The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]



"Анонсирована внутриядерная реализация WireGuard для OpenBSD"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Анонсирована внутриядерная реализация WireGuard для OpenBSD"  +/
Сообщение от opennews (??), 12-Май-20, 07:50 
В твиттере компании EdgeSecurity, основателем которой является автор  WireGuard, сообщили о создании нативной и полностью поддерживаемой реализации VPN WireGuard под OpenBSD. В подтверждение словам опубликован скриншот с демонстрацией работы. Готовность патчей для ядра OpenBSD также подтверждена     Джейсоном Доненфилдом (Jason A. Donenfeld),  автором WireGuard, в анонсе обновления утилит wireguard-tools...

Подробнее: https://www.opennet.ru/opennews/art.shtml?num=52929

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по времени | RSS]


2. "Анонсирована внутриядерная реализация WireGuard для OpenBSD"  –9 +/
Сообщение от Аноним (2), 12-Май-20, 08:24 
> станет второй ОС (после Linux) с полной и интегрированной поддержкой WireGuard "из коробки"

Ну вот наконец и в BSD завезли. Технологическое отставание BSD от Linux слегка сократилось.

Ответить | Правка | Наверх | Cообщить модератору

9. "Анонсирована внутриядерная реализация WireGuard для OpenBSD"  +8 +/
Сообщение от Аноним (9), 12-Май-20, 10:07 
Быстрый ВПН шлюз единственная сфера применения OpenBSD.
Ответить | Правка | Наверх | Cообщить модератору

24. "Анонсирована внутриядерная реализация WireGuard для OpenBSD"  –7 +/
Сообщение от пох. (?), 12-Май-20, 12:11 
Быстрый что-либо - это вообще не про openbsd.

Вот интересно, почему автор выбрал самую маргинальную и ненужную из всех *bsd?

Ответить | Правка | Наверх | Cообщить модератору

39. "Анонсирована внутриядерная реализация WireGuard для OpenBSD"  +/
Сообщение от Аноним (39), 12-Май-20, 13:28 
самая маргинальная и ненужная-fragonfly, чуть менее netbsd. Опенок частенько встречается.
Ответить | Правка | Наверх | Cообщить модератору

43. "Анонсирована внутриядерная реализация WireGuard для OpenBSD"  +1 +/
Сообщение от пох. (?), 12-Май-20, 13:35 
dragonfly вообще-то вполне себе нужная - а то так и останетесь с мертвыми по лицензионным причинам zfs и btrfs, но да, более маргинальная.
netbsd и более нужная, и менее маргинальная.

Но вообще-то есть еще free, которая в отличие от этих всех по сей день используется мелкими провайдерами сэкономившими на сетевом оборудовании - и, подозреваю, число только таких использований на пару порядков выше чем вообще всех юзеров openbsd (да, всех пятерых ;-)

Ответить | Правка | Наверх | Cообщить модератору

71. "Анонсирована внутриядерная реализация WireGuard для OpenBSD"  +/
Сообщение от анонимуслинус (?), 12-Май-20, 15:32 
опенка в штатах крепко припрягла одна компания занимающаяся разработкой дронов безопасности. пока квадрокоптеры и прочее, но они переводят все свое оборудование на опенбсд. хотя от линя тоже не отказываются. так что точно не пять пользователей. и да опенка используют много людей и фирм , только в ограниченных отраслях. если ось не очень подходит для широкого промышленного или домашнего использования это не значит, что она совсем бесполезна, но да во всем остальном линух лидирует и это понятно. даже фряха потеряла много своих пользователей с улучшением линуха, но она все равно так же часто используется.
Ответить | Правка | Наверх | Cообщить модератору

87. "Анонсирована внутриядерная реализация WireGuard для OpenBSD"  +/
Сообщение от Аноним (87), 12-Май-20, 17:52 
Ты до сих пор не осилил администрирование OpenBSD? А как надувал щеки!
Ответить | Правка | К родителю #43 | Наверх | Cообщить модератору

129. "Анонсирована внутриядерная реализация WireGuard для OpenBSD"  +/
Сообщение от Аноним (129), 13-Май-20, 07:22 
Пох, ты все знаешь. Подскажи что-то умное.

Есть мать на чипсете Intel G41. Хотелось бы из нее сделать легкую юниксовую рабочую станцию или домашний сервер. Но она не хочет. Я ее могу загрузить чуть ли не с чего угодно, но только не с FreeBSD. Успешно на ней загружал и на нее устанавливал OpenBSD, NetBSD и Windows XP, загружал Solaris (пишу с него: Live-CD OpenSolaris 2009.06, кто бы мог подумать такое), DOS, разный Linux, наверняка загрузятся даже Plan 9 и QNX. Но FreeBSD -- ни в какую. Ни один релиз из 11-й и 12-й серий. Ни 32-, ни 64-разрядный. Ни с болванок, ни с винта внешнего, ни с сидирома внешнего. Тупо вот не грузится и все. Иногда ругается при загрузке на панику, иногда не ругается, но дальше загрузчика не грузится. Не знаю о чем и думать, о чем гуглить и в какую сторону смотреть.

Более старые релизы Фри не пробовал.


// Anonymoustus

// Вахтеры ради безопастносТе сломали форум, я теперь не могу ничего писать, как раньше: выбрасывает на страницу предупреждения о безопастносте. Чтоб им так зарплату платили, как они работают.

Ответить | Правка | К родителю #43 | Наверх | Cообщить модератору

137. "Анонсирована внутриядерная реализация WireGuard для OpenBSD"  +/
Сообщение от пох. (?), 14-Май-20, 11:39 
> Тупо вот не грузится и все. Иногда ругается при загрузке на панику, иногда не ругается, но
> дальше загрузчика не грузится.

включаешь дебаг загрузки (гугли), лучше - перенаправив всю ботву в serial port, он надежнее изуродованной linux'ным kms консоли. Результат несешь в send-pr...упс, да, его ж отменили, много вас таких тут ходют, а нам потом читай о ваших проблемах... В bugs.freebsd.org несешь, в интуитивно-приятный интерфейс.

И ждешь - лет через десять, вполне возможно, дождешься. (есть смысл в тутошнем форуме хотя бы скинуть ссылку на баг, только не в комментах к новости даже не о фре, а в форуме ;)

Грузиться при этом лучше не с установочного образа (кто еще вообще и зачем им пользуется) а с полноценной системы, установленной на флэшке (и не забыв при этом предусмотреть место для крэшдампа, он пригодится, если там и правда паника - это хорошо, это легко чинить)

Попутно можно подсунуть свое минималистичное ведро вместо generic, вдруг какой-то драйвер тебе не стоило и пытаться загружать - только не увлекись минимализмом и не отключай дебаг.

Ответить | Правка | Наверх | Cообщить модератору

155. "Анонсирована внутриядерная реализация WireGuard для OpenBSD"  +/
Сообщение от Аноним (87), 16-Май-20, 03:52 
Десять лет, говоришь? Нагуглил нотабуг, подозрительно напоминающий то, что вижу я:

http://bugs.freebsd.org/bugzilla/show_bug.cgi?id=151122

Только у меня не HP Compaq 6005 Pro, где процессоры AMD:

https://support.hp.com/us-en/product/hp-compaq-6005-pro-micr...

а вовсе даже Штеуда процессор и чипсет. Однако таки есть одно совпадение: у меня тоже видеокарта Ненавидия Квадро, хоть и другая.

Попробую поставить вместо неё игровую и посмотрю, что из этого получится. Если загрузится, то, значит, проблема в Ненавидии.

Ответить | Правка | Наверх | Cообщить модератору

156. "Анонсирована внутриядерная реализация WireGuard для OpenBSD"  +/
Сообщение от Аноним (87), 16-Май-20, 16:49 
Переписал на бумажку сообщения загрузчика:


FreeBSD/x86 bootstrap loader, Revision 1.1
panic: zfree(0x********,8224): wild pointer
--> Press a key on the console to reboot <--


Нотабуг, увы, гуглится и находится:

https://bugs.freebsd.org/bugzilla/show_bug.cgi?id=242106

Проблема в инсталляторе. Установочный образ 20200514-r361020 (из снапшотов: download.freebsd.org/ftp/snapshots/amd64/amd64/ISO-IMAGES/12.1/) загрузился как надо.

Не та уже Фря, не та…

Ответить | Правка | К родителю #137 | Наверх | Cообщить модератору

157. "Анонсирована внутриядерная реализация WireGuard для OpenBSD"  +/
Сообщение от пох. (?), 16-Май-20, 17:07 
Ну, вообще-то, не notabug, а исправлено, но пока не попало в релизы.

Вполне допустимый сценарий для необычного железа или vm, не вижу поводов для печали.

И да, стоит отписаться в этот баг, что вот на таком железе было такое же, но исправлено. Людям, которые исправили - как минимум, может пригодиться.

Ответить | Правка | Наверх | Cообщить модератору

161. "Анонсирована внутриядерная реализация WireGuard для OpenBSD"  +/
Сообщение от Аноним (87), 16-Май-20, 18:50 
> Вполне допустимый сценарий для необычного железа или vm, не вижу поводов для
> печали.

Что необычного в чипсете Intel G41 + ICH7 и процессоре Intel Core 2?

Проблема была в загрузчике Фри, не в моём железе.

Ответить | Правка | Наверх | Cообщить модератору

159. "Анонсирована внутриядерная реализация WireGuard для OpenBSD"  +/
Сообщение от Аноним (-), 16-Май-20, 18:07 
> Нотабуг, увы, гуглится и находится:
> https://bugs.freebsd.org/bugzilla/show_bug.cgi?id=242106

--
Status:    New
Reported:    2019-11-20 12:03 UTC by Dave Cottlehuber
Modified:    2020-04-07 20:48 UTC (History)

Andy Mender 2020-03-26 20:05:35 UTC
(In reply to Andy Mender from comment #3)
Image FreeBSD-12.1-STABLE-amd64-20200326-r359308-bootonly.iso no longer shows the error and boots properly.
--
Ни разу не встречается "notabug"


> Не та уже Фря, не та…

Зато перепончатые на опеннете в комментах к Фре - все так же верны себе.

Ответить | Правка | К родителю #156 | Наверх | Cообщить модератору

160. "Анонсирована внутриядерная реализация WireGuard для OpenBSD"  –1 +/
Сообщение от Аноним (87), 16-Май-20, 18:40 
> Зато перепончатые на опеннете в комментах к Фре - все так же
> верны себе.

Ты хоть немножко догадываешься, клоун, кому ты это пишешь?

Ответить | Правка | Наверх | Cообщить модератору

163. "Анонсирована внутриядерная реализация WireGuard для OpenBSD"  +/
Сообщение от Аноним (-), 16-Май-20, 20:14 
>> Зато перепончатые на опеннете в комментах к Фре - все так же
>> верны себе.
> Ты хоть немножко догадываешься, клоун, кому ты это пишешь?

Очередному эталону двойных стандартов, хамлу "вы мне все должны, патамушта я такой красивый!" и лгунишке-Нарциссу?


Ответить | Правка | Наверх | Cообщить модератору

130. "Анонсирована внутриядерная реализация WireGuard для OpenBSD"  –3 +/
Сообщение от БреттонВудс (?), 13-Май-20, 08:37 
netbsd вообще не используется и служит толька для обкатки бредовых идей
Ответить | Правка | К родителю #43 | Наверх | Cообщить модератору

133. "Анонсирована внутриядерная реализация WireGuard для OpenBSD"  +/
Сообщение от Аноним (87), 14-Май-20, 07:42 
Есть ещё вопросы к опытным собаководам.

В настройках pkg предусмотрены пути следующего вида:


http://pkg.freebsd.org/FreeBSD:8:i386/latest


На pkg.freebsd.org есть пакеты только для последних релизов. Для упомянутой FreeBSD 8 пакетов там нету, а её pkg, естественно, не работает. Как быть?

На фришном форуме тамошние авторитетные анонимы глубокомысленно вещают, что, дескать, если такой-то релиз EOL, то спешите обмазаться свежим, ароматным. Но это не ответ на данный вопрос. Нет, их ценное мнение о моей безопасТносте меня не интересует никак и никогда. Мне просто надо пакетов для восьмой фри, например. Мне чтобы работало в дальнем шкафу, а не чтобы модно и молодёжно. Где в интернетах лежат пакеты для старых фрибздей?

Пох, ты же знаешь?

Ответить | Правка | К родителю #43 | Наверх | Cообщить модератору

134. "Анонсирована внутриядерная реализация WireGuard для OpenBSD"  +1 +/
Сообщение от пох. (?), 14-Май-20, 08:19 
>  Есть ещё вопросы к опытным собаководам.

ну ты бы еще на кружке любителей анального рестлинга эти вопросы задавал, в паузах между раундами. Есть же форум здесь, если ты даже до freebsd@uafug.org.ua (он на русском) ты не в силах дотянуться.

> На pkg.freebsd.org есть пакеты только для последних релизов.

для *поддерживаемых* релизов. Что не так? Поддержка осуществляется силами комьюнити и для комьюнити. Поддерживать неподдерживаемые давно мертвые ветки у него ресурсов нет. Я бы мог понять плевки в сторону 11.0, но десять лет?!

