>[оверквотинг удален]
>>обычный pptpd из портов и подключал к нему несколько машин из-за
>>NAT'а. Может, вы что-то в pf.conf перемудрили?
>>
>
>Может вы не поняли вопроса ?
>>обычный pptpd из портов и
>
>прчем здесь pptp из портов - итак. за натом из pf'a
>сидят N юзеров и коннектятся на __1__ айпи снаружи по пптп
>- правила pf в студию :) Кажется, я понял, в чём дело. Надо _отключить_ псевдоустройство gre в ядре (через config). Ну и для чистоты проверить, что sysctl, с GRE связанные, не дёргаются при загрузке. После этого должно забегать нормально.
>>>б) как ни станно, у меня пров дает TV по IGMP
>>>- как, фейл с пропуском на 2 машинки через нат уже
>>>закончился ?
>>
>>В смысле, какой фэйл?
>
>в смысле, как раздать IGMP траффик через нат на pf :)
М-м-м... mrouted(8)?
>>>в) Совсем пушной зверек - опенок все еще гоняет транзитный FTP
>>>трафф через юзерспейс?
>>
>>Да, и будет гонять (официальная позиция разработчиков), т.к. современный FTP не настолько
>>простой протокол, чтобы рисковать его засовывать в ядро.
>
>А так же GRE,CIFS,H232,SCTP,SIP и еще пол-сотни протоколов, с которыми как я
>понимаю в pf никак
Ну, во-первых, GRE и SCTP — это L4 протокол, остальные — более высокого уровня. Для SIP и H232 в портах есть прокси. CIFS вроде как сквозь NAT нормально пролезает. GRE тоже (см. выше). SCTP нету, да — как я догадываюсь, повлияла смерть itojun@. :(
>> А чем вам
>>не угодил ftp-proxy? Я тормозов не заметил. Передача файлов ведь без
>>его участия происходит, он в pf просто добавляет правила.
>
>/me может быть и не осилил, тут я спорить не буду, но
>как, по вашему, решается задача
>пары-тройки фтп серверов ( они внутри сети за натом, опять таки на
>pf).
ftp-proxy в реверсном режиме. Почитайте man, что я его буду пересказывать, там всё понятно написано, настраивается с пол-пинка; обычно хватает одной строчки в /etc/rc.local, ну и в pf одно правило. :)
>[оверквотинг удален]
>>>это мой пароль на ноуте),
>>
>>PAM нет и не планируется. А чем BSD auth не устраивает?
>
>Отсутствием вменяемой многофакторной ААА, в том числе и на удаленном сервере -
>домашнюю диру юзеру все так же ручками надо создавать ? passwd
> уже научился писать пассворды куда то кроме файликов в /etc
>?
>Kак пример - есть AAA через LDAP&&Kerberos (и это нотбук).Как залогинить юзера
>без сети ( кеширование и TTL пассвордов ) ?
Либо я что-то опять недопонял, либо вот цитата из login_krb5(8):
If the notickets argument is equal to ``no'', the default value, and the
login argument is equal to ``yes'', then the ticket will be saved in a
credentials cache.
>>>Тут не в курсе , но ядрЁный keychain уже есть ? :)
>>
>>Нет, и эта тема на моей памяти ни разу не поднималась в
>>списках рассылки — видимо, никому из пользователей OpenBSD и в голову
>>не приходило этим пользоваться. :)
>
>Это не юзерская фича :) Чтобы тут не разводить холивары про гентоо
>- http://sisyphus.ru/ru/srpm/pam_keystore.
>И столь нелюбимый здесь IBM: http://www.ibm.com/developerworks/ru/library/l-key-retention...
Не юзерская, но суть сводится к тому, что не надо вводить много раз пароли. :)
>[оверквотинг удален]
>
>>Если же вы знаете, что вы делаете, пожалуйста, никто не мешает обновить
>>только конкретный порт.
>
>угу, и это будет совсем не офф. способ - вопрос скорее был
>не из серии "как сделать",
>а "как при этом не сломать систему". configure,make,make install в начале хорошо
>- в конце этот процесс приносит понимание того, что ставить что
>то мимо портов,портежей,юма,dpkg,msi,etc - это верный путь выстрелить себе в
>пятку
Это понятно. Скажем так: если сильно надо кастомизацию на много машин, то проще самому мэйнтейнить порты; на прошлой моей работе (фряшные сервера) так и делали. /usr/ports/mystuff для таких вещей и предназначен. ;)
>[оверквотинг удален]
>>
>>pkg_add postfix прекрасно работает.
>>
>>А компиляция, ессесно, нужна, т.к. sendmail в базе, а SASL — нет.
>>В OpenBSD с этим строго.
>
>Т.е, как я понимаю, исходя из логики поставки base ,по мнению девов
>опенка, отсутсвие
>SMTP AUTH && STARTTLS, равно как и засирания системы реальными юзерами, конкретно
>повышают безопасность системы ? :)
Не самое приятное решение, согласен. Но вынужденное. Если нагрузка не очень большая, можно уже сейчас попробовать OpenSMTPD…
>И предача пассвордов на поп3 ( из базовой поставки) открытум текстом -
>тоже супер безопастна?
Ну, вообще-то, там не только открытым текстом можно. Все нормальные клиенты по дефолту пробуют авторизацию прямым текстом в последнюю очередь. Зато PLAIN полезен для отладки, например.
