LINUX.ORG.RU
ФорумTalks

Фаервол против гуя

 , ,


1

3

Расскажу-ка вам историю из загробного мира :-)

Мак – отличная штука. Живой работающий пример всего того, что, согласно фольклору линуксоидов, либо не существует, либо нормально работать не может. Однако же вот он, живой, работает – а мы в линуксе все еще двачуем капчу на последний коммит в репе systemd, обсуждаем какие-то психически неуравновешенные темы вроде «predictable names» для сетевых интерфейсов, итп.

Но иногда здесь случаются абсолютно невероятные вещи. Например, фаервол, привязанный к гую.

Сегодня логинюсь на макмини (оживленный дабы кодить в гостиной на большом экране телевизора)... И сразу после логина его интерфейс виснет. Висит трей, висит док, висят скайпы и джаберы. Программы запускаются, но очень мало какие.

Перезагружаюсь – снова виснет. Тогда начинаю долбить killall -KILL SystemUIServer («перегрузить всю графику нафиг»), и несколько секунд после этого система работает, потом снова виснет.

В ходе перезагрузок была выяснена интересная особенность. Когда система «висит», также не работает http и пинги на яндекс. Иногда проходят, но в 99% случаев интернета нет. Сразу после -KILL SystemUIServer пару секунд в Сафари-Хромиуме грузится гуголь и начинают ходить пинги на яндекс, но потом соединение снова пропадает.

Следующий вывод не укладывался в мою картину мира, поэтому делал его минут 10 точно.

Во всем оказался виноват фаервол. Вот этот: http://ompldr.org/vaTBxYQ/2013-04-07 10.26.09 pm.png

Казалось бы, как может быть фаервол быть связан с графическим сервером? Это же совсем-совсем разные сущности?

У него слетел конфиг, и как-то криво стал загружаться его демон.

А с криво запущенным демоном –

1) криво работает его гуй. А гуй встраивается в трей, и убивает его загрузку. Причем забавно, он убивает только те программы, что пытаются попасть в трей после него, а вот своя собственная иконка в трее у него работает ОК. Убитый трей не позволяет стартануть программам, которые при старте пытаются с ним что-то сделать (т.е., почти всем программам).

2) криво работают правила фильтрации, которые решили «заблокировать почти все». Замечатльный фаервол блокирует не только сетевые соединения (прощай скайп и адиум), но и доступ на чтение-запись файлов (прощай все остальные программы). Ну слава б-гу, хоть zshell-у возможность читать конфиг не заблокировал, и он не завис как все остальные скайпы – так появилась возможность открыть терминал.

После этого я попытался удалить фаервол стандартным способом (удалить его директорию из /Applications), но это оказалось невозможно, т.к. файлы заблокированы, и очень быстро переблокируются заново.

Тогда я попытался убить фаервол из списка процессов, но у него оказалось там дофига (как минимум два) разных процесса, которые перезапускают друг друга. Убил демона - его поднял агент, убил агента - его поднял демон. Дело Робина Гуда и Монаха Тука живет :-) Можно было бы проверить, как выдаются пиды на новые процессы (по порядку, наверное), и написать какой-то скрипт для убивания пачкой, но это показалось слишком геморно при наличии других вариантов. Плюс, а что если это не процессы друг друга оживляют, а просто стоит какой-то системный хук (в маке такое вообще возможно - поставить хук на отсутсвие признака?)

Пошел перегружаться в безопасном режиме, но, ВНЕЗАПНО, мак отказался грузиться в нем. Сразу после проверки диска – ноль реакции в течение часа. Т.к. «безопасный режим» не реагирует на шифт и флаг ядра -v (выставленный через sudo nvram boot-args="-v"), даже узнать что там творится нельзя. Переключалок в виртуальные консоли, по F-кам, как в линуксах, там нету. Вообще, невозможность загрузиться в безопасном режиме – это палево какое-то, опасно на таком компе что-то делать. Поэтому в тред кастуется специалисты по всему – можете посоветовать, что тут можно сделать, без использования радикальных мер? Хотелось бы глянуть хотя бы на лог ведра.

Ну в общем, я уже был готов применять радикальные методы, как-то разборка корпуса, вытаскивание жесткого диска, втыкание его в линукс и rm -rf /*, но тут обнаружил, что фаервол можно удалить из его же главного меню. Прямо в юзерском режиме, выбрав пункт uninstall. И потом с двумя перезагрузками можно накатить более новую его версию, которая более хорошо совместима с последними обновлениями макоси.

Вот такая вот история.

Источник: http://users.livejournal.com/__hedin/503131.html
Скрин того самого гуя: http://ompldr.org/vaTBxYQ/2013-04-07 10.26.09 pm.png

★★★☆☆

Я думаю, в этом треде не хватает моей аватары.

AiFiLTr0 ★★★★★ ()

Напоминает ситуацию когда повисшая программа блокировала работу многозадачной windows xp

onon ★★★ ()

При Джобсе такого WAIT OH SHI~~

Satou ★★★★ ()

На днях кто-то предложил протестировать какой-то сайт. Жестко завис браузер и вся система. Титаническими усилиями удалось переключиться в консоль. Залогиниться так и не удалось. Через несколько минут фокс убил подвисший скрипт и все ожило. Бубунта последняя, фокс тоже.

Deleted ()

Живой работающий пример всего того, что, согласно фольклору линуксоидов, либо не существует, либо нормально работать не может. Однако же вот он, живой, работает

Сегодня логинюсь на макмини [...] И сразу после логина его интерфейс виснет. Висит трей, висит док, висят скайпы и джаберы.

Перезагружаюсь – снова виснет. Тогда начинаю долбить killall -KILL SystemUIServer («перегрузить всю графику нафиг»), и несколько секунд после этого система работает, потом снова виснет.

Как ты умудрешься оставаться в живых с такими противоречиями в голове?

tailgunner ★★★★★ ()
Последнее исправление: tailgunner (всего исправлений: 1)

а давно это hands off стал родным фаерволом в os x?
мне всегда казалось, что им является ipfw

Hands Off! 2.x - $49.99

а, это же варез. учитывая ник автора треда, ничего удивительного.
цитаты из предыдущего треда про его творчество с тоннами вареза приводить лень
кстати, очень хороший пример, почему пираты должны страдать

xtraeft ★★☆☆ ()
Последнее исправление: xtraeft (всего исправлений: 1)
Ответ на: комментарий от Deleted

Жестко завис браузер и вся система

скорее всего не система, а иксы.
это случается - у федоролюбов не так давно фф умудрялся иксы вообще крашить

xtraeft ★★☆☆ ()

OMG! Что там со шрифтами? Две буквы l рядом в слове Allow - РАЗНЫЕ! Да и вообще. Я думал про мак лучше...

Kroz ★★★★★ ()
Ответ на: комментарий от Deleted

интересно, как такое вообще возможно. Ну ладно, фаерфокс может попросить сколько угодно ресурсов, но кто ж ему даст?

stevejobs ★★★☆☆ ()
Ответ на: комментарий от stevejobs

Ну ладно, фаерфокс может попросить сколько угодно ресурсов, но кто ж ему даст?

меня больше интересует, почему можно убить иксы из юзерспейса

xtraeft ★★☆☆ ()

что тут можно сделать, без использования радикальных мер? Хотелось бы глянуть хотя бы на лог ведра.

Макоэс тебе как бы говорит: «поставь наконец операционную систему...».

sin_a ★★★★★ ()

Мак – отличная штука.

Дальше не читал.

Ttt ☆☆☆☆☆ ()
Ответ на: комментарий от xtraeft

скорее всего не система, а иксы.

Ну, она, не то чтобы зависла (в консоль-то я переключился), просто что-то съело все вычислительные ресурсы и все еле ворочалось (вводил логин, но поле ввода пароля не появлялось).

Deleted ()
Ответ на: комментарий от Kroz

на мониторе s-ips с разрешением 2560x1440 не вижу, где ты нашел две разные буквы l в слове allow.
можешь привести конкретный пример?

xtraeft ★★☆☆ ()
Ответ на: комментарий от Deleted

а разве настройка лимитов (что там в линуксе, ulimit?) от этого не спасают?

xtraeft ★★☆☆ ()
Последнее исправление: xtraeft (всего исправлений: 1)
Ответ на: комментарий от xtraeft

под маком сейчас всего два фаервола «для обычных людей» - hands off и little snitch. Если подумать головой, и пойти на сайте хэндсоффа не по ссылке «купить», а по ссылке «я хочу уйти от конкурента к вам», то можно купить не за 50$, а за 10.

10 баксов за то, чтобы никогда не маяться с очень важной софтиной - чепуха какая-то. Это же не фотошоп за два косаря баксов, которому фаерволом нужно резать доступ в интернет, чтобы он не понял, что триал уже закончился :)

stevejobs ★★★☆☆ ()
Ответ на: комментарий от xtraeft

а разве настройка лимитов (что там в линуксе, ulimit?) от этого не спасают?

Наверное спасают, если настроить, у меня дефолтная убунта, ничего не менял.

Deleted ()
Ответ на: комментарий от stevejobs

Собрала операционка все браузеры и строго говорит:
Предупреждаю! Любого, кто будет чрезмерно жрать память, сразу буду бить по наглой рыжей морде!

XoFfiCEr ★★ ()
Последнее исправление: XoFfiCEr (всего исправлений: 1)
Ответ на: комментарий от stevejobs

10 баксов за то, чтобы никогда не маяться с очень важной софтиной - чепуха какая-то.

хм. раньше ты говорил, что пиратишь из-за убеждений - ты уж определился бы.

под маком сейчас всего два фаервола «для обычных людей» - hands off и little snitch.

обычным людям фаервол не нужен

xtraeft ★★☆☆ ()
Ответ на: комментарий от Deleted

И так со всеми мозиловскими приблудами типа komodo и громоптицы :(

Suntechnic ★★★★★ ()
Ответ на: комментарий от XoFfiCEr

Собрала операционка все браузеры и строго говорит: Предупреждаю! Любого, кто будет чрезмерно жрать память, у того отберу костыль.

Уже не актуально. Память жрут все.

Deleted ()
Ответ на: комментарий от Suntechnic

со всеми мозиловскими приблудами типа komodo
типа komodo

что, оно действительно творчество мозиллы?

xtraeft ★★☆☆ ()
Ответ на: комментарий от Deleted

Ессно не одна программа не может работать без выделения ей оперативной памяти.

XoFfiCEr ★★ ()
Ответ на: комментарий от xtraeft

Подписываюсь под каждым словом, понаставят всякого говна бесплатно без смс, а потом у них виноваты windows, Mac и линукс.

druganddrop-2 ★★ ()
Ответ на: комментарий от Deleted

USER PID %CPU %MEM VSZ RSS TT STAT STARTED TIME COMMAND
xtra 17939 1,8 12,0 5441320 2017164 ?? S чт11 302:57.56 /Applications/Firefox.app/Contents/MacOS/firefox -psn_0_138273750


я тут с удивлением обнаружил, что фф отожрал столько памяти при 4 вкладках. интересно :)

xtraeft ★★☆☆ ()
Ответ на: комментарий от druganddrop-2

совсем не удивлюсь, если через пару страниц комментариев выяснится, что у него хакинтош на ворованном железе

xtraeft ★★☆☆ ()
Ответ на: комментарий от onon

Где-то в talks я уже публиковал пятистрочник на C++, который будучи запущенным n раз (где n-количество ядер ЦП) вешает в хлам любую винду.

Programmist11180 ★★★ ()
Ответ на: комментарий от xtraeft

1) обычным людям часто нужна приватность. Программы через одну собирают «анонимную» сетевую статистику, и от этого факта очень припекает попу. А фаервол позволяет посмотреть, куда долбятся все эти товарищи, и выборчно порезать ненужные направления.

2) обычным людям часто не нужны обновления. А некоторые программы обновления делать заставляют. На винде это поголовно, на маке - иногда, на линуксе из-за репозиториев некоторые программы просто долбятся сообщениями «сами мы не местные, обновиться не можем, поможити, обновите меня самостоятельно». Запрещаешь им походы на их сайт, запрещаешь domain name resolving (или выборчно - заворачивая на локалхост, например, или вообще глобально) - и але-оп, они понимают, что проверить версию больше негде.

3) обычным людям нужны триалы) Если фаервол слетит, через несколько секунд все программы, которым ты запретил доступ в интернет, чтобы они работали в режиме триала, ломанутся на свои родные сайты и обнаружат, что пользователя неплохо было бы заставить купить софтину еще 2 года назад. Поэтому за фаервол стоит заплатить 10 баксов, точнее за его обновления, своевременно выходящие вместе с изменениями ведра и сетевой подсистемы. Что будет, если своевременно не ставить обновления – описано в этом топике.

stevejobs ★★★☆☆ ()
Последнее исправление: stevejobs (всего исправлений: 1)

А какое отношение имеет кривой фаервол к маку?

Я бы ос переустановил и все, минут на 10 работы.

Legioner ★★★★★ ()
Последнее исправление: Legioner (всего исправлений: 2)
Ответ на: комментарий от stevejobs

1) обычным людям часто нужна приватность. Программы через одну собирают «анонимную» сетевую статистику, и от этого факта очень припекает попу. А фаервол позволяет посмотреть, куда долбятся все эти товарищи, и выборчно порезать ненужные направления.

знающие люди порежут нормальным способом (а не кряченым проприетарным софтом), незнающим - пофиг, им плевать что кто-то куда-то отправляет статистику.

2) обычным людям часто не нужны обновления.

и тут ты не прав, обновления им нужны (тем более они не просят от пользователя никаких лишних действий).
это крякоюзеры страдают, пытаясь зарезать фаерволом функцию апдейта, что бы их любимый фотошоп ультимейт едишн не перестал запускаться после обновления.

xtraeft ★★☆☆ ()
Ответ на: комментарий от stevejobs

3) обычным людям нужны триалы)
все программы, которым ты запретил доступ в интернет, чтобы они работали в режиме триала, ломанутся на свои родные сайты и обнаружат, что пользователя неплохо было бы заставить купить софтину еще 2 года назад.

и опять ты вернулся к своей воровской философии.
грустно, очень грустно - я думал, у тебя аргументы повменяемее будут.

xtraeft ★★☆☆ ()
Ответ на: комментарий от XoFfiCEr

вот Chrome сейчас при 9 вкладках жрет ~200 Mb

Чето ты врешь или смотришь не то (у него несколько процессов). Только что запустил чистый хромиум вообще без вкладок: было 2239M, стало 2597M. 64 бита.

Deleted ()
Ответ на: комментарий от stevejobs

Страдай

3) обычным людям нужны триалы) Если фаервол слетит, через несколько секунд все программы, которым ты запретил доступ в интернет, чтобы они работали в режиме триала, ломанутся на свои родные сайты и обнаружат, что пользователя неплохо было бы заставить купить софтину еще 2 года назад. Поэтому за фаервол стоит заплатить 10 баксов, точнее за его обновления, своевременно выходящие вместе с изменениями ведра и сетевой подсистемы. Что будет, если своевременно не ставить обновления – описано в этом топике.

druganddrop-2 ★★ ()
Ответ на: комментарий от Deleted

Разумеется я просуммировал.
А вот firefox при 5 вкладках уже 193 Mb

XoFfiCEr ★★ ()

И после такого еще говорят, что Mac OS X хорошая и безглючная система?

Extraterrestrial ★★★★ ()
Ответ на: комментарий от Programmist11180

Специально повесить в хлам что угодно можно
:(){ :|:& };:

onon ★★★ ()
Ответ на: комментарий от xtraeft

и тут ты не прав, обновления им нужны (тем более они не просят от пользователя никаких лишних действий).

да-да, детка, скачай еще два гигабайта этих замечательных свежих обновлений, скачай их еще два раза!

наверняка в другом подобном треде ты троллил арчепользователей (меня в том числе) чем-то вроде «обновления не нужны, поэтому арч не нужен»

чудеса современного анонимного анализа :)

stevejobs ★★★☆☆ ()
Ответ на: комментарий от Extraterrestrial

Да. а где косяк тут Макоси, косяк в жадности и кривом устаревшев фаерволе.

druganddrop-2 ★★ ()
Последнее исправление: druganddrop-2 (всего исправлений: 1)
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.