Состояние 802.11-подсистемы в Linux. Все плохо.

>Хватит гнать. С каких пор обновление ядра не требует перезагрузки? А в линуксе это как раз плановый апдейт.

А почему сразу обновление ядра? Разве в каждом релизе ядра есть исправление какой-то уязвимости, которой можно воспользоваться с удалённой машины (т. е. дырка в TCP/IP и т. д.)?

>>Это не те, что с закрытым HAL от Atheros работали? Их стек тоже морально устарел, да и драйвер переписали.

> Угу, с частью исходников/бинарников от Atheros. В общем-то, мне пофиг, устарел их стек или нет, главное что работает вполне нормально.

Atheros HAL разобрали на запчасти, ака подвергли reverese engineering, так что есть мнение, что когда начнется массовый коммит в ядро новый драйверов (bcm, ralink, realtek, new prism и т.д.) эти тоже пойдут в ногу с mainline.

>Сейчас остается только hostap с кусками из softmac и devicescape, второй, всего быстрей, включат в ядро, все драйвера портируют для этого стека и в 2.6.17, я так думаю, будет очень хорошая поддержка wifi.

> Хотелось бы верить. Пока что мы на Atheros-овских чипсетах остановились, которые madwifi-ng поддерживаются.

Интел бы выкинули - всем бы лучше стало, а то из-за прений разработчиков остальных драйверов с маинтейнерами ieee80211 стека в ядре (Интел), ничего не движется вперед.

Впрочем, иногда движение вперед является результатом пинка сзади...

> WFrag *** (08.01.2006 15:16:59)

>В твоих?

Ну почему в моих? Проблемы-то у тебя, а я успешно пересобирал ядро в SUSE, даже с внешними патчами... Там даже несколько README есть, можешь почитать. Только на моей тачке это абсолютно не нужно, так как всё и так работает.

>Чинить "по дефолту" установленный SuSe в 3 часа ночи уже не раз приходилось.

Почему у всех всё работает, а ты такой особенный? В прямоте твоих рук очень сомневаюсь, так как приходилось видеть твои темы на лоре пару лет назад, такое и чайнику непростительно.

>А потом пойдут undefined reference и прочая белиберда.

Не было у меня такого за весь срок использования линуксов.

>Ядро, которое НЕ может в принципе дозагружать свои куски откуда бы то нибыло куда секурнее, чем модульное. Будешь спорить?

Во-первых, если человек получил права на загрузку модулей, скорее всего будет иметь право и на то, чтобы закинуть своё ядро и перезагрузить машину. Во-вторых, с такими правами наверное можно и напрямую в память писать.

> Про защищённость тоже сам придумал?

Про большую защищенность монлитного ядра -- это не он придумал, это напи сано в умной книжке сразу после примера, как собрать у себя модуль ядра со зловредным кодом и подменить им такой же модуль на сервере, затем rmmod, modprobe и у тебя есть код работающий в ядре -- скрытие своих файлов, трафика, процессов и т.д.

А вот монолитное ядро хрен подменишь без перезагрузки.

> Хватит гнать. С каких пор обновление ядра не требует перезагрузки? А в линуксе это >как раз плановый апдейт.

:))))) ты про kexec никогда неслышал чудик :)

Карточка RTL8180 не работает ни в одной версии линсакс. Только используя виндовые драйвера через ndiswrapper можно запустить.

> Во-первых, если человек получил права на загрузку модулей, скорее всего будет иметь право и на то, чтобы закинуть своё ядро и перезагрузить машину

Это уже палево, в некоторых случаях недопустимое.

suser, смысл большей защищенности понятен? Чтобы встроить код в монолитное ядро нужна перезагрузка, чтобы встроить в модульное -- достаточно прав рута.

>suser, смысл большей защищенности понятен? Чтобы встроить код в монолитное ядро нужна перезагрузка, чтобы встроить в модульное -- достаточно прав рута.

Если у человека есть права рута, он может куда большие беды натворить. :)

>> Про защищённость тоже сам придумал?

>Про большую защищенность монлитного ядра -- это не он придумал, это напи сано в умной книжке сразу после примера, как собрать у себя модуль ядра со зловредным кодом и подменить им такой же модуль на сервере, затем rmmod, modprobe и у тебя есть код работающий в ядре -- скрытие своих файлов, трафика, процессов и т.д.

