| 1.1, Аноним (-), 22:20, 30/04/2014 [ответить] [﹢﹢﹢] [ · · · ]
| +4 +/– |
И что это даст? По логике наоборот curve25519, aes-ctr, chacha и ed25519 должны были полностью повесить на OpenSSL... Теперь получается все кому не лень будут дублировать OpenSSL у себя в проекте. С каких пор дублирование кода не считается дурным тоном?
| | |
| |
| 2.10, Аноним (-), 23:46, 30/04/2014 [^] [^^] [^^^] [ответить]
| +4 +/– | |
> С каких пор дублирование кода не считается дурным тоном?
С тех пор, как Леня Пэ набрал популярность.
| | |
| |
| 3.21, Аноним (-), 08:04, 01/05/2014 [^] [^^] [^^^] [ответить]
| +2 +/– | |
> С тех пор, как Леня Пэ набрал популярность.
Ну ты, чувак, юзай openssl наздоровье. Только потом не удивляйся туевой хуче сюрпризов. Ибо о долбоклюйстве авторов этой либы в области криптографии недвусмысленно говорит например changelog свежих версий Tor где им пришлось явно воркэраундить идиoтию авторов openssl в использовании аппаратных RNG. А если в криптографической либе сажают ТАКИЕ плюхи - вы конечно извините, но...
| | |
|
| 2.20, Аноним (-), 08:02, 01/05/2014 [^] [^^] [^^^] [ответить]
| +3 +/– | |
> И что это даст?
1) Отсутствие переусложненной либы, которую пишут дилетанты, зарекомендовавшей себя одним большим куском проблем с точки зрения криптографии.
2) Нормальная подборка современных алгоритмов от вполне приличной группы криптографов.
3) F...k you legacy.
Вообще, парни все-таки не проcpaли квалификацию окончательно - удивительно здравое решение.
| | |
| |
| 3.71, XoRe (ok), 22:08, 05/05/2014 [^] [^^] [^^^] [ответить]
| +/– |
 > 1) Отсутствие переусложненной либы, которую пишут дилетанты
Шедевр.
Я правильно понимаю, что после heartbleed каждый аноним стал гуру криптографии, который поливает грязью дилетантов из openssl ?
| | |
| |
| |
| |
| 6.74, arisu (ok), 07:57, 06/05/2014 [^] [^^] [^^^] [ответить]
| +/– |
 > А чем Вы пользуетесь, стесняюсь спросить.
смотря для чего. есть polarssl, например. а чистых криптолиб ещё больше.
| | |
|
| 5.75, XoRe (ok), 01:10, 07/05/2014 [^] [^^] [^^^] [ответить]
| +/– | |
> нет, просто OpenSSL всегда говном была.
Просто до heartbleed на попытки сделать что-то свое в криптографии рекомендовали "не изобретай велосипед, используй openssl".
А сейчас "openssl - поделие криворукого студента".
| | |
| |
| 6.76, arisu (ok), 07:21, 07/05/2014 [^] [^^] [^^^] [ответить]
| +/– |
>> нет, просто OpenSSL всегда говном была.
> Просто до heartbleed на попытки сделать что-то свое в криптографии рекомендовали "не
> изобретай велосипед, используй openssl".
> А сейчас "openssl - поделие криворукого студента".
кто рекомендовал?
| | |
| |
| 7.77, XoRe (ok), 14:28, 07/05/2014 [^] [^^] [^^^] [ответить]
| +/– |
>>> нет, просто OpenSSL всегда говном была.
>> Просто до heartbleed на попытки сделать что-то свое в криптографии рекомендовали "не
>> изобретай велосипед, используй openssl".
>> А сейчас "openssl - поделие криворукого студента".
> кто рекомендовал?
те же анонимы)
| | |
|
|
|
|
|
|
| |
| |
| 3.19, Аноним (-), 08:00, 01/05/2014 [^] [^^] [^^^] [ответить]
| +1 +/– | |
> он тут причем?
При том что Curve25519, poly1305 и salsa/chacha - это его рук дело.
| | |
|
| 2.9, Аноним (-), 23:45, 30/04/2014 [^] [^^] [^^^] [ответить]
| +1 +/– | |
> D. J. Bernstein рулит!
Он, кажется, говорил, что чем меньше всяких функций и наворотов, тем более безопасно ПО.