> Для упомянутой FreeBSD 8 пакетов там нету, а её pkg, естественно, не работает. Как быть?

никак не быть - с разбегу и апстену.

> Пох, ты же знаешь?

знаю - см выше. Откуда возьмутся такие пакеты? Допустим я даже выложу тебе свои (они протухли точно так же и сравнительно безопасны только на моей 8 - где a) их никто не видит b) они собраны с моими специфическими настройками (например я не переживаю за свой древний bind, поскольку ни одна опубликованная увизгвизьмость его не касалась - там нет дырявых dnssec и xml)  - во-первых, их два десятка, а не двадцать тысяч (нахрена мне надо все это собирать?), во-вторых - ты рискнешь доверять моему васян-репо? Хотя бы даже в том плане, а не налажал ли я в своих патчах, не говоря уже о том не добавил ли чего интересного.

Тебе никто не запрещает cd /usr/ports ; make
Ну или настраивать poudriere, как у взрослых мальчиков.

Если тебе при этом еще и хочется не версий портов 2012го года - то придется обновлять pkg (это очень непросто, он завязан на изменения в _ядре_), мэйк (возможно достаточно ln bmake pmake, но я не гарантирую что оно там уже было и что работает) и самому сражаться с устаревшим компилятором и неподдерживаемыми версиями зависимостей.

Лично я два года назад при переносе с дохлого диска потерял src от последней восьмерки, и не планирую восстанавливать - при необходимости апгрейда чего бы то ни было я повздыхаю,  и поставлю вместо нее 12 - никакой специальной необходимости жить на малонагруженной древней системе с фиксированной версией - нет. (смысла апгрейдить ради апгрейда, понятно, тоже, поэтому она стояла и стоять будет)

P.S. напоминаю что у тебя там два local root, для одного есть патч, для второго нет и не сбэкпортишь, дыра в sshd, неработающий при отключенном в ядре (дырявом!) ipv6 pcap/tcpdump (c remote root), и еще так по мелочи. Поэтому тратить силы и время на самостоятельную поддержку настолько древней системы - по меньшей мере иррационально.

Нет, если тебе просто нравятся раритеты - ну так за ретро приходится платить, причем в основном своим временем и силами - на ретро-автомобиле образца 52го года на автосервисы не ездют, там их чинить все равно не умеют. И бесполезно возмущаться отсутствием такового.

Ответить | Правка | Наверх | Cообщить модератору

135. "Анонсирована внутриядерная реализация WireGuard для OpenBSD"  +/
Сообщение от Аноним (87), 14-Май-20, 08:49 
> для *поддерживаемых* релизов. Что не так? Поддержка осуществляется силами комьюнити и для комьюнити. Поддерживать неподдерживаемые давно мертвые ветки у него ресурсов нет. Я бы мог понять плевки в сторону 11.0, но десять лет?!

То не так, что архивы пакетов и всего -- где? Я могу тебе сказать, где живут архивы OpenBSD за всю её историю. Или Дебиана (ну это и так все знают). А ты мне скажи, где пакеты для FreeBSD 4.11^W^W релизов старше десятого.

И что там поддерживать? Оно лежит на дисках и даже не занимает много места. Поддерживать…


> Откуда возьмутся такие пакеты?

Ты прикалываешь или придуриваешься?

Куда они оттуда делись? У меня только один этот вопрос. Зачем бздуны так с нами поступают?


> Нет, если тебе просто нравятся раритеты - ну так за ретро приходится платить, причем в основном своим временем и силами - на ретро-автомобиле образца 52го года на автосервисы не ездют, там их чинить все равно не умеют. И бесполезно возмущаться отсутствием такового.

Меня возмущает то, что старые релизы уничтожают. Какое кому дело, что я с ними буду делать? Может я их коллекционировать хочу.

Ответить | Правка | Наверх | Cообщить модератору

136. "Анонсирована внутриядерная реализация WireGuard для OpenBSD"  +/
Сообщение от пох. (?), 14-Май-20, 11:24 
> То не так, что архивы пакетов и всего -- где?

в помойке - сколько их хранить и на чьи деньги?

Но тебе никто не мешал смиррорить сразу в тот день, когда объявили EOL - чай не интел, он заранее был известен.
Лично мне было просто неинтересно - зачем мне архив устаревших дырявых сборок абсолютно всего на свете с не теми настройками которые мне актуальны?

При этом в distfiles все еще лежит масса интересного тех времен (хотя и не все - его в какой-то момент очень удачно "улучшили", заодно сделав неиндексируемым). Но опять же - ценность этого сомнительна. Если нет какого-то важного и нужного патча для софтины 2011го года - вероятно, надо опомниться, и перейти на софтину 2017го хотя бы - к ней патчи еще доступны.

> Или Дебиана (ну это и так все знают).

вообще-то _архивы_ дебиана лежат на сайте совершенно не имеющих отношения к проекту людей, героически разведших несколько провайдеров оплачивать им хостинг и терабайты (там реально десятки тер) места. Причем польза от этой коллекции хлама весьма сомнительна.

Но ты мог бы сделать свою такую же для freebsd. На нее даже был бы небольшой спрос - иногда чтобы собрать что-то ненужное, приходится понаставить два десятка ненужных дев-зависимостей, и вот про них часто все равно - кем и как они собраны и сколько там увизгвизмостей - после сборки они будут удалены вметсе со всем сборочным мусором. (Но в какой-нибудь astro десятилетней давности - гарантирую, никто и никогда не заглянет. А место оно будет занимать.)

Но ты ж не хочешь из своего кармана и своим временем заплатить? Вот и я не хочу - не настолько заинтересован. Ну пересоберу если очень понадобится, машина - она железная.

> Меня возмущает то, что старые релизы уничтожают.

они действительно дорого обходились, все эти мегатонны ненужных бинарников. При этом уверен, что процентов 70 не скачал никогда в жизни ни один человек - все кому оно на самом деле было надо, собирали себе так, как им было надо - в конце-концов, легкость подобных настроек (и тиражируемость их на свои сети, сколько б там ни было систем) является одним из преимуществ портов.
А уж особенно - когда порт устарел и ставить что попало как попало может быть реально опасно.

> Может я их коллекционировать хочу.

ну так займись - того гляди 11й ветке придет конец.
Для экономии - можно коллекционировать только исходники (вдруг какой gnu.org сдохнет, как уже,кстати, было с гуглекодом) и патчи (это важно, их никто не обещал хранить вечно), собирать необязательно, пока не понадобится.

Я, повторю, не вижу смысла - даже в старой системе мне вряд ли хочется таких же тухлых портов.


Ответить | Правка | Наверх | Cообщить модератору

142. "Анонсирована внутриядерная реализация WireGuard для OpenBSD"  +/
Сообщение от Аноним (87), 14-Май-20, 11:59 
> сколько их хранить и на чьи деньги?

Вообще-то хранить надо навсегда. Для этого, в конце концов, даже специальные файловые системы были изобретены.

И это не стоит каких-то больших денег. У опенсосиев на фуршеты и банкеты ежегодно расходуется больше, чем было бы надо, чтоб купить и поставить в углу пару полок дисков чисто для архива. Диски в наше время дешевые как никогда, грандиозных мощностей для обслуживания не требуют.


> Но тебе никто не мешал смиррорить сразу в тот день, когда объявили EOL - чай не интел, он заранее был известен.

Мне и в голову раньше бы не пришло, что архивы софта могут быть просто стёрты с дисков или сделаны труднодоступными или вовсе недоступными.

Причём сами-то пакеты там на серверах лежат -- см. ниже ссылки для первого релиза и для 4.11:

http://ftp-archive.freebsd.org/pub/FreeBSD-Archive/ports/i38.../

http://ftp-archive.freebsd.org/pub/FreeBSD-Archive/ports/i38.../

По FTP тоже доступны.

К ним только уже нету на серверах инфраструктуры для pkg в твоей машине. А с толкача, вручную -- устанавливай сколько хошь.


> вообще-то _архивы_ дебиана лежат на сайте совершенно не имеющих отношения к проекту людей, героически разведших несколько провайдеров оплачивать им хостинг и терабайты (там реально десятки тер) места. Причем польза от этой коллекции хлама весьма сомнительна.

Спешу тебя обрадовать официальной репой:

http://archive.debian.org/debian-archive/debian/dists/


Ладно, я проблему ещё раз сформулирую, чтобы меня всё-таки правильно здесь поняли: пакеты на серверах Фрибзды есть, лежат кучками в архивном разделе, но доступа к ним из pkg уже списанных релизов -- нету.

Ответить | Правка | Наверх | Cообщить модератору

143. "Анонсирована внутриядерная реализация WireGuard для OpenBSD"  +/
Сообщение от пох. (?), 14-Май-20, 12:37 
> Вообще-то хранить надо навсегда.

ну, храни!

> И это не стоит каких-то больших денег.

и где же твое зеркало? Опачки - из твоего личного-то кишенька оказывается - не такие уж и небольшие, да?

У меня вот есть личное зеркало дорогого мне opensuse 11.4 и ненавидимого 12.1 (который угораздило поставить на "десктоп"). Не такое уж и бесплатное. Напоминаю, что без него ты не поставишься вообще - в том числе если сейчас сдохнет диск в том "десктопе", это не бесполезная свалка ненужного хлама. Даже если сразу после установки половину поменять на современное (что я и делаю).

Но я не готов сделать его публичным - потому что мне придется поддерживать не только древнюю свалку, но и современную инфраструктуру (и защищать от роботов-е6оботов, пытающихся ее проломить, включая и zeroday - им похрен, что там старый софт, шерстяные не дадут соврать - дома при закрытых дверях я _уверен_ что софт не подменен, даже если ключей pgp давно уже нет).

> Диски в наше время дешевые как никогда, грандиозных мощностей для обслуживания не требуют.

ну так что же ж ты?!

> Мне и в голову раньше бы не пришло, что архивы софта могут быть просто стёрты с дисков

об этом предупреждали за два года до часа хе. И вон - архивы мусорного софта даже валяются по сей день - просто сервера для них нет.

http://ftp-archive.freebsd.org/pub/FreeBSD-Archive/ports/i38.../

качай, на здоровье. Рассказать тебе, куда это скопировать, чтобы pkg add работал?

> http://archive.debian.org/debian-archive/debian/dists/

это бесполезный мусор - мне нужны не пакеты на текущий момент, мне нужны пакеты до обновления, которое все сломало (сгодятся на момент релиза - раз я его поставил, значит все работало). И где они? (Они хранятся, но не трудами дебиана)

> серверах Фрибзды есть, лежат кучками в архивном разделе,

ну видишь, как тебе повезло! Мне вот не приходило в голову туда даже заглянуть, за бесполезностью.

> но доступа к ним из pkg уже списанных релизов -- нету.

потому что pkg-репо у нас один, и версия протокола там двадцать раз поменялась. А отдельный для любителей старья держать и _латать_ бесконечно, и следить чтоб не поломали - желающих, видимо, не нашлось.

Ну подними свой, у тебя ж время и вдохновение, и тебе оно надо. Можешь даже не кэшировать бинарники - просто пробрасывать прокси на архив.

Ответить | Правка | Наверх | Cообщить модератору

152. "Анонсирована внутриядерная реализация WireGuard для OpenBSD"  +/
Сообщение от Аноним (87), 14-Май-20, 19:02 
> и где же твое зеркало? Опачки - из твоего личного-то кишенька оказывается - не такие уж и небольшие, да?

Если не знаешь ответа на мой вопрос, то и напиши прямо, а столь многословное «ой, не шмагла я!» -- ни к чему.


> http://archive.debian.org/debian-archive/debian/dists/
> это бесполезный мусор - мне нужны не пакеты на текущий момент, мне нужны пакеты до обновления, которое все сломало (сгодятся на момент релиза - раз я его поставил, значит все работало). И где они? (Они хранятся, но не трудами дебиана)

И эти люди запрещают нам винду.

Ты в пулы-то дебиановские хоть разик заглядывал за десятилетия трудовой деятельности? Для примера пусть будет Bash для двух с половиной архивных пулов:

http://archive.debian.org/debian-archive/debian/pool/main/b/.../

http://archive.debian.org/debian-archive/debian-amd64/pool/m.../

http://archive.debian.org/debian-archive/debian-backports/po.../

В наличии входившие в релизы сборки для всех архитектур, плюс исходники и диффы, где надо.

Потому мы и любили Дебиан, пока его не захватили красношляпые SJW-антифашисты.


> Ну подними свой, у тебя ж время и вдохновение, и тебе оно надо. Можешь даже не кэшировать бинарники - просто пробрасывать прокси на архив.

Если бы у меня было время и вдохновение, я бы сделал свой личный совершенный Юникс с шахматами и официантками, а сюда вообще бы не заглядывал задавать вопросы анониму, который позиционирует себя как видный специалист по фрям, бздам и ещё множеству дисциплин собаководства.

