OpenBSD 7.7

Ну запилили его кто-то из фаанга. Возможно от нефиг делать

DE можно и в виртуалке

А смысл тогда? Вместо одного лялекса у тебя теперь какой-то трешак. Да ещё и медленный, потому что VMM не то чтобы быстрый.

OpenBSD прекрасен более безопасной базовой частью системы

Я напомню, что эксплоиты стоят столько же. Рынок не считает её более безопасной. Как мы убедились недавно (дыра в IPv6, например), там полно легких дыр, до которых никто не дошел в силу отсутствия QA.

Вот например: https://www.phoronix.com/news/PostgreSQL-Lands-IO_uring

Я напомню, что эксплоиты стоят столько же.

IMHO пока это неочевидно, слишком мало CVE, интересно было бы рассчитать пропорции с учётом рыночной доли OpenBSD vs Linux/Windows, etc.

IMHO пока это неочевидно,

Неочевидно что? Они стоят столько же. Это очевидно.

слишком мало CVE, интересно было бы рассчитать пропорции с учётом рыночной доли OpenBSD vs Linux/Windows

У OpenBSD нет рыночной доли. CVE они тоже регистрируют очень неохотно.

Все, ты меня убедил. На лаптопе(!) пропало питание(!!!) в те несколько секунд, когда «relinking to create unique kernel» - это ж обыденная ситуация, да. А главное - отсутствие Стима! Очень базовая вещь, так-то. Так жить нельзя.

Когда взломают, тогда и осваивайте OpenBSD.

Все, ты меня убедил. На лаптопе(!) пропало питание(!!!) в те несколько секунд, когда «relinking to create unique kernel» - это ж обыденная ситуация, да. А главное - отсутствие Стима! Очень базовая вещь, так-то. Так жить нельзя.

Ну как бы да, базовая. Ноут, который в бесконечный ребут с необходимостью чинить его через консоль тоже базовая. WiFi быстрый тоже базовая. Мы тут как бы компьютеры для работы и развлечения пытаемся использовать, а не для страдания.

Он уже избавился от BigKernelLock?

Неа. Точнее, не везде.

Ну запилили его кто-то из фаанга. Возможно от нефиг делать

Ну, если из фаанга, то от безработицы, безысходности и неуверенности в завтрашнем дне :)

Ну, если из фаанга, то от безработицы, безысходности и неуверенности в завтрашнем дне :)

В лялексе не было нормального асинхронного механизма для засылания IO в диски до io_uring.

Лучше-то лучше, да не всегда. Как я понимаю, там перформанс то-ли от задачи зависит, то-ли от того, что программисты понимают, что и как они делают. Производительность в обе стороны измениться может. И дыра в безопасности образуется, возможно неустранимая. то-то в ведроиде это дело запретили.

Вот, свежачок — https://www.armosec.io/blog/io_uring-rootkit-bypasses-linux-security/

Лучше-то лучше, да не всегда. Как я понимаю, там перформанс то-ли от задачи зависит, то-ли от того, что программисты понимают, что и как они делают. Производительность в обе стороны измениться может. И дыра в безопасности образуется, возможно неустранимая. то-то в ведроиде это дело запретили.

Ты сейчас паверпоинтом разговаривать начал :)))

Так в любом юниксе этого нет изначально. Сисколлы синхронные и. процедур завершения нет. Чай не VMS, в котором прям в sys$qio можно было указать адрес процедуры завершения.

Не понял? Я, честно говоря, не так давно про эту хрень узнал и пытаюсь выяснить, насколько это применимо при передаче большого количества нашего аудита из ядра если не через нетлинк. Но, чот, опасаюсь пока.

Так в любом юниксе этого нет изначально. Сисколлы синхронные и. процедур завершения нет. Чай не VMS, в котором прям в sys$qio можно было указать адрес процедуры завершения.

Да какая разница что там юниксах было? Это было 40(!) лет назад.

Не понял? Я, честно говоря, не так давно про эту хрень узнал и пытаюсь выяснить, насколько это применимо при передаче большого количества нашего аудита из ядра если не через нетлинк. Но, чот, опасаюсь пока.

Через него ublk работает, например. И в fuse патчи принесли. Можешь посмотреть в эту сторону, если интересно, как это используют. Если тебе бенчмарки интересны, мы через io_uring IPC делаем между ядерным кодом и userspace, я могу тебе принести через пару недель :)))))

Ну так концепция-то не изменилась, вот и сверлят дыры между ядром и юзерспейсом. А про безопасность не думают.

Ну так концепция-то не изменилась, вот и сверлят дыры между ядром и юзерспейсом. А про безопасность не думают.

Ты вчитывался в суть проблемы? Появился второй механизм засылки в ядро, который не был покрыт текущими решениями для анализа.

Ну да, именно так. При реализации нового механизма не было аудита по безопасности. Что не хорошо, но не так уж и странно.

Ну да, именно так. При реализации нового механизма не было аудита по безопасности. Что не хорошо, но не так уж и странно.

Шта? Появился io_uring, он позволяет делать многие вещи через кольца, не только IO. Текущие сканеры, которые занимаются анализом вредоносной активности, про это не знают, это туда ещё напрограммировать надо. Ты же не предлагаешь Дженсу обойти ВСЕХ писателей этих сканеров и заставить их напрограммировать поддержку перед тем, как выпускать код в ядре? :))

PC делаем между ядерным кодом и userspace, я могу тебе принести через пару недель :)))))

Кабы мне самому не пришлось что-то подобное делать. За две недели не обещаю.

