • +1 +/
    Я обычно такие вещи пишу на tcl expect Писать просто, контроллировать ход вып... весь текст скрыт [показать]
     
     
  • 6.29, vle, 00:20, 26/03/2013 [^] [ответить] [смотреть все]    [к модератору]  
  • –1 +/
    >[оверквотинг удален]
    >> ...
    >>> Что будем делать, митрофаныч?
    >> А, забыл сказать.
    >> [code]
    >> paexec -t 'ssh -t' ...
    >> [/code]
    >> не пойдет, во-первых, stdin занят, во-вторых, 'ssh -t' -- это overkill.
    > Я обычно такие вещи пишу на tcl + expect. Писать просто, контроллировать
    > ход выполнения - еще проще, особенно, если знать про расширенные возможности
    > expect, типа interact.

    В моем случае есть специальная строка-терминатор, которую "клиент"
    должен напечатать и сбросить буфер stdout. Эта строка -- признак того,
    что обработка задачи завершена и можно приступать к следующей.
    expect можно использовать, если утила сбрасывать буфер не умеет, т.е.
    использовать в качестве "обертки".

    Но сути вопроса это не меняет.
    Древний небезопасный rsh работает, ssh -- увы.

     
  • 4.26, Andrey Mitrofanov, 09:55, 22/03/2013 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    >> И, кстати, я где-то слышал, что telnet: не безопасен.
    > Вот тебе, митрофаныч, задача.
    > Что будем делать, митрофаныч?

    Приятно проводить досуг.

     
  • 1.30, nuclight, 16:00, 26/03/2013 [ответить] [смотреть все]    [к модератору]  
  • +/
    Но зачем, Ватсон?..

    Идея распределенного файрвола, когда пользовательские машины сообщают на центральный пункт сведения о том, кто какие соединения открыл, уже однажды была реализована (клиентская кроссплатформенна, серверная под линукс). В протокол ident, однако, эта задача не укладывается.

    В общем, картинка про троллейбус из буханки. Другие проекты хоть какую-то полезность имели.

     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2018 by Maxim Chirkov  
    ДобавитьПоддержатьВебмастеруГИД  
    Hosting by Ihor