С таким подходом, к OpenSSH, с его встроенными прокси и FTP-серверами, не стоит прикасаться даже десятиметровой палкой.
| | |
| |
| 3.22, Аноним (-), 08:08, 01/05/2014 [^] [^^] [^^^] [ответить]
| +2 +/– |
> Он, кажется, говорил, что чем меньше всяких функций и наворотов, тем более
> безопасно ПО.
Именно так. И как пруф он написал djbdns и qmail. Надо сказать, пруф удался. Кстати он был одним из первых кто предложил bounty за баги. Выплачивал награду он, если не ошибаюсь, 1 раз за всю историю вообще.
> С таким подходом, к OpenSSH, с его встроенными прокси и FTP-серверами, не
> стоит прикасаться даже десятиметровой палкой.
Ну вот упомянутый шаг - таки в правильном направлении. Еще бы выпилили все эти прокси и фтп нафиг, в какие-нибудь отдельные тематические программы, стало бы вообще хорошо.
| | |
| |
| 4.32, vi (?), 11:46, 01/05/2014 [^] [^^] [^^^] [ответить] | +/– |  Так они вроде двигаются в этом направлении, или нет Хотя, у них все работает хо... большой текст свёрнут, показать | | |
| |
| 5.36, Аноним (-), 16:20, 01/05/2014 [^] [^^] [^^^] [ответить] | +/– | По принципу шаг вперед, два назад Вон наплодили всяких впнов горбатых и дурных... большой текст свёрнут, показать | | |
| |
| 6.60, vi (?), 10:24, 03/05/2014 [^] [^^] [^^^] [ответить] | +/– | Тут момент не такой простой, как кажется Копипастить это не очень хорошо хотя ... большой текст свёрнут, показать | | |
| 6.68, Аноним (-), 07:50, 05/05/2014 [^] [^^] [^^^] [ответить]
| +/– | |
>А также простейшего отстрела особо наглых брутфорсеров
тю!
# ssh input
iptables -A INPUT -p tcp --dport ssh -m state --state NEW \
-m hashlimit --hashlimit-name 'ssh' --hashlimit-mode srcip \
--hashlimit 1/min --hashlimit-burst 3 -j ACCEPT
# log ssh above limits
iptables -A INPUT -p tcp --dport ssh -m state --state NEW -m limit --limit 3/min \
-j LOG --log-prefix 'ssh_flood:'
| | |
| |
| 7.69, pavel_simple (ok), 07:57, 05/05/2014 [^] [^^] [^^^] [ответить]
| +/– |
 >[оверквотинг удален]
> # ssh input
> iptables -A INPUT -p tcp --dport ssh -m state --state NEW \
> -m hashlimit --hashlimit-name 'ssh'
> --hashlimit-mode srcip \
> --hashlimit 1/min --hashlimit-burst 3
> -j ACCEPT
> # log ssh above limits
> iptables -A INPUT -p tcp --dport ssh -m state --state NEW -m
> limit --limit 3/min \
> -j LOG --log-prefix 'ssh_flood:'
это практически сразу обходится использованием ботнета
| | |
| |
| 8.80, Аноним (-), 15:22, 15/05/2014 [^] [^^] [^^^] [ответить] | +/– | gt оверквотинг удален port knocking вообще обходится тупым сканированием порто... текст свёрнут, показать | | |
| |
| 9.81, Аноним (-), 15:24, 15/05/2014 [^] [^^] [^^^] [ответить] | +/– | gt оверквотинг удален а вообще у меня всё на ключах, пароль подбирать бесполез... текст свёрнут, показать | | |
|
|
|
|
|
|
| 3.29, бедный буратино (ok), 09:53, 01/05/2014 [^] [^^] [^^^] [ответить]
| +1 +/– |
 > С таким подходом, к OpenSSH, с его встроенными прокси и FTP-серверами
феерично.
надо было написать "с его встроенными прокси и FTP-серверами, поддержкой клавиатуры, мыши, винды".
воинствующая некомпетентность сменилась генератором случайных фраз. пал, пал опеннет.
ps. Ну когда там 5.5? Сижу жду!
| | |
| |
| 4.37, Аноним (-), 16:22, 01/05/2014 [^] [^^] [^^^] [ответить]
| +/– | |
> воинствующая некомпетентность сменилась генератором случайных фраз.
Мне казалось что у тебя и то и другое было всегда. Ты чего-то путаешь.
> пал, пал опеннет.
Трава была зеленее? Солнце светило ярче?
| | |
| |
| 5.39, бедный буратино (ok), 17:57, 01/05/2014 [^] [^^] [^^^] [ответить]
| –2 +/– | |
> Мне казалось что у тебя и то и другое было всегда. Ты чего-то путаешь.
