The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Уязвимость в гипервизоре VMM, развиваемом OpenBSD, оказалась исправлена не полностью

23.02.2020 09:41

После анализа исправления выявленной на прошлой неделе уязвимости в развиваемом проектом OpenBSD гипервизоре VMM, обнаруживший проблему исследователь сделал вывод, что предложенный пользователям патч не устраняет проблемы. Исследователь указал, что проблема возникает не из-за смежного распределения физических адресов гостевой системы (GPA, Guest Physical Address), как и физических адресов хост-системы (HPA). При пересечении структурой страницы памяти гостевая система по-прежнему может перезаписать содержимое областей памяти ядра хост-окружения.

Уязвимость выявил Максим Виллард (Maxime Villard), автор применяемых в NetBSD механизма рандомизации адресного пространства ядра (KASLR, Kernel Address Space Layout Randomization) и гипервизора NVMM.

  1. Главная ссылка к новости (https://www.reddit.com/r/linux...)
  2. OpenNews: Уязвимость в гипервизоре VMM, развиваемом проектом OpenBSD
  3. OpenNews: Полностью свободный Linux-дистрибутив Hyperbola трансформируется в форк OpenBSD
  4. OpenNews: Уязвимость в ld.so OpenBSD
  5. OpenNews: Уязвимости в OpenBSD, позволяющие повысить привилегии и обойти аутентификацию в smtpd, ldapd и radiusd
  6. OpenNews: Выпуск OpenBSD 6.6
Лицензия: CC-BY
Тип: Проблемы безопасности
Короткая ссылка: https://opennet.ru/52418-openbsd
Ключевые слова: openbsd, vmm, virtual
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (163) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (1), 09:46, 23/02/2020 Скрыто модератором [﹢﹢﹢] [ · · · ]
  • +6 +/
     
     
  • 2.3, A.Stahl (ok), 10:03, 23/02/2020 Скрыто модератором
  • –2 +/
     
     
  • 3.39, псевдонимус (?), 16:17, 23/02/2020 Скрыто модератором
  • –6 +/
     
     
  • 4.46, A.Stahl (ok), 16:42, 23/02/2020 Скрыто модератором
  • +4 +/
     
     
  • 5.61, псевдонимус (?), 18:48, 23/02/2020 Скрыто модератором
  • +1 +/
     
  • 3.63, Аноним (-), 19:17, 23/02/2020 Скрыто модератором
  • +1 +/
     
  • 2.32, Аноним (32), 15:54, 23/02/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > кошмар, ужас то какой, и как теперь с этим жить

    Придётся кричать о своей супмер-мега неуязвимости ещё громче, повторять эту мантру чаще, и поливать окружающих фeкалиями ещё активнее, если это возможно.

     
     
  • 3.50, EnemyOfDemocracy (?), 16:53, 23/02/2020 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Ну линуксоиды же кричат, что линукс готов для десктопа.
     
     
  • 4.53, отоларинголог (?), 17:20, 23/02/2020 [^] [^^] [^^^] [ответить]  
  • +2 +/
    откройте рот... так, закройте. Не вижу патологии, мешающей вам тоже кричать.
     
     
  • 5.56, Аноним (-), 17:47, 23/02/2020 [^] [^^] [^^^] [ответить]  
  • +5 +/
    > откройте рот... так, закройте. Не вижу патологии, мешающей вам тоже кричать.

    Не в рот нужно было глядеть, а в кошелек - главные кричатели и объявители "года линукса" делают это почему-то с макоси.

    А вообще, прикольно - новость о внутренней шняге гипервизора в (опен)БСД. Набежали линухоиды и под вопли "Это не линукс? А почему не линукс? И чем линукс не лучше ваших бздей?" засра#ли все обсуждение.
    ЧСХ - спросишь "зачем вы вообще приперлись в новость о бсд" - внятного ответа (т.е. не в стиле "да ты виндузятник! И вообще!") не будет.

     
     
  • 6.73, Аноним (73), 20:30, 23/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > лавные кричатели и объявители "года линукса" делают это почему-то с макоси.

    Красивый перевод стрелок. Но нет.

     
     
  • 7.74, Аноним (-), 20:45, 23/02/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >> лавные кричатели и объявители "года линукса" делают это почему-то с макоси.
    > Красивый перевод стрелок.

    С чего и куда, пингвиненок?

    > Но нет.

    Главное, усиленно мотать головой, повторяя "не-не-не-нееее-вы-вссссееее-вреееетииии!"?

    https://itsfoss.com/linux-foundation-head-uses-macos/
    > Linux Foundation Head Calls 2017 ‘Year of the Linux Desktop’… While Running Apple’s macOS Himself

    https://developers.redhat.com/blog/tag/os-x/
    > Senior Solutions Architect, Red Hat
    > By Rarm Nagalingam February 12, 2020
    > I have a problem. My daily laptop is a MacBook Pro, which is great unless you want to dual boot into Linux and develop on containers
    >

     
     
  • 8.75, Аноним (75), 20:57, 23/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Эти рожи к линуксу относятся только попытками купоны стричь Особенно достави... текст свёрнут, показать
     
     
  • 9.87, Аноним (87), 21:43, 23/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Ага Что там какой-то CEO Linux Foundation начиная с и продолжая поддержкой con... большой текст свёрнут, показать
     
     
  • 10.97, Аноним (97), 23:03, 23/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Угу Некое достаточно левое тело Угу, еще давайте изучим чем президент сорсфор... большой текст свёрнут, показать
     
  • 6.172, Аноним (172), 08:46, 29/02/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > новость о внутренней шняге гипервизора в (опен)БСД. Набежали линухоиды

    Линукс на серверах и десктопах, а опенка держим на маршрутизатора.

    Так что покричать на Тео и внедряемые им дыры в защите памяти имеем.

     

     ....большая нить свёрнута, показать (15)

  • 1.2, Аноним (2), 09:54, 23/02/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Ну не полность так не полностью.
     
  • 1.4, Аноним (4), 10:06, 23/02/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +10 +/
    Не многовато ли внимания сабжу? Все разумные люди и так знают, чего он стоит. А вот netbsd и правда молодцы, и я не помню чтобы они мерзко себя вели.
     
     
  • 2.7, Аноним (7), 10:34, 23/02/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >Все разумные люди и так знают, чего он стоит.

    Откуда, если сообщения об уязвимостях только сейчас пошли?

     
     
  • 3.10, Аноним (4), 11:19, 23/02/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Факап с libressl был очень массивным, и последующие заявления разрабов не красили. Что-то мне подсказывает, что предпосылки были и раньше, например эти их глупые подколки в сторону гпл странно выглядят… Видимо, не зря автора попросили из проекта.
     
     
  • 4.11, Аноним (11), 11:54, 23/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Что за факап?
     