>А вот монолитное ядро хрен подменишь без перезагрузки.

Тяжелый бред. Это отнюдь не умная книжка, а маленький пример написния модулей. В phrack описывалась туча способов запустить в ядре такой же код при невозможности загрузки модулей. А если можно писать в /dev/mem, то проблем вообще нет. Так что если на вашей машине некто получил подобные права, никакие пионерские "защиты", вроде отключения возможности загрузки модулей, уже не помогут. Для серьезных людей был написан SElinux, но те, кто его могут успешно конфигурировать (нет, redhat'овские утилитки не позволяют по-настоящему запустить этого монстра) никогда не станут что-то говорить про загрузку модулей. Интересно, вы наверное и логины на машине произнести вслух боитесь, т.к. это тоже ослабляет безопасность?

Но любая защита хороша только в таких условиях, когда она может включиться и работать, а если, например, злоумышленник получил всего-навсего рутовые права, и это ему позволяет всего-навсего перезагрузить машину, то тут уже только клиника поможет.

> suser, смысл большей защищенности понятен? Чтобы встроить код в монолитное ядро нужна перезагрузка, чтобы встроить в модульное -- достаточно прав рута.

Если злоумышленник еще не закончил школу и не научился читать по-английски, то это верно. Если же создается по-настоящему защищенная система, то безопасность как монолитного, так и модульного ядра одинаковы.

>Хватит гнать. С каких пор обновление ядра не требует перезагрузки? А в линуксе это как раз плановый апдейт.

не тупи. замена ведра в линуксе - это как раз внеплановый апдейт. Потому как на серверах ведро меняют только в случае обнаружения критической уязвимости, закрыть которую не меняя ядра нельзя

>Только на моей тачке это абсолютно не нужно

Тебе не надо, мне тоже. Потому и был первоначальный вопрос: а зачем все ненужное было включать в ядро по дефолту???

>Почему у всех всё работает, а ты такой особенный?

"у сервака 1.5-2 гигабайта веб траффика в час - совершенно нормальная работа." Посчитай нагрузку. Добавь туда и что, что перед тем, как трафиик отдать, сервак много чего делает: запускает PHP-скрипты, пишет/читает из нескольких таблиц MySQL (а выборка из двухгиговой таблички происходит совсем небыстро и требует опять же ресурсов как процессорных, так и оперативки, так и времени на считывание с диска).
Вот и валится хваленая SuSe, как конь с копыт.
Одна из причин подобного поведения - те самые ACL в дефолте, которые ощутимо подтормаживают считывание с дисков. Совершенно ненужная трата ресурсов.
Вторая причина - собранный дефолтом с "-O2 -g" софт: debug info сжирает до 30% ресурсов проца и фиг знает сколько оперативки.
Ну и ядро... явно не оптимальное.

>В прямоте твоих рук очень сомневаюсь, так как приходилось видеть твои темы на лоре пару лет назад, такое и чайнику непростительно.

Это твои проблемы.

>Не было у меня такого за весь срок использования линуксов.

Ой, как интересно. Видимо, тебе точно никогда не приходилось ни софт обновлять, ни ядрам чужие модули давать. Как поставил SuSe по дефолту, так она у тебя и стоит годами.

Про монолитное ядро тебе уже ответили.

Кстати чето у меняя не получаеться железку запустить под линем

Compex iWavePort WL54G PCMCI

на вообще должна работать?

>>Только на моей тачке это абсолютно не нужно

> Тебе не надо, мне тоже. Потому и был первоначальный вопрос: а зачем все ненужное было включать в ядро по дефолту???


ROOT, что за детский лепет?
SuSE делает ядра модульными именно для того, чтобы те, кому что-то не нужно. не загружали соответствующий модуль.
Тем более, что дистрибутив может быть установлен не только как сервер, но и как рабочая станция. А уж про IPv6 - это вообще супер перл...

Ээээ. Господа suser, rtc, никуда не уходим. Держимся тезиса.

Тезис: монолитное ядро защищеннее чем модульное. (немного сокращенный вариант)

Докозательство: у модульного можно подменить модуль на модуль со своим кодом, а у монолитного нет. (конечно, возможно есть контрсвойство защиты модульного ядра, которое уравновесит силы, но припомнить его не могу, доказать что его нет -- тоже. Так, что это пока не полное доказательство.)

