Всё это конечно интересно, но у меня на шлюзе pf и postdrey вполне удачно выполняют свои функции %))

ЗЫ от postdrey не ожидал, что он так хорошо будет ограждать наш сервак от спама... ;))))

Посмотрел подробнее... Странный подход у них к выкладыванию доков...

Интересно. Значит Bob Beck пишет pf. А наши местные BSD'воды упорно пишут по циферкам с манами.

km, ты сюда новости из-под *BSD пишешь?

опять этот про-OpenBSD-шный мусор... фу. промывание мозгов на ЛОР-е...

Любопытные материалы.. ;-)

А вообще сильно использовать связку pf + spamd. Забавное описание, мне понравилось.

Использую эту связку больше 2 лет. Нахожу полезным и эффективным блокировать при помощи pf трафик из <spamd> на $relay port 25.

О механизме попадания и удаления из <spamd> я умолчу -- у нас своя стратегия.

km, спасибо, почитаем )

>опять этот про-OpenBSD-шный мусор... фу. промывание мозгов на ЛОР-е...

Не согласен с тобой. У нас в офисе на шлюзе фря и используется pf. И это не единственное, что от OpenBSD используется на других платформах! И если оно развивается в OpenBSD, то это полезно и для пользователей других систем. И знать об этих изменениях или о применении данного ПО не есть вредно.

крутой чувак - классные проги и технологии!

> spamd отложит ваш спам

Куда он его отложит? Понимаю, вот, страусы яйца откладывают...

>Куда он его отложит? Понимаю, вот, страусы яйца откладывают...

оччччень смешная шутка

Хорошо воспитанный почтовый сервер должен ответить

451 This mail was send /dev/null - zaebali

Граждане!

Вы знаете, этот околоBSD'шный пиар уже начинает реально задалбывать. У вас что -- установка такая, загаживать линуксовые форумы новостями о всяких конференциях OpenBSD, бездарных песнях об OpenBSD, футболках OpenBSD и очередных, простите меня, высерах Тео де Раадта? Лучше потерпите недельку, соберите дайджест и выложите.

Недавно в Толксах постили адрес частного варезного сервачка, у которого хозяином полный фашист - вот он так и отвечает.

Дядьки, а подскажите плиз, что можно использовать (на слаке) в качестве смтп-прокси с грей-листингом и прочими проверками, что-бы воткнуть его перед сендмейлом, переделывать сендмейл не предлагать! :)

smf-grey - fast work, production quality.

а разве этот spamd из ОпенБзд не годится для этого?
pf можно заменить на iptables...

>smf-grey - fast work, production quality.
да ладно вам... есть же milter-greylist!
фичастей и в кластере работает...

Граждане, пройдёмте

не волнуйся, shimon, сейчас отважные ассенизаторы с плюсомётами придут - разберутся

>pf можно заменить на iptables...

сказочник

"и возможно для любителей острых ощущений"
А для любителей секса?

и не говори - достало
включишь телек - там ксения собчак
сунешься на лор - тут км с опенбсд

а чего это пингволюбы так бздешников не любят? завидуют чему?
или комплексы какие детские?

>а чего это пингволюбы так бздешников не любят? завидуют чему? или комплексы какие детские?

По себе не судят ...

>По себе не судят ...
так эт как раз и не по себе, а по автору поста ж)
или надо повесить на лоре транспарант: мастдай и бздя - оффтопик здесь =)

Достали уже на bsd наезжать. Может конечно линух фичастей и пердастей, но каждому своё. А статья прикольная, pf рулит, ничего удобнее не встречал (только не надо про iptables кричать)

> (только не надо про iptables кричать)

Надо, потому что iptables -- эхотаг, а pf -- злостный оффтопик.

> Вы знаете, этот околоBSD'шный пиар уже начинает реально задалбывать

+1

Тебя как слепого котенка ведут к свету, который нам дает Тео и OpenBSD, а ты глупец сопротивляешься!

> Вы знаете, этот околоBSD'шный пиар уже начинает реально задалбывать. А меня достали линукс-киды сообщениями типа ваших.

>Тебя как слепого котенка ведут к свету, который нам дает Тео и OpenBSD, а ты глупец сопротивляешься!

Ни дров тебе, ни 3D, ни мандатного разграничения прав...

Дров конечно не так много, но на серверные мамки хватает, 3d - что ты подразумеваешь вод этим ? на севере вобшем то и не надо этого. И что там с правами не так ?

>опять этот про-OpenBSD-шный мусор... фу. промывание мозгов на ЛОР-е...

Тебе бояться нечего, о анонимус - за отсутствием онных :)

>Вы знаете, этот околоBSD'шный пиар уже начинает реально задалбывать.

[ Истерика поскипана ;-) ]

shimon - почитай ка faq с этого форума, там про BSD есть :)

И с другой стороны - BSD реально есть чем гордиться, это тебя тревожит ?-)

>Ни дров тебе, ни 3D, ни мандатного разграничения прав...

Ну да - как же на gateway без 3D ....

>jackill ****

А жто который зюзерутеры строил ?
Тогда - "вопросов больше не имеем!" :)

Audio recordings of presentations given at New York City BSD Conference 2006.

http://undeadly.org/cgi?action=article&sid=20061031131757
http://www.fetissov.org/public/nycbsdcon06/

> Интересно. Значит Bob Beck пишет pf. А наши местные BSD'воды упорно пишут по циферкам с манами.

Ну это зависит от контекста, ИМХО. Кстати, я столько циферок в предыдущей новости не писал (у меня были циферки только напротив pf(4) и carp(4)) -- циферки, очевидно, добавили модераторы, которые ещё и сделали нечитаемой фразу "siteXY-<hostname>.tgz" после использования HTML. ;) http://www.linux.org.ru/jump-message.jsp?msgid=1631979

> но на серверные мамки хватает

smp, numa? ась?

>И что там с правами не так ?

1:
Есть юзер vasya и в ~ у него лежит порнушка tetki.avi с правами 700.
И хочет он чтобы её мог посмотреть только юзер petya, и никто больше. Идеи?

2:
vasya очень любит запускать CS-сервер, который он регулярно заливает
в свой ~ из инета. Но инет Васе нужен для работы, да и в ~ у него лежат нужные бинарники(так что noexec тут не годится). Как сделать так, чтобы у него работал браузер/smtp/pop3, но он не мог запускать CS-сервер. Идеи?

3:
petya иногда должен менять сетевые настройки, но давать root ему нельзя, как и sudo. идеи?

>Ну да - как же на gateway без 3D ....

>А жто который зюзерутеры строил ?

Может быть для серверной фри солярис родной есть? Нет? Какая жалость - бсдя это несертифицированная операционка для gateway на базе Pentium 133MHz без 3D есессно.

>1:

>Есть юзер vasya и в ~ у него лежит порнушка tetki.avi с правами 700.

>И хочет он чтобы её мог посмотреть только юзер petya, и никто

>больше. Идеи?

>2:

>vasya очень любит запускать CS-сервер, который он регулярно заливает

>в свой ~ из инета. Но инет Васе нужен для работы, да и в ~ у него

>лежат нужные бинарники(так что noexec тут не годится). Как сделать

>так, чтобы у него работал браузер/smtp/pop3, но он не мог запускать

>CS-сервер. Идеи?

>3:

>petya иногда должен менять сетевые настройки, но давать root ему

>нельзя, как и sudo. идеи?

4: petya иногда должен работать на компьютере, но подпускать к компьютеру его тоже нельзя. Идеи?

>Может быть для серверной фри солярис родной есть? Нет? Какая жалость - бсдя это несертифицированная операционка для gateway на базе Pentium 133MHz без 3D есессно.

s/солярис/оракл/ :)

Ути пуси :)
Ораклу лет 25 уже. Сколько из них он есть на линуксе? От то-то же!
Все будет не боитесь.
Вот ведь совсем недавно ныли - где Ява нативная ... теперь есть. И орацкел будет :)

С интересном посмотрел слады про неявные зависимости: http://www.pkgsrccon.org/2006/slides/hiddendep.html Интересно, но сборка в чруте это не новость, в ALT Linux всё собирается в hasher'e, который специально для этого и был написан.

1: Есть юзер vasya и в ~ у него лежит порнушка tetki.avi с правами 700. И хочет он чтобы её мог посмотреть только юзер petya, и никто больше. Идеи?

2: vasya очень любит запускать CS-сервер, который он регулярно заливает в свой ~ из инета. Но инет Васе нужен для работы, да и в ~ у него лежат нужные бинарники(так что noexec тут не годится). Как сделать так, чтобы у него работал браузер/smtp/pop3, но он не мог запускать CS-сервер. Идеи?

3: petya иногда должен менять сетевые настройки, но давать root ему нельзя, как и sudo. идеи?

systrace(1)

> Интересно, но сборка в чруте это не новость

там про чрут написано просто как одно из решений. Там предлагается buildlink wrappers.

> smp, numa? ась?

В OpenBSD ещё SMP до конца не домучили; во FreeBSD есть и первое, и второе.

> 1: > Есть юзер vasya и в ~ у него лежит порнушка tetki.avi с правами 700. > И хочет он чтобы её мог посмотреть только юзер petya, и никто больше. > Идеи?

ACL

> 2: > vasya очень любит запускать CS-сервер, который он регулярно заливает > в свой ~ из инета. Но инет Васе нужен для работы, да и в ~ у него > лежат нужные бинарники(так что noexec тут не годится). Как сделать > так, чтобы у него работал браузер/smtp/pop3, но он не мог запускать > CS-сервер. Идеи?

ACL

> 3: > petya иногда должен менять сетевые настройки, но давать root ему > нельзя, как и sudo. идеи?

MAC (ты же именно это имел в виду?). Кстати, а почему sudo нельзя?

>systrace(1)

пионерия во всей красе. вместо posix acl и MAC предлагается велосипед.

systrace - инструмент ужесточающий политику безопасности. А если вместо vasya - юзер root?

>В OpenBSD ещё SMP до конца не домучили; во FreeBSD есть и первое, и второе.

речь об openbsd only :)

>MAC (ты же именно это имел в виду?). Кстати, а почему sudo нельзя? да, именно mac.

# *** REMEMBER *************************************************** # * GIVING SUDO ACCESS TO USERS ALLOWS THEM TO RUN THE SPECIFIED * # * COMMANDS WITH ELEVATED PRIVILEGES. * # * * # * NEVER PERMIT UNTRUSTED USERS TO ACCESS SUDO. * # ****************************************************************