LINUX.ORG.RU

Re: Новый релиз FreeRADIUS 0.9.3 остался уязвим

Да, Sun-ch (*), умеешь порадовать...

Но, все равно, спасибо, что предупредил.

anonymous ()

Re: Новый релиз FreeRADIUS 0.9.3 остался уязвим

Отмазка просто супер :)

"The code in rlm_smb was taken from pam_smb over a year ago, and has
not been audited or updated since then."

Sun-ch ()

Re: Re: Re: Re: Новый релиз FreeRADIUS 0.9.3 остался уязвим

> кто пользуется радиусом, ваши мнения

openradius - единственный из перечисленного, чем я остался доволен.

НО! Все модули написаны самостоятельно с нуля. Авторизация и аккаунтинг в единой биллинговой базе PPP, PPPoE, PPPoA, PPTP, SMTP, POP3, IMAP, FTP, HTTP для немаленького интернет провайдера.

anonymous ()

FR

> приятно выглядит xtradius
неужели, Вы считаете что форкание кривых перловых скриптов в xtra - это гораздо лучше чем разнообразие способов сделать тоже самое (причём в большнистве более прямо) в FR?
относительно smb_auth - лично я этой шнягой не пользуюсь. там этих модулей - как в грязи (в отличие от), и очень много из них contrib.

mumpster ★★★★★ ()

Re: Re: Re: Re: Re: Новый релиз FreeRADIUS 0.9.3 остался уязвим

> кто пользуется радиусом, ваши мнения
>> openradius - единственный из перечисленного, чем я остался доволен.
>> НО! Все модули написаны самостоятельно с нуля.

В этом и сила openradius - модули под свои задачи писать _легко_.
Как правило, не нужен чужой хардкод.
Это unix way: prefork + связь между сетевым демоном и биллинговым приложением через stdin/stdout.
Надо быстро сделать - пиши на интерпретаторе, надо чтобы работало _очень быстро_ (а БД справится?! (-: ) - пиши на C.

Увы, freeradius пошел другим путем - модули через libtool плагины.
Модули в большинстве своем кривые.
Задачи решают, в большинстве своем, примитивные.

coxx ()

/bin

> unix way: prefork + связь между сетевым демоном и биллинговым
> приложением через stdin/stdout.
ну-ну. то-то я смотрю все кинулись от форков избавляться по возможности.
думайте прежде чем что-то говорить - fork - одна из самых тяжёлых операций в UNIX. а prefork порождает в свою очередь проблемы с диспетчеризацией и напрасной тратой ресурсов.
и если уж на то пошло - никто не мешает мехнанизм с форком и в fr использовать.
насчёт модулей - за все говорить не буду, а которые мне нужны - работают. когда меня не устраивало как работает нужный мне модуль - подпачил. а ошибок в самописном супер-коде на шелле/перле - может быть нисколько не меньше.

mumpster ★★★★★ ()
Ответ на: /bin от mumpster

Re: /bin

Да блин только в xtradius может и кривые скрипты, но поиск по securityfocus не дает на него ошибок.А на freeradius целых 9 ошибок. Я когда выбирал для авторизации радиус-сервер.Много прочел по этому поводу. Этот freeradius везде монстром называют.Прога в которую напихали кучу говна и теперь доводят до ума, а xtradius изначально был маленький и потихоньку дописывался. Вобще из всех серверов больше всего хвалят openradius и он вроде почище всех написан.Я не хочу ничего слышать про форки-хуерки и большие расходы, если прога изначально крива. Вы еще gnuradius в пример приведите. Год назад была поделка в которой дохуя изменили по сравнению со стандартом(livingston, cistron).

anonymous ()
Ответ на: Re: /bin от anonymous

Re: Re: /bin

На XtRadius уже более года не выходят новые версии.

anonymous ()
Ответ на: /bin от mumpster

Re: /bin

> думайте прежде чем что-то говорить - fork - одна из самых тяжёлых операций в UNIX.

Вот именно поэтому в openradius все и форкается заранее.

> а prefork порождает в свою очередь проблемы с диспетчеризацией и напрасной тратой ресурсов.

Интересно было бы послушать о Ваших проблемах. У меня их нет. Диспетчеризация? Моя смешно: кто первый освободился, того и загрузим. Напрасная трата ресурсов? А это уже задача администратора, чтобы процессы не простаивали, но и не ждать долго. У меня обычно днем 10-15 событий авторизации и 50-70 событий аккаунтинга в _секунду_. С этим легко справляется 16 auth.pl и 32 acct.pl. Естественно, самописанные, естественно все постоянно держат коннект к SQL базе. Зафиксированный пик активности - 473 успешных авторизации за секунду - это когда циска, на которой PPPoE терминируется, ребутнулась по питанию (ups не выдержат 4-х часовое отсутствие света).

Ночью, да, загрузка резко падает, к утру некоторые auth.pl уже в свапе лежат ;) Естественно, все заблокированы в piperd.

Вот если бы у меня на каждый чих происходили fork() + DBI->connect() + disconnect() + _exit(), то все бы росто умерло. Даже если бы DBI->*() были бы не в перловке... Про сложность чего-то изменить налету я вообще молчу. В текущем варианте я смело правлю, например, auth.pl или его конфиг и, грубо, `killall perl`.

anonymous ()

Re: Re: Re: Re: Новый релиз FreeRADIUS 0.9.3 остался уязвим

Раньше использовал xtraduis, теперь gnu-radius, в нем можно обращаться к SQL напрямую (т.е. без использования внешних скриптов). Оба работают вполне прилично. Правда под большой нагрузкой не проверял.

qwe

anonymous ()

Re: Re: Re: Re: Re: Новый релиз FreeRADIUS 0.9.3 остался уязвим

> Раньше использовал xtraduis, теперь gnu-radius, в нем можно обращаться к SQL напрямую

Вот интересно посмотреть, как он масштабируется (в openradius просто префоркаешь не 10 а 100 модулей и все). А как у него с произвольным форматом баз? У меня сейчас авторизация выглядит как

prepare("exec auth_proc '$uname', $service_type"); execute(); fetchrow();

А в строке уже и квоты, и ip, и acl и все прочее, что надо...

anonymous ()
Ответ на: Re: /bin от anonymous

core

> только в xtradius может и кривые скрипты, но поиск по securityfocus не
> дает на него ошибок.А на freeradius целых 9 ошибок.
слушайте, вот именно поэтому в xtra и openradius и нет ошибок - потому что в core fr тоже их нет. потому что все основные грабли - в спциализаированных модулях. где гарантия что в ваших внешних по отношению к xtra/operdius скриптах нет проблем? отмазка типа "кроме меня никто не занет что там" - не канает, вспоминте про вариации formmail.pl

mumpster ★★★★★ ()
Ответ на: Re: /bin от anonymous

core

> послушать о Ваших проблемах. У меня их нет
у меня тоже.;-)
> я смело правлю, например, auth.pl или его конфиг и, грубо, `killall
герой, на ходу править. не вижу в этом ничего хорошего.
если уж Вы так настаиваете - Вы и в FR можете своими .pl пользоваться.

mumpster ★★★★★ ()

Re: Новый релиз FreeRADIUS 0.9.3 остался уязвим

OpenRADIUS рулит.. Жаль, что его в нынешнем виде не было лет 5 тому назад, в результате у меня ушло много времени на изобретение велосипеда..

anonymous ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.