Rozšířenost *BSD systémů

[pepazdepa]

+- snad nejprimitivnější instalátor, který jsem viděl. ale funguje rozumně.
 - OpenBSD se honosí tím, jak je jeho základní instalace superminimalistická a bezpečná, ale z nějakého důvodu jsou do světa otevřeny porty 13, 37, 113
 - neexistence framebuffer konzole (ani základní VESA)
 + fungující suspend-to-ram na notebooku (dokonce to umí i myš/touchpad v konzoli, podobně jako gpm)
 + fungující hardwarová krypto akcelerace u AMD Geode (v linuxu velký problém) skoro out of the box (až na aktivaci - bylo potřeba to hledat na fórech, v dokumentaci ani manuálech to zmíněno není)
 - žádná možnost virtualizace, chybí analogie jails/containers ..
 - nemožnost jednoduše šifrovat disky (taky chybí taková možnost v instalátoru)
 - neexistence bezpečnostních aktualizací v podobě binárních balíčků
 +- písničky

ad instalator - openbsd instalator je snad neprimocarejsi instalator, co existuje, aspon jde breaknout a znovu zacit, coz se u jinych instalatoru rict neda. pokud nekdo nezvladne davat nekolikrat enter, pac by asi mel prejit na kulickove pocitadlo.

mys v konzoli - kdyz to vidim v rhel virtualizovanych na ESXi tak bych strilel, to musel vymyslet opravdu jen ...., kdyz uz nekdo chce kopirovat v konzoli ma screen nebo tmux.

jails nejsou virtualizace, ona ta virtualizace na x86 stoji za starou backoru a ne x86 reseni stoji dost penez, jako ldoms.

sifrovat disky - break instalator a udelej si sam. pokud umis zaklady shellu tak snad se dovtipis, kam si to dopsat pri cteni /etc/rc

binarni balicky - to myslis system nebo porty? jestli porty, tak cekame na tvuje zapojeni pri sprave portu a ziskani penez nebo hardware pro -stable radu. za openbsd nestoji zadne nadnarodni korporace, a stejne, pokud chces spravovat nejaky skutecny set serveru, tak si snad udelat build host, ne? a pripravis procedury na testing a implementaci patchovani.

[Reklama]

[BSD]

To x:
Mohl bych Te jeste poprosit o jednu (pro Tebe) malickost? Nemam ted moc casu na to abych si nastudoval cely PF... zkousel jsem par experimentu podle man, ale nefungovalo to tak jak bych chtel... Takze prosim o zakladni konstrukci, zbytek si rozsirim sam az budu mit cas na hlubsi studium PF.

Potreboval bych pravidla pro PF tak aby:
 * port 22 povolen zvenci, zbytek implicitne blokovat (tzn. default block) (vcetne all ICMP)
 * spojeni ven keep-state

Dekuji ...


BTW:
Psal jsem si skripty pro automaticke pripojovani do znamych wifi siti + scan wifi s ulozenim a pripojenim do vybrane site. Kdyby je nekdo chtel, muzu poskytnout. (wifi_autostart se spousti automaticky na pozadi pri spousteni X a wifi_scan mam namapovany v GUI na klavesovou zkratku...)

[x]

Pro technictejsi detaily je man, pro rychly uvod je FAQ http://www.openbsd.org/faq/pf/index.html . Z pohledu pf je skvele i http://home.nuug.no/~peter/pf/en/ coz je od autora knih o pf

No minimalne potrebujes jeste i 53 ;-), ale to co konkretne chces ty je:

block all
pass in port 22
pass out

vynechavam veci jako logovani, to jestli to bude jen pro konkretni rozhrani (mnou napsane pravidlo je pro vsechny, jestli to bude jen TCP nebo UDP (tohle pro oboje), jestli IPv4 nebo IPv6 (tohle oboje), to jestli prichozi spojeni pujdou pri nejakem overload (utok nebo tak neco) do tabulek pro vetsi limitovani pri dalsim spojeni atd. Keep state je default uz pekne dlouho jak ma byt dobrym zvykem a ne onanie s psanim to pro kazdy radek jako v jinych nejmenovanych produktech.

Pripojeni k WiFi resi lide ruzne. Nejlepsi je pouzit ifstated, protoze to je systemove podporovana vec, ale lide si upravuji treba i /etc/rc a maji vlastni scripty jako treba ty

[pepazdepa]

To x:
Mohl bych Te jeste poprosit o jednu (pro Tebe) malickost? Nemam ted moc casu na to abych si nastudoval cely PF... zkousel jsem par experimentu podle man, ale nefungovalo to tak jak bych chtel... Takze prosim o zakladni konstrukci, zbytek si rozsirim sam az budu mit cas na hlubsi studium PF.