Ответить | Правка | Наверх | Cообщить модератору

158. "Анонсирована внутриядерная реализация WireGuard для OpenBSD"  +/
Сообщение от пох. (?), 16-Май-20, 17:19 
>> и где же твое зеркало? Опачки - из твоего личного-то кишенька оказывается - не такие уж и небольшие, да?
> Если не знаешь ответа на мой вопрос, то и напиши прямо, а

я знаю ответ на твой вопрос - стерто нахрен, потому что денег из воздуха - нет. Тебе повезло, и какой-то (совершенно мне ненужный и неинтересный) миррор все еще не почистили от старья - это временно.

Но ты же позволяешь себе вякать, что кто-то, видите-ли, тебе _должен_ хранить этот мусор, и это якобы дешево - угу, пока ТЕБЯ не просят за это заплатить - даже ради себя же, любимого, ты на такие жертвы, ну надо же, не готов. Пусть дядя платит, да?

> Ты в пулы-то дебиановские хоть разик заглядывал за десятилетия трудовой деятельности? Для

причем тут пулы? В пулах лежат ровно последние сборки (для всех версий, включая неподдерживаемые, поэтому их там больше одной). Мне нужна сборка под мою версию дистрибутива (а не позапрошлую) - но не та что там сейчас. Где? Правильный ответ: snapshot.debian.org (в упор не видишь разницы между ним и archive?)
Но за это скажи спасибо немцам из Leaseweb. Если бы их не было (а вот для ubuntu таких щедрых не нашлось) - точно так же сидел бы ты с кучей мусора "времен релиза".

> В наличии входившие в релизы сборки для всех архитектур, плюс исходники и

мне не нужна "входившая в релиз" - он три года назад был. Мне нужна та, что только позавчера автоматически заменилась на новую-модную, только поломанную. В силу особенностей де6иллиановых индексов - ее невозможно там сохранить.
(У rpm-based дистрибутивов - возможно и сохраняется, и автоматически устанавливаема штатным образом без ненужных приседаний)

> Если бы у меня было время и вдохновение, я бы сделал свой
> личный совершенный Юникс с шахматами и официантками

разницу между личным юниксом и тривиальным миррором сделанным вовремя - ты, конечно же, старательно не видишь.
Ну надейся что какой-то шитхостер в NY (если я правильно угадываю) не сотрет послезавтра же лишний мусор - или просто не навернется у него диск.

Ответить | Правка | Наверх | Cообщить модератору

162. "Анонсирована внутриядерная реализация WireGuard для OpenBSD"  +/
Сообщение от Аноним (87), 16-Май-20, 19:33 
> я знаю ответ на твой вопрос - стерто нахрен, потому что денег
> из воздуха - нет. Тебе повезло, и какой-то (совершенно мне ненужный
> и неинтересный) миррор все еще не почистили от старья - это
> временно.

Ну раз так, то туда ей и дорога. Надеюсь, ты догадываешься, какие в мире чистогана радужные перспективы у программных проектов, так относящихся к потребителю их продукта? Ресурсов будет становиться всё меньше -- вот так чудеса!


> Но ты же позволяешь себе вякать, что кто-то, видите-ли, тебе _должен_ хранить
> этот мусор, и это якобы дешево - угу, пока ТЕБЯ не
> просят за это заплатить - даже ради себя же, любимого, ты
> на такие жертвы, ну надо же, не готов. Пусть дядя платит,
> да?

Ты бы не хамил, а подсказал, показал личным примером доброжелательность сообщества. Фряшное русскоговорящее сообщество, похоже, такое же сектантское и токсичное, как и лап4чатое.

Напомню ещё раз, что для всех программных проектов главная ценность -- пользователи их программных продуктов. Если пользователи недовольны, надо их выслушать и услышать, а не делать морду кирпичом. Иначе пользователи отвернутся в сторону других программных продуктов. Особенно если начинают вымогать и клянчить деньги даже не разработчики, а посторонние форумные бездельники. Срамота.


> мне не нужна "входившая в релиз" - он три года назад был.
> Мне нужна та, что только позавчера автоматически заменилась на новую-модную, только
> поломанную. В силу особенностей де6иллиановых индексов - ее невозможно там сохранить.
> (У rpm-based дистрибутивов - возможно и сохраняется, и автоматически устанавливаема штатным
> образом без ненужных приседаний)

Никак не могу понять, что тебе надо.

У _правильно_ настроенного для продакшына Дебиана без твоего разрешения ничего автоматически не заменится на новое-модное. Или опиши в деталях свой случай, когда такое случилось.

Ответить | Правка | К родителю #158 | Наверх | Cообщить модератору

164. "Анонсирована внутриядерная реализация WireGuard для OpenBSD"  +/
Сообщение от пох. (?), 17-Май-20, 13:13 
> Ну раз так, то туда ей и дорога. Надеюсь, ты догадываешься, какие в мире чистогана радужные
> перспективы у программных проектов, так относящихся к потребителю их продукта?

абсолютно нормальные. В те времена, когда "don't ask what linux can do for you, ask what you can do for linux" - им и пользоваться можно было без тошноты. Без всего этого inclusive и так далее.

Я могу возмущаться чем-то вроде
r193999 | jhb | 2009-06-11 17:07:42 +0400 (Thu, 11 Jun 2009) | 3 lines

MFC: Add a feature_present(3) function which checks to see if a named kernel
feature is present by checking the kern.features sysctl MIB.

это архинужный и полезный комит в _четвертую_ версию спустя годы после EOL - и такого добра там - полно, при этом заставить их принять бэкпорт патчей, убирающих local root или чинящих tcpdump в восьмерке невозможно - под предлогом EOL. При том что тут не нужны ни материальные затраты, ни сверхусилия. (А комиты сомнительной нужности от нужных-и-полезных-людей с битиком туда идут по сей день)

Но решительно не понимаю претензий предоставлять тебе любимому на халяву ресурсы для десять лет мертвой системы и обслуживать их, храня гигабайты вредного и опасного мусора - хотя сам ты мог бы это сделать (и даже часть мусора обновить на менее вредный и опасный, просто поменяв цифирки) - все инструменты тебе предоставлены, отлично документированы и в целом система заточена на такое самообслуживание.

> Ты бы не хамил, а подсказал, показал личным примером доброжелательность сообщества.

я тебе вполне доброжелательно показал пальцем, что там все гнилое и дырявое, и надо не бережно хранить посреди квартиры труп мертвой бабушки, выражая свое фе что жек не снабжает тебя на халяву дезодорантом, а побыстрее предать ее земле.

> Никак не могу понять, что тебе надо.

то есть чем отличаются snapshots от кладбища пакетов-на-дату-релиза ты так и не понял?

> У _правильно_ настроенного для продакшына Дебиана

это который вообще не обновляется? Спасибо, но с моей точки зрения, правильно настроенная система таки должна обновляться, и лучше бы - автоматически, а не мое время жрать. Но оставляя возможность вернуть как было до обновления, если что-то сломали и оно умудрилось просочиться мимо тестирования (которое должно быть, и не уровня "собирается, а если не - откатим последний комит через 40 минут"). По каким-то неведомым причинам особенности дебиановских реп это не позволяют.

Ответить | Правка | К родителю #162 | Наверх | Cообщить модератору

165. "Анонсирована внутриядерная реализация WireGuard для OpenBSD"  +/
Сообщение от Аноним (87), 17-Май-20, 22:03 
>> Ну раз так, то туда ей и дорога. Надеюсь, ты догадываешься, какие в мире чистогана радужные
>> перспективы у программных проектов, так относящихся к потребителю их продукта?
> абсолютно нормальные. В те времена, когда "don't ask what linux can do
> for you, ask what you can do for linux" - им
> и пользоваться можно было без тошноты. Без всего этого inclusive и
> так далее.

Сейчас это затруднительно сказать, пожалуй, даже о Слаквари. Патрик, вроде, ещё держится, но нового релиза вот уже четыре года как нету (хотя лично меня, замечу, это нисколько не напрягает, даже наоборот). Со всех сторон подбираются системдауны, прикладной софт (как sudo) портят. Рано или поздно они могут проникнуть и в Слаку и начать её изменять изнутри. Они уже работают на этом поприще ( https://github.com/Dlackware/systemd ; https://www.linux.org.ru/gallery/screenshots/13702531 ).

Когда сдалась даже команда NetBSD и перешла на новую модную бессмысленную нумерацию релизов, уже стало совсем некуда бечь. Не на MINIX же... Упадок повсеместно.

Я не раз писал на страницах этого печального форума, что стратегия Майкрософта, описанная Спольским ( https://www.joelonsoftware.com/2002/01/06/fire-and-motion/ ), оправданна только для коммерческого софтописательства и только для борьбы с конкурентами. Больше ни для кого она не годится (что более чем убедительно показала сама Майкрософт после 2010 года). Для СПО она вообще противопоказана, поскольку убивает всё живое. СПО не должно ни с кем соревноваться в гонке версий, оно вообще не ради этого было создано, а чтобы дать людям высококачественную и недорогую (даже бесплатную) замену коммерческим юниксам. Ключевое слово -- высококачественную. Это никак не вяжется с тактикой ляп-ляп-и-в-продакшын, лишь бы рос номер версии. И никак не может быть объяснено дороговизной труда программистов: программисты вроде как не за деньги пишут СПО (линукс не считается), а по зову души и для того, чтобы сделать мир лучше. Как с этим сообразуется гонка версий и болтовня о стоимости труда программиста? Да никак. СПО выродилось и, скорее всего, сдохнет в обозримом будущем. Ибо в нём прохудилась его идейная часть, в нём умерла философия и ушёл прочь разум. Даже Ногоед не такой кретин, как молодое пополнение СПО. Им не нужен Юникс, они его не понимают и не интересуются. Им нужна бесплатная винда и бело-серые на бело-сером приложения в браузере.

Когда умрут последние зубры из поколения Ритчи, Кнута, Вирта, на смену им не придёт никто...

> Я могу возмущаться чем-то вроде
> r193999 | jhb | 2009-06-11 17:07:42 +0400 (Thu, 11 Jun 2009) |
> 3 lines
> MFC: Add a feature_present(3) function which checks to see if a named
> kernel
> feature is present by checking the kern.features sysctl MIB.
> это архинужный и полезный комит в _четвертую_ версию спустя годы после EOL

Я придерживаюсь другой точки зрения. Вместо того, чтобы часто выпускать новые релизы системы, было бы лучше изначально продумать такую системную инфраструктуру, которая бы позволяла обновлять или добавлять отдельные компоненты, не нарушая целостности общего. Хочешь свежее ядро? На. Хочешь других библиотек? На тебе вторичную, третичную иерархию и там внутри балуйся на здоровье (да так же и было ведь задумано с первых лет Юникса). Обнаружены баги и дыры в программах? Обнови только _эти_ программы, ни к чему менять всю систему... Для новой функциональности надо писать новые программы, а не добавлять её в старые. Иначе нарушается консистентность опыта человека, а его знания и навыки обесцениваются, из-за чего приходится бесконечно изобретать велосипеды, «облегчающие» рутину, которую изменили «инновации». Если не ошибаюсь, так были устроены AIX и HP-UX, но я опыта с ними не имею.

Представь себе, что у кого-то таки работает четвёртая версия и вдруг в неё приезжают обновления -- за такое можно и нужно заслать донатов.


> Но решительно не понимаю претензий предоставлять тебе любимому на халяву ресурсы для
> десять лет мертвой системы и обслуживать их, храня гигабайты вредного и
> опасного мусора - хотя сам ты мог бы это сделать (и
> даже часть мусора обновить на менее вредный и опасный, просто поменяв
> цифирки) - все инструменты тебе предоставлены, отлично документированы и в целом
> система заточена на такое самообслуживание.

Ты не понимаешь потребителя, который использует софт не для создания другого софта, а для бизнеса, к примеру. Бизнес и его деньги -- любит тишину и предсказуемость рутины. Если в своё время продукт рекламировали как надёжный, безопасный и так далее -- помогающий бизнесу решать его задачи, а спустя какое-то время к продукту внезапно не находятся его репозитории -- бизнес немножечко напрягается. Вдруг у меня этот софт на производственной линии работает и понадобилась какая-то программа или библиотека спустя 10 (20, 30) лет после наладки и пуска? У Межделмаша и подобных ему вендоров старой школы на такие случаи заведены отдельные склады с окаменевшими продуктами динозавров и мамонтов. Ибо клиенту может понадобиться, например, процессор i8086 или планка памяти тех времён или ещё что-то, а останавливать или менять станок или даже целый завод -- невозможно (и нынешним программистам это чрезвычайно трудно объяснить, они слишком тупые). И там вообще DOS крутится. И КОБОЛ, и Фортран, и другие неведомы зверушки... Нет ничего хуже перемен в налаженном бизнесе.

Не, я помню, что во Фре есть порты. Но кто этим хочет заниматься в свободное от отдыха время?


> я тебе вполне доброжелательно показал пальцем, что там все гнилое и дырявое,
> и надо не бережно хранить посреди квартиры труп мертвой бабушки, выражая
> свое фе что жек не снабжает тебя на халяву дезодорантом, а
> побыстрее предать ее земле.

