Наконец-то и в BSD пришел NetworkManager!

Лично я все жду, когда они осилят переписать PulseAudio и перейдут на launchd.

это и близко не NetworkManager, оно совсем для другого

это что то типа ipcop?

Это софт для построения софтверного роутера, аналога циски или джунипера.

хотеть ебилд

Ой, любезнейший...

... Да откройте уже для себя GNAP (Gentoo Network Appliance) — http://www.gentoo.org/proj/en/base/embedded/gnap.xml и ни в чём себе не отказывайте.

В мире Gentoo ждать ebuild'ов как минимум стыдно... Ну, а то, что BSD'шники снялись с ручника — странно. Но патетичненько так...

В качестве примеров поставляются готовые конфигурации BGP и OSPF маршрутизатора,

Угу... Кто-то им рассказал про quagga (в прошлом zebra)? http://www.nongnu.org/quagga/

Целью проекта является создание сетевых устройств на базе OpenBSD и предоставления унифицированного интерфейса для конфигурирования и управления ими.

О дааа... Господа! Окромя вас ни кто этого делать не умеет... )))

В общем, весна скоро — разморозка на носу... )))

Лично я все жду, когда они осилят переписать PulseAudio и перейдут на launchd.

Ты даже не осилил понять, для чего эта программа. О каких-то пульсах еще речь ведешь. :D

но ведь оно и близко с цисками не встает

Кто-то им рассказал про quagga (в прошлом zebra)?

Нет, они написали OpenBGPD.

Для небольших сетей вполне нормальное решение. Учитывая высокую степень защищенности OpenBSD, можно просто поставить и забыть лет на 5.

Научись хоть немного понимать прочитанное.

Для небольших сетей вполне нормальное решение. Учитывая высокую степень защищенности OpenBSD, можно просто поставить и забыть лет на 5.

именно защищенности или все таки отсутствие уязвимостей в следствии параноидального отношения к коду?

или все таки отсутствие уязвимостей в следствии параноидального отношения к коду?

А там параноидальное отношение к коду или просто никто не пользуется, поэтому никому и ломать в голову не взбрело?

Это софт для построения софтверного роутера, аналога циски или джунипера.

Зачем, если есть vyatta? И даже есть поделки на ее основе сертифицированные ФСТЭК.

... ну написали и написали.

Если подробнее о GNAP (на основании опыта), то там сразу и на всю голову SELinux. Так что, с секьюрностью все тип-топ.

По софту все так же нормально, но есть одно «но». Там uclinux, что для системы в виде образа squashfs на 20М (файер + ssh + openvpn + squid + еще немного пирогов и плюшек) это простительно.

С администрированием тоже все ровно — линукс он линукс и есть и нет нужды лихорадочно вспоминать какие аргументы у той или иной команды.

Если сравнивать с сиськами, то для vpn ни кто не ограничивает ни в чем (купить сейчас в РФ асу бандл К9 не реально). По поводу ключей для AES/3DES к цискам тоже не нужно обращаться... Такой шлюз вполне шустро работает на Р-4 с 512М памяти на борту. И есть не просит.

GNAP можно собрать под любую архитектуру процессора. Для сборки используется каталист, благодаря которому на основе генту можно создать свой дистрибутив. Каталист используется внутри gnap-dev и снаружи это не особо заметно.

Если говорить о том, чтобы на базе GNAP создавать шлюз, то по произвоительности он будет не хуже пиксы/асы. Важно не грузить его по дури лишним. Т.е., если это шлюз, то нефиг на него еще и постфикс (например) навешивать. В конце-концов, на ту же пиксу ни кто не намазывает постфикс?

В сухом остатке мне вообще не ясно зачем это BSD-поделие. Ну, про то, что ospf это не совсем для «малых сетей», я и не поминаю. Но роутер с quagga на gnap построить вполне возможно.

софт для построения софтверного роутера

Не для построения, а для конфигурирования OpenBSD в cisco-like CLI.

Этот же автор делает flashrd, предоставляющий самый простой способ генерации образов для embedded-решений типа alix на openbsd.

