В применяемых во FreeBSD фоновом процессе rtsold и утилите rtsol выявлена уязвимость (CVE-2025-14558), позволяющая добиться удалённого выполнения кода с правами root через отправку специально оформленного пакета c анонсом IPv6-маршрутизатора. RA-сообщения (Router Advertisement), через которые эксплуатируется уязвимость, не маршрутизируются и должны отбрасываться маршрутизаторами. Для совершения атаки злоумышленник должен иметь возможность отправки специально оформленного пакета с системы, находящейся в одном сетевом сегменте с уязвимым хостом...Подробнее: https://www.opennet.ru/opennews/art.shtml?num=64475
Ого, это покруче, чем исполнение пакетов с правами root в networkmanager. Так держать!
Ничего страшного... :)> злоумышленник должен иметь возможность отправки специально оформленного пакета с системы, находящейся в одном сетевом сегменте
Т.е. любой выпинь может отправить пакет.
Так ещё и штатный демон. Нетворк манагер далеко не у всех тогда стоял.
> Т.е. любой выпинь может отправить пакет.Отправить - да. Получить - уже нет.
Сначала ломаем network manager потом оттуда ломаем все freebsd.... Шикардятина)
>rtsold передаёт ... без проверки корректности и без экранирования спецсимволов. Утилита resolvconf представляет собой shell-скрипт, не проверяющий входные данные.Ахренеть!
По описанию видно, что элитные Сишники писали.
shell-скрипт, не проверяющий входные данныеЯвно видно евангелиста rust, абсолютно не дружащего с головой.
> shell-скрипт, не проверяющий входные данныеНу вообще-то экранировать а лучше не передавать таким способом данные должны были и на той стороне. Да, даже сишник может сделать system(...user input...) - и догадайтесь что после этого будет дальше? :)
> Явно видно евангелиста rust, абсолютно не дружащего с головой.
А они там свою CVEху в linux kernel уже как, запатчили? Классно они в binder отожгли, не успели переписать как CVE уже. БезопасТный :)
Shell-скрипт сишники писали? Или ту программу, которая отправляет в shell-скрипт имя домена? Наверное Rust бы ещё лучше отправил. Проверил бы, что с памятью всё в порядке, чтоб сообщение обязательно дошло.
Сишники писали rtsolvd, которая в скрипт отправляет непроверенные данные. А потом опять же сишники выпустили патч к rtsolvd. Съехать на баш скрипт не получится. Упс.
Вы мой коммент полностью не прочитали, или просто не поняли? Повторяю проигнорированную вами часть:Наверное Rust бы ещё лучше отправил непроверенные данные. Проверил бы, что с памятью всё в порядке, чтоб сообщение обязательно дошло.
Вот такой упс.
Мммм, какие все интересные, shell не любят. Может еще SystemD в чистую систему встраивать будете? Так, чтобы от sh избавиться
> Может еще SystemD в чистую систему встраивать будете?Почему бы и нет?
> Так, чтобы от sh избавиться
От этой отрыжки из 70х давно надо избавиться.
Чтобы в скриптовом языке была хоть какая-то типизация, нормальные строки, нормальные пути.
Интересно в bash, zsh тоже типизируется всё?
> Чтобы в скриптовом языке была хоть какая-то типизация, нормальные строки, нормальные пути.Агаблин, получился powershell. Настолько ужасный для скриптинга что следующим номером балета MS делает - WSL, ибоо програмить на ps никто не хочет даже под дулом пистолета :D
причины там, вероятно, другиено PS по функционалу ни в какое сравнение с тем что у винды было до того - CMD
Нет, следующим номером программы MS сделала возможность из PS заскриптовать практически всё, что есть в винде. Любую галочку, любой параметр реестра, и всё это без необходимости парсить выхлоп ls и прочих юникс-вей упражнений. Я такое видел последний раз в OS/2, но даже там /* БОБИКК */ не был настолько всепроникающим.
>>в утилиту resolvconf без проверки корректности и без экранирования спецсимволов.Такие утилиты надо писать на безопасном языке который гарантирует корректность и безопасно экранирует спецсимволы.
> Такие утилиты надо писать на безопасном языке который гарантирует
> корректность и безопасно экранирует спецсимволы.Именно!
А еще безопасно работать с буферами, чтобы нельзя было "разрешить прохождение пакета, буфер с данными которого уже освобождён"
и помечать опасные места unsafe, чтобы все знали где именно могут быть проблемы.
Тут намекают, что систему надо настроить нормально и тогда проблем не будет. Википедии кусок:"In securely administered environments the resolvconf program (or daemon, depending on the implementation) causes uneasiness since it interferes with the containment of resolv.conf security vulnerabilities, making changes to it without authorization. (Centralized change management, or centralized compliance, requires that system changes cannot be made from the sidelines.)"
Микротик это не исправит конечно, но возможность преуспеть имеется. (микротик притом потому что говнокод).
Чтоб CVE было Safe
> Чтоб CVE было SafeCVE в Binder не даст соврать - безопасТнее некуда.
>> Чтоб CVE было Safe
> CVE в Binder не даст соврать - безопасТнее некуда.CVE в безопасности. Чего суетятся- непонятно
Ненадо.
Шелл скрипта для этого более чем достаточно.
Безопасных языков не существует. Пора уже снять розовые очки.
Детка, я тебе больше скажу - бывают языки с _доказанной_ безопастностью. Математически. Но таких сказок тебе на ночь видимо не читают.