Разумеется, если человек будет разговаривать с нимфузориями-туфельками, те его никогда не поймут. Для них он - большая чёрная туча.
> Трава была зеленее? Солнце светило ярче?
Беседы были компетентнее, смысла было больше, шаблонных ответов в разы меньше (такое ощущение, что сейчас пишут не для того, чтобы обсудить, а для того, чтобы отметиться). Уровень комментариев не просто упал, он насквозь пробил дно. Информации в комментариях практически нет, а та, что есть - просто поражает. Я не могу представить, чтобы пять лет назад кто-то заявил, что "в openssh есть ftp-сервер и прокси". Это что-то в духе "в Миг-29 есть воздух и кальций".
| | |
| |
| 6.43, Аноним (-), 20:08, 01/05/2014 [^] [^^] [^^^] [ответить]
| +2 +/– | |
> Беседы были компетентнее, смысла было больше, шаблонных ответов в разы меньше
Если честно, я не припоминаю - когда и в каком месте ты сказал хоть что-то компетентное. Или ты под амебами себя имел в виду?
> Уровень комментариев не просто упал, он насквозь пробил дно.
Весьма зависит от темы и участников, имхо. Если брать твоих коллег по цеху, бсдшников, типа изенов - там да, п...ц полный, конечно. Ламер на ламере и ламером погоняет.
> заявил, что "в openssh есть ftp-сервер и прокси". Это что-то в
> духе "в Миг-29 есть воздух и кальций".
Да, данные комментарии и правда поражают ... каким либо отсутствием смысла. Я про твой комментарий, если что.
| | |
|
|
|
| 3.54, Аноним (-), 18:05, 02/05/2014 [^] [^^] [^^^] [ответить]
| +/– |
>> D. J. Bernstein рулит!
> Он, кажется, говорил, что чем меньше всяких функций и наворотов, тем более
> безопасно ПО.
> С таким подходом, к OpenSSH, с его встроенными прокси и FTP-серверами, не
> стоит прикасаться даже десятиметровой палкой.
Покажите лучший вариант решения предлагаемой проблемы. Не в стиле "тупо надо так", а подробно, как именно вы предлагаете заменить каждый из спорных узлов SSH. Так, чтобы суммарная сложность соответствующих решений понизилась, ведь об этом речь, правильно?
| | |
| 3.57, Псевдоним (ok), 21:51, 02/05/2014 [^] [^^] [^^^] [ответить]
| +/– |
 sftp сервер и клиент - это отдельные программы.
Функциональность socks proxy очень близка к основной функциональности самого ssh, а именно, созданию универсальных шифроканалов (а ты думал, что предоставление удаленного шелла? это только частный случай общей функциональности).
| | |
| |
| 4.62, vlikhachev (ok), 20:30, 03/05/2014 [^] [^^] [^^^] [ответить]
| +/– |
 > sftp сервер и клиент - это отдельные программы.
> Функциональность socks proxy очень близка к основной функциональности самого ssh, а именно,
> созданию универсальных шифроканалов (а ты думал, что предоставление удаленного шелла?
> это только частный случай общей функциональности).
А можно уточнить, зачем ВОБЩЕ нужно использовать socks proxy в nix среде? То есть прокси уровня приложения, а не протокола? Исключая офтопик, где других рабочих решений всего одно (winipfw, кажется)...
| | |
|
|
|
| |
| |
| 3.6, V (??), 23:02, 30/04/2014 [^] [^^] [^^^] [ответить]
| –4 +/– |
"А мне вот системды очень нравится. удобный очень. сказал человек, что «системды хорошо и прогресс» — и сразу ясно, что больше с таким человеком серьёзно говорить не о чем." © arisu
| | |
| |
| 4.7, Аноним (-), 23:41, 30/04/2014 [^] [^^] [^^^] [ответить]
| –1 +/– |
С arisu вообще очень сложно говорить на нормальные темы. Все время в нецензурщину съезжает.
| | |
| |
| 5.11, Xaionaro (ok), 23:54, 30/04/2014 [^] [^^] [^^^] [ответить]
| –2 +/– |
 Но-но! arisu -- очень даже адекватный человек и попусту не ругается. А ругань подкрепляет аргументами.
| | |
| |
| |
| Часть нити удалена модератором |
| 7.15, Куяврег (?), 01:06, 01/05/2014 [^] [^^] [^^^] [ответить]
| +/– |
да ладно. очень многое он говорит по делу. ну зарубает временами на пару тем, но кто ж без этого?
| | |
|
| 6.28, arisu (ok), 09:37, 01/05/2014 [^] [^^] [^^^] [ответить]
| +/– |
> Но-но! arisu -- очень даже адекватный человек и попусту не ругается. А
> ругань подкрепляет аргументами.