Potreboval bych pravidla pro PF tak aby:
 * port 22 povolen zvenci, zbytek implicitne blokovat (tzn. default block) (vcetne all ICMP)
 * spojeni ven keep-state

Des bes... toto je vysledek toho, kdyz se nekdo vede za rucicku a zaroven je ten vedeny lenoch...

2 x: prestan uz tady je vodit za rucicku nebo tu bude spoustu pitomych OpenBSD uzivatelu!

[x]

Potrebujeme nejake terce ;-) Dva novi za poslednich par dnu na misc@ chytrych jak radio o tom, ktera anglictina je spravna a podobne je malo :-) Na IRC byl ted par dni aspon jeden pomerne vtipny, ale rusil spanek, tak uz ma ban

[Reklama]

[BSD]

To x:
Diky za pravidla. Trochu jsem si je upravil a nyni vypadaji takto:

block in on !lo
pass in proto tcp to port 22
pass out

Proc port 53? ... Dotaz pro DNS je sice pres UDP (krom prenos zony), ale i tak muze byt keep-state - OpenBSD to umi ...

pepazdepa:
Neni to vodeni za rucicku, ale rychla pratelska pomoc zacinajicim uzivatelum (nikoliv vsak zacatecnikum - treba ja osobne jsem absolvent VS v IT, vyvijel jsem pro RedHat a nyni vyvijim pro firmy, ktere bezi na UNIX-like systemech). Ostatni co se tu obcas dotazuji taky laici nebudou . Je logicke, ze nemuzu mit hned vsechno vyladene jak bych chtel, ale chci alespon zakladni bezpecnost. Zbytek pozdeji... To, ze jsem ted v casovem presu neznamena, ze jsem pitomy uzivatel. Treba se pozdeji (za nejaky ten rok) budu podilet na vyvoji OpenBSD .

[x]

Na lo rozhrani se nefiltruje, protoze by default je preskakovano ;-) http://www.openbsd.org/cgi-bin/cvsweb/src/etc/pf.conf?rev=1.50

Proc 53? Proto aby ti fungovalo DNS? Navic ne vsechny DNS dotazy jdou pres UDP, ale i TCP a to nejen prenosy zony ;-)

keep-state OpenBSD samozrejme umi, ale je v tech pravidlech by default, tak neni to tam duvod rozepisovat, pf si to rozsiri sam. Leda ze to nechces, tak to musis explicitne vypnout.

pepazdepa / BSD
behem tech let jsem vypozoroval, ze u potencionalnich uzivatelu BSD je problem spise se spatnyma navykama z jinych systemu nez v tom, ze by neceho nebyli schopni a v zacatku pri prechodu je to to jedine s cim v podstate bojuji, protoze jsou odjinud zvykli, ze porad neco nefunguje, dokumentace neni, ta v systemu je nepouzitelna a tak je na vsechno Google a vyvojari tech systemu tomu svou "kvalitou" odvedene prace taky zrovna nepridaji :-)

[pepazdepa]

To x:
Diky za pravidla. Trochu jsem si je upravil a nyni vypadaji takto:

block in on !lo
pass in proto tcp to port 22
pass out

Wow.

pepazdepa:
Neni to vodeni za rucicku, ale rychla pratelska pomoc zacinajicim uzivatelum (nikoliv vsak zacatecnikum - treba ja osobne jsem absolvent VS v IT, vyvijel jsem pro RedHat a nyni vyvijim pro firmy, ktere bezi na UNIX-like systemech). Ostatni co se tu obcas dotazuji taky laici nebudou . Je logicke, ze nemuzu mit hned vsechno vyladene jak bych chtel, ale chci alespon zakladni bezpecnost. Zbytek pozdeji... To, ze jsem ted v casovem presu neznamena, ze jsem pitomy uzivatel. Treba se pozdeji (za nejaky ten rok) budu podilet na vyvoji OpenBSD .

Wow. RH, wow... prines ty uzasnosti jako systemd, PAM, udev, acl, selinux, python v base os, pulse, graficky boot, gpm, LVM na devmapper, runlevely, konfiguraci WPA pres wpa_supplicant.conf atp... tyto uzasne technologie nam velmi chybi :-)

[Mirek Prýmek]

vyvijel jsem pro RedHat

To, ze jsem ted v casovem presu neznamena, ze jsem pitomy uzivatel.

Mně se ta otázka nelíbila, protože's napsal, že's něco zkoušel a ono to nefungovalo - kdybys sem vložil, jak to vypadalo a aspoň hrubej popis, co nefungovalo, bylo by to jiný kafe. Není mi totiž moc jasné, co's mohl mít blbě - zadání je tak jednoduché a pf tak dobře vymyšlené, že fakt nechápu, co se ti na těch 3 řádcích nepovedlo...

(to nemá být rýpání, jen nasměrování, co se asi tam mohlo nelíbit pepazdepovi...)

[pepazdepa]

pepazdepa / BSD
behem tech let jsem vypozoroval, ze u potencionalnich uzivatelu BSD je problem spise se spatnyma navykama z jinych systemu nez v tom, ze by neceho nebyli schopni a v zacatku pri prechodu je to to jedine s cim v podstate bojuji, protoze jsou odjinud zvykli, ze porad neco nefunguje, dokumentace neni, ta v systemu je nepouzitelna a tak je na vsechno Google a vyvojari tech systemu tomu svou "kvalitou" odvedene prace taky zrovna nepridaji :-)

radsi uz udelej port na ten icaclient

[BSD]

To x:
DNS mi normalne funguje a jestli to bezi pres UDP nebo ve vyjimecnych pripadech pres TCP nehraje preci zadnou roli - dotazuji se ja, on zasila jen odpoved, proto by mel postacit ten keep-state.

Mira:
Budiz... ale pochybuji, ze by jeho reakce byla jina.

[pepazdepa]

To x:
DNS mi normalne funguje a jestli to bezi pres UDP nebo ve vyjimecnych pripadech pres TCP nehraje preci zadnou roli - dotazuji se ja, on zasila jen odpoved, proto by mel postacit ten keep-state.

by default PF je keep-state, takze pass out je pro dns queries OK. to co pise 'x' je nesmysl, pak by i http://www.openbsd.org/cgi-bin/cvsweb/src/etc/pf.conf?rev=1.50 bylo blbe (dle teorie 'x'), coz neni.

[x]

pepazdepa / BSD
behem tech let jsem vypozoroval, ze u potencionalnich uzivatelu BSD je problem spise se spatnyma navykama z jinych systemu nez v tom, ze by neceho nebyli schopni a v zacatku pri prechodu je to to jedine s cim v podstate bojuji, protoze jsou odjinud zvykli, ze porad neco nefunguje, dokumentace neni, ta v systemu je nepouzitelna a tak je na vsechno Google a vyvojari tech systemu tomu svou "kvalitou" odvedene prace taky zrovna nepridaji :-)

radsi uz udelej port na ten icaclient

Co s tim furt mas? Vzdy to jede jak z praku v Linux emulaci Jen par dni to nejelo jak Paul do neceho hrabnul, ale na to jsem ho upozornil a pak to opet jelo :-)

Ale pravda, neco nativniho by neskodilo. Bude treba se na to ve volnem case mrknout, ale ted dokoncuju jeden projekt co ma prednost.

[smoofy]

to pepazdepa:
Na druhou stranu tenhle pristup odporuje unixovemu mysleni v jeho nejnizsi podstate a to predevsim oblibene pasazi o znovuvynalezani kola. Tim, ze se uzivatel zepta, a nekdo mu smysluplne poradi, ziska cas na reseni moralni hodnoty a vyssiho principu jeho dotazu a jeho nasledny dopad na unixovou komunitu, predevsim tu okolo OpenBSD.

[x]

To x:
DNS mi normalne funguje a jestli to bezi pres UDP nebo ve vyjimecnych pripadech pres TCP nehraje preci zadnou roli - dotazuji se ja, on zasila jen odpoved, proto by mel postacit ten keep-state.

by default PF je keep-state, takze pass out je pro dns queries OK. to co pise 'x' je nesmysl, pak by i http://www.openbsd.org/cgi-bin/cvsweb/src/etc/pf.conf?rev=1.50 bylo blbe (dle teorie 'x'), coz neni.

Eh co presne bylo blbe? Ze pf je default keep state jsem psal. Pro 53 klienta staci pass out, ja jen aktivne predpokladal, ze kdyz ma 22, tak ze tam budou i nejake dalsi sluzby jako DNS a podobne, kdyz to tak striktne zavira. Premyslim o nekolik bodu dopredu no, kdyz predpokladam, ze neresi nejakou lokalni stanici jenom