Я ж специально пишу: проблемы моей безопастносте -- это _моя_ головная боль. Мне не надо, чтоб меня кутали в одеялко и прятали от опасного мира в детскую кроватку заботливые чужие дяди, которые якобы лучше меня знают, какие мне снятся кошмары по ночам.


>> Никак не могу понять, что тебе надо.
> то есть чем отличаются snapshots от кладбища пакетов-на-дату-релиза ты так и не
> понял?

Я не понимаю, какой тебе оттуда может быть нужен софт, и почему. Если ты точно знаешь о каких-то увизгвимостях в специфической сборке, причём не вошедшей в репу, то возьми в гитхлюпе исходники того времени, поправь руками и собери свой пакет. Накой тебе эти бестолковые снапшоты, собранные кем попало на чём попало? Чем они лучше твоего самосбора?


>> У _правильно_ настроенного для продакшына Дебиана
> это который вообще не обновляется?

Обновляется же. Можно ж настроить получение обновлений только из репозитория обновлений сесурити, даже бэкпорты не подключать. И годков пять инсталляция вполне отходит, не меняя мажорные версии ядра и системных потрохов, а там уж и переехать на что-то новее можно, если очень хочется.

> Но оставляя возможность вернуть как было до
> обновления, если что-то сломали и оно умудрилось просочиться мимо тестирования (которое
> должно быть, и не уровня "собирается, а если не - откатим
> последний комит через 40 минут"). По каким-то неведомым причинам особенности дебиановских
> реп это не позволяют.

Если исходить из предположения, что там пакеты ещё и тестируют, а не только собирают, то логично в репах держать только проверенные сборки, а не все подряд. Не?

Вот я для общего развития смотрю, что показывает aptitude в Devuan 2.1 ASCII для libc6:

2.24-11+deb9u1    stable-security
2.24-11+deb9u4    stable

Установлена вторая. При желании можно вернуться на первую. По зависимостям произойдёт откат ещё для пары связанных пакетов. Хотя, вот честно, без помощи гугла я не знаю, чем одна отличается от второй. В крайнем случае -- начну читать бюллетень безопастносте, чтоб не так страшно жить было.

Если тебе нужны какие-то специфические гарантии, которых я не понимаю, то, наверное, только к Красной Шапке, если она их даёт. И то -- как пишут отдельные анонимы, на удалённой поддержке у Шапки копченые из индостанских джунглей, а не белые люди в костюмах и при галстуках.

Ответить | Правка | К родителю #164 | Наверх | Cообщить модератору

166. "Анонсирована внутриядерная реализация WireGuard для OpenBSD"  +/
Сообщение от пох. (?), 17-Май-20, 23:14 
> Представь себе, что у кого-то таки работает четвёртая версия и вдруг в неё приезжают обновления

и ломают ее к хренам. Потому что это обновление сделано васяном для своей единственноверной конторы и никем вообще не тестировалось. О нем вообще никто не знает - EOL системе, пять лет как.

И вот ты сидишь, пытаясь понять - какого хрена?! А-а-а, вот оно чо - тут резвился васян-с-комит-битом!

А нужные и важные обновления при этом выкидывают в помойку closed, wontfix, EOL.
(я пытался, да. С кишками и кровищей удалось протолкнуть после EOL хотя бы медведовское вечное лето - банальное исправление таймзон тоже намертво отказывались принимать, при том что возможности поставить их из левого порта тогда еще не было, да и порты тоже быстро поломали - напоминаю, у портов нет веток, они всегда ".")

> Ты не понимаешь потребителя, который использует софт не для создания другого софта, а для
> бизнеса, к примеру. Бизнес и его деньги -- любит тишину и предсказуемость рутины.

я не понимаю - _потребителей_ в мире шв...бесплатного софта.
Мне нужна предсказуемость (gwdg.de рано или поздно сотрет мои любимые архивы, сколько можно) - я делаю себе зеркало и пару бэкапов про запас.
Мне нужна возможность откатывать deb пакеты не смотря на убогость реп (и попутно некоторая независимость от внедрения чебурнетов) - я держу зеркало с эпизодическими снапшотами (у меня выйдет меньше чем у snapshots.debian.org, потому что я не храню пятьдесят версий мурзилы и сорок ведра для всех активных релизов, мне нужен только один). Да, это будет неудобно, но консистентность системы сохранится.

Если бы я верил в то что это нужно еще кому-то - я возможно что-то из этого даже сделал бы публичным. Ровно до тех пор, пока это нужно мне самому.

> 2.24-11+deb9u1    stable-security
> 2.24-11+deb9u4    stable

обрати внимание, за счет чего это сделали - вторую положили в другой репо.
А цифирки как бы намекают, что было еще минимум две. Где они?
А нигде - репо всего два, и еще можно одну версию держать в backports, но у них у каждой свое специальное назначение, поэтому на самом деле нельзя, и если бы эта u4 была не просто багфиксом, а исправлением безопасности - u1 ты бы уже не нашел.

> Хотя, вот честно, без помощи гугла я не знаю, чем одна отличается от второй.

об этом узнаешь когда оно тебе что-то поломает.
И вот тут у тебя начинаются проблемы, потому что не всегда и с помощью гугла легко откатить как было.

> Если тебе нужны какие-то специфические гарантии, которых я не понимаю

мне нужно чтобы поставленный неделю назад дистрибутив в точности соответствовал тому, что я ставлю сегодня, например. Включая даже глюки - что-то может быть завязано именно на неправильное поведение, и не поменяешь быстро.
А это в принципе невозможно - тех версий нет, нигде (кроме snapshots, но повторяю, это добрая воля leaseweb, и у них уже пару раз все падало, и с зеркалами такого монстра - туго).

В любом (кроме, вероятно, alt) rpm-based дистрибутиве старые пакеты не удаляются - их репо не завязаны на единственно-верную версию. Иногда это обидно (когда там лежит пятьдесят версий той же мурзилы, причем вместе с исходниками и отладочной информацией, вообще неизвестно кому нужной, гигабайты мусора), но иногда оказывается очень ценно.

Ответить | Правка | К родителю #165 | Наверх | Cообщить модератору

167. "Анонсирована внутриядерная реализация WireGuard для OpenBSD"  +/
Сообщение от Аноним (87), 18-Май-20, 11:15 
>> Ты не понимаешь потребителя, который использует софт не для создания другого софта, а для
>> бизнеса, к примеру. Бизнес и его деньги -- любит тишину и предсказуемость рутины.
> я не понимаю - _потребителей_ в мире шв...бесплатного софта.

Тогда для кого всё это СПО? Только для программистов? Или я чего-то не понимаю? Ногоед всея опенсоссии вроде писал, что речь о свободе доступа к информации для всех.

На сайтах xBSD и хороших линуксов не наезжают на посетителей и не надуваются от важности, а уведомляют о том, что ты можешь помочь проекту -- если сочтёшь возможным и нужным:

> please _consider_ donating if you would like to see more of this work (NetBSD)
> If you love FreeBSD like we do, please help us spread the word and, if you haven’t already done so, make a donation today.
> Please do consider a donation today: the funds contribute to the stability of this effort and are a good reality check for everyone involved, telling us how much we are all investing in this project to ensure its sustainability (Devuan).

и т.п.

И только в русскогорящем секторе на форумах бесконечно тошнят о том, дал ли ты донатов. Да не ваше это дело, ребята. Никто не обязан отчитывать об этом даже перед теми, кому задонатил. Даже налоговая понимает, что это не сокрытие доходов и не какой-то схематоз.


> Мне нужна предсказуемость (gwdg.de рано или поздно сотрет мои любимые архивы, сколько
> можно) - я делаю себе зеркало и пару бэкапов про запас.

Тебе никогда не приходило в голову, зачем люди всё-таки создают все эти архивы и зеркала? Нет ли у них какой-то высокой и благотворительной цели.


> Если бы я верил в то что это нужно еще кому-то -
> я возможно что-то из этого даже сделал бы публичным. Ровно до
> тех пор, пока это нужно мне самому.

Что есть только у тебя, того нет больше ни у кого. Следовательно, эту информацию можно считать утраченной для рода человеческого. Сомнительное достижение, не?


>> 2.24-11+deb9u1    stable-security
>> 2.24-11+deb9u4    stable
> обрати внимание, за счет чего это сделали - вторую положили в другой
> репо.
> А цифирки как бы намекают, что было еще минимум две. Где они?
> А нигде - репо всего два, и еще можно одну версию держать
> в backports, но у них у каждой свое специальное назначение, поэтому
> на самом деле нельзя, и если бы эта u4 была не
> просто багфиксом, а исправлением безопасности - u1 ты бы уже не
> нашел.

Я доверяю проекту и надеюсь, что они знают своё дело. У меня просто нет варианта -- не доверять: я физически не смогу отслеживать изменения софта, не говоря уж о каких-то исправлениях. Даже собрать LFS по мануалу -- это сверхзадача для одного человека, если он не юноша бледный со взором горящим и избытком свободного времени.

Ответить | Правка | К родителю #166 | Наверх | Cообщить модератору

151. "Анонсирована внутриядерная реализация WireGuard для OpenBSD"  +/
Сообщение от анонн (ok), 14-Май-20, 18:43 
> В настройках pkg предусмотрены пути следующего вида:
>
 
> http://pkg.freebsd.org/FreeBSD:8:i386/latest
>

> На pkg.freebsd.org есть пакеты только для последних релизов. Для упомянутой FreeBSD
> 8 пакетов там нету,

А если, поклацав по зеркалам, найду?
http://pkg0.nyi.freebsd.org/FreeBSD:8:i386/latest/

Это помимо вполне официальных архивов релизов:
http://ftp-archive.freebsd.org/pub/FreeBSD-Archive/ports/i38.../

> На фришном форуме тамошние авторитетные анонимы глубокомысленно вещают, что, дескать, если такой-то релиз EOL, то спешите обмазаться свежим, ароматным.

Погодите, я не расслышал - сколько-сколько вы задонатили на нужды проекта?

Ответить | Правка | К родителю #133 | Наверх | Cообщить модератору

153. "Анонсирована внутриядерная реализация WireGuard для OpenBSD"  +/
Сообщение от Аноним (87), 14-Май-20, 22:02 
> Погодите, я не расслышал - сколько-сколько вы задонатили на нужды проекта?

Вы там на кассе, а я у вас что-то покупаю? Если нет -- не задавайте незнакомым людям такие вопросы, это запредельное хамство.

Ответить | Правка | Наверх | Cообщить модератору

154. "Анонсирована внутриядерная реализация WireGuard для OpenBSD"  –2 +/
Сообщение от Аноним (154), 14-Май-20, 23:28 
>> На фришном форуме тамошние авторитетные анонимы глубокомысленно вещают, что, дескать, если такой-то релиз EOL, то спешите обмазаться свежим, ароматным.
> Вы там на кассе, а я у вас что-то покупаю? Если нет
> -- не задавайте незнакомым людям такие вопросы, это запредельное хамство.

Эталон двойных стандартов из палаты мер и весов.

Ответить | Правка | Наверх | Cообщить модератору

48. "Анонсирована внутриядерная реализация WireGuard для OpenBSD"  +4 +/
Сообщение от Дон Ягон (ok), 12-Май-20, 13:45 
"Маргинальная ОС" - это TempleOS, например. Применять эту характеристику по отношению к любой из четырёх известных *BSD - унылый троллинг и провокация.
Все хороши, по своему. И Free, и Net, и Open, и Dragonfly.
Ответить | Правка | К родителю #39 | Наверх | Cообщить модератору

53. "Анонсирована внутриядерная реализация WireGuard для OpenBSD"  +3 +/
Сообщение от expert (??), 12-Май-20, 14:16 
между прочим стрекоза используют собственную FS HAMMER. может ли этим похвастаться какой-нибудь убунту линукс?
Ответить | Правка | К родителю #39 | Наверх | Cообщить модератору

60. "Анонсирована внутриядерная реализация WireGuard для OpenBSD"  –4 +/
Сообщение от _MadeInRussia_ (?), 12-Май-20, 15:01 
А за чем этим хвастаться? Я бы, скорее, сказал, что ФС Dragonfly не нашла применений за рамками самого дистрибутива (в отличии от той же zfs и прочих).
Ответить | Правка | Наверх | Cообщить модератору

44. "Анонсирована внутриядерная реализация WireGuard для OpenBSD"  +3 +/
Сообщение от Дон Ягон (ok), 12-Май-20, 13:36 
> Вот интересно, почему автор выбрал самую маргинальную и ненужную из всех *bsd?

От любви большой.

"On a personal note, I've kind of gazed enviously at OpenBSD for years, and gladly devoured its general philosophy of programming simple and secure systems. In many ways, WireGuard itself was inspired by the simplicity of approaches found in OpenBSD and the elegance of those interfaces so fastidiously documented in the man pages. So, you might regard it as just a weird historical accident of my own kernel development that this was on Linux, because the influence of the project has clearly been from OpenBSD."