Подробности

Правильнее сказать наверное «исходники» а не «подробности»

Не для построения, а для конфигурирования OpenBSD в cisco-like CLI.

Годный проектик.

Что есть ФСТЭК?

Что есть ФСТЭК?

То что при некоторых условиях может затроллить некоторую контору с ее наизащищенными openbsd-роутерами.

Хм, нашёл, больше не упоминай это слово на моём лоре.

Русская безопасность безжалостная и беспощадная?

Русская безопасность означает сертификаты, а не реальные меры.

Ты хотел сказать означает: взятки и близкие знакомства? А ещё и отсутствие ума, затролить openbsd... Ололо.

Это означает, что для осуществления некоторой деятельности может требоваться наличие сертифицированного фаерволла, например. И никого не интересует, что твое техническое решение лучше и надежнее.

И все-таки ЛОР торт! :)

... Казалось бы и при чем здесь ФСТЭК? Лицензия ФСТЭК нужна в примерно одном проценте от общего числа решений. В остальных 99% всем сугубо похрену как коммерсы «защищают» свои сети ибо окромя базы от 1С, содержащей бухгалтерскую информацию, там ни каких «секретов» не было, нет и не предвидится. Можно какой-нибудь ideco ics прикрутить, да не париться. Сертификат ФСТЭК для него есть. Какой-то...

То, что некоторое решение «лучше», нужно еще для начала доказать. И да, хотелось бы узнать критерий этой самой «лучшести»? В чем она? А то вот несмотря на все вопли про супер-надежность openbsd, АНБ создало SELinux, такого рода решений для *BSD как-то не наблюдается. Видимо, в пендосстане тоже кругом откаты и коррупция и АНБ за поддержку Linux проплатили из Редхата или Новел, а то и Оракл скинулся... )))

В остальных 99% всем сугубо похрену как коммерсы «защищают» свои сети ибо окромя базы от 1С, содержащей бухгалтерскую информацию, там ни каких «секретов» не было, нет и не предвидится.

ололо
152-ФЗ

... 152-ФЗ? Угу... «Строгость законов Российской Федерации с лихвой компенсируется необязательностью их исполнения». ;) Так что, что он (этот закон) есть, что его нет... Разницы ни какой. Формальное исполнение потребовать можно, но вот будут ли исполнять на деле... И, кстати, да... Этот закон при всей его «правильности» ещё вдобавок и слишком общий.

/* Но идея защититься от злобных хакИров посредством закона мне нравится... Ещё веселее — использовать «уставы» вместо бронежилета, наверное... По идее, должно защищать... ))) */

АНБ создало SELinux, такого рода решений для *BSD как-то не наблюдается.

А почему я должен доверять дядям из американских спецслужб? С моей точки зрения, OpenBSD намного более безопасна в плане всяких бэкдоров. Код создается на территории Канады независимой командой, в отличие от редхата и прочих американских компаний.

А то вот несмотря на все вопли про супер-надежность openbsd, АНБ создало SELinux, такого рода решений для *BSD как-то не наблюдается.

Плохой аргумент, ведь вкладывают в антивирусы под офтоп каждый год несоизмеримо больше чем было вложено в SELinux. И зачем они это делают если есть такой крутой SELinux?

...Волшебнейший...отчего...так мало...многоточий...?...

... А зачем «доверять»? Код модулей SELinux в ядре доступен в виде исходников. Код утилит управления так же доступен в виде исходиков. Вот уж в чем-в чем, а в излишней доверчивости я бы себя лично не упрекнул. ;) Берите, смотрите. Там не так много.

Квалификации мне не хватает, чтобы проверить. Да и не верю я в альтуизм американских спецслужб.

Лицензия ФСТЭК нужна в примерно одном проценте от общего числа решений.

Это как минимум многие госучреждения, а это уже сильно больше 1%.

То, что некоторое решение «лучше», нужно еще для начала доказать. И да, хотелось бы узнать критерий этой самой «лучшести»? В чем она?

Ты о чем сейчас? Если есть сертификат - ничего доказывать не нужно, нету - иди ищи что-то сертифицированное, никто тебя слушать не будет.

Ждём во FreeBSD.

... Да откройте уже для себя GNAP (Gentoo Network Appliance) —

там последний ревижЫн:
Sat Apr 15 11:01:04 2006 UTC (6 years, 10 months ago)
или это признак зрелости ? ;)

... Боже, как давно это было! Уже 6 лет прошло... )))

Не совсем «зрелости». Скорее, я на его основе просто «набил руку» и теперь по мере необходимости фигачу то, что мне нужно. Но самый первый вариант ещё таки работает. Только что узнавал. Блин. Интересно, его за восемь-то лет хоть кто-нибудь апдейтил? Надо будет узнать.

Возможно что...

... больше, но не сильно. По крайней мере, погоды они точно не делают.

По поводу «доказательства». Всё просто — я про решения на базе Linux или *BSD. Не важно — сертифицированные продукты или нет.

... Ни какого альтруизма. Чистая прагматика.

«Службы» идут на осознанный риск. Да, какие-нибудь негодники смогут использовать SELinux для защиты своих систем. Но для «служб» гораздо более ценно то, что в ходе испытаний в разных частях света и разными людьми, «службы» получают возможность для своего гос-ва предоставить более защищённую систему. А негодники какие-нибудь здесь по-ровну. Самым обкатанным вариантом здесь является RHEL, но активировать SELinux можно на современных ядрах на любой версии. Это не проблема.

Впрочем, маловероятно чтобы негодники сплошь и рядом начали пользоваться SELinux. Не все «честнЫе админы» осиливают... В общем, как-то так.

/* С кодом там всё нормально. Можете поверить наслово... ;) */

Не совсем «зрелости». Скорее, я на его основе просто «набил руку»

Я имел в виду зрелость продукта: 6 лет нет нужды в изменениях :)

... Ааа... Ну, не знаю. Там все можно «переконструировать» под свои нужды. Ядро поменять, набор софта и, само собой, версии. Gentoo же. Но основа останется. Скорее всего, такая статичность решения связана с тем, что Gentoo как дистрибутив и так не для всех /* и слава Богу! */, а GNAP это уже скорее ближе к «магии». Видимо, толпа «рукоблудов-усовершенствователей» сюда просто недоползает.

Не совсем корректное сравнение с...

... антивирусом. SELinux это не антивирус. Это дополения к ядру, которые позволяют настроить расширенные права доступа к ресурсам со стороны процессов и пользователей. Но первичными будут стандартные права. Политики применяются только после стандартных проверок.

Например (на пальцах), у Вас есть апач. Политики позволяют ему работать на 80 порту и с каталогом /var/www. Предположим, Вы поставили лайти и без политик. Т.е., если запускаете на порту 80 и с каталогом /var/www, при остановленном апаче, то все должно работать? А вот фигушки. Ядро пришибет Ваш лайти. И по порту и по каталогу. С записью в логах, дескать, «упокоили какой-то лайти, который хотел ему неразрешенного». :)

В случае подлома, вылезти из своего каталога, демону тоже проблема. «Обуть» ядро само по себе становится сложнее.

Ваш вопрос можно переформулировать как — «на кой хрен пытаться сгондобить какую-то типа защищенную систему на оффтопе, если есть и SELinux и Hardened Gentoo»? В последнем защит еще больше и там есть например, PaX, который умеет пришибать процессы при малейшем намеке на срыв кучи. Что-то типа FORTIFY_SOURCE=2.

Что за адовый бред. Какой к черту аналог. Это просто шелл который напоминает CLI от циско

152-ФЗ

И ещё ППРФ 1119-2012 г., которое ещё то ололо. Зато аттестацию ИСПДн отменили.

АНБ создало SELinux, такого рода решений для *BSD как-то не наблюдаетс

тут ты и спалился.. Идем читаем что такое проект TrustedBSD, что такое MAC, когда это появилось. И возвращаемся дальше делать уроки... А не врем с таким апломбом..

Аргумент какой уж смог придумать :-) Надо же было что-то соврать... Зато поверили..

... Насчет «уроков». Здесь я бы заметил что по себе других не стоит судить.

А вот насчет «вранья», я же за язык Вас не тянул? Давайте вместе почитаем например вот это — http://ru.wikipedia.org/wiki/TrustedBSD . Как интересно — оказывается, архитектура FLASK/TE, разработанная АНБ (или другими словами, все тот же SELinux) была перенесена в ОС FreeBSD... из Linux. Cюрприз, да? :)))

Далее логика очевидна?

Про мандатное управление доступом (МАС), это Вы совсем зря затеяли. Я, да будет Вам это известно, прекрасно знаю что и откуда взялось... Нате, матчасть подучите — http://ru.wikipedia.org/wiki/Мандатное_управление_доступом С какого тут боку эта ваша BSD, мне в упор не ясно, в особенности учитывая то, что первая реализация опять-таки в SELinux...

/* Я не ожидаю того, что Вы признаете очевидный факт того что Вас, милейший, поймали что называется «за руку». Тем более я не ожидаю от Вас что Вы скажете «дяденька, прости засранца» (хотя на Вашем месте и стоило бы). Но сделайте одолжение — ужо бросьте флеймить на мало знакомые Вам темы. */

А вот насчет «вранья», я же за язык Вас не тянул? Давайте вместе почитаем например вот это — http://ru.wikipedia.org/wiki/TrustedBSD . Как интересно — оказывается, архитектура FLASK/TE, разработанная АНБ (или другими словами, все тот же SELinux) была перенесена в ОС FreeBSD... из Linux. Cюрприз, да? :)))

Не читайте по утрам газет (с) знаете такой анекдот?

Так вот - TrustedBSD проект был еще тогда когда Selinux и не пытались открывать.

Нате, матчасть подучите — http://ru.wikipedia.org/wiki/Мандатное_управление_доступом С какого тут боку эта ваша BSD, мне в упор не ясно,

Наверно потому что не читали мамны?

$ man 9 mac MAC(9) FreeBSD Kernel Developer's Manual MAC(9)

NAME mac — TrustedBSD Mandatory Access Control framework ...

This manual page was written by Robert Watson. This software was con- tributed to the FreeBSD Project by Network Associates Laboratories, the Security Research Division of Network Associates Inc. under DARPA/SPAWAR contract N66001-01-C-8035 (``CBOSS"), as part of the DARPA CHATS research program.

The TrustedBSD MAC Framework was designed by Robert Watson, and imple- mented by the Network Associates Laboratories Network Security (NETSEC), Secure Execution Environment (SEE), and Adaptive Network Defense research groups.

Собственно к чему вы написали что TrustedBSD базировался на Selinux не понятно. Разве что показать свою безграмотность?

Ok, продолжаем Ваше образование...

... уж коль так настойчиво «выпрашиваете».

Не читайте по утрам газет (с) знаете такой анекдот?

Это не анекдот. Это перевранная цитата из «Собачьего Сердца». И в оригинале цитата звучала не так, но, надеюсь, найдёте сами.

Так вот - TrustedBSD проект был еще тогда когда Selinux и не пытались открывать.

Идей всегда много. Вопрос в их практической реализации. Я так понимаю, что цитаты Вы не удосужились посмотреть? Ну ладушки. Давайте я Вам отцитирую прямо здесь, не отходя от кассы.

Также в ходе реализации проекта была перенесена реализация архитектуры FLASK/TE — SELinux, разработанной Национальным агентством безопасности США, в операционную систему FreeBSD.

Из http://ru.wikipedia.org/wiki/TrustedBSD

Ииии...

Изначально такой принцип был воплощён в операционных системах Flask, и других ориентированных на безопасность операционных системах.

Исследовательский проект АНБ SELinux добавил архитектуру мандатного контроля доступа к ядру Linux, и позднее был внесён в главную ветвь разработки в Августе 2003 года.

Из http://ru.wikipedia.org/wiki/Мандатное_управление_доступом

Любезный, Вы ужо читайте... читайте эти свои «мамны», можете даже «мантры» почитать. Один чёрт, FreeBSD тут не при делах.