|
| |
| 2.3, Anon2 (?), 11:24, 25/11/2017 [^] [^^] [^^^] [ответить]
| +/– |
не сильно компетентен, но будет ли пакет ssh полнофункционально (с полным функционалом сабжа) работать, если его пытаться установить в хомяк, установка и работа при этом, естественно с ограниченными правами пользователя
| | |
|
| 1.5, Аноним (-), 11:55, 25/11/2017 [ответить] [﹢﹢﹢] [ · · · ]
| –7 +/– | |
# apt-get install libssl1.0-dev libboost1.62 libboost-dev libkrb5-dev
то есть чуть не весь возможный в принципе, опасный и вредный для нормального криптографического решения мусор в одном флаконе.
но ssh им недостаточно моден, молодежен и кроссплатформенен.
| | |
| |
| |
| 3.17, Аноним (-), 18:20, 25/11/2017 [^] [^^] [^^^] [ответить]
| –1 +/– | |
> Обоснуй.
Список CVE одного только openssl обоснует за троих. Тебе что больше нравится, heartbleed или пудели? А может, ты фанат аппаратного ускорения которое PRNG напрямую из интеловского проца тащит? Так что если там бэкдор - ты гарантированно залетаешь.
| | |
|
| |
| 3.42, anonymous yet another (?), 23:20, 26/11/2017 [^] [^^] [^^^] [ответить]
| +/– | |
> А Boost-то чем опасен?
Смотря что потащили. Если сравнительно устоявшееся, то почему тогда не стандарт уже,
если новомодное, то это во многом хипстерство и Александреску-подобно.
| | |
|
| 2.22, gaga (ok), 00:08, 26/11/2017 [^] [^^] [^^^] [ответить]
| +/– |
 Ниче что ssh тоже зависит от openssl? И вообще, какие есть альтернативы-то?
| | |
| |
| |
| 4.24, angra (ok), 08:16, 26/11/2017 [^] [^^] [^^^] [ответить]
| +/– |
 В опенке? Вполне может быть, что там собирают без openssl
Но вот в debian и rhel openssh-server собирают с ним, так что очень даже зависит.
| | |
| |
| 5.25, Ergil (ok), 08:20, 26/11/2017 [^] [^^] [^^^] [ответить]
| +/– |
 > В опенке? Вполне может быть, что там собирают без openssl
> Но вот в debian и rhel openssh-server собирают с ним, так что
> очень даже зависит.
Вопрос к мэйнтейнерам. Можно собрать без openssl(да, сейчас посмотрел у себя, собранно с зависимостью от libssl1.0.0)
| | |
| 5.43, Аноним (-), 04:56, 27/11/2017 [^] [^^] [^^^] [ответить]
| +/– |
Ты бы хоть посмотрел для чего там OpenSSL используется (hint: не для криптографии в протоколе SSH).
| | |
| 5.47, SysA (?), 12:04, 27/11/2017 [^] [^^] [^^^] [ответить]
| –1 +/– |
> В опенке? Вполне может быть, что там собирают без openssl
> Но вот в debian и rhel openssh-server собирают с ним, так что
> очень даже зависит.
В Генте клиент не зависит:
linpc ~ # ldd 'which ssh'
linux-vdso.so.1 (0x00007ffc9a794000)
libcrypto.so.1.0.0 => /usr/lib64/libcrypto.so.1.0.0 (0x00007f840e095000)
libdl.so.2 => /lib64/libdl.so.2 (0x00007f840de91000)
libz.so.1 => /lib64/libz.so.1 (0x00007f840dc7a000)
libresolv.so.2 => /lib64/libresolv.so.2 (0x00007f840da63000)
libc.so.6 => /lib64/libc.so.6 (0x00007f840d6b4000)
/lib64/ld-linux-x86-64.so.2 (0x00007f840e4d7000)
но сервер зависит:
linpc ~ # ldd 'which sshd'
...
libssl.so.1.0.0 => /usr/lib64/libssl.so.1.0.0 (0x00007f3be25d7000)
...