Ответить | Правка | К родителю #24 | Наверх | Cообщить модератору

81. "Анонсирована внутриядерная реализация WireGuard для OpenBSD"  +/
Сообщение от Bob (??), 12-Май-20, 17:20 
ни х... не понял. Но очень интересно.
Ответить | Правка | Наверх | Cообщить модератору

84. "Анонсирована внутриядерная реализация WireGuard для OpenBSD"  +/
Сообщение от пох. (?), 12-Май-20, 17:38 
Вот оно че, Михалыч! Даа, чую под более распространенные системы ждать не приходится.

Ответить | Правка | К родителю #44 | Наверх | Cообщить модератору

114. "Анонсирована внутриядерная реализация WireGuard для OpenBSD"  +/
Сообщение от Я (??), 12-Май-20, 22:10 
потому что авторы нужных и немаргинальных пока жуют сопли.
Ответить | Правка | К родителю #24 | Наверх | Cообщить модератору

138. "Анонсирована внутриядерная реализация WireGuard для OpenBSD"  +/
Сообщение от пох. (?), 14-Май-20, 11:43 
> потому что авторы нужных и немаргинальных пока жуют сопли.

авторы open тоже пальцем не пошевелили - за них все сделал собственно изобретатель вайргада.

Но тут уже ответили, в freebsd мы можем не ждать.

Ответить | Правка | Наверх | Cообщить модератору

125. "Анонсирована внутриядерная реализация WireGuard для OpenBSD"  –1 +/
Сообщение от Аноним (125), 12-Май-20, 23:27 
Потому что среди пользователей OpenBSD нашелся человек, который взял и сделал.
Ответить | Правка | К родителю #24 | Наверх | Cообщить модератору

139. "Анонсирована внутриядерная реализация WireGuard для OpenBSD"  +/
Сообщение от пох. (?), 14-Май-20, 11:45 
> Потому что среди пользователей OpenBSD нашелся человек, который взял и сделал.

чисто случайно им оказался человек-разработчик оригинального проекта. Взяли и сделал теперь еще и под openbsd. А под более разумные - не сделал, потому что не хочет. Ну ок, его поделка, ему и решать ее судьбу. Теперь она не "linups only", а "linups only + используемая полутора маргиналами bsd". Ооок. Такая любофф - никто не поймет...

Ответить | Правка | Наверх | Cообщить модератору

30. "Анонсирована внутриядерная реализация WireGuard для OpenBSD"  +4 +/
Сообщение от expert (??), 12-Май-20, 12:53 
жаль что разрабы плюют на их поклоников. 2020 год, до сих пор нет поддержки SSD.
они просто не могут 20 лет включить TRIM.
Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

3. "Анонсирована внутриядерная реализация WireGuard для OpenBSD"  +/
Сообщение от Anonymou (?), 12-Май-20, 08:49 
Извините, но где видно что это в ядре?
Ответить | Правка | Наверх | Cообщить модератору

4. "Анонсирована внутриядерная реализация WireGuard для OpenBSD"  +/
Сообщение от Анони м (?), 12-Май-20, 08:51 
В новости написано же.
Ответить | Правка | Наверх | Cообщить модератору

5. "Анонсирована внутриядерная реализация WireGuard для OpenBSD"  +/
Сообщение от Аноним (5), 12-Май-20, 09:13 
Последняя ссылка в первом параграфе.
Ответить | Правка | К родителю #3 | Наверх | Cообщить модератору

6. "Анонсирована внутриядерная реализация WireGuard для OpenBSD"  +/
Сообщение от б.б. (?), 12-Май-20, 09:16 
масленница пришёл. ух, заживём теперь :)
Ответить | Правка | Наверх | Cообщить модератору

7. "Анонсирована внутриядерная реализация WireGuard для OpenBSD"  –5 +/
Сообщение от Анончик (?), 12-Май-20, 09:28 
Надеюсь на разумность разработчиков openbsd и они не будут включать это в ядро.
Ответить | Правка | Наверх | Cообщить модератору

65. "Анонсирована внутриядерная реализация WireGuard для OpenBSD"  –1 +/
Сообщение от НяшМяш (ok), 12-Май-20, 15:06 
> разумность
> openbsd

Неплохая шутка

Ответить | Правка | Наверх | Cообщить модератору

8. "Анонсирована внутриядерная реализация WireGuard для OpenBSD"  –3 +/
Сообщение от Аноним (9), 12-Май-20, 10:06 
Тащат годноту под свою недолицензию.
Ответить | Правка | Наверх | Cообщить модератору

23. "Анонсирована внутриядерная реализация WireGuard для OpenBSD"  +2 +/
Сообщение от Аноним (23), 12-Май-20, 12:04 
Так не они тащат, а авторы WireGuard им сами запилили и просят взять под недолицензией. Под православной не возьмут же.
Ответить | Правка | Наверх | Cообщить модератору

115. "Анонсирована внутриядерная реализация WireGuard для OpenBSD"  +2 +/
Сообщение от Я (??), 12-Май-20, 22:12 
такая штука должна быть под всеми лицензиями чтоб даже майкрософт её в винду встроила.
Ответить | Правка | К родителю #8 | Наверх | Cообщить модератору

140. "Анонсирована внутриядерная реализация WireGuard для OpenBSD"  +1 +/
Сообщение от пох. (?), 14-Май-20, 11:47 
> такая штука должна быть под всеми лицензиями чтоб даже майкрософт её в
> винду встроила.

в винде все нормально с 3dparty софтом, включая такой который требует ядерных драйверов. И такой порт - написали, только вот афтырь аригинала покрыл х-ями его разработчиков, заявил что те хотят украсть его суперсекретных котиков и он никому не велит им доверять.

Это в этих ваших 6ешплатных системах 3dparty driver - вещь нереалистичная, потому что stable api is nonsense.

Ответить | Правка | Наверх | Cообщить модератору

10. "Анонсирована внутриядерная реализация WireGuard для OpenBSD"  +1 +/
Сообщение от Ivan_83 (ok), 12-Май-20, 10:08 
https://git.zx2c4.com/wireguard-openbsd/tree/src/patches/mbu...
Странное изменение: это они GIF так решили выкинуть?
Ответить | Правка | Наверх | Cообщить модератору

11. "Анонсирована внутриядерная реализация WireGuard для OpenBSD"  +4 +/
Сообщение от Аноним (11), 12-Май-20, 10:10 
В LibreGuard много чего выкинут
Ответить | Правка | Наверх | Cообщить модератору

12. "Анонсирована внутриядерная реализация WireGuard для OpenBSD"  +/
Сообщение от Ананимус (?), 12-Май-20, 10:15 
Он не использовался в дереве, они, видимо, решили его зарецайклить.
Ответить | Правка | К родителю #10 | Наверх | Cообщить модератору

13. "Анонсирована внутриядерная реализация WireGuard для OpenBSD"  +/
Сообщение от Ананимус (?), 12-Май-20, 10:16 
Плохо, что cover letter такой неподробный. Патч явно заслуживает быть разбитым на отдельные куски с хорошими, детальными комментариями.
Ответить | Правка | Наверх | Cообщить модератору

19. Скрыто модератором  +3 +/
Сообщение от Анотолей (?), 12-Май-20, 11:34 
Ответить | Правка | Наверх | Cообщить модератору

21. Скрыто модератором  –2 +/
Сообщение от Ананимус (?), 12-Май-20, 12:00 
Ответить | Правка | Наверх | Cообщить модератору

25. Скрыто модератором  +2 +/
Сообщение от Аноним (25), 12-Май-20, 12:26 
Ответить | Правка | Наверх | Cообщить модератору

28. Скрыто модератором  +/
Сообщение от Ананимус (?), 12-Май-20, 12:40 
Ответить | Правка | Наверх | Cообщить модератору

32. Скрыто модератором  +/
Сообщение от Анотолей (?), 12-Май-20, 13:06 
Ответить | Правка | Наверх | Cообщить модератору

42. Скрыто модератором  +1 +/
Сообщение от Аноним (42), 12-Май-20, 13:32 
Ответить | Правка | Наверх | Cообщить модератору

49. Скрыто модератором  +/
Сообщение от Анотолей (?), 12-Май-20, 13:53 
Ответить | Правка | Наверх | Cообщить модератору
Часть нити удалена модератором

52. Скрыто модератором  +/
Сообщение от Анотолей (?), 12-Май-20, 14:07 
Ответить | Правка | К родителю #143 | Наверх | Cообщить модератору

22. Скрыто модератором  +1 +/
Сообщение от Аноним (11), 12-Май-20, 12:00 
Ответить | Правка | К родителю #19 | Наверх | Cообщить модератору

33. Скрыто модератором  +/
Сообщение от Анотолей (?), 12-Май-20, 13:09 
Ответить | Правка | Наверх | Cообщить модератору

36. Скрыто модератором  +/
Сообщение от Дон Ягон (ok), 12-Май-20, 13:21 
Ответить | Правка | К родителю #19 | Наверх | Cообщить модератору

15. "Анонсирована внутриядерная реализация WireGuard для OpenBSD"  +/
Сообщение от Сергей (??), 12-Май-20, 11:07 
И как все это согласуется с лицензионной точки зрения, часть  кода WireGuard что ли  опубликуют под BSD лицензией
Ответить | Правка | Наверх | Cообщить модератору

16. "Анонсирована внутриядерная реализация WireGuard для OpenBSD"  +3 +/
Сообщение от Аноним (16), 12-Май-20, 11:09 
ты видимо путаешь копирование-портирование кода и с нуля написанная реализация.
Ответить | Правка | Наверх | Cообщить модератору

17. "Анонсирована внутриядерная реализация WireGuard для OpenBSD"  +1 +/
Сообщение от Аноним (17), 12-Май-20, 11:11 
Изначальный автор WireGuard'а  с нуля написал wireguard специально для OpenBSD. Хм-м-м-м, как это согласуется с лицензионной точки зрения...
Ответить | Правка | К родителю #15 | Наверх | Cообщить модератору

27. "Анонсирована внутриядерная реализация WireGuard для OpenBSD"  –2 +/
Сообщение от iPony129412 (?), 12-Май-20, 12:36 
А вообще странно. В чём был смысл не использовать сразу открытую лицензию, а не вирусно прикрытую?
Ответить | Правка | Наверх | Cообщить модератору

29. "Анонсирована внутриядерная реализация WireGuard для OpenBSD"  +1 +/
Сообщение от Ананимус (?), 12-Май-20, 12:41 
Потому что засунуть ISC в Linux довольно тяжело :)
Ответить | Правка | Наверх | Cообщить модератору

132. "Анонсирована внутриядерная реализация WireGuard для OpenBSD"  +1 +/
Сообщение от IRASoldier_registered (ok), 13-Май-20, 10:36 
А кому какая разница, что там с лицензионными тонкостями? Главное, что 1) работает 2) бесплатно 3) патчи будут.
Ответить | Правка | К родителю #17 | Наверх | Cообщить модератору

26. "Анонсирована внутриядерная реализация WireGuard для OpenBSD"  +/
Сообщение от Lockywolf (ok), 12-Май-20, 12:36 
А чем он лучше strongSwan?
Ответить | Правка | Наверх | Cообщить модератору

31. "Анонсирована внутриядерная реализация WireGuard для OpenBSD"  +1 +/
Сообщение от Ананимус (?), 12-Май-20, 13:00 
IPSec большой и сложный, WG влезает в три тыщи строк на OpenBSD.
Ответить | Правка | Наверх | Cообщить модератору

41. "Анонсирована внутриядерная реализация WireGuard для OpenBSD"  +/
Сообщение от пох. (?), 12-Май-20, 13:31 
in-kernel ipsec в разы проще. И вряд ли занимает 3000 строк, да и тех половина общая - криптографические библиотеки ядра.

Все сложное и ненадежное там предусмотрительно вынесено в userspace. Кстати, open помнится единственная система, вообще не умеющая ipsec без юзерспейс демона. (кроме, конечно, венды, но это неточно)

Ответить | Правка | Наверх | Cообщить модератору

45. "Анонсирована внутриядерная реализация WireGuard для OpenBSD"  +/
Сообщение от Ананимус (?), 12-Май-20, 13:38 
$ cloc net/ipv4/esp4*.c net/ipv6/esp6*.c net/xfrm/*.c
      18 text files.
      18 unique files.
       0 files ignored.

github.com/AlDanial/cloc v 1.84  T=0.08 s (238.9 files/s, 252342.2 lines/s)
-------------------------------------------------------------------------------
Language                     files          blank        comment           code
-------------------------------------------------------------------------------
C                               18           3245            675          15094
-------------------------------------------------------------------------------
SUM:                            18           3245            675          15094
-------------------------------------------------------------------------------

И это без крипты.