     
  • 5.16, Аноним (4), 12:56, 23/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    https://www.agwa.name/blog/post/libressls_prng_is_unsafe_on_linux
     
     
  • 6.21, Аноним (11), 14:15, 23/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    И в чём факап?
     
     
  • 7.22, Аноним (4), 14:21, 23/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    В том, что автор опенка заявил, будто у него всё норм, а линуксоиды сами виноваты и пусть сами исправляют, если им надо. Напомню, что библиотека позиционировалась как более безопасная замена openssl (и появилась на волне хайпа эпических уязвимостей openssl).
     
     
  • 8.27, пох. (?), 15:12, 23/02/2020 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Скопипастив в себя абсолютно все, вявленные после форка Вот ни одна, почему-то,... текст свёрнут, показать
     
     
  • 9.45, ssh (ok), 16:37, 23/02/2020 [^] [^^] [^^^] [ответить]  
  • –2 +/
    По факту, тут твоего кода тоже никто не видел и ревью не получал Так что зак... текст свёрнут, показать
     
  • 9.93, Аноним (93), 22:49, 23/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Мсье ткнуть в CVE, затрагивающие OpenSSL и не затрагивающие LibreSSL, или он сам... текст свёрнут, показать
     
     
  • 10.101, ssh (ok), 02:03, 24/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Ничего не изменится, мусье принадлежит к группе борцов за все хорошее, супер-спо... текст свёрнут, показать
     
  • 10.117, пох. (?), 12:21, 24/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    вы ж читать все равно не умеете, чего вам тыкать Там полторы проблемы, проявляю... большой текст свёрнут, показать
     
  • 8.57, Аноним (-), 17:52, 23/02/2020 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Цитируем Но да, если уж не различать между автором и основателем, то все ос... текст свёрнут, показать
     
     
  • 9.58, Аноним (4), 17:56, 23/02/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Так этого и нет по ссылке Что ты там цитируешь ... текст свёрнут, показать
     
     
  • 10.59, Аноним (-), 18:04, 23/02/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Там и автор опенка заявил, будто у него всё норм, а линуксоиды сами виноваты т... текст свёрнут, показать
     
     
  • 11.60, Аноним (4), 18:27, 23/02/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Именно это он и сказал, я наблюдал ситуацию в реальном времени С тех пор не мог... текст свёрнут, показать
     
     
  • 12.77, Аноним (75), 21:01, 23/02/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    В этом месте они таки забили последний гвоздь в крышку своего хайпа про улучшенн... текст свёрнут, показать
     
     
  • 13.102, ssh (ok), 02:08, 24/02/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Существует тонкий момент, указанный хайп существует только в воспаленном сознани... текст свёрнут, показать
     
     
  • 14.105, Аноним (-), 02:52, 24/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Если результат их занятий делом выглядит так как тот тестовый пример - грош ему ... текст свёрнут, показать
     
     
  • 15.108, ssh (ok), 07:59, 24/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Они в полном праве заниматься чем им вздумается Я говорил лишь о том, что никак... текст свёрнут, показать
     
     
  • 16.131, пох. (?), 15:03, 24/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    они в полном праве хоть на кожанной флейте дудеть - а мы в полном праве считать ... текст свёрнут, показать
     
     
  • 17.146, ssh (ok), 23:10, 24/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Такое ощущение друже, что во времена когда ты был помоложе тебе Тео присунул и н... текст свёрнут, показать
     
  • 16.149, Аноним (-), 12:21, 25/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Ну не знаю, пиару поразвели вполне себе И вообще, в чем пойнт кивать что секури... текст свёрнут, показать
     
     
  • 17.152, ssh (ok), 12:58, 25/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Имхо огромная разница между пиаром и хайпом Где говоришь они пиару развели, на ... текст свёрнут, показать
     
     
  • 18.155, Аноним (-), 07:21, 26/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Да ну ладно Хайп это всего лишь особо наглый и шумный вид пиара, так что они бл... большой текст свёрнут, показать
     
     
  • 19.156, ssh (ok), 08:25, 26/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Ну это всякий хайп это пиар, но не наоборот Повторюсь, я считаю, что внут... большой текст свёрнут, показать
     
     
  • 20.165, Аноним (-), 12:52, 26/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Ну, во всяком случае, говоря за себя - я теперь при выборе софта дважды подумаю ... текст свёрнут, показать
     
  • 21.168, ssh (ok), 16:47, 26/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Выбор решений сейчас та еще боль, вне зависимости от OpenBSD или нет А почему н... текст свёрнут, показать
     
  • 7.76, Аноним (75), 20:59, 23/02/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > И в чём факап?

    Наверное, в том что с секурити вышло хуже чем у openssl? Для проекта рассказывающего про безопасность это, извините, падение рожей в чан с дерьмом, без вариантов. Потому что сделать хуже чем в openssl - это еще талант в написании несекурного кода иметь надо!

     
     
  • 8.112, Аноним (112), 11:39, 24/02/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Какой такой обсёр в дебиане Пруф можно ... текст свёрнут, показать
     
     
  • 9.128, Аноним84701 (ok), 12:58, 24/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    https www schneier com blog archives 2008 05 random_number_b html ... текст свёрнут, показать
     
  • 8.118, пох. (?), 12:26, 24/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    это не дыра, не дыра, не дыра Харя Тео, Харя, Харя В openssl, кстати, бывало... текст свёрнут, показать
     
  • 7.92, Тфьу (?), 22:06, 23/02/2020 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Они выкидывали куски кода со словами - все что сложно нам не нужно, при этом не понимая и не пытаясь разобраться зачем там этот код. Результат оказался закономерен. Сам по себе баг был не столь значителен, однако же он явно показал уровень и бздунов и результата их работы. Примерно та же история что и с обсером в дебиане.
     
  • 6.94, Аноним (93), 22:57, 23/02/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Даже автор заметки прямо пишет:

    > However, it is evidence of a design flaw not in the cryptographic library, but in the operating system. Unfortunately, Linux provides no reliable way to detect that a process has forked, and exposes entropy via a device file instead of a system call.

    То есть разработчики OpenBSD/LibreSSL столкнулись с несовершенством Linux в пререлизной версии либы, исправили эту проблему к релизу, но пингвинофанатики всё равно называют это факапом. Ну так мы вам тогда столько факапов в одном только ядре найдём...

     
     
  • 7.96, Тфьу (?), 23:02, 23/02/2020 Скрыто модератором
  • +4 +/
     
  • 7.106, Аноним (106), 02:59, 24/02/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > То есть разработчики OpenBSD/LibreSSL столкнулись с несовершенством Linux в пререлизной
    > версии либы,

    В каком месте "идиотская реализация апи" с уберстремными допущениями в процессе является "несовершенством Linux"? У openssl апи и так то хромые на обе ноги, а если это еще и вот так имплементить - безопасТность начнет переть из всех щелей.