| | |
| |
| 6.50, EHLO (?), 12:22, 27/11/2017 [^] [^^] [^^^] [ответить]
| +/– |
> В Генте клиент не зависит:
> linpc ~ # ldd 'which ssh'
> linux-vdso.so.1 (0x00007ffc9a794000)
> libcrypto.so.1.0.0 => /usr/lib64/libcrypto.so.1.0.0 (0x00007f840e095000)
> libdl.so.2 => /lib64/libdl.so.2 (0x00007f840de91000)
> libz.so.1 => /lib64/libz.so.1 (0x00007f840dc7a000)
> libresolv.so.2 => /lib64/libresolv.so.2 (0x00007f840da63000)
> libc.so.6 => /lib64/libc.so.6 (0x00007f840d6b4000)
> /lib64/ld-linux-x86-64.so.2 (0x00007f840e4d7000)
> libcrypto.so.1.0.0 => /usr/lib64/libcrypto.so.1.0.0 (0x00007f840e095000)
/usr/lib64/libcrypto.so.1.0.0 это что в "Генте" ?
| | |
| |
| 7.52, SysA (?), 12:34, 27/11/2017 [^] [^^] [^^^] [ответить]
| –1 +/– |
>[оверквотинг удален]
>> linpc ~ # ldd 'which ssh'
>> linux-vdso.so.1 (0x00007ffc9a794000)
>> libcrypto.so.1.0.0 => /usr/lib64/libcrypto.so.1.0.0 (0x00007f840e095000)
>> libdl.so.2 => /lib64/libdl.so.2 (0x00007f840de91000)
>> libz.so.1 => /lib64/libz.so.1 (0x00007f840dc7a000)
>> libresolv.so.2 => /lib64/libresolv.so.2 (0x00007f840da63000)
>> libc.so.6 => /lib64/libc.so.6 (0x00007f840d6b4000)
>> /lib64/ld-linux-x86-64.so.2 (0x00007f840e4d7000)
>> libcrypto.so.1.0.0 => /usr/lib64/libcrypto.so.1.0.0 (0x00007f840e095000)
> /usr/lib64/libcrypto.so.1.0.0 это что в "Генте" ?
Упс, dev-libs/openssl-1.0.2m! :)
| | |
|
|
|
|
| 3.35, нах (?), 19:42, 26/11/2017 [^] [^^] [^^^] [ответить]
| –1 +/– | |
> Ниче что ssh тоже зависит от openssl?
к счастию великому, он использует оттуда только криптопримитивы. Причем этой болезнью заболел на поздних стадиях развития. Ylonen обходился без всякого openssl.
И если обойтись только поделками djb (которые, правда, не имеют подтверждений своей надежности из независимых источников, поэтому все упирается в репутацию одного человека), то можно и без него вовсе.
> Вообще, какие есть альтернативы-то?
альтернативы - чему? Для туннелинга трафика есть vpn'ы - от ipsec до причудливого govpn.
Для remote shell - ssh2 протокол вполне себе ничего.
Единственная доступная реализация - да, страдает массой болячек, но замены нет.
| | |
| |
| 4.44, . (?), 07:14, 27/11/2017 [^] [^^] [^^^] [ответить]
| +/– | |
>Ylonen обходился без всякого openssl.
А теперь все обходятся без Ylonen-а :)
>ssh2 протокол вполне себе ничего. Единственная доступная реализация - да, страдает массой болячек, но замены нет.
Тут как то был инсайд что лучший друг опесорца, вроде как всё же решились его влить в свою форточку, для начала как компонент повершела ... если сделают - считай что поляна зачищена :) Другого долго не будет.
| | |
| |
| 5.54, пох (?), 13:22, 27/11/2017 [^] [^^] [^^^] [ответить]
| –1 +/– |
> Тут как то был инсайд что лучший друг опесорца, вроде как всё
> же решились его влить в свою форточку, для начала как компонент
так они опенсорцный и возьмут, зачем им индусов-то лишний раз напрягать.
Вместе с всей той кучей мусора, которую туда понатащили излишне самоуверенные и не в меру активные разработчики open-версии.
| | |
| |
| 6.66, _ (??), 18:28, 27/11/2017 [^] [^^] [^^^] [ответить]
| –1 +/– |
Ну это да, иначе смысла нет. Я к тому что если в форточке появится ssh\sshd - никаких других уже не появится :) И это надолго. Да и - алилуйя! :-)
| | |
|
|
| 4.48, SysA (?), 12:07, 27/11/2017 [^] [^^] [^^^] [ответить]
| +/– |
>> Вообще, какие есть альтернативы-то?
> альтернативы - чему? Для туннелинга трафика есть vpn'ы - от ipsec до
> причудливого govpn.
> Для remote shell - ssh2 протокол вполне себе ничего.