Ответить | Правка | Наверх | Cообщить модератору

46. "Анонсирована внутриядерная реализация WireGuard для OpenBSD"  +/
Сообщение от Ананимус (?), 12-Май-20, 13:39 
Правда это линукс, щас в open посмотрю.
Ответить | Правка | Наверх | Cообщить модератору

47. "Анонсирована внутриядерная реализация WireGuard для OpenBSD"  +/
Сообщение от Ананимус (?), 12-Май-20, 13:44 
$ cloc sys/netinet/ipsec_*.c sys/netinet/*psp*.c sys/net/pfkeyv2*
       7 text files.
       7 unique files.
       0 files ignored.

github.com/AlDanial/cloc v 1.84  T=0.04 s (182.8 files/s, 213075.4 lines/s)
-------------------------------------------------------------------------------
Language                     files          blank        comment           code
-------------------------------------------------------------------------------
C                                6           1060            935           5723
C/C++ Header                     1             49             42            349
-------------------------------------------------------------------------------
SUM:                             7           1109            977           6072
-------------------------------------------------------------------------------\

Ну тоже немало. И это без учета размазанных по стеку кусков.

Ответить | Правка | Наверх | Cообщить модератору

80. "Анонсирована внутриядерная реализация WireGuard для OpenBSD"  +/
Сообщение от пох. (?), 12-Май-20, 17:09 
ну так чудо-вайргад-то тоже поди без udp померян - без которого он не жизнеспособен.
Ответить | Правка | Наверх | Cообщить модератору

89. "Анонсирована внутриядерная реализация WireGuard для OpenBSD"  +/
Сообщение от Ананимус (?), 12-Май-20, 18:37 
А без него типа UDP кода в ядре не будет, лол.
Ответить | Правка | Наверх | Cообщить модератору

55. "Анонсирована внутриядерная реализация WireGuard для OpenBSD"  +/
Сообщение от bOOster (ok), 12-Май-20, 14:36 
Ну как бэ механизмы обмена ключами к IPSEC относиться весьма косвенно. IPSEC и на симметричных ключах без механизмов обмена в целом работает.
Ответить | Правка | К родителю #41 | Наверх | Cообщить модератору

82. "Анонсирована внутриядерная реализация WireGuard для OpenBSD"  +/
Сообщение от пох. (?), 12-Май-20, 17:23 
в целом - работает, только как его включить в именно open? ;-)

(мне на самом деле гораздо интереснее - как это сделать в винде, но, похоже, ответ - никак)

Ответить | Правка | Наверх | Cообщить модератору

111. "Анонсирована внутриядерная реализация WireGuard для OpenBSD"  +/
Сообщение от Дон Ягон (ok), 12-Май-20, 21:58 
> как его включить в именно open? ;-)

Тут http://www.openbsd.org/faq/faq17.html написано, как, примерно, это делается.
Али не работает что?

Ответить | Правка | Наверх | Cообщить модератору

141. "Анонсирована внутриядерная реализация WireGuard для OpenBSD"  +/
Сообщение от пох. (?), 14-Май-20, 11:50 
Не работает то что ты не смог прочитать: работа ipsec без ike в принципе. Насколько я вижу - фак по настройке iked, зачем он мне?

Между линуксом и фрей - работает. Между циской и линуксом - работает. В проклятой, имени корпорации зла - не работает. Ну так корпорация - зла!

Ответить | Правка | Наверх | Cообщить модератору

144. "Анонсирована внутриядерная реализация WireGuard для OpenBSD"  +/
Сообщение от Дон Ягон (ok), 14-Май-20, 13:14 
> Не работает то что ты не смог прочитать: работа ipsec без ike
> в принципе. Насколько я вижу - фак по настройке iked, зачем
> он мне?

Я действительно пропустил про "без ike" и обратил внимание только на симметричные ключи.

Судя по /etc/examples/ipsec.conf и https://man.openbsd.org/ipsec.conf.5 то, что ты хочешь, таки возможно (но я не проверял на практике).

Что-то типа такого (пример из examples выше):

# Set up a tunnel using static keying:
#
# The first rule sets up the flow; the second sets up the SA.  As default
# transforms, ipsecctl(8) will use hmac-sha2-256 for authentication
# and aes for encryption.  hmac-sha2-256 uses a 256-bit key; aes
# a 128-bit key.

flow esp from 192.168.7.0/24 to 192.168.8.0/24 peer 192.168.3.2
esp from 192.168.3.1 to 192.168.3.2 spi 0xabd9da39:0xc9dbb83d \
       authkey 0x54f79f479a32814347bb768d3e01b2b58e49ce674ec6e2d327b63408c56ef4e8:0x7f48ee352c626cdc2a731b9d90bd63e29db2a9c683044b70b2f4441521b622d6 \
       enckey 0xb341aa065c3850edd6a61e150d6a5fd3:0xf7795f6bdd697a43a4d28dcf1b79062d

А если не секрет, чем хуже вариант с IKEv2?

Ответить | Правка | Наверх | Cообщить модератору

145. "Анонсирована внутриядерная реализация WireGuard для OpenBSD"  +/
Сообщение от пох. (?), 14-Май-20, 15:14 
тем что демон дыряв by design.

И там где я могу не бояться одновременно гугля, nsa и cia, шпионящих за мной, от васяна я вполне надежно защищен статическим никогда не меняемым ключом.

> Судя по /etc/examples/ipsec.conf

а его кроме интерфейсной оболочки для iked кто-то читать-то вообще собирался?
У остальных-то есть setkey для ручного управления sa, который никаких демонов не будит.

Ответить | Правка | Наверх | Cообщить модератору

147. "Анонсирована внутриядерная реализация WireGuard для OpenBSD"  +/
Сообщение от Дон Ягон (ok), 14-Май-20, 15:56 
"Security Associations can be set up manually with ipsecctl(8) or automatically with the isakmpd(8) or iked(8) key management daemons."

( https://man.openbsd.org/ipsec.4 )

Раскрой мысль плиз, про пресловутую "дырявость by design" или посоветуй, где почитать?

Ответить | Правка | Наверх | Cообщить модератору

148. "Анонсирована внутриядерная реализация WireGuard для OpenBSD"  +/
Сообщение от пох. (?), 14-Май-20, 16:05 
описания ipsec почитать, вероятно.

Ну или просто оценить количество ручек-глючек-вариаций настроек, и понять, что этот дремучий ентерпрайс не может в принципе быть реализован целиком, совместимо и надежно - даже если выбрать любые два.

Хотя сам по себе, без ike - прост как палка в руках неандертальца.

Ответить | Правка | Наверх | Cообщить модератору

149. "Анонсирована внутриядерная реализация WireGuard для OpenBSD"  +/
Сообщение от Дон Ягон (ok), 14-Май-20, 16:46 
А, ты об этом. В этом я с тобой скорее согласен.
Но я думал у тебя какие-то конкретные претензии именно к iked/isakmpd.
Ответить | Правка | Наверх | Cообщить модератору

150. "Анонсирована внутриядерная реализация WireGuard для OpenBSD"  +/
Сообщение от пох. (?), 14-Май-20, 17:13 
Нет, я даже вполне мог бы поверить (до недавних детских ошибок) что он не хуже и не ненадежнее racoon{,2} не говоря уж про strongswan
Ответить | Правка | Наверх | Cообщить модератору

56. "Анонсирована внутриядерная реализация WireGuard для OpenBSD"  +/
Сообщение от bOOster (ok), 12-Май-20, 14:42 
ЧЕ там большого и сложного? IKE?
Ответить | Правка | К родителю #31 | Наверх | Cообщить модератору

59. "Анонсирована внутриядерная реализация WireGuard для OpenBSD"  +/
Сообщение от Ананимус (?), 12-Май-20, 14:54 
В StrongSwan примерно 350 тысяч строк кода _только_ на C.
Ответить | Правка | Наверх | Cообщить модератору

61. "Анонсирована внутриядерная реализация WireGuard для OpenBSD"  +/
Сообщение от bOOster (ok), 12-Май-20, 15:03 
> В StrongSwan примерно 350 тысяч строк кода _только_ на C.

Ты мух то от котлет отдели, там напихано все что только можно. А в реальной эксплуатации ты пользуешь процентов 10% из всего что там напихано.

Ответить | Правка | Наверх | Cообщить модератору

62. "Анонсирована внутриядерная реализация WireGuard для OpenBSD"  +1 +/
Сообщение от Ананимус (?), 12-Май-20, 15:05 
Ну так это и называется "большой и сложный". Шансов обосраться с очередным zero day на кодовой базе в 350 тысяч строк значительно проще, чем на кодовой базе в 3.5 тыщи строк.
Ответить | Правка | Наверх | Cообщить модератору

72. "Анонсирована внутриядерная реализация WireGuard для OpenBSD"  +/
Сообщение от lockywolfemail (ok), 12-Май-20, 15:40 
https://cve.mitre.org/cgi-bin/cvekey.cgi?keyword=strongswan

29 эксплоитов с 2004 года? И сколько из них zero-day?

Ответить | Правка | Наверх | Cообщить модератору

73. "Анонсирована внутриядерная реализация WireGuard для OpenBSD"  +/
Сообщение от Ананимус (?), 12-Май-20, 15:54 
Сколько из них ещё не нашли? Сколькими из них не поделились?
Ответить | Правка | Наверх | Cообщить модератору

75. "Анонсирована внутриядерная реализация WireGuard для OpenBSD"  +/
Сообщение от lockywolfemail (ok), 12-Май-20, 16:02 
> Сколько из них ещё не нашли? Сколькими из них не поделились?

Ну так и в wireguard непонятно сколько.

Ответить | Правка | Наверх | Cообщить модератору

76. "Анонсирована внутриядерная реализация WireGuard для OpenBSD"  +/
Сообщение от Ананимус (?), 12-Май-20, 16:03 
Wireguard? В котором 3.5k строк? Который можно целиком за вечер прочитать?
Ответить | Правка | Наверх | Cообщить модератору

77. "Анонсирована внутриядерная реализация WireGuard для OpenBSD"  +/
Сообщение от lockywolfemail (ok), 12-Май-20, 16:06 
> Wireguard? В котором 3.5k строк? Который можно целиком за вечер прочитать?

Ну, ниже уже написали, что в ядерном ipsec те же самые 3000 строк. А для того, чтобы уязвимости в юзерспейсе играли роль, надо, чтобы уязвимыми местами тоже кто-то пользовался.

Ну, то есть, я не утверждаю, что wireguard плох, но пока его триумфальность не очевидна.

Ответить | Правка | Наверх | Cообщить модератору

79. "Анонсирована внутриядерная реализация WireGuard для OpenBSD"  +/
Сообщение от Ананимус (?), 12-Май-20, 16:09 
> А для того, чтобы уязвимости в юзерспейсе играли роль, надо, чтобы уязвимыми местами тоже кто-то пользовался.

Ты думаешь там 400 тыщ строк кода, которыми никто не пользуется? :)

Ответить | Правка | Наверх | Cообщить модератору

83. "Анонсирована внутриядерная реализация WireGuard для OpenBSD"  +/
Сообщение от пох. (?), 12-Май-20, 17:26 
ну, вообще-то, в целом.... ДА! ;-)

Во всяком случае, этих удивительных особей ученые в природе практически не обнаружили. Такое впечатление, что стандарт делали нарочно чтоб надежную реализацию написать было невозможно. Но, разумеется, Хэнлон подсказывает, что нет.

Ответить | Правка | Наверх | Cообщить модератору

40. "Анонсирована внутриядерная реализация WireGuard для OpenBSD"  +1 +/
Сообщение от пох. (?), 12-Май-20, 13:29 
ну, типа, для установки соединения и rekeying не нужен здоровенный невменяемый и к тому же сто раз уже ломанный демон в юзерспейсе.

Линуксные измеризмы еще показали, до кучи, чуть лучшую скорость на идеальном тестовом примере без потерь, но это может у них в линуксе ipsec такой.

Ответить | Правка | К родителю #26 | Наверх | Cообщить модератору

57. "Анонсирована внутриядерная реализация WireGuard для OpenBSD"  +/
Сообщение от Lockywolf (ok), 12-Май-20, 14:42 
> ну, типа, для установки соединения и rekeying не нужен здоровенный невменяемый и
> к тому же сто раз уже ломанный демон в юзерспейсе.
> Линуксные измеризмы еще показали, до кучи, чуть лучшую скорость на идеальном тестовом
> примере без потерь, но это может у них в линуксе ipsec
> такой.

Ну, демон наверняка появится. Просто к гадалке не ходи, вся эта пки просто так не делается.

Ответить | Правка | Наверх | Cообщить модератору

58. "Анонсирована внутриядерная реализация WireGuard для OpenBSD"  +1 +/
Сообщение от Ананимус (?), 12-Май-20, 14:52 
В Wireguard нет PKI, нет revocation листов и прочей ерунды. Просто два чувака обмениваются ключами, как в SSH.
Ответить | Правка | Наверх | Cообщить модератору

66. "Анонсирована внутриядерная реализация WireGuard для OpenBSD"  +/
Сообщение от Аноним (66), 12-Май-20, 15:07 
> В Wireguard нет PKI, нет revocation листов и прочей ерунды. Просто два чувака обмениваются ключами, как в SSH.

Кто тебе мешает самому написать свой интерфейс управления conf файла wireguard?

> нет revocation листов

Удаляешь пир и конфига вот тебе и revocation, больше он не подключится.