справедливости ради: всегда могу, но не всегда хочу. особенно если предмет разговора или стопицот раз уже обсуждали со всех сторон, или неправота оппонента будет очевидна, если оппонент возьмёт на себя труд немного разобраться в области, в которой вещает.
впрочем, если оппонент адекватен и спокойно переспросит — скорее всего или расскажу, или скажу, по каким ключевым словам поисковик мучать.
| | |
|
| 5.27, arisu (ok), 09:34, 01/05/2014 [^] [^^] [^^^] [ответить]
| +/– |
> С arisu вообще очень сложно говорить на нормальные темы. Все время в
> нецензурщину съезжает.
так решение простое: не будь дураком. не городи чуши, не высказывайся в темах, где ты ничего не понимаешь — и всё. а если я вижу дурака — то и разговариваю с ним как с дураком.
| | |
| |
| 6.30, Аноним (-), 09:57, 01/05/2014 [^] [^^] [^^^] [ответить]
| –1 +/– |
держать других за дураков - суть недалекости вершина.
как невежества и глупости - признак категоричности.
| | |
| |
| 7.31, arisu (ok), 10:05, 01/05/2014 [^] [^^] [^^^] [ответить]
| –1 +/– |
> держать других за дураков - суть недалекости вершина.
> как невежества и глупости - признак категоричности.
а вот ещё хороший признак дурака: псевдоумные фразы. дурак их сам не понимает, правильно применять поэтому не умеет, но уверен, что стоит такую фразу ввернуть — и сразу все подумают, что он не дурак, а вовсе даже умный и глубокомысленный.
| | |
| 7.38, Аноним (-), 16:24, 01/05/2014 [^] [^^] [^^^] [ответить]
| +/– | |
> держать других за дураков - суть недалекости вершина.
Это еще как сказать: в 95% случаев он угадывает, ибо 95% населения - ... :)
> как невежества и глупости - признак категоричности.
Обычно у arisu весьма взвешенная и продуманная позиция, которую он может рационально обосновать. Поэтому даже если он иногда себя ведет не лучшим образом, его слова в 95% случаев - чистейшая правда. Даже если она и звучит обидно временами.
| | |
|
|
| 5.49, ы (?), 21:58, 01/05/2014 [^] [^^] [^^^] [ответить]
| –1 +/– |
А что, тема переключилась на обсуждение и..нутого юзера с неоднозначным ником?
С каких пор тут обсуждают мизантропов?
| | |
| |
| 6.52, arisu (ok), 00:15, 02/05/2014 [^] [^^] [^^^] [ответить]
| –1 +/– | |
> с неоднозначным ником?
и что там «неоднозначного»? Элис Купер смотрит на тебя как на…
| | |
|
|
|
|
| 2.8, Аноним (-), 23:42, 30/04/2014 [^] [^^] [^^^] [ответить]
| +/– | |
> модульность --- это плюс
Не модульность, а самодостаточность. Сначала свою SSL-библиотеку, потом свою libc, потом свое ядро... В принципе, все это уже есть, осталось сколотить гвоздями покрепче.
| | |
| 2.18, Аноним (-), 07:31, 01/05/2014 [^] [^^] [^^^] [ответить]
| +/– |
"кирпичность" - это минус.
видали и в винде и в ядре линукс.
только хардкор !!
| | |
|
| 1.12, Xasd (ok), 00:26, 01/05/2014 [ответить] [﹢﹢﹢] [ · · · ]
| –1 +/– |
 > При сборке без OpenSSL в OpenSSH будут доступны только алгоритмы curve25519, aes-ctr, chacha20+poly1305 и ed25519, ...
ха! то есть получается что свои функции SSH будет выполнять как ни в чём не бывало!
ещё бы они "chacha20+poly1305" сделали бы поумолчанию (как приоритетный алгоритм) -- и было бы вообще замечательно..
| | |
| |
| |
| 3.67, Xasd (ok), 02:43, 04/05/2014 [^] [^^] [^^^] [ответить]
| +/– | |
ну и где по ссылке написанно что "chacha20+poly1305" якобы стал приоритетным алгоритмом?