Еще раз: "...SSF рассчитан на работу в условиях, когда недоступен SSH, невозможно применять классические VPN из-за сетевых ограничений или нужно организовать проброс UDP..."
| | |
|
|
| |
| 3.62, fi (ok), 14:30, 27/11/2017 [^] [^^] [^^^] [ответить]
| +/– |
 тут все проще - поднимаешь ppp повер ssh и направляешь туда любой трафик. Но конечно, если у тебя хватит привелегий.
| | |
| |
| 4.65, phaoost (ok), 15:33, 27/11/2017 [^] [^^] [^^^] [ответить]
| +/– |
 > тут все проще - поднимаешь ppp повер ssh и направляешь туда любой
> трафик. Но конечно, если у тебя хватит привелегий.
ppp поверх ssh это уже tcp туннель. как я понял, ssf умеет udp туннель
| | |
|
|
| 2.46, SysA (?), 11:57, 27/11/2017 [^] [^^] [^^^] [ответить]
| +/– |
> # apt-get install libssl1.0-dev libboost1.62 libboost-dev libkrb5-dev
> то есть чуть не весь возможный в принципе, опасный и вредный для
> нормального криптографического решения мусор в одном флаконе.
> но ssh им недостаточно моден, молодежен и кроссплатформенен.
Для тех, кто в танке:
...SSF рассчитан на работу в условиях, когда недоступен SSH...
| | |
| |
| 3.53, пох (?), 13:20, 27/11/2017 [^] [^^] [^^^] [ответить]
| –1 +/– | |
> Для тех, кто в танке:
от тех кто накрылся кастрюлькой и думает что в танке?
> ...SSF рассчитан на работу в условиях, когда недоступен SSH...
расскажите, что это за "условия" такие? Когда вам можно ставить всякий мусор на удаленной системе, но "недоступен ssh".
Который обычно как раз наоборот, остается доступен, когда уже все остальное давно позаблокировали.
| | |
| |
| 4.55, SysA (?), 13:27, 27/11/2017 [^] [^^] [^^^] [ответить]
| +/– |
>> Для тех, кто в танке:
> от тех кто накрылся кастрюлькой и думает что в танке?
>> ...SSF рассчитан на работу в условиях, когда недоступен SSH...
> расскажите, что это за "условия" такие? Когда вам можно ставить всякий мусор
> на удаленной системе, но "недоступен ssh".
> Который обычно как раз наоборот, остается доступен, когда уже все остальное давно
> позаблокировали.
На совести автора - я лишь цитировал! :)
| | |
|
|
|
| |
| 2.51, SysA (?), 12:31, 27/11/2017 [^] [^^] [^^^] [ответить]
| +/– | |
> А публичных SSF серверов еще нет?
Тебе нетерпится поделиться своей инфой с Большим Братом и др.? :)
| | |
|
| |
| 2.21, gaga (ok), 00:06, 26/11/2017 [^] [^^] [^^^] [ответить]
| +2 +/– |
Просто скорость зарезать до нормальной для DNS, типа 5-10 запросов в секунду, бёрст 50-100, и этим впном сможет только столман пользоваться.
| | |
| |
| 3.27, Pofigist (?), 11:17, 26/11/2017 [^] [^^] [^^^] [ответить]
| +/– |
Зачем такие сложности? Ты можешь ходить ТОЛЬКО к DNS своего провайдера/работы и все.
| | |
| |
| |
| 5.41, angra (ok), 23:12, 26/11/2017 [^] [^^] [^^^] [ответить]
| +/– |
Тебе лучше самому последовать своему совету. Обрати внимание на роль рекурсивных/кеширующих DNS серверов. Ну и загляни в свой resolv.conf, вдруг там тоже стоит dns сервер провайдера или гугла.
| | |
| |
| 6.45, Знаток (?), 09:51, 27/11/2017 [^] [^^] [^^^] [ответить]
| +/– | |
> Ну и загляни в свой resolv.conf, вдруг там тоже стоит dns сервер провайдера
... который вовсе не обязан быть рекурсивным. Сюрприз?
| | |
| 6.67, Аноним (-), 20:20, 27/11/2017 [^] [^^] [^^^] [ответить]
| +/– |
там именно сервера прова и гугла, а в чем проблема? надо свой поднять?
| | |
|
|
|
|
|
| |
| 2.49, SysA (?), 12:08, 27/11/2017 [^] [^^] [^^^] [ответить]
| +/– | |
> а зачем оно нужно, при наличии vpn или ssh?