Кабы мне самому не пришлось что-то подобное делать. За две недели не обещаю.

Там в целом все хорошо. Если у тебя потоковые события, посмотри на то, как accept() сделан. Оно позволяет тебе заслать один SQE, после чего он просто бесконечно генерирует CQE с ответами. При особо удачном стечении обстоятельств, это все вообще без сисколов будет происходить.

Ну use-after-free много где проявляется. Жопу подтирать надо чище и смывать за собой :) А эксплоит вроде напрограммировали. Но, к счастью, заткнули эту дыру вовремя/

Ну use-after-free много где проявляется. Жопу подтирать надо чище и смывать за собой :) А эксплоит вроде напрограммировали. Но, к счастью, заткнули эту дыру вовремя

Так там все ядро такое.

Не планируют ползти на микроядро?

А вообще, не понимаю негатива, есть еще NetBSD, полезно иметь такую среду тестирования софта, чтобы не залинуксоветь окончательно

А вообще, не понимаю негатива, есть еще NetBSD, полезно иметь такую среду тестирования софта, чтобы не залинуксоветь окончательно

Я не думаю что у кого-то есть негатив, просто мало кто (кроме фанатов) понимает, а зачем оно такое.

Я, кстати, вот сейчас всерьез буду смотреть на ядерную часть io_uring на тему покрытия кишок вызовами LSMов, например. Из профессиональной необходимости. Пока я плохо понимаю, что там с безопасностью и какие нужны привилегии и capability пользовательскому процессу, что бы это заюзать.

там же щипы. Ей не больно?

Я, кстати, вот сейчас всерьез буду смотреть на ядерную часть io_uring на тему покрытия кишок вызовами LSMов, например. Из профессиональной необходимости. Пока я плохо понимаю, что там с безопасностью и какие нужны привилегии и capability пользовательскому процессу, что бы это заюзать.

Покрыть его LSM кажется тривиальным, потому что там внутри буквально диспетчер по типам операций. Суешь туда нужное и тебе хорошо.

Я свое ядро in-tree не собираю. Мне интересно, что есть. Я так понял, что если некий поц может позвать mmap и открыть файл или сокет со своими правами, то он с теми же правами может и операцию с этим файлом в io_uring засабмитить?

Я свое ядро in-tree не собираю. Мне интересно, что есть. Я так понял, что если некий поц может позвать mmap и открыть файл или сокет со своими правами, то он с теми же правами может и операцию с этим файлом в io_uring засабмитить?

Да, конечно.

Смотри на io_issue_sqe(). Там уже аудит есть.

Именно так.

Апдейт приплыл ещё вчера, до того как о нём сообщили. Думал, проспал. А оказалось, что нет.

Что именно у них устарело кроме родной файловой системы UFS?

Все. Их основной язык программирования. Их представления о том, как люди эксплоиты пишут. Их представления о требованиях к интерфейсам ОС. Их представления о процессах разработки. Люди защищаются от угроз 20-летней давности.

Я сходу не могу придумать что именно там соответствует актуальным практикам.

Тео надонатили на свет?)

- - -

А если без шуток, то кому вообще нужно это непонятное ненужно?

Даже Гайка с МиньетОсью имеют свою нишу - just for lulz + изучение альтернативных ОС.

Это же - еще один юникс, в отличие от линукса и макоси, не знающий половину существующего железа, как важного так и не очень, еще и со своими приколами.

Что еще, нет поддержки геймпадов? Господи, повзрослей уже!

подразумевает, что игры это для детей

С такими мнениям иди подальше.

Please can we call it something that looks a little less like io_urine? - Matthew Wilcox

ZOMG TEH REI

Какая-то неоконченность фразы «тысячи их», может лучше было «имя им легион» ?

Все. Их основной язык программирования. Их представления о том, как люди эксплоиты пишут. Их представления о требованиях к интерфейсам ОС. Их представления о процессах разработки. Люди защищаются от угроз 20-летней давности.

А с чем сравнимаем?

Почему их «устаревшая и примитивная» защита не является такой же дырявой, судя по количеству CVE, как оси с разжиревшими ядрами со сложнейшей контейнеризацией, неймспейсами и т.п.?

OpenBSD это как проект GNU? От него исходят всякие OpenSSH и прочие вещи, которыми можно пользоваться не запуская GNU/Hurd и OpenBSD.

У FreeBSD такие же симптомы ЧСХ. Раньше пользовался, но поддержки софта ещё меньше чем у линукса. Железо тоже нужно искать, чтобы эта ОС на них завелась.

Ранним весенним утром вышла в свет

Ну слава буддизму что не «тихо и незаметно».

Есть подозрение, что художник именно это и имел в виду :/

Скорее всего, оно ляжет на полку рядом с каким-нибудь DragonFly BSD, там тоже была уникальная и неповторимая HammerFS.

OpenBSD это как проект GNU?

OpenBSD-шники обычно противопоставляют себя проекту GNU, намекая на его дырявость?

Ну как, фряха это же флагман BSD-систем, оттуда проприетарщики тащут себе, да и сообщество там побольше и не такое маргинальное.