[quote]
В ssh и sshd добавлен новый транспортный протокол "chacha20-poly1305@openssh.com" на основе алгоритмов потокового шифра ChaCha20 и аутентификации сообщений Poly1305-AES, разработанных Дэниэлом Бернштейном. Алгоритмы ChaCha20 и Poly1305-AES созданы специально для обеспечения наивысшей безопасности при наименьших вычислительных затратах. Программная реализация алгоритмов позволяет добиться фиксированного времени выполнения без задействования специальной аппаратной поддержки.
[/quote]
внимательно прочитай (в том числе и исходники) и догадайся уже наконец что "chacha20+poly1305" лишь только добавлен как опция.
а по умолчанию (приоритетно) -- всё тот же AES как и раньше..
| | |
|
|
| |
| 2.35, Аноним (-), 16:01, 01/05/2014 [^] [^^] [^^^] [ответить]
| +2 +/– |
Да, клево там:
> DJB is the worst kind of asshole too: he's almost always right. So you shouldn't
> just ignore him. Meh, justified arrogance still annoys.
А на местного arisu за что-то такое наезжают... он конечно не DJB, но все-таки :)
| | |
| |
| 3.51, arisu (ok), 00:08, 02/05/2014 [^] [^^] [^^^] [ответить]
| +/– |
> А на местного arisu за что-то такое наезжают... он конечно не DJB,
> но все-таки :)
ну так я наглее, я ещё и кода не показываю. а это совсем уже нестерпимо.
| | |
| |
| 4.58, Аноним (-), 23:04, 02/05/2014 [^] [^^] [^^^] [ответить]
| –1 +/– | |
> ну так я наглее, я ещё и кода не показываю.
Ну если Берштейновский код мне как-то может быть полезен, насчет твоего кода я как-то сильно менее уверен по этому поводу. Так что большой вопрос - насколько велика потеря.
| | |
|
|
|
| |
| 2.25, Аноним (-), 08:24, 01/05/2014 [^] [^^] [^^^] [ответить]
| +/– | |
> В догонку: в самой OpenBSD OpenSSH не линковался с OpenSSL
А что он при этом делал до внедрения curve25519/poly1305/chacha?
| | |
| 2.55, Аноним (-), 18:10, 02/05/2014 [^] [^^] [^^^] [ответить]
| +/– | |
> В догонку: в самой OpenBSD OpenSSH не линковался с OpenSSL
Линковался, но в OpenBSD её (линковку) отключили раньше.
| | |
|
| 1.34, Аноним (-), 15:49, 01/05/2014 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
SSH-1 - устаревший протокол, давно нужно было перейти всем на современный мейнстрим.
| | |
| |
| 2.56, Аноним (-), 18:15, 02/05/2014 [^] [^^] [^^^] [ответить]
| +1 +/– | |
> SSH-1 - устаревший протокол, давно нужно было перейти всем на современный мейнстрим.
Кто ж спорит. В OpenSSH он по умолчанию уже давно отключён - впрочем, это в OpenBSD, а так в каждой ОС и каждом дистре могут быть свои дефолты. Вот только есть и работает ещё куча железа (роутеры всякие), умеющие только SSH-1. И спасибо, что SSH-1, а не голый telnet.
| | |
| |
| 3.61, anonymous (??), 12:43, 03/05/2014 [^] [^^] [^^^] [ответить]
| +/– |
>> SSH-1 - устаревший протокол, давно нужно было перейти всем на современный мейнстрим.
> Кто ж спорит. В OpenSSH он по умолчанию уже давно отключён -
> впрочем, это в OpenBSD, а так в каждой ОС и каждом
> дистре могут быть свои дефолты. Вот только есть и работает ещё
> куча железа (роутеры всякие), умеющие только SSH-1. И спасибо, что SSH-1,
> а не голый telnet.
Разница невелика, ssh-1 давно взломан.
Вообще управление оборудованием должно быть в отдельном сегменте сети, доступном через vpn.
А что там дальше - telnet или ssh - уже не так важно.
| | |
| |
| 4.63, vlikhachev (ok), 20:36, 03/05/2014 [^] [^^] [^^^] [ответить]
| +/– | |
> Вообще управление оборудованием должно быть в отдельном сегменте сети,
Cогласен полностью
> доступном через vpn.
А вот тут возможны варианты... И даже необходимы, IMHO...
> А что там дальше - telnet или ssh - уже не так
> важно.
Да при выносе оборудования в отдельный сегмент сети и грамотном разграничении доступа туда ssh представляется несколько даже избыточным... Разве что производитель железки его требует...
| | |
|
|
|
|