И еще раз: "...SSF рассчитан на работу в условиях, когда недоступен SSH, невозможно применять классические VPN..."
| | |
| |
| 3.58, Аноним (-), 13:49, 27/11/2017 [^] [^^] [^^^] [ответить]
| +/– |
т.е сабж нужен лишь как альтернативный способ обфусфакции трафика, не подпадающий под фильтры дпи для опенвпн и ssh? Как shadowsocks, короче
| | |
| |
| 4.60, пох (?), 14:12, 27/11/2017 [^] [^^] [^^^] [ответить]
| –1 +/– | |
> т.е сабж нужен лишь как альтернативный способ обфусфакции трафика
да нет там никакой обфускации - обычный tls. dpi прекрасно умеют его отличать - в том числе и от tls, используемого для well-known протоколов.
> фильтры дпи для опенвпн и ssh? Как shadowsocks, короче
и в нем тоже нет. Во всяком случае, в том, настоящем от настоящего китайца, а не в последующих клонах и доработках от неизвестно кого.
| | |
|
|
|
| |
| 2.37, нах (?), 20:42, 26/11/2017 [^] [^^] [^^^] [ответить]
| +/– | |
> Чем оно отличается от ShadowSocks?
отсутствием плохой замены ssh в комплекте.
Ну и тем, конечно, что за автором еще не пришла китайская полиция. Или пришла так быстро, что он не успел ничего мяукнуть.
| | |
|
| |
| 2.61, пох (?), 14:17, 27/11/2017 [^] [^^] [^^^] [ответить]
| –1 +/– | |
> SoftEther умеет туннели через ICMP, такой вариант пожизнеспособней
тоже нет ( в смысле, только пока неуловимый джо нахрен никому не сдался)
слишком нетипичный для icmp траффик, могут даже без товарища майора начать блокировать или лимитировать, подозревая попытку dos-атаки.
типичный траффик, который достаточно легко имитировать, сохраняя приличную полосу для самого канала - порнуха over ssl. Но это ж пока именно за ней и не пришли ;-)
| | |
| |
| 3.64, fi (ok), 14:43, 27/11/2017 [^] [^^] [^^^] [ответить]
| +/– |
>> SoftEther умеет туннели через ICMP, такой вариант пожизнеспособней
> тоже нет ( в смысле, только пока неуловимый джо нахрен никому не сдался) слишком нетипичный для icmp траффик,
ну почему же, для управления бот сетью, где нужно только команды рассылать, вполне себе удобный инструмент
| | |
| |
| 4.68, пох (?), 13:11, 28/11/2017 [^] [^^] [^^^] [ответить]
| –1 +/– |
для ботов почему-то принято dns (и да, для управления сгодится и такой, который работает через рекурсивные у провайдера). Я как-то унаследовал хост от такого экземпляра, было занятно (правда, так и не придумал, что бы с ним такое сделать, там, сцуко, хорошее шифрование).
| | |
|
|
|
| 1.69, Аноним (-), 04:42, 29/11/2017 [ответить] [﹢﹢﹢] [ · · · ]
| –1 +/– |
> Чем оно отличается от ShadowSocks?
>> отсутствием плохой замены ssh в комплекте.
>> Ну и тем, конечно, что за автором еще не пришла китайская полиция. Или пришла так быстро, что он не успел ничего мяукнуть.
Можно как-то технично изложить? Я в самом деле хочу понять отличие, но в таком юморном изложении к сожалении не понимаю.
| | |
| |
| 2.70, Аноним (-), 03:38, 01/12/2017 [^] [^^] [^^^] [ответить]
| +/– |
> Можно как-то технично изложить? Я в самом деле хочу понять отличие, но
> в таком юморном изложении к сожалении не понимаю.
Суть истории: жил был китаец ClowWindy. И написал пару софтин которые обходили великий китайский фаер. Обходили хорошо. У полицаев стал дымиться стул. Они пришли на гитхаб и потребовали выпилить репы. Гитхаб их в общем то выпилил, но народ со всей планеты в едином порыве сделал более 9000 форков.
А так неплохие комплекты софта для показа среднего пальца сетевым тиранам. Даже великий китайский фаер обходят, а это одна из самых злобных и навороченных систем цензурирования сетевого трафика на планете.
| | |
|
| 1.71, Аноним (-), 21:15, 02/12/2017 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Да эту историю давно знаю, потому что сам пользуюсь ShadowSocks.
Но на вопрос они - SSF и SS - отличаются друг от друга, вы к сожалению не ответили.
| | |
|
