| 1.1, Аноним (1), 23:26, 17/05/2024 [ответить] [﹢﹢﹢] [ · · · ]
| –7 +/– |
Так называемые ШТАБИЛЬНЫЕ дистрибутивы все равно накидают своих васянских патчей и умудрятся объединить эти файлы, лол.
| | |
| 1.2, Аноним (-), 23:33, 17/05/2024 [ответить] [﹢﹢﹢] [ · · · ]
| –4 +/– |
Моя теория, что айтишечка уперлось в потолок своих возможностей и люди занимаются, по-сути, перетаскиванием кроватей, в очередной раз находит подтверждение.
| | |
| |
| 2.3, Аноним (3), 23:38, 17/05/2024 [^] [^^] [^^^] [ответить]
| +10 +/– |
Ну почему же. Идея оставить в sshd привилегированные операции, а все что выполняется под uid залогинившегося пользователя вынести в отдельный процесс, более правильная, чем пытаться сбрасывать привилегии, оставляя пока они не сброшены в памяти кучу лишнего кода, который можно привлекать в качестве гаджетов при разработке эксплоитов.
| | |
| |
| 3.23, Аноним (-), 01:19, 18/05/2024 [^] [^^] [^^^] [ответить]
| –1 +/– |
И как раньше без этого жили и почему только сейчас додумались, кек
| | |
| 3.51, pashev.ru (?), 08:50, 18/05/2024 [^] [^^] [^^^] [ответить]
| +/– | |
> все что выполняется под uid залогинившегося пользователя вынести в отдельный процесс
Всё именно так и есть: sshd с uid пользователя.
| | |
| 3.65, pavlinux (ok), 10:39, 18/05/2024 [^] [^^] [^^^] [ответить]
| +2 +/– |
 В курсе что execve() тоже наследует: env, капсы, дескрипторы, пермишоны, да дох...я чего.
Перед fork-execve так же нужна зачистка. setuid/seteuid без подготовки области работы может быть еще дырявее.
| | |
| 3.94, Аноним (94), 14:41, 19/05/2024 [^] [^^] [^^^] [ответить]
| +1 +/– |
Оно и так в отдельном процессе крутится. Просто раньше это был один бинарник, а теперь будут разные. Обычный рефакторинг: разделение кода и оптимизация использования памяти.
| | |
| 3.122, Аноним (122), 22:41, 20/05/2024 [^] [^^] [^^^] [ответить]
| +/– | |
>Идея оставить в sshd привилегированные операции, а все что выполняется под uid залогинившегося пользователя вынести в отдельный процесс
Правильная идея. Называется Privilege Separation. Только ты опоздал с ней на 22 года.
2002-03-12: All of OpenSSH is completely privilege separated
root ........ sshd: user [priv]
user ........ sshd: user@pts/0
Как я понял из новости, просто теперь дочерний процесс будет называться sshd-session
| | |
|
| 2.6, Аноним (6), 00:09, 18/05/2024 [^] [^^] [^^^] [ответить]
| +6 +/– | |
> айтишечка уперлось в потолок своих возможностей
звучит как "математика уперлась в потолок своих возможностей"
| | |
| |
| 3.12, Аноним (12), 00:28, 18/05/2024 [^] [^^] [^^^] [ответить]
| –5 +/– |
Много знаете новых теорем\аксиом\формул\уравнений, которые бы глобально на что-то влияли? Для альтернативно одаренных: Вопрос риторический и ответа не требует.
| | |
| |
| 4.73, Sw00p aka Jerom (?), 11:21, 18/05/2024 [^] [^^] [^^^] [ответить]
| +1 +/– | |
>которые бы глобально на что-то влияли?
а где оценки верхнего и нижнего предела этого глобального? :)
| | |
|
| 3.24, Аноним (-), 01:20, 18/05/2024 [^] [^^] [^^^] [ответить]
| +1 +/– | |
> звучит как "математика уперлась в потолок своих возможностей"
У тебя есть иное мнение?
| | |
| 3.27, AKTEON (?), 01:46, 18/05/2024 [^] [^^] [^^^] [ответить]
| +2 +/– |
Ну, в некотором смысле да. Когда люди 6 лет учатся на магистра, 3 года в аспирантуре, и все равно не догоняют текущего положения науки даже в своей узкой области ... Ну как это еще называть ??
| | |
| |
| 4.50, n00by (ok), 08:31, 18/05/2024 [^] [^^] [^^^] [ответить]
| +/– |
 Сочувствую математикам. В айтишечке учатся на физика-теоретика, пишут курсовик на Pascal, а потом идут операционные системы разрабатывать.
| | |
| |
| 5.82, Аноним (82), 14:15, 18/05/2024 [^] [^^] [^^^] [ответить]
| +1 +/– |
Судя по опросам, больше половины айтишников, вообще, не имеют профильного образования.
| | |
| |
| 6.84, n00by (ok), 14:44, 18/05/2024 [^] [^^] [^^^] [ответить]
| –1 +/– |
Для того им и ставят в пример Билла Гейтса. Но тот то умел кодить, сам написал свой Бейсик.
| | |
| |
| 7.114, _oleg_ (ok), 12:56, 20/05/2024 [^] [^^] [^^^] [ответить]
| +/– |
 Это распространённое заблуждение. Ничего он не писал. Altair BASIC написал нанятый им сокурсник по гарварду - Monte Davidoff.
| | |
| |
| 8.119, n00by (ok), 16:50, 20/05/2024 [^] [^^] [^^^] [ответить] | +/– | Not at all, he says We were both working pretty hard The maths routines are a... текст свёрнут, показать | | |
| |
| 9.121, _oleg_ (ok), 17:27, 20/05/2024 [^] [^^] [^^^] [ответить] | +/– | Ох уже эти странные желания, что бы вера в то, что Билл Гейтс великий программис... большой текст свёрнут, показать | | |
|
|
|
|
| 5.92, Аноним (92), 00:33, 19/05/2024 [^] [^^] [^^^] [ответить]
| +1 +/– | |
> В айтишечке учатся на физика-теоретика, пишут курсовик на Pascal, а потом идут
сидеть на мониторинге, внезапно
| | |
| |
| 6.97, n00by (ok), 16:47, 19/05/2024 [^] [^^] [^^^] [ответить]
| +/– |
Боюсь представить, что это означает. Довелось посидеть за мониторами MONS3 и MONS4, к счастью, появился годный эмулирующий отладчик STS. А один мой знакомый случайно сел на ВГ93.
| | |
| |
| |
| 8.112, n00by (ok), 12:06, 20/05/2024 [^] [^^] [^^^] [ответить] | +/– | Потому и сидеть на нём проще и без последствий, даже когда он был кверху ножками... текст свёрнут, показать | | |
|
| 7.123, Аноним (92), 01:13, 21/05/2024 [^] [^^] [^^^] [ответить]
| +/– | |
> Боюсь представить, что это означает
Это тоже самое, что ехать на велосипеде, который горит, и ты горишь, и всё горит, и ты в аду.
| | |
|
|
|
|
|
| 2.7, Аноним (7), 00:17, 18/05/2024 [^] [^^] [^^^] [ответить]
| +1 +/– |
Смотря в чем. В некоторых моментах она упёрлась в желание бизнеса сэкономить. Ну и верно, комодити не может стоить дорого.
Ток мы ещё не едем на одноразовых авто (пока что), и в ИТ тож не получается.
Так победим!
| | |
| |
| 3.20, нах. (?), 00:53, 18/05/2024 [^] [^^] [^^^] [ответить]
| +5 +/– | |
> Ток мы ещё не едем на одноразовых авто (пока что)
как тоись ниедите?
Половина китайских помоек на дорогах - одноразовые. До первого ДТП или первой серьезной поломки. Запчастей нет, руководств для ремонтников нет (и на китайском тоже нет), диагностических терминалов нет - фирма однодневка уже либо закончила свой бренный путь, либо торгует садовыми тележками и фаллоимитаторами.
затодишовые.
| | |
| |
| |
| 5.127, нах. (?), 00:03, 22/05/2024 [^] [^^] [^^^] [ответить]
| +/– | |
> Это про какие марки китайцев?
Чувак, квадратики выглядят АБСОЛЮТНО одинаково. Как сами китайцы их различают - я без понятия.
| | |
|
|
| 3.46, n00by (ok), 08:20, 18/05/2024 [^] [^^] [^^^] [ответить]
| +/– |
Слава Богу, что я к айтишечке не имею ни малейшего отношения. ;)
| | |
|
| 2.33, qwe (??), 02:28, 18/05/2024 [^] [^^] [^^^] [ответить]
| +1 +/– |
Ты слегка запоздал со своей теорией. Тот же postfix изначально таким образом реализован: куча процессов, каждый со своей задачей.
| | |
| |
| 3.129, нах. (?), 00:06, 22/05/2024 [^] [^^] [^^^] [ответить]
| +/– |
> Ты слегка запоздал со своей теорией. Тот же postfix изначально таким образом
> реализован: куча процессов, каждый со своей задачей.
и world writable spool как последствие героической борьбы в юниксе с юникс-системами.
И, кажется, неработа в нем dsn тоже оттуда же растет. Затобебебезопастно (openrelay в каждой поставке по умолчанию до вресии 3.0 - это уже никак не связано, просто кое-что говорит об авторе)
| | |
|
| 2.72, кент кента (?), 11:18, 18/05/2024 [^] [^^] [^^^] [ответить]
| –1 +/– | |
>Моя теория, что айтишечка уперлось в потолок своих возможностей
экспердики минусуют, значит 100% правда.
я б назвал не "потолок возможностей", а "достаточный функционал". меня на 100% устраивало даже ядро 2.6 и windowmaker 20летней давности. лучше б за 20 лет иксы нормальные написали, опять таки с минамально достаточной функциональностью (без сети).
обоснованная движуха только в хайлоаде идёт, но там тоже очень много лишнего и велосипедоизобретательства
| | |
| |
| 3.80, n00by (ok), 14:12, 18/05/2024 [^] [^^] [^^^] [ответить]
| +/– |
Потолок возможностей - он в управлении. Людей набралось слишком много, а как всей этот толпой управлять - каждый знает лучше остальных.
| | |
| 3.85, Анонимус_WSL2 (?), 15:54, 18/05/2024 [^] [^^] [^^^] [ответить]
| +/– | |
> лучше б за 20 лет иксы нормальные написали
А для кого тогда Шатлврот вяленого мучает не первый год?
| | |
|
|
| 1.4, Аноним (4), 23:38, 17/05/2024 [ответить] [﹢﹢﹢] [ · · · ]
| –2 +/– |
Нужно больше мусора в памяти, больше фрагментации, так победим. Спасибо человеческий dropbear таким не страдает.
| | |
| 1.8, Аноним (8), 00:18, 18/05/2024 [ответить] [﹢﹢﹢] [ · · · ]
| –1 +/– | |
> управление запускаемыми процессами в соответствии с параметром MaxStartups.
т.е. если все чайлды подвиснут или станут зомби - кина дальше не будет?
| | |
| |
| 2.11, Аноним (9), 00:25, 18/05/2024 [^] [^^] [^^^] [ответить]
| –1 +/– |
Так если подвиснет один едиственный нынешний процесс sshd, то его, очевидно, тоже не будет.
| | |
|
| 1.28, xtotec (ok), 01:50, 18/05/2024 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– |
 накурятся своих systemd и давай свои проекты на микро-бинарники крошить.
| | |
| 1.35, sig11 (ok), 02:59, 18/05/2024 [ответить] [﹢﹢﹢] [ · · · ]
| +5 +/– |
 >sshd теперь содержит минимальную функциональность, необходимую для приёма нового сетевого соединения и запуска sshd-session для обработки сеанса.
Они придумали xinetd заново.Ай молодцы
| | |
| |
| 2.71, glad_valakas (-), 11:17, 18/05/2024 [^] [^^] [^^^] [ответить]
| +/– |
xinetd не сможет банить по IP скрипты, проверяющие root/root, root/пусто и т.д.
а сейчас новая мода: по geoip пробивать типичные имена (и почему-то мусульманские имена).
| | |
| |
| |
| 4.120, Аноним (120), 17:01, 20/05/2024 [^] [^^] [^^^] [ответить]
| +/– |
Попробуй опубликовать в Интернет 22-й порт с SSH на сервере, который не жалко, который тебе не навредит, когда в нём будут чужие. Подожди, пока порт найдут. Увидишь насколько они забивают канал просто попытками брутфорсить пароль.
| | |
|
| 3.134, xtotec (ok), 15:21, 30/05/2024 [^] [^^] [^^^] [ответить]
| +/– |
> xinetd не сможет банить по IP скрипты, проверяющие root/root, root/пусто и т.д.
> а сейчас новая мода: по geoip пробивать типичные имена (и почему-то мусульманские
> имена).
Xinetd умел вообще-то tcp wrappers, а уж в них можно было извращаться как угодно. У меня, например, стоял ssh-faker, который по ключевому слову добавлял IP в hosts.allow, всем остальным выдавал sshd реплай с очень старой версией и ошибкой "Protocol mismatch". Мог бы по частоте заходов и в hosts.deny добавлять, но уже лень было дописывать, пускай в скрипт долбятся.
| | |
|
|
| |
| 2.58, n00by (ok), 09:40, 18/05/2024 [^] [^^] [^^^] [ответить]
| +/– |
Скорее всего, появилось время закрыть техдолг. Они ж не готовое собирают-продают, а сами пишут ограниченными силами, приходится экономить даже на спичках.
| | |
|
| |
| 2.77, Аноним (77), 13:32, 18/05/2024 [^] [^^] [^^^] [ответить]
| +/– |
Лучше system-kerneld , т.к. linux ядро уже мало кто полностью понимает, как работает. И таковых всё меньше и меньше.
| | |
| |
| 3.86, Tron is Whistling (?), 16:12, 18/05/2024 [^] [^^] [^^^] [ответить]
| +/– |
Срочно переписать ведро на хрусте, пыхтоне или жабоскрипте.
С подкачкой всех зависимостей из соответствующего отстойника, естественно :)
| | |
|
| 2.83, n00by (ok), 14:26, 18/05/2024 [^] [^^] [^^^] [ответить]
| +/– |
Если не шутка, то надо ли это Микрософт? Переименовывание gummyboot вписывается в их желание подписывать загрузчик, как и движение с интеграцией ядра и initramfs. А если кастомер захочет поадминить, он может подключиться по rdp и запустить WSL2.
| | |
| |
| |
| 4.98, n00by (ok), 16:51, 19/05/2024 [^] [^^] [^^^] [ответить]
| +1 +/– |
Я не удивлюсь даже, если конспирология на тему «IBM Linux повторит судьбу IBM OS/2» окажется вполне точной наукой.
| | |
|
| 3.109, 1 (??), 09:08, 20/05/2024 [^] [^^] [^^^] [ответить]
| +/– |
Ну мелкомягкие и начали делить sshd на 2 процесса. Так что скорее всего они и будут разрабатывать sshd.
| | |
|
|
| |
| 2.81, n00by (ok), 14:14, 18/05/2024 [^] [^^] [^^^] [ответить]
| +/– |
Не, еще не забыть закоммитить в ядро, прямо в таблицу страниц.
| | |
| |
| |
| 4.99, n00by (ok), 16:55, 19/05/2024 [^] [^^] [^^^] [ответить]
| +/– |
Тут уже надо штудировать талмуд. Таблица и сама в странице, но адрес у таблицы должен быть физический.
| | |
|
|
|
| |
| 2.110, 1 (??), 09:10, 20/05/2024 [^] [^^] [^^^] [ответить]
| +/– |
Смысл ... Максимально избавится от операций, которые выполняются от привилегированного пользователя. Т.е. то, чему нужен рут - в отдельный процесс, всё остальное, в другой. Типа уменьшается периметр атак.
| | |
|
| 1.116, Аноним (116), 13:25, 20/05/2024 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– |
> Проект OpenSSH разделяет sshd
> на несколько исполняемых файлов
Ну тогда ждем systemd-sshd - ибо дурной пример заразителен...
| | |
| 1.124, Аноним (124), 05:15, 21/05/2024 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Пошли по стопам Postfix, который доказал временем преимущества такого подхода(куча процессов с минимальными правами).
| | |
|