>Как бы все мануалы всегда говорили, что девы в ответе только
>за базовую систему, и порты
>не аудитятся на предмет секюрити - я прав?
Скажем так: аудит остаётся на совести maintainter'ов, ну и собственно разработчиков софта. Это не значит, что весь софт в портах плох. :)
>>[оверквотинг удален]
>>
>>Для особо недоверчивых есть systrace.
>
>это все ??? что может предложить опенок в этом плане ? MAC
>&& RBAS не заканчивается на прикручивании дескрипторов безопасности на все
>сисколлы - он там только начинается.
>В опенке уже можно сильно извратится и отдать пароль рута кому нибудь?
В опёнке изначально есть sudo, с которым поводов давать пароль рута становится заметно меньше.
>С выставленнум наржу рутом видел FC, Debian видел, даже Gentoo и та
>была ( ну работает pebenito@ в одной практически комнате с
> Dan Walsh) , в фрее недавно ( давно не юзал)
>
>с удивлением обнаружил зачатки MAC -как провернуть подобное на опенке не представляю
>даже торетически.
И не представите. Если нужен удалённый рут — то, очевидно, для выполнения каких-то автоматических или полуавтоматических задач. Для этого можно использовать: а) sudo; б) авторизацию по ключу в SSH (позволяет накладывать различные ограничения). Ну а абстрактное «можно ограничить рута» само по себе чистой воды академичность. :) Так или иначе, администратору _нужен_ полный доступ к его системе, и далеко не всегда возможно для этого каждый раз перезагружать машину с консольным доступом (чтобы отрубить MAC в ядре перед загрузкой ОС).
>> следствие — ошибки админов — ошибки в безопасности.
>
>т.е девы априори подозревают админов в отсутствии квалификации? Может все проще
>- они сами с трудом понимают всю эту машинерию?
Разработчики (простите, но слово «девы» у меня ассоциируется исключительно с девушками и духами) априори полагают, что люди делают ошибки: в коде, в конфигурационных файлах и т.д. Поэтому они пишут параноидальный, по мнению некоторых, код, который защищается от «собственных» ошибок (privilege revocation & revocation, рандомизация работы с памятью и процессами, и т.д.). И поэтому ищут те решения, которые:
Во-первых, будут реально использоваться. MAC зачастую в итоге отключают, затр...сь искать «да что этой долбаной программе не хватает?!». Говорю не понаслышке, я видел, например, как несколько специалистов, по сравнению с которыми я сосунок, так и не смогли его безглючно прикрутить за несколько недель на машину, архитектуру которой знали, казалось бы, вдоль и поперёк). MAC _иногда_ хорош, не спорю. Но ниша таких решений всё же слишком преувеличена.
Во-вторых, будут достаточно простыми, чтобы минимизировать риск _случайной_ ошибки. Яркий пример — утилита ipsecctl(8), здорово облегчающая жизнь при настройке IPSec по сравнению с конфигурированием isakmpd & Co. вручную.
>>>6) какой велосипед изобретет компания Тео для прикручивания >Xorg-1.8 ?
>>>MAKEDEV наверно ?
>>
>>Не понял шутки? Смотрим в http://www.openbsd.org/cgi-bin/cvsweb/xenocara/MODULES?rev=1... , последняя строчка: xserver 1.8.1. И
>>причём тут MAKEDEV?
>
>Притом, что мне тупо интересно, как опенок будет подрубать после запуска Xorga
>и логина
>юзера вакомовский планшет - динамического /dev нет и как я понимаю
>не будет?
Вы не поверите — Xorg вообще о нём знать не будет. :) Мыши и мышеподобные устройства мультиплексируются в /dev/wsmouse — можете хоть десять USB-мышей подключить после запуска иксов. И это работает, и работает очень давно, проверено. С клавиатурами аналогично. (само собой, желающие могут и прописать в xorg.conf себе конкретные устройства, по дефолту же используется /dev/wsmouse).
>[оверквотинг удален]
>>jail нету, это да. :( На это тупо не хватает сил.
>
>Вы не поверите, но сил не хватает на все задумки в любом
>комьюнити дистре любой OS.
>Тогда за обычно берутся юзера данной системы - куча реп,портов,оверлеев и просто
>своих сборок тому пример. В данном случае, как я понимаю, несколько
>факторов просто на корню срубает желание заниматся чем то подобным.
>И на jail все на заканчиваете - легкой виртуализации в смысле продакшена
>в BSD нет.
>В опенке ее нет совсем - и к чему бы это ?
Можете додумывать что угодно, несколько лет назад было обсуждение, и собсно сам Тео прямо заявил, что вообще jail — это круто, но грамотно сделать очень сложно (вскоре после этого во фряшном jail нашли крупную уязвимость). Был проект sysjail, но он, AFAIK, теперь заброшен, после того как в systrace обнаружили неисправимый race condition. Если кто-то осилит сделать адекватную замену systrace (может, уже делают, я не в курсе), будет действительно круто. :)
>П.С В свое время все висело на опенке, и он был единственной
>системой, которую мы ставили для наших клиентов.
>Уход с него был тяжел и мрачен :). С тех пор я
>предпочитаю болеть за развитие данного проекта издалека.
Каждому своё. Я прекрасно помню, как матерился, настраивая Linux-сервера и, в меньшей степени — благодаря наличию pf, фряшные. :) Кому что удобнее — хорошо, что есть выбор. :)