Соответственно:

> Если у человека есть права рута, он может куда большие беды натворить. :)

Не спорю, но об этом речь не шла.

> В phrack описывалась туча способов запустить в ядре такой же код при невозможности загрузки модулей.

Умное замечание, не знал про тучу способов, напрочь убивает мои слова о необходимости перезагрузки, поэтому я там сверху поменял доказательство. Согласен с ошибкой ;) Если в этой туче способов нет способа, который работал бы только на монолитном, то получается в модульном на один способ больше %)

> Для серьезных людей был написан SElinux ....

> Но любая защита хороша только в таких условиях, когда она может включиться и работать ...

Интересно было почитать, но это уход от тезиса.

> Если же создается по-настоящему защищенная система, то безопасность как монолитного, так и модульного ядра одинаковы.

По-подробнее плиз.

>SUSE сделан для работы. Слака - для настройки.

а почему я сделал

installpkg madwifi-20050707_2.6.13-i486-2.tgz

и у меня на ноуте wife работает, а пробовал SuSe 9.3 на том же ноуте - из коробки тоже не работало? кончаем звездеть пожалуйста ;)))

> Ээээ. Господа suser, rtc, никуда не уходим. Держимся тезиса.

> Тезис: монолитное ядро защищеннее чем модульное. (немного сокращенный вариант)

> Докозательство: у модульного можно подменить модуль на модуль со своим кодом, а у монолитного нет. (конечно, возможно есть контрсвойство защиты модульного ядра, которое уравновесит силы, но припомнить его не могу, доказать что его нет -- тоже. Так, что это пока не полное доказательство.)

> Соответственно:

>> Если у человека есть права рута, он может куда большие беды натворить. :-)

> Не спорю, но об этом речь не шла.

>> В phrack описывалась туча способов запустить в ядре такой же код при невозможности загрузки модулей.

> Умное замечание, не знал про тучу способов, напрочь убивает мои слова о необходимости перезагрузки, поэтому я там сверху поменял доказательство. Согласен с ошибкой ;-) Если в этой туче способов нет способа, который работал бы только на монолитном, то получается в модульном на один способ больше %)

>> Для серьезных людей был написан SElinux ....

>> Но любая защита хороша только в таких условиях, когда она может включиться и работать ...

> Интересно было почитать, но это уход от тезиса.

>> Если же создается по-настоящему защищенная система, то безопасность как монолитного, так и модульного ядра одинаковы.

> По-подробнее плиз.


1. Хорошо настроенный selinux не позволит даже руту сделать незаконные действия, если нет ошибки в selinux, включая загрузку модлей. Как мне помнится, такое даже в rsbac было.
2. Для параноиков существует система криптографической подписи модулей, и ядро просто откажется грузить модуль злоумышленника. насколько я помню, в -mm ветке это есть, но в mainline по политическим причинам не добавлено.

Да, согласно тезису, у модульного ядра есть на один способ глобальной порчи больше.
Но как легко видеть из вышеописанного, а это отнюдь не верх защиты от несанкционированного доступа, при создании хорошо защищенной системы, это будет соответствующим образом обработано.
При всем при этом открывается огромные возможности для включения законных модулей, включая IDS модули, что расширяет возможности системы еще больше.

>Как пример наверника многие помнят madwifi драйвера под линукс

madwifi-20050707_2.6.13

>которые по моему уже давно не обновляют и работают они не лучшем образом

работают прекрасно на Toshiba Satellite с Atheros

>Тебе не надо, мне тоже. Потому и был первоначальный вопрос: а зачем все ненужное было включать в ядро по дефолту???

Ты неправильно понял - мне не нужно на моей тачке пересобирать ядро, так как ВСЁ работает и без этого. Тебе не нужно, а твоему соседу нужно.

>Вторая причина - собранный дефолтом с "-O2 -g" софт: debug info сжирает до 30% ресурсов проца и фиг знает сколько оперативки.

Мда, значит ты 9.3 и 10.0 не видел... Там debuginfo является отдельным пакетом.

>Это твои проблемы.

Твоя кривизна рук - твоя проблема.

>Ой, как интересно. Видимо, тебе точно никогда не приходилось ни софт обновлять, ни ядрам чужие модули давать. Как поставил SuSe по дефолту, так она у тебя и стоит годами.