Ответить | Правка | Наверх | Cообщить модератору

67. "Анонсирована внутриядерная реализация WireGuard для OpenBSD"  +/
Сообщение от Ананимус (?), 12-Май-20, 15:08 
А зачем мне все это писать если он и так отлично работает?
Ответить | Правка | Наверх | Cообщить модератору

74. "Анонсирована внутриядерная реализация WireGuard для OpenBSD"  +1 +/
Сообщение от lockywolfemail (ok), 12-Май-20, 15:58 
В SSH есть CA, revocation lists и всё такое.

Ответить | Правка | К родителю #58 | Наверх | Cообщить модератору

78. "Анонсирована внутриядерная реализация WireGuard для OpenBSD"  +/
Сообщение от Ананимус (?), 12-Май-20, 16:08 
Это нужно только для подписанных ключей.
Ответить | Правка | Наверх | Cообщить модератору

97. "Анонсирована внутриядерная реализация WireGuard для OpenBSD"  +/
Сообщение от OpenEcho (?), 12-Май-20, 20:36 
> Это нужно только для подписанных ключей.

Именно, - подписанные теми кто авторизует доступ к куче ресурсов с возможностью ограничивать даже "root"-oв через principal механизм в зависимости куда одним можно лазить а другим нет и удобством управления стандартизированного, проверенного временем механизма.

Ответить | Правка | Наверх | Cообщить модератору

113. "Анонсирована внутриядерная реализация WireGuard для OpenBSD"  +/
Сообщение от Ананимус (?), 12-Май-20, 22:09 
> Именно, - подписанные теми кто авторизует доступ к куче ресурсов с возможностью ограничивать даже "root"-oв через principal механизм в зависимости куда одним можно лазить а другим нет и удобством управления стандартизированного, проверенного временем механизма.

Правда SSH не умеет шарить все это самостоятельно и все публичные CA ключи все равно раскидываются по нодам тем же Ansible, но какая разница :D

Ответить | Правка | Наверх | Cообщить модератору

88. "Анонсирована внутриядерная реализация WireGuard для OpenBSD"  +/
Сообщение от OpenEcho (?), 12-Май-20, 18:26 
> нет PKI, нет revocation листов и прочей ерунды.

Ерунды говоришь?

А если у тебя клиентов размером в четыре циферки?

С PKI админ подписывает CSR и отдает клиенту CRT для пользования, не дотрагиваясь ни до одного сервaка... в случае же с новой игрушкой, необходимо передергивать конфиги на всех серваках.

Ответить | Правка | К родителю #58 | Наверх | Cообщить модератору

94. "Анонсирована внутриядерная реализация WireGuard для OpenBSD"  +/
Сообщение от Ананимус (?), 12-Май-20, 19:53 
> С PKI админ подписывает CSR и отдает клиенту CRT для пользования, не дотрагиваясь ни до одного сервaка... в случае же с новой игрушкой, необходимо передергивать конфиги на всех серваках.

В случае с новой игрушкой админ пишет в git репозиторий и нажимает 'git push', после чего за него все делает Ansible.

Ответить | Правка | Наверх | Cообщить модератору

95. "Анонсирована внутриядерная реализация WireGuard для OpenBSD"  +/
Сообщение от OpenEcho (?), 12-Май-20, 20:26 
>после чего за него все делает Ansible.

Вот именно -> привлечение кучи (git, ansible/python) стороннего софта, открывающего дополнительные векторы атак. Плюс, каждый новый админ придумывает новую систему, - "а кому же принадлежит ентот килючик"

Ответить | Правка | Наверх | Cообщить модератору

96. "Анонсирована внутриядерная реализация WireGuard для OpenBSD"  +/
Сообщение от Ананимус (?), 12-Май-20, 20:32 
> Вот именно -> привлечение кучи (git, ansible/python) стороннего софта, открывающего дополнительные векторы атак. Плюс, каждый новый админ придумывает новую систему, - "а кому же принадлежит ентот килючик"

Если у вас нет в конторе нет системы деплоя (ansible, chef, puppet, whatever), то ключики в WG добавить это далеко не самая большая проблема :D

Ответить | Правка | Наверх | Cообщить модератору

99. "Анонсирована внутриядерная реализация WireGuard для OpenBSD"  +1 +/
Сообщение от OpenEcho (?), 12-Май-20, 20:47 
> Если у вас нет в конторе нет системы деплоя (ansible, chef, puppet,
> whatever), то ключики в WG добавить это далеко не самая большая
> проблема :D

Деплой и контроль над доступом - принципиально разные вещи!

Деплоить ключи через механизмы деплоя - это все равно, что посылать баксы в конверте через обычную почту. Именно поэтому, теми кто шарит в криптографии давно был придуман очень простой и эффективный PKI, в котом -НЕ НУЖНО ничего деплоить, тем более через софт который переодически "0-day"

Ответить | Правка | Наверх | Cообщить модератору

100. "Анонсирована внутриядерная реализация WireGuard для OpenBSD"  +/
Сообщение от Ананимус (?), 12-Май-20, 21:03 
> Деплой и контроль над доступом - принципиально разные вещи!

Шта? Какая тебе разница, что деплоить на сервера?

Ответить | Правка | Наверх | Cообщить модератору

104. "Анонсирована внутриядерная реализация WireGuard для OpenBSD"  +/
Сообщение от OpenEcho (?), 12-Май-20, 21:28 
Разница только в том, что меня немедленно попрут с работы, если я начну деплоить ключи доступа через ansible
Ответить | Правка | Наверх | Cообщить модератору

107. "Анонсирована внутриядерная реализация WireGuard для OpenBSD"  +/
Сообщение от Ананимус (?), 12-Май-20, 21:40 
>  Разница только в том, что меня немедленно попрут с работы, если я начну деплоить ключи доступа через ansible

Ну так это проблемы твоей работы, что я могу сказать.

Ответить | Правка | Наверх | Cообщить модератору

101. "Анонсирована внутриядерная реализация WireGuard для OpenBSD"  +/
Сообщение от Ананимус (?), 12-Май-20, 21:03 
Если у тебя дыра в деплое, то на твои торчащие наружу вебсервера зальют telnet и никакой VPN тебя уже не спасет :D
Ответить | Правка | К родителю #99 | Наверх | Cообщить модератору

105. "Анонсирована внутриядерная реализация WireGuard для OpenBSD"  +1 +/
Сообщение от OpenEcho (?), 12-Май-20, 21:30 
> Если у тебя дыра в деплое, то на твои торчащие наружу вебсервера
> зальют telnet и никакой VPN тебя уже не спасет :D

Ок, я все понял, деплойте дальше доступ через ansible ;)

Ответить | Правка | Наверх | Cообщить модератору

106. "Анонсирована внутриядерная реализация WireGuard для OpenBSD"  +/
Сообщение от Ананимус (?), 12-Май-20, 21:39 
Ты так говоришь, как будто это что-то плохое.
Ответить | Правка | Наверх | Cообщить модератору

108. "Анонсирована внутриядерная реализация WireGuard для OpenBSD"  +/
Сообщение от OpenEcho (?), 12-Май-20, 21:49 
> Ты так говоришь, как будто это что-то плохое.

Я уже ответил, - чем это плохо, не знаю , что еще добавить...

Ответить | Правка | Наверх | Cообщить модератору

109. "Анонсирована внутриядерная реализация WireGuard для OpenBSD"  +/
Сообщение от Ананимус (?), 12-Май-20, 21:51 
> Я уже ответил, - чем это плохо, не знаю , что еще добавить...

Нет, не ответил. Кроме ААААА МЕНЯ УВОЛЯТ аргументов как-то не было особо.

Ответить | Правка | К родителю #108 | Наверх | Cообщить модератору

121. "Анонсирована внутриядерная реализация WireGuard для OpenBSD"  +/
Сообщение от OpenEcho (?), 12-Май-20, 23:08 
>> Я уже ответил, - чем это плохо, не знаю , что еще добавить...
> Нет, не ответил. Кроме ААААА МЕНЯ УВОЛЯТ аргументов как-то не было особо.

Читай выше, если тебе коненчо это надо...

Ответить | Правка | К родителю #109 | Наверх | Cообщить модератору

110. "Анонсирована внутриядерная реализация WireGuard для OpenBSD"  +/
Сообщение от Ананимус (?), 12-Май-20, 21:56 
Не знаю, боишься ansible? Ну сливай файлик с ключами wget'ом раз в 5 секунд с If-Modified и раскатывай скриптом. Проблема реально придуманая.
Ответить | Правка | К родителю #108 | Наверх | Cообщить модератору

112. "Анонсирована внутриядерная реализация WireGuard для OpenBSD"  +1 +/
Сообщение от Дон Ягон (ok), 12-Май-20, 22:03 
Добавлять, имхо, и нечего, ты всё правильно сказал.
Ответить | Правка | К родителю #108 | Наверх | Cообщить модератору

116. "Анонсирована внутриядерная реализация WireGuard для OpenBSD"  +/
Сообщение от Ананимус (?), 12-Май-20, 22:17 
Кроме того, что публичный ключ CA и revocation list все равно придется раскидывать по тем же нодам тем же Ansible :D
Ответить | Правка | К родителю #112 | Наверх | Cообщить модератору

123. "Анонсирована внутриядерная реализация WireGuard для OpenBSD"  +/
Сообщение от OpenEcho (?), 12-Май-20, 23:09 
> Кроме того, что публичный ключ CA и revocation list все равно придется
> раскидывать по тем же нодам тем же Ansible :D

Публичный ключ и crl - не есть секрет !

Ответить | Правка | К родителю #116 | Наверх | Cообщить модератору

124. "Анонсирована внутриядерная реализация WireGuard для OpenBSD"  +/
Сообщение от Ананимус (?), 12-Май-20, 23:13 
> Публичный ключ и crl - не есть секрет !

Публичный ключ (в authorized_keys добавлются публичные ключи, лол) ВНЕЗАПНО тоже не секрет :D

Ответить | Правка | К родителю #123 | Наверх | Cообщить модератору

63. "Анонсирована внутриядерная реализация WireGuard для OpenBSD"  +/
Сообщение от bOOster (ok), 12-Май-20, 15:06 
>> ну, типа, для установки соединения и rekeying не нужен здоровенный невменяемый и
>> к тому же сто раз уже ломанный демон в юзерспейсе.
>> Линуксные измеризмы еще показали, до кучи, чуть лучшую скорость на идеальном тестовом
>> примере без потерь, но это может у них в линуксе ipsec
>> такой.
> Ну, демон наверняка появится. Просто к гадалке не ходи, вся эта пки
> просто так не делается.

Любит народ изобретением велосипедов заниматься, а так то и Kerberos за PKI весьма неплохо пойдет.

Ответить | Правка | К родителю #57 | Наверх | Cообщить модератору

64. "Анонсирована внутриядерная реализация WireGuard для OpenBSD"  +/
Сообщение от bOOster (ok), 12-Май-20, 15:06 
> Любит народ изобретением велосипедов заниматься, а так то и Kerberos за PKI
> весьма неплохо пойдет.

Сорри IKE :)))

Ответить | Правка | Наверх | Cообщить модератору

68. "Анонсирована внутриядерная реализация WireGuard для OpenBSD"  +/
Сообщение от Ананимус (?), 12-Май-20, 15:09 
НО ЗАЧЕМ? Весь профит Wireguard в том, что он тупой как валенок. Это же прекрасно!
Ответить | Правка | К родителю #63 | Наверх | Cообщить модератору

69. "Анонсирована внутриядерная реализация WireGuard для OpenBSD"  +1 +/
Сообщение от bOOster (ok), 12-Май-20, 15:12 
> НО ЗАЧЕМ? Весь профит Wireguard в том, что он тупой как валенок.
> Это же прекрасно!

Не спорю - прекрасно, но ключики - стоящие годами на VPN - это очень плохая практика :)

Ответить | Правка | Наверх | Cообщить модератору

70. "Анонсирована внутриядерная реализация WireGuard для OpenBSD"  +/
Сообщение от Ананимус (?), 12-Май-20, 15:15 
Почему? Для публичных сертификатов критически важно иметь expiration date, потому что сертификат валиден до тех пока, пока валиден CA, и revocation list лопнет, если пихать туда ВСЕ сертификаты выпущенные CA. А с ключами-то в чем проблема?
Ответить | Правка | Наверх | Cообщить модератору

90. "Анонсирована внутриядерная реализация WireGuard для OpenBSD"  +1 +/
Сообщение от OpenEcho (?), 12-Май-20, 18:51 
>revocation list лопнет

А вы пробывали ? CRL держит только подписанные CN имена, и если у вас CRL больше чем мегабайт, то вы скорее всего админ у гугла :)

Ответить | Правка | Наверх | Cообщить модератору

92. "Анонсирована внутриядерная реализация WireGuard для OpenBSD"  +/
Сообщение от Ананимус (?), 12-Май-20, 19:13 
Представь, что у сертификата нет expiration date и тебе нужно хранить все сертификаты Let's Encrypt, котоорые протухают каждые три месяца.
Ответить | Правка | Наверх | Cообщить модератору

102. "Анонсирована внутриядерная реализация WireGuard для OpenBSD"  +1 +/
Сообщение от OpenEcho (?), 12-Май-20, 21:20 
> Представь, что у сертификата нет expiration date и тебе нужно хранить все
> сертификаты Let's Encrypt, котоорые протухают каждые три месяца.