Поч в фряхе до сих пор появляются такие стрёмные уязвимости, если код написан по заветам предков?
Потому что Юникс-Вей!
Программа должна делать одну вещь, но хорошо.
IP адреса резолвились? Резловились.
Безопасность в сделку не входила))
Нет ничего плохого, если утилита предполагает, что входные данные очищены. Например, в моем проекте именно так и сделано, и ресурсы на проверку данных в каждой такой утилите не расходуются. Но перед вызовом другая утилита обязательно производит очистку данных для всех аналогичных потребителей. Главное, чтобы всё было документировано.
> Нет ничего плохого, если утилита предполагает, что входные данные очищены.А потом удаленные рут уязвимости.
Кто ж мог подумать!> в моем проекте именно так и сделано
Для пет проектов и подкроватных серверов пусть.
А вот для системы, которая типа претендует на какую-то универсальность...> Главное, чтобы всё было документировано.
Было ли это документированно в БЗДе второй вопрос.
А вот то, что как и когда будут использовать утилиту разработчик не знает - это факт.
судя по твоим ответам ты даже однострочник не в сихал написать
Когда смотришь исходники, в которых 60% текста посвящены валидации данных, а 40% смысловой нагрузке, понимаешь - здесь что-то не то. А именно, нужно разделять проблему на более мелкие, а не валить всё в одну кучу.
рекомендую посмотреть шелл скрипт zgrep - вроде и простая задача, а навернули - мало не кажется
Мне не нравится разбор аргументов и куча грязноватых eval, но в принципе имеет право на жизнь, ничего сильно ужасного. Главное не скармливать этому не санитизированные данные.
> Главное не скармливать этому не санитизированные данныеГы
CVE-2022-1271
оно как раз типо делает в том числе "санитизацию"
Ну знаешь, сейчас оно документировано, потом документация устареет, потом ты или другой участник проекта забудет вызвать утилитку-санитайзер, забудет почитать документацию и т.п. Ненадёжен такой процесс.
Потому что кто то не подумал что вместо нормального списка доменов могут прислать какой то мусор.
> Потому что кто то не подумал что вместо нормального списка доменов могут
> прислать какой то мусор.Такких господ в принципе нельзя подпускать к работе с сетью. Ибо саботажники заваливающие мир CVE.
Пишите всё сами, а если не можете даже дырявого кода написать - то не мешайтесь под ногами.
А кроме шуток, фряху на раст неплохо бы переписать. Зачем они в линуксы лезут, если у них уже есть идеальная для того система?
> Зачем они в линуксы лезут, если у них уже есть идеальная для того система?Идеальная??
Интересно в каком это месте фряха идеальная?Да и зачем тратить время на каких-то маргиналов, если есть везде (кроме десктопа))) используемый линь.
Она определённо идеальней Redox. Знай себе переписывай вот подобные поделки и всё прекрасно работает. Всё равно повышенных требований как к линуксу к фряхе никто никогда не предъявлял.
> Всё равно повышенных требований как к линуксу к фряхе никто никогда не предъявлял.Если не считать более узкий диапазон применяемого оборудования: не слишком старое, не слишком новое, не уникальное и не специфичное. Впрочем, в виртуалке всё нормально работает.
Это как раз требования rust.
> Она определённо идеальней Redox.Редокс пилят полтора землекопа. Она не сравнима с bsd, а скорее с другими васянопроектами.
> к фряхе никто никогда не предъявлял.
Потому что она нафиг не нужна в современном мире.
Ну и ее распространенность где либо, отличном от подкроватных локалхостов, прекрасное этому доказательство.
> Интересно в каком это месте фряха идеальная?В том, что она существует, работает и может быть использована как альтернатива линуксу.
> Да и зачем тратить время на каких-то маргиналов, если есть везде (кроме десктопа))) используемый линь.
Когда-то и про винду так говорили. А потом ВНЕЗАПНО всё стало не так однозначно.
С учётом того, куда на всех парах летит разработка и развитие линукса - ровно такая внезапность может и с ним приключиться. И есть мнение, что время это уже не за горами.
И кто из истории со всеми такими "безальтернативными" решениями ничего для себя так и не вынес - для тех действительно, смысла никакого. И объяснить его тоже не получится.
А все остальные и так понимают в чём смысл.
>>Когда-то и про винду так говорили. А потом ВНЕЗАПНОмелкомягкий имеет соглажения со всеми значимыми производителями шелезяк,
это ясно видно по ноутбучному сегменту, так что _ВНЕЗАПНО_ ничего не случится.
очень жаль, но увы и ах (((
От того, что вы миллион раз повторите «альтернатива линуксу» - строчки кода не напишутся и драйвера не появятся. Вы понимаете, что это cheap talk, в который даже вы сами не верите? Я с тем же успехом могу сказать, что Фридос - альтернатива линуксу. Надо просто дописать, мелочи какие.
> Вы понимаете, что это cheap talk, в который даже вы сами не верите?Хорошо ли понятно, что "альтернатива" - это не всегда полностью готовое решение, которое можно прям сходу кинуть заместо старого и использовать?
Разумеется, тут именно надо "просто дописать" и никто не говорит, что это прям как два пальца об асфальт. Но с линуксом было то же самое - как замену коммерческим юниксам его всерьёз не воспринимал буквально никто. И тем не менее процесс шёл и где теперь те самые коммерческие юниксы?