Софт регулярно обновляю, чужие модули ядру - не приходилось (не было необходимости - железа с binary-only модулями не держу). SUSE ставил на несколько машин, регулярно обновляю на своей. Серверы на ней пока не ставил.

>Там debuginfo является отдельным пакетом.

Эм... Это как? 2 разных пакета на каждую софтинку, что ли?

IMHO не надо было туда suse ставить если потом все руками пересобирать. После ковыряния руками в suse, не используя yast и ему подобные, глюки так и лезут. По поводу ядра в suse - там readme есть на предмет того как его надо собирать.

Кстати, что за suse там был? 9.3, 10, sles, nld?

Возражений нет. Точка зрения вроде бы понятна. Спасибо за информацию %)

А это зависит от того что у тебя за железо и как wifi используется. Я тоже замечал больше проблем в windows чем в линуксе. Да, драйвера сложней найти, но после установки все работает отлично.

Я конечно с этим согласен, но пока полностью настроишь selinux повеситься хочется. Плюс еще и тормозит. Сильно тормозит, от 10 до 30% медленнее работает в зависимости от загрузки. Точных данных сейчас сказать не могу к сожалению.

>Эм... Это как? 2 разных пакета на каждую софтинку, что ли?

Типа того. Естественно, на установочные диски debuginfo не кладут. :)

> Я конечно с этим согласен, но пока полностью настроишь selinux повеситься хочется. Плюс еще и тормозит. Сильно тормозит, от 10 до 30% медленнее работает в зависимости от загрузки. Точных данных сейчас сказать не могу к сожалению.

Есть такое дело.
А уж если использовать их точки входа в сетевом стеке, то совсем медленно становится (по нескольку хуков на пакет может быть).

Но здесь уже политический вопрос: удобство и скорость всегда обратно пропорциональны степени защищенности.

> McGray * (08.01.2006 16:34:08)

Linksys WPC11 ver3 PCMCIA - отлично работает на Asus T9400 Debian Sarge 2.4.27.

Compex WLU11A USB - отлично работает на дектопе Debian Sarge 2.6.12(правда после добавления двух строчек в исходник модуля, это всё из-за изменений внесённых в ядро).

"Аффтар жжёт" (С) ;-)

> "because it hearkens back to the heady days of Yuri Gagarin, Sputnik and Linux kernel 0.99"

Он считает, что спутник, Гагарин и ядро 0.99 были в одно вермя? ;-)))

Мда, дела в линухе с WiFi действительно плохи, в своё время весь инет прорыскал, так ничего путнего и не нашёл, в конце концов всё реализовал через ndiswrapper и wpa_supplicant. А вот SuSE 10 меня обрадовала¸ сама сразу нашла сеть и спросила только ключь вбить, хотя там тоже все реализуется через эту связку эмулятора виндовых дров и шифровалки канала

> Интересно, почему dlink в свои роутеры ставит именно linux?

Линукс у них далеко не во всех роутерах. Кстати, про младший модельный ряд я молчу. Народ трахался, трахался с ними, а потом пошли ко мне, что бы я им поставил по линксу на старенькие компы, для маршрутизации.

P.S. Один после этого потихоньку осваивать линукс начал, скомпилял под него dc-хаб. ;-)

Периодически приходилось пересобирать ядро для Suse. Никаких проблем не было.

tak portanuli by iz OpenBSD, vmeste s PF'om i ALTQ. Blago licenzija pozvoliaet.

I eshe, pri takom otnoshenii k proprietarshine, kak sredi kernel'evcev, (chitaj: binarnye zakrytye mikroprogrammy, binarnye drova, etc.) budet tol'ko huzhe.

> tak portanuli by iz OpenBSD, vmeste s PF'om i ALTQ. Blago licenzija pozvoliaet.

> I eshe, pri takom otnoshenii k proprietarshine, kak sredi kernel'evcev, (chitaj: binarnye zakrytye mikroprogrammy, binarnye drova, etc.) budet tol'ko huzhe.

Ничего не имею против OpenBSD и FreeBSD, но то, что в FreeBSD живет в net80211, не имеет права называться стеком 802.11.

А PF и ALTQ в Linux не нужны. Зачем? Те же itables + qdisk interface позволяют делать любые манипуляции с сетевыми потоками.

>Видишь-ли, ничего магического в твоей SUSE нет. Дистрибутивы составляют из общего софта, внося небольшие изменения и свои настройки.