Вы о чем?
"Представь что ты птица, но ты не птица и тебе надо учитывать таких птиц..."
LetsEncrypt сертификаты - все без исключения с expiration.

Выдавать безсрочные сертификаты - глупо. Это не проблема PKI, а двоечника админа.

Еще раз, CN(common name) махимум 64 символа. CRL держит только эти именна.
Для примера, VerySign CRL файл всего навсего размером в 125Кб, что при нынешнем оборудовании  - меньше чем самая поганая фотка

Ответить | Правка | Наверх | Cообщить модератору

103. "Анонсирована внутриядерная реализация WireGuard для OpenBSD"  +/
Сообщение от Ананимус (?), 12-Май-20, 21:25 
О господи... ты вообще прочитал на что отвечаешь? По-моему, нет.
Ответить | Правка | Наверх | Cообщить модератору

91. "Анонсирована внутриядерная реализация WireGuard для OpenBSD"  +2 +/
Сообщение от OpenEcho (?), 12-Май-20, 19:02 
Для малого бизнеса и для "дома" пойдет, но не для серьезного бизнеса.
Управлять nameless ключами - это вообще не серьезно... Передергивать конфиги на всех серваках при добавлении/удалении клиентов на большой сети - это просто дурдом. Плюс, нет верификации серверов и клиентов относительно СА, что есть потенциальный MITM
Ответить | Правка | К родителю #68 | Наверх | Cообщить модератору

93. "Анонсирована внутриядерная реализация WireGuard для OpenBSD"  +1 +/
Сообщение от Ананимус (?), 12-Май-20, 19:18 
>  Для малого бизнеса и для "дома" пойдет, но не для серьезного бизнеса.

Для site2site туннелей это вообще идеальная штука. Для b2b тоже.

>Управлять nameless ключами - это вообще не серьезно...

Ну да, ну да, SSH в интерпрайзе нет.

> Передергивать конфиги на всех серваках при добавлении/удалении клиентов на большой сети - это просто дурдом.

Hint: именно это самое делает OpenAccess, когда ты юзера блокируешь :D

> Плюс, нет верификации серверов и клиентов относительно СА, что есть потенциальный MITM

Какой к чертям MITM? Верификация относительно CA нужна тогда, когда у тебя есть сертификт, полученный через недостоверный источник (ты зашел на https://yandex.ru и он сам отдал тебе свой сертификат). Если у тебя и клиент, и сервер, шарят ключи заранее по доверенному каналу, никакая валидация относительно CA не нужна, лол.

Ответить | Правка | Наверх | Cообщить модератору

120. "Анонсирована внутриядерная реализация WireGuard для OpenBSD"  +/
Сообщение от OpenEcho (?), 12-Май-20, 22:58 
> Для site2site туннелей это вообще идеальная штука. Для b2b тоже.

Все зависит от необходимости уровня защиты сети, размера сети, похеризма и параноии...
Новомодные 32 байтовые ключи на элиптических кривых - это эквивалент 2048-3072бит RSA что не считается уже давно достаточным уровнем(после того, как гугля достигла квантумной супримаси).

>>Управлять nameless ключами - это вообще не серьезно...
> Ну да, ну да, SSH в интерпрайзе нет.

Не понял иронии... SSH поддерживает PKI, где можно создавать имеенованные сертификаты, которые хорошо видны в логах...

>> Передергивать конфиги на всех серваках при добавлении/удалении клиентов на большой сети - это просто дурдом.
> Hint: именно это самое делает OpenAccess, когда ты юзера блокируешь :D

Какой OpenAccess?
На серваках лежит только публичный ключ СА. Все. Все что подписанно им, - истина.
Никто ничего не передергивает/рестартует/добавляет/удаляет на серваках. Никахих добавлений в authorized_keys и их родствеников в других протоколах. Клиент присылает мне CSR, я его верифицирую через как миниум 3 независимых канала, подписываю его, и отправляю обратно CRT(или если ресурс очень важный, то из рук в руки под подпись). Теперь он может заходить туда где есть наш публичный СА и делать только то, что ему разрешили через principal(прописанный в сертификате) Никаких конектов к сервакам или мороки с деплоями (через стороний софт тем более). Единственное что должно быть на серваках - публичный СА ключ.

>> Плюс, нет верификации серверов и клиентов относительно СА, что есть потенциальный MITM
> Какой к чертям MITM? Если у тебя и
> клиент, и сервер, шарят ключи заранее по доверенному каналу, никакая валидация
> относительно CA не нужна, лол.

Такое впечатление, что мы с разных планет. Технология работает не только на просторах хттп.
Доверенный канал - это что ? гмэйл, яндекс? Может ssh ? И вы правда по телефону сравнивали фингерпринты? Со всеми сотнями серверов? Если есть канал, он может быть МИТМ. Если нет верификации ключей, то МИТМ  можно организовать. Лолайте дальше ;)

Ответить | Правка | Наверх | Cообщить модератору

122. "Анонсирована внутриядерная реализация WireGuard для OpenBSD"  +/
Сообщение от Ананимус (?), 12-Май-20, 23:08 
> Все зависит от необходимости уровня защиты сети, размера сети, похеризма и параноии...
> Новомодные 32 байтовые ключи на элиптических кривых - это эквивалент 2048-3072бит RSA что не считается уже давно достаточным уровнем(после того, как гугля достигла квантумной супримаси).

В Wireguard есть опциональный Preshared Key на этот случай. Учитывая, что нет готового решения для пост-квантовой криптографии (кроме PSK), я не понимаю, чего ты конкретно хочешь :D

> Не понял иронии... SSH поддерживает PKI, где можно создавать имеенованные сертификаты, которые хорошо видны в логах...

Логи SSH? Глазами? Серьезно? :D

> Какой OpenAccess?

OpenVPN Access. Ынтырпрайз для любителей OpenVPN.

> Никто ничего не передергивает/рестартует/добавляет/удаляет на серваках. Никахих добавлений в authorized_keys и их родствеников в других протоколах. Клиент присылает мне CSR, я его верифицирую через как миниум 3 независимых канала, подписываю его, и отправляю обратно CRT(или если ресурс очень важный, то из рук в руки под подпись). Теперь он может заходить туда где есть наш публичный СА и делать только то, что ему разрешили через principal(прописанный в сертификате) Никаких конектов к сервакам или мороки с деплоями (через стороний софт тем более). Единственное что должно быть на серваках - публичный СА ключ.

Правда есть три маленькие детали. Во-первых, на публичный ключ CA на сервера должен как-то попасть. На _каждый_ SSH сервер. Вы его туда руками добавляете? :D

Во-вторых, revocation list должен попадать на сервера ASAP. На _каждый_ SSH сервер. Вы его туда руками добавляете?

Ну и политики в /etc/ssh тоже должны как-то попадать :D

Если вы добавляете это все руками, то это просто комедия. Если вы пушите это через Ansible/Puppet/Chef, то расскажи мне САКРАЛЬНУЮ РАЗНИЦУ В БЕЗОПАСНОСТИ между записью файликов в /etc/ssh, и записью файликов в /root/.ssh/authorized_keys, ~user1/.ssh/authorized_keys. Учитывая, что делать это нужно на тех же самых SSH хостах :)

> Доверенный канал - это что ? гмэйл, яндекс? Может ssh ? И вы правда по телефону сравнивали фингерпринты? Со всеми сотнями серверов?

Какой сотней серверов, если речь про Wireguard? Который VPN? У тебя сто VPN серверов? :D

> Если есть канал, он может быть МИТМ. Если нет верификации ключей, то МИТМ  можно организовать.

Тока ты забыл про одну маленькую деталь. Сертификат для проверки CA тоже нужно как-то доставить клиенту :D

Ответить | Правка | Наверх | Cообщить модератору

126. "Анонсирована внутриядерная реализация WireGuard для OpenBSD"  +/
Сообщение от OpenEcho (?), 12-Май-20, 23:58 
> В Wireguard есть опциональный Preshared Key на этот случай.

Канал передачи ключей проверенный???

>Логи SSH? Глазами? Серьезно? :D

Я все никак догнать не могу, что смешного???

# cat /var/log/secure | grep 'user_root12'

May 12 16:31:44 ХОСТ sshd[23637]: Accepted publickey for root from хх.хх.хх.хх port 7266 ssh2: RSA-CERT ID user_root12 (serial хххххххх) CA RSA SHA512:хххххххххххххххххххххххххх


>Правда есть три маленькие детали. Во-первых, на публичный ключ CA на сервера должен как-то попасть. На _каждый_ SSH сервер. Вы его туда руками добавляете? :D

Ну да, руками, на первой исталяции, приходит/приезжает/прилетает технарь, ему под подпись выдаются публичные ключи, которые они уже устанавливают через иммиджинг систему.
Я же уже сказал, все зависит от систем, которые вы обслуживаете, если это вордпрессы на AWS, это дело одно, а если это военка, финансы, электростанции и т.д. и т.п. то это совсем другое дело...

>Во-вторых, revocation list должен попадать на сервера ASAP. На _каждый_ SSH сервер. Вы его туда руками добавляете?

Когда система уже доверенная, то доставка идет через проверенный, верифицированный канал и CRL в этом случае уже не есть секрет, т.к. он это просто публичный ключ подписанный тем же СА...

Ответить | Правка | Наверх | Cообщить модератору

128. "Анонсирована внутриядерная реализация WireGuard для OpenBSD"  +/
Сообщение от Ананимус (?), 13-Май-20, 07:11 
> Когда система уже доверенная, то доставка идет через проверенный, верифицированный канал и CRL в этом случае уже не есть секрет, т.к. он это просто публичный ключ подписанный тем же СА...

Какой верифицированный канал, лол? Как ты CRL на сервер доставляешь?

Ответить | Правка | Наверх | Cообщить модератору

131. "Анонсирована внутриядерная реализация WireGuard для OpenBSD"  +/
Сообщение от факен (?), 13-Май-20, 08:38 
серьёзный бизнос - это там кде админ в танчики играет, вместо того чтобы работать?
Ответить | Правка | К родителю #91 | Наверх | Cообщить модератору

117. "Анонсирована внутриядерная реализация WireGuard для OpenBSD"  –1 +/
Сообщение от Аноним (117), 12-Май-20, 22:29 
Похоже Линус любит тупые вещи. Сначала линукс, потом гит, теперь и эту поделку.
Ответить | Правка | К родителю #68 | Наверх | Cообщить модератору

118. "Анонсирована внутриядерная реализация WireGuard для OpenBSD"  +/
Сообщение от Ананимус (?), 12-Май-20, 22:31 
Тео тоже нравится.
Ответить | Правка | Наверх | Cообщить модератору

37. "Анонсирована внутриядерная реализация WireGuard для OpenBSD"  +2 +/
Сообщение от Котовшив (?), 12-Май-20, 13:22 
Что скажет дядя Тео?
Ответить | Правка | Наверх | Cообщить модератору

85. "Анонсирована внутриядерная реализация WireGuard для OpenBSD"  +3 +/
Сообщение от Аноним (85), 12-Май-20, 17:50 
Не нужно!
Ответить | Правка | Наверх | Cообщить модератору

98. "Анонсирована внутриядерная реализация WireGuard для OpenBSD"  +1 +/
Сообщение от Anonymous Coward (?), 12-Май-20, 20:41 
Тео первым делом потроллил на тему инструкции по установке вида "ftp|sh":
https://marc.info/?l=openbsd-tech&m=158926552405950&w=2
Ответить | Правка | К родителю #37 | Наверх | Cообщить модератору

86. "Анонсирована внутриядерная реализация WireGuard для OpenBSD"  +2 +/
Сообщение от Аноним (85), 12-Май-20, 17:51 
Теперь црушный зонд и в опёнке будет, если примут.
Ответить | Правка | Наверх | Cообщить модератору

119. "Анонсирована внутриядерная реализация WireGuard для OpenBSD"  +/
Сообщение от Аноним (119), 12-Май-20, 22:50 
А то у них до этого момента там не было зонда. Зонды и бэкдоры есть в каждой ОС. Сноуден подтверди...
Ответить | Правка | Наверх | Cообщить модератору

127. "Анонсирована внутриядерная реализация WireGuard для OpenBSD"  +/
Сообщение от мацад (?), 13-Май-20, 03:29 
да ты прав бро, радужные курвы25519 от рубинштейнера много куда запихали, вычистить нереально, миллионам мух все равно куда и сколко вставлено а полтора по ехавших шизика для строителей третьего храма опасности не представляют.
Ответить | Правка | Наверх | Cообщить модератору

146. "Анонсирована внутриядерная реализация WireGuard для OpenBSD"  –1 +/
Сообщение от пох. (?), 14-Май-20, 15:19 
> по ехавших шизика для строителей третьего храма опасности не представляют.

тебе же почтальон Печкин из небезызвестного опуса - на практике показал, как именно абсолютно надежно предотвратить постройку третьего храма.

Вперед!

Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру