OpenBSD 7.5

Там была речь, что процессор сразу будет стартовать в 64-битном режиме без всех этих костылей.

То есть все 16- и 32-битные операционные системы – скажем им «прощай».

Впрочем, они один хрен бесполезны на новом железе, так что не велика потеря.

Однако новость была год назад, и что там теперь? Заглохло всё?

В основном это лицензия, позволяющая делать что угодно, даже коммерческие продукты с закрытым кодом. Есть ряд *BSD проектов с разными приоритетами, у OpenBSD упор на портируемость, то есть это (условно) роутеры и всякие архитектурно нестандартные железки.

Я же говорю - новость помню, но там по-моему было не про обычные компы.

Пикча огонь!

у OpenBSD упор на портируемость

Не, это netbsd. У openbsd упор на кринж.

Не, это netbsd. У openbsd упор на кринж.

Перечитал Project Goals, ничего о кринже не нашёл, похоже вы обманываете.

удален сам вызов syscall(2);

Ломают ядро. Все как мы любим.

Перечитал Project Goals

А надо было читать рассылку. Ну и куда же без https://isopenbsdsecu.re.

Регулярно читаю, но видимо акценты делаю иные.

Регулярно читаю, но видимо акценты делаю иные.

Видимо да. Почитай сайт, там отличная разбор клоунады OpenBSD’шников, особенно их совершенно бесполезного крестового похода против ROP gadgets.

Опять наглое враньё. GRUB намного универсальнее - он поддерживает кучу разных файловых систем и разные форматы загрузки

Загрузи из граба одинадцатую винду. Или гайку. Или openbsd. Разработчикам винды, опенка и гайки подробности линукса не интересны. UEFI описывает формат бинарника, загружаемого из ESP раздела. Граб – линуксоспецифичный загрузчик, который посредством дополнительных модулей может грузить некоторые системы, отличные от линукса.

Загрузи из граба одинадцатую винду. Или гайку. Или openbsd. Разработчикам винды, опенка и гайки подробности линукса не интересны. UEFI описывает формат бинарника, загружаемого из ESP раздела. Граб – линуксоспецифичный загрузчик, который посредством дополнительных модулей может грузить некоторые системы, отличные от линукса.

ESXi под UEFI тоже сломан D:

Релиз не принес с собой каких-то кардинальных нововведений или изменений,

Тогда чего новость не мини?

но, как и всегда, собрал в себе огромное количество реальных патчей.

Реальные патчи - это патчи от реальных пацанов?

Бегом обновляться!

А как с федоры обновиться?

ещё больше поддержки ARM64 и RISC-V;

И когда её уже будет достаточно?

pinsyscalls(2), позволяющий «прибить гвоздями» сисколлы к конкретным адресам в libc;

У них bpf-то нормальные есть, или всё так и прибивают гвоздями?

удален сам вызов syscall(2);

И как, собсно, вызывать теперь сисколлы?

И как, собсно, вызывать теперь сисколлы?

Через libc.

ESXi под UEFI тоже сломан D:

Круто. А на каком железе оно вообще крутится? Это же крутой гипервизор, лицензия на который стоит огромных денег. В CSM грузятся, что ли?

Через libc.

Обычно либс не всё экспортирует, по крайней мере в линуксе.

Нет, я про, что его грабом нельзя загрузить. По крайней мере определых версий.

Обычно либс не всё экспортирует

В openbsd все.

Или openbsd.

Как-то раз я загрузил на старом лэптопе через grub bsd.rd из OpenBSD, потому что очень часто забывал как в биосе того лэптопа настроить приоритет загрузки и загрузить live cd.

Правда это был далекий 2017, примерно.

Сейчас есть такой дистрибутив grub – Ventoy, устанавливается на флешку таким образом, что создает на ней раздел, на котором можно оставить загрузочные iso, чтобы потому выбрать их в списке.

Я и таким образом грузил install7?.img от OpenBSD, однако предостерегаю от того, чтобы остальные также делали, потому что не будут доступны сеты – tgz архивы из этого img, в которых находится базовая система OpenBSD.

Грёбанная паранойя с этими сисколами. Чем это может быть полезно?

Это одна из митигаций, которая усложняет написание эксплоита с return oriented programming.

Ну и куда же без https://isopenbsdsecu.re.

Да, это хороший сайт, потому что один из немногих, на которых представлена аргументированная критика каждой митигации.

Но, если его внимательно читать, то можно заметить, что некоторые митигации действительно являются либо полезными, даже по мнению автора сайта, либо инновационными, потому что впервые вводятся в OpenBSD и только потом в остальных системах.

Так никто не отрицает что у них есть годнота. Просто примерно половина того, чтоту них есть, реальные хацкеры считают бесполезной тратой времени. На этом фоне вечный антагонизм Тео выглядит уже не так оправданно.

усложняет написание эксплоита с return oriented programming

А настоящие хацкеры говорят что не усложняет.

По достаточно очевидной причине:

An attacker able to perform ROP can simply use the libc stub, instead of issuing raw syscalls

Бздя и так неуловимый джо... Ненужно.

Ненужно

Нужно, они тебе ssh и tmux пилят.

Я имею в виду именно блокировку сисколов. Сисколы и так нестандартные и шанс что таргетиться будет конкретная версия openbsd - довольно маленький. ROP надо не допускать, а не закрывать последствия, а DoS - тоже уязвимость Тут вместо того чтобы закрыть дырку в юзерском софте предлагается костыль в ядре.

ROP надо не допускать

А это уже не важно, потому что ROP это уже давно не самая ходовая дорожка.

А что мешало вместо img положить iso? При установке всё базовые пакеты доступны, да честно говоря и с img не до конца понятно, в чем там проблема.

А что мешало вместо img положить iso?

Ничего, наверное, просто был скачан img, он в отличие от iso предназначен на запись на флешку, а не на диск.

По крайней мере это верно для данного конкретного случая вот этой операционной системы.

У тебя есть электроника 85?

Загрузи из граба одинадцатую винду. Или гайку. Или openbsd. Разработчикам винды, опенка и гайки подробности линукса не интересны. UEFI описывает формат бинарника, загружаемого из ESP раздела. Граб – линуксоспецифичный загрузчик, который посредством дополнительных модулей может грузить некоторые системы, отличные от линукса.

Multiboot тоже описывает формат бинарника, загружаемого <откуда угодно>.

Что сказать-то хотел? Иди матчасть подтяни.

И как, собсно, вызывать теперь сисколлы?

Никак.

Static linking considered harmful.

Вы, наверное, перепутали. Dynamic linking considered harmful, particularly in the UNIX systems.

Static linking considered harmful.

Наоборот, вот эта штука как раз на статической линковке сильно уменьшает поверхность атаки, потому что неиспользуемые примитивы выкидывают в окно.

А в чем суть сабжевой защиты? Она вызов сисколов прибивает к конкретной so-шке, или что там?

Угу. Ядро проверяет, что адрес вызова конкретного сискола был из конкретного адреса. Для этого в бинарник пихается таблица из пар (сискол, адрес).

Чел рассуждал какая лучше из BSDшек, я написал свой вариант :)

А Venix rev1.0 у меня лежит винт ST225 на полочке… Отлично работал на Электронике-85, полноценно поддерживал эмуляцию терминала и графику, в отличие от BSD. Думал над тем, как русский туда примастырить, но потом у меня альфа DEC 2000 появилась под DEC OSF и я подзабил на это дело… :)

У тебя есть электроника 85?

Есть, только сейчас она не в форме :(( Ищу кто поможет починить материнку или новую

А никак, походу. Если только с железного терминала или Электронике знакоген перешить. Дык OSF-то тоже если и поддерживает, то ISO-8859-5. Вроде, других локалей в VT420м и не было. В VMSe приходилось логи в ISO-8859-5 писать. Требования были от заказчика сообщения на русском писать.

Пропатчили?

Ясно. Я подумал было, что это к конкретной so захардкожено. Если это работает при статической линковке, тогда окей.

ISO-8859-5 на OpenVMS частично работает, та и нехай хватает ее.

Ну не знаю как частично, я с VMSом с железного VT-420 работал, на нем язык переключался норм. Стало быть, на русском что-то писать было можно. Надо, кстати узнать, прикрутили ли к современному VMSу юникод.

Ща, секунду…

DIR SYS$I18N_ICONV:
……
……
UCS-4_VTF-7.ICONV;1 UTF-8_BIG5.ICONV;1
UTF-8_CP437.ICONV;1 UTF-8_DECHANYU.ICONV;1
UTF-8_DECHANZI.ICONV;1 UTF-8_DECKANJI.ICONV;1
UTF-8_DECKOREAN.ICONV;1 UTF-8_DECMCS.ICONV;1
UTF-8_EUCJP.ICONV;1 UTF-8_EUCTW.ICONV;1
UTF-8_GB18030.ICONV;1 UTF-8_ISO8859-1-EURO.ICONV;1 UTF-8_ISO8859-1.ICONV;1 UTF-8_ISO8859-15.ICONV;1 UTF-8_ISO8859-2.ICONV;1 UTF-8_ISO8859-5.ICONV;1 UTF-8_ISO8859-7.ICONV;1 UTF-8_ISO8859-8.ICONV;1 UTF-8_ISO8859-9.ICONV;1 UTF-8_SDECKANJI.ICONV;1 UTF-8_SJIS.ICONV;1 UTF-8_UCS-2.ICONV;1

как видишь, есть :)
довольно давно, с начала 2000ных.
я на одной машине прикалывался, микрософтские TTF шрифты на нее ставил.
Comic Sans - забавно выглядело.

Ну это перекодировки iconv'ом. А LOCALE SHOW что говорит?

В современном, вроде, все есть — https://vmssoftware.com/products/i18n/

kopenbsd /boot/bsd.mp