<h3>Новое:
</h3>
- в ipfw интегрировали поддержку ALTQ (это более правильный traffic-шейпер, нежели dummynet). Если правило ipfw содержит слово altq и название altq-очереди, то оно будет помечено как проходящее через эту очередь. Перед использованием altq-очередей необходимо определить их через pfctl, и если конфигурация очередей меняется, надо перегружать правила ipfw. Также можно включать и выключать altq-пометки в ipfw через ipfw enable|disable altq- флаги в ipfw для определения пакетов, прошедших через divert, и для определения длины пакетов. Новые ключевые слова: diverted - все пакеты, прошедшие через divert-сокет, diverted-loopback - все пакеты, прошедшие через divert-сокет и идущие на этот хост (т.е. from any to me diverted) и diverted-output - пакеты, прошедшие через divert-сокет и выходящие куда-либо дальше. Определение длины TCP пакетов производится с использованием ключевого слова tcpdatalen, после которого стоит значение (как в ports, т.е. 1000, 2000-3000)
- bind теперь живет в chroot jail, причем все переехало из /etc/namedb в /var/named. Инструкция по переезду в случае обновления - /usr/src/UPDATING
- утилита восстановления данных с поврежденных дисков /usr/src/tools/recoverdisk. Использование: recoverdisk /dev/fd0 myfloppy.flp
<h3>Изменения:
</h3>- изменен драйвер ucom (USB-com-порты), теперь используется нотация /dev/ttyU# и /dev/cuaU# для именования портов вместо /dev/ucom#. Также увеличена надежность системы при выдергивании устройств из таких портов
- com-порты мультипортовок Serialix теперь называются не /dev/ttyA# и /dev/cuaA#, а /dev/ttyA<номер-карты><номер-порта> и /dev/cuaA<номер-карты><номер-порта>
- изменен формат CVS-строк в исходных текстах. Из строки "Concurrent Versions System (CVS) '1.11.15'-FreeBSD (client/server)" убраны одинарные кавычки в номере версии.
<h3>Обсуждения:
</h3>- изменение поведения rm во избежание использования rm -r / чайниками
<h3>Баг-фиксы:
</h3>
- дыра в смене консолей (ftp://ftp.freebsd.org/pub/FreeBSD/CERT/advisories/FreeBSD-SA...), изменено поведение syscons для запрета позиционирования в отрицательные координаты- баг в init, запрещавший его использование для запуска и перезапуска постоянно работающих (но иногда падающих) демонов
URL: http://www.xl0.org/FreeBSD/04-10-04.html
Новость: https://www.opennet.ru/opennews/art.shtml?num=4445
ALTQ: ну наконец-то, уже думал никогда не внедрят
>ALTQ: ну наконец-то, уже думал никогда не внедрят
Мне больше bind в chroot понравилось, а то руками надоело уже ставить.
Гм, а ALTQ разве не просто патчем идет???
От себя хочу добавить - выпущена последняя B7, далее пойдут RC.
И очень много изменений в звуковой подсистеме.
Кстати, по поводу бинд такая ругань идет - ужас...
>Кстати, по поводу бинд такая ругань идет - ужас...Сейчас еще не поздно сломать устоявшиеся привычки (perl же убрали, и к этому уже привыкли). После выхода 5.3, глобальные перестановки уже труднее будет провести. Я бы еще sendmail выкинул и вместо него включил postfix или exim.
>>Кстати, по поводу бинд такая ругань идет - ужас...
>
>Сейчас еще не поздно сломать устоявшиеся привычки (perl же убрали, и к
>этому уже привыкли). После выхода 5.3, глобальные перестановки уже труднее будет
>провести. Я бы еще sendmail выкинул и вместо него включил postfix
>или exim.
Уже есь :) прям из sysinstall можно заменить сендмыл на постфикс или эксим - на выбор :)
>>Кстати, по поводу бинд такая ругань идет - ужас...
>
>Сейчас еще не поздно сломать устоявшиеся привычки (perl же убрали, и к
>этому уже привыкли). После выхода 5.3, глобальные перестановки уже труднее будет
>провести. Я бы еще sendmail выкинул и вместо него включил postfix
>или exim.
Не трожь Sendmail!!! Я с ним работаю и проблем нет! А по умолчанию exim либо postfix? Из портов установишь это г.....
>Не трожь Sendmail!!! Я с ним работаю и проблем нет! А по
>умолчанию exim либо postfix? Из портов установишь это г.....И что ночью не просыпаешься тревожимый мыслью взломали или нет :-) ?
Сегодня sendmail незаменим только для весьма редких клинических случаев, хотя если не держать открытым 25 порт, для локальных пересылок тоже сойдет.
Ты читать умеешь? По умолчанию как было, так и осталось. По желанию можно сменить прям в sysinstall
А не подскажешь поподробней (например линком) что за ругань?
В мейл-листе current смотри
> изменение поведения rm во избежание использования rm -r / чайникамиО, FreeBSD ready for Desktop!
>> изменение поведения rm во избежание использования rm -r / чайниками
>
>О, FreeBSD ready for Desktop!Кстити, один клиент у себя умудрился запустить "rm -rf /var". Знайте как ? Он по ошибке набрал "rm -rf /var /log/bavkup/0".
Гы ;-) Я как-то умудрился пропустить минус в строке 'kill -1 pid'. После того случая теперь всегда пишу 'kill -HUP pid' ;-)
Угу, аналогичная фигня была :)
Смеялся аж до болезненных колик!Никак не отойду!
>> изменение поведения rm во избежание использования rm -r / чайниками
>
>О, FreeBSD ready for Desktop!та-та-та, слыхАли, слыхАли.. пипл просто плакал горючими крокодиловыми слезами.. :)
http://blog.sun.com/roller/page/jbeck/20041001#rm_rf_protection
что будет следующим в списке? "cd / && rm -rf *" ?
// wbr
Хех... так скоро на халте с ребутом 644 стоять по умолчанию будет... А килл 1 1 вместо -1 1 при настройке мгетти эт по моему со всеми бывало.., тоже грешен =)
>bind теперь живет в chroot jail, причем все переехало из /etc/namedb в /var/named.
> Инструкция по переезду в случае обновления - /usr/src/UPDATINGЗачем ?
Я и так bind в jail подымаю.
Как и многое другое.
Всё супер,но АЛТКу больше всего радует
uldus:
> Мне больше bind в chroot понравилось, а то руками надоело уже ставить.А чем недостаточно '-u bind -g bind'?
BlackSir:
> Я как-то умудрился пропустить минус в строке 'kill -1 pid'.
А я для таких вещей специально сразу после инсталляции пишу скриптик "sighup", который берёт имя демона, вытаскивает из /var/run/demonname.pid PID процесса и посылает сигнал.
>> Мне больше bind в chroot понравилось, а то руками надоело уже ставить.
>
>А чем недостаточно '-u bind -g bind'?Тем, что с '-t chroot_path' про машину вместе с bind'ом можно забыть, а при '-u bind -g bind' придется забитится о локальной безопасности, следить за дырами в портах и держать лишний груз за плечами. Перестраховка никогда не бывает лишней.
PS. '-u bind -g bind' дает возможность, в случае дыры в named, поднять прокси или другой сетевой софт, например, радавать варез, ломать других, флудить, рассылать спам, слушать трафик. C '-t chroot' как прокси тоже можно использовать, но требует гораздо более высокой квалификации атакующего, начиная с проблем отсутствия окружения и библиотек и необходимости выполения софта без закачки на диск.