в сусе, между прочим, есть много того чего нет в других дистрибутивах, в том числе поддержки всякого железа

Dubrovsky

> Хватит гнать. С каких пор обновление ядра не требует перезагрузки? А в линуксе это как раз плановый апдейт.

Угу. И вот, пока новое ядро не выйдет, никаких обновлений. Лол! Всё остальное можно обновить без перезапуска сервака.

> Главное там: господа линуксоиды испугались, что всё новое в wifi на опенсорс юниксах делается в bsd и под bsd или двойной лицензией :)

Вах! Боюсь-боюсь! ;-) То-то бсдуны только и делают, что gpl в ядро принимают? ;-F)

Жалкий линукс. Линукс просто жалок.

Найтфлаюшка, пиз... ой. В общем, ИДИ ТЫ на свой жалкий сайтик и там рассказывай непуганным вендовозникам о своих взглядах на Linux. Тут ты всех давным-давное зае... ой. В общем, ДОСТАЛ.

> Жалкий линукс. Линукс просто жалок.

Я же сказа - просто, прямо, сейчас расплачусь от таких слов. ;-) Гуляёте, гуляйте. И лесом и полем и снова - лесом...

Это не Найтфлай.
Он до такого вроде бы не опускается.

А вот ушлепок Lays вполне возможно.

>> и почему у меня соединяет с первого раза без всяких перезагрузок после выхода из hibernate или suspend ?

>Ответ на этот вопрос мне неинтересен. Мне интересно, почему у меня по-другому.

Вот она, принципиальная разница между нормальным инженером и энтузиастом-исследователем. Первый ищет пути как сделать правильно. Ему важно, чтобы все работало, тогда, как второму на это начхать. Этому интересно разобраться почему не работает.

>пишет/читает из нескольких таблиц MySQL (а выборка из двухгиговой >таблички происходит совсем небыстро и требует опять же ресурсов как >процессорных, так и оперативки, так и времени на считывание с диска). >Вот и валится хваленая SuSe, как конь с копыт.

А почему Oracle сертифицированно и удобно живет на SuSe? p.s. а какой тип выборки из 2 гиговой таблички выполняется долго в MуSQL, LIKE '%вася%' чтоль?

>и почему у меня всё работает без проблем?

--- Я не пью, не курю, не играю в карты и не ругаюсь матом.

--- Что, у вас совсем нет недостатков?

--- Есть один --- люблю иногда приврать.

P.S. Не подумайте ничего плохого, просто анекдот вспомнился.

2 rtc

<2. Для параноиков существует система криптографической подписи модулей, и ядро просто откажется грузить модуль злоумышленника. насколько я помню, в -mm ветке это есть, но в mainline по политическим причинам не добавлено. >

Source checksum for all modules (MODULE_SRCVERSION_ALL)

не оно ?

Кто работал в MacOS X с wi-fi никода больше не посмотрин на в сторону Windows, ни, тем более, linux. Такого удобства, надежности и безглючности работы с wi-fi вы больше нигде не найдете! Просто надо походить по кафешкам с ноутом в штатах и вы почувствуете разницу.

зы: Скоро уже WiMAX будет, а они все с wi-fi не разберутся...

> 2 rtc

> <2. Для параноиков существует система криптографической подписи модулей, и ядро просто откажется грузить модуль злоумышленника. насколько я помню, в -mm ветке это есть, но в mainline по политическим причинам не добавлено. >

> Source checksum for all modules (MODULE_SRCVERSION_ALL)

> не оно ?

Нет. Эта опция добавляет каждому модулю, в котором есть MODULE_VERSION дополнительную строку в modinfo секцию, благодаря чему по бинарнику легко определить для какого ядра он был собран.

> argin * (08.01.2006 21:13:38)

>Нет. Эта опция добавляет каждому модулю, в котором есть MODULE_VERSION дополнительную строку в modinfo секцию, благодаря чему по бинарнику легко определить для какого ядра он был собран.

Я особо не следил за этой фичей, но по памяти, говорили что это для того, что бы можно было модуль однозначно идентифицировать.

Получается что эта опция не позволяет проводить достоверную криптографическую проверку ?

> зы: Скоро уже WiMAX будет, а они все с wi-fi не разберутся... И что вы WiMAX будете в SOHO пихать ?

> И что вы WiMAX будете в SOHO пихать ?

Решение = WiXAM + wi-fi.