    И таки
    1) "Linux provides no reliable way to detect that a process has forked" звучит весьма странно.
    2) Оригинал "улучшенного" кода проблемой как я понимаю не страдал.
    3) Таки уже и через сискол. Но не все версии.

    > столько факапов в одном только ядре найдём...

    Ну, найдите.

     
     
  • 8.132, пох. (?), 15:10, 24/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    в оригинале проблема была мелкой И никому кроме белок-истерическ, скорее всего,... большой текст свёрнут, показать
     
     
  • 9.150, Аноним (75), 12:37, 25/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Скорее всего - тоже так себе в случае крипто В дебиане вон пропатчили так раз... большой текст свёрнут, показать
     
  • 9.151, Аноним (151), 12:41, 25/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    О, кста, хорошо что напомнил я тут DJB баг задолжал Это все ж поинтереснее чем... текст свёрнут, показать
     
  • 2.13, Аноним (13), 12:11, 23/02/2020 [^] [^^] [^^^] [ответить]  
  • –5 +/
    Они ничего не делают вот и не могут везти себя мерзко.
     
  • 2.65, Аноним (65), 19:40, 23/02/2020 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Мерзко ведут себя как раз именно они.
    Да и историю про Тео и появление опенка мы все помним.
     
     
  • 3.68, Аноним (-), 20:04, 23/02/2020 [^] [^^] [^^^] [ответить]  
  • +5 +/
    > историю про Тео

    какую именно? там где он переехал в др. страну как трус дабы избежать армии? или его истерики и бабские визги со скандалами? или то как его за чсв и отвратительное поведение попросили на выход из netbsd? какую именно историю?

     
     
  • 4.72, Аноним (-), 20:28, 23/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > там где он переехал в др. страну как трус дабы избежать армии?

    Че, не мог даже, как все приличные люди-не-лохи, дать на лапу или задействовать связи родаков? Ну тогда да, рофллол!

     
  • 4.95, Аноним (93), 23:00, 23/02/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Есть некоторая разница между «попросили» и «без предупреждения лишили commit bit одного из основателей». Там обе стороны были хороши.
     
     
  • 5.98, Аноним (97), 23:10, 23/02/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Есть некоторая разница между «попросили» и «без предупреждения лишили
    > commit bit одного из основателей». Там обе стороны были хороши.

    А потом пришел Торвальдс и сделал commit bit obsolete :)

     

     ....большая нить свёрнута, показать (44)

  • 1.5, б.б. (?), 10:09, 23/02/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • –3 +/
    > Уязвимость выявил Максим Виллард (Maxime Villard), автор применяемых в NetBSD

    происки конкурентов :)

    типа "у вас ошибка там, там и там. ищите!" :)

     
     
  • 2.31, Аноним (32), 15:51, 23/02/2020 [^] [^^] [^^^] [ответить]  
  • +5 +/
    Видимо, Макс рассчитывал, что имеет дело с профессиональными программистами, которые увидят суть проблемы без резжёвывания.
     
     
  • 3.66, Аноним (65), 19:42, 23/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Видимо, кто-то не понимает, что публичные багрепорты так не делаются.
     
     
  • 4.69, Аноним (-), 20:07, 23/02/2020 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > Видимо, кто-то не понимает, что публичные багрепорты так не делаются.

    Багрепорт как багрепорт. Просто кодеры из опенки по сравнению с Максом детвора детворой. Зато визгу от openbsd и хайпа на весь мир. Хотя последние несколько месяцев какая-то контора показала, что баги в нутрях опёнка довольно примитивные. NetBSD и то будет защищённее (даже согласно статам на cvedetails).

     
     
  • 5.78, Аноним (-), 21:03, 23/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > последние несколько месяцев какая-то контора показала, что баги в нутрях опёнка
    > довольно примитивные. NetBSD и то будет защищённее (даже согласно статам на cvedetails).

    У более приличных проектов их, видите ли, instrumentation отлавливает нынче. Но навернуть тесты и fuzzing канительнее чем песенки про всяких лохов сочинять.

     
  • 4.71, Аноним (-), 20:23, 23/02/2020 [^] [^^] [^^^] [ответить]  
  • +9 +/
    Просто тут видно невооруженным глазом разницу в уровне профессионализма между Maxime Villard'ом (из NetBSD) и детворой из OpenBSD.

    In vmm_update_pvclock():




    6868 pvclock_gpa = vcpu->vc_pvclock_system_gpa & 0xFFFFFFFFFFFFFFF0;  <-- controlled by the guest
    6869 if (!pmap_extract(vm->vm_map->pmap, pvclock_gpa, &pvclock_hpa))
    6870 return (EINVAL);
    6871 pvclock_ti = (void*) PMAP_DIRECT_MAP(pvclock_hpa);
    6872
    6873 /* START next cycle (must be odd) */
    6874 pvclock_ti->ti_version =
    6875     (++vcpu->vc_pvclock_version << 1) | 0x1;


    Three things are wrong:

      1) The RO protections are not enforced, so the guest could have data be
         written to a GPA it can only access as RO.

      2) If 'pvclock_ti' crosses a page, its second half could point to an HPA
         that doesn't belong to the guest. The guest can therefore, to some
         limited extent, overwrite host kernel memory.

      3) The pmap is not locked, so if the GPA gets unmapped and its
         corresponding HPA recycled, there is a small window where the (new)
         content of the HPA can get overwritten.

    There is, in fact, a fourth case. Watch closely. On AMD CPUs the NPTs are
    a regular pmap. The higher half of the GPA space is therefore mapped to
    host kernel memory as KVA. Given that there is no check on PG_u here, the
    guest can just put a host KVA in pvclock_gpa, and have its content be
    overwritten. This gives write-where ability for the guest.

    The OpenBSD kernel does not perform full ASLR, in that the PTE space and
    direct map are at static addresses (contrary to eg NetBSD where everything
    is randomized). These addresses are known. The guest can therefore use the
    static address of the direct map for example to write at whatever HPA by
    issuing the following instruction:

    wrmsr(KVM_MSR_SYSTEM_TIME, PMAP_DIRECT_MAP(hpa) | 1);

    This means the guest can overwrite whatever host kernel memory, and can
    control *where* to write. I have tested this, and it works.

    The guest can also choose *what* to write, because it just so happens that
    'vc_pvclock_version' is the number of VMEXITs that occurred with pvclock
    enabled, and the guest can reliably craft this value. So this is not just
    a write-where, this is a full guest-to-host write-what-where.

    Had there been proper ASLR, it still could have been somewhat bypassable,
    because VMD does a pass-through of RDMSR on AMD CPUs (??), which can leak
    HPAs such as HSAVE_PA.

