Zobrazit příspěvky

Tato sekce Vám umožňuje zobrazit všechny příspěvky tohoto uživatele. Prosím uvědomte si, že můžete vidět příspěvky pouze z oblastí Vám přístupných.


Příspěvky - Bel Shamharoth

Stran: [1] 2
1
Ať udělám, co udělám, vždycky si udělám zápisky. Je to jedna z nejcennějších věcí a je možné, že na danou věc rok, dva nesáhnu. Takových věcí se nashromáždí stovky...

2
Windows a jiné systémy / Re:Skusit BSD?
« kdy: 13. 07. 2022, 17:56:27 »

Už mě ani nebaví na tohle fundovaně odpovídat. Bílá je černá, černá je bílá, díra je bezpečnost a bezpečnostní systém díra. A když se Vás zeptám na něco konkrétního mluvíte o něčem jiném a když Vám 2x připomenu na jaké nesmyslné tvrzení jsem reagoval, tak začnete tvrdit, že jste vlastně psal něco jiného.

3
Windows a jiné systémy / Re:Skusit BSD?
« kdy: 13. 07. 2022, 09:17:44 »

LSM je součástí jádra. A řeč byla o odizolování aplikace, to s real-time kontrolou otevíraných souborů externí apkou nemá moc společného. Navíc to, že ve Widlích může AV kontrolovat každou aplikaci v systému je právě dané šílenou děravostí toho systému, v každém případě je to OT.

4
Windows a jiné systémy / Re:Skusit BSD?
« kdy: 13. 07. 2022, 09:13:39 »

AppLocker ale jen umožňuje zabránit startu aplikace, ne ji odříznout oprávnění. GP je pouze orchestrace, tím můžete něco nastavit, ale to něco musí existovat, ale ono neexistuje.

Opakujem linuxu chyba zakladne api na zabezpecenie aplikacii a ma nedostatcne vyriesene prava.

Další tah mimo šachovnici. Co se týče těch oprávnění, už toho bylo zmíněno dost a pokud stále trváte na tom, že nic na Widlích je lepší než něco na Linuxu, tak budiž.

5
Windows a jiné systémy / Re:Skusit BSD?
« kdy: 12. 07. 2022, 20:46:56 »

Takže Widle nic neumí, ale dají se na to hacknout externím programem. To je trochu rozdíl. Navíc touhle logikou byl vlastně nejbezpečnější DOS případně 16b. Widle. Nic méně i ty antiviry jsou schopny odhalit a zablokovat jim známé malwary a konkrétní útoky, žádný nezablokuje 0-day a už vůbec ne to, co vypadá legitimně (tak něco čte tenhle soubor, já, AV, vůbec nevím, že je to klíčenka / citlivý dokument a že na to fakt tahle apka nemá, co sahat), a těhle malých/velkých hrozeb jsou mraky. Když je appka oddělená v jailu/NS nebo má preventivně zákaz tam, kde nemá co dělat (což bez intervence uživatele moc nejde), tak jsou systém a zejména data chráněna i proti 0-day a dobře.

V každém případě stále platí, Linux umí, jen to chce obeznámeného uživatele, Widle neumí nic (jen se to dá teoreticky dohackovat). A rozhodně to neplatí obráceně.

6
Windows a jiné systémy / Re:Skusit BSD?
« kdy: 12. 07. 2022, 17:29:42 »

Od začátku reaguji na tvrzení, že Linux neumí nastavit různá oprávnění pro jednotlivé aplikace pod jedním uživatelem. To je přesně, co AA dělá. Že s tím někdo neumí je jeho problém. Pokud aplikace není podezřelá, ale může být zneužitelná (typicky ten prohlížeč), není až takový problém to pustit nanečisto, člověk z auditu stejně ví, co to dělalo. Pokud podezřelá je, tak rovnou použiji FireJail. Vy už tady po několikáté píšete, že Widle to mají řešeno lépe, ale Widle to nemají řešeno vůbec (mimo FW). Jak můžu ve Widlích zabránit aplikaci, aby měla přístup do nějaké složky, nebo povolit jen R/O, když jako uživatel tam zapisovat můžu? Nebo jak můžu ve Widlích zablokovat nějaké syscally? Já teda o ničem nevím.

Nic méně, jak už jsem psal, u sítě je to obráceně, aplikační FW bych opravdu uvítal.

7
Windows a jiné systémy / Re:Skusit BSD?
« kdy: 12. 07. 2022, 15:48:02 »

Možná by stálo za to se na to víc podívat. Udržovat AA profily není žádný problém. Může se stát, že díky striktnímu profilu aplikace po aktualizaci nenaběhne, ale v AA se to ladí velmi snadno. Já takhle funguju už roky a "náročné" bylo jen se to naučit (no asi den jsem tomu věnoval), pak jsou změny v pohodě. AA je fakt pěkný.

Ono jsou věci, které člověk sám optimálně neošéfuje (kvalita algoritmů, bezpečnost systémových aplikací atp.), jsou věci, které jsou fajn, když udělá sama apka (drop capů, sandbox atp.) a jsou věci, které nikdo neudělá líp, než Vy sám (právě ochrana dat v HOME a izolace aplikace), částečně proto, že to s sebou přináší jisté nepohodlí (nějaká "super fíčura" nemusí fungovat, webové aplikace prostě nevidí do dokumentů, protože tam prostě prohlížeč nesmí) a to nikdo neudělá by default, a taky je každý systém jiný a každý uživatel má data jinak. Představa, že se mi někdo univerzálně postará o 100% bezpečnost mého systému je naprosto naivní, ale když chci tomu pomoct, Linux ty nástroje má, Widle ne.

8
Windows a jiné systémy / Re:Skusit BSD?
« kdy: 12. 07. 2022, 14:50:25 »
ano, udělej si sám. Která z linux distribucí to má pro desktop připravené?
SELinux je právě od začátku postavený, aby fungoval out of the box. Ale my spolu moc nekamarádíme.
U AppArmoru a FireJailu, to chce intervenci (i když základní profily jsou), ale je to můj systém a moje rozhodnutí, kam chci co pustit, zbytek je práce na 5 minut.
A když někdo neumí, je to jeho problém, ne systému.

Mluvím třeba o obdobě ACG/CIG u Windows nebo KIP/KTRR u Mac OS.
To je sice hezký, ale reálně je to tak leda "Mírný pokrok v mezích zákona." Tohle za Vás moc nevyřeší.

Linux má LSM (nad tím je postavený Selinux nebo apparmor), ale to je dost bezzubé, musíš mít připravené profily dopředu (kde je vezmu?), neumíš je měnit za běhu aplikace, pak stejně stačí eBPF, který obchází celé LSM. Projekty jako SARA jsou bez vývoje.
SELinux se snaží být předpřipravený, udělat profil pro apparmor není problém (a je na to generátor, pokud si to člověk jednou troufne pustit, ale i tak se dá vzít základ a doladit generátorem). Já mám rád ještě firejail, který toho umožní ještě o dost víc. V tu chvíli máte zabezpečení o kterém se Vám jinde může jen zdát, bezzubost je zde hodně úsměvný pojem.

Měl jsem v ruce mod eset_rtp, to je také šílenost jak nesmyslně se snaží do linuxu na desktop přidat realtime ochranu, předávání dat do user space aplikace ke kontrole je hnus.
Tohle v Linuxu (a unixových systémech obecně) právě moc nefunguje. Právě proto, že tady se kontrola nad systémem přebírá o dost obtížněji. Ale jako jo, tohle by možná chtělo vymyslet pro BFU, ale tady je logičtější cesta zabránit průniku do systému, protože jinak je člověk beztak vystaven 0-day.

Jak linux zabrání, aby přes stejnou zranitelnost v FF neunikla data? Ptám se na výchozí instalaci a ne udělej si sám.
Chcete být špičkovým závodníkem, ale zároveň chcete, aby jste nemusel umět řídit. Věci, které jsou out-of-the-box nebývají dokonalé, ale např. v implicitním profilu AA pro firefox je blokace zápisu do HOME (aspoň něco), když chcete blokovat čtení, tak do toho musíte sáhnout, logicky (nikdo jiný to neví). Opět, neznalost uživatele není problém systému. A třeba v tom FireJailu si do HOME namountujete TMPFS a aplikace ani neví, že nevidí. Jak to udělám, prosím, ve Widlích?

9
Windows a jiné systémy / Re:Skusit BSD?
« kdy: 12. 07. 2022, 13:05:30 »
pokud jde o desktop, tak bezpečnost linuxu a ani *BSD není vysoká, chybí jim totiž transparentní možnost jak oddělit práva procesů spuštěných pod stejným uživatelem.

Co je to za nesmysl? Co Apparmor, SELinux, FireJail etc. Nic? Co z toho mají widle, prosím? Tam je škodlivý SW hned v celým systému a nikdo tomu nezabrání. Když měl FF bug v PDF prohlížeči, všechna data byla na talíři. Já jsem se mohl jen pousmát.

10
Server / Re:Databáze - 300 GB tabulka
« kdy: 14. 03. 2021, 22:09:39 »
  • MariaDB s InnoDB je na toto naprosto v pohodě, osobně bych použil ji.
  • Docela by mě zajímalo, co znamená "spousta paměti", alespoň 1/2 dat? Jestli míň, tak to může být docela problém.
  • Primární klíče se musí za každou cenu vejít do cache.
  • Nevisí to na storage? Plotna tohle nedá.
  • Pokud je dost paměti, tak si potuňte velikost buffer_poolu, max_dirty_pages (vysoké procento), nastavte si velký undo_log (řekněme alespoň 100GB), vypněte adaptive flushing, innodb_flush_log_at_trx_commit=2 (případně 0), innodb_adaptive_hash_index=OFF
  • Co transakce? Není to co zápis, to commit?
  • Věci jako velká tmp tabulka, ramdisk atp. nechte gynekologovi. To je tady totální plýtvání operační pamětí.

11
Vývoj / Re:Je Rust jazyk budoucnosti?
« kdy: 11. 11. 2020, 11:38:02 »

Tohle by nestačilo?

https://github.com/KizzyCode/timeout_io/blob/master/tests/acceptor.rs
Chápu argumenty typu "tohle by mělo být v základní knihovně", ale to "dávno" je dost závislé na tom, kolik lidí to trápí a kdo to může přidat...

Tohle vypadá, že by i mohlo nějak fungovat, ale je to zase externí věc. Mě jde o to, že tohle se řešilo např. https://github.com/rust-lang/rust/issues/31615 v roce 2016. A jako tohle musí pálit každého, kdo píše síťovou službu. Přeci nemůžete zůstat viset na socketu dokud Vás nesestřelí.

Já nechci hanit rust, mě jen přijde, že sice žije komunita kolem jazyka, ale jazyk samotný už moc ne. Navíc, kdo vlastně za rustem stojí, Mozilla? To taky není moc perspektivní partner (v porovnání třeba s go a Googlem), servo je taky dead.

12
Vývoj / Re:Je Rust jazyk budoucnosti?
« kdy: 10. 11. 2020, 17:31:20 »
S dovolením bych se vrátil k rustu. Docela by mě zajímalo, jestli se ten jazyk vůbec ještě vyvýjí. Mě totiž příjde takový napůl mrtvý.

Proč? Před lety, když jsem ho zkoušel, tak jsem skončil na TcpListeneru, kterému nebylo možné nastavit timeout (a taková služba se prostě musí sestřelovat a tudíž je téměř nepoužitelná). Tenkrát jsem rust odložil jako jazyk ještě ve vývoji. Nic méně dívám se, že i po letech tahle základní funkcionalita pořád chybí. Exsituje sice crate net2, který vypadá, že by to mohl doplnit, ale tohle už mělo být dávno doplněné ve std. knihovně.

Neví někdo, jak je to s vývojem rustu? Tohle totiž moc živě nevypadá.

13
Hardware / Re:Zálohování na pásku - pomalé LTO-2
« kdy: 28. 02. 2017, 18:37:56 »
Kód: [Vybrat]
SCSI 2je v pohodě, na FC ULTRIUM LTO-5 to taky píše SCSI 2 a rychlost je OK (přes 100MB/s).


14
Server / Re:Mysql a ext4 writeback
« kdy: 31. 01. 2017, 20:35:53 »
Řekl bych, že je to docela jedno, ale osobně u ext4, kde mi záleží na datech používám defaultní (a tudíž nejlíp otestované) ordered. Nebo to můžeš přesunout na XFS, které vlastně používá writeback samo od sebe.

Nic méně výkonnostní rozdíl na innodb nebude buď žádný, nebo bude i tak DB nepoužitelná. Disk, hlavně rotační, prostě nesmí být úzké hrdlo.

Pokud máš hodně zápisových transakcí a jsi ochotný jich pár v případě výpadku obětovat, tak si spíš pohraj s innodb_flush_log_at_trx_commit. Plus samozřejmě innodb_buffer_pool_size, innodb_max_dirty_pages_pct, innodb_io_capacity atd.

15
Server / Re:Obnova MySQL databáze je pomalá
« kdy: 05. 11. 2015, 14:33:11 »
SQL příkazy pro vypnutí indexů/kontroly ref. integrity umí do dumpu dávat rovnou mysqldump - již jsem uváděl parametry.

Referenční integritu ano, ale vypnout klíče umí bohužel jen MyISAM, který snad nepoužívají. Resp. ono to tam je a je to ignorované.

Stran: [1] 2