Собственно, линукс ныне уходит ровно туда, где раньше были эти самые коммерческие юниксы. И многие уже начинают задаваться вопросом "а какие у нас есть альтернативы?"
Ответом на этот вопрос и является, в том числе, FreeBSD.
> это не всегда полностью готовое решениеСловарик открывать не забываем. Альтернатива - это другой выбор. Выбрать freebsd вместо линукса можно только в очень ограниченном классе задач. Если, например, в системе нет докера, то она блин не альтернатива для кластера кубернетеса. То что ее можно дописать - это значит что она _потенциально может_ быть альтернативой. Но необязательно. Почувствуй разницу.
> тут именно надо "просто дописать"Нет, тут именно многое надо переписать. Потому что оно не соответствует современным принципам и нуждам.
> как замену коммерческим юниксам его всерьёз не воспринимал буквально никтоВообще-то воспринимали и целенаправленно к этому шли десятки лет. Если ты не в курсе - достаточно быстро после его создания появились компании предлагающие миграцию с юниксов и суппорт. Компаний мигрирующих с линукса на бсд за 30 лет появилось ровно 0.
> многие уже начинают задаваться вопросомАга, хоббиисты на форумах, которые к этому линуксу не имеют профессионального отношения. Специалисты не задают таких глупых вопросов. Они знают, что и для каких задач можно использовать.
> Ответом на этот вопрос и является, в том числе, FreeBSDДа не вопрос, переведи мне кластер кубера на фрибсд, а потом к нему приделай кластерную ФС типа цефа. А, дописать нужно? Правильно я понимаю, что это должен как всегда делать кто-то другой, а не ты?
> переведи мне кластер кубера на фрибсд, а потом к нему приделай кластерную ФС типа цефаСам себе с кубером сложности устроил. Надо было ставить nomad. И не было бы такой проблемы.
> Сам себе с кубером сложности устроил. Надо было ставить nomad. И не
> было бы такой проблемы.Думаете, там сложности только с кубером? :) А вот и фиг. Там сложности со всем - начиная от неработы половины видях и драйвера вафли в виде Linux в виртуалочке до power management и перфоманса/оверхеда ключевых системных операций.
IOPS? PPS? HTTP Req/s? А вон там фороникс недавно бенч провел. И что-то сабж там прям на своей вотчине с треском же и проиграл. Во всех сетевых номинациях. А у линуха в запасе еще финт ушами есть: если взять свежий майнлайн, там вообще разгром и позор будет.
294ый. ты аббревиатур наяндексил или где? сказать-то чего ими хотел?
еще и похороникс приплел. совсем уж плох стал, лучше бы продолжал бред писать про бтрфс да одноплатники размером с кредитку ;))
> фороникс недавно бенч провел. И что-то сабж там прям на своей вотчине с треском же и проигралА когда фороникс бенчи проводил и там линукс проигрывал, такие как ты кричали, а скорей всего и ты тоже, что "это фороникс, ему доверять нельзя". :) Удобно стелешь...
Да не вопрос, переведи на номад) Думаешь это сильно легче будет?)
> Да не вопрос, переведи на номад) Думаешь это сильно легче будет?)Зависит от задач. Если k8s избыточен, то зачем с ним мучиться.
Если с твоими задачами справится вендорлочное поделие, то ставь его.
Но ведь ты его поставил не потому что он тебе нужен, а потому что вас так учат - пихать всё в докеры и завязывать на кубер. Авторы ваших методичек возможно даже не видели альтернатив, поэтому у вас мир такой ограниченный.
>> это не всегда полностью готовое решение
> Словарик открывать не забываем. Альтернатива - это другой выбор.И чем это противоречит сказанному? "Другой выбор" необязательно подразумевает, что он будет идентичен по возможностям и функционалу. Иначе это был бы "аналог". Тоже в словарике можешь посмотреть, раз уж достал его с полки в кои-то веки.
> Выбрать freebsd вместо линукса можно только в очень ограниченном классе задач.
Зависит от направленности. Кубер - это не класс задач, это специфика реализации одной конкретной задачи, в рамках которой есть уже экосистема, специфичная именно для неё.
Если так рассматривать, то и линукс вместо чего угодно ещё можно использовать в очень ограниченном классе задач. Музыканты, графические дизайнеры и много кто ещё - не дадут соврать.> Если, например, в системе нет докера, то она блин не альтернатива для кластера кубернетеса.
Что совсем не означает, что эта система не может быть альтернативой системам контейнерной оркестрации в принципе, если в ней есть какие-то свои инструменты для этого. И во фряхе они есть.
> То что ее можно дописать - это значит что она _потенциально может_ быть альтернативой. Но необязательно. Почувствуй разницу.
Ты путаешь понятия "альтернатива" и "аналог". Повторно предлагаю эту разницу понять и осознать.
> Нет, тут именно многое надо переписать. Потому что оно не соответствует современным принципам и нуждам.
Это каким, например?
> Вообще-то воспринимали и целенаправленно к этому шли десятки лет.
Как работавший в индустрии во времена тех самых старых юниксов, могу тебе сказать, что никто так его не воспринимал даже во времена, когда линукс уже уверенно занимал рынок.
И причин на то было очень много. Но главным образом - потому что внедрялся он, в основном, для снижения финансовых издержек, как для разработчиков, так и для конечных покупателей. К качеству самого линукса и его возможностям это никак не относилось. Ни тогда, ни сейчас.> Ага, хоббиисты на форумах, которые к этому линуксу не имеют профессионального отношения.
Да вот как раз наоборот, хоббисты максимум могут смело совержить переход между арчем и дженту, а вот те, кто смотрит на ситуацию чуть шире - уже давно достаточно скептически смотрят на то куда движется разработка линукса.
> Да не вопрос, переведи мне кластер кубера на фрибсдЗачем? Это не задача. Это попытка вставить квадратное в круглое. Задачей может быть реализовать контейнерную оркестрацию на базе фряхи для развёртывания какого-то определённого сервиса. И там такое сделать можно. Насколько сопоставимыми будут результаты - это уже другой вопрос, но тут, опять же, от конечной задачи надо исходить, а не от "сделай мне кубер на фряхе", ибо это очевидная глупость.
> а потом к нему приделай кластерную ФС типа цефа.
Так ceph и так на фряху поставить можно, вопрос лишь в том - зачем? Опять же, задача-то какая? Или ты из тех, кто исходит из инструмента, а не от того, что с его помощью надо делать?
> А, дописать нужно? Правильно я понимаю, что это должен как всегда делать кто-то другой, а не ты?
Зачем мне вообще что-то писать? Я не программист и быть им не собираюсь. Там, где требуется разработка - есть команды разработки, в том числе собственные, которые прекрасно с этой задачей справятся и без меня. И я тебе больше скажу - именно такие собственные команды разработки и реализовывают что-то, чего ещё нет в готовом виде. Ну, или "дописывают", говоря твоими словами. И кубер, что характерно, один из таких "локальных" проектов.
>докера
>кластера кубернетесаНе нужны оба костыля.
ну сам фрю давно не использую. но фря явно нужна. нетфликс обнаружили что линь не в состоянии шифровать фильмы и раздавать их на скорости 100 Гбит/с с одного сервера. А вот фря смогла. Подробностей я не помню. В линуксе потом тоже реализовали такое. Так что две системы лучше, чем одна. А то застой будет.
Использует ли сейчас нетфликс фрю с своей CDN в данный момент не знаю, вроде использует до сих пор.
Особенно на фоне того, что у линукса сейчас поддержка 1600 Гбит/с линков появилась (8 200 Gpbs портов задействуется, ага). Насколько я помню, фря у них не смогла, они запихнули в неё проприетарные асики и свои дрова для них -- им было проще в то время, потому что stable api nonsense и компания не то чтобы айтишная.
Сейчас - это сейчас. Ты хотел предложить бизнесу ждать, пока линуксоиды раздуплятся и осилят самостоятельную реализацию? Ага, щаз.
> Сейчас - это сейчас. Ты хотел предложить бизнесу ждать, пока линуксоиды раздуплятся
> и осилят самостоятельную реализацию? Ага, щаз.Ну вообще-то глупости говоришь. Бизнес пришёл и сделал. Ты же не думаешь, что драйвера линуксоиды пишут. Нет, этим занимаются профессиональные инженеры на зарплате. Не студенты, как с фряхой
К кому пришёл? К нетфликсу за консультациями?Если бы нетфликс сидел и ждал, когда бизнес придёт и сделает быстрый ktls на линуксе, гугл к тому времени уже всё бы захватил.
> Ты же не думаешь, что драйвера линуксоиды пишут.
Не думаю. Всегда говорил, что если драйвер где-то есть, то его надо просто взять, если лицензия позволяет, или переписать, если не позволяет.
Драйвер - это код к оборудованию. Его должен писать производитель железа.Но линуксоиды не только драйверы подбирали.
Сообщество линуксоидов состоит из очень странных людей.
epoll писали с оглядкой на kqueue, но bsd плохая.
Для быстрых линков они используют io-uring с ebpf, для которой за базу взяли bpf. И опять же bsd плохая.
И даже корпа, благодаря которому они эти линки получили, Nvidia - разнесли в комментариях в пух и прах, превознося AMD.
Я просто напомню: нетфлих это тот продавец двд дисков по почте с хреновенькими сериалами в хреновеньком качестве (пользователи оценили зажатый битрейт). Не тот уровень, это не технологическая компания.
Поэтому третьесортные инженеры с купленными дипломами и пришли спросить что да как.Гугл тоже зажал битрейт, к твоему сведению.
Опять тупоголовые не понимают что установленное соединение на 1600 Гбит/с это глупость - синтетическая характеристика, в реальном мире не существующая, по причине маршрутизации, различных NAT, Firewall и т.п. И разумные люди всегда будут использовать ASIC для поиска в таблицах маршрутизации, NAT, рассчетов КС и т.д. то есть оффлоадить специфичные операции. И это полный кретинизм грузить все это на ядро и центральный процессор.
MIPS в свое время занимал лидирующие позиции в домашних роутерах именно потому что имел так называемый сетевой сопроцессор и работал много лучше чем гораздо более мощные современные железки на ARM.
Т.е. ты сомневаешься, что оборудования долбит на этой частоте, кек? Процессором никто ничего не считает и RDMA придумали как раз, чтобы его не трогать. У нетфликса ведь это была максимально тупая работа и действительно синтетическое достижение. А правда в том, что фряха медленнее во всём, но она примитивнее устроена и реже всё переписывает в ядре.
> Т.е. ты сомневаешься, что оборудования долбит на этой частоте, кек? Процессором никто
> ничего не считает и RDMA придумали как раз, чтобы его не
> трогать. У нетфликса ведь это была максимально тупая работа и действительно
> синтетическое достижение. А правда в том, что фряха медленнее во всём,
> но она примитивнее устроена и реже всё переписывает в ядре.(facepalm) а RDMA с чем работает? Господь богу отправляет данные на обработку?? За сим откланиваюсь - я не зря про тупоголовых написал. Слышащих звон и не знающих где он. Прям подтвердил как с точки зрения оборудования, так и с точки зрения попыток опровержения реальных тестов.
Ты просто проецируешь. Но раз ты такой необразованный, то поясню, что rdma работает с nvme. Если в твой фряхе процессор всем занимается, то это только её проблемы.
> Ты просто проецируешь. Но раз ты такой необразованный, то поясню, что rdma
> работает с nvme. Если в твой фряхе процессор всем занимается, то
> это только её проблемы.RDMA (remote direct memory access) работает c сетевыми устройствами типа InfiniBand, современными, в основном SFP NICs и т.п. Причем это ASIC встроенный в чип сетевого устройства. И эта технология вообще используется в основном HPC.
Все что сидит на общей PCI шине использует обычный DMA (direct memory access) встроенный в процессор.
Ой, неужели. А что такое ты думаешь 8 200 Gpbs портов?
> Ой, неужели. А что такое ты думаешь 8 200 Gpbs портов?прекрати уже позориться. Ты тут такого уже понаписал, и никак не уймешься - что скора санитаров вызывать надо будет.
По факту, если не рассматривать твою писанину как бред абсолютного чайника "слышавшего звон, да не знающего где он" - это сетевая карта NIC с 8 модулями типа QSFP-DD по 4 канала по 50 Gbps =
4x50 = 200Gbps на 1 модуль/линк
8 аггрегированных линков 8x200Gbps = 1600 Gbps. Причем 8 модулей может быть и на одной NIC, так и на 4х, и на 8-миИ эта схема вообще не зависит от применения в какой-то ось Linux или FreeBSD, кроме того что link aggregation всегда на FreeBSD работало и работает лучше. Это было одним из критериев выбора FreeBSD как основной системой теми-же Panasas (PanFS) - практически основным поставщиком хранилищ для HPC. Так-же в основной линейке Juniper - MX Ну а про NetFlix,
SONY, Nintendo (свитч достаточно свежая консоль, и они все используют преймущества low latency FreeBSD-шного сетевого стека, рядом с которым Linux даже не валялся) и т.п. вспоминать даже не будем.
Так в том и дело, что никакая фряха тебе не нужна для этого. А уж про хранилища на zfs легенды слагают (осталось их найти вне soho). Ты такое ощущение застрял где-то в конце 90х со своими "преймуществами" (что-то никто не хочет подписываться на них, а влипшие тысячу раз потом пожалели), ведь сеть это даже не основное.
>MIPS в свое время занимал лидирующие позиции в домашних роутерах именно потому что имел так называемый сетевой сопроцессорКакой такой "сетевой сопроцессор"? В MIPS SoC были встроенные MAC (даже без PHY), и только. И еще там был big endian, что позволяло сэкономить по 5-7 инструкций на перекладывании данных. А так - там даже заполнение TLB - и то софтовое.
Поднимать линк на каком то там адаптере и раздавать контент - это две сильно разные работы.
Затянуть весь сетевой стек в юзерспейс ещё более эффективно оказалось. Медленнее фряха, ничего ты с этим не сделаешь.
Медленее она была пока нетфликс не приложил усилия.
Сейчас вполне сопоставимо, где то быстрее гдето медленее.А в юзерспейсе если гонять - то вообще особой разницы нет какая ОС.
> Медленее она была пока нетфликс не приложил усилия.
> Сейчас вполне сопоставимо, где то быстрее гдето медленее.
> А в юзерспейсе если гонять - то вообще особой разницы нет какая
> ОС.в юзерспейсе netgraph от FreeBSD значительно быстрее любых операционных систем. Тот-же mpd5 взять.
>фряху на раст неплохо бы переписатьна раст надо переписывать самый озабоченный безопасностью из BSD - OpenBSD. Вот это будет комбо.
А говорили чуть ли не академическая реализация сетевого стэка. Съели?
В каком месте это сетевой стек?
В любом - rtsolvd часть сетевого стека, что даже в мане написано.
> В любом - rtsolvd часть сетевого стека, что даже в мане написано.Там указано на изначальный источник происхождение. Во фряхе как был ip6, так и остался.
Если хочешь посмотреть на пользовательский стек, то смотри на F-Link, но не надо считать сетевые утилиты частью стека. Они его используют, но не реализуют.
> F-LinkF-Stack
>Утилита resolvconf представляет собой shell-скриптСколько раз твердили: не используйте shell-скрипты ни для чего. Но только не в коня корм. Необучаемые.
А в чём принципиальная разница, кроме скорости работы? И скрипт-оболочки, и скомпилированный бинарный файл будут обращаться к одному и тому же API. И то и другое можно взломать, устроить переполнение буфера и т. п.А вот в части отладки скрипты выигрывают.
> в части отладки скрипты выигрываютТак можно говорить только не понимая в отладке вообще ничего. Хинт: вставить в скрипте 10 раз echo - это НЕ отладка, это monkey coding.
> monkey coding.Хорошо, просветите всех, как вы дебажите скрипты?
Я "set -x" чаще использую, вместо echo
Часто принты это единственный эффективно доступный метод отладки. По самым разным причинам, но чаще всего это максимально реальные условия. Что бывает необходимо. Но это не имеет отношения к вопросу, отладка скриптов просто более наглядная в известной мере.
>А в чём принципиальная разница, кроме скорости работы?Ну как-бы во всех языках кроме баша шелл-инъекция не является стандартной синтаксической конструкцией языка, без которой невозможно написать что-либо.
> не используйте shell-скриптыСкрипт можно быстро поправить, а бинарник? Да ты даже не найдёшь в нём ошибку!
> Скрипт можно быстро поправить, а бинарник? Да ты даже не найдёшь в нём ошибку!Вот-вот, я встречал легаси C++ программы в корпоративной среде, написанные сотрудниками, которые уже 10 лет как не работают. Все боятся вносить изменения в их "monkey coding". А, если бы это были скрипты, их бы уже обновили.
Ага, в скриптах-то monkey coding не встречается.
«monkey coding» — это была лишь отсылка к другому анониму выше; он так назвал отладку через «echo», причем сам додумал за других, как они отлаживают.
> Ага, в скриптах-то monkey coding не встречается.Обычно они из него состоят чуть менее чем полностью...
Учитывая низкую популярность фряхи, можно не реагировать. Всё равно везде линуксы. А в академических лабах могут друг друга взламывать сколько угодно.
Роутеры бывали на фряхе, PlayStation куски из фряхи пользовала (где-то с PS2 и аж до PS5) и т.д.
Что в 2025 году может заставить использовать FreeBSD?
Ну как… Плейстейшн, нетфликс, идеальный сетевой… wait oh shi~
Они думают иначе: Netflix, NetApp, Juniper Networks, iXsystems, AMD, Beckhoff, Stormshield, Meta, Arm, Modirum, TarsnapНо они же сами и спонсируют FreeBSD. Кто девушку ужинает, тот её и танцует.
> Они думают иначе: Netflix, NetApp, Juniper Networks, iXsystems,
> AMD, Beckhoff, Stormshield, Meta, Arm, Modirum, TarsnapОбожаю, когда бсд dpoчеры начинают рассказывать как же много фирм используют БСД)))
Вы только посмотрите, когда они спонсировали или помогали кодом. И в каком году это было.
> И в каком году это было.В этом году, например.
В 2025, карл. В 2025! Эти-то сами себе в своё время это ярмо на шею повесили.
> В 2025, карл. В 2025!А, типа новые адепты? Так на профильных форумах полно тех, кто хвалит FreeBSD. Даже здесь встречаются. Я лично с FreeBSD пока не работал. Но не вижу в этом ничего плохого.
На профильных форумах по freebsd? Логично черт возьми!
> Они думают иначе: Netflix, NetApp, Juniper Networks, iXsystems, AMD,
> Beckhoff, Stormshield, Meta, Arm, Modirum, TarsnapДумть можно что угодно. Но лучше посмотреть фактический поток комитов и налчие майнтайнеров. И если какая-то фирма вывалила раз в жизни нечто "нате на лопате" - это еще совсем не то же самое что юзабельный, поддерживаемый код доведенный до ума.
> Но они же сами и спонсируют FreeBSD. Кто девушку ужинает, тот её и танцует.
Вообще-то если вы не заметили, всякие сони жуниперы и нетаппы вместе с нинтендой используют FreeBSD в режиме, извините, халявы. В самом ее буквальном, изначальном понимании. Хотя в этом смысле AT&T дальше всех зашел :))
> Хотя в этом смысле AT&T дальше всех зашел :))Так зашёл, что даже вышел.
Сейчас была бы своя ось и инфраструктура, и не пришлось побираться на убунтах.
> Так зашёл, что даже вышел.
> Сейчас была бы своя ось и инфраструктура, и не пришлось побираться на убунтах.Как видим, если корпам предоставить полную свободу, получается:
1) Корп поюзает вас максимально внаглую.
2) Как можно халявнее, с 100% пофигом на участь апстрима.
3) При случае отблагодарит дополнительно, отп...в судами или чем там чтоб бизнесу не мешали и знали свое место.
4) Как только халява захиреет с такого отношения - выкинет на мороз.Удачного партнерства, как говорится...
> Удачного партнерства, как говорится...Академикам не нужно было никакое партнёрство, если ты понимаешь над этим подгребание разработки под себя. Они просто пилили фичи, многие из которых линукс во время клонирования всосал с молоком матери - Unix.
Нынешний опенсорс для корпов сообщество уже не тянет.
А в старом опенсорсе для удовольствия никакой гнурак не был нужен.
Корпоративный синдикат над линуксом огромный - тестировать нужно много.Удачи в бесплатном тестировании для корпов, как говорится...
> Академикам не нужно было никакое партнёрство, если ты понимаешь над этим подгребание
> разработки под себя.Я понимаю - равноправное участие в проекте с одинаковыми условиями. Без схем master-slave когда одним дозволено больше чем другим и они начинают наглеть и откровенно лошат "этих неудачников".
> Они просто пилили фичи, многие из которых линукс
> во время клонирования всосал с молоком матери - Unix.А вон те всосали кажется не молоко. Даже если и немного похоже было, это как в анекдоте про козу и молоко.
> Нынешний опенсорс для корпов сообщество уже не тянет.
> А в старом опенсорсе для удовольствия никакой гнурак не был нужен.Лично я не испытываю никакого удовольствия от того что кто-то мной и моими наработками попользовался как туалетной бумагой и выбросил меня на мороз, а то и вовсе - в суд припер если я скопирую их улучшения в мой проект. С фига ли ублажение паразитов забесплатно должно приносить мне радость?! ИМХО - commit or GTFO. Вот так это для меня - удовольствие, ибо участники проекта - развивают проект.
> Корпоративный синдикат над линуксом огромный - тестировать нужно много.
> Удачи в бесплатном тестировании для корпов, как говорится...Да я так то для СЕБЯ тестирую. У меня даже свой небольшой бизнесок есть вокруг. А то что корпам что-то перепадает - это side effect. Мне инверсной версией этого side effect перепадает намного больше так то.
> Что в 2025 году может заставить использовать FreeBSD?Фатальная ошибка, сделанная N лет назад, когда кто-то решил прибить инфру с непонятному поделию. И исправлять ее слишком дорого, поэтому приходится тянять легаси.
Для нового проекта брать бсд... даже комментировать нет смысла)
> Для нового проекта брать бсд... даже комментировать нет смыслаЧтобы вы понимали! Вы видимо давно страницу спонсоров фрибсд не перечитывали! Может еще и в крутой сетевой стек не верите?!
> Чтобы вы понимали! Вы видимо давно страницу спонсоров фрибсд не перечитывали! Может
> еще и в крутой сетевой стек не верите?!Вон там фороникс потестил. Почему-то и по трафику и по http req/s "крутой сетевой стек" оказался в пролете относительно обычной свежей убунты. А так все хорошо прекрасная маркиза.
А заодно у этой убунты есть LTS и live update патчащие ядро без ребута вообще. И вот чем сабж будет это крыть? Пафосом и сказом как это не нжуно? :)
Упортость линуксоидов
Удобство.
Удобно когда система маленькая и ты знаешь как оно устроено, а что не знаешь - то легко можешь понять покопавшись относительно не долго.
В остальном же оверхэд от того что это не убунта - для десктопа не очень большой.
Адекватность оценки возможностей.
Ответственные решения (центры сетей и т.п.) были и будут на FreeBSD
Ну а всякий мусор, заглушки, да прокси это, конечно, на линукс, сдохло быстро заменил. Концепция Linux.
Ну что, пал последний оплот «зато во фряхе идеальный сетевой стек». Какой удар, какое фиаско
так может, это намеренно оставленный бэкдор вкрылся. Расслабьтесь, закроют и пару новых заложат.
> Ну что, пал последний оплот «зато во фряхе идеальный сетевой стек». Какой
> удар, какое фиаскоПроблема вызвана тем, что какой-то скрипт не проверяет входные данные, но виноват сетевой стек. Мало ли что там от демонов/утилит приходит, принимающий скрипт должен выполнять проверку.
А скрипт конечно же писал ненастоящий бсдшник и вообще он уже уволен. Да да, продолжайте.
Какая разница кто его написал. Он в сетевой стэк не входит. Как и любые утилиты такого уровня.
Да ладно?! (с) А разработчики с тобой не согласны, что отражено в манах, вике и списках рассылки) Ну они ничего не понимают, что с них взять.
Сетевой стек на си написан, а не на шелле.Где, говоришь, они написали, что resolvconf входит в сетевой стэк? Ссылку сможешь дать?
Юный друк, прочитай пожалуйста новость внимательно и осиль понять, что делает rtsold.> rtsold передаёт указанный в RA-сообщении список "domain search" в утилиту resolvconf без проверки корректности и без экранирования спецсимволов
Проверяет принимающая сторона.Это основной принцип: получил данные, проверь их перед тем как использовать. resolvconf этому принципу не следует.
Да что ты гойворишь? Ну сходи в рассылку, расскажи разрабам, что им делать, а то они уже патчи для rtsolvd подготовили))Ты понимаешь, что в попытке оправдать очевидный косяк ты начинаешь придумывать какие-то только тебе известные «основные принципы» и уже споришь даже не со мной, а с разработчиками)) Просто остановись, чел.
Да какая разница, я посмотрел код утилиты и демона, и они не в ядре.
Так что сетевой стек тут не виноват.
Просто несколько Анонимов вроде тебя, начинают хлопать в ладоши не разобравшись в проблеме.
Плакаю, такого незамутненного сознания я давно не встречал. Кто тебе сказал, что сетевой стек ОС - только в ядре?
> Плакаю, такого незамутненного сознания я давно не встречал. Кто тебе сказал, что
> сетевой стек ОС - только в ядре?1) В данном случае это так. В новости не рассматривается случай пользовательского стэка. А вот кто тебе сказал, что я сказал слово "только"?
2) Если ты мне докажешь, что rtsol это сетевой стек, то я соглашусь, что ты прав.
Далеко не каждый код, который работает с сетевым стеком, является его частью.
> Какая разница кто его написалНу раз разницы нет, то и брать БСД смысла тоже нет. Можно взять более популярный Линукс написанный корпами. Ведь нет разницы, так?
Я беру и использую что хочу. Хочу - линукс, хочу - винду, хочу - бсд.
И мне совершенно без разницы, кто их пишет.
Freebsd вполне достойная ОС, в линухах тоже полно чего находили и на старуху бывает. А использовать можно и вин3.1 главная понимать зачем.
В этом и проблема, что на вопрос «зачем использовать freebsd” нам кивают на набившие оскомину за 20 лет нетфликс, Плейстейшн и волшебный сетевой стек. Сегодня на 1 кивок станет меньше, вот и всё.
Тоже не понимаю, почему постоянно кивают на нетфликс.
Что касается вопроса «зачем использовать freebsd” - за тем же, зачем используют linux, если конечно, не нужны linux специфичные технологии и wifi, с которым у FreeBSD все очень не очень. И вот тут уже начинается вкусовщина.
Лично у меня FreeBSD на многих серверах была бы приоритете, если бы у нее был период длительной поддержки в рамках мажорного релиза(5, а лучше 7 лет), чего к сожалению нет.
Теперь главное сделать бисекцию и найти того, кто это занёс — мало ли чего ещё учудил.
> найти того, кто это занёсСколько десятилетий уязвимости находят - никого ещё не посадили. Мистика.
Мой пук в глобальну лужу: А почему би не сделать ГЛОБАЛЬНЫЙ, для всех ОС, error-handler, и там строго на того прописать: что, где, когда, по чем? А то при следующем запуске системы, она не загрузится, потому что на Солнце были вспышки, которые совпали с про летающей кометой/астероидом/планетой/звёздной системой/черной дырой/галактикой/паралленым миром/ и т.д и т.п И при этом уборщица тётя Зина просто выключила рубильнок, что бы её током не ё...ло. Всё необходимо ПРЕДУСМОТРЕТЬ!!!
И, растеры, заметьте: никаких связанных с памятью уязвимостей! Кстати, в старом добром IPv4 такой фигни нет, что ясно намекает на ненужность IPv6.
Откуда вам известно, что подобного в IPv4 нет? Подождите новостей.В текущих продуктах, которые все используют огромное количество багов, уязвимостей и замаскированных под баги бэкдоров. О них становится известно лишь со временем.
Если этого нет в IPv4 то только потому что dhclient фильтрует. А может и не фильтрует в реале, лень проверять.
На что теперь перейдут вечно Переходящие?
ЗЫ ответ на IPv4 некошэrен
> без проверки корректности и без экранирования спецсимволов.
> Утилита resolvconf представляет собой shell-скрипт,Ну что, юниксвэйщики, вот вам UNIX WAY REMOTE ROOT! :D. Стабильно, безопасно, качество кода и вообще. Правда, вызывает шеллскрипт и не парится экранированием. И не обучились на предыдущем remote root over DHCP. Вот незадача то.
Некритично для прода.
IPv6 мало где, в большинстве выключен при пересборке ядра, zeroconf в проде никто не будет юзать.Что касается поддержки оборудования- не софт под оборудование выбирают, а оборудование под софт при нормальном подходе. При этом инстансы Фряхи продолжают годами работать, пока современные админы и всякие опсы роняют прод кривой архитектурой и пайплайнами.
> IPv6 мало где, в большинстве выключен при пересборке ядра,YOLO, у большей части крупняка делающего погоду уже ipv6 во все поля развернут, особенно для всяких внутренних ресурсов - ибо IPv4 аллоцировать для этого всего уже стоит измеримых бабок, а айпишники нужны кастомерам на внешку.
Правда там FBSD конечно нет в массе своей. Вот и находят такое - через цать лет после появления ipv6. Кто-то видимо дополз fuzzing наконец запустить под конец 2025. Настолько всем нужная операционка походу.
По отечественному крупняку где и есть ipv6 - то в куберах, так как там сёрвисмеш значительно облегчает вопрос с адресацией, да, там и zeroconf куда уж.Но смузистек на то и смузистек, сервисы и без vulnerabilities падучие. Ну sre не зря зато хлеб свой кушают, надо ж ручками инциденты митигироватт в рилтайм глядя на тупые cd-шные пайпы.
Ну там и не фряха, к слову..)
> По отечественному крупняку где и есть ipv6 - то в куберах,Не знаю про ваши отечественные ipv6 в куберах. А в соседней новости арч оставил только ipv6 на время :). И крупняк давно внутрях v6 поюзал просто потому что нормальный доступ к инфре и ее управлению без преодолений и костылей - прагматично, а v4 на это не напасешься.
> Но смузистек на то и смузистек, сервисы и без vulnerabilities падучие.
Не знаю что там у кого падает. Да и смузи там уже так то в ipv6 - забродил.
> Ну там и не фряха, к слову..)
Ну так она с кубером вроде и не того. И даже этому вашему яндексу надоело быть теми кто пишет дрова для сетевух. Это так изначально - не их профиль.
Решать проблему нехватки кол-ва IP-адресов надо не увеличением кол-ва IP-адресов, а уменьшением кол-ва людей. Один австриец хорошо начал, жаль только, что закончить дело своё не смог.
> Решать проблему нехватки кол-ва IP-адресов надо не увеличением кол-ва IP-адресов, а уменьшением
> кол-ва людей. Один австриец хорошо начал, жаль только, что закончить дело
> своё не смог.Нанороботы не одобряют ваш курс действий. Им и v6 маловато будет. Не то чтобы они испытывали комплексы по переработке людей в себя, но айпишников то маловато будет! А с v4 это вообще что? Захватить полторы комнаты в лаборатории и обломаться об нехватку айпи?!
Аллоцировать 172.0.0.0/8 стоит бабок? И когда так стало?
> IPv6 мало гдеДа? Надо же. А мы в октябре первый регион без IPv4 в прод запустили. Весь IPv4 заканчивается на балансировщике нагрузки, за ним -- только нативный стейтлесс IPv6. Но там, естественно не FreeBSD.