    (Speaking about direct map, notice how an alignment bug in locore0.S
    causes the first 2MB of .text to be writable on Intel CPUs. So there is a
    static address that maps the kernel .text as writable.)

    There are additional assorted bugs and vulns that could be used to some
    degree:

      - On AMD CPUs the CPL check on XSETBV VMEXITs must be performed by
        software. VMD forgot to do that, so from guest-userland, we can control
        the XCR0 that guest-kernel will use.

      - This XSETBV issue actually has an additional ramification. Right now
        OpenBSD doesn't check that the guest XCR0 is a subset of the host XCR0,
        which means that the guest can use more FPU states than the host allows.
        It looks like this check was lost when fixing another bug I reported one
        year ago which could cause guest-to-host DoS.

      - The TLB handling of guest pages is broken, in that the INVEPT
        instructions in the host could be issued on the wrong CPUs. This means
        that if UVM decides to swap out a guest page, the guest could still
        access it via stale TLB entries. On AMD CPUs, there is no TLB handling
        at all (??).

      - vmx_load_pdptes is broken.

    In order to make this whole thing less of a security joke, I would suggest
    the following:

      - Fix TLB handling, sanitize the GPAs, lock the pages correctly.
      - Don't pass-through RDMSR.
      - Fix the XSETBV issues.
      - Provide *real* ASLR: randomize the PTE space and the direct map.
      - Fix the alignment bug in the direct map to not map the text as writable.

    Maxime Villard

    После того как он всё это разжевал, разумеется, что ему было дико нелепо видеть нубский патч от OpenBSD.




    >[оверквотинг удален]
    > Module name: src
    > Changes by: mortimer@cvs.openbsd.org 2020/02/15 15:59:55
    >
    > Modified files:
    > sys/arch/amd64/amd64: vmm.c
    >
    > Log message:
    > Add bounds check on addresses passed from guests in pvclock.
    >
    > Fixes an issue where a guest can write to host memory by passing bogus addresses.

    I'm a bit confused here. It is not because the GPAs are contiguous that the
    HPAs are too. If the structure crosses a page, the guest still can write to
    host memory.


    Вот тебе и ку-ка-ре-ку самая безопасная в мире ОС OpenBSD ку-ка-ре-ку. Добавить тут особенно нечего... Ах, да, Макс уже тонко троллирует ребят из OpenBSD, используя фразы а-ля




    In order to make this whole thing less of a security joke



     
  • 4.89, Аноним (89), 21:45, 23/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Как "так" не делаются?

    Вот репорт:
    https://marc.info/?l=openbsd-tech&m=158176939604512&w=2

    Я даже не знаю, как тут подробнее разжевать. Начать с алфавита английского языка, что ли?

     
  • 4.120, пох. (?), 12:33, 24/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > Видимо, кто-то не понимает, что публичные багрепорты так не делаются.

    угу. На коленях, смерд, подползать должон! Держа в зубах готовый патч, непременно одобренный не меньше чем шестью виликими разработчиками!

    Желательно не ранее чем через пятнадцать лет после того как уговоришь этот патч принять.

    Публичные багрепорты именно так и делаются - нашел баг - зарепортил публике. Если и дал время на исправление - это твоя добрая воля, и не более того.


     

  • 1.6, анонимчик (?), 10:23, 23/02/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Чтото многовато дыр в самой безопасной bsd... А я еще хотел ее зающатт после void.
    А чтож там во всяких фряхах происходит?
     
     
  • 2.8, б.б. (?), 10:48, 23/02/2020 [^] [^^] [^^^] [ответить]  
  • –2 +/
    vmm заюзать? по-моему, медленный он какой-то
     
     
  • 3.80, Аноним (-), 21:09, 23/02/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > vmm заюзать? по-моему, медленный он какой-то

    А с такими багами он еще и пожалуй к обратному эффекту приведет - ежели guest да вдруг кернельную память могет патчить, ухтыблин, безопасность какая...

     
  • 2.12, Аноним (12), 11:59, 23/02/2020 [^] [^^] [^^^] [ответить]  
  • –3 +/
    Фряха в этом вопросо обходится без помощи разрабов из NetBSD. Подпишитесь на их рассылку - будете получать уведомления о выявленных уязвимостях и просто ошибках, если вам интересно.
     
     
  • 3.121, пох. (?), 12:37, 24/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > Фряха в этом вопросо обходится без помощи разрабов из NetBSD.

    Да, не хотят, гады, помогать. Правда, спасибо что хоть и поиздеваться не приходят (наверняка потыкав пальчиком в прекрасный bhyve можно тоже нарыть много интересного - но неинтересно, никому)

    > Подпишитесь на их рассылку - будете получать уведомления о выявленных уязвимостях

    а как получать уведомления о невыявленных?

    > и просто ошибках, если вам интересно.

    нет.

     
  • 2.14, Аноним (13), 12:15, 23/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Если верить графикуhttps://upload.wikimedia.org/wikipedia/commons/thumb/7/75/Bsd_distributions_us
    то дрегонфлай бзд самая безопасная. По тому как самая не нужная.
     
     
  • 3.17, Аноним (4), 13:01, 23/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Вообще, стрекоза няшная. Если сможешь побороть ежеминутные паники (в дефолтном конфиге), у тебя будет шанс попробовать себя в патчении дров и софта. Самая интересная наверное. Правда фс страшновато доверять ценные данные.
     
     
  • 4.153, Аноним (-), 16:12, 25/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > Правда фс страшновато доверять ценные данные.

    А он что, так плох?

     
     
  • 5.154, Аноним (4), 16:19, 25/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Пару месяцев назад завезли fsck, в hammer2. Но если посыпется, ты её не исправишь никак. В теории сыпаться не должна, конечно. Ну, вот такое, btrfs же как-то пользовались. Главное, не забывать про бэкапы.
     
     
  • 6.157, Аноним (-), 10:40, 26/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    В btrfs оно по задумке осыпаться не должно Метаданные если девайсов более 1 в R... большой текст свёрнут, показать
     
  • 2.18, лютый жабби (?), 13:03, 23/02/2020 [^] [^^] [^^^] [ответить]  
  • –6 +/
    "А я еще хотел ее зающатт после void."

    Смешно. БЗДы на годы отстают от линуксов и разрыв увеличивается.
    Поставь CENTOS, включи и настрой selinux и расслабься.

     
     
  • 3.19, анонн (ok), 13:37, 23/02/2020 [^] [^^] [^^^] [ответить]  
  • +12 +/
    > и разрыв увеличивается.

    Причем, особо сильное увеличение разрыва наблюдается на опеннете, у анонимных комментаторов в новостях к бздам.

     
     
  • 4.23, Аноним (23), 14:40, 23/02/2020 [^] [^^] [^^^] [ответить]  
  • –7 +/
    Докера нету. ТензорФлова тоже нету. Кубернетеса тоже нету. IntelliJ IDEA Ultimate Edition тоже нету. Android Studio тоже нету. Людям, перешедшим с линукса на bsd, добавляется новая перманентная головная боль "а есть ли это в бзд? а портировали ли?"

    У бзд перед линуксом я вижу только одно гигантское преимущество: capitalism-friendly-лицензия без бессмысленных 1980-хиппи-лозунгов и кучи ограничений (id est несвобод).

     
     
  • 5.24, anonymous (??), 15:00, 23/02/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    А не потому ли BSD отстаёт, что в Linux с лицензиями как-то покошернее? В частности, лицензия в Linux частично заставляет участников делиться друг с другом результатами труда.
     
     
  • 6.28, Аноним (23), 15:13, 23/02/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > в Linux с лицензиями как-то покошернее?

    Docker: ASL 2.0
    TensorFlow: ASL 2.0
    Kubernetes: ASL 2.0
    IntelliJ IDEA Ultimate Edition: проприетарная, открытая часть на ASL 2.0
    Android Studio: ASL 2.0

    Где здесь Ж-П-Эль? Ж-П-Эльнутый софт типа coreutils легко можно заменить бзд-альтернативами. Ну а киллер-софт, которого в бзд нет, не имеет к Ж-П-Эль никакого отношения.

     
     
  • 7.82, Аноним (82), 21:18, 23/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > Где здесь Ж-П-Эль? Ж-П-Эльнутый софт типа coreutils легко можно заменить бзд-альтернативами.
    > Ну а киллер-софт, которого в бзд нет, не имеет к Ж-П-Эль никакого отношения.

    Так это ж образцовая корпоративщина, вот дежурное корпоративное жлобство и запплаилось :)

     
  • 7.113, anonymous (??), 11:41, 24/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > Где здесь Ж-П-Эль?

    А где здесь Linux? Docker -- это лишь frontend к Linux namespaces/cgroups/прочее. Аналогично Kubernetes. Linux -- это всё-таки то, поверх чего работает это ПО, а не само это ПО.

     
  • 6.29, Аноним (7), 15:16, 23/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Нет, не поэтому. Кому нужно не делиться - либо просто проигнорят линукс и вложатся в BSD, либо насрут на лицензии, ибо судебный процесс против них разорит кого угодно из мелких GPL-копирастов (крупные копирасты прежде чем против них судиться тоже 100 раз подумают).
     
     
  • 7.114, anonymous (??), 11:44, 24/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Вот они потратили свои человекочасы в BSD, сделали закрытую систему Вот ещё кто... большой текст свёрнут, показать
     
  • 6.44, Аноним (-), 16:36, 23/02/2020 [^] [^^] [^^^] [ответить]  
  • +3 +/
    > А не потому ли BSD отстаёт, что в Linux с лицензиями как-то
    > покошернее? В частности, лицензия в Linux частично заставляет участников делиться друг с другом результатами труда.

    Китайцев - блобиками для загрузки или забиванием на причуды белых человеков, Теслу - обещанием (6 лет как) совсем скоро поделиться, гугла, амазону, клаудфлар и прочих облачносервеников - похвалой за активное подмахивание?

     
     
  • 7.81, Аноним (82), 21:16, 23/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > Китайцев - блобиками для загрузки или забиванием на причуды белых человеков,

    Да ну ладно, даже какой-нить allwinner вываливает сорцы. Правда там такие сорцы, что годятся только подивиться на то какие вещества китайские разработчики используют, но все же.

    > Теслу - обещанием (6 лет как) совсем скоро поделиться, гугла, амазону, клаудфлар
    > и прочих облачносервеников - похвалой за активное подмахивание?

    А теперь запустим греп по репе линуха на предмет этих "жадин". Так, что такое? Патчи шлют?! :)

     
     
  • 8.90, Аноним (90), 21:54, 23/02/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    И че там с квалкомом и прочей блоботней Срочным порядком уже открылись Или опя... большой текст свёрнут, показать
     
     
  • 9.99, Аноним (-), 23:17, 23/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    В смысле Квалком прям в майнлайн потоки крапа и льет дофига времени подряд Дру... большой текст свёрнут, показать
     
  • 5.26, Аноним (7), 15:11, 23/02/2020 [^] [^^] [^^^] [ответить]  
  • +2 +/
    >Докера нету. Кубернетеса тоже нету. IntelliJ IDEA Ultimate Edition тоже нету. Android Studio тоже нету.

    То, что этого г***а нет - это достоинства, а не недостатки.

    >ТензорФлова тоже нету.

    TensorFlow не поддерживает ничего, кроме проприетарной вендор-залоченной куды. Есть фреймворки на OpenCL. Для них внезапно нужен работающий OpenCL. На который даже у линукс-сообщества нет ресурсов. Один плюс - меса - юзерспейсная либа, которая может меняться независимо для каждой программы, разрабатывать её можно без перезапуска драйвера и иксов. Надеюсь что у меня когда-нибудь дойдут руки запилить атомики для радеона, чтобы hashcat работал.

     
     
  • 6.33, Аноним (32), 15:55, 23/02/2020 [^] [^^] [^^^] [ответить]  
  • –3 +/
    > То, что этого г***а нет - это достоинства, а не недостатки.

    То есть невозможность использования в >70% серверных use case — это достоинство?

     
     
  • 7.40, Аноним (-), 16:19, 23/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    >> То, что этого г***а нет - это достоинства, а не недостатки.
    > То есть невозможность использования в >70% серверных use case — это достоинство?

    https://docs.saltstack.com/en/latest/ref/modules/all/salt.modules.freebsdjail.
    но вы там держитесь


     
  • 7.41, Аноним (41), 16:21, 23/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Зачем тебе андроид студио и идея на сервере?
     
  • 7.47, Аноним (41), 16:46, 23/02/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Какие 70% сервер кэйс ты о чем? На сервера ideшки не ставят. 70% сервер кэйсов это шлюзы, фаирволы, почта, терминалы, впны. Описанные тобой вещи - это смузихлебная инфраструктура для сайтов в лэндинг стиле на js. Шарфик небось фиолетовый носишь? Борода чёткая? Залитая коооффффееем в барбершопке?
     
  • 6.64, Аноним (64), 19:30, 23/02/2020 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Re Для них внезапно нужен работающий OpenCL На который даже у линукс-сообщества... большой текст свёрнут, показать
     
     
  • 7.70, Аноним (-), 20:20, 23/02/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Re:Для них внезапно нужен работающий OpenCL. На который даже у линукс-сообщества нет ресурсов
    > Более того, Linux еще и HPC могет:
    > неформатированная толком портянка на 10 страниц
    > Пилить вам шура свою бздю еще лет 100 пока она догонит сегодняшний Linux

    Пукать линуксоидам и пукать еще лет 100 в каждой бсдшной новости:
    http://www.peregrine.hpc.uwm.edu/ganglia/
    https://uwm.edu/hpc/specifications-3/
    > Jobs are scheduled using the SLURM resource manager
    > All nodes run the FreeBSD operating system

    https://www.freshports.org/sysutils/condor/


     
     
  • 8.107, Аноним (64), 07:40, 24/02/2020 Скрыто модератором
  • –1 +/
     
     
  • 9.125, Аноним (-), 12:54, 24/02/2020 Скрыто модератором
  • +/
     
  • 8.115, anonymous (??), 11:50, 24/02/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    А если в top500 заглянуть Или в Российский как там его, не помню top100 top5... текст свёрнут, показать
     
     
  • 9.122, пох. (?), 12:41, 24/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    и о чем это говорит, кроме того что схватили что a было ближе b потому что поф... текст свёрнут, показать
     
     
  • 10.137, anonymous (??), 16:13, 24/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Там очень грызутся за FLOPSы на тестах Если бы BSD давал больше на тестах, то ... текст свёрнут, показать
     
     
  • 11.143, пох. (?), 19:10, 24/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    и какое отношение они имеют - к загрузчику этих тестов Именно - никакого Поэто... текст свёрнут, показать
     
     
  • 12.148, anonymous (??), 11:25, 25/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Я, конечно, не знаю как вы делали свои кластеры, но когда запускали кластеры, та... текст свёрнут, показать
     
  • 12.158, Аноним (-), 10:53, 26/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Что лучше работает по сумме факторов, то и используют Бздюки со шлангом вообще... текст свёрнут, показать
     
     
  • 13.166, анонн (ok), 13:39, 26/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Наверное затем же, зачем кому-то очередное Очень Ценное Мнение очередного аноним... большой текст свёрнут, показать
     
  • 13.170, пох. (?), 18:01, 26/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    а там не надо лучше - там надо как-то загрузиться c clang все хорошо - он-то ... большой текст свёрнут, показать
     
  • 9.126, Аноним (-), 12:54, 24/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    То использование в вышеприведенном кластере сразу резко станет неправдой ... текст свёрнут, показать
     
     
  • 10.135, anonymous (??), 16:10, 24/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Нет, просто подчеркнёт идентичность этого случая ... текст свёрнут, показать
     
     
  • 11.136, anonymous (??), 16:11, 24/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    s идентичность единичность автозамена ... текст свёрнут, показать
     
  • 5.30, Аноним (30), 15:40, 23/02/2020 [^] [^^] [^^^] [ответить]  
  • +4 +/
    >Докера нету. ТензорФлова тоже нету. Кубернетеса тоже нету. IntelliJ IDEA Ultimate Edition тоже нету. Android Studio тоже нету

    Зачем это надо людям, не являющимися быдлокодерами?

     
     
  • 6.34, Аноним (32), 15:58, 23/02/2020 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Микросервисная архитектура — это возрождение принципа unix way, когда каждая программа делает одно дело, и делает хорошо.

    Ну и автомасштабирование и автоматическое распределение ресурсов, конечно, не актуально для сервиса с полутора пользователями, но вот когда речь идёт о более-менее серъёзных нагрузках — must have.

     
     
  • 7.48, Аноним (41), 16:47, 23/02/2020 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Видел, как такие, как вы, пихают ping в 200мб образ джокера. Ну о че. Микросервис.
     
     
  • 8.138, anonymous (??), 16:14, 24/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    А что мешало им сделать на порядки меньше Может ручки Микросервисность тут не ... текст свёрнут, показать
     
  • 7.86, Аноним (-), 21:43, 23/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > Микросервисная архитектура — это возрождение принципа unix way,

    Но только если делается людьми, а не вебмакаками. Так иногда бывает, но довольно редко: вебмакаки дешевле и массовее. Проблема в том что принцип "как заплачено, так и зафигачено" не отменяли.

     
     
  • 8.133, пох. (?), 15:16, 24/02/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    люди не будут оборачивать микросервис эмулятором операционной системы Они запус... текст свёрнут, показать
     
     
  • 9.159, Аноним (-), 10:58, 26/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Смотря какие у них были цели Изначально так логичнее, но могут быть дополнитель... большой текст свёрнут, показать
     
     
  • 10.171, пох. (?), 18:10, 26/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    и чем тут доскер сам по себе поможет Правильно, ничем Виртуализация - это не п... большой текст свёрнут, показать
     
     
  • 11.173, Аноним (173), 16:44, 02/03/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Ну как, если софт вместе со всем потребным барахлом переезжает - он таки взлетит... большой текст свёрнут, показать
     
     
  • 12.175, пох. (?), 17:06, 02/03/2020 [^] [^^] [^^^] [ответить]  
  • +/
    то это не про докер есть, но там тоже никто никуда не переезжает, все уже приех... большой текст свёрнут, показать
     
  • 7.124, пох. (?), 12:51, 24/02/2020 [^] [^^] [^^^] [ответить]  
  • +2 +/
    одно и хорошо - делает jail Обеспечивает изоляцию программы, и больше ничего ... большой текст свёрнут, показать
     
     
  • 8.160, Аноним (-), 11:07, 26/02/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Угу, сколько-сколько там назад отдельную конфигурацию сети то смогли И таки нас... большой текст свёрнут, показать
     
     
  • 9.169, пох. (?), 17:47, 26/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    как понабежали безмозглые мартышки с доскером в голове - так и смогли Это как р... большой текст свёрнут, показать
     
     
  • 10.174, Аноним (-), 16:54, 02/03/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Вот лично мне например совершенно не надо чтобы изолированная программа шараха... большой текст свёрнут, показать
     
     
  • 11.176, пох. (?), 17:24, 02/03/2020 [^] [^^] [^^^] [ответить]  
  • +/
    нафига тебе такая изоляция - не знаю Она ни от чего толком не изолирует При ... текст свёрнут, показать
     
  • 11.177, Аноним (-), 18:32, 02/03/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Очередное Очень Ценное Мнение Еще бы в предмете обсуждения разбирался - совсем ... текст свёрнут, показать
     
  • 5.35, анонн (ok), 16:00, 23/02/2020 [^] [^^] [^^^] [ответить]  
  • +3 +/
    > Докера нету. ТензорФлова тоже нету. Кубернетеса тоже нету. IntelliJ IDEA Ultimate Edition

    "на годы отстают от линуксов", потому что "тут идет перечисление сугубо линуксяных технологий, щедро сдобренное смузи" (а закинуть тот же дебиан в VM и рулить докерами и кубернетсами оттуда - не позволяет религия).

    Ну и
    $ pkg rquery %n-%v docker intellij-ultimate py37-tensorflow
    docker-18.09.5_1 (Клиент, естественно)
    intellij-ultimate-2019.3
    py37-tensorflow-1.14.0_5

    > Линуксы на годы отстают от виндовс и разрыв увеличивается.
    > Людям, перешедшим с винды на линукс, добавляется новая перманентная головная боль "а есть ли это в линукс? а портировали ли?"

    поправил, не благодарите

     
     
  • 6.37, Аноним (32), 16:03, 23/02/2020 [^] [^^] [^^^] [ответить]  
  • –6 +/
    > "на годы отстают от линуксов", потому что "тут идет перечисление сугубо линуксяных технологий, щедро сдобренное смузи".

    Не позорьтесь, пожалуйста. Называть докер и кубу "смузи-технологиями" — признак человека, далёкого от системного администрирования.
    k8s или openshift (в зависимости от задач) — основа практически любой крупной серверной инфраструктуры.

     
     
  • 7.38, анонн (ok), 16:05, 23/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    >> "на годы отстают от линуксов", потому что "тут идет перечисление сугубо линуксяных технологий, щедро сдобренное смузи".
    > Не позорьтесь, пожалуйста. Называть докер и кубу "смузи-технологиями" — признак человека, далёкого от системного администрирования.

    А записать докер не в сугубо (и жестко завязаное на) линуксячьи технологии (и проигнорировать следующее в скобках "а закинуть тот же дебиан в VM и рулить докерами и кубернетсами оттуда - не позволяет религия") - признак какого человека? Зелененького и толстенького?

    > системного администрирования.

    И как знают все, кроме этого (и 1С бухгалтерии) больше ничего серьезного с капутерами делать нельзя …

     
     
  • 8.127, пох. (?), 12:57, 24/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    да он не на технологии на самом деле завязан Был уже почти работавший порт на ф... текст свёрнут, показать
     
  • 7.43, Аноним (41), 16:31, 23/02/2020 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Систомно администрирую. Нужен esxi, pfsense (это на базе фряхи), routerOS, win server, ad, терпинальный сервер, 1с,exim, dovecot, ms sql, MySQL, postgresql, bacula, zabbix, apache, rsybc, syslogd. Ваши кубернетесы нужны далеко не всем.
     
     
  • 8.67, xm (ok), 20:00, 23/02/2020 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Да, по правде сказать, вообще мало кому Просто модно вот и носятся с ними как с... текст свёрнут, показать
     
     
  • 9.129, пох. (?), 12:59, 24/02/2020 [^] [^^] [^^^] [ответить]  
  • –2 +/
    но модный современный софт в другом виде скоро просто запускаться не будет хоро... текст свёрнут, показать
     
  • 8.85, Аноним (-), 21:31, 23/02/2020 Скрыто модератором
  • +/
     
  • 3.20, анонимчик (?), 13:43, 23/02/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > "А я еще хотел ее зающатт после void."
    > Смешно. БЗДы на годы отстают от линуксов и разрыв увеличивается.
    > Поставь CENTOS, включи и настрой selinux и расслабься.

    когда-то bsd было прогрессивнее linux. симметричная многодачаность, джайлы, когда еще докера в проекте не было. что сейчас вдруг bsd стало отсталым? вроде проблемы обычно были только с GUI

     
     
  • 4.25, anonymous (??), 15:00, 23/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > когда еще докера в проекте не было

    Зато OpenVZ был (хоть и отставал сильно по ядрам).

     
     
  • 5.62, псевдонимус (?), 18:57, 23/02/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >> когда еще докера в проекте не было
    > Зато OpenVZ был (хоть и отставал сильно по ядрам).

    Линуксоиды благополучно закопали эту нормальную контейнеризацию с нормальной изоляцией. Так им и надо.


     
     
  • 6.84, Аноним (82), 21:26, 23/02/2020 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > Линуксоиды благополучно закопали эту нормальную контейнеризацию с нормальной изоляцией.
    > Так им и надо.

    Да они сами себя закопали, с своими кривыми кастомными ядрами они такие никому не уперлись. По мере пришествия virtio стало проще нормальный виртуализатор взять там где крепкая изоляция нужна, и менее долбанутые контейнеры там где столько не надо. А ниша ovz внезапно превратилась в null pointer.

     
     
  • 7.134, пох. (?), 15:21, 24/02/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    наоборот - тем что сдуру вернули в апстрим большую часть разработки, которую и используют теперь "нормальные виртуализаторы". А сами остались с тем кодом, который апстрим бы не взял, поскольку он был сложным и не позволял "порежьте поменьше, в экран не влазит, и каждый заверните в салфеточку", и не сумели угнаться за stable api is nonsense.

     
     
  • 8.161, Аноним (-), 11:18, 26/02/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Что это за фигня Вот лично моя претензия, по которой я это никогда не буду эксп... большой текст свёрнут, показать
     
     
  • 9.164, пох. (?), 11:53, 26/02/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    это либо тараканы некормленные, либо fud Ядро от великого непогрешимого - ничут... текст свёрнут, показать
     
  • 7.140, псевдонимус (?), 17:25, 24/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    >> Линуксоиды благополучно закопали эту нормальную контейнеризацию с нормальной изоляцией.
    >> Так им и надо.
    > Да они сами себя закопали, с своими кривыми кастомными ядрами они такие
    > никому не уперлись. По мере пришествия virtio стало проще нормальный виртуализатор
    > взять там где крепкая изоляция нужна, и менее долбанутые контейнеры там
    > где столько не надо. А ниша ovz внезапно превратилась в null
    > pointer.

    Не от шапки -- значит кривое. Все с тобой ясно.

     
     
  • 8.144, пох. (?), 19:13, 24/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    не от шапки - значит, stable api is nonsense и будет поломано через час после то... текст свёрнут, показать
     
  • 8.162, Аноним (162), 11:33, 26/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Парадокс в том что я не пользуюсь шапкой Это не делает ovz прямее Скорее, наоб... текст свёрнут, показать
     
  • 4.36, Аноним (32), 16:00, 23/02/2020 [^] [^^] [^^^] [ответить]  
  • –3 +/
    > когда-то bsd было прогрессивнее linux. симметричная многодачаность, джайлы, когда еще докера в проекте не было. что сейчас вдруг bsd стало отсталым?

    С того, что сравнивать докер с jail — это как сравнивать грузовик с велосипедом. Изоляция на уровне cgroups и namespaces — это только вишенка на торте. Главное — унифицированный механизм упаковки и распространения образов, который сделал докер лучшим (и, практически, единственным) пакетным менеджером для серверов.

     
     
  • 5.51, Аноним (-), 16:55, 23/02/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    https://bsdstore.ru
    https://bastille.readthedocs.io/en/latest/index.html
     
     
  • 6.52, Аноним (-), 17:18, 23/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > https://bastille.readthedocs.io/en/latest/index.html

    И в чем принципиальная разница с ezjail, qjail, cbsd, iocage, iocell, (и сколько их там былое еще, доделанных и не очень)?

     
  • 5.54, пох. (?), 17:28, 23/02/2020 [^] [^^] [^^^] [ответить]  
  • +2 +/
    угу. именно. Изоляция на уровне собирания ее из (насквозь дырявых, by design) костылей и подпорок, раскиданных по разным подсистемам ведра - это вишенка на тортике из коровьих лепех.

    Главное - докер-хаб и oci, унифицированный механизм распространения трэша, который любая макака может использовать, не включая мозг, которого у нее и нет.

    Кстати, это единственный актив, оставленный себе бывшей компанией-разработчиком. Ненужный мусор в виде докера, регистри, стаи макак-разработчиков-на-игого - продан какой-то лавке, о которой доселе и не слышал никто (логично, лавки, специализирующеся на патентном троллинге или, проще, массовых увольнениях - и не стараются быть заметными)

     
     
  • 6.139, Аноним (139), 16:18, 24/02/2020 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Потому что эта штука из костылей и подпорок работает, и для ее использования не надо собирать троллейбус из буханки хлеба и километровых шелл-скриптов. Все понятно любому джуну.

    Когда вокруг докера пошла первая волна хайпа, я искренне недоумевал - что это за фигня с пачкой костылей, замотанных синей изолентой? Но, как всегда, оказалось, что решение насущной задачи важнее способа решения.

     
     
  • 7.145, пох. (?), 19:26, 24/02/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    для ее использования надо собирать целых три троллейбуса. Один - следит за тем чтобы сам доскер запустился и сделал это вовремя (иначе можно поиметь проблем с контейнерами, зависящими от внешних адресов или правильного порядка старта других контейнеров), другой - за тем что внутри доскера - потому что в любом прожекте на доскерхабе посложнее ping - там внутри наколеночный обмотанный не изолентой а малярным скточем (джун не видит разницы, а тот ближе лежал) имитатор инита (штатные нарочно проверяют "не под докером ли мы запускаемся" и отказываются работать), имитатор крона (вы легко найдете на стековерфлоу двестиписят причин почему нельзя просто запускать крон в докере - кстати, они высосаны из пальца) и, возможно, еще и smtp сервер, хотя и клиента было бы много.
    И, наконец, третий следит за тем чтобы работало то, ради чего все это затеяно - не "контейнеры", которые нахрен никому не нужны, а сервисы.

    > как всегда, оказалось, что решение насущной задачи важнее способа решения.

    какой именно задачи? Задачи, решаемые докером и околодокерной галиматьей - целиком и полностью самим недоделком и порождены. А реальная задача, которую он на самом деле решает - только одна, донести не рассыпав то, что может работать только у разработчика в хомячке. Вот оно на прод и едет вместе с этим, бережно завернутым, хомячком. Не переживайте, в freebsd оно работать не будет по миллиону причин.

    А stateless архитектуры (только не "микросервисные", потому что мощности нехватало, а не была куча лишней) у нас были, к примеру, в 2008м. С почти авто-масштабированием (как только "авто"прикрутишь новый сервер к стойке) и прочими фуфелами. Внезапно, это можно сделать силами трех админов за небольшую зарплату и в свободное от подпирания костылей время.

    Но разработчиков там больно пороли, если собранный ими rpm "забывал" принести необнаруживаемую автоматикой зависимость. Поэтому никаких оберток эта штука не требовала.

     
  • 4.49, Аноним (2), 16:52, 23/02/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > что сейчас вдруг bsd стало отсталым?

    Нет Wayland и systemd

     
     
  • 5.83, Аноним (82), 21:23, 23/02/2020 [^] [^^] [^^^] [ответить]  
  • –3 +/
    > Нет Wayland и systemd

    ЧСХ, графические дрова они пилять не умеют, как впрочем и иксы.  И как только шляпники и те кто рядом забьют на иксы болт - попробуйте догадаться что случится дальше. Вижу два варианта: неспешно тонуть на неподдерживаемой лодке или собезьянить у пингвина в очередной раз.

     
     
  • 6.91, Аноним (-), 22:05, 23/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    >> Нет Wayland и systemd
    > ЧСХ, графические дрова они пилять не умеют, как впрочем и иксы.  

    ЧСХ - аноним опять ни*рена не разбирается, но мнение имеет:
    https://www.phoronix.com/scan.php?page=news_item&px=FreeBSD-Wayland-Availabili
    > FreeBSD Looks At Making Wayland Support Available By Default

    Written by Michael Larabel in BSD on 22 December 2017 at 08:05 PM EST. 39 Comments
    https://twitter.com/johalun/status/830178649554837504/photo/1
    https://pbs.twimg.com/media/C4VjE7PVYAAIG8S?format=jpg&name=large
    > Johannes Lundberg
    > #FreeBSD update. Got everything I need now to run my #Wayland desktop.
    >  Feb 10, 2017

     
     
  • 7.103, Аноним (-), 02:45, 24/02/2020 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > ЧСХ - аноним опять ни*рена не разбирается, но мнение имеет:
    > https://www.phoronix.com/scan.php?page=news_item&px=FreeBSD-Wayland-Availabili

    Во, а через некоторое время они look'ать начнут гораздо активнее, или про них все забудут, когда прохудившийся иксовый титаник окончательно уйдет на дно, благо прорех там хоть отбавляй и все что надо редхатовцам это выключить свои насосы.

     
     
  • 8.123, Аноним (-), 12:43, 24/02/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Т е очередной аноним то ли опять дальше первых слов заголовка не читал, поспеши... большой текст свёрнут, показать
     
  • 8.141, Аноним (-), 18:29, 24/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Вместо придумывания образных сравнений лучше бы ознакомился с предметом ... текст свёрнут, показать
     
     
  • 9.163, Аноним (-), 11:47, 26/02/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    А я с ним вполне себе знаком, с точностью до конкретных рож пилящих этот код Но... текст свёрнут, показать
     
     
  • 10.167, Аноним (-), 13:56, 26/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    https github com freedesktop xorg-xserver graphs contributors from 2015-12-09 ... большой текст свёрнут, показать
     
  • 5.116, анонимчик (?), 12:15, 24/02/2020 [^] [^^] [^^^] [ответить]  
  • +/

    > Нет Wayland и systemd

    мне нравится wayland, а вот systemd не используя на домашнем. в работе приходилось для запускалки демонов и вачдог. раньше для этого monit использовал.

     
  • 5.142, Аноним (-), 18:34, 24/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Толсто.

    На самом деле вейланд нужен а системд ненужен.

     

     ....большая нить свёрнута, показать (92)

  • 1.15, llol (?), 12:32, 23/02/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Ну и что, что он зомби, зато он встал и пошёл, llol :))
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2020 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру